Minggu, 02 April 2017

IS Quality Assurance & Control - AUDIT TI

Sebagai seorang student di salah satu Universitas swasta di Jakarta, saya memiliki tugas personal. Salah satu tugas yang menjadi kewajiban saya yaitu Tugas dari mata kuliah IS Quality Assurance & Control. 
Di postingan kali ini, sekaligus sebagai welcome back nya blog saya, saya akan membahas beberapa pertanyaan terkait audit TI. cekidot .  
  1. Apa yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya atau yang terlibat didalamnya?
Auditing Technologi Informasi muncul seiring dengan pesat nya teknologi informasi. Dimana peranan computer dalam proses auditing sangat penting. Bahkan sekarang ini mulai dari input, proses, dan output telah banyak yang menggunakan computer atau sudah tidak manual lagi. Jika merujuk pada pengertian dari Wikipedia, Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastrukturteknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
IT audit lebih lanjut diartikan sebagai proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakantelah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
Dalam  audit ti, pengendalian umum meliputi kebijakan dan prosedur mengenai semua aktifitas TI yang mencakup :
• Organisasi & Manajemen
• Software & Hardware
• Akses
• Data & Prosedur
• Pengembangan Sistem Baru
• Pemeliharaan Program
• Dokumentasi
Sedangkan untuk Subyek yang perlu diaudit mencakup:
1. Aspek keamanan
Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metodacadangan, melainkan juga penerapan standar tertentu, seperti C-ICT.
2. Keandalan
Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan criticalapplications dan prosedur penyimpanan data di file server, bukan di drive lokal C.
3. Kinerja
Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yangsesuai dengan beban kerja.
4. Manageability
manageability menyangkut penerapan standar tertentu dan pendokumentasian secarateratur dan berkesinambungan
Audit itu harus dilakukan terhadap :
1.         sistem informasi secara keseluruhan.
2.         perangkat TI yang digunakan
3.         software, hardware, jaringan saja
4.         aspek yang terlibat dan relevan dalam sistem informasi.
Sebagai contoh kasus penelitian akan audit TI yang sudah pernah dilakukan dikutip dari salah satu jurnal, adanya audit sebuah bank swasta yang menunjuk tim I Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut: manajemen proyek, desain  proses dan pengendalian control aplikasi, serat desain infrastruktur. Pada tahapan selanjutnya Auditor diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.
Contoh kasus audit IT lainnya yang cukup kontroversial di tahun 2008 yaitu kasus audit IT Bank Indonesia dimana  tim IT indonesia meneliti adanya penyimpangan yg dilakukan para petinggi negeri ini. terutama karena melibatkan serentetan nama anggota dewan gubernur BI dan anggota DPR terkemuka. Sebagai hasil dari laporan BPK, kasus aliran dana YPPI kini telah terangkat ke meja hijau.

2.      Mengapa kontrol TI  dan audit begitu penting di lingkungan virtual saat ini?
Beberapa alasan penting mengapa audit TI begitu penting dilakukan, antara lain :
• Kerugian akibat kehilangan data
• Kesalahan dalam pengambilan keputusan
• Risiko kebocoran data
• Penyalahgunaan Komputer
• Kerugian akibat kesalahan proses perhitungan
• Tingginya nilai investasi Hardware dan Software
• Pengendalian Umum
Pada saat komputer diperkenalkan ke dalam organisasi bisnis, risiko-risiko baru atau bertambahnya risiko juga akan ditemui. Sebagai contoh, dalam lingkungan pengolahan komputer, kesalahan sejenis dapat terulang sampai beribu kali dalam satu hari karena adanya konsistensi dan kecepatan yang tinggi dalam pengolahan komputer. Jadi, salah satu risiko baru yang diakibatkan oleh suatu komputer adalah pengulangan kesalahan seperti itu. Karena adanya risiko-risiko baru atau penambahan risiko ini, harus diperkenalkan metode audit/ pemeriksaan dan pengendalian yang baru. Tujuan pengendalian bukanlah untuk mengubah kapan suatu komputer diperkenalkan, tetapi metode-metode yang harus dipergunakan.
Audit TI/SI merupakan suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.
Audit TI sangat dibutuhkan dalam suatu organisasi perusahaan untuk mengetahui apakah suatu pengendalian dalam TI/SI di sebuah organisasi tersebut tujuannya sudah tercapai atau belum.            Audit internal dalam melakukan audit TI/SI diperlukan prosedur pengendalian dan lalu di ujikan,untuk pencapaian tujuan pengendalian tersebut. 
Audit TI/SI sangat penting bagi perusahaan karena dengan adanya audit disebuah perusahaan, maka perusahaan tersebut akan mengetahui tercapainya tujuan prosedur pengendalian internal perusahaan atau tidak. Oleh karena itu, sangat dianjurkan pada perusahaan untuk melakukan audit TI/SI diperusahaannya.

3.      Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?
Meskipun IT meningkatkan pengendalian intern perusahaan, hal ini juga dapat mempengaruhi resiko-resiko pengendalian perusahaan secara keseluruhan yang menyebabkan beberapa masalah. resiko khusus pada sistem TI yaitu:
Ø  Resiko pada perngkat keras
Meskipun IT memberikan manfaat pemrosesan yang signifikan, hal itu juga menciptakan resiko yang unik dalam melindungi perangkat keras dan data, termasuk potensi munculnya jenis kesalahan baru. Resiko khusus ini mencakup hal-hal berikut:
-          Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak.
-          Kesalahan sistematis versus kesalahan acak
-          Akses yang tidak sah salah
-          Hilangnya data
Ø  Jejak audit yang berkurang
Salah saji mungkin tidak terdeteksi dengan meningkatnya penggunaan IT akibat hilangnya jejak audit secara nyata , termasuk berkurangnya keterlibatan manusia. selain itu, computer juga menggantikan jenis otorisasi tradisional dalam banyak sistem IT.
-          Visibilitas jejak audit. karena sebagian besar informasi dimasukan secara langsung ke dalam computer, penggunaan IT sering kali mengurangi atau bahkan meniadakan dokumen dan catatan sumber yang memungkinkan organisasi menelusuri informasi akuntansi.
-          Keterlibatan Manusia yang berkurang. Dalam banyak sistem IT, karyawan yang terlibat dengan pemrosesan awal transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka kurang mampu mengidentifikasi salah saji pemrosessan, Walapun mereka melihat outout akhir, sering kali sulit untuk mengenali salah saji karena hasilnya sering sangat ringkas.
-          Tidak adanya otorisasi traditiona. Sistem IT yang sangat canggih biasanya diprakarsai jenis transaksi tertentu secara otomatis, seperti perhitungan bunga atas rekening tabungan bank dan pemesanan persediaan apabila tingkat pesanan yang dtentukan telah dicapai,
Ø  Kebutuhan IT akan pengalaman dan pemisahan tugas
Sistem IT mengurangi sistem pemisahan tugas traditional (otorisasi, pembukuan, penyimpanan) dan menciptakan kebutuhan akan pengalaman IT tambahan.
Adapun Masalah-Masalah yang terkait dengan control dan audit TI biasanya antara lain :
a.       Masalah Untuk Lingkungan Komputer Mikro
Komputer mikro secara luas digunakan dalam banyak bisnis dengan mengabai- kan ukuran organisasi itu. Umumnya mereka memainkan suatu peran yang penting untuk bisnis yang kecil dalam memroses atau meneliti data akuntansi melalui penggunaan perangkat lunak akuntansi dan neraca lajur elektronik yang dibeli atau dibuat khusus.
Pengendalian umum dalam perusahaan yang lebih kecil pada umumnya sedikit kurang efektif dibanding dalam lingkungan TI yang lebih rumit. Seringkali, tidak ada IT personil yang khusus atau klien bersandar pada keterlibatan berkala konsultan TI untuk membantu dalam memasang dan memelihara perangkat keras dan lunak.
Seringkali, auditor dari klien yang menggunakan komputer mikro dalam lingkung- an pengendalian umum yang tidak terlalu canggih melakukan sebagian besar audit mereka di sekitar komputer. Sistem ini sering menghasilkan jejak audit yang memadai yang mengijinkan auditor untuk merekonsiliasikan dokumentasi sumber masukan untuk keluaran.
Namun, bahkan dalam lingkungan TI yang tidak terlalu canggih, ada situasi di mana bisa bersandar pada pengendalian komputer. Sebagai contoh, program perangkat lunak dalam komputer mikro dapat diisikan pada hard-drive komputer dalam format yang tidak mengijinkan perubahan oleh personil klien. Risiko dari perubahan yang tidak sah di perangkat lunak kemudian menjadi rendah. Sebelum bersandar pada pengendalian yang dibangun ke dalam perangkat lunak tersebut, auditor harus mempunyai kepercayaan pada reputasi penjual perangkat lunak untuk mutunya.
Risiko lain dengan komputer mikro adalah bilangnya data dan program oleh karena virus komputer, yang dapat menyebar ke program lain dan sistem keseluruhan. Virus tertentu dapat merusak disk arsip atau menutup keseluruhan jaringan komputer. Memperbarui perangkat lunak pelindung virus secara teratur yang secara terus menerus menyaring penyebaran virus meningkatkan pengendalian.
b.      Masalah Lingkungan Jaringan
Penggunaan jaringan yang makin meledak yang menghubungkan peralatan seperti komputer mikro, komputer jangkauan menengah, mainframe, stasiun kerja, server, dan pencetak sedang mengubah fungsi TI untuk banyak bisnis. Jaringan area lokal (Local Area Network/LAN) menghubungkan peralatan di dalam lingkungan ba- ngunan yang kecil atau tunggal dan hanya digunakan untuk tujuan intra perusahaan. Penggunaan umum LAN adalah untuk memindahkan data dan program dari satu komputer atau stasiun kerja ke yang lainnya untuk mengijinkan semua alat untuk berfungsi bersama-sama. Jaringan Area Luas (WIde Area Network/WAN) menghu- bungkan peralatan dalam daerah geografis yang lebih besar, termasuk operasional global.
Dalam lingkungan jaringan, perangkat lunak aplikasi dan arsip data digunakan untuk memroses transaksi yang berada pada server, yang merupakan alat untuk mengolah data. Akses ke aplikasi dari komputer mikro atau stasiun-kerja diatur oleh perangkat lunak server jaringan. Perusahaan seringkali mempunyai beberapa server.
Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaring- an, pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfi- gurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer yang dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang diguna- kan untuk mengatur sistem. Auditor juga harus memahami tentang pengendalian atas akses dan perubahan kepada program aplikasi dan arsip data yang ditempatkan pada server.
c.       Masalah Sistem Manajemen Database
Auditor sering menghadapi aplikasi akuntansi yang menggunakan sistem mana- jemen database untuk memroses transaksi dan memelihara arsip data. Sistem mana- jemen database mengijinkan klien untuk menciptakan database yang berisi informasi yang dapat digunakan bersama dalam berbagai aplikasi. Dalam lingkungan non- database, masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam sistem manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih baik untuk pengambilan keputusan dengan pengintegrasian informasi seluruh fungsi dan departemen. Sebagai contoh, data pelanggan, seperti alamat dan nama pelanggan, dapat digunakan bersama di fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan pengurangan biaya yang penting. Perusahaan sering mengintegrasikan sistem mana- jemen database ke seluruh organisasi. Program demikian disebut perangkat lunak perusahaan.
Kendali sering meningkat ketika data dipusatkan dalam sistem manajemen database dengan penghapusan arsip data yang berlebihan. Namun, sistem mana- jemen database juga dapat membuat risiko pengendalian internal. Sebagai contoh, ada risiko yang berhubungan dengan berbagai pemakai, mencakup individu di luar akuntansi, mengakses dan memperbarui arsip data. Tanpa administrasi database dan pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat, dan tidak sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip tunggal mening- katkan pentingnya backup yang sesuai atas informasi data secara teratur.
Auditor dan klien yang menggunakan sistem manajemen database perlu mema- hami perencanaan klien, organisasi, dan kebijakan dan prosedur untuk menentukan seberapa baik sistem itu diatur.
d.      Masalah Untuk Sistem E-commerce
Perusahaan yang menggunakan sistem e-commerce untuk melakukan transaksi bisnis secara elektronis menghubungkan sistem akuntansi internal mereka ke sistem yang dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya, risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi dan mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko interdepen- densi ini, perusahaan harus memastikan bahwa micra bisnis mereka secara efektif mengatur risiko sistem TI sebelum melaksanakan bisnis dengan mereka secara elektronis.
Penggunaan dari sistem e-commerce juga menyingkapkan data perusaha-an yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan mengguna- kan firewalls, teknik pengkodean, dan tandatangan digital. Firewall melindungi data, program, dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat keras dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce dengan penyaluran semua hubungan jaringan melalui suatu pintu gerbang pengendalian. Firewall dapat digunakan untuk memverifikasi pemakai eksternal dari jaringan, mem- berikan akses yang sah, dan mengarahkan pemakai ke program atau data yang di- minta.
Perusahaan menggunakan teknik pengkodean untuk melindungi keamanan komunikasi elektronik sepanjang proses transmisi. Teknik pengkodean didasarkan pada program komputer yang mengubah suatu pesan standar ke dalam suatu bentuk kode (encrypted). Penerima dari pesan elektronik itu harus menggunakan suatu program dekripsi (decryption) untuk memecahkan kode pesan itu. Seringkali teknik pengkodean kunci publik digunakan dimana satu kunci (kunci publik) digunakan E untuk menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecah- kan kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari sistem e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci pribadi, yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari pengendali- an. Perlindungan kunci pribadi sering menjadi tanggung jawab dan administrator keamanan TI dan hanya dibagikan ke para pemakai internal dengan otoritas untuk memecahkan kode pesan itu.
Untuk membantu membuktikan keaslian kebenaran mitra dagang yang melaksa- nakan bisnis secara elektronik, perusahaan boleh bersandar pada otoritas sertifikasi eksternal yang memverifikasi sumber dari kunci publik melalui penggunaan tanda tangan digital. Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat digital kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas sertifikasi dan tanggal tidak berlakunya sertifikat dan informasi khusus lainnya. Untuk menjamin keaslian dan integritas, masing-masing tandatangan secara digital ditandatangani oleh kunci pribadi yang dipelihara oleh otoritas sertifikasi.
e.      Masalah Saat Klien Menggunakan Ti Pihak Luar
Banyak klien membuka beberapa atau semua kebutuhan TI mereka kepada pusat pelayanan komputer yang independen bukannya memelihara suatu pusat TI in- ternal. Banyak perusahaan yang lebih kecil membuka fungsi penggajian mereka ke pihak luar karena penggajian adalah cukup standar dari perusahaan ke perusahaan dan di sana ada penyedia jasa penggajian yang dapat dipercaya. Perusahaan juga membuka sistem e-commerce mereka ke penyedia jasa situs Web eksternal. Seperti semua keputusan menggunakan pihak luar, perusahaan memutuskan apakah akan menggunakan TI pihak luar atas dasar manfaat-biaya.
Ketika menggunakan pusat jasa komputer pihak luar, klien menyerahkan data masukan, yang diproses oleh pusat jasa untuk suatu pembayaran (fee), dan mengem- balikan keluaran yang telah disepakati dan masukan asli. Untuk penggajian, per- usahaan menyerahkan kartu catatan waktu, tingkat upah, dan W4 kepada pusat jasa. Pusat jasa mengembalikan cek pembayaran upah, jurnal, dan data masukan setiap minggu dan W-2 pada akhir tiap tahun. Pusat jasa bertanggung jawab atas peran- cangan sistem komputer dan menyediakan pengendalian yang memadai untuk memastikan bahwa pemrosesan dapat dipercaya.
Auditor menghadapi suatu kesukaran ketika memperoleh suatu pemahaman dari pengendalian internal klien sebab banyak pengendalian itu berada di pusat jasa dan auditor tidak bisa berasumsi bahwa pengendalian adalah memadai hanya karena pusat jasa adalah suatu perusahaan independen. Standar audit meminta auditor untuk mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa jika aplikasi pusat jasa melibatkan pemrosesan data keuangan yang penting.
Tingkat memperoleh pemahaman dan pengujian pengendalian pusat jasa harus didasarkan pada kriteria yang sama yang diikuti auditor dalam mengevaluasi pengen- dalian internal klien. Dalamnya pemahaman itu tergantung pada kompleksitas sistem dan tingkat dimana auditor berniat untuk menglirangi risiko pengendalian yang dinilai untuk mengurangi ujian audit substantif. Jika auditor menyimpulkan bahwa keterlibatan yang aktif dipusat jasa adalah satu-satunya cara melakukan audit, mungkin saja perlu untuk memperoleh suatu pemahaman akan pengendalian internal dipusat jasa dan menguji pengendalian menggunakan data ujian dan ujian pengendalian lainnya.
Dibeberapa tahun terakhir, makin menjadi umum untuk mempunyai auditor inde- penden memperoleh suatu pemahaman dan menguji pengengdalian internal dari pusat jasa untuk digunakan oleh semua pelanggan dan auditor independen mereka. Tujuan penilaian independen ini adalah untuk menyediakan pelanggan pusat jasa dengan suatu tingkat jaminan yang layak dari ketercukupan pengendalian umum dan aplikasi milik pusat jasa dan untuk menghapuskan kebutuhan akan audit yang berlebihan oleh auditor pelanggan. Jika pusat jasa mempunyai banyak pelanggan dan masing-masing memerlukan suatu pemahaman dari pengendalian internal pusat jasa oleh auditor inde-penden mereka sendiri, kerepotan dan biaya untuk pusat jasa itu bisa besar. Ketika auditor independen pusat jasa menyelesaikan pemahaman dan uji coba atas pengendalian pusat jasa, maka dikeluarkan suatu laporan khusus, yang menunjukan lingkup dari audit dan kesimpulannya. Kemudian akan menjadi tanggung jawab dari auditor pelanggan untuk memutuskan tingkat dari kepercayaan pada pusat jasa. SAS 70 (AU 324) seperti dikembangkan oleh SAS 78 dan SAS 88 berisi bimbingan baik untuk auditor pelanggan dan auditor pusat jasa.

4.       Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait dengan E-Cash?
e-cash adalah uang elektronik berbasis server yang memanfaatkan teknologi aplikasi di handphone dan USSD, atau yang disebut sebagai uang tunai di handphone, dimana yang memungkinkan pemegangnya untuk melakukan transaksi perbankan tanpa harus melakukan pembukaan rekening ke cabang Bank Mandiri.
Keunggulan dari produk ini terletak pada pengalaman social banking bagi pemegangnya dan merasakan kemudahan dalam penggunaannya.
e-cash memiliki tiga karakter kemudahan yaitu: Gampang Dapat, Gampang Isi, dan Gampang Pakai.
Yang menjadi perhatian terhadap kontrol atau audit TI terkait e-cash yaitubagaimana menyingkapkan data perusaha-an yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau sabotase oleh pihak luar. Mengatasi permasalahan ini perusahaan dapat menggunakan teknik pengkodean dan tanda tangan digital. Dalam e-cash tandatangan digital ni dilakukan dengan konfirmasi melalui sms dengan nomor telepon pemilik.
Hal lain yangmenjadi perhatian dalam kontrol dan audit TI di e-cash yaitu Kesalahan sistematis versus kesalahan acak dimana penggunaan jaringan yang makin meledak yang menghubungkan peralatan seperti komputer mikro, komputer jangkauan menengah, mainframe, stasiun kerja, server, dan pencetak sedang mengubah fungsi TI untuk banyak bisnis. Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaring- an, pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfi- gurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer yang dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang diguna- kan untuk mengatur sistem. Auditor juga harus memahami tentang pengendalian atas akses dan perubahan kepada program aplikasi dan arsip data yang ditempatkan pada server.
5.       Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)
Lingkungan hukum dari sistem infirmasi perlu diketahui oleh Auditor IT dalam memastikan tata kelola IT. Hal tersebut dikarenakan auditor IT akan menilai risiko dan melaksanakan atau memantau kontrol atas risiko tersebut terkait dengan perusahaan / organisasi. Peran auditor IT bervariasi sesuai dengan posisi mereka di dalam atau di luar organisasi dan dengan proyek individu tertentu. Tingkat keahlian yang diperlukan untuk juga bervariasi dari yang sangat teknis hingga yang memerlukan keterampilan komunikasi yang baik.
Pada dasarnya peran seorang Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini dilakukan sebagai pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan evaluasi risiko dan kontrol TI dilakukan untuk kepentingan diri sendiri. Pada dasarnya auditor TI dapat memberikan jaminan atau memberikan kenyamanan atas apa saja yang berhubungan dengan sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang dapat dilakukan oleh auditor IT termasuk:
-          Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis, perencanaan sumber daya perusahaan (ERP system), atau perangkat lunak lain.
-          Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa “prosedur audit yang disepakati” di mana klien dan auditor IT menentukan cakupan jaminannya.
-          Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus  mengevaluasi risiko dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.

Masih banyak hal-hal yang butuh di perjelas mengenai audit TI, namun semoga postingan di atas bisa sedikit meberikan gambaran mengenai audit TI .