Audit Sistem Informasi

Transkripsi

1 Audit Sistem Informasi Dosen : Ir. Wahyu Sardjono, MM Diajukan Oleh: Permada Wirapranata No. Reg. 23E0944 Kelas EKSEKUTIF 23 B PROGRAM STUDI MAGISTER MANAJEMEN FAKULTAS EKONOMIKA DAN BISNIS UNIVERSITAS GADJAH MADA JAKARTA 2009

2 Audit Sistem Informasi I. Pendahuluan Pesatnya perkembangan peradaban manusia dewasa ini, seiring dengan penemuan dan pengembangan ilmu pengetahuan dalam bidang informasi dan komunikasi yang mampu menciptakan alat-alat yang mendukung perkembangan Teknologi informasi, mulai dari sistem komunikasi sampai dengan alat komunikasi yang searah maupun dua arah (interaktif). Perkembangan cara penyampaian informasi yang dikenal dengan istilah Teknologi informasi atau Information Technology (IT) bisa dikatakan telah merasuki ke segala bidang dan ke berbagai lapisan masyarakat dalam kehidupan, karena dengan dukungannya membuat organisasi/instansi dan individu/perseorangan dalam kancah dunia bisnis merasa memiliki keunggulan kompetitif (daya saing) luar biasa khususnya dalam mengaudit sistem informasi akuntansi yang berbasis pada komputerisasi guna membantu meningkatkan penyediaan informasi agar dapat mendukung proses pengambilan keputusan yang akan dilakukan oleh manajemen dalam mengembangkan sistem yang ada maupun dalam menyusun suatu sistem yang baru menggantian sistem yang lama secara keseluruhan atau memperbaiki sistem yang telah ada serta untuk perencanaan dan pengendalian operasi perusahaan sehingga senantiasa memiliki sinergi untuk eksis dalam dunia bisnis. Peranan Teknologi Informasi dalam bisnis telah mengubah secara radikal tipe pekerjaan, pekerja, organisasi bahkan sistem manajemen dalam mengelola sebuah organisasi. Semula pekerjaan banyak yang mengandalkan otot ke pekerjaan yang mengandalkan otak. Tipe pekerjaan menjadi dominan bisa memiliki peranan penting menggantikan peran manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan output di dalam melaksanakan aktivitas serta telah menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap kesalahan interprestasi dan penyajian laporan keuangan yang hal ini menyulitkan para users laporan keuangan dalam mengevaluasi kualitas laporan keuangan, dimana mereka harus mengandalkan laporan auditor independen atas laporan keuangan yang diaudit untuk memastian kualitas laporan keuangan yang bersangkutan. Namun ironisnya, pada kondisi di lapangan tidak banyak para auditor yang bisa memanfaatkan akses dari peranan teknologi informasi dalam mengaudit sistem informasi yang berbasis pada komputerisasi 2

3 akuntansi baik pada saat input, proses sampai dengan output mengingat brainware dibidang auditor yang mengenal teknologi informasi masih relatif sedikit karena walaupun teknologi informasi sudah generalisasi dalam dunia bisnis namun tidaklah banyak yang sesuai dapat menjawab standar keilmuan misalnya dalam memenuhi kebutuhan audit sistem informasi komputerisasi akuntansi dimana peluang ini masih jarang dilirik oleh para brainware dalam mengaplikasikan kemampuannya yang benarbenar memahami ilmu ekonomi dan akuntansi yang juga diberikan keahlian dalam bidang pemrograman komputer sehingga walaupun ada, harga software program aplikasi yang digunakan untuk mengaudit tersebut masih relatif tinggi. II. Pengertian 3

4 Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait. Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi (teknologi informasi). Audit IS merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit IS relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan IT untuk mensupport aktifitas bisnis. Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Tahapan-tahapan dalam audit IT pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. III. Ruang Lingkup 4

5 Kemajuan IT telah mengubah cara perusahaan dalam mengumpulkan data, memproses dan melaporkan informasi keuangan Oleh karena itu auditor akan banyak menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan systemti untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam laporan keuangan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk system yang kompleks dan system manual, yang berbeda hanyalah metode-metode spesifik yang cocok dengan situasi system informasi akuntansi yang ada. Pemahaman ini diperlukan dalam rangka mendapatkan pemahaman internal control yang baik agar dapat merencanakan audit dan menentukan sifat, timing dan perluasan pengujian yang akan dilakukan. Menurut standar pada dasarnya auditor keuangan melakukan pengujian berikut: 1. Uji kepatuhan terhadap prosedur yang berlaku (otorisasi, kelengkapan, keakuratan), 2. Uji Substantif (Uji terhadap transaksi dan hasil pengolahan), 3. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau substantive. Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan oleh kompleksitas lingkungan IT yang ada seperti luasnya system on-line yang digunakan, tipe dan signifikansi transaksi keuangan, serta sifat dokumen / database, serta program yang digunakan. Beberapa contoh situasi yang memerlukan pengujian pengendalian control 1. System IT yang digunakan untuk otomasi: proses inisiasi, recording, prosessing dan pelaporan keuangan seperti ERP, (Gambar 1) 2. Electronic data interchange dan payment transfer system yang secara elektronik men-transmit order dan pembayaran, (Gambar 2) 3. Program computer yang berisi algoritma dan formula yang melakukan kalkulasi otomatis seperti komisi, allowance for doubtful account, reorder point, loan reserve dan kalkulasi dana pension. 5

6 Sistem Informasi Akuntasi Gambar 1 Siklus Sistem Informasi Akuntasi Electronic Data Interchange Gambar 2 EDI Model 6

7 Pengujian Internal Control Pengujian pengendalian dilakukan dengan mengidentifikasi aktivitas control(policy dan procedure) yang ada untuk mencegah dan mendeteksi kesalahan saji material dalam laporan keuangan. Dua aktivitas utama yang diuji adalah pengendalian terkait dengan pemrosesan informasi yaitu general control dan application control. General control terkait dengan semua aktivitas computer dan termasuk control atas system development, access security, program change, data center dan network dan maintenance. Aplication control berhubungan dengan task spesifik yang dilakukan individual aplikasi. Termasuk didalam prosedur cek dengan IT misalnya edit check saat input data dan check yang dilakukan oleh individu termasuk manual follow-up rekonsiliasi atau exception report Pengujian pengendalian bertujuan, mengumpulkan bukti tentang seberapa efektif dan konsisten prosedur pengendalian berjalan. Pengujian ini dilakukan dengan wawancara (inquiry), inspeksi dokumen terkait atau inspeksi file elektronik terkait, observasi penerapan pengendalian dan pemrosessan ulang transaksi. Dalam mendesign pengujian automated control (computerised control / application control), auditor harus mempertimbangkan kebutuhan untuk mendapatkan bukti pendukung atas efektifitas pengendalian operasi secara langsung maupun tak langsung terkait dengan asersi atas laporan keuangan Teknik yang digunakan untuk pengujian tentu saja berbeda dengan teknik pengujian manual. Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut sebagai teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri atas: 1. Auditing Around the Computer Dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic. 7

8 2. Auditing With the Computer Adalah auditing dengan pendekatan computer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini. 3. Audit Through the Computer Teknik ini focus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi. Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure. 8

9 Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu; Audit charter, Audit Independent, Profesional Ethic and standard, S4.Profesional competence, Planning, Performance of Audit Work, Reporting. Follow-Up Activity, Irregularities and Irregular Act, IT Governance dan Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intruction detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu COBIT. COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola IT (IT Governance) yang ditujukan kepada manajemen, staf pelayanan IT, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner s), untuk memasitan confidenciality, integrity and availability data serta informasi sensitif dan kritikal. COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: 1. Plan and Organise, 2. Acquire and Implement, 3. Deliver and Support dan 4. Monitor and Evaluate. 9

10 The COBIT Framework juga memasukkan hal-hal sebagai berikut Maturity Models Untuk memetakan status maturity proses-proses IT (dalam skala 0-5) dibandingkan dengan the best in the class in the Industry dan juga International best practices. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses IT. Key Goal Indicators (KGIs) Kinerja proses-proses IT sehubungan dengan kebutuhan bisnis dan; Key Performance Indicators (KPIs) Kinerja proses-proses IT sehubungan dengan process goals COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices. Istilah generally applicable and accepted digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit IT dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut 10

11 IV. Tujuan Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu : Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan). Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan). Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya IT yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil. Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain : Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis IT, rencana tahunan IT dan rencana proyek/program IT. Evaluasi atas kelayakan struktur organisasi IT, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority). Evaluasi atas pengelolaan personil IT, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil IT. Evaluasi atas pengembangan IT, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi IT, serta manajemen perubahaan. Evaluasi atas kegiatan operasional IT, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden IT serta dukungan pengguna (helpdesk). 11

12 Evaluasi atas kontinuitas layanan IT, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat IT (IT emergency plan), pengelolaan rencana pemulihan layanan IT (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan). Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian proses dan pengendalian output. Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi. 12

13 V. Resiko Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi komputer mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha. Akuntansi, sudah barang tentu tidak terlepas dari dampak tersebut. Dalam sistem akuntansi manual, data sebagai masukan (input) diproses menjadi informasi sebagai keluaran (output) dengan menggunakan tangan. Pada sistem akuntansi yang berkomputer atau yang lebih sering disebut Pemrosesan Data Elektronik (EDP), data sebagai input juga diproses menjadi informasi sebagai output. Keuntungan yang dapat dilihat secara jelas dari penggunaan komputer ini adalah kecepatan, ketepatan, dan kemudahan dalam memproses data menjadi informasi akuntansi. Disamping keuntungan tersebut, ada beberapa hal yang perlu diperhatikan dalam menggunakan komputer sebagai alat pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi berbasis komputer. Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman yang tidak ada dalam proses akuntansi manual.resiko-resiko dalam lingkungan pemrosesan data elektronik antara lain: 1. Penyalahgunaan teknologi adalah penggunaan teknologi baru sebelum adanya kepastian yang jelas mengenai kebutuhannya. Banyak organisasi memperkenalkan teknologi database tanpa menetapkan dengan jelas kebutuhan akan teknologi tersebut. Pengalaman menunjukkan bahwa para pemakai awal (new user) suatu teknologi baru seringkali mengkonsumsi jumlah sumberdaya yang cukup besar selama mempelajari cara penggunaan teknologi baru tersebut.penggunaan teknologi yang tidak layak antara lain: Analis sistem atau pemrogram tidak mempunyai keahlian yang cukup untuk menggunakan teknologi tersebut. Pemakai yang awam terhadap teknologi hardware yang baru. Pemakai yang awam terhadap teknologi software yang baru. Perencanaan yang minim untuk instalasi teknologi hardware dan software yang baru. 13

14 2. Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi seseorang dapat memproses satu pos dengan benar, membuat kesalahan pada pos berikutnya, memproses 20 pos berikutnya dengan benar dan kemudian membuat kesalahan lainnya lagi.dalam sistem yang terintregasi (automatically), aturan-aturan diterapkan secara konsisten. Jadi, jika aturan-aturannya benar, pemrosesannya akan selalu benar. Tetapi jika aturan-aturannya salah, pemrosesannya akan selalu salah. Kondisi-kondisi yang mengakibatkan pengulangan kesalahan meliputi: Tidak cukupnya pengecekan atas pemasukan informasi input. Tidak cukupnya tes atas program Tidak dimonitornya hasil-hasil dari pemrosesan 3. Kesalahan berantai merupakan efek domino dari kesalahan-kesalahan di segenap sistem aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada kesalahan kedua yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan kedua ini dapat berakibat kesalahan ketiga dan seterusnya. Resiko kesalahan berantai sering dikaitkan dengan pelaksanaan perubahan sistem aplikasi. Perubahan dilaksanakan dan diuji dalam program di mana perubahan terjadi. Namun demikian, beberapa kondisi dapat berubah karena adanya perubahan yang menimbulkan kesalahan di bagian lain sistem aplikasi tersebut.rantai kesalahan dapat terjadi di antara aplikasi-aplikasi. Resiko ini akan semakin besar sejalan dengan semakin terpadunya aplikasi. 4. Resiko yang timbul meliputi kegagalan untuk mengimplementasikan kebutuhan karena para pemakai tidak memiliki kemampuan teknis. Dampaknya adalah kebutuhan yang diimplementasikan adalah kebutuhan yang tidak layak karena personil teknis tidak memahami kebutuhan sebenarnya dari pemakai. Akibat lainnya adalah munculnya sistem manual yang semakin besar untuk menutup kelemahankelemahan dalam aplikasi komputer. Kondisi ketidakmampuan menerjemahkan kebutuhan pemakai ini disebabkan antara lain: Para pemakai tidak memiliki keahlian teknis EDP Orang-orang teknis tidak memiliki pemahaman yang cukup mengenai permintaan pemakai. Ketidakmampuan untuk merumuskan permintaan dengan cukup terinci. 14

15 Sistem yang digunakan oleh banyak user tanpa ada user yang bertanggung jawab atas sistem tersebut. 5. Ketidakmampuan dalam mengendalikan teknologi.pengendalian memang sangat diperlukan dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian akan menjamin bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa file-file yang tepat digunakan; bahwa para operator komputer melaksanakan instruksi yang tepat; prosedur yang memadai dikembangkan untuk mencegah, mendeteksi dan memperbaiki permasalahan yang terjadi; dan bahwa data yang tepat disimpan dan kemudian diperoleh dengan mudah jika diperlukan.kondisi yang menimbulkan teknologi yang tak terkendali mencakup: Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan pemrogram sistem yang tanpa memperhatikan kebutuhan audit. Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi operasi. Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang tidak memadai. 15

16 VI. Kesimpulan & Saran Perkembangan penggunaan Sistem Teknologi Informasi pada setiap Perusahaan di dunia maupun di Indonesia telah membentuk suatu konsep baru atas sistem pemeriksaan yang dilakukan oleh setiap Kantor Akuntan Publik (KAP). Hal ini juga telah diantisipasi oleh Institusi-institusi terkait dengan mengeluarkan peraturan-peraturan dan pedoman terbaru dalam menghadapi perkembangan usaha pada saat sekarang ini. Dengan demikian metode yang diterapkan oleh setiap KAP dalam melaksanakan tugas audit mulai bergeser dari metode Audit Konvensional menjadi metode baru yaitu Audit Sistem Teknologi Informasi. Dengan melihat adanya kemungkinan masalah-masalah yang ditimbulkan dari resiko-resiko yang telah disebutkan diatas maka auditor IT harus mempunyai kemampuan dalam mendeteksi resiko system IT yang bisa muncul pada suatu perusahaan. Auditor IT diharuskan membuat planning yang memadai dan dapat di aplikasikan dalam Audit Program yang harus dijalankan. Dalam melakukan Audit atas Sistem teknologi Informasi suatu Perusahaan, setiap auditor juga disyaratkan harus mempunyai latar belakang pendidikan atau pelatihan serta pengalaman yang memadai untuk dapat melakukan Audit yang efektif dan menghasilkan perbaikan atas kelemahan-kelemahan Perusahaan yang telah mengaplikasikan system teknologi informasi pada setiap unit bisnis usahanya. 16

17 VII. Daftar Pusaka - Standar Audit Sistem Informasi - Ikatan Audit Sistem Informasi Indonesia (IASII) ( - Standard for Information System Auditing - Information System Audit and Control Association (ISACA) ( -Materi Pelatihan Information Technology Audit - Audittindo Education ( James O Brien (2008). Management Information System - Artikel dari - Robbert Davies,(2003) Investigation Audit for Information System - Grant Thornton (2007), Audit Horizon - IT Audit Curriculum Internation Organization of Supreme Audit Institution (INTOSAI) Standing Committee on IT Audit ( - COBIT version 4.1 Information Technology Governance Institute (ITGI) ( 17