Nama : Steven Prasetya Ohello

NIM : 23221037

Discussion Question Chapter 7

1. a. Sebagaimana dinyatakan dalam bab ini, semua auditor internal membutuhkan

setidaknya tingkat dasar keahlian terkait audit TI.
1. Identifikasi enam kompetensi spesifik terkait TI (yaitu, pengetahuan dan
keterampilan) yang harus dimiliki oleh semua auditor internal tingkat pemula.
 Data analytics – Bagaimana menganalisa data dan menggunakan software
audit
 Cyber security – merupakan komponen utama keamanan informasi,
termasuk terminologi dan risiko utama
 Bussiness continuity and disaster recovery – memahami area bisnis yang
paling signifikan dan praktik untuk pemulihan.
 Change manajement –pengetahuan tentang manajemen proyek dan proses
perubahan dan dampak yang sesuai bagi organisasi.
 Teknologi terkini – memahami teknologi dengan masalah terkini tentang
teknologi yang muncul dan potensi dampaknya terhadap bisnis.
 Pemahaman tentang rekomendasi khusus teknologi informasi tambahan
dari IIA IPPF.

2. Diskusikan bagaimana seorang mahasiswa dapat mulai mengembangkan

pengetahuan dan keterampilan yang diidentifikasi dalam 1.a.1. di atas.
 Mengambil mata kuliah audit kemanan informasi
 Mengambil mata kuliah manajemen resiko keamanan informasi
 Mengambil mata kuliah incident response
 Mengikuti kursus keterampilan IT
 Bergabung dengan komunitas IT dan cyber security
 Magang di perusahaan sebagai auditor internal
 Selalu update informasi terkini di internet terkait perkembangan teknologi
 Dan lain-lain
 b. Haruskah semua auditor internal memiliki tingkat keahlian terkait audit TI yang
diharapkan dari auditor TI?
Tidak, tetapi jika memiliki kemampuan tersebut tentunya akan lebih bermanfaat, namun
demikian setiap auditor internal diharapkan memiliki pengetahuan dasar dari teknologi
informasi terkini.

2. Risiko, Risiko Inheren, dan Fraud didefinisikan dalam Glosarium buku teks sebagai berikut:
Risiko—Kemungkinan bahwa suatu peristiwa akan terjadi dan berdampak buruk pada
pencapaian tujuan.
Risiko Inheren—Kombinasi faktor risiko internal dan eksternal dalam keadaan murni, tidak
terkendali, atau risiko kotor yang ada, dengan asumsi tidak ada pengendalian internal.
Penipuan—Setiap tindakan ilegal yang ditandai dengan penipuan, penyembunyian, atau
pelanggaran kepercayaan. Tindakan ini tidak tergantung pada ancaman kekerasan atau
kekuatan fisik. Penipuan dilakukan oleh pihak dan organisasi untuk mendapatkan uang,
properti, atau layanan; untuk menghindari pembayaran atau kehilangan layanan; atau
untuk mengamankan keuntungan pribadi atau bisnis.
“Risiko Penipuan dan Tindakan Berbahaya TI didefinisikan dalam bab ini sebagai berikut:
Risiko Penipuan dan Tindakan Berbahaya TI—Pencurian sumber daya TI, penyalahgunaan
sumber daya TI yang disengaja, atau distorsi atau perusakan informasi yang disengaja
dapat mengakibatkan kerugian finansial dan/atau salah saji informasi yang diandalkan
oleh pembuat keputusan. Penyebab risiko penipuan dan tindakan jahat termasuk,
misalnya, karyawan yang tidak puas dan peretas yang bermaksud merugikan organisasi
untuk keuntungan pribadi.
Dengan definisi yang disajikan di atas sebagai latar belakang, identifikasi enam kejadian
risiko penipuan dan tindakan jahat yang melekat pada TI yang dapat terjadi dan
menyebabkan kerugian bagi organisasi.
o Markup pengadaan perangkat IT (hardware dan software)
o Tindakan kejahatan melalui jaringan seperti akses illegal, pencurian data,
penyebaran virus, dll.
o Penggunaan teknologi IT perusahaan untuk kepentingan bisnis pribadi, misalnya lab
kantor digunakan untuk menambang kripto.
o Database dapat disusupi untuk tujuan menyalahgunakan atau penyalahgunaan
informasi.
 o Serangan sosial engineering yang menargetkan pegawai yang awam terhadap
teknologi, sehingga penyerang dapat masuk ke dalam sistem organisasi.
o Tindakan penyalahgunaan informasi dilakukan oleh orang yang memiliki privilege
untuk menutupi tindakannya tersebut.

3. Cari buku putih, “The Risk Intelligent IT Internal Auditor” di situs web Deloitte Amerika
Serikat (www.deloitte.com). Unduh dan baca kertas putih.
a. Apa yang menjadi ciri kelompok audit internal TI “Tipe 1: Drifting Along”?
Audit internal TI pada tipe ini tidak memiliki tujuan jangka panjang dan target yang
spesifik dalam rangka memajukan organisasi. Bergerak lambat dan selalu melaksanakan
rencana audit yang sama dari tahun ke tahun, dan menghasilkan temuan yang sama pula.
b. Masalah apa yang mencirikan sebuah:
o Grup audit internal TI “Tipe 2: Getting Aloft”?
1. M&A (Merger and acquisition)
Internal Auditor TI perlu untuk tidak dilibatkan dalam proses M&A
2. Contract Risk & Compliance
Rutinitas analisis data yang canggih dapat dibangun oleh audit internal TI
sebagai bagian dari risiko kontrak dan program kepatuhan.
3. Globalization
Globalisasi sama dengan peluang: Pasar baru. Tenaga kerja lebih murah. Rantai
pasokan yang diperpendek. Bahan baku melimpah. Tapi bagaimana dengan
risikonya? Internal audit TI dapat memperingatkan manajemen tentang
masalah-masalah yang mungkin muncul selama proses pengambilan keputusan.
4. The Regulatory Present
Internal auditor TI perlu dilibatkan untuk masuk lebih jauh ke dalam selak beluk
peraturana yang ada.
o Grup audit internal TI “Tipe 3: Flying high”?
1. Green TI
Internal auditor TI dapat membantu memberikan solusi terkait Green TI seperti:
• membantu memastikan perusahaan mengantisipasi dan mempersiapkan
kepatuhan terhadap peraturan lingkungan
 membantu mendapatkan laba atas investasi “going green” dengan
berkonsultasi tentang konsumsi daya, pembuangan limbah, pembelian ramah
lingkungan, penggunaan kertas, dan penggunaan air
  merancang sistem pengumpulan data untuk penggunaan energi, emisi
karbon, tingkat daur ulang, penggunaan air, dan masalah "jejak" lainnya.
2. Emerging Reporting Standards
Internal Audit TI akan menggunakan waktu tenggang untuk membantu
organisasi mereka memahami masalah dan risiko, untuk membantu mendorong
pengambilan keputusan, dan untuk membantu menentukan jalur migrasi dan
waktu pergantian.
3. Continuous Controls Monitoring
Alat pemantauan kontrol berkelanjutan dapat memberikan informasi yang lebih
segar, lebih bersih, dan lebih baik kepada manajemen. Dan data yang
ditingkatkan menghasilkan pengambilan keputusan yang lebih baik. CCM juga
dapat membantu mengurangi jumlah pengujian yang dilakukan oleh auditor
eksternal. Pengendalian internal paling penting dalam pikiran manajemen.
Internal Auditor TI berada pada posisi utama untuk membantu
mensosialisasikan, mendidik, mendemonstrasikan, dan membantu
mengimplementasikan CCM.
4. Industrial Espionage, Computer Piracy & Technology Terrorism
Saat aset penting menjadi digital, mereka menjadi lebih mudah untuk dicuri.
Spesifikasi desain produk, Aplikasi paten, Musik dan film, Rencana strategis dan
intelijen, Komunikasi rahasia. Setelah menjadi digital kerentanannya meningkat.
Seberapa kokoh garis pertahanan Anda? Auditor Internal TI memiliki sarana
untuk mengetahuinya. Bisakah serangan black hat melumpuhkan perusahaan?
Serangan siber yang melemahkan bukanlah fantasi yang dibuat-buat.
5. Embedded Processing Units
EPU telah tertanam di mana-mana, Supermarket self-checkout stations, mesin
tiket bandara, ATM, dll. EPU memiliki manufaktur cerdas dan logika
pemrograman bawaan, bersama dengan fungsi otonom, sistem operasi, dan
perangkat lunak. Komputer canggih seperti itu dapat menyebabkan masalah jika
tidak dikontrol degan benar. Pertanyaannya adalah, apakah perusahaan
memiliki inventarisasi pemasangan EPU yang akurat?
6. Foreign Corrupt Practices Act & Office of Foreign Assets Control
Kepatuhan terhadap persyaratan FCPA, OFAC dan persyaratan lainnya dapat
diotomatisasi dan digerakkan oleh sistem. IT IA harus bekerja sama dengan
penasihat hukum untuk membantu memberikan solusi yang efektif dan efisien.
4. Mengubah kontrol manajemen adalah jenis organisasi TI dan kontrol manajemen, yang
merupakan bagian dari kontrol tingkat manajemen (umum) TI.
a. Apa itu kontrol manajemen perubahan?
Kontrol manajemen perubahan memberikan jaminan bahwa perubahan pada
Lingkungan, sistem, perangkat lunak, dan data telah diotorisasi dan sesuai dengan benar.
Mereka juga memberikan jaminan bahwa setiap perubahan yang dilakukan menghasilkan
hasil yang diinginkan.
b. Asumsikan bahwa kontrol manajemen perubahan organisasi yang berkaitan dengan
perangkat lunak aplikasi tidak efektif. Apa dampaknya terhadap ketergantungan yang
dapat ditempatkan manajemen pada kontrol berbasis aplikasi?
Kontrol manajemen perubahan yang tidak efektif yang berkaitan dengan perangkat lunak
aplikasi meningkatkan risiko bahwa perubahan yang tidak sah dan/atau tidak sesuai pada
perangkat lunak aplikasi dapat dilakukan, oleh karena itu manajemen tidak dapat terlalu
mengandalkan kontrol berbasis aplikasi jika kontrol manajemen perubahan efektif.
c. Asumsikan bahwa kontrol manajemen perubahan organisasi yang berkaitan dengan
perangkat lunak aplikasi efektif. Asumsikan lebih lanjut bahwa fungsi audit internal
menentukan bahwa kontrol yang tertanam dalam perangkat lunak aplikasi proses
pembelian dirancang secara memadai dan beroperasi secara efektif tahun lalu. Apa
dampaknya terhadap pengujian audit internal tahun ini terhadap kontrol yang
tertanam dalam perangkat lunak aplikasi proses pembelian?
Jika fungsi audit internal menentukan tahun lalu bahwa kontrol yang tertanam dalam
aplikasi proses pembelian dirancang secara memadai dan beroperasi secara efektif, maka
kontrol ini tidak perlu diuji, atau setidaknya dapat diuji secara kurang agresif, tahun ini.
Ini dengan catatan bahwa kontrol aplikasi tertanam tidak berubah sejak tahun lalu.
d. Berdasarkan jawaban pada 4. b. dan 4. c. di atas, kesimpulan umum apa yang dapat
dicapai tentang hubungan antara kontrol tingkat manajemen (umum) TI dan kontrol
berbasis aplikasi?
Ada hubungan langsung antara efektivitas kontrol manajemen perubahan dan
ketergantungan yang dapat ditempatkan pada kontrol berbasis aplikasi yang terkait
dengan kontrol manajemen perubahan.
5. “5.Unduh COBIT® 5: Kerangka Kerja Bisnis untuk Tata Kelola dan Manajemen TI
Perusahaan dari situs web ISACA (www.isaca.org). (Catatan: Kerangka kerja akan
dikirimkan kepada Anda melalui email saat Anda memintanya di
www.isaca.org/COBIT/Pages/Cobit-5-Framework-product-page.aspx.). Baca Ringkasan
Eksekutif (halaman 13–14).
a. Apa yang dikatakan Ringkasan Eksekutif tentang informasi dan TI?
Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak informasi
dibuat hingga dihancurkan, teknologi memainkan peran penting. Teknologi informasi
semakin maju dan telah menyebar di perusahaan dan di lingkungan sosial, publik dan
bisnis.
b. Apa tujuan COBIT® 5?
COBIT 5 menyediakan kerangka kerja komprehensif yang membantu perusahaan dalam
mencapai tujuan mereka untuk tata kelola dan manajemen TI perusahaan. Secara
sederhana, ini membantu perusahaan menciptakan nilai optimal dari TI dengan menjaga
keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat risiko dan
penggunaan sumber daya.
c. Apa lima prinsip COBIT 5?
 Memenuhi Kebutuhan Pemangku Kepentingan
 Mencakup Enterprise End-to-end
 Menerapkan Kerangka Tunggal yang Terintegrasi
 Mengaktifkan Pendekatan Holistik
 Memisahkan Tata Kelola Dari Manajemen
d. Per COBIT 5, apa perbedaan antara tata kelola dan manajemen?
Tata kelola memastikan bahwa kebutuhan, kondisi, dan opsi pemangku kepentingan
dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untuk
dicapai, menetapkan arah melalui prioritas dan pengambilan keputusan, dan memantau
kinerja dan kepatuhan terhadap arah dan tujuan yang telah disepakati.
Manajemen merencanakan, membangun, menjalankan, dan memantau aktivitas sejalan
dengan arahan yang ditetapkan oleh badan tata kelola untuk mencapai tujuan
perusahaan.
6. Kunjungi www.webtrust.org. Baca “Ringkasan Layanan Trust” dan paragraf “Prinsip dan
Kriteria” berikut:
 Pendahuluan (paragraf 01–.18).
 Paragraf .19, yang memberikan deskripsi tentang prinsip keamanan.
 Paragraf .21–.22, yang memberikan deskripsi tentang prinsip ketersediaan.
 Paragraf .24–.26, yang memberikan deskripsi tentang prinsip integritas pemrosesan.
 Paragraf .28–.31, yang memberikan deskripsi tentang prinsip kerahasiaan.
 Paragraf .33–44, yang memberikan deskripsi tentang prinsip privasi.

a. Apa itu Trust Services? Apa itu WebTrust services? Apa itu SysTrust services?
Trust Services (termasuk WebTrust® dan SysTrust®) didefinisikan sebagai seperangkat
jaminan profesional dan layanan konsultasi berdasarkan kerangka umum (yaitu,
seperangkat prinsip dan kriteria inti) untuk mengatasi risiko dan peluang TI. Prinsip dan
kriteria Trust Services dikeluarkan oleh Assurance Services Executive Committee.
SysTrust dan WebTrust adalah dua layanan khusus yang dikembangkan oleh AICPA yang
didasarkan pada Prinsip dan Kriteria Layanan Trust. Namun, Prinsip dan Kriteria
Layanan Trust dapat digunakan untuk menawarkan layanan selain SysTrust dan
WebTrust.
b. Apa prinsip, kriteria, dan kontrol ilustratif Trust Services?
Prinsip Trust Services adalah pernyataan tujuan yang luas. Kriteria adalah tolok ukur
yang digunakan untuk mengukur dan menyajikan materi pelajaran dan yang digunakan
praktisi untuk mengevaluasi materi pelajaran. Kriteria yang sesuai adalah objektif,
terukur, lengkap, dan relevan—mereka akan menghasilkan informasi yang berguna bagi
pengguna yang dituju. Komite Eksekutif Layanan Penjaminan berpendapat bahwa
prinsip-prinsip Layanan Perwalian dan kriteria pendukung memenuhi karakteristik
untuk kriteria yang sesuai. Prinsip Trust Services digunakan untuk menjelaskan tujuan
keseluruhan; namun, opini praktisi hanya mengacu pada kriteria.
c. Bagaimana "sistem" didefinisikan?
Sebuah sistem terdiri dari lima komponen kunci yang diatur untuk mencapai tujuan
tertentu. Kelima komponen tersebut dikategorikan sebagai berikut:
a) infrastruktur (fasilitas, peralatan, dan jaringan)
b) perangkat lunak (sistem, aplikasi, dan utilitas)
c) orang (pengembang, operator, pengguna, dan manajer)
d) prosedur (otomatis dan manual)
 e) data (aliran transaksi, file, database, dan tabel).
d. Apa prinsip keamanan?
Prinsip keamanan mengacu pada perlindungan komponen sistem dari akses yang tidak
sah, baik logis maupun fisik. Dalam e-commerce dan sistem lainnya, masing-masing
pihak ingin memastikan bahwa informasi yang diberikan hanya tersedia bagi individu
yang membutuhkan akses untuk menyelesaikan transaksi atau layanan, atau
menindaklanjuti pertanyaan atau masalah yang mungkin timbul.
e. Apa prinsip ketersediaan?
Prinsip ketersediaan mengacu pada aksesibilitas ke sistem, produk, atau layanan seperti
yang diiklankan atau dilakukan oleh kontrak, tingkat layanan, atau perjanjian lainnya.
Perlu dicatat bahwa prinsip ini tidak dengan sendirinya menetapkan tingkat kinerja
minimum yang dapat diterima untuk ketersediaan sistem. Tingkat kinerja minimum
ditetapkan melalui komitmen yang dibuat atau kesepakatan bersama (kontrak) antara
para pihak.
f. Apa prinsip integritas pemrosesan? Apa perbedaan antara integritas pemrosesan dan
integritas data?
Prinsip integritas pemrosesan mengacu pada kelengkapan, akurasi, ketepatan waktu,
dan otorisasi pemrosesan sistem. Integritas pemrosesan ada jika suatu sistem
melakukan fungsi yang dimaksudkan dengan cara yang tidak terganggu, bebas dari
manipulasi yang tidak sah atau tidak disengaja. Kelengkapan umumnya menunjukkan
bahwa semua transaksi dan layanan diproses atau dilakukan tanpa kecuali, dan bahwa
transaksi dan layanan tidak diproses lebih dari satu kali. Akurasi mencakup jaminan
bahwa informasi utama yang terkait dengan transaksi yang diajukan akan tetap akurat
selama pemrosesan transaksi dan transaksi atau layanan diproses atau dilakukan
sebagaimana dimaksud. Ketepatan waktu penyediaan jasa atau pengiriman barang
ditujukan dalam konteks komitmen yang dibuat untuk pengiriman tersebut. Otorisasi
mencakup jaminan bahwa pemrosesan dilakukan sesuai dengan persetujuan yang
diperlukan dan hak istimewa yang ditentukan oleh kebijakan yang mengatur
pemrosesan sistem.
Integritas pemrosesan tidak menjamin bahwa informasi yang disimpan oleh sistem
sudah lengkap, akurat, terkini, dan resmi. Jika suatu sistem memproses input informasi
dari sumber di luar batas sistem, entitas hanya dapat menetapkan kontrol terbatas atas
kelengkapan, akurasi, otorisasi, dan ketepatan waktu informasi yang dikirimkan untuk
diproses.
g. Apa prinsip kerahasiaan? Jenis informasi apa yang dapat dirahasiakan?
Prinsip kerahasiaan berfokus pada informasi yang ditetapkan sebagai rahasia. Dalam
berkomunikasi dan bertransaksi bisnis, mitra sering kali bertukar informasi yang
mereka perlukan untuk dijaga kerahasiaannya. Dalam kebanyakan kasus, masing-
masing pihak ingin memastikan bahwa informasi yang mereka berikan hanya tersedia
bagi individu yang membutuhkan akses untuk menyelesaikan transaksi atau
penyelesaian atas pertanyaan apa pun yang muncul. Untuk meningkatkan kepercayaan
mitra bisnis, penting agar mitra bisnis diberi tahu tentang praktik kerahasiaan entitas.
Entitas perlu mengungkapkan praktiknya terkait dengan cara entitas memberikan akses
yang sah ke dan menggunakan serta membagikan informasi yang ditetapkan sebagai
rahasia.
h. Apa yang dimaksud dengan "privasi"? Apa saja contoh dari “informasi pribadi?” Apa
saja contoh dari “informasi pribadi yang sensitif?” Apa perbedaan antara privasi dan
kerahasiaan? Apa tujuan privasi? Apa 10 prinsip privasi yang diterima secara umum?
Prinsip privasi berfokus pada perlindungan informasi pribadi yang mungkin
dikumpulkan organisasi tentang pelanggan, karyawan, dan individu lainnya.
Informasi pribadi meliputi nama, email, no telfon, no KTP, dll.
Informasi sensitif misal, informasi keuangan, Riwayat Kesehatan, pilihan politik,
pandangan keagamaan, asal rasa tau etnis, dll.
Informasi pribadi berbeda dengan informasi rahasia. Tidak seperti informasi pengenal
pribadi, yang sering ditentukan oleh peraturan di sejumlah negara di seluruh dunia,
tidak ada definisi tunggal tentang informasi rahasia yang diakui secara luas.
10 prinsip privasi yang diterima secara umum:
1. Manajemen. Entitas mendefinisikan, mendokumentasikan, mengomunikasikan,
dan menetapkan akuntabilitas untuk kebijakan dan prosedur privasi.
2. Pemberitahuan. Entitas memberikan pemberitahuan tentang kebijakan dan
prosedur privasinya dan mengidentifikasi tujuan pengumpulan, penggunaan,
penyimpanan, dan pengungkapan informasi pribadi.
3. Pilihan dan Persetujuan. Entitas menjelaskan pilihan yang tersedia bagi individu
dan memperoleh persetujuan implisit atau eksplisit sehubungan dengan
pengumpulan, penggunaan, dan pengungkapan informasi pribadi.
4. Koleksi. Entitas mengumpulkan informasi pribadi hanya untuk tujuan yang
disebutkan dalam pemberitahuan.
5. Penggunaan dan Retensi. Entitas membatasi penggunaan informasi pribadi untuk
tujuan yang diidentifikasi dalam pemberitahuan dan untuk itu individu telah
memberikan persetujuan implisit atau eksplisit. Entitas menyimpan informasi
pribadi hanya selama diperlukan untuk memenuhi tujuan yang dinyatakan.
6. Akses. Entitas memberi individu akses ke informasi pribadi mereka untuk ditinjau
dan memperbarui.
7. Pengungkapan kepada Pihak Ketiga. Entitas mengungkapkan informasi pribadi
kepada pihak ketiga hanya untuk tujuan yang diidentifikasi dalam pemberitahuan
dan dengan persetujuan tersirat atau tersurat dari individu tersebut.
8. Keamanan untuk Privasi. Entitas melindungi informasi pribadi terhadap akses yang
tidak sah (baik fisik dan logis).
9. Kualitas. Entitas menyimpan informasi pribadi yang akurat, lengkap, dan relevan
untuk tujuan yang disebutkan dalam pemberitahuan.
10. Pemantauan dan Penegakan. Entitas memantau kepatuhan terhadap kebijakan
dan prosedur privasinya serta memiliki prosedur untuk menangani keluhan dan
perselisihan terkait privasi.