Integrasi Risiko Cybersecurity dalam Penilaian Risiko Audit
Dalam era digital saat ini, ancaman terhadap keamanan siber semakin meningkat. Organisasi di seluruh dunia menghadapi risiko yang lebih besar dari serangan siber yang dapat mengakibatkan kerugian finansial, reputasi, dan operasional. Oleh karena itu, integrasi risiko cybersecurity dalam proses penilaian risiko audit menjadi sangat penting.
Risiko cybersecurity adalah ancaman yang dapat mengganggu kerahasiaan, integritas, dan ketersediaan informasi serta sistem informasi. Dalam konteks audit, penilaian risiko tradisional yang hanya berfokus pada risiko finansial dan operasional tidak lagi memadai. Ancaman siber dapat berdampak signifikan pada operasi bisnis, sehingga perlu dipertimbangkan dalam penilaian risiko yang komprehensif. Ancaman siber yang tidak termitigasi dengan baik akan berdampak langsung pada audit fee yang dikenakan pada klien.
Penilaian resiko cybersecurity dapat dilakukan dalam beberapa langkah. Langkah pertama adalah mengidentifikasi ancaman siber yang relevan serta kemungkinan terjadi pada klien karena kurangnya perhatian pada sektor cybersecurity. Hal ini mencakup pemahaman tentang ancaman internal dan eksternal, seperti malware, phishing, insider threats, dan serangan denial-of-service (DoS). Setelah risiko cybersecurity diidentifikasi, penilaian dampak dan kemungkinan terjadinya ancaman tersebut harus dilakukan untuk menentukan seberapa berbahaya resiko yang ada pada klien audit. Penilaian ini harus mencakup analisis kuantitatif dan kualitatif untuk memberikan gambaran yang jelas tentang potensi kerugian atau potensi kecurangan karena tidak adanya pengendalian.
Berdasarkan penilaian risiko tersebut auditor perlu mengembangkan strategi mitigasi yang mencakup kebijakan keamanan, pelatihan karyawan, serta implementasi teknologi keamanan seperti firewall, sistem deteksi intrusi, dan enkripsi data. Risiko cybersecurity bersifat dinamis dan terus berkembang. Oleh karena itu, pengawasan dan evaluasi berkelanjutan sangat penting untuk memastikan bahwa langkah-langkah mitigasi tetap efektif.
Kebocoran data yang terjadi di firma akuntansi publik akibat risiko keamanan siber yang tinggi telah terbukti menjatuhkan kredibilitas firma akuntansi atau reputasi auditor. Klien dari firma akuntansi publik, dalam hal ini Deloitte, yang mengalami kebocoran data pada tahun 2017 mengalami penurunan nilai pasar secara signifikan akibat pelanggaran data tersebut dan menyebabkan Deloitte mengenakan biaya audit yang jauh lebih rendah serta kehilangan banyak klien yang tidak lagi menyetujui Deloitte sebagai auditor mereka karena masalah kredibilitas. Kasus ini menunjukkan bahwa keamanan siber tidak lagi menjadi ancaman yang bisa diabaikan, melainkan dapat mempengaruhi banyak aspek perusahaan, terutama reputasinya, dan bahkan perusahaan afiliasi lainnya juga terbukti mengalami dampak negatif dari kasus tersebut.
Integrasi risiko cybersecurity dalam proses penilaian risiko audit adalah langkah krusial untuk melindungi organisasi dari ancaman siber yang semakin kompleks. Dengan pendekatan yang komprehensif dan berkelanjutan, organisasi dapat mengurangi risiko dan dampak potensial dari serangan siber. Hal ini tidak hanya melindungi aset dan informasi, tetapi juga memastikan kelangsungan operasi bisnis dan menjaga reputasi perusahaan.
Referensi
Bao Ngo, T. N., & Tick, A. (2021). Cyber-security Risks Assessments by External Auditors. Interdisciplinary Description of Complex Systems, 19(3), 375–390. https://doi.org/10.7906/indecs.19.3.3
Deloitte. (2023). Internal Audit’s Role in Cybersecurity. In Deloitte.com. https://www2.deloitte.com/content/dam/Deloitte/us/Documents/Advisory/us-advisory-internal-audits-role-in-cyber-security-5×5-insights-and-actions.pdf
KPMG. (2019). The role of internal audit in cyber security readiness. KPMG. https://assets.kpmg.com/content/dam/kpmg/lu/pdf/2019/lu-en-cyber-databreach-brochure.pdf
Comments :