KELOMPOK 6

*M. Riza Hafiz107093002874

*Doddy Indra P 107093002905

*Rhendy Akbar H 107093002942

*Ahmad Lutfi 107093002892

*Meza Strata 107093000284

*Annisa Nur Fatihah 107093002912

*Reviona Pratiwi 107093002991

*Nurul Kartika S 107093003253

PengantarStandar ISACA berisi, prinsip-prinsip dasar wajib dan prosedur penting, diidentifikasi dalam huruf tebal (huruf hitam). Tujuan dari standar ISACA adalah untuk menetapkan standar dan memberikan panduan tentang TI kontrol.

StandarIS auditor harus mengevaluasi dan mengawasi kontrol yang merupakan bagian yang tidak terpisahkan dari lingkungan pengendalian internal organisasi. IS auditor harus membantu manajemen dengan memberikan saran mengenai, pelaksanaan operasi, dan peningkatan kontrol TI.

Komentar• Manajemen menjawab atas lingkungan pengendalian internal organisasi termasuk TI kontrol.

• COBIT mendefinisikan kontrol sebagai 'kebijakan, prosedur, praktek dan struktur organisasi, yang dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis akan tercapai dan bahwa peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi '.

S15 TI Kontrol

• TI kontrol terdiri dari umum TI kontrol, yang mencakup luas kontrol TI, TI rinci kontrol dan

pengendalian aplikasi, pelaksanaan pengiriman akuisisi, dan dukungan sistem TI dan jasa.

• Kontrol Aplikasi adalah seperangkat kontrol tertanam dalam aplikasi.

• TI kontrol umum adalah TI kontrol yang dirancang untuk mengelola dan memantau

lingkungan TI, oleh karena itu mempengaruhi semua kegiatan IT yang terkait. Merupakan

bagian dari kontrol umum, yang fokus pada pengelolaan dan pemantauan TI.

• Detil TI kontrol terdiri dari pengendalian aplikasi TI yang umum.

• IS auditor harus menggunakan teknik penilaian risiko yang tepat dalam mengembangkan

keseluruhan rencana audit dan menentukan prioritas untuk alokasi sumber daya efektif

untuk memberikan kepastian mengenai keadaan kontrol TI proses.

• IS auditor harus mempertimbangkan penggunaan teknik analisis data termasuk

penggunaan penjaminan berkelanjutan, yang memungkinkan IS auditor untuk memonitor

keandalan sistem secara berkesinambungan dan untuk mengumpulkan bukti audit selektif

melalui komputer saat

meninjau TI kontrol.

• Ketika organisasi menggunakan pihak ketiga, IS auditor harus mengevaluasi peran yang

dilakukan pihak ketiga sehubungan dengan lingkungan TI, terkait kontrol dan tujuan TI.

S16 E-Commerce

PengantarStandar ISACA berisi prinsip-prinsip dasar wajib dan prosedur penting, diidentifikasi dalam huruf tebal (huruf hitam), bersama dengan petunjuk terkait. Tujuan dari standar ISACA adalah untuk menetapkan standar dan memberikan panduan tentang review dari e-commerce lingkungan.

StandarIS auditor harus mengevaluasi kontrol yang berlaku dan menilai risiko ketika meninjau lingkungan untuk memastikan bahwa transaksi e-commerce diawasi dengan benar.

Komentar• IS auditor harus menggunakan teknik penilaian risiko yang tepat atau pendekatan dalam

mengembangkan keseluruhan rencana audit IS harus meliputi cakupan lingkungan e-commerce.

• IS auditor harus mempertimbangkan penggunaan teknik analisis data termasuk penggunaan penjaminan berkelanjutan, yang memungkinkan IS auditor untuk memonitor keandalan sistem secara berkesinambungan dan untuk mengumpulkan bukti audit selektif melalui komputer ketika meninjau kegiatan perdagangan.

• IS auditor harus memahami sifat dan kekritisan dari proses bisnis yang didukung oleh aplikasi e-commerce sebelum dimulai audit sehingga hasilnya dapat dievaluasi dalam konteks yang tepat.

G34 (Tanggung Jawab, Wewenang dan Pertanggungjawaban) Tujuan Pedoman ini Pedoman ini memberikan panduan dalam menerapkan Standar S1 IS Audit Audit Charter dan S3 Profesional Etika dan Standar. IS auditor harus mempertimbangkan pedoman ini dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun. IS IT auditor memberikan teknis keterampilan dan keahlian untuk audit fungsi, apakah eksternal atau internal terdapat kebutuhan yang terus meningkat untuk mempertahankan tingkat yang memadai keterampilan dan pengetahuan dalam bidang TI sebagai kecanggihan teknologi dalam meningkatkan lingkungan keuangan dan operasional. Standar audit ISACA IS dan COBIT dengan jelas menekankan bahwa audit charter akurat harus menetapkan IS auditor tanggung jawab, wewenang dan tanggung jawab untuk melakukan audit.

TANGGUNG JAWABTanggung Jawab Untuk Profesi

* IS auditor harus bersifat langsung, jujur dan tulus dalam pendekatannya untuk bekerja secara profesional.

* IS auditor harus independen dari auditee dalam sikap dan penampilan.

* IS auditor harus mematuhi kode etik profesi yang ditentukan oleh masing-masing badan-badan profesional

* IS auditor harus melakukan kegiatan sesuai dengan standar auditing yang berlaku dan praktik audit yang berlaku umum yang berlaku untuk profesi IS audit.

* IS auditor harus menjunjung tinggi martabat profesi setiap saat.

* IS auditor harus memenuhi persyaratan peraturan dan perundang-undangan yang berlaku.

* IS auditor harus memiliki pengetahuan yang diperlukan, kompetensi dan keterampilan untuk melakukan tugas diterima.

* IS auditor harus mengawasi semua staf audit ditugaskan untuk IS audit, menjamin kualitas, sesuai dengan standar yang berlaku dan memfasilitasi pengembangan staf.

* IS auditor harus memperoleh dan mempertahankan bukti audit yang kompeten dan memadai untuk mendukung kesimpulan dan rekomendasi.

Tanggung Jawab Kepada Stakeholder

* IS auditor harus melayani kepentingan pemangku kepentingan dalam dan jujur dengan cara sah

* IS auditor harus mengungkapkan semua bahan kasus atau peristiwa yang memiliki kaitan langsung pada stakeholder yang berkepentingan.

* IS auditor harus mengungkapkan bagian-bagian yang benar pada urusan daerah di bawah audit, sesuai ruang lingkup dan tujuan penugasan.

* IS auditor harus menghindari salah saji atau pernyataan ambigu atau pun pernyataan yang mengarah ke interpretasi bervariasi (dalam laporan)

* IS auditor harus mengungkapkan kasus kehilangan kemerdekaan, jika ada, selama pelaksanaan audit.

Tanggung Jawab Undang dan Peraturan

* IS auditor harus tetap sejajar dengan, aturan-aturan hukum dan peraturan yang berlaku.

* IS auditor harus meninjau kepatuhan terhadap hukum perundang-undangan yang berlaku, aturan, peraturan dan kontrak, serta jika diperlukan mencari panduan hukum.

* IS auditor harus mengungkapkan informasi yang disyaratkan oleh hukum serta jika perlu dengan persetujuan auditee

* IS auditor harus menggunakan alat lisensi dan perangkat lunak dalam melakukan tugas audit.

WEWENANG

Hak IS Auditor

* IS auditor mempunyai hak untuk memiliki surat pertunangan atau piagam audit menentukan ruang lingkup, tujuan dan kerangka acuan audit.

* IS auditor memiliki hak untuk mengakses informasi yang tepat dan sumber daya untuk secara efektif dan efisien menyelesaikan audit.

* IS auditor memiliki hak untuk percaya bahwa manajemen telah membentuk kontrol yang tepat untuk mencegah dan mendeteksi kecurangan, kecuali tes dan evaluasi dijalankan oleh IS auditor membuktikan sebaliknya.

* IS auditor memiliki hak untuk melihat informasi dan penjelasan dianggap perlu dan sesuai untuk memungkinkan penyelesaian Tujuan dari audit.

* IS auditor memiliki hak untuk mempertahankan file kerja, dokumen, bukti audit, dan lainnya yang diperoleh selama audit yang mana untuk mendukung hasilnya dan menggunakan yang sama sebagai dasar acuan dalam hal dari setiap isu atau kontradiksi.

PERTANGGUNGJAWABAN

Profesional Akuntabilitas

Akuntabilitas adalah tanggung jawab untuk kinerja terhadap disepakati harapan baik dinyatakan atau tersirat. Akuntabilitas dapat dibentuk melalui due profesional karena, pendekatan proaktif, transparansi dalam pelayanan, dan pelaporan / memberikan informasi yang kredibel dan tepat waktu untuk mengakui / kelompok yang bersangkutan.

IS auditor harus berhati-hati dalam mengungkapkan informasi yang diperoleh pada kelangsungan keterlibatan profesionalnya kepada orang lain (dari organisasi) yang mana tanpa persetujuan dari organisasi itu sendiri, atau selain dari yang diharuskan oleh undang-undang. IS auditor pun harus selalu melihat masalah peraturan dan undang-undang yang berlaku untuk berbagai organisasi yang telah diaudit untuk memberikan keyakinan memadai tentang kepatuhan dengan pengungkapan informasi.

Profesional Kelalaian

* IS auditor tidak boleh mengungkapkan pendapat tanpa memperoleh informasi yang memadai dan yang tidak memiliki bukti audit yang relevan berdasarkan audit praktek yang berlaku umumnya.

* IS auditor harus melaporkan kepada pihak yang tepat (berwenang) pada setiap kelangsungan materi dari prosedur, kebijakan dan hal-hal kepatuhan yang telah datang untuk memantaunya selama pelaksanaan tugas.

Pembatasan

* IS auditor tidak boleh menerima tugas jika kemerdekaannya akan terganggu atau dianggap terganggu.

* IS auditor tidak boleh mengizinkan orang yang tidak berwenang atau perusahaan untuk melakukan IS penugasan audit di namanya.

* IS auditor tidak boleh meminta bekerja profesional dengan cara adil dan tidak melakukan pembayaran komisi atau perantara untuk mendapatkan tugas profesional.

* IS auditor tidak harus mengiklankan prestasi profesional atau jasanya. Dalam mempromosikan diri sendiri dan jasa profesional mereka, IS auditor harus:

* Tidak menggunakan cara yang membawa keburukan untuk profesi

* Tidak membuat klaim berlebihan untuk layanan yang ditawarkan, kualifikasi yang dimiliki atau pengalaman yang diperoleh

* Tidak merendahkan pekerjaan IS auditor lain

* IS auditor tidak harus mencari kerja profesional dengan cara tidak etis.

G35 Tindak Lanjut Kegiatan

DefinisiSebagai suatu proses dimana mereka menentukan kecukupan, efektifitas dan ketepatan waktu

tindakan yang diambil oleh manajemen pada pengamatan keterlibatan dilaporkan dan rekomendasi, termasuk yang dibuat oleh auditor eksternal dan lain-lain.

Tujuan Pedoman ini

Tujuan dari pedoman ini adalah untuk memberikan arahan ke IS auditor terlibat dalam menindaklanjuti rekomendasi dan komentar yang dibuat dalam laporan audit. Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar S8 Tindak Lanjut Kegiatan.

Manajemen Usulan Tindakan* Sebagai bagian dari diskusi IS auditor dengan organisasi keterlibatan, IS auditor harus memperoleh

kesepakatan mengenai hasil pertunangan dan rencana aksi untuk meningkatkan operasi, sesuai kebutuhan.

* Manajemen harus menyediakan suatu implementasi / tanggal tindakan ketika setiap tindakan yang diusulkan akan selesai.

* Tindakan Ketika manajemen mengusulkan untuk menerapkan atau alamat rekomendasi dilaporkan dan komentar audit telah didiskusikan.

* Jika IS auditor dan keterlibatan organisasi tidak setuju tentang rekomendasi tertentu atau komentar audit, komunikasi mungkin keterlibatan negara baik posisi dan alasan ketidaksepakatan

* Selama beberapa review, seperti review sistem pra-implementasi aplikasi, temuan mungkin dilaporkan kepada tim proyek dan / atau manajemen secara berkelanjutan sering dalam bentuk laporan masalah.

Tindak lanjut Prosedur

* Prosedur untuk kegiatan tindak lanjut harus dibuat dan harus mencakup:a. Pencatatan kerangka waktu.b. Evaluasi tanggapan manajemen.c. Sebuah verifikasi respon. d.Tindak lanjut kerja.e. Prosedur komunikasi yang meningkat respon yang luar biasa

f. Proses untuk memberikan jaminan yang wajar asumsi manajemen risiko yang terkait.

* Suatu sistem pelacakan otomatis atau database dapat membantu dalam pelaksanaan tindak lanjut kegiatan.

* Faktor-faktor yang harus dipertimbangkan dalam menentukan tindak lanjut yang sesuai prosedur adalah: a. Setiap perubahan dalam lingkungan IS. b. Arti penting dari temuan yang dilaporkan atau rekomendasi. c. Efek yang mungkin terjadi apabila tindakan korektif gagal. d. Tingkat upaya dan biaya yang dibutuhkan. e. Kompleksitas tindakan korektif f. Jangka waktu yang terlibat

* Jika auditor bekerja di lingkungan audit internal, tanggung jawab untuk tindak lanjut harus didefinisikan dalam Piagam kegiatan audit internal tertulis.

Menunda Tindak lanjut Kegiatan

* IS auditor bertanggung jawab untuk penjadwalan kegiatan-kegiatan. Penjadwalan tindak lanjut harus didasarkan pada risiko dan eksposur yang terlibat, serta tingkat kesulitan dan waktu.

* Aktual tindak lanjut kegiatan verifikasi dapat dilakukan sebagai bagian dari keterlibatan berikutnya yang berhubungan dengan sistem yang relevan atau isu.

Bentuk Tindak Lanjut Tanggapan

* Cara yang paling efektif untuk menerima tindak lanjut tanggapan dari manajemen, adalah secara tertulis, karena hal ini membantu untuk memperkuat dan memastikan tanggung jawab pengelolaan atas tindak lanjut dan kemajuan yang dicapai.

* IS auditor dapat meminta dan / atau menerima update berkala dari manajemen untuk mengevaluasi kemajuan yang telah dilakukan dalam kaitannya dengan risiko tinggi isu-isu dan tindakan perbaikan dengan waktu yang lama.

Sifat dan Cakupan Kegiatan Tindak Lanjut

* Biasanya, auditor SI akan menindaklanjuti status dari organisasi setelah tanggal pelaksanaan yang diusulkan beberapa atau semua tindakan yang telah disepakati telah berlalu. Ini mungkin melibatkan memformat ulang laporan akhir untuk memberikan organisasi suatu daerah dalam laporan untuk mendokumentasikan rincian tindakan yang dilakukan untuk melaksanakan rekomendasi.

* Organisasi biasanya akan diberikan kerangka waktu di mana untuk merespon dengan rincian tindakan yang dilakukan untuk melaksanakan rekomendasi.

* Manajemen respon merinci tindakan yang diambil harus dievaluasi, jika mungkin, oleh auditor SI yang melakukan penelaahan asli.

* Pengujian yang sesuai atau prosedur audit yang lain harus dilakukan untuk memastikan posisi yang benar atau status sebelum menyelesaikan tindak lanjut kegiatan.

* IS auditor harus mengevaluasi apakah temuan terimplementasi masih relevan atau memiliki signifikansi yang lebih besar.

* Sebuah tindak lanjut keterlibatan mungkin harus dijadwalkan untuk memverifikasi pelaksanaan tindakan kritis / penting.

* Opini auditor sistem informasi tentang tanggapan manajemen, harus dikomunikasikan kepada tingkat manajemen yang sesuai.

KONSULTASI

Jenis Consulting Pertunangan

*Pertunangan jenis Konsultasi atau jasa dapat didefinisikan sebagai "kegiatan klien penasehat dan layanan terkait, sifat dan ruang lingkup yang telah disepakati dengan klien dan yang dimaksudkan untuk menambah nilai dan meningkatkan operasi organisasi.

* IS auditor harus memantau hasil dari keterlibatan konsultasi apabila disepakati dengan organisasi.

PELAPORAN

Pelaporan Tindak lanjut Kegiatan

*Sebuah laporan tentang status tindakan perbaikan yang telah disepakati yang timbul dari laporan audit SI, termasuk rekomendasi setuju untuk tidak dilaksanakan, harus disajikan kepada komite audit, jika telah ditetapkan, atau alternatif ke tingkat yang memadai dari manajemen organisasi.

* Jika selama keterlibatan berikutnya, auditor SI menemukan bahwa tindakan yang manajemen telah diakui sebagai "diimplementasikan" sebenarnya sudah tidak dilaksanakan, ini harus dikomunikasikan kepada manajemen senior dan komite audit jika ada yang di tempat.

*Ketika semua tindakan perbaikan yang telah disepakati telah dilaksanakan, laporan yang merinci semua dilaksanakan / tindakan diselesaikan dapat diteruskan kepada manajemen senior (atau komite audit, jika ada)

BIOMETRIK KONTROL (G36)

Kata 'Biometrik' berasal dari bahasa Yunani yaitu kata 'Bio' dan 'metrik' yang berarti 'pengukuran hidup'. Hal ini didefinisikan sebagai identifikasi otomatis atau verifikasi individu berdasarkan karakteristik fisiologis atau perilaku.

Biometrik kontrol mengacu pada penggunaan karakteristik individu fisiologis atau perilaku untuk merancang kebijakan, prosedur, praktek dan struktur organisasi yang bertujuan untuk memberikan keyakinan agar tercapainya tujuan bisnis dengan mengacu pada identifikasi dan otorisasi, dan juga mencegah sesuatu hal yang tidak diinginkan.

Fungsi-fungsi yang terdapat dalam Sistem Biometrik biasanya meliputi :- Pendaftaran- Penyimpanan Data- Akuisisi Data- Transmisi- Pemrosesan Sinyal- Keputusan

Jenis – jenis sistem Biometrik :

> Berdasarkan karakteristik fisiologis :- Fingertip

- Finger joint - Hand geometry - Retina scan - Iris recognition - Wrist veins - Knuckle creases - Face recognition - Facial thermograph

> Berdasarkan Karakteristik Pelaku :- Voice Recognation- Keystroke dynamics- Signature dynamics

> Penyimpanan Data

- Referensi template harus disimpan dalam repository dan diakses untuk memudahkan pengambilan dan perbandingan.- Penyimpanan lokal dalam perangkat pembaca biometrik memungkinkan pengaksesan referensi template lebih cepat. Namun, sistem akan memerlukan pendaftaran ulang apabila terdapat data yang rusak dan juga tidak didukung oleh adanya pem-backup-an data.- Referensi template harus disimpan pada smart card dimana pengguna membawa sampel referensi biometrik dan pengguna bertanggung jawab atas, ketersediaan kerahasiaan privasi, dan integritas dari template referensi. kartu Smart juga memiliki fitur keamanan tambahan, seperti enkripsi dan tanda tangan digital untuk lebih mengamankan perangkat. - Kerahasiaan dan integritas data yang harus harus dikelola, sehingga informasi pribadi dapat dilindungi dari akses yang tidak sah.

Resiko Sistem Biometrik umum dan PenanggulanganResiko-resiko Contoh Kemungkinan Penanggulangan

Spoofing dan serangan mimikri jari buatan digunakan pada perangkat biometrik sidik jari

Multimodal biometrik, deteksi vitalitas, otentikasi interaktif

Fake template risiko Fake template disimpan di server Enkripsi, deteksi intrusisistem (IDS), smart card

Transmisi risiko Data disadap selama transmisiselama pendaftaran atau akuisisi data

Interaktif otentikasi, penolakansinyal identik, sistemintegrasi

Cross-sistem risiko Template yang sama digunakan di berbagaiaplikasi dengan tingkat keamanan yang berbeda

Fungsi hash, algoritma pengkodean

Komponen alternasi risiko kode berbahaya, Trojan, dll integrasi Sistem, wellimplemented kebijakan keamanan

Pendaftaran, administrasi dan risiko sistem digunakan

Data diubah selama pendaftaran,administrasi atau menggunakan sistem

Well - menerapkan kebijakan keamanan

Kebisingan dan risiko kerugian daya Berkedip cahaya untuk sensor optik, mengubahsuhu atau kelembaban sidik jari

Well - menerapkan kebijakan keamanan

Daya dan risiko waktu analisis Daya analisis dan daya diferensialanalisis mengumpulkan data biometriktemplate

Noise generator, daya rendahkonsumsi chip di biometrikperangkat

Sisa risiko karakteristik Sidik jari yang tersisa di sensordisalin dengan berbagai cara

Teknologi penilaian, multimodalakses

> PROSEDUR AUDIT

- Audit Trials

- Memilih dan Mendapatkan Sistem Biometric

- Operasi dan Pemeliharaan Biometrik

- Pelatihan User dan Penerimaan- Kinerja Sistem

- Aplikasi dan Kontrol Database

> PERTIMBANGAN AUDIT

Berikut ini adalah kekhawatiran yang perlu diperhatikan ketika mempertimbangkan penggunaan biometrik :

- Kekhawatiran Privasi- Kepekaan pengumpulan data- Persepsi Penyakit- Kemampuan untuk menggunakan sistem- Robustness of the system- Biaya Penyebaran- Akurasi- Resistensi terhadap Perubahan- Persyaratan peraturan dan hukum lokal

G37 Konfigurasi Manajemen Proses

Tujuan Pedoman ini

Mengelola konfigurasi berarti memberikan keyakinan memadai bahwa integritas konfigurasi hardware dan software yang memerlukan pembentukan dan pemeliharaan dari konfigurasi yang akurat dan lengkap repositori.

Bisnis modern diatur sebagai serangkaian proses inti. Hampir setiap organisasi di dunia dihadapkan dengan meningkatnya tekanan untuk efektifitas dan efisiensi (yaitu, persyaratan mutu yang lebih tinggi untuk produk dan jasa, peningkatan pendapatan, pengurangan biaya, pengembangan produk baru), tekanan untuk sistem enterprisewide yang lebih baik, lebih cepat dan lebih murah dan perubahan jaringan pengendalian proses yang menyediakan software yang berkualitas tinggi bagi pemilik usaha.

Peran dan Tanggung Jawab* Auditor SI harus memperoleh daftar peran dan tanggung jawab yang mendukung manajemen konfigurasi.

* Memperoleh dan memverifikasi bahwa manajemen telah mengidentifikasi sumber daya untuk mengukur jumlah dan sifat dari perubahan yang dibuat untuk perusahaan sistem, sumber daya dan jaringan.

* Akuntabilitas didirikan mengenai 1 dan dukungan tier 2 untuk perubahan konfigurasi.

Pengendalian dan Logging Perubahan* Prosedur harus berada di tempat untuk memastikan bahwa hanya berwenang dan item konfigurasi diidentifikasi

dicatat dalam persediaan pada saat perolehan.

* Prosedur harus berada di tempat untuk melacak perubahan pada konfigurasi (misalnya, barang baru, status berubah dari pengembangan untuk prototipe).

G38 Akses Kontrol

Tujuan Pedoman ini Dalam dunia yang sebenarnya saling berhubungan, organisasi harus melindungi aset mereka dari

penggunaan yang tidak sah, tidak hanya untuk melindunginya investasi tapi juga untuk melindungi aset informasi dari resiko yang dihasilkan oleh penyalahgunaan sumber daya, sengaja atau tidak sengaja.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS S1 dan S3. IS auditor harus mempertimbangkan ini pedoman dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Kriteria untuk Tentukan Aturan Akses * Secara umum, kriteria harus didasarkan pada prinsip kebutuhan-untuk-tahu. Setiap organisasi harus menentukan

tingkat akses sesuai untuk setiap kelompok karyawan, vendor, pelanggan, regulator dan auditor (misalnya, akses berbasis peran).

* Organisasi harus mempertimbangkan untuk membuat dan peninjauan berkala matriks peran akses untuk memastikan pemisahan tugas kritis.

* Logical aset atau sumber daya untuk melindungi.

Kepemilikan dan Tanggung Jawab * Pemilik untuk informasi masing-masing (dan IT-berhubungan fisik) aset harus didefinisikan secara formal dengan

tanggung jawab yang ditugaskan. The tanggung jawab harus mencakup kewajiban pemilik informasi untuk memastikan bahwa prinsip-prinsip dan aturan untuk mengontrol akses yang dibuat, diimplementasikan dan diikuti oleh organisasi.

PROSES AUDIT Perencanaan * Program audit harus dikembangkan berdasarkan pada penilaian risiko organisasi dan strategi manajemen risiko,

termasuk ruang lingkup, tujuan dan waktu audit.

* Pemahaman tentang struktur organisasi diperlukan, khususnya tentang peran dan tanggung jawab staf kunci, termasuk informasi manajer, pemilik dan supervisor.

* Tujuan utama dari tahap perencanaan audit adalah untuk memahami ancaman dan risiko yang dihadapi organisasi ketika akses sudah salah didefinisikan, disetujui, ditugaskan, digunakan atau dikendalikan.

* Metodologi penilaian risiko formal harus digunakan untuk menentukan ruang lingkup penelaahan dengan penekanan pada daerah berisiko tinggi.

* Teknik sampling yang tepat harus dipertimbangkan dalam perencanaan audit untuk mengkuantifikasi hasil pengujian, jika ada.

* Semua laporan audit sebelumnya harus ditinjau ulang dan tingkat resolusi harus dinilai pada setiap masalah sesuai dengan manajemen rencana aksi.

PELAPORAN Generasi Laporan dan Tindak Lanjut * Laporan audit draft harus dibangkitkan dan didiskusikan dengan personil yang relevan. Hanya mencakup isu-isu

yang didukung oleh jelas bukti.

* Laporan harus diselesaikan panduan berikut ISACA dan disajikan kepada manajemen dengan rekomendasi untuk menyelesaikan / memperbaiki isu dan tindak lanjut opsi.

* Tindak lanjut kegiatan, rencana aksi, tanggung jawab, tanggal sasaran, dan sumber daya dan prioritas diberikan oleh manajemen senior harus disepakati

G39 (Organisasi TI)

Keterkaitan dengan Standar* Standar S10 IT Governance negara, 'IS auditor harus meninjau dan menilai apakah fungsi SI sejajar dengan

organisasi misi, visi, nilai-nilai, tujuan dan strategi.

Keterkaitan dengan C OBI T* Tentukan rencana strategis TI

* Menetapkan proses TI, dan hubungan negara organisasi

* Mengelola investasi TI

* Memberikan kontrol atas proses TI

* Pemilihan bahan yang paling relevan dalam COBIT

Lingkup AuditRuang lingkup audit harus mencakup sistem kontrol untuk penggunaan dan perlindungan terhadap berbagai sumber daya TI didefinisikan dalam kerangka COBIT. Yaitu :

* Data

* Aplikasi sistem

* Teknologi

* Fasilitas

* Orang

* Tata kelola TI

PROSES AUDIT

Perencanaan

* Program audit harus dikembangkan berdasarkan Teman penilaian risiko organisasi dan strategi manajemen risiko, termasuk, tujuan ruang lingkup dan waktu audit.

*Metodologi penilaian risiko harus digunakan untuk menentukan ruang lingkup kajian, dengan fokus pada daerah berisiko tinggi.

* Setiap laporan audit sebelumnya harus ditinjau ulang, dan tingkat resolusi harus dinilai pada setiap masalah sesuai dengan rencana tindakan manajemen.

* IS auditor harus memperoleh informasi mengenai organisasi TI termasuk:* Peran dan tanggung jawab staf kunci, termasuk informasi manajer, pemilik dan pengawas

* Senior kemudi peran manajemen dan tanggung jawab

* Organisasi tujuan dan jangka panjang dan rencana jangka pendek

* Menentukan arahan strategis perusahaan

* TI tujuan dan jangka panjang dan rencana jangka pendek

* Status laporan dan menit dari perencanaan / pertemuan komite pengarah

* Informasi model arsitektur

* Kebijakan dan prosedur yang berkaitan dengan organisasi TI dan hubungan

* Posisi deskripsi, pelatihan dan pengembangan catatan

* Kontrak dengan penyedia layanan pihak ketiga

* Menentukan apakah perusahaan telah mengembangkan keterampilan dan infrastruktur TI yang diperlukan untuk memenuhi tujuan strategis yang ditetapkan untuk perusahaan

* IS auditor harus mengidentifikasi dan memperoleh pemahaman umum tentang proses yang memungkinkan organisasi TI

* IS auditor harus memperoleh informasi mengenai organisasi IS strategi (baik didokumentasikan atau tidak)

P 11

Transfer Dana Elektronik (TDE)

1.1 Kriteria utama Informasi yang paling relevan dengan penerapan pemindahan sejumlah dana secara elektronik dan proses audit adalah:

*Efisien

*Efektif

*Kerahasiaan.

*Kesatuan

*Ketersediaan

*Reabilitas

*Penyesuaian

1.2 Transfer Dana Elektronik

1.2.1 Transfer dana elektronik (TDE) adalah metode yang banyak digunakan untuk mengirimkan instruksi transfer elektronik di seluruh dunia. Pengalihan ini dapat berupa petunjuk pembayaran untuk lembaga keuangan (untuk karyawan, perusahaan atau entitas) atau instruksi gerakan untuk mengubah pemeliharaan uang pelanggan. 'Pelanggan', dalam konteks ini, dapat berupa seorang individu konsumen atau nasabah korporasi.

1.2.2 Proses EFT umumnya dirancang untuk memastikan pengungkapan yang memadai dasar, biaya syarat dan hak yang berkaitan dengan layanan transfer dana elektronik yang diberikan kepada konsumen. Lembaga yang menawarkan layanan TDE harus menjelaskan kepada konsumen informasi tertentu, termasuk:

*Inisialisasi dan istilah TDE yang diperbaharui

*Informasi transaksi

*Laporan Berkala kegiatan

*Kewajiban Konsumen Potensial apabila melakukan transfer yang tidak sah

*hak dan Prosedur Kesalahan dalam pemberian solusi kembali.

1.2.3 Layanan TDE termasuk tetapi tidak terbatas pada: Mesin kasir yang telah terotomatisasi. Tagihan pembayaran telepon. Point-of-sale (POS) transfer di toko retail Transfer dana dilakukan melalui Internet Transfer-transfer preauthorised ke atau dari akun konsumen

1.2.4 Untuk tujuan prosedur audit ini, ruang lingkup-jenis transaksi adalah

sebagai berikut:

• EFT adalah setiap transfer dana antara pihak-pihak atau lembaga penyimpanan melalui sistem data elektronik yang terletak di sama atau berbeda negara. EFT bisa antara pemegang rekening pemegang yang sama atau berbeda (antar bank,antar perusahaan).

• Meskipun TDE tidak menyerupai e-commerce, dapat dilihat sebagai implementasi dari model bisnis ke bisnis .

• Semua model lain dari e-commerce (business-to-consumer, konsumen-ke-bisnis, dll) yang umumnya mencakup kartu transaksi dianggap tunai transaksi manajemen.

• Di sepanjang dokumen ini, rujukan kepada lembaga keuangan juga mencakup bank, dan lembaga serupa seperti mana EFT diadopsi.

1.3 Jenis-Platform Aplikasi Teknologi

1.3.1 Teknologi front-end tergantung pada aplikasi perusahaan (misalnya, ERP interface) dan jasa bank (yaitu, ATM, help desk, counter transaksi dan perbankan online).

1.3.2 Aplikasi / platform atau middleware mungkin didasarkan pada arsitektur client-server (LAN / WAN, yaitu, ERP), warisan aplikasi (semua platform), aplikasi web (internet) atau aplikasi spesifik (ATM jaringan).

1.3.3 The back-end atau aplikasi inti adalah komponen yang paling penting dalam proses EFT, sebagai aplikasi ini akhirnya transferuang antar rekening yang berbeda, bank yang berbeda dan negara-negara umumnya berbeda. Untuk itu, bank umumnya tidakizin implementasi teknologi web platform dan menggunakan penerapan teknologi platform yang lebih kuat berdasarkanmainframe, seperti IBM OS400, yang memiliki database relasional tertanam dalam sistem operasi, menambah keamanan dankinerja.

2. EFT PROSES

2.1 Definisi

2.1.1 EFT adalah pertukaran atau transfer uang secara elektronik dari satu account ke account lainnya, baik dalam perusahaan yang sama atau di perusahaan yang berbeda.

2.1.2 EFT adalah proses yang kompleks dimana transfer dana dapat terjadi dalam berbagai metode dan dalam mata uang yang berbeda. EFT membutuhkan kontrol yang sangat efisien dibangun ke dalam sistem, dan prosesnya dikendalikan baik di sisi pengirim dan penerima. Kontrol perlu ada pada tahap mana pun perantara informasi berlalu, disimpan atau diproses.

3. PENILAIAN RISIKO DAN KONTROL

3.1 Risiko TI Jenderal Kontrol

3.1.1 Secara umum, proses TDE harus menjamin kerahasiaan, integritas dan ketersediaan (CIA). Namun untuk jenis khususpelaksanaan, urutan prioritas mungkin IAC-integritas, ketersediaan dan kerahasiaan-bukan CIA. Persyaratan iniharus ditangani oleh kontrol diterapkan di berbagai tingkat implementasi EFT, seperti proses bisnis pengendalian, aplikasi kontrol dan kontrol platform.

3.2 Proses Bisnis Kontrol

3.2.1 Secara umum, proses bisnis harus memastikan CIA proses EFT.

3.2.2 Tidak ada orang yang harus menangani semua transaksi. Hal ini dicapai dengan pemisahan tugas antarapembuat / checker dan pengirim.

3.2.3 Integritas dan ketepatan instruksi transaksi harus dipelihara dari sumber ke tujuan. Kontrol yang tepat bisa meliputi settlement, dan rekonsiliasi, verifikasi untuk rekening yang sesuai dan tanggal / waktu transaksi dihasilkan, verifikasi dengan pelanggan untuk memastikan rincian akun dan transaksi, dll Untuk transaksi faks, pertimbangan utama adalah:

• Kunci prosedur buku

• Kebutuhan (otentikasi)

• Generasi kunci

• Penjagaan dari kunci dan perubahan / pencabutan

• Komunikasi prosedur tombol's

3.2.4 Transaksi harus diminta, dihasilkan dan diselesaikan sesuai dengan yang telah disepakati perjanjian tingkat layanan (SLA).

3.2.5 relevan karyawan harus cukup terlatih memastikan bahwa persyaratan pelanggan terpenuhi sesuai dengan SLA.

3.2.6 Lembaga keuangan harus memiliki latar belakang suara proses verifikasi sebelum merekrut dan memiliki jangkauan yang cukup melalui kerahasiaan dan perjanjian non-penyingkapan.

3.2.7 Ikatan karyawan dan aturan untuk mencegah terhadap penipuan internal harus dipertimbangkan.

3.2.8 Dampak dari persyaratan undang-undang dan peraturan dari negara-negara pengirim dan penerima harus dipertimbangkan, dan kepatuhan harus dipenuhi untuk semua persyaratan mengenai transaksi lintas batas.

3.2.9 Bisnis kontinuitas dan mode transmisi alternatif transaksi EFT harus tersedia dalam hal sistem atau jaringan outage.

3.2.10 Bisnis proses kontrol termasuk menangkap data yang sesuai untuk mengukur kinerja terhadap disepakati SLA. Idealnya, metrik EFT harus dihitung dan dianalisis untuk semua proses transaksi EFT. Kontrak dampak dan definisi SLA harus dipertimbangkan untuk analisis metrik.

3.3 Aplikasi Kontrol

3.3.1 Aplikasi kontrol tingkat harus menjamin kerahasiaan, integritas dan ketersediaan (CIA) dari mengirimkan instruksi.

3.3.2 Identifikasi dan otentikasi harus mempertimbangkan:

• Login ke terminal TDE spesifik (terminal pembatasan)

• Statis / password dinamis (kekuatan password)

• Sertifikat digital dan waktu-out sesi pembatasan

3.3.3 Akses kontrol dan hak otorisasi dan langkah-langkah persetujuan (hak review) harus didokumentasikan dan dipantau.

3.3.4 Perubahan TDE rincian transaksi harus dari aplikasi yang berasal transaksi.Setiap perubahan dimulai harus dinyatakan benar dikontrol dengan cara identifikasi yang tepat, otentikasi dan otoritas untuk mengaktifkan berubah.

3.3.5 Realistis transaksi maksimum dan batas maksimum harian total harus dilaksanakan untuk pengguna aplikasi EFT individu.Batas untuk klien korporasi tergantung pada SLA dan kebijakan masing-masing klien.

3.3.6 Selain penerimaan dicetak, setiap transaksi harus diakui oleh e-mail atau script pesan singkat (SMS) ke ponsel untuk konfirmasi atau tanda pengguna transaksi.

3.3.7 aplikasi kontrol tepat mengubah tingkat manajemen harus berada di tempat.

3.4 Kontrol Platform3.4.1 Kontrol untuk mempertimbangkan harus mencakup:

• Enkripsi

• Algoritma kekuatan

• Kunci kekuatan

• Karyawan kunci

• Komunikasi

• Jenis enkripsi

• Perangkat Keras vs software

• Tingkat model ISO di mana enkripsi diimplementasikan

3.4.2 Non-repudiation transaksi, seperti tanda tangan digital, harus dipertimbangkan.

3.4.3 Data tempat tinggal harus sesuai dengan peraturan lintas batas.

3.4.4 Komunikasi untuk mempertimbangkan harus mencakup:

• Peer-to-peer garis vs jaringan publik

• Komunikasi protokol

· protokol Enkripsi

· Komunikasi fitur, terutama untuk jarak jauh

3.4.5 Integritas kontrol, seperti cyclic redundancy check (CRC), fungsi hash dan algoritma kunci harus dipertimbangkan.

3.4.6 Hardware yang menjamin ketersediaan dan akurasi, kinerja tinggi dan toleransi (multitasking dan multisessions) harus digunakan.

3.4.7 Hardware, perangkat lunak dan pengendalian perubahan platform-tingkat manajemen harus dipertimbangkan.

3.4.8 Administrator fungsi yang melibatkan perubahan pada parameter account keamanan, administrasi dan pengguna harus membutuhkan coauthorisation.

3.5 Deteksi dan Pencegahan Kontrol Penipuan

3.5.1 Secara global, transaksi pada sistem EFT memiliki risiko tinggi dan paparan kegiatan penipuan. Keuntungan finansial adalah salah satu motivasi kunci di balik penipuan, selain keinginan untuk menguasai proses EFT, getaran tantangan, akta intelektual dan karyawan balas dendam. Kesederhanaan memodifikasi file teks dasar untuk memperoleh pembayaran yang besar adalah bujukan untuk melakukan penipuan. Dengan perubahan penipuan EFT, seseorang bisa mencuri uang dalam jumlah besar.Menurut statistik, perusahaan publik kehilangan besar jumlah setiap tahun karena instruksi pembayaran TDE penipuan.

3.5.2 Setiap perubahan data yang tidak sah (penipuan) atau bahkan kesalahan input data menghasilkan (jika tidak segera terdeteksi atau diperbaiki) suatu perubahan saldo rekening nasabah, sehingga mencegah perubahan yang tidak sah sangat penting bagi sistem ini.

3.5.3 Secara umum, untuk transfer uang yang berbeda yang melibatkan pelanggan, bank dan negara, sangat penting bahwa proses ini harus menjamin (Kontrol preventif) bahwa data transaksi yang divalidasi sebelum pengolahan.

3.6 Prosedur Audit EFT

3.6.1 Tabel berikut ini merupakan proses audit menyarankan untuk meninjau proses TDE (aplikasi internal, seperti ERP dan online perbankan, yang disediakan oleh lembaga keuangan).

Kebutuhan Prosedur Audit Transfer Dana Elektronik yang Disarankan

Kontrol Umum• Menentukan tujuan dan ruang lingkup kajian dan mendapatkan

dokumentasi.  Memperoleh daftar sekarang personil yang bekerja di departemen EFT.

 

Memperoleh gambaran sistem EFT ritel dioperasikan termasuk ATM, POS, debit / kredit / kartu cerdas, dan online perbankan, termasuk jaringan dan keanggotaan dagang.

  proses rinci Memperoleh lengkap dan kontrol deskripsi terkait dengan proses TDE.

  Memperoleh kebijakan dan standar terkait dengan proses TDE, termasuk:  persyaratan keamanan yang relevan untuk proses bisnis TDE Informasi  Prosedur tentang jejak audit dalam produk dan aplikasi  Mendapatkan semua peraturan yang berlaku untuk proses TDE.

 

Mendapatkan inventaris lengkap protokol perangkat keras, perangkat lunak dan telekomunikasi digunakan untuk mendukung EFT proses dan komponen TDE pilih untuk meninjau.

  Tentukan strategi audit dan cakupan sesuai dengan penilaian risiko, pengendalian yang ada dan tinjauan sebelumnya.

  Review sebelum laporan audit dan temuan-temuan dan menentukan tindakan yang akan diambil oleh manajemen.

  Review retensi catatan kebijakan dan menentukan kecukupan.

  Review perlindungan asuransi bagi kewajiban ATM, gangguan usaha dan kesetiaan.

  Tentukan apakah terminal diasuransikan dari pencurian, perampokan dan eksposur lainnya.

  Tentukan apakah materi pelatihan pengguna didokumentasikan tersedia dan ditampilkan pada titik penggunaan.

  Tentukan apakah dokumentasi untuk kelangsungan usaha dan rencana manajemen bencana

  tersedia.

Kontrol fisik Tentukan apakah terminal, seperti ATM dan POS, terletak di tempat yang aman.

  Tentukan apakah terminal yang aman terkunci dengan mekanisme kontrol akses diinstal.

  Tentukan apakah terminal hanya dapat diakses oleh orang yang berwenang.

  Tentukan apakah ada pembatasan jumlah maksimum orang di kantor pada setiap diberikan

  titik waktu.

  Tentukan apakah orang dalam antrian TIDAK dapat melihat informasi dalam layar yang disediakan oleh pengguna.

  Tentukan apakah ada pengawasan manajemen yang memadai atas terminal.

  Tentukan tingkat keamanan fisik di sekitar ruangan kawat atau area kerja yang ditunjuk untuk operasi.

 

Tentukan apakah sistem ini menggunakan token fisik (kartu debit / smart card, dll) untuk mengontrol akses. Jika demikian, ada kontrol memuaskan atas penerimaan, penyimpanan dan penerbitan token fisik?

  Tentukan apakah ada sistem untuk menangkap, menyimpan dan mengambil gambar dari pengguna dengan rincian kegiatan sesuai.

  Tentukan apakah ada perlindungan memadai untuk mentransfer / upload kas dalam ATM dan membawa uang tunai dari POS.

  Tentukan apakah terminal terlihat atau dikaburkan ke dunia luar. Ada pro dan kontra untuk baik dan tepat kontrol kompensasi harus dalam place.3

Kontrol Proses Tentukan apakah buku besar akun yang terkait dengan EFT didamaikan secara tepat waktu.

  Tentukan apakah pengecualian rekonsiliasi dikaji dan tindakan diambil secara teratur.

  Tentukan apakah sistem EFT dan rekonsiliasi origination situs dikendalikan secara memadai dan ditinjau.

  Memastikan apakah transaksi harian dengan setiap jaringan EFT bersama adalah saat ini dan dikendalikan.

  Tentukan apakah prosedur terdokumentasi yang tersedia dan saat ini untuk menyeimbangkan dan menyelesaikan transaksi.

  Review kontrol manual semua dalam proses operasi (yaitu, teleks, buku kunci).

  Review efektivitas prosedur rekonsiliasi dan non-repudiation.

  Identifikasi risiko yang melekat TI dan tingkat keseluruhan titik kontrol dalam proses EFT.

  Analisis keamanan ditugaskan ke sumber daya di mana log disimpan dan dikelola (misalnya, online, offline, onsite, offsite).

  Review jejak audit terhadap kegiatan menciptakan atau analisis kesalahan yang diperlukan.

  Review parameter terpasang dalam alat / aktivasi perangkat lunak tentang / penonaktifan atau penghapusan.

  Memperoleh dan menilai dokumen penilaian risiko untuk setiap jejak audit yang dihasilkan.

  Periksa adanya kontrol atas jejak audit TDE (misalnya, peralatan, jaringan, prosedur).

  Monitor rutinitas untuk menganalisis ketersediaan audit trail.

  Review jejak audit akses kontrol pada perangkat lunak keamanan atau laporan manajemen kunci.

  Review dan kontrol komunikasi mengevaluasi (enkripsi, otentikasi) untuk menjamin CIA.

  Evaluasi penyimpanan data penting dan dokumen dan retensi log.  Mengevaluasi pemenuhan persyaratan internal dan peraturan.  Mengevaluasi outsourcing jasa (jika berlaku).

  Review tingkat akses yang diterapkan pada file teks TDE yang dihasilkan oleh ERP.

  Review tingkat akses 'memodifikasi' dalam perangkat lunak klien TDE.

Kontrol Proses Review kontrol atas administrasi, keamanan dan parameter account pengguna dalam software klien EFT.

Transmisi dan kegagalan sistem Jika ada gangguan selama transmisi, menentukan apakah sistem menyediakan catatan penerimaanpesan.· Tentukan apakah ada prosedur

tertulis untuk retransmission pesan tidak diterima.

Tentukan apakah insiden login disimpan untuk semua interupsi pengolahan normal.· saat terjadi kegagalan

hardware, menentukan apakah proses dapat beralih ke terminal alternatif.

Tentukan apakah ada kontrol untuk mencegah duplikasi pengolahan pesan mengikuti sistempemulihan. Dalam hal kegagalan, menentukan apakah suatu media komunikasi cadangan tersedia. 

Kontrol Sistem logon Tentukan apakah sistem memvalidasi semua pengguna resmi. Tentukan apakah kemampuan untuk membangun jalur sesi dibatasi kepada orang-orang yang berwenang. Tentukan apakah sistem mencatat semua upaya untuk bekerja di luar fungsi resmi. Jika demikian,menentukan apakah catatan ini ditinjau secara berkala dan tindakan yang tepat diambil. Tentukan apakah sistem menyediakan mencatat semua pelanggaran password / logon dan yang ditinjau secara teratur. saat menetapkan sesi, menentukan apakah sistem memvalidasi ID terminal. Tentukan apakah sistem ini membutuhkan penggunaan kunci yang aman untuk memvalidasi klien sebagai pengguna. Sebelum transmisi, menentukan apakah sistem memastikan semua pesan yang berwenang. Tentukan apakah sistem mencegah transmisi pesan-pesan yang tidak sah. Tentukan apakah sistem memvalidasi pengguna sebagai dasar untuk mengirim jenis pesan dalampertanyaan. Tentukan apakah ada prosedur untuk melaporkan pesan yang tidak sah pada waktu transmisi. Tentukan apakah semua dokumen masukan diperiksa untuk otorisasi yang tepat oleh originator. Tentukan apakah ada pengendalian untuk memastikan bahwa ekstensi untuk batas / nilai harian individu untuk pesan adalah milik resmi.

Kontrol Pesan Tentukan apakah nomor seri berurut terus menerus ditugaskan untuk setiap pesan. Jika demikian, tentukan apakah mereka dicatat pada dokumen masukan / mendaftar. Tentukan apakah interupsi ditinjau. Tentukan apakah catatan permanen disimpan dari semua pesan dikirimkan. Jika demikian, menentukan apakah diperiksa terhadap catatan semua pesan yang diterima / ditolak. Tentukan apakah mungkin untuk mengambil data pesan individu. Tentukan apakah log audit diserahkan kepada seseorang yang independen. Tentukan apakah log audit dapat diakses oleh orang-orang yang berwenang saja. Tentukan apakah log audit diteliti oleh manajemen. Tentukan apakah ada rekonsiliasi reguler antara pesan dikirim dan laporan bank.

Kontrol Pengiriman Untuk mengontrol transfer masuk, menentukan apakah:- Semua pesan dikirim dalam format standar.- Perubahan ke format standar adalah dilarang.- Sistem ini memastikan bahwa semua bidang divalidasi dimasukkan.- Sistem ini memastikan bahwa semua bidang dimasukkan dalam format yang dibutuhkan.- Sistem ini menyoroti / laporan jumlah yang diharapkan.- Ada pengendalian untuk memastikan bahwa tidak ada nilai di luar batas yang diharapkan diterima.- Ada kontrol untuk memastikan bahwa total nilai pesan berada dalam batas (setiap hari) persetujuan.- Sistem ini memberikan pengakuan validasi pesan ditransmisikan. Untuk kontrol transfer keluar menentukan apakah:- Petugas berwenang memeriksa semua pesan ke dokumen asal.- Dokumen-dokumen berasal yang sesuai disahkan pada saat input dan otorisasi.- Sistem ini memberlakukan kembali masukan dan memerlukan bukti perbedaan.- Prosedur tertulis ditelaah untuk menangani kesalahan.- Sistem ini menghasilkan total kontrol untuk jumlah dan nilai masukan pesan, dan pemeriksaan catatan masukan.- Sistem ini menyediakan laporan dari semua pesan yang diterima dan ditolak dengan total kontrol yang tepat dan memeriksa catatan masukan.- Ada prosedur tertulis untuk berurusan dengan menolak.- Protokol komunikasi menggunakan teknik error-detection/ correction.

Kontrol PIN Review nomor identifikasi pribadi (PIN) prosedur penerbitan. Tentukan apakah PIN dilindungi secara memadai selama penyimpanan dan transmisi. Review prosedur enkripsi pada penyimpanan PIN. Tentukan bahwa PIN mailer tidak dikirim bersama dengan kartu pelanggan. Kontrol yang paling diinginkan adalah untuk mengirim PIN dan kartu melalui penyedia layanan yang berbeda. Tentukan bahwa sistem PIN membatasi akses ke rekening nasabah setelah sejumlah kecil berhasil mengakses. Review logon gagal dan tindakan yang diambil oleh pelanggan / organisasi. Review proses untuk PIN dilupakan dan isu PIN baru. 

Pencegahan Penipuan Review berikut untuk memastikan mekanisme ada untuk pencegahan penipuan yang berhubungan dengan EFT:- EFT proses dan titik kontrol- Kebijakan dan prosedur EFT- Transaksi Standar format- Keamanan fisik sekitarnya seluruh komponen EFT- Efektivitas EFT keamanan aplikasi- Efektivitas jaringan operasi keamanan sistem- Efektivitas sekitar keamanan data EFT- Efektivitas pemisahan tugas (pembuat / checker / pengirim)- Rekonsiliasi- Penggunaan pola pelacakan (seperti frekuensi login, penarikan uang, penarikan hari yang sama,jumlah jam penggunaan) untuk pencucian uang mungkin atau niat untuk melakukan penipuan.

Back-end aplikasi Tentukan apakah back-end aplikasi menjamin:- Atomicity-Work unit ini yang tidak dibagi, semua tindakan berhasil atau gagal- Konsistensi-Jika transaksi tersebut tidak dapat menghasilkan satu status yang stabil, harus kembali ke status awal- Isolasi-Perilaku dari satu transaksi tidak dapat mempengaruhi transaksi lain yang melaksanakan disaat yang sama- Durability-transaksi Efek bersifat permanen, mereka tidak dapat dipengaruhi oleh kegagalan sistem

Front-end aplikasi /perimeter keamanan Jika front-end aplikasi berbasis web, penelaahan terhadap risiko tambahan, seperti:- Penolakan layanan- Virus, mata-mata- Kurangnya prosedur patch kerentanan- Web server keamanan- Salah arsitektur dan konfigurasi (firewall, IDS, DMZ)

Jurnal transaksi Tentukan bahwa informasi jurnal transaksi mencakup:- Incoming penyelidikan transaksi- Incoming update transaksi- Jenis Transaksi- Nomor Transaksi- Mata Uang- Kurs- Jumlah- Rekening nomor- Routing rincian bank- Originating terminal- Originating operator- Waktu dan tanggal- Respon untuk transaksi penyelidikan- Respon untuk memperbarui transaksi- Indikasi bahwa tanggapan telah diterima dengan benar- Rekaman awal dan akhir rekonstruksi file- Update Catatan penyelesaian

Jejak Audit Tentukan apakah sistem tersebut memiliki catatan jurnal dan log. Tentukan bahwa jejak audit dapat digunakan untuk:- Memungkinkan auditor untuk mengikuti sejarah transaksi- Izin pemulihan ketika ditemukan bahwa seorang pengguna telah salah diperbarui atau dihapus- Selidiki penyebab ketika rekaman yang ditemukan menjadi salah- Membantu pemulihan dari kerusakan file besar- Membantu dalam memperbaiki file dimana data rusak- Monitor pelanggaran prosedural untuk menyoroti pelanggaran keamanan yang memungkinkan- Membantu dalam pemulihan yang benar dari kegagalan sistem- Memantau cara sistem yang sedang digunakan- Recover dari hilangnya jurnal lainnya- Sumber untuk rekonsiliasi laporan- Pertimbangkan kebutuhan peraturan dan tujuan layanan