Laman

Kamis, 22 November 2018

Audit Teknologi Sistem Informasi: Bagian 10

Menyeleksi, Menguji dan Mengaudit Aplikasi IT
Aplikasi Teknologi Informasi adalah alat yang membawa nilai untuk sistem komputer. Aplikasi TI ini dimulai dari yang relatif sederhana seperti sistem pembayaran hutang untuk membayar faktur ke vendor, sampai ke yang lebih kompleks, seperti sistem manajemen sumber daya perusahaan (ERM) yang mengatur beberapa aplikasi database yang saling terkait untuk mengendalikan hampir semua proses bisnis perusahaan.


Setiap aplikasi memiliki tiga komponen dasar yaitu :
  1. Input sistem
  2. Program yang digunakan untuk memproses
  3. Output sistem
Setiap aplikasi IT membutuhkan beberapa bentuk input, apakah itu data input secara manual dari voucher transaksi atau telah disediakan dari beberapa sistem otomatis.

Komponen Masukan Aplikasi
Yaitu :
  • Masukan-masukan (inputs) dari Pengumpulan Data atau Perangkat Input Lain
  • Masukan Aplikasi dari Sistem Otomatis Lainnya
  • Masukan File dan Database
Program-program Aplikasi
Aplikasi diproses melalui serangkaian program komputer atau sekumpulan mesin instruksi. Program komputer adalah seperangkat instruksi yang mencakup setiap detail dari suatu proses. Seorang programmer menulis instruksi terperinci untuk sistem komputer untuk diikuti.
  • Program Mainframe Tradisional dan Program Server-Klien
Mainframe, atau apa yang sering kita sebut komputer tipe lama digunakan secara luas untuk aplikasi bisnis sejak awal 1960-an. Aplikasi ini pertama kali diprogram dalam apa yang disebut bahasa mesin sebenarnya generasi pertama yang menggunakan biner 1s dan 0s
  • Arsitektur Program Komputer Modern
Pemrograman berorientasi objek adalag bahasa pemrograman dengan model seperti JAVA atau C ++, yang diatur di sekitar ‘objek’ ‘data daripada tindakan ‘‘ berbasis logika”. Konsep dan aturan yang digunakan dalam pemrograman berorientasi objek memberikan manfaat penting seperti berikut:
  • Konsep kelas data memungkinkan untuk mendefinisikan subclass dari objek data yang berbagi sebagian atau semua karakteristik kelas utama. Disebut warisan, properti ini OOP memaksa analisis data yang lebih menyeluruh, mengurangi waktu pengembangan, dan memastikan pengkodean yang lebih akurat
  • Karena kelas hanya mendefinisikan data yang perlu diperhatikan, ketika sebuah instance dari kelas itu (objek) dijalankan, program OOP tidak akan dapat mengakses data program lain secara tidak sengaja. Karakteristik data persembunyian ini memberikan keamanan sistem yang lebih besar dan menghindari korupsi data yang tidak diinginkan.
  • Definisi kelas dapat digunakan kembali baik oleh program yang awalnya dibuat dan juga oleh program berorientasi objek lainnya (karena alasan ini, dapat lebih mudah didistribusikan untuk digunakan dalam jaringan).
  • Konsep kelas data memungkinkan programmer untuk membuat tipe data baru yang belum didefinisikan dalam bahasa itu sendiri.
Perangkat Lunak yang Disediakan Vendor
Hal-hal yang perlu diperhatikan :
  1. Semua permintaan untuk aplikasi baru atau yang direvisi harus mengikuti standar IT dan terima otorisasi sebelumnya.
  2. Proses pengembangan aplikasi harus mencakup cukup meminta wawancara pengguna untuk mengembangkan pemahaman yang kuat tentang kebutuhan
  3. Semua proyek aplikasi baru harus menerima pernyataan persyaratan rinci bersama dengan analisis manfaat biaya formal.
  4. Rencana proyek harus disiapkan untuk semua pekerjaan pengembangan departemen TI serta untuk proyek pengembangan aplikasi individu.
  5. Perawatan harus diberikan untuk memastikan bahwa proyek pengembangan aplikasi memenuhi tujuan jangka panjang dari perusahaan.
  6. Tanggung jawab untuk pekerjaan pengembangan aplikasi harus diberikan dengan waktu yang cukup untuk menyelesaikan tugas pengembangan.
  7. Proses pengembangan aplikasi harus mencakup wawancara pengguna yang cukup untuk mendapatkan pemahaman penuh tentang persyaratan.
  8. Perhatian harus diberikan kepada kontrol internal, jejak audit, dan prosedur keberlanjutan.
  9. Perencanaan sumber daya dan kapasitas yang memadai harus dilakukan untuk memastikan bahwa semua perangkat keras dan perangkat lunak cukup ketika aplikasi ditempatkan dalam produksi.
  10. Perhatian yang cukup, termasuk prosedur uji, harus dibayar untuk cadangan, penyimpanan, dan perencanaan kontinuitas untuk aplikasi baru.
  11. Kontrol yang memadai harus dipasang untuk memberikan jaminan yang kuat mengenai integritas proses dan output data dari aplikasi.
  12. Aplikasi harus dibangun dengan kontrol yang memadai untuk identifikasi dan koreksi kesalahan pemrosesan.
  13. Semua data dan transaksi pemrosesan aplikasi harus mengandung jejak audit yang kuat.
  14. Dokumentasi yang memadai harus disiapkan pada tingkat teknis serta tingkat pengguna aplikasi.
  15. Data uji harus disiapkan mengikuti rencana uji yang telah ditentukan yang menguraikan hasil yang diharapkan dan memenuhi harapan pengguna.
  16. Ketika data diubah dari aplikasi yang ada, prosedur kontrol yang kuat harus ditetapkan selama proses konversi.
  17. Jika aplikasi penting, audit internal harus diberikan kesempatan untuk berpartisipasi dalam audit pra-implementasi formal.
  18. Harus ada proses persetujuan dan persetujuan formal sebagai bagian dari penyelesaian proses pengembangan aplikasi.

Komponen Keluaran Aplikasi IT
Aplikasi saat ini menghasilkan jauh lebih sedikit (jika ada) laporan keluaran berbasis kertas; sebaliknya, hasil dilaporkan pada layar pengambilan data online. Dalam beberapa kasus, laporan online khusus mengontrol masalah sinyal dan kesalahan data; dalam hal lain, pengguna bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau masalah. Sama seperti aplikasi IT modern yang dapat menerima masukan dari sekumpulan sistem masukan yang sangat terintegrasi, ini mungkin menjadi satu penghubung dalam rantai ke aplikasi lain. Sekali lagi, auditor TI harus mengembangkan pemahaman yang baik tentang aplikasi yang ditinjau serta semua input dan outputnya.
Memilih Aplikasi Untuk Tinjauan Audit Itu
            Berdasarkan pemahaman tingkat tinggi dari calon peninjau aplikasi potensial, pendekatan yang efektif adalah menilai semua aplikasi dalam skala dari 1 hingga 5 untuk setiap kategori sesuai dengan kriteria ini:
  • Apakah aplikasi mengandung kontrol atau fungsi perusahaan utama?
  • Berdasarkan tinjauan awal audit TI, apa keefektifan desain kontrol internal aplikasi?
  • Apakah aplikasi terutama didasarkan pada perangkat lunak yang dipasok oleh vendor yang dipasok, atau apakah ia dikembangkan sendiri?
  • Apakah aplikasi mendukung lebih dari satu proses bisnis yang penting?
  • Apakah aplikasi ini sudah sering diganti atau stabil dari waktu ke waktu?
  • Apa kerumitan pembuatan perubahan aplikasi (mis., Perubahan tabel dibandingkan perubahan kode program)?
  • Apa dampak keuangan dari kontrol aplikasi?
  • Apa efektivitas keseluruhan kontrol umum TI yang mendukung aplikasi (mis., Manajemen perubahan, keamanan logis, dan kontrol operasional)?
Setiap aplikasi yang dikaji harus diberi skor dengan angka yang lebih tinggi yang mewakili kekhawatiran kritikalitas pembuatan-audit. Misalnya, jika perubahan aplikasi memerlukan pembaruan kode program, skornya mungkin 5; perubahan melalui tabel eksternal mungkin menerima 1 atau 2. Skor ini, tentu saja, sangat sewenang-wenang, tetapi mereka memberikan ukuran untuk setiap aplikasi yang dipertimbangkan.
Meskipun skor kekritisan ‘‘ menang ’’ sebagai kandidat untuk peninjauan aplikasi, audit TI juga harus mempertimbangkan faktor lain saat memilih aplikasi TI untuk ditinjau. Karena aplikasi TI sering sangat penting untuk operasi perusahaan, auditor TI sering menerima permintaan khusus dari komite audit atau manajemen mereka untuk meninjau kontrol aplikasi tertentu. Beberapa faktor yang dapat semakin memengaruhi keputusan audit TI untuk memilih satu aplikasi spesifik atas yang lain dapat meliputi:
  • Permintaan manajemen.
  • Tinjauan pra-implementasi aplikasi baru.
  • Tinjauan aplikasi pasca implementasi.
  • Pertimbangan penilaian pengendalian internal.
Melakukan Review Kontrol Aplikasi: Langkah-Langkah Preliminary
Saat melakukan peninjauan, audit TI biasanya harus mencari elemen-elemen dokumentasi ini:
  • Metodologi pengembangan sistem (SDM) memulai dokumen
  • Spesifikasi desain fungsional.
  • Aplikasi dan program mengubah sejarah.
  • Panduan dokumentasi pengguna.
Melakukan Ulasan Walk-Through Aplikasi
Berdasarkan tinjauan dokumentasi aplikasi, audit TI telah menetapkan bahwa aplikasi menerima masukan dari sumber-sumber ini:
  • Komitmen pesanan pembelian dari kebutuhan material manufaktur merencanakan sistem pembelian
  • Pemberitahuan barang yang diterima dari sistem penerimaan material
  • Berbagai transaksi pembayaran terminal online untuk barang dan jasa tidak langsung yang tidak dicatat melalui sistem penerimaan material
  • Transaksi persetujuan pembayaran dimasukkan melalui layar input
  • Macam transaksi jurnal utang dimasukkan sebagai data batch
Langkah-langkah untuk menjalankan aplikasi secara langsung untuk contoh aplikasi hutang mencakup:
  • Jelaskan secara singkat aplikasi dalam kertas kerja audit.
  • Kembangkan deskripsi diagram blok dari aplikasi.
  • Pilih transaksi aplikasi utama.
  • Berjalan transaksi yang dipilih melalui proses sistem.
  • Ubah pemahaman sistem sesuai kebutuhan.
Mengembangkan Tujuan Pengendalian Aplikasi
Auditor TI mungkin telah menetapkan beberapa tujuan spesifik untuk ulasan ini:
  • Sistem hutang dagang harus memiliki kontrol internal yang memadai, sehingga semua tanda terima yang dicatat dari sistem penerima dicocokkan dengan benar ke file vendor sebelum persiapan pencairan.
  • Persyaratan vendor harus dihitung dengan benar dengan kontrol untuk menghilangkan kemungkinan pembayaran duplikat.
  • Kontrol harus dilakukan untuk mencegah atau setidaknya menandai pencairan yang tidak wajar atau tidak biasa.
  • Semua pencairan yang dihasilkan sistem harus dicatat pada file buku besar umum menggunakan nomor rekening yang benar dan kode deskriptif lainnya.
Menyelesaikan Audit Pengendalian Applikasi IT
Langkah selanjutnya adalah melengkapi dokumentasi aplikasi untuk keperluan audit. Audit TI seharusnya membuat catatan kerja di seluruh. Prosedur dokumentasi di sini sebagian besar merupakan rangkuman di mana kertas kerja menggambarkan pemahaman yang diperoleh dan menyertakan catatan untuk pekerjaan peninjauan tindak lanjut potensial.
Mengklarifikasi dan Menguji Tujuan Pengawasan Audit
Aplikasi modern saat ini dengan pembaruan online, integrasi yang erat dengan aplikasi lain, dan teknik pemrograman yang canggih semuanya digabungkan untuk membuat identifikasi prosedur pengujian menjadi sulit. Faktor-faktor lain termasuk:
  • Masukan ke aplikasi mungkin dihasilkan oleh sumber eksternal, seperti tautan Web, atau dari aplikasi lain di perusahaan mitra.
  • Kontrol sekali dilakukan oleh personil input data sekarang biasanya dibangun ke dalam program.
  • Perangkat input pemindaian optik modern dan dokumen output dengan kode bar multidimensi membuat inspeksi visual menjadi sulit.
  • File database dapat dibagikan dengan aplikasi lain, sehingga sulit untuk menentukan di mana perubahan atau transaksi berasal.
  • Aplikasi ini dapat menggunakan banyak antarmuka Web dan akan kelihatan tanpa kertas untuk audit TI.
Namun, karena ada begitu banyak jenis dan variasi aplikasi TI yang berbeda, auditor TI harus membuat pendekatan ulasan dengan pertimbangan yang diberikan untuk masalah ini:
  • Tes input dan output aplikasi
  • Uji pendekatan evaluasi transaksi
  • Teknik tinjauan aplikasi lainnya

Tinjauan Aplikasi Studi Kasus: Client-Server Sistem Budgeting
Audit TI mengembangkan tujuan peninjauan tingkat tinggi sebagai berikut:
  • Sistem penganggaran modal spreadsheet harus memiliki kontrol akuntansi internal yang baik yang konsisten dengan proses kontrol perusahaan lainnya.
  • Aplikasi harus benar-benar membuat keputusan penganggaran modal berdasarkan pada kedua parameter input ke sistem dan rumus makro yang diprogram.
  • Sistem harus menyediakan masukan yang akurat ke sistem penganggaran pusat atau perusahaan melalui server file lokal.
  • Kontrol keamanan dan integritas TI harus aman.
  • Sistem penganggaran modal harus mendorong efisiensi di dalam departemen perencanaan keuangan.
Tinjauan Dokumentasi Sistem Penganggaran Modal
Langkah pertama audit TI harus meninjau dokumentasi yang tersedia untuk aplikasi contoh ini. Karena contoh ini dibuat di sekitar produk perangkat lunak desktop komersial, audit TI mungkin berharap menemukan atau harus meminta:
  • Dokumentasi untuk paket perangkat lunak penganggaran modal, termasuk deskripsi prosedur makro spreadsheet, dan rumus
  • Prosedur untuk mengunggah data anggaran modal ke aplikasi penganggaran sistem pusat melalui file server jaringan serta prosedur untuk menerima data input ke fungsi IT mainframe
  • Prosedur untuk memastikan integritas data penduduk pada file server
Uji Aplikasi Penyesuaian
Beberapa tes kontrol aplikasi termasuk:
  • Reperformance dari perhitungan
  • Perbandingan transaksi.
  • Persetujuan transaksi yang tepat.
Tujuan dan Hambatan Audit Preimplementasi
Namun, auditor TI menghadapi empat kendala utama ketika meninjau aplikasi baru yang sedang dikembangkan:
  1. Sikap “Mereka vs kami”
  2. Masalah peran auditor TI. Peran auditor TI harus dipahami dengan jelas oleh semua pihak dan dapat didefinisikan sebagai:
  • Anggota tambahan dari tim implementasi.
  • Konsultan khusus.
  • Pakar kontrol internal
  • Seorang penghuni dari ‘‘kursi ekstra.’ ’
  • Kebutuhan kesadaran yang canggih.
  • Banyak dan beragam kandidat preimplementation.
Masalah Tinjauan Pra-Pelaksanaan
Untuk mengatasi kesulitan ini, audit TI harus mempertimbangkan masalah ini:
  • Pilih aplikasi yang tepat untuk ditinjau.
  • Tentukan peran auditor IT yang tepat.
  • Tinjau tujuan bisa sulit untuk ditentukan.
Persyaratan Aplikasi Definisi Tujuan
Jika memungkinkan, audit TI harus terlibat dalam tinjauan pra-implementasi pada awal fase pengembangan. Di sini, audit TI harus meninjau studi persyaratan rinci untuk menentukan status kontrol keseluruhan dari aplikasi baru. Jika IT mengaudit dapat mengidentifikasi masalah kontrol selama fase pengembangan aplikasi, maka akan relatif mudah untuk desainer sistem untuk mengatasi dan memperbaikinya.
Rinci Desain dan Program: Tujuan Pengembangan
Menetapkan tujuan desain terperinci biasanya merupakan fase terpanjang dari setiap proses pengembangan aplikasi baru. Audit TI mungkin ingin menjadwalkan beberapa ulasan selama fase ini. Setiap tinjauan berkala harus fokus pada area spesifik dari proyek pengembangan aplikasi baru, tetapi tujuan keseluruhannya harus menjawab beberapa pertanyaan ini:
  • Apakah desain ini secara utuh sesuai dengan tujuan dari definisi persyaratan umum?
  • Apakah pengguna memahami kontrol dan tujuan dari aplikasi baru yang sedang dikembangkan?

  • Apakah pertimbangan yang tepat telah diberikan pada kontrol dan keamanan aplikasi?
  • Apakah aplikasi sedang dikembangkan sesuai dengan standar pengembangan sistem departemen TI sendiri?
  • Apakah proses pengembangan aplikasi didukung oleh rencana proyek yang terorganisasi dengan baik, serupa dengan perencanaan audit TI yang dibahas pada Bab 5?
  • Sudahkah rekomendasi audit sebelumnya dimasukkan ke dalam desain terperinci?
Pengujian Aplikasi dan Tujuan Implementasi
Fase ini meliputi pengujian aplikasi baru dan penyelesaian dokumentasi, pelatihan pengguna, dan konversi file data. Audit TI sering mampu mengevaluasi apakah kontrol sistem tampak berfungsi sebagaimana yang diharapkan dan akan ingin menguji modul audit apa pun yang dimasukkan ke dalam aplikasi.

Tujuan dan Laporan Peninjauan Ulang Pelaksanaan Post
Meskipun aplikasi baru tidak lagi dalam pengembangan, fase pasca implementasi audit pra-implementasi sering masih penting. Tinjauan pasca-implementasi harus dilakukan segera setelah aplikasi baru telah dilaksanakan dan memiliki waktu untuk menyelesaikannya. Dengan kata lain, audit TI harus melakukan peninjauan setelah pengguna memiliki kesempatan untuk memahami aplikasi dan sistem informasi memiliki waktu untuk menyelesaikan masalah implementasi akhir atau kesalahan.

Pentingnya Peninjauan Kontrol Aplikasi TI
Seorang auditor TI harus menempatkan penekanan besar pada meninjau aplikasi IT yang mendukung ketika melakukan tinjauan di area lain dari perusahaan. Meskipun prosedur pengendalian TI umum atau interdependen yang baik dapat diterapkan, kontrol aplikasi individual mungkin tidak semuanya kuat. Tinjauan tersebut akan memberikan jaminan kepada manajemen umum bahwa aplikasi beroperasi dengan benar dan manajemen TI bahwa desain dan standar kontrol mereka sedang diikuti, yang memungkinkan mereka untuk lebih mengandalkan hasil keluaran dari aplikasi tersebut. Pemahaman tentang tinjauan kontrol aplikasi adalah persyaratan keterampilan utama untuk semua auditor IT.
Diposting oleh pada

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)