ISACA IT Audit Framework / Valencia Martha Torentha - 120110200102

Source : IT Audit Framework 4th Edition (ISACA)

Information Technology Audit Framework terbagi atas tiga kategori :

1. General Standard
General Standard berisi rincian dari prinsip panduan profesi IT assurance. General Standard
membahas beberapa poin penting, yakni :
1. Audit Charter, yang berisi bahwa Fungsi IT audit dan assurance :
a. harus mendokumentasikan fungsi audit secara tepat, yang menunjukan tujuan, tanggung
jawab, wewenang, dan akuntabilitas;
b. harus memiliki audit charter yang disetujui secara resmi;
c. harus mengkomunikasikan audit charter dan elemen yang relevan kepada eksekutif;
d. harus selaras dengan misi dan strategi perusahaan.

2. Organizational Independence, yang berisi bahwa praktisi IT audit dan assurance :

a. harus bebas dari konflik kepentingan dan pengaruh yang tidak semestinya.
b. harus memiliki hubungan pelaporan fungsional yang mendukung;
c. harus memiliki hubungan pelaporan administratif yang mendukung.

3. Auditor Objectivity, yang berisi bahwa praktisi IT audit dan assurance harus objektif dalam
semua hal yang berkaitan dengan audit dan assurance engagement.

4. Reasonable Expectation, yang berisi bahwa praktisi IT audit dan assurance harus memiliki
reasonable assurance :
a. bahwa engagement dapat diselesaikan sesuai dengan IT audit dan assurance yang
berlaku;
b. ruang lingkup engagement memungkinkan kesimpulan tentang hal pokok dan bahwa
setiap batasan ruang lingkup diatasi;
c. bahwa manajemen memahami kewajiban dan tanggung jawabnya yang diperlukan untuk
melaksanakan engagement.

5. Due Professional Care, yang berisi bahwa auditor akan melakukan uji tuntas dan kehati-hatian
profesional.

6. Proficiency, yang berisi bahwa praktisi IT audit dan assurance :

a. harus memiliki kompetensi profesional untuk melaksanakan pekerjaan yang
dipersyaratkan;
b. harus memiliki pengetahuan yang memadai tentang materi pelajaran untuk menjalankan
peran mereka dalam IT audit dan assurance engagement;
c. harus mempertahankan kompetensi profesionalnya melalui pendidikan dan pelatihan
profesional berkelanjutan yang sesuai.
 7. Assertions, yang berisi bahwa praktisi IT audit dan assurance harus meninjau asersi yang
menjadi bahan penilaian untuk menentukan bahwa asersi tersebut dapat diaudit dan asersi
tersebut cukup, valid, dan relevan.

8. Criteria, yang berisi bahwa praktisi IT audit dan assurance :

a. harus memilih kriteria, yang menjadi dasar penilaian, yang objektif, lengkap, relevan,
andal, terukur, dapat dipahami, diakui secara luas, berwibawa, dan dipahami oleh, atau
tersedia untuk, semua pembaca dan pengguna dari laporan.
b. harus mempertimbangkan penerimaan kriteria dan fokus pada kriteria yang diakui,
berwenang, dan tersedia untuk umum.

2. Performance Standard
Performance Standard berisi tentang pelaksanaan engagement. Performance Standard membahas
beberapa poin penting, yakni :
1. Risk Assessment in Planning, yang berisi bahwa praktisi IT audit dan assurance :
a. harus menggunakan pendekatan penilaian risiko dan metodologi pendukung yang sesuai.
b. harus mengidentifikasi dan menilai risiko yang relevan dengan area yang ditinjau saat
merencanakan penugasan individu.
c. harus mempertimbangkan risiko materi, risiko audit, dan eksposur terkait ke perusahaan
saat merencanakan perikatan audit.

2. Audit Scheduling, yang berisi bahwa praktisi IT audit dan assurance :

a. harus menetapkan rencana strategis keseluruhan yang menghasilkan jadwal audit jangka
pendek dan jangka panjang.
b. harus menyepakati jadwal audit dengan pihak yang bertanggung jawab
c. harus memodifikasi jadwal audit agar responsif terhadap kebutuhan organisasi

3. Engagement Planning, yang berisi bahwa praktisi IT audit dan assurance :

a. harus merencanakan setiap IT Audit dan assurance untuk mengatasi sifat, waktu dan
luasnya prosedur audit yang akan dilakukan.
b. harus mengembangkan dan mendokumentasikan IT audit dan engagement assurance
audit.

4. Performance and Supervision, yang berisi bahwa praktisi IT audit dan assurance :
a. harus melakukan pekerjaan sesuai dengan rencana audit TI yang disetujui untuk
menutupi risiko yang teridentifikasi, dan dalam jadwal yang disepakati.
b. harus memberikan pengawasan kepada staf audit TI yang menjadi tanggung jawab
pengawasan mereka untuk mencapai tujuan audit dan memenuhi standar audit profesional
yang berlaku.
c. harus menerima hanya tugas-tugas yang berada dalam pengetahuan dan keterampilan
mereka, atau untuk itu mereka memiliki harapan yang wajar untuk memperoleh
keterampilan selama penugasan atau mencapai tugas di bawah pengawasan.
d. harus memperoleh dan memelihara bukti yang cukup dan tepat untuk mencapai tujuan
audit.
 e. harus mendokumentasikan proses audit dan menjelaskan pekerjaan audit dan bukti audit
yang mendukung temuan dan kesimpulan.
f. harus didukung oleh analisis akar masalah dan interpretasi atas temuan dan kesimpulan.
g. harus memberikan opini atau kesimpulan audit yang tepat dan mencakup batasan ruang
lingkup jika bukti yang diperlukan diperoleh melalui prosedur pengujian tambahan.

5. Evidence, yang berisi bahwa praktisi IT audit dan assurance :

a. harus memperoleh bukti yang cukup dan tepat untuk menarik kesimpulan yang masuk
akal.
b. harus menerapkan skeptisisme profesional
c. Harus menyimpan bukti untuk jangka waktu yang sejalan dengan periode penyimpanan.

6. Using the Work of Other Experts, yang berisi bahwa praktisi IT audit dan assurance :
a. harus mempertimbangkan untuk menggunakan pekerjaan pakar lain untuk perikatan, jika
sesuai.
b. harus menilai dan menyetujui kecukupan kualifikasi profesional pakar lain.
c. harus menilai, meninjau, dan mengevaluasi pekerjaan pakar lain sebagai bagian dari
engagement, dan mendokumentasikan kesimpulan
d. harus menentukan apakah pekerjaan pakar lain memadai dan lengkap untuk
menyimpulkan tujuan engagement saat ini.
e. harus menentukan apakah pekerjaan pakar lain akan diandalkan dan digabungkan secara
langsung atau dirujuk secara terpisah dalam laporan.
f. harus menerapkan prosedur pengujian tambahan untuk mendapatkan bukti yang cukup
dan tepat dalam keadaan di mana pekerjaan pakar lain tidak memberikan bukti yang
cukup dan tepat.
g. harus memberikan opini atau kesimpulan audit, dan mencakup batasan ruang lingkup jika
bukti yang diperlukan tidak diperoleh melalui prosedur pengujian tambahan.

7. Irregularities and Illegal Acts, yang berisi bahwa praktisi IT audit dan assurance :
a. harus mempertimbangkan risiko penyimpangan dan tindakan ilegal selama penugasan.
b. harus mendokumentasikan dan mengomunikasikan penyimpangan atau tindakan ilegal
kepada pihak yang tepat secara tepat waktu.

3. Reporting Standard
Reporting Standard berisi jenis laporan, sarana komunikasi, dan informasi yang dikomunikasikan.
Reporting Standard membahas beberapa poin penting, yakni :
1. Reporting, , yang berisi bahwa praktisi IT audit dan assurance :
a. harus memberikan laporan untuk mengomunikasikan hasil setiap penugasan.
b. harus memastikan temuan dalam laporan audit didukung oleh bukti yang cukup dan tepat.
2. Follow-Up Activities, yang berisi bahwa praktisi IT audit dan assurance :
a. harus memantau dan melaporkan secara berkala kepada pihak yang bertanggung jawab
atas tata kelola dan pengawasan fungsi audit
b. harus melaporkan secara teratur kemajuan status keseluruhan kepada komite audit, jika
ada.
c. harus mendiskusikan suatu temuan dan penerimaan risiko dengan manajemen senior
2.
Melisa Linvia Kelana - 120110200063

Audit Evidence
Setiap informasi yang digunakan oleh auditor untuk mengambil keputusan yang mendasari opini. Laporan
dan opini auditor harus didukung oleh bukti audit yang cukup dan tepat. Bukti audit ini bukan besifat
konklusif melainkan persuasif yang membutuhkan professional judgement yang ditentukan oleh
kesesuaian (kualitas bukti audit yang dipengaruhi oleh relevansi dan keandalan) dan kecukupan (kuantitas
bukti audit).

Category of Audit Evidence

● Informasi yang mendukung asesi manajemen, seperti catatan akuntansi yang mendasari laporan
keuangan.
● Informasi penguat yang diperoleh dari penerapan prosedur audit selama audit.

Types of Audit Evidence

1. Physical Evidence : diperoleh melalui inspeksi, observasi atau penghitungan oleh aktiva atas
aktivasi berwujud.
2. Confirmation : jawaban tertulis atau lisan dari pihak ketiga yang independen yang memverifikasi
kecermatan informasi tertentu yang diminta auditor.
3. Documentary Evidence : bukti diperoleh melalui pemeriksaan terhadap dokumen dan catatan
klien untuk memperkuat informasi yang harus disajikan dalam laporan keuangan.
4. Written Representation : pernyataan tertulis atau lisan, dibuat oleh individu yang bertanggung
jawab, yang menunjang satu atau lebih asersi manajemen.
5. Oral Evidence : jawaban lisan atas pertanyaan yang diajukan kepada manajemen dan pegawai
klien.
6. Mathematical Evidence : hasil pemeriksaan kembali perhitungan dan pemindahan informasi yang
dilakukan klien.
7. Analytical Evidence : bukti diperoleh melalui perbandingan dan hubungan diantara data untuk
melihat indikasi salah saji material.

Audit Evidence Decisions

Memperoleh bukti audit yang cukup dan tepat adalah masalah keputusan audit yang harus dibuat saat
auditor mengembangkan program audit. Hal tersebut memperhatikan beberapa pertanyaan berikut:
1. Prosedur audit mana yang akan digunakan? (audit procedures)
2. Berapa ukuran sampel yang harus dipilih untuk prosedur tertentu? (sampe size)
3. Item mana yang harus dipilih dari populasi? (items to select)
4. Kapan harus melakukan prosedur? (timing)
5. Siapa yang melakukan prosedur? (staffing-team audit)

Evidence Decisions Description

Audit procedures Instruksi terperinci yang menjelaskan bukti audit yang akan diperoleh
selama audit.
 Sample size Setelah prosedur dipilih, auditor dapat memvariasikan ukuran sampel
dari satu ke semua item dalam populasi yang diuji.

Items to select Auditor dapat memilih satu minggu dan memeriksa 50 cek pertama
atau memilih 50 cek dengan jumlah terbesar, atau pmemilih cek secara
acak, dan atau memilih cek yang menurut auditor paling mungkin
salah.

Timing Waktu prosedur audit dapat bervariasi dari awal periode akuntansi
hingga lama setelah berakhir

Audit Procedures
Instruksi rinci yang menjelaskan bukti audit yang diperoleh selama audit. Audit procedures merupakan
cara untuk memperoleh bukti audit.

Type of Audit Procedures

1. Inquiry : mencari informasi dari orang-orang yang berpengetahuan di dalam atau di luar entitas
mencakup pertanyaan tertulis formal maupun lisan. Inquiry digunakan secara luas selama audit,
tetapi biasanya paling tidak persuasif dan perlu didukung oleh prosedur audit lainnya.
2. Inspection : memeriksa dokumen dan catatan atau aset berwujud. Contohnya adalah pemeriksaan
dokumen catatan yang mendukung informasi yang ada atau harus ada di laporan keuangan.
3. Vouching : menginspeksi dokumen yang digunakan sebagai dasae pencatatan untuk menentukan
validitas dan kecermatan pencatatan. Vouching digunakan untuk mendeteksi overstatement
(existence).
4. Tracing : penelusuran untuk menentukan apakah transaksi telah dicatat dengan benar. Tracing
berhubungan dengan documentary evidence serta digunakan untuk mendeteksi understatement
(completeness).
5. Observation : mengamati suatu proses atau prosedur yang sedang dilaksanakan oleh orang lain.
Pengamatan sebagian besar visual, tetapi juga melibatkan semua indera lainnya, seperti
pendengaran, sentuhan, dan penciuman.
6. Confirmation : penerimaan auditor atas tanggapan tertulis atau lisan dari pihak ketiga independen
yang memverifikasi keakuratan informasi yang diminta. Ini adalah tindakan memperoleh bukti
audit dari pihak ketiga yang independen untuk mendukung fakta atau kondisi. Confirmation
merupakan bukti yang sangat persuasif.
7. Recalculation : memeriksa akurasi aritmatika dokumen sumber dan catatan akuntansi atau
melakukan perhitungan independen. Prosedur ini relatif andal karena auditor yang melakukannya.
8. Reperformance : eksekusi independen auditor atas prosedur atau kontrol yang awalnya dilakukan
sebagai bagian dari pengendalian internal entitas, baik secara manual atau melalui penggunaan
CAATs (Computer Assisted Audit Techniques).
9. Analytical Procedures : evaluasi informasi keuangan melalui analisis hubungan yang masuk akal
antara data keuangan dan non-keuangan dan mengidentifikasi fluktuasi atau hubungan yang tidak
konsisten dengan informasi relevan lainnya.
 10. Computer-Assisted Audit Techniques (CAATs) : penggunaan program software untuk membantu
auditor dalam melaksanakan prosedur audit tertentu bagi klien yang akuntansinya telah
computerized.

Source : Auditing and Assurance Services : International Perspective, Alvin A Arens, Randal J.
Elder, Mark S. Beasley & Chris E. Hogan, 17th Edition, Pearson (2020)
Difference Between Internal Audit and External Audit
Patricia Margaretha 120110200071

Audit menyinggung proses pemeriksaan independen atas catatan keuangan suatu organisasi, untuk
memberikan pendapat atas laporan keuangan. Maka dari itu, audit dapat dikelompokkan menjadi dua
kategori, yaitu Audit Internal dan Audit Eksternal. Audit Internal tidak bersifat wajib tetapi dapat
dilakukan untuk meninjau kegiatan operasional organisasi. Dalam jenis audit ini, area kerja ditentukan
oleh manajemen entitas. Sebaliknya, Audit Eksternal yang wajib bagi setiap badan hukum yang terpisah,
di mana pihak ketiga dibawa ke organisasi untuk melakukan proses Audit dan memberikan pendapatnya
atas Laporan Keuangan perusahaan. Di sini ruang lingkup kerja ditentukan oleh undang-undang masing-
masing.
Proses audit dari kedua jenis audit ini hampir sama dan itulah sebabnya beberapa orang masih bingung
antara perbedaan keduanya. Namun, sebenarnya ada garis tipis perbedaan antara audit internal dan audit
eksternal.

Definisi
Internal Audit
Yang dimaksud dengan Audit Internal adalah fungsi penilaian yang tidak memihak dan sistematis yang
dilakukan dalam organisasi bisnis atau perusahaan, dengan tujuan meninjau aktivitas bisnis sehari-hari
dan memberikan saran yang diperlukan untuk perbaikan.

Audit internal melakukan spektrum aktivitas yang luas seperti:

- Mengevaluasi sistem akuntansi dan pengendalian internal.
- Menelaah kegiatan operasional rutin.
- Pengecekan persediaan secara berkala.
- Menganalisis informasi keuangan dan non-keuangan organisasi.
- Mendeteksi penipuan dan kesalahan.

Tujuan utama dari audit internal adalah untuk meningkatkan nilai dari organisasi dan untuk memantau
pengendalian internal, pemeriksaan internal, dan sistem manajemen risiko entitas. Audit internal
dilakukan oleh auditor internal yang merupakan karyawan organisasi. Ini adalah departemen terpisah,
dalam organisasi di mana audit berkelanjutan dilakukan sepanjang tahun.

Eksternal Audit
Pemeriksaan berkala, sistematis, dan independen atas laporan keuangan perusahaan yang dilakukan oleh
pihak ketiga untuk tujuan tertentu, sebagaimana disyaratkan oleh undang-undang dikenal sebagai Audit
Eksternal. Tujuan utama audit eksternal untuk menyatakan pendapat secara terbuka tentang:
- Kebenaran dan kewajaran laporan keuangan perseroan
- Catatan akuntansi lengkap dalam segala hal dan disiapkan sesuai dengan kebijakan yang
digariskan oleh GAAP (Generally Accepted Accounting Principles ) atau tidak.
- Semua fakta material diungkapkan dalam akun tahunan.

Untuk melaksanakan audit eksternal, auditor ditunjuk oleh pihak dari perusahaan. Audit eksternal sendiri
harus independen, yaitu dia tidak boleh terhubung dengan organisasi dengan cara apa pun sehingga dia
dapat bekerja dengan tidak memihak tanpa pengaruh apa pun. Auditor berhak mengakses pembukuan
untuk memperoleh informasi yang diperlukan dan memberikan pendapatnya kepada anggota melalui
laporan audit. Laporan terdiri dari dua jenis:
- Tidak dimodifikasi
- Diubah
➢ memenuhi syarat
➢ merugikan
Jika laporan diubah, auditor harus memberikan alasan mengenai terjadi perubahan tersebut.

Tabel Perbedaan
Perbedaan Internal Audit Eksternal Audit

Audit Internal mengacu pada Audit Eksternal adalah fungsi

fungsi audit berkelanjutan yang audit yang dilakukan oleh badan
Definisi dilakukan dalam suatu independen yang bukan
perusahaan oleh departemen merupakan bagian dari
audit internal yang terpisah. organisasi.

Mengkaji ulang kegiatan rutin Untuk menganalisis dan

Tujuan dan memberikan saran memverifikasi laporan keuangan
perbaikan. perusahaan.

Dilaksanakan oleh Karyawan perusahaan. Pihak ketiga.

Pengguna laporan Manajemen. Stakeholders.

Pendapat diberikan tentang Pendapat diberikan atas

Pendapat efektivitas kegiatan operasional kebenaran dan kewajaran
organisasi. laporan keuangan perusahaan.

Pendapat diberikan atas

Diputuskan oleh undang-
Cakupan kebenaran dan kewajaran
undang.
laporan keuangan perusahaan.

Sumber : https://keydifferences.com/difference-between-internal-audit-and-external-
audit.html#:~:text=Internal%20Audit%20refers%20to%20an,a%20part%20of%20the%20organization.
5.