Audit atas Sistem Informasi Berbasis Teknologi Informasi

Audit merupakan sebuah kegiatan yang melakukan pemerikasaan untuk menilai dan
mengevaluasi sebuah aktivitas atau objek seperti implementasi pengendalian internal pada
sistem informasi akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses fungsi
akuntansi yang membutuhkan improvement.
Audit Sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan
mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer
yang digunakan oleh organisasi telah dapat mencapai tujuannya.
dimana Pengertian Audit itu sendri yaitu :
Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai
pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi.

A. Memahami Tujuan Audit Sistem Informasi dan Pendekatan Yang Digunakan

Merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti yang dilakukan
oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem
informasi dan sumber daya terkait, secara memadai telah dapat digunakan untuk:

a. melindungi asset.

b. menjaga integritas dan ketersediaan sistem dan data.

c. menyediakan informasi yang relevan dan handal.

d. mencapai tujuan organisasi dengan efektif.

e. menggunakan sumber daya dengan efisien.

f. Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal
yang melindungi sistem tersebut.

g. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-

c) Efisiensi sistem Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Cara kerja sistem benar (doing thing right). dan catatan komputer lainnya telah akurat dan lengkap. . b) Efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengmbilan keputusan. sumber daya manusia. TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis kegiatan perusahaan. • File data komputer telah akurat. file. Tujuan Audit SI a) Pengamanan aset Aset informasi suatu perusahaan seperti perangkat keras (hardware). dan dijaga kerahasiaannya. dan data dari akses yang tidak sah. program. Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah. lengkap. • Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. telah sesuai dengan kebutuhan user. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing). • Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. • Pemrosesan transaksi. dan data harus dijaga dengan sistem pengendalian intern yang baik agar tidak ada penyalahgunaan aset perusahaan. pelaporan dan pertanggungjawaban. f) Kehandalan (Realibility) Berhubungan dengan kesesuaian dan kekuratan bagi manajemen dalam pengolahan organisasi. perangkat lunak (software). karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memnuhi kebutuhan user dengan sumber daya informasi yang minimal. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik. • Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. d) Ketersediaan (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). e) Kerahasiaaan (Confidentiality) Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak yang idak berwenang. komunikasi. laporan. modifikasi. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya. tujuan berikut ini dipenuhi : • Perlengkapan keamanan melindungi perlengkapan komputer. atau penghancuran.

Data memiliki atribut-atribut seperti kelengkapan kebenaran dan keakuratan. Laporan keuangan tepat waktu . Assurace yang layak memperoleh audit yang cepat dan layak untuk menekan risiko audit. Sifat bukti yang tersedia Bukti audit terutama diperoleh melalui pelaksanaan prosedur audit. Bukti ini juga meliputi informasi dari sumber lain seperti audit yang lalu. Sifat dan kuangan Pembuatan laporan keuangan memerlukan judgment manajemen dalam meneapkan kerangka laporan keuangan dan keputusan dalam penilaian subjektif oleh manajemen dalam memilih berbagai tafsiran. Auditor menarik kesimpulan audit nya dan berdasar kan opini atau pendapat nya kepada bukti bukti audit.g) Menjaga integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Setiap sampel kurang dari 100% mengandung risiko bahwa salah saji tidak akan terdeteksi. Sifat prosedur Audit Prosedur audit untuk menampilkan bukti audit untuk tidak mendeteksi informasi yang hilang. Bukti ini cenderung bersifat persuasif dan tidak konklusif. Auditor ingin menekan risiko ketingkat rendah yang di terima. disembunyikan dengan rapi. 2. Langkah – langkah audit berbasis risiko : Bagian ini melihat secara utuh makna audit berdasarkan risiko melalui pemahaman beberapa konsep dasar yang saling berkaitan : Reasonable Assurance (assurance yang layak) Assurance adalah assurance yang tinggi tetapi bukan pada tingkat tinggi yang mutlak (absolute level of assurance). kecurangan yang canggih. prosedur kendali mutu dalam rangka menerjemah atau melanjutkan hubungan dengan klien. Inherent Limitations (Kendala Bawaan) Ada beberapa kendala bawaan dalam audit sebagai berikut : 1. Bukti audit yang dibuat tenaga ahli digunakan dalam catatan pembukuan entitas. 4. 3.

secara eksplisit maupun implisit yang tercantum didalam laporan keuangan. seperti yang mungkin diterapkan dalam ketentuan perundang-undanganmewajibkan auditor melaksanakan pekerjaan tambahan sesuai dengan perluasan tanggungjawabnya. Material misstatement ( salah saji material) Salah saji yang material bisa : 1. . 2. Berupa salah saji yang tidak dikoreksi 3.sampai terbukti sebaliknya. Risiko Audit Risiko audit adalah risiko memberikan opini audit yang tidak tepat atas laporan keuangan yang disalah sajikan secara material. Terjadi secara sendiri-sendiri atau bersama 2. Contoh : asersi bahwa sesuatu (unsur laporan keuangan) sudah lengkap berkaitan dengan semua transaksi dan peristiwa yang seharusnya dibukukan. Audit scope (Lingkup audit) Lingkup pekerjaan auditor dan opini yang diberikannya dibatasi pada menjawab pertanyaan. memang sudah dibukukan. Inherent risk ( risiko bawaan) dan control risk ( risiko pengendalian) Sifat : laporan keuangan mungkin/berpotensi mengandung salah saji yang material Sumber : tujuan/operasi entitas dan rancangan/implementasi pengendalian internal oleh manajemen. Berupa kesalahan (eror) atau kecurangan (fraud) Asesi (assertions) Asersi adalah pernyataan yang diberikan manajemen. Detection risk (risiko pendeteksian) Sifat : auditor mungkin gagan mendeteksi salah saji yang material dalam laporan keuangan Sumber : sifat dan luasnya prosedur audit yang dilaksanaan auditor. kecurangan. Setiap perluasan dari tanggung jawab audit yang utama. Pemakaian laporan keuangan mempunyai ekspektasi bahwa auditor memiliki pendapat dalm meminta semua informasi yang mungkin adabahwa infrmasi mengandung kesalahan. Asersi-asersi ini digunakan auditor untuk mempertimbangkan berbagai jenis kemungkinan salah saji yang bisa terjadi. Berupa pengungkapan yang menyesatkan tanpa laporan keuangan 4. Risiko audit terdiri dari 2 unsur utama : 1.

Kearifan professional Auditor wajib melaksanakan kearifan professional dalam merencanakan dan melaksanakan suatu audit atas laporan keuangan. Skeptisisme professional Auditor wajib merencanakan dan melaksanakan suatu audit dengan Skekeptisi professional dengan menyadari bahwa mungkin ada situasi yang menyebabkan laporan keuangan disalah sajikan secara material. Risk response ( menanggapi risiko) Merancan dan melaksanakan prosedur audit selanjutnya yang menganggapi risiko salah saji yang material yang telah diidentifikasi dan nilai. sesuai kesimpulan yang ditarik . Melaksanakan Audit Berbasis Risiko Pelaksanaan audit berbasis risiko. 3. Gunakan tujuan sesuai ISAs yang relevan Untuk mencapai tujuan seluruhnya auditor wajib menggunakan tujuan yang dinyatakan dalam ISAs yang relevan dalam merencanakan dan melaksanakan audit tersebut dengan memperhatikan keterkaitan diantara berbagai ISAs. pada tingkat laporan keuangan dan arsersi. 2. Reporting (pelaporan) Tahap melaporkan meliputi a. Membuat dan menerbitkan laporan yang tepat. Asurans yang layak Untuk memperoleh asurans yang layak auditor memperoleh bukti auditor yang cukup dan tepat untuk menekan risiko audit ketingkat rendah yang dapat diterima. 2. 3. 4. Merumuskan bukti audit yang diperoleh b. Suatu audit berbasis risiko mengandung tiga langkah kunci : 1. Risk assessment (menilai risiko) Melaksanakan prosedur penilaian risiko untuk mengindentifikasi risiko salah saji yang material dalam laporan keuangan. dengan demikian memungkinkan auditor menarik kesimpulan yang layak untuk digunakan sebagai dasar pemberian pendapat auditor. terdapat 4 pokok bahasan : 1.

tidak ada keharusan untuk menguji berfungsinya pengendalian intern (langsung atau tidak langsung) b. Pedadakan (unpredictability) Dalam hal tertentu. Beberapa hal yang menjadi pertimbangan auditor dalam merencanakan kombinasi prosedur audit yang tepat untuk menanggapi risiko: 1. Significant Risks Istilah significant risks atau risiko signifikan dalam ISAs mempunyai makna khusus. Uji pengendalian a. dengan merancan dan mengimplementasi tanggapan yang tepat terhadap risiko tersebut. 3. Management override Auditor juga mempertimbangkan perlu nya prosedur audit yang spesifik menangani kemungkinan manajemen override atau putusan manajemen untuk meniadakan atau mengabaikan pengendalian dengan membuat “pengecualian”. Menilai Risiko Tujuan auditor adalah mengindentifikasi dan menilai salah saji yang material. Identifikasi pengendalian yang relevan yang jika diuji dapat mengurangi lingkup prosedur subtantif lainnya. dan selisih nya atau salah saji langsung teridentifikasi. karena kecurangan atau kesalahan pada tingkat laporan keuangan dan asersi. Namun. 5. 2. Pelaporan Atau Reporting Tujuan auditor adalah merumuskan opini mengenai laporan keuangan berdasarkan evaluasi atas kesimpulan yang di tarik atas bukti audit yang di peroleh dan memberikan opini . Prosedur analitikal substantif Ini adalah prosedur dimana jumlah total sesuatu arus transaksi (misalnya penjualan) dapat di perkirakan dengan cukup tepat berdasarkan bukti yang tersedia. Identifikasi setiap asersi yagn tidak dapat di tangani dengan prosedur substantif saja. Ekspektasi atau perkiraan di bandingkan dengan jumlah ( penjualan) sebenarnya seperti tercataa dalam pembukuan. auditor perlu memasukkan unsur pendadakan dalam prosedur audit misalnya ketika menanggapi salah saji material karna kecurangan. termasuk pengendalian interentitas yang memberikan dasar untuk merancang dan mengimplementasi tanggapan terhadap risiko (salah saji material yang dinilai). 4. melalui pemahaman terhadap entitas dan lingkungannya. Menanggapi Risiko/Risk Response Tujuan auditor adalah memperoleh bukti audit yang cukup dan tepat tentang risiko (salah saji material) yang dinilai.

yang jelas. atau semua kearifan profesional yang di terapkan dalam audit dan 2.auditor tidak perlu mendokumentasikan : 1. 3. Fleksibilitas waktu Karena prosedur penilaian risiko tidak menguji transaksi dan saldo secar rinci. 5.jadwal waktu. Dokumentasi Dokumentasi audit yang cukup. Sifat. untuk menguji/tidak menguji efektif nya pengendalian intern. 2. auditor dapat mengarahkan tim audit ke hal-hal dan beriko tinggi dan mengurangi pekerjaan pada lower risk areas. yang tidak berhubungan dengan audit itu. prosedur itu dalam di laksankan jauh sebelum akhir tahun (dengan asumsi . Hal kecil yang di pertimbnagkan. tidak ada perubahan operasinal yang besar). melalui laporan tertulis. di haruskan agar auditor yang berpengalaman. yang juga menjelaskan dasar ( untuk memberikan) pendapat tersebut. Kepatuhan terhadap hal-hal yang di tunjukan dengan jelas dalam dokumen lain dalam audit file. 4. Manfaat Audit Berbasis Risiko 1. Hasil pelaksana prosedur tersebut dan bukti audit yang di peroleh dan 3. Hal-hal penting yang timbul selama audit berlangsung kesimpulan yang di tarik dan kearifan professional yang di terapkan untuk sampai pada kesimpulan itu. Prosedur audit terfokus pada risiko Prosedur audit selanjutnya di rancang untuk menanggapi risiko yang di nilai. Upaya tim audit terfokus pada area kunci Dengan memahami dimana risiko salah saji material bisa terjadi dalam laporan keuangan. Dokumentasi audit untuk entitas yang lebih kecil umumnya tidak se ekstensif dokumen tasi audit yang entitas yang lebih besar. uji rincian yang hanya menanggapi risiko secara umum akan dapat di kurangi secara signifikan atau bahkan sama sekali di hilangkan. Oleh karena itu. Pemahaman atas pengendalian internal Pemahaman terhadap pengandalian intern (yang di wajibkan ISA) memungkin auditor mengambil keputusan yang tepat. Komunikasi tepat waktu . memahami: 1. Dengan demikian sumber daya atau staff audit di manfaatkan sebaik-baiknya. dan luas nya prosedur audit yang di laksanakan 2.

CAATs diklasifikasikan menjadi 4 kategori utama yaitu : a. Arsip Data C. . Pemrosesan Komputer 5. B. an audit is an audit! Konsekuensinya ialah. pendekatan dasar suatu audit tidak berubah sekedar karena entitasnya kecil. Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem Informasi 1. Modifikasi Program 4. dalam melaksanakan audit dibutuhkan suatu software yang mendukung untuk melakukan audit dan mencapai tujuan audit. yang sebelumnya tidak di ketahui. Oleh karena itu. Suatu audit adalah suatu audit. Pengembangan dan Akuisisi Program 3. Keamanan secara Keseluruhan 2. Hal ini dikarenakan semua informasi yang dibutuhkan untuk melakukan audit terdapat pada sistem komputer. memungkinkan auditor mengidentifikasi kelemahan dalam pengendalian intern. Data Analysis Software Data Analysis Software merupakan kategori yang paling banyak digunakan untuk membantu tujuan audit secara umum. Salah satu produk Data Analysis Software yang adalah GAS (Generalized Audit Software). ISAs untuk Entitas Kecil ISAs tidak membedakan pendekatan audit untuk entitas yang terdiri dari satu orang dan pendekatan audit untuk entitas yang mempekerjakan ribuan pegawai. pendekatan ini disebut dengan CAATs. melakukan audit tanpa mengunakan teknologi merupakan suatu pilihan yang sulit. Sumber Data 6. Memahami Penggunaan Piranti Lunak Computer Audit dan Perannya dalam Menunjung Audit Sistem Informasi Computer Assisted Audit Techniques (CAATS) Menurut Sayana (2003). Pemahaman terhadap pengendalian intern yang meningkat.

Network Security Evaluation Software/Utilities Network Security Evaluation Software/Utilities merupakan salah satu software yang memb antu auditor dalam mengevaluasi keaman an jaringan dengan menemukan kerentanan- kerentanan (vulnerabilities) yang ada dari serangan-serangan orang yang tidak bertanggung jawab pada sebuah jaringan dengan menggunakan tool seperti scanner. OS and DBMS Security Evaluation Software/Utilities OS and DBMS Security Evaluation Software/Utilities merupakan salah satu software yang digunakan untuk mengevaluasi keamanan pada platform dan database yang digunakan pada sebuah sistem. d. Software and Code Testing Tools Software and Code Testing Tools digunakan untuk melakukan pengujian terhadap fungsionalitas sebuah software dan kode program dengan tujuan untuk menemukan bug. merupakan teknik yang sangat penting bagi kinerja auditor SI. S5 (Audit Planning). pedoman teknik audit berbantuan komputer (CAATs) berada pada Guideline ketiga (G3) yang diterbitkan pada tanggal 1 Desember 1998. seperti General Software Audit. Uji pengendalian aplikasi SI e). Tes penetrasi  CAATs dapat menghasilkan banyak bukti audit pada audit SI. dan sistem pakar (expert system) audit. Guideline ini berkaitan dengan standard S6 (Kinerja Pelaksan aan Audit).  CAATs dapat digunakan untuk mengerjakan beberapa prosedur audit: a). karena itu IT auditor harus merencanakan penggunaan CAATs dengan seksama. Test Data atau Test Data Generation. Uji pengendalian umum SI d). p237). Uji transaksi/saldo b). c. Guideline ini disusun dengan tujuan memp erjelas beberapa hal:  CAATs terdiri berbagai tipe alat dan teknik. Latar Belakang a. b. G3 Use of Computer Assisted Audit Techniques 1. Selain itu untuk menentukan apakah software itu telah memenuhi requirement dan berjalan sesuai dengan yang diharapkan Menurut ISACA yang diterjemahkan oleh Gondodiyoto (2007. Utility Software. . pemetaan software aplikasi.b. dan S3 (Professional Ethics and Standards). Prosedur analitis c).

 Integritas sistem informasi dan lingkungannya. dan instruksi atau panduan menjalankan. c. program/sistem dan data SI organisasi harus diatur dengan baik agar sesedikit mungkin atau untuk mengurangi efek terhadap lingkungan produksi organisasi yang sedang diaudit. lingkungan SI yang akan diaudit dengan berbantuan komputer.  Pertimbangan waktu.  Menentukan kebutuhan output. dan pengalaman dari auditor SI. dsb.  Cocok atau tidaknya memakai fasilitas CAATs.  Menentukan accessibility dan availability system atau program dan data yang akan diaudit. Persiapan dengan auditan  Test file atau data transaksi mungkin tidak lama berada di komputer . apakah akan melakukan audit secara manual. Pokok-pokok isi a.  Menentukan sumber daya antara lain personil. Langkah-langkah yang harus dilakukan oleh auditor dalam CAATs: Menentukan tujuan pemakaian CAATs dalam audit. rekalkulasi. dengan CAATs. keahlian. high level flowchart. b. untuk itu auditor SI harus meminta data lama (retensi) sesuai dengan kebutuhan periode ruang lingkup jangka waktu audit. termasuk diantaranya tujuan/manfaat CAATs tersebut. bergantung pada :  Pengetahuan komputer. data pada SI perusahaan termasuk definisi file yang akan diaudit.  Tingkat risiko audit yang ditetapkan. penyiapan konfirmasi.2. . kemungkinan diubahnya program produksi atau data yang diaudit. atau kombinasi antara keduanya.  Efisiensi dan efektivitas penggunaan CAATs dibanding manual.  Dokumentasi CAATs yang diperlukan yang mungkin perlu digunakan. serta integritas pelaksanaan CAAT tersebut.  Auditor SI harus memperkirakan efek memakai CAATs. Faktor-faktor yang harus dipertimbangkan auditor dalam perencanaan audit.  Menentukan prosedur yang akan dilakukan dengan CAATs. misalnya sampling.  Menentukan akses untuk mengetahui spesifikasi program atau sistem.  Akses terhadap fasilitas.

realib ilitas.  Auditor SI harus mendokumentasikan hasil prosedur audit berbantuan komputer tersebut dengan benar untuk mendukung integritas. auditor SI memv erifik asi integritas data dari sistem informasi dan lingkungan TI dari data yang diekstrak. perancangan. misalnya program change controls. akses terhad ap data/file atau program. c. dan bahwa sistem dan data yang diaudit terlindungi dari kerusakan f. parameter yang digunakan dan ciri/k arakteristik lain dari CAATs. pemrosesan. Test Data Jika menggunakan data uji. pengujian. e. auditor SI harus waspada bahwa data uji dapat memberi potensi . ap akah ada mekanisme program changes control yang memadai.  CAATs dapat digunakan untuk mengekstrak program atau data dengan tetap harus dijaga kerahasiaannya. atau bahkan operating system) auditor SI harus yakin bahwa tidak ada intervensi dan software tersebut diambil dari kepustakaan file (library) yang benar.  Review pengendalian umum yang mungkin berkonstribusi pada integritas CAATs. Data Security dan CAATs  Pada waktu menggunakan CAATs. kegunaan dan keamanan CAATs. reliability. Pemakaian CAATs pada pengumpulan bukti audit ialah untuk mendukung keyakinan memadai.  Melakukan review logika. Generalized Audit Software (GAS) : Dalam menggunakan GAS untuk akses data. realib ility. extract data untuk analisis. Test CAATs Auditor SI harus yakin terhadap integrity. dan review dokumentasi yang memadai sebelum benar-benar melakukan audit berbantuan komputer tersebut. d. usefullness.  Review output mengenai kelayakan datanya. a. Utility Software Jika memakai utility software (software yang umumnya bagian sistem software. dan keamanan CAATs dengan perencanaan. b.  Ketika CAATs berada pada lingkungan yang tidak dalam kontrol auditor. auditor SI tetap harus mendapat keyakinan bahwa in tegrity. oleh karena itu auditor SI harus :  Sedapat mungkin melakukan rekonsiliasi kontrol total. Contoh harus diperiksa apakah program yang diaudit benar-benar production program. dan security tetap terjaga. auditor SI harus mengikuti langkah yang benar untuk melindungi integritas data yang akan diaudit.

dan auditor harus yakin bahwa setelah test maka data uji tidak mengkontaminasi data sesungguhnya (real actual data). auditor SI harus yakin bahwa source code yang dievaluasi adalah benar. output (log file. laporan). dan metodologi CAATs yang digunakan. auditor SI harus paham benar mengenai konsep operasi sistem pakar tersebut agar yakin bahwa keputusan yang akan diikuti adalah benar keputusan yang diambil dengna jalur yang benar sesuai dengan kondisi dan tujuan lingkungan audit. g. Listing parameter yang digunakan dan source code  Output yang dihasilkan dan gambaran hasil analisisnya. i. Application Software Tracing and Mapping Jika menggunakan software untuk penelusuran dan pemberitaan aplikasi. dan metodologi audit.  Penjelasan CAATs harus juga tercantum pada batang tubuh laporan. proses (high level flowchart. h. j. Audit Expert System Jika menggunakan sistem pakar audit. ruang lingkup.benar yang menjadi program object code yang digunakan dalam produksi. CAATs yang digunakan. ruang lingkup. error dan bahwa yang dievaluasi adalah ukuran data yang aktual. Jika uraian tentang CAATs akan terlalu banyak (terkait beberapa temuan) atau terlalu rinci maka dapat diuraikan pada bagian laporan yang memuat tujuan. pengendalian intern yang diuji atau di-test. Sistem data uji sering perlu ketelitian dan waktu lama. langkah-langkah CAATs harus didokumentasi untuk mendukung bukti audit yang memadai. personil/staff yang terkait dan waktu. temuan sebagai hasil pemakaian CAATs harus juga diungkapkan. Daftar Pustaka . Kertas kerja audit harus memiliki dokumentasi yang mendeskripsikan aplikasi CAATs yang digunakan dan hal-hal berikut:  Persiapan dan prosedur pengujian pengendalian CAATs. logic). Pada Work Papers (kertas kerja pemeriksaan). Dalam perencanaan audit perlu dilakukan dokumentasi yang mencakup tujuan/manfaat CAATs.  Temuan audit.  Rincian kerja pengujian CAATs. file la yout). kesimpulan dan rekomendasi.  Rincian input (data yang diuji. Uraian penjelasan CAATs dalam pelaporan  Laporan audit harus secara jelas menguraikan tujuan.

html .co.id/2016/02/audit-berbasis-risiko.blogspot.http://makalahauditberbasisisa.