IT AUDIT FUNDAMENTALS

INFORMATION SYSTEM AUDIT AND CONTROL

Dosen Pengampu:
Anissa Hakim Purwantini, S.E., M.Sc.

Disusun Oleh Kelompok 1:

Arjun Yuliyanto 16.0102.0077
Indah Setia Bakti 16.0102.0080
Cindi Afita Putri 16.0102.0088
Susmita Zaen 16.0102.0096
Kurnia Rosy Putri 16.0102.0104
Cici Dwi Anggriantari 16.0102.0113
Nur Muhammad Ikhsan 16.0102.0120
Putri Nadhilah 16.0102.0122

FAKULTAS EKONOMI PROGRAM STUDI AKUNTANSI

UNIVERSITAS MUHAMMADIYAH MAGELANG
2019
 IT AUDIT FUNDAMENTALS (POKOK-POKOK AUDIT TI)

Pokok-Pokok Audit TI
Informasi yang akan dibahas adalah :
1. Apa yang akan diaudit?
2. Mengapa harus diaudit?
3. Siapa yang diudit?
4. Siapa yang mengaudit?
Suatu ketergantungan pada teknologi informasi (IT) adalah sebuah karakteristik
umum untuk hampir semua organisasi moderen. Organisasi sendiri mengandalkan informasi
dan sebuah proses dan memungkinkan teknologi yang diperlukan untuk menggunakan dan
juga mengelola informasi secara efektif. Hal ini adalah ketergantungan mencirikan organisasi
sektor publik dan swasta, terlepas dari misi industri, lokasi, geografis, atau jenis organisasi.
IT sangatlah penting bagi kesuksesan, efisiensi operasi, daya saing dan bahkan kelangsungan
hidup perusahaan. Hal ini menjadikan sangat penting kebutuhan organisasi untuk dapat
memastikan penggunaan TI yang benar dan juga efektif. Didalam konteks, pentingnya
sumber daya dialokasikan secara efisien, bahwa fungsi TI di tingkat kinerja dan juga kualitas
yang memadai untu mendukung bisnis secara efektif dan bahwa aset informasi dapat dijamin
secara memadai sesuai dengan toeransi risiko suatu organisasi. Aset semacam itu juga harus
diatur secara efektif, artinya milik mereka beroperasi sebagaimana dimaksud , bekerja dengan
benar, dan berfungsi dengan cara yang sesuai dengan aplikasi peraturan dan standar kabel.
 Mengaudit TI sangatlah berbeda dengan mengaudit catatan laporan keuangan,
operasi, atau proses bisnis. Berbagai landasan umum prinsip-prinsip audit, standar praktik,
dan proses dan kegiatan tingkat. Audit TI juga merupakan komponen dari tipe utama audit

Keterangan :

IT Auditing Warna biru : IT auditing

Orange : financing audit

Fin
Hijau : operational audit

Merah : Quality audit

Ungu : integrated audit

lainnya. Praktik akuntansi dalam organissi yang diaudit menggunakan TI, audit keuangan
harus membahas kontrol berbasis teknologi dan kontribusinya dalam mendukung kontrol
keuangan akhir.teknologi merupakan sumber daya utama yang sering dimasukkan dalam
ruang lingkup audit operasioanl. Audit mutu berlaku untuk banyak aspek organisasi, seperti
profil bisnis, keamanan informasi program dan praktik. Sifatnya terpusat pada kontrol
internal audit mutu tersebut ini.Audit TI bagaimanapun menunjukkan keleluasaan dan variasi
yang lebih besar daripada audit keuangan, operasional, atau kualias saja dalam arti tidak
hanya mewakili. Bukan merupakan elemen dari jenis audit utama lainnya tetapi juga terdiri
dari banyak perbedaan pendekatan, bidang materi pelajaran, dan prospektif yang sesuai
dengan sifat suatu lingkungan TI organisasi, model tata kelola, dan tujuan audit.
Apa itu Audit IT ?
Audit sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan
independen. Istilah tersebut sering digunakan untuk evaluasi banyak subjek yang berbeda
misalnya memeriksa laporan keuangan atau akun organisasi. Sedangkan definisi yang
digunakan oleh badan standar audit lingkup luas dan dalam konteks audit IT tidak membatasi
atau menganggap subjek yang menjadi dasar audit. Sebagai contoh, pedoman Organisasi
Internasional untuk Standardisasi tentang audit yang menggunakan istilah “proses sistematis,
independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara
objektif untuk menentukan sejauh mana kriteria audit dipenuhi” dan Glosarium Perpustakaan
Teknologi Informasi mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk
memeriksa apakah suatu standar atau serangkaian pedoman sedang diikuti, apakah catatan itu
akurat, atau bahwa target efisiensi dan efektifitas terpenuhi”. Penting bagi pengguna "IT"
untuk memenuhi kualifikasi audit IT dan membedakannya dari konotasi keuangan yang lebih
umum dari kata audit yang digunakan sendirian.
Definisi tersebut juga menekankan karakteristik yang membedakan audit dari jenis
evaluasi atau penilaian lain dengan merujuk pada kriteria eksplisit yang memberikan dasar
untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan
apa yang sebenarnya diamati atau diperlihatkan melalui bukti. Audit tidak dimaksudkan
untuk memeriksa penggunaan praktik terbaik atau (dengan kemungkinan pengecualian audit
operasional) untuk melihat apakah ada peluang untuk meningkatkan atau mengoptimalkan
proses atau karakteristik operasional. Sebagai gantinya, ada standar yang ditetapkan yang
memberikan dasar untuk perbandingan yang ditetapkan sebelum memulai audit.
Penentuan audit cenderung lebih benar daripada hasil penilaian atau evaluasi lainnya,
dalam arti bahwa item tertentu memenuhi atau gagal memenuhi persyaratan yang berlaku.
Temuan audit mengidentifikasi kekurangan di mana apa yang diamati atau ditemukan oleh
auditor melalui analisis bukti audit berbeda dari apa yang diharapkan atau diperlukan
sehingga subjek audit tidak dapat memenuhi persyaratan. Sedangkan penilaian tipikal
mungkin memiliki skala penilaian kuantitatif atau kualitatif dan menghasilkan temuan dan
rekomendasi untuk perbaikan di bidang yang diamati beroperasi secara efektif atau yang
dianggap kurang. Karena auditor bekerja dari standar atau serangkaian kriteria yang
ditetapkan, audit IT yang menggunakan persyaratan komprehensif atau yang dipikirkan
dengan matang mungkin kurang subyektif dan lebih dapat diandalkan dibandingkan dengan
jenis evaluasi atau penilaian lainnya.
Dalam audit eksternal dan internal, kewajiban auditor adalah sepenuhnya untuk
memahami garis besar dan menggunakan pengetahuan tersebut secara akurat dan obyektif
membandingkan subjek audit dengan kriteria yang ditentukan dalam garis besar. Penggunaan
kriteria audit yang ditentukan secara formal juga berarti bahwa organisasi yang
mengantisipasi atau menjalani audit tidak boleh terkejut dengan sifat audit, apa yang
dicakupnya, atau persyaratan apa yang diharapkan dipenuhi oleh organisasi. Audit eksternal
terutama yang didorong oleh mandat peraturan atau standar sertifikasi mengikuti prosedur
dan menerapkan kriteria yang harus tersedia dan hanya diketahui oleh organisasi yang diaudit
seperti halnya oleh auditor eksternal yang melakukan audit. Audit internal mengikuti strategi,
rencana, dan prosedur yang ditentukan oleh organisasi itu sendiri dalam program auditnya,
sehingga auditor internal dan unit bisnis, pemilik sistem, manajer proyek, staf operasi, dan
personel yang menjadi subjek atau audit pendukung juga harus terbiasa dengan audit kriteria
yang akan digunakan.
Kontrol internal
Audit TI eksternal dan internal memiliki fokus yang sama. Kontrol internal
dilaksanakan oleh organisasi yang diaudit. Kontrol merupakan pusat elemen manajemen TI
yang didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja
yang menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi,
dan operasi sistem informasi; keamanan informasi; dan tata kelola TI.
Dalam konteks ini, kontrol adalah suatu kebijakan atau prosedur yang merupakan
bagian dari kontrol internal, hasil kebijakan dan prosedur yang dirancang untuk melakukan
kontrol. IT Governance Institute menawarkan definisi konsisten dengan COSO: “kebijakan,
rencana dan prosedur, dan struktur organisasi dirancang untuk memberikan jaminan yang
masuk akal bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan
dicegah atau dideteksi dan diperbaiki. Dari perspektif perencanaan dan pelaksanaan audit TI,
kontrol internal mewakili substansi kegiatan audit, karena kontrol adalah item yang diperiksa,
diuji, dianalisis, atau dievaluasi.
Organisasi sering menerapkan sejumlah besar kontrol internal yang dimaksudkan
untuk mencapai berbagai tujuan kontrol. Mengategorikan kontrol internal memudahkan
dokumentasi, pelacakan, dan manajemen beragam set kontrol yang ada di banyak organisasi.
Skema kategorisasi kontrol lazim digunakan dalam kerangka kontrol internal, Audit TI, dan
pedoman penilaian serta undang-undang yang berlaku mengklasifikasikan kontrol oleh
tujuan, berdasarkan tipe fungsional, atau keduanya. Kategori berbasis tujuan termasuk
pencegahan, kontrol detektif, dan korektif, tempat organisasi menggunakan kontrol preventif
mencoba untuk menjaga agar kejadian yang tidak diinginkan atau tidak diinginkan terjadi,
kontrol detektif menjadi menemukan ketika hal-hal seperti itu terjadi, dan kontrol korektif
untuk merespons atau pulih setelah kejadian yang tidak diinginkan terjadi.
Kontrol selanjutnya dipisahkan oleh fungsi menjadi jenis kontrol administratif, teknis,
dan fisik, seperti Pengendalian administrasi mencakup kebijakan, prosedur, dan rencana
organisasi itu tentukan apa yang ingin dilakukan organisasi untuk menjaga integritas operasi,
informasi, dan aset lainnya. Kontrol teknis termasuk mekanisme teknologi , prosedur
operasional, dan sumber daya yang diimplementasikan dan dikelola oleh suatu organisasi
untuk mencapai tujuan kontrolnya. Kontrol fisik terdiri dari ketentuan yang ada di suatu
organisasi untuk mempertahankan, menyediakan, dan membatasi atau memantau akses ke
fasilitas, area penyimpanan, peralatan, dan aset informasi.
Beberapa sumber menggunakan kategorisasi kontrol yang berbeda, seperti jenis
manajemen, operasional, dan kontrol teknis yang ditentukan oleh Institut Standar Nasional
AS dan Teknologi (NIST) dalam pedoman keamanan informasinya untuk lembaga
pemerintah federal. NIST menggunakan operasional untuk membedakan kontrol yang
diterapkan dan dilakukan oleh orang-orang. Dalam banyak konteks audit, bagaimanapun,
"kontrol operasional" digunakan untuk berarti "kontrol internal" sehingga untuk menghindari
kebingungan auditor dan organisasi lebih memilih kategorisasi administratif-teknis-fisik yang
lebih umum.

Apa yang Diaudit?

Sama seperti audit keuangan, kualitas, dan operasional dapat dilaksanakan oleh entitas
besar atau pada tingkat yang berbeda dalam sebuah organisasi, audit TI dapat mengevaluasi
seluruh organisasi, unit bisnis individual, fungsi misi dan proses bisnis, pelayanan, sistem,
infrastruktur, atau komponen teknologi. Berbagai jenis dari audit TI dan pendekatan yang
biasa digunakan untuk melakukan audit tersebut dapat mempertimbangkan kontrol internal
dari berbagai perspektif dengan memfokuskan pada elemen-elemen TI yang kontrolnya
sesuai atau pada kontrol yang dilaksanakan dalam konteks proses yang dilakukan atau
layanan yang diberikan oleh suatu organisasi. Terlepas dari keseluruhan metode audit TI
yang digunakan, audit TI selalu membahas satu atau lebih bidang yang berhubungan dengan
teknologi, termasuk kontrol yang terkait dengan hal-hal berikut;
a. Pusat data dan fasilitas fisik lainnya
b. Infrastruktur jaringan
c. Telekomunikasi
d. Sistem operasi
e. Database
f. Penyimpanan
g. Server dan lingkungan terotomatisasi
h. Layanan dan operasi outsourcing
i. Server web dan aplikasi
j. Aplikasi Perangkat lunak dan aplikasi yang dikemas
k. Pengguna dan Aplikasi
l. Perangkat seluler
Unsur-unsur pengendalian internal TI dapat diaudit secara terpisah atau bersama-
sama, meskipun bahkan ketika audit TI yang diberikan berfokus secara sempit pada satu
aspek TI, auditor perlu mempertimbangkan konteks teknis, operasional, dan lingkungan yang
lebih luas. Audit TI juga membahas proses dan fungsi kontrol internal, seperti prosedur
operasi dan pemeliharaan, kontinuitas bisnis, dan pemulihan bencana. respons insiden,
pemantauan jaringan dan keamanan, manajemen konfigurasi, pengembangan sistem, dan
manajemen proyek.

Karakteristik Audit TI
Definisi, standar, metodologi, persetujuan peraturan dalam kunci karakteristik audit
TI diperoleh dari Generally Accepted Auditing Standards (GAAS) dan standar internasional
serta kode praktik. Karakteristik ini termasuk perlunya auditor untuk mahir dalam
melaksanakan jenis-jenis audit, kepatuhan oleh auditor dan organisasi yang diwakilinya
terhadap kode etik dan perilaku professional, dan desakan independensi auditor. Kecakapan
dalam prinsip-prinsip umum, prosedur, standar, dan ekspektasi yang melintasi semua jenis
audit dan juga berlaku dalam konteks audit TI. Tergantung pada kompleksitas dan
karakteristik khusus dari pengendalian TI atau lingkungan operasi yang menjalani audit,
auditor mungkin memerlukan pengetahuan khusus atau keahlian untuk dapat benar dan
efektif memeriksa control yang termasuk dalam ruang lingkup audit TI.
Kode etik, perilaku, dan perilaku etis yaitu seperti kemampuan, umum dalam semua
domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi,
kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai. Independensi auditor,
prinsip yang berlaku untuk audit dan auditor internal dan eksternal, berarti bahwa orang yang
melakukan audit dan organisasi yang diwakilinya tidak memiliki kepentingan finansial dan
bebas dari konflik kepentingan mengenai organisasi yang mereka audit agar tetap objektif
dan tidak memihak. Sementara independensi auditor adalah prinsip utama dalam GAAS dan
standar audit internasional, ketentuan independensi audiensi yang diamanatkan dalam
Sarbanes-Oxley Act dan ditegakkan oleh Securities and Exchange Commission (SEC) secara
hukum membutuhkan independensi untuk audit perusahaan yang diperdagangkan secara
publik.

Mengapa diaudit?
Melakukan dan mendukung audit TI dan mengelola program audit TI adalah waktu, usaha,
dan aktivitas-aktivitas yang intensif personel dalam kesadaran biaya dan persaingan untuk
sumber daya, masuk akal untuk bertanya mengapa organisasi melakukan IT audit. Dasar
pemikiran untuk audit eksternal seringkali lebih jelas dan lebih mudah dipahami perusahaan
dan organisasi yang diperdagangkan secara publik di banyak industri tunduk pada hukum dan
persyaratan peraturan, kepatuhan yang sering ditentukan melalui mengaudit. Demikian pula,
organisasi mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas
layanan, kedewasaan, atau pengendalian implementasi dan efektivitas biasanya harus
menjalani audit sertifikasi oleh auditor independen. Audit TI sering memberikan informasi
yang membantu organisasi mengelola risiko, mengonfirmasi alokasi yang efisien Sumber
daya terkait TI, dan mencapai tujuan TI dan bisnis lainnya. Alasan dulu membenarkan audit
TI internal mungkin lebih bervariasi di seluruh organisasi, tetapi meliputi:
a. mematuhi aturan pertukaran efek bahwa perusahaan memiliki audit internal fungsi;
b. mengevaluasi efektivitas kontrol yang diterapkan;
c. mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur internal;
d. memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan standar;
e. menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung terus menerus
pemantauan;
f. mengidentifikasi kelemahan dan defisiensi sebagai bagian dari risiko awal atau
berkelanjutan pengelolaan;
g. mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan;
h. memverifikasi dan memvalidasi rekayasa sistem atau manajemen proyek TI praktik; dan
i. menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan audit
eksternal yang diantisipasi.
Untuk menggeneralisasi, IT internal audit sering didorong oleh persyaratan organisasi untuk
tata kelola TI, risiko manajemen, atau jaminan kualitas, yang mana saja dapat digunakan
untuk menentukan apa perlu diaudit dan bagaimana memprioritaskan kegiatan audit TI. Audit
TI eksternal lebih sering didorong oleh kebutuhan atau keinginan untuk menunjukkan
kepatuhan dengan eksternal standar, peraturan, atau persyaratan yang diberlakukan yang
berlaku untuk jenis organisasi, industri, atau lingkungan operasi.

Siapa yang diaudit?

Mengingat penggunaan TI yang meluas di organisasi dari semua ukuran dan jenis, dan
manfaat yang diperoleh organisasi yang berhasil membangun dan memelihara internal
Program audit TI, hampir semua organisasi dapat menganggap audit TI berharga. Dengan
sehubungan dengan audit TI eksternal, organisasi mungkin tidak berada dalam posisi untuk
menentukan apakah, bagaimana, atau kapan harus menjalani audit TI, karena banyak bentuk
eksternal audit diamanatkan secara hukum, bukan opsional. Sejauh organisasi mencari
sertifikasi atau validasi eksternal lain dari kontrol atau operasi mereka yang secara efektif
mereka pilih untuk tunduk pada audit TI eksternal. Jenis organisasi lain tunduk pada
persyaratan hukum dan peraturan khusus berdasarkan pada sifat operasi bisnis mereka atau
industri di mana mereka berpartisipasi. Persyaratan hukum dan peraturan adalah di antaranya
pendorong audit TI yang paling lazim untuk organisasi di beberapa industri dan sektor.
Sebagaimana dicatat di atas, di luar nilai intrinsik apa pun untuk suatu organisasi itu mungkin
menyediakan, audit TI juga merupakan komponen penting dari perusahaan manajemen risiko,
tata kelola TI, dan program dan inisiatif jaminan kualitas, selain mendukung kepatuhan
terhadap peraturan dan standar. Ini artinya sebuah organisasi yang menerapkan tata kelola
formal, risiko, dan kepatuhan (GRC) model atau standar jaminan kualitas juga membutuhkan
kemampuan audit TI yang efektif. Bagi banyak organisasi, keputusan untuk menetapkan dan
memelihara manajemen risiko atau program tata kelola TI adalah pilihan, bukan persyaratan,
tetapi pendekatan semacam itu umumnya dipandang sebagai praktik terbaik. Perusahaan
perdagangan publik Amerika Serikat yang terdaftar di Bursa Efek New York diperlukan,
berdasarkan peraturan yang diumumkan segera setelah berlakunya UU Sarbanes-Oxley,
untuk mempertahankan fungsi audit internal. Aturan yang berlaku untuk perusahaan yang
harus diaudit audit di negara-negara di Eropa Union juga menekankan pentingnya memonitor
efektivitas internal fungsi audit, meskipun tidak secara eksplisit mengharuskan organisasi
untuk memelihara fungsi seperti itu. Secara kolektif, kombinasi antara persyaratan hukum
dan peraturan dan penggerak bisnis memberi organisasi insentif yang kuat untuk membentuk
suatu kemampuan audit TI internal jika mereka belum memilikinya, dan untuk
memastikannya program audit TI yang mereka buat terstruktur dengan baik, dikelola,
dikelola, dan dipelihara.

Siapa yang melakukan audit TI ?

Mengaudit kontrol TI internal membutuhkan pengetahuan, keteranpilan, dan
kemampuan TI yang luas dan keahlian dalam prinsip-prinsip, praktik, dan proses audit
khusus-TI. Oganisasi perlu mengembangkan atau memperoleh personel dengan under-
spesialisasi kedudukan tujuan pengendalian dan pengalaman dalam operasi TI yang
diperlukan untuk meningkatkan secara aktif melakukan audit TI. Persyaratan ini juga berlaku
untuk organisasi yang memiliki program audit TI berfokus pada pelaksanaan audit internal
sebagaimana untuk layanan profesional wakil perusahaan yang melakukan audit eksternal
atau memberikan auditor atau keahlian untuk mendukung kegiatan audit internal organisasi.
Jenis-jenis organisasi dan individu yang melakukan audit TI meliputi :
1. Audit Internal, yang terdiri dari karyawan organisasi yang melakukan audit atau
kontraktor TI internal, konsultan, atau spesialis outsourcing yang di sewa oleh organisasi
untuk melakukan audit internal
2. Auditor TI yang bekerja sebagai kontraktor independen atau sebagai karyawan
profesional perusahaan jasa yang menyediakan jasa audit TI eksternal atau internal
3. Perusahaan audit atau akuntansi (atau divisi audit atau akuntansi perusahaan menawarkan
jangkauan layanan yang lebih luas)
4. Organisasi sertifikat yang berwenang untuk mengevaluasi praktik organisasi dan
mengontrol dan memberikan sertifikasi kepada organisasi yang proses internalnya,
sistem, layanan, atau lingkungan operasional mematuhi standar yang berlaku atau kriteria
sertifikasi lainnya
5. Organisasi dengan wewenang untuk mengawasi implementasi yang disyaratkan
mengendalikan atau menegakkan peraturan, seperti Kantor Akuntabilitas Pemerintah
(GAO), SEC, Federal Deposit Insurance Corporation (FDIC), dan Departemen Kantor
Kesehatan dan Layanan Kemanusiaan (HHS) untuk Hak Sipil (OCR) di dalam
Pemerintah Federal A.S dan
6. Inspektur jenderal, eksekutif audit, atau pejabat setara yang ditugasi untuk otoritas untuk
memberikan tinjauan independen terhadap banyak aspek organisasi untuk tempat mereka
bekerja, termasuk kepatuhan terhadap kebijakan organisasi, ketentuan keamanan yang
memadai, alokasi sumber daya yang efektif, dan pemeliharaan tanggung jawab fidusia
atau standar perawatan lainnya
Berbagai jenis organisasi dan profesional audit melakukan berbagai jenis audit TI,
sesuai dengan luasnya keterampilan dan pengalaman yang diperlukan dan tujuan utama
diperlukan dan tujuan utama sangat tergantung pada ruang lingkup audit yang akan
dilakukan. Gambar 1.4 menggambarkan jenis audit dengan meningkatnya spesifitas mulai
dari lingkup organisasi di tingkat terluas melalui audit semua kontrol internal, kontrol khusus
IT, kontrol implementasikan untuk sistem informasi individual, dan keamanan informasi
kontorl. Vendor teknologi, penyedia layanan, dan jenis organisasi lainnya dapat melakukan
audit TI yang terfokus secara sempit untuk memantau kinerja terhadap layanan perjanjian
tingkat, periksa kepatuhan dengan syarat dan ketentuan hukum atau kontrak, menegakkan
perjanjian lisensi, atau melindungi terhadap penipuan, pemborosan, atau penyalahgunaan.
Auditor Eksternal
Audit TI eksternal, menurut definisi dilakukan oleh auditor dan entitas di luar
organisasi tunduk pada audit. Tergantung pada ukuran organisasi dan ruang lingkup dan
kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal dan tim. Secara
umum, hubungan antar suatu organisasi dan auditor eksternal biasanya didirikan dan dikelola
di tingkat entitas itu, organisasi menggunakan layanan dari perusahaan luar atau organisasi
propesional yang melakukan audit TI yang diperlukan.
Jenis hubungan kapal dibutuhkan untuk perusahaan publik di Amerika Serikat dan
banyak lainnya negara, berdasarkan peraturan yang mewajibkan perusahaan yang mengaudit
korporasi ini untuk terdaftar tered atau dilisensikan dengan badan pengawas pemerintah,
seperti Perusahaan Publik Dewan Pengawas Akuntansi (PCAOB) di Amerika Serikat dan
anggota Badan Pengawas Grup Eropa (EGAOB) di negara-negara di Eropa Uni Eropa. Oleh
karena itu perusahaan yang diperdagangkan secara publik dibatasi dalam pilihan mereka
perusahaan audit eksternal, tetapi dengan mewajibkan audit perusahaan tersebut dilakukan
hanya oleh perusahaan yang memenuhi syarat (dan personel yang berkualifikasi yang bekerja
untuk mereka) struktur peraturan untuk audit wajib di banyak negara memastikan audit itu
dilakukan secara konsisten yang sesuai dengan prinsip-prinsip yang berlaku, standar, dan
praktik. Independen auditor penting untuk audit internal dan eksternal, tetapi dalam konteks
audit eksternal independensi semacam itu seringkali tidak hanya dituntut tetapi juga
ditegakkan secara hukum.

Auditor Internal
Audit internal kontrol adalah sikap tanggung jawab dan sama dengan audit teknologi
informasi (TI) eksternal. Tetapi dalam banyak hal, audit internal kontrol memperluas lebih
lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat perincian yang
diperlukan untuk meningkatkan kualitas audit teknologi informasi internal. Auditor internal
bekerja di organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan
pemahaman tentang organisasi sampai lingkungan teknologi informasi tertentu, kontrol,
sistem informasi, dan karakter operasional. Dalam program audit teknologi informasi internal
yang terstruktur dengan baik, auditor internal juga memiliki pengetahuan tentang misi dan
proses bisnis dengan tujuan menyediakan konteks yang jelas untuk sumber daya teknologi
informasi. Karena penekanan pada independensi auditor dalam audit internal maupun
eksternal, fungsi audit teknologi informasi internal sering digunakan untuk memfasilitasi
objektivitas dan integritas, termasuk manajemen dan struktur akuntabilitas yang melapor
langsung ke dewan direksi organisasi atau anggota senior eksekutif tim manajemen.
Auditor teknologi informasi internal harus memastikan program audit internal secara
memadai mencakup bidang fungsional dan teknologi yang relevan, dan memerlukan tim kecil
yang terdiri atas personel audit yang relatif senior dengan pengalaman teknologi informasi
yang luas atau sekelompok auditor yang lebih besar dengan bidang yang lebih khusus dan
keahlian yang sesuai. Auditor teknologi informasi internal juga memerlukan keterampilan
dan karakteristik nonteknis yang sesuai, termasuk integritas, profesional, dan standar
beretika. Ciri-ciri auditor teknologi informasi internal yaitu sudah memiliki kualifikasi yang
memenuhi kombinasi kemampuan yang terkait dengan teknologi informasi, dan juga sudah
memperoleh sertifikat yang relevan contohnya certified internal auditor (CIA) dan certified
information system manager (CISM). Sertifikat organisasi ini digunakan untuk mengadopsi
prinsip dan standar eksplisit untuk audit dan untuk mematuhi kode etik dan standar praktik
profesional.

Jalur Pengembangan Auditor Teknologi Informasi

Seperti audit keuangan dan audit operasional, audit teknologi informasi adalah profesi
tersendiri yang memiliki prinsip-prinsip dan standar praktik yang berlaku untuk umum. Audit
teknologi informasi juga membutuhkan pengetahuan, keterampilan, dan kemampuan khusus.
Seorang auditor teknologi informasi harus memiliki pengembangan pengetahuan,
keterampilan, dan biasanya menggabungkan kemampuan :
a. Pendidikan formal di satu atau lebih bidang yang berlaku, menyelesaikan program gelar
atau sertifikat di lembaga pendidikan tinggi
b. Pelatihan di tempat kerja atau tugas yang ditugaskan yang memberikan paparan tentang
proyek teknologi informasi dan operasi, proses bisnis yang didukung oleh sumber daya
teknologi informasi, kepatuhan inisiatif, atau kegiatan terkait audit
c. Pelatihan dan keterampilan profesional yang disedikan oleh perusahaan atau
pengembangan mandiri, melanjutkan pendidikan, atau belajar dalam mengejar sertifikat
atau kualifikasi profesional lainnya
d. Memperoleh pengalaman kerja yang secara langsung atau tidak langsung melibatkan tata
kelola teknologi informasi.
 Seorang individu dapat melakukan perjalanan melalui berbagai jalur karir untuk
mengembangkan keterampilan dan keahlian yang diperlukan untuk audit teknologi informasi,
bisa berasal dari akuntansi dan keuangan, bisnis dan hukum, dan teknologi informasi.
Jika pendidikan yang relevan dan pengalaman profesional prasyarat terkait dengan banyak
hal yang mana terkait dengan audit sertifikasi , auditor memerlukan pelatihan yang ekstensif,
domain pengetahuan, dan pengalaman praktis sebelum mereka dapat melakukan audit secara
efektif. Bahkan untuk itu spesialis audit, pengetahuan yang relevan serta kemampuan tidak
hanya tentang IT, namun juga pengalaman dalam banyak aspek seperti operasi bisnis,
manajemen & tata kelola organisasi, manajemen risiko, dan eksekusi proses & pemberian
layanan, selain itu juga berkontribusi pada dalam pekerjaan mereka.
Pentingnya IT, khususnya untuk jenis teknis audit IT, menangani sistem dan penyebaran,
pengembangan perangkat lunak, operasi dan pemeliharaan IT, manajemen proyek, atau
pemilihan kontrol keamanan, penggunaan, dan pemantauan. Audit IT membutuhkan
pengetahuan dan sentuhan teknis dan fungsional yang luas di dalam bisnis serta berbagai
tingkatan dalam suatu organisasi, artinya auditor IT yang efektif berpotensi berasal dari
berbagai disiplin ilmu atau inisial bidang keahlian.
Di zaman modern lingkungan peraturan yang berlaku untuk perusahaan publik dan
banyak lainnya jenis organisasi, audit internal atau eksternal yang komprehensif dari kontrol
internal tidak dapat diselesaikan tanpa membahas sistem dan operasi IT yang ada untuk
mendukung manajemen keuangan dan fungsi bisnis terkait. Dimasukkannya kontrol internal
manual dan otomatis pada pelaporan keuangan dalam lingkup persyaratan audit yang
ditentukan dalam Sarbanes-Oxley Act dalam praktiknya menuntut hal itu perusahaan yang
melakukan audit — dan auditor yang mereka pekerjakan — dapat mengatasi pengendalian
IT.
Pengalaman ini menawarkan potensi untuk spesialisasi profesional di bidang IT audit
untuk individu dengan latar belakang keuangan atau akuntansi. Banyak lembaga pendidikan
tinggi menawarkan program sarjana dan pascasarjana di bidang ini; penyelesaian program
semacam itu menawarkan titik masuk bagi karier dalam audit. Sertifikasi CPA atau CIA
sering dimiliki oleh profesional audit mengikuti jenis ini arah karir memberikan dasar yang
kuat untuk audit IT dari standar, prinsip, dan kode etik yang diadopsi oleh AICPA dan IIA.
Organisasi profesional ini juga menawarkan panduan audit khusus TI dan kredensial khusus,
seperti Sertifikat Audit IT IIA.
Organisasi tunduk pada standar hukum, peraturan, atau industri atau yang memilih untuk
mengejar sertifikasi untuk manajemen mutu, manajemen keamanan informasi, pemberian
layanan, atau fungsi operasional lainnya mengandalkan personel yang memiliki pengetahuan
tentang praktik bisnis dan operasional yang efektif serta standar dan persyaratan peraturan
yang berlaku. Banyak program pendidikan formal yang berkonsentrasi dalam bisnis, hukum,
atau bidang lain yang menekankan pada keterampilan penelitian dan analitis menyediakan
persiapan yang baik untuk jenis pekerjaan ini. Posisi dalam analisis proses bisnis, kepatuhan
perusahaan, dan departemen hukum organisasi menawarkan kepada individu paparan
signifikan terhadap operasi dan praktik internasional yang mungkin menjadi subjek audit
internal atau eksternal.
Pengalaman tersebut dapat memfasilitasi pengembangan tingkat keahlian dalam
kerangka peraturan atau kepatuhan particular atau standar dan kriteria sertifikasiuntuk
mengkualifikasikan individu untuk melakukan jenis audit IT eksternal atau internal yang
berlaku. Jenis jalur karir ini ditandai oleh spesialisasi di bidang-bidang seperti jaminan
kualitas, peraturan khusus industri, kepatuhan dengan standar tertentu, dan jatuh tempo
kerangka kerja layanan atau proses. Berbagai organisasi menawarkan standar, bimbingan dan
sertifikasi profesional dalam bidang-bidang ini, sebagaimana dijelaskan dalam Bab 10.
Paragraf sebelumnya menjelaskan jalur karier untuk auditor IT yang berasal dari disiplin non-
IT. Banyak profesional audit IT berasal dari Latar belakang IT. Bekerja di berbagai bidang
seperti desain dan implementasi sistem, pengembangan perangkat lunak, jaminan informasi,
operasi dan pemeliharaan IT, atau manajemen proyek teknis memberikan peluang besar
untuk belajar tentang penerapan, pemantauan, dan penilaian kontrol TI. Pengalaman ini
terkait langsung dengan audit IT dan proses tata kelola dan manajemen risiko Dukungan
audit TI.
Organisasi yang mengikuti tata kelola IT formal atau kerangka kerja keamanan informasi
dan pedoman kontrol keamanan informasi biasanya melakukan kontrol penilaian diri untuk
memenuhi kebijakan dan prosedur organisasi atau didorong dari luar persyaratan. Personel TI
yang bertanggung jawab untuk mengimplementasikan, mengkonfigurasi, mengoperasikan,
memantau, atau menilai kendali IT aering kali memperoleh pengetahuan dan keterampilan
yang memadai untuk melaksanakan berbagai jenis audit IT. Jumlah IT sepertinya tidak
terbatas Sertifikasi dan kredensial profesional tersedia untuk membantu orang
membuktikannya kualifikasi mereka dalam berbagai teknologi atau proses. Ini termasuk
sempit sertifikasi berfokus pada bidang teknis spesialisasi seperti rekayasa perangkat lunak,
kualitas, dan pemrograman; perangkat keras jaringan, konfigurasi perangkat dan analisis;
konfigurasi dan administrasi sistem operasi; pengujian penetrasi; analisis intrusi dan
penanganan insiden; dan forensik komputer. Relatif sedikit sertifikasi fokus secara eksplisit
pada audit IT dan, dengan pengecualian CISA dan kredensial GSNA, yang menangani
domain IT tertentu seperti keamanan informasi.
 DAFTAR PUSTAKA

Gantz, Stephen. 2014. The Basic of IT Audit. Elsevier.