AUDIT SISTEM INFORMASI

KONSEP RESIKO DAN PENGENDALIAN INTERNAL DALAM AUDIT SISTEM

INFORMASI

Dibuat dalam rangka memenuhi tugas Mata Kuliah Audit Sistem Informasi

Dosen Pengampu Mata Kuliah :

Dr. Rita Yuniarti, S.E., M.M., Ak., CA.

Oleh:
Dwita Ninzi Maiviza : 51622220013
Agung Dzulfikar Rahman Utama : 231632006

JURUSAN PROGRAM MAGISTER

AKUNTANSIUNIVERSITAS WIDYATAMA
BANDUNG
2024
 BAB I
PEMBAHASAN

1. Konsep Resiko
Risiko dapat didefinisikan sebagai kombinasi dari probabilitas terjadinya suatu peristiwa
dan konsekuensi (dampak) dari peristiwa tersebut. Dalam konteks yang lebih luas, risiko
sering dikaitkan dengan ketidakpastian terhadap hasil masa depan, baik yang berdampak
negatif maupun positif. Namun, dalam praktiknya, risiko lebih sering diidentifikasi dengan
hasil yang negatif.
Risiko (risk) dan kontrol (control) berkaitan dengan exsposures. Kata exposures itu
sendiri menurut the English oxford dictionary adalah berasal dari kata expose yang berarti
uncover make visible atau leave unprotected. Sedangkan kata risiko (risk) is the probability
of occurance, Controls are need to reduce exposures. Risiko yang dihadapi pada system
berbasis teknologi informasi lebih rumit dan perlu didesain dengan metoda yang berbeda
dibanding system secara manual.
Risiko dapat dikategorikan ke dalam beberapa jenis, tergantung pada aspek yang dilihat.
Beberapa kategorisasi utama meliputi:
1. Risiko Murni dan Risiko Spekulatif
1) Risiko Murni adalah risiko yang hanya menghasilkan dua kemungkinan: kerugian atau
tidak ada kerugian sama sekali. Contohnya adalah bencana alam.
2) Risiko Spekulatif mencakup kemungkinan adanya kerugian atau keuntungan. Investasi
di pasar saham merupakan contoh risiko spekulatif.

2. Risiko Sistemik dan Risiko Non-Sistemik

1) Risiko Sistemik adalah risiko yang mempengaruhi seluruh sistem, seperti krisis
keuangan global.
2) Risiko Non-Sistemik adalah risiko yang hanya mempengaruhi entitas atau industri
tertentu.

3. Risiko Strategis, Risiko Operasional, dan Risiko Finansial

1) Risiko Strategis terkait dengan keputusan strategis yang mempengaruhi kemampuan
organisasi dalam mencapai tujuannya.
2) Risiko Operasional berkaitan dengan proses operasional internal organisasi.
3) Risiko Finansial melibatkan risiko moneter, seperti risiko kredit dan risiko pasar.
 Pengelolaan risiko merupakan proses identifikasi, penilaian, dan pengaturan prioritas
risiko diikuti oleh penerapan sumber daya untuk mengurangi, mengendalikan, atau menerima
risiko. Beberapa strategi dalam mengelola risiko meliputi:
1. Penghindaran Risiko
Mengeliminasi aktivitas yang menyebabkan risiko. Strategi ini mungkin berarti
menghindari investasi pada aset yang berisiko tinggi atau memilih untuk tidak memasuki
pasar yang tidak stabil.
2. Pengurangan Risiko
Menerapkan langkah-langkah untuk mengurangi kemungkinan atau dampak dari risiko.
Ini bisa berarti memperkuat keamanan IT untuk risiko siber atau melakukan pelatihan
keselamatan untuk mengurangi risiko kecelakaan kerja.
3. Transfer Risiko
Mentransfer risiko kepada pihak ketiga, misalnya melalui asuransi atau outsourcing.
Dengan cara ini, risiko tidak dihilangkan tetapi konsekuensi finansialnya ditanggung oleh
pihak lain.
4. Penerimaan Risiko
Dalam beberapa kasus, risiko mungkin diterima sebagai bagian dari operasional atau
strategi. Ini sering terjadi ketika biaya mengurangi risiko lebih besar daripada potensi
kerugiannya.

Komponen pengendalian internal merujuk pada struktur yang dibangun untuk

memastikan kegiatan operasional sebuah organisasi berjalan efektif dan efisien, pelaporan
keuangan yang andal, serta kepatuhan terhadap hukum dan regulasi yang berlaku. Struktur ini
dibentuk oleh kebijakan dan prosedur yang diimplementasikan oleh manajemen dan dewan
direksi. Framework yang sering digunakan sebagai acuan dalam mendefinisikan komponen
pengendalian internal adalah framework yang dikembangkan oleh Committee of Sponsoring
Organizations of the Treadway Commission (COSO). Menurut COSO, terdapat lima
komponen utama pengendalian internal, sebagai berikut:

1. Lingkungan Pengendalian (Control Environment)

Lingkungan pengendalian mencakup budaya organisasi yang menekankan pentingnya
integritas dan nilai etis. Hal ini juga melibatkan komitmen manajemen terhadap pengendalian
internal dan perilaku etis, kompetensi karyawan, serta otoritas dan tanggung jawab yang jelas.
Lingkungan pengendalian yang kuat adalah fondasi untuk semua komponen pengendalian
internal lainnya.

2. Penilaian Risiko (Risk Assessment)

Organisasi harus secara berkala melakukan penilaian risiko untuk mengidentifikasi dan
menganalisis risiko yang relevan dengan pencapaian tujuannya, baik risiko internal maupun
eksternal. Penilaian ini mencakup pemahaman atas cara-cara risiko dapat mempengaruhi
pencapaian tujuan dan bagaimana risiko tersebut harus dikelola.

3. Aktivitas Pengendalian (Control Activities)

Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa
tindakan manajemen untuk mengatasi risiko diimplementasikan dengan baik. Ini mencakup
berbagai kegiatan seperti otorisasi, verifikasi, rekonsiliasi, pemisahan tugas, dan pengawasan
atas performa.

4. Informasi dan Komunikasi (Information and Communication)

Sistem informasi dan proses komunikasi yang relevan harus ada untuk mendukung
pengidentifikasian, penangkapan, dan pertukaran informasi dalam format yang
memungkinkan orang melakukan tanggung jawabnya. Komunikasi yang efektif juga harus
berlangsung dalam berbagai arah: vertikal, horizontal, dan eksternal.

5. Pemantauan (Monitoring)
Pemantauan aktivitas merupakan proses yang berkelanjutan atau terpisah yang dilakukan
untuk menilai kualitas kinerja sistem pengendalian sepanjang waktu. Hal ini melibatkan
penilaian rutin dan koreksi terhadap aktivitas pengendalian dan kebijakan untuk
menyesuaikannya dengan perubahan kondisi.
Pengendalian internal yang efektif memerlukan keseimbangan dan integrasi antara
komponen-komponen ini. Kelemahan dalam satu komponen dapat menurunkan efektivitas
keseluruhan sistem pengendalian internal. Oleh karena itu, penting bagi organisasi untuk terus
mengevaluasi dan meningkatkan komponen pengendalian internal mereka.

RISIKO AUDIT SISTEM INFORMASI

Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti bukti untuk
membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah
menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset
organisasi sudah dilindungi denganbaik dan tidak disalah gunakan,apakah mampu menjaga
integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi
berbasis komputer.
Tujuan Audit Sistem Informasi menurut Ron Weber yaitu:
1) Meningkatkan keamanan aset-asetperusahaan;
2) Meningkatkan data dan menjagaintegritasi datal;
3) Meningkatkan efektifitas system;
4) Meningkatkan efisiensi sistem; dan
5) Ekonomis.
Dua aspek utama tujuan audit sistem informasi yaitu:
1) Conformance (Kesesuaian)
Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kesesuaian seperti kerahasiaan, Integritas, Ketersediaan, Kepatuhan.
2) Performance (Kinerja)
Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kenerja seperti Efektifitas, Efisiensi,Kehandalan.

Tujuan audit sistem informasi secara teknis yaitu:

1) Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,
rencana tahunan dan rencana proyek.
2) Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan
kelayakanpelimpahan wewennang danotoritas.
3) Evaluasi atas pengelolahanpersonil yaitu termasuk perencanaan kebutuhan, rekrutmen
dan seleksi, pelatihan dan pendidikan, promosi, mutasi, serta terminasi personil.
4) Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan,
pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta
manajemen perubahan.
5) Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja
pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan
masalah dan insiden serta dukungan pengguna.
6) Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery,
pengelolaan prosedure darurat, pengelolaanrencana pemulihan layanan, serta pengujian
 rencana kontijensi operasional.
7) Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input,
pengendalian proses danpengendalian output.
8) Evaluasi atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan
akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

Komponen risiko audit

1. Risiko bawaan (inherent risk)
Risiko bawaan adalah kerentanan suatu asersi terhadap salah saji material dengan asumsi
tidak ada kebijakan dan prosedur struktur pengendalian intern yang terkait. Risiko bawaan
selalu ada dan tidak pernah mencapai angka nol. Risiko bawaan tidak dapat dirubah oleh
penerapan prosedur audit yang paling baik sekalipun. Risiko bawaan bervariasi untuk setiap
asersi.
Sebagai contoh, asersi keberadaan dan keterjadian kasmempunyai risiko bawaan yang
lebih tinggi daripada aktiva tetap. Hal ini disebabkan uang tunai merupakan suatu asset yang
sangat rawan terhadapmanipulasi, dan semua orang berminat terhadap uang. Sedangkan aktiva
tetap lebih jelas keberadaannya. Risikobawaan juga dibedakan atas risiko bawaan setiap akun
dan risiko bawaan keseluruhan untuk banyak akun.

2. Risiko pengendalian (controlrisk)

Risiko pengendalian adalah risiko bahwa suatu salah saji material, yang dapat terjadi
dalam suatu asersi, tidak dapat dideteksi ataupun dicegah secara tepat pada waktunya oleh
berbagai kebijakan dan prosedur struktur pengendalian intern perusahaan.
Risiko pengendalian tidak pernah mencapai keyakinan penuh bahwa semua salah saji
material akan dapat dideteksi ataupun dicegah.Risiko pengendalian merupakan fungsi dari
efektivitas struktur pengendalian inter. Semakin efektif struktur pengendalian intern
perusahaan klien,semakin kecil risiko pengendaliannya. Penetapan risiko pengendalian
didasarkan atas kecukupan bukti audit yang menyatakan bahwa struktur pengendalian inter
klien adalah efektif.
Ada dua macam risiko pengendalian, yaitu:
1. Actual level of control risk Assessed level of control risk yang ditentukan dengan
melakukan modifikasi prosedur untuk menghimpun pemahaman struktur pengendalian
intern terkait dengan asersi, dan proseduruntuk melaksanakan test of control. Pada saat
perencanaan audit, auditor menentukan besarnya risiko pengendalianyang direncanakan
 untuk setiapasersi yang signifikan.
2. Planned assessed level of control risk ini ditentukan berdasar asumsi tentangefektivitas
rancangan dan operasi struktur pengendalian intern yang relevan.

3. Risiko deteksi (detection risk)

Risiko deteksi merupakan risiko bahwa auditor tidak dapat mendeteksi salah saji material
yang terdapat dalam suatu asersi. Risiko deteksi tergantung atas penerapan auditor terhadap
risiko audit, risiko bawaan dan risiko pengendalian. Semakin besar risiko audit, semakin besar
pula risiko deteksi. Sebaliknya semakin besar risiko bawaan ataupu risiko pengendalian,
semakin kecil risiko deteksi.
Pada tahap perencanaan audit, Planned assessed level of detection risk untuk setiap asersi
signifikan ditentukan dengan cara menerapkan model risiko audit. Actual level of detection
risk dapat diubah auditor dengan cara memodifikasi sifdat, penentuan waktu dan luas test
substantive yang dilakukan atas suatu asersi. Dalam penentuan risiko deteksi, auditor
mempertimbangkan kemungkinan dia melakukan kesalahan seperti kesalahan penerapan
prosedur auditing atasu salah melakukan interpretasi terhadap bukti–bukti audit yang telah
dihimpun.

4. Risiko Bawaan (Inherent Riskso)

Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu
kegiatan, jika tidak ada pengendalian intern. Misalnya kegiatan kampus, apabila tidak ada
absensi/daftar kehadiran kuliah akan banyak mahasiswa yang cenderung tidak disiplin hadir
mengikuti kuliah.

5. Audit (Audit Risks)

Risiko audit sebenarnya adalah kombinasi dari inherent risks, control risks, dan detection
risks. Risiko audit adalah risiko bahwa hasil pemeriksaan auditornya ternyata belum dapat
mencerminkan keadaan yang sesungguhnya. Audit risiko merupakan risiko kemungkinan
auditor ekstern memberikan opini yang salah terhadap fairness laporan keuangan auditee,
atau temuan danrekomendasi yang salah pada laporan hasil pemeriksaan auditor intern. Risiko
ini sangat berbahaya karena auditor sudah memberikan opini atau rekomendasi bahwa
“Things are okay and fine, but they are not”.

6. Risiko Teknologi
 Kegagalan atau kelemahan dalam perangkat keras, perangkat lunak, atau infrastruktur
jaringan.

7. Risiko Keamanan
Ancaman terhadap kerahasiaan, integritas, dan ketersediaan data, termasuk serangan siber
seperti malware, phishing, dan denial of service (DoS).

8. Risiko Operasional
Kegagalan dalam proses bisnis internal yang disebabkan oleh kesalahan manusia,
kegagalan sistem, atau kebijakan yang tidak adekuat.

9. Risiko Kepatuhan
Ketidakpatuhan terhadap regulasi, standar, atau kebijakan internal yang dapat
menyebabkan sanksi hukum atau kerugian finansial.
 KESIMPULAN

Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah
menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi
sudah dilindungi dengan baik dan tidak disalah gunakan, apakah mampu menjaga integritas
data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis
computer. Audit Sistem Informasi dan Pengendalian Internal Audit sistem informasi
memfokuskan pada evaluasi pengendalian internal yang diterapkan pada sistem informasi.
Audit ini bertujuan untuk:
• Memastikan integritas, keandalan, dan keakuratan data yang dihasilkan oleh sistem
informasi;
• Mengevaluasi efisiensi dan efektivitas operasional sistem;
• Memeriksa kepatuhan terhadap kebijakan, standar, dan regulasi yang relevan;
• Menilai keamanan fisik dan logis dari aset informasi;
• Pengendalian internal dalam audit sistem informasi mencakup berbagai aspek teknis dan
non-teknis, seperti keamanan jaringan, kontrol akses, prosedur pemulihan bencana, serta
kebijakan dan prosedur operasional.
 BAB II
REVIEW JURNAL

Judul The Factors Influencing the Risk Based Internal Audit in

Improving the Effectiveness of Internal Audit
Jurnal International Journal of Social Science and Business
Tanggal 4 November 2023
Volume & Halaman Volume 7
Penulis Taufik Kurniawan,dkk

Abstrak Abstrak dari jurnal ini menguji faktor-faktor yang

memengaruhi Audit Internal Berbasis Risiko (RBIA) dan
implikasinya terhadap peningkatan audit internal di pemerintah
Provinsi Sumatera Utara. Penelitian ini berfokus pada hubungan
antara pengembangan profesional, komitmen manajemen
puncak, peran audit internal, dan efektivitas audit internal. Studi
ini menggunakan metode Partial Least Squares (PLS) untuk
analisis data dan menemukan bahwa RBIA memiliki dampak
signifikan terhadap efektivitas audit internal. Namun, RBIA
tidak ditemukan sebagai mediator dalam hubungan antara
pengembangan profesional, komitmen manajemen puncak,
peran audit internal, dan efektivitas audit internal.
Penelitian ini mengeksplorasi faktor-faktor yang
memengaruhi efektivitas audit internal menggunakan
pendekatan Audit Internal Berbasis Risiko (RBIA) di
pemerintah Provinsi Sumatera Utara. Studi ini menemukan
bahwa Pengembangan Profesional, Komitmen Manajemen
Puncak, dan Peran Audit Internal tidak memiliki dampak
langsung pada Efektivitas Audit Internal, tetapi RBIA memiliki
dampak positif dan signifikan pada Efektivitas Audit Internal.
Temuan ini menyarankan bahwa meningkatkan pemahaman
auditor tentang RBIA dan memperkuat implementasinya dapat
meningkatkan efektivitas audit internal. Studi ini memberikan
 wawasan berharga bagi pembuat kebijakan dan ahli audit
internal dalam meningkatkan prosedur audit dan efektivitas
layanan di sektor APIP regional.
Pengantar Pengantar dari jurnal ini membahas kelemahan Sistem
Pengendalian Intern (SPI) yang menghambat kinerja
pemerintah, sehingga konsep Audit Internal Berbasis Risiko
(RBIA) diharapkan dapat meningkatkan efektivitas
pengendalian internal di Provinsi Sumatera Utara . Penelitian ini
bertujuan untuk mengeksplorasi dampak Pengembangan
Profesional, Komitmen Manajemen Puncak, dan Peran Audit
Internal terhadap RBIA dan efektivitas audit internal di
Inspektorat Provinsi Sumatera Utara
Metode Penelitian Metode penelitian yang digunakan dalam jurnal ini adalah
metode Partial Least Squares (PLS) untuk analisis data. Teknik
pengumpulan data yang digunakan dalam penelitian ini adalah
sensus, di mana seluruh populasi Jabatan Fungsional Auditor
Internal dan Pengawas Urusan Pemerintahan Daerah (PPUPD)
yang berjumlah 101 orang dijadikan sampel dalam penelitian
Hasil dan Penerapan Audit Internal Berbasis Risiko (RBIA) memiliki
Pembahasan dampak positif signifikan terhadap efektivitas audit internal
dalam meningkatkan pengendalian internal di lingkungan
pemerintahan daerah
Pengembangan profesional memainkan peran penting
dalam meningkatkan efektivitas audit internal dalam konteks
penerapan RBIA. Studi menunjukkan bahwa pengembangan
profesional memiliki dampak positif signifikan pada
implementasi RBIA, di mana semakin tinggi pengembangan
profesional, semakin baik penerapan teknik RBIA . Peserta yang
mengikuti program pengembangan profesional cenderung
memiliki pemahaman yang lebih baik terhadap pendekatan
RBIA dan mampu menggunakannya dengan lebih efektif .
Dengan demikian, pengembangan profesional dapat
meningkatkan pemahaman terhadap RBIA dan meningkatkan
 kualitas layanan publik serta pengawasan pengembangan di
lingkungan pemerintahan
Komitmen manajemen puncak dapat mempengaruhi
keberhasilan RBIA dan efektivitas audit internal di sektor
pemerintah melalui dukungan dan keseriusan dalam menerapkan
aturan dan regulasi, serta mendorong pembentukan kebijakan
dan prosedur yang tepat . Komitmen manajemen puncak juga
dapat mempengaruhi implementasi teknik audit internal berbasis
risiko dengan memberikan dukungan yang kuat dalam
mengikuti pedoman dan metode RBIA, sehingga meningkatkan
efektivitas pengendalian internal di lingkungan pemerintahan
Hasil dari penelitian ini menunjukkan bahwa Audit Internal
Berbasis Risiko (RBIA) memiliki dampak positif dan signifikan
terhadap efektivitas audit internal di pemerintah Provinsi
Sumatera Utara. Meskipun Pengembangan Profesional,
Komitmen Manajemen Puncak, dan Peran Audit Internal tidak
memiliki dampak langsung pada Efektivitas Audit Internal,
RBIA terbukti memiliki pengaruh yang positif. Hal ini
menunjukkan bahwa pemahaman yang lebih baik tentang RBIA
dan implementasinya yang kuat dapat meningkatkan efektivitas
audit internal. Studi ini memberikan wawasan yang berharga
bagi pembuat kebijakan dan praktisi audit internal dalam
meningkatkan prosedur audit dan efektivitas layanan di sektor
pemerintah
Kesimpulan Kesimpulan dari jurnal ini adalah bahwa Audit Internal
Berbasis Risiko (RBIA) memiliki dampak positif dan signifikan
terhadap efektivitas audit internal di pemerintah Provinsi
Sumatera Utara. Meskipun faktor-faktor seperti Pengembangan
Profesional, Komitmen Manajemen Puncak, dan Peran Audit
Internal tidak memiliki dampak langsung pada Efektivitas Audit
Internal, RBIA terbukti memiliki pengaruh yang positif. Hal ini
menunjukkan bahwa pemahaman yang lebih baik tentang RBIA
dan implementasinya yang kuat dapat meningkatkan efektivitas
audit internal. Studi ini memberikan wawasan yang berharga
bagi pembuat kebijakan dan praktisi audit internal dalam
meningkatkan prosedur audit dan efektivitas layanan di sektor
pemerintah
 DAFTAR PUSTAKA

A.A., Arens, dan Loebbecke, J.K., 2003. Auditing: Pendekatan Terpadu Buku 1 dan
2 (Edisi ke-3), (Alih Bahasa Jusuf A.A), Jakarta: Salemba empat.

Jusup, Al Haryono. 2010. Dasar-dasar Akuntansi, Edisi Enam. Yogyakarta: Bagian

Penerbitan Sekolah Tinggi Ilmu Ekonomi YKPN

Jusuf, Amir Abadi. 1996. Auditing (Pendekatan Terpadu). Jakarta : Salemba Empat.
Mulyadi. 2013.Sistem Akuntansi, Edisi Ketiga, Cetakan Keempat, Salemba Empat, Jakarta.

https://doi.org/10.23887/ijssb.v7i4.51371