PEMBUATAN PANDUAN AUDIT TEKNOLOGI INFORMASI PADA PROSES PENGELOLAAN LINGKUNGAN FISIK BERBASIS COBIT 5 DI KPPN SURABAYA II

(1)

PEMBUATAN PANDUAN AUDIT TEKNOLOGI

INFORMASI PADA PROSES PENGELOLAAN

LINGKUNGAN FISIK BERBASIS COBIT 5 DI KPPN

SURABAYA II

Tugas Akhir - KS 091336

Yudhis Cahyo Eko/ NRP 5210105012

Dosen Pembimbing :

Ir. Ahmad Holil Noor Ali, M. Kom Prih Haryanta, S.E., M.M., M.T.

PROGRAM STUDI SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER

(2)

BAB I

PENDAHULUAN

(3)

Latar Belakang

• Resiko kehilangan data yang diakibatkan karena pencurian perangkat TI maupun karena kejadian force majeur, seperti kebakaran dan bencana alam.

• Untuk meminimalisir resiko tersebut, maka diperlukan mekanisme

kontrol berupa audit SI/TI

• Selama ini belum pernah dilakukan audit terhadap proses pengelolaan SI/TI di KPPN Surabaya II, sehingga KPPN Surabaya II tidak dapat mengetahui sejauh mana efisiensi dan efektivitas tata kelola teknologi informasi yang telah dilakukannya.

(4)

Rumusan Masalah

• Bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung jawab audit, prosedur audit, audit checklist, serta form temuan) pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai dengan standar COBIT 5.

(5)

Batasan Masalah

• Panduan audit SI/TI disusun berdasarkan standar COBIT 5 domain

DSS01.04 (Manage the environment), DSS01.05 (Manage facilities), dan DSS05.05 (Manage physical access to IT assets). Domain COBIT 5 yang digunakan merupakan domain yang sesuai dengan pengendalian keamanan fisik dan lingkungan pada KMK 479/KMK.01/2010.

• Dokumen panduan audit SI/TI berupa penjelasan mengenai tujuan,

ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit.

• Dokumen panduan audit ini dikhususkan untuk KPPN Surabaya II,

sehingga di dalamnya nanti akan menjelaskan hal-hal khusus yang berkaitan dengan lingkungan fisik KPPN Surabaya II yang tidak dimiliki KPPN lainnya.

(6)

Tujuan Tugas Akhir

Untuk menghasilkan dokumen-dokumen (tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form

temuan audit) yang digunakan untuk memandu pelaksanaan audit SI/TI pada KPPN Surabaya II.

(7)

Manfaat Tugas Akhir

• Membantu auditor internal untuk melaksanakan audit TI pada KPPN

Surabaya II.

• Dokumen panduan audit TI ini dapat dijadikan pedoman dalam audit

(8)

BAB II

TINJAUAN PUSTAKA

(9)

Definisi Audit

• Audit adalah suatu proses sistematis, mandiri, dan terdokumentasi

untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit telah dipenuhi.

• Sedangkan audit teknologi informasi merupakan proses

pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya secara efisien (Weber, 1999).

(10)

COBIT 5

• COBIT 5 terbagi ke dalam 2 area, yaitu governance dan manajemen.

• Kedua area ini terdiri dari 5 domain utama dan 37 proses, yaitu

sebagai berikut (ISACA, 2012) :

1. Governance of Enterprise IT, terdiri dari domain :

 Evaluate, Direct and Monitor (EDM) – 5 proses

2. Management of Enterprise IT, terdiri dari domain :

 Align, Plan and Organise (APO) – 13 proses

 Build, Acquire and Implement (BAI) – 10 proses

 Deliver, Service and Support (DSS) – 6 proses

(11)

(12)

BAB III

METODE PENGERJAAN TA

(13)

(14)

BAB IV

PEMBUATAN DAN HASIL

(15)

Pengumpulan Data

• Secara fisik, gedung KPPN Surabaya II merupakan bagian dari Gedung

Keuangan Negara Surabaya II.

• Gedung Keuangan Negara Surabaya II terletak di jalan Dinoyo no. 111

Surabaya.

• GKN Surabaya II memiliki luas area 8.458 m2_{, dan dengan tahun}

perolehan 1996.

• Kepala Rumah Tangga GKN Surabaya II saat ini adalah Heyang

Muhanan K, SH, MH yang merangkap sebagai Kepala Bagian Umum Kanwil X Direktorat Jenderal Kekayaan Negara Surabaya.

(16)

Pengumpulan Data (Cont’d)

• Kantor Pelayanan Perbendaharaan Negara (KPPN) Surabaya II

merupakan instansi vertikal di lingkungan Direktorat Jenderal Perbendaharaan Kementerian Keuangan Republik Indonesia.

• Visi : Menjadi pelaksana fungsi Bendahara Umum yang profesional,

transparan dan akuntabel untuk mewujudkan pelayanan prima.

• Misi :

Menjamin kelancaran pencairan dana APBN secara tepat sasaran,

tepat waktu dan tepat jumlah

Mengelola penerimaan Negara secara professional dan akuntabel

Mewujudkan pelaporan pertanggung jawaban APBN yang akurat

(17)

Pengumpulan Data (Cont’d)

• KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara

(GKN) Surabaya II.

• KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN.

• Karena merupakan bagaikan dari GKN, maka beberapa aset yang

terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN.

(18)

Pengumpulan Data (Cont’d)

• Struktur Organisasi KPPN Surabaya II

Kepala Kantor Kepala Subbagian Umum Kepala Seksi Verifikasi dan Akuntansi Kepala Seksi Pencairan Dana Kepala Seksi Bank/ Giro Pos Keuangan Kepegawaian TU/RT Supervisor

(19)

Pengumpulan Data (Cont’d)

• Server utama dan server back up berada di ruang server dan dikelola

oleh seorang supervisor.

• Belum terdapat adanya dokumentasi yang terstruktur

• Pengelolaan TI di KPPN Surabaya dilakukan oleh supervisor yang

secara struktural berada di bawah Kepala Subbagian Umum

• Pengelolaan dan pendataan aset-aset TI KPPN Surabaya II menjadi

(20)

Pengelolaan Lingk. Fisik di dalam COBIT 5

• Pada COBIT 4.1, pengelolaan lingkungan fisik TI terdapat pada proses

DS12, yaitu manage the physical environment.

• Pada COBIT 5, manage the physical environment telah digabung ke

dalam beberapa proses lain, yaitu

 _{DSS01.04 Pengelolaan Lingkungan}

 _{DSS01.05 Pengelolaan Fasilitas}

(21)

Pendefinisian Penanggung Jawab Tata

Kelola TI yang ada di COBIT dengan kondisi

lapangan

• Aktor-aktor utama yang berperan dalam pengelolaan lingkungan fisik

TI di KPPN Surabaya II di antaranya adalah : 1. Kepala kantor

2. Kepala subbagian umum 3. Staf TU/RT

4. Supervisor

• Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas

TI melalui RACI-Chart (Responsible, Accountable, Consulted dan

(22)

Pendefinisian Penanggung Jawab Tata

Kelola TI yang ada di COBIT dengan kondisi

lapangan (Cont’d)

• Hasil pemetaan RACI Chart ke struktur organisasi KPPN Surabaya

dapat dilihat pada tabel berikut.

Proses Kepala kantor Kepala subbagian umum TU/ RT Super-visor Pengelolaan lingkungan I C/R/A I R Pengelolaan Fasilitas I C/R/A I R Pengelolaan akses fisik ke aset TI I C/R/A I R

(23)

Pengumpulan Bukti Audit

• Dari aktivitas yang ada dalam COBIT 5, kemudian ditentukan bukti

untuk mendukung pelaksanaan aktivitas tersebut beserta metode pengumpulan bukti tersebut

IT Process COBIT 5

Aktivitas Sumber Metode

DSS 01.04 Pengelolaan Lingkungan

1. Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror)

Kasubbag Umum, supervisor Interview, observasi 2. Mengidentifikasi bagaimana perangkat, termasuk perangkat

mobile dan off-siteTI dilindungi terhadap ancaman lingkungan. Supervisor, peraturan pengamanan perangkat TI Review dokumen, observasi dan interview

(24)

Penyusunan Dokumen Panduan Audit



Pembuatan Prosedur Audit



Pembuatan

Audit Checklist



Skala Penilaian

(25)

Pembuatan Prosedur Audit

• Prosedur audit merupakan uraian dari aktvitas-aktivitas yang ada di

dalam COBIT, seperti pada tabel berikut.

No Proses COBIT 5 Aktivitas Prosedur Audit Kode

Dokumen

1 Pengelolaan Lingkungan (DSS01.04)

Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror)

Prosedur audit identifikasi risiko lingkungan dan human error P.1.1 Mengidentifikasi bagaimana perangkat, termasuk perangkat mobiledan off-siteTI dilindungi terhadap ancaman lingkungan.

Prosedur audit

perlindungan terhadap perangkat mobiledan perangkat dari luar lokasi

(26)

Pembuatan Prosedur Audit (Cont’d)

Prosedur-prosedur yang dihasilkan adalah sbb :

1. Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi a. Identifikasi risiko lingkungan dan human eror (P.1.1)

b. Perlindungan terhadap perangkat mobile dan perangkat di luar lokasi (P.1.2)

c. Penempatan fasilitas ruang server (P.1.3)

d. Penempatan fasilitas di dalam gedung KPPN Surabaya II (P.1.4) e. Perangkat keamanan lingkungan (P.1.5)

f. Sosialisasi dan pelatihan keamanan lingkungan (P.1.6) g. Rencana kontingensi (P.1.7)

h. Kebersihan dan keamanan ruang server (P.1.8)

(27)

Pembuatan Prosedur Audit (Cont’d)

Prosedur-prosedur yang dihasilkan adalah sbb (Cont’d) :

2. Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi a. Penyediaan tenaga listrik cadangan (P.2.1)

b. Pemeliharaan UPS (P.2.2)

c. Sumber daya listrik, air, dan komunikasi (P.2.3) d. Keamanan kabel (P.2.4)

e. Keamanan area KPPN Surabaya II (P.2.5) f. Keamanan area server (P.2.6)

g. Manajemen insiden TI (P.2.7)

h. Pemeliharaan komputer server (P.2.8)

i. Pemeliharaan Personal Computer (PC) (P.2.9) j. Pemeliharaan Printer (P.2.10)

k. Pemeliharaan Scanner (P.2.11)

(28)

Pembuatan Prosedur Audit (Cont’d)

Prosedur-prosedur yang dihasilkan adalah sbb (Cont’d) :

3. Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke aset TI, meliputi

a. Pengelolaan akses masuk ke ruangan server (P.3.1)

b. Pengelolaan akses masuk ke ruangan selain front office (P.3.2) c. Prosedur audit pengelolaan akses pegawai ke ruangan KPPN

Surabaya II (P.3.3)

d. Pengelolaan buku tamu (P.3.4) e. Perimeter keamanan fisik (P.3.5)

(29)

Pembuatan Prosedur Audit (Cont’d)

• Setiap prosedur akan diuraikan lagi menjadi langkah-langkah audit.

• Sebagai contoh, langkah audit untuk prosedur audit “identifikasi risiko lingkungan dan human error (P.1)”

1. Tanyakan dan periksa apakah risiko keamanan yang berkaitan dengan bencana alam dan kerusakan karena ulah manusia (human eror) telah diidentifikasikan?

(Lakukan pemeriksaan secara langsung terhadap :

a. Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok) dan tabung pemadam di setiap ruangan

b. Ketersediaan petunjuk mengenai jalur evakuasi dan adanya tangga darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7 GKN.

c. Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer server dan 46 unit PC untuk mengatasi risiko pemadaman

(30)

Pembuatan Prosedur Audit (Cont’d)

c. Ketersediaan genset untuk cadangan sumber tenaga saat terjadi pemadaman.

d. Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti gempa bumi)

2. Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan? (Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan pengamanan yang harus diambil)

(31)

Pembuatan

Audit Checklist

• Tahap berikutnya adalah membuat audit checklist berdasarkan

prosedur-prosedur audit yang ada.

• Audit checklist ini terdiri dari tiga bagian, yaitu :

 Audit Checklist Pengelolaan Lingkungan (CK.1)

 Audit Checklist Pengelolaan Fasilitas (CK.2)

(32)

Pembuatan

Audit Checklist

(Cont’d)

(33)

Skala Penilaian

• Penilaian menggunakan skala Likert berdasarkan kesesuaiannya

dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan

sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai.

• Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah

(34)

Skala Penilaian (Cont’d)

Skala Likert yang digunakan dalam penilaian audit ini sebagai berikut.

 1 : Sangat tidak sesuai

Apabila poin-poin kontrol yang ada dalam prosedur audit tidak dilaksanakan sama sekali.

 2 : Tidak sesuai

Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan sebagian, namun tidak mencapai 50%

 3 : Cukup

Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan antara 50%-70%

 4 : Sesuai

Apabila sebagian besar poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, namun belum didokumentasikan

 5 : Sangat sesuai

Apabila semua poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, dan telah didokumentasikan

(35)

Dokumen Panduan Audit TI

Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di dalamnya berisi hal-hal berikut ini :

• Ikhtisar dokumen panduan audit teknologi informasi

• Kertas kerja pemeriksaan utama audit teknologi informasi

• Audit Checklist

Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan Lingkungan (CK.1), Audit Checklist Pengelolaan Fasilitas (CK.2), Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3)

• Prosedur Audit

Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan fisik TI di KPPN Surabaya II, dengan pembagian: Pengelolaan Lingkungan (9 prosedur), Pengelolaan Fasilitas (12 prosedur), Pengelolaan Akses Fisik ke Aset TI (5 prosedur)

(36)

Verifikasi Dokumen Panduan Audit

• Verifikasi dokumen panduan audit dilakukan dengan melakukan

pengecekan kelengkapan prosedur yang ada dengan aktivitas-aktivitas dan proses-proses yang terkait dengan pengelolaan lingkungan fisik TI di dalam COBIT 5.

(37)

(38)

BAB V

KESIMPULAN & SARAN

(39)

Kesimpulan

• Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan, pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI.

• Pembuatan dokumen panduan audit ini menghasilkan: 1. Ikhtisar dokumen panduan audit teknologi informasi

2. Kertas kerja pemeriksaan utama audit teknologi informasi

3. Audit Checklist, yang terdiri dari tiga bagian.

4. Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian sebagai berikut :

 Pengelolaan Lingkungan : 9 prosedur

 Pengelolaan Fasilitas (CK.2) : 12 prosedur

 Pengelolaan Akses Fisik ke Aset TI : 5 prosedur 4. Kertas kerja konsep temuan pemeriksaan

(40)

Saran

• Panduan audit ini dibuat berdasarkan COBIT 5. Untuk pengembangan

selanjutnya, diharapkan dapat dibuat dokumen panduan audit dengan menggunakan standar lain, dengan kelebihan masing-masing.

• Penelitian ini diharapkan dapat menjadi dasar bagi

(41)

Daftar Pustaka

• Ditjen Perbendaharaan. 2009. Perdirjen Perbendaharaan No. PER/46/PB/2009.Jakarta.

• Insani, Wening. 2010. Perancangan Buku Visual Cara Membuat Mainan Tradisional untuk Anak.

Surabaya: Institut Teknologi Sepuluh Nopember.

• ISACA. 2012. COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association.

• Istiqlal, Yaomi Awalishoum. 2010. Pembuatan Panduan Audit Manajemen Insiden TI berdasarkan ITIL (Studi Kasus di BPK RI).Surabaya: Institut Teknologi Sepuluh Nopember.

• IT Governance Institute. 2007. COBIT 4.1.USA: IT Governance Institute.

• Menteri Keuangan Republik Indonesia. 2010. KMK Nomor 479/KMK.01/2010. Jakarta. • Mukhtar, Ali Masjono . 1999.Audit Sistem Informasi. Jakarta: Rineka Cipta.

• Robert, R., dan Moeller. 2008. Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL.USA: John Wiley.

• Sarno, Riyanarto. 2009. Audit Sistem Informasi dan Teknologi Informasi.Surabaya: ITS Press.

• Tarigan, Joshua. 2006. Merancang IT Governance dengan Cobit & Arbanes-Oxley dalam Konteks Budaya Indonesia.Surabaya: Universitas Kristen Petra.

• Tim Direktorat Keamanan Informasi. 2011. Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Keamanan Publik. Jakarta: Kementerian Komunikasi dan Informatika RI.

• Weber, Ron A. 1999. Information Systems Control and Audit. Fremont, CA, USA: Prentice Hall Business Publishing.

(42)