eryk budi pratama

eryk budi pratama

Channel 2 (Non Financial Audit Support) di Big 4





Sudah agak lama saya tidak nulis di blog tercinta ini. Tulisan kali ini dilatarbelakangi oleh pertanyaan dari beberapa rekan baik di internal maupun di luar tentang apa dan ngapain sih Channel 2 di Big 4. Sebelum lanjut membaca artikel ini, saya sarankan pembaca baca beberapa artikel yang sudah lama saya tulis saat saya masih di EY dulu.

Jika pembaca masih awam tentang apa saja yang dikerjakan orang IT di Big 4, saya coba jelaskan secara singkat dulu. Berdasarkan yang saya tahu, di setiap Big 4 punya service line namanya Risk Assurance (RA) atau sejenisnya. Jadi teman-teman IT (dan akuntansi) yang jadi IT Auditor, biasanya masuk di RA. Di artikel ini saya tidak jelaskan secara detail IT Audit (baik dalam konteks Financial Audit maupun selain itu) karena saya akan coba rangkum beberapa hal yang biasanya (dan bisa) dilakukan di Channel 2.

Di RA sendiri ada 2 jenis pekerjaan: Channel 1 (Financial Audit Support) dan Channel 2 (Non Financial Audit Support). Sederhananya, Channel 2 adalah jenis pekerjaan yang tidak terkait dengan IT Audit yang support untuk Financial Statement Audit (Financial Audit IT Integration - FAIT). Dalam artikel ini saya juga gak akan bahas masalah independensi / konflik antara Channel 1 dan Channel 2. Saya fokus jelaskan di Channel 2 bisa ngapain saja berdasarkan pengalaman saya. Oke mari kita jelaskan satu per satu.

Cyber Security
Well, disinilah saya memulai karier (secara resmi) setelah saya lulus kuliah. Cyber Security sendiri cakupannya cukup luas. Layaknya konsep IT, Cyber Security juga mencakup aspek People, Process, Technology. Kalau dari sisi People, pembaca bisa lihat sekilas artikel saya di sini. Saya mengawali karier Cyber Security dari sisi People dan Process karena proyek yang bisa dikerjakan Big 4 idealnya yang berkaitan dengan People dan Process. Untuk pengalaman dari sisi Technology saya dapatkan dari Dimension Data. Cyber Security ini saya taruh paling awal karena selain disini passion saya sejak SMP dulu, juga karena jenis proyeknya macam-macam dan dari sisi knowledge, Cyber Security ini sangat cepat dan luas cakupannya. Berikut beberapa area dari Cyber Security yang biasanya ada.
  • Vulnerability Assessment and Penetration Testing (VAPT). VAPT merupakan aktivitas security (risk) assessment (/audit) yang dilakukan secara teknis. Untuk melakukan VAPT mutlak harus punya technical skill. Secara umum VAPT dilakukan terhadap 2 obyek, yaitu Infrastruktur (Operating System, Database Server, Perangkat Jaringan, Perangkat Security, dsb) dan Aplikasi (Web, Mobile, Desktop/Thick client).  Pada umumnya manusia channel 2 yang VAPT dituntut untuk menguasai semua technical knowledge, mulai dari sistem operasi, network, database, aplikasi (programming / scripting), dll. Bahkan untuk kasus tertentu, kita harus bisa menunggunakan teknik tipu-tipu alias social engineering bahkan di suatu proyek bisa saja kita harus tes physical security. Jadi skill semacam lock picking (seni buka gembok kayak maling) bisa berguna juga kok :p Oia VAPT ini juga biasanya mencakup configuration review, cuma tergantung scopenya juga.
  • Cybers Security Strategy / Roadmap / Blueprint Development. Dari namanya sudah jelas bahwa untuk yang ini lebih ke arah pengembangan master plan/roadmap untuk Cyber Security. Kadang (banyak sebenernya) perusahaan yang sudah mulai aware dengan cyber security mulai memikirkan bagaimana meningkatkan kapabilitas cyber security perusahaannya. Untuk pengembangan startegi dan peningkatan kapabilitas internal, kadang perusahaan butuh masukan dari konsultan sehingga disinilah kita masuk. Secara umum, biasanya perusahaan mengacu ke Cybersecurity Framework punya NIST. Cuma biasanya kalau penyusunan Cyber Security master plannya diserahkan konsultan, framework yang digunakan ya pakai punya konsultan tersebut.
  • International Standard (ISO 27001 and PCI-DSS) Implementation. Orang cyber security wajib tahu nih dua standar yang biasa digunakan dari sisi Process yaitu ISO 27001 (Information Security Management System) dan PCI-DSS. Untuk jenis proyeknya bisa ada dua jenis, yaitu persiapan dan pendampingan sertifikasi ISO 27001 dan PCI-DSS. Kalau persiapan, biasanya kita assess gap dan kasi rekomendasi perbaikan. Biasanya juga kita bantu klien melengkapi dokumentasi yang masih kurang. Kalau pendampingan biasanya sampai tahap setelah auditor ISO 27001 dan PCI-DSS ini selesai melakukan audit dan kita bantu "baby-sitting" si klien. Saya sendiri pernah melakukan maturity assessment untuk persiapan ISO 27001 di salah satu perusahaan asuransi global. Proyeknya global, kebetulan buat Indonesia saya sendiri yang pegang pas saya masih associate dulu. Challenge accepted and well completed karena harusnya ini proyek dikerjain senior tapi saya sendirian yang kerjain pas masih associate. 
  • Cyber Security Awareness and Socialization. Sesuai namanya, disini biasanya kita membantu klien untuk meningkatkan tingkat kepedulian / awareness dari karyawan terkait dengan ancaman keamanan informasi. Contoh dari service ini misalnya phishing exercise.
  • Incident Response Readiness Assessment. Salah satu service untuk menguji kesiapan tim internal klien dalam menghadapi serangan cyber. Biasanya konsultan akan melakukan serangan dengan beberapa skenario (misalnya dengan menyebarkan malware) untuk menguji sejauh mana tim internal klien dapat mendeteksi dan menangani serangan tadi.
  • Security Technology Design and Implementation Assistance. Nah ini salah satu service yang sebenernya applicable buat bidang lain selain security sih. Cuma karena ini konteksnya cyber security, jadi kita punya services buat bantu desain cyber security capabilities dari sisi Technology dan membantu pendampingan implementasi perangkat security. Tergantung scope sih tapi biasanya kalau pendampingan, kita bantu identifikasi kebutuhan usernya, bikin RFP, seleksi vendor (POC dan scoring), project management buat implementasi, dan post implementation review. Buat service yang ini disarankan skill teknis dan non teknisnya 50:50. 
IT Governance
Berikutnya adalah bidang yang gak kalah seru karena pas kuliah ini salah satu matkul favorit saya :) Biasanya bentuk proyeknya semacam maturity assessment untuk IT Governance yang mengacu ke COBIT.  Saat ini COBIT sudah versi 5, cuma masih ada perusahaan yang masih pakai COBIT 4.1. Kebetulan saya pernah assess perusahaan yang masih pakai COBIT 4.1. Saran saya coba baca-baca COBIT5 ya guys karena memang biasanya proyek-proyek IT Governance yang kita lakukan mengacu kesitu. Jenis proyek yang biasanya dikerjakan:
  • IT Governance review
  • COBIT 5 Maturity Assessment
  • IT Governance dalam konteks untuk support IT Strategic Plan
  • IT Internal Audit assessment
  • dan lain-lain tergantung kreativitas dan potensi proyek yang kita dapatkan :)


IT Regulatory Compliance
Proyek-proyek compliance review lagi cukup demanding nih terutama karena aturan / regulasi (misalnya BI dan OJK)  yang mewajibkan industri tertentu harus memenuhi / comply dengan peraturan yang masih terkait. Biasanya (sejauh ini) aturan yang menimbulkan banyak proyek adalah PBI dan POJK yang mengatur masalah eBanking, eMoney, eWallet, Bank Wide IT Risk Management, dan bentar lagi pasti ada yang tentang Data Privacy (efek dari GDPR di Eropa). Beberapa peraturan yang biasanya masuk scope:
  • POJK 38/2016 and SAL SEOJK21/2017
  • PBI 18/17/PBI/2016 and SEBI 18/21/DKSP
  • PBI 19/10/PBI/2017 and SEBI 14/38/DASP/2012
  • PBI 18/40/PBI/2016 and SEBI 18/41/DKSP/2016
  • PermenkominfoNo. 04/ 2016
  • PermenkominfoNo. 20/ 2016
  • dan lain-lain
FYI gak cuma industri keuangan dan telco yang ada aturan terkait IT. Baru-baru ini saya baca ada aturan kementerian perhubungan yang mencakup Cyber Security. 

Third Party Risk Management
Kalau kita baca POJK 38/2016 and SAL SEOJK21/2017 bab 9 sebenarnya Bank wajib melakukan monitoring dan audit intern untuk penyedia jasa layanan IT (vendor/third party). Nah dengan service ini kita bisa tawarkan bantuan (yang gak gratis tentunya :p) ke Bank untuk melakukan risk assessment ke vendor-vendornya Bank. Waktu mengerjakan proyek ini, saya pernah ke vendor-vendor semacam ATM switching/gateway, perusahaan arsip, perusahaan security, call center, dll. Benefitnya dapat proyek ini adalah kita jadi bisa belajar proses bisnis di perusahaan yang beda-beda bisnisnya.

IT Strategic Plan / Master Plan
Salah satu proyek di channel 2 yang biasanya "mahal". Sesuai namanya, kita bantu klien untuk membuat rencana strategis IT. Ada yang minta untuk 3 tahun, ada juga 5 tahun. kalau dari pengalaman saya, biasanya pembuatan IT Strategic Plan mencakup komponen berikut:
  • Business Environment. Ini tahap awal yang penting karena kita wajib paham bisnisnya klien seperti apa serta posisi IT sekarang bagaimana
  • Enterprise Architecture. Idealnya mengacu ke TOGAF. Ada 4 domain: Business Architecture, Information Architecture, Application Architecture, Technology Architecture)
  • IT Governance. Biasanya mengacu ke COBIT 5
  • IT Organization. Pendefinisian organisasi IT termasuk roles and responsibilities.
IT Project Management Office (PMO)
Sesuai namanya, model proyeknya adalah kita menjadi PMO untuk proyek tertentu. Yang biasanya butuh PMO itu proyek-proyek besar kayak misalnya implementasi ERP. Tapi ada juga kok proyek-proyek yang menurut saya tidak terlalu besar tapi butuh jasa PMO. Saya sarankan baca-baca tentang PMBOK (Project Management of Body Knowledge). PMBOK ini best practice buat project management yang uda common dipakai. Selain PMBOK sebenarnya ada lagi yaitu PRINCE2, cuma nampaknya jarang dipakai di Indonesia.

User Access / Segregation of Duties (SoD) Review
Buat rekan-rekan Channel 1 nampaknya SoD review sudah tidak asing lagi. SoD review juga bisa masuk ke Channel 2. Sebagai contoh ada opty SoD review yang digabung sama assessment untuk Identity & Access Management (IAM).

Lain-Lain
Selain yang saya sebutkan di atas, masih banyak potensi jenis proyek channel 2. Sebagai contoh, saya pernah mengerjakan proyek-proyek berikut:
  • Digital Transformation. Di proyek ini lebih menitikberatkan ke sisi Infra dan Service Operation (salah satu domain IT Service Management) yang Agile. Nahloh ilmu infra dan ITSM digabungin sama konsep agile dan DevOps.
  • IT Security Audit Guideline. Intinya saya membuat panduan audit keamanan TI.
  • Technology Architecture. Di proyek ini saya melakukan identifikasi kebutuhan user, membuat RFI, RFP, vendor scoring, dan membuat kajian-kajian tertentu terkait IT Security dan DevOps.
  • Security Technology Implementation. Nampaknya di Indonesia belum ada Big 4 yang melakukan implementasi teknologi. Ini saya kerjakan waktu saya di Dimension Data. 
Beberapa jenis proyek yang masih bisa diexplore adalah:
  • IT Service Management.  Bentuk proyeknya bisa kajian/assessment/improvement IT Service Management klien. ITSM secara best practice mengacu ke IT Infrastructure Library (ITIL). Pernah juga ada proyek ITSM maturity assessment. Selain itu, beberapa perusahaan yang saya tahu pernah membutuhkan jasa untuk penyusunan IT Service Catalogue.
  • Data Analytics. Data analytics yang saya maksud ini gak hanya terbatas ke analitik hal-hal yang berkaitan dengan financial data, tapi lebih dari itu. Untuk saatini kebanyakan data analytics diarahkan ke data visualization. Bukan promosi, tapi dari mulut ke mulut yang common pakai Tableu. Untuk di level teknis, saya sarankan belajar ilmu data science. Saya sendiri sedang belajar sedikit-sedikit karena data analytics ini bisa juga dipakai dalam konteks security.
  • Cloud. Cloud merupakan salah satu bagian dari Digital Transformation. Sejauh ini sudah demand buat cloud migration. Bisa juga kita tawarkan cloud risk/security assessment dan cloud readiness assessment.

Kesimpulan
Berhubung keterbatasan waktu dalam menulis, rasanya saya hanya mampu untuk menulis secara overview. Buat pembaca yang ingin tahu lebih detil di bagian tertentu, monggo bisa kontak saya di eryk.pratama@gmail.com atau PM ke Linkedin saya.  Jika sama-sama ada waktu tidak menuntup kemungkinan untuk kopdar.

Semoga bermanfaat. Semangat menulis, semangat berbagi :))



Salam,
Eryk Budi Pratama
Diposting oleh Prof Eryk di 09.19 0 komentar
Label:

Labels

400 education adsl2+ advisory apec as400 auditor bakrie telecom bakrieland bakrieland goes to campus big 4 bisnis BLOG BTEL bts building relationship ccna ceh certified ethical hacker changi chevron CHIP cloud cloud computing collaboration comptia corporate affairs daily social db2 diskusi panel drupal edugate elektro emart ericsson indonesia ernst&young erp eryk budi pratama event report ey fo gaji game developer game development game programmer goes to school gpon gratis harapan hipnosis hipnoterapi i-Community iArmy IBM IBM i ibm indonesia ibm technology iCommunity ict award iFestival ilmu inaicta INDC international islamic university malaysia internship inti college IT IT consultant it risk assurance jaringan komputer kampus karier kebersamaan klcc komunikasi konsultan konsultan IT kuala lumpur kuliah larkin liburan linkedin magang makan malaysia mandiri young technopreneur membangun relasi microsoft mimpi MNC modem money matters moonson academy mrtg MUGI NET network nilai noc nokia noqc opera software paper pengalaman petronas php presentasi proferyk project management proposal proxmox queen street relasi relationship robotika rynet s40 web apps salary sap sap01 sekolah selina limman seminar seremban sharing session sidang singapore sitroges sixma technology skripsi ss robotika statistika struktur data system i talkshow tandif teknik informatika telekomunikasi telepati telkom time tugas akhir tulisan uas ub UGM unilever universitas bakrie urbanesia usaha venture web hosting wirausaha muda mandiri workshop cloud computing young on top
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. Eryk Budi Pratama - All Rights Reserved
Template Modify by Creating Website
Proudly powered by Blogger