Top 5 IT Audit Findings 2021-2022

Saat ini,  Badan Usaha Milik Negara (BUMN) perlu memberikan perhatian khusus terkait Tata Kelola dan Penyelenggaraan Teknologi Informasi. Hal ini karena terdapat Peraturan Menteri BUMN terbaru, PER-02/MBU/03/2023 Tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan Badan Usaha Milik Negara, yang mewajibkan BUMN untuk melaporkan hasil temuan IT Audit yang dilakukan secara mandiri atau independen berkala 1 (satu) kali dalam 1 (satu) tahun. 

Oleh karenanya, pemahaman seputar IT Audit bagi Internal Audit perusahaan dan Organisasi TI perlu ditingkatkan agar dapat membantu perusahaan menentukan dan mengambil tindakan proaktif dalam meningkatkan kontrol internal dan mengelola risiko secara lebih efektif. 

Pada artikel ini, Altha akan membahas seputar temuan IT Audit yang paling banyak kami temui di lapangan dan rekomendasi solusi serta langkah mitigasi yang dapat dilakukan oleh perusahaan Anda. 

Top 5 IT Audit Findings in 2021-2022

Berdasarkan pengalaman kami dalam melakukan audit TI pada klien di berbagai industri, kami mengidentifikasi 

Top 5 Temuan Audit TI sesuai dengan statistik temuannya sebagai berikut:
 

1. Access Control: Kontrol akses yang kurang memadai (30%): 

Kontrol akses yang kurang memadai dapat menyebabkan adanya risiko keamanan informasi  seperti akses yang tidak terotorisasi, adanya perubahan data yang tidak sah,  risiko kehilangan data serta penyalah gunaan sistem. Contoh kasus yang sering Altha temui: tidak adanya pemisahan akses untuk personel yang dapat mengakses server dan data development, testing, serta production.                     

2. System Maintenance & Update: Pemeliharaan dan pembaruan sistem yang kurang terstandar (25%): 

Pemeliharaan dan pembaruan sistem yang kurang terstandar dapat meningkatkan risiko serangan keamanan dan kegagalan sistem. Contoh kasus yang sering Altha temui: tidak lengkap dan terdokumentasinya aktivitas pengujian dan approval go-live terhadap sistem menyebabkan kemungkinan adanya threat pada sistem yang tidak terdeteksi yang dapat mengganggu keamanan dan ketersediaan data di perusahaan.                                                                        

3. Backup & Restore: Penyimpanan cadangan dan pemulihan data yang kurang terstandar(20%): 

Aktivitas backup dan restore yang kurang terstandar dengan baik menyebabkan adanya kemungkinan seluruh data tidak ter-backup secara sempurna ataupun data yang terbackup tidak dapat di-restore ke dalam server database yang ada sehingga risiko kehilangan data tidak dapat dihindari. Contoh kasus yang sering Altha temui: Tidak dilakukannya aktivitas restoration testing / pengujian restore sehingga terdapat risiko data  yang sudah di-backup gagal  di-restore ke server cadangan ketika terjadi kerusakan pada server utama.                                                                            

4. Policy & Procedure: Kebijakan dan prosedur yang tidak lengkap atau sudah lama tidak dimutakhirkan (15%):

Kebijakan dan prosedur terkait pengelolaan proses teknologi informasi yang tidak Konsisten, lengkap dan up-to-date dapat menyebabkan kelemahan keamanan dan risiko operasional yang lebih tinggi dikarenakan kurang relevannya point-point standar terhadap perkembangan teknologi informasi yang ada. Contoh kasus yang sering Altha temui: Tidak di-update-nya kebijakan dan prosedur terkait change request padahal telah terjadi perubahan proses. Misalnya: Dahulu pengajuan change request (CR) dilakukan melalui email, namun sekarang sudah berganti melalui form helpdesk.                                                                                                                                                          

5. Compliance: Ketidakpatuhan terhadap regulasi dan standar praktik terbaik kontrol TI (5%): 

Ketidakpatuhan terhadap standar keamanan dan regulasi industri yang relevan dapat mengakibatkan sanksi hukum, denda, atau kerugian reputasi. Contoh kasus yang sering ditemui Altha: Tidak terdapat monitoring terhadap kebutuhan kepatuhan pelaporan sesuai dengan UU yang mengatur industri tersebut. Misal, untuk Industri Banking perlu memperhatikan kebutuhan kepatuhan terhadap Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 11/POJK.03/2022 Tentang Penyelenggaraan Teknologi Informasi Oleh Bank Umum. 

Bagaimana menghindari risiko temuan audit tersebut?

Altha memiliki pengalaman teruji di berbagai perusahaan sehingga kami mampu memberikan pemahaman yang relevan dan kompetitif sesuai konteks bisnis. Jika Organisasi TI Anda menghadapi risiko temuan IT Audit seperti di atas, berikut beberapa hal yang dapat dipertimbangkan sebagai upaya mitigasi yang dapat diimplementasikan di organisasi / perusahaan Anda:

 1. Meningkatkan kontrol akses:

• Menggunakan autentikasi multi-faktor (MFA) 
• Mengelola hak akses berdasarkan prinsip need to have dan must have 
• Memantau activity log untuk mendeteksi akses yang tidak sah.

2. Melakukan pemeliharaan dan pembaruan sistem secara rutin:

• Memastikan sistem operasi, perangkat lunak, dan perangkat keras diperbarui dengan patch keamanan terbaru.
• Melakukan pemeliharaan berkala pada infrastruktur TI
• Mengembangkan rencana pemulihan bencana dan bisnis yang efektif.

3. Mempersiapkan penyimpanan cadangan dan pemulihan data yang memadai:

• Menentukan strategi backup dan restore yang sesuai dengan kebutuhan bisnis
• Melakukan backup secara rutin
• Melakukan restoration testing / pengujian restore untuk memastikan data yang terbackup dapat dilakukan restore 

4. Meninjau dan memperbarui kebijakan serta prosedur:

• Menyusun kebijakan dan prosedur yang sesuai dengan best practice
• Melakukan peninjauan berkala atas kebijakan dan prosedur.
• Melakukan pelatihan untuk memastikan pemahaman dan kepatuhan oleh karyawan.

5. Memastikan kepatuhan terhadap standar keamanan dan regulasi:

• Melakukan audit keamanan internal secara rutin 
• Mengadakan pelatihan keamanan bagi karyawan
• Bekerja dengan pihak eksternal untuk membantu dalam menilai dan meningkatkan kepatuhan terhadap standar keamanan.

IT Audit Training Altha

Sebagai praktisi IT Audit yang berpengalaman, Altha berkomitmen untuk membantu perusahaan anda dalam menyiapkan SDM yang handal dalam melakukan dan mempersiapkan IT Audit melalui layanan pelatihan IT Audit. Solusi pelatihan kami mengkombinasikan pengetahuan & pengalaman praktikal kami di berbagai industri sehingga menjadi lebih relevan & kontekstual dalam implementasinya.

Dengan mengikuti training IT Audit kami, diharapkan perusahaan dapat menciptakan SDM yang mumpuni dan dapat memahami secara konteks bagaimana pelaksanaan IT Audit dan dapat secara mandiri melakukan IT Audit sesuai kebutuhan perusahaan. 

Tertarik dengan Pelatihan atau training IT Audit kami? Kami menawarkan berbagai jenis pelatihan yang dapat disesuaikan kebutuhan klien kami untuk memastikan manfaat terbaik bagi seluruh klien kami.

Want to know more about our IT Audit Training? Contact us for details!