TEKNOLOGI
&
PENGENDALIAN
NYA
MICHAEL WIJAYANTO HARIONO
(121810025)
SEPULUH RISIKO
TEKNOLOGI
Global Internal Audit Common Body of Knowledge (disingkat CBoK) adalah kajian global terbesar
mengenai profesi audit internal, termasuk kajian mengenai para praktisi audit internal dan para
pemangku kepentingannya.
CBoK 2015, yang diikuti 14.518 responden dari 166 negara dan menggunakan 23 bahasa,
menunjukkan 10 Risiko utama dalam teknologi yang menjadi perhatian para praktisi audit internal
SEPULUH RISIKO
TEKNOLOGI
CYBERSECU SOCIAL
01 06
RITY MEDIA USE
INFORMATION MOBILE
02 07
SECURITY COMPUTING
SYSTEMS DEVELOPMENTS SKILLS AMONGS
03 08 INTERNAL AUDITORS
PROJECTS
IT EMERGING
04 GOVERNANC 09 TECHNOLOGIE
E S
BOARD AND AUDIT
OUTSOURCED IT COMMITTEE
05 10 TECHNOLOGY
SERVICES
CYBERSECURITY
• Cybersecurity adalah pengamanan atas kejahatan penyalahgunaan data
elektronis (Tuanakotta, 2019).
CYBER • Salah satu risiko terbesar dalam cybersecurity yang dihadapi organisasi
adalah kemungkinan penyusup dari luar (external perpetrators) untuk
mencuri data yang sensitif atau rahasia.
SECURITY • Kebanyakan organisasi menyadari kerugian yang diakibatkan oleh
peretasan data (data breaches) terhadap merek dagang atau sejenisnya
(brands) dan reputasi (Tuanakotta, 2019)
• Apakah organisasi mampu memantau penyusupan ke dalam jaringan?
MENGENAI • Kapan terakhir kalinya uji pemulihan bencana dilakukan? Apakah sukses? Apa
masalah yang dihadapi?
INFORMATION
SECURITY • Apa ketentuan wajib dipatuhi organisasi?
(CBOK 2015) • Apakah peretas eksternal dapat membobol parameter fisik dengan menggunakan
rekayasa sosial? (Contoh peretas memulai dengan obrolan basa-basi dengan
karyawan di luar kantor, dan membuntutinya sampai ke pintu masuk untuk men-scan
kartu identitasnya.)
• Lakukan uji kerentanan atas jaringan internal.
TI • Pelaporan mengenai status kemajuan proyek jarang dilakukan, atau dilakukan tidak
akurat.
• Bagaimana proyek-proyek disetujui dalam organisasi?
• Ikut serta dalam audit proyek bersama audit yang dilakukan vendor atau tim mutu
DAFTAR YANG untuk membatasi jumlah audit dan/atau mendapatkan pengetahuan tambahan. Hal
HARUS ini akan menekan jumlah gangguan terhadap proyek.
AUDIT INTERNAL • Telaah daftar proyek dan audit apakah metodologi diikuti, khususnya untuk proyek
MENGENAI IT yang melebihi anggaran atau lewat waktu.
SDP • Periksa apakah pengguna terlibat dalam perubahan lingkup proyek dan apa-apa yang
harus dikerjakan
(CBOK 2015)
• Setelah proyek selesai, reviu kepuasan pengguna berdasarkan kajian organisasi TI,
atau lakukan sendiri kajian untuk meyakinkan kajian organisasi TI.
• Tentukan setelah selesai proyek, hal-hal yang dapat menjadi pembelajaran untuk
perbaikan proyek di kemudian hari.
IT GOVERNANCE
• Ada kesenjangan yang lebar antara apa yang orang IT pikirkan menjadi kebutuhan
bisnis dan apa yang pebisnis pikirkan tentang apa yang TI dapat berikan kepada
bisnis.
• Maka dari itu, pebisnis mengharapkan, setidak-tidaknya, adalah tata kelola yang
IT GOVERNANCE baik, a good IT governance.
• Secara berkala, lakukan audit untuk menentukan apakah fungsi TI sejalan dengan dan
memahami prioritas strategis organisasi.
DAFTAR YANG
HARUS • Telaah efektifnya sumber daya TI dan manajemen kinerjanya.
DILAKUKAN • Nilai risiko yang bisa berdampak buruk terhadap lingkungan TI.
(CBoK 2015) • Bandingkan program kepatuhan dalam organisasi dengan kerangka yang ada seperti
Control Objectives for Information and Related Technology (COBIT), Committee of
Sponsoring Organizations of the Treadway Commission (COSO), National Institute of
Standards and Technology (NIST), dan International Organization for Standardization
(ISO) 27001 dan ISO 27002, sesuai dengan ukuran (untuk organisasi besar).
OUTSOURCED IT
SERVICES
• Outsourcing dalam jasa IT berarti bahwa dalam pengerjaan jasa TI meminta jasa-jasa
pihak ketiga
• Secara rata-rata, 4 dari 10 auditor internal yang disurvei menyatakan akan ada
peningkatan dalam audit terhadap jasa-jasa TI yang di-outsource.
• Apakah jasa-jasa yang di-outsource penting untuk organisasi?
DAFTAR • Apa struktur tata kelola untuk kegiatan yang di-outsource? Apakah peran dan tanggungjawab
dirumuskan dengan baik?
PERTANYAAN • Apakah analisis risiko yang rinci dilakukan ketika outsourcing, dan apakah analisis risiko
YANG HARUS dilakukan secara teratur?
DIAJUKAN • Apakah ada kontak formal atau SLA untuk kegiatan yang di-outsource?
AUDIT INTERNAL • Apakah SLA merumuskan dengan jelas indicator kinerja utama, untuk memantau kerja vendor?
MENGENAI • Bagaimana kepatuhan terhadap kontrak atau SLA dimonitor?
OUTSOURCED IT • Apakah mekanisme yang digunakan jika terjadi ketidakpatuhan terhadap SLA?
SERVICES • Apakah tanggung jawab mengenai kepemilikan sistem data, sistem komunikasi, , sistem
(CBoK 2015) operasi, perangkat lunak utilitas, dan perangkat lunak aplikasi dirumuskan dengan baik dan
disepakati dengan pemberian jasa?
• Apakah proses untuk mendapat kepastian mengenai efektifnya pengendalian internal yang ada
di pihak pemberi jasa?
• Libatkan diri sedini mungkin dalam proses kontrak outsourcing.
• Lakukan audit atas vendor/pihak ketiga dan telaah SLA dan KPI
mereka.
DAFTAR YANG
HARUS • Telaah jasa pihak ketiga di mana terjadi ketidakpatuhan dan lihat
DILAKUKAN apakah langkah-langkah tepat sudah diambil.
AUDIT INTERNAL • Pastikan bahwa semua source code yang dikirim pemberi jasa
MENGENAI outsourcing telah di-scan untuk melihat adanya malware.
OURSOURCED IT
SERVICES • Audit proses pembuatan keputusan untuk menentukan
bagaimanan organisasi memutuskan unsur-unsur IT yang perlu di
(CBoK 2015)
outsource.
• Memetakan keahlian teknologi yang sudah ada terhadap teknologi yang digunakan
LANGKAH YANG dalam organisasi.
DAPAT DIAMBIL • Identifikasi kesenjangan keahlian (skill gap) untuk semua teknologi yang belum
terpenuhi oleh kelompok audit internal. Setelah kesenjangan ini teridentifikasi, audit
AUDIT INTERNAL internal mempunyai beberapa opsi untuk menjembatani kesenjangan ini
UNTUK
Opsi 1: Kembangkan keahlian yang diperlukan dari dalam organisasi dengan
MENGATAS mangalokasikan anggaran dan mengadakan pelatihan untuk staf yang ada.
KEKURANGAN Opsi 2: Rotasi staf dengan keahlian TI, melalui kerja sama dengan CIO (Chief Information
KEAHLIAN IT Officer).
Opsi 3: Kerja sama dengan pihak ketiga, melalui outsourcing (jasa diberikan sepenuhnya
oleh pihak ketiga) atau co-sourcing (kerja sama dengan pihak ketiga).
• Bangun kerja sama dengan staf inti TI dan tunjukkan bagaimana audit TI menambah
nilai buat organisasi.
• Big data
• Robotics.
• Apakah organisasi mempunyai tim yang mengevaluasi
DAFTAR emerging IT technologies?
PERTANYAAN
YANG HARUS • Apakah organisasi mempunyai proses formal untuk
mengevaluasi emerging technologies?
DIAJUKAN
AUDIT INTERNAL • Bagaimana organisasi mengidentifikasi risiko berkenaan
MENGENAI emerging technologies?
EMERGING
TECHNOLOGIES • Apa proyek yang sekarang sedang berjalan di mana
teknologi baru digunakan dalam lingkungan produksi?
• Dapatkan daftar teknologi yang digunakan saat ini.
DAFTAR YANG
HARUS • Pahami proyek-proyek di mana emerging technology
DILAKUKAN mungkin digunakan.
AUDIT INTERNAL
• Audit proses risiko untuk emerging technologies
MENGENAI (bagaimana risiko diidentifikasi ketika menilai emerging
EMERGING technology).
TECHNOLOGIES
(CBoK 2015) • Diskusi dengan tim teknologi TI untuk memahami strategi
mereka dalam mengadopsi emerging technologies.
BOARD AND
AUDIT
COMMITTEE
TECHNOLOGY
AWARENESS
• Dalam survey CBoK 2015, Dekom di Sebagian perusahaan tidak
BOARD AND paham teknologi, atau dalam bahasa “anak muda”, Dekom dan
AUDIT Komite-Komitenya “gaptek”
COMMITTEE
TECHNOLOGY • Audit internal memainkan peran kunci dan menjadi perantara
yang membuka mata Dekom dan Komite Audit tentang teknologi
AWARENESS dan manfaatnya dalam organisasi.
DAFTAR
PERTANYAAN
YANG HARUS
• Jika perubahan teknologi direncanakan, apa strategi TI organisasi?
DIAJUKAN
AUDIT INTERNAL • Apakah komite audit memahami risiko TI, dan apakah komie
MENGENAI audit dapat melihatnya dalam konteks risiko perusahaan?
BOARD AND
• Apakah komite audit memahami tanggung jawab dan perannya
AUDIT dalam konteks risiko perusahaan dan kesadaran teknologi?
COMMITTEE
TECHNOLOGY
AWARENESS
DAFTAR YANG
HARUS • Pastikan keberadaan berteknologi masuk dalam agenda pertemuan
DILAKUKAN dengan komite audit.
AUDIT INTERNAL
• Bertindak sebagai penasihat untuk organisasi ketika membuat
MENGENAI keputusan tentang emerging technology (misalnya, ketika
AUDIT organisasi berencana untuk memindahkan informasi sensitif ke
COMMITTEE cloud atau ketika informasi sensitif disimpan di penyedia jasa
TECHNOLOGY pihak ketiga).
AWARENESS
STUDI KASUS
MARRIOTT
STARWOOD
• Peretas telah melanggar sistem reservasi Starwood dan telah
mencuri data pribadi hingga 500 juta tamu
• Bisa dikatakan bahwa data tamu hotel yang dicuri merupakan data
IDENTIFIKASI
yang sangat krusial karena itu menyangkut privasi dan berpotensi
MASALAH untuk disalahgunakan
• Apakah ada tim yang menangani serangan dan apakah mereka memahami
peran dan tanggung jawabnya?
• Starwood seharusnya dalam waktu 2 tahun bisa mengidentifikasi
penyusupan dan mengatasinya namun hal tersebut gagal
• Selain dari sisi tamu, kasus ini membuat nama baik Marriott Starwood
menjadi tercoret dan Marriott Starwood mendapatkan banyak tuntutan
serta dedenda oleh pengawas privasi data Inggris senilai 18,4 juta
poundsterling atau setara 347 miliar
• Marriott Starwood telah membuat tindakan untuk pencegahan (prevention)
terhadap kemungkinan penyusupan yang ada, namun sayangnya auditor
internal tidak terlalu memperhatikan deteksi (detection) terhadap
penyusupan yang ada.