1.
APLIKASI TEKNOLOGI INFORMASI (TI) adalah alat yang membawa nilai
bagi sistem komputer; mereka mendorong banyak jika tidak sebagian besar proses
bisnis perusahaan saat ini. Aplikasi TI ini berkisar dari yang relatif
sederhana, seperti sistem hutang untuk membayar faktur vendor, hingga yang
sangat rumit, seperti pengaturan pengelolaan sumber daya perusahaan (ERM) dari
beberapa aplikasi basis data yang saling terkait untuk mengontrol hampir semua
proses bisnis perusahaan. Banyak aplikasi TI saat ini didasarkan pada perangkat
lunak yang disewa oleh vendor atau yang dibeli, peningkatan jumlah berasal dari
layanan berbasis web, beberapa dikembangkan oleh sistem internal dan tim
pemrograman, dan banyak lagi yang didasarkan pada spreadsheet atau proses
desktop database. Meskipun prosedur pengendalian umum TI yang dibahas dalam Bab
6 dan 7 mencakup kontrol dan praktik terbaik atas semua operasi TI, proses
kontrol spesifik berlaku untuk setiap aplikasi TI yang diinstal. Untuk
melakukan tinjauan pengendalian internal di area tertentu dari operasi
perusahaan, seperti akuntansi, distribusi, atau rekayasa, auditor TI harus
memiliki keterampilan untuk memahami, mengevaluasi, dan menguji kontrol atas
aplikasi pendukungnya. Tinjauan tentang pengendalian aplikasi spesifik sering
lebih penting untuk mencapai tujuan audit secara keseluruhan daripada tinjauan
kontrol TI umum. Kontrol aplikasi, bagaimanapun, sangat tergantung pada
kualitas kontrol umum TI secara keseluruhan. Sebagai contoh, jika ada kontrol
yang tidak memadai atas proses manajemen konfigurasi IT, seperti yang dibahas
pada Bab 7, akan sulit bagi auditor IT untuk bergantung pada kontrol yang
dibangun ke dalam aplikasi spesifik yang bergantung pada proses manajemen
konfigurasi yang kuat. Meskipun auditor TI, misalnya, mungkin menemukan bahwa
aplikasi entri-pesanan TI dengan benar menyaring pesanan penjualan untuk
persetujuan kredit yang valid, kontrol umum di sekitarnya juga harus
dipertimbangkan. Tanpa kontrol pembaruan pengelolaan kon fi gurasi TI, dalam
contoh ini, program sistem entri pesanan dapat diubah, tanpa otorisasi
manajemen, mungkin untuk menggantikan kontrol persetujuan kredit yang
ditetapkan
Perusahaan tipikal dapat menggunakan sejumlah besar aplikasi TI
produksi. Aplikasi ini mendukung berbagai fungsi dalam perusahaan, dimulai
dengan aplikasi akuntansi tetapi juga termasuk bidang-bidang seperti
manufaktur, pemasaran, distribusi, dan lain-lain, tergantung pada aktivitas
bisnis. Aplikasi pendukung ini dapat diimplementasikan menggunakan berbagai
teknologi IT, seperti sistem terpusat dengan jaringan telekomunikasi, sistem
jaringan berbasis Internet, aplikasi berbasis server klien-server, dan bahkan
sistem batchprocessing mainframe yang lebih lama. Beberapa aplikasi ini mungkin
telah dikembangkan di-rumah tetapi semakin banyak jumlahnya yang didasarkan
pada paket perangkat lunak yang dibeli yang dipasang secara lokal atau diakses
melalui penyedia layanan berbasis Web. Aplikasi yang dikembangkan di rumah
dapat ditulis dalam bahasa pemrograman seperti C # (juga disebut Csharp) atau
VisualBasic, adatabasereport-generatorlanguagesuchasSQL, bahasa Jawa yang tidak
berorientasi bahasa. Dokumentasi aplikasi dapat berkisar dari sangat lengkap
hingga hampir tidak ada. Meskipun ada upaya terbaik dari audit TI untuk
menyarankan perbaikan, hal yang sama sering dapat dikatakan tentang kontrol
aplikasi. Meskipun anggota manajemen terkadang tidak memiliki pemahaman yang
baik tentang masalah kontrol umum TI, sering kali mereka tertarik pada masalah
audit TI yang mencakup kontrol aplikasi spesifik. Sebagai contoh, sementara
laporan audit TI yang menemukan pengendalian umum atas pustaka program sistem
operasi TI mungkin tidak menghasilkan banyak minat manajemen, temuan
perhitungan diskon yang salah berdasarkan masalah konversi mata uang asing
dalam aplikasi hutang pasti akan menarik perhatian. Namun, karena kerumitan
relatif banyak aplikasi IT dan karena kontrol mereka sering berada di dalam
aplikasi dan dalam mendukung area pengguna, audit aplikasi TI dapat menjadi
tantangan. Auditor TI harus mensurvei aplikasi yang aktif dan memilih yang
lebih kritis dan tepat untuk ditinjau. Kami juga membahas pendekatan untuk
secara efektif meninjau kontrol akuntansi internal dalam aplikasi IT,
menggunakan beberapa jenis aplikasi yang berbeda sebagai contoh. Akhirnya, bab
ini membahas pendekatan audit untuk mengevaluasi dan menguji kontrol aplikasi
tersebut serta teknik untuk meninjau aplikasi baru yang sedang dikembangkan.
Kami fokus pada karakteristik kontrol internal dari berbagai jenis aplikasi dan
tentang cara memilih aplikasi yang sesuai dalam tinjauan kontrol internal. Ada
banyak perbedaan dari satu aplikasi ke yang lain; Bab ini berfokus pada
bagaimana auditor TI harus memilih aplikasi berisiko tinggi sebagai kandidat
untuk tinjauan audit TI, alat dan keterampilan yang diperlukan untuk memahami
dan mendokumentasikan kontrol internal aplikasi, dan, akhirnya, proses untuk
menguji dan mengevaluasi aplikasi tersebut.
2.
ELEMEN PENGAWASAN APLIKASI
Orang yang tidak akrab dengan TI terkadang memikirkan aplikasi komputer hanya
dalam hal laporan keluaran sistem atau data yang ditampilkan di layar terminal.
Namun, setiap aplikasi, apakah aplikasi layanan berbasis Web, sistem mainframe
yang lebih lama, sebuah aplikasi client-server, atau paket produktivitas
perkantoran yang diinstal pada sistem desktop lokal, memiliki tiga komponen
dasar: (1) input sistem, (2) program yang digunakan untuk memproses, dan (3)
output sistem. Masing-masing memiliki peran penting dalam struktur kontrol
internal aplikasi, dan auditor TI harus memahami komponen ini ketika meninjau
aplikasi TI. Aplikasi IT sebelumnya dapat dipisahkan dengan mudah ke dalam tiga
komponen ini. Sebagai contoh, sistem penggajian yang dikomputerisasi secara
tradisional dari dulu menggunakan kartu waktu dan file juru bayar personil
sebagai input dan serangkaian program untuk menghitung pembayaran dan tunjangan
serta untuk memperbarui catatan riwayat pembayaran. Output dari sistem
penggajian itu adalah cek cetak, laporan daftar gaji, dan file pembayaran yang
diperbarui. Hari ini, sistem penggajian yang sama mungkin menerima masukan dari
pembaca lencana instalasi otomatis yang mengontrol akses dan melacak kehadiran,
sistem produksi toko yang melakukan perhitungan pembayaran insentif, berbagai
masukan online lainnya, dan database sumber daya manusia. Serangkaian program
komputer, beberapa terletak di penyedia layanan berbasis web dan lainnya
didistribusikan ke workstation jarak jauh, akan melakukan pemrosesan. Dalam
banyak kasus saat ini, banyak proses penggajian dapat ditangani oleh fungsi
layanan luar yang melakukan sebagian besar kegiatan ini. Keluaran sistem
penggajian modern mencakup transaksi untuk mengirimkan kompensasi ke rekening
bank karyawan, membayar voucher yang dikirim ke karyawan, dan memasukkan file
ke berbagai sumber pajak dan manfaat, berbagai layar tampilan, dan basis data
sumber daya manusia yang diperbarui. Meskipun komponen input, output, dan
komponen sistem pemrosesan komputer mungkin tidak semuanya jelas bagi auditor
TI yang melakukan tinjauan awal, tiga elemen yang sama ada untuk semua
aplikasi. Tidak peduli seberapa kompleks aplikasi itu muncul, auditor TI harus
selalu mengembangkan pemahaman tentang aplikasi dengan memecah input, output,
dan komponen pemrosesan. Bagian selanjutnya secara singkat membahas aspek
kontrol dari komponen aplikasi ini untuk memberikan gambaran tentang memilih,
mengaudit, dan menguji aplikasi TI.
Komponen Masukan
Aplikasi
Setiap aplikasi IT membutuhkan beberapa bentuk input, apakah itu data input
secara manual dari voucher transaksi atau dipasok dari beberapa sistem
otomatis. Bayangkan kalkulator genggam umum: Perangkat tidak akan menghasilkan
apa-apa kecuali data semacam itu dimasukkan melalui panel kunci. Meskipun
program aplikasi memproses data, menentukan output, dan memiliki dampak besar
pada kontrol, auditor TI harus memahami sifat dan sumber komponen input. Dalam
sistem tradisional, batchoriented, ini adalah proses yang cukup mudah. Input
aplikasi sering kali merupakan rekaman berurutan yang direkam pada file pita
magnetik atau kartu bertanda 80 atau 90 kolom. Saat ini, input sering
dihasilkan dari berbagai sumber otomatis, termasuk perangkat pengumpulan data
nirkabel dan pembaca kode bar khusus.
Masukan dari Pengumpulan Data atau Perangkat Input Lain
Kebanyakan aplikasi TI awal menggunakan kartu berlubang sebagai sumber input
mereka. Sebuah kartu tunggal membawa 80 atau 90 kolom data terenkode
alfanumerik, dan pengguna memasukkan transaksi input ke lembar pengumpulan data
untuk keypunching ke format kartu. lembar pengumpulan data asli adalah langkah pertama dalam
rantai input, dan auditor TI awal khawatir bahwa semua transaksi telah ditekan
dengan benar. Kartu-kartu ini kemudian diolah mesin atau dimanipulasi sebelum
masuk ke sistem, baik dibaca langsung ke dalam program komputer atau disalin ke
pita magnetik untuk diproses selanjutnya secara batch. Artinya, 500 baris
transaksi mungkin telah disiapkan pada lembar pengumpulan data dan diproses
sebagai batch. Kebutuhan semua transaksi untuk ditekan dengan benar dan
kemudian membaca ke dalam program komputer membuat transaksi input mengontrol
komponen kunci dari keseluruhan kontrol internal aplikasi. Teknologi telah
secara efektif menghapuskan catatan masukan kartu punch hari ini. Transaksi
jenis-batch yang harus dimasukkan ke dalam suatu aplikasi tidak lagi dimasukkan
oleh departemen entri temporer 'khususpintu'. Sebaliknya, departemen
operasional menggunakan terminal online untuk memasukkan transaksi mereka untuk
pengumpulan dan pemrosesan selanjutnya. Mengikuti jadwal pemrosesan, transaksi
ini dapat diinput atau dikumpulkan dan diperbarui kemudian mode inabatch.
Program entri data yang digunakan untuk mengambil bagian sering memiliki
kemampuan untuk melakukan transaksi untuk menghilangkan kesalahan tingkat
rendah yang umum terjadi pada sistem input batch sebelumnya. Dalam banyak
situasi lain, masuknya file update transaksi dalam mode real-time. Data
masukan transaksi berasal dari banyak sumber. Toko ritel menangkap masukan
penjualan melalui kombinasi entri penjualan yang dimasukkan pada terminal titik
penjualan (POS) dan penjualan produk dimasukkan melalui pembaca kode batang.
Demikian pula, data diambil di lantai toko manufaktur melalui berbagai tiket
dan lencana yang dimasukkan dalam pembaca oleh pekerja langsung di lantai. Chip
komputer kecil — ID frekuensi radio (RFID) —yang dipasang pada label komponen
dapat memberikan masukan seperti pada identifikasi produk dan pergerakan
selanjutnya. Semua perangkat input ini menghasilkan transaksi untuk memperbarui
ke beberapa jenis aplikasi pemrosesan. Transaksi input semakin tidak dihasilkan
dari dalam perusahaan tetapi dari aplikasi yang berlokasi di lokasi fisik lain
dan dikendalikan oleh orang lain. Perusahaan saat ini menerima berbagai macam
transaksi data melalui Internet, pada sistem pertukaran data elektronik yang
lebih lama (EDI), atau melalui sistem nirkabel. Dalam kasus ini, perusahaan
lain dapat mengajukan transaksi pesanan pembelian, pembayaran tagihan hutang, atau
transaksi bisnis yang signifikan. Perorangan menginisialisasi transaksi
penting, sekuritas perdagangan, dan melakukan bisnis lain melalui komputer di
Internet melalui Internet. Semua ini mewakili transaksi input ke berbagai
aplikasi IT, dan masing-masing memiliki pertimbangan kontrol yang unik.
Auditor TI yang meninjau masukan aplikasi kontrol harus
selalu mencari beberapa elemen kontrol internal dasar yang harus ditemukan di
semua aplikasi IT. Sebagai contoh, harus ada beberapa cara untuk memeriksa bahwa
hanya data yang benar yang dimasukkan. Program komputer yang, melalui tabel
validasi pendukungnya, dapat memverifikasi bahwa bagian produk atau nomor
karyawan atau tidak valid tidak dapat dengan mudah memverifikasi bahwa
kuantitas saat ini seharusnya dimasukkan sebagai 100 dibandingkan dengan 10.
Sistem batch yang lebih tua memiliki total hash periksa untuk membantu
memeriksa kemungkinan kesalahan ini. Total hash adalah nilai non-moneter,
seperti '‘jumlah’ dari semua nomor akun. Sistem modern juga membutuhkan
pemeriksaan yang masuk akal ke dalam prosedur pengumpulan data mereka, dan
program yang memproses transaksi memerlukan kontrol untuk mencegah kesalahan
atau memberikan sinyal peringatan.
5.
Masukan Aplikasi dari Sistem Otomatis Lainnya
Aplikasi IT saat ini sering sangat terintegrasi, dengan satu aplikasi
menghasilkan data keluaran untuk diproses oleh yang lain. Transaksi yang
dimasukkan ke dalam satu aplikasi dapat berdampak pada berbagai aplikasi lain
yang saling terkait. Jadi kesalahan atau kelalaian input pada satu titik dalam
rantai aplikasi dapat mempengaruhi pemrosesan aplikasi lain yang terhubung.
Selain memahami sumber-sumber transaksi untuk aplikasi, auditor TI harus
memahami sifat dari input otomatis lainnya untuk aplikasi yang sama. Sebagai
contoh, sistem penggajian modern dapat menerima masukan dari sistem kinerja
penjualan untuk menghitung komisi. File kinerja penjualan yang memberi makan
sistem penggajian adalah masukan lain. Kontrol di sana didasarkan pada input,
pemrosesan, dan kontrol output dari sistem kinerja penjualan. Jika data kinerja
penjualan mewakili input yang signifikan ke sistem penggajian, auditor TI perlu
khawatir tentang kontrol atas itu serta di atas aplikasi pendukung lainnya.
Jaringan besar aplikasi yang saling terhubung dapat menghadirkan tantangan bagi
auditor TI yang mencoba meninjau kontrol input hanya untuk satu aplikasi.
Auditor IT mungkin tertarik untuk memahami kontrol input aplikasi untuk
aplikasi X. Namun, file dari aplikasi A, B, dan C dapat memberikan input ke X
sementara D dan E menyediakan input ke aplikasi A dan C, masing-masing. Seorang
auditor TI biasanya tidak memiliki waktu atau sumber daya untuk meninjau semua
proses ini dan harus memutuskan yang paling penting dan menganggap bahwa
aplikasi pendukung kurang penting lainnya menghasilkan transaksi yang tepat.
6. Masukan File dan Database
Meskipun biasanya dihasilkan oleh beberapa aplikasi pendukung lainnya atau
diperbarui oleh aplikasi yang sedang ditinjau, file dan database aplikasi
mewakili masukan penting. Dalam beberapa kasus, file ini mewakili tabel data
yang digunakan untuk validasi programdata.
Spartofgainingunderstandingofaplikasi, anITauditorharus memahami sifat dan
konten dari semua file aplikasi yang mendukung. Perangkat lunak yang mengontrol
file-file ini umumnya memiliki berbagai penghitungan-catatan dan kontrol logis
lainnya untuk menentukan bahwa semua transaksi ditulis dengan benar ke dan
dapat diambil dari sistem pendukung. Berkas-berkas harus memiliki kontrol
pengecekan dan pengecekan label untuk mencegahnya dari input yang tidak tepat
ke siklus pemrosesan yang salah. atau aplikasi yang salah. Setelah ditulis
sebagai aliran catatan sekuensial pada pita magnetik, file hari ini adalah
masukan ke disk drive dengan kepadatan lebih tinggi atau kartrid USB. Namun,
auditor TI perlu memiliki pemahaman umum tidak hanya dari jenis dan sifat input
ke aplikasi komputer tetapi juga dari sumber data file dan kontrol apa pun di
atasnya. (Lihat ‘‘ Menyelesaikan Audit Kontrol Aplikasi TI ’kemudian di bab ini
untuk perincian lebih lanjut.) Basis data dapat menghadirkan tantangan khusus
bagi auditor TI. Meskipun basis data sering disalahgunakan untuk merujuk ke
hampir semua jenis file komputer, database sistem komputer adalah metode
pengorganisasian data dalam format sedemikian rupa sehingga semua elemen data
penting menunjuk atau berhubungan satu sama lain. Pada tahun-tahun sebelumnya,
banyak komputer mainframe menggunakan apa yang disebut database hierarkis, di
mana data diatur dalam struktur tipe 'keluarga pohon' kakek-nenek.
Menggunakannya dalam perusahaan manufaktur, setiap produk dapat diatur sebagai
catatan tajuk yang akan mengarah ke masing-masing bagiannya.
Komponen-komponen itu pada gilirannya masing-masing akan
memiliki hierarki catatan yang terdiri dari bagian-bagian individualnya.
Integritas file sangat penting di sini; kesalahan program yang merusak salah
satu rantai penghubung akan menyulitkan untuk mengambil data yang hilang. Saat
ini, basis data relasional adalah struktur fi le yang lebih umum ditemukan pada
semua jenis dan ukuran komputer. Database relasional seperti spreadsheet Excel
multidimensi. Artinya, pengguna dapat mengambil data di berbagai baris
database, kolom, dan halaman daripada harus pergi ke kepala setiap pohon dan
mencari ke dalamnya untuk mengambil data yang diinginkan. Selain cara yang
sangat efektif untuk mengatur data input ke sistem aplikasi, database ini
memungkinkan untuk memudahkan pengambilan laporan untuk pengguna akhir. Dua
contoh umum dari model basis data relasional adalah produk basis data Oracle
Corporation dan basis data DB2 IBM
6. Program Aplikasi
Aplikasi diproses melalui serangkaian program komputer atau set instruksi
mesin. Aplikasi penggajian tradisional yang disebutkan sebelumnya akan terdiri
dari program komputer, data stok, data jumlah pekerjaan, dan menggunakan nomor
karyawan pada kartu waktu masukan untuk mencari tarif karyawan dan pemotongan
yang dijadwalkan. Berdasarkan kecocokan ini, program mencari tingkat gaji
karyawan dan mengalikannya dengan jumlah jam kerja untuk menghitung gaji kotor.
Program komputer adalah seperangkat instruksi yang mencakup setiap detail dari
suatu proses. Seorang programmer menulis instruksi terperinci untuk sistem
komputer untuk diikuti. Sebagai eksperimen untuk memahami detail yang
diperlukan untuk menulis program komputer yang lebih besar, auditor TI yang
tidak memiliki keterampilan pemrograman harus mencoba menuliskan setiap langkah
untuk diikuti di pagi hari sejak alarm berbunyi sampai dia tiba di kantor .
Keesokan paginya, auditor TI harus menggunakan instruksi yang sama persis
seperti yang tertulis untuk bangun, mencuci dan berpakaian, dan kemudian pergi
bekerja. Mengikuti program ini, kebanyakan orang akan mengalami kesalahan
program dan tiba di tempat kerja kehilangan satu atau beberapa pakaian. Ini
adalah kesulitan menulis program komputer terperinci. Biasanya auditor IT tidak
perlu tahu cara menulis program komputer formal saat ini di luar aplikasi audit
tinjau sederhana yang dibahas di Bab 13, tetapi auditor TI yang efektif harus
memahami bagaimana program komputer dibangun dan apa kemampuan mereka untuk mendefinisikan
sesuai prosedur control.
7. Program Mainframe Tradisional dan Program Server-Klien
Mainframe, atau apa yang sering kita sebut komputer tipe lama digunakan secara
luas untuk aplikasi bisnis sejak awal 1960-an. Aplikasi-aplikasi ini pertama
kali diprogram dalam apa yang disebut bahasa mesin sebenarnya generasi pertama
yang menggunakan biner 1s dan 0s. Kami dengan cepat beralih ke bahasa generasi
kedua, yang disebut bahasa assembly. Bahasa simbolik ini menggunakan kode untuk
mewakili instruksi, seperti menambahkan atau menyimpan nilai. Generasi ketiga,
atau compiler, bahasa segera diikuti. Mereka menggunakan pernyataan instruksi
seperti Bahasa Inggris yang sebenarnya, seperti 'TAMBAHKAN KE B.' untuk
mendeskripsikan tindakan yang akan diambil. Program yang disebut compiler
menerjemahkan instruksi ini ke bahasa mesin. Berbagai macam bahasa compiler ini
diperkenalkan pada 1960-an, tetapi COBOL1 menjadi bahasa yang hampir standar
untuk pengolahan data bisnis dengan baik ke tahun 1980-an. Saat ini masih
digunakan untuk beberapa aplikasi bisnis, tetapi basis data khusus dan bahasa
pembuat laporan dan bahasa berorientasi objek sekarang jauh lebih umum.
Berbagai macam bahasa komputer digunakan saat ini; mereka termasuk Visual Basic
dan Java. Banyak aplikasi yang juga dikembangkan menggunakan bahasa pembuat
laporan berbahasa Inggris yang berada di atas bahasa komputer pendukung. Selain
memiliki keterampilan untuk menulis permintaan pengambilan audit, seperti yang
dibahas dalam Bab 13, auditor TI saat ini tidak perlu terampil dalam bahasa
pemrograman.
8. Arsitektur Program Komputer Modern
Pada hari-hari komputer mainframe bertahun-tahun lalu, aplikasi bisnis hampir
selalu dikembangkan di-rumah dan sering ditulis dalam COBOL. Sebagian besar
perusahaan saat ini umumnya membeli atau menyewakan paket perangkat lunak
mereka atau mengaksesnya melalui penyedia layanan Web, meskipun beberapa fungsi
TI masih mengembangkan aplikasi mereka sendiri. In-house development biasanya
terjadi ketika suatu perusahaan memiliki persyaratan bisnis di mana tidak ada
paket perangkat lunak komersial yang tampak benar atau, lebih signifikan,
ketika suatu perusahaan memiliki rencana untuk beberapa inisiatif baru berbasis
perangkat lunak strategis. Auditor IT hari ini, bahkan dengan pengetahuan dasar
bahasa seperti Visual Basic, COBOL, atau C, mungkin memiliki beberapa kesulitan
awal memahami bagaimana aplikasi berorientasi objek diprogram dan dikonstruksi.
Seringkali aplikasi yang lebih baru ini terdiri dari banyak modul kode program
yang sangat kecil yang melewatkan data satu sama lain, terkadang melalui jalur
telekomunikasi jarak jauh. Meskipun tentu saja bukan kebutuhan audit TI yang
khas, Exhibit 10.1 menjelaskan beberapa konsep pemrograman tingkat tinggi
berorientasi objek. Java dan C ++ adalah dua bahasa pemrograman dari aplikasi
berbasis Web saat ini.2 Seorang auditor harus bergantung pada standar program
aplikasi secara keseluruhan di tempat serta pada pengembangan pemrograman dan
kontrol pemeliharaan lainnya. Daripada mencari standar pemrograman aplikasi ini
di setiap aplikasi yang diberikan, dia harus meninjau kontrol pengembangan
sistem umum di perusahaan IT. Ini mungkin termasuk dalam tinjauan umum operasi
TI, seperti yang dibahas pada Bab 6. Ketika sebuah perusahaan
berencana untuk membangun dan meluncurkan in-house aplikasi perangkat lunak
baru atau yang direvisi, audit TI harus meminta hak untuk melakukan tinjauan
pra-implementasi dari proyek pengembangan aplikasi baru. Pra-implementasi
Ulasan audit TI paling efektif untuk upaya pengembangan besar yang mencakup
rentang waktu yang panjang dan terutama komponen yang dikembangkan in-house.
Exhibit 10.2 berisi prosedur audit TI untuk meninjau kontrol pengembangan
sistem aplikasi baru. Proses kontrol ini terkait erat dengan kontrol umum TI
yang dibahas dalam Bab 6 dan auditor TI harus mencari mereka di setiap aplikasi
yang dipilih untuk ditinjau. Saat ini banyak proyek pengembangan aplikasi baru
tidak hanya terdiri dari program-program baru yang dikembangkan di rumah.
Banyak aplikasi modern dibangun dengan membangun tabel referensi data sebagai
bagian dari aplikasi perangkat lunak yang dibeli serta membangun antarmuka
antara aplikasi yang dibeli ini dan komponen lain yang ada. Perhatian yang
tepat harus ditujukan untuk menjaga kontrol internal dan melakukan pengujian
yang memadai dalam situasi ini, dan pendekatan peninjauan ulang pra-audit audit
TI dapat memberikan layanan kepada perusahaan.
9. Perangkat Lunak yang Disediakan Vendor
Saat ini sebagian besar aplikasi IT didasarkan pada perangkat lunak yang
dipasok oleh vendor. Vendor luar akan menyediakan elemen sistem dasar, sering
berbasis Web, dan fungsi pengembangan TI perusahaan hanya bertanggung jawab
untuk membuat tabel khusus, antarmuka file, dan format laporan keluaran di
sekitar aplikasi yang dibeli atau dilisensikan. Seringkali vendor melindungi
kode sumber program yang sebenarnya untuk perangkat lunak yang dibeli untuk
mencegah akses dan perubahan yang tidak benar. Auditor IT harus peduli bahwa
vendor perangkat lunak memiliki reputasi untuk kualitas, perangkat lunak bebas
kesalahan. Seringkali lebih kecil, pemasok perangkat lunak wirausaha menawarkan
solusi yang sangat hemat biaya, tetapi ada risiko dalam menggunakan pengembang
perangkat lunak yang tidak memiliki banyak modal. Jika ada keraguan tentang
vendor perangkat lunak stabilitas, pengaturan harus dilakukan pada
saat kontrak pembelian perangkat lunak untuk menempatkan versi kode sumber
vendor di escrow jika terjadi kegagalan bisnisnya. Bank atau lembaga lain akan
menyimpan versi kode sumber yang dilindungi untuk rilis ke pelanggan jika
vendor perangkat lunak gagal. Keputusan untuk melisensikan, menyewakan, atau
membeli paket perangkat lunak terlalu sering didasarkan pada seorang manajer TI
yang bertemu dengan penjual perangkat lunak di pameran dagang, menetapkan
kebutuhan, dan memperoleh paket perangkat lunak tanpa analisis penuh tentang
biaya dan manfaatnya. Meskipun tidak memiliki bentuk tinjauan pra-implementasi
TI tradisional, auditor IT dapat memainkan peran tingkat konsultasi yang kuat
yang mendukung manajemen TI dalam perolehan paket perangkat lunak baru. Sering
ada banyak masalah pengendalian internal yang harus dipertimbangkan di luar
deskripsi dalam brosur penjualan vendor. Exhibit 10.3 menyajikan prosedur
peninjauan audit TI untuk digunakan baik ketika memberikan bantuan konsultasi
dan ketika meninjau keputusan untuk membeli paket perangkat lunak baru yang besar.
Auditor TI harus memahami kontrol internal aplikasi perangkat lunak yang dibeli
utama serta dia memahami aplikasi yang dikembangkan sendiri. Paket besar yang
terintegrasi, seperti sistem ERP, dapat berdampak besar pada semua aspek dari
suatu perusahaan. Paket aplikasi database ini dapat mencakup produksi,
pembelian, inventaris, sumber daya manusia, akuntansi, dan semua aplikasi
bisnis lainnya yang diimplementasikan sebagai serangkaian basis data yang
terhubung. Data yang diperkenalkan ke salah satu komponen aplikasi, seperti
biaya standar yang direvisi untuk bagian yang dibuat, akan terhubung ke sistem
terhubung lainnya seperlunya. Sebagai contoh, biaya standar yang direvisi akan
tercermin dalam sistem persediaan dan keuangan, antara lain.
10. Komponen Keluaran Aplikasi IT
Tidak ada diskusi tentang sistem aplikasi akan lengkap tanpa deskripsi komponen
outputnya. Komponen aplikasi utama ini biasanya terdiri dari layar output, file
yang diperbarui, atau bahkan laporan yang dicetak. Ini adalah area penting
untuk disurvei dalam tinjauan aplikasi apa pun, dan audit TI harus
memperhatikan kontrol yang terdapat pada layar output dan file kontrol.
Aplikasi yang lebih lama menghasilkan volume besar laporan output yang
menunjukkan hasil pemrosesan dan masalah kontrol atau kesalahan apa pun. Volume
dan frekuensi dari laporan-laporan tersebut sering mencegah pengguna untuk memberikan
perhatian yang memadai untuk mengendalikan masalah, dan auditor TI sering
menemukan kekhawatiran kontrol yang dapat diidentifikasi oleh pengguna hanya
dengan meninjau laporan output mereka. Aplikasi saat ini menghasilkan jauh
lebih sedikit (jika ada) laporan keluaran berbasis kertas; sebaliknya, hasil
dilaporkan pada layar pengambilan data online. Dalam beberapa kasus, laporan
online khusus mengontrol masalah sinyal dan kesalahan data; di lain, pengguna
bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau masalah.
Terlalu sering, pengguna mengabaikan langkah ini, dan kesalahan pemrosesan bisa
tidak terdeteksi. Auditor TI selalu harus meninjau ruang lingkup laporan
keluaran aplikasi, pesan layar, dan disposisi pengguna mereka. Laporan atau
layar bukan satu-satunya keluaran aplikasi. Transaksi atau file yang diperbarui
biasanya diteruskan ke berbagai aplikasi terintegrasi lainnya. Sama seperti
aplikasi IT modern yang dapat menerima masukan dari sekumpulan sistem masukan
yang sangat terintegrasi, ini mungkin menjadi satu penghubung dalam rantai ke
aplikasi lain. Sekali lagi dan selalu, auditor TI harus mengembangkan pemahaman
yang baik tentang aplikasi yang ditinjau serta semua input dan outputnya.
