IT AUDIT FUNDAMENTALS (POKOK-POKOK

AUDIT TI)

Pokok-Pokok Audit TI
Informasi yang akan dibahas adalah :
1. Apa yang akandiaudit?
2. Mengapa harusdiaudit?
3. Siapa yangdiudit?
4. Siapa yangmengaudit?
Suatu ketergantungan pada teknologi informasi (IT) adalah sebuah karakteristik
umum untuk hampir semua organisasi moderen. Organisasi sendiri mengandalkan informasi
dan sebuah proses dan memungkinkan teknologi yang diperlukan untuk menggunakan dan
juga mengelola informasi secara efektif. Hal ini adalah ketergantungan mencirikan organisasi
sektor publik dan swasta, terlepas dari misi industri, lokasi, geografis, atau jenis organisasi.
IT sangatlah penting bagi kesuksesan, efisiensi operasi, daya saing dan bahkan kelangsungan
hidup perusahaan. Hal ini menjadikan sangat penting kebutuhan organisasi untuk dapat
memastikan penggunaan TI yang benar dan juga efektif. Didalam konteks, pentingnya
sumber daya dialokasikan secara efisien, bahwa fungsi TI di tingkat kinerja dan juga kualitas
yang memadai untu mendukung bisnis secara efektif dan bahwa aset informasi dapat dijamin
secara memadai sesuai dengan toeransi risiko suatu organisasi. Aset semacam itu juga harus
diatur secara efektif, artinya milik mereka beroperasi sebagaimana dimaksud , bekerja dengan
benar, dan berfungsi dengan cara yang sesuai dengan aplikasi peraturan dan standarkabel.
Apa itu Audit IT ?
Audit sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan
independen. Istilah tersebut sering digunakan untuk evaluasi banyak subjek yang berbeda
misalnya memeriksa laporan keuangan atau akun organisasi. Sedangkan definisi yang
digunakan oleh badan standar audit lingkup luas dan dalam konteks audit IT tidak membatasi
atau menganggap subjek yang menjadi dasar audit. Sebagai contoh, pedoman Organisasi
Internasional untuk Standardisasi tentang audit yang menggunakan istilah “proses sistematis,
independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara
objektif untuk menentukan sejauh mana kriteria audit dipenuhi” dan Glosarium Perpustakaan
Teknologi Informasi mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk
memeriksa apakah suatu standar atau serangkaian pedoman sedang diikuti, apakah catatan itu
akurat, atau bahwa target efisiensi dan efektifitas terpenuhi”. Penting bagi pengguna"IT"
untuk memenuhi kualifikasi audit IT dan membedakannya dari konotasi keuangan yang lebih
umum dari kata audit yang digunakan sendirian.
Kontrol internal
 Audit TI eksternal dan internal memiliki fokus yang sama. Kontrol internal
dilaksanakan oleh organisasi yang diaudit. Kontrol merupakan pusat elemen manajemen TI
yang didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja
yang menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi,
dan operasi sistem informasi; keamanan informasi; dan tata kelola TI.
Dalam konteks ini, kontrol adalah suatu kebijakan atau prosedur yang merupakan
bagian dari kontrol internal, hasil kebijakan dan prosedur yang dirancang untuk melakukan
kontrol. IT Governance Institute menawarkan definisi konsisten dengan COSO: “kebijakan,
rencana dan prosedur, dan struktur organisasi dirancang untuk memberikan jaminan yang
masuk akal bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan
dicegah atau dideteksi dan diperbaiki. Dari perspektif perencanaan dan pelaksanaan audit TI,
kontrol internal mewakili substansi kegiatan audit, karena kontrol adalah item yang diperiksa,
diuji, dianalisis, atau dievaluasi.
Apa yang Diaudit?
Sama seperti audit keuangan, kualitas, dan operasional dapat dilaksanakan oleh entitas
besar atau pada tingkat yang berbeda dalam sebuah organisasi, audit TI dapat mengevaluasi
seluruh organisasi, unit bisnis individual, fungsi misi dan proses bisnis, pelayanan, sistem,
infrastruktur, atau komponen teknologi. Berbagai jenis dari audit TI dan pendekatan yang
biasa digunakan untuk melakukan audit tersebut dapat mempertimbangkan kontrol internal
dari berbagai perspektif dengan memfokuskan pada elemen-elemen TI yang kontrolnya
sesuai atau pada kontrol yang dilaksanakan dalam konteks proses yang dilakukan atau
layanan yang diberikan oleh suatu organisasi. Terlepas dari keseluruhan metode audit TI
yang digunakan, audit TI selalu membahas satu atau lebih bidang yang berhubungan dengan
teknologi, termasuk kontrol yang terkait dengan hal-halberikut;
a. Pusat data dan fasilitas fisiklainnya
b. Infrastrukturjaringan
c. Telekomunikasi
d. Sistemoperasi
e. Database
f. Penyimpanan
g. Server dan lingkunganterotomatisasi
h. Layanan dan operasioutsourcing
i. Server web danaplikasi
j. Aplikasi Perangkat lunak dan aplikasi yang dikemas
k. Pengguna danAplikasi
l. Perangkatseluler
Unsur-unsur pengendalian internal TI dapat diaudit secara terpisah atau bersama-
sama, meskipun bahkan ketika audit TI yang diberikan berfokus secara sempit pada satu
aspek TI, auditor perlu mempertimbangkan konteks teknis, operasional, dan lingkungan yang
lebih luas. Audit TI juga membahas proses dan fungsi kontrol internal, sepertiprosedur
operasi dan pemeliharaan, kontinuitas bisnis, dan pemulihan bencana. respons insiden,
pemantauan jaringan dan keamanan, manajemen konfigurasi, pengembangan sistem, dan
manajemen proyek.
Karakteristik Audit TI
Definisi, standar, metodologi, persetujuan peraturan dalam kunci karakteristik audit
TI diperoleh dari Generally Accepted Auditing Standards (GAAS) dan standar internasional
serta kode praktik. Karakteristik ini termasuk perlunya auditor untuk mahir dalam
melaksanakan jenis-jenis audit, kepatuhan oleh auditor dan organisasi yang diwakilinya
terhadap kode etik dan perilaku professional, dan desakan independensi auditor. Kecakapan
dalam prinsip-prinsip umum, prosedur, standar, dan ekspektasi yang melintasi semua jenis
audit dan juga berlaku dalam konteks audit TI. Tergantung pada kompleksitas dan
karakteristik khusus dari pengendalian TI atau lingkungan operasi yang menjalani audit,
auditor mungkin memerlukan pengetahuan khusus atau keahlian untuk dapat benar dan
efektif memeriksa control yang termasuk dalam ruang lingkup auditTI.
Kode etik, perilaku, dan perilaku etis yaitu seperti kemampuan, umum dalam semua
domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi,
kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai. Independensi auditor,
prinsip yang berlaku untuk audit dan auditor internal dan eksternal, berarti bahwa orang yang
melakukan audit dan organisasi yang diwakilinya tidak memiliki kepentingan finansial dan
bebas dari konflik kepentingan mengenai organisasi yang mereka audit agar tetap objektif
dan tidak memihak. Sementara independensi auditor adalah prinsip utama dalam GAAS dan
standar audit internasional, ketentuan independensi audiensi yang diamanatkan dalam
Sarbanes-Oxley Act dan ditegakkan oleh Securities and Exchange Commission (SEC) secara
hukum membutuhkan independensi untuk audit perusahaan yang diperdagangkan secara
publik.

Mengapa diaudit?
Melakukan dan mendukung audit TI dan mengelola program audit TI adalah waktu, usaha,
dan aktivitas-aktivitas yang intensif personel dalam kesadaran biaya dan persaingan untuk
sumber daya, masuk akal untuk bertanya mengapa organisasi melakukan IT audit. Dasar
pemikiran untuk audit eksternal seringkali lebih jelas dan lebih mudah dipahami perusahaan
dan organisasi yang diperdagangkan secara publik di banyak industri tunduk pada hukum dan
persyaratan peraturan, kepatuhan yang sering ditentukan melalui mengaudit. Demikian pula,
organisasi mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas
layanan, kedewasaan, atau pengendalian implementasi dan efektivitas biasanya harus
menjalani audit sertifikasi oleh auditor independen. Audit TI sering memberikan informasi
yang membantu organisasi mengelola risiko, mengonfirmasi alokasi yang efisien Sumber
daya terkait TI, dan mencapai tujuan TI dan bisnis lainnya.
Siapa yang diaudit?
Mengingat penggunaan TI yang meluas di organisasi dari semua ukuran dan jenis, dan
manfaat yang diperoleh organisasi yang berhasil membangun dan memelihara internal
Program audit TI, hampir semua organisasi dapat menganggap audit TI berharga. Dengan
sehubungan dengan audit TI eksternal, organisasi mungkin tidak berada dalam posisi untuk
menentukan apakah, bagaimana, atau kapan harus menjalani audit TI, karena banyak bentuk
eksternal audit diamanatkan secara hukum, bukan opsional. Sejauh organisasi mencari
sertifikasi atau validasi eksternal lain dari kontrol atau operasi mereka yang secara efektif
mereka pilih untuk tunduk pada audit TI eksternal. Jenis organisasi lain tunduk pada
persyaratan hukum dan peraturan khusus berdasarkan pada sifat operasi bisnis mereka atau
industri di mana mereka berpartisipasi. Persyaratan hukum dan peraturan adalah di antaranya
pendorong audit TI yang paling lazim untuk organisasi di beberapa industri dan sektor.

Sebagaimana dicatat di atas, di luar nilai intrinsik apa pun untuk suatu organisasi itu mungkin
menyediakan, audit TI juga merupakan komponen penting dari perusahaan manajemen risiko,
tata kelola TI, dan program dan inisiatif jaminan kualitas, selain mendukung kepatuhan
terhadap peraturan dan standar. Ini artinya sebuah organisasi yang menerapkan tata kelola
formal, risiko, dan kepatuhan (GRC) model atau standar jaminan kualitas juga membutuhkan
kemampuan audit TI yang efektif. Bagi banyak organisasi, keputusan untuk menetapkan dan
memelihara manajemen risiko atau program tata kelola TI adalah pilihan, bukan persyaratan,
tetapi pendekatan semacam itu umumnya dipandang sebagai praktik terbaik. Perusahaan
perdagangan publik Amerika Serikat yang terdaftar di Bursa Efek New York diperlukan,
berdasarkan peraturan yang diumumkan segera setelah berlakunya UU Sarbanes-Oxley,
untuk mempertahankan fungsi audit internal. Aturan yang berlaku untuk perusahaan yang
harus diaudit audit di negara-negara di Eropa Union juga menekankan pentingnya memonitor
efektivitas internal fungsi audit, meskipun tidak secara eksplisit mengharuskan organisasi
untuk memelihara fungsi seperti itu. Secara kolektif, kombinasi antara persyaratan hukum
dan peraturan dan penggerak bisnis memberi organisasi insentif yang kuat untuk membentuk
suatu kemampuan audit TI internal jika mereka belum memilikinya, dan untuk
memastikannya program audit TI yang mereka buat terstruktur dengan baik, dikelola,
dikelola, dandipelihara.
Siapa yang melakukan audit TI ?
Mengaudit kontrol TI internal membutuhkan pengetahuan, keteranpilan, dan
kemampuan TI yang luas dan keahlian dalam prinsip-prinsip, praktik, dan proses audit
khusus-TI. Oganisasi perlu mengembangkan atau memperoleh personel dengan under-
spesialisasi kedudukan tujuan pengendalian dan pengalaman dalam operasi TI yang
diperlukan untuk meningkatkan secara aktif melakukan audit TI. Persyaratan ini juga berlaku
untuk organisasi yang memiliki program audit TI berfokus pada pelaksanaan audit internal
sebagaimana untuk layanan profesional wakil perusahaan yang melakukan audit eksternal
atau memberikan auditor atau keahlian untuk mendukung kegiatan audit internal organisasi.
Jenis-jenis organisasi dan individu yang melakukan audit TI meliputi:
1. Audit Internal, yang terdiri dari karyawan organisasi yang melakukan audit atau
kontraktor TI internal, konsultan, atau spesialis outsourcing yang di sewa oleh organisasi
untuk melakukan auditinternal
2. Auditor TI yang bekerja sebagai kontraktor independen atau sebagai karyawan
profesional perusahaan jasa yang menyediakan jasa audit TI eksternal atauinternal
3. Perusahaan audit atau akuntansi (atau divisi audit atau akuntansi perusahaan menawarkan
jangkauan layanan yang lebih luas)
4. Organisasi sertifikat yang berwenang untuk mengevaluasi praktik organisasi dan
mengontrol dan memberikan sertifikasi kepada organisasi yang proses internalnya,
sistem, layanan, atau lingkungan operasional mematuhi standar yang berlaku atau kriteria
sertifikasilainnya
5. Organisasi dengan wewenang untuk mengawasi implementasi yang disyaratkan
mengendalikan atau menegakkan peraturan, seperti Kantor Akuntabilitas Pemerintah
(GAO), SEC, Federal Deposit Insurance Corporation (FDIC), dan Departemen Kantor
Kesehatan dan Layanan Kemanusiaan (HHS) untuk Hak Sipil (OCR) di dalam
Pemerintah Federal A.Sdan
6. Inspektur jenderal, eksekutif audit, atau pejabat setara yang ditugasi untuk otoritas untuk
memberikan tinjauan independen terhadap banyak aspek organisasi untuk tempat mereka
bekerja, termasuk kepatuhan terhadap kebijakan organisasi, ketentuan keamanan yang
memadai, alokasi sumber daya yang efektif, dan pemeliharaan tanggung jawab fidusia
atau standar perawatanlainnya
Auditor Eksternal
Audit TI eksternal, menurut definisi dilakukan oleh auditor dan entitas di luar
organisasi tunduk pada audit. Tergantung pada ukuran organisasi dan ruang lingkup dan
kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal dan tim. Secara
umum, hubungan antar suatu organisasi dan auditor eksternal biasanya didirikan dan dikelola
di tingkat entitas itu, organisasi menggunakan layanan dari perusahaan luar atau organisasi
propesional yang melakukan audit TI yang diperlukan.
Jenis hubungan kapal dibutuhkan untuk perusahaan publik di Amerika Serikat dan
banyak lainnya negara, berdasarkan peraturan yang mewajibkan perusahaan yang mengaudit
korporasi ini untuk terdaftar tered atau dilisensikan dengan badan pengawas pemerintah,
seperti Perusahaan Publik Dewan Pengawas Akuntansi (PCAOB) di Amerika Serikat dan
anggota Badan Pengawas Grup Eropa (EGAOB) di negara-negara di Eropa Uni Eropa. Oleh
karena itu perusahaan yang diperdagangkan secara publik dibatasi dalam pilihan mereka
perusahaan audit eksternal, tetapi dengan mewajibkan audit perusahaan tersebut dilakukan
hanya oleh perusahaan yang memenuhi syarat (dan personel yang berkualifikasi yang bekerja
untuk mereka) struktur peraturan untuk audit wajib di banyak negara memastikan audit itu
dilakukan secara konsisten yang sesuai dengan prinsip-prinsip yang berlaku, standar, dan
praktik. Independen auditor penting untuk audit internal dan eksternal, tetapi dalam konteks
audit eksternal independensi semacam itu seringkali tidak hanya dituntut tetapi juga
ditegakkan secara hukum.

Auditor Internal
Audit internal kontrol adalah sikap tanggung jawab dan sama dengan audit teknologi
informasi (TI) eksternal. Tetapi dalam banyak hal, audit internal kontrol memperluas lebih
lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat perincian yang
diperlukan untuk meningkatkan kualitas audit teknologi informasi internal. Auditor internal
bekerja di organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan
pemahaman tentang organisasi sampai lingkungan teknologi informasi tertentu, kontrol,
sistem informasi, dan karakter operasional. Dalam program audit teknologi informasi internal
yang terstruktur baik, auditor internal juga memiliki pengetahuan tentang misi dan proses
bisnis dengan tujuan menyediakan konteks yang jelas untuk sumber daya teknologi
informasi. Karena penekanan pada independensi auditor dalam audit internal maupun dengan
eksternal, fungsi audit teknologi informasi internal sering digunakan untuk memfasilitasi
objektivitas dan integritas, termasuk manajemen dan struktur akuntabilitas yang melapor
langsung ke dewan direksi organisasi atau anggota senior eksekutif tim manajemen.
Jalur Pengembangan Auditor Teknologi Informasi
Seperti audit keuangan dan audit operasional, audit teknologi informasi adalah profesi
tersendiri yang memiliki prinsip-prinsip dan standar praktik yang berlaku untuk umum. Audit
teknologi informasi juga membutuhkan pengetahuan, keterampilan, dan kemampuan khusus.
Seorang auditor teknologi informasi harus memiliki pengembangan pengetahuan,
keterampilan, dan biasanya menggabungkan kemampuan :
a. Pendidikan formal di satu atau lebih bidang yang berlaku, menyelesaikan program gelar
atau sertifikat di lembaga pendidikan tinggi
b. Pelatihan di tempat kerja atau tugas yang ditugaskan yang memberikan paparan tentang
proyek teknologi informasi dan operasi, proses bisnis yang didukung oleh sumber daya
teknologi informasi, kepatuhan inisiatif, atau kegiatan terkait audit
c. Pelatihan dan keterampilan profesional yang disedikan oleh perusahaan atau
pengembangan mandiri, melanjutkan pendidikan, atau belajar dalam mengejar sertifikat
atau kualifikasi profesionallainnya
d. Memperoleh pengalaman kerja yang secara langsung atau tidak langsung melibatkan tata
kelola teknologi informasi.