SOAL UAS

Pertanyaan 1
Desain program audit pada perubahan aplikasi bisnis:
a. Tujuan audit: untuk meyakini apakah prosedur atas aplikasi bisnis yang baru telah
berjalan dengan baik dan aman serta efektif dan efisien.
b. Prosedur audit
i. Memeriksa sistem aplikasi bisnis yang dimiliki oleh perusahaan
ii. Memastikan integritas data perusahaan dan pengguna aplikasi terjaga
iii. Memeriksa tingkat keamanan aplikasi dan software yang dimiliki perusahaan
iv. Memeriksa pengolahan data yang dimiliki oleh perusahaan
v. Memastikan adanya pengawasan atas cara kerja aplikasi bisnis
vi. Memastikan adanya otorisasi atas setiap transaksi yang mendukung jalannya
sistem aplikasi
vii. Memeriksa apakah sistem yang berjalan sesuai dengan hukum yang berlaku
c. Internal Control Questionnaires terhadap audit change control (min 3 pertanyaan seputar
internal control)
1. Bagaimana jika terjadi perubahan lingkungan pengendalian internal control ?
2. Bagaimana auditor menilai risiko terhadap perubahan-perubahan dalam audit
convidence ?
3. Bagaimana auditor menganalisis perubahan risiko yang ada di perusahaan?
d. Jika Finding yang ada dalam perusahaan adalah tidak ada dokumentasi atas perubahan,
bagaimana impact terhadap bisnis perusahaan dan jelaskan rekomendasi sebagai
Information System auditor
Auditor harus memahami terlebih dahulu mengenai sistem pengendalian internal
perusahaan. Dengan pemahaman tersebut, auditor dapat menilai kekuatan dan kelemahan
sistem pengendalian internal. Auditor sebaiknya menggunakan berbagai teknik untuk
mengumpulkan fakta, seperti memeriksa kembali catatan dan dokumen, mengamati
kegiatan, interview dengan personel inti dan memberikan kuisioner. Misalnya bila
computer based system tidak menyediakan audit trail. Audit dalam sistem ini
memerlukan hasil printout dari jurnal dan buku besar dan file record yang lain. Dengan
penggunaan real-time processing system akan menambah tingkat kesulitan, dikarenakan
 sistem ini beroperasi tanpa membutuhkan dokumen sumber. Selain itu, sistem ini juga
melakukan record secara update. Microcomputer hardware dapat dicuri dengan mudah
dan dapat pila diakses oleh pihak-pihak yang tidak berwewenang. Sedangkan paket
microcomputer software sering diproses tanpa pengecekan yang cukup. Network
komputer memancarkan data ke berbagai wilayah terutama ke wilayah yang peka
terhadap akses tanpa otorisasi dan gangguan. Jika keadaan ini mempengaruhi struktur
internal control maka juga akan mempengaruhi proses audit.
Dikarenakan tingginya tingkat kompleksitas dari computer based processing, maka
dibutuhkan tipe auditor khusus yaitu auditor sistem informasi komputer atau the
computer information system auditor (CISA). CISA menguasai skill khusus, misalnya
pengetahuan mengenai hardware dan software komputer, database technology, data
communications technology, and computer oriented control and audit technique.
Idealnya, auditor seharusnya mengusai berbagai skill yang dimiliki CISA.
Bagaimanapun, keberadaan CISA yang berpengetahuan yang lebih mengenai teknologi
informasi akan selalu dibutuhkan untuk membantu proses audit dalam sistem komputer
yang kompleks.

Pertanyaan 2
1. Pertanyaan 1:
a. Jelaskan mengenai tujuan dari BCP dan DRP
Tujuan dari BCP adalah melindungi proses bisnis vital dari kerusakan atau bencana yang
terjadi secara alamiah atau perbuatan manusia kerugian yang ditimbulkan dari tidak
tersedianya proses bisnis normal dan untuk meminimalisir efek dari kejadian atau
bencana tersebut dalam sebuah perusahaan atau organisasi.
Tujuan dari DRP adalah untuk menyediakan kemampuan atau sumber daya untuk
menjalankan proses vital pada lokasi cadangan sementara waktu dan mengembalikan
fungsi lokasi utama menjadi normal dalam batasan waktu tertentu, dengan menjalankan
prosedur pemulihan cepat, untuk meminimalisir kerugian organisasi.

b. Jelaskan mengenai RPO dan RTO

Recovery Point Objective:
 Jika RTO lebih berorientasi pada lamanya waktu pemulihan bencana, maka RPO lebih ke
datanya. Recovery point objective merupakan waktu maksimal yang bisa ditoleransi saat
terjadi kehilangan data. Saat terjadi bencana, perusahaan harus menentukan berapa
banyak kehilangan data yang bisa ditoleransi. Apakah dua jam data, atau satu hari data,
atau satu minggu data. Kapasitas data dalam waktu hitungan hari tersebut yang disebut
dengan RPO. Cukup berbeda dengan RTO, RPO ini berhubungan erat dengan frekuensi
backup yang dilakukan. Lamanya waktu RPO mempengaruhi jadwal backup berkala.
Misalkan waktu RPO yang ditentukan adalah 24 jam, maka perusahaan harus melakukan
backup setiap 24 jam sekali dan jika lebih sedikit, maka artinya perusahaan juga harus
lebih sering melakukan backup.
Recovery Time Objective:
Ketika bencana melanda dan mengakibatkan seluruh data hilang, maka secara otomatis
data center perusahaan akan berusaha untuk memulihkan diri dari bencana tersebut untuk
bisa melangsungkan fungsi IT nya kembali agar bisa berjalan normal. Waktu yang
dibutuhkan oleh masing-masing produk layanan untuk pemulihan ini berbeda-beda.
Inilah yang dimaksud dengan recovery time objective. Dengan kata lain, recovery time
objective adalah upaya melakukan pengaturan waktu terkait berapa lama sebuah layanan
produk dapat berjalan normal kembali setelah bencana terjadi.

c. Menurut pendapat anda, bagaimana DRP dan BCP terhadap Coronavirus pandemy
Pada masa pandemi ini, proses bisnis dari perusahaan sangat terganggu. Demi
kelangsungannya usaha, perusahaan harus memperhatikan business continuity plan
(BCP) terkait Covid-19 untuk meminimalisir dampaknya bagi bisnis perusahaan. Covid-
19 mengakibatkan proses bisnis perusahaan menjadi tidak normal karena banyak
protokol-protokol baru yang dibuat yang mempengaruhi kerja perusahaan. Contohnya
saja seperti maksimal jumlah karyawan yang di kantor hanya 50% dan sisanya bekerja di
rumah, harus selalu mengenakan masker dan hand sanitizer, harus berjaga jarak dengan
orang-orang minimal satu meter. Protokol tersebut membuat perusahaan tidak dapat
bekerja dengan maksimal sehingga dapat menimbulkan bencana-bencana tetapi protokol
tersebut dapat mengurangi resiko dari ancaman yang ada. Contohnya adalah Bank BTN
yang melakukan sosialisasi kepada karyawannya terkait berbagai langkah pencegahan
 penyebaran virus, membantu menyalurkan masker bagi anak bangsa di Hongkong,
menentukan kriteria penentuan kritikalitas wilayah dan pemetaan jaringan kantor
berdasarkan kriteria kritikalitas, dan prosedur yang harus dilakukan dalam mitigasi
Covid-19, daftar rumah sakit rujukan pemerintah, serta SOP penerimaan tamu dan
penanganan pegawai suspect Covid-19. Dalam masa pandemi, permasalahan atau
bencana yang terjadi dalam sistem sering terjadi seperti adanya peretasan atas akun-akun
di zoom, kebocoran privasi data pengguna aplikasi, dan sebagainya. Hal tersebut
dikarenakan selama masa pandemi, hampir seluruh kegiatan dilakukan dengan sistem.
Disaster Recovery Plan merupakan pengaturan yang komprehensif berisikan tindakan-
tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah adanya kejadian
(bencana) yang mengakibatkan hilangnya sumber daya sistem informasi. Maka dari itu,
seperti perusahaan Zoom, mereka meningkatkan lagi enkripsi data dan keamanan atas
aplikasi mereka sehingga tidak mudah untuk diretas kembali.

2. Pertanyaan 2:
Jelaskan mengenai akibat (impact dari finding) dan rekomendasi saudara terhadap
permasalahan dibawah ini: Tidak adanya dokumen backup policy dan prosedur, Tidak
tersedianya backup pada off site location, Tidak adanya testing plan atas kesiapan IT
DRP
● Akibat tidak adanya dokumen backup policy dan prosedur
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam
organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa
informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah
potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa
mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi
dalam menjalankan aktivitasnya.Data yang ada di dalam perusahaan dapat hilang
yang dapat merugikan perusahaan secara material maupun non material.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka
informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai
tagihan pembayaran kredit yang telah jatuh tempo.
● Rekomendasi dari tidak adanya dokumen backup policy dan prosedur
 Kehilangan data dapat dihindari jika meningkatkan pengendalian yang ada,
mengembangkan pengendalian seperti melakukan back-up file. Kehilangan data
juga dapat dihindari dengan meningkatkan sistem operasi pemrosesan data yang
dimiliki perusahaan seperti adanya sabotase ataupun gangguan karena alam
seperti gempa bumi, kebakaran maupun banjir.

● Akibat tidak tersedianya backup data off site location

Backup data off site location berarti menyimpan data di luar tempat tersebut
misalnya kita menyimpan file di satu komputer tetapi kita melakukan backup di
lokasi lain ataupun komputer lain. Akibat jika kita tidak melakukan backup data
off site location adalah jika suatu komputer atau lokasi tempat kita menyimpan
data tersebut rusak ataupun tiba-tiba hilang kita tidak mempunyai backup an lain
dan mengakibatkan data tersebut hilang. Sehingga data-data yang penting dan
berguna bagi perusahaan tidak dapat ditemukan lagi.
● Rekomendasi tidak tersedianya backup data off site location
Rekomendasi nya adalah dengan memberikan cadangan data di banyak tempat
seperti di komputer lain, di hardisk, di flashdisk ataupun di perangkat lainnya. Hal
ini digunakan agar data-data yang ada tidak bisa hilang begitu saja di satu tempat
walaupun mereka sudah melakukan backup di satu tempat ( melakukan persiapan
dan kewaspadaan akan file yang mungkin dapat hilang walau sudah di back-up )

● Akibat tidak adanya testing plan IT DRP

Disaster recovery plan (DRP) merupakan program yang tertulis dan telah
disetujui, diimplementasikan, serta dievaluasi secara periodik, yang menfokuskan
pada semua kegiatan yang perlu dilakukan sebelum, ketika, dan setelah bencana.
Testing plan IT DRP berarti percobaan terhadap perencanaan dalam menghadapi
bencana yang akan di hadapi. Jika tidak terdapat testing plan DRP mengakibatkan
perencanaan tersebut belum tentu dapat menyelesaikan suatu masalah tersebut
dan jika diaplikasikan bisa berakibat fatal jika perencanaan tersebut salah.
● Rekomendasi karena tidak adanya testing plan IT DRP
 Rekomendasinya adalah sebelum mengimplementasikannya ke dalam perusahan
untuk menghadapi bencana ada baiknya jika melakukan test terlebih dahulu
terhadap program tersebut sehingga program tersebut sudah melalui berbagai
tahap agar bisa digunakan sehingga bisa meminimalisir kesalahan yang tidak
diinginkan.

Pertanyaan 3
1. The extent to which data will be collected during an IS audit should be determined based
on the:
a. Availability of critical and required information.
b. Auditor’s familiarity with the circumstances.
c. Auditee’s ability to find relevant evidence.
d. Purpose and scope of the audit being done
Alasan : Sejauh mana data akan dikumpulkan selama audit SI harus terkait
langsung dengan ruang lingkup dan tujuan audit. Audit dengan tujuan sempit dan
lingkup akan menghasilkan kemungkinan besar pengumpulan data yang lebih
sedikit, daripada audit dengan tujuan dan ruang lingkup yang lebih luas. Ruang
lingkup audit SI tidak boleh dibatasi oleh kemudahan memperoleh informasi atau
oleh pengetahuan auditor untuk diaudit. Pengumpulan semua bukti yang
diperlukan merupakan elemen yang disyaratkan dalam audit SI, dan ruang
lingkup audit tidak boleh dibatasi oleh kemampuan auditor untuk menemukan
bukti yang relevan.

2. Which of the following ensures a sender’s authenticity and an e-mail confidentiality?

a. Encrypting the hash of the message with the sender’s private key and thereafter
encrypting the hash of the message with the receiver’s public key
b. The sender digitally signing the message and thereafter encrypting the hash of the
message with the sender’s private key
c. Encrypting the hash of the message with the sender’s private key and thereafter
encrypting the message with the receiver’s public key
 d. Encrypting the message with the sender’s private key and encrypting the message
hash with the receiver’s public key
Alasan : Untuk memastikan keaslian dan kerahasiaan, pesan harus dienkripsi dua
kali: pertama dengan kunci pribadi pengirim, dan kemudian dengan kunci pribadi
penerima. Penerima dapat mendekripsi pesan tersebut, sehingga memastikan
kerahasiaan pesan tersebut. Setelah itu, pesan yang dienkripsi dapat dienkripsi
lagi dengan kunci publik pengirim, memastikan keaslian pesan tersebut.
Mengenkripsi pesan dengan kunci pribadi pengirim memungkinkan siapa saja
untuk mendekripsinya.

3. User specifications for a project using the traditional SDLC methodology have not been
met. An IS auditor looking for a cause should look in which of the following areas?
a. Quality assurance
b. Requirements
c. Development
d. User training
e. Alasan : Area yang harus diperhatikan adalah manajemen proyek telah gagal
untuk menyiapkan atau memverifikasi kontrol yang menyediakan modul
perangkat lunak atau perangkat lunak dalam pengembangan yang mematuhi
spesifikasi yang dibuat oleh pengguna. Jaminan kualitas berfokus pada aspek
formal pengembangan perangkat lunak, seperti mengikuti standar pengkodean
atau metodologi pengembangan tertentu. Masalah fungsionalitas dalam hal
kegunaan bisnis berada di luar ruang lingkup dan, dalam hal ini, merupakan
bagian dari fase pengembangan. Gagal pada spesifikasi pengguna menyiratkan
bahwa rekayasa persyaratan telah dilakukan untuk menggambarkan permintaan
pengguna. Jika tidak, tidak akan ada dasar spesifikasi untuk diperiksa. Bergantung
pada pendekatan yang dipilih (waterfall tradisional, RAD, dll.), Perbedaan ini
mungkin muncul selama pelatihan pengguna atau pengujian penerimaan —
apapun yang terjadi lebih dulu.