Nama : Catharina Arnita Kuswardani

NIM : 22/506880/EE/07705
RMK 01
IT Risks, Internal Control and IT Governance
IT Risks
Semua entitas selalu menghadapi resiko yang berdasarkan ukuran, struktur, sifat
maupun industry. Berdasarkan dari resiko terrsebut, keputusan bisnis harus mengandung unsur
unsur resiko yang termasuk pada elemen pembiayaan, lini produksi dan metode supply. Ada
tiga jenis resiko harus mempertimbangkan dengan menggunakan pendekatan audit yang
berbasis resiko yaitu resiko bawaan, resiko pengendalian dan resiko audit. Reiko sangat
berdampak kepada kualitas keseluruhan dari produk, people dan jasa yang selalu ditawarkan
oleh organisasi, resiko yang di organisasi hanya bisa dikelola bukan di eliminasi. Salah satu
pilar utama dalam tata Kelola system informasi yaiu dengan mengelola resiko. Untuk
melaksanakan tata Kelola yang baik di perusahaan dengan mengembangkan Enterpirse Risk
Management (ERM).
Resiko system informasi dalam kerangka ERM sehingga bisa didefinisikan sebagai
berikut
1. Strategik. Resiko dimana system informasi yang bisa dikembangkan sendiri atau system
informasi yang dibeli tidak sesuai dengan tujuan organisasi maupun tidak bisa mendukung
dalam mencapai misi organisasi
2. Operation. Resioo dimana system informasi digunakan oleh organisasi yang dipaksakan
overhand berujung tidak bisa diterima oleh organisasi
3. Reporting. Resiko dimana system informasi yang tidak bisa diandalkan untuk mengelola
informasi yang secara lengkap, akurat maupun tepat waktu
4. Compliance. Resiko dimana system informasi disebabkan adanya pelanggaran hukum dan
adanya regulasi sehingga menimbulkan organisasi berdasarkan keuangan maupun reputasi
organisasi.
Untuk penilaian resiko, auditor system informasi harus mengembangkan pemahaman
operasi bisnis agar bisa menfasilitasi dalam pengidentifiaksi dan penilaian resiko yang
signifikan dan system informasi, agar manajemen organisasi bisa menentukan toleransi dari
resiko. Resio dikategorikan menjadi 3 sebagai berikut:
1. Controllable Risk. Resiko yang berada dalam kegiatan suatu organisasi dan sepenuhnya
ada ditangan organisasi dalam memitigasi
2. Uncontrollable Risk. Resiko yang timbul dari eksternal terhadap perusahaan sehingga tidak
bisa dikendalikan ataupun dipengaruho secara langsung oleh organisasi.
3. Influenceable Risk. Resiko yang yang timbul dari ekternal terhadap organisasi tetapi resiko
ini bisa dipengaruhi oleh perusahaan.
Internal Control
Pengendalian internal ini memastikan bahwa program agar memastikan tujuan
manajemen yang sudah direncakan dan dilaksanakan dengan benar. Tujuan adanya
pengendalian internal dalam organisasi yaitu keandalan dan integritas informasi, kepatuhan
dalam kebijakan, rencana, prosedur, hukum dan peraturan, pengamanan asset serta efisiensi
dan efektivitas operasi.
 Pengendalian internal bisa diklasifikasikan dalam beberapa jenis, yaitu
1. Preventantive control
2. Detective controls, mendeteksi ketidakberesan setelah kejadian dan lebih murah daripada
melakukan pemeriksaan setiap tansaksi dengan Preventantive control
3. Corrective controls, memastikan dengan koreksi masalah yang sudah di identifikasi oleh
detective dan sangat membutuhkan intervensi manusia
4. Directive controls, dirancang untuk menghasilkan hasil positif dan mendorong suatu
perilaku yang dapat diterima.
5. Compensating controls, untuk melihat kelemahan dalam satu pengendalian agar dapat
dikompensasiioleh pengendalian ditempat lain
Elemen yang pada pengendalian internal bertujuan untuk pemisahaan tugas, kompetensi dan
integritas, tingkkat otoritas yang tepat, akuntabilitas, sumber daya yang memadai serta adanya
pengawasan dan peninjauan.
System informasi memiliki dua komponen perangkat lunak untuk menambah maupun
mengurangi dalam mengkontrol suatu organisasi yaitu
1. System Software. System software ini sudah termasuk pada program computer dan
kegiatan rutinitas yang bisa mengendalikan perangkat keras omputer, proses dan fungsi
non- pengguna
2. Application Software. Suatu program computer yang tertulis dalam mendukung fungsi
bisnis organisasi seperti Payroll, system saham dan fungsi lini bisnis lainnya.

IT Governance
Tata Kelola teknologi informasi sebagai bagian yang baru dari tata Kelola perusahaan
yng bertujuan pada manajemen dan penilain sumber daya TI strategis. Tujuan utama tata
Kelola TI dimaksudkan untuk mengurangi resiko yang terjadi dan memastikan investigasi
dalam sumber daya TI menambah nilai tambah bagi organisasi.
Sarbanes-Oxley membuat aturan tata Kelola perusahaan yang baru berdasarkan
peraturan dan standar untuk perusahaan public tetapi dalam kerangka pengendalian yang
kompatibel dengan coso tidak ada punduan. Maka suatu organisasi membutuhkan adanya
perwakilan IT dalam tim Sarbanes-Oxley agar memstikan adanya pengendalian umum TI dan
pengendalian aplikasi sudah mendukung tujuandari pengupayaan kepatuhan. Beberapa bidang
utama pertanggungjawaban bagi TI meliputi:
1. Memahami program pengendalian internal prganisasi dan proses pelaporan keuangan
organisasi
2. Melakukan pemetaan system TI untuk mendukung pengendalian internal dan proses
pelaporan keuangan pada laporan keuangan
3. Selalu mengidentifikasi risiko yang berhubungan dengan system TI
4. Membuat dan menerapkan pengendalian yang sudah dirancang agar mengurangi risiko
yang sudah teridentifikasi dan memantau kinerja untuk efektivitas yang berkelanjutan
5. Mendokumentasikan dan menguji pengendalian TI
6. Selalu melihat pengendalian TI agar operasi yang efektif dari waktu ke waktu
7. TI selalu melakukan partisipasi pada kantor manajemen proyek Sarbanes-Oxley
Cobit 5
Cobit adalah a set of best practice (framework) yang ditujukan pada pengelolaan
teknologi informasi (IT Management) yang terdiri dari Executive summary, Framework,
control objevtives, audit guidelines, implementation tool set serta management guidelines yang
sangat berguna dalam proses system informasi strategis. Manfaat cobit 5 bagi organisaisi agar
menyelaraskan bisnis dan TI lebih dekat.
COBIT 5 yang sudah dirilis pada tahun 2015 yang sudah memiliki 5 prinsip utama
yaitu
1. Meeting stakeholder needs
Setiap prioritas dalam system tata Kelola membuat dengan cara mempertimbangkan para
stakeholder yang berawal dari manfaat, sumber daya dan resiko
2. Covering the enterprise end to end
Cobit 5 melakukan layanan internal dan eksternal yang berasal dari IT beserta asset asset
dalam perusahaan
3. Applying a single integrated framework
Cobit 5 disini membahas governance dan manajemen IT perusahaan yang memiliki level
tinggi sehingga digunakan dalam kerangka kerja umum dan integrator pada system tata
Kelola perusahaan.
4. Enabling a holistic approach
Cobit 5 bisa mendukung pengimplementasiaan governance dan manajemen it perusahaa,
juga mempertimbangkan berbagai komponen yang saling berinteraksi.
5. Separating governance from management
Cobit bisa membedakan governance dan manajemen, yang berasal dari stuktur organisasi
dan tujuan yang berbeda