AUDIT SISTEM INFORMASI Antonius Wahyu Sudrajat, M.T.I Resiko Audit.

Slides:



Advertisements
Presentasi serupa
ASURANSI.
Advertisements

Mengelola Keuangan Melalui ASURANSI Tujuan: Agar P3MI Mengelola Resiko Keuangannya dengan baik.
MANAJEMEN RISIKO ERVITA SAFITRI,SE.MSi.
R I S I K O Ketidakpastian (uncertainty) dan kerugian (loss)
RISIKO DALAM ASURANSI.
Risiko, Pengembangan Usaha dan Reorganisasi
Sekolah Tinggi Ilmu Adminitrasi Mandala Indonesia
* Asuransi & Manajemen Risiko
Resiko Audit.
Struktur Pengendalian Intern
AUDIT SISTEM INFORMASI
Panduan Audit Sistem Informasi
PENGENDALIAN INTERNAL Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
FUNGSI MANAJEMEN RESIKO
Konsep Risiko & Sistem Pengendalian Intern
RESIKO AUDIT.
Pengambilan Risiko.
Pertemuan 1 PENDAHULUAN
KEWIRAUSAHAAN MANAJEMEN RISIKO.
PENGERTIAN ASURANSI.
PENGAMBILAN KEPUTUSAN DAN RESIKO
Pengantar Manajemen Resiko
PERANAN ASURANSI SEBAGAI PENGALIHAN RISIKO
KEAMANAN DAN PENGENDALIAN SISTEM
Metodologi Audit Sistem Informasi
Elemen Sistem Manajemen Bencana
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
Rahmat Robi Waliyansyah, M.Kom.
PENGANTAR MANAJEMEN RESIKO
KONSEP MANAJEMEN RESIKO
MANAJEMEN RESIKO.
Technopreneur III. Manajemen Resiko
MANAJEMEN RISIKO PERTEMUAN KE-2.
PENGENDALIAN INTERNAL
MANAJEMEN RISIKO MOHAMMAD KURNIAWAN DP
Manajemen Risiko: Pendahuluan
MANAJEMEN RESIKO.
PENGANTAR RISIKO & ENTERPRISE RISK MANAGEMENT
Business Continuity Plan
Technopreneur III. Manajemen Resiko
PERUSAHAAN ASURANSI ASURANSI
NAMA : INDAH KURNIASARI HERI NPM : MK : MEDIA PEMBELAJARAN
RISIKO DALAM ASURANSI.
KONSEP RESIKO DAN SISTEM PENGENDALIAN INTERN
pengambilan keputusan dalam kondisi berisiko
PENGANTAR RISIKO & ENTERPRISE RISK MANAGEMENT
Audit Kecurangan.
Studi Kelayakan Bisnis
Manajemen Risiko dalam Industri Pariwisata
Keamanan Informasi dan Administrasi jaringan
Gede Arka Puniatmaja, M.Kom
Aspek risiko dalam bisnis
Manajemen Resiko Dalam Pengembangan SI
LESSON 2.
LESSON 3.
RISIKO, ASURANSI, DAN MANAJEMEN ASURANSI
Technopreneur III. Manajemen Resiko
Pengantar Keamanan Informasi
R I S I K O Ketidakpastian (uncertainty) dan kerugian (loss)
* Asuransi & Manajemen Risiko
KONSEP MANAJEMEN RESIKO
Audit Siklus Investasi Instrumen Keuangan (Obligasi dan Saham)
PENGENDALIAN INTERN Suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personalia lain, yang dirancang untuk memberikan jaminan tentang.
MANAJEMEN RISIKO Sigit Tri A..
RISIKO, ASURANSI, DAN MANAJEMEN ASURANSI
RESIKO USAHA, RESIKO INFORMASI DAN RESIKO AUDIT SERTA PROSEDUR TELAAH ANALITIS KHAERANI M A HAYU A MAYA C.
Pengertian Asuransi dan Risiko
MANAJEMEN RISIKO PERTEMUAN KE-2.
1 AsuransiAsuransi & Manajemen Risiko. o Mahasiswa dapat menjelaskan definisi asuransi o Menjelaskan definisi risiko o Menjelaskan jenis-jenis risiko.
Oleh : HENDRIK ARY DERMAWAN P E N I L A I A N R I S I K O B E N C A N A.
Transcript presentasi:

AUDIT SISTEM INFORMASI Antonius Wahyu Sudrajat, M.T.I Resiko Audit

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Pengertian Risiko Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya. Menurut Peltier (2005: 325), “Risk is the probability that a particular critical infrastructure’s vulnerability is being exploited by a particular threat weighted by the impact of that exploitation.” Yang diterjemahkan “Risiko adalah kemungkinan adanya kelemehan infrastruktur yang kemudian dimanfaatkan oleh ancaman tertentu yang dipengaruhi eksploitasi tersebut.”

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Jenis Risiko Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, diantaranya : – Risiko Bisnis (Business Risk) Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goal objectives). – Risiko Bawaan (Inherent Risk) Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal. – Risiko Pengendalian (Control Risk) Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara optimal terhadap setiap potensi risiko. Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Jenis Risiko Risiko Deteksi (Detection Risk) Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup matrealitas atau adanya kemungkinan fraud. Risiko Audit (Audit Risk) Risiko audit sebenarnya adalah kombinasi dari inherent risk, control risk, dan detection risk. Risiko audit adalah risiko bahwa pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Penetapan Penilaian Risiko dan Pengendalian Menurut Gondodiyoto (2007 : 559), penilaian risiko dan pengendalian internal dapat dilakukan dengan menggunakan : – Matriks Penilaian Risiko – Matriks Penilaian Pengendalian

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Matriks Penilaian Risiko Matriks penilaian risiko adalah metoda analisis dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High) nilai -3. Teknik perhitungan nilai risiko menggunakan rasio antara dampak dengan keterjadian : – Risiko kecil (Low) nilainya berkisar antara -1 dan -2, – Risiko sedang (Medium) nilainya antara -3 dan -4, – Risiko tinggi (High) nilainya antara -6 dan -9

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Risiko kecil (Low) Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. Jika dampak Low (-1) dan keterjadian Medium (- 2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. Jika dampak Medium (-2) dan keterjadian Low (- 1), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Risiko sedang (Medium) Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Jika dampak Low (-2) dan keterjadian Medium (- 2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Risiko tinggi (High) Jika dampak Medium (-2) dan keterjadian High (- 3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Jika dampak High (-3) dan keterjadian Medium (- 2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Matriks Penilaian Pengendalian Matrik penilaian pengendalian adalah metoda analisis desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (Low) nilai 1, M (Medium) nilai 2, H (High) nilai 3. Teknik perhitungan dalam matriks penilaian pengendalian menggunakan fungsi perkalian anatara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari : – Pengendalian kecil (Low) nilainya berkisar antara -1 – Pengendalian sedang (Medium) nilainya antara 3 dan 4, – Pengendalian tinggi (High) nilainya antara 6 dan 9,

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Pengendalian kecil (Low) Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Pengendalian sedang (Medium) Jika efektifitas Low (-1) dan desain High (-3), maka nilai pengendalian adalah -3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. Jika efektifitas Low (2) dan desain Medium (2), maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Pengendalian tinggi (High) Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Penilaian Risiko Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai berikut : – Jika jumlah penilaian risiko dan pengendalian 0, maka tingkat pengendalian dan risiko adalah standar, artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada. – Jika jumlah penilaian risiko dan pengendalian positif, maka pengendalian baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional. – Jika jumlah penilaian risiko dan pengendalian negatif, maka pengendalian adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena risiko yang dihadapi besar.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Teknik Penilaian Risiko dan Pengendalian Menurut Griffiths, David M (2007: 18), setelah memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti, audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada. Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa risiko yang ada (inherent rsik) dan risiko setelah adanya pengendalian (residual risk).

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Upaya Penanggulangan Risiko (1) Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain: – Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan. – Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menaggulanginya (contoh: pos biaya lain- lain atau tak terduga dalam anggaran perusahaan).

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Upaya Penanggulangan Risiko (2) Melakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan, Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian. Tugas dari seorang manajer risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara/metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Macam-Macam Risiko Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan berbagai macam cara, antara lain: – Menurut sifatnya risiko – Dapat tidaknya risiko tersebut dialihkan kepada pihak lain – Menurut sumber atau penyebab timbulnya

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Menurut sifatnya risiko Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya. Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya. Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi, seperti: risiko keuangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis, seperti: risiko hari tua, risiko kematian dan sebagainya.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Dapat tidaknya risiko tersebut dialihkan kepada pihak lain Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak perusahaan asuransi. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis spekulatif.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti: kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen dan sebagainya. Risiko ekstern, yaitu risiko yang berasal luar perusahaan, seperti: risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Kategori Risiko Tesknologi Informasi Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu: – Keamanan – Ketersediaan – Daya Pulih – Performa – Daya Skala – Ketaatan

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Kategori Risiko Tesknologi Informasi (1) Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber. Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya penggunaan arsitektur. Daya Pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman eksternal, atau bencana alam.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Kategori Risiko Tesknologi Informasi (2) Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. Daya Skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.

Audit Sistem Informasi Antonius Wahyu Sudrajat, M.T.I Kelas-kelas Risiko Teknologi Informasi Menurut Jordan & Silcock (2005, p49), risiko-risiko teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi- konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu : – Projects-failing to deliver – IT service continuity-when business operations go off the air – Information assets-failing to protect and preserve – Service providers and vendors-breaks in the IT value chain – Applications-flaky systems – Infrastructure-shaky foundations – Strategic and energent-disabled by IT