Anggota Kelompok 4 :

Nicholas Soesilo 143221039

Sharla Davyna 143221042

Firman Rizki Setiawan 143221051

Shabrina Ahista Marchlyta Anjani 143221054

REVIEW QUESTIONS

1) What are the six components of modern IT described in this chapter

Answers :
a) Komputer hardware: terdiri dari komponen fisik dari sebuah sistem
informasi.
b) Jaringan: sebuah jaringan komputer menghubungkan dua atau lebih komputer
atau perangkat sehingga mereka dapat berbagi informasi/beban kerja.
c) Perangkat lunak komputer: termasuk perangkat lunak sistem operasi,
perangkat lunak utilitas, perangkat lunak sistem manajemen basis data,
perangkat lunak firewall, perangkat lunak aplikasi.
d) Database: repositori besar data yang umumnya terdapat dalam banyak file
terhubung dan disimpan dalam cara yang memungkinkan informasi tersebut
mudah diakses, diambil, dan dimanipulasi.
e) Informasi: "Informasi adalah sumber daya kunci bagi semua perusahaan, dan
mulai dari saat informasi itu diciptakan hingga saat itu dihancurkan, teknologi
memainkan peran yang signifikan." Sistem informasi mengumpulkan dan
menyimpan data, mengubah data menjadi informasi yang berguna, dan
menyediakan informasi kepada pengambil keputusan internal dan eksternal.
f) Orang: kepala petugas informasi, kepala petugas keamanan informasi,
administrator basis data, personel
2)
3) What are the potential effects (adverse consequences) of each of the following types of
IT risk?
a. Development/acquisition and deployment.
b. Hardware/software.
 c. System reliability and information integrity.
d. Fraud and malicious acts.
Answers :
1. Development/acquisition and deployment: Masalah yang dihadapi saat solusi
TI dikembangkan/diperoleh dan diimplementasikan dapat menyebabkan
keterlambatan yang tidak terduga, melebihi anggaran biaya, atau bahkan
pembatalan proyek. Penyebab risiko pengembangan/perolehan dan penyebaran
meliputi, misalnya, kurangnya keahlian internal, dukungan vendor yang tidak
memadai, perangkat lunak atau teknologi yang belum dicoba, dan resistensi
terhadap perubahan.
2. Hardware/software: Gagalnya perangkat keras/perangkat lunak untuk
berfungsi dengan baik dapat menyebabkan gangguan bisnis, kerusakan
sementara atau permanen pada data, dan biaya perbaikan atau penggantian
perangkat keras/perangkat lunak. Penyebab risiko perangkat keras/perangkat
lunak meliputi, misalnya, keausan alami, kerusakan lingkungan yang
disebabkan oleh hal-hal seperti kelembaban berlebihan, bencana seperti
kebakaran dan banjir, tidak melakukan pembaruan perangkat keras atau
perangkat lunak, dan virus dan tindakan jahat lainnya.
3. System reliability and information integrity: Kesalahan atau inkonsistensi
sistematis dalam pemrosesan dapat menghasilkan informasi yang tidak relevan,
tidak lengkap, tidak akurat, dan/atau tidak tepat waktu. Sebagai gantinya,
informasi buruk yang dihasilkan oleh sistem dapat mempengaruhi keputusan
yang didasarkan pada informasi tersebut.
4. Fraud and malicious acts: Pencurian sumber daya TI, penyalahgunaan
sengaja sumber daya TI, atau penyimpangan atau penghancuran informasi yang
disengaja dapat mengakibatkan kerugian keuangan dan/atau informasi yang
salah yang dipercayai oleh pengambil keputusan. Penyebab risiko kecurangan
dan tindakan jahat meliputi, misalnya, karyawan yang tidak puas dan peretas
yang bermaksud merugikan organisasi untuk keuntungan pribadi.

4) What are typical causes of each of the following types of IT risk?

a. Selection.
b. Availability.
c. Access.
d. Conidentiality and privacy.
 Answers :
1. Selection: Pemilihan solusi TI yang tidak sejalan dengan tujuan strategis dapat
menghambat pelaksanaan strategi yang bergantung pada TI. Demikian pula,
pemilihan solusi TI yang kurang fleksibel dan/atau dapat diubah sesuai
kebutuhan dapat mengakibatkan ketidakcocokan antara solusi TI dan sistem
yang sudah ada dalam organisasi dan/atau menghambat perubahan dan
pertumbuhan organisasi di masa depan. Penyebab risiko pemilihan meliputi,
misalnya, pengambil keputusan yang tidak kompeten dan informasi yang tidak
memadai yang mendukung keputusan pemilihan.
2. Availability: Tidak tersedianya sistem saat dibutuhkan dapat menyebabkan
keterlambatan dalam pengambilan keputusan, gangguan bisnis, kehilangan
pendapatan, dan ketidakpuasan pelanggan. Penyebab risiko ketersediaan
meliputi, misalnya, kegagalan perangkat keras/perangkat lunak, pemeliharaan
tidak terjadwal, bencana alam, dan virus serta tindakan jahat lainnya.
3. Access: Akses fisik atau logis yang tidak sah ke sistem dapat mengakibatkan
pencurian atau penyalahgunaan perangkat keras, modifikasi perangkat lunak
yang bersifat jahat, dan pencurian, penyalahgunaan, atau penghancuran data.
Penyebab risiko akses meliputi, misalnya, penggunaan ponsel pintar untuk
mengakses, mengubah, dan menyimpan data perusahaan serta penggunaan
jaringan nirkabel terbuka untuk akses tamu ke data bisnis dan kurangnya akses
pengguna atau otentikasi yang kuat.
4. Confidentially and Privacy: Pengungkapan tidak sah informasi properti bisnis
mitra atau informasi pribadi individu dapat mengakibatkan kerugian bisnis,
tuntutan hukum, pemberitaan negatif, dan kerusakan reputasi. Penyebab risiko
kerahasiaan dan privasi meliputi, misalnya, akses yang tidak terhalang ke
jaringan, perangkat lunak, dan basis data sistem.

5) How does The IIA define IT governance

Answers :
Menurut The IIA, Tata Kelola TI : “Terdiri dari kepemimpinan, struktur organisasi, dan
proses yang memastikan bahwa teknologi informasi perusahaan menopang dan
mendukung strategi dan tujuan organisasi.”
6)
7) What is the difference between general controls and application controls?
Answers :
 - General controls : berlaku untuk semua komponen sistem, proses, dan data
untuk organisasi atau lingkungan sistem tertentu
- Application controls : berkaitan dengan ruang lingkup proses bisnis individu
atau sistem aplikasi dan mencakup kontrol dalam aplikasi seputar input,
pemrosesan, dan output.
8)
9) What are the three types of IT management controls described in the chapter? Provide
two examples of each type.
Answers :
1. Kontrol Administratif: Kontrol administratif melibatkan kebijakan, prosedur, dan
pedoman yang diterapkan oleh sebuah organisasi untuk mengelola dan mengatur
aktivitas TI. Contoh-contohnya meliputi:
- Kebijakan Kontrol Akses, Prosedur Manajemen Perubahan
2. Kontrol Teknis: Kontrol teknis adalah langkah-langkah yang diimplementasikan
dalam sistem TI itu sendiri untuk melindungi data, memastikan kepatuhan, dan
mengelola akses. Contoh-contoh meliputi:
- Firewall, Enkripsi
3. Kontrol Fisik: Kontrol fisik melibatkan langkah-langkah nyata yang
diimplementasikan untuk melindungi aset dan infrastruktur TI dari ancaman fisik dan
akses tidak sah. Contoh-contohnya meliputi:
- Kontrol Akses Biométrik, Sistem Pengawasan

10) What are the three types of IT technical controls described in the chapter? Provide two
examples of each type.
Answers :
1. Standards, mendukung kebijakan TI dengan lebih spesifik mendefinisikan apa
yang diperlukan untuk mencapai tujuan organisasi. Standar harus mencakup :
System development processes, System software configuration, Application
controls
2. Organization and Management Controls, memberikan jaminan bahwa
organisasi terstruktur dengan garis pelaporan dan tanggung jawab yang jelas
- Segregation of duties. struktur organisasi tidak boleh membiarkan
tanggung jawab semua proses data hanya pada satu individu. dalam
aplikasi dilakukan dengan memberikan hak akses sesuai pekerjaan. -
 - Perlu kontrol anggrann dan keuangan untuk memastikan teknologi
menghasilkan pengembalian investasi atau penghematan yang
diusulkan.
- Change management process memastikan bahwa perubahan pada
lingkungan TI, perangkat lunak sistem, sistem aplikasi, dan data
diterapkan dengan cara yang menerapkan pemisahan tugas yang sesuai
3. Physical and Environmental Controls, Melindungi sumber daya sistem
informasi dari kerusakan, penyalahgunaan, atau kerugian yang tidak disengaja
atau disengaja.
- Menemukan server di ruang terkunci yang aksesnya dibatasi.
- Membatasi akses server ke individu tertentu.
- Menyediakan peralatan deteksi dan pemadam kebakaran

11) What is the difference between physical access controls and logical access controls
Answers :
Perbedaan antara kontrol akses fisik dan kontrol akses logis terletak pada metode yang
digunakan untuk mengatur dan mengelola akses ke sumber daya dalam lingkungan TI
organisasi:
1. Physical Access Controls:melibatkan langkah-langkah nyata yang
diimplementasikan untuk mengamankan akses fisik ke fasilitas, peralatan, dan
sumber daya.
Contoh: Kontrol ini mencakup langkah-langkah keamanan seperti pintu
terkunci, gerbang, pagar, pemindai biometrik (misalnya, pembaca sidik jari,
pemindai retina), kartu akses, kamera pengawas, penjaga keamanan, dan
penghalang fisik lainnya.
Tujuan: Tujuan utama dari kontrol akses fisik adalah mencegah individu yang
tidak diotorisasi dari secara fisik masuk ke area terbatas atau mendapatkan
akses ke aset sensitif, sehingga menjaga infrastruktur fisik dan sumber daya.
2. Logical Access Controls: Kontrol akses logis mengatur akses ke sistem
komputer, jaringan, data, dan aplikasi berdasarkan kredensial pengguna,
mekanisme otentikasi, dan kebijakan otorisasi.
Contoh: Kontrol ini mencakup metode otentikasi pengguna (misalnya, nama
pengguna/sandi, otentikasi biometrik), kontrol akses berbasis peran (RBAC),
 daftar kontrol akses (ACL), enkripsi, otentikasi multi-faktor (MFA), dan sistem
deteksi intrusi (IDS).
Tujuan: Tujuan utama dari kontrol akses logis adalah memastikan bahwa hanya
pengguna yang diotorisasi yang dapat mengakses sumber daya dan data digital,
sambil juga mencegah akses tidak sah, pelanggaran data, dan ancaman siber.

12) What two Attribute Implementation Standards specifically address the IT proficiency
internal auditors must possess and the consideration they must give to using
technology-based audit techniques?
Answers :
Dua Standar Implementasi Atribuut secara khusus membahas kecakapan TI yang harus
dimiliki auditor internal dan pertimbangan yang harus mereka berikan untuk
menggunakan teknik audit berbasis teknologi :
- 12210.A3
Auditor internal harus memiliki pengetahuan yang cukup tentang risiko
dan pengendalian teknologi informasi utama dan teknik audit bebrbasis
teknologi yang tersedia untuk melakukan pekerjaan yang ditugaskan kepada
mereka. Namun, tidak semua auditor internal diharapkan memiliki keahlian
sebagai auditor internal yang tanggung jawab utamanya adalah audit teknologi
informasi.
- 1220.A2
Dalam melaksanakan kehati-hatian profesional, auditor internal harus
mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis
data lainnya.