IT CONTROLS (GENERAL & APPLICATION)

Pendekatan IT harus dilakukan dalam urutan yang diilustrasikan karena setiap langkah
berdampak scoping, dalam beberapa kasus sifat pekerjaan dilakukan dalam langkah-langkah
berikutnya. Untuk menggambarkan, langkah awal memahami "struktur dan organisasi IT"
menetapkan dasar untuk evaluasi kendali entitity-level IT. Selanjutnya, kekuatan dan
kelemahan dari kontrol entitas-tingkat akan berdampak pada sifat, lingkup dan waktu
evaluasi pengendalian proses-level IT untuk masing-masing tiga tingkat dievaluasi.
Evaluasi pengendalian proses-level IT, sejauh ini, di mana sebagian besar waktu dan usaha
akan dikeluarkan untuk proyek pemnuhan. Evaluasi tingkat proses IT yang terdiri dari tiga set
yang berbeda dari proses yang harus diperhatikan.

Proses ini diurutkan dalam urutan di mana mereka harus dievaluasi. Berikut ini adalah
pembahasan singkat dari masing-masing bagian:
1. General IT Process Controls
Tinjauan umum IT controls adalah kepada proses kritis IT dalam setiap entitas atau setiap
lokasi kunci yang mendukung aplikasi kunci-pelaporan terkait keuangan. Perhatikan bahwa
bagian tim pemenuhan proyek 404 mungkin perlu meninjau kontrol IT umum yang sama di
lebih dari satu wilayah dalam keadaan tertentu. Misalnya, jika beberapa proses yang
berdampak pada setiap prioritas bidang pelaporan keuangan tidak tunduk pada kebijakan
serupa, kegiatan proses dan prosedur pengendalian mungkin perlu ulasan secara terpisah.
Proses umum IT akan dievaluasi di hampir setiap instansi contohnya adalah:

Administrasi keamanan
Aplikasi perubahan kontrol
Data backup dan pemulihan
Siklus hidup pengembangan sistem (SDLC)

2. Application and Data-Owner Controls

Proses yang dievaluasi dalam bagian ini adalah yang harus dikuasai dan dimiliki secara
langsung oleh pemilik aplikasi dan data. Proses-proses yang harus dievaluasi untuk hampir
setiap bagian proyek ini contohnya:

Membangun dan memelihara pemisahan tugas yang tidak kompatibel (peran keamanan

dan administrasi).
Menilai dan menerapkan kontrol atas komputasi pengguna akhir (misalnya,

spreadsheet, pengguna dikembangkan database) dan laporan kritis.

Konfirmasi / review akses ke transaksi kritis dan data.
Mengembangkan dan mempertahankan kontrol perubahan pemilik bisnis.

3. Configurable Application Controls

Hal ini penting untuk mengevaluasi, secara terintegrasi, semua IT dan manual kontrol pada
tingkat proses bisnis. Bagian terkait IT dari penilaian ini berfokus pada kontrol dalam aplikasi
kunci, yang biasanya mendukung proses kunci yang berdampak pada elemen pelaporan
keuangan yang signifikan. Dengan demikian, penting untuk mengintegrasikan risiko TI dan
evaluasi kontrol dengan evaluasi proses bisnis sehingga pemahaman holistik lingkungan
pengendalian dicapai. Jika tidak, penilaian kontrol IT menjadi embel-embel belaka, sehingga
tidak memadainya pemahaman atas proses dan risiko yang mendasar. Risiko bisnis mencakup
semua risiko dalam proses, apakah mereka adalah orang-orang berbasis atau sistem berbasis.
Daerah kontrol aplikasi berikut harus dipahami untuk setiap aplikasi keuangan penting dalam
proses bisnis yang penting:

Kontrol proses otomatis (Automated process controls)

Kontrol proses manual (Manual process controls)
Komputasi pengguna akhir kontrol (End-user computing (EUC) controls)
Kontrol pelaporan (Reporting controls)
Kontrol keamanan aplikasi (Application security controls)
Kontrol general IT (General IT controls)

Sumber: http://www.protiviti.com/en-US/Documents/Resource-Guides/Guide-to-SOX-IT
Risks-Controls-Protiviti.pdf