MANAGING THE IT FUNCTION

IT NETWORK AND

TELECOMMUNICATION RISK

FAKULTAS EKONOMI

UNIVERSITAS RIAU

2015

MANAGING THE IT FUNCTION

Lima umum daerah di mana manajer TI dapat menetapkan kebijakan dan prosedur

yang ditujukan untuk mengendalikan risiko-risiko utama yang berhubungan dengan

menjalankan fungsi IT: pengorganisasian, pendanaan, staf, mengarahkan, dan

mengendalikan. Dengan membangun pendekatan metodologis terhadap pengelolaan fungsi

TI, manajer dan auditor dapat meningkatkan kemungkinan bahwa fungsi adalah

menambahkan nilai bagi organisasi, dan meminimalkan risiko bisnis dan risiko audit.

PENYELENGGARAAN THE IT FUNGSI

Manajer TI harus secara jelas mendefinisikan peran dan mengartikulasikan nilai

fungsi TI dalam organisasi yang lebih besar atau fungsi TI pasti akan hanyut dari krisis tanpa

visi yang jelas tentang di mana ia menuju atau mengapa.

Dalam rangka, menghadapi pasukan simultan dan saling tergantung, namun

bertentangan, organisasi harus menentukan lokasi yang tepat dan struktur TI berfungsi.

Mencari TI Fungsi

Meskipun ada beberapa masalah pengendalian internal dengan memiliki manajer TI

melapor kepada manajer lain fungsional / garis, kekhawatiran tersebut dapat ditangani dengan

efektif melalui prosedur yang tepat, kontrol diprogram, dan pengawasan rajin. Oleh karena

itu, sementara subsistem lokal perusahaan dapat dioptimalkan, efektivitas sistem

global. Akhirnya, jika laporan manajer TI lain manajer fungsional / line, fungsi TI mungkin

menerima perhatian yang cukup dari manajemen atas dan dimiliki kekuatan relatif lemah

ketika datang untuk memperoleh sumber daya.

Tentu saja, menempatkan fungsi TI setidaknya pada tingkat organisasi yang sama

sebagai manajer fungsional / jalur lain masuk akal bisnis yang baik. Dengan cara ini, TI akan

berfungsi secara politis cukup kuat untuk bersaing dengan fungsi / line manager untuk

sumber daya, dan manajer TI bisa bekerja secara langsung dengan manajemen atas

sehubungan dengan pengaturan strategi, menempatkan prioritas, dan mengalokasikan sumber

daya.

Merancang IT Fungsi

Pendekatan yang khas untuk mengatur fungsi Ini adalah sepanjang jalur spesialisasi,

seperti analisis sistem, pemrograman software, pengolahan informasi, keamanan komputer,

dan sebagainya. Seperti dengan menentukan tepat, lokasi TI berfungsi dalam organisasi,

merancang struktur akhir dari fungsi TI sering ditentukan oleh kekuatan budaya, politik, dan

ekonomi yang melekat pada setiap organisasi. Pertimbangan kontrol yang penting internal

dalam suatu fungsi TI adalah untuk memisahkan pengembangan sistem, operasi komputer,

dan keamanan komputer.

MEMBIAYAI IT FUNGSI

Sangat penting bahwa fungsi TI secara memadai didanai, atau yang lain itu tidak akan

mampu melakukan sehari-hari operasi dan memenuhi tujuan strategis.Kurangnya pendanaan

yang tepat dapat mengakibatkan resiko bisnis yang signifikan bagi organisasi, karena

kebutuhan dan tuntutan pelanggan, vendor, karyawan, dan pemangku kepentingan lainnya

akan terpenuhi.

Pendanaan IT Operasi

Dua dasar pendekatan untuk mendanai operasional TI: memperlakukan IT berfungsi

sebagai biaya atau profit center. Berdasarkan pendekatan pusat biaya, manajer TI menyiapkan

anggaran, bersama dengan manajer fungsional / jalur lain, menyerahkan ke manajemen atas,

dan membenarkan permintaan dana operasional.Biasanya, anggaran yang digambarkan

sepanjang garis sumber daya manusia, material dan perlengkapan, dan overhead. Ingat,

manajer TI bersaing untuk menakut-nakuti sumber daya bersama dengan rekan manajer,

sehingga setiap baris harus baik beralasan dan ekonomis dibenarkan.

Pendekatan lain untuk membiayai fungsi TI adalah memperlakukan fungsi sebagai

profit center. Pendekatan ini memerlukan proses penganggaran yang sama yang baru saja

dijelaskan sehubungan dengan pengeluaran. Selain itu, fungsi TI dapat mengisi pengguna

internal untuk layanan TI, sehingga menciptakan pendanaan intracompany dari TI fungsi

berdasarkan pemakaian. Sebuah aspek positif dari penagihan intracompany untuk layanan TI

adalah bahwa manajer fungsional / line akan berhati-hati tidak menyalahgunakan fungsi TI

dengan menuntut perhatian yang berlebihan selama setahun untuk hal-hal yang relatif

sepele. Sisi negatif dari penagihan intracompany adalah bahwa, tanpa katup pengaman, TI

berfungsi bisa menyalahgunakan hak istimewa penagihan sebesar bertanggung jawab

membangun sebuah kerajaan TI yang tidak dapat dibenarkan dan cukup menetapkan suku

penagihan inordinately tinggi untuk menyerap biaya.

Mendapatkan TI Sumber Daya

Dalam hubungannya dengan menjalankan operasi sehari-hari, fungsi TI harus terlibat

dalam perencanaan jangka panjang, yang dirancang untuk mendukung strategi bisnis

perusahaan. Dalam hal ini, manajer TI harus membenarkan proyek modal / akuisisi

menggunakan pendekatan metodologis. Manajer TI harus menentukan keuntungan bersih dari

proyek-proyek yang direncanakan / akuisisi melalui pendekatan terstruktur.

Tujuan utama dari proyek secara resmi membenarkan modal / akuisisi adalah untuk

memastikan bahwa sumber daya perusahaan sedang bijaksana dialokasikan di seluruh

organisasi. Auditor TI akan membebankan risiko bisnis yang lebih rendah dalam hal ini

kepada perusahaan dengan prosedur yang lebih formal.

STAF THE IT FUNGSI

Mengelola sumber daya manusia dari fungsi TI adalah setiap bit sama pentingnya

dengan mengelola sumber daya teknis dan ekonomi. Risiko bisnis dan audit dapat secara

efektif dikontrol melalui suara prosedur sumber daya manusia di bidang perekrutan,

bermanfaat, dan mengakhiri karyawan.

Mempekerjakan

Mendapatkan dan mempertahankan berkualitas personil TI merupakan faktor penting

dalam keberhasilan akhir dari fungsi TI. Tahap perolehan mencakup merekrut, verifikasi,

pengujian, dan mewawancarai calon karyawan. Auditor TI harus menentukan apakah

perusahaan memiliki prosedur formal dalam hal ini dan apakah prosedur tersebut sepatutnya

diikuti. Selain itu, setiap pekerjaan harus memiliki deskripsi up-to-date substantif tanggung

jawab dan prosedur.

Bermanfaat

Setelah karyawan di papan, penting untuk terus menantang dan memotivasi mereka

dengan cara yang positif. Melakukan hal ini akan membantu membangun rasa self-efficacy

dan self-esteem, serta mengembangkan loyalitas dan komitmen terhadap

perusahaan. Meskipun ada banyak aspek dari karyawan menguntungkan, langkah-langkah

utama diperiksa sini adalah mengevaluasi, kompensasi, promosi, dan belajar.

Mengakhiri

Subyek mengakhiri karyawan baik secara sukarela atau tidak sukarela sarat dengan

potensi ancaman pengendalian internal. Terutama, karyawan yang tidak puas yang bekerja

untuk fungsi TI dapat mendatangkan malapetaka pada sistem informasi perusahaan. Dengan

demikian, ketersediaan, kehandalan, dan integritas informasi, komputer, dan jaringan

beresiko.

Auditor TI harus mencari keberadaan dan kepatuhan dengan kebijakan pemutusan

formal.

MENGARAHKAN THE IT FUNGSI

Penyelenggara Workflow tersebut

Salah satu aspek administrasi alur kerja adalah untuk menentukan tingkat layanan

yang fungsi TI berjanji untuk memberikan kepada pengguna. Dengan demikian, fungsi TI

mampu merencanakan kebutuhan kapasitas untuk memenuhi kebutuhan bisnis dan TI

pengguna dapat merencanakan kegiatan mereka di sekitar tingkat layanan yang diharapkan.

Aspek lain dari administrasi alur kerja adalah untuk menjadwalkan dan melakukan

pekerjaan. Hal ini penting untuk bijaksana mengelola alur kerja sehingga fungsi TI sumber

daya secara efisien dan efektif digunakan pada tingkat yang cukup stabil.

Mengelola Lingkungan Komputasi

Mengelola lingkungan komputasi melibatkan mengambil tanggung jawab untuk

infrastruktur komputasi. Adalah penting bahwa manajer TI benar-benar memahami

bagaimana elemen-elemen infrastruktur bekerja di konser untuk memenuhi misi fungsi TI,

visi, dan strategi. Aspek lain dari mengelola pusat komputasi lingkungan pada pemeliharaan

sarana fisik.

Penanganan Layanan Pihak Ketiga

Banyak manajer TI bekerja dengan pihak ketiga penyedia layanan, seperti penyedia

layanan Internet (ISP), perusahaan komunikasi, perusahaan keamanan, dan call

center. Kecenderungan terakhir adalah menuju lebih banyak menggunakan pihak ketiga

penyedia layanan, karena banyak provider menawarkan ekonomi skala tidak mungkin dalam

satu fungsi TI. Kemungkinan bahwa manajer TI akan bertanggung jawab untuk menangani

peningkatan jumlah pihak ketiga penyedia layanan ke masa mendatang.

Pengelolaan yang baik pihak ketiga penyedia layanan melibatkan beberapa isu

utama. Pertama, manajer TI harus, dalam konser dengan manajemen atas, menetapkan

kebijakan dan prosedur mengenai pembelian, penggunaan, dan penghentian layanan pihak

ketiga. Selanjutnya, harus ada kontrak yang mengikat secara hukum antara perusahaan dan

penyedia layanan mengartikulasikan peran dan tanggung jawab dari masing-masing pihak,

pelayanan yang akan dilakukan, perjanjian tingkat layanan, durasi kontrak, biaya jasa,

penyelesaian sengketa, pengaturan pembubaran, dan sebagainya.

Membantu Pengguna

Salah satu aspek dari penawaran membantu pengguna dengan menciptakan

lingkungan yang sehat pembelajaran dan pertumbuhan melalui pelatihan dan pendidikan

pengguna. Hal ini melibatkan identifikasi kebutuhan pelatihan, merancang kurikulum

pelatihan untuk memenuhi kebutuhan tersebut, dan memberikan program pelatihan. Dalam

tambahan untuk memberikan pelatihan in-house, fungsi TI mungkin juga mengirim pengguna

untuk program pelatihan / pendidikan kejuruan yang ditawarkan oleh teknologi, perguruan

tinggi sekolah dan universitas, dan penyedia luar lainnya.

Cara lain untuk membantu pengguna adalah dengan memberikan saran membantu bila

diperlukan. Manajer TI sering menangani permintaan untuk saran dan bantuan melalui "help

desk" di mana pengguna dapat mengubah ketika mereka memiliki pertanyaan.

PENGENDALIAN ATAS FUNGSI TI

Kategori kontrol utama yang terlibat dalam fungsi TI adalah keamanan, input, proses,

output, database, backup, dan recovery. Ketika memeriksa IT fungsi kontrol, itu sangat

penting bagi auditor IT untuk menilai apakah risiko kontrol dalam kisaran toleransi, jika

tidak, mungkin kontrol yang ada harus diperkuat atau kontrol kompensasi mungkin harus

dikembangkan dalam rangka untuk menurunkan risiko pengendalian ke diterima tingkat.

Keamanan Kontrol

Manajer TI bertanggung jawab untuk memastikan bahwa infrastruktur komputasi

yang aman dari ancaman internal dan eksternal. Sebuah kompromi infrastruktur dapat

mengakibatkan resiko bisnis yang signifikan dan risiko audit. Masalah keamanan di

sepanjang dua jalan: keamanan fisik dan logis.

Keamanan fisik berfokus pada fasilitas menjaga, komputer, peralatan komunikasi, dan

aspek berwujud lainnya dari infrastruktur komputasi yang aman dari bahaya.

Masalah Fisik Kontrol Logical Kontrol

Keamanan

Akses

kontrol

Satpam

Kunci dan kunci

Biometrik perangkat

ID dan password

Otorisasi matriks

Firewall dan enkripsi

Memantau

kontrol

Satpam

Video kamera

Penetrasi alarm

Akses log

Pengawas pengawasan

Penetrasi alarm

Ulasan

kontrol

Formal ulasan

Signage log

Pelanggaran investigasi

Formal ulasan

Kegiatan log

Pelanggaran investigasi

Menembus

Tes

Tidak Sah upaya untuk memasukkan

fasilitas IT

Upaya untuk memecahkan melalui titik-

titik rawan

Sebagai pengunjung resmi, mencoba

untuk meninggalkan personil yang

berwenang dan berkeliaran di sekitar

fasilitas tanpa pengawasan

Tidak sah mencoba untuk masuk ke

server dan jaringan

Upaya untuk mengesampingkan kontrol

akses (hacking)

Sebagai pengguna resmi, mencoba

untuk menggunakan aplikasi yang tidak

sah dan melihat informasi yang tidak

sah

Informasi Kontrol

Proses menangkap, memproses, dan mendistribusikan informasi akuntansi yang

timbul dari peristiwa ekonomi dapat diklasifikasikan menjadi masukan, proses, keluaran dan

aktivitas. Dalam setiap kegiatan, kontrol tertentu diperlukan untuk memastikan integritas dan

akurasi keputusan penting membuat informasi.

Masukan Kontrol

Auditor TI harus melihat apakah perusahaan mengikuti prosedur tertulis mengenai

otorisasi yang tepat, persetujuan, dan masukan dari transaksi akuntansi. Ada fungsi yang

tidak kompatibel, sehingga mereka harus dipisahkan sejauh mungkin dan terkontrol.

Proses Kontrol

Tahap pengolahan melibatkan validasi, penanganan error, dan memperbarui

kegiatan. Kontrol proses kadang-kadang dilakukan setelah transaksi adalah input ke dalam

sistem akuntansi, namun kontrol tersebut sering diintegrasikan ke dalam prosedur masukan.

Basis Data Kontrol

Karena pengolahan database melibatkan pembaruan simultan dari beberapa tabel,

suatu kesalahan seperti listrik atau kerusakan komputer dapat merusak atau menghancurkan

banyak item data di seluruh database.

Output Kontrol

Akses ke output komputer harus dikendalikan sehingga informasi perusahaan milik

diminta dan dilihat hanya oleh pihak yang berwenang dan agar laporan dicetak tetap berada

dalam lokasi perusahaan.

Kontinuitas Kontrol

Sebuah risiko bisnis utama yang berhubungan dengan fungsi TI adalah gangguan

kegiatan usaha karena kegagalan komputer dan bencana. Sejauh mana perusahaan siap untuk

secara efektif menangani keadaan seperti sangat penting untuk kelangsungan hidup ekonomi

dari organisasi. IT auditor dapat menambah nilai yang cukup untuk klien mereka dengan

sepenuhnya membenamkan diri dalam semua aspek risiko kelangsungan bisnis dan kontrol.

Backup Kontrol

Sangat penting bahwa organisasi mengembangkan dan mengikuti strategi cadangan

suara, jika tidak, akan ada apa-apa kiri untuk pulih setelah bencana.Kedalaman dan keluasan

strategi cadangan melibatkan setidaknya dua pertimbangan utama: downtime dan biaya.

Disaster Recovery Kontrol

Perusahaan tidak mampu untuk menunggu bencana terjadi dan kemudian bertanya-

tanya apa yang harus dilakukan, mereka harus proaktif, bukan reaktif. Untuk itu, perusahaan

harus merencanakan bencana dan secara berkala menguji rencana mereka. Fungsi TI manajer

dan IT auditor harus mengadopsi sikap tidak "Apa yang akan kita lakukan jika pemogokan

bencana?" Pikirkan kontingensi perencanaan cara ini "Apa yang akan kita lakukan ketika

terjadi bencana?": Ini masalah waktu, tidak probabilitas.