1. Home
  2. Lainnya

Penilaian Risiko LANDASAN TEORI

2.7 Penilaian Risiko

Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak Direktorat Penelitian dan Pengaturan Perbankan, 2007. Penilaian risiko menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa data baik hardcopy maupun softcopy, perangkat lunak, perangkat keras, jaringan, perangkat pendukung misalnya sumber daya listrik, pendingin ruangan dan sumber daya manusia Direktorat Penelitian dan Pengaturan Perbankan, 2007. Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel

2.3.

Tabel 2.3 Risk Register Ase t Desk ripsi Risik o Analisa Kerawa nan Inheren Residual Kece nder unga n Da mp ak Kecen derung an Kontrol Yang ada Kecen derun gan Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan 1 2 3 4 5 6 7 8 9 10 11 Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi risiko, analisa kerawanan, inheren kecenderungan, dampak dan nilai risiko dasar, kontrol yang ada, residual kecenderungan, dampak dan nilai risiko akhir dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi. Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi mendata aset yang terkait informasi dan menentukan tingkat pentingnya kritikal aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat pentingnya kritikal aset untuk Bank menggunakan Tabel 2.4. Tabel 2.4 Pedoman Penilaian Kritikal Aset Aspek Analisa Sensitivitas Kriteria Penilaian High Medium Low Confidentia lity Berapa besar kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi dapat diakses oleh siapa saja? Jika kerugian yang ditimbulkan sangat signifikan karena informasi yang bocor sangat sensitif atau hanya bisa diakses oleh personil tertentu yang telah diberi otorisasi. Jika kerugian yang ditimbulkan tidak signifikan karena informasi tidak sensitif atau akses informasi oleh berbagai pihak di organisasi. Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja. Integrity Berapa besar dampakkerugia n terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan. Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan. Jika dampak yang ditimbulkan sangat kecil dan tidak mengganggu proses bisnis. Availa- bility Berapa besar dampakkerugia n yang ditimbulkan apabila terjadi ketidaktersediaa n suatu aset? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis. Jika dampak yang ditimbulkan tidak signifikan karena aset dapat digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis. Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti. Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada Tabel 2.5. Tabel 2.5 Kriteria Pengukuran Kecenderungan Nilai Potensi Kejadian Frekuensi Kejadian 5. Potensi terjadi tinggi dalam jangka pendek Sangat sering terjadi 4. Potensi terjadi tinggi dalam jangka panjang Lebih sering terjadi

3. Potensi terjadi sedang

Cukup sering terjadi

2. Potensi terjadi kecil

Jarang terjadi

1. Kemungkinan terjadi kecil

Hampir tidak pernah terjadi Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6. Tabel 2.6 Klasifikasi Dampak Nilai Potensi gangguan terhadap proses bisnis Potensi Penurunan Reputasi 5 Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai. Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah stakeholder utama dan masyarakat. Tabel 2.6 Klasifikasi Dampak Lanjutan Nilai Potensi gangguan terhadap proses bisnis Potensi Penurunan Reputasi 4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu. 3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih. Kerusakan reputasi hanya pada unit tersebut. 2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya. Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu. 1 Tidak menyebabkan gangguan terhadap operasional proses bisnis. Tidak berpengaruh pada reputasi. Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik pengukuran risiko seperti pada Tabel 2.7. Tabel 2.7 Matrik Pengukuran Risiko Ke ce nd erunga n n 5 Medium Medium High High High 4 Low Medium High High High 3 Low Low Medium High High 2 Low Low Medium Medium High 1 Low Low Medium Medium High 1 2 3 4 5 Dampak Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko dasar. Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 2.8. Tabel 2.8 Rincian Penilaian Risk Register No Aset Deskripsi Risiko Analisa Kerawanan Residu 1 Pernyataan Residu 2 Kecender ungan Dam pak Kecender ungan Dam pak Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa kerawanan. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran kecenderungan seperti pada Tabel 2.5 Kolom residu dampak berisi tentang hasil penilaian dampak setelah pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi rata- rata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register. Hasil dari kolom residu satu dari rincian penilaian risk register tentang kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah pada kolom residu Nilai Risiko Akhir NRA yaitu tingkatan risiko aset setelah ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran risiko seperti pada Tabel 2.7. Setelah terisi semua penilaian risiko dilakukan dengan membandingkan hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai. 24

BAB III METODE PENELITIAN

Pada Bab III akan dibahas tentang metode penelitian yang digunakan dalam penelitian ini. Metode penelitian yang digunakan mengaplikasikan antara langkah-langkah audit menurut Cannon 2006 yang disesuaikan dengan langkah- langkah penelitian tugas akhir, sehingga menghasilkan alur metode penelitian seperti terlihat pada Gambar 3.1. Gambar 3.1 Alur Metode Penelitian Tahap Pelaksanaan Audit Pengumpulan Bukti Pemeriksaan Data dan Bukti Analisa Hasil Pemeriksaan Tahap Perencanaan Audit Studi Literatur Identifikasi Proses Bisnis dan TI Identifikasi Ruang Lingkup dan Tujuan Persetujuan Engagement Letter oleh Perusahaan Tahap Persiapan Audit Pembuatan Audit Working Plan Membuat Pernyataan Membuat Pertanyaan Penilaian Risiko Tahap Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Melaporkan Laporan Audit

Dokumen yang terkait

Efektivitas Penyaluran Kredit Usaha Rakyat KUR) Pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Bangkatan Binjai

30 200 67

ANALISIS KINERJA KEUANGAN PADA PT. BANK RAKYAT INDONESIA SYARIAH (PERSERO), TBK Analisis Kinerja Keuangan Pada PT. Bank Rakyat Indonesia Syariah (Persero), TBK.

0 1 12

PENANGANAN KREDIT BERMASALAH PADA PT.BANK RAKYAT INDONESIA (PERSERO) TBK. UNIT TEUKU UMAR.

0 0 33

PROSEDUR PEMBERIAN KREDIT BRIGUNA PADA PT.BANK RAKYAT INDONESIA (PERSERO) TBK. UNIT SESETAN DENPASAR.

13 42 36

PELAKSANAAN PEMBERIAN KREDIT USAHA RAKYAT TANPA AGUNAN PADA PT. BANK RAKYAT INDONESIA ( Persero. Tbk ) UNIT DALUNG.

0 0 16

Mekanisme Pemberian Kupedes pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Ngringo.

0 0 17

Mekanisme pemberian kupedes pada pt. bank rakyat indonesia (persero) tbk. unit Ngringo COVER

0 0 17

PT Bank Rakyat Indonesia Persero Tbk dan

0 0 234

PT. BANK RAKYAT INDONESIA PERSERO Tbk

0 1 2

Audit Keamanan Informasi Pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro

0 1 6