makalah audit teknologi sistem informasi · tidak bekerja untuk proyek, ... contoh penting...
TRANSCRIPT
MAKALAH AUDIT TEKNOLOGI SISTEM
INFORMASI
(AUDIT INTERNAL, AUDIT EKSTERNAL DAN TIPE AUDIT)
Disusun Oleh :
1. Erlin Novianty (1C114791)
2. Rizky Noer Muhammad (19114707)
3. Robi Haris (19114756 )
4. Tri Kartika Sari (1A114835)
5. Wida Ramadanti (1C114202)
Dosen : Lily Wulandari
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
JURUSAN SISTEM INFORMASI
2017
ii
KATA PENGANTAR
Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Panyayang,
Kami panjatkan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah,
dan inayah-Nya sehingga kami dapat menyelesaikan makalah yang berjudul “AUDIT
INTERNAL, AUDIT EKSTERNAL DAN TIPE AUDIT” dengan mata kuliah Softskill yaitu
Audit Teknologi Sistem Informasi..
Makalah ini telah disusun dengan maksimal dan mendapatkan bantuan dari berbagai
pihak sehingga pembuatan makalah ini dapat berjalan dengan lancar dan selesai tepat pada
waktu. Untuk itu Kami menyampaikan terima kasih kepada semua pihak yang telah
membantu dalam pembuatan makalah ini.
Terlepas dari semua itu, Kami menyadari sepenuhnya bahwa makalah ini masih jauh
dari sempurna dan ada kekurangan baik dari segi penyusunan kalimat, tata bahasa ataupun
makalah ini belum memuat secara lengkap mengenai apa yang dibahas. Oleh karena itu
dengan tangan terbuka Kami menerima segala kritik dan saran dari pembaca agar makalah ini
dapat diperbaiki.
Akhir kata kami berharap semoga makalah ini dapat dimengerti dan memberikan
manfaat maupun inpirasi terhadap pembaca. Wasallam.
Bekasi, November 2017
Penyusun
iii
DAFTAR ISI
Hal
Kata Pengantar ........................................................................................................................... ii
Daftar Isi ................................................................................................................................... iii
1. AUDIT INTERNAL ...................................................................................................... 1
1.1 Kemandirian dan Objektivitas ................................................................................. 1
1.2 Menetapkan program audit TI ................................................................................. 2
1.3 Piagam Program Audit Internal ............................................................................... 3
1.4 Tanggung Jawab Program Audit Internal ................................................................ 3
1.5 Manfaat Audit Internal TI ........................................................................................ 4
1.6 Tantangan Audit Internal ......................................................................................... 5
1.7 Auditor Internal ........................................................................................................ 5
1.8 Bahan Sumber yang Relevan ................................................................................... 6
2. AUDIT EKSTERNAL ................................................................................................... 6
2.1 Aspek Operasional Audit Eksternal ......................................................................... 7
2.2 Peran dan Tanggung Jawab untuk Audit Eksternal ................................................. 8
2.3 Kemandirian dalam Audit Eksternal ...................................................................... 10
2.4 Partisipasi Organisasi dalam Audit Eksternal ........................................................ 11
2.5 Eksternal TI Ruang Lingkup Audit dan Alasan ..................................................... 11
2.6 Manfaat Audit Eksternal ........................................................................................ 12
2.7 Keuntungan dibandingkan Audit Internal .............................................................. 12
2.8 Tantangan Audit Eksternal .................................................................................... 13
2.9 Auditor Eksternal ................................................................................................... 14
3. TIPE AUDIT ................................................................................................................ 18
3.1 Audit Keuangan ..................................................................................................... 20
3.2 Akuntansi Biaya ..................................................................................................... 22
3.3 Audit Terprogram .................................................................................................. 23
3.4 Audit Operasional .................................................................................................. 24
3.5 Audit Sertifikasi ..................................................................................................... 26
3.6 Audit Kepatuhan .................................................................................................... 28
3.7 Audit Khusus untuk IT........................................................................................... 31
iv
Kesimpulan .............................................................................................................................. 33
Daftar Pustaka .......................................................................................................................... 34
1
1. AUDIT INTERNAL
Tujuan dan cakupan audit TI, dan prosedur yang digunakan untuk
melaksanakannya, berbeda secara signifikan untuk audit internal dibandingkan dengan audit
eksternal. Institut untuk Auditor Internal mencakup definisi formal audit internal sebagai
bagian dari Kerangka Kerja Praktek Profesional Internasional (IPPF): "Audit internal adalah
independen, assurance objektif dan kegiatan konsultasi yang dirancang untuk menambah nilai
dan memperbaiki operasi organisasi Ini membantu organisasi mencapai tujuannya dengan
membawa pendekatan sistematis dan disiplin untuk mengevaluasi dan memperbaiki
efektivitas proses manajemen, pengendalian, dan tata kelola risiko”.
Perbedaan antara audit internal dan eksternal jauh melampaui organisasi dan auditor
mereka yang bertanggung jawab untuk melakukan audit. Audit internal mencerminkan
kebijakan dan program organisasi perspektif tentang apa yang harus di audit dan bagaimana
berbagai jenis audit dilakukan, seperti serta pengetahuan materi pelajaran yang berlaku untuk
setiap organisasi dan jenisnya Audit TI itu kinerjanya. Standar dan praktik audit yang
ditetapkan secara garis besar seperti Standar Audit yang Diterima Umum (GAAS) dan
Standar Internasional pada PT Auditing (ISA) seperti yang bisa diterapkan pada audit TI
karena keuangan atau audit operasional yang lebih umum.
Audit internal sebagai kemampuan organisasi Baik praktik audit internal eksternal
maupun internal bergantung pada prosedur yang ditetapkan secara formal dilaksanakan oleh
auditor yang cakap dengan pengetahuan dan domain organisasi yang memadai keahlian untuk
secara efektif melaksanakan berbagai jenis audit sebuah organisasi kebutuhan.
1.1 Kemandirian dan objektivitas Kemandirian adalah kebebasan dari bias, kontrol dari luar, atau otoritas yang, dalam
konteks audit internal, memastikan bahwa program audit tidak bertanggung jawab atas juga
tidak memperhatikan bagian-bagian organisasi yang diaudit dan, juga, individu itu auditor
tidak bekerja untuk proyek, fungsi operasional, atau unit bisnis yang mereka audit.
Kemandirian adalah prinsip utama kebanyakan standar auditing, pedoman praktik, dan kode
etik yang ditentukan oleh asosiasi profesi dan organisasi pengembangan standar auditrelated.
Contoh penting meliputi:
2
• Standar umum kedua di GAAS, menyatakan bahwa "Dalam semua hal yang berkaitan
Untuk tugas tersebut, independensi dalam sikap mental harus dipelihara oleh auditor
atau auditor ".
• ISA yang dikeluarkan oleh Dewan Standar Audit dan Penjaminan Internasional
(IAASB) menekankan pentingnya menjaga baik sikap maupun kemunculan
kemerdekaan, sebagai independensi auditor "melindungi auditor kemampuan
membentuk opini audit tanpa dipengaruhi oleh pengaruh yang mungkin kompromi
pendapat itu ".
• Standar atribut 1110 di Institut Auditor Internal (IIA) Internasional Standar untuk
Praktik Profesional Audit menetapkan bahwa, "internal Aktivitas audit harus
independen, dan auditor internal harus objektif melakukan pekerjaan mereka ".
• Kemandirian adalah salah satu prinsip audit dalam ISO 19011: "Auditor harus bebas
dari aktivitas yang diaudit jika memungkinkan, dan harus masuk semua kasus
bertindak dengan cara yang bebas dari bias dan benturan kepentingan ".
Dalam prakteknya, keunggulan di banyak standar audit dan sumber panduan berarti
bahwa banyak organisasi dan auditor mereka berkewajiban untuk memastikan bahwa
Program audit internal mencerminkan independensi dan tingkat struktural yang sesuai
objektivitas.
1.2 Menetapkan program audit TI Program audit adalah departemen, unit bisnis, atau fungsi yang didefinisikan secara
formal dalam sebuah organisasi yang bertanggung jawab untuk merencanakan,
melaksanakan, dan melaporkan hasil semua kegiatan audit internal. Ruang lingkup operasi
untuk audit internal Program biasanya terdiri dari semua jenis audit yang dilakukan oleh
organisasi, termasuk audit operasional keuangan dan non-TI serta audit pengendalian,
prosedur, lingkungan, dan kemampuan.
Program audit internal beroperasi di bawah pengawasan Chief Executive Audit
(CAE) dan melaporkan melalui CAE ke komite audit organisasi tersebut Jajaran direktur.
Komite audit di banyak organisasi besar bertanggung jawab untuk mengawasi keduanya
kegiatan audit eksternal dan internal, terlepas dari berapa banyak bisnis yang berbeda unit
atau fungsi memiliki tanggung jawab untuk melakukan atau mendukung berbagai jenis audit
CAE yang biasanya terdiri dari beberapa manajer audit dan kelompok auditor dengan
3
keahlian khusus yang sesuai untuk melakukan berbagai jenis audit internal yang dibutuhkan
oleh organisasi.
Karakterisasi umum program audit internal dan struktur pelaporannya terutama
berasal dari konteks perusahaan publik saat ini yang berlaku untuk hal tersebut Organisasi
mensyaratkan, sebagai syarat pencatatan pada bursa yang diatur, adanya komite audit di
dewan direksi dan mandat eksternal dan pemeriksaan internal pengendalian internal dengan
hasil yang dilaporkan ke komite audit.
1.3 Piagam program audit internal Piagam program audit menggambarkan tujuan program audit internal, termasuk
kebutuhan eksternal dan internal yang ditujukan untuk alamat dan, di khususnya, hubungan
antara program audit dan tata kelola, manajemen risiko, kepatuhan, dan fungsi manajemen
perusahaan lainnya. Piagam program audit dan panduan terkait dalam pembuatan piagam
tersedia untuk umum dari kalangan profesional asosiasi seperti IIA atau ISACA. Isi yang
disarankan untuk piagam program audit mencakup pernyataan tujuan, wewenang, dan
komitmen yang jelas terhadap independensi dan objektivitas; deskripsi peran dan tanggung
jawab termasuk melaporkan hubungan dalam organisasi; penggambaran ruang lingkup
kegiatan program audit; penjelasan struktur operasi dasar; dan standar, kerangka kerja, atau
pedoman yang secara eksplisit diadopsi atau dipatuhi oleh program audit. Piagam audit
biasanya menggambarkan peran dan tanggung jawab untuk fungsi atau personil di luar
program audit, termasuk membuat titik kontak untuk komunikasi program ke manajemen dan
departemen, atau unit bisnis bertanggung jawab atas aspek organisasi yang akan diaudit.
1.4 Tanggung jawab program audit internal Sebagai fungsi organisasi yang mengelola dan melakukan IT dan jenis lainnya
audit, tanggung jawab program audit internal meliputi pembuatan dan melaksanakan
keseluruhan strategi audit untuk organisasi dan, berpotensi, strategi spesifik domain atau
rencana untuk TI, operasional, dan kepatuhan dan jenis lainnya. Audit internal Strategi audit
menyatakan tujuan dan sasaran yang ingin dicapai oleh program audit internal dan
menentukan hasil atau metrik kinerja untuk mengukur keberhasilan program dalam mencapai
tujuannya. Strategi audit dapat menjelaskan proses dan kriteria yang digunakan keputusan
organisasi dibuat tentang apa yang harus di audit dan kapan. Rencana audit mencerminkan
4
penerapan kriteria prioritas untuk menetapkan seperangkat kegiatan audit itu akan dilakukan
selama periode rencana.
Program audit mengembangkan atau memilih metodologi audit, prosedur, dan
protokol yang akan digunakan di setiap jenis audit yang perlu dilakukan organisasi.
Hasil audit internal biasanya didokumentasikan dalam laporan formal dan
dikomunikasikan kepada eksekutif organisasi yang bertanggung jawab atas program audit
dan komite audit CAE bertanggung jawab untuk menyediakan laporan status atau update
pada kegiatan audit internal kepada komite audit untuk memfasilitasi pemantauan dan
pengawasan efektif program audit internal oleh panitia.
1.5 Manfaat audit internal TI Berbeda dengan fokus kepatuhan banyak jenis audit eksternal, audit internal
sebagian besar didorong oleh keinginan organisasi untuk menemukan kelemahan operasional,
menemukan penyimpangan dari kebijakan atau standar yang ada, menilai keefektifan, dan
mengidentifikasi peluang untuk memperbaiki proses dan kemampuan operasional jika
memungkinkan. Di luar persyaratan audit internal wajib yang berlaku untuk banyak
perusahaan publik, alasan untuk menetapkan dan beroperasi kemampuan audit internal TI
biasanya mencakup tujuan seperti:
• mendukung tata kelola perusahaan TI, manajemen risiko, dan kepatuhan program;
• memverifikasi kepatuhan terhadap kebijakan, prosedur, dan prosedur yang ditetapkan
secara organisasi standar;
• memenuhi persyaratan untuk mencapai atau mempertahankan kematangan proses,
kualitas manajemen, atau sertifikasi pengendalian internal;
• menambahkan formalitas ke atau meningkatkan ketepatan proses self-assessment dan
kegiatan; dan
• mempersiapkan atau "membayangi" audit eksternal yang diantisipasi.
Meskipun audit internal TI sering membutuhkan investasi yang besar sumber daya,
di banyak organisasi, manfaat potensial yang harus direalisasikan dari pelaksanaan audit TI
yang efektif dan terkelola dengan baik membenarkan komitmen sumber daya.
Dibandingkan dengan audit eksternal, organisasi memiliki lebih banyak fleksibilitas
untuk struktur program audit internal TI mereka agar sesuai dengan kebutuhan organisasi.
Dalam audit TI konteks dimana kedua audit internal dan eksternal berlaku, beberapa
5
organisasi mungkin lebih memilih untuk melepaskan audit internal dan alih-alih
mengandalkan kerja auditor eksternal untuk memberikan informasi tentang operasi, kontrol,
atau kepatuhan TI mereka.
1.6 Tantangan audit internal Meski banyak potensi manfaatnya berakar pada organisasi yang efektif kemampuan
audit TI internal, tidak semua organisasi memiliki sumber daya yang cukup untuk
mendedikasikan staf untuk melakukan audit, atau melakukannya dengan cara yang mencakup
semua area dalam sebuah organisasi yang membutuhkan audit. Bagi beberapa organisasi
terutama termasuk banyak perusahaan publik - audit internal harus ada, memaksa organisasi
semacam itu untuk menemukan cara mengatasi tantangan keterbatasan sumber daya. Biaya
yang terkait dengan beberapa jenis audit internal wajib adalah sumber keberatan umum
terhadap persyaratan tersebut. Selain biaya sumber daya yang terkait dengan audit TI internal,
tantangan lainnya mencakup keahlian yang signifikan yang dibutuhkan oleh auditor internal
dan kurangnya independensi atau independensi kegiatan audit internal, khususnya di
Indonesia organisasi yang lebih kecil.
1.7 Auditor internal Bab 1 memberikan deskripsi singkat tentang beragam pendidikan dan profesional
latar belakang dan jalur pengembangan karir beberapa auditor TI. Internal IT auditor sering
memiliki pekerjaan awal yang substansial dalam teknologi informasi, baik itu pengalaman
mencakup pengetahuan TI yang luas yang mencakup beberapa domain atau bidang keahlian
yang lebih khusus. Pengetahuan khusus TI diperlukan untuk memahami TI kriteria audit dan
dapat membandingkannya dengan implementasi, konfigurasi, dan rincian operasi dan
pemeliharaan sistem dan teknologi IT. Tambahan Keterampilan TI mungkin diperlukan untuk
benar menjalankan prosedur pengujian atau menerapkan pemeriksaan metodologi yang
digunakan dalam berbagai jenis audit TI. Topik pokok bahasan dengan mana auditor internal
TI harus familiar meliputi:
• Domain bisnis dan proses terkait yang didukung oleh sistem TI;
• Tata kelola data, proses pengelolaan data, backup data dan restorasi, dan teknologi
penyimpanan;
• Kebijakan dan prosedur TI;
• Proses operasi dan pemeliharaan;
6
• Proses dan proses siklus hidup pengembangan sistem;
• Arsitektur aplikasi, sistem, dan keamanan;
• sistem operasi komputer;
• Tata kelola dan proses pengelolaan dan pengelolaan sumber daya manusia;
• Tipe dan penerapan pengendalian internal;
• Manajemen proses TI atau model manajemen keamanan; dan
• Standar dan kriteria sertifikasi yang terkait dengan TI.
Keterampilan audit TI seringkali dapat dikembangkan di tempat kerja, terutama di
organisasi dengan program audit internal yang memiliki sumber daya yang cukup untuk
menugaskan tim auditor dengan berbagai tingkatan pengalaman untuk tugas audit tertentu.
Salah satu tantangan bagi personil audit TI adalah sebanyak itu pedoman yang tersedia
mengenai standar, prinsip, dan praktik audit mencakup audit internal secara keseluruhan
tanpa mempertimbangkan pertimbangan yang spesifik untuk audit TI.
Organisasi tanpa sumber internal yang memadai untuk mengaudit audit internal
mereka program mungkin akan lebih praktis untuk melibatkan penggunaan kontraktor dari
luar merekrut, mempekerjakan, atau melatih karyawan mereka sendiri.
1.8 Bahan sumber yang relevan Auditor TI internal mengandalkan standar auditing dan panduan umum dan juga
referensi khusus IT sesuai dengan subyek audit TI yang mereka lakukan dan pendekatan atau
perspektif organisasi yang digunakan oleh program audit TI. GAAS dan ISA memberikan
prinsip dan praktik yang berlaku untuk semua jenis audit. Pedoman dan standar prosedural
yang secara khusus difokuskan pada audit internal meliputi:
• Standar Internasional IIA untuk Praktik Profesional Audit Internal.
• Standar ISACA untuk Audit dan Assurance dan panduan audit program.
2. AUDIT EKSTERNAL Dua karakteristik utama membedakan audit eksternal dari audit internal, dilakukan
oleh auditor luar dan perusahaan audit dan standarnya, persyaratan, atau kriteria audit
lainnya. Beberapa badan standar dan asosiasi profesional selanjutnya membagi audit
eksternal ke audit pihak kedua dan pihak ketiga, yang pertama dilakukan oleh pelanggan atau
pemasok atau pihak lain dengan kepentingan operasi organisasi subjek dan yang terakhir
7
dilakukan oleh organisasi independen dengan tidak ada kepentingan langsung dalam
organisasi yang menjalani audit. Yang paling menonjol ini adalah serangkaian alasan yang
lebih terbatas karena organisasi menjalani audit TI eksternal, termasuk kepatuhan hukum dan
peraturan, sertifikasi, penjaminan mutu, atau verifikasi dari informasi yang dilaporkan sendiri
atau dibuktikan oleh organisasi untuk berbagai hal tujuan.
Sifat partisipasi organisasi dalam audit TI eksternal juga cukup berbeda dengan audit
internal, sebagai tanggung jawab utama organisasi dan personilnya yang bekerja di daerah
yang terkena audit eksternal adalah memfasilitasi pekerjaan dari auditor eksternal dan
mendukung penyelesaian yang akurat dan efisien audit. Proses audit, prosedur, dan
metodologi yang digunakan oleh auditor eksternal juga biasanya diketahui subjek audit dan
mungkin merupakan faktor dalam pemilihan audit dimana organisasi memiliki pilihan untuk
memilih eksternal mereka auditor.
2.1 Aspek operasional audit eksternal
Organisasi menjalani audit eksternal paling sering digunakan untuk memenuhi
persyaratan hukum atau demonstrasi kepatuhan peraturan. Karena audit eksternal dilakukan
oleh perusahaan dan individu auditor dari luar organisasi, sifat partisipasi organisasi manajer
dan staf jauh berbeda dari audit internal. Umumnya, sebuah organisasi yang diaudit
menyiapkan materi dan mengalokasikan sumber daya yang diinginkan untuk memudahkan
penyelesaian audit eksternal. Tidak seperti audit internal yang biasanya dikelola oleh program
audit terpusat yang terorganisir di bawah pengawasan audit eksekutif audit eksternal
melibatkan berbagai sudut manajemen, koordinasi, dan dukungan dalam suatu organisasi.
Dalam kasus di mana organisasi melibatkan auditor eksternal yang memiliki keahlian
atau keahlian dalam bidang keahlian kurangnya auditor internal organisasi, temuan audit
eksternal dapat menggantikan atau tidak tergabung dalam laporan audit internal. Hasil audit
eksternal juga dapat berfungsi sebagai sebuah garis dasar bagi organisasi untuk menilai
tindakan perbaikan yang dilakukan untuk memperbaiki identifikasi kelemahan, baik dalam
persiapan untuk audit eksternal masa depan atau untuk menunjukkan relevansi atau nilai audit
eksternal terhadap organisasi.
8
Gambar 4.1 Tanggung jawab organisasi untuk audit eksternal terbagi secara khas antara
independen komite audit dewan direksi dan personil manajemen internal seperti eksekutif
audit, direktori penjamin mutu, atau petugas kepatuhan.
2.2 Peran dan tanggung jawab untuk audit eksternal
Peran dan tanggung jawab utama dalam audit eksternal terbagi di antara organisasi,
dewan direksi atau badan pemerintahan lainnya, dan organisasi audit eksternal dan auditor
yang melakukan audit organisasi. Tanggung jawab untuk aktor yang berbeda dalam proses
audit eksternal sangat bergantung pada jenis audit yang terlibat dan, khususnya, apakah ada
persyaratan peraturan yang menentukan peran dan tanggung jawab.
Audit eksternal terhadap pengendalian internal, termasuk pengendalian TI, mendapat
keuntungan besar banyak perhatian di antara banyak organisasi, auditor, dan pengamat
kasual. Banyak organisasi terlibat dalam audit eksternal yang didorong oleh peraturan lainnya
persyaratan atau kebijakan, strategi, dan tujuan internal yang didorong oleh internal. Kunci
pertimbangan untuk organisasi adalah memastikan manajemen internal atau pengawasan
personil memiliki pengetahuan domain yang cukup dan keahlian yang relevan untuk
sepenuhnya mengerti dan secara efektif mengawasi keterlibatan audit eksternal.
9
Tabel 4.1 Peran dan tanggung jawab untuk audit eksternal
PERAN TANGGUNG JAWAB Manajemen Eksekutif Komite Audit Direksi Chief Executive Audit Petugas Kepatuhan
● Anggota kunci dari tim manajemen biasanya duduk di dewan direksi dan bagian tersebut tanggung jawab untuk mempertimbangkan dan menanggapi temuan audit eksternal ● CEO dan CFO perlu mengesahkan secara formal akurasi laporan auditor eksternal dalam kasus audit keuangan atau peraturan ● Tim manajemen menyetujui anggaran dan alokasi sumber daya untuk beberapa jenis audit eksternal, termasuk memberi wewenang kepada organisasi untuk mencari berbagai jenis sertifikasi ● Subset dewan direksi, biasanya terdiri dari hanya direksi independen ● Menyediakan pengawasan audit eksternal, khususnya audit yang diperlukan untuk kepatuhan terhadap peraturan ● Memilih auditor eksternal atau menyetujui pilihan rekomendasi dari tim manajemen ● Diperlukan untuk perusahaan publik di bawah Sarbanes-Oxley Act dan EU Directive 2006/43 / EC ● Mempertimbangkan laporan audit dan rekomendasi dan membuat keputusan mengenai tindakan yang harus diambil sebagai tanggapan untuk mengaudit temuan ● Sejajarkan fungsi audit internal dengan audit eksternal kebutuhan ● Melapor langsung ke komite audit ● Bertanggung jawab untuk memastikan pencapaian dan pemeliharaan kepatuhan organisasi dengan standar eksternal yang berlaku atau sertifikasi
10
Auditor Eksternal Staf Organisasi
● Melakukan audit yang mewakili audit yang dipilih perusahaan, biasanya sebagai bagian dari tim tergantung jenisnya dan lingkup kegiatan audit yang dibutuhkan ● Mengembangkan dan memelihara pengetahuan dan keahlian materi pelajaran yang relevan dengan jenis audit dilakukan ● Laporan kepada auditor utama, mitra audit, atau lainnya anggota manajemen perusahaan audit eksternal ● Memfasilitasi pelaksanaan pengadaan audit eksternal akses ke auditor sesuai kebutuhan, berpartisipasi dalam wawancara, dan persiapan dan penyempurnaan dokumentasi atau bukti lainnya.
2.3 Kemandirian dalam audit eksternal
Independensi auditor yang berarti independensi kedua perusahaan untuk melakukan
audit merupakan aspek sentral audit eksternal yang menekankan pentingnya auditor
independensi dan objektivitas terhadap audit internal. Selain hubungan kontrak dan keuangan
antara sebuah organisasi dan auditor eksternal, menjaga independensi eksternal Auditor
adalah persyaratan yang ketat dalam kebanyakan bentuk audit yang legal dan peraturan.
Kegiatan terlarang terdiri dari bisnis dan teknologi informasi layanan termasuk:
1. Pembukuan atau layanan lainnya yang terkait dengan catatan akuntansi atau keuangan
pernyataan klien audit;
2. Perancangan dan implementasi sistem informasi keuangan;
3. Penilaian atau penilaian, opini keadilan, atau kontribusi-in-kind laporan;
4. Jasa aktuaria;
5. Jasa outsourcing audit internal;
6. Fungsi manajemen atau sumber daya manusia;
7. Broker atau dealer, penasihat investasi, atau investment banking;
8. Layanan hukum dan layanan ahli yang tidak terkait dengan audit;
11
9. Layanan lain yang ditentukan oleh Dewan, dengan peraturan, tidak diperbolehkan
2.4 Partisipasi organisasi dalam audit eksternal
Meskipun organisasi yang tunduk pada audit eksternal tidak melakukan audit, mereka
berpartisipasi dalam berbagai proses dan kegiatan yang berkaitan dengan perencanaan,
proses, menyetujui, dan menanggapi audit eksternal. Aktivitas perwakilan termasuk dalam
tiga fase yang umum untuk hampir semua metodologi audit, melakukan audit, dan
melaporkan hasil audit.
Dengan mengembangkan pemahaman menyeluruh tentang persyaratan audit,
organisasi dapat memilih auditor dengan kualifikasi, kompetensi, independensi, dan
pengalaman untuk setiap jenis audit eksternal dan mempersiapkan staf internal dan
pembuktian bahan yang dibutuhkan untuk mendukung audit tersebut. Setelah audit eksternal
dilakukan telah dilakukan, organisasi (atau komite audit atau badan pengatur lainnya)
menerima hasil yang didokumentasikan dan menentukan apakah akan menerima temuan
sebagai disajikan atau, jika ada, mengajukan banding atas temuan tersebut. Untuk banyak
jenis audit peraturan, satu atau lebih eksekutif organisasi perlu menandatangani laporan audit
akhir sebelum diserahkan ke regulator atau audiens eksternal lainnya. Setelah eksternal Audit
selesai, organisasi menanggapi temuan audit yang diperlukan dengan perbaikan tindakan
untuk memperbaiki kelemahan yang diidentifikasi dalam audit.
2.5 Eksternal TI ruang lingkup audit dan alasan
Ruang lingkup audit eksternal TI yang dilakukan untuk organisasi terdiri dari
keduanya jenis audit wajib dan sukarela, masing-masing sesuai dengan perbedaan pembalap,
pembenaran, dan sumber motivasi organisasi. Sifat wajib dari audit ini memberikan alasan
utama, bersamaan dengan seperangkat peraturan dan penegakan hukum mekanisme regulator
atau badan pengawas digunakan untuk memastikan kepatuhan oleh organisasi seperti
perusahaan publik. Organisasi sering mengejar secara sukarela jenis audit TI eksternal untuk
melengkapi atau mengganti audit internal di Indonesia dukungan manajemen, risiko, atau
manajemen mutu atau untuk memberikan bukti yang obyektif efektivitas operasional yang
dapat meningkatkan posisi kompetitif dalam suatu industri, memperkuat reputasi pasar,
memfasilitasi kemitraan bisnis atau peluang lainnya, atau menambah nilai pemegang saham.
Selain kepatuhan hukum dan peraturan, lainnya alasan umum yang mempengaruhi organisasi
untuk terlibat dalam audit TI eksternal meliputi mencapai sertifikasi organisasi, menunjukkan
12
kematangan operasional proses atau kemampuan, melakukan due diligence, atau membangun
pelabuhan yang aman.
Istilah due diligence umumnya mengacu pada usaha apa pun yang berusaha untuk
diperiksa atau memvalidasi keakuratan informasi tentang seseorang atau organisasi. Banyak
jenis audit, termasuk audit TI, dapat digunakan untuk mendukung investigasi untuk due
diligence ruang lingkup audit tersebut dapat mencakup pemeriksaan praktik operasional atau
manajemen, kepatuhan terhadap kebijakan, kepatuhan dengan peraturan perundang-undangan
yang berlaku, dan penyediaan kontrol informasi yang memadai sistem. Pelabuhan aman
adalah prinsip hukum yang tergabung dalam beberapa undang-undang dan peraturan yang
memungkinkan organisasi yang mungkin tidak memenuhi persyaratan undang-undang atau
peraturan agar tidak dianggap melanggar jika sesuai standar eksplisit dan bertindak dengan
itikad baik.
2.6 Manfaat audit eksternal
Audit eksternal adalah biaya melakukan bisnis di banyak industri dan sektor, untuk TI
dan kontrol terkait seperti halnya pelaporan keuangan dan akuntansi praktek. Dari perspektif
ini, menjalani dan memberikan audit eksternal nilai bagi organisasi yang diaudit hanya
dengan berhasil menyelesaikan proses audit seperti yang dipersyaratkan. Selain membantu
memastikan kepatuhan organisasi dengan yang berlaku hukum, peraturan, dan standar, audit
eksternal menawarkan berbagai manfaat lainnya. Audit TI eksternal memberikan tinjauan
independen dan analisis pengendalian internal dan proses operasional yang dapat dianggap
lebih kredibel daripada sebanding audit internal, bahkan ketika proses dan kriteria audit yang
sama digunakan. Kredibilitas ini meluas ke verifikasi atau validasi temuan audit internal atau
hasil dimana audit eksternal dapat memeriksa rencana, prosedur, dan protokol audit
organisasi menggunakan program audit internalnya dan juga kepuasannya kriteria audit.
2.7 Keuntungan dibandingkan audit internal
Ada banyak jenis audit TI seperti yang dimaksudkan untuk menentukan peraturan
kepatuhan atau mencapai sertifikasi yang tidak dapat dilakukan sebagai audit internal dan
oleh karena itu harus menggunakan auditor eksternal. Bahkan di mana kebutuhan untuk
terlibat eksternal Auditor tidak ada, beberapa organisasi menganggap audit eksternal lebih
baik untuk audit internal karena adanya kelebihan yang diduga tentang tingkat organisasi
keterlibatan yang dibutuhkan, tuntutan sumber daya internal, keandalan temuan audit dan
13
keterampilan auditor, kompetensi, atau keahlian khusus. Audit eksternal belum tentu Butuh
waktu lebih sedikit untuk menyelesaikan daripada audit internal, namun peran dan tanggung
jawabnya organisasi yang diaudit seringkali jauh lebih sedikit daripada mereka audit internal
lingkup sebanding. Organisasi juga bisa mengandalkan auditor eksternal menetapkan
persyaratan atau kriteria audit yang akan digunakan atau untuk diketahui persyaratan yang
terkait dengan standar atau kriteria sertifikasi. Kombinasi kualifikasi auditor eksternal,
pengalaman sebelumnya tampil serupa jenis audit, dan penggunaan audit berbasis standar
atau yang didefinisikan secara formal Kriteria juga dapat membantu memastikan keandalan
dan validitas temuan audit eksternal.
2.8 Tantangan audit eksternal
Baik audit internal eksternal maupun internal TI memiliki keunggulan yang melekat
dalam hal biaya atau manfaat yang diantisipasi. Untuk berbagai jenis audit TI, eksternal dan
internal Pendekatan audit mungkin sama mahalnya, atau masing-masing mungkin
menawarkan penghematan biaya yang lain dalam konteks yang berbeda dimana organisasi
memiliki fleksibilitas untuk memilih bagaimana audit akan dilakukan mereka biasanya perlu
membandingkan total biaya audit eksternal atau internal termasuk personil dan biaya sumber
daya lainnya, waktu untuk mempersiapkan dan menyelesaikan audit, dan setiap kontrak atau
biaya layanan yang harus dilakukan dibayarkan kepada auditor - dan nilai yang dirasakan dari
setiap pendekatan terhadap organisasi.
Lingkungan operasional - termasuk yang terkait dengan penyedia layanan eksternal
digunakan oleh sebuah organisasi, jika ada-gol kelayakan untuk mencari dan memilih auditor
eksternal eksternal yang dapat untuk audit. Semakin besar variasi lingkungan, proses, dan
sistem yang dikelola oleh organisasi atau organisasi yang lebih terspesialisasi Aspeknya,
semakin besar kemungkinan organisasi itu perlu dibagi lagi laporan keuangan / dari beberapa
auditor eksternal untuk melayani setiap jenis pemeriksaan organisasi kebutuhan. Yang lebih
kecil dan kurang beragam mungkin perlu dicari dukungan untuk atau layanan seperti
komputasi awan, analisis data berskala besar, dan penggunaannya perangkat mobile contoh,
banyak penyedia komputasi awan komersial Layanan penggunaannya perkapalan pengesahan
khusus dengan menggunakan standar yang dikeluarkan oleh American Institute for Certified
Public Accountants (AICPA) dan hasil Pengendalian Organisasi Pelayanan (SOC) yang
melaporkan adanya putusan terkait dari kontrol penyedia yang terkait dengan keamanan dan
privasi [11]. Layanan Penyedia Link langsung dengan auditor eksternal yang kompeten untuk
14
melakukan pertunangan ini dan peluncuran laporan SOC, sementara calon pelanggan layanan
saat ini penyedia layanan dapat memanfaatkan informasi dalam laporan SOC dalam audit TI
mereka sendiri.
2.9 Auditor eksternal
Audit eksternal mewakili segmen yang berbeda di pasar layanan profesional yang
terdiri dari organisasi khusus yang bisnis utamanya memberikan audit dari berbagai jenis dan
lebih banyak perusahaan jasa umum yang menawarkan audit sebagai salah satu diantara
berbagai lini bisnis Referensi untuk auditor eksternal juga dapat menunjukkan individu
bekerja untuk perusahaan jasa profesional (atau dalam beberapa kasus secara mandiri).
Dalam konteks audit peraturan, audit organisasi besar atau kompleks, atau audit dengan
Perhatian ruang lingkup yang signifikan sering kali berfokus pada perusahaan audit eksternal,
walaupun undang-undang audit dan peraturan di banyak negara memberlakukan persyaratan
pada kedua perusahaan audit dan auditor yang bekerja untuk mereka. Organisasi memilih
auditor eksternal biasanya mengevaluasi kandidat di tingkat perusahaan tetapi dapat menilai
keterampilan, pengalaman, dan kualifikasi auditor individual saat mencari penyedia untuk
bentuk khusus audit eksternal, termasuk banyak jenis audit TI. Perbedaan antara individu dan
organisasi yang menyediakan layanan audit eksternal juga relevan bila membahas sertifikasi
auditor, kualifikasi, atau prasyarat lainnya yang memungkinkan auditor eksternal untuk
melakukan audit atas nama organisasi klien. Beberapa bisnis inti organisasi memberikan
audit kepada klien, seringkali di dalam industri tertentu, wilayah geografis, atau spesialisasi
fungsional atau teknis. Hal ini juga umum untuk melihat lebih besar atau lebih beragam
organisasi yang melakukan audit eksternal disamping berbagai layanan lainnya. Dalam bisnis
yang sangat diatur domain seperti perusahaan publik, hukum saat ini tidak signifikan Kendala
jenis organisasi yang melakukan audit - selama mereka puas.
Peraturan dan persyaratan peraturan yang berlaku - namun membatasi kemampuan
diversifikasi perusahaan untuk terlibat dalam layanan nonaudit untuk organisasi yang sama
selama mereka berada melayani sebagai auditor. Undang-undang ini membahas independensi
baik untuk perusahaan audit maupun individu Auditor seperti persyaratan Sarbanes-Oxley
Act bahwa posisi tersebut mitra utama pada keterlibatan audit eksternal diputar setidaknya
setiap 5 tahun. Aturan serupa berlaku di banyak industri yang diatur, yang dimaksudkan
untuk mencegah persepsi atau konflik kepentingan aktual antara auditor dan organisasi yang
15
mereka audit. Organisasi yang tidak melakukan audit perusahaan publik namun menawarkan
jenis lainnya layanan audit eksternal mungkin kurang dibatasi dalam aktivitas spesifiknya
diizinkan tampil untuk organisasi klien, namun hampir semua organisasi menyediakannya
sertifikasi, kualitas, sistem informasi, dan audit kepatuhan mengikuti formal kode perilaku
profesional, standar etika, dan konflik mitigasi kepentingan prosedur yang dirancang untuk
menjaga objektivitas dalam audit eksternal. Banyak perusahaan audit eksternal terbesar dan
paling terkenal menyediakan beberapa jenis dari layanan audit terkait TI, terutama termasuk
sistem peraturan dan informasi audit. Organisasi yang memberikan sertifikasi, kepatuhan,
atau audit kualitas biasanya harus diakreditasi terlebih dahulu untuk melakukan jenis audit
tertentu berdasarkan standar organisasi pengembangan atau badan berwibawa lainnya yang
bertanggung jawab untuk menerbitkan dan mempertahankan dasar sertifikasi atau kepatuhan.
Akreditasi atau pengawasan badan dasarnya menyetujui organisasi lain untuk melakukan
standar berbasis atau jenis audit lainnya Untuk sertifikasi yang sering dicari seperti yang
terkait dengan standar yang dikeluarkan oleh International Organization for Standardization
(ISO), akreditasi lembaga sertifikasi dilakukan oleh nasional atau regional badan akreditasi,
bukan oleh organisasi pengembangan standar. Hasil ini dalam hubungan multipartai, seperti
yang ditunjukkan pada Gambar 4.4, antara perusahaan audit eksternal, badan pengawas yang
memberi wewenang kepada auditor eksternal untuk melakukan yang spesifik jenis audit, dan
organisasi yang melibatkan layanan auditor eksternal. Seperti halnya auditor internal, ada
banyak sumber pendidikan, keahlian, dan pengalaman sebelumnya yang memberikan latar
belakang yang sesuai bagi individu bekerja sebagai auditor eksternal. Banyak auditor TI
eksternal mendapatkan pengalaman tampil beberapa aspek audit peraturan, yang biasanya
menekankan keuangan atau operasional mengendalikan dan menangani kontrol TI dalam
konteks yang lebih luas. Untuk alasan ini, Auditor individu yang bekerja untuk perusahaan
audit eksternal sering mencari Certified Public Sertifikasi akuntan (CPA) (kredensial yang
dibutuhkan oleh banyak perusahaan audit besar auditor senior dan mitra kerja). AICPA
menentukan serangkaian kompetensi yang luas Auditor tingkat senior harus memiliki,
termasuk:
Memahami peran kontrol kualitas dan standar perilaku profesional;
Memahami layanan yang akan dilakukan termasuk kinerja, pengawasan, dan aspek
pelaporan pertunangan;
Keunggulan teknis dalam standar profesional dan industri yang berlaku dan sifat
transaksi atau proses bisnis lainnya organisasi klien mengeksekusi;
16
Keakraban dengan industri tempat klien beroperasi;
Kemampuan untuk melakukan penilaian profesional;
Memahami sistem TI organisasi.
Banyak sertifikasi khusus dan program pelatihan terkait tersedia kepada profesional audit
eksternal yang berusaha untuk meningkatkan kualifikasi mereka untuk melakukan yang
spesifik jenis audit TI memberikan contoh jenis auditor dan kualifikasi perusahaan audit yang
dipertimbangkan organisasi saat memilih auditor eksternal. Di luar sebagian besar sertifikasi
khusus domain (mis., Kualitas, kontrol TI atau informasi sistem, dan kematangan proses), ada
banyak spesialisasi untuk industri tertentu atau jenis kontrol.
• Auditor pengatur
Di banyak negara, perusahaan audit eksternal melakukan audit peraturan (juga disebut
audit perundang-undangan) pada perusahaan publik harus mendaftar dan disetujui oleh badan
pemerintahan dan pengawasan tingkat nasional sebagai prasyarat bagi organisasi melibatkan
mereka sebagai auditor eksternal. Setelah terdaftar, organisasi mencari eksternal auditor dapat
menggunakan pendaftar publik untuk menemukan perusahaan yang terdaftar seperti registri
yang dipelihara oleh PCAOB di Amerika Serikat atau Register of Statutory Auditor di
Inggris. Seperti yang diilustrasikan pada Gambar 4.4, perusahaan audit eksternal mengajukan
aplikasi ke badan pengawas yang sesuai (atau badan, jika mereka berniat untuk melakukan
audit di lebih dari satu negara) dan badan pengawas mengevaluasi apakah menerapkan
perusahaan memenuhi persyaratan hukum yang berlaku untuk mengaudit perusahaan publik.
Tabel 4.2 Kualifikasi Auditor Eksternal untuk Berbagai Jenis Audit
Kualifikasi
Audit Type Audit Firm Individual Auditors
Kontrol Keuangan Internal
Pendaftaran dengan auditor Badan
pengawas seperti itu sebagai PCAOB atau
EGAOB anggota
Sertifikasi berlaku standar auditing dan peraturan seperti
CPA
Akreditasi sebagai Sertifikasi dalam pengelolaan
17
Kualitas Asuransi
sertifikasi entitas nasional badan
akreditasi atau lainnya wewenang
atau kualitas auditing seperti CQA
Sertifikasi
Akreditasi sebagai sertifikasi entitas
untuk spesifik sertifikasi nasional
badan akreditasi atau lainnya wewenang; kepatuhan terhadap
ISO 17021
Sertifikasi-spesifik kredensial seperti Auditor bersertifikat atau Lead Auditor; subjek sertifikasi untuk standar
sertifikasi
Proses Kematangan
Sertifikasi sebagai penilai oleh SEI atau lainnya wewenang
Peningkatan proses sertifikasi seperti CMMI atau SCAMPI
Lead Appraiser
IT Controls
(Opsional) Pendaftaran dengan pengawasan nasional badan atau
pihak ketiga akreditasi untuk IT terkait
standar atau layanan
Sertifikasi informasi keamanan atau sistem audit seperti CISA atau GSNA
Organisasi pemerintah atau Program Penunjukan
sebagai nasional lembaga audit yang
berwenang; kepatuhan terhadap standar
seperti Internasional Standar Tertinggi Lembaga Audit Standar (ISSAI)
Spesifik pemerintah audit sertifikasi semacam itu
sebagai CGAP
Badan pengawas biasanya beroperasi di bawah kewenangan hukum eksplisit dengan
yurisdiksi termasuk negara atau negara tempat perusahaan terdaftar melakukan audit. Untuk
Contohnya, otoritas PCAOB berasal dari Sarbanes-Oxley Act [4] sedangkan badan pengawas
yang diakui di Inggris dan Uni Eropa lainnya negara berasal dari Directive 2006/43 / EC.
Organisasi sektor publik atau swasta sektor yang menerima dana dari atau
berpartisipasi dalam pemerintahan program mungkin akan di audit, tapi di arena pemerintah,
organisasi Diaudit biasanya tidak memiliki pilihan untuk memilih auditor mereka sendiri.
Instansi pemerintah atau program audit dapat dilakukan oleh pemerintah yang ditunjuk
organisasi audit, seperti anggota Organisasi Internasional Indonesia Institusi Audit Tertinggi,
18
atau oleh auditor eksternal pihak ketiga memberikan kontrak kepada melakukan jenis audit
tertentu.
• Organisasi sertifikasi
Organisasi yang melakukan audit eksternal dimaksudkan untuk memberikan atau
mempertahankan sertifikasi untuk organisasi lain membutuhkan, minimal pengetahuan yang
cukup tentang yang mendasarinya standar atau kriteria sertifikasi untuk membuat penentuan
yang akurat bahwa a sertifikasi jasa organisasi Dengan sedikit pengecualian, pengembangan
standar organisasi atau organisasi lain yang bertanggung jawab atas penciptaan dan
pemeliharaan standar sertifikasi tidak secara langsung melakukan audit terhadap organisasi
yang mencari sertifikasi Sebaliknya, audit sertifikasi dilakukan oleh pihak ketiga secara
khusus berwenang melakukan audit dan memberikan sertifikasi kepada organisasi yang
berhasil memenuhi persyaratan sertifikasi Otorisasi semacam itu diberikan kepada yang
berkualitas organisasi oleh badan akreditasi nasional resmi atau oleh organisasi bertanggung
jawab atas standar sertifikasi Misalnya, akreditasi badan nasional auditor eksternal untuk
mengesahkan organisasi untuk berbagai standar ISO, sedangkan Software Engineering
Institute menunjuk organisasi mitra sendiri untuk melakukan Penilaian CMMI terhadap
organisasi yang mencari sertifikasi pada saat CMMI berbeda tingkat. Organisasi yang
mencari sertifikasi memilih auditor sertifikasi mereka, biasanya memilih dari antara auditor
yang terakreditasi untuk standar tertentu oleh badan akreditasi nasional tempat organisasi
beroperasi. Kriteria yang digunakan untuk Akreditasi auditor sertifikasi bervariasi sampai
batas tertentu dan apakah pengembangan standar organisasi menentukan persyaratan
minimum. ISO merekomendasikan hal itu organisasi yang mencari sertifikasi terhadap
standarnya memilih auditor yang terakreditasi yang menerapkan ISO / IEC 17021, yang
menentukan persyaratan untuk organisasi itu audit dan sertifikasi sistem manajemen.
3. TIPE AUDIT
Audit teknologi informasi (TI) merupakan kegiatan yang berdiri sendiri dan sebuah
inti komponen dari banyak jenis audit lainnya. Organisasi melakukan audit TI perlu
memahami sepenuhnya sejauh mana TI mendukung, mendorong, atau sebaliknya
berkontribusi pada fungsi bisnis dan operasional yang berbeda. Internal dan eksternal Auditor
19
TI harus menyadari konteks organisasi dimana tipe tertentu audit berlaku dan serangkaian
pengendalian internal yang terkait dengan IT atau kegiatan yang perlu dilakukan ditujukan
saat melakukan audit yang tidak terbatas pada IT. Di antara tipe mayor audit yang biasanya
mencakup sistem TI, proses, dan kontrol terkait audit keuangan, audit operasional, dan
sertifikasi, kepatuhan dan kualitas audit (yang mungkin merupakan bagian dari kegiatan
operasional, sertifikasi, atau kepatuhan) seperti yang diilustrasikan pada Gambar 5.1. Di
domain audit ini auditor TI mungkin tidak memilikinya peran utama, namun penggunaan TI
yang meluas di berbagai organisasi kegiatan berarti kemampuan dan keahlian audit TI
diperlukan untuk menangani secara penuh lingkup audit internal dan eksternal paling banyak.
Ada juga banyak jenis IT-specific audit, terutama yang ditujukan untuk mendukung tata
kelola TI, manajemen risiko, dan standar sertifikasi dan kepatuhan. Bab ini menjelaskan
berbagai jenis TI audit yang umumnya dilakukan oleh organisasi swasta dan sektor publik.
Ini menekankan peran audit TI (apakah memimpin atau mendukung) dalam setiap konteks
audit dan menggambarkan tujuan utama, peserta, tanggung jawab organisasi, dan standar dan
pedoman yang terkait dengan berbagai jenis audit. Tabel 5.1 merangkum area utama
penekanan dan tujuan untuk setiap jenis audit tercakup dalam bab ini.
Gambar 5.1
Audit It memiliki peran dalam audit keuangan, operasional, sertifikasi, dan kepatuhan namun juga merupakan domain audit yg spesifikasi dengaan sendirinya,
dengan fokus pada aset khusus IT, proses dan kontrol
Tabel 5.1 Penekanan dan Tujuan untuk berbagai Jenis Audit
Type of Audit Area Penekanan Objek Kunci Dilakkan Oleh
Keuangan Praktik akuntansi,
laporan keuangan
Konfirmasi sesuai praktek dan internal
efektivitas kontrol
Luar
auditor
20
Operasional Praktek manajemen,
proses, dan
Prosedur
Tinjau operasional
efisiensi dan
efektivitas dalam pertemuan
tujuan
Internal atau
luar
auditor
Sertifikasi Industri, kualitas, atau
standar manajemen
atau sertifikasi lainnya
Persyaratan
Kepuasan hakim
kriteria sertifikasi;
memberikan (atau menolak)
sertifikasi
Luar
auditor
(terakreditasi untuk
sertifikasi orang lain)
Pemenuhan Hukum, peraturan,
atau kontrak
Persyaratan
Verifikasi kepatuhan terhadap
persyaratan dan
pemenuhan kewajiban
Internal atau
luar
auditor
IT / informasi
Sistem
Kontrol untuk sistem atau TI
pengembangan, operasi
dan perawatan, keamanan
dan privasi
Validasi kontrol,
konfigurasi,
kecukupan, dan
efektivitas
Internal atau
luar
auditor
3.1 Audit keuangan
Audit keuangan terutama membahas praktik akuntansi dan kepatuhan persyaratan
pelaporan keuangan dari berbagai jenis organisasi, khususnya perusahaan yang menerbitkan
sekuritas untuk ditukarkan di pasar umum dan swasta organisasi nirlaba atau organisasi
21
nirlaba yang tunduk pada persyaratan hukum atau peraturan tentang pengelolaan keuangan
Jenis audit ini telah lama tidak hanya terfokus pada apa yang dicatat dan dilaporkan oleh
organisasi informasi keuangan, tetapi juga bagaimana caranya organisasi menjaga
kelengkapan, akurasi, dan integritas informasi tersebut. Pemeriksaan pengendalian internal
dalam audit keuangan dan akuntansi. Praktik mendahului meluasnya penggunaan teknologi,
namun sejak kemunculan elektronik pengolahan data pada akhir 1950-an dan penerapannya
pada sistem akuntansi, TI telah memainkan peran pendukung yang signifikan dalam
pelaporan akuntansi dan keuangan. Dalam organisasi modern, hampir tidak mungkin untuk
mengaudit kontrol keuangan internal tanpa memeriksa IT Sarbanes-Oxley Act meningkatkan
penekanannya termasuk pemeriksaan formal pengendalian internal dalam laporan audit.
Bagian 404 dari hukum membuat manajemen organisasi bertanggung jawab untuk menilai
dan membuktikannya efektivitas pengendalian internal atas pelaporan keuangan dan
membutuhkan eksternal auditor untuk memasukkan penilaian pengendalian internal dalam
laporan audit mereka. Manajemen keuangan dan sistem akuntansi merupakan bagian penting
dari kontrol internal, karena membantu mengotomatisasi, membakukan, dan mengamankan
organisasi informasi keuangan, proses akuntansi, dan transaksi. IT auditing secara
konvensional akuntansi keuangan berfokus pada sistem, perangkat lunak, kontrol keamanan,
dan lingkungan operasional yang didirikan dan dikelola oleh organisasi di Indonesia
pencatatan dan pelaporan keuangan.
Audit keuangan di banyak organisasi merupakan bagian dari internal dan eksternal
kegiatan audit, namun untuk perusahaan publik dan organisasi lainnya diatur audit keuangan
industri yang dilakukan oleh auditor eksternal paling banyak diterima perhatian. Apakah
audit dilakukan oleh anggota tim audit internal atau oleh auditor eksternal yang dipekerjakan
oleh organisasi, tanggung jawab utama terletak pada organisasi untuk memastikan bahwa
pengelolaan keuangan dan praktik akuntansinya dan pengendalian internal atas fungsi
tersebut dilaksanakan, dipelihara, dan efektif.
Meskipun organisasi yang beroperasi di berbagai negara terikat oleh undang - undang
nasional dan peraturan, hukum Amerika Serikat dan internasional yang berlaku mengenai
audit keuangan public perusahaan yang diperdagangkan (juga disebut "audit perundang-
undangan" atau "audit untuk kepentingan umum") memiliki banyak ketentuan umum.
Auditor yang memeriksa organisasi ini juga mematuhi secara substansial serupa standar dan
panduan audit dan sering menjabat sebagai anggota asosiasi profesional dan organisasi
22
sertifikasi yang sama. Kesamaan peraturan dan khalayak internasional untuk sebagian besar
informasi yang dihasilkan atau disponsori oleh American Institute of Certified Public
Accountants (AICPA), Federasi Internasional Indonesia Akuntan (IFAC), dan Institute of
Internal Auditor (IIA) menghasilkan hal yang sangat konsisten praktik audit keuangan
dilakukan di banyak negara.
Auditor keuangan-termasuk auditor TI yang memeriksa sistem, teknologi, atau
prosedur teknis yang mendukung akuntansi dan pelaporan keuangan-bertanggung jawab
untuk membuat keputusan yang obyektif bahwa organisasi tersebut memenuhi undang-
undang persyaratan dan standar yang berlaku atau untuk mengidentifikasi dan melaporkan
kelemahan, kekurangan, atau kegagalan memenuhi persyaratan. Hampir semua aspek
finansial audit di organisasi publik, instansi pemerintah, organisasi nirlaba, dan banyak
entitas lainnya-termasuk ulasan tentang kontrol terkait TI dan yang terkait proses - didorong
oleh persyaratan legislatif dan peraturan. Persyaratan ini termasuk frekuensi yang diperlukan
untuk audit keuangan dan pengarsipan hasil audit (seperti tahunan atau kuartalan) dan sering
menentukan jangka waktu eksplisit yang dicakup oleh setiap audit (seperti tahun fiskal).
Auditor keuangan mengikuti praktik profesional, standar, prosedur, dan pedoman lainnya
seperti umumnya Accepted Auditing Standar (GAAS), Standar Internasional untuk Audit
(ISA), dan Standar untuk Attestation Engagements (SSAE).
3.2 Akuntansi biaya
Selain persyaratan wajib untuk pelaporan keuangan, audit akuntansi dan praktik
manajemen keuangan sering memeriksa metode akuntansi. Diadopsi oleh organisasi yang
berbeda, berusaha untuk memvalidasi kesesuaian dari pendekatan yang digunakan dan untuk
memverifikasi informasi seperti valuasi aset atau alokasi biaya. Banyak praktik keuangan
melibatkan estimasi biaya atau penetapan nilai untuk aset organisasi, terutama termasuk aset
modal yang dibawa sebagai biaya neraca. Penilaian aset juga merupakan langkah kunci
dalam penilaian risiko kuantitatif, karena organisasi perlu mengetahui nilai aset yang mereka
pegang-dan biayanya terjadi pada organisasi jika aset tersebut hilang, dicuri, atau
dikompromikan - untuk menentukan tingkat tindakan perlindungan apa yang harus
diterapkan. Aset keuangan dari akuntansi biaya memberikan tinjauan independen terhadap
sumber daya alokasi biaya dan valuasi aset, berpotensi termasuk membandingkan organisasi
penetapan biaya untuk industri atau norma pasar atau pihak ketiga yang berwibawa data
biaya Tujuan utama dari jenis audit keuangan adalah untuk memastikan aset tersebut nilai
23
dan biaya yang ditetapkan akurat, konsisten, dan didukung secara memadai dengan bukti
Dalam beberapa kasus, jenis audit ini tumpang tindih dengan audit operasional (dijelaskan
kemudian dalam bab ini), setidaknya sejauh dekomposisi fungsional dari aktivitas organisasi
memasukkan informasi alokasi biaya. Untuk Misalnya, organisasi menggunakan penetapan
biaya berdasarkan aktivitas dalam pendekatan mereka terhadap keuangan manajemen dan
akuntansi pertama-tama mengidentifikasi semua aktivitas yang dilakukan organisasi dan
kemudian mengukur penggunaan sumber daya yang terkait dengan setiap aktivitas yang
digunakan untuk menentukan biayanya. Keakuratan metode akuntansi semacam itu
bergantung pada organisasi kemampuan untuk menghitung secara benar dan konsisten biaya
langsung dan tidak langsung sumber daya, termasuk aset seperti peralatan, bahan baku, dan
perangkat keras, perangkat lunak, dan infrastruktur.
Organisasi yang melakukan transisi beberapa atau semua operasi TI yang dikelola
secara internal. Bagi penyedia layanan eksternal seringkali perlu memodifikasi metode
akuntansi biaya mereka untuk benar mencerminkan proses dan aktivitas yang menggunakan
infrastruktur, perangkat keras, atau aset lain yang tidak dimiliki organisasi tersebut.
Organisasi biasanya memperlakukan biaya yang terkait dengan layanan TI alih daya seperti
komputasi awan biaya operasional, dengan sedikit atau tidak ada pengeluaran barang modal
atau underlying asset penilaian. Operasi TI internal, sebaliknya, umumnya mencakup modal
yang signifikan investasi dan prosedur akuntansi yang sesuai, menghadirkan tantangan saat
membuat perbandingan langsung biaya IT. Penggunaan oleh organisasi PT Metode akuntansi
biaya alternatif, seperti activity-based costing, dapat memungkinkan alokasi biaya sumber
daya yang konsisten antara internal dan eksternal yang disediakan Layanan TI.
3.3 Audit terprogram
Jenis audit keuangan lain berbeda dengan prosedur yang digunakan dalam audit yang
didorong oleh Persyaratan peraturan adalah pemeriksaan informasi keuangan program atau
proyek. Audit keuangan tingkat program biasanya berfokus pada membandingkan usulan
atau pengeluaran yang dianggarkan sampai waktu aktual, personil, material, dan biaya
sumber daya lainnya. Organisasi mengadopsi pendekatan manajemen program seperti Proyek
Management Institute's (PMI), Badan Manajemen Proyek Pengetahuan (PMBOK), atau
mengikuti standar untuk manajemen nilai yang diterima (EVM) dengan ketat mengikuti
program jadwal dan biaya informasi. Audit terhadap program yang dikelola dengan cara ini
24
memeriksa-antara metrik kinerja lainnya-biaya aktual yang terjadi dibandingkan dengan yang
direncanakan atau nilai yang dianggarkan dan mempertimbangkan keluaran program dalam
hal sumber daya yang dialokasikan memproduksi mereka Mengaktifkan bentuk manajemen
program ini memerlukan akuntansi sistem yang mampu merekam dan melacak aktivitas
program, berhubungan langsung dan biaya tidak langsung, dan ukuran kinerja [3]. Elemen
program terkait TI. Oleh karena itu audit mencakup teknologi yang mendukung perhitungan
biaya program terperinci dan mendapatkan nilai analisis Jenis audit ini menekankan kinerja
biaya dan jadwal dan dalam hal ini berbeda dengan audit operasional atau TI-spesifik yang
fokus tentang pelaksanaan tugas program atau manajemen proyek secara efektif.
3.4 Audit operasional
Audit operasional memeriksa praktik manajemen dan proses dan prosedur operasional
untuk menentukan bagaimana organisasi yang efektif atau efisien dapat memenuhi kebutuhan
mereka tujuan. Analisis semacam itu mengasumsikan bahwa organisasi telah secara eksplisit
menyatakan bisnisnya tujuan, telah mengembangkan inventarisasi proses bisnis dan
dukungan.
• Audit Operasional Pengendalian Internal
Dalam konteks audit operasional, pengendalian internal merupakan titik fokus audit
internal dan eksternal. Penekanan pada pengendalian internal tidak unik untuk audit
operasional, namun audit operasional mempertimbangkan pengendalian internal dari dua
perspektif yang berbeda: pertama, untuk menentukan apakah pengendalian yang tersedia
sesuai untuk memungkinkan pelaksanaan proses bisnis yang efisien dan efektif dalam
pemeriksaan, dan kedua, bahwa kontrol yang dilaksanakan oleh organisasi berfungsi dengan
baik. Komite Sponsoring Organization of Treadway Commission (COSO) mendefinisikan
pengendalian internal sebagai sebuah proses "yang dirancang untuk memberikan keyakinan
memadai mengenai pencapaian tujuan" yang terkait dengan efisiensi dan efektivitas
operasional, keandalan pelaporan, dan kepatuhan hukum dan peraturan. Kerangka
pengendalian internal COSO terdiri dari lima komponen utama: lingkungan pengendalian,
penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Lingkup
kerangka COSO sepenuhnya berlaku untuk audit operasional kegiatan tata kelola perusahaan
dan TI, namun komponen pengendalian lingkungan dan pengendalian aktivitas menekankan
faktor-faktor yang sesuai dengan fokus audit operasional. Secara khusus, kedua elemen ini
membahas kebijakan, proses, prosedur, dan standar organisasi yang digunakan untuk
25
memungkinkan pencapaian tujuan bisnis yang berlaku di seluruh organisasi dan proses
bisnisnya.
• Audit Terhadap Kebijakan, Proses dan Prosedur
Kebijakan, proses, dan prosedur organisasi merupakan fokus utama audit operasional.
Untuk mengembangkan strategi audit organisasi dan rencana audit operasional yang tepat,
organisasi perlu mengidentifikasi dan mengkategorikan rangkaian kegiatan operasional yang
mereka jalankan. Untuk melakukan audit operasional yang berfokus pada area subjek
tertentu, organisasi perlu melakukan aktivitas yang bersangkutan dan dapat menyelaraskan
atau mengkorelasikan aktivitas tersebut dengan tujuan organisasi. Banyak organisasi secara
rutin melakukan audit internal terhadap berbagai jenis proses dan aktivitas, membandingkan
kinerjanya yang ditunjukkan dengan kemampuan yang dibutuhkan untuk mencapai tujuan
organisasi atau pelaksanaan proses benchmarking terhadap standar industri, pesaing, atau
teladan. Audit operasional TI sering berfokus pada kebijakan, proses, dan prosedur yang
terkait dengan aktivitas teknis organisasi, namun auditor TI juga memiliki peran dalam audit
fungsi bisnis atau administratif karena sistem, infrastruktur, dan staf TI memberikan
dukungan untuk sebagian besar fungsi tersebut. Beberapa proses dan prosedur operasional
audit mungkin tumpang tindih secara substansial dengan audit sertifikasi, terutama di bidang
manajemen mutu, manajemen layanan, pengembangan perangkat lunak, dukungan teknis,
dan manajemen keamanan informasi.
• Audit Operasional Program atau yang Berfokus pada proyek
Audit operasional juga dapat digunakan untuk mengevaluasi program atau proyek
yang ditetapkan oleh sebuah organisasi, memeriksa karakteristik manajemen dan operasional
dalam rangka memenuhi metrik kinerja yang ditetapkan, mewujudkan hasil program atau
proyek, dan mencapai tujuan bisnis atau diantisipasi. Audit program atau proyek umumnya
memiliki lingkup yang lebih sempit daripada jenis audit operasional lainnya, sebagian, karena
kecenderungan di banyak organisasi untuk menetapkan program dan proyek untuk area
fungsional tertentu atau untuk mencapai tujuan tersendiri. Audit operasional terhadap
program dan proyek yang berfokus pada penggelaran, pengelolaan, pemantauan, atau
dukungan kemampuan TI memiliki kebutuhan audit TI yang jelas, namun hal yang sama juga
berlaku untuk inisiatif IT-centric yang bergantung pada TI proyek atau proyek spesifik atau
perusahaan. Operasional dalam konteks kegiatan audit sering berfokus pada kepatuhan
terhadap proses standar untuk pengembangan perangkat lunak, implementasi, operasi dan
26
pemeliharaan, dan fase pengembangan sistem lainnya (SDLC). Fokus teknis audit yang
menangani proses terkait TI bergantung pada pendekatan organisasi terhadap tata kelola TI
dan penggunaan model atau standar manajemen proyek teknis, rujukan untuk audit
operasional program atau proyek TI dapat mencakup kerangka proses atau layanan seperti
COBIT dan standar proses dari International Organization for Standardization (ISO).
3.5 Audit Sertifikasi
Sertifikasi audit adalah evaluasi formal terhadap satu atau lebih aspek kemampuan
operasional organisasi terhadap persyaratan eksplisit yang terkait dengan standar atau
metodologi yang ditetapkan secara eksternal. Pencapaian sertifikasi memberikan dukungan
eksternal bahwa sebuah organisasi memenuhi kriteria yang ditentukan untuk standar tertentu.
Berhasil mencapai sertifikasi bukanlah indikasi bahwa sebuah organisasi berkinerja secara
optimal atau dengan cara yang lebih unggul dari organisasi lain; Sebagai gantinya, sertifikasi
merupakan bentuk jaminan independen bahwa sebuah organisasi memenuhi setidaknya
seperangkat persyaratan minimum. Sebagian besar sertifikasi harus diberikan oleh badan
sertifikasi yang berwenang di luar organisasi yang mencari sertifikasi, yang berarti audit
sertifikasi biasanya dilakukan oleh auditor eksternal. Tanggung jawab organisasi untuk
mencapai sertifikasi (dan mempertahankannya setelah dicapai) termasuk membuat keputusan
manajemen untuk mengejar sertifikasi dan untuk melakukan sumber daya internal yang
diperlukan agar organisasi menyesuaikan diri dengan kriteria sertifikasi dan untuk menjaga
kesesuaian secara berkelanjutan. Organisasi juga harus mengidentifikasi, memilih, dan
membayar layanan dari badan sertifikasi yang berwenang yang melakukan audit sertifikasi.
Tanggung jawab untuk mengesahkan perusahaan audit eksternal untuk melakukan jenis audit
sertifikasi tertentu biasanya dimiliki oleh badan akreditasi nasional daripada organisasi
pengembangan standar.
• Manajemen Pelayanan
Tidak ada pendekatan standar tunggal untuk penataan organisasi, unit bisnis, atau
kemampuan operasional. Organisasi yang berbeda membentuk struktur manajemen dan tata
kelola sesuai dengan fungsi bisnis dan proses dan aktivitas terkaitnya, segmen pasar tempat
mereka berpartisipasi, produk atau layanan yang mereka ciptakan atau jual, atau wilayah
geografis tempat mereka beroperasi. Banyak organisasi yang telah menerapkan struktur
operasi berorientasi layanan - terutama untuk layanan terkait TI - mengikuti sertifikasi
kemampuan manajemen atau pengiriman layanan mereka sebagai indikator efektivitas atau
27
ukuran kualitas lainnya dan, dalam kasus layanan yang ditawarkan secara eksternal, untuk
meningkatkan kemampuan pemasaran atau daya tarik layanan mereka kepada pelanggan atau
mitra bisnis. Ada banyak kerangka kerja manajemen layanan yang sering digunakan
organisasi sebagai dasar untuk merancang dan mengoperasikan operasi berbasis layanan,
termasuk ITIL, Microsoft Operations Framework (MOF), dan beberapa aspek COBIT 5, yang
mencakup layanan yang terkait dengan infrastruktur dan aplikasi di antara enabler kunci tata
kelola TI.
• Manajemen Keamanan
Organisasi menginvestasikan sumber daya yang signifikan dalam pengendalian
keamanan untuk menjaga kerahasiaan, integritas, dan ketersediaan aset perusahaan mereka
termasuk sistem informasi dan informasi yang dikandungnya. Meskipun organisasi di banyak
sektor dan industri tunduk pada persyaratan hukum dan peraturan untuk keamanan dan
privasi, bahkan organisasi yang tidak terikat secara hukum oleh kewajiban semacam itu tetap
memiliki kepentingan kuat untuk membangun dan memelihara perlindungan keamanan yang
efektif, termasuk kemampuan manajemen keamanan. Instansi pemerintah dan organisasi
komersial di industri yang diatur secara spesifik - seperti perusahaan jasa keuangan, entitas
perawatan kesehatan, dan penyedia infrastruktur penting - banyak memusatkan perhatian
perhatian manajemen keamanan mereka pada kepatuhan terhadap peraturan, sehingga
mungkin cenderung tidak menginginkan sertifikasi keamanan eksplisit. Seperti jenis audit
sertifikasi lainnya, organisasi harus terlebih dahulu menetapkan nilai bisnis atau pembenaran
lain untuk mengikuti sertifikasi, menerapkan standar atau metodologi yang sesuai dengan
persyaratan sertifikasi, dan mengidentifikasi dan melibatkan layanan dari badan sertifikasi
yang diberi wewenang untuk melakukan audit sertifikasi.
• Manajemen Mutu
Sertifikasi mutu mewakili kategori yang agak lebih luas daripada sertifikasi di bidang
studi lain, karena manajemen mutu adalah domain di mana organisasi dapat disertifikasi
namun pencapaian banyak sertifikasi proses-sentris juga dianggap sebagai indikator kualitas
bagi organisasi yang disertifikasi. Model kedewasaan seperti CMMI, sertifikasi manajemen
layanan seperti ISO / IEC 20000, dan sertifikasi kepatuhan terhadap standar untuk berbagai
jenis sistem manajemen semuanya memberikan bukti bahwa organisasi melakukan
operasinya dengan cara yang sesuai dengan kerangka kerja dan proses yang ditetapkan secara
eksplisit yang dirancang agar efektif atau efisien bila diimplementasikan dengan baik. Serupa
28
dengan manajemen layanan, organisasi mungkin berusaha untuk mengesahkan kualitas fungsi
bisnis atau kemampuan operasional yang spesifik atau untuk memastikan keseluruhan
pendekatan mereka terhadap manajemen mutu. Banyak standar spesifik industri untuk sistem
manajemen mutu seperti ISO 13485 tentang pembuatan perangkat medis, Spesifikasi Teknis
ISO 16949 tentang kualitas produksi otomotif, dan ISO 29001 tentang kualitas produksi
minyak dan gas. Audit untuk sertifikasi mutu melibatkan badan sertifikasi yang terakreditasi
dan, dalam banyak kasus, auditor eksternal eksternal memegang sertifikasi terkait kualitas
seperti Certified Quality Auditor (CQA) atau Certified Lead Auditor untuk semua standar
ISO yang terkait dengan sistem manajemen mutu.
3.6 Audit Kepatuhan
Audit kepatuhan terdiri dari serangkaian pemeriksaan eksternal dan internal yang
dilakukan secara eksternal terhadap pemenuhan persyaratan hukum, peraturan perundang-
undangan, standar industri, persyaratan perizinan, komitmen kontrak, atau kewajiban formal
lainnya. Audit kepatuhan ditumpuk secara konseptual dengan audit keuangan, operasional,
dan sertifikasi dalam arti bahwa jenis audit tersebut sering menangani standar, praktik, atau
ketentuan hukum yang merupakan persyaratan wajib bagi organisasi. Sebagai kategori, audit
kepatuhan berlaku lebih luas daripada jenis lain dalam hal siapa yang melakukan audit
semacam itu, tujuan untuk melakukan audit kepatuhan, dan elemen organisasi atau bidang
studi yang menyediakan ruang lingkup audit. Standar dan metodologi yang digunakan dalam
audit kepatuhan bervariasi sesuai dengan konteks audit dan organisasi atau badan hukum
yang memiliki tanggung jawab untuk memverifikasi kepatuhan. Persyaratan organisasi yang
mendasari audit kepatuhan berasal dari berbagai sumber eksternal, selain kebijakan internal
dan tujuan tata kelola. Audit kepatuhan yang dilakukan secara ad hoc atau satu kali daripada
sebagai proses rutin atau berulang terkadang dapat mengidentifikasi kekurangan serius atau
masalah sistemik dalam sebuah organisasi.
• Kepatuhan Hukum
Legislasi dan peraturan yang dimandatkan secara hukum merupakan sumber
persyaratan kepatuhan yang signifikan. Organisasi yang berada di bawah yurisdiksi berbagai
undang-undang nasional, negara bagian atau provinsi, atau lokal diwajibkan untuk mematuhi
ketentuan wajib undang-undang dan dapat diperiksa untuk memverifikasi kepatuhan mereka.
Tidak semua undang-undang termasuk audit sebagai mekanisme untuk memeriksa kepatuhan,
namun prosedur audit sering ditemukan dimana ketentuan hukum mencakup denda untuk
29
ketidakpatuhan. Beberapa undang-undang dan peraturan berlaku untuk semua organisasi,
sehingga organisasi di industri, pasar, dan wilayah geografis yang berbeda perlu mengetahui
peraturan dan peraturan yang berlaku bagi mereka, yang persyaratannya dapat dikenai
validasi melalui audit kepatuhan, dan kriteria apa yang harus terpenuhi bila dan kapan
organisasi diaudit. Kegiatan kepatuhan di banyak organisasi melampaui audit formal, karena
walaupun tidak adanya hukuman finansial atau denda lainnya karena ketidakpatuhan
beberapa organisasi perlu melakukan penilaian kepatuhan sendiri dan melaporkan hasilnya ke
badan pengawas eksternal. Organisasi juga dapat memfokuskan sumber daya program audit
internal untuk memelihara dan meninjau bukti kepatuhan yang mungkin perlu diberikan jika
organisasi dipilih untuk audit acak atau menjadi subyek litigasi perdata atau pidana.
Kebutuhan untuk mempertahankan kesadaran akan persyaratan audit legal yang berlaku
untuk setiap organisasi mencakup terus mengikuti perubahan dalam kepatuhan atau kebijakan
penegakan hukum yang terkait dengan persyaratan hukum.
• Audit Operasional Program atau Proyek
Audit operasional juga dapat digunakan untuk mengevaluasi program atau proyek
yang ditetapkan oleh sebuah organisasi, memeriksa karakteristik manajemen dan operasional
dalam konteks memenuhi metrik kinerja yang ditetapkan, mewujudkan hasil program atau
proyek, dan mencapai tujuan bisnis atau manfaat yang diantisipasi sesuai dengan harapan
yang ditetapkan pada Waktu program atau proyek dimulai. Audit program atau proyek
umumnya memiliki lingkup yang lebih sempit daripada jenis audit operasional lainnya,
sebagian, karena kecenderungan di banyak organisasi untuk menetapkan program dan proyek
untuk area fungsional tertentu atau untuk mencapai tujuan tersendiri. Kegiatan audit
operasional Operasional dalam konteks ini sering berfokus pada kepatuhan terhadap proses
standar untuk pengembangan perangkat lunak, implementasi, operasi dan pemeliharaan, dan
fase pengembangan sistem lainnya (SDLC). Fokus teknis audit yang menangani proses
terkait TI ini dijelaskan secara rinci di Bab 6. Bergantung pada pendekatan organisasi
terhadap tata kelola TI dan penggunaan model atau standar manajemen proyek teknis,
rujukan untuk audit operasional program atau proyek TI dapat mencakup kerangka proses
atau layanan seperti COBIT atau Information Technology Infrastructure Library (ITIL) dan
standar proses dari International Organization for Standardization (ISO), Institute for
Electrical and Electronics Engineers (IEEE), dan Institut Teknik Perangkat Lunak (SEI) di
Carnegie Mellon Universitas.
• Kepatuhan Terhadap Standar Industri
30
Organisasi yang beroperasi di industri tertentu mungkin tunduk pada standar yang
dikembangkan, diterapkan, dan dipelihara oleh otoritas pemerintah, kelompok industri atau
asosiasi, atau organisasi pengembangan standar. Organisasi yang diwajibkan untuk
memenuhi persyaratan ini sering memasukkannya ke dalam kebijakan, prosedur, dan standar
internal mereka dan memvalidasi kepatuhan melalui audit kepatuhan internal, sendiri atau
sebagai tambahan terhadap audit eksternal yang dilakukan oleh auditor yang memenuhi
syarat dan berwenang. Organisasi juga dapat mengadopsi standar teknis sukarela yang
dikembangkan dengan penerapan industri yang spesifik, seperti standar HL7 untuk
perawatan kesehatan, titik penjualan (POS) di ritel, atau subset spesifik industri dari standar
ANSI X12. Seperti standar komersial, memverifikasi atau menunjukkan kepatuhan terhadap
standar industri sukarela dapat membantu organisasi mencapai tingkat interoperabilitas
teknis yang lebih tinggi dengan organisasi sebaya. Di banyak organisasi industri tunduk pada
beberapa peraturan yang diatur dan diawasi oleh berbagai jenis organisasi, berpotensi
menghadirkan tantangan dalam hal mengevaluasi kepatuhan terhadap semua persyaratan
yang berlaku dalam audit tunggal. Misalnya, North Keandalan Keandalan Amerika Utara
(NERC) mempertahankan standar keandalan untuk perusahaan energi yang beroperasi di
Amerika Serikat, Kanada, dan Meksiko. Perusahaan energi AS juga tunduk pada peraturan
dari Federal Energy Regulatory Commission (FERC) dan, dalam kasus perusahaan yang
memproduksi listrik dengan tenaga nuklir, untuk peraturan tambahan dan standar dari
Komisi Regulasi Nuklir (NAT).
• Standar Komersial
Berbeda dari persyaratan kepatuhan khusus industri, standar komersial berlaku untuk
banyak organisasi berdasarkan jenis fungsi bisnis atau transaksi yang mereka lakukan atau
cara menjalankan fungsinya. Organisasi juga sering memilih untuk menerapkan standar
sukarela, terutama di domain TI, untuk membantu memastikan interoperabilitas dengan
pelanggan atau mitra bisnis atau untuk memungkinkan penggunaan produk dan teknologi
vendor yang berbeda di lingkungan mereka.Standar sukarela biasanya tidak tunduk pada
audit kepatuhan yang dipersyaratkan, namun organisasi dapat melakukan kegiatan verifikasi
kepatuhan mereka sendiri untuk dapat mempublikasikan penggunaan atau dukungan mereka
terhadap standar.Misalnya, Open Source Initiative mendorong adopsi teknologi open source
dan memfasilitasi interoperabilitas antara teknologi tersebut dengan dua tingkat yang
ditunjuk kepatuhan, satu selfattested dan yang lainnya berdasarkan penelaahan kesesuaian
31
dengan eksplisit persyaratan standar terbuka. Contoh standar komersial wajib yang jelas
adalah Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), yang menentukan
persyaratan untuk organisasi yang menerima kartu pembayaran (seperti kartu kredit, debit,
atau kartu prabayar) dan menangani informasi pemegang kartu dalam perjalanan melakukan
bisnis. Standar yang disponsori oleh prosesor pembayaran komersial utama elektronik
termasuk VISA, MasterCard, dan American Express dan wajib bagi semua organisasi yang
memproses, menyimpan, atau mengirimkan data pemegang kartu.
3.7 Audit Khusus Untuk IT Audit TI memiliki peran penting dalam masing-masing tipe audit yang dijelaskan
sejauh ini di bab ini, namun ada audit tambahan yang berfokus secara eksplisit pada berbagai
aspek TI. Banyak audit TI dimaksudkan untuk mencapai hasil yang serupa dengan yang
diantisipasi dari jenis audit lainnya, termasuk menunjukkan kepatuhan atau pencapaian
sertifikasi terhadap standar tertentu. Bab 6 memberikan rincian terperinci komponen teknis
dan elemen organisasi yang sering ditangani melalui audit TI, sementara Bab 2 menetapkan
konteks organisasi yang lebih luas untuk berbagai jenis audit TI. Informasi dalam bagian ini
secara singkat menggambarkan audit IT-centric yang umum dan bidang subjek yang mereka
hadapi, sebagai pengakuan atas perbedaan pendekatan, sumber bimbingan, dan ketrampilan
yang diperlukan yang terkait dengan audit khusus IT.
• Kematangan proses TI
Efektivitas dan efisiensi dengan yang organisasi menerapkan dan melaksanakan
proses TI sering dinyatakan dalam hal kematangan proses, ukuran relatif dari seberapa baik
proses sepenuhnya didefinisikan, didokumentasikan, diimplementasikan, dan dioptimalkan
untuk digunakan dalam sebuah organisasi. Appraisals kematangan proses organisasi
mengkaji langkah-langkah dan kegiatan-kegiatan khusus organisasi melakukan dalam bisnis
tertentu atau domain teknis dan sejauh mana organisasi standarisasi proses untuk mencapai
hasil yang lebih berulang, diprediksi, dan dapat diandalkan. Standar atau referensi normatif
yang digunakan untuk mengevaluasi kedewasaan menentukan bidang proses - kategori
praktik dan aktivitas terkait yang secara kolektif memungkinkan perbaikan proses dalam
domain tertentu - mewakili proses yang diharapkan oleh organisasi. Untuk mencapai tingkat
kematangan yang spesifik terhadap model referensi ini, organisasi harus menunjukkan bahwa
mereka telah menerapkan dan mengikuti proses yang disertakan dalam setiap area
32
proses. Dua dari model-proses kematangan yang paling banyak digunakan SEI CMMI dan
Objek Proses Bisnis Manajemen Group Maturity Model (BPMM)-baik menentukan model
jatuh tempo lima tingkat dengan area proses yang sesuai pada setiap tingkat. Jumlah dan
jenis proses yang ditentukan dalam CMMI agak bervariasi di berbagai versi model untuk
akuisisi.
33
KESIMPULAN
“Audit internal adalah independen, assurance objektif dan kegiatan konsultasi yang
dirancang untuk menambah nilai dan memperbaiki operasi organisasi Ini membantu
organisasi mencapai tujuannya dengan membawa pendekatan sistematis dan disiplin untuk
mengevaluasi dan memperbaiki efektivitas proses manajemen, pengendalian, dan tata kelola
risiko”. Institut untuk Auditor Internal mencakup definisi formal audit internal sebagai bagian
dari Kerangka Kerja Praktek Profesional Internasional (IPPF).
Audit internal mencerminkan kebijakan dan program organisasi perspektif tentang
apa yang harus di audit dan bagaimana berbagai jenis audit dilakukan, seperti serta
pengetahuan materi pelajaran yang berlaku untuk setiap organisasi dan jenisnya Audit TI itu
kinerjanya.
Audit eksternal adalah biaya melakukan bisnis di banyak industri dan sektor, untuk TI
dan kontrol terkait seperti halnya pelaporan keuangan dan akuntansi praktek. Dari perspektif
ini, menjalani dan memberikan audit eksternal nilai bagi organisasi yang diaudit hanya
dengan berhasil menyelesaikan proses audit seperti yang dipersyaratkan. Selain membantu
memastikan kepatuhan organisasi dengan yang berlaku hukum, peraturan, dan standar, audit
eksternal menawarkan berbagai manfaat lainnya. Audit TI eksternal memberikan tinjauan
independen dan analisis pengendalian internal dan proses operasional yang dapat dianggap
lebih kredibel daripada sebanding audit internal.
Dengan mengembangkan pemahaman menyeluruh tentang persyaratan audit,
organisasi dapat memilih auditor dengan kualifikasi, kompetensi, independensi, dan
pengalaman untuk setiap jenis audit eksternal dan mempersiapkan staf internal dan
pembuktian bahan yang dibutuhkan untuk mendukung audit tersebut.
Organisasi melakukan audit TI perlu memahami sepenuhnya sejauh mana TI
mendukung, mendorong, atau sebaliknya berkontribusi pada fungsi bisnis dan operasional
yang berbeda. Internal dan eksternal Auditor TI harus menyadari konteks organisasi dimana
tipe tertentu audit berlaku dan serangkaian pengendalian internal yang terkait dengan IT.
34
DAFTAR PUSTAKA
Gantz, Stephen D. 2014. The Basic of IT Audit : Purposes, Processes, and Practical Information. USA.