Anda di halaman 1dari 30

DAFTAR PERTANYAAN DAN JAWABAN KELOMPOK PRESENTASI

KONS. PEMERIKSAAN SISTEM INFORMASI (EDP)

AZIZ SUSANTO

125140411

BY
1. A. Mengapa Proses Understanding Organization Business harus ditempatkan di
nomor 1 dalam proses Manajemen?
Proses manajemen dimulai dengan Understanding Organization Business, Karena
Sampai hal ini tercapai, setiap upaya untuk menentukan kebutuhan organisasi akan paling
menyesatkan dan paling buruk. Begitu keseluruhan tujuan dan lingkungan bisnis telah
ditetapkan, menetapkan kebutuhan menjadi tugas yang relatif mudah. Kebutuhan
organisasi dapat ditentukan dengan mengidentifikasi dan memeriksa kegiatan utama yang
kinerjanya efektif dapat membuat atau menghancurkan organisasi.
Kegiatan utama ini harus dipantau sendiri dan karena itu tujuan kinerja ambisius harus
ditetapkan pada awal proses perencanaan. Untuk setiap tujuan kinerja akan ada berbagai
ancaman yang, jika dipenuhi, akan mengurangi efektivitas atau sama sekali meniadakan
tujuan. Ini harus dinilai dalam penilaian risiko formal untuk menentukan strategi coping
korporat yang tepat. Strategi coping atau Control harus ditentukan oleh manajemen dan
kontrol yang tepat dipilih. Kontrol sebenarnya harus diimplementasikan dan dipantau dan
harus ada kontrol untuk memastikan hal ini terjadi. Kontrol, yang diterapkan sekali harus
efektif. Dalam kinerja dan pengelolaan berkala harus mengevaluasi dan meninjau kinerja
dengan strategi ini.

B. Bagaimana cara memahami Proses Understanding Organization Business?


Pembacaan & melakukan analisis laporan tahunan untuk mendapatkan keseluruhan
gambar.
Melakukan staf wawancara agar bisa mengevaluasi pemahaman mereka tentang
bisnis dan juga untuk mengkonfirmasi pemahaman auditor
Melakukan kunjungan lapangan untuk mengamati pengoperasian fungsi bisnis
tertentu
Membandingkan pemahaman terkini dengan teori yang berlaku selama tinjauan
sebelumnya

C. Dokumen apa yang harus dimiliki terkait dengan Proses Understanding


Organization Business ?
Corporate charter and bylaws
Code of ethics
Risalah rapat
Dalam melakukan pemahaman terhadap bisnis dan operasional client , maka auditor
harus melihat beberapa faktor sebagai berikut :
Sumber utama pendapatan client
Customers dan supplier kunci
Sumber financing (pendanaan)
Informasi mengenai related parties (pihak terkait client)

2. A. Carilah contoh IT organizational Chart dari perusahaan apapun!

B. Carilah Job Description dari masing-masing komponen IT Organizational tadi!


CIO = Tugas utama seorang Chief Information Officer adalah untuk membangun citra
divisi, meningkatkan mutu penggunaan teknologi, merancang visi teknologi informasi,
dan pengembangan sistem informasi
Asisten VP = Tugas dari seorang asisten vice president adalah untuk merumuskan
strategi dan policies, mengalokasi dana dan sumber daya, dan meng supervisi proses
dan karyawan
Web Design/Development = Adalah org yang bekerja dengan unsur visual dari
halaman web. Tugasnya adalah untuk membuat tampilan web menjadi cantik dan sedap
dipandang mata.
Client Support Services = Tugasnya adalah melakukan aktivitas support teknis baik
untuk tender atau keperluan kantor pusat
Application & Databse Services = Adalah divisi yang bertugas untuk memantau
database serta menjaga informasi sistem agar tetap terjaga tingkat confidentiality nya
Telecom & System Services = Divisi yang bertugas untuk memlihara network
perusahaan serta mengurus keamanan baik secara fisik maupun sistem
Research Computing Support = Divisi untuk membantu atau melakukan maintenance
terhadap sistem yang advanced

C. Tentukan KPI (Key Performance Indikator) dari masing-masing Job


description yang telah dibuat!
Dapat menjadi sarana perusahaan mengkomunikasikan strategi
Terkait secara langsung dengan strategi yang dipillih perusahaan
Memiliki indikator yang bersifat kuantitatif, dan memiliki formula dalam
perhitungannya
Memiliki indikator yang dapat dihitung
Dapat dilakukan penetapan target untuk perbaikan
Dapat membandingkan dengan perusahaan lain
Pengukuran yang dilakukan harus valid
Ketersediaan data dan sumber daya

3. Sebutkan Pengertian / Definisi dan Penjelasan nya dari pada IT Governance!


Tata kelola teknologi informasi / IT governance adalah suatu cabang dari tata kelola
perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja
dan risikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena
adanya prakarsa kepatuhan (seperti Sarbanes-Oxley di Amerika Serikat dan Basel II di
Eropa) serta semakin diakuinya kemudahan proyek TI untuk lepas kendali yang dapat
berakibat besar terhadap kinerja suatu organisasi.
Tema utama diskusi tata kelola TI adalah bahwa teknologi informasi tidak bisa lagi
menjadi suatu kotak hitam. Secara tradisional, penanganan pengambilan keputusan
kunci di bidang teknologi informasi diberikan kepada para profesional TI karena
keterbatasan pengalaman teknis eksekutif lain di tingkatan direksi perusahaan serta
karena kompleksitas sistem TI itu sendiri. Tata kelola TI membangun suatu sistem yang
semua pemangku kepentingannya, termasuk direksi dan komisaris serta pengguna
internal dan bagian terkait seperti keuangan, dapat memberikan masukan yang
diperlukan untuk proses pengambilan keputusan. Hal ini mencegah satu pihak tertentu,
biasanya TI, disalahkan untuk suatu keputusan yang salah. Hal ini juga mencegah
munculnya keluhan dari pengguna di belakang hari mengenai sistem yang tak
memberikan hasil atau kinerja sesuai yang diharapkan.

4. Sebutkan Peran Auditor (Audit Role) di dalam IT Audit sebagai Internal Auditor
& Eksternal Auditor!
Auditor IT bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut
kemungkinan akan menilai risiko dan kontrol IT. Kadang-kadang hal ini dilakukan
sebagai pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan
evaluasi risiko dan kontrol IT dilakukan untuk kepentingan diri sendiri. Pada dasarnya
auditor TI dapat memberikan jaminan atau memberikan kenyamanan atas apa saja yang
berhubungan dengan sistem informasi. Disamping itu, terdapat beberapa jenis
pekerjaan yang dapat dilakukan oleh auditor IT termasuk:
Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-
bisnis, perencanaan sumber daya perusahaan (ERP system), atau perangkat
lunak lain.
Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa prosedur
audit yang disepakati di mana klien dan auditor IT menentukan cakupan
jaminannya.
Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus
mengevaluasi risiko dan kontrol atas sistem informasi pihak ketiga dan
memberikan jaminan kepada orang lain
Pengujian akan adanya resiko pembobolan data. Hal ini melibatkan proses
untuk mencoba mendapatkan akses ke sumber daya informasi untuk
menemukan kelemahan dari sistem keamanan.
Pendukung audit keuangan. Hal ini mencakup evaluasi mengenai resiko dan
control IT yang dapat mempengaruhi keandalan sistem pelaporan keuangan.
Menyelidiki penipuan berbasis IT. IT auditor bisa dipanggil untuk membantu
investigasi dalam penyelidikan penipuan

5. Apakah hubungan dari pada IT Audit dengan Eksternal Audit?


Hubungan antara IT audit dengan eksternal auditor adalah tanggung jawab utama
auditor eksternal adalah perusahaan dan semua stakeholdersnya. Eksternal auditor juga
memiliki tanggung jawab secara hukum untuk melaporkan masalah keuangan. IT
Auditing membentuk sebuah peran dalam memenuhi tanggung jawab hukum tersebut.
Sementara IT audit merupakan bagian integral dari fungsi internal audit, IT audit juga
harus dilihat sebagai fungsi yang terintegrasi dalam pelaksanaan pekerjaan auditor
eksternal independen.
6. A.1. Apa keunggulan dan kelemahan outsourcing IT Audit?
Keunggulan :
Dapat lebih fokus kepada core business yang sedang dijalankan
Dapat mengurangi biaya
Dapat mengubah biaya investasi menjadi biaya belanja
Tidak dipusingkan jika terjadi turnover tenaga kerja
Tidak perlu membuang-buang waktu dan tenaga untuk suatu pekerjaan yang
bukan merupakan inti bisnis atau pekerjaan yang bukan utama
Memberdayakan anak perusahaan

Kelemahan :
Produktivitas justru menurun jika perusahaan outsourcing yang dipilih tidak
kompeten
Pemilihan perusahaan jasa outsourcing yang salah bisa berakibat beralihnya
status hubungan kerja dari perusahaan pemberi jasa pekerja ke perusahaan
penerima jasa pekerja
Terkena kewajiban ketenagakerjaan jika perjanjian kerja sama dengan
perusahaan outsourcing tidak diatur dengan tegas dan jelas di awal kerja sama
Regulasi yang belum kondusif akan membuat penentuan core dan non core juga
belum jelas

A.2. Apa keunggulan dan kelemahan IT Audit In House?

Keunggulan :

Tidak Terkena kewajiban ketenagakerjaan jika perjanjian kerja sama dengan


perusahaan outsourcing tidak diatur dengan tegas dan jelas di awal kerja sama
Tidak adanya resiko akibat kesalahan pemilihan perusahaan outsourcing yang
kemungkinan dipilih tidak kompeten.
Adanya Regulasi yang kondusif terkait dengan UU ketenagakerjaan bagi
karyawan In House
Dasar Peraturan Hukum yang kuat bagi ketenagakerjaan In House

Kelemahan :

Dapat menambah beban biaya Tenaga Kerja


Mempersulit jika terjadi turnover tenaga kerja
Membuang-buang waktu dan tenaga untuk suatu pekerjaan yang bukan
merupakan inti bisnis atau pekerjaan yang bukan utama
Berpotensi tidak berfokus kepada core business yang sedang dijalankan

B. Carilah UU yang mengatur mengenai IT Audit!

Information Systems Audit and Control Association (ISACA): Code of


Professional Ethics
ISACA Information Technology (IT) Auditing Standards terkini: Auditing
Standard and Guidelines Standards
Institute of Internal Auditors (IIA): Code of Ethics, Standards for the
Professional Practice of Internal Auditing and Practice Advisories.

Kerangka untuk Standar Audit TI menyediakan berbagai tingkat bimbingan:

Standards menetapkan persyaratan wajib untuk audit IT dan penyajian laporan


termasuk:
Standar tingkat minimum kinerja yang diperlukan untuk memenuhi
tanggung jawab profesional minimal yang ditetapkan dalam kode etik
profesional ISACA untuk auditor IT.
Manajemen dan pihak berelasi lain yang berhubungan dengan harapan
para ahli mengenai karya-karya praktisi.
Pemegang dari Certified Information Systems Auditor (CISA ).
Kegagalan untuk mematuhi standar-standar ini dapat berakibat dalam
penyelidikan terhadap pemegang CISA oleh direksi ISACA atau Komite
ISACA sesuai dan, akhirnya, tindakan disiplin
Guidelines memberikan bimbingan dalam menerapkan Standar Audit. Auditor
IT harus menyadarinya dalam menentukan bagaimana cara mencapai penerapan
standar, menggunakan penilaian profesional dalam aplikasi mereka, dan bersiap
untuk menyamakan perbedaan. Tujuan dari pedoman audit ini adalah untuk
memberikan informasi lebih lanjut tentang bagaimana cara untuk mematuhi
standar audit TI.
Procedures menyediakan contoh prosedur yang dapat diikuti oleh auditor dalam
sebuah perjanjian audit. Dokumen prosedur memberikan informasi tentang
bagaimana cara untuk memenuhi standar ketika melakukan pekerjaan audit IT,
tetapi tidak menetapkan

7. Jelaskan pengertian dan isi dari COBIT!


COBIT (Control Objectives for Information and Related Technology) adalah sebuah
proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan
sumber daya teknologi informasi (IT).

Cobit memiliki 4 Cakupan Domain :


1. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang
bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur
teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.

COBIT meliputi:
Control objectives. Pernyataan umum tingkat tinggi dan rinci atas ukuran minimum
kontrol yang baik
Control practices. Bimbingan praktis yang rasional dan panduan untuk mencapai
control objectives
Audit guidelines. Bimbingan untuk setiap area kontrol mengenai cara mendapatkan
pemahaman, mengevaluasi setiap kontrol, menilai kepatuhan dan memperkuat
risiko kontrol yang tidak terpenuhi
Management guidelines. Panduan tentang bagaimana cara menilai dan
meningkatkan proses kinerja IT, menggunakan maturity model, metrik, dan critical
success factor.
8. Jelaskan pengertian dan isi dari COSO!
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk
membuat reasonable assurance mengenai:
Efektifitas dan efisiensi operasional
Reliabilitas pelaporan keuangan
Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling
terkait, yaitu:
Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring
Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan
dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan
struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan
mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam
organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan
pengendalian antara lain integritas dan nilai etik, komitmen terhadap kompetensi,
dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur
organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM.
Auditor harus memperoleh pengetahuan memadai tentang lingkungan
pengendalian untuk memahami sikap, kesadaran, dan tindakan manajemen, dan
dewan komisaris terhadap lingkungan pengendalian intern, dengan
mempertimbangkan baik substansi pengendalian maupun dampaknya
secarakolektif.

Penaksiran Risiko
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang
relevan untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan
bagaimana risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah
identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan
pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen
risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan
aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data
keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa
dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif
mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan
melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan
keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain
perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru
atau yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru,
restrukturisasi korporasi, operasi luar negeri, dan standar akuntansi baru.

Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan
bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian
tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di
berbagai tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang
mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur
yang berkaitan dengan review terhadap kinerja, pengolahan informasi,
pengendalian fisik, dan pemisahan tugas. Aktivitas pengendalian dapat
dikategorikan sebagai berikut.
a) Pengendalian Pemrosesan Informasi
pengendalian umum
pengendalian aplikasi
otorisasi yang tepat
pencatatan dan dokumentasi
pemeriksaan independen
b) Pemisahan tugas
c) Pengendalian fisik
d) Telaah kinerja

Informasi Dan Komunikasi


Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan
pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang
melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam
pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk
mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat,
dan melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban.
Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab
berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan.
Auditor harus memperoleh pengetahuan memadai tentang sistem informasi yang
relevan dengan pelaporan keuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan
keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam
laporan keuangan yang tercakup dalam pengolahan dan pelaporan
transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai
sampai dengan dimasukkan ke dalam laporan keuangan, termasuk alat
elektronik yang digunakan untuk mengirim, memproses, memelihara,
dan mengakses informasi.

Pemantauan / Monitoring
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern
sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi
pengendalian tepat waktu dan pengambilan tindakan koreksi. Proses ini
dilaksanakan melalui kegiatan yang berlangsung secara terus menerus, evaluasi
secara terpisah, atau dengan berbagai kombinasi dari keduanya. Di berbagai
entitas, auditor intern atau personel yang melakukan pekerjaan serupa
memberikan kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan
dapat mencakup penggunaan informasi dan komunikasi dengan pihak luar seperti
keluhan pelanggan dan respon dari badan pengatur yang dapat memberikan
petunjuk tentang masalah atau bidang yang memerlukan perbaikan. Komponen
pengendalian intern tersebut berlaku dalam audit setiap entitas. Komponen
tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas,
karakteristik kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman
dan kompleksitas operasi entitas, metode yang digunakan oleh entitas untuk
mengirimkan, mengolah, memelihara, dan mengakses informasi, serta penerapan
persyaratan hukum dan peraturan

Fokus Internal Coso:


a. Fokus Pengguna Utama adalah manajemen.
b. Sudut pandang atas internal control adalah kesatuan beberapa proses secara
umum.
c. Tujuan yang ingin dicapai dari sebuah internal control adalah
pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan
yang handal serta kesesuaian dengan peraturan yang berlaku.
d. Komponen/domain yang dituju adalah pengendalian atas lingkungan,
manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi
dan komunikasi.
e. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
f. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam poin waktu tertentu.
g. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.

9. Sebutkan contoh dari IT Security Policy


Kebijakan keamanan (Security Policy) adalah definisi tentang apa artinya menjadi
aman bagi sebuah organisasi, sistem atau entitas lain. Untuk sebuah organisasi, itu
alamat kendala pada perilaku anggotanya serta kendala dikenakan pada musuh oleh
mekanisme seperti pintu, kunci, kunci dan dinding. Untuk sistem, kebijakan keamanan
alamat kendala pada fungsi dan aliran di antara mereka, kendala pada akses oleh sistem
eksternal dan musuh termasuk program-program dan akses ke data oleh orang-orang.
Tujuan dasar dari suatu kebijakan (Policy);
1. Melindungi pengguna (user) dan informasi
2. Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator,
manajemen dan petugas keamanan sistem informasi (IT security)
3. Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau
pemeriksaan
4. Membantu mengurangi resiko yang mungkin akan muncul
5. Membantu arahan kepatuhan pada peraturan dan undang-undang
6. Menetapkan peraturan resmi perusahaan mengenai keamanan
Siapa yang akan menggunakan IT security Policy;
1. Manajemen pada semua tingkatan
2. Technical staff sistem administrator dan lainny
3. Pengguna (user)
Keamanan data akan sangat membantu user untuk pengawasan dan
memastikan informasi tersebut aman dari gangguan ataupun ancaman dari
pihak yang tidak berhak.
Ada 3 aspek mengenai data security, sebagai berikut;
Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau
penghapusan informasi.
Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan
informasi tersebut akurat dan lengkap
Availability; memastikan informasi tersedia ketika dibutuhkan
Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop,
CD-ROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi
penyebab data-data tersebut hilang adalah
1. Natural Disaster (seperti kebakaran, banjir, dan lainnya)
2. Virus
3. Kesalahan manusia (human errors)
4. Software malfunction (kesalahan software)
5. Hardware dan software malfunction
Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT
Security Policy adalah sebagai berikut
A. Kebijakan untuk pengguna umum (end users)
Penggunaan CD, Flash disk
Password
Backup
File
B. Kebijakan untuk Departemen
Tentang prosedur keamanan tempat kerja, telephone
alarm
pengetahuan tentang keamanan sistem informasi
C. Kebijakan untuk Administrator
Pembelian hardware
Pengawasan hak akses
Jaringan komputer
Operating System (OS)
Software
Cyber crime
Backup
LAN
Perlindungan terhadap virus
D. Kebijakan untuk DBA
Transfer dan perubahan data
Penyimpanan data
Database
DBA skill

10. Jelaskan mengenai Computer Operational Procedure untuk audit!


Untuk IT Function:
Obtain and review security policy
Verify policy is communicated
Review relevant documentation (org. chart, mission statement, key job
descriptions)
Review systems documentation and maintenance records (using a sample)
Verify whether maintenance programmers are also original design programmers
Observe segregation policies in practice
Review operations room access log
Review user rights and privileges

Untuk pengawasan DDP Environment

Verify corporate policies and standards are communicated


Review current organization chart, mission statement, key job descriptions to
determine if any incompatible duties exist
Verify compensating controls are in place where incompatible duties do exist
Review systems documentation
Verify access controls are properly established

Untuk pengawasan pusat komputer (computer central controls)

Tests of physical construction


Tests of fire detection
Tests of access control
Tests of backup power supply
Tests for insurance coverage
Tests of operator documentation controls
Untuk pengawasan system-wide

Verify a second-site backup is adequate


Review the critical application list for completeness
Verify backups of application software are stored off-site
Verify that critical data files are backed up and readily accessible to DRP team
Verify resources of supplies, documents, and documentation are backed up and
stored off-site
Verify that members listed on the team roster are current employees and that they
are aware of their responsibilities
Untuk toleransi kesalahan (fault tolerance)
Verify proper level of RAID devices
Review procedures for recovery from system failure
Verify boot disks are secured

11. Carilah findings, impact, dan recommendation dari point-point kontrol akses
terhadap informasi dan sumber daya yang ada di bawah ini!
A. Persyaratan bisnis untuk kendali akses
a. Persyaratan bisnis untuk kendali akses
Findings:
Terdapat hacker yang dengan canggih dapat menerobos perlindungan sistem
perusahaan dan memperoleh kendali akses untuk masuk ke data-data penting
perusahaan.
Impact:
Data rahasia perusahaan menjadi bocor kepada orang lain yang menimbulkan
kerugian yang sangat serius bagi perusahaan karna dapat mengancam reputasi
serta nama baik perusahana.
Recommendation:
Menerapkan otentifikasi pemakai (user authentication) yang didasarkan pada
tiga cara, yaitu :
1) Sesuatu yang diketahui pemakai, misalnya : password, kombinasi kunci,
nama kecil ibu mertua, dan sebagainya.
2) Sesuatu yang dimiliki pemakai, misalnya : badge, kartu identitas, kunci,
dan sebagainya.
3) Sesuatu mengenai (ciri) pemakai, misalnya : sidik jari, sidik suara, foto,
tanda tangan.
b. Pengelolaan akses user (User Access Management)
Findings:
Tidak adanya pengaturan yang jelas mengenai akses setiap user dalam
perusahaan, di mana data-data dapat diakses oleh orang-orang yang tidak
memiliki kepentingan terhadap hal tersebut.
Impact:
Data yang seharusnya menjadi rahasia perusahaan, tidak dapat dijaga
kerahasiaan, menimbulkan data tercuri, terduplikat, terhapus, atau bahkan
dirusak oleh virus dan ancaman sejenis lainnya.
Recommendation:
Membagi dengan jelas akses-akses setiap unit sehingga tidak menimbulkan
kekeliruan dalam melaksanakan operasi perusahaan. Misal akses data
inventory di gudang hanya diberikan kepada bagian gudang yang berwenang
untuk menghitung dan mengatur jalannya serah-terima inventory.
c. Kesadaran keamanan informasi (User Responsibilities)
Findings:
Sejumlah kasus kejahatan komputer yang dilakukan secara sengaja contohnya :
pencurian data, aktivitas spionase, percobaan backing, tindakan vandalism.
Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam,
misalnya ; banjir, gempa bumi, tsunami, dan kebakaran. Ketergantungan
kinerja organisasi terhadap sistem informasi mengandung arti bahwa
keseluruhan ancaman terhadap keamanan informasi tersebut merupakan
fortofolio resiko yang dihadapi oleh organisasi yang bersangkutan.
Impact:
Dengan amannya keseluruhan lingkungan tempat informasi berada maka
kerahasiaan, integritas, dan ketersediaan informasi akan dapat secara efektif
berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dan
citra organisasi yang memiliki aset penting tersebut.
Recommendation:
Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah
upaya upaya teknis (operasional) yang didukung oleh berbagai kebijakan
dan prosedur manajemen yang sesuai. Proses tersebut dimulai dari
pengidentifikasian sejumlah kontrol yang relevan untuk diterapkan dalam
Organisasi, yang tentu saja harus berdasarkan pada analisa kebutuhan aspek
keamanan informasi seperti apa yang harus dimiliki perusahaan. Setelah
kebijakan, prosedur, dan panduan teknis operasional mengenai kontrol yang
harus diterapkan dalam Organisasi disusun, langkah berikutnya adalah
sosialisasi keseluruhan piranti tersebut ke segenap lapisan manajemen dan
karyawan organisasi untuk mendapatkan dukungan dan komitmen.
d. Kendali akses ke jaringan
Findings
Ancaman terhadap sistem komputer dikategorikan menajdi empat
ancaman, yaitu :
Interupsi
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia
atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh: penghancuran bagian perangkat keras, seperti harddisk atau
pemotongan kabel komunikasi
Intersepsi
Pihak tak diotorisasi dapat mengakses sumber daya. Intersepsi
merupakan ancaman terhadap keterahasiaan. Pihak tak diotorisasi
dapat berupa orang atau progaram komputer. Contoh: penyadapan
untuk mengambil data rahasia atau mengkopi file tanpa diotorisasi.
Modifikasi
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak
sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh: mengubah nilai-nilai file data, mengubah program sehingga
bertindak secara berbeda atau memodifikasi pesan-pesan yang
ditransmisikan pada jaringan.
Fabrikasi
Pihak tak diotorisasi menyisipkan atau memasukkan objek-objek
palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh: memasukkan pesan-pesan palsu ke jaringan atau
menambahan record ke file.

Impact
Terdapat dua masalah penting, yaitu:
Kehilangan data (data loss)
Dapat disebabkan karena bencana (kebakaran, banjir, gempa bumi,
perang, kerusuhan, binatang), kesalahan perangkat keras dan
perangkat lunak (ketidakberfungsian pemroses, disk atau tape yang
tidak terbaca, kesalahan telekomunikasi, kesalahan program (bugs)
kesalahan atau kelalaian manusia (kesalahan pemasukan data,
memasang tape atau disk yang salah, eksekusi program yang salah,
kehilangan disk atau tape).
Penyusup (hacker)
Terdiri dari penyusup pasif, yaitu yang membaca data yang tak
diotorisasi dan penyusup aktif, yaitu yang mengubah data yang tak
diotorisasi. Kategori penyusupan: penyadapan oleh orang dalam,
usaha hacker dalam mencari uang, spionase militer atau bisnis.
Perkembangan dunia internet saat ini membawa konsekuensi
meningkatnya resiko keamanan terhadap sistem operasi. Oleh karena
itu, sistem operasi harus memiliki ketahanan keamanan. Bagi
kebanyakan pengembang sistem operasi saat ini, keamanan adalah
salah satu permasalahan utama.
Recommendation
Keamanan sistem komputer adalah untuk menjamin sumber daya tidak
digunakan atau dimodifikasi orang tak terotorisasi. Pengamanan termasuk
masalah teknis, manajerial, legalitas dan politis. Keamanan sistem terbagi
menjadi tiga, yaitu :
Keamanan eksternal (external security).
Berkaitan dengan pengamanan fasilitas komputer dari penyusup
(hacker) dan bencana seperti kebakaran dan kebanjiran.
Keamanan interface pemakai (user interface security).
Berkaitan dengan identifikasi pemakai sebelum pemakai diijinkan
mengakses program dan data yang disimpan.
Keamanan internal (internal security).
Berkaitan dengan pengamanan beragam kendali yang dibangun pada
perangkat keras dan sistem operasi yang menjamin operasi yang
handal dan tak terkorupsi untuk menjaga integritas program dan data.
Istilah keamanan (security) dan proteksi (protection) sering digunakan
secara bergantian. Untuk menghindari kesalahpahaman, istilah
keamanan mengacu ke seluruh masalah keamanan, dan istilah
mekanisme proteksi mengacu ke mekanisme sistem yang digunakan
untuk memproteksi/melindungi informasi pada sistem komputer.

e. Kendali akses terhadap sistem operasi


Findings
Bencana alam menyebabkan korban jiwa, merugikan dan membuat
sejumlah besar masyarakat mengungsi serta dapat merusak peralatan
perusahaan. Bencana alam dapat datang kapan saja dan sangat
mengganggu kegiatan usaha perusahaan, menyebabkan kerusakan pada
peralatan dan memberikan pengaruh buruk terhadap kinerja finansial dan
keuntungan perusahaan.
Impact
Bencana alam menyebabkan kegiatan perusahaan berhenti, di mana hal ini
tentu merugikan perusahaan dari segi finansial maupun efektivitas kinerja
operasional perusahaan.
Recommendation
Untuk meminimalisir kerugian yang mungkin ditimbulkan dengan adanya
bencana alam, sebaiknya perusahaan menginvestasikan aset-aset yang
bernilai tinggi ke dalam asuransi sehingga apabila terjadi bencana alam,
perusahaan masih bisa mengklain kerugian ke perusahaan asuransi yang
bersangkutan. Selain itu, perusahaan juga dapat melakukan survey terlebih
dahulu sebelum menentukan lokasi didirikannya perusahaan melalui
riwayat lokasi tempat didirikannya perusahaan, apakah pernah terjadi
bencana alam di tempat tersebut atau tidak.

f. Pengelolaan akses terhadap aplikasi.


Findings
Peran kurang jelas
Sekalipun peran dapat dilihat sebagai sarana manajemen yang penting,
sering kali timbul ketidakjelasan mengenai apa sesungguhnya yang
dilibatkan baik dari segi keterampilan maupun kegiatan. Di samping
itu, kurangnya pemahaman dapat menimbulkan pertanyan siapa
sesungguhnya yang harus bertanggung jawab dalam pelatihan. Atasan
mungkin saja tidak memiliki pengertian mendalam tentang apa yang
harus dilakukannya dalam pelatihan, kapan dan bagaimana
melakukannya. Selain itu, terdapat pula ketidakpastian mengenai
seberapa banyak penyuluhan, pengarahan, dan dukungan sosio-
emosional uang dibutuhkan.
Gaya manajemen kurang sesuai
Gaya manajemen merupakan pola perilaku konsisten yang digunakan
atasan saat bekerja bersama dan melalui orang lain. Atasan
mengembangkan kebiasaan bertindak yang untuk selanjutnya akan
dapat diduga oleh mereka yang bekerja bersamanya. Tak mustahil
mereka khawatir bila kebiasaan tersebut harus diubah ataupun diganti,
suatu situasi yang menimbulkan perasaan kurang aman bagi semua
pihak yang terlibat di dalamnya. Kepercayaan terhadap bawahan
sering kali dipengaruhi oleh pandangan atasan mengenai tabiat atau
sifat manusia.
Keterampilan komunikasi tidak memadai
Keterampilan komunikasi tulis dan tulisan sangat pentting dalam
situasi pelatihan. Keberhasilan dan kegagalan atasan sebagai pelatih
bergantung pada kemampuan mereka dalam menyampaikan pikiran,
perasaan dan kebutuhan. Atasan seharusnya juga dapat menerima
upaya para bawahan untuk melakukan hal serupa. Atasan yang
cenderung bertele-tele, di samping memberikan instruksi dan
penjelasan ala kadarnya, akan menimbulkan suasana yang
membingungkan dan menghambat komunikasi.
Kurangnya motivasi
Bila seorang atasan ditanya apakah mereka berhasil sebagai pelatih,
jawaban mereka pada umumnya adalah ya, saya rasa demikian.
Kesulitan ini timbul karena saran pembangkit motivasi yang dipilih
tidak sesuai dengan kebutuhan perorangan yang dimaksudkan pada
saat yang sama. Sebagai pelatih, atasan mempunyai tambahan
menciptakan lingkungan bermotivasi bagi bawahan. Namun, dengan
organisasi yang kian diperamping dan jumlah pekerja kian
menyusutataupun diintegrasikan, kesulitan pun semakin membengkak.
Impact
Karyawan merasa terbebani dengan adanya pelatihan, dengan alasan
banyak tugas yang harus dilakukan. Pada umumnya orang jauh lebih
terampil dan memiliki pendidikan yang lebih baik dibanding masa-masa
sebelumnya. Orang lebih tertarik pada kualitas dan nilai kerja dibanding
para rekan kerja masa lalu. Namun, bila sebuah departemen akan
menjalani proses perubahan, sebagian besar bawahan akan bergantian
mengalami keyakinan dan keraguan, yang tentunya akan menimbulkan
pengaruh sangat jelas pada motivasi dan moral.
Recommendation
Pelatihan dan pengembangan karyawan yang dilakukan seringkali berjalan
tidak sesuai dengan yang diharapkan oleh perusahaan, ini menjadi
tantangan perusahaan karena program pelatihan dan pengembangan ini
menghabiskan dana yang tidak sedikit. Oleh sebab itu, perusahaan harus
melakukan evaluasi dari program yang dilakukan untuk mengetahui
seberapa jauh sasaran dan tujuan pelatihan yang telah dicapai, sebab
keberhasilan atau kegagalan dari suatu program pelatihan dan
pengembangan sangat diperlukan sebagai informasi dan masukan untuk
perencanaan dan pelaksanaan program pelatihan dan pengembangan
selanjutnya. Untuk menilai outcomes pelatihan, manajer sumber daya
manusia harus mendokumentasikan bagaimana perilaku peserta pelatihan
sebelum dan setelah mengikuti pelatihan

g. Pengawasan dan penggunaan akses sistem


Findings
Serangan-serangan dalam keamanan computer:
1. Serangan untuk mendapatkan akses
Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
a. Teknik mencoba semua kemungkinan password
b. Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama
anak, tanggal lahir
2. Serangan untuk melakukan modifikasi
Setelah melakukan serangan akses biasanya melakukan sesuatu
pengubahan untuk mendapatkan keuntungan. Contoh:
a. Merubah nilai
b. Penghapusan data hutang di bank
3. Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah atau
pengaruh luas dan kuat untuk mengakses sebuah informasi. Misal :
mengganggu aplikasi, mengganggu System, atau mengganggu jaringan.
Impact
- Interuption: ancaman terhadap availability, yaitu data dan informasi
yang berada dalam system computer yang dirusak dan dibuang
sehingga menjadi tidak ada atau menjadi tidak berguna.
- Interception: merupakan ancaman terhadap secrey, yaitu orang yang
tidak berhak mendapatkan akses informasi dari dalam system
computer
- Modification: merupakan ancaman terhadap integritas, yaitu orang
yang tidak berhak, tidak hanya berhasil mendapatkan akses,
melainkan juga dapat melakukan pengubahan terhadap informasi.
- Fabrication: adanya orang yang tidak berwenang, meniru atau
memalsukan suatu objek ke dalam system.
Recommendation
Tips Keamanan Sistem (terhadap virus, trojan, worm,spyware) :
a. Gunakan Software Anti Virus
b. Blok file yang sering mengandung virus
c. Blok file yang menggunakan lebih dari 1 file extension
d. Pastikan semua program terverifikasi oleh tim IT di unit kerja
masing-masing
h. Mendaftar ke layanan alert email
i. Gunakan firewall untuk koneksi ke Internet
j. Uptodate dengan software patch
k. Backup data secara reguler
l. Hindari booting dari floopy disk
m. Terapkan kebijakan Sistem Keamanan Komputer Pengguna

h. Mobile computing and telenetworking


Findings
Ancaman yang mungkin terjadi dalam keamanan fisik dapat dibagi menjadi:
1. Ancaman alam. Seperti banjir, gempa bumi, badai dan tornado,
kebakaran, kondisi temperatur, dan lain sebagainya.
2. Ancaman sistem. Seperti distribusi tegangan, gangguan komunikasi,
gangguan ke berbagai sumber daya lainnya seperti air, uap air, gas
dan lain sebagainya.
3. Ancaman yang dibuat manusia. Orang yang tidak memilki akses
(internal maupun eksternal), ledakan bom, dendam pegawai,
kesalahan dan kecelakaan pegawai, vandalisme, penipuan, pencurian,
dan lain sebagainya.
4. Ancaman bermotivasi politik. Mogok kerja, kerusuhan, pemberontak,
serangan teroris, pemboman, dan sebagainya.
Impact
Kerugian fisik atau kerusakan pada peralatan dapat menyebabkan biaya
perbaikan yang mahal, dan kehilangan data dapat merusak bisnis serta reputasi
perusahaan. Ancaman terhadap data yang terus berubah sebagai penyerang
menemukan cara baru untuk mendapatkan akses masuk dan melakukan
kejahatan. Pencurian, kehilangan, intrusi jaringan, dan kerusakan fisik adalah
beberapa cara jaringan atau komputer dapat dirugikan. Kerusakan atau
kehilangan peralatan dapat berarti hilangnya produktivitas. Memperbaiki dan
mengganti peralatan dapat biaya waktu dan uang perusahaan. Penggunaan
yang tidak sah dari jaringan dapat mengekspos informasi rahasia dan
mengurangi sumber daya jaringan.
Recommendation
1. Identifikasi tim yang terdiri dari pegawai dalam atau konsultan luar
yang akan membangun program kamanan fisik.
2. Membawa analisis resiko untuk mengidentifikasi kerentanan dan
ancaman serta memperhitungkan dampak yang akan terjadi dari setiap
ancaman.
3. Bekerja dalam managemen untuk mendifinisikan resiko yang dapat
diterima dalam program keamanan fisik tersebut.
4. Mendapatkan garis besar performance yang dibutuhkan dari level
resiko yang ada.
5. Membuat pengukuran tindakan.
6. Mengembangkan kriteria dari hasil analisis, dan memikirkan level
keamanan dan kekuatan yang dibutuhkan untuk hal berikut:
Pencegahan (Deterrence), Penundaan (Delaying), Deteksi
(Detection), Penaksiran (Assessment), Tanggapan (Response).
7. Mengidentifikasi dan mengimplementasikan tindakan dari setiap
katagori program.
Terus menerus mengawasi setiap tindakan untuk menjaga bila terjadi resiko yang
tidak diinginkan.
12. Tabel indicator penyebab ancaman keamanan komputer

SENGAJA TIDAK SENGAJA

EXTERNAL Theft Malicious


hacker
Industrial Malicious
espionage code
Foreign
goverment
espionage
INTERNAL Fraud Employee Errors Omissions
sabotage
Theft Malicious Loss of
hacker physical and
infrastructure
support
Threats to
personal
privacy
Cara mengatasi ancaman berbasis komputer:
Menangani ancaman eksternal :
1. Pengenalan otomatis pengguna Para pengguna mengidentifikasi diri mereka
meng gunakan sesuatu yang mereka kenali sebelumnya, misalnya password.
2. Pembuktian otomatis pengguna proses identifikasi telah dilakukan, pengguna
akan memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti
kartu cerdas (smart card), chip identifikasi, dll.
3. Membuat Firewall yang bertindak sebagai suatu saringan dan penghalang
yang membatasi aliran data dari internet masuk dan keluar perusahaan.
Konsep yang menjadi latar belakang firewall adalah membangun satu
pengaman untuk seluruh komputer yang ada di jaringan perusahaan
4. Membuat Kontrol Kriptografi (Cryptographic Control) yaitu Penyimpanan dan
transmisi data dapat dilindungi dari pemakaian secara ilegal melalui
kriptografi. Kriptografi adalah penyusunan dan penggunaan kode dengan
proses-proses matematika, sehingga pemakai ilegal hanya akan mendapatkan
data berbentuk kode yang tidak dapat dibaca.
5. Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika
kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para
pegawai memahami misi dan tujuan perusahaan, mengadakan program
pendidikan dan pelatihan serta program pengembangan manajemen.

Menangani ancaman internal :


1. Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian
merupakan dasar untuk semua komponen pengendalian intern, menyediakan
disiplin dan struktur. Lingkungan pengendalian menyediakan arahan bagi
organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang
ada di dalam organisasi tersebut.
2. Mengidentifikasi entitas dan analisis terhadap risiko yang relevan untuk
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana
risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah
identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan
pembuatan laporan keuangan yang disajikan sesuai PSAK. Manajemen risiko
menganalisis hubungan risiko asersi spesifik laporan keuangan dengan
aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-
data keuangan.
3. Kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen
dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan yang
diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas.
Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai
tingkat organisasi dan fungsi.
4. pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu
bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab
mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang
meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan,
menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan
transaksi serta menjaga akuntabilitas asset dan kewajiban.
5. Pemisahan tugas yang baik sehingga dapat meminimalisasi kecurangan yang
dapat dilakukan oleh karyawan atau manajemen
6. Pemantauan/ pengawasan oleh pihak yang dipercaya sebagai saksi apakah
pekerjaan sudah dilakukan dengan jujur dan baik.

13. Sebutkan Findings, Impact, dan Recommendation untuk operational controls!


A. Personnel/users issues
Findings: perekrutan karyawan yang berinteraksi langsung dengan sistem,
administrasi pengguna dalam sistem, pertimbangan untuk menghentikan akses
karyawan, pertimbangan khusus ketika public memiliki akses ke sistem
Impact: keamanan sistem komputer mulai dari data dan informasi akan
terancam karena dapat diakses oleh siapa saja tanpa pembatasan
Recommendation: memperbaiki dan melaksanakan fungsi staffing, user
administration, control access considerations, public access considerations,
dan interpendencies
B. Preparing for contingencies and disasters
Findings: kejadian-kejadian seperti kehabisan daya, kegagalan hardware,
kebakaran, badai dan petir.
Impact: berpotensi untuk mengganggu operasional komputer dan
mengganggu misi dan fungsi penting bisnis.
Recommendations: melaksanakan proses perencanaan kontigensi; (a)
indentifikasi fungsi-fungsi penting misi dasn bisnis, (b) identifikasi sumber
daya yang mendukung fungsi penting, (c) antisipasi kontijensi dan bencana
yang potensial, (d) memilih strategi perencanaan kontijensi, (e) implementasi
strategi kontijensi, (f) menguji dan merevisi strategi.
C. Computer security incident handling
Findings: terdapat virus komputer, kode berbahaya, penyusup sistem baik
pihak internal maupun eksternal, dan bencana alam.
Impact: kesalahan dan kerusakan sistem komputer seperti file data yang
korup, hilang, terhapus.
Recommendation: penggunaan ancaman dan data yang rentan atau sensitive,
meningkatkan komunikasi internal dan kesiapan organisasi, meningkatkan
program pelatihan dan kewaspadaan.
D. Awareness, training, and education
Findings: karyawan atau pengguna yang lemah dan kurang pengetahuan
cenderung dianggap sebagai pelemah dalam mengamankan sistem komputer.
Impact: banyak pelepasan tanggung jawab atas sistem komputer diakibatkan
lemahnya pengetahuan karyawan atau pengguna atas pentingnya menjaga
sistem keamanan komputer.
Recommendation: (a) meningkatkan kewaspadaan mengenai pentingnya
untuk menjaga sistem, (b) mengembangkan kemmampuan dan pengetahuan
sehingga dapat menjalankan tugasnya dengan lebih aman, (c) membangunan
pengetahuan yang mendalam untuk merancang, mengimplementasikan, atau
mengoperasikan program keamanan untuk organisasi dan sistem.
E. Security considerations in computer support and operations
Findings: kurangnya dokumentasi, akun-akun pengguna tua, perangkat lunak
yang bertentangan, pengawasan yang lemah dalam perawatan sistem
Impact: kegagalan organisasi dalam menganggap keamanan sebagai bagian
dalam mendukung dan operasi sistem komputer dan berdampak pada
kerusakan sistem keamanan komputer yang cenderung mahal.
Recommendation: perlu dilakukan pertimbangan untuk membangun; (a) user
support, (b) software support, (c) configuration management, (d) backups, (e)
media controls, (f) documentation, dan (g) maintenance,
F. Physical and environmental security
Findings: kurangnya pengembangan dan karakterisasi dalam membangun
fasilitas fisik, salah menentukan lokasi geografis operasional perusahaan, dan
kurangnya fasilitan pendukung untuk pengoprasian sistem.
Impact: hambatan dalam menyediakan jasa komputer, kerusakan fisik,
pengungkapan informasi yang tidak diotorisasi, kehilangan kendali dalan
integritas sistem, dan pencurian fisik.
Recommendation: mengembangkan dan meningkatkan atau memperbaiki
tujuh area utama dalan pengendalian keamanan fisik dan lingkungan seperti;
(a) physical access control, (b) fire safety, (c) supporting utilities, (d) structural
collapse, (e) plumbing leaks, (f) interception of data, dan (g) mobile and
portable systems.

14. Dari 6 Risk Avoidance , Cara apa yang paling ampuh dalam menghindari resiko?
Resiko sangat tidak bisa dihindari tetapi resiko dapat dikurangi atau dihilangkan dengan
pengelolaan resiko. Karena resiko sangat mengandung ketidak pastian, maka dalam
menjalankan usaha perlu diterapkan manajemen resiko maupun pengelolaan resiko .
Pengelolaan resiko terbagi dalam bermacam-macam metode, mulai dari :
Penghindaran
menahan atau menanggung
diversifikasi
transfer resiko
pengendalian resiko
pendanaan resiko
Dalam metode transfer resiko ada berbagai macam cara, diantaranya adalah :
Mengidentifikasi prosesnya.
Mengidentifikasi jenis-jenis risiko yang terkait dalam setiap prosesnya.
Mengidentifikasi pengendalian-pengendalian yang perlu dilakukan dalam setiap
proses.
Mengevaluasi hal-hal yang telah dilakukan oleh sistem pengendalian dalam
mengurangi risiko
Menentukan suatu kunci untuk mengontrol setiap proses
Menentukan keefektifan dan kontrol kunci tersebut

15. Bagaimana cara Auditor mengetahui Jenis temuan berdasarkan tipe temuan
audit yang ada?
Dari setiap tipe temuan audit kita dapat mengetahui jenis temuan apakah
1. Observasi
Sebuah temuan termasuk Observasi jika :
Tidak bisa dijadikan dimasukan kedalam kategori ketidaksesuaian .
Tidak melanggar dokumentasi sistem manajemen yang telah ditetapkan.
Saran untuk peningkatan.
2. Ketidaksesuaian Minor
Sebuah temuan termasuk ketidaksesuaian Minor jika :
Tidak mempunyai dampak serius terhadap mutu, lingkungan dan K3
atau sistemnya
Adanya human error
Contoh : Adanya penyimpangan terhadap instruksi kerja yang telah
ditetapkan
3. Ketidaksesuaian Mayor
Sebuah temuan termasuk ketidaksesuaian Mayor jika :
berdampak yang serius terhadap pencapaian mutu atau efektivitas sistem
mutu
Contoh :
Tidak dilakukannya pemeriksaan/pengujian pada saat penerimaan bahan
baku/material
Tidak adanya pengendalian terhadap proses khusus
Tidak dilakukannya program audit mutu internal

16. Carilah findings, impact dan recommendation dari jenis kemungkinan resiko
berikut ini!
System non-availability
o Findings : Perusahaan tidak dapat mengakses system untuk melakukan
operasinya
o Impact : Perusahaan akan mengalami kerugian
o Rekomendasi : adakan backup system dan recovery system sehingga
jika system down dapat segera diperbaiki
Loss of confidentially
o F indings : Rahasia perusahaan terbongkar karena system
keamanan perusahaan yang lemah
o Impact : Banyak kompetitor yang mencuri rahasia penting perusahaan.
o Rekomendasi : tingkatkan system pengamanan
Loss of integrity
o Findings: banyak karyawan atau staff yang melakukan kecurangan
dalam system
o Impacts: perusahaan akan merugi
o Recommendation: tingkatkan sistem pengendalian internal

Inaccuracy and incompleteness


o Findings : kesalahan terjadi pada system sehingga data yang dihasilkan
tidak tepat
o Impact : Penyajian data akan tidak sesuai dengan realita
o Rekomendasi : adakan system maintenance untuk mengetes setiap
system berjalan dengan benar

Lack of monitoring
o Findings : Tidak adanya pengawasan terhadap sistem perusahaan
o Impact : Memicu timbulnya fraud
o Rekomendasi : adakan supervisi pada bagian system

Lack of compliance
o Findings : Sistem tidak memiliki legalitas sehingga dapat disalah
gunakan oleh orang lain
o Impact : Denda dan pembajakan software
o Rekomendasi : lakukan legalitas dan copyright terhadap system yg
diciptakan
Under Perfomance
o Findings : kinerja system tidak sesuai dengan performa biasanya
o Impact : Operasi perusahaan melambat
o Rekomendasi : Lakukan maintenance

17. Buatlah contoh dan findings dari elements of internal control!


Segregation of duties
Segregation of duties berarti pemisahan tugas. Dalam hal ini yang dimaksud
pemisahan tugas yaitu adanya pemisahan fungsi. Misalnya saja bagian
penagihan tidak boleh merangkap sebagai bagian pencatatan. Harus dipisahkan
antara bagian penagihan dengan pencatatan. Jika bagian penagihan merangkap
pencatatan, risiko fraud yang mungkin terjadi lebih besar.
Competance and integrity of people
Orang yang ditempatkan untuk suatu posisi di perusahaan harus kompeten dan
dapat dipercaya, bekerja sesuai dengan job desc yang telah ditentukan dan juga
mengikuti SOP (standar operasional perusahaan). Mereka harus mengetahui apa
tugas mereka serta memiliki integritas. Misalnya Kepala gudang harus
bertanggung jawab atas inventory yang ada di gudang dengan mencegah
terjadinya barang hilang, rusak, dan sebagainya. Untuk mencapai tujuannya,
mungkin saja kepala gudang bersama staff nya secara berkala melakukan stock
opname
Adequate resource
Dilakukan kontrol dengan sumber daya yang memadai. Misalnya saja di
perusahaan-perusahaan mempunyai alat absen dengan sidik jari untuk
mencegah terjadinya titip absen, atau di perusahaan tersebut dipekerjakan
application system auditor yang memang dikhususkan untuk melakukan audit
atas sistem it yang dimiliki oleh perusahaan, bukan hanya auditor biasa yang
belum tentu menguasai bidang IT.
Supervision and review
Melakukan pengawasan yang dilakukan oleh manajemen keuangan pada saat
bagian penjualan menerima sales order. Manajemen penjualan dapat melakukan
pengawasan dengan cara melihat catatan apakah pelanggan yang melakukan
sales order dapat membayar hutangnya tanpa ada kredit macet. Finding dari
supervision dan review adalah sales transaction, sales order, konfirmasi bank.
Appropriate of authority
Semua karyawan dapat melakukan otorisasi atas transaksi yang ada di dalam
perusahaan. Hal ini akan menimbulkan fraud dan tidak adanya otorisasi atas
manajemen karena otorisasi dapat dilakukan oleh semua karyawan.
Accountability
Semua karyawan dapat mengakses informasi dari berbagai department, hal ini
mengakibatkan informasi dapat diambil dan dipergunakan dengan salah karena
informasi dapat dengan mudah diakses.

18. Carilah Findings & Tujuan dari Data Transaction objective!


Tujuan dan Findings dari Data Transaction objective:
Tahap masukan:
Tujuan: mendapat keyakinan bahwa data transaksi input adalah valid, lengkap
dan bebas dari kesalahan dan penyalahgunaan.
Findings: dengan menerapakan bacth system atau online transaction system.
Tahap proses:
Tujuan dari batch system proses: untuk membuktikan bahwa didalam transaksi
yang dibundel dalam satu rekaman benar benar ada dan dapat diproses melalui
EDP( electronic data prosecessing)
Findings: data capture, data preparation dan data entry
Tujuan dari online trasanction system: untuk memastikan bahwa transaksi atau
pengolahan data yang terjadi sesuai dengan real time atau waktu penginputan
data atau transaksi
Findings: Otoritas dan validasi masukan,Transmisi dan konversi data,
Penanganan kesalahan
Tujuan dari output : untuk menjamin output atau informasi yang dikeluarkan
dapat disajikan secara akurat,lengkap dan muktahir serta dapat didistribusikan
kepada orang yang berhak secara cepat dan tepat waktu
Findings:
o Rekonsiliasi keluaran dengan masukan dan pengolahan
Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil
keluaran dari sistem dengan dokumen asal
Penelaahan dan pengujian hasil---hasil pengolahan
Pengendalian inin dilakukan dengan cara melakukan penalaahan,pemeriksaan
dan pegujian terhadap hasil-hasil dari sistem.

19. Bagaimana bentuk implementasi dari 7 tahap perencanaan audit?


Preliminary Survey
Tujuan dari survey awal adalah untuk memperoleh pemahaman awal dari
kegiatan operasi auditee dan untuk memperoleh bukti awal untuk perencanaan
audit lebih lanjut. Contoh kegiatan yang masuk dalam preliminary survey
adalah membuat opening conference antara anggota tim audit dengan
manajemen auditee untuk memberikan outline penugasan audit dengan
manajemen dan mengkoordinasikan kegiatan audit dengan kegiatan operasional
auditee. Touring tempat kerja auditee juga sering dilakukan auditor untuk
memperkenalkan auditor dengan lingkungan dan jenis operasi serta personel
yang terlibat di dalamnya. Pembelajaran lebih lanjut terhadap dokumen-
dokumen tertentu (job description, bagan organisasi, manual kebijakan, dan
dokumen operasional penting lainnya) jua perlu dilakukan untuk menyediakan
dasar untuk deskripsi tertulis mengenai kegiatan operasional auditee.
Internal Control Description & Analysis
Pada tahap ini, auditor menyiapkan deskripsi terinci atas internal control auditee
yang berhubungan dengan area yang direview. Uji terbatas atas control tersebut
dapat dilakukan pada tahap ini untuk menentukan jumlah dan ukuran uji
lanjutan di masa depan yang diperlukan. Berdasarkan informasi ini, auditor akan
mengevaluasi system internal control untuk menentukan apakah stuktur
pengendalian yang ada (jika efektif) dapat menghasilkan tingkat control yang
diharapkan. Pada tahap ini, penilaian resiko juga dapat dilakukan untuk
menentukan apakah diperlukan adanya perubahan tujuan dan aliran audit, serta
seberapa banyak pengujian lanjutan yang perlu dilakukan sebelum mengambil
kesimpulan.
Expanded Tests
Pengujian lanjutan dapat terdiri dari pemeriksaan record dan dokumen,
wawancara dengan personel dan pihak manajemen auditee, observasi kegiatan
operasi, pemeriksaan asset, pemeriksaan file-file komputer, membandingkan
hasil audit dengan laporan auditee, dan prosedur-prosedur lain yang didesain
untuk menguji keefektifan sistem internal control.
Finding & Recommendation
Berdasarkan situasi aktual yang terjadi dalam kegiatan operasi, auditor akan
mengembangkan findings (temuan) dan menentukan perubahan apa yang perlu
dilakukan (jika ada) untuk meningkatkan internal control. Finding dapat dicatat
dalam bentuk kertas kerja dimana harus mencantumkan unsur unsur : Criteria,
Condition, Effect, dan Cause. Berdasarkan finding tersebut, auditor kemudian
dapat membuat rekomendasi yang dapat diterapkan pihak auditee.
Report Production
Tahap ini adalah tahap penyusunan laporan audit. Laporan audit harus dibuat
dengan sebaik-baiknya, bersifat persuasive, dna dibuat dengan tepat waktu.
Laporan juga sebaiknya mencantumkan respons auditee untuk memberikan
jaminan objektivitas dari laporan akhir karena memperkenankan pihak auditee
untuk tidak menyetujui hasil observasi auditor secara formal.
Follow Up
Rekomendasi yang telah dibuat dalam laporan audit perlu untuk di follow up
untuk mengetahui respons atau tindakan yang akan diambil manajemen
menghadapi masalah yang ada.
Audit Evaluation
Tahap akhir dalam audit merupakan evaluasi yang dibuat oleh para auditor itu
sendiri. Evaluasi ini merupakan pengendalian yang penting untuk fungsi audit
itu sendiri, dimana dilakukan self-assessment setiap akhir projek audit.

20. Dari Physical Access audit & Logical Access audit, apakah kedua nya harus
dilakukan atau boleh hanya melakukan salah satu saja?
Boleh dilakukan hanya salah satu saja maupun dua-duanya. Namun audit yang lebih
penting untuk dilakukan adalah Logical access audit.

21. Apakah perbedaan Integrated IT Auditor dengan Integrated IT Audit ? dan


kapan kedua Pendekatan ini cocok untuk diterapkan?
Integrated Auditor
Konsep dasarnya adalah mengembangkan seperangkat keterampilan auditor yang pada
dasarnya untuk melatih auditor keuangan / operasional menjadi auditor IT parsial
dengan cara memberikan pelatihan dasar teknologi informasi dan audit IT. Berbekal
pada pemahaman dasar komputer dan kontrol umum serta aplikasi, semua auditor akan
dapat memasukkan pertimbangan IT control di setiap audit nya, serta menggunakan
CAATs dasar (tanpa sepenuhnya bergantung pada staf audit IT).

Di dunia sekarang ini, semua auditor harus memiliki beberapa tingkat keahlian IT dan
pada kenyataannya, semua auditor telah menjadi integrated auditor, hanya beberapa
yang memiliki pengetahuan dan keterampilan yang lebih besar daripada yang lain.
Integrasi yang efektif bergantung pada:
Perluasan pengetahuan IT bagi masing-masing dan setiap auditor
Penugasan audit berdasarkan tingkat pengetahuan dan keterampilan
Perluasan peralatan dan dukungan audit IT
Pengawasan teknis yang efektif
Integrated Audit
Solusi alternatif yang dipilih oleh beberapa organisasi adalah memfokuskan sumber
daya mereka secara lebih langsung dengan menyediakan/menghasilkan produk
integrated audit daripada mengembangkan integrated auditor. Daripada mencoba
memperluas basis pengetahuan individu, mereka berusaha menerapkan basis
pengetahuan yang ada saat ini di dalam organisasinya dengan mengumpulkan tim audit
termasuk auditor IT yang terlatih serta auditor yang terlatih secara finansial /
operasional untuk bekerja sama.
Pendekatan ini disukai oleh organisasi yang telah menggunakan tim lintas fungsional
secara luas.

22. Apakah perbedaan Specialist IT Auditor dengan Konvensional IT Auditor?


Specialist IT Auditor
Banyak perusahaan menggunakan seorang spesialis untuk menjalankan fungsi dari
IT audit mereka untuk area dimana dianggap terlalu sulit bagi auditor IT
konvensional. Area-area tersebut meliputi audit performance dengan sistem
terkomputerisasi, audit keamanan komputer, audit telekomunikasi, dsb. Dalam situasi
ini, perusahaan biasanya memilih untuk menyewa spesialis dibanding dengan
merekrutnya sebagai karyawan karena spesialis IT audit seperti ini dapat menghambat
progress dari karir nya karena hanya dibutuhkan pada saat IT audit, IT sekuritas, atau
hanya IT saja.

Konvensional IT Auditor

Audit IT secara tradisional didasarkan pada paradigma yang mengendalikan sama


dengan kontrol manajemen bahwa pengendalian manajemen dimulai dengan tata kelola
sehingga Top manajemen dapat mengendalikan segala hal, dan kontrol tersebut
diterapkan.

Audit IT berfokus pada berbagai aspek berbasis computer dalam system informasi
perusahaan. Meliputi penilaian implementasi, operasi dan pengendalian sumber daya
computer yang tepat. Karena kebanyakan sisem informasi modern menggunakan
teknologi informasi, audit IT biasanya merupakan komponen penting dalam semua
audit eksternal dan internal.