Apa itu Kontrol TI?
Sebuah kontrol TI adalah prosedur atau kebijakan yang memberikan jaminan wajar bahwa teknologi informasi (TI) yang digunakan oleh suatu organisasi beroperasi sesuai dengan yang diharapkan, bahwa data dapat diandalkan, serta organisasi mematuhi hukum dan regulasi yang berlaku. Kontrol TI dapat dikategorikan sebagai kontrol umum TI (ITGC) atau kontrol aplikasi TI (ITAC).
Kontrol TI memberikan pedoman yang harus diikuti oleh organisasi TI untuk memastikan bahwa staf menjalankan peran dan tanggung jawabnya sesuai dengan standar, regulasi, dan praktik terbaik yang telah ditetapkan.
Mengapa Kontrol TI Penting?
Sebuah kontrol umum TI harus menunjukkan bahwa organisasi memiliki prosedur atau kebijakan yang berlaku untuk teknologi yang memengaruhi pengelolaan proses organisasi yang mendasar, seperti manajemen risiko, manajemen perubahan, pemulihan bencana, dan keamanan. Kontrol aplikasi TI, yang merupakan tindakan otomatis dalam sebuah aplikasi perangkat lunak, harus menunjukkan bahwa aplikasi yang digunakan untuk proses bisnis tertentu (seperti penggajian) dipelihara dengan baik, hanya digunakan dengan otorisasi yang sah, dimonitor, serta menciptakan jejak audit.
Kontrol ini menyediakan kerangka kerja untuk bagaimana aktivitas dan fungsi tertentu harus dijalankan. Kontrol TI sangat penting ketika organisasi harus menunjukkan kepatuhan terhadap standar tertentu (misalnya, ISO 27001 dan NIST SP 800-34), regulasi (misalnya, GDPR), dan undang-undang (misalnya, SOX, GLBA, HIPAA, dan FISMA).
Manajemen senior perlu mengetahui dan memiliki bukti bahwa departemen TI mengelola operasi TI organisasi dengan cara yang memaksimalkan kinerja dan meminimalkan risiko. Audit menggunakan kontrol TI dapat menunjukkan bahwa infrastruktur teknologi mendukung tujuan bisnis perusahaan.
Siapa yang Perlu Mengetahui Kontrol TI?
Dalam departemen TI, tim audit TI (jika tersedia) harus mengetahui kontrol TI yang berlaku. Departemen audit internal perusahaan kemungkinan memiliki informasi tentang kontrol TI, terutama jika mereka melakukan audit TI. Firma audit pihak ketiga juga harus memiliki keahlian yang signifikan dalam kontrol TI.
Anggota tim audit TI harus memiliki pengetahuan tidak hanya dalam bidang mereka sendiri tetapi juga dalam berbagai bidang lain. Biasanya, mereka dapat menjadi spesialis dalam aktivitas tertentu seperti penyimpanan data atau memiliki keahlian lebih luas dalam berbagai fungsi TI.
Apa itu Kontrol Umum TI?
Kontrol umum TI (ITGC) berfokus pada bagaimana sistem beroperasi dalam konteks kerahasiaan, integritas, dan ketersediaan informasi. Tabel berikut, “Contoh kontrol komputer umum,” menyajikan beberapa contoh kontrol umum TI berdasarkan kategori beserta contoh pernyataan kontrol yang sebenarnya.
Kontrol aplikasi TI (ITAC) mirip dengan ITGC dan berfokus pada aplikasi serta platform teknologi yang mendukungnya.
Kontrol Audit untuk Memastikan Kepatuhan
Kontrol TI sering dikaitkan dengan standar, regulasi, undang-undang, dan pedoman praktik terbaik tertentu. Kontrol ini dapat disusun agar selaras dengan persyaratan yang ditentukan dalam aturan yang berlaku. Saat audit berlangsung, kontrol TI yang diperiksa secara bersamaan menunjukkan sejauh mana organisasi TI mematuhi aturan dan pedoman tersebut. Misalnya, kontrol TI yang menangani keamanan informasi dapat dipetakan ke persyaratan ISO 27001 atau NIST SP 800-53. Kedua standar ini adalah yang paling banyak digunakan untuk keamanan informasi, dan kepatuhan terhadap spesifikasinya merupakan pencapaian yang penting.
Kepatuhan terhadap kerangka kerja tertentu juga penting. Dua kerangka kerja utama mencakup Committee of Sponsoring Organizations (COSO) dan Control Objectives for Information and Related Technologies (COBIT). COSO mengintegrasikan TI dan jenis kontrol lainnya ke dalam operasi bisnis, sementara COBIT lebih berfokus pada kontrol TI dan dampaknya terhadap bisnis.