Scribd
Upload
109 views

Manage The It Function

The document discusses key areas for managing an IT function: organizing, funding, staffing, directing, and controlling. It provides details on how to structure the IT department, finance operations and projects, hire and manage staff, administer workflows and computing environments, and implement security and other controls. Effective management in these areas can help the IT function add value while minimizing risks.

Uploaded by

Wahid Hasyim
Copyright
© Attribution Non-Commercial (BY-NC)
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
109 views

Manage The It Function

The document discusses key areas for managing an IT function: organizing, funding, staffing, directing, and controlling. It provides details on how to structure the IT department, finance operations and projects, hire and manage staff, administer workflows and computing environments, and implement security and other controls. Effective management in these areas can help the IT function add value while minimizing risks.

Uploaded by

Wahid Hasyim
Copyright
© Attribution Non-Commercial (BY-NC)
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
You are on page 1/ 13

RMK Pengauditan Teknologi Informasi

MANAGING THE IT FUNCTION

MIRA IRAWATI A311 09 273

FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS HASANUDDIN 2012

MANAGING THE IT FUNCTION


Five general areas in which IT managers can establish sound policies and procedures aimed at controlling key risks associated with running the IT function: organizing, funding, staffing, directing, and controlling. By establishing a methodological approach toward managing the IT function, managers and auditors can increase the likelihood that the function is adding value to the organization, while minimizing business risk and audit risk. ORGANIZING THE IT FUNCTION The IT managers must clearly define the role and articulate the value of the IT function within the greater organization or the IT function will inevitably drift from crisis with no clear vision of where it is headed or why. In order to, deal with simultaneous and interdependent, yet conflicting, forces, the organization must determine the appropriate location and structure of the IT function. Locating the IT Function While there are some internal control concerns with having the IT managers report to another functional/line manager, such concerns could be dealt with effectively via proper procedures, programmed controls, and diligent oversight. Accordingly, while a local subsystem of the company may be optimized, effectiveness of the global system. Finally, if the IT manager reports to another functional/line manager, the IT function might receive inadequate attention from upper management and posses relatively weak power when it comes to acquiring resources. Certainly, locating the IT function at least at the same organizational level as other functional/line managers makes good business sense. In this manner, the IT function would be politically strong enough to compete with other function/line managers for resources, and the IT manager could work directly with upper management with respect to setting strategies, placing priorities, and allocating resources. Designing the IT Function A typical approach to organizing an It function is along lines of specialization, such as systems analysis, software programming, information processing, computer security, and so on. As with determining the precise ;location of the IT function within the organization, designing the ultimate structure of the IT function is often determined by cultural, political, and economic forces inherent in each organization. The important internal control considerations within an IT function are to separate system development, computer operations, and computer security.

FINANCING THE IT FUNCTION It is critically important that the IT function be adequately funded, or else it will be unable to conduct day-to-day operations and fulfill strategic objectives. Lack of proper financing can result in significant business risk for the organization, as the needs and demands of customer, vendors, employees, and other stakeholders will go unfulfilled. Funding IT Operations Two basic approaches to funding IT operations: treating the IT function as a cost or profit center. Under the cost center approach, the IT manager prepares a budget, along with other functional/line managers, submits it to upper management, and justifies the request for operating funds. Typically, the budget is delineated along the lines of human resources, materials and supplies, and overhead. Remember, the IT manager is competing for scare resources along with peer managers, so each line item should be well reasoned and economically justified. Another approach to financing the IT function is to treat the function as a profit center. This approach requires the same budgeting process just described with respect to expenditures. Additionally, the IT function can charge internal users for IT services, thereby creating intracompany funding of the IT function based on usage. A positive aspect of intracompany billing for IT services is that functional/line managers will be careful no to abuse the IT function by demanding inordinate attention during the year to relatively trivial matters. The negative side of intracompany billing is that, without some safety valve, the IT function could abuse its billing privilege by irresponsibly building an IT empire that cannot be reasonably justified and setting inordinately high billing rates to absorb the costs. Acquiring IT Resources In conjunction with running daily operations, the IT function should engage in longterm planning, designed to support the companys business strategy. In this regard, the IT manager should justify capital projects/acquisitions using a methodological approach. The IT manager should determine the net benefit of planned projects/acquisitions via a structured approach. The ultimate goal of formally justifying capital projects/acquisitions is to ensure that company resources are being judiciously allocated across the organization. The IT auditor would ascribe lower business risk in this regard to companies with more formalized procedures.

STAFFING THE IT FUNCTION Managing the human resources of an IT function is every bit as important as managing technical and economic resources. The business and audit risks can be effectively controlled via sound human resource procedures in the areas of hiring, rewarding, and terminating employees. Hiring Acquiring and retaining qualified IT personnel is a critical factor in the ultimate success of the IT function. The acquisition phase includes recruiting, verifying, testing, and interviewing prospective employees. The IT auditor should determine if the company has formal procedures in this regard and whether such procedures are duly followed. Additionally, each job should have an up-to-date substantive description of responsibilities and procedures. Rewarding Once employees are on board, it is important to continually challenge and motivate them in positive ways. Doing so will help to build their sense of self-efficacy and self-esteem, as well as develop loyalty and commitment to the company. While there are many aspects of rewarding employees, the major steps examined herein are evaluating, compensating, promoting, and learning. Terminating The subject of terminating employees either voluntary or involuntary is laden with potential internal control threats. Most notably, a disgruntled employee who works for the IT function can wreak havoc on the companys information systems. Thus, the availability, reliability, and integrity of information, computers, and networks are at risk. The IT auditor should look for the existence of and compliance with a formal termination policy.

DIRECTING THE IT FUNCTION Administering the Workflow One aspect of workflow administration is to define the levels of service that the IT function promises to deliver to users. By doing so, the IT function is able to plan its capacity requirements to meet business needs and IT users are able to plan their activities around expected service levels.

Another aspect of workflow administration is to schedule and perform the work. It is important to judiciously administer workflow so that IT function resources are efficiently and effectively used at a fairly steady rate. Managing the Computing Environment Managing the computing environment involves taking responsibility for the computing infrastructure. It is important that the IT manager completely understand how these infrastructure elements work in concerts to fulfill the IT functions mission, vision, and strategy. Another aspect of managing the computing environment centers on maintaining physical facilities. Handling Third-Party Services Many IT managers work with third-party service providers, such as Internet service provider (ISP), communication companies, security firms, and call centers. The recent trend is toward more use of third-party service provider, as many providers offer economics of scale not possible in a single IT function. It is likely that IT managers will be responsible for handling increased numbers of third-party service providers into the foreseeable future. Proper management of third-party service providers involves several key issues. First, the IT manager should, in concert with upper management, establish policies and procedures regarding the purchase, use, and termination of third-party services. Next, there should be legally binding contracts between the company and service providers articulating the roles and responsibilities of each party, services to be performed, service level agreements, contract duration, service costs, dispute resolution, dissolution arrangements, and so on. Assisting Users One aspect of assisting users deals with creating a healthy environment of learning and growth through user training and education. This involves identifying training needs, designing training curricula to meet those needs, and delivering training programs. In additional to delivering training in-house, the IT function might also send users to training/education programs offered by vocational-technology schools, colleges and universities, and other outside providers. Another way to assist users is by providing helpful advice when needed. IT managers often handle requests for advice and assistance through a help desk where users can tu rn when they have questions.

CONTROLLING THE IT FUNCTION The major control categories involved in the IT function are security, input, processing, output, databases, backup, and recovery. When examining IT function controls, it is vitally important for the IT auditor to assess whether control risk is within a tolerable range, otherwise, existing controls may have to be strengthened or compensating controls may have to be developed in order to lower control risk to an acceptable level. Security Controls The IT manager is responsible for ensuring that the computing infrastructure is secure from internal and external threats. A compromise of the infrastructure can result in significant business risk and audit risk. Security issues along two avenues: physical and logical security. Physical security focuses on keeping facilities, computers, communication equipment, and other tangible aspects of the computing infrastructure safe from harm. Security Issues Access controls Physical Controls Security guards Locks and keys Biometric devices Security guards Video cameras Penetration alarms Formal reviews Signage logs Violation investigations Unauthorized attempts to enter IT facilities Attempts to break in through vulnerable points As authorized visitor, attempts to leave authorized personnel and wander around the facility without oversight Logical Controls ID and passwords Authorization matrix Firewalls and encryption Access logs Supervisory oversight Penetration alarms Formal reviews Activity logs Violation investigations Unauthorized attempts to enter servers and networks Attempts to override access controls (hacking) As authorized user, attempts to use unauthorized applications and view unauthorized information

Monitor controls

Review controls

Penetrating tests

Information Controls The process of capturing, processing, and distributing accounting information arising from economic events can be classified into input, process, and output activities. Within each activity, certain controls are needed to ensure the integrity and accuracy of vital decision making information.

Input Controls The IT auditor should see whether the company follows written procedures regarding the proper authorization, approval, and input of accounting transactions. There are incompatible functions, so they should be segregated to the extent possible and controlled. Process Controls The processing stage involves validating, error handling, and updating activities. Processing controls are sometimes performed after transactions are input into the accounting system, but such controls are often integrated into the input procedure. Database Controls Since database processing involves the simultaneous update of multiple tables, a glitch such as a power failure or computer malfunction can corrupt or destroy many data items throughout the database. Output Controls Access to computer output should be controlled so that proprietary company information is requested and seen only by authorized parties and so that printed reports remain within company premises.

Continuity Controls A major business risk related to the IT function is a disruption of business activity due to computer failures and disasters. The extent to which the company is prepared to effectively deal with such circumstances is paramount to the economic viability of the organization. IT auditor can add considerable value to their clients by fully immersing themselves in all aspects of business continuity risks and controls. Backup Controls It is imperative that organizations develop and follow a sound backup strategy; otherwise, there would be nothing left to recover after a disaster. The depth and breadth of a backup strategy involves at least two key considerations: downtime and cost. Disaster Recovery Controls Companies cannot afford to wait for a disaster to happen and then wonder what to do; they must be proactive, not reactive. Toward this end, companies must plan for disasters and periodically test their plans. IT function managers and IT auditors should adopt the attitude of What are we going to do when disaster strikes? not What are we going to do if disaster strike? Think of contingency planning this way: Its a matter of time, not probability.

Lima umum daerah di mana manajer TI dapat menetapkan kebijakan dan prosedur yang ditujukan untuk mengendalikan risiko-risiko utama yang berhubungan dengan menjalankan fungsi IT: pengorganisasian, pendanaan, staf, mengarahkan, dan mengendalikan. Dengan membangun pendekatan metodologis terhadap pengelolaan fungsi TI, manajer dan auditor dapat meningkatkan kemungkinan bahwa fungsi adalah menambahkan nilai bagi organisasi, dan meminimalkan risiko bisnis dan risiko audit. PENYELENGGARAAN THE IT FUNGSI Manajer TI harus secara jelas mendefinisikan peran dan mengartikulasikan nilai fungsi TI dalam organisasi yang lebih besar atau fungsi TI pasti akan hanyut dari krisis tanpa visi yang jelas tentang di mana ia menuju atau mengapa. Dalam rangka, menghadapi pasukan simultan dan saling tergantung, namun bertentangan,, organisasi harus menentukan lokasi yang tepat dan struktur TI berfungsi. Mencari TI Fungsi Meskipun ada beberapa masalah pengendalian internal dengan memiliki manajer TI melapor kepada manajer lain fungsional / garis, kekhawatiran tersebut dapat ditangani dengan efektif melalui prosedur yang tepat, kontrol diprogram, dan pengawasan rajin. Oleh karena itu, sementara subsistem lokal perusahaan dapat dioptimalkan, efektivitas sistem global. Akhirnya, jika laporan manajer TI lain manajer fungsional / line, fungsi TI mungkin menerima perhatian yang cukup dari manajemen atas dan dimiliki kekuatan relatif lemah ketika datang untuk memperoleh sumber daya. Tentu saja, menempatkan fungsi TI setidaknya pada tingkat organisasi yang sama sebagai manajer fungsional / jalur lain masuk akal bisnis yang baik. Dengan cara ini, TI akan berfungsi secara politis cukup kuat untuk bersaing dengan fungsi / line manager untuk sumber daya, dan manajer TI bisa bekerja secara langsung dengan manajemen atas sehubungan dengan pengaturan strategi, menempatkan prioritas, dan mengalokasikan sumber daya. Merancang IT Fungsi Pendekatan yang khas untuk mengatur fungsi Ini adalah sepanjang jalur spesialisasi, seperti analisis sistem, pemrograman software, pengolahan informasi, keamanan komputer, dan sebagainya. Seperti dengan menentukan tepat, lokasi TI berfungsi dalam organisasi, merancang struktur akhir dari fungsi TI sering ditentukan oleh kekuatan budaya, politik, dan ekonomi yang melekat pada setiap organisasi. Pertimbangan kontrol yang penting internal dalam suatu fungsi TI adalah untuk memisahkan pengembangan sistem, operasi komputer, dan keamanan komputer. MEMBIAYAI IT FUNGSI Sangat penting bahwa fungsi TI secara memadai didanai, atau yang lain itu tidak akan mampu melakukan sehari-hari operasi dan memenuhi tujuan strategis.Kurangnya pendanaan yang tepat dapat mengakibatkan resiko bisnis yang signifikan bagi organisasi, karena

kebutuhan dan tuntutan pelanggan, vendor, karyawan, dan pemangku kepentingan lainnya akan terpenuhi. Pendanaan IT Operasi Dua dasar pendekatan untuk mendanai operasional TI: memperlakukan IT berfungsi sebagai biaya atau profit center. Berdasarkan pendekatan pusat biaya, manajer TI menyiapkan anggaran, bersama dengan manajer fungsional / jalur lain, menyerahkan ke manajemen atas, dan membenarkan permintaan dana operasional.Biasanya, anggaran yang digambarkan sepanjang garis sumber daya manusia, material dan perlengkapan, dan overhead. Ingat, manajer TI bersaing untuk menakut-nakuti sumber daya bersama dengan rekan manajer, sehingga setiap baris harus baik beralasan dan ekonomis dibenarkan. Pendekatan lain untuk membiayai fungsi TI adalah memperlakukan fungsi sebagai profit center. Pendekatan ini memerlukan proses penganggaran yang sama yang baru saja dijelaskan sehubungan dengan pengeluaran. Selain itu, fungsi TI dapat mengisi pengguna internal untuk layanan TI, sehingga menciptakan pendanaan intracompany dari TI fungsi berdasarkan pemakaian. Sebuah aspek positif dari penagihan intracompany untuk layanan TI adalah bahwa manajer fungsional / line akan berhati-hati tidak menyalahgunakan fungsi TI dengan menuntut perhatian yang berlebihan selama setahun untuk hal-hal yang relatif sepele. Sisi negatif dari penagihan intracompany adalah bahwa, tanpa katup pengaman, TI berfungsi bisa menyalahgunakan hak istimewa penagihan sebesar bertanggung jawab membangun sebuah kerajaan TI yang tidak dapat dibenarkan dan cukup menetapkan suku penagihan inordinately tinggi untuk menyerap biaya. Mendapatkan TI Sumber Daya Dalam hubungannya dengan menjalankan operasi sehari-hari, fungsi TI harus terlibat dalam perencanaan jangka panjang, yang dirancang untuk mendukung strategi bisnis perusahaan. Dalam hal ini, manajer TI harus membenarkan proyek modal / akuisisi menggunakan pendekatan metodologis. Manajer TI harus menentukan keuntungan bersih dari proyek-proyek yang direncanakan / akuisisi melalui pendekatan terstruktur. Tujuan utama dari proyek secara resmi membenarkan modal / akuisisi adalah untuk memastikan bahwa sumber daya perusahaan sedang bijaksana dialokasikan di seluruh organisasi. Auditor TI akan membebankan risiko bisnis yang lebih rendah dalam hal ini kepada perusahaan dengan prosedur yang lebih formal. STAF THE IT FUNGSI Mengelola sumber daya manusia dari fungsi TI adalah setiap bit sama pentingnya dengan mengelola sumber daya teknis dan ekonomi. Risiko bisnis dan audit dapat secara efektif dikontrol melalui suara prosedur sumber daya manusia di bidang perekrutan, bermanfaat, dan mengakhiri karyawan. Mempekerjakan

Mendapatkan dan mempertahankan berkualitas personil TI merupakan faktor penting dalam keberhasilan akhir dari fungsi TI. Tahap perolehan mencakup merekrut, verifikasi, pengujian, dan mewawancarai calon karyawan. Auditor TI harus menentukan apakah perusahaan memiliki prosedur formal dalam hal ini dan apakah prosedur tersebut sepatutnya diikuti. Selain itu, setiap pekerjaan harus memiliki deskripsi up-to-date substantif tanggung jawab dan prosedur. Bermanfaat Setelah karyawan di papan, penting untuk terus menantang dan memotivasi mereka dengan cara yang positif. Melakukan hal ini akan membantu membangun rasa self-efficacy dan self-esteem, serta mengembangkan loyalitas dan komitmen terhadap perusahaan. Meskipun ada banyak aspek dari karyawan menguntungkan, langkah-langkah utama diperiksa sini adalah mengevaluasi, kompensasi, promosi, dan belajar. Mengakhiri Subyek mengakhiri karyawan baik secara sukarela atau tidak sukarela sarat dengan potensi ancaman pengendalian internal. Terutama, karyawan yang tidak puas yang bekerja untuk fungsi TI dapat mendatangkan malapetaka pada sistem informasi perusahaan. Dengan demikian, ketersediaan, kehandalan, dan integritas informasi, komputer, dan jaringan beresiko. Auditor TI harus mencari keberadaan dan kepatuhan dengan kebijakan pemutusan formal. MENGARAHKAN THE IT FUNGSI Penyelenggara Workflow tersebut Salah satu aspek administrasi alur kerja adalah untuk menentukan tingkat layanan yang fungsi TI berjanji untuk memberikan kepada pengguna. Dengan demikian, fungsi TI mampu merencanakan kebutuhan kapasitas untuk memenuhi kebutuhan bisnis dan TI pengguna dapat merencanakan kegiatan mereka di sekitar tingkat layanan yang diharapkan. Aspek lain dari administrasi alur kerja adalah untuk menjadwalkan dan melakukan pekerjaan. Hal ini penting untuk bijaksana mengelola alur kerja sehingga fungsi TI sumber daya secara efisien dan efektif digunakan pada tingkat yang cukup stabil. Mengelola Lingkungan Komputasi Mengelola lingkungan komputasi melibatkan mengambil tanggung jawab untuk infrastruktur komputasi. Adalah penting bahwa manajer TI benar-benar memahami bagaimana elemen-elemen infrastruktur bekerja di konser untuk memenuhi misi fungsi TI, visi, dan strategi. Aspek lain dari mengelola pusat komputasi lingkungan pada pemeliharaan sarana fisik. Penanganan Layanan Pihak Ketiga Banyak manajer TI bekerja dengan pihak ketiga penyedia layanan, seperti penyedia layanan Internet (ISP), perusahaan komunikasi, perusahaan keamanan, dan call

center. Kecenderungan terakhir adalah menuju lebih banyak menggunakan pihak ketiga penyedia layanan, karena banyak provider menawarkan ekonomi skala tidak mungkin dalam satu fungsi TI. Kemungkinan bahwa manajer TI akan bertanggung jawab untuk menangani peningkatan jumlah pihak ketiga penyedia layanan ke masa mendatang. Pengelolaan yang baik pihak ketiga penyedia layanan melibatkan beberapa isu utama. Pertama, manajer TI harus, dalam konser dengan manajemen atas, menetapkan kebijakan dan prosedur mengenai pembelian, penggunaan, dan penghentian layanan pihak ketiga. Selanjutnya, harus ada kontrak yang mengikat secara hukum antara perusahaan dan penyedia layanan mengartikulasikan peran dan tanggung jawab dari masing-masing pihak, pelayanan yang akan dilakukan, perjanjian tingkat layanan, durasi kontrak, biaya jasa, penyelesaian sengketa, pengaturan pembubaran, dan sebagainya. Membantu Pengguna Salah satu aspek dari penawaran membantu pengguna dengan menciptakan lingkungan yang sehat pembelajaran dan pertumbuhan melalui pelatihan dan pendidikan pengguna. Hal ini melibatkan identifikasi kebutuhan pelatihan, merancang kurikulum pelatihan untuk memenuhi kebutuhan tersebut, dan memberikan program pelatihan. Dalam tambahan untuk memberikan pelatihan in-house, fungsi TI mungkin juga mengirim pengguna untuk program pelatihan / pendidikan kejuruan yang ditawarkan oleh teknologi, perguruan tinggi sekolah dan universitas, dan penyedia luar lainnya. Cara lain untuk membantu pengguna adalah dengan memberikan saran membantu bila diperlukan. Manajer TI sering menangani permintaan untuk saran dan bantuan melalui "help desk" di mana pengguna dapat mengubah ketika mereka memiliki pertanyaan. PENGENDALIAN ATAS FUNGSI TI Kategori kontrol utama yang terlibat dalam fungsi TI adalah keamanan, input, proses, output, database, backup, dan recovery. Ketika memeriksa IT fungsi kontrol, itu sangat penting bagi auditor IT untuk menilai apakah risiko kontrol dalam kisaran toleransi, jika tidak, mungkin kontrol yang ada harus diperkuat atau kontrol kompensasi mungkin harus dikembangkan dalam rangka untuk menurunkan risiko pengendalian ke diterima tingkat. Keamanan Kontrol Manajer TI bertanggung jawab untuk memastikan bahwa infrastruktur komputasi yang aman dari ancaman internal dan eksternal. Sebuah kompromi infrastruktur dapat mengakibatkan resiko bisnis yang signifikan dan risiko audit. Masalah keamanan di sepanjang dua jalan: keamanan fisik dan logis. Keamanan fisik berfokus pada fasilitas menjaga, komputer, peralatan komunikasi, dan aspek berwujud lainnya dari infrastruktur komputasi yang aman dari bahaya. Masalah Fisik Kontrol Logical Kontrol Keamanan Akses Satpam ID dan password

kontrol

Kunci dan kunci Biometrik perangkat

Otorisasi matriks Firewall dan enkripsi Akses log Pengawas pengawasan Penetrasi alarm Formal ulasan Kegiatan log Pelanggaran investigasi

Memantau kontrol

Satpam Video kamera Penetrasi alarm

Ulasan kontrol

Formal ulasan Signage log Pelanggaran investigasi

Menembus Tes

Tidak Sah upaya untuk memasukkan Tidak sah mencoba untuk masuk ke fasilitas IT server dan jaringan Upaya untuk memecahkan melalui titik- Upaya untuk mengesampingkan kontrol titik rawan akses (hacking) Sebagai pengunjung resmi, mencoba Sebagai pengguna resmi, mencoba untuk meninggalkan personil yang untuk menggunakan aplikasi yang tidak berwenang dan berkeliaran di sekitar sah dan melihat informasi yang tidak fasilitas tanpa pengawasan sah

Informasi Kontrol Proses menangkap, memproses, dan mendistribusikan informasi akuntansi yang timbul dari peristiwa ekonomi dapat diklasifikasikan menjadi masukan, proses, keluaran dan aktivitas. Dalam setiap kegiatan, kontrol tertentu diperlukan untuk memastikan integritas dan akurasi keputusan penting membuat informasi. Masukan Kontrol Auditor TI harus melihat apakah perusahaan mengikuti prosedur tertulis mengenai otorisasi yang tepat, persetujuan, dan masukan dari transaksi akuntansi. Ada fungsi yang tidak kompatibel, sehingga mereka harus dipisahkan sejauh mungkin dan terkontrol. Proses Kontrol Tahap pengolahan melibatkan validasi, penanganan error, dan memperbarui kegiatan. Kontrol proses kadang-kadang dilakukan setelah transaksi adalah input ke dalam sistem akuntansi, namun kontrol tersebut sering diintegrasikan ke dalam prosedur masukan. Basis Data Kontrol Karena pengolahan database melibatkan pembaruan simultan dari beberapa tabel, suatu kesalahan seperti listrik atau kerusakan komputer dapat merusak atau menghancurkan banyak item data di seluruh database. Output Kontrol

Akses ke output komputer harus dikendalikan sehingga informasi perusahaan milik diminta dan dilihat hanya oleh pihak yang berwenang dan agar laporan dicetak tetap berada dalam lokasi perusahaan. Kontinuitas Kontrol Sebuah risiko bisnis utama yang berhubungan dengan fungsi TI adalah gangguan kegiatan usaha karena kegagalan komputer dan bencana. Sejauh mana perusahaan siap untuk secara efektif menangani keadaan seperti sangat penting untuk kelangsungan hidup ekonomi dari organisasi. IT auditor dapat menambah nilai yang cukup untuk klien mereka dengan sepenuhnya membenamkan diri dalam semua aspek risiko kelangsungan bisnis dan kontrol. Backup Kontrol Sangat penting bahwa organisasi mengembangkan dan mengikuti strategi cadangan suara, jika tidak, akan ada apa-apa kiri untuk pulih setelah bencana.Kedalaman dan keluasan strategi cadangan melibatkan setidaknya dua pertimbangan utama: downtime dan biaya. Disaster Recovery Kontrol Perusahaan tidak mampu untuk menunggu bencana terjadi dan kemudian bertanyatanya apa yang harus dilakukan, mereka harus proaktif, bukan reaktif. Untuk itu, perusahaan harus merencanakan bencana dan secara berkala menguji rencana mereka. Fungsi TI manajer dan IT auditor harus mengadopsi sikap tidak "Apa yang akan kita lakukan jika pemogokan bencana?" Pikirkan kontingensi perencanaan cara ini "Apa yang akan kita lakukan ketika terjadi bencana?": Ini masalah waktu, tidak probabilitas.

You might also like