IT GOVERNANCE dan RISK MANAGEMENT

PENGERTIAN IT GOVERNANCE:

IT governance diartikan sebagai struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.

IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.

Lebih jauh lagi IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan.

v                                                                                       ASPEK DAN CONTOHNYA 

• Penyelarasan Strategis (Strategic Alignment)

      Memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.

• Penyampaian Nilai (Value Delivery)

    Mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.

• Pengelolaan Sumber Daya (Resource Management)

      Berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup : aplikasi, informasi, infrastruktur dan Sumber Daya Manusia (SDM). Isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.

• Pengelolaan Resiko (Risk Management)

      Membutuhkan kepekaan akan resiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.

• Pengukuran Kinerja (Performance Measurement)

     Penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti Balanced Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.

v                                             LANGKAH – LANGKAH AUDITING IT GOVERNANCE 

     Audit Procedures

Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai berikut: 

a    a)    Construction

Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan pemilihan ruangan atau penempatan computer center  (yang lebih  baik ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang dengan baik agar tidak terjadi korsleting atau listrik putus  pada saat melakukan proses pada server .

b) Access

Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan CCTV yang berfungsi dengan baik.

c) Air Conditioning

Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error. 

d) Fire Suppression

 Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi dengan baik jika ada tanda-tanda terjadi kebakaran.

 e) Fault tolerance

Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan, apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan  baik pada server yang lainnya. Dan melakukan pengecekan pada alat UPS apakah baterai pada UPS masih dapat menyimpan energi listrik yang digunakan pada saat terjadi pemadaman listrik.

f) Asuransi

Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.

v               Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

SUMBER 

http://puespomon.blogspot.co.id/2010/07/pengertian-it-governance-normal-0-false.html

http://ldse-bussiness.blogspot.co.id/2013/04/part-11-it-governance-tata-kelola.html

http://www.academia.edu/5022403/AUDITING_IT_GOVERNANCE_CONTROLS_F017

COBIT

Pengertian COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Daftar Pustaka:

https://haendra.wordpress.com/2012/06/08/pengertian-cobit/

Tools Lain dalam Audit

Tools Lain Untuk Melakukan Audit TI (Teknologi Informasi)

     Audit adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.

Beberapa software yang dapat dijadikan tools dalam melakukan audit teknologi informasi, adalah :

1.     Nipper 

Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur.

2.     Picalo

Picalo adalah sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.

3.     Powertech Compliance Assessment

Powertech Compliance Assessment adalah automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

4.     Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.

5.     NMAP

NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan.

6.     ACL

ACL (Audit Command Language) adalah sebuah software CAAT (Computer Assisted Audit Techniques) untuk melakukan analisa terhadap data dari berbagai macam sumber. ACL for Windows (sering disebut ACL) yaitu sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.

7.     Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

8.     Metasploit

Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

Daftar Pustaka:

https://tiarawatimj.wordpress.com/2017/01/18/tools-lain-dalam-melakukan-audit/

AUDIT SISTEM INFORMASI

1. TABEL PERBANDINGAN +/- STANDAR AUDIT SI

2. KONSEP DASAR KONTROL

Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:

a. Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.

b. Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)

c. Sesuai standar auditing ISACA (information System Audit And Control Association) Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.

d. Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.

e. Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit. 

·        Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete (tidak komplet/tidak sesuai), redundant (mubazir), ineffective, ineffeicient event, tujuannya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

·        Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

a. P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.

b. W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.

c. F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.

d. S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

PRINSIP PRINSIP DASAR PROSES AUDIT SI

·         Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki

·          Prasyarat Penilaian terhadap kegiatan objek audit

·         Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif

·          Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.

·         Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab

·         Pelanggaran hokum

·         Penyelidikan dan pencegahan kecurangan

 STANDAR DAN PANDUAN AUDIT SI

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

3. KONTROL INTERNAL

Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.

RUANG LINGKUP INTERNAL : Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

SISTEM KONTROL INTERNAL : Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

CONTROL OBJECTIVES : Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

CONTROL RISK : Risiko pengendalian(control risks) adalah salah satu material yang tidak dapat dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan dan prosedur struktur pengendalian intern perusahaan.  

 MANAGEMENT CONTROL FRAMEWORK : Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

APPLICATION CONTROL FRAMEWORK : Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses  bisnis individu atau sistem aplikasi.

4. Aspek Management Control Framework

1.   Planning and Organization

Mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2.   Acquisition and Implementation

Identifikassi solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

3.   Delivery and Support

Domain yang berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training. 

4.   Monitoring

Semua proses TI perlu dinilai secara teratur dan berkala bagaimmana kualitas dan kesesuiananya dengan kebutuhan control.

SUMBER :

http://bang-ilmu.blogspot.co.id/2016/05/cobit-itil.html

http://afrizalseptember.blogspot.co.id/2014/12/konsep-audit-sistem-informasi.html

http://yuliakurnia.blogspot.co.id/2011/07/materi-kuliah.html

Lembaga Audit Negara di Indonesia

Berikut ini merupakan Lembaga Audit Negara di Indonesia,yaitu:

1.      LPAI

LPÄI Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

2.      BPK

BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing..

Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri. Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri.

3.         BPKP

Badan Pengawasan Keuangan dan Pembangunan, atau yang disingkat BPKP, adalah Lembaga pemerintah nonkementrian Indonesia yang melaksanakan tugas pemerintahan di bidang pengawasan keuangan dan pembangunan yang berupa Audit, Konsultasi, Asistensi, Evaluasi, Pemberantasan KKN serta Pendidikan dan Pelatihan Pengawasan sesuai dengan peraturan yang berlaku.

Hasil pengawasan keuangan dan pembangunan dilaporkan kepada Presiden selaku kepala pemerintahan sebagai bahan pertimbangan untuk menetapkan kebijakan-kebijakan dalam menjalankan pemerintahan dan memenuhi kewajiban akuntabilitasnya. Hasil pengawasan BPKP juga diperlukan oleh para penyelenggara pemerintahan lainnya termasuk pemerintah provinsi dan kabupaten/kota dalam pencapaian dan peningkatan kinerja instansi yang dipimpinnya

SUMBER : 

http://blog.opengovindonesia.org/2017/03/03/lembaga-audit-negara-di-indonesia-mitra-baru-bagi-partisipasi-publik/

Standar dan Panduan Audit Sistem Informasi

Standar dan Panduan Audit Sistem Informasi yang terdiri dari

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

•      Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global

•     ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan

•      Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

•      Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.

•      Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.

•      Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

•      Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2. COSO

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

 1. Lingkungan pengendalian

 2. Penilaian resiko

 3. Aktifitas pengendalian

 4. Informasi dan komunikasi

 5. Pemantauan

3. ISO 1799

Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

 SUMBER:

https://www.google.co.id/url?sa=t&rct=j&q=&esrc=s&source=web&cd=6&cad=rja&uact=8&ved=0ahUKEwjRo-CdudfWAhVDoZQKHa5yBbMQFghBMAU&url=http%3A%2F%2Fherunugroho.staff.telkomuniversity.ac.id%2Ffiles%2F2016%2F08%2FStandar-Audit-SI.pptx&usg=AOvVaw1wFwCVy2S-W1R9LRpTN4Iu

https://ccaccounting.wordpress.com/2013/10/21/jenis-jenis-audit/

Analisa Resiko

Analisis Risiko adalah suatu metode analisis yang meliputi faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan risiko tersebut. Tahapan kegiatan analisis risiko antara lain meliputi: identifikasi hazard, proyeksi risiko, penilaian risiko, dan manajemen risiko. Penilaian risiko dapat dilakukan secara kuantitatif atau kualitatif.

1. Identifikasi Hazard

Dalam aktivitas identifikasi, maka informasi yang akan didapatkan adalah tipe hazard dan magnitude hazard.

2. Proyeksi Risiko

Proyeksi atau estimasi risiko dilakukan untuk me-rating risiko berdasarkan kecenderungan bahwa risiko tersebut akan menjadi kenyataan dan segala konsekuensi dari masalah yang berhubungan dengan risiko tersebut. Proyeksi risiko merupakan komponen utama dalam tahap penilaian risiko.

Tahap ini meliputi: penetapan skala yg merefleksikan persepsi kecenderungan suatu risiko (skala dapat bersifat kualitatif ataupun kuantitatif), menggambarkan konsekuensi dari risiko, menetapkan dampak dari risiko, dan ketepatan secara menyeluruh dari proyeksi risiko.

3. Penilaian Risiko

Risiko diberi bobot berdasarkan persepsi dampak dan prioritas. Dampak merupakan fungsi dari 3 faktor yaitu:

·         Kecenderungan akan terjadinya kejadian.

·         Lingkup risiko, merupakan kombinasi tingkat keparahan dan jangkauan distribusi risiko.

·         Waktu dan lamanya dampak dirasakan.

4. Teknik Penilaian Risiko

Teknik penilaian risiko dapat dilakukan secara kualitatif atau kuantitatif.

Karakteristik penilaian kualitatif meliputi tipe efek kesehatan, estimasi frekuensi pemajanan (harian, mingguan, bulanan), lokasi hazard dalam hubungannya dengan tempat kerja. Sedangkan karakteristik penilaian kuantitatif meliputi data pengukuran pemajanan, konsentrasi zat, angka kesakitan/kematian, modeling analisis konsekuensi dari pemajanan terhadap hazard dan modeling frekuensi pemajanan.

4.1. Penilaian Kuantitatif Risiko    

Kuantifikasi terhadap suatu risiko akan sangat tergantung pada kondisi nature hazard, kemudahan utk diukur (measurable) dan adanya suatu standar yg dipakai. Untuk mengkuantifikasi risiko, ketiga komponen risiko (frekuensi, probabilitas dan hasil jadi atau outcome) harus bisa diekspresikan secara matematika (modeling). Modeling merupakan teknik untuk melihat pola kejadian.

Frekuensi dapat diekspresikan dengan menggunakan data riwayat pemajanan atau incident record. Probabilitas dapat dibuat skala dengan rentang nilai ( 0 < P < 1 ). Hasil jadi (outcome) atau konsekuensi dari hasil pemajanan terhadap suatu hazard dapat diukur sebagai berikut: jumlah kasus kematian atau cedera, kasus sakit serius dan biaya kerusakan (lost cost). Kelemahan penilaian risiko kuantitatif, antara lain sifatnya sangat natur sehingga tidak memperhatikan persepsi dan perlakuan terhadap hazard.

Hal lain yang dapat dilakukan secara kuantifikasi, misalnya untuk modeling kebakaran (fire and explosion). Penilaian kuantitatif risiko ini pada umumnya sangat aplikatif untuk chemical atau process engineers. Contoh penilaian kuantitatif, misalnya penentuan LD50 dan LC50. Keduanya adalah modeling utk penilaian lethal dose dan lethal concentration dengan pengukuran durasi pemajanan, konsentrasi atau dosis hazard dan hasil jadi (kematian).

4.2. Penilaian Kualitatif Risiko

Metode penilaian risiko secara kualitatif terkesan subjektif dan memberi peluang multiinterpretasi dan debat. Persepsi risiko bisa bervariasi untuk setiap orang. Ada beberapa metode yang dapat diterapkan

4.2.1. Fine’s Risk Score

Fine’s risk score adalah model untuk melakukan penilaian risiko dengan formula sbb: Risiko adalah hasil pengalian faktor-faktor yang terdiri dari: konsekuensi x faktor exposure x faktor probabilitas (R = C x E x P).

Ketiga faktor tersebut diklasifikasikan dalam beberapa kelas dan diberi rating.  Hasil perhitungan risiko (risk score) dapat dipergunakan untuk memperkirakan kejadian, mengalokasikan resources dan mengontrol hazard. Maka apabila sudah dapat men-score risiko, dapat dilakukan kalkulasi biaya untuk intervensi.

FACTOR	CLASSIFICATION	RATING
1. Consequence	Catastrophe, numerous facilities	100
	Multiple facilities	50
	Fatality	25
	Extremely serious injury	15
	Disabling injury	5
	Minor cuts, bruises, bumps	1
2. Exposure	Hazard event occurs:
	Continuously	10
	Frequently	6
	Occasionally	3
	Unusually	2
	Rarely	1
	Remotely	0,5
3. Probability	Complete accident sequence:
	Is the most likely and expected result	10
	Is quite possible, not unusual	6
	Would be an unusual sequence	3
	Remotely possible	1
	Has never happened after many years of exposure, but conceivably possible	0,5
	Practically impossible	0,1

Beberapa keterbatasan model ini antara lain:

·         Data bukan merupakan data konkret, tetapi berupa data estimasi,

·         Potensi personal bias dan pengalaman akan mempengaruhi hasil akhir, dan

·         Risk score hanya dipergunakan sbg baseline level dari risiko tidak didifinisikan sbg safe atau unsafe.

4.2.2. TTC Hazard Rating System

TTC hazard rating system mempergunakan huruf alfabet untuk me-ranking risiko.

Kriteria level: severity, probabilitas dan biaya untuk intervensi

Model ini berguna untuk komparasi penilaian risiko dari berbagai hazard dan bermanfaat utk membuat list prioritas untuk kebijakan pengendalian hazard.

CRITERIA LEVEL	CODE
	A	B	C	D
Severity	Fatality	Serious/ Lost Time Injury	First aid injury, no time	Injury not likely no measureable impact
Probability	One or more time each working day	At least once each week	At least once each month	less than once each month
Cost of Corrective Action	Less than $1 K or no cost	$ 1 K to       $ 10 K	$ 10 K to  $ 25 K	$ 25 K or more, no practical Solution

4.2.3. FLAME Model

FLAME Model merupakan kelanjutan dari Fine’s risk score dan TTC Hazard Rating system.

FLAME menghitung nilai risiko dengan mengkombinasikan beberapa variabel: Frekuensi dari proses, kecenderungan timbulnya hazard, antisipasi kerugian, misi dampak, karyawan/sistem yang terpajan.

Model risiko : R = log x, dimana x = F x L x A x M x E

F = Frekuensi             score: 1 – 100

L = Kecenderungan    score: 1 – 100

A = Antisipasi kerugian score: 1 – 100

M = Misi dampak        score: 1 – 100

E = Karyawan yang terpajang

Very high risk  score: 8

High risk          score: 6 — 7,99

Substansial risk score: 4 —5,99

Possible risk    score: 2 — 3,99

Doubtful risk   score: < 2,00

SUMBER

1)    http://soemarno.multiply.com/analisis risiko

2)  Tjandra Yoga Aditama & Tri Hastuti (Ed.).  2002. Kesehatan dan Keselamatan Kerja.Jakarta: Penerbit Universitas Indonesia

3)  https://fadhilhayat.wordpress.com/2010/08/27/analisis-risiko-2/