ANALISIS RISIKO AUDIT SISTEM INFORMASI

1.            Pengertian Risiko

Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya.

Menurut Peltier (2005: 325), “Risk is the probability that a particular critical infrastructure’s vulnerability is being exploited by a particular threat weighted by the impact of that exploitation.” Yang diterjemahkan “Risiko adalah kemungkinan adanya kelemehan infrastruktur yang kemudian dimanfaatkan oleh ancaman tertentu yang dipengaruhi eksploitasi tersebut.”

2.            Risiko Audit Sistem Informasi

1.      Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi, bisa juga karena : kompleksitas transaksi dan klas transaksi, atau kompleksitas perhitungan, aset yg mudah tercuri/digelapkan, ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee sendiri. Jadi dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan apa-apa. 

2.      Risiko Pengendalian – Atau ‘Control Risk’ (CR) adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee, tak tahu karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). Jadi CR tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau. 

3.      Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). Jadi DR ada dalam kendali auditor. Itu karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya).

3.            Tujuan Analisis Risiko

Tujuan analisis resiko ini untuk membantu auditor agar lebih fokus audit pada area yang faktor risikonya besar. Untuk itu auditor menyiapkan rencana kerja audit (audit program) mengenai batas, jadwal, dan prosedur untuk mencapai sasaran audit. Contoh :

1.      Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalah gunaan aset perusahaan

2.      Menjaga integritas data

Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian

3.      Efektifitas Sistem

Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user

4.      Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

4.            Dampak Resiko Audit Sistem Informasi

Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

1.      Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan organisasi.

2.      Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep” (atau pengembangan berlebihan) yang tanpa terkendali.

3.      Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisasi

5.            Elemen-elemen Resiko yang Dihadapi

a.       Ancaman terhadap , dan kerentanan , proses dan / atau aset

b.      Dampak terhadap aset berdasarkan ancaman dan kerentanan

c.       Probabilitas ancaman ( kombinasi dari likelihood sampel datanya dan frekuensi kejadian )

6.            Fokus Terhadap Resiko

Auditor harus menilai setiap kekuatan pengendalian internal, sehingga risiko pengendalian dapat diperkirakan. Pada tingkat di mana risiko itu berada dalam suatu kisaran yang dapat diterima terutama dengan masalah financial, auditor harus mempersiapkan program audit yang menunjukkan langkah pengujian kekuatan agar tidak terjadi kebangkrutan perusahaan.

Contoh resiko :

a.       kehancuran karena bencana alam

b.      kesalahan pada software dan tidak berfungsi peralatan

c.       sabotase penipuan terhadap aset perusahaan (pencurian)

7.            Bagaimana Menghadapi Resiko

a.       Mengurangi resiko

Apabila perusahan terdapat musibah yang mengakibatkan krisis financial atau krisis yang lainya yang mengakibatkan kebangkrutan peruhaan harus merubah sistem pengendalian agar tetap financial perusahaan stabil.

contoh :

·         pengurangan jumlah karyawan

·         pengurangan jumlah produksi yang dihasilkan pada jangka yang ditentukan sampai kondisi kembali stabil

b.      Memindahkan resiko

Untuk menghindari resiko yang tidak dapat diduga atau resiko yang datang secara tiba-tiba seperti bencana alam gempa bumi, kebakaran dll peruhaan harus bisa mengatasi agar tetap exis dan berjalan dengan cara mengurus asuransi kepada pihak lain dengan ketentuan kepada kedua pihak yaitu pihan perusahaan dan pihak asuransi.