IT
Umum Kontrol, atau ITGC, adalah kontrol di tempat untuk sistem TI untuk
memastikan sistem TI secara tepat diakses dan dikelola. Para ITGCs memungkinkan kita untuk menempatkan ketergantungan pada output dari sistem. ITGC audit biasanya meninjau kontrol di tempat untuk sistem TI yang memiliki pengaruh terhadap laporan keuangan. Jadi apa yang membuat kontrol TI umum yang baik?
Di bawah ini kami berbagi beberapa aspek kami percaya membuat untuk ITGC baik.
Didokumentasikan
- Kontrol harus didokumentasikan dalam suatu kebijakan atau prosedur
dokumen, yang diterbitkan dan tersedia untuk orang-orang untuk yang
berlaku. Jika orang tidak tahu tentang kontrol atau tidak dapat referensi itu, mereka tidak akan mengikuti atau menerapkannya!
Formal
didefinisikan - Sebuah ITGC harus didefinisikan secara formal dan
memiliki manajemen buy-in untuk memastikan kontrol yang tepat, efektif
dan dapat ditegakkan. Jika
kontrol tidak didefinisikan dengan baik dan tidak memiliki dukungan
manajemen, mungkin kontrol akan gagal dan risiko bahwa ancaman akan
menyadari akan sangat meningkat.
Terbukti
- Suatu pengendalian yang diimplementasikan dan beroperasi secara
efektif harus dilacak dan dibuktikan untuk menunjukkan bahwa kontrol
yang efektif. Ini
akan membantu ketika kontrol diaudit oleh auditor baik internal maupun
auditor eksternal dan mudah-mudahan mengurangi temuan audit!
Efektif - Kontrol harus operasi dan efektif! Hal
ini tampaknya benar-benar jelas (dan itu), tetapi sering organisasi
menerapkan kontrol hanya demi pelaksanaan pengendalian atau kontrol yang
digunakan untuk menjadi efektif tidak efektif lagi akibat perubahan
lingkungan. Kontrol
yang tidak efektif hanya menguras sumber daya organisasi dan melayani
tidak bermanfaat bagi organisasi (uang sia-sia dan tidak ada pahala).
Diukur - Untuk dapat melacak efektivitas kontrol, itu harus terukur. Hal ini tidak selalu mudah bagi beberapa kontrol tidak keluaran semua kontrol 'dapat dinyatakan secara numerik. Untuk
kontrol seperti kami sarankan mengukur pengujian efektivitas operasi
secara periodik (harian / mingguan / bulanan), dimana pengujian yang
berhasil dari kontrol setiap periode akan menunjukkan efektivitas.
Diulas
- Semua kontrol harus ditinjau secara berkala untuk memastikan bahwa
kontrol masih beroperasi secara efektif dan untuk mengidentifikasi
potensi perbaikan. Ini akan menjadi "Periksa" bagian dari Plan, Do, Check dan Act (PDCA) siklus dijelaskan oleh ISO 27001.
Audited
- Auditor independen harus mengaudit kontrol secara ditetapkan untuk
memberikan jaminan bahwa kontrol didefinisikan, diimplementasikan dan
beroperasi secara efektif. Ini
akan memberikan manajemen jaminan bahwa lingkungan pengendalian yang
tepat, diimplementasikan sebagai dirancang dan beroperasi secara
efektif.
Jadi
dalam kesimpulan, kami berharap artikel ini memberikan Anda beberapa
makanan untuk berpikir tentang kontrol yang Anda miliki di tempat untuk
sistem anda dan apakah mereka sesuai dan efektif.