"Saat ini teknologi informasi menjadi salah satu peranan penting di suatuperusahaan dalam membantu perusahaan menjalankan bisnisnya. Sistem informasi yang baik harus dapat menyediakan informasi-informasi yang diperlukan perusahaan sehingga diperlukan adanya pengelolaan sistem informasi yang baik dan benar. Untuk menjamin hal tersebut diperlukan adanya pengendalian-pengendalian terhadap sistem informasi dan perlu diadakan suatu evaluasi terhadap pengendalian tersebut agar sistem informasi dapat atau mampu untuk mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara efektif dan menggunakan sumber daya (resources) secara efisien. Evaluasi pengendalian yang dapat digunakan adalah dengan audit sistem informasi berbasis resiko (risk-based audit approach) yang memandang resiko sebagai inti dari pelaksanaan audit.Metode-metode seperti manajemen resiko yang dipaparkan oleh Stoneburner dan metode best practices dari Queensland Audit Office dapat menjadi contoh dalam melaksanakan kegiatan audit berbasis resiko. Di awali dengan analisa ancaman-ancaman dan kelemahan-kelemahan yang ada dan mungkin ada dalam sistem informasi serta pengendalian-pengendalian yang telah dilakukan untuk mengatasi ancaman-ancaman dan kelemahankelemahan yang ada. Yang selanjutnya akan digunakan untuk membuat rekomendasi pengendalian-pengendalian yang harus ada ataupun perbaikan terhadap pengendalian yang ada. Hasilnya akan digunakan dalam tahapan risk mitigation yang akan melakukan evaluasi dan memprioritaskan rekomendasi pengendalian berdasarkan tingkat resiko yang mungkin timbul akibat dari kelemahan yang ada di sistem informasi.

---

Currently, information technology become one of the most important aspects in the companies and help these companies run their businesses. A good information system has to be able to effectively and efficiently supply information needed by the company. To ensure that, controls for information system are needed and evaluating the controls to determine if the information system is able to secure the assets, maintaining data?s integrity, achieving the organization?s goal effectively, and using the resources efficiently. One form of the audit to information system is the risk-based audit approach that makes risks as the core of audit process.Risk management method written by Stoneburner and best practices guidelines written by Queensland Audit Office could be an example for the risk-based audit process. In the beginning, existing and future threats and weakness analysis is conducting on the information system and also existing control analysis to handle those existing threats and weakness. The result will be used to make an control recommendation. The results of this process will be used in the risk mitigation process which will conduct the evaluation and prioritized the control recommendations based on the risk level that will occur as a consequence of the weaknesses in the system information."

"Penelitian ini bertujuan untuk menilai gambaran efektifitas dari peranan audit, proses manajemen risiko serta proses audit internal berbasis risiko pada PT PPN. Metode yang digunakan dalam penelitian ini adalah metode analisis deskriptif, data diperoleh, dianalisis dan dibandingkan dengan berbagai teori yang ada. Berdasarkan hasil penelitian menyimpulkan bahwa efektifitas audit internal PT PPN masih harus mengalami penyempurnaan dengan menambah jumlah personil audit internal dan terus mengembangkan kualifikasi audit internal. Proses pengendalian manajemen risiko belum berjalan efektif karena audit internal masih ikut terlibat dalam proses manajemen risiko untuk menghasilkan riks register yang akan dipergunakan audit internal saat melaksanakan tugas auditnya. Hal ini membuat proses audit berbasis risiko belum berjalan optimal di dalam perusahaan. Dengan dilakukannya Penerapan Metode Risk based Audit dapat membantu audit internal untuk memfokuskan sumber daya yang dimiliki untuk melakukan audit terhadap area yang berisiko tinggi sehingga risiko dapat dikelola dan dimitigasi dengan baik.Penelitian ini bertujuan untuk menilai gambaran efektifitas dari peranan audit, proses manajemen risiko serta proses audit internal berbasis risiko pada PT PPN. Metode yang digunakan dalam penelitian ini adalah metode analisis deskriptif, data diperoleh, dianalisis dan dibandingkan dengan berbagai teori yang ada. Berdasarkan hasil penelitian menyimpulkan bahwa efektifitas audit internal PT PPN masih harus mengalami penyempurnaan dengan menambah jumlah personil audit internal dan terus mengembangkan kualifikasi audit internal. Proses pengendalian manajemen risiko belum berjalan efektif karena audit internal masih ikut terlibat dalam proses manajemen risiko untuk menghasilkan riks register yang akan dipergunakan audit internal saat melaksanakan tugas auditnya. Hal ini membuat proses audit berbasis risiko belum berjalan optimal di dalam perusahaan. Dengan dilakukannya Penerapan Metode Risk based Audit dapat membantu audit internal untuk memfokuskan sumber daya yang dimiliki untuk melakukan audit terhadap area yang berisiko tinggi sehingga risiko dapat dikelola dan dimitigasi dengan baik."

"PT XYZ merupakan penyedia layanan pengelolaan dokumen tagihan, bekerjasama dengan bank-bank lokal maupun asing. Dokumen tagihan berkaitan dengan informasi pelanggan bank, sehingga keamanan informasi perlu diatur untuk memberikan layanan yang memenuhi kriteria kemanan informasi. Hasil audit kemanan informasi menunjukkan bahwa keamanan informasi PT XYZ lemah, kurang terpantau dan dievaluasi. Penelitian ini berfokus pada audit kemanan informasi sesuai ISO 27001 untuk memberikan rekomendasi kebijakan dan prosedur keamanan informasi yang kompherensif. Metodologi yang digunakan adalah penilaian, analisis risiko dan dampak, pemilihan kontrol-kontrol serta rekomendasi kebijakan dan prosedur. Hasil audit menunjukkan adanya kesenjangan antara kebijakan dan prosedut yang berlaku di PT XYZ dengan ISI 27001."

"PT. Astra Graphia Tbk (Astra Graphia) merupakan sebuah perusahaan publik bagian dan group Astra Internasional, dengan kondisi tersebut informasi dari perusahaan, terutama informasi keuangan, dibutuhkan oleh berbagai macam pihak yang berkepentingan. Pihak pihak diluar perusahaan, seperti kreditur, calon investor, kantor pajak dan lain lainnya yang memerlukan informasi ini dalam kaitannya dengan kepentingan mereka. disamping itu pihak intern perusahaan yaitu manajemen juga memerlukan informasi keuangan untuk mengetahui, mengawasai dan mengambil keputusan keputusan untuk menjalankan perusahaan.Untuk memenuhi kebutuhan informasi bagi pihak luar maupun dalam perusahaan, disusun suatu sistem informasi akuntansi. Sistem ini direncanakan untuk menghasilkan informasi yang berguna bagi pihak luar maupun dalam perusahaan. Salah satu tujuan utama dari sistem informasi adalah untuk membantu pihak manajemen didalam memperlancar kegiatan usaha perusahaan sehari hari. Oleh karena itu tujuan tersebut dapat dicapai melalui pemrosesan transaksi yang terjadi dari sumber sumber ekstern atupun sumber intern dan persiapan keluaran seperti dokumen dokumen operational dan laporan keuangan. Agar informasi yang dihasilkan pemrosesan transaksi tersebut dapat membantu Manajemen, maka para akuntan juga berperan didalam perancangan elemen elemen sistem perosesan transaksi seperti dokumen dokumen sumber, buku harian, buku besar dan laporan keuangan.Transaksi dan siklus akuntansi merupakan titik sentral untuk berfungsinya sistem informasi akuntansi. Dimana fungsi pemrosesan transaksi menguraikan fungsi-fungsi lain yang terlibat dalam memperiancar pperasi harian perusahaan. Untuk mempero[eh informasi yang cepat, tepat dan akurat diperlukan alat yang dapat memproses transaksi dengan cepat, dalam hal ini komputer dapat digunakan sebagai alat bantu didalam pemrosesan transaksi. Dimana komputer adalah seperangkat alat elektronik yang dapat memproses data dengan cepat, tepat dan akurat.Pengendalian intern terhadap sistem penjualan juga merupakan hal yang tidak dapat diabaikan karena sistem penjualan merupakan suatu kegiatan yang dimulai dari menginput data, memproses data sampai dengan data tersebut menghasilkan suatu informasi, tidak luput dari kesalahan yang kadang tidak dapat dihindarkan.Penelitian ini bermaksud untuk memahami secara lebih mendalam masalah-masalah yang berkaitan dengan pengendalian intern yang dialami perusahaan, kemudian mencarikan pemecahan bagi masalah-masalah tersebut dengan menggunakan teori akuntansi, teori sistem informasi, teknik analisis deskriptif, dan analisis terhadap data yang dipero[eh dari pengamatan langsung terhadap obyek penelitian."

"Pendekatan terbaru dari proses audit internal adalah dengan memasukkan konsep manajemen risiko ke dalam prose audit internal. Audit internal dituntut untuk mengerti analisis risiko yang akan berguna dalam proses pengambilan keputusan tentang apa yang akan dilakukan, berapa banyak waktu dan sumber daya yang dibutuhkan dari suatu kegiatan audit dan hal - hal penting yang perlu dilaporkan sehingga audit internal dapat memberikan nilai tambah bagi perusahaan. PT XYZ adalah salah satu perusahaan yang telah menerapkan proses audit internal berbasis risiko. Tujuan dari penelitian ini adalah untuk memperoleh gambaran tentang efektifitas peranan audit, proses manajemen risko serta proses audit internal berbasis risiko pada PT XYZ. Metode yang digunakan dalam penelitian ini adalah metode analisis deskriptif, dimana data diperoleh peneliti, dianalisis dan dibandingkan dengan beberapa teori yang ada. Berdasarkan hasil penelitian, peneliti menyimpulkan bahwa Departemen Audit Internal PT XYZ masih belum bekerja secara efektif. Proses pengendalian risiko di perusahaan di bagi kedalam tiga bagian dimana pengendalian risiko operasional perusahaan merupakan tanggung jawab dari pihak Audit Internal. Jika dilihat dari tiga garis pertahanan manajemen risiko, proses manajemen risiko yang diterapkan oleh perusahaan masih belum sesuai. Auditor terlibat dalam penyusunan perencanaan strategi dan proses manajemen risiko secara langsung. Hal ini membuat proses audit berbasis risiko belum berjalan optimal di dalam perusahaan. Namun, metode risk based internal audit yang dilakukan dapat membantu auditor untuk memfokuskan sumber daya yang dimiliki untuk area audit yang berisiko tinggi sehingga risiko tersebut dapat dikelola dengan baik. PT.XYZ memakai program dokumentasi audit berbasis risiko yang dapat membantu kinerja proses audit.

---

The latest approach of internal audit process is to include the concept of risk management into the internal audit process. Internal audit are required to understand risk analysis that would be useful in the decision making process about what to do, how much time and resources required of an audit activities and important things that need to be reported so that internal audit can add value to the company. PT. XYZ is one of the company that has implemented a risk based internal audit processes. The purpose of this research is to gain an overview of the role of audit effectiveness, process of risk management, and risk based internal audit process in PT XYZ. The method used in this study is a descriptive analysis, in which the researchers obtained data is analyzed and compared with several existing theories.

Based on the research, concluded that the Internal Audit Department at PT. XYZ still not working effectively. The process of risk management in the company is classified into three parts where the company's operational risk management is the responsibility of the Internal Audit. Based on The Three Lines of Defense in risk management, risk management process adopted by the company is still not appropriate. Auditors involved in the preparation of strategic planning and risk management processes directly. This makes the risk based audit process is not optimal in the company. However, methods of risk based internal audit can assist auditors to focus its resources on high-risk audit areas so that these risks can be managed properly. PT. XYZ using a risk based audit program documentation that can help the performance of the audit process."

"Pendekatan terbaru dari proses audit internal adalah dengan memasukkan konsep manajemen risiko ke dalam proses audit internal. Audit internal dituntut untuk mengerti analisis risiko yang akan berguna dalam proses pengambilan keputusan tentang apa yang akan dilakukan, berapa banyak waktu dan sumber daya yang dibutuhkan dari suatu kegiatan audit dan hal-hal penting yang perlu dilaporkan sehingga audit internal dapat memberikan nilai tambah bagi perusahaan. Bank Syariah Mandiri adalah salah satu perusahaan yang telah menerapkan proses audit internal berbasis risiko. Tujuan dari penelitian ini adalah untuk memperoleh gambaran mengenai peranan audit, proses manajemen risiko, serta proses audit internal berbasis risiko pada Bank Syariah mandiri. Metode yang digunakan dalam penelitian ini adalah metode analisis deskriptif, dimana data diperoleh peneliti, dianalisis, dan dibandingkan dengan beberapa teori yang ada. Berdasarkan hasil penelitian, peneliti menyimpulkan bahwa Departemen Audit Internal Bank Syariah mandiri sudah berjalan cukup baik. Proses pengendalian risiko di perusahaan dibagi ke dalam tiga bagian dimana pengendalian risiko bank merupakan tanggung jawab manajemen risiko. Risk based Internal Audit yang dilakukan dapat membantu auditor untuk memfokuskan sumber daya yang dimiliki untuk area audit yang berisiko tinggi sehingga risiko tersebut dapat dikelola dengan baik. Bank Syariah Mandiri memakai program dokumentasi audit berbasis risiko yang dapat membantu kinerja proses audit.

---

The latest approach of internal audit process is to include the concept of risk management into internal audit process. Internal audit are required to understand risk analysis that would be useful in the decision making process about what to do, how much time, and resources required on and audit activities and important things that need to be reported so that internal audit can add value to the company. PT Bank Syariah Mandiri is one of the company that has implemented a risk based internal audit processes.

The purpose of this research is to gain an overview of the role of audit effectiveness, process of risk management, and risk based internal audit process in PT Bank Syariah Mandiri. The method used in this study is a descriptive analysis, in which the researchers obtained data is analyzed and compared with several existing theories.

Based on the result of the study, researcher concludes that the Internal Audit of PT Bank Syariah Mandiri has been running quite well. The risk management process in the company is divided into three parts in which the Bank rsquo s risk control is the responsibility of risk management. Risk based internal audit performed may assist the auditor to focus its resources on high risk audit areas so that these risks can be managed properly. PT Bank Syariah Mandiri taking a risk based audit documentation program that can help the performance of audit processes."

"

 

Nama	:	Syanni Yustiani
Program Studi	:	Magister Akuntansi
Judul	:	Transformasi Fungsi Audit Internal Sebagai Dampak  Penerapan Tata Kelola Berbasis Sistem Informasi. Studi Kasus: Inspektorat Jenderal Kementerian Keuangan

Tujuan dari penelitian ini adalah untuk menganalisis transformasi Inspektorat Jenderal Departemen Keuangan sebagai dampak penerapan Sistem Informasi Direktorat Jenderal Pajak (SIDJP), Untuk menganalisis fenomena tersebut maka penelitian ini akan menganalisis secara rinci mengenai tekanan-tekanan terhadap Inspektorat Jenderal untuk menerapkan tata kelola pada level makro,  asumsi pengendalian dalam Sistem Informasi DJP yang berdampak pada perubahan fungsi Inspektorat Jenderal sebagai auditor Intern, upaya penyelarasan antara SIDJP sebagai logics dengan prinsip tata kelola dan Fungsi Audit Intern, adaptasi yang dilakukan oleh Inspektorat Umum setelah SIDJP diimplementasikan di Direktorat Jenderal Pajak dan pengaruh adaptasi yang dilakukan terhadap legitimasi Inspektorat Jenderal sebagai fungsi auditor internal. Penelitian ini menggunakan pendekatan studi kasus dan pendekatan kualitatif serta menggunakan teori institusional dalam menganalisis fenomena yang diteliti. Pengumpulan data dilakukan melalui studi pustaka dan wawancara atas narasumber kunci yang mewakili pihak regulator, asosiasi profesi, Direktorat Jenderal Pajak, Badan Pemeriksa Keuangan dan Inspektorat Jenderal. Penelitian ini menunjukkan bahwa strategi yang digunakan oleh Inspektorat Jenderal pada awal pelaksanaan SIDJP adalah resisten (defiance), kemudian dengan didirikannya audit unit TI pada tahun 2014 maka respon strategis ITJEN berubah menjadi kompromi (compromise) setelah semakin meningkatnya kapabilitas SDM ITJEN melalui berbagai pelatihan dan pendidikan maka Inspektorat Jenderal berubah menggunakan Strategi penerimaan (acquiescence). Strategi tersebut membuat beberapa perubahan pada ruang lingkup dan praktik Inspektorat Jenderal, struktur, persyaratan keahlian auditor, alat audit, ukuran audit, hubungan dengan departemen TI sementara sumber audit dan hubungan dengan auditor eksternal tetap sama.

 

Kata Kunci:

Audit Intern; sistem informasi; institutional theory; institutional logics; isomorphism.

 

---

ABSTRACT

 

 

Name	:	Syanni Yustiani
Program	:	Master of Accounting
Judul	:	Transformation of Internal Audit Function as Impact of  Information System Based Governance Implementation. Case Study: Inspectorate General of the Ministry of Finance.

The purpose of this study is to analyze the transformation of  Inspectorate General of Ministry of Finance as impact of Direktorat Jenderal Pajak’s System Information (SIDJP) implementation, To elaborate the phenomena this study will analyze this into detail on what is the macro-governance pressures for Inspectorat General, what is the SIDJP’s control assumption that impact Inspectorate General as it’s internal audit function, how is the alignment between SIDJP logic with governance principles and Internal Audit Function, how the Inspectorate General adaptation after SIDJP is implemented in the Directorate General of Taxation and how the adaptation carried out affects the legitimacy of the Inspectorate General as a function of internal auditor. This study uses case study and qualitative approach and uses institutional theory in studying the phenomenon studied. Data collection is done through content analysis and interviews with key informants representing regulator, Directorate General of Taxation, Supreme Audit Board and Inspectorate General. This study shows that the strategy used by Inspectorate General in order to adapt with SIDJP implementation, at the beginning of SIDJP implementation the responsive strategy given is Defiance, then in 2014 as IT Audit Unit was founded, the strategic response by ITJEN turn into compromise. After ITJEN HR capabilities improved then Inspectorate General using Acquiescence Strategy. The strategy that was taken make some changes on Inspectorate General’s Scope and practice, structure, auditor skill requirement, audit tools, audit size, relationship with IT department while audit source and relation with external auditor are remain the same.

 

Keywords:

Internal Audit; system information; institutional theory; institutional logic; isomorphism.

 

"

"Pengelolaan informasi yang baik dapat menjaga keberlanjutan bisnis perusahaan, memanfaatkan peluang bisnis, dan memaksimalkan nilai return dari investasi. Pengelolaan keamanan informasi dilakukan perusahaan dengan membuat Sistem Manajemen Keamanan Informasi (SMKI) untuk mengantisipasi setiap ancaman terhadap aset informasi. Standar SMKI yang banyak diadopsi adalah ISO/IEC 27001:2005. Standar versi 2005 ini mengalami revisi pada tahun 2013. Dengan adanya revisi tersebut, maka perusahaan yang telah memiliki sertifikasi ISO/IEC 27001 harus melakukan penyesuaian SMKI agar tetap selaras dengan versi 2013. PT. XYZ sebagai operator selular dengan jumlah pelanggan terbanyak di Indonesia mengelola aset informasinya dengan menerapkan SMKI berbasis ISO/IEC 27001:2005. PT. XYZ harus menyesuaikan SMKI dengan versi 2013 agar pengelolaan keamanan informasi yang dilakukan tetap sesuai dengan best practices terbaru dalam mengatasi risiko informasi terkini. Penyesuaian ini juga menunjukkan komitmen PT. XYZ dalam melindungi data pelanggan, meningkatkan kredibilitas dalam pasar yang kompetitif, dan mempertahankan sertifikasi ISO/IEC 27001 yang pernah diraihnya. Untuk itu perlu dilakukan audit kepatuhan keamanan informasi yang berlaku di PT. XYZ terhadap ISO/IEC 27001:2013. Penelitian menunjukkan sejauh mana SMKI PT. XYZ patuh terhadap ISO/IEC 27001:2013. Untuk meningkatkan kepatuhan direkomendasikan beberapa kebijakan dan prosedur yang perlu ditambahkan, yaitu terkait komunikasi SMKI kepada pihak terkait, kontrol terhadap supply chain, dan kontrol redundan.

---

Information management will maintain the sustainability of the company's business, take advantage of business opportunities, and maximize the return value of the investment. Information Security Management System (ISMS) done by enterprise to anticipate any threats to information assets. Widely adopted ISMS standard is ISO / IEC 27001: 2005. This version of the standard was revised in 2013. With this revision, the company with ISO / IEC 27001 Certification should make adjustments to comply with new standard.

PT. XYZ as a service provider with the highest number of subscribers in Indonesia manage their information assets by implementing ISMS based on ISO / IEC 27001:2005. PT. XYZ must adjust the ISMS in order to stay aligned with the latest best practices and newest information risk. This adjustment also shows the commitment of PT. XYZ in protecting customer data, improving credibility in a competitive market, and maintain ISO / IEC 27001 Certification. Therefore, compliance audit of information security in PT. XYZ need to be done. Audit shows the extent of the ISMS adherence to ISO / IEC 27001:2013. To improve compliance, we recommend several policies and procedures that need to be added: communications to related parties, control of the supply chain, and control of redundancy."