AUDIT KEAMANAN INFORMASI

PADA PT. BANK RAKYAT INDONESIA (PERSERO) Tbk.

UNIT SUKOMORO

TUGAS AKHIR

Program Studi S1 Sistem Informasi

Oleh:

ONKY PRIMA WIBOWO 09.41010.0035

FAKULTAS TEKNOLOGI DAN INFORMATIKA

x

ABSTRAK ... vii

KATA PENGANTAR ... viii

DAFTAR ISI ... x

DAFTAR GAMBAR ... xiii

DAFTAR TABEL ... xiv

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Pembatasan Masalah ... 4

1.4 Tujuan ... 5

1.5 Sistematika Penulisan ... 6

BAB II LANDASAN TEORI ... 8

2.1 Audit ... 8

2.2 Informasi ... 9

2.3 Keamanan Informasi ... 10

2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember ...2007 ... 11

2.4.1 Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum ... 12

2.5 ISO 27002 ... 14

2.6 Manajemen Risiko ... 16

xi

3.1 Tahap Perencanaan Audit ... 25

3.1.1 Studi Literatur ... 25

3.1.2 Identifikasi Proses Bisnis dan Teknologi Informasi ... 25

3.1.3 Identifikasi Ruang Lingkup dan Tujuan ... 26

3.1.4 Persetujuan Engagement Letter oleh Perusahaan ... 26

3.2 Tahap Persiapan Audit ... 27

3.2.1 Pembuatan Audit Working Plan ... 27

3.2.2 Membuat Pernyataan ... 28

3.2.3 Penilaian Risiko ... 30

3.2.4 Membuat Pertanyaan ... 31

3.3 Tahap Pelaksanaan Audit ... 32

3.3.1 Pengumpulan Bukti ... 32

3.3.2 Pemeriksaan Data dan Bukti ... 33

3.3.3 Analisis Hasil Pemeriksaan ... 34

3.4 Tahap Pelaporan Audit ... 37

3.4.1 Penyusunan dan Persetujuan Laporan Audit ... 37

3.4.2 Melaporkan Laporan Audit ... 37

BAB IV HASIL DAN PEMBAHASAN ... 38

4.1 Tahap Perencanaan Audit ... 38

xii

4.1.3 Identifikasi Ruang Lingkup dan Tujuan ... 49

4.1.4 Persetujuan Engagement Letter oleh Perusahaan ... 50

4.2 Tahap Persiapan Audit ... 52

4.2.1 Pembuatan Audit Working Plan ... 52

4.2.2 Membuat Pernyataan ... 54

4.2.3 Penilaian Risiko ... 55

4.2.4 Membuat Pertanyaan ... 65

4.3 Tahap Pelaksanaan Audit ... 66

4.3.1 Pengumpulan Bukti ... 66

4.3.2 Pemeriksaan Data dan Bukti ... 66

4.3.3 Analisis Hasil Pemeriksaan ... 70

4.4 Tahap Pelaporan Audit ... 73

4.4.1 Penyusunan dan Persetujuan Laporan Audit ... 73

4.4.2 Melaporkan Laporan Audit ... 74

BAB V Penutup ... 75

5.1 Kesimpulan ... 75

5.2 Saran ... 76

DAFTAR PUSTAKA ... 77

xiii

Gambar 3.1 Alur Metode Penelitian ... 24

Gambar 4.1 Struktur Organisasi ... 42

Gambar 4.2 Pembukaan Rekening Simpanan Baru ... 43

Gambar 4.3 Pembukaan Rekening Pinjaman Baru ... 45

Gambar 4.4Penyetoran Uang melalui Teller ... 46

Gambar 4.5 Pengambilan Uang melalui Teller ... 47

Gambar 4.6 Pembuatan Laporan Harian ... 48

Gambar 4.7Halaman Awal Engagement Letter ... 51

Gambar 4.8Halaman Akhir Engagement Letter... 52

xiv

Tabel 2.1 Prosedur Pengamanan Informasi ... 13

Tabel 2.2 Susunan Kontrol Keamanan dan Kategori Keamanan Utama ISO 27002:2013 ... 15

Tabel 2.3 Risk Register ... 19

Tabel 2.4 Pedoman Penilaian Kritikal Aset ... 19

Tabel 2.5 Kriteria Pengukuran Kecenderungan ... 20

Tabel 2.6 Klasifikasi Dampak ... 20

Tabel 2.7 Matrik Pengukuran Risiko ... 21

Tabel 2.8 Matrik Penilaian Risk Register ... 22

Tabel 3.1 Contoh Audit Working Plan ... 27

Tabel 3.2 Pemetaan PBI dan ISO 27002 ... 28

Tabel 3.3 Pemetaan Detil PBI dan ISO 27002 ... 28

Tabel 3.4Contoh Pernyataan Audit ... 30

Tabel 3.5 Contoh Risk Register Awal ... 32

Tabel 3.6Contoh Pertanyaan Audit ... 32

Tabel 3.7 Contoh Dokumen Bukti ... 33

Tabel 3.8 Contoh Kertas Kerja Audit ... 33

Tabel 3.9Contoh Rincian Peniaian Risk Register ... 35

Tabel 3.10Contoh Risk Regiser Akhir ... 36

Tabel 3.11Contoh Temuan Audit ... 37

Tabel 4.1 Prosedur yang Digunakan ... 39

xv

Tabel 4.4 Risk Register ... 40

Tabel 4.5 Aset yang Diaudit ... 42

Tabel 4.6 Perangkat Pendukung yang Diaudit ... 43

Tabel 4.7 Ruang Lingkup Audit ... 49

Tabel 4.8 Audit Working Plan ... 53

Tabel 4.9 Pernyataan Audit ... 54

Tabel 4.10 Daftar Aset yang Diaudit ... 55

Tabel 4.11 Pedoman Penilaian Identifikasi Aset ... 56

Tabel 4.12 Pengisian Kolom Aset Risk Register ... 59

Tabel 4.13 Pengisian Deskripsi Risiko Risk Register ... 59

Tabel 4.14 Pengisian Analisi Kerawanan Risk Register ... 60

Tabel 4.15 Kriteria Pengukuran Kecenderungan ... 60

Tabel 4.16 Kriteria Pengukuran Dampak ... 61

Tabel 4.17 Matrik Tingkatan Risiko ... 62

Tabel 4.18 Penilaian Kecenderungan dan Dampak ... 63

Tabel 4.19 Risk Register Awal ... 64

Tabel 4.20 Pertanyaan Audit ... 65

Tabel 4.21 Dokumen Bukti Audit ... 66

Tabel 4.22 Kertas Kerja Audit ... 67

Tabel 4.23 Dokumen Rincian Risk Register ... 69

Tabel 4.24 Dokumen Risk Register Akhir ... 71

1 1.1 Latar Belakang

PT. Bank Rakyat Indonesia (Persero) Tbk. merupakan salah satu bank milik pemerintah yang memiliki jaringan terluas dan terbesar di Indonesia. Bank yang awalnya bernama De Poerwokertosche Hulp en Spaarbank der Inlandsche Hoofden didirikan 16 Desember 1895 di Purwokerto, Jawa Tengah oleh Raden Bei Aria Wirjaatmadja. Bank yang telah berdiri 118 tahun ini memiliki 9.736 kantor. PT. Bank Rakyat Indonesia (Persero) Tbk. terdiri dari Kantor Pusat, Kantor Wilayah, Kantor Cabang, Kantor Cabang Pembantu, Kantor Unit, Kantor Kas Bayar, Teras BRI dan Teras Mobile yang tersebar diseluruh Indonesia.

PT. Bank Rakyat Indonesia (Persero) Tbk. memiliki jaringan setiap kecamatan yaitu kantor unit. Kantor unit bertugas untuk menghimpun dan menyalurkan kembali dana pada masyarakat dalam lingkup kecamatan. Kantor unit melayani kredit namun terbatas misalnya KUR maksimal dua puluh juta rupiah, kredit modal kerja dan kredit investasi maksimal seratus juta rupiah. Sumber daya manusia yang ada di kantor unit meliputi kepala unit, mantri,

Salah satu kantor unit terletak di kecamatan Sukomoro di Jalan Raya Tinap No. 196 Kabupaten Magetan. Kantor Unit Sukomoro merupakan satu dari dua puluh tiga kantor unit yang dibawahi oleh Kantor Cabang Magetan. Kantor unit ini memiliki satu mesin ATM (Anjungan Tunai Mandiri), server dan beberapa komputer yang terintegrasi dengan aplikasi BRINET. Aplikasi BRINET menghubungkan seluruh jaringan PT. Bank Rakyat Indonesia (Persero) Tbk. diseluruh Indonesia.

Audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro menggunakan regulasi yang berlaku saat ini yaitu Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Surat Edaran Nomor 9/30/DPNP berisi tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam Surat Edaran Nomor 9/30/DPNP terdapat Lampiran 1 yang berisi Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman tersebut digunakan sebagai pedoman dalam audit yang dilakukan. Dalam audit ini akan dibandingkan kesesuaiannya antara operasional dengan peraturan dari Bank Indonesia karena masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi (Rahardjo, 2005). Audit Keamanan Informasi ini menggunakan penerapan manajemen risiko yang bertujuan untuk meminimalkan risiko yang dapat menggagalkan visi dan misi dari bank.

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan Teknologi Informasi yang harus diterapkan oleh Bank. Dalam penelitian ini Pedoman tersebut dibantu dengan referensi ISO 27002 tahun 2013 untuk hal pengecekan terutama dalam hal kontrol keamanannya. Pada ISO 27002 tahun 2013 kontrol keamanan yang diperiksa cukup jelas sedangkan pada Pedoman merupakan garis besarnya.

prosedur tersebut wewenang kantor pusat. Kantor Unit Sukomoro hanya bertindak sebagai pengguna.

Dengan adanya audit keamanan informasi yang menggunakan regulasi dari Bank Indonesia pada Kantor Unit Sukomoro ini diharapkan dapat membantu mengetahui tingkat keamanan informasi yang telah diterapkan. Hasil audit keamanan informasi ini menghasilkan rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada Kantor Unit Sukomoro.

1.2Perumusan Masalah

Berdasarkan latar belakang masalah yang telah diuraikan, maka dapat dirumuskan permasalahan sebagai berikut.

1. Bagaimana melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

2. Bagaimana menyusun laporan audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. 3. Bagaimana melaporkan hasil rekomendasi dari audit keamanan informasi

berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

1.3 Pembatasan Masalah

Batasan permasalahan dalam audit ini adalah sebagai berikut:

1. Penelitian membahas tentang Pengamanan Informasi berdasarkan risiko yang sesuai dengan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

3. Prosedur yang tidak diaudit adalah Prosedur Pengelolaan Sumber Daya Manusia dan Prosedur Pengamanan Logic karena hal tersebut wewenang Kantor Pusat.

4. Audit dilakukan pada kegiatan operasional Bank meliputi pembukaan rekening simpanan baru, pembukaan rekening pinjaman baru, pengambilan atau penyetoran uang melalui teller dan penarikan laporan harian.

5. Aset yang berkaitan dengan informasi yang berupa perangkat lunak dan jaringan tidak dilakukan audit karena wewenang Kantor Cabang.

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.

2. Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.

1.5 Sistematika Penulisan

Laporan Tugas Akhir (TA) ini ditulis dengan sistematika penulisan sebagai berikut :

BAB I: PENDAHULUAN

Pada Bab ini membahas tentang latar belakang masalah dan penjelasan permasalahan secara umum, perumusan masalah serta batasan masalah, tujuan dari pembuatan tugas akhir dan sistematika penulisan buku ini.

BAB II: LANDASAN TEORI

Pada Bab ini membahas mengenai teori yang digunakan pada penelitian audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teori yang digunakan adalah audit, informasi, keamanan informasi, surat edaran Bank Indonesia nomor 9/30/DPNP tanggal 12 Desember 2007, ISO 27002:2013, manajemen risiko dan penilaian risiko.

BAB III: METODE PENELITIAN

BAB IV: HASIL DAN PEMBAHASAN

Pada Bab ini berisi uraian hasil dan pembahasan dari tahapan audit yang telah dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

BAB V: PENUTUP

8 2.1Audit

Audit adalah proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang berujung pada penarikan kesimpulan) secara sistematis, obyektif dan terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo, 2003).

Definisi secara umum tentang audit adalah bahwa “Auditing is an

independent investigation of some particular activity”. Kata audit berasal dari

Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang dimaksud adalah “hearing about the account’s balances” oleh para pihak terkait

terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007).

perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko dengan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan (Ramadhana, 2012).

2.2 Informasi

Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank.

2.3 Keamanan Informasi

Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009). Prinsip – prinsip pengamanan informasi yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005) sebagai berikut :

1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan (confidentiality) , integritas (integrity) dan ketersediaan (availability) secara efektif dan efisien dengan memperhatikan kepatuhan (compliance) terhadap ketentuan yang berlaku.

2. Memperhatikan aspek sumber daya manusia, proses dan teknologi.

3. Dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan memperhatikan strategi bisnis Bank dan ketentuan yang berlaku.

4. Menerapkan pengamanan informasi secara komprehensif dan berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi, mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta melakukan penyempurnaan.

harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai „quality or state of being secure-to be free from danger’. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi (Whitman dan Mattord, 2011) sebagai berikut,

a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

b. Keamanan manusia yang overlap dengan keamanan fisik dalam melindungi orang-orang dalam organisasi.

c. Keamanan operasi yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi,

teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007

Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan teknologi informasi.

2.4.1. Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.

Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas operasional teknologi informasi, jaringan komunikasi, pengamanan informasi,

bussiness continuity plan, end user computing, electronic banking, audit intern

teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi.

Penelitian audit ini menggunakan prosedur pengamanan informasi dan proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti pada Tabel 2.1.

Tabel 2.1 Prosedur Pengamanan Informasi

PBI:2007

5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia 5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan 5.3.3.4 Prosedur Pengamanan logic

5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7. Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya dan kedua setelah mendapat Nilai Risiko Akhir.

pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi kelemahan sistem.

2.5ISO 27002

yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu.

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol Keamanan dan Kategori Keamanan Utama dari ISO 27002 tahun 2013 dapat dilihat pada Tabel 2.2.

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013

Klausul Kontrol Keamanan Kategori Keamanan Utama

5. Kebijakan Keamanan Informasi 5.1 Manajemen tujuan dari keamanan

informasi

6. Keamanan Informasi Organisasi 6.1

6.2

Organisasi internal

Perangkat mobile dan teleworking

7. Sumber Daya Manusia 7.1

7.2 7.3

Sebelum menjadi pegawai. Selama menjadi pegawai.

Penghentian dan perubahan pegawai.

8. Aset 8.1

8.2 8.3

Tanggung jawab untuk aset. Klasifikasi informasi. Penanganan media.

9. Kontrol Akses 9.1

9.2 9.3

Akses kontrol untuk persyaratan bisnis. Manajemen akses pengguna.

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013 (Lanjutan)

Klausul Kontrol Keamanan Kategori Keamanan Utama

10. Cryptografi 10.1 Kontrol Kriptografi.

12. Keamanan Operasi 12.1

12.2

Tanggung jawab dan prosedur operasional.

Perlindungan dari malware Back up

Logging dan monitoring

Pengendalian operasional perangkat lunak.

Manajemen kerentanan teknis Konsiderasi sistem informasi.

13. Komunikasi 13.1

13.2

Manajemen jaringan keamanan Pengiriman informasi

14. Akusisi sistem, pengembangan dan perawatan

14.1 14.2

Persyaratan keamanan sistem informasi

Keamanan dalam pengembangan dan proses dukungan.

15. hubungan dengan distributor 15.1

15.2

Keamanan informasi hubungan distributor.

Manajemen pelayanan distributor. 16. manajemen insiden keamanan informasi 16.1 Pengelolaan insiden keamanan

informasi dn perbaikan 17 aspek keamanan informasi manajemen

kelangsungan bisnis.

2.6 Manajemen Risiko

Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi

tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman maupun peluang tersebut.

Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis (Direktorat Penelitian dan Pengaturan Perbankan, 2007).

2.7 Penilaian Risiko

Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.

Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras, jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan) dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel 2.3.

Tabel 2.3 Risk Register

Ase

Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal) aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4.

Tabel 2.4 Pedoman Penilaian Kritikal Aset

Aspek Analisa

Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada Tabel 2.5.

Tabel 2.5 Kriteria Pengukuran Kecenderungan

Nilai Potensi Kejadian Frekuensi Kejadian 5. Potensi terjadi tinggi dalam jangka

pendek

Sangat sering terjadi

4. Potensi terjadi tinggi dalam jangka panjang

Lebih sering terjadi

3. Potensi terjadi sedang Cukup sering terjadi

2. Potensi terjadi kecil Jarang terjadi

1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi

Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6.

Tabel 2.6 Klasifikasi Dampak

Nilai Potensi gangguan terhadap proses bisnis

Potensi Penurunan Reputasi

5 Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.

Tabel 2.6 Klasifikasi Dampak (Lanjutan)

Nilai Potensi gangguan terhadap proses bisnis

Potensi Penurunan Reputasi

4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih

Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu.

3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih.

Kerusakan reputasi hanya pada unit tersebut.

2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya.

Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu.

1 Tidak menyebabkan gangguan terhadap operasional proses bisnis.

Tidak berpengaruh pada reputasi.

Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu

high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik pengukuran risiko seperti pada Tabel 2.7.

Tabel 2.7 Matrik Pengukuran Risiko

Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko dasar.

Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 2.8.

Tabel 2.8 Rincian Penilaian Risk Register

No Aset Deskripsi Risiko

Analisa Kerawanan

Residu 1

Pernyataan

Residu 2 Kecender

ungan

Dam pak

Kecender ungan

Dam pak

Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa kerawanan.

kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran kecenderungan seperti pada Tabel 2.5

Kolom residu dampak berisi tentang hasil penilaian dampak setelah pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi rata-rata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register.

Hasil dari kolom residu satu dari rincian penilaian risk register tentang kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran risiko seperti pada Tabel 2.7.

24

Pada Bab III akan dibahas tentang metode penelitian yang digunakan dalam penelitian ini. Metode penelitian yang digunakan mengaplikasikan antara langkah audit menurut Cannon (2006) yang disesuaikan dengan langkah-langkah penelitian tugas akhir, sehingga menghasilkan alur metode penelitian seperti terlihat pada Gambar 3.1.

3.1 Tahap Perencanaan Audit

Pada tahap perencanaan audit berisi tentang empat tahap perencanaan yang dilakukan oleh penulis sebagai auditor . Tahap perencanaan ini terdiri dari studi literatur, identifikasi proses bisnis dan teknologi informasi, identifikasi ruang lingkup dan tujuan audit, dan persetujuan engagement letter oleh perusahaan. Tahap perencanaan ini merupakan tahap awal dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.1.1 Studi Literatur

Tahap studi literatur penulis mencari bahan tentang penelitian yang dilakukan. Studi literatur ini bertujuan untuk mendapatkan gambaran menyeluruh tentang audit keamanan informasi yang dilakukan oleh penulis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Studi literatur ini berdasarkan dari referensi buku dan jurnal tentang audit, informasi, keamanan informasi, Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007, Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, ISO 27002:2013, manajemen risiko dan penilaian risiko. Berdasarkan referensi tersebut menghasilkan tentang audit yang digunakan, informasi pada Bank, keamanan informasi, prosedur yang digunakan untuk audit, pemetaan klausul ISO 27002:2013 yang digunakan, jenis-jenis risiko dan penilaian risiko. 3.1.2 Identifikasi Proses Bisnis dan Teknologi Informasi

Bank berisi tentang profil organisasi, visi organisasi, misi organisasi, tujuan, struktur organisasi, dan sasaran bisnis. Proses bisnis Bank berisi tentang proses kegiatan operasional yang terjadi di PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teknologi informasi Bank berisi tentang daftar peralatan teknologi informasi yang mendukung proses kegiatan operasional yang terjadi PT. Bank Rakyat Indonesia Unit Sukomoro. Tahap ini menghasilkan dokumen identifikasi proses bisnis dan teknologi informasi.

3.1.3 Identifikasi Ruang Lingkup dan Tujuan

Pada tahap ini penulis melakukan identifikasi terhadap ruang lingkup dan tujuan dari audit pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu ruang lingkup dari audit dan tujuan dari audit. Ruang lingkup audit berisi tentang lingkup audit yang dilakukan. Tujuan berisi tentang tujuan dari audit yang dilakukan penulis. Tahap ini menghasilkan dokumen ruang lingkup dan tujuan.

3.1.4 Persetujuan Engagement Letter oleh perusahaan

Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter

berisi tentang poin-poin yang akan diaudit, indenpendensi (tanggung jawab) dari auditor, bukti kesepakatan dengan hal-hal yang diaudit dan kondisinya (kewenangan), menyetujui tanggal penyelesaian (akuntabilitas), sehingga menghasilkan persetujuan dari auditee.

3.2 Tahap Persiapan Audit

audit working plan, membuat pernyataan, penilaian risiko dan membuat pertanyaan. Tahap perencanaan ini merupakan tahapan setelah tahap perencanaan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.2.1 Pembuatan Audit Working Plan

Pada tahap ini penulis membuat rancangan kerja audit dimana berisi tentang waktu dalam setiap kegiatan yang dilakukan pada saat audit keamanan informasi. Hal ini dilakukan untuk membantu auditor tidak melampaui waktu yang ditentukan. Tahap ini menghasilkan Audit Working Plan seperti terlihat pada Tabel 3.1.

Tabel 3.1 Contoh Audit Working Plan

3.2.2 Membuat Pernyataan

Pada tahap ini penulis membuat pernyataan. Pernyataan yang dibuat berdasarkan dari pemetaan antara Peraturan Bank Indonesia dengan ISO 27002:2013 seperti terlihat pada Tabel 3.2 dan 3.3.

Tabel 3.2. Pemetaan PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik

dan lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen Insiden Keamanan Informasi

Tabel 3.3. Pemetaan detil PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan

penanggung jawab setiap aset.

8.1.1 8.1.2

Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas

Perimeter keamanan fisik Kontrol masuk fisik

Keamanan kantor, ruangan, dan fasilitas.

Perlindungan pihak luar dan ancaman lingkungan

c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung.

11.2.2 Perangkat pendukung d. Terdapat identifikasi dan

perlindungan terhadap aset milik penyedia jasa.

e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi

11.2.4 Perawatan peralatan.

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen insiden keamanan informasi

a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi.

16.1.2 Laporan kejadian keamanan informasi.

b. Terdapat prosedur penanganan insiden

16.1.1 Tanggung jawab dan prosedur kontrol. c. Terdapat tim khusus yang

menangani insiden pengamanan. d. Seluruh pegawai diminta

Pernyataan yang dibuat berisi tentang apa yang akan diperiksa auditor ke auditee. Pernyataan ini diambil dari poin-poin dari prosedur yang tercantum pada Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 pada bagian keamanan informasi dan kontrol dari ISO 27002:2013. Contoh dari membuat pernyataan dari prosedur pengelolaan aset pada Peraturan Bank Indonesia yaitu “Terdapat identifikasi dan penanggung jawab setiap aset”. Dari prosedur tersebut diarahkan pada klausul 8. tentang manajemen aset yaitu “inventaris aset”. Pada inventaris aset ini menghasilkan beberapa pernyataan

antara lain yaitu “terdapat identifikasi aset yang relevan terhadap dokumen penting, dan selanjutnya”. Pernyataan tersebut disusun pada dokumen pernyataan seperti terlihat pada Tabel 3.4.

Tabel 3.4 Contoh Pernyataan Audit

PBI ISO 27002 Pernyataan

5.3.3.1 Prosedur Pengelolaan Aset

Klausul 8. Manajemen Aset

1. Terdapat identifikasi dan

penanggung jawab setiap aset.

8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk

penciptaan aset.

3. Terdapat dokumentasi untuk pengolahan aset.

4. Terdapat dokumentasi untuk penyimpanan aset.

3.2.3 Penilaian Risiko

Pada tahap ini penulis membuat penilaian risiko. Dalam membuat penilaian risiko terdapat dua tahap yang harus dilakukan yaitu identifikasi aset dan pengisian risk register (awal).

A. Identifikasi Aset

Tahap identifikasi aset berguna untuk mengetahui tingkat kritikal aset. Sebelum melakukan identifikasi auditor mendata aset yang mendukung proses bisnis untuk diaudit. Tingkat kritikal aset ditentukan dengan menggunakan kriteria penilaian yang terdiri dari aspek confidentiality (kerahasiaan), integrity

(keakuratan), dan availability (ketersediaan). Aset diklasifikasikan sesuai dengan penentuan kritikal yang akan dicantumkan pada risk register. Pada tahap ini menghasilkan dokumen identifikasi aset.

B. Pengisian Risk Register Awal

Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Pada kolom inheren terdapat tiga kolom yaitu kolom empat (kolom kecenderungan), kolom lima (kolom dampak) dan kolom enam (kolom nilai risiko dasar). Kolom kecenderungan dan kolom dampak berisi nilai angka antara satu sampai lima sedangkan pada kolom nilai risiko dasar berisi tingkatan nilai perbandingan antara kecenderungan dan dampak yaitu low, medium dan high. Tahap selanjutnya adalah mengisi kolom sebelas (kolom nilai risiko diharapkan). Kolom nilai risiko diharapkan berisi nilai risiko yang diharapkan oleh perusahaan yang berdasarkan nilai risiko dasar yang telah ditentukan sebelumnya. Kolom nilai risiko yang diharapkan berisi tingkatan nilai yaitu low, medium dan high. Pada tahap ini menghasilkan risk register awal seperti terlihat pada Tabel 3.5.

Tabel 3.5 Contoh Risk Register Awal

Ase

Tabel 3.6 Contoh Pertanyaan Audit 8.1.1 Inventaris aset

Pernyataan Pertanyaan

1. Terdapat

identifikasi aset yang relevan terhadap dokumen penting.

1. Apa saja yang termasuk dokumen penting di BRI Kantor Unit Sukomoro?

2. Apakah terdapat identifikasi dari dokumen penting tersebut?

3. Apa saja yang diidentifikasi dari dokumen penting tersebut?

2. Terdapat

dokumentasi untuk pengadaan aset.

1. Apakah terdapat proses penciptaan aset di BRI Kantor Unit Sukomoro?

2. Apakah dilakukan dokumentasi dalam penciptaan aset?

3. Apa saja yang didokumentasi dalam dokumentasi penciptaan aset?

4. Bagaimana bentuk dokumentasi penciptaan aset?

3.3 Tahap Pelaksanaan Audit

Pada tahap pelaksanaan audit berisi tentang tiga tahap pelaksanaan yang dilakukan oleh penulis sebagai auditor. Tahap pelaksanaan ini terdiri dari pengumpulan bukti, pemeriksaan data dan bukti dan analisis hasil pemeriksaan. Tahap pelaksanaan ini merupakan tahapan setelah tahap persiapan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.3.1 Pengumpulan Bukti

sesuai dengan pertanyaan yang telah dibuat. Hasil wawancara tertulis dalam kertas kerja audit. Langkah ini menghasilkan dokumen bukti seperti pada Tabel 3.7

Tabel 3.7 Contoh Dokumen Bukti

Kode Keterangan Bukti Foto Bukti

A.1

A.2

Keterangan foto 1

Keterangan foto 2

3.3.2 Pemeriksaan Data dan Bukti

Tahap selanjutnya adalah pemeriksaan data dan bukti. Dalam pemeriksaan ini dilakukan penyatuan antara hasil wawancara dan dokumen bukti untuk memudahkan dalam pemeriksaan data dan bukti. Tahap ini menghasilkan dokumen kertas kerja audit. Bentuk dari kertas kerja audit dapat dilihat pada Tabel 3.8.

Tabel 3.8 Contoh Kertas Kerja Audit

KLAUSUL 8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

No. Pertanyaan Jawaban

1. Apakah terdapat identifikasi dari berkas pinjaman berupa hardcopy?

Jawaban Bukti : A.1 2. Apa saja yang diidentifikasi dari

berkas pinjaman berupa hardcopy?

Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari

auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor.

3.3.3 Analisis Hasil Pemeriksaan

Pada tahap analisis hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian rincian penilaian risk register. Rincian penilaian risk register

berguna sebagai dasar dalam mengisi nilai residu risk register akhir. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan.

Kolom residu dua berisi hasil rata-rata nilai dari kolom residu satu. Kolom residu satu pada kecenderungan berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Kolom residu satu pada dampak berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Hasil dari rata-rata nilai ini menimbulkan angka desimal sehingga dilakukan pembulatan angka angka dibelakang koma kurang dari lima maka dibulatkan ke bawah apabila angka dibelakang koma adalah lima atau diatas lima dibulatkan ke atas. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 3.9.

Tabel 3.9 Contoh Rincian Penilaian Risk Register

N

Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Kolom risk register akhir yang diisi adalah kolom tujuh hingga kolom sepuluh. Kolom tujuh (kolom kontrol yang ada) diisi sesuai dengan pengendalian yang ada. Pengendalian yang ada dapat dilihat dalam rincian penilaian risk register pada kolom pernyataan. Pernyataan yang ada dapat dicantumkan pada kolom kontrol yang ada.

register yaitu kolom residu dua. Kolom nilai risiko akhir berisi tingkatan nilai dari perbandingan kecenderungan dan dampak yaitu low, medium atau high. Hasil nilai risiko akhir didapat berdasarkan matrik pengukuran risiko seperti terlihat pada Tabel 2.7. Langkah ini menghasilkan dokumen risk register seperti terlihat pada Tabel 3.10.

Tabel 3.10 Contoh Risk Register Akhir

Ase

Tabel 3.11 Contoh Temuan Audit Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

1. Temuan 1

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : rekomendasi 1

Referensi :Klausul 8.2.1 ISO 27002 : 2013 2. Temuan 2

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : rekomendasi 2

Referensi :Klausul 8.1.1 ISO 27002 : 2013

3.4 Tahap Pelaporan Audit

3.4.1 Penyusunan dan Persetujuan Laporan Audit

Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Pada laporan ini juga dilampirkan prosentase dari keseluruhan kontrol yang digunakan dalam audit dengan pencapaian level low pada seluruh aset yang terkait dengan informasi berupa aset data, perangkat keras dan perangkat pendukung. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada

auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari.

3.4.2 Melaporkan Laporan Audit

Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee

38

Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.

4.1Tahap Perencanaan Audit 4.1.1 Studi Literatur

Tabel 4.1 Prosedur yang Digunakan

PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.3Prosedur Pengamanan Fisik dan lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013 dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel pemetaan tersebut seperti pada Tabel 4.2.

Tabel 4.2 Pemetaan PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik

dan lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen Insiden Keamanan Informasi

Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada Tabel 4.3.

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung

jawab setiap aset.

8.1.1 8.1.2

Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas

Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas.

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 (Lanjutan) 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung.

11.2.2 Perangkat pendukung

d. Terdapat identifikasi dan

perlindungan terhadap aset milik penyedia jasa.

e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi

11.2.4 Perawatan peralatan.

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen insiden keamanan informasi

a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi.

16.1.2 Laporan kejadian keamanan informasi.

b. Terdapat prosedur penanganan insiden

16.1.1 Tanggung jawab dan prosedur kontrol.

c. Terdapat tim khusus yang menangani insiden pengamanan.

d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan

Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium

dan high. Risk register dalam memperoleh nilai membandingkan antara kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat pada Tabel 4.4.

Tabel 4.4 Risk Register

4.1.2 Identifikasi Proses Bisnis dan TI

Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro berdiri sejak 7 Juli 1970. Kantor ini berada di atas tanah seluas ± 350 m2 dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat wilayah kecamatan Sukomoro.

Visi dari perusahaan adalah “Menjadi bank komersial terkemuka yang

selalu mengutamakan kepuasan nasabah ”. Misi dari perusahaan adalah

a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang peningkatan ekonomi masyarakat.

b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja yang tersebar luas dan didukung oleh sumber daya manusia yang profesional dengan melaksanakan praktek good corporate governance. c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak

yang berkepentingan.

Gambar 4.1. Strukur Organisasi

Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses bisnis pembukaan rekening pinjaman baru, penyetoran melalui teller,

pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5.

Tabel 4.5 Aset yang Diaudit

Proses Bisnis Aset Jenis Aset

Pembukaan Rekening Simpanan Baru

Berkas simpanan berupa hardcopy Data

Server Perangkat Keras

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Printer Pasbook Perangkat Keras

Mesin ATM Perangkat Keras

Lemari besi anti api Perangkat

Pendukung Pembukaan

Rekening Pinjaman Baru

Berkas pinjaman berupa hardcopy Data

Server Perangkat Keras

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Brankas Tanam Perangkat

Pendukung Kepala Unit

Customer service Mantri Satpam

Teller

Tabel 4.5 Aset yang Diaudit (Lanjutan)

Proses Bisnis Aset Jenis Aset

Penyetoran Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Pasbook Perangkat Keras

Penarikan Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Pasbook Perangkat Keras

Pembuatan Laporan Harian

Laporan harian berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Laser Perangkat Keras

Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat pada Tabel 4.6.

Tabel 4.6. Perangkat Pendukung yang Diaudit

Aset Jenis Aset

Pendingin ruangan (ruang server) Perangkat pendukung

Brankas jinjing Perangkat pendukung

Genset Perangkat pendukung

CCTV Perangkat pendukung

Tabung pemadam kebakaran Perangkat pendukung

Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro yaitu,

a. Pembukaan Rekening Simpanan Baru

Proses pembukaan rekening simpanan baru pertama kali yang dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service

mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah. Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah kepala unit telah memberi persetujuan, costumer service mencetak buku tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui

teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM melalui ATM. Customer service menyimpan berkas simpanan ke dalam lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan baru dapat dilihat pada Gambar 4.2.

Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu berkas simpanan berupa hardcopy, personal computer milik customer service, printer inkjet, personal computer milik kaunit, server, printer

pasbook, mesin ATM dan lemari besi anti api b. Pembukaan Rekening Pinjaman Baru

Costumer service menyusun data menjadi SKPP (Surat Keterangan Permohonan Pinjaman), SKPP akan dicek oleh kepala unit dan di disposisi ke mantri untuk disurvey kelayakannya. Hasil dari analisis mantri diserahkan ke

customer service. Customer service menyerahkan hasil survey mantri ke kepala unit untuk diputuskan. Permohonan yang diputuskan disetujui dikembalikan ke customer service.

Customer service memanggil nasabah untuk melakukan realisasi pinjaman. Nasabah membawa agunan tambahan asli untuk diserahkan ke

costumer service. Setelah itu customer service mencetak formulir realisasi untuk ditandatangani nasabah. Setelah itu costumer service menyusun menjadi berkas pinjaman. Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana. Selanjutnya nasabah melakukan pencairan dana ke teller. Costumer service mencatat berkas kepada buku induk pinjaman. Costumer service bersama kepala unit menyimpan berkas pinjaman dalam brankas tanam. Gambaran proses bisnis pembukaan rekening pinjaman baru dapat dilihat pada Gambar 4.3.

Proses bisnis untuk pembukaan rekening pinjaman baru terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (costumer service), server, printer inkjet, personal computer

Gambar 4.3. Proses Bisnis Pembukaan Rekening Pinjaman Baru

Gambar 4.4. Proses Bisnis Penyetoran Uang melalui Teller

c. Penyetoran Uang melalui Teller

Proses penyetoran uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi penyetoran. Nasabah menuju teller dengan membawa bukti transaksi penyetoran dan buku tabungan. Saat penyetoran nasabah menyerahkan uang kepada teller sesuai yang tertulis di bukti transaksi. Teller

akan mengentri data melalui personal computer milik teller yang terhubung dengan server untuk mengisikan sesuai bukti transaksi dan uang yang disetor Nasabah mengajukan

CS menyusun menjadi SKPP Kaunit diserahkan ke teller bersama

uang dan buku tabungan

Teller akan mencocokkan antara buku tabungan, bukti transaksi dan uang.

Teller memasukkan data ke personal computer Teller melakukan

validasi terhadap bukti transaksi Teller mengembalikan

copy bukti transaksi yang sudah divalidasi

oleh nasabah. Selanjutnya teller melakukan validasi terhadap bukti transaksi penyetoran. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah beserta buku tabungannya. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.4.

Proses bisnis untuk penyetoran uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy

.

Gambar 4.5. Proses Bisnis Pengambilan Uang melalui Teller

d. Pengambilan Uang melalui Teller

Proses pengambilan uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi pengambilan. Selanjutnya nasabah menuju teller dengan membawa bukti transaksi pengambilan. Proses pengambilan nasabah menyerahkan buku tabungan dan bukti transaksi kepada teller. Teller akan mengentri data melalui personal computer milik teller mengisikan sesuai bukti transaksi dan uang yang diambil oleh nasabah. Selanjutnya teller Nasabah mengisi

bukti transaksi pengambilan

Bukti transaksi pengambilan diserahkan ke teller bersama

buku tabungan

Teller akan mencocokkan antara bukti transaksi dan

buku tabungan

Teller memasukkan data ke personal computer Teller melakukan

validasi terhadap slip dan buku tabungan Teller menyerahkan

melakukan validasi terhadap bukti transaksi pengambilan. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah. Selanjutnya Uang beserta buku tabungannya diserahkan kepada nasabah. Proses bisnis untuk pengambilan uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.5.

Gambar 4.6. Proses Bisnis Pembuatan Laporan Harian

e. Pembuatan Laporan Harian

Setelah kas tutup bukti transaksi berupa hardcopy diserahkan kepada kepala unit. Kepala unit mengumpulkan menjadi satu dan dimasukkan kedalam amplop bukti kas dan diberi tanggal sesuai tanggal transaksi. Selanjutnya Kepala Unit melakukan pencetakan laporan transaksi harian dengan printer laser melalui personal computer milik kepala unit untuk mencocokkan dengan bukti kas. Gambaran proses bisnis pembuatan laporan harian dapat dilihat pada Gambar 4.6.

Kepala Unit menyimpan bukti transaksi dan laporan harian di lemari besi anti api Teller menyerahkan

bukti transaksi ke kepala unit.

Kepala Unit menyimpan dalam

amplop khusus.

Kepala Unit mencetak laporan

4.1.3 Identifikasi Ruang Lingkup dan Tujuan

Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. Isi dari dokumen ruang lingkup dan tujuan adalah ruang lingkup audit dan tujuan dari audit. Ruang lingkup audit meliputi Peraturan Bank Indonesia yang telah dipetakan dengan ISO 27002:2013. Ruang lingkup audit dapat dilihat pada Tabel 4.7

Tabel 4.7 Ruang Lingkup Audit

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen Insiden Keamanan Informasi

Tujuan audit yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.

3. Melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

4.1.4 Persetujuan Engagement Letter oleh perusahaan

Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter

Gambar 4.8 Halaman Akhir Engagement Letter

4.2 Tahap Persiapan Audit

4.2.1 Pembuatan Audit Working Plan

Tabel 4.8 Audit Working Plan 1 Perencanaan Audit

Onky

2 Persiapan Audit

Onky P. W

23 Membuat Audit

Working Plan 2

Membuat Pernyataan 5

Penilaian Risiko 9

Membuat Pertanyaan 7

3 Pelaksanaan Audit

Onky P. W

30 Pemeriksaan Data dan

Bukti 10

Pengumpulan Bukti 10

Analisa Hasil

Pemeriksaan 10

4 Pelaporan Audit

4.2.2 Membuat Pernyataan

Pernyataan yang dibuat berdasarkan pemetaan yang telah dibuat saat studi literatur. Pernyataan berisi tentang kontrol penting yang diperiksa auditor. Pernyataan diambil dari ISO 27002 yang memiliki dasar Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Dalam pembuatan pernyataan ini pokok-pokok yang bersifat umum dalam Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum maka pernyataan diambil dari kontrol ISO 27002:2013 sesuia pemetaan yang telah dilakukan. Hasil dari pernyataan yang telah dibuat dapat dilihat pada Tabel 4.9 dan untuk lebih jelasnya dapat dilihat pada Lampiran 2.

Tabel 4.9 Pernyataan Audit

PBI ISO 27002 Pernyataan

5.3.3.1 Prosedur

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

2. Terdapat dokumentasi untuk pengadaan aset. 3. Terdapat dokumentasi untuk penggunaan aset. 4. Terdapat dokumentasi untuk penyimpanan

aset.

5. Terdapat dokumentasi untuk transmisi aset. 6. Terdapat dokumentasi unuk penghapusan aset. 7. Terdapat dokumentasi penghancuran aset. 8. Inventaris aset akurat.

9. Inventaris aset up to date. 10. Inventaris aset konsisten 8.1.2

Kepemilikan aset

1. Terdapat inventarisasi aset. 2. Terdapat klasifikasi aset. 3. Terdapat perlindungan aset. 4. Terdapat aturan pembatasan akses. 5. Terdapat aturan klasifikasi aset.

4.2.3 Penilaian Risiko A. Identifikasi Aset

Identifikasi aset dapat dilakukan setelah auditor mendata aset yang dipergunakan dalam mendukung proses bisnis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Daftar aset tersebut dapat dilihat pada Tabel 4.10.

Tabel 4.10 Daftar Aset yang Diaudit

No. Nama Aset Jenis Aset

1. Berkas Pinjaman Berupa Hardcopy Data

2. Berkas Simpanan Berupa Hardcopy Data

3. Bukti Transaksi Harian Dalam Bentuk

Hardcopy

Data

4. Laporan Transaksi Harian Berupa

Hardcopy

Data

5. Server Perangkat Keras

6. Printer Pas Book Perangkat Keras

7. Mesin ATM (Anjungan Tunai Mandiri) Perangkat Keras

8. Printer Laser Perangkat Keras

9. Personal computer (Kepala Unit) Perangkat Keras

10. Personal computer (Teller) Perangkat Keras

11. Personal computer (Costumer service) Perangkat Keras

12. Printer Inkjet Perangkat Keras

13. Pendingin ruangan (Ruang Server) Perangkat Pendukung

14. Brankas Tanam Perangkat Pendukung

15. Lemari Besi Anti Api Perangkat Pendukung

16. Brankas Jinjing Perangkat Pendukung

17. Genset Perangkat Pendukung

18. CCTV Perangkat Pendukung

Setelah daftar aset telah ditentukan tahap selanjutnya mengidentifikasi aset berdasarkan tingkat kritikal aset. Dalam menentukan tingkat kritikal aset diperlukan pedoman untuk memberikan penilaian. Bentuk pedoman penilaian identifikasi aset dapat dilihat pada Tabel 4.11.

Tabel 4.11 Pedoman Penilaian Identifikasi Aset Aspek Analisa Integrity Berapa besar

Tabel 4.11 Pedoman Penilaian Identifikasi Aset (Lanjutan)