Bab 3

Proses Audit TI

TUJUAN PEMBELAJARAN
1. Menggambarkan apa audit semesta adalah , dan menjelaskan contoh .
2. Mendefinisikan kontrol tujuan untuk informasi Dan terkait teknologi Dan menjelaskan
Mengapa mereka berguna _ untuk organisasi Dan auditor .
3. Menjelaskan sungguh risiko _ penilaian adalah Dan -nya makna ke fungsi audit . _
Menjelaskan sebuah contoh dari suatu risiko penilaian mengikuti Institut Nasional _
dari Standar dan metodologi Teknologi .
4. Menggambarkan rencana audit dan -nya komponen . Menjelaskan contoh dokumentasi audit
TI mendukung keuangan _ audit pernyataan .
5. Mendefinisikan proses audit _ Dan menggambarkan itu fase dari keterlibatan audit TI .
6. Membahas lainnya jenis dari audit dilakukan di bidang TI.

Perannya _ audit TI terus berlanjut ke menjadi kritis _ mekanisme untuk memastikan itu
integritas dari informasi sistem Dan itu pelaporan dari organisasi keuangan ke mencegah masa
depan keuangan kegagalan seperti Enron (2001 ) dan WorldCom (2002). Sayangnya, ini kegagalan
melanjutkan ke terjadi . Perekonomian global lebih banyak lagi saling bergantung dibandingkan
pernah Dan geopolitik risiko dampak semuanya . Infrastruktur elektronik Dan perdagangan
terintegrasi dalam bisnis _ proses sekitar dunia . Kebutuhan _ ke kontrol dan mengaudit TI
belum pernah pernah lebih besar .
Auditor TI saat ini adalah dihadapi dengan banyak kekhawatiran tentang itu paparan dari
informasi sistem kepada banyak orang dari risiko . Dari ini kekhawatiran timbul itu tujuan
untuk proses audit _ Dan fungsi . Ini bab terlihat pada proses audit _ untuk TI dan itu
tuntutan itu akan menjadi ditempatkan pada itu profesi di _ masa depan .

Audit Semesta
Salah satu dari itu terbaik praktik untuk fungsi audit _ adalah ke memiliki dunia audit. _
Dunia audit adalah inventaris dari semua itu area audit potensial di dalam sebuah organisasi.
Area audit fungsional dasar di dalam sebuah organisasi termasuk penjualan, pemasaran,
pelanggan layanan, operasi, penelitian Dan pembangunan, keuangan, sumber daya manusia,
informasi teknologi, dan hukum. Dunia audit dokumen itu kunci bisnis proses Dan risiko dari
sebuah organisasi. Mendokumentasikan proses dan khususnya, risiko memiliki terbukti ke
jadilah yang terbaik praktik untuk organisasi. Standar Kinerja IIA 2010 memberikan dorongan
itu pembentukan dari berbasis risiko rencana ke menentukan itu prioritas untuk aktivitas
audit internal.
Dunia audit termasuk itu dasar area audit fungsional, organisasi tujuan, kunci bisnis
proses itu mendukung itu organisasi tujuan, tujuan audit spesifik, risiko karena tidak
mencapai itu tujuan, dan kontrol itu mengurangi itu risiko. Mengikat dunia audit _ ke
organisasi tujuan tautan itu seluruh proses audit ke bisnis tujuan Dan risiko, membuatnya
lebih mudah ke menyampaikan itu dampak dari kontrol kekurangan. Pameran 3.1 menunjukkan
sebuah contoh dari dunia audit _ terkait ke bidang TI _ sebuah organisasi.

59

60 ® m [ Kontrol Teknologi Informasi dan Audit

Dunia audit adalah Juga sebuah penting bangunan memblokir ke dengan benar proses audit
internal berbasis risiko . Biasanya , kelompok audit internal mempersiapkan jadwal audit
tahunan ke menentukan itu nomor dari jam tersedia Dan itu nomor dari audit itu Bisa menjadi
dilakukan . Dunia audit adalah sebuah sedang berlangsung proses ; sebagai _ organisasi
perubahan , baru risiko timbul atau yang ada risiko berubah , dan baru peraturan
diperkenalkan . _ Organisasi Bisa salah satu menghapus prioritas lebih rendah audit dari itu
jadwal atau mempekerjakan luar auditor ke melengkapi staf internal .
Audit TI , untuk misalnya , punya proses TI tertentu ke termasuk dalam dunia audit . _
Kontrol Tujuan untuk Informasi Dan Teknologi Terkait (COBIT ) menyediakan komprehensif daftar
dari proses I'T yang kritis , yang mana Bisa menjadi digunakan sebagai permulaan titik .

COBIT
COBIT adalah sebuah otoritatif, set internasional _ umumnya menerima praktik TI atau kontrol
tujuan itu membantu karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI,
pemakaian gadai tanggung jawab, dan memutuskan memadai tingkat dari keamanan Dan kontrol.
mendukung COBIT itu membutuhkan ke meneliti, mengembangkan, mempublikasikan, dan memajukan
terkini secara internasional menerima kendali TI tujuan. Yang utama tekanan dari kerangka
COBIT _ diterbitkan oleh Audit Sistem Informasi dan Kontrol Yayasan pada tahun 1996 adalah ke
memastikan itu teknologi menyediakan bisnis dengan relevan, tepat waktu, dan kualitas
informasi untuk tujuan pengambilan keputusan. Kerangka COBIT, sekarang pada -nya kelima edisi
(COBIT 5), telah berkembang selama ini bertahun-tahun Dan setiap waktu ada yang utama
perubahan ke itu kerangka, itu kerangka adalah bernomor ke -nya saat ini versi.
Manfaatnya _ dari suatu standar kerangka untuk kontrol TI , seperti COBIT, adalah itu dia
memungkinkan pengelolaan ke tolok ukur -nya lingkungan Dan membandingkan dia ke lainnya
organisasi . auditor TI Bisa Juga gunakan COBIT untuk memperkuat pengendalian internal mereka
penilaian Dan pendapat . Karena itu kerangka adalah komprehensif , itu menyediakan jaminan
keamanan TI itu Dan kontrol ada .
COBIT 5, yang Bisa menjadi diunduh dari www.isaca.org, membantu organisasi menciptakan
nilai optimal dari TI oleh menjaga keseimbangan _ di antara menyadari manfaat Dan
mengoptimalkan mempertaruhkan tingkat Dan sumber gunakan . COBIT 5 adalah berdasarkan pada
lima prinsip ( lihat Gambar 3.2). COBIT 5 mempertimbangkan kebutuhan I'T _ dari internal dan
luar pemangku kepentingan ( Prinsip 1), sedangkan sepenuhnya penutup itu organisasi ' s
pemerintahan Dan pengelolaan dari informasi Dan terkait teknologi ( Prinsip 2). COBIT 5
menyediakan sebuah terintegrasi kerangka itu sejajar Dan terintegrasi dengan mudah dengan
lainnya kerangka kerja (misalnya, Komite dari Mensponsori Organisasi dari itu jalur tapak
Komisi -Risiko Perusahaan Manajemen (COSO-ERM), dll ), standar , dan terbaik praktik
digunakan ( Prinsip 3). COBIT 5 memungkinkan TI untuk menjadi diatur Dan dikelola secara
holistik tata krama untuk itu seluruh organisasi ( Prinsip 4) melalui :

A. Membangun prinsip , kebijakan , dan praktis panduan untuk sehari-hari manajemen .

B. Menerapkan proses ke meraih terkait TI secara keseluruhan sasaran Dan tujuan .
Gambar 3.1 Contoh dari sebuah Alam Semesta Audit Terkait ke Area TI _ sebuah Organisasi
Area Audit Fungsional Dasar : Teknologi Informasi
Organisasi Tujuan : Untuk menyediakan aman mengakses ke keuangan informasi , teknologi ,
dan jasa untuk semua berwenang karyawan .
Proses BisnisTujuan Audit TI Risiko TI Mitigasi TI Kontrol
Utama
Kontrol AksesSistem keamanan adalahPengguna memiliki hakPengguna mengakses hak
Pengelolaan dengan tepatistimewa yang tidakistimewa secara
dilaksanakan , dikelolakonsisten dengan milikberkala ditinjau oleh
, dan dicatat kemereka pekerjaan fungsi,aplikasi pemilik ke
menjaga melawan tidakdengan demikianmemeriksa mengakses
sah mengakses ke ataumemungkinkan tidak sahhak istimewa tetap
modifikasi dari programatau salah modifikasi kesesuai Dan konsisten
dan data, itukeuangan atau datadengan pekerjaan
menghasilkan pemrosesanakuntansi , yang bisapersyaratan .
yang tidak lengkap ,menyebabkan pemisahan dari
tidak akurat , atautugas konflik , tidak
tidak valid ataudapat dicegah atau tanpa
rekaman dari keuangandiketahui kesalahan ,
informasi . salah keuangan , atau
pengelolaan keputusan
berdasarkan pada
menyesatkan informasi .
Mengubah KontrolProgram Dan sistemPengembang atau pemrogramAplikasi sistem,
Pengelolaan dengan tepatmemiliki itu kemampuan kedatabase , jaringan ,
dilaksanakan denganmemajukan salah atau tidakdan Pengoperasian
cara mendukung itupantas modifikasi atausistem dikembangkan ,
pengolahan yangperubahan ke data keuangandimodifikasi , dan
akurat , lengkap , dan, program , ataudiuji dalam sebuah
valid Dan rekaman daripengaturan ke dalam itulingkungan memisahkan
keuangan informasi . produksi pengolahandari itu produksi
lingkungan , denganlingkungan . Akses ke
demikian mengakibatkanitu perkembangan Dan
data akuntansi tidak validtes lingkungan adalah
dan / atau penipuan . dengan tepat
dibatasi .
Pengelolaan Data sudah sesuaiPelaporan keuanganCadangan diarsipkan _
Pusat Data,dikelola ke menyediakaninformasi Dan datadi luar lokasi ke
Jaringan, danwajar jaminan itu dataakuntansi tidak bisamemperkecil
Mendukung keuangan tetap adamenjadi pulih di _mempertaruhkan data
lengkap , akurat , danperistiwa dari sistemitu hilang .
valid secarakegagalan , berdampak itu
keseluruhan itumilik entitas kemampuan ke
memperbarui Danlaporan keuangan informasi
penyimpanan proses . menurut ke didirikan
pelaporan persyaratan .

62 Bm [ Pengendalian Teknologi Informasi dan Audit

Gambar 3.2 Prinsip dari kerangka COBIT 5 . ( Diadaptasi dari
http://www.isaca.org/cobit/pages/cobit-5-framework-product-page.aspx.)

c. Menempatkannya pada tempatnya organisasi struktur dengan kunci kemampuan pengambilan

keputusan .
d. Mempromosikan Bagus budaya , etika , dan perilaku di _ organisasi .
 e. Mengenali itu informasi adalah meresap selama setiap organisasi , dan sering itu
kunci produk dari itu organisasi itu sendiri .
f. Memukau ke dalam akun itu infrastruktur , teknologi , dan aplikasi itu menyediakan
itu organisasi dengan pemrosesan TI Dan layanan .
g. Mengenali itu orang , keterampilan , dan kompetensi diperlukan _ untuk berhasil
penyelesaian dari semua kegiatan Dan pengambilan keputusan yang benar ,

COBIT 5 membantu organisasi secara memadai memisahkan pemerintahan dari pengelolaan tujuan
( Prinsip 5). Keduanya pemerintahan Dan manajemen dijelaskan _ di bawah .

a. Tata Kelola — mengoptimalkan itu menggunakan dari organisasi sumber daya ke secara
efektif alamat risiko . Tata Kelola memastikan itu itu Papan dari Direksi ( “ dewan
” ):
i. mengevaluasi pemangku kepentingan kebutuhan ke mengenali tujuan ,
ii. panduan pengelolaan oleh memprioritaskan tujuan , dan
iii. monitor keseluruhan manajemen kinerja .
b. Manajemen — oplan , build , run , dan monitor _ kegiatan Dan proses digunakan oleh
itu organisasi ke mengejar itu tujuan didirikan oleh itu papan .

Kerangka kerja COBIT 5s adalah berharga untuk semua ukuran jenis organisasi , termasuk
komersial , nirlaba , atau di _ publik sektor . Yang komprehensif kerangka menyediakan satu
set kontrol tujuan itu tidak hanya membantu manajemen TI Dan pemerintahan profesional
mengelola operasi TI mereka , tapi juga auditor TI di mereka pencarian untuk memeriksa itu
tujuan .
Proses COBIT Bisa menjadi disesuaikan ke itu organisasi ' s lingkungan . auditor TI Bisa
membantu manajemen audit mengenali itu aplikasi terkait dengan itu kritis bisnis Dan keuangan
proses , serta kontrol _ yang diperlukan _ ke membuat daerah tersebut _ diaudit bebas dari
penting eksposur ke risiko . Ini objektif Juga meliputi memvalidasi ketaatan dari itu
aplikasi sistem di bawah penyelidikan ke sesuai standar (misalnya, keuangan akuntansi
sebaiknya sesuai ke GAAP, dll.).
Langkah selanjutnya di _ perencanaan proses adalah ke melakukan suatu risiko penilaian untuk
setiap item alam semesta dari Gambar 3.1. Resikonya _ penilaian akan menganalisa eksposur Dan
membantu memprioritaskan “ tinggi risiko ” proyek audit .

Mempertaruhkan Penilaian
Mempertaruhkan penilaian dipertimbangkan _ itu dasar dari fungsi audit sebagaimana mereka _
membantu dalam mengembangkan itu proses untuk merencanakan audit individual . Secara khusus ,
risiko penilaian :

 memperbaiki itu kualitas , kuantitas , dan aksesibilitas dari data perencanaan ,

seperti risiko daerah , masa lalu audit Dan hasil , dan anggaran informasi ;
 meneliti proyek audit potensial di dunia audit _ Dan memilih itu itu memiliki itu
terbesar mempertaruhkan paparan ke menjadi dilakukan pertama ; Dan
Proses Audit TI ® 63

 memberikan kerangka kerja untuk mengalokasikan sumber daya audit ke meraih maksimum
manfaat .

Mengingat _ tinggi nomor dari potensi audit itu Bisa menjadi dilakukan Dan sering itu
terbatas jumlah sumber daya audit , itu adalah penting ke fokus pada itu Kanan audit .
Resikonya _ penilaian mendekati menyediakan eksplisit kriteria untuk secara sistematis
mengevaluasi Dan memilih ini audit .
Di hari ini _ lingkungan , itu adalah sulit ke mengimbanginya _ _ organisasi Dan peraturan
perubahan ke menyediakan tepat waktu informasi pada pengendalian internal . Mengubah
meningkat dunia audit , itu _ nomor dari bisnis mitra ( yaitu , vendor ), dan itu nomor dari
 proyek Di mana sebuah objektif Dan mandiri perspektif adalah dibutuhkan . Sebuah efektif
mempertaruhkan penilaian perencanaan proses memungkinkan audit ke menjadi lagi fleksibel Dan
efisien ke bertemu itu kebutuhan dari sebuah perubahan organisasi , seperti :

 mengidentifikasi baru mempertaruhkan daerah

 mengidentifikasi perubahan yang ada mempertaruhkan daerah
 mengakses saat ini peraturan dan informasi hukum
 memukau keuntungan dari informasi berkumpul selama proses audit _ ke memperbaiki
mempertaruhkan penilaian

Area audit Bisa menjadi dievaluasi menggunakan pembobotan _ mencetak gol mekanisme . Namun ,
manajemen audit harus evaluasi itu hasil menggunakan milik mereka pengetahuan dari itu
organisasi tujuan Dan lingkungan ke membuat Tentu itu prioritas mencerminkan kenyataan . Area
audit mungkin Juga menjadi dikelompokkan ke meningkatkan efisiensi audit Kapan meninjau
serupa proses . Audit _ fungsi adalah bersifat siklus dalam hal itu dia kegunaan historis Dan
saat ini informasi untuk mempertaruhkan penilaian , mengevaluasi mengontrol , berkomunikasi
hasil , dan menggabungkan itu hasil kembali ke dalam itu mempertaruhkan penilaian .
Dalam risiko TI _ penilaian , untuk Misalnya , keuangan aplikasi adalah hal yang umum audit /
proyek ke menjadi peringkat . Milik mereka risiko Bisa menjadi diidentifikasi , dinilai , dan
diprioritaskan . Kontrol ( pengamanan ) juga demikian diidentifikasi ke menjadi letakkan di
tempatnya ke alamat Dan mengurangi seperti risiko . risiko TI sekitarnya keuangan aplikasi
Bisa menjadi diidentifikasi melalui :
 Audit , review , inspeksi
 Membaca diagram alur dari operasi
 Menggunakan mempertaruhkan analisis kuesioner
 Menganalisa keuangan penyataan tren
 Menyelesaikan Pertanggungan kebijakan daftar periksa

Mutlak keamanan dari benang Dan risiko di masa kini _ teknologi lingkungan adalah tidak
realistis . Mempertaruhkan penilaian , menurut ke Institut Nasional _ dari Standar dan
Teknologi (NIST) Khusus Publikasi 800-30, makan digunakan ke membantu organisasi menentukan
itu cakupan dari potensi ancaman Dan itu risiko terkait dengan sistem TI Dan aplikasi .
Hasilnya _ dari itu di atas membantu manajemen dalam mengidentifikasi Dan menerapkan
pengendalian TI yang sesuai untuk mengurangi atau menghilangkan itu ancaman Dan risiko selama
itu mitigasi proses . NIST merekomendasikan itu untuk sebuah risiko penilaian , itu adalah
penting itu organisasi mengikuti ini langkah-langkah :

64 m [ Pengendalian Teknologi Informasi dan Audit

1. Siapkan proses _ _ _ ke mengenali atau mencirikan aset (misalnya, keuangan aplikasi , dll).
2. Mendefinisikan kerentanan pada itu aktiva Dan itu sumber ancaman itu Bisa pemicu mereka .
3. Menentukan itu kemungkinan atau kemungkinan tingkat (misalnya, sangat tinggi , tinggi ,
sedang, dll) itu kerentanan mungkin menjadi dilatih . Misalnya , probabilitas _ dari sangat
tinggi = 1,00, tinggi = 0,75, sedang = 0,50, rendah = 0,25, dan sangat rendah = 0,10 mungkin
menjadi ditugaskan untuk setiap kerentanan berdasarkan pada itu perkiraan organisasi _ dari
milik mereka tingkat kemungkinan .
4. Tetapkan besarnya _ dari dampak ke menentukan Bagaimana peka itu aset mungkin menjadi melawan
berhasil dilakukan ancaman . Besaran dari dampak Dan nilai tingkat dampak biasanya _
ditugaskan oleh pengelolaan untuk setiap berhasil ancaman itu mungkin menerapkan kerentanan .
_
5. Rekan aktiva dengan koresponden I'T dan / atau bisnis risiko .
6. Menghitung mempertaruhkan peringkat oleh mengalikan itu kemungkinan ditugaskan dari Langkah 3
di atas (misalnya, 1,00, 0,75, dst.) kali itu nilai tingkat dampak ditugaskan pada Langkah 4.
7. Menyarankan itu kontrol yang diperlukan _ ke mengurangi itu risiko menurut ke milik mereka
prioritas atau peringkat ,

Dia adalah ke atas ke itu organisasi ke menentukan Bagaimana ke kesepakatan dengan itu risiko
mereka memiliki diidentifikasi : ambil kesempatan _ Dan hidup dengan mereka atau mengambil
tindakan ke melindungi milik mereka aset . Di _ sama waktu , mereka harus mempertimbangkan
itu biaya terkait dengan menerapkan kontrol , mereka dampak pada pengguna , itu tenaga kerja
diperlukan ke melaksanakan Dan mengelola mereka , dan itu cakupan dari itu tindakan . Pameran
3.3 pertunjukan sebuah contoh dari risiko TI _ penilaian dilakukan ke mengenali Dan
memprioritaskan risiko di dalam keuangan aplikasi . Mempertaruhkan penilaian adalah dibahas
secara lebih rinci nanti bab .

Rencana Audit
Fungsi audit sebaiknya merumuskan keduanya jarak jauh Dan tahunan rencana . Perencanaan
adalah dasar _ fungsi diperlukan ke menggambarkan Apa harus menjadi tercapai , termasuk
anggaran dari waktu Dan biaya , dan negara prioritas menurut ke organisasi sasaran Dan
kebijakan . Tujuannya _ perencanaan audit _ adalah ke mengoptimalkan itu menggunakan sumber
daya audit . Untuk secara efektif mengalokasikan sumber daya audit , departemen audit
internal harus memperoleh komprehensif _ memahami dari dunia audit _ Dan itu risiko terkait
dengan setiap barang alam semesta . Kegagalan ke Pilih sesuai item Bisa berakibat meleset _
peluang ke meningkatkan kontrol Dan operasional efisiensi . departemen audit internal itu
mengembangkan Dan mempertahankan dunia audit file menyediakan diri dengan kerangka yang kokoh
untuk perencanaan audit .
Niatnya _ dari rencana auditnya adalah ke menyediakan sebuah keseluruhan mendekati di dalam
perikatan audit mana Bisa menjadi dilakukan . Dia menyediakan itu panduan untuk audit itu
proses integral organisasi .
Gambar 3.3 Risiko Penilaian Contoh untuk Area Audit Fungsional TI

Kemungkinan Tekad Dampak Memperta Direkomendasi Tindaka

Aplikasi Area /Sumber Tingkat Kemungkinan Besaran Nilai Mempertaruhkan ruhkan kan Kontrol n
Keuangan Kerentanan TI ancaman Kemungkinan Ditugaskan dari Tingkat Peringka Priorit
Dampak Dampak t as
Aplikasi Operasi IS /Badai , Sedang 0,50 Tinggi 75 informasi FA1 tidak 37.5 Cadangan data Sedang
Keuangan #1Di sana adalahsistem bisa menjadi pulih keuangan FA1
(FA1) TIDAK di luarkegagalan , di _ peristiwa dari diarsipkan di
lokasi tidak sistem kegagalan, luar lokasi
penyimpanan terduga berdampak itu ke
untuk cadanganpenutupan Perusahaan _ _ memperkecil
data ke kemampuan ke laporan mempertaruhka
menyediakan keuangan informasi n data itu
wajar jaminan menurut ke didirikan hilang .
dari pelaporan
ketersediaan persyaratan .
di _ peristiwa
dari suatu
bencana
Informasi Tidak sah Tinggi 0,75 Tinggi 75 Keamanan 56.25 Tinggi
Keamanan /pengguna parameternya tidak
Beberapa dari( peretas , tepat
itu Perusahaandihentikan dikonfigurasi ,
_ _ logiskaryawan , memungkinkan untuk
keamanan dan orang potensi tidak sah
pengaturan dalam ) pengguna mengakses
(yaitu, kata ke FA1.
sandi )
dikonfigurasi
untuk FA1
tidak
konsisten
dengan
industri
terbaik
praktek .
Aplikasi Area / Sumber Kemungkinan Tekad Dampak Mempertaruhkan Memperta Direkomendasi Tindaka
 Besaran Nilai ruhkan kan Kontrol n
Tingkat Kemungkinan
Keuangan Kerentanan TI ancaman dari Tingkat Peringka Priorit
Kemungkinan Ditugaskan
Dampak Dampak t as
Aplikasi Informasi Tidak sahSangat 1,00 Tinggi 75 Pengguna memiliki 75 Pengguna Sangat
Keuangan #2Keamanan /pengguna Tinggi hak istimewa yang mengakses hak Tinggi
(FA2) pemilik FA2( peretas , tidak konsisten istimewa
jangan secaradihentikan dengan milik mereka dalam FA2
berkala karyawan , pekerjaan fungsi , secara
tinjauan dan orang memungkinkan tidak berkala
pengguna dalam ) sah atau salah ditinjau oleh
mengakses hak modifikasi ke data aplikasi
istimewa . FA2 , yang mana bisa pemilik ke
menyebabkan memeriksa
pengelolaan mengakses hak
keputusan istimewa
berdasarkan pada tetap sesuai
menyesatkan Dan konsisten
informasi dengan
pekerjaan
persyaratan .
Informasi Tidak sahSangat 1,00 Tinggi 75 Dihentikan pengguna 75 Administrator Sangat
Keamanan /pengguna Tinggi dapat memperoleh keamanan Tinggi
Dihentikan ( dihentikan akses ke FA2 dan adalah _
pengguna akunkaryawan ) melihat atau diberitahu
tidak dihapus memodifikasi -nya dari karyawan
dari FA2. keuangan informasi . WHO memiliki
pernah
dihentikan.Ak
ses hak
istimewa dari
seperti
karyawan
segera _
berubah ke
mencerminkan
milik mereka
status baru .
Aplikasi Area / Sumber Kemungkinan Tekad Dampak Mempertaruhkan Memperta Direkomendasi Tindaka
Keuangan Kerentanan TI ancaman Tingkat Kemungkinan Besaran Nilai ruhkan kan Kontrol n
 dari Tingkat
Kemungkinan Ditugaskan
Dampak Dampak Peringka Priorit
Mengubah Tidak sah Rendah 0,25 Tinggi 75 Perubahan FA2 tidak 18.75 Perubahan keRendah
Kontrol aplikasi benar berwenang . FA2 diuji Dan
Manajemen /perubahan Penerapan dari disetujui
Tes hasilDan seperti perubahan oleh
untuk ugradesmodifikasi bisa mengakibatkan pengelolaan
FA2 tidak tidak valid atau sebelumnya ke
disetujui oleh data yang milik mereka
manajemen , menyesatkan . implementasi
sebelumnya ke dalam
milik mereka produksi
penerapan ke sesuai _
dalam produksi dengan tes
rencana Dan
hasil .
68 ® m [ Pengendalian Teknologi Informasi dan Audit

Organisasi _ Dan -nya pengelolaan harus berpartisipasi dalam dan mendukung ini upaya
sepenuhnya . Komitmen Bisa menjadi diperoleh jika peserta mengenali bahwa rencana yang baik
bisa membantu tepat masalah secara tinggi lingkungan TI yang dinamis dan otomatis , untuk
contohnya . Jadi , itu sebaiknya menjadi itu tanggung jawab dari semua peserta tidak hanya
itu ke membantu tepat seperti masalah , tapi Juga ke membantu dalam _ pengukuran Dan hitungan
dari masalah .
Mengidentifikasi , mengukur , dan mengukur masalah di bidang IT sulit . Bidang TI adalah
secara teknologi kompleks dan memiliki bahasa dari -nya milik sendiri . Peserta di _
perumusan dari rencana audit TI, dan khususnya auditor TI _ sendiri , harus memiliki memadai
pengalaman Dan pelatihan teknis _ penting ke menjadi mampu ke mencengkeram kunci konsep Dan
abstraksi tentang aplikasi sistem . Misalnya saja abstraksi _ tentang IT mungkin termasuk
penting aspek yang rentan _ ke memberi nama , menghitung , atau mengonsep . Memahami itu
sistem pada tingkat ini bisa memimpin ke itu identifikasi dari bidang masalah utama . Maka
konsentrasi audit mungkin _ _ menjadi diarahkan ke itu bidang permasalahan utama paling
mungkin ke menghasilkan penting hasil .
Berdasarkan pada ini identifikasi dari masalah , auditor TI menentukan Apa data tambahan
mungkin menjadi diperlukan ke mencapai evaluasi keputusan . Oleh karena itu , proses audit
harus dilakukan menjadi fleksibel cukup ke menggabungkan terampil personel , baru teknologi ,
dan teknik audit yang baru cara untuk menyesuaikan masing-masing situasi . Namun , ini
fleksibilitas dari mendekati memerlukan dokumentasi secara terencana , terarah langkah .
Sistem yang dipahami _ buruk ( atau itu memiliki pernah dirancang tanpa memadai kontrol )
bisa berakibat hilang _ pendapatan , meningkat biaya , dan mungkin bencana atau penipuan .
Selama perencanaan audit _ fase , manajer audit TI sebaiknya bertemu dengan itu ketua
informasi petugas (CIO) dan anggota senior manajemen TI _ untuk mendapatkan mereka memasukkan
Dan persetujuan dengan itu mempertaruhkan penilaian dari proses TI di dunia audit . _ _ Jika
ada adalah sebuah kemudi TI komite , dunia audit _ sebaiknya menjadi ditinjau dengan itu juga
. _ Ini akan membantu memastikan penyelarasan antara TI , bisnis , dan audit itu kunci
mempertaruhkan daerah . Pertemuan itu dengan CIO dan manajer TI _ harus Juga memperkenalkan
staf audit _ Dan menyampaikan itu ruang lingkup , tujuan , jadwal , anggaran , dan komunikasi
proses ke menjadi digunakan selama itu pertunangan . Ini adalah Juga sebuah peluang untuk
diskusi terbuka _ manajemen TI _ persepsi dari mempertaruhkan daerah , signifikan perubahan
pada area di bawahnya ulasan , dan identifikasi dari sesuai kontak di bidang TI.
Partisi rencana audit TI audit ke dalam terpisah segmen itu menggambarkan aplikasi sistem
sebagai suatu rangkaian dari perikatan audit yang dapat dikelola Dan langkah . Di _
terperinci perencanaan atau tingkat keterlibatan , ini segmen akan memiliki tujuan yang
dirancang khusus ke melaksanakan organisasi sasaran Dan tujuan di dalam itu keadaan dari
audit . Jadi , audit TI tidak menelepon _ untuk pendekatan “ kalengan ” . Di sana adalah
TIDAK lajang seri dari terperinci Langkah itu Bisa menjadi diuraikan sekali dan Kemudian
diulangi dalam setiap audit. Oleh karena itu , rencana auditnya adalah sebuah percobaan ke
menyediakan sebuah tertib mendekati di dalam yang fleksibilitas Bisa menjadi dilatih .
Minimal, rencana audit TI, setelahnya mengumpulkan yang komprehensif memahami dari dunia
audit _ Dan itu risiko terkait dengan setiap item semesta , harus :

1. Daftar tujuan audit _ Dan menggambarkan itu konteks

2. Mengembangkan jadwal auditnya _
3. Buat anggaran audit _ Dan mendefinisikan cakupan
4. Daftar tim audit anggota , menjelaskan tugas audit , menentukan tenggat waktu

Proses Audit TI BB 69

Tujuan Dan Konteks

Tujuannya _ Dan konteks dari itu pekerjaan adalah kuncinya elemen dalam lingkungan audit apa
pun Dan tidak seharusnya _ diabaikan . Sederhananya _ dasar oleh _ yang semua audit sebaiknya
menjadi mendekat . Tujuannya _ adalah Apa adalah mencoba ke menjadi tercapai . Konteksnya _
adalah itu lingkungan di mana itu bekerja akan menjadi dilakukan . Jadi , semuanya akhirnya
bergantung pada keduanya itu objektif Dan itu konteks dari itu bekerja ke menjadi dilakukan .
Itu adalah , itu keputusan dibuat tentang itu ruang lingkup , sifat , dan waktu dari
pekerjaan audit _ bergantung pada Apa itu auditor _ _ mencoba ke lakukan ( misalnya ,
mendapatkan kepastian dari sebuah Akun Piutang keseimbangan , pastikan itu baru
diimplementasikan keuangan aplikasi akan bekerja benar , menilai apakah klien _ Situs web
adalah aman , dll.) dan itu lingkungan dia _ adalah bekerja di (misalnya, yang besar versus
yang kecil perusahaan , domestik organisasi dengan terpusat _ sistem versus perusahaan
multinasional dengan banyak divisi , yang berbasis di New York organisasi versus satu
berbasis di Dakota Utara , dll.).
Ingatlah _ _ Apa bekerja Sehat untuk satu organisasi , mungkin tidak berfungsi dengan baik
di organisasi lain berdasarkan pada banyak kombinasi dari objektif Dan konteks . Misalnya ,
jika _ auditor TI memiliki Kontrol Umum Penilaian , tujuan audit _ mungkin menjadi ke
memeriksa itu semua kontrol sekitarnya keuangan aplikasi Dan terkait ke pusat data ,
informasi _ sistem operasi , informasi keamanan , dan mengubah kontrol manajemen sudah
memadai . Oleh karena itu , diperlukan auditor TI ke memeriksa itu kontrol Karena itu
keuangan auditor mengandalkan _ pada seperti keuangan komputer sistem ke menyediakan mereka
dengan
itu benar keuangan informasi . Konteksnya _ adalah Di mana itu auditor BENAR analitis
keterampilan datang ke dalam bermain . Di sini, itu lingkungan adalah untuk itu paling bagian
selalu berbeda dari toko ke berbelanja . Auditor harus menilai itu konteks untuk yang dia
atau dia telah masuk Dan mengambil keputusan mengenai hal tersebut Bagaimana itu lingkungan
sebaiknya menjadi ditujukan (misalnya, besar perusahaan , kecil perusahaan , besar staf ,
kecil staf , dll).
Dengan mendefinisikan sesuai tujuan Dan konteks dari itu pekerjaan , manajemen Bisa
memastikan itu audit akan _ memeriksa itu benar berfungsi Dan kontrol dari semua bidang audit
utama . Hal yang umum tujuan / konteks yang ditetapkan untuk audit TI adalah ke mendukung
keuangan penyataan audit .

Audit TI Diadakan ke Mendukung Laporan Keuangan Audit

Setelah auditor memperoleh jenderal _ _ keakraban dengan itu klien _ _ akuntansi Dan keuangan
prosedur , spesifik daerah kepentingan audit _ harus menjadi diidentifikasi . Auditor harus
memutuskan Apa aplikasi akan memiliki ke menjadi diperiksa di lebih _ tingkat detail . Untuk
aplikasi digunakan ke mendukung penting bisnis proses , auditor harus _ menentukan milik
mereka kecanggihan Dan cakupan dari gunakan . Ini studi pendahuluan berjalan hanya dalam
cukup untuk auditor ke _ evaluasi itu kompleksitas Dan kecanggihan dari itu aplikasi Dan
menentukan itu Prosedur ke menjadi diikuti dalam penilaian pengendalian internal mereka .
Memahami keuangan aplikasi Dan menentukan apakah pengendalian TI sudah diterapkan ke
secara efektif aman mereka Dan itu informasi dihasilkan mewakili hal yang signifikan proses
seperti itu berhubungan ke itu keseluruhan keuangan audit pernyataan . Hasil dari audit TI
atas keuangan aplikasi memiliki langsung bantalan pada itu pengujian substantif dilakukan
oleh keuangan auditor . Pengujian substantif melibatkan prosedur audit diperlukan ke meneliti
Dan mendukung itu keuangan pernyataan (misalnya, mengkonfirmasi akun saldo , memeriksa
dokumentasi , tampil kembali prosedur , bertanya tentang atau mengamati transaksi , dll) .
Ini Prosedur menyediakan itu bukti diperlukan ke mendukung itu tuntutan itu keuangan catatan
dari itu organisasi memang valid , akurat , dan lengkap .
Hasilnya _ atau temuan dari audit TI biasanya menentukan itu jumlah dari substantif tes
itu akan menjadi dilakukan oleh keuangan auditor . Jika hasilnya efektif ( yaitu ,
pengendalian TI ditemukan _ ke berada di tempatnya Dan Pengoperasian dengan benar ), itu
bekerja dari itu auditor keuangan akan melakukannya paling mungkin menjadi lebih sedikit pada
itu tertentu bagian dari audit . Di _ lainnya tangan , jika tidak ada kontrol TI yang
diterapkan _ melindungi itu keuangan aplikasi , atau jika pengendalian TI yang ada tidak
beroperasi secara efektif , itu jumlah dari pengujian substantif dilakukan oleh itu auditor
keuangan akan menjadi banyak lebih tinggi . Ini Bisa memiliki penting implikasi ke audit ,
seperti _ _ waktu dia dibutuhkan ke menyelesaikan audit , meningkat biaya ke itu klien , dll.
Sisanya dari ini bab adalah terfokus pada audit TI diadakan ke mendukung keuangan penyataan
audit . Langkah selanjutnya di dalam rencana auditnya adalah itu perkembangan dari jadwal
audit . _

Jadwal Audit
Audit internal departemen membuat jadwal audit tahunan untuk mendapatkan persetujuan dari itu
papan pada area audit , komunikasikan area audit dengan itu fungsional departemen , dan
membuat proyek / rencana sumber daya untuk itu tahun . Jadwal audit sebaiknya menjadi
terhubung ke saat ini bisnis tujuan Dan risiko berdasarkan pada milik mereka relatif biaya
dalam istilah dari potensi kehilangan dari niat baik , kerugian dari pendapatan , atau
ketidakpatuhan dengan hukum Dan peraturan .
Tahunan jadwal penciptaan adalah itu proses dari menentukan total jam audit tersedia ,
lalu
menugaskan semesta item ( area audit ) ke mengisi itu tersedia waktu . Seperti yang
disebutkan sebelumnya , ke maksimalkan itu mempertaruhkan penilaian proses , “ tinggi risiko
” alam semesta item sebaiknya menjadi diberikan prioritas audit teratas . Pembuatan jadwal
sebaiknya menjadi dilakukan secara bersamaan dengan itu tahunan mempertaruhkan penilaian
proses; ini akan mengaktifkan departemen audit internal ke akun untuk itu perubahan risiko _
peringkat Dan membuat setiap diperlukan tambahan atau penghapusan ke dunia audit . _ Dari
Tentu saja , jadwal audit akan Juga membutuhkan ke menjadi sepakat dengan komite audit
sebagai bagian _ dari itu perencanaan audit secara keseluruhan proses . Sekali _ jam audit
yang tersedia ditentukan , manajemen audit Bisa melanjutkan mempersiapkan rencana auditnya .
Perencanaan Dan penjadwalan sedang berlangsung tugas sebagai risiko , prioritas , tersedia
sumber daya , dan garis waktu berubah . Kapan ini perubahan mengambil tempat , itu adalah
penting ke menyampaikan mereka ke komite audit , dewan , dan _ semua lainnya terkena dampak
fungsional departemen .

Anggaran Audit Dan Pelingkupan

Idealnya , anggaran audit _ sebaiknya menjadi dibuat setelah jadwal auditnya _ adalah
ditentukan . Namun , sebagian besar organisasi memiliki anggaran Dan sumber kendala . Sebuah
alternatif mendekati mungkin menjadi diperlukan Kapan bangunan jadwal auditnya . _ Setelah
menentukan prioritas audit , manajemen audit akan menentukan itu nomor dari tersedia jam ke
memutuskan Bagaimana banyak audit mereka Bisa selesai dalam setahun . Untuk audit TI tertentu
, tersedia jam terdaftar per area , staf personel , dll. Gambar 3.4 mengilustrasikan sebuah
contoh anggaran dalam audit TI . _
Ruang lingkup dari definisi audit _ area (s) ( misalnya , relevan keuangan aplikasi ,
database , operasi sistem , jaringan , dll.) hingga menjadi ditinjau . Nama -namanya dari itu
keuangan aplikasi Dan database sebaiknya Juga menjadi dijelaskan bersama dengan milik mereka
menjadi tuan rumah informasi (misalnya, lokasi server , dll.). Ruang lingkup sebaiknya jelas
mengenali itu kritis bisnis proses didukung oleh itu terpilih keuangan aplikasi . Ini
asosiasi khas membenarkan itu relevansi dari itu aplikasi dan , oleh karena itu , ini inklusi
sebagai bagian dari audit . Ruang lingkup sebaiknya lebih jauh negara itu umum kontrol daerah
, kendali tujuan, dan kontrol kegiatan itu akan menjalani ulasan . Gambar 3.5a, pertunjukan b
contoh dari pelingkupan untuk aplikasi Dan kontrol tujuan , masing-masing , dalam audit TI .

Tim Audit, Tugas , dan Tenggat waktu

Rencana audit harus menyertakan satu bagian daftar itu anggota dari audit , mereka judul Dan
posisi, dan itu umum tugas mereka akan punya . Misalnya , audit tipikal melibatkan _ staf
anggota , senior , manajer , atau manajer senior , dan mitra, prinsipal , atau direktur (PPD)
siapa akan menjadi mengawasi itu seluruh audit. Di tingkat staf ( biasanya itu auditor dengan
lebih sedikit dari 3 tahun dari pengalaman ), sebagian besar dari itu bidang bekerja adalah
dilakukan , termasuk mengumpulkan dokumentasi , pertemuan dengan personel , dan menciptakan
pekerjaan audit makalah , di antara lainnya . Auditor tingkat senior tidak hanya mengawasi
itu bekerja dari staf auditor , tapi memandu mereka dalam tampil itu pekerjaan (misalnya,
menemani staf auditor ke bertemu dengan pengguna , bantu itu staf dalam memilih Apa spesifik
informasi sebaiknya menjadi berkumpul , bagaimana ke dokumen seperti informasi di _ bekerja
makalah , dll). Berikutnya adalah _ manajer atau manajer senior ( biasanya manajer senior
terlibat sebagai bagian dari besar audit ) itu mengawasi pekerjaan audit _ siap oleh itu staf
Dan ditinjau oleh yang senior.

Gambar 3.4 Contoh suatu Anggaran _ untuk Audit TI

Nama Perusahaan
Anggaran TI
Fiskal Tahun 20XX
Profesional Audit Jumlah
Bidang Audit Jam
Staf / Senior Pengelola Mitra
Perencanaan
Tinjauan bekerja dokumen dari itu 3.0 1.0 0,0 4.0
sebelumnya tahun , jika berlaku ;
menyiapkan anggaran TI ; mengadakan
perencanaan pertemuan ; mempersiapkan
memo perencanaan ; mempersiapkan awal
meminta dari informasi Dan mengirim ke
perusahaan personel , dll.
Tahun pertama . Mengumpulkan Dan 3.0 1.0 0,0 4.0
dokumen sebuah memahami dari itu
organisasi Dan lingkungan TI -nya ,
termasuk Bagaimana itu organisasi
memanfaatkan komputer sistem Dan yang
aplikasi dampak kritis bisnis /
keuangan proses , di antaranya
lainnya .
Setelah tahun . Tinjauan Dan
memperbarui itu memahami dari itu
organisasi Dan lingkungan TI -nya
diperoleh dari itu sebelumnya tahun .
Mengadakan perencanaan pertemuan dengan 1.0 1.0 1.0 3.0
perusahaan personel .
Subtotal 7.0 3.0 1.0 11.0 11%
Nama Perusahaan
Anggaran TI
Fiskal Tahun 20XX
Profesional Audit Jumlah
Bidang Audit Jam
Staf / Senior Pengelola Mitra
Tinjau , Pelaporan Dan Kesimpulan
Tinjauan Dan dokumen tindakan yang 2.0 0,0 0,0 2.0
diambil oleh perusahaan _ _ Pengelolaan
ke benar terakhir temuan / kekurangan
audit TI tahun ini .
Dokumentasikan temuan / kekurangan 3.0 0,0 0,0 3.0
audit TI Dan peluang ke memperbaiki
yang ada kontrol .
Menilai Dan menggolongkan 1.0 0,0 0,0 1.0
mengidentifikasi temuan / kekurangan
audit TI .
Draf Manajemen TI surat daftar seluruh 0,0 1.0 1.0 2.0
temuan / kekurangan audit TI Dan
peluang ke memperbaiki yang ada kontrol
. Maju surat untuk Manajemen TI untuk
ulasan .
Melakukan pertemuan status , secara 1.0 0,0 0,0 1.0
internal atau dengan personel TI .
Tinjauan bekerja dokumen membuktikan 0,0 9.0 4.0 13.0
pekerjaan audit TI dilakukan .
KELUAR pertemuan dengan personel TI ke 0,0 1.0 0,0 1.0
membahas audit dan hasil .
Alamat Dan jernih meninjau catatan dari 11.0 2.0 0,0 13.0
manajemen audit ( Manajer dan Mitra)
dan menyimpulkan audit.
Subtotal 18.0 13.0 5.0 36.0 36%
Hasil akhir 78.0 16.0 6.0 100,0 100%
Staf / Senior 78.0 78%
Pengelola 160 16%
Mitra 6.0 6%
Gambar 3.5a Contoh dari Pelingkupan untuk Aplikasi Keuangan

Nama Perusahaan
Aplikasi Keuangan Dan milik mereka Asosiasi dengan Proses Bisnis
Fiskal Tahun 20XX
Tujuan : Untuk mengidentifikasi relevan aplikasi oleh pemetaan mereka ke milik mereka sesuai bisnis proses (es). Tanda “ X ” di
dalamnya meja pada itu Kanan mengidentifikasi itu bisnis proses didukung oleh itu aplikasi . Misalnya saja aplikasi SAP _ _ adalah
digunakan oleh ( atau mendukung ) Pelaporan Keuangan , Pengeluaran , Persediaan _ Manajemen , dan Pendapatan bisnis proses . Ini
asosiasi khas membenarkan itu relevansi dari itu aplikasi dan , oleh karena itu , ini inklusi sebagai bagian dari audit .
Proses Bisnis Didukung
Aplikas Singkat Pengolahan Basis Fisik Tuan rumah LokasiPelapoPengelPenggajia Inventaris Investasi Pendapa Tetap
i Keterangan Lingkungan data — Aplikasi Dan Basisran uaran n &Pengelolaa tan Aktiva
( SistemPengelola data Keuang Personali n
Operasi an an a
Dimana ituPerangkat
Aplikasi lunak
Diinstal
Pada )
1 GETAH Termasuk itu umumUNIX Peramal Pusat Data Lokal , Kedua X X X X
buku besar , Lantai ; Perusahaan
pengeluaran , Kantor pusat [ lokasi ]
inventaris
manajemen , dan
pendapatan
akuntansi modul .
2 Infiniu Mengelola ituSEBAGAI/400 Peramal Pusat Data Lokal , Kedua X
m daftar gaji Lantai ; Perusahaan
Kantor pusat [ lokasi ]
3 APS/2 Mengelola jendela Peramal Pusat Data Lokal , Kedua X
investasi . Lantai ; Perusahaan
Kantor pusat [ lokasi ]
4 garis Mengelola jangkajendela Peramal Pusat Data Lokal , Kedua X
kayu panjang dan tetap Lantai ; Perusahaan
aset . Kantor pusat [ lokasi ]
 Proses Audit TI ® 75

Gambar 3.5b Contoh dari Pelingkupan untuk Komputer Umum Kontrol Tujuan Dan
Kegiatan
Nama Perusahaan
Komputer Umum Kontrol Tujuan Dan Kegiatan Terpilih
Fiskal Tahun 20XX
Bidang TI Kontrol Objektif Kontrol Aktivitas
1 Operasi ISO 1.00 - Operasi TI mendukung memadaiISO 1.01 - Kelompok dan / atau
Sistem penjadwalan , pelaksanaan ,on line pengolahan adalah
Informasi pemantauan , dan kontinuitas dariditentukan , tepat waktu
sistem , program , dan proses ke dieksekusi , dan dipantau untuk
memastikan itu pengolahan yangberhasil penyelesaian .
lengkap , akurat , dan valid Dan ISO 1.02 - Pengecualian
rekaman dari keuangan transaksi . diidentifikasi pada kelompok dan
/ atau on line pemrosesan tepat
waktu ditinjau Dan dikoreksi ke
memastikan akurat , lengkap ,
dan berwenang pengolahan dari
keuangan informasi .
2 Operasi ISO 2.00 - Penyimpanan dari keuangan1SO 2.02 - Otomatis cadangan
Sistem informasi adalah dengan tepatperalatan memiliki pernah
Informasi dikelola , akurat , dan lengkap . dilaksanakan ke mengelola
rencana penyimpanan data Dan
jadwal .
1SO 2.04 - Tes untuk itu
keterbacaan dari pencadangan
dilakukan _ secara berkala . _
Hasil mendukung tepat waktu Dan
berhasil restorasi dari
bersandaran data .
3 Operasi ISO 3.00 - Fisik mengakses adalahISO 3.02 - Fisik mengakses
Sistem dengan tepat dikelola ke menjagaadalah berwenang , dipantau ,
Informasi relevan komponen dari infrastruktur TIdan terbatas ke individu WHO
_ Dan itu integritas dari keuanganmemerlukan seperti mengakses ke
informasi . melakukan milik mereka pekerjaan
tugas . Pintu masuk dari tidak
sah personil adalah diawasi Dan
dicatat . Lognya adalah terawat
Dan secara teratur ditinjau oleh
manajemen TI .
4 Informasi ISEC 1.00 - Keamanan konfigurasi dariISEC 1.02 - Kebijakan formal Dan
Keamanan aplikasi , database , jaringan , danProsedur mendefinisikan itu
Pengoperasian sistem adalah cukuporganisasi informasi keamanan
dikelola ke melindungi melawan tidaktujuan Dan itu tanggung jawab
sah perubahan ke program dan data itudari karyawan dengan menghormati
mungkin menghasilkan pemrosesan yangke itu perlindungan Dan
tidak lengkap , tidak akurat , atau penyingkapan dari informatif
tidak valid atau rekaman dari keuangansumber daya . Pengelolaan
informasi . monitor kepatuhan dengan
keamanan kebijakan Dan
prosedur , dan perjanjian ke ini
dibuktikan _ oleh itu
tanda tangan dari karyawan .
ISEC 1.06 - Konsisten dengan
informasi keamanan kebijakan Dan
prosedur , lokal Dan terpencil
pengguna diperlukan _ ke
mengautentikasi ke aplikasi ,
 database , jaringan , dan
Pengoperasian sistem melalui
kata sandi ke meningkatkan
komputer keamanan .
5 Informasi ISEC 2.00 - Memadai keamanan adalahISEC 2.02 - Pemilik sistem
Keamanan dilaksanakan ke melindungi melawanmengizinkan pengguna akun Dan
tidak sah mengakses Dan modifikasi dariitu alam Dan cakupan dari milik
sistem Dan informasi , yang manamereka mengakses hak istimewa .
mungkin menghasilkan _ _ pengolahanISEC 2.04 - Pengguna WHO
atau rekaman dari keuangan yang tidakmemiliki berubah peran atau
lengkap , tidak akurat , atau tidak tugas di dalam itu organisasi ,
valid informasi . atau itu memiliki pernah
ditransfer , atau dihentikan
segera _ diberitahukan ke itu
keamanan departemen untuk
pengguna akun mengakses revisi
untuk _ mencerminkan itu baru
dan / atau status yang
direvisi .
ISEC 2.05 - Transmisi dari peka
informasi adalah terenkripsi
konsisten dengan keamanan
kebijakan Dan Prosedur ke
melindungi -nya kerahasiaan .
6 Mengubah CCM 1.00 - Perubahan diimplementasikanCCM 1.03 - Dokumentasi terkait
Kontrol dalam aplikasi , database , jaringan , ke itu mengubah penerapan adalah
Pengelolaan dan Pengoperasian sistem ( secaramemadai Dan lengkap .
keseluruhan dirujuk menjadi “ sistem _CCM 1.05 - Dokumentasi terkait
perubahan ” ) dinilai untuk risiko ,ke itu mengubah implementasi
berwenang , dan secara menyeluruhtelah dilakukan dilepaskan Dan
didokumentasikan ke memastikandikomunikasikan ke sistem
diinginkan hasilnya memadai . _ pengguna .
7 Mengubah CCM 2.00 - Perubahan diimplementasikanCCM 2.01 - Perubahan sistem
Kontrol dalam aplikasi , database , jaringan , diuji sebelum penerapan ke dalam
Pengelolaan dan Pengoperasian sistem ( secaraitu produksi lingkungan
keseluruhan dirujuk menjadi “ sistem _konsisten dengan tes rencana Dan
perubahan ” ) sudah tepat diuji . Teskasus .
sedang dilakukan oleh suatu kelompokCCM 2.02 - Tes rencana Dan kasus
lainnya dibandingkan itu kelompokmelibatkan menyelesaikan Dan
bertanggung jawab untuk itu sistemperwakilan data uji ( sebagai
(misalnya, pengoperasian sistemgantinya dari data produksi )
perubahan diterapkan _ oleh seseorangdisetujui oleh aplikasi pemilik
lainnya dibandingkan itu sistemDan perkembangan manajemen .
pemrogram , dll.).
8 Mengubah CCM 3.00 - Perubahan diimplementasikanCCM 3.01 - Masalah Dan kesalahan
Kontrol dalam aplikasi , database , jaringan , ditemui selama pengujian dari _
Pengelolaan dan Pengoperasian sistem ( secarasistem perubahan
keseluruhan dirujuk menjadi “ sistem _diidentifikasi , dikoreksi ,
perubahan ” ) sudah tepat dikelola kediuji ulang , diikuti ke atas
mengurangi gangguan, tidak sahuntuk koreksi , dan
perubahan , dan kesalahan yang dampak didokumentasikan .
itu keakuratan , kelengkapan , dan
pengolahan yang valid Dan rekaman dari
keuangan informasi .
9 Mengubah CCM 4.00 - Perubahan diimplementasikanCCM 4.04 - Secara keseluruhan
Kontrol dalam aplikasi , database , jaringan , tinjauan adalah dilakukan oleh
Pengelolaan dan Pengoperasian sistem ( secarapengelolaan setelah sistem
keseluruhan dirujuk menjadi “ sistem _perubahan memiliki pernah
 perubahan ” ) secara formal disetujuidiimplementasikan di _ hidup
ke mendukung pengolahan yang akurat ,atau produksi lingkungan ke
lengkap , dan valid Dan rekaman darimenentukan apakah itu tujuan
keuangan informasi . untuk menerapkan sistem
perubahan terpenuhi . _

Manajer melakukan terperinci ulasan dari itu bekerja dokumen Dan memastikan tujuan audit _
memiliki pernah dicapai . Manajer bertemu sering dengan klien audit , dan menyediakan
mereka dengan status audit, pendahuluan temuan diidentifikasi , jam terjadi Dan kiri ke
selesai, dll . Manajer Juga menyediakan status sering _ pekerjaan audit _ ke PPD yang
ditugaskan , kepada yang mereka laporan secara langsung . Terakhir , PPD melakukan
tinjauan tingkat tinggi _ _ dari itu pekerjaan (seperti yang disediakan oleh manajer ),
fokus pada berisiko tinggi area , kontrol di tempat yang tidak memadai dirancang juga
bukan Pengoperasian secara efektif , temuan diidentifikasi Dan milik mereka dampak ke itu
audit keseluruhan , dll. PPD cenderung ke mengandalkan pada itu terperinci ulasan
dilakukan oleh manajer atau manajer senior , dan Juga memastikan itu keseluruhan tujuan
dari audit miliki _ pernah dicapai .
Tenggat waktu adalah hal yang sangat penting komponen dari rencana audit. Mereka harus
melakukannya menjadi ditinjau Dan sepakat dengan itu klien organisasi dari awal dari _
auditnya jadi _ itu mereka mematuhi dengan persyaratan didirikan oleh ketiga pihak
(misalnya, bank , keuangan institusi , dll.) dan regulator (misalnya, pemerintah, swasta
organisasi , dll). Tenggat waktu sebaiknya menjadi dipikirkan dengan baik dari memukau ke
dalam akun itu informasi Dan sumber daya itu harus menjadi tersedia ke melakukan pekerjaan
audit _ di dalam itu didirikan persyaratan .
Memo perencanaan audit ( “ memo perencanaan ” ) adalah bagian dari auditor bekerja _
dokumen Dan dokumen itu bagian hanya dijelaskan . Memo perencanaannya adalah _ khas siap
oleh senior perikatan audit , dan ditinjau oleh itu Pengelola sebelum mengirimkan dia ke
PPD untuk _ persetujuan.Lampiran 1 menunjukkan format memo perencanaan TI yang khas ,
termasuk _ itu Prosedur yang mungkin menjadi dilakukan oleh auditor TI sehubungan dengan
suatu perikatan audit . Memo perencanaan mungkin _ menjadi disesuaikan untuk itu spesifik
fakta Dan keadaan dari perikatan audit . _ Ini termasuk menghapus bagian yang tidak dapat
diterapkan . Memo dalam Lampiran 1 mencakup beberapa kata-kata yang dicetak miring itu
adalah salah satu diselubungi di dalam tanda kurung atau tanda kurung . Format ini adalah
digunakan ke menunjukkan informasi ke menjadi diganti sebagaimana berlaku , atau itu
panduan itu penyelesaian dari memo itu .

Proses Audit
Penyataan pada Audit Standar (SAS No. 1) memiliki memengaruhi dari mengamanatkan seragam,
berorientasi pada proses mendekati untuk mengaudit perikatan . Pendekatannya _ digambarkan
adalah benar _ proses teknik . Itu adalah , audit mengikuti serangkaian _ dari logis ,
teratur langkah , masing-masing dirancang ke menyelesaikan spesifik akhir hasil .
Ini adalah Juga itu kasus untuk audit TI . Perbedaan dalam audit I'T adalah _ itu
terspesialisasi mendekati ke pekerjaan audit _ Dan itu keterampilan diperlukan ke memahami
teknologi Dan pengendalian TI _ lingkungan . Fase -fasenya dari audit kegiatan khas lap
Dan melibatkan beberapa penilaian ulang Dan menelusuri kembali dari Prosedur dilakukan
sebelumnya . Umum fase dari perikatan audit ditunjukkan pada Gambar 3.6 . _ Yang pertama
dua fase , Risiko Penilaian dan Rencana Audit, miliki pernah menjelaskan di atas . Berikut
ini adalah
penjelasan dari itu tersisa fase terkait ke audit TI .

Pendahuluan Tinjauan
Dalam hal ini fase , auditor harus _ memperoleh Dan tinjauan ringkasan informasi tingkat
Dan evaluasi itu dalam kaitannya ke tujuan audit . _ Tujuannya _ dari itu pendahuluan
tinjauan fase dari perikatan audit TI adalah ke mengumpulkan sebuah memahami dari
lingkungan TI , termasuk _ itu kontrol yang ada itu penting _ ke bertemu itu tujuan audit
secara keseluruhan . Auditor TI melakukan ini pendahuluan
tinjauan pada tingkat umum , tanpa memeriksa detail dari aplikasi individu Dan itu proses
terlibat . Sebaliknya , auditor TI melakukan wawancara kunci personil ke menentukan
kebijakan Dan praktik , dan bersiap informasi audit tambahan sesuai kebutuhan .
Pendahuluan tinjauan informasi berfungsi sebagai dasar untuk mendukung itu informasi
termasuk dalam rencana audit TI.

Gambar 3.6 Fase dari sebuah audit.

78 ® [ Pengendalian Teknologi Informasi dan Audit

Proses Audit TI ® 79

Informasi Umum tentang Lingkungan TI

Seperti sebelumnya dibahas , ITU didefinisikan sebagai _ perangkat keras , perangkat lunak
, komunikasi , dan lainnya fasilitas digunakan ke memasukkan , menyimpan , memproses ,
mengirimkan , dan mengeluarkan data dalam bentuk apa pun bentuk . Lingkungan TI merujuk ke
itu kebijakan , prosedur , dan praktik dilaksanakan oleh organisasi untuk memprogram,
menguji , menyampaikan , memantau, mengendalikan , dan mendukung infrastruktur I'T mereka
(misalnya, perangkat keras , perangkat lunak , jaringan , dll.). Lingkungan TI Juga
termasuk itu aplikasi Dan program digunakan oleh organisasi ke mendukung kritis bisnis
operasi ( yaitu , keuangan operasi ) dan meraih bisnis strategi .
Auditor TI dimulai itu penyelidikan proses oleh menjadi kenal , secara umum , dengan itu
perusahaan , itu garis dari bisnis , dan lingkungan TI , termasuk _ -nya keuangan aplikasi
sistem . Biasanya , auditor TI akan melakukannya wisata itu klien perusahaan _ _
fasilitas Dan mengamati umum bisnis operasi itu beruang pada pelanggan layanan serta pada
_ _ dengan ketat keuangan fungsi .
Mengingat ini keakraban , itu tingkat selanjutnya _ pengumpulan data umum akan termasuk
itu persiapan dari organisasi grafik , khususnya itu untuk itu akuntansi dan fungsi TI .
Jika organisasi grafik tidak tersedia , auditor TI harus melakukannya mengembangkan mereka
. Setelah ditarik , itu grafik sebaiknya menjadi ditinjau Dan diverifikasi dengan sesuai
personel ( mis ., kunci eksekutif di _ akuntansi dan bidang TI ) hingga aman sebuah
perjanjian itu mereka mewakili itu sebenarnya organisasi struktur . Selama ini wawancara ,
auditor TI akan melakukannya Juga aman salinan dari itu perusahaan _ _ bagan dari akun
Dan sebuah akuntansi manual standar , jika tersedia .
auditor TI harus mendalami _ memahami dari lingkungan TI , khususnya _ Bagaimana itu
organisasi merespons ke risiko timbul dari TI, dan apakah pengendalian TI di tempat _
memiliki pernah cukup dirancang Dan beroperasi secara efektif ke alamat itu risiko . Dari
segi keuangan sudut pandang , pengetahuan tentang lingkungan TI _ adalah penting untuk
auditor I'T untuk _ memahami Bagaimana keuangan transaksi dimulai , diotorisasi ,
dicatat , diproses , dan _ dilaporkan di _ keuangan pernyataan .
Untuk aplikasi sistem yang itu organisasi kegunaan komputer ke proses penting data
keuangan , auditor TI akan melakukannya mengumpulkan sejumlah _ dari spesifik item dari
bukti hal , seperti :
 Kebijakan Dan Prosedur itu itu organisasi mengimplementasikan Dan infrastruktur TI _ Dan
aplikasi perangkat lunak itu dia kegunaan ke mendukung bisnis operasi Dan meraih bisnis
strategi .
 Narasi atau ringkasan diagram alur dari itu keuangan aplikasi , termasuk nama server ,
buat dan model, pendukung Pengoperasian sistem , database , dan fisik lokasi , di antara
lainnya .
 Apakah itu keuangan aplikasi ada di rumah dikembangkan , dibeli dengan kecil atau TIDAK
kustomisasi , dibeli dengan penting penyesuaian , atau hak milik asalkan oleh suatu
layanan organisasi .
 Apakah melayani organisasi tuan rumah keuangan aplikasi Dan jika jadi , apa ini _ aplikasi
Dan yang relevan jasa mereka melakukan .
 Kontrol ada _ mendukung wilayah _ _ informasi sistem operasi , seperti itu _ mendukung
pekerjaan penjadwalan , data dan restorasi , pencadangan , dan di luar lokasi
penyimpanan .


80 m / n Pengendalian Teknologi Informasi dan Audit

 Kontrol ada _ mendukung wilayah _ _ informasi keamanan , seperti itu _ mendukung

autentikasi teknik ( yaitu , kata sandi ), baru mengakses atau penghentian prosedur ,
gunakan dari firewall Dan bagaimana kabar mereka dikonfigurasi , fisik keamanan , dll.
 Kontrol ada _ mendukung wilayah _ _ mengubah kontrol manajemen , seperti itu _ mendukung
itu penerapan dari perubahan ke dalam aplikasi , beroperasi sistem , dan database ;
menguji apakah mengakses dari pemrogram adalah memadai ; dll.

Metode diterapkan dalam berkumpul data ini termasuk meninjau komputer informasi sistem dan
antarmuka manusia praktik , prosedur , dokumen , narasi , diagram alur , dan catatan tata
letak . Prosedur audit lainnya dilaksanakan ke mengumpulkan data meliputi : observasi ,
wawancara , inspeksi yang ada dokumentasi , dan diagram alur , di antaranya lainnya .
Fisik inspeksi teknik digunakan _ keduanya ke mengumpulkan data dan ke mengesahkan yang
ada dokumen atau representasi dibuat selama itu wawancara . Misalnya , satu _ mengunjungi
ke itu komputer / pusat data Bisa menyediakan kedua pengumpulan data Dan validasi peluang
untuk menentukan peralatan konfigurasi , perpustakaan prosedur , operasi prosedur , fisik
keamanan kontrol , yang ada lingkungan kontrol , dan pengendalian data lainnya prosedur .
Banyak dari ini prosedurnya secara substansial itu sama tanpa memedulikan dari apakah
itu akuntansi sistem adalah terkomputerisasi atau tidak. Perbedaan terkait dengan audit
dari _ terkomputerisasi sistem tengah sekitar perubahan dalam pengendalian , dokumentasi ,
teknik audit , dan teknis kualifikasi diperlukan oleh staf audit anggota . Lampiran 2
menunjukkan sebuah contoh dari itu jenis dari pertanyaan Dan informasi itu sebaiknya
menjadi didokumentasikan Kapan mengumpulkan sebuah memahami dari lingkungan TI . _

Prosedur Audit Desain

Dalam hal ini fase , auditor I'T harus mempersiapkan program audit untuk itu daerah
makhluk diaudit , pilih kontrol tujuan berlaku ke setiap area, dan mengenali Prosedur atau
kegiatan ke menilai seperti tujuan . Program audit berbeda dari sebuah pengendalian
internal kuesioner (ICQ) di dalamnya melibatkan ICQ _ pertanyaan ke evaluasi itu desain
dari pengendalian internal _ sistem . Khususnya , ICQ memeriksa apakah pengendalian
diterapkan _ ke mendeteksi , mencegah , atau benar 2 salah saji material . Kontrol tidak
pada tempatnya akan mewakili suatu penyimpangan atau kekurangan dalam pengendalian
internal _ struktur . Program audit, aktif itu lainnya tangan , berisi spesifik Prosedur
ke tes itu tanggapan diterima dari itu pertanyaan bertanya , demikian pembuktian itu itu
kontrol diidentifikasi berada di tempatnya Dan bekerja sesuai harapan oleh manajemen .
Program audit adalah rencana formal untuk meninjau dan menguji masing-masing area subjek
audit signifikan diungkapkan selama fakta berkumpul . Auditor harus Pilih subjek daerah
untuk menguji itu memiliki signifikan _ dampak pada itu kontrol dari itu aplikasi Dan itu
yang ada di dalam itu cakupan didefinisikan oleh tujuan audit . _ Area audit TI sangat
spesifik ke itu jenis audit . Untuk IT, COBIT adalah sebuah bagus sekali memulai titik
seperti itu daftar risiko , tujuan , dan kunci kontrol per area audit TI. Ini informasi
maka harus _ menjadi disesuaikan ke itu tertentu organisasi tujuan , proses , dan
 teknologi . Lampiran 3 menggambarkan contoh Program Audit TI untuk itu umum mengendalikan
bidang TI .

Proses Audit TI m 81
Mengidentifikasi Aplikasi Keuangan
Dengan itu membantu dari manajemen , auditor TI harus memutuskan Apa aplikasi sistem akan
memiliki ke menjadi diperiksa di lebih _ tingkat rinci ( yaitu , pelingkupan ). Sebagai
dasar untuk persiapan dari rencana audit , auditor TI harus Juga menentukan , secara
umum , bagaimana caranya banyak waktu akan menjadi diperlukan , apa jenis dari rakyat Dan
keterampilan akan menjadi diperlukan ke mengadakan itu pemeriksaan ; dan , kira-kira , apa
itu jadwal akan menjadi .
Identifikasi _ dari keuangan aplikasi Bisa menjadi ahli dengan yang diperoleh auditor
keakraban dengan itu organisasi akuntansi Prosedur Dan proses . Pentingnya _ dari
menentukan itu penting keuangan aplikasi harus _ menjadi berasal dari melalui pendahuluan
analisis . Penilaian _ dari itu kecanggihan dari itu aplikasi , itu kompleksitas , itu
bisnis proses mereka
dukungan , dan cakupan dari kegunaannya adalah faktor itu datang ke dalam bermain dalam
memutuskan apakah ke Pilih seperti aplikasi Dan Bagaimana satu mungkin evaluasi itu .
Seperti yang dinyatakan sebelumnya , itu pendahuluan tinjauan fase merupakan langkah
penting dalam proses audit _ itu memeriksa sebuah organisasi keuangan sistem Dan
menyediakan auditor dengan dasar untuk _ memilih area audit untuk lagi terperinci analisis
Dan evaluasi apakah mereka manual atau terkomputerisasi .
Auditor terlibat dalam peninjauan keuangan aplikasi sebaiknya fokus milik mereka
kekhawatiran pada itu aplikasi kontrol aspek . Ini memerlukan milik mereka keterlibatan
dari itu waktu transaksi _ adalah dimulai sampai itu adalah diposting ke dalam itu
organisasi ' s umum buku besar . Khususnya , auditor harus memastikan itu ketentuan
dibuat _ untuk :
 Jejak audit yang memadai itu transaksi Bisa menjadi dilacak maju Dan ke belakang melalui
itu keuangan aplikasi
 Dokumentasi _ Dan adanya dari kontrol atas _ akuntansi untuk semua data ( misalnya,
transaksi , dll.) dimasukkan ke dalam itu aplikasi Dan kontrol ke memastikan itu
integritas dari itu transaksi selama itu terkomputerisasi segmen dari itu aplikasi
 Penanganan pengecualian ke , dan penolakan dari , itu keuangan aplikasi
 Satuan dan pengujian terintegrasi , dengan kontrol yang ada ke menentukan apakah itu
aplikasi lakukan seperti yang dinyatakan
 Kontrol atas perubahan ke itu aplikasi ke menentukan apakah itu sesuai otorisasi telah _
diberikan Dan didokumentasikan
 Otorisasi Prosedur untuk aplikasi sistem menimpa Dan dokumentasi dari itu proses
 Menentukan apakah organisasi Dan pemerintah kebijakan Dan prosedur dipatuhi _ ke dalam
sistem penerapan
 Pelatihan pengguna personel di _ operasi dari itu keuangan aplikasi
 Mengembangkan terperinci evaluasi kriteria Jadi itu dia adalah mungkin ke menentukan
apakah itu dilaksanakan lamaran telah terpenuhi telah ditentukan sebelumnya spesifikasi
 Memadai kontrol di antara saling berhubungan aplikasi sistem
 Memadai keamanan Prosedur ke melindungi itu data pengguna
 Cadangan Dan pemulihan Prosedur untuk itu operasi dari itu aplikasi Dan jaminan dari
bisnis kontinuitas
 Memastikan teknologi asalkan oleh berbeda vendor ( yaitu , operasional platform ) adalah
kompatibel Dan dikendalikan
 Cukup dirancang Dan dikendalikan database ke memastikan itu umum definisi data yang
digunakan selama itu organisasi , redundansi adalah dihilangkan atau dikontrol , dan data
ada dalam jumlah banyak database adalah diperbarui secara bersamaan
82 m [ Pengendalian Teknologi Informasi dan Audit

Ini daftar menegaskan itu auditor TI adalah terutama khawatir dengan memadai kontrol ke
menjaga itu organisasi ' s aset .
 Tes Kontrol
Auditor TI mengeksekusi beberapa prosedur untuk _ tes kontrol , proses , dan tampak
eksposur . Prosedur audit ini mungkin termasuk memeriksa dokumenter bukti , serta
pertunjukan _ menguatkan wawancara , inspeksi , dan pengamatan pribadi .
Dokumenter bukti mungkin terdiri atas dari berbagai _ dari formulir dari dokumentasi
pada itu aplikasi sistem di bawah ulasan . Contoh sertakan catatan dari pertemuan pada
subjek sistem , catatan pemrogram , sistem dokumentasi , tangkapan layar , pengguna manual
, dan mengubah kontrol dokumentasi dari setiap sistem atau operasi perubahan sejak
permulaan , dan salinannya _ dari itu kontrak jika ketiga Para Pihak terlibat . Memeriksa
seperti dokumenter bukti mungkin memerlukan auditor I'T untuk bertanya pertanyaan dari itu
pengguna , pengembang dan manajer ke membantu dia atau dia mendirikan itu sesuai tes
kriteria ke menjadi digunakan . Dia Juga membantu dalam mengidentifikasi itu kritis
aplikasi Dan proses ke menjadi diuji .
Menguatkan wawancara juga _ bagian dari proses pengujian , dan _ mungkin termasuk Prosedur
seperti :

 Meminta berbeda personil itu sama pertanyaan Dan perbandingan milik mereka jawaban
 Meminta itu sama pertanyaan yang berbeda cara pada berbeda waktu
 Perbandingan jawaban ke mendukung dokumentasi , pekerjaan makalah , program , tes , atau
lainnya dapat diverifikasi hasil
 Perbandingan jawaban ke observasi Dan sebenarnya sistem hasil

Sebuah contoh akan melibatkan mewawancarai seorang programmer untuk sebuah aplikasi di
bawah ulasan . Pemrogram _ negara bagian itu itu aplikasi telah mengalami terkini
perubahan yang tidak tercermin dalam saat ini dokumentasi . Dia adalah sangat penting ke
mengenali Apa itu perubahannya adalah jika itu daerah dari itu aplikasi adalah untuk
menjadi terpilih untuk pengujian kontrol .
Untuk pemeriksaan dari dokumentasi , auditor TI dapat memperoleh itu logis pengaturan
( yaitu , kata sandi ) saat ini dikonfigurasi pada itu organisasi jaringan , beroperasi
sistem , dan keuangan aplikasi tingkat . Dari tertentu pentingnya adalah ke memperoleh Dan
menilai itu jaringan ' s dikonfigurasi logis pengaturan seperti ini adalah itu tingkat
pertama _ autentikasi sebelum pengguna dapat memperoleh akses ke itu keuangan aplikasi .
Pengaturannya _ diterima kemudian _ dibandingkan melawan itu organisasi kata sandi
kebijakan ke menentukan apakah mereka mematuhi atau tidak _ dengan seperti kebijakan . Di
_ ketiadaan dari kata sandi kebijakan , itu organisasi logis pengaturan dikonfigurasi
dibandingkan _ melawan industri standar atau terbaik praktek . Dokumentasi mendukung itu
di atas pengaturan adalah biasanya Pertama diperoleh melalui wawancara informasi keamanan
personel .
Lain prosedur audit umum ke tes Dan mengesahkan informasi akan menjadi ke mengamati
sebenarnya Prosedur memukau tempat . Di _ contoh di atas , auditor TI akan melakukannya
mengamati itu pengaturan dikonfigurasi di _ keuangan aplikasi Dan meminta organisasi
personil ke mencetak keluar tangkapan layar untuk dokumentasi dalam pekerjaan audit _
makalah . Pameran 3.7a menunjukkan sebuah contoh dari umum dokumentasi diperoleh mendukung
itu kata sandi pengaturan dikonfigurasi . Dalam hal ini kasus , pengaturan misalnya
diberlakukan _ kata sandi sejarah , minimum ( atau maksimum ) kata sandi usia , kata sandi
minimum panjang , kata sandi kompleksitas , akun penguncian durasi Dan ambang batas , dan
apakah kata sandi memiliki pernah disimpan menggunakan dapat dibalik enkripsi adalah
beberapa dari itu pengaturan itu biasanya _ berkumpul . Auditor TI sedang bekerja kertas
mendokumentasikan pengujian _ beberapa dari ini pengaturan akan Lihat menyukai itu satu di
Tampilan 3.7b. Melihat pada itu meja itu sebenarnya kata sandi pengaturan dikonfigurasi
didokumentasikan pada itu jaringan ( atau itu Pertama tingkat otentikasi ), beroperasi
sistem , dan keuangan aplikasi tingkat . Juga catatan pemberitahuan dan tanda centang
( penjelasan ) tentang itu informasi di dalamnya dan , sebagian besar yang penting , itu
penilaian dari apakah itu klien kata sandi pengaturan mematuhi dengan salah satu itu yang
ada perusahaan kebijakan , atau industri standar Dan terbaik praktek . Kapan pengaturan
tidak mematuhi _ dengan itu kebijakan atau industri standar atau terbaik praktik ,
pengecualian audit ( temuan ) ditulis ke atas Dan dicantumkan secara terpisah bekerja
kertas . Ini bekerja kertas akan pada akhirnya membantu Kapan menulis ke atas itu temuan /
kekurangan bagian dari itu Pengelolaan Surat . Sebentar _ contoh dari pengamatan sebagai
ujian prosedur akan melibatkan auditor TI yang memeriksa bencana pemulihan berolahraga .
Di sini, auditor TI bisa menentukan apakah personil diikuti sesuai Prosedur Dan proses .
Melalui pengamatan pribadi , auditor dapat _ menilai Dan menentukan apakah personil adalah
mengikuti Pengoperasian Prosedur Dan rencana , dan adalah cukup siap untuk itu bencana
disimulasikan .

Proses Audit TI B ® 83
84 m [ Pengendalian Teknologi Informasi dan Audit

Pengujian Substantif
Di mana kontrol bertekad untuk tidak melakukannya menjadi pengujian substantif mungkin
efektif _ menjadi diperlukan ke menentukan apakah di sana adalah masalah materi dengan itu
dihasilkan keuangan informasi . Dalam audit TI, pengujian substantif adalah digunakan ke
menentukan itu ketepatan Dan kelengkapan dari informasi makhluk dihasilkan oleh suatu
proses atau aplikasi . Kebalikan ke pengujian kepatuhan di mana itu auditor _ _ sasaran
adalah ke mengonfirmasi apakah itu organisasi adalah mengikuti ke berlaku kebijakan ,
prosedur , aturan , dan peraturan . Sebuah contoh dari suatu kepatuhan tes prosedur akan
menjadi memverifikasi itu sebuah perubahan atau upgrade secara finansial aplikasi dulu
cukup diuji , disetujui , dan didokumentasikan sebelumnya ke -nya implementasi .
Tanda centang ( penjelasan ):

{1} — Kata sandi pengaturan diperoleh dari perusahaan kebijakan . Menyalin dari itu
perusahaan kebijakan mendukung ini pengaturan adalah didokumentasikan dalam w/p [##].
{a } — Penegakan Kata sandi Riwayat , Usia Kata Sandi Minimum , Kata Sandi Minimum
Panjang , Kata Sandi Kompleksitas , dan Akun Penguncian pengaturan tidak dikonfigurasi
konsisten dengan perusahaan kebijakan , dan oleh karena itu , jangan berpromosi sebuah
tingkat yang dapat diterima keamanan . Nilainya _ dikonfigurasi untuk Kata sandi
Kompleksitas juga demikian telah diatur ke “ Dinonaktifkan . ” Kata sandi kompleksitas
persyaratan menetapkan kata sandi minimum parameter tidak mudah dikompromikan itu pengguna
harus ikuti dalam pendirian milik mereka kata sandi , khususnya pada tingkat LAN /Windows,
yang mana berfungsi sebagai _ lapisan pertama _ otentikasi . Pengecualian dicatat .
Merujuk ke w/p [##], di mana ini pengecualian memiliki pernah terdaftar .
Proses Audit TI m 85
{b} — Kata sandi keamanan pengaturan dikontrol _ melalui pengoperasian Windows _ sistem .
Oleh karena itu , konfigurasi dari kata sandi LAN /Windows pengaturan mencakup ini
aplikasi . Merujuk ke baris LAN /Windows di atas .
{c} — Kata sandi keamanan pengaturan seperti Usia Kata Sandi Minimum , Kata Sandi Minimum
Panjang , Kata Sandi Kompleksitas , dan Akun Penguncian memiliki pernah dikonfigurasi
konsisten dengan itu perusahaan kebijakan , promosi sebuah tingkat yang memadai keamanan .
TIDAK pengecualian dicatat .
{d} — Aplikasi Kegunaan keterbatasan jangan izinkan _ itu pelaksanaan dari kata sandi
sejarah .
Pengecualian dicatat . Merujuk ke w/p [##], di mana ini pengecualian telah terjadi
terdaftar .

Tes audit substantif dirancang _ Dan diadakan ke memeriksa itu fungsional akurasi ,
efisiensi , dan kontrol dari subjek auditnya . _ Selama audit keuangan _ _ _ aplikasi ,
untuk Misalnya , auditor TI akan melakukannya membangun Dan proses data uji ke memeriksa
itu pengolahan Langkah dari seperti sebuah aplikasi .
Audit melalui komputer adalah istilah itu melibatkan langkah tambahan _ ke itu tersebut
sebelumnya . Program dijalankan _ pada itu komputer ke tes Dan mengautentikasi aplikasi
 program yang dijalankan dalam pemrosesan normal . Biasanya , itu tim audit keuangan akan
Pilih satu dari itu banyak Perangkat Lunak Audit Umum paket seperti SAS, SPSS, Teknik
Audit Berbantuan Komputer (CAATS), atau CA- Easytrieve (T) dan menentukan Apa perubahan
diperlukan _ ke berlari itu perangkat lunak pada itu instalasi . Auditor keuangan
menggunakan ini spesifik perangkat lunak wo melakukan pengambilan sampel, ekstraksi data ,
pengecualian melaporkan , meringkas Dan kaki total , dan lainnya tugas . Mereka juga
menggunakan paket seperti Microsoft Access, Excel, IDEA, atau ACL karena dari kedalaman
mereka _ analisis Dan pelaporan kemampuan .
CAATS, untuk Misalnya , gunakan yang disediakan auditor spesifikasi ke menghasilkan
program itu melakukan fungsi audit , seperti mengevaluasi _ aplikasi kontrol , memilih Dan
menganalisa data terkomputerisasi untuk tes audit substantif , dll. Intinya , CAAT
mengotomatisasikan Dan menyederhanakan proses audit , dan _ ini adalah mengapa tim audit (
eksternal dan internal) semakin meningkat menggunakan mereka . Faktanya , banyak _
organisasi memiliki Perangkat Lunak Audit Umum sudah dipasang untuk auditor internal
mereka ke mengizinkan mereka ke mengumpulkan informasi Dan mengadakan itu tes audit yang
direncanakan . Yang sesuai pilihan Dan efektif menggunakan dari alat audit ini tidak hanya
penting _ ke melakukan pengujian audit yang memadai tetapi Juga ke dokumen hasil .

Dokumen Hasil
Berikutnya _ fase dari melibatkan audit _ mendokumentasikan hasil dari itu bekerja
dilakukan , serta pelaporan _ pada itu temuan . Hasil audit sebaiknya sertakan deskripsi _
temuan audit , kesimpulan , dan _ rekomendasi .

Temuan Audit
Persyaratannya _ temuan , pengecualian , kekurangan , penyimpangan , masalah, dan masalah
pada dasarnya identik dalam dunia audit , dan _ berarti auditor mengidentifikasi suatu
situasi _ Di mana pengendalian , prosedur , atau efisiensi Bisa menjadi membaik . Temuan
mengenali Dan menggambarkan tidak akurat , tidak efisien , atau secara tidak memadai
subyek audit yang dikendalikan . Sebuah contoh dari temuan audit TI akan menjadi perubahan
_ dilaksanakan menjadi keuangan _ aplikasi itu tidak termasuk _ sesuai pengelolaan
otorisasi . Lain contoh akan termasuk temuan auditor TI itu itu organisasi manual prosedur
tidak memerlukan _ manajemen izin sebelum menerapkan perubahan ke dalam aplikasi .
Temuan audit sebaiknya menjadi secara individu didokumentasikan Dan sebaiknya pada
paling sedikit termasuk itu berikut :
 Nama dari lingkungan TI ( operasi _ sistem menjadi tuan rumah itu relevan keuangan
aplikasi dievaluasi _
 Area TI yang terpengaruh ( operasi IS , informasi keamanan , perubahan kontrol manajemen )
 Bekerja kertas tes referensi Di mana itu temuan dulu diidentifikasi
 Kontrol umum tujuan dan _ aktivitas ( ies ) itu gagal
 Singkat keterangan dari itu temuan
 Di mana adalah itu temuan secara formal dikomunikasikan ke manajemen ( ini sebaiknya
referensi itu Pengelolaan Surat di dalam Laporan Auditor ) _
 Klasifikasi individu dari itu temuan per standar audit AU 325, Komunikasi Tentang Kontrol
Kekurangan dalam Audit Laporan Keuangan , baik sebagai kekurangan , signifikan _ _
kekurangan , atau kelemahan materi ”
 Evaluasi dari itu temuan , secara spesifik apakah dia dulu diidentifikasi pada itu tingkat
desain (yaitu, di sana adalah TIDAK umum kontrol di tempat ) atau pada itu tingkat
operasional ( yaitu ., itu umum kontrol ada di tempatnya, tapi tidak menguji _ secara
efektif )
 Apakah itu temuan mewakili atau tidak meresap atau risiko tingkat entitas
 Apakah itu temuan Bisa menjadi dimitigasi oleh lainnya kompensasi umum kontrol , dan jika
jadi , sertakan referensi ke Di mana ini kontrol memiliki pernah diuji berhasil

Temuan audit bentuk (misalnya, Komputer Umum Kontrol Temuan Bentuk , dll) bisa menjadi
digunakan ke tinjauan itu kontrol masalah diidentifikasi dengan itu manajer TI yang
bertanggung jawab untuk setuju pada perbaikan tindakan . Ini informasi Bisa Kemudian
menjadi digunakan ke mempersiapkan Manajemen formal _ Surat itu akan menemani Laporan
Audit _ Dan itu perbaikan tindakan tindak lanjut . Memukau perbaikan tindakan bisa
hasilnya ditingkatkan _ produktivitas ; itu pencegahan dari penipuan ; atau itu pencegahan
dari keuangan kehilangan , cedera pribadi , atau lingkungan kerusakan . Pameran 3.8
pertunjukan sebuah contoh dari lembar kerja itu mungkin menjadi digunakan ke meringkaskan
temuan individu _ diidentifikasi selama audit TI .

Kesimpulan Dan Rekomendasi

Kesimpulannya adalah opini auditor , berdasarkan pada didokumentasikan bukti , itu
menentukan apakah area subjek audit bertemu _ tujuan auditnya . _ Semua kesimpulan harus
menjadi berdasarkan pada data faktual yang diperoleh Dan didokumentasikan oleh auditor
sebagai hasilnya kegiatan audit . _ Gelar _ ke yang itu kesimpulan didukung _ oleh itu
bukti adalah sebuah fungsi dari itu jumlah dari bukti diamankan oleh auditor . Kesimpulan
didokumentasikan dalam pekerjaan audit _ _ dokumen Dan sebaiknya mendukung prosedur audit
_ dilakukan . Bekerja makalah adalah koleksi formal _ dari bersangkutan tulisan ,
dokumen , diagram alur , korespondensi , hasil dari observasi , rencana Dan hasil dari tes
, rencana audit, notulen dari rapat , terkomputerisasi catatan , file data atau aplikasi
hasil , dan evaluasi itu dokumen aktivitas auditor _ untuk itu seluruh periode audit .
Sebuah salib yang lengkap , terorganisir dengan baik direferensikan , dan kumpulan yang
dapat dibaca bekerja dokumen adalah penting ke mendukung itu temuan , kesimpulan , dan
rekomendasi sebagaimana tercantum dalam Laporan Audit . _ Biasanya , salinan dari Laporan
Audit akhir adalah diajukan di _ bekerja makalah .
Rekomendasi adalah pernyataan formal itu menggambarkan suatu kursus dari tindakan itu
sebaiknya menjadi dilaksanakan oleh itu perusahaan _ _ pengelolaan ke memulihkan atau
menyediakan akurasi , efisiensi , atau memadai kontrol subjek audit . _ Sebuah rekomendasi
sebaiknya menjadi asalkan oleh auditor untuk _ setiap temuan audit untuk itu laporan ke
menjadi berguna ke manajemen .

Komunikasi
Nilainya _ dari audit tergantung , secara besar - besaran bagian , pada Bagaimana efisien
Dan secara efektif -nya hasilnya dikomunikasikan . _ Di _ kesimpulan tes audit , itu _
adalah terbaik ke membahas itu diidentifikasi temuan dengan manajemen TI untuk mendapatkan
mereka perjanjian Dan mulai setiap diperlukan perbaikan tindakan . Temuan , risiko sebagai
hasilnya dari itu temuan , dan rekomendasi audit biasanya _ didokumentasikan pada itu
Pengelolaan Surat (secara terpisah bagian dari Laporan Audit ) . Merujuk ke Gambar 3.9
untuk sebuah contoh dari format Manajemen _ _ _ Surat dari audit TI .
 Proses Audit TI m 91

Saat diterima dari itu Pengelolaan Surat , AKU BUKAN manajemen Dan terpengaruh staf
sebaiknya tinjauan itu dokumen segera . Itu item belum _ lengkap sebaiknya menjadi
ditangani Dan ditindaklanjuti . Dalam waktu yang relatif pendek waktu , itu fakta itu
semua perbedaan memiliki pernah dikoreksi sebaiknya menjadi ditularkan ke staf audit
secara formal . _ Ini tindakan dicatat dalam file audit , dan _ _ seperti kerja sama
mencerminkan menguntungkan di masa depan audit .

Dia adalah penting ke melacak perbaikan tindakan ke memeriksa itu temuan memiliki pernah
diperbaiki . Ini memerlukan proses formal ke melacak perbaikan tindakan , tanggal target ,
dan status untuk pelaporan kepada manajemen I'T , komite audit , dan _ itu papan .
Di _ menutup dari audit , rancangan Laporan Audit adalah diterbitkan untuk tinjauan oleh
semua terkena dampak pesta . Ulasannya _ proses akan pergi banyak lebih cepat jika temuan
memiliki sudah pernah sepakat dengan pengelolaan selama pengujian dan _ kesimpulan fase .
Setelah Laporan Audit selesai _ _ diselesaikan , itu adalah hal yang baik praktik ke
jadwal sebuah KELUAR pertemuan melibatkan keduanya , TI dan keuangan sisi . Biasanya ,
undangan ke itu KELUAR pertemuan dikirim _ ke CIO dan _ itu Kepala Pejabat Keuangan (CFO)
( atau Pengendali jika CFO tidak tersedia ) untuk _ _ membahas audit , serta untuk _
tinjauan tujuan audit _ Dan bertanya untuk masukan pada itu pertunjukan dari tim audit . _
Ini pertemuan akan menyediakan berharga informasi ke dalam itu pertunjukan dari staf audit
_ Dan pelajaran terpelajar untuk membaik masa depan pertunangan .

Untuk meringkas proses audit _ dijelaskan dalam hal ini bab , lihat ke Gambar 3.10.

Lainnya Jenis Audit TI _

Di samping itu mendukung keuangan penyataan audit , ada yang lain bidang audit yang sangat
diminta dilakukan di bidang TI. Ini secara singkat dijelaskan berikutnya .

Arsitektur Perusahaan
manajemen TI harus mengembangkan organisasi Prosedur ke memastikan terkendali _ Dan
efisien Arsitektur untuk informasi pengolahan . Ini Prosedur sebaiknya Juga menentukan itu
komputer Dan periferal peralatan diperlukan ke mendukung semua fungsi dalam sebuah
ekonomis Dan tepat waktu cara . Dengan perusahaan sistem makhluk sangat kritis hingga
ukuran sedang Dan besar bisnis hari ini , itu membutuhkan untuk memantau dan mengesahkan
operasional integritas dari sebuah perusahaan sumber perencanaan sistem adalah sebuah
penting proses . Audit TI dimainkan sebuah penting berperan dalam memelihara , memvalidasi
, dan pemantauan itu perusahaan arsitektur .

Sistem Komputerisasi dan Aplikasi

Sebuah terkomputerisasi sistem Dan aplikasi jenis verifikasi audit _ itu itu organisasi '
s sistem Dan aplikasi ( operasional dan non finansial ) adalah :

 sesuai ke itu kebutuhan pengguna , _

 efisien , dan
 cukup dikendalikan ke memastikan valid, dapat diandalkan , tepat waktu , dan aman
masukan , pemrosesan , dan
 keluaran pada saat ini Dan diproyeksikan tingkat dari sistem aktivitas .

92 ® [ Pengendalian Teknologi Informasi dan Audit

Informasi Pengolahan Fasilitas

Audit dari itu informasi pengolahan fasilitas memastikan tepat waktu , akurat , dan
efisien pengolahan dari aplikasi di bawah normal dan berpotensi mengganggu kondisi .

Pengembangan Sistem
Terkait audit TI ke sistem perkembangan akan membuat yakin itu aplikasi Dan sistem di
bawah perkembangan bertemu itu tujuan dari itu organisasi , memuaskan Gunakan T
persyaratan , dan menyediakan efisien , akurat , dan hemat biaya aplikasi Dan sistem . Ini
 jenis audit memastikan _ itu aplikasi Dan sistem ditulis , diuji , dan _ dipasang sesuai _
dengan umumnya diterima standar untuk sistem pengembangan .

Kontinuitas Bisnis Perencanaan / Bencana Pemulihan Perencanaan

Menurut ke itu SysAdmin , Audit, Jaringan, Keamanan (SANS) Institute , sebuah bisnis
kontinuitas ( atau rencana ketahanan (BCP) yang digabungkan kegiatan Dan Prosedur ke pulih
semua bisnis operasi ( tidak hanya IT) dari interupsi atau merugikan acara . “ Sebuah
bencana rencana pemulihan (DRP ) menggabungkan serangkaian Prosedur ke pulih Dan
melindungi itu infrastruktur TI organisasi di _ peristiwa dari sebuah keadaan darurat atau
bencana . Keduanya rencana sebaiknya menjadi secara formal didokumentasikan , dan disimpan
diperbarui di dalam itu organisasi .
Audit BCP mengevaluasi Bagaimana sebuah organisasi kontinuitas proses sedang berlangsung
dikelola . Ini jenis definisi audit _ itu risiko atau ancaman ke itu kesuksesan dari
rencana , dan menilai itu kontrol yang ada ke menentukan apakah itu risiko atau ancaman
dapat diterima dan sejalan _ dengan itu organisasi ' s tujuan ." Audit ini juga
mengkuantifikasi itu dampak dari kelemahan dari rencana dan _ penawaran rekomendasi untuk
bisnis perbaikan rencana kesinambungan .
audit DRP membantu memastikan itu infrastruktur TI _ Dan semua terkait peralatan digunakan
ke mengembangkan, menguji , mengoperasikan , memantau, mengelola , dan / atau dukungan
layanan TI (misalnya perangkat keras , perangkat lunak , jaringan , pusat data , dll)
secara memadai terawat Dan terlindung ke memastikan milik mereka lanjutan ketersediaan
konsisten dengan organisasi tujuan . Audit DRP mempertimbangkan faktor seperti alternatif
_ lokasi penunjukan , pelatihan dari personel , dan Pertanggungan masalah , di antaranya
lainnya .

Kesimpulan
Selama beberapa dekade , itu komputer telah _ digunakan ke mendukung sehari-hari operasi
dalam bisnis lingkungan . Paling perusahaan menemukan itu mereka harus menggunakan
komputer teknologi secara efektif ke tetap kompetitif . Alam _ dari teknologi ,
bagaimanapun , terus berlanjut ke mengubah dengan cepat . Akibatnya , perusahaan _
melanjutkan ke mengintegrasikan milik mereka akuntansi / keuangan sistem Dan operasi .
Profesi audit telah berhasil ini penyesuaian juga . _ Di seluruh dunia, profesional
organisasi memiliki diterbitkan berguna panduan Dan petunjuk ke membantu manajer Dan para
profesional audit .
Apakah ulasan audit TI informasi sistem operasi , informasi keamanan , atau aplikasi , itu
kontrol diterapkan di dalamnya daerah harus menjadi diverifikasi . Auditor TI _ _ fungsi
( baik internal atau eksternal ) menyediakan wajar jaminan itu sistem aset dilindungi ,
informasi _ adalah tepat waktu Dan dapat diandalkan , dan kesalahan Dan ditemukan
kekurangannya _ Dan dikoreksi segera . Sama penting tujuan dari ini fungsinya efektif _
pengendalian , menyelesaikan jejak audit , dan kepatuhan dengan organisasi kebijakan .
Alam _ dari audit akan niscaya melanjutkan ke menjalani besar berubah seiring tingkat _ _
teknologi membaik . Penuh otomatisasi dari proyek inisiasi ke pelaporan akhir _ panggung
akan memungkinkan auditor ke membuat lagi efisien menggunakan dari tersedia sumber daya
Dan meningkatkan itu kredibilitas dari audit yang dilakukan . Efektif menggunakan dari
komputer teknologi Bisa Juga memberdayakan auditor ke lebih baik memahami itu desain dari
itu milik klien komputer sistem , serta perilaku _ berhasil audit di hari ini _ sangat
otomatis lingkungan .

Tinjauan Pertanyaan

1. Apa adalah dunia audit _ Dan Apa melakukan dia termasuk ?

2. Apa adalah Kontrol Tujuan untuk Informasi Dan Teknologi Terkait (COBIT) dan Mengapa adalah
dia berharga ke pengelolaan dan auditor TI ?
3. Mengapa risiko _ penilaian penting ke fungsi auditnya ? _
4. Meringkaskan itu pentingnya dari rencana audit. Apa itu _ empat langkah minimal rencana
audit seharusnya punya ?
5. Nyatakan _ makna dari jadwal audit . _
6. Menggambarkan Apa pelingkupan audit _ sebaiknya termasuk .
7. Secara singkat menggambarkan itu delapan khas fase dari suatu perikatan audit .
8. Apa spesifik informasi atau bukti Bisa pertemuan auditor TI untuk klien _ itu kegunaan
lingkungan TI -nya ke toko Dan proses secara finansial data penting ?
9. Menjelaskan Apa program audit adalah.
10. Menggambarkan itu prosedur auditor TI melakukan untuk _ tes kontrol , proses , dan
eksposur .
11. Menggambarkan itu Prosedur khas dilakukan Kapan melakukan terkait dengan audit TI ke
a. Pengembangan Sistem
b. Kontinuitas Bisnis Perencanaan / Bencana Pemulihan Perencanaan

Latihan
1. Sebagai senior audit TI itu pertunangan , Anda sedang melakukan presentasi ke manajer TI _
dan mitra (sebagai bagian dari itu perencanaan pertemuan ) itu hasil dari itu
mempertaruhkan penilaian dilakukan pada Gambar 3.3. Berdasarkan pada seperti hasil ( lihat
pada Gambar 3.3, di bawah itu “ Risiko Peringkat ” dan “ Tindakan Prioritas ”
kolom ), itu tampaknya jernih itu audit seharusnya _ fokus tentang Aplikasi Keuangan #2
(FA2). Namun demikian , manajer TI dan mitra, berdasarkan pada sebelumnya relevan
pengalaman , percaya itu audit seharusnya _ menjadi dilakukan tentang Aplikasi Keuangan #1
(FA1). Perencanaan _ pertemuan sudah berakhir, dan Anda tetap merasa diragukan pada itu
keputusan hanya dibuat . Milikmu tugas : Siapkan memo dua halaman untuk manajer audit
( menyalin _ mitra ) menyatakan milikmu alasan mengapa FA2 harus menjadi diaudit pertama .
Untuk _ meyakinkan manajer audit _ dan partner, kamu harus melakukannya memikirkan “ di
luar itu kotak . ” Di lainnya kata-kata , pikirkan dari tambahan informasi belum tentu
didokumentasikan dalam _ mempertaruhkan penilaian ditunjukkan pada Gambar 3.3, dan dokumen
dalam informasi memo Anda terkait kepada :
a. Tambahan apa pun kerentanan atau kelemahan itu mungkin saat ini berada di tempatnya
mempengaruhi FA2
b. Tambahan apa pun sumber ancaman itu Bisa pemicu itu kerentanan atau kelemahan Anda hanya
diidentifikasi untuk FA2
c. Tambahan apa pun risiko atau situasi melibatkan paparan ke kehilangan untuk itu keuangan
informasi di FA2
d. Tambahan apa pun kontrol atau Prosedur itu sebaiknya menjadi dilaksanakan ke mengurangi
itu risiko hanya diidentifikasi
2. Gunakan _ mengikuti informasi ke mempersiapkan sebuah Memo Perencanaan TI yang serupa ke
itu satu di Lampiran 1.
a. Anda adalah senior audit I'T ( atau perwakilan auditor I'T ) yang ditugaskan . Perusahaan
audit Anda memiliki beberapa cabang , tapi kamu sedang bekerja ini tertentu klien dari
kantor Melbourne , FL .
b. Audit TI akan melakukannya mendukung itu keuangan audit laporan Perusahaan XYZ , dengan
fiskal tahun akhir pada 31 Desember 20XX.
c. Diskusi dengan itu Direktur audit keuangan mengenai keterlibatan audit TI memiliki sudah
diambil tempat , dan didokumentasikan dalam pekerjaan _ kertas (w/p) 1000.1. auditor TI
belum _ _ terlibat sebelumnya _ audit untuk ini klien .
d. Milikmu tim adalah tersusun terdiri dari : IT Partner P, IT Manager M, dan IT Audit Staff
AS. Anda adalah Senior S. audit TI .
e. Waktu audit meliputi : Perencanaan akan menjadi dilakukan selama itu keenam bulan dari itu
tahun sedang diaudit; Prosedur audit interim akan mengambil tempat selama 2 bulan sebelum
itu akhir dari itu fiskal tahun ; Akhir tahun prosedur dijadwalkan _ untuk Januari sampai
bulan Maret itu tahun mengikuti itu akhir dari itu fiskal tahun ; Dan semua bekerja
dokumen dan dokumentasi audit akan menjadi jatuh tempo oleh Dan tertanda mati pada tanggal
30 April itu tahun mengikuti itu akhir dari itu fiskal tahun .
f. Audit TI adalah diperkirakan ke memakan waktu 100 jam . Jam akan menjadi dibebankan ke
klien kode : Perusahaan XYZ-0000.
g. Sebuah pemahaman lingkungan TI Perusahaan XYZ _ _ _ adalah didokumentasikan dalam w/p
1540.
h. Ketiganya _ relevan aplikasi untuk audit TI meliputi :
i. Semua Akuntansi Aplikasi (AAA) — digunakan ke menangkap Dan pengolahan terkait akuntansi
transaksi . AAA adalah dipasang pada platform UNIX ( atau Pengoperasian sistem ), dan
menggunakan basis data Oracle . AAA bisa menjadi diakses melalui jaringan Windows .
ii. Aplikasi Penghasil Dokumen Keuangan (FDGA) — digunakan ke menghasilkan semua jenis dari
keuangan laporan Dan dokumentasi . FDGA adalah dipasang pada operasi Windows sistem , dan
menggunakan Oracle sebagai miliknya basis data . FDGA adalah diakses melalui jaringan
Windows .
iii. Sumber Daya Manusia dan Daftar gaji Aplikasi (HRPA) — digunakan ke mengelola itu sumber
daya manusia perusahaan _ Dan proses penggajian . Ini aplikasi adalah dihosting di luar
dari itu perusahaan , di pihak ketiga organisasi disebut HRP-Untuk-Semua.

Proses Audit TI B ® 95
i. Yang relevan aplikasi kontrol digunakan ke mengurangi risiko dalam audit ini tercantum
dalam Tampilan 3.5b ( ini harus menjadi ditambahkan ke Memo Perencanaan TI ). Gunakan w/p
1000.2 untuk referensi tujuan .
j. Penyimpangan atau temuan dihasilkan dari pengujian _ relevan aplikasi kontrol akan menjadi
didokumentasikan dalam w/p 2302.
k. Di sana akan menjadi TIDAK bekerja dari orang lain (misalnya, personel Audit Internal ,
dll.) yang digunakan dalam audit TI.
l. Sumber daya manusia Dan daftar gaji layanan dilakukan _ oleh pihak ketiga melayani
organisasi disebut HRP-For-All, berlokasi di Austin, Texas. Deloitte , itu auditor layanan
, adil selesai menerbitkan laporan _ menilai itu kontrol pada itu melayani organisasi
untuk itu periode 1 Juli 20XX sampai dengan 30 Juni 20XX. Kontrol di HRP-For-All ditemukan
ke menjadi efektif .
m. Tidak ada _ lainnya daerah diidentifikasi dalam Perusahaan XYZ bahwa auditor TI Bisa
membantu dengan .
3. Bagaimana adalah pengujian substantif yang digunakan dalam audit TI? Menjelaskan Apa
melakukan istilah audit - melalui komputer merujuk ke .
4. Apa adalah temuan audit _ Dan yang informasi sebaiknya menjadi termasuk Kapan
mendokumentasikan mereka ?
5. Anda adalah seorang auditor TI eksternal bertanya ke melakukan peninjauan _ dari itu
berikut : Transaksi Keuangan Aplikasi (FTA) adalah menyebabkan masalah dengan Buku Besar
Umum Aplikasi (GLA) jatuh tempo ke itu waktu dari transfer dari _ transaksi . Data telah
ditransfer terlambat oleh FTA menyebabkan akhir bulan laporan ke menjadi secara tidak
akurat dinyatakan . Manajer bertemu ke tinjauan sebelumnya bulan _ _ aktivitas laporan ,
dan menyadari adanya kekurangan dari $ 50.000 di beberapa akun . Mempersiapkan rencana
audit untuk mengadakan Prosedur ke alamat ini jenis dari situasi .

Lebih jauh Membaca

1. AICPA. Analisis audit Dan audit berkelanjutan — Melihat ke arah itu masa depan ,
www.aicpa.org/InterestAreas/FRC/AssuranceAdvisoryServices/DownloadableDocuments/
AuditAnalytics_LookingTowardFuture.pdf ( diakses Agustus 2017).
2. Benson , J. (Agustus 2007). Pentingnya _ dari Pemantauan . Auditor internal. Lembaga
Auditor Internal , Altamonte _ Mata air , FL.
3. Berry, L. ( Oktober 2007). Audit yang Lebih Ramah dan Lembut . Auditor internal. Lembaga
Auditor Internal , Altamonte _ Mata air , FL.
4. Bodin , L., Gordon, L., dan Loeb , M. (2008). Informasi keamanan Dan mempertaruhkan
manajemen . Komuni , ACM, 51(1), 64—68 .
5. Casas , E. ( Oktober 2007). Memberi tahu Itu Seperti Apa Adanya. Auditor internal. Lembaga
Auditor Internal , Altamonte _ Mata air , FL.
6. Cavusoglu , H., Mishra , B., dan Raghunathan , S. (2004). Sebuah model untuk mengevaluasi
keamanan TI investasi . Komunitas . ACM, 47(1), 87-92.
7. Chaney , C. dan Gene , K. (Agustus 2007). Auditor Terintegrasi . Auditor internal. Lembaga
Auditor Internal , Altamonte _ Mata air , FL.
8. Deloitte LLP. (2014). Perencanaan Audit TI Bekerja Makalah . Dokumen internal yang tidak
dipublikasikan .
9. MATA _ _ sepuluh pertimbangan utama TI untuk audic internal — Risiko TI yang efektif
penilaian dan perencanaan audit . ( Februari 2013). Wawasan pada tata kelola , risiko Dan
kepatuhan , www.ey.com/Publication/vwLUAssets/Ten_key IT
_considerations_for_internal_audit/$FILE/Ten_key_IT_considerations_for_internal_audit.pdf
10. Flipek , R. ( Juni 2007). Keterampilan Audit TI Ditemukan Kurang . Auditor internal.
Lembaga Auditor Internal , Altamonte Mata air , FL.
11. Gallegos , F. (2002). Laporan audit Dan mengikuti atas : Metode Dan teknik untuk
mengkomunikasikan temuan audit Dan rekomendasi . Inf sistem . Kontrol J., 4, 17-20.
12. Gallegos , F. dan Preiser-Houy , L. (2001). Meninjau Fokus Basis data Aplikasi , Audit EDP
Seri , 74-10-23, Auerbach Penerbit , Boca Raton , FL, hal . 1-24.
13. Hyde , G. (Agustus 2007). Pengujian Audit yang Ditingkatkan . Auditor internal. Lembaga
Auditor Internal , Altamonte Mata air , FL.
14. Audit Sistem Informasi dan Kontrol Yayasan . COBIT, Edisi 5 , Audit Sistem Informasi dan
Kontrol Fondasi , Bergulir Meadows , IL,
www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx ( diakses Juni 2012).
15. Dasar-Dasar Audit IS . Prosesnya _ dari Audit Sistem Informasi , www.isaca.org/knowledge-
center/itaf-is-assurance-audit-/pages/is-audit-basics.aspx ( diakses Juli 2017).
16. Manson , D. dan Gallegos , F. (September 2002). Mengaudit Pemulihan DBMS Prosedur , Audit
EDP Seri , 75-20-45, Auerbach Penerbit , Boca Raton , FL, hal . 1-20.
17. McAfee Ancaman Labs 2017 prediksi , laporan diterbitkan pada November 2016,
www.mcafee.com/au/resources/reports/rp-threats-predictions-2017.pdf ( diakses Oktober
2017).
18. McAfee laboratorium ancaman laporan — Desember 2016,
www.mcafee.com/ca/resources/reports/rp-quarterly-threats-dec-2016.pdf ( diakses Oktober
2017).
19. McCafferty , J. (2016). Lima Langkah ke Perencanaan sebuah Program Audit TI yang Efektif ,
Pelatihan MIS Institut , http://misti.com/internal-audit-insights/five-steps-to-planning-
an- Effective -it-audit-program
20. Menkus , B. dan Gallegos , F. (2002). Perkenalan untuk Audit TI , #71-10-10.1, Auerbach
Penerbit, Boca Raton , FL, hal . 1-20.
21. Kerentanan Nasional Basis data . Institut Nasional dari Standar dan Teknologi,
https://nvd.nist.gov/vuln/search ( diakses Agustus 2017).
22. Otero , AR (2015). Sebuah informasi keamanan kontrol penilaian metodologi untuk keuangan
organisasi _ informasi . masuk . J.Ac. _ _ Informasikan . Sistem ., 18(1), 26-45.
23. Otero , AR (2015). Dampak keterlibatan auditor TI dalam bidang keuangan _ audit . tidak
. J.Res . _ Bis. Teknologi.,6(3), 841-849.
24. Otero , AR, Tejay , G., Otero , LD, dan Ruiz , A. (2012). Tidak jelas berbasis logika
informasi keamanan kontrol penilaian untuk organisasi , Konferensi IEEE tentang Sistem
Terbuka, Kuala Lumpur, Malaysia.
25. Otero , AR, Otero , CE, dan Qureshi , A. (2010). Multi -kriteria evaluasi dari informasi
keamanan kontrol menggunakan Boolean fitur . Int. J. Keamanan Jaringan . Aplikasi ., 2(4),
1-11.
26. Pareek , M. (2006). Mengoptimalkan kontrol ke tes sebagai bagian dari strategi audit
berbasis risiko . Inf Sysz . Pengendalian Audit Asosiasi . J., 2, 39-42.
27. Romney , MB dan Steinbart , PJ (2015). Akuntansi Sistem Informasi , Edisi ke-13 , Pearson
Education , Atas Pelana Sungai , NJ.
28. Richardson , VJ, Chang , CJ, dan Smith, R. (2014). Akuntansi Sistem Informasi , McGraw
Bukit, Baru York .
29. Informasi SANS _ Keamanan Kebijakan Templat ,
www.sans.org/security-resources/policies/general (diakses Oktober 2016).
30. Sarbanes-Oxley-101. Bagian 404: Manajemen Penilaian Pengendalian Internal , www.sarbanes-
oxley-101.com/SOX-404.htm ( diakses Agustus 2016).
31. Senft , S., Gallegos , F., dan Davis, A. (2012). Pengendalian Teknologi Informasi dan
Audit, CRC Press /Taylor & Francis , Boca Raton , FL.
32. Singleton , T. (2003). Konsekuensinya _ dari itu Sarbanes — Oxley Bertindak . Inf
sistem . Kontrol J, 3, 11-16.
33. Akuntansi Umum AS , Menilai itu Keandalan dari Komputer Keandalan Data yang Diolah ,
https://digital.library.unt.edu/ark:/67531/metadc302511/ ( diakses November 2016).
34. Akuntansi Umum AS , Pemerintah Audit Standar Eksposur 2017 Draf , www.gao.gov/Yellowbook (
diakses Mei 2017).
35. Akuntansi Umum AS , Standar untuk Pengendalian Internal di Pemerintah Federal , September
2014, GAO/AIMD 00-21.3.1.