TUGAS RESUME HASIL PRESENTASI AUDIT INTERNAL

BAB 9

DOSEN : DIO AGUNG HERUBAWA, SE.,M.Acc

DI SUSUN OLEH:

Kelompok 4:

1. Victoria Meilani (190503218)

2. Caroline (190503221)
3. Dame Shintya (190503226)
4. Rama Yolanda (190503233)
5. Putri Panjaitan (190503240)
6. Rini Irmawati (190503241)
7. Oktaviana R. P. Mas Gultom (190503242)

DEPARTEMEN S-1 AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS SUMATERA UTARA

MEDAN

2022
 Topik Pembahasan : Resiko Tekonologi Informasi dan Pengendaliaannya

Istilah information technology diperkenalkan oleh majalah Harvard Business Review, untuk
membedakan mesin-mesin yang khusus dirancang-bangun (purpose-built machines) untuk
menjalankan fungsi-fungsi yang terbatas dan mesin-mesin komputasi dengan tujuan umum
(general-purpose computing machines) yang dapat diprogram untuk berbagai macam tugas.

Kutipan dari terbitan the Institute of Internal Auditors, Global Technology Audit Guide (GTAG)
di atas menegaskan dua hal. Pertama, TI mempunyai dampak luas terhadap fungsi audit internal.
Kedua, dengan hadirnya risiko-risiko baru, prosedur-prosedur baru diperlukan untuk mengelola
risiko-risiko tersebut secara memadai.

Sepuluh Risiko Teknologi

The Global Internal Audit Common Body of Knowledge (disingkat CBoK) adalah kajian global
terbesar mengenai profesi audit internal, termasuk kajian mengenal para praktisi audit internal
dan para pemangku kepentingannya. CBOK 2015 menunjukkan 10 risiko utama dalam teknologi
yang menjadi perhatian para praktisi audit internal. Ke-10 risiko itu berhubungan dengan pokok-
pokok bahasan berikut.

1. Cybersecurity

2. Information Security

3. IT Systems Development Projects

4. IT Governance

5. Outsourced IT Services

6. Social Media Use

7. Mobile Computing

8. IT Skills Among Internal Auditors

9. Emerging Technologies
10. Board and Audit Committee Technology Awareness

Risiko 1-Cybersecurity

Cybersecurity adalah pengamanan atas kejahatan penyalahgunaan data elektronis. Salah satu
risiko terbesar dalam cybersecurity yang dihadapi organisasi adalah Kemungkinan penyusup dari
luar (external perpetrators) untuk mencuri data rahasia.

Risiko 2-Information Security

Information security adalah pengamanan terhadap kerahasiaan, integritas, dan ketersediaan

informasi yang sangat penting bagi organisasi. Program pengamanan informasi (information
security program) yang baik lazimnya mempunyal pejabat di tingkat eksekutif atau Manajer
tingkat tinggi (high-level manager), dengan sebutan Chief Information Security Officer (CISO)
yang bertanggung jawab terhadap program ini.

Risiko 3 - IT Systems Development Projects

Daftar kesenjangan antara harapan dan kenyataan (expectations gaps):

• Tanggal implementasi yang terlalu dipaksakan. Tanggal penyelesaian proyek ditetapkan

sebelum tim pelaksana proyek memasuki tahap perencanaan proyek atau sebelum tim membuat
teknik-teknik estimasi proyek (project estimation techniques).

• Ekspektasi atau harapan yang tidak realistis.

• Ekspektasi tidak sejalan dengan sumber daya.

• Konsekuensi-konsekuensi akibat kinerja proyek yang lemah, tidak selamanya mendapat

tanggapan yang memadai.

• Pelaporan mengenai status kemajuan proyek jarang dilakukan, atau dilakukan tidak

akurat.
Risiko 4 - IT Governance

Tata kelola TI terdiri atas kepemimpinan, struktur organisasi, dan proses-proses yang
memastikan bahwa teknologi informasi perusahaan mendukung strategi dan tujuan organisasi
tersebut.

Risiko 5 - Outsourced IT Services

Memberikan jasa-jasa TI untuk dikerjakan pihak lain sama maknanya dengan memberikan
kunci-kunci kerajaan Anda, dan mengharapkan/memercayai mereka mengelola informasi sebaik
yang Anda akan lakukan. Outsourcing jasa-jasa TI membuka peluang bagi risiko yang tidak
terungkap sampai kegagalan demi kegagalan dalam pengolahan data terjadi. Dalam beberapa
kasus, outsourcing membuat proses-proses teknologi yang penting di luar kendali manajemen
secara langsung.

Risiko 6 - Social Media Use

Risiko potensial yang terjadi bagi organisasi:

-Kemunngkinan tuntutan hukum karena merusak nama baik seseorang atau organisasi

-kebocoran informasi bisnis atau rahasia dagang yang berdampak buruk pada persaingan
perusahaan

-Kerugian terhadap reputasi organisasi melalui komunikasi berita palsu

Risiko 7- Mobile Computing

Bermacam macam risiko yang berhubungan dengan mobile computing:

-Security Risks: informasi berupa data pribadi dan data perusahaan. Data ini dapat disalahkan
oleh orang yang tidak bertanggung jawab, misalnya data tersebut dicuri.

-Privacy Risks: Ini dapat menimbulkan persoalan baik untuk organisasi maupun karyawannya.
Pegawai juga menghadapi Privacy concerns karena smart device yang mereka gunakan.

-Management Risks: BYOD membuat manajemen menambah alat alat pendukung TI. Dengan
meningkatnya jumlah peralatan, meningkat pula potensi diserangnya kelemahan jaringan.
-Legal Risks: Organisasi harus memahami implikasi hukum dari penyimpanan data dalam smart
devices, seperti dalam hal pertikaian atau litigasi.

Risiko 8- Skills Among Internal Auditors

Langkah langkah dalam menginventarisasi kekurangan keahlian TI dengan:

1. Memahami jenis teknologi yang digunakan dalam organisasi.

2. Mematakan keahlian teknologi yang sudah ada terhadap teknologi tang digunakan dalam
organisasi.

3. Indentifikasi kesenjangan keahlian untuk semua teknologi yang belum terpenuhi oleh
kelompok audit internal.

Risiko 9- Emerging Technologies

Teknologi yang belum digunakan organisasi hari ini namun akan digunakan dalam masa
mendatang:

1. Predictive data analyst

2. Big data

3. Fog computing

4. 3D printing

5. The internet of things

6. Robotics

Risiko 10-Board and Audit Committee Technology Awareness

Dalam survei CBok 2015, Dekom di sebagian perusahaan tidak paham teknologi, atau dalam
bahasa "anak muda": Dekom dan komite-komitenya "gaptek". Gaptek menempati peringkay #10
dalam daftar top 10 technology risks.
Audit internal memainkan peran kunci dan menjadi perantara yang membuka mata Dekom dan
komite Audit tentang teknologi dan manfaatnya dalam organisasi.

Kesimpulan tentang 10 Risiko TI

Sepuluh risiko mengenai teknologi informasi didasarkan atas survei global. Jenis dan urut-urutan
"gawatnya" risiko teknologi untuk organisasi di Indonesia belum tentu sama dengan hasil survei
tersebut. Penjelasan ini dimaksudkan untuk menimbulkan kesadaran tentang apa-apa saja risiko
yang mungkin terjadi dalam teknologi informasi, dan pembaca melihat ke dalam organisasinya
dan memikirkan kemungkinan risiko yang lain.

CBoK 2015 menutup kajiannya sebagai berikut :

Auditor internal sudah bekerja rajin untuk berpikir secara strategis, memahami bisnis, dan
menambah nilai. Sekarang mereka perlu proaktif mengidentifikasi emerging technologies yang
bisa berdampak terhadap organisasi mereka. Para pakar memberikan rekomendasi sebagai
berikut.

1. Laksanakan proses yang menimbulkan kesadaran mengenai situasi yang dihadapi.

2. Perhatikan tanda-tanda bahaya dalam industri atau lingkungan Anda.

3. Tanyakan "bagaimana kalau?" [Catatan: pertanyaan ini akan membuka wawasan auditor
internal mengenai apa yang mungkin terjadi dan konsekuensinya.]

4. Buat daftar risiko-risiko yang mungkin terjadi dari emerging technology dan apa
peluangnya. Daftar semacam ini dapat direviu dari waktu ke waktu untuk menentukan dampak
potensialnya.

5. Ketika risiko atau peluang diidentifikasi, lakukan tindak lanjut sebagai jawaban atas
risiko atau peluang tersebut.
IPPF Guidance: Standards & GTAG

1. Standar tentang Proficiency

Secara umum Proficiency dibahas dalam Standard 1210 - Auditor internal harus memiliki
pengetahuan, keterampilan, dan kemampuan lain yang diperlukan untuk melaksanakan tanggung
jawabnya. Kegiatan audit internal secara kolektif harus memiliki pengetahuan, keterampilan, dan
kemampuan lain yang diperlukan untuk melaksanakan tanggung jawab fungsi audit internal.

2. Standar tentang Due Professional Care Standard 1220 menetapkan :

Auditor internal harus menerapkan kehati-hatian dan keterampilan yang diharapkan dari auditor
internal yang kompeten dan beralasan.

3. Standar tentang Governance

Standard 2110 menetapkan:

Kegiatan audit internal harus menilai dan membuat rekomendasi yang tepat untuk perbaikan
proses tata kelola dalam pencapaian tujuan-tujuan:

(1) Mendorong etika dan nilai-nilai yang tepat, dalam organisasi.

(2) Memastikan manajemen dan akuntabilitas kinerja organisasi yang efektif

(3) Mengkomunikasikan informasi risiko dan pengendalian ke area organisasi yang sesuai:
dan Mengkoordinasikan kegiatan dan mengkomunikasikan informasi di antara dewan, auditor
eksternal dan internal, dan manajemen.

4. Standar tentang Risk Management Berikut ini Standard 2120 dan Interpretation.

Kegiatan audit internal harus mengevaluasi efektifnya proses manajemen risiko dan
menyumbang gagasan perbaikan proses tersebut.

Interpretasi:

Menentukan apakah proses manajemen risiko itu efektif, merupakan pemikiran auditor internal
yang merupakan hasil dari penilaiannya bahwa:
(1) Tujuan-tujuan organisasi mendukung dan sejalan dengan misinya: Risiko-risiko
signifikan sudah diidentifikasi dan dinilai (probabilitas terjadinya dan dampaknya, jika terjadi);

(2) Tanggapan terhadap risiko yang dipilih, sudah tepat sejalan dengan selera" organisasi
terhadap risiko (organization's risk appetite), dan

(3) Informasi tentang risiko telah diperoleh dan dikomunikasikan secara tepat waktu ke
seluruh organisasi, sehingga staf, management, dan Dewan dapat melaksanakan tanggung jawab
mereka.

Global Technology Audit Guide

Global Technology Audit Guide (disingkat GTAG) adalah Buku Petunjuk Audit tentang
Teknologi Global yang membahas masalah Teknologi Informasi (TI) berkenaan dengan
management;control, dan security-Buku Petunjuk ini terdiri dari beberapa series yang merupakan
referensi penting bagi para CAE (chief audit executives) mengenar berbagai risiko terkait Tl dan
praktik- praktik yang direkomendasi. Beberapa series di antaranya membahas

Information Technology Controls

Information Technology Controls membahas kensep-konsep pengendalian Tl, pentingnya

pengendalian TI, peran dan tanggung jawab organisasi untuk memastikan efektifnya
pengendalian TI, dan teknik-teknik analisis dan pemantauan risiko.

Change and Patch Management Controls

Petunjuk ini penting untuk Critical for Organizational Success Change und Patch

Management Controls: Menjelaskan sumber-sumber perubahan dan dampaknya terhadap tujuan

bisnis, dan juga, bagaimana pengendalian terhadap perubahan dan patch management controls
membantu menangani risiko dan biaya TI, serta hal-hal yang dalam praktiknya bisa atau tidak
bisa berhasil.
Continuous Auditing

Membahas peran continuous auditing dalam lingkungan audit internal masa kini, hubungan
antara continuous auditing, continuous monitoring, dan continuous ussurence; dan penerapan
serta pelaksanaan continuous auditing.

Management of IT Auditing

Petunjuk ini membahas risiko-risiko yang berhubungan dengan TI dan mendefinisikan IT audit
universe, dan juga bagaimana melaksanakan dan mengelola proses audit TI

Managing and Auditing Privacy Risks.

Petunjuk ini membahas prinsi prinsip dan kerangka mengenai model, dan pengendalian Privacy
risks peranan auditor internal .

Managing and Auditing IT Vulnerabilities

Petunjuk ini antara lain membahas siklus hidup penanganan lingkup audit atas vulnerability
management, dan metrics untuk mengukur praktik praktik vulnerability management.

Information Technology Outsoursing

Petunjuk ini membahas bagaimana memilih vender yang tepat untuk pertimbangan-
pertimbangan penting unduk mengendalikan kegiatan perusahaan atau klien.

Auditing Application Controls

Petunjuk ini membahas konsep pengendalian aplikasi dan hubungannya dengar pengendalian
umum, dan juga lingkup penelaahan, atas pengendalian aplikasi berbasis resiko.

Identity and Access Management

Petunjuk ini membahas konsep-konsep utama IAM , risiko terkait proses IAM, petunjuk tentang
bagaimana mengaudit contoh-contoh checklist untuk para auditor.
Business Continuity Management

BCM (Business Continuity Management) membahas risiko bisnis, dan meliputi diskusi terinci
mengenai syarat-syarat program BCM.

Developing the IT Audit Plan

Memberikan petunjuk mengenai langkah demi langkah bagaimana mengembangkan rencana

audit . Dimulai dari mamahami bisnis, mendefinisikan IT audit universe, dan melaksanakan Risk
assement, sampai pada memformalkan rencana audit TI.

Gejolak Gejolak Dunia Nota

Salah satu cara yang digunakan para konsultan (security consultancies) membantu para klien
ialah dengan serangkaian postur yang ketat melalui uji penetrasi (penetration tearing), juga
dikenal sebagai pen cesting. Uji penetrasi ini dilakukan di percobaan, menembus sistem
komputer, mencari titik-titik lemah (probing for weak spots) dalam lingkungan pengendalian,
dan sekali-sekali konsultan datang secara fisik di kantor kliennya dan berpura-pura/tanpa
diketahui pegawai si klien melakukan covertly testing (menguji secara terselubung) para
pegawai, untuk menilai kerentanan (vulnerabilities).

Para Cybercriminal adalah Pemenangnya

Pernyataan tersebut menyiratkan masalah terbesar dalam cybersecurity hari ini dan para akuntan-
dan lawyers, bankers, doctors, dan pemilik usaha kecil-bukan ahli teknologi;mereka adalah
pakar-pakar dalam bidang mereka masing . Ini berarti bahwa para kriminal yang berkarier di
bidang itu (career cybercriminals) selalu ahli teknologi, selalu berada dibaris terdepan

John Murphy, vice president of cybersecurity , yg menjadi penasihat president Bill Clinton
mengenai cybersecurity strategies, menjelaskan tentang suatu konsep militer yang disebut
"defense in depth (pertahanan yang berlapis-lapis) merupakan cara pertahanan untuk kantor-
kantor akuntan berukuran apa saja. Seperti istana dengan pertahanan berlapis -lapis mulai dari
parit, jembatan gantung sampai benteng, minyak mendidih dan tentara, begitulah seharusnya
suatu security system, dengan banyak metode prevensi yang tertanam (built in).
Norm Comstock, managing director UHY Advisors, yang juga memberikan technology
consulting services, menyarankan perusahaan-perusahaan kecil mengalokasikan anggaran(cyber
budget) mereka secara bijak untuk mencegah (prevention), menemukan (detection) ,
memulihkan (recovery) sistem dari serangan peretas.

Comstock menasihati para akuntan untuk berhati hati dengan apa yang disebutnya "mixed
environment" seperti penggunaan hp untuk bisnis dalam lingkungan perkantoran yang BYOD .
Dengan mencampurkan aplikasi konsumen (consumer applications) dan aplikasi perusahaan
(enterprise applications) dalam satu komputer atau hardware yang sama, berbagi/sharing dan
sumber-sumber lain, seorang pengguna dapat mengunduh "virus" komputer (malware) yang
dengan mudah inenghancurkan data perusahaan.

Contoh :

-28.859.386 Percobaan cyber attack terhadap server KPU

-MandiriError

Serangkaian pertanyaan

Nasabah mandiri dan publik ingin tahu mengenai hal-hal yang penulis istilahkan W5H3 (Who,
What, Why, When, Where, How, How much, How Many)

* What? Apa yang sesungguhnya terjadi di Mandiri, dan bukan penjelasan yang merupakan
upaya Public relations

* Why? Mengapa bisa terjadi? Pertanyaan berikutnya: apakah bisa terjadi pada bank-bank
BUMN lain, atau bank-bank pada umumnya? Atau sebaliknya, kalau tidak terjadi pada bank lain,
mengapa terjadi pada mandiri (lagi sial aja kali)

* How? Kalau disebut eror, eror berupa apa? Human error atau systems error, jika systems error
apakah pada perangkat keras/ hardware atau perangkat lunak/software. Atau apakah yang disebut
error ini adalah akibat peretasan? Seperti apa sih errornya?
* Berapa besar dampaknya (How much, apakah ada kerugian keuangan bagi nasabahnya,
berapa? How many, berapa jumlah nasabah yang kena errornya mandiri? Kalau hanya sebagian,
misalnya 10%, mengapa yang 90% bisa selamat? Apakah kerugian dapat dipulihkan?

* Where? Eror dimana? Akun apa saja yang kena error? Simpanan, giro, Pinjaman, Surat
berharga? Apakah terbatas pada kantor-kantor tertentu, atau diseluruh kantor Mandiri? Apakah
sasarannya pada saldo nasabah atau data nasabah yang lain?

* When? Kapan kejadiannya? Nasabah merasakan dampaknya pada hari Sabtu, 20 Juli 2019
pagi, tapi apakah error itu terjadi semalam sebelumnya, atau seminggu sebelumnya, dan
seterusnya.

* Who? Siapa yang bertanggung Jawab untuk mencegah terjadi error ini (atau dalam bahasa
audit interna, siapa risk-ownernya? Dan pertanyaan yang berhubungan dengan who ini, apa yang
dapat dilakukannya sehingga risiko ini dapat dicegah berulang di kemudian hari. Mungkin info
mengenai Who, hanya untuk Direksi, Dekom, Komite Audit, SPI, dan pihak tertentu Bank
Mandiri, khususnya para penjaga di Pertahanan Tiga Lini.

Lampiran 4

Pencurian Data

KBBI ( Kamus Besar Bahasa Indonesia) online menjelaskan arti kata “curi” sebagai berikut.

Curi/cu-ri/v, mencuri/ men-cu-ri/v mengambil milik orang lain tanpa izin atau dengan tidak sah,
biasanya dengan sembunyi-sembunyi malam tadi maling masuk kerumahnya dan sebuah radio;

Perhatikan kata-kata yang digunakan untuk menjelaskan kata “curi”: a) mengambil, b) milik
orang lain, c) tanpa izin, d) dengan tidak sah, e) dengan sembunyi-sembunyi. KBBI tidak
membatasi definisi “curi” ini dalam mencuri radio atau perhiasaan, atau barang berwujud.

Jika Penulis Buku ini boleh menambahkan kata lain untuk menjelaskan arti kata “curi” kata
tersebut adalah adjektiva yang menjelaskan b) milik orang lain. Kata itu adalah “ yang berharga”
. Barang berharga bisa berwujud atau tidak berwujud, data dan informasi masuk kelompok
barang tidak berwujud
Dengan definisi “curi tersebut, kita dapat menerjemahkan istilah data breach (bahasa Inggris)
menjadi Pencurian Data, seperti pada judul Lampiran ini.