NAMA ANGGOTA:
CELIA MAKKIYATUL BERLINNA 464849
SELVIN MANUPUTTY 464885
OKTA AMELIANA SIPAYUNG 464872
MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2021
CH 17
Kemampuan untuk mendokumentasikan bukti audit secara efektif adalah keterampilan audit
internal yang sangat penting. Ada dua dimensi di sini. Pertama, auditor internal sering kali
dihadapkan pada berbagai informasi tentang bisnis dan operasinya di beberapa lokasi. Untuk lebih
memahami kekuatan dan kelemahan pengendalian, auditor internal perlu memikirkan kegiatan ini
dalam kaitannya dengan proses pendukung yang seringkali tidak terdokumentasi dengan baik.
Kertas kerja audit sangat penting untuk audit internal individu serta untuk keseluruhan perusahaan.
Dalam beberapa situasi, mereka bahkan dapat menjadi sumber bukti dalam perkara litigasi. Setelah
diatur dalam file berbasis kertas yang sangat banyak, kertas kerja audit sekarang sering kali paling
baik diatur dalam format digital dan dirakit di komputer laptop. Audit internal memiliki persyaratan
hukum yang diamanatkan Sarbanes-Oxley Act (SOx) untuk menyimpan dokumentasi kertas kerja
auditnya selama tujuh tahun atau lebih. Ini bisa menjadi tantangan ketika teknologi berubah,
terkadang membuat akses ke catatan lama ini sulit, dan keterbatasan ruang fisik menjadi tantangan
untuk melacak catatan aktivitas audit internal yang lama. Mendeskripsikan, mendokumentasikan,
dan mencatat kegiatan audit internal adalah semua persyaratan CBOK audit internal.
Auditor internal menghabiskan sebagian besar waktu mereka meninjau catatan, melakukan analisis
berdasarkan pada catatan tersebut, dan mewawancarai orang-orang di semua tingkatan dalam
perusahaan untuk mendapatkan informasi. Auditor menggunakan semua informasi ini untuk
mengembangkan dan membuat kesimpulan audit serta rekomendasi yang sesuai. Namun, upaya ini
tidak banyak nilainya kecuali jika audit berhasil didokumentasikan secara tertib. Pengamatan yang
tidak berdokumen memiliki nilai yang kecil jika pekerjaan audit dipertanyakan terkadang bahkan
untuk proses hukum berbulan-bulan atau bahkan hingga bertahun-tahun ke depan. Auditor internal
yang awalnya melakukan pekerjaan mungkin telah pindah, dan pekerjaan audit internal tidak dapat
dikuatkan tanpa bukti pendukung. Dokumentasi audit internal mengacu pada laporan audit yang
dipublikasikan, rencana tindakan, dan bahan pendukung laporan lainnya, kertas kerja audit,
risalah rapat utama, ekstrak file TI khusus, atau laporan. SEC mensyaratkan bahwa “catatan
disimpan selama tujuh tahun setelah auditor menyimpulkan audit atau review atas laporan
keuangan. " Untuk audit internal, periode penyimpanan catatan juga akan menjadi minimal tujuh
tahun setelah laporan audit diterbitkan. Bagian berikut membahas tiga aspek penting dari
dokumentasi audit internal: pemodelan proses, kertas kerja audit, dan penyimpanan dokumen.
Pertama-tama, auditor internal akan sering memulai tinjauan di area proses baru di mana mungkin
tidak ada audit sebelumnya dan bahkan dokumentasi perusahaan terbatas. Auditor internal perlu
mengamati operasi, meninjau laporan dan prosedur, dan ajukan pertanyaan untuk mengembangkan
pemahaman tentang proses baru itu. Dokumentasi ini penting untuk memahami lingkungan
pengendalian internal dan untuk membuat rekomendasi terkait konsultasi jika sesuai. Kertas kerja
adalah topik utama kedua dari bab ini. Ini adalah dokumen-dokumen yang menggambarkan
pekerjaan auditor internal dan memberikan dasar dan pemahaman untuk audit internal. Bab ini akan
membahas pendekatan untuk mengembangkan internal yang efektif kertas kerja audit dan akan
diakhiri dengan bagian yang membahas dokumen penyimpanan kertas kerja. Pemahaman dasar
tentang semua tiga dari area ini harus menjadi persyaratan CBOK auditor internal dasar.
Model proses sebenarnya adalah semacam peta atau diagram alur untuk membantu auditor
internal menavigasi melalui serangkaian aktivitas yang diamati. Namun, pemodelan proses yang
baik adalah lebih dari sekadar peta jalan sederhana yang menunjukkan cara berpindah dari satu
titik ke titik lainnya. Di sini, kelompok operasi desain menerima masukan atau pesanan dari
pelanggannya dan mengirimkan produk jadi kepada mereka. Namun, untuk menghasilkan output
harus berkoordinasi dengan pemasok, dan harus ada loop umpan balik sistem pengukuran untuk
mempromosikan peningkatan produk. Ini adalah jenis bagan yang disederhanakan yang mungkin
dibuat oleh auditor internal pada kunjungan pertama ke fasilitas ketika mengajukan pertanyaan
tentang kegiatan unit. Menggunakan ini, auditor dapat mengumpulkan lebih banyak informasi
seperti persyaratan masukan dan keluaran yang terperinci antara pemilik proses, aktivitas yang
mengubah masukan pemasok menjadi keluaran yang memenuhi persyaratan pelanggan, dan umpan
balik dan sistem pengukuran yang diperlukan untuk membuat proses berjalan. (gambar 1)
Sementara unit bisnis terkadang mengembangkan diagram prosesnya sendiri yang mencakup
aktivitas kunci, auditor internal harus sering mengembangkannya sebagai bagian dari kunjungan
awal untuk mendapatkan pemahaman tentang operasi. Beberapa definisi proses utama akan
membantu auditor internal untuk lebih berkomunikasi dengan orang lain;
Berdasarkan produk pemodelan lain yang ada, audit internal harus mengembangkan standar
pembuatan diagram untuk digunakan dalam mendeskripsikan proses perusahaan dan pengendalian
internalnya. Standar pembuatan diagram ini akan terdiri dari diagram alur dan deskripsi singkat.
Deskripsi tersebut, tentu saja, harus mengikuti standar yang sama dengan yang digunakan audit
internal dalam semua deskripsi kertas kerja auditnya, sering kali berupa catatan poin yang
menggambarkan wawancara yang telah dilakukan auditor serta waktu dan tanggal wawancara yang
didokumentasikan. Audit internal harus mengembangkan pendekatan standar dan konsisten untuk
diagram alur pemodelan prosesnya. Dua pendekatan yang mudah digunakan dan dipahami adalah
diagram aliran input / output dan diagram alur kerja.
1. Diagram alur proses input / output. Pendekatan deskripsi aliran paling baik untuk proses
yang berhubungan dengan objek fisik. Fokusnya adalah pada peserta pasif yang
dikonsumsi, diproduksi, atau diubah oleh proses kegiatan. Jenis diagram alur ini adalah
peta jalan untuk memindahkan langkah-langkah proses dari satu aktivitas ke aktivitas
berikutnya.
2. Diagram alur proses deskripsi alur kerja. Jenis diagram ini lebih menekankan pada urutan
kegiatan daripada kegiatan apa yang berhasil. Di sini, semua aktivitas harus dilakukan
dalam urutan yang ditentukan, seperti contoh diagram alur di mana penting untuk
menerima pembayaran sebelum mengirimkan barang. Dalam diagram jenis ini,
penekanannya bukan pada peserta tetapi pada urutan proses yang harus mengalir.
Gambar 3
Kertas kerja adalah catatan tertulis yang disimpan untuk mengumpulkan dokumentasi, laporan,
korespondensi, dan bahan sampel lainnya, dan bukti penting yang terkumpul selama audit internal.
Istilah kertas kerja adalah ekspresi audit yang agak kuno yang menggambarkan file fisik atau
komputer yang mencakup jadwal, analisis, dan salinan dokumen yang disiapkan sebagai bagian dari
sebuah audit. Karakteristik umum dari semua kertas kerja adalah bahwa mereka adalah bukti
menjelaskan hasil audit internal. Pernyataan tersebut harus disimpan secara resmi untuk referensi
dan pembuktian selanjutnya dari kesimpulan dan rekomendasi audit yang dilaporkan. Sebagai
jembatan antara prosedur audit internal aktual dan laporan yang dikeluarkan, kertas kerja
merupakan alat untuk mencapai tujuan. Mereka dibuat untuk memenuhi tugas audit tertentu dan
sangat fleksibel. Kertas kerja audit internal juga dapat memiliki signifikansi hukum. Dalam beberapa
situasi, mereka telah diserahkan, melalui perintah pengadilan, kepada pemerintah, otoritas hukum,
atau regulator sebagai bukti pendukung dalam beberapa hal.
Tujuan keseluruhan dari kertas kerja adalah untuk mendokumentasikan bahwa audit yang memadai
telah dilakukan dengan mengikuti standar profesional yang ditentukan IIA. Fungsi utama kertas kerja
auditor meliputi
Workpaper Standards
Tidak ada bentuk atau format khusus untuk kertas kerja audit internal. Standar profesional
internasional Institute of Internal Auditor, yang diuraikan dalam Bab 9, hanya berisi panduan
tingkat tinggi untuk kertas kerja audit melalui standar 2330 mereka: Auditor internal harus
mencatat informasi yang relevan untuk mendukung kesimpulan dan hasil penugasan.
Standar yang sangat luas ini didukung oleh serangkaian apa yang oleh IIA disebut sebagai Practice
Advisories yang memberikan informasi pendukung tambahan tentang masalah kertas kerja audit
internal termasuk persiapan, kontrol dokumentasi, dan persyaratan penyimpanannya. Gaya dan
format kertas kerja yang sebenarnya, bagaimanapun, akan berbeda dari satu internal departemen
audit ke yang lain dan, pada tingkat yang lebih rendah, kadang-kadang bahkan dari satu audit ke
audit lain. Departemen audit internal akan sering menetapkan standar kertas kerja yang sesuai
konsisten dengan auditor eksternal mereka. Kertas kerja harus mengikuti serangkaian standar yang
konsisten dan dapat berdiri sendiri sehingga pihak luar yang berwenang, seperti auditor eksternal,
dapat membacanya dan memahami tujuan audit internal, pekerjaan yang dilakukan, dan masalah
atau masalah apa pun yang beredar. temuan. Standar kertas kerja audit internal harus mencakup
bidang-bidang berikut:
- Relevansi dengan tujuan audit.
- Kondensasi detail.
- Kejelasan presentasi.
- Akurasi kertas kerja.
- Tindakan pada item terbuka.
- Standar bentuk.
Standar bentuk harus mencakup
1. Persiapan judul. Halaman atau format kertas kerja individu harus memiliki judul dengan
judul audit total, komponen tertentu dari total tersebut yang terdapat dalam lembar kertas
kerja yang diberikan, dan tanggalnya.
2. Perusahaan. Penggunaan judul yang tepat, spasi, dan margin yang memadai untuk
memudahkan dalam membaca dan pemahaman.
3. Kerapian dan keterbacaan.
4. Pengindeksan silang. Semua kertas kerja harus diindeks dan diindeks silang. Pengindeksan
silang memberikan jejak bagi auditor dan memastikan keakuratan informasi di kertas kerja,
serta di laporan audit berikutnya.
Workpaper Formats
Audit internal yang khas mencakup pengumpulan sejumlah besar bahan untuk mendokumentasikan
beberapa proses pengendalian internal atau hasil pengujian audit. Dengan berbagai aktivitas yang
direview dan prosedur audit yang sama luasnya, bentuk dan isi masing-masing kertas kerja dapat
sangat bervariasi. Kategori utama bergantung pada sifat bahan audit dan pekerjaan yang dilakukan,
dan standar kertas kerja harus dibuat berdasarkan beberapa jenis file khusus. Seperti halnya dalam
sistem pengisian manual mana pun, bahan kertas kerja diklasifikasikan menurut jenis dasarnya dan
dikelompokkan bersama dalam sebuah file atau diikat menjadi satu dengan cara yang membantu
pengambilannya. Untuk sebagian besar audit internal, kertas kerja dapat dipisahkan menjadi area
audit yang luas berikut:
File permanen. Banyak audit dilakukan secara berkala dan mengikuti prosedur berulang. Daripada
menangkap semua data yang diperlukan kali secara berkala setiap audit dilakukan, data tertentu
dapat dikumpulkan menjadi apa yang disebut file kertas kerja permanen, yang berisi data yang
bersifat historis atau berkelanjutan yang berkaitan dengan audit saat ini. Beberapa dari data ini
mungkin termasuk:
File permanen tidak dimaksudkan untuk menjadi permanen dalam artian akan ada tidak pernah
berubah; sebaliknya, ini menyediakan auditor internal untuk memulai tugas baru sumber bahan latar
belakang untuk membantu merencanakan audit baru.
Berkas administratif. Meskipun file administratif kertas kerja terpisah mungkin tidak diperlukan
untuk audit yang lebih kecil, bahan kertas kerja administrasi umum yang sama harus dimasukkan di
suatu tempat di semua set kertas kerja audit. Jika hanya ada auditor tunggal atau tinjauan terbatas,
bahan ini dapat dimasukkan ke dalam kertas kerja tunggal.
File prosedur audit. Rekaman pekerjaan audit yang sebenarnya harus dipelihara tergantung pada
jenis dan sifat penugasan audit. Sebagai contoh, audit keuangan mungkin berisi jadwal spreadsheet
rinci dengan komentar auditor pada tes yang dilakukan. Audit operasional mungkin berisi catatan
wawancara dan komentar atas observasi auditor. File ini biasanya yang terbesar untuk audit apa pun
dan sering kali berisi elemen-elemen berikut:
Gambar 6
Sebagian besar proses menyiapkan kertas kerja melibatkan penyusunan komentar audit dan
mengembangkan jadwal untuk menjelaskan pekerjaan audit dan mendukung kesimpulannya. Ini
adalah proses terperinci yang membutuhkan auditor internal untuk mengikuti standar keseluruhan
departemen audit untuk persiapan kertas kerja, dan juga untuk membuat kertas kerja mudah di
pahami. Aspek penting adalah untuk memastikan bahwa semua staf audit anggota internal memiliki
pemahaman tentang tujuan dan pentingnya kertas kerja audit mereka. Baik disiapkan secara
manual atau menggunakan sistem berbasis komputer, kertas kerja audit harus berisi standar
pengindeksan dan notasi tertentu yang akan memungkinkan tinjauan yang mudah oleh profesional
audit internal lain yang tertarik.
Pengindeksan kertas kerja dan referensi silang. Mirip dengan notasi referensi dalam buku teks,
referensi silang dan notasi yang memadai harus memungkinkan auditor atau peninjau untuk
mengambil referensi yang signifikan dalam komentar kertas kerja dan melacaknya kembali ke
kutipan atau sumber aslinya. Banyak departemen audit internal menggunakan sistem pengindeksan
umum yang sama dengan yang digunakan oleh auditor eksternal mereka sehingga semua anggota
staf audit dapat memahami referensi yang benar untuk volume dalam set kertas kerja tertentu.
Sebuah metode untuk mengindeks kertas kerja audit internal yang disiapkan secara manual mungkin
mengikuti serangkaian tiga digit sehingga “AP-5‐26” berarti halaman 26 dari langkah ke-5 dalam
serangkaian prosedur audit tertentu. Jika beberapa halaman diperlukan untuk halaman 26, itu akan
dinyatakan sebagai AP ‐ 5‐26.01, AP ‐ 5‐26.02, dan seterusnya. Sistem penomoran apa pun harus
mudah digunakan dan dapat disesuaikan dengan perubahan. Dengan dokumen kertas kerja berbasis
laptop, hyperlink Microsoft Word dapat menjadi alat yang berguna. Nomor referensi silang sangat
penting dalam audit keuangan di mana semua nomor pada berbagai jadwal harus diikat bersama
untuk memastikan konsistensi.
Referensi ke sumber audit eksternal. Auditor internal seringkali mencatat informasi yang diambil
dari sumber luar. Misalnya, auditor internal dapat mengumpulkan pemahaman tentang area
operasional melalui wawancara dengan manajemen. Auditor akan mencatat wawancara tersebut
melalui catatan kertas kerja dan mengandalkan informasi tersebut sebagai dasar pengujian atau
kesimpulan audit lebih lanjut. Penting untuk selalu mencatat sumber dari komentar semacam itu
langsung di kertas kerja. Misalnya, pameran kertas kerja dapat menunjukkan bagaimana auditor
memperoleh pemahaman tentang sistem sampel, dan sumber yang menyediakan informasi tersebut
harus didokumentasikan.
Catatan kasar kertas kerja. Secara historis, sebagian besar kertas kerja disiapkan dengan
menggunakan pensil dan kertas. Jadwal dicatat pada formulir spreadsheet akuntansi, komentar
ditulis dengan tangan, dan setiap pameran dilampirkan. Sebagian besar departemen audit internal
kini telah mengotomatiskan kertas kerja mereka melalui penggunaan spreadsheet dan perangkat
lunak pengolah kata. Otomatisasi ini tidak mengubah standar kertas kerja, tetapi biasanya membuat
kertas kerja lebih mudah dibaca dan diakses. Kertas kerja tipikal saat ini mungkin menggunakan
campuran jadwal manual dan otomatis serta komentar audit. Namun, kertas kerja saat ini biasanya
berupa folder sistem komputer dengan mungkin beberapa referensi ke dokumen kertas.
Semua kertas kerja harus melalui proses tinjauan audit internal independen untuk memastikan
bahwa pekerjaan yang diperlukan telah dilakukan, dijelaskan dengan benar, dan bahwa temuan
audit didukung secara memadai. Kepala eksekutif audit, yang melapor ke komite audit, memiliki
tanggung jawab keseluruhan untuk tinjauan ini tetapi biasanya mendelegasikan pekerjaan itu
kepada anggota pengawasan dari departemen audit internal. Bergantung pada ukuran staf audit dan
kepentingan relatif dari suatu audit, mungkin ada beberapa tinjauan atas sekumpulan kertas kerja,
satu oleh auditor yang bertanggung jawab dan satu lagi oleh anggota manajemen audit internal yang
lebih senior. Bukti tinjauan pengawasan ini harus terdiri dari inisial dan tanggal pengulas pada setiap
lembar kertas kerja yang ditinjau. Proses review kertas kerja ini harus selalu dilakukan sebelum
penerbitan laporan audit akhir. Hal ini untuk memastikan bahwa semua temuan laporan telah
didukung dengan baik oleh bukti audit seperti yang didokumentasikan di kertas kerja.
Upaya untuk mendokumentasikan proses atau untuk menggambarkan audit internal melalui kertas
kerja yang efektif tidak banyak nilainya kecuali fungsi audit internal memiliki kontrol penyimpanan
dokumen yang kuat yang mencakup semua produk kerjanya, termasuk catatan auditor, salinan
risalah rapat, file TI, dan banyak lainnya. Pada bagian pertama bab ini, kita membahas dokumentasi
audit internal persyaratan dan menguraikan kebutuhan untuk menyimpan semua dokumentasi audit
internal yang relevan untuk jangka waktu tujuh tahun setelah penyelesaian audit internal. Sekali lagi,
hal ini terkadang dapat menimbulkan tantangan dalam lingkungan audit tanpa kertas saat ini. Sistem
operasi atau format file dapat berubah, dan kami mungkin tiba-tiba tidak dapat mengakses atau
membaca dokumen. Dokumen dapat hilang karena seseorang secara tidak sengaja menekan tombol
hapus, atau dokumen dapat hilang karena kegagalan untuk mengunduh sistem laptop auditor ke
sistem server pusat. Fungsi audit internal memerlukan kebijakan manajemen dokumen yang kuat
dan konsisten dengan tanggung jawab administratif yang diberikan untuk tugas-tugas ini. Bab 19
membahas kontrol umum TI dan praktik terbaik ITIL®. Banyak dari praktik terbaik ITIL® yang terakhir
mencakup area seperti menetapkan kontrol manajemen konfigurasi atas sumber daya TI dan proses
manajemen perubahan TI. Sementara ITIL® difokuskan pada Infrastruktur TI, banyak konsep praktik
terbaik berlaku untuk manajemen dokumen audit internal. Bagian berikut membahas beberapa
praktik manajemen dokumen penting atau bahkan penting untuk fungsi audit internal di lingkungan
auditor saat ini laptop dan jaringan nirkabel:
Dokumentasikan standar dan proses review. Audit internal perlu membentuk standar untuk
perangkat lunak yang digunakan, konfigurasi komputer laptop, dokumen dan standar template.
Tujuannya adalah agar setiap anggota tim audit internal menggunakan peralatan yang sama dengan
pengecualian beberapa alat TI khusus
Pencadangan, keamanan, dan kontinuitas. Ini mungkin yang paling kritis dan berisiko tinggi untuk
sistem audit internal berbasis laptop. Ide awal yang baik di sini adalah mengkonfigurasi dan
menetapkan sistem laptop auditor hanya sebagai alat audit internal. Seharusnya tidak ada tautan
luar ke Internet atau mengunduh yang diizinkan ke perangkat USB. Untuk email pribadi kembali dan
sejenisnya, auditor internal dapat menggunakan salah satu dari sekian banyak portabel kecil di
perangkat yang tersedia.
Laporan audit, manajemen risiko, dan administrasi audit internal. Audit internal memiliki
kebutuhan untuk mempersiapkan dan mendistribusikan sejumlah besar bahan, termasuk laporan
audit, analisis manajemen risiko, anggaran, dan komunikasi dengan Komite Audit. Aturan
penyimpanan dokumen tujuh tahun yang sama harus diterapkan catatan administratif audit internal
ini, dan harus disimpan dengan aman dalam folder pada sistem server departemen audit.
Hampir semua proses audit internal di bab-bab lain buku ini harus didukung oleh dokumentasi yang
memadai. Bab ini mencoba untuk menekankan pentingnya kertas kerja audit untuk
mendokumentasikan kegiatan audit internal serta pemodelan proses untuk menggambarkan
kegiatan perusahaan. Kemampuan untuk menyiapkan kertas kerja yang deskriptif dan efektif adalah
persyaratan CBOK internal utama. Selain itu, semua auditor internal mulai dari kepala eksekutif audit
hingga staf audit harus merasa nyaman dan terbiasa dengan banyak alat TI yang tersedia untuk
menjelaskan dan mendokumentasikan proses audit internal.
Ch 18
MELAPORKAN HASIL AUDIT INTERNAL
18.1. KERANGKA KERJA LAPORAN AUDIT
Laporan audit yang efektif harus melibatkan penggunanya — mulai dari anggota komite
audit dewan hingga manajemen yang terlibat — dengan mendiskusikan risiko dan masalah yang
menjadi bagian dari tema laporan dan kemudian mengembangkan seruan untuk bertindak
berdasarkan rekomendasi laporan. Tampilan 18.1 menguraikan kerangka laporan audit umum
Inti dari diagram ini menunjukkan tiga elemen utama dari setiap laporan audit internal:
1. Pengantar laporan untuk menjelaskan alasan memulai audit dan pentingnya pengamatan
laporan.
2. Isi atau badan laporan yang menjelaskan pekerjaan audit yang dilakukan dan membahas
masalah sebab-akibat terkait.
3. Laporkan rekomendasi. Bagian tinjauan ini merangkum tempat audit internal dan mencakup
ajakan bertindak.
Kerangka tersebut juga dikelilingi oleh tiga tujuan penting. Pertama, setiap laporan audit
harus melibatkan pembacanya dan keseluruhan audiens yang tertarik dengan menjelaskan
dampak pengamatan audit internal. Kedua, laporan audit harus menyertakan tingkat kekhususan
yang tinggi untuk mendukung temuan dan rekomendasinya. Akhirnya, setiap laporan audit harus
berisi ajakan bertindak di mana rekomendasi laporan audit dirangkum secara lebih rinci. Bagian
selanjutnya akan membahas elemen dan tujuan laporan audit secara lebih rinci berdasarkan
kerangka laporan audit internal secara keseluruhan.
Gambar diatas merupakan kerangka ITIL yang menunjukkan bahwa bidang layanan
manajemen dan dukungan pemberian layanan, bersama dengan manajemen
keamanan, menyediakan hubungan antara operasi bisnis dan teknologi TI dan
manajemen infrastruktur. Berikut infrastructure ITIL:
1. Manajemen Insiden Dukungan Layanan ITIL
Tujuan dari proses manajemen insiden yang efektif adalah untuk memulihkan
operasi normal secepat mungkin dengan cara yang hemat biaya dengan
dampak minimal pada kedua bisnis secara keseluruhan atau pengguna.
Komponen dari proses manajemen insiden ITIL yaitu Pendeteksian dan
dokumentasi kejadian oleh meja layanan sebagai satu titik kontak. Manajemen
insiden adalah titik kontak pertama antara pengguna dan fungsi TI secara
keseluruhan. Insiden terjadi akibat adanya kesalahan di dalam infrastruktur.
Berikut siklus hidup insiden dari dari panggilan awal, penyelesaian dan
penutupan.gambar ini dimaksudkan bagi auditor bukan untuk mengelola
proses meja layanan tetapi lebih pada rekomendasinya.
Dimulai dengan adanya deteksi dan pencatatan insiden yang dialporkan oleh
pelanggan, kemudian dilanjutkan untuk mengklasifikasikan insiden tersebut.
Setelah insiden masuk maka layanan permintaan akan segera diberikan dan
memulai proses investigasi dan diagnosis segera dimulai. Jika meja layanan
tidak dapat menyelesaikan insiden tersebut, maka ditugaskan ke tingkat
dukungan TI lainnya untuk dilakukan resolusi.
2. Manajemen Masalah Dukungan Layanan
Ketika proses manajemen insiden menemui penyimpangan dengan yang tidak
diketahui penyebabnya, insiden ini harus diteruskan ke manajemen masalah
untuk resolusi. Tujuannya untuk meminimalkan dampak total dari masalah
melalui proses deteksi dan perbaikan formal serta melakukan apapun tindakan
pencegahan. Proses manajemen masalah adalah langkah selanjutnya dalam
kekritisan dari beberapa insiden yang dilaporkan dan harus dipertimbangkan
dalam tiga subproses yaitu pengendalian masalah, pengendalian kesalahan,
dan manajemen masalah proaktif. Proses manajemen masalah berfokus pada
menemukan pola antar insiden, masalah, dan kesalahan yang diketahui.
Dengan tinjauan rinci polanya memungkinkan untuk memecahkan maslah
dengan mempertimbangkan banyak kemungkinan dan mempersempit
semuanya dan menghasilkan solusi apay ag disebut akar penyebab.
3. Manajemen Konfigurasi Dukungan Layanan
Fungsi manajemen konfigurasi formal adalah proses penyampaian pelayanan
penting yang mendukung identifikasi, pencatatn, dan komponen laporan TI
dan versinya, komponen penyusunnya dan hubungannya. Item yang harus
dibawah kendali manajemen konfigurasi termasuk perangkat keras, perangkat
lunak, dan dokumentasi terkait. Aktivitas dasar dari proses manajemen
konfigurasi adalah untuk mengidentifikasi komponen indivisu dalam operasi
TI, yang disebut item konfigurasi, dan kemudian mengidentifikasi data
pendukung utama untuk item konfigurasi ini, termasuk pemiliknya,
mengidentifikasi data, nomor versi, serta keterkaitan sistem. Data ini harus
disimpan, terorganisir, dan dicatat dalam apa yang sering dikenal sebagai
database manajemen konfigurasi (CDBM). Dalam infrastruktur TI yang besar
dan kompleks membutuhkan penggunaan perpustakaan fisik dan elektronik
bersama dengan CMDB untuk menyimpan salianan pasti dari perangkat
lunaka dan dokumentasi.
Setiap auditor internal saat ini memiliki laptop, jika terjadi kesulitan dalam
sistem komunikasi satu sama lain, maka diperlukan manajemen konfigurasi.
CMDB dapat digunakan oleh proses manajemen tingkat layanan untuk:
Menyimpan detail layanan dan menghubungkannya dengan komponen
TI yang mendasarinya
Menyimpan rincian inventaris item konfigurasi (pemasok, tanggal
pembelian, biaya, dsb)
Untuk mencakup aspek hukum yang terkait dengan pemeliharaan
lisensi dan kontrak.
4. Manajemen Perubahan Dukungan Layanan
Tujuan dari manajmeen perubahan ITIL adalah untuk memanfaatkan metode
standar dan prosedur untuk penanganan yang efisien dan cepat dari semua
perubahan, untuk memminimalkan dampaknya terhadap kualitas layanan dan
operasi sehari-hari. Proses manajemen ITIL meliputi:
Perangkat keras TI dan perangkat lunak sistem
Peralatan dan perangkat lunak komunikasi
Semua perangkat lunak aplikasi
Semua dokumentasi dan prosedur yang terkait dengan menjalankan,
dukungan, dan pemeliharaan sistem hidup.
Proses manajemen perubahan harus memiliki visibilitas tinggi dan saluran
komunikasi terbuka untuk mempromosikan transisi yang mulus saat perubahan
terjadi. Proses manajemen perubahan yang efektif merupakan komponen
penting dari infrastruktur control TI. Proses ini harus selaras dengan proses
utama lainnya di infrstruktir TI yaitu perubahan, konfigurasi, kapasitas, dana
manajemen rilis
5. Manajemen Rilis Dukungan Layanan
Rilis biasanya akan diimplementasikan sebagai rilis penuh, dimana semua
komponennya sedang diubah dibangun, di uji, didistribusikan, dan diterapkan
bersama. Hal ini akan menghilangkan anggapan bahwa versi item konfigurasi
telah usang. Pendekatan alternatif untuk manajemen rilis adalah rilis delta atau
parsial. Rilis delta lebih tepat ketika rilis penuh tidak dapat dibenerkan karena
factor-faktor seperti urgensi fasilitas yang dibutuhkan dan persyaratan sumber
daya terkait dari rilis delta sebagai perbandingan dengan rilis penuh.
19.10 Praktik Terbaik Pengiriman Layanan
Terdapat lima proses penyampaian layanan yaitu:
1. Manajemen tingkat pengiriman layanan
Manajemen tingkat layanan adalah proses perencanaan ITIL, menyusun,
menyetujui, memantau, dan melaporkan perjanjian formal antara TI dan
penyedia serta penerima layanan TI. Perjanjian ini disebut perjanjian tingkat
layanan (SLA), dan mereka mewakili kesepakatan formal antara TI dan kedua
penyedia layanan TI serta customer TI. Proses SLA ini memberikan
keuntungan bagi bisnis dan TI, antara lain:
Layanan TI akan cenderung memiliki kualitas yang lebih tinggi, lebih
sedikit gangguan, dan produktifitas pelanggan meningkat
Sumber daya staf TI akan digunakan lebih efisien
TI dan pelanggannya dapat mengukur layanan yang disediakan dan
persepsi operasi TI umumnya akan meningkat
Memungkinkan untuk mengidentifikasi titik-titik lemah
Layanan lebih mudah dikelola
SLA dapat menciptakan lingkungan yang benar-benar baru dalam TI, dimana
semua pihak akan melakukannya lebih memahami tanggung jawab dan
kewajiban layanan mereka, dan dapat menyelesaikan banyak masalah.
2. Manajemen keuangan pengiriman layanan untuk layanan TI
Manajemen keuangan untuk layanan TI memberikan informasi penting kepada
proses layanan manajemen tingkat wakit, tentang biaya TI, harga, dan strategi
pengisian. Fungsi TI yang dikelola dengan baik harus beroperasi sebagai
bisnis, dan manajemen keuangan adalah kunci proses ITIL untuk membantu
mengelola control keuangan untuk bisnis tersebut. Tujuan dari proses
manajemen keuangan adalah pemberian layanan untuk menyarankan panduan
untuk pengelolaan yang hemat biaya dari asset dan sumber daya yang
digunakan dalam layanan TI. Ada tiga subproses terpisah yang terkait dengan
manajemen keuangan ITIL:
1) Penganggaran TI adalah proses memprediksi dan mengendalikan
pengeluaran biaya untuk sumber daya TI.
2) Akuntanai TI adalah sekumpulan proses yang memungkinkan TI
untuk memperhitungkan jalannya uang atau biaya secara penuh
dihabiskan oleh pelanggan, layanan, dan aktivitas.
3) Pengisian adalah serangkaian proses penetapan harga dan penagihan
untuk menagih pelanggan atas layanan sifat buruk yang diberikan.
Proses pengisian daya TI terkadang rusak dalam fungsi TI karena
laporan penagihan layanan TI terlalu kompleks atau teknis untuk
dipahami banyak pelanggan.
Proses manajemen keuangan memungkinkan TI dan manajemen keputusan
keseluruhan untuk membuat keputusan tentang apa, fungsi yang harus
dipertahankan in-house atau dialihdayakan ke penyedia eksternal. Auditor
internal harus menggunakan ketrampilan keuangan mereka serta pengetahuan
TI untuk meninjau dan menilai proses keuangan manajemen pengendalian
internal.
3. Manajemen kapasitas penyampaian layanan
Manajemen kapasitas ITIL memastikan bahwa kapasitas infrastruktur TI
selaras untuk kebutuhan bisnis untuk mempertahankan tingkat penyampaian
layanan yang diperlukan dengan biaya yang dapat diterima melalui tingkat
kapasitas yang sesuai. Manajemen kapasitas bisnis adalah proses jangka
panjang untuk memastikan bahwa bisnis persyaratan masa depan
dipertimbangkan dan kemudian direncanakan dan diimplementasikan jika
perlu. Proses manajemen kapasitas umumnya dianggap dalam tiga hal
subproses yang mencakup bisnis, layanan, dan manajemen kapasitas sumber
daya. Berbagai masukan dalam ketiga subproses manajemen kapasitas
termasuk:
Pelanggaran SLA dan SLA
Rencana dan strategi bisnis
Jadwal operasional dan perubahan jadwal
Masalah pengembangan aplikasi
Kendala teknologi dan akuisisi
Insiden dan masalah
Anggaran dan rencana keuangan
Proses manajemen kapasitas yang efektif menawarkan manfaat bagi TI yaitu:
a) Memberikan gambaran actual tentang kapasitas saat ini yang ada dan
kemampuan merencanakan kapasitas sebelumnya
b) Memperkirakan dampak dari aplikasi atau modifikasi baru serta
memberikan penghematan biaya yang selaras dengan persyaratan
bisnis.
c) Mengurangi biaya secara signifikan biaya keseluruhan kepemilikan
sistem TI
4. Manajemen ketersediaan pengiriman layanan
Manajemen ketersediaan bergantung pada beberapa input seperti persyaratan
terkait file ketersediaan binsis, informasi tentang keandalan, pemeliharaan,
pemulihan, dan kemudahan service item konfigurasi, dan informasi dari proses
lain, insiden, masalah, dan mencapai tingkat layanan. Output dari proses
manajemen ketersediaan adalah:
Rekomendasi terkait infrastruktur TI untuk memastikan ketahanannya
Laporan tentang ketersediaan layanan TI
Prosedur untuk memastikan bahwa ketersediaan dan pemulihan
ditangani untuk setiap layanan baru atau yang ditingkatkan
Berencana untuk meningkatkan ketersediaan layanan TI
Manfaat utama dari manajemen ketersediaan adalah proses terstruktur untuk
menyampaikan layanan TI sesuai dengan persyaratan yang disepakati
pelanggan.
5. Manajemen kontinuitas pemberian layanan
Manajemen kontinuitas ITIL menekankan bahwa dampak dari kerugian total
atau bahkan Sebagian dari layanan TI harus diperkirakan dan rencana
kesinambungan ditetapkan untuk memastikan bahwa bisnis, dan infrastruktur
TI pendukungnya, akan selalu dapat terus berlanjut. ITIL menyerukan strategi
yang tepat untuk dikembangkan yang berisi keseimbangan secara optimal
dalam pengurangan risiko dan opsi pemulihan.
19.11 Mengaudit Pengelolaan Infrastruktur TI
ITIL berlaku untuk semua ukuran fungsi TI baik sistem besar maupun sistem kecil.
Agar sesuai dengan ITIL perusahaan tidak membutuhkan banyak tingkat staf
pendukung. Sebaliknya, perlu memikirkan berbagai dukungan layanan dan proses
penyampaial layanan dari perspektif terbaik ITIL. Fungsi TI kecil mungkin tidak
perlu memisahkan fungsi manajemen insiden dan manajemen masalah, tetapi harus
memeikirkannya sebagai suatu proses terpisah dengan prosedur control yang unik.
Auditor hatus memberikan perhatian khusus pada area ini saat membuat rekomendasi,
ukuran dan cakupan area yang diaudit dan ruang lingkup operasinya harus selalu
diperhatikan.
19.12 Kebutuhan CBOK Auditor Internal Untuk Kontrol Umum TI
Dunia kendali umum TI tampaknya terus-menerus berubah dan berkembang seiring
dengan perpindahan dari komputer mainframe klasik, sebuah era sebelumnya hingga
saat ini beberapa perangkat server yang terhubung melalui jaringan nirkabel dan
internet. Mungkin ada banyak masalah teknis di sini yang mungkin paling baik untuk
ditangani oleh Spesialis audit TI, tetapi semua auditor internal saat ini harus memiliki
tingkat pengetahuan CBOK yang kuat tentang kendali umum TI dan infrastruktur
pendukung yang memungkinkannya kontrol umum untuk beroperasi dan berfungsi,
sehingga pengetahuan ini harus menjadi persyaratan CBOK.