manage the IT function.docx
-
Upload
rii-edo-sal -
Category
Documents
-
view
216 -
download
1
description
Transcript of manage the IT function.docx
MANAGING THE IT FUNCTION
IT NETWORK AND
TELECOMMUNICATION RISK
FAKULTAS EKONOMI
UNIVERSITAS RIAU
2015
MANAGING THE IT FUNCTION
Lima umum daerah di mana manajer TI dapat menetapkan kebijakan dan prosedur
yang ditujukan untuk mengendalikan risiko-risiko utama yang berhubungan dengan
menjalankan fungsi IT: pengorganisasian, pendanaan, staf, mengarahkan, dan
mengendalikan. Dengan membangun pendekatan metodologis terhadap pengelolaan fungsi
TI, manajer dan auditor dapat meningkatkan kemungkinan bahwa fungsi adalah
menambahkan nilai bagi organisasi, dan meminimalkan risiko bisnis dan risiko audit.
PENYELENGGARAAN THE IT FUNGSI
Manajer TI harus secara jelas mendefinisikan peran dan mengartikulasikan nilai
fungsi TI dalam organisasi yang lebih besar atau fungsi TI pasti akan hanyut dari krisis tanpa
visi yang jelas tentang di mana ia menuju atau mengapa.
Dalam rangka, menghadapi pasukan simultan dan saling tergantung, namun
bertentangan, organisasi harus menentukan lokasi yang tepat dan struktur TI berfungsi.
Mencari TI Fungsi
Meskipun ada beberapa masalah pengendalian internal dengan memiliki manajer TI
melapor kepada manajer lain fungsional / garis, kekhawatiran tersebut dapat ditangani dengan
efektif melalui prosedur yang tepat, kontrol diprogram, dan pengawasan rajin. Oleh karena
itu, sementara subsistem lokal perusahaan dapat dioptimalkan, efektivitas sistem
global. Akhirnya, jika laporan manajer TI lain manajer fungsional / line, fungsi TI mungkin
menerima perhatian yang cukup dari manajemen atas dan dimiliki kekuatan relatif lemah
ketika datang untuk memperoleh sumber daya.
Tentu saja, menempatkan fungsi TI setidaknya pada tingkat organisasi yang sama
sebagai manajer fungsional / jalur lain masuk akal bisnis yang baik. Dengan cara ini, TI akan
berfungsi secara politis cukup kuat untuk bersaing dengan fungsi / line manager untuk
sumber daya, dan manajer TI bisa bekerja secara langsung dengan manajemen atas
sehubungan dengan pengaturan strategi, menempatkan prioritas, dan mengalokasikan sumber
daya.
Merancang IT Fungsi
Pendekatan yang khas untuk mengatur fungsi Ini adalah sepanjang jalur spesialisasi,
seperti analisis sistem, pemrograman software, pengolahan informasi, keamanan komputer,
dan sebagainya. Seperti dengan menentukan tepat, lokasi TI berfungsi dalam organisasi,
merancang struktur akhir dari fungsi TI sering ditentukan oleh kekuatan budaya, politik, dan
ekonomi yang melekat pada setiap organisasi. Pertimbangan kontrol yang penting internal
dalam suatu fungsi TI adalah untuk memisahkan pengembangan sistem, operasi komputer,
dan keamanan komputer.
MEMBIAYAI IT FUNGSI
Sangat penting bahwa fungsi TI secara memadai didanai, atau yang lain itu tidak akan
mampu melakukan sehari-hari operasi dan memenuhi tujuan strategis.Kurangnya pendanaan
yang tepat dapat mengakibatkan resiko bisnis yang signifikan bagi organisasi, karena
kebutuhan dan tuntutan pelanggan, vendor, karyawan, dan pemangku kepentingan lainnya
akan terpenuhi.
Pendanaan IT Operasi
Dua dasar pendekatan untuk mendanai operasional TI: memperlakukan IT berfungsi
sebagai biaya atau profit center. Berdasarkan pendekatan pusat biaya, manajer TI menyiapkan
anggaran, bersama dengan manajer fungsional / jalur lain, menyerahkan ke manajemen atas,
dan membenarkan permintaan dana operasional.Biasanya, anggaran yang digambarkan
sepanjang garis sumber daya manusia, material dan perlengkapan, dan overhead. Ingat,
manajer TI bersaing untuk menakut-nakuti sumber daya bersama dengan rekan manajer,
sehingga setiap baris harus baik beralasan dan ekonomis dibenarkan.
Pendekatan lain untuk membiayai fungsi TI adalah memperlakukan fungsi sebagai
profit center. Pendekatan ini memerlukan proses penganggaran yang sama yang baru saja
dijelaskan sehubungan dengan pengeluaran. Selain itu, fungsi TI dapat mengisi pengguna
internal untuk layanan TI, sehingga menciptakan pendanaan intracompany dari TI fungsi
berdasarkan pemakaian. Sebuah aspek positif dari penagihan intracompany untuk layanan TI
adalah bahwa manajer fungsional / line akan berhati-hati tidak menyalahgunakan fungsi TI
dengan menuntut perhatian yang berlebihan selama setahun untuk hal-hal yang relatif
sepele. Sisi negatif dari penagihan intracompany adalah bahwa, tanpa katup pengaman, TI
berfungsi bisa menyalahgunakan hak istimewa penagihan sebesar bertanggung jawab
membangun sebuah kerajaan TI yang tidak dapat dibenarkan dan cukup menetapkan suku
penagihan inordinately tinggi untuk menyerap biaya.
Mendapatkan TI Sumber Daya
Dalam hubungannya dengan menjalankan operasi sehari-hari, fungsi TI harus terlibat
dalam perencanaan jangka panjang, yang dirancang untuk mendukung strategi bisnis
perusahaan. Dalam hal ini, manajer TI harus membenarkan proyek modal / akuisisi
menggunakan pendekatan metodologis. Manajer TI harus menentukan keuntungan bersih dari
proyek-proyek yang direncanakan / akuisisi melalui pendekatan terstruktur.
Tujuan utama dari proyek secara resmi membenarkan modal / akuisisi adalah untuk
memastikan bahwa sumber daya perusahaan sedang bijaksana dialokasikan di seluruh
organisasi. Auditor TI akan membebankan risiko bisnis yang lebih rendah dalam hal ini
kepada perusahaan dengan prosedur yang lebih formal.
STAF THE IT FUNGSI
Mengelola sumber daya manusia dari fungsi TI adalah setiap bit sama pentingnya
dengan mengelola sumber daya teknis dan ekonomi. Risiko bisnis dan audit dapat secara
efektif dikontrol melalui suara prosedur sumber daya manusia di bidang perekrutan,
bermanfaat, dan mengakhiri karyawan.
Mempekerjakan
Mendapatkan dan mempertahankan berkualitas personil TI merupakan faktor penting
dalam keberhasilan akhir dari fungsi TI. Tahap perolehan mencakup merekrut, verifikasi,
pengujian, dan mewawancarai calon karyawan. Auditor TI harus menentukan apakah
perusahaan memiliki prosedur formal dalam hal ini dan apakah prosedur tersebut sepatutnya
diikuti. Selain itu, setiap pekerjaan harus memiliki deskripsi up-to-date substantif tanggung
jawab dan prosedur.
Bermanfaat
Setelah karyawan di papan, penting untuk terus menantang dan memotivasi mereka
dengan cara yang positif. Melakukan hal ini akan membantu membangun rasa self-efficacy
dan self-esteem, serta mengembangkan loyalitas dan komitmen terhadap
perusahaan. Meskipun ada banyak aspek dari karyawan menguntungkan, langkah-langkah
utama diperiksa sini adalah mengevaluasi, kompensasi, promosi, dan belajar.
Mengakhiri
Subyek mengakhiri karyawan baik secara sukarela atau tidak sukarela sarat dengan
potensi ancaman pengendalian internal. Terutama, karyawan yang tidak puas yang bekerja
untuk fungsi TI dapat mendatangkan malapetaka pada sistem informasi perusahaan. Dengan
demikian, ketersediaan, kehandalan, dan integritas informasi, komputer, dan jaringan
beresiko.
Auditor TI harus mencari keberadaan dan kepatuhan dengan kebijakan pemutusan
formal.
MENGARAHKAN THE IT FUNGSI
Penyelenggara Workflow tersebut
Salah satu aspek administrasi alur kerja adalah untuk menentukan tingkat layanan
yang fungsi TI berjanji untuk memberikan kepada pengguna. Dengan demikian, fungsi TI
mampu merencanakan kebutuhan kapasitas untuk memenuhi kebutuhan bisnis dan TI
pengguna dapat merencanakan kegiatan mereka di sekitar tingkat layanan yang diharapkan.
Aspek lain dari administrasi alur kerja adalah untuk menjadwalkan dan melakukan
pekerjaan. Hal ini penting untuk bijaksana mengelola alur kerja sehingga fungsi TI sumber
daya secara efisien dan efektif digunakan pada tingkat yang cukup stabil.
Mengelola Lingkungan Komputasi
Mengelola lingkungan komputasi melibatkan mengambil tanggung jawab untuk
infrastruktur komputasi. Adalah penting bahwa manajer TI benar-benar memahami
bagaimana elemen-elemen infrastruktur bekerja di konser untuk memenuhi misi fungsi TI,
visi, dan strategi. Aspek lain dari mengelola pusat komputasi lingkungan pada pemeliharaan
sarana fisik.
Penanganan Layanan Pihak Ketiga
Banyak manajer TI bekerja dengan pihak ketiga penyedia layanan, seperti penyedia
layanan Internet (ISP), perusahaan komunikasi, perusahaan keamanan, dan call
center. Kecenderungan terakhir adalah menuju lebih banyak menggunakan pihak ketiga
penyedia layanan, karena banyak provider menawarkan ekonomi skala tidak mungkin dalam
satu fungsi TI. Kemungkinan bahwa manajer TI akan bertanggung jawab untuk menangani
peningkatan jumlah pihak ketiga penyedia layanan ke masa mendatang.
Pengelolaan yang baik pihak ketiga penyedia layanan melibatkan beberapa isu
utama. Pertama, manajer TI harus, dalam konser dengan manajemen atas, menetapkan
kebijakan dan prosedur mengenai pembelian, penggunaan, dan penghentian layanan pihak
ketiga. Selanjutnya, harus ada kontrak yang mengikat secara hukum antara perusahaan dan
penyedia layanan mengartikulasikan peran dan tanggung jawab dari masing-masing pihak,
pelayanan yang akan dilakukan, perjanjian tingkat layanan, durasi kontrak, biaya jasa,
penyelesaian sengketa, pengaturan pembubaran, dan sebagainya.
Membantu Pengguna
Salah satu aspek dari penawaran membantu pengguna dengan menciptakan
lingkungan yang sehat pembelajaran dan pertumbuhan melalui pelatihan dan pendidikan
pengguna. Hal ini melibatkan identifikasi kebutuhan pelatihan, merancang kurikulum
pelatihan untuk memenuhi kebutuhan tersebut, dan memberikan program pelatihan. Dalam
tambahan untuk memberikan pelatihan in-house, fungsi TI mungkin juga mengirim pengguna
untuk program pelatihan / pendidikan kejuruan yang ditawarkan oleh teknologi, perguruan
tinggi sekolah dan universitas, dan penyedia luar lainnya.
Cara lain untuk membantu pengguna adalah dengan memberikan saran membantu bila
diperlukan. Manajer TI sering menangani permintaan untuk saran dan bantuan melalui "help
desk" di mana pengguna dapat mengubah ketika mereka memiliki pertanyaan.
PENGENDALIAN ATAS FUNGSI TI
Kategori kontrol utama yang terlibat dalam fungsi TI adalah keamanan, input, proses,
output, database, backup, dan recovery. Ketika memeriksa IT fungsi kontrol, itu sangat
penting bagi auditor IT untuk menilai apakah risiko kontrol dalam kisaran toleransi, jika
tidak, mungkin kontrol yang ada harus diperkuat atau kontrol kompensasi mungkin harus
dikembangkan dalam rangka untuk menurunkan risiko pengendalian ke diterima tingkat.
Keamanan Kontrol
Manajer TI bertanggung jawab untuk memastikan bahwa infrastruktur komputasi
yang aman dari ancaman internal dan eksternal. Sebuah kompromi infrastruktur dapat
mengakibatkan resiko bisnis yang signifikan dan risiko audit. Masalah keamanan di
sepanjang dua jalan: keamanan fisik dan logis.
Keamanan fisik berfokus pada fasilitas menjaga, komputer, peralatan komunikasi, dan
aspek berwujud lainnya dari infrastruktur komputasi yang aman dari bahaya.
Masalah Fisik Kontrol Logical Kontrol
Keamanan
Akses
kontrol
Satpam
Kunci dan kunci
Biometrik perangkat
ID dan password
Otorisasi matriks
Firewall dan enkripsi
Memantau
kontrol
Satpam
Video kamera
Penetrasi alarm
Akses log
Pengawas pengawasan
Penetrasi alarm
Ulasan
kontrol
Formal ulasan
Signage log
Pelanggaran investigasi
Formal ulasan
Kegiatan log
Pelanggaran investigasi
Menembus
Tes
Tidak Sah upaya untuk memasukkan
fasilitas IT
Upaya untuk memecahkan melalui titik-
titik rawan
Sebagai pengunjung resmi, mencoba
untuk meninggalkan personil yang
berwenang dan berkeliaran di sekitar
fasilitas tanpa pengawasan
Tidak sah mencoba untuk masuk ke
server dan jaringan
Upaya untuk mengesampingkan kontrol
akses (hacking)
Sebagai pengguna resmi, mencoba
untuk menggunakan aplikasi yang tidak
sah dan melihat informasi yang tidak
sah
Informasi Kontrol
Proses menangkap, memproses, dan mendistribusikan informasi akuntansi yang
timbul dari peristiwa ekonomi dapat diklasifikasikan menjadi masukan, proses, keluaran dan
aktivitas. Dalam setiap kegiatan, kontrol tertentu diperlukan untuk memastikan integritas dan
akurasi keputusan penting membuat informasi.
Masukan Kontrol
Auditor TI harus melihat apakah perusahaan mengikuti prosedur tertulis mengenai
otorisasi yang tepat, persetujuan, dan masukan dari transaksi akuntansi. Ada fungsi yang
tidak kompatibel, sehingga mereka harus dipisahkan sejauh mungkin dan terkontrol.
Proses Kontrol
Tahap pengolahan melibatkan validasi, penanganan error, dan memperbarui
kegiatan. Kontrol proses kadang-kadang dilakukan setelah transaksi adalah input ke dalam
sistem akuntansi, namun kontrol tersebut sering diintegrasikan ke dalam prosedur masukan.
Basis Data Kontrol
Karena pengolahan database melibatkan pembaruan simultan dari beberapa tabel,
suatu kesalahan seperti listrik atau kerusakan komputer dapat merusak atau menghancurkan
banyak item data di seluruh database.
Output Kontrol
Akses ke output komputer harus dikendalikan sehingga informasi perusahaan milik
diminta dan dilihat hanya oleh pihak yang berwenang dan agar laporan dicetak tetap berada
dalam lokasi perusahaan.
Kontinuitas Kontrol
Sebuah risiko bisnis utama yang berhubungan dengan fungsi TI adalah gangguan
kegiatan usaha karena kegagalan komputer dan bencana. Sejauh mana perusahaan siap untuk
secara efektif menangani keadaan seperti sangat penting untuk kelangsungan hidup ekonomi
dari organisasi. IT auditor dapat menambah nilai yang cukup untuk klien mereka dengan
sepenuhnya membenamkan diri dalam semua aspek risiko kelangsungan bisnis dan kontrol.
Backup Kontrol
Sangat penting bahwa organisasi mengembangkan dan mengikuti strategi cadangan
suara, jika tidak, akan ada apa-apa kiri untuk pulih setelah bencana.Kedalaman dan keluasan
strategi cadangan melibatkan setidaknya dua pertimbangan utama: downtime dan biaya.
Disaster Recovery Kontrol
Perusahaan tidak mampu untuk menunggu bencana terjadi dan kemudian bertanya-
tanya apa yang harus dilakukan, mereka harus proaktif, bukan reaktif. Untuk itu, perusahaan
harus merencanakan bencana dan secara berkala menguji rencana mereka. Fungsi TI manajer
dan IT auditor harus mengadopsi sikap tidak "Apa yang akan kita lakukan jika pemogokan
bencana?" Pikirkan kontingensi perencanaan cara ini "Apa yang akan kita lakukan ketika
terjadi bencana?": Ini masalah waktu, tidak probabilitas.