Perbedaan kekurangan dan kelebihan standard audit SI

Standard Audit SI	Kelebihan	Kekurangan
Cobit	1. Rahasia 2. Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab. 3. Integritas 4.Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen. 5. Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.	1. COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional. 2. COBIT hanya berfokus pada kendali dan pengukuran.
ITIL	1. Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya sendiri 2. ITIL bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.	1. Kelemahan ITIL antara lain: buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

2. A) KONSEP DASAR KONTROL

Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:

a) Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.

b) Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)

c) Sesuai standar auditing ISACA (information System Audit And Control Association) Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.

d) Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.

e) Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit.   

· Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

· Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

a) P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.

b) W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.

c) F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.   
d) S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

B) PRINSIP PRINSIP DASAR PROSES AUDIT SI

· Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki

· Prasyarat Penilaian terhadap kegiatan objek audit

· Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif

· Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.

· Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab

· Pelanggaran hukum

· Penyelidikan dan pencegahan kecurangan

C.) STANDAR DAN PANDUAN AUDIT SI

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

3.  A) Kontrol Internal : Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan peraturan yang berlaku.

Ruang Lingkup Kontrol Internal : yaitu menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

Sistem kontrol internal : Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

b. Control Objectives : Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

c. Management Control Framework : Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

Application Control Framework : Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.

d. Corporate IT governance : Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.

4.  Aspek Management Control Framework

1.     Planning and Organization

Mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2.     Acquisition and Implementation

Identifikassi solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

3.     Delivery and Support

Domain yang berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.

4.     Monitoring

Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan control.

Daftar pustaka :

http://ekonomisajalah.blogspot.co.id/2015/05/konsep-internal-kontrol-audit.html?m=1

http://bang-ilmu.blogspot.co.id/2016/05/cobit-itil.html?m=1

http://ferryrahman9.blogspot.co.id/2017/10/audit-sistem-informasi.html?m=1

http://globallavebookx.blogspot.co.id/2015/04/pengertian-fungsi-tujuan-dan-ruang.html?m=1

http://citrarhmdn.blogspot.co.id/2017/10/audit-sistem-informasi_24.html?m=1

1. BPK RI

BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

2. BPKP(Badan Pengawasan Keuangan dan Pembangunan) 

BPKP didirikan tahun 2006. BPKP bertugas mengendalikan keuangan dan pengawasan pembangunan nasional serta meningkatkan pendapatan negara dan meningkatkan efisiensi dan efektivitas pengeluaran anggaran pemerintah nasional dan regional. Tugas lain BPKP adalah mengevaluasi penerapan sistem pengendalian internal untuk mendeteksi dan menghalangi korupsi, serta menginvestigasi penyelewengan keuangan.

Daftar Pustaka :

http://blog.opengovindonesia.org/2017/03/03/lembaga-audit-negara-di-indonesia-mitra-baru-bagi-partisipasi-publik/

http://citrarhmdn.blogspot.co.id/2017/10/lembaga-lembaga-audit-si-di-indonesia.html

ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:

1.     Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait

2.   Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)

3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan

4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets

5.    Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir

Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:

1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA

2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA

3.   Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit

4.  Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA :

1.    Information systems audit process (sekitar 10% dari total jumlah soal)

2.    Information systems governance (15%)

3.    Systems and infrastructure life cycle management (16%)

4.    Information technology service delivery and support (14%)

5.    Protection of information assets (31%)

6.    Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian doank. Ada juga beberapa persyaratan lainnya:

1.    Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)

2.    Mematuhi ISACA Code of Professional Ethics

3.    Menjalankan IS Auditing Standards yang dikeluarkan ISACA

4.    Ikut program CPE (Continuing Professional Education)

Syarat Kelulusan

ISACA menggunakan dan laporan nilai pada skala umum 200-800. Sebagai contoh, skor skala dari 800 mewakili nilai sempurna dengan semua pertanyaan dijawab dengan benar; skor skala dari 200 adalah skor terendah mungkin dan menandakan bahwa hanya sejumlah kecil pertanyaan yang dijawab dengan benar. Calon harus menerima skor 450 atau lebih tinggi untuk lulus ujian.Sebuah skor 450 merupakan standar yang konsisten minimal pengetahuan sebagaimana ditetapkan oleh ISACA CISA Komite Sertifikasi itu. Seorang kandidat menerima nilai kelulusan kemudian dapat mengajukan permohonan sertifikasi jika semua persyaratan lain terpenuhi.

IIA COSO(The Comitte of Sponsoring Organizations of the threadway commision's) : pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh. 

ISO 1799 : Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

Sumber:

http://dokumen.tips/documents/sejarah-isaca.html

https://mukhsonrofi.wordpress.com/2008/10/23/cisa-gelar-it-auditor-bernilai-jual-tinggi/

 1-Konsep%20Audit%20Sistem%20Informasi.pdf

Analisis Risiko adalah suatu metode analisis yang meliputi faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan risiko tersebut. Tahapan kegiatan analisis risiko antara lain meliputi: identifikasi hazard, proyeksi risiko, penilaian risiko, dan manajemen risiko. Penilaian risiko dapat dilakukan secara kuantitatif atau kualitatif.

1. Identifikasi Hazard

Dalam aktivitas identifikasi, maka informasi yang akan didapatkan adalah tipe hazard dan magnitude hazard.

2. Proyeksi Risiko

Proyeksi atau estimasi risiko dilakukan untuk me-rating risiko berdasarkan kecenderungan bahwa risiko tersebut akan menjadi kenyataan dan segala konsekuensi dari masalah yang berhubungan dengan risiko tersebut. Proyeksi risiko merupakan komponen utama dalam tahap penilaian risiko.

Tahap ini meliputi: penetapan skala yg merefleksikan persepsi kecenderungan suatu risiko (skala dapat bersifat kualitatif ataupun kuantitatif), menggambarkan konsekuensi dari risiko, menetapkan dampak dari risiko, dan ketepatan secara menyeluruh dari proyeksi risiko.

3. Penilaian Risiko

Risiko diberi bobot berdasarkan persepsi dampak dan prioritas. Dampak merupakan fungsi dari 3 faktor yaitu:

·         Kecenderungan akan terjadinya kejadian.

·         Lingkup risiko, merupakan kombinasi tingkat keparahan dan jangkauan distribusi risiko.

·         Waktu dan lamanya dampak dirasakan.

4. Teknik Penilaian Risiko

Teknik penilaian risiko dapat dilakukan secara kualitatif atau kuantitatif.

Karakteristik penilaian kualitatif meliputi tipe efek kesehatan, estimasi frekuensi pemajanan (harian, mingguan, bulanan), lokasi hazard dalam hubungannya dengan tempat kerja. Sedangkan karakteristik penilaian kuantitatif meliputi data pengukuran pemajanan, konsentrasi zat, angka kesakitan/kematian, modeling analisis konsekuensi dari pemajanan terhadap hazard dan modeling frekuensi pemajanan.

4.1. Penilaian Kuantitatif Risiko    

Kuantifikasi terhadap suatu risiko akan sangat tergantung pada kondisi nature hazard, kemudahan utk diukur (measurable) dan adanya suatu standar yg dipakai. Untuk mengkuantifikasi risiko, ketiga komponen risiko (frekuensi, probabilitas dan hasil jadi atau outcome) harus bisa diekspresikan secara matematika (modeling). Modeling merupakan teknik untuk melihat pola kejadian.

Frekuensi dapat diekspresikan dengan menggunakan data riwayat pemajanan atau incident record. Probabilitas dapat dibuat skala dengan rentang nilai ( 0 < P < 1 ). Hasil jadi (outcome) atau konsekuensi dari hasil pemajanan terhadap suatu hazard dapat diukur sebagai berikut: jumlah kasus kematian atau cedera, kasus sakit serius dan biaya kerusakan (lost cost). Kelemahan penilaian risiko kuantitatif, antara lain sifatnya sangat natur sehingga tidak memperhatikan persepsi dan perlakuan terhadap hazard.

Hal lain yang dapat dilakukan secara kuantifikasi, misalnya untuk modeling kebakaran (fire and explosion). Penilaian kuantitatif risiko ini pada umumnya sangat aplikatif untuk chemical atau process engineers. Contoh penilaian kuantitatif, misalnya penentuan LD50 dan LC50. Keduanya adalah modeling utk penilaian lethal dose dan lethal concentration dengan pengukuran durasi pemajanan, konsentrasi atau dosis hazard dan hasil jadi (kematian).

4.2. Penilaian Kualitatif Risiko

Metode penilaian risiko secara kualitatif terkesan subjektif dan memberi peluang multiinterpretasi dan debat. Persepsi risiko bisa bervariasi untuk setiap orang. Ada beberapa metode yang dapat diterapkan

4.2.1. Fine’s Risk Score

Fine’s risk score adalah model untuk melakukan penilaian risiko dengan formula sbb: Risiko adalah hasil pengalian faktor-faktor yang terdiri dari: konsekuensi x faktor exposure x faktor probabilitas (R = C x E x P).

Ketiga faktor tersebut diklasifikasikan dalam beberapa kelas dan diberi rating.  Hasil perhitungan risiko (risk score) dapat dipergunakan untuk memperkirakan kejadian, mengalokasikan resources dan mengontrol hazard. Maka apabila sudah dapat men-score risiko, dapat dilakukan kalkulasi biaya untuk intervensi.

FACTOR	CLASSIFICATION	RATING
1. Consequence	Catastrophe, numerous facilities	100
	Multiple facilities	50
	Fatality	25
	Extremely serious injury	15
	Disabling injury	5
	Minor cuts, bruises, bumps	1
2. Exposure	Hazard event occurs:
	Continuously	10
	Frequently	6
	Occasionally	3
	Unusually	2
	Rarely	1
	Remotely	0,5
3. Probability	Complete accident sequence:
	Is the most likely and expected result	10
	Is quite possible, not unusual	6
	Would be an unusual sequence	3
	Remotely possible	1
	Has never happened after many years of exposure, but conceivably possible	0,5
	Practically impossible	0,1

Beberapa keterbatasan model ini antara lain:

·         Data bukan merupakan data konkret, tetapi berupa data estimasi,

·         Potensi personal bias dan pengalaman akan mempengaruhi hasil akhir, dan

·         Risk score hanya dipergunakan sbg baseline level dari risiko tidak didifinisikan sbg safe atau unsafe.

3.2.2. TTC Hazard Rating System

TTC hazard rating system mempergunakan huruf alfabet untuk me-ranking risiko.

Kriteria level: severity, probabilitas dan biaya untuk intervensi

Model ini berguna untuk komparasi penilaian risiko dari berbagai hazard dan bermanfaat utk membuat list prioritas untuk kebijakan pengendalian hazard.

CRITERIA LEVEL	CODE
	A	B	C	D
Severity	Fatality	Serious/ Lost Time Injury	First aid injury, no time	Injury not likely no measureable impact
Probability	One or more time each working day	At least once each week	At least once each month	less than once each month
Cost of Corrective Action	Less than $1 K or no cost	$ 1 K to       $ 10 K	$ 10 K to  $ 25 K	$ 25 K or more, no practical Solution

3.2.3. FLAME Model

FLAME Model merupakan kelanjutan dari Fine’s risk score dan TTC Hazard Rating system.

FLAME menghitung nilai risiko dengan mengkombinasikan beberapa variabel: Frekuensi dari proses, kecenderungan timbulnya hazard, antisipasi kerugian, misi dampak, karyawan/sistem yang terpajan.

Model risiko : R = log x, dimana x = F x L x A x M x E

F = Frekuensi             score: 1 – 100

L = Kecenderungan    score: 1 – 100

A = Antisipasi kerugian score: 1 – 100

M = Misi dampak        score: 1 – 100

E = Karyawan yang terpajang

Very high risk  score: 8

High risk          score: 6 — 7,99

Substansial risk score: 4 —5,99

Possible risk    score: 2 — 3,99

Doubtful risk   score: < 2,00

REFERENSI

1)    http://soemarno.multiply.com/analisis risiko

2)  Tjandra Yoga Aditama & Tri Hastuti (Ed.).  2002. Kesehatan dan Keselamatan Kerja.Jakarta: Penerbit Universitas Indonesia

3)  https://fadhilhayat.wordpress.com/2010/08/27/analisis-risiko-2/

1.           Audit Internal

Audit internal adalah auditor yang bekerja untuk perusahaan dimana mereka bekerja. Mereka bertugas untuk mengawasi asset atau Saveguard of Asset dan mengawasi aktifitas sehari-hari operasional perusahaan mereka. Dan juga mempunyai tugas membantu manajemen puncak (top management) dalam mengawasi asset (saveguard of asset) dan mengawasi kegiatan operasional perusahaan sehari-hari. bekerja untuk perusahaan yang mereka audit, oleh karena itu tugas auditor intern adalah mengaudit manajemen perusahaan termasuk compliance audit.

Definisi Audit Internal Menurut Para Ahli

Dan Guy (2002:5) telah mendefinisikan audit sebagai berikut :

Audit merupakan suatu proses sistematis yang  secara  obyektif memperoleh dan mengevaluasi bukti yang terkait dengan pernyataan mengenai tindakan atau kejadian ekonomi untuk menilai tingkat kesesuaian antara pernyataan tersebut dan kriteria yang telah ditetapkan serta mengkomunikasikan hasilnya kepada pihak-pihak yang berkepentingan.

Fungsi dan Tujuan Internal Audit

Perusahaan perkebunan memiliki kedudukan yang penting dalam perekonomian dan pembangunan, maka fungsi internal audit menjadi semakin penting. Secara umum dapat dikatakan bahwa fungsi internal audit bagi manajemen perusahaan adalah untuk menjamin pelaksanaan operasional yang sesuai dengan ketentuan-ketentuan yang berlaku.

Di dalam perusahaan, internal audit merupakan fungsi staff, sehingga tidak memiliki wewenang untuk langsung memberi perintah kepada pegawai, juga tidak dibenarkan untuk melakukan tugas-tugas operasional dalam perusahaan yang sifatnya di luar kegiatan pemeriksaan.

Audit internal terlibat dalam memenuhi kebutuhan manajemen, dan staf audit yang paling efektif meletakkan tujuan manajemen dan organisasi di atas rencana dan aktivitas mereka. Tujuan-tujuan audit disesuaikan dengan tujuan manajemen, sehingga auditor internal itu sendiri berada dalam posisi untuk menghasilkan nilai tertinggi pada hal-hal yang dianggap manajemen paling penting bagi kesuksesan organisasi.

Perumusan fungsi internal audit dalam perusahaan biasanya menyangkut sistem pengendalian manajemen, ketaatan, pengungkapan  penyimpangan, efisiensi dan efektivitas, manajemen risiko, dan proses tata kelola (good corporate governance).

Fungsi internal audit menjadi semakin penting sejalan dengan semakin kompleksnya operasional perusahaan. Manajemen tidak mungkin dapat mengawasi seluruh kegiatan operasional perusahaan, karena itu manajemen sangat terbantu oleh fungsi internal audit untuk menjaga efisiensi dan efektivitas kegiatan.

Sawyer (2005:32) menyebutkan fungsi internal audit bagi manajemen sebagai berikut :

·         Mengawasi kegiatan-kegiatan yang tidak dapat diawasi sendiri oleh manajemen puncak.

·         Mengidentifikasi dan meminimalkan risiko.

·         Memvalidasi laporan ke manajemen senior.

·         Membantu manajemen pada bidang-bidang teknis.

·         Membantu proses pengambilan keputusan.

·         Menganalisis masa depan – bukan hanya untuk masa lalu.

·         Membantu manajer untuk mengelola perusahaan.     

Tujuan pemeriksaan yang dilakukan oleh internal auditor adalah untuk membantu semua pimpinan perusahaan (manajemen) dalam melaksanakan tanggung jawabnya dengan memberikan analisa, penilaian, saran dan komentar mengenai kegiatan yang diperiksanya. Untuk mencapai tujuan tersebut, internal auditor harus melakukan kegiatan-kegiatan berikut :

- Menelaah dan menilai kebaikan, memadai tidaknya dan penerapan dari sistem pengendalian manajemen, pengendalian intern, dan pengendalian operasional lainnya serta mengembangkan pengendalian yang efektif dengan biaya yang tidak terlalu mahal- Memastikan ketaatan terhadap kebijakan, rencana dan prosedur-prosedur yang telah ditetapkan oleh manajemen
-  Memastikan seberapa jauh harta perusahaan dipertanggung jawabkan dan dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan penyalahgunaan
- Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapat dipercaya
- Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikan oleh manajemen.
-  Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan efisiensi dan efektivitas.

2.            Audit Sistem Informasi

Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

Jenis-jenis Audit Sistem Informasi

Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut.

a. Audit Laporan Keuangan (Financial Statement Audit)

Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

b. Audit Operasional (Operational Audit)

Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:

Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.      
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.

Concurrent audit (audit secara bersama)           
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.

Concurrent Audits (audit secara bersama-sama)         
Auditor mengevaluasi kinerja unit fungsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu: 

a. Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.    

b. Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian

c. Efektifitas Sistem

Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.  

d. Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.       

e. Ekonomis

Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

3.           Audit Kecurangan

Pengertian Audit Kecurangan

Fraud auditing atau audit kecurangan adalah upaya untuk mendeteksi dan mencegah kecurangan dalam transaksi-transaksi komersial. Untuk dapat melakukan audit kecurangan terhadap pembukuan dan transaksi komersial memerlukan gabungan dua keterampilan, yaitu sebagai auditor yang terlatih dan kriminal investigator.

Apabila suatu kesalahan adalah disengaja, maka kesalahan tersebut merupakan kecurangan (fraudulent). Istilah “Irregulary” merupakan kesalahan penyajian keuangan yang disengaja atas informasi keuangan. Auditor terutama tertarik pada pencegahan, deteksi, dan pengungkapan kesalahan-kesalahan karena alasan berikut ;

a. Eksistensi kesalahan dapat menunjukan bagi auditor bahwa catatan akuntansi dari kliennya tidak dapat dipercaya dan dengan demikian tidak memadai sebagai suatu dasar untuk penyusunan laporan keuangan. Adanya sejumlah besar kesalahan dapat mengakibatkan auditor menyimpulakan bahwa catatan akuntansi yang tepat tidak dilakukan.

b. Apabila auditor ingin mempercayai pengendalian intern, ia harus memastikan dan menilai pengendalian tersebut dan melakukan pengujian ketaatan atas operasi. Apabila pengujian ketaatan menunjukan sejumlah besar kesalahan, maka auditor tidak dapat mempercayai pengendalian intern.

c. Apabila kesalahan cukup material, kesalahan tersebut dapat mempengaruhi kebenaran (truth) dan kewajaran (fairness) laporan tersebut.

Istilah kecurangan digunakan untuk berbagai perbuatan dosa yang termasuk :

a. Kecurangan yang melibatkan perlakuan penipuan untuk mendapatkan keuntungan keuangan yang tidak adil atau ilegal.          

b. Pernyataan salah yang disengaja dalam penghilangan suatu jumlah atau pengungkapan dati catatan akuntansi atau laporan keuangan suatu entitas.

c. Pencurian (theft), apakah disertai dengan penyataan yang salah dari catatan akuntansi atau laporan keuangan atau tidak.

4.           Audit Eksternal

Audit Eksternal adalah pemeriksaan berkala terhadap pembukuan dan catatan dari suatu entitas yang dilakukan oleh pihak ketiga secara independen (auditor), untuk memastikan bahwa catatan-catatan telah diperiksa dengan baik, akurat dan sesuai dengan konsep yang mapan, prinsip, standar akuntansi, persyaratan hukum dan memberikan pandangan yang benar dan wajar keadaan keuangan badan.

Definisi Audit Eksternal lain adalah:

Audit eksternal adalah review dari laporan keuangan atau laporan dari suatu entitas, biasanya pemerintah atau bisnis, oleh seseorang tidak berafiliasi dengan perusahaan atau lembaga. Audit eksternal memainkan peran utama dalam pengawasan keuangan perusahaan dan pemerintah karena mereka dilakukan oleh individu di luar dan karena itu memberikan pendapat tidak memihak. Audit eksternal biasanya dilakukan secara berkala oleh bisnis, dan biasanya diperlukan tahunan oleh hukum bagi pemerintah.

5.           Audit Keuangan

Audit Laporan Keuangan 
Menurut Boynton dan Kell (2003:6), terdapat tiga tipe audit, yaitu:

1. Audit laporan keuangan (financial statement audit), berkaitan dengan kegiatan memperoleh dan mengevaluasi bukti tentang laporan-laporan entitas dengan maksud agar dapat memberikan pendapat apakah laporan-laporan tersebut telah disajikan secara wajar sesuai dengan kriteria yang telah ditetapkan, yaitu prinsip-prinsip akuntansi yang berlaku umum (GAAP).   

2. Audit kepatuhan (compliance audit), berkaitan dengan kegiatan memperoleh dan memeriksa bukti-bukti untuk menetapkan apakah kegiatan keuangan atau operasi suatu entitas telah sesuai dengan persyaratan ketentuan, atau peraturan tertentu.

3. Audit operasional (operational audit), berkaitan dengan kegiatan memperoleh dan mengevaluasi bukti-bukti tentang efisiensi dan efektivitas kegiatan operasi entitas dalam hubungannya dengan pencapaian tujuan tertentu.

Yusuf (2001:6) menyatakan audit atas laporan keuangan adalah salah satu bentuk jasa atestasi yang dilakukan auditor. Dalam pemberian jasa ini, auditor menerbitkan laporan tertulis yang berisi pernyataan pendapat apakah laporan keuangan telah disusun sesuai dengan prinsip-prinsip yang berlaku umum.

Dalam PSA No. 02 (IAI,2001:110.1) dinyatakan bahwa tujuan audit umum atas laporan keuangan oleh auditor independen adalah untuk menyatakan pendapat atas kewajaran dalam semua hal yang material, posisi keuangan, hasil usaha, dan arus kas yang sesuai dengan prinsip akuntansi yang berlaku umum. Laporan auditor merupakan sarana bagi auditor untuk menyatakan pendapatnya, atau apabila keadaan mengharuskan, untuk menyatakan tidak memberikan pandapat, ia harus menyatakan apakah auditnya telah dilaksanakan berdasarkan standar auditing yang telah ditetapkan Ikatan Akuntan Indonesia.

Dalam pelaksanaannya, audit atas laporan keuangan melalui beberapa tahapan (Mulyadi dan Puradiredja,1997:117), yaitu:

1. Penerimaan Penugasan Audit.           
Di dalam memutuskan apakah suatu penugasan audit dapat diterima atau tidak, auditor menempuh suatu proses yang terdiri dari 6 tahap, yaitu:     
a. Mengevaluasi integritas manajemen.             
b. Mengidentifikasi keadaan khusus dan resiko luar biasa.  
c. Menentukan kompensasi untuk melaksanakan audit.       
d. Menilai independensi.   
e. Menentukan kemampuan untuk menggunakan kecermatan dan keseksamaan.        
f. Membuat surat penugasan audit.

2. Perencanaan Audit.       
Keberhasilan penyusunan penugasan audit sangat ditentukan oleh kualitas perencanaan audit yang dibuat oleh auditor. Tujuh tahapan yang harus ditempuh oleh auditor dalam merencanakan auditnya, yaitu: 
a. Memahami bisnis dan industri klien   
b. Melaksanakan prosedur analitik.        
c. Mempertimbangkan tingkat materialitas awal.          
d. Mempertimbangkan risiko bawaan.    
e. Mempertimbangkan berbagai faktor yang berpengaruh terhadap saldo awal, jika penugasan klien berupa audit tahun pertama.        
f. Mereview informasi yang berhubungan dengan kewajiban-kewajjiban legal klien.
g. Mengembangkan strategi audit awal terhadap asersi signifikan. 
h. Memahami struktur pengendalian intern klien.

3. Pelaksanaan Pengujian Audit 
Tahap ini disebut juga tahap ”pekerjaan lapangan”. Tujuannya adalah untuk memperoleh bukti auditing tentang efektivitas struktur pengendalian intern klien dan kewajaran laporan keuangan klien. Tahap ini harus mengacu pada standar pekerjaan lapangan.

4. Pelaporan Audit. 
Tahap ini harus mengacu pada standar pelaporan. Dua langkah penting yang dilakukan adalah menyelesaikan audit dengan meringkas semua hasil pengujian dan menarik kesimpulan serta menerbitkan laporan audit yang melampiri laporan keuangan yang diterbitkan klien.

Daftar Pustaka :

http://www.landasanteori.com/2015/10/pengertian-audit-internal-definisi.html

http://dosenakuntansi.com/pengertian-dan-jenis-jenis-audit

http://www.akuntansilengkap.com/akuntansi/jenis-jenis-audit-dan-auditor/

http://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html

https://fadlyknight.wordpress.com/2012/06/06/jenis-jenis-audit/