Di dalam lingkungan SI yang umum, perubahan program sering kali dilakukan dan lingkupnya luas. Auditor internal harus menentukan apakah perubahan diotorisasi, diuji, dan diimplementasikan dengan benar. Tanpa sistem kontrol perubahan yang memadai, merupakan hal yang tidak mungkin untuk bersandar pada integritas pemrosesan dari aplikasi terpisah.
Contohnya, bayangkan pengaruh dari perubahan program untuk penipuan pada aplikasi utang usaha berikut ini :
- Ketika pembayaran ke vendor dilakukan, nama dan alamat setiap vendor yang berada di dalam arsip vendor diakses selama check run. Organisasi mensyaratkan otorisasi tertulis untuk perubahan apa pun atas nama vendor dan alamatnya. Selain itu, akses online ke sistem utang usaha membutuhkan password tingkat supervisor khusus, yang secara teratur diubah. Terakhir daftar nama dan alamat vendor untuk utang usaha dicetak serta diperbandingkan dengan dokumen sumber terotorisasi secara triwulan.
Kontrol tradisional, paling tidak dalam sistem utang usaha tempat cek yang dicetak dengan komputer tidak secara terpisah ditelaah oleh karyawan yang memiliki informasi tentang hal tersebut, akan mendeteksi penipuan ini hanya setelah terjadinya kejadian tersebut. Oleh karena nilai uangnya tidak diubah, check run akan seimbang. Daftar cek akan menunjukan bahwa cek tersebut telah dikeluarkan ke vendor yang asli (yang sah). Arsip vendor tidak akan menunjukkan perubahan. Pemrogram, dengan cara "menyusun kembali" program pencetakan cek, dapat menghapus semua bukti dari perubahan program untuk penipuan tersebut. Tentu saja, vendor akhirnya akan menyampaikan keluhannya: tetapi diperlukan waktu beberapa bulan untuk menetapkan sumber masalahnya.
Program kontrol perubahan yang baik meliputi elemen-elemen berikut ini :
- Keamanan: Pemrogram dapat saja membuat perubahan atas salinan uji program komputer, tetapi banyak pustakawan yang benar-benar memindahkan program ujinya (beserta perubahan lain yang terkait) kedalam lingkungan produksi
- Jejak audit: Sejarah terperinci atas semua perubahan program dan JCL (Job Control Language), harus dipelihara.
- Jaminan kualitas: Sistem kontrol perubahan memberikan kerangka kerja untuk sistem telaah kualitas SI.
- Ketentuan untuk perubahan darurat: Di luar upaya yang ditunjukan untuk pengujian dan penjaminan kualitas, program kadang kala akan tetap berhenti berjalan (sering kali disebut sebagai "blowing up" atau "bombing") atau memberikan hasil yang salah.
- Kode sumber dan penelusuran perubahan JCL: Di luar jejak audit yang dapat menunjukan program mana yang diubah dan kapan, daftar terperinci dari setiap baris kode sumber yang telah diubah juga seharusnya tersedia.
Sumber : Buku Sawyer's Internal Auditing
Tidak ada komentar:
Posting Komentar