Agnes. Bab 19.

Hal 451-454
c. Performing Application Test of Compliance
Step ini adalah step terakhir dalam application review. Internal audit melakukan tes terhadap
prosedur audit yang ada. Jika hasilnya menunjukkan tidak ada masalah atau kelemahan yang
teridentifikasi, maka internal audit akan memutuskan untuk melanjutkan audit ke area lainnya.
Berikut merupakan tes application control:
- Reperformance of computation: proses capital budgeting dilakukan berdasar banyaknya
perhitungan yang rumit, seperti adanya estimasi present value atas future cash flow dengan
memperhitungkan faktor diskon. Auditor menggunakan lembar kerja lain atau bisa juga
menggunakan alat kalkulator, kemudian auditor memilih satu atau beberapa sample
perhitungan present value yang telah dihitung oleh sistem, dan auditor melakukan
perhitungan ulang. Jika terdapat selisih, maka auditor harus menyelidiki selisih tersebut
berasal dari mana.
- Comparison of transactions: internal audit memilih beberapa rangkaian budget schedule
dan mencari asal muasal (trace) melalui server budget sistem dan memastikan bahwa
informasi telah dikirim dengan benar.
- Proper approval of transaction: sebelum sistem budget schedule dikirim ke sistem pusat,
harus terdapat persetujuan oleh pihak manajemen. Audit internal memilih sample untuk
diperiksa.
Kelemahan atas pengendalian harus dilaporkan kepada pihak manajemen agar bisa mengambil
tindakan koreksi lebih lanjut.
19.6 Auditing Applications Under Development
Banyak auditor internal menyadari bahwa lebih efisien jika melakukan pemeriksaan pada
aplikasi IT untuk menguji internal control dimana saat itu aplikasi sedang dikembangkan dibanding
saat telah ditempatkan/diterapkan dalam produksi/operasi. Internal auditor yang efektif juga harus
memberikan rekomendasi tindakan perbaikan untuk meningkatkan sistem kontrol. Lebih mudah
untuk mengimplementasikan perubahan selama proses implementasi aplikasi dibanding aplikasi
tersebut telah selesai dan telah ditempatkan kebagian produksi. Selain itu auditor internal juga harus
berhati-hati untuk tidak mengambil bagian job/pekerjaan yang didalamnya terdapat tanggung jawab
untuk merancang design kontrol aplikasi baru. Karena tugas audit internal adalah memeriksa apakah
adanya masalah, meninjau dan merekomendasikan namun tidak untuk merancang atau membangun
aplikasi kontrol pada daerah yang sedang direview. Ketika sedang memeriksa aplikasi baru(under
development), auditor internal bertugas untuk menunjukkan kelemahan pengendalian dan hanya
memberi rekomendasi, bukan untuk melaksanakan rekomendasi tersebut atau melakukan design atas
aplikasi.
A. Objective and Obstacle of Preimplementation Auditing
Pada awal tahun 1970an, para Tradisional internal auditor mengargumentasikan bahwa jika
auditor melakukan review pada aplikasi sebelum implementasi, akan sulit untuk kembali lagi
dan meninjau aplikasi setelah implementasi dilakukan. Perdebatannya adalah jika auditor
internal terlibat dalam pembuatan kontrol internal sistem(under development), bagaimana
bisa auditor yang sama kembali lagi dan melakukan tinjauan/pemeriksaan pada hasil aplikasi
buatannya sendiri? Selama beberapa tahun, auditor melakukan preimplementation review dan
bertindak sebagi auditor, tidak sebagai konsultan. Berikut merupakan empat kendala utama
dalam meninjau Application under Development:
a. Them versus Us attitudes

Manajemen IT biasanya merasa khawatir bahkan jengkel ketika audit internal

mengumumkan adanya rencana untuk meninjau/memeriksa aplikasi yang masih under
development karena akan ada banyak detail yang harus dikerjakan.
Prosedur pemeriksaan preimplementation yang baik dapat menimbulkan peran auditor
yang baik dan menambahkan value added pada development proses. Internal auditor
biasanya menghabiskan waktu berjam-jam meninjau aplikasi baru yang kompleks dan
jika hanya memberi rekomendasi bahwa pendokumentasian haeus ditingkatkan,
rekomendasi tersebut tidak akan dipandang sebagai nilai tambah di proses yang sedang
berlangsung.
b. Internal auditor role problem.
Peran auditor harus dipahami dengan jelas oleh semua pihak dan dapat didefinisikan
sebagai berikut:
Extra member of the implementation team.
Kelompok tim yang bertugas untuk mendesain sistem, mengundang para auditor
untuk melakukan pertemuan mengenai design review. Namun, internal auditor akan
lebih berperan sebagai tim pengamat dibanding menjadi kelompok tim desain. Tujuan
auditor adalah untuk mengumpulkan data yang berkaitan key kontrol dan prosedur
untuk pelaporan subsequent audit report.
Specialized consultant.
Kadang auditor internal dapat terlalu berperan sebagai tim desain sistem, dimana ia
dipandang konsultan tim desain yang bekerja untuk membuat beberapa rekomendasi
selama proses implementasi. Auditor internal harus berhati-hati dengan
memperhatikan standar, internal auditor seharusnya secara utama bertindak sebagai
pengamat independen untuk menolong klien, bukan sebagai konsultan khusus yang
merupakan bagian dari tim desain.
Internal control expert.
Audit internal harus selalu memastikan bahwa review pengendalian internal terlibat
dalam pembentukan proyek baru. Namun, auditor seharusnya tidak menjadi desainer
utama mereka kontrol. Jika tidak, auditor mungkin memiliki masalah dalam
mereview completed application dan pengendalian dimasa yang akan datang.
Occupant of the extra chair.
Manajemen sistem meminta auditor untuk meninjau berbagai material dan
menghadiri pertemuan dalam rangka untuk melakukan review desain. Auditor harus
mempersiapkan dirinya dengan baik saat menghadiri pertemuan tersebut. Karena jika
suatu kali ada masalah berkaitan dengan desain, pihak manajemen bisa menyalahkan
auditor karena tidak berperan dan tidak berkontribusi dengan baik.
State-of-the-art awareness needs
Aplikasi sistem baru terdiri atas teknologi baru atau proses bisnis baru. Auditor perlu
untuk memahami perkembangan teknologi tersebut dengan cara membaca
dokumentasi manual.
Many and varied preimplementation candidates
Perusahaan yang besar biasanya memiliki banyak aplikasi baru yang berpotensi
memerlukan preimplementation review. Setiap projek, memilikiwaktu pembuatan
yang berbeda, dan tanggal penyelesaian yang berbeda. Oleh karena itu internal
auditor perlu untuk melakukan penilaian resiko untuk memilih kandidat baru mana
yang akan direview.
B. Preimplementation Review Objectives

Salah satu tujuan utama dari aplikasi preimplementation audit adalah untuk
mengidentifikasikan dan memberi rekomendasi perbaikan kontrol sehingga aplikasi dapat
dipasang selama proses application-development. Untuk proyek berukuran besar, audit
internal mengevaluasi kecukupan kontrol yang digunakan pada aplikasi yang sedang
dikembangkan. Preimplementation adalah fase yang tepat bagi internal auditor untuk
meningkatkan pemahaman atas aplikasi baru, sehingga pemahaman yang dimilikinya
cukup untuk mendesain audit tes dimasa depan. Para internal auditor melakukan review
atas aplikasi baru yang masih under development juga untuk mendapatkan pemahaman
atas keseluruhan aspek yang ada dalam projek tersebut. Beberapa negara di Amerika
Serikat memiliki Undang-Undang yang mengaharuskan semua aplikasi harus direview
oleh departemen internal audit untuk dikontrol sebelum diimplementasi secara penuh.
C. Preimplementation Review Problems
Review atas preimplementation biasanya sudah diulas dengan matang sehingga
auditor bisa menemukan permasalahan yang serius dalam penerapan, termasuk tantangan
yang dihadapi. Karena banyaknya kandidat baru dalam penerapan aplikasi baru, maka
kadang auditor melakukan kesalahan. Auditor internal tidak akan memiliki waktu secara
komprehensif untuk melakukan review preimplementation karena terbatasnya waktu.
Oleh karena itu, untuk mengatasi masalah ini, auditor harus mempertimbangan hal
berikut:
Selecting the right applications to review.
Auditor internal memilih aplikasi yang tepat utnuk diperiksa. Auditor
dihadapkan pada masalah dimana harus menentukan aplikasi mana yang dipilih
karena memiliki dampak signifikan. Dalam hal ini auditor internal harus menentukan
berdasarkan basis resiko. Misalnya aplikasi yang ditinjau adalah A,B,C. Karena
keterbatasan sumber daya, audit internal memutuskan untuk memilih B. Namun
ternyata setelah pasca-implementasi, terdapat masalah signifikan yang muncul pada
aplikasi C. Kemudian auditor internal harus bisa mengungkapkan alasannya yaitu
dengan pendekatan consistent selection sehingga membenarkan keputusan untuk
meninjau keputusan B.
Determining the proper auditors role.
Ketika aplikasi yang akan di-review telah dipilih, maka auditor internal sering
terlibat dalam pengembangan sistem dan dalam proses implementasi. Jika auditor
internal terlalu sering terlibat dalam pertemuan yang membahas tentang design
review, maka dapat menimbulkan masalah. Hal ini dikarenakan saat melakukan
review, auditor akan sulit memberikan komentar atau rekomendasi, karena ia telah
terlibat dalam pertemuan tersebut. Namun sebaliknya jika auditor internal tidak
tergabung dalam design meeting, auditor internal akan sulit untuk melakukan review
karena dibutuhkan banyak waktu untuk melakukan review. Oleh karena itu, dalam
menentukan peran auditor internal dalam hal mereview aplikasi baru yang masih
under development, perlu pertimbangan yang matang.
Review objective can be difficult to define.
Ketika auditor memberi informasi pada departemen IT, dimana aplikasi
tertentu telah dipilih untuk dilakukan review pre-implementation, telah diminta
dokumen-dokumen terkait yang akan diperiksa, maka auditor akan menerima ratusan
halaman dan dokumen tentang desain secara umum. dsb. Audit internal diminta untuk
meninjau dan mengomentari. Karena terdapat keterbatasan, maka dibutuhkan tujuan
audit dan prosedur pengendalian sehingga dapat membantu auditor untuk memilih
mana-mana hal material yang perlu direview.