Real World Audit Project

Pada kegiatan Audit Internal terdapat banyak standar yang tersedia sebagai dasar panduan melakukan aktivitasnya. Diantaranya adalah ISO 27000 dan COBIT 2019 yang menjelaskan kegiatan audit untuk informasi dan teknologi. Dari standar tersebut dijelaskan pentingnya melakukan Audit yang berbasis dari resiko terhadap suatu objektif organisasi. Karena inilah perlunya dipelajari bagaimana melakukan Risk Based Internal Audit (RBIA) dengan langsung terlibat ke lapangan. Dalam pembelajaran teori Audit Keamanan Informasi, juga digunakan referensi buku  Internal Auditing: Assurance & Advisory Services, Fourth Edition. Pada referensi tersebut menjelaskan tahap kegiatan audit yang dilakukan, terbagi menjadi 3 kategori umum yaitu Perencanaan, Pelaksanaan, dan Pelaporan.

Sebagai pengganti UAS pada mata kuliah ini, maka dilakukan RBIA untuk Direktorat Sistem Teknologi Informasi ITB  yang mencakupi Information Security(Infosec) dan Information Technology General Control (ITGC) menggunakan standar COBIT 2019. Berdasarkan tahapan audit pada referensi, berikut adalah kemajuan dari kegiatan yang telah dilakukan.

Tahap Perencanaan

Langkah 1 : Menentukan tujuan dan ruang lingkup kegiatan.

Pada tahap ini ditentukan dari tujuan kegiatan Audit, yaitu untuk mencari temuan awal serta membuat daftar resiko  sebagai dasar untuk Audit yang lebih mendalam oleh pihak Satuan Pengawas Internal ITB (SPI ITB). Untuk ruang lingkup kegiatan, akan difokuskan pada  Infosec dan ITGC bagi DitSTI ITB. Disini juga dilakukan berbagai perjanjian antara pihak audit (Auditor) dan yang akan di audit (Auditee), seperti Non-Disclosure Agreement dan Piagam Audit.

Langkah 2 : Memahami pihak yang di Audit

Untuk dapat memahami pihak yang akan di Audit, dalam hal ini DitSTI ITB maka perlu mencari berbagai dokumen relevan yang berkaitan dengan organisasi tersebut. Karena DitSTI ITB merupakan bagian dari entitas Institut Teknologi Bandung, maka diperlukan juga pemahaman mengenai entitas ITB secara umum, lalu DitSTI ITB secara khusus. Berikut adalah daftar dokumen yang ditemukan dari sumber terbuka.

Dari dokumen yang telah didapatkan, dapat dipahami tujuan dan fungsi dari ITB dan DitSTI ITB. Meski demikian masih belum diketahui bagaimana ketercapaian dari tujuan dan fungsi tersebut oleh organisasi itu sendiri, perlu dilakukan diskusi lebih mendalam dengan pihak terkait untuk mengetahui hal tersebut.

Langkah 3 : Mengidentifikasi dan menilai risiko

Pada tahap ini dikumpulkan berbagai macam skenario risiko dari berbagai referensi, terutama buku lain yang mendukung COBIT. Contohnya adalah ISACA Risk IT Practioner 2nd ed, yang menjelaskan berbagai macam resiko umum dan spesifik untuk bidang IT.

Dari dokumen yang tersedia untuk umum, dan beberapa dokumen rahasia internal telah dikumpulkan lalu dilakukan review mengenai risiko apa yang mungkin terjadi pada Auditee saat menjalankan proses nya yang dapat mengganggu tujuan. Dikaitkan dengan standar COBIT 2019 yang menjadi acuan dalam kegiatan audit ini. Saya mendapat bagian untuk mengecek dokumen Kebijakan Aturan TI ITB untuk pasal 17 hingga pasal 32. Berikut beberapa contoh resiko yang mungkin terjadi berkaitan dengan pasal tersebut.

Resiko yang terdaftar pada tabel tersebut adalah gambaran secara umum yang berkaitan dengan cakupan kegiatan audit. namun resiko berdasarkan referensi bukan hanya berarti negatif saja, tetapi bisa juga positif yang dapat menbuat kesempatan baru. Selain itu juga perlu dinilai dampak dan kemungkinan terjadinya resiko tersebut. Sehingga tabel tersebut masih perlu dilengkapi.

Langkah 4 : Mengidentifikasi kontrol pengendalian utama

Pada tahap ini akan melakukan identifikasi mengenai kontrol utama apa yang paling berpengaruh terhadap ketercapaian tujuan berdasarkan daftar resiko yang telah dibuat, kemudian akan diperiksa bagaimana kontrol yang dilakukan organisasi untuk dapat mengurangi dampak negatif dan memaksimalkan dampak positif.

Dari review dokumen, telah diberlakukan berbagai kebijakan yang berkaitan. Diantaranya juga terdapat pada dokumen Kebijakan Aturan TI ITB, walaupun masih banyak resiko lainnya yang belum diketahui bagaimana kontrolnya. Hal ini karena keterbatasan dokumen yang dapat diakses secara terbuka, sehingga perlu diskusi langsung oleh pihak Auditee mengenai tindakan apa yang dilakukan untuk mengatasi risiko tersebut, dan apakah tersedia dokumen berkaitan atau tidak.

Langkah 5 : Evaluasi kecukupan desain pengendalian

Pada tahap ini akan dievaluasi apakah kontrol yang dilakukan pihak Auditee cukup untuk dapat mengurangi dampak negatif risiko sehingga dapat ditoleransi. Dibagian ini sangat membutuhkan pengalaman dari auditor untuk menentukan hasil dengan baik, namun untuk proses pembelajaran maka tim Auditor mendiskusikan untuk dicukupkan dengan membandingkan banyaknya insiden risiko terjadi dengan yang berhasil diatasi oleh kontrol. Karena belum dilakukan nya diskusi langsung dengan pihak Auditee, maka pada tahap ini baru hanya memahami teori dasar nya saja dari buku referensi.

Langkah 6 : Membuat rencana pengujian

Pada tahap ini akan dibuat rencana untuk dapat menguji kehandalan kontrol yang diterapkan pihak Auditee. Rencana yang terpikirkan adalah akan membandingkan sistem kontrol dengan nilai Capability Level yang terdapat pada COBIT 2019. Karena belum dilakukan nya diskusi langsung dengan pihak Auditee, maka pada tahap ini baru hanya memahami teori dasar nya saja dari buku referensi.

Langkah 7 : Mengembangkan program kerja

Pada tahap ini akan dibuat garis besar linimasa kerja yang akan dilakukan oleh tim Audit, serta dengan ketercapaian dan target hasil yang didapat. Sejauh ini tersedia panduan untuk ketercapaian seperti berikut.

Dengan kondisi saat ini sudah memasuki minggu ke 15, namun proses engagement masih belum terlaksana. Saya tidak memiliki dokumen yang menyatakan linimasa untuk kegiatan Audit ini, sehingga masih perlu dibuat.

Langkah 8 : Mengalokasikan sumber daya untuk kegiatan

Pada tahap ini dilakukan pembagian tugas bagi masing-masing anggota tim Auditor, juga berbagai macam sumber daya lain seperti dana dan waktu. Namun untuk pembelajaran, hanya dilakukan alokasi tugas dan waktu saja. Tidak ada dokumen yang menyatakan pembagian tugas ini, melainkan perjanjian secara lisan saja antara anggota tim auditor.

Karena saya hanya mengambil 3 SKS untuk matakuliah ini saja, sehingga saya bertanggung jawab untuk bekerja sekitar 3 jam perminggu untuk menyelesaikan proyek ini. Untuk penugasan saya diberikan kewenangan untuk membuat metode pengujian untuk kontrol risiko yang ditentukan. Namun saat ini masih membantu mencocokan risiko yang ditemukan dengan kategori Key Management Objective COBIT 2019.

Rekap Historis Versi Post :

Version 1  : 23 November 2020, Post dibuat, menjelaskan garis besar kemajuan tugas

Leave a Reply

Your email address will not be published. Required fields are marked *