IT AUDIT FUNDAMENTALS

INFORMATION SYSTEM AUDIT AND CONTROL

Dosen Pengampu:
Anissa Hakim Purwantini, S.E., M.Sc.

Disusun Oleh Kelompok 1:

Arjun Yuliyanto 16.0102.0077
Indah Setia Bakti 16.0102.0080
Cindi Afita Putri 16.0102.0088
Susmita Zaen 16.0102.0096
Kurnia Rosy Putri 16.0102.0104
Cici Dwi Anggriantari 16.0102.0113
Nur Muhammad Ikhsan 16.0102.0120
Putri Nadhilah 16.0102.0122

FAKULTAS EKONOMI PROGRAM STUDI AKUNTANSI

UNIVERSITAS MUHAMMADIYAH MAGELANG
2019
 IT AUDIT FUNDAMENTALS (POKOK-POKOK AUDIT TI)

Pokok-Pokok Audit TI
Informasi yang akan dibahas adalah :
1. Apa yang akan diaudit?
2. Mengapa harus diaudit?
3. Siapa yang diudit?
4. Siapa yang mengaudit?
Suatu ketergantungan pada teknologi informasi (IT) adalah sebuah karakteristik umum
untuk hampir semua organisasi moderen. Organisasi sendiri mengandalkan informasi dan
sebuah proses dan memungkinkan teknologi yang diperlukan untuk menggunakan dan juga
mengelola informasi secara efektif. Hal ini adalah ketergantungan mencirikan organisasi sektor
publik dan swasta, terlepas dari misi industri, lokasi, geografis, atau jenis organisasi. IT
sangatlah penting bagi kesuksesan, efisiensi operasi, daya saing dan bahkan kelangsungan
hidup perusahaan. Hal ini menjadikan sangat penting kebutuhan organisasi untuk dapat
memastikan penggunaan TI yang benar dan juga efektif. Didalam konteks, pentingnya sumber
daya dialokasikan secara efisien, bahwa fungsi TI di tingkat kinerja dan juga kualitas yang
memadai untu mendukung bisnis secara efektif dan bahwa aset informasi dapat dijamin secara
memadai sesuai dengan toeransi risiko suatu organisasi. Aset semacam itu juga harus diatur
secara efektif, artinya milik mereka beroperasi sebagaimana dimaksud , bekerja dengan benar,
dan berfungsi dengan cara yang sesuai dengan aplikasi peraturan dan standar kabel.
Mengaudit TI sangatlah berbeda dengan mengaudit catatan laporan keuangan, operasi,
atau proses bisnis. Berbagai landasan umum prinsip-prinsip audit, standar praktik, dan proses
dan kegiatan tingkat. Audit TI juga merupakan komponen dari tipe utama audit lainnya. Praktik
akuntansi dalam organissi yang diaudit menggunakan TI, audit keuangan harus membahas
kontrol berbasis teknologi dan kontribusinya dalam mendukung kontrol keuangan
akhir.teknologi merupakan sumber daya utama yang sering dimasukkan dalam ruang lingkup
audit operasioanl. Audit mutu berlaku untuk banyak aspek organisasi, seperti profil bisnis,
keamanan informasi program dan praktik. Sifatnya terpusat pada kontrol internal audit mutu
tersebut ini.Audit TI bagaimanapun menunjukkan keleluasaan dan variasi yang lebih besar
daripada audit keuangan, operasional, atau kualias saja dalam arti tidak hanya mewakili. Bukan
merupakan elemen dari jenis audit utama lainnya tetapi juga terdiri dari banyak perbedaan

Keterangan :

IT Auditing Warna biru : IT auditing

Orange : financing audit

Fin
Hijau : operational audit

Merah : Quality audit

Ungu : integrated audit

pendekatan, bidang materi pelajaran, dan prospektif yang sesuai dengan sifat suatu lingkungan
TI organisasi, model tata kelola, dan tujuan audit.
Apa itu Audit IT ?
Audit sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan independen.
Istilah tersebut sering digunakan untuk evaluasi banyak subjek yang berbeda misalnya
memeriksa laporan keuangan atau akun organisasi. Sedangkan definisi yang digunakan oleh
badan standar audit lingkup luas dan dalam konteks audit IT tidak membatasi atau menganggap
subjek yang menjadi dasar audit. Sebagai contoh, pedoman Organisasi Internasional untuk
Standardisasi tentang audit yang menggunakan istilah “proses sistematis, independen dan
terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk
menentukan sejauh mana kriteria audit dipenuhi” dan Glosarium Perpustakaan Teknologi
Informasi mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk memeriksa
apakah suatu standar atau serangkaian pedoman sedang diikuti, apakah catatan itu akurat, atau
bahwa target efisiensi dan efektifitas terpenuhi”. Penting bagi pengguna "IT" untuk memenuhi
kualifikasi audit IT dan membedakannya dari konotasi keuangan yang lebih umum dari kata
audit yang digunakan sendirian.
Definisi tersebut juga menekankan karakteristik yang membedakan audit dari jenis
evaluasi atau penilaian lain dengan merujuk pada kriteria eksplisit yang memberikan dasar
untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan
apa yang sebenarnya diamati atau diperlihatkan melalui bukti. Audit tidak dimaksudkan untuk
memeriksa penggunaan praktik terbaik atau (dengan kemungkinan pengecualian audit
operasional) untuk melihat apakah ada peluang untuk meningkatkan atau mengoptimalkan
proses atau karakteristik operasional. Sebagai gantinya, ada standar yang ditetapkan yang
memberikan dasar untuk perbandingan yang ditetapkan sebelum memulai audit.
Penentuan audit cenderung lebih benar daripada hasil penilaian atau evaluasi lainnya,
dalam arti bahwa item tertentu memenuhi atau gagal memenuhi persyaratan yang berlaku.
Temuan audit mengidentifikasi kekurangan di mana apa yang diamati atau ditemukan oleh
auditor melalui analisis bukti audit berbeda dari apa yang diharapkan atau diperlukan sehingga
subjek audit tidak dapat memenuhi persyaratan. Sedangkan penilaian tipikal mungkin memiliki
skala penilaian kuantitatif atau kualitatif dan menghasilkan temuan dan rekomendasi untuk
perbaikan di bidang yang diamati beroperasi secara efektif atau yang dianggap kurang. Karena
auditor bekerja dari standar atau serangkaian kriteria yang ditetapkan, audit IT yang
menggunakan persyaratan komprehensif atau yang dipikirkan dengan matang mungkin kurang
subyektif dan lebih dapat diandalkan dibandingkan dengan jenis evaluasi atau penilaian
lainnya.
Dalam audit eksternal dan internal, kewajiban auditor adalah sepenuhnya untuk
memahami garis besar dan menggunakan pengetahuan tersebut secara akurat dan obyektif
membandingkan subjek audit dengan kriteria yang ditentukan dalam garis besar. Penggunaan
kriteria audit yang ditentukan secara formal juga berarti bahwa organisasi yang mengantisipasi
atau menjalani audit tidak boleh terkejut dengan sifat audit, apa yang dicakupnya, atau
persyaratan apa yang diharapkan dipenuhi oleh organisasi. Audit eksternal terutama yang
didorong oleh mandat peraturan atau standar sertifikasi mengikuti prosedur dan menerapkan
kriteria yang harus tersedia dan hanya diketahui oleh organisasi yang diaudit seperti halnya
oleh auditor eksternal yang melakukan audit. Audit internal mengikuti strategi, rencana, dan
prosedur yang ditentukan oleh organisasi itu sendiri dalam program auditnya, sehingga auditor
internal dan unit bisnis, pemilik sistem, manajer proyek, staf operasi, dan personel yang
menjadi subjek atau audit pendukung juga harus terbiasa dengan audit kriteria yang akan
digunakan.
Kontrol internal
Audit TI eksternal dan internal memiliki fokus yang sama. Kontrol internal
dilaksanakan oleh organisasi yang diaudit. Kontrol merupakan pusat elemen manajemen TI
yang didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja yang
menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi, dan
operasi sistem informasi; keamanan informasi; dan tata kelola TI.
Dalam konteks ini, kontrol adalah suatu kebijakan atau prosedur yang merupakan
bagian dari kontrol internal, hasil kebijakan dan prosedur yang dirancang untuk melakukan
kontrol. IT Governance Institute menawarkan definisi konsisten dengan COSO: “kebijakan,
rencana dan prosedur, dan struktur organisasi dirancang untuk memberikan jaminan yang
masuk akal bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah
atau dideteksi dan diperbaiki. Dari perspektif perencanaan dan pelaksanaan audit TI, kontrol
internal mewakili substansi kegiatan audit, karena kontrol adalah item yang diperiksa, diuji,
dianalisis, atau dievaluasi.
Organisasi sering menerapkan sejumlah besar kontrol internal yang dimaksudkan untuk
mencapai berbagai tujuan kontrol. Mengategorikan kontrol internal memudahkan
dokumentasi, pelacakan, dan manajemen beragam set kontrol yang ada di banyak organisasi.
Skema kategorisasi kontrol lazim digunakan dalam kerangka kontrol internal, Audit TI, dan
pedoman penilaian serta undang-undang yang berlaku mengklasifikasikan kontrol oleh tujuan,
berdasarkan tipe fungsional, atau keduanya. Kategori berbasis tujuan termasuk pencegahan,
kontrol detektif, dan korektif, tempat organisasi menggunakan kontrol preventif mencoba
untuk menjaga agar kejadian yang tidak diinginkan atau tidak diinginkan terjadi, kontrol
detektif menjadi menemukan ketika hal-hal seperti itu terjadi, dan kontrol korektif untuk
merespons atau pulih setelah kejadian yang tidak diinginkan terjadi.
Kontrol selanjutnya dipisahkan oleh fungsi menjadi jenis kontrol administratif, teknis,
dan fisik, seperti Pengendalian administrasi mencakup kebijakan, prosedur, dan rencana
organisasi itu tentukan apa yang ingin dilakukan organisasi untuk menjaga integritas operasi,
informasi, dan aset lainnya. Kontrol teknis termasuk mekanisme teknologi , prosedur
operasional, dan sumber daya yang diimplementasikan dan dikelola oleh suatu organisasi untuk
mencapai tujuan kontrolnya. Kontrol fisik terdiri dari ketentuan yang ada di suatu organisasi
untuk mempertahankan, menyediakan, dan membatasi atau memantau akses ke fasilitas, area
penyimpanan, peralatan, dan aset informasi.
Beberapa sumber menggunakan kategorisasi kontrol yang berbeda, seperti jenis
manajemen, operasional, dan kontrol teknis yang ditentukan oleh Institut Standar Nasional AS
dan Teknologi (NIST) dalam pedoman keamanan informasinya untuk lembaga pemerintah
federal. NIST menggunakan operasional untuk membedakan kontrol yang diterapkan dan
dilakukan oleh orang-orang. Dalam banyak konteks audit, bagaimanapun, "kontrol
operasional" digunakan untuk berarti "kontrol internal" sehingga untuk menghindari
kebingungan auditor dan organisasi lebih memilih kategorisasi administratif-teknis-fisik yang
lebih umum.

Apa yang Diaudit?

 Sama seperti audit keuangan, kualitas, dan operasional dapat dilaksanakan oleh entitas
besar atau pada tingkat yang berbeda dalam sebuah organisasi, audit TI dapat mengevaluasi
seluruh organisasi, unit bisnis individual, fungsi misi dan proses bisnis, pelayanan, sistem,
infrastruktur, atau komponen teknologi. Berbagai jenis dari audit TI dan pendekatan yang biasa
digunakan untuk melakukan audit tersebut dapat mempertimbangkan kontrol internal dari
berbagai perspektif dengan memfokuskan pada elemen-elemen TI yang kontrolnya sesuai atau
pada kontrol yang dilaksanakan dalam konteks proses yang dilakukan atau layanan yang
diberikan oleh suatu organisasi. Terlepas dari keseluruhan metode audit TI yang digunakan,
audit TI selalu membahas satu atau lebih bidang yang berhubungan dengan teknologi, termasuk
kontrol yang terkait dengan hal-hal berikut;
a. Pusat data dan fasilitas fisik lainnya
b. Infrastruktur jaringan
c. Telekomunikasi
d. Sistem operasi
e. Database
f. Penyimpanan
g. Server dan lingkungan terotomatisasi
h. Layanan dan operasi outsourcing
i. Server web dan aplikasi
j. Aplikasi Perangkat lunak dan aplikasi yang dikemas
k. Pengguna dan Aplikasi
l. Perangkat seluler
Unsur-unsur pengendalian internal TI dapat diaudit secara terpisah atau bersama-sama,
meskipun bahkan ketika audit TI yang diberikan berfokus secara sempit pada satu aspek TI,
auditor perlu mempertimbangkan konteks teknis, operasional, dan lingkungan yang lebih luas.
Audit TI juga membahas proses dan fungsi kontrol internal, seperti prosedur operasi dan
pemeliharaan, kontinuitas bisnis, dan pemulihan bencana. respons insiden, pemantauan
jaringan dan keamanan, manajemen konfigurasi, pengembangan sistem, dan manajemen
proyek.

Karakteristik Audit TI
Definisi, standar, metodologi, persetujuan peraturan dalam kunci karakteristik audit TI
diperoleh dari Generally Accepted Auditing Standards (GAAS) dan standar internasional serta
kode praktik. Karakteristik ini termasuk perlunya auditor untuk mahir dalam melaksanakan
jenis-jenis audit, kepatuhan oleh auditor dan organisasi yang diwakilinya terhadap kode etik
dan perilaku professional, dan desakan independensi auditor. Kecakapan dalam prinsip-prinsip
umum, prosedur, standar, dan ekspektasi yang melintasi semua jenis audit dan juga berlaku
dalam konteks audit TI. Tergantung pada kompleksitas dan karakteristik khusus dari
pengendalian TI atau lingkungan operasi yang menjalani audit, auditor mungkin memerlukan
pengetahuan khusus atau keahlian untuk dapat benar dan efektif memeriksa control yang
termasuk dalam ruang lingkup audit TI.
Kode etik, perilaku, dan perilaku etis yaitu seperti kemampuan, umum dalam semua
domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi,
kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai. Independensi auditor,
prinsip yang berlaku untuk audit dan auditor internal dan eksternal, berarti bahwa orang yang
melakukan audit dan organisasi yang diwakilinya tidak memiliki kepentingan finansial dan
bebas dari konflik kepentingan mengenai organisasi yang mereka audit agar tetap objektif dan
tidak memihak. Sementara independensi auditor adalah prinsip utama dalam GAAS dan
standar audit internasional, ketentuan independensi audiensi yang diamanatkan dalam
Sarbanes-Oxley Act dan ditegakkan oleh Securities and Exchange Commission (SEC) secara
hukum membutuhkan independensi untuk audit perusahaan yang diperdagangkan secara
publik.

Mengapa diaudit?
Melakukan dan mendukung audit TI dan mengelola program audit TI adalah waktu, usaha, dan
aktivitas-aktivitas yang intensif personel dalam kesadaran biaya dan persaingan untuk sumber
daya, masuk akal untuk bertanya mengapa organisasi melakukan IT audit. Dasar pemikiran
untuk audit eksternal seringkali lebih jelas dan lebih mudah dipahami perusahaan dan
organisasi yang diperdagangkan secara publik di banyak industri tunduk pada hukum dan
persyaratan peraturan, kepatuhan yang sering ditentukan melalui mengaudit. Demikian pula,
organisasi mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas layanan,
kedewasaan, atau pengendalian implementasi dan efektivitas biasanya harus menjalani audit
sertifikasi oleh auditor independen. Audit TI sering memberikan informasi yang membantu
organisasi mengelola risiko, mengonfirmasi alokasi yang efisien Sumber daya terkait TI, dan
mencapai tujuan TI dan bisnis lainnya. Alasan dulu membenarkan audit TI internal mungkin
lebih bervariasi di seluruh organisasi, tetapi meliputi:
a. mematuhi aturan pertukaran efek bahwa perusahaan memiliki audit internal fungsi;
b. mengevaluasi efektivitas kontrol yang diterapkan;
c. mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur internal;
d. memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan standar;
e. menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung terus menerus
pemantauan;
f. mengidentifikasi kelemahan dan defisiensi sebagai bagian dari risiko awal atau
berkelanjutan pengelolaan;
g. mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan;
h. memverifikasi dan memvalidasi rekayasa sistem atau manajemen proyek TI praktik; dan
i. menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan audit
eksternal yang diantisipasi.
Untuk menggeneralisasi, IT internal audit sering didorong oleh persyaratan organisasi untuk
tata kelola TI, risiko manajemen, atau jaminan kualitas, yang mana saja dapat digunakan untuk
menentukan apa perlu diaudit dan bagaimana memprioritaskan kegiatan audit TI. Audit TI
eksternal lebih sering didorong oleh kebutuhan atau keinginan untuk menunjukkan kepatuhan
dengan eksternal standar, peraturan, atau persyaratan yang diberlakukan yang berlaku untuk
jenis organisasi, industri, atau lingkungan operasi.

Siapa yang diaudit?

Mengingat penggunaan TI yang meluas di organisasi dari semua ukuran dan jenis, dan manfaat
yang diperoleh organisasi yang berhasil membangun dan memelihara internal Program audit
TI, hampir semua organisasi dapat menganggap audit TI berharga. Dengan sehubungan dengan
audit TI eksternal, organisasi mungkin tidak berada dalam posisi untuk menentukan apakah,
bagaimana, atau kapan harus menjalani audit TI, karena banyak bentuk eksternal audit
diamanatkan secara hukum, bukan opsional. Sejauh organisasi mencari sertifikasi atau validasi
eksternal lain dari kontrol atau operasi mereka yang secara efektif mereka pilih untuk tunduk
pada audit TI eksternal. Jenis organisasi lain tunduk pada persyaratan hukum dan peraturan
khusus berdasarkan pada sifat operasi bisnis mereka atau industri di mana mereka
berpartisipasi. Persyaratan hukum dan peraturan adalah di antaranya pendorong audit TI yang
paling lazim untuk organisasi di beberapa industri dan sektor.
Sebagaimana dicatat di atas, di luar nilai intrinsik apa pun untuk suatu organisasi itu mungkin
menyediakan, audit TI juga merupakan komponen penting dari perusahaan manajemen risiko,
tata kelola TI, dan program dan inisiatif jaminan kualitas, selain mendukung kepatuhan
terhadap peraturan dan standar. Ini artinya sebuah organisasi yang menerapkan tata kelola
formal, risiko, dan kepatuhan (GRC) model atau standar jaminan kualitas juga membutuhkan
kemampuan audit TI yang efektif. Bagi banyak organisasi, keputusan untuk menetapkan dan
memelihara manajemen risiko atau program tata kelola TI adalah pilihan, bukan persyaratan,
tetapi pendekatan semacam itu umumnya dipandang sebagai praktik terbaik. Perusahaan
perdagangan publik Amerika Serikat yang terdaftar di Bursa Efek New York diperlukan,
berdasarkan peraturan yang diumumkan segera setelah berlakunya UU Sarbanes-Oxley, untuk
mempertahankan fungsi audit internal. Aturan yang berlaku untuk perusahaan yang harus
diaudit audit di negara-negara di Eropa Union juga menekankan pentingnya memonitor
efektivitas internal fungsi audit, meskipun tidak secara eksplisit mengharuskan organisasi
untuk memelihara fungsi seperti itu. Secara kolektif, kombinasi antara persyaratan hukum dan
peraturan dan penggerak bisnis memberi organisasi insentif yang kuat untuk membentuk suatu
kemampuan audit TI internal jika mereka belum memilikinya, dan untuk memastikannya
program audit TI yang mereka buat terstruktur dengan baik, dikelola, dikelola, dan dipelihara.

Siapa yang melakukan audit TI ?

Mengaudit kontrol TI internal membutuhkan pengetahuan, keteranpilan, dan
kemampuan TI yang luas dan keahlian dalam prinsip-prinsip, praktik, dan proses audit khusus-
TI. Oganisasi perlu mengembangkan atau memperoleh personel dengan under-spesialisasi
kedudukan tujuan pengendalian dan pengalaman dalam operasi TI yang diperlukan untuk
meningkatkan secara aktif melakukan audit TI. Persyaratan ini juga berlaku untuk organisasi
yang memiliki program audit TI berfokus pada pelaksanaan audit internal sebagaimana untuk
layanan profesional wakil perusahaan yang melakukan audit eksternal atau memberikan
auditor atau keahlian untuk mendukung kegiatan audit internal organisasi. Jenis-jenis
organisasi dan individu yang melakukan audit TI meliputi :
1. Audit Internal, yang terdiri dari karyawan organisasi yang melakukan audit atau kontraktor
TI internal, konsultan, atau spesialis outsourcing yang di sewa oleh organisasi untuk
melakukan audit internal
2. Auditor TI yang bekerja sebagai kontraktor independen atau sebagai karyawan profesional
perusahaan jasa yang menyediakan jasa audit TI eksternal atau internal
3. Perusahaan audit atau akuntansi (atau divisi audit atau akuntansi perusahaan menawarkan
jangkauan layanan yang lebih luas)
4. Organisasi sertifikat yang berwenang untuk mengevaluasi praktik organisasi dan
mengontrol dan memberikan sertifikasi kepada organisasi yang proses internalnya, sistem,
layanan, atau lingkungan operasional mematuhi standar yang berlaku atau kriteria
sertifikasi lainnya
5. Organisasi dengan wewenang untuk mengawasi implementasi yang disyaratkan
mengendalikan atau menegakkan peraturan, seperti Kantor Akuntabilitas Pemerintah
(GAO), SEC, Federal Deposit Insurance Corporation (FDIC), dan Departemen Kantor
Kesehatan dan Layanan Kemanusiaan (HHS) untuk Hak Sipil (OCR) di dalam Pemerintah
Federal A.S dan
6. Inspektur jenderal, eksekutif audit, atau pejabat setara yang ditugasi untuk otoritas untuk
memberikan tinjauan independen terhadap banyak aspek organisasi untuk tempat mereka
bekerja, termasuk kepatuhan terhadap kebijakan organisasi, ketentuan keamanan yang
memadai, alokasi sumber daya yang efektif, dan pemeliharaan tanggung jawab fidusia atau
standar perawatan lainnya
Berbagai jenis organisasi dan profesional audit melakukan berbagai jenis audit TI,
sesuai dengan luasnya keterampilan dan pengalaman yang diperlukan dan tujuan utama
diperlukan dan tujuan utama sangat tergantung pada ruang lingkup audit yang akan dilakukan.
Gambar 1.4 menggambarkan jenis audit dengan meningkatnya spesifitas mulai dari lingkup
organisasi di tingkat terluas melalui audit semua kontrol internal, kontrol khusus IT, kontrol
implementasikan untuk sistem informasi individual, dan keamanan informasi kontorl. Vendor
teknologi, penyedia layanan, dan jenis organisasi lainnya dapat melakukan audit TI yang
terfokus secara sempit untuk memantau kinerja terhadap layanan perjanjian tingkat, periksa
kepatuhan dengan syarat dan ketentuan hukum atau kontrak, menegakkan perjanjian lisensi,
atau melindungi terhadap penipuan, pemborosan, atau penyalahgunaan.

Auditor Eksternal
Audit TI eksternal, menurut definisi dilakukan oleh auditor dan entitas di luar organisasi
tunduk pada audit. Tergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas
audit TI, audit eksternal dapat dilakukan oleh auditor tunggal dan tim. Secara umum, hubungan
antar suatu organisasi dan auditor eksternal biasanya didirikan dan dikelola di tingkat entitas
itu, organisasi menggunakan layanan dari perusahaan luar atau organisasi propesional yang
melakukan audit TI yang diperlukan.
Jenis hubungan kapal dibutuhkan untuk perusahaan publik di Amerika Serikat dan
banyak lainnya negara, berdasarkan peraturan yang mewajibkan perusahaan yang mengaudit
korporasi ini untuk terdaftar tered atau dilisensikan dengan badan pengawas pemerintah,
seperti Perusahaan Publik Dewan Pengawas Akuntansi (PCAOB) di Amerika Serikat dan
anggota Badan Pengawas Grup Eropa (EGAOB) di negara-negara di Eropa Uni Eropa. Oleh
karena itu perusahaan yang diperdagangkan secara publik dibatasi dalam pilihan mereka
perusahaan audit eksternal, tetapi dengan mewajibkan audit perusahaan tersebut dilakukan
hanya oleh perusahaan yang memenuhi syarat (dan personel yang berkualifikasi yang bekerja
untuk mereka) struktur peraturan untuk audit wajib di banyak negara memastikan audit itu
dilakukan secara konsisten yang sesuai dengan prinsip-prinsip yang berlaku, standar, dan
praktik. Independen auditor penting untuk audit internal dan eksternal, tetapi dalam konteks
audit eksternal independensi semacam itu seringkali tidak hanya dituntut tetapi juga ditegakkan
secara hukum.

Auditor Internal
Audit internal kontrol adalah sikap tanggung jawab dan sama dengan audit teknologi
informasi (TI) eksternal. Tetapi dalam banyak hal, audit internal kontrol memperluas lebih
lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat perincian yang
diperlukan untuk meningkatkan kualitas audit teknologi informasi internal. Auditor internal
bekerja di organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan pemahaman
tentang organisasi sampai lingkungan teknologi informasi tertentu, kontrol, sistem informasi,
dan karakter operasional. Dalam program audit teknologi informasi internal yang terstruktur
dengan baik, auditor internal juga memiliki pengetahuan tentang misi dan proses bisnis dengan
tujuan menyediakan konteks yang jelas untuk sumber daya teknologi informasi. Karena
penekanan pada independensi auditor dalam audit internal maupun eksternal, fungsi audit
teknologi informasi internal sering digunakan untuk memfasilitasi objektivitas dan integritas,
termasuk manajemen dan struktur akuntabilitas yang melapor langsung ke dewan direksi
organisasi atau anggota senior eksekutif tim manajemen.
Auditor teknologi informasi internal harus memastikan program audit internal secara
memadai mencakup bidang fungsional dan teknologi yang relevan, dan memerlukan tim kecil
yang terdiri atas personel audit yang relatif senior dengan pengalaman teknologi informasi
yang luas atau sekelompok auditor yang lebih besar dengan bidang yang lebih khusus dan
keahlian yang sesuai. Auditor teknologi informasi internal juga memerlukan keterampilan dan
karakteristik nonteknis yang sesuai, termasuk integritas, profesional, dan standar beretika. Ciri-
ciri auditor teknologi informasi internal yaitu sudah memiliki kualifikasi yang memenuhi
kombinasi kemampuan yang terkait dengan teknologi informasi, dan juga sudah memperoleh
sertifikat yang relevan contohnya certified internal auditor (CIA) dan certified information
system manager (CISM). Sertifikat organisasi ini digunakan untuk mengadopsi prinsip dan
standar eksplisit untuk audit dan untuk mematuhi kode etik dan standar praktik profesional.

Jalur Pengembangan Auditor Teknologi Informasi

Seperti audit keuangan dan audit operasional, audit teknologi informasi adalah profesi
tersendiri yang memiliki prinsip-prinsip dan standar praktik yang berlaku untuk umum. Audit
teknologi informasi juga membutuhkan pengetahuan, keterampilan, dan kemampuan khusus.
Seorang auditor teknologi informasi harus memiliki pengembangan pengetahuan,
keterampilan, dan biasanya menggabungkan kemampuan :
a. Pendidikan formal di satu atau lebih bidang yang berlaku, menyelesaikan program gelar
atau sertifikat di lembaga pendidikan tinggi
b. Pelatihan di tempat kerja atau tugas yang ditugaskan yang memberikan paparan tentang
proyek teknologi informasi dan operasi, proses bisnis yang didukung oleh sumber daya
teknologi informasi, kepatuhan inisiatif, atau kegiatan terkait audit
c. Pelatihan dan keterampilan profesional yang disedikan oleh perusahaan atau
pengembangan mandiri, melanjutkan pendidikan, atau belajar dalam mengejar sertifikat
atau kualifikasi profesional lainnya
d. Memperoleh pengalaman kerja yang secara langsung atau tidak langsung melibatkan tata
kelola teknologi informasi.
 Seorang individu dapat melakukan perjalanan melalui berbagai jalur karir untuk
mengembangkan keterampilan dan keahlian yang diperlukan untuk audit teknologi informasi,
bisa berasal dari akuntansi dan keuangan, bisnis dan hukum, dan teknologi informasi.
Jika pendidikan yang relevan dan pengalaman profesional prasyarat terkait dengan banyak hal
yang mana terkait dengan audit sertifikasi , auditor memerlukan pelatihan yang ekstensif,
domain pengetahuan, dan pengalaman praktis sebelum mereka dapat melakukan audit secara
efektif. Bahkan untuk itu spesialis audit, pengetahuan yang relevan serta kemampuan tidak
hanya tentang IT, namun juga pengalaman dalam banyak aspek seperti operasi bisnis,
manajemen & tata kelola organisasi, manajemen risiko, dan eksekusi proses & pemberian
layanan, selain itu juga berkontribusi pada dalam pekerjaan mereka.
Pentingnya IT, khususnya untuk jenis teknis audit IT, menangani sistem dan penyebaran,
pengembangan perangkat lunak, operasi dan pemeliharaan IT, manajemen proyek, atau
pemilihan kontrol keamanan, penggunaan, dan pemantauan. Audit IT membutuhkan
pengetahuan dan sentuhan teknis dan fungsional yang luas di dalam bisnis serta berbagai
tingkatan dalam suatu organisasi, artinya auditor IT yang efektif berpotensi berasal dari
berbagai disiplin ilmu atau inisial bidang keahlian.
Di zaman modern lingkungan peraturan yang berlaku untuk perusahaan publik dan banyak
lainnya jenis organisasi, audit internal atau eksternal yang komprehensif dari kontrol internal
tidak dapat diselesaikan tanpa membahas sistem dan operasi IT yang ada untuk mendukung
manajemen keuangan dan fungsi bisnis terkait. Dimasukkannya kontrol internal manual dan
otomatis pada pelaporan keuangan dalam lingkup persyaratan audit yang ditentukan dalam
Sarbanes-Oxley Act dalam praktiknya menuntut hal itu perusahaan yang melakukan audit —
dan auditor yang mereka pekerjakan — dapat mengatasi pengendalian IT.
Pengalaman ini menawarkan potensi untuk spesialisasi profesional di bidang IT audit
untuk individu dengan latar belakang keuangan atau akuntansi. Banyak lembaga pendidikan
tinggi menawarkan program sarjana dan pascasarjana di bidang ini; penyelesaian program
semacam itu menawarkan titik masuk bagi karier dalam audit. Sertifikasi CPA atau CIA sering
dimiliki oleh profesional audit mengikuti jenis ini arah karir memberikan dasar yang kuat untuk
audit IT dari standar, prinsip, dan kode etik yang diadopsi oleh AICPA dan IIA. Organisasi
profesional ini juga menawarkan panduan audit khusus TI dan kredensial khusus, seperti
Sertifikat Audit IT IIA.
Organisasi tunduk pada standar hukum, peraturan, atau industri atau yang memilih untuk
mengejar sertifikasi untuk manajemen mutu, manajemen keamanan informasi, pemberian
layanan, atau fungsi operasional lainnya mengandalkan personel yang memiliki pengetahuan
tentang praktik bisnis dan operasional yang efektif serta standar dan persyaratan peraturan yang
berlaku. Banyak program pendidikan formal yang berkonsentrasi dalam bisnis, hukum, atau
bidang lain yang menekankan pada keterampilan penelitian dan analitis menyediakan
persiapan yang baik untuk jenis pekerjaan ini. Posisi dalam analisis proses bisnis, kepatuhan
perusahaan, dan departemen hukum organisasi menawarkan kepada individu paparan
signifikan terhadap operasi dan praktik internasional yang mungkin menjadi subjek audit
internal atau eksternal.
Pengalaman tersebut dapat memfasilitasi pengembangan tingkat keahlian dalam kerangka
peraturan atau kepatuhan particular atau standar dan kriteria sertifikasiuntuk
mengkualifikasikan individu untuk melakukan jenis audit IT eksternal atau internal yang
berlaku. Jenis jalur karir ini ditandai oleh spesialisasi di bidang-bidang seperti jaminan
kualitas, peraturan khusus industri, kepatuhan dengan standar tertentu, dan jatuh tempo
kerangka kerja layanan atau proses. Berbagai organisasi menawarkan standar, bimbingan dan
sertifikasi profesional dalam bidang-bidang ini, sebagaimana dijelaskan dalam Bab 10.
Paragraf sebelumnya menjelaskan jalur karier untuk auditor IT yang berasal dari disiplin non-
IT. Banyak profesional audit IT berasal dari Latar belakang IT. Bekerja di berbagai bidang
seperti desain dan implementasi sistem, pengembangan perangkat lunak, jaminan informasi,
operasi dan pemeliharaan IT, atau manajemen proyek teknis memberikan peluang besar untuk
belajar tentang penerapan, pemantauan, dan penilaian kontrol TI. Pengalaman ini terkait
langsung dengan audit IT dan proses tata kelola dan manajemen risiko Dukungan audit TI.
Organisasi yang mengikuti tata kelola IT formal atau kerangka kerja keamanan informasi
dan pedoman kontrol keamanan informasi biasanya melakukan kontrol penilaian diri untuk
memenuhi kebijakan dan prosedur organisasi atau didorong dari luar persyaratan. Personel TI
yang bertanggung jawab untuk mengimplementasikan, mengkonfigurasi, mengoperasikan,
memantau, atau menilai kendali IT aering kali memperoleh pengetahuan dan keterampilan
yang memadai untuk melaksanakan berbagai jenis audit IT. Jumlah IT sepertinya tidak terbatas
Sertifikasi dan kredensial profesional tersedia untuk membantu orang membuktikannya
kualifikasi mereka dalam berbagai teknologi atau proses. Ini termasuk sempit sertifikasi
berfokus pada bidang teknis spesialisasi seperti rekayasa perangkat lunak, kualitas, dan
pemrograman; perangkat keras jaringan, konfigurasi perangkat dan analisis; konfigurasi dan
administrasi sistem operasi; pengujian penetrasi; analisis intrusi dan penanganan insiden; dan
forensik komputer. Relatif sedikit sertifikasi fokus secara eksplisit pada audit IT dan, dengan
pengecualian CISA dan kredensial GSNA, yang menangani domain IT tertentu seperti
keamanan informasi.
 DAFTAR PUSTAKA

Gantz, Stephen. 2014. The Basic of IT Audit. Elsevier.