Jurnal #4 : Manajemen Resiko IT Audit

Di Jurnal #4 ini penulis akan memberi informasi mengenai Manajemen Resiko IT Audit.

bigstock-Word-Cloud-Risk-Management-41385367

 

Manajemen Resiko itu sendiri merupakan sebuah proses kontrol dan identifikasi keuangan dari sebuah resiko yang bisa mengancam aset dan pencapaian sebuah perusahaan atau proyek yang dapat mengakibatkan kerugian.

Banyak praktisi menggunakan teknik manajemen resiko untuk merespon banyaknya resiko pada perusahaan. Ada dua macam penanganan manajemen resiko. Yaitu, mencegah dan memperbaiki. Mencegah bisa dilakukan dengan cara mengurangi resiko pada awal-awal pembentukan/pembangunan perusahaan. Sedangkan memperbaiki bisa dilakukan dengan cara menyelesaikan dampak yang terjadi akibat resiko yang didapat.

Lalu, apa kaitannya dengan IT Audit?

Untuk mengaudit sistem tata kelola yang dilakukan perusahaan secara internal, ada baiknya seorang auditor harus memanfaatkan proses manajemen resiko. Biasanya, dalam suatu perusahaan tim manajemen resiko akan memberikan data-data yang bisa digunakan bagi auditor untuk menelaah sejauh mana tingkat resiko yang berdampak bagi perusahaan. Tiap perusahaan memiliki struktur dan terminologi manajemen resiko yang berbeda. Maka dari itu, Seorang auditor terlebih dahulu harus mengevaluasi secara detail sistem dan pengendalian tata kelola pada perusahaan tersebut, apakah berjalan dengan baik atau tidak. Auditor tersebut juga perlu berkoordinasi kepada Badan Asuransi dalam memberikan jaminan keselamatan pada manajemen resiko. Jaminan perusahaan apa yang bisa diberikan oleh Badan tersebut dan apakah bisa mencegah terjadinya resiko bagi perusahaan. Jika jaminan tersebut bermanfaat untuk waktu yang panjang, maka koordinasi tsrsebut patut dilakukan demi mengurangi dampak kerugian resiko tersebut.

referensi:
auditorinternal.com , Blog Jurnal SDM

Jurnal #3 : IT Auditor di Indonesia

Setelah mengetahui berbagai sertifikasi untuk calon auditor di Jurnal #2, di Jurnal #3 ini penulis akan mengajak pembaca untuk mengenal lebih jauh mengenai dunia IT Audit di Indonesia.

accountant working

Sebagai IT Auditor, untuk menunjang karirnya diperlukan berbagai macam sertifikasi dan pengalaman yang baik. Di Indonesia, pengalaman sebagai IT Auditor sangat dibutuhkan bagi banyak perusahaan, terutama perusahaan lokal.

Profesi IT Auditor atau Internal Auditor sangat dibutuhkan oleh banyak perusahaan baik swasta maupun negeri. Hal ini dikarenakan banyaknya kasus kecurangan yang terjadi di banyak perusahaan, terutama perusahaan negeri atau yang biasa dikenal dengan BUMN. Kasus tersebut bermunculan karena kurangnya perhatian dari pemerintah itu sendiri sehingga banyak “kecolongan” pada pencapaian dan keberhasilan perusahaan tersebut.

Mengambil pilihan profesi sebagai IT Auditor atau Internal Auditor pasti memiliki resiko yang besar. Terlebih profesi tersebut menuntut kita agar bertanggung jawab dan senantiasa menjaga kode etik auditor.

SERTIFIKASI

(sumber: akuntansiterapan.com) Demikian juga hal nya dengan sertifikasi profesi. Saat ini saja di Indonesia sudah ada dua jenis sertifikasi selain sertifikasi internasional yang juga dilakukan di Indonesia yaitu CIA (certified internal auditor).

a. Qualified Internal Auditor (QIA)

QIA adalah gelar kualifikasi dalam bidang internal auditing, yang merupakan simbol profesionalisme dari individu yang menyandang gelar tersebut. Gelar QIA juga merupakan pengakuan bahwa penyandang gelar telah memiliki pengetahuan dan keterampilan yang sejajar dengan kualifikasi internal auditor kelas dunia. QIA diberikan oleh Dewan Sertifikasi yang terdiri dari unsur-unsur organisasi profesi internal audit terkemuka di Indonesia yaitu unsur Badan Pengawasan Keuangan & Pembangunan (BPKP), Forum Komunikasi Satuan Pengawasan Intern , The Institute of Internal Auditor (IIA) Indonesia Chapter, Perhimpunan Auditor Internal Indonesia (PAII), YPIA dan akademisi serta praktisi bisnis yang memiliki kompetensi dan komitmen terhadap internal auditing. Sampai saat ini, YPIA adalah satu-satunya lembaga yang diberi wewenang oleh Dewan Sertifikasi untuk menyelenggarakan pendidikan dan Ujian Sertifikasi QIA.

Gelar QIA dapat diperoleh oleh seorang auditor setelah menjalani serangkaian pelatihan / ujian sertifikasi dan dinyatakan lulus yang dilaksanakan oleh Institut Pendidikan Audit Manajemen / Yayasan Pendidikan Internal Audit (YPIA) yang terdiri dari 5 (lima) jenjang, sebagai berikut :

 

  • Pelatihan Audit Intern Tingkat Dasar I.
  • Pelatihan Audit Intern Tingkat Dasar II
  • Pelatihan Audit Intern Tingkat Lanjutan I
  • Pelatihan Audit Intern Tingkat Lanjutan II
  • Pelatihan Audit Intern Tingkat Manajerial.

 

b. Professional Internal Auditor (PIA)

Pusat Pengembangan Akuntansi & Keuangan Sekolah Tinggi Akuntansi Negara (PPAK STAN) memberikan pengakuan berupa pemberian sertifikat Professional Internal Auditor (PIA) terhadap peserta Pendidikan & Pelatihan (diklat) auditor internal yang telah menyelesaikan 5 tahapan diklat auditor internal yaitu :

1). Diklat Dasar-dasar Audit.

2). Diklat Audit Operasional.

3). Diklat Psikologi dan Komunikasi Audit.

4). Diklat Audit Kecurangan.

5). Diklat Pengelolaan Tugas-tugas Audit.

Selain kepada peserta diklat yang telah mengikuti kelima tahapan diklat tersebut, sertifikat Professional Internal Auditor juga diberikan bagi para Kepala Satuan Pengawas Intern dan Kepala Badan Pengawas Daerah yang telah mengikuti Diklat Khusus yang diselenggarakan oleh PPAK STAN.

Pendidikan Profesi berkelanjutan (Continued Profession Education)

Sebagai sebuah profesi, organisasi profesi internal auditor mensyaratkan para anggotanya untuk selalu meningkatkan pengetahuan & ketrampilan melalui Pendidikan Profesi berkelanjutan (PPL). Pemegang gelar QIA yang dikeluarkan oleh Dewan sertifikasi QIA harus menjalani PPL.

 

Jurnal #2 : Sertifikasi dan Standar IT Auditor


Di jurnal sebelumnya penulis telah membahas mengenai apa itu IT Audit dan hubungannya dengan tata kelola teknologi informasi perusahaan. Pada jurnal yang kedua ini penulis akan memberikan informasi terkait sertifikasi dan standar IT Audit yang banyak digunakan di berbagai perusahaan.


Sebelum mengenal lebih jauh ragam sertifikat yang bisa diperoleh, seorang calon auditor harus mengetahui ragam framework atau standar panduan/tata kelola dalam pengelolaan IT pada suatu perusahaan. Berikut beberapa standar panduan/tata kelola yang dapat dipelajari:

1. COBIT

COBIT_Logo

COBIT yaitu Control Objectives for Information and Related Technology yang merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1992. (sumber: Blog Dosen Indonesia)

 

2. ITAF

itaf-logo

ITAF adalah model yang komprehensif dan memberikan panduan praktek tentang penerapan nya, meliputi :

  • Memberikan bimbingan pada desain, pelaksanaan dan pelaporan IS audit dan jaminan tugas
  • Mendefinisikan istilah dan konsep spesifik untuk jaminan IS
  • Menetapkan standar bahwa alamat IS audit dan jaminan peran dan tanggung jawab profesional; pengetahuan dan keterampilan dan ketekunan, perilaku dan persyaratan pelaporan (sumber: Sigit Blog’s)
3. ISO
1000px-ISO_english_logo.svg
International Organization for Standardization (ISO) adalah badan standar dunia yang dibentuk untuk meningkatkan perdagangan internasional yang berkaitan dengan perubahan barang dan jasa. ISO bertujuan untuk mengharmonisasi standar-standar nasional di masing-masing negara menjadi satu standar internasional yang sama. ISO digunakan sebagai: (Rabbit & Bergh, 1994)

 

  • Pondasi dari kegiatan perbaikan yang sifatnya berkelanjutan untuk kepuasan pelanggan.
  • Sistem dokumentasi yang benar dari perusahaan.
  • Cara yang jelas dan sistematik dari manajemen mutu.

Mendapatkan stabilitas dan konsistensi dalam kegiatan dan sistem.Kerangka kerja yang bagus untuk perbaikan mutu. (sumber: Sharing Mahasiswa)

4. IAASB

iaasb-logoInternational Auditing and Assurance Standards Board (IAASB) adalah merupakan badan yang dibentuk olehInternational Federation of Accountants (IFAC) sebagai badan pembuat standar auditing dan assurance.

Standar yang diterbitkan oleh IAASB terbagi dalam tiga kategori. Pertama, standar audit dan review informasi keuangan historis. Standar ini terdiri dari dua standar yaitu : International Standard on Auditings (ISAs), danInternational Standard on Review Engagement (ISREs). Selanjutnya, untuk membantu penerapan standar auditing, IAASB mengeluarkan International Auditing Practice Statement (IAPSs). IAPS ini merupakan pedoman interpretasi dan bantuan praktis di dalam menerapkan standar auditing. Dan untuk penerapan standar review, IAASB juga telah mengeluarkan pedoman interpretasi dan batuan praktisnya. Pedoman ini diberi namaInternational Review Engagement Practice Statement (IREPSs). (sumber: Audit-me)

Setelah mengetahui beberapa jenis standar/badan standar apa saja sebagai acuan Audit, sekarang kita akan mengenal beberapa sertifikasi yang bisa dilakukan oleh seorang calon auditor.
1. CIA
 CIA logo
Certified Internal Auditor (CIA) merupakan satu-satunya sertifikasi bidang internal audit yang diakui secara internasional. Sertifikasi yang dikeluarkan oleh The Institute of Internal Auditors (The IIA) ini telah berkembang dan dijadikan sebagai pengakuan atas integritas, profesionalisme, dan kompetensi pemegangnya di bidang pengauditan internal. Pengakuan atas gelar CIA membuat kebutuhan berbagai organisasi, baik pemerintahan maupun swasta, atas pemegang CIA semakin tinggi. (sumber: Pusat Pengembangan Akuntansi Universitas Indonesia )
2. CISA
cisa-1
CISA (Certified Information Systems Auditor) adalah sebuah bukti pencapaian kemampuan profesional di bidang audit, kontrol, dan keamanan sistem informasi yang diakui di tingkat internasional. CISA dikeluarkan oleh ISACA (Information Systems Audit and Control Association) sejak 1978. (sumber: Kevin Ariel)
3. CISM
CISM
Certified Information Security Manager (CISM) adalah sertifikasi profesional untuk manajemen keamanan informasi yang diberikan oleh ISACA. CISM bertujuan memberikan pengetahuan umum pada bidang keamanan informasi dan mencakup pengetahuan mengenai manajemen resiko informasi, tata kelola keamanan informasi, serta isu-isu praktis seperti pengembangan dan pengelolaan program keamanan informasi serta manajemen insiden. (sumber: Wikipedia)
4. CGEIT
CGEIT_generic_logo
Certified in the Governance of Enterprise Information Technology (CGEIT) adalah sertifikasi profesional yang dibentuk pada tahun 2007 oleh ISACA. CGEITdirancang bagi profesional yang telah berpengalaman paling tidak 5 tahun di manajemen atau konsultasi tata kelola teknologi informasi di tingkatan korporasi serta berhasil melewati ujian tulis yang diadakan ISACA. (sumber: Wikipedia)
5. CRISC
logo-CRISC-2
CRISC™ ( dieja: si-risk) atau The Certified in Risk and Information System Control™, demikian nama sertifikasi baru tersebut. CRISC diberikan kepada profesional TI yang bertugas mengidentifikasi dan mengelola risiko melalui pengembangan, implementasi dan pemeliharaan sistem informasi untuk membantu perusahaan dalam mencapai tujuan-tujuan bisnisnya, seperti: operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, serta kepatuhan terhadap peraturan dan ketentuan perundang-undangan yang berlaku.
Sertifikasi CRISC berfokus pada:

  • Identifikasi, penilaian, dan evaluasi risiko
  • Respons risiko
  • Pemantauan risiko
  • Desain dan implementasi pengendalian sistem informasi
  • Pemantauan dan pemeliharaan pengendalian sistem informasi. (sumber: Auditor Internal)

Beberapa sertifikasi yang telah disebutkan, hampir seluruhnya dikeluarkan oleh ISACA. ISACA sendiri merupakan sebuah organisasi internasional yang bergerak di bidang tata kelola teknologi informasi yang berdiri pada tahun 1967 di Amerika Serikat.

Di Indonesia sendiri ada beberapa perusahaan penyedia sertifikasi untuk IT Auditor. Apa saja? Selanjutnya akan dibahas di Jurnal #3: IT Auditor di Indonesia

Jurnal #1: Mengenal IT Audit


5-signs-you-need-a-new-auditorApa yang kamu bayangkan ketika melihat atau mendengar kata ‘Audit’? Kemungkinan besar kamu pasti membayangkan setumpuk berkas keuangan yang harus dilaporkan ke direksi perusahaan. Kenyataannya, audit bukan hanya bertumpu pada segi finansial saja. Di era informasi sekarang ini, perusahaan bukan hanya memikirkan pencapain finansial semata. Pengelolaan Sumber Daya dalam perusahaan juga menjadi sorotan utama selain keuangan. 


Hampir seluruh Perusahaan besar di Indonesia bahkan Dunia pasti memiliki standar atau kerangka kerja yang dipakai untuk melakukan pencapaian visi dan misi. Komposisi kerangka kerja itu meliputi banyak hal, seperti: Infrastruktur Teknologi/Jaringan, Arsitektur Perusahaan dan Manajemen, serta Fasilitas Pemrosesan Informasi berupa perangkat apa yang dipakai atau aplikasi apa yang digunakan. Dalam pencapaian keberhasilan suatu perusahaan dibutuhkan penilaian secara kualitatif dan kuantitatif. Penilaian tersebut bukan hanya berdasarkan target penjualan atau market yang dicapai. Standarisasi serta Sertifikasi yang dimiliki perusahaan pun menjadi poin penting dalam penilaian tersebut. 


Lalu, apakah ada kaitannya dengan IT Audit? 


Ya, Penilaian tersebut ada kaitannya dengan IT Audit. Secara terminologi, IT Audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.  Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. (sumber: wikipedia)


IT Audit itu sendiri dilakukan oleh auditor yang memiliki berbagai kriteria. Auditor harus memiliki kemampuan menganalisa yang baik, baik analisa keuangan maupun analisa logika. Selain itu, auditor juga dituntut untuk bisa menguasai kemampuan akuntansi dan teknologi informasi yang baik walau tidak sampai level mahir. Karena yang terpenting bagi Auditor itu sendiri adalah memiliki integritas yang tinggi serta bertanggung jawab atas segala penilaian yang diberikan. Value tambahan untuk Auditor agar memiliki nilai jual yang tinggi dan bergengsi adalah memiliki banyak sertifikat terkait IT Audit dan memahami banyak kerangka/panduan IT Audit. 


Ada beberapa jenis sertifikasi IT Audit dan pedoman/kerangka tata kelola IT yang bisa didapatkan dan dipelajari untuk menunjang karir auditor tersebut. Lalu, apa saja? Untuk lebih jelasnya, penulis akan lanjutkan ke jurnal #2 : Sertifikasi dan Standar IT Audit


Semoga Bermanfaat.