Nama : R Fariz Mulyawan S

NIM : 46118081

Ringkasan Materi Bab 4

STANDAR DAN PEDOMAN UNTUK AUDIT SISTEM INFORMASI
Kode Etik Profesi dan Audit Sistem Kontrol dan Asosiasi (ISACA) dan
Standar Audit ISACA IS dan Standar Pedoman serta Kode Etik Institute of Internal
Auditor (IIA), Standar untuk Praktek Profesional Penasihat Audit dan Praktik
Internal. Selain itu, standar dan pedoman selain model ISACA dan IIA dieksplorasi.
A. STANDAR IIA (Institute of Internal Auditor)
Pada tahun 1978 IIA memperkenalkan Standar untuk Praktik Profesional
Audit Internal untuk digunakan di seluruh dunia untuk memberikan konsistensi
internasional dan sebagai alat pengukuran untuk jaminan kualitas audit. Standar
IIA dimaksudkan untuk menetapkan ukuran untuk pengukuran yang konsisten
dari operasi Audit Internal. Ini memungkinkan penyatuan audit internal di
seluruh dunia dengan meningkatkan praktik audit internal, menyatakan peran,
ruang lingkup, kinerja, dan tujuan audit internal, mempromosikan pengakuan
audit internal sebagai profesi, dan mempromosikan tanggung jawab dalam
profesi audit internal.
Pada Januari 2002, IIA mengadopsi standar revisi. Termasuk dalam revisi
ini adalah definisi baru audit internal. Sejak tahun 2002, audit internal telah
didefinisikan sebagai:
“Audit internal adalah aktivitas konsultasi independen dan obyektif yang
dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini
membantu organisasi mencapai tujuannya dengan membawa pendekatan
sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas
manajemen risiko, kontrol, dan proses tata kelola”.
B. KODE ETIK
Secara umum, Auditor internal diharapkan untuk menerapkan dan
menegakkan prinsip-prinsip berikut:
 a. Integritas auditor internal membangun kepercayaan dan dengan demikian
memberikan dasar untuk mengandalkan penilaian mereka.
b. Objektivitas, Auditor internal menunjukkan tingkat tertinggi objektivitas
profesional dalam mengumpulkan, mengevaluasi, dan
mengkomunikasikan informasi tentang aktivitas atau proses yang sedang
diperiksa. Auditor internal membuat penilaian yang seimbang dari semua
keadaan yang relevan dan tidak terlalu dipengaruhi oleh kepentingan
mereka sendiri atau oleh orang lain dalam membentuk penilaian.
c. Kerahasiaan, Auditor internal menghormati nilai dan kepemilikan
informasi yang mereka terima dan tidak mengungkapkan informasi tanpa
otoritas yang sesuai kecuali ada kewajiban hukum atau profesional untuk
melakukannya.
Kepatuhan terhadap Kode Etik dan Standar adalah wajib. Semua
pernyataan wajib pertama kali diumumkan secara resmi untuk dibahas oleh
seluruh profesi melalui penerbitan draft paparan. Kepatuhan terhadap
pernyataan ini dianggap penting untuk pemberian layanan profesional oleh
auditor individual dan fungsi audit internal.
C. LAPORAN
Pedoman tersebut diganti dengan Praktik Penasihat yang mewakili pendekatan
terbaik untuk penerapan Standar. Pada dasarnya, Praktik Penasihat dirancang
untuk membantu auditor dengan menafsirkan Standar dalam berbagai
lingkungan audit internal. Penasihat Praktek akan terus dikeluarkan dari waktu
ke waktu, baik sebagai bantuan umum maupun untuk memenuhi kebutuhan
khusus dalam industri tertentu, lokasi geografis, atau spesialisasi audit.
D. AIDS
IIA juga telah mengembangkan atau mendukung Bantuan Pembangunan dan
Praktek. Ini termasuk produk pendidikan, studi penelitian, seminar, konferensi,
dan bantuan lainnya yang berkaitan dengan praktik profesional audit internal.
Ini tidak dimaksudkan sebagai wajib seperti halnya Standar, atau penasehat
seperti halnya Penasihat Praktek. Mereka dimaksudkan hanya untuk membantu
 pengembangan staf Audit Internal dengan memperkenalkan mereka pada
teknik dan proses yang dikembangkan oleh berbagai pakar di bidangnya.
E. STANDAR UNTUK KINERJA PROFESIONAL AUDITING INTERNAL
Standar itu sendiri telah dikelompokkan ulang dan didefinisikan ulang menjadi
Atribut, Kinerja, dan Standar Implementasi:
■ Standar Atribut.
■ Standar Kinerja.
■ Standar Implementasi.
F. STANDAR ISACA
Kerangka kerja untuk Standar Audit IS menyediakan berbagai
tingkat panduan.
 Standar menentukan persyaratan wajib untuk Audit dan pelaporan IS.
 Pedoman memberikan panduan dalam menerapkan Standar Audit IS.
 Prosedur memberikan contoh prosedur yang mungkin diikuti oleh
Auditor IS dalam perikatan audit.
Tujuan Kontrol untuk sumber daya Teknologi dan Informasi terkait
(COBIT®) harus digunakan sebagai sumber panduan praktik terbaik. oleh
karena itu penggunaannya memungkinkan pemahaman tujuan bisnis dan
komunikasi praktik dan rekomendasi terbaik, untuk dibuat di sekitar
referensi standar yang umum dipahami dan dihormati. COBIT termasuk:
 Kontrol tujuan.
 Praktik kontrol.
 Pedoman audit.
 Pedoman manajemen.
G. KODE ETIK ISACA
ISACA juga memiliki kode etik tersendiri, yang mensyaratkan bahwa anggota,
CISM, dan CISA harus:
a. Mendukung implementasi, dan mendorong kepatuhan dengan, standar,
prosedur, dan kontrol yang sesuai untuk sistem informasi.
b. Lakukan tugas mereka dengan uji tuntas dan perawatan profesional, sesuai
dengan standar profesional dan praktik terbaik.
 c. Melayani demi kepentingan para pemangku kepentingan dengan cara yang
sah dan jujur, sambil mempertahankan standar perilaku dan karakter yang
tinggi, dan tidak terlibat dalam tindakan yang dapat didiskreditkan ke
profesi.
d. Menjaga privasi dan kerahasiaan informasi yang diperoleh selama tugas
mereka kecuali jika pengungkapan diperlukan oleh otoritas hukum.
Informasi tersebut tidak boleh digunakan untuk keuntungan pribadi atau
diberikan kepada pihak yang tidak pantas.
e. Pertahankan kompetensi di bidangnya masing-masing dan setuju untuk
melakukan hanya kegiatan-kegiatan yang mereka harapkan dapat lengkap
dengan kompetensi profesional.
f. Memberi tahu pihak-pihak yang tepat tentang hasil pekerjaan yang
dilakukan; mengungkapkan semua fakta penting yang diketahui mereka.
g. Mendukung pendidikan profesional para pemangku kepentingan dalam
meningkatkan pemahaman mereka tentang keamanan dan kontrol sistem
informasi.
H. COSO: STANDAR PENGENDALIAN INTERNAL
Pada tahun 1992, Institut Akuntan Publik Publik Amerika, Institut Auditor
Internal, Asosiasi Akuntansi Amerika, Institut Akuntan Manajemen, dan
Institut Eksekutif Keuangan mengeluarkan studi yang disiapkan bersama
berjudul Internal Kontrol — Kerangka Kerja Yang Terintegrasi. Dokumen ini
mengidentifikasi tujuan mendasar dari setiap bisnis atau entitas pemerintah. Ini
termasuk ekonomi dan efisiensi operasi, pengamanan aset, pencapaian hasil
yang diinginkan, keandalan laporan keuangan dan manajemen, dan kepatuhan
terhadap hukum dan peraturan.
COSO mendefinisikan lima komponen yang akan membantu manajemen
dalam mencapai tujuan ini. Terdiri dari:
a. Lingkungan Kontrol Suara.
b. Proses Penilaian Risiko yang Baik.
c. Kegiatan Kontrol Operasional yang Baik.
d. Sistem Informasi dan Komunikasi yang Baik.
 e. Pemantauan yang efektif.
Selain itu, harus ada evaluasi terpisah dan independen dari sistem
kontrol internal. Ruang lingkup dan frekuensi evaluasi independen ini terutama
tergantung pada penilaian risiko dan hambatan, dan efektivitas prosedur
pemantauan yang sedang berlangsung.
I. BS 7799 DAN ISO 17799: KEAMANAN IT
British Standard 7799 dan International Standards Organisation 19977
dikembangkan untuk membantu perusahaan dengan memastikan bahwa,ketika
perdagangan elektronik dimasukkan ke dalam, beberapa tingkat jaminan
mengenai keamanan dan kontrol diterapkan di kedua ujung dalam sistem mitra
dagang itu sendiri.
J. NIST
Institut Nasional Standar dan Teknologi (NIST) adalah lembaga teknologi
federal yang bekerja dengan pengukuran dan standar teknologi. Pusat Sumber
Daya Keamanan Komputer (CSRC), sebuah divisi dari NIST, telah
membantu dengan memproduksi baik buku pegangan tentang keamanan TI
maupun berbagai standar keamanan.
Buku Pegangan NIST mencakup bidang yang sangat mirip dengan BS
7799 dan ISO 17799, tetapi masuk ke detail yang jauh lebih rinci tentang mata
pelajaran seperti:
a. Kontrol Manajemen
b. Kontrol Operasional
c. Kontrol Teknis
K. BSI BASELINES
Kontrol Dasar Lembaga Standar Inggris (BSI) untuk Keamanan Informasi
dapat diperoleh dari www.bsi.bund.de. Mereka menggambarkan seperangkat
kontrol minimum untuk memberikan perlindungan tingkat menengah untuk
sistem informasi dan mencakup:
a. Manajemen Keamanan TI
b. Perlindungan Dasar TI untuk Komponen Generik