Kisi-kisi Audit 1.apa perbedaan antara discover recovery plan dengan business continuity plan?

Disaster Recovery Planning (DRP) Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan. Business Continuity Planning Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.

2. 4 tipe resiko treatment jelaskan dengan keuntungan dan kekurangan? a. Kerugian akibat kehilangan data. Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya. Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir. b. Kerugian akibat kesalahan pemrosesan komputer. Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan

sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia. c. Pengambilan keputusan yang salah akibat informasi yang salah. Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula. d. Kerugian karena penyalahgunaan komputer (Computer Abused) Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya). - Hacking adalah seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem. - Virus virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.

3.Apakah yang menjadi dampak monetary dan non monetary? non monetary (nonfinancial) dan pengukuran monetary (financial) dampak pada perusahaan yang menggunakan ukuran financial dalam menilai kinerja perusahaan .non monetary (nonfinancial) dampak tentang pengukuran intangible assets perusahaan. Keunggulan tersebut adalah sebagai berikut: Pengukuran secara non moneter akan mudah untuk menunjukkan unsur-unsur yang membangun modal intelektual dalam perusahaan, sedangkan secara moneter hal itu akan sulit dilakukan. Pengaruh internal development dalam pembentukan modal intelektual tidak dapat diukur dengan pengukuran atribut moneter.

Pengkapitalisasian biaya menjadi asset akan mengakibatkan adanya manipulasi terhadap laba.

4. Sebutkan 4 alternative strategi recovery? langkah-langkah yang harus diambil jika terjadi bencana, seperti : site backup, aplikasi-aplikasi yang harus diperbaiki dari backup, prosedur penyimpanan off-site, dan pelatihan suatu tim atas pekerjaan pemulihan dari bencana. Lokasi backup bisa bersama-sama dengan perusahaan lain atau suatu lokasi yang dioperasikan oleh perusahaan yang sama. Aplikasi-aplikasi yang biasanya penting untuk di-backup adalah penjualan, kewajiban legal, piutang dagang, produksi, pembelian, dan hubungan masyarakat. Basisdata, dokumentasi sistem, dokumen-dokumen sumber, dan perangkat-prangkat kritis (cek, faktur, dan order pembelian) juga harus di-back-up.

5. Apakah perbedaaan back up differential dan incremental? -Differential backup Differential backup adalah salah satu metoda backup database pada SQL Server dimana backup ini dibuat berdasarkan data pada database yang berubah sejak terakhir kalinya dilakukan full backup. Titik dimana database setelah terjadinya full backup disebut sebagai differential base karena pada posisi inilah dijadikannya acuan dari terjadinya perubahan-perubahan data selanjutnya. Pada umumnya differential backup berukuran lebih kecil dan lebih cepat daripada full backup. Keuntungannya akan sangat terasa pada database yang berukuran sangat besar dimana ada penghematan waktu dan ukuran yang signifikan untuk membackup. Differential backup dapat diterapkan dengan baik pada full recovery model dan simple recovery model.

-Backup Peningkatan / Incremental Backup Backup Peningkatan / Incremental Backup adalah menyalin semua data yang berubah sejak terakhir kali melakukan full backup atau differential backup.Incremental backup disebut juga differential backup. Hanya file dgn archive bit yang akan dibackup. Archive bit akan dihapus setelah dilakukan incremental backup. Kelebihan:

Membutuhkan waktu yang lebih singkat. Menghemat penggunaan pita Jika banyak melakukan incremental backup, maka data yang di backupsemakin kecil ukurannya. Backup lebih cepat daripada full backup dan membutuhkan tempat sementara yang lebih kecil daripada yang dibutuhkan oleh full backup.

Kekurangan: Waktu untuk restore sangat lama, karena data-data tersebar pada pitapita yang berbeda.

6. Sebagai auditor apa yang perlu di review di dalam disaster recovery plan? Review yang harus dilakukan mencakup pertimbangan dari berbagai hal di bawah ini :

Apakah media magnetik, optik, atau microfilm, disimpan pada kabinet yang sesuai? Apakah ada peraturan melarang merokok di area-area tempat penyimpanan media kertas atau bahan-bahan kimia ? Apakah kotak atau kontainer record berserakan di lantai bahkan selama proses awal berlangsung ? Apakah bahan-bahan kimia, termasuk yang digunakan di mesin-mesin kantor, disimpan dengan cara yang tepat dan pada tempat yang tepat sehingga bencana dapat dihindari atau diminimisasi ? Apakah peralatan elektrik dimatikan pada akhir hari ? Apakah perlu peralatan-peralatan yang ada di perusahaan digunakan untuk keperluan data rumahan ?

7. Apa hubungan antara COSO dan COBIT? 1. COBIT (Control Objectives for Information and related Technology) COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered Accountants (CAs) berdasarkan Statement

on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance. Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah: Effectiveness Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun. Efficiency Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem. Confidentiality Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis. Integrity Menitikberatkan pada integritas data/informasi dalam sistem. Availability Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi. Compliance Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi. Reliability Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi. Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
o o o o

Applications Information Infrastructure People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart. 2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal ControlIntegrated Framework COSO adalah organisasi swasta yang menyusun Internal Control Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul. Internal Control Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini. Lingkup kriteria informasi

yang sering menjadi perhatian dalam Internal Control Integrated Framework COSO adalah:
o o o o o o o

Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability

Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control Integrated Framework COSO identik dengan COBIT. Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control Integrated Framework COSO identik dengan COBIT.

8. Apa tugas dan tanggung jawab auditor serta apa ruang lingkup dan tujuan auditor? Tugas dan Tanggung jawab Perencanaan, Pengendalian dan Pencatatan. Auditor perlu merencanakan, mengendalikan dan mencatat pekerjannya. Sistem Akuntansi. Auditor harus mengetahui dengan pasti sistem pencatatan dan pemrosesan transaksi dan menilai kecukupannya sebagai dasar penyusunan laporan keuangan. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable untuk memberikan kesimpulan rasional. Pengendalian Intern. Bila auditor berharap untuk menempatkan kepercayaan pada pengendalian internal, hendaknya memastikan dan mengevaluasi pengendalian itu dan melakukan compliance test. Meninjau Ulang Laporan Keuangan yang Relevan. Auditor melaksanakan tinjau ulang laporan keuangan yang relevan seperlunya, dalam hubungannya dengan kesimpulan yang diambil berdasarkan bukti audit lain yang didapat, dan untuk memberi dasar rasional atas pendapat mengenai laporan keuangan.

Ruang Lingkup Audit : Networking, Hardware, Software, Database, Aplikasi,dll Tujuan Audit SI Mengamankan Asset Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.

Menjaga Integritas Data Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. perlu pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan. Menjaga Efektifitas Sistem Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user) apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil keputusan) auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya >Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. >Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan. -Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya Efisiensi Sumber Daya Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.