BAB I PENDAHULUAN 1.1 Latar belakang Seiring dengan perkembangan teknologi informasi
yang terus mengubah
semua proses bisnis dalam ekonomi global, Wardiana (2002) menyatakan teknologi informasi adalah suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang digunakan untuk keperluan pribadi, bisnis, dan pemerintah dan merupakan informasi yang strategis untuk pengambilan keputusan. Dengan perkembangan teknologi informasi yang sangat pesat tersebut The IIA (Institute of Internal Audit) yang merupakan badan pengatur standar internasional bagi profesi audit internal dan penghargaan Certified Internal Auditor (CIA) melakukan perubahan terhadap kerangka kerja pengendalian intern (COSO). Dengan berubahnya kerangka kerja pengendalian intern tersebut maka prinsip kerja auditor internal difokuskan pada teknologi informasi. (Galligan dan Rau, 2015:1-2). Di mana audit internal menilai keterandalan serta integritas informasi dan operasi keuangan, mengevaluasi efektifitas pengendalian internal, dan menilai kepatuhan pegawai dengan kebijakan dan prosedur manajemen manapun perundangan dan peraturan yang berlaku. ( Romney dan Steinbart, 2015:251)
1
2
Informasi adalah data yang diolah sehingga dapat dijadikan dasar untuk mengambil keputusan yang tepat. (Bodnar, 2000:1). Informasi dapat pula diartikan sebagai salah satu asset bagi sebuah organisasi, yang sebagaimana asset lainnya yang memiliki nilai tertentu sehingga harus dilindungi, untuk menjamin kelangsungan, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya informasi dan memperluas peluang bisnis. Keamanan secara umum dapat diartikan dimana keadaan terbebas dari ancaman atau bahaya. Penelitian Mattia (2011) menyatakan ketika suatu informasi berharga suatu organisasi berada di salah satu anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan persepsi yang memadai akan isu keamanan informasi akan penyebabkan perubahan perilaku anggota organisasi tersebut untuk melindungi informasi berharga organisasi. Kesalahan informasi merupakan information risk yang dapat mengakibatkan kesalahan dalam perencanaan dan keputusan. (Gondodiyoto, 2007:9) Gondodiyoto dan Hendarti (2007:82-83) menyebutkan ada beberapa exposures yang terjadi pada perusahaan menyangkut informasi seperti: 1. Kesalahan pecatatan atau pelaporan yang diakibatkan oleh sistem akuntansi yang tidak memadai atau tidak sesuai dengan standar akuntansi yang berlaku, karena adanya kesalahan nilai transaksi, kesalahan klasifikasi, kesalahan waktu pembebanan dan sebagainya. Selain karena sistmen informai akuntansinya, kesalahan bisa juga terjadi karena personil yang mengoperasikannya.
3
2. Terjadinya kerusakan atau kehilangan asset, baik yang terjadi karena kerusakan, kehilangan atau bencana alam. 3. Terjadinya kecurangan keuangan atau penyalahgunaan/ penggelapan/ pencurian asset oleh karyawan perusahaan tersebut. 4. Tidak dipatuhinya prosedur atau kebijakan tertentu. 5. Kurang disiplinnya pegawai atau kinerja pegawai rendah. 6. Terjadinya pencurian harta perusahaan atau akses oleh orang luar. 7. Kondisi persaingan yang tidak menguntungkan. Menurut ISO/EIC 27001;2005, Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya yang memastikan atau menjamin kelangsungan bisnis, meminimalisir resiko bisnis dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis. Keamanan informasi tidak hanya melindungi sumber daya organisasi, tetapi juga untuk memastikan keandalan laporan keuangan dan laporan manajerial lainnya (AICPA dan CICA,2008 dalam Steinbart et al;2012) Pentingnya keamanan informasi membuat organisasi harus siap terhadap ancaman-ancaman keamanan informasi dari berbagai sumber seperti pencurian data, pembobolan sistem, sabotase dan ancaman-ancaman karena terjadinya bencana alam. Dengan keamanan informasi maka kerahasiaan, integritas dan ketersediaan informasi akan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial dan citra organisasi. Kementrian Komunikasi dan Informatika (KOMINFO) menerbitkan panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik yang dapat
4
dijadikan acuan dalam membenahi, membangun dan menerapkan keamanan informasi. (KOMINFO,2011). Masalah yang berkaitan dengan keamanan informasi yaitu menurut Country Manager EMC Indonesia Adi Rusli mengemukakan hasil penelitian EMC mengenai proteksi data global terbaru menyebutkan, data hilang secara global melonjak hingga 400% sejak 2012. Di Indonesia, dalam kurun waktu 12 bulan terakhir banyak perusahaan tercatat mengalami kerugian hingga USD 16 miliar karena data hilang dan downtime. Yang mengejutkan, 71% kaum profesional IT Indonesia tidak yakin akan kemampuannya untuk memperbaiki masalah setelah gangguan terjadi. Survei ini dilakukan terhadap 3.300 pembuat keputusan IT dari perusahaan kelas menengah hingga perusahaan besar di 24 negara, termasuk 125 responden dari Indonesia. Berdasarkan information security breaches survey pada tahun 2014 yang dilakukan oleh PwC dalam hasil laporannya menyatakan ada beberapa faktor yang menyebabkan masalah keamanan informasi seperti yang bisa dilihat pada Gambar 1.1 berikut :
5
Sumber: Information Security Breaches Survey 2014
Gambar 1.1 Insiden Keamanan Informasi Walaupun dalam hasil penelitian PwC tersebut menyatakan masalah keamanan informasi yang banyak terjadi diakibatkan oleh virus dan perangkat lunak yang berbahaya, faktor-faktor yang tidak kalah penting yaitu diakibatkan oleh staff dan pihak luar termasuk hacking. Dalam penelitian Jumiati dan Wahyudi (2012) menyatakan di Indonesia sendiri saat ini tidak banyak organisasi yang menerapkan keamanan informasi karena kurangnya kesadaran organisasi untuk menjaga informasi serta kurangnya sumber daya manusia yang menjadi penggeraknya. Peran yang tepat dari audit internal mengenai keamanan informasi sangat bervariasi antara organisasi, tetapi
6
dapat memberikan peluang yang sangat besar untuk audit internal untuk memberikan nilai nyata bagi dewan dan manajemen. Auditor internal harus memainkan peran penting dalam memastikan bahwa upaya keamanan informasi memiliki efek positif pada organisasi dan melindungi organisasi dari bahaya. (Pickett, 2010:634) Dalam website isaca.org, Dan Swanson yang merupakan Presiden dan CEO Dan Swanson and Associates serta sebagai mantan direktur praktik professional IIA menyatakan ada 12 prioritas audit internal dalam artikelnya, audit internal harus mengevaluasi upaya organisasi di area tertentu dan memberikan pendapat dan rekomendasi mereka kepada manajemen dan dewan. Salah satu area tersebut yaitu keamanan informasi dan upaya program privasi. Perlindungan aset organisasi adalah kegiatan penting; untuk beberapa organisasi, itu adalah aktivitas yang paling penting. Kebanyakan keamanan adalah semua tentang melindungi data yang harus disimpan pribadi, tetapi upaya privasi yang sebenarnya belum diaudit cukup baik. Menurut Drew dalam journal of accountancy yang berjudul PwC: Internal audit has to play a more substantial role in information security (2012) audit internal harus mencakup risiko keamanan data dan privasi yang signifikan dalam laporan penilaian risiko untuk menyajikan kepada komite audit perusahaan. Audit internal juga harus mengidentifikasi kelemahan dan kontrol. Perusahaan harus mengintruksikan audit internal untuk mempelajari dan tetap mengikuti ancaman keamanan informasi terbaru..
7
Dalam penelitiannya Jumati dan Wahyudi (2012) menyatakan melalui sumber daya manusia yang kompeten dalam keamanan informasi, nilai informasi akan dikelola dengan baik sehingga informasi yang tepat akan dikirimkan pada waktu yang tepat dan dalam bentuk yang tepat. Berdasarkan hasil survei Ernst & Young mengenai Global Insurance Internal Audit 2013, 39% audit internal membutuhkan keahlian teknik, 29% soft skills dan 23% kemampuan auditing untuk melaksanakan fungsi audit internal. The IIA juga melakukan survei mengenai Core Competencies for Today’s Internal Auditor yang dapat dilihat pada Gambar 1.2 berdasarkan survei tersebut audit internal selain kemampuan komunikasi dan kemampuan mengidentifikasi dan pemecahan masalah, seorang audit internal harus memiliki kompetensi akuntansi dan informasi teknologi. (Bailey: 2010:6).
Sumber: The Institute of Internal Auditors (IIA)
Gambar 1.2 Kompetensi Umum Audit Internal
8
Berdasarkan penelitian Ernst & Young dan The IIA dapat disimpulkan bahwa seorang audit internal harus memiliki kompetensi yang baik dalam menjalankan tugasnya agar dapat menambah nilai pada perusahaan dan membantu perusahaan dalam mencapai tujuan. Audit internal juga harus memiliki kompetensi dalam bidang teknologi, sekarang ini seorang auditor harus mempelajari teknologi informasi untuk mengerti bisnis yang dimana semua transaksi maupun aktivitas operasi perusahaan telah menggunakan teknologi informasi. Steinbart et al. (2014) dalam penelitiannya menyatakan tingkat pengetahuan teknologi informasi audit internal secara langsung mempengaruhi kualitas hubungan antara audit internal dan keamanan informasi. Audit internal dan fungsi keamanan informasi dapat bekerja bersama untuk mengoptimalkan efektifitas keseluruhan keamanan informasi. Menurut Wallace et al. (2011) dalam Steinbart et al. (2014) walaupun pemantauan kontrol keamanan informasi dapat dan biasanya dilakukan oleh fungsi keamanan informasi, manfaat tambahan dapat diperoleh bila dilengkapi pemeriksaan oleh audit internal. Berdasarkan uraian di atas penulis tertarik untuk melakukan penelitian yang berjudul “Pengaruh Kompetensi Auditor Internal Terhadap Keamanan Informasi”
9
1.2 Identifikasi Masalah Berdasarkan latar belakang penelitian yang telah diuraikan sebelumnya, maka masalah yang akan di identifikasi dalam penelitian ini adalah sebagai berikut : 1. Bagaimana Kompetensi Auditor Internal pada BUMN Industri Strategis Kota Bandung. 2. Bagaimana Keamanan Informasi pada BUMN Industri Strategis Kota Bandung. 3. Seberapa besar pengaruh kompetensi auditor internal terhadap keamanan infomasi pada BUMN Industri Strategis Kota Bandung.
1.3 Maksud dan Tujuan Penelitian Penelitian ini dimaksudkan untuk memperoleh data dan informasi yang diperlukan untuk mengetahui dan mempelajari sampai sejauh mana pengaruh kompetensi audit internal terhadap keamanan informasi. Adapun tujuan dari penelitian ini, yaitu untuk mendapatkan bukti empiris mengenai: 1. Bagaimana kompetensi auditor internal pada BUMN Industri Strategis Kota Bandung. 2. Bagaimana keamanan informasi pada BUMN Industri Strategis Kota Bandung. 3. Seberapa besar pengaruh kompetensi auditor internal berpengaruh terhadap keamanan informasi pada BUMN Industri Strategis Kota Bandung.
10
1.4 Manfaat Penelitian Dari hasil penelitian ini diharapkan memberikan manfaat sebagai : 1. Pemecahan Masalah Hasil penelitian yang dilakukan diharapkan dapat menjadi masukan yang bermanfaat bagi organisasi untuk meningkatkan keamanan informasi guna mencapai good corporate governance. 2. Pengembangan Ilmu Hasil penelitian untuk pengembangan ilmu Akuntansi khususnya di bidang Audit Internal dengan melakukan penelitian secara empiris tentang “Pengaruh Kompetensi Auditor Internal Terhadap Keamanan Informasi”.
1.5 Waktu dan Tempat Penelitian Untuk memperoleh data sehubungan dengan masalah yang akan dibahas dalam penyusunan skripsi ini, maka penulis akan melakukan penelitian pada BUMN Industri Strategis Kota Bandung. Waktu penelitian dilakukan pada bulan juli hingga september 2015.
