Ø
Obyek Audit : Entity-Level Auditing
Controls
Kontrol tingkat entitas adalah
pengendalian internal yang membantu memastikan bahwa arahan manajemen yang
berkaitan dengan keseluruhan entitas dilakukan. Mereka adalah tingkat kedua
pendekatan top-down untuk memahami risiko organisasi. Umumnya, entitas mengacu
pada keseluruhan perusahaan.
Menguji Langkah untuk
Auditing Entity Level Control
1.
Meninjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa tugas
tersebut memberikan tugas dan wewenang yang jelas atas operasi TI dan
memastikan pemisahan tugas secara memadai.
Struktur organisasi TI yang kurang jelas dapat
menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi dukungan TI
dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi
kritis dapat terbengkalai atau dilakukan secara berlebihan. Juga, jika garis
wewenang tidak jelas, dapat menyebabkan ketidaksepakatan mengenai siapa yang
memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika
tugas TI tidak dipisahkan secara tepat, hal itu dapat menyebabkan kegiatan penipuan
dan mempengaruhi integritas informasi dan proses perusahaan
Cara
Model "satu ukuran cocok untuk semua" untuk
organisasi TI tidak ada, dan Anda tidak dapat secara mekanis menggunakan daftar
periksa untuk menentukan apakah organisasi TI perusahaan Anda memadai. Sebagai
gantinya, Anda harus melihat keseluruhan organisasi dan menerapkan penilaian
dalam menentukan apakah elemen tersebut cukup memenuhi unsur yang paling
penting. Dengan pemikiran ini, diskusi berikut mencakup beberapa bidang utama
yang perlu dipertimbangkan selama tinjauan ini. Tinjau bagan organisasi TI dan
pastikan mereka menunjukkan secara jelas struktur pelaporan. Bagan organisasi
harus memberikan indikasi mengenai di mana di perusahaan yang dihadiri berbagai
organisasi TI. Misalnya, di sebagian besar perusahaan, semua organisasi TI
akhirnya melapor kepada petugas informasi utama (CIO) sehingga satu otoritas
tertinggi dapat menetapkan peraturan untuk keseluruhan lingkungan TI. Pastikan
bahwa perusahaan Anda memiliki struktur pelaporan organisasi TI yang akhirnya
melaporkan ke satu sumber yang "cukup dekat" untuk operasional TI
sehari-hari agar pengaturan tata kelola dan arahan yang efektif.
2.
Meninjau proses perencanaan strategis TI dan pastikan itu sejalan dengan
strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap
rencana strategis.
Untuk memberikan keefektifan jangka panjang, organisasi
TI harus memiliki semacam strategi mengenai tujuannya, berlawanan dengan mode
reaktif secara konstan, di mana masalah dan krisis sehari-hari adalah
satu-satunya pertimbangan. Organisasi TI harus menyadari kebutuhan bisnis dan
perubahan lingkungan yang akan datang sehingga dapat merencanakan dan
meresponsnya.
Cara
Carilah bukti proses
perencanaan strategis di dalam TI, dan pahami bagaimana perencanaan itu
dilakukan. Tentukan bagaimana strategi dan prioritas perusahaan digunakan dalam
mengembangkan strategi dan prioritas TI. Tinjau prioritas TI jangka pendek dan
terdokumentasi. Evaluasi proses yang ada untuk pemantauan berkala terhadap
kemajuan terhadap prioritas tersebut dan untuk mengevaluasi kembali dan
memperbarui prioritas tersebut.
3.
Tentukan apakah strategi teknologi dan aplikasi dan peta jalan ada, dan
evaluasi proses perencanaan teknis jarak jauh.
TI adalah lingkungan yang berubah
dengan cepat, dan penting bagi organisasi TI untuk memahami dan merencanakan
perubahan. Jika tidak, lingkungan TI perusahaan berisiko mengalami teknologi
usang dan / atau tidak sepenuhnya memanfaatkan keuntungan perusahaan.
Cara
Carilah bukti bahwa perencanaan teknis
jangka panjang sedang dilakukan. Untuk aplikasi dan teknologi yang dibeli,
tentukan apakah TI memahami peta jalan dukungan vendor untuk produk tersebut.
Organisasi TI harus memahami kapan versi produk mereka tidak akan didukung dan
dibuat rencana untuk meningkatkan atau mengganti produk. Tentukan apakah proses
telah dilakukan untuk memantau perubahan teknologi yang relevan, pertimbangkan
bagaimana perubahan tersebut akan berdampak pada perusahaan, dan carilah
peluang untuk menggunakan teknologi baru untuk membantu perusahaan.
4.
Tinjau kembali indikator kinerja dan pengukuran untuk TI. Pastikan proses dan
metrik tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur
kinerja kegiatan sehari-hari dan untuk melacak kinerja terhadap kesepakatan
tingkat layanan, anggaran, dan persyaratan operasional lainnya.
Organisasi TI ada untuk mendukung bisnis dan operasi
sehari-hari. Jika standar kinerja minimum tidak ditetapkan dan diukur, sulit
bagi bisnis untuk menentukan apakah layanan organisasi TI dilakukan pada
tingkat yang dapat diterima.
Cara
Dapatkan salinan metrik
yang ditangkap untuk aktivitas rutin organisasi TI (seperti waktu aktif dan
waktu respons sistem). Tentukan tujuan metrik tersebut, dan pastikan pemangku
kepentingan yang tepat telah menyetujui tujuan tersebut. Jika kinerja aktual
jauh lebih rendah daripada tujuan, tentukan apakah analisis akar penyebab telah
dilakukan untuk memahami masalahnya dan apakah rencana disiapkan untuk
menyelesaikan masalah. Tinjau kembali SLA yang telah ditetapkan untuk mendukung
pemangku kepentingan utama TI.
5.
Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru.
Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi dan
pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan bahwa
manajemen dan pemangku kepentingan utama meninjau status proyek, jadwal, dan
anggaran secara berkala selama masa proyek yang signifikan.
Tanpa proses terstruktur untuk menyetujui dan
memprioritaskan proyek TI baru, sumber daya TI mungkin tidak akan digunakan
secara efisien. Sebagai gantinya, mereka akan ditugaskan secara ad hoc untuk
proyek potensial apa pun yang akan terjadi selanjutnya. Selain itu,
proyek-proyek TI dapat dimulai yang tidak memenuhi kebutuhan bisnis dan / atau
yang tidak sepenting proyek potensial lainnya dimana sumber daya tersebut dapat
digunakan.
Cara
Tinjau dokumentasi yang
ada mengenai usulan proyek dan proses persetujuan. Evaluasi proses untuk lubang
potensial yang memungkinkan proyek dimulai tanpa persetujuan. Carilah bukti
bahwa proyek yang diusulkan telah diprioritaskan sebelum persetujuan dan bahwa
beberapa disiplin dan kesamaan ada dalam proses persetujuan ini. Pertimbangkan
untuk memilih contoh proyek TI yang aktif dan mendapatkan bukti bahwa proyek
tersebut melalui proses proposal, prioritas, dan persetujuan yang sesuai.
Tinjau bukti bahwa manajemen dan pemangku kepentingan utama secara berkala
meninjau kembali status, jadwal, dan anggaran untuk proyek TI yang aktif.
6.
Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga,
memastikan bahwa peran dan tanggung jawab mereka didefinisikan secara jelas dan
memantau kinerjanya.
Banyak perusahaan
melakukan outsourcing beberapa atau semua proses dukungan TI mereka, termasuk
area seperti dukungan PC, server web hosting, dukungan sistem, pemrograman, dan
sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini bisa menyebabkan layanan
yang buruk dan kualitas yang tidak dapat diterima di lingkungan TI. Bergantung
pada bagian lingkungan TI mana yang telah dioutsourcing, masalah ini dapat
secara signifikan mempengaruhi operasi perusahaan..
Cara
Meninjau ulang proses pemilihan vendor. Pastikan proses
tersebut memerlukan permintaan beberapa penawaran kompetitif, perbandingan
masing-masing vendor terhadap kriteria yang telah ditentukan, keterlibatan
personil berpengatahuan pengadaan untuk
membantu menegosiasikan kontrak, mengevaluasi kemampuan dan pengalaman dukungan
teknis vendor yang menyediakan dukungan bagi perusahaan dengan ukuran dan
industri yang serupa. seperti kinerja Anda, analisis biaya menyeluruh, dan
penyelidikan terhadap kualifikasi masing-masing vendor dan kesehatan finansial.
Untuk sampel pilihan vendor baru-baru ini, tinjau bukti bahwa prosesnya
diikuti.
7. Meninjau dan
mengevaluasi proses untuk mengendalikan akses logis karyawan.
Sebagian besar
perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga kerja kontrak
untuk menambah tenaga kerja internal mereka. Selain itu, beberapa perusahaan
mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem yang dibeli
untuk mendapatkan pemecahan masalah dan tujuan dukungan. Karena personil ini bukan
pegawai perusahaan, mereka cenderung tidak memiliki investasi perorangan dalam
kesuksesan perusahaan atau kesadaran akan kebijakan dan budaya perusahaan.
Cara
Pastikan bahwa kebijakan memerlukan persetujuan dan sponsor dari seorang
karyawan sebelum seorang karyawan tidak memperoleh akses logis ke sistem
perusahaan. Jika
memungkinkan, dapatkan contoh akun non karyawan, dan pastikan mereka memiliki
persetujuan dan sponsor yang tepat.
Mengkaji ulang dan mengevaluasi proses untuk mengkomunikasikan kebijakan
perusahaan (termasuk kebijakan keamanan TI) kepada orang-orang yang tidak
bekerja sebelum memberi mereka sistem akses. Carilah bukti bahwa komunikasi ini
telah terjadi. Misalnya,
jika semua karyawan tidak diminta untuk menandatangani sebuah pernyataan bahwa
mereka telah membaca dan menyetujui kebijakan tersebut, menarik sampel yang
tidak bekerjadan dapatkan salinan dari perjanjian ini.
8.
Meninjau dan mengevaluasi
proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang
berlaku
Menggunakan perangkat lunak secara ilegal dapat mengakibatkan hukuman,
denda, dan tuntutan hukum. Semakin mudah bagi karyawan perusahaan mendownload
software dari internet. Jika perusahaan tidak mengembangkan proses untuk
mencegah atau melacak aktivitas semacam itu (dan juga melacak penggunaan
lisensi perusahaan untuk perangkat lunak yang dibeli), mereka dapat menemukan
dirinya tunduk pada audit vendor perangkat lunak tanpa kemampuan untuk
memperhitungkan dengan benar penggunaan vendor perusahaan perangkat lunak.
Cara
Carilah bukti bahwa perusahaan memelihara daftar lisensi perangkat lunak
perusahaan (seperti untuk Microsoft Office, akun aplikasi ERP, dan sebagainya)
dan telah mengembangkan sebuah proses untuk memantau penggunaan lisensi
tersebut dan mematuhi persyaratan persetujuan. Tentukan bagaimana lisensi
terdesentralisasi (non-perusahaan) dipantau dan dilacak. Ini termasuk perangkat
lunak yang dibeli oleh karyawan dan ditempatkan di komputer komersil mereka,
serta perangkat lunak yang diunduh dari Internet. Benar-benar memahami software
9.
Mengkaji dan mengevaluasi
kontrol atas akses jarak jauh ke dalam jaringan perusahaan (seperti dial-up,
VPN, koneksi eksternal khusus).
Mengizinkan akses jarak jauh ke jaringan pada dasarnya menghasilkan
jaringan yang diperpanjang melampaui batas normalnya, melewati kontrol
perimeter normal seperti firewall. Kurangnya kontrol yang kuat mengenai akses
ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan jaringan yang
dikompromikan.
Cara
Pastikan ID pengguna dan kata sandi yang kuat diperlukan untuk akses
jarak jauh dan kredensial ini dikirim melalui jalur komunikasi yang aman
(seperti yang dienkripsi).
Tentukan apakah proses persetujuan diterapkan untuk memberikan akses
jarak jauh, terutama untuk orang yang tidak bekerja. Tarik sampel pengguna
dengan akses jarak jauh, dan cari bukti persetujuan. Juga mengevaluasi proses
untuk menghapus akun akses remote dial-up dan VPN saat karyawan meninggalkan
perusahaan. Tarik sampel pengguna dengan remote ac-cess, dan pastikan mereka
masih menjadi karyawan aktif.
10.
Pastikan prosedur
perekrutan dan pemutusan hubungan kerja jelas dan komprehensif.
Prosedur perekrutan memastikan bahwa karyawan diserahkan ke layar dan pemeriksaan latar belakang, di mana
undang-undang setempat mengizinkan, sebelum mulai bekerja dalam organisasi.
Prosedur Termi-nation memastikan bahwa akses terhadap sistem dan fasilitas
perusahaan dicabut sebelumnya
Cara
Tinjau kebijakan dan
prosedur SDM untuk perekrutan dan penghentian karyawan. Pastikan bahwa prosedur
perekrutan mencakup pemeriksaan latar belakang, layar obat, dan perjanjian
rahasia. Pastikan bahwa prosedur penghentian meliputi pembatalan akses fisik
dan logis, pengembalian peralatan milik perusahaan, dan jika perlu, pengawasan
sementara mantan karyawan mengumpulkan barang miliknya
11.
Meninjau dan mengevaluasi kebijakan dan prosedur pengendalian pengadaan dan
pergerakan perangkat keras.
Manajemen aset adalah
pengendalian, pelacakan, dan pelaporan aset organisasi untuk memudahkan
akuntansi atas aset. Tanpa pengelolaan aset yang efektif, perusahaan akan
dikenai peningkatan biaya peralatan duplikat dalam situasi di mana peralatan
tersedia namun belum diketahui. Perusahaan juga akan dikenai biaya sewa yang
tidak perlu jika peralatan sewa tidak dilacak secara memadai dan dikembalikan
tepat waktu. Demikian pula, tanpa pengelolaan aset yang memadai, kondisi
peralatan akhir kehidupan mungkin tidak diperhatikan, sehingga meningkatkan
risiko kegagalan perangkat keras.
Cara
Meninjau dan
mengevaluasi kebijakan dan prosedur pengelolaan aset perusahaan, dan memastikan
bahwa hal tersebut mencakup hal-hal berikut:
·
Proses pengadaan aset Pastikan proses ini memerlukan
persetujuan yang sesuai sebelum pembelian perangkat keras.
·
pelacakan aset Memastikan bahwa perusahaan
menggunakan tag aset dan memiliki database manajemen aset.
·
Untuk semua ivetaris saat ini Pastikan inventaris berisi nomor aset
dan lokasi semua perangkat keras, beserta informasi tentang status garansi
peralatan, masa berlaku sewa, dan siklus hidup keseluruhan (yaitu saat tidak
lagi memenuhi syarat untuk mendapatkan dukungan vendor). Pastikan mekanisme
yang efektif diterapkan agar persediaan ini tetap up to date. Contoh tag aset
juga harus diperiksa dan diikat kembali ke inventaris.
·
Prosedur pemindahan dan pembuangan
aset Pastikan
peralatan yang tidak digunakan disimpan dengan aman. Juga pastikan bahwa data
terhapus dengan benar dari peralatan sebelum dibuang.
12.
Pastikan bahwa sistem
konfigurasi dikendalikan denga perubahan
manajemen untuk menghindari pemadaman sistem yang tidak perlu.
Manajemen
perubahan konfigurasi memastikan bahwa perubahan sistem dikendalikan dan
dilacak untuk mengurangi risiko pemadaman sistem. Ini mencakup perencanaan,
penjadwalan, penerapan, dan perubahan pelacakan terhadap sistem untuk
mengurangi risiko perubahan lingkungan tersebut.
Cara
Perubahan aktivitas dapat mempengaruhi dua bidang: perangkat keras dan
perangkat lunak (termasuk perubahan tingkat sistem operasi). Pastikan bahwa
prosedur manajemen konfigurasi mencakup proses sebagai berikut:
·
Meminta perubahan (termasuk proses bagi pengguna
akhir untuk meminta perubahan)
·
Menentukan secara spesifik apa yang harus diubah
·
Memprioritaskan dan menyetujui usulan perubahan
·
Penjadwalan menyetujui perubahan
·
Menguji dan menyetujui perubahan sebelum
implementasi
·
Mengkomunikasikan perubahan yang direncanakan
sebelum implementasi
·
Menerapkan perubahan
·
Rolling back (menghapus) perubahan yang tidak
bekerja seperti yang diharapkan setelah implementasi
13.
Pastikan media
transportasi, penyimpanan, penggunaan kembali, dan pembuangan ditangani secara
memadai oleh kebijakan dan prosedur perusahaan
Media kontrol memastikan bahwa
informasi yang tersimpan di media penyimpan data tetap confi-dential dan
terlindungi dari kerusakan atau kerusakan dini. Kebijakan, prosedur
penyimpanan, penggunaan kembali, dan pembuangan limbah yang tidak memadai,
mengekspos organisasi terhadap kemungkinan pengungkapan atau penghancuran
informasi penting yang tidak sah.
Cara
Media komputer, termasuk,
namun tidak terbatas pada, backup tape, CD dan DVD, hard disk, USB jump drives,
dan disket, harus dikontrol dengan ketat untuk memastikan keamanan data
pribadi. Karena operator cadangan, teknisi komputer, administrator sistem,
operator pihak ketiga, dan bahkan pengguna akhir menangani media penyimpanan,
kebijakan dan prosedur media harus mengatasi fungsi yang berbeda ini. Saat
mengaudit kebijakan dan prosedur pengendalian media, carilah hal-hal berikut:
• Persyaratan informasi
sensitif untuk dienkripsi sebelum dikirim melalui operator pihak ketiga.
• Persyaratan media
magnetis digolongkan secara digital atau dimagnetisasi sebelum digunakan
kembali atau dibuang.
• Persyaratan media
optik dan kertas harus dilapisi secara fisik sebelum dibuang.
• Persyaratan bagi
pengguna untuk menerima pelatihan yang memadai tentang bagaimana cara menyimpan
dan membuang media komputer, termasuk jump drive.
• Persyaratan media
komputer untuk disimpan di tempat yang aman secara fisik, terkontrol dan kering
untuk menghindari kerusakan pada media.
14.
Verifikasi bahwa kebijakan dan prosedur perusahaan secara memadai menangani
pengawasan dan perencanaan kapasitas.
Mengantisipasi dan
memantau kapasitas pusat data, sistem komputer dan aplikasi merupakan kunci
untuk memastikan ketersediaan sistem. Ketika perusahaan mengabaikan kontrol
ini, mereka sering mengalami gangguan sistem dan kehilangan data.
Cara
Tinjau hal berikut ini:
• Dokumen arsitektur
dipilih untuk memastikan sistem dan fasilitas dirancang untuk memenuhi kebutuhan
kapasitas.
• Prosedur pemantauan
sistem, memberikan perhatian khusus pada ambang batas kapasitas.
• Catatan pemantauan
sistem untuk menentukan persentase sistem yang mendekati atau melampaui ambang
batas kapasitas.
• Laporan ketersediaan
sistem untuk memastikan bahwa masalah kapasitas sistem tidak menyebabkan
downtime yang berlebihan.
Karena manajemen
kapasitas paling sering ditangani oleh pusat data, aplikasi atau kelompok
manajemen sistem, prosedur spesifik perlu ditangani dalam area ini.
15.
Berdasarkan struktur proses dan proses TI organisasi anda, identifikasi dan
audit proses TI lainnya di tingkat entitas.
Dengan mengidentifikasi
kontrol TI dasar, anda harus dapat mengurangi pengujian selama audit lain dan
menghindari pengulangan. Misalnya, jika perusahaan anda hanya memiliki satu
pusat data produksi, anda dapat menguji keamanan fisik dan kontrol lingkungan
dari pusat data itu satu kali. Kemudian, dengan mengaudit sistem individual
yang ada di pusat data tersebut, alih-alih mengaudit kontrol keamanan fisik dan
lingkungan dari setiap sistem tersebut (yang akan sangat berulang karena
semuanya ada di tempat yang sama), anda dapat lihat saja audit tingkat entitas
anda terhadap isu-isu tersebut dan lanjutkan.
Cara
Tinjaulah kembali
topik-topik yang dibahas dalam bab-bab lain dari Bagian II buku ini dan
pertimbangkan apakah salah satu bidang ini dipusatkan di perusahaan anda. Topik
ini adalah kandidat untuk tinjauan kontrol tingkat entitas. Berikut adalah
beberapa kandidat yang mungkin:
• Keamanan fisik dari
pusat data dan pengendalian lingkungan
• Pemantauan sistem
(seperti kinerja dan ketersediaan) dan laporan kejadian
• Perencanaan pemulihan
bencana
• Proses backup
• Keamanan dan manajemen
jaringan
• Proses manajemen
sistem Windows (seperti manajemen akun, pemantauan keamanan)
• Keamanan baseline yang
digunakan untuk menerapkan sistem Windows baru
• Perlindungan
anti-virus (seperti antivirus, patch, pemeriksaan kepatuhan)
• Proses administrasi
sistem Unix / Linux (seperti manajemen akun, pemantauan keamanan, patch
keamanan)
• Keamanan baseline yang
digunakan untuk menerapkan sistem Unix dan Linux baru
• Kontrol perubahan
perangkat lunak untuk kode yang dikembangkan secara internal
• Praktik kata sandi bisnis
dan pengelolaan akun
Ø
Rencana Audit
Audit kontrol tingkat entitas
Daftar periksa audit untuk kontrol tingkat entitas
❑ 1.
Tinjau keseluruhan struktur organisasi TI untuk memastikan bahwa proyek
tersebut memberikan tugas dan tanggung jawab yang jelas terhadap operasi TI dan
memberikan pemisahan peran yang memadai.
❑ 2.
Tinjau proses perencanaan TI strategis untuk memastikan keselarasan dengan
strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap
rencana strategis.
❑ 3.
Tentukan apakah strategi dan teknologi dan peta jalan implementasi ada dan
evaluasi proses perencanaan teknis jangka panjang.
❑ 4.
Tinjau kembali indikator kinerja dan ukuran TI. Pastikan proses dan metrik
diterapkan (dan disetujui oleh pemangku kepentingan utama) untuk mengukur
kinerja kegiatan sehari-hari dan untuk melacak kinerja terkait dengan
perjanjian tingkat layanan, anggaran dan persyaratan operasional lainnya.
❑ 5.
Kaji ulang proses organisasi TI untuk menyetujui dan memprioritaskan proyek
baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi
dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan
manajemen kunci dan pemangku kepentingan meninjau status proyek, jadwal, dan
anggaran secara berkala selama masa proyek yang signifikan.
❑ 6.
Evaluasi peraturan yang mengatur pelaksanaan proyek TI dan memastikan kualitas
produk yang dikembangkan atau diakuisisi oleh organisasi TI. Tentukan bagaimana
standar ini dikomunikasikan dan ditegakkan.
❑ 7.
Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai
untuk keselamatan lingkungan. Tentukan bagaimana kebijakan ini dikomunikasikan
dan bagaimana kepatuhan dipantau dan ditegakkan.
❑ 8.
Mengkaji dan mengevaluasi proses penilaian risiko yang diterapkan untuk
organisasi TI.
❑ 9.
Mengkaji dan mengevaluasi proses untuk memastikan bahwa karyawan perusahaan
memiliki keterampilan dan pengetahuan untuk melakukan pekerjaan mereka.
Daftar periksa audit untuk kontrol tingkat
entitas (lanjutan)
❑ 10.
Meninjau dan mengevaluasi kebijakan dan proses untuk menetapkan kepemilikan
data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan
klasifikasi, dan menentukan siklus hidup data.
❑ 11.
Pastikan ada proses yang efektif untuk mematuhi undang-undang dan peraturan
yang berlaku yang mempengaruhi TI (seperti HIPAA, Sarbanes-Oxley) dan untuk
menjaga kesadaran akan perubahan di lingkungan peraturan.
❑ 12.
Mengkaji dan mengevaluasi proses untuk memastikan bahwa pengguna akhir
lingkungan TI memiliki kemampuan untuk melaporkan masalah, berpartisipasi
secara benar dalam keputusan TI, dan merasa puas dengan layanan yang diberikan
oleh TI.
❑ 13.
Tinjau dan evaluasi proses manajemen layanan pihak ketiga, pastikan peran dan
tanggung jawab mereka didefinisikan secara jelas dan pantau kinerjanya.
❑ 14.
Meninjau dan mengevaluasi proses untuk mengendalikan akses logis non-karyawan.
❑ 15.
Mengkaji dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi
perangkat lunak yang berlaku.
❑ 16.
Mengkaji dan mengevaluasi kontrol terhadap akses jarak jauh di jaringan
perusahaan (seperti sambungan telepon, VPN, koneksi eksternal khusus).
❑ 17.
Pastikan prosedur perekrutan dan penyelesaian sudah jelas dan lengkap.
❑ 18.
Meninjau dan mengevaluasi kebijakan dan prosedur untuk mengendalikan akuisisi
dan pergerakan perangkat keras.
❑ 19.
Pastikan pengaturan sistem dikendalikan oleh manajemen perubahan untuk
menghindari gangguan sistem yang tidak perlu.
❑ 20.
Memastikan bahwa transportasi, penyimpanan, penggunaan kembali dan pelepasan
media ditangani secara memadai melalui kebijakan dan prosedur perusahaan.
❑ 21.
Verifikasi bahwa kebijakan dan prosedur perusahaan secara memadai menangani
pengawasan dan perencanaan kapasitas.
❑ 22.
Berdasarkan struktur proses dan proses TI organisasi Anda, identifikasi dan
audit proses TI lainnya di tingkat entitas.
Ø
Susunan Instrumen Audit
Regulasi
:
·
Sarbanes-Oxley Act of 2002
Sebagai hasil dari beberapa skandal akuntansi dan auditing, kongres
mengeluarkan Sarbenes-Oxley Act of 2002. Bagian 404 dari tindakan tersebut
mengharuskan manajemen perusahaan untuk menilai dan melaporkan efektivitas
pengendalian internal perusahaan. Ini juga mengharuskan auditor independen
perusahaan untuk membuktikan pengungkapan manajemen mengenai efektivitas
pengendalian internal. Tindakan tersebut juga menciptakan Public Company
Accounting Oversight Board (PCAOB).
·
PCAOB Auditing Standard No. 5
The Public Company
Accounting Oversight Board (PCAOB) menjadi regulator utama audit perusahaan publik.
Pada bulan Juni 2007, PCAOB mengadopsi Standar Audit No. 5 (AS5).Standar ini
berisi standar untuk melakukan audit pengendalian internal atas pelaporan
keuangan yang terintegrasi dengan audit atas laporan keuangan.Auditor harus
menguji kontrol tingkat entitas yang penting bagi kesimpulan auditor tentang
apakah perusahaan memiliki pengendalian internal yang efektif atas pelaporan keuangan.
Bergantung pada evaluasi auditor terhadap efektivitas pengendalian tingkat entitas,auditor dapatmeningkatkan
atau mengurangi jumlah pengujian yang akan mereka lakukan. Kontrol tingkat
badan sangat bervariasi di alam dan presisi. Efeknya terhadap rencana audit
bervariasi sesuai dengan seberapa tepatnya mereka.
|
Jenis
|
Deskripsi
|
Efek Audit
|
|
Tidak Langsung
|
Beberapa pengendalian tingkat entitas memiliki efek tidak
langsung dalam kemungkinan mendeteksi maupun mencegah kesalahan pernyataan
secara tepat waktu. Dan tidak secara langsung terkait terhadap resiko pada
tingkat asersi keuangan.
|
Mempengaruhi pemilihan kontrol, dan
sifat, waktu, dan tingkat prosedur yang dilakukan.
|
|
Pemantauan
|
Beberapa kontrol tingkat entitas
memantau keefektifan kontrol lainnya. Mereka dapat dirancang untuk
mengidentifikasi kerusakan pada kontrol tingkat yang lebih rendah. Kontrol
ini tidak cukup tepat untuk menilai secara khusus risiko yang dinilai pada
tingkat asersi yang relevan.
|
Mengurangi pengujian pengendalian lain jika beroperasi
secara efektif
|
|
Ketepatan
|
Beberapa kontrol tingkat entitas
cukup tepat untuk mencegah atau mendeteksi kesalahan
pernyataan secara tepat
waktu.
|
Jika kontrol cukup mengatasi risiko,
maka tes kontrol tambahan yang berkaitan dengan risiko tersebut tidak
diperlukan
|
Framework :
·
COSO
Lima
komponen pengendalian internal mengacu kepada kerangka kerja COSO. Kerangka
kerja ini memberi auditor cara untuk mengevaluasi kontrol suatu entitas. Kelima
komponen tersebut adalah :
·
Control
environment
·
Risk
assessment
·
Information
and communication
·
Control
activities
·
Monitoring
Kontrol tingkat entitas seringkali
sesuai dengan satu atau lebih dari lima komponen yang terdapat pada framework
COSO
Contoh
|
|
COSO Components
|
Background Checks
|
Audit Committee
|
Internal Audit
|
Shared Services
|
|
Control Environment
|
X
|
X
|
|
|
|
Risk Assessment
|
X
|
X
|
X
|
|
|
Information & Communication
|
X
|
X
|
X
|
X
|
|
Monitoring
|
|
X
|
X
|
|
Ø
Penggunaan Instrumen Audit yang akan
digunakan
Definisi
kontrol tingkat entitas terpilih yang diatur dalam kerangka COSO
Lingkungan kontrol
Kode
etik
Norma
yang disetujui oleh organisasi secara sukarela untuk dipatuhi. Misalnya, kode
etik perusahaan mungkin termasuk kebijakan untuk melarang karyawan menerima
hadiah dari vendor.
Pemerintahan
Mekanisme
untuk memantau bagaimana sumber daya suatu organisasi dimanfaatkan secara
efisien oleh manajemen, dengan penekanan pada transparansi dan akuntabilitas.
Penugasan
Kewenangan dan Tanggung Jawab
Istilah
"kewenangan" mengacu pada hak untuk melakukan aktivitas organisasi.
Istilah "tanggung jawab" mengacu pada kewajiban untuk melakukan
kegiatan yang ditugaskan. Hal ini penting untuk pencapaian tujuan pengendalian
bahwa otoritas dan tanggung jawab konsisten dengan tujuan kegiatan bisnisnya
dan ditugaskan kepada personil yang tepat.
Praktek
rekrutmen dan penyimpanan
Perekrutan
dan penyimpanan sumber daya khusus sangat penting bagi keberhasilan sebuah
organisasi. Kebijakan dan prosedur yang berkaitan dengan definisi pekerjaan,
perekrutan, pelatihan, evaluasi kinerja, program retensi karyawan dan
pengelolaan keluar karyawan merupakan komponen penting dalam pengelolaan sumber
daya manusia.
Pencegahan
kecurangan Pencegahan / Deteksi pengendalian dan prosedur analitik
Ini
mengacu pada pengendalian dan prosedur anti-kecurangan yang digunakan oleh
manajemen untuk mencegah, mendeteksi dan mengurangi kecurangan. Contohnya
mungkin mencakup pemisahan tugas, pembuatan garis etika langsung dan rotasi
kerja berkala.
Penilaian Risiko
Metodology
Penilaian Risiko
Pendekatan
sistematis untuk mengidentifikasi, mengevaluasi dan memprioritaskan risiko.
Teknik
Analitik untuk Penilaian Risiko
Teknik
analisis, jika digunakan dengan benar, dapat berfungsi sebagai alat dalam
proses penilaian risiko. Karena risiko adalah hasil persepsi, teknik analisis
membantu menghilangkan subjektivitas, sampai batas tertentu dengan mengumpulkan
dan menyajikan data secara sistematis untuk evaluasi dampak potensial dan
kemungkinan terjadinya atau risiko.
Informasi dan
Komunikasi
Komunikasi Internal dan Pelaporan Kinerja
Ini mengacu pada jalur komunikasi yang berjalan melalui struktur
organisasi, baik top-down dan bottom-up, termasuk komunikasi antar rekan.
Pelaporan kinerja adalah bagian dari komunikasi internal, dan biasanya
melibatkan proses dua arah untuk menetapkan harapan dan memantau kinerja
terhadap ekspektasi yang disepakati.
Pengaturan nada
Pengaturan nada mengacu pada berbagai komponen "nada di bagian
atas," yaitu blok bangunan karakter organisasi. Setelah menetapkan nada
yang tepat, sama pentingnya memiliki saluran komunikasi terbuka sehingga
orang-orang di dalam dan di luar organisasi memahami dan bertindak atasnya.
Contoh komponen nada seperti itu mencakup kode etik dan praktik tata kelola
perusahaan.
Pelaporan Dewan Komisaris / Komite Audit
Anggota dewan, termasuk direksi independen, mengambil tanggung jawab
fidusia yang meminta mereka untuk memiliki akses terhadap informasi yang akurat
dan relevan. Meskipun sebagian besar negara telah memberlakukan undang-undang
mengenai pelaporan formal kepada Dewan Direksi dan Komite Audit Dewan, hal ini
biasanya merupakan prosedur dan persyaratan awal. Perusahaan bebas untuk
menerapkan langkah-langkah yang lebih ketat mengenai Pelaporan Dewan / Komite
Audit, seperti mengadakan Rapat Komite Audit formal yang lebih sering daripada
yang dipersyaratkan oleh undang-undang.
Komunikasi
Eksternal
Ini mengacu pada komunikasi kepada pemegang saham, pasar saham, pelanggan,
regulator, vendor, dan entitas lain di luar batas formal perusahaan. Laporan
tahunan ini merupakan contoh komunikasi eksternal seputar kinerja perusahaan,
laporan keuangan, visi, sasaran dan sasaran.
Aktivitas
pengendalian
Kebijakan
dan prosedur
Kebijakan adalah peraturan bisnis dan praktik formal yang harus
diperhatikan oleh organisasi dan karyawannya. Kebijakan dan prosedur ini diatur
oleh persyaratan hukum / peraturan, dan filosofi manajemen. Misalnya, kebijakan
akuntansi biasanya disesuaikan dengan standar akuntansi yang berlaku, sedangkan
kebijakan kredit bergantung pada risk appetite manajemen.
Tinjauan Audit Internal
Audit internal berfungsi sebagai alat untuk Komite Audit dan manajemen
untuk menyelami lebih dalam ke area berisiko tinggi yang diidentifikasi untuk
mengidentifikasi masalah dan rekomendasi mengenai remediasi mereka. Audit
internal sering dilaporkan ke Komite Audit, dan dapat dikelola secara internal
maupun eksternal.
Pemisahan tugas
Konsep ini memerlukan tinjauan independen terhadap pekerjaan yang dilakukan
oleh individu, mencegah seseorang untuk tidak dapat memulai - dan menyelesaikan
- transaksi kritis. Pemisahan tugas adalah kontrol anti-kecurangan utama.
Rekonsiliasi Akun
Rekonsiliasi akun secara periodik membantu identifikasi kesalahan,
kelalaian dan bahkan kecurangan. Misalnya, rekonsiliasi akun pelanggan dapat
mengidentifikasi pembayaran yang diterima, namun tidak diterapkan, ke akun
pelanggan yang benar.
Sistem Balancing dan Exception Reporting
Penyeimbangan sistem mengacu pada pemeriksaan sistem internal untuk
memverifikasi integritas data yang ditransfer dari aplikasi lain. Contohnya termasuk
mekanisme untuk membandingkan jumlah total antara sumber data asli dan data
yang ditransfer ke aplikasi baru. Pelaporan pengecualian berkaitan dengan
pelaporan item pengecualian kepada manajemen sehingga penggunaan waktu
pengelolaan yang lebih efektif dapat dicapai. Misalnya, Manajer Penjualan
berpotensi meninjau semua transaksi penjualan selama sehari. Tetapi lebih
efisien waktu jika proses review dan persetujuan difokuskan pada transaksi yang
tidak terjual pada harga daftar, atau dijual di atas persentase diskon tertentu
yang telah ditentukan sebelumnya.
Manajemen Perubahan
Ini mengacu pada
pengelolaan perubahan pada proses, orang, struktur organisasi, dan sebagainya,
dengan cara meminimalkan gangguan bisnis yang dapat membahayakan keseluruhan kinerja
bisnis.
Monitoring
Memantau Kegiatan Yang Sedang Berlangsung
Peninjauan
ulang proses dan control menggunakan alat pelaporan manajemen yang relevan.
Sebagai contoh, kegiatan memantau kegiatan yang sedang berlangsung ini termasuk
tinjauan akun bulanan untuk menentukan tingkat simpanan yang harus dibayar
untuk hutang hutang.
Mekanis Penilaian Secara
Indenpenden
Penggunaan
spesialis eksternal atau profesional untuk meninjau dan menilai pengendalian
internal. Misalnya, ini mungkin termasuk penggunaan profesional pajak
eksternaluntuk meninjau kontrol seputar posisi pajak yang dikembangkan oleh tim
pajak internal.
Perbedaan analisa pelaporan
Perbandingan
dan pelaporan kinerja aktual terhadap tolok ukur yang telah ditentukan
sebelumnya, jika digunakan dengan tepat, dapat berfungsi sebagai peringatan
awal. Misalnya, peningkatan omset debitur yang stabil dapat mengindikasikan
berbagai tingkat masalah terkait koleksi.
Mekanis Remediasi
Ini
mengacu pada pendekatan sistematis untuk menyelesaikan masalah pengendalian
internal yang teridentifikasi. Meskipun sebuah isu dapat diidentifikasi dengan
mekanisme pemantauan internal atau eksternal, mekanisme remediasi biasanya
hanya dimiliki manajemen.
Pemicu Manajemen Tertanam dalam
sistem TI
Sebagian besar aplikasi perusahaan mengonfigurasi aturan
bisnis dengan cara mencegah, memerlukan persetujuan, atau memberi peringatan
kepada manajemen terkait jika ambang batas yang ditentukan sebelumnya tidak
diperhatikan. Misalnya, aplikasi penjualan dapat menerapkan kontrol yang
mencegah transaksi penjualan melebihi batas kredit pelanggan yang ditentukan.
Pedoman
Pemantauan Sistem Pengendalian Internal
Perusahaan telah banyak
berinvestasi dalam meningkatkan kualitas pengendalian internal mereka; Namun, COSO
mencatat bahwa banyak organisasi tidak sepenuhnya memahami pentingnya komponen
pemantauan kerangka kerja COSO dan peran yang dimainkannya dalam merampingkan
proses penilaian. Pada bulan Januari 2009, COSO menerbitkan Pedoman Pengawasan
Sistem Pengendalian Intern untuk mengklarifikasi komponen pemantauan
pengendalian internal.
Pemantauan waktu yang
efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya yang
terkait dengan pelaporan publik mengenai pengendalian internal karena masalah
diidentifikasi dan ditangani secara proaktif, bukan reaktif.
Panduan Monitoring COSO
dibangun berdasarkan dua prinsip dasar yang ditetapkan dalam COSO's 2006
Guidance:
·
Evaluasi
berkelanjutan dan / atau terpisah memungkinkan manajemen untuk menentukan
apakah komponen lain dari pengendalian internal terus berfungsi dari waktu ke
waktu, dan
·
Kekurangan
pengendalian internal diidentifikasi dan dikomunikasikan secara tepat waktu
kepada pihak-pihak yang bertanggung jawab untuk melakukan tindakan korektif dan
manajemen serta dewan direksi sebagaimana mestinya.
Panduan pemantauan lebih
lanjut menunjukkan bahwa prinsip-prinsip ini paling baik dicapai melalui
pemantauan yang didasarkan pada tiga elemen luas:
·
Menetapkan
landasan untuk pemantauan, termasuk (a) nada yang tepat di bagian atas; (b)
struktur organisasi yang efektif yang memberikan peran pemantauan kepada
orang-orang dengan kemampuan, objektivitas dan kewenangan yang sesuai; dan (c)
titik awal atau "dasar" pengendalian internal efektif yang diketahui
dari mana pemantauan dan evaluasi terpisah dapat dilaksanakan;
·
Merancang
dan melaksanakan prosedur pemantauan yang berfokus pada informasi persuasif
tentang pengoperasian kontrol kunci yang menangani risiko yang berarti terhadap
tujuan organisasi; dan
·
Menilai
dan melaporkan hasil, yang mencakup evaluasi tingkat keparahan kekurangan yang
teridentifikasi dan melaporkan hasil pemantauan kepada personil dan dewan
terkait untuk tindakan dan tindak lanjut yang tepat waktu jika diperlukan.
