Saat ini teknologi informasi menjadi salah satu peranan penting di suatuperusahaan dalam membantu perusahaan menjalankan bisnisnya. Sistem informasi yang baik harus dapat menyediakan informasi-informasi yang diperlukan perusahaan sehingga diperlukan adanya pengelolaan sistem informasi yang baik dan benar. Untuk menjamin hal tersebut diperlukan adanya pengendalian-pengendalian terhadap sistem informasi dan perlu diadakan suatu evaluasi terhadap pengendalian tersebut agar sistem informasi dapat atau mampu untuk mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara efektif dan menggunakan sumber daya (resources) secara efisien. Evaluasi pengendalian yang dapat digunakan adalah dengan audit sistem informasi berbasis resiko (risk-based audit approach) yang memandang resiko sebagai inti dari pelaksanaan audit.Metode-metode seperti manajemen resiko yang dipaparkan oleh Stoneburner dan metode best practices dari Queensland Audit Office dapat menjadi contoh dalam melaksanakan kegiatan audit berbasis resiko. Di awali dengan analisa ancaman-ancaman dan kelemahan-kelemahan yang ada dan mungkin ada dalam sistem informasi serta pengendalian-pengendalian yang telah dilakukan untuk mengatasi ancaman-ancaman dan kelemahankelemahan yang ada. Yang selanjutnya akan digunakan untuk membuat rekomendasi pengendalian-pengendalian yang harus ada ataupun perbaikan terhadap pengendalian yang ada. Hasilnya akan digunakan dalam tahapan risk mitigation yang akan melakukan evaluasi dan memprioritaskan rekomendasi pengendalian berdasarkan tingkat resiko yang mungkin timbul akibat dari kelemahan yang ada di sistem informasi.

---

Currently, information technology become one of the most important aspects in the companies and help these companies run their businesses. A good information system has to be able to effectively and efficiently supply information needed by the company. To ensure that, controls for information system are needed and evaluating the controls to determine if the information system is able to secure the assets, maintaining data?s integrity, achieving the organization?s goal effectively, and using the resources efficiently. One form of the audit to information system is the risk-based audit approach that makes risks as the core of audit process.Risk management method written by Stoneburner and best practices guidelines written by Queensland Audit Office could be an example for the risk-based audit process. In the beginning, existing and future threats and weakness analysis is conducting on the information system and also existing control analysis to handle those existing threats and weakness. The result will be used to make an control recommendation. The results of this process will be used in the risk mitigation process which will conduct the evaluation and prioritized the control recommendations based on the risk level that will occur as a consequence of the weaknesses in the system information.