BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

Transkripsi

1 BAB II LANDASAN TEORI 2.1 Audit Audit adalah proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang berujung pada penarikan kesimpulan) secara sistematis, obyektif dan terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo, 2003). Definisi secara umum tentang audit adalah bahwa Auditing is an independent investigation of some particular activity. Kata audit berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang dimaksud adalah hearing about the account s balances oleh para pihak terkait terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007). Audit yang dilakukan dalam penelitian ini menggunakan audit berbasis risiko. Risiko secara umum diartikan hambatan dalam pencapaian suatu tujuan. Audit berbasis risiko lebih mengutamakan pada tujuan yang akan dicapai oleh 8

2 9 perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko dengan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan (Ramadhana, 2012). 2.2 Informasi Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank. Aset yang sangat penting ini oleh Bank Indonesia telah ditetapkan standar untuk menjaga keamanannya. Bank perlu adanya audit untuk mengecek kesesuaian antara standar yang ditetapkan dengan kenyataan dilapangan, dimana keamanan informasi yang terjaga akan memberikan jaminan keamanan pada nasabah.

3 Keamanan Informasi Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009). Prinsip prinsip pengamanan informasi yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005) sebagai berikut : 1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) secara efektif dan efisien dengan memperhatikan kepatuhan (compliance) terhadap ketentuan yang berlaku. 2. Memperhatikan aspek sumber daya manusia, proses dan teknologi. 3. Dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan memperhatikan strategi bisnis Bank dan ketentuan yang berlaku. 4. Menerapkan pengamanan informasi secara komprehensif dan berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi, mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta melakukan penyempurnaan. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Informasi yang merupakan aset

4 11 harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai quality or state of being secure-to be free from danger. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi (Whitman dan Mattord, 2011) sebagai berikut, a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. b. Keamanan manusia yang overlap dengan keamanan fisik dalam melindungi orang-orang dalam organisasi. c. Keamanan operasi yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. 2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007 Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 berisi Peraturan Bank Indonesia untuk mengatur tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam surat edaran ini dilampiri Pedoman Penerapan Manajemen Risiko dalam

5 12 Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan teknologi informasi Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas operasional teknologi informasi, jaringan komunikasi, pengamanan informasi, bussiness continuity plan, end user computing, electronic banking, audit intern teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi. Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi, proses manajemen risiko dan pengendalian intern dan audit intern. Pada pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern.

6 13 Penelitian audit ini menggunakan prosedur pengamanan informasi dan proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti pada Tabel 2.1. Tabel 2.1 Prosedur Pengamanan Informasi PBI: Prosedur Pengelolaan Aset Prosedur Pengelolaan Sumber Daya Manusia Prosedur Pengamanan Fisik dan lingkungan Prosedur Pengamanan logic Prosedur Pengamanan Operasional Teknologi Informasi Prosedur Penanganan Insiden dalam Pengamanan Informasi Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7. Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya dan kedua setelah mendapat Nilai Risiko Akhir. Terdapat tiga prosedur yang digunakan dalam audit. Prosedur Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala. Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang penanganan insiden yang terjadi, penetapan prosedur penanganan insiden,

7 14 pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi kelemahan sistem. 2.5 ISO ISO/IEC merupakan dokumen standar keamanan informasi atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Dalam penelitian ini menggunakan ISO tahun ISO 27002:2013 merupakan pembaharuan dari ISO tahun Ruang lingkup ISO 27002:2013 yaitu standar internasional untuk memberi petunjuk standar keamanan informasi organisasi dan manajemen keamanan informasi meliputi seleksi, implementasi dan risiko lingkungan keamanan informasi (ISO/IEC 27002, 2013). ISO 27002:2013 terdiri dari 14 klausul kontrol keamanan di dalamnya terdapati 35 kategori keamanan utama dan 114 kontrol. Masing-masing klausul kontrol keamanan memiliki satu atau lebih kategori keamanan utama. Standard internasional ini disiapkan untuk memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan perbaikan yang terus menerus pada sistem manajemen keamanan informasi. Pengadopsian sistem manajemen keamanan informasi merupakan sebuah keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional

8 15 yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu. Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol Keamanan dan Kategori Keamanan Utama dari ISO tahun 2013 dapat dilihat pada Tabel 2.2. Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013 Klausul Kontrol Keamanan Kategori Keamanan Utama 5. Kebijakan Keamanan Informasi 5.1 Manajemen tujuan dari keamanan informasi 6. Keamanan Informasi Organisasi Organisasi internal Perangkat mobile dan teleworking 7. Sumber Daya Manusia Sebelum menjadi pegawai. Selama menjadi pegawai. Penghentian dan perubahan pegawai. 8. Aset Kontrol Akses Tanggung jawab untuk aset. Klasifikasi informasi. Penanganan media. Akses kontrol untuk persyaratan bisnis. Manajemen akses pengguna. Tanggung jawab pengguna. Kontrol akses sistem dan aplikasi

9 16 Tabel 2.2. Susunan Kontrol Keamanan dan 27002:2013 (Lanjutan) Klausul Kontrol Keamanan Kategori Keamananan Utama ISO Kategori Keamanan Utama 10. Cryptografi 10.1 Kontrol Kriptografi. 12. Keamanan Operasi Komunikasi Akusisi sistem, pengembangan dan 14.1 perawatan 14.2 Tanggung jawab dan prosedur operasional. Perlindungan dari malware Back up Logging dan monitoring Pengendalian operasional perangkat lunak. Manajemen kerentanan teknis Konsiderasi sistem informasi. Manajemen jaringan keamanan Pengiriman informasi Persyaratan keamanan sistem informasi Keamanan dalam pengembangan dan proses dukungan. 15. hubungan dengan distributor 15.1 Keamanan informasi hubungan distributor Manajemen pelayanan distributor. 16. manajemen insiden keamanan informasi 16.1 Pengelolaan insiden keamanan informasi dn perbaikan 17 aspek keamanan informasi manajemen kelangsungan bisnis Kelanjutan informasi Ketimpangan 18. Compliance Kepatuhan dengan hukum dan kontrak Pengulangan informasi 2.6 Manajemen Risiko Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi stakeholder, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para stakeholder tersebut (Tampubolon, 2005). Dalam bidang manajemen dan penyusunan strategi, risiko didefinisikan sebagai sebuah rentang (continuum) yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak

10 17 tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman maupun peluang tersebut. Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Risiko operasional dapat timbul disebabkan antara lain oleh ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan, testing, standar internal audit dan penggunaan jasa pihak lain dalam penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis untuk mencapat tujuan tersebut.

11 Penilaian Risiko Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras, jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan) dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel 2.3. Ase t Desk ripsi Risik o Analisa Kerawa nan Kece nder unga n Tabel 2.3 Risk Register Inheren Da Kecen Kontrol mp derung Yang ak an ada Kecen derun gan Residual Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi risiko, analisa kerawanan, inheren (kecenderungan, dampak dan nilai risiko dasar), kontrol yang ada, residual (kecenderungan, dampak dan nilai risiko akhir) dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi.

12 19 Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal) aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4. Aspek Confidentia lity Tabel 2.4 Pedoman Penilaian Kritikal Aset Analisa Kriteria Penilaian Sensitivitas High Medium Low Berapa besar Jika kerugian yang Jika kerugian yang Jika kerugian kerugian yang ditimbulkan sangat ditimbulkan tidak yang ditimbulkan signifikan karena signifikan karena ditimbulkan apabila terjadi informasi yang informasi tidak sangat kecil hilangnya bocor sangat sensitif atau akses karena kerahasiaan atas sensitif atau hanya informasi oleh informasi suatu informasi bisa diakses oleh berbagai pihak di bersifat umum / dapat diakses personil tertentu organisasi. atau dapat oleh siapa saja? yang telah diberi diakses oleh otorisasi. siapa saja. Integrity Availability Berapa besar dampak/kerugia n terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan? Berapa besar dampak/kerugia n yang ditimbulkan apabila terjadi ketidaktersediaa n suatu aset? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan. Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis. Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan. Jika dampak yang ditimbulkan tidak signifikan karena aset dapat digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis. Jika dampak yang ditimbulkan sangat kecil dan tidak mengganggu proses bisnis. Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti.

13 20 Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada Tabel 2.5. Tabel 2.5 Kriteria Pengukuran Kecenderungan Nilai Potensi Kejadian Frekuensi Kejadian 5. Potensi terjadi tinggi dalam jangka Sangat sering terjadi pendek 4. Potensi terjadi tinggi dalam jangka Lebih sering terjadi panjang 3. Potensi terjadi sedang Cukup sering terjadi 2. Potensi terjadi kecil Jarang terjadi 1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6. Tabel 2.6 Klasifikasi Dampak Nilai Potensi gangguan terhadap Potensi Penurunan Reputasi proses bisnis 5 Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan bisnis bank tidak tercapai. berkelanjutan dimata nasabah / stakeholder utama dan masyarakat.

14 21 Tabel 2.6 Klasifikasi Dampak (Lanjutan) Nilai Potensi gangguan terhadap proses bisnis 4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih 3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih. 2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya. 1 Tidak menyebabkan gangguan terhadap operasional proses bisnis. Potensi Penurunan Reputasi Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu. Kerusakan reputasi hanya pada unit tersebut. Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu. Tidak berpengaruh pada reputasi. Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik pengukuran risiko seperti pada Tabel 2.7. Kecenderungan n Tabel 2.7 Matrik Pengukuran Risiko 5 Medium Medium High High High 4 Low Medium High High High 3 Low Low Medium High High 2 Low Low Medium Medium High 1 Low Low Medium Medium High Dampak

15 22 Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko dasar. Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 2.8. No Aset Deskripsi Risiko Tabel 2.8 Rincian Penilaian Risk Register Residu 1 Analisa Pernyataan Kerawanan Kecender ungan Dam pak Residu 2 Kecender ungan Dam pak Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa kerawanan. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi

16 23 kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran kecenderungan seperti pada Tabel 2.5 Kolom residu dampak berisi tentang hasil penilaian dampak setelah pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi ratarata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register. Hasil dari kolom residu satu dari rincian penilaian risk register tentang kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran risiko seperti pada Tabel 2.7. Setelah terisi semua penilaian risiko dilakukan dengan membandingkan hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai.