Jakarta, Â Â 7 Â April 2021
AUDIT MANAJEMEN RISIKO DAN PENGENDALIAN SISTEM INFORMASIÂ
PENDAHULUAN
Penerapan manajemen resiko secara konsisten harus dilakukan pada sebuah perusahaan di setiap kegiatan bisnisnya. Manajemen risiko bukan hanya diterapkan pada kegiatan operasional perusahaan saja tapi juga pada kegiatan non operasional, selain itu manajemen risiko juga harus diterapkan pada tingkatan atau level manajemen perusahaan. Tujuan dari penerapan manajemen risiko di perusahaan yaitu untuk mengidentifikasi, mengevaluasi dan memperbaiki kegiatan atau aktivitas perusahaan terkait dengan risiko yang akan dihadapi oleh perusahaan.
Dalam menerapkan sistem manajemen risiko, perusahaan harus melakukannya secara berkesinambungan dan saling keterkaitan antara proses perencanaan, pelaksanaan dan pengendalian pada proses bisnisnya. Dalam melakukan pengelolaan risiko harus ada langkah-langkah strategis yang diterapkan oleh manajemen diantaranya adalah dengan menghindari risiko, membagi risiko dan mengurangi terjadinya risiko dengan melakukan sistem pengendalian internal.
Tujuan diterapkannya pengendalian internal guna melindungi data dari pencurian, penghapusan, maupun perusakan dengan tujuan tertentu. Pengendalian internal juga digunakan perusahaan untuk meningkatkan kepatuhan perusahaan terhadap undang-undang dan peraturan serta peningkatan efisiensi dan efektivitas kegiatan operasional perusahaan.
Audit Manajemen Risiko Sistem Informasi
Pemanfaatan sistem informasi pada saat ini sudah sangat masif, hampir di semua sektor, pemerintahan, swasta bahkan di beberapa sektor seperti perbankan. Sistem informasi sudah menjadi inti dari bisnis itu sendiri, tanpa adanya sistem informasi bisnis di perbankan hampir tidak bisa berjalan. Seiring dengan perkembangannya sistem informasi juga membawa risiko-risiko. Salah satu contohnya adalah hilangnya data pelanggan, ketidak patuhan terhadap peraturan dan juga gagal tujuan organisasi.
Risiko bisa kita asumsikan dengan menggambarkan kejadian jika seseorang ingin menyeberangi sungai melalui jembatan, dimana jembatan tersebut merupakan jembatan yang terbuat dari kayu. Â kondisi jembatan tersebut banyak kayu yang sudah terlepas, kayu yang sudah rapuh serta tali yang sudah usang. Maka untuk melewati jembatan gantung orang tersebut akan menghadapi banyak risiko. Risiko jatuh karena talinya putus, jatuh karena kayu patah dan jatuh karena terjerembab ke lubang. Inilah yang kita namakan risiko. Jadi risiko adalah sesuatu yang kemudian menghambat seseorang atau organisasi dalam mencapai tujuan.
Seiring dengan pemanfaatan sistem informasi, ternyata penggunaan sistem informasi juga membawa risiko, beberapa risiko yang mungkin muncul dari penggunaan sistem informasi antara lain sistem error, hilangnya data, adanya virus dan lain-lain, hal ini dapat mengakibatkan sistem informasi menjadi tidak efktif dan efisien serta ketidak selarasan antara program dan juga tujuan organisasi, dengan demikian perlu adanya audit agar risiko dapat dikelola dengan efektif dan efisien.
Pertanyaan nya adalah apakah organisasi dapat mencapai tujuan daripada organisasi tersebut. Apa itu risiko sistem informasi ? risiko sistem informasi adalah kemungkinan threat/ancaman untuk mengeksploitasi vulnerability (kerentanan) yang ada pada sebuah asset dan menghasilkan dampak bisnis yang merugikan organisasi.
Resiko = likelihood / frequency x impact
Jadi besarnya risiko tergantung dari dua kombinasi hal tersebut diatas. Bisa jadi dampaknya besar tapi kemungkinannya kecil, jika ditotalkan risiko itu menjadi lebih kecil. Berikut konsep dasar risiko sistem informasi:
Dari gambar di atas dapat diterangkan bahwa khusus bagi sistem informasi kemungkinan terjadinya risiko itu karena kombinasi dua hal, yaitu :
1. Vulnerability (kerentanan)
   Contoh kerentanan dari suatu aset sistem informasi adalah aplikasi. Kerentanan dari sistem operasional windows.
2. Threat (ancaman)
Contoh sebuah ancaman dalam sistem informasi adalah adanya virus dan hackers.
Risiko sistem informasi bisa terjadi dikarenakan  sistem mempunyai hole (lubang) yang kemudian dimanfaatkan oleh threat (ancaman), Misalkan virus atau hackers. Kombinasi inilah yang memunculkan adanya risiko.
Seiring dengan perkembangan pemanfaatan sistem informasi dalam suatu organisasi, risiko sistem informasi dapat terjadi pada berbagai level atau tingkatan manajemen di antaranya :
1. Â Â Level Strategis, pada level strategis lebih terkait dengan value sistem informasi. Bisa kita gunakan untuk membuat inisiatif bisnis baru atau bisa kita gunakan untuk operasional yang lebih fashion disitu muncul resiko , apakah benar-benar sistem informasi itu bisa memungkinkan hal tersebut bisa terjadi.
2. Â Â Level Proyek, Â pada level ini banyak sekali proyek-proyek sistem informasi yang gagal dalam perjalanannya, kemudian relevansi proyek tersebut dengan tujuan organisasi, ini juga termasuk risiko dari pada proyek, kemudian proyek over run artinya proyek tidak berjalan sesuai dengan jadwal. Misal penyelesaian proyek waktunya terlambat serta biaya yang membengkak.
3. Â Â Level Operasional, Resiko pada level operasional inilah yang kita rasakan sehari-hari, yang pertama adalah risiko terhentinya layanan sistem informasi misal terhentinya internet, gangguan aplikasi dan lain-lain. Resiko kedua yang muncul pada level ini adalah risiko terkait keamanan, misal adanya virus. Kemudian risiko yang ketiga adalah isu terkait dengan kepatuhan.Â
Risiko yang timbul pada perusahaan sudah pasti menimbulkan dampak yang besar bagi perusahaan berupa kerugian serta ancaman bagi perusahaan dalam mencapai tujuan maupun sasaran. Untuk menghindari dampak tersebut perusahaan harus mendeteksi terjadinya risiko lebih awal. Untuk itu perlu dilakukannya audit manajemen sistem informasi.
Audit manajemen risiko merupakan kegiatan pengendalian , pengawasan serta pengevaluasian terhadap sistem manajemen risiko yang diterapkan perusahaan untuk memberikan jaminan pada perusahaan bahwa risiko telah dikelola dengan baik pada setiap tingkatan level manajemen.
Faktor pengendalian dan aspek pengendalian merupakan dua aspek utama yang harus dipahami oleh seorang auditor internal dalam melakukan audit manajemen risiko  . Hal ini dikarenakan kedua aspek tersebut digunakan untuk mendukung pencapaian sasaran perusahaan. Secara umum terdapat tiga jenis pendekatan audit berbasis resiko antara lain : a) risiko inheren, dimana faktor yang menunjukkan risiko serta apa sifat dan jenis risiko menjadi pertimbangan auditor dalam melaksanakan audit manajemen risiko, b) risiko kontrol, auditor harus memahami dan membatasi risiko, hal ini bertujuan untuk memastikan bahwa kontrol yang dilakukan telah efektif serta audit yang dilaksanakan telah tepat, c) risiko audit, auditor harus mengembangkan performa audit hal ini dilakukan untuk menghadapi risiko sehingga auditor mampu mengurangi risiko.
Pengendalian Sistem Informasi
Manajemen merupakan pihak yang bertanggungjawab atas sistem pengendalian internal perusahaan. Ruang lingkup yang menjadi tanggungjawab manajemen dalam melakukan pengendalian internal atas sistem informasi mulai dari tahap pembuatan hingga pemeliharaan sistem informasi.Pengendalian sistem informasi yang dilakukan oleh manajemen harus disesuaikan dengan lingkungan pengendalian, sistem informasi dan prosedur pengendalian.
Pengendalian internal terhadap sistem informasi berbasis komputer  sangatlah penting. Hal ini dilakukan untuk melindungi data pada komputer agar tidak mudah rusak atau hilang.  Dengan kata lain pengendalian internal  dilakukan untuk melindungi data dari pencurian, penghapusan, maupun perusakan dengan tujuan tertentu.
Â
Audit Pengendalian Internal
Untuk dapat melihat baik atau tidaknya pengendalian internal sistem informasi organisasi, maka perlu adanya audit pengendalian internal.  Audit pengendalian internal harus dilakukan oleh perusahaan agar perusahaan dapat mengetahui  ancaman yang akan dihadapi perusahaan dalam menerapkan pengendalian internal.  Audit pengendalian internal adalah suatu kegiatan evaluasi yang dilakukan manajemen untuk mengontrol seluruh rencana program manajemen apakah sudah sesuai dengan perencanaan sehingga tujuan perusahaan bisa tercapai.
Oleh karenanya dalam melaksanakan audit pengendalian internal seorang auditor wajib memperhatikan beberapa hal yang terkait dengan : a) Lingkungan pengendalian, b) Sistem informasi dan c) Prosedur pengendalian.
Selain itu dalam melakukan audit pengendalian internal sebuah organisasi, auditor harus memperhatikan elemen pengendalian internal, elemen-elemen tersebut antara lain:
1. Pertanggungjawaban, setiap dan tindakan dan keputusan yang telah ditetapkan oleh manajemen harus ada yang mempertanggungjawabkannya. Â
2. Sumber daya yang memadai, dibutuhkan sumber daya yang memadai  agar pengendalian internal dapat dilakukan dengan baik, apabila sumberdaya kurang maka pengendalian internal  yang dilakukan akan mengalami kegagalan ketika menghadapi tekanan.
3. Pengawasan dan penilaian, Â pengawasan dan penilaian karyawan harus dilakukan, hal ini bertujuan untuk menilai kinerja karyawan tersebut.
Apabila seorang auditor dalam melaksanakan audit pengendalian internal menemukan kelemahan, maka auditor harus segera memberitahukan kapada manajemen. Setelah diberitahu auditor perihal kelemahan pengendalian internal yang ada maka manajemen berkewajiban untuk untuk menindak lanjuti temuan atas kelemahan tersebut, selain itu manajemen juga harus melakukan pencegahan kecurangan serta deteksi terhadap  kecurangan dalam penerapan sistem pengendalian internal.
Audit Pengendalian Sistem Informasi
Sebagaimana seperti yang telah kita bahas sebelumnya bahwa seiring perkembangan pemanfaatan sistem informasi akan membawa risiko-risiko baru seperti hilangnya data, ketidak akuratan data, ketidak patuhan pada peraturan bahkan sampai gagalnya tujuan organisasi. Oleh karena itu pemanfaatan sistem informasi juga perlu dikendalikan, inilah yang kita kenal dengan pengendalian sistem informasi. Sedangkan untuk dapat melihat apakah pengendalian sistem informasi telah berjalan dengan baik di suatu organisasi maka manajemen perlu melaksanakan audit pengendalian sistem informasi. Audit pengendalian sistem informasi merupakan tindakan yang dilakukan oleh manajemen untuk mengontrol dan memastikan bahwa seluruh pengendalian sistem informasi yang telah diterapkan oleh manajemen sudah berjalan dengan baik.
Tujuan dari Audit pengendalian sistem informasi  ini seringkali terfokus untuk memastikan apakah suatu entitas telah memiliki pengendalian internal yang memadai dan langkah-langkah pencegahan atas risiko bisnis dari sistem informasi yang dijalankannya untuk melindungi tujuan dari organisasi. Proses audit digunakan untuk menilai bagaimana cara organisasi dalam melindungi aset, memelihara integritas data,  dan menjaga kerahasiaan suatu data pada suatu sistem informasi yang diterapkan oleh organisasi.
Dalam melakukan audit sistem informasi seorang auditor dapat menggunakan alat bantu berupa program IT audit. IT audit akan membantu auditor untuk mengevaluasi dan memastikan apakah sistem informasi yang digunakan oleh organisasi telah memenuhi atau menyediakan tiga faktor penting yaitu availability, confidentiality dan integrity. Untuk menciptakan Sistem informasi yang handal, sebuah sistem harus bisa menyediakan ketiga faktor utama tersebut. Sedangkan tugas dari auditor adalah  untuk memastikan bahwa setiap tahapan sistem informasi telah diterapkan pengendalian.
a. availability, pada tahap ini auditor harus bisa memastikan bahwa akses dari sistem informasi selalu tersedia dengan baik. Auditor dapat melakukan pengecekan ketersediaan database yang digunakan. Selain itu auditor juga harus menilai apakah kondisi jaringan yang ada bisa mengakomodasi keperluan sistem informasi.
b.   confidentiality, pada tahap ini auditor harus menilai  dan memastikan bahwa hanya orang tertentu yang dapat mengakses data atau informasi dari sistem informasi, Selain itu auditor juga harus memastikan bahwa sebuah sistem informasi harus memiliki sistem login dengan menggunakan password, dimana password tersebut hanya diketahui oleh orang-orang tertentu ini dilakukan untuk menjaga keamanan data atau informasi.
c. Â Â integritas, pada tahap ini auditor harus dapat memastikan bahwa data yang dihasilkan dari suatu sistem informasi harus dipastikan terjaga. Dimana proses input data harus berdasarkan dari sumber yang valid dan dilakukan oleh pengguna yang memiliki hak atau otorisasi untuk melakukan hal tersebut. Selain itu penggunaan timestamps dalam sebuah database perlu ditampilkan sehingga dapat diketahui apakah data-data yang diinput tersebut selalu up to date.
Audit pengendalian sistem informasi harus dilakukan mulai dari level strategis, level proyek dan level operasional. Berikut adalah penjabaran dari audit pengendalian sistem informasi pada setiap levelnya
1. Level Strategis
Pada level strategis audit pengendalian sistem informasi yang  harus dilakukan oleh manajemen terkait dengan pemilihan program sistem informasi yang digunakan dan  integrasi sistem informasi.
Terkait dengan pemilihan program sistem informasi auditor dapat melihat apakah pengendalian sistem informasi yang diterapkan oleh manajemen telah menggunakan manajemen IT Portofolio, dengan demikian maka seluruh kebutuhan-kebutuhan sistem informasi ini seperti SDM, aplikasi dan lain sebagainya sudah ada di dalam IT Portofolio. Program Sistem informasi selanjutmya tinggal menyesuaikan dengan apa yang sudah ada di IT portofolio. Kedua, audit pengendalian yang dilakukan terkait dengan kesalahan pemilihan program sistem informasi adalah dengan melakukan kordinasi dengan Komite Pengarah Teknologi Informasi (steering Committe). Seluruh program sistem informasi yang akan dikembangkan harus atas persetujuan Komite Pengaruh TI, dengan ini kita pastikan bahwa program sistem informasi yang akan dikembangkan nantinya akan sesuai dengan tujuan organisasi.
Terkait dengan pengendalian integritas sistem informasi. Auditor dalam mengaudit  Pengendalian integritas sistem informasi dapat melakukan kros cek apakah sistem informasi yang digunakan organisasi telah menggunakan Business alignment, artinya organisasi harus  menyelaraskan sistem informasi yang akan dikembangkan sengan tujuan bisnis.
2. Level Proyek
Pada level ini audit pengendalian sistem informasi yang dilakukan terkait dengan  implementasi software adalah  Auditor harus melakukan pemeriksaan apakah organisasi telah  menggunakan saftware quality assurance.  Auditor harus memastikan bahwa software yang digunakan dan akan dikembangkan sudah memenuhi standar kriteria dari software quality assurance,  selanjutnya auditor juga harus memastikan bahwa software yang dikembangkan harus melalui tahapan uji pengguna.
3. Level Operasional
Pada level ini auditor pengendalian sistem informasi dilakukan terletak pada pengendalian system capacity (kapasitas sistem). Sering kali kita sudah mengembangkan sistem tapi kemudian pada saat-saat tertentu beban terhadap sistem mengalami kenaikan secara drastis, hal ini juga merupakan sebuah risiko. Selain itu audit juga di fokuskan pada sistem keamanan infrastruktur (infrastukture theft) , auditor harus melakukan analisis tentang keamanan sistem informasi terutama yang berhubungan dengan terjadinya resiko pencurian infrastruktur adalah pencurian data, pencurian laptop maupun PC komputer dan lain-lain.
- Penilaian atas pengendalian sistem informasi terkait aplikasi yang digunakan oleh perusahaan.
- Memberikan pernyataan atas hasil audit yang dilaksanakan terkait penerapan sistem informasi.
- Membuat pernyataan atas seluruh kegiatan pengolahan dan pengimputan data perusahaan sehingga menghasilkan informasi tentang kegiatan pengendalian internnal sistem informasi yang dapat digunakan oleh pihak yang berkepentingan.
- Melaksanakan Pengujian, yaitu upaya untuk mencari informasi terkait dengan adanya  kelemahan-kelemahan pada sistem informasi dan dalam pengolahan data tersebut.
- Mencari kecurangan yang terjadi pada sistem informasi, yaitu dengan mengecek data yang terdapat dalam komputer.
Demikian penjelasan saya tentang Audit Manajemen Risiko dan Pengendalian Sistem Informasi semoga dapat bermanfaat bagi kita semua.
KESIMPULAN
Risiko sistem informasi bisa terjadi dikarenakan  sistem mempunyai hole (lubang) yang kemudian dimanfaatkan oleh threat (ancaman), Misalkan virus atau hackers. Kombinasi inilah yang memunculkan adanya risiko. Seiring dengan perkembangan pemanfaatan sistem informasi dalam suatu organisasi, risiko sistem informasi dapat terjadi pada berbagai level atau tingkatan manajemen di antaranya mulai dari level strategis, level proyek dan level operasional.
Untuk dapat mencegah atau menurunkan risiko yang muncul terhadap penerapan sistem informasi diperlukan adanya pengendalian pada sistem informasi. Manajemen merupakan pihak yang bertanggungjawab atas sistem pengendalian internal pada sebuah organisasi.
Sedangkan untuk dapat melihat apakah pengendalian sistem informasi telah berjalan dengan baik di suatu organisasi maka manajemen perlu melaksanakan audit pengendalian sistem informasi. Audit pengendalian sistem informasi merupakan tindakan yang dilakukan oleh manajemen untuk mengontrol dan memastikan bahwa seluruh pengendalian sistem informasi telah diterapkan dengan baik oleh manajemen sehingga tujuan yang di tetapkan manajemen tercapai.
Referensi :
John Wiley & Sons, Inc., 2003 Auditing Information System, Edition 2.
Michael E. Whitman, Herbert J. Mattord, 2010 Managemen of information security, Edition 3, Publisher Cengage Learning.
Tuanakotta. M. Theodorus, 2019, Audit Internal Berbasis Risiko, Salemba Empat Jakarta.
Â
