Dari penilaian tersebut di atas apa yang dapat dilakukan untuk mengelola risiko? Untuk
memberikan pedoman apakah risiko dapat diterima, memerlukan pengelolaan secukupnya
atau dikelola dengan pengawasan yang ketat dapat diilustrasikan pada tabel berikut:
Catatan: Garis tebal hitam yaitu batas risk appetite yang sudah ditentukan oleh Dewan
Direksi atau Manajemen
1. Risk Register adalah proses dokumentasi dimulai dengan memasukan process map ke
dalam database kemudian menentukan risiko yang mungkin terjadi dan diberi skor dan
diurut sesuai dengan tingkat risikonya.
2. Risk Maturity adalah tingkat dimana suatu organisasi mengetahui risiko yang ada dan
telah menjalankan risk management. Menurut The Intitute of Internal Auditor’s (IIA)
and Ireland publication on Risk Based Internal Auditing diketahui ada 5 tingkatan Risk
Maturity, yaitu:
3. Merencana audit berbasis risiko:
a. Menentukan risiko apa saja yang ada:
1) Review pendahuluan: mulai dari rencana kerja dan anggaran perusahaan,
laporan keuangan, dan kertas kerja audit yang lalu.
2) Mengidentifikasi risiko:
3) Menetapkan audit universe
4) Melakukan risk assessment termasuk melakukan wawancara dengan
manajemen unit.
5) Membahas risk assessment dengan manajemen unit untuk mendapatkan
validasi.
6) Menyusun rencana audit.
b. Menjalankan tugas audit, dengan tahapan:
1) Memecah sebuah satuan kerja menjadi satuan-satuan yang lebih kecil untuk
dapat dikelola. Satuan ini disebut dengan satuan layak audit (auditable units).
Auditable units adalah entitas terkecil dalam sebuah organisasi yang patut
dipertimbangkan untuk dilakukan risk assessment.
2) Menentukan auditable units.
3) Melaksanakan audit sesuai dengan rencana yang telah disusun.
Penyelesaian:
1. Risiko yang Ditemukan :
a. Setiap program aplikasi menggunakan bahasa program development yang
berbeda”. Jika kondisinya seperti ini sistem tidak terintegrasi secara keseluruhan.
Jadi akan terdapat proses atau interfensi manual dari user pada saat pemprosesan
data dari satu sistem dan outputnya digunakan sebagai source data untuk sistem
lain. Akan terjadi resiko data berubah saat terjadi interfensi user secara manual.
b. Perhitungan insentif yang dilakukan oleh IT sudah menyalahi aturan dari tugas
pokok departemen IT itu sendiri. Seharusnya tugas tersebut dilakukan oleh
departemen HR. Sedangkan IT dalam hal ini bisa membantu untuk menyediakan
data saja (data absensi) yang sudah ter-record dalam sistem.
c. Jika kantor cabang tidak memiliki akses terhadap server pusat melalui WAN, tetapi
hanya bisa melalui intenet maka vulnerability jaringan perusahaan akan lebih besar
jika dibandingkan menggunakan WAN. Selain itu kecepatan akses terhadap server
sangat tergantung dari internet yang dipakai. Jika internet bermasalah maka server
pusat tidak bisa diakses yang mengakibatkan proses bisnis jadi terhambat.
d. Yang paling beresiko tinggi dari studi kasus ini yaitu perusahaan tidak memiliki
BCP (Business Continuity Plan). Jika terjadi peristiwa - peristiwa yang dapat
mengganggu kesinambungan bisnis maka proses bisnis bisa terhenti dan ini akan
mengakibatkan kerugian finansial yang sangat besar bagi perusahaan.
e. Audit Log sangat diperlukan biasanya mencatat tentang kinerja suatu perangkat,
dan akan melaporkan hasilnya jika terjadi error/kesalahan agar dapat segera
diketahui mengapa kesalahan tersebut dapat terjadi. Jika Audit Log tidak
diimplementasikan pada sebuah sistem maka jika terjadi kesalahan pada sistem
tersebut akan sangat sulit atau membutuhkan waktu yang lama untuk tracking.
2. Rekomendasi :
a. Penyempurnaan SOP setiap departemen di dalam perusahaan. Dimana setiap
departemen tidak melakukan tugas yang overlapping terhadap departemen lain.
b. Mengintegrasikan semua sistem yang dipakai meskipun sistem – sistem tersebut
dibuat menggunakan bahasa pemrograman yang berbeda tapi sangat
memungkinkan untuk diintegrasikan. Jika sistem – sistem tersebut dibuat oleh
beberapa vendor yang berbeda, maka harus mengundang semua vendor bagaimana
cara untuk mengintegrasikan sistem – sistem tersebut.
c. Akses dari cabang ke kantor pusat sebaiknya menggunakan jaringan internal
WAN. Dari sisi keamanan akan lebih baik, begitupun dari sisi kecepatan akses
data.
d. Penyusunan BCP harus dilakukan, karena jika terjadi hal –hal yang bisa
mengganggu proses bisnis, seperti bencana alam, kerusuhan. Perusahaan bisa
mempertahankan kelangsungan bisnisnya
e. Logging harus dipasang pada setiap sistem yang digunakan oleh perusahaan. Selain
bertujuan untuk kepentingan audit juga berguna saat terjadi kesalahan pada sistem.
Misalnya siapa dan kapan user login, mengubah, memproses data semua tercatat
di dalam Log Audit. Untuk mengantisipasi besarnya data Log Audit, bisa membuat
SOP bahwa Log Audit di archive per satuan waktu misalnya 1 bulan sekali.