TUGAS 1 DDASI

Bagian A. Pemahaman Mengenai Audit TI1. Mengapa Audit TI diperlukan?

Organisasi saat ini menghadapi tantangan yang semakin besar. Tingkat kompetisi yang semakin tinggi menuntut organisasi untuk dapat bekerja secara efektif dan efisien. Untuk tujuan tersebut perusahaan, saat ini banyak perusahaan yang semakin dependent kepada teknologi Informasi. Hal ini memberikan keuntungan dan kerugian bagi perushaan. Teknologi informasi telah menjadi enabler dari kegiatan bisnisnya, selain itu teknologi informasi juga dapat mendatangkan competitive advantage bagi organisasi. Namun disisi lain teknologi memberikan ancaman baru bagi organisasi. Kesalahan pemanfaatan teknologi infomrasi dapat berdampak pada kerugian yang diakibatkan oleh kehilangan data, kesalahan dalam pengambilan keputusan, kebocoran data.

Semakin tingginya kesadaran pemerintah mengenai pentingnya teknologi informasi memicu pemerintah untuk mengeluarkan peraturan yang mengatur pemanfaatan,penggunaan, teknologi infomrasi dalam kegiatan operasional perusahaan. Peraturan wajib dipenuhi oleh setiap organisasi yang menggunakan perangkat teknologi informasi.

Oleh karena itu organisasi memerlukan suatu mekanisme untuk menjamin bahwa infrastruktur TI pada organisasinya dapat memenuhi kebutuhannya, mengikuti standar / regulasi yang berlaku, serta menjamin kegiatan operasional yang didukung oleh perangkat IT dapat berjalan secara efektif dan efisien.

2. Apa Tujuan dari Audit TI?a. Memastikan bahwa pernerapan IT pada organisasi memiliki kontrol yang diperlukan.

Mekanisme kontrol diantaranya: security protocols, development processes, and IT governance.

b. Memastikan bahwa mekanisme kontrol tersebut diterapkan dengan baik, sesuai dengan yang diharapkan.

c. Memastikan bahwa kualitas dan integritas dari sistem informasi yang dimiliki organisasi , prakteknya, serta kegiatan operasional yang dilakukan organisasi dapat terjaga dengan baik

3. Apakah ruang lingkup Audit TI?Ruang lingkup dalam penanganan masalah audit untuk suatu sistem informasi tidak

terlepas dari aplikasi pengolahan data berbasis komputer yang menyediakan penanganan dokumen masukan dan keluaran.

Menurut Idris Asmuni dan Rangga Firdaus terdapat 5 standar khusus yang berkaitan dengan ruang lingkup pemeriksaan1, yakni: Reliabilitas dan integritas sistem informasi. Pemeriksaan harus mereview reliabilitas dan

integritas informasi keuangan dan informasi operasi sistem. Berkaitan dengan kebijaksanaan, perencanaan,hukum dan peraturan. Kebijaksanaan ini

mencakup pemakaian, penugasan, evaluasi serta promosi personel dalam sistem informasi, perencaan jangka panjang dan lain-lain.

1 http://journal.uii.ac.id/index.php/Snati/article/viewFile/1345/1127

Perlindungan aktiva perusahaan. Pemeriksaan harus mereview peralatan untuk menjaga aktiva perusahaan yang memiliki keadaaan catatan tersendiri sehingga dapat direkonsiliasikan.

Pemakaian Sumber Ekonomis dan Efisien. Sumber-sumber ekonomis dimaksud disini adalah semua operasi departemen, manajer, peralatan dan personel yang dikembangkan.

Berusaha untuk mencapai objektif operasi program.

Menurut Steven Buchanan and Forbes Gibb scope harus dilihat melalui beberapa dimensi. Steven menggunakan beberapa pendekatan untuk menentukan scope dari audit sistem informasi. Pendekatan tersbut adalah Earl’s Information strategy taxonomy, TOGAF Application development framwork, dan Zachmann Architectural Framework.2

Earl’s Information strategy taxonomy menentukan komponen dasar dari scope IS Audit.

Gambar 1: Earl’s Information strategy taxonomy

TOGAF Application Development method mengembangkan taksonomy ini menjadi lebih detail. Diagram TOGAF application development Method:

Gambar 2: TOGAF application development method

2 http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6VB4-4NDDT5J-1&_user=4888429&_coverDate=06%2F30%2F2007&_rdoc=1&_fmt=high&_orig=search&_origin=search&_sort=d&_docanchor=&view=c&_searchStrId=1471202775&_rerunOrigin=google&_acct=C000052059&_version=1&_urlVersion=0&_userid=4888429&md5=5d93f094722441ea8e47866186ab70c8&searchtype=a#secx4

Gambar 3: Information Strategy and Information system Architecture

Berdasar kan mapping terhadap system view yang dihasilkan oleh zachman terdapat 3 aspek utama yang menjadi perhatian dari audit sistem informasi: ketiga aspek tersebut adalah tecnology, systems, dan contents. Namun ketiga aspek tersebut belum cukup merepresentasikan cakupan dari audit sistem informasi. Masih terdapat satu dimensi yang perlu dimasukkan yaitu sudut pandang organisasional. Untuk kepentingan ini Bachanan menambahkan 3 aspek sebagai dimensi lainnya yang ia sebut dengan ‘perspective’. Ketiga Perspective tersebut adalah strategy, process, dan resources. Strategy berfokus kepada pencapaian tujuan strategis dari organisasi berdasarkan mapping dan analisis dari hubungan antara visi misi organisasi dengan sumber informasi (Information resource) yang tersedia. Sudut pandang process befokus pada workflow dan information flow yang terdapat pada organisasi. Process didefiniskan sebagai urutan aktifitas untuk menyelesaikan sebuah tugas / task. Setiap proses selalu memiliki input dan output. Resource befokus pada identifikasi, klasifikasi, evaluasi terhadap sumber informasi. Penggabungan dari kedua dimensi di atas dapat dilihat pada matriks berikut:

Gambar 4: Scope matrix audit sistem informasi

Matriks tersebut menggambarkan scope dari audit sistem informasi yang perlu dilakukan oleh auditor.

4. Apa saja langkah-langkah yang diperlukan dalam melakukan Audit TI?Langkah langkah dalam melakukan audit Sistem informasi pada dasarnya terdiri dari 4 tahapan 3 yang meliputi:a. Perencanaan audit

Tahap perencanaan meliputi: penetapan ruang lingkup dan tujuan dari audit yang ingin dilakukan.

Meninjau hasil audit sebelumnya Identifikasi faktor resiko Memepersiapkan program audit

b. Penyiapan audit dengan pengumpulan bukti-buktiTahapan ini meliputi:

Pengamatan atas kegiatan operasional bisinis Tinjauan dokumen Berdiskusi dengan para pegawai Menyebarkan kuesioner Pemeriksaan fisik aset Konfirmasi dengan memanfaatkan pihak ketiga Review analitis dan pengambilan sample audit

c. Evaluasi buktiTahapan ini meliputi:

Nilai kualitas pengendalian internal (internal control) Nilai kualitas dari informasi dan data Nilai kinerja operasional Memepertimbangkan kebutuhan akan bukti tambahan Pertimbangkan faktor resiko Dokumentasikan penemuan audit

d. Memformulasikan dan Mengkomunikasikan hasil audit.Tahap ini meliputi:

Membuat rekomendasi bagi pihak manajemen Mempersiapkan laporan audit Menyajikan hasil-hasil audit ke pihak manajemen

5. Apa saja teknik yang bisa digunakan untuk melakukan Audit TI?a. Risk oriented

Risk based auditing atau audit berpeduli resiko adalah suatu audit yang dimulai dengan proses penilaian resiko audit, sehinga dalm perencanaan, peaksanaan, dan pelaporan auditnya lebih difokuskan pada area-area penting yang beresiko dari penyimpangan, kecurangan.

b. CAATComputer aided audit tools / computer assisted audit tools and tecnique adalah praktek pepemanfaatan teknologi untuk mengoutomasi, atau mempermudah proses audit.

6. Mengapa pemahaman mengenai regulasi diperlukan dalam melakukan Audit TI?

Karena dengan adanya pemahaman regulasi terlebih dahulu, maka auditor telah mengetahui informasi yang berkaitan dengan peraturan-peraturan mengenai objek yang akan diaudit, baik yang bersifat umum maupun khusus. Dengan demikian, auditor dapat memahami batas-batas wewenang objek audit dan berbagai program yang akan dilaksanakan dalam upaya mencapai tujuan dari proses audit. Peraturan dan kebijakan yang ditetapkan oleh objek audit dapat berupa adopsi terhadap peraturan yang ditetapkan pemerintah atau yang secara penuh di kembangkan dalam objek audit sebagai penjabaran strategi dalam meningkatkan kemampuan bersaingnya. Alhasil, pemahaman regulasi dapat membuat pelaksanaan audit dilakukan sesuai

dengan tujuan dari proses audit sehingga hasil dari proses audit tersebut dapat bermanfaat untuk semua pihak yang berkepentingan, baik auditee maupun pihak eksternal yang memilikikepentingan dengan hasil audit tersebut

7. Sebutkan beberapa regulasi internasional yang harus diperhatikan terkait Audit TI!

a.      Electronic Communications Privacy Act

Berisi ketentuan-ketentuan untuk mengakses, menggunakan,, intersepsi pengungkapan dan perlindungan privasi dari komunikasi elektronik. Undang-undang ini berlaku pada tahun 1986 dan mencakup berbagai bentuk komunikasi elektronik.

 

b.      Communications Decency Act, 1995

CDA berisi ketentuan isi dari seksualitas online yang kemudian mengundang kritik yang mempermasalahkan kewenangan CDA untuk memberikan batasan-batasan tertentu untuk menentukan apakah sesuatu yang tampil di internet merupakan hal yang masuk kategori cabul atau tidak karena CDA tidak membuat perbedaan antara percakapan mana yang diizinkan dan mana yang tidak. Padahal kategorisasi tersebut relatif bagi setiap orang.

 

c.       Health Insurance Portability & Accountability Act, (HIPAA) 1996

Diberlakukan oleh Kongres AS pada tahun 1996. Pada awalnya disponsori oleh Senator Edward Kennedy (D-Mass.) dan Senator Nancy Kassebaum (R-Kan.). Menurut Centers for Medicare dan Medicaid Services (CMS), Judul I HIPAA melindungi asuransi kesehatan cakupan bagi pekerja dan keluarga mereka ketika mereka berubah atau kehilangan pekerjaan mereka. Judul II HIPAA, dikenal sebagai Penyederhanaan Administrasi (AS) Ketentuan, mengharuskan pembentukan standar nasional untuk transaksi pelayanan kesehatan elektronik dan pengenal nasional untuk penyedia, rencana asuransi kesehatan, dan pengusaha. Penyederhanaan Administrasi Ketentuan juga menangani keamanan dan privasi data kesehatan. Standar ini dimaksudkan untuk meningkatkan efisiensi dan efektivitas sistem perawatan kesehatan bangsa dengan mendorong meluasnya penggunaan pertukaran data elektronik dalam sistem perawatan kesehatan AS.

 

d.      Sarbanes-Oxley Act of 2002 / SOx / Sarbox  

Hukum federal Amerika Serikat yang ditetapkan pada 30 Juli 2002 sebagai tanggapan terhadap sejumlah skandal akuntansi perusahaan besar yang termasuk di antaranya melibatkan Enron, Tyco International, Adelphia, Peregrine Systems dan WorldCom. Sarbox menetapkan suatu lembaga semi pemerintah, Public Company Accounting Oversight Board (PCAOB), yang bertugas mengawasi, mengatur, memeriksa, dan mendisiplinkan kantor-kantor akuntan dalam peranan mereka sebagai auditor perusahaan publik. Sarbox juga mengatur masalah-masalah seperti kebebasan auditor, tata kelola perusahaan, penilaian pengendalian internal, serta pengungkapan laporan keuangan yang lebih dikembangkan.

 

e.      Homeland Security Act of 2002 with the Cyber Security Enhancement Act

Setelah serangan teroris pada 11 September 2001 (9/11), AS mendirikan Department of Homeland Security untuk memperkuat keamanan nasional tidak hanya terhadap ancaman fisik tetapi juga terhadap cyberthreats. AS menerapkan aktivitas keamanan informasi yang efektif dan komprehensif melalui sistem Information Security Officer. Strategi keamanan informasi ini meliputi National Strategy for Homeland Security, National Strategy for the Physical Security of Critical Infrastructures and Key Assets, dan National Strategy to Secure Cyberspace. National Strategy to Secure Cyberspace15 menetapkan visi cybersecurity dan perlindungan terhadap infrastruktur dan aset penting. Strategi tersebut juga mendefinisikan tujuan dan aktivitas spesifik untuk mencegah cyberattacks terhadap infrastruktur dan aset penting.

Cyber Security Enhancement Act of 200216 (CSEA) mencakup bab dua dari Homeland Security Law. Memberikan amandemen pedoman pidana terhadap beberapa kejahatan komputer seperti, pengecualian pengungkapan darurat, pengecualian kejujuran, larangan iklan Internet ilegal, dan perlindungan privasi.

 

f.        Basel II, 2004

Basel II suatu kerangka kerja manajemen risiko kredit, yang dibuat oleh Bank for International Settlements di Basel, Swiss. Oleh karena itu, berdasarkan Basel II Capital Accord, bank-bank global disyaratkan untuk menerapkan praktik-praktik manajemen risiko yang canggih, untuk melacak dan melaporkan kepada publik paparan risiko terhadap kredit, pasar dan operasional.

Bagian B. Eksplorasi Regulasi Lokal

Seiring dengan perkembangan bisnis yang begitu cepat, sebuah bank dituntut untuk selalu meningkatkan efisiensi dan mutu operasional pelayanan kepada nasabahnya dengan tujuan meningkatkan kegiatan usaha bank dan mempertahankan nasabahnya. Penggunaan Teknologi Informasi hadir sebagai suatu strategi bisnis perbankan untuk mewujudkan dan menjalankan tujuan tersebut. Kini Teknologi Informasi merupakan suatu investasi dalam bisnis perbankan sebagai profit center yang digunakan untuk membantu jalannya proses transaksi dan juga pengolahan informasi menjadi lebih cepat, aman, akurat, dan tepat waktu, sehingga informasi yang dihasilkan melalui Teknologi Informasi tersebut dapat mendukung operasional bank dan proses pengambilan keputusan.

Harus diakui bahwa bisnis perbankan merupakan suatu bisnis yang sarat dengan resiko karena melibatkan pengelolaan uang dari banyak pihak dengan transaksi dan informasi yang luar biasa banyak jumlahnya. Sementara itu tidak bisa dipungkiri lagi bahwa di balik banyaknya keuntungan yang ditawarkan dalam penyelenggaraannya, Teknologi Informasi juga merupakan penyumbang resiko yang terbesar. Penggunaan Teknologi Informasi terkait dengan resiko operasional yang dihadapi oleh bank. Besar kecilanya resiko tersebut akan bergantung pada kehandalan suatu bank dalam mengelola Teknologi Informasinya.

Sehubungan dengan meningkatnya resiko dalam penggunaan Teknologi Informasi pada bisnis perbankan, maka suatu bank dinilai sangat perlu menerapkan manajemen resiko yang terpadu, untuk dapat melakukan identifikasi, pengukuran, pemantauan, dan pengendalian resiko tersebut secara efektif. Manajemen resiko merupakan suatu tindakan preventif untuk meminimalisir terjadinya resiko-resiko tersebut mengingat kegagalan suatu bank akan menimbulkan dampak luas bagi banyak pihak baik domestik bahkan internasional. Hal ini melatar belakangi Bank Indonesia sebagai regulator bank di Indonesia mengeluarkan Peraturan Bank Indonesia (PBI) No. 9/15/PBI 2009 tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.

Peraturan tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum yang dikeluarkan Bank Indonesia ini merupakan suatu framework manajemen resiko TI yang mencakup best practice dari manajemen resiko, standard nasional dan internasional, serta sesuai perundangan yang berlaku untuk memastikan bahwa manajemen resiko tersebut telah memadahi. Peraturan ini erat kaitannya dengan peraturan-peraturan lain dari Bank Indonesia terkait dengan implementasi Basel II yang dikeluarkan Komite Basel sebagai kebijakan standard internasional perbankan. Basel II merupakan peraturan pemodalan yang di dalamnya banyak menyinggung mengenai posisi resiko menyeluruh bank dan penanganannya. Kemudian atas dasar tersebut, Bank Indonesia mengeluarkan peraturan No. 5/8/PBI/2003 pada tanggal 19 Mei 2003 tentang Penerapan Manajemen Resiko Bagi Bank Umum yang diberlaku untuk seluruh bank besar maupun bank kecil di Indonesia. Pada peraturan ini hanya menjelaskan mengenai pola umum manajemen resiko yang dapat diberlakukan di semua bank. Mengingat bahwa Teknologi Informasi merupakan aset dan enabler bagi bisnis perbankan, maka Teknologi Informasi merupakan tanggung jawab semua unit kerja dan semua penggunanya. Dari sinilah

terlihat betapa pentingnya ditetapkan ketentuan yang mengatur secara spesifik mengenai penggunaan Teknologi Informasi pada bank-bank umum.

Peraturan tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum yang dikeluarkan Bank Indonesia ini merupakan suatu framework manajemen resiko TI yang mencakup best practice dari manajemen resiko, standard nasional dan internasional, serta sesuai perundangan yang berlaku untuk memastikan bahwa manajemen resiko tersebut telah memadahi. Peraturan ini erat kaitannya dengan peraturan-peraturan lain dari Bank Indonesia terkait dengan implementasi Basel II yang dikeluarkan Komite Basel sebagai kebijakan standard internasional perbankan. Basel II merupakan rekomendasi hukum dan ketentuan perbankan kedua ditujukan untuk menciptakan suatu standar internasional yang dapat digunakan regulator perbankan untuk membuat ketentuan berapa banyak modal yang harus disisihkan bank sebagai perlindungan terhadap risiko keuangan dan operasional yang mungkin dihadapi bank. Basel II dibuat berdasarkan struktur dasar the 1988 accord yang memberikan kerangka perhitungan modal yang bersifat lebih sensitif terhadap risiko (risk sensitive) serta memberikan insentif terhadap peningkatan kualitas penerapan manajemen risiko di bank. Hal ini dicapai dengan cara penyesuaian persyaratan modal dengan risiko dari kerugian kredit dan juga dengan memperkenalkan perubahan perhitungan modal dari eksposur yang disebabkan oleh risiko dari kerugian akibat kegagalan operasional.

Untuk implementasi detail dari Basel II, Bank Indonesia mengeluarkan peraturan No. 5/8/PBI/2003 pada tanggal 19 Mei 2003 tentang Penerapan Manajemen Resiko Bagi Bank Umum yang diberlaku pada seluruh bank besar maupun bank kecil di Indonesia. Pada peraturan ini hanya menjelaskan mengenai pola umum manajemen resiko yang dapat diberlakukan di semua bank. Dalam peraturan ini manajemen resiko masih dijelaskan secara umum sehingga peraturan khusus mengenai manajemen resiko di bidang teknologi informasi belum tertera secara eksplisit.

Teknologi Informasi merupakan tanggung jawab semua unit kerja dan semua penggunanya. Selain itu Teknologi Informasi juga merupakan aset dan enabler bagi bisnis perbankan. Dari sinilah terlihat betapa pentingnya ditetapkan ketentuan yang mengatur secara spesifik mengenai penggunaan Teknologi Informasi pada bank-bank umum. Erat kaitannya dengan hal tersebut maka diterbitkan Peraturan Bank Indonesia (PBI) No. 9/15/PBI 2009 tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.

Untuk cakupan pengelolaan resiko TI yang harus dilakukan oleh pihak perbankan sesuai dengan Dokumen PBI No. 9/15/PBI 2009 tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum, pada BAB II Pasal 2 butir 1 menyebutkan bahwa "Bank wajib menerapkan manajemen risiko secara efektif dalam penggunaan Teknologi Informasi." Setiap bank wajib memiliki divisi Teknologi Informasi, untuk itu setiap kebijakan dan tindakan yang diambil terkait Teknologi Informasi harus diterapkan manajemen risiko dengan tujuan untuk minimalisir terjadinya kesalahan dan diharapkan optimisasi peran Teknologi Informasi terus-menuerus dapat dilakukan. Oleh karena itu, peran IT dipandang sebagai aset yang berharga bagi perbankan.

Selanjutnya pada butir 2 disebutkan bahwa penerapan manajemen risiko sebagaimana dimaksud

pada ayat (1) paling kurang mencakup poin yang berkaitan dengan pengawasan aktif dewan Komisaris dan Direksi, kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi, kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi, dan sistem pengendalian intern atas penggunaan Teknologi Informasi.

Pengelolaan resiko Teknologi Informasi mewajibkan peran serta komisaris dan direksi dalam penerapan manajemen resiko, hal ini jelas menggambarkan bahwa perlu adanya peran dari komisaris dan direksi baik dalam hal pengambil kebijakan maupun sebagai pengontrol, pengawas maupun mengevaluasi dalam penerapan manajemen risiko itu sendiri. Kemudian bank juga harus menyediakan kebijakan dan prosedur Teknologi Informasi yang memadai yang dikomunikasikan serta disosialisasikan dengan baik pada setiap ruang linkup pengguna Teknologi Informasi tersebut. Bank juga harus melakukan proses-proses kontrol yang diantaranya identifikasi, pengukuran, pemantaun dan pengendalian risiko pengguna Teknologi Informasi yang bertujuan untuk mengoptimalkan dan mengevaluasi kinerja Teknologi Informasi. Dan yang terakhit bank harus memiliki kebijakan untuk mengadakan sistem pengedali intern untuk mengontrol penggunaan TI.

Dari beberapa peraturan yang telah dilekuarkan di atas, maka akan berdampak langsung terhadap pelaksanaan audit Teknologi Informasi. Hal ini bisa dilihat dari akan sangat diperlukannya peran audti Teknologi Informasi yang selanjutnya akan ditetapkan sebagai individu yang berkompeten untuk melakukan audit dalam bidang TI. Dengan demikian para auditor Teknologi Informasi sangat berperan dalam membantu pengambilan kebijakan oleh petinggi perusahaan terkait dengan pertimbangan dari hasil audit para auditor Teknologi Informasi. Selain itu para auditor Teknologi Informasi yang melakukan audit diwajibkan untuk mengikuti regulasi yang ada pada bank terkait dan regulasi pada suatu negara dikarenakan pertimbangan ini akan berdampak buruk apabila hasil audit yang tidak mempertimbangkan regulasi akan menyebabkan hasil audit tersbut dapat menghalangi dalam pengambilan kebijakan oleh para petinggi perusahaan dikarenakan hasil audit tersbut tidak dapat diadaptasikan dilingkungan suatu negara karena tidak sesuai dengan regulasi negara tersebut.

Bagian C. Pemahaman Mengenai Resiko

Resiko adalah peluang untuk suatu ancaman untuk memanfaatkan kelemahan asset atau sekumpulan asset yangmengakibatkan asset tersebut rusak atau hilang.

Secara umum terdapat dua jenis resiko, yaitu:3

a. Resiko Spekulatif (Resiko Bisnis)Suatu keadaan yang dihadapi perusahaan yang dapat memberikan keuntungan dan juga

dapat memberikan kerugian.Resiko spekulatif sering juga disebut sebagai resiko bisnis karena ketika mengambil

keputusan investasi untu suatu hal atau bisnis, investor tersebut dapat menghadapi dua kemungkinan yaitu investasi tersebut akan menguntungkan atau merugikan.

b. Resiko MurniSuatu keadaan yang hanya dapat berakibat merugikan atau tidak terjadi apa-apa dan tidak

mungkin menguntungkan.

Pada kasus PT. ABC dijelaskan Deskripsi kasus, Infrastruktur yang dimiliki oleh PT. ABC dan mekanisme pengelolaannya, Aplikasi pengolahan data, serta Proses-proses yang terjadi. Setelah dilakukan evaluasi pada proses nomor 4, 5, 6, dan 7 dapat diidentifikasi resiko yang terkait proses-proses tersebut dan urutan prioritas resiko serta identifikasi control/pengendalian yang sesuai.

a. Identifikasi ResikoProses 4:1. Berkas tidak sampai ke tempat tujuan atau sampai dalam kondisi yang tidak semestinya.2. Saksi tidak berada di tempat pada saat serah terima berkas.3. Hilang atau rusaknya amplop berkas sebelum atau selama berada diruang khusus.

Proses 5:1. Alat scan tidak tersedia atau tidak dapat memenuhi kebutuhan pada saat diperlukan.2. Tidak semua LJK melalui proses scanning.3. Terjadi kesalahan pengelolaan LJK setelah proses scanning yang meliputi penempatan

LJK dan penandaan amplop.4. Terjadi kesalahan penginputan kode jabatan.

Proses 6:1. Terjadi perubahan data hasil scanning oleh supervisor.2. Terjadi kesalahan yang disebabkan oleh faktor manusia pada saat pemeriksaan kesesuaian

antara output hasil scan dengan LJK asli.3. Terjadi kesalahan pada saat pembenaran data oleh petugas validasi.4. Aplikasi yang digunakan untuk membetulkan data tidak berfungsi sebagaimana mestinya.

Proses 7:

3 http://id.wikipedia.org/wiki/Manajemen_risiko

1. Terjadi kesalahan penginputan data kunci jawaban.2. Aplikasi yang digunakan untuk memeringkatkan data tidak berfungsi sebagaimana

mestinya.

b. Pengukuran Prioritas ResikoMenentukan prioritas resiko dapat dilakukan dengan menggunakan risk assessment cube

sebagai acuan. Risk assessment cube merupakan struktur tiga dimensi untuk mengkategorikan resiko. Tiga dimensi yang terdapat pada risk assessment cube adalah Outcome Severity, Probability of Incident, dan duration of Impact. Gambar dari Risk Assessment Cube dapat dilihat pada gambar dibawah ini:

Dimensi pertama adalah Severity yaitu besarnya kerugian/loss yang diakibatkan oleh suatu resiko dengan range rendah sampai tinggi. Dimensi kedua adalah probability yang menunjukkan tingkat kemungkinan terjadinya suatu resiko dengan range jarang sampai sering. Dimensi yang ketiga adalah Duration of impact yang menunjukkan besarnya pengaruh resiko tersebut terhadap fungsi-fungsi di organisasi dengan range isolated atau hanya fungsi tertentu saja yang merasakan dampaknya sampai dengan extended atau keseluruhan organisasi meraskan dampaknya. Dengan menghubungkan ketiga dimensi ini, maka resiko dapat dikelompokkan menjadi 8 area untuk selanjutnya menghitung prioritasnya.

Cara lain yang dapat digunakan untuk mengukur prioritas resiko adalah dengan membuat matrix mengenai probabilitas dan konsekuensi untuk setiap resiko. Matrix ini hamper sama dengan riks assessment cube, dimana konsekuensi ditentukan dengan melihat besarnya loss (severity) dan pengaruh (impact) dari sebuah resiko.

  Consequences  Insignificant Minor Moderate Major CatasthropicAlmost H H E E E

certainLikely M H H E EPossible L M H E EUnlikely L L M H ERare L L M H H

Untuk mengukur prioritas resiko proses 4, 5, 6, dan 7 pada kasus PT. ABC, kami menggunakan metode semi kuantitatif dengan mengacu kepada risk assessment cube.

c. Identikasi Kontrol Terhadap ResikoProses 4:1. - Pengiriman dilakukan oleh pihak internal

- Pengirimian berkas disertai dengan mekanisme pengamanan oleh petugas yang berwajib.

- Cargo dipastikan mempunyai mekanisme pengamanan kendaraan seperti kunci.2. - Terdapat sanksi yang tegas

- Saksi ikut serta bersama pada saat pengiriman berkas oleh cargo.3. Ruang dengan akses terbatas, terdapat satpam yang menjaga, semua kunci yang dipegang

oleh satpam.

Proses 5:1. - Programmer senantiasa standby pada saat proses pengolahan data.

- Mempunyai divisi TI yang menangani trouble shooting masalah terkait jaringan, kerusakan hardware, dan masalah kelistrikan.

- Pemasangan antivirus.2. Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang

sama.3. Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang

sama.4. Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang

sama.

Proses 6:1. Terdapat mekanisme yang dapat memonitor segala aktivitas dalam sistem 2. - Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang

sama.- Adanya SOP yang jelas untuk setiap kegiatan.

3. - Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang sama.- Jika terjadi kesalahan data, maka petugas validasi harus membuatkan nota yang berisi

tindakan pembetulan yang harus dilakukan. Nota ini juga harus disebutkan dalam SOP.

4. - Programmer senantiasa standby pada saat proses pengolahan data.- Mempunyai divisi TI yang menangani trouble shooting masalah terkait jaringan,

kerusakan hardware, dan masalah kelistrikan.

- Pemasangan antivirus.

Proses 7:1. Terdapat maksimum tiga orang yang bekerja dalam satu proyek pengolahan data yang

sama.2. - Programmer senantiasa standby pada saat proses pengolahan data.

- Mempunyai divisi TI yang menangani trouble shooting masalah terkait jaringan, kerusakan hardware, dan masalah kelistrikan.

- Pemasangan antivirus.