Tiga jenis kontrol utama dalam sistem informasi audit dijelaskan, yaitu preventif, detektif, dan pemulihan. Kontrol preventif dirancang untuk mencegah kesalahan, kontrol detektif untuk mendeteksi kesalahan, dan kontrol pemulihan untuk mengurangi dampak kehilangan data. Contoh kontrol masing-masing jenis diberikan.

1. Sistem Informasi Audit
Jelaskan dan berikan contohnya masing-masing : Preventive control, detective control,
recovery control, deterrent control.
Jawab
– Preventif Control adalah suatu langkah pencegahan yang diambil sebelum keadaan
darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm dan kunci,
pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan mengendalikan
persediaan personil dari pengendalian persediaan) ditambah umum lainnya dan kebijakan-
kebijakan otorisasi khusus.
Bisa diartikan bahwa preventif control adalah mengendalikan sistem di muka sebelum proses
dimulai dengan menerapkan hal-hal yang merugikan untuk masuk ke dalam sistem , sehingga
dirancang untuk mencegah kesalahan atau penyimpangan dari terjadi (misalnya : pengolahan
voucher hanya setelah tanda tangan telah diperoleh dari personil yang tepat)
Contoh :
Sistem pengendalian intern (internal control) dimana penerapan kebijaksanaan-
kebijaksanaan, metode-metode dan prosedur-prosedur didalam sistem pengendalian intern
dimaksudkan untuk mencegah hal-hal yang tidak baik yang mengganggu masukan, proses
dan hasil dari sistem supaya sistem dapat beroperasi seperti yang diharapkan.
Melindungi kas dari pencurian atau penyalahgunaan mulai saat diterima sampai disetorkan ke
bank
– Detective control adalah sesuatu yang dirancang untuk menemukan kesalahan atau
penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa tagihan
telepon untuk panggilan pribadi).
Detektif kontrol dirancang untuk mendeteksi kesalahan dan penyimpangan yang telah terjadi
dan untuk menjamin prompt mereka koreksi. Kontrol ini merupakan biaya operasi yang
terus-menerus dan sering kali mahal, tapi perlu.
kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat
mengindetifikasikan suatu kesalahan dengan cepat.
Contoh :
Menemukan pencurian atau penyalahgunaan kas
Sumber penerimaan kas
– Penjualan tunai
– Penerimaan lewat pos

2. – Penerimaan lewat bank
– Recovery Controls adalah Membantu mengurangi pengaruh dari suatu event yang
hilang melalui prosedur recovery data atau mengembalikan data yang hilang melalui prosedur
recovery data. Misal, memperbaiki data yang terkena virus.
Kategori lainnya mencakup :
Deterrent Control
Application Control (kontrol aplikasi)
Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak biasa.
Transaction Control (kontrol transaksi)
Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output, melalui
kontrol testing dan kontrol perubahan).
Recovery dalam basis data adalah file atau database yang telah dibetulkan dari kesalahan,
kehilangan atau kerusakan datanya. Ada beberapa strategi untuk melakukan back up dan
recovery, yaitu :
Strategi Grandfather-Father-Son.
Biasanya strategi ini digunakan untuk file yang disimpan di media simpanan luar pita
magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file induk bersama-sama
dengan file transaksinya.
Strategi Pencatatan Ganda (Dual Recording).
Strategi ini dilakukan dengan menyimpan dua buah salinan database yang lengkap secara
terpisah dan menyesuaikan keduanya secara serentak. Jika terjadi kegagalan transaksidalam
perangkat keras dapat digunakan alat pengolah kedua yang akan meng-gantikan fungsi alat
pengolah utama jika mengalami kerusakan. Jika alat pengolah utama tidak berfungsi, secara
otomatis program akan dipindah (men-switch) ke alat pengolah kedua dan database kedua
menjadi database utama. Strategi dual recording ini sangat tepat untuk aplikasi aplikasi yang
databasenya tidak boleh terganggu dan selalu siap. Tetapi hal yang harus dipertimbangkan
adalah biayanya, karena harus menggunakan dua buah alat pengolah dan dua buah
database.
Strategi Dumping.
Dumping dilakukan dengan menyalin semua atau sebagian dari database ke media back up
yang lain (berupa pita magnetik dan disket). Dengan strategi ini rekonstruksi dilakukan
dengan merekam kembali (restore) hasil dari dumping ke database di simpanan luar utama
dan mengolah transaksi terakhir yang sudah mempengaruhi database sejak proses dumping
berakhir.
Contoh :

3. Penggunaan alat-alat pengaman fisik dapat berupa :
(a) Saluran air yang baik yang dapat mencegah meluapnya air kedalam gedung bila terjadi
banjir atau hujan lebat.
(b) Tersedianya alat pemadam kebakaran di tempat-tempat yang strategis dan mudah
dijangkau bila terjadi kebakaran.
(c) Digunakan UPS (Uninteruptible Power System) untuk mengatasi bila arus listrik tiba-
tiba terputus sehingga proses pengolahan data tidak terganggu dan dapat dilanjutkan atau
dihentikan seketika. UPS berisi accu yang dapat menggantikan fungsi arus listrik terputus
dan dapat tahan berjam-jam.
(d) Stabilizer untuk menghasilkan arus listrik.
(e) Pemakaian AC (Air Conditioning) untuk mengatur temperatur ruangan. Temperatur
yang ideal ini berkisar antara 10°C s/d 35°C.
(f) Dipasang alat pendeteksi kebakaran atau bila timbul asap yang merupakan tanda-tanda
mulai terjadi kebakaran.
– Deterrent control digunakan untuk merujuk kepada suatu kepatuhan (compliance)
dengan peraturan-peraturan external maupun regulasi-regulasi yang ada.
Contoh :
Pemisahan tugas akan mengurangi kesempatan yang memungkinkan seseorang dalam posisi
yang dapat melakukan sekaligus menutupi kekeliruan atau ke tidakberesan dalam
pelaksanaan tugasnya sehari-hari. Oleh sebab itu tanggung jawab untuk memberikan otorisasi
transaksi, mencatat transaksi dan menyimpan aktiva perlu dipisahkan ditangan karyawan
yang berbeda dengan pemisahan ini maka tidak ada seorangpun yang menjalankan dua atau
tiga fungsi secara bersama, Hal ini dapat menghindari terjadi kolusi , effensi pelaksanaan
tugas lebih dicapai, serta terhindar dari kesalahan adanya cross check.
Apakah yang dimaksud dengan control effectiveness? Berikan contohnya?
Jawab
Control Effectiveness adalah pengendalian secara efektif dimana audit internal adalah suatu
fungsi penilaian yang idenpenden dalam suatu organisasi untuk menguji dan mengevaluasi
kegiatan organisasi yang dilaksanakan. Tujuan audit internal adalah membantu para anggota
organisasi / perusahaan agar dapat melaksanakan tanggungjawabnya secara efektif. Untuk itu

4. auditor internal akan melakukan analisis, penilaian dan mengajukan saran-saran. Tujuan
Audit mencakup pula pengembangan pengawasan yang efektif dengan biaya yang wajar.
Selain itu juga audit internal merupakan suatu aktivitas indenpenden, keyakinan objectif dan
konsultasi yang dirancang untuk memberikan nilai tambah dan meningkatkan operasi
organisasi/perusahaan. Audit pun harus membantu organisasi/perusahaan mencapai
tujuannya dengan menerapkan sistematis dan berdisplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen resiko, pengendalian dan proses pengaturan dan
pengelolaan organisasi.
Monitoring bertujuan untuk memastikan agar sistem internal kontrol berjalan secara efektif.
Monitoring merupakan salah satu dari 5 komponen internal kontrol (4 yang lainnya: risk
assesment, control environment, control activities, information and communication). Manfaat
yang didapatkan apabila monitoring direncanakan dan dilaksanakan dengan baik adalah :
(a) Masalah-masalah internal kontrol dapat diidentifikasi dan diperbaiki dengan segera
(b) Menghasilkan informasi yang lebih akurat dan reliabel sebagai dasar pengambilan
keputusan
(c) Membantu mempersiapkan laporan keuangan secara akurat dan tepat waktu
(d) Melakukan evaluasi dan penilaian mengenai efektivitas internal kontrol
Beberapa contoh prosedur monitoring sistem internal kontrol yang dapat dilakukan misalnya:
Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit secara berkala
Membuat program continuous monitoring dalam sistem informasi
Melakukan pengawasan dan review atas kontrol yang ada (misalnya reconciliation review)
Evaluasi atas efektivitas “the tone at the top”
Diskusi antara komite audit dengan auditor internal dan eksternal
Review quality assurance atas departemen internal audit
Ruang lingkup audit intern mencakup pengujian dan pengevaluasian kelayakan dan
keefektifan pengendalian intern dan kualitas kinerja yang berdasarkan tanggung jawab yang
telah ditetapkan termasuk :
Mereview reliabilitas dan integritas informasi keuangan dan operasional yaitu untuk
membantu para anggota organisasi untuk agar dapat menyelesaikan tanggung jawabnya
secara efektif, untuk tujuan tersebut pengawasan internal menyediakan bagi mereka berbagai
analisis, penilaian, rekomendasi, nasihat dan informasi sehubungan aktivitas yang diperiksa.
Mereview sistem yang ada untuk memastikan kepatuhannya kepada kebijakan rencana,
hukum, dan peraturan yang dapat mempengaruhi secara signifikan terhadap operasi dan
pelaporan, serta menentukan apakah organisasi mematuhi hal tersebut atau tidak.
Mereview sarana pengamanan aktiva, dan bila dipandang perlu memverifikasi keberadaan
aktiva tersebut.

5. Menilai keekonomisan dan efisiensi penggunaan sumber daya, dalam hal ini keekonomisan
berarti menggunakan sumber daya secara hati-hati dan bijaksana agar diperoleh hasil terbaik,
sedangkan efisiensi berarti kemampuan untuk meminimalisir kerugian dan pemborosan
sumber daya dan menghasilkan suatu out put.
Mereview operasi atau program untuk menentukan apakah hasilnya konsisten dengan sasaran
dan tujuan yang akan ditetapkan, dan menentukan apakah operasi dan program dilaksanakan
sesuai dengan perencanaannya.
Merurut Anda, mengapa seorang IT Audit harus menganut Ethical behavior sesuai dengan
ISACA? Berikan contoh tindakan Auditor yag sesuai dengan etika dan yang melanggar
ethika.
Jawab
Karena seorang IT audit harus menggunakan metodologi audit sebagai berikut :
– Audit subject : menentukan apa yang akan diaudit.
– Audit objective : menentukan tujuan dari audit.
– Audit scope : menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.
– Preaudit planning : mengidentifikasi sumber daya & SDM yang dibutuhkan,
menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan
lokasi audit.
– Audit procedures & steps for data gathering : menentukan cara melakukan audit untuk
memeriksa & menguji kontrol, menentukan siapa yang akan diwawancara.
– Evaluasi hasil pengujian & pemeriksaan : spesifik pada tiap organisasi.
– Prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi.
– Audit report preparation (menentukan bagaimana cara mereview hasil audit): evaluasi
kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Sehingga perlu adanya pemeliharaan oleh para professional dan ketaatan terhadap standar-
standart pemeriksaan profesional yang dapat digunakan seharusnya dilakukan dalam berbagai
aspek pekerjaan pemeriksa system informasi.
CIA Triad membentuk prinsip-prinsip inti keamanan informasi :
Kerahasiaan (Confidentiality)

6. Audit berkewajiban untuk menjaga banyak rahasia – rahasia organisasi/perusahaan, rahasia
para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia ini tersembunyi
dan mendapat kepercayaan dari user / pegawai , kolega, dan regulator setiap hari.
Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan yang sehat
dan menegakkan / menjaga user tanpa bias. Audit juga harus menunjukkan kesalahan dan
kesalahan, dengan tenang dan objektif dalam rangka menegakkan kebaikan bersama. Audit
harus mencari dan membela kebenaran dalam segala situasii untuk menemukan jati dirinya.
ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus tersedia
untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit profesional keamanan
data dan diperlukan nasihat kita sering, terutama ketika nasihat yang dicari memiliki nilai
tinggi hasil.
Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk memastikan
bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan tidak semata-mata yang
mendesak. Risiko profesional influencer dan kita harus yakin untuk mempengaruhi hasil
dalam situasi yang benar-benar penting.
Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi tersebut
dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai yang berlaku. Contoh
Auditor sesuai dengan etika adalah
Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak memihak serta
mengungkapkan laporan keuangan sesuai dengan kondisi sebenarnya.
Etika-etika yang harus dimiliki para auditor akuntan :
Sensitivitas Etika (Ethical Sensitivity)
Penelitian dalam akuntansi difokuskan pada etika akuntan dalam hal kemampuan
pengambilan keputusan dan perilaku etis. Jika auditor tidak mengakui sifat dasar etika dalam
keputusan, skema moralnya tidak akan mengarah pada masalah etika tersebut. Jadi
kemampuan untuk mengakui sifat dasar etika dari sebuah keputusan merupakan sensitivitas
etika (ethical sensitivity).
Komitmen Organisasi dan Profesional (Organizational and Professional Commitment)
Komitmen organisasi dan profesional menggambarkan intensitas dari identifikasi individual,
tingkat keterlibatan dalam organisasi atau profesi. Identifikasi ini mengsyaratkan beberapa
tingkat persetujuan dengan tujuan dan nilai organisasi atau profesi, termasuk moral atau nilai
etika.
Komitmen organisasi atau profesional dapat didefinisikan sebagai :

7. sebuah kepercayaan dan dukungan terhadap tujuan dan nilai organisasi dan/atau profesi
sebuah keinginan untuk menggunakan usaha yang sungguh-sungguh guna kepentingan
organisasi dan/atau profesi
keinginan untuk memelihara keanggotaan dalam organisasi dan/atau profesi
Auditor memiliki tanggungjawab untuk merencanakan dan melaksanakan audit untuk
memperoleh tingkat keyakinan yang memadai tentang apakah laporan keuangan itu telah
terbebas dari kesalahan penyajian yang material, baik disebabkan oleh kekeliruan maupun
oleh kecurangan. Karena sifat audit dan berbagai karateristik kecurangan auditor dapat
memperoleh tingkat keyakinan, walaupun tidak mutlak, bahwa kesalahan penyajian yang
material dapat dideteksi. Auditor tidak bertanggungjawab untuk merencanakan dan
melaksanakan audit guna memperoleh keyakinan yang memadai bahwa kesalahan penyajian
baik disebabkan oleh kekeliruan maupun oleh kecurangan, yang tidak material terhadap
laporan keuangan dapat dideteksi.
Contoh Auditor melanggar etika :
Manipulasi laporan keuangan PT KAI
Dalam kasus tersebut, terdeteksi adanya kecurangan dalam penyajian laporan keuangan. Ini
merupakan suatu bentuk penipuan yang dapat menyesatkan investor dan stakeholder lainnya.
Kasus ini juga berkaitan dengan masalah pelanggaran kode etik profesi akuntansi.
Pemberian Honorarium
Auditor menggunakan pendekatan audit model baru atas obyek auditnya dan mengatakan
kepada pimpinan auditan bahwa ia memiliki gagasan yang dapat menghasilkan restitusi pajak
yang sudah terlanjur dibayar oleh pihak auditan pada waktu-waktu yang lalu. Untuk itu,
maka auditor mengusulkan agar honorarium yang akan diterimanya atas jasa yang
diberikannya adalah sebesar 50% dari jumlah restitusi pajak tersebut. Perlu dicatat bahwa
jasa pelayanan audit pada kantor akuntan publik dikompensasikan dengan honorarium.
Kesepakatan pembayaran honorarium yang bersyarat merupakan pelanggaran dari etika
profesi karena terdapat implikasi negatif yang dapat terjadi apabila kompensasi dibayarkan
secara bersyarat. Honorarium yang dibayar umumnya didasarkan atas seluruh biaya yang
dikeluarkan oleh auditor dalam pemberian jasa auditnya.
Jelaskan tujuan dari IT Auditing menurut bahasa Anda?
Jawab
IT Audit adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan
apakah sistem informasi dan sumber-sumber yang berkaitan dapat menjaga aset, memelihara
data dan integritas sistem dengan cukup, menyediakan informasi yang relevan dan dapat
diandalkan, mencapai tujuan organisasi yang efektif, menggunakan sumber-sumber secara
efisien, dan memiliki efek pengendalian internal yang memberikan jaminan yang layak

8. bahwa tujuan operasional dan pengendalian akan tercapai.
IT audit juga dapat di artikan sebagai Proses pengumpulan dan evaluasi fakta/bukti untuk
menentukan apakah sistem (terkomputerisasi) dengan tujuan :
– Menjaga aset
– Memelihara integritas data
– Memampukan komunikasi & akses informasi
– Mencapai tujuan operasional secara efektif
– Mengkonsumsi sumber daya secara efisien
Tujuan IT audit adalah memberikan bantuan atau jasa kepada manajemen /organisasi
perusahaan secara berkesinambungan mengenai temuan-temuan kesalahan (error) dan
ketidakberesan (irregularities) dengan cara memberikan analisis, penilaian, rekomendasi, dan
komentar mengenai pengendalian dengan prosedur yang telah ditetapkan.
Manfaat Audit IT :
a. Pada saat Implementasi (Pre-Implementation Review)
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun
memenuhi acceptance criteria.
Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
Mengetahui apakah outcome sesuai dengan harapan manajemen.
b. Pada saat sistem live (Post-Implementation Review)
Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan
strategis, dan anggaran pada periode berikutnya.
Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau
prosedur yang telah ditetapkan.
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak
lanjutnya.

9. Apa alasannya mengapa harus dilakukan Risk Based IT Auditing?
Jawab
Karena dengan menggunakan pendekatan risk based IT audit dapat lebih mefokuskan
terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan.
Risk assesment dapat mengetahui risk matrix sehingga dapat membantu internal auditor
untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal auditor apabila
menggunakan risk based audit approach, antara lain internal auditor akan lebih efisien &
efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Internal
Audit.
Dengan menggunakan risk asssment maka dapat mengetahui lebih jauh risiko-risiko potensial
yang mungkin dihadapi oleh perusahaan. Proses risk assesment terdiri dari langkah-langkah
sebagai berikut :
– Mengidentifikasi risiko-risiko bisnis yang melekat (inherent business risks) dalam
aktivitas perusahaan.
– Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka
monitoring inherent risk dari aktivitas bisnis (control risk)
– Menggambarkan risk matrix yang didasarkan atas inherent business risks dan control
risk.Risk assesment dapat dilakukan dengan pendekatan kuantitatif maupun kualitatif.
Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :
1) Trend industri & faktor lingkungan lain.
2) Kompleksitas & volume aktivitas bisnis.
3) Perubahan dari fokus bisnis & lini bisnis (busines lines).
4) Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).
5) Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget) Perusahaan.
Terdapat tiga aspek dalam Risk Based Auditing, yaitu
– Penggunaan faktor risiko (risk factor) dalam audit planning
– Identifikasi independent risk & assesment
– Partisipasi dalm inisiatif risk management & processes.

10. Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas inherent
business risks dan control risk yang potensial. Departemen Internal Audit dapat melakukan
review secara periodik tiap tahun atas risk based internal audit dikaitkan dengan audit plan.
Manajemen puncak (Board of Director) dan Komite Audit dapat melakukan assessment atas
kinerja (performance) dari risk based internal audit untuk mengetahui realibilitas, keakuratan
dan obyektivitasnya. Profil risiko (Risk profile) atas risk based internal audit
didokumentasikan dalam audit plan yang dibuat oleh Departemen Internal Audit. Risk profile
tersebut dapat digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah
rasional. Manfaat diterapkannya pendekatan risk based internal audit antara lain dapat
meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit, sehingga
secara tidak langsung dapat meningkatkan kinerja Departemen Internal audit.
Apa yang dimaksud dengan Audit Risk?
Jawab
Audit Risk adalah
Resiko bahwa informasi / laporan keuangan mungkin berisi materi kesalahan yang mungkin
tak terdeteksi selama audit
Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal dalam laporan
tersebut terdapat salah saji yang material
Model Audit risk terdiri dari :
? Inherent risk adalah Resiko dari salah saji material menganggap perusahaan tidak
memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan, Faktor yang
relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya bimbingan-bimbingan)
? Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh kontrol
internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa salah saji material
dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi oleh manajemen prosedur
pengendalian internal secara tepat waktu.
? Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji material
menggunakan prosedur analisis atau pengujian substantif
? Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa auditor akan
mengeluarkan opini yang tidak pantas
Yang harus dilakukan oleh Auditor adalah

11. – Auditor akan selalu punya resiko audit karena auditor tidak menguji semua transaksi.
– Oleh karenanya Auditor harus berusaha untuk menurunkan atau mengurangi resiko
audit sampai tahap cukup rendah untuk diterima (biasanya 5%).
Activities apa saja yang perlu dilakukan dalam tahap IT Audit Planning?
Jawab
Tahapan IT audit yaitu :
(a) Memperoleh pemahaman tentang misi bisnis, sasaran, tujuan dan proses.
(b) Identifikasi menyatakan isi (kebijakan, standar, pedoman, prosedur, dan struktur
organisasi)
(c) Evaluasi penilaian resiko dan analisis dampak privasi
(d) Melakukan analisa resiko.
(e) Melakukan pengendalian internal review.
(f) Mengatur ruang lingkup pemeriksaan dan tujuan dari pemeriksaan.
(g) Mengembangkan pendekatan pemeriksaan atau strategi pemeriksaan.
(h) Menugaskan sumber daya manusia untuk memeriksa dan menyebutkan logistik yang
telah dijanjikan
Tahapan Planning audit teknologi sebagai berikut :
Tahap Persiapan (Pre Audit)
– Penetapan obyek dan lingkup audit
– Kesepakatan audit dengan auditee
– Penyusunan kriteria audit
– Penyusunan Audit Plan
– Pembentukan Tim audit

12. – Metoda pengumpulan sumber bukti
Tahap Pelaksanaan Audit (Onsite audit)
– Pengumpulan data sekunder dan primer
– Wawancara
– Observasi lapangan
– Pengukuran
– Analisa sumber bukti
Tahap Pelaporan (Post Audit)
– Analisa sumber bukti
– Temuan
– Penyusunan Rekomendasi
– Klarifikasi Temuan dan Rekomendasi pada auditee
– Rencana tindak
– Pelaporan
Jelaskan apa yang dimaksud dengan Compliance test dan substantive test, berikan contohnya
masing?
Jawab
– Compliance test
Menentukan apakah kontrol sesuai dengan kebijakan dan prosedur manajemen,jika tes
kepatuhan memberikan bukti bahwa kontrol yang berfungsi dengan baik, bukti yang
mendasari dianggap dapat diandalkan, dan CPA dapat mengurangi tingkat validasi dan
prosedur tinjauan analitis.
Berikut tiga prosedur pemeriksaan biasanya digunakan dalam melakukan pengujian sesuai :
Penyelidikan personil mengenai kinerja tugasnya
Mengamati tindakan personil
Memeriksa dokumentasi untuk bukti kinerja karyawan dalam melaksanakan fungsi

13. Contoh Compliance Test ( Test Kepatuhan )
Memeriksa faktur untuk memastikan bahwa menerima dokumen dan bukti pengiriman barang
disediakan ketika faktur diberikan untuk pembayaran. Tes kepatuhan harus diterapkan untuk
transaksi sepanjang tahun di bawah audit sejak laporan keuangan mencerminkan transaksi
dan peristiwa-peristiwa sepanjang tahun. Tes kepatuhan dapat dilakukan pada subjektif atau
dasar statistik.
– Substantive test
Adalah tes integritas pengolahan secara aktual.
Tiga bentuk tes substantif :
Tes transaksi (yang seringkali dilakukan bersamaan dengan Tes Kepatuhan)
Tes keseimbangan
kajian analitis prosedur.
Contoh Substantive test
Para Nasabah mencek saldo rekening untuk memverifikasi kebenaran jumlah.
Pengujian transaksi dan saldo mengumpulkan bukti validitas dari perlakuan akuntansi
transaksi dan saldo. Sistem tersebut dirancang untuk mengidentifikasi kesalahan dan
penyimpangan. Sampling statistik dapat digunakan dalam menentukan akurasi angka laporan
keuangan. Pengujian transaksi dapat dilakukan terus-menerus sepanjang tahun atau audit
pada atau mendekati tanggal neraca. Ketika jejak CPA faktur penjualan dari jurnal ke buku
besar untuk kebenaran, itu disebut tes transaksi. Ketika CPA membandingkan saldo buku kas
dengan saldo buku, ini adalah ujian saldo. Tes ini dilakukan di dekat atau pada akhir tahun
tanggal pelaporan. Tes substantif lain menghitung biaya bunga atas utang perusahaan dan
memeriksa jumlah dalam catatan keuangan. Analytical Review memeriksa prosedur
melibatkan hubungan kewajaran dalam laporan keuangan item dan mengungkap variasi dari
tren. Prosedur yang dapat diterapkan untuk keseluruhan informasi keuangan, data keuangan
segmen, dan unsur-unsur individu. Jika hubungan tampak masuk akal, bukti-bukti yang
menguatkan ada saldo account.
Apakah yang dimaksud dengan General Control Audit dan Application Control Audit?
Berikan contohnya ?
Jawab
General Control Audit
Pemeriksaan secara keseluruhan untuk semua bidang organisasi/perusahaan dan mencakup

14. kebijakan dan praktek yang didirikan oleh manajemen untuk memberikan keyakinan
memadai bahwa tujuan tertentu akan dicapai.
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem
komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk
melakukan pemrosesan data
Adapun aturan-aturan Pengendalian Umum sebagai berikut :
Kontrol akuntansi internal diarahkan pada operasi akuntansi
Kontrol operasional yang bersangkutan dengan hari-hari operasi
kontrol administratif yang bersangkutan dengan efisiensi operasional dan kepatuhan terhadap
kebijakan manajemen
Organisasi logis kebijakan keamanan dan prosedur
Secara keseluruhan kebijakan untuk desain dan penggunaan dokumen dan catatan
Prosedur dan fitur untuk memastikan akses terhadap aset yang berwenang
Kebijakan keamanan fisik untuk semua data center
Contoh IT General Control meliputi :
(a) Manajemen TI
– Keterlibatan Manajemen senior
– IT perencanaan (strategis dan operasional)
– Layanan perjanjian tingkat
– Hukum kepatuhan
– Organisasi TI
(b) Keamanan Fisik
– Kontrol akses fisik ke fasilitas, ruang komputer, peralatan jaringan, sistem output dan lain –
lain.
(c) Keamanan Informasi
– Keamanan kebijakan
– Keamanan manajemen
– Logical kontrol akses
(d) Kelangsungan Systems
– Backup data dan sistem
– Kapasitas manajemen
– Masalah manajemen
– Kesinambungan perencanaan
– Operations management
– Konfigurasi manajemen
(e) Perubahan dan Manajemen Konfigurasi

15. – Bisnis perubahan manajemen
– Technical change management
(f) Pengembangan Sistem
– Pengembangan metodologi
– Project management
– User / pelanggan partisipasi
– Kualitas manajemen
– Dokumentasi
Application Control Audit
Application control Audit adalah proses pemeriksaan suatu aplikasi program dimana
digunakan secara spesifik dalam suatu aplikasi sistem informasi untuk meminimalkan dan
mendeteksi prilaku software yang tidak normal.
Application Control Audit melibatkan tinjauan terhadap resiko dan kontrol internal yang
berhubungan dengan komputer tertentu aplikasi (atau sekelompok aplikasi) yang melakukan
fungsi tertentu (seperti Payroll, e-Niaga, General Ledger, Sumber Daya Manusia, Mahasiswa
Pendaftaran dan Rekaman, Treasury Workstation, dan lain-lain).
Wilayah yang dicakup oleh aplikasi kontrol ini meliputi:
Kontrol Masukan
Contohnya : Suntingan dan lain – lain
Kontrol Pemrosesan / Pengolahan
Contohnya : manipulasi input data ke dalam sistem
Kontrol Keluaran
Contohnya : baik file untuk segera menggunakan atau masukan sistem lain atau bahkan
kontrol distribusi laporan, mikrofilm, dan lain-lain
Kontrol Basis Data
Contohnya : Mempunyai tempat penyimpanan yang aman dari orang-orang yang tidak
berkepentingan.
Kontrol Telekomunikasi
Contohnya : Memberikan PIN untuk para pengguna.
Tujuan pengendalian aplikasi (Application Control Audit) dimaksudkan untuk memastikan
bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan.

16. 10. Apakah definisi Risk (resiko) menurut Anda? Dan cara menanggulanginya?
Jawab
Resiko adalah pusat dari asuransi selain itu juga selalu berada pada pusat kehidupan itu
sendiri atau seringkali disebut sebagai suatu ketidak pastian di masa yang akan datang
tentang kerugian (uncertainty of loss).
Istilah risiko (risk) dapat juga dalam arti benda atau objek pertanggungan subject (matter
insured) dan bencana / bahaya (perils). Kapal, muatan barang, mobil, bangunan dan lain-lain
adalah beberapa contoh dari benda-benda pertanggungan. Angin ribut, gempa bumi banjir,
kecurian adalah beberapa contoh dari bencana/bahaya yang dapat menimbulkan kerugian bila
terjadi.
Cara untuk menanggulangi resiko :
Menghindari/menekan kemungkinan terjadinya resiko.
Misalnya dg memenuhi standard keamanan perusahaan (dengan memasang sistem keamanan
yg memadai atau menyediakan petugas terlatih untuk mengatasi kebakaran).
Menanggung sendiri resiko yg terjadi.
Seorang pengusaha harus memiliki dana taktis yang tidak sedikit untuk membiayai resiko
yang terjadi.
Untuk tingkat kepastian yang lebih tinggi, pengusaha sepertinya harus mulai memikirkan
untuk mengkombinasikan cara di atas dengan mengalihkan resiko (risk transfer) pada pihak
lain, dalam hal ini perusahaan asuransi.
Jenis-jenis Resiko :
- Resiko Keuangan
- Resiko Produksi
- Resiko operasional dan pemasaran
- Resiko sumber daya manusia