Chapter 3 : Audit Process

PEMBAHASAN SOAL
GROUP 2
A Pahmi 05211740000003
Shabrina Luthfiani Khanza 05211740000095
Nur Aini Lestari 05211740000019
Cita Engedi Kristiono 05211740000102
Gabriella Icasia 05211740000048
Hana Millenia Azizah 05211740000130
Nida Inayah Maghfirani 05211740000051
Ivan Althirafi 05211740000132
Lenora Godiva Kepel 05211740000058
Reza Safira 05211740000133
Dewi Johanna 05211740000063
Rafi Bahasuan 05211740000135
Irfan Rifqi Susetyo 05211740000064
Muhammad Ainul Khakim 05211740007002
Novyant Syahputra 05211740000082
Exam Essentials
 Mengetahui bagaimana mengembangkan dan
mengimplementasikan strategi audit berbasis risiko

 Memahami bagaimana melakukan audit SI sesuai dengan

standard, guidelines, dan best practices yang ada

 Memahami cara merencanakan audit tertentu

 Mengetahui penerapan dan teknik audit

 Memahami objektif dari IS control dan pelaksanaan control

assessment
Exam Essentials (cont.)
 Mengetahui beberapa dari berbagai tipe computer-assisted audit
tools (CAATs)

 Memahami metode continuous auditing

 Mengetahui teknik untuk mengumpulkan informasi dan mengelola

evidence life cycle

 Mengetahui jenis-jenis bukti dan penilaian bukti

 Membiasakan diri dengan jenis-jenis tes audit dan pemilihan

sampel
Exam Essentials (cont.)
 Memahami bagaimana bukti dianalisis untuk melaporkan
kesesuaian atau ketidaksesuaian

 Mengetahui cara menangani tindakan yang tidak biasa dan illegal

 Mengetahui cara memberi saran kepada klien tentang penerapan

manajemen risiko dan control practices sambil tetap
mempertahankan independence

 Mampu untuk mengkomunikasikan masalah, potensi risiko dan hasil

audit

 Memahami peran audit tradisional dibandingkan dengan control

self-assessment (CSA)
1. Which of the following is false concerning a control
self‐assessment (CSA)?

Jawaban Kelompok 1 : B

Jawaban Kelompok 3 : B

Jawaban : B, Eliminates the need for a traditional audit

Pembahasan : Semua pernyataan benar kecuali B. CSA bukanlah

pengganti traditional audit. [CSA: pg. 161]
2. Who has responsibility for setting the scope of the audit?

Jawaban Kelompok 1 : B

Jawaban Kelompok 3 : B

Jawaban : B, Client

Pembahasan : Setiap audit dibayar dan di-request oleh client, yang

bertanggung jawab menetapkan scope, pemberian wewenang, dan
memberikan akses kepada auditee [pg.158].
3. During audit planning, several documents are produced
in support of the project. Which of these is used to identify
the person responsible for specific task in order to gain
funding and ensure quality

 Jawaban Kelompok 1 : A
 Jawaban Kelompok 3 : A
 Jawaban : A, Skills matrix

 Pembahasan : Skills matrix digunakan untuk mengidentifikasi

kemampuan setiap orang dalam tim dan memastikan bahwa tim sudah
memiliki orang yang tepat untuk melakukan tugas audit.

[ page 169 ]
4. Which of the following would be a
concern of the auditor that should be
explained in the audit report along with the
findings?
 Jawaban Kelompok 1 : D
 Jawaban Kelompok 3 : D
 Jawaban : D, Undue restrictions placed by management on evidence use or
audit procedures.

 Pembahasan : Undue restriction on scope would be a major concern as would

the lack of time or the inability to obtain sufficient reliable evidence. (page 157)
 Management placing undue restrictions on evidence use or limiting audit procedures.
Either of these could seriously undermine the truth as related to their audit objective.
 Inability to obtain sufficient evidence for any reason.
 Lack of resources or lack of sufficient time.
 Ineffective audit procedures
5. The auditor is permitted to deviate from
professional audit standards when they feel
it is necessary; which of the following is true
regarding such deviation?
 Jawaban kelompok 1 : B
 Jawaban kelompok 3 :
 Jawaban : B, Deviation is almost unheard of and would require significant
justification.

 Pembahasan : Standards are mandatory, and any deviation would require

justification
6. Auditors base their report on findings, evidence,
and the results of testing. It’s more of a score than
an opinion. Which of the following types of
evidence sampling refer to a 100 percent sample?

Jawaban kelompok 1 : D

Jawaban kelompok 3 : D

Jawaban : D. Discovery

Pembahasan : Semua pilihan yg tersedia merupakan metode penelitian

sampel yang valid untuk compliance testing. Discovery sampling digunakan
untuk menemukan 100% dari segala kemungkinan ketika dicurigai adanya
kecurangan atau ketika kemungkinan penemuan bukti cenderung rendah
[Hal. 199]
7. Which of the following types of risk are of
the most interest to an IS auditor?

 Jawaban kelompok 1 : C
 Jawaban kelompok 3 : C
 Jawaban : C. Sampling, control, detection, inherent

 Pembahasan : Tipe-tipe risk atau resiko: Inherent risk, Detection risk (samling
risk & non-sampling risk), control risk, business risk, technological risk,
operational risk,residual risk, audit risk (kombinasi inherent, detection,
control, and residual risk)
8. The two types of tests are referred to as
____ and ____ using ____ sampling methods.

 Jawaban kelompok 1 : A
 Jawaban kelompok 3 : A
 Jawaban : A, Substantive tests, compliance tests, variable and attribute

 Pembahasan : Jawaban B salah karena compliance testing menggunakan

discovery sampling untuk mendeteksi penipuan/fraud, C dan D jawaban
pengecoh
9. Which of these types of computer‐assisted audit
tools (CAATs) is designed to process dummy
transactions during the processing of genuine
transactions?
 Jawaban kelompok 1 : C
 Jawaban kelompok 3 : C
 Jawaban : C. Embedded Audit Module (EAM)

 Pembahasan : EAM digunakan untuk menentukan apakah sebuah sistem sudah berjalan
dengan benar.
Hal 190-191 dalam Summary :
Continuous and Intermittent Simulation (CIS) : Mengaudit setiap transaksi yang memenuhi
kriteria yang telah dipilih sebelumnya, menunggu transaksi berikutnya yang memenuhi
kriteria audit.
Embedded program audit hooks : Menandai transaksi yang harus diperiksa
Online event monitor : Membaca log dan alarm
10. Which of the following conditions is false
in regard to using the work of other people
during your audit?
 Jawaban kelompok 1 : B
 Jawaban kelompok 3 : B
 Jawaban : B, Accept the work based on job position

 Pembahasan : Seorang auditor seharusnya tidak membuat sebuah

keputusan berdasarkan job position seseorang. Pilihan A,C, dan D benar.
Selalu menilai / mengukur sifat independence dari provider, memeriksa
kualifikasi, menyetujui scope dan procedure yang akan digunakan, serta
supervise dan review pengerjaannya.
11. Which type of audit may be used for
regulatory licensing or external reporting?

 Jawaban kelompok 1 : D
 Jawaban kelompok 3 : D
 Jawaban : D, Traditional audit

 Pembahasan : Audit independen tradisional dilakukan dengan formalitas

dan kepatuhan terhadap standar yang diperlukan untuk perizinan
peraturan dan pelaporan eksternal. Memang benar selalu ada auditor licik
yang siap berbohong untuk klien. Dunia mengharapkan audit independen
dilakukan oleh auditor berkualifikasi yang mewakili tingkat kebenaran yang
tinggi. Penilaian terlalu informal dan oleh karena itu hanya dapat
digunakan secara internal dalam organisasi.
12. Audits are intended to be conducted in
accordance with which of the following
ideals?
 Jawaban kelompok 1 : D
 Jawaban kelompok 3 : D
 Jawaban : D, Adherence to standards, guidelines, and best practices

 Pembahasan : Audit harus mematuhi standar, pedoman, dan praktik

terbaik. Jawaban A mewakili batasan ruang lingkup. B dan C adalah
komponen jawaban D
13. Which of the following is not a type
of quantitative sampling model?

 Jawaban kelompok 1 : D
 Jawaban kelompok 3 : D
 Jawaban : D, Qualitative estimation per unit.

 Pembahasan : Difference estimation, stratified mean, dan unstratified

mean merupakan jenis sampel yang valid untuk pengujian substantif.
Qualitative estimation hanyalah sebuah distraktor
14. What is the principal issue
concerning the use of CAAT?

 Jawaban kelompok 1 : B
 Jawaban kelompok 3 : B
 Jawaban : B, Possible cost, complexity, and the security of output.

 Pembahasan : CAAT dapat bekerja lebih cepat daripada manusia dan

menghasilkan data yang lebih akurat dalam pengujian fungsional. Biaya,
pelatihan, dan keamanan keluaran adalah pertimbangan utama.
 15. What is the purpose of audit
charter?
 Jawaban kelompok 1 : B
 Jawaban kelompok 3 : B
JAWABAN:
 B. The audit charter’s purpose is to grant the right to audit and delegate responsibility, authority, and
accountability.

 Audit charter harus secara jelas menyatakan pernyataan tanggung jawab manajemen, tujuan
mereka, dan pendelegasian wewenang. Piagam audit menguraikan tanggung jawab, otoritas, dan
akuntabilitas :
 Tanggung jawab: Memberikan ruang lingkup dengan tujuan dan sasaran
 Otoritas: Memberikan hak untuk melakukan audit dan hak untuk mendapatkan akses yang relevan
dengan audit tersebut
 Akuntabilitas: Mendefinisikan tindakan yang disepakati bersama antara komite audit dan auditor,
lengkap dengan persyaratan pelaporan
 16. Which of the following describes the
relationship between compliance testing
and substantive testing?
 Jawaban kelompok 1 : A
 Jawaban kelompok 3 : A
 JAWABAN:
 A. Substantive testing checks the substance or integrity of a transaction. Compliance
testing looks for presence of controls or control attributes.

 Compliance Testing: kepatuhan untuk ada (presence) atau tidaknya (absence)

sesuatu. Pengujian kepatuhan mencakup verifikasi bahwa kebijakan dan prosedur
telah diterapkan, dan pemeriksaan bahwa hak akses pengguna, prosedur kontrol
perubahan program, dan log audit sistem telah diaktifkan.
 Substantive Testing: untuk memverifikasi konten (Substance) dan integritas bukti.
Pengujian substantif dapat mencakup penghitungan kompleks untuk memverifikasi
saldo akun, melakukan penghitungan inventaris fisik, atau mengeksekusi contoh
transaksi untuk memverifikasi keakuratan dokumentasi pendukung.
17. What is the purpose of continuous
auditing?

 Jawaban Kelompok 1 : A.
 Jawaban Kelompok 3 : C
 Jawaban : A. To assist managers with automated testing

 Continuous monitoring hanya menandakan adanya error yang diketahui

terjadi. Continuous auditing menggunakan automated testing yang
sedang berlangsung untuk memastikan modifikasi keamanan teknis
(kontrol) masih berfungsi dan aktif.
18. Which term best describes the difference
between the audit sample and the total
population?
 Jawaban Kelompok 1 : A.
 Jawaban Kelompok 3 : A
 Jawaban : A. Precision

 Precision atau Expected Error Rate menunjukan error rate sampel yang diharapkan
dan dibandingkan dengan total populasi. Precision biasanya dinyatakan sebagai
persentase. Untuk mendapatkan error rate yang rendah maka perlu menggunakan
sample yang besar dalam pengujian. Auditor menggunakan ukuran sampel yang
lebih kecil ketika total populasi diharapkan bebas dari error. Sampel yang lebih besar
diperlukan jika error diharapkan ada dalam populasi. Sampel yang lebih besar
dapat menghasilkan rata-rata yang lebih tinggi.
19. What is the biggest issue with the
decision to transfer risk to an outsourced
contractor?
 Answer : C. The company still retains liability for whatever happens.
 Jawaban Kelompok 1 : C
 Jawaban Kelompok 3 : C
A. There is potential for uncontrollable increase in operating cost over time; B.
Outsourcing shifts the entire risk to the contractor; C. The company still retains
liability for whatever happens; D. Outsourcing shields the company from
intrinsic risks.
Pembahasan: Pekerjaan dapat dioutsourcing tetapi tanggungjawab/
kemungkinan adanya kegagalan tetap ditanggung oleh perusahaan.
20. Which is not a purpose of risk
analysis?
 Answer : D. Ensure absolute safety during the audit
 Jawaban Kelompok 1 : D
 Jawaban Kelompok 3 : D
A. Support risk‐based audit decisions; B. Assist the auditor in determining audit
objectives; C. Assist the auditor in identifying risks and threats; D. Ensure
absolute safety during the audit
Pembahasan: analisis risiko digunakan untuk menentukan apakah audit
memiliki kesempatan untuk menunjukkan kebenaran yang ada. Secara alami,
tidak ada yang bersifat absolut dalam implementasi teknologi.
21. Which is the best document to help define the
relationship of the independent auditor and provide
evidence of the agreed‐upon terms and conditions?

 Jawaban Kelompok 1 : C
 Jawaban Kelompok 3 : C
 Answer : C. Engagement Letter

A. Audit charter; B. Annual audit plan; C. Engagement letter; D. Auditor's

report
Engagement letter biasa digunakan oleh auditor independen untuk mendefinisikan
relationship. Letter tersebut berperan sebagai penyimpan dokumen terkait kesepakatan
antara komite audit dan auditor independen. Letter tersebut juga menyatakan tanggung
jawab, akuntabilitas, dan otoritas auditor independen dalam mengerjakan tugasnya.
22. ISACA refers to testing for strong controls. What is the
best description of a strong control?

 Jawaban Kelompok 1 : A
 Jawaban Kelompok 3 : A
 Answer : A. Effective implementation of multiple controls targeting the same
objective
A. Effective implementation of multiple control targeting the same objectibe;
B. Preventive control that stops the problem from ever occurring; C. Using at
least one control in each of the three categories of detective, corrective, and
preventive; D. Implementing comprehensive persuasive controls inside of an
ERP application
Kontrol yang kuat akan mengimplementasikan berbagai tipe kontrol detektif,
korektif, dan preventif menggunakan pendekatan yang beragam seperti
metode administratif, fisikal, dan teknikal. Hal ini mengacu pada ke dalaman
kontrol yang harapannya menggunakan keseluruhan 9 layer yang ada.
Melakukan usaha minimum akan menghasilkan kontrol yang lemah.
23. Failing to prevent or detect a material
error would represent which type of risk?

 Jawaban Kelompok 1 : B.
 Jawaban Kelompok 3 : B.
 Jawaban : B. Detection Risk
 Detection Risk merupakan kondisi dimana auditor tidak akan dapat
mendeteksi apa yang dicari. Akan sangat buruk untuk melaporkan tidak
ada hasil negatif ketika kondisi material (kesalahan) benar-benar ada.
Detection risk terdiri dari sampling & non-sampling risk.
24. What is the best data collection technique
the auditor can use if the resources are
available?

 Kelompok 1 : D
 Kelompok 3 : D
 Answer: D – Interviews

Surveys, document review, dan observations menghasilkan hasil yang lebih

rendah.
25. An IS auditor is performing a review of an
application and finds something that might be
illegal. The IS auditor should do which of the
following?

 Kelompok 1 : D
 Kelompok 3 : D
 Answer: D - Seek legal advice before finishing the audit
Bukan tugas auditor untuk mendeteksi tindakan yang berpotensi ilegal;
namun, auditor harus mencari bantuan pengacara mengenai persyaratan
pertanggungjawaban dan pelaporan.
PEMBAHASAN SOAL
CHAPTER 2
Group 1
Exam Essential

■ Mengetahui cara mengevaluasi kinerja dan efektivitas struktur IT governance

■ Memahami bahwa struktur organisasi harus dirancang untuk mendukung strategi dan
tujuan bisnis
■ Mengetahui bahwa kebijakan, standar, dan prosedur IT harus dikembangkan dibawah
pengawasan manajemen
■ Mengetahui bahwa manajemen bertanggung jawab untuk memastikan kepatuhan
terhadap kebijakan dan standar
■ Memahami bahwa praktik manajemen risiko harus digunakan setiap saat
■ Mengetahui bahwa manajemen kualitas memerlukan penggunaan standar TI yang
diterima secara umum
■ Memahami bahwa kinerja IT dan vendor IT harus dilacak dengan menggunakan key
performance indicators
No :1
Soal : The Software Engineering Institute’s Capability Maturity
Model (CMM) is best described by which of the following options?
Jawaban : D. Baseline of the current progress or regression
■ Jawaban kelompok 2 : D
■ Jawaban kelompok 3 : D
■ Pembahasan:
Capability Maturity Model menyediakan pengukuran dasar (baseline measurement)
kematangan proses. CMM dimulai tanpa proses yang ditentukan dan berkembang
melalui lima fase dokumentasi dan kontrol. Fase kelima menujukkan tingkat
kematangan tertinggi.
No :2
Soal : Which of the following options contains the steps for business
process reengineering (BPR) in the proper sequence?
Jawaban : C. Envision, initiate, diagnose, redesign, reconstruct, evaluate

■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
Langkah-langkahnya sebagai berikut : memvisualisasikan kebutuhan (envision);
sponsor menetapkan tujuan BPR (initiate); mendokumentasikan proses yang ada
(diagnose); mengembangkan proses baru (redesign); melaksanakan perubahan
(reconstruct); dan melakukan postmonitoring untuk meningkatkan hasil (evaluate).
No :3
Soal : What is the name of the decentralized control method
enabling someone to make a decision based on their own options?
Jawaban : B. Discretionary
■ Jawaban kelompok 2 : B
■ Jawaban kelompok 3 : B
■ Pembahasan:
Discretionary control biasanya merupakan pilihan yang dipilih dalam bisnis. Kelemahan
dari control ini adalah seseorang membuat keputusan berdasarkan pendapatnya
pribadi daripada menggunakan otoritas formal terpusat. Auditor harus menyelidiki
bagaimana keputusan dibuat dan siapa yang membuat setiap keputusan. Ini biasanya
merupakan tempat yang baik untuk mencari kegagalan kontrol.
No :4
Soal : What would be the area of greatest interest during an audit of a
business process reengineering (BPR) project?
Jawaban : C. Risk management planning alignment of the project to business
objectives.
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
Steering comitte memberikan panduan terhadap IT tentang tujuan bisnis.
Rencana manajemen risiko harus digunakan untuk setiap proyek BPR. Tujuan dari manajemen
risiko adalah untuk menentukan apakah proyek tersebut benar-benar dapat memenuhi tujuan
bisnis. Bagian kedua dari manajemen risiko adalah menentukan apakah organisasi dapat
menyelesaikan proyek dan memberikan hasil yang diinginkan
No :5
Soal : What is the correct sequence for benchmark processes in
business process reengineering (BPR) projects?
Jawaban : A. Plan, research, observe, analyze, adapt, improve
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : A
■ Pembahasan:
Urutan dari business process reengineering adalah merencanakan perubahan, meneliti
kemungkinan implikasi, mengamati proses saat ini, menganalisis peluang potensial
untuk perbaikan dan memverifikasi key performance indikator, beradaptasi dengan
proses baru / yang diperbarui, dan bekerja untuk meningkatkan hasil.
No :6
Soal : The Capability Maturity Model (CMM) contains five levels of
achievement. Which of the following options contains three of the levels in
proper sequence?
Jawaban : C. Defined, Managed, Optimized
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
The five levels of achievement in the Capability Maturity Model (CMM) are
■ Level 1—Initial
■ Level 2—Repeatable
■ Level 3—Defined
■ Level 4—Managed
■ Level 5—Optimized.
No :7
Soal : The organization’s ______ is focused on exploiting trends
forecast in the next three to five years.
Jawaban : A. Strategy
A. Strategy ; B. Long‐term planning ; C. Operational plan ; D. Managerial plan
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : A
■ Pembahasan:
A strategy provides answers to “what business” the organization wants to be in.
This strategy is based on scenario planning and forecasting to alter the organization’s
structure, priorities, locations, and staffing. It could result in the decision to buy, sell, or
consolidate.
No :8
Soal : Which of these is not the purpose of the ISO 15489 standard
for a records management system?
Jawaban : C. Eliminate the need for a detailed classification list of each
data set.
A. Define the legal definition of the minimum handling requirements for data records. ; B.
Provide a legal standard of negligence and culpability. ; C. Eliminate the need for a detailed
classification list of each data set. ; D. Define governance responsibilities during the life
cycle of data.
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
The ISO 15489 standard defines the minimum handling process for records of value using
an information classification system, aka a list of each data set to be protected.
This is the most important governance control for compliance since it details each data item
to be protected and what the acceptable incident response is. The absence of the RMS is
usually a control failure.
No :9
Soal : What is the primary technique for reporting compliance with
key requirements in operations?
Jawaban : D. Individual elements created from contracts and regulations

■ Jawaban kelompok 2 : B. Identify business issues and governance objectives

■ Jawaban kelompok 3 : D
■ Pembahasan:
Using a compliance matrix of individual items that have been committed to clients in
signed contracts, advertised service-level statements, and specific points within
regulations will define the most critical service elements necessary to support business
operations. Lack of this document usually indicates a major governance control failure.
No : 10
Soal : Which of these strategies is used in business process
reengineering with an incremental approach?
Jawaban : A. Bottom-up
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : A
■ Pembahasan:
The incremental approach uses bottom-up modeling of the existing process. Overall
gains tend to be small because this method focuses so hard on current processes. All
the other choices represent a think-big (top-down) approach without limitations.
Topdown looks at what it could be, not what it is (end-state).
No : 11
Soal : During the selection of a BPR project, which of the
following is the ideal target with the highest return?
Jawaban : B. Nonworking processes
■ Jawaban kelompok 2 : B
■ Jawaban kelompok 3 : C
■ Pembahasan:
whether manual or automated, are usually the highest priority if their business value
can be justified.
(page 127 – 128)
No : 12
Soal : Who sets the priorities and objectives of the IT balanced
scorecard (BSC)?
Jawaban : C. Chief executive officer (CEO)
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
The BSC is intended to provide a unifying approach on how the CEO expects the
business process to interact across the organization. IT’s scorecard is a subset of the
CEO’s overall enterprise scorecard. The BSC’s objective is to break down management
barriers and convert department budgets into an entire cross-function workflow. The
CEO or COO will control decisions to eliminate waste and prevent self-directed decisions
by department managers.
(page 70 – 71)
No : 13
Soal : Which of the following is not an advantage of a mature
project management office (PMO)?
Jawaban : D. Independent projects
■ Jawaban kelompok 2 : D
■ Jawaban kelompok 3 : D
■ Pembahasan:
The PMO provides independent governance to coordinate and oversee all projects
across the organization. This provides historical data for estimating, and it provides
success and failure criteria. The PMO provides maturity to the process of managing
projects. Independent Projects run contrary to this in that that they are “independent”
and therefore the PMO has neither visibility nor control over the project which creates
risk for the organization.
(page 80 – 81)
No : 14
Soal : Which of the following business process reengineering
(BPR) risks are likely to occurduring the design phase?
Jawaban : D. Scope risk, skill risk, political risk
■ Jawaban kelompok 2 : D
■ Jawaban kelompok 3 : D
■ Pembahasan:
The primary risks during the BPR design phase are improper scope, lack of necessary
skills, political resistance, and a failure by management to support the project.
(page 123 – 124)
No : 15
Soal : What is the primary purpose of recurring employee drug
screening and recurring criminal background checks?
Jawaban : A. Determine if a person is eligible to work
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : A
■ Pembahasan:
The primary purpose it to determine if an employee is eligible to work and it they are still
eligible to remain in their job. Fraud, waste, and abuse regulations force ongoing
monitoring to determine if the person is susceptible to committing acts of theft or
collusion. People who have not passed their test or retest are to be barred from all
forms of access until a passing test is obtained. This includes auditors.
(page 109)
No : 16
Soal : Which of the following statements is not true concerning
the use of a records management system?
Jawaban : B. Is not necessary for evidence of proper record keeping.
■ Jawaban kelompok 2 : B
■ Jawaban kelompok 3 : B
■ Pembahasan:
Manajemen arsip berbasis ISO 15489 adalah standar internasional dari persyaratan
pencatatan yang tepat dan diakui di seluruh dunia sejak 2001. Dokumen ini adalah
dasar dari semua keputusan penanganan data untuk organisasi. Tidak adanya sistem
manajemen pencatatan (RMS) menunjukkan bahwa ada atau telah terjadi kegagalan
kontrol tata kelola.
No : 17
Soal : Which type of charge-back scheme is notorious for
violating separation of duties or for attempting to exceed authority?
Jawaban : A. Sponsor pays
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : A
■ Pembahasan:
Sponsor pays terkenal karena masalah otoritas yang berlebihan, melanggar pemisahan
tugas, dan gagal menerapkan semua kontrol tata kelola. Sponsor cenderung hanya
membayar apa yang mereka inginkan. Sponsor yang sangat baik mempertimbangkan
kebutuhan semua orang di atas kepentingan mereka sendiri.
No : 18
Soal : Why is change control considered a governance issue?
Jawaban : D. It forces separation of duties to ensure that at least
two people agree with the decision.
■ Jawaban kelompok 2 : D
■ Jawaban kelompok 3 : D
■ Pembahasan:
Pengendalian perubahan adalah dasar dari good governance. Tujuannya adalah untuk
mengurangi keputusan yang meragukan. Manfaat dari kontrol perubahan termasuk
tidak lagi membuang-buang sumber daya untuk tugas-tugas yang memiliki keuntungan
rendah dan mencegah kegagalan dengan mengurangi risiko (mitigasi risiko).
No : 19
Soal : What is the advantage of using precedence diagram
analysis during projects for business process reengineering (BPR)?
Jawaban : B. It shows the ripple effect of changes.
■ Jawaban kelompok 2 : A
■ Jawaban kelompok 3 : B
■ Pembahasan:
Analisis diagram prioritas menunjukkan ripple effect perubahan dan menyediakan jalur
kritis untuk menggambarkan tugas spesifik minimum yang diperlukan untuk
menyelesaikan tujuan proyek. Teknik CPM adalah alat untuk menunjukkan apa yang
harus dicapai versus apa yang diminta. Tugas ketergantungan tinggi dilakukan,
sementara tugas dengan ketergantungan rendah dapat dibatalkan dari proyek.
No : 20
Soal : Which statement about the Capability Maturity Model is not
true?
Jawaban : A. Level 3 provides quantitative measurement of the process
output.
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : A
■ Pembahasan:
Pengukuran kualitatif (berbasis opini) terjadi pada level 3, dan pengukuran kuantitatif
(berbasis penghitungan) berada pada level 4. Level 5 secara efektif mengubah produk
menjadi komoditas dengan maksud untuk mengambil manfaat dari perbaikan terakhir.
Semua pekerja diharapkan hanya melakukan apa yang diperintahkan dan tidak
memiliki otoritas. Pada level 5, perusahaan memiliki kendali paling besar dan dapat
memutuskan untuk melakukan outsourcing dengan pekerja yang dibayar lebih rendah.
No : 21
Soal : Which of the following statements has the best correlation to
the definition of strategy ?
Jawaban : D. Defines what business an organization is in for the next
three years
■ Jawaban kelompok 2 : D
■ Jawaban kelompok 3 : D
■ Pembahasan:
Strategi merupakan arahan bisnis yang bersifat fundamental. Strategi mendefinisikan
bisnis utama yang akan dijalani perusahaan dalam 3-5 tahun kedepan. Menggunakan
informasi ini, bisnis dapat mengembangkan atau mengadopsi standar pendukung dan
kemudian dapat membuat prosedur untuk mencapai tujuan strategis.
No : 22
Soal : Which of the following is not considered a control failure?
Jawaban : C. Testing to discover how many policy violations have
occurred
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
Semua opsi termasuk kegagalan kontrol kecuali pengujian untuk mencari tau
bagaimana pelanggaran kebijakan terjadi. Kontrol harus mencakup tindakan preventif,
detektif, dan korektif.
No : 23
Soal : Which of the following is not cited in the text as a reason
that balanced scorecard (BSC) implementations could fail?
Jawaban : B. Top management providing full support
■ Jawaban kelompok 2 : B
■ Jawaban kelompok 3 : B
■ Pembahasan:
Tujuan utama penggunaan BSC adalah memastikan setiap orang dibawah manajemen
CEO, COO, dan CFO memahami arah utama bisnis, sehingga mencegah konflik oleh
kepala divisi, VP dan direktur tingkat departemen. Mengurangi pemborosan dengan
menghilangkan keputusan yang diarahkan sendiri oleh masing-masing departemen di
bawah C level dan mengembalikan kendali kepada CEO atau eksekutif tertinggi.
No : 24
Soal : A shadow organization refers to two groups performing similar
functions under different departments. What does the presence of a shadow
organization indicate?
Jawaban : C. Executive distrust or failure to integrate
■ Jawaban kelompok 2 : C
■ Jawaban kelompok 3 : C
■ Pembahasan:
Shadow organization menjukkan kegagalan integrasi yang disebabkan oleh
ketidakpercayaan eksekutif atau konflik serupa. Hal ini menciptakan konflik tambahan
yang tidak efisien.
Masalah itu termasuk strategi yang saling bertentangan dan pelanggaran pemisahan
tugas atau melebihi kewenangan dari yang semestinya. Shadow organization dikenal
sebagai upaya rendundan yang menciptakan biaya gabungan yang tinggi untuk
organisasi.
No : 25
Soal : Which of the following statements is true concerning the
steering committee?
Jawaban : C. Absence of a formal charter indicates a lack of controls.

■ Jawaban kelompok 2 : D. The steering committee conducts formal management

oversight reviews.
■ Jawaban kelompok 3 : C
■ Pembahasan:
Steering committee harus diberi wewenang melalui dokumen formal. Tidak optimalnya
steering committee menunjukkan bahwa TI tidak diatur dengan penyelarasan tujuan
bisnis. Tujuan dari steering committee adalah untuk menyampaikan permasalahan
bisnis yang harus dipertimbangkan oleh IT dan tujuan yang harus dipenuhi.
Keanggotaan individu dalam steering committe harus ditetapkan secara resmi.
PEMBAHASAN SOAL
Chapter 1
Exam Essentials

■ Mengetahui tujuan kebijakan, standar, pedoman, dan prosedur

■ Mengetahui standar ISACA yang mengatur perilaku dan etika profesional.
■ Memahami tujuan umum audit dan peran auditor SI.
■ Memahami peran audit versus peran nonaudit.
■ Memahami pentingnya independensi auditor SI.
■ Mengetahui perbedaan antara bahasa pilihan dan bahasa wajib.
Exam Essentials cont.

■ Mengetahui berbagai jenis audit.

■ Memahami pentingnya kerahasiaan auditor SI.
■ Memahami kebutuhan untuk melindungi dokumentasi audit.
■ Mengetahui cara menggunakan kerangka acuan standar.
■ Memahami penerapan aturan bukti.
■ Mengidentifikasi orang-orang yang mungkin perlu diwawancarai oleh auditor.
■ Memahami struktur organisasi.
No :1
Soal : Assessments and audits have several points in common.
Which of the following statements provides the best description of an
assessment compared to an audit?
Jawaban : A. An assessment is less formal than an audit.

■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 : A
■ Pembahasan :
Assessment merupakan penilaian yang tidak terlalu formal karena lebih kooperatif
dengan orang/objek yang diawasi. Tujuan utama assessment adalah membantu
staff pekerja untuk meningkatkan skor mereka.
Sedangkan audit dilakukan oleh independent auditor eksternal sehingga lebih
formal, tujuannya adalah kepatuhan perusahaan terhadap peraturan.
No :2
Soal : Which of the following statements is true?
Jawaban : C. The client is the person setting the scope for the audit,
and the auditor performs the work.

■ Jawaban kelompok 1 :C
■ Jawaban kelompok 2 : B. The auditor is the person running the audit, and the client is the
subject of the audit.
■ Pembahasan :
Auditee adalah subjek yang akan diaudit.
Clent adalah orang atau organisasi yang memiliki kewenangan untuk meminta
audit.
Auditor merancang rencana audit sesuai dengan ruang lingkup client dan
kemudian melakukan audit sesuai dengan standar dan prosedur audit yang
telah dipublikasikan.
No :3
Soal : Who should issue the organizational policies?
Jawaban : D. The policy should be signed and enforced by the highest level
of management

■ Jawaban kelompok 1 :D
■ Jawaban kelompok 2 : D
■ Pembahasan :
– Manajemen (bukan auditor) bertanggung jawab untuk menerapkan internal
control.
No :4
Soal : Which of the following options is true about the term auditor
independence?
Jawaban : B. It is required for an external audit.

■ Jawaban kelompok 1 : B
■ Jawaban kelompok 2 : B
■ Pembahasan :
– Auditor harus independent. Memiliki hubungan personal dengan perusahaan
yang sedang diaudit bisa menimbulkan bias. Hubungan bisnis juga bisa
menjadi masalah jika perusahaan mempunyai pengaruh terhadap auditor.
Tujuannya untuk menjadi adil, objektif, dan tidak terkait dengan subjek audit
No :5
Soal : Which of the following assurance methods is acceptable for external use,
including licensing?
A. Independent Audit
B. Assesment
C. External Audit
D. Internal Audit

■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 :A
■ Pembahasan :
A. Independent Audit
Independent audit adalah metode satu-satunya yang dapat diterima/dilakukan untuk
penggunaan eksternal. Internal audit biasanya memiliki kekurangan independensi yang
dibutuhkan karena internal auditor mungkin akan terlalu khawatir dengan posisinya di
perusahaan. Assessment bersifat lebih informal ketimbang actual audit. Sedangkan,
external audit masih dapat dibatasi lingkupnya menyesuaikan permintaan customer
No :6
Soal : What is the definition of a standard as compared to a guideline ?
A. Standards are discretionary controls used with guidelines to aid the reader’s decision
process.
B. Standards are mandatory controls designed to support a policy. Following guidelines
is discretionary.
C. Guidelines are recommended controls necessary to support standards, which
are discretionary.
D. Guidelines are intended to designate a policy, whereas standards are used in the
absence of a policy.
Jawaban :

■ Jawaban kelompok 1 : B
■ Jawaban kelompok 2 : B
■ Pembahasan :
B, Standards are mandatory controls designed to support a policy. Following guidelines
is discretionary.
Standard digunakan untuk memastikan batas minimal yang diharuskan. Guideline
adalah informasi berupa saran yang digunakan ketika Standard tidak mengaturnya.
Pemenuhan standard bersifat wajib, sedangkan guideline dapat diikuti atau tidak.
No :7
Soal : Which of the following is not defined as a nonaudit
role?
Jawaban : C. Auditor

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 : C
■ Pembahasan :

– Setiap peran kecuali audtor merupakan peran non audit. Setiap orang yang
ada di peran nonaudit didiskualifikasi sebagai auditor independen. Hanya ada
2 peran di audit. Auditor yang melakukan review objektif, dan yang kedua
adalah selain itu.
No :8
Soal : Which of the following is the best description of an ongoing audit program for
regulatory
compliance?
Jawaban : C. An audit is a series of unique projects of short duration that add
up to cover all the steps necessary for annual compliance.

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 : C
■ Pembahasan :

– Projek merupakan hal yang unik dan biasanya dibatasi oleh waktu dengan
waktu mulai dan berhenti yang pasti. Proyek – proyek dapat digabungkan
menjadi Series of Projects untuk memenuhi kebutuhan operasional, seperti
audit tahunan ataupun program kualitas berkelanjutan.
No :9
Soal : What is the purpose of ISACA’s professional ethics statement?
Jawaban : A. To clearly specify acceptable and unacceptable
behavior
■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 :A
■ Pembahasan :
– Pernyataan ini menetapkan bahwa auditor SI diharapkan untuk memenuhi
tugasnya dengan standar kejujuran tertinggi dan representasi yang jujur.
Melanggar Fiduciary relationship dengan klien adalah hal yang tidak dapat
diterima.
No : 10
Soal : The auditor’s final opinion is to be based on which of the
following?
Jawaban : D. The results of evidence and testing

■ Jawaban kelompok 1 : D
■ Jawaban kelompok 2 : D
■ Pembahasan :
– Auditor harus menjadi skeptis profesional yang menguji asersi manajemen dan
memberikan opini berdasarkan bukti yang ditemukan selama audit.
No : 11
Soal : What are common types of audits?
Jawaban : B. Integrated, operational, compliance, administrative

■ Jawaban kelompok 1 : B
■ Jawaban kelompok 2 :B
■ Pembahasan :
– Semua jenis audit yang ada pada pilihan valid kecuali prosedural, SAS-74,
verifikasi, dan regulasi. Jenis audit yang valid adalah financial, operational
(SAS-70), integrated(SAS-94), compliance, administrative, forensic, and
information systems. Audit forensik digunakan untuk menemukan informasi
tentang kemungkinan kejahatan.
No : 12
Soal : What is the difference between a policy and a procedure?
Jawaban : C. A procedure provides discretionary advice to aid in decision
making. The policy defines specific requirements to ensure compliance.

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 :C
■ Pembahasan :
– Kebijakan ditandatangani oleh orang yang memiliki otoritas tertinggi untuk
memastikan kepatuhan oleh anggota organisasi. Kepatuhan terhadap
kebijakan, standar, dan prosedur adalah wajib.
No : 13
Soal : What is the purpose of standard terms of reference?
Jawaban : C. To ensure honest and unbiased communication

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 :C
■ Pembahasan :
– Kerangka acuan standar digunakan antara auditor dan semua orang untuk
memastikan komunikasi yang jujur dan tidak bias. Tanpa terminologi standar,
akan sulit untuk mengetahui apakah kita membahas masalah yang sama atau
menyetujui hasil yang sama.
No : 14
Soal : Which of the following in a business organization will be held
liable by the government for failures of internal controls?
Jawaban : A. President, vice presidents, and other true corporate officers

■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 :A
■ Pembahasan :
– Apabila ada kegagalan pengendalian internal maka yang diminta
pertanggungjawaban adalah para pejabat. Mereka yang memegang posisi
direktur departemen dan di bawahnya jarang dimintai pertanggungjawaban
oleh pemerintah atas kegagalan pengendalian internal.
No : 15
Soal : Which of the following is true concerning the roles of data
owner, data user, and data custodian?
Jawaban : C. The data owner specifies controls.

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 :C
■ Pembahasan :
– Data owner menentukan kontrol. Data user akan menerima acceptable use
dan melaporkan apabila ada pelanggaran. Data custodian akan melindungi
informasi dan memastikan ketersediannya.
No : 16
Soal : What does fiduciary responsibility mean?
Jawaban : B. To act for the benefit of another person and place
the responsibilities to be fair and honest ahead of your own interest.

■ Jawaban kelompok 1 : B
■ Jawaban kelompok 2 :B
■ Pembahasan :
– Akuntan, auditor, dan pengacara bertindak atas nama kepentingan terbaik
klien mereka kecuali jika hal tersebut dapat membuat mereka melanggar
hukum.
No : 17
Soal : How does the auditor derive a final opinion?
Jawaban : A. From evidence gathered and the auditor’s observations

■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 : A
■ Pembahasan :
Tujuan dari audit adalah untuk memastikan kebenaran dari pernyataan suatu
manajemen. Maka dari itu, auditor mengumpulkan bukti-bukti dan melakukan
observasi yang dapat mendukung atau menyangkal pernyataan manajemen tersebut.
Dari hasil temuan auditor itu diperoleh opini akhir.
No : 18
Soal : How should the auditor assist in the remediation of problems found
during the audit?
Jawaban : D. The auditor should never take ownership of problems found. Auditors are
encouraged to provide general advice to the auditee, including an
explanation of what to look for during the audit.

■ Jawaban kelompok 1 :D
■ Jawaban kelompok 2 : D
■ Pembahasan :
Dalam tahap perbaikan, auditor hanya boleh memberikan saran dan penjelasan secara
general. Auditee perlu merancang rencana perbaikan dan spesifikasi secara detail
mereka sendiri. Auditor yang berpartisipasi aktif dalam tahap ini, tidak dapat lagi
dianggap objektif atau independen.
19. The type of audit checks attributes against the design specifications.

A. Process
B. System
C. Compliance
D. Product

Jawaban kelompok 1 : D
Jawaban kelompok 2 : D
Pembahasan : halaman 20 Determining Differences in Audit Approach
Lanjutan: Audit mempunyai banyak tipe pendekatan, berikut ini penjelasan tipe pendekatan dari pilihan jawaban yang
ada.

Process Audits
pemeriksaan terhadap metode yang dilakukan dalam proses untuk menentukan apakah aktivitas yang dilakukan dala
m proses tersebut sudah benar

System Audits
untuk memeriksa manajemen dari sistem apakah system tersebut sudah dijalankan sesuai dengan ketentuan yang sud
ah ditetapkan seperti aktivitas setiap anggota tim dan seperti apa alur birokrasinya

Compliance Audits
memeriksa apakah implementasi yang dilakukan sudah sesuai dengan regulasi yang ada

Product Audits
20. Why is it necessary to protect audit documentation and work papers?

A. The evidence gathered in an audit must be disclosed for regulatory compliance.

B. A paper trail is necessary to prove the auditor is right and the auditee is wrong.
C. The auditor will have to prove illegal activity in a court of law.
D. Audit documentation work papers may reveal confidential information that should not
be lost or disclosed.

Jawaban kelompok 1 : D
Jawaban kelompok 2 : D
Pembahasan : The auditor may discover information that could cause some level of damage to the client if
disclosed. The information could trigger additional actions by a perpetrator. In addition, the auditor shall
implement controls to ensure security and data backup of their work.
Lanjutan: halaman 35 Understanding the Importance of Auditor Confidentiality
Auditor penting untuk mengamankan hasil dokumentasi audit dan lembar kerja untuk menjaga kerahasiaan dan
informasi sensitif perusahaan. Informasi ini tidak boleh di ungkap ke publik jika tidak berpotensi terdapat
kecurangan.
Auditor bertanggung jawab untuk melakukan kontrol keamanaan agar kerahasiaan perusahaan tetap terjaga
sehingga auditor menggunakan working papers yang terdiri dari reports, checklists, dan spreadsheets yang
berisi rincian rahasia perusahaan yang harus diamankan.
File dari setiap dokumentasi selama proses audit berlangsung itu harus disimpan dan dijaga sesuai dengan
hukum pengaturan dan penyimpanan catatan
No : 21
Soal : What is the difference between the words should and shall when
used in regulations?

Jawaban : D. Should indicates actions that are discretionary according

to need, whereas shall means the action is mandatory regardless of financial impact

■ Jawaban kelompok 1 : D
■ Jawaban kelompok 2 : D
■ Pembahasan : Should represents discretionary information in a regulation. Shall
indicates that compliance is mandatory regardless of profit or loss.
No : 22
Soal : The audit may uncover irregularities and illegal acts that require
disclosure. The auditor is obligated to promptly disclose this information to the
authorities.

Jawaban : B. False
■ Jawaban kelompok 1 : B
■ Jawaban kelompok 2 : A
■ Pembahasan : The auditor should contact one level of management above where
the suspected activity took place. If the problem involved managers responsible for
internal controls, the auditor should report it to the highest level of management
available, which is usually the audit committee. Auditors should never contact the
authorities directly unless advised to do so by their own attorney.
No : 23
Soal : Which of the following statements is not true regarding the audit
committee?
Jawaban : A. Executives inside the organization oversee the audit committee and
are responsible for keeping the committee busy working on compliance
programs.

■ Jawaban kelompok 1 : A
■ Jawaban kelompok 2 : A
■ Pembahasan :
Semua pilihan kecuali A adalah TRUE. Komite audit bertanggung jawab
atas pengawasan terhadap para eksekutif. Komite audit biasanya terdiri
dari anggota dewan direksi yang menyediakan forum untuk mendiskusikan
masalah. Komite audit dapat mempekerjakan atau memecat siapapun
dalam organisasi, biasanya berfokus kepada auditor eksternal dan
eksekutif senior. Pembahasan tentang komite audit terdapat pada halaman
45 bagian Audit and oversight committee dalam Identifying Roles in a
Corporate Organizational Structure.
No : 24
Soal : What term simply means the right people of authority looked at the
issue, made an intelligent decision, and took appropriate action?
Jawaban : D. Governance

■ Jawaban kelompok 1 : D
■ Jawaban kelompok 2 : D
■ Pembahasan :
Pada bagian Audit Results Indicate the Truth halaman 11, dijelaskan
bahwa governance itu ada jika orang yang berwenang melihat pada sebuah
masalah, membuat keputusan cerdas, dan mengambil Tindakan yang
sesuai. Governance adalah leadership yang proaktif. Governance terjadi di
top level manajemen untuk mencegah anarki.
No : 25
Soal : What is the difference between a threat and a vulnerability?
Jawaban : C. Vulnerabilities are a path that can be taken by a threat,
resulting in a loss.

■ Jawaban kelompok 1 : C
■ Jawaban kelompok 2 : C
■ Pembahasan :
Threat/Ancaman adalah peristiwa negatif yang merugikan jika terjadi, dan
Vulnerability/Kerentanan adalah jalur yang memungkinkan terjadinya
ancaman ini. Pembahasan mengenai threat dan vulnerability terdapat pada
halaman 7 bagian Basic Regulatory Objective.