IT Risks, Internal Control and IT Governance

Resiko Audit
Resiko audit adalah kemungkinan yang akan membuat auditor memberikan pendapat wajar tanpa
pengecualian atas laporan keuangan yang memiliki salah saji material.salah saji dapat terjadi
karna kesalahan yang tidak disengaja atau adanya penyimpangan. Penyimpangan adalah salah
saji yang disengaja yang terkait dengan komisi penipuan seperti penyalahgunaan aset fisik atau
penipuan pengguna laporan keuangan.
Komponen Resiko Audit
1. Resiko yang melekat (Inherent Risk)
industri yang memiliki transaksi tunai dengan volume yang besar memiliki tingkat resiko
yang lebih tinggi daripada mereka yang tidak. Auditor tidak dapat mengurangi tingkatan
dari resiko yang melekat ini, bahkan dengan sistem yang telah dilindungi dengan
pengendalian yang sempurna, masih bisa terdapat salah saji pada data financial dan
laporan keuangan.
2. Resiko Pengendalian (control risk)
pengendalian risiko adalah kemungkinan adanya struktur pengendalian yang cacat karena
tidak ada kontrol atau control yang tidak memadai untuk mencegah atau mendeteksi
kesalahan dalam rekening.
3. Resiko deteksi (detection risk)
Risiko deteksi adalah risiko bahwa auditor bersedia untuk mengambil resiko bahwa
kesalahan tidak terdeteksi atau dicegah oleh struktur pengendalian.
Resiko Bisnis
Teknologi informasi (TI) memiliki peran yang signifikan pada organisasi. Investasi yang
dilakukan untuk sistem pada bisnis sangatlah besar, seperti pengadaan sistem informasi atau
membangun sistem intranet. Resiko bisnis sangat berhubungan dengan sistem-sistem tersebut
seperti risiko waktu dalam memperoleh perangkat lunak dan perangkat keras baru.
Resiko Keamanan
Risiko keamanan pada IT termasuk didalamnya risiko yang terkait dengan akses dan integritas
data. sistem informasi mengubah data mentah dengan mengolahnya menjadi informasi. Untuk
memastikan bahwa IT menghasilkan data yang akurat, lengkap, tepat waktu, dan dapat dipercaya
organisasi harus mengendalikan risiko yang terkait dengan pengumpulan dan pengolahan data.
Resiko keberlanjutan
Risiko keberlanjutan termasuk risiko yang terkait dengan ketersediaan sistem informasi,
cadangan informasi dan pemulihan. ketersediaan mengacu pada keamanan yang menjamin
bahwa sistem informasi selalu dapat diakses oleh pengguna. cadangan informasi dan prosedur
pemulihan memastikan bila terdapat kasus interupsi yang berkelanjutan, dan memastikan
prosedur yang tersedia untuk mengembalikan data dan operasi.

COSO Internal control Framework

Lingkungan Pengendalian
Lingkungan pengendalian ini mengatur pola organisasi dan mempengaruhi kesadaraan
pada pengendalian manajemen serta karyawan.
Penilaian Resiko
Organisasi harus melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan
mengelola risiko yang terkait dengan pelaporan keuangan.
informasi dan Komunikasi
Sistem informasi akuntansi terdiri dari catatan dan metode yang digunakan untuk
memulai, mengidentifikasi, menganalisis, mengklasifikasi, dan mencatat transaksi
organisasi untuk memperhitungkan aset dan kewajiban terkait.
Pemantauan
Pemantauan adalah proses dimana kualitas desain pengendalian internal dan operasional
dapat dinilai. Hal ini dapat diperoleh dengan prosedur yang terpisah atau dengan kegiatan
yangberlangsung.
kegiatan pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang digunakan untuk memastikan
bahwa tindakan yang tepat telah diambil untuk menangani kegiatan yang beresiko dalam
organisasi. Aktifitas pengendalian dapat dikelompokkan ke dalam dua kategori yang
berbeda: Pengendalian fisik dan Pengendalian teknologi informasi.
Pengendalian Fisik : otorisasi transaksi, pemisahan tugas, pengawasan, pencatatan
akuntansi, pengendalian akses, pengesahan terpisah.
Pengendalian Teknologi informasi
COSO mengidentifikasi dua kelompok pengendalian TI: aplikasi kontrol dan
pengendalian umum. tujuan pengendalian aplikasi adalah untuk memastikan
validitas, kelengkapan, dan akurasi transaksi keuangan.
IT Governance
isu tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO adalah:
Struktur organisasi dari fungsi IT
1. Pengolahan data terpusat
Dengan model pengolahan data terpusat, semua pengolahan data dilakukan oleh satu
atau lebih banyak komputer di situs pusat yang melayani pengguna di seluruh
organisasi.
2. Pemisahan fungsi TI yang tidak kompatibel
Tugas operasional harus dipisahkan untuk: memisahkan otorisasi transaksi dari
proses transaksi, memisahkan penyimpanan pencatatan dari pemeliharaan aset,
membagi tugas pemrosesan transaksi antar individu sehingga meminimalkan kolusi
antara dua atau lebih invidu.
3. Pendistribusian model
Model alternatif terpusat adalah konsep pengolahan data terdistribusi (DDP). DDP
melibatkan organisasi ulang fungsi pusat TI ke unit yang lebih kecil, yang berada di

bawah kendali dari pengguna akhir. Unit TI dapat didistribusikan sesuai fungsi
bisnis, lokasi geografi, atau keduanya.
4. Mengendalikan lingkungan DDP
DDP membawa nilai yang berharga tertentu yang selama analisis pro dan kontranya,
memungkinkan dapat memperbanyak pertimbangan penting dari manfaat ekonomi
dan kelayakan operasional.

Operasi komputer pusat

Tujuan pemusat komputer adalah untuk menyajikan risiko dan kontrol yang membantu
untuk mengurangi risiko serta menciptakan lingkungan yang aman. Daerah paparan
potensi yang dapat mempengaruhi kualitas informasi, catatan akuntansi, proses transaksi,
dan efektivitas pengendalian internal lainnya yang lebih konvensional adalah: lokasi fisik,
konstruksi, akses, AC, pencegah kebakaran, toleransi kesalahan, tujuan audit, dan
prosedur audit.

Perencanaan pemulihan bencana

Ada tiga kategori bencana yang dapat merugikan sebuah organisasi sumber daya TI,
yaitu: alam, kegagalan sistem, dan kesalahan manusia. Untuk bertahan dari peristiwa
seperti itu, perusahaan mengembangkan prosedur pemulihan yang disebut rencana
pemulihan bencana (DRP). DRP adalah pernyataan komprehensif dari semua tindakan
yang akan diambil sebelum, selama, dan setelah bencana. Rencana yang bisa diterapkan
memiliki empat fitur umum:
1. Mengidentifikasi penerapan kritis
2. Menciptakan tim pemulihan bencana
3. Menyediakan cadangan
4. Menentukan cadangan dan prosedur penyimpanan.