1.
APLIKASI TEKNOLOGI INFORMASI (TI) adalah alat yang membawa nilai
bagi sistem komputer; mereka mendorong banyak jika tidak sebagian besar proses
bisnis perusahaan saat ini. Aplikasi TI ini berkisar dari yang relatif
sederhana, seperti sistem hutang untuk membayar faktur vendor, hingga yang
sangat rumit, seperti pengaturan pengelolaan sumber daya perusahaan (ERM) dari
beberapa aplikasi basis data yang saling terkait untuk mengontrol hampir semua
proses bisnis perusahaan. Banyak aplikasi TI saat ini didasarkan pada perangkat
lunak yang disewa oleh vendor atau yang dibeli, peningkatan jumlah berasal dari
layanan berbasis web, beberapa dikembangkan oleh sistem internal dan tim
pemrograman, dan banyak lagi yang didasarkan pada spreadsheet atau proses
desktop database. Meskipun prosedur pengendalian umum TI yang dibahas dalam Bab
6 dan 7 mencakup kontrol dan praktik terbaik atas semua operasi TI, proses
kontrol spesifik berlaku untuk setiap aplikasi TI yang diinstal. Untuk
melakukan tinjauan pengendalian internal di area tertentu dari operasi
perusahaan, seperti akuntansi, distribusi, atau rekayasa, auditor TI harus
memiliki keterampilan untuk memahami, mengevaluasi, dan menguji kontrol atas
aplikasi pendukungnya. Tinjauan tentang pengendalian aplikasi spesifik sering
lebih penting untuk mencapai tujuan audit secara keseluruhan daripada tinjauan
kontrol TI umum. Kontrol aplikasi, bagaimanapun, sangat tergantung pada
kualitas kontrol umum TI secara keseluruhan. Sebagai contoh, jika ada kontrol
yang tidak memadai atas proses manajemen konfigurasi IT, seperti yang dibahas
pada Bab 7, akan sulit bagi auditor IT untuk bergantung pada kontrol yang
dibangun ke dalam aplikasi spesifik yang bergantung pada proses manajemen
konfigurasi yang kuat. Meskipun auditor TI, misalnya, mungkin menemukan bahwa
aplikasi entri-pesanan TI dengan benar menyaring pesanan penjualan untuk
persetujuan kredit yang valid, kontrol umum di sekitarnya juga harus
dipertimbangkan. Tanpa kontrol pembaruan pengelolaan kon fi gurasi TI, dalam
contoh ini, program sistem entri pesanan dapat diubah, tanpa otorisasi
manajemen, mungkin untuk menggantikan kontrol persetujuan kredit yang
ditetapkan
Perusahaan tipikal dapat menggunakan sejumlah besar aplikasi TI
produksi. Aplikasi ini mendukung berbagai fungsi dalam perusahaan, dimulai
dengan aplikasi akuntansi tetapi juga termasuk bidang-bidang seperti
manufaktur, pemasaran, distribusi, dan lain-lain, tergantung pada aktivitas
bisnis. Aplikasi pendukung ini dapat diimplementasikan menggunakan berbagai
teknologi IT, seperti sistem terpusat dengan jaringan telekomunikasi, sistem
jaringan berbasis Internet, aplikasi berbasis server klien-server, dan bahkan
sistem batchprocessing mainframe yang lebih lama. Beberapa aplikasi ini mungkin
telah dikembangkan di-rumah tetapi semakin banyak jumlahnya yang didasarkan
pada paket perangkat lunak yang dibeli yang dipasang secara lokal atau diakses
melalui penyedia layanan berbasis Web. Aplikasi yang dikembangkan di rumah
dapat ditulis dalam bahasa pemrograman seperti C # (juga disebut Csharp) atau
VisualBasic, adatabasereport-generatorlanguagesuchasSQL, bahasa Jawa yang tidak
berorientasi bahasa. Dokumentasi aplikasi dapat berkisar dari sangat lengkap
hingga hampir tidak ada. Meskipun ada upaya terbaik dari audit TI untuk
menyarankan perbaikan, hal yang sama sering dapat dikatakan tentang kontrol
aplikasi. Meskipun anggota manajemen terkadang tidak memiliki pemahaman yang
baik tentang masalah kontrol umum TI, sering kali mereka tertarik pada masalah
audit TI yang mencakup kontrol aplikasi spesifik. Sebagai contoh, sementara
laporan audit TI yang menemukan pengendalian umum atas pustaka program sistem
operasi TI mungkin tidak menghasilkan banyak minat manajemen, temuan
perhitungan diskon yang salah berdasarkan masalah konversi mata uang asing
dalam aplikasi hutang pasti akan menarik perhatian. Namun, karena kerumitan
relatif banyak aplikasi IT dan karena kontrol mereka sering berada di dalam
aplikasi dan dalam mendukung area pengguna, audit aplikasi TI dapat menjadi
tantangan. Auditor TI harus mensurvei aplikasi yang aktif dan memilih yang
lebih kritis dan tepat untuk ditinjau. Kami juga membahas pendekatan untuk
secara efektif meninjau kontrol akuntansi internal dalam aplikasi IT,
menggunakan beberapa jenis aplikasi yang berbeda sebagai contoh. Akhirnya, bab
ini membahas pendekatan audit untuk mengevaluasi dan menguji kontrol aplikasi
tersebut serta teknik untuk meninjau aplikasi baru yang sedang dikembangkan.
Kami fokus pada karakteristik kontrol internal dari berbagai jenis aplikasi dan
tentang cara memilih aplikasi yang sesuai dalam tinjauan kontrol internal. Ada
banyak perbedaan dari satu aplikasi ke yang lain; Bab ini berfokus pada
bagaimana auditor TI harus memilih aplikasi berisiko tinggi sebagai kandidat
untuk tinjauan audit TI, alat dan keterampilan yang diperlukan untuk memahami
dan mendokumentasikan kontrol internal aplikasi, dan, akhirnya, proses untuk
menguji dan mengevaluasi aplikasi tersebut.
2.
ELEMEN PENGAWASAN APLIKASI
Orang yang tidak akrab dengan TI terkadang memikirkan aplikasi komputer hanya dalam hal laporan keluaran sistem atau data yang ditampilkan di layar terminal. Namun, setiap aplikasi, apakah aplikasi layanan berbasis Web, sistem mainframe yang lebih lama, sebuah aplikasi client-server, atau paket produktivitas perkantoran yang diinstal pada sistem desktop lokal, memiliki tiga komponen dasar: (1) input sistem, (2) program yang digunakan untuk memproses, dan (3) output sistem. Masing-masing memiliki peran penting dalam struktur kontrol internal aplikasi, dan auditor TI harus memahami komponen ini ketika meninjau aplikasi TI. Aplikasi IT sebelumnya dapat dipisahkan dengan mudah ke dalam tiga komponen ini. Sebagai contoh, sistem penggajian yang dikomputerisasi secara tradisional dari dulu menggunakan kartu waktu dan file juru bayar personil sebagai input dan serangkaian program untuk menghitung pembayaran dan tunjangan serta untuk memperbarui catatan riwayat pembayaran. Output dari sistem penggajian itu adalah cek cetak, laporan daftar gaji, dan file pembayaran yang diperbarui. Hari ini, sistem penggajian yang sama mungkin menerima masukan dari pembaca lencana instalasi otomatis yang mengontrol akses dan melacak kehadiran, sistem produksi toko yang melakukan perhitungan pembayaran insentif, berbagai masukan online lainnya, dan database sumber daya manusia. Serangkaian program komputer, beberapa terletak di penyedia layanan berbasis web dan lainnya didistribusikan ke workstation jarak jauh, akan melakukan pemrosesan. Dalam banyak kasus saat ini, banyak proses penggajian dapat ditangani oleh fungsi layanan luar yang melakukan sebagian besar kegiatan ini. Keluaran sistem penggajian modern mencakup transaksi untuk mengirimkan kompensasi ke rekening bank karyawan, membayar voucher yang dikirim ke karyawan, dan memasukkan file ke berbagai sumber pajak dan manfaat, berbagai layar tampilan, dan basis data sumber daya manusia yang diperbarui. Meskipun komponen input, output, dan komponen sistem pemrosesan komputer mungkin tidak semuanya jelas bagi auditor TI yang melakukan tinjauan awal, tiga elemen yang sama ada untuk semua aplikasi. Tidak peduli seberapa kompleks aplikasi itu muncul, auditor TI harus selalu mengembangkan pemahaman tentang aplikasi dengan memecah input, output, dan komponen pemrosesan. Bagian selanjutnya secara singkat membahas aspek kontrol dari komponen aplikasi ini untuk memberikan gambaran tentang memilih, mengaudit, dan menguji aplikasi TI.
Orang yang tidak akrab dengan TI terkadang memikirkan aplikasi komputer hanya dalam hal laporan keluaran sistem atau data yang ditampilkan di layar terminal. Namun, setiap aplikasi, apakah aplikasi layanan berbasis Web, sistem mainframe yang lebih lama, sebuah aplikasi client-server, atau paket produktivitas perkantoran yang diinstal pada sistem desktop lokal, memiliki tiga komponen dasar: (1) input sistem, (2) program yang digunakan untuk memproses, dan (3) output sistem. Masing-masing memiliki peran penting dalam struktur kontrol internal aplikasi, dan auditor TI harus memahami komponen ini ketika meninjau aplikasi TI. Aplikasi IT sebelumnya dapat dipisahkan dengan mudah ke dalam tiga komponen ini. Sebagai contoh, sistem penggajian yang dikomputerisasi secara tradisional dari dulu menggunakan kartu waktu dan file juru bayar personil sebagai input dan serangkaian program untuk menghitung pembayaran dan tunjangan serta untuk memperbarui catatan riwayat pembayaran. Output dari sistem penggajian itu adalah cek cetak, laporan daftar gaji, dan file pembayaran yang diperbarui. Hari ini, sistem penggajian yang sama mungkin menerima masukan dari pembaca lencana instalasi otomatis yang mengontrol akses dan melacak kehadiran, sistem produksi toko yang melakukan perhitungan pembayaran insentif, berbagai masukan online lainnya, dan database sumber daya manusia. Serangkaian program komputer, beberapa terletak di penyedia layanan berbasis web dan lainnya didistribusikan ke workstation jarak jauh, akan melakukan pemrosesan. Dalam banyak kasus saat ini, banyak proses penggajian dapat ditangani oleh fungsi layanan luar yang melakukan sebagian besar kegiatan ini. Keluaran sistem penggajian modern mencakup transaksi untuk mengirimkan kompensasi ke rekening bank karyawan, membayar voucher yang dikirim ke karyawan, dan memasukkan file ke berbagai sumber pajak dan manfaat, berbagai layar tampilan, dan basis data sumber daya manusia yang diperbarui. Meskipun komponen input, output, dan komponen sistem pemrosesan komputer mungkin tidak semuanya jelas bagi auditor TI yang melakukan tinjauan awal, tiga elemen yang sama ada untuk semua aplikasi. Tidak peduli seberapa kompleks aplikasi itu muncul, auditor TI harus selalu mengembangkan pemahaman tentang aplikasi dengan memecah input, output, dan komponen pemrosesan. Bagian selanjutnya secara singkat membahas aspek kontrol dari komponen aplikasi ini untuk memberikan gambaran tentang memilih, mengaudit, dan menguji aplikasi TI.
Komponen Masukan
Aplikasi
Setiap aplikasi IT membutuhkan beberapa bentuk input, apakah itu data input secara manual dari voucher transaksi atau dipasok dari beberapa sistem otomatis. Bayangkan kalkulator genggam umum: Perangkat tidak akan menghasilkan apa-apa kecuali data semacam itu dimasukkan melalui panel kunci. Meskipun program aplikasi memproses data, menentukan output, dan memiliki dampak besar pada kontrol, auditor TI harus memahami sifat dan sumber komponen input. Dalam sistem tradisional, batchoriented, ini adalah proses yang cukup mudah. Input aplikasi sering kali merupakan rekaman berurutan yang direkam pada file pita magnetik atau kartu bertanda 80 atau 90 kolom. Saat ini, input sering dihasilkan dari berbagai sumber otomatis, termasuk perangkat pengumpulan data nirkabel dan pembaca kode bar khusus.
Masukan dari Pengumpulan Data atau Perangkat Input Lain
Kebanyakan aplikasi TI awal menggunakan kartu berlubang sebagai sumber input mereka. Sebuah kartu tunggal membawa 80 atau 90 kolom data terenkode alfanumerik, dan pengguna memasukkan transaksi input ke lembar pengumpulan data untuk keypunching ke format kartu. lembar pengumpulan data asli adalah langkah pertama dalam rantai input, dan auditor TI awal khawatir bahwa semua transaksi telah ditekan dengan benar. Kartu-kartu ini kemudian diolah mesin atau dimanipulasi sebelum masuk ke sistem, baik dibaca langsung ke dalam program komputer atau disalin ke pita magnetik untuk diproses selanjutnya secara batch. Artinya, 500 baris transaksi mungkin telah disiapkan pada lembar pengumpulan data dan diproses sebagai batch. Kebutuhan semua transaksi untuk ditekan dengan benar dan kemudian membaca ke dalam program komputer membuat transaksi input mengontrol komponen kunci dari keseluruhan kontrol internal aplikasi. Teknologi telah secara efektif menghapuskan catatan masukan kartu punch hari ini. Transaksi jenis-batch yang harus dimasukkan ke dalam suatu aplikasi tidak lagi dimasukkan oleh departemen entri temporer 'khususpintu'. Sebaliknya, departemen operasional menggunakan terminal online untuk memasukkan transaksi mereka untuk pengumpulan dan pemrosesan selanjutnya. Mengikuti jadwal pemrosesan, transaksi ini dapat diinput atau dikumpulkan dan diperbarui kemudian mode inabatch. Program entri data yang digunakan untuk mengambil bagian sering memiliki kemampuan untuk melakukan transaksi untuk menghilangkan kesalahan tingkat rendah yang umum terjadi pada sistem input batch sebelumnya. Dalam banyak situasi lain, masuknya file update transaksi dalam mode real-time. Data masukan transaksi berasal dari banyak sumber. Toko ritel menangkap masukan penjualan melalui kombinasi entri penjualan yang dimasukkan pada terminal titik penjualan (POS) dan penjualan produk dimasukkan melalui pembaca kode batang. Demikian pula, data diambil di lantai toko manufaktur melalui berbagai tiket dan lencana yang dimasukkan dalam pembaca oleh pekerja langsung di lantai. Chip komputer kecil — ID frekuensi radio (RFID) —yang dipasang pada label komponen dapat memberikan masukan seperti pada identifikasi produk dan pergerakan selanjutnya. Semua perangkat input ini menghasilkan transaksi untuk memperbarui ke beberapa jenis aplikasi pemrosesan. Transaksi input semakin tidak dihasilkan dari dalam perusahaan tetapi dari aplikasi yang berlokasi di lokasi fisik lain dan dikendalikan oleh orang lain. Perusahaan saat ini menerima berbagai macam transaksi data melalui Internet, pada sistem pertukaran data elektronik yang lebih lama (EDI), atau melalui sistem nirkabel. Dalam kasus ini, perusahaan lain dapat mengajukan transaksi pesanan pembelian, pembayaran tagihan hutang, atau transaksi bisnis yang signifikan. Perorangan menginisialisasi transaksi penting, sekuritas perdagangan, dan melakukan bisnis lain melalui komputer di Internet melalui Internet. Semua ini mewakili transaksi input ke berbagai aplikasi IT, dan masing-masing memiliki pertimbangan kontrol yang unik.
Setiap aplikasi IT membutuhkan beberapa bentuk input, apakah itu data input secara manual dari voucher transaksi atau dipasok dari beberapa sistem otomatis. Bayangkan kalkulator genggam umum: Perangkat tidak akan menghasilkan apa-apa kecuali data semacam itu dimasukkan melalui panel kunci. Meskipun program aplikasi memproses data, menentukan output, dan memiliki dampak besar pada kontrol, auditor TI harus memahami sifat dan sumber komponen input. Dalam sistem tradisional, batchoriented, ini adalah proses yang cukup mudah. Input aplikasi sering kali merupakan rekaman berurutan yang direkam pada file pita magnetik atau kartu bertanda 80 atau 90 kolom. Saat ini, input sering dihasilkan dari berbagai sumber otomatis, termasuk perangkat pengumpulan data nirkabel dan pembaca kode bar khusus.
Masukan dari Pengumpulan Data atau Perangkat Input Lain
Kebanyakan aplikasi TI awal menggunakan kartu berlubang sebagai sumber input mereka. Sebuah kartu tunggal membawa 80 atau 90 kolom data terenkode alfanumerik, dan pengguna memasukkan transaksi input ke lembar pengumpulan data untuk keypunching ke format kartu. lembar pengumpulan data asli adalah langkah pertama dalam rantai input, dan auditor TI awal khawatir bahwa semua transaksi telah ditekan dengan benar. Kartu-kartu ini kemudian diolah mesin atau dimanipulasi sebelum masuk ke sistem, baik dibaca langsung ke dalam program komputer atau disalin ke pita magnetik untuk diproses selanjutnya secara batch. Artinya, 500 baris transaksi mungkin telah disiapkan pada lembar pengumpulan data dan diproses sebagai batch. Kebutuhan semua transaksi untuk ditekan dengan benar dan kemudian membaca ke dalam program komputer membuat transaksi input mengontrol komponen kunci dari keseluruhan kontrol internal aplikasi. Teknologi telah secara efektif menghapuskan catatan masukan kartu punch hari ini. Transaksi jenis-batch yang harus dimasukkan ke dalam suatu aplikasi tidak lagi dimasukkan oleh departemen entri temporer 'khususpintu'. Sebaliknya, departemen operasional menggunakan terminal online untuk memasukkan transaksi mereka untuk pengumpulan dan pemrosesan selanjutnya. Mengikuti jadwal pemrosesan, transaksi ini dapat diinput atau dikumpulkan dan diperbarui kemudian mode inabatch. Program entri data yang digunakan untuk mengambil bagian sering memiliki kemampuan untuk melakukan transaksi untuk menghilangkan kesalahan tingkat rendah yang umum terjadi pada sistem input batch sebelumnya. Dalam banyak situasi lain, masuknya file update transaksi dalam mode real-time. Data masukan transaksi berasal dari banyak sumber. Toko ritel menangkap masukan penjualan melalui kombinasi entri penjualan yang dimasukkan pada terminal titik penjualan (POS) dan penjualan produk dimasukkan melalui pembaca kode batang. Demikian pula, data diambil di lantai toko manufaktur melalui berbagai tiket dan lencana yang dimasukkan dalam pembaca oleh pekerja langsung di lantai. Chip komputer kecil — ID frekuensi radio (RFID) —yang dipasang pada label komponen dapat memberikan masukan seperti pada identifikasi produk dan pergerakan selanjutnya. Semua perangkat input ini menghasilkan transaksi untuk memperbarui ke beberapa jenis aplikasi pemrosesan. Transaksi input semakin tidak dihasilkan dari dalam perusahaan tetapi dari aplikasi yang berlokasi di lokasi fisik lain dan dikendalikan oleh orang lain. Perusahaan saat ini menerima berbagai macam transaksi data melalui Internet, pada sistem pertukaran data elektronik yang lebih lama (EDI), atau melalui sistem nirkabel. Dalam kasus ini, perusahaan lain dapat mengajukan transaksi pesanan pembelian, pembayaran tagihan hutang, atau transaksi bisnis yang signifikan. Perorangan menginisialisasi transaksi penting, sekuritas perdagangan, dan melakukan bisnis lain melalui komputer di Internet melalui Internet. Semua ini mewakili transaksi input ke berbagai aplikasi IT, dan masing-masing memiliki pertimbangan kontrol yang unik.
Auditor TI yang meninjau masukan aplikasi kontrol harus
selalu mencari beberapa elemen kontrol internal dasar yang harus ditemukan di
semua aplikasi IT. Sebagai contoh, harus ada beberapa cara untuk memeriksa bahwa
hanya data yang benar yang dimasukkan. Program komputer yang, melalui tabel
validasi pendukungnya, dapat memverifikasi bahwa bagian produk atau nomor
karyawan atau tidak valid tidak dapat dengan mudah memverifikasi bahwa
kuantitas saat ini seharusnya dimasukkan sebagai 100 dibandingkan dengan 10.
Sistem batch yang lebih tua memiliki total hash periksa untuk membantu
memeriksa kemungkinan kesalahan ini. Total hash adalah nilai non-moneter,
seperti '‘jumlah’ dari semua nomor akun. Sistem modern juga membutuhkan
pemeriksaan yang masuk akal ke dalam prosedur pengumpulan data mereka, dan
program yang memproses transaksi memerlukan kontrol untuk mencegah kesalahan
atau memberikan sinyal peringatan.
5.
Masukan Aplikasi dari Sistem Otomatis Lainnya
Aplikasi IT saat ini sering sangat terintegrasi, dengan satu aplikasi menghasilkan data keluaran untuk diproses oleh yang lain. Transaksi yang dimasukkan ke dalam satu aplikasi dapat berdampak pada berbagai aplikasi lain yang saling terkait. Jadi kesalahan atau kelalaian input pada satu titik dalam rantai aplikasi dapat mempengaruhi pemrosesan aplikasi lain yang terhubung. Selain memahami sumber-sumber transaksi untuk aplikasi, auditor TI harus memahami sifat dari input otomatis lainnya untuk aplikasi yang sama. Sebagai contoh, sistem penggajian modern dapat menerima masukan dari sistem kinerja penjualan untuk menghitung komisi. File kinerja penjualan yang memberi makan sistem penggajian adalah masukan lain. Kontrol di sana didasarkan pada input, pemrosesan, dan kontrol output dari sistem kinerja penjualan. Jika data kinerja penjualan mewakili input yang signifikan ke sistem penggajian, auditor TI perlu khawatir tentang kontrol atas itu serta di atas aplikasi pendukung lainnya. Jaringan besar aplikasi yang saling terhubung dapat menghadirkan tantangan bagi auditor TI yang mencoba meninjau kontrol input hanya untuk satu aplikasi. Auditor IT mungkin tertarik untuk memahami kontrol input aplikasi untuk aplikasi X. Namun, file dari aplikasi A, B, dan C dapat memberikan input ke X sementara D dan E menyediakan input ke aplikasi A dan C, masing-masing. Seorang auditor TI biasanya tidak memiliki waktu atau sumber daya untuk meninjau semua proses ini dan harus memutuskan yang paling penting dan menganggap bahwa aplikasi pendukung kurang penting lainnya menghasilkan transaksi yang tepat.
Aplikasi IT saat ini sering sangat terintegrasi, dengan satu aplikasi menghasilkan data keluaran untuk diproses oleh yang lain. Transaksi yang dimasukkan ke dalam satu aplikasi dapat berdampak pada berbagai aplikasi lain yang saling terkait. Jadi kesalahan atau kelalaian input pada satu titik dalam rantai aplikasi dapat mempengaruhi pemrosesan aplikasi lain yang terhubung. Selain memahami sumber-sumber transaksi untuk aplikasi, auditor TI harus memahami sifat dari input otomatis lainnya untuk aplikasi yang sama. Sebagai contoh, sistem penggajian modern dapat menerima masukan dari sistem kinerja penjualan untuk menghitung komisi. File kinerja penjualan yang memberi makan sistem penggajian adalah masukan lain. Kontrol di sana didasarkan pada input, pemrosesan, dan kontrol output dari sistem kinerja penjualan. Jika data kinerja penjualan mewakili input yang signifikan ke sistem penggajian, auditor TI perlu khawatir tentang kontrol atas itu serta di atas aplikasi pendukung lainnya. Jaringan besar aplikasi yang saling terhubung dapat menghadirkan tantangan bagi auditor TI yang mencoba meninjau kontrol input hanya untuk satu aplikasi. Auditor IT mungkin tertarik untuk memahami kontrol input aplikasi untuk aplikasi X. Namun, file dari aplikasi A, B, dan C dapat memberikan input ke X sementara D dan E menyediakan input ke aplikasi A dan C, masing-masing. Seorang auditor TI biasanya tidak memiliki waktu atau sumber daya untuk meninjau semua proses ini dan harus memutuskan yang paling penting dan menganggap bahwa aplikasi pendukung kurang penting lainnya menghasilkan transaksi yang tepat.
6. Masukan File dan Database
Meskipun biasanya dihasilkan oleh beberapa aplikasi pendukung lainnya atau diperbarui oleh aplikasi yang sedang ditinjau, file dan database aplikasi mewakili masukan penting. Dalam beberapa kasus, file ini mewakili tabel data yang digunakan untuk validasi programdata. Spartofgainingunderstandingofaplikasi, anITauditorharus memahami sifat dan konten dari semua file aplikasi yang mendukung. Perangkat lunak yang mengontrol file-file ini umumnya memiliki berbagai penghitungan-catatan dan kontrol logis lainnya untuk menentukan bahwa semua transaksi ditulis dengan benar ke dan dapat diambil dari sistem pendukung. Berkas-berkas harus memiliki kontrol pengecekan dan pengecekan label untuk mencegahnya dari input yang tidak tepat ke siklus pemrosesan yang salah. atau aplikasi yang salah. Setelah ditulis sebagai aliran catatan sekuensial pada pita magnetik, file hari ini adalah masukan ke disk drive dengan kepadatan lebih tinggi atau kartrid USB. Namun, auditor TI perlu memiliki pemahaman umum tidak hanya dari jenis dan sifat input ke aplikasi komputer tetapi juga dari sumber data file dan kontrol apa pun di atasnya. (Lihat ‘‘ Menyelesaikan Audit Kontrol Aplikasi TI ’kemudian di bab ini untuk perincian lebih lanjut.) Basis data dapat menghadirkan tantangan khusus bagi auditor TI. Meskipun basis data sering disalahgunakan untuk merujuk ke hampir semua jenis file komputer, database sistem komputer adalah metode pengorganisasian data dalam format sedemikian rupa sehingga semua elemen data penting menunjuk atau berhubungan satu sama lain. Pada tahun-tahun sebelumnya, banyak komputer mainframe menggunakan apa yang disebut database hierarkis, di mana data diatur dalam struktur tipe 'keluarga pohon' kakek-nenek. Menggunakannya dalam perusahaan manufaktur, setiap produk dapat diatur sebagai catatan tajuk yang akan mengarah ke masing-masing bagiannya.
Meskipun biasanya dihasilkan oleh beberapa aplikasi pendukung lainnya atau diperbarui oleh aplikasi yang sedang ditinjau, file dan database aplikasi mewakili masukan penting. Dalam beberapa kasus, file ini mewakili tabel data yang digunakan untuk validasi programdata. Spartofgainingunderstandingofaplikasi, anITauditorharus memahami sifat dan konten dari semua file aplikasi yang mendukung. Perangkat lunak yang mengontrol file-file ini umumnya memiliki berbagai penghitungan-catatan dan kontrol logis lainnya untuk menentukan bahwa semua transaksi ditulis dengan benar ke dan dapat diambil dari sistem pendukung. Berkas-berkas harus memiliki kontrol pengecekan dan pengecekan label untuk mencegahnya dari input yang tidak tepat ke siklus pemrosesan yang salah. atau aplikasi yang salah. Setelah ditulis sebagai aliran catatan sekuensial pada pita magnetik, file hari ini adalah masukan ke disk drive dengan kepadatan lebih tinggi atau kartrid USB. Namun, auditor TI perlu memiliki pemahaman umum tidak hanya dari jenis dan sifat input ke aplikasi komputer tetapi juga dari sumber data file dan kontrol apa pun di atasnya. (Lihat ‘‘ Menyelesaikan Audit Kontrol Aplikasi TI ’kemudian di bab ini untuk perincian lebih lanjut.) Basis data dapat menghadirkan tantangan khusus bagi auditor TI. Meskipun basis data sering disalahgunakan untuk merujuk ke hampir semua jenis file komputer, database sistem komputer adalah metode pengorganisasian data dalam format sedemikian rupa sehingga semua elemen data penting menunjuk atau berhubungan satu sama lain. Pada tahun-tahun sebelumnya, banyak komputer mainframe menggunakan apa yang disebut database hierarkis, di mana data diatur dalam struktur tipe 'keluarga pohon' kakek-nenek. Menggunakannya dalam perusahaan manufaktur, setiap produk dapat diatur sebagai catatan tajuk yang akan mengarah ke masing-masing bagiannya.
Komponen-komponen itu pada gilirannya masing-masing akan
memiliki hierarki catatan yang terdiri dari bagian-bagian individualnya.
Integritas file sangat penting di sini; kesalahan program yang merusak salah
satu rantai penghubung akan menyulitkan untuk mengambil data yang hilang. Saat
ini, basis data relasional adalah struktur fi le yang lebih umum ditemukan pada
semua jenis dan ukuran komputer. Database relasional seperti spreadsheet Excel
multidimensi. Artinya, pengguna dapat mengambil data di berbagai baris
database, kolom, dan halaman daripada harus pergi ke kepala setiap pohon dan
mencari ke dalamnya untuk mengambil data yang diinginkan. Selain cara yang
sangat efektif untuk mengatur data input ke sistem aplikasi, database ini
memungkinkan untuk memudahkan pengambilan laporan untuk pengguna akhir. Dua
contoh umum dari model basis data relasional adalah produk basis data Oracle
Corporation dan basis data DB2 IBM
6. Program Aplikasi
Aplikasi diproses melalui serangkaian program komputer atau set instruksi mesin. Aplikasi penggajian tradisional yang disebutkan sebelumnya akan terdiri dari program komputer, data stok, data jumlah pekerjaan, dan menggunakan nomor karyawan pada kartu waktu masukan untuk mencari tarif karyawan dan pemotongan yang dijadwalkan. Berdasarkan kecocokan ini, program mencari tingkat gaji karyawan dan mengalikannya dengan jumlah jam kerja untuk menghitung gaji kotor. Program komputer adalah seperangkat instruksi yang mencakup setiap detail dari suatu proses. Seorang programmer menulis instruksi terperinci untuk sistem komputer untuk diikuti. Sebagai eksperimen untuk memahami detail yang diperlukan untuk menulis program komputer yang lebih besar, auditor TI yang tidak memiliki keterampilan pemrograman harus mencoba menuliskan setiap langkah untuk diikuti di pagi hari sejak alarm berbunyi sampai dia tiba di kantor . Keesokan paginya, auditor TI harus menggunakan instruksi yang sama persis seperti yang tertulis untuk bangun, mencuci dan berpakaian, dan kemudian pergi bekerja. Mengikuti program ini, kebanyakan orang akan mengalami kesalahan program dan tiba di tempat kerja kehilangan satu atau beberapa pakaian. Ini adalah kesulitan menulis program komputer terperinci. Biasanya auditor IT tidak perlu tahu cara menulis program komputer formal saat ini di luar aplikasi audit tinjau sederhana yang dibahas di Bab 13, tetapi auditor TI yang efektif harus memahami bagaimana program komputer dibangun dan apa kemampuan mereka untuk mendefinisikan sesuai prosedur control.
Aplikasi diproses melalui serangkaian program komputer atau set instruksi mesin. Aplikasi penggajian tradisional yang disebutkan sebelumnya akan terdiri dari program komputer, data stok, data jumlah pekerjaan, dan menggunakan nomor karyawan pada kartu waktu masukan untuk mencari tarif karyawan dan pemotongan yang dijadwalkan. Berdasarkan kecocokan ini, program mencari tingkat gaji karyawan dan mengalikannya dengan jumlah jam kerja untuk menghitung gaji kotor. Program komputer adalah seperangkat instruksi yang mencakup setiap detail dari suatu proses. Seorang programmer menulis instruksi terperinci untuk sistem komputer untuk diikuti. Sebagai eksperimen untuk memahami detail yang diperlukan untuk menulis program komputer yang lebih besar, auditor TI yang tidak memiliki keterampilan pemrograman harus mencoba menuliskan setiap langkah untuk diikuti di pagi hari sejak alarm berbunyi sampai dia tiba di kantor . Keesokan paginya, auditor TI harus menggunakan instruksi yang sama persis seperti yang tertulis untuk bangun, mencuci dan berpakaian, dan kemudian pergi bekerja. Mengikuti program ini, kebanyakan orang akan mengalami kesalahan program dan tiba di tempat kerja kehilangan satu atau beberapa pakaian. Ini adalah kesulitan menulis program komputer terperinci. Biasanya auditor IT tidak perlu tahu cara menulis program komputer formal saat ini di luar aplikasi audit tinjau sederhana yang dibahas di Bab 13, tetapi auditor TI yang efektif harus memahami bagaimana program komputer dibangun dan apa kemampuan mereka untuk mendefinisikan sesuai prosedur control.
7. Program Mainframe Tradisional dan Program Server-Klien
Mainframe, atau apa yang sering kita sebut komputer tipe lama digunakan secara luas untuk aplikasi bisnis sejak awal 1960-an. Aplikasi-aplikasi ini pertama kali diprogram dalam apa yang disebut bahasa mesin sebenarnya generasi pertama yang menggunakan biner 1s dan 0s. Kami dengan cepat beralih ke bahasa generasi kedua, yang disebut bahasa assembly. Bahasa simbolik ini menggunakan kode untuk mewakili instruksi, seperti menambahkan atau menyimpan nilai. Generasi ketiga, atau compiler, bahasa segera diikuti. Mereka menggunakan pernyataan instruksi seperti Bahasa Inggris yang sebenarnya, seperti 'TAMBAHKAN KE B.' untuk mendeskripsikan tindakan yang akan diambil. Program yang disebut compiler menerjemahkan instruksi ini ke bahasa mesin. Berbagai macam bahasa compiler ini diperkenalkan pada 1960-an, tetapi COBOL1 menjadi bahasa yang hampir standar untuk pengolahan data bisnis dengan baik ke tahun 1980-an. Saat ini masih digunakan untuk beberapa aplikasi bisnis, tetapi basis data khusus dan bahasa pembuat laporan dan bahasa berorientasi objek sekarang jauh lebih umum. Berbagai macam bahasa komputer digunakan saat ini; mereka termasuk Visual Basic dan Java. Banyak aplikasi yang juga dikembangkan menggunakan bahasa pembuat laporan berbahasa Inggris yang berada di atas bahasa komputer pendukung. Selain memiliki keterampilan untuk menulis permintaan pengambilan audit, seperti yang dibahas dalam Bab 13, auditor TI saat ini tidak perlu terampil dalam bahasa pemrograman.
Mainframe, atau apa yang sering kita sebut komputer tipe lama digunakan secara luas untuk aplikasi bisnis sejak awal 1960-an. Aplikasi-aplikasi ini pertama kali diprogram dalam apa yang disebut bahasa mesin sebenarnya generasi pertama yang menggunakan biner 1s dan 0s. Kami dengan cepat beralih ke bahasa generasi kedua, yang disebut bahasa assembly. Bahasa simbolik ini menggunakan kode untuk mewakili instruksi, seperti menambahkan atau menyimpan nilai. Generasi ketiga, atau compiler, bahasa segera diikuti. Mereka menggunakan pernyataan instruksi seperti Bahasa Inggris yang sebenarnya, seperti 'TAMBAHKAN KE B.' untuk mendeskripsikan tindakan yang akan diambil. Program yang disebut compiler menerjemahkan instruksi ini ke bahasa mesin. Berbagai macam bahasa compiler ini diperkenalkan pada 1960-an, tetapi COBOL1 menjadi bahasa yang hampir standar untuk pengolahan data bisnis dengan baik ke tahun 1980-an. Saat ini masih digunakan untuk beberapa aplikasi bisnis, tetapi basis data khusus dan bahasa pembuat laporan dan bahasa berorientasi objek sekarang jauh lebih umum. Berbagai macam bahasa komputer digunakan saat ini; mereka termasuk Visual Basic dan Java. Banyak aplikasi yang juga dikembangkan menggunakan bahasa pembuat laporan berbahasa Inggris yang berada di atas bahasa komputer pendukung. Selain memiliki keterampilan untuk menulis permintaan pengambilan audit, seperti yang dibahas dalam Bab 13, auditor TI saat ini tidak perlu terampil dalam bahasa pemrograman.
8. Arsitektur Program Komputer Modern
Pada hari-hari komputer mainframe bertahun-tahun lalu, aplikasi bisnis hampir selalu dikembangkan di-rumah dan sering ditulis dalam COBOL. Sebagian besar perusahaan saat ini umumnya membeli atau menyewakan paket perangkat lunak mereka atau mengaksesnya melalui penyedia layanan Web, meskipun beberapa fungsi TI masih mengembangkan aplikasi mereka sendiri. In-house development biasanya terjadi ketika suatu perusahaan memiliki persyaratan bisnis di mana tidak ada paket perangkat lunak komersial yang tampak benar atau, lebih signifikan, ketika suatu perusahaan memiliki rencana untuk beberapa inisiatif baru berbasis perangkat lunak strategis. Auditor IT hari ini, bahkan dengan pengetahuan dasar bahasa seperti Visual Basic, COBOL, atau C, mungkin memiliki beberapa kesulitan awal memahami bagaimana aplikasi berorientasi objek diprogram dan dikonstruksi. Seringkali aplikasi yang lebih baru ini terdiri dari banyak modul kode program yang sangat kecil yang melewatkan data satu sama lain, terkadang melalui jalur telekomunikasi jarak jauh. Meskipun tentu saja bukan kebutuhan audit TI yang khas, Exhibit 10.1 menjelaskan beberapa konsep pemrograman tingkat tinggi berorientasi objek. Java dan C ++ adalah dua bahasa pemrograman dari aplikasi berbasis Web saat ini.2 Seorang auditor harus bergantung pada standar program aplikasi secara keseluruhan di tempat serta pada pengembangan pemrograman dan kontrol pemeliharaan lainnya. Daripada mencari standar pemrograman aplikasi ini di setiap aplikasi yang diberikan, dia harus meninjau kontrol pengembangan sistem umum di perusahaan IT. Ini mungkin termasuk dalam tinjauan umum operasi TI, seperti yang dibahas pada Bab 6. Ketika sebuah perusahaan berencana untuk membangun dan meluncurkan in-house aplikasi perangkat lunak baru atau yang direvisi, audit TI harus meminta hak untuk melakukan tinjauan pra-implementasi dari proyek pengembangan aplikasi baru. Pra-implementasi Ulasan audit TI paling efektif untuk upaya pengembangan besar yang mencakup rentang waktu yang panjang dan terutama komponen yang dikembangkan in-house. Exhibit 10.2 berisi prosedur audit TI untuk meninjau kontrol pengembangan sistem aplikasi baru. Proses kontrol ini terkait erat dengan kontrol umum TI yang dibahas dalam Bab 6 dan auditor TI harus mencari mereka di setiap aplikasi yang dipilih untuk ditinjau. Saat ini banyak proyek pengembangan aplikasi baru tidak hanya terdiri dari program-program baru yang dikembangkan di rumah. Banyak aplikasi modern dibangun dengan membangun tabel referensi data sebagai bagian dari aplikasi perangkat lunak yang dibeli serta membangun antarmuka antara aplikasi yang dibeli ini dan komponen lain yang ada. Perhatian yang tepat harus ditujukan untuk menjaga kontrol internal dan melakukan pengujian yang memadai dalam situasi ini, dan pendekatan peninjauan ulang pra-audit audit TI dapat memberikan layanan kepada perusahaan.
Pada hari-hari komputer mainframe bertahun-tahun lalu, aplikasi bisnis hampir selalu dikembangkan di-rumah dan sering ditulis dalam COBOL. Sebagian besar perusahaan saat ini umumnya membeli atau menyewakan paket perangkat lunak mereka atau mengaksesnya melalui penyedia layanan Web, meskipun beberapa fungsi TI masih mengembangkan aplikasi mereka sendiri. In-house development biasanya terjadi ketika suatu perusahaan memiliki persyaratan bisnis di mana tidak ada paket perangkat lunak komersial yang tampak benar atau, lebih signifikan, ketika suatu perusahaan memiliki rencana untuk beberapa inisiatif baru berbasis perangkat lunak strategis. Auditor IT hari ini, bahkan dengan pengetahuan dasar bahasa seperti Visual Basic, COBOL, atau C, mungkin memiliki beberapa kesulitan awal memahami bagaimana aplikasi berorientasi objek diprogram dan dikonstruksi. Seringkali aplikasi yang lebih baru ini terdiri dari banyak modul kode program yang sangat kecil yang melewatkan data satu sama lain, terkadang melalui jalur telekomunikasi jarak jauh. Meskipun tentu saja bukan kebutuhan audit TI yang khas, Exhibit 10.1 menjelaskan beberapa konsep pemrograman tingkat tinggi berorientasi objek. Java dan C ++ adalah dua bahasa pemrograman dari aplikasi berbasis Web saat ini.2 Seorang auditor harus bergantung pada standar program aplikasi secara keseluruhan di tempat serta pada pengembangan pemrograman dan kontrol pemeliharaan lainnya. Daripada mencari standar pemrograman aplikasi ini di setiap aplikasi yang diberikan, dia harus meninjau kontrol pengembangan sistem umum di perusahaan IT. Ini mungkin termasuk dalam tinjauan umum operasi TI, seperti yang dibahas pada Bab 6. Ketika sebuah perusahaan berencana untuk membangun dan meluncurkan in-house aplikasi perangkat lunak baru atau yang direvisi, audit TI harus meminta hak untuk melakukan tinjauan pra-implementasi dari proyek pengembangan aplikasi baru. Pra-implementasi Ulasan audit TI paling efektif untuk upaya pengembangan besar yang mencakup rentang waktu yang panjang dan terutama komponen yang dikembangkan in-house. Exhibit 10.2 berisi prosedur audit TI untuk meninjau kontrol pengembangan sistem aplikasi baru. Proses kontrol ini terkait erat dengan kontrol umum TI yang dibahas dalam Bab 6 dan auditor TI harus mencari mereka di setiap aplikasi yang dipilih untuk ditinjau. Saat ini banyak proyek pengembangan aplikasi baru tidak hanya terdiri dari program-program baru yang dikembangkan di rumah. Banyak aplikasi modern dibangun dengan membangun tabel referensi data sebagai bagian dari aplikasi perangkat lunak yang dibeli serta membangun antarmuka antara aplikasi yang dibeli ini dan komponen lain yang ada. Perhatian yang tepat harus ditujukan untuk menjaga kontrol internal dan melakukan pengujian yang memadai dalam situasi ini, dan pendekatan peninjauan ulang pra-audit audit TI dapat memberikan layanan kepada perusahaan.
9. Perangkat Lunak yang Disediakan Vendor
Saat ini sebagian besar aplikasi IT didasarkan pada perangkat lunak yang dipasok oleh vendor. Vendor luar akan menyediakan elemen sistem dasar, sering berbasis Web, dan fungsi pengembangan TI perusahaan hanya bertanggung jawab untuk membuat tabel khusus, antarmuka file, dan format laporan keluaran di sekitar aplikasi yang dibeli atau dilisensikan. Seringkali vendor melindungi kode sumber program yang sebenarnya untuk perangkat lunak yang dibeli untuk mencegah akses dan perubahan yang tidak benar. Auditor IT harus peduli bahwa vendor perangkat lunak memiliki reputasi untuk kualitas, perangkat lunak bebas kesalahan. Seringkali lebih kecil, pemasok perangkat lunak wirausaha menawarkan solusi yang sangat hemat biaya, tetapi ada risiko dalam menggunakan pengembang perangkat lunak yang tidak memiliki banyak modal. Jika ada keraguan tentang vendor perangkat lunak stabilitas, pengaturan harus dilakukan pada saat kontrak pembelian perangkat lunak untuk menempatkan versi kode sumber vendor di escrow jika terjadi kegagalan bisnisnya. Bank atau lembaga lain akan menyimpan versi kode sumber yang dilindungi untuk rilis ke pelanggan jika vendor perangkat lunak gagal. Keputusan untuk melisensikan, menyewakan, atau membeli paket perangkat lunak terlalu sering didasarkan pada seorang manajer TI yang bertemu dengan penjual perangkat lunak di pameran dagang, menetapkan kebutuhan, dan memperoleh paket perangkat lunak tanpa analisis penuh tentang biaya dan manfaatnya. Meskipun tidak memiliki bentuk tinjauan pra-implementasi TI tradisional, auditor IT dapat memainkan peran tingkat konsultasi yang kuat yang mendukung manajemen TI dalam perolehan paket perangkat lunak baru. Sering ada banyak masalah pengendalian internal yang harus dipertimbangkan di luar deskripsi dalam brosur penjualan vendor. Exhibit 10.3 menyajikan prosedur peninjauan audit TI untuk digunakan baik ketika memberikan bantuan konsultasi dan ketika meninjau keputusan untuk membeli paket perangkat lunak baru yang besar. Auditor TI harus memahami kontrol internal aplikasi perangkat lunak yang dibeli utama serta dia memahami aplikasi yang dikembangkan sendiri. Paket besar yang terintegrasi, seperti sistem ERP, dapat berdampak besar pada semua aspek dari suatu perusahaan. Paket aplikasi database ini dapat mencakup produksi, pembelian, inventaris, sumber daya manusia, akuntansi, dan semua aplikasi bisnis lainnya yang diimplementasikan sebagai serangkaian basis data yang terhubung. Data yang diperkenalkan ke salah satu komponen aplikasi, seperti biaya standar yang direvisi untuk bagian yang dibuat, akan terhubung ke sistem terhubung lainnya seperlunya. Sebagai contoh, biaya standar yang direvisi akan tercermin dalam sistem persediaan dan keuangan, antara lain.
Saat ini sebagian besar aplikasi IT didasarkan pada perangkat lunak yang dipasok oleh vendor. Vendor luar akan menyediakan elemen sistem dasar, sering berbasis Web, dan fungsi pengembangan TI perusahaan hanya bertanggung jawab untuk membuat tabel khusus, antarmuka file, dan format laporan keluaran di sekitar aplikasi yang dibeli atau dilisensikan. Seringkali vendor melindungi kode sumber program yang sebenarnya untuk perangkat lunak yang dibeli untuk mencegah akses dan perubahan yang tidak benar. Auditor IT harus peduli bahwa vendor perangkat lunak memiliki reputasi untuk kualitas, perangkat lunak bebas kesalahan. Seringkali lebih kecil, pemasok perangkat lunak wirausaha menawarkan solusi yang sangat hemat biaya, tetapi ada risiko dalam menggunakan pengembang perangkat lunak yang tidak memiliki banyak modal. Jika ada keraguan tentang vendor perangkat lunak stabilitas, pengaturan harus dilakukan pada saat kontrak pembelian perangkat lunak untuk menempatkan versi kode sumber vendor di escrow jika terjadi kegagalan bisnisnya. Bank atau lembaga lain akan menyimpan versi kode sumber yang dilindungi untuk rilis ke pelanggan jika vendor perangkat lunak gagal. Keputusan untuk melisensikan, menyewakan, atau membeli paket perangkat lunak terlalu sering didasarkan pada seorang manajer TI yang bertemu dengan penjual perangkat lunak di pameran dagang, menetapkan kebutuhan, dan memperoleh paket perangkat lunak tanpa analisis penuh tentang biaya dan manfaatnya. Meskipun tidak memiliki bentuk tinjauan pra-implementasi TI tradisional, auditor IT dapat memainkan peran tingkat konsultasi yang kuat yang mendukung manajemen TI dalam perolehan paket perangkat lunak baru. Sering ada banyak masalah pengendalian internal yang harus dipertimbangkan di luar deskripsi dalam brosur penjualan vendor. Exhibit 10.3 menyajikan prosedur peninjauan audit TI untuk digunakan baik ketika memberikan bantuan konsultasi dan ketika meninjau keputusan untuk membeli paket perangkat lunak baru yang besar. Auditor TI harus memahami kontrol internal aplikasi perangkat lunak yang dibeli utama serta dia memahami aplikasi yang dikembangkan sendiri. Paket besar yang terintegrasi, seperti sistem ERP, dapat berdampak besar pada semua aspek dari suatu perusahaan. Paket aplikasi database ini dapat mencakup produksi, pembelian, inventaris, sumber daya manusia, akuntansi, dan semua aplikasi bisnis lainnya yang diimplementasikan sebagai serangkaian basis data yang terhubung. Data yang diperkenalkan ke salah satu komponen aplikasi, seperti biaya standar yang direvisi untuk bagian yang dibuat, akan terhubung ke sistem terhubung lainnya seperlunya. Sebagai contoh, biaya standar yang direvisi akan tercermin dalam sistem persediaan dan keuangan, antara lain.
10. Komponen Keluaran Aplikasi IT
Tidak ada diskusi tentang sistem aplikasi akan lengkap tanpa deskripsi komponen outputnya. Komponen aplikasi utama ini biasanya terdiri dari layar output, file yang diperbarui, atau bahkan laporan yang dicetak. Ini adalah area penting untuk disurvei dalam tinjauan aplikasi apa pun, dan audit TI harus memperhatikan kontrol yang terdapat pada layar output dan file kontrol. Aplikasi yang lebih lama menghasilkan volume besar laporan output yang menunjukkan hasil pemrosesan dan masalah kontrol atau kesalahan apa pun. Volume dan frekuensi dari laporan-laporan tersebut sering mencegah pengguna untuk memberikan perhatian yang memadai untuk mengendalikan masalah, dan auditor TI sering menemukan kekhawatiran kontrol yang dapat diidentifikasi oleh pengguna hanya dengan meninjau laporan output mereka. Aplikasi saat ini menghasilkan jauh lebih sedikit (jika ada) laporan keluaran berbasis kertas; sebaliknya, hasil dilaporkan pada layar pengambilan data online. Dalam beberapa kasus, laporan online khusus mengontrol masalah sinyal dan kesalahan data; di lain, pengguna bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau masalah. Terlalu sering, pengguna mengabaikan langkah ini, dan kesalahan pemrosesan bisa tidak terdeteksi. Auditor TI selalu harus meninjau ruang lingkup laporan keluaran aplikasi, pesan layar, dan disposisi pengguna mereka. Laporan atau layar bukan satu-satunya keluaran aplikasi. Transaksi atau file yang diperbarui biasanya diteruskan ke berbagai aplikasi terintegrasi lainnya. Sama seperti aplikasi IT modern yang dapat menerima masukan dari sekumpulan sistem masukan yang sangat terintegrasi, ini mungkin menjadi satu penghubung dalam rantai ke aplikasi lain. Sekali lagi dan selalu, auditor TI harus mengembangkan pemahaman yang baik tentang aplikasi yang ditinjau serta semua input dan outputnya.
Tidak ada diskusi tentang sistem aplikasi akan lengkap tanpa deskripsi komponen outputnya. Komponen aplikasi utama ini biasanya terdiri dari layar output, file yang diperbarui, atau bahkan laporan yang dicetak. Ini adalah area penting untuk disurvei dalam tinjauan aplikasi apa pun, dan audit TI harus memperhatikan kontrol yang terdapat pada layar output dan file kontrol. Aplikasi yang lebih lama menghasilkan volume besar laporan output yang menunjukkan hasil pemrosesan dan masalah kontrol atau kesalahan apa pun. Volume dan frekuensi dari laporan-laporan tersebut sering mencegah pengguna untuk memberikan perhatian yang memadai untuk mengendalikan masalah, dan auditor TI sering menemukan kekhawatiran kontrol yang dapat diidentifikasi oleh pengguna hanya dengan meninjau laporan output mereka. Aplikasi saat ini menghasilkan jauh lebih sedikit (jika ada) laporan keluaran berbasis kertas; sebaliknya, hasil dilaporkan pada layar pengambilan data online. Dalam beberapa kasus, laporan online khusus mengontrol masalah sinyal dan kesalahan data; di lain, pengguna bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau masalah. Terlalu sering, pengguna mengabaikan langkah ini, dan kesalahan pemrosesan bisa tidak terdeteksi. Auditor TI selalu harus meninjau ruang lingkup laporan keluaran aplikasi, pesan layar, dan disposisi pengguna mereka. Laporan atau layar bukan satu-satunya keluaran aplikasi. Transaksi atau file yang diperbarui biasanya diteruskan ke berbagai aplikasi terintegrasi lainnya. Sama seperti aplikasi IT modern yang dapat menerima masukan dari sekumpulan sistem masukan yang sangat terintegrasi, ini mungkin menjadi satu penghubung dalam rantai ke aplikasi lain. Sekali lagi dan selalu, auditor TI harus mengembangkan pemahaman yang baik tentang aplikasi yang ditinjau serta semua input dan outputnya.
Tidak ada komentar:
Posting Komentar