Umum
AUDITOR INTERNAL INI HARUS MEMILIKI pemahaman yang kuat tentang
Teknik kontrol internal TI yang mendukung proses dan sistem TI perusahaan, mulai
dari aplikasi keuangan hingga kontrol buku besar akuntansi umum proses media sosial
dan Internet yang menyeluruh. Meskipun garis-garis pemisahan kadang-kadang sulit,
kita umumnya dapat memikirkan kontrol TI pada dua tingkat luas: aplikasi kontrol yang
mencakup proses spesifik, seperti aplikasi yang dapat dibayarkan ke akun untuk
membayar faktur dari pembelian, dan apa yang disebut kontrol TI umum. Yang terakhir
ini Kategori mencakup kontrol internal yang tidak hanya terkait dengan aplikasi TI
tertentu tetapi penting untuk semua aspek infrastruktur operasi TI perusahaan.
Konsep kontrol umum TI kembali ke hari-hari awal mainframe terpusat
komputer ketika auditor internal mencari hal-hal seperti kunci pada computer pintu
tengah sebagai kontrol umum yang mencegah akses tidak sah ke perangkat keras dan
file-file pendukung kaset dan kartu punch. Hari ini, kita sering memikirkan banyak dan
beragam proses yang mencakup semua operasi TI untuk suatu perusahaan sebagai
infrastruktur TI. Karena banyaknya kemungkinan variasi dalam teknik yang digunakan,
sebenarnya tidak ada seorang pun set atau hak dan kesalahan di sini, dan perusahaan
harus membuat dan mengimplementasikan suatu set praktik terbaik yang akan
berfungsi sebagai panduan untuk membangun kontrol umum TI.
Bab ini akan melihat kontrol TI umum atau infrastruktur dari internal perspektif
audit dengan penekanan pada serangkaian praktik terbaik yang diakui di seluruh dunia
disebut Perpustakaan Infrastruktur Teknologi Informasi (ITIL®). Ini menguraikan jenis
kerangka kerja audit internal harus dipertimbangkan ketika meninjau risiko
pengendalian internal TI dan merekomendasikan peningkatan kontrol umum TI yang
efektif.
Pengetahuan tentang IT umum atau kontrol infrastruktur merupakan
persyaratan CBOK yang penting untuk semua auditor internal. Beberapa tahun yang
lalu, beberapa auditor internal berpendapat, "Saya seorang auditor internal keuangan
atau operasional dan jangan tinjau hal-hal TI — teknologi audit TI harus meninjau
masalah kontrol umum tersebut. " Dengan penggunaan IT dan Internet untuk kami
semua aspek operasi perusahaan, semua auditor internal harus memiliki tingkat CBOK
pemahaman tentang IT umum atau kontrol infrastruktur serta masalah IT lainnya
dibahas dalam Bagian Lima bab berikut.
19.1 PENTINGNYA KONTROL UMUM
Auditor internal menjadi terlibat dengan prosedur TI awal — kemudian disebut
pemrosesan data kontrol — ketika aplikasi akuntansi pertama kali diinstal pada
komputer punch-card awal sistem. Sistem-sistem awal sering dipasang di kamar
berdinding kaca di dalamnya lobi perusahaan untuk mengesankan pengunjung dengan
kecanggihan perusahaan. Namun demikian sistem awal tidak terlalu canggih menurut
standar saat ini, dan internal auditor, yang sering tidak terbiasa dengan teknologi
pemrosesan data, akan “mengaudit di sekitar komputer. " Artinya, auditor internal
mungkin melihat prosedur kontrol input dan output aplikasi untuk memeriksa apakah
input seimbang dengan output laporan. Di era ini ada sedikit pertanyaan tentang
akurasi dan kontrol laporan diproduksi oleh sistem IT. Auditor internal hanya akan
berkeliling komputer yang sebenarnya prosedur pemrosesan program.
Seperti yang kita diskusikan di Bab 11, banyak hal berubah pada awal 1970-an
dengan Ekuitas Penipuan dana. Auditor eksternal menjalankan program perangkat
lunak audit mereka sendiri terhadap Equity File pendanaan untuk menemukan
penipuan besar-besaran dengan data yang tidak valid dicatat pada file sistem. Di
setelah urusan Pendanaan Ekuitas, organisasi seperti American Institute Akuntan
Publik (AICPA) Bersertifikat dan Institut Auditor Internal (IIA) mulai menekankan
pentingnya meninjau apa yang kemudian disebut pemrosesan data operasi dan kontrol
aplikasi. Spesialisasi profesional baru, yang disebut audit komputer, diluncurkan.
Pada masa-masa awal pemrosesan data bisnis, sebagian besar sistem
komputer dipertimbangkan menjadi "besar," dan set standar tujuan dan prosedur
kontrol auditor dikembangkan untuk meninjau kontrol. Sementara banyak yang masih
berlaku hari ini, auditor internal harus melihat tujuan pengendalian TI ini dari perspektif
yang agak berbeda ketika meninjau kontrol dalam lingkungan TI modern. Profesi mulai
memikirkan IT kontrol dalam hal kontrol dalam aplikasi spesifik dan apa yang disebut
umum atau kontrol infrastruktur, kontrol yang menyebar di sekitar semua sistem
informasi operasi. Kontrol umum atau infrastruktur TI mencakup semua operasi TI dan
mencakup:
Keandalan pemrosesan sistem informasi. Kontrol yang baik harus ada
tempatkan semua operasi sistem TI. Dibahas sepanjang bab ini, ini kontrol
sering tergantung pada sifat dan manajemen ukuran dan jenis yang
ditentukan sistem yang digunakan.
Integritas data. Proses harus ada untuk memastikan tingkat integritas
berakhir semua data digunakan dalam berbagai program aplikasi. Ini adalah
kombinasi dari sang jenderal kontrol operasi dalam bab ini serta kontrol
aplikasi spesifik yang dibahas dalam Bab 22.
Integritas program. Program baru atau yang direvisi harus dikembangkan
dan dikelola dengan cara yang terkontrol dengan baik untuk memberikan
hasil pemrosesan yang akurat. Ini masalah kontrol meliputi keseluruhan
proses pengembangan program aplikasi dan adalah bagian dari diskusi kami
tentang praktik terbaik ITIL®.
Kontrol pengembangan dan implementasi sistem yang tepat.Kontrol
harus ada untuk memastikan pengembangan tertib yang baru dan direvisi
sistem Informasi. Masalah kontrol ini juga dibahas dalam Bab 22.
Kelanjutan pemrosesan. Kontrol harus ada di tempat untuk mendukung
sistem kunci dan untuk memulihkan operasi jika terjadi pemadaman yang tak
terduga — apa yang disebut perencanaan pemulihan bencana dan sering
dikenal hari ini sebagai kelangsungan bisnis perencanaan. Masalah kontrol
ini dibahas dalam Bab 24.
Bab ini membahas kontrol umum atas operasi sistem informasi in-house mulai
dari sistem client-server hingga operasi desktop dan juga yang lebih tua, operasi
sistem komputer mainframe yang lebih besar yang masih ada di beberapa lingkungan.
Meskipun ada perbedaan antara ukuran dan manajemen yang berbeda ini sistem,
semua harus tunduk pada kebutuhan kontrol umum yang sama. Sebagai tambahannya
membahas prosedur kontrol umum, bab ini juga membahas beberapa komputer terkait
jenis dan karakteristik perangkat keras. Semoga diskusi ini mendorong auditor internal
untuk meminta atau mencari informasi yang benar dalam suatu informasi lingkungan
sistem.
19.2 SERVER KLIEN DAN SISTEM KECIL UMUM KONTROL IT
Auditor internal secara tradisional memiliki masalah dalam mengevaluasi kontrol umum
dalam skala kecil Pengoperasian TI, mulai dari sistem client-server hingga sistem
desktop perusahaan dan smartphone - aplikasi nirkabel berbasis. Kontrol umum ini
timbul masalah kesadaran karena sistem kecil sering dipasang dengan staf terbatas
secara lebih ramah pengguna jenis lingkungan. Namun, auditor internal terkadang
masih mencari TI umum kontrol dalam hal lingkungan TI mainframe yang lebih
tradisional dan besar yang dibahas di bagian berikut. Artinya, auditor internal mencari
fisik yang kuat keamanan, revisi yang baik, dan kontrol pemisahan tugas yang tepat
yang seringkali tidak ada atau hanya sebagian diimplementasikan dalam lingkungan
sistem kecil yang khas. Ini kurang pendekatan formal mungkin memadai ketika sistem
bisnis atau desktop kecil ini digunakan terutama untuk akuntansi kantor tunggal atau
aplikasi risiko rendah serupa. Kapasitas besar dan kemampuan sistem kecil saat ini,
pertumbuhan Internet, dan transisi ke komputasi client-server telah membuat sistem
kecil ini penting bagian dari kerangka kendali TI. Ketika dihadapkan dengan evaluasi
kontrol di kecil ini pengaturan sistem komputer, auditor internal kadang-kadang kembali
ke tradisional, hampir semua jenis rekomendasi kontrol buku masak. Artinya, mereka
merekomendasikan bahwa sistem desktop ditempatkan di ruang terkunci atau yang
kecil, pengembangan TI dua orang staf diperluas menjadi empat untuk memastikan
pemisahan tugas yang tepat. Sementara di sana mungkin situasi di mana kontrol
seperti itu sesuai, seringkali mereka tidak berlaku di pengaturan bisnis kecil. Audit
internal dapat dengan mudah kehilangan kredibilitas jika rekomendasi kontrol mereka
tidak sesuai dengan risiko yang ditemukan dalam pengaturan sistem komputer kecil.
Kontrol internal atas yang terkecil dari sistem TI ini, seperti berbasis smartphone dan
tablet aplikasi, dibahas pada Bab 20 tentang kontrol internal komputasi nirkabel.
Bab ini dimulai dengan diskusi tentang perbedaan antara umum, saling
tergantung kontrol dan kontrol aplikasi dalam sistem besar. Perbedaan-perbedaan ini
sama berlaku untuk kecil, sistem berbasis Internet dan konfigurasi server-klien. Intern
auditor harus memahami kontrol umum yang mengelilingi sistem komputer kecil.
Kontrol umum yang memadai diperlukan untuk menempatkan ketergantungan pada
aplikasi tertentu kontrol. Perusahaan menerapkan peningkatan jumlah, jaringan, dan
sistem untuk mendukung unit bisnis kecil, komputasi departemen spesifik, atau
menyediakan TI untuk seluruh perusahaan. Meskipun ukurannya kecil, sistem ini
sering kali mewakili signifikan masalah kontrol umum.
Interne
t
Di banyak perusahaan saat ini, sistem lain yang sering dikonfigurasikan dengan
klien-server dapat ditemukan di area di luar operasi TI dan mungkin berlokasi di
laboratorium teknik, operasi kontrol manufaktur, departemen pemasaran, dan di tempat
lain. Sistem ini dapat digunakan untuk kontrol proses, pekerjaan desain otomatis,
pemrosesan analisis statistik, atau banyak aplikasi lainnya. Beberapa sepenuhnya
didedikasikan untuk aplikasi spesifik, sementara yang lain dapat digunakan untuk
berbagai tugas dalam fungsi yang ditugaskan. Banyaknya mesin-mesin TI telah
muncul di banyak perusahaan karena biaya yang relatif rendah dari mesin-mesin
tersebut, keakraban banyak profesional dengan teknik-teknik TI saat ini, dan
ketidakmampuan departemen-departemen TI tradisional untuk mendukung kebutuhan-
kebutuhan khusus TI.
Meskipun sistem ini tidak digunakan untuk kebutuhan informasi bisnis
tradisional, seperti memelihara catatan piutang usaha, mereka sering mendukung
aplikasi penting untuk perusahaan. Sistem ini sering ditemukan di lingkungan jaminan
kualitas yang dibahas dalam Bab 31. Misalnya, komputer teknik dapat mendukung
pekerjaan desain berbantuan komputer. Cadangan sistem dan masalah integritas di
lingkungan ini mungkin sama besarnya dengan di pusat bisnis TI yang khas. Peran
audit internal sehubungan dengan operasi TI khusus akan bervariasi sesuai dengan
arahan manajemen dan tujuan tinjauan audit internal. Sementara beberapa
perusahaan audit akan memiliki sedikit keterlibatan dengan mengulas sistem komputer
khusus, kendali TI yang ditinjau di sini sering kali dapat memainkan peran penting
dalam mendukung pemahaman audit internal tentang prosedur pengendalian dan
dalam kegiatan audit operasional lainnya.
Sebelum mencoba meninjau sistem komputer yang khusus seperti itu, audit
internal harus memahami secara mendalam fungsi-fungsi operasi itu. Sebagai contoh,
auditor internal yang berencana untuk meninjau desain dan operasi komputer yang
dibantu komputer khusus memerlukan pemahaman umum tentang terminologi, cara
kerja umum, dan tujuan sistem ini. Ulasan sistem TI khusus tidak direkomendasikan
untuk auditor internal yang kurang berpengalaman. Untuk menemukan analogi kontrol
dari situasi TI bisnis normal dan menerjemahkannya ke lingkungan kontrol khusus,
auditor harus cukup berpengalaman dalam meninjau pusat-pusat komputer IT bisnis,
apakah itu operasi besar atau kecil. Seiring waktu, audit internal akan menghadapi
lebih banyak operasi komputer khusus ini. Auditor internal yang kreatif dapat
memberikan kontribusi yang meningkat kepada manajemen dengan melakukan
tinjauan operasional atas pusat-pusat komputer ini secara berkala.
Bahkan dengan kontrol kompensasi ini dalam sistem TI bisnis kecil modern,
audit internal juga harus menyadari potensi risiko dan kelemahan kontrol. Masih ada
departemen TI di mana manajer yang bertanggung jawab mengimplementasikan
banyak aplikasi, memiliki tanggung jawab untuk manajemen jaringan, mengendalikan
semua kata sandi, dan tampaknya menjadi satu-satunya orang di perusahaan yang
memahami aplikasi TI. Sementara staf terbatas mungkin dapat diterima dalam
beberapa keadaan, perusahaan menghadapi risiko kontrol jika semua pengetahuan IT
diberikan hanya dalam satu orang. Gejala kelemahan kontrol lainnya di perusahaan IT
kecil yang biasanya tidak ada di departemen besar meliputi:
Karakteristik ini, meskipun tidak spesifik hanya untuk sistem warisan besar,
memberikan beberapa panduan untuk membantu menentukan apakah auditor
internal bekerja dengan lingkungan sistem TI yang besar. Ada banyak variasi
dalam apa yang dapat didefinisikan sebagai sistem komputer besar atau kecil.
Sementara tujuan kontrol audit internal pada dasarnya akan tetap sama untuk
keduanya, prosedur kontrol akan berbeda. Teknik untuk mengaudit sistem kecil
telah dibahas sebelumnya di bagian 19.2. Jika auditor internal memiliki keraguan
tentang apakah tinjauan TI harus disesuaikan dengan sistem besar atau kecil,
pendekatan teraman adalah mempertimbangkan sistem untuk ditinjau sebagai
besar, kompleks.
MEMPERLIHATKAN 19.3 Sistem Informasi Survei Besar Pengendalian Umum IT Kontrol Besar
1. Dapatkan informasi dasar tentang lingkungan melalui diskusi eksplorasi awal dengan
manajemen sistem informasi (SI).
2. Tinjau bagan organisasi yang diterbitkan untuk menentukan bahwa ada pemisahan fungsi
yang tepat antara operasi, sistem, dan manajemen basis data. Diskusikan potensi konflik
dengan manajemen IS.
3. Dapatkan uraian tugas personel IS utama dan tinjau dokumentasi personel ini untuk kualifikasi,
definisi tugas, dan tanggung jawab yang memadai dan sesuai. Pastikan bahwa keamanan dan
kontrol akuntabilitas ditugaskan secara tepat kepada personil kunci.
4. Berdasarkan diskusi dalam manajemen baik di dalam maupun di luar organisasi SI, nilai
apakah struktur organisasi selaras dengan strategi bisnis untuk memastikan pemberian
layanan SI yang diharapkan.
5. Tinjau kebijakan IS dan prosedur yang dipilih untuk kelengkapan dan relevansi dengan
penekanan khusus pada keamanan, perencanaan kontinuitas bisnis, operasi, dan
pengembangan sistem baru.
6. Tanyakan apakah tanggung jawab telah diberikan untuk menjaga kebijakan dan prosedur
tetap terkini, untuk mendidik / mengomunikasikannya kepada anggota staf, dan untuk
memantau kepatuhan terhadapnya.
10. Menentukan bahwa ada proses untuk membuat perubahan pada program aplikasi dalam
produksi, termasuk pengujian dan penandatanganan dokumentasi, dan persetujuan formal untuk
mengimplementasikan perubahan menjadi produksi.
11. Memastikan bahwa tanggung jawab untuk keamanan fisik dan logis telah dibagikan secara tepat
dan bahwa ada prosedur terdokumentasi yang sesuai.
12. Tinjau prosedur yang berlaku untuk mengoperasikan dan memelihara jaringan bersama dengan
router yang terpasang, dalam hal konfigurasi perangkat dan perubahan parameter perangkat
lunak, dan memastikan bahwa prosedur untuk mengalokasikan dan memelihara konfigurasi
jaringan dilakukan secara terjadwal dan sesuai manajemen perubahan.
13. Tinjau rencana pemulihan bencana / kesinambungan untuk memastikan bahwa rencana rinci
untuk pemulihan operasi telah disiapkan, bahwa rencana tersebut didokumentasikan,
dikomunikasikan kepada personel yang tepat, dan diuji dengan benar secara berkala.
14. Tinjau anggaran IS dan biaya aktual serta kinerja terhadap yang diukur untuk menilai kinerja
keuangan. Diskusikan alasan perbedaan apa pun.
komponen elektronik, pusat komputer modern membutuhkan ruang jauh lebih sedikit
daripada yang dibutuhkan sebelumnya. Sebagai contoh, sistem mainframe legacy IBM
yang besar hingga pertengahan 1990-an sering membutuhkan sistem pendingin air
yang membutuhkan pipa ledeng yang luas. Kemajuan teknologi telah menghilangkan
kebutuhan akan banyak dari sistem yang rumit, besar, dan mahal ini.
Selain itu, ada perubahan signifikan dalam desain banyak komponen perangkat
TI. Drive tape magnetik yang dulu umum, misalnya, kini sudah tidak ada lagi, dan
bahkan kartrid yang kemudian menjadi lebih umum sekarang sering dikonfigurasi
sebagai drive solid-state kecil. Disk drive masih digunakan tetapi sering dikonfigurasi
sebagai array disk kecil dengan data yang jauh lebih besar kapasitas penyimpanan.
Pencetakan hasil masih dilakukan pada printer laser berkecepatan tinggi jarak jauh,
tetapi perusahaan semakin berusaha untuk pergi tanpa kertas dan
mengkomunikasikan laporan sebagai file digital. Auditor internal harus memahami jenis
peralatan TI yang digunakan dengan meminta bagan konfigurasi perangkat keras dari
manajemen operasi. Walaupun audit internal biasanya tidak dalam posisi untuk
menentukan, misalnya, model disk drive yang benar, bagan tersebut akan
menunjukkan bahwa manajemen telah melakukan perencanaan dalam konfigurasi
perangkat keras komputer mereka. Grafik ini sering diisi dengan nomor model dan
bukan penjelasan dari peralatan. Auditor internal harus selalu bertanya tentang sifat
peralatan ini.
Sementara jumlah dan jenis perangkat penyimpanan dan peralatan lainnya
akan bervariasi, auditor internal dapat berharap untuk menemukan karakteristik yang
sama di semua fasilitas operasi. Mereka harus membantu audit internal untuk
mengembangkan prosedur untuk menguji kontrol yang sesuai. Ketika auditor pertama
kali mulai meninjau kontrol umum TI, mereka sering mencari hal-hal seperti pintu ruang
komputer yang terkunci, alat pemadam kebakaran, dan kontrol batch yang tepat.
Kontrol seperti itu sekarang ada sebagai hal yang biasa di pusat-pusat komputer
besar. Sementara audit internal harus selalu mengingat pengendalian ini, tujuan dan
prosedur pengendalian umum lainnya juga harus dipertimbangkan.
Semua nama atau akronim khusus ini dapat menyebabkan auditor mengalami
beberapa masalah komunikasi. Pengguna sistem komputer mungkin tahu apa yang
dilakukan produk tetapi mungkin lupa apa singkatan sebenarnya. Selama spesialis
sistem dan auditor memahami fungsi-fungsi produk perangkat lunak, ada sedikit
kebutuhan untuk khawatir tentang arti spesifik akronim. Auditor internal tidak boleh
berkecil hati oleh bahasa asing ini istilah dan nama perangkat lunak komputer khusus.
Ketika personel teknis TI berbicara dalam techno-jargon mereka sendiri, seorang
auditor internal harus selalu meminta klarifikasi ketika tidak pasti.
Ide dasarnya adalah untuk audit internal untuk memahami bagaimana fungsi
operasi TI di pusat data ditinjau. Auditor internal yang efektif harus melalui serangkaian
jenis pertanyaan ini sebelum setiap tinjauan. Fungsi operasi sistem besar dapat
memasang prosedur baru dari waktu ke waktu, mengubah atau menambah
kompleksitas pada struktur kontrol. Prosedur audit yang akan dilakukan dalam tinjauan
terperinci dari kontrol umum untuk sistem komputer lama dapat luas, tergantung pada
ukuran dan ruang lingkup audit. Tampilan 19.4 berisi serangkaian tujuan kontrol
terbatas untuk jenis tinjauan sistem besar ini.
Infr
Bisnis
astr
Manajemen Aplikasi
Perminta
Prosedur Permintaan
an
Layanan
layanan
Investigasi dan
Diagnosis
Penutupan Insiden
PEMPERLIHATKAN 19.6 Siklus Hidup Manajemen Insiden ITIL®
Setelah insiden masuk, proses investigasi dan diagnosis harus dimulai. Jika
meja layanan tidak dapat menyelesaikan insiden, itu harus ditugaskan ke tingkat
dukungan TI lainnya untuk resolusi. Namun, semua pihak yang bekerja pada insiden
tersebut harus menyimpan catatan tindakan mereka dengan memperbarui file log
insiden umum.
Beberapa insiden dapat diselesaikan melalui "quick fi x" oleh meja layanan,
yang lain dengan solusi masalah yang lebih formal, atau dalam kasus masalah yang
lebih signifikan, dengan bekerja di sekitar untuk mendapatkan sesuatu kembali dalam
operasi parsial ditambah dengan permintaan resmi untuk perubahan (RFC) ke sistem,
ke vendor, atau pihak apa pun yang perlu untuk memperbaiki masalah yang signifikan.
Dalam hal apa pun, upaya harus dikerahkan untuk memperbaiki masalah dengan
fungsi manajemen insiden mempertahankan kepemilikan masalah sampai
penyelesaian. Dokumentasi yang solid harus dipertahankan untuk melacak insiden
tersebut hingga resolusi. Insiden dapat ditutup secara formal setelah masalah
diselesaikan, atau jika tidak mudah dipecahkan, insiden tersebut harus diteruskan ke
fungsi proses manajemen masalah seperti yang dibahas nanti.
Semua proses ITIL® agak terkait satu sama lain, dan kami telah memilih
manajemen insiden sebagai satu untuk didiskusikan. Dalam banyak kasus,
manajemen insiden mewakili garis pertama antara pengguna layanan TI dan TI itu
sendiri. Diorganisasikan dengan benar, manajemen insiden harus lebih dari sekadar
meja bantuan pada waktu sebelumnya ketika pengguna dipanggil dengan masalah
tetapi tidak mendapatkan banyak bantuan di luar mungkin mengatur ulang kata sandi.
Manajemen insiden adalah titik kontak pertama antara pelanggan — pengguna — dan
fungsi TI secara keseluruhan. Insiden, hasil dari kegagalan atau kesalahan dalam
infrastruktur TI, menghasilkan variasi aktual atau potensial dari rencana operasi
layanan. Kadang-kadang penyebab insiden ini dapat terlihat dan dapat diatasi atau
diperbaiki tanpa perlu penyelidikan lebih lanjut. Dalam situasi lain mungkin ada
kebutuhan untuk perbaikan perangkat keras atau perangkat lunak, suatu masalah yang
sering membutuhkan waktu untuk diimplementasikan. Solusi jangka pendek bisa
berupa penyelesaian, perbaikan cepat untuk kembali beroperasi, atau RFC formal
untuk proses manajemen perubahan untuk menghilangkan kesalahan. Contoh
penyelesaian jangka pendek mungkin hanya menginstruksikan pelanggan untuk mem-
boot ulang komputer pribadi atau me-reset jalur komunikasi, tanpa secara langsung
menangani penyebab mendasar dari insiden tersebut.
Jika penyebab yang mendasari insiden tidak dapat diidentifikasi, seringkali
tepat untuk mengangkat catatan masalah untuk kesalahan yang tidak diketahui dalam
infrastruktur. Biasanya catatan masalah dimunculkan hanya jika penyelidikan
dibenarkan, dan dampak aktual dan potensial harus dinilai. Pemrosesan catatan
masalah yang berhasil akan menghasilkan identifikasi kesalahan yang mendasarinya,
dan catatan tersebut kemudian dapat dikonversi menjadi kesalahan yang diketahui
begitu suatu penyelesaian telah dikembangkan dan / atau RFC diajukan.
1. Jumlah RFC meningkat dan dampak RFC tersebut pada ketersediaan dan
keandalan layanan TI secara keseluruhan tercakup.
2. Jumlah waktu yang digunakan untuk investigasi dan diagnosis untuk
berbagai jenis masalah oleh unit organisasi atau vendor.
3. Jumlah dan dampak dari insiden yang terjadi sebelum akar masalah
diselesaikan atau kesalahan yang diketahui dikonfirmasi.
4. Rencana untuk penyelesaian masalah terbuka terkait dengan orang dan
persyaratan sumber daya lainnya serta biaya terkait dan jumlah yang
dianggarkan.
Proses manajemen masalah dukungan layanan ITIL® adalah area penting bagi
auditor internal untuk dipertimbangkan dan dipahami ketika menilai kesehatan
keseluruhan operasi infrastruktur TI. Proses manajemen insiden yang efisien
diperlukan untuk menerima panggilan pelanggan dan mengambil tindakan korektif
segera, tetapi proses manajemen masalah yang efektif akan melangkah lebih jauh
untuk menganalisis dan menyelesaikan masalah, memulai RFC di mana perlu dan
sebaliknya meningkatkan kepuasan pelanggan TI.
5. Dengan menggunakan alat pelaporan CMDB yang terinstal, tentukan inventaris item
konfigurasi (CI) untuk satu sistem yang dipilih dan secara fisik lacak sampel CI yang
dilaporkan ke komponen konfigurasi aktual.
6. Menentukan proses untuk menghubungkan proses bisnis manajemen konfi gurasi dan
prosedur dengan alat CMDB.
7. Uji C MDB dan alat pendukung lainnya untuk menentukan komponen utama, perangkat
lunak, dan dokumentasi telah diimplementasikan dan dikendalikan pada CMDB.
8. Tinjau kecukupan fasilitas untuk menyediakan area penyimpanan yang aman untuk
mengelola C Is (mis., Kabinet, perpustakaan yang dikendalikan, dan direktori).
9. Menilai kecukupan proses untuk berkomunikasi dan melatih staf tentang pentingnya dan
penggunaan manajemen konfigurasi.
10.Tinjau proses manajemen masalah untuk menentukan tingkat dan kesesuaian penggunaan
CMDB mereka untuk menyelesaikan masalah.
11.Menentukan bahwa akses dan pembaruan kontrol yang sesuai tersedia untuk mencegah
penggunaan CMDB yang tidak sah atau tidak pantas.
12.Tetapkan bahwa CMDB menerima cadangan yang memadai dan bahwa itu adalah bagian
dari rencana kontinuitas prosedur pencadangan dan pemulihan sumber daya utama
Dukungan Layanan Manajemen Perubahan
Proses manajemen masalah, yang dibahas sebelumnya, seringkali menghasilkan
perlunya perubahan TI, mulai dari perubahan program hingga revisi proses yang
meningkatkan layanan atau mengurangi biaya. Tujuan dari manajemen perubahan
ITIL® adalah untuk menggunakan metode dan prosedur standar untuk penanganan
semua perubahan yang efisien dan cepat, untuk meminimalkan dampaknya terhadap
kualitas layanan dan operasi sehari-hari. Proses manajemen perubahan ITIL® meliputi:
Poin terakhir di sini adalah perhatian khusus untuk auditor internal. Terlalu
sering, perangkat keras dan lunak TI berubah dengan sedikit perhatian yang diberikan
untuk juga mengubah dokumentasi pendukung. Perubahan pada komponen TI apa
pun — misalnya, perangkat lunak aplikasi, dokumentasi, atau prosedur — harus
tunduk pada proses manajemen perubahan formal.
Auditor internal sering menemui fungsi-fungsi TI di mana proses manajemen
perubahan paling tidak serampangan. Contoh di sini adalah perubahan pada aplikasi
tanpa memikirkan implikasinya pada infrastruktur TI secara keseluruhan, perbaikan
manajemen insiden yang membuat perubahan lain, atau permintaan manajemen
senior untuk perubahan untuk menyelesaikan masalah jangka pendek atau langsung.
Proses manajemen perubahan formal yang meninjau dan menyetujui setiap perubahan
yang diajukan akan hampir selalu meningkatkan TI dan proses kontrol internal
perusahaan. Proses manajemen perubahan ITIL® harus dikaitkan dengan erat dengan
manajemen konfigurasi, dibahas sebelumnya, untuk memastikan bahwa informasi
mengenai implikasi yang mungkin dari perubahan yang diajukan tersedia, dan segala
kemungkinan dampak terdeteksi dan disajikan dengan tepat.
Proses manajemen perubahan harus memiliki visibilitas tinggi dan saluran
komunikasi terbuka untuk mempromosikan transisi yang lancar ketika perubahan
terjadi. Untuk meningkatkan proses ini, banyak fungsi TI telah melembagakan dewan
penasehat perubahan formal (CAB), yang terdiri dari orang-orang dari TI dan fungsi
lain dalam perusahaan, untuk meninjau dan menyetujui perubahan. CAB juga
membantu dalam penilaian dan memprioritaskan perubahan. Ini harus diberikan
tanggung jawab untuk memastikan bahwa semua perubahan dinilai secara memadai
dari sudut pandang bisnis dan teknis. Untuk mencapai campuran ini, CAB harus terdiri
dari tim dengan pemahaman yang jelas tentang kebutuhan bisnis pelanggan serta
pengembangan teknis dan fungsi dukungan. Dipimpin oleh manajer perubahan yang
bertanggung jawab, CAB harus terdiri dari pelanggan TI, pengembang aplikasi,
berbagai pakar / konsultan teknis yang sesuai, dan perwakilan kontraktor atau pihak
ketiga mana pun jika dalam situasi outsourcing. Meskipun CAB harus bertemu secara
teratur untuk meninjau dan menjadwalkan perubahan yang diusulkan, itu tidak boleh
bertindak sebagai penghambat operasi TI. Seharusnya ada untuk menyediakan
penjadwalan tertib dan pengenalan semua jenis perubahan infrastruktur TI.
Proses manajemen layanan keseluruhan yang efisien membutuhkan
kemampuan untuk mengubah berbagai hal dengan tertib, tanpa membuat kesalahan
dan keputusan yang salah. Proses manajemen perubahan yang efektif sangat
diperlukan untuk infrastruktur TI yang efektif. Ketika meninjau kontrol internal TI,
auditor internal harus mencari proses manajemen perubahan yang efektif yang
menyediakan:
Penyelarasan layanan TI yang lebih baik dengan persyaratan bisnis
Peningkatan visibilitas dan komunikasi perubahan baik untuk staf pendukung
bisnis maupun layanan
Peningkatan penilaian risiko
Dampak negatif yang berkurang dari perubahan kualitas layanan
Penilaian yang lebih baik dari biaya perubahan yang diusulkan sebelum
mereka terjadi
Lebih sedikit perubahan yang harus didukung, bersama dengan peningkatan
kemampuan untuk melakukan ini lebih mudah bila perlu
Peningkatan produktivitas pelanggan TI, melalui lebih sedikit gangguan dan
layanan berkualitas tinggi
Kemampuan TI yang lebih besar untuk menyerap volume besar perubahan
Proses manajemen perubahan yang efektif adalah komponen penting dari
kontrol infrastruktur TI. Proses harus menyelaraskan erat dengan proses utama lainnya
dalam infrastruktur TI: perubahan, konfigurasi, kapasitas, dan manajemen rilis.
CATATAN
1. Total hash adalah penjumlahan dari nilai numerik dan alfabet untuk beberapa nilai
komputer. Ini digunakan sebagai total kontrol.
2. Publikasi ITIL® tersedia dari agen Inggris yang disebut Kantor Alat Tulis dan dapat
ditemukan melalui www.tsoshop.co.uk.
34.6 BAGIAN ENAM: AUDIT INTERNAL DAN TATA KELOLA USAHA PERSYARATAN
CBOK
Telah ada pengakuan yang berkembang tentang pentingnya penipuan tingkat
perusahaan, dan masalah etika telah membuat banyak aspek dunia bisnis semakin
kompleks dan telah menambah kebutuhan CBOK auditor internal. Keempat bab di
Bagian Enam melihat pentingnya isu-isu GRC — tata kelola, risiko, dan kepatuhan —
serta bidang terkait di mana auditor internal harus mengembangkan pemahaman
umum CBOK.
Bab 25 membahas komunikasi dan hubungan audit internal dengan komite
audit dewan direksi. Walaupun ini merupakan persyaratan penting, terutama untuk
CAE, semua anggota fungsi audit internal harus memiliki pemahaman CBOK umum
tentang peran komite audit perusahaan mereka dalam operasi audit internal, dan
khususnya peran itu dalam perusahaan spesifik mereka sendiri. Sekali lagi, ini adalah
area di mana semua auditor internal perlu mengembangkan pemahaman CBOK yang
baik tentang program yang efektif dan mengapa mereka penting untuk audit internal.
Dalam pengertian yang serupa, Bab 26 membahas etika perusahaan dan
program whistleblower, inisiatif penting di banyak perusahaan. Dimulai dengan kode
etik yang kuat yang mencakup semua pihak, eksekutif senior perusahaan harus
menyiarkan pesan nada-at-the-top tentang pentingnya kebijakan ini. Auditor internal
harus memiliki keterampilan CBOK untuk mencari kebijakan yang efektif dalam
tinjauan mereka dan juga harus menjadikan mereka bagian dari kegiatan audit internal
normal mereka. Ini benar-benar persyaratan CBOK, bukan bidang pengetahuan
umum.
Memahami deteksi dasar penipuan dan kontrol pencegahan, seperti dibahas
dalam Bab 27, harus menjadi persyaratan CBOK untuk semua auditor internal. Selama
bertahun-tahun, standar profesional tidak meminta auditor internal untuk memiliki
keterampilan mencari kecurangan. Banyak hal telah berubah. Sementara auditor
internal tipikal saat ini tidak perlu licik, semua auditor internal harus mendapatkan
tingkat keterampilan CBOK yang baik dalam meninjau dan mendeteksi indikator-
indikator merah yang menunjukkan kemungkinan kecurangan, sebagai bagian dari
prosedur tinjauan investigasi kecurangan audit internal audit umum.
Bab 27 memperkenalkan pentingnya program-program GRC yang efektif dalam
suatu perusahaan. Sementara konsep tata kelola, penilaian risiko, dan kepatuhan
terhadap peraturan dan peraturan perusahaan merupakan elemen penting dari semua
kegiatan audit internal, auditor internal di seluruh dunia harus mengembangkan
pemahaman CBOK tentang proses dan aturan yang mengatur kepatuhan di
perusahaan mereka sendiri serta dalam hal yang relevan negara dan lokasi.
Bab
Bab
Bab
Bab
Bab
Kebutuhan Pengetahuan
Auditor Internal CBOK Area Konsentrasi CBOK Pentingnya CBOK Bab Ref
Manajemen risiko COSO ERM Pentingnya Kontrol Internal Persyaratan Pengetahuan Bab 7
Audit Internal
Prinsip-prinsip kontrol internal Pentingnya Kontrol Internal Persyaratan Pengetahuan Bab 4
COSO Audit Internal
Kerangka kerja pengendalian Pentingnya Kontrol Internal Persyaratan Pengetahuan Bab 3
internal COSO Audit Internal
Definisi audit internal Yayasan Audit Internal Persyaratan Pengetahuan Bab 1
Audit Internal
Mengembangkan program audit Merencanakan dan Melakukan Persyaratan Pengetahuan Bab 8
Audit Internal Audit Internal
Pengujian rencana pemulihan Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 24
bencana Internal Audit Internal
Mendokumentasikan hasil audit Mengatur dan Mengelola Persyaratan Pengetahuan Bab 15
internal Kegiatan Audit Internal Audit Internal
Mendokumentasikan hasil audit Mengatur dan Mengelola Persyaratan Pengetahuan Bab 17
internal Kegiatan Audit Internal Audit Internal
Kontrol internal manajemen Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 21
konten perusahaan Internal Audit Internal
Keakraban dengan standar audit Konvergensi Profesional Audit Pemahaman Umum Bab 31
jaminan kualitas ASQ Internal
Keakraban dengan masalah Dampak Sistem TI pada Audit Pemahaman Umum Bab 23
malware dan peretasan TI Internal
Keakraban dengan kerangka kerja Dampak Sistem TI pada Audit Pemahaman Umum Bab 23
cybersecurity NIST Internal
Pentingnya kode etik perusahaan Masalah Tata Kelola Persyaratan Pengetahuan Bab 26
Perusahaan Audit Internal Audit Internal
Pentingnya program kepatuhan Masalah Tata Kelola Pemahaman Umum Bab 26
perusahaan Perusahaan Audit Internal
Latar belakang dan riwayat audit Yayasan Audit Internal Pemahaman Umum Bab 1
internal
Piagam audit internal Mengatur dan Mengelola Persyaratan Pengetahuan Bab 14
Kegiatan Audit Internal Audit Internal
Kode etik audit internal Merencanakan dan Melakukan Persyaratan Pengetahuan Bab 9
Audit Internal Audit Internal
Standar profesional audit internal Merencanakan dan Melakukan Persyaratan Pengetahuan Bab 9
Audit Internal Audit Internal
Tinjauan jaminan kualitas audit Konvergensi Profesional Audit Persyaratan Pengetahuan Bab 33
internal Internal Audit Internal
Teknik jaminan kualitas audit Merencanakan dan Melakukan Pemahaman Umum Bab 12
internal Audit Internal
Kertas kerja audit internal Mengatur dan Mengelola Persyaratan Pengetahuan Bab 17
Kegiatan Audit Internal Audit Internal
Alat dokumentasi kontrol internal Merencanakan dan Melakukan Persyaratan Pengetahuan Bab 8
Audit Internal Audit Internal
MEMPERLIHATKAN 34.1 (Lanjutan )
Kebutuhan Pengetahuan
Auditor Internal CBOK Area Konsentrasi CBOK Pentingnya CBOK Bab Ref
Standar audit internasional Konvergensi Profesional Audit Persyaratan Pengetahuan Bab 33
Internal Audit Internal
Kerangka Praktik Profesional Merencanakan dan Persyaratan Pengetahuan Bab 9
Internasional (IPPF) Melakukan Audit Internal Audit Internal
Standar audit kualitas ISO 9000 Konvergensi Profesional Audit Pemahaman Umum Bab 33
Internal
Standar ISO untuk kualitas Konvergensi Profesional Audit Pemahaman Umum Bab 31
Internal
Standar tata kelola TI Konvergensi Profesional Audit Persyaratan Pengetahuan Bab 34
Internal Audit Internal
Persyaratan CBOK audit internal Konvergensi Profesional Audit Persyaratan Pengetahuan Bab 27
modern Internal Audit Internal
Melakukan investigasi penipuan Masalah Tata Kelola Persyaratan Pengetahuan Bab 13
Perusahaan Audit Internal Audit Internal
Merencanakan dan menetapkan Merencanakan dan Persyaratan Pengetahuan Bab 8
area yang akan diaudit Melakukan Audit Internal Audit Internal
Menyiapkan laporan audit Mengatur dan Mengelola Persyaratan Pengetahuan Bab 18
Kegiatan Audit Internal Audit Internal
Mempersiapkan diagram alur audit Mengatur dan Mengelola Persyaratan Pengetahuan Bab 17
internal Kegiatan Audit Internal Audit Internal
Pemodelan proses Mengatur dan Mengelola Persyaratan Pengetahuan Bab 17
Kegiatan Audit Internal Audit Internal
Badan pengetahuan manajemen Mengatur dan Mengelola Pemahaman Umum Bab 16
proyek (PMBOK) Kegiatan Audit Internal
Melaporkan hasil audit internal Mengatur dan Mengelola Persyaratan Pengetahuan Bab 18
Kegiatan Audit Internal Audit Internal
Pelaporan ke komite audit Masalah Tata Kelola Persyaratan Pengetahuan Bab 25
perusahaan Perusahaan Audit Internal Audit Internal
Meninjau kontrol manajemen Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 22
perangkat lunak aplikasi Internal Audit Internal
Meninjau validitas big data dan Dampak Sistem TI pada Audit Pemahaman Umum Bab 21
kontrol internal volume Internal
Meninjau program etika dan Masalah Tata Kelola Persyaratan Pengetahuan Bab 26
whistleblower Perusahaan Audit Internal Audit Internal
Sarbanes - Oxley Act Persyaratan Pentingnya Kontrol Internal Persyaratan Pengetahuan Bab 5
kontrol internal Audit Internal
Konsep Six Sigma Black Belt Konvergensi Profesional Audit Pemahaman Umum Bab 32
Internal
Statistik dan pengambilan sampel Merencanakan dan Pemahaman Umum Bab 10
atribut Melakukan Audit Internal
Kebutuhan Pengetahuan
Auditor Internal CBOK Area Konsentrasi CBOK Pentingnya CBOK Bab Ref
Menguji rencana kesinambungan Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 24
bisnis Internal Audit Internal
Memahami attest versus peran Masalah Tata Kelola Persyaratan Pengetahuan Bab 30
konsultasi Perusahaan Audit Internal Audit Internal
Memahami aturan pelapor komite Masalah Tata Kelola Persyaratan Pengetahuan Bab 25
audit Perusahaan Audit Internal Audit Internal
Memahami tata kelola big data Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 21
Internal Audit Internal
Memahami CIA, CISA, dan Masalah Tata Kelola Pemahaman Umum Bab 29
sertifikasi lainnya Perusahaan Audit Internal
Memahami risiko kebocoran data Dampak Sistem TI pada Audit Pemahaman Umum Bab 21
Internal
Memahami rencana pemulihan Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 24
bencana Internal Audit Internal
Memahami masalah tata kelola Masalah Tata Kelola Pemahaman Umum Bab 28
perusahaan Perusahaan Audit Internal
Memahami standar audit penipuan Masalah Tata Kelola Persyaratan Pengetahuan Bab 27
IIA, AICPA, dan ACFE Perusahaan Audit Internal Audit Internal
Memahami pentingnya pernyataan Masalah Tata Kelola Pemahaman Umum Bab 26
misi Perusahaan Audit Internal
Memahami peran audit internal Masalah Tata Kelola Persyaratan Pengetahuan Bab 30
sebagai konsultan perusahaan Perusahaan Audit Internal Audit Internal
Memahami rencana tanggap Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 24
darurat TI Internal Audit Internal
Memahami kontrol umum TI Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 19
Internal Audit Internal
Memahami perjanjian tingkat Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 19
layanan TI Internal Audit Internal
Memahami praktik terbaik ITIL® Dampak Sistem TI pada Audit Pemahaman Umum Bab 19
Internal
Memahami proses audit kualitas Konvergensi Profesional Audit Pemahaman Umum Bab 31
ASQ Internal
Memahami kontrol cybersecurity Dampak Sistem TI pada Audit Pemahaman Umum Bab 23
dan privasi PCI DSS Internal
Memahami manajemen proyek Mengatur dan Mengelola Persyaratan Pengetahuan Bab 16
Kegiatan Audit Internal Audit Internal
Memahami risiko komputasi media Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 20
sosial Internal Audit Internal
Memahami perangkat lunak Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 22
sebagai fungsi layanan Internal Audit Internal
Memahami siklus hidup Dampak Sistem TI pada Audit Persyaratan Pengetahuan Bab 22
pengembangan sistem proses TI Internal Audit Internal
buku mungkin melukiskan gambaran yang sedikit berbeda, tetapi kami telah mencoba
menyajikan dalam edisi ini CBOK untuk auditor internal hari ini untuk digunakan dalam
layanan audit internal mereka untuk kegiatan manajemen.
CATATAN
1. Institute of Internal Auditor Research Foundation, A Global Summary of Common
Body of Knowledge (Altamonte Springs, FL: 2006 diterbitkan lagi oleh IIARF
sebagai studi CBOK pada 2007). Namun, IIRF telah membersihkan studi ini dan
menghapus semua versi dari catatan publiknya.