IT APPLICATION CONTROL ELEMENTS
Orang yang tidak akrab dengan TI kadang-kadang memikirkan aplikasi komputer hanya dalam hal laporan keluaran sistem atau data yang ditampilkan di layar terminal. Namun, setiap aplikasi, apakah aplikasi layanan berbasis Web, sistem mainframe, aplikasi client-server, atau paket produktivitas kantor yang diinstal pada desktop local sistem, memiliki tiga komponen dasar: (1) input sistem, (2) program yang digunakan untuk pengolahan, dan (3) output sistem. Masing-masing memiliki peran penting dalam struktur pengendalian internal aplikasi, dan auditor TI harus memahami komponen saat meninjau aplikasi TI. Sebagai sebuah contoh, sistem penggajian komputerisasi tradisional dari dulu menggunakan kartu dan file pembayar personil sebagai input dan serangkaian program untuk menghitung pembayaran dan manfaat serta memperbarui catatan riwayat pembayaran. Output dari sistem penggajian itu adalah slip gaji, laporan penggajian.
A. Application Input Components
Setiap aplikasi IT membutuhkan beberapa bentuk input, apakah itu data input secara manual dari voucher transaksi atau dipasok dari beberapa sistem otomatis. Bayangkan kalkulator. Perangkat tidak akan menghasilkan apa-apa kecuali data semacam itu dimasukkan melalui panel kunci. Meskipun program aplikasi memproses data, menentukan output, dan memiliki dampak besar pada kontrol, auditor TI harus memahami sifat dan sumber komponen input. Dalam sistem tradisional, batchoriented, ini adalah proses yang cukup mudah.
- Inputs from Data Collection or Other Input Devices
Kebanyakan aplikasi TI awal menggunakan kartu berlubang sebagai sumber input mereka. Sebuah kartu tunggal membawa 80 atau 90 kolom data terenkode alfanumerik, dan pengguna memasukkan transaksi input ke lembar pengumpulan data untuk keypunching ke format kartu. Lembar pengumpulan data asli adalah langkah pertama dalam rantai input, dan auditor TI awal khawatir bahwa semua transaksi dilakukan dengan benar.
- Application Inputs from Other Automated Systems
Aplikasi IT saat ini sangat terintegrasi, dengan satu aplikasi menghasilkan data keluaran untuk diproses oleh yang lain. Transaksi yang dimasukkan ke dalam satu aplikasi dapat berdampak pada berbagai aplikasi lain yang saling terkait. Jadi kesalahan atau kelalaian input pada satu titik dalam rantai aplikasi dapat mempengaruhi pemrosesan aplikasi lain yang terhubung. Selain memahami sumber-sumber transaksi untuk aplikasi, auditor TI harus memahami sifat dari input otomatis lainnya untuk aplikasi yang sama.
- Files and Database Inputs
Meskipun biasanya dihasilkan oleh beberapa aplikasi pendukung lainnya atau diperbarui oleh aplikasi yang sedang ditinjau, file aplikasi dan basis data mewakili masukan penting. Dalam beberapa kasus, file-file ini mewakili tabel data yang digunakan untuk validasi data program.
B. Application Programs
Aplikasi diproses melalui serangkaian program komputer atau set instruksi mesin. Program komputer adalah seperangkat instruksi yang mencakup setiap detail dari suatu proses. Seorang programmer menulis instruksi terperinci untuk sistem komputer untuk diikuti.
- Traditional Mainframe and Client-Server Programs
Mainframe, atau apa yang sering kita sebut komputer tipe lama digunakan secara luas untuk aplikasi bisnis sejak awal 1960-an. Aplikasi ini pertama kali diprogram dalam apa yang disebut bahasa mesin sebenarnya generasi pertama yang menggunakan biner 1 dan 0. Kami dengan cepat beralih ke bahasa generasi kedua, yang disebut bahasa assembly. Bahasa simbolik ini menggunakan kode untuk mewakili instruksi, seperti menambahkan atau menyimpan nilai.
- Modern Computer Program Architectures
Pada hari-hari komputer mainframe bertahun-tahun lalu, aplikasi bisnis hampir selalu dikembangkan di-rumah dan sering ditulis dalam COBOL. Sebagian besar perusahaan saat ini umumnya membeli atau menyewakan paket perangkat lunak mereka atau mengaksesnya melalui penyedia layanan Web, meskipun beberapa fungsi TI masih mengembangkan aplikasi mereka sendiri.
- Vendor-Supplied Software
Saat ini sebagian besar aplikasi IT didasarkan pada perangkat lunak yang dipasok oleh vendor. Vendor luar akan menyediakan elemen sistem dasar, seringkali berbasis Web, dan fungsi pengembangan TI perusahaan hanya bertanggung jawab untuk membuat tabel khusus, antarmuka file, dan format laporan keluaran di sekitar aplikasi yang dibeli atau dilisensikan.
C. IT Application Output Components
Tidak ada diskusi tentang sistem aplikasi akan lengkap tanpa deskripsi tentangnya
komponen keluaran. Komponen aplikasi utama ini biasanya terdiri dari layar output, file yang diperbarui, atau bahkan laporan yang dicetak. Ini adalah area penting untuk disurvei dalam tinjauan aplikasi apa pun, dan audit TI harus memperhatikan kontrol yang terdapat pada layar output dan file kontrol.
SELECTING APPLICATIONS FOR IT AUDIT REVIEWS
Meskipun semua operasi TI yang signifikan dan aplikasi kunci harus tunduk pada tinjauan kontrol internal yang teratur, audit TI biasanya tidak memiliki sumber daya atau waktu untuk secara teratur meninjau kontrol untuk semua aplikasi TI perusahaan. Selain itu, banyak aplikasi TI mewakili tingkat minimal risiko kontrol dan bukan kandidat audit penting. Sebagai bagian dari tinjauan operasional spesifik atau tinjauan kontrol TI umum, audit TI harus memilih hanya aplikasi yang lebih penting untuk ditinjau.
Berdasarkan pemahaman tingkat tinggi dari calon peninjau aplikasi potensial, pendekatan yang efektif adalah menilai semua aplikasi dalam skala dari 1 hingga 5 untuk setiap kategori sesuai dengan kriteria ini:
- Apakah aplikasi mengandung kontrol atau fungsi perusahaan utama?
- Berdasarkan tinjauan awal audit TI, apa keefektifan desain kontrol internal aplikasi?
- Apakah aplikasi terutama didasarkan pada perangkat lunak yang dipasok oleh vendor, yang dipasangi perangkat, atau apakah ia dikembangkan sendiri?
- Apakah aplikasi mendukung lebih dari satu proses bisnis penting?
- Apakah aplikasi ini sudah sering diganti atau stabil dari waktu ke waktu?
- Apa kerumitan pembuatan perubahan aplikasi (mis., Perubahan tabel dibandingkan perubahan kode program)?
- Apa dampak keuangan dari kontrol aplikasi?
- Apa efektivitas keseluruhan kontrol umum TI yang mendukung aplikasi (mis., Manajemen perubahan, keamanan logis, dan kontrol operasional)?
Beberapa faktor yang dapat semakin memengaruhi keputusan audit TI untuk memilih satu aplikasi spesifik atas yang lain dapat meliputi:
- Management requests.
Manajemen sering meminta audit TI untuk meninjau kontrol di aplikasi TI yang baru dipasang atau yang signifikan lainnya karena masalah yang dilaporkan atau kepentingan strategis yang dirasakan mereka terhadap perusahaan. Terkadang permintaan manajemen ini tidak dibuat untuk alasan yang benar. Misalnya, laporan analisis penjualan mungkin tampak salah karena data buruk yang dikirim dari divisi pelaporan, tetapi manajemen dapat menganggap laporan yang salah sebagai 'masalah komputer' dan meminta tinjauan aplikasi audit TI.
- Preimplementation reviews of new applications
Dalam banyak contoh, audit TI harus terlibat dalam meninjau aplikasi baru sebelum mereka ditempatkan dalam produksi. Ini berlaku untuk aplikasi yang dikembangkan di dalam rumah dan membeli paket perangkat lunak. Strategi untuk tinjauan pra-implementasi audit TI dibahas di bagian berjudul ‘‘ Studi Kasus Tinjauan Aplikasi: Sistem Penganggaran Server-Klien ’kemudian di bab ini.
-
Postimplementation application reviews. 
ulasan aplikasi sesaat setelah implementasi sistem yang sebenarnya. Jika suatu aplikasi memiliki signifikansi pengendalian keuangan dan operasional yang cukup, audit TI mungkin ingin menjadwalkan setidaknya tinjauan kontrol terbatas secara berkelanjutan.
- Internal control assessment considerations
Bab 1 membahas perlunya mengevaluasi dan menguji pengendalian internal sebagai bagian dari proses peninjauan kontrol internal Sarbanes-Oxley (SOx) Section 404, dan penilaian pengendalian aplikasi merupakan bagian penting dari evaluasi tersebut. Hasil dari memahami, mendokumentasikan, dan menguji kontrol aplikasi TI spesifik dengan audit TI dapat memberikan dasar untuk penilaian auditor eksternal dalam proses pengesahan SOx mereka.
Audit TI biasanya dihadapkan dengan permintaan untuk ulasan dari sejumlah besar kandidat aplikasi setiap saat. Auditor harus berhati-hati untuk mendokumentasikan mengapa satu aplikasi memilih yang lain.
Auditor TI sering melakukan tinjauan terhadap aplikasi spesifik yang mendukung area fungsional secara keseluruhan. Sebagai contoh, audit TI perusahaan dapat menjadwalkan gabungan tinjauan operasional dan keuangan dari departemen pembelian.
PERFORMING AN APPLICATION CONTROLS REVIEW: PRELIMINARY STEPS
Setelah aplikasi dipilih untuk ditinjau, audit TI harus mendapatkan pemahaman yang lebih rinci tentang tujuan atau tujuan dari aplikasi tersebut, teknologi pendekatan yang digunakan, dan hubungan aplikasi ke proses terkait lainnya.
Mungkin perlu bagi auditor IT yang ditugaskan untuk melakukan pembacaan latar belakang dan mempelajari aspek teknis khusus dari aplikasi itu. Auditor sering dapat memperoleh pengetahuan ini dengan meninjau lembar kerja audit sebelumnya dan dokumentasi aplikasi dan dengan mewawancarai TI dan personil pengguna. Pada hari-hari awal aplikasi TI yang dikembangkan perusahaan, dokumentasi sering kali terdiri dari bagan alur sistem yang terperinci dengan tata-letak catatan pendukung dan sedikit hal lain. Dokumentasi ini membantu programmer tetapi biasanya hanya sedikit kami untuk pengguna aplikasi atau auditor TI yang mencoba memahami kontrol aplikasi.
Namun, kurangnya dokumentasi tidak harus mencegah auditor TI melakukan tinjauan aplikasi. Saat melakukan peninjauan, audit TI biasanya harus mencari elemen-elemen dokumentasi ini :
- Systems development methodology (SDM) initiating documents
Dokumen-dokumen ini termasuk permintaan proyek awal, pembenaran biaya / manfaat, dan persyaratan desain sistem umum. Meskipun banyak asumsi awal mungkin telah berubah selama perancangan sistem dan proses implementasi, dokumen-dokumen ini sering membantu audit TI memahami mengapa aplikasi dirancang dan dikendalikan dengan cara itu.
- Functional design specifications.
Dokumentasi ini harus menjelaskan aplikasi dalam beberapa detail, termasuk masing-masing elemen program, spesifikasi basis data, dan kontrol sistem.
- Application and program change histories.
Harus ada beberapa jenis log atau daftar catatan terdokumentasi semua perubahan program dalam suatu aplikasi. Beberapa departemen TI menyimpan log seperti itu dengan dokumentasi aplikasi yang lain menyimpannya dalam file sentral yang direferensikan ke kode sumber program. Jenis dokumentasi ini adalah elemen penting untuk mengendalikan perubahan program, juga menyediakan audit IT dengan perasaan untuk stabilitas relatif aplikasi.
- User documentation manuals
Bersamaan dengan dokumentasi teknis, dokumentasi pengguna yang sesuai harus tersedia untuk aplikasi apa pun. Dalam sistem modern berbasis Web, sebagian besar dokumentasi pengguna ini mungkin dalam bentuk layar ‘‘ HELP ’atau‘ ‘READ ME’ ’. Namun, dokumentasi ini harus cukup komprehensif untuk menjawab berbagai macam pertanyaan pengguna. Ini juga harus didukung oleh bukti program pelatihan pengguna, yang sesuai.
Audit TI harus meninjau dokumentasi aplikasi yang dipilih untuk mendapatkan pemahaman tentang kontrol untuk ditinjau dan mungkin menggunakan bahan-bahan ini untuk mengembangkan pertanyaan untuk wawancara tinjauan audit nanti. Auditor juga harus mengambil salinan bagian kunci atau perwakilan untuk dokumentasi kertas kerja.
A. Conducting an Application Walk-Through Review
Setelah audit TI telah meninjau lembar kerja sebelumnya, dokumentasi aplikasi, dan mewawancarai pengguna dan personel TI untuk mengklarifikasi pertanyaan apa pun yang diajukan oleh tinjauan dokumentasi, langkah selanjutnya adalah memverifikasi kontrol dan proses aplikasi melalui tinjauan langsung. Untuk aplikasi TI, ulasan melalui walk-through serupa dengan tinjauan awal fasilitas operasional di mana auditor mengunjungi fasilitas, seperti lantai produksi.
Berdasarkan tinjauan dokumentasi aplikasi, audit TI telah menetapkan bahwa aplikasi menerima masukan dari sumber-sumber ini:
- Komitmen pesanan pembelian dari kebutuhan bahan manufaktur merencanakan sistem pembelian
- Pemberitahuan barang yang diterima dari sistem penerimaan material
- Berbagai transaksi pembayaran terminal online untuk barang dan jasa tidak langsung yang tidak dicatat melalui sistem penerimaan material
- Transaksi persetujuan pembayaran dimasukkan melalui layar input
- Transaksi jurnal hutang lain-lain dimasukkan sebagai data batch
Langkah-langkah untuk menjalankan aplikasi secara langsung untuk contoh aplikasi hutang mencakup:
1. Briefly describe the application in the audit workpapers
Berdasarkan penelaahannya terhadap dokumentasi, audit TI harus menyiapkan deskripsi singkat dari aplikasi untuk kemudian dimasukkan dalam kertas kerja audit. Dokumentasi workpaper ini mengikuti format umum deskripsi walk-through kecuali ia memberikan detail yang lebih besar, mengidentifikasi subsistem kunci, format layar input, nama file data kunci, dan format laporan output.
2. Develop a block diagram description of the application.
Diagram blok mewakili sistem tingkat auditor yang disingkat atau diagram alur tingkat fungsional untuk aplikasi. Ini harus mencerminkan deskripsi yang dikutip pada langkah 1 dan juga menggambarkan beberapa konsep aliran aplikasi. Banyak perangkat lunak sistem perangkat lunak laptop yang tersedia untuk membuat diagram atau diagram alur bahkan dapat berupa dokumen yang digambar tangan untuk meningkatkan pemahaman auditor atas aplikasi yang ditinjau.
3. Select key application transactions.
Berdasarkan langkah sebelumnya, auditor TI harus memilih satu atau lebih transaksi perwakilan untuk melacak melalui aplikasi. Pilihan ini akan didasarkan pada diskusi dengan pengguna dan sesama anggota tim audit internal.
4. Walk a selected transaction through the systemprocesses
Pada hari-hari yang lebih tua dari aplikasi TI manual atau sederhana, berjalan-melalui sebesar itu. Artinya, auditor akan mengambil formulir transaksi input dan memandu melalui masing-masing meja klerikal atau langkah-langkah yang biasanya digunakan untuk memproses transaksi untuk memverifikasi prosedur pemrosesan. Dalam aplikasi modern, proses berjalan ini biasanya membutuhkan perekaman ‘‘ potret layar ’pada suatu transaksi saat dimasukkan ke terminal dan kemudian mencetak yang mengikuti transaksi melalui langkah-langkah berikutnya.
5. Modify the system understanding as required
Tujuan dari pengarahan aplikasi adalah untuk mengembangkan pemahaman dasar tentang fungsi dan kontrol aplikasi; dengan demikian, tinjauan langsung tidak memungkinkan audit TI untuk menentukan apakah semua transaksi berfungsi sebagaimana dijelaskan. Namun, jika audit TI menemukan bahwa transaksi berjalan yang dipilih tidak berfungsi sebagaimana yang diasumsikan, dokumentasi aplikasi yang disiapkan auditor sebelumnya mungkin perlu direvisi.
B. Developing Application Control Objectives
Setelah peninjauan dokumentasi dan pengujian kepatuhan berjalan, auditor TI harus mengembangkan tujuan dan prosedur audit rinci untuk menyelesaikan tinjauan aplikasi. Definisi tujuan audit ini tergantung pada jenis tinjauan yang direncanakan, karakteristik aplikasi, dan hasil langkah peninjauan awal. Ulasan tertentu mungkin berkaitan dengan tingkat risiko kontrol dan kemampuan aplikasi untuk mendukung laporan keuangan dengan benar. Prosedur yang terkait dengan tujuan audit ini akan menjadi tes keseimbangan laporan keuangan yang dibangun dari transaksi aplikasi yang terperinci.
Tujuan audit peninjauan aplikasi spesifik harus didefinisikan dengan jelas. Auditor TI yang bertanggung jawab atas tinjauan rinci mungkin ingin meringkas tujuan-tujuan ini untuk anggota manajemen yang tepat untuk meninjau dan menyetujui. Melakukan hal ini dapat membantu mencegah auditor TI mengabdikan sumber daya untuk menguji area yang tidak dianggap signifikan. Dalam sistem hutang piutang yang disebutkan di atas, auditor TI mungkin telah menetapkan beberapa tujuan spesifik untuk ulasan ini:
- Sistem hutang dagang harus memiliki kontrol internal yang memadai, sehingga semua tanda terima yang dicatat dari sistem penerima dicocokkan dengan benar ke file vendor sebelum persiapan pencairan.
- Persyaratan vendor harus dihitung dengan benar dengan kontrol untuk menghilangkan kemungkinan pembayaran duplikat.
- Kontrol harus dilakukan untuk mencegah atau setidaknya menandai pencairan yang tidak wajar atau tidak biasa.
- Semua pencairan yang dihasilkan sistem harus dicatat pada file buku besar umum menggunakan nomor rekening yang benar dan kode deskriptif lainnya.
COMPLETING THE IT APPLICATION CONTROLS AUDIT
Biasanya lebih sulit bagi auditor TI untuk menentukan daripada tujuan audit TI atas kendali umum, tujuan audit khusus yang mendukung audit aplikasi TI yang detail dapat bervariasi tergantung pada apakah ulasan mencakup satu aplikasi atau merupakan modul dari proses bisnis yang lebih besar , seperti sistem ERP. Strategi peninjauan auditor TI tergantung pada apakah (1) aplikasi utamanya menggunakan komponen perangkat lunak yang dibeli atau dikembangkan di rumah; (2) aplikasi terintegrasi dengan orang lain atau merupakan proses yang terpisah; (3) menggunakan penyedia layanan berbasis Web, klien-server atau yang lebih tua, metode sistem komputer warisan; dan (4) kontrolnya sebagian besar otomatis atau memerlukan tindakan intervensi manusia yang luas.
Langkah selanjutnya adalah melengkapi dokumentasi aplikasi untuk keperluan audit. Audit TI seharusnya membuat catatan kerja di seluruh. Prosedur dokumentasi di sini sebagian besar merupakan rangkuman di mana kertas kerja menggambarkan pemahaman yang diperoleh dan menyertakan catatan untuk pekerjaan peninjauan tindak lanjut potensial.
A. Clarifying and Testing Audit Control Objectives
Bagian sebelumnya membahas pentingnya menetapkan tujuan pengujian sebagai bagian dari tinjauan aplikasi jenis kontrol yang akan diharapkan oleh auditor TI untuk diterapkan pada suatu aplikasi. Audit TI terkadang dapat gagal dalam langkah penting berikutnya dalam menentukan tujuan spesifik dari tinjauan. Misalnya, manajemen mungkin mengharapkan audit TI untuk meninjau kontrol akuntansi internal aplikasi, tetapi audit TI dapat menekankan kontrol keamanan logis dengan perhatian minimal yang diberikan kepada tujuan kontrol yang ditetapkan lainnya.
Aplikasi modern saat ini dengan pembaruan online, integrasi yang erat dengan aplikasi lain, dan teknik pemrograman yang canggih semuanya digabungkan untuk membuat identifikasi prosedur pengujian menjadi sulit. Faktor-faktor lain termasuk:
- Masukan ke aplikasi mungkin dihasilkan oleh sumber eksternal, seperti tautan Web, atau dari aplikasi lain di perusahaan mitra.
- Kontrol yang pernah dilakukan oleh personil input data sekarang dibangun ke dalam program.
- Perangkat input pemindaian optik modern dan dokumen output dengan kode bar multidimensi membuat inspeksi visual menjadi sulit.
- File database dapat dibagikan dengan aplikasi lain, sehingga sulit untuk menentukan di mana perubahan atau transaksi berasal.
- Aplikasi ini dapat menggunakan antarmuka Web secara ekstensif dan akan kelihatan tanpa kertas untuk audit TI.
Ada banyak alasan lain mengapa auditor TI mungkin mengalami kesulitan pada awalnya mengidentifikasi prosedur uji audit aplikasi TI. Deskripsi aplikasi, bersama dengan diskusi pengguna utama, harus membantu mengidentifikasi beberapa kontrol ini. Sebagai aturan praktis, auditor TI harus mencari poin di mana logika sistem atau keputusan kontrol dibuat dalam aplikasi dan kemudian mengembangkan prosedur pengujian untuk memverifikasi bahwa titik-titik keputusan tersebut benar.
B. Tests of Application Inputs and Outputs
Pada hari-hari awal audit TI, banyak tes yang berhubungan dengan audit hanya sedikit lebih dari pemeriksaan untuk memverifikasi bahwa semua input ke program dicatat dengan benar dan bahwa jumlah yang benar dari output transaksi diproduksi berdasarkan input ini. Tinjauan auditor atas sistem penggajian otomatis adalah contoh dari serangkaian tes input dan output. Auditor IT, dari hari-hari sebelumnya, akan melakukan tes untuk menentukan bahwa semua masukan kartu waktu baik diterima atau ditolak dan bahwa jumlah cek penggajian output yang dihasilkan dapat didamaikan dengan kartu-kartu waktu masukan sistem tersebut. Ini adalah tes yang sangat mendasar dari input dan output sistem.
C. Test Transaction Evaluation Approaches
Auditor TI mungkin ingin memastikan bahwa transaksi yang dimasukkan ke dalam sistem diproses dengan benar. Sebagai contoh, ketika meninjau aplikasi pabrik manufaktur lantai, auditor TI mungkin mencatat beberapa transaksi bahan toko karena mereka masuk pada terminal lantai manufaktur. Setelah siklus pemrosesan semalam, auditor TI dapat memverifikasi bahwa transaksi tersebut telah melakukan penyesuaian dengan benar pada catatan inventaris dan laporan biaya pekerjaan-dalam-proses telah diperbarui dengan benar. Verifikasi ini dapat dilakukan dengan meninjau laporan pengambilan khusus terhadap file data. Sebagai bagian dari proses transaksi pengujian, auditor TI juga dapat menguji apakah kontrol kesalahan-skrining beroperasi seperti yang dijelaskan.
D. Other Application Review Techniques
Alat dan teknik audit yang dibantu komputer (CAATTs) yang dibahas di Bab 13 dapat berguna dalam meninjau kontrol aplikasi. Terlalu sering, auditor IT menggunakan alat ini untuk menguji beberapa kontrol akuntansi, seperti perhitungan tagihan piutang, tetapi tidak untuk mengevaluasi kontrol aplikasi lainnya. Perangkat lunak audit dapat mencocokkan file dari periode yang berbeda, mengidentifikasi item data yang tidak biasa, melakukan pijakan dan penghitungan ulang, atau mensimulasikan fungsi yang dipilih dari aplikasi.
APPLICATION REVIEW CASE STUDY: CLIENT-SERVER BUDGETING SYSTEM
Sebagai contoh tinjauan aplikasi, asumsikan audit TI telah diminta untuk menilai kontrol internal atas sistem penganggaran modal arsitektur client-server yang dikembangkan di dalam perusahaan.
Asumsikan bahwa departemen perencanaan keuangan telah mengembangkan bagian analisis penganggaran modal dari aplikasi contoh ini menggunakan paket perangkat lunak spreadsheet desktop yang populer. Meskipun aplikasi telah dibangun di sekitar paket spreadsheet perangkat lunak yang dibeli, pengguna bisnis telah mengkodekan serangkaian instruksi makro untuk menjalankan program. Bagian workstation dari sistem contoh ini berkomunikasi dengan file server yang berisi data sistem penganggaran mainframe.
Beberapa waktu setelah itu meninjau kontrol umum, ini contoh sistem penganggaran modal dilaksanakan pada jaringan kantor administrasi perusahaan. Karena sistem ini memberikan masukan langsung ke sistem penganggaran perusahaan, manajemen meminta audit TI untuk meninjau kontrol aplikasinya. Setelah membahas permintaan peninjauan ini dengan manajemen senior dan TI, audit TI mengembangkan tujuan peninjauan tingkat tinggi ini:
- Sistem penganggaran modal spreadsheet harus memiliki kontrol akuntansi internal yang baik yang konsisten dengan proses kontrol perusahaan lainnya.
- Aplikasi harus benar-benar membuat keputusan penganggaran modal berdasarkan pada input parameter ke sistem dan rumus makro terprogram.
- Sistem harus menyediakan masukan yang akurat ke sistem penganggaran pusat atau perusahaan melalui server file lokal.
- Kontrol keamanan dan integritas TI harus aman.
- Sistem penganggaran modal harus mendorong efisiensi dalam departemen perencanaan keuangan.
A. Review Capital Budgeting System Documentation
Langkah pertama audit TI harus meninjau dokumentasi yang tersedia untuk aplikasi contoh ini. Karena contoh ini dibuat di sekitar produk perangkat lunak desktop komersial, audit TI mungkin berharap menemukan atau harus meminta:
- Dokumentasi untuk paket perangkat lunak penganggaran modal, termasuk deskripsi prosedur makro spreadsheet, dan rumus.
- Prosedur untuk mengunggah data anggaran modal ke aplikasi penganggaran sistem pusat melalui file server jaringan serta prosedur untuk menerima data input ke fungsi IT mainframe.
- Prosedur untuk memastikan integritas data penduduk pada file server.
B. Identify Capital Budgeting Application Key Controls
Meskipun aplikasi yang agak sederhana namun ringkas, contoh aplikasi penganggaran modal ini memiliki beberapa titik kontrol yang penting. Sebagai contoh, jika prosedur makro spreadsheet menghitung biaya modal dengan benar, nilai sekarang, dan faktor terkait, manajemen dapat mengambil tindakan yang salah dalam keputusan investasi.
C. Perform Application Tests of Compliance
Untuk langkah terakhir dalam tinjauan aplikasi ini, audit TI harus melakukan tes prosedur audit yang ditetapkan. Bergantung pada minat relatif audit dan IT audit dalam aplikasi, mungkin tidak perlu menguji semua kontrol seperti yang tercantum. Banyak yang terkait satu sama lain.
Jika tidak ada masalah atau kelemahan yang diidentifikasi dalam satu area kontrol, audit TI dapat memutuskan untuk meneruskan area kontrol terkait. Beberapa tes kontrol aplikasi mungkin termasuk:
- Reperformance of computations
Penganggaran modal didasarkan pada beberapa perhitungan yang sangat spesifik dan sering rumit, seperti estimasi nilai sekarang dari arus kas masa depan berdasarkan faktor diskon. Menggunakan spreadsheet lain atau alat sistem desktop lainnya, audit TI dapat memilih satu atau beberapa perhitungan nilai yang dihasilkan oleh sistem dan menghitung ulang untuk menentukan kewajaran proses sistem. Setiap perbedaan utama harus diselesaikan.
- Comparison of transactions.
Audit TI dapat memilih beberapa set jadwal anggaran aplikasi dan melacaknya melalui sistem anggaran file server untuk menentukan bahwa mereka telah ditransmisikan dengan benar.
- Proper approval of transactions.
Sebelum jadwal anggaran apa pun yang dihasilkan sistem ditransmisikan ke sistem anggaran pusat, seharusnya sudah ada persetujuan manajemen yang tepat. Audit TI harus memilih sampel untuk ditinjau.
AUDITING APPLICATIONS UNDER DEVELOPMENT
Sering kali lebih efisien bagi auditor TI untuk meninjau aplikasi TI untuk kontrol internal saat sedang dikembangkan dan diimplementasikan daripada setelah ditempatkan dalam produksi. Peran auditor IT di sini mirip dengan inspektur bangunan yang meninjau proyek konstruksi baru: Sulit untuk membuat rekomendasi konstruktif mengenai bangunan yang sudah selesai. Bahkan jika beberapa masalah ditemukan, inspektur akan berada di bawah tekanan besar untuk tidak mengidentifikasi orang-orang yang akan membutuhkan bagian-bagian signifikan dari bangunan yang akan diruntuhkan dan dibangun kembali. Sebaliknya, inspektur bangunan mengidentifikasi masalah selama konstruksi dan menunjukkan bagaimana mereka dapat dikoreksi sebelum selesai. Demikian pula, auditor TI yang efektif harus menyarankan tindakan korektif untuk meningkatkan kontrol sistem di sepanjang jalan. Lebih mudah untuk menerapkan perubahan selama proses implementasi aplikasi daripada setelah selesai dan sistem telah ditempatkan ke dalam produksi.
A. Objectives and Obstacles of Preimplementation Auditing
Konsep tinjauan pra-implementasi pertama kali diusulkan oleh profesi baru pada apa yang disebut audit EDP pada awal 1970-an; pada saat itu, banyak auditor internal tradisional menentang pendekatan ini. Tradisionalis berpendapat bahwa jika auditor meninjau aplikasi sebelum pelaksanaannya, akan sulit untuk kembali lagi nanti dan meninjau aplikasi yang sama setelah implementasi.
1. ‘‘Them versus us’’ attitudes.
Meskipun audit TI dan manajemen umum keduanya dapat menerima konsep tersebut, manajemen TI sering mengungkapkan kewaspadaan atau bahkan kebencian ketika audit TI mengumumkan rencananya untuk meninjau aplikasi yang sedang dikembangkan dan masih memiliki banyak detail yang belum dikerjakan. Pengumuman ‘Halo, saya dari audit TI, dan saya di sini untuk membantu Anda’ mungkin tidak dapat diterima dengan baik. Prosedur peninjauan preimplementation yang baik dapat membangun penghargaan terhadap peran audit IT dan menambah nilai dalam proses pengembangan. Auditor TI yang menghabiskan waktu berjam-jam meninjau aplikasi baru yang rumit dengan beberapa masalah yang terkait dengan kontrol potensial dan hanya menyimpulkan bahwa ‘‘ Dokumentasi perlu ditingkatkan ’’ tidak akan dianggap telah menambahkan banyak nilai pada proses.
2. IT auditor role problems
Peran auditor TI harus dipahami dengan jelas oleh semua pihak dan dapat didefinisikan sebagai:
o An extra member of the implementation team
Tim desain sistem mengundang auditor TI untuk merancang pertemuan tinjauan.
o A specialized consultant
Kadang-kadang auditor TI dapat menjadi sangat terlibat dalam desain sistem dan proses pengembangan yang dia pandang hanya sebagai konsultan tim desain lain yang membuat rekomendasi selama proses implementasi.
o An internal controls expert.
Dalam peninjauan apa pun, audit TI selalu harus memastikan bahwa tinjauan kontrol internal termasuk dalam proyek baru. Namun, auditor tidak boleh menjadi perancang utama dari kontrol tersebut. Jika tidak, dia mungkin mengalami masalah saat meninjau aplikasi yang sudah selesai dan kontrolnya di kemudian hari.
o An occupant of the ‘‘extra chair.’’
Kadang-kadang auditor TI tidak melakukan pekerjaan persiapan yang layak selama tinjauan pra-implementasi. Manajemen sistem dapat meminta auditor untuk meninjau berbagai bahan dan menghadiri pertemuan peninjauan desain.
o State-of-the-art awareness needs.
Aplikasi sistem baru sering melibatkan teknologi baru atau proses bisnis.
o Many and varied preimplementation candidates.
Perusahaan besar yang khas mungkin memiliki sejumlah besar proyek aplikasi baru yang merupakan kandidat potensial untuk tinjauan pra-implementasi.
B. Preimplementation Review Objectives
Tujuan utama dari aplikasi audit pra-implementasi adalah untuk mengidentifikasi dan merekomendasikan peningkatan kontrol sehingga mereka dapat berpotensi dipasang selama proses pengembangan aplikasi. Namun, daripada hanya mengasumsikan bahwa proyek TI baru diberikan dan kemudian meninjau kontrolnya, audit TI juga harus bertujuan untuk meninjau pembenaran dan definisi proyek pengembangan baru. Harus ada sistem manajemen proyek yang baik di tempat yang benar merencanakan langkah-langkah pengembangan dan mengukur kemajuan aktual terhadap langkah-langkah yang direncanakan. Untuk proyek-proyek besar, audit TI dapat mengevaluasi kecukupan kontrol pengembangan proyek yang digunakan untuk aplikasi tertentu.
C. Preimplementation Review Problems
Tinjauan pra-implementasi sering menghadirkan audit IT dengan beberapa masalah peninjauan dan penjadwalan yang sangat serius, termasuk terlalu banyak calon peninjau yang diberikan audit TI yang terbatas sumber daya. Auditor TI terkadang membuat kesalahan dengan mengumumkan niat mereka untuk meninjau semua aplikasi baru dan semua modifikasi besar sebelum implementasi. Dalam perusahaan yang lebih besar, lusinan atau bahkan ratusan permintaan pengguna untuk proyek revisi baru atau besar dapat dimulai secara teratur. Audit TI tidak akan memiliki waktu untuk tinjauan pra-implementasi yang komprehensif dan hanya waktu untuk sedikit tanda tangan persetujuan stempel karet.
D. Preimplementation Review Procedures
Banyak prosedur audit yang sama yang dibahas dalam bab lain untuk tinjauan pengendalian internal TI juga dapat diikuti untuk meninjau aplikasi baru yang sedang dikembangkan. Terlalu sering, auditor TI berpendapat bahwa aplikasi yang sedang dikembangkan entah bagaimana berbeda. Namun, sebagai cairan dan tunduk pada perubahan perkembangan yang sedang berlangsung sebagai aplikasi yang sedang dikembangkan, banyak dari tujuan dan prosedur kontrol yang sama yang dibahas sebelumnya untuk aplikasi TI cukup sesuai untuk ulasan ini. Auditor TI harus menyesuaikan tinjauan pra-implementasi mereka sepanjang berbagai fase pengembangan proyek baru, dimulai dengan inisiasi proyek awal, definisi definisi persyaratan, pengembangan dan pengujian, dan akhirnya untuk implementasi.
IMPORTANCE OF REVIEWING IT APPLICATION CONTROLS
Seorang auditor TI harus menempatkan penekanan besar pada meninjau aplikasi IT yang mendukung ketika melakukan tinjauan di area lain dari perusahaan. Meskipun prosedur pengendalian TI umum atau interdependen yang baik dapat diterapkan, kontrol aplikasi individual mungkin tidak semuanya kuat. Aplikasi perusahaan mungkin telah dikembangkan melalui serangkaian kompromi di antara pengguna atau tanpa tingkat jaminan kualitas yang tepat. Untuk mengevaluasi kontrol aplikasi IT dengan benar, audit TI membutuhkan pemahaman yang baik tentang kedua prosedur TI dan kontrol spesifik dan karakteristik prosedural dari setiap area aplikasi.
Auditor IT yang efektif harus menghabiskan sejumlah besar upaya audit untuk meninjau dan menguji kontrol atas aplikasi IT spesifik dan aplikasi baru dalam proses pengembangan. Tinjauan tersebut akan memberikan jaminan kepada manajemen umum bahwa aplikasi beroperasi dengan benar dan manajemen TI bahwa desain dan standar kontrol mereka sedang diikuti, yang memungkinkan mereka untuk lebih mengandalkan hasil keluaran dari aplikasi tersebut. Pemahaman tentang tinjauan kontrol aplikasi adalah persyaratan keterampilan utama untuk semua auditor IT.
NOTES
1. Dikembangkan pada tahun 1960-an, bahasa pemrograman komputer COBOL adalah singkatan dari Bahasa Berorientasi Bisnis Umum. Saat ini masih digunakan sebagai bahasa pemrograman kunci.
2. Banyak buku teks dan referensi menggambarkan pemrograman berorientasi objek. Pencarian di Internet akan memberikan banyak referensi.
0 komentar:
Posting Komentar