Pages

Tuesday, November 11, 2014

CIA CPA CISA Exam: The IS Audit Process - 2

CIA CPA Exam by Yulias C Sihombing
Latihan lagi yuk, materi IS Audit Process-2. Selain buat CISA, latihan ini bisa digunakan untuk CIA dan CPA Exam . Postingan ini melanjutkan latihan materi ujian IS Audit Process -1. 

CIA CPA CISA Exam: The IS Audit Process - 2 

1. The decisions and actions of an IS auditor are most likely to affect which of the following risks?
A. Inherent.
B. Detection.
C. Control
D. Business

Correct Answer: B.
Detection risks secara langsung dipengaruhi oleh pemilihan prosedur dan teknik oleh auditor. Ingat bahwa DR = AR / (IR x CR).
Detection risk: risiko dimana audit evidence yang diuji, gagal mendeteksi adanya material misstatement > tolerable misstatment, padahal, in fact, material errors tersebut ada. Detection risk berkaitan dengan jumlah substantive evidence yang direncanakan diakumulasi oleh auditor. Semakin rendah DR maka semakin banyak evidence yang harus diuji oleh auditor. Contoh: detection risk (DR) ditetapkan rendah (2%) untuk aktivitas inventory dan warehousing, maka jumlah planned evidence akan semakin banyak, begitu juga sebaliknya.

A. Incorrect,
Karena inherent risks tidak dipengaruhi oleh IS auditor. Risiko ini melekat pada suatu akun atau aktifitas tertentu, ketika diasumsikan tidak ada kontrol.
Inherent risk: risiko dimana signifikan error terjadi, ketika dikombinasikan dengan error lainnya yang ditemukan selama audit, dengan asumsi bahwa tidak ada compensating controls. Inherent risk juga dikategorikan sebagai risiko material misstatement, ketika tidak adanya related controls. Contoh: kas berisiko lebih mudah dicuri daripada persediaan berupa batubara.
C. Incorrect,
karena control risk dipengaruhi oleh tindakan dari manajemen perusahaan.
Control risk: risiko dimana material error terjadi, namun tidak dapat dicegah atau dideteksi secara tepat waktu, oleh system internal control yang ada. Contoh: control risk terkait dengan review manual atas computer logs, dapat menjadi tinggi, karena aktifitas review manual membutuhkan kerja investigasi dengan volume kerja yang banyak, sehingga potensi human error menjadi tinggi.
D. Incorrect,
karena business risk tidak diperngaruhi oleh IS auditor.
Business risks merupakan ancaman yang berdampak negatif terhadap assets, processes atau tujuan dari bisnis atau organisasi. Contoh business risk: kemampuan keuangan customer, credit worthiness, dan market factors.

2. Which of the following is the most critical step to perform when planning all IS audit
A. Review findings from prior audits.
B. Develop plans to conduct a physical security review of the data center facility.
C. Review IS security policies and procedures.
D. Perform a risk assessment.

Correct Answer: D.
Dari semua daftar pilihan, melakukan risk assessment merupakan langkah yang paling kritis dalam perencanaan audit. Risk assessment diwajibkan dalam ISACA audit perforamnce standard: 1202 (Risk Assessment in Planning) dan Guidelines 2202: Risk Assessment in Audit Planning (G13). Dengan melakukan risk assessment, maka IS auditor akan mengidentifikasi area-area bisnis yang memiliki tingkat risiko yang tinggi, dan kemudian sumber daya auditor (waktu, dana
Sebagai tambahan atas persyaratan standards tersebut, jika risk assessment tidak dilakukan, maka area high-risk dalam sistem atau operasional klien dapat tidak teridentifikasi untuk dievaluasi. Implikasi lainnya, detection risk (risiko bahwa material error tidak terdeteksi oleh auditor) akan meningkat bagi auditor jika risk assessment tidak dilakukan.

A. Incorrect,
walau review findings dari hasill audit sebelumnya merupakan bagian dari penugasan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review follow up atas finding hasil audit sebelumnya merupakan salah satu prosedur perencanaan untuk untuk memonitor follow up manajemen atas audit finding, menilai prelimanary control risk (terkait integritas / komitmen manajemen terhadap internal control),
B. Incorrect,
walau review physical security dari fasilitas data center merupakan hal penting dalam perencanaan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review physical security dari fasilitas data center merupakan salah satu prosedur mendapatan pemahaman awal dan pengujian awal internal control, untuk mendapatkan prelimary control risk. Prosedur lainnya misal review flowchart security data center.
C. Incorrect,
walau review policies dan procedures IS security merupakan hal penting dalam perencanaan, namun langkah ini tidak se-kritis prosedur risk assessment.
Review policies dan procedures IS security merupakan salah satu prosedur mendapatan pemahaman awal dan pengujian awal internal control, untuk mendapatkan prelimary control risk. Prosedur lainnya misal review flowchart security data center.

3. An IS auditor conducting a review of software usage and licensing discovers that numerous PC's contain unauthorized software. Which of the following actions should the IS auditor take'?
A. Delete all copies of the unauthorized software.
B. Inform the auditee of the unauthorized software, and follow up to confirm deletion.
C. Report the use of the unauthorized software and the need to prevent recurrence to auditee management.
D. Warn the end users about the risk of using illegal software.

Correct Answer:  C.
Penggunaan software illegal atau unauthorized harus dilarang oleh perusahaan. Pembajakan software mengakibatkan adanya inherent exposure dan dapat menimbulkan adanya denda yang besar. Contoh: militer USA dikenakan denda USD 50 million, karena ketahuan menggunakan software bajakan. Maka, IS auditor harus meyakinkan para user dan management mengenai risiko tersebut dan perlunya mengeliminasi risiko tersebut.
Adanya software unauthorized merupakan symptom bahwa ada yang salah dalam pengelolaan risiko dan control IT. Oleh karena itu, IS auditor seharusnya menkomunikasikan kepada manajemen mengenai risiko dari software unauthorized dan merekomendasikan perbaikan proses manajemen risiko dan proses internal kontrol untuk mencegah terulangnya kembali adanya software unauthorized

A. Incorrect,
karena IS auditor tidak boleh mengambil alih tanggung jawab peran manajemen dan tidak boleh memerintah kan personil tertentu untuk terlibat dalam me-remove atau men-delete software unauthorized.
B. Incorrect,
karena hanya menginformasikan ke klien dan merekomendasikan men-delete software unauthorized tidak akan menyelesaikan masalah. Adanya software unauthorized merupakan symptom, the real problem-nya adalah kelemahan di sistem control IT.
D. Incorrect,
karena hanya mengingatkan user mengenai risiko software unauthorized tidak akan menyelesaikan masalah. Adanya software unauthorized merupakan symptom, the real problem-nya adalah kelemahan di sistem control IT.

4. When auditing the provisioning procedures of the identity management (IDM) system of a large organization, an IS auditor immediately finds a small number of access requests that had not been authorized by managers through the normal predefined workflow steps and escalation rules. The IS auditor should:
A. perform an additional analysis.
B. report the problem to the audit committee.
C. conduct a security risk assessment.
D. recommend that the owner of the IDM system fix the workflow issues.

Correct Answer:  A.
IS auditor perlu melakukan substantive testing dan analysis tambahan untuk menentukan mengapa proses approval dan workflow tidak berjalan sebagaimana yang diharapkan. Sebelum membuat suatu rekomendasi, auditor seharusnya memperoleh pemahaman yang baik terkait lingkup masalah dan faktor penyebab terjadinya incident. IS auditor seharusnya mengidentifikasi apakah isu-isu disebabkan oleh manajer yang tidak mematuhi prosedur, oleh kesalahan workflow dalam automated system atau oleh kombinasi keduanya.

B. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.
C. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.
D. Incorrect,
karena opsi pilihan lainnya tidak benar karena auditor tidak memiliki informasi yang cukup untuk melaporkan masalah, melakukan risk assessment atau menyusun rekomendasi perbaikan workflow issues.

5. When testing program change requests, an IS auditor found that the population of changes was too small to provide a reasonable level of assurance. What is the most appropriate action for the auditor to take?
A. Develop an alternate testing procedure.
B. Report the finding to management as a deficiency.
C. Perform a walk-through of the change management process.
D. Create additional sample changes to programs.

Correct Answer:  A.
Jika ukuran sample yang ditentukan tidak dapat dipenuhi oleh data yang ada, maka auditor tidak akan mampu untuk memberikan assurance terkait dengan tujuan pengujian. Dalam situasi ini, IS auditor seharusnya mengembangkan (with audit management approval) prosedur pengujian alternatif.
Dalam situasi tersebut, prosedur alternatif yang bisa dilakukan oleh IS Auditor adalah:

B. Incorrect,
karena IS Auditor tidak memiliki bukti yang cukup untuk melaporkan finding tersebut sebagai deficiency.
C. Incorrect,
karena teknik walk-through seharusnya tidak dilakukan, sebelum prosedur analisis dilaksanakan untuk mengkonfirmasi bahwa teknik walk-through dapat memberikan tingkat assurance yang diperlukan.
D. Incorrect,
karena tidak IS auditor tidak boleh menciptakan sendiri data sampel untuk tujuan audit.

6. The primary advantage of a continuous audit approach is that it:
A. Does not require an IS auditor to collect evidence on system reliability while processing is taking place.
B. Requires the IS auditor to review and follow up immediately on all information collected.
C. Can improve system security when used in time-sharing environments that process a large number of transactions.
D. Does not depend on the complexity of an organization's computer systems.

Correct Answer: C.
Penggunaan teknik continuous auditing dapat memperbaiki system security ketika digunakan dalam lingkungan time-sharing yang memproses banyak transaksi, namun sedikit meninggalkan paper trail.
Continuous auditing merupakan methodology audit yang menghasilkan laporan audit secara simultan dengan kejadian yang mendasari subjek laporan. Dengan metode ini, sistem membandingkan secara kontinu antara suatu kondisi dengan kriteria yang ditetapkan. Continuous auditing harus dikombinasikan dengan continuous monitoring, dan jika kedua metodologi berjalan efektif, maka continuous assurance dapat diberikan.

A. Incorrect
karena pendekatan continuous audit sering mensyaratkan IS Auditor untuk mengumpulkan bukti terkait reliabilitas sistem, yang dikumpulkan ketika prosessing sedang berjalan.
B. Incorrect,
karena tidak seluruh informasi direview dan ditindaklanjuti. IS Auditor biasanya akan me-review dan menguji lebih lanjut, hanya pada kelemahaman material atau kesalahan material yang terdeteksi.
D. Incorrect
karena penggunaan teknis continuous audit tergantung pada kompleksitas dari sistem komputer yang digunakan perusahaan. Semakin kompleks dan berisiko suatu bisnis perusahaan, maka semakin diperlukan penggunaan pendekatan continuous auditing.

7. An IS auditor is evaluating management's risk assessment of information systems. The IS auditor should first review:
A. the controls already in place.
B. the effectiveness of the controls in place.
C. the mechanism for monitoring the risks related to the assets.
D. the threats/vulnerabilities affecting the assets.

Correct Answer: D.
Salah satu faktor kunci yang dipertimbangkan ketika menilai risiko terkait dengan penggunaan berbagai macam sistem informasi adalah threats dan vulnerabilities yang mempengaruhi sistem informasi tersebut.
Dalam menilai IT risk management, tahapan yang dilakukan oleh IS auditor adalah:
1) Identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan. Misal: framework COBIT.
2) Menilai efektifitas proses indentifkasi dan klasifikasi informasi dan sistem yang menghasilkan informasi tersebut, yang membutuhkan proteksi karena informasi dan sistem bersifat kritis atau sensitif atau benilai material, terkait dengan pencapaian tujuan sistem informasi/ perusahaan.
3) Menilai efektifitas proses penilaian threats dan vulnerabilities (kombinasinya menghasilkan = impact), yang terkait dengan aset informasi dan sistem, serta tingkat kemungkinan keterjadian (likelihood)  dari impact tersebut. Tingkat resiko dihitung = impact x likelihood.
4) Menilai kecukupan dan efektifitas existing control atau kontrol yang dibangun untuk memitigasi risk / residual risk yang di atas risk appetite perusahaan.
Dari alternatif pilihan yang ada, hal yang lebih dulu dilakukan dari ke-4 pilihan A, B, C, dan D, maka IS Auditor lebih dulu melakukan review terkait proses penilaian threats dan vulnerabilities, sebelum melakukan review atas kecukupan dan efektifitas control untuk memitigasi risks dan review proses montoring risk management.

A. Incorrect,
karena review atas sistem kontrol yang terpasang, dilakukan setelah proses penilaian risk assessment. Kontrol didesain untuk mengendalikan risiko signifikan yang melebihi risk appetite perusahaan, jadi review kontrol setelah proses risk assessment.
B. Incorrect,
karena review atas sistem kontrol yang terpasang, dilakukan setelah proses penilaian risk assessment. Kontrol didesain untuk mengendalikan risiko signifikan yang melebihi risk appetite perusahaan, jadi review kontrol setelah proses risk assessment.
C. Incorrect,
karena mekanisme untuk secara kontinu memonitor risiko yang terkait dengan sistem informasi, seharusnya dilaksanakan dalam fungsi risk monitoring, yang dilakukan setelah tahap risk assessment.

8. Primary benefit derived from an organization employing control self-assessment (CSA) techniques is that it:
A. can identify high-risk areas that might need a detailed review later.
B. allows IS auditors to independently assess risk.
C. can be used as a replacement for traditional audits.
D. allows management to relinquish responsibility for control.

Correct Answer: A.
Control self-assessment (CSA) merupakan proses manajemen risiko dan pengembangan kontrol untuk mitigasi risiko yang dilakukan sendiri oleh setiap personel dan manejemen perusahaan, dengan memperhatikan risk appetite perusahaan. Personel / pemilik proses, mempergunakan pengetahuan dan pemahamannya terkait fungsi bisnis, untuk membangun kontrol dan kinerja dari kontrol tersebut.
Dalam CSA, manajemen dan personil sendiri yang melakukan penilaian atas efektifitas manajemen risiko dan kontrol. Umumnya, CSA dengan difasilitasi oleh internal auditor.
Oleh karena itu, manfaat dari CSA bagi perusahaan, antara lain:
1) Deteksi / identifikasi lebih awal terkait area-area yang berisiko
2) Internal kontrol yang lebih efektif dan terus diperbaiki.
3) Menciptakan tim yang solid melalui pelibatan personil dalam membangun internal kontrol.
4) Membangun rasa memiliki personil dan pemiliki proses atas internal kontrol, dan mengurangi resistensi mereka terhadap perbaikan Developing a sense of ownership of the controls in the employees and process owners, and reducing their resistance to control improvement initiatives.

B. Incorrect,
karena CSA justru mensyaratkan keterlibatan aktif personil line management dalam menilai sendiri efektifitas manajemen risiko dan kontrol. Dalam CSA, internal auditor lebih berperan sebagai konsultan/ fasilitator, sehingga ada pergeseran peran internal auditor dari yang bertanggung jawab menilai efektifitas manajemen risiko, menjadi fasilitator bagi personil/ manajemen dalam menilai efeketifitas manajemn risiko.
C. Incorrect,
karena CSA tidak menggantikan tradisional audit. CSA tidak dimaksudkan untuk menggantikan tanggung jawab audit, namun justru untuk meningkatkan efisien dan efektititas audit. Dengan penerapan CSA, internal auditor berperan sebagai fasilitator, dan menilai efektifitas atau memvalidasi proses CSA itu sendiri.
D. Incorrect,
karena CSA justru memperbaiki proses pertanggungjawaban manajemen terkait dengan internal kontrol. Manajemen, dan personil, identifikasi sendiri risiko, membangun sendiri kontrol, dan menilai sendiri efektifitas manajemen risiko dan sistem kontrol. Oleh karena itu, CSA tidak mengijinkan management untuk melepaskan tanggung jawabnya terhadap internal kontrol.

9. While planning an audit, an assessment of risk should be made to provide:
A. Reasonable assurance that the audit will cover material items.
B. Definite assurance that material items will be covered during the audit work.
C. Reasonable assurance that all items will be covered by the audit.
D. Sufficient assurance that all items will be covered during the audit work.

Correct Answer: A.
The ISACA IS Auditing Guideline G 15 (engagement planning) menyatakan “Perform a risk assessment to provide reasonable assurance that all material items will be adequately covered during the engagement. Audit strategies, materiality levels and resource requirements can then be developed.”
Penilaian risiko dilakukan untuk memberikan assurance bahwa item-item material akan masuk dalam lingkup pekerjaan audit. Penilaian ini seharusnya mengidentifikasi area-area yang secara relatif memiliki risiko tinggi terkait keberadaan masalah-2 material. Dengan mengetahui area-2 yang berisiko tinggi, maka strategi audit, tingkat materialitas, sumber daya yang dibutuhkan dapat disusun.

B. Incorrect,
karena keyakinan pasti (definite assurance) bahwa item material akan masuk dalam lingkup pekerjaan audit, merupakan pernyataan yang tidak praktis. Dalam audit selalu ada resiko audit (audit risk) dan risiko deteksi (detection risk), juga sampling risk.
C. Incorrect,
tahap penilaian risiko tidak dimaksudkan untuk memberi keyakinan yang memadai bahwa seluruh item akan masuk dalam lingkup pekerjaan audit, namun untuk memberikan keyakinan yang memadai bahwa material item yang berisiko tinggi akan masuk dalam lingkup audit.
D. Incorrect,
tahap penilaian risiko tidak dimaksudkan untuk memberi keyakinan yang cukup bahwa seluruh item akan masuk dalam lingkup pekerjaan audit, namun untuk memberikan keyakinan yang memadai bahwa material item yang berisiko tinggi akan masuk dalam lingkup audit.

10. Which of the following is the most important to ensure that effective application controls are maintained?
A. Exception reporting
B. Manager involvement
C. Control self-assessment (CSA)
D. Peer review

Correct Answer: C
Control self-assessment (CSA) merupakan proses manajemen risiko dan pengembangan kontrol untuk mitigasi risiko yang dilakukan sendiri oleh setiap personel dan manejemen perusahaan, dengan memperhatikan risk appetite perusahaan. Dalam CSA, manajemen dan personil sendiri yang melakukan penilaian atas efektifitas manajemen risiko dan kontrol. Umumnya, CSA dengan difasilitasi oleh internal auditor.
Process owners berada dalam posisi ideal untuk mendefinisikan kelayakan controls, karena  mereka memiliki pengetahuan lebih mendalam terkait tujuan proses tersebut. IS auditor membantu process owners untuk memahami kebutuhan untuk controls, berdasarkan risiko-risiko teridentifikasi atas business processes. Personel / pemilik proses, mempergunakan pengetahuan dan pemahamannya terkait fungsi bisnis, untuk membangun kontrol dan kinerja dari kontrol tersebut.

A. Incorrect,

karena exception reporting hanya menganalisis kondisi yang tidak sesuai kriteria (ada deviasi) atau target apa yang belum tercapai. Exception report tidak memberikan informasi adanya kondisi yang salah, kalau tidak ada kriteria yang dibangun dalam aplikasinya. Oleh karena itu, exception report tidak memberikan informasi mengenai efektifitas suatu application control.
Exception report dihasilkan dari suatu program, yang menidentifikasi transaksi atau data yang tampaknya tidak benar/ mencurigakan. Selain identifikasi capaian target, transaksi/ data tersebut termasuk yang di luar predetermined range atau tidak sesuai dengan kriteria yang ditetapkan.
Contoh lain: rentang nomor invoice hari ini mulai dari 12001 s.d. 15045. Jika ada invoice > 15045 teridentifkasi dalam proses pengujian sequencial check, maka invoice tersebut akan ditolak atau diberi catatatan dan lalu dilaporkan dalam exception report..
B. Incorrect,
karena walau dalam CSA keterlibatan manager memang penting, namun keterlibatan manajemen bukan merupakan proses yang konsisten atau tidak well-defined, dibandingkan dengan CSA.
Keterlibatan manejemen dalam kontrol akan sangat tergantung pada integritas dan kapabilitas manajemen, sehingga kalau manajemen berganti, atau siatuasi berubah, maka keterlibatan manajemen bisa menjadi tidak kosisten atau tidak well-defined.
D. Incorrect,
Peer review melibatkan teman sejawat auditor, dan bertujuan untuk menilai mutu pekerjaan dengan cara menguji kesesuaian pekerjaan terhadap suatu standar. Selain itu, peer review kurang melibatkan secara langsung audit specialists dan management.

11. Which of the following is the primary advantage of using computer forensic software for investigation?
A. The preservation of the chain of custody for electronic evidence.
B. Time and cost savings.
C. Efficiency and effectiveness.
D. Ability to search for violations of intellectual property rights.

Correct Answer: A.   
Computer forensics merupakan proses identifikasi, mempertahankan (preserve) rantai kepemilikan (custody), dan menyajikan bukti digital, dengan cara yang dapat diterima secara legal dalam tata acara hukum. Computer forensics termasuk aktifitas yang melibatkan eksplorasi dan penerapan metode untuk mengumpulkan, memproses, menginterprestasikan, dan menggunakan bukti digital, untuk membantu pembuktian apakah suatu tindakan melawan hukum telah terjadi.
Untuk dapat dijadikan bukti didepan hukum, rantai kepemilikan (custody) perlu dijaga secara profesional. Rantai bukti berisi informasi sbb:
1) Siapa yang memiliki akses ke bukti (chronological manner);
2) Prosedur yang ditempuh untuk mengelola bukti (seperti disk duplication, virtual memory dump);
3) Pembuktian bahwa analisis telah didasarkan pada seluruh copies yang identical dengan bukti original (dapat berupa documentation, checksums, timestamps).

B. Incorrect,
karena time dan cost saving merupakan salah satu faktor yang dipertimbangkan dalam memilih dan mengoperasikan paket forensic software, namun hal ini bukanlah manfaat utama dari penggunaan forensic software.
C. Incorrect,
efisiensi dan efektifitas merupakan salah satu faktor yang dipertimbangkan dalam memilih dan mengoperasikan paket forensic software, namun hal ini bukanlah manfaat utama dari penggunaan forensic software.
D. Incorrect,
karena kemampuan untuk mengidentifikasi pelanggaran intellectual property right's merupakan salah satu contoh penggunaan dari forensic software, bukan merupakan manfaat dari forensic software itu sendiri.

12. An IS auditor has imported data from the client's database. The next step - confirming whether the imported data are complete- - is performed by:
A. matching control totals of the imported data to control totals of the original data
B. sorting the data to confirm whether the data are in the same order as the original data.
C. reviewing the printout of the first 100 records of original data with the first 100 records of imported data.
D. filtering data for different categories and matching them to the original data.

Correct Answer: A.
Membandingkan control total dari data yang diimpor dengan control total dari data original, merupakan langkah berikutnya yang logis, karena prosedur ini memkonfirmasi kelengkapan dari data yang diimpor. Control total merupakan prosedur pengendalian input dalam proses batch, terdiri dari 3 control yaitu: record count (total item atau total dokumen), batch contol total (total monetary amount), dan hash total.
Record count – imported data = 112 data; Record count – original data = 112 data.
Kalau tidak control total – imported data = 107 maka, hal ini mengindikasikan ada 5 data yang tidak/ gagal di-impor.

B. Incorrect,
prosedur sorting lebih tepat digunakan untuk sequence check, bukan completeness check. Sequence check yaitu prosedur untuk menguji apakah ada data yang hilang atau kurang diinput. Misal: output = 1, 2, 3, 5, maka data 4 belum diinput, tetapi tidak menguji apakah ada data 6, 7, 8 yang seharusnya diinput.
C. Incorrect,
prosedur review printout 100 record pertama dari data original dengan 100 record pertama dari data import merupakan proses verifikasi fisik dan hanya mengkonfirmasi akurasi atas ke-100 data tersebut saja. Lebih mirip proses rekonsiliasi 100 data pertama, dan tidak menguji kelengkapan.
D. Incorrect,
prosedur penyaringan data ke dalam berbagai kelompok kategori dan membandingkan hasilnya dengan data original, tidak lah cukup. Prosedur ini perlu dilanjutkan dengan prosedur batch control total untuk menguji kelengkapan data. 

13. The vice president of human resources has requested an audit to identify payroll overpayments for the previous year. Which would be the best audit technique to use in this situation? 
A. Test data
B. Generalized audit software
C. Integrated test facility
D. Embedded audit module

Correct Answer: B.
Untuk identifikasi overpayment payroll, maka audit sebaiknya menggunakan generalized audit software (GAS). GAS memiliki banyak menu, termasuk perhitungan matematika, stratification, statistical analysis, sequence checking, duplicate checking, dan recomputation. Dengan menggunakan GAS, IS auditor dapat mendesain pengujian untuk menghitung ulang kalkulasi payroll, oleh karena itu IS auditor dapat menentukan apakah ada overpayment dan kepada siapa overpayment tersebut diberikan. Contoh GAS adalah ACL dan TeamMate.
Misal: dengan GAS, auditor dapat mengidentifkasi:
a. Adanya pembayaran ganda dengan menggunakan menu duplicate checking.
b. Mengidentifikasi adanya jumlah OT yang tidak wajar dengan menggunakan menu stratification atau statistical analysis.
c. Menguji akurasi perhitungan dengan menu recomputation.

A. Incorrect,
test data digunakan untuk menguji integritas program logic dari aplikasi dan efektifitas kontrol aplikasi untuk mencegah terjadinya overpayment. Caranya dengan menggunakan valid dan invalid data yang diinput dalam aplikasi, kemudian hasilnya dibandingkan dengan predetermined expectation.
Misal program logic gaji = (Reg Hrs + (OT Hrs x 1.5) ) x Hourly Rate.
Namun, test data tidak akan mendeteksi perhitungan overpayment yang disengaja, misal OT diinput = 5 hours, padahal seharusnya 3 hours.
C. Incorrect,
pendekatan ITF merupakan teknik otomatis yang membantu auditor untuk menguji program logic dan kontrol dari applikasi, selama proses operasional normal. ITF menggunakan dummy data dan dummy masterfile yang menyatu ke dalam applikasi riil. Hasilnya kemudian dibandingkan dengan predetermined expected result..
Oleh karena itu, integrated test facility (ITF) tidak akan mendeteksi adanya error / overpayment di periode sebelumnya.
D. Incorrect,
embedded audit module (EAM) (dikenal juga sebagai continuous auditing) digunakan untuk mengidentifikasi transaksi-2 penting ketika transaksi tersebut diproses dan kemudian secara riil time, transaksi tersebut di-ekstrak file copy-nya. EAM merupakan modul program yang melekat pada aplikasi aslinya untuk meng-ekstrak transaksi tertentu yang memenuhi parameter tertentu, yang kemudian akan digunakan untuk analisis / pengujian lebih lanjut.
Oleh karena itu, embedded audit module (EAM) tidak akan mendeteksi adanya error / overpayment di periode sebelumnya.

14. During a security audit of IT processes, an IS auditor found that there were no documented security procedures. The IS auditor should:
A. create the procedures document.
B. terminate the audit.
C. conduct compliance testing.
D. identify and evaluate existing practices.

Correct Answer: D.
Salah satu tujuan utama suatu audit adalah untuk mengidentifikasi risiko potensial, yang timbul akibat adanya control deficiency. Oleh karena itu, dalam situasi tersebut, langkah yang paling proaktif adalah IS auditor mengidentifikasi dan mengevaluasi praktek security yang sedang diimplementasikan dalam perusahaan.
Evaluasi yang dilakukan lebih bertujuan untuk menilai efektifitas praktek security yang diterapkan, kemudian auditor mengidentifikasi kelemahan-2 yang ada dalam praktek tersebut, lalu mengidentifikasi potensial risk yang mungkin timbul dari adanya kelemahan tersebut.

A. Incorrect, 
membuat dokumentasi prosedur merupakan tanggung jawab manajemen da IS auditor tidak boleh menyiapkan dokumentasi prosedur sekuriti karena hal ini akan mengganggu independensi IS auditor.
B. Incorrect, 
menghentikan audit akan membuat tidak tercapainya salah satu tujuan utama dari audit, yaitu identifikasi risiko potensial yang diakibatkan dari adanya control deficiency.
C. Incorrect, 
karena tidak ada dokumentasi prosedur security, maka tidak ada basis kriteria bagi IS Auditor untuk melakukan pengujian kepatuhan.

15. In the course of performing a risk analysis, an IS auditor has identified threats and potential impacts. Next, the IS auditor should:
A. identify and assess the risk assessment process used by management.
B. identify information assets and the underlying systems.
C. disclose the threats and impacts to management.
D. identify and evaluate the existing controls.

Correct Answer: D.
Dalam menilai IT risk management, tahapan yang dilakukan oleh IS auditor adalah:
1) Identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan. Misal: framework COBIT.
2) Menilai efektifitas proses indentifkasi dan klasifikasi informasi dan sistem yang menghasilkan informasi tersebut, yang membutuhkan proteksi karena informasi dan sistem bersifat kritis atau sensitif atau benilai material, terkait dengan pencapaian tujuan sistem informasi/ perusahaan.
3) Menilai efektifitas proses penilaian threats dan vulnerabilities (kombinasinya menghasilkan = impact), yang terkait dengan aset informasi dan sistem, serta tingkat kemungkinan keterjadian (likelihood)  dari impact tersebut. Tingkat resiko dihitung = impact x likelihood.
4) Menilai kecukupan dan efektifitas existing control atau kontrol yang dibangun untuk memitigasi risk / residual risk yang di atas risk appetite perusahaan.
Oleh karena itu, setelah menilai efektifitas penilaian threats dan impact, kemudian IS auditor menilai kecukupan dan efektifitas existing control untuk memitigasi risk/ residual risk yang diatas risk appetite perusahaan. 

A. Incorrect,
identifikasi dan menilai kesesuaian desain risk management dibandingkan dengan framework yang digunakan, merupakan langkah pertama.
B. Incorrect,
identifikasi aset informasi dan sistem terkait, merupakan langkah kedua sebelum proses penilaian efektifitas proses penilaian threats dan vulnerabilities.
C. Incorrect,
diskusi mengenai kecukupan dan efektifitas penilaian threats dan impact dengan manajemen, dilakukan saat proses audit atau saat exit meeting, tergantung tingkat urgensinya.

16. Which of the following should be of most concern to an IS auditor?
A. Lack of reporting of a successful attack on the network.
B. Failure to notify police of an attempted intrusion.
C. Lack of periodic examination of access rights.
D. Lack of notification to the public of an intrusion..

Correct Answer: A.
Ketika perusahaan mengetahui adanya successfull attack ke dalam network perusahaan, namun perusahaan sengaja tidak melaporkan serangan tersebut, maka hal ini dipandang sebagai kesalahan profesional yang disengaja.

B. Incorrect,
prosedur notifikasi kepada pihak polisi terkait percobaan intrusion, tergantung pada kebijakan perusahaan dan peraturan/ketentuan yang berlaku. Selain itu, masukan dari divisi hukum perlu diperoleh sebelum memutuskan untuk membuat laporan ke polisi.
C. Incorrect,
ketiadaan pengujian periodik atas hak akses merupakan bentuk control deficiency yang signifikan (ketiadaan kontrol atau ketidakefektifan kontrol). Kondisi ini belum tentu menunjukan memang ada pelanggaran hak akses, sehingga belum tentu ada kesalahan  profesional.
Namun jika ternyata ada pelanggaran riil hak akses, dan perusahaan tidak melaporkan, maka hal ini juga merupakan kesalahan profesional yang disengaja.
D. Incorrect,
pelaporan ke publik tergantung kepada kebijakan perusahaan dan peraturan/ ketentuan yang berlaku. Untuk perusahaan sosial media yang menyangkut publik seperti Facebook atau Yahoo dipersyaratkan untuk mempublikasikan adanya percobaan intrusion ke dalam sistem mereka.

17. Which of the following would normally be the most reliable evidence for an IS auditor:
A. A confirmation letter received from a third party verifying an account balance.
B. Assurance from line management that an application is working as designed.
C. Trend data obtained from World Wide Web (internet) sources.
D. Ratio analysis developed by the IS auditor from reports supplied by line management.

Correct Answer: A.

Bukti yang diperoleh langsung oleh auditor dari pihak ketiga independen dipandang sebagai bukti yang paling reliable. Contohnya: surat respon konfirmasi piutang dan rekening koran yang diberikan oleh bank klien langsung kepada auditor.
Simpulan auditor harus didukung oleh bukti yang persuasif, yaitu bukti yang relevan, reliable, dan cukup. Bukti yang reliable adalah bukti yang memiliki tingkat kepercayaan yang tinggi. Tingkat kepercayaan tersebut ditentukan oleh:
1) Independensi dari penyedia bukti. Bukti yang diprodusksi dan diperoleh dari pihak III lebih reliable daripada bukti yang diproduksi dan diperoleh dari pihak manajemen.
2) Efektifitas internal control klien. Semakin efektif internal kontrol klien, maka semakin reliable bukti yang diperoleh.
3) Pengetahuan langsung oleh auditor. Bukti yang diperoleh secara langsung oleh auditor melalui physical examination, observation, recalculation, and inspection, lebih reliabel daripada bukti yang tidak diperoleh langsung oleh auditor.
4) Kualifikasi pihak penyedia informasi. Semakin qualified penyedia informasi maka semakin reliabel bukti yang diperoleh. Misal bukti pengetahuan langsung oleh auditor yang kompeten lebih reliable daripada dengan bukti pengetahuan langsung oleh auditor yang tidak kompeten.
5) Tingkat objektifitas. Bukti yang objektif adalah bukti yang tidak didasarkan pada pertimbangan individu. Contoh bukti objektif: perhitungan kas opname, sedangkan contoh bukti subjektif: jawaban tertulis dari pengacara klien.
6) Timeliness. Timeliness bisa bermakna: kapan bukti tersebut diakumulasi atau lingkup periode dari bukti. Misal 1: perhitungan marketable securities pada tanggal Laporan Posisi Keuangan lebih reliable daripada perhitungan 2 bulan sebelumnya. Misal 2: untuk menguji kelengkapan, bukti transasksi yang diuji menyangkut seluruh bulan dalam periode audit, lebih reliable dari bukti transaksi dari bulan tertentu saja.

B. Incorrect,
assurance dari line management merupakan bukti yang diperoleh dari pihak internal, sehingga kurang reliable.
C. Incorrect,
trend data yang diperoleh dari sumber World Wide Web (internet) merupakan bukti prosedur analitis yang memerlukan interprestasi individu (subjektif) dan perlu dikolaborasi dengan bukti lainnya, serta kualifikasi penyedia data masih perlu diuji lagi, sehingga bukti tersebut kurang reliable.
D. Incorrect,
ratio analysis yang dikembangkan oleh IS auditor dari laporan yang diperoleh dari line management, merupakan bukti prosedur analitis yang memerlukan interprestasi individu (subjektif) dan perlu dikolaborasi dengan bukti lainnya, serta datanya diperoleh dari pihak internal, sehingga bukti tersebut kurang reliable.

18. When evaluating the collective effect of preventive, detective, or corrective controls within a process, an IS auditor should be aware of which of the following:
A. The point at which controls are exercised as data flow through the system.
B. Only preventive and detective controls are relevant.
C. Corrective controls can only be regarded as compensating.
D. Classification allows an IS auditor to determine which controls are missing.

Correct Answer: A.
IS Auditor seharusnya fokus pada saat kapan kontrol-kontrol tersebut diterapkan ketika data mengalir masuk ke dalam sistem komputer.
Preventive control: pengendalian yang berfungsi untuk mencegah terjadinya suatu error, omission atau tindakan curang/fraud (belum terjadi). Contoh: validasi data input dan segregation of functions.
Detective control: pengendalian yang berfungsi untuk mendeteksi dan melaporkan kejadian suatu error, omission atau tindakan curang/fraud (telah terjadi). Contoh: reviu atas activity logs untuk mendeteksi adanya percobaan unauthorized access.
Corrective control: pengendalian yang berfungsi untuk memodifikasi atau menciptakan suatu sistem/prosedur untuk meminimalkan terulangnya kembali error, omission atau tindakan curang/fraud di masa mendatang. Contoh: contingency planning yang diterapkan, ketika kontrol utama tidak berjalan.

B. Incorrect,
karena ketika evaluasi efek kumulatif dari kontrol, maka baik preventif, detektif, dan corrective control, semuanya menjadi relevan.
C. Incorrect,
karena corrective control menghilangkan atau mengurangi dampak dari error atau irregularities dan dapat dikategorikan sebagai compensating controls
Compensating controls merupakan internal controls yang dimaksudkan untuk meminimalkan risiko dari kelemahan yang ada atau potensial dari sistem kontrol, ketika fungsi-2 tidak dapat dipisahkan secara memadai. Ketika ada kelemahan segregation of duties, maka buat compensating control dengan cara membuat detective control. Contoh: rekonsiliasi dan transactions log.
D. Incorrect,
karena dalam evaluasi efek kumulatif dari kontrol, yang penting adalah keberadaan dan fungsi dari kontrol, bukan klasifikasi dari kontrol itu.

19. Which audit technique provides the best evidence of the segregation of duties in an IS department?
A. Discussion with management.
B. Review of the organization chart
C. Observation and interviews
D. Testing of user access rights

Correct Answer: C.
Dengan melakukan observasi atas pelaksanaan fungsi/tugas IS staff, maka IS Auditor dapat mengidentifikasi apakah IS staff telah melaksanakan fungsi yang incompatible, dan dengan melakukan interview IS staff, maka IS Auditor dapat memperoleh pemahaman mengenai fungsi/ tugas IS staff. Berdasarkan observasi dan interview tersebut, IS auditor dapat mengevaluasi kelayakan suatu segregation of duties.
Observasi merupakan prosedur audit dengan cara melakukan pengamatan atas kegiatan riil, lalu hasil pengamatan tersebut dibandingkan dengan SOP kegiatan tersebut. Interview IS staff merupakan prosedur audit dengan cara mengajukan pertanyaan lisan atau verbal, dengan tujuan untuk memperoleh informasi suatu fakta atau penjelasan detail atas suatu data/informasi.
Segregation of duties merupakan salah satu prinsip sistem kontrol, dimana beberapa fungsi tidak boleh dikerjakan oleh satu orang. Fungsi yang harus dikerjakan oleh orang terpisah adalah:
1) Pengelolaan fisik aset (custody of the assets)
2) Otorisasi transaksi/ dokumen (authorization)
3) Pencatatan transaksi (recording transactions).
Segregation of duties mencegah terjadinya praktek fraudulent /malicious. Walaupun secara prinsip ada kesamaan, pemisahan fungsi dalam sistem manual berbeda dengan sistem informasi, dimana pemisahan fungsi di IS akan kurang terlihat dibandingkan dengan di manual sistem. Contoh: Sistem ERP bisa melakukan fungsi otorisasi permintaan pembelian (otorisasi), mencatat inventory masuk (recording), dan mengelola database (fisik informasi)
Contoh pemisahan fungsi dalam lingkungan sistem informasi, adalah:
a) Pemisahan systems development dari sistem testing dan computer operations.
b) Pemisahan database administration dari other functions.
c) Pemisahan programmer dan pemeliharaan dengan operator komputer.

A. Incorrect,
karena management biasanya tidak paham secara detail mengenai fungsi dari setiap pegawainya dalam IS departement. Maka, diskusi dengan manajemen hanya akan memberikan informasi terbatas, terkait dengan segregation of duties.
B. Incorrect,
organization chart tidak menyediakan informasi yang cukup detail untuk penilaian kecukupan pemisahan fungsi.
D. Incorrect,
pengujian hak akses user akan memberikan informasi mengenai hak yang dimiliki user di dalam suatu IS System, namun tidak memberikan informasi yang cukup mengenai fungsi yang mereka laksanakan.

20. After reviewing the disaster recovery plan (DRP) of an organization, an IS auditor requests a meeting with company management to discuss the findings. Which of the following best describes the main goal of this meeting?
A. Obtaining management approval of the corrective actions
B. Confirming factual accuracy of the findings
C. Assisting management in the implementation of corrective actions
D. Clarifying the scope and limitations of the audit

Correct Answer: B.
Tujuan dari pertemuan tersebut adalah untuk mengkonfirmasi akurasi fatual dari audit finding dan memberikan kesempatan bagi management untuk menanggapi dengan usulan tindakan koreksi dari IS auditor.
Tujuan dari suatu exit meeting adalah:
a. Mengkonfirmasi bahwa fakta-fakta yang dikumpulkan dan disajkan telah benar.
b. Meyakinkan bahwa rekomendasi dipertimbangkan realistik dan cost-effective, dan jika tidak, maka dicari alternatifnya dengan cara negosiasi dengan manajemen klien.
c. Mempresentasikan rekomendasi dan tanggal implementasi atas rekomendasi yang disepakati.

A. Incorrect,
karena memang suatu finding dan corrective action-nya sebaiknya disepakati bersama antara IS auditor dan manajemen, agar rekomendasi dapat ditindaklanjuti dan hubungan baik dengan manajemen tetap terjaga. Namun, persetujuan manajemen atas suatu corrective action bukan suatu keharusan, dan jika terdapat ketidaksepakatan, maka baik pernyataan posisi IS auditor dan manajemen diuraikan dalam laporan hasil audit.
C. Incorrect,
implementasi tindakan koreksi seharusnya dilakukan setelah exit meeting, di mana akurasi atas finding telah dikonfirmasi, dan manajemen telah memberikan tanggapan atas usulan tindakan koreksi dari IS Auditor. Selain itu, IS auditor tidak boleh mengimplementasi tindakan koreksi, karena hal ini akan mengganggu independensi auditor.
D. Incorrect,
pembahasan dan klarifikasi lingkup dan pembatasan penugasan audit seharusnya dibahas dan disepakati dengan manajemen saat entry meeting, bukan pada saat exit meeting.

No comments:

Post a Comment