Chapter 17

Documenting Audit Results Through Process

Modeling and Workpapers

17.1 Syarat Pendokumentasian Audit Internal

Auditor internal menghabiskan sebagian besar waktu mereka

meninjau catatan, melakukan analisis berdasarkan catatan tersebut,
dan mewawancarai orang-orang di semua tingkatan dalam
perusahaan untuk mendapatkan informasi. Auditor menggunakan
semua informasi ini untuk mengembangkan kesimpulan audit dan
membuat rekomendasi yang sesuai.

Dokumentasi audit internal merujuk ke laporan audit yang

dipublikasi, rencana tindakan, dan material lain yang mendukung
laporan, kertas kerja audit, notulen rapat, file atau laporan spesial IT.
Dokumen ini tentu tidak disimpan selamanya, namun fungsi harus
dibuatkan standar penyimpanan minimum misalnya mengacu pada
rule of thumb penyimpanan dokumen milik SEC yaitu selama tujuh
tahun setelah dibuat kesimpulan audit atau review laporan keuangan.

Bagian berikut membahas tiga aspek penting dari dokumentasi

audit internal: pemodelan proses, kertas kerja audit, dan
penyimpanan dokumen. Dalam yang pertama ini, auditor internal
akan sering memulai review di area proses baru di mana mungkin
tidak ada audit sebelumnya dan bahkan dokumentasi perusahaan
yang terbatas.

Kertas kerja adalah topik utama kedua dari bab ini. Ini adalah
dokumen yang menggambarkan pekerjaan auditor internal dan
memberikan dasar dan pemahaman untuk audit internal.
Pemahaman dasar dari ketiga bidang ini harus menjadi persyaratan
dasar CBOK auditor internal.

17.2 Proses Pemodelan untuk Auditor Internal

Model atau deskripsi proses bisnis adalah peta yang membantu
auditor internal menavigasi melalui kegiatan bisnis:
 Di mana kita berada sekarang
 Ke mana kita harus pergi
 Dari mana kami berasal
 Bagaimana kita sampai di tempat kita sekarang

Model atau deskripsi proses bisnis adalah peta yang membantu

navigasi auditor internal melalui aktivitas bisnis. Exhibit 17.1
menunjukkan model proses yang sangat sederhana untuk proses
pembuatan produk kustom yang diminta oleh auditor internal.

Namun, pemodelan proses yang baik lebih dari sekedar peta

sederhana yang menunjukkan bagaimana alur dari titik satu ke titik
yang lain. Oleh karena itu auditor perlu:
Memahami hierarki pemodelan proses

Beberapa definisi proses kunci berikut akan membantu

auditor internal dalam berkomunikasi dengan orang yang
memahami konsep manajemen proses:
1) System: proses yang terkait yang dapat ataupun tidak
terkoneksi
2) Proses: secara logic saling terkoneksi, terkait dengan aktvitas
mengambil input, menambah nilai ke dalamnya, dan
 menghasilkan output untuk proses internal yang lain atau
output untuk konsumen
3) Aktivitas: bagian kecil dari proses yang dilakukan oleh satu
departemen atau individu
4) Tugas: langkah-langkah yang dibutuhkan untuk melaksanakan
aktivitas khusus
5) Konsumen eksternal: entitas luar dari proses unit supplier yang
menerima produk, jasa atau informasi dari supplier
6) Konsumen internal: orang, departemen atau proses dalam
perusahaan yang menerima output dari proses yang lain.
Auditor internal harus memahami bagaimana elemen dari proses
saling berkaitan melalui hierarki proses seperti di bawah ini (Exhibit
17.2)

Mendeskripsikan dan mendokumentasikan proses kunci

Tahap ini harus ada dalam kertas kerja audit karena bertujuan
menggambarkan arus

input dan output antara aktivitas proses. Audit internal harus

mengembangkan standar dan pendekatan yang konsisten untuk
flowchart pemodelan prosesnya. Pendekatan yang mudah digunakan
 dan dipahami adalah

1. Input/output process flowchart

2. Workflow description process flowcharts

Pemodelan proses dan auditor internal

Proses pemodelan adalah alat auditor internal yang penting

untuk mereviu proses perusahaan yang ada dan
mengembangkan area yang perlu ditingkatkan. Kami telah
memberikan deskripsi tingkat tinggi dari pemodelan proses
di sini. Sementara jenis alur alur yang dijelaskan tidak terlalu
kompleks, auditor internal mungkin ingin mengumpulkan lebih
banyak informasi untuk meningkatkan keterampilan pemodelan
proses. Sedangkan Institute of Internal Auditor (IIA) auditor internal
internal mungkin tidak berpengalaman dalam prosesnya teknik
pemodelan, setiap anggota perusahaan yang terlibat dengan
proses jaminan kualitas harus terbiasa dengan teknik di sini.

17.3 Kertas Kerja Audit Internal

Kertas kerja adalah catatan tertulis yang digunakan untuk

mengumpulkan dokumentasi, laporan, korespondensi dan
materi sampel yang lain -merupakan bukti penting- yang
diakumulasikan selama audit internal. Kertas kerja audit saat
 ini disimpan sebagai folder di komputer atau kombinasi dari
dokumen format kertas dan komputer. Tujuan keseluruhan dari
dari kertas kerja adalah untuk mendokumentasikan bahwa
audit yang memadai telah dilakukan dengan mengikuti
standar professional. Fungsi utama dari kertas kerja auditor
meliputi:

1) Dasar untuk perencanaan sebuah audit,

2) Mencatat pekerjaan audit yang dilakukan,

3) Digunakan selama audit,

4) Mendeskripsikan situasi yang butuh perhatian khusus,

5) Mendukung kesimpulan audit khusus,

6) Sumber referensi,

7) Penilaian staf,

8) Koordinasi audit

Standar kertas kerja

Tidak ada format atau bentuk standar dari kertas kerja audit
internal, namun standar IIA menyatakan bahwa “auditor internal
harus mencatat informasi relevan yang mendukung kesimpulan dan
hasil penugasan”.

Standar kertas kerja audit internal harus mencakup area berikut:

1) Relevan terhadap tujuan audit. Isi dari kertas kerja harus
relevan baik terhadap keseluruhan pengujian audit maupun setiap
tujuan khusus dari porsi tertentu atas review.
2) Penyingkatan atas detail. Materi detail atas data dan informasi
yang dikumpulkan harus secara hati-hati diringkas dalam kertas
kerja untuk deskripsi yang lebih baik dari aktivitas audit yang
dilaksanakan.
3) Kejelasan presentasi. Agar jelas dan mudah dipahami, auditor
dan supervisornya harus mereviu penyajian kertas kerja yang
sedang dikerjakan dan membuat rekomendasi untuk peningkatan
kualitas.
4) Akurasi kertas kerja. Hal ini penting untuk skedul audit dan
data kuantitatif yang lain. Selain itu, kertas kerja dapat digunakan
setiap saat di masa mendatang untuk menjawab pertanyaan dan
memperkuat representasi audit internal.
5) Tindakan pada open items. Setelah audit selesai, tidak boleh
lagi ada open items dalam kertas kerja. Setiap item harus jelas
atau secara formal terdokumentasi untuk tindakan audit di masa
depan.
6) Standar format. Agar kertas kerja secara akurat
menggambarkan pekerjaan audit, harus disiapkan dalam format
yang konsisten meliputi penyiapan heading, Enterprise (spasi,
margin, kemudahan dibaca) dan pengindeksan menyilang.

Format Kertas Kerja

Kertas kerja dulunya merupakan dokumen manual yang
panjang, ditulis tangan oleh auditor dengan sampel setiap laporan
dan barang bukti lain yang termasuk dalam paket. Dengan
penggunaan yang luas dari komputer auditor dapat
mengembangkan dan mendokumentasikan pekerjaan audit internal,
kertas kerja manual kurang umum hari ini. Exhibit 17.5 menunjukkan
halaman kertas kerja yang disiapkan secara manual dari audit
operasional pengamatan inventaris fisik
17.4 Organisasi dokumen kertas kerja

Kertas kerja audit dapat dikelompokkan menjadi:

1. File permanen. Berisi data historis atau data yang sifatnya

terus terkait dengan audit berjalan, yang meliputi:
a) Bagan keseluruhan perusahaan untuk unit audit

b) Bagan akun dan salinan kebijakan dan prosedur utama

c) Salinan laporan audit terakhir, audit program yang digunakan,

dan evaluasinya

d) Laporan keuangan perusahaan dan data potensial analitik lain

e) Informasi tentang unit audit

f) Informasi logistik termasuk catatan terkait penyusunan logistik

dan perjalanan

File ini tidak berarti tidak akan pernah berubah, melainkan

auditor internal memulai penugasannya dengan menggunakannya
sebagai sumber materi latar belakang dalam merencanakan audit
yang baru.
2. File administratif. Material kertas kerja administratif yang umum
harus dimasukkan dalam seluruh kumpulan kertas kerja audit.
Namun jika hanya terdapat satu auditor atau review yang terbatas,
 material ini dapat dijadikan kertas kerja sendiri.

3. File Prosedur Audit. File ini umumnya merupakan yang terbesar

dalam audit dan memuat elemen berikut:

 Daftar prosedur audit yang dilakukan

 Kuisioner yang digunakan

 Deskripsi prosedur operasi

 Aktivitas review

 Analisis dan jadwal yang terkait dengan laporan keuangan

 Dokumen perusahaan

 Temuan, point sheets, catatan supervisor, atau draft laporan

 Audit bulk files

17.5 Teknik penyiapan kertas kerja

Kertas kerja audit baik manual maupun berbasis system

komputer harus berisi standar index dan notasi yang memungkinkan
kemudahan review oleh audit professional yang lain.
Pengindeksan dan cross-referencing kertas kerja.

Referensi silang dan notasi yang memadai harus

memungkinkan auditor atau periview mengambil referensi
signifikan dan melacaknya kembali ke sitasi asli atau sumbernya.
Dalam system komputerisasi, Microsoft Word hyperlinks adalah
alat yang berguna. Cross- referencing adalah menempatkan
nomor indeks kertas kerja referensi lain ke dalam skedul kertas
kerja yang diberikan. Cara ini sangat berguna dalam audit
keuangan dimana semua angka dari berbagai skedul harus terkait
satu sama lain untuk menjamin konsistensi.
Tick marks

Bentuk notasi manual auditor khususnya untuk audit

finansial. Auditor dapat mengembangkan tanda tertentu untuk
mengindikasi bahwa nilai yang ada dari skedul keuangan cross-
foots terhadap nilai lain yang berhubungan serta tanda lain yang
 mengindikasi bahwa hal tersebut terhubung dengan trial balance.
Departemen audit internal kebanyakan memiliki sekumpulan
standar atas symbol tick mark yang digunkan untuk smeua kertas
kerja.
Referensi sumber audit eksternal

Auditor internal sering mangambil informasi dari sumber luar

sehingga penting untuk nencatat sumber-sumber informasi
tersebut secara langsung di kertas kerja. Selain itu, auditor
mungkin butuh untuk mereferensikan hukum atau regulasi dalam
mendukung kerja audit mereka. Namun tidak perlu menyalin
keseluruhan atau sebagian regulasi itu, namuan hanya
mencantumkan dengan jelas judul dan sumber dari seluruh
referensi eksternal, termasuk misalnya alamat web dimana
informasi itu diperoleh.
Rough notes kertas kerja
Catatan yang dibuat auditor ketika wawancara seringkali
hanya dapat dibaca olehnya saja, sehingga perlu dilakukan
penulisan ulang dan memasukkannya ke dalam komentar
kertas kerja. Namun catatan asli tetap harus dilampirkan di
bagian belakang atau bahkan file yang terpisah karena
kemungkinan adanya review kembali
Proses review kertas kerja
Semua kertas kerja harus melalui proses review seorang audit
internal independen untuk menjamin bahwa pekerjaan yang
dibutuhkan telah dilaksanakan, telah dideskripsikan dengan
tepat, dan bahwa temuan audit telah didukung dengan bukti
memadai. Review ini biasanya dilakukan oleh auditor senior
atau bahkan CAE. Bukti dari review supervisor ini adalah inisial
preview dan ta setiap kertas kerja direview. Proses ini adalah wajib
sebelum penerbitan laporan audit final

17.6 Manajemen Pencatatan Dokumen Audit Internal

Pendokumentasian atau pendeskripsian proses melalui kertas

kerja yang efektif tidak akan berguna kecuali fungsi internal memiliki
fungsi penyimpanan dokumen yang kuat yang dapat mencakup
seluruh hasil kerja termasuk catatan auditor internal, salinan
notulensi rapat, file IT dll. Perubahan audit internal yang paperless
dapat meningkatkan risiko dokumen misalnya berubahnya sistem
operasi dan format file pada komputer sehingga dokumen tidak bisa
dibuka atau dibaca, hilangnya dokumen karena kecerobohan
menghapus dan kegagalan mendownload sistem. Berikut adalah
daftar praktik manajemen dokumen yang dibutuhkan dalam fungsi
audit internal saat ini pada jaringan nirkabel auditor:
a. Standar-standar dokumen dan proses riview. Audit internal
perlu membangun standar untuk penggunaan software,
konfigurasi laptop, dokumen dan template umum. Hal ini agar
setiap anggota dari tim audit internal menggunakan tools,
standar dan format yang sama. Tujuan proses dokumentasi
audit internal adalah untuk mengeliminasi semua dokumen
kertas yang terpisah, sehingga ketika auditor harus
menggunakannya, digital scanner diperlukan untuk
menjadikannya file digital. selain itu, seluruh proses formal dan
aman harus diatur untuk setiap jadwal audit.
b. Back up, keamanan dan kontinuitas. Auditor harus
mengkonfigurasikan dan memakai system laptopnya hanya
sebagai alat audit internal saja. Tidak boleh ada sambungan luar
ke internet atau download ke perangkat USB. Selain itu
keamanan yang kuat dan pengendalian password harus diinstal
sehingga jika sebuah system tercuri, isinya tidak akan mudah
diakses. Prosedur juga harus dibuat untuk file audit internal
untuk di-back up dan di download ke system server audit
internal secara regular.
c. Manajemen sumber daya hardware dan software. Saat ini
dimana secara relative sumber daya yang efisien dan lebih
murah tersedia, tidak ada lagi alasan yang kuat mengapa fungsi
audit internal tidak memiliki system pusat yang didedikasikan
 hanya untuk tujuan audit internal. System yang aman harus
diinstal sebagai gudang untuk semua aktivitas audit internal.
d. Laporan audit, manajemen risiko, dan administrasi audit
internal. Audit internal perlu untuk menyiapkan dan
mendistribusikan banyak material termasuk laporan audit,
analisis menajemen risiko , anggaran dan komunikasi dengan
komite audit. Aturan penyimpanan dokumen selama tujuh tahun
juga harus diterapkan dalam hal ini ditempatkan pada folder
yang aman di system server departemen audit

17.7 Pentingnya Pendokumentasian Audit Internal

Kecukupan pendokumentasian pada hakikatnya disyaratkan
untuk seluruh proses audit internal. Telah dijelaskan pentingnya
kertas kerja audit untuk mendokumentasikan sktivitas audit internal
sebagaimana proses pemodelan untuk mendeskripsikan aktivitas
perusahaan. Kemampuan untuk menyiapkan kertas kerja yang
deskriptif dan efektif aadalah syarat kunci CBOK untuk auditor
internal

Chapter 18
Reporting Internal Audit Results
Laporan Audit Internal merupakan dokumen yang berfungsi untuk
meringkas seluruh pekerjaan auditor selama melakukan proses audit.
Laporan audit internal di dalamnya terdapat rekomendasi berdasarkan
hasil audit yang telah disimpulkan oleh auditor internal. Laporan audit
adalah yang paling penting merupakan produk akhir dari proses audit
internal dan merupakan alat utama untuk menggambarkan internal
kegiatan audit untuk orang-orang baik di dalam maupun di luar
perusahaan. Laporan audit memberikan bukti tentang karakter profesional
dari kegiatan audit internal dan memungkinkan orang lain untuk
mengevaluasi kontribusi ini. Laporan audit yang efektif, tentu saja, harus
didukung melalui pemeriksaan lapangan dan evaluasi bukti berkualitas
tinggi.
Bab ini akan membahas tujuan dan presentasi gaya laporan audit
internal, termasuk berbagai format dan metode penyajian hasil pekerjaan
audit kepada manajemen dan lainnya di perusahaan. Laporan audit
adalah komponen utama komunikasi audit internal kepada manajemen
perusahaan.
18.1 The Audit Report Framework
Laporan audit yang efektif harus melibatkan seluruh bagian
manajemen perusahaan seperti dewan komite dan top manajemen yang
mana risiko yang dibahas didalamnya merupakan risiko yang telah
diketahui oleh manajemen dan juga didalamnya merupakan rekmendasi
untuk memitigasi risiko tersebut. Tampilan 18.1 menguraikan kerangka
kerja laporan audit umum :

Inti dari diagram ini menunjukkan tiga elemen utama dari setiap
laporan audit internal yang mana di dalamnya harus melaporkan :
 a. Pengantar laporan untuk menjelaskan alasan untuk memulai audit
dan pentingnya pengamatan laporan,
b. Konten atau badan laporan yang menjelaskan pekerjaan audit yang
dilakukan selama proses audit internal berlangsung,
c. Laporkan rekomendasi, yang mana laporan rekomendasi ini
mencakup risiko audit dan langkah untuk memitigasinya.

18. 2 Purposes And Types Of Internal Audit Reports

Laporan audit internal memiliki tujuan dasar untuk menggambarkan
tujuan audit yang direncanakan dan untuk mengkomunikasikan hasil dan
rekomendasi dari audit itu. Sesuai sifatnya, laporan audit internal
umumnya kritis dalam isinya dan cenderung menekankan hal itu penting
sebagai kelemahan kontrol internal. Laporan audit internal harus selalu
memiliki empat komponen dasar :
a. Tujuan audit, waktu, dan ruang lingkup tinjauan,
b. Deskripsi temuan laporan audit,
c. Saran untuk tindakan korektif, dan
d. Dokumentasi rencana dan klarifikasi pandangan pihak yang diaudit.

Beberapa proses yang harus dipikirkan oleh auditor internal ketika

mereka menyusun laporan audit internal dan temuan mereka sesuai dasar
yang mereka pegang, yakni :
a. Mengapa audit internal mengeluarkan tinjauan,
b. Temuan apa yang ditemukan auditor internal dan mengapa itu
salah,
c. Apa yang harus dilakukan untuk memperbaiki masalah,
d. apa yang akan dilakukan oleh auditee berdasarkan rekomendasi
audit internal — formulir dasar dari hampir semua laporan audit
internal.

Sementara fungsi audit internal sering menghabiskan banyak waktu

dalam mempersiapkannya mengaudit laporan, mereka kadang-kadang
lupa siapa pembaca laporan. Audit internal laporan harus disiapkan untuk
komite audit dan manajemen senior. Tanggung jawab masing-masing
audit internal adalah kepada auditee langsung, atau manajemen
kelompok dengan tanggung jawab keseluruhan atau tingkat yang lebih
tinggi untuk area yang diaudit. Pihak yang diaudit yaitu, staf dan
kelompok manajemen yang diaudit akan dimotivasi oleh kombinasi
kepentingan organisasi dan entitas lokal. Audit langsung manajemen tahu
bahwa kesejahteraan utamanya berkaitan erat dengan kesuksesan total
perusahaan tetapi juga tahu bahwa penghargaan ini sangat ditentukan
oleh kinerjanya sendiri.

Dengan adanya audit internal dapat menghilangkan banyak

masalah kecil yang seharusnya, dan dapat diselesaikan di tingkat lokal
tanpa melibatkan manajer tingkat yang lebih tinggi. Upaya bersama yang
ditentukan adalah diperlukan antara manajer lokal dan audit internal
untuk menyelesaikan tindak lanjut yang diperlukan tindakan selama audit
internal. Efek umum dari tindakan ini adalah untuk mendorong audit
internal menjadi lebih baik dipandang sebagai layanan bagi manajemen.
Sehingga laporan audit internal itu selalu dianggap penting bagi
manajemen untuk evaluasi dari pihak top manajemen, direksi, dan komite
audit.
18.3 Published Audit Reports
Dalam menyusun laporan audit internal, auditor bisa menggunakan
berbagai format dan gaya yang berbeda-beda mulai dari dokumen
berbasis web hingga hard copy laporan kertas. Dalam format apa pun,
laporan audit adalah dokumen laporan formal yang menguraikan risiko
dan rekomendasi audit internal mengikuti empat tujuan sebelumnya
dibahas selama itu mengacu pada undang-undang SOx. Dengan SOx,
anggota komite audit, dan tentu saja manajemen senior, akan menerima
atau memiliki akses ke salinan lengkap semua laporan audit. Meskipun itu
adalah hak mereka untuk meminta laporan yang dirangkum juga masih
bertanggung jawab untuk menerima dan memahami semua temuan audit
yang dilaporkan.
Published Audit Report Formats
Bentuk dan isi laporan audit internal dapat sangat bervariasi.
Laporan audit yang mencakup tinjauan terhadap kontrol internal mungkin
tampak berbeda dari laporan tentang kelangsungan bisnis kontrol atau
satu prosedur investigasi penipuan. Laporan audit formal harus selalu
mencakup format umum yang serupa, mulai dengan halaman sampul,
deskripsi pekerjaan yang dilakukan, dan kemudian internal temuan dan
rekomendasi audit.

Untuk gambar 18.2 adalah contoh pengantar halaman untuk

laporan audit formal :
 Halaman pengantar laporan ini seharusnya memiliki unsur-unsur
berikut, yakni :
a. Report addressees and carbonees,
b. Title of report and objectives of review,
c. Audit scope and date of the fieldwork,
d. Locations visited and timing of audit,
e. Audit procedures performed,
f. Auditor’s opinion based on the results of the review.

Hal-hal diatas merupakan unsur yang harus ada di pembukaan

laporan keuangan. Untuk membuat laporan yang efektif beberapa elemen
yang juga harus ada yakni :
a. A brief summary of the overall audit report,
b. The central message of the report,
c. Elements of the audit findings,
d. Short, simple sentences and words the audience understands.

Elements of an Audit Report Finding

Selama peninjauan, auditor internal yang ditugaskan untuk proses
audit dapat menemukan pengecualian atau kelemahan kontrol internal di
beberapa area yang ditinjau, sebagaimana diuraikan dalam program audit
yang sudah disusun. Program audit itu seharusnya membantu
mengidentifikasi pengecualian serta pengamatan audit internal lainnya
yang menjadi subjek laporan audit temuan. Misalnya, program audit dapat
mengarahkan auditor untuk meninjau sampel voucher biaya perjalanan
untuk memeriksa apakah mereka disetujui dengan benar dan untuk
memverifikasi bahwa biaya yang dilaporkan konsisten dengan kebijakan
perjalanan yang dipublikasikan.
 Temuan laporan audit yang disajikan dalam format umum
memungkinkan pembaca laporan Memahami masalah dengan mudah.
Tidak peduli apa sifat pekerjaan audit atau temuannya, pembaca harus
dapat memindai temuan audit dan dengan cepat memutuskan apa yang
salah dan apa yang perlu diperbaiki. Temuan audit yang disusun dengan
buruk sering membuat pembaca laporan mempertanyakan apa
masalahnya dan mengapa mereka harus peduli. Temuan laporan audit
yang baik harus mengandung berikut :
a. Statement of condition,
b. What was found?,
c. Internal audit’s criteria for presenting the finding,
1) Criteria of extremes,
2) Criteria of comparables,
3) Criteria of the elements,
4) Criteria of expertise.
d. Effect of the reported finding,
e. Cause or reason for the audit deviation,
f. Internal audit’s recommendation.

Beberapa teknik untuk memberikan saldo laporan audit yang lebih

baik adalah :
a. Provide audit reports with perspective,
b. Report auditee accomplishments,
c. Show planned actions,
d. Report mitigating circumstances,
e. Include the audit responses as part of the audit report,
f. Improve audit report tonal quality.

Tampilan 18.4 berisi beberapa contoh laporan audit yang positif dan
negatif temuannya. Idenya adalah bukan untuk menutup-nutupi temuan
audit atau untuk semua orang kecuali memanggil pihak yang diaudit
bersalah karena kesalahan pada langkah tertentu :
18.4 Alternative Audit Report Formats
Dengan teknologi saat ini, hasil audit dapat dilaporkan dalam
berbagai format. Sedangkan format laporan audit berbasis teks standar
yang dijelaskan di sini tentu yang paling akrab dan sering cara terbaik
untuk menggambarkan pekerjaan audit, audit internal dapat
menggunakan lainnya pendekatan untuk menggambarkan hasil temuan
dan rekomendasi auditnya. Penting bahwa perusahaan dan komite
auditnya memiliki catatan formal, aman dari kegiatan audit internalnya.
Namun, audit internal dapat memilih mempertimbangkan beberapa
pendekatan alternatif, khususnya untuk pelaporan hasil audit interim.
Beberapa cara alternatif yang kurang formal dan lebih disingkat internal
audit dapat melaporkan hasil kerjanya termasuk :
a. Oral Reports,
b. Interium or informal memo reports,
c. Questionnaire-type audit reports,
d. Reguler descriptive audit reports,
e. Summary audit reports.

18.5 Internal Audit Reporting Cycle

Dimulai pada tahap awal audit internal, sering diinginkan untuk
mengembangkan kerangka kerja untuk laporan terakhir, lakukan
sebanyak mungkin sesuai dengan audit yang berjalan. Informasi dan
statistik tentang area yang akan diaudit dapat dikumpulkan selama
survey panggung dan termasuk dalam kertas kerja, seperti dibahas dalam
Bab 17.
Ketika temuan audit dikembangkan dan diselesaikan, mereka dapat
dimasukkan ke dalam
bagian yang tepat dari laporan, bersama dengan komentar dari pihak
yang diaudit.
Proses laporan audit dimulai dengan identifikasi temuan, persiapan
draft laporan untuk didiskusikan temuan tersebut dan rekomendasi
terkaitnya, diskusi tentang masalah audit
diidentifikasi dengan manajemen bersama dengan penyajian draft
laporan.
Preparing and Delivering Audit Reports
Setelah pekerjaan lapangan audit selesai dan audit internal telah
membahas usulannya temuan audit dengan pihak yang diaudit, draft
laporan audit umumnya harus disiapkan. Dalam kebanyakan kasus lain,
audit internal harus menyiapkan draft laporan dengan temuan dan
rekomendasi yang diusulkan bersama dengan tanggapan manajemen
atas. Audit internal kemudian akan menggabungkan auditee ini
tanggapan dengan halaman tajuk laporan asli dan draft temuan serta
rekomendasi untuk menghasilkan laporan audit akhir. Draf laporan akhir
ini biasanya disajikan sebagai kesempatan terakhir bagi auditee untuk
membaca dan memahami nada dan isi laporan audit yang akan
dikeluarkan.
Rapat penutup dan draft laporan adalah langkah-langkah penting
untuk memvalidasi kecukupan dan akurasi temuan audit internal yang
dilaporkan dan tingkat kesehatan yang terkait rekomendasi sebelum rilis
laporan audit akhir. Sedangkan fondasi utama
untuk validasi ini adalah pekerjaan audit yang dilakukan oleh audit
internal, pekerjaan harus dilakukan dilengkapi dengan ulasan dan
konfirmasi personel yang diaudit. Audit internal harus meminta tanggapan
formal mungkin dalam 14 hari setelah menerima draft laporan. Meskipun
ini adalah waktu yang relatif singkat, mengingat waktu itu tim audit sering
menghabiskan waktu untuk kerja lapangan dan menyusun laporan,
auditee manajemen harus berada dalam posisi untuk mengembangkan
respons yang agak cepat karena ia sadar dari temuan dan rekomendasi
yang disarankan dari konferensi keluar. Namun keduanya audit internal
dan manajemen pihak yang diaudit harus mencoba beroperasi pada
waktu yang sama bingkai.
18.6 Internal Audit Communications Problems And Opportunities
Komunikasi yang efektif baik dari orang ke orang maupun dengan
kelompok yang lebih besar adalah komponen kunci keberhasilan audit
internal. Auditor internal harus memiliki yang baik memahami masalah
yang terkait dengan komunikasi yang efektif dan cara
mengatasinya. Situasi terus muncul dalam fungsi audit internal ketika
individu perlu berkomunikasi satu sama lain. Ini termasuk memberikan
instruksi lisan kepada auditor staf, membahas masalah operasional
selama rapat audit keluar, konseling bawahan, mewawancarai calon
karyawan, atau memimpin staf ulasan kinerja.
Semua situasi ini melibatkan hubungan pribadi yang berbeda,
tetapi terdiri dari aliran pesan dua arah yang berkelanjutan. Auditor
internal harus mengerti proses ini untuk mengidentifikasi jenis-jenis
masalah yang dapat merusak atau mencegah komunikasi yang efektif.
Masalah-masalah ini mempengaruhi semua langkah dalam proses
komunikasi dan termasuk :
a. Not giving proper consideration to the power relationships of
message senders and receivers,
b. Ignoring temporary emotional stress by either the sender or
receiver,
c. Failure to properly evaluate the capacity of the recipient to receive
and understand the message,
d. Use of words that can have multiple meanings or can convey
unintended meanings,
e. Undue haste in the transmission of messages that undermine clarity
and / or credibility,
 f. Perception that the sender wishes to satisfy personal needs, thus
inducing emotional resistance and blocks,
g. Failure to build needed foundations for the core message, and
related bad timing,
h. Lack of clarity or conviction because of a reluctance to cause the
receiver dissatisfaction,
i. Impact of nonverbal actions such as tone of voice, facial
expressions, and manner of communication,
j. Not giving consideration to the perceptions and related feelings of
the recipient.

18.7 Audit Reports And Understanding People In Internal Auditing

Diskusi tentang pembuatan laporan audit internal yang efektif ini
berfokus pada kepentingan semua auditor internal sehubungan dengan
hubungan mereka dengan manajemen dan dengan satu sama lain.
Auditor internal modern menghadapi beberapa masalah serius dalam
mengubah citra ini. Audit internal dibebankan dengan tanggung jawab
perlindungan yang cenderung membuat orang lain masuk perusahaan
melihat mereka sebagai antagonis atau petugas polisi. Tetapi peran total
audit internal jauh melampaui peran sempit dalam menyediakan layanan
perlindungan.
Internal modern Auditor hari ini bukan lagi petugas polisi atau orang
dengan perisai mata hijau yang dimakamkan dalam apa yang kadang-
kadang dilihat oleh orang lain sebagai rincian sepele. Sebaliknya, yang
modern auditor internal harus memperhatikan kesejahteraan total
perusahaan di semua tingkatan dan dalam hubungan dengan semua
kegiatan.

Chapter 19
ITIL® Best Practices, the IT Infrastructure, and
General Controls
 Auditor internal harus memiliki pengetahuan yang kuat tentang
teknik pengendalian internal TI yang mendukung proses dan sistem TI
perusahaan, mulai dari aplikasi keuangan hingga kontrol buku besar
akuntansi umum proses media sosial dan Internet yang menyeluruh.
Terdapat 2 tingkatan kontrol TI pada dua tingkat luas: aplikasi kontrol
dan kontrol TI umum.
19.1 Importance of IT General Controls
Profesi mulai memikirkan IT Control dalam hal kontrol dalam aplikasi
spesifik dan apa yang disebut umum atau kontrol infrastruktur kontrol
yang menyebar di sekitar semua sistem informasi operasi. Kontrol
umum atau infrastruktur TI mencakup semua operasi TI dan
mencakup:
a. Keandalan pemrosesan sistem informasi
b. Integritas dari data
c. Integritas dari program
d. Pengendalian pengembangan dan implementasi sistem yang tepat
e. Kelanjutan pemrosesan

19.2 Client-Server and Small Systems General IT Controls

Auditor internal secara tradisional memiliki masalah dalam
mengevaluasi kontrol umum dalam skala operasi TI kecil, mulai dari
sistem client-server hingga sistem desktop perusahaan dan
smartphone berbasis aplikasi nirkabel. auditor internal mencari fisik
yang kuat keamanan, revisi yang baik, dan kontrol pemisahan tugas
yang tepat yang seringkali tidak ada atau hanya sebagian
diimplementasikan dalam lingkungan sistem kecil yang khas. Audit
internal dapat dengan mudah kehilangan kredibilitas jika rekomendasi
kontrol mereka tidak sesuai dengan risiko yang ditemukan dalam
pengaturan sistem komputer kecil.
General Control untuk Sistem Bisnis Kecil
Sistem kecil dapat diimplementasikan di berbagai cara,
tergantung pada konfigurasi sistem dan ukuran perusahaan. Auditor
internal harus dapat mengenali perbedaan-perbedaan ini dan
 mengembangkan yang sesuai prosedur kontrol internal umum untuk
meninjau kontrol umum mereka.
Audit internal akan sering bekerja di lingkungan di mana hanya sistem
bisnis kecil digunakan, terutama ketika perusahaan relatif kecil.
Contohnya adalah perusahaan nirlaba yang hanya membutuhkan
sistem server dan sistem desktop untuk mendukung pengiriman surat
langsung dan aplikasi terkait akuntansi terbatas. Audit internal harus
meninjau kontrol umum atas konfigurasi server sistem perusahaan
besar, kebutuhan untuk keamanan sistem, integritas,dan prosedur
pencadangan. Jenis sistem bisnis kecil umumnya akan memiliki:
a. Staf TI terbatas.
b. Kemampuan pemrograman terbatas
c. Kontrol lingkungan yang terbatas
d. Kontrol keamanan fisik yang terbatas.
e. Jaringan telekomunikasi yang luas

19.3 Client-Server Computer Systems

Arsitektur client-server ini, bagaimanapun, hanya melampaui
workstation dan server.
Aplikasi yang meminta basis data terpusat dapat dianggap sebagai
klien, sedangkan database yang mengembangkan tampilan database
merupakan server untuk semua workstation yang meminta layanan
basis data. Demikian pula, program aplikasi dapat meminta layanan
dari operasi server sistem komunikasi. Tampilan 19.1 menunjukkan
konfigurasi sampel sistem klien-server di mana satu server menangani
permintaan dari banyak klien di seluruh jaringan. Ini konfigurasi klien-
server, meskipun sangat umum, mewakili sistem TI yang khas saat ini.
 Di banyak perusahaan saat ini, seringkali sistem client-server-
confured bisa ditemukan di area di luar operasi TI dan mungkin
berlokasi di laboratorium teknik, operasi kontrol manufaktur,
departemen pemasaran, dan di tempat lain. Sistem ini dapat
digunakan untuk kontrol proses, pekerjaan desain otomatis,
pemrosesan analisis statistik, atau banyak aplikasi lainnya.
Untuk menemukan analogi kontrol dari situasi TI bisnis normal dan
menerjemahkannya ke lingkungan kontrol yang khusus, seorang
auditor harus cukup berpengalaman dalam meninjau pusat-pusat
komputer TI bisnis, apakah itu operasi besar atau kecil. Seiring waktu,
audit internal akan menemui lebih banyak operasi komputer. Auditor
internal kreatif dapat meningkatkan kontribusi kepada manajemen
dengan melakukan tinjauan operasional atas pusat komputer secara
berkala.

19.4 Small Systems Operations Internal Controls

Auditor internal secara tradisional mencari pemisahan tugas yang
tepat sebagai prosedur pertama untuk mengevaluasi kontrol internal
dan kontrol umum TI. Manajer yang bertanggung jawab untuk sistem
 klien-server kecil juga mungkin merupakan
spesialis teknis utama dan mengoperasikan peralatan untuk tugas-
tugas seperti pemrosesan cadangan. Kontrol pemisahan tugas yang
ditemukan di sebuah toko besar tidak ada di toko kecil, tetapi harus
ada kontrol kompensasi, termasuk:
a. Perangkat lunak yang dibeli.
b. Meningkatkan perhatian manajemen pada laporan sistem dan
kegiatan konsultan.
c. Pemisahan tugas input dan pemrosesan.

Manajemen senior harus memiliki pemahaman yang baik tentang

fungsi TI rencana, dan tujuannya. Kontrol umum yang sangat penting
bagi perusahaan IT kecil adalah dokumentasi yang memadai atas
sistem dan prosedurnya.

19.5 Auditing IT General Controls for Small IT Systems

Audit internal akan menemukan berbagai merek perangkat keras
komputer atau nama produk dalam skala kecil lingkungan sistem,
tetapi sebagian besar akan menjadi sistem terbuka dengan sistem
operasi yang sama yang dapat beroperasi tidak peduli merek
perangkat keras apa yang digunakan. Audit internal diharapkan untuk
terus memiliki tujuan pengendalian umum dengan yang masalah
internal control berikut ini:
a. Kontrol sistem yang lemah atas akses ke data dan program
b. Akses data yang tidak benar melalui workstation pengguna.
c. Penggunaan program utilitas secara tidak sah.
d. Data IT yang tidak benar dan permintaan akses program.

19.6 Mainframe Legacy System Components and Controls

Auditor internal sekali lagi tertarik pada ukuran sistem komputer
menjadi
ditinjau daripada sekarang karena dampaknya pada pendekatan audit
internal dan audit
 prosedur kontrol. Ini telah berubah dengan serbuan maju dari
perkembangan teknologi,
dan tidak ada lagi hubungan langsung antara ukuran mesin dan
kompleksitas audit.
Meskipun demikian, beberapa kontrol yang diharapkan akan ditemukan
oleh audit internal sangat besar pengoperasian pusat komputer tidak
harus berlaku untuk komputer bisnis kecil sistem dibahas pada bagian
sebelumnya. Misalnya, pemrograman teknis atau sistem staf,
bertanggung jawab untuk memantau kinerja dan memelihara
pengoperasian komputer yang besar sistem, sering tidak diperlukan
untuk sistem komputer kecil, modern.
Meskipun tidak semua karakteristik kontrol internal TI dapat berlaku
untuk setiap komputer besar sistem, berikut ini harus membantu
auditor internal memahami karakteristik sistem IT bisnis besar:
a. Kontrol keamanan fisik.
b. Persyaratan kontrol lingkungan
c. Sistem operasi multitask.
d. Kemampuan pemrograman in-house.
e. Jaringan telekomunikasi yang luas
f. File sangat besar atau kritis.
g. Bagian kontrol input-output.

19.7 Internal Control Reviews of Classic Mainframe or

Legacy IT Systems
Sistem IT besar biasanya memiliki karakteristik kontrol unik mereka
sendiri. Meskipun banyak yang telah dipublikasikan tentang sistem
server-klien dan desktop hari ini, signifikan perubahan juga telah
terjadi selama bertahun-tahun untuk operasi komputer mainframe
besar. Untuk auditor internal, masalah kontrol internal yang sering
menjadi perhatian audit sekarang menjadi bagian yang hampir
diterima dari prosedur operasi sistem besar saat ini. Lain, masalah
kontrol yang lebih baru kini telah menjadi bagian dari proses
peninjauan audit internal.
Perangkat Lunak Sistem Operasi
Sistem operasi TI adalah alat perangkat lunak dasar yang
menyediakan antarmuka pengguna sistem, program aplikasi, dan
perangkat keras TI lainnya. Selain dasar
sistem operasi, auditor internal akan menghadapi berbagai monitor
dan pengontrol,
termasuk perangkat lunak khusus untuk menjadwalkan pekerjaan atau
menangani keamanan logis. Beroperasi perangkat lunak sistem
meliputi sistem operasi pusat, program kontrol, berbagai
pemrograman bantuan, dan perangkat lunak pendukung terkait
aplikasi. Auditor internal harus mengembangkan pemahaman umum
tentang berbagai jenis menginstal perangkat lunak sistem operasi
yang mungkin pada sistem yang diberikan serta tingkat tinggi
mengendalikan risiko, termasuk:
a. Sistem operasi pusat
Sistem operasi bertugas mengawasi pemrosesan semua sumber
daya dan program sistem. Sistem operasi besar MVS IBM yang lama
adalah contoh. Sistem operasi ini sering sangat erat kaitannya
dengan perangkat keras 19.7 Tinjauan Kontrol Internal Mainframe
Klasik atau Sistem TI Legacy Leg 459 mereka mengontrol, sistem
operasi secara tradisional telah unik untuk komputer peralatan
vendor.
b. Monitor sistem.
Berbagai bantuan produk perangkat lunak sistem operasi dasar
membantu
menjadwalkan pekerjaan, memantau aktivitas sistem, dan
membantu menyelesaikan masalah atau sistem operator
kesalahan. Produk-produk ini sangat terkait erat dengan sistem
operasi dasar tetapi biasanya dijual dan diinstal secara terpisah.
c. Pengontrol jaringan dan monitor teleproses
Ini merupakan program sistem operasi yang mengawasi dan
 mengendalikan transmisi antar sistem komputer host dan
perangkat periferal. Perangkat ini memungkinkan aplikasi
memproses pada sistem komputer host untuk berkomunikasi
dengan beberapa koneksi jaringan. Program perangkat lunak yang
mendukung interaksi antara terminal online dan komputer induk
juga termasuk dalam kelas perangkat lunak operasi ini.

19.8 Legacy of Large System General Control Reviews

Dalam lingkungan TI tradisional, area pengoperasian komputer
sering kali bersifat internal area utama dari masalah pengendalian
internal audit. Pada masa itu, operator komputer memiliki kekuatan
yang cukup besar untuk melakukan perubahan atau untuk mem-
bypass kontrol sistem seperti penggantian kontrol label data data,
membuat perubahan urutan pemrosesan program, atau menyisipkan
instruksi program yang tidak sah ke dalam aplikasi produksi.
Langkah pertama yang penting dalam tinjauan audit internal sistem
TI operasi besar kontrol umum adalah untuk mendefinisikan dengan
jelas tujuan ulasan tersebut. Terlalu sering, anggota komite audit atau
manajemen senior dapat meminta audit internal untuk “meninjau
komputer kontrol sistem ”di beberapa pusat data perusahaan.
Permintaan itu mungkin didasarkan pada IT kontrol seperti yang
pernah ada di sistem yang lebih lama. Auditor internal harus
mempertimbangkan pertanyaan-pertanyaan berikut ketika
merencanakan tinjauan pusat data seperti itu:
 Apa tujuan tinjauan operasi sistem informasi?
 Kontrol dan prosedur spesifik apa yang diharapkan ada?
 Bagaimana bukti dikumpulkan untuk menentukan apakah kontrol
berfungsi?
Jika manajemen telah meminta peninjauan atas biaya dan efisiensi
operasi pusat data, misalnya, prosedur audit internal mungkin
mencakup bidang-bidang seperti tolak bayar dan sistem penjadwalan
pekerjaan. Meskipun sistem besar, TI dapat mengontrol ulasan umum
memiliki berbagai tujuan, seringkali akan menjadi salah satu dari
 empat jenis ulasan berikut.
 Tinjauan awal dari kontrol umum TI. Ini merupakan jenis review
auditor luar kadang-kadang memanggil survei pendahuluan atau
penilaian risiko pengendalian yang tujuannya adalah untuk
mendapatkan pemahaman umum atau gambaran umum dari
lingkungan kontrol TI.
 Tinjauan kontrol umum terperinci dari operasi TI. Komprehensif,
tinjauan terperinci atas sistem besar TI kontrol umum harus
mencakup semua aspek operasi TI, termasuk pemrograman
sistem, router dan kontrol telekomunikasi, perangkat firewall, dan
administrasi penyimpanan. Tinjauan kontrol umum yang
terperinci, termasuk
tes kontrol, seringkali membutuhkan audit internal untuk
menghabiskan banyak waktu kerja lapangan baik dalam operasi
TI dan fungsi pengembangan sistem.
 Ulasan khusus atau berorientasi pada lingkup terbatas. Karena
manajemen
permintaan dan risiko yang dirasakan, auditor sering melakukan
tinjauan terbatas atas spesialisasi area dalam fungsi TI secara
keseluruhan. Ulasan khusus ini dapat dibatasi hanya satu fungsi,
seperti administrasi basis data, atau bidang khusus, seperti
laporan keluaran distribusi.
 Ulasan untuk menilai kepatuhan terhadap hukum atau peraturan.
Auditor
bekerja dengan lembaga pemerintah atau di perusahaan yang
melakukan pemerintahan luas kontrak mungkin sering diminta
untuk melakukan audit kepatuhan terkait TI untuk menentukan
jika hukum dan peraturan yang tepat diikuti.
19.9 ITIL® Service Support and Delivery IT Infrastructure
Best Practices
Seperti yang didefinisikan sebelumnya, ITIL® adalah singkatan dari
Infrastruktur Teknologi Informasi Perpustakaan, seperangkat praktik
terbaik pertama kali dikembangkan pada 1980-an oleh pemerintah
Inggris Kantor Perdagangan Pemerintah (OGC) - sebelumnya disebut
Central Computer dan Badan Telekomunikasi. ITIL® adalah kerangka
kerja terperinci dari praktik terbaik TI yang signifikan, dengan daftar
periksa, tugas, prosedur, dan tanggung jawab yang komprehensif
disesuaikan dengan organisasi TI apa pun. Proses ITIL® mencakup apa
yang sering kita sebut infrastruktur TI, pendukung proses yang
memungkinkan aplikasi TI berfungsi dan memberikan hasilnya kepada
pengguna sistem.

Layanan ITIL Mendukung Manajemen Insiden Proses manajemen

insiden mencakup kegiatan yang diperlukan untuk memulihkan
layanan TI setelah gangguan. ITIL® mendefinisikan gangguan sebagai
jenis masalah apa pun yang mencegah Pengguna TI dari menerima
layanan yang memadai, apakah itu merupakan kegagalan sistem
secara keseluruhan, pengguna ketidakmampuan untuk mengakses
aplikasi karena berbagai alasan, kegagalan kata sandi karena
kesalahan pengetikan atau masalah lainnya.
Tujuan dari proses manajemen insiden yang efektif adalah untuk
mengembalikan operasi normal secepat mungkin dengan biaya yang
hemat dan dampak yang minimal pada kedua bisnis keseluruhan atau
pengguna. Seberapa “cepat" seharusnya tidak dikenakan interpretasi,
dan ITIL® meminta standar kerangka waktu pemulihan untuk
didefinisikan dalam apa yang disebut perjanjian tingkat layanan (SLA)
antara TI dan pelanggan atau pengguna. SLA yang efektif adalah
komponen penting dari infrastruktur TI dan dibahas kemudian sebagai
 salah satu Proses pengiriman layanan ITIL®; keberadaan mereka
harus di radar auditor internal layar. SLA harus bergantung pada:
a. Dampak atau kekritisan insiden pada entitas pelapor atau
perusahaan secara keseluruhan. Manajemen insiden harus
menilai, misalnya, berapa banyak pengguna menderita
sebagai akibat dari kegagalan teknis yang dilaporkan dari
komponen perangkat keras.
b. Urgensi kejadian yang dilaporkan. Urgensi mengacu pada
kecepatan yang diperlukan untuk menyelesaikan insiden dari
dampak tertentu.
c. Ukuran, cakupan, dan kompleksitas insiden. Tim manajemen
insiden
harus menyelidiki insiden yang dilaporkan sesegera mungkin
untuk menentukan luasnya.

Dukungan Layanan Manajemen Masalah

Ketika proses manajemen insiden menemui penyimpangan dengan
 yang tidak diketahui
sebab atau alasan, kejadian itu harus diteruskan ke proses manajemen
masalah
untuk resolusi. Tujuannya di sini adalah untuk meminimalkan dampak
total masalah
melalui proses formal deteksi dan perbaikan serta mengambil tindakan
untuk mencegah
terulangnya setiap. Proses manajemen masalah adalah langkah
selanjutnya dalam kekritisan dari beberapa insiden yang dilaporkan
dan harus dipertimbangkan dalam tiga subproses: kontrol masalah,
kontrol kesalahan, dan manajemen masalah proaktif.

Manajemen Konfigurasi Dukungan Layanan

Aktivitas dasar dari proses manajemen konfigurasi adalah untuk
mengidentifikasi berbagai komponen individu dalam operasi TI, yang
disebut item konfigurasi (CI), dan kemudian untuk mengidentifikasi
data pendukung utama untuk CI ini, termasuk pemiliknya,
mengidentifikasi data, dan nomor versi, serta keterkaitan sistem. Data
ini harus ditangkap, terorganisir, dan dicatat dalam apa yang sering
dikenal sebagai basis data manajemen konfigurasi (CMDB). Tim yang
bertanggung jawab untuk manajemen konfigurasi harus memilih dan
mengidentifikasi struktur konfigurasi ini untuk seluruh CI infrastruktur,
termasuk pembentukan hubungan antara masing-masing CI dan
komponen yang terhubung dalam infrastruktur TI secara keseluruhan
konfigurasi.
Layanan Pendukung Manajemen Perubahan
Tujuan dari manajemen perubahan ITIL® adalah untuk menggunakan
metode standar dan prosedur untuk penanganan semua perubahan yang
efisien dan cepat, untuk meminimalkan dampaknya pada kualitas layanan
dan operasi sehari-hari. Manajemen perubahan ITIL® proses meliputi:
- Perangkat keras dan perangkat lunak sistem TI
- Peralatan dan perangkat lunak komunikasi
- Semua perangkat lunak aplikasi
 - Semua dokumentasi dan prosedur yang terkait dengan
menjalankan, mendukung, dan pemeliharaan sistem hidup
Keefektifan proses perubahan manajemen sangat diperlukan untuk
infrastruktur TI yang efektif. Kapan meninjau kontrol internal TI, auditor
internal harus mencari perubahan yang efektif proses manajemen yang
menyediakan:
- Penyelarasan layanan TI yang lebih baik dengan persyaratan bisnis
- Meningkatkan visibilitas dan komunikasi perubahan ke bisnis dan
layanan
staf pendukung
- Peningkatan penilaian risiko
- Mengurangi dampak negatif dari perubahan pada kualitas layanan
- Penilaian yang lebih baik dari biaya perubahan yang diajukan
sebelum terjadi
- Lebih sedikit perubahan yang harus didukung, seiring dengan
peningkatan kemampuan untuk melakukan ini lebih mudah bila
perlu
- Meningkatkan produktivitas pelanggan TI, melalui lebih sedikit
gangguan dan kualitas lebih tinggi
- Kemampuan IT yang lebih besar untuk menyerap sejumlah besar
perubahan

Layanan Pendukung Manajemen Rilis.

Fungsi TI membutuhkan proses yang efektif untuk memastikan bahwa
perubahan diperkenalkan kepada semua pihak yang terkena dampak
secara tertib dan terkendali. Manajemen rilis mencakup pengenalan
perubahan resmi ke layanan TI. Rilis biasanya akan terdiri dari sejumlah
masalah dan perangkat tambahan untuk layanan, termasuk yang baru
atau perangkat lunak dan perangkat keras yang diubah diperlukan untuk
mengimplementasikan perubahan yang disetujui yang disyaratkan.

19.10 Service Delivery Best Practices

 Layanan dukungan mencakup yang akurat pemrosesan aplikasi dan
komponen TI mulai dari menerima insiden yang dilaporkan untuk
mendefinisikan masalah untuk memperkenalkan perubahan dan kemudian
melepaskannya ke dalam produksi.

Layanan Pengiriman Manajemen Tingkat Layanan.

Manajemen tingkat layanan adalah nama yang diberikan kepada
proses perencanaan, koordinasi, ITIL® menyusun, menyetujui,
memantau, dan melaporkan perjanjian formal antara TI dan penyedia dan
penerima layanan TI. Seperti yang dijelaskan sebelumnya, ini perjanjian
disebut perjanjian tingkat layanan (SLA), dan mereka mewakili formal
perjanjian antara TI dan penyedia layanan untuk TI serta pelanggan
pengguna akhir TI.
Manajemen Kapasitas Pengiriman LayanaManajemen kapasitas
ITIL® memastikan bahwa kapasitas infrastruktur TI selaras dengan
kebutuhan bisnis untuk mempertahankan tingkat pemberian layanan yang
diperlukan dengan biaya yang dapat diterima melalui tingkat kapasitas
yang sesuai. Melalui pertemuan bisnis dan teknis kapasitas data, proses
ini harus menghasilkan rencana kapasitas untuk memberikan biaya
persyaratan kapasitas yang dibenarkan untuk perusahaan.
Manajemen Ketersediaan Pengiriman Layanan
Perusahaan semakin tergantung pada layanan TI pada ketersediaan
24/7. Saat layanan tidak tersedia, maka bisnis juga berhenti. Karena itu
sangat penting bahwa fungsi TI mengelola dan mengontrol ketersediaan
layanannya. Ini bisa dicapai dengan mendefinisikan persyaratan dari
bisnis mengenai ketersediaan dari layanan TI dan kemudian
mencocokkannya dengan kemungkinan perusahaan IT.
Manajemen ketersediaan tergantung pada beberapa input:
persyaratan mengenai ketersediaan bisnis; informasi tentang keandalan,
pemeliharaan, pemulihan, dan kemudahan servis CI; dan informasi dari
proses lain, insiden, masalah, dan mencapai tingkat layanan. Output dari
manajemen ketersediaan proses adalah:
 - Rekomendasi mengenai infrastruktur TI untuk memastikan
ketahanannya
- Laporan tentang ketersediaan layanan TI
- Prosedur untuk memastikan bahwa ketersediaan dan pemulihan
ditangani untuk setiap yang baru atau peningkatan layanan TI
- Berencana meningkatkan ketersediaan layanan TI

Manajemen Kontinuitas Pengiriman Layanan

Ketika bisnis menjadi semakin tergantung pada IT, dampak dari
ketidaktersediaan layanan TI telah meningkat secara drastis. Setiap kali
ketersediaan atau kinerja layanan berkurang, pelanggan TI tidak dapat
melanjutkan pekerjaan normal mereka. Tren ini menuju ketergantungan
yang tinggi pada dukungan dan layanan TI akan terus berlanjut dan akan
semakin meningkat memengaruhi pelanggan secara langsung, manajer,
dan pembuat keputusan.

19.11 Auditing IT Infrastructure Management

Dukungan layanan ITIL® dan proses pengiriman layanan
memperkenalkan dan perbaikan pendekatan untuk melihat semua aspek
infrastruktur TI. Proses-proses ini tidak independen dan berdiri sendiri.
Sementara setiap proses dapat beroperasi dengan sendirinya, mereka
semua bergantung pada input dan dukungan dari proses terkait lainnya.
Layanan pengiriman ITIL® dan dukungan layanan adalah dua hal yang
saling terkait dan berdampingan elemen. Mereka mendukung manajemen
infrastruktur TI dan manajemen perusahaan. Aplikasi TI berada di tengah-
tengah teka-teki ini dan area utama internal mengendalikan
kekhawatiran.

19.12 Internal Auditor CBOK Needs for IT General Controls

Seperti yang telah kita bahas, dunia kendali umum TI tampaknya
terus-menerus berubah dan berkembang karena kami telah pindah dari
komputer mainframe klasik dari sebuah era sebelumnya ke beberapa
perangkat server saat ini yang terhubung melalui jaringan nirkabel dan
Internet. Mungkin ada banyak masalah teknis di sini yang mungkin paling
tepat dicadangkan oleh Spesialis audit TI, tetapi semua auditor internal
saat ini harus memiliki tingkat CBOK yang kuat, pengetahuan tentang
kontrol umum TI dan infrastruktur pendukung yang memungkinkan kontrol
umum untuk beroperasi dan berfungsi.