Dosen Pengampu:
Anissa Hakim Purwantini, S.E., M.Sc.
Pokok-Pokok Audit TI
Informasi yang akan dibahas adalah :
1. Apa yang akan diaudit?
2. Mengapa harus diaudit?
3. Siapa yang diudit?
4. Siapa yang mengaudit?
Suatu ketergantungan pada teknologi informasi (IT) adalah sebuah karakteristik
umum untuk hampir semua organisasi moderen. Organisasi sendiri mengandalkan informasi
dan sebuah proses dan memungkinkan teknologi yang diperlukan untuk menggunakan dan
juga mengelola informasi secara efektif. Hal ini adalah ketergantungan mencirikan organisasi
sektor publik dan swasta, terlepas dari misi industri, lokasi, geografis, atau jenis organisasi.
IT sangatlah penting bagi kesuksesan, efisiensi operasi, daya saing dan bahkan kelangsungan
hidup perusahaan. Hal ini menjadikan sangat penting kebutuhan organisasi untuk dapat
memastikan penggunaan TI yang benar dan juga efektif. Didalam konteks, pentingnya
sumber daya dialokasikan secara efisien, bahwa fungsi TI di tingkat kinerja dan juga kualitas
yang memadai untu mendukung bisnis secara efektif dan bahwa aset informasi dapat dijamin
secara memadai sesuai dengan toeransi risiko suatu organisasi. Aset semacam itu juga harus
diatur secara efektif, artinya milik mereka beroperasi sebagaimana dimaksud , bekerja dengan
benar, dan berfungsi dengan cara yang sesuai dengan aplikasi peraturan dan standar kabel.
Mengaudit TI sangatlah berbeda dengan mengaudit catatan laporan keuangan,
operasi, atau proses bisnis. Berbagai landasan umum prinsip-prinsip audit, standar praktik,
dan proses dan kegiatan tingkat. Audit TI juga merupakan komponen dari tipe utama audit
Keterangan :
lainnya. Praktik akuntansi dalam organissi yang diaudit menggunakan TI, audit keuangan
harus membahas kontrol berbasis teknologi dan kontribusinya dalam mendukung kontrol
keuangan akhir.teknologi merupakan sumber daya utama yang sering dimasukkan dalam
ruang lingkup audit operasioanl. Audit mutu berlaku untuk banyak aspek organisasi, seperti
profil bisnis, keamanan informasi program dan praktik. Sifatnya terpusat pada kontrol
internal audit mutu tersebut ini.Audit TI bagaimanapun menunjukkan keleluasaan dan variasi
yang lebih besar daripada audit keuangan, operasional, atau kualias saja dalam arti tidak
hanya mewakili. Bukan merupakan elemen dari jenis audit utama lainnya tetapi juga terdiri
dari banyak perbedaan pendekatan, bidang materi pelajaran, dan prospektif yang sesuai
dengan sifat suatu lingkungan TI organisasi, model tata kelola, dan tujuan audit.
Apa itu Audit IT ?
Audit sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan
independen. Istilah tersebut sering digunakan untuk evaluasi banyak subjek yang berbeda
misalnya memeriksa laporan keuangan atau akun organisasi. Sedangkan definisi yang
digunakan oleh badan standar audit lingkup luas dan dalam konteks audit IT tidak membatasi
atau menganggap subjek yang menjadi dasar audit. Sebagai contoh, pedoman Organisasi
Internasional untuk Standardisasi tentang audit yang menggunakan istilah “proses sistematis,
independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara
objektif untuk menentukan sejauh mana kriteria audit dipenuhi” dan Glosarium Perpustakaan
Teknologi Informasi mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk
memeriksa apakah suatu standar atau serangkaian pedoman sedang diikuti, apakah catatan itu
akurat, atau bahwa target efisiensi dan efektifitas terpenuhi”. Penting bagi pengguna "IT"
untuk memenuhi kualifikasi audit IT dan membedakannya dari konotasi keuangan yang lebih
umum dari kata audit yang digunakan sendirian.
Definisi tersebut juga menekankan karakteristik yang membedakan audit dari jenis
evaluasi atau penilaian lain dengan merujuk pada kriteria eksplisit yang memberikan dasar
untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan
apa yang sebenarnya diamati atau diperlihatkan melalui bukti. Audit tidak dimaksudkan
untuk memeriksa penggunaan praktik terbaik atau (dengan kemungkinan pengecualian audit
operasional) untuk melihat apakah ada peluang untuk meningkatkan atau mengoptimalkan
proses atau karakteristik operasional. Sebagai gantinya, ada standar yang ditetapkan yang
memberikan dasar untuk perbandingan yang ditetapkan sebelum memulai audit.
Penentuan audit cenderung lebih benar daripada hasil penilaian atau evaluasi lainnya,
dalam arti bahwa item tertentu memenuhi atau gagal memenuhi persyaratan yang berlaku.
Temuan audit mengidentifikasi kekurangan di mana apa yang diamati atau ditemukan oleh
auditor melalui analisis bukti audit berbeda dari apa yang diharapkan atau diperlukan
sehingga subjek audit tidak dapat memenuhi persyaratan. Sedangkan penilaian tipikal
mungkin memiliki skala penilaian kuantitatif atau kualitatif dan menghasilkan temuan dan
rekomendasi untuk perbaikan di bidang yang diamati beroperasi secara efektif atau yang
dianggap kurang. Karena auditor bekerja dari standar atau serangkaian kriteria yang
ditetapkan, audit IT yang menggunakan persyaratan komprehensif atau yang dipikirkan
dengan matang mungkin kurang subyektif dan lebih dapat diandalkan dibandingkan dengan
jenis evaluasi atau penilaian lainnya.
Dalam audit eksternal dan internal, kewajiban auditor adalah sepenuhnya untuk
memahami garis besar dan menggunakan pengetahuan tersebut secara akurat dan obyektif
membandingkan subjek audit dengan kriteria yang ditentukan dalam garis besar. Penggunaan
kriteria audit yang ditentukan secara formal juga berarti bahwa organisasi yang
mengantisipasi atau menjalani audit tidak boleh terkejut dengan sifat audit, apa yang
dicakupnya, atau persyaratan apa yang diharapkan dipenuhi oleh organisasi. Audit eksternal
terutama yang didorong oleh mandat peraturan atau standar sertifikasi mengikuti prosedur
dan menerapkan kriteria yang harus tersedia dan hanya diketahui oleh organisasi yang diaudit
seperti halnya oleh auditor eksternal yang melakukan audit. Audit internal mengikuti strategi,
rencana, dan prosedur yang ditentukan oleh organisasi itu sendiri dalam program auditnya,
sehingga auditor internal dan unit bisnis, pemilik sistem, manajer proyek, staf operasi, dan
personel yang menjadi subjek atau audit pendukung juga harus terbiasa dengan audit kriteria
yang akan digunakan.
Kontrol internal
Audit TI eksternal dan internal memiliki fokus yang sama. Kontrol internal
dilaksanakan oleh organisasi yang diaudit. Kontrol merupakan pusat elemen manajemen TI
yang didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja
yang menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi,
dan operasi sistem informasi; keamanan informasi; dan tata kelola TI.
Dalam konteks ini, kontrol adalah suatu kebijakan atau prosedur yang merupakan
bagian dari kontrol internal, hasil kebijakan dan prosedur yang dirancang untuk melakukan
kontrol. IT Governance Institute menawarkan definisi konsisten dengan COSO: “kebijakan,
rencana dan prosedur, dan struktur organisasi dirancang untuk memberikan jaminan yang
masuk akal bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan
dicegah atau dideteksi dan diperbaiki. Dari perspektif perencanaan dan pelaksanaan audit TI,
kontrol internal mewakili substansi kegiatan audit, karena kontrol adalah item yang diperiksa,
diuji, dianalisis, atau dievaluasi.
Organisasi sering menerapkan sejumlah besar kontrol internal yang dimaksudkan
untuk mencapai berbagai tujuan kontrol. Mengategorikan kontrol internal memudahkan
dokumentasi, pelacakan, dan manajemen beragam set kontrol yang ada di banyak organisasi.
Skema kategorisasi kontrol lazim digunakan dalam kerangka kontrol internal, Audit TI, dan
pedoman penilaian serta undang-undang yang berlaku mengklasifikasikan kontrol oleh
tujuan, berdasarkan tipe fungsional, atau keduanya. Kategori berbasis tujuan termasuk
pencegahan, kontrol detektif, dan korektif, tempat organisasi menggunakan kontrol preventif
mencoba untuk menjaga agar kejadian yang tidak diinginkan atau tidak diinginkan terjadi,
kontrol detektif menjadi menemukan ketika hal-hal seperti itu terjadi, dan kontrol korektif
untuk merespons atau pulih setelah kejadian yang tidak diinginkan terjadi.
Kontrol selanjutnya dipisahkan oleh fungsi menjadi jenis kontrol administratif, teknis,
dan fisik, seperti Pengendalian administrasi mencakup kebijakan, prosedur, dan rencana
organisasi itu tentukan apa yang ingin dilakukan organisasi untuk menjaga integritas operasi,
informasi, dan aset lainnya. Kontrol teknis termasuk mekanisme teknologi , prosedur
operasional, dan sumber daya yang diimplementasikan dan dikelola oleh suatu organisasi
untuk mencapai tujuan kontrolnya. Kontrol fisik terdiri dari ketentuan yang ada di suatu
organisasi untuk mempertahankan, menyediakan, dan membatasi atau memantau akses ke
fasilitas, area penyimpanan, peralatan, dan aset informasi.
Beberapa sumber menggunakan kategorisasi kontrol yang berbeda, seperti jenis
manajemen, operasional, dan kontrol teknis yang ditentukan oleh Institut Standar Nasional
AS dan Teknologi (NIST) dalam pedoman keamanan informasinya untuk lembaga
pemerintah federal. NIST menggunakan operasional untuk membedakan kontrol yang
diterapkan dan dilakukan oleh orang-orang. Dalam banyak konteks audit, bagaimanapun,
"kontrol operasional" digunakan untuk berarti "kontrol internal" sehingga untuk menghindari
kebingungan auditor dan organisasi lebih memilih kategorisasi administratif-teknis-fisik yang
lebih umum.
Karakteristik Audit TI
Definisi, standar, metodologi, persetujuan peraturan dalam kunci karakteristik audit
TI diperoleh dari Generally Accepted Auditing Standards (GAAS) dan standar internasional
serta kode praktik. Karakteristik ini termasuk perlunya auditor untuk mahir dalam
melaksanakan jenis-jenis audit, kepatuhan oleh auditor dan organisasi yang diwakilinya
terhadap kode etik dan perilaku professional, dan desakan independensi auditor. Kecakapan
dalam prinsip-prinsip umum, prosedur, standar, dan ekspektasi yang melintasi semua jenis
audit dan juga berlaku dalam konteks audit TI. Tergantung pada kompleksitas dan
karakteristik khusus dari pengendalian TI atau lingkungan operasi yang menjalani audit,
auditor mungkin memerlukan pengetahuan khusus atau keahlian untuk dapat benar dan
efektif memeriksa control yang termasuk dalam ruang lingkup audit TI.
Kode etik, perilaku, dan perilaku etis yaitu seperti kemampuan, umum dalam semua
domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi,
kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai. Independensi auditor,
prinsip yang berlaku untuk audit dan auditor internal dan eksternal, berarti bahwa orang yang
melakukan audit dan organisasi yang diwakilinya tidak memiliki kepentingan finansial dan
bebas dari konflik kepentingan mengenai organisasi yang mereka audit agar tetap objektif
dan tidak memihak. Sementara independensi auditor adalah prinsip utama dalam GAAS dan
standar audit internasional, ketentuan independensi audiensi yang diamanatkan dalam
Sarbanes-Oxley Act dan ditegakkan oleh Securities and Exchange Commission (SEC) secara
hukum membutuhkan independensi untuk audit perusahaan yang diperdagangkan secara
publik.
Mengapa diaudit?
Melakukan dan mendukung audit TI dan mengelola program audit TI adalah waktu, usaha,
dan aktivitas-aktivitas yang intensif personel dalam kesadaran biaya dan persaingan untuk
sumber daya, masuk akal untuk bertanya mengapa organisasi melakukan IT audit. Dasar
pemikiran untuk audit eksternal seringkali lebih jelas dan lebih mudah dipahami perusahaan
dan organisasi yang diperdagangkan secara publik di banyak industri tunduk pada hukum dan
persyaratan peraturan, kepatuhan yang sering ditentukan melalui mengaudit. Demikian pula,
organisasi mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas
layanan, kedewasaan, atau pengendalian implementasi dan efektivitas biasanya harus
menjalani audit sertifikasi oleh auditor independen. Audit TI sering memberikan informasi
yang membantu organisasi mengelola risiko, mengonfirmasi alokasi yang efisien Sumber
daya terkait TI, dan mencapai tujuan TI dan bisnis lainnya. Alasan dulu membenarkan audit
TI internal mungkin lebih bervariasi di seluruh organisasi, tetapi meliputi:
a. mematuhi aturan pertukaran efek bahwa perusahaan memiliki audit internal fungsi;
b. mengevaluasi efektivitas kontrol yang diterapkan;
c. mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur internal;
d. memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan standar;
e. menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung terus menerus
pemantauan;
f. mengidentifikasi kelemahan dan defisiensi sebagai bagian dari risiko awal atau
berkelanjutan pengelolaan;
g. mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan;
h. memverifikasi dan memvalidasi rekayasa sistem atau manajemen proyek TI praktik; dan
i. menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan audit
eksternal yang diantisipasi.
Untuk menggeneralisasi, IT internal audit sering didorong oleh persyaratan organisasi untuk
tata kelola TI, risiko manajemen, atau jaminan kualitas, yang mana saja dapat digunakan
untuk menentukan apa perlu diaudit dan bagaimana memprioritaskan kegiatan audit TI. Audit
TI eksternal lebih sering didorong oleh kebutuhan atau keinginan untuk menunjukkan
kepatuhan dengan eksternal standar, peraturan, atau persyaratan yang diberlakukan yang
berlaku untuk jenis organisasi, industri, atau lingkungan operasi.
Auditor Internal
Audit internal kontrol adalah sikap tanggung jawab dan sama dengan audit teknologi
informasi (TI) eksternal. Tetapi dalam banyak hal, audit internal kontrol memperluas lebih
lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat perincian yang
diperlukan untuk meningkatkan kualitas audit teknologi informasi internal. Auditor internal
bekerja di organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan
pemahaman tentang organisasi sampai lingkungan teknologi informasi tertentu, kontrol,
sistem informasi, dan karakter operasional. Dalam program audit teknologi informasi internal
yang terstruktur dengan baik, auditor internal juga memiliki pengetahuan tentang misi dan
proses bisnis dengan tujuan menyediakan konteks yang jelas untuk sumber daya teknologi
informasi. Karena penekanan pada independensi auditor dalam audit internal maupun
eksternal, fungsi audit teknologi informasi internal sering digunakan untuk memfasilitasi
objektivitas dan integritas, termasuk manajemen dan struktur akuntabilitas yang melapor
langsung ke dewan direksi organisasi atau anggota senior eksekutif tim manajemen.
Auditor teknologi informasi internal harus memastikan program audit internal secara
memadai mencakup bidang fungsional dan teknologi yang relevan, dan memerlukan tim kecil
yang terdiri atas personel audit yang relatif senior dengan pengalaman teknologi informasi
yang luas atau sekelompok auditor yang lebih besar dengan bidang yang lebih khusus dan
keahlian yang sesuai. Auditor teknologi informasi internal juga memerlukan keterampilan
dan karakteristik nonteknis yang sesuai, termasuk integritas, profesional, dan standar
beretika. Ciri-ciri auditor teknologi informasi internal yaitu sudah memiliki kualifikasi yang
memenuhi kombinasi kemampuan yang terkait dengan teknologi informasi, dan juga sudah
memperoleh sertifikat yang relevan contohnya certified internal auditor (CIA) dan certified
information system manager (CISM). Sertifikat organisasi ini digunakan untuk mengadopsi
prinsip dan standar eksplisit untuk audit dan untuk mematuhi kode etik dan standar praktik
profesional.