Jenis - Jenis Audit

Audit adalah proses-proses yang dilakukan oleh auditor untuk memperoleh bukti-bukti yang akurat tentang aktivitas ekonomi pada suatu entitas. Audit akan dilakukan untuk menyetarakan derajat kewajaran pada aktivitas perekonomian entitas tersebut, apa sudah sesuai dengan yang telah ditetapkan atau belum. Lalu hasil dari audit akan dilaporkan kepada pihak-pihak yang memiliki kepentingan dengan entitas tersebut.

Atau audit merupakan proses sistematik untuk mendapatkan dan mengevaluasi bukti-bukti secara obyektif mengenai pertanyaan yang berhubungan dengan kegiatan dan kejadian pada perekonomian suatu entitas, yang bertujuan untuk menetapkan kesesuaian antara pertanyaan tersebut dengan kriteria yang telah ditetapkan. Lalu hasil dari audit akan disampaikan kepada pihak-pihak yang memiliki kepentingan dengan entitas tersebut misalnya seperti pemegang saham, kreditor dan lain-lain.
Jenis - Jenis Audit


Audit Internal
Internal audit adalah sebuah organisasi independen, dan aktivitas obyektif jaminan konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi.
Auditor internal diharapkan menerapkan dan menegakkan prinsip-prinsip sebagai berikut:

1. Integritas / kejujuran
Integritas auditor internal membangun kepercayaan dan dengan demikian memberikan dasar untuk landasan penilaian mereka.

Integritas merupakan suatu elemen karakter yang mendasari timbulnya pengakuan profesional. Integritas merupakan kualitas yang mendasari kepercayaan publik dan merupakan patokan (benchmark) bagi anggota dalam menguji semua keputusan yang diambilnya. Integritas mengharuskan seorang anggota untuk, antara lain, bersikap jujur dan berterus terang tanpa harus mengorbankan rahasia penerima jasa, pelayanan dan kepercayaan publik tidak boleh dikalahkan oleh keuntungan pribadi. Integritas dapat menerima kesalahan yang tidak disengaja dan perbedaan pendapat yang jujur, tetapi dapat menerima kecurangan atau peniadaan prinsip. (Mulyadi, 2002)

2. Objektivitas
Auditor internal menunjukkan objektivitas profesional tingkat tertinggi dalam mengumpulkan, mengevaluasi, dan mengkomunikasikan informasi tentang kegiatan atau proses yang sedang diperiksa. Auditor internal membuat penilaian yang seimbang dari semua keadaan yang relevan dan tidak dipengaruhi oleh kepentingan-kepentingan mereka sendiri atau pun orang lain dalam membuat penilaian.

Obyektivitas adalah suatu kualitas yang memberikan nilai atas jasa yang diberikan anggota. Prinsip Obyektivitas mengharuskan anggota bersikap adil, tidak memihak, jujur secara intelektual, tidak berprasangka atau bias, serta bebas dari benturan kepentingan atau berada di bawah pengaruh pihak lain. Anggota bekerja dalam berbagai kapasitas yang berbeda dan harus menujukkan obyektivitas mereka di berbagai situasi. Anggota dalam praktik akuntan publik memberikan jasa atestasi, perpajakan, serta konsultasi manajemen. Anggota yang lain menyiapkan laporan keuangan sebagai seorang bawahan, melakukan jasa audit intern yang bekerja dalam kapasitas keuangan dan manajemennya di industri, pendidikan dan pemerintah. Mereka harus melindungi integritas pekerjaannya dan memelihara obyektivitas. (Mulyadi, 2002).

3. Kerahasiaan
Auditor internal menghormati nilai dan kepemilikan informasi yang mereka terima dan tidak mengungkapkan informasi tanpa izin kecuali ada ketentuan perundang-undangan atau kewajiban profesional untuk melakukannya.

4. Kompetensi
Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal.

Audit Sistem Informasi
Tujuan audit sistem informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu: Conformance(Kesesuaian)- pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu: Confidentiality (kerahasiaan), Integrity (integritas), Availability (ketersediaan), dan compliance (kepatuhan). Berikutnya adalah Performance(Kinerja)- pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : effectiveness (efektifitas), efficiency (efisiensi), reliability (kehandalan).

Audit Kecurangan (Fraud)mengkhususkan dalam menyelidiki kecurangan dan bekerja secara tertutup dengan internal auditor dan pengacara. Fraud examminer misalnya : kesatuan FBI penyelidikan kecurangan, perusahaan besar akuntan publik, IRS, dan perusahaan asuransi.

Audit KeuanganAudit Keuangan atau lebih tepat disebut sebagai Audit laporan keuangan merupakan penilaian atas suatu perusahaan atau badan hukum lainnya (termasuk pemerintah) sehingga dapat dihasilkan pendapat yang independen tentang laporan keuangan yang relevan, akurat, lengkap, dan disajikan secara wajar. Audit keuangan biasanya dilakukan oleh firma-firma akuntan karena pengetahuannya akan laporan keuangan.

sumber :
http://scdc.binus.ac.id/isgbinus/2016/04/apa-itu-audit-sistem-informasi/
https://id.wikipedia.org/wiki/Audit_keuangan
https://www.kompasiana.com/ema_surya/audit-internal-audit-operasional-audit-sektor-publik_556c4665589373c6038b4567

Read More

Standar dan Panduan Audit Sistem Informasi

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.
• Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global
• ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan
• Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures
• Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.
• Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
• Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.
• Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2. COSO

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
1. Lingkungan pengendalian
2. Penilaian resiko
3. Aktifitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan


3. ISO 1799

Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.


SUMBER:
herunugroho.staff.telkomuniversity.ac.id/files/2016/08/Standar-Audit-SI.pptx
https://ccaccounting.wordpress.com/2013/10/21/jenis-jenis-audit/

Read More

Lembaga - Lembaga Audit

1. LPAI
LPÄI Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

2. BPK

BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing..

Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri. Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri.

3. BPKP

Badan Pengawasan Keuangan dan Pembangunan, atau yang disingkat BPKP, adalah Lembaga pemerintah nonkementrian Indonesia yang melaksanakan tugas pemerintahan di bidang pengawasan keuangan dan pembangunan yang berupa Audit, Konsultasi, Asistensi, Evaluasi, Pemberantasan KKN serta Pendidikan dan Pelatihan Pengawasan sesuai dengan peraturan yang berlaku.

Hasil pengawasan keuangan dan pembangunan dilaporkan kepada Presiden selaku kepala pemerintahan sebagai bahan pertimbangan untuk menetapkan kebijakan-kebijakan dalam menjalankan pemerintahan dan memenuhi kewajiban akuntabilitasnya. Hasil pengawasan BPKP juga diperlukan oleh para penyelenggara pemerintahan lainnya termasuk pemerintah provinsi dan kabupaten/kota dalam pencapaian dan peningkatan kinerja instansi yang dipimpinnya.

sumber : http://blog.opengovindonesia.org/2017/03/03/lembaga-audit-negara-di-indonesia-mitra-baru-bagi-partisipasi-publik/

Read More

Analisis Resiko

Analisis Resiko

Secara sederhana, analisis resiko atau risk analysis dapat diartikan sebagai sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi. Analisis resiko juga dipahami sebagai sebuah proses untuk menentukan pengamanan macam apa yang cocok atau layak untuk sebuah sistem atau lingkungan (ISO 1799, “An Introduction To Risk Analysis”, 2012).

Berikut ini akan dijabarkan beberapa tipe dari analisis resiko:

A. Analisis Resiko Kuantitatif dan Kualitatif

James W. Meritt, dalam A Method for Quantitative Risk Analysis, menjelaskan bahwa Analisis Resiko Kuantitatif merupakan satu metode analisis resiko yang mengenali pengendalian pengamanan apa dan bagaimana yang seharusnya diterapkan serta besaran biaya untuk menerapkannya.  Sedangkan Analisis Resiko Kualitatif digunakan untuk meningkatkan kesadaran atas masalah keamanan sistem informasi dan sikap dari sistem yang sedang dianalisis tersebut.

Lebih lanjut, Meritt menerangkan bahwa dua metode tersebut dapat berkombinasi menjadi satu, yang kemudian dikenal sebagai metode hibrida atau Hybrid method. Metode Hibrida merupakan sebuah kombinasi dari dua metode analisis resiko kuantitatif dan kualitatif, dan dapat digunakan untuk menerapkan komponen-komponen yang memanfaatkan informasi yang tersedia sekaligus memperkecil matriks yang terkumpul dan dihitung. Metode ini, sayangnya, kurang intinsif secara numeric (tetapi lebih murah biayanya) dibandingkan dengan sebuah metode analisis yang dilakukan secara lengkap dan mendalam.

Menurut J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan metode analisis resiko secara umum, yaitu sebagai berikut:

1. Pertama, menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.

2. Menetapkan aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.

3. Risks and Threats.  Resiko (risk) adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga memunculkan satu resiko.

4. Menentukan koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.

5. Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.

6. Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.

7. Melakukan kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.

8. Controls atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.

9. Melakukan analisis terhadai control atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.

B. Metodologi Analisis Resiko Eugene Tucker

Eugene Tucker, dalam Other Risk Analysis Methodologies, menjelaskan bahwa terdapat banyak metode analisis resiko dan kerentanan. Bagi satuan pengamanan professional, merupakan satu keharusan baginya untuk mengetahui dan menyadari perbedaan dasar dari metodologi-metodologi yang ada tersebut. Secara lebih lanjut, Tucker menjabarkan beberapa metodologi analisis resiko dan kerentanan, antara lain adalah Operational Risk Management (ORM), CARVER+Shock, dan Vulnerability Self Assessment Tool (VSAT).

Operational Risk Management (ORM) merupakan sebuah sistem manajemen resiko berbasis teknis yang umumnya digunakan oleh lembaga Administrasi Penerbangan Federal (Federal Aviation Administration) dan militer untuk menguji kemanan dan resiko atas sistem yang ada. Perangkat analisis ini dirancang untuk mengenali manfaat dan resiko cara kerja untuk menentukan arah terbaik dari satu tindakan yang diambil dalam situasi tertentu. Resiko yang diteliti itu dapat merupakan akibat dari proses yang tidak memadai atau gagal, dari orang, dari sistemnya sendiri, maupun dari kejadian-kejadian di luar sistem (bersifat eksternal).

Lembaga Administrasi Obat-obatan dan Makanan atau Food and Drugs Administration (FDA), merupakan salah satu contoh lembaga di Amerika Serikat yang menggunakan metode ORM dalam mempertanggungjawabkan kemanan satu produksi pengimporan, pergudangan (warehousing), transportasi dan pesebaran makanan (barang konsumsi) di negara tersebut. Secara umum, seperti yang dilakukan oleh FDA, terdapat enam langkah dari ORM, yaitu (1) mengenali bahaya (identify the hazards; (2) menakar atau menilai resiko yang ada (assess the risk); (3) menganalisa ukuran pengendealian resiko (analyze risk control measures); (4) membuat putusan pengendalian (make control decision); (5) menerapkan pengendalian resiko (implement risk controls); dan (6) pengawasan dan peninjauan (supervise and review).

Sedangkan metodologi analisis resiko CARVER+Shock—satu metode yang digunakan oleh Departemen Pertahanan Amerika Serikat, yang kemudian diadaptasi oleh beberapa lembaga lainnya, seperti Departemen Pertanian Amerika Serikat (USDA), Food Safety and Inspeection (FSIS), dan Badan Keamanan Dalam Negeri Ketahanan Pangan dan Kesiapsiagaan Darurat (OFSED)—merupakan sebuah perangkat yang lebih bersifat memprioritaskan target ofensif untuk mengidentifikasi simpul-simpul kritis yang cenderung rentan menjadi target dari serangan teroris, dan juga untuk merancangkan ukuran pencegahan dalam mengurangi resiko. Cara ini, sesungguhnya, memiliki hubungan dengan metodologi dalam ORM.

Metode CARVER+Shock mempertimbangkan dan membahas tujuh faktor yang mempengaruhi daya tarik dari sebuah target (korban resiko), antara lain:

Critically, yakni sejauh mana faktor kesehatan publik dampak eknomi mencapai intense penyerang atau pelaku (attacker). Faktor ini mengajukan pertanyaan seberapa pentingnya sebuah target sebagaimana ditentukan oleh dampak dari pengerjaan dan pengrusakan?

Accessibility, yakni akses atau jalan masuk terhadap target. Faktor ini mempertanyakan semudah apa sebuah target dapat disentuh, baik melalui cara penyusupan (infilotrasi) maupun dengan menggunakan alat atau senjata (weapons)?

Recuperability, yakni kemampuan sistem yang ada untuk memulihkan diri dari sebuah serangan. Faktor ini mengusung pertanyaan berapa lama waktu yang dibutuhkan untuk mengganti atau memperbaiki target setiap kali mendapat serangan (kerusakan)?

Vulnerability, yakni kerentanan atau kemudahan terjadinya serangan.

Effect, yakni jumlah kerugian langsung akibat terjadinya serangan.

Recognizability, yakni kemudahan dalam mengenali sebuah target.

Shock, yakni efek psikologis dari sebuah serangan.

Hasil dari analisis tentang ketujuh faktor tersebut menjadi rumusan dasar bagi pengelolaan dalam membangun dan mengembangkan strategi pengamanan.

Sementara itu, Vulnerability Self Assessment Tool (VSAT) merupakan metodologi sekaligus software yang digunakan untuk membangun atau merancang sistem keamanan yang mampu melindungi target spesifik dari aksi-aksi spesifik lawan (adversaries). Cara ini dianggap pula sebagai metodologi kualitatif berbasis nilai kegunaan (asset-based). Tujuannya ialah untuk menaksir kerentanan, mengembangkan prioritas berdasarkan biaya dan kelayakan satu proses remediasi, dan menentukan solusi yang paling potential untuk kerentanan yang paling diprioritaskan. Software VSAT sendiri juga memungkinkan bagi petugas pengamanannya untuk memodifikasi dan merancang perlakuan tambahan (ancaman buatan) dan tindakan balasan (countermeasure).

VSAT juga menggunakan sebuah garis penilaian dan analisis penyempurnaan untuk menghitung Risk Reduction Units dari ‘tindakan balasan yang ditentukan’ dalam proses analisis. Biaya dari modifikasi ini kemudian dikalkulasi, dan hasilnya menjadi patokan untuk menentukan biaya adau modal dalam melaksanakan rancangan pengamanan. Terdapat sebelas langkah penilaian dalam metode VSAT, yaitu (1) mengidentifikasi asset; (2) mengeidentifikasi ancaman; (3) menentukan simpul yang rentan; (4) mengenali keberadaan tindakan balasan (countermeasure); (5) menentukan tingkat resiko; (6) menentukan kemungkinan terjadinya kesalahan atau kegagalan; (7) menetapkan kerentanan; (8) menentukah kecocokan resiko; (9) mengembangkan tindakan balasan (countermeasure) baru; (10) memperagakan analisis biaya resiko; (11) mengembangkan sebuah perencanaan yang berkelanjutan.

Sumber : https://manshurzikri.wordpress.com/2012/06/04/analisis-resiko-dan-beberapa-metodologinya/

Read More