BAB 9
DI SUSUN OLEH:
Kelompok 4:
MEDAN
2022
Topik Pembahasan : Resiko Tekonologi Informasi dan Pengendaliaannya
Istilah information technology diperkenalkan oleh majalah Harvard Business Review, untuk
membedakan mesin-mesin yang khusus dirancang-bangun (purpose-built machines) untuk
menjalankan fungsi-fungsi yang terbatas dan mesin-mesin komputasi dengan tujuan umum
(general-purpose computing machines) yang dapat diprogram untuk berbagai macam tugas.
Kutipan dari terbitan the Institute of Internal Auditors, Global Technology Audit Guide (GTAG)
di atas menegaskan dua hal. Pertama, TI mempunyai dampak luas terhadap fungsi audit internal.
Kedua, dengan hadirnya risiko-risiko baru, prosedur-prosedur baru diperlukan untuk mengelola
risiko-risiko tersebut secara memadai.
The Global Internal Audit Common Body of Knowledge (disingkat CBoK) adalah kajian global
terbesar mengenai profesi audit internal, termasuk kajian mengenal para praktisi audit internal
dan para pemangku kepentingannya. CBOK 2015 menunjukkan 10 risiko utama dalam teknologi
yang menjadi perhatian para praktisi audit internal. Ke-10 risiko itu berhubungan dengan pokok-
pokok bahasan berikut.
1. Cybersecurity
2. Information Security
4. IT Governance
5. Outsourced IT Services
7. Mobile Computing
9. Emerging Technologies
10. Board and Audit Committee Technology Awareness
Risiko 1-Cybersecurity
Cybersecurity adalah pengamanan atas kejahatan penyalahgunaan data elektronis. Salah satu
risiko terbesar dalam cybersecurity yang dihadapi organisasi adalah Kemungkinan penyusup dari
luar (external perpetrators) untuk mencuri data rahasia.
sebelum tim pelaksana proyek memasuki tahap perencanaan proyek atau sebelum tim membuat
teknik-teknik estimasi proyek (project estimation techniques).
• Pelaporan mengenai status kemajuan proyek jarang dilakukan, atau dilakukan tidak
akurat.
Risiko 4 - IT Governance
Tata kelola TI terdiri atas kepemimpinan, struktur organisasi, dan proses-proses yang
memastikan bahwa teknologi informasi perusahaan mendukung strategi dan tujuan organisasi
tersebut.
Memberikan jasa-jasa TI untuk dikerjakan pihak lain sama maknanya dengan memberikan
kunci-kunci kerajaan Anda, dan mengharapkan/memercayai mereka mengelola informasi sebaik
yang Anda akan lakukan. Outsourcing jasa-jasa TI membuka peluang bagi risiko yang tidak
terungkap sampai kegagalan demi kegagalan dalam pengolahan data terjadi. Dalam beberapa
kasus, outsourcing membuat proses-proses teknologi yang penting di luar kendali manajemen
secara langsung.
-Kemunngkinan tuntutan hukum karena merusak nama baik seseorang atau organisasi
-kebocoran informasi bisnis atau rahasia dagang yang berdampak buruk pada persaingan
perusahaan
-Security Risks: informasi berupa data pribadi dan data perusahaan. Data ini dapat disalahkan
oleh orang yang tidak bertanggung jawab, misalnya data tersebut dicuri.
-Privacy Risks: Ini dapat menimbulkan persoalan baik untuk organisasi maupun karyawannya.
Pegawai juga menghadapi Privacy concerns karena smart device yang mereka gunakan.
-Management Risks: BYOD membuat manajemen menambah alat alat pendukung TI. Dengan
meningkatnya jumlah peralatan, meningkat pula potensi diserangnya kelemahan jaringan.
-Legal Risks: Organisasi harus memahami implikasi hukum dari penyimpanan data dalam smart
devices, seperti dalam hal pertikaian atau litigasi.
2. Mematakan keahlian teknologi yang sudah ada terhadap teknologi tang digunakan dalam
organisasi.
3. Indentifikasi kesenjangan keahlian untuk semua teknologi yang belum terpenuhi oleh
kelompok audit internal.
Teknologi yang belum digunakan organisasi hari ini namun akan digunakan dalam masa
mendatang:
2. Big data
3. Fog computing
4. 3D printing
6. Robotics
Dalam survei CBok 2015, Dekom di sebagian perusahaan tidak paham teknologi, atau dalam
bahasa "anak muda": Dekom dan komite-komitenya "gaptek". Gaptek menempati peringkay #10
dalam daftar top 10 technology risks.
Audit internal memainkan peran kunci dan menjadi perantara yang membuka mata Dekom dan
komite Audit tentang teknologi dan manfaatnya dalam organisasi.
Sepuluh risiko mengenai teknologi informasi didasarkan atas survei global. Jenis dan urut-urutan
"gawatnya" risiko teknologi untuk organisasi di Indonesia belum tentu sama dengan hasil survei
tersebut. Penjelasan ini dimaksudkan untuk menimbulkan kesadaran tentang apa-apa saja risiko
yang mungkin terjadi dalam teknologi informasi, dan pembaca melihat ke dalam organisasinya
dan memikirkan kemungkinan risiko yang lain.
Auditor internal sudah bekerja rajin untuk berpikir secara strategis, memahami bisnis, dan
menambah nilai. Sekarang mereka perlu proaktif mengidentifikasi emerging technologies yang
bisa berdampak terhadap organisasi mereka. Para pakar memberikan rekomendasi sebagai
berikut.
3. Tanyakan "bagaimana kalau?" [Catatan: pertanyaan ini akan membuka wawasan auditor
internal mengenai apa yang mungkin terjadi dan konsekuensinya.]
4. Buat daftar risiko-risiko yang mungkin terjadi dari emerging technology dan apa
peluangnya. Daftar semacam ini dapat direviu dari waktu ke waktu untuk menentukan dampak
potensialnya.
5. Ketika risiko atau peluang diidentifikasi, lakukan tindak lanjut sebagai jawaban atas
risiko atau peluang tersebut.
IPPF Guidance: Standards & GTAG
Secara umum Proficiency dibahas dalam Standard 1210 - Auditor internal harus memiliki
pengetahuan, keterampilan, dan kemampuan lain yang diperlukan untuk melaksanakan tanggung
jawabnya. Kegiatan audit internal secara kolektif harus memiliki pengetahuan, keterampilan, dan
kemampuan lain yang diperlukan untuk melaksanakan tanggung jawab fungsi audit internal.
Auditor internal harus menerapkan kehati-hatian dan keterampilan yang diharapkan dari auditor
internal yang kompeten dan beralasan.
Kegiatan audit internal harus menilai dan membuat rekomendasi yang tepat untuk perbaikan
proses tata kelola dalam pencapaian tujuan-tujuan:
(3) Mengkomunikasikan informasi risiko dan pengendalian ke area organisasi yang sesuai:
dan Mengkoordinasikan kegiatan dan mengkomunikasikan informasi di antara dewan, auditor
eksternal dan internal, dan manajemen.
4. Standar tentang Risk Management Berikut ini Standard 2120 dan Interpretation.
Kegiatan audit internal harus mengevaluasi efektifnya proses manajemen risiko dan
menyumbang gagasan perbaikan proses tersebut.
Interpretasi:
Menentukan apakah proses manajemen risiko itu efektif, merupakan pemikiran auditor internal
yang merupakan hasil dari penilaiannya bahwa:
(1) Tujuan-tujuan organisasi mendukung dan sejalan dengan misinya: Risiko-risiko
signifikan sudah diidentifikasi dan dinilai (probabilitas terjadinya dan dampaknya, jika terjadi);
(2) Tanggapan terhadap risiko yang dipilih, sudah tepat sejalan dengan selera" organisasi
terhadap risiko (organization's risk appetite), dan
(3) Informasi tentang risiko telah diperoleh dan dikomunikasikan secara tepat waktu ke
seluruh organisasi, sehingga staf, management, dan Dewan dapat melaksanakan tanggung jawab
mereka.
Global Technology Audit Guide (disingkat GTAG) adalah Buku Petunjuk Audit tentang
Teknologi Global yang membahas masalah Teknologi Informasi (TI) berkenaan dengan
management;control, dan security-Buku Petunjuk ini terdiri dari beberapa series yang merupakan
referensi penting bagi para CAE (chief audit executives) mengenar berbagai risiko terkait Tl dan
praktik- praktik yang direkomendasi. Beberapa series di antaranya membahas
Petunjuk ini penting untuk Critical for Organizational Success Change und Patch
Membahas peran continuous auditing dalam lingkungan audit internal masa kini, hubungan
antara continuous auditing, continuous monitoring, dan continuous ussurence; dan penerapan
serta pelaksanaan continuous auditing.
Management of IT Auditing
Petunjuk ini membahas risiko-risiko yang berhubungan dengan TI dan mendefinisikan IT audit
universe, dan juga bagaimana melaksanakan dan mengelola proses audit TI
Petunjuk ini membahas prinsi prinsip dan kerangka mengenai model, dan pengendalian Privacy
risks peranan auditor internal .
Petunjuk ini antara lain membahas siklus hidup penanganan lingkup audit atas vulnerability
management, dan metrics untuk mengukur praktik praktik vulnerability management.
Petunjuk ini membahas bagaimana memilih vender yang tepat untuk pertimbangan-
pertimbangan penting unduk mengendalikan kegiatan perusahaan atau klien.
Petunjuk ini membahas konsep pengendalian aplikasi dan hubungannya dengar pengendalian
umum, dan juga lingkup penelaahan, atas pengendalian aplikasi berbasis resiko.
Petunjuk ini membahas konsep-konsep utama IAM , risiko terkait proses IAM, petunjuk tentang
bagaimana mengaudit contoh-contoh checklist untuk para auditor.
Business Continuity Management
BCM (Business Continuity Management) membahas risiko bisnis, dan meliputi diskusi terinci
mengenai syarat-syarat program BCM.
Salah satu cara yang digunakan para konsultan (security consultancies) membantu para klien
ialah dengan serangkaian postur yang ketat melalui uji penetrasi (penetration tearing), juga
dikenal sebagai pen cesting. Uji penetrasi ini dilakukan di percobaan, menembus sistem
komputer, mencari titik-titik lemah (probing for weak spots) dalam lingkungan pengendalian,
dan sekali-sekali konsultan datang secara fisik di kantor kliennya dan berpura-pura/tanpa
diketahui pegawai si klien melakukan covertly testing (menguji secara terselubung) para
pegawai, untuk menilai kerentanan (vulnerabilities).
Pernyataan tersebut menyiratkan masalah terbesar dalam cybersecurity hari ini dan para akuntan-
dan lawyers, bankers, doctors, dan pemilik usaha kecil-bukan ahli teknologi;mereka adalah
pakar-pakar dalam bidang mereka masing . Ini berarti bahwa para kriminal yang berkarier di
bidang itu (career cybercriminals) selalu ahli teknologi, selalu berada dibaris terdepan
John Murphy, vice president of cybersecurity , yg menjadi penasihat president Bill Clinton
mengenai cybersecurity strategies, menjelaskan tentang suatu konsep militer yang disebut
"defense in depth (pertahanan yang berlapis-lapis) merupakan cara pertahanan untuk kantor-
kantor akuntan berukuran apa saja. Seperti istana dengan pertahanan berlapis -lapis mulai dari
parit, jembatan gantung sampai benteng, minyak mendidih dan tentara, begitulah seharusnya
suatu security system, dengan banyak metode prevensi yang tertanam (built in).
Norm Comstock, managing director UHY Advisors, yang juga memberikan technology
consulting services, menyarankan perusahaan-perusahaan kecil mengalokasikan anggaran(cyber
budget) mereka secara bijak untuk mencegah (prevention), menemukan (detection) ,
memulihkan (recovery) sistem dari serangan peretas.
Comstock menasihati para akuntan untuk berhati hati dengan apa yang disebutnya "mixed
environment" seperti penggunaan hp untuk bisnis dalam lingkungan perkantoran yang BYOD .
Dengan mencampurkan aplikasi konsumen (consumer applications) dan aplikasi perusahaan
(enterprise applications) dalam satu komputer atau hardware yang sama, berbagi/sharing dan
sumber-sumber lain, seorang pengguna dapat mengunduh "virus" komputer (malware) yang
dengan mudah inenghancurkan data perusahaan.
Contoh :
-MandiriError
Serangkaian pertanyaan
Nasabah mandiri dan publik ingin tahu mengenai hal-hal yang penulis istilahkan W5H3 (Who,
What, Why, When, Where, How, How much, How Many)
* What? Apa yang sesungguhnya terjadi di Mandiri, dan bukan penjelasan yang merupakan
upaya Public relations
* Why? Mengapa bisa terjadi? Pertanyaan berikutnya: apakah bisa terjadi pada bank-bank
BUMN lain, atau bank-bank pada umumnya? Atau sebaliknya, kalau tidak terjadi pada bank lain,
mengapa terjadi pada mandiri (lagi sial aja kali)
* How? Kalau disebut eror, eror berupa apa? Human error atau systems error, jika systems error
apakah pada perangkat keras/ hardware atau perangkat lunak/software. Atau apakah yang disebut
error ini adalah akibat peretasan? Seperti apa sih errornya?
* Berapa besar dampaknya (How much, apakah ada kerugian keuangan bagi nasabahnya,
berapa? How many, berapa jumlah nasabah yang kena errornya mandiri? Kalau hanya sebagian,
misalnya 10%, mengapa yang 90% bisa selamat? Apakah kerugian dapat dipulihkan?
* Where? Eror dimana? Akun apa saja yang kena error? Simpanan, giro, Pinjaman, Surat
berharga? Apakah terbatas pada kantor-kantor tertentu, atau diseluruh kantor Mandiri? Apakah
sasarannya pada saldo nasabah atau data nasabah yang lain?
* When? Kapan kejadiannya? Nasabah merasakan dampaknya pada hari Sabtu, 20 Juli 2019
pagi, tapi apakah error itu terjadi semalam sebelumnya, atau seminggu sebelumnya, dan
seterusnya.
* Who? Siapa yang bertanggung Jawab untuk mencegah terjadi error ini (atau dalam bahasa
audit interna, siapa risk-ownernya? Dan pertanyaan yang berhubungan dengan who ini, apa yang
dapat dilakukannya sehingga risiko ini dapat dicegah berulang di kemudian hari. Mungkin info
mengenai Who, hanya untuk Direksi, Dekom, Komite Audit, SPI, dan pihak tertentu Bank
Mandiri, khususnya para penjaga di Pertahanan Tiga Lini.
Lampiran 4
Pencurian Data
KBBI ( Kamus Besar Bahasa Indonesia) online menjelaskan arti kata “curi” sebagai berikut.
Curi/cu-ri/v, mencuri/ men-cu-ri/v mengambil milik orang lain tanpa izin atau dengan tidak sah,
biasanya dengan sembunyi-sembunyi malam tadi maling masuk kerumahnya dan sebuah radio;
Perhatikan kata-kata yang digunakan untuk menjelaskan kata “curi”: a) mengambil, b) milik
orang lain, c) tanpa izin, d) dengan tidak sah, e) dengan sembunyi-sembunyi. KBBI tidak
membatasi definisi “curi” ini dalam mencuri radio atau perhiasaan, atau barang berwujud.
Jika Penulis Buku ini boleh menambahkan kata lain untuk menjelaskan arti kata “curi” kata
tersebut adalah adjektiva yang menjelaskan b) milik orang lain. Kata itu adalah “ yang berharga”
. Barang berharga bisa berwujud atau tidak berwujud, data dan informasi masuk kelompok
barang tidak berwujud
Dengan definisi “curi tersebut, kita dapat menerjemahkan istilah data breach (bahasa Inggris)
menjadi Pencurian Data, seperti pada judul Lampiran ini.