TUJUAN PEMBELAJARAN
Bab ini an risiko, kontrol, dan tes kontrol yang berhubungan dengan IT gover - nance. Ini
terbuka dengan mengutamakan tata kelola dan unsur - unsur tata kelola TI yang memiliki kontrol
internal dan implikasi. Pertama, itu ikhtisar eksposur yang bisa timbul dari tidak pantas penataan
fungsi IT. Berikutnya, bab review ancaman pusat komputer dan kontrol, yang mencakup
melindunginya dari kerusakan dan kehancuran dari bencana alam, kebakaran, suhu, dan
kelembaban. Bab ini kemudian menampilkan elemen kunci dari rencana pemulihan di-saster,
termasuk menyediakan cadangan kedua-situs, resep aplikasi, cara membuat cadangan, dan
rencana. Bagian akhir dari masalah bab pra-sents mengenai tren penggunaan outsourcing
IT. Logika di balik keputusan manajemen untuk melakukan outsourcing dieksplorasi. Bab ini juga
memiliki manfaat yang diharapkan dan risiko yang terkait dengan outsourcing. Bab ini diakhiri
dengan diskusi tentang masalah audit dalam lingkungan peran SAS 70 laporan.
TEKNOLOGI INFORMASI TATA KELOLA
Teknologi informasi (TI) tata kelola adalah bagian yang
relatif baru dari tata kelola perusahaan yang bergantung
pada manajemen dan penilaian sumber daya strategis
TI. Kunci penting dari tata kelola TI adalah untuk
mengurangi risiko dan efisiensi. Sebelum Sarbanes-Oxley
(SOX) Bertindak, praktik umum mengenai investasi IT
adalah untuk menunda semua keputusan untuk
perusahaan profesional TI.tata kelola TI modern,
bagaimanapun, mengikuti filosofi semua pemangku
kepentingan perusahaan, termasuk dewan direksi,
manajemen puncak, dan pengguna departemen (yaitu,
akuntansi dan keuangan) menjadi peserta aktif dalam
keputusan TI utama. Keterlibatan berbasis luas seperti
pengurangan risiko dan peningkatan kemungkinan
keputusan TI akan sesuai dengan kebutuhan pengguna,
kebijakan perusahaan, strategi strategis,
Tata Kelola TI
Database administrasi
perusahaan yang sedang terpusat mempertahankan sumber
daya data mereka yang berada di tengah lokasi yang dimiliki
oleh semua pengguna akhir. Dalam pengaturan data bersama
ini, sebuah kelompok independen yang dipimpin oleh database
administrator (DBA) bertanggung jawab atas keamanan dan
integritas database.
Pengolahan data
Kelompok pengolahan data. Untuk melakukan pengolahan
sehari-hari transaksi. Ini terdiri dari data - data, operasi
komputer, dan data perpustakaan.
Model Terdistribusi
Presiden
VP VP Administrasi Operasi VP
Pemasaran Finance VP
Manajer Manajer
Bendahara Pengontrol Pabrik Pabrik Y
X
Manajer
Layanan
TI
Perusahaan
Fungsi IT
KEUNTUNGAN DDP
Bagian ini mempertimbangkan keunggulan potensial DDP,
termasuk pengurangan biaya, pengendalian biaya yang lebih
baik, peningkatan kepuasan pengguna, dan cadangan.
Pengurangan Biaya. Selama bertahun-tahun,
mencapai skala ekonomi merupakan justifikasi utama untuk
pendekatan pengolahan data terpusat. Ilmu ekonomi
pengolahan data memanfatkan komputer besar, mahal, dan
bertenaga. Berbagai macam kebutuhan bahwa sistem terpusat
diharapkan dapat memuaskan juga menyerukan komputer
yang sangat umum dan menggunakan sistem operasi yang
kompleks. Biaya overhead yang terkait dengan menjalankan
sistem semacam itu, bagaimanapun, dapat mengurangi
keuntungan dari kekuatan pemrosesan mentahnya. Jadi, bagi
banyak pengguna, sistem terpusat yang besar
merepresentasikan jumlah berlebihan yang mahal sehingga
mereka harus melarikan diri.
Mikrokomputer canggih dan murah dan minicomputer
yang dapat melakukan fungsi khusus telah mengubah ekonomi
pengolahan data secara dramatis. Selain itu, biaya unit
penyimpanan data, yang dulunya merupakan pembenaran
untuk mengkonsolidasikan data di lokasi sentral, sudah tidak
menjadi pertimbangan utama. Selain itu, pindah ke DDP telah
mengurangi biaya di dua area lainnya: (1) data dapat diedit dan
dimasukkan oleh pengguna akhir, sehingga menghilangkan
tugas terpusat dari persiapan data; dan (2) kompleksitas
aplikasi dapat dikurangi, yang pada gilirannya mengurangi
biaya pengembangan dan pemeliharaan sistem.
Tanggung Jawab Kontrol Biaya yang Lebih
Baik. Manajer pengguna akhir bertanggung jawab
atas keberhasilan operasi mereka. Tanggung jawab ini
mengharuskan mereka diberi wewenang yang benar dengan
wewenang untuk membuat keputusan tentang sumber daya
yang mempengaruhi keberhasilan mereka secara
keseluruhan Ketika manajer dilarang membuat keputusan
yang diperlukan untuk mencapai tujuan mereka, kinerjanya
dapat terpengaruh secara negatif. Manajemen yang kurang
agresif dan kurang efektif dapat berkembang.
Pendukung DDP berpendapat bahwa manfaat dari
sikap manajemen yang lebih baik lebih besar daripada biaya
tambahan yang dikeluarkan untuk mendistribusikan sumber
daya ini. Mereka berpendapat bahwa jika kemampuan TI
memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya
ini. Argumen ini membantah diskusi sebelumnya yang
mendukung sentralisasi sumber daya organisasi.
Peningkatan Kepuasan Pengguna. Mungkin
manfaat DDP yang paling sering dikutip adalah kepuasan
pengguna yang tidak terbukti. Pendukung DDP mengklaim
bahwa sistem distribusi kepada pengguna akhir memperbaiki
tiga area kebutuhan yang terlalu sering tidak terpuaskan pada
model terpusat: (1) seperti yang dinyatakan sebelumnya,
pengguna ingin mengendalikan sumber daya yang
mempengaruhi keuntungan mereka; (2) pengguna
menginginkan profesional sistem (analis, pemrogram, dan
operator komputer) untuk bersikap responsif terhadap situasi
spesifik mereka; dan (3) pengguna ingin lebih terlibat secara
aktif dalam mengembangkan dan menerapkan sistem mereka
sendiri.
Fleksibilitas Cadangan. Argumen terakhir yang
mendukung DDP adalah kemampuan untuk mendukung
fasilitas komputasi untuk melindungi dari potensi bencana
seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-
satunya cara untuk mendukung sebuah situs komputer utama
melawan bencana tersebut adalah dengan menyediakan
fasilitas komputer kedua. Kemudian di bab ini kami
memeriksa perencanaan rekontruksi bencana untuk
kontinjensi semacam itu. Model terdistribusi menawarkan
fleksibilitas organisasi untuk menyediakan cadangan. Setiap
unit TI yang terpisah secara geografis dapat dirancang dengan
kapasitas berlebih. Jika bencana menghancurkan satu situs,
situs lain dapat menggunakan kelebihan kapasitas mereka
untuk memproses transaksi situs yang hancur. Tentu,
pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka
tidak menerapkan perangkat keras dan perangkat lunak yang
tidak kompatibel.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur
fungsi TI sedemikian rupa sehingga in-dividuals in
incompatible area dipisahkan sesuai dengan tingkat risiko
potensial dan dengan cara yang mendorong lingkungan
kerja. Ini adalah lingkungan di mana hubungan formal,
daripada santai, harus ada antara tugas yang tidak sesuai.
Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi
dengan fungsi TI terpusat:
Tinjaulah dokumentasi yang relevan, termasuk bagan
organisasi saat ini, pernyataan misi, dan uraian tugas
untuk fungsi utama, untuk menentukan apakah individu
atau kelompok melakukan fungsi yang tidak sesuai.
Meninjau dokumentasi sistem dan catatan
pemeliharaan untuk contoh aplikasi. Verifikasi bahwa
pemrogram pemeliharaan yang ditugaskan untuk
proyek tertentu juga bukan programmer desain asli.
Pastikan operator komputer tidak memiliki akses ke
rincian operasional logika internal sistem. Dokumentasi
sistem, seperti diagram alir sistem, diagram alur logika,
dan daftar kode program, seharusnya tidak menjadi
bagian dari kumpulan dokumentasi operasi.
Melalui pengamatan, tentukan bahwa kebijakan
segregasi sedang diikuti dalam praktik. Tinjau log
akses ruang operasi untuk menentukan apakah
pemrogram memasukkan fasilitas tersebut dengan
alasan selain kegagalan sistem.
PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik pusat
komputer sebagai bagian dari audit tahunan mereka. Tujuan
dari bagian ini adalah untuk menyajikan risiko pusat komputer
dan kontrol yang membantu mengurangi risiko dan
menciptakan lingkungan yang aman. Berikut ini adalah area
paparan potensial yang dapat mempengaruhi kualitas
informasi, catatan akuntansi, pemrosesan transaksi, dan
efektivitas pengendalian internal lainnya yang lebih
konvensional.
Lokasi fisik
Konstruksi
Mengakses
AC
Pemadam kebakaran
Kebakaran adalah ancaman paling serius bagi peralatan
komputer perusahaan. Banyak perusahaan yang menderita
kebakaran di pusat komputer gulung tikar karena kehilangan
catatan kritis, seperti piutang usaha. Penerapan sistem
penindasan api yang efektif memerlukan konsultasi dengan
spesialis. Namun, beberapa fitur utama dari sistem seperti ini
adalah sebagai berikut:
1. Alarm otomatis dan manual harus ditempatkan di
lokasi strategis di sekitar stallation. Alarm ini harus
dihubungkan ke stasiun pemadam kebakaran
permanen.
2. Harus ada sistem pemadam kebakaran otomatis yang
mengeluarkan jenis penekan yang sesuai untuk
lokasi. Misalnya, penyemprotan air dan beberapa che-
mical di komputer bisa melakukan kerusakan
sebanyak api.
3. Pemadam api manual harus diletakkan di lokasi yang
strategis.
4. Bangunan itu harus konstruksi yang bagus untuk
menahan kerusakan air yang disebabkan oleh
peralatan penindas api.
5. Pintu keluar api harus ditandai dengan jelas dan
diterangi saat terjadi kebakaran.
Toleransi kesalahan
Beberapa gas pemadam kebakaran, seperti halon, telah dilarang oleh pemerintah federal. Pastikan
gas yang digunakan tidak melanggar hukum federal.
2. Uninterruptible power supplies. Tenaga listrik yang
diberikan secara komersial menghadirkan beberapa masalah
yang dapat mengganggu operasi pusat komputer, termasuk
kegagalan daya total, penurunan, fluktuasi daya, dan variasi
frekuensi. Peralatan yang digunakan untuk mengendalikan
masalah ini meliputi regulator tegangan, pelindung
gelombang, genera-tors, dan baterai cadangan. Jika terjadi
pemadaman listrik, perangkat ini menyediakan daya
cadangan untuk jangka waktu yang wajar agar
memungkinkan restorasi daya listrik komersial. Jika terjadi
pemadaman listrik yang berlebihan, daya cadangan akan
memungkinkan sistem komputer dimatikan dengan cara yang
terkendali dan mencegah kehilangan data dan korupsi yang
seharusnya diakibatkan oleh sistem yang tidak terkendali.
Tujuan Audit
Prosedur Audit
Tujuan: Menyediakan versi terkini dari semua aplikasi penting, file data, dan dokumentasi.
Tujuan: Membangkitkan kembali konversi data dan fungsi kontrol data yang diperlukan
untuk memproses aplikasi kritis.
Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan
bencana manajemen memadai dan layak untuk menghadapi
malapetaka yang dapat menghambat pengorganisasian sumber
daya komputasinya.
Prosedur Audit
Dalam memverifikasi bahwa DRP manajemen adalah solusi
realistis untuk menghadapi malapetaka, tes berikut dapat
dilakukan.
Gagal tampil
Begitu perusahaan klien telah mengalihkan aset TI
spesifiknya, kinerjanya menjadi terkait dengan kinerja
vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda
vendor outsourcing besar Electronic Data Systems Corp.
(EDS). Dalam upaya pemotongan biaya, EDS menghentikan
tujuh ribu karyawan, yang berdampak pada kemampuannya
untuk melayani klien lain. Setelah harga saham terendah 11
tahun, pemegang saham EDS mengajukan gugatan class action
kepada perusahaan tersebut. Jelas, para ven-dors yang
mengalami masalah keuangan dan hukum yang serius juga
mengancam kelangsungan hidup klien mereka.
Eksploitasi Vendor
Pengalihan TI berskala besar melibatkan pemindahan ke
vendor "aset khusus", seperti perancangan, pengembangan,
dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi. Aset khusus, yang
bernilai bagi klien, tidak banyak berpengaruh pada vendor di
luar kontrak langsung dengan klien. Memang, mereka
mungkin tidak berutang jika organisasi klien gulung tikar.
Karena vendor mengasumsikan risiko dengan mengakuisisi
aset dan tidak dapat mencapai skala ekonomi dengan
mempekerjakan mereka lain-di mana, organisasi klien akan
membayar premi untuk mentransfer fungsi tersebut kepada
pihak ketiga. Selanjutnya, setelah perusahaan klien
melepaskan diri dari aset spesifik tersebut, hal itu menjadi
tergantung pada vendor. Vendor dapat memanfaatkan
ketergantungan ini dengan menaikkan tarif layanan ke tingkat
selangit. Sebagai klien 'Kebutuhan TI berkembang dari waktu
ke waktu di luar persyaratan kontrak originalnya, ia berisiko
bahwa layanan baru atau tambahan akan dinegosiasikan
dengan harga premium. Ketergantungan ini dapat mengancam
fleksibilitas jangka panjang klien, kelincahan, dan daya saing
dan mengakibatkan ketergantungan vendor yang lebih besar
lagi.
Mengurangi keamanan
Informasi yang diserahkan ke vendor TI di luar negeri
menimbulkan pertanyaan unik dan serius seputar pengendalian
internal dan perlindungan data pribadi yang sensitif. Ketika
sistem keuangan perusahaan dikembangkan dan dihosting di
luar negeri, dan kode program dikembangkan melalui
antarmuka dengan jaringan perusahaan induk, perusahaan AS
berisiko kehilangan kendali atas informasi mereka. Untuk
tingkat besar, perusahaan AS bergantung pada langkah
keamanan vendor outsour-cing, kebijakan akses data, dan
undang-undang privasi negara tuan rumah. Sebagai contoh,
seorang wanita di Pakistan memperoleh data medis pasien-
sensitif dari University of California Medical Center di San
Francisco. Dia mendapatkan akses ke data dari seorang
penjual transkripsi medis untuk siapa dia bekerja. Wanita itu
mengancam untuk menerbitkan catatan di Internet jika dia
tidak mendapatkan kenaikan gaji.Terorisme di Indonesia Asia
dan Timur Tengah menimbulkan masalah keamanan
tambahan bagi perusahaan yang mengarsir teknologi lepas
pantai. Misalnya, pada tanggal 5 Maret 2005, polisi di Delhi,
India, menangkap sel dari tersangka teroris yang berencana
untuk menyerang perusahaan outsourcing di Bangalore, India.
RINGKASAN
Bab ini menyajikan risiko dan kontrol yang terkait dengan
tata kelola TI. Ini dimulai dengan definisi singkat tentang tata
kelola TI dan mengidentifikasi implikasinya terhadap
pengendalian internal dan pelaporan keuangan. Selanjutnya
disajikan eksposur yang bisa timbul dari penataan fungsi TI
yang tidak tepat dalam organisasi. Bab ini beralih ke ulasan
tentang ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan kerusakan akibat bencana
alam, kebakaran, suhu, dan kelembaban. Bab ini kemudian
mempresentasikan elemen kunci dari rencana pemulihan
bencana. Beberapa faktor perlu dipertimbangkan dalam
rencana tersebut, termasuk menyediakan cadangan lokasi
kedua, mengidentifikasi aplikasi penting, melakukan prosedur
backup dan penyimpanan di luar lokasi, menciptakan tim
pemulihan bencana, dan menguji DRP.Bagian akhir bab ini
membahas masalah seputar pertumbuhan tren menuju IT
outsourcing. Secara khusus, ia meninjau logika yang
mendasari outsourcing dan manfaat yang diharapkannya. IT
outsourcing juga dikaitkan dengan risiko signifikan, yang
dibahas. Bab ini diakhiri dengan diskusi tentang masalah
audit di lingkungan luar negeri.
SYARAT KUNCI
pengolahan data terpusat operasi komputer
kompetensi inti Konversi data aset komoditas IT
perpustakaan data
rencana pemulihan bencana (DRP) pengolahan data terdistribusi (DDP)
cangkang kosong
toleransi kesalahan
REVIEW PERTANYAAN
MASALAH
1. Pengendalian Internal
Dalam meninjau proses, prosedur, dan pengendalian internal salah satu klien audit Anda,
Steeplechase Enter-prises, Anda memperhatikan praktik berikut ini. Stee-plechase baru-
baru ini memasang sistem komputer baru yang mempengaruhi catatan piutang,
penagihan, dan pengiriman. Operator komputer yang diidentifikasi secara khusus telah
ditugaskan secara permanen ke masing-masing fungsi piutang, penagihan, dan
pengiriman. Masing-masing operator komputer diberi tanggung jawab menjalankan
program untuk pemrosesan transaksi, membuat perubahan program, dan mendamaikan
log komputer. Untuk mencegah satu operator memiliki akses eksklusif ke kaset dan
dokumentasi, ketiga operator komuter ini secara acak memutar tugas hak asuh dan
kontrol setiap dua minggu melalui kaset magnetik dan dokumentasi sistem.Kontrol akses
ke ruang komputer terdiri dari kartu magnetik dan kode digital untuk setiap operator.
Akses ke ruang komputer tidak beralasan baik bagi analis sistem atau supervisor op-erasi
komputer.
Dokumentasi untuk sistem EDP terdiri dari: rekam layout, daftar program, log,
dan daftar kesalahan.
Begitu barang dikirim dari salah satu dari tiga gudang Steeplechase, personil
gudang mengirimkan pemberitahuan kapal ke departemen akuntansi. Petugas penagihan
menerima pemberitahuan pengiriman dan mencatat urutan manual pemberitahuan
pengiriman. Setiap pemberitahuan yang hilang diselidiki. Petugas penagihan juga secara
manual memasukkan harga barang, dan menyiapkan total harian (didukung dengan
menambahkan kaset mesin) dari unit yang dikirim dan jumlah penjualan. Pemberitahuan
pengiriman dan penambahan kaset mesin dikirim ke komputer untuk entri data.
Output komputer yang dihasilkan terdiri dari faktur dua salinan dan saran
pengiriman uang dan daftar penjualan harian. Nasihat faktur dan pengiriman uang
ditujukan kepada petugas penagihan, yang mengirimkan satu salinan faktur dan saran
pengiriman uang ke pelanggan dan menyalin salinan lainnya dalam file faktur terbuka,
yang berfungsi sebagai dokumen piutang dagang. Penjualan harian
Daftar berisi jumlah unit yang dikirim dan jumlah penjualan. Operator komputer
menghitung jumlah yang dihasilkan komputer ke kaset mesin tambahan.
Wajib:
Identifikasi kelemahan kontrol yang ada dan buat rekomendasi khusus untuk mengoreksi
masing-masing.
Manajemen baru-baru ini mulai mencari alternatif lain untuk menampung server
sebagai pabrik yang akan ditutup. Manajemen memiliki perhatian utama tentang
kerahasiaan lokasi dan tindakan terkait. Ia ingin menggabungkan metode
perlindungan data fisik yang lebih baru. Auditor perusahaan juga menyatakan
kekhawatiran bahwa beberapa tindakan pada saat ini lo-
2. Pengendalian Internal
Gustave, CPA, selama tinjauan awal atas laporan keuangan Komet, Inc., menemukan
kurangnya pemisahan tugas yang tepat antara fungsi pemrograman dan operasi. Komet
memiliki fasilitas komputasi sendiri. Gustave, CPA, rajin mengintensifkan studi kontrol
dan penilaian in-ternal yang berkaitan dengan fasilitas komputer. Gustave menyimpulkan
dalam laporan akhir bahwa kontrol umum kompensasi yang memadai memberikan
keyakinan memadai bahwa tujuan pengendalian internal terpenuhi. kation tidak memadai
dan alternatif yang lebih baru harus ditemukan.
Wajib:
Mengapa auditor Avatar menekankan kebutuhan untuk memiliki lingkungan fisik yang
lebih baik untuk server? Jika Avatar memiliki kontrol perangkat lunak yang tepat,
apakah itu bukan en- Untuk mengamankan informasi?
2. Sebutkan enam fitur kontrol penting yang berkontribusi secara langsung
terhadap keamanan server komputer
lingkungan Hidup.
Wajib:
Kontrol kompensasi apa yang paling mungkin terjadi?
3. Keamanan Fisik
Avatar Financials, Inc., yang berlokasi di Madison Avenue, New York City, adalah
perusahaan yang memberikan nasihat keuangan kepada individu dan usaha kecil hingga
menengah. Operasi utamanya adalah dalam pengelolaan kekayaan dan nasehat keuangan.
Setiap klien memiliki akun di mana informasi pribadi dasar disimpan di server di kantor
utama di New York City. Perusahaan juga menyimpan informasi tentang jumlah investasi
setiap klien di server terpisah di pusat data di Bethle-hem, Pennsylvania. Informasi ini
mencakup total nilai portofolio, jenis investasi yang dilakukan, struktur yang ada di masing-
masing klien, dan kewajiban pajak terkait.
Dalam beberapa tahun terakhir, bank komersial yang lebih besar mulai menyediakan
layanan semacam itu dan bersaing untuk set pelanggan yang sama. Avatar, yang
membanggakan diri dalam hubungan konsumen pribadi, sekarang berusaha untuk menyiapkan
layanan tambahan untuk mempertahankan pelanggannya saat ini. Ini baru saja mengupgrade
situs Web-nya, yang sebelumnya hanya al-lowed clients untuk memperbarui informasi pribadi
mereka. Sekarang klien dapat mengakses informasi tentang investasi, pendapatan, dan
kewajiban pajak mereka yang tersimpan di data cen-ter di Pennsylvania.
Sebagai hasil dari transaksi sebelumnya, Avatar telah diberi akses gratis untuk
menggunakan ruang komputer pabrik produksi yang lebih tua. Perusahaan merasa yakin
bahwa lokasi ini cukup aman dan akan menjaga data tetap utuh dari penyusup fisik. Server
ditempatkan di ruangan yang digunakan oleh pabrik produksi untuk menampung sistem
warisannya. Ruangan itu memiliki detektor untuk asap dan penyiram asesoris. Ini tertutup,
tanpa jendela, dan memiliki saluran udara yang dikontrol dengan suhu khusus.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi. Mungkin tidak bisa disalin,
dipindai, atau diduplikasi, seluruhnya atau sebagian.
Outsourcing Fungsi TI
nomor telepon rumah individu di departemen pemrosesan data tersedia jika terjadi keadaan
darurat. Hill Crest baru-baru ini meningkatkan asuransi pertanggungjawabannya untuk
kehilangan data dari $ 50.000 menjadi $ 100.000.
Sabtu yang lalu, gedung markas Hill Crest benar-benar hancur oleh api, dan
perusahaan sekarang harus memberi tahu kliennya bahwa semua informasi mereka telah
dihancurkan.
Wajib:
Sebuah. Jelaskan kelemahan keamanan komputer yang ada di Hill Crest Corporation yang
memungkinkan terjadinya kehilangan data bencana.
b. Buat daftar komponen yang seharusnya disertakan dalam rencana pemulihan bencana di
Hill Crest Corpora tion untuk memastikan pemulihan komputer dalam 72 jam.
c. Faktor apa, selain yang termasuk dalam rencana itu sendiri, harus dipertimbangkan
perusahaan saat merumuskan rencana pemulihan bencana?
65
mikrokomputer dalam organisasi, ada tiga produsen perangkat keras yang berbeda. Selain
itu, ada empat sampai lima vendor perangkat lunak yang berbeda untuk spreadsheet,
pengolah kata, dan aplikasi database, bersama dengan beberapa aplikasi jaringan untuk
kelompok mikro komputer.
Mikrokomputer diperoleh di departemen operasi untuk memungkinkan karyawan di
setiap departemen melakukan analisis khusus. Banyak departemen juga menginginkan
kemampuan untuk mendownload data dari mainframe. Oleh karena itu, setiap departemen
operasi telah meminta bimbingan dan bantuan dari departemen proses data-
bernyanyi. Pengolahan data, bagaimanapun, menjawab bahwa kekurangan itu dan harus
mencurahkan seluruh usahanya untuk mengutamakan prioritasnya, sistem komputer
mainframe.
Menanggapi laporan audit internal, direc tor service pengolahan data, Stan Marten,
telah mengeluarkan memorandum berikut.
5. Pemisahan Tugas
Arcadia Plastics mengikuti filosofi mentransfer karyawan dari pekerjaan ke pekerjaan di
dalam perusahaan. Manajemen percaya bahwa rotasi pekerjaan menghalangi karyawan
dari perasaan bahwa mereka mengalami stagnasi dalam pekerjaan mereka dan
mendorong pemahaman perusahaan yang lebih baik. Seorang pegawai layanan
komputer biasanya bekerja selama enam bulan sebagai pustakawan data, satu tahun
sebagai devel operan, enam bulan sebagai administrator database, dan satu tahun dalam
pemeliharaan sistem. Pada saat itu, dia ditugaskan ke posisi permanen.
gunakan hanya paket pengguna yang ditentukan oleh departemen layanan pengolahan
data. Di masa depan, setiap pembelian mikrokomputer, perangkat keras, atau
perangkat lunak baru harus disetujui oleh direktur layanan pemrosesan data.
Beberapa manajer departemen operasi lain telah mengeluhkan nota
Marten. Rupanya, sebelum mengeluarkan memorandum ini, Marten tidak
berkonsultasi dengan pengguna komputer mikro apa pun mengenai kebutuhan
perangkat lunak mereka saat ini dan masa depan.
Wajib:
Sebuah. Saat mengakuisisi mikrokomputer untuk berbagai organisasi departmen
mentsinan, jelaskan mengenai faktor-faktor yang berkaitan dengan: i. Perangkat keras
komputer itu perlu diperhatikan
selama desain awal dan tahap penyiapan lingkungan mikro komputer.
ii. Prosedur operasi dan sistem kontrol yang perlu diperhatikan.
b. Diskusikan manfaat dari perangkat keras dan perangkat lunak standar untuk
mikrokomputer dalam sebuah organisasi.
c. Diskusikan kekhawatiran bahwa memorandum tersebut kemungkinan akan dibuat bagi
pengguna mikro di Hastone Manufacturing.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi. Mungkin tidak bisa disalin,
dipindai, atau diduplikasi, seluruhnya atau sebagian.
Wajib:
Sebuah. Buat garis besar rencana tindakan untuk Perusahaan Percetakan Dagwood untuk
memastikan bahwa kontrol yang tepat atas perangkat keras, perangkat lunak, data, orang,
prosedur, dan dokumentasi tersedia.
b. Diskusikan eksposur apa pun yang mungkin dihadapi perusahaan jika rencana yang
direncanakan tidak diterapkan.
11. Tanggung Jawab Pengendalian Internal untuk Outsourcing TI
Jelaskan mengapa manajer yang melakukan outsourcing fungsi TI mereka mungkin atau
mungkin juga tidak mengalihkan tanggung jawab untuk pengendalian TI. Pilihan apa yang
terbuka bagi auditor terkait dengan penekanan mantan opini mengenai kecukupan
pengendalian internal?
12. Sekolah Bersaing Pemikiran Mengenai Outsourcing
Jelaskan argumen kompetensi inti untuk outsourcing dan bandingkan / bandingkan dengan
teori TCE. Mengapa satu teori cenderung menangisi yang lain dalam membuat keputusan
outsourcing?
13. Pengendalian Internal dan Komputasi Pengguna Akhir Bank Umum Nasional memiliki lima
belas cabang dan memelihara sistem komputer mainframe di kantor pusatnya. Nasional baru-
baru ini menjalani pemeriksaan oleh pemeriksa perbankan negara bagian, dan pemeriksa
memiliki beberapa kekhawatiran tentang operasi komputer National.
Selama beberapa tahun terakhir, setiap cabang telah mengejar sejumlah mikrokomputer
untuk berkomunikasi dengan mainframe dalam mode emulasi. Emulasi terjadi ketika
komputer mikro menempel pada komputer mainframe dan, dengan penggunaan perangkat
lunak yang sesuai,
dapat bertindak seolah-olah itu adalah salah satu terminal mainframe. Cabang
juga menggunakan mikrokomputer ini untuk mendownload informasi dari
mainframe dan, dalam mode lokal, memanipulasi data pelanggan untuk
membuat keputusan perbankan di tingkat cabang. Setiap komputer mikro pada
awalnya dilengkapi dengan paket aplikasi pengolah kata untuk merumuskan
korespondensi dengan pelanggan, paket spreadsheet untuk melakukan analisis
kredit dan analisis keuangan di luar paket analisis kredit dasar pada mainframe,
dan paket manajemen basis data untuk merumuskan pasar pelanggan dan
informasi sensitivitas. -tion. Departemen pengolahan data terpusat di negara
bagian hanya bertanggung jawab atas operasi mainframe; Keamanan
mikrokomputer merupakan tanggung jawab masing-masing cabang.
Karena pemeriksa bank percaya bahwa National beresiko, mereka telah
menyarankan bank tersebut untuk meninjau rekomendasi yang disarankan
dalam sebuah surat yang dikeluarkan oleh lembaga registrasi perbankan pada
tahun 2008. Surat ini menekankan risiko yang terkait dengan operasi pengguna
akhir dan mendorong manajemen perbankan untuk membangun kontrol suara
poli-cies. Lebih khusus lagi, operasi pengguna akhir komputer mikro telah
melampaui penerapan kontrol yang memadai dan telah melakukan kontrol
pemrosesan dari lingkungan terpusat, mengenalkan kerentanan di area baru di
bank.
Surat tersebut juga menekankan bahwa tanggung jawab untuk kebijakan
perusahaan yang mengidentifikasi praktik pengendalian manajemen untuk
semua area aktivitas pemrosesan informasi berada pada dewan
direksi. Keberadaan dan kecukupan kepatuhan terhadap kebijakan dan praktik
ini akan menjadi bagian dari tinjauan pemeriksa perbankan biasa. Ketiga
kelompok kontrol yang diperlukan untuk keamanan sistem informasi yang
memadai terkait dengan National adalah (1) kontrol pemrosesan, (2) kontrol
fisik dan lingkungan, dan (3) pengendalian program spreadsheet.
Wajib:
Untuk masing-masing dari tiga kelompok kontrol yang terdaftar
Sebuah. Identifikasi tiga jenis kontrol untuk operasi pengguna akhir komputer
mikro dimana Bank Umum Nasional berisiko.
b. Sarankan prosedur pengendalian khusus yang harus diterapkan Na-tional untuk
setiap jenis kontrol yang Anda identifikasi. Gunakan format berikut untuk
jawaban Anda.