Audit Program It General Control Dan Application Control

8/10/2019 Audit Program It General Control Dan Application Control

1/12

AUDIT PROGRAM

GENERAL CONTROL DAN APPLICATION CONTROL

Pengendalian Umum (General Contro l)

Pengendalian umum (general control) merupakan pengendalian menyeluruh yang berdampak

terhadap lingkungan sistem informasi computer (SIK), meliputi kebijakan dan prosedur

mengenai semua aktifitas PDE (Pemrosesan Data Elektronik), yang bertujuan untuk

membuat kerangka pengendalian yang menyeluruh mengenai aktifitas PDE, serta untuk

memberikan tingkat keyakinan yang memadai bahwa seluruh tujuan pengendalian intern

dapat tercapai.

Pengendalian ini diperlukan untuk memberikan jaminan bahwa pengendalian aplikasi berjalan

dengan baik sebagaimana mestinya, yang bergantung pada sumber daya komputer. Karena

jika pengendalian aplikasi tidak berfungsi, misalnya ada format data yang tidak sesuai tapi

dapat dibaca komputer, pengendalian umum akan langsung bereaksi dan memberikan

umpan balik. Dengan demikian, petugas dapat segera melakukan koreksi.

Menurut IAI, pengendalian umum meliputi unsur-unsur sebagai berikut.

1. Pengendalian Organisasi dan Manajemen, yang meliputi pemisahan fungsi serta

kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.

2. Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi, untuk

memperoleh keyakinan bahwa sistem PDE telah dikembangkan dan dipelihara secara

efisien dan ada otorisasinya.3. Pengendalian terhadap Operasi Sistem, meliputi:

a. Sistem digunakan hanya untuk hal-hal yang telah ada otorisasinya.

b. Akses ke operasi komputer hanya diijinkan kepada mereka yang telah memiliki

otorisasi.

c. Program yang digunakan juga hanya yang ada otorisasinya

d. Kesalahan pengolahan dapat dideteksi dan dikoreksi.

4. Pengendalian terhadap Sistem Software, untuk meyakinkan bahwa sistem software

dimiliki dan dikembangkan secara efisien, serta diotorisasikan.

5. Pengendalian terhadap Entri Data dan Program, untuk meyakinkan bahwa struktur

otorisasi ditetapkan dengan jelas atas transaksi, serta akses ke data dan program

dibatasi hanya kepada mereka yang memiliki otorisasi.

6. Pengendalian terhadap Keamanan PDE, untuk menjaga PDE lain yang berhubungan

dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups) di

tempat yang terpisah, prosedur pemulihan (recovery procedures) ataupun fasilitas

pengolahan di luar perusahaan dalam hal terjadi bencana.

Pengendalian Aplikasi (App l icat ion Contro l)


2/12

Pengendalian Aplikasi (Application Control) merupakan pengendalian yang dimaksudkan

untuk memberikan kepastian bahwa pencatatan, pengklasifikasian, dan pengikhtisaran

transaksi sah serta pemutakhiran file-file induk akan menghasilkan informasi yang akurat,

lengkap, dan tepat waktu.

Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian atas

masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian atas

keluaran.

Tujuan pengendalian aplikasi ini adalah untuk memperoleh keyakinan bahwa:

1. Data masukan (input) akurat, lengkap, terotorisasi, dan benar.

2. Data diproses sebagaimana dimaksud dalam jangka waktu yang dapat diterima

3. Data yang disimpan akurat dan lengkap

4. Output akurat dan lengkap

5. Recorddijaga untuk untuk melacak proses data dari input ke penyimpanan dan output

akhirnya

Perbedaan utama antara pengendalian umum dan pengendalian aplikasi adalah bahwa sifat

pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih

berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian

umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.

Audit Program untuk Pengendalian Umum (General Contro l)

Tujuan (Objectives):

Pengendalian umum TI (IT General Control - ITGC) menangani keseluruhan operasi dankegiatan fungsi TI serta manajemen dan tata kelolanya. Audit ITGC akan mengidentifikasi

dan menilai pengendalian umum di seluruh infrastruktur TI organisasi. Auditor akan

menyelidiki, mengamati, dan mengumpulkan bukti untuk memperoleh pemahaman tentang

lingkungan pengendalian TI. COBIT memberikan kerangka umum untuk penilaian dan

ditambah seperlunya dengan peraturan yang berlaku, undang-undang, standar, kebijakan,

kesepakatan, dan pedoman terkait.

Prosedur Audit:

Ruang Lingkup Prosedur

Umum Meninjau penilaian, laporan audit, temuan, dan rekomendasi

sebelumnya atas aktivitas TI selama 2 tahun, yang

mencakup Laporan Audit Internal, Laporan Audit Eksternal,

Laporan Badan Pengawas, dan Laporan Konsultasi, serta

menilai ketepatan tindakan korektif yang telah dilakukan dan

mendokumentasikan tindakan yang diambil untuk masing-

masing rekomendasi.

Mengidentifikasi platform teknologi yang sedang digunakan

dan aplikasi yang diproses pada masing-masing platform.Informasiplatformmencakup model dan produsen peralatan


3/12

serta kuantitasnya. Informasi software aplikasi mencakup

nama dan vendor aplikasi, serta versinya.

Meninjau agenda Dewan Direktur dan Komite tahun lalu

yang terkait dengan TI. Membuat dan mendokumentasikan

rencana tindak lanjut yang sesuai.

Meninjau Inisiatif Perencanaan Strategis TI dan Bisnis, serta

membuat dan mendokumentasikan rencana tindak lanjut

yang sesuai.

Meninjau status inisiatif TI yang sedang berjalan (perubahan

dalam operasi bisnis atau infrastruktur TI, inisiatif

outsourcing perusahaan, strategi web, dsb.) dan mencatat

risiko dan pengendaliannya.

Meninjau status layanan TI outsourcing dan masing-masing

vendor dan menyesuaikan prosedur audit yang sesuai untuk

mengatasi masalah dipengaruhi oleh outsourcing.

Meninjau daftar mitra perdagangan / bisnis di mana

organisasi berbagi atau bertukar informasi elektronik, dan

menilai pengaturan untuk keamanan informasi dan

kepatuhan lintas batas organisasi.

Meninjau sampel kontrak mitra bisnis / rantai kesepakatan

yang dipercaya.

Menilai peran dan risiko terkait untuk personel kunci yang

bertanggung jawab atas pertukaran data/informasi dengan

entitas eksternal.

Meninjau uraian tugas untuk posisi TI serta menilai

kesesuaiannya terhadap peran yang teridentifikasi, seberapa

baik uraian tugas tersebut menangani pemisahan tugas, dan

pertimbangan lainnya.

Menilai status umum pelatihan yang diberikan kepada staf TI

dan kebijakan terkait, prosedur, dan rencana, jadwal, dan

catatan pelatihan.

Menilai pengelolaan, pemeliharaan, perencanaan, dan

kesesuaian Kebijakan, Prosedur, Standar, dan Pedoman

terdokumentasi.

Operasi dan Organisasi

TI

Mereviu Bagan Organisasi TI saat ini dan menilai pemisahan

tugas untuk fungsi-fungsi kunci

Mereviu alur/diagram proses bisnis aktivitas-aktivitas yang

berkaitan dengan TI dan menilai pengendalian proses TI

yang diidentifikasi.


4/12

Mengevaluasi pemisahan fungsi-fungsi pemrosesan yang

penting melalui diskusi dengan personel TI.

Memastikan bahwa fungsi TI merupakan kelompok

pendukung dalam organisasi dan tidak melakukan atau

mengotorisasi transaksi.

Menentukan apakah komite pengarah TI atau komite yang

setara memberikan tata kelola TI yang efektif dalam

organisasi.

Pusat Data (Akses Fisik

dan Lingkungan)

Mengevaluasi lokasi pusat data dan gedung pusatnya.

Pastikan bahwa bahan yang mudah terbakar tidak disimpan

di lantai atas atau di bawah pusat data.

Berkelilinglah di pusat data dan dokumentasikan tindakan

yang diambil untuk mengendalikan akses fisik ke area

seperti pusat data, ruang komputer, telekomunikasi, lemari

kabel, jalur akses jaringan.

Mengidentifikasi dan mengamati teknik di tempat (kamera

pengintai, penjaga keamanan, kunci kartu elektronik, dll)

yang digunakan untuk membatasi akses data center.

Memeriksa apakah pengendalian lingkungan berikut ini

terdapat di tempat dan beroperasi:

a. Peralatan pemadam kebakaran

b. Uninterruptible Power Supply(UPS)

c. Pengontrol temperatur dan kelembaban

d. Saklar Listrik darurat.

e. Detektor asap dan air

f. Pencahayaan darurat

Memastikan bahwa peralatan-peralatan di atas diperiksa

secara berkala dan kontrak pemeliharaan masih berlaku.

Mengidentifikasi sistem pendingin peralatan.

Menilai pemeliharaan rutin peralatan sistem untuk

memastikan performanya seperti yang diharapkan dan untuk

memonitor sistem rapuh atau tidak stabil.

Mengidentifikasi lokasi console untuk sistem dan jaringan

operasi dan pemeliharaan, dan menilai penggunaan dan

pengendalian console jarak jauh.

Pengendalian akses

atau keamanan

Memastikan bahwa akses ke ruang komputer dibatasi untuk

operator dan supervisor yang sesuai.

Menilai kelengkapan dan kesesuaian standar pengamanan

fasilitas untuk otorisasi, personil, akses, dan sebagainya.


5/12

Menilai kebijakan keamanan data dan pelaksanaannya untuk

semua individu dengan kesempatan untuk mengakses data.

Menilai apakah kebijakan mencakup kepemilikan data,

privasi, persyaratan akses, enkripsi, media, komunikasi,

password.

Memeriksa bagaimana sumber daya sistem diproteksi di

semua platform, media, dan transmisi. Identifikasi semua

aplikasi yang menyediakan mekanisme pengamanannya

sendiri.

Meninjau dan menilai deskripsi mekanisme otentikasi user

Mengidentifikasi dan meninjau penggunaan mekanisme

otentikasi dan otorisasi otomatis, templateprofil, dsb.

Menilai konektivitas jarak jauh, dial-up, nirkabel, mobile, dan

sistem lain yang menyediakan akses pada data yang sensitif

dan teknik pengamanan spesifik telah ada untuk akses jarak

jauh atau mobiledan otentikasi user.

Tinjau prosedur untuk mengotorisasi dan mencabut akses

sistem. Pastikan otorisasi yang tepat diperoleh sebelum

memberikan akses pengguna ke sumber daya sistem.

Mengevaluasi prosedur yang ditetapkan untuk menghapus

ID pengguna dan password dari sistem ketika seorang

karyawan meninggalkan dan menyesuaikan hak akses

sebagai peran dan tanggung jawab pengguna mengubah.

Memilih sampel dari pengguna dalam paket keamanan

sistem dan menjamin akses sistem diotorisasi dengan sesuai

dan benar.

Memilih sampel dari elemen data sensitif dan memastikan

pengelolaan akses yang sesuai.

Identifikasi semua pengguna dengan otoritas akses istimewa

dan menilai prosedur untuk memantau semua kegiatan

pengguna khusus.

Meninjau dokumentasi untuk perlindungan/deteksi intrusi

dan sistem pengelolaan/monitoring infrastruktur TI.

Tinjau deskripsi sistem logging dan audit dan menilai

kesesuaian mereka.

Menilai logging keamanan terkait informasi dan identifikasi

dan pengelolaan insiden keamanan atau pelanggaran.

Tinjau log sampel dan pelaporan untuk penilaian insiden dan

remediasi.


6/12

Tinjau dokumentasi untuk tim respon insiden dan proses

respon insiden yang berkaitan dengan hilangnya informasi

yang dilindungi, pencurian, pengungkapan, pelanggaran

keamanan, prosedur pemberitahuan, dll.

Meninjau mekanisme pelacakan respon insiden dan catatan

dari insiden keamanan, dan menilai ketepatan waktu dan

ketepatan respon, pemulihan, pemberitahuan, tindak lanjut

review, prosedur perbaikan, dll

Menilai pelatihan keamanan informasi yang diberikan

kepada staf TI dan Non-TI dan kebijakan terkait, prosedur,

dan rencana, jadwal, dan catatan pelatihan.

Menilai hasil pengujian penetrasi keamanan terbaru dan

metode yang digunakan.

Pengendalian

Dokumentasi dan

Pengembangan Sistem

Mendapatkan pemahaman tentang pengembangan sistem,

pemeliharaan, dan mengubah proses pengelolaan

Menilai prosedur tertulis (dalam kebijakan dan prosedur

secara keseluruhan manual) yang menguraikan langkah-

langkah yang diikuti untuk memodifikasi sistem TI

Menilai pelatihan untuk keamanan aplikasi online,

kesesuaian untuk personil yang berlaku, dan sejauh mana

itu terintegrasi dengan bangunan, pemeliharaan, pengujian,

implementasi, dan penggunaan sistem secara online

pengolahan informasi sensitif dan dilindungi

Menilai metodologi untuk menyetujui dan mengembangkan

sistem aplikasi baru. Pastikan metodologi berlaku untuk

semua jenis sistem.

Menilai siklus hidup pengembangan sistem seperti yang

dilakukan oleh personil IT.

Memilih sampel dari sistem dalam proses siklus hidup

pengembangan dan meninjau dokumentasi pengembangan

untuk menilai kepatuhan terhadap metodologi SDLC.

Tinjau proses dan prosedur manajemen perubahan TI untuk

memastikan fungsi kritis dilakukan

Memilih sampel dari perubahan program terbaru dan

meninjau dokumentasi perubahan untuk memenuhi prosedur

perubahan program aplikasi.

Menilai prosedur di tempat untuk secara rutin menguji

perubahan program yang tidak sah atau tidak tercatat

Mengevaluasi pemisahan lingkungan pengujian dari sistem


7/12

produksi dan data, dan memastikan perubahan benar-benar

diuji dan disetujui sebelum memindahkan kode berubah ke

dalam lingkungan produksi.

Tinjau prosedur pergantian perubahan program aplikasi

dilakukan oleh kelompok independen yang bertanggung

jawab untuk melaksanakan perubahan aplikasi ke dalam

lingkungan produksi.

Menilai prosedur perubahan darurat dan apakah perubahan

darurat bermigrasi melalui perpustakaan terpisah untuk

memungkinkan kajian manajemen dan persetujuan

perubahan

Memilih sampel perubahan program darurat dan menilai

kepatuhan terhadap prosedur yang berlaku.

Menilai prosedur untuk membuat perubahan tarif rutin

(misalnya, tarif pajak) untuk program atau tabel aplikasi

Menilai apakah standar pemrograman mencakup konvensi

penamaan dan konvensi coding.

Mengidentifikasi paket perangkat lunak pada sistem

pengolahan untuk memberikan keamanan di perpustakaan

produksi untuk program sumber, JCL, dan file lainnya.

Pengendalian Sistem

Perangkat Keras dan

Lunak

Mengidentifikasi fungsi / individu yang bertanggung jawab

untuk kontrol hardware dan sistem software yang dibangun

ke peralatan IT oleh produsen.

Menilai proses untuk mengidentifikasi dan menangani

kesalahan yang mungkin terjadi pada sistem operasi dan

sistem perangkat lunak.

Operasi Komputer

(Penjadwalan Kerja)

Menetapkan melalui penyelidikan proses untuk penjadwalan

pemrosesan batch produksi. Pastikan otorisasi pengguna

dari semua perubahan pada jadwal produksi. Pilih sampel

perubahan dan meninjau mereka untuk kepatuhan terhadap

prosedur penjadwalan.

Jika penjadwal otomatis tidak digunakan, tentukan

bagaimana proses produksi dikendalikan.

Menentukan bagaimana operator komputer memastikan

proses produksi benar selesai.

Mengidentifikasi berbagai media output dalam penggunaan

dan menilai proses untuk distribusi hasil produksi-

pengolahan untuk pengguna. Memastikan data sensitif

dikendalikan dengan benar.


8/12

Backup/Recovery Meninjau rencana kelangsungan bisnis dan rencana

pemulihan bencana dan memastikan sistem dan komunikasi

prosedur backup dan pemulihan secara tepat terintegrasi

dalam rencana.

Pastikan sistem dan backup incremental dilakukan secara

teratur. Menilai frekuensi backup dan menentukan melalui

penyelidikan dan peninjauan dokumentasi apakah semua file

dan program telah dicadangkan dengan benar. Memastikan

jurnal transaksi on-line telah dicadangkan untuk

memberikan pemulihan transaksi yang memperbarui

database.

Tinjau deskripsi backup dan pengarsipan sistem.

Menilai prosedur untuk memastikan salinan cadangan dari

sistem, program, dan file data dirotasikan ke lokasi

penyimpanan offsite aman sesuai jadwal. Menilai prosedur

untuk memverifikasi persediaan data cadangan.

Mengidentifikasi media dan proses yang terlibat dalam

backup dan pemulihan dan menilai efektivitas mereka

Meninjau hasil pengujian pemulihan sistem untuk

memastikan tes yang sukses dilakukan dan

didokumentasikan dalam dua belas bulan sebelumnya

Perencanaan

Kelangsungan Bisnis

dan Pemulihan

Bencana

Meninjau kelangsungan bisnis dan rencana dimulainya

kembali. Melalui diskusi dengan manajemen dan tinjauan

dari rencana kelangsungan bisnis dan pemulihan,

menentukan apakah rencana lancar dan mencakup

komponen kunci yang diperlukan.

Tinjau dokumentasi hasil pengujian terakhir dari rencana

dimulainya kembali bisnis menentukan tanggal rencana

sebelumnya. Dokumentasikan frekuensi dan keberhasilan

tes. Jika rencana tersebut belum diuji, tanyakan dulu apakah

itu rencana untuk pengujian.

Menilai rencana manajemen TI dan perannya dalam

menjamin kelangsungan bisnis dan pemulihan sumber daya

TI. Menentukan apakah rencana tersebut mencakup

pemulihan IT di sebuah situs penjual dan meninjau

perjanjian layanan.

Mengevaluasi rencana pemulihan bencana untuk divisi IT.

Memastikan pemulihan aplikasi berbasis risiko

Mengevaluasi kesepakatan layanan pemulihan penjual untuk


9/12

memastikan mereka menyediakan infrastruktur yang

memadai untuk memulihkan sumber daya organisasi TI dan

operasi. Pastikan telekomunikasi disertakan dan tertutup

selama pengujian.

Meninjau hasil pengujian pemulihan operasi TI di lokasi

penjual. Pastikan tes telah berhasil diselesaikan dan hasil

didokumentasikan.

Telekomunikasi Tinjau konfigurasi teknis, grafik, skema, diagram jaringan

(infrastruktur jaringan internal dan eksternal).

tinjau dokumentasi tentang saluran komunikasi jarak jauh,

mekanisme, protokol, dan standar yang disetujui.

tinjau prosedur pemasangan, penentuan tapak, dan

pengelolaan stasiun kerja jaringan dan perangkat portable

dan mobile. Menilai keamanan prosedur untuk memantau,

menambah, menghapus, dan mengkonfigurasi semua

perangkat pada jaringan.

tinjau deskripsi arsitektur pesan, otentikasi, metode enkripsi,

audit / logging

Tentukan apakah telekomunikasi menyediakan lingkungan

yang handal dan aman.

Menentukan apakah EDI (Electronic Data Interchange)

digunakan. Jika demikian, evaluasi keamanan dan

keabsahan pertukaran.

Audit Program u ntuk Pengendal ian Ap l ikasi (Appl icat ion Contro l)

Objectives Procedures

Data masukan (input)

akurat, lengkap,

terotorisasi, dan benar

Mendapatkan prosedur input data, memperoleh pemahaman

tentang proses otorisasi dan persetujuan, dan menentukan

apakah review dan persetujuan proses ada dan telah

dikomunikasikan kepada pengguna yang bertanggung jawab

untuk mendapatkan persetujuan yang sesuai.

Verifikasi bahwa pemilik aplikasi atau pemilik proses

memastikan bahwa semua data disahkan sebelum input. Hal

ini dapat dilakukan melalui pemberian peran dan tanggung

jawab berdasarkan tugas pekerjaan.

Mendapatkan salinan tingkat persetujuan dan menentukan

apakah tanggung jawab ditetapkan untuk memverifikasi

bahwa persetujuan yang sesuai diterapkan secara konsisten.


10/12

Mendapatkan prosedur masukan data dan memverifikasi

bahwa individu yang bertanggung jawab untuk memasukkan

data telah dilatih pada persiapan, masuk, dan kontrol input.

Tentukan apakah rutinitas mengedit yang tertanam dalam

aplikasi memeriksa dan kemudian menolak informasi

masukan yang tidak memenuhi kriteria tertentu, termasuk

namun tidak terbatas pada, tanggal yang salah, karakter

yang salah, panjang field yang tidak valid, data yang hilang,

dan duplikasi entri transaksi / angka.

Memverifikasi keberadaan dan operasi kontrol entri data

manual untuk mencegah masuknya duplikasi catatan. kontrol

entri data manual mungkin termasuk pra-penomoran

dokumen sumber dan menandai catatan sebagai "masukan"

setelah masuk.

Verifikasi bahwa data ditambahkan adalah dari sumber yang

dapat diterima dan dirujuk ke sumber yang memanfaatkan

total kontrol, jumlah rekor, dan teknik lain termasuk

penggunaan laporan sumber independen.

Tentukan apakah pemisahan tugas yang tepat ada untuk

mencegah pengguna untuk memasukkan dan mengotorisasi

transaksi.

Verifikasi bahwa pemisahan tugas yang tepat ada antara

personil entri data dan mereka yang bertanggungjawab atas

rekonsiliasi dan verifikasi bahwa output akurat dan lengkap.

Verifikasi bahwa kontrol ada untuk mencegah perubahan

tidak sah terhadap program sistem seperti perhitungan dan

tabel.

Mendapatkan prosedur input data untuk penanganan

transaksi yang ditolak dan koreksi kesalahan berikutnya dan

menentukan apakah personil yang bertanggung jawab untuk

koreksi kesalahan dan data reentry telah dilatih secara

memadai.

Verifikasi mekanisme di tempat untuk memberitahu pemilik

proses ketika transaksi telah ditolak atau kesalahan telah

terjadi

Verifikasi item yang ditolak diolah kembali tepat pada waktu

yang tepat sesuai dengan prosedur, dan kesalahan yang

diperbaiki sebelum memasuki kembali ke dalam sistem.

Mendapatkan prosedur dan memverifikasi bahwa informasi


11/12

rinci disertakan pada bagaimana antarmuka otomatis

disahkan dan apa yang memicu event pengolahan otomatis.

Verifikasi bahwa jadwal pengolahan didokumentasikan dan

masalah diidentifikasi dan dikoreksi secara tepat waktu.

Tentukan apakah sistem untuk jumlah record sistem dan

nilai total dolar secara sistematis diverifikasi untuk

antarmuka otomatis dan menolak item dicegah dari posting

dan ditandai untuk tindak lanjut dan re-processing.

Verifikasi bahwa file dan data yang dibuat untuk digunakan

oleh aplikasi lain atau yang ditransfer ke aplikasi lainnya

terlindungi dari modifikasi yang tidak sah selama seluruh

proses transfer.

Memvalidasi bahwa data dan program uji dipisahkan dari

produksi

Data diproses

sebagaimana dimaksud

dalam jangka waktu

yang dapat diterima

Pastikan output ditinjau atau direkonsiliasi terhadap

dokumen sumber untuk kelengkapan dan akurasi, termasuk

verifikasi yang dilaporkan total kontrol.

Tentukan apakah rutinitas yang tertanam dalam aplikasi

yang memastikan bahwa semua transaksi dimasukkan

dengan benar benar-benar diproses dan diposting

sebagaimana dimaksud dalam periode akuntansi yang

benar.

Pastikan mekanisme di tempat untuk memberitahu pemilik

proses ketika transaksi telah ditolak atau kesalahan telah

terjadi.

Pastikan ditolak item diproses tepat pada waktu yang tepat

sesuai dengan prosedur, dan kesalahan yang diperbaiki

sebelum memasuki kembali ke dalam sistem.

Data yang disimpan

akurat dan lengkap

Mendapatkan konfigurasi kata sandi dan menggunakan

kebijakan dan menentukan apakah persyaratan untuk

password yang kuat, reset password, account lockout, dan

penggunaan kembali sandi telah ada.

Pastikan bahwa kebijakan di atas telah diterapkan ke

aplikasi yang sedang diperiksa.

Pastikan bahwa kontrol akses remote dirancang dan

beroperasi secara efektif.

Pastikan bahwa pengguna dibatasi untuk fungsi tertentu

berdasarkan tanggung jawab pekerjaan mereka (akses

berbasis peran)


12/12

Pastikan ID pengguna unik ditugaskan untuk semua

pengguna, termasuk pengguna khusus, dan bahwa

pengguna dan administrasi akun tidak dibagikan

Pastikan persetujuan yang tepat dari pembuatan akun

pengguna dan modifikasi diperoleh sebelum pemberian atau

mengubah akses

Pastikan akses dihapus segera setelah penghentian.

Pastikan bahwa pemilik aplikasi bertanggung jawab untuk

memastikan bahwa tinjauan tengah tahunan muncul dari

pengguna dan sistem akun untuk menjamin akses ke data

penting keuangan, aplikasi, dan sistem operasi adalah benar

dan terkini.

Pastikan bahwa mekanisme di tempat untuk menyimpan

data offsite di lokasi yang aman dan dikendalikan

lingkungan.

Output akurat dan

lengkap

Mendapatkan prosedur data output dan memperoleh

pemahaman tentang proses peninjauan dan memverifikasi

bahwa individu yang bertanggung jawab untuk entri data

telah dilatih penelaahan dan verifikasi data output.

Pastikan output ditinjau atau direkonsiliasi terhadap

dokumen sumber untuk kelengkapan dan akurasi, termasuk

verifikasi yang dilaporkan total kontrol.

Meninjau prosedur keluaran data yang ada dan menentukan

apakah mereka mendokumentasikan personil mana yang

menerima output data dan bagaimana data akan dilindungi

selama distribusi.

Pastikan bahwa laporan output telah dibuat dan

mengidentifikasi bahwa tanggal dan waktu pada laporan ini

adalah waktu yang ditetapkan.

Mengidentifikasi bahwa laporan mencakup periode yang

ditunjuk melalui rekonsiliasi terhadap dokumen sumber dari

periode itu.

catatan dipertahankan

yang melacak proses

input data,

penyimpanan, dan

output

Pastikan pengolahan audit dan log ada yang menganggap

semua catatan telah diproses dan memungkinkan untuk

melacak transaksi dari input ke penyimpanan dan output.

Pastikan laporan audit ada yang melacak identifikasi dan

pengolahan ulang transaksi ditolak. Laporan harus berisi

deskripsi yang jelas tentang transaksi ditolak, tanggal, dan

waktu diidentifikasi.

Documents

Audit Program It General Control Dan Application Control