Latar Belakang
Dukungan Teknologi Informasi bagi sebuah organisasi atau perusahaan sangat penting. Persaingan global menuntut semua kegiatan operasional organisasi harus lebih efektif dan efesien. Seperangkat system informasi yang tepat akan meningkatkan daya saing dan pelayanan, informasi yang baik dapat dijadikan bahan dalam pengambilan keputusan.
Namun demikian, informasi yang dihasilkan serta dukungan kehandalan datanya bukan merupakan langkah pamungkas untuk mencapai semua tujuan. Informasi dan komunikasi hanyalah salah satu bagian dari sebuah system pengendalian intern yang dibutuhkan bagi pencapaian tujuan organisasi. Menurut COSO ada beberapa komponen pengendalian diantaranya, Lingkungan Pengendalian (Control Environment), Penilaian Risiko (Risk Assesment), Prosedur Pengendalian (Control Activities), Pengawasan (Monitoring) dan Informasi dan Komunikasi (Information and Communication).Â
Risiko merupakan sesuatu yang harus dipetakan, kalau tidak banyak kemungkinan hambatan muncul dikemudian hari mengganggu proses aktivitas organisasi, termasuk manajemen risiko terhadap system informasi yang diterapkan.
Audit Manajemen Risiko Sistem Informasi
Menurut Arens dan loebbecke dalam Bastian (2014:4), yang dimaksud dengan auditing adalah proses pengumpulan dan pengevaluasian bukti tentang informasi yang dapat diukur terhadap satu entitas ekonomi, maksud dari dilakukanya ini untuk mendapatkan report tentang kondisi yang ada, dilakukan oleh orang dengan independensi dan kompetensinya terstandar, dimana kriteria penilaianya sudah ditetapkan.
Manajemen risiko menurut Siahaan (2013:313), adalah ilmu tentang bagaimana melakukan identifikasi berbagai macam risiko yang mengancam organisasi atau individu secara sistematis, dan memilih metode yang terbaik untuk menangani atau menghadapi ancaman kerugian akibat terjadinya risiko.
Sistem menurut James Hall diterjemahkan oleh Jusuf dalam Gondodiyono (2007:106) adalah kumpulan komponen yang saling berkaitan atau beberapa subsistem yang bersatu untuk mencapai tujuan, sedang informasi dari kesimpulan Gondodiyono (2007:110), yaitu merupakan data yang sudah diolah menjadi bentuk yang berguna bagi penerimanya. Jadi system informasi adalah sebuah system dari kumpulan beberapa komponen dengan tujuan untuk mengolah data menjadi informasi yang bermanfaat, agar dapat digunakan bagi orang yang membutuhkanya.
Jadi dapat disimpulkan dengan sederhana bahwa yang dimaksud dengan Audit Manajemen Risiko Sistem Informasi adalah audit yang dilakukan terhadap manajemen risiko yang mana didalamnya berisi pemetaan risiko-risiko mengenai system informasi yang digunakan oleh organisasi. Audit ini melakukan pengumpulan bukti dan evaluasi menilai tingkatan risk maturity (kematangan manajemen risiko) terhadap risiko-risiko system informasi yang digunakan.
Risk Maturity Level adalah kualitas manajemen risiko, diadopsi juga diaplikasikan pada semua sektor yang ada dalam organisasi/perusahaan, dengan tujuan mengidentifikasi, menganalisis, bagaimana response yang diambil terhadap risiko dan melaporkan semua ancaman juga peluang penangannya, dijadikan penentu dalam pencapaian tujuan organisasi. Jadi setelah dilakukan audit manajemen risiko system informasi, dapat diketahui level kematangan manajemen risiko system informasinya, hal ini dapat dijadikan dasar pendekatan audit yang akan dilakukan dalam Audit Berbasis Risiko.
Â
Mengapa Audit Manajemen Risiko Sistem Informasi Diperlukan
Seperti sama-sama kita ketahui bahwa manajemen risiko bagian dari sebuah system pengendalian intern. Hakekat dari hadirnya pengendalian intern dalam activitas operasional perusahaan/organisasi tidak lain adalah untuk memberikan jaminan (assurance) terkait harapan pencapaian tujuan yang telah ditetapkan.
Berdasarkan Committee of Sponsoring Organizations of the Treadway Commission (COSO), pengendalian intern merupakan proses yang dipengaruhi oleh dewan direksi, manajemen, dan personel lainya dari entitas yang dirancang untuk memberikan assurance yang cukup sehubungan dalam rangka pencapaian tujuan, semua operasional kegiatan harus efektiv dan efisien, laporan keuangan harus benar, regulasi dan perundang-undangan yang berlaku harus dipatuhi, juga dalam pengamanan assetnya.
      Menurut Gondodiyono (2007:165), merujuk pendapat dari Kenneth C. Laudon dan Jane P Laudon serta pendapat dari  Vladimir Zwass, secara umum ukuran keberhasilan implementasi adalah:
- Tingkat Kegunaan Sistem (High Level of System Use), sejauh mana system informasi dapat digunakan/bermanfaat
- Kepuasan Pengguna Sistem (User Satisfaction), semua pengguna puas dengan keberadaan system informasi yang ada
- Tingkat Pencapaian Tujuan (Achieved Objectives), sejauh mana system informasi tersebut dapat memenuhi tujuan yang telah ditentukan
- Kualitas Informasi (Information Quality), informasi yang dihasilkan memiliki nilai dapat mempengaruhi keputusan serta tindakan sekarang dan masa depan.
- Sikap yang menguntungkan (Favorable Attitudes of Users), sikap positif pengguna dan hubungan baik dengan teknisi.
Menurut CobIT, keputusan bisnis yang baik harus berdasarkan pengetahuan, yang berdasarkan pada informasi yang relevan, komprehensif dan tepat waktu. Informasi itu dihasilkan oleh 7 kriteria yaitu:
Selanjutnya menurut Gondodiyono (2007:209), diantara sisiko yang harus diwaspadai system berbasis komputerisasi diantaranya:
- Teknologi yang digunakan tidak layak, desain atau konfigurasi computer tidak layak teknis, terlalu dipaksakan
- Kesalahan berantai, dalam sistem berbasis computer proses berjalan otomatis, cepat, cermat dan konsisten, termasuk terhadap kesalahanya.
- Logika pengolahan yang salah, program yang salah dapat menghasilkan output yang salah
- Kerusakan system komunikasi
- Data input tidak akurat, kurang mutakhir, palsu dan tidak segera dapat dideteksi
- Praktek pengamanan system informasi yang tidak efektif
- Penyalahgunaan atau kesalahan pengoperasian atau penggunaan data
- Akses system yang tidak terkendali, jaringan public membuka peluang risiko lebih besar
- Tidak ada system cadangan
- Komputer dikelola tidak secara baik
- Risiko umum, gangguan listrik, jaringan
Jadi dalam melakukan audit seorang auditor ingin memotret rancangan pengendalian manajemen risiko system informasi, apakah rancangan tersebut telah diaplikasikan, mampu mencegah atau mendeteksi serta mengoreksi setiap risiko.
Bagaimana Audit Manajemen Risiko Sistem Informasi Dilakukan
      Dalam melakukan audit manajemen risiko system informasi, sebagai rujukan kita bisa menggunakan Audit Guidelines dari CobIT 5, menyangkut sumberdaya informasi (TI):
        Dari Tata Kelola CobIT ini, akan mencoba menelusuri domain APO dimana ada Manage Risk didalamnya (APO12 Manage Risk).
      APO12 Manage Risk dirinci pada 6 subdomain, dengan rincian ini ada guide yang memandu kita dalam memetakan semua risiko yang kemungkinan terjadi di organisasi/perusahaan.
 Â
 Setelah pengecekan dokumen managemen risiko system informasi, lakukan pengujian terhadap proses system informasi, misalnya secara sederhana bisa lakukan validasi sebagai berikut:
 Kesimpulan
      Audit Manajemen Risiko Sistem Informasi berbeda dengan Audit berbasis Manajemen Risiko. Audit berbasis risiko adalah audit yang dilakukan berdasarkan daftar penilaian risiko dari pihak audetee, dengan memprioritaskan risiko tertinggi dari risk register yang telah dibuat. Sedangkan Audit Manajemen Risiko Sistem Informasi dilakukan dalam rangka menilai tingkatan risk maturity (kematangan manajemen risiko) terhadap risiko-risiko system informasi yang digunakan.
      Audit Manajemen Risiko Sistem Informasi penting dilakukan, sebab untuk memberikan jaminan bahwa bangunan system pengendalian Manajemen risiko system informasi telah berjalan sesuai dengan yang diharapkan.
Daftar Pustaka
Bastian. (2014). Audit Sektor Publik Pemeriksaan Pertanggungjawaban Pemerintahan. Jakarta: Salemba Empat.
BPKP, P. (2016). Buku Diklat Auditor Ahli. Bogor: BPKP.
Faiz Zamzami, I. A. (2013). Audit Internal Konsep dan Praktik. Yogyakarta: Gadjah Mada University Press.
Gondodiyoto, S. (2007). Audit Sistem Informasi Pendekatan Cobit. Jakarta: Mitra Wacana Media.
Siahaan. (2013). Manajemen Risiko Konsep, Kasus, Implement. Jakarta: PT Gramedia.
