Chapter 1

IT auditing is a critical aspect of modern organizations, as it helps ensure the correct and effective
use of information technology (IT) for organizational success, operating efficiency, competitiveness,
and even survival. It involves efficient allocation of resources, IT functioning at a sufficient level of
performance and quality to support the business, and adequately securing information assets
consistent with the organization's risk tolerance. IT auditing can help organizations achieve these
objectives by ensuring that resources are allocated efficiently, IT functions at a sufficient level of
performance and quality, and information assets are adequately secured consistent with the
organization's risk tolerance.

Auditing IT differs in significant ways from auditing financial records, general operations, or business
processes, but each discipline shares a common foundation of auditing principles, standards of
practice, and high-level processes and activities. IT auditing is also a component of other major types
of auditing, such as financial audits, operational audits, quality audits, and IT management.

Auditing IT differs from other types of evaluations or assessments by referring to explicit criteria that
provide the basis for comparison between what is expected or required in an organization and what
is actually observed or demonstrated through evidence. Audit determinations tend to be more
binary than results of other types of assessments or evaluations, as auditors often articulate audit
findings in terms of controls' conformity or nonconformity to criteria. Audit findings indicate
deficiencies where what the auditor observes or discovered through analysis of audit evidence
differs from what was expected or required, such that the audit subject cannot satisfy a
requirement.

The importance of the baseline in both external and internal audits cannot be overstated. In both
cases, an auditor's obligation is to fully understand the baseline and use that knowledge to
accurately and objectively compare the subject of the audit to the criteria specified in the baseline.
The use of formally specified audit criteria also means that an organization anticipating or
undergoing an audit should not be surprised by the nature of the audit, what it covers, or what
requirements the organization is expected to meet. External audits, especially those driven by
regulatory mandates or certification standards, follow procedures and apply criteria that should be
available and just as well known to organizations being audited as by the external auditors
conducting the audits. Internal audits follow strategies, plans, and procedures dictated by the
organization itself in its audit program, so internal auditors and the business units, system owners,
project managers, operations staff, and personnel subject to or supporting audits should also be
familiar with the audit criteria to be used.

In conclusion, IT auditing is essential for organizations to ensure the correct and effective use of IT
for their success, operating efficiency, competitiveness, and survival. By understanding the baseline
and using formally specified audit criteria, auditors can effectively evaluate the subject of the audit
and ensure that IT assets operate as intended, work correctly, and comply with applicable
regulations and standards.

Internal controls are a central element of IT management, defined and referenced through
standards, guidance, methodologies, and frameworks addressing business processes, service
delivery and management, information systems design, implementation, and operation, information
security, and IT governance. They are discrete elements applied within a management process of
control in support of an organizational objective of establishing and maintaining control.

From the perspective of planning and performing IT audits, internal controls represent the substance
of auditing activities, as the controls are the items that are examined, tested, analyzed, or otherwise
evaluated. Organizations often implement large numbers of internal controls intended to achieve a
wide variety of control objectives. Controls are further separated by function into administrative,
technical, and physical control types. Administrative controls include organizational policies,
procedures, and plans that specify what an organization intends to do to safeguard the integrity of
its operations, information, and other assets. Technical controls are the mechanisms—including
technologies, operational procedures, and resources—implemented and maintained by an
organization to achieve its control objectives. Physical controls comprise the provisions an
organization has in place to maintain, keep available, and restrict or monitor access to facilities,
storage areas, equipment, and information assets.

IT audits can evaluate entire organizations, individual business units, mission functions and business
processes, services, systems, infrastructure, or technology components. Different types of IT audits
and the approaches used to conduct them may consider internal controls from multiple perspectives
by focusing on the IT elements to which the controls correspond or on controls implemented in the
context of processes performed or services delivered by an organization. Internal IT control
elements can be audited in isolation or together, although even when a given IT audit focuses
narrowly on one aspect of IT, auditors need to consider the broader technical, operational, and
environmental contexts.
IT audit characteristics include the need for auditors to be proficient in conducting the types of
audits they perform, adherence by auditors and the organizations they represent to ethical and
professional codes of conduct, and an insistence on auditor independence. Proficiency in general
principles, procedures, standards, and expectations cuts across all types of auditing and is equally
applicable to IT auditing contexts. Codes of conduct, practice, and ethical behavior are common
across all auditing domains, emphasizing principles and objectives such as integrity, objectivity,
competency, confidentiality, and adherence to appropriate standards and guidance. Auditor
independence is a principle applicable to both internal and external audits and auditors, meaning
that individuals who conduct audits and the organizations they represent have no financial interest
in and are otherwise free from conflicts of interest regarding the organizations they audit so as to
remain objective and impartial.

IT auditing is a crucial process for organizations to manage risk, ensure efficient allocation of IT-
related resources, and achieve other IT and business objectives. It is time-, effort-, and personnel-
intensive activities, and organizations often undertake IT audits to comply with legal and regulatory
requirements. Internal IT audits may be driven by organizational requirements for IT governance,
risk management, or quality assurance, which can determine what needs to be audited and how to
prioritize IT audit activities.

External IT auditing is more often driven by a need or desire to demonstrate compliance with
externally imposed standards, regulations, or requirements applicable to the type of organization,
industry, or operating environment. Organizations may not be in a position to determine whether,
how, or when to undergo IT audits, as many forms of external audits are legally mandated, not
optional. To the extent that organizations seek certification or other external validation of their
controls or operations, they effecively choose to subject themselves to external IT audits. Other
types of organizations are subject to specific legal and regulatory requirements based on the nature
of their business operations or the industries in which they participate.

IT auditing is also a critical component of enterprise risk management, IT governance, and quality
assurance programs and initiatives, in addition to supporting regulatory and standards compliance.
For many organizations, the decision to establish and maintain risk management or IT governance
programs is a choice, not a requirement, but such approaches are commonly viewed as best
practices. The combination of legal and regulatory requirements and business drivers gives
organizations a strong incentive to establish an internal IT audit capability if they do not already have
one, and to make sure that the IT audit programs they put in place are properly structured, staffed,
managed, and maintained.

Auditing internal IT controls requires broad IT knowledge, skills, and abilities and expertise in general
and IT-specific audit principles, practices, and processes. Organizations need to develop or acquire
personnel with the specialized understanding of control objectives and experience in IT operations
necessary to effectively conduct IT audits. This requirement is equally true for organizations whose
IT audit programs focus on performing internal audits as it is for professional service firms that
conduct external audits or provide auditors or expertise to support organizations’ internal audit
activities.

Various types of organizations and audit professionals conduct different types of IT audits, as the
breadth of skills and experience required and the primary objectives depend substantially on the
scope of the audits to be performed. Types of audits with increasing specificity range from
organization-wide scope at the broadest level through audits of all internal controls, IT-specific
controls, controls implemented for an individual information system, and information security
controls. Technology vendors, service providers, and other types of organizations may conduct
narrowly focused IT audits to monitor performance against service level agreements, check
compliance with legal or contractual terms and conditions, enforce licensing agreements, or
safeguard against fraud, waste, or abuse.

External auditors are professionals who perform IT audits on behalf of organizations, either
individually or in teams. The relationship between an organization and its external auditors is
typically established at the entity level, with organizations engaging the services of outside firms or
professional organizations that perform the type of IT audits needed or required. This type of
relationship is required for publicly traded companies in the United States and many other countries,
under rules that require firms that audit these corporations to be registered or licensed with
government oversight bodies.

Auditor independence is important for both internal and external audits, but in the context of
external auditing, such independence is often not just required but legally enforced. Title II of the
Sarbanes-Oxley Act includes provisions ensuring the independence of both the firms that conduct
audits and the employees of those firms that lead audit engagements at client organizations.
Specifically, registered firms and their employees engaged to perform audits of a given organization
cannot provide nonaudit services to that organization, such as accounting, design and
implementation of financial systems, actuarial services, outsourced internal audits, management
functions, investment banking or advising, legal or expert services, or any other activity that the
PCAOB determines cannot be performed at the same time as external auditing services.

In many organizations, it is not uncommon to retain the same external auditor for many years, so
regulations adopted by the SEC after the Sarbanes-Oxley Act were enacted required external audit
firms to rotate lead personnel (“audit partners”) at least every five years, a reduction from a
maximum of seven years prior to the Act.

Auditing internal controls is a discipline in its own right, having much in common with external IT
auditing but in many respects extending further in terms of the technical expertise, operational
knowledge, and level of detail required to effectively conduct internal IT audits. Internal auditors
often work as employees of the organizations they audit, which over time yields an understanding of
organization-specific IT environments, controls, information systems, and operational characteristics
that is difficult if not impossible to replicate in outsourced internal auditors or external auditors.

The internal IT audit function is often organized in a way that facilitates objectivity and integrity,
including a management and accountability structure that reports directly to an organization’s board
of directors or, for organizations lacking such oversight bodies, to a senior member of the executive
management team. Although their skills often overlap to some degree with IT operations and
information security personnel, technical project managers, and compliance officers, the need for
independence means that internal IT auditors in most organizations do not have any operational job
duties in addition to their audit responsibilities.

IT auditing is a discrete profession that shares core principles and standards of practice applicable to
auditing in general but requires specific knowledge, skills, and abilities. Successful IT auditors may
come from various backgrounds and follow many different career tracks. The development of
necessary knowledge, skills, and abilities typically combines formal education in one or more
applicable subject areas, on-the-job training or assigned duties that provide exposure to IT projects
and operations, employer-provided or self-directed professional training and skills development,
continuing professional education, or study in pursuit of relevant certifications or other professional
qualifications, and acquired work experience directly or indirectly involving risk management, IT
governance, quality management, information assurance, standards development or adoption, or
controls assessment.

The education and relevant professional experience prerequisites associated with many IT audit-
related certifications are any indication, auditors need extensive training, domain knowledge, and
practical experience before they can be effective in conducting audits. Even for IT audit specialists,
relevant knowledge and abilities are not only IT-related, as experience in many facets of business
operations, organizational management and governance, risk management, and process execution
and service delivery also contributes to the body of knowledge IT auditors need to be successful in
their work. This is not to diminish the significance of IT-specific experience, particularly for technical
types of IT audits, addressing systems engineering and deployment, software development, IT
operations and maintenance, IT project management, or security control selection, use, and
monitoring.

IT auditing requires broad technical and functional knowledge and touches business and IT domains
at multiple levels within an organization, meaning effective IT auditors can potentially come from
many different disciplines or initial areas of expertise. The career paths implied in the figure are
representative examples offered to suggest that IT auditing skills and capabilities are equally likely to
develop as part of conventional finance and accounting work or business analytical and legal
professions as they are from IT-related fields. In the modern regulatory environment applicable to
publicly traded companies and many other types of organizations, comprehensive internal or
external audits of internal controls cannot be completed without addressing IT systems and
operations in place to support financial management and related business functions.
Many institutions of higher education offer undergraduate and graduate programs in these fields,
providing a strong foundation for IT auditing from the standards, principles, and codes of conduct
adopted by the AICPA and the IIA. These professional organizations also offer IT audit-specific
guidance and specialized credentials, such as the IIA IT Auditing Certificate.

Organizations subject to legal, regulatory, or industry standards or that choose to pursue

certification for quality management, information security management, service delivery, or other
operational functions rely on personnel with knowledge of effective business and operational
practices and of applicable standards and regulatory requirements. Many formal education
programs concentrating in business, law, or other fields emphasizing research and analytical skills
provide good preparation for this type of work. Positions in business process analysis, corporate
compliance, and organizational legal departments offer individuals significant exposure to internal
operations and practices that may be the subject of internal or external audits.

Relatively few certifications focus explicitly on IT auditing and, with the exception of the CISA and
GSNA credentials, those that do address specific IT domains such as information security.
Pertemuan 1

Audit IT adalah aspek penting dari organisasi modern, karena membantu memastikan penggunaan
teknologi informasi (IT) yang benar dan efektif untuk keberhasilan organisasi, efisiensi operasi, daya
saing, dan bahkan kelangsungan hidup. Ini melibatkan alokasi sumber daya yang efisien, fungsi TI
pada tingkat kinerja dan kualitas yang cukup untuk mendukung bisnis, dan keamanan aset informasi
yang memadai yang konsisten dengan toleransi risiko organisasi. Audit IT dapat membantu
organisasi mencapai tujuan-tujuan ini dengan memastikan bahwa sumber daya didistribusikan
secara efisien, IT berfungsi pada tingkat kinerja dan kualitas yang memadai, dan aset informasi
dilindungi secara memadai sesuai dengan toleransi risiko organisasi.

Audit IT berbeda secara signifikan dari audit catatan keuangan, operasi umum, atau proses bisnis,
tetapi setiap disiplin berbagi dasar umum dari prinsip-prinsip audit, standar praktek, dan proses dan
kegiatan tingkat tinggi. Audit IT juga merupakan komponen dari jenis audit utama lainnya, seperti
audit keuangan, audit operasional, audit kualitas, dan manajemen TI.

Audit IT berbeda dari jenis evaluasi atau penilaian lainnya dengan merujuk pada kriteria eksplisit
yang memberikan dasar untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam
sebuah organisasi dan apa yang benar-benar diamati atau ditunjukkan melalui bukti. Keputusan
audit cenderung lebih biner daripada hasil dari jenis penilaian atau evaluasi lainnya, karena auditor
sering mengartikulasikan temuan audit dalam hal kepatuhan kontrol atau ketidaksesuaian dengan
kriteria. Hasil audit menunjukkan kekurangan ketika apa yang diperhatikan atau ditemukan oleh
auditor melalui analisis bukti audit berbeda dari apa yang diharapkan atau dibutuhkan, sehingga
subjek audit tidak dapat memenuhi persyaratan.
Pentingnya dasar dalam audit eksternal dan internal tidak dapat ditebak. Dalam kedua kasus,
kewajiban auditor adalah untuk sepenuhnya memahami garis dasar dan menggunakan pengetahuan
tersebut untuk membandingkan subjek audit secara akurat dan obyektif dengan kriteria yang
ditentukan dalam garis dasar. Penggunaan kriteria audit yang ditentukan secara formal juga berarti
bahwa organisasi yang mengantisipasi atau menjalani audit tidak boleh terkejut oleh sifat audit, apa
yang tercakup, atau persyaratan apa yang diharapkan organisasi untuk memenuhi. Audit eksternal,
terutama yang didorong oleh mandat regulasi atau standar sertifikasi, mengikuti prosedur dan
menerapkan kriteria yang harus tersedia dan sama-sama diketahui oleh organisasi yang sedang
diaudit sebagai oleh auditor luar yang melakukan audit. Audit internal mengikuti strategi, rencana,
dan prosedur yang dinyatakan oleh organisasi itu sendiri dalam program auditnya, sehingga auditor
internal dan unit bisnis, pemilik sistem, manajer proyek, staf operasi, dan staf yang tunduk atau
mendukung audit juga harus akrab dengan kriteria audit yang akan digunakan.

Audit IT sangat penting bagi organisasi untuk memastikan penggunaan IT yang benar dan efektif
untuk kesuksesan, efisiensi operasi, daya saing, dan kelangsungan hidup mereka. Dengan memahami
dasar dan menggunakan kriteria audit yang ditentukan secara formal, auditor dapat secara efektif
mengevaluasi subjek audit dan memastikan bahwa aset TI beroperasi seperti yang dimaksudkan,
bekerja dengan benar, dan mematuhi peraturan dan standar yang berlaku.

Kontrol internal adalah elemen sentral dari manajemen TI, yang didefinisikan dan dirujuk melalui
standar, pedoman, metodologi, dan kerangka kerja yang menangani proses bisnis, pengiriman dan
manajemen layanan, desain, implementasi, dan operasi sistem informasi, keamanan informasi, dan
pemerintahan IT. Mereka adalah elemen diskrit yang diterapkan dalam proses manajemen kontrol
untuk mendukung tujuan organisasi untuk membangun dan mempertahankan kontrol.

Dari sudut pandang perencanaan dan pelaksanaan audit IT, kontrol internal mewakili substansi
kegiatan audit, karena kontrol adalah item yang diperiksa, diuji, dianalisis, atau dinilai dengan cara
lain. Organisasi sering menerapkan sejumlah besar kontrol internal yang dimaksudkan untuk
mencapai berbagai tujuan kontrol. Kontrol lebih lanjut dibagi oleh fungsi ke dalam jenis kontrol
administratif, teknis, dan fisik. Kontrol administratif mencakup kebijakan organisasi, prosedur, dan
rencana yang menentukan apa yang akan dilakukan organisasi untuk melindungi integritas operasi,
informasi, dan aset lainnya. Kontrol teknis adalah mekanisme – termasuk teknologi, prosedur
operasional, dan sumber daya – yang diimplementasikan dan dipelihara oleh organisasi untuk
mencapai tujuan kontrolnya. Kontrol fisik terdiri dari ketentuan yang ditetapkan oleh organisasi
untuk mempertahankan, menyimpan, dan membatasi atau memantau akses ke fasilitas, area
penyimpanan, peralatan, dan aset informasi.
Audit IT dapat mengevaluasi seluruh organisasi, unit bisnis individual, fungsi misi dan proses bisnis,
layanan, sistem, infrastruktur, atau komponen teknologi. Jenis audit IT yang berbeda dan
pendekatan yang digunakan untuk melakukan audit dapat mempertimbangkan kontrol internal dari
berbagai perspektif dengan fokus pada elemen IT yang sesuai dengan kontrol atau pada kontrol yang
diterapkan dalam konteks proses yang dilakukan atau layanan yang diberikan oleh organisasi.
Elemen kontrol IT internal dapat diaudit secara terpisah atau bersama-sama, meskipun bahkan
ketika audit IT tertentu berfokus secara sempit pada satu aspek IT, auditor perlu
mempertimbangkan konteks teknis, operasional, dan lingkungan yang lebih luas.

Karakteristik audit IT meliputi kebutuhan auditor untuk menjadi ahli dalam melakukan jenis audit
yang mereka lakukan, kepatuhan oleh auditor dan organisasi yang mereka mewakili terhadap kode
etik dan profesional perilaku, dan penekanan pada independensi auditor. Keahlian dalam prinsip-
prinsip umum, prosedur, standar, dan harapan mencakup semua jenis audit dan sama berlaku untuk
konteks audit TI. Kode-kode perilaku, praktik, dan etika umum di semua bidang audit, menekankan
prinsip-prinsip dan tujuan seperti integritas, objektivitas, kompetensi, kerahasiaan, dan kepatuhan
terhadap standar dan pedoman yang tepat. Independensi auditor adalah prinsip yang berlaku untuk
kedua audit internal dan eksternal dan auditor, yang berarti bahwa individu yang melakukan audit
dan organisasi yang mereka mewakili tidak memiliki kepentingan keuangan dan bebas dari konflik
kepentingan sehubungan dengan organisasi mereka mengaudit sehingga tetap objektif dan tidak
bersalah.

Audit IT adalah proses penting bagi organisasi untuk mengelola risiko, memastikan alokasi sumber
daya terkait IT yang efisien, dan mencapai tujuan TI dan bisnis lainnya. Ini adalah kegiatan yang
memakan waktu, usaha, dan tenaga kerja, dan organisasi sering melakukan audit TI untuk mematuhi
persyaratan hukum dan peraturan. Audit IT internal dapat didorong oleh persyaratan organisasi
untuk pemerintahan IT, manajemen risiko, atau jaminan kualitas, yang dapat menentukan apa yang
perlu diaudit dan bagaimana memprioritaskan kegiatan audit IT.

Audit IT eksternal lebih sering didorong oleh kebutuhan atau keinginan untuk menunjukkan
kepatuhan dengan standar, peraturan, atau persyaratan yang dikenakan secara eksterior yang
berlaku untuk jenis organisasi, industri, atau lingkungan operasi. Organisasi mungkin tidak dapat
menentukan apakah, bagaimana, atau kapan harus menjalani audit TI, karena banyak bentuk audit
eksternal diwajibkan secara hukum, bukan opsional. Sejauh organisasi mencari sertifikasi atau
validasi eksternal lainnya dari kontrol atau operasi mereka, mereka secara efektif memilih untuk
tunduk pada audit IT eksterior. Jenis organisasi lainnya tunduk pada persyaratan hukum dan
peraturan khusus berdasarkan sifat operasi bisnis mereka atau industri di mana mereka
berpartisipasi.

Audit IT juga merupakan komponen penting dari manajemen risiko perusahaan, pemerintahan IT,
dan program dan inisiatif jaminan kualitas, selain mendukung kepatuhan peraturan dan standar.
Bagi banyak organisasi, keputusan untuk menetapkan dan mempertahankan program manajemen
risiko atau pemerintahan TI adalah pilihan, bukan persyaratan, tetapi pendekatan tersebut
umumnya dilihat sebagai praktik terbaik. Kombinasi dari persyaratan hukum dan peraturan dan
driver bisnis memberi organisasi insentif yang kuat untuk membangun kemampuan audit IT internal
jika mereka belum memilikinya, dan untuk memastikan bahwa program audit IT yang mereka buat
terstruktur, dipekerjakan, dikelola, dan dipelihara dengan benar.

Audit internal IT membutuhkan pengetahuan IT yang luas, keterampilan, dan kemampuan dan
keahlian dalam prinsip-prinsip, praktik, dan proses audit umum dan spesifik IT. Organisasi perlu
mengembangkan atau memperoleh personel dengan pemahaman khusus tentang tujuan kontrol
dan pengalaman dalam operasi TI yang diperlukan untuk melakukan audit IT secara efektif.
Persyaratan ini sama berlaku untuk organisasi yang program audit IT mereka berfokus pada
melakukan audit internal seperti halnya untuk perusahaan layanan profesional yang melakukan
audit eksternal atau menyediakan auditor atau keahlian untuk mendukung kegiatan audit internal
organisasi.

Berbagai jenis organisasi dan profesional audit melakukan berbagai jenis audit TI, karena luas
keterampilan dan pengalaman yang dibutuhkan dan tujuan utama tergantung secara substansial
pada lingkup audit yang akan dilakukan. Jenis audit dengan spesifikasi yang meningkat berkisar dari
lingkup organisasi di tingkat yang paling luas melalui audit semua kontrol internal, kontrol spesifik TI,
kontrol yang diterapkan untuk sistem informasi individu, dan kontrol keamanan informasi. Penyedia
teknologi, penyedia layanan, dan jenis organisasi lainnya dapat melakukan audit TI yang berfokus
sempit untuk memantau kinerja terhadap kesepakatan tingkat layanan, memeriksa kepatuhan
dengan syarat dan ketentuan hukum atau kontrak, menegakkan perjanjian lisensi, atau melindungi
terhadap penipuan, limbah, atau penyalahgunaan.

Auditor eksternal adalah profesional yang melakukan audit TI atas nama organisasi, baik secara
individual atau dalam tim. Hubungan antara sebuah organisasi dan auditor eksternalnya biasanya
didirikan pada tingkat entitas, dengan organisasi yang menggunakan layanan dari perusahaan luar
atau organisasi profesional yang melakukan jenis audit TI yang diperlukan atau diperlukan. Jenis
hubungan ini diperlukan untuk perusahaan yang berdagang di Amerika Serikat dan banyak negara
lain, di bawah aturan yang mengharuskan perusahaan yang mengaudit perusahaan-perusahaan ini
untuk terdaftar atau berlisensi dengan badan pengawas pemerintah.
Independensi auditor adalah penting untuk audit internal dan eksternal, tetapi dalam konteks audit
eksterior, independenya sering tidak hanya diperlukan, tetapi juga diimplementasikan secara
hukum. Judul II dari Sarbanes-Oxley Act mencakup ketentuan yang menjamin independensi baik
perusahaan yang melakukan audit dan karyawan dari perusahaan yang memimpin kegiatan audit di
organisasi klien. Secara khusus, perusahaan yang terdaftar dan karyawan mereka yang terlibat dalam
melakukan audit organisasi tertentu tidak dapat memberikan layanan non-audit kepada organisasi
tersebut, seperti akuntansi, desain dan implementasi sistem keuangan, layanan aktuarial, audit
internal eksternal, fungsi manajemen, perbankan investasi atau konsultasi, layanan hukum atau ahli,
atau kegiatan lain yang ditentukan oleh PCAOB tidak dapat dilakukan pada saat yang sama dengan
layanan audit luar.

Dalam banyak organisasi, tidak jarang untuk mempertahankan auditor eksternal yang sama selama
bertahun-tahun, sehingga peraturan yang diadopsi oleh SEC setelah Undang-Undang Sarbanes-Oxley
diberlakukan mengharuskan perusahaan audit eksterior untuk memutar staf utama ("mitra audit")
setidaknya setiap lima tahun, penurunan dari maksimum tujuh tahun sebelum Undang-undang.

Audit kontrol internal adalah disiplin sendiri, memiliki banyak kesamaan dengan audit IT eksternal
tetapi dalam banyak hal memperluas lebih jauh dalam hal keahlian teknis, pengetahuan operasional,
dan tingkat detail yang diperlukan untuk melakukan audit IT internal secara efektif. Auditor internal
sering bekerja sebagai karyawan dari organisasi yang mereka audit, yang dari waktu ke waktu
menghasilkan pemahaman tentang lingkungan IT, kontrol, sistem informasi, dan karakteristik
operasional yang sulit jika tidak mustahil untuk diulangi oleh auditor internal atau auditor eksternal.

Fungsi audit IT internal sering diatur dengan cara yang memfasilitasi objektivitas dan integritas,
termasuk struktur manajemen dan akuntabilitas yang melaporkan langsung ke dewan direksi
organisasi atau, bagi organisasi yang tidak memiliki badan pengawas tersebut, ke anggota senior dari
tim manajemen eksekutif. Meskipun keterampilan mereka sering meliputi hingga beberapa derajat
dengan operasi TI dan staf keamanan informasi, manajer proyek teknis, dan petugas kepatuhan,
kebutuhan untuk independensi berarti bahwa auditor IT internal di sebagian besar organisasi tidak
memiliki tugas pekerjaan operasional selain tanggung jawab audit mereka.
Audit IT adalah profesi yang diam-diam yang berbagi prinsip-prinsip inti dan standar praktek yang
berlaku untuk audit secara umum tetapi membutuhkan pengetahuan, keterampilan, dan
kemampuan khusus. Auditor IT yang sukses dapat berasal dari berbagai latar belakang dan mengikuti
banyak jalur karir yang berbeda. Pengembangan pengetahuan, keterampilan, dan kemampuan yang
diperlukan biasanya menggabungkan pendidikan formal dalam satu atau lebih bidang subjek yang
berlaku, pelatihan di tempat kerja atau tugas-tugas yang ditugaskan yang memberikan paparan
terhadap proyek dan operasi TI, pelatih profesional dan pengembangan keterampilan yang
disediakan oleh majikan atau diarahkan sendiri, pendidikan profesional berkelanjutan, atau studi
untuk mengejar sertifikasi yang relevan atau kualifikasi profesional lainnya, dan pengalaman kerja
yang diperoleh yang secara langsung atau tidak langsung melibatkan manajemen risiko,
pemerintahan TI, manajemen kualitas, jaminan informasi, pengembangan atau adopsi standar, atau
penilaian kontrol.

Pendidikan dan prasyarat pengalaman profesional yang relevan yang terkait dengan banyak
sertifikasi terkait audit IT adalah indikasi, auditor membutuhkan pelatihan yang luas, pengetahuan
domain, dan pengalaman praktis sebelum mereka dapat efektif dalam melakukan audit. Bahkan
untuk spesialis audit IT, pengetahuan dan keterampilan yang relevan tidak hanya terkait dengan IT,
karena pengalaman dalam banyak aspek operasi bisnis, manajemen organisasi dan pemerintahan,
pengelolaan risiko, dan eksekusi proses dan pengiriman layanan juga berkontribusi pada tubuh
pengetahuan auditor IT perlu untuk berhasil dalam pekerjaan mereka. Ini tidak mengurangi
pentingnya pengalaman IT-spesifik, terutama untuk jenis teknis audit IT, menangani teknik sistem
dan implementasi, pengembangan perangkat lunak, operasi dan pemeliharaan IT, manajemen
proyek IT, atau pemilihan kontrol keamanan, penggunaan, dan pemantauan.
Audit IT membutuhkan pengetahuan teknis dan fungsional yang luas dan menyentuh domain bisnis
dan IT di berbagai tingkat dalam sebuah organisasi, yang berarti auditor IT yang efektif berpotensi
berasal dari berbagai disiplin ilmu atau bidang keahlian awal. Jalur karir yang tersirat dalam angka ini
adalah contoh representatif yang ditawarkan untuk menunjukkan bahwa keterampilan dan
kemampuan audit TI sama-sama cenderung berkembang sebagai bagian dari pekerjaan keuangan
dan akuntansi konvensional atau profesi analisis bisnis dan hukum seperti yang berasal dari bidang
terkait TI. Dalam lingkungan regulasi modern yang berlaku untuk perusahaan yang berdagang dan
banyak jenis organisasi lainnya, audit internal atau eksternal yang komprehensif dari kontrol internal
tidak dapat diselesaikan tanpa menangani sistem IT dan operasi yang ada untuk mendukung
manajemen keuangan dan fungsi bisnis terkait.

Banyak lembaga pendidikan tinggi menawarkan program sarjana dan pascasarjana di bidang ini,
memberikan dasar yang kuat untuk audit TI dari standar, prinsip, dan kode perilaku yang diadopsi
oleh AICPA dan IIA. Organisasi profesional ini juga menawarkan bimbingan khusus audit IT dan
kredensial khusus, seperti Sertifikat Audit IT IIA.

Organisasi yang tunduk pada standar hukum, peraturan, atau industri atau yang memilih untuk
mengejar sertifikasi untuk manajemen kualitas, manajemen keamanan informasi, pengiriman
layanan, atau fungsi operasional lainnya bergantung pada staf dengan pengetahuan tentang praktik
bisnis dan operasi yang efektif dan standar dan persyaratan peraturan yang berlaku. Banyak
program pendidikan formal yang berkonsentrasi dalam bisnis, hukum, atau bidang lain yang
menekankan penelitian dan keterampilan analitis memberikan persiapan yang baik untuk jenis
pekerjaan ini. Posisi dalam analisis proses bisnis, kepatuhan perusahaan, dan departemen hukum
organisasi menawarkan individu paparan yang signifikan terhadap operasi dan praktik internal yang
mungkin menjadi subjek audit internal atau eksternal.

Relatif sedikit sertifikasi yang secara eksplisit berfokus pada audit TI dan, dengan pengecualian
credential CISA dan GSNA, yang menangani domain IT tertentu seperti keamanan informasi.