IT CONTROLS (GENERAL & APPLICATION)

Pendekatan IT harus dilakukan dalam urutan yang diilustrasikan karena setiap langkah berdampak scoping, dalam beberapa kasus sifat pekerjaan dilakukan dalam langkah-langkah berikutnya. Untuk menggambarkan, langkah awal memahami "struktur dan organisasi IT" menetapkan dasar untuk evaluasi kendali entitity-level IT. Selanjutnya, kekuatan dan kelemahan dari kontrol entitas-tingkat akan berdampak pada sifat, lingkup dan waktu evaluasi pengendalian proses-level IT untuk masing-masing tiga tingkat dievaluasi.

Evaluasi pengendalian proses-level IT, sejauh ini, di mana sebagian besar waktu dan usaha akan dikeluarkan untuk proyek pemnuhan. Evaluasi tingkat proses IT yang terdiri dari tiga set yang berbeda dari proses yang harus diperhatikan.

Proses ini diurutkan dalam urutan di mana mereka harus dievaluasi. Berikut ini adalah pembahasan singkat dari masing-masing bagian:

1. General IT Process Controls

Tinjauan umum IT controls adalah kepada proses kritis IT dalam setiap entitas atau setiap lokasi kunci yang mendukung aplikasi kunci-pelaporan terkait keuangan. Perhatikan bahwa bagian tim pemenuhan proyek 404 mungkin perlu meninjau kontrol IT umum yang sama di lebih dari satu wilayah dalam keadaan tertentu. Misalnya, jika beberapa proses yang berdampak pada setiap prioritas bidang pelaporan keuangan tidak tunduk pada kebijakan serupa, kegiatan proses dan prosedur pengendalian mungkin perlu ulasan secara terpisah.

Proses umum IT akan dievaluasi di hampir setiap instansi contohnya adalah: Administrasi keamanan Aplikasi perubahan kontrol Data backup dan pemulihan Siklus hidup pengembangan sistem (SDLC)

2. Application and Data-Owner Controls

Proses yang dievaluasi dalam bagian ini adalah yang harus dikuasai dan dimiliki secara langsung oleh pemilik aplikasi dan data. Proses-proses yang harus dievaluasi untuk hampir setiap bagian proyek ini contohnya: Membangun dan memelihara pemisahan tugas yang tidak kompatibel (peran keamanan dan administrasi). Menilai dan menerapkan kontrol atas komputasi pengguna akhir (misalnya, spreadsheet, pengguna dikembangkan database) dan laporan kritis. Konfirmasi / review akses ke transaksi kritis dan data. Mengembangkan dan mempertahankan kontrol perubahan pemilik bisnis.

3. Configurable Application Controls

Hal ini penting untuk mengevaluasi, secara terintegrasi, semua IT dan manual kontrol pada tingkat proses bisnis. Bagian terkait IT dari penilaian ini berfokus pada kontrol dalam aplikasi kunci, yang biasanya mendukung proses kunci yang berdampak pada elemen pelaporan keuangan yang signifikan. Dengan demikian, penting untuk mengintegrasikan risiko TI dan evaluasi kontrol dengan evaluasi proses bisnis sehingga pemahaman holistik lingkungan pengendalian dicapai. Jika tidak, penilaian kontrol IT menjadi embel-embel belaka, sehingga tidak memadainya pemahaman atas proses dan risiko yang mendasar. Risiko bisnis mencakup semua risiko dalam proses, apakah mereka adalah orang-orang berbasis atau sistem berbasis.

Daerah kontrol aplikasi berikut harus dipahami untuk setiap aplikasi keuangan penting dalam proses bisnis yang penting: Kontrol proses otomatis (Automated process controls) Kontrol proses manual (Manual process controls) Komputasi pengguna akhir kontrol (End-user computing (EUC) controls) Kontrol pelaporan (Reporting controls) Kontrol keamanan aplikasi (Application security controls) Kontrol general IT (General IT controls)

Sumber: http://www.protiviti.com/en-US/Documents/Resource-Guides/Guide-to-SOX-IT Risks-Controls-Protiviti.pdf