Mata kuliah Audit Sistem Informasi

Pertemuan 9: Konsep risiko dan sistem pengendalian internal

Program Studi Sistem Informasi

Fransiska Prihatini Sihotang, S.SI., M.T.I.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 2

Sub pokok bahasan

Jenis dan
Pengenalan risiko Manajemen risiko
identifikasi risiko

Manajemen risiko
Analisis dan dalam
Penerapan kontrol
prioritas risiko pengendalian
internal
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3

Risiko

Berbagai hal
yang dapat
menghalangi
?
tercapainya
tujuan suatu
proses.
 Prinsip Manajemen Risiko
Manajemen Risiko

• Proses identifikasi, analisis, dan antisipasi risiko secara proaktif.

• Bertujuan untuk memaksimalkan dampak positif (dari keberhasilan) dengan
meminimalkan dampak negatif (dari kegagalan).

Kategori utama risiko TI

• Risiko perencanaan (strategis).

• Risiko pengembangan/implementasi.
• Risiko operasional, termasuk security.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 4
 Prinsip Manajemen Risiko (lanjutan)

Bersifat proaktif

• Antisipatif, bukan reaktif.

• Utamakan mengatasi penyebab, bukan gejala.
• Menerapkan mekanisme preventif (mengurangi kemungkinan terjadinya) sejauh
memungkinkan.
• Menerapkan mekanisme untuk mendeteksi terjadinya sedini mungkin.
• Menyiapkan prosedur penanggulangan sebelum kejadiannya

Bersifat iteratif

• Melalui siklus untuk memfasilitasi proses belajar.

• Memahami risiko dan mengendalikannya dari pengalaman.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 5
09/09/2022

Siklus Manajemen Risiko

1. Identifikasi

6. Petik 2. Analisis dan

pelajaran prioritasi

3. Pemilihan &
5. Deteksi dan
implementasi
penanggulangan
kontrol

4. Pantau dan
laporkan

Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I.
Jenis dan identifikasi risiko
Jenis risiko
Risiko murni (pure risk)
• Jika terjadi menyebakan kerugian,
jika tidak terjadi tidak
menyebabkan apa-apa.
• Pencurian data
Risiko bisnis (business risk)
• Risiko yang dihadapi perusahaan
akibat ketidakpastian dari
aktivitas-aktivitas bisnis,
• Penjualan, pemasaran, dll.
7
Identifikasi risiko
Risiko spekulasi (speculative Usaha untuk menemukan
risk) atau mengetahui risiko-risiko
• Sesuatu dapat menyebabkan
kerugian, keuntungan, atau tidak yang mungkin timbul dalam
berdampak, tergantung situasinya.
• Saham
kegiatan yang dilakukan oleh
perusahaan atau perorangan.
Risiko strategi (strategic Metode
risk)
• Analisis data historis.
• Terdapat perubahan fundamental
pada lingkungan ekonomi atau • Pengamatan dan survey (menggunakan
politik. kuesioner, inspeksi langsung, dan
interaksi dengan unit kerja).
• Pengacuan (benchmarking).
• Pendapat ahli.
 Analisis dan prioritas risiko
Prioritas

• Karena keterbatasan sumber daya, risiko harus dianalisis untuk diprioritaskan mana yang
utama harus ditanggulangi.

Tingkat risiko (risk exposure) = likelihood x Impact

• Peluang terjadinya (likelihood)

• Besarnya dampak (impact)

Metode penilaian

• Kualitatif, semi kuantitatif, dan kuantitatif (berdasar statistik).

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 8
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 9

Tingkat risiko (risk exposure) = likelihood x Impact

Peluang terjadinya (likelihood) Besarnya dampak (impact)

Peluang terjadinya risiko dapat Nilai

diperkirakan berdasarkan kerugian
yang
• Sesuai dengan dampak dalam risk
statement.
diakibatkan,
• Statistik terjadinya event (atau event biasanya
• Termasuk: opportunity cost, loss of
market share,additional operational
serupa) pada masa lalu. dalam nilai
cost, dsb.
moneter
• Perkiraan ahli di bidang terkait, dapat (Rp, $, dsb)
juga melalui konsensus anggota tim. Dapat
dinilai • Contoh: cost overrun less than 5%,
Dapat diukur secara kuantitatif berdasarkan
kriteria
schedule slip 1 weeks, dsb.
atau semi-kuantitatif. kasar
09/09/2022

Tingkat risiko
Unacceptable
risk Tidak bisa diterima dan harus dihapus
atau jika memungkinkan ditransfer
kepada pihak lain
Organisasi menggunakan matriks Undesirable
dengan daerah risiko. risk Membutuhkan penanganan/ mitigasi
risiko sampai di tingkat yang bisa
diterima
Acceptable
Organisasi menentukan kategori risk Bisa diterima karena tidak memiliki
bobot berdasarkan tingkat dampak yang besar dan masih dalam
kekhawatiran (risk appetite), batas yang bisa diterima.
contoh: Negligible risk
• Rendah: 1-2, sedang: 3-4, Tinggi 6-9 Dampaknya sangat kecil sehingga bisa
diabaikan

Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 10
 Pengendalian risiko

Perumusan metode untuk

mengendalikan risiko-risiko yang Prinsip pengendalian risiko
tidak dapat ditolerir.
• Berupa implementasi mekanisme • Kendalikan penyebab untuk
kontrol yang terintegrasi dengan memperkecil likelihood.
prosedur kegiatan rutin. • Kendalikan akibat untuk
• Suatu risiko dapat memiliki memperkecil impact.
beberapa alternatif kontrol, lebih
dari satu kontrol dapat dipilih.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 11
 Strategi pengendalian risiko - penerapan
kontrol

Avoid Prevention Mitigate Transfer Accept

• Hindari dengan • Mencegah • Menerapkan mekanisme • Alihkan kepada • Terima jika masih
untuk menurunkan peluang
membatasi lingkup terjadinya risiko terjadinya dan/ atau pihak lain dalam batas toleransi
kegiatan. dengan meminimalisasi dampaknya termasuk dengan organisasi. Tetapi
menerapkan sampai batas yang dapat
outsourcing/ terus dimonitor.
ditolerir.
mekanisme • Contingency plan (rencana subcontract/
tertentu. cadangan): menerapkan
prosedur penanggulangan
purchase, atau
untuk meminimalkan dengan asuransi.
dampak.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 12
 Contoh penerapan kontrol untuk
pengendalian risiko proyek TI
Seringkali dibutuhkan beberapa kontrol untuk
menurunkan risiko sampai pada tingkat yang dapat
ditolerir.
• Risk avoidance: membatasi scope proyek
• Risk prevention: memperbaiki prosedur kontrol yang lemah.
• Risk mitigation: mempersiapkan rencana alternatif jika risiko
terjadi
• Risk transfer: mempersyaratkan jaminan pada pelaksana pihak
ketiga.
• Risk acceptance: menerima risiko yang tersisa.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 13
 Identifikasi kontrol
Penentuan kontrol terhadap risiko harus didasari oleh pengetahuan yang
komprehensif tentang risiko tersebut.
• Harus dapat menangani penyebabnya, bukan hanya gejala (akibat) dari
risiko.
• Memperhatikan cost-effectiveness (tepat biaya).
• Memperhatikan ketentuan yang berlaku (legal/regulasi, norma sosial,
dsb.)
• Kombinasi antar kontrol-kontrol harus selaras, perlu dirumuskan strategi
pengendalian yang ditetapkan dalam risk policy oleh eksekutif puncak.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14
 Manajemen risiko terpadu dalam
pengendalian internal
• Di satu sisi, harus mampu memprioritaskan
Permasalahan risiko menurut perspektif perusahaan secara
dasar dalam keseluruhan (bidangnya Eksekutif Puncak).
pengelolaan • Di sisi lain, harus mampu mengidentifikasi,
risiko TI tingkat
menilai dan memitigasi risiko teknis di lapangan
perusahaan
(bidangnya Manajemen Operasional).
adalah integrasi
(vertikal dan • Juga memiliki cara untuk mencapai kesepakatan
horisontal). lintas unit kerja tentang ukuran nilai probabilitas
dan dampak setiap risiko.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 15
09/09/2022
Peran dan fungsi manajemen risiko TI
Sponsor eksekutif
• Memberikan arahan kebijakan manajemen risiko
organisasi, dan sebagai pemutus tertinggi.
• Beranggotakan jajaran Chief Experience Officer (CxO).
Komite kebijakan risiko
• Mereview kebijakan dan prioritasi risiko tingkat
perusahaan, menyetujui investasi untuk menangani risiko,
dan menangani eskalasi dari tingkat implementasi.
• Beranggotakan kepala-kepala divisi, termasuk TI (CIO) dan
tim manajemen risiko.
Komite Implementasi
• Mengimplementasikan kebijakan penanganan risiko
dengan menerapkan standar dan prosedur teknis, serta
menangani penyimpangan terhadap standar.
• Beranggotakan antara lain manajemen bagian.
Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I.
Tim manajemen risiko TI
• endukung manajer dan ahli di tingkat bagian dalam
menjalankan prosedur manajemen risiko, termasuk
merancang template/ formulir dan alat bantu, melakukan
analisis dan menyusun laporan rinci bagi tingkat di atasnya.
Manajer dan ahli di tingkat bagian
• Mengidentifikasi, menilai, dan mengelola risiko spesifik di
bagian masing-masing berdasarkan prioritasi dari Komite
Implementasi.
Manajer risiko TI
• Anggota Komite Implementasi, di bawah Manajer Risiko
perusahaan. Menjadi penghubung antar tingkatan, dan
bertanggung jawab mengawasi pelaksanaan proses tata
kelola bertingkat.
16
 Monitoring

Efektivitas kebijakan, standar dan penanganan risiko TI

harus secara rutin dipantau/ dimonitor:
Key Performance Indicator (KPI): mengukur pencapaian Key Risk Indicator (KRI): mengukur kondisi-kondisi yang
target indikator keberhasilan pengendalian risiko. berpengaruh pada tingkat kerawanan terhadap risiko.
• Misalnya: • Misalnya:
• Jumlah pengaduan ke help desk, lamanya down time, lamanya • Jumlah inkonsistensi konfigurasi perangkat (penyimpangan dari
penundaan kegiatan, jumlah penyimpangan dari tingkat layanan apa yang tercatat) dan lonjakan volume transaksi sebagai KRI
(service level) standar, dsb. untuk risiko availability
• Skala perombakan program aplikasi untuk risiko accuracy.

• Perubahan KRI dapat menjadikan perkiraan semula tentang

peluang dan dampak risiko tidak sesuai lagi.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 17
09/09/2022

Monitoring (lanjutan)

Hasil pengukuran yang melampau

Prioritas monitoring dilakukan batas ambang tertentu akan
pada risiko-risiko dengan memicu proses review
prioritas tinggi dan juga risiko- • Revisi nilai peluang dan dampak.
risiko baru yang efektivitas • Revisi nilai efektivitas control.
penanggulangannya belum • Perbaikan/ perubahan/ penambahan
teruji. kontrol.

Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18
 Ada pertanyaan?

Akhir dari presentasi.

Fransiska Prihatini Sihotang, S.SI., M.T.I.