Pages

Tuesday, October 14, 2014

CISA Exam: The IS Audit Process-1

Pada postingan kali ini, kami coba sharing contoh soal ujian Certified Information Systems Auditor (CISA), beserta dengan pembahasannya. Sharing akan kami lakukan secara bertahap.
Untuk kesempatan ini, kami share 10 soal ujian CISA dan pembahasan untuk materi Proses IS Audit. Postingan berikutnya akan terkait dengan materi lainnya.

1.  An IS auditor is reviewing access to an application to determine whether the 10 most recent new accounts were appropriately authorized. This is an example of:
A. variable sampling.
B. substantive testing.
C. compliance testing.
D. stop-or-go sampling.

Correct Answer: C
Compliance testing menilai apakah suatu pengendalian diterapkan sesuai dengan kebijakan kontrol yang telah ditetapkan. Testing tersebut termasuk pengujian apakan suatu akun log-in baru telah diotorisasi secara memadai.

A. Incorrect,
karena variable sampling digunakan untuk mengestimasi nilai numerik (nilai rata-rata atau total) dari suatu populasi berdasarkan data sample dengan menggunakan nilai kuantitatif, seperti nilai rupiah dan digunakan dalam pengujian substantive.
B. Incorrect,
karena substantive testing menguji integritas actual processing atau untuk menguji keberadaan misstatement dalam sistem IT, seperti pengujian keberadaan saldo financial statements. Pengembangan substantive tests sering tergantung pada hasil dari compliance tests (test of control). Jika hasil compliance tests mengindikasikan bahwa internal controls telah memadai, maka substantive tests dapat diminimalkan.
D. Incorrect,
karena stop-or-go sampling mengijinkan suatu pengujian untuk selesai secepatnya, ketika auditor telah puas dengan hasil sampling yang telah dilakukan. Stop-or-go sampling merupakan sampling model yang digunakan untuk mencegah pengambilan jumlah sampling berlebihan dan digunakan oleh auditor ketiaka auditor percaya bahwa hanya terdapat sedikit errors dalam suatu populasi.

2. Overall business risk for a particular threat can be expressed as:
A. A product of the probability and magnitude of the impact if a threat successfully exploits a vulnerability.
B. The magnitude of the impact should a threat source successfully exploit the vulnerability.
C. The likelihood of a given threat source exploiting a given vulnerability
D. The collective judgment of the risk assessment team.

Correct Answer: A.
Risiko diukur dari hasil pengukuran (Probability x Impact) = tingkat probabilitas suatu event terjadi, dan tingkat signifikansi dampak dari kejadian tersebut terhadap pencapaian tujuan business. Referensi lain memasukan tingkat kecepatan dampak suatu kejadian dalam pengukuran suatu risiko. Choice A memasukan unsur probabilitas dan signifikansi dari dampak.

B. Incorrect,
karena choice B hanya mempertimbangkan signifikansi dari dampak dan tidak memasukan unsur probabilitas keterjadian ancaman.
C. Incorrect,
karena choice C hanya mempertimbangkan probabilitas keterjadian dari ancaman, namun tidak mempertimbangkan signifikansi dampak dari ancaman.
D. Incorrect,
karena choice D bukan definisi risiko, namun merupakan salah metode penentuan tingkat risiko, yaitu Focus Group Discussion (FGD).

3. An IS auditor is reviewing a software application that is built on the principles of service oriented architecture (SOA). What is the best first step?
A. Understanding services and their allocation to business processes by reviewing the service repository documentation.
B. Sampling the use of service security standards as represented by the Security Assertions Markup Language (SAML).
C. Reviewing the service level agreements (SLAs).
D. Auditing any single service and its dependencies with others.

Correct Answer: A.
Secara umum, hal pertama yang perlu dilakukan oleh seorang auditor dalam melaksanakan suatu penugasan, adalah mendapatkan pemahaman yang cukup mengenai proses bisnis objek audit. SOA bersandar pada prinsip lingkungan yang terdistribusi, dimana services encapsulate (merangkum) business logic as a black box and might be deliberately (dengan sengaja) combined to depict real-world business processes. Sebelum reviu terhadap services secara detail, penting bagi IS auditor untuk memahami peta business processes menjadi services.

B. Incorrect,
karena sampling atas penggunaan standar service security, sebagaimana yang disajikan dalam SAML, merupakan langkah lanjutan yang penting untuk memahami services dan alokasi service ke business, namun bukan sebagai langkah pertama.
SAML (Security Assertion Markup Language) merupakan Extensible Markup Language (XML) standard, yang mengijinkan user untuk log on sekali ke afiliasi, namun dalam Web sites yang terpisah. SAML didesain untuk transaksi business-to-business (B2B) dan business-to-consumer (B2C). SAML terdiri dari 3 komponen: assersi, protocol, dan binding (mengikat). Terdapat 3  assertions: authentication, attribute, and authorization. Authentication assertion memvalidasi identitas user. Attribute assertion berisi informasi khusus tentang user. Authorization assertion mengidentifikasi apa yang otorisasi / kewenangan dari user.
C. Incorrect,
karena review atas SLAs, merupakan langkah lanjutan yang penting untuk memahami services dan alokasi service ke business, namun bukan sebagai langkah pertama.
SLA merupakan contractual agreement antara user dan IT service provider, yang mengatur kesepakatan tingkat layanan dari dukungan IT kepada proses bisnis. Misal: waktu respond time atas user complaint.
D. Incorrect, 
karena audit terhadap suatu single service dan review ketergantungannya dengan porses lainnya, akan memakan waktu banyak, dan juga bukan merupakan cara yang baku untuk memulai suatu audit terhadap SOA.

4. An audit charter should:
A. Be dynamic and change often to coincide with the changing nature of technology and the audit profession.
B. Clearly state audit objectives for and the delegation of authority to the maintenance and review of internal controls.
C. Document the audit procedures designed to achieve the planned audit objectives.
D. Outline the overall authority, scope, and responsibilities of the audit function.

Correct Answer:  D.
Fungsi assurance dan IS audit seharusnya:
1)  Menyusun audit charter untuk mendefinisikan aktivitas dari fungsi assurance dan IS audit, dengan detail secukupnya, untuk mengkomunikasikan:
  • Otorisas, tujuan, tanggung jawab, dan pembatasan dari fungsi assurance dan IS audit.
  • Independensi dan akuntabilitas dari fungsi assurance dan IS audit.
  • Peranan dan tanggung jawab dari auditee selama penugasan IS audit atau penugasan assurance.
  • Standar Professional yang dirujuk oleh profesional IS audit dan assurance professional dan akan diikuti dalam penugasan IS audit dan assurance.
2) Reviu audit charter setidaknya setahun sekali, atau lebih jika ada perubahan tanggung jawab fungsi assurance dan IS audit.
3) Update audit charter saat diperlukan, untuk menjamin bahwa tujuan dan tanggng jawab telah dan tetap didokumentasikan secara memadai.
4) Secara formal, komunikasikan audit charter kepada auditee setiap penugasan IS audit atau assurance.

A. Incorrect,
reviu terhadap audit charter setidaknya setahun sekali, atau lebih jika ada perubahan tanggung jawab fungsi assurance dan IS audit. namun but idealnya audit charter seharusnya tidak berubah signifikan secara sering. Salah satu tujuan reviu audit charter setiap tahun adalah untuk analisis allignment materi audit charter dengan perubahan lingkungan internal dan eksternal, termasuk perubahan teknologi dan standar profesi.
B. Incorrect,
Audit charter menyatakan secara jelas tujuan dari ... should state management's objectives for and delegation of authority to IS audit. Audit charter seharusnya disetujui oleh governance body (misal dewan komisaris) dan tidak terlalu sering berubah.
C. Incorrect, 
karena audit charter tidak akan mengatur secara detail dan, oleh karena itu, tidak akan termasuk specific audit objectives.

5. Which of the following sampling methods is most useful when testing for compliance:
A. . Attribute sampling
B. Variable sampling
C. Stratified mean per uni
D. Difference estimation

Correct Answer:  A.
Attribute sampling merupakan metode utama sampling yang digunakan untuk compliance testing. Attribute sampling merupakan sampling model yang digunakan untuk mengestimasi tingkat kejadian dari suatu specific quality (attribute) dalam suatu populasi dan digunakan daam compliance testing,  untuk menguji keberadaan suatu quality.

B. Incorrect,
karena variable sampling digunakan untuk mengestimasi nilai numerik (nilai rata-rata atau total) dari suatu populasi berdasarkan data sample dengan menggunakan nilai kuantitatif, seperti nilai rupiah dan digunakan dalam pengujian substantive.
C. Incorrect,
karena stratified mean per unit merupakan salah satu tipe dari variable sampling, yang digunakan dalam substantive testing. Stratified mean per unit: suatu model statistik di mana populasi dibagi menjadi grup dan data sample diambil dari berbagai grup tersebut.
D. Incorrect,
karena difference estimation merupakan salah satu tipe dari variable sampling, yang digunakan dalam substantive testing. Difference estimation: model statistik yang digunakan untuk mengestimasi nilai total perbedaan antara nilai audit and nilai buku (unaudited), berdasarkan pada perbedaan yang diperoleh dari pengamatan terhadap data sample.

6. An IS auditor is assigned to perform a post-implementation review of an application system. Which of the following situations may have impaired the independence of the IS auditor? The IS auditor:
A. Implemented a specific functionality during the development of the application system.
B. Designed an embedded audit module exclusively for auditing the application system.
C. Participated as a member of the application system project team, but did not have operational responsibilities.
D. Provided consulting advice concerning application system best practices.

Correct Answer:  A.
Independence dapat terganggu ketika IS auditor pernah atau sedang terlibat secara aktif dalam development, acquisition, dan implementation dari application system.
Salah satu jasa non audit yang dapat mengganggu independensi dan objektifitas adalah keterlibatan signifikan tindakan professionals dalam supervisi atau pelaksanaan designing, developing, testing, installing, configuring atau operating information systems, yang secara material atau signifikan menjadi objek audit.
Independence terjadi ketika auditor bebas dari kondisi yang mengancam objektifitas atau penampilan dari objektifitas. Independen termasuk independence of mind dan independence in appearance. Keterlibatan signifikan dalam suatu proyek yang menjadi objek audit, merupakan salah satu bentuk gangguan independence in appearance.

B. Incorrect,
pilihan B merupakan situasi yang tidak mengganggu independensi IS auditors. Aktifitas yang besifat rutin dan administratif atau aktifitas yang tidak signifikan, dan dianggap tidak bukan tanggung jawab manajemen, maka tidak akan mengganggu independensi.
C. Incorrect,
pilihan C merupakan situasi yang tidak mengganggu independensi IS auditors, karena auditor diperkenankan untuk menjadi partisipan dalam project tim, tidak boleh menjadi leader tim, dan tidak mengambil tanggung jawab manajemen.
D. Incorrect,
independensi IS auditor tidak terganggu dengan memberikan saran dari pengetahuan auditor terkait suatu best practice. Jika safeguards memadai diterapkan, maka memberikan advice rutin terkait risiko dan kontrol IT bukan merupakan bentuk gangguan independensi atau objektifitas.

7. The primary purpose of audit trails is to:
A. improve response time for users
B. establish accountability and responsibility for processed transactions.
C. improve the operational efficiency of the system.
D. provide useful information to auditors who may wish to track transactions.

Correct Answer: B.
Penggunaan audit trail bertujuan utama untuk alat kendali sistem IT. Oleh karena sebagai alat kontrol, maka pemanfaatan audit trails membantu dalam membangun akuntabiltias dan tanggung jawab atas transaksi yang diproses, dengan cara tracing transaksi tersebut dalam proses system. Tracing transaksi merupakan bentuk proses audit trail, namun bukan tujuan utama.

A. Incorrect,
tujuan dari pemanfaatan software untuk menyediakan audit trails, tidak memperbaiki system efficiency, karena penambahan audit trails justru akan melibatkan penambahan proses, yang akan, secara nyata,  mengurangi waktu response bagi users.
C. Incorrect,
tujuan dari pemanfaatan software untuk menyediakan audit trails, tidak memperbaiki system efficiency, karena penambahan audit trails justru akan melibatkan penambahan proses. Penggunaan audit trails justru membutuhkan storage dan, oleh karena itu, akan menggunakan disk space dan meningkatkan biaya.
D. Incorrect,
pilihan D (provide useful information to auditors who may wish to track transactions) merupakan alasan valid, namun hal tersebut bukanlah alasan utama.

8. In planning an audit, the most critical step is the identification of the:
A. areas of high risk.
B. skill sets of the audit staff.
C. test steps in the audit.
D. time allotted for the audit.

Correct Answer: A.
Ketika mendesain perencanaan audit, IS Audit seharusnya menggunakan risk-based audit plan. Dengan pendekatan risk-based, penugasan audit dan non audit difokuskan pada area-area yang berisiko tinggi bagi perusahaan. Oleh karena itu, dengan pendekatan risk based, langkap kritis adalah identifikasi area yang berisiko.
Setelah area berisiko teridentifikasi, lalu sumber daya yang ada dialokasikan secara efisien untuk melakukan penugasan audit dan non audit pada area-area tersebut.

B. Incorrect,
karena analisis kombinasi keterampilan dari para audit staff, bukan langkah kritis dalam pendekatan risk-based audit, dan seharusnya dipertimbangkan sebelum memutuskan dan memilih area audit.
C. Incorrect,
karena test steps merupakan prosedur pengujian audit untuk mencapai tujuan audit dan langkah ini tidak se-kritis dibandingkan dengan identifikasi area-area berisiko.
D. Incorrect,
waktu yang dialokasikan untuk audit, ditentukan oleh area-area yang diaudit, yang mana area audit terutama ditentukan berdasarkan hasil risk assessment.

9. The extent to which data will be collected during an IS audit should be determined based on the:
A. Availability of critical and required information.
B. Auditor's familiarity with the circumstances.
C. Auditee's ability to find relevant evidence.
D. Purpose and scope of the audit being done.

Correct Answer: D.
Tingkat dimana data akan diuji selama IS audit, selain dipengaruhi oleh haril audit risk model (DR = AR / (IR x CR), juga dipengaruhi oleh lingkup dan tujuan dari audit. Audit dengan tujuan dan lingkup yang sempit, akan menguji bukti lebih sedikit daripada audit dengan tujuan dan lingkup yang luas.

A. Incorrect,
lingkup pengumpulan bukti dari IS audit, seharusnya tidak dibatasi oleh seberapa mudah suatu informasi diperoleh atau oleh familiarity auditor terhadap area audit.
B. Incorrect,
lingkup pengumpulan bukti dari IS audit, seharusnya tidak dibatasi oleh seberapa mudah suatu informasi diperoleh atau oleh familiarity auditor terhadap area audit.
C. Incorrect,
pengumpulan bukti yang diperlukan merupakan elemen penting dalam IS audit, dan lingkup pengumpulan bukti dari IS audit seharusnya tidak dibatasi oleh kemampuan auditee untuk mencari bukti yang relevan.

10. An IS auditor is reviewing testing procedures and has conluded that material errors were not identified. Which type of risk does this represent?
A. Detection
B. Audit
C. Control.
D. lnherent

Correct Answer: A.
Hal ini merupakan salah satu contoh dari detection risk, yang diakibatkan oleh penggunaan prosedur tidak layak untuk pengujian, sehingga tidak dapat mendeteksi semua material errors.  Detection risk: risiko dimana audit evidence yang diuji, gagal mendeteksi adanya material misstatement > tolerable misstatment, padahal, in fact, material errors tersebut ada.
Detection risk berkaitan dengan jumlah substantive evidence yang direncanakan diakumulasi oleh auditor. Semakin rendah DR maka semakin banyak evidence yang harus diuji oleh auditor. Contoh: detection risk (DR) ditetapkan rendah (2%) untuk aktivitas inventory dan warehousing, maka jumlah planned evidence akan semakin banyak, begitu juga sebaliknya.

B. Incorrect,
overall audit risk: merupakan ukuran seberapa besar risiko yang ingin diterima oleh auditor, bahwa financial statements / area audit mengandung salah saji material, setelah audit selesai dan memberikan simpulan/ opini unqualified. Audit risk berkorelasi positif dengan detection risk, dimana semakin rendah risiko audit yang ditetapkan, maka akan semakin rendah detection risk, sehingga akan semakin banyak bukti audit yang harus diuji.
C. Incorrect,
control risk: risiko dimana material error terjadi, namuntidak dapat dicegah atau dideteksi secara tepat waktu, oleh system internal control yang ada. Contoh: control risk terkait dengan review manual atas computer logs, dapat menjadi tinggi, karena aktifitas review manual membutuhkan kerja investigasi dengan volume kerja yang banyak, sehingga potensi human error menjadi tinggi.
D. Incorrect,
inherent risk: risiko dimana signifikan error terjadi, ketika dikombinasikan dengan error lainnya yang ditemukan selama audit, dengan asumsi bahwa tidak ada compensating controls. Inherent risk juga dikategorikan sebagai risiko material misstatement, ketika tidak adanya related controls. Contoh: kas berisiko lebih mudah dicuri daripada persediaan berupa batubara.

No comments:

Post a Comment