Lembaga-Lembaga Audit Sistem Informasi di Indonesia

Berikut ini adalah beberapa lembaga Audit Sistem Informasi di Indonesia :

1. Ikatan Audit Sistem Informasi Indonesia (IASII).

Ikatan Audit Sistem Informasi Indonesia (IASII) didirikan pada 20 Mei 2014. Lembaga ini dibentuk oleh beberapa praktisi dari berbagai universitas dan organisasi lainnya dibidang sistem informasi. Lembaga ini memiliki tujuan yaitu untuk menghindari penyimpangan dalam penggunaan sistem informasi yang semakin pesat di Indonesia. IASII bekerja sama dengan beberapa lembaga lain seperti Ikatan Akuntan Indonesia (IAI), Information System Audit and Control Association-Chapter Indonesia (ISACA), Institute of Internal Auditor, Forum Komunikasi Satuan Pengawas Intern.

2. Information System Audit and Control Association (ISACA).

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. JaringanISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, salah satunya ialah di Indonesia. ISACA sendiri telah membuat standar untuk audit sistem informasi di seluruh dunia.

3. BPK RI

Didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

4. Keuangan BPKP (Badan Pengawasan dan Pembangunan).

BPKP didirikan tahun 2006. BPKP bertugas mengendalikan keuangan dan pengawasan pembangunan nasional serta meningkatkan pendapatan negara dan meningkatkan efisiensi dan efektivitas pengeluaran anggaran pemerintah nasional dan regional. Tugas lain BPKP adalah mengevaluasi penerapan sistem pengendalian internal untuk mendeteksi dan menghalangi korupsi, serta menginvestigasi penyelewengan keuangan.

5. LPAI

Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

Referensi :

https://naufalakmalfauzi.wordpress.com/2018/10/19/lembaga-lembaga-audit-sistem-informasi-di-indonesia/

Standar dan Panduan ISACA, IIA COSO, ISO 1799

ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:

1. Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait
2. Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)
3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan
4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets
5. Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir

Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:

1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA
2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA
3. Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit
4. Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA

1. Information systems audit process (sekitar 10% dari total jumlah soal)
2. Information systems governance (15%)
3. Systems and infrastructure life cycle management (16%)
4. Information technology service delivery and support (14%)
5. Protection of information assets (31%)
6. Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian saja. Ada juga beberapa persyaratan lainnya:

1. Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)
2. Mematuhi ISACA Code of Professional Ethics
3. Menjalankan IS Auditing Standards yang dikeluarkan ISACA
4. Ikut program CPE (Continuing Professional Education)

IIA COSO

Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi standar di seluruh dunia untuk membangun pengendalian internal. The Committee of Sponsoring Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :

• Financial Executives International (FEI)

• the American Accounting Association (AAA)

• the American Institute of Certified Public Accountants (AICPA)

• the Institute of Internal Auditors (IIA)

• the Institute of Management Accountants (IMA) (formerly the National Association of Accountants).

Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka. COSO 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.

1. Lingkungan Pengendalian (Control Environment)

Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi landasan terselenggaranya pengendalian internal di dalam organisasi secara menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya pengendalian internal dan standar perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi. Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi; parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian berdampak luas terhadap sistem pengendalian internal secara keseluruhan.

2. Penilaian Risiko (Risk Assessment)

Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa diidentifikasi dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan menajemen untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Control Activities)

Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakan arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis, manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.

4. Informasi dan komunikasi (information and communication)

Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan. . Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk mendukung komponen-komponen pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana yang dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.

5. Kegiatan Pemantauan (Monitoring Activites)

Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan ini dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendlaian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic, bervariasi lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.

ISO1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

- pengorganisasian keamanan informasi;

- manajemen aset;

- keamanan sumder daya manusia;

- keamanan fisik dan lingkungan;

- komunikasi dan manajemen operasi;

- kontrol akses;

- akuisisi sistem informasi, pengembangan dan pemeliharaan;

- manajemen insiden keamanan informasi;

- manajemen kontinuitas bisnis

- pemenuhan.

Referensi:

https://www.iso.org/standard/39612.html

https://dwianita96.wordpress.com/2017/10/13/standar-dan-panduan-untuk-audit-sistem-informasi/

https://medium.com/@khristdamay/kerangka-pengendalian-coso-f4ecca22a10f

Analisis Risiko

Analisis Risiko
Analisis risiko adalah sebuah teknik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan keberhasilan sebuah bisnis, program, proyek, atau individu untuk mencapai tujuan. Teknik ini juga membantu menentukan tindakan pencegahan untuk mengurangi kemungkinan faktor itu terjadi dan mengidentifikasi tindakan yang berhasil menangani kendala-kendala yang berkembang.

Analisis risiko merupakan bagian dari manajemen risiko, yang terdiri dari langkah-langkah sebagai berikut

Identifikasi kemungkinan kondisi, peristiwa, atau situasi negatif eksternal dan internal
Penentuan hubungan sebab-akibat antara peluang kejadian, skalanya, dan kemungkinan dampaknya
Evaluasi berbagai dampak di bawah asumsi dan probabilitas yang berbeda
Penerapan teknik kualitatif dan kuantitatif untuk mengurangi ketidakpastian dari dampak dan biaya, kewajiban, atau kerugian.


Referensi:
http://kamusbisnis.com/arti/analisis-risiko/

Penjelasan Audit Internal, Audit Eksternal, Audit Sistem Informasi, Audit Kecurangan, dan Audit Keuangan

1. Audit Internal

Audit internal yaitu audit yang dilakukan oleh karyawan internal perusahaan yang disebut sebagai internal auditor. Internal auditor ditunjuk oleh manajer perusahaan, sehingga mereka bertanggung jawab kepada manajer.

2. Audit Eksternal

Audit eksternal yaitu audit yang dilakukan oleh pihak-pihak independen yang berasal dari perusahaan lain. Audit eksternal bukan merupakan karyawan dari perusahaan tersebut sehingga tidak bertanggungjawab kepada manajer peruahaan. Audit eksternal harus dilakukan oleh akuntan public.

3. Audit Sistem Informasi

Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

4. Audit Kecurangan

Audit kecurangan adalah berbagai prosedur yang dilakukan untuk memeriksa apakah suatu laporan keuangan perusahaan terindikasi telah terjadi suatu bentuk kecurangan yang dilakukan secara sengaja oleh pihak-pihak tertentu sehingga menimbulkan salah saji yang material sehingga bisa menipu para pengguna laporan keuangan.

5. Audit Keuangan

Audit keuangan merupakan kegiatan mengumpulkan dan mengevaluasi bukti tentang laporan-laporan suatu entitas dengan tujuan memberikan pendapat (opini) tentang laporan tersebut apakah sesuai dengan kriteria yang ditetapkan sesuai prinsip-prinsip akuntansi yang berlaku umum.

Referensi:

https://akuntansikeuangan.com/perngertian-audit/

https://www.akuntansilengkap.com/akuntansi/jenis-jenis-audit-dan-auditor/

http://www.materiakuntansi.com/pengertian-audit-kecurangan/

https://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html