AUDIT SISTEM INFORMASI PENGENDALIAN INTERNAL Penger5an Pengendalian Internal • Menurut Gramling, Ri0enberg, dan Johnstone (2012: 208), “Internal control is a process related to the achievement of the organiza5on ’ s objec5ves. Organiza5ons iden5fy the risks to achieving those objec5ves and implement various controls to mi5gate those risks”. • Pengendalian internal diperlukan untuk mengidenAfikasi risiko agar proses bisnis perusahaan Adak terganggu. Pengendalian Internal • Jadi dapat disimpulkan bahwa pengendalian internal adalah pengendalian dalam suatu organisasi bertujuan untuk menjaga aset perusahaan, pemenuhan terhadap kebijakan dan prosedur, kehandalan dalam proses, dan operasi yang efisien Tujuan Pengendalian Internal • tujuan disusunnya system control atau pengendalian internal komputer adalah sebagai berikut: – Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akuntansi (accoun5ng records) yang bersifat logical assets, maupun physical assets seperA hardware, infrastructures, dan sebagainya). – Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. – Meningkatkan efekAfitas sistem (improve system effec5veness). – Meningkatkan efisiensi sistem (improve system efficiency). Tujuan Sistem Pengendalian Internal • Tujuan sistem pengendalian internal direncanakan atau dirancang dengan tujuan untuk : – Menjaga kekayaan organisasi, – Mengecek keteliAan dan kehandalan data akuntasi, – Mendorong efisiensi, dan – Mendorong dipatuhinya kebijakan manajemen. Penggolongan Pengendalian Internal • Pengendalian internal harus diterapkan terhadap seAap sistem dan aplikasi, hal ini dilakukan untuk mengurangi exposure yang selalu muncul pada pencatatan yang buruk, akuntansi yang Adak tepat, interupsi bisnis, pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran hukum terhadap peraturan, peningkatan biaya dan hilangnya aset perusahaan. • Oleh sebab itu manajemen harus menyadari penAngnya pengendalian untuk menjaga sistem dari penggunaan secara Adak tepat, untuk mengurangi Ambulnya kesalahan dan untuk memaksimalkan hasil dari sistem operasi. Pengendalian ini digolongkan menjadi 2 golongan yaitu : – General controls (pengendalian umum). – Applica5on controls (pengendalian aplikasi). PENGENDALIAN UMUM Pengendalian Umum (General Control) • Menurut Sawyer, Di0enhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most applica5on. They include such controls as segrega5on of incompa5ble du5es, system development procedures, data security, all administra5ve controls, and disaster recovery capabili5es. • Pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum melipuA seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. ArAnya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut. Contoh Pengendalian Umum • Pengendalian umum juga dapat diarAkan sebagai pengendalian yang Adak terkait langsung ke suatu aplikasi tertentu. • Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM Adak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-­‐ketentuan tersebut Adak langsung dengan transaksi pengambilan uang di mesin ATM). Ruang lingkup pengendalian umum • Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspekAf manajemen) diantaranya adalah : – Pengendalian manajemen puncak (top management controls). – Pengendalian manajemen pengembangan sistem (informa5on system management controls). – Pengendalian manajemen sumber data (data resources management controls). – Pengendalian manajemen operasi (opera5ons management controls). – Pengendalian manajemen keamanan (security administra5on management controls). – Pengendalian manajemen jaminan kualitas (quality assurance management controls). Unsur Pengendalian Umum • Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah : – Pengendalian Manajemen Operasi (Opera5onal Management Controls) – Pengendalian Manajemen Keamanan (Security Management Controls) Opera-onal Management Controls • Pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi. – Pemisahan tugas dan fungsi – Pengendalian personil – Pengendalian perangkat keras – Pengendalian jaringan – Manajemen operasi Pemisahan tugas dan fungsi • Pemisahan tugas dan fungsi didesain untuk memasAkan bahwa fungsi – fungsi yang Adak sejalan (atau seharusnya -­‐ cek), seperA : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu : – Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap akAvitas IT. – Pemisahan fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library). Pengendalian personil • Personil mempunyai peranan penAng dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-­‐hal berikut : – Adanya prosedur penerimaan dan pemilihan pegawai – Adanya program peningkatan keahlian pegawai melalui pelaAhan yang berhubungan dengan bidang tugasnya – Adanya evaluasi atas pekerjaan yang dilakukan pegawai – Administrasi atas gaji dan prosedur promosi yang jelas – Penggunaan uraian tugas (job descrip5on) – Pemilihan dan pelaAhan pegawai – Penyediaan (supervisi) dan penilaian – Penggiliran pekerjaan (job rota5on) dan keharusan mengambil cuA – Adanya jenjang karier serta sarana dan aturan untuk mencapainya Pengendalian perangkat keras • • • • • • Pengawasan terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi. Pengaturan lokasi fisik Lokasi ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan komputer Penggunaan alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan Pengendalian operasi perangkat keras Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut Pengendalian perangkat lunak Pengendalian perangkat lunak didesain untuk memasAkan keamanan dan kehandalan sistem Pengendalian keamanan data Pengendalian keamanan data merupakan suatu Andakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar Adak hilang dan rusak, atau diakses oleh orang yang Adak berhak. Pengendalian jaringan • • Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelola wide area network adalah network control terminal. Network control terminal menyediakan akses kepada soLware system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu : – Memulai dan menghenAkan jaringan dan proses – Memonitor akAvitas jaringan – MengganA nama line komunikasi – Mengenerate sta5s5c system – MenseMng ulang panjangnya antrian – Menambah frekuensi backup – Menanyakan status sistem – Mengirimkan system warning dan status message – Memeriksa lintasan data pada line komunikasi Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penAng pada suatu jaringan. Manajemen operasi • Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, mul5 user atau jaringan (network) atau dalam bentuk client server. – Service level agreements – Kepustakaan file – Fungsi help desk – Capacity planning – Outsource Security Management Controls (1) • Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer). – Kebijakan keamanan IT (IT security policy) – Beberapa aspek serangan potensial – Mitos-­‐mitos seputar keamanan komputer – Kebijakan keamanan komputer – Personil dan kebijakan keamanan komputer Security Management Controls (2) • Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan melipuA perlindungan terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara penanganannya: – Kebakaran • Tindakan pengamanan untuk ancaman kebakaran adalah : • Memiliki alarm kebakaran otomaAs yang diletakkan di ruangan dimana aset – aset sistem informasi berada. • Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau. • Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api. – Banjir • Tindakan pengamanan untuk ancaman kebanjiran, antara lain : • Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air. – Perubahan tegangan sumber energi • Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat menggunakan stabilizer ataupun Uninterrup5ble Power Supply (UPS) yang mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba turun. Security Management Controls (3) – Polusi • Tindakan pengamanan untuk menganAsipasi polusi adalah dengan membuat situasi kantor bebas debu, Adak memperbolehkan membawa binatang peliharaan serta melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer. – Virus dan Worm • Tindakan pengamanan untuk menganAsipasi virus dan worm adalah : • PrevenAf, dapat dengan menginstal anA virus dan di-­‐update secara berkala, melakukan scan atas file yang akan digunakan. • DetekAf, melakukan scan secara ruAn untuk mendeteksi adanya virus maupun worm. • KorekAf, memasAkan back up data bebas virus dan worm, pemakaian anA virus terhadap file yang terinfeksi. PENGENDALIAN APLIKASI Pengendalian Aplikasi (Applica-on Control) • Menurut Ruppel (2008, hal. 537-­‐538) applica5on controls help ensure the completeness and accuracy of transac5on processing, authoriza5on, and validity edit checks, numerical sequence checks, and manual follow up of the excep5on report are example of applica5on controls. • pengendalian aplikasi (appliac5on controls) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/ kegiatan/aplikasi tertentu (seAap aplikasi memiliki karakterisAk dan kebutuhan pengendalian yang berbeda). Contoh Pengendalian Aplikasi • Pengendalian aplikasi disebut juga pengendalian transaksi, karena didesain berkaitan dengan transaksi pada aplikasi tertentu. • Misalnya apabila nasabah akan mengambil uang di ATM, setelah memasukkan kartu akan dimina PIN, atau setelah memasukkan nilai uang yang akan diambil, ATM akan mengecek sapakah saldo cukup, atau jumlahnya diijinkan sesuai dengan mengecek apakah saldo cukup, atau jumlahnya diijinkan sesuai dengan ketentuan bank. Pengendalian berupa PIN dan limit pengambilan uang tersebut hanya berlaku di ATM, Adak berlaku di kegiatan lain. Unsur Pengendalian Aplikasi • Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian aplikasi pada dasarnya terdiri dari : – Pengendalian batas sistem (boundary controls) – Pengendalian masukan (input controls) – Pengendalian proses pengolahan data (process controls) – Pengendalian keluaran (output controls) – Pengendalian file/database (file/database controls) – Pengendalian komunikasi aplikasi (communica5on controls) • Namun yang akan dibahas dalam penulisan skripsi ini melipuA boundary controls, input controls, output controls. Pengendalian batas sistem (boundary controls) • boundary adalah interface antara users dengan sistem berbasis teknologi informasi. Tujuan utama boundary controls adalah antara lain : – Untuk mengenal idenAtas dan otenAk/Adaknya pemakai sistem, arAnya suatu sistem yang didesain dengan baik seharusnya dapat mengidenAfikasi dengan tepat siapa users tersebut, dan apakah idenAtas diri yang dipakainya otenAk. – Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang ditetapkan. • Contoh dari pengendalian batasan : – Otoritas akses ke sistem aplikasi – IdenAtas dan otenAsitas pengguna Pengendalian masukan (input controls) • Pengendalian masukan (input controls) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penAng karena input yang salah akan menyebabkan output juga keliru. • Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam dua cara yaitu : – Batch system (delayed processing systems) – On line transac5on processing system (pada umumnya bersifat real 5me system) Batch system (delayed processing systems) • Pada sistem pengolahan data secara batch processing system, Aap transaksi (misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book keeping untuk mencatat transaksi ke dalam jurnal, posAng ke buku besar dan buku pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan Adak pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office system, yaitu semata-­‐mata untuk mengolah data dokumen-­‐dokumen akuntansi yang transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing). Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu disebut sistem pengolahan data elektronik, electronic data processing, EDP). • Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada hakikatnya dapat dikelompokan dalam Aga tahapan, yaitu (1) data capture (penangkapan data, pengisian dokumen sumber atau source document), (2) data prepara5on (penyiapan data untuk di entry), (3) data entry (pemasukan data) merupakan proses merekam atau memasukan data ke komputer, suatu proses mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable form). On line transac-on processing system • On line transac5on processing system (pada umumnya bersifat real 5me system) • Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah dengan online transac5on processing system. Pada sistem tersebut data masukan dientri dengan worksta5on/terminal atau jenis input device seperA ATM (automa5c teller machine) dan point of sales (POS). Meskipun online bisa saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real 5me system, arAnya upda5ng data di komputer bersamaan dengan terjadinya transaksi. • Contoh dari pengendalian input : – Otoritas dan validasi masukan – Transmisi dan konversi data – Penanganan kesalahan Pengendalian keluaran (output controls) • Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana mesAnya. Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-­‐orang yang berhak (para user) secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah : – Rekonsiliasi keluaran dengan masukan dan pengolahan Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal. – Penelaahan dan pengujian hasil-­‐hasil pengolahan Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-­‐hasil pengolahan dari sistem. Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai. Pendistribusian keluaran • Pengendalian ini didesain untuk memasAkan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya k e l u a r a n y a n g d i p e r l u k a n s a j a y a n g didistribusikan. • Contoh dari pengendalian output : – Rekonsiliasi keseluruhan – Penelaahan dan pengujian hasil pengolahan – Distribusi keluaran Sifat-­‐Sifat Pengendalian Internal • pengendalian internal digolongkan dalam preven5ve, detec5on, correc5ve : – Preven5ve control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud) – Detec5on control, yaitu pengendalian yang didisain dengan tujuan agar apabila data direkam (di-­‐entry)/dikonfersi dari media sumber (media input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi kesalahan (maksudnya Adak sesuai dengan kriteria yang ditetapkan). – Correc5ve control, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi Adak terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-­‐benar terjadi. Kelompok Pegendalian Internal • Pengendalian intern dikelompokkan dalam pengendalian yang bersifat wajib (mandatory) dan yang opsional – Jika ada peraturan dari pemerintah DKI bahwa setelah jam 24.00 ruang ATM harus dikunci dalam rolling-­‐door misalnya, maka ketentuan tersebut adalah mandatory. – Jika ketentuan pengamanan ruang ATM tersebut Adak harus dilakukan, maka termasuk pengendalian yang bersifat opsional. Ak5vitas Pengendalian • Menurut Weygandt (2011), terdapat enam prinsip akAvitas pengendalian, yaitu: – Penetapan tanggung jawab – Pembagian tugas – Prosedur dokumentasi – Pengendalian fisik – Verifikasi internal yang dilakukan secara independen – Pengendalian sumber daya manusia Fungsi Internal Auditor • seorang auditor TI sebaiknya ampu melakukan pekerjaan-­‐pekerjaan sebagai berikut: – Mengevaluasi pengendalian atas aplikasi-­‐aplikasi tertentu, yang mencakup analisis terhadap risiko dan pengendalian atas aplikasi-­‐aplikasi seperA e-­‐business, sistem perencanaan sumber daya perusahaan. – Memberikan asersi (assurance) atas proses-­‐proses tertentu, seperA audit dengan prosedur-­‐prosedur tertentu yang disepakaA bersama dengan auditee mengenai lingkup asersi. – Memberikan asersi atas akAfitas pengolahan data pihak keAga dengan tujuan untuk memberikan asersi bagi pihak lain yang memerlukan informasi mengenai akAfitas pengendalian data yang dilakukan oleh pihak keAga tersebut. – Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna menemukan kelemahan-­‐kelemahan yang ada dalam pengolahan data tersebut. – Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan. – Mencari kecurangan yang berbasis TI, yaitu menginvesAgasi catatan-­‐catatan komputer dalam invesAgasi kecurangan. Audit Sistem Informasi • Meliputi: – Tata kelola teknologi informasi secara menyeluruh – Audit pengembangan sistem informasi (SDLC), satu jenis aplikasi tertentu Audit Sistem Informasi – Sejarah Awal • Di America – Univac – Komputer yang digunakan untuk sensus – 1959 – komputer digunakan untuk pembukuan – IBM360 – mainframe untuk kebutuhan akuntansi • Muncul istilah audit arround computer – EEDPAA – electronic data processing auditors association lahir tahun 1969 • Mengeluarkan control objective (sejak tahun 1994 disebut CobIT) • Dianggap sebagai international set of generally accepted IT control objectives for day-to day use by business managers, users of it and IS auditors Audit Sistem Informasi • Perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi • Level of maturity dapat dilihat dari awareness dari para stake holder – Karenanya sebuah penerapan IT harus melalui tahapan perencanaan yang baik. Kebutuhan Audit Sistem Informasi • General Financial Audit – Audit objective sesuai dengan standar akuntansi keuangan – Referensi model adalah COSO (committee of sponsoring Organization) • IT Governance – Audit operasional terhadap manajemen pengelolaan sumberdaya informasi – Aspek-aspek:efektifitas, efesiensi, data integrity, save guarding asset, reliability, confidentiallity, availability, security. Audit Sistem Informasi – IT Governance • Selain dapat dilakukan untuk sistem secara menyeluruh, dapat juga dilakukan terhadap: – General information review • Audit terhadap sistem informasi – Quality Assurance • Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek. – Postimplementation Audit • Apakah sistem perlu dimutakhirkan atau diperbaiki atau dihentikan. • Istilah audit arround dan audit through the computer tidak berlaku lagi pada audit jenis ini Audit Sistem Informasi • Karena yang diaudit ialah tata kelola TI, maka yang diperiksa adalah TI itu sendiri – Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi • Audit TI/SI tidak bersifat wajib – Adanya aktifitas TI merupakan bentuk kesadaran dari pihak manajemen Audit Sistem Informasi - Faktor • Mendeteksi apakah komputer dikelola secara kurang terarah – Tidak ada visi, misi, perencanaan teknologi informasi, tidak ada pelatihan • Mendeteksi resiko kehilangan data • Mendeteksi resiko informasi yang tidak akurat, berdasarkan data yang salah. • Menjaga aset • Mendeteksi error komputer Audit Sistem Informasi – Faktor (2) • Mendeteksi resiko penyalahgunaan komputer • Menjaga kerahasiaan • Meningkatkan pengendalian evolusi penggunaan komputer/perkembangan ke depan Pengelolaan TI – Level of Maturity • Non Existence – Tahap awal, komputerisasi dilakukan secara alamiah, tidak ada metodologi • Initial – Ada kegiatan penyusunan sistem yang terarah, masih bersifat ad hoc • Repeatable – Sudah menemukan pola pengembangan yang terarah, berjalan dengan pola yang sama. Pengelolaan TI – Level of Maturity (2) • Defined – Seluruh proses telah didokumentasikan dan telah dikomunikasikan dan dilaksanakan berdasarkan suatu metoda tertentu • Managed – Proses komputerisasi telah dapat diukur dan dimonitor. • Optimized – Best Practices telah diikuti dan diotomatisasi pada sistem. Audit SI – Ukuran Nilai • Strategic Alignment – Apakah penerapan TI sudah sesuai dengan yang diaharapkan, apakah sudah sesuai kebutuhan • Value Delivery – Komputerisasi bukan hanya untuk memenuhi kebutuhan tapi juga sudah dimaksudkan untuk memberikan nilai tambah, ex: penghematan biaya, meningkatkan kinerja. Audit SI – Ukuran Nilai (2) • Risk Management – Sudah ada penaksiran resiko, ada jaminan kelangsungan operasi. • Resources Management – Pengelolaan sumber daya, termasuk pengembangan pengetahuan sudah dilakukan secara efesien Standar Audit SI • Standar Atestasi dan standar pemeriksaan akuntan (IAI) • ISACA – standards, guidelines, and procedures – Secara teknis mengacu kepada guidelines dan prosedur yang diatur dalam CObIT: • CObIT executive summary, CObIT framework, CObIT Control Objectives, CObIT Control Practice, CObIT Management Guidelines, CObIT Security Baseline