Audit SI memberikan evaluasi yang bersifat independen atas kebijakan, prosedur, standar, pengukuran, dan praktik untuk menjagamencegah informasi yang bersifat elektronik dari kehilangan, kerusakan, penelusuran yang tidak disengaja dan sebagainya NSAA GAO, 2011. Audit SI secara umum mencakup hal-hal sebagai berikut: meninjau lingkungan dan fisik, administrasi sistem, software aplikasi, keamanan jaringan, kontinuitas bisnis, dan integritas data Gondodiyoto Hendarti, 2006 Audit SI sebagai proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem informasi dapat melindungi aset, teknologi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efisien Sayana, 2002.

2.2.1 Tujuan

Tujuan audit sistem informasi untuk meninjau dan memberikan umpan balik, menjamin dan melakukan rekomendasi mengenai tiga hal sebagai berikut ketersediaan availability, kerahasiaan Confidentiality dan integritas. Detail tentang tujuan audit sistem informasi dijelaskan Gondodiyoto Hendarti, 2006 sebagai berikut: 1. Untuk mengidentifikasi sistem yang ada baik yang ada pada tiap divisiunitdepartemen maupun yang digunakan menyeluruh. 2. Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegiatan operasional departemenunitdivisi, kelompok kerja maupun para petugas dalam melaksanakan kegiatannya. 3. Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business process yang didukung dengan sistem serta teknologi informasi yang ada. 4. Untuk menganalisis tingkat pentingnya datainformasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya. 5. Untuk mengetahui keterkaitan antara sistem pengolahan dan transfer informasi. 6. Untuk mengidentifikasi apakan ada kesenjangan antara sistem dan kebutuhan. 7. Untuk membuat peta dari alur informasi yang ada.

2.2.2 Tahapan Audit

Tahapan audit sistem informasi terdiri dari perencanaan audit, pengujian pengendalian, pengujian substantive, dan penyelesaian audit Gondodiyoto Hendarti, 2006. Sementara berdasarkan CISA Review Manual, 2009, ada beberapa langkah dalam perencanaan audit: 1. Memahami misi organisasi, sasaran, tujuan, dan proses-proses, termasuk informasi dan kebutuhan pengolahan, seperti ketersediaan, integritas, keamanan teknologi bisnis, serta kerahasiaan informasi. 2. Mengidentifikasi konten organisasi, seperti kebijakan, standar, panduan, prosedur dan struktur organisasi. 3. Menampilkan analisis risiko untuk membantu merancang rencana audit. 4. Meninjau kontrol internal berkaitan dengan teknologi informasi. 5. Merancang ruang lingkup dan sasaran audit. 6. Menyusun pendekatan audit berdasarkan strategi audit. 7. Menyediakan SDM untuk melakukan audit. 8. Menentukan kebutuhan logistik. Sedangkan untuk mendapatkan gambaran tentang bisnis dan organisasi maka auditor sistem informasi perlu melakukan hal-hal sebagai berikut: a. Melakukan tur fasilitas organisasi. b. Membaca laporan tahunan, laporan analisis keuangan independen dan publik organisasi. c. Meninjau strategi jangka panjang bisnis dan IT. d. Melakukan wawancara ke narasumber utama untuk memahami isu bisnis. e. Meninjau laporan audit sebelumnya atau laporan yang berkaitan dengan TI. f. Mengidentifikasi regulasi dan spesifik yang diterapkan pada TI. g. Mengidentifikasi fungsi TI atau yang berkaitan dengan di-outsourced.

2.3 Tata Kelola Teknologi Informasi IT Governance