Selasa, 20 Mei 2014

2014 : Deutsche Bundesbank IT Auditing...



Expert Panel IT Auditing di Frankfurt Am Main, Jerman pada tanggal 13 s.d. 15 Mei 2014 diselenggarakan oleh Bundesh Bank. Terdapat beberapa poin yang dapat kami share :
1. Pengantar diskusi diawali oleh pemaparan 3 materi utama, yaitu : Audit Universe of IT Infrastructure, Best practices for incident and problem management, dan Development of audit program. Panel dihadiri oleh 15 peserta dari bank sentral lain, diantaranya 3 orang dari bank sentral di Asia, yaitu : Filipina, Pakistan dan India; dan 8 orang dari bank sentral wilayah Eropa Timur, yaitu : Rusia, Macedonia, Serbia, Ukraina, Azerbaijan, Georgia, Mongolia dan Moldova; serta peserta lainnya dari Mexico, Aljazair dan Palestina. Selama workshop berlangsung difasilitasi oleh Wolf Rudiger Mertens, CIA, CISA, CISSP, auditor senior dari Bundesh Bank dibantu oleh 2 orang rekannya Kerstin Sciortino dan Christian Woll. Tujuan dari pelatihan adalah saling bertukar pikiran antar peserta dalam memberikan pengetahuan dan keterampilan mengenai audit di bidang IT Security Management terutama audit program dengan obyek audit incident and problem management.

2. Hal-hal penting dan berguna yang kami peroleh dari pelatihan tersebut antara lain :
-IT audit universe sangat berguna tidak hanya dalam menentukan penilaian risiko obyek audit IT (risk assessment), tetapi juga dapat memudahkan dalam melakukan penilaian terhadap pelaksanaan audit (audit engagement). Selain itu, untuk beberapa obyek audit IT memiliki karakteristik yang spesifik dibandingkan dengan obyek audit non IT, diantaranya identifkasi proses dapat berbeda dengan sistem platform yang digunakan seperti operating system dan database.
-IT standar yang biasa digunakan dalam melakukan audit yaitu : IT Infrastructure library (ITIL versi 3), ISO 20000:2011 (IT Service Management), dan COBIT (Control Objective for Information and Related Technology). Dalam penerapan audit mengacu kepada standar sangatlah penting, mengingat standar merupakan pengalaman yang sudah teruji dalam framework dan disetujui para komunitas professional. Namun dalam penerapannya di dalam sebuah organisasi, perlu dilakukan pemilihan best practice yang paling cocok dengan lingkungan organisasi, kemudian diadaptasikan dan diterapkan sesuai dengan situasi dan kondisi yang ada.
-Dalam perencanaan audit, langkah untuk meganalisa obyek audit dan mengembangkan program audit sangatlah penting. Template untuk analisa obyek audit dan program audit sudah dibuatkan dalam standar form yang baku. Hal ini diharapkan dapat mengarahkan auditor dalam pelaksanaan audit lapangan yang meliputi : aspek audit, risiko, standar referensi, pertanyaan audit, kontrol, dan prosedur audit. Namun dalam diskusi karena keterbatasan waktu, pembahasan belum mencapai sesi kontrol dan prosedur audit yang lebih rinci.

3. Expert panel IT yang melibatkan para auditor dari bank sentral negara lain perlu dilakukan secara reguler setiap tahun untuk meng-update pengetahuan dan meningkatkan kerjasama internasional, sehingga para auditor lebih berkualitas dalam pelaksanaan audit dan memberikan kontribusi/nilai tambah tujuan strategi organisasi. Kelebihan dari kegiatan ini adalah interaksi yang lebih intens dari peserta untuk saling bertukar pikiran dan berbagi pengalaman audit. Selain itu, dalam perencanaan audit diperlukan persiapan yang lebih matang terutama dalam kegiatan menganalisa obyek audit dan mengembangkan program audit, sehingga dapat diyakini tercapainya tujuan pelaksanaan audit yang telah ditetapkan sebelumnya.

4. Selanjutnya berdasarkan diskusi pada sesi terakhir yang membahas isu audit secara umum, menurut hemat kami diperlukan untuk peningkatan pemahaman pelaksanaan audit jenis pre implementation . Di tahun 2013, bundesh bank melakukan 43 pre implementation audit aplikasi. Jenis audit ini perlu dipahami agar dapat memberikan nilai tambah pada organisasi dan terdapat beberapa pertimbangan kritikal yang perlu diantisipasi diantaranya penetapan jadwal, ruang lingkup, rekomendasi dan tindak lanjutnya.