BAB II LANDASAN TEORI 2.1 Audit - DINAMIKArepository.dinamika.ac.id/id/eprint/1674/4/BAB_II.pdf8 BAB...
Transcript of BAB II LANDASAN TEORI 2.1 Audit - DINAMIKArepository.dinamika.ac.id/id/eprint/1674/4/BAB_II.pdf8 BAB...
8
BAB II
LANDASAN TEORI
2.1 Audit
Audit adalah proses atau aktivitas yang sistematik, independen dan
terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan
dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari
audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di
perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar
yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan
signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang
berujung pada penarikan kesimpulan) secara sistematis, obyektif dan
terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo,
2003).
Definisi secara umum tentang audit adalah bahwa “Auditing is an
independent investigation of some particular activity”. Kata audit berasal dari
Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang
dimaksud adalah “hearing about the account’s balances” oleh para pihak terkait
terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang
dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya
(Gondodiyoto, 2007).
Audit yang dilakukan dalam penelitian ini menggunakan audit berbasis
risiko. Risiko secara umum diartikan hambatan dalam pencapaian suatu tujuan.
Audit berbasis risiko lebih mengutamakan pada tujuan yang akan dicapai oleh
9
perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko
dengan audit konvensional adalah pada metodologi yang digunakan dimana
auditor mengurangi perhatian pada pengujian transaksi individual dan lebih
berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit
mengatasi hambatan pencapaian tujuan (Ramadhana, 2012).
2.2 Informasi
Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah
dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat
Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi
sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan
keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi
Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun
informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007).
Mengingat pentingnya informasi, maka informasi harus dilindungi atau
diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan,
ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat
menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial
bagi Bank.
Aset yang sangat penting ini oleh Bank Indonesia telah ditetapkan
standar untuk menjaga keamanannya. Bank perlu adanya audit untuk mengecek
kesesuaian antara standar yang ditetapkan dengan kenyataan dilapangan, dimana
keamanan informasi yang terjaga akan memberikan jaminan keamanan pada
nasabah.
10
2.3 Keamanan Informasi
Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman
yang mungkin terjadi dalam upaya untuk memastikan atau menjamin
kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce
business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan
peluang bisnis (Sarno dan Iffano, 2009). Prinsip – prinsip pengamanan informasi
yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005)
sebagai berikut :
1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga
kerahasiaan (confidentiality) , integritas (integrity) dan ketersediaan
(availability) secara efektif dan efisien dengan memperhatikan kepatuhan
(compliance) terhadap ketentuan yang berlaku.
2. Memperhatikan aspek sumber daya manusia, proses dan teknologi.
3. Dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan
memperhatikan strategi bisnis Bank dan ketentuan yang berlaku.
4. Menerapkan pengamanan informasi secara komprehensif dan
berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan
pengamanan informasi, mengimplementasikan pengendalian pengamanan
informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan
pengamanan informasi serta melakukan penyempurnaan.
Keamanan informasi bergantung pada pengamanan terhadap semua aspek
dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat
keras, jaringan, peralatan pendukung dan sumber daya manusia (Direktorat
Penelitian dan Pengaturan Perbankan, 2007). Informasi yang merupakan aset
11
harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai
„quality or state of being secure-to be free from danger’. Untuk menjadi aman
adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan
informasi (Whitman dan Mattord, 2011) sebagai berikut,
a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
b. Keamanan manusia yang overlap dengan keamanan fisik dalam
melindungi orang-orang dalam organisasi.
c. Keamanan operasi yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan
alat ini untuk mencapai tujuan organisasi.
e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan
jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk
menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember
2007
Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember
2007 berisi Peraturan Bank Indonesia untuk mengatur tentang Penerapan
Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.
Dalam surat edaran ini dilampiri Pedoman Penerapan Manajemen Risiko dalam
12
Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan
pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi
yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan
dengan penyelenggaraan teknologi informasi.
2.4.1. Pedoman Penerapan Manajemen Risiko dalam Penggunaan
Teknologi Informasi oleh Bank Umum.
Pedoman ini merupakan pokok-pokok penerapan manajemen risiko
dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab
yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas
operasional teknologi informasi, jaringan komunikasi, pengamanan informasi,
bussiness continuity plan, end user computing, electronic banking, audit intern
teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian
ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi.
Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas
dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi,
proses manajemen risiko dan pengendalian intern dan audit intern. Pada
pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas
dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan
komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi
pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi
berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi
dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko
berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian
intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern.
13
Penelitian audit ini menggunakan prosedur pengamanan informasi dan
proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub
bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia,
prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur
pengamanan operasional teknologi informasi dan prosedur penanganan insiden
dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti
pada Tabel 2.1.
Tabel 2.1 Prosedur Pengamanan Informasi PBI:2007
5.3.3.1 Prosedur Pengelolaan Aset
5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia
5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan
5.3.3.4 Prosedur Pengamanan logic
5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi
5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan
mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7.
Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian
risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya
dan kedua setelah mendapat Nilai Risiko Akhir.
Terdapat tiga prosedur yang digunakan dalam audit. Prosedur
Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung
jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan
mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas
pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik
penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala.
Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang
penanganan insiden yang terjadi, penetapan prosedur penanganan insiden,
14
pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi
kelemahan sistem.
2.5 ISO 27002
ISO/IEC 27002 merupakan dokumen standar keamanan informasi atau
Information Security Management Systems (ISMS) yang memberikan gambaran
secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha
pengimplementasian konsep-konsep keamanan informasi di perusahaan. Standar
ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan
ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi
suatu program untuk melindungi aset-aset informasi. Dalam penelitian ini
menggunakan ISO 27002 tahun 2013. ISO 27002:2013 merupakan pembaharuan
dari ISO 27002 tahun 2005. Ruang lingkup ISO 27002:2013 yaitu standar
internasional untuk memberi petunjuk standar keamanan informasi organisasi dan
manajemen keamanan informasi meliputi seleksi, implementasi dan risiko
lingkungan keamanan informasi (ISO/IEC 27002, 2013). ISO 27002:2013 terdiri
dari 14 klausul kontrol keamanan di dalamnya terdapati 35 kategori keamanan
utama dan 114 kontrol. Masing-masing klausul kontrol keamanan memiliki satu
atau lebih kategori keamanan utama. Standard internasional ini disiapkan untuk
memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan
perbaikan yang terus menerus pada sistem manajemen keamanan informasi.
Pengadopsian sistem manajemen keamanan informasi merupakan sebuah
keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian
sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh
kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional
15
yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut
merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu.
Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas
dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan
memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko
ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian
dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur
manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain,
sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem
manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan
organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan
eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan
keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol
Keamanan dan Kategori Keamanan Utama dari ISO 27002 tahun 2013 dapat
dilihat pada Tabel 2.2.
Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO
27002:2013 Klausul Kontrol Keamanan Kategori Keamanan Utama
5. Kebijakan Keamanan Informasi
5.1 Manajemen tujuan dari keamanan
informasi
6. Keamanan Informasi Organisasi 6.1
6.2
Organisasi internal
Perangkat mobile dan teleworking
7. Sumber Daya Manusia 7.1
7.2
7.3
Sebelum menjadi pegawai.
Selama menjadi pegawai.
Penghentian dan perubahan pegawai.
8. Aset 8.1
8.2
8.3
Tanggung jawab untuk aset.
Klasifikasi informasi.
Penanganan media.
9. Kontrol Akses 9.1
9.2
9.3
Akses kontrol untuk persyaratan bisnis.
Manajemen akses pengguna.
Tanggung jawab pengguna.
Kontrol akses sistem dan aplikasi
16
Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO
27002:2013 (Lanjutan) Klausul Kontrol Keamanan Kategori Keamanan Utama
10. Cryptografi 10.1 Kontrol Kriptografi. 12. Keamanan Operasi 12.1
12.2
12.3
12.4
12.5
12.6
12.7
Tanggung jawab dan prosedur
operasional.
Perlindungan dari malware
Back up
Logging dan monitoring
Pengendalian operasional perangkat
lunak.
Manajemen kerentanan teknis
Konsiderasi sistem informasi.
13. Komunikasi 13.1
13.2
Manajemen jaringan keamanan
Pengiriman informasi
14. Akusisi sistem, pengembangan dan
perawatan
14.1
14.2
Persyaratan keamanan sistem
informasi
Keamanan dalam pengembangan dan
proses dukungan.
15. hubungan dengan distributor 15.1
15.2
Keamanan informasi hubungan
distributor.
Manajemen pelayanan distributor.
16. manajemen insiden keamanan informasi 16.1 Pengelolaan insiden keamanan
informasi dn perbaikan
17 aspek keamanan informasi manajemen
kelangsungan bisnis.
17.1
17.2
Kelanjutan informasi
Ketimpangan
18. Compliance 18.1
18.2
Kepatuhan dengan hukum dan
kontrak
Pengulangan informasi
2.6 Manajemen Risiko
Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau
nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua
pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi
stakeholder, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini
yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk
menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko
dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para
stakeholder tersebut (Tampubolon, 2005). Dalam bidang manajemen dan
penyusunan strategi, risiko didefinisikan sebagai sebuah rentang (continuum)
yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak
17
tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya
tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman
maupun peluang tersebut.
Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI
dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan
yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat
Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan
manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi,
pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang
terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko
operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis
(Direktorat Penelitian dan Pengaturan Perbankan, 2007).
Risiko operasional dapat timbul disebabkan antara lain oleh
ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan,
testing, standar internal audit dan penggunaan jasa pihak lain dalam
penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan
bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap
ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan
hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan
perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan
dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena
ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis
Bank dan rencana strategis untuk mencapat tujuan tersebut.
18
2.7 Penilaian Risiko
Bank harus melakukan evaluasi atas segala hal yang mengancam sumber
daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan
risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya
dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko
menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam
Penggunaan Teknologi Informasi Oleh Bank Umum.
Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan
aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa
data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras,
jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan)
dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan,
2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel
2.3.
Tabel 2.3 Risk Register Ase
t
Desk
ripsi
Risik
o
Analisa
Kerawa
nan
Inheren Residual
Kece
nder
unga
n
Da
mp
ak
Kecen
derung
an
Kontrol
Yang
ada
Kecen
derun
gan
Dam
pak
Nilai
risiko
Akhi
r
Nilai
Risiko
dihara
pkan
1 2 3 4 5 6 7 8 9 10 11
Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi
risiko, analisa kerawanan, inheren (kecenderungan, dampak dan nilai risiko
dasar), kontrol yang ada, residual (kecenderungan, dampak dan nilai risiko akhir)
dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi.
19
Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi
mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal)
aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi
berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat
pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4.
Tabel 2.4 Pedoman Penilaian Kritikal Aset Aspek Analisa
Sensitivitas
Kriteria Penilaian
High Medium Low
Confidentia
lity
Berapa besar
kerugian yang
ditimbulkan
apabila terjadi
hilangnya
kerahasiaan atas
suatu informasi
/ dapat diakses
oleh siapa saja?
Jika kerugian yang
ditimbulkan sangat
signifikan karena
informasi yang
bocor sangat
sensitif atau hanya
bisa diakses oleh
personil tertentu
yang telah diberi
otorisasi.
Jika kerugian yang
ditimbulkan tidak
signifikan karena
informasi tidak
sensitif atau akses
informasi oleh
berbagai pihak di
organisasi.
Jika kerugian
yang
ditimbulkan
sangat kecil
karena
informasi
bersifat umum
atau dapat
diakses oleh
siapa saja.
Integrity Berapa besar
dampak/kerugia
n terhadap
jalannya proses
bisnis apabila
suatu aset tidak
digunakan
dengan benar,
tidak lengkap,
tidak akurat dan
tidak dikinikan?
Jika dampak yang
ditimbulkan sangat
signifikan seperti
mengakibatkan
tidak berjalannya
proses bisnis dan
menimbulkan
potensi
dilakukannya
penyimpangan yang
mengarah pada nilai
uang yang cukup
signifikan.
Jika dampak yang
ditimbulkan tidak
signifikan seperti
mengakibatkan
tidak berjalannya
proses bisnis yang
tidak signifikan,
kesalahan dalam
pengambilan
keputusan.
Jika dampak
yang
ditimbulkan
sangat kecil
dan tidak
mengganggu
proses bisnis.
Availa-
bility
Berapa besar
dampak/kerugia
n yang
ditimbulkan
apabila terjadi
ketidaktersediaa
n suatu aset?
Jika dampak yang
ditimbulkan sangat
signifikan seperti
mengakibatkan
tidak berjalannya
proses bisnis.
Jika dampak yang
ditimbulkan tidak
signifikan karena
aset dapat
digantikan dengan
biaya atau waktu
yang memadai
sehingga hanya
mengakibatkan
penurunan efisiensi
dan efektifitas atas
jalannya proses
bisnis.
Jika dampak
yang
ditimbulkan
sangat kecil
karena proses
bisnis tetap
berjalan tanpa
aset tersebut
atau aset
tersebut bisa
dengan cepat
diganti.
20
Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses
keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa
risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan
terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat
memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran
sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan
berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan
terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria
pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil
kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada
Tabel 2.5.
Tabel 2.5 Kriteria Pengukuran Kecenderungan Nilai Potensi Kejadian Frekuensi Kejadian
5. Potensi terjadi tinggi dalam jangka
pendek
Sangat sering terjadi
4. Potensi terjadi tinggi dalam jangka
panjang
Lebih sering terjadi
3. Potensi terjadi sedang Cukup sering terjadi
2. Potensi terjadi kecil Jarang terjadi
1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi
Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum
pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara
menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat
kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6.
Tabel 2.6 Klasifikasi Dampak Nilai Potensi gangguan terhadap
proses bisnis
Potensi Penurunan Reputasi
5 Aset pemrosesan informasi mengalami
kegagalan total sehingga keseluruhan
bisnis bank tidak tercapai.
Kerusakan reputasi yang mengakibatkan
penurunan reputasi yang serius dan
berkelanjutan dimata nasabah /
stakeholder utama dan masyarakat.
21
Tabel 2.6 Klasifikasi Dampak (Lanjutan) Nilai Potensi gangguan terhadap
proses bisnis
Potensi Penurunan Reputasi
4 Aset pemrosesan informasi mengalami
gangguan yang menyebabkan aktifitas
bisnis bank mengalami penundaan
sampai aset pemrosesan informasi yang
terkait pulih
Kerusakan reputasi yang tidak
meyeluruh, hanya nasabah atau partner
bisnis tertentu.
3 Aset pemrosesan informasi mengalami
gangguan yang menyebabkan sebagian
bisnis bank mengalami penundaan
sampai aset pemrosesan informasi yang
terkait pulih.
Kerusakan reputasi hanya pada unit
tersebut.
2 Aset pemrosesan informasi mengalami
gangguan namun akifitas pokok Tim
dapat dikerjakan secara normal karena
aset pemrosesan informasi yang terkait
dapat digantikan oleh Aset Pemrosesan
Informasi lainnya.
Kerusakan reputasi yang tidak
menyeluruh hanya satuan kerja tertentu.
1 Tidak menyebabkan gangguan terhadap
operasional proses bisnis.
Tidak berpengaruh pada reputasi.
Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada
pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu
high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang
disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan
tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang
dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya
risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak
berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik
pengukuran risiko seperti pada Tabel 2.7.
Tabel 2.7 Matrik Pengukuran Risiko
Kec
end
erungan
n
5 Medium Medium High High High
4 Low Medium High High High
3 Low Low Medium High High
2 Low Low Medium Medium High
1 Low Low Medium Medium High
1 2 3 4 5
Dampak
22
Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko
diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai
risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko
dasar.
Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi
kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit
dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian
dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak
residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel
rincian penilaian risk register dapat dilihat pada Tabel 2.8.
Tabel 2.8 Rincian Penilaian Risk Register
No Aset Deskripsi
Risiko
Analisa
Kerawanan
Residu 1
Pernyataan
Residu 2
Kecender
ungan
Dam
pak
Kecender
ungan
Dam
pak
Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset
sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom
analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat
pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang
telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua
penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa
kerawanan.
Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya
pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi
23
kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu
kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai
kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh
auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya
pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga
lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran
kecenderungan seperti pada Tabel 2.5
Kolom residu dampak berisi tentang hasil penilaian dampak setelah
pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan
klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi rata-
rata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun
kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi
dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit
yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register.
Hasil dari kolom residu satu dari rincian penilaian risk register tentang
kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan
dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah
pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah
ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran
risiko seperti pada Tabel 2.7.
Setelah terisi semua penilaian risiko dilakukan dengan membandingkan
hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat
dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA
tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai.