BAB II TINJAUAN PUSTAKA
2.1 Konsep, Konstruk, Variable Penelitian 2.1.1 Definisi Pengaruh Menurut Kamus Besar Bahasa Indonesia (2005:849) pengaruh merupakan “daya yang ada atau timbul dari sesuatu (orang benda) yang ikut membentuk watak, kepercayaan, atau perbuatan seseorang”. Berdasarkan pengertian diatas dapat disimpulkan bahwa pengaruh adalah adanya hubungan sebab akibat antara yang mempengaruhi dengan apa yang dipengaruhi. 2.1.2 Pengertian Audit Audit adalah suatu proses yang sistematis tentang akumulasi dan evaluasi bukti tentang informasi yang ada dalam perusahaan tertentu. Seperti yang didefinisikan Agoes (2012:4) auditing adalah suatu pemeriksaan yang dilakukan secara kritis dan sistematis, oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut. Menurut Arens et al. (2010:4) auditing adalah: “ Auditing is accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independen person.“
11
12
Sedangkan menurut Mulyadi (2009:9) : “Auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan- pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”.
Dari definisi audit tersebut memiliki unsur penting yang diuraian Mulyadi (2009:9) yaitu antara lain sebagai berikut: 1. Audit merupakan suatu proses yang sistematik, yaitu berupa suatu rangkaian langkah atau prosedur yang logis, berangka dan terorganisasi. Auditing dilaksanakan dengan suatu urutan langkah yang direncanakan, terorganisir dan bertujuan. 2. Untuk memperoleh dan mengevaluasi bukti secara objektif. Proses sistematik itu ditujukan untuk memperoleh bukti yang mendasari pernyataan yang dibuat oleh individu atau badan usaha, serta untuk mengevaluasi tanpa memihak atau prasangka terhadap bukti-bukti tersebut. 3. Pernyataan mengenai kegiatan dan kejadian ekonomi. Yang dimaksud dengan pernyataan mengenai kegiatan dan kejadian ekonomi disini adalah hasil proses akuntansi. Akuntansi merupakan proses pengidentifikasian, pengukuruan, dan penyampaian informasi ekonomi yang dinyatakan dalam satuan uang. Proses akuntansi ini menghasilkan suatu pernyataan yang disajikan dalam laporan keuangan, yang umumnya terdiri dari empat
13
laporan keuangan pokok: neraca, laporan laba/rugi, laporan perubahan ekuitas dan laporan arus kas. Laporan keuangan dapat pula berupa laporan biaya pusat pertanggung jawaban tertentu dalam perusahaan 4. Menetapkan tingkat kesesuaian. Pengumpulan bukti mengenai pernyataan dan evaluasi terhadap hasil pengumpulan bukti tersebut dimaksudkan untuk menetapkan kesesuaian pernyataan tersebut dengan kriteria yang telah ditetapkan. 5. Kriteria yang ditetapkan Kriteria atau standar yang digunakan sebagai dasar untuk menilai pernyataan dapat berupa: a. Peraturan yang ditetapkan oleh suatu badan legislative. b. Anggaran atau ukuran prestasi lain yang ditetapkan oleh manajemen. c. Prinsip akuntansi yang berterima umum di Indonesia (generally accepted accounting principles). 6. Penyampaian hasil. Penyampaian hasil auditing sering disebut dengan atestasi (attestation). Penyampaian hasil ini dilakukan secara tertulis dalam bentuk laporan audit (audit report). 7. Pemakai yang berkepentingan. Dalam dunia bisnis pemakai yang berkepentingan terhadap laporan audit adalah para pemakai informasi keuangan, calon investor dan kreditur, organisasi buruh, dan kantor pelayanan pajak.
14
Menurut Sunyoto (2014:7) auditing dapat dibedakan berdasarkan kelompoknya yaitu menurut pelaksanaannya, objeknya, waktu pelaksanaannya serta tujuan audit. 1. Menurut Pelaksanaannya Dari pelaksanaannya, auditing dibagi menjadi tiga macam, yaitu internal audit, eksternal audit, dan governmental audit. a. Internal Audit Pengertian internal audit adalah suatu fungsi penilaian yang independen yang diterapkan dalam suatu organisasi yang berfungsi untuk menguji dan mengevaluasi kegiatan organisasi sebagai jasa yang diberikan kepada organisasi tersebut. b. Eksternal Audit Eksternal audit adalah merupakan pemeriksaan yang dilakukan oleh pihak luar yang bukan merupakan karyawan perusahaan yang berkedudukan bebas tidak memihak baik kepada kliennya maupun terhadap pihak-pihak yang berkepentingan dengan kliennya c. Governmental Audit Pada Departemen Keuangan terdapat instansi yang bertugas sebagai pemeriksa pengelolaan keuangan instansi pemerintah dan perusahaanperusahaan
Negara,
yaitu
Badan
Pengawas
Keuangan
dan
Pembangunan (BPKP) yang bertindak sebagai akuntan intern
15
pemerintah, sedangkan Badan Pemeriksa Keuangan (BPK) sebagai akuntan ekstern pemerintah yang bertanggung jawab kepada DPR. 2. Menurut objeknya Ditinjau dari objek yang diaudit, maka auditing dibedakan menjadi tiga macam, yaitu audit laporan keuangan (financial statement audit), audit operasional (management audit), dan audit kepatuhan (compliance audit). a. Audit laporan keuangan (financial statement audit) Audit ini dilakukan untuk memberikan pendapat apakah laporan keuangan secara keseluruhan yaitu informasi-informasi kuantitatif yang diaudit telah disusun sesuai dengan kriteria yang telah ditetapkan. b. Audit operasional (management audit) Audit ini disebut juga audit manajemen, audit kinerja adalah suatu kegiatan meneliti kembali atau mengkaji ulang hasil operasi pada setiap bagian dalam suatu perusahaan dengan tujuan untuk mengevaluasi atau menilai efisiensi dan efektivitasnya. c. Audit kepatuhan (compliance audit) Audit ini memiliki tujuan untuk menentukan apakah perusahaan atau klien mengikuti prosedur-prosedur khusus atau peraturan-peraturan yang ditetapkan oleh pihak yang berwenang.
16
3. Menurut waktu pelaksanaannya serta tujuan audit Audit ditinjau dari waktu pelaksanaan serta tujuan audit dibedakan menjadi dua macam, yaitu audit terus-menerus (continous audit), dan audit periodik (periodical audit). a. Audit terus-menerus (continous audit) Dalam audit terus-menerus, auditor mengunjungi beberapa kali dalam satu periode akuntansi dan setiap kali melakukan kunjungan mengadakan audit sejak kunjungan sebelumnya. b. Audit periodic (periodical audit) Jika pelaksanaan audit dilakukan secara periodik, misalnya semester, tahunan, kuartal, maka audit ini disebut audit periodik. Dalam hal ini laporan auditor yang formal hanya dibuat pada tahun akuntansi. Berdasarkan Gondodiyoto dan Hendarti (2007:4) menyimpulkan jenisjenis audit sebagai berikut: a. Berdasarkan bidang yang diaudit 1. Audit Keuangan (Financial Audit) 1.1. General Financial Statement Audit 1.2. Special Financial Audit 2. Audit operasional/manajemen (Operational/Management Audit) 3. Audit ketaatan (Compliance Audit)
17
4. Audit sistem informasi (Information System Audit) 5. Audit e-commerce 6. Investigative Audit/Fraud Audit/ Audit Forensic b. Berdasarkan auditornya 1. Auditor ekstern independen (akuntan publik) 2. Auditor internal (perusahaan) 3. Auditor (di lingkungan instansi-instansi) pemerintah 4. Auditor perpajakan 2.1.3 Pengertian Audit Internal Menurut The IIA’s Board of Direction dalam Reding et al. (2009:1-2) mendefinisikan audit internal pada tahun 1999: “Internal auditing is an independent, objective assurance and consulting sctivity designed to add value and improve an organization’s operations. It helps an organizations accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance process”. Dapat diartikan bahwa audit internal adalah aktivitas independen, keyakinan objektif, dan konsultasi yang dirancang untuk menambah niali dan meningkatkan operasi organisasi. Audit internal ini membantu organisasi mencapai tujuannya dengan melakukan pendekatan sistematis dan disiplin untuk mengevaluasi dan meingkatkan efektivitas manajemen resiko, pengendalian dan proses tata kelola. Menurut Sawyer et al. (2005:10) mendefinisikan : “Audit internal adalah sebuah penilaian yang sistesmatis dan objektif yang dilakukan auditor internal terhadap operasi dan kontrol yang berbeda-beda
18
dalam organisasi untuk menentukan apakah (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang dihadapi perusahaan telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur intermal yang bias diterima telah diikuti; (4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secar efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif- semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif”.
Berdasarkan definisi-definisi diatas dapat disimpulkan bahwa audit internal merupakan aktivitas yang independen dalam suatu organisasi untuk menentukan apakah kebijakan eksternal dan prosedur yang ditetapkan oleh internal perusahaan telah dilaksanakan secara benar, menjaga kekayaan organisasi,
menentukan
keandalan
informasi,
meningkatkan
efektivitas
manajemen resiko, menerapkan pengendalian dengan melakukan pendekatan yang sistematis. Yang bertujuan untuk menambah nilai organisasi dan meningkatkan operasi organisasi. 2.1.3.1 Fungsi dan Ruang Lingkup Audit Internal Fungsi audit internal menurut Mulyadi (2002:211) yaitu : a. Fungsi audit internal adalah menyelidiki dan menilai pengendalian internal dan efisiensi pelaksanaan fungsi berbagai unit organisasi. Dengan demikian fungsi audit internal merupakan bentuk pengendalian yang fungsinya adalah untuk mengukur dan menilai efektivitas unsur-unsur pengendalian internal yang lain. b. Fungsi audit internal merupakan kegiatan penilaian bebas, yang terdapat dalam organisasi, dan dilakukan dengan cara memeriksa akuntansi, keuangan dan kegiatan lain, untuk memberikan jasa bagi manajemen
19
dalam melaksanakan tanggung jawab mereka, dengan cara menyajikan analisis, penilaian rekomendasi, dan komentar-komentasr penting terhadap kegiatan manajemen, auditor internal menyediakan jasa tersebut. Auditor internal berhubungan dengan semua tahap kegiatan perusahaan sehingga tidak hanya terbatas pada audit atas catatan akuntansi. Sedangkan menurut Gondodiyoto dan Hendarti (2007;14) “pada hakekatnya fungsi audit internal ialah sebagai unit yang bertanggung jawab dan mengerjakan tugas-tugas atas nama dan hanya untuk (on behalf of) direksi (top management). Tugas-tugas untuk membantu manajemen tersebut antara lain : a. Mengidentifikasi resiko dan merancang antisipasinya serta memonitornya. b. Memvalidasi (memeriksa kebenaran) laporan-laporan yang ditujukan ke direksi, jangan sampai direksi memperoleh laporan-laporan kegiatan organisasi dari pimpinan deparemen yang tidak sesuai kenyataannya. c. Membantu atau “melindungi” manajemen puncak dari masalah-masalah yang berkaitan dengan hal-hal teknis, sehingga manajemen dapat lebih berkonsentrasi mengerjakan tugas-tugas yang lebih bersifat kebijakan, mengambil keputusan (decision making), perencanaan (planning), bersosialisasi dengan stakeholder dan sebagainya. d. Membantu manajemen (termasuk para manajer fungsional) tentang hal-hal yang bersifat rawan kesalahan/penyalahgunaan, penyimpangan dari aturan dan prinsip-prinsip manajemen.
20
e. Melakukan tugas-tugas manajemen yang tidak dapat dilaksanakan sendiri. Ruang Lingkup Audit Internal menurut The IIA’s yang dikutip oleh Boynton et al. (2001:983) sebagai berikut: “The scope of audit internal should encompass of the adequacy and effectiness the organizations system of performance in carrying out assigned responsibilities; (1) reability and integrity of information; (2) compliance with policies, plans, procedures, laws, regulations and contacts; (3) safeguarding of assets; (4) economical and efficient use of resources; (5) accomplishment of established objective and goals for operations programs.” Berdasarkan definisi di atas dapat diartikan bahwa ruang lingkup audit internal harus mencakup dari kecukupan dan efektivitas kinerja sistem informasi dalam melaksanakan tanggung jawab yang ditugaskan; (1) keandalan dan integritas informasi; (2) sesuai dengan kebijakan, rencana, prosedur, hukum, peraturan dan kontak; (3) menjaga asset; (4) penggunaan sumber daya yang ekonomis dan efisien; (5) tercapainya target yang ditetapkan dan tujuan program operasi. Menurut Tugiman (2011:13) ruang lingkup tugas auditor internal meliputi: 1. Risk management 2. Control : a. Efektivitas dan efisiensi kegiatan b. Keandalan dan integritas informasi c. Patuh terhadap hukum dan ketentuan yang berlaku d. Harta organisasi dijaga dengan baik 3. Governance processes
21
Sedangkan menurut Gondodiyoto dan Hendarti (2007:17) “ruang lingkup tugas auditor internal antara lain mendesain/ mereview/ mengevaluasi sistem pengendalian intern (termasuk kinerja) apakah sudah efektif, efisien dan ekonimis, melakukan audit (keuangan/operasional/ketaatan/investigatif), serta melaksanakan tugas-tugas khusus yang diberikan oleh pimpinan. Dalam melaksanakan tugasnya bertanggung-jawab kepada puncak pimpinan dan bekerja sama dengan komite audit. Menurut The IIA, audit internal mempunyai peranan besar dalam mendukung kewajiban direksi (top management), antara lain: 1. Monitor activities whichare cannot itself monitor by top management Mewakili (bekerja untuk direksi) dalam mengawasi atau monitor pekerjaan yang memang tidak mungkin diawasi sendiri oleh puncak pimpinan. 2. Identifying and minimizing risks Mengidentifikasi dan meminimalisisi risiko yang dihadapi 3. Validating reports to top management Melakukan pengecekan atas validitas laporan-laporan untuk direksi 4. Protect senior management in technical aspects Menjaga agar pimpinan berbuat kesalahan yang berkaitan dengan hal teknis. 5. Validate provided information for decision making Melakukan pengecekan kebenaran data yang akan dipakai sebagai bahan untuk pengambilan putusan oleh pimpinan puncak.
22
6. Review performance (future and the past) Mereview/ menilai kinerja perusahaan, apakah segala sesuatu yang terkait dengan operasi perusahaan telah berjalan seperti yang diharapkan oleh pimpinan. 7. Helping line managers manage by pointing to violation of procedures/management principles Membantu para manajer fungsional jangan sampai melakukan kesalahan teknis, kesalahan prosedur atau penyimpangan dari prinsip
manajemen
yang baik
sehingga
dapat
merugikan
perusahaan.” 2.1.3.2 Pengertian Auditor Internal Menurut Mulyadi (2002:29) pengertian Auditor internal adalah sebagai berikut: “Auditor internal adalah auditor yang bekerja dalam perusahaan yang tugas pokoknya adalah menetukan apakah kebijakan dan prosedur yang ditetapkan manajemen puncak telah dipatuhi, menentukan baik atau tidaknya penjagaan terhadap kekayaan organisasi, menentukan efisiensi dan efektivitas prosedur kegiatan organisasi, serta menetukan keandalan informasi yang dihasilkan oleh berbagai bagian organisasi.”
Pickert & Spencer (2004:4) menyatakan internal auditor adalah: “Independent appraisal function established within an organizations a service to the organization. The objective of internal auditing is to assets members of organization and on the board, in the effective discharge of their responsibilities. To this end it furnishes them with analysis, appraisals, recommendations, counsel, and information concerning the activate reviewed”.
23
Dari definisi tersebut dapat disimpulkan bahwa auditor internal adalah sebuah fungsi penilaian yang independen dan
menjaga kekayaan organisasi
dalam sebuah perusahaan. Internal audit memberikan layanan pada perusahaan secara objektif dan efektif dalam melaksanakan tanggungjawabnya. Dengan memberikan analisis, penilaian, rekomendasi, nasihat dan informasi mengenai peninjauan ulang. 2.1.3.3 Kompetensi Auditor Internal Kompetensi merupakan sebuah karakteristik dasar seseorang yang mengidikasikan cara berpikir, bersikap dan bertindak serta menarik kesimpulan yang dapat dilakukan dan dipertahankan oleh seseorang pada waktu periode tertentu (Moeheriono, 2009:4). Menurut Roe (2001:73) mendefinisikan kompetensi adalah: “Competence is defined as the ability to adequately perform a task, duty or role. Competence integrates knowledge, skills, personal values and attitudes. Competence builds on knowledge and skills and is acquired through work experience and learning by doing.” Dari definisi di atas kompetensi dapat digambarkan sebagai kemampuan untuk melaksanakan satu tugas, peran atau tugas, kemampuan mengintegrasikan pengetahuan, keterampilan-keterampilan, sikap-sikap dan nilai-nilai pribadi, dan kemampuan untuk membangun pengetahuan dan keterampilan yang didasarkan pada pengalaman dan pembelajaran yang dilakukan. Sedangkan IIA Code of Ethics dalam Reding et al. (2009: 1-16) menyatakan kompetensi sebagai berikut :
24
“Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge skills and other competencies needed to perform its responsibilities”. Berdasarkan definisi diatas maka dapat diartikan bahwa seorang auditor internal diharapkan menerapkan dan menegakkan prinsip-prinsip yang salah satu diantaranya menerapkan kompetensi, dalam penerapan prinsip kompetensi audit internal diharapkan menerapkan pengetahuan, keterampilan dan pengalaman yang diperlukan dalam memenuhi tanggung jawab. Menurut Robbin dan Coulter (2007:38) mendefinisikan kompetensi adalah: “Kemampuan (ability) atau kapasitas seseorang untuk mengerjakan berbagai tugas dalam suatu pekerjaan, dimana kemampuan ini ditentukan oleh 2 (dua) faktor yaitu kemampuan intelektual dan kemampuan fisik”.
Menurut Mulyasa (2004:37-38) mendefinisikan kompetensi adalah: “Kompetensi merupakan perpaduan dari pengetahuan, keterampilan, nilai dan sikap yang direfleksikan dalam kebiasaan berfikir dan bertindak. Pada system pengajaran, kompetensi digunakan untuk mendeskripsikan kemampuan professional yaitu kemampuan untuk menunjukan pengetahuan dan konseptualisasi pada tingkat yang lebih tinggi. Kompetensi ini dapat diperoleh melalui pendidikan, pelatihan, dan pengalaman lain sesuai tingkat kompetensinya”.
Maka dapat disimpulkan bahwa kompetensi auditor internal merupakan karakteristik yang harus dimiliki seorang auditor internal agar dapat membantu organisasi dalam mencapai tujuan. Seperti yang dikeluarkan oleh Standar Profesi Audit Internal (SPAI) (2004:9) menyatakan bahwa, “Penugasan harus dilakukan dengan memperhatikan keahlian dan kecermatan professional”.
25
1. Keahlian Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi yang dibutuhkan untuk melaksanakan tanggung jawab erorangan. Fungsi audit internal secara kolektif harus memiliki atau memperoleh pengetahuan, keterampilan dan kompetensi yang dibutuhkan untuk melaksanakan tanggung jawabnya. 2. Kecermatan Professional Audit internal menerapkan kecermatan dan keterampilan yang layak dilakukan oleh seorang audit internal yang prudent dan kompeten. Dalam menerapkan
kecermatan
mempertimbangkan
ruang
professional lingkup
audit
penugasan;
internal
perlu
kompleksitas
dan
materialitas yang dicakup dalam penugasan; kecukupan dan efektivitas manajemen resiko, pengendalian, dan proses governance; biaya dan manfaat penggunaan sumber daya dalam penugasan; dan penggunaan teknik-teknik dengan bantuan komputer dan teknik-teknik analisisnya. Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan tanggung jawab mereka masingmasing. aktivitas audit internal secara kolektif harus memiliki atau memperoleh pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melakukan tanggung jawabnya. (Standar 1210 Audit Internal)
26
Table 2.1 Kerangka Kompetensi Auditor Internal Internal Auditor Competency Framework 1. Interpersonal Skills a. Influence: Wielding effective tactics for persuasion b. Communication:Sending clear and convincing messages, listening c. Management 1) Policies and procedures 2) Staffing 3) Priority setting, planning, performance management, and customer focus 4) Time
management,
achieving
goals
and
tasks,
and
organizational skills d. Leadership:Inspiring and guiding groups and people, building organizational commitment, and entrepreneurial orientation e. Change catalyst:Initiating, managing, and coping with change f. Conflict management:Negotiating and resolving disagreements g. Collaboration and cooperation:Working with others toward shared goals h. Team capabilities:Creating Group synergy in pursuing collective goals 2. Tools and Techniques a.
Operational and management research tools
27
b.
Forecasting
c.
Project management
d.
Business process analysis
e.
Balanced scorecard
f.
Risk and control assessment techniques (including self-assessment)
g.
Governance, risk, and control tools and techniques
h.
Data collection and analysis tools and techniques
i.
Problem-solving tools and techniques
j.
Computer assisted auditing techniques (CAATs)
3. Internal Audit Standards, Theory and Methodology a. Definition of Internal Auditing b. Code of Ethics c. International Standards for the Professional Practice of Internal Auditing 1)
Attribute standards
2)
Performance standards
4. Knowledge Areas a. Financial accounting and finance b. Managerial accounting c. Regulatory, legal, economics d. Quality: understanding of the quality frameworks in your organization e. Ethics and fraud
28
f. Information technology g. Governance, risk, and control h. Organizational theory and behavior i. Industry knowledge
Sumber : Internal Auditing Assurance & Consulting Service, 2009 2.1.4 Keamanan Informasi Menurut Jogiyanto (1999: 692), “informasi adalah hasil dari pengolahan data dalam suatu bentuk yang lebih berguna dan lebih berarti bagi penerimanya yang menggambarkan suatu kejadian–kejadian (event) yang nyata (fact) yang digunakan untuk pengambilan keputusan”. Informasi menurut Gondodiyoto dan Hendarti (2007:82) yaitu : “hasil pengolahan data, sehingga bertambah kegunaannya dan dapat dipakai untuk suatu tujuan tertentu atau untuk analisis dan pengambilan keputusan”.
Menurut Bodnar (2000:1) mendefinisikan informasi sebagai berikut : “Informasi adalah data yang diolah sehingga dapat dijadikan dasar untuk mengambil keputusan yang tepat”.
Berdasarkan definisi-definisi di atas dapat disimpulkan bahwa informasi merupakan hasil pengolahan data-data yang dapat digunakan untuk menganalisis dan pengambilan keputusan.
29
Informasi dapat pula diartikan sebagai salah satu asset bagi sebuah organisasi, yang sebagaimana asset lainnya yang memiliki nilai tertentu sehingga harus dilindungi, untuk menjamin kelangsungan, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya informasi dan memperluas peluang bisnis. Informasi
yang merupakan asset harus dilindungi keamanannya.
Keamanan secara umum dapat diartikan dimana keadaan terbebas dari ancaman atau bahaya. Mattia (2011) ketika suatu informasi berharga suatu organisasi berada di salah satu anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan persepsi yang memadai akan isu keamanan informasi akan penyebabkan perubahan perilau anggota organisasi tersebut untuk melindungi informasi berharga organisasi. Keamanan Informasi menurut ISO 27001:2005 dalam Sarno dan Iffano (2009:27) yaitu : “penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasir resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bsinis”.
Menurut Andress (2014:3) mendefinisikan : “protecting information and information systems from unauthorized access, use, disclosure, discruption, modification, or destruction”.
30
Definisi tersebut dapat diartikan bahwa keamanan informasi merupakan perlindungan informasi dan sistem informasi dari akses tidak sah, penggunaan, pengungkapan, gangguan, modifikasi atau perusakan. Keamanan informasi masing-masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan. Contoh dari keamanan informasi antara lain : a. Physical security adalah keamanan informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, asset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. b. Personal security adalah keamanan informasi yang berhubungan dengan kemanan personil. Biasanya saling berhubungan dengan ruang lingkup “physical security”. c. Operation security adalah keamanan informasi yang membahas bagaimanan strategi suatu organisasi untuk mengamankan kemampuan organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan. d. Communication security adalah keamanan informasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi serta apa yang ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi. e. Network security adalah keamanan informasi yang memfokuskan pada bagaimanan pengamanan peralatan jaringan, data organisasi, jaringan
31
dan isinya, serta kemampuan untuk mengunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Menurut US National Institute of Standards and Tehcnology (NIST) dalam Allen (2007) pengelolaan keamanan informasi adalah suatu proses dalam membangun dan mengelola suatu kerangka dan mendukung struktur manajemen dan proses-proses untuk menyediakan keyakinan akan strategi keamanan informasi. Selain itu, isu keamanan informasi pada dasarnya ada budaya kelompok atau organisasi. Dengan terciptanya budaya akan mendorong hubungan berkesinambungan antara kebijakan, proses, orang dan kinerja.
2.1.5 Aspek Keamanan Informasi Perlindungan pada informasi dilakukan untuk memenuhi aspek keamanan informasi. Aspek-aspek tersebut seharusnya diperhatikan dan dipahami untuk diterapkan, Whitman dan Mattord dalam Gondodiyoto dan Hendarti (2007:35) menyebutkan beberapa aspek yang terkait dengan keamanan informasi yaitu: a. Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain. b. Identification Sistem informasi memiliki karakteristik identifikasi jika bias mengenali penggunanya. Identifikasi adalah langkah pertama dalam memperoleh hak
32
akses ke informasi yang diamankan. Identifikasi umumnya dilakukan dengan penggunaan user name atau user ID. c. Authentication Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang di-klaim. d. Authorization Setelah identitas pengguna diauntetikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari informasi. e. Accountability Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktivitas terhadap informasi yang telah dilakukan, dan siapa yang melakukan aktivitas itu. Adapun ISO 27002;2005 menyebutkan tujuh aspek informasi yang mencakup: Confidentiality,
Integrity,
Availibility,
Authenticity,
Accountability,
Non-
Repudiation dan Realibility. Sedangkan untuk aspek keamanan informasi meliputi ketiga hal yang pertama yaitu : a. Confidentiality. Keamanan informasi seharusnya bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.
33
b. Integrity. Keamanan informasi seharusnya menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkan berubah informasi dari aslinya. c. Availability. Keamanan informasi seharusnya menjamin pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi
2.1.5.1
Sistem Manajemen Keamanan menurut ISO 27001 Sistem Manajemen Keamanan Informasi (SMKI) merupakan suatu proses
yang disusun berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan menijau ulang (Check) serta memelihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan (ISO/IEC 27001;2005). ISO/IEC 27001:2005 adalah standar keamanan informasi yang diterbitkan oleh ISO (The International Organization for Standardization) dan IEC (The International Electrotechnical Commission). ISO/IEC 27001 mendefinisikan keperluan-keperluan untuk SMKI. SMKI yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi SMKI akan
34
memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam waktu yang tidak lama. ISO 27001 digunakan sebagai ikon sertifikasi ISO 27001. ISO 27001 merupakan standar SMKI yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi dalam usaha mereka mengimplentasikan konsep-konsep keamanan informasi di organisasi. Struktur ISO/IEC 27001:2005 terdiri dari 11 klausa utama, 39 kontrol obyektif, dan 134 kontrol individual. Masing-masing area control tersebut menyediakan panduan dan best practices dalam membuat suatu pengaman yang efektif. Kesebelas klausa utama tersebut yaitu: a. Security Policy (Kebijakan keamanan) Kebijakan keamanan informasi bertujuan untuk menyediakan arahan dan dukungan untuk keamanan informasi termasuk regulasi. b. Organization of information security (Organisasi keamanan informasi) Organisasi
keamanan
diimplementasikan
untuk
informasi
merupakan
proses
yang
pengelolaan
keamanan
informasi
dalam
organisasi. c. Asset management (manajemen asset) Bertujuan untuk memelihara perhitungan yang sesuai terhadap asset organisasi d. Human resources security (Keamanan sumberdaya manusia) Bertujuan untuk mengurangi risiko terjadinya human error, pencurian, dan penyalahgunaan fasilitas.
35
e. Physical and environmental security (keamanan fisik dan lingkungan) Bertujuan untuk mencegah tidak terorotorisasi, kehancuran dan campur tangan pada informasi dan proses bisnis. f. Communication and operations management (komunikasi dan manajemen operasi) Bertujuan untuk menjamin ketepatan dan keamanan fasilitas pemrosesan informasi g. Access control (kendali akses) Bertujuan untuk mengontrol akses informasi h. Information
security
incident
management
(manajemen
kejadian
keamanan informasi) Bertujuan untuk menjamin insiden yang berkaitan dengan pengamanan informasi dikomunikasikan dan ditangani melalui tindakan korektif i. Business continuity management (manajemen kesinambungan bisnis) Bertujuan untuk mengamankan interupsi pada aktivitas bisnis dan untuk melindungi proses bisnis yang kritikal dari kegagalan yang terjadi ataupun bencana. j. Compliance (kepatuhan terhadap peraturan) Bertujuan untuk menghindari terjadinya kriminalitas, pelanggaran hukum dan pelanggaran peraturan. Manfaat implementasi dari sistem manajemen keamanan informasi yang komprehensif, dari hasil survey Jalil dan Hamid (2004) disebutkan sebagai berikut:
36
a. Meningkatkan pemahaman terhadap aspek-aspek bisnis b. Mengurangi pelanggaran pengamanan atau keluhan c. Mengurangi publikasi yang merugikan d. Memperbaiki rating dari liabilitas jaminan perusahaan e. Mengidentifikasi asset-aset kritikal melalui penilaian risiko bisnis f. Menjamin bahwa modal pengetahuan akan disimpan dalam sistem manajemen bisnis g. Meningkatkan faktor kepercayaan diri, baik internal maupun eksternal h. Pendekatan sistematik i. Menyediakan struktur untuk perbaikan terus menerus j. Menigkatkan
pengetahuan
dan
kepentingan
dari
isu-isu
tentang
pengamanam di level manajemen. Namun Kakkar et al. (2012) menyatakan bahwa pemilihan dan implementasi sistem manajemen keamanan informasi memiliki kelemahan dalam kondisi : a. Definisi ruang lingkup kebijakan keamanan informasi adalah langkah krusial. Banyak organisasi memilih ruang lingkup yang terlalu terbatas untuk meminimalisasi kompleksitas, namun ketika tahap implementasi, mereka tidak efektif melakukannya. b. Tujuan utama sistem manajemen keamanan informai pada dasarnya adalah keuntungan keamanan informasi terhadap organisasi. Banyak organisasi mengimplementasikan sistem manajemen keamanan informasi hanya untuk mendapatkan sertifikasi dan menunjukkannya pada pelanggan. Hal
37
ini menyebabkan tujuan penerapan sistem manajemen keamanan informasi berisiko kehilangan kefektifannya. c. Implementasi sistem manajemen keamanan informasi membutuhkan biaya. Karena itu manajemen seharusnya memahami bahwa keuntungan (akan keamanan informasi) tidak pernah gratis. d. Sebelum tergantung pada sistem manajemen keamanan informasi, organisasi harus memahami bahwa keberhasilan dan kefektifan sistem manajemen keamanan informasi sangat tergantung pada faktor kesadar dan ketertarikan orang di dalamnya. e. Di beberapa organisasi, banyak orang yang enggan mengambil tanggung jawab dalam kaitannya kewajiban keamanan karena takut akan kesalahan dan kelalaian. Manajemen seharusnya menyadari bahwa keberhasilan tidak dapat dicapai dalam waktu semalam, kerena itu dibutuhkan tindakan proaktif agar memberikan hasil nyata. f. Kesadaran dan training tentang kebijakan keamanan informasi, prosedur dan keuntungannya adalah faktor kunci keberhasilan sistem manajemen keamanan informasi. Hal itu membutuhkan partisipasi aktif orang-orang dari setiap level dalam organisasi. g. Meski sistem manajemen keamanan informasi dilakukan oleh orangorang. Namun kenyatannya faktor teknologi dan teknikal merupakan faktor mayoritas dalam pengimplementasiannya. Karena itu dibutuhkan analisis selanjutnya seperti biaya, kelayakan praktikal, kefektifan, kegunaan, keuntungan dan seterusnya.
38
h. Setelah pengimplemantasian sistem manajemen keamanan informasi, langah
penting
selanjutnya
adalah
melakukan
assessment
dan
pengembangan. Assessment seharusnya dilakukan secara komprehensif, tertata dengan baik, fokus pada tujuan. Hasil studi menunjukkan bahwa banyak organisasi tidak melakukan assessment secara menyeluruh, sehingga dampak ancaman internal dan eksternal boleh jadi terdapat dalam perlindungan data sementara belum pernah ditentukan risiko yang dapat diterima dimana seharusnya dapat dirumuskan seperti apa pengamannya. i. Frekuensi audit dan assessment juga memegang peranan penting. Assessment yang terlalu cepat di awal akan mengeluarkan banyak biaya dan tidak memberikan banyak perubahan, sementara assessment yang terlalu lama di akhir akan membuat terlalu banyak risiko keamanan. j. Mengembangkan sistem manajemen keamanan informasi setelah adanya hasil audit merupakan hal yang penting. Menunda pengembangan berarti tidak ada pengembangan. Pengembangan yang dilakukan tepat waktu berati peningkatan akan keuntungan dari sistem manajemen keamanan informasi. Banyak organisasi yang menunda melakukan perbaikan pada kebijakan keamanan maupun teknologinya. Hal ini berarti memperbesar risiko akan keamanan informasinya. 2.1.5.2
Audit Internal dalam SMKI Dalam SMKI audit internal diperlukan dalam upaya memenuhi hal-hal berikut :
1. Untuk memastikan efektivitas SMKI
39
2. Untuk mengidentifikasi ada sesuatu yang tidak sesuatu yang tidak sesuai atau “noncomformity” pada SMK atau tidak 3. Menentukan apa yang harus dikembangkan dalam SMKI 4. Untuk mengidentifikasi persyaratan-persyaratan untuk aksi perbaikan dan atau pencegahan (pre and or corrective action) 5. Melaksanakan klausul 6 ISO 27001 6. Memastikan bahwa organisasi atau perusahaan siap untuk audit sertifikasi. a. Tujuan dan Ruang Lingkup Tujuan dari audit internal ini adalah untuk melakukan audit terhadap proses bisnis Teknologi Informasi (TI) organisasi atau perusahaan demi mengetahui sejaug mana penerapan SMKI dan ksesuaiannya dengan standar ISO 27001. Selanjutnya jika terdapat temuan ketidaksesuaian dapat digunakan sebagai iyang dapat digunakan untuk memperbaiki, membangun dan mengembangkan SMKI di organisasi atau perusahaan. b. Jenis-jenis Audit Dalam melaksanakan audit SMKI ada dua jenis audit yang dapat dilakukan, yaitu : 1. Audit Kepatuhan (compliance audit) Audit kesesuaian adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah objektif kontrol, kontrol dan prosedur memenuhi hal-hal berikut :
40
o Telah memenuhi persyaratan sebagaimana ditulis dalam manual SMKI o Telah efektif diimplementasikan dan di pelihara o Telah berjalan sesuai dengan yang diharapkan 2. Audit substansi (substanstion audit) Audit substansi adalah audit SMKI yang dilaksanakan untuk tujuan menegasikan apakah hasil dari aktivitas (prosedur atau proses telah dijalankan) telah sesuai dengan yang ditargetkan atau yang diharapkan. 2.1.6 Pengaruh Kompetensi Auditor Internal Terhadap Keamanan Informasi Dalam penelitian Steinbart et al. yang berjudul “The relationship between internal audit and information security” (2012) menyatakan bahwa adanya pengaruh karaktersistik auditor internal pada hubungan antara staf audit internal dan keamanan informasi. Dari hasil penelitiannya menunjukan beberapa faktor yang mempengaruhi sifat hubungan antara audit internal dengan fungsi keamanan informasi antara lain : 1. Pentingnya pengetahuan teknis auditor Sistem keamanan informasi professional dan auditor internal, keduanya mengakui bahwa tingkat pengetahuan teknis auditor internal yang berkaitan dengan teknologi informasi memiliki dampak yang signifikan terhadap sifat hubungan antara dua fungsi tersebut.
41
2. Kemampuan berkomunikasi Kemampuan berkomunikasi, terutama kejelasan merupakan hal yang penting dimana struktur organisasi juga mempengaruhi kualitas dan frekuensi komunikasi. 3. Sikap auditor dan persepsi peran audit Auditor internal dan sistem keamanan informasi professional menyebutkan bahwa sikap auditor internal tentang peran dan tujuan audit merupakan hal yan penting. Dimana audit internal merasakan peran yang lebih dari penasehat bukan polisi, saling percaya antara fungsi audit dan sistem keamanan informasi lebih mungkin untuk berkembang. Sebagai rasa saling percaya tersebut dapat meningkatkan dua fungsi tersebut dan juga meningkatkan kerjasama. Berdasarkan pernyataan tersebut dapat disimpulkan bahwa auditor internal harus memiliki kompetensi yang baik dalam pengetahuan teknis, kemampuan berkomunikasi serta sikap auditor mengenai peran dan tujuan audit. Tingginya tingkat pengetahuan IT hubungan antara dua fungsi lebih efektif. Dan keahlian komunikasi audit internal secara langsung mempengaruhi tingkat kerja sama antara audit intern dan keamanan informasi dalam meningkatkan kepercayaan fungsi sistem keamanan informasi. Menurut Steinbart et al. (2013) dan Steinbart et al. (2014) menyatakan bahwa auditor internal harus memiliki kompetensi yang baik dalam pengetahuan, kemampuan komunikasi serta sikap auditor mengenai peran dan tujuan audit. Dan
42
keahlian audit internal secara langsung mempengaruhi tingkat kerja sama audit intern dan keamanan informasi dalam meningkatkan kepercayaan sistem keamanan informasi. Keuntungan dari hubungan yang baik antara audit internal dan keamanan informasi dapat menambah nilai (value-add) dari audit internal dan efektivitas keamanan informasi
2.2
Kerangka Pemikiran Menurut IIA Code of ethics dalam Reding et al. (2009: 1-16) menyatakan
kompetensi sebagai berikut : “Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge skills and other competencies needed to perform its responsibilities”. Berdasarkan definisi diatas dapat disimpulkan bahwa auditor internal diharapkan menerapkan dan menegakkan prinsip-prinsip yang salah satu diantaranya menerapkan pengetahuan, keterampilan dan pengalaman yang diperlukan dalam memenuhi tanggung jawab. The IIA menyatakan dalam Core Competencies for Today’s Internal Auditor bahwa kompetensi yang harus dimiliki seorang auditor internal yaitu (1) kemampuan komunikasi, (2) mengetahui perubahan kebijakan perusahaan dan standar profesi, (3) peralatan dan teknik audit dan (4) pengetahuan. Yang terpenting dalam profesi audit internal harus menguasai komunikasi antar personal dengan baik (berbicara secara lisan, laporan tertulis, dan persentasi). (Bailey: 2010:6)
43
Seiring dengan perkembangan teknologi informasi yang terus mengubah semua proses bisnis dalam ekonomi global, auditor internal diharuskan juga memiliki kompetensi dalam bidang teknologi informasi yang dimana setiap perusahaan telah menerapkan teknologi informasi dalam proses bisnisnya. Informasi dijadikan sebagai dasar untuk pengambilan keputusan yang tepat. Dalam penelitiannya Mattia (2011) menyatakan, ketika suatu informasi berharga suatu organisasi berada di salah satu anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan persepsi yang memadai akan isu keamanan informasi akan penyebabkan perubahan perilaku anggota organisasi tersebut untuk melindungi informasi berharga organisasi. Menurut ISO/EIC 27001;2005, Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya yang memastikan atau menjamin kelangsungan bisnis, meminimalisir resiko bisnis dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis. Keamanan informasi memiliki 3 aspek yaitu: 1. Confidentiality Keamanan informasi menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu. 2. Integrity Keamanan informasi menjamin kelengkapan informasi dan menjaga dari kerusakan atau ancaman lain yang mengakibatkan berubah informasi dari aslinya
44
3. Availability Keamanan informasi menjamin pengguna dapat mengakses informasi kapanpun tanpa ada gangguan dan tidak dalam format yang tidak bisa digunakan. Dalam penelitiannya Steinbart et al. (2012) menyatakan pengetahuan IT audit internal secara langsung mempengaruhi kualitas hubungan antara audit internal dan keamanan informasi. Tingginya tingkat pengetahuan IT hubungan antara dua fungsi lebih efektif. Dan keahlian komunikasi audit internal secara langsung mempengaruhi tingkat kerja sama antara audit intern dan keamanan informasi dalam meningkatkan kepercayaan fungsi sistem keamanan informasi. Berdasarkan penelitian Steinbart et al. (2012) menemukan bahwa para professional keamanan informasi percaya bahwa hubungan yang baik dengan audit internal meningkatkan efektivitas keamanan informasi secara menyeluruh dalam beberapa cara. Salah satu manfaat yang dirasakan dari hubungan yang baik dengan audit internal adalah bahwa membuat lebih mudah untuk mendapatkan dukungan manajemen dan kepatuhan karyawan dengan kebijakan keamanan informasi. Menurut penelitian Jumiati dan Wahyudi (2012) yang berjudul “Model Kesadaran Keamanan Informasi di Lingkungan Instansi Pemerintah Indonesia Berdasarkan ISO-SNI/IEC 27001:2005 Sistem Manajemen Keamanan Informasi” dari beberapa hasil penelitiannya menyatakan: a. Melalui sumber daya manusia yang kompeten dalam keamanan informasi, nilai informasi akan dikelola dengan baik sehingga
45
informasi yang tepat akan dikirimkan pada waktu yang tepat dan dalam bentuk yang tepat. b. Kesadaran keamanan menjadi penting dalam sistem keamanan informasi dimana tujuan dari kegiatan tersebut adalah untuk menjamin seluruh sumber daya manusia organisasi menyadari dan peduli terhadap ancaman dan resiko yang dapat terjadi. Hal ini menjadi bekal utama dalam penerapan kebijakan keamanan informasi dalam kegiatan organisasi sehari-hari. c. Program kesadaran keamanan harus disinergikan dan diintegrasikan dengan sistem lain di instansi pemerintah seperti pengelolaan sumber daya manusia, keuangan dan TIK sehingga dapat mengoptimalkan penerapan sistem keamanan informasi dalam mendukung tercapainya tujuan organisasi. Dalam penelitian Steinbart et al. (2014) menyatakan ada beberapa faktor yang mempengaruhi hubungan audit internal dan keamanan informasi : 1. Peran yang dirasakan dari audit internal 2. Persepsi tentang tingkat audit internal keahlian keamanan informasi 3.Frekuensi audit internal review dalam berbagai aspek keamanan informasi Keuntungan dari hubungan yang baik antara audit internal dan keamanan informasi dapat menambah nilai (value-add) dari audit internal dan efektivitas keamanan informasi.
46
Berdasarkan uraian-uraian tersebut, model kerangka pemikiran teoritis yang dibangun dapat dilihat pada Gambar 2.1 yang menggambarkan kerangka pemikiran teoritis mengenai pengaruh kompetensi auditor internal terhadap keamanan informasi.
Gambar 2.1 Kerangka Pemikiran Kompetensi Auditor Internal
Keamanan Informasi
(X)
(Y)
1. Interpersonal Skills 2. Tools and Techniques 3. Internal Audit Standards, Theory and Methodology 4. Knowledge Areas
1. Confidentiality 2. Integrity 3. Availability (ISO/IEC 27002:2005)
(Internal Auditor Competency Framework-2009)
2.3
Hipotesis Penelitian Kompetensi merupakan kemampuan yang dimiliki yang dilandasi oleh
pengetahuan, keterampilan dan pengalaman untuk melaksanakan tanggung jawabnya. Seorang auditor internal harus memiliki kompetensi yang baik untuk melaksanakan tugas-tugasnya. Berdasarkan penelitian Jumiati dan Wahyudi (2012) menyatakan dengan melalui sumber daya manusia yang kompeten dalam keamanan informasi, nilai informasi akan dikelola dengan baik sehingga informasi yang tepat akan
47
dikirimkan pada waktu yang tepat dan dalam bentuk yang tepat. Dengan kata lain semakin kompeten auditor internal semakin tinggi keamanan informasi yang diterapkan, maka hipotesis yang dibangun adalah : Ho : Kompetensi auditor internal tidak berpengaruh terhadap keamanan informasi Ha : Kompetensi auditor internal berpengaruh terhadap keamanan informasi
