AUDIT SISTEM INFORMASI

It risk and it governance control

Manja purnasari, M.Kom

 IDENTIFIKASI RISIKO TI

• Apa itu resiko?

• Potensi / Kemungkinan kerugian.
• Penyimpangan kenyataan dari hasil yang diharapkan.
• Probabilitas bahwa suatu hasil berbeda dari yang diharapkan .
• Resiko berhubungan dengan kejadian di masa yg akan datang
RESIKO & SISTEM KEAMANAN

• Resiko: “Sesuatu yang akan terjadi yang

dipengaruhi oleh faktor kemungkinan
(likelihood), berupa ancaman terhadap beberapa
kelemahan yang menghasilkan dampak (impact)
yang merugikan perusahaan”
• Sistem keamanan: “Semua tindakan yang
dilakukan maupun aset yang digunakan untuk
menjamin keamanan perusahaan”
 KLASIFIKASI RESIKO

• Hazard risk: fire, flood, theft, etc.

• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological innovation,
regulatory changes, brand image damage etc.
• Operational risk: IT capability, business operations,
security threat, etc.
 KLASIFIKASI ANCAMAN
DIKAITKAN DENGAN INFORMASI
•
DAN DATA
Loss of confidentiality of information
• Informasi diperlihatkan kepada pihak yang tidak berhak
untuk melihatnya
• Loss of integrity of information
• Informasi tidak lengkap, tidak sesuai aslinya, atau telah
dimodifikasi
• Loss of availability of information
• Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
• Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
PERLUNYA ANALISIS RESIKO

• Memberi gambaran biaya perlindungan keamanan

• Mendukung proses pengambilan keputusan yg
berhubungan dengan konfigurasi HW dan desain
sistem SW
• Membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan
• Menentukan aset tambahan (orang, HW, SW,
infrastruktur, layanan)
PERLUNYA ANALISIS RESIKO
(CONT’D)
• Memperkirakan aset mana yang rawan terhadap ancaman
• Memperkirakan resiko apa yang akan terjadi terhadap aset
• Menentukan solusi untuk mengatasi resiko dengan
penerapan sejumlah kendali
RESPON TERHADAP RESIKO

• Avoidance: pencegahan terjadinya resiko

• Transfer: pengalihan resiko dan responnya ke pihak lain.
Contoh: asuransi
• Mitigation: pengurangan probabilitas terjadinya resiko
dan/atau pengurangan nilai resiko
• Acceptance: penerimaan resiko beserta konsekuensi.
Contoh: contingency plan
 TATA KELOLA TI

• adalah suatu cabang dari tata kelola perusahaan yang terfokus

pada Sistem/Teknologi informasi serta manajemen Kinerja dan
risikonya.
• Tata kelola TI adalah struktur kebijakan atau prosedur dan
kumpulan proses yang bertujuan untuk memastikan kesesuaian
penerapan TI dengan dukungannya terhadap pencapaian tujuan
institusi, dengan cara mengoptimalkan keuntungan dan
kesempatan yang ditawarkan TI, mengendalikan penggunaan
terhadap sumber daya TI dan mengelola resiko-resiko terkait TI
 PENTINGNYA TATA KELOLA TI

• Di lingkungan yang sudah memanfaatkan Teknologi Informasi (TI),

tata kelola TI menjadi hal penting yang harus diperhatikan. Hal ini
dikarenakan ekspektasi dan realitas seringkali tidak sesuai. Pihak
shareholder perusahaan selalu berharap agar perusahaan dapat :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan
sesuai dengan anggaran.
2.Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3.Menerapkan TI untuk meningkatkan efisiensi dan produktifitas
sambil menangani risiko TI.
 TATA KELOLA TI

Tata Kelola TI berkaitan dengan dua permasalahan utama:

•TI akan memberikan nilai terhadap bisnis yang didorong oleh
penyelarasan TI dengan bisnis
•Bahwa risiko yang terkait dengan TI akan ditangani dengan
penentuan penanggung jawab permasalahan tersebut dalam
perusahaan.
•Elemen kunci: penyelarasan bisnis dan TI yang mengarah pada
pemenuhan nilai bisnis.
INFORMATION TECHNOLOGY
GOVERNANCE (TATA KELOLA TI)
• Tujuan utama dari tata kelola TI adalah untuk :
• mengurangi risiko
• memastikan bahwa investasi dalam sumber daya TI
menambah nilai bagi perusahaan.
 AREA TATA KELOLA TI FOKUS
UTAMA:
• Penyelarasan strategis (strategic alignment)
• penyampaian nilai (value delivery)
• pengelolaan sumber daya (resource
management)
• pengelolaan risiko (risk management)
• pengukuran kinerja (performance
management)
 AREA TATA KELOLA TI

• Strategic alignment: memfokuskan kepastian terhadap

keterkaitan antara strategi bisnis dan TI serta penyelarasan
antara operasional TI dengan bisnis.
• Value delivery: mencakup hal-hal yang terkait dengan
penyampaian nilai yang memastikan bahwa TI memenuhi
manfaat yang dijanjikan dengan memfokuskan pada
pengoptimalan biaya dan pembuktian nilai hakiki akan
keberadan TI.
 AREA TATA KELOLA TI

• Resource management: berkaitan dengan pengoptimalan

investasi yang dilakukan dan pengelolaan secara tepat dari
sumber daya TI yang kritis yang mencakup:
1.Aplikasi
2.Informasi
3.Infrastruktur
4.SDM.
 AREA TATA KELOLA TI

• Risk management
1.Membutuhkan kepekaan akan risiko oleh manajemen
senior
2.Pemahaman yang jelas akan perhatian perusahaan thdp
risiko
3.Pemahaman kebutuhan akan kepatutan
4.Transparansi akan risiko yg signifikan thdp proses bisnis
perusahaan dan tanggung jawab risiko ke dalam organisasi
 AREA TATA KELOLA TI

• Performance measurement:
1. Penelusuran dan pengawasan implementasi dari strategi,
2. Pemenuhan proyek yang berjalan,
3. Penggunaan sumber daya, kinerja proses dan penyampaian layanan
menggunakan kerangka kerja (misalnya, balanced scorecard) yang
menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur
dibandingkan dengan akuntansi konvensional.
PERAN AUDIT DALAM TATA
KELOLA TI
Alasan audit perlu dilakukan:
1.Kerugian akibat kehilangan data
2.Kesalahan dalam pengambilan keputusan
3.Risiko kebocoran data
4.Penyalahgunaan computer
5.Kerugian akibat kesalahan proses perhitungan
6.Tingginya nilai investasi perangkat keras dan lunak
THANK YOU