The Top Five Benefits of IT Auditing

Para auditor TI sering diminta untuk mendidik dunia bisnis tentang bagaimana pekerjaan mereka menambah nilai bagi suatu organisasi. Departemen audit internal biasanya memiliki komponen audit komputer yang dikerahkan dengan perspektif yang jelas tentang perannya dalam suatu organisasi. Namun, menurut pengalaman kami sebagai auditor komputer, seluruh komunitas profesional perlu memahami fungsi audit komputer untuk mendapatkan manfaat maksimal. Dalam konteks ini, kami menerbitkan ikhtisar singkat tentang manfaat spesifik dan nilai tambah dari audit IT.

Tepatnya, audit IT dapat mencakup berbagai infrastruktur pemrosesan dan komunikasi komputer, seperti sistem dan jaringan server klien, sistem operasi, sistem keamanan, aplikasi perangkat lunak, Layanan web, infrastruktur telekomunikasi, mengubah prosedur dan jaringan manajemen. perencanaan pemulihan bencana.

Urutan audit standar dimulai dengan identifikasi risiko, kemudian evaluasi desain kontrol dan akhirnya verifikasi efektivitas kontrol. Auditor yang berpengetahuan dapat menambahkan nilai pada setiap fase audit.

Perusahaan biasanya melakukan fungsi audit untuk memastikan kontrol teknologi dan untuk memastikan kepatuhan peraturan dengan persyaratan federal atau spesifik industri. Karena investasi dalam teknologi meningkat, audit TI dapat memastikan bahwa risiko dikendalikan dan kerugian besar tidak mungkin terjadi. Suatu organisasi juga dapat menentukan bahwa ada risiko tinggi kegagalan, ancaman keamanan, atau kerentanan. Mungkin juga ada persyaratan kepatuhan peraturan seperti Sarbanes Oxley Act atau persyaratan khusus sektor.

Di bawah ini adalah lima bidang utama di mana auditor TI dapat menambah nilai ke organisasi. Tentu saja, kualitas dan kedalaman audit teknis merupakan prasyarat untuk penciptaan nilai. Ruang lingkup audit yang direncanakan juga penting untuk nilai tambah. Tanpa mandat yang jelas tentang proses bisnis dan risiko yang akan diaudit, sulit untuk menjamin keberhasilan atau nilai tambah.

Berikut adalah lima cara utama kami menambahkan pengeditan komputer:

1. Kurangi risikonya. Perencanaan dan pelaksanaan komponen audit komputer dari identifikasi dan penilaian risiko komputer dalam suatu organisasi.

Audit komputer umumnya mencakup risiko terkait dengan kerahasiaan, integritas, dan ketersediaan infrastruktur dan proses TI. Risiko tambahan termasuk efisiensi, efektivitas, dan keandalan komputer.

Setelah risiko telah dinilai, Anda dapat memiliki visi yang jelas tentang apa yang harus dilakukan: mengurangi atau mengurangi risiko melalui kontrol, mentransfer risiko melalui asuransi, atau hanya melalui asuransi. terima sebagai bagian dari lingkungan operasi.

Konsep utama adalah risiko TI adalah risiko bisnis. Ancaman atau kerentanan dari operasi TI yang penting dapat memiliki efek langsung pada bisnis. Singkatnya, organisasi perlu tahu di mana risiko itu dan kemudian bertindak.

Praktik terbaik dalam risiko TI yang digunakan oleh auditor adalah ISACA COBIT dan standar RiskIT dan kode praktik ISO / IEC 27002 untuk manajemen keamanan informasi.

2. Memperkuat kontrol (dan meningkatkan keamanan). Setelah menilai risiko yang dijelaskan di atas, kontrol kemudian dapat diidentifikasi dan dievaluasi. Kontrol yang dirancang buruk atau tidak efisien dapat dirancang ulang dan / atau diperkuat.

Kerangka kontrol komputer COBIT sangat berguna di sini. Ini terdiri dari empat domain tingkat tinggi yang meliputi 32 proses kontrol yang berguna untuk mengurangi risiko. Kerangka kerja COBIT mencakup semua aspek keamanan informasi, termasuk tujuan pengendalian, indikator kinerja utama, indikator kinerja utama dan faktor-faktor penentu keberhasilan.

Auditor dapat menggunakan COBIT untuk mengevaluasi kontrol dalam organisasi dan membuat rekomendasi yang menambahkan nilai nyata ke lingkungan TI dan organisasi secara keseluruhan.

Kerangka kontrol lainnya adalah model kontrol internal COSO (Sponsoring Organizations Committee). Auditor TI dapat menggunakan kerangka kerja ini untuk mendapatkan jaminan tentang (1) efisiensi dan efektivitas operasi, (2) relativitas informasi keuangan, dan (3) kepatuhan terhadap hukum dan peraturan yang berlaku. Kerangka kerja ini berisi dua dari lima elemen yang terkait langsung dengan kontrol – lingkungan kontrol dan aktivitas kontrol.

3. Patuhi peraturan. Berbagai peraturan federal dan negara bagian mencakup persyaratan khusus untuk keamanan informasi. Auditor komputer melakukan fungsi penting dalam memastikan bahwa persyaratan spesifik terpenuhi, bahwa risiko dinilai dan bahwa kontrol dilakukan.

The Sarbanes Oxley Act (Undang-undang Pertanggungjawaban Korporasi dan Kriminal Pidana) mengharuskan semua perusahaan publik untuk memastikan bahwa pengendalian internal memadai, sesuai dengan kerangka kerja yang ditetapkan oleh Komite Organisasi Internasional. sponsor dari Komisi Treadway (COSO). dibahas di atas. Ini adalah auditor komputer yang memberikan jaminan bahwa persyaratan ini terpenuhi.

Undang-Undang tentang Transferabilitas dan Akuntabilitas untuk Asuransi Kesehatan (HIPAA) memiliki tiga bidang persyaratan komputer: administratif, teknis dan fisik. Ini adalah auditor komputer yang memainkan peran kunci dalam memastikan kepatuhan dengan persyaratan ini.

Berbagai industri memiliki persyaratan tambahan, seperti standar keamanan data industri kartu pembayaran (PCI) dalam industri kartu kredit, seperti Visa dan Mastercard.

Di semua bidang kepatuhan dan peraturan ini, auditor komputer memainkan peran sentral. Suatu organisasi membutuhkan jaminan bahwa semua persyaratan dipenuhi.

4. Memfasilitasi komunikasi antara perusahaan dan manajemen teknologi. Audit dapat memiliki efek positif dari pembukaan saluran komunikasi antara kegiatan dan manajemen teknologi perusahaan. Para pendengar menginterogasi, mengamati dan menguji apa yang terjadi dalam kenyataan dan dalam praktik. Produk akhir dari audit adalah informasi berharga dalam laporan tertulis dan presentasi lisan. Manajer senior dapat memperoleh umpan balik langsung tentang cara kerja organisasi mereka.

Dalam sebuah organisasi, para profesional teknologi juga harus mengetahui harapan dan tujuan manajemen. Auditor memfasilitasi komunikasi ini dari atas ke bawah dengan berpartisipasi dalam pertemuan dengan manajer teknologi dan meninjau implementasi kebijakan, standar, dan pedoman saat ini.

Penting untuk memahami bahwa audit komputer adalah elemen kunci dari pengawasan manajemen terhadap teknologi. Teknologi organisasi ada untuk mendukung strategi, fungsi, dan operasi perusahaan. Penyelarasan kegiatan dan teknologi yang terkait sangat penting. Audit komputer berisi perataan ini.

5. Tingkatkan tata kelola TI. IT Governance Institute (ITGI) telah menerbitkan definisi berikut:

"Tata kelola TI adalah tanggung jawab para pemimpin dan dewan direksi, serta anggota manajemen, struktur organisasi dan proses yang memastikan bahwa perusahaan & IT mendukung dan memperluas strategi dan tujuan organisasi. & # 39;

Para pemimpin, struktur organisasi dan proses yang disebutkan dalam definisi menunjuk semua auditor IT sebagai pemain kunci Audit mendalam tentang nilai, risiko, dan kontrol lingkungan teknologi perusahaan merupakan inti dari audit TI dan manajemen TI secara keseluruhan, khususnya, auditor TI memeriksa nilai, risiko dan kontrol dari masing-masing komponen kunci dari teknologi: aplikasi, informasi, infrastruktur, dan personil. [19659002] Perspektif lain dari tata kelola TI adalah seperangkat empat tujuan utama, yang juga dijelaskan dalam dokumentasi IT Governance Institute:

* Teknologi informasi selaras dengan bisnis * Teknologi TI memungkinkan bisnis untuk memaksimalkan manfaatnya * Sumber daya TI digunakan secara bertanggung jawab * Risiko TI dikelola secara tepat

Auditor TI memberikan jaminan bahwa setiap tujuan ini tercapai. Setiap tujuan sangat penting untuk sebuah organisasi dan, oleh karena itu, untuk fungsi audit TI.

Singkatnya, audit komputer menambah nilai dengan mengurangi risiko, meningkatkan keamanan, mematuhi peraturan, dan memfasilitasi komunikasi antara teknologi dan manajemen bisnis. Akhirnya, audit TI meningkatkan dan memperkuat tata kelola TI secara keseluruhan.

Referensi:

ISACA. Tujuan Kontrol untuk Informasi dan Teknologi Terkait (COBIT).

ISO / IEC 27002 Kode Praktik yang Baik untuk Pengelolaan Keamanan Informasi.

Kerangka Organisasi Komisi Wali Amanat Kepercayaan (COSO).



Source by Sarah Abelow

Leave a Reply

Your email address will not be published. Required fields are marked *