Konsep Manajemen Kontrol dan Resiko
Program Studi Sistem Informasi
Created by Desy IR

Kampus Inovasi
MATERI
Pertemuan
Ke-
POKOK
BAHASAN
1 - 2 Definisi, latar belakang, tujuan audit SI/TI
3 Tata kelola IT sebagai dasar audit
4-5 Konsep manajemen control dan risiko SI/TI
6
Jenis Audit berdasarkan proses
7
8. UJIAN TENGAH SEMESTER (UTS)
9 Inisiasi audit SI/TI
10
Perencanaan Audit SI sesuai metode
11
12 Analisis proses dan penemuan fakta audit SI/TI
13
Evaluasi hasil Audit
14
15 Pelaporan hasil audit SI/TI
16. UJIAN AKHIR SEMESTER (UAS)

Kampus Inovasi
CPMK dan Sub CPMK
• CPMK 02
Mampu memahami Kontrol
dan risiko SI/TI sebagai bagian
dari audit SI/TI
• Sub CPMK 04
Mampu memahami kontrol
dan resiko sebagai bagian dari
Audit SI/TI (B2)

Pokok Bahasan
1 Peran Audit SI/TI mengarah pada definisi dan pengelolaan Kontrol dan Risiko
2 Definisi dan ruang lingkup risiko SI/TI
3 Definisi, klasifikasi dan peran kontrol SI/TI
2 Klasifikasi dan kategorisasi kontrol SI/TI pada Audit SI/TI
2 Subyek Audit pada SI/TI
2 Entity Level Control

IS/IT Audit Role
• Advising the Audit Committee and senior management on IT internal control
issues
• Performing IT Risk Assessments (penilaian Resiko TI)
• Performing:
 Institutional Risk Area Audits
 General Controls Audits
 Application Controls Audits
 Technical IT Controls Audits
 Internal Controls advisors during systems development and analysis
activities.

Definisi IT Risk
Risiko pada organisasi yang disebabkan oleh penggunaan TI
dalam suatu organisasi, terdiri dari semua kejadian yang terkait
dengan penggunaan TI dan memiliki potensi yang berdampak
pada organisasi (ISACA)
suatu upaya dari perencanaan, pengorganisasian memimpin dan
kegiatan untuk meminimalkan dampak dari kerugian akibat
kecelakaan pada biaya yang paling dapat diterima (Blockdijk,
dkk, 2008)

Definisi Resiko
Threat
Vurnerability RISK
Impact (asset
value)
Ancaman yang diakibatkan
oleh adanya kelemahan
Kelemahan yang dapat
dieksploitasi sehingga menjadi
sebuah ancaman
Dampak yang terjadi dikarenakan
adanya kelemahan yang berhasil
dieksploitasi.

Kampus Inovasi
Tipe Risiko
RISK
RI
SK
Strategic
RI
SK
Operational
RI
SK
Tactical
Risiko yang muncul pada
operasional harian, ini bisa
ditimbulkan dari kesalahan
teknis, atau kesalahan yang
dilakukan oleh pegawai
maupun proses yang ada
risiko yang berhubungan
dengan perencanaan
pada masa depan dalam
menangani kondisi pada
saat masalah tersebut
terjadi dalam suatu
kegiatan usaha
risiko yang mungkin muncul
ketika strategi dari
perusahaan menjadi tidak
efektif dan akhirnya
perusahaan mengalami
kesulitan dalam mencapai
tujuannya

DEFINISI
Control is defined as the policies, procedures, practices and organizational structures
designed to provide reasonable assurance that business objectives will be achieved and
that undesired events will be prevented or detected and corrected. (ISACA)
Yaitu kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk
memberikan jaminan yang dapat diterima dimana nantinya tujuan bisnis akan tercapai
dan kejadian yang tidak diinginkan akan dapat dicegah atau dideteksi dan diperbaiki.
Control is defined as a statement of the desired result or purpose to be
achieved by implementing control procedures in a particular IT activity .
(ISACA)
pernyataan hasil atau tujuan yang diinginkan untuk dicapai dengan
menerapkan prosedur pengendalian dalam aktivitas TI tertentu.

DEFINISI
Control is defined as the policies, procedures, practices and organizational structures
designed to provide reasonable assurance that business objectives will be achieved and
that undesired events will be prevented or detected and corrected. (ISACA)
Yaitu kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk
memberikan jaminan yang dapat diterima dimana nantinya tujuan bisnis akan tercapai
dan kejadian yang tidak diinginkan akan dapat dicegah atau dideteksi dan diperbaiki.
Control is defined as a statement of the desired result or purpose to be
achieved by implementing control procedures in a particular IT activity .
(ISACA)
pernyataan hasil atau tujuan yang diinginkan untuk dicapai dengan
menerapkan prosedur pengendalian dalam aktivitas TI tertentu.

IT Control
IT control is a process
that provides assurance
for information and
information services, and
help to mitigate risks
associated with use of
technology.
IT
Control
Understanding IT Control
Importance of IT Control
Roles and
Responsibilities
Based On
Risk
Monitoring and
Technology
Assessment

Understanding IT Control
A Top Down approach used
when considering IT Controls
Application Based Controls
Systrem Development Controls
System Software Controls
Physical & Environment COntrol
Organization and Management
Standards
Policies
Governance
Management
Technical

Understanding IT Control
Klasifkasi Kontrol
Preventive
Detective
Corrective
pengendalian internal yang dilakukan sebelum masalah tersebut
timbul/untuk mengurangi kerentanan (vulnerability).
pengendalian internal yang dilakukan untuk mendeteksi permasalahan
yang telah timbul/mendeteksi masalah dan memicu berfungsinya kontrol
yang lain.
pengendalian internal untuk mengidentifikasi dan memperbaiki masalah
serta memulihkannya dari kesalahan tersebut/untuk mengurangi sebuah
dampak dari risiko (impact).

Importance of IT Control
Needs for IT
controls, such
as
Controlling
Cost
Protecting
Information
Assets
Complying
with law &
Regulations
Implementing effective IT Controls will improve
Efficiency, Reliability and Flexibility

Roles & Responsibilities
sistem pengendalian
internal dalam
perusahaan
Define, approve &
implement IT
Controls
Evaluasi proses
kendali

Bases On Risk
Analyzing
Risk
Identify &
Prioritize Risk
Consider Risk ini
determining the
adequacy of IT Controls
Define Risk Mitigation
strategi
Accept/mitigate/share

Monitoring IT Controls
Monitoring IT
Controls
On Going
Monitoring
Special
Review
Automated
continuous
auditing
Aseessment
Assessing IT
Control
An ongoing
process
Technology
adaptif dan
berkembang
New
vulnerabilities
emerge

IT Control : General Control
IT
Control
Application
Control
General
Control
Physical Security
Physical Access,
Temperature Control,
Fire Protection , UPS
Change Management
Program Change
Controls, Tracking,
Change Approval
Back Up/Contingency
Plan
Data Backups, Restore
Procedures, Offsite
Storage
Disaster Recovery
Buss. Resumption Plan,
BRP Testing , Alternate
Processing
Acess Control
User Ids/Password, Data
Security,Network
Security, Sec
.Administration, Acess
Authorization
Output Control
Reconciliation,
Distribution, Acess
Input COntrol
Data Entry Control,
System Edits,
Segregation of duty,
Trasaction Authorized
Processing Control
Audit Trail , Interface
Configuration, Control
Total

Hubungan Risk Assessment and Selection Controls

Klasifkasi Kontrol
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA

Kontrol Kategorisasi
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA

IT Audit Subject
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA

Tugas 2 (Pert 4-5 Blended*)
• Silakan baca tambahan literasi cara penilaian resiko pada jurnal yang
dishare .
• Penugasan dilakukan berkelompok
• Deadline pengumpulan pada pert 5
* Dapat disesuaikan oleh dosen pengampuh
Deskripsi Tugas :
Lakukan pengamatan pada objek tempat studi kasus tugas besar Anda
(sekolah/perusahaan/dinas pemerintahan.
Identifikasi resiko penggunaan IT pada tempat tersebut kemudian
klasifikasikan jenis risiko yang kalian dapatkan (berikan penjelasan
dari hasil justifikasi risk yang diberikan). Selanjutnya buat dalam
bentuk report hasil pengamatan dan penilaian resiko tersebut.
Format tugas dapat disesuaikan oleh dosen pengampuh masing-masing

Terima kasih