17/422840/EE/07298
Electronic Data Processing Audit (EDP)
IT Risk Management
1. Risk Assesment
Output hasil dari proses ini membantu kearah mengidentifikasi kendali yang sesuai
untuk mengurangi atau menghapuskan resiko sepanjang/ketika proses peringanan
resiko (risk mitigation). Untuk menentukan kemungkinan suatu peristiwa/kejadian
masa depan yang kurang baik, ancaman pada suatu sistem IT harus dianalisis bersama
dengan vulnerability yang potensial dan pengendalian pada tempatnya untuk sistem IT.
2. Risk Mitigation
Risk mitigation adalah satu langkah yang melibatkan usaha-usaha untuk
memprioritaskan, mengevaluasi dan menjalankan kontrol atau pengendalian yang dapat
mengurangi resiko yang tepat yang direkomendasikan dari proses risk
assessment (Stoneburner; 2002). Risk mitigation biasanya dilakukan dengan memenuhi
pendekatan biaya terendah (least-cost approach) dan melaksanakan kontrol atau
pengendalian yang paling tepat (the most appropriate controls) sehingga dapat
mengurangi resiko ke dalam tingkat yang dapat diterima dengan resiko yang paling
minim (minimal adverse impact) terhadap sumber daya dan tujuan organisasi.
Kontrol dapat didefinisikan sebagai tindakan apa pun yang diambil oleh manajemen
untuk meningkatkan kemungkinan bahwa tujuan dan sasaran yang ditetapkan akan tercapai.
Kontrol manajemen dimaksudkan untuk memastikan bahwa suatu organisasi sedang bekerja
menuju tujuan yang dinyatakan:
Tujuan dan sasaran perusahaan adalah pernyataan perusahaan intent (penetrasi pasar
akan meningkat 10% di masa mendatang tahun).
Tujuan manajemen menentukan bagaimana tujuan perusahaan akan dipenuhi
(penetrasi pasar akan meningkat memanfaatkan informasi di dalam gudang data untuk
menentukan pelanggan keinginan dan kebutuhan saat ini dan masa depan).
Pengendalian internal memastikan program untuk memastikan manajemen tujuan
direncanakan dan dilaksanakan dengan benar (pemeriksaan berkala akan dibuat dari
integritas data yang terkandung dalam data gudang dan pemasaran akan dilatih dalam
penggunaan penuh data mining alat untuk memenuhi kebutuhan informasi mereka).
IT Governance
Tata kelola Information Technology (IT) adalah bagian yang relatif baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya IT strategis. Tujuan
utama tata kelola IT adalah untuk mengurangi risiko dan memastikan investasi dalam sumber
daya IT menambah nilai pada perusahaan. Sebelum Sarbanes-Oxley (SOX) Act, praktik umum
mengenai investasi IT adalah untuk menunda semua keputusan untuk profesional IT
perusahaan. Modern Tata kelola IT, bagaimanapun, mengikuti filosofi bahwa semua pemangku
kepentingan perusahaan, termasuk dewan direksi, manajemen puncak, dan pengguna
departemen (yaitu, akuntansi dan keuangan) menjadi peserta aktif dalam keputusan IT kunci.
Keterlibatan berbasis luas seperti itu mengurangi risiko dan meningkatkan kemungkinan
bahwa keputusan IT akan sesuai dengan kebutuhan pengguna, perusahaan kebijakan, inisiatif
strategis, dan persyaratan kontrol internal di bawah SOX.
Tiga isu tata kelola IT yang ditangani oleh SOX dan kerangka kontrol internal COSO. Ini adalah:
1. Struktur organisasi fungsi IT. Organisasi fungsi TI memiliki implikasi untuk sifat dan
efektivitas kontrol internal, yang pada gilirannya, memiliki implikasi untuk audit.
2. Operasi pusat komputer. Akuntan secara rutin memeriksa lingkungan fisik dari pusat
komputer sebagai bagian audit tahunan mereka. Tujuan dari bagian ini adalah untuk
menyajikan risiko pusat komputer dan kontrol yang membantu mengurangi risiko dan
menciptakan lingkungan yang aman. Pengikut adalah area paparan potensial yang dapat
mempengaruhi kualitas informasi, akuntansi catatan, pemrosesan transaksi, dan
efektivitas internal lainnya yang lebih konvensional control.
3. Perencanaan pemulihan bencana. Bencana seperti gempa bumi, banjir, sabotase, bahkan
kegagalan listrik bisa terjadi malapetaka ke pusat komputer dan sistem informasi
organisasi. Untuk bertahan dari peristiwa semacam itu, perusahaan berkembang
prosedur pemulihan dan memformalkannya menjadi rencana pemulihan bencana. Ini
adalah sebuah pernyataan komprehensif dari semua tindakan yang harus diambil
sebelum, selama, dan setelah semua jenis bencana. Meskipun rincian setiap rencana
unik untuk kebutuhan organisasi, semua rencana yang bisa diterapkan memiliki empat
fitur umum:
1. Identifikasi aplikasi penting
2. Buat tim pemulihan bencana
3. Menyediakan cadangan situs
4. Tetapkan prosedur penyimpanan cadangan dan penyimpanan di luar lokasi
Referensi
Hall, James A. 2011. Information Technology Auditing 3rd Edition. USA: South-Western, Cengage
Learning.
Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. New Jersey: John
Wiley & Sons, Inc.