TUGAS 2

Manajemen Risiko dan Audit Sistem Informasi

Tutor : TRI RAMDHANY S.KOM., M.KOM.

Disusun Oleh:

Nama : Arif Bachtiar

Nim : 044321713

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS TERBUKA

2023
1. Delapan standar cara seorang auditor dapat memperoleh bukti audit :

1. Inspeksi : Auditor dapat melakukan inspeksi terhadap dokumen, catatan, atau objek fisik yang terkait
dengan sistem informasi, termasuk memeriksa keakuratan, kelengkapan, dan keabsahan data yang
terdapat dalam sistem.
2. Pengamatan : Auditor dapat mengamati proses, kegiatan, atau operasi yang terjadi dalam sistem
informasi secara langsung. Hal ini memungkinkan auditor untuk mendapatkan pemahaman yang lebih
baik mengenai cara kerja sistem dan mengidentifikasi apakah proses tersebut sesuai dengan kebijakan
yang ada.
3. Penyelidikan dan Konfirmasi : Penyelidikan melibatkan pengumpulan informasi tambahan untuk
mendukung atau memeriksa kebenaran data yang terkait dengan sistem informasi. Konfirmasi juga
melibatkan verifikasi langsung dari pihak ketiga terkait informasi atau transaksi yang terjadi dalam
sistem.
4. Reperformance : Metode reperformance memungkinkan auditor untuk melakukan kembali prosedur
atau aktivitas tertentu yang telah dilakukan sebelumnya dalam sistem. Hal ini bertujuan untuk
memastikan bahwa hasil yang diperoleh sejalan dengan harapan dan standar yang ditetapkan.
5. Perhitungan Ulang : Auditor dapat melakukan perhitungan ulang terhadap data atau informasi yang
telah diolah oleh sistem. Tujuan dari perhitungan ulang adalah untuk memverifikasi keakuratan
perhitungan yang dilakukan oleh sistem informasi.
6. Perhitungan : Auditor dapat melakukan perhitungan langsung atas data atau informasi yang terkait
dengan sistem informasi. Hal ini dilakukan untuk memastikan bahwa data yang digunakan dalam
sistem informasi akurat dan dapat diandalkan.
7. Prosedur Analitis : Auditor dapat menerapkan prosedur analitis untuk menganalisis data historis atau
saat ini guna mengidentifikasi pola atau tren yang tidak biasa. Hal ini membantu auditor dalam
memahami kinerja sistem informasi serta mengidentifikasi potensi risiko atau ketidaksesuaian.
8. Metode Lain yang Diterima : Selain metode-metode di atas, auditor juga dapat menggunakan
berbagai metode lain yang dianggap relevan untuk mengumpulkan bukti audit yang dibutuhkan. Hal ini
dapat mencakup wawancara dengan staf terkait, pengujian substansif, pengujian kontrol, pemahaman
tentang lingkungan bisnis, dan analisis data tambahan.
2. COSO menetapkan 5 komponen pengendalian internal yaitu :

1. Lingkungan Pengendalian (Control Environment) : Merupakan kondisi budaya dan etika perusahaan
yang menciptakan dasar bagi seluruh sistem pengendalian internal. Komponen ini mencakup nilai-nilai
integritas dan etika yang ditegaskan oleh manajemen puncak, yang memberikan panduan bagi
karyawan dalam menentukan tindakan yang tepat.
2. Penilaian Risiko (Risk Assessment) : Proses ini melibatkan identifikasi, analisis, dan penilaian
terhadap faktor-faktor yang dapat mempengaruhi pencapaian tujuan perusahaan. Perusahaan harus
mampu mengenali potensi risiko bisnis dan mengembangkan strategi untuk mengelola risiko tersebut
agar dapat beroperasi secara efektif dan efisien.
3. Kegiatan Pengendalian (Control Activities) : Komponen ini melibatkan implementasi kebijakan dan
prosedur yang dirancang untuk mengurangi kemungkinan terjadinya kecurangan atau kesalahan.
Dengan adanya kegiatan pengendalian yang tepat, perusahaan dapat mengidentifikasi dan mengatasi
risiko yang spesifik dan berpotensi merugikan perusahaan.
4. Informasi dan Komunikasi (Information and Communication) : Penting bagi perusahaan untuk
memiliki sistem informasi yang memadai dan memastikan bahwa informasi yang relevan disampaikan
dengan jelas kepada seluruh karyawan perusahaan. Komunikasi yang efektif memastikan bahwa
seluruh anggota organisasi memahami tanggung jawab mereka dalam menjalankan sistem
pengendalian internal.
5. Pemantauan (Monitoring): Proses pemantauan yang efektif penting untuk memastikan bahwa sistem
pengendalian internal berjalan sesuai rencana. Dengan memantau secara berkala, perusahaan dapat
mengidentifikasi kelemahan atau ketidaksesuaian yang mungkin terjadi dan segera mengambil
tindakan korektif yang diperlukan.

Beberapa contoh hal dalam soal dijelaskan dalam salah satu komponen pengendalian internal menurut
COSO, yaitu :
 Mempertimbangkan penilaian potensi kecurangan dalam pencapaian tujuan.
Termasuk dalam komponen penilaian risiko karena menilai potensi kecurangan.
 Memilih dan mengembangkan aktivitas kontrol yang berkontribusi pada mitigasi risiko untuk
pencapaian tujuan ke tingkat yang dapat diterima.
Termasuk dalam komponen kegiatan pengendalian karena milih dan mengembangkan aktifitas kontrol.
 Mengevaluasi dan mengkomunikasikan defisiensi pengendalian internal secara tepat waktu kepada
pihak-pihak yang bertanggungjawab untuk mengambil tindakan korektif, termasuk manajemen senior
dan dewan direksi.
Termasuk dalam komponen Informasi dan komunikasi karena mengkomunikasikan dengan tepat
waktu.
 Berkomunikasi dengan pihak eksternal tentang hal-hal yang mempengaruhi berfungsinya komponen
lain dari pengenalian internal.
Termasuk dalam komponen Informasi dan komunikasi karena berkomunikasi dengan pihak eksternal.
  Dewan direksi melakukan pengawasan terhadap perkembangan dan kinerja pengendalian internal.
Termasuk dalam komponen Pemantauan karena dewan direksi melakukan pengawasan.
 Menilai perubahan yang dapat berdampak signifikan pada sistem pengendalian internal.
Termasuk dalam komponen Penilaian risiko karena menilai perubahan.
 Melakukan evaluasi yang sedang berlangsung.
Termasuk dalam komponen Pemantauan karena melakukan evaluasi.

3. Kasus soal seperti yang tertera dalam BMP MSIM4305 halaman 9.19 bagian ”4. Temuan Audit”.

Metode penilaian yang dipilih oleh auditor adalah metode penilaian tujuan.

Dari contoh ksus tersebut, metode penilaian yang dipilih oleh auditor adalah penilaian tujuan.
Penilaian tujuan adalah proses penilaian yang didasarkan pada pencapaian tujuan tertentu. Dalam kasus ini,
auditor mengevaluasi apakah akun yang diaktifkan memiliki kata sandi yang aman atau tidak, dengan fokus
pada tujuan untuk mengidentifikasi potensi risiko keamanan yang diakibatkan oleh kata sandi yang lemah
atau umum digunakan.
Auditor melakukan analisis terhadap sejumlah besar akun yang diaktifkan di berbagai agensi dan
lingkungan AD untuk menilai sejauh mana kata sandi yang digunakan oleh pengguna memenuhi standar
keamanan yang memadai. Dengan meninjau kata sandi yang lemah atau umum digunakan, auditor
mempertimbangkan risiko keamanan yang mungkin terkait dengan kata sandi tersebut, termasuk risiko
serangan dunia maya yang berhasil dan akses tidak sah ke sistem dan informasi.
Melalui analisis tersebut, auditor mengidentifikasi pola umum yang digunakan untuk membuat kata
sandi, termasuk variasi tanggal dan musim serta pola keyboard seperti 'qwerty'. Dengan demikian, auditor
secara langsung menilai keefektifan langkah-langkah keamanan yang berkaitan dengan kata sandi, sehingga
penilaian ini dapat dikategorikan sebagai penilaian tujuan.
Seperti dikutip dari BMP Manajemen Risiko & Audit SI MSIM4305 modul 6 kegiatan belajar 1
halaman
6.11 yaitu : “Ada dua metode penilaian yang mungkin untuk dipilih oleh auditor. Penilaian tujuan
hanya menggunakan atribut kuantitatif dari unit yang dapat diaudit seperti nilai throughput, nilai
aset yang dikendalikan, jumlah personel, atau volume transaksi. Dalam metodologi ini tidak ada
pembobotan faktor risiko yang dilakukan. Metode penilaian alternatif menggunakan penilaian
subjektif, di mana setiap faktor risiko dapat diberi bobot pada skala yang mewakili derajat
perhatian, sehingga memungkinkan auditor untuk mengungkapkan perasaannya (atau manajemen)
tentang materialitas risiko.”
Dari kutipan di atas, penilaian tujuan hanya menggunakan atribut kuantitatif dari unit yang dapat
diaudit akan dapat memperhatikan beberapa faktor kuantitatif yang terkait dengan keamanan kata sandi dan
akun di lingkungan sistem tanpa adanya pembobotan untuk skala penilaian. Beberapa aspek yang dapat
diperhatikan dari contoh kasus dalam penilaian tersebut antara lain :
1. Jumlah akun yang memiliki kata sandi lemah atau umum digunakan, yang dalam kasus ini mencapai
26% dari total 234.000 akun yang diperiksa oleh auditor di 17 agensi dan 23 lingkungan AD. Ini adalah
indikator kuantitatif yang dapat memberikan gambaran tentang tingkat kerentanan keseluruhan dari
sistem terhadap serangan dunia maya yang berhasil.
2. Jumlah akun dengan kata sandi lemah yang ditemukan dalam survei, misalnya 6.546 akun, termasuk
akun istimewa yang memiliki hak akses level administrator. Ini bisa menjadi parameter kuantitatif yang
menunjukkan tingkat risiko yang lebih tinggi terkait dengan akses tidak sah ke data, karena akun-akun
ini memiliki akses istimewa yang signifikan.
3. Data terkait pola kata sandi yang umum digunakan, seperti variasi tanggal dan musim, pola keyboard
'qwerty', atau sandi yang hanya berisi angka, juga dapat menjadi atribut kuantitatif yang dapat
dievaluasi. Misalnya, auditor dapat mengukur berapa banyak dari kata sandi yang dianalisis termasuk
dalam pola-pola ini untuk memperoleh pemahaman yang lebih jelas tentang kelemahan keamanan yang
spesifik dalam sistem.
Dengan memperhatikan faktor-faktor kuantitatif ini, auditor dapat membuat penilaian tujuan yang
berfokus pada pengukuran langsung terhadap jumlah akun dengan kata sandi lemah, pola kata sandi yang
umum digunakan, dan kerentanan lainnya dalam sistem. Hal ini dapat membantu mereka dalam
mengidentifikasi dan mengevaluasi risiko keamanan secara lebih objektif dan akurat.