Kel 1 IS Audit
Kel 1 IS Audit
Dosen Pengampu:
Anissa Hakim Purwantini, S.E., M.Sc.
Pokok-Pokok Audit TI
Informasi yang akan dibahas adalah :
1. Apa yang akan diaudit?
2. Mengapa harus diaudit?
3. Siapa yang diudit?
4. Siapa yang mengaudit?
Suatu ketergantungan pada teknologi informasi (IT) adalah sebuah karakteristik umum
untuk hampir semua organisasi moderen. Organisasi sendiri mengandalkan informasi dan
sebuah proses dan memungkinkan teknologi yang diperlukan untuk menggunakan dan juga
mengelola informasi secara efektif. Hal ini adalah ketergantungan mencirikan organisasi sektor
publik dan swasta, terlepas dari misi industri, lokasi, geografis, atau jenis organisasi. IT
sangatlah penting bagi kesuksesan, efisiensi operasi, daya saing dan bahkan kelangsungan
hidup perusahaan. Hal ini menjadikan sangat penting kebutuhan organisasi untuk dapat
memastikan penggunaan TI yang benar dan juga efektif. Didalam konteks, pentingnya sumber
daya dialokasikan secara efisien, bahwa fungsi TI di tingkat kinerja dan juga kualitas yang
memadai untu mendukung bisnis secara efektif dan bahwa aset informasi dapat dijamin secara
memadai sesuai dengan toeransi risiko suatu organisasi. Aset semacam itu juga harus diatur
secara efektif, artinya milik mereka beroperasi sebagaimana dimaksud , bekerja dengan benar,
dan berfungsi dengan cara yang sesuai dengan aplikasi peraturan dan standar kabel.
Mengaudit TI sangatlah berbeda dengan mengaudit catatan laporan keuangan, operasi,
atau proses bisnis. Berbagai landasan umum prinsip-prinsip audit, standar praktik, dan proses
dan kegiatan tingkat. Audit TI juga merupakan komponen dari tipe utama audit lainnya. Praktik
akuntansi dalam organissi yang diaudit menggunakan TI, audit keuangan harus membahas
kontrol berbasis teknologi dan kontribusinya dalam mendukung kontrol keuangan
akhir.teknologi merupakan sumber daya utama yang sering dimasukkan dalam ruang lingkup
audit operasioanl. Audit mutu berlaku untuk banyak aspek organisasi, seperti profil bisnis,
keamanan informasi program dan praktik. Sifatnya terpusat pada kontrol internal audit mutu
tersebut ini.Audit TI bagaimanapun menunjukkan keleluasaan dan variasi yang lebih besar
daripada audit keuangan, operasional, atau kualias saja dalam arti tidak hanya mewakili. Bukan
merupakan elemen dari jenis audit utama lainnya tetapi juga terdiri dari banyak perbedaan
Keterangan :
pendekatan, bidang materi pelajaran, dan prospektif yang sesuai dengan sifat suatu lingkungan
TI organisasi, model tata kelola, dan tujuan audit.
Apa itu Audit IT ?
Audit sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan independen.
Istilah tersebut sering digunakan untuk evaluasi banyak subjek yang berbeda misalnya
memeriksa laporan keuangan atau akun organisasi. Sedangkan definisi yang digunakan oleh
badan standar audit lingkup luas dan dalam konteks audit IT tidak membatasi atau menganggap
subjek yang menjadi dasar audit. Sebagai contoh, pedoman Organisasi Internasional untuk
Standardisasi tentang audit yang menggunakan istilah “proses sistematis, independen dan
terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk
menentukan sejauh mana kriteria audit dipenuhi” dan Glosarium Perpustakaan Teknologi
Informasi mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk memeriksa
apakah suatu standar atau serangkaian pedoman sedang diikuti, apakah catatan itu akurat, atau
bahwa target efisiensi dan efektifitas terpenuhi”. Penting bagi pengguna "IT" untuk memenuhi
kualifikasi audit IT dan membedakannya dari konotasi keuangan yang lebih umum dari kata
audit yang digunakan sendirian.
Definisi tersebut juga menekankan karakteristik yang membedakan audit dari jenis
evaluasi atau penilaian lain dengan merujuk pada kriteria eksplisit yang memberikan dasar
untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan
apa yang sebenarnya diamati atau diperlihatkan melalui bukti. Audit tidak dimaksudkan untuk
memeriksa penggunaan praktik terbaik atau (dengan kemungkinan pengecualian audit
operasional) untuk melihat apakah ada peluang untuk meningkatkan atau mengoptimalkan
proses atau karakteristik operasional. Sebagai gantinya, ada standar yang ditetapkan yang
memberikan dasar untuk perbandingan yang ditetapkan sebelum memulai audit.
Penentuan audit cenderung lebih benar daripada hasil penilaian atau evaluasi lainnya,
dalam arti bahwa item tertentu memenuhi atau gagal memenuhi persyaratan yang berlaku.
Temuan audit mengidentifikasi kekurangan di mana apa yang diamati atau ditemukan oleh
auditor melalui analisis bukti audit berbeda dari apa yang diharapkan atau diperlukan sehingga
subjek audit tidak dapat memenuhi persyaratan. Sedangkan penilaian tipikal mungkin memiliki
skala penilaian kuantitatif atau kualitatif dan menghasilkan temuan dan rekomendasi untuk
perbaikan di bidang yang diamati beroperasi secara efektif atau yang dianggap kurang. Karena
auditor bekerja dari standar atau serangkaian kriteria yang ditetapkan, audit IT yang
menggunakan persyaratan komprehensif atau yang dipikirkan dengan matang mungkin kurang
subyektif dan lebih dapat diandalkan dibandingkan dengan jenis evaluasi atau penilaian
lainnya.
Dalam audit eksternal dan internal, kewajiban auditor adalah sepenuhnya untuk
memahami garis besar dan menggunakan pengetahuan tersebut secara akurat dan obyektif
membandingkan subjek audit dengan kriteria yang ditentukan dalam garis besar. Penggunaan
kriteria audit yang ditentukan secara formal juga berarti bahwa organisasi yang mengantisipasi
atau menjalani audit tidak boleh terkejut dengan sifat audit, apa yang dicakupnya, atau
persyaratan apa yang diharapkan dipenuhi oleh organisasi. Audit eksternal terutama yang
didorong oleh mandat peraturan atau standar sertifikasi mengikuti prosedur dan menerapkan
kriteria yang harus tersedia dan hanya diketahui oleh organisasi yang diaudit seperti halnya
oleh auditor eksternal yang melakukan audit. Audit internal mengikuti strategi, rencana, dan
prosedur yang ditentukan oleh organisasi itu sendiri dalam program auditnya, sehingga auditor
internal dan unit bisnis, pemilik sistem, manajer proyek, staf operasi, dan personel yang
menjadi subjek atau audit pendukung juga harus terbiasa dengan audit kriteria yang akan
digunakan.
Kontrol internal
Audit TI eksternal dan internal memiliki fokus yang sama. Kontrol internal
dilaksanakan oleh organisasi yang diaudit. Kontrol merupakan pusat elemen manajemen TI
yang didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja yang
menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi, dan
operasi sistem informasi; keamanan informasi; dan tata kelola TI.
Dalam konteks ini, kontrol adalah suatu kebijakan atau prosedur yang merupakan
bagian dari kontrol internal, hasil kebijakan dan prosedur yang dirancang untuk melakukan
kontrol. IT Governance Institute menawarkan definisi konsisten dengan COSO: “kebijakan,
rencana dan prosedur, dan struktur organisasi dirancang untuk memberikan jaminan yang
masuk akal bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah
atau dideteksi dan diperbaiki. Dari perspektif perencanaan dan pelaksanaan audit TI, kontrol
internal mewakili substansi kegiatan audit, karena kontrol adalah item yang diperiksa, diuji,
dianalisis, atau dievaluasi.
Organisasi sering menerapkan sejumlah besar kontrol internal yang dimaksudkan untuk
mencapai berbagai tujuan kontrol. Mengategorikan kontrol internal memudahkan
dokumentasi, pelacakan, dan manajemen beragam set kontrol yang ada di banyak organisasi.
Skema kategorisasi kontrol lazim digunakan dalam kerangka kontrol internal, Audit TI, dan
pedoman penilaian serta undang-undang yang berlaku mengklasifikasikan kontrol oleh tujuan,
berdasarkan tipe fungsional, atau keduanya. Kategori berbasis tujuan termasuk pencegahan,
kontrol detektif, dan korektif, tempat organisasi menggunakan kontrol preventif mencoba
untuk menjaga agar kejadian yang tidak diinginkan atau tidak diinginkan terjadi, kontrol
detektif menjadi menemukan ketika hal-hal seperti itu terjadi, dan kontrol korektif untuk
merespons atau pulih setelah kejadian yang tidak diinginkan terjadi.
Kontrol selanjutnya dipisahkan oleh fungsi menjadi jenis kontrol administratif, teknis,
dan fisik, seperti Pengendalian administrasi mencakup kebijakan, prosedur, dan rencana
organisasi itu tentukan apa yang ingin dilakukan organisasi untuk menjaga integritas operasi,
informasi, dan aset lainnya. Kontrol teknis termasuk mekanisme teknologi , prosedur
operasional, dan sumber daya yang diimplementasikan dan dikelola oleh suatu organisasi untuk
mencapai tujuan kontrolnya. Kontrol fisik terdiri dari ketentuan yang ada di suatu organisasi
untuk mempertahankan, menyediakan, dan membatasi atau memantau akses ke fasilitas, area
penyimpanan, peralatan, dan aset informasi.
Beberapa sumber menggunakan kategorisasi kontrol yang berbeda, seperti jenis
manajemen, operasional, dan kontrol teknis yang ditentukan oleh Institut Standar Nasional AS
dan Teknologi (NIST) dalam pedoman keamanan informasinya untuk lembaga pemerintah
federal. NIST menggunakan operasional untuk membedakan kontrol yang diterapkan dan
dilakukan oleh orang-orang. Dalam banyak konteks audit, bagaimanapun, "kontrol
operasional" digunakan untuk berarti "kontrol internal" sehingga untuk menghindari
kebingungan auditor dan organisasi lebih memilih kategorisasi administratif-teknis-fisik yang
lebih umum.
Karakteristik Audit TI
Definisi, standar, metodologi, persetujuan peraturan dalam kunci karakteristik audit TI
diperoleh dari Generally Accepted Auditing Standards (GAAS) dan standar internasional serta
kode praktik. Karakteristik ini termasuk perlunya auditor untuk mahir dalam melaksanakan
jenis-jenis audit, kepatuhan oleh auditor dan organisasi yang diwakilinya terhadap kode etik
dan perilaku professional, dan desakan independensi auditor. Kecakapan dalam prinsip-prinsip
umum, prosedur, standar, dan ekspektasi yang melintasi semua jenis audit dan juga berlaku
dalam konteks audit TI. Tergantung pada kompleksitas dan karakteristik khusus dari
pengendalian TI atau lingkungan operasi yang menjalani audit, auditor mungkin memerlukan
pengetahuan khusus atau keahlian untuk dapat benar dan efektif memeriksa control yang
termasuk dalam ruang lingkup audit TI.
Kode etik, perilaku, dan perilaku etis yaitu seperti kemampuan, umum dalam semua
domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi,
kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai. Independensi auditor,
prinsip yang berlaku untuk audit dan auditor internal dan eksternal, berarti bahwa orang yang
melakukan audit dan organisasi yang diwakilinya tidak memiliki kepentingan finansial dan
bebas dari konflik kepentingan mengenai organisasi yang mereka audit agar tetap objektif dan
tidak memihak. Sementara independensi auditor adalah prinsip utama dalam GAAS dan
standar audit internasional, ketentuan independensi audiensi yang diamanatkan dalam
Sarbanes-Oxley Act dan ditegakkan oleh Securities and Exchange Commission (SEC) secara
hukum membutuhkan independensi untuk audit perusahaan yang diperdagangkan secara
publik.
Mengapa diaudit?
Melakukan dan mendukung audit TI dan mengelola program audit TI adalah waktu, usaha, dan
aktivitas-aktivitas yang intensif personel dalam kesadaran biaya dan persaingan untuk sumber
daya, masuk akal untuk bertanya mengapa organisasi melakukan IT audit. Dasar pemikiran
untuk audit eksternal seringkali lebih jelas dan lebih mudah dipahami perusahaan dan
organisasi yang diperdagangkan secara publik di banyak industri tunduk pada hukum dan
persyaratan peraturan, kepatuhan yang sering ditentukan melalui mengaudit. Demikian pula,
organisasi mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas layanan,
kedewasaan, atau pengendalian implementasi dan efektivitas biasanya harus menjalani audit
sertifikasi oleh auditor independen. Audit TI sering memberikan informasi yang membantu
organisasi mengelola risiko, mengonfirmasi alokasi yang efisien Sumber daya terkait TI, dan
mencapai tujuan TI dan bisnis lainnya. Alasan dulu membenarkan audit TI internal mungkin
lebih bervariasi di seluruh organisasi, tetapi meliputi:
a. mematuhi aturan pertukaran efek bahwa perusahaan memiliki audit internal fungsi;
b. mengevaluasi efektivitas kontrol yang diterapkan;
c. mengkonfirmasikan kepatuhan terhadap kebijakan, proses, dan prosedur internal;
d. memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja kontrol dan standar;
e. menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung terus menerus
pemantauan;
f. mengidentifikasi kelemahan dan defisiensi sebagai bagian dari risiko awal atau
berkelanjutan pengelolaan;
g. mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan;
h. memverifikasi dan memvalidasi rekayasa sistem atau manajemen proyek TI praktik; dan
i. menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan audit
eksternal yang diantisipasi.
Untuk menggeneralisasi, IT internal audit sering didorong oleh persyaratan organisasi untuk
tata kelola TI, risiko manajemen, atau jaminan kualitas, yang mana saja dapat digunakan untuk
menentukan apa perlu diaudit dan bagaimana memprioritaskan kegiatan audit TI. Audit TI
eksternal lebih sering didorong oleh kebutuhan atau keinginan untuk menunjukkan kepatuhan
dengan eksternal standar, peraturan, atau persyaratan yang diberlakukan yang berlaku untuk
jenis organisasi, industri, atau lingkungan operasi.
Auditor Eksternal
Audit TI eksternal, menurut definisi dilakukan oleh auditor dan entitas di luar organisasi
tunduk pada audit. Tergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas
audit TI, audit eksternal dapat dilakukan oleh auditor tunggal dan tim. Secara umum, hubungan
antar suatu organisasi dan auditor eksternal biasanya didirikan dan dikelola di tingkat entitas
itu, organisasi menggunakan layanan dari perusahaan luar atau organisasi propesional yang
melakukan audit TI yang diperlukan.
Jenis hubungan kapal dibutuhkan untuk perusahaan publik di Amerika Serikat dan
banyak lainnya negara, berdasarkan peraturan yang mewajibkan perusahaan yang mengaudit
korporasi ini untuk terdaftar tered atau dilisensikan dengan badan pengawas pemerintah,
seperti Perusahaan Publik Dewan Pengawas Akuntansi (PCAOB) di Amerika Serikat dan
anggota Badan Pengawas Grup Eropa (EGAOB) di negara-negara di Eropa Uni Eropa. Oleh
karena itu perusahaan yang diperdagangkan secara publik dibatasi dalam pilihan mereka
perusahaan audit eksternal, tetapi dengan mewajibkan audit perusahaan tersebut dilakukan
hanya oleh perusahaan yang memenuhi syarat (dan personel yang berkualifikasi yang bekerja
untuk mereka) struktur peraturan untuk audit wajib di banyak negara memastikan audit itu
dilakukan secara konsisten yang sesuai dengan prinsip-prinsip yang berlaku, standar, dan
praktik. Independen auditor penting untuk audit internal dan eksternal, tetapi dalam konteks
audit eksternal independensi semacam itu seringkali tidak hanya dituntut tetapi juga ditegakkan
secara hukum.
Auditor Internal
Audit internal kontrol adalah sikap tanggung jawab dan sama dengan audit teknologi
informasi (TI) eksternal. Tetapi dalam banyak hal, audit internal kontrol memperluas lebih
lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat perincian yang
diperlukan untuk meningkatkan kualitas audit teknologi informasi internal. Auditor internal
bekerja di organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan pemahaman
tentang organisasi sampai lingkungan teknologi informasi tertentu, kontrol, sistem informasi,
dan karakter operasional. Dalam program audit teknologi informasi internal yang terstruktur
dengan baik, auditor internal juga memiliki pengetahuan tentang misi dan proses bisnis dengan
tujuan menyediakan konteks yang jelas untuk sumber daya teknologi informasi. Karena
penekanan pada independensi auditor dalam audit internal maupun eksternal, fungsi audit
teknologi informasi internal sering digunakan untuk memfasilitasi objektivitas dan integritas,
termasuk manajemen dan struktur akuntabilitas yang melapor langsung ke dewan direksi
organisasi atau anggota senior eksekutif tim manajemen.
Auditor teknologi informasi internal harus memastikan program audit internal secara
memadai mencakup bidang fungsional dan teknologi yang relevan, dan memerlukan tim kecil
yang terdiri atas personel audit yang relatif senior dengan pengalaman teknologi informasi
yang luas atau sekelompok auditor yang lebih besar dengan bidang yang lebih khusus dan
keahlian yang sesuai. Auditor teknologi informasi internal juga memerlukan keterampilan dan
karakteristik nonteknis yang sesuai, termasuk integritas, profesional, dan standar beretika. Ciri-
ciri auditor teknologi informasi internal yaitu sudah memiliki kualifikasi yang memenuhi
kombinasi kemampuan yang terkait dengan teknologi informasi, dan juga sudah memperoleh
sertifikat yang relevan contohnya certified internal auditor (CIA) dan certified information
system manager (CISM). Sertifikat organisasi ini digunakan untuk mengadopsi prinsip dan
standar eksplisit untuk audit dan untuk mematuhi kode etik dan standar praktik profesional.