Nama : Steven Prasetya Ohello

NIM : 23221037

Review Question Chapter 7

1. Apa enam komponen IT modern yang dijelaskan dalam bab ini?

Hardware komputer, Jaringan, software, database, informasi, dan manusia.

2. Bagaimana IT memungkinkan peluang? Berikan dua contoh.

a. Internet memungkinkan perusahaan untuk menjangkau pelanggan di seluruh dunia,
meminimalisir waktu transaksi dimana pelanggan dapat memilih produk yang diinginkan
dan melakukan pembayaran hanya dengan duduk di depan komputer atau smartphone.
b. Media sosial dapat membantu perusahaan mengiklankan produknya, dimana pengguna
media sosial di dunia semakin meningkat setiap harinya. Banyak orang menghabiskan
waktu di media sosial, maka ini menjadi peluang yang baik bagi perusahaan untuk
menggait pelanggan melalui jaringan media sosial yang mereka sukai, seperti Facebook,
Youtube, Instagram, Twitter, TikTok, dan lain-lain.

3. Apa dampak potensial (konsekuensi buruk) dari masing-masing jenis risiko IT berikut?
a. Pengembangan/akuisisi dan penyebaran.
Proses pengembangan dan penyebaran IT bagi perusahaan dapat beresiko
terhambatnya proses bisnis yang sedang berjalan, adanya pembengkakan biaya, atau
proyek mangkrak dan tidak berjalan sesuai yang diharapkan. Hal ini dapat disebabkan
karena kurangnya tenaga ahli dalam pengaplikasian teknologi, dukungan vendor yang
kurang memadai, software yang dikembangkan perlu waktu untuk ujicoba, atau adanya
penolakan dari intern perusahaan yang menolak perubahan.
b. Hardware dan software.
Apabila terjadi kerusakan pada hardware/software maka akan berdampak pada
terhambatnya proses bisnis perusahaan, terlebih lagi kerusakan tersebut memerlukan
biaya tambahan untuk perbaikan. kerusakan pada storage dapat mengakibatkan
hilangnya data penting yang tersimpan di dalamnya. Sedangkan software berpotensi
terjadinya serangan siber seperti virus ataupun jenis serangan lain.
 c. Risiko keandalan sistem dan integritas informasi.
Kesalahan sistem dalam pemrosesan data dapat menghasilkan informasi yang tidak
relevan, tidak lengkap, tidak akurat, ataupun tidak tepat waktu, yang pada akhirnya akan
mengakibatkan kesalahan dalam pengambilan keputusan. Hal ini dapat disebabkan
misalnya karena desain program yang tidak baik, lemahnya kontrol perubahan dan
verifikasi data, adanya modifikasi yang tidak sah terhadap software yang dibangun, dll.
d. Penipuan dan tindakan jahat.
Pencurian dan penyalahgunaan sumberdaya IT yang disengaja atau pengrusakan
informasi yang disengaja dapat mengakibatkan kerugian finansial atau pengambilan
keputusan yang salah oleh manajemen perusahaan.

4. Apa penyebab khas dari masing-masing jenis risiko IT berikut?

a. Selection
Kurangnya kualifikasi dari si pengambil keputusan ataupun informasi yang tidak relevan
digunakan dalam pengambilan keputusan penggunaan IT.
b. Availability
Kegagalan hardware/software, maintenance yang tidak terjadwal, bencana alam, virus
atau serangan siber lainnya.
c. Access
Pembatasan hak akses yang kurang memadai, misalnya user tamu dapat mengakses
jaringan bisnis perusahaan melalui perangkat pribadinya. Kurang kuatnya proses
authentikasi yang diterapkan.
d. Confidentiality and privacy
Adanya akses tidak legal ke dalam sistem jaringan, software, dan database perusahaan.

5. Bagaimana IIA mendefinisikan tata kelola IT?

Terdiri dari kepemimpinan, struktur organisasi, dan proses yang memastikan bahwa
teknologi informasi perusahaan menopang dan mendukung strategi dan tujuan organisasi.

6. Bagaimana masing-masing komponen COSO enterprise risk management (ERM) berikut ini
relevan dengan manajemen risiko IT?
a. Penentuan objektif.
Menentukan tujuan dari penggunaan IT dalam mencapai tujuan perusahaan
 b. Assessment resiko.
Melakukan assessment terhadap resiko yang mungkin muncul dari penggunaan IT, serta
menetapkan risk appetite yang sesuai.
c. Respons risiko.
Menentukan respon sesuai yang diambil apabila risiko terjadi akibat penggunaan IT
dalam proses bisnis perusahaan.
d. Informasi dan Komunikasi.
Manajemen menggunakan informasi yang relevan baik dari sumber internal maupun
external kemudian mengkomunikasikannya kepada seluruh bagian dalam perusahaan
secara berkala terkait resiko penggunaan IT dalam proses bisnis perusahaan.

7. Apa perbedaan antara kontrol umum dan kontrol aplikasi?

Kontrol umum berlaku untuk semua komponen sistem, proses, dan data untuk organisasi
atau lingkungan sistem tertentu.
Kontrol aplikasi berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi
dan termasuk kontrol dalam aplikasi di sekitar input, pemrosesan, dan output.

8. Apa yang harus ditangani oleh kontrol tingkat tata kelola IT (yaitu, kebijakan IT)?
Tata Kelola IT menangani pembuatan kebijakan IT, hal ini menjadi tanggung jawab dewan
direksi dan manajemen.

9. Apa tiga jenis kontrol manajemen IT yang dijelaskan dalam bab ini? Berikan dua contoh
dari masing-masing jenis.
a. Standard
 Ketika organisasi mengembangkan aplikasi mereka sendiri, standar perlu diterapkan
pada proses perancangan, pengembangan, pengujian, implementasi, dan
pemeliharaan sistem dan program informasi.
 Standar harus menentukan tingkat minimum dokumentasi yang diperlukan untuk
setiap sistem aplikasi atau instalasi TI, serta untuk kelas aplikasi, proses, dan pusat
pemrosesan yang berbeda.
b. Organization and manajement

c. Physical and Environtmental Control
 Menempatkan server pada ruangan dengan akses terbatas
  Pembatasan akses server kepada admin spesifik

10. Apa tiga jenis kontrol teknis IT yang dijelaskan dalam bab ini? Berikan dua contoh dari
masing-masing jenis.
a. System software control
 Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan yang dinyatakan
organisasi. Misal akses database hanya dapat dilakukan oleh admin database.
 Ujicoba intrusi dilakukan secara berkala. Misal setiap semester dilakukan
penetration testing.
b. System development and acquisition control
 persyaratan pengguna harus didokumentasikan, dan pencapaiannya harus diukur.
Misal untuk dapat mengoperasikan sistem yang dibangun pengguna harus memiliki
kompetensi dalam pengelolaan jaringan atau database.
 Desain sistem harus mengikuti proses formal untuk memastikan bahwa persyaratan
dan kontrol pengguna dirancang ke dalam sistem.
c. Application base control
 Kontrol pada input misalnya dengan membuat pedoman bagaimana melakukan
input data ke dalam sistem, atau membuat mekanisme validasi terhadap input yang
dimasukan user (misal data tanggal hanya bisa diisi angka, dll)
 Kontrol terhadap penggunaan data, misal sistem mencatat log terhadap setiap akses
ke suatu data, siapa yang melakukan akses, kapan dilakukan, operasi apa yang
dilakukan, dll.

11. Apa perbedaan antara kontrol akses fisik dan kontrol akses logis?
Kontrol akses fisik memberikan keamanan atas sumber daya TI yang nyata dan mencakup
hal-hal seperti pintu terkunci, kamera pengintai, dan penjaga keamanan.
Kontrol akses logis memberikan keamanan atas perangkat lunak dan informasi yang
tertanam dalam sistem dan mencakup hal-hal seperti firewall, enkripsi, ID login, kata sandi,
tabel otorisasi, dan log aktivitas komputer.
12. Apa dua Standar Penerapan Atribut yang secara khusus membahas kecakapan IT yang
harus dimiliki auditor internal dan pertimbangan yang harus mereka berikan untuk
menggunakan teknik audit berbasis teknologi?
Standard 1210.A3 dan 1220.A2 dengan jelas menunjukkan bahwa semua auditor internal
yang memberikan layanan asurans memerlukan setidaknya pemahaman terhadap tingkat
dasar risiko TI, pengendalian, dan keahlian audit.

13. Apa tiga Standar Implementasi Kinerja yang secara khusus membahas tanggung jawab
keterlibatan jaminan auditor internal mengenai sistem dan teknologi informasi?
 Standard 2110.A2 Aktivitas audit internal harus menilai apakah tata kelola teknologi
informasi organisasi mendukung strategi dan tujuan organisasi.
 Standard 2120.A1 Aktivitas Audit Internal harus mengevaluasi eksposur risiko yang
berkaitan dengan tata kelola dan operasi sistem informasi organisasi
 Standard 2130.A1 Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas
pengendalian dalam menanggapi risiko dalam organisasi

Ketiga standar ini mencerminkan fakta bahwa fungsi audit internal tidak dapat secara efektif
mengevaluasi tata kelola, manajemen risiko, dan proses pengendalian tanpa
mempertimbangkan sistem dan teknologi informasi.

14. Apa yang harus dilakukan oleh fungsi audit internal untuk memenuhi tanggung jawab
terkait IT yang terkait dengan evaluasi efektif tata kelola, manajemen risiko, dan proses
pengendalian?
 Memasukkan sistem informasi organisasi dalam proses perencanaan audit tahunannya.
 Mengidentifikasi dan menilai risiko IT organisasi.
 Memastikan bahwa ia memiliki keahlian audit IT yang memadai.
 Menilai tata kelola IT, manajemen, dan kontrol teknis.
 Menugaskan auditor dengan tingkat keahlian IT yang sesuai untuk setiap penugasan
asurans.
 Menggunakan teknik audit berbasis teknologi yang sesuai.
15. Bagaimana outsourcing IT mempengaruhi fungsi audit internal?
Outsourcing layanan IT dapat membawa resiko tersendiri yang harus diketahui dan dipahami
oleh dewan direksi dan manajemen. Fungsi audit internal dapat memberikan asurans dan
memberikan masukan kepada dewan direksi dan manajemen terhadap risiko dan kontrol
yang mungkin dilakukan jika perusahaan tersebut menerapkan outsourcing layanan IT.

16. Mengapa cloud computing diadopsi begitu luas? Risiko tambahan apa yang diperkenalkan
dan apa yang dapat dilakukan fungsi audit internal untuk membantu mengevaluasi kontrol
di cloud?
Cloud computing menyediakan layanan untuk menyimpan, mengatur dan memproses data
dengan kapasitas sesuai permintaan, hal tersebut dapat membuat perusahaan menghemat
pengeluaran untuk membangun infrastruktur yang besar dengan hasil yang sama dengan
yang disediakan oleh layanan cloud computing. Sehingga cloud computing sangat diminati
dan berkembang luas. Bagi beberapa perusahaan mungkin teknologi ini masih cukup baru
sehingga jika akan mengadopsi teknologi ini maka ada banyak hal yang perlu dipelajari oleh
manajemen dan dewan direksi perusahaan tersebut dari layanan ini. Karena data
perusahaan akan dikelola di cloud sehingga ada risiko terkait keamanan, integritas dan
ketersediaan data, bagaimana penyedia layanan dalam mengelola data yang ada di server
mereka? Fungsi audit internal disini adalah untuk mengevaluasi dan memberikan masukan
kepada manajemen tentang bagaimana layanan tersebut bekerja, resiko apa yang ada, dan
bagaimana mengontrol risiko tersebut.

17. Bagaimana pengintegrasian audit IT ke dalam asurans engangement dapat meningkatkan

efektivitas dan efisiensi audit?
Efektivitas fungsi audit dapat meningkat karena auditor internal dalam posisi yang lebih baik
untuk menilai seluruh portofolio risiko auditee, dan mampu mencapai kesimpulan
keseluruhan tentang kecukupan desain dan efektivitas operasi pengendalian.
Fungsi audit internal juga menjadi lebih efisien karena engagement yang sebelumnya
dilakukan secara terpisah dapat digabungkan, selain itu Identifikasi dan penilaian semua
risiko dan pengendalian utama dikonsolidasikan dalam engagement audit yang terintegrasi.
18. Audit berkelanjutan melibatkan tiga jenis penilaian?
 Penilaian Kontrol Berkelanjutan: untuk memfokuskan perhatian audit pada defisiensi
kontrol sedini mungkin
 Penilaian Risiko Berkelanjutan: untuk menyoroti proses atau sistem yang mengalami
tingkat risiko yang lebih tinggi dari yang diharapkan.
 Penilaian Pemantauan Berkelanjutan

19. Apa saja dua jenis Panduan Praktik terkait IT yang termasuk dalam Kerangka Praktik
Profesional Internasional (IPPF) IIA?
1. GTAG: memberi auditor internal panduan yang akan membantu mereka lebih
memahami tata kelola, manajemen risiko, dan masalah kontrol seputar IT.
2. GAIT: Menjelaskan hubungan antara risiko pelaporan keuangan, kontrol proses utama,
otomatis kontrol dan fungsi TI penting lainnya, dan kontrol umum IT utama.

20. Berikan beberapa contoh bagaimana keamanan siber dapat diimplementasikan dengan
baik melalui tiga garis pertahanan??
Pertahanan lini pertama, meliputi unit keamanan informasi serta berbagai unit bisnis yang
memiliki risiko cyber. unit ini perlu memahami bagaimana aset mereka rentan dan secara
aktif mengelola risiko cyber mereka dalam toleransi yang dapat diterima secara organisasi.
Lini pertahanan kedua, terdiri dari fungsi pengawasan risiko, kontrol, dan kepatuhan yang
bertanggung jawab untuk memastikan bahwa proses dan kontrol pada lini pertama ada dan
beroperasi secara efektif. Dengan kata lain, fungsi ini memantau bagaimana kinerja
manajemen dalam menangani risiko siber dengan menentukan sejauh mana risiko dipantau
secara aktif dan dikelola dengan tepat.
Lini pertahanan ketiga, fungsi audit internal memberikan kepada manajemen senior dan
dewan direksi dengan jaminan independen dan objektif tentang tata kelola, manajemen
risiko, dan kontrol terhadap cyber security. Fungsi ini memastikan bahwa pengendalian
internal organisasi sudah cukup memadai untuk menangani risiko yang dihadapi oleh
organisasi dari dunia siber.