Pemerin

Atura tah
n
Standart
IT

Manajemen
dan Manajem
Organisasi en
Pengendalian Fisik
dan Lingkungan

Pengendalian Sistem
perangkat lunak

Pengendalian Sistem Teknis

Pengembangan

Pengendalian Basis Aplikasi

Keseimbangan strategis memperhatikan hubungan antara rencana

strategis perusahaan dan rencana TI dan bertujuan untuk memastikan bahwa
target strategis didukung oleh Investasi TI. Audit keseimbangan strategis
dimaksud untuk menganalisis: (1) Strategi yang sesuai dengan sistem TI,
sebagaimana TI mendukung pelaksanaan strategis bisnis perusahaan atau
menciptakan peluang bisnis yang baru; dan (2) Integrasi fungsional, yang
menyangkut bagaimana membuat pilihan dalam bidang TI (arsitektur, proses,
pelaksana) yang berdampak pada domain Bisnis atau sebaliknya.
Penilaian pada nilai pencapaian bertujuan untuk memeriksa apakah
sistem TI memberikan manfaat yang dijanjikan dan hasilnya sesuai dengan
kebutuhan bisnis yang ditetapkan. Pencapaian tujuan ini memerlukan
penggunaan yang memadai dari aplikasi, informasi dan solusi teknologi.
 Analisis Manajemen Sumber Daya memerlukan optimalisasi investasi TI
dan manajemen yang tepat dari sumber daya yang kritikal terhadap TI: proses,
orang, aplikasi, infrastruktur dan informasi.
Manajemen Risiko diaudit dengan mengacu pada kebijakan organisasi
yang digunakan untuk mengelola risiko TI secara efektif, untuk memastikan
bahwa risiko tersebut benar dipahami dan dikelola secara efektif di semua
tingkat organisasi.
Pengukuran kinerja menilai implementasi secara strategi, penyelesaian
tugas, penggunaan sumber daya, proses kinerja dan pelayanan. Hal ini juga
termasuk pengaturan dan pemantauan tujuan yang terukur dalam proses
penyampaian TI (hasil proses) dan bagaimana mereka menerimanya
(kemampuan proses dan kinerja).
Seperti yang ditunjukkan pada Gambar. 1, pengendalian manajemen TI secara
umum meliputi: Standar TI, manajemen dan organisasi, pengendalian secara
fisik dan lingkungan.
Mengenai standar TI, auditor TI harus mengidentifikasi dan menilai,
apakah proses kebijakan dan prosedur memungkinkan sistem TI bekerja
secara efektif dan memberikan layanan yang ada, serta dikomunikasikan dan
diikuti oleh semua anggota organisasi TI. Standar-standar ini umumnya
mencakup fase siklus hidup system TI dan bisa mencakup banyak proses
seperti desain layanan TI, perubahan dan manajemen konfigurasi, operasi dan
manajemen insiden, dokumentasi prosedur pengendalian.
Tingkatan kedua dari manajemen pegendalian TI secara umum mengacu
pada organisasi dan proses manajemen TI. Auditor TI harus meninjau
pengendalian organisasi dan manajerial yang ada dalam fungsi TI tersebut.
Kegiatan mengaudit ini membahas isu-isu yang berbeda seperti kemungkinan
rencana pemulihan kerusakan secara memadai, memperbaharui dan
mendokumentasikan, kehadiran kelangsungan bisnis TI, proses manajemen
aset oleh sumber daya TI, dll.
Komponen ketiga dari manajemen pengendalian TI berfokus pada
pengendalian secara fisik dan lingkungan. Dalam rangka memberikan
pandangan pada pengendalian , peneliti telah menamai tingkatan ini dengan
Pengendalian Keamanan TI untuk mengarahkan semua tindakan yang
diambil dalam mengurangi risiko keamanan dan membangun sebuah
lingkungan keamanan TI yang efektif. Mengenai hal ini, Auditor TI dapat
membantu perusahaan dalam meningkatkan strategi keamanan TI dan standar
keamanan, mekanisme serta prosedur di perusahaan tersebut.
 Tingkatan terakhir dari hirarki pengendalian IT menjelaskan
pengendalian teknis, yang meliputi IT: pengendalian sistem perangkat lunak,
pengendalian sistem pengembangan serta pengendalian aplikasi secara
umum.
Audit kerja pada pengendalian sistem perangkat lunak dan pengendalian
sistem pengembangan termasuk dalam peninjauan pengendalian sistem
operasi (OS), sistem manajemen database dan program operasi lainnya.
Tujuan audit dapat melibatkan isu yang berbeda seperti aturan otorisasi untuk
instalasi perangkat lunak, dan pemeliharaan dan peningkatan program.
Pengendalian berbasis aplikasi meninjau TI yang digunakan oleh perusahaan
untuk mendukung berbagai proses seperti akuntansi, pengadaan, produksi,
pemasaran. Auditor TI diperlukan untuk mengevaluasi kecukupan, dan
pengoperasian sistem aplikasi serta kemampuan mereka untuk berkontribusi
pada efektivitas proses bisnis.
Gambar 3 menunjukkan bahwa model peneliti digunakan untuk menganalisis
kegiatan audit TI yang dilakukan oleh bank, dengan integrasi hirarki
pengendalian yang diusulkan oleh Moeller dengan COBIT 4.0 kerangka [15].
Untuk menganalisa kegiatan bank yang dipermasalahkan, peneliti
merumuskan pertanyaan penelitian sebagai berikut:

RQ2: Aktivitas manakah yang ditunjukkan pada Gambar. 3, yang

dilakukan dalam analisis perusahaan?
Studi yang dilakukan pada audit TI menyoroti bahwa jumlah pemegang
kekuasaan stakeholder yang bertidak dalam hal tersebut, telah meningkat
selama setahun ini. Sementara, pada tahap awal, EDP auditor bekerja
utamanya untuk mendukung auditor eksternal, aktivitas mereka telah
diperluas dari waktu ke waktu untuk memenuhi permintaan jaminan dan
kegiatan konsultasi yang datang dari sisi lain seperti fungsi TI, manajer senior,
dewan direksi, komite audit, dll [18].
Dalam perbankan, kerangka aturan yang ditetapkan oleh Pihak
Pengawas yang berwenang menganggap auditor TI sebagai bagian dari "baris
ketiga pertahanan", yang memberikan jaminan independen kepada Dewan
Direksi, unit bisnis eksekutif dan Komite Audit pada manajemen dari risiko IT
dan status pengendalian IT yang tergabung dalam proses bisnis ( "baris
pertama pertahanan"). Sebagai "baris ketiga pertahanan", auditor IT juga
diminta untuk memberikan jaminan independen pada fungsi-fungsi (seperti
unit manajemen risiko) yang mengawasi risiko TI dan pengendalian sebagai
"garis pertahanan kedua". Perbedaan yang signifikan umumnya diakui dalam
menggambarkan kekuatan relative stakeholder ini [19]. Dalam konteks ini, hal
tersebut adalah analisis berharga dari persepsi responden tentang pertanyaan
penelitian sebagai berikut:

RQ3: Siapa stakeholder utama pada auditor IT?

Literatur tentang pergerakan nilai aktivitas audit menunjukkan banyak
faktor dapat mempengaruhi kapasitas kegiatan untuk menambah nilai bagi
organisasi atau fungsinya[20-22].
Faktor-faktor ini adalah: karakteristik auditor (mis objektivitas, kredibilitas,
kepemimpinan, keterampilan, dll); kegiatan atau cara yang dilakukan dan alat-
alat yang digunakan (mis rencana audit berbasis risiko, risiko metodologi
penilaian, dll); lingkungan di mana auditor terlibat (karakteristik misalnya dari
lingkungan pengendalian, dukungan oleh manajemen tertinggo, dll).
Ketika mempertimbangkan studi tentang faktor-faktor penentu keberhasilan
audit IT, variabel lain dapat diidentifikasi, seperti standar etika untuk auditor
IT, perencanaan yang memadai dari keterlibatan IT, dan sebagainya [23].
Bermacam-macam bukti menegaskan bahwa model yang dominan tidak ada
dan analisis tambahan diperlukan dalam hal ini. Semua pertimbangan
membawa kita ke pertanyaan penelitian sebagai berikut:

RQ4: Apa faktor penentu keberhasilan utama untuk kegiatan audit IT?
Ara. 3 kegiatan audit IT

3. Metodologi Penelitian

Peneliti memutuskan untuk memfokuskan penyelidikan mereka pada industri

perbankan. Alasan di balik keputusan ini telah banyak dijelaskan dalam
pendahuluan.
Penelitian ini menyangkut dua kelompok perbankan Italia terbesar. Kami
memilih organisasi terbesar berdasarkan bukti dari penelitian sebelumnya,
yang menggambarkan hubungan positif antara ukuran perusahaan dan
penciptaan fungsi audit IT [24].
Selain itu, perusahaan ini beroperasi dalam skala internasional dan
perusahaan induknya juga tercatat di Bursa Efek Milan.
 Peneliti menggunakan metode studi kasus holistik untuk
menggambarkan fenomena audit TI dalam konteks kehidupan nyata.
Untuk memilih dua studi kasus, peneliti terinspirasi oleh penelitian
sebelumnya pada audit internal, peneliti juga memperhitungkan masa kerja
fungsi audit internal [25], serta jumlah auditor internal. Mengenai parameter
ini, peneliti mengunakan/memasukkan perusahaan dengan fungsi audit
internal yang matang dan dengan departemen audit internal yang besar.
Tabel 1 menunjukkan beberapa karakteristik dari studi kasus memiliki
kesamaan.
Hal ini akan meningkatkan komparabilitas/perbandingan hasil [26].
Peneliti melakukan wawancara semi-terstruktur dengan kepala departemen
audit TI.
Protokol wawancara dikembangkan mulai dengan pertanyaan terbuka
mengenai pelajaran umum, seperti peran audit IT di bank, latar belakang
profesional IT auditor, tahun-tahun keberadaan fungsi audit IT, dll.