CISA Certification Job Practice Areas by Domain

Domain I : The Process of Auditing Information Systems

Domain II : Governance and Management of IT

Domain III : Information Systems Acquisition, Development and Implementation

Domain IV : Information Systems Operations, Maintenance and Support

Domain V : Protection of Information Assets

1. Management Of The IS Audit Function

Proses audit sistem informasi dimana proses ini mencakup seluruh praktik audit yang
akan dilakukan. Semua prosedur memastikan untuk memiliki metodologi menyeluruh yang
dirancang agar tim audit dapat melakukan audit pada area TI tertentu dan melakukannya secar
professional. Peran manajemen dalam fungsi audit yaitu audit harus dikelola dan dipimpin
dengan cara yang memastikan bahwa semua tugas yang dilakukan harus dicapai oleh tim
audit tersebut dan memastikan auditor menjaga independensi dan menjaga kepercayaan
selama proses audit berlangsung. Audit yang terintegrasi dalam audit keuangan dan
operasional dapat memberikan jaminan pengendalian terkait TI kepada auditor keuangan atau
manajemen sehingga jenis layanan audit berbasis internal yang sekarang menjadi tipe
eksternal adalah layanan audit yang disediakan oleh perusahaan luar yang berarti bukan orang
yang dipekerjakan oleh perusahaan.

2. Audit Planning
Perencanaan audit mempunyai tujuan jangka pendek dan jangka panjang. Tujuan dari
audit jangka pendek yaitu harus mempertimbangkan isu-isu yang akan dibahas sedangkan
tujuan audit jangka panjang yaitu mempertimbangkan isu-isu yang akan berkaitan dengan
perubahan arah strategis kekayaan intelektual organisasi. Auditor pada dasarnya harus
memiliki rencana yang mempertimbangkan tujuan organisasi dan melihat relevansinya
dengan apa yang di audit dalam infrastruktur teknologi. Rencana tersebut harus mencakup
pemahaman tentang atsitektur TI organisasi dan melihat arak teknologi yang mereka tuju.
Pedoman yang digunakan harus diikuti oleh auditor adalah hal-hal seperti meninjau informasi
latar belakang seperti publikasi industry atau laporan tahunan pada laporan audit sebelumnya.

3. Effects Of Law And Regulations On IS Audit Planning

Dilihat dari manajemen serta proses perencanaan audit bahwa ada Undang-Undang
peraturan yang akan berlaku untuk hamper setiap organisasi dan peraturan tersebut mematuhi
peraturan pemerintah. Saat ini terdapat dua hal utama yang menjadi perhatian ketika
 membicarakan peraturan ini. Yang pertama mengenai persyaratan hukum bagi kita yang
melakukan audit dan auditor. Terdapat Undang-Undang peraturan serta perjanjian kontrak
yang kita harus ikuti juga persyaratan hukum.

4. ISACA IT Audit And Assurance Standards And Guidliness

Pedoman dan standar yang harus diperhatikan dan diterapkan pada audit sebenarnya
yang pertama adalah kode etik profesi dan tentu penting untuk memastikan memiliki
sertifikasi ISACA. Tujuan dan standar ini dirancang untuk memberi tahu manajemen tentang
ekspektasi mengenai pekerjaan praktisi audit untuk memberi tahu anggota bahwa mereka
harus mengetahui persyaratan dan kegagalan untuk mematuhi standar-standar ISACA.

5. Audit Standards
Standar berbeda yang ditentukan oleh ACA :
- Piagam audit : Menjelaskan tujuan, tanggung jawab, wewenang, dan akuntabilitas fungsi
audit, menguraikan peran auditor dan pihak yang diaudit.
- Independensi: Menekankan pentingnya independensi profesional dan organisasi dalam
audit untuk memastikan penilaian yang tidak memihak dan akurat, menyoroti perlunya
perjanjian kontrak untuk mengurangi tekanan yang tidak semestinya.
- Etika dan Standar Profesional: Menekankan kepatuhan terhadap etika profesional,
termasuk mempertahankan keterampilan dan pengetahuan yang relevan dengan
penugasan audit, dan membahas pentingnya perencanaan proses audit.
- Kinerja Pekerjaan Audit: Membagi pekerjaan audit menjadi pengawasan, pengumpulan
bukti, dan dokumentasi, dengan fokus untuk memastikan staf audit mencapai tujuan,
memberikan bukti yang dapat diandalkan, dan memelihara dokumentasi yang
menyeluruh.
- Kegiatan Pelaporan dan Tindak Lanjut: Menjelaskan standar untuk menyelesaikan
laporan audit, termasuk menyatakan kembali ruang lingkup, tujuan, dan temuan, dan
menekankan pentingnya pelaporan rekomendasi untuk kepatuhan, bahkan ketika
menghadapi penyimpangan atau tindakan ilegal.

6. Audit Guidelines

 Efektif 1 maret 2008, Pedoman ini membahas bagaimana seorang auditor harus
mengevaluasi pekerjaan pakar lainnya ketika terdapat kendala yang dapat mengganggu
pekerjaan audit yang perlu dilakukan. Hal ini dapat dipertimbangkan dengan meminta
seorang ahli dari perusahaan terminal berikutnya melakukan aspek audit yang sifat
 auditnya sangat teknis atau tim audit memiliki sumber daya atau pengetahuan tentang
bidang spesifik yang perlu diaudit
 Persyaratan bukti audit berlaku efektif 1 Mei 2008: Pedoman ini mencakup bagaimana
auditor harus memperoleh bukti yang cukup dan bukti yang tepat dan kemudian menarik
kesimpulan yang masuk akal berdasarkan hasil audit.
 Penggunaan teknik audit berbantuan komputer (CAAT) efektif 1 Maret 2008:
Auditor mungkin perlu menggunakan alat untuk mencatat, mentransaksikan, dan
memproses data yang dihasilkan dari audit. Alat-alat ini juga dapat meningkatkan
cakupan audit dan analisis data yang lebih menyeluruh dan konsisten. Alat-alat ini dapat
mencakup perangkat lunak audit tertentu, skrip yang disesuaikan, atau jenis teknik
perangkat lunak lain yang terlibat dalam pengumpulan informasi
 Pengalihdayaan aktivitas IS ke organisasi lain efektif 1 Mei 2008:
a. Organisasi mungkin melakukan outsourcing sebagian atau seluruh aktivitas sistem
informasinya kepada pihak ketiga. penyedia pihak ketiga ini bisa berada didalam atau
diluar lokasi
b. auditor bertanggung jawab untuk mengkonfirmasi kepatuhan
 Piagam Audit efektif 1 februari 2008
Dirancang untuk membantu auditor menyiapkan piagam, atau kontrak, yang menjelaskan
tanggung jawab, wewenang, dan akuntabilitas mereka.

7. Audit Guidelines

Semua panduan ini bertujuan untuk membantu auditor dalam melakukan audit dengan
efektif dan profesional.

1. Pertimbangan Audit: Pertimbangan Audit menjelaskan pentingnya memiliki

pertimbangan yang tepat terhadap risiko audit, termasuk risiko kecurangan dan
risiko material. Auditor perlu memahami dan mengidentifikasi risiko-risiko ini
untuk merancang audit yang efektif.
2. Pengambilan Sampel: Auditor perlu memilih sampel yang representatif untuk
diperiksa, sehingga hasil audit dapat diandalkan dan mewakili populasi yang
lebih besar.
3. Hubungan Organisasi dan Independensi: Pentingnya menjaga independensi dalam
hubungan antara auditor dan organisasi yang diaudit. Auditor harus menjaga
integritas dan objektivitas mereka agar tidak terpengaruh oleh kepentingan pihak
lain.
4. Tinjauan Risiko: Tentang pentingnya melakukan tinjauan risiko secara
menyeluruh. Auditor perlu menganalisis risiko-risiko yang ada dalam organisasi
dan merencanakan audit berdasarkan analisis tersebut.
5. Tinjauan Sistem Aplikasi: Tentang pentingnya melakukan tinjauan sistem
aplikasi yang digunakan oleh organisasi. Auditor perlu memahami sistem aplikasi
yang digunakan untuk mengidentifikasi kelemahan atau risiko yang mungkin ada.
6. Tinjauan Pasca-Implementasi: Tentang pentingnya melakukan tinjauan pasca-
implementasi setelah perubahan atau perbaikan dilakukan dalam sistem
organisasi. Hal ini membantu memastikan bahwa perubahan tersebut efektif dan
sesuai dengan tujuan yang diharapkan.
7. Praktik Manajemen Keamanan: Tentang praktik pengelolaan keamanan yang
penting dalam audit. Auditor perlu memastikan bahwa organisasi memiliki
praktik keamanan yang memadai untuk melindungi data dan informasi sensitif.

Pedoman Audit:

1. Pertimbangan audit atas penyimpangan yang berlaku efektif 1 September

2008
2. Pengambilan sampel audit efektif 1 Agustus 2008
3. Pengaruh pengendalian IS yang menyeluruh efektif 1 Agustus 2008
4. Hubungan organisasi dan pihak independen efektif 1 Agustus 2008
5. Penggunaan penilaian risiko dan perencanaan audit efektif 1 Agustus
2008
6. Peninjauan sistem aplikasi efektif 1 Oktober 2008
7. Perencanaan direvisi efektif 1 Mei 2010
8. Pengaruh pihak ketiga terhadap pengendalian TI organisasi efektif 1
Maret 2009
9. Pengaruh peran non-audit terhadap independensi auditor TI efektif 1 Mei
2010
10. Tata kelola TI efektif 1 Mei 2010
11. Tinjauan sistem perencanaan sumber daya perusahaan (ERP) efektif 1
Agustus 2003
12. Tinjauan e-commerce bisnis ke konsumen efektif 1 Oktober 2008
13. Internet banking efektif 1 Agustus 2003
 14. Peninjauan atas jaringan pribadi virtual efektif 1 Juli 2004
15. Komputasi mobile efektif 1 September 2004
16. Tinjauan pasca implementasi efektif 1 Januari 2005
17. Pertimbangan umum tentang penggunaan Internet efektif 1 Maret 2006
18. Tanggung jawab, wewenang dan akuntabilitas efektif 1 Maret 2006
19. Kegiatan tindak lanjut efektif 1 Maret 2006
20. Kontrol biometrik efektif 1 Februari 2007
21. Kontrol akses efektif setiap tanggal 1 Januari 2008
22. Organisasi TI yang berlaku efektif 1 Mei 2008
23. Peninjauan ulang praktik manajemen keamanan efektif 1 Oktober 2008
24. Pengembalian investasi keamanan efektif 1 Mei 2010
25. Jaminan berkelanjutan efektif 1 Mei 2010

8. Information Technology Assurance Framework ITAF

ITAF merupakan kerangka kerja yang memberikan panduan tentang

perancangan, pelaksanaan, dan pelaporan audit TI serta menetapkan standar untuk
peran dan tanggung jawab profesional audit TI. Kerangka tersebut mencakup standar
umum, standar kinerja, standar pelaporan, pedoman, dan alat dan teknik. Standar
umum mencakup kemandirian, objektivitas, harapan yang wajar, pemeliharaan
pelatihan dan kecakapan, dan kriteria yang sesuai. ITAF terdiri dari beberapa
komponen, yaitu standar umum, standar kinerja, standar pelaporan, pedoman, dan alat
dan teknik. Standar umum mencakup aspek-aspek seperti kemandirian, objektivitas,
harapan yang wajar, pemeliharaan pelatihan dan kecakapan, serta kriteria yang sesuai.
 Standar umum ITAF (Bagian 2200)
Standar umum adalah prinsip-prinsip panduan yang digunakan oleh profesi asurans
TI. Dan standar-standar ini meliputi:

a. Independensi dan objektivitas

b. Ekspektasi yang wajar
c. Pengakuan manajemen
d. Pelatihan dan kemahiran
e. Pengetahuan tentang pokok bahasan
f. Kehati-hatian
g. Kriteria yang sesuai
 h. Objektivitas
i. Keterukuran
j. Dapat dipahami
k. Kelengkapan

 Kerangka Kerja Jaminan Teknologi Informasi

ITAF dimaksudkan sebagai model praktik yang baik dan komprehensif

a. Memberikan panduan mengenai desain, pelaksanaan dan pelaporan audit TI

b. Mendefinisikan istilah dan konsep yang spesifik untuk asurans TI
c. Menetapkan standar untuk peran dan tanggung jawab profesional audit dan
asurans TI
 Alat dan Teknik Audit dan Assurance
a. ISACA telah mengembangkan standar yang memberikan contoh-contoh
proses yang dapat diikuti oleh auditor IS
b. Dokumen alat dan teknik memberikan informasi tentang bagaimana
memenuhi standar selama audit, tetapi tidak menetapkan persyaratan
 Hubungan Antara Standar, Pedoman, serta Alat dan Teknik
a. Standar ISACA harus diikuti oleh auditor
b. Pedoman memberikan bantuan tentang bagaimana auditor dapat menerapkan
standar
c. Alat dan teknik bukan merupakan panduan lengkap bagi auditor, namun
dimaksudkan sebagai contoh langkah-langkah yang dapat diikuti oleh auditor
9. ITAF Information Technology Assurance
Performance standards ITAF (Information Technology Assurance Framework)
adalah harapan dasar yang harus diikuti selama kontrak penjaminan ITE dan
mencakup perencanaan, supervisi, pengadaan bukti yang cukup, penugasan yang
sesuai, dan pelaporan yang tepat. Secara umum, performa standar ini berfokus pada
konduktivitas yang harus dilakukan selama kegiatan audit dan penjaminan IT.

1. Perencanaan : Standar kinerja ini menekankan pentingnya perencanaan yang

matang sebelum melakukan audit atau penjaminan IT. Hal ini mencakup
identifikasi risiko, penetapan tujuan, dan pengembangan rencana kerja yang
efektif.
 2. Supervisi: Standar kinerja ini mengharuskan adanya pengawasan yang
memadai selama pelaksanaan audit atau penjaminan IT. Dalam hal ini, auditor
harus memastikan bahwa tim yang terlibat memiliki kompetensi yang
memadai dan bahwa tugas-tugas dilaksanakan sesuai dengan standar yang
ditetapkan.
3. Pengadaan Bukti: Standar kinerja ini menuntut auditor untuk mengumpulkan
bukti yang cukup dan relevan untuk mendukung temuan dan kesimpulan
mereka. Bukti-bukti ini harus diperoleh melalui metode yang valid dan dapat
diandalkan.
4. Penugasan yang Sesuai: Standar kinerja ini menekankan pentingnya
penugasan yang sesuai kepada auditor. Auditor harus memiliki pengetahuan,
keahlian, dan pengalaman yang relevan dalam melakukan audit atau
penjaminan IT.
5. Pelaporan yang Tepat: Standar kinerja ini mengharuskan auditor untuk
menyajikan temuan dan kesimpulan mereka secara jelas dan akurat dalam
laporan audit. Laporan harus mencakup informasi yang relevan, serta
rekomendasi yang dapat membantu entitas yang diaudit dalam meningkatkan
sistem dan proses mereka.
6. Secara keseluruhan, performance standards ITAF (Information Technology
Assurance Framework) memberikan kerangka kerja yang komprehensif bagi
auditor dalam melaksanakan audit dan penjaminan teknologi informasi.
Dengan mengikuti standar kinerja ini, auditor dapat memastikan bahwa proses
audit dilakukan dengan tepat, menghasilkan temuan yang akurat, dan
memberikan nilai tambah bagi entitas yang diaudit.
10. IT Assurance Guidelines

Pedoman Asurans TI (Bagian 3000):

1. Bagian 3210 - Implikasi kebijakan, praktik, dan standar perusahaan pada

fungsi TI
2. Bagian 3230 - Implikasi dari inisiatif asurans di seluruh perusahaan pada
fungsi TI
3. Bagian 3250 - Implikasi dari inisiatif asurans skala perusahaan pada rencana
dan aktivitas asurans TI
 4. Bagian 3270 - Isu-isu tambahan pada tingkat perusahaan dan dampaknya
terhadap fungsi TI

Pedoman Asurans TI (Bagian 3000):

1. Proses-proses manajemen TI:

2. Proses manajemen TI: Bagian ini memberikan panduan bagi profesional audit
dan asurans TI yang memiliki pemahaman tentang jenis-jenis manajemen dan
operasi TI
3. Pedoman ini dapat membantu dalam perencanaan dan cakupan kegiatan
asurans TI
4. Pedoman ini juga dapat memberikan wawasan tentang praktik dan prosedur
departemen TI
5. Pedoman ini akan berfokus pada perencanaan, pengorganisasian, dan
penyusunan strategi kegiatan departemen TI

Pedoman Asurans TI (Bagian 3000):

1. Bagian 3410 - Tata kelola TI

2. Bagian 3412 - Menentukan dampak dari inisiatif perusahaan terhadap
aktivitas asurans TI
3. Bagian 3415 - Menggunakan hasil kerja ahli lain dalam melakukan kegiatan
asurans TI
4. Bagian 3420 - Manajemen proyek TI
5. Bagian 3425 - Strategi informasi TI
6. Bagian 3427 - Manajemen informasi TI
7. Bagian 3430 - Rencana dan strategi TI
8. Bagian 3450 - Proses TI
9. Bagian 3470 - Manajemen risiko TI
10. Bagian 3490 - Dukungan TI terhadap kepatuhan terhadap peraturan

11. IT Assurance Guidelines

a. Panduan ini memberikan informasi tentang tindakan eksekutif, kejadian
eksternal, dan keputusan yang dapat mempengaruhi departemen IT. Hal ini
sangat penting karena topik enterprise mencakup isu-isu organisasi secara
menyeluruh yang dapat memengaruhi profesional audit TI.
b. Pentingnya memahami jenis operasi manajemen TI dan bagaimana panduan
ini dapat membantu perencanaan dan strategi aktivitas departemen IT.
Panduan ini juga membahas pentingnya memahami jenis operasi manajemen
TI dan panduan untuk perencanaan dan penjaminan TI.
c. Panduan IT Assurance sangat penting untuk membantu profesional audit dan
jaminan TI memahami isu-isu organisasi secara menyeluruh yang dapat
memengaruhi departemen IT dan memberikan panduan untuk perencanaan
dan strategi aktivitas departemen IT. Panduan ini juga membantu dalam
pemahaman proses manajemen IT dan memberikan panduan untuk
perencanaan dan strategi aktivitas departemen IT.