Chapter 7 IT Risk and Control

IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia
tidak menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang
dengan gampang diposting, risiko ini harus diantisipasi.

Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:

 Increase revenue
 Meningkatkan kepuasan dan loyalitas pelanggan
 Merekrut talenta terbaik
 Meningkatkan pengembangan dan inovasi produk
 Meningkatkan brand awareness dan persepsi pelanggan

Pada saat yang sama sosial media mengandung risiko, yaitu:

 Kurangnya corporate governance seputar penggunaan socmed

 Kurangnya kesadaran kebutuhan regulasi
 Gagal melakukan pengukuran socmed
 Gagal melakukan kebijakan socmed yang efektif

Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu
sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko
ketidakamanan informasi.

Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT

membantu organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi,
dan memfasilitasi pengambilan keputusan.

Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga
punya teknologi e-commerce.

IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang
dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA
harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT
Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor
harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang
mengancam, IT governance organisasinya, risk management dan control prosesnya.

Page 40 of 58
Komponen utama Sistem Informasi Modern:

1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation,
terminal, I/O device.
2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat
berbagi informasi/beban kerja. Tipe-tipenya antara lain:
a. Client-server: menghubungkan satu/lebih komputer dengan server
b. LAN: jaringan kecil dalam gedung
c. WAN: LAN yang saling terhubung (national, global)
d. Intranet: jaringan privat organisasi
e. Extranet: dapat diakses oleh pihak ketiga terpilih
f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi
dengan trading partners
g. Internet: jaring internet besar global
h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan
3. Computer Software: termasuk OS, utility software, database management system (DBMS)
software, aplikasi dan firewall.
4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung
dan disimpan agar dapat diretrieve dengan mudah.
5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai
penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan
data serta mengubahnya menjadi informasi yang berguna.
6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database
administrator, system developer, data processing personel dan end user.

Peluang dan risiko IT

Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan
memanage dengan efektif.

Peluang yang ditimbulkan IT:

1. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam
satu database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi
antar fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror,
pengambilan keputusan lebih cepat.
 2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara
organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror.
EDI harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.

Risiko IT:

Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan
daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.

Beberapa tipe IT risk:

1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.
2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi
delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang
ditinggalkan/dilepas.
3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan
keputusan
4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan
menginterupsi bisnis secara temporari atau permanen dan merusak data.
5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat
menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan
penghancuran data.
6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga
informasi menjadi tidak reliable.
7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis,
personal data individu, dapat hancurkan bisnis ata dituntut hukum
8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT
atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated
information.

IT Governance:

IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan
perusahaan. Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi
menentukan IT governance. IT governance terdiri dari kepemimpinan, struktur dan proses
pengawasan yang meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan
organisasi.

IT risk management
Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan
peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk
1) mengidentifikasi dan mitigasi risiko yang mengancam organisasi, 2) identifikasi dan
memanfaatkan peluang yang membawa kesuksesan organisasi.

IT risk management berdasarkan COSO ERM:

1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.
2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT.
Strategic operation dari IT managemen harus selaras dengan strategic managemen
perusahaan keseluruhan.
3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi
yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus
diidentifikasi.
4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan
keterjadiannya.
5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang
teridentifikasi.
6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain
secara memadai dan dioperasikan efektif.
7. Information and communication: informasi penting terkait identifikasi, respon, dan assess
harus dikomunikasikan dengan baik.
8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT,
termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan
seiring perubahan-perubahan yang terjadi.

Chapter 7 IT Risk and Control

IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia
tidak menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang
dengan gampang diposting, risiko ini harus diantisipasi.

Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:

 Increase revenue
 Meningkatkan kepuasan dan loyalitas pelanggan
 Merekrut talenta terbaik
 Meningkatkan pengembangan dan inovasi produk
 Meningkatkan brand awareness dan persepsi pelanggan

Pada saat yang sama sosial media mengandung risiko, yaitu:

Page 40 of 58
  Kurangnya corporate governance seputar penggunaan socmed
 Kurangnya kesadaran kebutuhan regulasi
 Gagal melakukan pengukuran socmed
 Gagal melakukan kebijakan socmed yang efektif

Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu
sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko
ketidakamanan informasi.

Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT

membantu organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi,
dan memfasilitasi pengambilan keputusan.

Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga
punya teknologi e-commerce.

IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang
dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA
harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT
Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor
harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang
mengancam, IT governance organisasinya, risk management dan control prosesnya.

Page 41 of 58
Komponen utama Sistem Informasi Modern:

7. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation,
terminal, I/O device.
8. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat
berbagi informasi/beban kerja. Tipe-tipenya antara lain:
a. Client-server: menghubungkan satu/lebih komputer dengan server
b. LAN: jaringan kecil dalam gedung
c. WAN: LAN yang saling terhubung (national, global)
d. Intranet: jaringan privat organisasi
e. Extranet: dapat diakses oleh pihak ketiga terpilih
f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi
dengan trading partners
g. Internet: jaring internet besar global
h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan
9. Computer Software: termasuk OS, utility software, database management system (DBMS)
software, aplikasi dan firewall.
10. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung
dan disimpan agar dapat diretrieve dengan mudah.
11. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai
penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan
data serta mengubahnya menjadi informasi yang berguna.
12. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database
administrator, system developer, data processing personel dan end user.

Peluang dan risiko IT

Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan
memanage dengan efektif.

Peluang yang ditimbulkan IT:

3. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam
satu database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi
antar fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror,
pengambilan keputusan lebih cepat.
 4. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara
organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror.
EDI harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.

Risiko IT:

Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan
daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.

Beberapa tipe IT risk:

9. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.
10. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi
delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang
ditinggalkan/dilepas.
11. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan
keputusan
12. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan
menginterupsi bisnis secara temporari atau permanen dan merusak data.
13. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat
menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan
penghancuran data.
14. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga
informasi menjadi tidak reliable.
15. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis,
personal data individu, dapat hancurkan bisnis ata dituntut hukum
16. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT
atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated
information.

IT Governance:

IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan
perusahaan. Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi
menentukan IT governance. IT governance terdiri dari kepemimpinan, struktur dan proses
pengawasan yang meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan
organisasi.

IT risk management
Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan
peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan
untuk
2) mengidentifikasi dan mitigasi risiko yang mengancam organisasi, 2) identifikasi dan
memanfaatkan peluang yang membawa kesuksesan organisasi.

IT risk management berdasarkan COSO ERM:

1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.
2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT.
Strategic operation dari IT managemen harus selaras dengan strategic managemen
perusahaan keseluruhan.
3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam
organisasi yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan
harus diidentifikasi.
4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan
dan keterjadiannya.
5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event
yang teridentifikasi.
6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain
secara memadai dan dioperasikan efektif.
7. Information and communication: informasi penting terkait identifikasi, respon, dan assess
harus dikomunikasikan dengan baik.
8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT,
termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan
seiring perubahan-perubahan yang terjadi.