chapter 2 .auditing it governance controls
TRANSCRIPT
Auditing IT Governance Controls
REFI DELIA
IT Governanceteknologi informasi (IT) governance adalah bagian yang relatif baru dari tata kelola perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis TI. tujuan utama dari tata kelola TI untuk mengurangi risiko dan memastikan bahwa investasi di sumber daya TI menambah nilai korporasi.
IT Governance ControlsKontrol ini berfokus pada:
1. Struktur organisasi dari fungsi IT
2. pusat operasi Komputer perencanaan pemulihan
3. Bencana
Centralized Data Processing
Berdasarkan model pengolahan data terpusat, semua pengolahan data dilakukan oleh satu atau lebih komputer besar bertempat di sebuah situs pusat yang berfungsi pengguna di seluruh organisasi.
Centralized Data Processing Approach
Org Chart of a Centralized IT Function
Systems Development Sistem informasi kebutuhan pengguna terpenuhi oleh dua fungsi terkait: pengembangan sistem dan sistem pemeliharaan.
Pengembangan sistem bertanggung jawab untuk menganalisis kebutuhan pengguna dan untuk merancang sistem baru untuk memenuhi kebutuhan tersebut. Para peserta dalam kegiatan pengembangan sistem termasuk sistem profesional, pengguna akhir, dan stakeholder.
Systems Maintenance Setelah sistem baru telah dirancang dan diimplementasikan, sistem grup pemeliharaan bertanggung jawab untuk menjaga saat ini dengan kebutuhan pengguna. Pemeliharaan merujuk membuat perubahan logika program untuk mengakomodasi pergeseran kebutuhan pengguna dari waktu ke waktu.
Segregation of Incompatible Functions
tugas operasional harus dipisahkan untuk:
1. otorisasi transaksi terpisah dari pemrosesan transaksi.
2. catatan terpisah menjaga dari tahanan aset.
3. Divide tugas pemrosesan transaksi antar individu sehingga singkat kolusi antara dua atau lebih individu penipuan tidak akan mungkin.
The Distributed Data Processing
Sebuah alternatif untuk model terpusat adalah konsep pengolahan data terdistribusi (DDP). Topik DDP cukup luas, menyentuh pada topik terkait seperti akhir-user computing, software komersial, jaringan, dan otomatisasi kantor.
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat ke unit TI kecil yang ditempatkan di bawah kendali pengguna akhir.
Risks Associated with DDP efisien penggunaan Sumber Daya• resiko salah urus sumber daya organisasi-lebar IT oleh pengguna akhir• risiko inefisiensi operasional karena tugas berlebihan yang dilakukan dalam
komite end-user• risiko hardware tidak kompatibel dan perangkat lunak antara fungsi end-user
Penghancuran Trails Audit
Pemisahan memadai Tugas
Kesulitan dalam Mempekerjakan Tenaga Berkualitas
Kurangnya Standar
Physical Location Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kerusakan bencana alam atau buatan manusia. Sedapat mungkin, pusat komputer harus jauh dari bahaya buatan manusia dan alam, seperti pabrik pengolahan, gas dan air listrik, bandara, daerah-kejahatan tinggi, dataran banjir, dan kesalahan geologi. pusat harus berada jauh dari lalu lintas normal, seperti lantai atas bangunan atau di bangunan terpisah, mandiri. Menemukan komputer di gedung basement meningkatkan risiko banjir.
Features of a DRP 1. Identify critical applications
Elemen penting pertama DRP adalah untuk mengidentifikasi aplikasi kritis perusahaan dan terkait file data. upaya pemulihan harus berkonsentrasi pada pemulihan aplikasi yang sangat penting untuk kelangsungan hidup jangka pendek dari organisasi.
2. Create a disaster recovery team
Pulih dari bencana tergantung pada tindakan korektif tepat waktu. Penundaan dalam melaksanakan tugas-tugas penting memperpanjang periode pemulihan dan mengurangi prospek untuk pemulihan sukses. Untuk menghindari kelalaian serius atau duplikasi usaha selama pelaksanaan rencana kontingensi, tanggung jawab tugas harus jelas dan dikomunikasikan kepada personil yang terlibat.
Features of a DRP 3. Provide site backup
Unsur yang diperlukan dalam DRP adalah bahwa ia menyediakan fasilitas pengolahan data duplikat setelah bencana. Di antara pilihan yang tersedia yang paling umum adalah saling membantu pakta; shell kosong atau situs dingin; operasi pemulihan pusat atau situs panas; dan internal yang disediakan cadangan.
4. Specify backup and off-site storage procedures• Operating System Backup• Application Backup• Backup Data Files• Backup Documentation• Backup Supplies and Source Documents• Test the DRP
Audit Objective auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen adalah memadai dan layak untuk menangani bencana yang bisa menghalangi organisasi sumber daya komputasi.
Audit Proceduresauditor dapat melakukan tes berikut:
Backup situs. auditor harus mengevaluasi kecukupan pengaturan situs cadangan. Ketidak cocokan sistem dan sifat manusia baik sangat mengurangi efektivitas pakta saling membantu.
IT SOURCING Biaya, risiko, dan tanggung jawab yang terkait dengan mempertahankan fungsi IT perusahaan yang efektif adalah signifikan. Banyak eksekutif karena telah memilih untuk melakukan outsourcing fungsi TI mereka untuk vendor pihak ketiga yang mengambil alih tanggung jawab untuk pengelolaan aset TI dan staf dan untuk pengiriman layanan TI, seperti entri data, operasi data center, pengembangan aplikasi, pemeliharaan aplikasi, dan manajemen jaringan.
Risk Inherent to IT Sourcing
1. Failure to perform
2. Vendor Exploitation
3. Outsourcing costs exceed benefits
4. Reduced Security
5. Loss of Strategic Advantage
Audit Implications of Sourcing IT Functions
Auditor harus mempertimbangkan PSA 402, Pertimbangan Audit Berkaitan Dengan Badan Menggunakan Organisasi Service, dalam melakukan audit dari klien yang outsourcing fungsi TI