Rabu, 23 Oktober 2019

Standar dan Panduan ISACA, IIA COSO, ISO 1799

ISACA
ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.
ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.
Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:
  1. Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait
  2. Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)
  3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan
  4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets
  5. Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir
Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:
  1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA
  2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA
  3. Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit
  4. Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA
Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.
Ada 6 area/topik dalam ujian CISA
  1. Information systems audit process (sekitar 10% dari total jumlah soal)
  2. Information systems governance (15%)
  3. Systems and infrastructure life cycle management (16%)
  4. Information technology service delivery and support (14%)
  5. Protection of information assets (31%)
  6. Business continuity and disaster recovery (14%)
Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian saja. Ada juga beberapa persyaratan lainnya:
  1. Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)
  2. Mematuhi ISACA Code of Professional Ethics
  3. Menjalankan IS Auditing Standards yang dikeluarkan ISACA
  4. Ikut program CPE (Continuing Professional Education)

IIA COSO

Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi standar di seluruh dunia untuk membangun pengendalian internal. The Committee of Sponsoring Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :
• Financial Executives International (FEI)
• the American Accounting Association (AAA)
• the American Institute of Certified Public Accountants (AICPA)
• the Institute of Internal Auditors (IIA)
• the Institute of Management Accountants (IMA) (formerly the National Association of Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka. COSO 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.
1. Lingkungan Pengendalian (Control Environment)
Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi landasan terselenggaranya pengendalian internal di dalam organisasi secara menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya pengendalian internal dan standar perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi. Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi; parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian berdampak luas terhadap sistem pengendalian internal secara keseluruhan.
2. Penilaian Risiko (Risk Assessment)
Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa diidentifikasi dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan menajemen untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.
3. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakan arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis, manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.
4. Informasi dan komunikasi (information and communication)
Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan. . Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk mendukung komponen-komponen pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana yang dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.
5. Kegiatan Pemantauan (Monitoring Activites)
Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan ini dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendlaian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic, bervariasi lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.
ISO1799
ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:
- pengorganisasian keamanan informasi;
- manajemen aset;
- keamanan sumder daya manusia;
- keamanan fisik dan lingkungan;
- komunikasi dan manajemen operasi;
- kontrol akses;
- akuisisi sistem informasi, pengembangan dan pemeliharaan;
- manajemen insiden keamanan informasi;
- manajemen kontinuitas bisnis
- pemenuhan.
Referensi:
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)