BAB II LANDASAN TEORI
2.1 Audit Audit adalah proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang berujung
pada
penarikan
kesimpulan)
secara
sistematis,
obyektif
dan
terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo, 2003). Definisi secara umum tentang audit adalah bahwa “Auditing is an independent investigation of some particular activity”. Kata audit berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang dimaksud adalah “hearing about the account’s balances” oleh para pihak terkait terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang dikelola
oleh
orang-orang
tertentu
yang
bukan
sekaligus
pemiliknya
(Gondodiyoto, 2007). Audit yang dilakukan dalam penelitian ini menggunakan audit berbasis risiko. Risiko secara umum diartikan hambatan dalam pencapaian suatu tujuan. Audit berbasis risiko lebih mengutamakan pada tujuan yang akan dicapai oleh
8
9
perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko dengan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan (Ramadhana, 2012). 2.2 Informasi Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank. Aset yang sangat penting ini oleh Bank Indonesia telah ditetapkan standar untuk menjaga keamanannya. Bank perlu adanya audit untuk mengecek kesesuaian antara standar yang ditetapkan dengan kenyataan dilapangan, dimana keamanan informasi yang terjaga akan memberikan jaminan keamanan pada nasabah.
10
2.3 Keamanan Informasi Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009). Prinsip – prinsip pengamanan informasi yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005) sebagai berikut : 1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan (confidentiality) , integritas (integrity) dan ketersediaan (availability) secara efektif dan efisien dengan memperhatikan kepatuhan (compliance) terhadap ketentuan yang berlaku. 2. Memperhatikan aspek sumber daya manusia, proses dan teknologi. 3. Dilakukan berdasarkan hasil penilaian risiko
(risk assessment) dengan
memperhatikan strategi bisnis Bank dan ketentuan yang berlaku. 4. Menerapkan
pengamanan
berkesinambungan
yaitu
informasi
dengan
secara
menetapkan
komprehensif tujuan
dan
dan
kebijakan
pengamanan informasi, mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta melakukan penyempurnaan. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Informasi yang merupakan aset
11
harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai „quality or state of being secure-to be free from danger’. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi (Whitman dan Mattord, 2011) sebagai berikut, a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. b. Keamanan manusia yang overlap dengan keamanan fisik dalam melindungi orang-orang dalam organisasi. c. Keamanan operasi yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. 2.4
Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007 Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember
2007 berisi Peraturan Bank Indonesia untuk mengatur tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam surat edaran ini dilampiri Pedoman Penerapan Manajemen Risiko dalam
12
Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan teknologi informasi. 2.4.1. Pedoman Penerapan Manajemen Risiko Teknologi Informasi oleh Bank Umum.
dalam
Penggunaan
Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas operasional teknologi informasi, jaringan komunikasi, pengamanan informasi, bussiness continuity plan, end user computing, electronic banking, audit intern teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi. Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi, proses manajemen risiko dan pengendalian intern dan audit intern. Pada pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern.
13
Penelitian audit ini menggunakan prosedur pengamanan informasi dan proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti pada Tabel 2.1. Tabel 2.1 Prosedur Pengamanan Informasi PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset 5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia 5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan 5.3.3.4 Prosedur Pengamanan logic 5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7. Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya dan kedua setelah mendapat Nilai Risiko Akhir. Terdapat tiga prosedur yang digunakan dalam audit. Prosedur Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala. Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang penanganan insiden yang terjadi, penetapan prosedur penanganan insiden,
14
pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi kelemahan sistem.
2.5 ISO 27002 ISO/IEC 27002 merupakan dokumen standar keamanan informasi atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Dalam penelitian ini menggunakan ISO 27002 tahun 2013. ISO 27002:2013 merupakan pembaharuan dari ISO 27002 tahun 2005. Ruang lingkup ISO 27002:2013 yaitu standar internasional untuk memberi petunjuk standar keamanan informasi organisasi dan manajemen keamanan informasi meliputi seleksi, implementasi dan risiko lingkungan keamanan informasi (ISO/IEC 27002, 2013). ISO 27002:2013 terdiri dari 14 klausul kontrol keamanan di dalamnya terdapati 35 kategori keamanan utama dan 114 kontrol. Masing-masing klausul kontrol keamanan memiliki satu atau lebih kategori keamanan utama. Standard internasional ini disiapkan untuk memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan perbaikan yang terus menerus pada sistem manajemen keamanan informasi. Pengadopsian sistem manajemen keamanan informasi merupakan sebuah keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional
15
yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu. Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol Keamanan dan Kategori Keamanan Utama dari ISO 27002 tahun 2013 dapat dilihat pada Tabel 2.2.
Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013 Klausul Kontrol Keamanan
Kategori Keamanan Utama
5. Kebijakan Keamanan Informasi
5.1
6. Keamanan Informasi Organisasi
6.1 6.2 7.1 7.2 7.3 8.1 8.2 8.3 9.1
7. Sumber Daya Manusia
8. Aset
9. Kontrol Akses
9.2 9.3
Manajemen tujuan dari keamanan informasi Organisasi internal Perangkat mobile dan teleworking Sebelum menjadi pegawai. Selama menjadi pegawai. Penghentian dan perubahan pegawai. Tanggung jawab untuk aset. Klasifikasi informasi. Penanganan media. Akses kontrol untuk persyaratan bisnis. Manajemen akses pengguna. Tanggung jawab pengguna. Kontrol akses sistem dan aplikasi
16
Tabel 2.2. Susunan Kontrol Keamanan dan 27002:2013 (Lanjutan) Klausul Kontrol Keamanan
Kategori Keamananan Utama ISO Kategori Keamanan Utama
10. Cryptografi
10.1
Kontrol Kriptografi.
12. Keamanan Operasi
12.1
Tanggung jawab dan prosedur operasional. Perlindungan dari malware Back up Logging dan monitoring Pengendalian operasional perangkat lunak. Manajemen kerentanan teknis Konsiderasi sistem informasi. Manajemen jaringan keamanan Pengiriman informasi Persyaratan keamanan sistem informasi Keamanan dalam pengembangan dan proses dukungan. Keamanan informasi hubungan distributor. Manajemen pelayanan distributor. Pengelolaan insiden keamanan informasi dn perbaikan Kelanjutan informasi Ketimpangan Kepatuhan dengan hukum dan kontrak Pengulangan informasi
12.2 12.3 12.4 12.5
13. Komunikasi 14. Akusisi perawatan
sistem,
pengembangan
dan
12.6 12.7 13.1 13.2 14.1 14.2
15. hubungan dengan distributor
15.1
16. manajemen insiden keamanan informasi
15.2 16.1
17 aspek keamanan informasi manajemen kelangsungan bisnis. 18. Compliance
17.1 17.2 18.1 18.2
2.6 Manajemen Risiko Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi stakeholder, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para stakeholder tersebut (Tampubolon, 2005). Dalam bidang manajemen dan penyusunan strategi, risiko didefinisikan sebagai sebuah rentang (continuum) yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak
17
tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman maupun peluang tersebut. Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Risiko
operasional
dapat
timbul
disebabkan
antara
lain
oleh
ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan, testing, standar internal audit dan penggunaan jasa pihak lain dalam penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis untuk mencapat tujuan tersebut.
18
2.7 Penilaian Risiko Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras, jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan) dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel 2.3. Tabel 2.3 Risk Register Ase t
Desk ripsi Risik o
Analisa Kerawa nan
1
2
3
Inheren Kece Da Kecen nder mp derung unga ak an n 4 5 6
Kontrol Yang ada
Kecen derun gan
7
8
Residual Dam Nilai pak risiko Akhi r 9 10
Nilai Risiko dihara pkan 11
Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi risiko, analisa kerawanan, inheren (kecenderungan, dampak dan nilai risiko dasar), kontrol yang ada, residual (kecenderungan, dampak dan nilai risiko akhir) dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi.
19
Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal) aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4. Tabel 2.4 Pedoman Penilaian Kritikal Aset Aspek Confidentia lity
Analisa Sensitivitas Berapa besar kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi / dapat diakses oleh siapa saja?
Integrity
Berapa besar dampak/kerugia n terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan?
Availability
Berapa besar dampak/kerugia n yang ditimbulkan apabila terjadi ketidaktersediaa n suatu aset?
High Jika kerugian yang ditimbulkan sangat signifikan karena informasi yang bocor sangat sensitif atau hanya bisa diakses oleh personil tertentu yang telah diberi otorisasi. Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan. Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis.
Kriteria Penilaian Medium Jika kerugian yang ditimbulkan tidak signifikan karena informasi tidak sensitif atau akses informasi oleh berbagai pihak di organisasi.
Low Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja.
Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan.
Jika dampak yang ditimbulkan sangat kecil dan tidak mengganggu proses bisnis.
Jika dampak yang ditimbulkan tidak signifikan karena aset dapat digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis.
Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti.
20
Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada Tabel 2.5. Tabel 2.5 Kriteria Pengukuran Kecenderungan Nilai 5. 4. 3. 2. 1.
Potensi Kejadian Potensi terjadi tinggi dalam jangka pendek Potensi terjadi tinggi dalam jangka panjang Potensi terjadi sedang Potensi terjadi kecil Kemungkinan terjadi kecil
Frekuensi Kejadian Sangat sering terjadi Lebih sering terjadi Cukup sering terjadi Jarang terjadi Hampir tidak pernah terjadi
Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6. Tabel 2.6 Klasifikasi Dampak Nilai 5
Potensi gangguan terhadap proses bisnis Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.
Potensi Penurunan Reputasi Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah / stakeholder utama dan masyarakat.
21
Tabel 2.6 Klasifikasi Dampak (Lanjutan) Nilai 4
3
2
1
Potensi gangguan terhadap proses bisnis Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih. Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya. Tidak menyebabkan gangguan terhadap operasional proses bisnis.
Potensi Penurunan Reputasi Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu.
Kerusakan reputasi hanya pada unit tersebut.
Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu.
Tidak berpengaruh pada reputasi.
Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak berdasarkan kesepakatan dengan auditee dan penilaian auditor. pengukuran risiko seperti pada Tabel 2.7.
Kecenderungan n
Tabel 2.7 Matrik Pengukuran Risiko
5 4 3 2 1
Medium Medium High High Low Medium High High Low Low Medium High Low Low Medium Medium Low Low Medium Medium 1 2 3 4 Dampak
High High High High High 5
Matrik
22
Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko dasar. Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 2.8. Tabel 2.8 Rincian Penilaian Risk Register No
Aset
Deskripsi Risiko
Analisa Kerawanan
Residu 1 Kecender Dam ungan pak
Pernyataan
Residu 2 Kecender Dam ungan pak
Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa kerawanan. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi
23
kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran kecenderungan seperti pada Tabel 2.5 Kolom residu dampak berisi tentang hasil penilaian dampak setelah pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi ratarata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register. Hasil dari kolom residu satu dari rincian penilaian risk register tentang kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran risiko seperti pada Tabel 2.7. Setelah terisi semua penilaian risiko dilakukan dengan membandingkan hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai.
