Sabtu, 10 November 2018

Chapter 10


SELECTING, TESTING, AND AUDITING IT APPLICATIONS

·         IT APPLICATION CONTROL ELEMENTS
Aplikasi dengan berbagai jenis, seperti aplikasi berbasis web, aplikasi client-server, system mainframe yang lebih lama, aplikasi perkantoran yang terdapat pada system local mempunya tiga komponen dasar 1. Input system 2. Proses pada system  3. Output system. Aplikasi IT dapat dipisahkan melalui tiga komponen ini yang harus dimerngerti oleh Auditor TI. Contoh Aplikasi penggajian, input data pembayaran personil, dan proses system menghitung pembayaran tunjangan, dan dapat mengupdate catatan riwayat pembayaran, output yang dihasilkan dari system ini adalah laporan daftar gaji berupa cek cetak. Auditor TI harus dapat mengembangkan 3 elemen utaman berdasarkan hasil  tinjauan terhadap komponen tersebut walaupun terkadang kurang jelas mengenai komponen, seberapa kompleks aplikasi. Auditot TI harus memecahkan input, proses, dan output pada aplikasi tersebut.
·         APPLICATION INPUT COMPONENTS  
Aplikasi IT membutuhkan beberapa bentuk input, tanpa andanya input aplikasi tidak akan menghasilkan apa-apa. Input dimasukkan dalam computer melalui media input. Saat ini input sering dihasilkan dari berbagai sumber otomatis, seperti pengumpulan data nirkabel dan pembaca kode bar. Tugas Auditor TI memahami sifat dan sumber komponen dalam input tersebut.
·         INPUTS FROM DATA COLLECTION OR OTHER INPUT DEVICES
Salah satu sumber input dapat berasal dari media input, yang datanya terkode alfanumerik, data transaksi yang masuk salah satu langkah pertama dalam rantai input. Setelah seluruh data masuk akan terjadi pengumpulan data dan diproses sebagai batch. Kebutuhan pada transaksi input akan di control oleh komponen dari keseluruhan control internal aplikasi. Transaksi jenis bacth harus dimasukkan pada aplikasi tidak dapat dimasukan oleh bagian entri temporer, sedangkan bagian operasional menggunakan jadwal online untuk memasukkan transaksi, setelah kumpulkan akan di proses. Program entri data yang digunakan untuk mengambil tugass tugas untuk melakukan transaksi untuk mengilangkan kesalah tingkat rendah yang biasa terjadi pada system input batch sebelumnya. Ada beberapa situasi masuknya file update transaksi dalam mode real-time.
Data masukan transaksi berasal dari banyak sumber salah satunya. Pada toko ritel, penjualan produk dapat di inputkan oleh pembaca barcode, terdapat chip pada konputer kecil yaitu RFID (radio frequency IDs) yang dipansang pada label komponen untuk mengidentifikasi produk. semua data transaksi dapat diupdate ke beberapa jenis aplikasi pemproses. Media input data transaksi dapat berasal dari, internet, media pertukaran data electronic data interchange (EDI), atau melalui sistem nirkabel. Tugas Auditor TI adlah memastikan bahwa data yang benar dimasukan. Ini dibutuhkan untuk melakukan validasi data. Selain itu data verifikasi di perlukan untuk memastikan kuantias yang seharusnya dimasukkan. System yang modern juga membutuhkan pemeriksaan, pengumpulan data, dan program  yang memproses transaksi memerlukan control untk mencegah kesalahan atau memberikan sinyal peringatan.
APPLICATION INPUTS FROM OTHER AUTOMATED SYSTEMS
Kesalahan atau kelalian input dapat terjadi, tapi itu dapat berdampak pada aplikasi terkait, karena Aplikasi IT sangat intergrasi untuk melakukan proses yang lain. Auditor TI harus memahami sumber yang masuk melalui media input, dan memahami sifat dari input otomatis pada aplikasi yang sama. Auditor perlu khawatir tentang control atas aplikasi pendukung lainnya. Tantangan auditor TI meninjau input dari berbagai aplikasi dan berbagai macam input yang berbeda. Untuk menghasilkan transaksi yang tepat membutuh sumber daya dan waktu yang cukup banyak.
FILES AND DATABASE INPUTS
Data yang masuk akan dimasaukkan ke database berupa table data yang digunakan untuk validasi program data. Database menyajikan tantangan khusus untuk auditor TI. Karena database system computer adalah metode pengorganisasian data dalam format sedemikian rupa sehingga semua elemen data penting berhubungan satu sama lain. Sebelum pada zaman modern database masih menggunakan system hirarki. Basis data relasional adalah struktur file umum ditemukan pada semua jenis ukuran computer. Database resanioanl itu seperti spreadsheet Excel multidimensi. Artinya, pengguna dapat mengambil data di berbagai baris database, kolom, dan halaman. Contoh model basis data relasional adalah produk basis data Oracle Corporation dan baris data DB2 IBM.
Application Programs
Aplikasi diproses melalui serangkaian program computer atau set instruksi mesin. Program computer adalah seperangkat instruksi yang mencakup setiap detail dari suatu proses. Auditor TI tidak memahami bahasa program. Auditor IT menuliskan bahasa sehari-hari secara rinci, jika tidak dilakukan secara rinci maka kebanyakan orang akan mengalami kesalahan program. Aplikasi audit tinjau sederhana, tapi harus bias di definisikan sesuai prosedur control
TRADITIONAL MAINFRAME AND CLIENT-SERVER PROGRAMS
Aplikasi ini pertama kali di program pada bahasa menis yang di bangun dari bahasa binner 1 dan 0. Setelah bahasa biner generasi kedua yaitu bahasa assembly. Bahasa simbolik ini menggunakan kode untuk mewakili intruksi, seperti menambahkan atau menyimpan nilai. Generasi ketiga atau compiler, bahasa segera diikuti. Generasi ini menggunakan pernyataan intruksi untuk mendeskripsikan tindakan yang akandiambil. Program compiler menerjemahkan intruksi ini ke bahasa mesin. COBOL  menjadi bahasa yang hamper standar untuk pemrosesan data bisnis. Saat ini COBOL masih dgunakan untuk beberapa aplikasi bisnis, tetapi basis data khusus dan bahasa pembuat laporan dan bahasa berorientasi objek sekarang jauh lebih umum. Ada banyak bahasa computer seperti Visual Basic dan Java. Auditor TI saat ini tidak perlu terampil dalam bahasa pemograman.


MODERN COMPUTER PROGRAM ARCHITECTURES
Cobol sering digunakan untuk mengembangkan aplikasi bisnis pada zamannya. Auditor IT dengan pengetahuan Visual Basic, COBOL, atau C, mungkin memiliki beberapa kesulitan awal memahami bagaimana aplikasi berorientasi objek di program dan di konstruksi yang dapat di gunakan dari beberapa konsep pemograman tingkat tinggi berorientasi objek. Java dan C++ adalah dua bahasa pemograman aplikasi berbasis Web. Seorang auditor harus bergantung pada standar program aplikasi secara keseluruhan di tempat serta pada pengemnangan dan control pemeliharaan lainnya. Ada yang lebih penting dari mencari standar pemograman aplikasi, Auditor IT meninjau control pengembangan system umum di perusahan IT. Prosedur Audit IT untuk meninjau control pengembangan system aplikasi baru. Proses control ini terkait erat dengan control umum TI, Auditor TI harus mencari di setiap aplikasi yang dipilih untuk ditinjau.
Langkah pertama dalam OOP adalah melalui latihan pemodelan data dan mengidentifikasi semua objek yang ingin manipulasi dan bagaimana mereka berhubungan satu sama lain.OOP mendefinisikan urutan logis dari kelas objek. Konsep dan aturan yang digunakan dalam pemrograman berorientasi objek memberikan manfaat penting ini:
-           Konsep kelas data memungkinkan untuk mendefinisikan subclass dari objek data yang berbagi sebagian atau semua karakteristik kelas utama. Disebut warisan, properti ini OOP memaksa analisis data yang lebih menyeluruh, mengurangi waktu pengembangan, dan memastikan pengkodean yang lebih akurat.
-           Karena jenis data yang hanya menunjukkan data yang terkait dengan, ketika kinerja kelas (anobject) sedang berjalan, programOOP akan tidak dapat mengakses program lain secara tidak sengaja. Karakteristik data persembunyian ini memberikan keamanan sistem yang lebih besar dan menghindari korupsi data yang tidak diinginkan.
-           Definisi kelas dapat digunakan kembali baik oleh program yang awalnya dibuat dan juga oleh program berorientasi objek lainnya (dan, karena alasan ini, dapat lebih mudah didistribusikan untuk digunakan dalam jaringan).
-           Konsep kelas data memungkinkan programmer untuk membuat tipe data baru yang belum didefinisikan dalam bahasa itu sendiri.
Bahasa OOP C++ dan JAVA mungkin merupakan bahasa berorientasi objek yang sering digunakan saat ini dengan sering digunakan untuk distribusi aplikasi yang digabungkan dengan jaringan dan internet.
VENDOR-SUPPLIED SOFTWARE
Sebagaian esar aplikasi IT didasarkan pada perangkat lunak yang di berikan oleh vendor. Vendor akan menyediakan elemen system dasar, biasanya berbasis Web, dan fungsi pengembangan IT perusahaan hanya bertanggung jawab untuk membuat table khusus, antarmuka file, dan format laporan keluar di aplikasi yang di beli. Vendor memberikan batasan untuk melindungi sumber kode program yang sebenernya pada perangkat yang di beli untuk mencegah akses dan perubahan yang tidak benar. Auditor IT harus menjaga reputasi vendor.  Pengaturan harus dilakukan pada kontrak pembelian perangkat lunak untuk menjaga sumber kode di escrow jika terjadi kegagalan bisnisnya. Meskipun tidak memiliki bentuk tinjauan pra-implementasi TI tradisional, auditor IT dapat memainkan peran tingkat konsultasi yang kuat yang mendukung manajemen TI dalam perolehan paket perangkat lunak baru. Sering ada banyak masalah pengendalian internal yang harus dipertimbangkan di luar deskripsi dalam brosur penjualan vendor. Auditor TI harus memahami kontrol internal aplikasi perangkat lunak yang dibeli utama serta dia memahami aplikasi yang dikembangkan sendiri.
Paket besar yang terintegrasi, seperti sistem ERP, dapat berdampak besar pada semua aspek dari suatu perusahaan. Paket aplikasi database ini dapat mencakup produksi, pembelian, inventaris, sumber daya manusia, akuntansi, dan semua aplikasi bisnis lainnya yang diimplementasikan sebagai serangkaian basis data yang terhubung. Data yang diperkenalkan ke salah satu komponen aplikasi, seperti biaya standar yang direvisi untuk bagian yang dibuat, akan terhubung ke sistem terhubung lainnya seperlunya. Sebagai contoh, biaya standar yang direvisi akan tercermin dalam sistem persediaan dan keuangan, antara lain.


IT APPLICATION OUTPUT COMPONENTS
Komponen aplikasi utama ini biasanya terdiri dari layar output, file yang diperbarui, atau bahkan laporan yang dicetak. Ini adalah area penting untuk disurvei dalam tinjauan aplikasi apa pun, dan audit TI harus memperhatikan kontrol yang terdapat pada layar output dan file kontrol. auditor TI sering menemukan kekhawatiran kontrol yang dapat diidentifikasi oleh pengguna hanya dengan meninjau laporan output mereka. Dalam beberapa kasus, laporan online khusus mengontrol masalah sinyal dan kesalahan data; di lain, pengguna bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau masalah. Auditor TI selalu harus meninjau ruang lingkup laporan keluaran aplikasi, pesan layar, dan disposisi pengguna mereka. Laporan atau layar bukan satu-satunya keluaran aplikasi.
SELCETING APPLICATIONS FOR OT AUDIT REVIEWS
Banyak aplikasi TI mewakili tingkat minimal risiko kontrol dan bukan kandidat audit penting. Sebagai bagian dari tinjauan operasional tertentu atau tinjauan kontrol TI secara umum, audit TI sebaiknya hanya memilih aplikasi yang lebih penting untuk ditinjau. Auditor TI harus menggunakan teknik penilaian risiko untuk mengidentifikasi kerentanan aplikasi yang lebih penting yang berkaitan dengan persyaratan pelaporan, operasional, dan kepatuhan perusahaan.
Audit TI juga harus mempertimbangkan faktor lain saat memilih aplikasi TI untuk ditinjau. Karena aplikasi TI sering sangat penting untuk operasi perusahaan, auditor TI sering menerima permintaan spesifik dari komite audit atau manajemen mereka untuk meninjau kontrol aplikasi spesifik. Beberapa faktor yang dapat semakin memengaruhi keputusan audit TI untuk memilih satu aplikasi spesifik di atas yang lain dapat meliputi:
-           Permintaan manajemen.
Manajemen sering meminta audit TI untuk meninjau kontrol di aplikasi TI yang baru dipasang atau yang penting lainnya karena masalah yang dilaporkan atau kepentingan strategis yang dirasakan mereka terhadap perusahaan. Audit TI mungkin tidak menyadari masalah input pengguna tersebut dan akan melakukan prosedur pemeriksaan normal. Ketika audit TI menyadari keadaan yang meringankan tersebut, strategi uji audit harus dimodifikasi sebelum memulai peninjauan.
-           Preimplementasi ulasan aplikasi baru.
Dalam banyak contoh, audit TI harus terlibat dalam meninjau aplikasi baru sebelum mereka ditempatkan dalam produksi. Ini berlaku untuk aplikasi yang dikembangkan di dalam rumah dan membeli paket perangkat lunak
-           Ulasan aplikasi Postimplementation.
Auditor TI juga mungkin ingin melakukan tinjauan aplikasi terperinci sesaat setelah implementasi sistem yang sebenarnya. Jika suatu aplikasi memiliki kontrol keuangan dan operasional yang cukup signifikan, audit TI mungkin ingin menjadwalkan setidaknya tinjauan kontrol terbatas secara berkelanjutan.
-           Pertimbangan penilaian pengendalian internal.
Audit TI biasanya dihadapkan dengan permintaan untuk ulasan dari sejumlah besar kandidat aplikasi setiap saat. Auditor harus berhati-hati untuk mendokumentasikan mengapa satu aplikasi memilih yang lain. Auditor TI sering melakukan tinjauan atas aplikasi spesifik yang mendukung area fungsional secara keseluruhan. Misalnya, audit TI perusahaan dapat menjadwalkan gabungan tinjauan operasional dan keuangan dari departemen pembelian. Dalam pendekatan audit terpadu ini, auditor TI dapat berkonsentrasi pada masalah yang lebih teknis seputar aplikasi dan pada kontrol operasional pendukung lainnya.
PERFORMING AN APPLICATION CONTROLNS REVIEW : PRELIMINARY STEPS
Aplikasi yang akan di periksa, audit TI yang sudah mendapatkan pemahan yang rinci tentang tujuan dari aplikasi, telknologi yang digunakan dan hubungan aplikasi ke proses lainnya.  Auditor IT yang ditugaskan untuk melakukan pembacaan latar belakang dan mempelajari aspek teknis khusus dari aplikasi Proses peninjauan ini, audit TI harus melakukan walk-through aplikasi untuk lebih memahami cara kerjanya dan bagaimana fungsi kontrolnya. Langkah-langkah awal ini akan memungkinkan auditor TI untuk mengembangkan tes audit spesifik dari kontrol aplikasi yang lebih signifikan.
Dokumentasi menjadi aliran system terperinci yang dapat membantu programmer tetapi tidak begitu bermanfaat bagi pengguna aplikasi atau auditor IT control aplikasi. Dokumentasi berkembang, berorientasi pada teks dan fungsional. Table keputusan dan bagan logika berisi fungsi masing-masing program, sedangkan teks berisi system keseluruhan. Jenis dokumentasi ini tidak bertahan lama karena jarang ada update dari programmer dan perancang. Saat ini, alat dokumentasi yang kuat, seperti generator flattchart, tersedia. Kekuatan panjang alat-alat dokumentasi otomatis ini adalah bahwa aliran-aliran terperinci dapat digabungkan menjadi versi-versi ringkasan dengan perubahan-perubahan yang diperkenalkan pada satu grafik yang memperbarui semua yang lain.
Auditor TI dapat menemukan berbagai jenis dokumentasi aplikasi tergantung pada usia relatif dan kompleksitas aplikasi. Aplikasi house program memiliki dokumentasi yang lebih sederhana di bandingkan dari vendor. Tinjauan atas dokumentasi yang dipublikasikan harus menjadi langkah pertama untuk mendapatkan pemahaman audit atas suatu aplikasi. Saat melakukan peninjauan, ITaudit biasanya harus mencari elemen-elemen dokumentasi ini:
-           Metodologi pengembangan sistem (SDM) memulai dokumen.
-           Spesifikasi desain Fungsional. Dokumentasi ini harus menjelaskan aplikasi secara rinci, termasuk masing-masing elemen program, spesifikasi basis data, dan kontrol sistem.
 -          Aplikasi dan program mengubah sejarah. Harus ada beberapa jenis log atau daftar catatan terdokumentasi semua perubahan program dalam suatu aplikasi.
-           Manual dokumentasi pengguna. Bersamaan dengan dokumentasi teknis, dokumentasi pengguna yang sesuai harus tersedia untuk aplikasi apa pun. Dalam sistem modern berbasis Web, sebagian besar dokumentasi pengguna ini mungkin dalam bentuk layar online ‘‘ HELP ’atau‘ ‘READ ME’ ’.
Audit TI harus meninjau dokumentasi aplikasi, untuk mendapatkan pemahaman control, untuk ditinjau, data melalui wawancara akan di tinjau audit nantinya. Auditor juga harus mengambil salinan bagian kunci atau perwakilan untuk dokumentasi kertas kerja. Namun, biasanya auditor TI tidak boleh mencoba menyalin seluruh file dokumentasi untuk keperluan kertas kerja.
Conducting an Application Walk-Through Review
Dokumentasi aplikasi, dan mewawancarai pengguna dan personel TI diverifikasi kontrol dan proses aplikasi melalui tinjauan langsung. Tujuan dari walk-through ini adalah untuk mengkonfirmasi pemahaman umum audit TI tentang bagaimana aplikasi IT beroperasi. Selama walk-through, auditor terlebih dahulu menguji kontrol aplikasi melalui transaksi sampel.
Data aplikasi dicatat pada database relasional bersama dengan tabel nilai untuk memvalidasi ketentuan pembelian, termasuk perhitungan diskon pembelian. Berdasarkan tinjauan dokumentasi, output aplikasi mencakup transaksi transfer dana elektronik hutang rekening, cek kertas, dll Pengguna sistem utama di sini adalah personil dari departemen akuntansi dan pembelian umum, yang mengatur pembayaran vendor otomatis di bawah istilah preagreed. Contoh aplikasi flowchart
Walk-through memungkinkan audit TI untuk mendapatkan pemahaman awal dari aplikasi dan kontrolnya, dan sistem otomatis lainnya. Pengujian kepatuhan terbatas memungkinkan auditor IT untuk mengkonfirmasi bahwa aplikasi tersebut beroperasi sebagaimana dijelaskan. A walk-through memungkinkan auditor TI untuk mengidentifikasi kelemahan utama pengendalian internal dan mendapatkan pemahaman yang cukup tentang aplikasi untuk mendefinisikan tujuan pengendalian untuk selanjutnya, pengujian audit rinci dan prosedur evaluasi.
Developing Application Control Objectives
Definisi tujuan audit ini tergantung pada jenis peninjauan yang direncanakan, karakteristik aplikasi, dan hasil langkah peninjauan awal. Tinjauan khusus mungkin berkaitan dengan tingkat risiko kontrol dan kemampuan aplikasi untuk mendukung laporan keuangan dengan benar. Auditor TI juga dapat memiliki tujuan lain dalam meninjau suatu aplikasi. Manajemen mungkin telah meminta IT audit untuk meninjau aplikasi untuk menentukan apakah pengguna telah menerima pelatihan yang cukup untuk mengoperasikannya. Auditor TI yang bertanggung jawab atas tinjauan rinci mungkin ingin meringkas tujuan-tujuan ini untuk anggota manajemen yang tepat untuk meninjau dan menyetujui.
Bergantung pada arahan manajemen, audit TI mungkin mengembangkan tujuan lain untuk melakukan peninjauan semacam itu. Audit TI mungkin juga ingin menambahkan tujuan umum untuk menilai risiko pengendalian dan untuk menentukan bahwa sistem internal kontrol memadai. Audit TI harus mendokumentasikan tujuan tertentu dari tinjauan dan mendiskusikannya dengan manajer. Prosedur yang sama dapat terjadi bahkan jika tinjauan aplikasi telah dimulai oleh departemen audit internal sebagai bagian dari peninjauan total fungsi TI.  berisi beberapa prosedur kontrol yang disarankan dan tujuan audit untuk aplikasi TI
1. Kembangkan pemahaman umum tentang aplikasi yang akan ditinjau: tujuan bisnis utamanya, input, output, dan lingkungan teknologi.
2. Berdasarkan pemahaman umum dari aplikasi, kembangkan sebuah diagram alur proses umum yang mengidentifikasi poin-poin keputusan kunci, input, output, dan kontrol internal.
3. Mengembangkan pemahaman tentang kontrol umum seputar aplikasi dan lingkungan pengolahannya, dengan penekanan pada dukungan layanan ITIL dan kontrol umum pengiriman layanan. (Lihat Bab 7.)
 4. Diskusikan aplikasi dan kinerjanya dengan pengguna sistem kunci dan TI untuk memahami masalah atau masalah yang luar biasa.
5. Kembangkan rencana pengujian untuk aplikasi yang menekankan:
6. Kumpulkan bukti untuk melakukan tes kontrol kunci yang teridentifikasi, termasuk:
7. Jadwalkan dan lakukan tes kontrol aplikasi utama menggunakan bahan tes yang dikumpulkan.
8. Evaluasi semua hasil tes menggunakan pendekatan pass / fail, dan komunikasikan hasil pengujian dengan pengguna sistem kunci dan TI untuk memverifikasi dan memvalidasi pendekatan pengujian dan hasilnya.
9. Mempertahankan salinan dari semua rencana pengujian dan bukti, mendokumentasikan hasil dalam kertas kerja audit internal.
10. Kembangkan rencana tindakan perbaikan yang tepat, jika diperlukan, untuk memperbaiki masalah yang dihadapi dalam pengujian atau tinjauan aplikasi.
Karena ada begitu banyak jenis dan variasi aplikasi TI, Pendekatan peninjauan audit tingkat tinggi, dan auditor TI harus membuat perubahan lain yang sesuai.
COMPLETING THE IT APPLICATION CONTROLS AUDIT
Auditor TI lebih sulit untuk mendefinisi daripada tujuan untuk audit TI dari kontrol umum. Aplikasi yang lebih besar dari proses bisnis, seperti sistem ERP. Strategi peninjauan auditor TI tergantung pada apakah (1) aplikasi utamanya menggunakan komponen perangkat lunak yang dibeli atau dikembangkan di rumah; (2) aplikasi terintegrasi dengan orang lain atau merupakan proses yang terpisah; (3) menggunakan penyedia layanan berbasis Web, klien-server atau yang lebih tua, metode sistem komputer warisan; dan (4) kontrolnya sebagian besar otomatis atau memerlukan tindakan intervensi manusia yang luas. Sifat yang tepat dari suatu aplikasi juga dapat sangat bervariasi. Auditor TI harus memahami dan mendokumentasikan bagaimana aplikasi bekerja, kemudian menentukan tujuan tes audit tertentu, dan akhirnya melakukan serangkaian tes audit untuk memverifikasi bahwa kontrol aplikasi sudah ada dan bekerja sesuai yang diharapkan.
Selain peninjauan dokumentasi dan walk-through, diskusi dengan pengguna kunci dan personel sistem yang bertanggung jawab dapat membantu dalam pemahaman auditor IT. Audit TI seharusnya membuat catatan kerja di seluruh. Prosedur dokumentasi di sini sebagian besar merupakan rangkuman di mana kertas kerja menggambarkan pemahaman yang diperoleh dan menyertakan catatan untuk pekerjaan peninjauan tindak lanjut potensial.
Clarifying and Testing Audit Control Objectives
Audit TI terkadang dapat gagal dalam mendefinisikan tujuan spesifik dari tinjauan. Kesalahpahaman tujuan audit TI ini menjadi sangat penting ketika peninjauan tidak berada dalam ranah yang lebih umum atau terkait akuntansi atau aplikasi terkait auditor IT. Tujuan-tujuan ini harus dirangkum secara singkat dan didiskusikan dengan manajemen audit dan manajemen aplikasi-pengguna. Dalam tinjauan perencanaan sumber daya manufaktur, misalnya, tujuan awal untuk memastikan kecukupan kontrol internal aplikasi MRP mungkin berubah menjadi salah satu deteksi penipuan jika transaksi yang berpotensi tidak sah ditemui.
Setelah mendefinisikan tujuan Audit TI harus menguji lebih lanjut poin-poin kontrol utama dalam aplikasi. Audit TI mencari kontrol penerimaan data input, untuk setiap poin keputusan pemrosesan komputer, dan untuk kontrol verifikasi data output. Auditor TI harus mencari poin di mana logika sistem atau keputusan kontrol dibuat dalam aplikasi dan kemudian mengembangkan prosedur pengujian untuk memverifikasi bahwa titik-titik keputusan tersebut benar. karena ada begitu banyak jenis dan variasi aplikasi TI yang berbeda, auditor TI harus membuat pendekatan ulasan dengan pertimbangan yang diberikan untuk masalah ini:
-           Tes input dan output aplikasi
-           Uji pendekatan evaluasi transaksi
-           Teknik ulasan aplikasi lainnya
-           Tests of Application Inputs and Outputs
Pada hari-hari awal audit TI, banyak tes yang berhubungan dengan audit hanya sedikit lebih dari pemeriksaan untuk memverifikasi bahwa semua input ke program dicatat dengan benar dan bahwa jumlah yang benar dari output transaksi diproduksi berdasarkan input ini. Tinjauan auditor atas sistem penggajian otomatis adalah contoh dari serangkaian tes input dan output.
Meskipun aplikasi otomatis telah menjadi jauh lebih kompleks, Auditor TI harus memeriksa output yang dihasilkan dari aplikasi untuk menentukan bahwa data input dan perhitungan otomatis sudah benar. Tujuan dari penilaian risiko kontrol atau tes kepatuhan adalah untuk menentukan apakah kontrol aplikasi tampak berfungsi. Jika semua transaksi atau data pendukung harus direspon, pengujian substantif prosedur penyimpangan keseimbangan keuangan harus digunakan. Untuk aplikasi yang lebih lama, pengujian input dan output sering cukup mudah dilakukan dan tidak semudah aplikasi saat ini, di mana auditor sering tidak menjumpai hubungan satu-ke-satu antara input dan output.
Test Transaction Evaluation Approaches
Auditor harus memastikan bahwa transaksi yang dialamatkan ke dalam system dilakukan dengan benar. Misalnya, ketika meninjau aplikasi pabrik manufaktur di lantai
1. Pilih serangkaian pesanan pembelian yang dihasilkan oleh aplikasi yang ditinjau dan lacak kembali ke persyaratan yang dihasilkan melalui sistem pengadaan atau input pembelian manual resmi, yang menentukan bahwa semua pesanan pembelian baru telah diotorisasi dengan benar.
2. Dari sampel yang dipilih pada langkah 1, lacak pesanan pembelian kembali ke catatan yang ditetapkan untuk persyaratan dan harga vendor, selesaikan setiap perbedaan.
3. Pilih dan lacak siklus pesanan pembelian otomatis ke log kontrol Web yang sesuai untuk memastikan bahwa semua dokumen dikirimkan tanpa kesalahan dan tepat waktu.
4. Dengan menggunakan contoh pesanan pembelian yang diterima dari log fi le, tentukan bahwa vendor didokumentasikan melalui perjanjian pembelian yang ditandatangani saat ini.
5. Pilih asample of receivereports, dan tentukan bahwa aplikasi tersebut berfungsi dengan baik dengan mencocokkan tanda terima untuk membuka pesanan pembelian dan catatan hutang piutang.
6. Pilih contoh voucher pembayaran hutang baru-baru ini dan setiap cek aktual yang dihasilkan untuk bagian dan bahan, tracing pembayaran ke valid menerima laporan dan pesanan pembelian.
7. Dengan menggunakan contoh transaksi yang dilakukan pada saat penerimaan untuk ketidakpatuhan dengan persyaratan atau improvising, verifikasi bahwa transaksi ditangani dengan benar dan prosedur yang ditetapkan.
8. Seimbangkan sampel siklus penuh dari transaksi pembelian, dari sistem input yang memberikan masukan ke log kontrol dan dokumen pesanan pembelian tercetak.
9. Selidiki setiap perbedaan penyeimbangan dan verifikasi kesalahan yang dilaporkan valid.
10. Mendokumentasikan semua pengecualian yang ditemukan sebagai item laporan audit potensial.
Verifikasi ini dapat dilakukan dengan meninjau laporan pengambilan khusus terhadap file data. Sebagai bagian dari proses transaksi pengujian, auditor TI juga dapat menguji apakah kontrol kesalahan-skrining beroperasi seperti yang dijelaskan. Penekanannya di sini harus pada pengujian rutinitas kesalahan-verifikasi dalam aplikasi. Audit TI dapat memilih masukan transaksi untuk aplikasi yang tampaknya tidak valid dan kemudian melacaknya melalui aplikasi untuk menentukan bahwa mereka telah dilaporkan dengan benar pada laporan tanpa pengecualian. Audit TI juga dapat mempertimbangkan mengirimkan transaksi kesalahan pengujian ke sistem untuk memverifikasi bahwa mereka ditolak dengan benar oleh aplikasi.
Other Application Review Techniques
Auditor IT menggunakan alat ini untuk menguji beberapa kontrol akuntansi. Perangkat lunak audit dapat mencocokkan file dari periode yang berbeda, mengidentifikasi item data yang tidak biasa. Teknik bermanfaat lainnya adalah:
- Reperformance fungsi aplikasi atau perhitungan. Jenis tes ini berlaku untuk kedua aspek otomatis dan manual sistem aplikasi.
- Ulasan kode sumber program. Untuk aplikasi yang dikembangkan di perusahaan, audit TI dapat memverifikasi bahwa program melakukan pemeriksaan logika tertentu dengan memverifikasi kode sumber.
- Pendekatan pemantauan audit berkelanjutan. Audit TI terkadang dapat mengatur untuk membuat prosedur audit tersemat ke dalam aplikasi produksi untuk memungkinkan aplikasi tersebut untuk mengendalikan konten atau masalah pengecualian aplikasi lainnya.
- Observasi prosedur. Pengamatan mungkin berguna saat meninjau aplikasi otomatis dan manual.
Completing the Application Controls Review
Ada risiko bahwa auditor TI dapat menguji kontrol aplikasi dan mencari itu berfungsi , Karena risiko yang terkait dengan tes kepatuhan tersebut. Audit TI harus selalu berhati-hati untuk mengkondisikan laporan audit apa pun ke manajemen dengan komentar atau peringatan tentang risiko hasil. Audit TI mungkin ingin meninjau deskripsi aplikasi dan mengidentifikasi kontrol untuk memverifikasi bahwa mereka benar.
Jika audit TI menemukan bahwa, melalui pengujian kepatuhan, kontrol aplikasi tidak berfungsi, mungkin akan perlu untuk melaporkan temuan ini. Sifat dari laporan ini sangat bergantung pada tingkat keparahan kelemahan kontrol dan sifat tinjauan. Jika kelemahan kontrol terutama terkait dengan efisiensi atau operasional, audit TI mungkin ingin melaporkannya hanya kepada manajemen TI untuk tindakan korektif di masa depan.
Aplikasi dapat bersifat finansial atau operasional dapat dikembangkan secara khusus aplikasi yang terletak di sistem internal dengan database yang luas dan fasilitas telekomunikasi, dapat beroperasi di lingkungan client-server, Audit TI dapat mengembangkan pendekatan umum untuk meninjau sebagian besar aplikasi pemrosesan data, biasanya perlu untuk menyesuaikan pendekatan tersebut ke fitur spesifik dari aplikasi yang diberikan.
APPLICATION REVIEW CASE STUDY: CLIENT-SERVER BUDGETING SYSTEM
Sebagai contoh tinjauan aplikasi, asumsikan audit TI telah diminta untuk menilai kontrol internal atas sistem penganggaran modal arsitektur client-server yang dikembangkan di dalam perusahaan. Asumsikan bahwa departemen perencanaan keuangan telah mengembangkan bagian analisis penganggaran modal dari aplikasi contoh ini menggunakan paket perangkat lunak spreadsheet desktop yang populer. Asumsikan bahwa audit TI telah diminta oleh manajemen untuk meninjau kontrol umum atas jaringan lokal dan operasi komputer klien-server mereka. Mengikuti prosedur kontrol umum tinjauan audit TI, pengguna mendokumentasikan aplikasi desktop mereka; backup file dan program yang memadai dilakukan pada file server; prosedur kata sandi akses terbatas hanya untuk personel yang berwenang; dan prosedur pengendalian internal yang baik lainnya diikuti. Di antara rekomendasi audit TI adalah menempatkan kontrol yang lebih kuat atas akses telekomunikasi ke jaringan lokal dan menginstal prosedur pemindaian virus. Setelah membahas permintaan peninjauan ini dengan manajemen senior dan TI, audit TI mengembangkan tujuan peninjauan tingkat tinggi ini:
-           Sistem penganggaran modal spreadsheet harus memiliki kontrol akuntansi internal yang baik yang konsisten dengan proses kontrol perusahaan lainnya.
-           Aplikasi harus membuat keputusan penganggaran modal berdasarkan pada parameter input ke sistem dan formula makro terprogram.
-           Sistem harus menyediakan masukan yang akurat ke sistem penganggaran pusat atau perusahaan melalui server file lokal.
-           Kontrol keamanan dan integritas TI harus aman.
-           Sistem penganggaran modal harus mendorong efisiensi dalam departemen perencanaan keuangan.
Tujuan ini berada pada tingkat yang sangat tinggi tetapi mewakili format umum tujuan audit yang harus dirumuskan auditor TI untuk jenis tinjauan aplikasi ini. Manajemen biasanya menyatakan tujuannya dalam kata-kata yang menekankan kinerja aplikasi dan tujuan fitur integritas.
Review Capital Budgeting System Documentation
Langkah pertama audit TI harus meninjau dokumentasi yang tersedia untuk aplikasi contoh ini. Audit TI mungkin berharap untuk menemukan atau harus meminta:
-           Dokumentasi untuk paket perangkat lunak penganggaran modal, termasuk deskripsi prosedur makro spreadsheet, dan rumus
-           Prosedur untuk mengunggah data anggaran modal ke aplikasi penganggaran sistem pusat melalui file server jaringan serta prosedur untuk menerima data input ke fungsi IT mainframe
-           Prosedur untuk memastikan integritas data yang ada di file server
Audit TI mungkin tidak akan menemukan prosedur terdokumentasi yang mencakup semua elemen ini, tetapi harus ada dokumentasi yang mencakup produk perangkat lunak yang digunakan, antarmuka dengan aplikasi lain, dan prosedur manual yang diperlukan.
Auditor TI sering merasa nyaman untuk mendeskripsikan aplikasi semacam itu dalam bentuk bagan alir, meskipun deskripsi proses tertulis mungkin memadai. Tujuan dari jenis deskripsi ini adalah untuk menyediakan audit IT dengan dokumentasi lembar kerja aplikasi dan untuk menyediakan dasar untuk identifikasi poin kontrol yang signifikan.
Identify Capital Budgeting Application Key Controls
Jika data salah dikirimkan ke sistem penganggaran mainframe, catatan laporan keuangan mungkin salah. Jika aplikasi tidak didokumentasikan dengan baik, perubahan pengguna kunci di departemen perencanaan keuangan dapat membuat sistem hampir tidak bisa beroperasi.
1. Kembangkan pemahaman mendetail tentang semua transaksi input aplikasi otomatis dan manual yang penting: sifat, waktu, dan sumber mereka.
2. Kembangkan pemahaman yang kuat tentang prosedur koreksi kesalahan transaksi, baik sifat dari tabel atau aturan yang digunakan untuk verifikasi maupun logika sistem bawaan3. Menggunakan dokumentasi atau deskripsi basis data, melacak semua input ke output data mengalir dengan aplikasi, menunjukkan bagaimana elemen input
 4. Menentukan bahwa kontrol ada untuk membandingkan jumlah input item dengan yang diterima atau ditolak
5. Tinjau prosedur untuk koreksi dan resubmission barang yang ditolak; menentukan apakah kesalahan disimpan dalam file ketegangan untuk analisis dan tindakan korektif.
6. Kembangkan pemahaman mendetail tentang semua total output sistem kontrol yang signifikan, dan tinjau sifat kontrol pendukung untuk siklus pemrosesan pembaruan aplikasi tunggal yang dipilih dan dari siklus ke siklus.
7. Pilih masukan siklus tanggal untuk ditinjau, dan tentukan bahwa jumlah input item, dikurangi semua kesalahan ditolak, terkait dengan total kontrol output aplikasi.
8. Untuk siklus tes yang dipilih, tentukan bahwa semua item kesalahan dari siklus telah dikoreksi, dikirim ulang, atau menerima disposisi yang tepat.
9. Tinjau total kontrol dalam siklus pemrosesan berikutnya untuk menentukan bahwa total file tetap konsisten dari satu siklus ke siklus berikutnya, menyelidiki setiap perbedaan.
10. Tinjau file suspens kesalahan yang ada untuk memastikan bahwa semua item kesalahan telah diinvestigasi dan dikoreksi secara tepat waktu
11. Tinjau setiap kekhawatiran awal atau kesalahan dengan TI dan manajemen yang bertanggung jawab untuk membuat perubahan yang diperlukan untuk mengaudit prosedur pengujian.
12. Mendokumentasikan semua tinjauan audit dan aktivitas pengujian di kertas kerja.
Berdasarkan pemahaman audit TI dari sistem contoh ini, kontrol sistem kunci kini telah ditentukan dan didokumentasikan.


Perform Application Tests of Compliance
Untuk langkah terakhir dalam tinjauan aplikasi ini, audit TI harus melakukan tes prosedur audit yang telah ditetapkan. Jika tidak ada masalah atau kelemahan yang diidentifikasi di satu area kontrol, audit TI dapat memutuskan untuk meneruskan area kontrol terkait. Beberapa tes kontrol aplikasi mungkin termasuk:
-           Reperformance dari perhitungan.
-           Perbandingan transaksi.
-           Persetujuan yang tepat untuk transaksi.
Auditor IT yang imajinatif akan memilih tes yang harus dilakukan berdasarkan pada sifat audit dan tujuan manajemen. Kontrol kelemahan harus dilaporkan kepada manajemen untuk tindakan korektif.
AUDITING APPLICATIONS UNDER DEVELOPMENT
Aplikasi untuk kontrol internal ketika sedang dikembangkan dan diimplementasikan daripada setelah ditempatkan dalam produksi. Auditor TI yang efektif harus menyarankan tindakan korektif untuk meningkatkan kontrol sistem di sepanjang jalan. Lebih mudah untuk menerapkan perubahan selama proses implementasi aplikasi daripada setelah selesai dan sistem telah ditempatkan ke dalam produksi.
Auditor TI harus berhati-hati untuk tidak mengambil tanggung jawab untuk merancang kontrol aplikasi baru. Tugas audit TI adalah untuk meninjau dan merekomendasikan tetapi tidak untuk merancang atau membangun kontrol di area mana pun yang ditinjau. Auditor TI harus menunjukkan kelemahan pengendalian internal untuk para pengembang aplikasi tetapi hanya menyarankan mereka menerapkan rekomendasi tersebut. Audit TI menyediakan mata yang lain untuk melihat aplikasi baru dan yang akan segera diimplementasikan. Ini sedang dikembangkan dan membahas beberapa kesulitan yang mungkin ditemui audit TI ketika mencoba untuk mengauditnya.
Objectives and Obstacles of Preimplementation Auditing
Konsep tinjauan pra-implementasi pertama kali diusulkan oleh profesi baru pada apa yang disebut audit EDP. Argumennya adalah bahwa jika auditor TI memiliki ‘‘ diberkati ’’ kontrol internal dari sistem yang sedang dikembangkan. Auditor TI juga tumbuh untuk menerima tinjauan pra-implementasi, bertindak sebagai auditor dan bukan konsultan. Namun, auditor TI menghadapi empat kendala utama ketika meninjau aplikasi baru yang sedang dikembangkan:
1.         Sikap "Kita lawan kami". Meskipun audit TI dan manajemen umum keduanya dapat menerima konsep tersebut, manajemen TI sering mengungkapkan kewaspadaan atau bahkan kebencian ketika audit TI mengumumkan rencananya untuk meninjau aplikasi yang sedang dikembangkan dan masih memiliki banyak detail yang belum dikerjakan.
2.         Masalah peran auditor TI. Peran auditor TI harus dipahami dengan jelas oleh semua pihak dan dapat didefinisikan sebagai:
-           Anggota tambahan dari tim implementasi.
-           Konsultan khusus.
-           Pakar kontrol internal.
-           Seorang penghuni 'kursi ekstra.'’
-           Kebutuhan kesadaran negara-of-the-art.
-           Banyak dan beragam kandidat pra-implementasi.
Hal ini terutama berlaku di era aplikasi perusahaan besar saat ini, seperti ERP, yang memerlukan perencanaan dan pengujian terperinci di semua bidang perusahaan.
Preimplementation Review Objectives
Tujuan utama dari aplikasi audit pra-implementasi adalah untuk mengidentifikasi dan merekomendasikan peningkatan kontrol sehingga mereka dapat berpotensi dipasang selama proses pengembangan aplikasi. Namun, daripada hanya mengasumsikan bahwa proyek TI baru diberikan dan kemudian meninjau kontrolnya, audit TI juga harus bertujuan untuk meninjau justifikasi dan definisi proyek pengembangan baru. Harus ada sistem manajemen proyek yang baik di tempat yang benar merencanakan langkah-langkah pengembangan dan mengukur kemajuan aktual terhadap langkah-langkah yang direncanakan. Untuk proyek-proyek besar, audit TI dapat mengevaluasi kecukupan kontrol pengembangan proyek yang digunakan untuk aplikasi tertentu. Fase preimplementation ini juga merupakan waktu yang sangat baik bagi auditor IT untuk mendapatkan pemahaman tentang aplikasi baru yang cukup untuk merancang tes audit otomatis di masa depan dan untuk mendefinisikan CAATTs seperti yang dibahas dalam Bab 13. Apakah implementasi melibatkan paket perangkat lunak vendor atau aplikasi yang dikembangkan inhouse, auditor TI harus mendapatkan pemahaman menyeluruh tentang semua aspek dari proyek aplikasi tersebut.
Selain itu, auditor TI sering harus mematuhi persyaratan undang-undang untuk meninjau aplikasi baru yang sedang dikembangkan. Beberapa negara bagian AS dan negara lain memiliki undang-undang yang mewajibkan agar semua aplikasi lembaga negara baru yang signifikan ditinjau oleh departemen audit mereka untuk kontrol TI sebelum penerapan. Auditor di banyak pemerintah negara bagian AS dapat mengharapkan undang-undang tersebut muncul di negara mereka sendiri di masa depan.
Preimplementation Review Problems
TI terkadang membuat kesalahan dengan mengumumkan niat mereka untuk meninjau semua aplikasi baru dan semua modifikasi utama sebelum implementasi. Dalam perusahaan yang lebih besar, lusinan atau bahkan ratusan permintaan pengguna untuk proyek revisi baru atau besar dapat dimulai secara teratur. Audit TI tidak akan memiliki waktu untuk tinjauan pra-implementasi yang komprehensif dan hanya waktu untuk sedikit tanda tangan persetujuan stempel karet. Untuk mengatasi kesulitan ini, audit TI harus mempertimbangkan masalah ini:
-           Pilih aplikasi yang tepat untuk ditinjau.
-           Tentukan peran auditor IT yang tepat.
-           Tinjau tujuan bisa sulit untuk didefinisikan.
Beberapa proyek implementasi dan teknologi baru menunjukkan beberapa tantangan untuk audit TI untuk melakukan tinjauan pra-implementasi yang efektif atas aplikasi TI. Namun, apakah untuk aplikasi baru yang dikembangkan di perusahaan atau membeli perangkat lunak, tinjauan pra-implementasi audit TI biasanya akan menambah nilai pada lingkungan pengendalian internal di perusahaan. Selain itu, melalui tinjauan pra-implementasi, auditor TI yang telah dituduh dalam lelucon lama sebagai orang-orang yang 'bergabung dengan medan perang setelah tindakan selesai untuk menembak yang terluka ’’ kini dapat memainkan peran proaktif dalam proses pengembangan aplikasi.
Preimplementation Review Procedures
Auditor TI berpendapat bahwa aplikasi yang sedang dikembangkan entah bagaimana berbeda. Auditor TI harus menyesuaikan tinjauan pra-implementasi mereka sepanjang berbagai fase pengembangan proyek baru, dimulai dengan inisiasi proyek awal, persyaratan definisi, pengembangan dan pengujian, dan akhirnya untuk implementasi. Langkah-langkah dasar yang sama ini berlaku apakah aplikasi tersebut adalah aplikasi yang dikembangkan di dalam perusahaan, paket perangkat lunak berbasis layanan vendor, atau serangkaian aplikasi desktop yang dijalankan oleh pengguna. Satu-satunya perbedaan adalah pada penekanan tergantung pada pendekatan pengembangan aplikasi.
Ketika audit TI telah memilih aplikasi yang diberikan untuk tinjauan pra-implementasi, langkah pertama yang penting adalah meninjau keseluruhan langkah-langkah program audit yang direncanakan dengan manajemen TI sehingga ada pemahaman tentang apa yang diharapkan oleh audit TI dan juga pendekatan peninjauan.
Application Requirements Definition Objectives
Jika memungkinkan, audit TI harus terlibat dalam tinjauan pra-implementasi pada awal fase pengembangan. Audit TI harus mencari persyaratan serupa, tidak peduli bagaimana aplikasi baru dikembangkan. Beberapa prosedur ini, tentu saja, mungkin memerlukan modifikasi jika aplikasi yang ditinjau terdiri dari teknologi khusus atau akan menjadi modifikasi besar untuk sistem yang ada. Namun, audit TI harus melakukan prosedur pengendalian yang diperlukan untuk memenuhi semua tujuan pengendalian yang tercantum di sini. Audit TI mungkin perlu memutuskan apakah ada keahlian khusus yang diperlukan selesaikan tinjauan.
Sebagai contoh, dengan beberapa proyek besar yang memerlukan waktu bertahun-tahun untuk dikembangkan dan diimplementasikan, menambahkan seorang spesialis kepada staf untuk meninjau bahwa proyek itu dapat efektif. Pada penyelesaian fase ini, audit TI dapat menulis laporan audit informal yang menguraikan setiap observasi dan kekhawatiran awal. Selain itu, kertas kerja harus dimulai untuk mendokumentasikan prosedur kontrol aplikasi yang baru.
Detailed Design and Program: Development Objectives
Mendefinisikan tujuan desain terperinci biasanya merupakan fase terpanjang dari setiap proses pengembangan aplikasi baru. Audit TI mungkin ingin menjadwalkan beberapa ulasan selama fase ini.  Beberapa perusahaan TI mungkin mencoba menggunakan audit TI sebagai fungsi jaminan kualitas untuk proyek tersebut. Ulasan tentang sifat ini harus dibatasi untuk pengujian berkala. Setiap masalah terkait pengendalian yang dihadapi harus dibawa ke perhatian manajemen sehingga tindakan korektif dapat diambil tepat waktu. Jika aplikasi baru dibeli perangkat lunak, sering ada desain dan persyaratan pemrograman internal yang terbatas. Namun, perusahaan IT mungkin harus membuat program konversi file atau antarmuka dengan sistem atau tabel yang sudah ada atau definisi pembuat laporan. Ini dapat mewakili upaya besar, dan audit TI masih harus meninjau kontrol atas perangkat lunak yang dibeli sebelum dipasang dan diimplementasikan.
Application Testing and Implementation Objectives
Audit TI harus mempertimbangkan tingkat keparahan masalah pengendalian tersebut dan mendokumentasikannya untuk ditindaklanjuti atau menginformasikan manajemen tentang perlunya tindakan korektif selama implementasi saat ini.
Pada akhir pengujian aplikasi dan fase implementasi, auditor TI yang bertanggung jawab harus menyiapkan laporan akhir yang mendokumentasikan masalah kontrol yang signifikan dan kemudian dikoreksi oleh fungsi pengembangan TI. Laporan ini juga harus menguraikan rekomendasi kontrol yang luar biasa yang belum dilaksanakan.
Postimplementation Review Objectives and Reports
Meskipun aplikasi baru tidak lagi dalam pengembangan, fase pasca implementasi audit pra-implementasi sering masih penting. Tinjauan pasca-implementasi harus dilakukan segera setelah aplikasi baru telah diimplementasikan dan memiliki
1. Tentukan apakah rencana uji formal ada, termasuk garis besar modul aplikasi utama yang merinci kondisi data yang diharapkan, aturan bisnis yang diuji, jenis pengujian, dan hasil yang diharapkan untuk setiap kondisi modul yang diuji. ___
2. Tinjau hasil beberapa tes unit terbaru untuk menentukan apakah hasil telah dipetakan ke rencana uji, pengecualian yang diteliti, dan kesalahan dikoreksi sebagaimana mestinya. ___
3. Tentukan apakah aplikasi yang diuji memenuhi persyaratan desain aplikasi asli; jika pengecualian ada, tentukan bahwa mereka didokumentasikan, ditinjau, dan disetujui oleh pengguna kunci dengan benar. ___
4. Wawancara perwakilan pengguna kunci untuk memahami partisipasi mereka dalam proses pengujian; di mana partisipasi tampaknya kurang, membahas dan mendokumentasikan kebutuhan untuk partisipasi pengguna untuk memastikan keberhasilan pelaksanaan. ___
5. Tinjau sejauh mana pengujian sistem secara keseluruhan, termasuk antarmuka utama dengan aplikasi lain dan penyedia layanan luar. ___
6. Jika ada persyaratan asli yang belum dipenuhi oleh aplikasi yang sudah selesai, periksa prosedur yang berlaku untuk menentukan apakah akan menambahkan prosedur nanti atau sebaliknya untuk memperbolehkan ketidaksesuaian. ___
7. Jika sesuai, memulai serangkaian transaksi tes audit internal yang dikembangkan yang menekankan kontrol utama, yang didefinisikan dalam langkah-langkah peninjauan sebelumnya; meninjau hasil tes dan menilai kinerja aplikasi. ___
8. Merangkum hasil kegiatan pengujian aplikasi pra-implementasi, dan membuat rekomendasi audit internal terkait kesesuaian penerapan aplikasi. ___
Audit TI harus melakukan tinjauan setelah pengguna memiliki kesempatan untuk memahami aplikasi dan sistem informasi memiliki waktu untuk menyelesaikan masalah atau kesalahan implementasi akhir. Banyak departemen audit TI memiliki prosedur yang cukup formal untuk mengeluarkan laporan audit. Draf laporan disiapkan, auditee menyiapkan tanggapan mereka setelah beberapa diskusi dan negosiasi tentang draft, dan laporan audit akhir dikeluarkan, dengan salinan didistribusikan ke berbagai tingkat manajemen. Audit TI juga harus mengembangkan dokumentasi kertas kerja yang mencakup kegiatan peninjauan ini, yang akan berfungsi baik untuk mendokumentasikan kegiatan pra-implementasi dan menyediakan dasar untuk tinjauan aplikasi nanti.
Proses akhir audit TI harus mengeluarkan laporan audit formal mengikuti standar departemen audit internal. Apabila diperlukan, laporan ini dapat membahas temuan audit pra-implementasi dan tindakan korektif yang diambil. Namun, fungsi utama dari laporan akhir ini adalah untuk menyoroti masalah kontrol yang masih perlu dikoreksi dalam sistem aplikasi baru.
IMPORTANCE OF REVIEWING IT APPLICATION CONTROLS
Seorang auditor TI harus menempatkan penekanan besar pada meninjau aplikasi IT yang mendukung ketika melakukan tinjauan di area lain dari perusahaan. Audit TI membutuhkan pemahaman yang baik tentang kedua prosedur TI dan kontrol spesifik dan karakteristik prosedural dari setiap area aplikasi.
Auditor IT harus efektif dalam menghabiskan audit untuk meninjau dan menguji kontros atas aplikasi IT yang spesifik dan aplikasi pada saat proses pengembangan. Hal ini dilakukan untuk memberikan jaminan kepada manajemen bahwa aplikasi beropraso denan dan  standar control sedang diikuti, untuk mengandalkan keluaran hasil aplikasi. Pemahaman tentang tinjauan kontrol aplikasi adalah persyaratan keterampilan utama untuk semua auditor IT.


Tidak ada komentar:

Posting Komentar