ITAF adalah model yang komprehensif dan memberikan panduan praktek tentang penerapan nya, meliputi :
- Memberikan bimbingan pada desain, pelaksanaan dan pelaporan IS audit dan jaminan tugas
- Mendefinisikan istilah dan konsep spesifik untuk jaminan IS
- Menetapkan standar bahwa alamat IS audit dan jaminan peran dan tanggung jawab profesional; pengetahuan dan keterampilan dan ketekunan, perilaku dan persyaratan pelaporan
ITAF menyediakan satu sumber di mana IS audit dan jaminan profesional dapat mencari bimbingan, kebijakan dan prosedur penelitian, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.
Sementara ITAF menggabungkan standar ISACA yang ada dan bimbingan, telah dirancang untuk menjadi dokumen hidup. Sebagai pedoman baru dikembangkan dan diterbitkan, itu akan diindeks dalam kerangka dan membuat tersedia untuk anggota ISACA.
Beberapa keuntungan menggunakan model ITAF
- ITAF lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT, ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.
- ITAF didesain untuk profesional yang bergerak di bidang jasa audit atau assurance sehingga cocok diterapkan oleh lembaga
- Prosedur, metode dan istilah-istilah dalam ITAF lebih familiar, mudahdimengerti dan diterapkan oleh auditor
Gambar 1. Taxonomi ITAF (Veronica, 2013)
Standar umum adalah prinsip-prinsip di mana IS audit dan jaminan profesional beroperasi. Prinsip dan jaminan tersebut berlaku untuk pelaksanaan semua tugas dan penanganan audit IS dan jaminan profesional etika, kemandirian, objektivitas dan perawatan karena, serta pengetahuan, kompetensi dan keterampilan. Standar umum ini mencakup audit charter, independensi organisasi, independensi tenaga profesional, ekspektasi yang logis, perlindungan tenaga profesional, profil, pernyataan tegas dan kriteria. Audit charter memastikan adanya fungsi audit yang jelas mencakup tujuan, tanggung jawab dan akuntabilitas audit. Independensi organisasi memastikan fungsi audit berlaku objektif pada seluruh bagian organisasi dan selurh proses di dalamnya. Independensi tenaga profesional memastikan auditor berperilaku sama kepada seluruh auditee termasuk sikap perilaku dalam proses audit. Ekspektasi yang logis memastikan ekspektasi audit yang rasional dengan standar peraturan yang berlaku dan opini tenaga audit profesional. Perlindungan tenaga profesional dalam arti ketaatan terhadap standar audit yang berlaku dalam perencanaan, proses hingga pelaporan. Profil terkait hasil audit atau penilaian lain yang sebelumnya telah dilakukan dan kompetensi auditor yang melakukan tugas audit di perusahaan. Pernyataan tegas yang menegaskan bahwa proses audit telah dilakukan pada bagian tertentu dengan memberikan hasil audit yang dikategorikan sebagai mencukupi, valid dan relevan. Kriteria yang digunakan harus menjawab kebutuhan informasi audit seperti asasaran audit, keutuhan, relevan, terukur, dapat dimengerti, dikenal umum (penggunaan standar) dan sesuai dengan pengguna hasil audit.
Standar performa audit membangun ekspektasi audit. Standar performa berfokus pada audit sistim informasi dan menjamin perhatian tenaga profesional dalam menjamin desain kerja, jaminan pelaksanaan, kecukupan bukti dan pembanguna audit sistim informasi. Standar performa mencakup perencanaan perjanjian, perencanaan penilaian risiko, performa dan supervisi, materi, bukti, penggunaan hasil kerja tenaga profesional (yang sudah ada) dan hukum. Perencanaan perjanjian mencakup sasaran, ruang lingkup, waktu dan penyampaian hasil audit, kepatuhan audit dengan standar audit, penggunaan pendekatan berbasis risiko serta dokumentasi dan pelaporan audit. Perencanaan penilaian risiko memastikan dan menjamin audit menggunakan metodologi yang tepat dalam menentukan prioritas alokasi sumber daya sistim informasi yang ada. Performa dan supervisi memastikan proses audit sesuai dengan rencana audit yang telah disetujui/ disahkan, memastikan auditor diawasi dalam melakukan audit yang sesuai dengan ketentuan standar audit. Materi audit harus dapat menunjukkan kelemahan atau ketidaklengkapan kontrol, keterkaitan antara materi audit dengan materi lain yang berhubungan, dan efek/ dampak yang terakumulasi yang mungkin timbul. Bukti wajib ditemukan oleh auditor untuk ditunjukkan dan dilapirkan pada laporan hasil audit. Penggunaan hasil kerja tenaga profesional bermaksud menunjukkan adanya hasil audit yang telah dilakukan, kompetensi tenaga audit profesional serta standar audit yang digunakan. Hukum menegaskan dan menjamin bahwa tenga profesional audit dapat berhadapan dengan hukum yang berlaku apabila proses audit dijalankan tidak sesuai dengan peraturan/ standar hukum yang berlaku.
Standar pelaporan menjamin hasil audit dapat memiliki keseragaman bentuk laporan, menyediakan informasi sesuai level penilaian yang dilakukan. Standar pelaporan mencakup pelaporan dan aktifitas tindak lanjut. Pelaporan audit harus dapat menginformasikan pemenuhan perjanjian yang mencakup identifikasi organisasi, pengguna yang relevan, materi audit, ruang lingkup, sasaran perjanjian, waktu audit dan proses audit. Pelaporan juga harus mencantumkan bukti temuan, rekomendasi dan kesimpulan pelaksanaan audit. Aktifitas tindak lanjut menjamin tenaga audit profesional memonitor arus informasi yang relevan dalam manajemen respon terhadap temuan dan rekomendasi dalam hasil audit.
Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.