Audit Teknologi
Informasi
Modul Standar untuk digunakan
dalam Perkuliahan di Universitas
Widyatama
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Teknik Sistem Informasi 11740005 Iwan Rijayana, S.Kom, M.M, M.Kom
02
Abstract Kompetensi
Mahasiswa mempelajari Context Mahasiswa mempunyai
Audit Teknologi Informasi pengetahuan mengenai Context
Audit Teknologi Informasi
Modul 2
Konteks Audit Teknologi Informasi
INFORMASI DALAM MODUL INI
● Tata kelola TI
● Manajemen risiko
● Kepatuhan hukum dan peraturan
● Manajemen kualitas dan jaminan kualitas
● Manajemen keamanan informasi
Dengan pengecualian organisasi yang tunduk pada peraturan atau kebijakan eksternal
yang mengharuskan mereka untuk mempertahankan fungsi audit internal atau melakukan audit
teknologi informasi (TI), keputusan untuk membangun kemampuan audit TI internal biasanya
didorong oleh tujuan yang ditetapkan secara internal. Dorongan utama organisasi terkemuka
untuk mengatur dan mengoperasikan program audit TI adalah kebutuhan untuk mendukung
inisiatif atau program manajemen perusahaan yang bergantung pada TI. Mendukung secara
efektif program-program semacam itu juga merupakan faktor penting dalam mewujudkan
manfaat atau nilai yang diharapkan dari program-program semacam itu, setidaknya sejauh
keberhasilannya diukur dalam hal efisiensi, efektivitas, dan metrik kinerja terkait. Fungsi
organisasi diperkuat atau difasilitasi melalui program audit TI internal termasuk tata kelola TI,
manajemen risiko perusahaan, kepatuhan dan sertifikasi standar, peningkatan berkelanjutan, dan
jaminan kualitas, yang semuanya mempertahankan misi dan inisiatif bisnis dan membantu
organisasi mencapai perencanaan strategis. tujuan, sasaran, dan hasil. Bab ini menjelaskan
inisiatif organisasi ini dan peran audit TI di masing-masing. Ini merangkum elemen struktural
utama, proses, dan karakteristik lain dari program perusahaan yang didukung oleh audit TI dan
menggambarkan hubungan timbal balik antara audit TI dan tata kelola, risiko, kepatuhan, dan
kualitas, seperti yang diilustrasikan dalam Gambar 2.1. Merencanakan dan melaksanakan proses
yang terkait dengan program-program ini mempengaruhi desain dan implementasi program audit
TI dan membantu organisasi mengidentifikasi dan memprioritaskan berbagai aspek operasi
mereka yang merupakan subjek audit TI yang diperlukan. Sebaliknya, kelemahan atau
kekurangan dalam pengendalian internal, kesenjangan dalam memenuhi persyaratan kepatuhan,
atau temuan audit TI potensial lainnya memengaruhi keputusan organisasi yang dibuat pada
tingkat program perusahaan tentang alokasi sumber daya, respons risiko, tindakan korektif, atau
peluang untuk perbaikan proses atau kontrol.
Gambar 2.1
Kegiatan audit TI merupakan bagian integral dari beberapa fungsi manajemen perusahaan utama,
yang secara kolektif berkontribusi pada ruang lingkup program audit TI dan menerima input dari
hasil proses audit.
Sebagaimana diterapkan dalam praktiknya, tata kelola TI terdiri dari berbagai proses dan
kontrol untuk aplikasi, sistem, jaringan, infrastruktur, personel, dan pusat data dan fasilitas
lainnya, termasuk:
● Kebijakan terkait TI;
● Prosedur operasi standar;
● Rencana manajemen;
● Pemantauan dan manajemen kinerja;
● Fungsi pengawasan atau pengawasan;
● Kontrol TI dan kontrol pemantauan;
● Proses pengembangan sistem dan perangkat lunak; dan
● Kegiatan operasi dan pemeliharaan.
Fungsi tata kelola TI dan proses serta aktivitasnya yang terkait dapat diterapkan pada
berbagai tingkatan organisasi — untuk kontrol internal, fungsi dan proses bisnis, infrastruktur,
operasi dan pemeliharaan sistem, atau proyek individu, serta seluruh perusahaan. Ada berbagai
kerangka kerja tata kelola yang tersedia untuk digunakan, termasuk yang mengambil perspektif
organisasi seperti Control Objective for Information and related Technology (COBIT) atau ISO /
IEC 38500. Standar ISO / IEC 38500 berfokus pada tata kelola TI perusahaan, - mengukur
prinsip dan rekomendasi tingkat tinggi yang harus dipertimbangkan oleh eksekutif organisasi
atau pemimpin lainnya yang bertanggung jawab atas tata kelola. Perspektif perusahaan dalam
ISO / IEC 38500 konsisten dengan COBIT 5 — versi terbaru kerangka kerja, dirilis pada 2012
— yang dimaksudkan untuk menawarkan pendekatan holistik tata kelola dengan kerangka kerja
tunggal menyeluruh yang menggabungkan banyak elemen yang sebelumnya terpisah. COBIT 5
berkembang pada pendekatan proses sentris sebelumnya yang serupa yang digunakan dalam
versi 4.1 dan mengintegrasikan panduan tambahan yang diorganisasikan ke dalam tujuh kategori
"pendukung": prinsip, kebijakan, dan kerangka kerja; proses; struktur organisasi; budaya, etika
dan perilaku; informasi; layanan, infrastruktur dan aplikasi; dan orang-orang, keterampilan dan
kompetensi [3]. Tata kelola TI yang dikelola di tingkat perusahaan mencakup ruang lingkup
penuh audit TI semesta — unit operasi, fungsi bisnis dan teknis, proses, sistem, kontrol, dan
aktivitas lain yang mewakili fokus berbagai jenis audit TI.
Sumber pedoman tata kelola difokuskan pada berbagai aspek organisasi di bawah tingkat
perusahaan termasuk:
● Information Technology Infrastructure Library (ITIL) dan ISO / IEC 20000 untuk
manajemen layanan;
● Project Management Body of Knowledge (PMBOK) dan Project In Controlled
Environment's Certification. versi 2 (PRINCE2) untuk manajemen proyek;
● Capability Maturity Model Integration (CMMI) dan ISO / IEC 15504 untuk proses
pengembangan perangkat lunak; dan
● Seri ISO / IEC 27000 dan National Institute of Standards and Technology (NIST)
manajemen risiko untuk manajemen keamanan informasi.
Sumber eksternal panduan tentang proses tata kelola, persyaratan, atau praktik terbaik
biasanya menawarkan model tata kelola organisasi yang dapat diadopsi sebagai publikasi atau
diadaptasi agar sesuai dengan kebutuhan khusus organisasi. Sebagai contoh, kerangka kerja
COBIT 5 menjelaskan total 37 proses terkait TI dalam lima kategori — dievaluasi, diarahkan,
dan dipantau; menyelaraskan, merencanakan, dan mengatur; membangun, memperoleh, dan
mengimplementasikan; memberikan, layanan, dan dukungan; dan memantau, mengevaluasi, dan
menilai — dan menentukan sejumlah kontrol TI di setiap kategori. Organisasi yang mengadopsi
COBIT tidak diharuskan untuk menerapkan semua kontrol atau dibatasi hanya menggunakan
kontrol dalam kerangka kerja COBIT. Alih-alih, kerangka kerja memberikan model tata kelola
tata ruang terstruktur, yang mengakomodasi apa pun fungsi tata kelola dan kontrol yang dipilih
organisasi, termasuk kontrol yang ditentukan dalam standar dan kerangka kerja lain [3].
Menentukan semesta audit organisasi — serangkaian hal di semua tingkat organisasi yang
mungkin menjadi subjek audit TI — adalah salah satu dari banyak tanggung jawab yang sering
kali ditugaskan untuk program audit TI. Organisasi dengan tata kelola TI yang sudah mapan atau
program manajemen risiko formal harus memiliki dekomposisi fungsional yang tersedia,
inventaris aset, dan artefak arsitektur perusahaan yang secara substansial menggambarkan
manajemen TI, operasi, dan ruang lingkup teknis organisasi dan dengan demikian memberikan
dasar yang baik untuk membangun - Audit semesta TI.
Gambar 2.3
Kerangka kerja manajemen risiko perusahaan COSO [10] adalah salah satu pendekatan paling
komprehensif untuk manajemen risiko karena cakupannya di semua tingkat organisasi dan fokus
luas di luar TI.
Manajemen risiko membahas tujuan strategis dan operasional dan, untuk organisasi di
sektor-sektor yang tunduk pada pengawasan atau persyaratan peraturan, juga mendukung tujuan
pelaporan dan kepatuhan. Banyak pendekatan tata kelola organisasi menggabungkan manajemen
risiko sebagai komponen integral, termasuk kerangka kerja COBIT 5 yang dijelaskan
sebelumnya dalam bab ini yang mengintegrasikan proses manajemen risiko dari model TI Risiko
ISACA [3]. Berbagai jenis risiko dapat berdampak pada aspek operasional, taktis, dan strategis
unit bisnis individu atau seluruh organisasi. Manajemen risiko yang efektif sering memerlukan
visibilitas ke dalam beberapa bagian organisasi dan koordinasi berbagai sumber daya.
Serangkaian fungsi, personel, dan sumber daya spesifik lainnya yang dialokasikan untuk
manajemen risiko perusahaan bervariasi tergantung pada ukuran dan kompleksitas organisasi dan
kematangan pendekatan manajemen risikonya. Model manajemen risiko yang komprehensif
menggabungkan perspektif manajemen, struktural, dan proses untuk memungkinkan organisasi
mengatasi semua jenis risiko dan berbagai elemen yang terkait dengan risiko tersebut. Seperti
yang diilustrasikan dalam Gambar 2.3, komponen organisasi yang terintegrasi dalam kerangka
kerja COSO untuk manajemen risiko perusahaan meliputi [10]:
● Deskripsi lingkungan internal, yang terdiri dari budaya organisasi dan perspektif
manajemen risiko untuk organisasi, yang memengaruhi strategi manajemen risiko dan
toleransi risiko;
● Pembentukan tujuan dan sasaran strategis, yang harus dinyatakan dengan jelas agar
organisasi dapat mengidentifikasi peristiwa potensial yang mempengaruhi pencapaian
mereka;
● Identifikasi sumber atau peristiwa ancaman internal dan eksternal yang berpotensi
berdampak positif atau negatif terhadap pencapaian tujuan organisasi;
● Penilaian risiko, mempertimbangkan kemungkinan dan dampak, untuk mendukung
pemilihan respons risiko yang tepat atau pendekatan lain untuk mengelola risiko;
● Pemilihan respons risiko — penghindaran, penerimaan, mitigasi, berbagi, atau
pemindahan, sendirian atau dalam kombinasi — dan pengembangan tindakan yang
konsisten dengan sifat risiko dan dengan toleransi risiko organisasi;
● Pembuatan dan implementasi kebijakan dan prosedur dan mekanisme kontrol lainnya
yang memadai untuk memastikan bahwa respons risiko dijalankan sesuai rencana;
● Berbagi informasi dan komunikasi di semua tingkatan organisasi untuk memungkinkan
semua pemangku kepentingan manajemen risiko untuk melaksanakan tanggung jawab
mereka; dan
● Pemantauan semua jenis dan sumber risiko organisasi yang relevan melalui kegiatan
manajemen operasional yang sedang berlangsung, evaluasi spesifik tujuan, kemampuan
pemantauan dan pelaporan otomatis, atau cara lain yang disukai oleh organisasi.
Gambar 2.4
Kerangka kerja manajemen risiko NIST adalah contoh representatif dari proses dan metodologi
yang membahas jenis risiko tertentu, seperti risiko yang terkait dengan sistem informasi
pengoperasian [6].
proses manajemen, seperti yang diilustrasikan dalam Gambar 2.4, termasuk pembingkaian risiko,
penilaian risiko, respons risiko, dan pemantauan risiko, semua didukung oleh arus informasi dan
komunikasi di semua tingkat organisasi dan di antara semua proses manajemen risiko. Mirip
dengan perencanaan risiko atau strategi risiko, pembingkaian risiko menetapkan ruang lingkup
kegiatan manajemen risiko, yang dalam kasus kerangka NIST terbatas pada risiko keamanan
informasi yang terkait dengan sistem informasi dan lingkungan operasinya. Penilaian risiko
mencakup identifikasi ancaman dan sumber risiko lainnya dan penentuan besarnya risiko relatif
dari masing-masing sumber. Respon risiko membahas apa yang organisasi pilih untuk lakukan
terhadap risiko yang dihadapinya; respons alternatif biasanya mencakup menerima, memitigasi,
menghindari, atau mentransfer risiko. Pemantauan risiko melibatkan tindakan berkala atau
berkelanjutan untuk memvalidasi sumber risiko yang saat ini diketahui, mengidentifikasi sumber
risiko baru (apakah karena ancaman eksternal atau perubahan lingkungan internal), dan
memverifikasi implementasi atau memvalidasi efektivitas tindakan yang dipilih sebagai bagian
dari respons risiko .
dengan persyaratan peraturan atau kriteria sertifikasi. Program kepatuhan dan sertifikasi juga
biasanya melakukan penilaian sendiri atau evaluasi internal yang dijadwalkan untuk bertepatan
dengan audit eksternal yang tertunda atau dilakukan secara periodik atau ad hoc (seperti ketika
terjadi perubahan pada operasi, sistem, atau lingkungan). Bagian dari proses mencari dan
mencapai sertifikasi memastikan bahwa kontrol, proses, atau standar yang terkait dengan
sertifikasi benar-benar diterapkan dalam organisasi. Misalnya, tingkat kematangan dalam
kerangka kerja peningkatan proses CMMI di Institut Teknik Perangkat Lunak terkait dengan
proses spesifik yang diharapkan digunakan organisasi dalam operasi internalnya untuk menerima
sertifikasi di setiap tingkat.
Baik kepatuhan dan sertifikasi sering kali menjadi subyek audit eksternal yang
dimaksudkan untuk memungkinkan penentuan tujuan oleh entitas luar yang patuh terhadap
peraturan atau standar industri atau kriteria sertifikasi. Untuk beberapa organisasi, kepatuhan
terhadap persyaratan peraturan diaudit setiap tahun, seperti halnya dengan kontrol internal untuk
perusahaan publik yang tunduk pada Sarbanes-Oxley Act. Bab 7 menjelaskan banyak
persyaratan audit legislatif dan peraturan perundang-undangan khusus industri, termasuk yang
berlaku untuk organisasi dalam pendidikan, layanan keuangan, perawatan kesehatan, dan
pemerintah. Ada juga standar dan kriteria yang berlaku untuk organisasi di berbagai industri atau
lini bisnis di mana pelaporan kepatuhan sebagian besar terjadi melalui pengesahan diri sendiri
dan bukan audit eksternal. Sampai saat ini, model self-atestation ini diterapkan pada banyak
aspek kepatuhan dalam industri perawatan kesehatan termasuk persyaratan peraturan
berdasarkan Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan kualifikasi untuk
program pendanaan insentif dalam Undang-Undang Pemulihan dan Reinvestasi Amerika tahun
2009. Perubahan terbaru dalam pengawasan federal terhadap program-program ini terjadi
melalui ketentuan dalam Undang-Undang Teknologi Informasi Kesehatan untuk Ekonomi dan
Kesehatan Klinis (HITECH) memperkenalkan audit kepatuhan eksternal yang dilakukan oleh
pemerintah [16] . Untuk persyaratan hukum dan peraturan lainnya, organisasi dapat dipilih untuk
audit eksternal, tetapi audit aktual dilakukan pada sebagian kecil organisasi dalam industri atau
wilayah geografis tertentu.
Organisasi membutuhkan proses internal mereka sendiri untuk menilai sertifikasi dan
kepatuhan, apakah mereka berharap diaudit oleh pihak eksternal atau tidak, untuk membantu
memastikan secara berkelanjutan bahwa mereka sesuai dengan persyaratan yang berlaku dan
dapat menunjukkan bukti kepatuhan mereka jika dan ketika mereka perlu. Bagian dari fokus
sertifikasi yang diadministrasikan secara eksternal atau audit kepatuhan memuaskan
menunjukkan kepada auditor bahwa organisasi mengikuti kebijakan dan prosedurnya sendiri dan
bahwa itu diterapkan dalam praktik dan tidak hanya ditulis dalam dokumentasi resmi.
Melakukan audit internal berkala sejauh mana organisasi benar-benar melakukan hal-hal yang
ditentukan dalam dokumentasi tersebut merupakan bagian penting dari kesiapan untuk audit
sertifikasi eksternal dan membantu memastikan bahwa organisasi menyadari manfaat dari
standar atau metodologi. terhadap yang disertifikasi.
Sama seperti audit TI pada umumnya, sertifikasi terhadap standar spesifik dievaluasi dan
dianugerahkan khusus terhadap kriteria yang mewakili versi tertentu atau tanggal penerbitan
standar yang dimaksud. Sebagai contoh, penunjukan formal dari sebagian besar standar ISO dan
sertifikasi yang sesuai mencakup tahun di mana versi terbaru dari standar tersebut secara resmi
dirilis. Namun, organisasi pengembangan standar dan standar yang mereka hasilkan tidak statis,
sehingga organisasi yang melakukan audit internal terhadap kriteria sertifikasi tersebut perlu
mengetahui kapan pembaruan atau perubahan lain terjadi pada standar yang mengubah kriteria
yang perlu dipenuhi agar tetap tersertifikasi di bawah versi baru. Berulang kali melakukan audit
internal untuk memvalidasi sertifikasi terhadap serangkaian kriteria tetap adalah sedikit nilainya
dalam membantu organisasi melewati audit eksternal jika audit internal menggunakan versi
standar yang sudah usang atau usang yang telah digantikan oleh versi baru.
Proses yang didefinisikan dalam ISO 9001 menggunakan pendekatan berulang dan
menekankan karakteristik peningkatan berkelanjutan dari sistem manajemen mutu [21].
tujuan. Model kualitas ini biasanya menekankan perbaikan berkesinambungan dari proses
organisasi, aspek manajemen kualitas yang harus ditunjukkan oleh organisasi secara eksplisit
untuk mencapai sertifikasi terhadap standar seperti ISO 9001 [21]. Kualitas diukur menggunakan
berbagai dimensi dan kriteria, yang secara potensial mencakup spesifikasi yang ditetapkan secara
internal, persyaratan pelanggan, standar industri, atau peraturan pemerintah. Pengukuran yang
efektif, akurat, dan konsisten merupakan komponen integral dari manajemen kualitas, seperti
yang diilustrasikan dalam Gambar 2.5, untuk dapat menetapkan dan menyesuaikan garis dasar
kualitas yang dapat dibandingkan dengan peningkatan kualitas produk atau proses. Serangkaian
kebijakan, proses, sumber daya, dan alat kolektif yang digunakan dalam kegiatan terkait kualitas
merupakan sistem manajemen mutu (kadang-kadang disebut sebagai program manajemen mutu)
yang dapat diimplementasikan pada tingkat organisasi atau dengan lingkup kontrol lebih banyak.
didefinisikan secara sempit untuk lini bisnis, domain fungsional, atau penawaran produk atau
layanan terpisah.
Kontribusi manajemen mutu pada bidang audit TI jauh melampaui penggunaan prosedur
audit dalam kegiatan jaminan kualitas, karena proses yang ditentukan dalam banyak tata kelola,
manajemen risiko, manajemen layanan, dan metodologi audit berbagi landasan bersama dalam
rencana tersebut -melakukan check-act
Gambar 2.6
Siklus PDCA yang dipopulerkan oleh W. Edwards Deming muncul dari manajemen kualitas
tetapi banyak digunakan dalam domain manajemen lainnya termasuk tata kelola TI, keamanan
informasi, manajemen risiko, dan audit [23].
(PDCA) model siklus umumnya dikaitkan dengan W. Edwards Deming ("Deming cycle").
Awalnya dikembangkan sebagai kontrol proses statistik dan model peningkatan kualitas
berkelanjutan untuk pembuatan produk, siklus Deming empat fase yang ditunjukkan pada
Gambar 2.6 muncul secara eksplisit dalam atau secara signifikan mempengaruhi COBIT, ITIL,
berbagai standar ISO, dan kerangka kerja pemerintah AS untuk manajemen risiko dan audit
sistem informasi. Siklus Deming memberikan dasar untuk beberapa kontrol kualitas dan
pendekatan peningkatan proses yang dikembangkan di Jepang dimulai pada 1950-an dan
diadopsi di perusahaan-perusahaan AS yang dimulai pada 1980-an, termasuk TQM. Ini juga fitur
menonjol dalam manajemen mutu dan prosedur audit kualitas dan pedoman dari organisasi
standar seperti ISO dan American Society for Quality (ASQ) [22].
Deming sendiri memuji siklus yang paling sering dikaitkan dengannya dengan Walter Shewhart
[23], tetapi setelah adopsi cepat dari siklus peningkatan kualitas di Jepang pada 1950-an
menggunakan nama "Deming cycle," referensi selanjutnya dalam literatur bisnis hampir selalu
merujuk pada Model PDCA sebagai siklus Deming.
Sertifikasi istilah memiliki dua arti berbeda dalam konteks manajemen keamanan informasi.
Dalam lingkungan sektor pemerintah dan organisasi sektor komersial yang memerlukan prosedur
dan persetujuan formal terstruktur sebelum memasukkan sistem informasi ke dalam produksi,
sertifikasi mengacu pada evaluasi diri dan penegasan sejauh mana kontrol keamanan diterapkan
untuk suatu sistem yang memenuhi persyaratan keamanan sistem. . Di luar lingkup pemberian
persetujuan formal (dalam bahasa pemerintah federal A.S., "otorisasi untuk beroperasi") untuk
sistem informasi, sertifikasi biasanya menunjukkan kepatuhan dengan standar tertentu atau
serangkaian kriteria. Misalnya, banyak organisasi mencari sertifikasi untuk menunjukkan
kesesuaian dengan persyaratan dan standar untuk sistem manajemen keamanan informasi, seperti
ISO / IEC 27001. Sertifikasi tersebut diberikan oleh pendaftar yang terakreditasi atau organisasi
lain yang secara eksplisit disetujui untuk berfungsi sebagai badan sertifikasi. Untuk menghindari
kemungkinan kebingungan atas makna kata, penting untuk secara jelas menentukan konteks
ketika merujuk pada kegiatan sertifikasi keamanan, termasuk audit TI yang berfokus pada
keamanan.
Dalam praktik saat ini, manajemen keamanan informasi menekankan strategi seperti
pemantauan terus-menerus dari kontrol keamanan dan penilaian kontrol keamanan independen
untuk mengukur efektivitas kontrol yang diterapkan dan dipelihara organisasi. Standar yang
tersedia tentang manajemen keamanan informasi, seperti ISO / IEC 27001, menetapkan jenis
proses siklus yang berulang dan sama yang terlihat dalam manajemen kualitas, manajemen
risiko, dan disiplin tata kelola, sebagaimana digambarkan dalam Gambar 2.7. Ruang lingkup
manajemen keamanan informasi meliputi TI
Gambar 2.7
Proses ISMS yang didefinisikan dalam ISO / IEC 27001 menerapkan model PDCA yang dikenal
untuk manajemen keamanan informasi [26].
Kegiatan audit — terutama audit kontrol keamanan — tetapi juga terdiri dari banyak
jenis evaluasi lain yang dimaksudkan untuk memvalidasi fungsi dan konfigurasi kontrol
keamanan yang tepat, memastikan kecukupan kontrol yang diterapkan untuk memenuhi
persyaratan keamanan, atau menentukan apakah mereka yang bertanggung jawab untuk
mengoperasikan, memelihara, dan mengamankan TI melakukannya dengan cara yang mencapai
tujuan dan sasaran organisasi. Penilaian kontrol keamanan biasanya mengandalkan keahlian
penilai untuk menilai apakah kontrol keamanan yang diterapkan efektif. Penilaian semacam itu
bergantung pada tinjauan bukti dan pemeriksaan serta pengujian oleh penilai, tetapi efektivitas
secara inheren merupakan penentuan subyektif yang dipengaruhi oleh praktik keamanan terbaik
yang diterima serta berbagai faktor khusus organisasi. Beberapa penilaian kontrol keamanan
memang menggunakan kerangka kerja atau standar kontrol sebagai titik acuan untuk set kontrol
keamanan yang harus diimplementasikan dalam lingkungan organisasi tertentu, tetapi penilaian
tersebut masih tidak sama dengan audit. Pemilihan kontrol keamanan adalah proses berbasis
risiko, sehingga kontrol aktual yang ada dapat berbeda dari organisasi ke organisasi karena
variasi dalam misi dan tujuan bisnis, industri, profil ancaman, toleransi risiko, atau karakteristik
lainnya. Kriteria audit TI internal dapat didefinisikan dengan cara yang spesifik untuk organisasi
tetapi audit terhadap persyaratan yang ditentukan dalam standar eksternal harus menggunakan
seperangkat kriteria audit yang sama di seluruh organisasi.