Kamis, 06 Januari 2011

Audit teknologi informasi

Teknologi informasi yang audit, atau audit sistem informasi, merupakan pemeriksaan kontrol dalam suatu teknologi informasi (TI) infrastruktur . The evaluation of obtained evidence determines if the information systems are safeguarding assets, maintaining data integrity , and operating effectively to achieve the organization's goals or objectives. Evaluasi bukti yang diperoleh menentukan apakah sistem informasi menjaga aset, memelihara integritas data , dan beroperasi secara efektif untuk mencapai tujuan organisasi atau tujuan. These reviews may be performed in conjunction with a financial statement audit , internal audit , or other form of attestation engagement. Review ini dapat dilakukan bersamaan dengan audit laporan keuangan , audit internal , atau bentuk lain dari keterlibatan atestasi.

IT audits are also known as automated data processing (ADP) audits and computer audits. IT audit juga dikenal sebagai pengolahan data otomatis audit (ADP) dan audit komputer. They were formerly called electronic data processing (EDP) audits. Mereka sebelumnya disebut pengolahan data elektronik (EDP) audit.

Tujuan
This section does not cite any references or sources . Bagian ini tidak mengutip manapun acuan atau sumber .
Please help improve this article by adding citations to reliable sources . Silakan bantu memperbaiki artikel ini dengan menambahkan kutipan ke sumber terpercaya . Unsourced material may be challenged and removed . (January 2010) Disertai rujukan bahan mungkin ditantang dan dihapus . (Januari 2010)

An IT audit is different from a financial statement audit . Audit IT berbeda dari audit laporan keuangan . While a financial audit's purpose is to evaluate whether an organization is adhering to standard accounting practices , the purposes of an IT audit are to evaluate the system's internal control design and effectiveness. Sementara itu audit keuangan tujuan adalah untuk mengevaluasi apakah suatu organisasi adalah mengikuti standar praktik akuntansi , tujuan audit TI adalah untuk mengevaluasi sistem pengendalian internal dan efektivitas desain. This includes but is not limited to efficiency and security protocols, development processes, and IT governance or oversight. Ini termasuk namun tidak terbatas pada protokol efisiensi dan keamanan, proses pembangunan, dan pengelolaan TI atau pengawasan. The goal is to evaluate the organization's ability to protect its information assets and properly dispense information to authorized parties. Tujuannya adalah untuk mengevaluasi kemampuan organisasi untuk melindungi aset informasi dan baik membagikan informasi kepada pihak berwenang. The IT audit's agenda may be summarized by the following questions: Agenda IT audit dapat diringkas oleh pertanyaan-pertanyaan berikut:

* Will the organization's computer systems be available for the business at all times when required? Apakah sistem komputer organisasi akan tersedia untuk bisnis di sepanjang waktu bila diperlukan? ( Availability ) (Ketersediaan)
* Will the information in the systems be disclosed only to authorized users? Apakah informasi dalam sistem hanya dapat diungkapkan kepada pengguna resmi? ( Confidentiality ) (Kerahasiaan)
* Will the information provided by the system always be accurate, reliable, and timely? Apakah informasi yang disediakan oleh sistem selalu akurat, handal, dan tepat waktu? ( Integrity ) (Integritas)

The IT audit focuses on determining risks that are relevant to information assets, and in assessing controls in order to reduce or mitigate these risks. Audit TI berfokus pada menentukan risiko yang relevan dengan aset informasi, dan dalam menilai kontrol dalam rangka mengurangi atau mengurangi risiko ini. By implementing controls, the effect of risks can be minimized, but it cannot completely eliminate all risks. Dengan menerapkan kontrol, pengaruh risiko dapat diminimalkan, tetapi tidak dapat sepenuhnya menghilangkan semua risiko.
[ edit ] Types of IT audits [ sunting ] Jenis IT audit

Various authorities have created differing taxonomies to distinguish the various types of IT audits. Berbagai pihak berwenang telah menciptakan berbeda taksonomi untuk membedakan berbagai jenis audit TI. Goodman & Lawless state that there are three specific systematic approaches to carry out an IT audit [ 1 ] : Goodman & Lawless menyatakan bahwa ada tiga pendekatan sistematis khusus untuk melaksanakan audit TI [1] :

* Technological innovation process audit . Inovasi teknologi proses audit. This audit constructs a risk profile for existing and new projects. Audit ini membangun sebuah profil risiko untuk proyek-proyek yang ada dan baru. The audit will assess the length and depth of the company's experience in its chosen technologies, as well as its presence in relevant markets, the organization of each project, and the structure of the portion of the industry that deals with this project or product, organization and industry structure. Audit akan menilai panjang dan kedalaman pengalaman perusahaan dalam teknologi yang dipilih, serta kehadirannya di pasar yang relevan, organisasi setiap proyek, dan struktur porsi industri yang berkaitan dengan proyek atau produk, organisasi dan struktur industri.
* Innovative comparison audit . Inovatif perbandingan audit. This audit is an analysis of the innovative abilities of the company being audited, in comparison to its competitors. Audit ini merupakan analisis dari kemampuan inovatif dari perusahaan yang diaudit, dibandingkan dengan pesaingnya. This requires examination of company's research and development facilities, as well as its track record in actually producing new products. Hal ini memerlukan pemeriksaan perusahaan riset dan fasilitas pembangunan, serta track record dalam sebenarnya memproduksi produk-produk baru.
* Technological position audit : This audit reviews the technologies that the business currently has and that it needs to add. Teknologi audit Posisi: Audit ini review teknologi yang saat ini memiliki bisnis dan yang perlu ditambahkan. Technologies are characterized as being either "base", "key", "pacing", or "emerging". Teknologi ditandai sebagai baik "dasar", "kunci", "mondar-mandir", atau "muncul".

Others describe the spectrum of IT audits with five categories of audits: Lain menggambarkan spektrum IT audit dengan lima kategori audit:

* Systems and Applications : An audit to verify that systems and applications are appropriate, are efficient, and are adequately controlled to ensure valid, reliable, timely, and secure input, processing, and output at all levels of a system's activity. Sistem dan Aplikasi: Suatu audit untuk memverifikasi bahwa sistem dan aplikasi yang tepat, efisien, dan cukup dikendalikan untuk memastikan, handal, tepat waktu, dan aman masukan yang valid, pengolahan, dan output di semua tingkat sistem kerja seorang.
* Information Processing Facilities : An audit to verify that the processing facility is controlled to ensure timely, accurate, and efficient processing of applications under normal and potentially disruptive conditions. Informasi Fasilitas Pengolahan: Suatu audit untuk memverifikasi bahwa fasilitas pengolahan dikendalikan untuk memastikan, akurat, tepat waktu dan efisien pengolahan aplikasi di bawah dan berpotensi mengganggu kondisi normal.
* Systems Development : An audit to verify that the systems under development meet the objectives of the organization, and to ensure that the systems are developed in accordance with generally accepted standards for systems development . Pengembangan Sistem: Suatu audit untuk memverifikasi bahwa sistem dalam pengembangan mencapai tujuan organisasi, dan untuk memastikan bahwa sistem dikembangkan sesuai dengan standar yang berlaku umum untuk pengembangan sistem .
* Management of IT and Enterprise Architecture : An audit to verify that IT management has developed an organizational structure and procedures to ensure a controlled and efficient environment for information processing . Pengelolaan IT dan Enterprise Architecture: Suatu audit untuk memastikan bahwa manajemen TI telah mengembangkan struktur organisasi dan prosedur untuk memastikan lingkungan yang terkendali dan efisien untuk pengolahan informasi .
* Client/Server, Telecommunications , Intranets, and Extranets : An audit to verify that controls are in place on the client (computer receiving services), server, and on the network connecting the clients and servers. Client / Server, Telekomunikasi , Intranet, dan Ekstranet: Suatu audit untuk memverifikasi bahwa kontrol berada di tempat pada klien (komputer layanan penerimaan), server, dan pada jaringan yang menghubungkan klien dan server.

And some lump all IT audits as being one of only two type: " general control review " audits or " application control review " audits. Dan beberapa benjol semua audit TI sebagai salah satu dari hanya dua jenis: "tinjauan umum kontrol" audit atau "aplikasi kontrol review" audit.

A number of IT Audit professionals from the Information Assurance realm consider there to be three fundamental types of controls regardless of the type of audit to be performed, especially in the IT realm. Sejumlah profesional IT Audit dari Assurance Informasi dunia menganggap ada menjadi tiga jenis dasar dari kontrol terlepas dari jenis audit yang akan dilakukan, terutama di bidang TI kerajaan. Many frameworks and standards try to break controls into different disciplines or arenas, terming them “Security Controls“, ”Access Controls“, “IA Controls” in an effort to define the types of controls involved. Banyak kerangka kerja dan standar mencoba mendobrak kontrol ke dalam disiplin ilmu yang berbeda atau arena, terming mereka "Keamanan Kontrol", "Akses Kontrol", "IA Kontrol" dalam upaya untuk menentukan jenis kontrol yang terlibat. At a more fundamental level, these controls can be shown to consist of three types of fundamental controls: Protective/Preventative Controls, Detective Controls and Reactive/Corrective Controls. Pada tingkat yang lebih mendasar, kontrol ini dapat ditampilkan terdiri dari tiga jenis kontrol fundamental: pelindung / pencegahan Controls, Detektif Kontrol dan reaktif / korektif Kontrol. it is itu
[ edit ] IT Audit Process [ sunting ] Audit TI Proses
Main article: Information Technology Audit Process Artikel utama: Teknologi Informasi Proses Audit

The following are basic steps in performing the Information Technology Audit Process: Berikut ini adalah langkah-langkah dasar dalam melakukan Audit Teknologi Informasi Proses:

1. Planning Perencanaan
2. Studying and Evaluating Controls Mempelajari dan Mengevaluasi Kontrol
3. Testing and Evaluating Controls Pengujian dan Kontrol Mengevaluasi
4. Reporting Pelaporan
5. Follow-up Tindak lanjut

Main article: Auditing information security Artikel utama: Audit keamanan informasi

Auditing information security is a vital part of any IT audit and is often understood to be the primary purpose of an IT Audit. Audit keamanan informasi merupakan bagian penting dari IT audit dan sering dipahami sebagai tujuan utama dari IT Audit. The broad scope of auditing information security includes such topics as data centers (the physical security of data centers and the logical security of databases, servers and network infrastructure components), [ 2 ] networks and application security . Ruang lingkup yang luas dari audit keamanan informasi mencakup topik-topik seperti pusat data (keamanan fisik pusat data dan keamanan logis dari database, server dan infrastruktur komponen jaringan), [2] jaringan dan keamanan aplikasi . Like most technical realms, these topics are always evolving; IT auditors must constantly continue to expand their knowledge and understanding of the systems and environment& pursuit in system company. Seperti alam teknis yang paling, ini topik yang selalu berkembang; IT auditor harus selalu terus memperluas pengetahuan dan pemahaman tentang sistem dan lingkungan & mengejar sistem di perusahaan.

A number of training and certification organizations have evolved. Sejumlah organisasi pelatihan dan sertifikasi telah berevolusi. Currently, the major certifying bodies in the field are the Institute of Internal Auditors (IIA), [ 3 ] the SANS Institute (specifically, the audit specific branch of SANS and GIAC) [ 4 ] and ISACA. [ 5 ] While CPAs and other traditional auditors can be engaged for IT Audits, organizations are well advised to require that individuals with some type of IT specific audit certification are employed when validating the controls surrounding IT systems. [ citation needed ] Saat ini, badan sertifikasi utama di lapangan adalah Institute of Internal Auditor (IIA), [3] Institut SANS (khususnya, cabang khusus audit SANS dan Giac) [4] dan ISACA. [5] Sementara CPA dan lainnya auditor tradisional dapat bergerak untuk IT Audit, organisasi baik disarankan untuk mengharuskan individu dengan beberapa jenis sertifikasi IT audit tertentu dipekerjakan saat memvalidasi kontrol sistem IT sekitarnya. [ rujukan? ]
Main article: History of information technology auditing Artikel utama: Sejarah teknologi informasi audit

The concept of IT auditing was formed in the mid-1960s. Konsep audit TI dibentuk pada pertengahan tahun 1960-an. Since that time, IT auditing has gone through numerous changes, largely due to advances in technology and the incorporation of technology into business. Sejak saat itu, audit TI telah melalui banyak perubahan, terutama disebabkan oleh kemajuan teknologi dan penggabungan teknologi ke bisnis.

Several information technology audit related laws and regulations have been introduced in the United States since 1977. Beberapa informasi terkait teknologi audit hukum dan peraturan telah diperkenalkan di Amerika Serikat sejak tahun 1977. These include the Gramm-Leach-Bliley Act , the Sarbanes-Oxley Act , the Health Insurance Portability and Accountability Act , Part 11 , the London Stock Exchange Combined Code, King II , and the Foreign Corrupt Practices Act . Ini termasuk -Leach-Bliley Gramm , yang -Oxley Act Sarbanes , dari Asuransi Kesehatan Portabilitas dan Akuntabilitas UU , Bagian 11 , di Bursa Efek London Gabungan Kode, Raja II , dan Foreign Corrupt Practices Act .

In the European Union, Directive 95/46/EC on the protection of personal data exists primarily to ensure the protection of the privacy of individuals in regards to digital information. Di Uni Eropa, Instruksi 95/46/EC tentang perlindungan data pribadi yang ada terutama untuk memastikan perlindungan privasi individu dalam hal informasi digital.

As the field is relatively young, not all jurisdictions have fixed standards for evaluating the qualifications of IT audit personnel. Seperti lapangan adalah relatif muda, tidak semua yurisdiksi memiliki tetap standar untuk mengevaluasi kualifikasi personil IT audit. Since auditors will be responsible for evaluating the controls affecting the recording and safekeeping of assets , it is recommended that IT personnel have detailed knowledge regarding information systems with a general understanding of accounting principles. Karena auditor akan bertanggung jawab untuk mengevaluasi kontrol mempengaruhi pencatatan dan penyimpanan aktiva , dianjurkan bahwa TI personil memiliki pengetahuan rinci mengenai sistem informasi dengan pemahaman umum tentang akuntansi prinsip.

In the United States, usually it is considered desirable that IT audit personnel have received or qualify to receive the Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), GIAC Certified System and Network Auditor (GSNA), Certified Information Systems Security Professional (CISSP), Certified Public Accountant (CPA), Diploma in Information System Audit (DISA from the Institute of Chartered Accountants of India (ICAI-India)(ICAI)) and Certification and Accreditation Professional (CAP) credentials. Di Amerika Serikat, biasanya dianggap diharapkan bahwa personil IT audit telah diterima atau memenuhi syarat untuk menerima Sistem Informasi Certified Auditor (CISA), Certified Internal Auditor (CIA), Certified Giac Sistem dan Jaringan Auditor (GSNA), Certified Keamanan Sistem Informasi Professional (CISSP), Bersertifikat Akuntan Publik (CPA), Diploma Audit Sistem Informasi (DISA dari Institute of Chartered Accountants of India (ICAI-India) (ICAI)) dan Sertifikasi dan Akreditasi Profesional (CAP) kredensial. The CISM and CAP credentials are the two newest security auditing credentials, offered by the ISACA and ISC2, respectively. Para CISM dan kredensial CAP adalah dua kredensial terbaru audit keamanan, yang ditawarkan oleh ISACA dan ISC2, masing-masing. Strictly speaking, only the CISA or GSNA title would sufficiently demonstrate competences regarding both information technology and audit aspects with the CISA being more audit focused and the GSNA being more information technology focused. [ 6 ] Tepatnya, hanya CISA atau judul GSNA cukup akan menunjukkan kompetensi tentang baik teknologi informasi dan aspek audit dengan audit CISA yang lebih terfokus dan GSNA menjadi teknologi informasi lebih terfokus. [6]

Outside of the US, various credentials exist. Di luar Amerika Serikat, berbagai kredensial ada. For example, the Netherlands has the RE credential (as granted by the NOREA (Dutch site) IT-auditors' association), which among others requires a post-graduate IT-audit education from an accredited university , subscription to a Code of Ethics, and adherence to strict continuous education requirements. Sebagai contoh, Belanda memiliki credential RE (seperti yang diberikan oleh NOREA (situs Belanda) TI-'asosiasi auditor), yang antara lain memerlukan pasca sarjana-audit pendidikan TI dari terakreditasi universitas , berlangganan Kode Etik, dan kepatuhan terhadap persyaratan ketat pendidikan berkelanjutan.

Isu yang Muncul

Technology changes rapidly and so do the issues that IT auditors face. Teknologi berubah dengan cepat dan begitu juga masalah yang dihadapi auditor TI. Some emerging issues include biometric retinal scans , changes in physical security, and transmitting data from cell phones . Beberapa masalah yang muncul meliputi biometrik scan retina , perubahan keamanan fisik, dan transmisi data dari ponsel .

There are also new audits being imposed by various standard boards which are required to be performed, depending upon your organization, which will affect IT and ensure that IT departments are performing certain functions and controls appropriately to be considered compliant. Ada juga audit baru yang dikenakan oleh papan berbagai standar yang perlu dilakukan, tergantung pada organisasi Anda, yang akan mempengaruhi IT dan memastikan bahwa departemen TI melakukan fungsi-fungsi tertentu dan kontrol tepat untuk dipertimbangkan sesuai. An example of such an audit is the newly minted SSAE 16 . Salah satu contoh seperti audit adalah baru dicetak SSAE 16

4 komentar: