AUDIT TEKNOLOGI SISTEM INFORMASI #
Audit Teknologi Sistem informasi
1. Pengertian Audit TSI
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan
AUDIT
TSI (Teknologi Sistem Informasi)
1. Pengertian Audit TSI
Audit teknologi informasi (Inggris: information
technology (IT) audit atau information systems (IS) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.
Audit system informasi merupakan proses mengumpulkan
dan mengevaluasi fakta/temuan/ evidence untuk menentukan apakah suatu
sistem komputer dapat mengamankan aset, memelihara integritas data, dapat
mendorong pencapaian tujuan organisasi secara efektif dan menggunakan
sumberdaya secara efisien.
Audit merupakan proses yang sistematis dalam memperoleh
dan mengevaluasi bukti-bukti, guna memberikan asersi dan menilai seberapa jauh
tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan
hasilnya kepada pihak terkait.
2.
Proses Audit
Audit dalam konteks teknologi informasi adalah
memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses
audit:
1) Implementasikan
sebuah strategi audit berbasis manajemen risiko serta control
practice yang dapat disepakati semua pihak.
2) Tetapkan
langkah-langkah audit yang rinci.
3) Gunakan
fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4) Buatlah laporan
beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5) Telaah apakah
tujuan audit tercapai.
6) Sampaikan
laporan kepada pihak yang berkepentingan.
7) Pastikan bahwa
organisasi mengimplementasikan managemen risiko serta control practice.
3. Teknik
Audit
Teknik audit adalah cara yang dipergunakan oleh
auditor untuk memperoleh bukti, berikut adalah teknik yang umum di
gunakan oleh auditor : analisis, observasi/pengamatan, permintaan informasi,
evaluasi, investigasi, verifikasi, cek, uji/tes, footing, cross footing,
vouching, trasir, scanning, rekonsiliasi, konfirmasi, bandingkan,
inventarisasi, inspeksi.
A.
Teknik-teknik audit yang dapat digunakan
untuk pengujian fisik adalah :
- Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.
- Inventarisasi/opname adalah pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.
- Inspeksi adalah meneliti secara langsung ketempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti.
B. Teknik
audit untuk bukti dokumen.
- Verifikasi Adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen.
- Cek adalah menguji kebenaran atau keberadaan sesuatu, dengan teliti.
- Uji/Test uji test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau penting.
- Footing Adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah, footing dilakukan terhadap data yang disediakan auditi, tujuan teknik footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi dpat diyakini ketepatan perhitungannya.
- Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung, atau menelusuri mengikuti prosedur yang berlaku dari ahasil menuju awal kegiatan.
- Trasir/telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian menuju ke penyajian dalam suatu dokumen.
- Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi. contoh scanning terhadap pengeluaran kas yang lebih besar dari Rp. 10.000.000
- Rekonsiliasi mencocokan dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang berbeda.
C. Teknik
audit untuk bukti analisis.
- Analisis memecah atau mengurai data informasi ke dalam unsur-unsur yang lebih kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting tersembunyi.
- Evaluasi merupakan cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti intern maupun ekstern.
- Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya dilakukanmemang benar terjadi.
- Pembandingan yaitu membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian ditarik kesimpulan.
D. Teknik
audit untuk bukti keterangan
- Konfirmasi : adalah memperoleh bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan informasi yang sah dari pihak luar auditi. konfirmasi terdapat konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan konfirmasi negatifmerupakan konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasi berbeda.
- Permintaan informasi : Permintaan informasi yang dilakukan dengan tujuan menggali informasi tertentu berbagai pihak yang berkopeten. hal-hal yang perlu diperhatikan yaitu sumber informasi.
3.
Regulasi Audit
Dengan dominannya penggunaan komputer dalam
membantu kegiatan operasional diberbagai perusahaan, maka diperlukan
standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa
data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol
yaitu:
a) COSO (Comitte
Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan
dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang
mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal
Control Integrated Framework yang berisi rumusan definisi pengendalian
intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian
intern.Tahun 2004, COSO mengembangkan Internal Control Integrated
Framework dengan menambah cakupan tentang manajemen dan
strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan
COSO:
1. Efektifitas dan efisiensi aktivitas
operasi
2. Kehandalan pelaporan keuangan
3. Ketaatan terhadap hukum dan peraturan
yang berlaku
4. Pengamanan aset entitas.
b) COBIT (Control
Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan
merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information
and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT
yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar
teknologi informasi yang diterima umum dan selalu up to date untuk digunakan
dalam kegiatan bisnis sehari-hari.
c) SARBOX
(Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush
tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan
SARBOX yaitu:
- Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
- Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
- Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
- Meningkatkan akuntabilitas akuntan.
d) ISO
17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen
kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan
semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi,
mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan
virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan
pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris,
mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati
kebijakan keamanan.
e) BASEL
II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko
kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan
eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe
debitur(hutang).
4.
Standar dan Kerangka Kerja Audit
Standar Audit SI
tidak lepas dari standar professional seorang auditor SI. Standar
professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi
pedoman bagi para anggota profesi dalam menjalankan tanggungjawab
profesinya.
Standar
profesional adalah batasan kemampuan (knowledge, technical skill and professional
attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat
melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang
aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa
diantaranya adalah:
- ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
- IIA : International Professional Practices Framework / IPPF
- IASII : Standar Audit Sistem Informasi
- BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
- BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
Standar dan kerangka kerja menurut ISACA:
S1 Audit Charter
- Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
- Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
S2 Independence
- Professional Independence
Dalam
semua permasalahan yang berhubungan dengan audit, auditor sistem
informasi harus independen terhadap auditee baik dalam sikap
maupun penampilan.
- Organisational Independence
· Fungsi
audit sistem informasi harus independen tehadap area atau aktivitas yang sedang
diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional Ethics and
Standards
- Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
- Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
S4 Professional Competence
- Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
- Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
S5 Planning
- Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
- Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
S6 Performance of Audit Work
- Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
- Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
- Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
S7 Reporting
- Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
- Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
- Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
- Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
5. Manajemen Resiko
Risiko merupakan sesuatu yang tidak ada dalam rencana proyek namun mungkin
terjadi dan menyebabkan waktu pelaksanaan proyek menjadi terlambat terlambat,
biaya membengkak membengkak dan kompromi terhadap kualitas/kinerja. Risiko
merupakan merupakan ancaman-ancaman dalam proyek.
Manajemen Risiko adalah suatu pendekatan
terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan
ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian resiko,
pengembangan strategi untuk mengelolanya dan mitigasi resiko dengan menggunakan
pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain
adalah memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi
efek negatif resiko, dan menampung sebagian atau semua konsekuensi resiko
tertentu.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan
Empat Tahap Manajemen Manajemen Risiko
1. Identifikasi
- Antisipasi risiko
- Membuat daftar risiko, pemicunya dan gejalanya
2. Analisis
- Mengevaluasi kemungkinan dampak yang ditimbulkan
- Kualitatif vs. Kuantitatif
3. Merespon Risiko
Pengembangan strategi mitigasi risiko
- Mengurangi Mengurangi dampak yang ditimbulkan ditimbulkan risikko risikko
- Mebuat contigency plan / rencana darurat
4. Mengendalikan
Risiko
- Memonitor
- Melakukan update daftar dan strategi
- Menjalankan contingency plan
- Menghadapinya
Cara Melakukan Manajemen Resiko Dengan Efektif
Untuk melakukan manajemen risiko kita perlu melelui
beberapa proses. Seperti yang dikutip dari id.wikipedia.org, COSO atau
Committee of Sponsoring Organizations of the Treadway Commission menyebutkan
ada delapan kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK)
yaitu
· Lingkungan
internal (internal environment)
· Penentuan
sasaran (objective setting)
· Identifikasi
peristiwa (event identification)
· Penilaian
risiko (risk assessment)
· Tanggapan
risiko (risk response)
· Aktivitas
pengendalian (control activities)
· Informasi
dan komunikasi (information and communication)
· Pemantauan
(monitoring)
6. Proses Manajemen Resiko
Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap)
1. Internal environment (Lingkungan internal)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.
2. Objective setting (Penentuan tujuan)
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut.
Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu
(1) operations objectives;
(2) reporting objectives;
(3) compliance objectives.
Sumber daya manusia (SDM) yang dimiliki organisasi yang ada pada seluruh divisi dan bagian haruslah dilibatkan dan mengerti risiko yang dihadapi. Penglibatan tersebut terkait dengan pandangan bahwa setiap pejabat/pegawai adalah pemilik dari risiko. Demikian pula, dalam penentuan tujuan organisasi, hendaknya menggunakan pendekatan SMART , dan ditentukan risk appetite and risk tolerance (variasi dari tujuan yang dapat diterima).
Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi. Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak dengan risk tolerance adalah 0%.
3. Event identification (Identifikasi risiko)
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi.
Terdapat 4 model dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3) Threat scenario; (4) Brainstorming questions. Salah satu model, yaitu exposure analysis, mencoba mengidentifikasi risiko dari sumber daya organisasi yang meliputi financial assetsphysical assets seperti tanah dan bangunan, human assets yang mencakup pengetahuan dan keahlian, dan intangible assets seperti reputasi dan penguasaan informasi. Atas setiap sumber daya yang dimiliki organisasi dilakukan penilaian risiko kehilangan dan risiko penurunan. seperti kas dan simpanan di bank,
4. Risk assessment (Penilaian risiko)
Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence.
Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu, quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.
penilaian risiko atas setiap aktivitas organisasi akan menghasilkan informasi berupa peta dan angka risiko. Aktivitas yang paling kecil risikonya ada pada aktivitas a dan e, dan aktivitas yang paling berisiko tinggi dengan kemungkinan terjadi tinggi ada pada aktivitas d. Sedangkan aktivitas c, walaupun memiliki dampak yang besar, namun memiliki risiko terjadi yang rendah.
Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan. Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu dikelompokkan dalam common event categories, dan dinilai secara aggregate.
5. Risk response (Sikap atas risiko)
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan.
Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan peluang (opportunities) yang dapat timbul dari setiap risk response.
6. Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.
Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective, corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi optimal.
7. Information and communication (Informasi dan komunikasi)
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi
Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.
8. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.
Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.
SUMBER :
1. Internal environment (Lingkungan internal)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.
2. Objective setting (Penentuan tujuan)
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut.
Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu
(1) operations objectives;
(2) reporting objectives;
(3) compliance objectives.
Sumber daya manusia (SDM) yang dimiliki organisasi yang ada pada seluruh divisi dan bagian haruslah dilibatkan dan mengerti risiko yang dihadapi. Penglibatan tersebut terkait dengan pandangan bahwa setiap pejabat/pegawai adalah pemilik dari risiko. Demikian pula, dalam penentuan tujuan organisasi, hendaknya menggunakan pendekatan SMART , dan ditentukan risk appetite and risk tolerance (variasi dari tujuan yang dapat diterima).
Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi. Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak dengan risk tolerance adalah 0%.
3. Event identification (Identifikasi risiko)
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi.
Terdapat 4 model dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3) Threat scenario; (4) Brainstorming questions. Salah satu model, yaitu exposure analysis, mencoba mengidentifikasi risiko dari sumber daya organisasi yang meliputi financial assetsphysical assets seperti tanah dan bangunan, human assets yang mencakup pengetahuan dan keahlian, dan intangible assets seperti reputasi dan penguasaan informasi. Atas setiap sumber daya yang dimiliki organisasi dilakukan penilaian risiko kehilangan dan risiko penurunan. seperti kas dan simpanan di bank,
4. Risk assessment (Penilaian risiko)
Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence.
Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu, quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.
penilaian risiko atas setiap aktivitas organisasi akan menghasilkan informasi berupa peta dan angka risiko. Aktivitas yang paling kecil risikonya ada pada aktivitas a dan e, dan aktivitas yang paling berisiko tinggi dengan kemungkinan terjadi tinggi ada pada aktivitas d. Sedangkan aktivitas c, walaupun memiliki dampak yang besar, namun memiliki risiko terjadi yang rendah.
Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan. Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu dikelompokkan dalam common event categories, dan dinilai secara aggregate.
5. Risk response (Sikap atas risiko)
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan.
Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan peluang (opportunities) yang dapat timbul dari setiap risk response.
6. Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.
Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective, corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi optimal.
7. Information and communication (Informasi dan komunikasi)
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi
Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.
8. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.
Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.
SUMBER :
Komentar
Posting Komentar