SELECTING,
TESTING, AND AUDITING IT APPLICATIONS
·
IT APPLICATION CONTROL ELEMENTS
Aplikasi dengan berbagai jenis,
seperti aplikasi berbasis web, aplikasi client-server, system mainframe yang
lebih lama, aplikasi perkantoran yang terdapat pada system local mempunya tiga
komponen dasar 1. Input system 2. Proses pada system 3. Output system. Aplikasi IT dapat
dipisahkan melalui tiga komponen ini yang harus dimerngerti oleh Auditor TI.
Contoh Aplikasi penggajian, input data pembayaran personil, dan proses system
menghitung pembayaran tunjangan, dan dapat mengupdate catatan riwayat
pembayaran, output yang dihasilkan dari system ini adalah laporan daftar gaji
berupa cek cetak. Auditor TI harus dapat mengembangkan 3 elemen utaman
berdasarkan hasil tinjauan terhadap
komponen tersebut walaupun terkadang kurang jelas mengenai komponen, seberapa
kompleks aplikasi. Auditot TI harus memecahkan input, proses, dan output pada
aplikasi tersebut.
·
APPLICATION INPUT COMPONENTS
Aplikasi IT membutuhkan beberapa
bentuk input, tanpa andanya input aplikasi tidak akan menghasilkan apa-apa.
Input dimasukkan dalam computer melalui media input. Saat ini input sering
dihasilkan dari berbagai sumber otomatis, seperti pengumpulan data nirkabel dan
pembaca kode bar. Tugas Auditor TI memahami sifat dan sumber komponen dalam
input tersebut.
·
INPUTS FROM DATA COLLECTION OR
OTHER INPUT DEVICES
Salah satu sumber input dapat
berasal dari media input, yang datanya terkode alfanumerik, data transaksi yang
masuk salah satu langkah pertama dalam rantai input. Setelah seluruh data masuk
akan terjadi pengumpulan data dan diproses sebagai batch. Kebutuhan pada
transaksi input akan di control oleh komponen dari keseluruhan control internal
aplikasi. Transaksi jenis bacth harus dimasukkan pada aplikasi tidak dapat
dimasukan oleh bagian entri temporer, sedangkan bagian operasional menggunakan
jadwal online untuk memasukkan transaksi, setelah kumpulkan akan di proses.
Program entri data yang digunakan untuk mengambil tugass tugas untuk melakukan
transaksi untuk mengilangkan kesalah tingkat rendah yang biasa terjadi pada
system input batch sebelumnya. Ada beberapa situasi masuknya file update
transaksi dalam mode real-time.
Data masukan transaksi berasal dari
banyak sumber salah satunya. Pada toko ritel, penjualan produk dapat di
inputkan oleh pembaca barcode, terdapat chip pada konputer kecil yaitu RFID
(radio frequency IDs) yang dipansang pada label komponen untuk mengidentifikasi
produk. semua data transaksi dapat diupdate ke beberapa jenis aplikasi pemproses.
Media input data transaksi dapat berasal dari, internet, media pertukaran data
electronic data interchange (EDI), atau melalui sistem nirkabel. Tugas Auditor
TI adlah memastikan bahwa data yang benar dimasukan. Ini dibutuhkan untuk
melakukan validasi data. Selain itu data verifikasi di perlukan untuk
memastikan kuantias yang seharusnya dimasukkan. System yang modern juga
membutuhkan pemeriksaan, pengumpulan data, dan program yang memproses transaksi memerlukan control
untk mencegah kesalahan atau memberikan sinyal peringatan.
APPLICATION
INPUTS FROM OTHER AUTOMATED SYSTEMS
Kesalahan atau kelalian input dapat
terjadi, tapi itu dapat berdampak pada aplikasi terkait, karena Aplikasi IT
sangat intergrasi untuk melakukan proses yang lain. Auditor TI harus memahami
sumber yang masuk melalui media input, dan memahami sifat dari input otomatis
pada aplikasi yang sama. Auditor perlu khawatir tentang control atas aplikasi
pendukung lainnya. Tantangan auditor TI meninjau input dari berbagai aplikasi
dan berbagai macam input yang berbeda. Untuk menghasilkan transaksi yang tepat
membutuh sumber daya dan waktu yang cukup banyak.
FILES
AND DATABASE INPUTS
Data yang masuk akan dimasaukkan ke
database berupa table data yang digunakan untuk validasi program data. Database
menyajikan tantangan khusus untuk auditor TI. Karena database system computer
adalah metode pengorganisasian data dalam format sedemikian rupa sehingga semua
elemen data penting berhubungan satu sama lain. Sebelum pada zaman modern database
masih menggunakan system hirarki. Basis data relasional adalah struktur file
umum ditemukan pada semua jenis ukuran computer. Database resanioanl itu
seperti spreadsheet Excel multidimensi. Artinya, pengguna dapat mengambil data
di berbagai baris database, kolom, dan halaman. Contoh model basis data
relasional adalah produk basis data Oracle Corporation dan baris data DB2 IBM.
Application
Programs
Aplikasi diproses melalui
serangkaian program computer atau set instruksi mesin. Program computer adalah
seperangkat instruksi yang mencakup setiap detail dari suatu proses. Auditor TI
tidak memahami bahasa program. Auditor IT menuliskan bahasa sehari-hari secara
rinci, jika tidak dilakukan secara rinci maka kebanyakan orang akan mengalami
kesalahan program. Aplikasi audit tinjau sederhana, tapi harus bias di
definisikan sesuai prosedur control
TRADITIONAL
MAINFRAME AND CLIENT-SERVER PROGRAMS
Aplikasi ini pertama kali di
program pada bahasa menis yang di bangun dari bahasa binner 1 dan 0. Setelah
bahasa biner generasi kedua yaitu bahasa assembly. Bahasa simbolik ini
menggunakan kode untuk mewakili intruksi, seperti menambahkan atau menyimpan nilai.
Generasi ketiga atau compiler, bahasa segera diikuti. Generasi ini menggunakan
pernyataan intruksi untuk mendeskripsikan tindakan yang akandiambil. Program
compiler menerjemahkan intruksi ini ke bahasa mesin. COBOL menjadi bahasa yang hamper standar untuk
pemrosesan data bisnis. Saat ini COBOL masih dgunakan untuk beberapa aplikasi
bisnis, tetapi basis data khusus dan bahasa pembuat laporan dan bahasa
berorientasi objek sekarang jauh lebih umum. Ada banyak bahasa computer seperti
Visual Basic dan Java. Auditor TI saat ini tidak perlu terampil dalam bahasa
pemograman.
MODERN
COMPUTER PROGRAM ARCHITECTURES
Cobol sering digunakan untuk
mengembangkan aplikasi bisnis pada zamannya. Auditor IT dengan pengetahuan
Visual Basic, COBOL, atau C, mungkin memiliki beberapa kesulitan awal memahami
bagaimana aplikasi berorientasi objek di program dan di konstruksi yang dapat
di gunakan dari beberapa konsep pemograman tingkat tinggi berorientasi objek.
Java dan C++ adalah dua bahasa pemograman aplikasi berbasis Web. Seorang
auditor harus bergantung pada standar program aplikasi secara keseluruhan di
tempat serta pada pengemnangan dan control pemeliharaan lainnya. Ada yang lebih
penting dari mencari standar pemograman aplikasi, Auditor IT meninjau control
pengembangan system umum di perusahan IT. Prosedur Audit IT untuk meninjau
control pengembangan system aplikasi baru. Proses control ini terkait erat
dengan control umum TI, Auditor TI harus mencari di setiap aplikasi yang
dipilih untuk ditinjau.
Langkah pertama dalam OOP adalah
melalui latihan pemodelan data dan mengidentifikasi semua objek yang ingin
manipulasi dan bagaimana mereka berhubungan satu sama lain.OOP mendefinisikan
urutan logis dari kelas objek. Konsep dan aturan yang digunakan dalam
pemrograman berorientasi objek memberikan manfaat penting ini:
- Konsep
kelas data memungkinkan untuk mendefinisikan subclass dari objek data yang
berbagi sebagian atau semua karakteristik kelas utama. Disebut warisan,
properti ini OOP memaksa analisis data yang lebih menyeluruh, mengurangi waktu
pengembangan, dan memastikan pengkodean yang lebih akurat.
- Karena
jenis data yang hanya menunjukkan data yang terkait dengan, ketika kinerja
kelas (anobject) sedang berjalan, programOOP akan tidak dapat mengakses program
lain secara tidak sengaja. Karakteristik data persembunyian ini memberikan
keamanan sistem yang lebih besar dan menghindari korupsi data yang tidak
diinginkan.
-
Definisi kelas dapat digunakan kembali baik oleh program yang awalnya dibuat
dan juga oleh program berorientasi objek lainnya (dan, karena alasan ini, dapat
lebih mudah didistribusikan untuk digunakan dalam jaringan).
- Konsep
kelas data memungkinkan programmer untuk membuat tipe data baru yang belum
didefinisikan dalam bahasa itu sendiri.
Bahasa OOP C++ dan JAVA mungkin
merupakan bahasa berorientasi objek yang sering digunakan saat ini dengan
sering digunakan untuk distribusi aplikasi yang digabungkan dengan jaringan dan
internet.
VENDOR-SUPPLIED
SOFTWARE
Sebagaian esar aplikasi IT
didasarkan pada perangkat lunak yang di berikan oleh vendor. Vendor akan
menyediakan elemen system dasar, biasanya berbasis Web, dan fungsi pengembangan
IT perusahaan hanya bertanggung jawab untuk membuat table khusus, antarmuka
file, dan format laporan keluar di aplikasi yang di beli. Vendor memberikan
batasan untuk melindungi sumber kode program yang sebenernya pada perangkat
yang di beli untuk mencegah akses dan perubahan yang tidak benar. Auditor IT
harus menjaga reputasi vendor.
Pengaturan harus dilakukan pada kontrak pembelian perangkat lunak untuk
menjaga sumber kode di escrow jika terjadi kegagalan bisnisnya. Meskipun tidak
memiliki bentuk tinjauan pra-implementasi TI tradisional, auditor IT dapat
memainkan peran tingkat konsultasi yang kuat yang mendukung manajemen TI dalam
perolehan paket perangkat lunak baru. Sering ada banyak masalah pengendalian
internal yang harus dipertimbangkan di luar deskripsi dalam brosur penjualan
vendor. Auditor TI harus memahami kontrol internal aplikasi perangkat lunak
yang dibeli utama serta dia memahami aplikasi yang dikembangkan sendiri.
Paket besar yang terintegrasi,
seperti sistem ERP, dapat berdampak besar pada semua aspek dari suatu
perusahaan. Paket aplikasi database ini dapat mencakup produksi, pembelian,
inventaris, sumber daya manusia, akuntansi, dan semua aplikasi bisnis lainnya
yang diimplementasikan sebagai serangkaian basis data yang terhubung. Data yang
diperkenalkan ke salah satu komponen aplikasi, seperti biaya standar yang
direvisi untuk bagian yang dibuat, akan terhubung ke sistem terhubung lainnya
seperlunya. Sebagai contoh, biaya standar yang direvisi akan tercermin dalam
sistem persediaan dan keuangan, antara lain.
IT
APPLICATION OUTPUT COMPONENTS
Komponen aplikasi utama
ini biasanya terdiri dari layar output, file yang diperbarui, atau bahkan
laporan yang dicetak. Ini adalah area penting untuk disurvei dalam tinjauan
aplikasi apa pun, dan audit TI harus memperhatikan kontrol yang terdapat pada
layar output dan file kontrol. auditor TI sering menemukan kekhawatiran kontrol
yang dapat diidentifikasi oleh pengguna hanya dengan meninjau laporan output
mereka. Dalam beberapa kasus, laporan online khusus mengontrol masalah sinyal
dan kesalahan data; di lain, pengguna bertanggung jawab untuk memanggil layar
yang sesuai untuk meninjau masalah. Auditor TI selalu harus meninjau ruang
lingkup laporan keluaran aplikasi, pesan layar, dan disposisi pengguna mereka.
Laporan atau layar bukan satu-satunya keluaran aplikasi.
SELCETING
APPLICATIONS FOR OT AUDIT REVIEWS
Banyak aplikasi TI
mewakili tingkat minimal risiko kontrol dan bukan kandidat audit penting.
Sebagai bagian dari tinjauan operasional tertentu atau tinjauan kontrol TI
secara umum, audit TI sebaiknya hanya memilih aplikasi yang lebih penting untuk
ditinjau. Auditor TI harus menggunakan teknik penilaian risiko untuk
mengidentifikasi kerentanan aplikasi yang lebih penting yang berkaitan dengan
persyaratan pelaporan, operasional, dan kepatuhan perusahaan.
Audit TI juga harus
mempertimbangkan faktor lain saat memilih aplikasi TI untuk ditinjau. Karena
aplikasi TI sering sangat penting untuk operasi perusahaan, auditor TI sering
menerima permintaan spesifik dari komite audit atau manajemen mereka untuk
meninjau kontrol aplikasi spesifik. Beberapa faktor yang dapat semakin
memengaruhi keputusan audit TI untuk memilih satu aplikasi spesifik di atas
yang lain dapat meliputi:
- Permintaan manajemen.
Manajemen sering
meminta audit TI untuk meninjau kontrol di aplikasi TI yang baru dipasang atau
yang penting lainnya karena masalah yang dilaporkan atau kepentingan strategis
yang dirasakan mereka terhadap perusahaan. Audit TI mungkin tidak menyadari
masalah input pengguna tersebut dan akan melakukan prosedur pemeriksaan normal.
Ketika audit TI menyadari keadaan yang meringankan tersebut, strategi uji audit
harus dimodifikasi sebelum memulai peninjauan.
- Preimplementasi ulasan aplikasi baru.
Dalam banyak contoh,
audit TI harus terlibat dalam meninjau aplikasi baru sebelum mereka ditempatkan
dalam produksi. Ini berlaku untuk aplikasi yang dikembangkan di dalam rumah dan
membeli paket perangkat lunak
- Ulasan aplikasi Postimplementation.
Auditor TI juga mungkin
ingin melakukan tinjauan aplikasi terperinci sesaat setelah implementasi sistem
yang sebenarnya. Jika suatu aplikasi memiliki kontrol keuangan dan operasional
yang cukup signifikan, audit TI mungkin ingin menjadwalkan setidaknya tinjauan
kontrol terbatas secara berkelanjutan.
- Pertimbangan penilaian pengendalian
internal.
Audit TI biasanya
dihadapkan dengan permintaan untuk ulasan dari sejumlah besar kandidat aplikasi
setiap saat. Auditor harus berhati-hati untuk mendokumentasikan mengapa satu
aplikasi memilih yang lain. Auditor TI sering melakukan tinjauan atas aplikasi
spesifik yang mendukung area fungsional secara keseluruhan. Misalnya, audit TI
perusahaan dapat menjadwalkan gabungan tinjauan operasional dan keuangan dari
departemen pembelian. Dalam pendekatan audit terpadu ini, auditor TI dapat
berkonsentrasi pada masalah yang lebih teknis seputar aplikasi dan pada kontrol
operasional pendukung lainnya.
PERFORMING AN APPLICATION CONTROLNS REVIEW : PRELIMINARY
STEPS
Aplikasi yang akan di
periksa, audit TI yang sudah mendapatkan pemahan yang rinci tentang tujuan dari
aplikasi, telknologi yang digunakan dan hubungan aplikasi ke proses
lainnya. Auditor IT yang ditugaskan
untuk melakukan pembacaan latar belakang dan mempelajari aspek teknis khusus
dari aplikasi Proses peninjauan ini, audit TI harus melakukan walk-through
aplikasi untuk lebih memahami cara kerjanya dan bagaimana fungsi kontrolnya.
Langkah-langkah awal ini akan memungkinkan auditor TI untuk mengembangkan tes
audit spesifik dari kontrol aplikasi yang lebih signifikan.
Dokumentasi menjadi
aliran system terperinci yang dapat membantu programmer tetapi tidak begitu
bermanfaat bagi pengguna aplikasi atau auditor IT control aplikasi. Dokumentasi
berkembang, berorientasi pada teks dan fungsional. Table keputusan dan bagan
logika berisi fungsi masing-masing program, sedangkan teks berisi system
keseluruhan. Jenis dokumentasi ini tidak bertahan lama karena jarang ada update
dari programmer dan perancang. Saat ini, alat dokumentasi yang kuat, seperti
generator flattchart, tersedia. Kekuatan panjang alat-alat dokumentasi otomatis
ini adalah bahwa aliran-aliran terperinci dapat digabungkan menjadi versi-versi
ringkasan dengan perubahan-perubahan yang diperkenalkan pada satu grafik yang memperbarui
semua yang lain.
Auditor TI dapat
menemukan berbagai jenis dokumentasi aplikasi tergantung pada usia relatif dan
kompleksitas aplikasi. Aplikasi house program memiliki dokumentasi yang lebih
sederhana di bandingkan dari vendor. Tinjauan atas dokumentasi yang
dipublikasikan harus menjadi langkah pertama untuk mendapatkan pemahaman audit
atas suatu aplikasi. Saat melakukan peninjauan, ITaudit biasanya harus mencari
elemen-elemen dokumentasi ini:
- Metodologi pengembangan sistem (SDM)
memulai dokumen.
- Spesifikasi
desain Fungsional. Dokumentasi ini harus menjelaskan aplikasi secara rinci,
termasuk masing-masing elemen program, spesifikasi basis data, dan kontrol
sistem.
- Aplikasi
dan program mengubah sejarah. Harus ada beberapa jenis log atau daftar catatan
terdokumentasi semua perubahan program dalam suatu aplikasi.
- Manual dokumentasi pengguna.
Bersamaan dengan dokumentasi teknis, dokumentasi pengguna yang sesuai harus
tersedia untuk aplikasi apa pun. Dalam sistem modern berbasis Web, sebagian besar
dokumentasi pengguna ini mungkin dalam bentuk layar online ‘‘ HELP ’atau‘ ‘READ
ME’ ’.
Audit TI harus meninjau
dokumentasi aplikasi, untuk mendapatkan pemahaman control, untuk ditinjau, data
melalui wawancara akan di tinjau audit nantinya. Auditor juga harus mengambil
salinan bagian kunci atau perwakilan untuk dokumentasi kertas kerja. Namun,
biasanya auditor TI tidak boleh mencoba menyalin seluruh file dokumentasi untuk
keperluan kertas kerja.
Conducting an Application Walk-Through Review
Dokumentasi aplikasi,
dan mewawancarai pengguna dan personel TI diverifikasi kontrol dan proses
aplikasi melalui tinjauan langsung. Tujuan dari walk-through ini adalah untuk
mengkonfirmasi pemahaman umum audit TI tentang bagaimana aplikasi IT
beroperasi. Selama walk-through, auditor terlebih dahulu menguji kontrol
aplikasi melalui transaksi sampel.
Data aplikasi dicatat
pada database relasional bersama dengan tabel nilai untuk memvalidasi ketentuan
pembelian, termasuk perhitungan diskon pembelian. Berdasarkan tinjauan
dokumentasi, output aplikasi mencakup transaksi transfer dana elektronik hutang
rekening, cek kertas, dll Pengguna sistem utama di sini adalah personil dari
departemen akuntansi dan pembelian umum, yang mengatur pembayaran vendor
otomatis di bawah istilah preagreed. Contoh aplikasi flowchart
Walk-through
memungkinkan audit TI untuk mendapatkan pemahaman awal dari aplikasi dan
kontrolnya, dan sistem otomatis lainnya. Pengujian kepatuhan terbatas
memungkinkan auditor IT untuk mengkonfirmasi bahwa aplikasi tersebut beroperasi
sebagaimana dijelaskan. A walk-through memungkinkan auditor TI untuk
mengidentifikasi kelemahan utama pengendalian internal dan mendapatkan
pemahaman yang cukup tentang aplikasi untuk mendefinisikan tujuan pengendalian
untuk selanjutnya, pengujian audit rinci dan prosedur evaluasi.
Developing Application Control Objectives
Definisi tujuan audit
ini tergantung pada jenis peninjauan yang direncanakan, karakteristik aplikasi,
dan hasil langkah peninjauan awal. Tinjauan khusus mungkin berkaitan dengan
tingkat risiko kontrol dan kemampuan aplikasi untuk mendukung laporan keuangan
dengan benar. Auditor TI juga dapat memiliki tujuan lain dalam meninjau suatu
aplikasi. Manajemen mungkin telah meminta IT audit untuk meninjau aplikasi
untuk menentukan apakah pengguna telah menerima pelatihan yang cukup untuk
mengoperasikannya. Auditor TI yang bertanggung jawab atas tinjauan rinci
mungkin ingin meringkas tujuan-tujuan ini untuk anggota manajemen yang tepat
untuk meninjau dan menyetujui.
Bergantung pada arahan
manajemen, audit TI mungkin mengembangkan tujuan lain untuk melakukan
peninjauan semacam itu. Audit TI mungkin juga ingin menambahkan tujuan umum
untuk menilai risiko pengendalian dan untuk menentukan bahwa sistem internal
kontrol memadai. Audit TI harus mendokumentasikan tujuan tertentu dari tinjauan
dan mendiskusikannya dengan manajer. Prosedur yang sama dapat terjadi bahkan
jika tinjauan aplikasi telah dimulai oleh departemen audit internal sebagai
bagian dari peninjauan total fungsi TI. berisi beberapa prosedur kontrol yang
disarankan dan tujuan audit untuk aplikasi TI
1. Kembangkan pemahaman
umum tentang aplikasi yang akan ditinjau: tujuan bisnis utamanya, input,
output, dan lingkungan teknologi.
2. Berdasarkan
pemahaman umum dari aplikasi, kembangkan sebuah diagram alur proses umum yang
mengidentifikasi poin-poin keputusan kunci, input, output, dan kontrol
internal.
3. Mengembangkan
pemahaman tentang kontrol umum seputar aplikasi dan lingkungan pengolahannya,
dengan penekanan pada dukungan layanan ITIL dan kontrol umum pengiriman
layanan. (Lihat Bab 7.)
4. Diskusikan aplikasi dan kinerjanya dengan
pengguna sistem kunci dan TI untuk memahami masalah atau masalah yang luar
biasa.
5. Kembangkan rencana
pengujian untuk aplikasi yang menekankan:
6. Kumpulkan bukti
untuk melakukan tes kontrol kunci yang teridentifikasi, termasuk:
7. Jadwalkan dan
lakukan tes kontrol aplikasi utama menggunakan bahan tes yang dikumpulkan.
8. Evaluasi semua hasil
tes menggunakan pendekatan pass / fail, dan komunikasikan hasil pengujian
dengan pengguna sistem kunci dan TI untuk memverifikasi dan memvalidasi
pendekatan pengujian dan hasilnya.
9. Mempertahankan
salinan dari semua rencana pengujian dan bukti, mendokumentasikan hasil dalam
kertas kerja audit internal.
10. Kembangkan rencana
tindakan perbaikan yang tepat, jika diperlukan, untuk memperbaiki masalah yang
dihadapi dalam pengujian atau tinjauan aplikasi.
Karena ada begitu
banyak jenis dan variasi aplikasi TI, Pendekatan peninjauan audit tingkat
tinggi, dan auditor TI harus membuat perubahan lain yang sesuai.
COMPLETING THE IT APPLICATION CONTROLS AUDIT
Auditor TI lebih sulit untuk
mendefinisi daripada tujuan untuk audit TI dari kontrol umum. Aplikasi yang
lebih besar dari proses bisnis, seperti sistem ERP. Strategi peninjauan auditor
TI tergantung pada apakah (1) aplikasi utamanya menggunakan komponen perangkat
lunak yang dibeli atau dikembangkan di rumah; (2) aplikasi terintegrasi dengan
orang lain atau merupakan proses yang terpisah; (3) menggunakan penyedia
layanan berbasis Web, klien-server atau yang lebih tua, metode sistem komputer
warisan; dan (4) kontrolnya sebagian besar otomatis atau memerlukan tindakan
intervensi manusia yang luas. Sifat yang tepat dari suatu aplikasi juga dapat
sangat bervariasi. Auditor TI harus memahami dan mendokumentasikan bagaimana
aplikasi bekerja, kemudian menentukan tujuan tes audit tertentu, dan akhirnya
melakukan serangkaian tes audit untuk memverifikasi bahwa kontrol aplikasi
sudah ada dan bekerja sesuai yang diharapkan.
Selain peninjauan
dokumentasi dan walk-through, diskusi dengan pengguna kunci dan personel sistem
yang bertanggung jawab dapat membantu dalam pemahaman auditor IT. Audit TI
seharusnya membuat catatan kerja di seluruh. Prosedur dokumentasi di sini
sebagian besar merupakan rangkuman di mana kertas kerja menggambarkan pemahaman
yang diperoleh dan menyertakan catatan untuk pekerjaan peninjauan tindak lanjut
potensial.
Clarifying and Testing Audit Control Objectives
Audit TI terkadang dapat
gagal dalam mendefinisikan tujuan spesifik dari tinjauan. Kesalahpahaman tujuan
audit TI ini menjadi sangat penting ketika peninjauan tidak berada dalam ranah
yang lebih umum atau terkait akuntansi atau aplikasi terkait auditor IT.
Tujuan-tujuan ini harus dirangkum secara singkat dan didiskusikan dengan
manajemen audit dan manajemen aplikasi-pengguna. Dalam tinjauan perencanaan
sumber daya manufaktur, misalnya, tujuan awal untuk memastikan kecukupan
kontrol internal aplikasi MRP mungkin berubah menjadi salah satu deteksi
penipuan jika transaksi yang berpotensi tidak sah ditemui.
Setelah mendefinisikan
tujuan Audit TI harus menguji lebih lanjut poin-poin kontrol utama dalam
aplikasi. Audit TI mencari kontrol penerimaan data input, untuk setiap poin
keputusan pemrosesan komputer, dan untuk kontrol verifikasi data output.
Auditor TI harus mencari poin di mana logika sistem atau keputusan kontrol
dibuat dalam aplikasi dan kemudian mengembangkan prosedur pengujian untuk
memverifikasi bahwa titik-titik keputusan tersebut benar. karena ada begitu
banyak jenis dan variasi aplikasi TI yang berbeda, auditor TI harus membuat
pendekatan ulasan dengan pertimbangan yang diberikan untuk masalah ini:
- Tes input dan output aplikasi
- Uji pendekatan evaluasi transaksi
- Teknik ulasan aplikasi lainnya
- Tests of Application Inputs and
Outputs
Pada hari-hari awal
audit TI, banyak tes yang berhubungan dengan audit hanya sedikit lebih dari
pemeriksaan untuk memverifikasi bahwa semua input ke program dicatat dengan
benar dan bahwa jumlah yang benar dari output transaksi diproduksi berdasarkan
input ini. Tinjauan auditor atas sistem penggajian otomatis adalah contoh dari
serangkaian tes input dan output.
Meskipun aplikasi
otomatis telah menjadi jauh lebih kompleks, Auditor TI harus memeriksa output
yang dihasilkan dari aplikasi untuk menentukan bahwa data input dan perhitungan
otomatis sudah benar. Tujuan dari penilaian risiko kontrol atau tes kepatuhan
adalah untuk menentukan apakah kontrol aplikasi tampak berfungsi. Jika semua transaksi
atau data pendukung harus direspon, pengujian substantif prosedur penyimpangan
keseimbangan keuangan harus digunakan. Untuk aplikasi yang lebih lama,
pengujian input dan output sering cukup mudah dilakukan dan tidak semudah
aplikasi saat ini, di mana auditor sering tidak menjumpai hubungan satu-ke-satu
antara input dan output.
Test Transaction Evaluation Approaches
Auditor harus memastikan
bahwa transaksi yang dialamatkan ke dalam system dilakukan dengan benar.
Misalnya, ketika meninjau aplikasi pabrik manufaktur di lantai
1. Pilih serangkaian
pesanan pembelian yang dihasilkan oleh aplikasi yang ditinjau dan lacak kembali
ke persyaratan yang dihasilkan melalui sistem pengadaan atau input pembelian
manual resmi, yang menentukan bahwa semua pesanan pembelian baru telah
diotorisasi dengan benar.
2. Dari sampel yang
dipilih pada langkah 1, lacak pesanan pembelian kembali ke catatan yang
ditetapkan untuk persyaratan dan harga vendor, selesaikan setiap perbedaan.
3. Pilih dan lacak
siklus pesanan pembelian otomatis ke log kontrol Web yang sesuai untuk
memastikan bahwa semua dokumen dikirimkan tanpa kesalahan dan tepat waktu.
4. Dengan menggunakan
contoh pesanan pembelian yang diterima dari log fi le, tentukan bahwa vendor
didokumentasikan melalui perjanjian pembelian yang ditandatangani saat ini.
5. Pilih asample of
receivereports, dan tentukan bahwa aplikasi tersebut berfungsi dengan baik
dengan mencocokkan tanda terima untuk membuka pesanan pembelian dan catatan
hutang piutang.
6. Pilih contoh voucher
pembayaran hutang baru-baru ini dan setiap cek aktual yang dihasilkan untuk
bagian dan bahan, tracing pembayaran ke valid menerima laporan dan pesanan
pembelian.
7. Dengan menggunakan
contoh transaksi yang dilakukan pada saat penerimaan untuk ketidakpatuhan
dengan persyaratan atau improvising, verifikasi bahwa transaksi ditangani
dengan benar dan prosedur yang ditetapkan.
8. Seimbangkan sampel
siklus penuh dari transaksi pembelian, dari sistem input yang memberikan
masukan ke log kontrol dan dokumen pesanan pembelian tercetak.
9. Selidiki setiap
perbedaan penyeimbangan dan verifikasi kesalahan yang dilaporkan valid.
10. Mendokumentasikan
semua pengecualian yang ditemukan sebagai item laporan audit potensial.
Verifikasi ini dapat
dilakukan dengan meninjau laporan pengambilan khusus terhadap file data.
Sebagai bagian dari proses transaksi pengujian, auditor TI juga dapat menguji
apakah kontrol kesalahan-skrining beroperasi seperti yang dijelaskan.
Penekanannya di sini harus pada pengujian rutinitas kesalahan-verifikasi dalam
aplikasi. Audit TI dapat memilih masukan transaksi untuk aplikasi yang
tampaknya tidak valid dan kemudian melacaknya melalui aplikasi untuk menentukan
bahwa mereka telah dilaporkan dengan benar pada laporan tanpa pengecualian.
Audit TI juga dapat mempertimbangkan mengirimkan transaksi kesalahan pengujian
ke sistem untuk memverifikasi bahwa mereka ditolak dengan benar oleh aplikasi.
Other Application Review Techniques
Auditor IT menggunakan
alat ini untuk menguji beberapa kontrol akuntansi. Perangkat lunak audit dapat
mencocokkan file dari periode yang berbeda, mengidentifikasi item data yang
tidak biasa. Teknik bermanfaat lainnya adalah:
- Reperformance fungsi
aplikasi atau perhitungan. Jenis tes ini berlaku untuk kedua aspek otomatis dan
manual sistem aplikasi.
- Ulasan kode sumber
program. Untuk aplikasi yang dikembangkan di perusahaan, audit TI dapat
memverifikasi bahwa program melakukan pemeriksaan logika tertentu dengan
memverifikasi kode sumber.
- Pendekatan pemantauan
audit berkelanjutan. Audit TI terkadang dapat mengatur untuk membuat prosedur
audit tersemat ke dalam aplikasi produksi untuk memungkinkan aplikasi tersebut
untuk mengendalikan konten atau masalah pengecualian aplikasi lainnya.
- Observasi prosedur.
Pengamatan mungkin berguna saat meninjau aplikasi otomatis dan manual.
Completing the Application Controls Review
Ada risiko bahwa
auditor TI dapat menguji kontrol aplikasi dan mencari itu berfungsi , Karena
risiko yang terkait dengan tes kepatuhan tersebut. Audit TI harus selalu
berhati-hati untuk mengkondisikan laporan audit apa pun ke manajemen dengan
komentar atau peringatan tentang risiko hasil. Audit TI mungkin ingin meninjau
deskripsi aplikasi dan mengidentifikasi kontrol untuk memverifikasi bahwa
mereka benar.
Jika audit TI menemukan
bahwa, melalui pengujian kepatuhan, kontrol aplikasi tidak berfungsi, mungkin
akan perlu untuk melaporkan temuan ini. Sifat dari laporan ini sangat
bergantung pada tingkat keparahan kelemahan kontrol dan sifat tinjauan. Jika
kelemahan kontrol terutama terkait dengan efisiensi atau operasional, audit TI
mungkin ingin melaporkannya hanya kepada manajemen TI untuk tindakan korektif
di masa depan.
Aplikasi dapat bersifat
finansial atau operasional dapat dikembangkan secara khusus aplikasi yang
terletak di sistem internal dengan database yang luas dan fasilitas
telekomunikasi, dapat beroperasi di lingkungan client-server, Audit TI dapat
mengembangkan pendekatan umum untuk meninjau sebagian besar aplikasi pemrosesan
data, biasanya perlu untuk menyesuaikan pendekatan tersebut ke fitur spesifik
dari aplikasi yang diberikan.
APPLICATION REVIEW CASE STUDY: CLIENT-SERVER BUDGETING
SYSTEM
Sebagai contoh tinjauan
aplikasi, asumsikan audit TI telah diminta untuk menilai kontrol internal atas sistem
penganggaran modal arsitektur client-server yang dikembangkan di dalam
perusahaan. Asumsikan bahwa departemen perencanaan keuangan telah mengembangkan
bagian analisis penganggaran modal dari aplikasi contoh ini menggunakan paket
perangkat lunak spreadsheet desktop yang populer. Asumsikan bahwa audit TI
telah diminta oleh manajemen untuk meninjau kontrol umum atas jaringan lokal
dan operasi komputer klien-server mereka. Mengikuti prosedur kontrol umum
tinjauan audit TI, pengguna mendokumentasikan aplikasi desktop mereka; backup
file dan program yang memadai dilakukan pada file server; prosedur kata sandi
akses terbatas hanya untuk personel yang berwenang; dan prosedur pengendalian
internal yang baik lainnya diikuti. Di antara rekomendasi audit TI adalah
menempatkan kontrol yang lebih kuat atas akses telekomunikasi ke jaringan lokal
dan menginstal prosedur pemindaian virus. Setelah membahas permintaan
peninjauan ini dengan manajemen senior dan TI, audit TI mengembangkan tujuan
peninjauan tingkat tinggi ini:
- Sistem penganggaran modal spreadsheet
harus memiliki kontrol akuntansi internal yang baik yang konsisten dengan
proses kontrol perusahaan lainnya.
- Aplikasi harus membuat keputusan
penganggaran modal berdasarkan pada parameter input ke sistem dan formula makro
terprogram.
- Sistem harus menyediakan masukan
yang akurat ke sistem penganggaran pusat atau perusahaan melalui server file
lokal.
- Kontrol keamanan dan integritas TI
harus aman.
- Sistem penganggaran modal harus
mendorong efisiensi dalam departemen perencanaan keuangan.
Tujuan ini berada pada
tingkat yang sangat tinggi tetapi mewakili format umum tujuan audit yang harus
dirumuskan auditor TI untuk jenis tinjauan aplikasi ini. Manajemen biasanya
menyatakan tujuannya dalam kata-kata yang menekankan kinerja aplikasi dan
tujuan fitur integritas.
Review Capital Budgeting System Documentation
Langkah pertama audit
TI harus meninjau dokumentasi yang tersedia untuk aplikasi contoh ini. Audit TI
mungkin berharap untuk menemukan atau harus meminta:
- Dokumentasi untuk paket perangkat
lunak penganggaran modal, termasuk deskripsi prosedur makro spreadsheet, dan
rumus
- Prosedur untuk mengunggah data
anggaran modal ke aplikasi penganggaran sistem pusat melalui file server
jaringan serta prosedur untuk menerima data input ke fungsi IT mainframe
- Prosedur untuk memastikan integritas
data yang ada di file server
Audit TI mungkin tidak
akan menemukan prosedur terdokumentasi yang mencakup semua elemen ini, tetapi
harus ada dokumentasi yang mencakup produk perangkat lunak yang digunakan,
antarmuka dengan aplikasi lain, dan prosedur manual yang diperlukan.
Auditor TI sering
merasa nyaman untuk mendeskripsikan aplikasi semacam itu dalam bentuk bagan
alir, meskipun deskripsi proses tertulis mungkin memadai. Tujuan dari jenis
deskripsi ini adalah untuk menyediakan audit IT dengan dokumentasi lembar kerja
aplikasi dan untuk menyediakan dasar untuk identifikasi poin kontrol yang
signifikan.
Identify Capital Budgeting Application Key Controls
Jika data salah dikirimkan
ke sistem penganggaran mainframe, catatan laporan keuangan mungkin salah. Jika
aplikasi tidak didokumentasikan dengan baik, perubahan pengguna kunci di
departemen perencanaan keuangan dapat membuat sistem hampir tidak bisa
beroperasi.
1. Kembangkan pemahaman
mendetail tentang semua transaksi input aplikasi otomatis dan manual yang
penting: sifat, waktu, dan sumber mereka.
2. Kembangkan pemahaman
yang kuat tentang prosedur koreksi kesalahan transaksi, baik sifat dari tabel
atau aturan yang digunakan untuk verifikasi maupun logika sistem bawaan3.
Menggunakan dokumentasi atau deskripsi basis data, melacak semua input ke
output data mengalir dengan aplikasi, menunjukkan bagaimana elemen input
4. Menentukan bahwa kontrol ada untuk
membandingkan jumlah input item dengan yang diterima atau ditolak
5. Tinjau prosedur
untuk koreksi dan resubmission barang yang ditolak; menentukan apakah kesalahan
disimpan dalam file ketegangan untuk analisis dan tindakan korektif.
6. Kembangkan pemahaman
mendetail tentang semua total output sistem kontrol yang signifikan, dan tinjau
sifat kontrol pendukung untuk siklus pemrosesan pembaruan aplikasi tunggal yang
dipilih dan dari siklus ke siklus.
7. Pilih masukan siklus
tanggal untuk ditinjau, dan tentukan bahwa jumlah input item, dikurangi semua
kesalahan ditolak, terkait dengan total kontrol output aplikasi.
8. Untuk siklus tes
yang dipilih, tentukan bahwa semua item kesalahan dari siklus telah dikoreksi,
dikirim ulang, atau menerima disposisi yang tepat.
9. Tinjau total kontrol
dalam siklus pemrosesan berikutnya untuk menentukan bahwa total file tetap
konsisten dari satu siklus ke siklus berikutnya, menyelidiki setiap perbedaan.
10. Tinjau file suspens
kesalahan yang ada untuk memastikan bahwa semua item kesalahan telah diinvestigasi
dan dikoreksi secara tepat waktu
11. Tinjau setiap
kekhawatiran awal atau kesalahan dengan TI dan manajemen yang bertanggung jawab
untuk membuat perubahan yang diperlukan untuk mengaudit prosedur pengujian.
12. Mendokumentasikan
semua tinjauan audit dan aktivitas pengujian di kertas kerja.
Berdasarkan pemahaman
audit TI dari sistem contoh ini, kontrol sistem kunci kini telah ditentukan dan
didokumentasikan.
Perform Application Tests of Compliance
Untuk langkah terakhir
dalam tinjauan aplikasi ini, audit TI harus melakukan tes prosedur audit yang
telah ditetapkan. Jika tidak ada masalah atau kelemahan yang diidentifikasi di
satu area kontrol, audit TI dapat memutuskan untuk meneruskan area kontrol
terkait. Beberapa tes kontrol aplikasi mungkin termasuk:
- Reperformance dari perhitungan.
- Perbandingan transaksi.
- Persetujuan yang tepat untuk
transaksi.
Auditor IT yang
imajinatif akan memilih tes yang harus dilakukan berdasarkan pada sifat audit
dan tujuan manajemen. Kontrol kelemahan harus dilaporkan kepada manajemen untuk
tindakan korektif.
AUDITING APPLICATIONS UNDER DEVELOPMENT
Aplikasi untuk kontrol
internal ketika sedang dikembangkan dan diimplementasikan daripada setelah
ditempatkan dalam produksi. Auditor TI yang efektif harus menyarankan tindakan
korektif untuk meningkatkan kontrol sistem di sepanjang jalan. Lebih mudah
untuk menerapkan perubahan selama proses implementasi aplikasi daripada setelah
selesai dan sistem telah ditempatkan ke dalam produksi.
Auditor TI harus
berhati-hati untuk tidak mengambil tanggung jawab untuk merancang kontrol
aplikasi baru. Tugas audit TI adalah untuk meninjau dan merekomendasikan tetapi
tidak untuk merancang atau membangun kontrol di area mana pun yang ditinjau. Auditor
TI harus menunjukkan kelemahan pengendalian internal untuk para pengembang
aplikasi tetapi hanya menyarankan mereka menerapkan rekomendasi tersebut. Audit
TI menyediakan mata yang lain untuk melihat aplikasi baru dan yang akan segera
diimplementasikan. Ini sedang dikembangkan dan membahas beberapa kesulitan yang
mungkin ditemui audit TI ketika mencoba untuk mengauditnya.
Objectives and Obstacles of Preimplementation Auditing
Konsep tinjauan
pra-implementasi pertama kali diusulkan oleh profesi baru pada apa yang disebut
audit EDP. Argumennya adalah bahwa jika auditor TI memiliki ‘‘ diberkati ’’
kontrol internal dari sistem yang sedang dikembangkan. Auditor TI juga tumbuh
untuk menerima tinjauan pra-implementasi, bertindak sebagai auditor dan bukan
konsultan. Namun, auditor TI menghadapi empat kendala utama ketika meninjau
aplikasi baru yang sedang dikembangkan:
1. Sikap "Kita lawan kami".
Meskipun audit TI dan manajemen umum keduanya dapat menerima konsep tersebut,
manajemen TI sering mengungkapkan kewaspadaan atau bahkan kebencian ketika
audit TI mengumumkan rencananya untuk meninjau aplikasi yang sedang
dikembangkan dan masih memiliki banyak detail yang belum dikerjakan.
2. Masalah peran auditor TI. Peran auditor
TI harus dipahami dengan jelas oleh semua pihak dan dapat didefinisikan
sebagai:
- Anggota tambahan dari tim
implementasi.
- Konsultan khusus.
- Pakar kontrol internal.
- Seorang penghuni 'kursi ekstra.'’
- Kebutuhan kesadaran
negara-of-the-art.
- Banyak dan beragam kandidat
pra-implementasi.
Hal ini terutama
berlaku di era aplikasi perusahaan besar saat ini, seperti ERP, yang memerlukan
perencanaan dan pengujian terperinci di semua bidang perusahaan.
Preimplementation Review Objectives
Tujuan utama dari
aplikasi audit pra-implementasi adalah untuk mengidentifikasi dan
merekomendasikan peningkatan kontrol sehingga mereka dapat berpotensi dipasang
selama proses pengembangan aplikasi. Namun, daripada hanya mengasumsikan bahwa
proyek TI baru diberikan dan kemudian meninjau kontrolnya, audit TI juga harus
bertujuan untuk meninjau justifikasi dan definisi proyek pengembangan baru.
Harus ada sistem manajemen proyek yang baik di tempat yang benar merencanakan
langkah-langkah pengembangan dan mengukur kemajuan aktual terhadap
langkah-langkah yang direncanakan. Untuk proyek-proyek besar, audit TI dapat
mengevaluasi kecukupan kontrol pengembangan proyek yang digunakan untuk
aplikasi tertentu. Fase preimplementation ini juga merupakan waktu yang sangat
baik bagi auditor IT untuk mendapatkan pemahaman tentang aplikasi baru yang
cukup untuk merancang tes audit otomatis di masa depan dan untuk mendefinisikan
CAATTs seperti yang dibahas dalam Bab 13. Apakah implementasi melibatkan paket
perangkat lunak vendor atau aplikasi yang dikembangkan inhouse, auditor TI
harus mendapatkan pemahaman menyeluruh tentang semua aspek dari proyek aplikasi
tersebut.
Selain itu, auditor TI
sering harus mematuhi persyaratan undang-undang untuk meninjau aplikasi baru
yang sedang dikembangkan. Beberapa negara bagian AS dan negara lain memiliki
undang-undang yang mewajibkan agar semua aplikasi lembaga negara baru yang
signifikan ditinjau oleh departemen audit mereka untuk kontrol TI sebelum
penerapan. Auditor di banyak pemerintah negara bagian AS dapat mengharapkan
undang-undang tersebut muncul di negara mereka sendiri di masa depan.
Preimplementation Review Problems
TI terkadang membuat
kesalahan dengan mengumumkan niat mereka untuk meninjau semua aplikasi baru dan
semua modifikasi utama sebelum implementasi. Dalam perusahaan yang lebih besar,
lusinan atau bahkan ratusan permintaan pengguna untuk proyek revisi baru atau
besar dapat dimulai secara teratur. Audit TI tidak akan memiliki waktu untuk
tinjauan pra-implementasi yang komprehensif dan hanya waktu untuk sedikit tanda
tangan persetujuan stempel karet. Untuk mengatasi kesulitan ini, audit TI harus
mempertimbangkan masalah ini:
- Pilih aplikasi yang tepat untuk
ditinjau.
- Tentukan peran auditor IT yang tepat.
- Tinjau tujuan bisa sulit untuk
didefinisikan.
Beberapa proyek
implementasi dan teknologi baru menunjukkan beberapa tantangan untuk audit TI
untuk melakukan tinjauan pra-implementasi yang efektif atas aplikasi TI. Namun,
apakah untuk aplikasi baru yang dikembangkan di perusahaan atau membeli
perangkat lunak, tinjauan pra-implementasi audit TI biasanya akan menambah
nilai pada lingkungan pengendalian internal di perusahaan. Selain itu, melalui
tinjauan pra-implementasi, auditor TI yang telah dituduh dalam lelucon lama
sebagai orang-orang yang 'bergabung dengan medan perang setelah tindakan
selesai untuk menembak yang terluka ’’ kini dapat memainkan peran proaktif
dalam proses pengembangan aplikasi.
Preimplementation Review Procedures
Auditor TI berpendapat
bahwa aplikasi yang sedang dikembangkan entah bagaimana berbeda. Auditor TI
harus menyesuaikan tinjauan pra-implementasi mereka sepanjang berbagai fase
pengembangan proyek baru, dimulai dengan inisiasi proyek awal, persyaratan
definisi, pengembangan dan pengujian, dan akhirnya untuk implementasi.
Langkah-langkah dasar yang sama ini berlaku apakah aplikasi tersebut adalah
aplikasi yang dikembangkan di dalam perusahaan, paket perangkat lunak berbasis
layanan vendor, atau serangkaian aplikasi desktop yang dijalankan oleh
pengguna. Satu-satunya perbedaan adalah pada penekanan tergantung pada
pendekatan pengembangan aplikasi.
Ketika audit TI telah
memilih aplikasi yang diberikan untuk tinjauan pra-implementasi, langkah pertama
yang penting adalah meninjau keseluruhan langkah-langkah program audit yang
direncanakan dengan manajemen TI sehingga ada pemahaman tentang apa yang
diharapkan oleh audit TI dan juga pendekatan peninjauan.
Application Requirements Definition Objectives
Jika memungkinkan,
audit TI harus terlibat dalam tinjauan pra-implementasi pada awal fase
pengembangan. Audit TI harus mencari persyaratan serupa, tidak peduli bagaimana
aplikasi baru dikembangkan. Beberapa prosedur ini, tentu saja, mungkin
memerlukan modifikasi jika aplikasi yang ditinjau terdiri dari teknologi khusus
atau akan menjadi modifikasi besar untuk sistem yang ada. Namun, audit TI harus
melakukan prosedur pengendalian yang diperlukan untuk memenuhi semua tujuan
pengendalian yang tercantum di sini. Audit TI mungkin perlu memutuskan apakah
ada keahlian khusus yang diperlukan selesaikan tinjauan.
Sebagai contoh, dengan
beberapa proyek besar yang memerlukan waktu bertahun-tahun untuk dikembangkan
dan diimplementasikan, menambahkan seorang spesialis kepada staf untuk meninjau
bahwa proyek itu dapat efektif. Pada penyelesaian fase ini, audit TI dapat
menulis laporan audit informal yang menguraikan setiap observasi dan
kekhawatiran awal. Selain itu, kertas kerja harus dimulai untuk
mendokumentasikan prosedur kontrol aplikasi yang baru.
Detailed Design and Program: Development Objectives
Mendefinisikan tujuan
desain terperinci biasanya merupakan fase terpanjang dari setiap proses
pengembangan aplikasi baru. Audit TI mungkin ingin menjadwalkan beberapa ulasan
selama fase ini. Beberapa perusahaan TI
mungkin mencoba menggunakan audit TI sebagai fungsi jaminan kualitas untuk
proyek tersebut. Ulasan tentang sifat ini harus dibatasi untuk pengujian
berkala. Setiap masalah terkait pengendalian yang dihadapi harus dibawa ke
perhatian manajemen sehingga tindakan korektif dapat diambil tepat waktu. Jika
aplikasi baru dibeli perangkat lunak, sering ada desain dan persyaratan
pemrograman internal yang terbatas. Namun, perusahaan IT mungkin harus membuat
program konversi file atau antarmuka dengan sistem atau tabel yang sudah ada
atau definisi pembuat laporan. Ini dapat mewakili upaya besar, dan audit TI
masih harus meninjau kontrol atas perangkat lunak yang dibeli sebelum dipasang
dan diimplementasikan.
Application Testing and Implementation Objectives
Audit TI harus
mempertimbangkan tingkat keparahan masalah pengendalian tersebut dan
mendokumentasikannya untuk ditindaklanjuti atau menginformasikan manajemen
tentang perlunya tindakan korektif selama implementasi saat ini.
Pada akhir pengujian
aplikasi dan fase implementasi, auditor TI yang bertanggung jawab harus
menyiapkan laporan akhir yang mendokumentasikan masalah kontrol yang signifikan
dan kemudian dikoreksi oleh fungsi pengembangan TI. Laporan ini juga harus
menguraikan rekomendasi kontrol yang luar biasa yang belum dilaksanakan.
Postimplementation Review Objectives and Reports
Meskipun aplikasi baru
tidak lagi dalam pengembangan, fase pasca implementasi audit pra-implementasi
sering masih penting. Tinjauan pasca-implementasi harus dilakukan segera
setelah aplikasi baru telah diimplementasikan dan memiliki
1. Tentukan apakah
rencana uji formal ada, termasuk garis besar modul aplikasi utama yang merinci
kondisi data yang diharapkan, aturan bisnis yang diuji, jenis pengujian, dan
hasil yang diharapkan untuk setiap kondisi modul yang diuji. ___
2. Tinjau hasil
beberapa tes unit terbaru untuk menentukan apakah hasil telah dipetakan ke
rencana uji, pengecualian yang diteliti, dan kesalahan dikoreksi sebagaimana
mestinya. ___
3. Tentukan apakah
aplikasi yang diuji memenuhi persyaratan desain aplikasi asli; jika
pengecualian ada, tentukan bahwa mereka didokumentasikan, ditinjau, dan
disetujui oleh pengguna kunci dengan benar. ___
4. Wawancara perwakilan
pengguna kunci untuk memahami partisipasi mereka dalam proses pengujian; di
mana partisipasi tampaknya kurang, membahas dan mendokumentasikan kebutuhan
untuk partisipasi pengguna untuk memastikan keberhasilan pelaksanaan. ___
5. Tinjau sejauh mana
pengujian sistem secara keseluruhan, termasuk antarmuka utama dengan aplikasi
lain dan penyedia layanan luar. ___
6. Jika ada persyaratan
asli yang belum dipenuhi oleh aplikasi yang sudah selesai, periksa prosedur
yang berlaku untuk menentukan apakah akan menambahkan prosedur nanti atau
sebaliknya untuk memperbolehkan ketidaksesuaian. ___
7. Jika sesuai, memulai
serangkaian transaksi tes audit internal yang dikembangkan yang menekankan
kontrol utama, yang didefinisikan dalam langkah-langkah peninjauan sebelumnya;
meninjau hasil tes dan menilai kinerja aplikasi. ___
8. Merangkum hasil
kegiatan pengujian aplikasi pra-implementasi, dan membuat rekomendasi audit
internal terkait kesesuaian penerapan aplikasi. ___
Audit TI harus
melakukan tinjauan setelah pengguna memiliki kesempatan untuk memahami aplikasi
dan sistem informasi memiliki waktu untuk menyelesaikan masalah atau kesalahan
implementasi akhir. Banyak departemen audit TI memiliki prosedur yang cukup
formal untuk mengeluarkan laporan audit. Draf laporan disiapkan, auditee
menyiapkan tanggapan mereka setelah beberapa diskusi dan negosiasi tentang
draft, dan laporan audit akhir dikeluarkan, dengan salinan didistribusikan ke
berbagai tingkat manajemen. Audit TI juga harus mengembangkan dokumentasi
kertas kerja yang mencakup kegiatan peninjauan ini, yang akan berfungsi baik
untuk mendokumentasikan kegiatan pra-implementasi dan menyediakan dasar untuk
tinjauan aplikasi nanti.
Proses akhir audit TI
harus mengeluarkan laporan audit formal mengikuti standar departemen audit internal.
Apabila diperlukan, laporan ini dapat membahas temuan audit pra-implementasi
dan tindakan korektif yang diambil. Namun, fungsi utama dari laporan akhir ini
adalah untuk menyoroti masalah kontrol yang masih perlu dikoreksi dalam sistem
aplikasi baru.
IMPORTANCE OF REVIEWING IT APPLICATION CONTROLS
Seorang auditor TI
harus menempatkan penekanan besar pada meninjau aplikasi IT yang mendukung
ketika melakukan tinjauan di area lain dari perusahaan. Audit TI membutuhkan
pemahaman yang baik tentang kedua prosedur TI dan kontrol spesifik dan
karakteristik prosedural dari setiap area aplikasi.
Auditor IT harus
efektif dalam menghabiskan audit untuk meninjau dan menguji kontros atas
aplikasi IT yang spesifik dan aplikasi pada saat proses pengembangan. Hal ini
dilakukan untuk memberikan jaminan kepada manajemen bahwa aplikasi beropraso
denan dan standar control sedang
diikuti, untuk mengandalkan keluaran hasil aplikasi. Pemahaman tentang tinjauan
kontrol aplikasi adalah persyaratan keterampilan utama untuk semua auditor IT.