Proses Audit TI
TUJUAN PEMBELAJARAN
1. Menggambarkan apa audit semesta adalah , dan menjelaskan contoh .
2. Mendefinisikan kontrol tujuan untuk informasi Dan terkait teknologi Dan menjelaskan
Mengapa mereka berguna _ untuk organisasi Dan auditor .
3. Menjelaskan sungguh risiko _ penilaian adalah Dan -nya makna ke fungsi audit . _
Menjelaskan sebuah contoh dari suatu risiko penilaian mengikuti Institut Nasional _
dari Standar dan metodologi Teknologi .
4. Menggambarkan rencana audit dan -nya komponen . Menjelaskan contoh dokumentasi audit
TI mendukung keuangan _ audit pernyataan .
5. Mendefinisikan proses audit _ Dan menggambarkan itu fase dari keterlibatan audit TI .
6. Membahas lainnya jenis dari audit dilakukan di bidang TI.
Perannya _ audit TI terus berlanjut ke menjadi kritis _ mekanisme untuk memastikan itu
integritas dari informasi sistem Dan itu pelaporan dari organisasi keuangan ke mencegah masa
depan keuangan kegagalan seperti Enron (2001 ) dan WorldCom (2002). Sayangnya, ini kegagalan
melanjutkan ke terjadi . Perekonomian global lebih banyak lagi saling bergantung dibandingkan
pernah Dan geopolitik risiko dampak semuanya . Infrastruktur elektronik Dan perdagangan
terintegrasi dalam bisnis _ proses sekitar dunia . Kebutuhan _ ke kontrol dan mengaudit TI
belum pernah pernah lebih besar .
Auditor TI saat ini adalah dihadapi dengan banyak kekhawatiran tentang itu paparan dari
informasi sistem kepada banyak orang dari risiko . Dari ini kekhawatiran timbul itu tujuan
untuk proses audit _ Dan fungsi . Ini bab terlihat pada proses audit _ untuk TI dan itu
tuntutan itu akan menjadi ditempatkan pada itu profesi di _ masa depan .
Audit Semesta
Salah satu dari itu terbaik praktik untuk fungsi audit _ adalah ke memiliki dunia audit. _
Dunia audit adalah inventaris dari semua itu area audit potensial di dalam sebuah organisasi.
Area audit fungsional dasar di dalam sebuah organisasi termasuk penjualan, pemasaran,
pelanggan layanan, operasi, penelitian Dan pembangunan, keuangan, sumber daya manusia,
informasi teknologi, dan hukum. Dunia audit dokumen itu kunci bisnis proses Dan risiko dari
sebuah organisasi. Mendokumentasikan proses dan khususnya, risiko memiliki terbukti ke
jadilah yang terbaik praktik untuk organisasi. Standar Kinerja IIA 2010 memberikan dorongan
itu pembentukan dari berbasis risiko rencana ke menentukan itu prioritas untuk aktivitas
audit internal.
Dunia audit termasuk itu dasar area audit fungsional, organisasi tujuan, kunci bisnis
proses itu mendukung itu organisasi tujuan, tujuan audit spesifik, risiko karena tidak
mencapai itu tujuan, dan kontrol itu mengurangi itu risiko. Mengikat dunia audit _ ke
organisasi tujuan tautan itu seluruh proses audit ke bisnis tujuan Dan risiko, membuatnya
lebih mudah ke menyampaikan itu dampak dari kontrol kekurangan. Pameran 3.1 menunjukkan
sebuah contoh dari dunia audit _ terkait ke bidang TI _ sebuah organisasi.
59
Dunia audit adalah Juga sebuah penting bangunan memblokir ke dengan benar proses audit
internal berbasis risiko . Biasanya , kelompok audit internal mempersiapkan jadwal audit
tahunan ke menentukan itu nomor dari jam tersedia Dan itu nomor dari audit itu Bisa menjadi
dilakukan . Dunia audit adalah sebuah sedang berlangsung proses ; sebagai _ organisasi
perubahan , baru risiko timbul atau yang ada risiko berubah , dan baru peraturan
diperkenalkan . _ Organisasi Bisa salah satu menghapus prioritas lebih rendah audit dari itu
jadwal atau mempekerjakan luar auditor ke melengkapi staf internal .
Audit TI , untuk misalnya , punya proses TI tertentu ke termasuk dalam dunia audit . _
Kontrol Tujuan untuk Informasi Dan Teknologi Terkait (COBIT ) menyediakan komprehensif daftar
dari proses I'T yang kritis , yang mana Bisa menjadi digunakan sebagai permulaan titik .
COBIT
COBIT adalah sebuah otoritatif, set internasional _ umumnya menerima praktik TI atau kontrol
tujuan itu membantu karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI,
pemakaian gadai tanggung jawab, dan memutuskan memadai tingkat dari keamanan Dan kontrol.
mendukung COBIT itu membutuhkan ke meneliti, mengembangkan, mempublikasikan, dan memajukan
terkini secara internasional menerima kendali TI tujuan. Yang utama tekanan dari kerangka
COBIT _ diterbitkan oleh Audit Sistem Informasi dan Kontrol Yayasan pada tahun 1996 adalah ke
memastikan itu teknologi menyediakan bisnis dengan relevan, tepat waktu, dan kualitas
informasi untuk tujuan pengambilan keputusan. Kerangka COBIT, sekarang pada -nya kelima edisi
(COBIT 5), telah berkembang selama ini bertahun-tahun Dan setiap waktu ada yang utama
perubahan ke itu kerangka, itu kerangka adalah bernomor ke -nya saat ini versi.
Manfaatnya _ dari suatu standar kerangka untuk kontrol TI , seperti COBIT, adalah itu dia
memungkinkan pengelolaan ke tolok ukur -nya lingkungan Dan membandingkan dia ke lainnya
organisasi . auditor TI Bisa Juga gunakan COBIT untuk memperkuat pengendalian internal mereka
penilaian Dan pendapat . Karena itu kerangka adalah komprehensif , itu menyediakan jaminan
keamanan TI itu Dan kontrol ada .
COBIT 5, yang Bisa menjadi diunduh dari www.isaca.org, membantu organisasi menciptakan
nilai optimal dari TI oleh menjaga keseimbangan _ di antara menyadari manfaat Dan
mengoptimalkan mempertaruhkan tingkat Dan sumber gunakan . COBIT 5 adalah berdasarkan pada
lima prinsip ( lihat Gambar 3.2). COBIT 5 mempertimbangkan kebutuhan I'T _ dari internal dan
luar pemangku kepentingan ( Prinsip 1), sedangkan sepenuhnya penutup itu organisasi ' s
pemerintahan Dan pengelolaan dari informasi Dan terkait teknologi ( Prinsip 2). COBIT 5
menyediakan sebuah terintegrasi kerangka itu sejajar Dan terintegrasi dengan mudah dengan
lainnya kerangka kerja (misalnya, Komite dari Mensponsori Organisasi dari itu jalur tapak
Komisi -Risiko Perusahaan Manajemen (COSO-ERM), dll ), standar , dan terbaik praktik
digunakan ( Prinsip 3). COBIT 5 memungkinkan TI untuk menjadi diatur Dan dikelola secara
holistik tata krama untuk itu seluruh organisasi ( Prinsip 4) melalui :
COBIT 5 membantu organisasi secara memadai memisahkan pemerintahan dari pengelolaan tujuan
( Prinsip 5). Keduanya pemerintahan Dan manajemen dijelaskan _ di bawah .
a. Tata Kelola — mengoptimalkan itu menggunakan dari organisasi sumber daya ke secara
efektif alamat risiko . Tata Kelola memastikan itu itu Papan dari Direksi ( “ dewan
” ):
i. mengevaluasi pemangku kepentingan kebutuhan ke mengenali tujuan ,
ii. panduan pengelolaan oleh memprioritaskan tujuan , dan
iii. monitor keseluruhan manajemen kinerja .
b. Manajemen — oplan , build , run , dan monitor _ kegiatan Dan proses digunakan oleh
itu organisasi ke mengejar itu tujuan didirikan oleh itu papan .
Kerangka kerja COBIT 5s adalah berharga untuk semua ukuran jenis organisasi , termasuk
komersial , nirlaba , atau di _ publik sektor . Yang komprehensif kerangka menyediakan satu
set kontrol tujuan itu tidak hanya membantu manajemen TI Dan pemerintahan profesional
mengelola operasi TI mereka , tapi juga auditor TI di mereka pencarian untuk memeriksa itu
tujuan .
Proses COBIT Bisa menjadi disesuaikan ke itu organisasi ' s lingkungan . auditor TI Bisa
membantu manajemen audit mengenali itu aplikasi terkait dengan itu kritis bisnis Dan keuangan
proses , serta kontrol _ yang diperlukan _ ke membuat daerah tersebut _ diaudit bebas dari
penting eksposur ke risiko . Ini objektif Juga meliputi memvalidasi ketaatan dari itu
aplikasi sistem di bawah penyelidikan ke sesuai standar (misalnya, keuangan akuntansi
sebaiknya sesuai ke GAAP, dll.).
Langkah selanjutnya di _ perencanaan proses adalah ke melakukan suatu risiko penilaian untuk
setiap item alam semesta dari Gambar 3.1. Resikonya _ penilaian akan menganalisa eksposur Dan
membantu memprioritaskan “ tinggi risiko ” proyek audit .
Mempertaruhkan Penilaian
Mempertaruhkan penilaian dipertimbangkan _ itu dasar dari fungsi audit sebagaimana mereka _
membantu dalam mengembangkan itu proses untuk merencanakan audit individual . Secara khusus ,
risiko penilaian :
memberikan kerangka kerja untuk mengalokasikan sumber daya audit ke meraih maksimum
manfaat .
Mengingat _ tinggi nomor dari potensi audit itu Bisa menjadi dilakukan Dan sering itu
terbatas jumlah sumber daya audit , itu adalah penting ke fokus pada itu Kanan audit .
Resikonya _ penilaian mendekati menyediakan eksplisit kriteria untuk secara sistematis
mengevaluasi Dan memilih ini audit .
Di hari ini _ lingkungan , itu adalah sulit ke mengimbanginya _ _ organisasi Dan peraturan
perubahan ke menyediakan tepat waktu informasi pada pengendalian internal . Mengubah
meningkat dunia audit , itu _ nomor dari bisnis mitra ( yaitu , vendor ), dan itu nomor dari
proyek Di mana sebuah objektif Dan mandiri perspektif adalah dibutuhkan . Sebuah efektif
mempertaruhkan penilaian perencanaan proses memungkinkan audit ke menjadi lagi fleksibel Dan
efisien ke bertemu itu kebutuhan dari sebuah perubahan organisasi , seperti :
Area audit Bisa menjadi dievaluasi menggunakan pembobotan _ mencetak gol mekanisme . Namun ,
manajemen audit harus evaluasi itu hasil menggunakan milik mereka pengetahuan dari itu
organisasi tujuan Dan lingkungan ke membuat Tentu itu prioritas mencerminkan kenyataan . Area
audit mungkin Juga menjadi dikelompokkan ke meningkatkan efisiensi audit Kapan meninjau
serupa proses . Audit _ fungsi adalah bersifat siklus dalam hal itu dia kegunaan historis Dan
saat ini informasi untuk mempertaruhkan penilaian , mengevaluasi mengontrol , berkomunikasi
hasil , dan menggabungkan itu hasil kembali ke dalam itu mempertaruhkan penilaian .
Dalam risiko TI _ penilaian , untuk Misalnya , keuangan aplikasi adalah hal yang umum audit /
proyek ke menjadi peringkat . Milik mereka risiko Bisa menjadi diidentifikasi , dinilai , dan
diprioritaskan . Kontrol ( pengamanan ) juga demikian diidentifikasi ke menjadi letakkan di
tempatnya ke alamat Dan mengurangi seperti risiko . risiko TI sekitarnya keuangan aplikasi
Bisa menjadi diidentifikasi melalui :
Audit , review , inspeksi
Membaca diagram alur dari operasi
Menggunakan mempertaruhkan analisis kuesioner
Menganalisa keuangan penyataan tren
Menyelesaikan Pertanggungan kebijakan daftar periksa
Mutlak keamanan dari benang Dan risiko di masa kini _ teknologi lingkungan adalah tidak
realistis . Mempertaruhkan penilaian , menurut ke Institut Nasional _ dari Standar dan
Teknologi (NIST) Khusus Publikasi 800-30, makan digunakan ke membantu organisasi menentukan
itu cakupan dari potensi ancaman Dan itu risiko terkait dengan sistem TI Dan aplikasi .
Hasilnya _ dari itu di atas membantu manajemen dalam mengidentifikasi Dan menerapkan
pengendalian TI yang sesuai untuk mengurangi atau menghilangkan itu ancaman Dan risiko selama
itu mitigasi proses . NIST merekomendasikan itu untuk sebuah risiko penilaian , itu adalah
penting itu organisasi mengikuti ini langkah-langkah :
1. Siapkan proses _ _ _ ke mengenali atau mencirikan aset (misalnya, keuangan aplikasi , dll).
2. Mendefinisikan kerentanan pada itu aktiva Dan itu sumber ancaman itu Bisa pemicu mereka .
3. Menentukan itu kemungkinan atau kemungkinan tingkat (misalnya, sangat tinggi , tinggi ,
sedang, dll) itu kerentanan mungkin menjadi dilatih . Misalnya , probabilitas _ dari sangat
tinggi = 1,00, tinggi = 0,75, sedang = 0,50, rendah = 0,25, dan sangat rendah = 0,10 mungkin
menjadi ditugaskan untuk setiap kerentanan berdasarkan pada itu perkiraan organisasi _ dari
milik mereka tingkat kemungkinan .
4. Tetapkan besarnya _ dari dampak ke menentukan Bagaimana peka itu aset mungkin menjadi melawan
berhasil dilakukan ancaman . Besaran dari dampak Dan nilai tingkat dampak biasanya _
ditugaskan oleh pengelolaan untuk setiap berhasil ancaman itu mungkin menerapkan kerentanan .
_
5. Rekan aktiva dengan koresponden I'T dan / atau bisnis risiko .
6. Menghitung mempertaruhkan peringkat oleh mengalikan itu kemungkinan ditugaskan dari Langkah 3
di atas (misalnya, 1,00, 0,75, dst.) kali itu nilai tingkat dampak ditugaskan pada Langkah 4.
7. Menyarankan itu kontrol yang diperlukan _ ke mengurangi itu risiko menurut ke milik mereka
prioritas atau peringkat ,
Dia adalah ke atas ke itu organisasi ke menentukan Bagaimana ke kesepakatan dengan itu risiko
mereka memiliki diidentifikasi : ambil kesempatan _ Dan hidup dengan mereka atau mengambil
tindakan ke melindungi milik mereka aset . Di _ sama waktu , mereka harus mempertimbangkan
itu biaya terkait dengan menerapkan kontrol , mereka dampak pada pengguna , itu tenaga kerja
diperlukan ke melaksanakan Dan mengelola mereka , dan itu cakupan dari itu tindakan . Pameran
3.3 pertunjukan sebuah contoh dari risiko TI _ penilaian dilakukan ke mengenali Dan
memprioritaskan risiko di dalam keuangan aplikasi . Mempertaruhkan penilaian adalah dibahas
secara lebih rinci nanti bab .
Rencana Audit
Fungsi audit sebaiknya merumuskan keduanya jarak jauh Dan tahunan rencana . Perencanaan
adalah dasar _ fungsi diperlukan ke menggambarkan Apa harus menjadi tercapai , termasuk
anggaran dari waktu Dan biaya , dan negara prioritas menurut ke organisasi sasaran Dan
kebijakan . Tujuannya _ perencanaan audit _ adalah ke mengoptimalkan itu menggunakan sumber
daya audit . Untuk secara efektif mengalokasikan sumber daya audit , departemen audit
internal harus memperoleh komprehensif _ memahami dari dunia audit _ Dan itu risiko terkait
dengan setiap barang alam semesta . Kegagalan ke Pilih sesuai item Bisa berakibat meleset _
peluang ke meningkatkan kontrol Dan operasional efisiensi . departemen audit internal itu
mengembangkan Dan mempertahankan dunia audit file menyediakan diri dengan kerangka yang kokoh
untuk perencanaan audit .
Niatnya _ dari rencana auditnya adalah ke menyediakan sebuah keseluruhan mendekati di dalam
perikatan audit mana Bisa menjadi dilakukan . Dia menyediakan itu panduan untuk audit itu
proses integral organisasi .
Gambar 3.3 Risiko Penilaian Contoh untuk Area Audit Fungsional TI
Organisasi _ Dan -nya pengelolaan harus berpartisipasi dalam dan mendukung ini upaya
sepenuhnya . Komitmen Bisa menjadi diperoleh jika peserta mengenali bahwa rencana yang baik
bisa membantu tepat masalah secara tinggi lingkungan TI yang dinamis dan otomatis , untuk
contohnya . Jadi , itu sebaiknya menjadi itu tanggung jawab dari semua peserta tidak hanya
itu ke membantu tepat seperti masalah , tapi Juga ke membantu dalam _ pengukuran Dan hitungan
dari masalah .
Mengidentifikasi , mengukur , dan mengukur masalah di bidang IT sulit . Bidang TI adalah
secara teknologi kompleks dan memiliki bahasa dari -nya milik sendiri . Peserta di _
perumusan dari rencana audit TI, dan khususnya auditor TI _ sendiri , harus memiliki memadai
pengalaman Dan pelatihan teknis _ penting ke menjadi mampu ke mencengkeram kunci konsep Dan
abstraksi tentang aplikasi sistem . Misalnya saja abstraksi _ tentang IT mungkin termasuk
penting aspek yang rentan _ ke memberi nama , menghitung , atau mengonsep . Memahami itu
sistem pada tingkat ini bisa memimpin ke itu identifikasi dari bidang masalah utama . Maka
konsentrasi audit mungkin _ _ menjadi diarahkan ke itu bidang permasalahan utama paling
mungkin ke menghasilkan penting hasil .
Berdasarkan pada ini identifikasi dari masalah , auditor TI menentukan Apa data tambahan
mungkin menjadi diperlukan ke mencapai evaluasi keputusan . Oleh karena itu , proses audit
harus dilakukan menjadi fleksibel cukup ke menggabungkan terampil personel , baru teknologi ,
dan teknik audit yang baru cara untuk menyesuaikan masing-masing situasi . Namun , ini
fleksibilitas dari mendekati memerlukan dokumentasi secara terencana , terarah langkah .
Sistem yang dipahami _ buruk ( atau itu memiliki pernah dirancang tanpa memadai kontrol )
bisa berakibat hilang _ pendapatan , meningkat biaya , dan mungkin bencana atau penipuan .
Selama perencanaan audit _ fase , manajer audit TI sebaiknya bertemu dengan itu ketua
informasi petugas (CIO) dan anggota senior manajemen TI _ untuk mendapatkan mereka memasukkan
Dan persetujuan dengan itu mempertaruhkan penilaian dari proses TI di dunia audit . _ _ Jika
ada adalah sebuah kemudi TI komite , dunia audit _ sebaiknya menjadi ditinjau dengan itu juga
. _ Ini akan membantu memastikan penyelarasan antara TI , bisnis , dan audit itu kunci
mempertaruhkan daerah . Pertemuan itu dengan CIO dan manajer TI _ harus Juga memperkenalkan
staf audit _ Dan menyampaikan itu ruang lingkup , tujuan , jadwal , anggaran , dan komunikasi
proses ke menjadi digunakan selama itu pertunangan . Ini adalah Juga sebuah peluang untuk
diskusi terbuka _ manajemen TI _ persepsi dari mempertaruhkan daerah , signifikan perubahan
pada area di bawahnya ulasan , dan identifikasi dari sesuai kontak di bidang TI.
Partisi rencana audit TI audit ke dalam terpisah segmen itu menggambarkan aplikasi sistem
sebagai suatu rangkaian dari perikatan audit yang dapat dikelola Dan langkah . Di _
terperinci perencanaan atau tingkat keterlibatan , ini segmen akan memiliki tujuan yang
dirancang khusus ke melaksanakan organisasi sasaran Dan tujuan di dalam itu keadaan dari
audit . Jadi , audit TI tidak menelepon _ untuk pendekatan “ kalengan ” . Di sana adalah
TIDAK lajang seri dari terperinci Langkah itu Bisa menjadi diuraikan sekali dan Kemudian
diulangi dalam setiap audit. Oleh karena itu , rencana auditnya adalah sebuah percobaan ke
menyediakan sebuah tertib mendekati di dalam yang fleksibilitas Bisa menjadi dilatih .
Minimal, rencana audit TI, setelahnya mengumpulkan yang komprehensif memahami dari dunia
audit _ Dan itu risiko terkait dengan setiap item semesta , harus :
Proses Audit TI BB 69
Jadwal Audit
Audit internal departemen membuat jadwal audit tahunan untuk mendapatkan persetujuan dari itu
papan pada area audit , komunikasikan area audit dengan itu fungsional departemen , dan
membuat proyek / rencana sumber daya untuk itu tahun . Jadwal audit sebaiknya menjadi
terhubung ke saat ini bisnis tujuan Dan risiko berdasarkan pada milik mereka relatif biaya
dalam istilah dari potensi kehilangan dari niat baik , kerugian dari pendapatan , atau
ketidakpatuhan dengan hukum Dan peraturan .
Tahunan jadwal penciptaan adalah itu proses dari menentukan total jam audit tersedia ,
lalu
menugaskan semesta item ( area audit ) ke mengisi itu tersedia waktu . Seperti yang
disebutkan sebelumnya , ke maksimalkan itu mempertaruhkan penilaian proses , “ tinggi risiko
” alam semesta item sebaiknya menjadi diberikan prioritas audit teratas . Pembuatan jadwal
sebaiknya menjadi dilakukan secara bersamaan dengan itu tahunan mempertaruhkan penilaian
proses; ini akan mengaktifkan departemen audit internal ke akun untuk itu perubahan risiko _
peringkat Dan membuat setiap diperlukan tambahan atau penghapusan ke dunia audit . _ Dari
Tentu saja , jadwal audit akan Juga membutuhkan ke menjadi sepakat dengan komite audit
sebagai bagian _ dari itu perencanaan audit secara keseluruhan proses . Sekali _ jam audit
yang tersedia ditentukan , manajemen audit Bisa melanjutkan mempersiapkan rencana auditnya .
Perencanaan Dan penjadwalan sedang berlangsung tugas sebagai risiko , prioritas , tersedia
sumber daya , dan garis waktu berubah . Kapan ini perubahan mengambil tempat , itu adalah
penting ke menyampaikan mereka ke komite audit , dewan , dan _ semua lainnya terkena dampak
fungsional departemen .
Nama Perusahaan
Aplikasi Keuangan Dan milik mereka Asosiasi dengan Proses Bisnis
Fiskal Tahun 20XX
Tujuan : Untuk mengidentifikasi relevan aplikasi oleh pemetaan mereka ke milik mereka sesuai bisnis proses (es). Tanda “ X ” di
dalamnya meja pada itu Kanan mengidentifikasi itu bisnis proses didukung oleh itu aplikasi . Misalnya saja aplikasi SAP _ _ adalah
digunakan oleh ( atau mendukung ) Pelaporan Keuangan , Pengeluaran , Persediaan _ Manajemen , dan Pendapatan bisnis proses . Ini
asosiasi khas membenarkan itu relevansi dari itu aplikasi dan , oleh karena itu , ini inklusi sebagai bagian dari audit .
Proses Bisnis Didukung
Aplikas Singkat Pengolahan Basis Fisik Tuan rumah LokasiPelapoPengelPenggajia Inventaris Investasi Pendapa Tetap
i Keterangan Lingkungan data — Aplikasi Dan Basisran uaran n &Pengelolaa tan Aktiva
( SistemPengelola data Keuang Personali n
Operasi an an a
Dimana ituPerangkat
Aplikasi lunak
Diinstal
Pada )
1 GETAH Termasuk itu umumUNIX Peramal Pusat Data Lokal , Kedua X X X X
buku besar , Lantai ; Perusahaan
pengeluaran , Kantor pusat [ lokasi ]
inventaris
manajemen , dan
pendapatan
akuntansi modul .
2 Infiniu Mengelola ituSEBAGAI/400 Peramal Pusat Data Lokal , Kedua X
m daftar gaji Lantai ; Perusahaan
Kantor pusat [ lokasi ]
3 APS/2 Mengelola jendela Peramal Pusat Data Lokal , Kedua X
investasi . Lantai ; Perusahaan
Kantor pusat [ lokasi ]
4 garis Mengelola jangkajendela Peramal Pusat Data Lokal , Kedua X
kayu panjang dan tetap Lantai ; Perusahaan
aset . Kantor pusat [ lokasi ]
Proses Audit TI ® 75
Gambar 3.5b Contoh dari Pelingkupan untuk Komputer Umum Kontrol Tujuan Dan
Kegiatan
Nama Perusahaan
Komputer Umum Kontrol Tujuan Dan Kegiatan Terpilih
Fiskal Tahun 20XX
Bidang TI Kontrol Objektif Kontrol Aktivitas
1 Operasi ISO 1.00 - Operasi TI mendukung memadaiISO 1.01 - Kelompok dan / atau
Sistem penjadwalan , pelaksanaan ,on line pengolahan adalah
Informasi pemantauan , dan kontinuitas dariditentukan , tepat waktu
sistem , program , dan proses ke dieksekusi , dan dipantau untuk
memastikan itu pengolahan yangberhasil penyelesaian .
lengkap , akurat , dan valid Dan ISO 1.02 - Pengecualian
rekaman dari keuangan transaksi . diidentifikasi pada kelompok dan
/ atau on line pemrosesan tepat
waktu ditinjau Dan dikoreksi ke
memastikan akurat , lengkap ,
dan berwenang pengolahan dari
keuangan informasi .
2 Operasi ISO 2.00 - Penyimpanan dari keuangan1SO 2.02 - Otomatis cadangan
Sistem informasi adalah dengan tepatperalatan memiliki pernah
Informasi dikelola , akurat , dan lengkap . dilaksanakan ke mengelola
rencana penyimpanan data Dan
jadwal .
1SO 2.04 - Tes untuk itu
keterbacaan dari pencadangan
dilakukan _ secara berkala . _
Hasil mendukung tepat waktu Dan
berhasil restorasi dari
bersandaran data .
3 Operasi ISO 3.00 - Fisik mengakses adalahISO 3.02 - Fisik mengakses
Sistem dengan tepat dikelola ke menjagaadalah berwenang , dipantau ,
Informasi relevan komponen dari infrastruktur TIdan terbatas ke individu WHO
_ Dan itu integritas dari keuanganmemerlukan seperti mengakses ke
informasi . melakukan milik mereka pekerjaan
tugas . Pintu masuk dari tidak
sah personil adalah diawasi Dan
dicatat . Lognya adalah terawat
Dan secara teratur ditinjau oleh
manajemen TI .
4 Informasi ISEC 1.00 - Keamanan konfigurasi dariISEC 1.02 - Kebijakan formal Dan
Keamanan aplikasi , database , jaringan , danProsedur mendefinisikan itu
Pengoperasian sistem adalah cukuporganisasi informasi keamanan
dikelola ke melindungi melawan tidaktujuan Dan itu tanggung jawab
sah perubahan ke program dan data itudari karyawan dengan menghormati
mungkin menghasilkan pemrosesan yangke itu perlindungan Dan
tidak lengkap , tidak akurat , atau penyingkapan dari informatif
tidak valid atau rekaman dari keuangansumber daya . Pengelolaan
informasi . monitor kepatuhan dengan
keamanan kebijakan Dan
prosedur , dan perjanjian ke ini
dibuktikan _ oleh itu
tanda tangan dari karyawan .
ISEC 1.06 - Konsisten dengan
informasi keamanan kebijakan Dan
prosedur , lokal Dan terpencil
pengguna diperlukan _ ke
mengautentikasi ke aplikasi ,
database , jaringan , dan
Pengoperasian sistem melalui
kata sandi ke meningkatkan
komputer keamanan .
5 Informasi ISEC 2.00 - Memadai keamanan adalahISEC 2.02 - Pemilik sistem
Keamanan dilaksanakan ke melindungi melawanmengizinkan pengguna akun Dan
tidak sah mengakses Dan modifikasi dariitu alam Dan cakupan dari milik
sistem Dan informasi , yang manamereka mengakses hak istimewa .
mungkin menghasilkan _ _ pengolahanISEC 2.04 - Pengguna WHO
atau rekaman dari keuangan yang tidakmemiliki berubah peran atau
lengkap , tidak akurat , atau tidak tugas di dalam itu organisasi ,
valid informasi . atau itu memiliki pernah
ditransfer , atau dihentikan
segera _ diberitahukan ke itu
keamanan departemen untuk
pengguna akun mengakses revisi
untuk _ mencerminkan itu baru
dan / atau status yang
direvisi .
ISEC 2.05 - Transmisi dari peka
informasi adalah terenkripsi
konsisten dengan keamanan
kebijakan Dan Prosedur ke
melindungi -nya kerahasiaan .
6 Mengubah CCM 1.00 - Perubahan diimplementasikanCCM 1.03 - Dokumentasi terkait
Kontrol dalam aplikasi , database , jaringan , ke itu mengubah penerapan adalah
Pengelolaan dan Pengoperasian sistem ( secaramemadai Dan lengkap .
keseluruhan dirujuk menjadi “ sistem _CCM 1.05 - Dokumentasi terkait
perubahan ” ) dinilai untuk risiko ,ke itu mengubah implementasi
berwenang , dan secara menyeluruhtelah dilakukan dilepaskan Dan
didokumentasikan ke memastikandikomunikasikan ke sistem
diinginkan hasilnya memadai . _ pengguna .
7 Mengubah CCM 2.00 - Perubahan diimplementasikanCCM 2.01 - Perubahan sistem
Kontrol dalam aplikasi , database , jaringan , diuji sebelum penerapan ke dalam
Pengelolaan dan Pengoperasian sistem ( secaraitu produksi lingkungan
keseluruhan dirujuk menjadi “ sistem _konsisten dengan tes rencana Dan
perubahan ” ) sudah tepat diuji . Teskasus .
sedang dilakukan oleh suatu kelompokCCM 2.02 - Tes rencana Dan kasus
lainnya dibandingkan itu kelompokmelibatkan menyelesaikan Dan
bertanggung jawab untuk itu sistemperwakilan data uji ( sebagai
(misalnya, pengoperasian sistemgantinya dari data produksi )
perubahan diterapkan _ oleh seseorangdisetujui oleh aplikasi pemilik
lainnya dibandingkan itu sistemDan perkembangan manajemen .
pemrogram , dll.).
8 Mengubah CCM 3.00 - Perubahan diimplementasikanCCM 3.01 - Masalah Dan kesalahan
Kontrol dalam aplikasi , database , jaringan , ditemui selama pengujian dari _
Pengelolaan dan Pengoperasian sistem ( secarasistem perubahan
keseluruhan dirujuk menjadi “ sistem _diidentifikasi , dikoreksi ,
perubahan ” ) sudah tepat dikelola kediuji ulang , diikuti ke atas
mengurangi gangguan, tidak sahuntuk koreksi , dan
perubahan , dan kesalahan yang dampak didokumentasikan .
itu keakuratan , kelengkapan , dan
pengolahan yang valid Dan rekaman dari
keuangan informasi .
9 Mengubah CCM 4.00 - Perubahan diimplementasikanCCM 4.04 - Secara keseluruhan
Kontrol dalam aplikasi , database , jaringan , tinjauan adalah dilakukan oleh
Pengelolaan dan Pengoperasian sistem ( secarapengelolaan setelah sistem
keseluruhan dirujuk menjadi “ sistem _perubahan memiliki pernah
perubahan ” ) secara formal disetujuidiimplementasikan di _ hidup
ke mendukung pengolahan yang akurat ,atau produksi lingkungan ke
lengkap , dan valid Dan rekaman darimenentukan apakah itu tujuan
keuangan informasi . untuk menerapkan sistem
perubahan terpenuhi . _
Manajer melakukan terperinci ulasan dari itu bekerja dokumen Dan memastikan tujuan audit _
memiliki pernah dicapai . Manajer bertemu sering dengan klien audit , dan menyediakan
mereka dengan status audit, pendahuluan temuan diidentifikasi , jam terjadi Dan kiri ke
selesai, dll . Manajer Juga menyediakan status sering _ pekerjaan audit _ ke PPD yang
ditugaskan , kepada yang mereka laporan secara langsung . Terakhir , PPD melakukan
tinjauan tingkat tinggi _ _ dari itu pekerjaan (seperti yang disediakan oleh manajer ),
fokus pada berisiko tinggi area , kontrol di tempat yang tidak memadai dirancang juga
bukan Pengoperasian secara efektif , temuan diidentifikasi Dan milik mereka dampak ke itu
audit keseluruhan , dll. PPD cenderung ke mengandalkan pada itu terperinci ulasan
dilakukan oleh manajer atau manajer senior , dan Juga memastikan itu keseluruhan tujuan
dari audit miliki _ pernah dicapai .
Tenggat waktu adalah hal yang sangat penting komponen dari rencana audit. Mereka harus
melakukannya menjadi ditinjau Dan sepakat dengan itu klien organisasi dari awal dari _
auditnya jadi _ itu mereka mematuhi dengan persyaratan didirikan oleh ketiga pihak
(misalnya, bank , keuangan institusi , dll.) dan regulator (misalnya, pemerintah, swasta
organisasi , dll). Tenggat waktu sebaiknya menjadi dipikirkan dengan baik dari memukau ke
dalam akun itu informasi Dan sumber daya itu harus menjadi tersedia ke melakukan pekerjaan
audit _ di dalam itu didirikan persyaratan .
Memo perencanaan audit ( “ memo perencanaan ” ) adalah bagian dari auditor bekerja _
dokumen Dan dokumen itu bagian hanya dijelaskan . Memo perencanaannya adalah _ khas siap
oleh senior perikatan audit , dan ditinjau oleh itu Pengelola sebelum mengirimkan dia ke
PPD untuk _ persetujuan.Lampiran 1 menunjukkan format memo perencanaan TI yang khas ,
termasuk _ itu Prosedur yang mungkin menjadi dilakukan oleh auditor TI sehubungan dengan
suatu perikatan audit . Memo perencanaan mungkin _ menjadi disesuaikan untuk itu spesifik
fakta Dan keadaan dari perikatan audit . _ Ini termasuk menghapus bagian yang tidak dapat
diterapkan . Memo dalam Lampiran 1 mencakup beberapa kata-kata yang dicetak miring itu
adalah salah satu diselubungi di dalam tanda kurung atau tanda kurung . Format ini adalah
digunakan ke menunjukkan informasi ke menjadi diganti sebagaimana berlaku , atau itu
panduan itu penyelesaian dari memo itu .
Proses Audit
Penyataan pada Audit Standar (SAS No. 1) memiliki memengaruhi dari mengamanatkan seragam,
berorientasi pada proses mendekati untuk mengaudit perikatan . Pendekatannya _ digambarkan
adalah benar _ proses teknik . Itu adalah , audit mengikuti serangkaian _ dari logis ,
teratur langkah , masing-masing dirancang ke menyelesaikan spesifik akhir hasil .
Ini adalah Juga itu kasus untuk audit TI . Perbedaan dalam audit I'T adalah _ itu
terspesialisasi mendekati ke pekerjaan audit _ Dan itu keterampilan diperlukan ke memahami
teknologi Dan pengendalian TI _ lingkungan . Fase -fasenya dari audit kegiatan khas lap
Dan melibatkan beberapa penilaian ulang Dan menelusuri kembali dari Prosedur dilakukan
sebelumnya . Umum fase dari perikatan audit ditunjukkan pada Gambar 3.6 . _ Yang pertama
dua fase , Risiko Penilaian dan Rencana Audit, miliki pernah menjelaskan di atas . Berikut
ini adalah
penjelasan dari itu tersisa fase terkait ke audit TI .
Pendahuluan Tinjauan
Dalam hal ini fase , auditor harus _ memperoleh Dan tinjauan ringkasan informasi tingkat
Dan evaluasi itu dalam kaitannya ke tujuan audit . _ Tujuannya _ dari itu pendahuluan
tinjauan fase dari perikatan audit TI adalah ke mengumpulkan sebuah memahami dari
lingkungan TI , termasuk _ itu kontrol yang ada itu penting _ ke bertemu itu tujuan audit
secara keseluruhan . Auditor TI melakukan ini pendahuluan
tinjauan pada tingkat umum , tanpa memeriksa detail dari aplikasi individu Dan itu proses
terlibat . Sebaliknya , auditor TI melakukan wawancara kunci personil ke menentukan
kebijakan Dan praktik , dan bersiap informasi audit tambahan sesuai kebutuhan .
Pendahuluan tinjauan informasi berfungsi sebagai dasar untuk mendukung itu informasi
termasuk dalam rencana audit TI.
Metode diterapkan dalam berkumpul data ini termasuk meninjau komputer informasi sistem dan
antarmuka manusia praktik , prosedur , dokumen , narasi , diagram alur , dan catatan tata
letak . Prosedur audit lainnya dilaksanakan ke mengumpulkan data meliputi : observasi ,
wawancara , inspeksi yang ada dokumentasi , dan diagram alur , di antaranya lainnya .
Fisik inspeksi teknik digunakan _ keduanya ke mengumpulkan data dan ke mengesahkan yang
ada dokumen atau representasi dibuat selama itu wawancara . Misalnya , satu _ mengunjungi
ke itu komputer / pusat data Bisa menyediakan kedua pengumpulan data Dan validasi peluang
untuk menentukan peralatan konfigurasi , perpustakaan prosedur , operasi prosedur , fisik
keamanan kontrol , yang ada lingkungan kontrol , dan pengendalian data lainnya prosedur .
Banyak dari ini prosedurnya secara substansial itu sama tanpa memedulikan dari apakah
itu akuntansi sistem adalah terkomputerisasi atau tidak. Perbedaan terkait dengan audit
dari _ terkomputerisasi sistem tengah sekitar perubahan dalam pengendalian , dokumentasi ,
teknik audit , dan teknis kualifikasi diperlukan oleh staf audit anggota . Lampiran 2
menunjukkan sebuah contoh dari itu jenis dari pertanyaan Dan informasi itu sebaiknya
menjadi didokumentasikan Kapan mengumpulkan sebuah memahami dari lingkungan TI . _
Proses Audit TI m 81
Mengidentifikasi Aplikasi Keuangan
Dengan itu membantu dari manajemen , auditor TI harus memutuskan Apa aplikasi sistem akan
memiliki ke menjadi diperiksa di lebih _ tingkat rinci ( yaitu , pelingkupan ). Sebagai
dasar untuk persiapan dari rencana audit , auditor TI harus Juga menentukan , secara
umum , bagaimana caranya banyak waktu akan menjadi diperlukan , apa jenis dari rakyat Dan
keterampilan akan menjadi diperlukan ke mengadakan itu pemeriksaan ; dan , kira-kira , apa
itu jadwal akan menjadi .
Identifikasi _ dari keuangan aplikasi Bisa menjadi ahli dengan yang diperoleh auditor
keakraban dengan itu organisasi akuntansi Prosedur Dan proses . Pentingnya _ dari
menentukan itu penting keuangan aplikasi harus _ menjadi berasal dari melalui pendahuluan
analisis . Penilaian _ dari itu kecanggihan dari itu aplikasi , itu kompleksitas , itu
bisnis proses mereka
dukungan , dan cakupan dari kegunaannya adalah faktor itu datang ke dalam bermain dalam
memutuskan apakah ke Pilih seperti aplikasi Dan Bagaimana satu mungkin evaluasi itu .
Seperti yang dinyatakan sebelumnya , itu pendahuluan tinjauan fase merupakan langkah
penting dalam proses audit _ itu memeriksa sebuah organisasi keuangan sistem Dan
menyediakan auditor dengan dasar untuk _ memilih area audit untuk lagi terperinci analisis
Dan evaluasi apakah mereka manual atau terkomputerisasi .
Auditor terlibat dalam peninjauan keuangan aplikasi sebaiknya fokus milik mereka
kekhawatiran pada itu aplikasi kontrol aspek . Ini memerlukan milik mereka keterlibatan
dari itu waktu transaksi _ adalah dimulai sampai itu adalah diposting ke dalam itu
organisasi ' s umum buku besar . Khususnya , auditor harus memastikan itu ketentuan
dibuat _ untuk :
Jejak audit yang memadai itu transaksi Bisa menjadi dilacak maju Dan ke belakang melalui
itu keuangan aplikasi
Dokumentasi _ Dan adanya dari kontrol atas _ akuntansi untuk semua data ( misalnya,
transaksi , dll.) dimasukkan ke dalam itu aplikasi Dan kontrol ke memastikan itu
integritas dari itu transaksi selama itu terkomputerisasi segmen dari itu aplikasi
Penanganan pengecualian ke , dan penolakan dari , itu keuangan aplikasi
Satuan dan pengujian terintegrasi , dengan kontrol yang ada ke menentukan apakah itu
aplikasi lakukan seperti yang dinyatakan
Kontrol atas perubahan ke itu aplikasi ke menentukan apakah itu sesuai otorisasi telah _
diberikan Dan didokumentasikan
Otorisasi Prosedur untuk aplikasi sistem menimpa Dan dokumentasi dari itu proses
Menentukan apakah organisasi Dan pemerintah kebijakan Dan prosedur dipatuhi _ ke dalam
sistem penerapan
Pelatihan pengguna personel di _ operasi dari itu keuangan aplikasi
Mengembangkan terperinci evaluasi kriteria Jadi itu dia adalah mungkin ke menentukan
apakah itu dilaksanakan lamaran telah terpenuhi telah ditentukan sebelumnya spesifikasi
Memadai kontrol di antara saling berhubungan aplikasi sistem
Memadai keamanan Prosedur ke melindungi itu data pengguna
Cadangan Dan pemulihan Prosedur untuk itu operasi dari itu aplikasi Dan jaminan dari
bisnis kontinuitas
Memastikan teknologi asalkan oleh berbeda vendor ( yaitu , operasional platform ) adalah
kompatibel Dan dikendalikan
Cukup dirancang Dan dikendalikan database ke memastikan itu umum definisi data yang
digunakan selama itu organisasi , redundansi adalah dihilangkan atau dikontrol , dan data
ada dalam jumlah banyak database adalah diperbarui secara bersamaan
82 m [ Pengendalian Teknologi Informasi dan Audit
Ini daftar menegaskan itu auditor TI adalah terutama khawatir dengan memadai kontrol ke
menjaga itu organisasi ' s aset .
Tes Kontrol
Auditor TI mengeksekusi beberapa prosedur untuk _ tes kontrol , proses , dan tampak
eksposur . Prosedur audit ini mungkin termasuk memeriksa dokumenter bukti , serta
pertunjukan _ menguatkan wawancara , inspeksi , dan pengamatan pribadi .
Dokumenter bukti mungkin terdiri atas dari berbagai _ dari formulir dari dokumentasi
pada itu aplikasi sistem di bawah ulasan . Contoh sertakan catatan dari pertemuan pada
subjek sistem , catatan pemrogram , sistem dokumentasi , tangkapan layar , pengguna manual
, dan mengubah kontrol dokumentasi dari setiap sistem atau operasi perubahan sejak
permulaan , dan salinannya _ dari itu kontrak jika ketiga Para Pihak terlibat . Memeriksa
seperti dokumenter bukti mungkin memerlukan auditor I'T untuk bertanya pertanyaan dari itu
pengguna , pengembang dan manajer ke membantu dia atau dia mendirikan itu sesuai tes
kriteria ke menjadi digunakan . Dia Juga membantu dalam mengidentifikasi itu kritis
aplikasi Dan proses ke menjadi diuji .
Menguatkan wawancara juga _ bagian dari proses pengujian , dan _ mungkin termasuk Prosedur
seperti :
Meminta berbeda personil itu sama pertanyaan Dan perbandingan milik mereka jawaban
Meminta itu sama pertanyaan yang berbeda cara pada berbeda waktu
Perbandingan jawaban ke mendukung dokumentasi , pekerjaan makalah , program , tes , atau
lainnya dapat diverifikasi hasil
Perbandingan jawaban ke observasi Dan sebenarnya sistem hasil
Sebuah contoh akan melibatkan mewawancarai seorang programmer untuk sebuah aplikasi di
bawah ulasan . Pemrogram _ negara bagian itu itu aplikasi telah mengalami terkini
perubahan yang tidak tercermin dalam saat ini dokumentasi . Dia adalah sangat penting ke
mengenali Apa itu perubahannya adalah jika itu daerah dari itu aplikasi adalah untuk
menjadi terpilih untuk pengujian kontrol .
Untuk pemeriksaan dari dokumentasi , auditor TI dapat memperoleh itu logis pengaturan
( yaitu , kata sandi ) saat ini dikonfigurasi pada itu organisasi jaringan , beroperasi
sistem , dan keuangan aplikasi tingkat . Dari tertentu pentingnya adalah ke memperoleh Dan
menilai itu jaringan ' s dikonfigurasi logis pengaturan seperti ini adalah itu tingkat
pertama _ autentikasi sebelum pengguna dapat memperoleh akses ke itu keuangan aplikasi .
Pengaturannya _ diterima kemudian _ dibandingkan melawan itu organisasi kata sandi
kebijakan ke menentukan apakah mereka mematuhi atau tidak _ dengan seperti kebijakan . Di
_ ketiadaan dari kata sandi kebijakan , itu organisasi logis pengaturan dikonfigurasi
dibandingkan _ melawan industri standar atau terbaik praktek . Dokumentasi mendukung itu
di atas pengaturan adalah biasanya Pertama diperoleh melalui wawancara informasi keamanan
personel .
Lain prosedur audit umum ke tes Dan mengesahkan informasi akan menjadi ke mengamati
sebenarnya Prosedur memukau tempat . Di _ contoh di atas , auditor TI akan melakukannya
mengamati itu pengaturan dikonfigurasi di _ keuangan aplikasi Dan meminta organisasi
personil ke mencetak keluar tangkapan layar untuk dokumentasi dalam pekerjaan audit _
makalah . Pameran 3.7a menunjukkan sebuah contoh dari umum dokumentasi diperoleh mendukung
itu kata sandi pengaturan dikonfigurasi . Dalam hal ini kasus , pengaturan misalnya
diberlakukan _ kata sandi sejarah , minimum ( atau maksimum ) kata sandi usia , kata sandi
minimum panjang , kata sandi kompleksitas , akun penguncian durasi Dan ambang batas , dan
apakah kata sandi memiliki pernah disimpan menggunakan dapat dibalik enkripsi adalah
beberapa dari itu pengaturan itu biasanya _ berkumpul . Auditor TI sedang bekerja kertas
mendokumentasikan pengujian _ beberapa dari ini pengaturan akan Lihat menyukai itu satu di
Tampilan 3.7b. Melihat pada itu meja itu sebenarnya kata sandi pengaturan dikonfigurasi
didokumentasikan pada itu jaringan ( atau itu Pertama tingkat otentikasi ), beroperasi
sistem , dan keuangan aplikasi tingkat . Juga catatan pemberitahuan dan tanda centang
( penjelasan ) tentang itu informasi di dalamnya dan , sebagian besar yang penting , itu
penilaian dari apakah itu klien kata sandi pengaturan mematuhi dengan salah satu itu yang
ada perusahaan kebijakan , atau industri standar Dan terbaik praktek . Kapan pengaturan
tidak mematuhi _ dengan itu kebijakan atau industri standar atau terbaik praktik ,
pengecualian audit ( temuan ) ditulis ke atas Dan dicantumkan secara terpisah bekerja
kertas . Ini bekerja kertas akan pada akhirnya membantu Kapan menulis ke atas itu temuan /
kekurangan bagian dari itu Pengelolaan Surat . Sebentar _ contoh dari pengamatan sebagai
ujian prosedur akan melibatkan auditor TI yang memeriksa bencana pemulihan berolahraga .
Di sini, auditor TI bisa menentukan apakah personil diikuti sesuai Prosedur Dan proses .
Melalui pengamatan pribadi , auditor dapat _ menilai Dan menentukan apakah personil adalah
mengikuti Pengoperasian Prosedur Dan rencana , dan adalah cukup siap untuk itu bencana
disimulasikan .
Proses Audit TI B ® 83
84 m [ Pengendalian Teknologi Informasi dan Audit
Pengujian Substantif
Di mana kontrol bertekad untuk tidak melakukannya menjadi pengujian substantif mungkin
efektif _ menjadi diperlukan ke menentukan apakah di sana adalah masalah materi dengan itu
dihasilkan keuangan informasi . Dalam audit TI, pengujian substantif adalah digunakan ke
menentukan itu ketepatan Dan kelengkapan dari informasi makhluk dihasilkan oleh suatu
proses atau aplikasi . Kebalikan ke pengujian kepatuhan di mana itu auditor _ _ sasaran
adalah ke mengonfirmasi apakah itu organisasi adalah mengikuti ke berlaku kebijakan ,
prosedur , aturan , dan peraturan . Sebuah contoh dari suatu kepatuhan tes prosedur akan
menjadi memverifikasi itu sebuah perubahan atau upgrade secara finansial aplikasi dulu
cukup diuji , disetujui , dan didokumentasikan sebelumnya ke -nya implementasi .
Tanda centang ( penjelasan ):
{1} — Kata sandi pengaturan diperoleh dari perusahaan kebijakan . Menyalin dari itu
perusahaan kebijakan mendukung ini pengaturan adalah didokumentasikan dalam w/p [##].
{a } — Penegakan Kata sandi Riwayat , Usia Kata Sandi Minimum , Kata Sandi Minimum
Panjang , Kata Sandi Kompleksitas , dan Akun Penguncian pengaturan tidak dikonfigurasi
konsisten dengan perusahaan kebijakan , dan oleh karena itu , jangan berpromosi sebuah
tingkat yang dapat diterima keamanan . Nilainya _ dikonfigurasi untuk Kata sandi
Kompleksitas juga demikian telah diatur ke “ Dinonaktifkan . ” Kata sandi kompleksitas
persyaratan menetapkan kata sandi minimum parameter tidak mudah dikompromikan itu pengguna
harus ikuti dalam pendirian milik mereka kata sandi , khususnya pada tingkat LAN /Windows,
yang mana berfungsi sebagai _ lapisan pertama _ otentikasi . Pengecualian dicatat .
Merujuk ke w/p [##], di mana ini pengecualian memiliki pernah terdaftar .
Proses Audit TI m 85
{b} — Kata sandi keamanan pengaturan dikontrol _ melalui pengoperasian Windows _ sistem .
Oleh karena itu , konfigurasi dari kata sandi LAN /Windows pengaturan mencakup ini
aplikasi . Merujuk ke baris LAN /Windows di atas .
{c} — Kata sandi keamanan pengaturan seperti Usia Kata Sandi Minimum , Kata Sandi Minimum
Panjang , Kata Sandi Kompleksitas , dan Akun Penguncian memiliki pernah dikonfigurasi
konsisten dengan itu perusahaan kebijakan , promosi sebuah tingkat yang memadai keamanan .
TIDAK pengecualian dicatat .
{d} — Aplikasi Kegunaan keterbatasan jangan izinkan _ itu pelaksanaan dari kata sandi
sejarah .
Pengecualian dicatat . Merujuk ke w/p [##], di mana ini pengecualian telah terjadi
terdaftar .
Tes audit substantif dirancang _ Dan diadakan ke memeriksa itu fungsional akurasi ,
efisiensi , dan kontrol dari subjek auditnya . _ Selama audit keuangan _ _ _ aplikasi ,
untuk Misalnya , auditor TI akan melakukannya membangun Dan proses data uji ke memeriksa
itu pengolahan Langkah dari seperti sebuah aplikasi .
Audit melalui komputer adalah istilah itu melibatkan langkah tambahan _ ke itu tersebut
sebelumnya . Program dijalankan _ pada itu komputer ke tes Dan mengautentikasi aplikasi
program yang dijalankan dalam pemrosesan normal . Biasanya , itu tim audit keuangan akan
Pilih satu dari itu banyak Perangkat Lunak Audit Umum paket seperti SAS, SPSS, Teknik
Audit Berbantuan Komputer (CAATS), atau CA- Easytrieve (T) dan menentukan Apa perubahan
diperlukan _ ke berlari itu perangkat lunak pada itu instalasi . Auditor keuangan
menggunakan ini spesifik perangkat lunak wo melakukan pengambilan sampel, ekstraksi data ,
pengecualian melaporkan , meringkas Dan kaki total , dan lainnya tugas . Mereka juga
menggunakan paket seperti Microsoft Access, Excel, IDEA, atau ACL karena dari kedalaman
mereka _ analisis Dan pelaporan kemampuan .
CAATS, untuk Misalnya , gunakan yang disediakan auditor spesifikasi ke menghasilkan
program itu melakukan fungsi audit , seperti mengevaluasi _ aplikasi kontrol , memilih Dan
menganalisa data terkomputerisasi untuk tes audit substantif , dll. Intinya , CAAT
mengotomatisasikan Dan menyederhanakan proses audit , dan _ ini adalah mengapa tim audit (
eksternal dan internal) semakin meningkat menggunakan mereka . Faktanya , banyak _
organisasi memiliki Perangkat Lunak Audit Umum sudah dipasang untuk auditor internal
mereka ke mengizinkan mereka ke mengumpulkan informasi Dan mengadakan itu tes audit yang
direncanakan . Yang sesuai pilihan Dan efektif menggunakan dari alat audit ini tidak hanya
penting _ ke melakukan pengujian audit yang memadai tetapi Juga ke dokumen hasil .
Dokumen Hasil
Berikutnya _ fase dari melibatkan audit _ mendokumentasikan hasil dari itu bekerja
dilakukan , serta pelaporan _ pada itu temuan . Hasil audit sebaiknya sertakan deskripsi _
temuan audit , kesimpulan , dan _ rekomendasi .
Temuan Audit
Persyaratannya _ temuan , pengecualian , kekurangan , penyimpangan , masalah, dan masalah
pada dasarnya identik dalam dunia audit , dan _ berarti auditor mengidentifikasi suatu
situasi _ Di mana pengendalian , prosedur , atau efisiensi Bisa menjadi membaik . Temuan
mengenali Dan menggambarkan tidak akurat , tidak efisien , atau secara tidak memadai
subyek audit yang dikendalikan . Sebuah contoh dari temuan audit TI akan menjadi perubahan
_ dilaksanakan menjadi keuangan _ aplikasi itu tidak termasuk _ sesuai pengelolaan
otorisasi . Lain contoh akan termasuk temuan auditor TI itu itu organisasi manual prosedur
tidak memerlukan _ manajemen izin sebelum menerapkan perubahan ke dalam aplikasi .
Temuan audit sebaiknya menjadi secara individu didokumentasikan Dan sebaiknya pada
paling sedikit termasuk itu berikut :
Nama dari lingkungan TI ( operasi _ sistem menjadi tuan rumah itu relevan keuangan
aplikasi dievaluasi _
Area TI yang terpengaruh ( operasi IS , informasi keamanan , perubahan kontrol manajemen )
Bekerja kertas tes referensi Di mana itu temuan dulu diidentifikasi
Kontrol umum tujuan dan _ aktivitas ( ies ) itu gagal
Singkat keterangan dari itu temuan
Di mana adalah itu temuan secara formal dikomunikasikan ke manajemen ( ini sebaiknya
referensi itu Pengelolaan Surat di dalam Laporan Auditor ) _
Klasifikasi individu dari itu temuan per standar audit AU 325, Komunikasi Tentang Kontrol
Kekurangan dalam Audit Laporan Keuangan , baik sebagai kekurangan , signifikan _ _
kekurangan , atau kelemahan materi ”
Evaluasi dari itu temuan , secara spesifik apakah dia dulu diidentifikasi pada itu tingkat
desain (yaitu, di sana adalah TIDAK umum kontrol di tempat ) atau pada itu tingkat
operasional ( yaitu ., itu umum kontrol ada di tempatnya, tapi tidak menguji _ secara
efektif )
Apakah itu temuan mewakili atau tidak meresap atau risiko tingkat entitas
Apakah itu temuan Bisa menjadi dimitigasi oleh lainnya kompensasi umum kontrol , dan jika
jadi , sertakan referensi ke Di mana ini kontrol memiliki pernah diuji berhasil
Temuan audit bentuk (misalnya, Komputer Umum Kontrol Temuan Bentuk , dll) bisa menjadi
digunakan ke tinjauan itu kontrol masalah diidentifikasi dengan itu manajer TI yang
bertanggung jawab untuk setuju pada perbaikan tindakan . Ini informasi Bisa Kemudian
menjadi digunakan ke mempersiapkan Manajemen formal _ Surat itu akan menemani Laporan
Audit _ Dan itu perbaikan tindakan tindak lanjut . Memukau perbaikan tindakan bisa
hasilnya ditingkatkan _ produktivitas ; itu pencegahan dari penipuan ; atau itu pencegahan
dari keuangan kehilangan , cedera pribadi , atau lingkungan kerusakan . Pameran 3.8
pertunjukan sebuah contoh dari lembar kerja itu mungkin menjadi digunakan ke meringkaskan
temuan individu _ diidentifikasi selama audit TI .
Komunikasi
Nilainya _ dari audit tergantung , secara besar - besaran bagian , pada Bagaimana efisien
Dan secara efektif -nya hasilnya dikomunikasikan . _ Di _ kesimpulan tes audit , itu _
adalah terbaik ke membahas itu diidentifikasi temuan dengan manajemen TI untuk mendapatkan
mereka perjanjian Dan mulai setiap diperlukan perbaikan tindakan . Temuan , risiko sebagai
hasilnya dari itu temuan , dan rekomendasi audit biasanya _ didokumentasikan pada itu
Pengelolaan Surat (secara terpisah bagian dari Laporan Audit ) . Merujuk ke Gambar 3.9
untuk sebuah contoh dari format Manajemen _ _ _ Surat dari audit TI .
Proses Audit TI m 91
Saat diterima dari itu Pengelolaan Surat , AKU BUKAN manajemen Dan terpengaruh staf
sebaiknya tinjauan itu dokumen segera . Itu item belum _ lengkap sebaiknya menjadi
ditangani Dan ditindaklanjuti . Dalam waktu yang relatif pendek waktu , itu fakta itu
semua perbedaan memiliki pernah dikoreksi sebaiknya menjadi ditularkan ke staf audit
secara formal . _ Ini tindakan dicatat dalam file audit , dan _ _ seperti kerja sama
mencerminkan menguntungkan di masa depan audit .
Dia adalah penting ke melacak perbaikan tindakan ke memeriksa itu temuan memiliki pernah
diperbaiki . Ini memerlukan proses formal ke melacak perbaikan tindakan , tanggal target ,
dan status untuk pelaporan kepada manajemen I'T , komite audit , dan _ itu papan .
Di _ menutup dari audit , rancangan Laporan Audit adalah diterbitkan untuk tinjauan oleh
semua terkena dampak pesta . Ulasannya _ proses akan pergi banyak lebih cepat jika temuan
memiliki sudah pernah sepakat dengan pengelolaan selama pengujian dan _ kesimpulan fase .
Setelah Laporan Audit selesai _ _ diselesaikan , itu adalah hal yang baik praktik ke
jadwal sebuah KELUAR pertemuan melibatkan keduanya , TI dan keuangan sisi . Biasanya ,
undangan ke itu KELUAR pertemuan dikirim _ ke CIO dan _ itu Kepala Pejabat Keuangan (CFO)
( atau Pengendali jika CFO tidak tersedia ) untuk _ _ membahas audit , serta untuk _
tinjauan tujuan audit _ Dan bertanya untuk masukan pada itu pertunjukan dari tim audit . _
Ini pertemuan akan menyediakan berharga informasi ke dalam itu pertunjukan dari staf audit
_ Dan pelajaran terpelajar untuk membaik masa depan pertunangan .
Untuk meringkas proses audit _ dijelaskan dalam hal ini bab , lihat ke Gambar 3.10.
Arsitektur Perusahaan
manajemen TI harus mengembangkan organisasi Prosedur ke memastikan terkendali _ Dan
efisien Arsitektur untuk informasi pengolahan . Ini Prosedur sebaiknya Juga menentukan itu
komputer Dan periferal peralatan diperlukan ke mendukung semua fungsi dalam sebuah
ekonomis Dan tepat waktu cara . Dengan perusahaan sistem makhluk sangat kritis hingga
ukuran sedang Dan besar bisnis hari ini , itu membutuhkan untuk memantau dan mengesahkan
operasional integritas dari sebuah perusahaan sumber perencanaan sistem adalah sebuah
penting proses . Audit TI dimainkan sebuah penting berperan dalam memelihara , memvalidasi
, dan pemantauan itu perusahaan arsitektur .
Pengembangan Sistem
Terkait audit TI ke sistem perkembangan akan membuat yakin itu aplikasi Dan sistem di
bawah perkembangan bertemu itu tujuan dari itu organisasi , memuaskan Gunakan T
persyaratan , dan menyediakan efisien , akurat , dan hemat biaya aplikasi Dan sistem . Ini
jenis audit memastikan _ itu aplikasi Dan sistem ditulis , diuji , dan _ dipasang sesuai _
dengan umumnya diterima standar untuk sistem pengembangan .
Kesimpulan
Selama beberapa dekade , itu komputer telah _ digunakan ke mendukung sehari-hari operasi
dalam bisnis lingkungan . Paling perusahaan menemukan itu mereka harus menggunakan
komputer teknologi secara efektif ke tetap kompetitif . Alam _ dari teknologi ,
bagaimanapun , terus berlanjut ke mengubah dengan cepat . Akibatnya , perusahaan _
melanjutkan ke mengintegrasikan milik mereka akuntansi / keuangan sistem Dan operasi .
Profesi audit telah berhasil ini penyesuaian juga . _ Di seluruh dunia, profesional
organisasi memiliki diterbitkan berguna panduan Dan petunjuk ke membantu manajer Dan para
profesional audit .
Apakah ulasan audit TI informasi sistem operasi , informasi keamanan , atau aplikasi , itu
kontrol diterapkan di dalamnya daerah harus menjadi diverifikasi . Auditor TI _ _ fungsi
( baik internal atau eksternal ) menyediakan wajar jaminan itu sistem aset dilindungi ,
informasi _ adalah tepat waktu Dan dapat diandalkan , dan kesalahan Dan ditemukan
kekurangannya _ Dan dikoreksi segera . Sama penting tujuan dari ini fungsinya efektif _
pengendalian , menyelesaikan jejak audit , dan kepatuhan dengan organisasi kebijakan .
Alam _ dari audit akan niscaya melanjutkan ke menjalani besar berubah seiring tingkat _ _
teknologi membaik . Penuh otomatisasi dari proyek inisiasi ke pelaporan akhir _ panggung
akan memungkinkan auditor ke membuat lagi efisien menggunakan dari tersedia sumber daya
Dan meningkatkan itu kredibilitas dari audit yang dilakukan . Efektif menggunakan dari
komputer teknologi Bisa Juga memberdayakan auditor ke lebih baik memahami itu desain dari
itu milik klien komputer sistem , serta perilaku _ berhasil audit di hari ini _ sangat
otomatis lingkungan .
Tinjauan Pertanyaan
Latihan
1. Sebagai senior audit TI itu pertunangan , Anda sedang melakukan presentasi ke manajer TI _
dan mitra (sebagai bagian dari itu perencanaan pertemuan ) itu hasil dari itu
mempertaruhkan penilaian dilakukan pada Gambar 3.3. Berdasarkan pada seperti hasil ( lihat
pada Gambar 3.3, di bawah itu “ Risiko Peringkat ” dan “ Tindakan Prioritas ”
kolom ), itu tampaknya jernih itu audit seharusnya _ fokus tentang Aplikasi Keuangan #2
(FA2). Namun demikian , manajer TI dan mitra, berdasarkan pada sebelumnya relevan
pengalaman , percaya itu audit seharusnya _ menjadi dilakukan tentang Aplikasi Keuangan #1
(FA1). Perencanaan _ pertemuan sudah berakhir, dan Anda tetap merasa diragukan pada itu
keputusan hanya dibuat . Milikmu tugas : Siapkan memo dua halaman untuk manajer audit
( menyalin _ mitra ) menyatakan milikmu alasan mengapa FA2 harus menjadi diaudit pertama .
Untuk _ meyakinkan manajer audit _ dan partner, kamu harus melakukannya memikirkan “ di
luar itu kotak . ” Di lainnya kata-kata , pikirkan dari tambahan informasi belum tentu
didokumentasikan dalam _ mempertaruhkan penilaian ditunjukkan pada Gambar 3.3, dan dokumen
dalam informasi memo Anda terkait kepada :
a. Tambahan apa pun kerentanan atau kelemahan itu mungkin saat ini berada di tempatnya
mempengaruhi FA2
b. Tambahan apa pun sumber ancaman itu Bisa pemicu itu kerentanan atau kelemahan Anda hanya
diidentifikasi untuk FA2
c. Tambahan apa pun risiko atau situasi melibatkan paparan ke kehilangan untuk itu keuangan
informasi di FA2
d. Tambahan apa pun kontrol atau Prosedur itu sebaiknya menjadi dilaksanakan ke mengurangi
itu risiko hanya diidentifikasi
2. Gunakan _ mengikuti informasi ke mempersiapkan sebuah Memo Perencanaan TI yang serupa ke
itu satu di Lampiran 1.
a. Anda adalah senior audit I'T ( atau perwakilan auditor I'T ) yang ditugaskan . Perusahaan
audit Anda memiliki beberapa cabang , tapi kamu sedang bekerja ini tertentu klien dari
kantor Melbourne , FL .
b. Audit TI akan melakukannya mendukung itu keuangan audit laporan Perusahaan XYZ , dengan
fiskal tahun akhir pada 31 Desember 20XX.
c. Diskusi dengan itu Direktur audit keuangan mengenai keterlibatan audit TI memiliki sudah
diambil tempat , dan didokumentasikan dalam pekerjaan _ kertas (w/p) 1000.1. auditor TI
belum _ _ terlibat sebelumnya _ audit untuk ini klien .
d. Milikmu tim adalah tersusun terdiri dari : IT Partner P, IT Manager M, dan IT Audit Staff
AS. Anda adalah Senior S. audit TI .
e. Waktu audit meliputi : Perencanaan akan menjadi dilakukan selama itu keenam bulan dari itu
tahun sedang diaudit; Prosedur audit interim akan mengambil tempat selama 2 bulan sebelum
itu akhir dari itu fiskal tahun ; Akhir tahun prosedur dijadwalkan _ untuk Januari sampai
bulan Maret itu tahun mengikuti itu akhir dari itu fiskal tahun ; Dan semua bekerja
dokumen dan dokumentasi audit akan menjadi jatuh tempo oleh Dan tertanda mati pada tanggal
30 April itu tahun mengikuti itu akhir dari itu fiskal tahun .
f. Audit TI adalah diperkirakan ke memakan waktu 100 jam . Jam akan menjadi dibebankan ke
klien kode : Perusahaan XYZ-0000.
g. Sebuah pemahaman lingkungan TI Perusahaan XYZ _ _ _ adalah didokumentasikan dalam w/p
1540.
h. Ketiganya _ relevan aplikasi untuk audit TI meliputi :
i. Semua Akuntansi Aplikasi (AAA) — digunakan ke menangkap Dan pengolahan terkait akuntansi
transaksi . AAA adalah dipasang pada platform UNIX ( atau Pengoperasian sistem ), dan
menggunakan basis data Oracle . AAA bisa menjadi diakses melalui jaringan Windows .
ii. Aplikasi Penghasil Dokumen Keuangan (FDGA) — digunakan ke menghasilkan semua jenis dari
keuangan laporan Dan dokumentasi . FDGA adalah dipasang pada operasi Windows sistem , dan
menggunakan Oracle sebagai miliknya basis data . FDGA adalah diakses melalui jaringan
Windows .
iii. Sumber Daya Manusia dan Daftar gaji Aplikasi (HRPA) — digunakan ke mengelola itu sumber
daya manusia perusahaan _ Dan proses penggajian . Ini aplikasi adalah dihosting di luar
dari itu perusahaan , di pihak ketiga organisasi disebut HRP-Untuk-Semua.
Proses Audit TI B ® 95
i. Yang relevan aplikasi kontrol digunakan ke mengurangi risiko dalam audit ini tercantum
dalam Tampilan 3.5b ( ini harus menjadi ditambahkan ke Memo Perencanaan TI ). Gunakan w/p
1000.2 untuk referensi tujuan .
j. Penyimpangan atau temuan dihasilkan dari pengujian _ relevan aplikasi kontrol akan menjadi
didokumentasikan dalam w/p 2302.
k. Di sana akan menjadi TIDAK bekerja dari orang lain (misalnya, personel Audit Internal ,
dll.) yang digunakan dalam audit TI.
l. Sumber daya manusia Dan daftar gaji layanan dilakukan _ oleh pihak ketiga melayani
organisasi disebut HRP-For-All, berlokasi di Austin, Texas. Deloitte , itu auditor layanan
, adil selesai menerbitkan laporan _ menilai itu kontrol pada itu melayani organisasi
untuk itu periode 1 Juli 20XX sampai dengan 30 Juni 20XX. Kontrol di HRP-For-All ditemukan
ke menjadi efektif .
m. Tidak ada _ lainnya daerah diidentifikasi dalam Perusahaan XYZ bahwa auditor TI Bisa
membantu dengan .
3. Bagaimana adalah pengujian substantif yang digunakan dalam audit TI? Menjelaskan Apa
melakukan istilah audit - melalui komputer merujuk ke .
4. Apa adalah temuan audit _ Dan yang informasi sebaiknya menjadi termasuk Kapan
mendokumentasikan mereka ?
5. Anda adalah seorang auditor TI eksternal bertanya ke melakukan peninjauan _ dari itu
berikut : Transaksi Keuangan Aplikasi (FTA) adalah menyebabkan masalah dengan Buku Besar
Umum Aplikasi (GLA) jatuh tempo ke itu waktu dari transfer dari _ transaksi . Data telah
ditransfer terlambat oleh FTA menyebabkan akhir bulan laporan ke menjadi secara tidak
akurat dinyatakan . Manajer bertemu ke tinjauan sebelumnya bulan _ _ aktivitas laporan ,
dan menyadari adanya kekurangan dari $ 50.000 di beberapa akun . Mempersiapkan rencana
audit untuk mengadakan Prosedur ke alamat ini jenis dari situasi .