IT AUDIT FUNDAMENTALS

MENGAPA HARUS DIAUDIT?

APA ITU AUDIT IT ? Audit TI sering memberikan

informasi yang membantu
Audit TI adalah organisasi mengelola risiko,
bentuk pengawasan mengonfirmasi alokasi sumber
dan pengendalian daya yang efisien terkait TI, dan
mencapai tujuan TI.
dari infrastruktur
teknologi informasi
secara menyeluruh.

APA YANG DIAUDIT? SIAPA YANG

Pusat data dan faslitas fisik lainnya DIAUDIT?
Infrastruktur jaringan Public corporations
Telekomunikasi Financial institutions
Sistem operasi
Health care
Database
organizations
Penyimpanan
Server dan terotomatisasi Nonprofit organizations
Layanan dan operasi outsourcing Government agencies
Server web dan aplikasi Service providers
Aplikasi
Perangkat lunak dan aplikasi yang dikemas
Pengguna dan Aplikasi
Perangkat seluler

SIAPA YANG MELAKUKAN AUDIT TI ?

Organisasi yang bertugas untuk
Auditor Internal evaluasi
Auditor External Organisasi yang mengawasi
Perusahaan audit atau (Pemerintah)
akuntansi Inspektur jenderal, eksekutif
audit, atau pejabat setara

denipebrianto_22.0102.0032
 TOP 5 IT AUDIT FINDINGS IN
2021-2022
D
https://www.altha.co.id/insights/Top-5-IT-Audit-Findings-2021-2022
P
PENDAHULUAN
1. ACCESS CONTROL: KONTROL AKSES YANG KURANG
Saat ini, Badan Usaha Milik Negara MEMADAI (30%):
(BUMN) perlu memberikan perhatian Kontrol akses yang kurang memadai dapat menyebabkan adanya
risiko keamanan informasi seperti akses yang tidak terotorisasi,
khusus terkait Tata Kelola dan
adanya perubahan data yang tidak sah, risiko kehilangan data
Penyelenggaraan Teknologi Informasi. serta penyalah gunaan sistem. Contoh kasus yang sering Altha
temui: tidak adanya pemisahan akses untuk personel yang dapat
Hal ini karena terdapat Peraturan mengakses server dan data development, testing, serta production.
Menteri BUMN terbaru, PER-
2. SYSTEM MAINTENANCE & UPDATE: PEMELIHARAAN
02/MBU/03/2023 Tentang Pedoman Tata DAN PEMBARUAN SISTEM YANG KURANG
Kelola dan Kegiatan Korporasi Signifikan TERSTANDAR (25%):

Badan Usaha Milik Negara, yang Pemeliharaan dan pembaruan sistem yang kurang terstandar
dapat meningkatkan risiko serangan keamanan dan kegagalan
mewajibkan BUMN untuk melaporkan sistem. Contoh kasus yang sering Altha temui: tidak lengkap dan
hasil temuan IT Audit yang dilakukan terdokumentasinya aktivitas pengujian dan approval go-live
terhadap sistem menyebabkan kemungkinan adanya threat pada
secara mandiri atau independen berkala 1 sistem yang tidak terdeteksi yang dapat mengganggu keamanan
(satu) kali dalam 1 (satu) tahun. dan ketersediaan data di perusahaan.

Oleh karenanya, pemahaman seputar IT 3. BACKUP & RESTORE: PENYIMPANAN CADANGAN

DAN PEMULIHAN DATA YANG KURANG
Audit bagi Internal Audit perusahaan dan TERSTANDAR(20%):
Organisasi TI perlu ditingkatkan agar Aktivitas backup dan restore yang kurang terstandar dengan baik
menyebabkan adanya kemungkinan seluruh data tidak ter-backup
dapat membantu perusahaan
secara sempurna ataupun data yang terbackup tidak dapat di-
menentukan dan mengambil tindakan restore ke dalam server database yang ada sehingga risiko
proaktif dalam meningkatkan kontrol kehilangan data tidak dapat dihindari.Contoh kasus yang sering
Altha temui: Tidak dilakukannya aktivitas restoration testing /
internal dan mengelola risiko secara lebih pengujian restore sehingga terdapat risiko data yang sudah di-
efektif. backup gagal di-restore ke server cadangan ketika terjadi
kerusakan pada server utama.

4. POLICY & PROCEDURE: KEBIJAKAN DAN PROSEDUR

YANG TIDAK LENGKAP ATAU SUDAH LAMA TIDAK
DIMUTAKHIRKAN (15%):
30
Kebijakan dan prosedur terkait pengelolaan proses teknologi
informasi yang tidak Konsisten, lengkap dan up-to-date dapat
menyebabkan kelemahan keamanan dan risiko operasional yang
lebih tinggi dikarenakan kurang relevannya point-point standar
terhadap perkembangan teknologi informasi yang ada. Contoh
kasus yang sering Altha temui: Tidak di-update-nya kebijakan dan
20
prosedur terkait change request padahal telah terjadi perubahan
proses. Misalnya: Dahulu pengajuan change request (CR)
dilakukan melalui email, namun sekarang sudah berganti melalui
form helpdesk.

10 5. COMPLIANCE: KETIDAKPATUHAN TERHADAP

REGULASI DAN STANDAR PRAKTIK TERBAIK KONTROL
TI (5%):

Ketidakpatuhan terhadap standar keamanan dan regulasi industri

yang relevan dapat mengakibatkan sanksi hukum, denda, atau
0 kerugian reputasi. Contoh kasus yang sering ditemui Altha: Tidak
terdapat monitoring terhadap kebutuhan kepatuhan pelaporan
l

e:

e
tro

re

ur

nc
at

sesuai dengan UU yang mengatur industri tersebut. Misal, untuk

to
on

ed

ia
pd

es

pl
C

oc
U

Industri Banking perlu memperhatikan kebutuhan kepatuhan

R

om
ss

Pr
&

&
ce

C
ce

terhadap Peraturan Otoritas Jasa Keuangan Republik Indonesia

&
up
Ac

an

y
ck

lic

Nomor 11/POJK.03/2022 Tentang Penyelenggaraan Teknologi

en

Ba

Po
nt

Informasi Oleh Bank Umum.

ai
M
em
st
Sy