Pertanyaan 1
Desain program audit pada perubahan aplikasi bisnis:
a. Tujuan audit: untuk meyakini apakah prosedur atas aplikasi bisnis yang baru telah
berjalan dengan baik dan aman serta efektif dan efisien.
b. Prosedur audit
i. Memeriksa sistem aplikasi bisnis yang dimiliki oleh perusahaan
ii. Memastikan integritas data perusahaan dan pengguna aplikasi terjaga
iii. Memeriksa tingkat keamanan aplikasi dan software yang dimiliki perusahaan
iv. Memeriksa pengolahan data yang dimiliki oleh perusahaan
v. Memastikan adanya pengawasan atas cara kerja aplikasi bisnis
vi. Memastikan adanya otorisasi atas setiap transaksi yang mendukung jalannya
sistem aplikasi
vii. Memeriksa apakah sistem yang berjalan sesuai dengan hukum yang berlaku
c. Internal Control Questionnaires terhadap audit change control (min 3 pertanyaan seputar
internal control)
1. Bagaimana jika terjadi perubahan lingkungan pengendalian internal control ?
2. Bagaimana auditor menilai risiko terhadap perubahan-perubahan dalam audit
convidence ?
3. Bagaimana auditor menganalisis perubahan risiko yang ada di perusahaan?
d. Jika Finding yang ada dalam perusahaan adalah tidak ada dokumentasi atas perubahan,
bagaimana impact terhadap bisnis perusahaan dan jelaskan rekomendasi sebagai
Information System auditor
Auditor harus memahami terlebih dahulu mengenai sistem pengendalian internal
perusahaan. Dengan pemahaman tersebut, auditor dapat menilai kekuatan dan kelemahan
sistem pengendalian internal. Auditor sebaiknya menggunakan berbagai teknik untuk
mengumpulkan fakta, seperti memeriksa kembali catatan dan dokumen, mengamati
kegiatan, interview dengan personel inti dan memberikan kuisioner. Misalnya bila
computer based system tidak menyediakan audit trail. Audit dalam sistem ini
memerlukan hasil printout dari jurnal dan buku besar dan file record yang lain. Dengan
penggunaan real-time processing system akan menambah tingkat kesulitan, dikarenakan
sistem ini beroperasi tanpa membutuhkan dokumen sumber. Selain itu, sistem ini juga
melakukan record secara update. Microcomputer hardware dapat dicuri dengan mudah
dan dapat pila diakses oleh pihak-pihak yang tidak berwewenang. Sedangkan paket
microcomputer software sering diproses tanpa pengecekan yang cukup. Network
komputer memancarkan data ke berbagai wilayah terutama ke wilayah yang peka
terhadap akses tanpa otorisasi dan gangguan. Jika keadaan ini mempengaruhi struktur
internal control maka juga akan mempengaruhi proses audit.
Dikarenakan tingginya tingkat kompleksitas dari computer based processing, maka
dibutuhkan tipe auditor khusus yaitu auditor sistem informasi komputer atau the
computer information system auditor (CISA). CISA menguasai skill khusus, misalnya
pengetahuan mengenai hardware dan software komputer, database technology, data
communications technology, and computer oriented control and audit technique.
Idealnya, auditor seharusnya mengusai berbagai skill yang dimiliki CISA.
Bagaimanapun, keberadaan CISA yang berpengetahuan yang lebih mengenai teknologi
informasi akan selalu dibutuhkan untuk membantu proses audit dalam sistem komputer
yang kompleks.
Pertanyaan 2
1. Pertanyaan 1:
a. Jelaskan mengenai tujuan dari BCP dan DRP
Tujuan dari BCP adalah melindungi proses bisnis vital dari kerusakan atau bencana yang
terjadi secara alamiah atau perbuatan manusia kerugian yang ditimbulkan dari tidak
tersedianya proses bisnis normal dan untuk meminimalisir efek dari kejadian atau
bencana tersebut dalam sebuah perusahaan atau organisasi.
Tujuan dari DRP adalah untuk menyediakan kemampuan atau sumber daya untuk
menjalankan proses vital pada lokasi cadangan sementara waktu dan mengembalikan
fungsi lokasi utama menjadi normal dalam batasan waktu tertentu, dengan menjalankan
prosedur pemulihan cepat, untuk meminimalisir kerugian organisasi.
c. Menurut pendapat anda, bagaimana DRP dan BCP terhadap Coronavirus pandemy
Pada masa pandemi ini, proses bisnis dari perusahaan sangat terganggu. Demi
kelangsungannya usaha, perusahaan harus memperhatikan business continuity plan
(BCP) terkait Covid-19 untuk meminimalisir dampaknya bagi bisnis perusahaan. Covid-
19 mengakibatkan proses bisnis perusahaan menjadi tidak normal karena banyak
protokol-protokol baru yang dibuat yang mempengaruhi kerja perusahaan. Contohnya
saja seperti maksimal jumlah karyawan yang di kantor hanya 50% dan sisanya bekerja di
rumah, harus selalu mengenakan masker dan hand sanitizer, harus berjaga jarak dengan
orang-orang minimal satu meter. Protokol tersebut membuat perusahaan tidak dapat
bekerja dengan maksimal sehingga dapat menimbulkan bencana-bencana tetapi protokol
tersebut dapat mengurangi resiko dari ancaman yang ada. Contohnya adalah Bank BTN
yang melakukan sosialisasi kepada karyawannya terkait berbagai langkah pencegahan
penyebaran virus, membantu menyalurkan masker bagi anak bangsa di Hongkong,
menentukan kriteria penentuan kritikalitas wilayah dan pemetaan jaringan kantor
berdasarkan kriteria kritikalitas, dan prosedur yang harus dilakukan dalam mitigasi
Covid-19, daftar rumah sakit rujukan pemerintah, serta SOP penerimaan tamu dan
penanganan pegawai suspect Covid-19. Dalam masa pandemi, permasalahan atau
bencana yang terjadi dalam sistem sering terjadi seperti adanya peretasan atas akun-akun
di zoom, kebocoran privasi data pengguna aplikasi, dan sebagainya. Hal tersebut
dikarenakan selama masa pandemi, hampir seluruh kegiatan dilakukan dengan sistem.
Disaster Recovery Plan merupakan pengaturan yang komprehensif berisikan tindakan-
tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah adanya kejadian
(bencana) yang mengakibatkan hilangnya sumber daya sistem informasi. Maka dari itu,
seperti perusahaan Zoom, mereka meningkatkan lagi enkripsi data dan keamanan atas
aplikasi mereka sehingga tidak mudah untuk diretas kembali.
2. Pertanyaan 2:
Jelaskan mengenai akibat (impact dari finding) dan rekomendasi saudara terhadap
permasalahan dibawah ini: Tidak adanya dokumen backup policy dan prosedur, Tidak
tersedianya backup pada off site location, Tidak adanya testing plan atas kesiapan IT
DRP
● Akibat tidak adanya dokumen backup policy dan prosedur
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam
organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa
informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah
potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa
mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi
dalam menjalankan aktivitasnya.Data yang ada di dalam perusahaan dapat hilang
yang dapat merugikan perusahaan secara material maupun non material.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka
informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai
tagihan pembayaran kredit yang telah jatuh tempo.
● Rekomendasi dari tidak adanya dokumen backup policy dan prosedur
Kehilangan data dapat dihindari jika meningkatkan pengendalian yang ada,
mengembangkan pengendalian seperti melakukan back-up file. Kehilangan data
juga dapat dihindari dengan meningkatkan sistem operasi pemrosesan data yang
dimiliki perusahaan seperti adanya sabotase ataupun gangguan karena alam
seperti gempa bumi, kebakaran maupun banjir.
Pertanyaan 3
1. The extent to which data will be collected during an IS audit should be determined based
on the:
a. Availability of critical and required information.
b. Auditor’s familiarity with the circumstances.
c. Auditee’s ability to find relevant evidence.
d. Purpose and scope of the audit being done
Alasan : Sejauh mana data akan dikumpulkan selama audit SI harus terkait
langsung dengan ruang lingkup dan tujuan audit. Audit dengan tujuan sempit dan
lingkup akan menghasilkan kemungkinan besar pengumpulan data yang lebih
sedikit, daripada audit dengan tujuan dan ruang lingkup yang lebih luas. Ruang
lingkup audit SI tidak boleh dibatasi oleh kemudahan memperoleh informasi atau
oleh pengetahuan auditor untuk diaudit. Pengumpulan semua bukti yang
diperlukan merupakan elemen yang disyaratkan dalam audit SI, dan ruang
lingkup audit tidak boleh dibatasi oleh kemampuan auditor untuk menemukan
bukti yang relevan.
3. User specifications for a project using the traditional SDLC methodology have not been
met. An IS auditor looking for a cause should look in which of the following areas?
a. Quality assurance
b. Requirements
c. Development
d. User training
e. Alasan : Area yang harus diperhatikan adalah manajemen proyek telah gagal
untuk menyiapkan atau memverifikasi kontrol yang menyediakan modul
perangkat lunak atau perangkat lunak dalam pengembangan yang mematuhi
spesifikasi yang dibuat oleh pengguna. Jaminan kualitas berfokus pada aspek
formal pengembangan perangkat lunak, seperti mengikuti standar pengkodean
atau metodologi pengembangan tertentu. Masalah fungsionalitas dalam hal
kegunaan bisnis berada di luar ruang lingkup dan, dalam hal ini, merupakan
bagian dari fase pengembangan. Gagal pada spesifikasi pengguna menyiratkan
bahwa rekayasa persyaratan telah dilakukan untuk menggambarkan permintaan
pengguna. Jika tidak, tidak akan ada dasar spesifikasi untuk diperiksa. Bergantung
pada pendekatan yang dipilih (waterfall tradisional, RAD, dll.), Perbedaan ini
mungkin muncul selama pelatihan pengguna atau pengujian penerimaan —
apapun yang terjadi lebih dulu.