3. Perencanaan Untuk Audit Komputer Dalam
advertisement
3. Perencanaan Untuk Audit Komputer Dalam perencanaan audit komputer, internal auditor harus membuat beberapa keputusan menyangkut lingkup audit. Auditor harus juga mengambil beberapa langkah untuk koordinasi aktivitas audit dengan EDP untuk memudahkan suatu audit yang efektif dan efisien. 3.1 Materialitas EDP Pertama yang penting adalah keputusan ruang lingkup berhubungan dengan materialitas EDP. Semakin besar proporsi dari sistem informasi yang diotomatisasi, semakin material komputer pada operasi-operasi auditee. Tak pelak lagi, semakin material komputer, semakin dalam proses review untuk komputer. Dalam mengevaluasi materialitas EDP, suatu kerangka (framework) biaya atau manfaat dapat diaplikasikan. 3.2 Konfigurasi Atau Susunan Hardware Saat kepentingan komputer telah ditetapkan, susunan (layout) hardware perlu direview untuk menentukan (1) tipe-tipe pertanyaan yang relevan dengan kontrol-kontrol yang direview dan (2) hal yang masuk akal dari penggunaan tipe khusus software audit yang disama ratakan dalam proses audit. Khususnya, jika hardware didesentralisasi dan ditempatkan dalam departemen para pengguna, perbedaan masalah kontrol yang timbul akan lebih bermasalah daripada jika komputer (EDP) disentralisasi. Demikian pula, tipe tipe peralatan yang pasti mungkin tidak cocok dengan paket software yang khusus. 3.3 Pengkoordinasian Dengan Komputer Personil Saat susunan hardware dipertimbangkan dalam suatu konteks kontrol, persoalan selanjutnya adalah bagaimana mendapatkan akses ke hardware untuk melaksanakan proses audit dokumentasi komputer, akses ke hardware untuk pengujian, dan terdapatnya waktu komputer untuk melaksanakan tes audit yang semuanya mungkin didalam kontrol komputer personil. 3.4 Standar Profesional Yang Melibatkan Internal Auditor Dalam Desain Sistem Para internal auditor harus menahan diri dari partisipasi secara aktual dalam pendesainan desain komputer, mereka cukup membuat usulan-usulan selama pengembangan komputer. Ini adalah keuntungan untuk internal auditor menngusulkan kontrol dan audit trials yang dibangun kedalam sistem komputer. Tidak ada objektivitas maupun independensi yang harus dikompromikan dengan membuat rekomendasi. Internal auditor saat ini harus menjaga agar tetap independen dari setiap sistem yang akan diaudit kemudian. Usulan usulan yang berhubungan dengan praktik-praktik dokumentasi harus diberikan, dan juga cara-cara yang berhubungan dengan proses pengembangan dapat secara efektif dikontrol. Selama tahap implementasi, internal auditor dapat mereview hasil-hasil pengujian, dokumentasi, dan proses konversi. Audit pos instalasi harus juga dilaksanakan. 4. Survey Pendahuluan Langkah pertama dari audit komputer terpadu dengan langkah perencanaan, adalah survey pendahuluan. Survey ini akan mengumpulkan tipe-tipe informasi yang telah digambarkan dalam konteks berbagai tipe audit komputer. 4.1 Kontrol-Kontrol Keamanan Informasi untuk kontrol-kontrol keamanan yang telah dibangun akan dikumpulkan melalui suatu survey pendahuluan. Prosedur-prosedur penyelidikan dapat diterapkan untuk memperoleh pemahaman yang rasional yang meliputi atau tidak meliputi kontrol-kontrol yang khusus dan juga peran yang dirasa serta efektifitas kontrol. Sebagai contoh, kontrol keamanan yang pasti tidak dapat dijalankan jika fasilitaas komputer didesentralisasi. Kontrolkontrol ytang kelihatan pasti akan kekurangan substansi, seperti penggunaan kunci-kunci yang dimana setiap orang mengetahui kombinasi nya. 4.2 Review Kontrol-Kontrol Pengamanan Yang sangat berhubungan dengan kontrol keamanan (security) adalah kontrol-kontrol pengamanan (safeguard). Yang lebih dahulu didesain adalah pembatasan akses ke informasi penting dan terakhir ciptakan pelindung aktiva. Pengamanan gabungan melindungi aktiva dari bencana alam seperti banjir dan badai tornado. Proses pengamanan akan mencakup pembelian perlindungan asuransi supaya aktiva dapat terjaga utuh. 4.3 Kontrol Fisik Dokumen Dalam survey pendahuluan standar-standar dokumentasi harus direview dan sistem kontrol batch yang digunakan untuk meyakini pemrosesan yang lengkap atas dokumen harus direview dan diuji. Dalam usaha mengenal fisik dokumen, kebutuhan proteksi yang diberikan terhadap keduanya kehilangan dokumen dan pencantuman dokumen palsu. Akuntansi untuk urutan urutan menurut angka atas formulir formulir yang diprint sebelumnya adalah cara-cara yang paling biasa untuk membangun kontrol melalui fisik dokumen. 4.4 Kontrol-Kontrol Melalui Spesifikasi Desain Dalam survey pendahuluan, internal auditor harus mengumpulkan informasi tentang kontrol-kontrol apakah yang ada melalui spesifikasi desain. Siapa yang berpartisipasi dalam proses desain? Siapa yang memiliki power dalam keputusan final? Persetujuan apakah yang diperlukan barangkali, perhatian yang diambil adalah untuk mendapatkan input dari para pengguna, untuk membuat peralatan baru yang cocok dengan sistem yang digunakan dan keahlian pegawai, dan untuk memperoleh sistem pendukung komputer yang paling bermanfaat. 4.5 Kontrol-Kontrol Analisis Resiko Suatu dimensi yang terus menerus dari sistem komputer adalah kesatuan kontrolkontrol analisis resiko. Penting sekali bahwa fase desain post implementasi audit dan pengujian kemudian untuk fasilitas komputer dan operasi-operasi semua mempertimbangkan resiko yang ditimbulkan (risk exposure). Aktivitas pemantauan. pengujian periodik atas prosedur kontrol yang ditetapkan dan review laporan pada pemakaian, prioritas, perubahan haluan (turn around), dan seluruh kecukupan dalam pelayanan adalah dua aktivitas pemantauan yang akan ada dan direview oleh internal auditor untuk mendeteksi masalah-masalah atau kesempatan untuk perbaikan. Resiko yang ditimbulkan dapat berubah setiap waktu karena penggunaan fasilitas yang berlebihan, penuaan perawatan, perputaran staf, turunnya ketaatan dengan dokumentasi dan prosedur kontrol yang ditetapkan. Deteksi yang tepat pada waktunya pada perubahan dalam resiko memudahkan reaksi yang tepat pada waktunya. Kontrol-kontrol fasilitas. Kontrol-kontrol melalui penggunaan fasilitas mencakup kontrol keamanan, accesibilitas, user turn around, dan masalah pemeliharaan. Resiko-resiko dari menangguhkan pemeliharaan, meningkatnya aksesibilitas, menurunnya jam pengoperasian, atau fasilitas sejenis yang berhubungan dengan kebutuhan tindakan yang dievaluasi dalam konteks biaya atau manfaat. Perubahan lokasi atau peralatan dapat menimbulkan kesulitan bagi pengguna yang akan menyebabkan ketidak-bergunaan fasilitas dan meningkatnya resiko dalam hubungannya dengan ketepatan waktu dan kecukupan sistem informasi manajemen. Resiko sistem. Integritas sistem komputer yang mendasari seluruh proses pembuatan keputusan manajemen bilamana operasi komputer adalah material. Resiko-resiko kegagalan sistem komputer, kesalahan sistematis program, pengubahan pengoperasian komputer dan sistem pemrosesan yang tidak diotorisasi dan setiap kerusakan dalam kontrol umum untuk melalui komputer, seperti kurangnya pemisahan tugas secara pantas harus terus menerus dipantau dan dievaluasi untuk tindakan follow up yang penting.