Upload
randy-hermawan
View
223
Download
0
Embed Size (px)
Citation preview
8/10/2019 Audit Program It General Control Dan Application Control
1/12
AUDIT PROGRAM
GENERAL CONTROL DAN APPLICATION CONTROL
Pengendalian Umum (General Contro l)
Pengendalian umum (general control) merupakan pengendalian menyeluruh yang berdampak
terhadap lingkungan sistem informasi computer (SIK), meliputi kebijakan dan prosedur
mengenai semua aktifitas PDE (Pemrosesan Data Elektronik), yang bertujuan untuk
membuat kerangka pengendalian yang menyeluruh mengenai aktifitas PDE, serta untuk
memberikan tingkat keyakinan yang memadai bahwa seluruh tujuan pengendalian intern
dapat tercapai.
Pengendalian ini diperlukan untuk memberikan jaminan bahwa pengendalian aplikasi berjalan
dengan baik sebagaimana mestinya, yang bergantung pada sumber daya komputer. Karena
jika pengendalian aplikasi tidak berfungsi, misalnya ada format data yang tidak sesuai tapi
dapat dibaca komputer, pengendalian umum akan langsung bereaksi dan memberikan
umpan balik. Dengan demikian, petugas dapat segera melakukan koreksi.
Menurut IAI, pengendalian umum meliputi unsur-unsur sebagai berikut.
1. Pengendalian Organisasi dan Manajemen, yang meliputi pemisahan fungsi serta
kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
2. Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi, untuk
memperoleh keyakinan bahwa sistem PDE telah dikembangkan dan dipelihara secara
efisien dan ada otorisasinya.3. Pengendalian terhadap Operasi Sistem, meliputi:
a. Sistem digunakan hanya untuk hal-hal yang telah ada otorisasinya.
b. Akses ke operasi komputer hanya diijinkan kepada mereka yang telah memiliki
otorisasi.
c. Program yang digunakan juga hanya yang ada otorisasinya
d. Kesalahan pengolahan dapat dideteksi dan dikoreksi.
4. Pengendalian terhadap Sistem Software, untuk meyakinkan bahwa sistem software
dimiliki dan dikembangkan secara efisien, serta diotorisasikan.
5. Pengendalian terhadap Entri Data dan Program, untuk meyakinkan bahwa struktur
otorisasi ditetapkan dengan jelas atas transaksi, serta akses ke data dan program
dibatasi hanya kepada mereka yang memiliki otorisasi.
6. Pengendalian terhadap Keamanan PDE, untuk menjaga PDE lain yang berhubungan
dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups) di
tempat yang terpisah, prosedur pemulihan (recovery procedures) ataupun fasilitas
pengolahan di luar perusahaan dalam hal terjadi bencana.
Pengendalian Aplikasi (App l icat ion Contro l)
8/10/2019 Audit Program It General Control Dan Application Control
2/12
Pengendalian Aplikasi (Application Control) merupakan pengendalian yang dimaksudkan
untuk memberikan kepastian bahwa pencatatan, pengklasifikasian, dan pengikhtisaran
transaksi sah serta pemutakhiran file-file induk akan menghasilkan informasi yang akurat,
lengkap, dan tepat waktu.
Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian atas
masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian atas
keluaran.
Tujuan pengendalian aplikasi ini adalah untuk memperoleh keyakinan bahwa:
1. Data masukan (input) akurat, lengkap, terotorisasi, dan benar.
2. Data diproses sebagaimana dimaksud dalam jangka waktu yang dapat diterima
3. Data yang disimpan akurat dan lengkap
4. Output akurat dan lengkap
5. Recorddijaga untuk untuk melacak proses data dari input ke penyimpanan dan output
akhirnya
Perbedaan utama antara pengendalian umum dan pengendalian aplikasi adalah bahwa sifat
pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih
berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian
umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.
Audit Program untuk Pengendalian Umum (General Contro l)
Tujuan (Objectives):
Pengendalian umum TI (IT General Control - ITGC) menangani keseluruhan operasi dankegiatan fungsi TI serta manajemen dan tata kelolanya. Audit ITGC akan mengidentifikasi
dan menilai pengendalian umum di seluruh infrastruktur TI organisasi. Auditor akan
menyelidiki, mengamati, dan mengumpulkan bukti untuk memperoleh pemahaman tentang
lingkungan pengendalian TI. COBIT memberikan kerangka umum untuk penilaian dan
ditambah seperlunya dengan peraturan yang berlaku, undang-undang, standar, kebijakan,
kesepakatan, dan pedoman terkait.
Prosedur Audit:
Ruang Lingkup Prosedur
Umum Meninjau penilaian, laporan audit, temuan, dan rekomendasi
sebelumnya atas aktivitas TI selama 2 tahun, yang
mencakup Laporan Audit Internal, Laporan Audit Eksternal,
Laporan Badan Pengawas, dan Laporan Konsultasi, serta
menilai ketepatan tindakan korektif yang telah dilakukan dan
mendokumentasikan tindakan yang diambil untuk masing-
masing rekomendasi.
Mengidentifikasi platform teknologi yang sedang digunakan
dan aplikasi yang diproses pada masing-masing platform.Informasiplatformmencakup model dan produsen peralatan
8/10/2019 Audit Program It General Control Dan Application Control
3/12
serta kuantitasnya. Informasi software aplikasi mencakup
nama dan vendor aplikasi, serta versinya.
Meninjau agenda Dewan Direktur dan Komite tahun lalu
yang terkait dengan TI. Membuat dan mendokumentasikan
rencana tindak lanjut yang sesuai.
Meninjau Inisiatif Perencanaan Strategis TI dan Bisnis, serta
membuat dan mendokumentasikan rencana tindak lanjut
yang sesuai.
Meninjau status inisiatif TI yang sedang berjalan (perubahan
dalam operasi bisnis atau infrastruktur TI, inisiatif
outsourcing perusahaan, strategi web, dsb.) dan mencatat
risiko dan pengendaliannya.
Meninjau status layanan TI outsourcing dan masing-masing
vendor dan menyesuaikan prosedur audit yang sesuai untuk
mengatasi masalah dipengaruhi oleh outsourcing.
Meninjau daftar mitra perdagangan / bisnis di mana
organisasi berbagi atau bertukar informasi elektronik, dan
menilai pengaturan untuk keamanan informasi dan
kepatuhan lintas batas organisasi.
Meninjau sampel kontrak mitra bisnis / rantai kesepakatan
yang dipercaya.
Menilai peran dan risiko terkait untuk personel kunci yang
bertanggung jawab atas pertukaran data/informasi dengan
entitas eksternal.
Meninjau uraian tugas untuk posisi TI serta menilai
kesesuaiannya terhadap peran yang teridentifikasi, seberapa
baik uraian tugas tersebut menangani pemisahan tugas, dan
pertimbangan lainnya.
Menilai status umum pelatihan yang diberikan kepada staf TI
dan kebijakan terkait, prosedur, dan rencana, jadwal, dan
catatan pelatihan.
Menilai pengelolaan, pemeliharaan, perencanaan, dan
kesesuaian Kebijakan, Prosedur, Standar, dan Pedoman
terdokumentasi.
Operasi dan Organisasi
TI
Mereviu Bagan Organisasi TI saat ini dan menilai pemisahan
tugas untuk fungsi-fungsi kunci
Mereviu alur/diagram proses bisnis aktivitas-aktivitas yang
berkaitan dengan TI dan menilai pengendalian proses TI
yang diidentifikasi.
8/10/2019 Audit Program It General Control Dan Application Control
4/12
Mengevaluasi pemisahan fungsi-fungsi pemrosesan yang
penting melalui diskusi dengan personel TI.
Memastikan bahwa fungsi TI merupakan kelompok
pendukung dalam organisasi dan tidak melakukan atau
mengotorisasi transaksi.
Menentukan apakah komite pengarah TI atau komite yang
setara memberikan tata kelola TI yang efektif dalam
organisasi.
Pusat Data (Akses Fisik
dan Lingkungan)
Mengevaluasi lokasi pusat data dan gedung pusatnya.
Pastikan bahwa bahan yang mudah terbakar tidak disimpan
di lantai atas atau di bawah pusat data.
Berkelilinglah di pusat data dan dokumentasikan tindakan
yang diambil untuk mengendalikan akses fisik ke area
seperti pusat data, ruang komputer, telekomunikasi, lemari
kabel, jalur akses jaringan.
Mengidentifikasi dan mengamati teknik di tempat (kamera
pengintai, penjaga keamanan, kunci kartu elektronik, dll)
yang digunakan untuk membatasi akses data center.
Memeriksa apakah pengendalian lingkungan berikut ini
terdapat di tempat dan beroperasi:
a. Peralatan pemadam kebakaran
b. Uninterruptible Power Supply(UPS)
c. Pengontrol temperatur dan kelembaban
d. Saklar Listrik darurat.
e. Detektor asap dan air
f. Pencahayaan darurat
Memastikan bahwa peralatan-peralatan di atas diperiksa
secara berkala dan kontrak pemeliharaan masih berlaku.
Mengidentifikasi sistem pendingin peralatan.
Menilai pemeliharaan rutin peralatan sistem untuk
memastikan performanya seperti yang diharapkan dan untuk
memonitor sistem rapuh atau tidak stabil.
Mengidentifikasi lokasi console untuk sistem dan jaringan
operasi dan pemeliharaan, dan menilai penggunaan dan
pengendalian console jarak jauh.
Pengendalian akses
atau keamanan
Memastikan bahwa akses ke ruang komputer dibatasi untuk
operator dan supervisor yang sesuai.
Menilai kelengkapan dan kesesuaian standar pengamanan
fasilitas untuk otorisasi, personil, akses, dan sebagainya.
8/10/2019 Audit Program It General Control Dan Application Control
5/12
Menilai kebijakan keamanan data dan pelaksanaannya untuk
semua individu dengan kesempatan untuk mengakses data.
Menilai apakah kebijakan mencakup kepemilikan data,
privasi, persyaratan akses, enkripsi, media, komunikasi,
password.
Memeriksa bagaimana sumber daya sistem diproteksi di
semua platform, media, dan transmisi. Identifikasi semua
aplikasi yang menyediakan mekanisme pengamanannya
sendiri.
Meninjau dan menilai deskripsi mekanisme otentikasi user
Mengidentifikasi dan meninjau penggunaan mekanisme
otentikasi dan otorisasi otomatis, templateprofil, dsb.
Menilai konektivitas jarak jauh, dial-up, nirkabel, mobile, dan
sistem lain yang menyediakan akses pada data yang sensitif
dan teknik pengamanan spesifik telah ada untuk akses jarak
jauh atau mobiledan otentikasi user.
Tinjau prosedur untuk mengotorisasi dan mencabut akses
sistem. Pastikan otorisasi yang tepat diperoleh sebelum
memberikan akses pengguna ke sumber daya sistem.
Mengevaluasi prosedur yang ditetapkan untuk menghapus
ID pengguna dan password dari sistem ketika seorang
karyawan meninggalkan dan menyesuaikan hak akses
sebagai peran dan tanggung jawab pengguna mengubah.
Memilih sampel dari pengguna dalam paket keamanan
sistem dan menjamin akses sistem diotorisasi dengan sesuai
dan benar.
Memilih sampel dari elemen data sensitif dan memastikan
pengelolaan akses yang sesuai.
Identifikasi semua pengguna dengan otoritas akses istimewa
dan menilai prosedur untuk memantau semua kegiatan
pengguna khusus.
Meninjau dokumentasi untuk perlindungan/deteksi intrusi
dan sistem pengelolaan/monitoring infrastruktur TI.
Tinjau deskripsi sistem logging dan audit dan menilai
kesesuaian mereka.
Menilai logging keamanan terkait informasi dan identifikasi
dan pengelolaan insiden keamanan atau pelanggaran.
Tinjau log sampel dan pelaporan untuk penilaian insiden dan
remediasi.
8/10/2019 Audit Program It General Control Dan Application Control
6/12
Tinjau dokumentasi untuk tim respon insiden dan proses
respon insiden yang berkaitan dengan hilangnya informasi
yang dilindungi, pencurian, pengungkapan, pelanggaran
keamanan, prosedur pemberitahuan, dll.
Meninjau mekanisme pelacakan respon insiden dan catatan
dari insiden keamanan, dan menilai ketepatan waktu dan
ketepatan respon, pemulihan, pemberitahuan, tindak lanjut
review, prosedur perbaikan, dll
Menilai pelatihan keamanan informasi yang diberikan
kepada staf TI dan Non-TI dan kebijakan terkait, prosedur,
dan rencana, jadwal, dan catatan pelatihan.
Menilai hasil pengujian penetrasi keamanan terbaru dan
metode yang digunakan.
Pengendalian
Dokumentasi dan
Pengembangan Sistem
Mendapatkan pemahaman tentang pengembangan sistem,
pemeliharaan, dan mengubah proses pengelolaan
Menilai prosedur tertulis (dalam kebijakan dan prosedur
secara keseluruhan manual) yang menguraikan langkah-
langkah yang diikuti untuk memodifikasi sistem TI
Menilai pelatihan untuk keamanan aplikasi online,
kesesuaian untuk personil yang berlaku, dan sejauh mana
itu terintegrasi dengan bangunan, pemeliharaan, pengujian,
implementasi, dan penggunaan sistem secara online
pengolahan informasi sensitif dan dilindungi
Menilai metodologi untuk menyetujui dan mengembangkan
sistem aplikasi baru. Pastikan metodologi berlaku untuk
semua jenis sistem.
Menilai siklus hidup pengembangan sistem seperti yang
dilakukan oleh personil IT.
Memilih sampel dari sistem dalam proses siklus hidup
pengembangan dan meninjau dokumentasi pengembangan
untuk menilai kepatuhan terhadap metodologi SDLC.
Tinjau proses dan prosedur manajemen perubahan TI untuk
memastikan fungsi kritis dilakukan
Memilih sampel dari perubahan program terbaru dan
meninjau dokumentasi perubahan untuk memenuhi prosedur
perubahan program aplikasi.
Menilai prosedur di tempat untuk secara rutin menguji
perubahan program yang tidak sah atau tidak tercatat
Mengevaluasi pemisahan lingkungan pengujian dari sistem
8/10/2019 Audit Program It General Control Dan Application Control
7/12
produksi dan data, dan memastikan perubahan benar-benar
diuji dan disetujui sebelum memindahkan kode berubah ke
dalam lingkungan produksi.
Tinjau prosedur pergantian perubahan program aplikasi
dilakukan oleh kelompok independen yang bertanggung
jawab untuk melaksanakan perubahan aplikasi ke dalam
lingkungan produksi.
Menilai prosedur perubahan darurat dan apakah perubahan
darurat bermigrasi melalui perpustakaan terpisah untuk
memungkinkan kajian manajemen dan persetujuan
perubahan
Memilih sampel perubahan program darurat dan menilai
kepatuhan terhadap prosedur yang berlaku.
Menilai prosedur untuk membuat perubahan tarif rutin
(misalnya, tarif pajak) untuk program atau tabel aplikasi
Menilai apakah standar pemrograman mencakup konvensi
penamaan dan konvensi coding.
Mengidentifikasi paket perangkat lunak pada sistem
pengolahan untuk memberikan keamanan di perpustakaan
produksi untuk program sumber, JCL, dan file lainnya.
Pengendalian Sistem
Perangkat Keras dan
Lunak
Mengidentifikasi fungsi / individu yang bertanggung jawab
untuk kontrol hardware dan sistem software yang dibangun
ke peralatan IT oleh produsen.
Menilai proses untuk mengidentifikasi dan menangani
kesalahan yang mungkin terjadi pada sistem operasi dan
sistem perangkat lunak.
Operasi Komputer
(Penjadwalan Kerja)
Menetapkan melalui penyelidikan proses untuk penjadwalan
pemrosesan batch produksi. Pastikan otorisasi pengguna
dari semua perubahan pada jadwal produksi. Pilih sampel
perubahan dan meninjau mereka untuk kepatuhan terhadap
prosedur penjadwalan.
Jika penjadwal otomatis tidak digunakan, tentukan
bagaimana proses produksi dikendalikan.
Menentukan bagaimana operator komputer memastikan
proses produksi benar selesai.
Mengidentifikasi berbagai media output dalam penggunaan
dan menilai proses untuk distribusi hasil produksi-
pengolahan untuk pengguna. Memastikan data sensitif
dikendalikan dengan benar.
8/10/2019 Audit Program It General Control Dan Application Control
8/12
Backup/Recovery Meninjau rencana kelangsungan bisnis dan rencana
pemulihan bencana dan memastikan sistem dan komunikasi
prosedur backup dan pemulihan secara tepat terintegrasi
dalam rencana.
Pastikan sistem dan backup incremental dilakukan secara
teratur. Menilai frekuensi backup dan menentukan melalui
penyelidikan dan peninjauan dokumentasi apakah semua file
dan program telah dicadangkan dengan benar. Memastikan
jurnal transaksi on-line telah dicadangkan untuk
memberikan pemulihan transaksi yang memperbarui
database.
Tinjau deskripsi backup dan pengarsipan sistem.
Menilai prosedur untuk memastikan salinan cadangan dari
sistem, program, dan file data dirotasikan ke lokasi
penyimpanan offsite aman sesuai jadwal. Menilai prosedur
untuk memverifikasi persediaan data cadangan.
Mengidentifikasi media dan proses yang terlibat dalam
backup dan pemulihan dan menilai efektivitas mereka
Meninjau hasil pengujian pemulihan sistem untuk
memastikan tes yang sukses dilakukan dan
didokumentasikan dalam dua belas bulan sebelumnya
Perencanaan
Kelangsungan Bisnis
dan Pemulihan
Bencana
Meninjau kelangsungan bisnis dan rencana dimulainya
kembali. Melalui diskusi dengan manajemen dan tinjauan
dari rencana kelangsungan bisnis dan pemulihan,
menentukan apakah rencana lancar dan mencakup
komponen kunci yang diperlukan.
Tinjau dokumentasi hasil pengujian terakhir dari rencana
dimulainya kembali bisnis menentukan tanggal rencana
sebelumnya. Dokumentasikan frekuensi dan keberhasilan
tes. Jika rencana tersebut belum diuji, tanyakan dulu apakah
itu rencana untuk pengujian.
Menilai rencana manajemen TI dan perannya dalam
menjamin kelangsungan bisnis dan pemulihan sumber daya
TI. Menentukan apakah rencana tersebut mencakup
pemulihan IT di sebuah situs penjual dan meninjau
perjanjian layanan.
Mengevaluasi rencana pemulihan bencana untuk divisi IT.
Memastikan pemulihan aplikasi berbasis risiko
Mengevaluasi kesepakatan layanan pemulihan penjual untuk
8/10/2019 Audit Program It General Control Dan Application Control
9/12
memastikan mereka menyediakan infrastruktur yang
memadai untuk memulihkan sumber daya organisasi TI dan
operasi. Pastikan telekomunikasi disertakan dan tertutup
selama pengujian.
Meninjau hasil pengujian pemulihan operasi TI di lokasi
penjual. Pastikan tes telah berhasil diselesaikan dan hasil
didokumentasikan.
Telekomunikasi Tinjau konfigurasi teknis, grafik, skema, diagram jaringan
(infrastruktur jaringan internal dan eksternal).
tinjau dokumentasi tentang saluran komunikasi jarak jauh,
mekanisme, protokol, dan standar yang disetujui.
tinjau prosedur pemasangan, penentuan tapak, dan
pengelolaan stasiun kerja jaringan dan perangkat portable
dan mobile. Menilai keamanan prosedur untuk memantau,
menambah, menghapus, dan mengkonfigurasi semua
perangkat pada jaringan.
tinjau deskripsi arsitektur pesan, otentikasi, metode enkripsi,
audit / logging
Tentukan apakah telekomunikasi menyediakan lingkungan
yang handal dan aman.
Menentukan apakah EDI (Electronic Data Interchange)
digunakan. Jika demikian, evaluasi keamanan dan
keabsahan pertukaran.
Audit Program u ntuk Pengendal ian Ap l ikasi (Appl icat ion Contro l)
Objectives Procedures
Data masukan (input)
akurat, lengkap,
terotorisasi, dan benar
Mendapatkan prosedur input data, memperoleh pemahaman
tentang proses otorisasi dan persetujuan, dan menentukan
apakah review dan persetujuan proses ada dan telah
dikomunikasikan kepada pengguna yang bertanggung jawab
untuk mendapatkan persetujuan yang sesuai.
Verifikasi bahwa pemilik aplikasi atau pemilik proses
memastikan bahwa semua data disahkan sebelum input. Hal
ini dapat dilakukan melalui pemberian peran dan tanggung
jawab berdasarkan tugas pekerjaan.
Mendapatkan salinan tingkat persetujuan dan menentukan
apakah tanggung jawab ditetapkan untuk memverifikasi
bahwa persetujuan yang sesuai diterapkan secara konsisten.
8/10/2019 Audit Program It General Control Dan Application Control
10/12
Mendapatkan prosedur masukan data dan memverifikasi
bahwa individu yang bertanggung jawab untuk memasukkan
data telah dilatih pada persiapan, masuk, dan kontrol input.
Tentukan apakah rutinitas mengedit yang tertanam dalam
aplikasi memeriksa dan kemudian menolak informasi
masukan yang tidak memenuhi kriteria tertentu, termasuk
namun tidak terbatas pada, tanggal yang salah, karakter
yang salah, panjang field yang tidak valid, data yang hilang,
dan duplikasi entri transaksi / angka.
Memverifikasi keberadaan dan operasi kontrol entri data
manual untuk mencegah masuknya duplikasi catatan. kontrol
entri data manual mungkin termasuk pra-penomoran
dokumen sumber dan menandai catatan sebagai "masukan"
setelah masuk.
Verifikasi bahwa data ditambahkan adalah dari sumber yang
dapat diterima dan dirujuk ke sumber yang memanfaatkan
total kontrol, jumlah rekor, dan teknik lain termasuk
penggunaan laporan sumber independen.
Tentukan apakah pemisahan tugas yang tepat ada untuk
mencegah pengguna untuk memasukkan dan mengotorisasi
transaksi.
Verifikasi bahwa pemisahan tugas yang tepat ada antara
personil entri data dan mereka yang bertanggungjawab atas
rekonsiliasi dan verifikasi bahwa output akurat dan lengkap.
Verifikasi bahwa kontrol ada untuk mencegah perubahan
tidak sah terhadap program sistem seperti perhitungan dan
tabel.
Mendapatkan prosedur input data untuk penanganan
transaksi yang ditolak dan koreksi kesalahan berikutnya dan
menentukan apakah personil yang bertanggung jawab untuk
koreksi kesalahan dan data reentry telah dilatih secara
memadai.
Verifikasi mekanisme di tempat untuk memberitahu pemilik
proses ketika transaksi telah ditolak atau kesalahan telah
terjadi
Verifikasi item yang ditolak diolah kembali tepat pada waktu
yang tepat sesuai dengan prosedur, dan kesalahan yang
diperbaiki sebelum memasuki kembali ke dalam sistem.
Mendapatkan prosedur dan memverifikasi bahwa informasi
8/10/2019 Audit Program It General Control Dan Application Control
11/12
rinci disertakan pada bagaimana antarmuka otomatis
disahkan dan apa yang memicu event pengolahan otomatis.
Verifikasi bahwa jadwal pengolahan didokumentasikan dan
masalah diidentifikasi dan dikoreksi secara tepat waktu.
Tentukan apakah sistem untuk jumlah record sistem dan
nilai total dolar secara sistematis diverifikasi untuk
antarmuka otomatis dan menolak item dicegah dari posting
dan ditandai untuk tindak lanjut dan re-processing.
Verifikasi bahwa file dan data yang dibuat untuk digunakan
oleh aplikasi lain atau yang ditransfer ke aplikasi lainnya
terlindungi dari modifikasi yang tidak sah selama seluruh
proses transfer.
Memvalidasi bahwa data dan program uji dipisahkan dari
produksi
Data diproses
sebagaimana dimaksud
dalam jangka waktu
yang dapat diterima
Pastikan output ditinjau atau direkonsiliasi terhadap
dokumen sumber untuk kelengkapan dan akurasi, termasuk
verifikasi yang dilaporkan total kontrol.
Tentukan apakah rutinitas yang tertanam dalam aplikasi
yang memastikan bahwa semua transaksi dimasukkan
dengan benar benar-benar diproses dan diposting
sebagaimana dimaksud dalam periode akuntansi yang
benar.
Pastikan mekanisme di tempat untuk memberitahu pemilik
proses ketika transaksi telah ditolak atau kesalahan telah
terjadi.
Pastikan ditolak item diproses tepat pada waktu yang tepat
sesuai dengan prosedur, dan kesalahan yang diperbaiki
sebelum memasuki kembali ke dalam sistem.
Data yang disimpan
akurat dan lengkap
Mendapatkan konfigurasi kata sandi dan menggunakan
kebijakan dan menentukan apakah persyaratan untuk
password yang kuat, reset password, account lockout, dan
penggunaan kembali sandi telah ada.
Pastikan bahwa kebijakan di atas telah diterapkan ke
aplikasi yang sedang diperiksa.
Pastikan bahwa kontrol akses remote dirancang dan
beroperasi secara efektif.
Pastikan bahwa pengguna dibatasi untuk fungsi tertentu
berdasarkan tanggung jawab pekerjaan mereka (akses
berbasis peran)
8/10/2019 Audit Program It General Control Dan Application Control
12/12
Pastikan ID pengguna unik ditugaskan untuk semua
pengguna, termasuk pengguna khusus, dan bahwa
pengguna dan administrasi akun tidak dibagikan
Pastikan persetujuan yang tepat dari pembuatan akun
pengguna dan modifikasi diperoleh sebelum pemberian atau
mengubah akses
Pastikan akses dihapus segera setelah penghentian.
Pastikan bahwa pemilik aplikasi bertanggung jawab untuk
memastikan bahwa tinjauan tengah tahunan muncul dari
pengguna dan sistem akun untuk menjamin akses ke data
penting keuangan, aplikasi, dan sistem operasi adalah benar
dan terkini.
Pastikan bahwa mekanisme di tempat untuk menyimpan
data offsite di lokasi yang aman dan dikendalikan
lingkungan.
Output akurat dan
lengkap
Mendapatkan prosedur data output dan memperoleh
pemahaman tentang proses peninjauan dan memverifikasi
bahwa individu yang bertanggung jawab untuk entri data
telah dilatih penelaahan dan verifikasi data output.
Pastikan output ditinjau atau direkonsiliasi terhadap
dokumen sumber untuk kelengkapan dan akurasi, termasuk
verifikasi yang dilaporkan total kontrol.
Meninjau prosedur keluaran data yang ada dan menentukan
apakah mereka mendokumentasikan personil mana yang
menerima output data dan bagaimana data akan dilindungi
selama distribusi.
Pastikan bahwa laporan output telah dibuat dan
mengidentifikasi bahwa tanggal dan waktu pada laporan ini
adalah waktu yang ditetapkan.
Mengidentifikasi bahwa laporan mencakup periode yang
ditunjuk melalui rekonsiliasi terhadap dokumen sumber dari
periode itu.
catatan dipertahankan
yang melacak proses
input data,
penyimpanan, dan
output
Pastikan pengolahan audit dan log ada yang menganggap
semua catatan telah diproses dan memungkinkan untuk
melacak transaksi dari input ke penyimpanan dan output.
Pastikan laporan audit ada yang melacak identifikasi dan
pengolahan ulang transaksi ditolak. Laporan harus berisi
deskripsi yang jelas tentang transaksi ditolak, tanggal, dan
waktu diidentifikasi.