Sumber: Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012. Kontrol dan Audit
Teknologi Informasi. Boca Raton: CRC Press / Taylor & Francis.
Implikasi yang timbul dari risiko ini meliputi:
1. Potensi KEHILANGAN jejak audit transaksi, sehingga menyulitkan atau tidak
mungkin untuk merekonsiliasi, merekonstruksi, dan meninjau catatan. Ini bisa menjadi
pelanggaran undang-undang dan menghasilkan penuntutan dan denda.
2. Peningkatan paparan tebusan, pemerasan, atau penipuan melalui gangguan potensial
terhadap layanan atau peningkatan peluang untuk mengubah catatan komputer dalam
suatu organisasi dan perdagangannya mitra adalah IS.
3. Gangguan arus kas ketika transaksi pembayaran dihasilkan karena kesalahan atau
dialihkan atau dimanipulasi.
4. Kehilangan profitabilitas yang terjadi karena meningkatnya biaya bunga atau pesanan
yang akan pesaing karena kurangnya penerimaan pesan EDI.
5. Kerusakan reputasi karena kehilangan pelanggan utama, terutama jika masalah EDI
dipublikasikan secara luas.
Standar untuk Penilaian Audit EDI
Auditor, manajemen, pengembang, dan konsultan keamanan harus menyadari risiko
bisnis yang terkait dengan sistem EDI. Beberapa standar terkenal yang memberikan dasar
untuk penilaian audit EDI meliputi: Kelompok standar Komite Akreditasi (ASC) X12 yang
didukung oleh Institut Standar Nasional Amerika (ANSI) Amerika Utara dan Pertukaran Data
Elektronik untuk Administrasi, Perdagangan dan Transportasi (EDIFACT ) standar
internasional yang didukung oleh Komisi Ekonomi PBB untuk Eropa.
Standards Standar ASC X12 memfasilitasi pertukaran elektronik dari transaksi bisnis,
seperti menempatkan dan memproses pesanan, pengiriman, penerimaan, pembuatan
faktur, dan pembayaran. Secara khusus, standar ASC X12 mengidentifikasi data yang
digunakan dalam transaksi, urutan di mana data tersebut harus muncul, apakah data
wajib atau opsional, ketika data dapat diulang, dan bagaimana loop, jika berlaku,
disusun dan digunakan.
Standar EDIFACT menyediakan serangkaian standar internasional umum untuk
transmisi elektronik data komersial. EDIFACT standar internasional menangani
pertukaran elektronik dari data terstruktur, seperti perdagangan barang dan jasa antara
sistem informasi terkomputerisasi yang independen.
Standar utama umum lainnya untuk penilaian EDI meliputi:
Standar Tradacoms, yang dominan di sektor ritel Inggris. Itu
standar saat ini disebut sebagai GS1 UK.
Standar Organisasi untuk Pertukaran Data oleh Transmisi Tele (ODETTE), yang
mewakili kepentingan industri otomotif di Eropa. ODETTE menciptakan standar,
mengembangkan praktik terbaik, dan menyediakan layanan yang mendukung
manajemen logistik, komunikasi e-bisnis, dan pertukaran data rekayasa di seluruh
Eropa
Industri otomotif.
Standards Standar dan praktik terbaik Verband der Automobilindustrie (VDA) juga
berlaku untuk industri otomotif Eropa. Standar VDA terutama berfokus pada melayani
kebutuhan perusahaan otomotif Jerman.
Standar kesehatan Level-7 (HL7) terkait dengan pertukaran elektronik dari data klinis
dan administrasi di antara penyedia layanan kesehatan. Standar HL7 telah diadopsi oleh
badan penerbit standar lain seperti ANSI dan Organisasi Internasional untuk
Standardisasi.
Standar global GS1 EDI memandu komunikasi elektronik dan otomatisasi transaksi
bisnis yang biasanya terjadi di seluruh rantai pasokan. Standar-standar ini berlaku untuk
pengecer, produsen, pemasok bahan, dan penyedia layanan logistik, misalnya.
Risiko Aplikasi Web
PC Magazine mendefinisikan aplikasi Web sebagai “aplikasi di mana semua atau
beberapa bagian dari perangkat lunak diunduh dari Web setiap kali dijalankan.” * Penggunaan
aplikasi Web telah menjadi strategi kunci untuk pengarahan bagi banyak perusahaan. Beberapa
perusahaan hanya menggunakan aplikasi Web untuk tujuan pemasaran, tetapi sebagian besar
menggunakannya untuk menggantikan aplikasi server klien tradisional. Karakteristik lain dari
aplikasi Web termasuk penggunaan browser Web di sisi klien yang biasanya platform
independen, dan membutuhkan daya komputasi yang lebih sedikit. Beberapa manfaat lain dari
aplikasi Web termasuk mengurangi waktu ke pasar, meningkatkan kepuasan pengguna, dan
mengurangi biaya yang berkaitan dengan pemeliharaan dan dukungan.
Dari sudut pandang pengembangan, aplikasi Web harus dirancang untuk melakukan
tugas-tugas spesifik yang disepakati dan didokumentasikan sebagai bagian dari persyaratan
fungsional. Saat mengembangkan aplikasi Web, tim harus memahami bahwa kontrol sisi klien
seperti validasi input, bidang tersembunyi, dan kontrol antarmuka, misalnya, tidak sepenuhnya
dapat diandalkan untuk tujuan keamanan. Penyerang dapat dengan mudah mem-bypass kontrol
sisi klien ini dan mendapatkan akses untuk menganalisis atau memanipulasi lalu lintas aplikasi,
mengirimkan permintaan, dll. Praktik terkenal yang dirujuk ketika mengembangkan sistem
aplikasi Web atau aplikasi termasuk 10 Praktik Pengkodean Aman Terbaik, yang dikeluarkan
pada Maret 2011 oleh Tim Kesiapan Darurat Komputer Amerika Serikat (US-CERT). Praktik
umum lainnya termasuk prinsip-prinsip pengkodean aman yang dijelaskan dalam Proyek
Keamanan Pengkodean Aplikasi Web Terbuka (OWASP). Sementara prinsip-prinsip
pengkodean aman OWASP berikut secara spesifik merujuk pada aplikasi Web, prinsip-prinsip
ini juga berlaku untuk aplikasi non-Web.
Validasi input
Pengkodean output
Otentikasi dan manajemen kata sandi
Manajemen sesi
Kontrol akses
Praktik kriptografi
Penanganan kesalahan dan pencatatan
Perlindungan data
Keamanan komunikasi
Keamanan sistem
Keamanan basis data management Manajemen file
Manajemen file
Manajemen memori
Manajemen koding practices Praktek pengkodean umum
OWASP menawarkan daftar periksa praktis † yang berfokus pada penerapan praktik dan
prinsip pengkodean aman. Daftar periksa dirancang untuk berfungsi sebagai alat kick-start
pengkodean yang aman untuk membantu tim pengembangan memahami (dan mematuhi)
praktik pengkodean yang aman.
Risiko yang dapat diatribusikan ke aplikasi Web, sebagaimana dinyatakan pada 2017
OWASP Top 10 Risiko Keamanan Aplikasi Web Paling Kritis,: meliputi:
a. Injeksi
b. Otentikasi dan manajemen sesi rusak
c. Skrip lintas situs
d. Kontrol akses yang rusak
e. Kesalahan konfigurasi keamanan
f. Pemaparan data sensitif
g. Perlindungan serangan tidak memadai
h. Pemalsuan permintaan lintas situs
i. Menggunakan komponen dengan kerentanan yang diketahui
j. Di bawah antarmuka program aplikasi yang dilindungi
Daftar periksa prinsip-prinsip dan praktik pengkodean aman OWASP adalah salah satu
cara efektif untuk meminimalkan risiko dan memastikan bahwa organisasi mengembangkan
aplikasi Web yang sukses. Namun, auditor, manajemen, pengembang, dan konsultan keamanan
harus mempertimbangkan tingkat risiko yang terkait semua jenis aplikasi untuk merancang dan
mengimplementasikan kontrol aplikasi yang sesuai.
Kontrol Aplikasi
Ada dua pengelompokan besar kontrol komputer yang membantu mengurangi aplikasi
risiko yang dibahas di atas, dan sangat penting untuk memastikan kelanjutan operasi aplikasi
yang tepat sistem. Mereka adalah: Kontrol Komputer Umum dan Kontrol Aplikasi. Komputer
umum kontrol ("kontrol umum" atau "ITGC") termasuk memeriksa kebijakan dan prosedur
yang terkait ke banyak aplikasi dan mendukung berfungsinya kontrol aplikasi. Umum kontrol
mencakup infrastruktur TI dan layanan dukungan, termasuk semua sistem dan aplikasi.
Kontrol umum biasanya mencakup kontrol atas (1) operasi sistem informasi; (2)
keamanan informasi; dan (3) manajemen kontrol perubahan (mis. akuisisi perangkat lunak
sistem, perubahan dan pemeliharaan, perubahan program, dan akuisisi, pengembangan, dan
sistem aplikasi pemeliharaan).
Kontrol aplikasi memeriksa prosedur khusus dan unik untuk aplikasi tersebut. Aplikasi
kontrol juga disebut sebagai "kontrol otomatis." Mereka berkaitan dengan akurasi,
kelengkapan, validitas, dan otorisasi data yang diambil, dimasukkan, diproses, disimpan,
dikirim, dan dilaporkan. Contoh kontrol aplikasi termasuk memvalidasi input data, memeriksa
akurasi matematika dari catatan, dan melakukan pemeriksaan urutan numerik, antara lain.
Kontrol aplikasi cenderung efektif ketika kontrol umum efektif. Pameran 1.3 dari Bab
1 mengilustrasikan kontrol umum dan aplikasi, dan bagaimana mereka harus berada dalam
urutan untuk mengurangi risiko dan melindungi aplikasi. Perhatikan dalam pameran bahwa
sistem aplikasi selalu dikelilingi oleh risiko. Risiko diwakili dalam pameran oleh simbol
ledakan. Ini risikonya dapat berupa akses yang tidak sah, kehilangan atau pencurian atau
peralatan dan informasi, shutdown sistem, dll. Kontrol umum, yang ditunjukkan pada simbol
segi enam, juga mengelilingi aplikasi dan memberikan "perisai pelindung" terhadap risiko.
Terakhir, ada aplikasi atau kontrol otomatis yang berada di dalam aplikasi dan memberikan
perlindungan tangan pertama atas input, pemrosesan, dan output informasi.
Kontrol aplikasi yang diterapkan pada organisasi dapat mencakup, antara lain, sistem
dan / atau kontrol konfigurasi aplikasi; kontrol terkait keamanan yang menegakkan akses
pengguna, peran, dan pemisahan tugas; dan kontrol pemberitahuan otomatis untuk
memperingatkan pengguna bahwa ada transaksi atau proses sedang menunggu tindakan
mereka. Kontrol aplikasi juga memeriksa perhitungan matematika, penyeimbangan total antara
pekerjaan, kewajaran terhadap volume atau nilai yang diharapkan, rekonsiliasi antara sistem,
dan distribusi output yang terkontrol untuk memastikan keakuratan dan kelengkapan transaksi.
Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol
input, pemrosesan, dan keluaran informasi dalam suatu aplikasi. Mereka dipecah menjadi tiga
kategori utama: kontrol input, pemrosesan, dan output.
Kontrol Input
Kontrol input dimaksudkan untuk meminimalkan risiko yang terkait dengan input data
ke dalam sistem aplikasi. "Antarmuka pengguna" adalah sarana yang digunakan pengguna
untuk berinteraksi dengan sistem. Dalam kebanyakan kasus, ini adalah layar komputer, mouse,
dan keyboard. Antarmuka yang efektif untuk pengguna akan membantu mengurangi biaya
meja dan meningkatkan akurasi dan efisiensi. Juga, antarmuka pengguna harus menyediakan
sarana untuk pengguna untuk mendapatkan bantuan konteks-sensitif.
Menentukan persyaratan input memastikan bahwa metode pengambilan data sesuai
untuk tipe data yang diinput dan bagaimana selanjutnya digunakan. Masalah kinerja dan
masalah akurasi dapat diperkenalkan dengan metode yang tidak tepat untuk mengambil data.
Persyaratan input harus menentukan semua sumber yang valid untuk data serta metode untuk
memvalidasi data. Memasukkan kontrol mencegah transaksi yang tidak valid dimasukkan dan
mencegah data yang tidak valid dalam valid transaksi. Mereka secara khusus memastikan
keaslian, keakuratan, dan kelengkapan data yang dimasukkan ke dalam suatu aplikasi.
Keaslian
NIST mendefinisikan keaslian sebagai “properti menjadi asli dan dapat diverifikasi dan
tepercaya. ”* Keaslian memastikan bahwa hanya pengguna yang berwenang yang memiliki
akses untuk memasuki transaksi. Selama proses pengembangan sistem aplikasi, pengguna yang
berwenang harus didefinisikan bersama tingkat keamanan mereka untuk akses data. Informasi
ini dapat digunakan saat mendesain layar input membatasi layar atau bidang ke grup pengguna
tertentu. Kontrol juga dapat dirancang untuk menegakkan pemisahan tugas. Misalnya,
pengguna mungkin dapat memasukkan transaksi, tetapi pengawas mungkin perlu menyetujui
transaksi sebelum diajukan untuk diproses.
Otentikasi juga harus dipertimbangkan ketika aplikasi otomatis berinteraksi dengan
yang lain aplikasi. Otentikasi, menurut NIST, memverifikasi “identitas pengguna, proses, atau
perangkat sering sebagai prasyarat untuk memungkinkan akses ke sumber daya dalam sistem
informasi. "* Sering, dijadwalkan pekerjaan batch beroperasi di bawah otoritas dengan hak
akses khusus ke database. Risiko terkait dengan akun akses ini serta hak akses perlu ditinjau.
Umum akun tidak boleh digunakan. Pekerjaan batch harus diberikan hak istimewa minimal
dan tingkat system akun tidak boleh digunakan.
Ketepatan
Akurasi dipastikan melalui pemeriksaan edit yang memvalidasi data yang dimasukkan
sebelum menerima transaksi untuk diproses. Akurasi memastikan bahwa informasi yang
dimasukkan ke dalam aplikasi konsisten dan mematuhi kebijakan dan prosedur. Ini dilakukan
dengan merancang layar input dengan pengeditan dan validasi yang memeriksa data yang
dimasukkan terhadap aturan atau nilai yang telah ditentukan.
Keakuratan transaksi yang diproses dapat dipastikan dengan meminta semua transaksi
yang dimasukkan melalui pemeriksaan validasi data, apakah berasal dari layar online,
antarmuka dari aplikasi lain, atau dihasilkan oleh sistem. Program yang secara otomatis
menghasilkan transaksi (mis., Program yang dipicu waktu) harus memiliki suntingan bawaan
yang memvalidasi keakuratan transaksi yang serupa dengan transaksi yang dimasukkan oleh
pengguna. Penting juga untuk melacak volume dan frekuensi transaksi terhadap tren yang
diharapkan untuk memastikan bahwa transaksi dipicu dengan benar. Pemeriksaan yang hilang
dan duplikat juga harus diprogram jika terjadi kesalahan dalam logika pemicu. Edit dan validasi
rutin umumnya unik untuk sistem aplikasi yang digunakan, meskipun beberapa rutinitas tujuan
umum dapat dimasukkan. Tampilan 9,2 daftar edit umum dan validasi pemeriksaan rutin atau
kontrol saat memasukkan data. Edit dan validasi rutinitas ditempatkan dalam suatu sistem
untuk membantu memastikan kelengkapan dan keakuratan data. Oleh karena itu, rutinitas edit
utama tidak boleh dianggap remeh. Di sebagian besar sistem, pengguna tidak diberikan
kemampuan ini. Mengganti rutinitas edit hanya diizinkan bagi manajer atau pengawas
departemen pengguna yang diistimewakan, dan dari terminal master. Override harus secara
otomatis dicatat oleh aplikasi sehingga tindakan ini dapat dianalisis untuk kesesuaian dan
kebenaran.
Kelengkapan
Kelengkapan mengkonfirmasi bahwa semua data yang diperlukan untuk memenuhi
kebutuhan bisnis saat ini dan di masa depan benar-benar siap dan tersedia. Memiliki data
lengkap untuk bekerja dengan membantu manajemen ketika membuat keputusan bisnis yang
berdampak pada organisasi. Data lengkap, dalam bentuk laporan keuangan, daftar vendor,
laporan piutang pelanggan, laporan pinjaman, dll., Mencerminkan status organisasi yang akurat
dan bagaimana hal itu mengatasi pesaing dan tren serta pola industri. Kelengkapan dipastikan,
misalnya, melalui prosedur penanganan kesalahan yang menyediakan pencatatan, pelaporan,
dan koreksi kesalahan.
Kontrol Edit dan Validasi Saat Memasukkan Data
Kontrol: Deskripsi
1. Pemeriksaan lapangan: Mengonfirmasi bahwa karakter dalam bidang adalah jenis yang
tepat.
2. Tanda centang: Memvalidasi bahwa data dalam suatu bidang memiliki tanda positif
atau negatif yang sesuai.
3. Pemeriksaan batas atau rentang: Memverifikasi bahwa jumlah numerik yang
dimasukkan adalah dalam nilai minimum dan maksimum yang dapat diterima.
4. Pemeriksaan ukuran: Memeriksa apakah ukuran data yang dimasukkan sesuai dengan
bidang tertentu.
5. Pemeriksaan Kelengkapan: Mengonfirmasi bahwa semua data yang diperlukan dan
diperlukan dimasukkan.
6. Pemeriksaan validitas: Membandingkan data dari file transaksi dengan file master
untuk memverifikasi keberadaannya.
7. Pemeriksaan kewajaran: Memeriksa kebenaran hubungan logis antara dua item data.
8. Periksa verifikasi digit: Hitung ulang digit periksa untuk memverifikasi kesalahan entri
data belum dilakukan.
Kontrol pemrosesan
Kontrol pemrosesan mencegah, mendeteksi, dan / atau memperbaiki kesalahan saat
pemrosesan data (batch atau online) berlangsung. Kontrol ini membantu memastikan bahwa
data diproses secara akurat dan lengkap melalui aplikasi (mis., Tidak ada data yang
ditambahkan, hilang, atau diubah selama pemrosesan, dll.). Pekerjaan yang dijadwalkan dalam
suatu aplikasi harus ditinjau untuk memastikan bahwa perubahan yang dilakukan sesuai dan
tidak menimbulkan risiko. Sebagai contoh, dalam sistem aplikasi ERP, program Struktur
Bahasa Query dapat ditulis untuk memodifikasi data secara langsung terhadap database,
menghindari kontrol dalam aplikasi dan beroperasi terhadap database dengan hak administrator
sistem. Namun, dari layar, program ini dapat terlihat seperti laporan jika kode yang
mendasarinya tidak dievaluasi.
Hasil Telusur
Hasil Terjemahan
Inggris
Indonesia
Accuracy and Completeness To ensure data accuracy and completeness (A&C), programs
should be built with logic to prevent, detect, and/or correct errors. Error handling procedures
should include:
◾ Logging error activity
◾ Approval of error correction and resubmission
◾ Defined responsibility for suspense files
◾ Reports of unresolved errors
◾ Aging and prioritization of unresolved errors
Pelajari pengucapannya
Keakuratan dan Kelengkapan Untuk memastikan keakuratan dan kelengkapan data
(A&C), program harus dibangun dengan logika untuk mencegah, mendeteksi, dan / atau
memperbaiki kesalahan. Prosedur penanganan kesalahan harus mencakup:
1. Aktivitas kesalahan pencatatan
2. Persetujuan koreksi kesalahan dan pengiriman ulang
3. Tanggung jawab yang ditentukan untuk file suspense
4. Laporan kesalahan yang tidak terselesaikan
5. Penuaan dan prioritas kesalahan yang belum terselesaikan
A&C juga dapat dicapai dengan menyeimbangkan transaksi batch yang terjadi dengan
transaksi yang keluar dari pendahulunya. Langkah-langkah penyeimbangan harus terjadi di
titik-titik pemrosesan pekerjaan utama. Poin kontrol berikut adalah contoh poin pemrosesan
pekerjaan utama:
1. Poin input. Program yang menerima transaksi dari pemrosesan input (mis., Antarmuka
pengguna, dll.)
2. Modul pemrosesan utama. Program yang memodifikasi data (mis., Melakukan
perhitungan, dll.)
3. Poin percabangan. Program yang membagi atau menggabungkan data (mis., Program
yang menggabungkan data dari dua atau lebih sumber input yang berbeda menjadi satu
file; file ini kemudian digunakan sebagai umpan data untuk sistem pelaporan keuangan,
dll.)
4. Output poin. Hasil pemrosesan data (mis., Laporan keuangan atau operasional, cek
cetak, file data keluaran, dll.)
Dirancang dengan benar, menyeimbangkan total untuk jumlah dan jumlah transaksi dapat
mendeteksi transaksi yang hilang atau duplikat (lihat Tampilan 9.3, bagian A). Selain itu,
keseimbangan dan rekonsiliasi harus terjadi antara aplikasi yang berbagi data umum. Ini dapat
dicapai dengan membuat laporan rekonsiliasi yang mencantumkan data dari semua sistem
aplikasi yang terlibat, dan melaporkan setiap perbedaan untuk grup pengguna untuk meninjau
dan mengikuti pengecualian apa pun. Tampilan 9.3, bagian B digunakan untuk
menggambarkan contoh rekonsiliasi antara sistem Penagihan, Pembayaran, dan Piutang Usaha.
Perhatikan bagaimana sistem Piutang Usaha mengkonfirmasikan (atau merekonsiliasi) semua
17 catatan yang terlibat dan, yang paling penting, saldo $ 400 yang tertunda setelah penagihan
dikirimkan dan pengumpulan (atau pembayaran) diterima. Menyeimbangkan total juga harus
mencakup hitungan transaksi (kuantitas), total untuk semua bidang jumlah untuk setiap jenis
transaksi, dan total cross-foot untuk bidang detail ke bidang total. Perhatikan dalam Bukti 9.4
bagaimana jumlah total diverifikasi, dan bagaimana jumlah total per bagian
(a) (c)
Hitung = 10 Hitung = 10
Piutang
sistem
(rekonsiliasi dari
faktur dan
pembayaran):
Rekor hitungan = 17
Rekor jumlah = $ 400
Tampilan 9.3
Total penyeimbangan batch (A) dan rekonsiliasi lintas aplikasi (B). hasil dari Kuantitas silang
dan Harga Satuan. Dalam file di mana tidak ada total yang berarti, total cash dapat dibuat yang
menambahkan semua angka dalam kolom untuk memverifikasi bahwa total yang sama diterima
oleh proses selanjutnya. Misalnya, total nomor bagian tidak memberikan arti apa pun. Namun,
total ini dapat digunakan untuk memverifikasi bahwa semua nomor bagian yang benar telah
diterima. Arus transaksi harus diseimbangkan setiap hari dan secara kumulatif ke pekerjaan
bulanan sebelum register ditutup. Menyeimbangkan total juga harus mempertimbangkan kedua
transaksi yang salah masuk dan masuk aliran pengolahan. Dalam Pameran 9.5, misalnya, 10
total transaksi (dengan jumlah $ 1.250) minus 2 transaksi yang ditulis ke file kesalahan (dengan
jumlah $ 250) diproses dalam Akun Sistem Piutang. Jumlah dan jumlah total yang
direkonsiliasi / seimbang dalam Piutang Dagang Sistem sekarang masing-masing delapan dan
$ 1.000.
Contoh umum lain dari kontrol pemrosesan meliputi:
Pencocokan data. Cocokkan dua atau lebih item sebelum menjalankan perintah atau
tindakan tertentu (misalnya, faktur yang sesuai dengan pesanan pembelian dan
menerima laporan sebelum melakukan pembayaran, dll.)
Label file. Pastikan file yang benar dan terbaru sedang digunakan.
Pijakan silang. Membandingkan dua cara alternatif untuk menghitung total yang sama
untuk memverifikasi untuk akurasi (mis., ditambahkan oleh baris dan kolom dalam
spreadsheet, dll.)
Tampilan 9.4
Total Penyeimbang Sampel
Pesanan Kuantitas Nomer Bagian Unit Harga Total
Bagian A 100 1288543 $1.20 $120.00
Bagian B 80 0982374 $0.60 $48.00
Bagian C 200 5436682 $0.45 $90.00
Total 380 $258.00
Sumber : Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012. Kontrol Teknologi
Informasi
dan Audit. Boca Raton: CRC Press / Taylor & Francis.
Hitung = 8
Total = $ 1.000
Tampilan 9,5 Menyeimbangkan total dengan transaksi kesalahan.
1. Tes keseimbangan nol. Periksa bahwa akun tertentu (misalnya, Akun kliring gaji, dll.)
Mempertahankan saldo nol. Tes ini membantu organisasi dalam menghilangkan saldo
berlebih di Indonesiapisahkan akun dan pertahankan kontrol yang lebih besar atas
pencairan.
2. Mekanisme perlindungan menulis. Perlindungan terhadap menimpa atau menghapus
data.
3. Kontrol pembaruan bersamaan. Cegah kesalahan dua atau lebih pengguna memperbarui
catatan yang sama diwaktu yang sama.
Kontrol Keluaran
Kontrol keluaran dirancang untuk mendeteksi dan memperbaiki kesalahan setelah
pemrosesan selesai, memastikan integritas output yang dihasilkan. Secara khusus, kontrol
output meliputi: (1) prosedur untuk memverifikasi jika data akurat dan lengkap (mis., direkam
dengan benar) dan (2) prosedur untukdistribusi dan penyimpanan laporan yang memadai. Jika
output diproduksi secara terpusat, maka konvensional kontrol, seperti memiliki petugas
keamanan dan mendistribusikan log mungkin tepat. Jika output didistribusikan melalui
jaringan komunikasi data, kontrol penekanan bergeser ke kontrol akses untuk workstation
individu. Untuk menjaga kerahasiaan, akses ke laporan harus didasarkan pada Dasar "perlu
tahu". Akurasi dan Kelengkapan Keluaran harus diverifikasi terhadap sumber independen
untuk memverifikasi keakuratan dan kelengkapannya.
Tiga jenis kontrol output yang umum terkait dengan akurasi dan kelengkapan adalah
penggunaulasan, rekonsiliasi, dan kontrol transmisi data. Ulasan pengguna memastikan output
(laporan)dihasilkan aman, rahasia, dan pribadi melalui melakukan penyeimbangan dan
kelengkapanmemeriksa; perbandingan bidang data utama; memeriksa informasi yang hilang;
dan mendokumentasikan rekreasi.Rekonsiliasi mencakup prosedur untuk merekonsiliasi
laporan kontrol. Misalnya, total transaksidiposting ke buku besar umum harus direkonsiliasi
dengan saldo terperinci yang jatuh tempo dalam akunbuku besar pembantu piutang.
Contoh lain termasuk rekonsiliasi data eksternal, seperti rekonsiliasi rekening bank /
kas. Seperti disebutkan sebelumnya, data yang umum untuk dua atau lebih aplikasi harus
direkonsiliasi untuk memverifikasi konsistensi. Kontrol transmisi data diimplementasikan
untuk melindungi transfer fisik data melalui komunikasi point-to-point atau point-to-multipoint
saluran. Contoh di sini adalah penerapan teknik enkripsi lebih dari data yang dikirimkan.
Distribusi dan Retensi
Distribusi output harus didefinisikan dengan jelas, dan akses fisik dan logis harus
dibatasi kepada personel yang berwenang. Kebutuhan akan keluaran harus ditinjau ulang
secara berkala sebagaimana adanya laporan diminta pada saat aplikasi dikembangkan, tetapi
mungkin tidak lagi berguna. Juga sama informasi dapat digunakan untuk lebih dari satu sistem
dengan pandangan, organisasi, dan penggunaan yang berbeda.
Misalnya, departemen pemasaran dapat menggunakan informasi penjualan untuk
membayar komisi dan memantau kuota penjualan, sedangkan departemen akuntansi
menggunakan informasi yang sama untuk menyiapkan keuangan pernyataan dan laporan.
Kedua sistem ini harus direkonsiliasi untuk memastikan jumlahnya dilaporkan untuk
membayar staf penjualan sama dengan jumlah yang dilaporkan pada laporan keuangan dan
laporan.
Keterlibatan Auditor IT
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk
memastikan mereka patuh dengan strategi dan standar organisasi, serta menyediakan fungsi
otomatis untuk secara efektif mendukung proses bisnis. Aplikasi perlu dinilai risiko untuk
menentukan level keterlibatan audit. Jenis penilaian juga akan bervariasi tergantung pada risiko
tertentu aplikasi. Aplikasi memperkenalkan risiko kepada organisasi dalam bentuk peningkatan
biaya, kehilangan integritas data, kelemahan dalam kerahasiaan, kurangnya ketersediaan,
kinerja yang buruk, dan lainnya.
Risiko-risiko ini harus diatasi dengan pemilihan dan implementasi kontrol yang
memadai. Sistem aplikasi audit membutuhkan pengetahuan khusus tentang risiko dan kontrol
aplikasi. Memahami hal itu memungkinkan auditor TI untuk mengidentifikasi bidang-bidang
utama yang akan mendapat manfaat dari independen verifikasi. Selain itu, memahami kontrol
aplikasi memungkinkan auditor TI untuk mengevaluasi dan merekomendasikan yang akan
memastikan pemrosesan transaksi yang lengkap dan akurat.
Seperti yang dinyatakan sebelumnya, auditor TI dapat dilibatkan sebagai konsultan
kontrol atau pengulas independen. Tingkat keterlibatan ditentukan dengan menyelesaikan
penilaian risiko. Hasil dari risiko penilaian juga meminta jumlah waktu yang diperlukan untuk
mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan, dll. Persiapan rencana audit
kemudian menyusul. Rencana tersebut menggambarkan audit tujuan dan prosedur yang harus
dilakukan untuk memastikan aplikasi diimplementasikan secara memadai, dan menjaga
informasi. Auditor TI akhirnya mengkomunikasikan temuan yang diidentifikasi di seluruh
audit plus rekomendasi kepada manajemen.
Tugas beresiko
Auditor TI mungkin tidak memiliki cukup waktu untuk menilai setiap sistem aplikasi
tertentu dalam organisasi. Keterlibatan dalam aplikasi tertentu akan tergantung pada penilaian
aplikasi risiko. Risiko aplikasi terkait dengan kompleksitas dan besarnya aplikasi, staf yang
tidak berpengalaman, kurangnya keterlibatan pengguna akhir, dan kurangnya komitmen
manajemen. Tingkat risiko mungkin fungsi kebutuhan akan informasi yang tepat waktu,
kompleksitas aplikasi, tingkat kepercayaan untuk keputusan penting, lamanya waktu aplikasi
akan digunakan, dan jumlah orang yang akan menggunakannya. Penilaian risiko menentukan
aspek mana dari aplikasi tertentu yang akan dicakup oleh audit. Ruang lingkup audit dapat
bervariasi tergantung pada risiko yang diidentifikasi.
Rencana Audit
Rencana audit merinci langkah-langkah dan prosedur untuk memenuhi tujuan audit.
Seperti dalam setiap audit, audit sistem aplikasi dimulai dengan analisis awal dari lingkungan
kontrol oleh meninjau standar, kebijakan, dan prosedur yang ada. Selama audit, standar-standar
ini, kebijakan-kebijakan, dan prosedur harus dinilai untuk kelengkapan dan efisiensi
operasional. Pendahuluan analisis harus mengidentifikasi strategi organisasi dan tanggung
jawab untuk mengelola dan mengendalikan aplikasi. Mendokumentasikan pemahaman tentang
sistem aplikasi juga merupakan keharusan di tahap ini.
Rencana audit selanjutnya akan mendokumentasikan prosedur yang diperlukan untuk
melakukan pemeriksaan untuk memastikan bahwa sistem aplikasi dirancang dan
diimplementasikan secara efektif, serta beroperasi konsisten dengan kebijakan dan prosedur
organisasi. Prosedur dilakukan oleh auditor TI harus memberikan jaminan yang masuk akal
bahwa aplikasi telah dirancang dan diimplementasikan secara memadai, dan:
1. Mematuhi standar, kebijakan, dan prosedur
2. Mencapai operasi yang efisien dan ekonomis
3. Memenuhi persyaratan hukum
4. Masukkan kontrol yang diperlukan untuk melindungi dari kehilangan atau kesalahan
serius
5. Menyediakan kontrol dan jalur audit yang diperlukan untuk manajemen, auditor, dan
untuk tinjauan operasional
Tujuan
Publikasi Khusus NIST 800-53A, Revisi 4, Menilai Kontrol Keamanan dan Privasi
dalam Sistem dan Organisasi Informasi Federal (2014), memberikan penilaian menyeluruh
Komunikasi Area pertama untuk berkomunikasi adalah ruang lingkup keterlibatan auditor TI.
Sangat penting untuk melakukannya pastikan bahwa harapan manajemen tentang peran auditor
TI dipahami dan dikomunikasikan dikhususkan untuk semua peserta. Auditor TI harus
mengembangkan jalur komunikasi terbuka dengan keduanya manajemen dan pengguna. Jika
hubungan yang baik antara kelompok-kelompok ini tidak ada, informasi mungkin ditahan dari
auditor TI. Meskipun auditor IT harus memupuk kerja yang baik hubungan dengan semua
kelompok dengan tanggung jawab desain, auditor TI harus tetap independen.
Selama audit, auditor TI akan membuat rekomendasi kontrol yang dihasilkan dari
temuan yang diidentifikasi. Bergantung pada budaya organisasi, rekomendasi ini mungkin
perlu ditangani secara informal dengan masing-masing pemilik aplikasi yang bertanggung
jawab atas area atau proses yang kurang, atau secara formal dengan menghadirkan mereka ke
komite pengarah. Dalam kedua kasus tersebut, auditor TI harus selalu pertimbangkan nilai
rekomendasi kontrol versus biaya penerapan kontrol. Rekomendasi harus spesifik. Mereka
harus mengidentifikasi masalah dan bukan gejalanya, dan memungkinkan kontrol yang tepat
untuk diimplementasikan dan diuji. Temuan, risiko sebagai akibatnya temuan, dan
rekomendasi audit biasanya didokumentasikan dalam surat resmi (mis., Manajemen Surat).
Lihat Lampiran 3.9 dari Bab 3 untuk contoh format Surat Manajemen dari audit TI.
Kesimpulan
Aplikasi sangat penting bagi organisasi dalam menjalankan bisnis mereka. Mereka
mewakili tidak dapat berinvestasi untuk banyak organisasi karena mereka menyediakan fungsi
otomatis untuk mendukung secara efektif proses bisnis. Aplikasi juga menimbulkan risiko bagi
organisasi. Risiko-risiko ini seharusnya ditangani dengan pemilihan dan implementasi kontrol
aplikasi yang memadai. EUD melibatkan penggunaan aplikasi yang dikembangkan oleh
departemen, seperti spreadsheet dan database, yang sering digunakan sebagai alat dalam
melakukan pekerjaan sehari-hari. Spreadsheet ini dan database pada dasarnya merupakan
perpanjangan dari lingkungan TI dan output yang dihasilkan darinya digunakan dalam
membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan yang
diperlukan kontrol yang akan diterapkan tergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan harus mewaspadai bisnis
risiko yang terkait dengan sistem pertukaran informasi bisnis elektronik. Elektronik seperti itu
pertukaran dokumen bisnis antara mitra bisnis (atau perdagangan) menggunakan standar
format ini disebut sebagai EDI. Contoh umum informasi bisnis yang dipertukarkan melalui
EDI termasuk faktur dan pesanan pembelian, dan risiko seperti kehilangan kesinambungan
bisnis, meningkat ketergantungan pada sistem, hilangnya kerahasiaan informasi sensitif, dan
peningkatan keterpaparan terhadap penipuan adalah beberapa dari banyak hal. Beberapa
standar yang memberikan dasar untuk penilaian audit EDI termasuk ASC X12 ANSI (Amerika
Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan.
Perusahaan boleh menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk
mengganti klien tradisional mereka–aplikasi server. Aplikasi web mencakup penggunaan
browser Web pada sisi klien yang ada Spreadsheet ini dan database pada dasarnya merupakan
perpanjangan dari lingkungan TI dan output yang dihasilkan darinya digunakan dalam
membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan yang
diperlukan kontrol yang akan diterapkan tergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan harus mewaspadai bisnis
risiko yang terkait dengan sistem pertukaran informasi bisnis elektronik. Elektronik seperti itu
pertukaran dokumen bisnis antara mitra bisnis (atau perdagangan) menggunakan standar
format ini disebut sebagai EDI. Contoh umum informasi bisnis yang dipertukarkan melalui
EDI termasuk faktur dan pesanan pembelian, dan risiko seperti kehilangan kesinambungan
bisnis, meningkat ketergantungan pada sistem, hilangnya kerahasiaan informasi sensitif, dan
peningkatan keterpaparan terhadap penipuan adalah beberapa dari banyak hal. Beberapa
standar yang memberikan dasar untuk penilaian audit EDI termasuk ASC X12 ANSI (Amerika
Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan.
Perusahaan boleh menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk
mengganti klien tradisional biasanya platform independen, dan membutuhkan daya komputasi
lebih sedikit. Beberapa manfaat aplikasi Web-Ini termasuk pengurangan waktu ke pasar,
peningkatan kepuasan pengguna, dan pengurangan biaya terkait pemeliharaan dan dukungan.
Aplikasi web juga memiliki risiko yang serupa dengan yang tradisional sistem aplikasi
terpapar.
Karena risiko-risiko ini, kontrol perlu diimplementasikan untuk memastikan bahwa
aplikasi terus berlanjut memenuhi kebutuhan bisnis secara efektif dan efisien. Kontrol aplikasi
bersifat spesifik dan unik untuk aplikasi. Mereka peduli dengan akurasi, kelengkapan, validitas,
dan wewenang rasionalisasi data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan
dilaporkan. Aplikasi kontrol dipecah menjadi kontrol input, pemrosesan, dan output.
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk
memastikannya mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis
untuk secara efektif mendukung proses bisnis. Aplikasi perlu dinilai risiko untuk menentukan
tingkat keterlibatan audit. Hasil dari penilaian risiko juga meminta jumlah waktu yang
diperlukan penting untuk mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan,
dll. Persiapan rencana audit kemudian ikuti penjelasan tujuan dan prosedur audit yang akan
dilakukan. Terakhir, auditor TI mengomunikasikan temuan yang diidentifikasi di seluruh audit
plus rekomendasi kepada manajer