Kerjakan semua soal di bawah ini pada lembar jawaban yang telah disediakan

1. Segregation of duties sebagai salah satu point penting dari internal control secara ekonomis tidak
layak untuk perusahaan skala kecil. Menurut Saudara, elemen internal control seperti apa yang
dapat membantu mengatasi masalah tersebut.
2. Bandingkan ketiga framework berikut ini: Controll Objectives for Information and Related Technology
(COBIT), Committee of Sponsoring Organization (COSO) Integrated Control, dan enterprise Risk
Management (ERM).
3. Audit trail memungkinkan seseorang untuk melakukan tracing terhadap dokumen sumber yang akan
berpengaruh terhadap financial statement atau sebaliknya dari financial statement ditelusuri ke
dokumen sumber. Gambarkan detail audit trail untuk pembelian dan penjualan inventory.
4. Jelaskan keunggulan Enterprise Resource Planning (ERP) Systems jika dibandingkan sistem yang
konvensional. Selanjutnya dengan mendasarkan pada keunggulan ERP, haruskah semua perusahaan
menerapkan ERP Systems? Jelaskan jawaban Saudara.
5. Jelaskan manfaat implementasi ERP Systems bagi akuntan.
6. COBIT 5 framework merupakan best practice untuk good governance and management of IT. Namun
COBIT 5 memisahkan governance dari management. Jelaskan mengapa oleh COBIT 5 governance
dipisahkan dari management.
7. Security pada perusahaan akan dianggap efektif jika P > D + C. Namun keefektifan security yang
demikian membutuhkan dana yang tidak sedikit. Jelaskan tindakan prevention apa saja yang bisa
dilakukan oleh perusahaan untuk menjamin keamanan dari IT yang diimplementasikan. Jelaskan pula
bagaimana perusahaan skala kecil dan menengah dapat menjamin keamanan ITnya dengan biaya
yang tidak terlalu besar.
8. Jelaskan mengapa sebuah organisasi ingin untuk menggunakan seluruh information security controls
berikut ini: firewalls, intrusion prevention systems, intrusion detection systems, dan CIRT.
9. Dari sudut pandang konsumen, manakah yang memberikan manfaat dan manakah yang merugikan
antara penggunaan the opt-in versus the opt-out approach untuk pengumpulan personal
information. Jelaskan jawaban Saudara.
10. Jelaskan hubungan antara COSO, COBIT 5, dan American Institute of Certified Public Accountants
(AICPA)’s Trust Services frameworks.
11. Jelaskan perbedaan antara penggunaan check digit verification dan penggunaan validity check untuk
menguji keakuratan account number yang dimasukkan ke transaction record.
12. Jelaskan infrastruktur yang dapat dgunakan untuk mengganti IT: cold sites, hot sites, dan real time
mirroring. Berikan contoh infrastruktur yang dapat digunakan perusahaan sebagai bagian dari
disaster recovery plan.
13. Tidak semua auditor ahli di bidang computer. Namun auditor harus siap mengaudit klien yang proses
bisnisnya menggunakan IT. Jelaskan bagaimana menjadi auditor yang efektif untuk klien yang proses
bisnisnya berbasis IT.
14. You the director of internal auditing at a university. Recently, you met with Anita, the manager
administrative data processing, and expressed the desire to establish a more effective interface
between the two departments. Anita wants your help with a new computerized account payable
system currently in development. He recommends that your department assume line responsibility
for auditing suppliers’ invoices prior to payment. He also wants internal auditing to make suggestions

1
 during systems development, assist in its installation, and approve the completed system after
making a final review.
Required:
Would you accept or reject each of the following? Why?:
a. The recommendation that your department be responsible for the preaudit of suppliers’
invoices.
b. The request that you make suggestion during system development.
c. The request that you assist in the installation of the system and approve the systemafter making
a final review.
15. As an internal auditor for the X Co, you are participating in the audit of the company’s AIS. You have
been reviewing internal controls of the computer system that processes most of its accounting
applications. You have studied the company’s extensive systems documentation. You have
interviewed the information system manager, operations supervisor, and other employees to
complete your standardized computer internal control questionnaire. You report to your supervisor
that the company has designed a successful set of comprehensive internal controls into its computer
systems. He thanks you for your efforts and asks for a summary report of your findings for inclusion
in a final overall report on accounting internal controls.
Required:
Have you forgotten an important audit step? Explain. List five examples of specific audit procedures
that you might recommend before reaching a conclusion.

Jawaban
8. Alasan sebuah organisasi ingin untuk menggunakan seluruh information security controls:
1. Firewall

2
 Firewall adalah sebuah pembatas antara suatu jaringan lokal dengan jaringan lainnya yang
sifatnya publik sehingga setiap data yang masuk dapat diidentifikasi untuk dilakukan
penyaringan sehingga aliran data dapat dikendalikan untuk mencegah bahaya/ancaman yang
datang dari jaringan publik .
Firewall juga dapat memantau informasi keadaan koneksi untuk menentukan apakah ia
hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara
sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan
semua komunikasi yang melewati firewall. Secara umum perusahaan ingin menggunakan
istem firewall, dikarenakan firewall dapat:
1. Mengatur dan mengontrol lalu lintas.
2. Melakukan autentikasi terhadap akses.
3. Melindungi sumber daya dalam jaringan privat.
4. Mencatat semua kejadian, dan melaporkan kepada administrator

2. Intrusion prevention system dan intrusion detection system

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan
terhadap lalulintas (traffic) jaringan dan pengawasan terhadap kegiatan-kegiatan yang
mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang
mencurigakan berhubungan dengan lalulintas jaringan, maka IDS akan memberikan
peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga
merespon terhadap lalulintas yang tidak normal / anomali melalui aksi
pemblokiran user atau alamat IP (Internet Protocol) yang melakukan usaha pengaksesan
jaringan tersebut.
IPS (Intrusion Prevention System) adalah sebuah sistem yang menggabungkan fungsi firewall
dan fungsi IDS dengan proporsional. Teknologi ini dapat digunakan untuk mencegah
serangan yang akan masuk ke jaringan lokal dengan memeriksa dan mencatat semua paket
data serta mengenali paket dengan sensor, disaat serangan telah teridentifikasi, IPS akan
menolak akses (block) dan mencatat (log) semua paket data yang teridentifikasi tersebut.
Jadi IPS bertindak sepeti layaknya firewall yang akan melakukan allow dan block yang
dikombinasikan dengan IDS yang dapat mendeteksi paket secara detail. IPS
menggunakan signatures dari paket untuk mendeteksi aktivitas lalulintas di jaringan dan

3
 terminal, dimana pendeteksian paket yang masuk dan keluar (inbound-outbound) dapat di
cegah sedini mungkin sebelum merusak atau mendapatkan akses ke dalam jaringan lokal.

Jadi early detection dan prevention menjadi penekanan pada IPS ini. IDS dan IPS secara
umum dikenal sebagai IDPS (Intrusion Detection and Prevention Systems).

3. CIRT

CIRT adalah singkatan dari Computer Incident Response Team, adalah organisasi yang
diberikan tanggung jawab untuk mengkoordinasikan dan mendukung repon terhadap
peristiwa keamanan computer atau insiden. CIRT dapat dibuat untuk negara, pemerintah,
lembaga ekonomi, organisasi komersial, lembaga pendidikan, dan bahkan non profit entitas.
Tujuan dari CIRT adalah untuk meminimalkan dan mengontrol kerusakan akibat dari insiden,
memberikan panduan yang efektif untuk respond an kegiatan pemulihan, dan bekerja untuk
mencegah insiden di masa depan.

9. Opt In adalah metode menambah contact list dalam email marketing melalui registrasi email.
Melalui metode ini kamu bisa mendapatkan contact pengguna email yang dianggap
membutuhkan atau tertarik dengan produk.

Opt Out merupakan metode lain untuk menambah contact list email. Pada metode ini, pengguna
yang ingin mendapatkan runtut email dari kamu tidak perlu melakukan registrasi. Cukup
memberikan alamat email mereka dengan cara menekan tombol tertentu dalam sebuah website.
Contohnya adalah subscription dalam layanan email web terkait promo.

Opt in approach lebih merugikan dari sudut pandang konsumen karena saat melakukan registrasi
dalam halaman web menggunakan email, pengguna secara otomatis akan menerima email
marketing dan harus melakukan pemberhentian (unsubscribe) secara manual agar tidak
menerima email marketing lagi.

10. COSO dan COBIT 5 diciptakan AICPA untuk pengendalian internal yangdigabungkan ke kebijakan,
peraturan, dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis perusahaan. COSO

4
 menyediakan sebuah panduan yang digunakan organisasi untuk menciptakan pengendalin
internal dengan tujuan untuk mengurangi tingkat fraud sedangkan COBIT 5 menyediakan sebuah
kerangka bagi organisasi untuk menjalankan aktivittas bisnis secara efektif dan efisien.

11. Check digit verification berfungsi untuk memeriksa atau menguji validitas angka. Apabila angka
tersebut tidak sesuai dnegan angka asalnya, maka nomor angka akun yang diproses tersebut
akan dimunculkan sebagai hal yang salah. Contoh : ISBN dan nomor akun ATM nasabah.
Sedangkan Validity check berfungsi untuk memastikan bahwa data yang input kedalam system
merupakan akun yang valid (contohnya nomor akun, nomor item barang).

12. Cold Site merupakan jenis Disaster recovery plan yang paling sederhana, belum ada instalasi
infrastruktur pendukung kecuali outlet listrik. DRC jenis ini tidak siap running layaknya kedua
jenis backup sebelumnya. Konsekuensinya, waktu yang diperlukan untuk melaksanakan recovery
sangat lama. Contoh infrastruktur yang dapat digunakan untuk mendukung cold site yaitu
bangunan kosong dengan instalasi listrik

Hot Site merupakan Merupakan salah satu jenis DRC yang paling siap dioperasikan sistem backup
aplikasi terpilih untuk menggantikan peran data center bilamana diperlukan. Kesiapan hot site
backup meliputi ketersediaan dan kesiapan infrastruktur pendukung, hardware / software,
aplikasi kritis, data terakhir, dan jaringan komunikasi data. Karena kelengkapan dan kesiapannya,
pembangunan hot site backup membutuhkan biaya tinggi atau paling mahal diantara jenis
backup lainnya. Contoh infrastruktur yang dapat digunakan untuk mendukung hot site yaitu
kantor cabang dengan system operasi yang mendukung

Real time mirroring ,adanya proses untuk menciptakan dua database dalam dua pusat data (data
centre) yang terpisah dan adanya proses secara bersamaan yang dilaksanakan berkaitan dengan
update data dalam kedua database tersebut. Sehingga, saat adanya kendala dalam satu
database, organisasi dapat langsung berganti ke database lainnya tanpa menganggu kinerja atau
aktivitas organisasi.

13. Dengan mempertimbangkan pendekatan risk based audit:

5
a) Menentukan potensi fraud atau error yang dihadapi perusahaan, berisi tentang potensi
penyalahgunaan system dan perusakan secara disengaja dan tanpa sengaja.

b) Identifikasi kontrol untuk melakukan preventif, mendeteksi, mengkoreksi ancaman. Hal ini
memuat kontrol yang telah diciptakan manajemen dan telah diterapkan beserta dengan analisa
atas kemungkinan kontrol yang diterapkan untuk meminimalisir risiko.

c) Melakukan evaluasi procedural pengendalian. Dapat meliputi pengujian terhadap penerapan

pegendalian secara sistematis dan pengujian terhadap kepatuhan pengendalian.

d) Mengevaluasi kelemahan pengendalian untuk menentukan efek terhadap pengujian audit yang
perlu diterapkan. Dengan tujuan agar dapat menentukan tingkat risiko dalam audit dalam tujuan
untuk pengumpulan bukti dan analisa dalam komponen yang memerlukan analisa secara
mendalam.