Mengapa Audit Manajemen Risiko Sistem Informasi Diperlukan
Seperti sama-sama kita ketahui bahwa manajemen risiko bagian dari sebuah system pengendalian intern. Hakekat dari hadirnya pengendalian intern dalam activitas operasional perusahaan/organisasi tidak lain adalah untuk memberikan jaminan (assurance) terkait harapan pencapaian tujuan yang telah ditetapkan.
Berdasarkan Committee of Sponsoring Organizations of the Treadway Commission (COSO), pengendalian intern merupakan proses yang dipengaruhi oleh dewan direksi, manajemen, dan personel lainya dari entitas yang dirancang untuk memberikan assurance yang cukup sehubungan dalam rangka pencapaian tujuan, semua operasional kegiatan harus efektiv dan efisien, laporan keuangan harus benar, regulasi dan perundang-undangan yang berlaku harus dipatuhi, juga dalam pengamanan assetnya.
      Menurut Gondodiyono (2007:165), merujuk pendapat dari Kenneth C. Laudon dan Jane P Laudon serta pendapat dari  Vladimir Zwass, secara umum ukuran keberhasilan implementasi adalah:
- Tingkat Kegunaan Sistem (High Level of System Use), sejauh mana system informasi dapat digunakan/bermanfaat
- Kepuasan Pengguna Sistem (User Satisfaction), semua pengguna puas dengan keberadaan system informasi yang ada
- Tingkat Pencapaian Tujuan (Achieved Objectives), sejauh mana system informasi tersebut dapat memenuhi tujuan yang telah ditentukan
- Kualitas Informasi (Information Quality), informasi yang dihasilkan memiliki nilai dapat mempengaruhi keputusan serta tindakan sekarang dan masa depan.
- Sikap yang menguntungkan (Favorable Attitudes of Users), sikap positif pengguna dan hubungan baik dengan teknisi.
Menurut CobIT, keputusan bisnis yang baik harus berdasarkan pengetahuan, yang berdasarkan pada informasi yang relevan, komprehensif dan tepat waktu. Informasi itu dihasilkan oleh 7 kriteria yaitu:
Selanjutnya menurut Gondodiyono (2007:209), diantara sisiko yang harus diwaspadai system berbasis komputerisasi diantaranya:
- Teknologi yang digunakan tidak layak, desain atau konfigurasi computer tidak layak teknis, terlalu dipaksakan
- Kesalahan berantai, dalam sistem berbasis computer proses berjalan otomatis, cepat, cermat dan konsisten, termasuk terhadap kesalahanya.
- Logika pengolahan yang salah, program yang salah dapat menghasilkan output yang salah
- Kerusakan system komunikasi
- Data input tidak akurat, kurang mutakhir, palsu dan tidak segera dapat dideteksi
- Praktek pengamanan system informasi yang tidak efektif
- Penyalahgunaan atau kesalahan pengoperasian atau penggunaan data
- Akses system yang tidak terkendali, jaringan public membuka peluang risiko lebih besar
- Tidak ada system cadangan
- Komputer dikelola tidak secara baik
- Risiko umum, gangguan listrik, jaringan
Jadi dalam melakukan audit seorang auditor ingin memotret rancangan pengendalian manajemen risiko system informasi, apakah rancangan tersebut telah diaplikasikan, mampu mencegah atau mendeteksi serta mengoreksi setiap risiko.
Bagaimana Audit Manajemen Risiko Sistem Informasi Dilakukan
      Dalam melakukan audit manajemen risiko system informasi, sebagai rujukan kita bisa menggunakan Audit Guidelines dari CobIT 5, menyangkut sumberdaya informasi (TI):
