MAKALAH AUDIT TEKNOLOGI SISTEM

INFORMASI

(AUDIT INTERNAL, AUDIT EKSTERNAL DAN TIPE AUDIT)

Disusun Oleh :

1. Erlin Novianty (1C114791)

2. Rizky Noer Muhammad (19114707)

3. Robi Haris (19114756 )

4. Tri Kartika Sari (1A114835)

5. Wida Ramadanti (1C114202)

Dosen : Lily Wulandari

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

JURUSAN SISTEM INFORMASI

2017

ii

KATA PENGANTAR

Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Panyayang,

Kami panjatkan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah,

dan inayah-Nya sehingga kami dapat menyelesaikan makalah yang berjudul “AUDIT

INTERNAL, AUDIT EKSTERNAL DAN TIPE AUDIT” dengan mata kuliah Softskill yaitu

Audit Teknologi Sistem Informasi..

Makalah ini telah disusun dengan maksimal dan mendapatkan bantuan dari berbagai

pihak sehingga pembuatan makalah ini dapat berjalan dengan lancar dan selesai tepat pada

waktu. Untuk itu Kami menyampaikan terima kasih kepada semua pihak yang telah

membantu dalam pembuatan makalah ini.

Terlepas dari semua itu, Kami menyadari sepenuhnya bahwa makalah ini masih jauh

dari sempurna dan ada kekurangan baik dari segi penyusunan kalimat, tata bahasa ataupun

makalah ini belum memuat secara lengkap mengenai apa yang dibahas. Oleh karena itu

dengan tangan terbuka Kami menerima segala kritik dan saran dari pembaca agar makalah ini

dapat diperbaiki.

Akhir kata kami berharap semoga makalah ini dapat dimengerti dan memberikan

manfaat maupun inpirasi terhadap pembaca. Wasallam.

Bekasi, November 2017

Penyusun

iii

DAFTAR ISI

Hal

Kata Pengantar ........................................................................................................................... ii

Daftar Isi ................................................................................................................................... iii

1. AUDIT INTERNAL ...................................................................................................... 1

1.1 Kemandirian dan Objektivitas ................................................................................. 1

1.2 Menetapkan program audit TI ................................................................................. 2

1.3 Piagam Program Audit Internal ............................................................................... 3

1.4 Tanggung Jawab Program Audit Internal ................................................................ 3

1.5 Manfaat Audit Internal TI ........................................................................................ 4

1.6 Tantangan Audit Internal ......................................................................................... 5

1.7 Auditor Internal ........................................................................................................ 5

1.8 Bahan Sumber yang Relevan ................................................................................... 6

2. AUDIT EKSTERNAL ................................................................................................... 6

2.1 Aspek Operasional Audit Eksternal ......................................................................... 7

2.2 Peran dan Tanggung Jawab untuk Audit Eksternal ................................................. 8

2.3 Kemandirian dalam Audit Eksternal ...................................................................... 10

2.4 Partisipasi Organisasi dalam Audit Eksternal ........................................................ 11

2.5 Eksternal TI Ruang Lingkup Audit dan Alasan ..................................................... 11

2.6 Manfaat Audit Eksternal ........................................................................................ 12

2.7 Keuntungan dibandingkan Audit Internal .............................................................. 12

2.8 Tantangan Audit Eksternal .................................................................................... 13

2.9 Auditor Eksternal ................................................................................................... 14

3. TIPE AUDIT ................................................................................................................ 18

3.1 Audit Keuangan ..................................................................................................... 20

3.2 Akuntansi Biaya ..................................................................................................... 22

3.3 Audit Terprogram .................................................................................................. 23

3.4 Audit Operasional .................................................................................................. 24

3.5 Audit Sertifikasi ..................................................................................................... 26

3.6 Audit Kepatuhan .................................................................................................... 28

3.7 Audit Khusus untuk IT........................................................................................... 31

iv

Kesimpulan .............................................................................................................................. 33

Daftar Pustaka .......................................................................................................................... 34

1

1. AUDIT INTERNAL

Tujuan dan cakupan audit TI, dan prosedur yang digunakan untuk

melaksanakannya, berbeda secara signifikan untuk audit internal dibandingkan dengan audit

eksternal. Institut untuk Auditor Internal mencakup definisi formal audit internal sebagai

bagian dari Kerangka Kerja Praktek Profesional Internasional (IPPF): "Audit internal adalah

independen, assurance objektif dan kegiatan konsultasi yang dirancang untuk menambah nilai

dan memperbaiki operasi organisasi Ini membantu organisasi mencapai tujuannya dengan

membawa pendekatan sistematis dan disiplin untuk mengevaluasi dan memperbaiki

efektivitas proses manajemen, pengendalian, dan tata kelola risiko”.

Perbedaan antara audit internal dan eksternal jauh melampaui organisasi dan auditor

mereka yang bertanggung jawab untuk melakukan audit. Audit internal mencerminkan

kebijakan dan program organisasi perspektif tentang apa yang harus di audit dan bagaimana

berbagai jenis audit dilakukan, seperti serta pengetahuan materi pelajaran yang berlaku untuk

setiap organisasi dan jenisnya Audit TI itu kinerjanya. Standar dan praktik audit yang

ditetapkan secara garis besar seperti Standar Audit yang Diterima Umum (GAAS) dan

Standar Internasional pada PT Auditing (ISA) seperti yang bisa diterapkan pada audit TI

karena keuangan atau audit operasional yang lebih umum.

Audit internal sebagai kemampuan organisasi Baik praktik audit internal eksternal

maupun internal bergantung pada prosedur yang ditetapkan secara formal dilaksanakan oleh

auditor yang cakap dengan pengetahuan dan domain organisasi yang memadai keahlian untuk

secara efektif melaksanakan berbagai jenis audit sebuah organisasi kebutuhan.

1.1 Kemandirian dan objektivitas Kemandirian adalah kebebasan dari bias, kontrol dari luar, atau otoritas yang, dalam

konteks audit internal, memastikan bahwa program audit tidak bertanggung jawab atas juga

tidak memperhatikan bagian-bagian organisasi yang diaudit dan, juga, individu itu auditor

tidak bekerja untuk proyek, fungsi operasional, atau unit bisnis yang mereka audit.

Kemandirian adalah prinsip utama kebanyakan standar auditing, pedoman praktik, dan kode

etik yang ditentukan oleh asosiasi profesi dan organisasi pengembangan standar auditrelated.

Contoh penting meliputi:

2

• Standar umum kedua di GAAS, menyatakan bahwa "Dalam semua hal yang berkaitan

Untuk tugas tersebut, independensi dalam sikap mental harus dipelihara oleh auditor

atau auditor ".

• ISA yang dikeluarkan oleh Dewan Standar Audit dan Penjaminan Internasional

(IAASB) menekankan pentingnya menjaga baik sikap maupun kemunculan

kemerdekaan, sebagai independensi auditor "melindungi auditor kemampuan

membentuk opini audit tanpa dipengaruhi oleh pengaruh yang mungkin kompromi

pendapat itu ".

• Standar atribut 1110 di Institut Auditor Internal (IIA) Internasional Standar untuk

Praktik Profesional Audit menetapkan bahwa, "internal Aktivitas audit harus

independen, dan auditor internal harus objektif melakukan pekerjaan mereka ".

• Kemandirian adalah salah satu prinsip audit dalam ISO 19011: "Auditor harus bebas

dari aktivitas yang diaudit jika memungkinkan, dan harus masuk semua kasus

bertindak dengan cara yang bebas dari bias dan benturan kepentingan ".

Dalam prakteknya, keunggulan di banyak standar audit dan sumber panduan berarti

bahwa banyak organisasi dan auditor mereka berkewajiban untuk memastikan bahwa

Program audit internal mencerminkan independensi dan tingkat struktural yang sesuai

objektivitas.

1.2 Menetapkan program audit TI Program audit adalah departemen, unit bisnis, atau fungsi yang didefinisikan secara

formal dalam sebuah organisasi yang bertanggung jawab untuk merencanakan,

melaksanakan, dan melaporkan hasil semua kegiatan audit internal. Ruang lingkup operasi

untuk audit internal Program biasanya terdiri dari semua jenis audit yang dilakukan oleh

organisasi, termasuk audit operasional keuangan dan non-TI serta audit pengendalian,

prosedur, lingkungan, dan kemampuan.

Program audit internal beroperasi di bawah pengawasan Chief Executive Audit

(CAE) dan melaporkan melalui CAE ke komite audit organisasi tersebut Jajaran direktur.

Komite audit di banyak organisasi besar bertanggung jawab untuk mengawasi keduanya

kegiatan audit eksternal dan internal, terlepas dari berapa banyak bisnis yang berbeda unit

atau fungsi memiliki tanggung jawab untuk melakukan atau mendukung berbagai jenis audit

CAE yang biasanya terdiri dari beberapa manajer audit dan kelompok auditor dengan

3

keahlian khusus yang sesuai untuk melakukan berbagai jenis audit internal yang dibutuhkan

oleh organisasi.

Karakterisasi umum program audit internal dan struktur pelaporannya terutama

berasal dari konteks perusahaan publik saat ini yang berlaku untuk hal tersebut Organisasi

mensyaratkan, sebagai syarat pencatatan pada bursa yang diatur, adanya komite audit di

dewan direksi dan mandat eksternal dan pemeriksaan internal pengendalian internal dengan

hasil yang dilaporkan ke komite audit.

1.3 Piagam program audit internal Piagam program audit menggambarkan tujuan program audit internal, termasuk

kebutuhan eksternal dan internal yang ditujukan untuk alamat dan, di khususnya, hubungan

antara program audit dan tata kelola, manajemen risiko, kepatuhan, dan fungsi manajemen

perusahaan lainnya. Piagam program audit dan panduan terkait dalam pembuatan piagam

tersedia untuk umum dari kalangan profesional asosiasi seperti IIA atau ISACA. Isi yang

disarankan untuk piagam program audit mencakup pernyataan tujuan, wewenang, dan

komitmen yang jelas terhadap independensi dan objektivitas; deskripsi peran dan tanggung

jawab termasuk melaporkan hubungan dalam organisasi; penggambaran ruang lingkup

kegiatan program audit; penjelasan struktur operasi dasar; dan standar, kerangka kerja, atau

pedoman yang secara eksplisit diadopsi atau dipatuhi oleh program audit. Piagam audit

biasanya menggambarkan peran dan tanggung jawab untuk fungsi atau personil di luar

program audit, termasuk membuat titik kontak untuk komunikasi program ke manajemen dan

departemen, atau unit bisnis bertanggung jawab atas aspek organisasi yang akan diaudit.

1.4 Tanggung jawab program audit internal Sebagai fungsi organisasi yang mengelola dan melakukan IT dan jenis lainnya

audit, tanggung jawab program audit internal meliputi pembuatan dan melaksanakan

keseluruhan strategi audit untuk organisasi dan, berpotensi, strategi spesifik domain atau

rencana untuk TI, operasional, dan kepatuhan dan jenis lainnya. Audit internal Strategi audit

menyatakan tujuan dan sasaran yang ingin dicapai oleh program audit internal dan

menentukan hasil atau metrik kinerja untuk mengukur keberhasilan program dalam mencapai

tujuannya. Strategi audit dapat menjelaskan proses dan kriteria yang digunakan keputusan

organisasi dibuat tentang apa yang harus di audit dan kapan. Rencana audit mencerminkan

4

penerapan kriteria prioritas untuk menetapkan seperangkat kegiatan audit itu akan dilakukan

selama periode rencana.

Program audit mengembangkan atau memilih metodologi audit, prosedur, dan

protokol yang akan digunakan di setiap jenis audit yang perlu dilakukan organisasi.

Hasil audit internal biasanya didokumentasikan dalam laporan formal dan

dikomunikasikan kepada eksekutif organisasi yang bertanggung jawab atas program audit

dan komite audit CAE bertanggung jawab untuk menyediakan laporan status atau update

pada kegiatan audit internal kepada komite audit untuk memfasilitasi pemantauan dan

pengawasan efektif program audit internal oleh panitia.

1.5 Manfaat audit internal TI Berbeda dengan fokus kepatuhan banyak jenis audit eksternal, audit internal

sebagian besar didorong oleh keinginan organisasi untuk menemukan kelemahan operasional,

menemukan penyimpangan dari kebijakan atau standar yang ada, menilai keefektifan, dan

mengidentifikasi peluang untuk memperbaiki proses dan kemampuan operasional jika

memungkinkan. Di luar persyaratan audit internal wajib yang berlaku untuk banyak

perusahaan publik, alasan untuk menetapkan dan beroperasi kemampuan audit internal TI

biasanya mencakup tujuan seperti:

• mendukung tata kelola perusahaan TI, manajemen risiko, dan kepatuhan program;

• memverifikasi kepatuhan terhadap kebijakan, prosedur, dan prosedur yang ditetapkan

secara organisasi standar;

• memenuhi persyaratan untuk mencapai atau mempertahankan kematangan proses,

kualitas manajemen, atau sertifikasi pengendalian internal;

• menambahkan formalitas ke atau meningkatkan ketepatan proses self-assessment dan

kegiatan; dan

• mempersiapkan atau "membayangi" audit eksternal yang diantisipasi.

Meskipun audit internal TI sering membutuhkan investasi yang besar sumber daya,

di banyak organisasi, manfaat potensial yang harus direalisasikan dari pelaksanaan audit TI

yang efektif dan terkelola dengan baik membenarkan komitmen sumber daya.

Dibandingkan dengan audit eksternal, organisasi memiliki lebih banyak fleksibilitas

untuk struktur program audit internal TI mereka agar sesuai dengan kebutuhan organisasi.

Dalam audit TI konteks dimana kedua audit internal dan eksternal berlaku, beberapa

5

organisasi mungkin lebih memilih untuk melepaskan audit internal dan alih-alih

mengandalkan kerja auditor eksternal untuk memberikan informasi tentang operasi, kontrol,

atau kepatuhan TI mereka.

1.6 Tantangan audit internal Meski banyak potensi manfaatnya berakar pada organisasi yang efektif kemampuan

audit TI internal, tidak semua organisasi memiliki sumber daya yang cukup untuk

mendedikasikan staf untuk melakukan audit, atau melakukannya dengan cara yang mencakup

semua area dalam sebuah organisasi yang membutuhkan audit. Bagi beberapa organisasi

terutama termasuk banyak perusahaan publik - audit internal harus ada, memaksa organisasi

semacam itu untuk menemukan cara mengatasi tantangan keterbatasan sumber daya. Biaya

yang terkait dengan beberapa jenis audit internal wajib adalah sumber keberatan umum

terhadap persyaratan tersebut. Selain biaya sumber daya yang terkait dengan audit TI internal,

tantangan lainnya mencakup keahlian yang signifikan yang dibutuhkan oleh auditor internal

dan kurangnya independensi atau independensi kegiatan audit internal, khususnya di

Indonesia organisasi yang lebih kecil.

1.7 Auditor internal Bab 1 memberikan deskripsi singkat tentang beragam pendidikan dan profesional

latar belakang dan jalur pengembangan karir beberapa auditor TI. Internal IT auditor sering

memiliki pekerjaan awal yang substansial dalam teknologi informasi, baik itu pengalaman

mencakup pengetahuan TI yang luas yang mencakup beberapa domain atau bidang keahlian

yang lebih khusus. Pengetahuan khusus TI diperlukan untuk memahami TI kriteria audit dan

dapat membandingkannya dengan implementasi, konfigurasi, dan rincian operasi dan

pemeliharaan sistem dan teknologi IT. Tambahan Keterampilan TI mungkin diperlukan untuk

benar menjalankan prosedur pengujian atau menerapkan pemeriksaan metodologi yang

digunakan dalam berbagai jenis audit TI. Topik pokok bahasan dengan mana auditor internal

TI harus familiar meliputi:

• Domain bisnis dan proses terkait yang didukung oleh sistem TI;

• Tata kelola data, proses pengelolaan data, backup data dan restorasi, dan teknologi

penyimpanan;

• Kebijakan dan prosedur TI;

• Proses operasi dan pemeliharaan;

6

• Proses dan proses siklus hidup pengembangan sistem;

• Arsitektur aplikasi, sistem, dan keamanan;

• sistem operasi komputer;

• Tata kelola dan proses pengelolaan dan pengelolaan sumber daya manusia;

• Tipe dan penerapan pengendalian internal;

• Manajemen proses TI atau model manajemen keamanan; dan

• Standar dan kriteria sertifikasi yang terkait dengan TI.

Keterampilan audit TI seringkali dapat dikembangkan di tempat kerja, terutama di

organisasi dengan program audit internal yang memiliki sumber daya yang cukup untuk

menugaskan tim auditor dengan berbagai tingkatan pengalaman untuk tugas audit tertentu.

Salah satu tantangan bagi personil audit TI adalah sebanyak itu pedoman yang tersedia

mengenai standar, prinsip, dan praktik audit mencakup audit internal secara keseluruhan

tanpa mempertimbangkan pertimbangan yang spesifik untuk audit TI.

Organisasi tanpa sumber internal yang memadai untuk mengaudit audit internal

mereka program mungkin akan lebih praktis untuk melibatkan penggunaan kontraktor dari

luar merekrut, mempekerjakan, atau melatih karyawan mereka sendiri.

1.8 Bahan sumber yang relevan Auditor TI internal mengandalkan standar auditing dan panduan umum dan juga

referensi khusus IT sesuai dengan subyek audit TI yang mereka lakukan dan pendekatan atau

perspektif organisasi yang digunakan oleh program audit TI. GAAS dan ISA memberikan

prinsip dan praktik yang berlaku untuk semua jenis audit. Pedoman dan standar prosedural

yang secara khusus difokuskan pada audit internal meliputi:

• Standar Internasional IIA untuk Praktik Profesional Audit Internal.

• Standar ISACA untuk Audit dan Assurance dan panduan audit program.

2. AUDIT EKSTERNAL Dua karakteristik utama membedakan audit eksternal dari audit internal, dilakukan

oleh auditor luar dan perusahaan audit dan standarnya, persyaratan, atau kriteria audit

lainnya. Beberapa badan standar dan asosiasi profesional selanjutnya membagi audit

eksternal ke audit pihak kedua dan pihak ketiga, yang pertama dilakukan oleh pelanggan atau

pemasok atau pihak lain dengan kepentingan operasi organisasi subjek dan yang terakhir

7

dilakukan oleh organisasi independen dengan tidak ada kepentingan langsung dalam

organisasi yang menjalani audit. Yang paling menonjol ini adalah serangkaian alasan yang

lebih terbatas karena organisasi menjalani audit TI eksternal, termasuk kepatuhan hukum dan

peraturan, sertifikasi, penjaminan mutu, atau verifikasi dari informasi yang dilaporkan sendiri

atau dibuktikan oleh organisasi untuk berbagai hal tujuan.

Sifat partisipasi organisasi dalam audit TI eksternal juga cukup berbeda dengan audit

internal, sebagai tanggung jawab utama organisasi dan personilnya yang bekerja di daerah

yang terkena audit eksternal adalah memfasilitasi pekerjaan dari auditor eksternal dan

mendukung penyelesaian yang akurat dan efisien audit. Proses audit, prosedur, dan

metodologi yang digunakan oleh auditor eksternal juga biasanya diketahui subjek audit dan

mungkin merupakan faktor dalam pemilihan audit dimana organisasi memiliki pilihan untuk

memilih eksternal mereka auditor.

2.1 Aspek operasional audit eksternal

Organisasi menjalani audit eksternal paling sering digunakan untuk memenuhi

persyaratan hukum atau demonstrasi kepatuhan peraturan. Karena audit eksternal dilakukan

oleh perusahaan dan individu auditor dari luar organisasi, sifat partisipasi organisasi manajer

dan staf jauh berbeda dari audit internal. Umumnya, sebuah organisasi yang diaudit

menyiapkan materi dan mengalokasikan sumber daya yang diinginkan untuk memudahkan

penyelesaian audit eksternal. Tidak seperti audit internal yang biasanya dikelola oleh program

audit terpusat yang terorganisir di bawah pengawasan audit eksekutif audit eksternal

melibatkan berbagai sudut manajemen, koordinasi, dan dukungan dalam suatu organisasi.

Dalam kasus di mana organisasi melibatkan auditor eksternal yang memiliki keahlian

atau keahlian dalam bidang keahlian kurangnya auditor internal organisasi, temuan audit

eksternal dapat menggantikan atau tidak tergabung dalam laporan audit internal. Hasil audit

eksternal juga dapat berfungsi sebagai sebuah garis dasar bagi organisasi untuk menilai

tindakan perbaikan yang dilakukan untuk memperbaiki identifikasi kelemahan, baik dalam

persiapan untuk audit eksternal masa depan atau untuk menunjukkan relevansi atau nilai audit

eksternal terhadap organisasi.

8

Gambar 4.1 Tanggung jawab organisasi untuk audit eksternal terbagi secara khas antara

independen komite audit dewan direksi dan personil manajemen internal seperti eksekutif

audit, direktori penjamin mutu, atau petugas kepatuhan.

2.2 Peran dan tanggung jawab untuk audit eksternal

Peran dan tanggung jawab utama dalam audit eksternal terbagi di antara organisasi,

dewan direksi atau badan pemerintahan lainnya, dan organisasi audit eksternal dan auditor

yang melakukan audit organisasi. Tanggung jawab untuk aktor yang berbeda dalam proses

audit eksternal sangat bergantung pada jenis audit yang terlibat dan, khususnya, apakah ada

persyaratan peraturan yang menentukan peran dan tanggung jawab.

Audit eksternal terhadap pengendalian internal, termasuk pengendalian TI, mendapat

keuntungan besar banyak perhatian di antara banyak organisasi, auditor, dan pengamat

kasual. Banyak organisasi terlibat dalam audit eksternal yang didorong oleh peraturan lainnya

persyaratan atau kebijakan, strategi, dan tujuan internal yang didorong oleh internal. Kunci

pertimbangan untuk organisasi adalah memastikan manajemen internal atau pengawasan

personil memiliki pengetahuan domain yang cukup dan keahlian yang relevan untuk

sepenuhnya mengerti dan secara efektif mengawasi keterlibatan audit eksternal.

9

Tabel 4.1 Peran dan tanggung jawab untuk audit eksternal

PERAN TANGGUNG JAWAB Manajemen Eksekutif Komite Audit Direksi Chief Executive Audit Petugas Kepatuhan

● Anggota kunci dari tim manajemen biasanya duduk di dewan direksi dan bagian tersebut tanggung jawab untuk mempertimbangkan dan menanggapi temuan audit eksternal ● CEO dan CFO perlu mengesahkan secara formal akurasi laporan auditor eksternal dalam kasus audit keuangan atau peraturan ● Tim manajemen menyetujui anggaran dan alokasi sumber daya untuk beberapa jenis audit eksternal, termasuk memberi wewenang kepada organisasi untuk mencari berbagai jenis sertifikasi ● Subset dewan direksi, biasanya terdiri dari hanya direksi independen ● Menyediakan pengawasan audit eksternal, khususnya audit yang diperlukan untuk kepatuhan terhadap peraturan ● Memilih auditor eksternal atau menyetujui pilihan rekomendasi dari tim manajemen ● Diperlukan untuk perusahaan publik di bawah Sarbanes-Oxley Act dan EU Directive 2006/43 / EC ● Mempertimbangkan laporan audit dan rekomendasi dan membuat keputusan mengenai tindakan yang harus diambil sebagai tanggapan untuk mengaudit temuan ● Sejajarkan fungsi audit internal dengan audit eksternal kebutuhan ● Melapor langsung ke komite audit ● Bertanggung jawab untuk memastikan pencapaian dan pemeliharaan kepatuhan organisasi dengan standar eksternal yang berlaku atau sertifikasi

10

Auditor Eksternal Staf Organisasi

● Melakukan audit yang mewakili audit yang dipilih perusahaan, biasanya sebagai bagian dari tim tergantung jenisnya dan lingkup kegiatan audit yang dibutuhkan ● Mengembangkan dan memelihara pengetahuan dan keahlian materi pelajaran yang relevan dengan jenis audit dilakukan ● Laporan kepada auditor utama, mitra audit, atau lainnya anggota manajemen perusahaan audit eksternal ● Memfasilitasi pelaksanaan pengadaan audit eksternal akses ke auditor sesuai kebutuhan, berpartisipasi dalam wawancara, dan persiapan dan penyempurnaan dokumentasi atau bukti lainnya.

2.3 Kemandirian dalam audit eksternal

Independensi auditor yang berarti independensi kedua perusahaan untuk melakukan

audit merupakan aspek sentral audit eksternal yang menekankan pentingnya auditor

independensi dan objektivitas terhadap audit internal. Selain hubungan kontrak dan keuangan

antara sebuah organisasi dan auditor eksternal, menjaga independensi eksternal Auditor

adalah persyaratan yang ketat dalam kebanyakan bentuk audit yang legal dan peraturan.

Kegiatan terlarang terdiri dari bisnis dan teknologi informasi layanan termasuk:

1. Pembukuan atau layanan lainnya yang terkait dengan catatan akuntansi atau keuangan

pernyataan klien audit;

2. Perancangan dan implementasi sistem informasi keuangan;

3. Penilaian atau penilaian, opini keadilan, atau kontribusi-in-kind laporan;

4. Jasa aktuaria;

5. Jasa outsourcing audit internal;

6. Fungsi manajemen atau sumber daya manusia;

7. Broker atau dealer, penasihat investasi, atau investment banking;

8. Layanan hukum dan layanan ahli yang tidak terkait dengan audit;

11

9. Layanan lain yang ditentukan oleh Dewan, dengan peraturan, tidak diperbolehkan

2.4 Partisipasi organisasi dalam audit eksternal

Meskipun organisasi yang tunduk pada audit eksternal tidak melakukan audit, mereka

berpartisipasi dalam berbagai proses dan kegiatan yang berkaitan dengan perencanaan,

proses, menyetujui, dan menanggapi audit eksternal. Aktivitas perwakilan termasuk dalam

tiga fase yang umum untuk hampir semua metodologi audit, melakukan audit, dan

melaporkan hasil audit.

Dengan mengembangkan pemahaman menyeluruh tentang persyaratan audit,

organisasi dapat memilih auditor dengan kualifikasi, kompetensi, independensi, dan

pengalaman untuk setiap jenis audit eksternal dan mempersiapkan staf internal dan

pembuktian bahan yang dibutuhkan untuk mendukung audit tersebut. Setelah audit eksternal

dilakukan telah dilakukan, organisasi (atau komite audit atau badan pengatur lainnya)

menerima hasil yang didokumentasikan dan menentukan apakah akan menerima temuan

sebagai disajikan atau, jika ada, mengajukan banding atas temuan tersebut. Untuk banyak

jenis audit peraturan, satu atau lebih eksekutif organisasi perlu menandatangani laporan audit

akhir sebelum diserahkan ke regulator atau audiens eksternal lainnya. Setelah eksternal Audit

selesai, organisasi menanggapi temuan audit yang diperlukan dengan perbaikan tindakan

untuk memperbaiki kelemahan yang diidentifikasi dalam audit.

2.5 Eksternal TI ruang lingkup audit dan alasan

Ruang lingkup audit eksternal TI yang dilakukan untuk organisasi terdiri dari

keduanya jenis audit wajib dan sukarela, masing-masing sesuai dengan perbedaan pembalap,

pembenaran, dan sumber motivasi organisasi. Sifat wajib dari audit ini memberikan alasan

utama, bersamaan dengan seperangkat peraturan dan penegakan hukum mekanisme regulator

atau badan pengawas digunakan untuk memastikan kepatuhan oleh organisasi seperti

perusahaan publik. Organisasi sering mengejar secara sukarela jenis audit TI eksternal untuk

melengkapi atau mengganti audit internal di Indonesia dukungan manajemen, risiko, atau

manajemen mutu atau untuk memberikan bukti yang obyektif efektivitas operasional yang

dapat meningkatkan posisi kompetitif dalam suatu industri, memperkuat reputasi pasar,

memfasilitasi kemitraan bisnis atau peluang lainnya, atau menambah nilai pemegang saham.

Selain kepatuhan hukum dan peraturan, lainnya alasan umum yang mempengaruhi organisasi

untuk terlibat dalam audit TI eksternal meliputi mencapai sertifikasi organisasi, menunjukkan

12

kematangan operasional proses atau kemampuan, melakukan due diligence, atau membangun

pelabuhan yang aman.

Istilah due diligence umumnya mengacu pada usaha apa pun yang berusaha untuk

diperiksa atau memvalidasi keakuratan informasi tentang seseorang atau organisasi. Banyak

jenis audit, termasuk audit TI, dapat digunakan untuk mendukung investigasi untuk due

diligence ruang lingkup audit tersebut dapat mencakup pemeriksaan praktik operasional atau

manajemen, kepatuhan terhadap kebijakan, kepatuhan dengan peraturan perundang-undangan

yang berlaku, dan penyediaan kontrol informasi yang memadai sistem. Pelabuhan aman

adalah prinsip hukum yang tergabung dalam beberapa undang-undang dan peraturan yang

memungkinkan organisasi yang mungkin tidak memenuhi persyaratan undang-undang atau

peraturan agar tidak dianggap melanggar jika sesuai standar eksplisit dan bertindak dengan

itikad baik.

2.6 Manfaat audit eksternal

Audit eksternal adalah biaya melakukan bisnis di banyak industri dan sektor, untuk TI

dan kontrol terkait seperti halnya pelaporan keuangan dan akuntansi praktek. Dari perspektif

ini, menjalani dan memberikan audit eksternal nilai bagi organisasi yang diaudit hanya

dengan berhasil menyelesaikan proses audit seperti yang dipersyaratkan. Selain membantu

memastikan kepatuhan organisasi dengan yang berlaku hukum, peraturan, dan standar, audit

eksternal menawarkan berbagai manfaat lainnya. Audit TI eksternal memberikan tinjauan

independen dan analisis pengendalian internal dan proses operasional yang dapat dianggap

lebih kredibel daripada sebanding audit internal, bahkan ketika proses dan kriteria audit yang

sama digunakan. Kredibilitas ini meluas ke verifikasi atau validasi temuan audit internal atau

hasil dimana audit eksternal dapat memeriksa rencana, prosedur, dan protokol audit

organisasi menggunakan program audit internalnya dan juga kepuasannya kriteria audit.

2.7 Keuntungan dibandingkan audit internal

Ada banyak jenis audit TI seperti yang dimaksudkan untuk menentukan peraturan

kepatuhan atau mencapai sertifikasi yang tidak dapat dilakukan sebagai audit internal dan

oleh karena itu harus menggunakan auditor eksternal. Bahkan di mana kebutuhan untuk

terlibat eksternal Auditor tidak ada, beberapa organisasi menganggap audit eksternal lebih

baik untuk audit internal karena adanya kelebihan yang diduga tentang tingkat organisasi

keterlibatan yang dibutuhkan, tuntutan sumber daya internal, keandalan temuan audit dan

13

keterampilan auditor, kompetensi, atau keahlian khusus. Audit eksternal belum tentu Butuh

waktu lebih sedikit untuk menyelesaikan daripada audit internal, namun peran dan tanggung

jawabnya organisasi yang diaudit seringkali jauh lebih sedikit daripada mereka audit internal

lingkup sebanding. Organisasi juga bisa mengandalkan auditor eksternal menetapkan

persyaratan atau kriteria audit yang akan digunakan atau untuk diketahui persyaratan yang

terkait dengan standar atau kriteria sertifikasi. Kombinasi kualifikasi auditor eksternal,

pengalaman sebelumnya tampil serupa jenis audit, dan penggunaan audit berbasis standar

atau yang didefinisikan secara formal Kriteria juga dapat membantu memastikan keandalan

dan validitas temuan audit eksternal.

2.8 Tantangan audit eksternal

Baik audit internal eksternal maupun internal TI memiliki keunggulan yang melekat

dalam hal biaya atau manfaat yang diantisipasi. Untuk berbagai jenis audit TI, eksternal dan

internal Pendekatan audit mungkin sama mahalnya, atau masing-masing mungkin

menawarkan penghematan biaya yang lain dalam konteks yang berbeda dimana organisasi

memiliki fleksibilitas untuk memilih bagaimana audit akan dilakukan mereka biasanya perlu

membandingkan total biaya audit eksternal atau internal termasuk personil dan biaya sumber

daya lainnya, waktu untuk mempersiapkan dan menyelesaikan audit, dan setiap kontrak atau

biaya layanan yang harus dilakukan dibayarkan kepada auditor - dan nilai yang dirasakan dari

setiap pendekatan terhadap organisasi.

Lingkungan operasional - termasuk yang terkait dengan penyedia layanan eksternal

digunakan oleh sebuah organisasi, jika ada-gol kelayakan untuk mencari dan memilih auditor

eksternal eksternal yang dapat untuk audit. Semakin besar variasi lingkungan, proses, dan

sistem yang dikelola oleh organisasi atau organisasi yang lebih terspesialisasi Aspeknya,

semakin besar kemungkinan organisasi itu perlu dibagi lagi laporan keuangan / dari beberapa

auditor eksternal untuk melayani setiap jenis pemeriksaan organisasi kebutuhan. Yang lebih

kecil dan kurang beragam mungkin perlu dicari dukungan untuk atau layanan seperti

komputasi awan, analisis data berskala besar, dan penggunaannya perangkat mobile contoh,

banyak penyedia komputasi awan komersial Layanan penggunaannya perkapalan pengesahan

khusus dengan menggunakan standar yang dikeluarkan oleh American Institute for Certified

Public Accountants (AICPA) dan hasil Pengendalian Organisasi Pelayanan (SOC) yang

melaporkan adanya putusan terkait dari kontrol penyedia yang terkait dengan keamanan dan

privasi [11]. Layanan Penyedia Link langsung dengan auditor eksternal yang kompeten untuk

14

melakukan pertunangan ini dan peluncuran laporan SOC, sementara calon pelanggan layanan

saat ini penyedia layanan dapat memanfaatkan informasi dalam laporan SOC dalam audit TI

mereka sendiri.

2.9 Auditor eksternal

Audit eksternal mewakili segmen yang berbeda di pasar layanan profesional yang

terdiri dari organisasi khusus yang bisnis utamanya memberikan audit dari berbagai jenis dan

lebih banyak perusahaan jasa umum yang menawarkan audit sebagai salah satu diantara

berbagai lini bisnis Referensi untuk auditor eksternal juga dapat menunjukkan individu

bekerja untuk perusahaan jasa profesional (atau dalam beberapa kasus secara mandiri).

Dalam konteks audit peraturan, audit organisasi besar atau kompleks, atau audit dengan

Perhatian ruang lingkup yang signifikan sering kali berfokus pada perusahaan audit eksternal,

walaupun undang-undang audit dan peraturan di banyak negara memberlakukan persyaratan

pada kedua perusahaan audit dan auditor yang bekerja untuk mereka. Organisasi memilih

auditor eksternal biasanya mengevaluasi kandidat di tingkat perusahaan tetapi dapat menilai

keterampilan, pengalaman, dan kualifikasi auditor individual saat mencari penyedia untuk

bentuk khusus audit eksternal, termasuk banyak jenis audit TI. Perbedaan antara individu dan

organisasi yang menyediakan layanan audit eksternal juga relevan bila membahas sertifikasi

auditor, kualifikasi, atau prasyarat lainnya yang memungkinkan auditor eksternal untuk

melakukan audit atas nama organisasi klien. Beberapa bisnis inti organisasi memberikan

audit kepada klien, seringkali di dalam industri tertentu, wilayah geografis, atau spesialisasi

fungsional atau teknis. Hal ini juga umum untuk melihat lebih besar atau lebih beragam

organisasi yang melakukan audit eksternal disamping berbagai layanan lainnya. Dalam bisnis

yang sangat diatur domain seperti perusahaan publik, hukum saat ini tidak signifikan Kendala

jenis organisasi yang melakukan audit - selama mereka puas.

Peraturan dan persyaratan peraturan yang berlaku - namun membatasi kemampuan

diversifikasi perusahaan untuk terlibat dalam layanan nonaudit untuk organisasi yang sama

selama mereka berada melayani sebagai auditor. Undang-undang ini membahas independensi

baik untuk perusahaan audit maupun individu Auditor seperti persyaratan Sarbanes-Oxley

Act bahwa posisi tersebut mitra utama pada keterlibatan audit eksternal diputar setidaknya

setiap 5 tahun. Aturan serupa berlaku di banyak industri yang diatur, yang dimaksudkan

untuk mencegah persepsi atau konflik kepentingan aktual antara auditor dan organisasi yang

15

mereka audit. Organisasi yang tidak melakukan audit perusahaan publik namun menawarkan

jenis lainnya layanan audit eksternal mungkin kurang dibatasi dalam aktivitas spesifiknya

diizinkan tampil untuk organisasi klien, namun hampir semua organisasi menyediakannya

sertifikasi, kualitas, sistem informasi, dan audit kepatuhan mengikuti formal kode perilaku

profesional, standar etika, dan konflik mitigasi kepentingan prosedur yang dirancang untuk

menjaga objektivitas dalam audit eksternal. Banyak perusahaan audit eksternal terbesar dan

paling terkenal menyediakan beberapa jenis dari layanan audit terkait TI, terutama termasuk

sistem peraturan dan informasi audit. Organisasi yang memberikan sertifikasi, kepatuhan,

atau audit kualitas biasanya harus diakreditasi terlebih dahulu untuk melakukan jenis audit

tertentu berdasarkan standar organisasi pengembangan atau badan berwibawa lainnya yang

bertanggung jawab untuk menerbitkan dan mempertahankan dasar sertifikasi atau kepatuhan.

Akreditasi atau pengawasan badan dasarnya menyetujui organisasi lain untuk melakukan

standar berbasis atau jenis audit lainnya Untuk sertifikasi yang sering dicari seperti yang

terkait dengan standar yang dikeluarkan oleh International Organization for Standardization

(ISO), akreditasi lembaga sertifikasi dilakukan oleh nasional atau regional badan akreditasi,

bukan oleh organisasi pengembangan standar. Hasil ini dalam hubungan multipartai, seperti

yang ditunjukkan pada Gambar 4.4, antara perusahaan audit eksternal, badan pengawas yang

memberi wewenang kepada auditor eksternal untuk melakukan yang spesifik jenis audit, dan

organisasi yang melibatkan layanan auditor eksternal. Seperti halnya auditor internal, ada

banyak sumber pendidikan, keahlian, dan pengalaman sebelumnya yang memberikan latar

belakang yang sesuai bagi individu bekerja sebagai auditor eksternal. Banyak auditor TI

eksternal mendapatkan pengalaman tampil beberapa aspek audit peraturan, yang biasanya

menekankan keuangan atau operasional mengendalikan dan menangani kontrol TI dalam

konteks yang lebih luas. Untuk alasan ini, Auditor individu yang bekerja untuk perusahaan

audit eksternal sering mencari Certified Public Sertifikasi akuntan (CPA) (kredensial yang

dibutuhkan oleh banyak perusahaan audit besar auditor senior dan mitra kerja). AICPA

menentukan serangkaian kompetensi yang luas Auditor tingkat senior harus memiliki,

termasuk:

Memahami peran kontrol kualitas dan standar perilaku profesional;

Memahami layanan yang akan dilakukan termasuk kinerja, pengawasan, dan aspek

pelaporan pertunangan;

Keunggulan teknis dalam standar profesional dan industri yang berlaku dan sifat

transaksi atau proses bisnis lainnya organisasi klien mengeksekusi;

16

Keakraban dengan industri tempat klien beroperasi;

Kemampuan untuk melakukan penilaian profesional;

Memahami sistem TI organisasi.

Banyak sertifikasi khusus dan program pelatihan terkait tersedia kepada profesional audit

eksternal yang berusaha untuk meningkatkan kualifikasi mereka untuk melakukan yang

spesifik jenis audit TI memberikan contoh jenis auditor dan kualifikasi perusahaan audit yang

dipertimbangkan organisasi saat memilih auditor eksternal. Di luar sebagian besar sertifikasi

khusus domain (mis., Kualitas, kontrol TI atau informasi sistem, dan kematangan proses), ada

banyak spesialisasi untuk industri tertentu atau jenis kontrol.

• Auditor pengatur

Di banyak negara, perusahaan audit eksternal melakukan audit peraturan (juga disebut

audit perundang-undangan) pada perusahaan publik harus mendaftar dan disetujui oleh badan

pemerintahan dan pengawasan tingkat nasional sebagai prasyarat bagi organisasi melibatkan

mereka sebagai auditor eksternal. Setelah terdaftar, organisasi mencari eksternal auditor dapat

menggunakan pendaftar publik untuk menemukan perusahaan yang terdaftar seperti registri

yang dipelihara oleh PCAOB di Amerika Serikat atau Register of Statutory Auditor di

Inggris. Seperti yang diilustrasikan pada Gambar 4.4, perusahaan audit eksternal mengajukan

aplikasi ke badan pengawas yang sesuai (atau badan, jika mereka berniat untuk melakukan

audit di lebih dari satu negara) dan badan pengawas mengevaluasi apakah menerapkan

perusahaan memenuhi persyaratan hukum yang berlaku untuk mengaudit perusahaan publik.

Tabel 4.2 Kualifikasi Auditor Eksternal untuk Berbagai Jenis Audit

Kualifikasi

Audit Type Audit Firm Individual Auditors

Kontrol Keuangan Internal

Pendaftaran dengan auditor Badan

pengawas seperti itu sebagai PCAOB atau

EGAOB anggota

Sertifikasi berlaku standar auditing dan peraturan seperti

CPA

Akreditasi sebagai Sertifikasi dalam pengelolaan

17

Kualitas Asuransi

sertifikasi entitas nasional badan

akreditasi atau lainnya wewenang

atau kualitas auditing seperti CQA

Sertifikasi

Akreditasi sebagai sertifikasi entitas

untuk spesifik sertifikasi nasional

badan akreditasi atau lainnya wewenang; kepatuhan terhadap

ISO 17021

Sertifikasi-spesifik kredensial seperti Auditor bersertifikat atau Lead Auditor; subjek sertifikasi untuk standar

sertifikasi

Proses Kematangan

Sertifikasi sebagai penilai oleh SEI atau lainnya wewenang

Peningkatan proses sertifikasi seperti CMMI atau SCAMPI

Lead Appraiser

IT Controls

(Opsional) Pendaftaran dengan pengawasan nasional badan atau

pihak ketiga akreditasi untuk IT terkait

standar atau layanan

Sertifikasi informasi keamanan atau sistem audit seperti CISA atau GSNA

Organisasi pemerintah atau Program Penunjukan

sebagai nasional lembaga audit yang

berwenang; kepatuhan terhadap standar

seperti Internasional Standar Tertinggi Lembaga Audit Standar (ISSAI)

Spesifik pemerintah audit sertifikasi semacam itu

sebagai CGAP

Badan pengawas biasanya beroperasi di bawah kewenangan hukum eksplisit dengan

yurisdiksi termasuk negara atau negara tempat perusahaan terdaftar melakukan audit. Untuk

Contohnya, otoritas PCAOB berasal dari Sarbanes-Oxley Act [4] sedangkan badan pengawas

yang diakui di Inggris dan Uni Eropa lainnya negara berasal dari Directive 2006/43 / EC.

Organisasi sektor publik atau swasta sektor yang menerima dana dari atau

berpartisipasi dalam pemerintahan program mungkin akan di audit, tapi di arena pemerintah,

organisasi Diaudit biasanya tidak memiliki pilihan untuk memilih auditor mereka sendiri.

Instansi pemerintah atau program audit dapat dilakukan oleh pemerintah yang ditunjuk

organisasi audit, seperti anggota Organisasi Internasional Indonesia Institusi Audit Tertinggi,

18

atau oleh auditor eksternal pihak ketiga memberikan kontrak kepada melakukan jenis audit

tertentu.

• Organisasi sertifikasi

Organisasi yang melakukan audit eksternal dimaksudkan untuk memberikan atau

mempertahankan sertifikasi untuk organisasi lain membutuhkan, minimal pengetahuan yang

cukup tentang yang mendasarinya standar atau kriteria sertifikasi untuk membuat penentuan

yang akurat bahwa a sertifikasi jasa organisasi Dengan sedikit pengecualian, pengembangan

standar organisasi atau organisasi lain yang bertanggung jawab atas penciptaan dan

pemeliharaan standar sertifikasi tidak secara langsung melakukan audit terhadap organisasi

yang mencari sertifikasi Sebaliknya, audit sertifikasi dilakukan oleh pihak ketiga secara

khusus berwenang melakukan audit dan memberikan sertifikasi kepada organisasi yang

berhasil memenuhi persyaratan sertifikasi Otorisasi semacam itu diberikan kepada yang

berkualitas organisasi oleh badan akreditasi nasional resmi atau oleh organisasi bertanggung

jawab atas standar sertifikasi Misalnya, akreditasi badan nasional auditor eksternal untuk

mengesahkan organisasi untuk berbagai standar ISO, sedangkan Software Engineering

Institute menunjuk organisasi mitra sendiri untuk melakukan Penilaian CMMI terhadap

organisasi yang mencari sertifikasi pada saat CMMI berbeda tingkat. Organisasi yang

mencari sertifikasi memilih auditor sertifikasi mereka, biasanya memilih dari antara auditor

yang terakreditasi untuk standar tertentu oleh badan akreditasi nasional tempat organisasi

beroperasi. Kriteria yang digunakan untuk Akreditasi auditor sertifikasi bervariasi sampai

batas tertentu dan apakah pengembangan standar organisasi menentukan persyaratan

minimum. ISO merekomendasikan hal itu organisasi yang mencari sertifikasi terhadap

standarnya memilih auditor yang terakreditasi yang menerapkan ISO / IEC 17021, yang

menentukan persyaratan untuk organisasi itu audit dan sertifikasi sistem manajemen.

3. TIPE AUDIT

Audit teknologi informasi (TI) merupakan kegiatan yang berdiri sendiri dan sebuah

inti komponen dari banyak jenis audit lainnya. Organisasi melakukan audit TI perlu

memahami sepenuhnya sejauh mana TI mendukung, mendorong, atau sebaliknya

berkontribusi pada fungsi bisnis dan operasional yang berbeda. Internal dan eksternal Auditor

19

TI harus menyadari konteks organisasi dimana tipe tertentu audit berlaku dan serangkaian

pengendalian internal yang terkait dengan IT atau kegiatan yang perlu dilakukan ditujukan

saat melakukan audit yang tidak terbatas pada IT. Di antara tipe mayor audit yang biasanya

mencakup sistem TI, proses, dan kontrol terkait audit keuangan, audit operasional, dan

sertifikasi, kepatuhan dan kualitas audit (yang mungkin merupakan bagian dari kegiatan

operasional, sertifikasi, atau kepatuhan) seperti yang diilustrasikan pada Gambar 5.1. Di

domain audit ini auditor TI mungkin tidak memilikinya peran utama, namun penggunaan TI

yang meluas di berbagai organisasi kegiatan berarti kemampuan dan keahlian audit TI

diperlukan untuk menangani secara penuh lingkup audit internal dan eksternal paling banyak.

Ada juga banyak jenis IT-specific audit, terutama yang ditujukan untuk mendukung tata

kelola TI, manajemen risiko, dan standar sertifikasi dan kepatuhan. Bab ini menjelaskan

berbagai jenis TI audit yang umumnya dilakukan oleh organisasi swasta dan sektor publik.

Ini menekankan peran audit TI (apakah memimpin atau mendukung) dalam setiap konteks

audit dan menggambarkan tujuan utama, peserta, tanggung jawab organisasi, dan standar dan

pedoman yang terkait dengan berbagai jenis audit. Tabel 5.1 merangkum area utama

penekanan dan tujuan untuk setiap jenis audit tercakup dalam bab ini.

Gambar 5.1

Audit It memiliki peran dalam audit keuangan, operasional, sertifikasi, dan kepatuhan namun juga merupakan domain audit yg spesifikasi dengaan sendirinya,

dengan fokus pada aset khusus IT, proses dan kontrol

Tabel 5.1 Penekanan dan Tujuan untuk berbagai Jenis Audit

Type of Audit Area Penekanan Objek Kunci Dilakkan Oleh

Keuangan Praktik akuntansi,

laporan keuangan

Konfirmasi sesuai praktek dan internal

efektivitas kontrol

Luar

auditor

20

Operasional Praktek manajemen,

proses, dan

Prosedur

Tinjau operasional

efisiensi dan

efektivitas dalam pertemuan

tujuan

Internal atau

luar

auditor

Sertifikasi Industri, kualitas, atau

standar manajemen

atau sertifikasi lainnya

Persyaratan

Kepuasan hakim

kriteria sertifikasi;

memberikan (atau menolak)

sertifikasi

Luar

auditor

(terakreditasi untuk

sertifikasi orang lain)

Pemenuhan Hukum, peraturan,

atau kontrak

Persyaratan

Verifikasi kepatuhan terhadap

persyaratan dan

pemenuhan kewajiban

Internal atau

luar

auditor

IT / informasi

Sistem

Kontrol untuk sistem atau TI

pengembangan, operasi

dan perawatan, keamanan

dan privasi

Validasi kontrol,

konfigurasi,

kecukupan, dan

efektivitas

Internal atau

luar

auditor

3.1 Audit keuangan

Audit keuangan terutama membahas praktik akuntansi dan kepatuhan persyaratan

pelaporan keuangan dari berbagai jenis organisasi, khususnya perusahaan yang menerbitkan

sekuritas untuk ditukarkan di pasar umum dan swasta organisasi nirlaba atau organisasi

21

nirlaba yang tunduk pada persyaratan hukum atau peraturan tentang pengelolaan keuangan

Jenis audit ini telah lama tidak hanya terfokus pada apa yang dicatat dan dilaporkan oleh

organisasi informasi keuangan, tetapi juga bagaimana caranya organisasi menjaga

kelengkapan, akurasi, dan integritas informasi tersebut. Pemeriksaan pengendalian internal

dalam audit keuangan dan akuntansi. Praktik mendahului meluasnya penggunaan teknologi,

namun sejak kemunculan elektronik pengolahan data pada akhir 1950-an dan penerapannya

pada sistem akuntansi, TI telah memainkan peran pendukung yang signifikan dalam

pelaporan akuntansi dan keuangan. Dalam organisasi modern, hampir tidak mungkin untuk

mengaudit kontrol keuangan internal tanpa memeriksa IT Sarbanes-Oxley Act meningkatkan

penekanannya termasuk pemeriksaan formal pengendalian internal dalam laporan audit.

Bagian 404 dari hukum membuat manajemen organisasi bertanggung jawab untuk menilai

dan membuktikannya efektivitas pengendalian internal atas pelaporan keuangan dan

membutuhkan eksternal auditor untuk memasukkan penilaian pengendalian internal dalam

laporan audit mereka. Manajemen keuangan dan sistem akuntansi merupakan bagian penting

dari kontrol internal, karena membantu mengotomatisasi, membakukan, dan mengamankan

organisasi informasi keuangan, proses akuntansi, dan transaksi. IT auditing secara

konvensional akuntansi keuangan berfokus pada sistem, perangkat lunak, kontrol keamanan,

dan lingkungan operasional yang didirikan dan dikelola oleh organisasi di Indonesia

pencatatan dan pelaporan keuangan.

Audit keuangan di banyak organisasi merupakan bagian dari internal dan eksternal

kegiatan audit, namun untuk perusahaan publik dan organisasi lainnya diatur audit keuangan

industri yang dilakukan oleh auditor eksternal paling banyak diterima perhatian. Apakah

audit dilakukan oleh anggota tim audit internal atau oleh auditor eksternal yang dipekerjakan

oleh organisasi, tanggung jawab utama terletak pada organisasi untuk memastikan bahwa

pengelolaan keuangan dan praktik akuntansinya dan pengendalian internal atas fungsi

tersebut dilaksanakan, dipelihara, dan efektif.

Meskipun organisasi yang beroperasi di berbagai negara terikat oleh undang - undang

nasional dan peraturan, hukum Amerika Serikat dan internasional yang berlaku mengenai

audit keuangan public perusahaan yang diperdagangkan (juga disebut "audit perundang-

undangan" atau "audit untuk kepentingan umum") memiliki banyak ketentuan umum.

Auditor yang memeriksa organisasi ini juga mematuhi secara substansial serupa standar dan

panduan audit dan sering menjabat sebagai anggota asosiasi profesional dan organisasi

22

sertifikasi yang sama. Kesamaan peraturan dan khalayak internasional untuk sebagian besar

informasi yang dihasilkan atau disponsori oleh American Institute of Certified Public

Accountants (AICPA), Federasi Internasional Indonesia Akuntan (IFAC), dan Institute of

Internal Auditor (IIA) menghasilkan hal yang sangat konsisten praktik audit keuangan

dilakukan di banyak negara.

Auditor keuangan-termasuk auditor TI yang memeriksa sistem, teknologi, atau

prosedur teknis yang mendukung akuntansi dan pelaporan keuangan-bertanggung jawab

untuk membuat keputusan yang obyektif bahwa organisasi tersebut memenuhi undang-

undang persyaratan dan standar yang berlaku atau untuk mengidentifikasi dan melaporkan

kelemahan, kekurangan, atau kegagalan memenuhi persyaratan. Hampir semua aspek

finansial audit di organisasi publik, instansi pemerintah, organisasi nirlaba, dan banyak

entitas lainnya-termasuk ulasan tentang kontrol terkait TI dan yang terkait proses - didorong

oleh persyaratan legislatif dan peraturan. Persyaratan ini termasuk frekuensi yang diperlukan

untuk audit keuangan dan pengarsipan hasil audit (seperti tahunan atau kuartalan) dan sering

menentukan jangka waktu eksplisit yang dicakup oleh setiap audit (seperti tahun fiskal).

Auditor keuangan mengikuti praktik profesional, standar, prosedur, dan pedoman lainnya

seperti umumnya Accepted Auditing Standar (GAAS), Standar Internasional untuk Audit

(ISA), dan Standar untuk Attestation Engagements (SSAE).

3.2 Akuntansi biaya

Selain persyaratan wajib untuk pelaporan keuangan, audit akuntansi dan praktik

manajemen keuangan sering memeriksa metode akuntansi. Diadopsi oleh organisasi yang

berbeda, berusaha untuk memvalidasi kesesuaian dari pendekatan yang digunakan dan untuk

memverifikasi informasi seperti valuasi aset atau alokasi biaya. Banyak praktik keuangan

melibatkan estimasi biaya atau penetapan nilai untuk aset organisasi, terutama termasuk aset

modal yang dibawa sebagai biaya neraca. Penilaian aset juga merupakan langkah kunci

dalam penilaian risiko kuantitatif, karena organisasi perlu mengetahui nilai aset yang mereka

pegang-dan biayanya terjadi pada organisasi jika aset tersebut hilang, dicuri, atau

dikompromikan - untuk menentukan tingkat tindakan perlindungan apa yang harus

diterapkan. Aset keuangan dari akuntansi biaya memberikan tinjauan independen terhadap

sumber daya alokasi biaya dan valuasi aset, berpotensi termasuk membandingkan organisasi

penetapan biaya untuk industri atau norma pasar atau pihak ketiga yang berwibawa data

biaya Tujuan utama dari jenis audit keuangan adalah untuk memastikan aset tersebut nilai

23

dan biaya yang ditetapkan akurat, konsisten, dan didukung secara memadai dengan bukti

Dalam beberapa kasus, jenis audit ini tumpang tindih dengan audit operasional (dijelaskan

kemudian dalam bab ini), setidaknya sejauh dekomposisi fungsional dari aktivitas organisasi

memasukkan informasi alokasi biaya. Untuk Misalnya, organisasi menggunakan penetapan

biaya berdasarkan aktivitas dalam pendekatan mereka terhadap keuangan manajemen dan

akuntansi pertama-tama mengidentifikasi semua aktivitas yang dilakukan organisasi dan

kemudian mengukur penggunaan sumber daya yang terkait dengan setiap aktivitas yang

digunakan untuk menentukan biayanya. Keakuratan metode akuntansi semacam itu

bergantung pada organisasi kemampuan untuk menghitung secara benar dan konsisten biaya

langsung dan tidak langsung sumber daya, termasuk aset seperti peralatan, bahan baku, dan

perangkat keras, perangkat lunak, dan infrastruktur.

Organisasi yang melakukan transisi beberapa atau semua operasi TI yang dikelola

secara internal. Bagi penyedia layanan eksternal seringkali perlu memodifikasi metode

akuntansi biaya mereka untuk benar mencerminkan proses dan aktivitas yang menggunakan

infrastruktur, perangkat keras, atau aset lain yang tidak dimiliki organisasi tersebut.

Organisasi biasanya memperlakukan biaya yang terkait dengan layanan TI alih daya seperti

komputasi awan biaya operasional, dengan sedikit atau tidak ada pengeluaran barang modal

atau underlying asset penilaian. Operasi TI internal, sebaliknya, umumnya mencakup modal

yang signifikan investasi dan prosedur akuntansi yang sesuai, menghadirkan tantangan saat

membuat perbandingan langsung biaya IT. Penggunaan oleh organisasi PT Metode akuntansi

biaya alternatif, seperti activity-based costing, dapat memungkinkan alokasi biaya sumber

daya yang konsisten antara internal dan eksternal yang disediakan Layanan TI.

3.3 Audit terprogram

Jenis audit keuangan lain berbeda dengan prosedur yang digunakan dalam audit yang

didorong oleh Persyaratan peraturan adalah pemeriksaan informasi keuangan program atau

proyek. Audit keuangan tingkat program biasanya berfokus pada membandingkan usulan

atau pengeluaran yang dianggarkan sampai waktu aktual, personil, material, dan biaya

sumber daya lainnya. Organisasi mengadopsi pendekatan manajemen program seperti Proyek

Management Institute's (PMI), Badan Manajemen Proyek Pengetahuan (PMBOK), atau

mengikuti standar untuk manajemen nilai yang diterima (EVM) dengan ketat mengikuti

program jadwal dan biaya informasi. Audit terhadap program yang dikelola dengan cara ini

24

memeriksa-antara metrik kinerja lainnya-biaya aktual yang terjadi dibandingkan dengan yang

direncanakan atau nilai yang dianggarkan dan mempertimbangkan keluaran program dalam

hal sumber daya yang dialokasikan memproduksi mereka Mengaktifkan bentuk manajemen

program ini memerlukan akuntansi sistem yang mampu merekam dan melacak aktivitas

program, berhubungan langsung dan biaya tidak langsung, dan ukuran kinerja [3]. Elemen

program terkait TI. Oleh karena itu audit mencakup teknologi yang mendukung perhitungan

biaya program terperinci dan mendapatkan nilai analisis Jenis audit ini menekankan kinerja

biaya dan jadwal dan dalam hal ini berbeda dengan audit operasional atau TI-spesifik yang

fokus tentang pelaksanaan tugas program atau manajemen proyek secara efektif.

3.4 Audit operasional

Audit operasional memeriksa praktik manajemen dan proses dan prosedur operasional

untuk menentukan bagaimana organisasi yang efektif atau efisien dapat memenuhi kebutuhan

mereka tujuan. Analisis semacam itu mengasumsikan bahwa organisasi telah secara eksplisit

menyatakan bisnisnya tujuan, telah mengembangkan inventarisasi proses bisnis dan

dukungan.

• Audit Operasional Pengendalian Internal

Dalam konteks audit operasional, pengendalian internal merupakan titik fokus audit

internal dan eksternal. Penekanan pada pengendalian internal tidak unik untuk audit

operasional, namun audit operasional mempertimbangkan pengendalian internal dari dua

perspektif yang berbeda: pertama, untuk menentukan apakah pengendalian yang tersedia

sesuai untuk memungkinkan pelaksanaan proses bisnis yang efisien dan efektif dalam

pemeriksaan, dan kedua, bahwa kontrol yang dilaksanakan oleh organisasi berfungsi dengan

baik. Komite Sponsoring Organization of Treadway Commission (COSO) mendefinisikan

pengendalian internal sebagai sebuah proses "yang dirancang untuk memberikan keyakinan

memadai mengenai pencapaian tujuan" yang terkait dengan efisiensi dan efektivitas

operasional, keandalan pelaporan, dan kepatuhan hukum dan peraturan. Kerangka

pengendalian internal COSO terdiri dari lima komponen utama: lingkungan pengendalian,

penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Lingkup

kerangka COSO sepenuhnya berlaku untuk audit operasional kegiatan tata kelola perusahaan

dan TI, namun komponen pengendalian lingkungan dan pengendalian aktivitas menekankan

faktor-faktor yang sesuai dengan fokus audit operasional. Secara khusus, kedua elemen ini

membahas kebijakan, proses, prosedur, dan standar organisasi yang digunakan untuk

25

memungkinkan pencapaian tujuan bisnis yang berlaku di seluruh organisasi dan proses

bisnisnya.

• Audit Terhadap Kebijakan, Proses dan Prosedur

Kebijakan, proses, dan prosedur organisasi merupakan fokus utama audit operasional.

Untuk mengembangkan strategi audit organisasi dan rencana audit operasional yang tepat,

organisasi perlu mengidentifikasi dan mengkategorikan rangkaian kegiatan operasional yang

mereka jalankan. Untuk melakukan audit operasional yang berfokus pada area subjek

tertentu, organisasi perlu melakukan aktivitas yang bersangkutan dan dapat menyelaraskan

atau mengkorelasikan aktivitas tersebut dengan tujuan organisasi. Banyak organisasi secara

rutin melakukan audit internal terhadap berbagai jenis proses dan aktivitas, membandingkan

kinerjanya yang ditunjukkan dengan kemampuan yang dibutuhkan untuk mencapai tujuan

organisasi atau pelaksanaan proses benchmarking terhadap standar industri, pesaing, atau

teladan. Audit operasional TI sering berfokus pada kebijakan, proses, dan prosedur yang

terkait dengan aktivitas teknis organisasi, namun auditor TI juga memiliki peran dalam audit

fungsi bisnis atau administratif karena sistem, infrastruktur, dan staf TI memberikan

dukungan untuk sebagian besar fungsi tersebut. Beberapa proses dan prosedur operasional

audit mungkin tumpang tindih secara substansial dengan audit sertifikasi, terutama di bidang

manajemen mutu, manajemen layanan, pengembangan perangkat lunak, dukungan teknis,

dan manajemen keamanan informasi.

• Audit Operasional Program atau yang Berfokus pada proyek

Audit operasional juga dapat digunakan untuk mengevaluasi program atau proyek

yang ditetapkan oleh sebuah organisasi, memeriksa karakteristik manajemen dan operasional

dalam rangka memenuhi metrik kinerja yang ditetapkan, mewujudkan hasil program atau

proyek, dan mencapai tujuan bisnis atau diantisipasi. Audit program atau proyek umumnya

memiliki lingkup yang lebih sempit daripada jenis audit operasional lainnya, sebagian, karena

kecenderungan di banyak organisasi untuk menetapkan program dan proyek untuk area

fungsional tertentu atau untuk mencapai tujuan tersendiri. Audit operasional terhadap

program dan proyek yang berfokus pada penggelaran, pengelolaan, pemantauan, atau

dukungan kemampuan TI memiliki kebutuhan audit TI yang jelas, namun hal yang sama juga

berlaku untuk inisiatif IT-centric yang bergantung pada TI proyek atau proyek spesifik atau

perusahaan. Operasional dalam konteks kegiatan audit sering berfokus pada kepatuhan

terhadap proses standar untuk pengembangan perangkat lunak, implementasi, operasi dan

26

pemeliharaan, dan fase pengembangan sistem lainnya (SDLC). Fokus teknis audit yang

menangani proses terkait TI bergantung pada pendekatan organisasi terhadap tata kelola TI

dan penggunaan model atau standar manajemen proyek teknis, rujukan untuk audit

operasional program atau proyek TI dapat mencakup kerangka proses atau layanan seperti

COBIT dan standar proses dari International Organization for Standardization (ISO).

3.5 Audit Sertifikasi

Sertifikasi audit adalah evaluasi formal terhadap satu atau lebih aspek kemampuan

operasional organisasi terhadap persyaratan eksplisit yang terkait dengan standar atau

metodologi yang ditetapkan secara eksternal. Pencapaian sertifikasi memberikan dukungan

eksternal bahwa sebuah organisasi memenuhi kriteria yang ditentukan untuk standar tertentu.

Berhasil mencapai sertifikasi bukanlah indikasi bahwa sebuah organisasi berkinerja secara

optimal atau dengan cara yang lebih unggul dari organisasi lain; Sebagai gantinya, sertifikasi

merupakan bentuk jaminan independen bahwa sebuah organisasi memenuhi setidaknya

seperangkat persyaratan minimum. Sebagian besar sertifikasi harus diberikan oleh badan

sertifikasi yang berwenang di luar organisasi yang mencari sertifikasi, yang berarti audit

sertifikasi biasanya dilakukan oleh auditor eksternal. Tanggung jawab organisasi untuk

mencapai sertifikasi (dan mempertahankannya setelah dicapai) termasuk membuat keputusan

manajemen untuk mengejar sertifikasi dan untuk melakukan sumber daya internal yang

diperlukan agar organisasi menyesuaikan diri dengan kriteria sertifikasi dan untuk menjaga

kesesuaian secara berkelanjutan. Organisasi juga harus mengidentifikasi, memilih, dan

membayar layanan dari badan sertifikasi yang berwenang yang melakukan audit sertifikasi.

Tanggung jawab untuk mengesahkan perusahaan audit eksternal untuk melakukan jenis audit

sertifikasi tertentu biasanya dimiliki oleh badan akreditasi nasional daripada organisasi

pengembangan standar.

• Manajemen Pelayanan

Tidak ada pendekatan standar tunggal untuk penataan organisasi, unit bisnis, atau

kemampuan operasional. Organisasi yang berbeda membentuk struktur manajemen dan tata

kelola sesuai dengan fungsi bisnis dan proses dan aktivitas terkaitnya, segmen pasar tempat

mereka berpartisipasi, produk atau layanan yang mereka ciptakan atau jual, atau wilayah

geografis tempat mereka beroperasi. Banyak organisasi yang telah menerapkan struktur

operasi berorientasi layanan - terutama untuk layanan terkait TI - mengikuti sertifikasi

kemampuan manajemen atau pengiriman layanan mereka sebagai indikator efektivitas atau

27

ukuran kualitas lainnya dan, dalam kasus layanan yang ditawarkan secara eksternal, untuk

meningkatkan kemampuan pemasaran atau daya tarik layanan mereka kepada pelanggan atau

mitra bisnis. Ada banyak kerangka kerja manajemen layanan yang sering digunakan

organisasi sebagai dasar untuk merancang dan mengoperasikan operasi berbasis layanan,

termasuk ITIL, Microsoft Operations Framework (MOF), dan beberapa aspek COBIT 5, yang

mencakup layanan yang terkait dengan infrastruktur dan aplikasi di antara enabler kunci tata

kelola TI.

• Manajemen Keamanan

Organisasi menginvestasikan sumber daya yang signifikan dalam pengendalian

keamanan untuk menjaga kerahasiaan, integritas, dan ketersediaan aset perusahaan mereka

termasuk sistem informasi dan informasi yang dikandungnya. Meskipun organisasi di banyak

sektor dan industri tunduk pada persyaratan hukum dan peraturan untuk keamanan dan

privasi, bahkan organisasi yang tidak terikat secara hukum oleh kewajiban semacam itu tetap

memiliki kepentingan kuat untuk membangun dan memelihara perlindungan keamanan yang

efektif, termasuk kemampuan manajemen keamanan. Instansi pemerintah dan organisasi

komersial di industri yang diatur secara spesifik - seperti perusahaan jasa keuangan, entitas

perawatan kesehatan, dan penyedia infrastruktur penting - banyak memusatkan perhatian

perhatian manajemen keamanan mereka pada kepatuhan terhadap peraturan, sehingga

mungkin cenderung tidak menginginkan sertifikasi keamanan eksplisit. Seperti jenis audit

sertifikasi lainnya, organisasi harus terlebih dahulu menetapkan nilai bisnis atau pembenaran

lain untuk mengikuti sertifikasi, menerapkan standar atau metodologi yang sesuai dengan

persyaratan sertifikasi, dan mengidentifikasi dan melibatkan layanan dari badan sertifikasi

yang diberi wewenang untuk melakukan audit sertifikasi.

• Manajemen Mutu

Sertifikasi mutu mewakili kategori yang agak lebih luas daripada sertifikasi di bidang

studi lain, karena manajemen mutu adalah domain di mana organisasi dapat disertifikasi

namun pencapaian banyak sertifikasi proses-sentris juga dianggap sebagai indikator kualitas

bagi organisasi yang disertifikasi. Model kedewasaan seperti CMMI, sertifikasi manajemen

layanan seperti ISO / IEC 20000, dan sertifikasi kepatuhan terhadap standar untuk berbagai

jenis sistem manajemen semuanya memberikan bukti bahwa organisasi melakukan

operasinya dengan cara yang sesuai dengan kerangka kerja dan proses yang ditetapkan secara

eksplisit yang dirancang agar efektif atau efisien bila diimplementasikan dengan baik. Serupa

28

dengan manajemen layanan, organisasi mungkin berusaha untuk mengesahkan kualitas fungsi

bisnis atau kemampuan operasional yang spesifik atau untuk memastikan keseluruhan

pendekatan mereka terhadap manajemen mutu. Banyak standar spesifik industri untuk sistem

manajemen mutu seperti ISO 13485 tentang pembuatan perangkat medis, Spesifikasi Teknis

ISO 16949 tentang kualitas produksi otomotif, dan ISO 29001 tentang kualitas produksi

minyak dan gas. Audit untuk sertifikasi mutu melibatkan badan sertifikasi yang terakreditasi

dan, dalam banyak kasus, auditor eksternal eksternal memegang sertifikasi terkait kualitas

seperti Certified Quality Auditor (CQA) atau Certified Lead Auditor untuk semua standar

ISO yang terkait dengan sistem manajemen mutu.

3.6 Audit Kepatuhan

Audit kepatuhan terdiri dari serangkaian pemeriksaan eksternal dan internal yang

dilakukan secara eksternal terhadap pemenuhan persyaratan hukum, peraturan perundang-

undangan, standar industri, persyaratan perizinan, komitmen kontrak, atau kewajiban formal

lainnya. Audit kepatuhan ditumpuk secara konseptual dengan audit keuangan, operasional,

dan sertifikasi dalam arti bahwa jenis audit tersebut sering menangani standar, praktik, atau

ketentuan hukum yang merupakan persyaratan wajib bagi organisasi. Sebagai kategori, audit

kepatuhan berlaku lebih luas daripada jenis lain dalam hal siapa yang melakukan audit

semacam itu, tujuan untuk melakukan audit kepatuhan, dan elemen organisasi atau bidang

studi yang menyediakan ruang lingkup audit. Standar dan metodologi yang digunakan dalam

audit kepatuhan bervariasi sesuai dengan konteks audit dan organisasi atau badan hukum

yang memiliki tanggung jawab untuk memverifikasi kepatuhan. Persyaratan organisasi yang

mendasari audit kepatuhan berasal dari berbagai sumber eksternal, selain kebijakan internal

dan tujuan tata kelola. Audit kepatuhan yang dilakukan secara ad hoc atau satu kali daripada

sebagai proses rutin atau berulang terkadang dapat mengidentifikasi kekurangan serius atau

masalah sistemik dalam sebuah organisasi.

• Kepatuhan Hukum

Legislasi dan peraturan yang dimandatkan secara hukum merupakan sumber

persyaratan kepatuhan yang signifikan. Organisasi yang berada di bawah yurisdiksi berbagai

undang-undang nasional, negara bagian atau provinsi, atau lokal diwajibkan untuk mematuhi

ketentuan wajib undang-undang dan dapat diperiksa untuk memverifikasi kepatuhan mereka.

Tidak semua undang-undang termasuk audit sebagai mekanisme untuk memeriksa kepatuhan,

namun prosedur audit sering ditemukan dimana ketentuan hukum mencakup denda untuk

29

ketidakpatuhan. Beberapa undang-undang dan peraturan berlaku untuk semua organisasi,

sehingga organisasi di industri, pasar, dan wilayah geografis yang berbeda perlu mengetahui

peraturan dan peraturan yang berlaku bagi mereka, yang persyaratannya dapat dikenai

validasi melalui audit kepatuhan, dan kriteria apa yang harus terpenuhi bila dan kapan

organisasi diaudit. Kegiatan kepatuhan di banyak organisasi melampaui audit formal, karena

walaupun tidak adanya hukuman finansial atau denda lainnya karena ketidakpatuhan

beberapa organisasi perlu melakukan penilaian kepatuhan sendiri dan melaporkan hasilnya ke

badan pengawas eksternal. Organisasi juga dapat memfokuskan sumber daya program audit

internal untuk memelihara dan meninjau bukti kepatuhan yang mungkin perlu diberikan jika

organisasi dipilih untuk audit acak atau menjadi subyek litigasi perdata atau pidana.

Kebutuhan untuk mempertahankan kesadaran akan persyaratan audit legal yang berlaku

untuk setiap organisasi mencakup terus mengikuti perubahan dalam kepatuhan atau kebijakan

penegakan hukum yang terkait dengan persyaratan hukum.

• Audit Operasional Program atau Proyek

Audit operasional juga dapat digunakan untuk mengevaluasi program atau proyek

yang ditetapkan oleh sebuah organisasi, memeriksa karakteristik manajemen dan operasional

dalam konteks memenuhi metrik kinerja yang ditetapkan, mewujudkan hasil program atau

proyek, dan mencapai tujuan bisnis atau manfaat yang diantisipasi sesuai dengan harapan

yang ditetapkan pada Waktu program atau proyek dimulai. Audit program atau proyek

umumnya memiliki lingkup yang lebih sempit daripada jenis audit operasional lainnya,

sebagian, karena kecenderungan di banyak organisasi untuk menetapkan program dan proyek

untuk area fungsional tertentu atau untuk mencapai tujuan tersendiri. Kegiatan audit

operasional Operasional dalam konteks ini sering berfokus pada kepatuhan terhadap proses

standar untuk pengembangan perangkat lunak, implementasi, operasi dan pemeliharaan, dan

fase pengembangan sistem lainnya (SDLC). Fokus teknis audit yang menangani proses

terkait TI ini dijelaskan secara rinci di Bab 6. Bergantung pada pendekatan organisasi

terhadap tata kelola TI dan penggunaan model atau standar manajemen proyek teknis,

rujukan untuk audit operasional program atau proyek TI dapat mencakup kerangka proses

atau layanan seperti COBIT atau Information Technology Infrastructure Library (ITIL) dan

standar proses dari International Organization for Standardization (ISO), Institute for

Electrical and Electronics Engineers (IEEE), dan Institut Teknik Perangkat Lunak (SEI) di

Carnegie Mellon Universitas.

• Kepatuhan Terhadap Standar Industri

30

Organisasi yang beroperasi di industri tertentu mungkin tunduk pada standar yang

dikembangkan, diterapkan, dan dipelihara oleh otoritas pemerintah, kelompok industri atau

asosiasi, atau organisasi pengembangan standar. Organisasi yang diwajibkan untuk

memenuhi persyaratan ini sering memasukkannya ke dalam kebijakan, prosedur, dan standar

internal mereka dan memvalidasi kepatuhan melalui audit kepatuhan internal, sendiri atau

sebagai tambahan terhadap audit eksternal yang dilakukan oleh auditor yang memenuhi

syarat dan berwenang. Organisasi juga dapat mengadopsi standar teknis sukarela yang

dikembangkan dengan penerapan industri yang spesifik, seperti standar HL7 untuk

perawatan kesehatan, titik penjualan (POS) di ritel, atau subset spesifik industri dari standar

ANSI X12. Seperti standar komersial, memverifikasi atau menunjukkan kepatuhan terhadap

standar industri sukarela dapat membantu organisasi mencapai tingkat interoperabilitas

teknis yang lebih tinggi dengan organisasi sebaya. Di banyak organisasi industri tunduk pada

beberapa peraturan yang diatur dan diawasi oleh berbagai jenis organisasi, berpotensi

menghadirkan tantangan dalam hal mengevaluasi kepatuhan terhadap semua persyaratan

yang berlaku dalam audit tunggal. Misalnya, North Keandalan Keandalan Amerika Utara

(NERC) mempertahankan standar keandalan untuk perusahaan energi yang beroperasi di

Amerika Serikat, Kanada, dan Meksiko. Perusahaan energi AS juga tunduk pada peraturan

dari Federal Energy Regulatory Commission (FERC) dan, dalam kasus perusahaan yang

memproduksi listrik dengan tenaga nuklir, untuk peraturan tambahan dan standar dari

Komisi Regulasi Nuklir (NAT).

• Standar Komersial

Berbeda dari persyaratan kepatuhan khusus industri, standar komersial berlaku untuk

banyak organisasi berdasarkan jenis fungsi bisnis atau transaksi yang mereka lakukan atau

cara menjalankan fungsinya. Organisasi juga sering memilih untuk menerapkan standar

sukarela, terutama di domain TI, untuk membantu memastikan interoperabilitas dengan

pelanggan atau mitra bisnis atau untuk memungkinkan penggunaan produk dan teknologi

vendor yang berbeda di lingkungan mereka.Standar sukarela biasanya tidak tunduk pada

audit kepatuhan yang dipersyaratkan, namun organisasi dapat melakukan kegiatan verifikasi

kepatuhan mereka sendiri untuk dapat mempublikasikan penggunaan atau dukungan mereka

terhadap standar.Misalnya, Open Source Initiative mendorong adopsi teknologi open source

dan memfasilitasi interoperabilitas antara teknologi tersebut dengan dua tingkat yang

ditunjuk kepatuhan, satu selfattested dan yang lainnya berdasarkan penelaahan kesesuaian

31

dengan eksplisit persyaratan standar terbuka. Contoh standar komersial wajib yang jelas

adalah Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), yang menentukan

persyaratan untuk organisasi yang menerima kartu pembayaran (seperti kartu kredit, debit,

atau kartu prabayar) dan menangani informasi pemegang kartu dalam perjalanan melakukan

bisnis. Standar yang disponsori oleh prosesor pembayaran komersial utama elektronik

termasuk VISA, MasterCard, dan American Express dan wajib bagi semua organisasi yang

memproses, menyimpan, atau mengirimkan data pemegang kartu.

3.7 Audit Khusus Untuk IT Audit TI memiliki peran penting dalam masing-masing tipe audit yang dijelaskan

sejauh ini di bab ini, namun ada audit tambahan yang berfokus secara eksplisit pada berbagai

aspek TI. Banyak audit TI dimaksudkan untuk mencapai hasil yang serupa dengan yang

diantisipasi dari jenis audit lainnya, termasuk menunjukkan kepatuhan atau pencapaian

sertifikasi terhadap standar tertentu. Bab 6 memberikan rincian terperinci komponen teknis

dan elemen organisasi yang sering ditangani melalui audit TI, sementara Bab 2 menetapkan

konteks organisasi yang lebih luas untuk berbagai jenis audit TI. Informasi dalam bagian ini

secara singkat menggambarkan audit IT-centric yang umum dan bidang subjek yang mereka

hadapi, sebagai pengakuan atas perbedaan pendekatan, sumber bimbingan, dan ketrampilan

yang diperlukan yang terkait dengan audit khusus IT.

• Kematangan proses TI

Efektivitas dan efisiensi dengan yang organisasi menerapkan dan melaksanakan

proses TI sering dinyatakan dalam hal kematangan proses, ukuran relatif dari seberapa baik

proses sepenuhnya didefinisikan, didokumentasikan, diimplementasikan, dan dioptimalkan

untuk digunakan dalam sebuah organisasi. Appraisals kematangan proses organisasi

mengkaji langkah-langkah dan kegiatan-kegiatan khusus organisasi melakukan dalam bisnis

tertentu atau domain teknis dan sejauh mana organisasi standarisasi proses untuk mencapai

hasil yang lebih berulang, diprediksi, dan dapat diandalkan. Standar atau referensi normatif

yang digunakan untuk mengevaluasi kedewasaan menentukan bidang proses - kategori

praktik dan aktivitas terkait yang secara kolektif memungkinkan perbaikan proses dalam

domain tertentu - mewakili proses yang diharapkan oleh organisasi. Untuk mencapai tingkat

kematangan yang spesifik terhadap model referensi ini, organisasi harus menunjukkan bahwa

mereka telah menerapkan dan mengikuti proses yang disertakan dalam setiap area

32

proses. Dua dari model-proses kematangan yang paling banyak digunakan SEI CMMI dan

Objek Proses Bisnis Manajemen Group Maturity Model (BPMM)-baik menentukan model

jatuh tempo lima tingkat dengan area proses yang sesuai pada setiap tingkat. Jumlah dan

jenis proses yang ditentukan dalam CMMI agak bervariasi di berbagai versi model untuk

akuisisi.

33

KESIMPULAN

“Audit internal adalah independen, assurance objektif dan kegiatan konsultasi yang

dirancang untuk menambah nilai dan memperbaiki operasi organisasi Ini membantu

organisasi mencapai tujuannya dengan membawa pendekatan sistematis dan disiplin untuk

mengevaluasi dan memperbaiki efektivitas proses manajemen, pengendalian, dan tata kelola

risiko”. Institut untuk Auditor Internal mencakup definisi formal audit internal sebagai bagian

dari Kerangka Kerja Praktek Profesional Internasional (IPPF).

Audit internal mencerminkan kebijakan dan program organisasi perspektif tentang

apa yang harus di audit dan bagaimana berbagai jenis audit dilakukan, seperti serta

pengetahuan materi pelajaran yang berlaku untuk setiap organisasi dan jenisnya Audit TI itu

kinerjanya.

Audit eksternal adalah biaya melakukan bisnis di banyak industri dan sektor, untuk TI

dan kontrol terkait seperti halnya pelaporan keuangan dan akuntansi praktek. Dari perspektif

ini, menjalani dan memberikan audit eksternal nilai bagi organisasi yang diaudit hanya

dengan berhasil menyelesaikan proses audit seperti yang dipersyaratkan. Selain membantu

memastikan kepatuhan organisasi dengan yang berlaku hukum, peraturan, dan standar, audit

eksternal menawarkan berbagai manfaat lainnya. Audit TI eksternal memberikan tinjauan

independen dan analisis pengendalian internal dan proses operasional yang dapat dianggap

lebih kredibel daripada sebanding audit internal.

Dengan mengembangkan pemahaman menyeluruh tentang persyaratan audit,

organisasi dapat memilih auditor dengan kualifikasi, kompetensi, independensi, dan

pengalaman untuk setiap jenis audit eksternal dan mempersiapkan staf internal dan

pembuktian bahan yang dibutuhkan untuk mendukung audit tersebut.

Organisasi melakukan audit TI perlu memahami sepenuhnya sejauh mana TI

mendukung, mendorong, atau sebaliknya berkontribusi pada fungsi bisnis dan operasional

yang berbeda. Internal dan eksternal Auditor TI harus menyadari konteks organisasi dimana

tipe tertentu audit berlaku dan serangkaian pengendalian internal yang terkait dengan IT.

34

DAFTAR PUSTAKA

Gantz, Stephen D. 2014. The Basic of IT Audit : Purposes, Processes, and Practical Information. USA.