8

BAB II

LANDASAN TEORI

2.1 Audit

Audit adalah proses atau aktivitas yang sistematik, independen dan

terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari

audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di

perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar

yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan

signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang

berujung pada penarikan kesimpulan) secara sistematis, obyektif dan

terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo,

2003).

Definisi secara umum tentang audit adalah bahwa “Auditing is an

independent investigation of some particular activity”. Kata audit berasal dari

Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang

dimaksud adalah “hearing about the account’s balances” oleh para pihak terkait

terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang

dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya

(Gondodiyoto, 2007).

Audit yang dilakukan dalam penelitian ini menggunakan audit berbasis

risiko. Risiko secara umum diartikan hambatan dalam pencapaian suatu tujuan.

Audit berbasis risiko lebih mengutamakan pada tujuan yang akan dicapai oleh

9

perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko

dengan audit konvensional adalah pada metodologi yang digunakan dimana

auditor mengurangi perhatian pada pengujian transaksi individual dan lebih

berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit

mengatasi hambatan pencapaian tujuan (Ramadhana, 2012).

2.2 Informasi

Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah

dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat

Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi

sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan

keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi

Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun

informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007).

Mengingat pentingnya informasi, maka informasi harus dilindungi atau

diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan,

ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat

menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial

bagi Bank.

Aset yang sangat penting ini oleh Bank Indonesia telah ditetapkan

standar untuk menjaga keamanannya. Bank perlu adanya audit untuk mengecek

kesesuaian antara standar yang ditetapkan dengan kenyataan dilapangan, dimana

keamanan informasi yang terjaga akan memberikan jaminan keamanan pada

nasabah.

10

2.3 Keamanan Informasi

Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman

yang mungkin terjadi dalam upaya untuk memastikan atau menjamin

kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce

business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan

peluang bisnis (Sarno dan Iffano, 2009). Prinsip – prinsip pengamanan informasi

yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005)

sebagai berikut :

1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga

kerahasiaan (confidentiality) , integritas (integrity) dan ketersediaan

(availability) secara efektif dan efisien dengan memperhatikan kepatuhan

(compliance) terhadap ketentuan yang berlaku.

2. Memperhatikan aspek sumber daya manusia, proses dan teknologi.

3. Dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan

memperhatikan strategi bisnis Bank dan ketentuan yang berlaku.

4. Menerapkan pengamanan informasi secara komprehensif dan

berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan

pengamanan informasi, mengimplementasikan pengendalian pengamanan

informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan

pengamanan informasi serta melakukan penyempurnaan.

Keamanan informasi bergantung pada pengamanan terhadap semua aspek

dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat

keras, jaringan, peralatan pendukung dan sumber daya manusia (Direktorat

Penelitian dan Pengaturan Perbankan, 2007). Informasi yang merupakan aset

11

harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai

„quality or state of being secure-to be free from danger’. Untuk menjadi aman

adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan

informasi (Whitman dan Mattord, 2011) sebagai berikut,

a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja

atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai

ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana

alam.

b. Keamanan manusia yang overlap dengan keamanan fisik dalam

melindungi orang-orang dalam organisasi.

c. Keamanan operasi yang memfokuskan strategi untuk mengamankan

kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi,

teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan

alat ini untuk mencapai tujuan organisasi.

e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan

jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk

menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data

organisasi.

2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember

2007

Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember

2007 berisi Peraturan Bank Indonesia untuk mengatur tentang Penerapan

Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.

Dalam surat edaran ini dilampiri Pedoman Penerapan Manajemen Risiko dalam

12

Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan

pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi

yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan

dengan penyelenggaraan teknologi informasi.

2.4.1. Pedoman Penerapan Manajemen Risiko dalam Penggunaan

Teknologi Informasi oleh Bank Umum.

Pedoman ini merupakan pokok-pokok penerapan manajemen risiko

dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab

yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas

operasional teknologi informasi, jaringan komunikasi, pengamanan informasi,

bussiness continuity plan, end user computing, electronic banking, audit intern

teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian

ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi.

Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas

dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi,

proses manajemen risiko dan pengendalian intern dan audit intern. Pada

pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas

dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan

komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi

pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi

berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi

dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko

berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian

intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern.

13

Penelitian audit ini menggunakan prosedur pengamanan informasi dan

proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub

bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia,

prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur

pengamanan operasional teknologi informasi dan prosedur penanganan insiden

dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti

pada Tabel 2.1.

Tabel 2.1 Prosedur Pengamanan Informasi PBI:2007

5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia

5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan

5.3.3.4 Prosedur Pengamanan logic

5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan

mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7.

Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian

risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya

dan kedua setelah mendapat Nilai Risiko Akhir.

Terdapat tiga prosedur yang digunakan dalam audit. Prosedur

Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung

jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan

mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas

pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik

penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala.

Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang

penanganan insiden yang terjadi, penetapan prosedur penanganan insiden,

14

pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi

kelemahan sistem.

2.5 ISO 27002

ISO/IEC 27002 merupakan dokumen standar keamanan informasi atau

Information Security Management Systems (ISMS) yang memberikan gambaran

secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha

pengimplementasian konsep-konsep keamanan informasi di perusahaan. Standar

ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan

ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi

suatu program untuk melindungi aset-aset informasi. Dalam penelitian ini

menggunakan ISO 27002 tahun 2013. ISO 27002:2013 merupakan pembaharuan

dari ISO 27002 tahun 2005. Ruang lingkup ISO 27002:2013 yaitu standar

internasional untuk memberi petunjuk standar keamanan informasi organisasi dan

manajemen keamanan informasi meliputi seleksi, implementasi dan risiko

lingkungan keamanan informasi (ISO/IEC 27002, 2013). ISO 27002:2013 terdiri

dari 14 klausul kontrol keamanan di dalamnya terdapati 35 kategori keamanan

utama dan 114 kontrol. Masing-masing klausul kontrol keamanan memiliki satu

atau lebih kategori keamanan utama. Standard internasional ini disiapkan untuk

memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan

perbaikan yang terus menerus pada sistem manajemen keamanan informasi.

Pengadopsian sistem manajemen keamanan informasi merupakan sebuah

keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian

sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh

kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional

15

yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut

merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu.

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas

dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan

memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko

ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian

dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur

manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain,

sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem

manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan

organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan

eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan

keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol

Keamanan dan Kategori Keamanan Utama dari ISO 27002 tahun 2013 dapat

dilihat pada Tabel 2.2.

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO

27002:2013 Klausul Kontrol Keamanan Kategori Keamanan Utama

5. Kebijakan Keamanan Informasi

5.1 Manajemen tujuan dari keamanan

informasi

6. Keamanan Informasi Organisasi 6.1

6.2

Organisasi internal

Perangkat mobile dan teleworking

7. Sumber Daya Manusia 7.1

7.2

7.3

Sebelum menjadi pegawai.

Selama menjadi pegawai.

Penghentian dan perubahan pegawai.

8. Aset 8.1

8.2

8.3

Tanggung jawab untuk aset.

Klasifikasi informasi.

Penanganan media.

9. Kontrol Akses 9.1

9.2

9.3

Akses kontrol untuk persyaratan bisnis.

Manajemen akses pengguna.

Tanggung jawab pengguna.

Kontrol akses sistem dan aplikasi

16

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO

27002:2013 (Lanjutan) Klausul Kontrol Keamanan Kategori Keamanan Utama

10. Cryptografi 10.1 Kontrol Kriptografi. 12. Keamanan Operasi 12.1

12.2

12.3

12.4

12.5

12.6

12.7

Tanggung jawab dan prosedur

operasional.

Perlindungan dari malware

Back up

Logging dan monitoring

Pengendalian operasional perangkat

lunak.

Manajemen kerentanan teknis

Konsiderasi sistem informasi.

13. Komunikasi 13.1

13.2

Manajemen jaringan keamanan

Pengiriman informasi

14. Akusisi sistem, pengembangan dan

perawatan

14.1

14.2

Persyaratan keamanan sistem

informasi

Keamanan dalam pengembangan dan

proses dukungan.

15. hubungan dengan distributor 15.1

15.2

Keamanan informasi hubungan

distributor.

Manajemen pelayanan distributor.

16. manajemen insiden keamanan informasi 16.1 Pengelolaan insiden keamanan

informasi dn perbaikan

17 aspek keamanan informasi manajemen

kelangsungan bisnis.

17.1

17.2

Kelanjutan informasi

Ketimpangan

18. Compliance 18.1

18.2

Kepatuhan dengan hukum dan

kontrak

Pengulangan informasi

2.6 Manajemen Risiko

Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau

nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua

pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi

stakeholder, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini

yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk

menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko

dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para

stakeholder tersebut (Tampubolon, 2005). Dalam bidang manajemen dan

penyusunan strategi, risiko didefinisikan sebagai sebuah rentang (continuum)

yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak

17

tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya

tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman

maupun peluang tersebut.

Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI

dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan

yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat

Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan

manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi,

pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang

terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko

operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis

(Direktorat Penelitian dan Pengaturan Perbankan, 2007).

Risiko operasional dapat timbul disebabkan antara lain oleh

ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan,

testing, standar internal audit dan penggunaan jasa pihak lain dalam

penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan

bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap

ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan

hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan

perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan

dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena

ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis

Bank dan rencana strategis untuk mencapat tujuan tersebut.

18

2.7 Penilaian Risiko

Bank harus melakukan evaluasi atas segala hal yang mengancam sumber

daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan

risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya

dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko

menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam

Penggunaan Teknologi Informasi Oleh Bank Umum.

Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan

aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa

data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras,

jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan)

dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan,

2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel

2.3.

Tabel 2.3 Risk Register Ase

t

Desk

ripsi

Risik

o

Analisa

Kerawa

nan

Inheren Residual

Kece

nder

unga

n

Da

mp

ak

Kecen

derung

an

Kontrol

Yang

ada

Kecen

derun

gan

Dam

pak

Nilai

risiko

Akhi

r

Nilai

Risiko

dihara

pkan

1 2 3 4 5 6 7 8 9 10 11

Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi

risiko, analisa kerawanan, inheren (kecenderungan, dampak dan nilai risiko

dasar), kontrol yang ada, residual (kecenderungan, dampak dan nilai risiko akhir)

dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi.

19

Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi

mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal)

aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi

berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat

pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4.

Tabel 2.4 Pedoman Penilaian Kritikal Aset Aspek Analisa

Sensitivitas

Kriteria Penilaian

High Medium Low

Confidentia

lity

Berapa besar

kerugian yang

ditimbulkan

apabila terjadi

hilangnya

kerahasiaan atas

suatu informasi

/ dapat diakses

oleh siapa saja?

Jika kerugian yang

ditimbulkan sangat

signifikan karena

informasi yang

bocor sangat

sensitif atau hanya

bisa diakses oleh

personil tertentu

yang telah diberi

otorisasi.

Jika kerugian yang

ditimbulkan tidak

signifikan karena

informasi tidak

sensitif atau akses

informasi oleh

berbagai pihak di

organisasi.

Jika kerugian

yang

ditimbulkan

sangat kecil

karena

informasi

bersifat umum

atau dapat

diakses oleh

siapa saja.

Integrity Berapa besar

dampak/kerugia

n terhadap

jalannya proses

bisnis apabila

suatu aset tidak

digunakan

dengan benar,

tidak lengkap,

tidak akurat dan

tidak dikinikan?

Jika dampak yang

ditimbulkan sangat

signifikan seperti

mengakibatkan

tidak berjalannya

proses bisnis dan

menimbulkan

potensi

dilakukannya

penyimpangan yang

mengarah pada nilai

uang yang cukup

signifikan.

Jika dampak yang

ditimbulkan tidak

signifikan seperti

mengakibatkan

tidak berjalannya

proses bisnis yang

tidak signifikan,

kesalahan dalam

pengambilan

keputusan.

Jika dampak

yang

ditimbulkan

sangat kecil

dan tidak

mengganggu

proses bisnis.

Availa-

bility

Berapa besar

dampak/kerugia

n yang

ditimbulkan

apabila terjadi

ketidaktersediaa

n suatu aset?

Jika dampak yang

ditimbulkan sangat

signifikan seperti

mengakibatkan

tidak berjalannya

proses bisnis.

Jika dampak yang

ditimbulkan tidak

signifikan karena

aset dapat

digantikan dengan

biaya atau waktu

yang memadai

sehingga hanya

mengakibatkan

penurunan efisiensi

dan efektifitas atas

jalannya proses

bisnis.

Jika dampak

yang

ditimbulkan

sangat kecil

karena proses

bisnis tetap

berjalan tanpa

aset tersebut

atau aset

tersebut bisa

dengan cepat

diganti.

20

Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses

keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa

risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan

terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat

memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran

sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan

berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan

terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria

pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil

kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada

Tabel 2.5.

Tabel 2.5 Kriteria Pengukuran Kecenderungan Nilai Potensi Kejadian Frekuensi Kejadian

5. Potensi terjadi tinggi dalam jangka

pendek

Sangat sering terjadi

4. Potensi terjadi tinggi dalam jangka

panjang

Lebih sering terjadi

3. Potensi terjadi sedang Cukup sering terjadi

2. Potensi terjadi kecil Jarang terjadi

1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi

Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum

pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara

menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat

kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6.

Tabel 2.6 Klasifikasi Dampak Nilai Potensi gangguan terhadap

proses bisnis

Potensi Penurunan Reputasi

5 Aset pemrosesan informasi mengalami

kegagalan total sehingga keseluruhan

bisnis bank tidak tercapai.

Kerusakan reputasi yang mengakibatkan

penurunan reputasi yang serius dan

berkelanjutan dimata nasabah /

stakeholder utama dan masyarakat.

21

Tabel 2.6 Klasifikasi Dampak (Lanjutan) Nilai Potensi gangguan terhadap

proses bisnis

Potensi Penurunan Reputasi

4 Aset pemrosesan informasi mengalami

gangguan yang menyebabkan aktifitas

bisnis bank mengalami penundaan

sampai aset pemrosesan informasi yang

terkait pulih

Kerusakan reputasi yang tidak

meyeluruh, hanya nasabah atau partner

bisnis tertentu.

3 Aset pemrosesan informasi mengalami

gangguan yang menyebabkan sebagian

bisnis bank mengalami penundaan

sampai aset pemrosesan informasi yang

terkait pulih.

Kerusakan reputasi hanya pada unit

tersebut.

2 Aset pemrosesan informasi mengalami

gangguan namun akifitas pokok Tim

dapat dikerjakan secara normal karena

aset pemrosesan informasi yang terkait

dapat digantikan oleh Aset Pemrosesan

Informasi lainnya.

Kerusakan reputasi yang tidak

menyeluruh hanya satuan kerja tertentu.

1 Tidak menyebabkan gangguan terhadap

operasional proses bisnis.

Tidak berpengaruh pada reputasi.

Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada

pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu

high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang

disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan

tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang

dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya

risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak

berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik

pengukuran risiko seperti pada Tabel 2.7.

Tabel 2.7 Matrik Pengukuran Risiko

Kec

end

erungan

n

5 Medium Medium High High High

4 Low Medium High High High

3 Low Low Medium High High

2 Low Low Medium Medium High

1 Low Low Medium Medium High

1 2 3 4 5

Dampak

22

Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko

diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai

risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko

dasar.

Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi

kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit

dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian

dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak

residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel

rincian penilaian risk register dapat dilihat pada Tabel 2.8.

Tabel 2.8 Rincian Penilaian Risk Register

No Aset Deskripsi

Risiko

Analisa

Kerawanan

Residu 1

Pernyataan

Residu 2

Kecender

ungan

Dam

pak

Kecender

ungan

Dam

pak

Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset

sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom

analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat

pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang

telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua

penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa

kerawanan.

Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya

pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi

23

kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu

kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai

kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh

auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya

pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga

lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran

kecenderungan seperti pada Tabel 2.5

Kolom residu dampak berisi tentang hasil penilaian dampak setelah

pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan

klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi rata-

rata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun

kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi

dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit

yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register.

Hasil dari kolom residu satu dari rincian penilaian risk register tentang

kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan

dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah

pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah

ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran

risiko seperti pada Tabel 2.7.

Setelah terisi semua penilaian risiko dilakukan dengan membandingkan

hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat

dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA

tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai.