Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

7183T-TP3-R0 YUDI FIRMAN SANTOSA NIM 1412406111

advertisement 
PERSONAL ASSIGNMENT 3
(7183T-TP3-R0)
Due Date : 10 August 2014, 23:59:00
“KEAMANAN DALAM SISTEM ELEKTRONIK “MONEY BANK’”
MATA KULIAH :
“IT RISK MANAGEMENT AND DISASTER RECOVERY”
DOSEN : DR. FORD LUMBAN GAOL, S.Si, M.Kom
OLEH :
YUDI FIRMAN SANTOSA
NIM. 1412406111
PROGRAM STUDI MAGISTER TEKNIK INFORMATIKA
2014
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 1 of 22
Personal Assignment 3
Money Bank adalah sebuah institusi keuangan yang berbasis pada perbankan dengan
cabang tersebar di 20 negara. Kegiatan transaksi Money Bank adalah kegiatan via teller,
ATM, Internet banking, dan mobile banking. Selama ini perusahaan banyak mendapatkan
serangan dari para penyusup dengan berbagai maksud. Selain itu tantangan terbesar
adalah bagaimana mengamankan anjungan tunai (ATM) dari para pencuri elektronis.
Anda diminta oleh manajemen perusahaan untuk membantu dalam menyelesaikan
masalah keamanan dalam sistem elektronik Bank tersebut.
Pertanyaan:
1.
Jelaskan risk assessment dari Money Bank dengan menggunakan kerangka dibawah
ini http://www.ucop.edu/riskmgt/erm/documents/as_stdrds4360_2004.pdf (Bahan
TP3 (1))
2. Dalam pengendalian risiko, ada aspek keuangan yang harus dipertimbangkan secara
cermat. Salah satu aspek yang paling penting untuk hal ini adalah IT Risk dari sisi
auditing.
Jelaskan dengan rinci Implementing the IT-Related Aspects of Risk-Based Auditing
Standards pada www.hawcpa.com/pdf/Risk_Based.pdf (Bahan TP3 (2))
3. Untuk kasus Money Bank berikan ulasan dan kupasan IT Risk-nya konteks Auditng.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 2 of 22
I.
II.
EstablishIII.
the Context
I.
The strategic
IV.
context
II.
The organisational
V.
context
III.
Risk VI.
management
context
IV.
Develop
VII. criteria
V.
Decide the structure
Assess the Risks
 Determine existing
controls
 Determine likelihood
 Determine
consequence
 Estimate level of risk
 Prioritise risks for
further action
Accept
risks
VIII.
Monitor and Review
Communicate and Consult
Identify the Risks
 What can happen?
 How it can happen?
YES
IX.
X.
XI.
NO
Treat XII.
the Risks
 Identify & evaluate
treatment options
 Prepare and implement
treatment plans
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 3 of 22
Jawaban :
1.
Dari kerangka di atas :
Komunikasi dan konsultasi (Communicate and consult) merupakan suatu hal
penting yang harus dipertimbangkan dari setiap langkah dalam proses
manajemen risiko. Keterlibatan yang dapat berupa diskusi atau dialog dengan
stakeholders dengan memfokuskan kepada pengambilan keputusan yang tepat
dapat
dirumuskan
dalam
melakkan
tindakan
selanjutnya.
Sehingga
komunikasi dan konsultasi ini harus selalu dibangun dalam mencapai suatu
proses manajemen risiko.
Mengembangkan rencana komuniksai bagi stakeholders internal dan
eksternal pada tahap awal proses merupakan hal yang penting. Rencana ini
harus dapat menangani masalah-masalah yang berkatian dengan risiko itu
sendiri dan proses untuk mengelolanya.
Komunikasi internal dan eksternal yang efektif penting untuk memastikan
bahwa mereka yang bertanggung jawab untuk melaksanakan manangemen
risiko, dan mereka yang memiliki kepentingan, memahami dasar yang
membuat keputusan dan mengapa tindakan tertentu itu diperlukan.
Terdapat kecenderungan bagi stakeholder untuk membuat suatu penilaian
risiko berdasarkan persepsi mereka. Hal ini dapat memberikan berbagai
bentuk variasi karena perbedaan dalam nilai-nilai, kebutuhan, asumsi, konsep
dan kekhawatiran yang berkaitan dengan risiko atau isu yang didiskusikan.
Terhadap pandangan yang memiliki dampak yang signifikan terhadap
keputusan yang dibuat, pentingnya risiko untuk diidentifikasi dan dicatat
kemudian diintegrasikan ke dalam proses pengambilan keputusan.
Pendekatan yang dialukan Tim konsultatif berguna untuk membantu
menentukan konteks yang tepat, untuk membantu memastikan risiko dapat
diidentifikasi dengan efektif, untuk membawa berbagai bidang keahlian
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 4 of 22
bersama-sama dalam menganalisis risiko, untuk memastikan pandangan yang
berbeda secara tepat dipertimbangkan dalam risiko mengevaluasi dan untuk
manajemen perubahan yang tepat selama perlakuan resiko. Keterlibatan ini
juga memungkinkan 'kepemilikan' risiko oleh manajer dan keterlibatan
pemangku kepentingan. Sehingga dengan demikian memungkinkan adanya
saling menghargai manfaat dari dan secara bersama dapat mengontrol,
mendukung kebutuhan yang diperlukan serta mendukung rencana perbaikan
jika terjadi sesuatu dikemudian hari.
Rekaman komunikasi dan konsultasi akan tergantung pada faktor-faktor
seperti skala dan sensitivitas aktivitas.
Establish the context
Establish the context didefinisikan sebagai parameter dasar di mana risiko
harus dikelola dan menetapkan ruang lingkup untuk proses manajemen risiko.
Konteksnya termasuk dalam lingkungan eksternal maupun lingkungan
internal organisasi serta tujuan dari kegiatan manajemen risiko. Ruang
lingkupnya juga termasuk mempertimbangkan antarmuka antara eksternal
dan lingkungan internal.
Hal ini penting untuk memastikan bahwa tujuan yang telah ditetapkan untuk
proses manajemen risiko memperhitungkan lingkungan organisasi dan
eksternal.
a. Establish the external context
Langkah ini mendefinisikan lingkungan eksternal di mana organisasi
beroperasi.
Pada langkah ini juga didefinisikan hubungan antara organisasi dan
lingkungan eksternalnya. Diantaranya :
1.
bisnis, sosial, budaya, peraturan, kompetitif, keuangan dan lingkungan
politik.
2.
Analisis SWAT yaitu kekuatan organisasi, kelemahan, peluang dan
ancaman
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 5 of 22
3.
Pemangku kepentingan eksternal
4.
Kunci pengendali bisnis
Menjadi sesuatu yang penting untuk memperhitungkan persepsi dan
nilai-nilai stakeholders (pemangku kepentingan) eksternal dan
menetapkan kebijakan untuk komunikasi dengan pihak tersebut.
Membangun konteks eksternal penting untuk memastikan bahwa para
pemangku
kepentingan
dan
tujuannya
berdasarkan
pada
pengembangan kriteria manajemen risiko dan ancaman eksternal yang
dihasilkan dan peluang yang telah diperhitungkan.
b. Establish the intermal context
Sebelum aktivitas manajemen risiko dijalankan, disetiap tahapan penting
untuk diketahui mengenai organisasinya. Hal-hal pokok yang perlu
diketahui, termasuk diantaranya :
1.
Budaya
2.
Pemangkau kepentingan internal
3.
Struktur
4.
Kemampuan sumber daya; seperti sumber daya manusianya, sistem,
proses dan modal
5.
Tujuan dan sasaran, serta strategi untuk mencapainya
Establish the internal context menjadi penting disebabkan :
1.
Manajemen risiko ditempatkan kedalam tujuan dan sasaran dari
organisasi
2.
Risiko utama bagi kebanyakan organisasi adalah bahwa mereka gagal
untuk mencapai strateginya dalam bisnis atau proyek tujuannya, atau
oleh
pemangku
kepentingan
telah
dianggap
gagal
dalam
pencapaiannya
3.
Kebijakan, tujuan dan kepentingan organisasi membantu dalam
menentukan kebijakan risiko organisasi.
4.
Tujuan
dan
kriteria
proyek
atau
kegiatan
tertentu
harus
dipertimbangkan secara jelas yaitu tujuan organisasi secara keseluruh.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 6 of 22
c. Establish risk management
Pada bagian ini dibahas mengenai tujuan, sasaran, strategi, ruang lingkup
dan parameter aktivitas, atau bagian dari organisasi pada proses
manajemen risiko yang diterapkan.
Proses
dilakukan
dengan
mempertimbangkan
kebutuhan
untuk
menyeimbangkan biaya, manfaat dan peluang. Temasuk sumber daya yang
diperlukan dan catatan untuk disimpan juga harus ditentukan.
Pengaturan ruang lingkup dan batas-batas penerapan manajemen risiko
meliputi:
1. Mendefinisikan
organisasi,
proses,
proyek
atau
kegiatan
dan
membangun tujuan dan sasaran
2. Menentukan sifat keputusan yang harus dibuat
3. Mendefinisikan sejauh mana kegiatan atau fungsi proyek dari segi
waktu dan lokasi
4. Mengidentifikasi setiap lingkup atau bagian yang dibutuhkan, tujuan
dan sumber daya yang diperlukan
5. Mendefinisikan kedalaman dan luasnya kegiatan manajemen risiko
yang akan dilakukan, termasuk inklusi dan pengecualian tertentu.
Isu-isu spesifik yang mungkin juga akan dibahas meliputi:
1. Peran dan tanggung jawab dari berbagai bagian organisasi yang
berpartisipasi dalam proses manajemen risiko
2. Hubungan antara proyek atau kegiatan dan proyek-proyek lain atau
bagian dari organisasi.
Identify the Risk
Dalam tahap ini dilakukan identifikasi terhadap risiko-risiko yang dapat
dikendalikan. Mengidentifikasi secara komprehensif menggunakan proses
sistematika yang terstruktur merupakan hal yang penting dan bagian yang
kritis. Hal ini disebabkan karena risiko yang tidak teridentifikasi pada tahap ini
dapat dikeluarkan untuk dianalisis lebih lanjut. Identifikasi harus meliputi
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 7 of 22
risiko keduanya, sehingga apakah dapat berada dikendali organisasi atapun
tidak berada di bawah kendali organisasi.
What can happen ?
Tujuannya adalah untuk menghasilkan daftar yang lengkap mengenai sumber
risiko dan peristiwa yang mungkin berdampak pada prestasi dari setiap tujuan
yang diidentifikasi dalam konteks. Kegiatan ini dapat mencegah, menurunkan,
menunda atau meningkatkan pencapaian tujuan tersebut. Sehinga secara lebih
rinci dapat diidentifikasi kemungkinan apa saja yang bisa terjadi.
How it can happen ?
Setelah mengidentifikasi apa yang mungkin terjadi, maka perlu untuk
mempertimbangkan kemungkinan penyebab dan skenario apa yang akan
dijalankan.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 8 of 22
Assess the Risks
Pada tahapan ini dilakukan identifikasi proses, perangkat yang ada atau
tindakan
yang
dilakukan
untuk
meminimalkan
risiko
negatif
atau
meningkatkan risiko positif dan menilai kekuatan dan kelemahan yang ada.
Pengendalian dimungkinkan untuk dilakukan sebagai hasil dari kegiatan
perlakuan resiko sebelumnya.
Besarnya konsekuensi yang dapat ditanggung dari suatu peristiwa yang terjadi,
serta kemungkinan kejadian yang terkait merupakan dua hal yang saling
terkait. Pada sisi kemungkinan kejadian akan mengakibatkan beberapa
konsekuensi.
Kejadian yang mungkin terjadi dan memiliki beberapa konsekuensi dalam
mempengaruhi tujuan menghasilkan tingkat risiko.
Konsekuensi dan kemungkinan dapat diperkirakan dengan menggunakan
analisis statistik dan perhitungan. Jika tidak ditemukan data atau catatn masa
lalu yang dapat dipercaya atau relevan tersedia, estimasi subjektif dapat
dilakukan.
Sumber infomasi yang paling relevan dan teknik yang dapat digunakan ketika
menganalisis konsekuensi dan kemungkinan risiko, dapat mencakup hal-hal
berikut :
1. catatan masa lalu
2. praktek dan pengalaman yang relevan
3. literatur yang diterbitkan relevan
4. penelitian
5. hasil konsultasi publik
6. percobaan dan prototipe
7. ekonomi, teknik atau model lainnya
8. spesialis dan penilaian ahli
Teknik mendapatkannya meliputi:
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 9 of 22
1. Wawancara terstruktur dengan para ahli untuk kepentingan daerah
2. penggunaan kelompok ahli di beberapa disiplin ilmu
3. evaluasi individu menggunakan kuesioner
4. Pengguanan model dan simulasi
Memperkirakan tingkatan risiko dapat dilakukan dengan 3 (tiga) cara
mengalisanya, yaitu :
1.
Kualitatif
Analisis
kualitatif menggunakan kata-kata
untuk
menggambarkan
besarnya potensi konsekuensi dan kemungkinan yang akan terjadi.
Skala ini dapat disesuaikan dengan keadaan, dan deskripsi yang berbeda
dapat digunakan untuk risiko yang berbeda.
Analisa kualitatif dapat digunakan:
1.
sebagai kegiatan pemeriksaan awal untuk mengidentifikasi risiko yang
membutuhkan analisis yang lebih rinci
2.
Jenis analisis yang tepat untuk pengambilan keputusan
3.
Data numerik atau sumber daya yang memadai untuk analisis
kuantitatif.
analisis kualitatif harus mendapatkan informasi faktual dan data harus
tersedia agar tujuan analisa dapat tepat terukur dengan baik.
2.
Semi-kuantitatif
Dalam analisis semi-kualitatif, skala kualitatif seperti yang dijelaskan di
atas diberikan nilai. tujuannya adalah untuk menghasilkan skala peringkat
lebih luas daripada yang biasa dipergunakan dicapai dalam analisa
kualitatif.
Namun, karena nilai yang dialokasikan untuk setiap deskripsi mungkin
tidak menanggung hubungan yang akurat dengan besarnya sebenarnya
konsekuensi atau kemungkinan, nomor hanya boleh dikombinasikan
dengan menggunakan formula yang mengakui keterbatasan jenis skala
yang digunakan.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 10 of
22
Ketelitian harus dilakukan dengan menggunakan analisis yang digunakan
semi-kuantitatif karena nomor yang dipilih tidak dapat benar-benar
mencerminkan relativitas dan ini dapat menyebabkan tidak konsisten,
anomali atau tidak berhasil mendapatkan data yang tepat. Semi-kuantitatif
analisis yang digunakan mungkin tidak selalu benar karena perbedaan
antara risiko, khususnya ketika salah satu konsekuensi atau kemungkinan
yang ekstrim.
3.
Kuantitatif
Analisis kuantitatif menggunakan nilai numerik (bukan skala deskriptif
yang digunakan dalam analisis kualitatif dan semi-kuantitatif) baik untuk
konsekuensi dan kemungkinan menggunakan data dari berbagai sumber.
Kualitas analisis tergantung kepada keakuratan dan kelengkapan dari nilainilai numerik dan validitas model yang digunakan.
konsekuensi yang ada dapat menentukan pemodelan hasil dari suatu
peristiwa atau serangkaian peristiwa, atau dengan ekstrapolasi dari studi
eksperimental atau data masa lalu. Konsekuensi dapat dinyatakan dalam
hal kriteria dampak moneter, teknis atau manusia. Dalam beberapa kasus,
lebih dari satu nilai numerik diperlukan untuk menentukan konsekuensi
untuk waktu yang berbeda, tempat, kelompok dan situasi.
Cara
menyajikan
konsekuensi
dan
kemungkinan
mengkombinasikan untuk memberikan tingkat
adalah
dengan
risiko, sehingga akan
bervariasi sesuai dengan jenis risiko dan tujuan terhadap penilaian risiko
yang akan digunakan.
Ketidakpastian dan variabilitas dari konsekuensi dan kemungkinan harus
dipertimbangkan dalam analisis dan dikomunikasikan secara efektif.
Karena beberapa perkiraan yang dibuat dalam analisis risiko yang tidak
tepat, analisis sensitivitas harus dilakukan untuk menguji pengaruh
ketidakpastian asumsi dan data. Analisis sensitivitas juga
cara untuk
menguji kelayakan dan efektivitas kontrol potensial dan pilihan
memperlakukan suatu risiko.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 11 of
22
Tujuan evaluasi risiko adalah untuk membuat keputusan berdasarkan hasil
analisis risiko, tentang resiko mana yang memerlukan perbaikan dan
prioritas perbaikan.
Evaluasi Risiko melibatkan membandingkan tingkat risiko
yang
ditemukan selama proses analisis dengan kriteria risiko dibuat bila masuk
dalam konteksnya.
Tujuan organisasi dan sejauh mana peluang yang dapat mengakibatkan
harus dipertimbangkan. Dimana pilihan dibuat antara opsi, potensi
kerugian yang lebih tinggi dapat dikaitkan dengan potensi keuntungan
yang lebih tinggi dan sesuai pilihan akan tergantung pada konteks
organisasi.
Keputusan harus mempertimbangkan konteks yang lebih luas dari risiko
dan mencakup pertimbangan tolerabilitas yang risikonya ditanggung oleh
pihak selain organisasi yang menguntungkan dari itu. Dalam beberapa
situasi, evaluasi risiko dapat menyebabkan Keputusan untuk melakukan
analisis lebih lanjut.
Treat the Risk
Dalam kerangka manajemen risiko, memperlakukan risiko yang dapat diterima,
dicatat dan tetap dimonitor. Sedangkan terhadap risiko yang tidak dapat
dibiarkan untuk diterima begitu saja, maka akan dilakukan tindakan dalam
mengurangi risiko itu.
Memperlakukan risiko melibatkan mengidentifikasi berbagai pilihan untuk
mengobati risiko, menilai pilihan ini dan persiapan dan pelaksanaan rencana
mengurangi dampak negatifnya terhadap organisasi.
Mengidentifikasi pilihan untuk mengurangi risiko dengan hasil positif
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 12 of
22
Pilihan untuk membayar risiko memiliki hasil positif (peluang) yang belum
tentu tepat dalam segala situasi, termasuk diantaranya dicontohkan :
1. Secara aktif mencari kesempatan dengan memutuskan untuk memulai atau
melanjutkan kegiatan yang memiliki kemungkinan untuk membuat atau
mempertahankannya (di mana dengan praktis).
Mengejar peluang yang pantas tanpa pertimbangan
hasil negatif dapat
membahayakan lainnya Kesempatan serta mengakibatkan kerugian yang
tidak perlu.
2. Mengubah kemungkinan kesempatan, untuk meningkatkan kemungkinan
hasil yang menguntungkan.
3. Mengubah konsekuensi, untuk meningkatkan sejauh mana Keuntungan.
4. Berbagi kesempatan.
Hal ini melibatkan pihak lain di beberapa bagian dari hasil positif risiko,
biasanya dengan menyediakan kemampuan tambahan atau sumber daya
yang meningkatkan kemungkinan kesempatan yang timbul atau tingkat
keuntungan jika itu terjadi. Mekanismenya adalah termasuk penggunaan
kontrak dan struktur organisasi seperti kemitraan, usaha patungan, royalti
dan pengaturan lahan yang sama. Berbagi hal positif terhadap hasil biasanya
melibatkan berbagi biaya yang timbul dalam mengambilnya.
Berbagi pengaturan sering memperkenalkan risiko baru, dalam arti bahwa
pihak lain mungkin tidak memberikan kemampuan yang diinginkan atau
sumber daya tidak dapat efektif bekerja.
5. Mempertahankan kesempatan yang ada (tersisa).
Setelah peluang telah diubah atau berbagi, mungkin ada peluang yang
tersisa yang masih dapat dipertahankan tanpa tindakan segera spesifik yang
diperlukan.
Mengidentifikasi pilihan untuk mengurangi risiko dengan hasil negatif
Pilihan untuk mengurangi risiko yang memiliki hasil negatif sehingga
didapatkan hasil yang positif, meskipun interpretasi dan implikasi yang muncul
jelas berbeda.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 13 of
22
Pilihannya dapat dicontohkan seperti :
1.
Menghindari risiko dengan memutuskan untuk tidak memulai atau
melanjutkan kegiatan tersebut. Dampak pilihan ini adalah menyebabkan
hilangnya peluang untuk mendapatkan keuntungan.
2.
Mengubah kemungkinan risiko, untuk mengurangi kemungkinan dari hasil
negatif.
3.
Mengubah konsekuensi, untuk mengurangi sejauh mana
kerugian. Ini
termasuk langkah-langkah pre-event seperti pengurangan persediaan atau
alat pelindung dan pasca-acara tanggapan tersebut sebagai rencana
kontinuitas.
4.
Berbagi risiko.
Hal ini melibatkan pihak lain untuk berbagi beberapa bagian dari risiko,
tentu saja sebaiknya dengan persetujuan bersama.
Mekanisme termasuk penggunaan kontrak, asuransi
pengaturan dan
struktur organisasi seperti kemitraan dan usaha patungan untuk
menyebarkan tanggung jawab dan kewajiban.
Umumnya ada beberapa biaya keuangan atau keuntungan terkait dengan
pembagian bagian dari risiko dengan yang lain organisasi, seperti
pembayaran premi asuransi.
Dimana risiko dibagi secara keseluruhan atau sebagian, organisasi
mentransfer risiko.
. 5. Mempertahankan risiko.
Setelah risiko telah diubah atau disebar, akan ada sisa risiko yang tetap
dipertahankan. Risiko juga dapat dipertahankan dari awal, misalnya ketika
ada kegagalan untuk mengidentifikasi atau kurang tepat dalam membagi
risiko, atau menangani risiko.
Dalam memilih keputusan pengambilan risiko, yang paling tepat adalah
melibatkan dan menyeimbangkan biaya pelaksanaan setiap pilihan
terhadap manfaat yang diperoleh. Secara umum, biaya pengelolaan risiko
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 14 of
22
perlu sepadan dengan manfaat yang diperoleh. Ketika membuat biaya yang
dihadapkan dengan manfaat, maka konteks penilaian harus diambil
berdarkan nilai manfaat yang paling besar untuk diperoleh perusahaan. Hal
ini penting untuk mempertimbangkan semua biaya langsung dan tidak
langsung dan manfaat baik berwujud atau tidak berwujud, dan diukur
dalam keuangan atau istilah lainnya.
Sejumlah opsi dapat dipertimbangkan dan diterapkan baik secara individu
atau dalam kombinasi. Analisis sensitivitas adalah salah satu cara untuk
menguji efektivitas yang berbeda.
Contohnya adalah penggunaan efektif kontrak dan perawatan risiko
tertentu yang didukung oleh asuransi yang sesuai dan pembiayaan risiko
lainnya.
Keputusan
harus
mempertimbangkan
kebutuhan
untuk
mempertimbangkan secara hati-hati terhadap risiko yang jarang namun
parah yang mungkin memerlukan tindakan penanganan resiko yang tidak
dibenarkan atas dasar ketat ekonomi.
Pilihan pengobatan Risiko harus mempertimbangkan nilai-nilai dan
persepsi para pemangku kepentingan dan cara yang paling tepat untuk
mengkomunikasikannya secara jelas.
Jika anggaran untuk perlakuan resiko dibatasi, maka harus diidentifikasi
urutan prioritas di mana risiko individu perawatan harus dilaksanakan. Hal
ini penting untuk membandingkan biaya penuh apabila tidak mengambil
tindakan terhadap penghematan anggaran.
Jika, setelah pengendalian risiko, ada risiko yang tersisa, keputusan harus
diambil apakah tetap untuk mempertahankan risiko ini atau mengulangi
risiko.
Prepare and implement treatment plan
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 15 of
22
Tujuan dari rencana perawatan adalah untuk mendokumentasikan
bagaimana memilih dari sekian pilihan yang tersedia untuk dilaksanakan.
Rencana pengendalian harus meliputi:
1. tindakan yang diusulkan;
2. kebutuhan sumber daya;
3. tanggung jawab;
4. waktu;
5. ukuran kinerja; dan
6. pelaporan dan pemantauan persyaratan.
Rencana pengendalian harus diintegrasikan dengan manajemen dan
proses anggaran organisasi.
Monitor and Review
Pembahasan pada proses yang berjalan sangat penting untuk memastikan
bahwa rencana pengelolaan tetap relevan. Faktor-faktor yang dapat
mempengaruhi kemungkinan dan konsekuensi dari hasil dapat berubah,
karena mungkin faktor-faktor yang mempengaruhi kesesuaian atau biaya
pilihan pengendalian. Oleh karena itu perlu mengulangi siklus manajemen
risiko secara teratur.
Kemajuan aktual terhadap rencana penanganan resiko memberikan ukuran
kinerja yang penting dan harus dimasukkan ke dalam organisasi
manajemen kinerja, pengukuran dan sistem pelaporan.
Pemantauan dan review juga melibatkan pelajaran belajar dari proses
manajemen risiko, dengan meninjau peristiwa, pengobatan rencana dan
hasil mereka.
2.
Penjelaasn implementasi IT risk dari sisi auditing sebagai berikut :
Teknologi informasi (TI) membutuhkan pertimbangan khusus pertimbangan
dalam aplikasi praktis audit berbasis risiko, Laporan pada Standar Auditing
(SAS) 104-111, dan Dewan Akuntansi Perusahaan Publik (PCAOB) Standar
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 16 of
22
Audit (AS) 5. Kedua SAS 104-111 dan AS5 menekankan perlu menetapkan
hubungan erat antara prosedur audit dan penilaian menyeluruh laporan
keuangan dan pernyataan tingkat risiko.
Standar audit berbasis risiko yang diadopsi oleh AICPA pada tahun 2006,
bersama dengan AS5 dirilis pada tahun 2007, menekankan top-down, berbasis
risiko pendekatan audit keuangan.
Beberapa manfaat yang didapat dari audit berbasis risiko:
1.
Prosedur penilaian risiko TI
Identifikasi dan pemahaman diperlukan untuk melihat peran bagaimana
TI mempengaruhi laporan keuangan dan tingkat risiko.
2
Dengan mendapatkan pemahaman tentang entitas kontrol yang ada untuk
engurangi risiko TI yang terkait, auditor mungkin dapat menggabungkan
tes TI kontrol ke dalam prosedur audit lebih lanjut dan dengan demikian
meningkatkan keseluruhan efisiensi prosedur audit mereka.
3.
Prosedur penilaian risiko TI akan meningkatkan pemahaman auditor
tentang bagaimana perangkat audit dibantu komputer dan tekniknya
dapat diterapkan untuk meningkatkan efisiensi prosedur audit substantif.
Prosedur penilaian risiko TI biasanya dapat dimanfaatkan untuk
memberikan rekomendasi yang berharga kepada manajemen.
Berikut alur diagram dalam melakukan proses audit berdasarkan IT Risk
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 17 of
22
(The CPA Jurnal, July 2010, page 68)
Planning Risk Assessment Procedures
Key wordnya adalah Need for an IT Specialist.
Karena audit berbasis risiko membutuhkan auditor untuk memahami entitas
yang
diaudit,
termasuk
kontrol
internal,
audit
Rencana
harus
mempertimbangkan bagaimana auditor akan mendapatkan pemahaman ini.
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 18 of
22
Understanding the IT Environment and Related Controls
Memerlukan pemahaman terhadap lingkungan kerja IT dan mengontrol yang
berkaitan dengan audit.
Assessing Risk of Material Misstatement
Penilaian terhadap risiko kesalahan dalam penyajian data
Determining Whether Further Audit Procedures Are Needed
Menentukan apakah diperlukannya proses audit untuk dilanjutkan
When Testing IT Controls Can Improve Audit Efficiency
Ketika pengujian IT control dapat meningkatkan efisiensi audit yang
dilakukan
Designing and Performing Further Audit Procedures
Merancang dan meningkatkan prosedur audit lebih lanjut
Evaluating Audit Findings, Audit Evidence, and Control Deficiencies
Mengevaluasi Temuan Audit, Bukti Audit, dan Kontrol Kekurangan
Importance of IT in Financial Reporting
Pentingnya IT dalam Pelaporan Keuangan.
Saat ini IT sangat berperan dalam melaporkan entitas di sektor keuangan,
auditor harus mengidentifikasi perubahan-perubahan kunci yang diperlukan
untuk menentukan metodologi audit mereka dan menyusun tim audit untuk
memastikan bahwa risiko IT yang terkait dilaksanakan sesuai dengan
metodologi yang ditentukan. Auditor mungkin juga menggunakan penerapan
risiko standar baru sebagai kesempatan untuk meningkatkan nilai yang
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 19 of
22
mereka berikan dengan membantu perusahaan mengidentifikasi kelemahan
kontrol dan dengan mengurangi jumlah prosedur substantif dibutuhkan.
Dalam berurusan dengan audit berbasis risiko, berikut adalah prioritas utama
seorang auditor:
1.
Kepatuhan terhadap audit standar berbasis risiko
2.
Peluang untuk efisiensi audit,
3.
Kesempatan untuk kualitas audit yang lebih tinggi (lebih efektif, layanan
klien yang lebih baik).
3.
Mengidentifikasi dengan lebih baik risiko TI terkait bahan prosedur audit
salah penyajian data saji dan merancang untuk mengatasi risiko-risiko
tertentu.
Dengan demikian, auditor memiliki peluang yang sangat besar untuk
melakukan pekerjaan dengan pencapaian kualitas yang lebih tinggi, lebih
efisien, dan lebih hemat biaya audit.
3.
Dalam konteks auditing pada kasus Money Bank, maka dikaitkan dengan IT
Risk, maka beberapa hal yang dapat dijadikan catatan penting untuk
mengendalikan risikonya :
1.
Planning IT Risk asessment procedures
Dalam langkah ini diperlukan dokumen-dokumen rencana yang telah
dilakukan sebelumnya dalam menerapkan prosedur pada proses terutama
yang berkaitan dengan kegiatan transaksi Money Bank, yaitu kegiatan
via teller, ATM, Internet banking, dan mobile banking.
2.
Gain understanding of the IT environment and related controls
Memperoleh pemahaman tentang lingkungan TI dan kontrol terkait, yaitu
dengan cara pengecekan dokumen, melihat diagram alur dan dokumen
kontrol.
3.
Risk Assessment
Melakukan penilaian terhadap risiko kesalahan penyajian material (data)
4.
Audit planning
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 20 of
22
Melakukan perubahan terhadap dokumen rencana.
Jika diperlukan FAP (further audit procedure) maka akan dilakukan,
audit program dan prosedur test. Kemudian melakukan prosedur audit
lebih lanjut dengan dokumen kertas kerja audit.
5.
Evaluate audit findings, audit evidence, and control deficience
Mengevaluasi hasil audit, bukti audit, dan kontrol terhadap kekurangan
Dalam kaitan penyerangan terhadap ancaman ATM, maka diperlukan
tindakan pengamanan yang lebih dari pada sebelumnya. Misalnya
melakukan kebijakan perubahan PIN nasabah secara periodik dan dengan
minimal sebanyak 6 digit (masih ada saat ini Bank yang menggunakan
hanya 4 digit kombinasi). Kemudian melakukan audit ruangan ATM
terhadap alat skimmer atau CCTV yang tersembunyi untuk kemudahan
orang dari tindakan yang tidak bertanggung jawab. Kedepan kekurangan
Magnetic Card dapat diupayakan diganti untuk menggunakan chips yang
lebih sulit untuk digandakan, tentu saja hal ini akan berdampak terhadap
investasi perbankan yang tidak murah.
Demikianlah beberapa hal yang dapat disampaikan dalam memberikan salah
satu solusi yang terjadi pada Money Bank, khususnya pada ATM.
TERIMA KASIH
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 21 of
22
Referensi :
Dan Schroeder and Tommie Singleton, (2010). Implementing the IT-Related
Aspects of Risk-Based Auditing Standards, The CPA Journal
Barry Hart, Proff. (2006). Australian/New Zealand Standard “Risk Management”.
SAI Global
IT Risk Management and Disaster Recovery
PERSONAL ASSIGNMENT 3
Page 22 of
22
Related documents
Strategi Pengujian Perangkat Lunak
Strategi Pengujian Perangkat Lunak
ABSTRAK Bencana letusan Gunung Sinabung 2010 telah
ABSTRAK Bencana letusan Gunung Sinabung 2010 telah
PEMBUATAN DISASTER RECOVERY PLAN (DRP)
PEMBUATAN DISASTER RECOVERY PLAN (DRP)
AK311-111062-790-03 892KB Oct 04 2011 04:09:05
AK311-111062-790-03 892KB Oct 04 2011 04:09:05
Perbandingan Antara Audit Keuangan dan
Perbandingan Antara Audit Keuangan dan
Pengurangan dampak bencana alam
Pengurangan dampak bencana alam
Merancang Web Database untuk Conten Server 2
Merancang Web Database untuk Conten Server 2
asuhan keperawatan komunitas pada bencana
asuhan keperawatan komunitas pada bencana
Jenis Bencana - Perencanaan Kota Berbasis Mitigasi Bencana
Jenis Bencana - Perencanaan Kota Berbasis Mitigasi Bencana
Nilai uang menurut Waktu
Nilai uang menurut Waktu
E-Learning SMKN 2 Kediri
E-Learning SMKN 2 Kediri
Download
advertisement