Chapter 20-22 Full.docx

TUGAS MATA KULIAH PENGAUDITAN KEPATUHAN DAN PENGENDALIAN INTERNAL RINGKASAN BAB 20 – 22

KELOMPOK 1: 1. Bellina G. Sembiring

432420

2. Dina Pricillia Yudas

432425

3. Irene Ipal Parinding

432437

4. Kezia Aprilia

432439

5. Puja Latifa Hadina

432454

MAGISTER AKUNTANSI FAKULTAS EKONOMIKA DAN BISNIS UNIVERSITAS GADJAH MADA

2019

Chapter 20: Praktik BYOD dan Isu Audit Internal Media Sosial Perubahan dunia dalam hal teknologi bisnis baru, dan cara kita mengadopsi dan menggunakannya, auditor internal menghadapi tantangan dalam memahamai pendekatan baru, mengembangkan prosedur internal untuk mereviu dan menilainya, dan mengadopsi praktik untuk membantu auditor dalam melakukan pekerjaanya. Terdapat dua isu teknologi yang menjadi sangat penting dan mengubah cara auditor internal yang harus dipahami, direviu, dan dinilai oleh auditor. Pertama, praktik BYOD (bring your own device) atau apa yang umumnya berhubungan dengan operasi bisnis dimana stakeholder diperbolehkan membawa komputer sendiri, smartphone, laptop, atau sistem personal lainnya ketika menghadiri rapat untuk akses dan komunikasi dengan sistem perusahaan atau sistem klien. Pada zaman sekarang, perangkat komputer itu tegolong murah sehingga entitas harus secara terbuka mengizinkan, menolerir penggunaan perangkat personal di tempat kerja. Isu yang kedua, berhubungan dengan BYOD namun lebih besar dan signifikan daripada fenomena BYOD di tempat kerja. Ini merupakan konsep social computing dengan alat perangkat lunak seperti facebook, twitter, dan lainnya yang bisa digunakan untuk personal dan juga untuk penggunaan di tempat kerja. Meskipun penggunaannya tidak untuk sistem entitas, produk perangkat lunak ini bisa berdampak pada pengendalian internal entitas. 20.1 Pertumbuhan dan Dampak BYOD Penggunaan perangkat personal seperti komputer tablet, blackberry, iPhone, dan smartphone lainnya, telah berkembang secara dramatis. Jumlah smartphone yang digunakan di seluruh dunia lebih dari dua miliar pada pertengahan 2015. Meskipun banyak penggunaannya itu untuk personal, entitas juga menggunakannya untuk email, kalender, dan banyak sistem lainnya. Entitas mengizinkan karyawannya untuk menggunakan laptop dalam mengakses jaringan entitas. Sekarang, sistem ini sudah terhubung dengan internet dan bisa mengakses apapun hanya melalui perangkat komputer. Semenjak penggunaan internet, sudah tidak khusus hanya untuk bidang IT saja, entitas sudah mulai mengizinkan karyawannya untuk membawa perangkat mereka sendiri ke rapat selama mereka menggunakannya untuk akses ke sistem. Inilah asal mula munculnya BYOD.

BYOD dapat membantu untuk mengatasi data yang besar namun berdampak juga pada pengendalian internal entitas. Entitas bisa melakukan cost saving ketika entitas tidak perlu membeli perangkat karena karyawannya bisa membawa sendiri. Namun tanpa kebijakan yang kuat mengenai BYOD, karyawan bisa menggunakan dua atau lebih perangkat secara bersamaan yang akan berdampak pada peningkatan biaya. Penggunaan BYOD di departemen audit internal, akan membuat auditor melakukan reviu secara virtual atas entitas. Audit internal harus selalu melihat kebijakan entitas yang mencakup penggunaan BYOD dan harus melihat tingkat toleransi risiko penggunaan BYOD. 20.2 Memahami Lingkungan BYOD Entitas Untuk melakukan reviu secara virtual atas operasi entitas atau unit atau departemen, audit internal harus mendapatkan pemahaman umum mengenai toleransi risiko BYOD unit dan semua kebijakan yang mencakup semua aktvitas tersebut. Dulu, komputer yang dimiliki oleh entitas itu termasuk sedikit, sehingga hanya sedikit yang perlu diatur atau dikendalikan. Sekarang, rata-rata karyawan menggunakan beberapa perangkat untuk bekerja, termasuk komputer, laptop, tablet, dan smartphone. Untuk mengatur dan mengendalian perangkatperangkat tersebut, entitas perlu melakukan pengendalian yang dinamis dan kompleks. 20.3 Elemen Kebijakan Keamanan BYOD BYOD merupakan tren yang relatif baru dan masih digunakan sebagai IT best practices. Oleh karena itu, banyak entitas yang berusaha untuk membuat kebijakan dan proses yang sederhana. Selain itu, entitas juga akan berfokus pada kos implementasi dan kemananannya. Jika BYOD terlalu diatur ketat, itu akan sulit karena kebutuhan atas penggunaan perangkat komputer itu sangat besar dan juga berdampak pada entitas itu sendiri. Memitigasi Risiko Kemanan BYOD Entitas Dulu, komputer yang dimiliki oleh entitas itu termasuk sedikit, sehingga hanya sedikit yang perlu diatur atau dikendalikan. Sekarang, rata-rata karyawan menggunakan beberapa perangkat untuk bekerja, termasuk komputer, laptop, tablet, dan smartphone. Untuk mengatur dan mengendalian perangkat-perangkat tersebut, entitas perlu melakukan pengendalian yang dinamis dan kompleks. Oleh karena itu, entitas harus membuat kebijakan seperti trust model yang akan mengidentifikasi jika, bagaimana, dan kapan sebuah perangkat melanggar

kepatuhan, langkah untuk memperbaiki, dan sejauh mana tindakan ini diterima oleh pengguna. Trust model BYOD harusL 

Menilai risiko untuk isu keamanan umum pada perangkat personal



Pilihan atau opsi tindakan perbaikan, seperti pemberitahuan, pengendalian akses, karantina, atau penghapusan selektif, yang akan dilakukan sesuai dengan fokus pengamanan dan kepemilikian perangkat (entitas atau karyawan)



Menerapkan kebijakan yang berjenjang untuk keamanan, privasi, dan distribusi aplikasi berdasarkan kepemilikan perangkat



Menetapkan dengan jelas identifikasi pengguna dan perangkat melalui sertifikat atau lainnya



Memastikan bahwa kebijakan keamanan itu berkelanjutan dan cukup fleksibel untuk mendukung penggunaan positif tanpa mengkompromi keamanan data

Melaksanakan Keamanan BYOD Entitas Dalam lingkungan BYOD, aplikasi entitas yang digunakan mungkin berhubungan dengan data entitas yang sensitif, yang bisa dengan mudah membahayakan jika perangkat itu hilang atau terinfeksi virus. Entitas membutuhkan beberapa level pengendalian untuk mencegah data entitas jatuh ke tangan yang salah. Tidak sedikit karyawan yang tidak ingin entitas melacak semua pergerakan, post, tweet yang mereka lakukan melalui perangkat personal mereka. Untuk memberikan kepercayaan kepada karyawan, program BYOD entitas harus mengimplementasikan desain aplikasi dan prosedur tata kelola yang: 

Penyediaan modifikasi aplikasi berdasarkan pada persyaratan keamanan



Mengkomunikan dan memberikan alasan untuk semua stakeholder mengenai dukungan IT



Menentukan ketersediaan aplikasi berdasarkan pada kepemilikan perangkat karena aplikasi internal mungkin tidak tepat untuk perangkat personal dengan alasan keamanan



Menentukan tingkat perbaikan untuk pelanggaran penggunakan aplikasi, seperti pemberitahuan pengguna, pelanggaran pengendalian akses yang tidak benar, atau sentralisasi karantina sistem

Menekankan Keamanan dan Stakeholder Experience Pengoptimalan pengalaman pengguna harus menjadi prioritas untuk program BYOD entitas. Kebijakan harus mencakup komunikasi yang jelas mengenai topik sensitif seperti privasi yang kritis dalam menentukan kepercayaan karyawan. Kebijakan YOD harus bertujuan untuk kontrak sosial antara BYOD entitas dan karyawannya atau stakeholder. Audit internal harus melihat beberapa kontrak dalam reviu kebijakan BYOD yang meliputi kesepakatan yang ditentukan dengan baik, yang akan membantu untuk: 

Mengidentifikasi aktivitas dan data yang akan dipantau oleh IT entitas dalam BYOD stakeholder, seperti sediaan aplikasi dan alat untuk mencegah virus



Menjelaskan tindakan keamanan IT mana yang akan diambil untuk merespon keadaan tertentu



Menentukan poin-poin pengendalian atas kebijakan BYOD entitas, seperti pemantauan aktivitas, pelacakan lokasi, dan visibilitas aplikasi

20.4 Social Media Computing Aplikasi pendukung BYOD adalah social media computing. Apakah aksesnya menggunakan perangkat personal atau yang lainnya, aplikasi ini mendukung dan membangun apa yang disebut sebagai jaringan (network) atau relasi dalam grup atau pengguna yang membagikan aktivitas mereka. Media sosial memiliki banyak fitur dan seringkali berisiko daripada email dengan sistem tradisional. Sekarang, lebih mudah untuk mengetahui informasi yang banyak mengenai individu atau entitas yang kita sukai seperti, fotografi, aktivitas individu lain, keluarga, bahkan opini politis juga bisa didapatkan melalui media sosial. 20.5 risiko dan kerentanan komputasi media sosial perusahaan Kadang-kadang sistem media sosial dipandang sebagai sumber daya manusia yang berhubungan dengan sumber daya, seperti buletin perusahaan yang tidak resmi. Namun, suatu perusahaan menghadapi banyak risiko dalam sistem media sosial, termasuk kehilangan reputasi dan kemungkinan tuntutan pertanggungjawaban ketika karyawan mengoceh atau memposting foto dan video tentang apa yang seharusnya tidak mereka lakukan. Ada juga risiko keamanan komputer dari malware, mengidentifikasi pencurian, phishing, dan pelanggaran privasi data sensitif. Banyak risiko media sosial dan kekhawatiran manajemen terkait dengan perilaku individu yang terjadi di luar batas infrastruktur perusahaan dan sistem TI-nya. Namun, sistem media sosial membawa serta isu-isu yang berkaitan dengan konten

dan kebebasan berbicara. Perusahaan harus mengetahui beberapa risiko dan kekhawatiran media sosial berikut: 1. Masalah produktivitas karyawan Ini mungkin lebih merupakan masalah manajemen dalam hal menetapkan tujuan dan tanggung jawab karyawan, tetapi karyawan di semua tingkatan kadang-kadang dapat menghabiskan banyak waktu mengirimkan catatan dan gambar kepada teman-teman, baik di dalam maupun di luar perusahaan. 2. Kurangnya kontrol atas konten perusahaan Karyawan dan pemangku kepentingan lain dapat dengan polos atau sengaja mengirim informasi yang salah atau tidak patut di situs media sosial. Jenis informasi ini dapat diteruskan ke banyak orang lain melalui kaskade. Sifat banyak alat media sosial. Setelah informasi palsu mulai menyebar, sulit untuk menghentikannya. 3. Ketidakpatuhan dengan peraturan manajemen catatan Terlepas dari aturan hak cipta dan perlindungan data, seringkali sangat mudah bagi pemangku kepentingan untuk menyalin dan mengomunikasikan dokumen yang dilindungi melalui sistem media sosial. Suatu perusahaan menghadapi risiko jika catatan tersebut dikomunikasikan secara tidak patut atau tidak benar. 4. Virus dan perangkat mata-mata Ada insiden yang dilaporkan di mana media sosial atau situs jejaring terkait telah digunakan untuk menyebarkan malware seperti virus, dan sistem media sosial tentu tidak unik di sini. 5. Masalah bandwidth Bandwidth mengacu pada ukuran pipa atau jumlah data yang dikirim melalui jalur komunikasi. Orang yang mengirim foto digital dalam volume besar atau materi volume tinggi lainnya dapat mencekik sistem. Meskipun ini bukan masalah besar di internet secara keseluruhan, materi bervolume tinggi bisa menyumbat jalur komunikasi untuk perusahaan yang lebih kecil. 6. Masalah keamanan perusahaan Seorang

pelaku, misalnya, dapat menggunakan telepon seluler untuk mengambil gambar dokumen, produk, atau fasilitas rahasia dan kemudian dengan mudah mengirimkan materi itu ke satu atau lebih dari satu alat. 7. Masalah pertanggungjawaban Sebuah perusahaan dapat dimintai pertanggungjawaban atas posting oleh seorang karyawan yang dibuat pada waktu perusahaan melalui sumber daya TI perusahaan perusahaan. Sementara hukum benar-benar tidak jelas pada titik waktu ini, individu telah dianggap bertanggung jawab atas posting tidak hati-hati ke situs jejaring sosial, dan kemungkinan bisnis juga bisa. Itu risiko untuk dipertimbangkan. Sebagian besar pemangku kepentingan perusahaan memiliki perangkat smartphone mereka sendiri dan juga beberapa sistem dengan koneksi internet, hampir semuanya memiliki akses ke situs media sosial. Beberapa akan menggunakan alat-alat ini secara ekstensif dan batas antara kegiatan pribadi dan sistem kantor dapat dengan cepat menjadi kabur. Diskusi kami sebelumnya tentang linkedin menyebutkan alat pemungutan suaranya, yang bisa menjadi aplikasi media sosial yang umum dan sering digunakan di tempat kerja. 20.6 kebijakan media sosial Audit internal dan manajemen perusahaan perlu memahami dan menetapkan. Kebijakan media sosial seharusnya hampir merupakan bagian dari kebijakan perusahaan seperti kode etik serta keamanan TI dan kebijakan prima yang dikomunikasikan kepada semua karyawan dan pemangku kepentingan. Suatu perusahaan harus mengembangkan kode pemangku kepentingan secara keseluruhan yang menjabarkan kebijakan perusahaan dengan cara pembelian tingkat tinggi yang mudah dipahami. Kode harus disegarkan dan diperbarui secara berkala dan semua pemangku kepentingan harus diminta untuk secara berkala menegaskan bahwa mereka telah membacanya, memahaminya, dan setuju untuk mematuhinya. Suatu Perusahaan harus menerapkan kebijakan untuk media sosial dan juga untuk aplikasi spesifik. Karena ada perbedaan besar antara banyak aplikasi ini menggunakan facebook dan twitter sebagai contoh. Aplikasi media sosial menghadirkan beberapa masalah kontrol internal dan tata kelola yang kuat untuk perusahaan saat ini. Sementara facebook, twitter, dan linkedin dalam aplikasi yang telah diperkenalkan secara singkat dalam bab ini mungkin yang paling umum saat ini, ini bukan jaminan bahwa mereka akan sama menonjolnya beberapa tahun kemudian. Meskipun banyak manajer senior mungkin memandang sebagian besar

aplikasi ini sebagai alat untuk melawan anak remaja mereka dan rekan yang lebih muda di satff, setiap manajer senior dan tentunya setiap auditor internal setidaknya harus terbiasa dengan dan memiliki pemahaman CBOK jika alat ini sesuai pesanan untuk lebih memahami mereka dan berkomunikasi dengan orang lain di perusahaan.

Bab 21 DATA BESAR DAN MANAJEMEN ISI PERUSAHAAN Dengan semakin meningkatnya penekanan pada semua jenis sistem otomatis dan alat yang mudah digunakan untuk menyimpan data ini serta biaya penyimpanan data yang rendah, industri di semua tingkatan telah memasuki era apa yang kita sebut big data, sejumlah besar informasi atau bahkan hanya data murni yang ditangkap di semua jenis sistem otomatis. Perusahaan, suctomer, dan tentunya regulator pemerintah sering mencari akses ke semua data yang mencakup transaksi dari waktu ke waktu dan kemudian mengharapkan data ini tersedia untuk akses dan analisis selama periode sebelumnya. Manajemen konten perusahaan (ECM). Sekali lagi ini adalah masalah besar yang terkait dengan data di mana perusahaan harus menginstal kontrol transaksional dan bisnis yang tepat untuk secara efektif mengelola data dan informasi yang terkandung dalam sistem utama mereka. 21.1 Ikhtisar big data Dengan pertumbuhan sistem yang dikawinkan secara otomatis dan kemampuan kami untuk menangkap data dalam jumlah besar, penggunaan data besar ini secara efektif mengubah cara perusahaan membuat keputusan, melakukan bisnis, dan berhasil atau gagal. Hal ini menyebabkan manajemen dan fungsi TI untuk melihat melampaui teknologi tradisional dan untuk membangun alat baru untuk memproses volume data yang semakin besar dengan cara yang efisien dan terkontrol dengan baik. Ketika sebuah perusahaan besar berusaha untuk menyimpan semua data untuk banyak transaksi penjualannya selama beberapa periode waktu, ia dapat dengan cepat pindah ke lingkungan data yang besar. Di masa lalu, kami menyimpan data ini di file rekaman IT lama atau bahkan di kertas cetak. Karena sangat sulit untuk mengambil kembali data yang disimpan ini, sering kali akhirnya hanya dibuang.

Big data mempunyai volume tinggi, kecepatan dan beragam aset informasi yang menuntut biaya efektif, bentuk-bentuk inovatif dari pemrosesan informasi untuk peningkatan wawasan dan pengambilan keputusan Ketiga V yaitu volume tinggi, kecepatan, dan variasi ini secara tradisional mendefinisikan lingkungan umum yang sebelumnya digunakan untuk mendefinisikan dan menjelaskan masalah big data. 1. Volume Volume mengacu pada banyaknya data umum untuk aplikasi atau sistem yang diberikan dan tergantung pada ukuran relatif perusahaan. Dalam banyak kasus, data volume ekstrem memiliki format umum dan dapat dihitung dalam catatan baris tradisional dan atau dalam hal ruang penyimpanan yang diperlukan. Meskipun apa yang merupakan data besar mungkin sangat bergantung pada industri dan operasi bisnis, perusahaan harus memiliki prosedur kontrol untuk mengelola situasi ketika mereka menghadapi volume data yang tinggi. Masalah data dan volume transaksi adalah elemen penentu penting dari data besar. Ketika menemukan volume data besar ketika meninjau beberapa aplikasi TI, auditor internal mungkin mengajukan beberapa pertanyaan tentang apa yang dilakukan manajemen dan TI untuk memproses volume data tinggi yang tidak terduga. Tidak ada satu jawaban yang benar di sini, tetapi auditor internal harus mencari analisis dan prosedur kontrol internal yang baik untuk mengelola data saat ini dan volume data tak terduga yang tinggi. 2. Kecepatan Velocity mengacu pada kecepatan di mana data dikirimkan dan / atau berubah. Masalah kecepatan adalah masalah penangkapan dan respons. Ketika sejumlah besar transaksi atau pesan dengan cepat masuk ke aplikasi perusahaan atau situs web, perusahaan itu perlu menangkap dan memproses data dengan kecepatan tinggi ini. Pentingnya kecepatan data, laju peningkatan di mana data mengalir ke suatu organisasi sering mengikuti pola yang mirip dengan volume. Perusahaan khusus seperti pedagang keuangan atau bahkan pemesanan perjalanan dan situs reservasi semua harus memiliki sistem yang mengatasi data yang bergerak cepat ke petualangan mereka. Kita dapat membayangkan keseluruhan proses ini sebagai pintu banjir yang dibuka dan beberapa sistem atau proses menjadi sasaran aliran besar benda atau material yang masuk. Dengan data besar, aplikasi perusahaan dapat dikenakan sejumlah besar transaksi yang serupa tetapi berbeda.

3. Berbagai Variasi data besar mengarah ke banyak sumber dan jenis struktur dan data tidak terstruktur dari sumber seperti spreadsheet, basis data, tautan video, grafik, perangkat pemantauan, dan banyak lagi. Jarang sekali data hadir dalam bentuk yang tertata dengan sempurna dan siap untuk diproses, dan variasi data yang tidak terstruktur ini dapat menimbulkan masalah untuk penyimpanan, pemrosesan, dan analisis. Variasi data adalah tantangan untuk memiliki set data yang berbeda, dari sumber yang berbeda dalam format yang berbeda, semuanya dalam silo, sehingga gagal untuk mendapatkan dari manfaat dari pandangan yang disatukan dari data. Contoh yang bagus dari ini adalah data pemasaran: media sosial, penjualan, dan data iklan semuanya disimpan dan disimpan terpisah. 4. Veracity Veracity berkaitan dengan kekhawatiran tentang data yang tidak pasti atau tidak tepat serta bias, kebisingan, dan kelainan dalam data. TI, manajemen umum, dan tentu saja audit internet ketika berhadapan dengan situasi sistem data besar harus bertanya apakah data yang sedang diproses dan disimpan bermakna untuk masalah yang dianalisis. Keabsahan data besar mengacu pada situasi di mana data dapat diragukan karena ketidakkonsistenan, ambiguitas, perkiraan yang salah, atau berbagai masalah lainnya. Ini bukan masalah yang unik untuk aplikasi big data. Masalah kebenaran data bahkan dalam beberapa aplikasi kecil dapat berubah menjadi masalah besar ketika kita dihadapkan dengan aplikasi big data besar. Semua dalam semua, ketika sistem TI tumbuh lebih besar dengan peningkatan volume data dan kegiatan, perusahaan di semua tingkatan menghadapi masalah kontrol data yang besar. Namun, sistem entri pesanan yang mungkin menerima 100 pesanan produk otomatis sehari menghadapi tantangan yang jauh berbeda dibandingkan jika mulai menerima 100.000 pesanan selama periode yang sama. 21.2 Masalah tata kelola big data, risiko, dan kepatuhan Tidak peduli ukuran sistem atau volume data yang digunakan, sistem dan perusahaan yang beroperasi dalam lingkungan data besar memberikan beberapa masalah dan tantangan tambahan bagi auditor internal yang melakukan tinjauan kontrol internal sedemikian besar Poin penting di sini adalah bahwa auditor internal harus memiliki pemahaman CBOK yang baik dan tingkat pengetahuan tentang masalah kontrol internal big data. Data besar aplikasi yang ada dan inisiatif TI untuk membangun dan beroperasi di lingkungan tersebut

menawarkan peluang signifikan bagi perusahaan untuk mengembangkan pemahaman bisnis mereka yang menyeluruh dan berwawasan luas, tetapi juga risiko tata kelola dan kontrol internal yang signifikan. Auditor internal harus mencari kontrol tata kelola yang tepat dan rangkaian proses tata kelola data yang dirancang dengan baik ketika meninjau kontrol internal dalam lingkungan data yang besar. Ini mencakup: 1. Direktori dokumen semua aset data perusahaan. Fungsi TI perusahaan, yang bertanggung jawab langsung kepada chief information officer (CIO), harus diberi tanggung jawab atas inventaris berkala semua file TI, program aplikasi, dan aset data lainnya. 2. Identifikasi pemilik semua aset data. Serupa dengan kebutuhan untuk catatan direktori dari aset data, era big data mengatakan bahwa fungsinya TI harus memiliki pemahaman tentang pemilik semua aset datanya. 3. Penugasan tanggung jawab untuk memastikan akurasi, aksesibilitas, dan karakteristik data lainnya. Sumber daya data besar seharusnya tidak menyajikan masalah tata kelola data yang terlalu besar ketika file kunci adalah bagian dari fungsi TI perusahaan yang kuat dengan sumber daya audit intrenal aktif untuk menilai dan menguji kontrol internal. 4. Proses untuk menyimpan, pengarsipan, dan membuat data cadangan. Baik itu untuk sistem laptop auditor internal individu atau basis data sistem perusahaan besar, proses pencadangan baik untuk TI maupun kegiatan bisnis lainnya merupakan persyaratan kontrol internal yang baik dan penting. Namun, sistem dan aplikasi big data sering memperkenalkan kompleksitas ke dalam proses pencadangan. 5. Mekanisme kontrol untuk mencegah kebocoran data. Kebocoran data menjadi perhatian di era big data saat ini. Kebocoran data adalah transmisi data atau informasi yang tidak sah dari dalam suatu organisasi ke tujuan atau penerima eksternal. Kebocoran data didefinisikan sebagai distribusi data pribadi atau sensitif yang disengaja atau tidak disengaja kepada entitas yang tidak sah. Data sensitif termasuk properti intelektual, informasi keuangan, informasi pasien medis, data kartu kredit pribadi, dan informasi lainnya tergantung pada bisnis dan industri. Data sensitif dapat dibagikan di antara berbagai pemangku kepentingan seperti karyawan yang bekerja dari luar lingkungan organisasi, pelaku bisnis, dan pelanggan, sehingga meningkatkan risiko informasi rahasia jatuh ke tangan yang tidak berwenang.

6. Standar dan prosedur untuk penanganan data oleh personel yang berwenang. Seperti yang diketahui oleh setiap auditor internal, standar dan prosedur pengendalian internal yang terdokumentasi dengan baik selalu penting. Dalam lingkungan data besar, mereka sangat penting, bersama dengan kebutuhan akan personel yang terlatih secara memadai. Ini dapat menyebabkan tantangan besar bagi perusahaan dengan sistem yang beroperasi di lingkungan yang besar. 21.3 Manajemen big data, hadoop, dan masalah keamanan Enterprise CIO membutuhkan kontrol yang kuat untuk mengelola sumber daya data besar, untuk membangun kontrol internal yang sesuai, dan untuk mengenali dan mengelola masalah keamanan data besar. Pelanggaran keamanan besar-besaran adalah masalah yang dilaporkan secara rutin di mana pelaku memperoleh akses ke fasilitas data utama dan mencuri sejumlah besar data pribadi dan pribadi, seperti nomor kartu kredit, nomor jaminan sosial A.S, informasi pribadi, dan banyak lagi. Di Era sekarang big data telah menyebabkan pertumbuhan dua produk perangkat lunak manajemen data besar open source besar, hadoop dan NoSQL. Ini disebut produk perangkat lunak sumber terbuka karena mereka dikembangkan secara kolaboratif oleh para ilmuwan komputer yang tertarik yang mengembangkan, menguji, dan membuat perbaikan yang disarankan untuk alat perangkat lunak yang tersedia melalui internet di internet. Hadoop adalah alat yang memungkinkan perusahaan memproses dan menganalisis volume besar data yang tidak terstruktur dan terstruktur, hingga saat ini tidak dapat diakses oleh mereka, dengan biaya dan waktu yang efektif. NoSQL adalah database gaya baru (singkatan tidak hanya SQL) yang telah muncul, seperti hadoop, untuk memproses volume besar data multistruktur. Namun, padahal harus memproses data multistruktur dalam volume besar. Namun, sementara hadopp mahir dalam mendukung skala laege, analisis historis gaya bets, database NoSQL ditujukan untuk menyajikan data diskrit yang disimpan di antara volume besar data multistruktur untuk pengguna akhir dan aplikasi data besar otomatis. Selain itu, meskipun banyak investasi oleh banyak perusahaan dalam kontrol keamanan TI dan keamanan informasi, penyerang tampaknya lebih unggul. Ada sejumlah faktor yang menjelaskan hal ini: • Sistem data besar serta semua penyerang menjadi lebih terorganisir dan didanai lebih baik. Tetapi sementara serangan telah menjadi dinamis dan mengeksploitasi kelemahan dalam infrastruktur sentris pengguna dan terhubung, banyak perusahaan pertahanan IT tetap statis.

• Organisasi yang mendukung TI terus tumbuh lebih kompleks dan sering kali menuntut sistem yang lebih terbuka dan gesit, membuka peluang untuk kolaborasi, komunikasi, kelompok peretas, dan negara-negara telah belajar untuk mengeksploitasi. • Kepatuhan seringkali jauh jangkauannya, dengan regulator dan legislator yang semakin preskriptif. Perusahaan, terutama yang memiliki banyak lini bisnis atau operasi internasional, semakin sulit melacak kontrol saat ini yang ada, yang dibutuhkan, dan bagaimana memastikan bahwa mereka dikelola dengan baik. Keamanan organisasi saat ini perlu mengambil pendekatan data besar, termasuk memahami musuh potensial, menentukan pendekatan data, termasuk memahami musuh potensial, menentukan data apa yang mereka butuhkan untuk mendukung keputusan, dan membangun dan mengoperasikan model untuk mendukung kegiatan ini. Melalui diskusi dengan perusahaan CIO dan tim dukungan TI, audit internal harus menilai perencanaan dan kesiapan untuk era big data yang, jika tidak sekarang, dapat segera berdampak pada banyak perusahaan dan fungsi IF mereka. banyak dari poin-poin ini adalah isu-isu kontrol yang mungkin seharusnya sudah ditempatkan sebagai bagian dari operasi TI normal, era data besar yang akan datang akan menekankan mereka. Hilangkan dan sederhanakan tugas entri data manual yang membosankan Untuk meningkatkan kontrol keamanan, perusahaan harus meninjau aplikasi yang ada dan mengambil langkah-langkah untuk menghilangkan tugas-tugas manual yang membosankan dalam respon rutin atau kegiatan penilaian. Sistem perlu mengurangi jumlah manual, tugas berulang yang terkait dengan menyelidiki masalah seperti beralih antara konsol dan menjalankan pencarian yang sama di lima alat yang berbeda. Tinjau dan identifikasi aplikasi dengan kekritisan yang lebih tinggi Auditor internal dan tentu saja analis bisnis harus fokus pada masalah dampak terbesarnya dengan tujuan meminimalkan risiko dan meningkatkan kontrol internal. Tim keamanan TI harus memetakan sistem yang mereka pantau dan kelola kembali ke aplikasi kritis dan proses bisnis yang didukungnya. Terutama penting ketika ada tautan ke sistem dan orang lain, suatu perusahaan perlu memahami ketergantungan antara sistem ini dan pihak ketiga, seperti penyedia layanan, dan memahami keadaan lingkungan mereka saat ini dari sudut pandang kerentanan dan kepatuhan.

Fokus pada data aplikasi yang paling relevan Para profesional keamanan sering merujuk pada pentingnya mengurangi kesalahan positif, dengan memfokuskan pada potensi bahaya yang mungkin mewakili pelanggaran keamanan atau kebocoran data sebelum menyatukan data yang tampaknya valid. Argumen pengetahuan manusia Aplikasi big data harus dirancang untuk membantu analis bisnis dan auditor internal menghabiskan waktu menganalisis item-item penting kabut. Ini termasuk menyediakan teknik bawaan untuk mengidentifikasi isu-isu prioritas paling tinggi, serta kecerdasan tiga generasi saat ini yang menggunakan teknik-teknik itu untuk mengidentifikasi alat, teknik, dan prosedur terbaru yang digunakan oleh komunitas penyerang. Mempertahankan Perspektif Over the Horizon untuk Masalah Keamanan Big data Deskripsi “over the horzon” digunakan karena manajemen TI dan auditor internal perlu melihat gambaran besarnya saat menilai isu keamanan dalam lingkungan big data. Mengelola big data dan menavigasi lingkungan ancaman hari ini sangat menantang. Konsumerisasi yang cepat akan TI meningkatkan tantangan. Perlindungan yang sukses bergantung pada kombinasi yang tepat dari metodologi, wawasan manusia, pemahaman ahli terhadap lingkup ancaman, dan pemrosesan big data yang efektif untuk menciptakan kecerdasan yang bisa ditindaklanjuti.

21.4 Pengawasan Kepatuhan dan Analitik Big data Auditgor internal sudah terbiasa dengan isu sampling, namun masalah menjadi kompleks saat berhubungan denganpopulasi big data yang terdiri atas ratusan juta data yang memiliki banyak interkoneksi. Sehingga, dibutuhkan pengawasan dan alat analisis khusus. Saat ini semakin banyak alat analitik dan pemantauan big data yang ditawarkan oleh vendor besar macam IBM dan EMC. Ketika meninjau pengendalian internal di area ini, auditor perlu bertanya pada fungsi TI terkait alat pemantauan yang diinstal, tipe kondisi yang dipantau, dan tindakan apa yang diambul untuk mengkoreksi dan meremediasi eksepsi yang terpantau.

21.5 Audit Internal dalam Lingkungan Big data Big data memunculkan beberapa masalah tambahan terkait audit dan pengendalian karena isu yang melingkupi empat isu big data: kecepatan, volume, varietas, dan kebenaran. Dengan mekanisme tata kelola big data yang baik, perusahaan mempeoleh keuntungan berupa

peningkatan produktivitas, proses yang lebih efisien, posisi kompetitif yang lebih kuat, dan inovasi yang lebih hebat.

21.6 Pengendalian Internal Manajemen Konten Perusahaan ECM mendeskripsikan strategi, metode dan alat yang digunakan untuk menangkap, mengelola, menyimpan, menjaga, dan mengirimkan konten dan dokument terkait proses perusahaan. ECM mencakuo proses untuk membantu manajemen informasi dalam perusahaan baik dalam bentuk dokumen kertas, data elektronik, aliran cetak database, gambar barcode, atau bahkan e-mail. Tujuan utama ECM adalah mengelola siklus hidup informasi dari publikasi awal atau penciptaan sampai arsip dan pembuangan pada akhirnya. Proses ECM yang dikelola dan dikendalikann dengan baik bertujuan untuk membuat manajemen ionformasi perusahaan lebih mudah melalui penyederhanaan penyimpanan, keamanan, pengendalian versi, proses routing, dan retensi. Keuntungan yang diperoleh organisasi meliputi perbaikan efisiensi, pengendalian internal yang lebih baik, dan pengurangan kos. Sejumlah besar vendor seperti EMC< IBM, Microsoft, dan Oracle menawarkan solusi berupa situs-situs produk ECM. Auditor internal harus mengumpulkan informasi terkait tipe dan status software ECM yang diinstal sebagai bagian dari tinjauan pengendalian TI umum dan infrastruktur serta memahami fitur dan kemampuannya.

21.7 Mengaudit Proses Manajemen Konten Perusahaan Semua perusahaan sekarang ini memerlukan proses manajemen catatan dan dokumen yang kuat, begitu juga dengan arsip catatan. Auditor internal harus menyadari sumber informasi yang banyak mengalir ke dalam organisasi dan bagaimana informasi tersebut harus dikelola dan dikendalikan, serta menyadari bahwa implementasi ECM dapat menghasilakn perbaikan operasi perusahaan yang signifikan, termasuk perbaikan kesiapan organisasi perusahaan, repurposing aset informasi yang berharga, serta perbaikan interdependensi informasi dan teknologi otomasi.

Bab 22 Meninjau Pengendalian Manajemen Aplikasi dan Software

Untuk melakukan tinjauan pengendalian internal dalam bidang-bidang tertentu seperti akuntansi, distribusi, atau rekayasa, auditor internal harus memiliki keterampilan untuk memahami, mengevaluasi, dan menguji pengendalian atas aplikasi TI pendukung. Sistem aplikasi pendukung ini diimplementasikan menggunakan berbagai teknologi IT, seperti sistem terpusat dengan jaringan telekomunikasi, sistem berbasis Internet, aplikasi serverklien, dan bahkan sistem pemrosesan batch mainframe yang lebih lama. Sementara anggota manajemen mungkin tidak memiliki pemahaman yang baik tentang beberapa masalah pengendalian TI umum, biasanya mereka tertarik pada temuan audit internal yang mencakup ulasan pengendalian aplikasi tertentu. Karena kompleksitas relatif dari banyak aplikasi TI ketika pengendaliannya berada di dalam aplikasi dan dalam mendukung area pengguna, audit banyak aplikasi TI dapat menjadi tantangan bagi auditor internal modern. Kami fokus pada karakteristik pengendalian internal dari berbagai jenis aplikasi dan kemudian bagaimana memilih aplikasi yang sesuai dalam ulasan pengendalian internal. Walaupun ada banyak perbedaan dari satu aplikasi ke aplikasi lainnya, bab ini berfokus pada bagaimana auditor internal harus memilih aplikasi yang berisiko lebih tinggi sebagai kandidat untuk tinjauan audit

internal,

alat

dan

keterampilan

yang

diperlukan

untuk

memahami

dan

mendokumentasikan pengendalian internal aplikasi, dan akhirnya, proses untuk uji dan evaluasi aplikasi tersebut.

22.1 Komponen Aplikasi IT Auditor internal harus memahami unsur-unsur aplikasi TI tipikal dan kebutuhan mereka untuk mendukung pengendalian. Orang-orang yang tidak terbiasa dengan TI kadang-kadang memikirkan aplikasi TI hanya dalam hal laporan keluaran sistem atau data yang ditampilkan pada layar terminal. Setiap aplikasi, apakah berbasis web, sistem mainframe yang lebih lama, aplikasi client-server, atau paket produktivitas kantor yang diinstal pada sistem desktop lokal, memiliki tiga komponen dasar: input sistem, program yang digunakan untuk pemrosesan, dan output sistem. Masing-masing memiliki peran penting dalam struktur pengendalian internal aplikasi. Sementara komponen input, output, dan sistem pemrosesan komputer mungkin tidak jelas bagi auditor internal yang melakukan tinjauan awal, tiga elemen yang sama ada untuk semua aplikasi. Betapapun kompleksnya aplikasi itu, seorang auditor internal harus selalu mengembangkan pemahaman tentang suatu aplikasi dengan memecah komponen input,

output, dan pemrosesan. Semua auditor internal harus memiliki, paling tidak, pemahaman umum tentang aplikasi TI dan proses pendukung - persyaratan CBOK dasar. Komponen Input Aplikasi Pikirkan kalkulator genggam yang umum: Perangkat tidak akan menghasilkan hasil kecuali data dari beberapa jenis dimasukkan melalui panel kunci. Meskipun program komputer dalam aplikasi memproses data, menentukan output, dan memiliki dampak besar pada pengendalian, auditor internal harus selalu memahami sifat dan sumber komponen input. Saat ini, input sering dihasilkan dari berbagai sumber otomatis, termasuk perangkat pengumpulan data nirkabel dan pembaca kode batang khusus. Koleksi Data dan Alat Input Lain Lembar pengumpulan data asli adalah langkah pertama dalam rantai input, dan auditor internal khawatir bahwa semua transaksi ditekan dengan benar. Kebutuhan untuk semua transaksi harus dipencet dengan benar dan kemudian membaca program komputer membuat transaksi input mengontrol komponen kunci dari keseluruhan pengendalian internal suatu aplikasi. Ini semua adalah perangkat input yang menghasilkan transaksi untuk memperbarui ke beberapa jenis aplikasi pemrosesan. Semua ini mewakili transaksi input ke berbagai aplikasi TI, dan masing-masing memiliki pertimbangan pengendalian yang unik. Auditor internal yang mengkaji pengendalian input atas aplikasi TI harus selalu mencari beberapa elemen pengendalian internal dasar yang sama yang ditemukan di semua proses perusahaan. Input Aplikasi dari Sistem Otomasi Lain Aplikasi komputer sering sangat terintegrasi, dengan satu aplikasi menghasilkan file data output untuk diproses oleh yang lain. Jaringan besar aplikasi yang saling berhubungan dapat menghadirkan tantangan bagi auditor internal yang mencoba meninjau pengendalian input hanya untuk satu aplikasi yang saling berhubungan. Auditor internal mungkin tertarik untuk memahami pengendalian input aplikasi untuk aplikasi X. Namun, file dari aplikasi terkait A, B, dan C dapat memberikan input ke X sedangkan D dan E masing-masing memberikan input ke aplikasi A dan C. Data dan Database Meskipun istilah database sering disalahgunakan untuk merujuk ke hampir semua jenis file komputer, sebuah database TI adalah file yang mengatur data dalam format sedemikian rupa sehingga semua elemen data penting menunjuk atau berhubungan satu sama lain. Saat ini, basis data relasional adalah struktur file yang jauh lebih umum dan ditemukan pada semua jenis dan ukuran komputer. Dua contoh umum dari model basis data relasional yang sangat efisien ini adalah produk-produk basis data Oracle Corporation dan basis data DB2 IBM.

Program Aplikasi Aplikasi diproses melalui serangkaian program komputer atau set instruksi mesin. Sistem penggajian tradisional, misalnya, akan terdiri dari serangkaian program komputer: Seseorang akan membaca data kartu waktu karyawan, menyimpan jumlah jam kerja, dan kemudian menggunakan nomor karyawan pada kartu waktu input itu untuk mencari tingkat karyawan dan pemotongan terjadwal. Program komputer adalah serangkaian instruksi yang mencakup setiap detail dari suatu proses. Menulis program adalah proses penulisan instruksi terperinci dan kemudian mengikuti mereka ke surat itu. Sebagai percobaan untuk memahami perincian yang diperlukan untuk menulis program komputer yang lebih besar, auditor internal harus mencoba menuliskan setiap langkah yang harus diikuti di pagi hari sejak alarm berbunyi hingga tiba di kantor. Mainframe Tradisional dan Program Client-Server Meskipun aplikasi ini pertama kali diprogram dalam bahasa komputer awal pada apa yang sekarang disebut bahasa mesin aktual generasi pertama berdasarkan biner 1 dan 0, kami dengan cepat pindah ke generasi kedua dari apa yang disebut bahasa rakitan. Program yang disebut compiler menerjemahkan instruksi ini ke dalam bahasa mesin. Meskipun banyak dari bahasa kompiler ini diperkenalkan pada tahun 1960-an, COBOL 1 menjadi bahasa yang hampir standar untuk pemrosesan data bisnis hingga tahun 1980-an. Menggambarkan karakter seperti bahasa Inggrisnya, Tampilan 19.1 menunjukkan contoh bahasa pemrograman COBOL. Banyak aplikasi dikembangkan melalui bahasa generator laporan seperti bahasa Inggris yang berada di atas bahasa komputer pendukung. Modern Computer Program Architectures Sebagian besar perusahaan saat ini menggunakan berbagai alat pemrograman selain COBOL (common business oriented language) sehingga auditor internal perlu memiliki pengetahuan dasar mengenai bahasa pemrograman berorientasi objek atau object-oriented programming (OOP), seperti Java dan C++ yang lebih mendasarkan pada “objek” data daripada “tindakan” berbasis logika untuk mengambil input data, mengolahnya, dan menghasilkan data output. Sedangkan, bahasa pemrograman berorientasi objek berfokus pada objek data yang ingin kita manipulasi.

Konsep dan aturan yang digunakan dalam OOP memberikan beberapa manfaat penting antara lain: 

Konsep data kelas yang memungkinkan untuk mendefinisikan subclass dari objek data yang terbagi ke beberapa atau seluruh karakteristik kelas utama (inheritance), memaksa analisis data yang lebih menyeluruh, mengurangi waktu pengembangan, dan memastikan pengkodean yang lebih akurat.



OOP tidak dapat mengakses data program lain secara tidak sengaja. Karakteristik ini memberikan keamanan sistem dan terhindar dari korupsi data.



Definisi kelas dapat digunakan kembali baik oleh program yang dibuat oleh OOP lain sehingga kelas lebih mudah didistribusikan dalam jaringan.



Konsep keas data memungkinkan programmer untuk membuat tipe data baru yang belum didefinisikan ke bahasa itu sendiri.

Vendor-Supplied Software Sebagian besar perangkat lunak disediakan oleh vendor. Oleh karena itu, source code dari program dilindungi oleh vendor untuk mencegah akses dan perubahan yang tidak tepat. Baik auditor internal maupun manajemen TI harus memperhatikan software yang dimiliki vendor seperti reputasi akan kualitas dan bebas dari error ketika ingin membeli software tersebut. IT Application Output Components Aplikasi saat ini menghasilkan sedikit output yang bisa dicetak dan perlu diunduh secara online. Terkadang sinyal dan pemrosesan data menjadi masalah sehingga auditor internal perlu meninjau ruang lingkup dari output yang dihasilkan oleh aplikasi dan juga input-nya. 22.2 MEMILIH APLIKASI UNTUK TINJAUAN AUDIT INTERNAL Auditor internal tidak memiliki waktu dan sumber daya untuk meninjau pengendalian semua aplikasi TI. Selain itu, skarang ini banyak aplikasi TI yang memiliki tingkat minimal dalam hal pengendaian risiko. Auditor internal dihadapkan dengan permintaan untuk meninjau aplikasi-aplikasi yang digunakan oleh perusahaan. Terkadang auditor memilih untuk memasukkan prosedur peninjauan aplikasi sebagai bagian dari tinjauan umum departemen TI. Audit internal juga dapat menjadwalkan secara khusus tinjauan operasional untuk departemen keuangan dan pembelian karena dua departemen ini saling terintegrasi satu dengan yang lain.

22.3 LANGKAH AWAL UNTUK MELAKUKAN TINJAUAN PENGENDALIAN APLIKASI Setelah aplikasi dipilih untuk ditinjau, auditor internal harus mendapatkan pemahaman maksud atau tujuan pendekatan teknologi yang digunakan dan hubungan aplikasi itu dengan proses otomatis atau signifikan lainnya. Auditor yang ditugaskan melakukan pembacaan latar belakang dan mempelajari aspek teknik khusus dari aplkasi itu. Seringkali pemahaman auditor ini dapat dicapai melalui review dari kertas kerja audit yang lalu, wawancara dengan staf TI dan pengguna serta ulasan yang terdokumentasi. Kertas kerja audit membantu auditor mengembangkan pertanyaan terkait pengendalian dan evaluasi aplikasi tersebut. Auditor internal juga dapat melihat flowchart yang dikembangkan untuk penggunaan aplikasi TI. Flowchat memudahkan pengguna aplikasi maupun auditor internal yang mencoba memahami cara kerja dari aplikasi tersebut. Saat melakukan peninjauan, auditor internal harus mencari elemen dokumentasi untuk menunjang kegiatan ini: 

Metodologi pengembangan sistem untuk memulai dokumen. Merupakan permintaan awal proyek mencakup justifikasi biaya/manfaat dan persyaratan umum terkait desain sistem yang akan membantu auditor internal memahami mengapa aplikasi dirancang dan dikendalikan dengan cara tertentu.



Spesifikasi desain fungsional. Dokumentasi ini harus menggambarkan aplikasi dalam beberapa detail seperti elemen program, spesifikasi basis data, dan sistem pengendalian. Selain itu perubahan maupun implementasi juga harus tercermin dalam dokumentasi desain. Tujuannya adalah memungkinkan analisis TI untuk membuat perubahan atau menanggapi pertanyaan mengenai aplikasi.



Program mengubah riwayat penelusuran. Seharusnya beberapa jenis log in dan semua perubahan didokumentasikan dalam file pusat yang direferensikan. Dokumen ini penting untuk mengendalikan perubahan pada program.



Dokumentasi manual pengguna. Pentunjuk teknis secara manual harus tersedia untuk mendukung program pelatihan pengguna.

Melakukan Aplikasi Walk-Through Langkah selanjutnya setelah melakukan wawancara adalah memverifikasi pemahaman audit internal melalui peninjauan walk-through, yaitu proses audit internal yang sama dengan tinjauan awal suatu operasional fasilitas tempat auditor mengunjungi lantai produksi.

Tujuannya adalah mengkonfirmasi pemahaman umum audit internal tentang bagaimana fasilitas operasional dan aplikasi TI beroperasi. Audit internal menguji pengendalian aplikasi melalui sampel transaksi. Berdasarkan pada tinjauan dokumentasi aplikai, audit internal telah menentukan bahwa aplikasi menerima input dari sumber-sumber ini: 

Komitmen pesanan pembelian dari persyaratan bahan produksi termasuk sistem perencanaan pembelian



Pemberitahuan barang yang diterima dari sistem penerimaan bahan



Berbagai transaksi pembayaran online untuk barang dan jasa yang tidak dicatat melalui sistem penerimaan bahan



Persetujuan pembayaran transaksi yang dimasukkan melalui layar input



Transaksi jurnal hutang lain-lain yang dimaukkan sebagai data batch.

Berdasarkan tinjauan dokumentasi, output aplikasi termauk akun transaksi transfer dana elektronik yang dapat dibayarkan serta cek kertas, transaksi untuk buku besar dan aplikai akuntansi biaya, dan berbagai pengendalian akuntansi lain. Pengguna sistem utama adalah staf dari akuntansi umum dan departemen oembelian, yang mengatur pembayaran vendor otomatis berdasarkan ketentuan yang disepakati sebelumnya. Langkah-langkah untuk melakukan aplikasi walk-through untuk contoh aplikasi pembayaran hutang dijelaskan sebagai berikut: 1. Penjelasan singkat aplikasi dalam kertas kerja audit. 2. Mengembangkan diagram blok dan deskripsi flowchart dari aplikasi. 3. Memilih transaksi aplikasi utama. Pilihan ini didasarkan pada diskusi dengan pengguna dan sesama anggota tim audit. 4. Menelusuri transaksi yang dipilih melalui sistem proses. Disebut juga pengujian kepatuhan dimana auditor internal memverifikasi bahwa aplikasi beroperasi sesuai pengendalian yang ditetapkan sebelumnya. Proses verifikasi bahwa semua cek telah dibayar dan dimasukkan ke buku besar kemudia dibandingkan dengan saldo akun disebut pengujian substantive atau pengujian saldo laporan keuangan. 5. Mengubah pemahaman auditor tentang aplikasi sesuai kebutuhan. Apabila auditor menemukan langkah yang dipilih transaksi tidak berfungsi seperti yang diasumsikan, auditor menyiapkan dokumentasi aplikasi yang perlu direvisi dan dievaluasi.

Mengembangkan Tujuan Pengendalian Aplikasi Auditor internal dan manajemen bekerja sama untuk meninjau dan menentukan apakah staf telah menerima pelatihan memadai terkait aplikasi yang digunakan untuk menghindari kesalahan prosedur. Tujuan peninjauan harus didefinisikan secara jelas. Auditor internal bertanggung jawab meringkas tujuan-tujuan untuk ditinjau dan persetujuan dari anggota manajemen. Hal ini membantu auditor internal untuk mencegah menguji area yang tidak signifikan. 

Sistem hutang harus memiliki pengendalian internal yang memadai sehingga semua tanda terima yang dicatat dari sistem penerimaan dicocokkan dengan benar dengan file vendor sebelum persiapan pencairan.



Persyaratan dari vendor harus dihitung dengan pengendalian untuk menghilangkan potensi pembayaran rangkap.



Pengendalian harus ada untuk mencegah atau menandai pencairan dana yang tidak biasa.



Semua pengeluaran yang dihasilkan sistem harus direkam dalam file buku besar menggunakan normor akun dan kode deskriptif yang benar.

22.4 MENYELESAIKAN PENGENDALIAN AUDIT PADA APLIKASI IT Prosedur audit aplikasi TI yang terperinci biasanya lebih sulit untuk ditentukan daripada tujuan umum audit internal. Prosedurnya bervariasi dan tergantung pada apakah (1) aplikasi terutama menggunakan komponen software yang dibeli atau dikembangkan sendiri; (2) aplikasi terintegrasi dengan orang lain atau merupakan proses yang terpisah; (3) menggunakan penyedia berbasis web, client-server atau komputer yang sudah usang; (4) apakah pengendaliannya sebagian besar diotomatissasi atau memerlukan intervensi manusia. Mengklarifikasi dan Menguji Tujuan Pengendalian Audit Internal Tujuan pengendalian audit dilakukan adalah untuk memvalidasi pengendalian akuntansi internal, meninjau efisiensi, memeriksa kepatuhan dengan peraturan yang berlaku. Auditor internal selanjutnya menguji titik pengendalian utama dalam aplikasi dan mencari peneriaan data pengendalian input untuk setiap keputusan pemrosesan komputer dan untuk verifikasi pengendalian data output. Aplikasi modern dengan pembaruan secara online, integrasi tertutup dengan aplikasi lain, dan tknik pemrograman canggih semuanya bergabung menyulitkan identifikasi prosedur pengujian. Faktor-faktor lain termasuk:



Input ke aplikasi mungkin dihasilkan oleh sumber eksternal



Pengendalian yang pernah dilakukan oleh staf input data dimasukkan ke dalam program



File basis data dapat dibagikan dengan aplikasi lain sehingga sulit untuk melakukannya, menentukan dari mana perubahan atau transaksi berasal



Aplikasi dapat menggunakan web interface ke internal audit

Uji Input dan Output Aplikasi Auditor memverifikasi semua input yang dicatat oleh program dengan benar dan jumlah aoutput yang benar berdasarkan input ini. Jenis tes audit bersifat terbatas dan tidak akan mencakup semua transaksi atau fungsi dalam suatu aplikasi. Tingkat pengujian bergantung pada tujuan audit. Untuk aplikasi yang lebih lama, pengujian input dan output cukup mudah dilakukan, auditor akan memilih sampel transaksi input dan kemudian menentukan jika jumlah input sama dengan jumlah item yang diproses ditambah yang ditolak atau item kesalahan. Pengujian Input dan Output Aplikasi Auditor internal harus memeriksa output yang dihasilkan dari sebuah aplikasi, hal ini digunakan untuk menentukan apakah input dan komputasi automatis benar atau tidak. Tujuan dari penilaian risiko pengendalian atau uji kepatuhan adalah untuk menentukan apakah pengendalian aplikasi berjalan dengan baik. Pengujian Pendekatan Evaluasi Transaksi Auditor internal mungkin akan memastikan bahwa transaksi yang dimasukkan dalam sistem telah di prosesnya dengan benar. Selain itu, auditor internal juga akan mempertimbangkan pengujian transaksi eror pada sistem untuk memverifikasi apakah transaksi tersebut telah ditolak dengan benar oleh aplikasi. Teknik Reviu Aplikasi Lainnya Alat audit berbasis komputer sangat berguna dalam mereviu pengendalian aplikasi. Auditor internal menggunakan alat ini untuk menguji beberapa pengendalian akuntansi, seperti penghitungan penagihan piutang, namun untuk mengevaluasi pengendalian aplikasi lainnya. Perangkat lunak audit dapat mencocokan file dari periode berbeda, mengidentifikasi item

data yang tidak biasa, menyajikan catatan kaki dan penghitungan ulang, dan menstimulasi fungsi aplikasi. Teknik lainnya yang berguna adalah sebagai berikut: 

Penyajian ulang dari fungsi atau kalkulasi aplikasi



Mereviu kode sumber program



Observasi prosedur

Menyelesaikan Reviu Pengendalian Aplikasi Auditor internal harus selalu berhati-hati terhadap kondisi laporan audit mereka pada manajemen dengan komentar mengenai risiko hasil yang tidak benar dikarenakan pengujjian yang terbatas. Audit internal perlu untuk mereviu deskripsidan identifikasi pengendalian unruk memverifikasi apakah itu benar atau tidak. Hal ini diperlukan untuk merevisi pemahaman audit internal terhadap pengendalian aplikasi dan penyajian ulang prosedur penilaian risiko. Apabila audit internal menemukan pengujian kepatuhan yang pengendalian aplikasinya tidak berjalan, itu perlu untuk melaporkan temuan. Sifat dari laporan tergantung pada berapa besar kelemahan pengendalian dan sifat dari reviu. 22.5 Contoh Reviu Aplikasi: Sistem Penganggaran Client-Server Sistem penganggaran capital diimplementasikan pada jaringan administrasi kantor. Karena sistem ini menyediakan input langsung terhadap sistem penganggaran korporat, manajemen telah meminta auditor internal utnuk mereviu pengendalian aplikasinya. Setelah mendiskusikan permintaan mereviu dengan senior dan manajemen TI, auditor internal mengembangkan tujuan reviu berikut: 

Sistem penganggaran kapital spreadsheet harus memiliki pengendalian akuntansi internal yang baik



Aplikasi harus membuat keputusan penganggaran kapital yang sesuai sesuai dengan parameter input terhadap sistem dan fomulasi makro program



Sistem harus menyediakan input yang akurat terhadap sistem penganggaran sentral atau korporat melalu server file local



Sistem penganggaran kapital harus mempromosikan efesiensi dalam departemen perencanaan keuangan

Mereviu Dokumentasi Sistem Penganggaran Kapital

Langkah pertama audit internal harus mereviu dokumentasi yang tersedia. Karena ini dibangun di sekitar produk perangkat lunak desktop komersial, audit internal mungkin berharap untuk menemukan atau harus menanyakan beberapa hal berikut: 

Dokumentasi dari paket perangkat lunak penganggaran kapital



Prosedur penguploadan data penganggaran kapital untuk aplikasi penganggaran sistem sentral melalui server jaringan



Prosedur untuk memastikan integritas dari pemilik data pada file server

Mengidentifikasi Kunci Pengendalian Aplikasi Penganggaran Kapital Berdasarkan pemahaman auditor internal, pengendalian sistem kunci harus didefinisi dan didokumentasi. Hal ini dikarenakan audit internal saat ini menyajikan reviu pengendalian umum, itu tidak memerlukan untuk pertimbangan ulang terhadap pengendalian umum selama reviu aplikasi. Menyajikan Aplikasi Pengujian Kepatuhan Langkah terakhir adalah menyajikan pengujian prosedur audit yang telah ditetapkan. Beberapa pengujian dari pengendalian aplikasi adalah sebagai berikut: 

Penyajian ulang komputasi



Membandingkan transaksi



Penyetujuan transaksi yang sesuai

22.6 Pengauditan Aplikasi Dibawah Pengembangan Peran auditor internal disini adalah sebagai inspector yang mereviu pembentukan projek kontruksi yang baru. Inspektor pembentukan mengidentifikasi masalah selama kontruksi dan menyarankan bagaimana untuk menyelesaikan masalah tersebut dengan efektif. Tujuan dan Hambatan Aplikasi Sebelum implentasi Auditing Selama bertahun-tahun, auditor internal terbuka untuk menerima reviu sebelum implementasi, bertindak sebagai auditor dan buka konsultan. Auditor internal harus menghadapi 4 jenis hambatan utama ketika mereviu aplikasi baru dibawah pengembanga yakni:



Them vs Us Attitude



Masalah peran auditor internal o Anggota tambahan dalam tim implementasi o Konsultan spesialis o Pengendalian internal yang ahli o Penghuni kursi tambahan o State of the art awareness needs o Banyak dan bervariasinya kandidat sebelum implementasi

Tujuan Mereviu Sebelum implementasi Tujuan

penting

dari

pengauditan

sebelum

implementasi

aplikasi

adalah

untuk

mengidentifikasi dan merekomendasi perbaikan pengendalian yang dapat berpotensi terinstal selama proses pengembangan aplikasi. Masalah Mereviu Sebelum implementasi Masalah yang sering timbul saat mereviu preimplementasi adalah terlalu banyaknya reviu kandidat yang memberikan batasan sumber audit internal. Untuk mengatasi masalah ini, auditor internal harus mempertimbangkan: 

Memilih aplikasi yang baik untuk mereviu



Menentukan peran auditor yang sesuai



Mereviu tujuan yang sulit didefinisikan

Prosedur Mereviu Sebelum implementasi Ketika audit internal telah memilih memberikan aplikasi untuk reviu preimplementasi, sebuah langkah yang penting adalah mereviu keseluruhan rencana program audit dengan manajemen TI sehingga terdapat pemahaman apa yang diharapkan auditor internal untu ditemukan, sjalan dengan pendekatan reviu. Beberapa prosedur mungkin sesuai dengan aplikasi, namun tujuan yang telah didiskusikan harus sesuai dengan reviu preimplemntasi yang paling banyak. Tujuan Definisi Persyaratan Aplikasi Auditor internal harus mereviu persyaratan secara detail untuk menentukan keseluruhan status pengendalian dari aplikasi baru. Apabila audit internal dapat mengidentifikasi konsern

pengendalian selama pengembangan aplikasi, maka akan sangat mudah untuk mendesign sistem pada alamat dan membetulkannya. Desain Rinci dan Tujuan Pengembangan Program Tujuan keseluruhan dari projek pengembangan adalah untuk memuaskan pertanyaan berikut: 

Apakah design detail sesuai dengan tujuan dari definisi persyaratan umum?



Apakah pengguna memahami pengendalian dan tujuan dari aplikasi baru dibawah pengembangan?



Sudahkah pertimbangan diberikan sesuai terhadap pengendalian dan keamanan aplikasi?



Apakah aplikasi dikembangkan berdasarkan standar pemgembangan sistem department TI sendiri?



Apakah proses pengembangan aplikasi didukung dengan baik oleh perencanaan projek, samakah dengan rencana audit internal?



Sudahkah rekomendasi audit sebelumnya mengabungkannya dalam design detail?

Pengujian Aplikasi dan Tujuan Implentasi Dalam kesimpulan pengujian aplikasi ini, tanggungjawab auditor menyiapkan laporan akhir yang mendokumentasikan pengidentifikasian isu pengendalian yang signifikan. Laporan ini juga harus memberikan rekomendasi pengendalian untuk bagian yang tidak diimplementasi. Tujuan dan Laporan Reviu Setelah Implementasi Reviu setelah implementasi adalah untuk menentukan apakah aplikasi yang didesign telah mencapai tujuan dan berjalan dengan baik. Reviu juga berguna sebagai pengendalilan projek yang mana menentukan apakahh apalikasi sudah berjalan sesuai penganggaran. 22.7 Pentingnya Mereviu Pengendalian Aplikasi TI Auditor internal yang efektif harus menghabiskan sebagian besar dari usaha mereviu audit dan pengujian pengendalian terhadap aplikasi Ti yang spesifik. Reviu tersebut mnyediakan jaminan pada manajemen umum bahwa aplikasi beroperasi dengan baik, dan pada manajemen TI bahwa design dan standar pengendalian telah diikuti, menginjinkan ereka untuk menempatkan reliansi yang tinggi terhadap hasil dari aplikasi tersebut.