From the Blog

Nov
23

Kegiatan Audit dan Manajemen Risiko sebagai pelaksanaan UAS AKI dan MRKI

Posted by bryang on November 23rd, 2020 at 10:48 am

I N T E R N A L

A U D I T

Audit merupakan suatu kegiatan yang bertujuan untuk memberi assurance atau consultance terhadap entitas sehingga dapat meningkatkan kualitas serta nilai dari entitas tersebut. Menurut IIA Board Director, definisi dari internal audit adalah sebagai berikut.

Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness ofrisk management,control, and governance processes

Tugas akhir dari mata kuliah AKI dan MRKI ini adalah untuk membantu ITB dalam melakukan audit berdasarkan risiko (risk based audit) terhadap aspek Information Technology General Control (ITGC) dan Information Security (InfoSec) di ITB. Dalam melakukan assurance terhadap organisasi diperlukan tahapan tertentu agar pelaksanaan audit dapat dilakukan dengan benar, pelaksanaan kegiatan audit ini dilakukan berdasarkan panduan Assurance Engagement Planning Activities yang dikeluarkan oleh buku Internal Auditing Assurance & Advisory Services dengan penulis Urton L. Anderson, serta panduan dari Control Objectives for Information and related Technology (COBIT) yang dikeluarkan oleh Information Systems Audit and Control Association (ISACA). Berikut adalah tahapan yang dilakukan dalam pelaksanaan audit terhadap ITGC dan InfoSec terhadap ITB.

1. Determine engagement objectives and scope

Tahap awal dari pelaksanaan audit adalah determine engagement objectives and scope, yaitu menentukan tujuan serta ruang lingkup dari pelaksanaan dari audit yang akan dilakukan. Tujuan dari audit ini adalah untuk membantu ITB dalam melaksanakan audit assurance berdasarkan risiko dalam tujuan strategic, operational, dan compliance. Sedangkan ruang lingkup dari pelaksanaan audit ini adalah audit akan dilakukan terhadap aspek Information General Control (ITGC) dan Infromation Security (InfoSec).

2. Understand the auditee, including auditee objectives and assertions

Understand the auditee, including auditee objectives and assertions merupakan tahap selanjutnya dalam pelaksanaan audit, yaitu untuk memahami auditi, serta tujuan dan asersi dari auditi. Aspek ITGC dan InfoSec dalam ITB sebagian besar dikelola oleh departemen Direktorat Sistem dan Teknologi Informasi (DitSTI) ITB.

Dalam pelaksanaan kewajiban dan hak, DitSTI memerlukan visi dan misi agar dapat mencapai tujuan organisasi. Visi dari departemen DiSTI adalah sebagai berikut.

“Mendukung ITB menjadi world class university dengan inovasi dan penyediaan sarana teknologi informasi yang akan meningkatkan daya saing institusi”

Serta misi dari departemen DitSTI adalah sebagai berikut.

  • Menyediakan infrastruktur, aplikasi, serta berbagai layanan berbasis TI untuk mendukung kegiatan-kegiatan (1) Pendidikan dan Pengajaran, (2) Penelitian, serta (3) Pengabdian Kepada Masyarakat yang dilakukan oleh komunitas ITB
  • Bekerja sama dengan berbagai pihak internal dan eksternal untuk meningkatkan kualitas dan kuantitas infrastruktur, aplikasi, serta berbagai layanan berbasis TI kepada komunitas ITB
  • Melakukan asistensi kepada berbagai unit kerja di lingkungan ITB untuk pengembangan dan Operasional STI di unit kerja masing-masing

Kedua aspek tersebut dapat membantu anggota audit dalam melakukan pemahaman terhadap auditi dalam pelaksanaan tugasnya, dengan salah satunya adalah membantu ITB menjadi universitas tingkat dunia dengan memanfaatkan teknologi informasi, dengan cara menyediakan dan meningkatkan kualitas infrastruktur dan berbagai layanan TI untuk mendukung komunitas ITB dan kegiatan yang dilakukan.

3. Identify and assess risks

Identify and assess risks merupakan tahap selanjutnya setelah melakukan pemahaman terhadap auditi, tahapan ini memastikan bahwa auditor mampu mengidentifikasi risiko serta melakukan assessment terhadap risiko yang dapat menghambat pencapaian tujuan organisasi, pada kesempatan ini maka risiko yang dimaksud adalah risiko yang dapat menghambat pencapaian tujuan departemen DirSTI. Dikarenakan audit ini diperlengkap dengan panduan dari COBIT, maka inherent risk (risiko mentahyang telah diidentifikasi akan dikaitkan dengan Governance and Management Objective yang terdapat pada dokumen COBIT sehingga pelaksanaan assessment dapat dilakukan dengan baik. Tahap identifikasi ini berawal dengan menentukan inherent risk dari DirSTI, dengan salah satu contoh dari risiko tersebut adalah sebagai berikut.

“Pelanggaran autorisasi penggunaan perangkat oleh pegawai”

Risiko yang telah teridentifikasi tersebut kemudian akan di-assess berdasarkan dampak (impact) dan kemungkinan (likelihood). Risiko tersebut memiliki dampak yang tidak baik dikarenakan penggunaan perangkat lunak tersebut dapat digunakan untuk keuntungan pribadi dengan kemungkinan risiko tersebut rendah apabila terdapat kontrol yang telah diterapkan. Tahapan ini akan dilakukan sampai tidak terdapat risiko yang melebihi batasan organisasi. Berikut adalah gambar mengenai risk assessment yang telah dilakukan terhadap dokumen kebijakan yang terkait dengan teknologi informasi dalam ITB.

4. Identify key controls

Tahap selanjutnya setelah mengindentifikasi dan mengassess risks adalah identify key controls, yaitu tahapan untuk mengidentifikasi kontrol yang berperan penting dalam mengurangi risiko dalam organisasi ke tingkat yang dapat diterima oleh organisasi. Pada pelaksanaan tahap ini key control yang digunakan untuk audit ITGC dan InfoSec sampai saat ini adalah key controls yang bersifat ideal terhadap risiko yang telah teridentifikasi.

5. Evaluate the adequacy of control design

Ketika key controls telah teridentifikasi maka tahap selanjutnya adalah evaluate the adequacy of control design, yaitu tahapan untuk mengevaluasi apakah key control yang telah teridentifikasi sudah didesain dengan baik untuk mengurangi risiko yang ada ke tingkat yang dapat diterima oleh organisasi. Tahap ini membutuhkan keahlian dari auditor dalam menentukan apakah relasi antara risiko dengan kontrol yang ada merupakan relasi yang bersifat individu atau relasi yang bersifat kolektif.

 6. Create a test plan

Tahap create a test plan merupakan tahap untuk membuat rencana engagement untuk mendapatkan bukti yang cukup sehingga evaluasi terhadap design control dapat dilakukan. Rencana tersebut dapat berupa prosedur test of  controls untuk menemukan direct evidence atau test of performance untuk mendapatkan indirect evidence mengenai efektifitas operasi kontrol dalam organisasi.

7. Develop a work program

Develop a work program merupakan tahap untuk membangun work program yang dapat berupa dokumen dengan tujuan untuk mencatat dan mendokumentasikan segala rencana serta aktifitas yang akan dan telah dilakukan pada saat pelaksanaan audit dilakukan. Work program yang dibuat pada kegiatan audit ini memiliki beberapa konten yang dapat membantu dalam pelaksanaan audit diantaranya seperti prosedur perencanaan, prosedur pelaksanaan, dan prosedur pelaporan. Pembuatan work program dalam pelaksanaan audit ini akan terus berkembang seiring dengan kegiatan audit yang dilakukan. Berikut adalah gambar mengenai audit program yang telah disusun sesuai dengan kebutuhan audit.

8. Allocate resources to the engagement

Tahap terakhir yaitu allocate resources to the engagement merupakan tahapan untuk menentukan sumber daya yang dibutuhkan dalam melaksanakan audit. Dalam tahap ini sumber daya yang sudah dialokasikan antara lain adalah sumber daya manusia, yang dilakukan dengan kapasitas anggota sebesar 3 orang, kemudian kemampuan anggota audit dalam pelaksanaan audit, dengan aspek ini tetap akan berkembang seiring dengan waktu pembelajaran didalam kuliah serta diluar kuliah, dan jadwal yang dibentuk untuk melakukan pertemuan rutin serta pembahasan progress pelaksanaan audit.

Berikut adalah grafik yang dapat merangkum progress audit yang telah dilakukan.

 

 

Leave a Reply

  1.  

    |