MANAGING THE IT FUNCTIONIT NETWORK AND TELECOMMUNICATION RISK

FAKULTAS EKONOMI UNIVERSITAS RIAU2015

MANAGING THE IT FUNCTION

Lima umum daerah di mana manajer TI dapat menetapkan kebijakan dan prosedur yang ditujukan untuk mengendalikan risiko-risiko utama yang berhubungan dengan menjalankan fungsi IT: pengorganisasian, pendanaan, staf, mengarahkan, dan mengendalikan.Dengan membangun pendekatan metodologis terhadap pengelolaan fungsi TI, manajer dan auditor dapat meningkatkan kemungkinan bahwa fungsi adalah menambahkan nilai bagi organisasi, dan meminimalkan risiko bisnis dan risiko audit.

PENYELENGGARAAN THE IT FUNGSIManajer TI harus secara jelas mendefinisikan peran dan mengartikulasikan nilai fungsi TI dalam organisasi yang lebih besar atau fungsi TI pasti akan hanyut dari krisis tanpa visi yang jelas tentang di mana ia menuju atau mengapa.Dalam rangka, menghadapi pasukan simultan dan saling tergantung, namun bertentangan, organisasi harus menentukan lokasi yang tepat dan struktur TI berfungsi.

Mencari TI FungsiMeskipun ada beberapa masalah pengendalian internal dengan memiliki manajer TI melapor kepada manajer lain fungsional / garis, kekhawatiran tersebut dapat ditangani dengan efektif melalui prosedur yang tepat, kontrol diprogram, dan pengawasan rajin.Oleh karena itu, sementara subsistem lokal perusahaan dapat dioptimalkan, efektivitas sistem global.Akhirnya, jika laporan manajer TI lain manajer fungsional / line, fungsi TI mungkin menerima perhatian yang cukup dari manajemen atas dan dimiliki kekuatan relatif lemah ketika datang untuk memperoleh sumber daya.Tentu saja, menempatkan fungsi TI setidaknya pada tingkat organisasi yang sama sebagai manajer fungsional / jalur lain masuk akal bisnis yang baik.Dengan cara ini, TI akan berfungsi secara politis cukup kuat untuk bersaing dengan fungsi / line manager untuk sumber daya, dan manajer TI bisa bekerja secara langsung dengan manajemen atas sehubungan dengan pengaturan strategi, menempatkan prioritas, dan mengalokasikan sumber daya.

Merancang IT FungsiPendekatan yang khas untuk mengatur fungsi Ini adalah sepanjang jalur spesialisasi, seperti analisis sistem, pemrograman software, pengolahan informasi, keamanan komputer, dan sebagainya.Seperti dengan menentukan tepat, lokasi TI berfungsi dalam organisasi, merancang struktur akhir dari fungsi TI sering ditentukan oleh kekuatan budaya, politik, dan ekonomi yang melekat pada setiap organisasi.Pertimbangan kontrol yang penting internal dalam suatu fungsi TI adalah untuk memisahkan pengembangan sistem, operasi komputer, dan keamanan komputer.

MEMBIAYAI IT FUNGSISangat penting bahwa fungsi TI secara memadai didanai, atau yang lain itu tidak akan mampu melakukan sehari-hari operasi dan memenuhi tujuan strategis.Kurangnya pendanaan yang tepat dapat mengakibatkan resiko bisnis yang signifikan bagi organisasi, karena kebutuhan dan tuntutan pelanggan, vendor, karyawan, dan pemangku kepentingan lainnya akan terpenuhi.

Pendanaan IT OperasiDua dasar pendekatan untuk mendanai operasional TI: memperlakukan IT berfungsi sebagai biaya atau profit center.Berdasarkan pendekatan pusat biaya, manajer TI menyiapkan anggaran, bersama dengan manajer fungsional / jalur lain, menyerahkan ke manajemen atas, dan membenarkan permintaan dana operasional.Biasanya, anggaran yang digambarkan sepanjang garis sumber daya manusia, material dan perlengkapan, dan overhead.Ingat, manajer TI bersaing untuk menakut-nakuti sumber daya bersama dengan rekan manajer, sehingga setiap baris harus baik beralasan dan ekonomis dibenarkan.Pendekatan lain untuk membiayai fungsi TI adalah memperlakukan fungsi sebagai profit center.Pendekatan ini memerlukan proses penganggaran yang sama yang baru saja dijelaskan sehubungan dengan pengeluaran.Selain itu, fungsi TI dapat mengisi pengguna internal untuk layanan TI, sehingga menciptakan pendanaan intracompany dari TI fungsi berdasarkan pemakaian.Sebuah aspek positif dari penagihan intracompany untuk layanan TI adalah bahwa manajer fungsional / line akan berhati-hati tidak menyalahgunakan fungsi TI dengan menuntut perhatian yang berlebihan selama setahun untuk hal-hal yang relatif sepele.Sisi negatif dari penagihan intracompany adalah bahwa, tanpa katup pengaman, TI berfungsi bisa menyalahgunakan hak istimewa penagihan sebesar bertanggung jawab membangun sebuah kerajaan TI yang tidak dapat dibenarkan dan cukup menetapkan suku penagihan inordinately tinggi untuk menyerap biaya.

Mendapatkan TI Sumber DayaDalam hubungannya dengan menjalankan operasi sehari-hari, fungsi TI harus terlibat dalam perencanaan jangka panjang, yang dirancang untuk mendukung strategi bisnis perusahaan.Dalam hal ini, manajer TI harus membenarkan proyek modal / akuisisi menggunakan pendekatan metodologis.Manajer TI harus menentukan keuntungan bersih dari proyek-proyek yang direncanakan / akuisisi melalui pendekatan terstruktur.Tujuan utama dari proyek secara resmi membenarkan modal / akuisisi adalah untuk memastikan bahwa sumber daya perusahaan sedang bijaksana dialokasikan di seluruh organisasi.Auditor TI akan membebankan risiko bisnis yang lebih rendah dalam hal ini kepada perusahaan dengan prosedur yang lebih formal.

STAF THE IT FUNGSIMengelola sumber daya manusia dari fungsi TI adalah setiap bit sama pentingnya dengan mengelola sumber daya teknis dan ekonomi.Risiko bisnis dan audit dapat secara efektif dikontrol melalui suara prosedur sumber daya manusia di bidang perekrutan, bermanfaat, dan mengakhiri karyawan.

MempekerjakanMendapatkan dan mempertahankan berkualitas personil TI merupakan faktor penting dalam keberhasilan akhir dari fungsi TI.Tahap perolehan mencakup merekrut, verifikasi, pengujian, dan mewawancarai calon karyawan.Auditor TI harus menentukan apakah perusahaan memiliki prosedur formal dalam hal ini dan apakah prosedur tersebut sepatutnya diikuti.Selain itu, setiap pekerjaan harus memiliki deskripsi up-to-date substantif tanggung jawab dan prosedur.

BermanfaatSetelah karyawan di papan, penting untuk terus menantang dan memotivasi mereka dengan cara yang positif.Melakukan hal ini akan membantu membangun rasa self-efficacy dan self-esteem, serta mengembangkan loyalitas dan komitmen terhadap perusahaan.Meskipun ada banyak aspek dari karyawan menguntungkan, langkah-langkah utama diperiksa sini adalah mengevaluasi, kompensasi, promosi, dan belajar.

MengakhiriSubyek mengakhiri karyawan baik secara sukarela atau tidak sukarela sarat dengan potensi ancaman pengendalian internal.Terutama, karyawan yang tidak puas yang bekerja untuk fungsi TI dapat mendatangkan malapetaka pada sistem informasi perusahaan.Dengan demikian, ketersediaan, kehandalan, dan integritas informasi, komputer, dan jaringan beresiko.Auditor TI harus mencari keberadaan dan kepatuhan dengan kebijakan pemutusan formal.

MENGARAHKAN THE IT FUNGSIPenyelenggara Workflow tersebutSalah satu aspek administrasi alur kerja adalah untuk menentukan tingkat layanan yang fungsi TI untuk memberikan kepada pengguna.Dengan demikian, fungsi TI mampu merencanakan kebutuhan kapasitas untuk memenuhi kebutuhan bisnis dan TI pengguna dapat merencanakan kegiatan mereka di sekitar tingkat layanan yang diharapkan.Aspek lain dari administrasi alur kerja adalah untuk menjadwalkan dan melakukan pekerjaan.Hal ini penting untuk bijaksana mengelola alur kerja sehingga fungsi TI sumber daya secara efisien dan efektif digunakan pada tingkat yang cukup stabil.

Mengelola Lingkungan KomputasiMengelola lingkungan komputasi melibatkan mengambil tanggung jawab untuk infrastruktur komputasi.Adalah penting bahwa manajer TI benar-benar memahami bagaimana elemen-elemen infrastruktur bekerja di konser untuk memenuhi misi fungsi TI, visi, dan strategi.Aspek lain dari mengelola pusat komputasi lingkungan pada pemeliharaan sarana fisik.

Penanganan Layanan Pihak KetigaBanyak manajer TI bekerja dengan pihak ketiga penyedia layanan, seperti penyedia layanan Internet (ISP), perusahaan komunikasi, perusahaan keamanan, dan call center.Kecenderungan terakhir adalah menuju lebih banyak menggunakan pihak ketiga penyedia layanan, karena banyak provider menawarkan ekonomi skala tidak mungkin dalam satu fungsi TI.Kemungkinan bahwa manajer TI akan bertanggung jawab untuk menangani peningkatan jumlah pihak ketiga penyedia layanan ke masa mendatang.Pengelolaan yang baik pihak ketiga penyedia layanan melibatkan beberapa isu utama.Pertama, manajer TI harus, dalam konser dengan manajemen atas, menetapkan kebijakan dan prosedur mengenai pembelian, penggunaan, dan penghentian layanan pihak ketiga.Selanjutnya, harus ada kontrak yang mengikat secara hukum antara perusahaan dan penyedia layanan mengartikulasikan peran dan tanggung jawab dari masing-masing pihak, pelayanan yang akan dilakukan, perjanjian tingkat layanan, durasi kontrak, biaya jasa, penyelesaian sengketa, pengaturan pembubaran, dan sebagainya.

Membantu PenggunaSalah satu aspek dari penawaran membantu pengguna dengan menciptakan lingkungan yang sehat pembelajaran dan pertumbuhan melalui pelatihan dan pendidikan pengguna.Hal ini melibatkan identifikasi kebutuhan pelatihan, merancang kurikulum pelatihan untuk memenuhi kebutuhan tersebut, dan memberikan program pelatihan.Dalam tambahan untuk memberikan pelatihan in-house, fungsi TI mungkin juga mengirim pengguna untuk program pelatihan / pendidikan kejuruan yang ditawarkan oleh teknologi, perguruan tinggi sekolah dan universitas, dan penyedia luar lainnya.Cara lain untuk membantu pengguna adalah dengan memberikan saran membantu bila diperlukan.Manajer TI sering menangani permintaan untuk saran dan bantuan melalui "help desk" di mana pengguna dapat mengubah ketika mereka memiliki pertanyaan.

PENGENDALIAN ATAS FUNGSI TIKategori kontrol utama yang terlibat dalam fungsi TI adalah keamanan, input, proses, output, database, backup, dan recovery.Ketika memeriksa IT fungsi kontrol, itu sangat penting bagi auditor IT untuk menilai apakah risiko kontrol dalam kisaran toleransi, jika tidak, mungkin kontrol yang ada harus diperkuat atau kontrol kompensasi mungkin harus dikembangkan dalam rangka untuk menurunkan risiko pengendalian ke diterima tingkat.

Keamanan KontrolManajer TI bertanggung jawab untuk memastikan bahwa infrastruktur komputasi yang aman dari ancaman internal dan eksternal.Sebuah kompromi infrastruktur dapat mengakibatkan resiko bisnis yang signifikan dan risiko audit.Masalah keamanan di sepanjang dua jalan: keamanan fisik dan logis.Keamanan fisik berfokus pada fasilitas menjaga, komputer, peralatan komunikasi, dan aspek berwujud lainnya dari infrastruktur komputasi yang aman dari bahaya.Masalah KeamananFisik KontrolLogical Kontrol

Akses kontrolSatpamKunci dan kunciBiometrik perangkatID dan passwordOtorisasi matriksFirewall dan enkripsi

Memantau kontrolSatpamVideo kameraPenetrasi alarmAkses logPengawas pengawasanPenetrasi alarm

Ulasan kontrolFormal ulasanSignage logPelanggaran investigasiFormal ulasanKegiatan logPelanggaran investigasi

Menembus TesTidak Sah upaya untuk memasukkan fasilitas ITUpaya untuk memecahkan melalui titik-titik rawanSebagai pengunjung resmi, mencoba untuk meninggalkan personil yang berwenang dan berkeliaran di sekitar fasilitas tanpa pengawasanTidak sah mencoba untuk masuk ke server dan jaringanUpaya untuk mengesampingkan kontrol akses (hacking)Sebagai pengguna resmi, mencoba untuk menggunakan aplikasi yang tidak sah dan melihat informasi yang tidak sah

Informasi KontrolProses menangkap, memproses, dan mendistribusikan informasi akuntansi yang timbul dari peristiwa ekonomi dapat diklasifikasikan menjadi masukan, proses, keluaran dan aktivitas.Dalam setiap kegiatan, kontrol tertentu diperlukan untuk memastikan integritas dan akurasi keputusan penting membuat informasi.

Masukan KontrolAuditor TI harus melihat apakah perusahaan mengikuti prosedur tertulis mengenai otorisasi yang tepat, persetujuan, dan masukan dari transaksi akuntansi.Ada fungsi yang tidak kompatibel, sehingga mereka harus dipisahkan sejauh mungkin dan terkontrol.

Proses KontrolTahap pengolahan melibatkan validasi, penanganan error, dan memperbarui kegiatan.Kontrol proses kadang-kadang dilakukan setelah transaksi adalah input ke dalam sistem akuntansi, namun kontrol tersebut sering diintegrasikan ke dalam prosedur masukan.

Basis Data KontrolKarena pengolahan database melibatkan pembaruan simultan dari beberapa tabel, suatu kesalahan seperti listrik atau kerusakan komputer dapat merusak atau menghancurkan banyak item data di seluruh database.

Output KontrolAkses ke output komputer harus dikendalikan sehingga informasi perusahaan milik diminta dan dilihat hanya oleh pihak yang berwenang dan agar laporan dicetak tetap berada dalam lokasi perusahaan.

Kontinuitas KontrolSebuah risiko bisnis utama yang berhubungan dengan fungsi TI adalah gangguan kegiatan usaha karena kegagalan komputer dan bencana.Sejauh mana perusahaan siap untuk secara efektif menangani keadaan seperti sangat penting untuk kelangsungan hidup ekonomi dari organisasi.IT auditor dapat menambah nilai yang cukup untuk klien mereka dengan sepenuhnya membenamkan diri dalam semua aspek risiko kelangsungan bisnis dan kontrol.

Backup KontrolSangat penting bahwa organisasi mengembangkan dan mengikuti strategi cadangan suara, jika tidak, akan ada apa-apa kiri untuk pulih setelah bencana.Kedalaman dan keluasan strategi cadangan melibatkan setidaknya dua pertimbangan utama: downtime dan biaya.

Disaster Recovery KontrolPerusahaan tidak mampu untuk menunggu bencana terjadi dan kemudian bertanya-tanya apa yang harus dilakukan, mereka harus proaktif, bukan reaktif.Untuk itu, perusahaan harus merencanakan bencana dan secara berkala menguji rencana mereka.Fungsi TI manajer dan IT auditor harus mengadopsi sikap tidak "Apa yang akan kita lakukanjikapemogokan bencana?" Pikirkan kontingensi perencanaan cara ini "Apa yang akan kita lakukanketika terjadibencana?": Ini masalah waktu, tidak probabilitas.