• Tidak ada hasil yang ditemukan

IT Risk and Control

Dalam dokumen Resume Audit Internal (Halaman 40-44)

IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia tidak menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang dengan gampang diposting, risiko ini harus diantisipasi.

Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:  Increase revenue

 Meningkatkan kepuasan dan loyalitas pelanggan  Merekrut talenta terbaik

 Meningkatkan pengembangan dan inovasi produk  Meningkatkan brand awareness dan persepsi pelanggan Pada saat yang sama sosial media mengandung risiko, yaitu:

 Kurangnya corporate governance seputar penggunaan socmed  Kurangnya kesadaran kebutuhan regulasi

 Gagal melakukan pengukuran socmed

 Gagal melakukan kebijakan socmed yang efektif

Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko ketidakamanan informasi.

Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT membantu organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi, dan memfasilitasi pengambilan keputusan.

Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga punya teknologi e-commerce.

IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang mengancam, IT governance organisasinya, risk management dan control prosesnya.

Komponen utama Sistem Informasi Modern:

1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation, terminal, I/O device.

2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat berbagi informasi/beban kerja. Tipe-tipenya antara lain:

a. Client-server: menghubungkan satu/lebih komputer dengan server b. LAN: jaringan kecil dalam gedung

c. WAN: LAN yang saling terhubung (national, global) d. Intranet: jaringan privat organisasi

e. Extranet: dapat diakses oleh pihak ketiga terpilih

f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi dengan trading partners

g. Internet: jaring internet besar global

h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan

3. Computer Software: termasuk OS, utility software, database management system (DBMS) software, aplikasi dan firewall.

4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung dan disimpan agar dapat diretrieve dengan mudah.

5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan data serta mengubahnya menjadi informasi yang berguna.

6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database administrator, system developer, data processing personel dan end user.

Peluang dan risiko IT

Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan memanage dengan efektif.

Peluang yang ditimbulkan IT:

1. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam satu database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi antar fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror, pengambilan keputusan lebih cepat.

2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror. EDI harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.

Risiko IT:

Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid. Beberapa tipe IT risk:

1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.

2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang ditinggalkan/dilepas.

3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan keputusan

4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan menginterupsi bisnis secara temporari atau permanen dan merusak data.

5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan penghancuran data.

6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga informasi menjadi tidak reliable.

7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis, personal data individu, dapat hancurkan bisnis ata dituntut hukum

8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated information. IT Governance:

IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan perusahaan. Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi menentukan IT governance. IT governance terdiri dari kepemimpinan, struktur dan proses pengawasan yang meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan organisasi.

Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk 1) mengidentifikasi dan mitigasi risiko yang mengancam organisasi, 2) identifikasi dan memanfaatkan peluang yang membawa kesuksesan organisasi.

IT risk management berdasarkan COSO ERM:

1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance. 2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT.

Strategic operation dari IT managemen harus selaras dengan strategic managemen perusahaan keseluruhan.

3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus diidentifikasi.

4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan keterjadiannya.

5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang teridentifikasi.

6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain secara memadai dan dioperasikan efektif.

7. Information and communication: informasi penting terkait identifikasi, respon, dan assess harus dikomunikasikan dengan baik.

8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT, termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan seiring perubahan-perubahan yang terjadi.

CHAPTER 8

RISK OF FRAUD AND ILLEGAL ACTS

Dalam dokumen Resume Audit Internal (Halaman 40-44)
Unduh sekarang "Resume Audit Internal"

Garis besar

Dokumen terkait