Anda di halaman 1dari 37

SOAL JAWAB Pertanyaan Kelas

1 A. Mengapa Proses Understanding Organization Business harus ditempatkan di nomor 1 dalam


proses Manajemen?

MANAGEMENT PROCESS Understanding Organization Business

Proses manajemen dimulai dengan Understanding Organization Business , Karena Sampai hal ini
tercapai, setiap upaya untuk menentukan kebutuhan organisasi akan paling menyesatkan dan paling
buruk. Begitu keseluruhan tujuan dan lingkungan bisnis telah ditetapkan, menetapkan kebutuhan
menjadi tugas yang relatif mudah. Kebutuhan organisasi dapat ditentukan dengan mengidentifikasi dan
memeriksa kegiatan utama yang kinerjanya efektif dapat membuat atau menghancurkan organisasi.

Kegiatan utama ini harus dipantau sendiri dan karena itu tujuan kinerja ambisius harus ditetapkan pada
awal proses perencanaan. Untuk setiap tujuan kinerja akan ada berbagai ancaman yang, jika dipenuhi,
akan mengurangi efektivitas atau sama sekali meniadakan tujuan. Ini harus dinilai dalam penilaian risiko
formal untuk menentukan strategi coping korporat yang tepat. Strategi coping atau Control harus
ditentukan oleh manajemen dan kontrol yang tepat dipilih. Kontrol sebenarnya harus
diimplementasikan dan dipantau dan harus ada kontrol untuk memastikan hal ini terjadi. Kontrol, yang
diterapkan sekali harus efektif. Dalam kinerja dan pengelolaan berkala harus mengevaluasi dan
meninjau kinerja dengan strategi ini.

1 B. Bagaimana cara memahami Proses Understanding Organization Business?

UNDERSTANDING THE ORGANIZATIONS BUSINESS

Pembacaan & melakukan analisis laporan tahunan untuk mendapatkan keseluruhan gambar.
Melakukan staf wawancara agar bisa mengevaluasi pemahaman mereka tentang bisnis dan juga
untuk mengkonfirmasi pemahaman auditor
Melakukan Kunjungan lapangan untuk mengamati pengoperasian fungsi bisnis tertentu
Membandingkan pemahaman terkini dengan teori yang berlaku selama tinjauan sebelumnya

1 C. Dokumen apa yang harus dimiliki terkait dengan Proses Understanding Organization Business ?

Untuk memahami Organization Business, auditor dapat melihat ke dokumen perusahaan berikut ini :

Corporate charter and bylaws


Code of ethics
Risalah rapat
Dalam melakukan pemahaman terhadap bisnis dan operasional client , maka auditor harus melihat
beberapa faktor sebagai berikut :

Sumber utama pendapatan client


Customers dan supplier kunci
Sumber financing (pendanaan)
Informasi mengenai related parties (pihak terkait client)

3. Sebutkan Pengertian / Definisi dan Penjelasan nya dari pada IT Governance

Tata kelola teknologi informasi / IT governance adalah suatu cabang dari tata kelola perusahaan yang
terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya. Meningkatnya
minat pada tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan (seperti Sarbanes-
Oxley di Amerika Serikat dan Basel II di Eropa) serta semakin diakuinya kemudahan proyek TI untuk
lepas kendali yang dapat berakibat besar terhadap kinerja suatu organisasi.

Tema utama diskusi tata kelola TI adalah bahwa teknologi informasi tidak bisa lagi menjadi suatu kotak
hitam. Secara tradisional, penanganan pengambilan keputusan kunci di bidang teknologi informasi
diberikan kepada para profesional TI karena keterbatasan pengalaman teknis eksekutif lain di tingkatan
direksi perusahaan serta karena kompleksitas sistem TI itu sendiri. Tata kelola TI membangun suatu
sistem yang semua pemangku kepentingannya, termasuk direksi dan komisaris serta pengguna internal
dan bagian terkait seperti keuangan, dapat memberikan masukan yang diperlukan untuk proses
pengambilan keputusan. Hal ini mencegah satu pihak tertentu, biasanya TI, disalahkan untuk suatu
keputusan yang salah. Hal ini juga mencegah munculnya keluhan dari pengguna di belakang hari
mengenai sistem yang tak memberikan hasil atau kinerja sesuai yang diharapkan.

4. Sebutkan Peran Auditor (Audit Role) di dalam IT Audit sebagai Internal Auditor & Eksternal Auditor

Auditor IT bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut kemungkinan akan
menilai risiko dan kontrol IT. Kadang-kadang hal ini dilakukan sebagai pendukung untuk pekerjaan audit
keuangan, dan pada waktu lain tujuan evaluasi risiko dan kontrol IT dilakukan untuk kepentingan diri
sendiri. Pada dasarnya auditor TI dapat memberikan jaminan atau memberikan kenyamanan atas apa
saja yang berhubungan dengan sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang
dapat dilakukan oleh auditor IT termasuk:

Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis, perencanaan
sumber daya perusahaan (ERP system), atau perangkat lunak lain.
Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa prosedur audit yang
disepakati di mana klien dan auditor IT menentukan cakupan jaminannya.
Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus mengevaluasi risiko dan
kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.
Pengujian akan adanya resiko pembobolan data. Hal ini melibatkan proses untuk mencoba
mendapatkan akses ke sumber daya informasi untuk menemukan kelemahan dari sistem
keamanan.
Pendukung audit keuangan. Hal ini mencakup evaluasi mengenai resiko dan control IT yang
dapat mempengaruhi keandalan sistem pelaporan keuangan.
Menyelidiki penipuan berbasis IT. IT auditor bisa dipanggil untuk membantu investigasi dalam
penyelidikan penipuan

5. Apakah hubungan dari pada IT Audit dengan Eksternal Audit

Hubungan internal IT AUDIT DENGAN EXTERNAL AUDIT

- Hubungan antara IT audit dengan eksternal auditor adalah tanggung jawab utama auditor eksternal
adalah perusahaan dan semua stakeholdersnya. Eksternal auditor juga memiliki tanggung jawab secara
hukum untuk melaporkan masalah keuangan. IT Auditing membentuk sebuah peran dalam memenuhi
tanggung jawab hukum tersebut. Sementara IT audit merupakan bagian integral dari fungsi internal
audit, IT audit juga harus dilihat sebagai fungsi yang terintegrasi dalam pelaksanaan pekerjaan auditor
eksternal independen.
6A-1 . Apa keunggulan dan kelemahan outsourcing IT Audit

Keunggulan :

- Dapat lebih fokus kepada core business yang sedang dijalankan


- Dapat mengurangi biaya
- Dapat mengubah biaya investasi menjadi biaya belanja
- Tidak dipusingkan jika terjadi turnover tenaga kerja
- Tidak perlu membuang-buang waktu dan tenaga untuk suatu pekerjaan yang bukan
merupakan inti bisnis atau pekerjaan yang bukan utama
- Memberdayakan anak perusahaan

Kelemahan :

- Produktivitas justru menurun jika perusahaan outsourcing yang dipilih tidak kompeten
- Pemilihan perusahaan jasa outsourcing yang salah bisa berakibat beralihnya status
hubungan kerja dari perusahaan pemberi jasa pekerja ke perusahaan penerima jasa pekerja
- Terkena kewajiban ketenagakerjaan jika perjanjian kerja sama dengan perusahaan
outsourcing tidak diatur dengan tegas dan jelas di awal kerja sama
- Regulasi yang belum kondusif akan membuat penentuan core dan non core juga belum jelas

6A-2 . Apa keunggulan dan kelemahan IT Audit In House

Keunggulan :

- Tidak Terkena kewajiban ketenagakerjaan jika perjanjian kerja sama dengan perusahaan
outsourcing tidak diatur dengan tegas dan jelas di awal kerja sama
- Tidak adanya resiko akibat kesalahan pemilihan perusahaan outsourcing yang kemungkinan
dipilih tidak kompeten.
- Adanya Regulasi yang kondusif terkait dengan UU ketenagakerjaan bagi karyawan In House
- Dasar Peraturan Hukum yang kuat bagi ketenagakerjaan In House

Kelemahan :

- Dapat menambah beban biaya Tenaga Kerja


- Mempersulit jika terjadi turnover tenaga kerja
- Membuang-buang waktu dan tenaga untuk suatu pekerjaan yang bukan merupakan inti
bisnis atau pekerjaan yang bukan utama
- Berpotensi tidak berfokus kepada core business yang sedang dijalankan
6 B. Carilah UU yang mengatur mengenai IT Audit

Information Systems Audit and Control Association (ISACA): Code of Professional


Ethics
ISACA Information Technology (IT) Auditing Standards terkini: Auditing Standard and
Guidelines Standards
Institute of Internal Auditors (IIA): Code of Ethics, Standards for the Professional
Practice of Internal Auditing and Practice Advisories.

Kerangka untuk Standar Audit TI menyediakan berbagai tingkat bimbingan:

Standards menetapkan persyaratan wajib untuk audit IT dan penyajian laporan


termasuk:

Standar tingkat minimum kinerja yang diperlukan untuk memenuhi tanggung


jawab profesional minimal yang ditetapkan dalam kode etik profesional ISACA
untuk auditor IT.

Manajemen dan pihak berelasi lain yang berhubungan dengan harapan para ahli
mengenai karya-karya praktisi.

Pemegang dari Certified Information Systems Auditor (CISA). Kegagalan


untuk mematuhi standar-standar ini dapat berakibat dalam penyelidikan terhadap
pemegang CISA oleh direksi ISACA atau Komite ISACA sesuai dan, akhirnya,
tindakan disiplin.

Guidelines memberikan bimbingan dalam menerapkan Standar Audit. Auditor IT harus


menyadarinya dalam menentukan bagaimana cara mencapai penerapan standar,
menggunakan penilaian profesional dalam aplikasi mereka, dan bersiap untuk
menyamakan perbedaan. Tujuan dari pedoman audit ini adalah untuk memberikan
informasi lebih lanjut tentang bagaimana cara untuk mematuhi standar audit TI.

Procedures menyediakan contoh prosedur yang dapat diikuti oleh auditor dalam sebuah
perjanjian audit. Dokumen prosedur memberikan informasi tentang bagaimana cara untuk
memenuhi standar ketika melakukan pekerjaan audit IT, tetapi tidak menetapkan
persyaratan. Tujuan prosedur audit ini adalah untuk memberikan informasi lebih lanjut
tentang bagaimana untuk mematuhi standar audit TI.

7. Jelaskan pengertian dan isi dari COBIT!


COBIT (Control Objectives for Information and Related Technology) adalah sebuah
proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan
sumber daya teknologi informasi (IT).

Cobit memiliki 4 Cakupan Domain :


1. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang
bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.

COBIT meliputi:
Control objectives. Pernyataan umum tingkat tinggi dan rinci atas ukuran
minimum kontrol yang baik
Control practices. Bimbingan praktis yang rasional dan panduan untuk
mencapai control objectives
Audit guidelines. Bimbingan untuk setiap area kontrol mengenai cara
mendapatkan pemahaman, mengevaluasi setiap kontrol, menilai kepatuhan
dan memperkuat risiko kontrol yang tidak terpenuhi
Management guidelines. Panduan tentang bagaimana cara menilai dan meningkatkan
proses kinerja IT, menggunakan maturity model, metrik, dan critical success factor.

8. Jelaskan pengertian dan isi dari COSO!


Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat
reasonable assurance mengenai:
Efektifitas dan efisiensi operasional
Reliabilitas pelaporan keuangan
Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling
terkait, yaitu:
Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring
Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar
untuk semua komponen pengendalian intern, menyediakan disiplin dan
struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan
mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam organisasi
tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara
lain integritas dan nilai etik, komitmen terhadap kompetensi, dewan direksi dan komite
audit, gaya manajemen dan gaya operasi, struktur organisasi, pemberian wewenang dan
tanggung jawab, praktik dan kebijkan SDM. Auditor harus memperoleh pengetahuan
memadai tentang lingkungan pengendalian untuk memahami sikap, kesadaran, dan
tindakan manajemen, dan dewan komisaris terhadap lingkungan pengendalian intern,
dengan mempertimbangkan baik substansi pengendalian maupun dampaknya
secarakolektif.

Penaksiran Risiko
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan
untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko
harus dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi,
analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang
disajikan sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi
spesifik laporan keuangan dengan aktivitas seperti pencatatan, pemrosesan,
pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang relevan dengan pelaporan
keuangan mencakup peristiwa dan keadaan intern maupun ekstern yang dapat terjadi dan
secara negatif mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas,
dan melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan
keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain
perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau
yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi
korporasi, operasi luar negeri, dan standar akuntansi baru.

Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa
tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas.
Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat
organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin relevan dengan
audit dapat digolongkan sebagai kebijakan dan prosedur yang berkaitan dengan review
terhadap kinerja, pengolahan informasi, pengendalian fisik, dan pemisahan tugas.
Aktivitas pengendalian dapat dikategorikan sebagai berikut.
a) Pengendalian Pemrosesan Informasi
pengendalian umum
pengendalian aplikasi
otorisasi yang tepat
pencatatan dan dokumentasi
pemeriksaan independen
b) Pemisahan tugas
c) Pengendalian fisik
d) Telaah kinerja

Informasi Dan Komunikasi


Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran
informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan
tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang
meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan,
menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta
menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan deskripsi
tugas individu dan tanggung jawab berkaitan dengan struktur pengendalian intern dalam
pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai tentang sistem
informasi yang relevan dengan pelaporan keuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan
yang tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai
dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan
untuk mengirim, memproses, memelihara, dan mengakses informasi.

Pemantauan / Monitoring
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern
sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian
tepat waktu dan pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan
yang berlangsung secara terus menerus, evaluasi secara terpisah, atau dengan berbagai
kombinasi dari keduanya. Di berbagai entitas, auditor intern atau personel yang
melakukan pekerjaan serupa memberikan kontribusi dalam memantau aktivitas entitas.
Aktivitas pemantauan dapat mencakup penggunaan informasi dan komunikasi dengan
pihak luar seperti keluhan pelanggan dan respon dari badan pengatur yang dapat
memberikan petunjuk tentang masalah atau bidang yang memerlukan perbaikan.
Komponen pengendalian intern tersebut berlaku dalam audit setiap entitas. Komponen
tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas, karakteristik
kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan kompleksitas
operasi entitas, metode yang digunakan oleh entitas untuk mengirimkan, mengolah,
memelihara, dan mengakses informasi, serta penerapan persyaratan hukum dan peraturan

Fokus Internal Coso:


a. Fokus Pengguna Utama adalah manajemen.
b. Sudut pandang atas internal control adalah kesatuan beberapa proses secara
umum.
c. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta
kesesuaian dengan peraturan yang berlaku.
d. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen
resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
e. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
f. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam poin waktu tertentu.
g. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.

9. Sebutkan contoh dari IT Security Policy


Kebijakan keamanan (Security Policy) adalah definisi tentang apa artinya menjadi aman
bagi sebuah organisasi, sistem atau entitas lain. Untuk sebuah organisasi, itu alamat
kendala pada perilaku anggotanya serta kendala dikenakan pada musuh oleh mekanisme
seperti pintu, kunci, kunci dan dinding. Untuk sistem, kebijakan keamanan alamat
kendala pada fungsi dan aliran di antara mereka, kendala pada akses oleh sistem eksternal
dan musuh termasuk program-program dan akses ke data oleh orang-orang.

Tujuan dasar dari suatu kebijakan (Policy);


1. Melindungi pengguna (user) dan informasi
2. Membuat aturan sebagai arahan untuk pengguna (user), sistem administrator,
manajemen dan petugas keamanan sistem informasi (IT security)
3. Menetapkan petugas keamanan untuk pengawasan, penyelidikan atau
pemeriksaan
4. Membantu mengurangi resiko yang mungkin akan muncul
5. Membantu arahan kepatuhan pada peraturan dan undang-undang
6. Menetapkan peraturan resmi perusahaan mengenai keamanan
Siapa yang akan menggunakan IT security Policy;
1. Manajemen pada semua tingkatan
2. Technical staff sistem administrator dan lainny
3. Pengguna (user)
Keamanan data akan sangat membantu user untuk pengawasan dan memastikan
informasi tersebut aman dari gangguan ataupun ancaman dari pihak yang tidak
berhak.
Ada 3 aspek mengenai data security, sebagai berikut;
Confidentiality; melindungi informasi dari orang luar yang tidak berhak, atau
penghapusan informasi.
Integrity; melindungi informasi dari modifikasi yang tidak berhak dan memastikan
informasi tersebut akurat dan lengkap
Availability; memastikan informasi tersedia ketika dibutuhkan
Data-data tersebut disimpan dalam tempat yang beragam seperti server, PC, laptop, CD-
ROM, Flash disk, Media backup dan lainnya. Kemungkinan yang bisa menjadi penyebab
data-data tersebut hilang adalah
1. Natural Disaster (seperti kebakaran, banjir, dan lainnya)
2. Virus
3. Kesalahan manusia (human errors)
4. Software malfunction (kesalahan software)
5. Hardware dan software malfunction
Dalam pembuatan kebijakan, berikut contoh topik yang termasuk dalam isi IT Security
Policy adalah sebagai berikut
A. Kebijakan untuk pengguna umum (end users)
Penggunaan CD, Flash disk
Password
Backup
File
B. Kebijakan untuk Departemen
Tentang prosedur keamanan tempat kerja, telephone
alarm
pengetahuan tentang keamanan sistem informasi
C. Kebijakan untuk Administrator
Pembelian hardware
Pengawasan hak akses
Jaringan komputer
Operating System (OS)
Software
Cyber crime
Backup
LAN
Perlindungan terhadap virus
D. Kebijakan untuk DBA
Transfer dan perubahan data
Penyimpanan data
Database
DBA skill
10. Jelaskan mengenai Computer Operational Procedure untuk audit!
Untuk IT Function:
Obtain and review security policy
Verify policy is communicated
Review relevant documentation (org. chart, mission statement, key job
descriptions)
Review systems documentation and maintenance records (using a sample)
Verify whether maintenance programmers are also original design programmers
Observe segregation policies in practice
Review operations room access log
Review user rights and privileges

Untuk pengawasan DDP Environment

Verify corporate policies and standards are communicated


Review current organization chart, mission statement, key job descriptions to
determine if any incompatible duties exist
Verify compensating controls are in place where incompatible duties do exist
Review systems documentation
Verify access controls are properly established

Untuk pengawasan pusat komputer (computer central controls)

Tests of physical construction


Tests of fire detection
Tests of access control
Tests of backup power supply
Tests for insurance coverage
Tests of operator documentation controls

Untuk pengawasan system-wide

Verify a second-site backup is adequate


Review the critical application list for completeness
Verify backups of application software are stored off-site
Verify that critical data files are backed up and readily accessible to DRP team
Verify resources of supplies, documents, and documentation are backed up and
stored off-site
Verify that members listed on the team roster are current employees and that they
are aware of their responsibilities

Untuk toleransi kesalahan (fault tolerance)

Verify proper level of RAID devices


Review procedures for recovery from system failure
Verify boot disks are secured

11. Carilah findings, impact, dan recommendation dari point-point kontrol akses terhadap
informasi dan sumber daya yang ada di bawah ini!
a. Persyaratan bisnis untuk kendali akses
Findings:
Terdapat hacker yang dengan canggih dapat menerobos perlindungan sistem
perusahaan dan memperoleh kendali akses untuk masuk ke data-data penting
perusahaan.
Impact:
Data rahasia perusahaan menjadi bocor kepada orang lain yang menimbulkan
kerugian yang sangat serius bagi perusahaan karna dapat mengancam reputasi
serta nama baik perusahana.
Recommendation:
Menerapkan otentifikasi pemakai (user authentication) yang didasarkan pada tiga
cara, yaitu :
1) Sesuatu yang diketahui pemakai, misalnya : password, kombinasi kunci,
nama kecil ibu mertua, dan sebagainya.
2) Sesuatu yang dimiliki pemakai, misalnya : badge, kartu identitas, kunci,
dan sebagainya.
3) Sesuatu mengenai (ciri) pemakai, misalnya : sidik jari, sidik suara, foto,
tanda tangan.
b. Pengelolaan akses user (User Access Management)
Findings:
Tidak adanya pengaturan yang jelas mengenai akses setiap user dalam
perusahaan, di mana data-data dapat diakses oleh orang-orang yang tidak
memiliki kepentingan terhadap hal tersebut.
Impact:
Data yang seharusnya menjadi rahasia perusahaan, tidak dapat dijaga kerahasiaan,
menimbulkan data tercuri, terduplikat, terhapus, atau bahkan dirusak oleh virus
dan ancaman sejenis lainnya.
Recommendation:
Membagi dengan jelas akses-akses setiap unit sehingga tidak menimbulkan
kekeliruan dalam melaksanakan operasi perusahaan. Misal akses data inventory di
gudang hanya diberikan kepada bagian gudang yang berwenang untuk
menghitung dan mengatur jalannya serah-terima inventory.
c. Kesadaran keamanan informasi (User Responsibilities)
Findings:
Sejumlah kasus kejahatan komputer yang dilakukan secara sengaja contohnya :
pencurian data, aktivitas spionase, percobaan backing, tindakan vandalism.
Ancaman serupa juga disebabkan karena kejadian lain seperti bencana alam,
misalnya ; banjir, gempa bumi, tsunami, dan kebakaran. Ketergantungan kinerja
organisasi terhadap sistem informasi mengandung arti bahwa keseluruhan
ancaman terhadap keamanan informasi tersebut merupakan fortofolio resiko yang
dihadapi oleh organisasi yang bersangkutan.
Impact:
Dengan amannya keseluruhan lingkungan tempat informasi berada maka
kerahasiaan, integritas, dan ketersediaan informasi akan dapat secara efektif
berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dan citra
organisasi yang memiliki aset penting tersebut.
Recommendation:
Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya
upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur
manajemen yang sesuai. Proses tersebut dimulai dari pengidentifikasian sejumlah
kontrol yang relevan untuk diterapkan dalam Organisasi, yang tentu saja harus
berdasarkan pada analisa kebutuhan aspek keamanan informasi seperti apa yang
harus dimiliki perusahaan. Setelah kebijakan, prosedur, dan panduan teknis
operasional mengenai kontrol yang harus diterapkan dalam Organisasi disusun,
langkah berikutnya adalah sosialisasi keseluruhan piranti tersebut ke segenap
lapisan manajemen dan karyawan organisasi untuk mendapatkan dukungan dan
komitmen.
d. Kendali akses ke jaringan
Findings
Ancaman terhadap sistem komputer dikategorikan menajdi empat ancaman,
yaitu :
Interupsi
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau
tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh: penghancuran bagian perangkat keras, seperti harddisk atau
pemotongan kabel komunikasi
Intersepsi
Pihak tak diotorisasi dapat mengakses sumber daya. Intersepsi
merupakan ancaman terhadap keterahasiaan. Pihak tak diotorisasi dapat
berupa orang atau progaram komputer. Contoh: penyadapan untuk
mengambil data rahasia atau mengkopi file tanpa diotorisasi.
Modifikasi
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber
daya. Modifikasi merupakan ancaman terhadap integritas. Contoh:
mengubah nilai-nilai file data, mengubah program sehingga bertindak
secara berbeda atau memodifikasi pesan-pesan yang ditransmisikan pada
jaringan.
Fabrikasi
Pihak tak diotorisasi menyisipkan atau memasukkan objek-objek palsu ke
sistem. Fabrikasi merupakan ancaman terhadap integritas. Contoh:
memasukkan pesan-pesan palsu ke jaringan atau menambahan record ke
file.
Impact
Terdapat dua masalah penting, yaitu:
Kehilangan data (data loss)
Dapat disebabkan karena bencana (kebakaran, banjir, gempa bumi,
perang, kerusuhan, binatang), kesalahan perangkat keras dan perangkat
lunak (ketidakberfungsian pemroses, disk atau tape yang tidak terbaca,
kesalahan telekomunikasi, kesalahan program (bugs) kesalahan atau
kelalaian manusia (kesalahan pemasukan data, memasang tape atau disk
yang salah, eksekusi program yang salah, kehilangan disk atau tape).
Penyusup (hacker)
Terdiri dari penyusup pasif, yaitu yang membaca data yang tak
diotorisasi dan penyusup aktif, yaitu yang mengubah data yang tak
diotorisasi. Kategori penyusupan: penyadapan oleh orang dalam, usaha
hacker dalam mencari uang, spionase militer atau bisnis. Perkembangan
dunia internet saat ini membawa konsekuensi meningkatnya resiko
keamanan terhadap sistem operasi. Oleh karena itu, sistem operasi harus
memiliki ketahanan keamanan. Bagi kebanyakan pengembang sistem
operasi saat ini, keamanan adalah salah satu permasalahan utama.
Recommendation
Keamanan sistem komputer adalah untuk menjamin sumber daya tidak
digunakan atau dimodifikasi orang tak terotorisasi. Pengamanan termasuk
masalah teknis, manajerial, legalitas dan politis. Keamanan sistem terbagi
menjadi tiga, yaitu :
Keamanan eksternal (external security).
Berkaitan dengan pengamanan fasilitas komputer dari penyusup (hacker)
dan bencana seperti kebakaran dan kebanjiran.
Keamanan interface pemakai (user interface security).
Berkaitan dengan identifikasi pemakai sebelum pemakai diijinkan
mengakses program dan data yang disimpan.
Keamanan internal (internal security).
Berkaitan dengan pengamanan beragam kendali yang dibangun pada
perangkat keras dan sistem operasi yang menjamin operasi yang handal
dan tak terkorupsi untuk menjaga integritas program dan data.
Istilah keamanan (security) dan proteksi (protection) sering digunakan
secara bergantian. Untuk menghindari kesalahpahaman, istilah keamanan
mengacu ke seluruh masalah keamanan, dan istilah mekanisme proteksi
mengacu ke mekanisme sistem yang digunakan untuk
memproteksi/melindungi informasi pada sistem komputer.

e. Kendali akses terhadap sistem operasi


Findings
Bencana alam menyebabkan korban jiwa, merugikan dan membuat sejumlah
besar masyarakat mengungsi serta dapat merusak peralatan perusahaan.
Bencana alam dapat datang kapan saja dan sangat mengganggu kegiatan
usaha perusahaan, menyebabkan kerusakan pada peralatan dan memberikan
pengaruh buruk terhadap kinerja finansial dan keuntungan perusahaan.
Impact
Bencana alam menyebabkan kegiatan perusahaan berhenti, di mana hal ini
tentu merugikan perusahaan dari segi finansial maupun efektivitas kinerja
operasional perusahaan.
Recommendation
Untuk meminimalisir kerugian yang mungkin ditimbulkan dengan adanya
bencana alam, sebaiknya perusahaan menginvestasikan aset-aset yang
bernilai tinggi ke dalam asuransi sehingga apabila terjadi bencana alam,
perusahaan masih bisa mengklain kerugian ke perusahaan asuransi yang
bersangkutan. Selain itu, perusahaan juga dapat melakukan survey terlebih
dahulu sebelum menentukan lokasi didirikannya perusahaan melalui riwayat
lokasi tempat didirikannya perusahaan, apakah pernah terjadi bencana alam di
tempat tersebut atau tidak.

f. Pengelolaan akses terhadap aplikasi.


Findings
Peran kurang jelas
Sekalipun peran dapat dilihat sebagai sarana manajemen yang penting,
sering kali timbul ketidakjelasan mengenai apa sesungguhnya yang
dilibatkan baik dari segi keterampilan maupun kegiatan. Di samping itu,
kurangnya pemahaman dapat menimbulkan pertanyan siapa
sesungguhnya yang harus bertanggung jawab dalam pelatihan. Atasan
mungkin saja tidak memiliki pengertian mendalam tentang apa yang
harus dilakukannya dalam pelatihan, kapan dan bagaimana
melakukannya. Selain itu, terdapat pula ketidakpastian mengenai
seberapa banyak penyuluhan, pengarahan, dan dukungan sosio-emosional
uang dibutuhkan.
Gaya manajemen kurang sesuai
Gaya manajemen merupakan pola perilaku konsisten yang digunakan
atasan saat bekerja bersama dan melalui orang lain. Atasan
mengembangkan kebiasaan bertindak yang untuk selanjutnya akan dapat
diduga oleh mereka yang bekerja bersamanya. Tak mustahil mereka
khawatir bila kebiasaan tersebut harus diubah ataupun diganti, suatu
situasi yang menimbulkan perasaan kurang aman bagi semua pihak yang
terlibat di dalamnya. Kepercayaan terhadap bawahan sering kali
dipengaruhi oleh pandangan atasan mengenai tabiat atau sifat manusia.
Keterampilan komunikasi tidak memadai
Keterampilan komunikasi tulis dan tulisan sangat pentting dalam situasi
pelatihan. Keberhasilan dan kegagalan atasan sebagai pelatih bergantung
pada kemampuan mereka dalam menyampaikan pikiran, perasaan dan
kebutuhan. Atasan seharusnya juga dapat menerima upaya para bawahan
untuk melakukan hal serupa. Atasan yang cenderung bertele-tele, di
samping memberikan instruksi dan penjelasan ala kadarnya, akan
menimbulkan suasana yang membingungkan dan menghambat
komunikasi.
Kurangnya motivasi
Bila seorang atasan ditanya apakah mereka berhasil sebagai pelatih,
jawaban mereka pada umumnya adalah ya, saya rasa demikian.
Kesulitan ini timbul karena saran pembangkit motivasi yang dipilih tidak
sesuai dengan kebutuhan perorangan yang dimaksudkan pada saat yang
sama. Sebagai pelatih, atasan mempunyai tambahan menciptakan
lingkungan bermotivasi bagi bawahan. Namun, dengan organisasi yang
kian diperamping dan jumlah pekerja kian menyusutataupun
diintegrasikan, kesulitan pun semakin membengkak.
Impact
Karyawan merasa terbebani dengan adanya pelatihan, dengan alasan banyak
tugas yang harus dilakukan. Pada umumnya orang jauh lebih terampil dan
memiliki pendidikan yang lebih baik dibanding masa-masa sebelumnya.
Orang lebih tertarik pada kualitas dan nilai kerja dibanding para rekan kerja
masa lalu. Namun, bila sebuah departemen akan menjalani proses perubahan,
sebagian besar bawahan akan bergantian mengalami keyakinan dan keraguan,
yang tentunya akan menimbulkan pengaruh sangat jelas pada motivasi dan
moral.
Recommendation
Pelatihan dan pengembangan karyawan yang dilakukan seringkali berjalan
tidak sesuai dengan yang diharapkan oleh perusahaan, ini menjadi tantangan
perusahaan karena program pelatihan dan pengembangan ini menghabiskan
dana yang tidak sedikit. Oleh sebab itu, perusahaan harus melakukan evaluasi
dari program yang dilakukan untuk mengetahui seberapa jauh sasaran dan
tujuan pelatihan yang telah dicapai, sebab keberhasilan atau kegagalan dari
suatu program pelatihan dan pengembangan sangat diperlukan sebagai
informasi dan masukan untuk perencanaan dan pelaksanaan program
pelatihan dan pengembangan selanjutnya. Untuk menilai outcomes pelatihan,
manajer sumber daya manusia harus mendokumentasikan bagaimana perilaku
peserta pelatihan sebelum dan setelah mengikuti pelatihan

g. Pengawasan dan penggunaan akses sistem


Findings
Serangan-serangan dalam keamanan computer:
1. Serangan untuk mendapatkan akses
Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
a. Teknik mencoba semua kemungkinan password
b. Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama
anak, tanggal lahir
2. Serangan untuk melakukan modifikasi
Setelah melakukan serangan akses biasanya melakukan sesuatu pengubahan
untuk mendapatkan keuntungan. Contoh:
a. Merubah nilai
b. Penghapusan data hutang di bank
3. Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah atau
pengaruh luas dan kuat untuk mengakses sebuah informasi. Misal :
mengganggu aplikasi, mengganggu System, atau mengganggu jaringan.
Impact
- Interuption: ancaman terhadap availability, yaitu data dan informasi yang
berada dalam system computer yang dirusak dan dibuang sehingga
menjadi tidak ada atau menjadi tidak berguna.
- Interception: merupakan ancaman terhadap secrey, yaitu orang yang
tidak berhak mendapatkan akses informasi dari dalam system computer
- Modification: merupakan ancaman terhadap integritas, yaitu orang yang
tidak berhak, tidak hanya berhasil mendapatkan akses, melainkan juga
dapat melakukan pengubahan terhadap informasi.
- Fabrication: adanya orang yang tidak berwenang, meniru atau
memalsukan suatu objek ke dalam system.
Recommendation
Tips Keamanan Sistem (terhadap virus, trojan, worm,spyware) :
a. Gunakan Software Anti Virus
b. Blok file yang sering mengandung virus
c. Blok file yang menggunakan lebih dari 1 file extension
d. Pastikan semua program terverifikasi oleh tim IT di unit kerja masing-
masing
h. Mendaftar ke layanan alert email
i. Gunakan firewall untuk koneksi ke Internet
j. Uptodate dengan software patch
k. Backup data secara reguler
l. Hindari booting dari floopy disk
m. Terapkan kebijakan Sistem Keamanan Komputer Pengguna

h. Mobile computing and telenetworking


Findings
Ancaman yang mungkin terjadi dalam keamanan fisik dapat dibagi menjadi:
1. Ancaman alam. Seperti banjir, gempa bumi, badai dan tornado,
kebakaran, kondisi temperatur, dan lain sebagainya.
2. Ancaman sistem. Seperti distribusi tegangan, gangguan komunikasi,
gangguan ke berbagai sumber daya lainnya seperti air, uap air, gas dan
lain sebagainya.
3. Ancaman yang dibuat manusia. Orang yang tidak memilki akses (internal
maupun eksternal), ledakan bom, dendam pegawai, kesalahan dan
kecelakaan pegawai, vandalisme, penipuan, pencurian, dan lain
sebagainya.
4. Ancaman bermotivasi politik. Mogok kerja, kerusuhan, pemberontak,
serangan teroris, pemboman, dan sebagainya.
Impact
Kerugian fisik atau kerusakan pada peralatan dapat menyebabkan biaya perbaikan
yang mahal, dan kehilangan data dapat merusak bisnis serta reputasi perusahaan.
Ancaman terhadap data yang terus berubah sebagai penyerang menemukan cara
baru untuk mendapatkan akses masuk dan melakukan kejahatan. Pencurian,
kehilangan, intrusi jaringan, dan kerusakan fisik adalah beberapa cara jaringan
atau komputer dapat dirugikan. Kerusakan atau kehilangan peralatan dapat berarti
hilangnya produktivitas. Memperbaiki dan mengganti peralatan dapat biaya waktu
dan uang perusahaan. Penggunaan yang tidak sah dari jaringan dapat mengekspos
informasi rahasia dan mengurangi sumber daya jaringan.
Recommendation
1. Identifikasi tim yang terdiri dari pegawai dalam atau konsultan luar yang
akan membangun program kamanan fisik.
2. Membawa analisis resiko untuk mengidentifikasi kerentanan dan
ancaman serta memperhitungkan dampak yang akan terjadi dari setiap
ancaman.
3. Bekerja dalam managemen untuk mendifinisikan resiko yang dapat
diterima dalam program keamanan fisik tersebut.
4. Mendapatkan garis besar performance yang dibutuhkan dari level resiko
yang ada.
5. Membuat pengukuran tindakan.
6. Mengembangkan kriteria dari hasil analisis, dan memikirkan level
keamanan dan kekuatan yang dibutuhkan untuk hal berikut: Pencegahan
(Deterrence), Penundaan (Delaying), Deteksi (Detection), Penaksiran
(Assessment), Tanggapan (Response).
7. Mengidentifikasi dan mengimplementasikan tindakan dari setiap katagori
program.
8. Terus menerus mengawasi setiap tindakan untuk menjaga bila terjadi
resiko yang tidak diinginkan.
12. Tabel indicator penyebab ancaman keamanan komputer

SENGAJA TIDAK SENGAJA

Malicious
Theft
hacker
Industrial Malicious
EXTERNAL espionage code
Foreign
goverment
espionage
Employee
Fraud Errors Omissions
sabotage
Loss of
Malicious physical and
Theft
INTERNAL hacker infrastructure
support
Threats to
personal
privacy
enangani audit berba
Cara mengatasi ancaman berbasis komputer:
Menangani ancaman eksternal :
1. Pengenalan otomatis pengguna Para pengguna mengidentifikasi diri mereka meng
gunakan sesuatu yang mereka kenali sebelumnya, misalnya password.
2. Pembuktian otomatis pengguna proses identifikasi telah dilakukan, pengguna
akan memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti
kartu cerdas (smart card), chip identifikasi, dll.
3. Membuat Firewall yang bertindak sebagai suatu saringan dan penghalang yang
membatasi aliran data dari internet masuk dan keluar perusahaan. Konsep yang
menjadi latar belakang firewall adalah membangun satu pengaman untuk seluruh
komputer yang ada di jaringan perusahaan
4. Membuat Kontrol Kriptografi (Cryptographic Control) yaitu Penyimpanan dan
transmisi data dapat dilindungi dari pemakaian secara ilegal melalui kriptografi.
Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses
matematika, sehingga pemakai ilegal hanya akan mendapatkan data berbentuk
kode yang tidak dapat dibaca.
5. Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika
kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para pegawai
memahami misi dan tujuan perusahaan, mengadakan program pendidikan dan
pelatihan serta program pengembangan manajemen.

Menangani ancaman internal :


1. Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan
dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan
struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan
mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam
organisasi tersebut.
2. Mengidentifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai
tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus
dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi,
analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan
keuangan yang disajikan sesuai PSAK. Manajemen risiko menganalisis hubungan
risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan,
pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan.
3. Kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen
dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan yang
diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas. Aktivitas
pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat
organisasi dan fungsi.
4. pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk
dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka.
Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem
akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan,
menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga
akuntabilitas asset dan kewajiban.
5. Pemisahan tugas yang baik sehingga dapat meminimalisasi kecurangan yang
dapat dilakukan oleh karyawan atau manajemen
6. Pemantauan/ pengawasan oleh pihak yang dipercaya sebagai saksi apakah
pekerjaan sudah dilakukan dengan jujur dan baik.

13. Sebutkan Findings, Impact, dan Recommendation untuk operational controls!


A. Personnel/users issues
Findings: perekrutan karyawan yang berinteraksi langsung dengan sistem,
administrasi pengguna dalam sistem, pertimbangan untuk menghentikan akses
karyawan, pertimbangan khusus ketika public memiliki akses ke sistem
Impact: keamanan sistem komputer mulai dari data dan informasi akan terancam
karena dapat diakses oleh siapa saja tanpa pembatasan
Recommendation: memperbaiki dan melaksanakan fungsi staffing, user
administration, control access considerations, public access considerations, dan
interpendencies
B. Preparing for contingencies and disasters
Findings: kejadian-kejadian seperti kehabisan daya, kegagalan hardware,
kebakaran, badai dan petir.
Impact: berpotensi untuk mengganggu operasional komputer dan mengganggu
misi dan fungsi penting bisnis.
Recommendations: melaksanakan proses perencanaan kontigensi; (a)
indentifikasi fungsi-fungsi penting misi dasn bisnis, (b) identifikasi sumber daya
yang mendukung fungsi penting, (c) antisipasi kontijensi dan bencana yang
potensial, (d) memilih strategi perencanaan kontijensi, (e) implementasi strategi
kontijensi, (f) menguji dan merevisi strategi.

C. Computer security incident handling


Findings: terdapat virus komputer, kode berbahaya, penyusup sistem baik pihak
internal maupun eksternal, dan bencana alam.
Impact: kesalahan dan kerusakan sistem komputer seperti file data yang korup,
hilang, terhapus.
Recommendation: penggunaan ancaman dan data yang rentan atau sensitive,
meningkatkan komunikasi internal dan kesiapan organisasi, meningkatkan
program pelatihan dan kewaspadaan.
D. Awareness, training, and education
Findings: karyawan atau pengguna yang lemah dan kurang pengetahuan
cenderung dianggap sebagai pelemah dalam mengamankan sistem komputer.
Impact: banyak pelepasan tanggung jawab atas sistem komputer diakibatkan
lemahnya pengetahuan karyawan atau pengguna atas pentingnya menjaga sistem
keamanan komputer.
Recommendation: (a) meningkatkan kewaspadaan mengenai pentingnya untuk
menjaga sistem, (b) mengembangkan kemmampuan dan pengetahuan sehingga
dapat menjalankan tugasnya dengan lebih aman, (c) membangunan pengetahuan
yang mendalam untuk merancang, mengimplementasikan, atau mengoperasikan
program keamanan untuk organisasi dan sistem.
E. Security considerations in computer support and operations
Findings: kurangnya dokumentasi, akun-akun pengguna tua, perangkat lunak
yang bertentangan, pengawasan yang lemah dalam perawatan sistem
Impact: kegagalan organisasi dalam menganggap keamanan sebagai bagian
dalam mendukung dan operasi sistem komputer dan berdampak pada kerusakan
sistem keamanan komputer yang cenderung mahal.
Recommendation: perlu dilakukan pertimbangan untuk membangun; (a) user
support, (b) software support, (c) configuration management, (d) backups, (e)
media controls, (f) documentation, dan (g) maintenance,
F. Physical and environmental security
Findings: kurangnya pengembangan dan karakterisasi dalam membangun
fasilitas fisik, salah menentukan lokasi geografis operasional perusahaan, dan
kurangnya fasilitan pendukung untuk pengoprasian sistem.
Impact: hambatan dalam menyediakan jasa komputer, kerusakan fisik,
pengungkapan informasi yang tidak diotorisasi, kehilangan kendali dalan
integritas sistem, dan pencurian fisik.
Recommendation: mengembangkan dan meningkatkan atau memperbaiki tujuh
area utama dalan pengendalian keamanan fisik dan lingkungan seperti; (a)
physical access control, (b) fire safety, (c) supporting utilities, (d) structural
collapse, (e) plumbing leaks, (f) interception of data, dan (g) mobile and portable
systems.

14. Dari 6 Risk Avoidance , Cara apa yang paling ampuh dalam menghindari resiko

Resiko sangat tidak bisa dihindari tetapi resiko dapat dikurangi atau dihilangkan dengan pengelolaan
resiko. Karena resiko sangat mengandung ketidak pastian, maka dalam menjalankan usaha perlu
diterapkan manajemen resiko maupun pengelolaan resiko .

Pengelolaan resiko terbagi dalam bermacam-macam metode, mulai dari :

penghindaran
menahan atau menanggung
diversifikasi
transfer resiko
pengendalian resiko
pendanaan resiko

Dalam metode transfer resiko ada berbagai macam cara, diantaranya adalah :

-Mengidentifikasi prosesnya.
-Mengidentifikasi jenis-jenis risiko yang terkait dalam setiap prosesnya.
-Mengidentifikasi pengendalian-pengendalian yang perlu dilakukan dalam setiap proses.
-Mengevaluasi hal-hal yang telah dilakukan oleh sistem pengendalian dalam mengurangi risiko.
-Menentukan suatu kunci untuk mengontrol setiap proses.
-Menentukan keefektifan dan kontrol kunci tersebut.

15. Bagaimana cara Auditor mengetahui Jenis temuan berdasarkan tipe temuan audit yang ada?

Jawaban:

Dari setiap tipe temuan audit kita dapat mengetahui jenis temuan apakah

1. Observasi

Sebuah temuan termasuk Observasi jika :

Tidak bisa dijadikan dimasukan kedalam kategori ketidaksesuaian .


Tidak melanggar dokumentasi sistem manajemen yang telah ditetapkan.
Saran untuk peningkatan.

2. Ketidaksesuaian Minor

Sebuah temuan termasuk ketidaksesuaian Minor jika :

Tidak mempunyai dampak serius terhadap mutu, lingkungan dan K3 atau sistemnya
Adanya human error

Contoh : Adanya penyimpangan terhadap instruksi kerja yang telah ditetapkan.


3. Ketidaksesuaian Mayor

Sebuah temuan termasuk ketidaksesuaian Mayor jika :

berdampak yang serius terhadap pencapaian mutu atau efektivitas sistem mutu

Contoh :

Tidak dilakukannya pemeriksaan/pengujian pada saat penerimaan bahan baku/material

Tidak adanya pengendalian terhadap proses khusus

Tidak dilakukannya program audit mutu internal

16. Carilah findings , impact dan recommendation dari jenis kemungkinan resiko berikut ini

System non-availability
Findings : Perusahaan tidak dapat mengakses system untuk melakukan operasinya
Impact : Perusahaan akan mengalami kerugian
Rekomendasi : adakan backup system dan recovery system sehingga jika system down dapat
segera diperbaiki

Loss of confidentially
Findings : Rahasia perusahaan terbongkar karena system keamanan perusahaan yang
lemah
Impact : Banyak kompetitor yang mencuri rahasia penting perusahaan
Rekomendasi : tingkatkan system pengamanan

Loss of integrity
Findings : banyak karyawan atau staff yang melakukan kecurangan dalam system
perusahaan
Impact : perusahaan akan merugi
Rekomendasi : tingkatkan system pengendalian internal

Inaccuracy and incompleteness


Findings : kesalahan terjadi pada system sehingga data yang dihasilkan tidak tepat
Impact : Penyajian data akan tidak sesuai dengan realita
Rekomendasi : adakan system maintenance untuk mengetes setiap system berjalan dengan
benar

Lack of monitoring
Findings : Tidak adanya pengawasan terhadap sistem perusahaan
Impact : Memicu timbulnya fraud
Rekomendasi : adakan supervisi pada bagian system

Lack of compliance
Findings : Sistem tidak memiliki legalitas sehingga dapat disalah gunakan oleh orang lain
Impact : Denda dan pembajakan software
Rekomendasi : lakukan legalitas dan copyright terhadap system yg diciptakan

Under Perfomance
Findings : kinerja system tidak sesuai dengan performa biasanya
Impact : Operasi perusahaan melambat
Rekomendasi : Lakukan maintenance

17. Buatlah contoh dan findings dari elements of internal control

Segregation of duties
o Segregation of duties berarti pemisahan tugas. Dalam hal ini yang dimaksud pemisahan
tugas yaitu adanya pemisahan fungsi. Misalnya saja bagian penagihan tidak boleh
merangkap sebagai bagian pencatatan. Harus dipisahkan antara bagian penagihan
dengan pencatatan. Jika bagian penagihan merangkap pencatatan, risiko fraud yang
mungkin terjadi lebih besar.
Competance and integrity of people
o Orang yang ditempatkan untuk suatu posisi di perusahaan harus kompeten dan dapat
dipercaya, bekerja sesuai dengan job desc yang telah ditentukan dan juga mengikuti
SOP (standar operasional perusahaan). Mereka harus mengetahui apa tugas mereka
serta memiliki integritas. Misalnya Kepala gudang harus bertanggung jawab atas
inventory yang ada di gudang dengan mencegah terjadinya barang hilang, rusak, dan
sebagainya. Untuk mencapai tujuannya, mungkin saja kepala gudang bersama staff nya
secara berkala melakukan stock opname.
Adequate resource
o Dilakukan kontrol dengan sumber daya yang memadai. Misalnya saja di perusahaan-
perusahaan mempunyai alat absen dengan sidik jari untuk mencegah terjadinya titip
absen, atau di perusahaan tersebut dipekerjakan application system auditor yang
memang dikhususkan untuk melakukan audit atas sistem it yang dimiliki oleh
perusahaan, bukan hanya auditor biasa yang belum tentu menguasai bidang IT.
Supervision and review
o Melakukan pengawasan yang dilakukan oleh manajemen keuangan pada saat bagian
penjualan menerima sales order. Manajemen penjualan dapat melakukan pengawasan
dengan cara melihat catatan apakah pelanggan yang melakukan sales order dapat
membayar hutangnya tanpa ada kredit macet. Finding dari supervision dan review
adalah sales transaction, sales order, konfirmasi bank.
Appropriate of authority
o Semua karyawan dapat melakukan otorisasi atas transaksi yang ada di dalam
perusahaan. Hal ini akan menimbulkan fraud dan tidak adanya otorisasi atas
manajemen karena otorisasi dapat dilakukan oleh semua karyawan.
Accountability
o Semua karyawan dapat mengakses informasi dari berbagai department, hal ini
mengakibatkan informasi dapat diambil dan dipergunakan dengan salah karena
informasi dapat dengan mudah diakses.

18. Carilah Findings & Tujuan dari Data Transaction objective

Tujuan dan Findings dari Data Transaction objective:

Tahap masukan:

Tujuan: mendapat keyakinan bahwa data transaksi input adalah valid, lengkap dan bebas dari
kesalahan dan penyalahgunaan.

Findings: dengan menerapakan bacth system atau online transaction system.

Tahap proses:

Tujuan dari batch system proses: untuk membuktikan bahwa didalam transaksi yang dibundel dalam
satu rekaman benar benar ada dan dapat diproses melalui EDP( electronic data prosecessing)

Findings: data capture, data preparation dan data entry


Tujuan dari online trasanction system: untuk memastikan bahwa transaksi atau pengolahan data yang
terjadi sesuai dengan real time atau waktu penginputan data atau transaksi

Findings: Otoritas dan validasi masukan,Transmisi dan konversi data, Penanganan kesalahan

Tujuan dari output : untuk menjamin output atau informasi yang dikeluarkan dapat disajikan secara
akurat,lengkap dan muktahir serta dapat didistribusikan kepada orang yang berhak secara cepat dan
tepat waktu

Findings:

Rekonsiliasi keluaran dengan masukan dan pengolahan


Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan
dokumen asal.
Penelaahan dan pengujian hasil-hasil pengolahan
Pengendalian inin dilakukan dengan cara melakukan penalaahan,pemeriksaan dan pegujian
terhadap hasil-hasil dari sistem.

19. Bagaimana bentuk implementasi dari 7 tahap perencanaan audit?

a.Preliminary Survey

Tujuan dari survey awal adalah untuk memperoleh pemahaman awal dari kegiatan operasi auditee dan
untuk memperoleh bukti awal untuk perencanaan audit lebih lanjut. Contoh kegiatan yang masuk dalam
preliminary survey adalah membuat opening conference antara anggota tim audit dengan manajemen
auditee untuk memberikan outline penugasan audit dengan manajemen dan mengkoordinasikan
kegiatan audit dengan kegiatan operasional auditee. Touring tempat kerja auditee juga sering dilakukan
auditor untuk memperkenalkan auditor dengan lingkungan dan jenis operasi serta personel yang terlibat
di dalamnya. Pembelajaran lebih lanjut terhadap dokumen-dokumen tertentu (job description, bagan
organisasi, manual kebijakan, dan dokumen operasional penting lainnya) jua perlu dilakukan untuk
menyediakan dasar untuk deskripsi tertulis mengenai kegiatan operasional auditee.

b.Internal Control Description & Analysis

Pada tahap ini, auditor menyiapkan deskripsi terinci atas internal control auditee yang berhubungan
dengan area yang direview. Uji terbatas atas control tersebut dapat dilakukan pada tahap ini untuk
menentukan jumlah dan ukuran uji lanjutan di masa depan yang diperlukan. Berdasarkan informasi ini,
auditor akan mengevaluasi system internal control untuk menentukan apakah stuktur pengendalian
yang ada (jika efektif) dapat menghasilkan tingkat control yang diharapkan. Pada tahap ini, penilaian
resiko juga dapat dilakukan untuk menentukan apakah diperlukan adanya perubahan tujuan dan aliran
audit, serta seberapa banyak pengujian lanjutan yang perlu dilakukan sebelum mengambil kesimpulan.

c.Expanded Tests

Pengujian lanjutan dapat terdiri dari pemeriksaan record dan dokumen, wawancara dengan personel
dan pihak manajemen auditee, observasi kegiatan operasi, pemeriksaan asset, pemeriksaan file-file
komputer, membandingkan hasil audit dengan laporan auditee, dan prosedur-prosedur lain yang
didesain untuk menguji keefektifan sistem internal control.

d.Finding & Recommendation

Berdasarkan situasi aktual yang terjadi dalam kegiatan operasi, auditor akan mengembangkan findings
(temuan) dan menentukan perubahan apa yang perlu dilakukan (jika ada) untuk meningkatkan internal
control. Finding dapat dicatat dalam bentuk kertas kerja dimana harus mencantumkan unsur unsur :
Criteria, Condition, Effect, dan Cause. Berdasarkan finding tersebut, auditor kemudian dapat membuat
rekomendasi yang dapat diterapkan pihak auditee.

e.Report Production

Tahap ini adalah tahap penyusunan laporan audit. Laporan audit harus dibuat dengan sebaik-baiknya,
bersifat persuasive, dna dibuat dengan tepat waktu. Laporan juga sebaiknya mencantumkan respons
auditee untuk memberikan jaminan objektivitas dari laporan akhir karena memperkenankan pihak
auditee untuk tidak menyetujui hasil observasi auditor secara formal.

f.Follow Up

Rekomendasi yang telah dibuat dalam laporan audit perlu untuk di follow up untuk mengetahui respons
atau tindakan yang akan diambil manajemen menghadapi masalah yang ada.

g.Audit Evaluation

Tahap akhir dalam audit merupakan evaluasi yang dibuat oleh para auditor itu sendiri. Evaluasi ini
merupakan pengendalian yang penting untuk fungsi audit itu sendiri, dimana dilakukan self-assessment
setiap akhir projek audit.

20. Dari Physical Access audit & Logical Access audit, apakah kedua nya harus dilakukan atau boleh
hanya melakukan salah satu saja?

Boleh dilakukan hanya salah satu saja maupun dua-duanya. Namun audit yang lebih penting
untuk dilakukan adalah Logical access audit.
21. Apakah perbedaan Integrated IT Auditor dengan Integrated IT Audit ? dan kapan kedua Pendekatan ini
cocok untuk diterapkan.

Integrated Auditor

Konsep dasarnya adalah mengembangkan seperangkat keterampilan auditor yang pada


dasarnya untuk melatih auditor keuangan / operasional menjadi auditor IT parsial dengan cara
memberikan pelatihan dasar teknologi informasi dan audit IT. Berbekal pada pemahaman dasar
komputer dan kontrol umum serta aplikasi, semua auditor akan dapat memasukkan
pertimbangan IT control di setiap audit nya, serta menggunakan CAATs dasar (tanpa
sepenuhnya bergantung pada staf audit IT).

Di dunia sekarang ini, semua auditor harus memiliki beberapa tingkat keahlian IT dan pada
kenyataannya, semua auditor telah menjadi integrated auditor, hanya beberapa yang memiliki
pengetahuan dan keterampilan yang lebih besar daripada yang lain. Integrasi yang efektif
bergantung pada:
Perluasan pengetahuan IT bagi masing-masing dan setiap auditor
Penugasan audit berdasarkan tingkat pengetahuan dan keterampilan
Perluasan peralatan dan dukungan audit IT
Pengawasan teknis yang efektif
Integrated Audit

Solusi alternatif yang dipilih oleh beberapa organisasi adalah memfokuskan sumber daya
mereka secara lebih langsung dengan menyediakan/menghasilkan produk integrated audit
daripada mengembangkan integrated auditor. Daripada mencoba memperluas basis
pengetahuan individu, mereka berusaha menerapkan basis pengetahuan yang ada saat ini di
dalam organisasinya dengan mengumpulkan tim audit termasuk auditor IT yang terlatih serta
auditor yang terlatih secara finansial / operasional untuk bekerja sama.
Pendekatan ini disukai oleh organisasi yang telah menggunakan tim lintas fungsional secara
luas.

22. Apakah perbedaan Specialist IT Auditor dengan Konvensional IT Auditor?

Specialist IT Auditor
Banyak perusahaan menggunakan seorang spesialis untuk menjalankan fungsi dari IT audit
mereka untuk area dimana dianggap terlalu sulit bagi auditor IT konvensional. Area-area
tersebut meliputi audit performance dengan sistem terkomputerisasi, audit keamanan
komputer, audit telekomunikasi, dsb. Dalam situasi ini, perusahaan biasanya memilih untuk
menyewa spesialis dibanding dengan merekrutnya sebagai karyawan karena spesialis IT audit
seperti ini dapat menghambat progress dari karir nya karena hanya dibutuhkan pada saat IT
audit, IT sekuritas, atau hanya IT saja.
Konvensional IT Auditor
Audit IT secara tradisional didasarkan pada paradigma yang mengendalikan sama dengan kontrol
manajemen bahwa pengendalian manajemen dimulai dengan tata kelola sehingga Top manajemen
dapat mengendalikan segala hal, dan kontrol tersebut diterapkan.

Audit IT berfokus pada berbagai aspek berbasis computer dalam system informasi perusahaan. Meliputi
penilaian implementasi, operasi dan pengendalian sumber daya computer yang tepat. Karena
kebanyakan sisem informasi modern menggunakan teknologi informasi, audit IT biasanya merupakan
komponen penting dalam semua audit eksternal dan internal.