mengurangi risiko memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan. Sebelum SOX Act, praktek umum mengenai investasi pada
TI adalah menyerahkan semua
keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi dalam perencanaan s.d pengembangan TI. a.IT Governance Controls Based on SOX dan COSO ada 3 isu tata kelola IT: Organizational structure of the IT function Computer center operations Disaster recovery planning B.
Structure of the Information Technology
a. Centralized Data Processing
Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh organisasi. DBA: Central Location, Shared. DBA n teamnya responsible pada keamanan dan integritas database. Pemrosesan Data mengelola SDIT terdiri dari: Konversi Data: HardCopy to SoftCopy (inputable to computer) Operasi Komputer: memproses hasil konversi melalui suatu aplikasi Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran DL Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost
dalam IT
biasanya ada pada maintanance (tidak hanya soal merawat/membersihkan HW namun lebih kepada tambal sulam SI. Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB. Karena jika accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix. b.Segregation of Incompatible IT Functions
Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:
Sys Dev pisahkan dengan Operasional DBA fisahkan dari unit lain Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:
Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat menyusun program yang tidak sempurna biar ada kerjaan terus.
Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.
c. The Distributed Model
Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya. Resikonya mnggunakan model DDP:
tidak efisiennya penggunaan sumber daya, perusakan jejak
audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya standarisasi. Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas dalam backup sistem. d. Controlling the DDP Environment Central Testing of Commercial Software and Hardware diuji dipusat User Services-> ada Chat room, FAQ, Intranet support dll Standard-Setting Body -> untuk improve keseragaman prog and doc Personnel Review-> ada assesment. Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif. Audit Procedures: Centralized Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang melakukan fungsi-fungsi yang tidak kompatibel. Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap programer desain. Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur, logika diagram alur, dan daftar kode program. Review akses programer untuk alasan selain kegagalan sistem Distributed Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas incompatible duties . Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI. Pastikan kontrol kompensasi ->supervisi monitoring Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan standar perusahaan .
Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik, pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik mati akan menggangu yang lain meskipun secara umum keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem down atau kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada database, resiko ini berbeda2 dalam masing2 topologi jaringan. C.The Computer Center a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman. b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus. c. Access : LIMITED d. Air Conditioning : Adequate untuk menjaga database e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan hardware, error program aplikasi, atau kesalahan operator. Redundant arrays of independent disks (RAID)->data UPS->Listrik g. Audit Objectives Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi kerusakan pusat komputernya h. Audit Procedures Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT. Tests of the Fire Detection System. Tests of Access Control. Tests of Raid, BU HD Tests of the Uninterruptible Power Supply. Tests for Insurance Coverage. D.
Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan bencana (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb: a. Identify Critical Applications->Buat daftar aplikasi yang paling penting b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh c. Providing Second- Site Backup buat lokasi data cadangan (duplikasi) mutual aid pact->dua atau lebih, join SD IT pas bencana empty shell or cold site; ->sewa tempat pada penyedia backup
recovery operations center or hot site; ->sewa full equipped backup
internally provided backup->buat sendiri (mirroring di tmpt lain) Audit Objective: The auditor should verify that managements disaster recovery plan is adequate and feasible for dealing with a catastrophe that could deprive the organization of its computing resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik Site Backuplokasi HW IT dll Daftar Aplikasi penting oke Software Backup. Data dan Dokumentasi Backup. Backup Supplies dan Source Documents. Disaster Recovery Team di test E.Outsourcing the IT Function Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi biaya TI. Logika yang mendasari outsourcing TI dari teori kompetensi inti, yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja, sementara outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti fungsi TI (IT dianggap supporting). Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset
TI yang
spesifik. Commodity IT assets are not unique to a particular organization and are thus easily acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis perusahaan. Transaction Cost Economics (TCE) theory is in conflict with the core competency school by suggesting that firms should retain certain specific noncore IT assets inhouse. Jadi disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang penting dan unggulan bagi organisasi jangan. a. Risks Inherent to IT Outsourcing Failure to Perform Vendor Exploitation Outsourcing Costs Exceed Benefit Reduced Security Loss of Strategic Advantage b. Audit Implications of IT Outsourcing Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian Intern yang memadai. SAS 70 merupakan standar yang mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu diaudit oleh auditornya sehingga supaya praktis dan murah.
IT review
dilaksanakan satu kali saja
Dokumen Serupa dengan Auditing It Governance Controls
