Saat ini, Badan Usaha Milik Negara (BUMN) perlu memberikan perhatian khusus terkait Tata Kelola dan Penyelenggaraan Teknologi Informasi. Hal ini karena terdapat Peraturan Menteri BUMN terbaru, PER-02/MBU/03/2023 Tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan Badan Usaha Milik Negara, yang mewajibkan BUMN untuk melaporkan hasil temuan IT Audit yang dilakukan secara mandiri atau independen berkala 1 (satu) kali dalam 1 (satu) tahun.
Oleh karenanya, pemahaman seputar IT Audit bagi Internal Audit perusahaan dan Organisasi TI perlu ditingkatkan agar dapat membantu perusahaan menentukan dan mengambil tindakan proaktif dalam meningkatkan kontrol internal dan mengelola risiko secara lebih efektif.
Pada artikel ini, Altha akan membahas seputar temuan IT Audit yang paling banyak kami temui di lapangan dan rekomendasi solusi serta langkah mitigasi yang dapat dilakukan oleh perusahaan Anda.
Berdasarkan pengalaman kami dalam melakukan audit TI pada klien di berbagai industri, kami mengidentifikasi
Top 5 Temuan Audit TI sesuai dengan statistik temuannya sebagai berikut:
1. Access Control: Kontrol akses yang kurang memadai (30%):
Kontrol akses yang kurang memadai dapat menyebabkan adanya risiko keamanan informasi seperti akses yang tidak terotorisasi, adanya perubahan data yang tidak sah, risiko kehilangan data serta penyalah gunaan sistem. Contoh kasus yang sering Altha temui: tidak adanya pemisahan akses untuk personel yang dapat mengakses server dan data development, testing, serta production.
2. System Maintenance & Update: Pemeliharaan dan pembaruan sistem yang kurang terstandar (25%):
Pemeliharaan dan pembaruan sistem yang kurang terstandar dapat meningkatkan risiko serangan keamanan dan kegagalan sistem. Contoh kasus yang sering Altha temui: tidak lengkap dan terdokumentasinya aktivitas pengujian dan approval go-live terhadap sistem menyebabkan kemungkinan adanya threat pada sistem yang tidak terdeteksi yang dapat mengganggu keamanan dan ketersediaan data di perusahaan.
3. Backup & Restore: Penyimpanan cadangan dan pemulihan data yang kurang terstandar(20%):
Aktivitas backup dan restore yang kurang terstandar dengan baik menyebabkan adanya kemungkinan seluruh data tidak ter-backup secara sempurna ataupun data yang terbackup tidak dapat di-restore ke dalam server database yang ada sehingga risiko kehilangan data tidak dapat dihindari. Contoh kasus yang sering Altha temui: Tidak dilakukannya aktivitas restoration testing / pengujian restore sehingga terdapat risiko data yang sudah di-backup gagal di-restore ke server cadangan ketika terjadi kerusakan pada server utama.
4. Policy & Procedure: Kebijakan dan prosedur yang tidak lengkap atau sudah lama tidak dimutakhirkan (15%):
Kebijakan dan prosedur terkait pengelolaan proses teknologi informasi yang tidak Konsisten, lengkap dan up-to-date dapat menyebabkan kelemahan keamanan dan risiko operasional yang lebih tinggi dikarenakan kurang relevannya point-point standar terhadap perkembangan teknologi informasi yang ada. Contoh kasus yang sering Altha temui: Tidak di-update-nya kebijakan dan prosedur terkait change request padahal telah terjadi perubahan proses. Misalnya: Dahulu pengajuan change request (CR) dilakukan melalui email, namun sekarang sudah berganti melalui form helpdesk.
5. Compliance: Ketidakpatuhan terhadap regulasi dan standar praktik terbaik kontrol TI (5%):
Ketidakpatuhan terhadap standar keamanan dan regulasi industri yang relevan dapat mengakibatkan sanksi hukum, denda, atau kerugian reputasi. Contoh kasus yang sering ditemui Altha: Tidak terdapat monitoring terhadap kebutuhan kepatuhan pelaporan sesuai dengan UU yang mengatur industri tersebut. Misal, untuk Industri Banking perlu memperhatikan kebutuhan kepatuhan terhadap Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 11/POJK.03/2022 Tentang Penyelenggaraan Teknologi Informasi Oleh Bank Umum.
Altha memiliki pengalaman teruji di berbagai perusahaan sehingga kami mampu memberikan pemahaman yang relevan dan kompetitif sesuai konteks bisnis. Jika Organisasi TI Anda menghadapi risiko temuan IT Audit seperti di atas, berikut beberapa hal yang dapat dipertimbangkan sebagai upaya mitigasi yang dapat diimplementasikan di organisasi / perusahaan Anda:
1. Meningkatkan kontrol akses:
2. Melakukan pemeliharaan dan pembaruan sistem secara rutin:
3. Mempersiapkan penyimpanan cadangan dan pemulihan data yang memadai:
4. Meninjau dan memperbarui kebijakan serta prosedur:
5. Memastikan kepatuhan terhadap standar keamanan dan regulasi:
Sebagai praktisi IT Audit yang berpengalaman, Altha berkomitmen untuk membantu perusahaan anda dalam menyiapkan SDM yang handal dalam melakukan dan mempersiapkan IT Audit melalui layanan pelatihan IT Audit. Solusi pelatihan kami mengkombinasikan pengetahuan & pengalaman praktikal kami di berbagai industri sehingga menjadi lebih relevan & kontekstual dalam implementasinya.
Dengan mengikuti training IT Audit kami, diharapkan perusahaan dapat menciptakan SDM yang mumpuni dan dapat memahami secara konteks bagaimana pelaksanaan IT Audit dan dapat secara mandiri melakukan IT Audit sesuai kebutuhan perusahaan.
Tertarik dengan Pelatihan atau training IT Audit kami? Kami menawarkan berbagai jenis pelatihan yang dapat disesuaikan kebutuhan klien kami untuk memastikan manfaat terbaik bagi seluruh klien kami.
Want to know more about our IT Audit Training? Contact us for details!
Altha Consulting
Tokopedia Tower, Ciputra World 2 Jakarta 12th Floor, Suite 12.33 - 12.37 Jl. Prof. DR. Satrio Kav. 3 Jakarta 12930
+62 21 252 4697