Telaah atas kontrol organisasi biasanya dimulai dengan pengenalan sistemnya. Para auditor internal bisa mengetahui dengan benar sistem tersebut dengan cara menelaah kebijakan manajemen, struktur organisasi, deskripsi kerja, laporan tenaga kerja dan lembur, prosedur operator sistem, operasi fasilitas dokumentasi dan penyimpanan, kontrol input/output, serta konversi data.
Semua posisi pekerjaan, terutama bagi para pustakawan, operator sistem, kelompok kontrol dan operator entri data, harus dideskripsikan secara memadai agar tidak ada pertanyaan tentang siapa yang bertanggung jawab atas apa. Sebaliknya, mengidentifikasi siapa yang seharusnya tidak melakukan berbagai kewajiban tertentu adalah hal yang penting dalam deskripsi pekerjaan yang berkaitan dengan Sistem Informasi. Batasan-batasan ini, bersama dengan otorisasi khusus, membentuk dasar bagi keamanan logis termasuk sistem kontrol yang terkait dengan password.
Para auditor internal harus mengamati operasi untuk menetapkan apakah pemisahan tugas yang dimaksudkan berhasil. Sering kali, kontrol organisasi tidak didokumentasikan. Oleh karena itu, para auditor internal ingin mengetahui apakah departemen secara fisik terpisah, apakah media yang dapat dibaca oleh mesin berisi label eksternal dan internal, apakah pustakawan tidak terbuka bagi siapa saja yang menginginkan akses tanpa maksud jelas, apakah para supervisor mempertahankan pengawasan yang wajar, dan apakah hanya orang-orang yang memiliki otorisasi yang berada dalam ruang komputer dan yang menggunakan arsip yang dibutuhkan untuk operasi.
Para auditor internal harus menelaah catatan rotasi kerja dan jadwal cuti. Mereka harus memastikan bahwa semua orang dalam aktivitas Sistem Informasi benar-benar mengambil cuti setiap tahunnya dan secara fisik jauh dari operasi perusahaan.
Telaah atas kelompok kontrol Sistem Informasi didesain untuk menetapkan apakah kelompok tersebut bertanggung jawab atas data yang diterimanya dari ketika melalui konverensi data, pemprosesan data, perbaikan kesalahan, dan entri ulang data, hingga pada saat data secara formal disebarkan sebagai output ke para pengguna.
Sumber : Buku Sawyer's Internal Auditing
Tidak ada komentar:
Posting Komentar