Minggu, 03 Mei 2015
IT Auditing 2015 at Banca D'Italia...
Seminar Information Systems Auditing in a Central Bank: Practical Experience and New Challenges pada tanggal 15 s.d. 17 April 2015 di Roma Itali, dengan penyelenggara dari Banca D’Italia.
a. Tujuan dari pelatihan adalah saling bertukar pikiran antar peserta dalam memberikan pengetahuan dan keterampilan mengenai audit di bidang IT Management dan update pengetahuan terkait dengan Cyber Security. Pengantar diskusi diawali oleh pemaparan 3 materi utama, yaitu : IT Risks and Operational Risks: Building an IT-aware Audit Universe; Audit Methods, Manuals and Approaches; Practical Experiences: Audit of an IT Application and of its Supporting Infrastructure; IT Audit Response to Cyber Security Challenges. Panel dihadiri oleh 21 peserta dari bank sentral lain, diantaranya 4 orang dari bank sentral di Asia dan Middle East, yaitu : India, Thailand, Tunisia, dan Jordan; dan 13 orang dari bank sentral wilayah Eropa Timur, yaitu : Rusia, Romania, Albania, Montenegro, Macedonia, Armenia, Ukraina, Bulgari, Bosnia, Kazakhtan, Kosovo, Czech dan Hungari; 4 dari bank sentral wilayah Africa : Aljazair, Ethiopia, Mozambique dan Afrika Selatan. Selama workshop berlangsung difasilitasi dan dihadiri oleh IT Auditor Senior Bank Itali, diantaranya Francesco Bellomari, Alberta Menicucci, Marco Massetti, Cristiano Paris dan Andrea Santoro.
b. Hal-hal penting dan berguna yang kami peroleh dari pelatihan tersebut antara lain :
(i) The main driver dari pelaksanaan audit adalah “risiko”, yang mencakup Bisnis audit universe dan IT audit universe. Dalam implementasinya mempertimbangkan antara lain : data operasional, hasil continuous auditing, control risk self assessment, relevant changes (organizational structure / incident occurred), recent audits dan strategic relevance. Secara umum, obyek audit diseleksi dari risiko proses kategori “tinggi”, namun risiko proses dengan kategori “sedang” dan “rendah” tetap dipilih berdasarkan professional judgement.
(ii) Dalam penjelasan terkait dengan materi Audit Methods, Manuals, and Approaches adalah diantaranya : Implementasi IT audit harus mengacu pada manual audit yaitu : Objectives of the IA activities, Planning, Preparation of the mission, performance of the audit engagements, Reporting, Review of draft Reports, Management of the Official Reports, dan Quality Approaches and Procedures. Di Bank Itali, obyek IT audit terdiri dari 4 kategori : IT management process, IT applications, IT infrastructures, dan IT projects. Secara umum, semua metode dan pendekatan audit IT untuk mencapai efektifitas, efisiensi dan security (risk control) dengan memperhatikan kecukupan pengendalian dan implementasinya.
(iii) Dalam penjelasan terkait dengan materi Cyber Security : Emerging Threats, Future Trends, Lesson learned
- Sehubungan dengan IT security diperlukan ada sebuah komunitas secara regular fokus dalam membahas dan memperbaiki network and information security; bertindak sebagai contributor pengembangan security culture; membantu dan melayani Commission dan Institusi sebagai centre of expertise. Di Itali dikenal dengan nama ENISA (European Network and Information Security Agency).
- Berdasarkan trend, ancaman dan pembobolan security melingkupi berbagai aspek IT infrastruktur, diantaranya cyber physical system, mobile computing, cloud computing, trust infrastructures, big data, smart environments dan network virtualization. Bentuk dari cyber crime tidak hanya dalam pengrusakan PC, namun dapat dalam bentuk penolakan service, kebocoran informasi dan spionase dunia maya.
- Faktor manusia merupakan factor kritikal yang harus diwaspadai terutama terkait dengan kesadaran akan security dalam penggunaan computer, karena pembobolan atau kebocoran sistem security banyak dipengaruhi oleh keteledoran manusia.
- IT Auditor memang harus memperkuat kompetensi dalam preventive control, dan tetap tanggap juga dalam memperkuat kompetensi terhadap detective control.
Dalam seminar, kami berkesempatan melihat Data Recovery Centre (DRC) yang terletak di pinggiran kota (sekitar 1,5 jam ditempuh dengan bis). Hal ini sangat berguna untuk memberikan kesan kepada para peserta terkait dengan security secara fisik bangunan DRC dan kesiapan IT baik secara SDM maupun teknologi dalam menjaga availability apabila terjadi failure atau disaster. Selain itu, Banca D’Italia mempromosikan terkait dengan rencana penerapan RIAD System sebagai anggota dari European Central Banks di bulan Agustus tahun ini, yang akan dimulai implementasinya secara bertahap. RIAD yang kepanjangannya Register of Institutions and Affiliates Database, memiliki cita-cita akan mempunyai database Negara-negara Eropa sehingga dengan lebih mudah untuk melakukan analisa dan menghasilkan keputusan kedepan terkait dengan sistem pembayaran dan stabilitas keuangan secara Eropa wide.
Kesimpulan
a. IT audit universe merupakan bagian yang tidak terpisahkan dengan bisnis audit universe. Ketika IT auditor melakukan audit aplikasi, maka IT auditor seharusnya memeriksa infrastrukturnya. Ketika melihat aplikasi dan infrastruktur, hal ini pasti sangat erat hubungannya dengan proses IT. Proses IT merupakan sebuah rangkaian kegiatan yang memiliki hubungan erat antara IT, sistem informasi dan kebutuhan bisnis. Oleh karena itu, ketika bisnis audit universe sudah dipilih untuk meng-assure risiko bisnis kategori tinggi, maka IT audit universe ikut menyumbangkan assurance untuk mendukung kepentingan bisnis.
b. Cyber Security bukan merupakan ilmu yang statis, tetapi merupakan ilmu yang dinamis dan sangat berkembang di dunia teknologi dan informasi. Oleh karena itu, IT Auditor selalu memperbaiki kompetensi dalam preventive control dan detective control di bidang IT Security.