Penilaian resiko dan Proses Pemeriksaan TSIaurelio.staff.gunadarma.ac.id/Downloads/files/50962/TSI_bank_2.pdf · Penilaian resiko dan Proses Pemeriksaan TSI Tipe Resiko Kesalahan

PELATIHAN AUDIT TEKNOLOGI INFORMASIKerjasama : Universitas Gunadarma & Bank Indonesia

16–20 Januari 2006

Penilaian resiko dan Proses Pemeriksaan TSI

PELATIHAN AUDIT TEKNOLOGI INFORMASI

Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006

Konsep ResikoKonsep Resiko

AncamanKelemahan

Dampak

Tipe ResikoTipe Resiko

Model Model

ProsesProses

KuantitatifKualitatif

TSITSI


Konsep Resiko

Dampak

Kelemahan

Ancaman KompleksitasTSI

Keamanan danPengendalian

PerlindunganAset

Risk Assessment PrioritasPemeriksaan




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Konsep Resiko Ancaman

• Tindakan atau kejadian yang mungkin merugikankeamanan sistem komputer

• Rangkaian keadaan atau kejadian yang membiarkanorang atau alat lain untuk menimbulkan kesulitanyang berkaitan dengan informasi, melaluieksploitasi kelemahan-kelemahan dari produkteknologi informasi

• Suatu keadaan atau kejadian yang potensialmenimbulkan kerugian sistem dalam bentukpengrusakan, pembukaan, modifikasi data ataupenghalangan pelayanan




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Konsep Resiko Kelemahan

• Kelemahan keamanan pada target evaluasi(misalnya penyebab kegagalan analisis, rancangan, implementasi, atau operasi)

• Kelemahan pada komponen atau sistem informasi(misalnya prosedur pengamanan sistem, rancanganperangkat keras, atau pengendalian internal) yang bisa dieksploitasi sehingga menimbulkan kerugianyang berhubungan dengan informasi

• Kelemahan di dalam prosedur keamanan sistem, rancangan sistem, implementasi, pengendalianinternal, dan sebagainya, yang bisa dieksploitasiuntuk melanggar kebijakan keamanan sistem




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Konsep Resiko Dampak

Konsekuensi (negatif) organisasi, baik jangka pendekmaupun jangka panjang, yang disebabkan olehancaman yang bisa telah mengeksploitas kelemahansistem

50 565 000,-

33 545 000,-

17 256 000,-

11 239 000,-FINANCIALFRAUD

TELECOMM.FRAUD

INFORMATIONTHEFT

UNAUTHORIZED.ACCESS

Jumlah Kerugian (US$)




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko

1. Resiko Pengembangan

2. Resiko Kesalahan

3. Resiko Terhentinya Bisnis

4. Resiko Pengungkapan Informasi

5. Resiko Penggelapan




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko Pengembangan

• Penundaan atau ketertinggalan dalam implementasisistem

• Keterlambatan pengembangan

• Peningkatan biaya

• Kegagalan proyek komputer

• Pengoperasian yang tidak memadai dari sistem yang sudah diimplementasikan

• Pengamanan dan pengendalian tidakdipertimbangkan dari awal

• SKAI atau bagian terkait tidak memberikan kontribusisejak dini dalam proses perancangan




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko Kesalahan

• Kesalahan selama pemasukan data oleh operator

• Kesalahan selama pengembangan dan perubahanprogram

• Kesalahan yang paling signifikan terjadi selamaproses perancangan sistem

• Kesalahan dalam prosedur pemeliharaan sistemsecara berkala

• Kompleksitas komputer memberi kontibusi pentingpada terjadinya kesalahan

• Kesalahan pada modifikasi perangkat lunak paket




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko Terhentinya Bisnis

• Sistem tidak berjalan jika mengalamikerusakan atau kegagalan fungsi

• Data centre menjadi salah satu titik lemahjika tidak berfungsi, kecelakaan, ataukerusakaan akibat kejahatan

• Pengaruh kerusakan terhadap pelayanan, menghentikan sebagai atau seluruhpelayanan bank

• Diperlukan rencana darurat yang baik(DRP)




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko Pengungkapan Informasi

Jika informasi tersebut jatuh ke orang yang tidak berhakmaka bisa mengganggu hubungan nasabah, reputasibank, dan tuntutan

Informasi rahasia bisa diakses dan dibaca denganberbagai cara:

– Fasilitas-fasilitas eksplorasi melalui terminal komputer– Menggunakan program-program (perangkat lunak khusus)

untuk membaca file data– Pemindahan file komputer atau cetakan– Penyadapan saluran telekomunikasi




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Tipe Resiko Penggelapan

• Perubahan instruksi pembayaran yang tidak syah sebelumdiinput

• Transaksi yang tidak diotorisasi dimasukkan langsungmelalui terminal komputer

• Perubahan program yang bisa membuat transaksi gelapsecara otomatis

• Program khusus untuk mem-by pass pengendalian danfasilitas jejak audit

• File komputer dapat dipindahkan, dirubah dandikembalikan untuk diproses lebh lanjut

• Transaksi dapat diketahui atau dicegat dan dirubah padasaat transmisi




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Model Penilaian

PengukuranResiko

PengukuranResiko

Tipe dan Jenis Resiko

Peluang / frekuensikejadian

Fasilitas keamanan danpengendalian

Estimasi dampak jikaresiko terjadi




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Statistik/KuantitatifModel Penilaian

Annual Loss Expectancy

Resiko A : Kebakaran Gedung

Peluang : 1 kali dalam 10 tahunTotal kerugian : Rp 1 MilyarALE : Rp 1 milyar x 1/10

= Rp 100 juta

Resiko B : Kesalahan data entry

Peluang : 1000 per tahunTotal kerugian : Rp 250 000 per kesalahan

(rata-rata) ALE : Rp 250 000 x 1000

= Rp 250 juta




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Model Penilaian Statistik/Kuantitatif

Resiko = f(Ancaman, kelemahan sistem,dampak)

Bentuk Hubungan1. Resiko = Ancaman + kelemahan sistem + dampak

2. Resiko = Ancaman x kelemahan sistem x dampak

3. Klasifikasi Silang :

Tinggi

Cukup

Rendah

Kelemahan SistemTinggi Cukup Rendah

ResikoTinggi

Anc

aman




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI



Skala Pengukuran Klasifikasi Indikator

2

1

3

0

Beresiko Tinggi

Cukup Beresiko

Kurang Beresiko

Tidak Beresiko

?

YaTidak

BeresikoTidak Beresiko

1.

2.

?

0% 25% 50% 75% 100%

Tidak Beresiko Beresiko Tinggi

3.

?




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI



Contoh indikator penilaian ancaman kesalahaninput data pada sistem aplikasi tabungan

Kesalahan input sangat sering terjadi karena bank relatif barumembeli dan mengimplementasikan sistem aplikasi dengansumber daya pengguna komputer yang belum ahli semuanya

3

Kesalahan input data cukup sering terjadi karena sebagian besarpengguna komputer belum trampil2

Kesalahan jarang terjadi karena sebagian besar pengguna sudahtrampil dan terbiasa menggunakan sistem yang sudah lama dipakai di bank

1

Kesalahan input data tidasak pernah terjadi(Catratan: Situasi hipotesis yang relatif tidak pernah terjadi)0




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI



Contoh indikator penilaian kelemahan sistem yang relevan dengan ancaman pada tabel 1

Sistem sangat lemah karena tidak menerapkan semuateknik pengendalian aplikasi

3

Sistem cukup lemah karena sebagian besar teknikpengendalian aplikasi tidak diterapkan

2

Sistem sedikit memiliki kelemahan karena ada teknikpengendalian aplikasi yang belum diterapkan

1

Sistem tidak memiliki kelemahan karena sudahmenerapkan semua teknik pengendalian aplikasi yang bisa menjamin ketepatan dan keakuratan input data

0




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Model Penilaian Kualitatif

Tinggi

PENGENDALIANKesalahandata entry

PENGENDALIANKesalahandata entry

DIABAIKANOtorisasi

transaksi kecil

DIABAIKANOtorisasi

transaksi kecil

PENCEGAHANPENCEGAHANASURANSIKebakaran(Gedung)

ASURANSIKebakaran(Gedung)

PELUANG

DA

MPA

K

Tinggi

Rendah

Rendah




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Model Penilaian Kualitatif

• Pencegahan (prevent) jika peluang dan dampak dinilai tinggi. Contohnya adalah menghindari penempatan barang-barangmudah terbakar di ruang data centre

• Pengendalian (control) jika peluang tinggi tetapi dampaknyarendah. Contohnya pengendalian dalam bentuk programmed edit check untuk mengurangi kesalahan input data

• Asuransi jika peluang rendah tetapi dampaknya tinggi. Contohnya adalah mengasurnasikan gedung beserta isinyaterhadap bahaya kebakaran atau kerusuhan

• Diabaikan jika peluamg dan dampaknya dinilai rendah. Contohnya adalah tidak perlu melakukan proses otorisasibertingkat terhadap transaksi penarikan tabungan yang tergolong kecil, misalnya dibawah Rp 50 000




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Proses Penilaian Resiko

Identikasi objek (asset)yang akan dilindungi

Identikasi objek (asset)yang akan dilindungi

Penentuan ancamanyang dihadapi

Penentuan ancamanyang dihadapi

Menetapkan peluang kejadianMenetapkan peluang kejadian

Menghitung besarnya dampakdan kelemahan sistem

Menghitung besarnya dampakdan kelemahan sistem

Menilai alat-alat pengamanan yang adaMenilai alat-alat pengamanan yang ada

Rekomendasi dan implementasiRekomendasi dan implementasi




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Penetapan tipe resikoPenetapan tipe resiko

Untuk setiap tipe resiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Untuk setiap tipe resiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Hitung skor resiko: Resiko = ancaman x kelemahan x dampakHitung skor resiko:

Resiko = ancaman x kelemahan x dampak

Urutkan resiko berdasarkan skorUrutkan resiko berdasarkan skor

Kaji ulang dan penyesuaian jika diperlukanKaji ulang dan penyesuaian jika diperlukan

Buat rencana audit dengan prioritas resikoBuat rencana audit dengan prioritas resiko

Kaji ulang rencana dan penyesuaiannyaKaji ulang rencana dan penyesuaiannya

Laksanakan AuditLaksanakan Audit

Peny

egar

anPe

riod

ik

Informasidari luar

Informasidari organisasi

resiko terurut

hubungan denganmanajemen

Rencana auditprioritas

hubungan denganmanajemen

Aku

mul

asib

asis

peng

etah

uan

audi

tor




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Proses

Identifikasi Spesifikasi SystemIdentifikasi Spesifikasi System

Penilaian Kompleksitas TSIPenilaian Kompleksitas TSI

FormulirIsian TSI

Model Pengukuran

Klasifikasi Bankberdasarkan resiko

Pemeriksaan

Penilaian Resiko pra PemeriksaanPenilaian Resiko pra Pemeriksaan

KapasitasBank

Pemeriksaan arround the computerPemeriksaan arround the computer

Pemeriksaan through the computerPemeriksaan through the computer

Pemeriksaan KeuanganPemeriksaan Keuangan

Kelemahan dankesalahan Sistem

Lembar Kerja

URSIT

FISCAM

UFIRS

Acuan (USA)

Lembar Kerja




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Isian TSI

I. Informasi UmumII. 1. Informasi aplikasi sudah operasional

2. Informasi aplikasi dalam pengembanganIII. 1. Informasi struktur organisasi

2. Informasi personalia TSI3. Informasi audit TSI4. Informasi rencana

IV. 1. Informasi Perangkat keras2. Informasi perangkat lunak3. Informasi perangkat lainnya

V. Informasi Komunikasi DataVI. Informasi DRPVII. Informasi ATM/CardcentreVIII. Informasi penyelenggaraan TSI oleh pihak lainIX. Informasi penyalahgunaan/kejahatan TSI




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Isian TSI Informasi Perangkat Keras

Merek danModel Mesin

TanggalInstall

OperatingSystem

SecuritySoftware

DatabaseSoftware

NetworkTelecomm.Software

PembiayaanSewa Beli Lain2

1. Mainframe(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

2. Mini(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

3. Micro (PC/Stand Alone)(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

4. Micro (PC/LAN)JARINGAN MERK&MODEL TGL INSTALL- Jaringan 1

………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .

- Jaringan 2………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Model Kompleksitas TSI

Integrasi Sistem

Platform Hardware

Hub

unga

n

Med

ia K

omda

tOn Line/CentralizedOn Line/CombinationOn Line/DistributedOff Line

MainframeMinicomputerPC LANPC Stand Alone

VSATLeased Line

Dial UpTidak ada

Full IntegratedFIS + Deposit ApplicationDeposit Applicationsatu aplikasi

Kompleksitas TSI




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Kerja Pemeriksaan Arround The Computer

• Pengendalian Umum TSI (34)• Audit Intern TSI (20)• Pengembangan Sistem (35)• Disaster and Recovery Plan (13)• Pengamanan Sistem Informasi (16)• Pengamanan Pelayanan Jasa Perbankan

Elektronis (22)• Pengamanan Jaringan Komunikasi Data (23)• Penggunaan Microcomputer oleh

end users (19)• Evaluasi Pembelian Perangkat Lunak (21)• Kontrak TSI dengan Pihak Lain (6)




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Kerja Pemeriksaan Arround The Computer

Contoh:

• Apakah kebijaksanaan pengamanan penggunaanaplikasi telah memperhatikan prinsip-prinsip umumkontrol aplikasi yang meliputi :

• Pemisahaan tugas …….antara … pengguna, • operasi, dan pengembangan Y/T• Penggunaan … hanya …. yang berwenang Y/T• Menjamin …. data … telah divalidasi Y/T• Menjamin … data yang ditransfer benar dan• lengkap Y/T• Tersedianya jejak audit yang memadai serta• penelaahan oleh pihak yang berwenang Y/T• Tersedianya prosedur restart dan recovery Y/T




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Kerja Pemeriksaan Through The Computer

Application Program

Operating System

Hardware

CommunicationControl Program

DatabaseManagement

System

Infrastructure(power, teleccomunication, etc)

User Profile

Target Pemeriksaan




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Lembar Kerja Pemeriksaan Through The Computer

Transaction Worksheet

System :Sub System :Transaction :

A. Input Control ?B. Processing Control ?C. Error Correction ?D. Output Control ?E. End Documentation ?F. Authorization ?G. Security ?H. Separation of Duties ?I. File Maintenance ?




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Klasifikasi Resiko

Kom

plek

sita

s Tinggi

Cukup

Rendah

Aset/Volume TransaksiTinggi Cukup Rendah

Tinggi Cukup Rendah

Pemeriksaan TSIPemeriksaan TSI

Kelemahan TSITinggi Cukup Rendah

Tinggi

Cukup

Rendah




AncamanKelemahan

Dampak


Model Model

ProsesProses


TSITSI


Uniform Rating System for Information Technology (URSIT)

Komponen Kritis:1. Audit2. Management3. Development&Acquisition4. Support&Delivery

Component Rating:• 1 • 2• 3• 4• 5

Composite Ratings:• Composite 1 • Composite 2• Composite 3• Composite 4• Composite 5

Strong Performance in every respect and generally have components rated 1 or 2

Critically deficient operating performance and are in need of immediate remedial action

Documents

Penilaian resiko dan Proses Pemeriksaan TSIaurelio.staff.gunadarma.ac.id/Downloads/files/50962/TSI_bank_2.pdf · Penilaian resiko dan Proses Pemeriksaan TSI Tipe Resiko Kesalahan