Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
1
Resiko Audit
2
Pengertian Risiko Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya. Menurut Peltier (2005: 325), “Risk is the probability that a particular critical infrastructure’s vulnerability is being exploited by a particular threat weighted by the impact of that exploitation.” Yang diterjemahkan “Risiko adalah kemungkinan adanya kelemehan infrastruktur yang kemudian dimanfaatkan oleh ancaman tertentu yang dipengaruhi eksploitasi tersebut.”
3
Kesalahan proses – output yang salah Kesalahan input
Resiko yang dapat diterima dari penggunaan Sistem Informasi dan Teknologi Informasi Kehilangan Data Kesalahan proses – output yang salah Kesalahan input
4
Jenis Risiko (1) Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, diantaranya : Risiko Bisnis (Business Risk) Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goal objectives). Risiko Bawaan (Inherent Risk) Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal. Risiko Pengendalian (Control Risk) Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara optimal terhadap setiap potensi risiko. Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian.
5
Jenis Risiko (2) Risiko Deteksi (Detection Risk)
Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup matrealitas atau adanya kemungkinan fraud. Risiko Audit (Audit Risk) Risiko audit sebenarnya adalah kombinasi dari inherent risk, control risk, dan detection risk. Risiko audit adalah risiko bahwa pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.
6
Penetapan Penilaian Risiko dan Pengendalian
Menurut Gondodiyoto (2007 : 559), penilaian risiko dan pengendalian internal dapat dilakukan dengan menggunakan : Matriks Penilaian Risiko Matriks Penilaian Pengendalian
7
Matriks Penilaian Risiko
Matriks penilaian risiko adalah metoda analisis dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High) nilai -3. Teknik perhitungan nilai risiko menggunakan rasio antara dampak dengan keterjadian : Risiko kecil (Low) nilainya berkisar antara -1 dan -2, Risiko sedang (Medium) nilainya antara -3 dan -4, Risiko tinggi (High) nilainya antara -6 dan -9
8
Risk assesment Aset Kelemahan Ancaman
9
Risiko kecil (Low) Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.
10
Risiko sedang (Medium)
Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Jika dampak Low (-2) dan keterjadian Medium (-2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.
11
Risiko tinggi (High) Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.
12
Matriks Penilaian Pengendalian
Matrik penilaian pengendalian adalah metoda analisis desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (Low) nilai 1, M (Medium) nilai 2, H (High) nilai 3. Teknik perhitungan dalam matriks penilaian pengendalian menggunakan fungsi perkalian anatara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari : Pengendalian kecil (Low) nilainya berkisar antara -1 Pengendalian sedang (Medium) nilainya antara 3 dan 4, Pengendalian tinggi (High) nilainya antara 6 dan 9,
13
Pengendalian kecil (Low)
Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.
14
Pengendalian sedang (Medium)
Jika efektifitas Low (-1) dan desain High (-3), maka nilai pengendalian adalah -3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. Jika efektifitas Low (2) dan desain Medium (2), maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.
15
Pengendalian tinggi (High)
Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.
16
Penilaian Risiko Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai berikut : Jika jumlah penilaian risiko dan pengendalian 0, maka tingkat pengendalian dan risiko adalah standar, artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada. Jika jumlah penilaian risiko dan pengendalian positif, maka pengendalian baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional. Jika jumlah penilaian risiko dan pengendalian negatif, maka pengendalian adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena risiko yang dihadapi besar.
17
Teknik Penilaian Risiko dan Pengendalian
Menurut Griffiths, David M (2007: 18), setelah memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti, audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada. Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa risiko yang ada (inherent rsik) dan risiko setelah adanya pengendalian (residual risk).
18
Upaya Penanggulangan Risiko (1)
Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain: Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menaggulanginya (contoh: pos biaya lain-lain atau tak terduga dalam anggaran perusahaan).
19
Upaya Penanggulangan Risiko (2)
Melakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan, Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian. Tugas dari seorang manajer risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara/metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.
20
Macam-Macam Risiko Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan berbagai macam cara, antara lain: Menurut sifatnya risiko Dapat tidaknya risiko tersebut dialihkan kepada pihak lain Menurut sumber atau penyebab timbulnya
21
Menurut sifatnya risiko
Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya. Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya. Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi, seperti: risiko keuangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis, seperti: risiko hari tua, risiko kematian dan sebagainya.
22
Dapat tidaknya risiko tersebut dialihkan kepada pihak lain
Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak perusahaan asuransi. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis spekulatif.
23
Menurut sumber atau penyebab timbulnya
Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti: kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen dan sebagainya. Risiko ekstern, yaitu risiko yang berasal luar perusahaan, seperti: risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.
24
Kategori Risiko Tesknologi Informasi
Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu: Keamanan Ketersediaan Daya Pulih Performa Daya Skala Ketaatan
25
Kategori Risiko Tesknologi Informasi (1)
Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber. Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya penggunaan arsitektur. Daya Pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman eksternal, atau bencana alam.
26
Kategori Risiko Teknologi Informasi (2)
Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. Daya Skala Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
27
Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan & Silcock (2005, p49), risiko-risiko teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu : Projects-failing to deliver IT service continuity-when business operations go off the air Information assets-failing to protect and preserve Service providers and vendors-breaks in the IT value chain Applications-flaky systems Infrastructure-shaky foundations Strategic and energent-disabled by IT
28
Langkah Pemecahan Risiko Teknologi Informasi
Menurut Jordan & Silcock (2005, p7), ada tiga langkah kunci dalam membuat risiko teknologi informasi dapat berjalan, yaitu dengan menempatkan diri anda dalam satu posisi dimana anda dapat hidup dengan risiko : Anda perlu menempatkan kepemimpinan dan manajemen yang tepat pada tempatnya melalui teknologi informasi dan kerangka cara pengaturan risiko. Anda perlu menggabungkan cara anda mengurus risiko informasi teknologi dengan mengadopsi sebuah pendekatan manajemen tas surat yang proaktif. Anda perlu mengatur kompleksitas dengan secara aktif mengatur setiap jenis risiko informasi teknologi.
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.