MSIM4305 — Manajemen Risiko Dan Audit Sistem Informasi

Akuntansi Keungan Pblk 50 soal

1. Kontrol dalam sistem informasi berfungsi untuk memastikan bahwa sistem informasi berjalan sesuai dengan tujuan organisasi. Yang dimaksud dengan kontrol preventif adalah…

  • A. Kontrol yang mendeteksi kesalahan setelah terjadi dalam proses pengolahan data
  • B. Kontrol yang dirancang untuk mencegah terjadinya kesalahan atau penyimpangan sebelum terjadi
  • C. Kontrol yang dilakukan untuk memperbaiki kesalahan yang sudah terjadi dalam sistem
  • D. Kontrol yang mengawasi jalannya sistem secara berkala setelah sistem berjalan
Jawaban: B. Kontrol preventif adalah jenis kontrol yang bertujuan mencegah kesalahan atau kecurangan terjadi sejak awal, bukan setelah kejadian berlangsung.

2. Dalam konteks audit sistem informasi, yang dimaksud dengan “auditee” adalah…

  • A. Pihak atau organisasi yang menjadi objek pemeriksaan oleh auditor
  • B. Pihak yang melaksanakan kegiatan pemeriksaan terhadap sistem informasi
  • C. Lembaga yang mengeluarkan standar audit sistem informasi secara internasional
  • D. Dokumen hasil pemeriksaan yang diterbitkan setelah proses audit selesai
Jawaban: A. Auditee adalah entitas yang diperiksa dalam proses audit, sedangkan pihak yang melakukan pemeriksaan disebut auditor.

3. Teknologi audit mencakup berbagai alat bantu yang digunakan auditor dalam melaksanakan tugasnya. Salah satu pemanfaatan teknologi dalam audit adalah penggunaan perangkat lunak audit yang dikenal dengan istilah…

  • A. ERP (Enterprise Resource Planning)
  • B. DSS (Decision Support System)
  • C. CAAT (Computer Assisted Audit Techniques)
  • D. MIS (Management Information System)
Jawaban: C. CAAT adalah teknik audit berbantuan komputer yang digunakan auditor untuk menganalisis data dan meningkatkan efisiensi serta efektivitas proses audit.

4. Fungsi manajemen dalam audit sistem informasi mencakup perencanaan, pengorganisasian, dan pengendalian. Dalam konteks ini, fungsi manajemen audit sistem informasi yang berkaitan dengan penetapan tujuan dan ruang lingkup audit disebut…

  • A. Fungsi pengendalian audit
  • B. Fungsi pengorganisasian audit
  • C. Fungsi pelaksanaan audit
  • D. Fungsi perencanaan audit
Jawaban: D. Fungsi perencanaan audit mencakup penetapan tujuan, ruang lingkup, dan metodologi yang akan digunakan selama proses audit berlangsung.

5. Audit sistem informasi mencakup pemeriksaan terhadap berbagai aspek teknologi informasi. Aspek yang menjadi fokus utama dalam audit sistem informasi adalah…

  • A. Kepatuhan karyawan terhadap peraturan ketenagakerjaan perusahaan
  • B. Keandalan, keamanan, dan efektivitas sistem informasi yang digunakan organisasi
  • C. Kinerja keuangan dan laporan laba rugi perusahaan secara keseluruhan
  • D. Strategi pemasaran dan pengembangan produk baru organisasi
Jawaban: B. Audit sistem informasi berfokus pada penilaian keandalan, keamanan, integritas data, serta efektivitas pengelolaan sistem informasi dalam mendukung tujuan organisasi.

6. Dalam fungsi audit sistem informasi, seorang auditor perlu memiliki kompetensi khusus. Kompetensi yang WAJIB dimiliki auditor sistem informasi adalah…

  • A. Kemampuan merancang perangkat lunak aplikasi bisnis dari awal
  • B. Keahlian dalam mengelola proyek pengembangan sistem informasi baru
  • C. Pemahaman tentang teknologi informasi, pengendalian internal, dan metodologi audit
  • D. Kemampuan teknis dalam membangun infrastruktur jaringan komputer
Jawaban: C. Auditor sistem informasi harus menguasai kombinasi antara pengetahuan teknologi informasi, konsep pengendalian internal, serta metodologi audit agar dapat menjalankan tugasnya secara efektif.

7. Risiko sistem informasi dapat didefinisikan sebagai kemungkinan terjadinya kerugian akibat kelemahan atau ancaman pada sistem informasi. Jenis risiko yang berkaitan dengan kegagalan sistem dalam memproses transaksi secara akurat disebut…

  • A. Risiko integritas data
  • B. Risiko ketersediaan sistem
  • C. Risiko akses tidak sah
  • D. Risiko kepatuhan regulasi
Jawaban: A. Risiko integritas data berkaitan dengan kemungkinan terjadinya kesalahan, ketidakakuratan, atau manipulasi data selama proses pengolahan transaksi dalam sistem informasi.

8. Dalam konsep audit, istilah “materialitas” mengacu pada…

  • A. Jenis bahan dan perangkat fisik yang digunakan dalam proses audit
  • B. Jumlah auditor yang ditugaskan untuk melaksanakan proses audit
  • C. Tingkat kelengkapan dokumentasi yang dihasilkan selama proses audit
  • D. Ambang batas signifikansi suatu temuan yang dapat mempengaruhi keputusan pengguna laporan
Jawaban: D. Materialitas dalam audit merujuk pada ambang batas di mana suatu temuan atau kesalahan dianggap cukup signifikan untuk memengaruhi keputusan pihak yang bergantung pada laporan audit.

9. Sebuah perusahaan mengalami gangguan sistem informasi akibat serangan siber yang menyebabkan data pelanggan bocor. Dari perspektif manajemen risiko sistem informasi, kondisi ini merupakan contoh dari…

  • A. Risiko operasional akibat kesalahan prosedur internal perusahaan
  • B. Risiko keamanan informasi yang berdampak pada kerahasiaan data
  • C. Risiko kepatuhan yang timbul dari pelanggaran peraturan keuangan
  • D. Risiko strategis akibat kebijakan manajemen puncak yang tidak tepat
Jawaban: B. Serangan siber yang mengakibatkan kebocoran data pelanggan merupakan wujud nyata risiko keamanan informasi, khususnya ancaman terhadap aspek kerahasiaan (confidentiality) data.

10. Konsep audit yang mengharuskan auditor untuk tidak memihak kepada siapapun dalam proses pemeriksaan disebut…

  • A. Kompetensi profesional
  • B. Kerahasiaan informasi
  • C. Independensi auditor
  • D. Integritas laporan
Jawaban: C. Independensi auditor merupakan prinsip dasar dalam audit yang mengharuskan auditor bersikap objektif dan tidak memihak kepada pihak manapun selama proses pemeriksaan berlangsung.

11. ISACA adalah organisasi internasional yang menerbitkan standar audit sistem informasi. Kepanjangan dari ISACA adalah…

  • A. Information Systems Audit and Control Association
  • B. International Standards for Auditing and Compliance Association
  • C. Information Security and Audit Certification Authority
  • D. Institute of Systems Auditors and Control Administrators
Jawaban: A. ISACA adalah singkatan dari Information Systems Audit and Control Association, organisasi global yang menerbitkan standar, panduan, dan kerangka kerja untuk audit dan pengendalian sistem informasi.

12. Standar audit sistem informasi yang diterbitkan oleh ISACA berfungsi sebagai acuan dalam pelaksanaan audit TI. Standar ini dikenal dengan nama…

  • A. ISO 27001
  • B. NIST Cybersecurity Framework
  • C. ITIL Service Management
  • D. ITAF (IT Assurance Framework)
Jawaban: D. ITAF atau IT Assurance Framework adalah kerangka kerja komprehensif yang diterbitkan ISACA sebagai panduan standar dalam pelaksanaan audit sistem informasi secara profesional.

13. Pedoman audit sistem informasi versi ISACA menekankan pentingnya pendekatan berbasis risiko dalam audit. Hal ini berarti auditor harus…

  • A. Memeriksa seluruh transaksi dan data tanpa terkecuali dalam setiap siklus audit
  • B. Memfokuskan sumber daya audit pada area dengan risiko tinggi yang berpotensi signifikan
  • C. Mengutamakan pemeriksaan aspek teknis infrastruktur dibanding aspek pengendalian
  • D. Melaporkan semua temuan tanpa mempertimbangkan tingkat signifikansinya
Jawaban: B. Pendekatan berbasis risiko mengharuskan auditor untuk mengalokasikan perhatian dan sumber daya auditnya secara proporsional sesuai dengan tingkat risiko yang teridentifikasi pada masing-masing area.

14. Standar audit ISACA mengatur tiga tingkatan dokumen panduan yang terdiri dari standar, panduan, dan prosedur. Yang membedakan “standar” dari “panduan” dalam hierarki dokumen ISACA adalah…

  • A. Standar bersifat sukarela sedangkan panduan bersifat wajib diikuti auditor
  • B. Standar diterbitkan untuk kalangan internal ISACA sedangkan panduan untuk publik umum
  • C. Standar bersifat wajib dan mengikat sedangkan panduan bersifat rekomendasi praktik terbaik
  • D. Standar hanya berlaku untuk audit keuangan sedangkan panduan berlaku untuk audit TI
Jawaban: C. Dalam hierarki dokumen ISACA, standar audit bersifat wajib diterapkan oleh anggota profesional ISACA, sedangkan panduan merupakan pedoman yang membantu implementasi namun tidak bersifat mengikat.

15. Pengendalian internal dalam sistem informasi dirancang untuk melindungi aset organisasi dan memastikan keandalan informasi. Komponen pengendalian internal menurut kerangka COSO yang berkaitan dengan nilai-nilai dan budaya organisasi adalah…

  • A. Lingkungan pengendalian (control environment)
  • B. Penilaian risiko (risk assessment)
  • C. Aktivitas pengendalian (control activities)
  • D. Pemantauan (monitoring)
Jawaban: A. Lingkungan pengendalian merupakan fondasi dari seluruh komponen pengendalian internal COSO yang mencerminkan sikap manajemen, etika, nilai, dan budaya organisasi terhadap pengendalian.

16. Pemisahan tugas (segregation of duties) merupakan salah satu prinsip penting dalam pengendalian internal. Tujuan utama dari penerapan pemisahan tugas adalah…

  • A. Meningkatkan produktivitas karyawan dengan spesialisasi pekerjaan secara sempit
  • B. Mempercepat proses bisnis dengan membagi pekerjaan kepada lebih banyak staf
  • C. Menyederhanakan alur kerja agar lebih mudah dipahami oleh semua karyawan
  • D. Mencegah terjadinya kecurangan dengan memastikan tidak ada satu orang yang mengendalikan seluruh proses
Jawaban: D. Pemisahan tugas dirancang agar tidak ada individu tunggal yang memiliki wewenang penuh atas seluruh tahapan suatu transaksi, sehingga mengurangi peluang terjadinya kecurangan atau kesalahan.

17. Pertimbangan tambahan dalam konsep pengendalian internal mencakup aspek yang melampaui pengendalian dasar. Salah satu pertimbangan tambahan yang penting dalam lingkungan sistem informasi berbasis komputer adalah…

  • A. Pembuatan struktur organisasi yang hierarkis dan formal
  • B. Pengendalian akses logis terhadap sistem dan data yang tersimpan
  • C. Penetapan target kinerja finansial untuk setiap unit bisnis
  • D. Penyusunan kebijakan sumber daya manusia dan rekrutmen karyawan
Jawaban: B. Dalam lingkungan komputerisasi, pengendalian akses logis merupakan pertimbangan tambahan yang kritis untuk memastikan hanya pengguna yang berwenang yang dapat mengakses sistem dan data organisasi.

18. Seorang auditor TI menemukan bahwa perusahaan tidak memiliki prosedur backup data yang terdokumentasi. Berdasarkan konsep pengendalian internal, temuan ini mencerminkan kelemahan pada komponen…

  • A. Penilaian risiko organisasi
  • B. Lingkungan pengendalian manajemen
  • C. Aktivitas pengendalian operasional
  • D. Informasi dan komunikasi internal
Jawaban: C. Prosedur backup data merupakan bagian dari aktivitas pengendalian yang harus diterapkan secara operasional untuk melindungi ketersediaan data, sehingga ketiadaan prosedur ini menunjukkan kelemahan pada komponen aktivitas pengendalian.

19. Manajemen risiko sistem informasi bertujuan untuk mengidentifikasi, menilai, dan mengelola risiko yang berkaitan dengan teknologi informasi. Urutan proses manajemen risiko yang benar adalah…

  • A. Identifikasi risiko, analisis risiko, evaluasi risiko, perlakuan risiko
  • B. Analisis risiko, identifikasi risiko, perlakuan risiko, evaluasi risiko
  • C. Evaluasi risiko, identifikasi risiko, analisis risiko, perlakuan risiko
  • D. Perlakuan risiko, identifikasi risiko, evaluasi risiko, analisis risiko
Jawaban: A. Proses manajemen risiko dimulai dari identifikasi risiko yang ada, kemudian dianalisis tingkat dampak dan kemungkinannya, dievaluasi prioritasnya, lalu ditentukan perlakuan yang tepat untuk mengelola risiko tersebut.

20. Fungsi sistem informasi dalam manajemen risiko antara lain adalah menyediakan data yang dibutuhkan untuk pengambilan keputusan. Dalam konteks manajemen risiko, fungsi sistem informasi yang berperan dalam pemantauan risiko secara berkelanjutan disebut…

  • A. Sistem pemrosesan transaksi harian
  • B. Sistem pendukung keputusan strategis
  • C. Sistem manajemen basis data relasional
  • D. Sistem informasi eksekutif untuk pemantauan indikator risiko
Jawaban: D. Sistem informasi eksekutif menyediakan informasi ringkasan dan indikator kunci yang memungkinkan manajemen memantau perkembangan risiko secara real-time untuk mendukung pengambilan keputusan.

21. Manajemen risiko dan pengembangan sistem informasi memiliki keterkaitan yang erat. Pada tahap pengembangan sistem baru, risiko yang paling umum dihadapi organisasi adalah…

  • A. Risiko kenaikan harga perangkat keras komputer di pasaran
  • B. Risiko kegagalan proyek akibat pembengkakan biaya dan waktu yang tidak terkendali
  • C. Risiko kehilangan pelanggan akibat perubahan strategi pemasaran
  • D. Risiko perubahan kebijakan pemerintah terhadap industri teknologi
Jawaban: B. Dalam pengembangan sistem informasi, risiko proyek seperti cost overrun dan schedule overrun merupakan risiko paling umum yang perlu dikelola agar proyek dapat diselesaikan sesuai rencana.

22. Dalam manajemen risiko sistem informasi, ancaman (threat) dan kerentanan (vulnerability) merupakan dua konsep yang saling berkaitan. Yang dimaksud dengan kerentanan dalam konteks ini adalah…

  • A. Pihak eksternal yang berniat melakukan serangan terhadap sistem informasi
  • B. Dampak finansial yang ditimbulkan akibat gangguan pada sistem informasi
  • C. Kelemahan pada sistem yang dapat dieksploitasi oleh ancaman untuk menyebabkan kerugian
  • D. Probabilitas terjadinya insiden keamanan dalam rentang waktu tertentu
Jawaban: C. Kerentanan (vulnerability) adalah celah atau kelemahan yang terdapat pada sistem, proses, atau lingkungan yang jika dieksploitasi oleh ancaman dapat mengakibatkan kerugian bagi organisasi.

23. Rencana audit TI secara umum disusun untuk memberikan arah dan cakupan kegiatan audit. Salah satu elemen wajib yang harus tercantum dalam rencana audit TI adalah…

  • A. Tujuan audit, ruang lingkup, metodologi, dan jadwal pelaksanaan
  • B. Daftar nama seluruh karyawan yang akan diwawancara selama audit berlangsung
  • C. Anggaran belanja modal untuk infrastruktur TI di tahun mendatang
  • D. Rincian teknis arsitektur jaringan dan spesifikasi perangkat keras yang digunakan
Jawaban: A. Rencana audit TI harus memuat setidaknya tujuan yang ingin dicapai, ruang lingkup pemeriksaan, metodologi yang digunakan, dan jadwal pelaksanaan agar audit dapat berjalan terarah dan terstruktur.

24. Tahapan rinci dari perencanaan audit sistem informasi mencakup beberapa langkah yang harus dilakukan secara berurutan. Langkah pertama yang dilakukan auditor sebelum menyusun rencana audit adalah…

  • A. Menyusun laporan audit pendahuluan untuk manajemen
  • B. Melaksanakan pengujian pengendalian pada sistem yang akan diaudit
  • C. Menetapkan anggaran biaya yang dibutuhkan selama proses audit
  • D. Memahami bisnis dan lingkungan organisasi yang akan diaudit
Jawaban: D. Sebelum menyusun rencana audit, auditor harus terlebih dahulu memperoleh pemahaman mendalam tentang bisnis, lingkungan operasional, dan konteks organisasi agar rencana audit yang dibuat relevan dan efektif.

25. Dalam perencanaan audit sistem informasi, auditor melakukan penilaian risiko awal untuk menentukan area yang perlu mendapat perhatian lebih. Dokumen yang dihasilkan dari tahap perencanaan ini dan menjadi panduan bagi tim audit disebut…

  • A. Laporan audit final yang berisi kesimpulan dan rekomendasi
  • B. Program audit atau audit program yang memuat prosedur pengujian
  • C. Kertas kerja audit yang memuat bukti dan temuan pemeriksaan
  • D. Surat penugasan audit dari manajemen kepada tim auditor
Jawaban: B. Program audit adalah dokumen yang disusun dari hasil perencanaan audit, berisi prosedur dan langkah-langkah pengujian yang akan dilakukan tim auditor sebagai panduan selama pelaksanaan audit.

26. Proses manajemen audit sistem informasi mencakup kegiatan yang memastikan audit berjalan sesuai rencana. Yang dimaksud dengan “audit universe” dalam konteks perencanaan manajemen audit adalah…

  • A. Keseluruhan anggaran yang dialokasikan untuk seluruh kegiatan audit dalam satu tahun
  • B. Kumpulan standar internasional yang digunakan sebagai acuan pelaksanaan audit
  • C. Keseluruhan area, proses, dan objek yang berpotensi menjadi subjek audit dalam suatu organisasi
  • D. Jaringan auditor eksternal yang dapat dilibatkan dalam pelaksanaan audit besar
Jawaban: C. Audit universe mencakup semua entitas, proses, sistem, dan area yang dapat diaudit dalam suatu organisasi, yang menjadi dasar penyusunan rencana audit tahunan berdasarkan prioritas risiko.

27. Dalam melaksanakan pekerjaan audit TI, auditor mengumpulkan bukti audit untuk mendukung kesimpulannya. Bukti audit yang diperoleh langsung dari pengamatan auditor terhadap kegiatan yang sedang berlangsung disebut bukti…

  • A. Bukti fisik dari observasi langsung
  • B. Bukti dokumenter dari arsip perusahaan
  • C. Bukti testimonial dari wawancara personel
  • D. Bukti analitis dari perhitungan dan perbandingan data
Jawaban: A. Bukti fisik diperoleh melalui pengamatan langsung auditor terhadap objek, kejadian, atau kondisi nyata yang terjadi, dan merupakan salah satu jenis bukti audit yang kuat karena bersifat faktual.

28. Dalam pelaksanaan pekerjaan audit TI, auditor perlu mendokumentasikan seluruh proses dan temuan audit. Dokumen yang berfungsi sebagai catatan resmi yang membuktikan pekerjaan audit telah dilaksanakan disebut…

  • A. Laporan audit internal yang ditujukan kepada direksi perusahaan
  • B. Surat representasi manajemen yang ditandatangani auditee
  • C. Notulen rapat koordinasi antara auditor dan manajemen
  • D. Kertas kerja audit yang memuat prosedur, bukti, dan kesimpulan
Jawaban: D. Kertas kerja audit adalah dokumentasi formal yang mencatat seluruh prosedur yang dilakukan, bukti yang dikumpulkan, dan kesimpulan yang dicapai auditor, sehingga menjadi dasar laporan audit.

29. Pelaporan audit merupakan tahap akhir dari proses audit yang mengomunikasikan hasil pemeriksaan kepada pihak yang berkepentingan. Karakteristik laporan audit yang baik antara lain adalah…

  • A. Menggunakan bahasa teknis yang sangat spesifik agar hanya dapat dipahami oleh auditor
  • B. Objektif, akurat, jelas, ringkas, konstruktif, dan tepat waktu
  • C. Memuat seluruh detail teknis sistem informasi tanpa memfilter informasi yang tidak relevan
  • D. Menyertakan opini pribadi auditor tentang kinerja manajemen perusahaan
Jawaban: B. Laporan audit yang berkualitas harus memenuhi karakteristik seperti objektif, akurat dalam menyajikan fakta, jelas dipahami pembaca, ringkas, memberikan rekomendasi konstruktif, dan disampaikan tepat waktu.

30. Pelaporan interim dalam audit sistem informasi diterbitkan sebelum laporan akhir audit selesai. Tujuan utama dari penerbitan laporan interim adalah…

  • A. Menggantikan laporan audit akhir apabila proses audit tidak dapat diselesaikan
  • B. Memberikan tagihan biaya audit sementara kepada pihak yang diaudit
  • C. Menyampaikan temuan penting atau kritis yang memerlukan tindakan segera sebelum audit selesai
  • D. Meminta persetujuan auditee atas rencana dan metodologi audit yang akan digunakan
Jawaban: C. Laporan interim diterbitkan ketika auditor menemukan kondisi kritis yang perlu segera ditangani manajemen tanpa menunggu selesainya seluruh proses audit, sehingga tindakan korektif dapat diambil sesegera mungkin.

31. Kontrol aplikasi dalam sistem informasi berbeda dengan kontrol umum. Kontrol aplikasi adalah…

  • A. Pengendalian yang berlaku untuk seluruh lingkungan TI secara menyeluruh
  • B. Kebijakan keamanan fisik yang diterapkan pada ruang server perusahaan
  • C. Prosedur pengamanan jaringan komunikasi data antar cabang perusahaan
  • D. Pengendalian yang diterapkan spesifik pada proses input, pengolahan, dan output suatu aplikasi
Jawaban: D. Kontrol aplikasi adalah pengendalian yang dirancang dan diterapkan khusus dalam suatu aplikasi untuk memastikan akurasi, kelengkapan, dan keabsahan data yang diproses dalam aplikasi tersebut.

32. Dalam audit sistem informasi, auditor mengkaji pengendalian umum TI (IT general controls). Yang termasuk dalam kategori pengendalian umum TI adalah…

  • A. Pengendalian perubahan program, keamanan logis, dan operasi komputer
  • B. Validasi input data pada formulir entri transaksi penjualan
  • C. Pengecekan total batch dalam pemrosesan data penggajian karyawan
  • D. Rekonsiliasi output laporan keuangan dengan data buku besar
Jawaban: A. Pengendalian umum TI mencakup pengendalian yang berlaku di seluruh lingkungan TI seperti manajemen perubahan program, pengendalian akses logis, dan pengelolaan operasi komputer, bukan pengendalian spesifik per aplikasi.

33. Audit sistem informasi dapat dikategorikan berdasarkan tujuannya. Jenis audit yang bertujuan menilai apakah sistem informasi yang dibangun sesuai dengan spesifikasi dan kebutuhan pengguna disebut…

  • A. Audit kepatuhan terhadap peraturan dan regulasi yang berlaku
  • B. Audit pengembangan sistem atau audit pascaimplementasi
  • C. Audit operasional untuk menilai efisiensi proses bisnis
  • D. Audit forensik untuk menyelidiki dugaan kecurangan digital
Jawaban: B. Audit pengembangan sistem dilakukan untuk memastikan bahwa sistem yang dibangun memenuhi spesifikasi teknis dan kebutuhan fungsional pengguna, serta dapat berfungsi sebagaimana dimaksudkan.

34. Dalam proses manajemen risiko, perlakuan risiko (risk treatment) dapat dilakukan dengan beberapa cara. Strategi perlakuan risiko di mana organisasi memutuskan untuk tidak melanjutkan kegiatan yang menghasilkan risiko tersebut disebut…

  • A. Mitigasi risiko atau pengurangan dampak risiko
  • B. Transfer risiko kepada pihak ketiga seperti asuransi
  • C. Penghindaran risiko dengan menghentikan kegiatan berisiko
  • D. Penerimaan risiko dengan memantau perkembangannya
Jawaban: C. Penghindaran risiko adalah strategi di mana organisasi memilih untuk tidak melakukan atau menghentikan aktivitas yang menjadi sumber risiko, sehingga risiko tersebut tidak terjadi sama sekali.

35. Dalam konteks audit sistem informasi, pengujian pengendalian (test of controls) dilakukan untuk…

  • A. Menilai kelayakan rencana strategis jangka panjang perusahaan
  • B. Mengukur kinerja keuangan perusahaan dibandingkan dengan anggaran
  • C. Mengevaluasi kemampuan manajer TI dalam mengelola timnya
  • D. Menilai apakah pengendalian yang ditetapkan berjalan efektif sesuai rancangan
Jawaban: D. Pengujian pengendalian bertujuan untuk memverifikasi bahwa pengendalian yang dirancang memang diterapkan secara konsisten dan efektif dalam praktik operasional sehari-hari.

36. Seorang auditor TI diminta untuk menilai efektivitas pengendalian akses pada sistem perbankan online. Pendekatan yang paling tepat untuk mengumpulkan bukti adalah dengan…

  • A. Meninjau kebijakan akses, log sistem, dan melakukan uji penetrasi terbatas
  • B. Mewawancarai nasabah tentang kepuasan layanan perbankan online
  • C. Membandingkan laporan keuangan tahun ini dengan tahun sebelumnya
  • D. Melakukan survei kepuasan pengguna terhadap antarmuka aplikasi mobile
Jawaban: A. Untuk menilai pengendalian akses secara efektif, auditor harus mengkombinasikan tinjauan dokumentasi kebijakan, pemeriksaan log audit sistem, dan pengujian langsung untuk memverifikasi efektivitas pengendalian.

37. Kerangka kerja COBIT (Control Objectives for Information and Related Technologies) yang diterbitkan oleh ISACA sering digunakan dalam audit TI. Fungsi utama COBIT dalam konteks audit sistem informasi adalah…

  • A. Menyediakan panduan teknis untuk membangun infrastruktur jaringan yang aman
  • B. Mengatur prosedur rekrutmen tenaga ahli TI yang kompeten di perusahaan
  • C. Menyediakan kerangka tata kelola dan manajemen TI yang dapat digunakan sebagai acuan audit
  • D. Menentukan anggaran TI yang optimal bagi organisasi berdasarkan ukuran bisnis
Jawaban: C. COBIT menyediakan kerangka kerja komprehensif untuk tata kelola dan manajemen TI, yang digunakan auditor sebagai acuan dalam mengevaluasi apakah pengelolaan TI organisasi telah memenuhi praktik terbaik.

38. Dalam melaksanakan pekerjaan audit TI, auditor perlu memahami perbedaan antara “temuan audit” dan “rekomendasi audit”. Perbedaan mendasar antara keduanya adalah…

  • A. Temuan audit hanya dibuat oleh auditor eksternal sedangkan rekomendasi dibuat oleh auditor internal
  • B. Temuan audit adalah fakta kondisi yang ditemukan sedangkan rekomendasi adalah saran perbaikan
  • C. Temuan audit bersifat rahasia sedangkan rekomendasi audit dapat dipublikasikan secara terbuka
  • D. Temuan audit berlaku untuk periode lalu sedangkan rekomendasi berlaku untuk periode mendatang saja
Jawaban: B. Temuan audit merupakan pernyataan faktual tentang kondisi yang ditemukan auditor selama pemeriksaan, sementara rekomendasi adalah saran konstruktif yang diberikan auditor untuk memperbaiki kondisi yang tidak sesuai.

39. Analisis risiko dapat dilakukan secara kualitatif maupun kuantitatif. Keunggulan pendekatan analisis risiko kualitatif dibandingkan kuantitatif adalah…

  • A. Menghasilkan nilai numerik yang presisi untuk setiap risiko yang dinilai
  • B. Selalu lebih akurat karena didukung oleh data historis yang lengkap
  • C. Dapat menghitung kerugian finansial secara tepat dalam satuan mata uang
  • D. Lebih mudah diterapkan dan tidak memerlukan data numerik yang lengkap
Jawaban: D. Analisis risiko kualitatif menggunakan skala deskriptif seperti rendah, sedang, dan tinggi sehingga lebih mudah diterapkan tanpa memerlukan data statistik atau historis yang lengkap seperti yang dibutuhkan analisis kuantitatif.

40. Dalam tahapan perencanaan audit sistem informasi, auditor perlu memahami risiko inheren dan risiko pengendalian. Risiko inheren (inherent risk) didefinisikan sebagai…

  • A. Risiko yang melekat pada suatu area sebelum mempertimbangkan efektivitas pengendalian yang ada
  • B. Risiko yang timbul akibat kegagalan pengendalian internal yang telah diterapkan
  • C. Risiko bahwa auditor tidak menemukan salah saji material dalam proses pemeriksaan
  • D. Risiko yang berasal dari lingkungan eksternal yang tidak dapat dikendalikan organisasi
Jawaban: A. Risiko inheren adalah tingkat risiko dasar yang melekat pada suatu aktivitas atau area bisnis secara alami, dievaluasi tanpa memperhitungkan keberadaan atau efektivitas pengendalian apapun.

41. Seorang manajer audit TI perlu menyusun rencana audit tahunan. Dalam menentukan prioritas objek audit, faktor yang paling utama dipertimbangkan adalah…

  • A. Lokasi geografis kantor yang paling mudah dijangkau oleh tim auditor
  • B. Preferensi pribadi manajemen puncak terhadap unit bisnis tertentu
  • C. Tingkat risiko inheren dan signifikansi dampak terhadap tujuan organisasi
  • D. Waktu terakhir kali unit bisnis tersebut menerima kunjungan dari regulator
Jawaban: C. Prioritisasi dalam rencana audit tahunan harus didasarkan pada penilaian risiko yang objektif, dengan mengutamakan area yang memiliki risiko inheren tinggi dan dampak signifikan terhadap pencapaian tujuan organisasi.

42. Dalam proses audit sistem informasi, teknik wawancara digunakan untuk mengumpulkan informasi dari personel kunci. Kelemahan utama dari teknik pengumpulan bukti melalui wawancara adalah…

  • A. Wawancara tidak dapat dilakukan secara langsung karena terbatas oleh aturan kerahasiaan
  • B. Informasi yang diperoleh bergantung pada kejujuran dan ingatan narasumber sehingga perlu dikonfirmasi
  • C. Wawancara menghasilkan bukti yang selalu lebih lemah dibandingkan semua jenis bukti lainnya
  • D. Teknik wawancara hanya dapat dilakukan oleh auditor bersertifikat tertentu saja
Jawaban: B. Bukti testimonial dari wawancara memiliki kelemahan karena bersifat subjektif dan bergantung pada kesediaan serta kemampuan narasumber untuk memberikan informasi yang akurat, sehingga perlu diverifikasi dengan bukti lain.

43. Sebuah perusahaan ingin mengembangkan sistem informasi manajemen baru. Dari perspektif manajemen risiko, langkah yang harus dilakukan PERTAMA dalam mengelola risiko pengembangan sistem adalah…

  • A. Mengalokasikan anggaran kontinjensi untuk mengantisipasi pembengkakan biaya
  • B. Membeli asuransi proyek untuk mengalihkan risiko kepada pihak ketiga
  • C. Menghentikan proyek apabila estimasi risiko dinilai terlalu tinggi
  • D. Mengidentifikasi dan mendokumentasikan seluruh risiko yang mungkin timbul dalam proyek
Jawaban: D. Langkah pertama dalam manajemen risiko adalah identifikasi risiko secara menyeluruh. Tanpa identifikasi yang komprehensif, tidak mungkin melakukan analisis, evaluasi, dan penanganan risiko yang tepat.

44. Dalam pelaporan audit sistem informasi, struktur laporan audit yang lazim terdiri dari beberapa bagian utama. Bagian laporan audit yang memuat kondisi aktual yang ditemukan, kriteria yang seharusnya dipenuhi, sebab terjadinya kondisi, dan dampaknya disebut…

  • A. Bagian temuan audit beserta elemen-elemennya
  • B. Bagian opini auditor tentang kewajaran laporan
  • C. Bagian ruang lingkup dan metodologi pemeriksaan
  • D. Bagian latar belakang dan tujuan penugasan audit
Jawaban: A. Bagian temuan audit memuat empat elemen utama yaitu kondisi (apa yang ditemukan), kriteria (apa yang seharusnya), sebab (mengapa terjadi), dan dampak (akibat yang ditimbulkan), yang merupakan struktur standar penyajian temuan audit.

45. Dalam konteks pengembangan sistem informasi, manajemen risiko yang diterapkan pada fase desain sistem bertujuan untuk…

  • A. Melakukan pengujian akhir terhadap fungsionalitas sistem yang telah selesai dibangun
  • B. Mengevaluasi kepuasan pengguna setelah sistem beroperasi secara penuh
  • C. Mengidentifikasi dan mengelola risiko sejak dini sehingga biaya koreksi lebih rendah
  • D. Memastikan sistem telah memenuhi seluruh persyaratan regulasi yang berlaku
Jawaban: C. Penerapan manajemen risiko pada fase desain bertujuan menemukan dan mengatasi potensi masalah sejak awal pengembangan, karena biaya perbaikan yang dilakukan pada fase awal jauh lebih rendah dibandingkan setelah sistem diimplementasikan.

46. Standar audit ISACA mewajibkan auditor untuk menjaga kompetensi profesionalnya. Cara yang paling tepat bagi auditor sistem informasi untuk mempertahankan kompetensi profesionalnya adalah…

  • A. Mengaudit perusahaan yang sama setiap tahun agar pengalaman terus terakumulasi
  • B. Mengikuti pendidikan profesional berkelanjutan dan pembaruan pengetahuan TI secara rutin
  • C. Mempertahankan jumlah klien yang sama setiap periode tanpa menambah beban kerja baru
  • D. Menggunakan metodologi audit yang sama untuk semua klien agar konsistensi terjaga
Jawaban: B. Standar ISACA mengharuskan auditor mengikuti Continuing Professional Education (CPE) secara berkelanjutan untuk memastikan pengetahuan dan keterampilan mereka selalu mutakhir seiring perkembangan teknologi dan praktik audit.

47. Dalam melaksanakan audit TI, auditor menemukan bahwa manajemen telah mengetahui suatu kelemahan pengendalian namun memilih untuk tidak mengambil tindakan karena biaya perbaikan melebihi manfaatnya. Sikap manajemen ini dalam manajemen risiko dikenal sebagai…

  • A. Transfer risiko kepada pihak ketiga yang lebih mampu mengelolanya
  • B. Mitigasi risiko melalui penerapan kontrol kompensasi yang memadai
  • C. Penghindaran risiko dengan mengubah proses bisnis yang berisiko
  • D. Penerimaan risiko berdasarkan pertimbangan biaya dan manfaat
Jawaban: D. Penerimaan risiko terjadi ketika manajemen secara sadar memutuskan untuk tidak mengambil tindakan terhadap suatu risiko karena biaya penanganannya dinilai melebihi manfaat yang diperoleh dari pengurangan risiko tersebut.

48. Dalam contoh kasus pelaporan audit, suatu temuan dinyatakan sebagai “temuan signifikan”. Kriteria yang menjadikan suatu temuan audit dikategorikan signifikan adalah…

  • A. Temuan tersebut berpotensi menimbulkan dampak material terhadap pencapaian tujuan organisasi
  • B. Temuan tersebut ditemukan pada unit bisnis dengan jumlah karyawan terbanyak
  • C. Temuan tersebut dilaporkan oleh lebih dari satu anggota tim audit secara independen
  • D. Temuan tersebut berkaitan dengan pelanggaran yang terjadi dalam tiga tahun terakhir
Jawaban: A. Signifikansi sebuah temuan audit ditentukan oleh besarnya potensi dampak yang dapat ditimbulkan terhadap pencapaian tujuan organisasi, bukan berdasarkan karakteristik administratif atau prosedural lainnya.

49. Perbedaan antara audit internal dan audit eksternal dalam konteks audit sistem informasi yang paling fundamental adalah…

  • A. Audit internal menggunakan standar ISACA sedangkan audit eksternal menggunakan standar AICPA
  • B. Audit internal selalu lebih teliti dibandingkan audit eksternal karena memiliki akses penuh
  • C. Audit internal dilakukan oleh pegawai organisasi sendiri sedangkan audit eksternal oleh pihak independen di luar organisasi
  • D. Audit internal hanya mencakup aspek keuangan sedangkan audit eksternal mencakup seluruh operasional TI
Jawaban: C. Perbedaan fundamental antara keduanya terletak pada posisi auditor, di mana auditor internal merupakan bagian dari organisasi yang diaudit, sementara auditor eksternal adalah pihak independen dari luar organisasi yang memberikan pandangan objektif.

50. Seorang auditor TI sedang mengevaluasi proses manajemen perubahan sistem informasi pada sebuah perusahaan. Auditor menemukan bahwa perubahan pada sistem produksi dilakukan tanpa melalui prosedur persetujuan dan pengujian yang ditetapkan. Kondisi ini menunjukkan kelemahan pada…

  • A. Pengendalian akses fisik terhadap ruang server perusahaan
  • B. Pengendalian perubahan sebagai bagian dari pengendalian umum TI
  • C. Pengendalian input pada aplikasi sistem informasi yang bersangkutan
  • D. Pengendalian output berupa laporan yang dihasilkan sistem tersebut
Jawaban: B. Prosedur persetujuan dan pengujian sebelum perubahan diterapkan ke sistem produksi merupakan bagian dari pengendalian manajemen perubahan, yang termasuk dalam kategori pengendalian umum TI dan bersifat kritis untuk menjaga stabilitas sistem.

Latihan Tambahan dengan AI

Salin prompt di bawah ini, lalu tempelkan ke ChatGPT, Gemini, Claude, atau AI lainnya untuk mendapatkan 50 soal latihan baru dengan materi yang sama. Soal yang dihasilkan AI akan berbeda dari soal di halaman ini.

Kamu adalah dosen mata kuliah MSIM4305 Manajemen Risiko Dan Audit Sistem Informasi untuk mahasiswa program studi Akuntansi Keungan Pblk Universitas Terbuka. Buatkan 50 soal latihan UAS baru dalam format multiple choice (A/B/C/D) yang mencakup topik-topik berikut: audit, sistem, informasi, risiko, auditor, manajemen, pengendalian, disebut, konteks, proses. Syarat soal: - Soal harus berbeda dari soal yang sudah ada, jangan mengulang soal yang sama - Setiap soal memiliki 4 pilihan jawaban (A, B, C, D) - Sertakan kunci jawaban dan penjelasan singkat setelah tiap soal - Tingkat kesulitan setara soal UAS Universitas Terbuka Format output: file HTML5 lengkap yang bisa langsung disimpan sebagai .html dan dibuka di browser. Gunakan struktur: nomor soal, teks soal, pilihan A-D, lalu jawaban + penjelasan dalam elemen yang bisa di-toggle (tombol Lihat Jawaban).