Adelina Lestari

17/422840/EE/07298
Electronic Data Processing Audit (EDP)

IT Risk, Internal Control, and IT Governance

IT Risk Management

IT Risk Management (manajemen resiko teknologi informasi) adalah proses yang

dialkukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran
biaya dalam mencapai keuntungan dengan melindungi sistem IT dan data yang mendukung misi
organisasinya (Soebijono, 2011). Menurut G. Stoneburner (2002), IT Risk management meliputi
tiga proses yaitu :

1. Risk Assesment
Output hasil dari proses ini membantu kearah mengidentifikasi kendali yang sesuai
untuk mengurangi atau menghapuskan resiko sepanjang/ketika proses peringanan
resiko (risk mitigation). Untuk menentukan kemungkinan suatu peristiwa/kejadian
masa depan yang kurang baik, ancaman pada suatu sistem IT harus dianalisis bersama
dengan vulnerability yang potensial dan pengendalian pada tempatnya untuk sistem IT.

2. Risk Mitigation
Risk mitigation adalah satu langkah yang melibatkan usaha-usaha untuk
memprioritaskan, mengevaluasi dan menjalankan kontrol atau pengendalian yang dapat
mengurangi resiko yang tepat yang direkomendasikan dari proses risk
assessment (Stoneburner; 2002). Risk mitigation biasanya dilakukan dengan memenuhi
pendekatan biaya terendah (least-cost approach) dan melaksanakan kontrol atau
pengendalian yang paling tepat (the most appropriate controls) sehingga dapat
mengurangi resiko ke dalam tingkat yang dapat diterima dengan resiko yang paling
minim (minimal adverse impact) terhadap sumber daya dan tujuan organisasi.

3. Evaluation and Assesment

Menurut Tony (2011), dalam suatu organisasi, jaringan secara terus menerus akan
diperluas dan diperbaharui, komponen diubah dan aplikasi software-nya diganti atau
diperbaharui dengan versi yang lebih baru. Perubahan ini berarti bahwa, resiko baru
akan timbul dan resiko yang sebelumnya dikurangi, akan menjadi suatu perhatian.
Demikian seterusnya, sehingga manajemen resiko akan berkembang. Manajemen resiko
seharusnya diselenggarakan dan terintergrasi dengan SDLC untuk sistem IT, bukan
dikarenakan untuk kepentingan hukum atau regulasi, melainkan suatu “good
practice” dan dukungan bisnis organisasi secara objektif atau berdasarkan misi.
Internal Control

Kontrol dapat didefinisikan sebagai tindakan apa pun yang diambil oleh manajemen
untuk meningkatkan kemungkinan bahwa tujuan dan sasaran yang ditetapkan akan tercapai.
Kontrol manajemen dimaksudkan untuk memastikan bahwa suatu organisasi sedang bekerja
menuju tujuan yang dinyatakan:
 Tujuan dan sasaran perusahaan adalah pernyataan perusahaan intent (penetrasi pasar
akan meningkat 10% di masa mendatang tahun).
 Tujuan manajemen menentukan bagaimana tujuan perusahaan akan dipenuhi
(penetrasi pasar akan meningkat memanfaatkan informasi di dalam gudang data untuk
menentukan pelanggan keinginan dan kebutuhan saat ini dan masa depan).
 Pengendalian internal memastikan program untuk memastikan manajemen tujuan
direncanakan dan dilaksanakan dengan benar (pemeriksaan berkala akan dibuat dari
integritas data yang terkandung dalam data gudang dan pemasaran akan dilatih dalam
penggunaan penuh data mining alat untuk memenuhi kebutuhan informasi mereka).

Keputusan manajemen dapat diklasifikasikan sebagai Strategis, Taktis, atau Operasional

dan semua keputusan pada tingkat apa pun dipengaruhi oleh IS dirancang untuk memberikan
dasar di mana keputusan dibuat. IS Audit harus memastikan bahwa sistem pengendalian
internal akan menjadi efektif dan berfungsi sebagaimana dimaksud. Tingkat kontrol yang
dibutuhkan akan dipengaruhi oleh tujuan keseluruhan. Tujuan dan sasaran perusahaan adalah
pernyataan perusahaan maksud dan umumnya sangat luas, sedangkan tujuan Manajemen
menentukan bagaimana tujuan perusahaan akan dipenuhi dan mereka biasanya jauh lebih
detail.

Kontrol internal dirancang untuk memastikan bahwa program untuk memastikan

tujuan manajemen direncanakan dengan benar dan dieksekusi. Sekali lagi, pada tingkat yang
lebih rinci, tujuan operasional adalah pengemudi mendikte aktivitas sehari-hari yang normal
dan mungkin, dalam dirinya sendiri, konflik sehingga kita menemukan konflik antara, misalnya,
kebutuhan akan kerahasiaan dan kebutuhan akan ketersediaan data; demikian pula ada konflik
antara efisiensi pemrosesan data versus keefektifan. Prioritisasi tujuan operasi mengarahkan
pengembangan kontrol dan akan mempengaruhi sistem, akhir keseluruhan dari kontrol.

Asumsikan organisasi beroperasi dalam lingkungan keamanan yang tinggi. Tujuan

pengendalian dapat sedemikian rupa sehingga hilangnya informasi permanen akan lebih baik
dari kebocoran informasi. Dalam keamanan yang lebih rendah ketersediaan lingkungan
mungkin menjadi perhatian utama dan kerugian kerahasiaan mungkin merupakan masalah
yang relatif kecil. Ini adalah evaluasi dari profil risiko ini yang menentukan sifat dan arah dari
struktur kontrol internal dan oleh karena itu pekerjaan Audit IS.

IT Governance

Tata kelola Information Technology (IT) adalah bagian yang relatif baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya IT strategis. Tujuan
utama tata kelola IT adalah untuk mengurangi risiko dan memastikan investasi dalam sumber
daya IT menambah nilai pada perusahaan. Sebelum Sarbanes-Oxley (SOX) Act, praktik umum
mengenai investasi IT adalah untuk menunda semua keputusan untuk profesional IT
perusahaan. Modern Tata kelola IT, bagaimanapun, mengikuti filosofi bahwa semua pemangku
kepentingan perusahaan, termasuk dewan direksi, manajemen puncak, dan pengguna
departemen (yaitu, akuntansi dan keuangan) menjadi peserta aktif dalam keputusan IT kunci.
Keterlibatan berbasis luas seperti itu mengurangi risiko dan meningkatkan kemungkinan
bahwa keputusan IT akan sesuai dengan kebutuhan pengguna, perusahaan kebijakan, inisiatif
strategis, dan persyaratan kontrol internal di bawah SOX.

Tiga isu tata kelola IT yang ditangani oleh SOX dan kerangka kontrol internal COSO. Ini adalah:
1. Struktur organisasi fungsi IT. Organisasi fungsi TI memiliki implikasi untuk sifat dan
efektivitas kontrol internal, yang pada gilirannya, memiliki implikasi untuk audit.
2. Operasi pusat komputer. Akuntan secara rutin memeriksa lingkungan fisik dari pusat
komputer sebagai bagian audit tahunan mereka. Tujuan dari bagian ini adalah untuk
menyajikan risiko pusat komputer dan kontrol yang membantu mengurangi risiko dan
menciptakan lingkungan yang aman. Pengikut adalah area paparan potensial yang dapat
mempengaruhi kualitas informasi, akuntansi catatan, pemrosesan transaksi, dan
efektivitas internal lainnya yang lebih konvensional control.
3. Perencanaan pemulihan bencana. Bencana seperti gempa bumi, banjir, sabotase, bahkan
kegagalan listrik bisa terjadi malapetaka ke pusat komputer dan sistem informasi
organisasi. Untuk bertahan dari peristiwa semacam itu, perusahaan berkembang
prosedur pemulihan dan memformalkannya menjadi rencana pemulihan bencana. Ini
adalah sebuah pernyataan komprehensif dari semua tindakan yang harus diambil
sebelum, selama, dan setelah semua jenis bencana. Meskipun rincian setiap rencana
unik untuk kebutuhan organisasi, semua rencana yang bisa diterapkan memiliki empat
fitur umum:
1. Identifikasi aplikasi penting
2. Buat tim pemulihan bencana
3. Menyediakan cadangan situs
4. Tetapkan prosedur penyimpanan cadangan dan penyimpanan di luar lokasi

Referensi

Hall, James A. 2011. Information Technology Auditing 3rd Edition. USA: South-Western, Cengage
Learning.

Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. New Jersey: John
Wiley & Sons, Inc.

Soebijono, Tony. 2011. “IT Risk Management”, http://blog.stikom.edu/tonys/?p=20, diakses

pada 19 Agustus 2018 pukul 15.21