3.2.3 Penilaian Risiko
Pada tahap ini penulis membuat penilaian risiko. Dalam membuat penilaian risiko terdapat dua tahap yang harus dilakukan yaitu identifikasi aset
dan pengisian risk register awal.
A. Identifikasi Aset
Tahap identifikasi aset berguna untuk mengetahui tingkat kritikal aset. Sebelum melakukan identifikasi auditor mendata aset yang mendukung proses
bisnis untuk diaudit. Tingkat kritikal aset ditentukan dengan menggunakan kriteria penilaian yang terdiri dari aspek confidentiality kerahasiaan, integrity
keakuratan, dan availability ketersediaan. Aset diklasifikasikan sesuai dengan penentuan kritikal yang akan dicantumkan pada risk register. Pada tahap ini
menghasilkan dokumen identifikasi aset.
B. Pengisian Risk Register Awal
Setelah melakukan identifikasi aset tahap selanjutnya adalah melakukan pengisian risk register awal. Risk register awal adalah tabel penilaian sebelum
adanya pengendalian yang dilakukan oleh auditee. Tahap pertama adalah mengisi kolom satu kolom aset dengan hasil yang diperoleh dari tahap identifikasi aset.
Tahap selanjutnya adalah mengisi kolom dua kolom deskripsi risiko. Kolom deskripsi risiko berisi tentang potensi risiko yang terjadi pada aset akibat dari
kegagalan atau kelemahan keamanan informasi. Risiko pada setiap aset dapat lebih dari satu risiko. Tahap selanjutnya adalah mengisi kolom tiga kolom analisa
kerawanan. Kolom analisa kerawanan berisi faktor-faktor yang dapat menyebabkan terjadinya kegagalan atau kelemahan keamanan informasi.
Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Pada kolom inheren terdapat tiga
kolom yaitu kolom empat kolom kecenderungan, kolom lima kolom dampak dan kolom enam kolom nilai risiko dasar. Kolom kecenderungan dan kolom
dampak berisi nilai angka antara satu sampai lima sedangkan pada kolom nilai risiko dasar berisi tingkatan nilai perbandingan antara kecenderungan dan dampak
yaitu low, medium dan high. Tahap selanjutnya adalah mengisi kolom sebelas kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi nilai risiko
yang diharapkan oleh perusahaan yang berdasarkan nilai risiko dasar yang telah ditentukan sebelumnya. Kolom nilai risiko yang diharapkan berisi tingkatan nilai
yaitu low, medium dan high. Pada tahap ini menghasilkan risk register awal seperti terlihat pada Tabel 3.5.
Tabel 3.5 Contoh Risk Register Awal
Ase t
Desk ripsi
Risik o
Analisa Kerawa
nan Inheren
Residual Kece
nder unga
n Da
mp ak
Kecen derung
an Kontrol
Yang ada
Kecen derun
gan Dam
pak Nilai
risiko Akhi
r Nilai
Risiko dihara
pkan 1
2 3
4 5
6 7
8 9
10 11
3.2.4
Membuat Pertanyaan
Pada tahap ini auditor membuat pertanyaan untuk audit. Pertanyaan yang dibuat berdasarkan dari pernyataan yang telah dibuat dan berdasarkan analisis
kerawanan dari penilaian risiko. Pertanyaan yang dibuat berisi tentang apa yang akan ditanyakan auditor ke auditee saat dilakukan wawancara. Tahap ini
menghasilkan dokumen pertanyaan seperti terlihat pada Tabel 3.6.
Tabel 3.6 Contoh Pertanyaan Audit
8.1.1 Inventaris aset Pernyataan
Kategori