Pertemuan 8 Konsep Risiko Dan Sistem Pengendalian Internal
Pertemuan 8 Konsep Risiko Dan Sistem Pengendalian Internal
Jenis dan
Pengenalan risiko Manajemen risiko
identifikasi risiko
Manajemen risiko
Analisis dan dalam
Penerapan kontrol
prioritas risiko pengendalian
internal
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3
Risiko
Berbagai hal
yang dapat
menghalangi
?
tercapainya
tujuan suatu
proses.
Prinsip Manajemen Risiko
Manajemen Risiko
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 4
Prinsip Manajemen Risiko (lanjutan)
Bersifat proaktif
Bersifat iteratif
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 5
09/09/2022
3. Pemilihan &
5. Deteksi dan
implementasi
penanggulangan
kontrol
4. Pantau dan
laporkan
Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 7
• Karena keterbatasan sumber daya, risiko harus dianalisis untuk diprioritaskan mana yang
utama harus ditanggulangi.
Metode penilaian
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 8
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 9
Tingkat risiko
Unacceptable
risk Tidak bisa diterima dan harus dihapus
atau jika memungkinkan ditransfer
kepada pihak lain
Organisasi menggunakan matriks Undesirable
dengan daerah risiko. risk Membutuhkan penanganan/ mitigasi
risiko sampai di tingkat yang bisa
diterima
Acceptable
Organisasi menentukan kategori risk Bisa diterima karena tidak memiliki
bobot berdasarkan tingkat dampak yang besar dan masih dalam
kekhawatiran (risk appetite), batas yang bisa diterima.
contoh: Negligible risk
• Rendah: 1-2, sedang: 3-4, Tinggi 6-9 Dampaknya sangat kecil sehingga bisa
diabaikan
Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 10
Pengendalian risiko
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 11
Strategi pengendalian risiko - penerapan
kontrol
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 12
Contoh penerapan kontrol untuk
pengendalian risiko proyek TI
Seringkali dibutuhkan beberapa kontrol untuk
menurunkan risiko sampai pada tingkat yang dapat
ditolerir.
• Risk avoidance: membatasi scope proyek
• Risk prevention: memperbaiki prosedur kontrol yang lemah.
• Risk mitigation: mempersiapkan rencana alternatif jika risiko
terjadi
• Risk transfer: mempersyaratkan jaminan pada pelaksana pihak
ketiga.
• Risk acceptance: menerima risiko yang tersisa.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 13
Identifikasi kontrol
Penentuan kontrol terhadap risiko harus didasari oleh pengetahuan yang
komprehensif tentang risiko tersebut.
• Harus dapat menangani penyebabnya, bukan hanya gejala (akibat) dari
risiko.
• Memperhatikan cost-effectiveness (tepat biaya).
• Memperhatikan ketentuan yang berlaku (legal/regulasi, norma sosial,
dsb.)
• Kombinasi antar kontrol-kontrol harus selaras, perlu dirumuskan strategi
pengendalian yang ditetapkan dalam risk policy oleh eksekutif puncak.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14
Manajemen risiko terpadu dalam
pengendalian internal
• Di satu sisi, harus mampu memprioritaskan
Permasalahan risiko menurut perspektif perusahaan secara
dasar dalam keseluruhan (bidangnya Eksekutif Puncak).
pengelolaan • Di sisi lain, harus mampu mengidentifikasi,
risiko TI tingkat
menilai dan memitigasi risiko teknis di lapangan
perusahaan
(bidangnya Manajemen Operasional).
adalah integrasi
(vertikal dan • Juga memiliki cara untuk mencapai kesepakatan
horisontal). lintas unit kerja tentang ukuran nilai probabilitas
dan dampak setiap risiko.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 15
09/09/2022
• Mereview kebijakan dan prioritasi risiko tingkat Manajer dan ahli di tingkat bagian
perusahaan, menyetujui investasi untuk menangani risiko,
dan menangani eskalasi dari tingkat implementasi. • Mengidentifikasi, menilai, dan mengelola risiko spesifik di
bagian masing-masing berdasarkan prioritasi dari Komite
• Beranggotakan kepala-kepala divisi, termasuk TI (CIO) dan
Implementasi.
tim manajemen risiko.
Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 16
Monitoring
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 17
09/09/2022
Monitoring (lanjutan)
Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18
Ada pertanyaan?