Risk In Focus 2019 For Internal Auditors

Topik ini diangkat untuk memberikan gambaran bagi para auditor internal untuk lebih menyiapkan diri terkait risiko audit yang akan dihadapi dimasa depan. Bagi seorang Kepala internal audit, wajib hukumnya untuk mengetahui secara lebih mendalam terkait pengetahuan organisasi perusahaanya, financial, operasional dan manajemen risiko yang akan di hadapi. Pengetahuan ini penting demi kepentingan profesi untuk memperkuat penilaian dan pemetaan risiko, dimana pada akhirnya untuk mendukung penyediaan jaminan yang lebih besar.

Institute of Internal Auditors (IIA), sebagai organisasi yang menaungi auditor internal juga menjelaskan terkait pentingnya perhitungan risiko. Dimana kegiatan internal audit sebagai kegiatan independen yang mendukung pencapaian sasaran organisasi, dan aktivitas konsultasi yang dirancang untuk memberikan nilai tambah dan memperbaiki operasi organisasi. Aktivitas ini membantu organisasi untuk mencapai tujuannya dengan membawa pendekatan sistematik dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses governance. Tugas inti auditor internal berkaitan dengan manajemen risiko, adalah untuk memberikan kepastian bahwa kegiatan manajemen risiko telah berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap pencapaian sasaran organisasi. Dua cara penting untuk menjalankan tugasnya adalah dengan:

1.Memastikan bahwa risiko utama dari bisnis telah ditangani dengan baik.

2.Memastikan bahwa kegiatan manajemen risiko dan pengendalian internal telah berjalan dengan efektif.

Namun demikian, banyak fungsi audit internal yang disibukkan dengan audit operasional bisnis semata. Padahal fungsi audit tidak hanya menguji sistem pengendalian internal tetapi mendukung bisnis mereka dalam mengidentifikasi risiko yang muncul. Mengingat tantangan competitor dan efek perubahan jaman juga ikut mempengaruhi tingkat risiko tersebut. Demi untuk menjaga perusahaan tetap berkembang dari tantangan jaman, auditor internal harus memiliki pengetahuan yang lebih juga terkait pengetahuan dan kemampuan untuk menunjangnya. Melalui artikel ini, kami ingin berbagi informasi terkait risiko yang akan dihadapi oleh auditor dalam memberikan jasa assurance bagi manajemen terkait sustainability perusahaan. Risiko tersebut berasal dari intern dan ekstern perusahaan. Informasi ini juga dapat digunakan sebagai tambahan informasi atau sumber daya berharga untuk CAE (Chief Audit Executive) dalam mengevaluasi risiko yang mungkin tidak dipertimbangkan atas risiko yang telah diketahui/ diidentifikasi. Dengan adanya tambahan informasi ini diharapkan akan membantu CAE untuk perencanaan identifikasi risiko bisnis demi corporate sustainability masing-masing.

Merujuk survei yang dikeluarkan oleh ECIIA (European Confederation of Institute Internal Auditing) September tahun 2018, diketehaui bahwa risiko penggunaan teknologi informasi beserta derivative nya berada pada posisi paling tinggi. Hasil survei menunjukkan risiko tertinggi dalam single most important risk that your organization faces adalah cybersecurity dengan nilai 15%, Compliance dengan nilai 13%, Digitalization dengan nilai 9%, Regulatory change dengan nilai 8%, dan Data security & Protection dengan nilai 6%.  Kemudian untuk hasil pada one of the top five risks on your organization diketahui cybersecurity memiliki nilai 66%, compliance dengan nilai 58%, dan Data security & protection dengan nilai 58%.

Survei dari ECIIA diatas menunjukkan bahwa risiko paling tinggi dimasa mendatang adalah risiko cybersecurity. Maka dari itu, untuk saat ini para CAE perusahaan sebaiknya segera mempersiapkan divisi internal auditnya untuk menanggulangi risiko cybersecurity ini. Risiko cybersecurity terletak pada third line of defense dan diharapkan untuk memberikan jaminan pada manajemen bahwa risiko ini akan membahayakan untuk masa mendatang, bilatidak diidentifikasi dan ditanggulangi. Hal penting pertama yang dapat dilakukan adalah menjaga pokok-pokok penting dari firewall, konfigurasi yang aman, patch management, kontrol akses dan hak perlindungan malware yang harus terus dikaji secara berkala. Hal yang sama berlaku untuk pengujian penetrasi, meskipun terdapat kemungkinan bahwa pelanggaran akan terjadi di beberapa titik terkait SOP kebijakan IT Security, namun pemantauan dan pendeteksian harus terus menerus dilakukan oleh fungsi audit internal demi menjaga IT Security perusahaan.

  Evaluating governance di bidang IT ini akan sangat berharga. Seringkali perusahaan membuat persepsi bahwa IT sebagai pihak yang tidak terikat pada bisnis. Kemudian pada awalnya bagian IT diberikan hak otorisasi dalam membangun jaringan dan sistem organisasi perusahaan yang dapat menyebabkan tantangan keamanan secara signifikan dalam jangka panjang. Audit internal diharapkan dapat membawa risiko ini kepada manajemen senior dan jika perlu, merekomendasikan pengawasan yang lebih besar terhadap keputusan bahwa fungsi IT diwajibkan mengambil pendekatan perencanaan yang lebih strategis dan maju untuk mengembangkan sistem informasi organisasi dan menghindari infrastruktur yang terfragmentasi dengan kerentanan dan titik potensial.

Risk In Focus 2019 for Internal Auditors Dengan meningkatnya serangan terhadap penyedia layanan cloud premium seperti Microsoft, audit internal harus memastikan bahwa risiko cybersecurity di lingkungan pihak ketiga dapat dikendalikan dengan standar yang sama seperti internal, termasuk dasar-dasar seperti manajemen kata sandi. Hal ini mungkin melibatkan identifikasi pihak-pihak yang memberikan layanan IT dan memastikan bahwa mereka dimonitor serta dievaluasi. Auditor internal juga harus memeriksa bahwa penyedia cloud service telah sesuai dengan GDPR (General Data Protection Regulation) dan melaksanakan hak auditing untuk menguji kekuatan kontrol mereka, menilai proses uji tuntas dengan pemasok baru, serta melakukan penelitian independen tentang bagaimana perlakuan pihak ketiga di pasar.