Abstrak – KPPN Surabaya II merupakan instansi yang harus memberikan layanan prima kepada satuan kerja, sehingga dukungan teknologi informasi (TI) sangat diperlukan demi kelancaran layanan. Teknologi informasi akan dapat dimanfaatkan dengan optimal jika didukung oleh fasilitas dan lingkungan fisik yang baik. Untuk memastikan bahwa pengelolaan lingkungan fisik TI telah dilaksanakan dengan baik, dibutuhkan suatu mekanisme kontrol berupa audit teknologi informasi. Sampai saat ini, KPPN Surabaya II sama sekali belum pernah melakukan audit teknologi informasi, termasuk dalam proses pengelolaan lingkungan fisik TI. Sehingga, pengelolaan fisik TI di KPPN Surabaya II menjadi kurang optimal. Hal ini juga dapat meningkatkan munculnya risiko yang berkaitan dengan fasilitas fisik TI, seperti kerusakan perangkat TI, kehilangan data karena pencurian dan sebagainya.
Berdasarkan alasan di atas, maka penulis ingin menyusun suatu dokumen panduan audit untuk membantu pelaksanaan audit teknologi informasi di KPPN Surabaya II. Framework yang akan digunakan dalam pembuatan dokumen panduan audit ini adalah COBIT 5. Proses pembuatan panduan audit dimulai dengan memetakan proses-proses di dalam COBIT 5 dengan kondisi KPPN Surabaya II, menyusun langkah-langkah audit, membuat checklist, dan terakhir menyusun dokumen panduan audit. Hasil akhir penelitian ini nantinya berupa dokumen panduan audit yang di dalamnya berisi tujuan, ruang lingkup audit, auditor internal, checklist, prosedur audit, serta form temuan audit. Dokumen ini nantinya diharapkan dapat membantu auditor internal dalam melakukan audit teknologi informasi di KPPN Surabaya II.
Kata Kunci — Audit, COBIT 5, KPPN Surabaya II, lingkungan fisik, panduan, teknologi informasi.
I. PENDAHULUAN
AAT ini, teknologi informasi (TI) telah menjadi aspek yang sangat penting bagi berbagai organisasi dan perusahaan untuk mencapai tujuan bisnisnya. TI selalu berperan dalam mendukung proses bisnis, baik proses bisnis utama maupun pendukung yang ada di dalam organisasi atau perusahaan tersebut. Ketergantungan yang tinggi terhadap TI ini akan mengakibatkan proses bisnis tidak mampu berjalan dengan baik jika layanan TI kurang mampu menjalankan fungsinya secara optimal.
KPPN Surabaya II sebagai instansi publik yang tugas pokoknya menyalurkan pembiayaan yang dibebankan ke
Anggaran Pendapatan Biaya Negara (APBN), sangat membutuhkan dukungan sistem informasi dan teknologi informasi untuk merekam proses transaksi pencairan dana yang terjadi setiap harinya dengan para satuan kerja (satker). KPPN Surabaya II telah cukup banyak melakukan investasi TI, baik dari segi infrastruktur maupun jaringan dalam rangka mencapai tujuan bisnisnya tersebut.
Investasi TI di KPPN Surabaya II tersebut akan dapat berfungsi dengan baik dan memberikan kontribusi yang optimal terhadap proses bisnis KPPN Surabaya II jika didukung dengan fasilitas dan lingkungan fisik TI yang baik. Lingkungan fisik TI yang dimaksud meliputi kondisi, tata letak infrastruktur TI, fasilitas fisik dan juga pengamanan fasilitas fisik tersebut. Pengelolaan lingkungan fisik TI yang baik akan mengurangi gangguan bisnis dari risiko-risiko seperti kerusakan perangkat TI, kehilangan data karena pencurian, kebakaran dan lain-lain.
Kegiatan pengelolaan TI di KPPN Surabaya II, termasuk di dalamnya pengelolaan lingkungan fisik TI, mengikuti Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan.
Untuk memastikan bahwa pengelolaan lingkungan fisik TI telah dilaksanakan dengan baik, dibutuhkan suatu mekanisme kontrol berupa audit teknologi informasi. Sampai saat ini, sama sekali belum pernah dilakukan audit teknologi informasi di KPPN Surabaya II, sehingga tidak dapat diketahui sejauh mana efisiensi dan efektivitas pengelolaan teknologi informasi yang telah dilakukan KPPN Surabaya II.
Berdasarkan hal tersebut, maka tugas akhir ini bertujuan untuk merumuskan guideline (panduan) untuk mengaudit proses pengelolaan lingkungan fisik TI pada KPPN Surabaya II. Panduan audit ini bertujuan untuk membantu memudahkan auditor internal untuk melakukan audit TI pada KPPN Surabaya II. Panduan audit ini nantinya diharapkan dapat membantu jalannya proses audit oleh auditor, mulai dari tahap perencanaan, sampai dengan pelaporan. Dokumen panduan audit ini akan berisi tujuan, ruang lingkup audit, auditor internal, checklist, prosedur audit, serta form temuan audit..
Pembuatan panduan audit ini akan menggunakan kerangka kerja COBIT 5. Penulis menggunakan COBIT 5 sebagai acuan karena COBIT 5 mengintegrasikan beberapa best practice teknologi informasi. Di samping itu, framework COBIT 5
Pembuatan Panduan Audit Teknologi Informasi
pada Proses Pengelolaan Lingkungan Fisik
Berbasis COBIT 5 di KPPN Surabaya II
Yudhis Cahyo Eko, Ahmad Holil Noor Ali, Prih Haryanta
Jurusan Sistem Informasi, Fakultas Teknologi Informatika, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
: holil@is.its.ac.id
cukup lengkap karena tidak hanya membahas mengenai control objective saja, namun juga aktivitas-aktivitas yang harus dilakukan untuk memenuhi control objective tersebut.
Dokumen panduan audit ini nantinya dikhususkan hanya untuk lingkungan KPPN Surabaya II. Hal ini dikarenakan dasar pembuatan serta data-data penelitian pada pembuatan dokumen ini berasal dari KPPN Surabaya II. Selain itu, KPPN Surabaya II memiliki hal khusus yang membedakan dari KPPN-KPPN lainnya, yaitu KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara Surabaya II, sehingga beberapa aset yang terdapat di KPPN Surabaya II merupakan milik Gedung Keuangan Negara. Meskipun demikian, tidak menutup kemungkinan dokumen ini untuk digunakan sebagai acuan bagi instansi lain di luar KPPN Surabaya II bagi proses audit di instansinya.
Sesuai latar belakang yang telah dipaparkan di atas, maka permasalahan yang akan diselesaikan dalam tugas akhir ini adalah bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung jawab audit, prosedur audit, audit checklist, serta form temuan) pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai dengan standar COBIT 5.
Tujuan tugas akhir ini adalah untuk menghasilkan dokumen-dokumen (tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit) yang digunakan untuk memandu pelaksanaan audit SI/TI pada KPPN Surabaya II.
II. TINJAUANPUSTAKA 2.1 Pengelolaan Lingkungan Fisik dalam COBIT 5
Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information System Audit and Control Association (ISACA). COBIT saat ini yang dipakai yaitu COBIT 5 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1. Pengelolaan lingkungan fisik TI di dalam COBIT 5 terdapat di dalam 3 proses berikut:
2.1.1 DSS01.04 Pengelolaan Lingkungan
Mengelola langkah-langkah untuk perlindungan terhadap faktor lingkungan. Memasang peralatan dan perangkat khusus untuk memantau dan mengendalikan lingkungan.
Aktivitas dalam pengelolaan lingkungan adalah sebagai berikut:
1. Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) yang mungkin terjadi di daerah di mana fasilitas TI berada. Menilai efek potensial pada fasilitas IT.
2. Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Memastikan bahwa telah terdapat peraturan untuk membatasi atau melarang makan, minum dan merokok di daerah sensitif, dan melarang penyimpanan
ATK yang berpotensi menimbulkan bahaya kebakaran dalam ruang komputer
3. Menempatkan dan membangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan.
4. Secara rutin memonitor dan menjaga perangkat yang proaktif mendeteksi ancaman lingkungan (misalnya, api, air, asap, kelembaban).
5. Menanggapi alarm bahaya lingkungan dari daerah setempat dan tanda peringatan lainnya. Dokumen dan uji prosedur, yang harus mencakup prioritas alarm dan kontak dengan pihak berwenang tanggap darurat lokal, dan melatih personil dalam prosedur ini.
6. Memastikan bahwa rencana kontingensi tidak bertentangan dengan persyaratan polis asuransi.
7. Memastikan bahwa ruangan IT dibangun dan dirancang untuk meminimalkan dampak lingkungan (misalnya risiko pencurian, udara, api, asap, air, getaran, teror, vandalisme, ledakan bahan kimia. Mempertimbangkan zona keamanan spesifik dan/atau ruangan tahan api (misalnya menempatkan lingkungan produksi dan server saling berjauhan satu sama lain)
8. Menjaga agar lingkungan TI dan server selalu bersih dan dalam kondisi aman setiap saat (yaitu, tidak ada kekacauan, tidak ada kertas atau kardus, tidak ada tempat sampah penuh, tidak ada bahan kimia atau material yang mudah terbakar ).
2.1.2 DSS01.05 Pengelolaan Fasilitas
Mengelola fasilitas, termasuk sumber tenaga dan peralatan komunikasi, sesuai dengan peraturan perundang-undangan, persyaratan teknis dan bisnis, spesifikasi vendor, dan pedoman kesehatan dan keselamatan.
Aktivitas yang terdapat dalam pengelolaan fasilitas adalah sebagai berikut:
1. Memeriksa requirement fasilitas TI untuk perlindungan terhadap fluktuasi daya dan pemadaman, dalam kaitannya dengan persyaratan business continuities planning. Pengadaan peralatan penjaga pasokan listrik (misalnya, baterai, generator) untuk mendukung perencanaan kelangsungan bisnis.
2. Secara berkala menguji uninterruptible power supply (UPS) dan memastikan daya yang dapat beralih ke dengan baik tanpa mengganggu operasi bisnis
3. Memastikan bahwa fasilitas ruang sistem TI memiliki lebih dari satu sumber untuk setiap fungsi (misalnya, listrik, telekomunikasi, air, gas). Memisahkan pintu masuk fisik dari setiap fungsi.
4. Mengkonfirmasikan bahwa kabel eksternal ke ruangan TI terletak di bawah tanah atau memiliki proteksi alternatif yang sesuai. Memastikan kabel di dalam area TI terdapat di dalam saluran yang aman, dan lemari kabel memiliki akses terbatas untuk pihak yang berwenang. Memastikan kabel telah dilindungi terhadap kerusakan yang disebabkan oleh api, asap, air, intersepsi dan gangguan.
5. Memastikan bahwa pemasangan kabel dan sambungan fisik (data dan telepon) telah terstruktur dan terorganisir. Kabel dan struktur saluran harus didokumentasikan (misalnya, rencana pembangunan cetak biru dan wiring diagram). 6. Menganalisa ketersediaan fasilitas sistem untuk redundansi
dan kegagalan pengkabelan (eksternal dan internal) 7. Pastikan bahwa area dan fasilitas TI sesuai dan
berkelanjutan dengan spesifikasi vendor, hukum keselamatan kesehatan yang relevan dan, peraturan serta regulasi.
8. Mengadakan pelatihan personil secara teratur tentang hukum kesehatan dan keselamatan, peraturan, dan pedoman yang relevan. Mengadakan pelatihan personil terhadap kebakaran dan latihan keselamatan untuk memastikan pengetahuan dan tindakan yang diambil dalam kasus kebakaran atau insiden serupa.
9. Merekam, memantau, mengelola dan menyelesaikan insiden yang terjadi terhadap fasilitas TI sejalan dengan proses manajemen insiden TI. Membuat laporan insiden yang terjadi sesuai hukum dan peraturan.
10.Memastikan bahwa situs dan peralatan TI dipelihara sesuai dengan service berkala dan spesifikasi dari supplier. Proses pemeliharaan harus dilakukan hanya oleh petugas yang berwenang.
11.Melakukan analisis perubahan fisik terhadap situs TI untuk menilai kembali risiko lingkungan (misalnya, api atau kerusakan oleh air). Melaporkan hasil analisis ini untuk kelangsungan bisnis dan manajemen fasilitas.
2.1.3 DSS 05.05 Pengelolaan Akses Fisik ke Aset TI
Menetapkan dan menerapkan prosedur untuk memberikan, membatasi dan mencabut akses ke lokasi, bangunan dan daerah sesuai dengan kebutuhan bisnis, termasuk keadaan darurat. Akses ke bangunan dan wilayah tertentu sesuai kebutuhan bisnis harus dibenarkan, disahkan, disimpan dan dipantau. Kondisi ini harus berlaku untuk semua orang yang memasuki lokasi, termasuk staf, staf sementara, klien, vendor, pengunjung atau pihak ketiga lainnya.
Aktivitas yang terdapat dalam pengelolaan akses fisik ke aset adalah sebagai berikut.
1. Mengelola permintaan dan pemberian akses ke fasilitas komputer. Permintaan akses formal akan disahkan oleh manajemen dari area TI, dan catatan permintaan disimpan. Format harus spesifik mengidentifikasi daerah mana individu diberikan akses.
2. Pastikan bahwa profil akses tetap berjalan. Akses untuk area TI (ruang server, bangunan, area, atau zona) didasarkan pada fungsi tugas dan tanggung jawab
3. Mencatat dan memantau semua titik masuk ke area TI. Daftar semua pengunjung, termasuk kontraktor dan vendor, ke area TI.
4. Instruksikan semua personil agar identitas terlihat jelas sepanjang waktu. Mencegah penerbitan kartu identitas atau lencana tanpa otorisasi yang tepat.
5. Pengunjung harus dipandu setiap saat selama di situs TI. Jika terdapat individu yang tidak dipandu dan tidak memakai identitas staf, maka menghubungi petugas keamanan.
6. Membatasi akses ke situs sensitif TI dengan membentuk perimeter pembatasan, seperti pagar, dinding, dan perangkat keamanan pada interior dan eksterior pintu. Pastikan bahwa perangkat keamanan akan memicu alarm jika terdapat akses yang tidak sah. Contoh perangkat tersebut meliputi lencana atau key card, keypad, CCTV dan scanner biometrik.
7. Melakukan pelatihan keamanan fisik secara teratur. III. METODOLOGI
Metodologi pengerjaan tugas akhir ini secara garis besar terdiri atas tahapan-tahapan berikut.
1. Pengumpulan Data
2. Pembuatan Dokumen Panduan Audit 3. Verifikasi Dokumen Panduan Audit
Penjelasan lebih lanjut mengenai terhadap metodologi yang digunakan terdapat pada bagian IV (Pembahasan).
IV. PEMBAHASAN 4.1 Pengumpulan Data
Pengumpulan data dilakukan dengan tiga cara yaitu review dokumen, observasi langsung pada KPPN Surabaya II serta wawancara terhadap pegawai KPPN Surabaya II.
Dari pengumpulan data yang dilakukan, didapatkan informasi bahwa KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara (GKN) Surabaya II. KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN. Karena merupakan bagaikan dari GKN, maka beberapa aset yang terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN.
4.2 Pembuatan Dokumen Panduan Audit
Pembuatan dokumen panduan audit dilakukan melalui tahap-tahap berikut.
4.2.1 Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan
Di dalam pelaksanaannya, tidak semua struktur fungsional di dalam COBIT ter-cover di dalam struktur organisasi KPPN Surabaya II. Sehingga, beberapa fungsi yang ada di dalam COBIT harus dirangkap oleh Kepala Subbagian Umum maupun oleh staf yang lain.
Berdasarkan hasil observasi dan pengumpulan data di KPPN Surabaya II, aktor-aktor utama yang berperan dalam pengelolaan lingkungan fisik TI di antaranya adalah :
1. Kepala kantor
2. Kepala subbagian umum 3. Staf TU/RT
4. Supervisor
Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed).
Responsible berarti pihak yang bertanggung jawab terhadap pelaksanaan aktifitas.
Accountable berarti pihak yang memberikan arahan untuk pelaksanaan aktifitas.
Consulted berarti pihak tersebut dilibatkan dalam pengambilan keputusan suatu aktifitas
Informed berarti pihak tersebut diberi laporan terhadap suatu aktifitas.
Hasil pemetaan RACI Chart ke struktur organisasi KPPN Surabaya dapat dilihat pada tabel 1 berikut ini.
Tabel 1.
RACI Chart Pengelolaan Lingkungan Fisik TI pada KPPN Surabaya II Proses Kepala kantor Kepala subbagia n umum TU / RT Super -visor Pengelolaan lingkungan I C/R/A I R Pengelolaan Fasilitas I C/R/A I R Pengelolaan akses fisik ke aset TI I C/R/A I R
4.2.2 Penentuan Bukti Audit
Dari aktivitas yang ada berkaitan dengan pengelolaan lingkungan fisik pada COBIT 5, kemudian ditentukan bukti untuk mendukung pelaksanaan aktivitas tersebut beserta metode pengumpulan bukti tersebut. Berikut ini akan diuraikan bukti yang dibutuhkan beserta metode pengumpulan bukti untuk setiap aktivitas.
Contoh penentuan bukti audit untuk salah satu aktivitas dalam COBIT 5 dapat dilihat dalam tabel 2 berikut ini.
Tabel 2. Penentuan Bukti Audit IT Process
COBIT 5
Aktivitas Sumber Metode DSS 01.04 Pengelolaan Lingkungan 1.Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Kasubbag Umum, supervisor Interview, observasi 2.Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Supervisor, peraturan pengamanan perangkat TI Review dokumen, observasi dan interview
4.2.3 Penyusunan Dokumen Panduan Audit
Tahapan penyusunan dokumen panduan audit adalah sebagai berikut.
4.2.3.1 Pembuatan Prosedur Audit
Setelah menentukan bukti-bukti yang harus dikumpulkan, langkah selanjutnya adalah membuat prosedur audit dari aktivitas-aktivitas yang ada di dalam COBIT.
Contoh pemetaan prosedur audit dari aktivitas-aktivitas yang ada di dalam COBIT dapat dilihat pada tabel 3 berikut.
Tabel 3.
Pemetaan prosedur audit dari aktivitas di dalam COBIT No Proses COBIT 5 Aktivitas Prosedur Audit Kode Doku men 1 Pengelola an Lingkung an (DSS01.0 4) Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Prosedur audit identifikasi risiko lingkungan dan human error P.1.1 Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Prosedur audit perlindunga n terhadap perangkat mobile dan perangkat dari luar lokasi P.1.2
Dari hasil pemetaan prosedur untuk setiap aktivitas, prosedur-prosedur audit yang ada untuk setiap proses yang berkaitan dengan pengelolaan lingkungan fisik TI adalah sebagai berikut.
1. Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi
a. Identifikasi risiko lingkungan dan human eror (P.1.1) b. Perlindungan terhadap perangkat mobile dan perangkat
di luar lokasi (P.1.2)
c. Penempatan fasilitas ruang server (P.1.3)
d. Penempatan fasilitas di dalam gedung KPPN Surabaya II (P.1.4)
e. Perangkat keamanan lingkungan (P.1.5)
f. Sosialisasi dan pelatihan keamanan lingkungan (P.1.6) g. Rencana kontingensi (P.1.7)
h. Kebersihan dan keamanan ruang server (P.1.8)
i. Kebersihan dan keamanan gedung KPPN Surabaya II (P.1.9)
2. Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi
a. Penyediaan tenaga listrik cadangan (P.2.1) b. Pemeliharaan UPS (P.2.2)
c. Sumber daya listrik, air, dan komunikasi (P.2.3) d. Keamanan kabel (P.2.4)
e. Keamanan area KPPN Surabaya II (P.2.5) f. Keamanan area server (P.2.6)
g. Manajemen insiden TI (P.2.7) h. Pemeliharaan komputer server (P.2.8)
i. Pemeliharaan Personal Computer (PC) (P.2.9) j. Pemeliharaan Printer (P.2.10)
k. Pemeliharaan Scanner (P.2.11) l. Analisis perubahan area fisik (P.2.12)
3. Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke aset TI, meliputi
a. Pengelolaan akses masuk ke ruangan server (P.3.1) b. Pengelolaan akses masuk ke ruangan selain front office
(P.3.2)
c. Prosedur audit pengelolaan akses pegawai ke ruangan KPPN Surabaya II (P.3.3)
d. Pengelolaan buku tamu (P.3.4) e. Perimeter keamanan fisik (P.3.5)
Di dalam dokumen audit, setiap prosedur akan diuraikan lagi menjadi langkah-langkah menjadi langkah-langkah audit. Sebagai contoh, langkah audit untuk prosedur audit “identifikasi risiko lingkungan dan human error (P.1)” pada Pengelolaan Lingkungan Fisik, adalah sebagai berikut : 1. Tanyakan dan periksa apakah risiko keamanan yang
berkaitan dengan bencana alam dan kerusakan karena ulah manusia (human eror) telah diidentifikasikan?
(Lakukan pemeriksaan secara langsung terhadap :
a. Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok) dan tabung pemadam di setiap ruangan b. Ketersediaan petunjuk mengenai jalur evakuasi dan
adanya tangga darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7 GKN.
c. Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer server dan 46 unit PC untuk mengatasi risiko pemadaman
d. Ketersediaan genset untuk cadangan sumber tenaga saat terjadi pemadaman.
e. Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti gempa bumi)
2. Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan?
(Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan pengamanan yang harus diambil)
4.2.3.2 Pembuatan Audit Checklist
Untuk mengetahui sejauh mana prosedur audit telah dipenuhi dari langkah-langkah audit yang telah dilakukan, maka selanjutnya perlu dibuat audit checklist.
Audit checklist ini terdiri dari tiga bagian, yaitu : 1. Audit Checklist Pengelolaan Lingkungan (CK.1) 2. Audit Checklist Pengelolaan Fasilitas (CK.2)
3. Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3) Salah satu contoh audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3) dapat dilihat pada tabel 4 berikut.
Tabel 4.
Audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3)
CHECKLIST PROSES PENGELOLAAN AKSES FISIK KE ASET TI
No Audit Checklist Skala Ref
1 Pengelolaan akses masuk ke ruangan server
P.3.1 2 Pengelolaan akses masuk ke
ruangan selain front office
P.3.2 3 Prosedur audit pengelolaan akses
pegawai ke ruangan KPPN Surabaya II
P.3.3
4 Pengelolaan buku tamu P.3.4
5 Perimeter keamanan fisik P.3.5
4.2.3.3 Skala Penilaian
Penilaian dalam dokumen panduan audit ini mengacu pada penilaian dari penelitian sebelumnya yang dilakukan oleh Istiqlal, 2010. Penilaian dalam penelitian ini menggunakan skala Likert berdasarkan kesesuaiannya dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai. Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah prosedur yang ada telah sesuai dengan standar atau tidak.
Skala Likert yang digunakan dalam penilaian audit ini adalah sebagai berikut.
1 : Sangat tidak sesuai
Apabila poin-poin kontrol yang ada dalam prosedur audit tidak dilaksanakan sama sekali.
2 : Tidak sesuai
Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan sebagian, namun tidak mencapai 50% 3 : Cukup
Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan antara 50%-70%
4 : Sesuai
Apabila sebagian besar poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, namun belum
didokumentasikan 5 : Sangat sesuai
Apabila semua poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, dan telah didokumentasikan 4.2.3.4 Dokumen Panduan Audit Teknologi Informasi
Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di dalamnya berisi hal-hal berikut ini :
1. Ikhtisar dokumen panduan audit
Bagian ini memberikan penjelasan mengenai isi dokumen, tujuan, ruang lingkup dokumen, istilah dan definisi, kode etik auditor, uraian pekerjaan auditor, tahapan audit, serta form-form yang digunakan dalam proses audit.
2. Kertas kerja pemeriksaan utama audit teknologi informasi Bagian ini berisi mengenai kesimpulan dari hasil audit proses pengelolaan lingkungan fisik TI pada KPPN Surabaya II.
3. Audit Checklist
Audit checklist berfungsi untuk mengetahui sejauh mana prosedur audit telah dipenuhi dari langkah-langkah audit yang telah dilakukan.
Audit checklist ini terdiri dari tiga bagian, yaitu : a. Audit Checklist Pengelolaan Lingkungan (CK.1) b. Audit Checklist Pengelolaan Fasilitas (CK.2)
c. Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3)
4. Prosedur Audit
Di dalam setiap prosedur audit terdapat penjelasan mengenai langkah-langkah yang harus dilaksanakan dalam proses auditing. Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan fisik TI di KPPN Surabaya II, dengan pembagian sebagai berikut :
a. Pengelolaan Lingkungan : 9 prosedur b. Pengelolaan Fasilitas : 12 prosedur c. Pengelolaan Akses Fisik ke Aset TI: 5 prosedur 5. Kertas kerja konsep temuan pemeriksaan
Bagian ini menjelaskan mengenai temuan-temuan yang didapatkan selama proses audit pengelolaan lingkungan fisik di KPPN Surabaya II.
4.3 Verifikasi Dokumen Panduan Audit
Verifikasi dokumen panduan audit dilakukan dengan melakukan pengecekan kelengkapan prosedur yang ada dengan aktivitas-aktivitas dan proses-proses yang terkait dengan pengelolaan lingkungan fisik TI di dalam COBIT 5.
Tabel verifikasi kelengkapan dokumen panduan audit dapat dilihat berikut ini.
Tabel 5.
Verifikasi kelengkapan dokumen panduan audit Prosedur Audit Audit Checklist Aktivitas dalam COBIT Proses Identifikasi risiko lingkungan dan human eror (P.1.1) CK.1 Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Pengelolaan Lingkungan (DSS01.04)
Dari hasil verifikasi dokumen panduan audit kita dapat mengetahui bahwa setiap aktivitas yang ada di dalam pengelolaan lingkungan fisik COBIT 5 telah tercakup dalam prosedur-prosedur dan audit checklist yang ada dalam dokumen panduan audit.
V. KESIMPULAN
Kesimpulan yang dapat diambil dari pembuatan dokumen panduan audit TI ini antara lain :
1. Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan, pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI.
2. Pembuatan dokumen panduan audit ini menghasilkan: Ikhtisar dokumen panduan audit teknologi informasi,
termasuk di dalamnya penjelasan mengenai tujuan, ruang lingkup dokumen, istilah dan definisi, kode etik auditor, uraian pekerjaan auditor, tahapan audit, serta form-form yang digunakan dalam proses audit.
Kertas kerja pemeriksaan utama audit teknologi informasi
Audit Checklist, yang terdiri dari tiga bagian.
Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian sebagai berikut :
a. Pengelolaan Lingkungan : 9 prosedur b. Pengelolaan Fasilitas (CK.2) : 12 prosedur c. Pengelolaan Akses Fisik ke Aset TI : 5 prosedur Kertas kerja konsep temuan pemeriksaan
UCAPANTERIMAKASIH
Penulis Y.C.E mengucapkan terima kasih kepada Direktorat Jenderal Perbendaharaan dan KPPN Surabaya II yang telah banyak membantu penulis dalam melaksanakan penelitian ini.
DAFTARPUSTAKA
Ditjen Perbendaharaan. 2009. Perdirjen Perbendaharaan No. PER/46/PB/2009. Jakarta.
Insani, Wening. 2010. Perancangan Buku Visual Cara Membuat Mainan Tradisional untuk Anak. Surabaya: Institut Teknologi Sepuluh Nopember.
ISACA. 2012. COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association. Istiqlal, Yaomi Awalishoum. 2010. Pembuatan Panduan Audit
Manajemen Insiden TI berdasarkan ITIL (Studi Kasus di BPK RI). Surabaya: Institut Teknologi Sepuluh Nopember.
IT Governance Institute. 2007. COBIT 4.1. USA: IT Governance Institute.
Menteri Keuangan Republik Indonesia. 2010. KMK Nomor 479/KMK.01/2010. Jakarta.
Mukhtar, Ali Masjono . 1999. Audit Sistem Informasi. Jakarta: Rineka Cipta.
Robert, R., dan Moeller. 2008. Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL. USA: John Wiley.
Sarno, Riyanarto. 2009. Audit Sistem Informasi dan Teknologi Informasi. Surabaya: ITS Press.
Tarigan, Joshua. 2006. Merancang IT Governance dengan Cobit & Arbanes-Oxley dalam Konteks Budaya Indonesia. Surabaya: Universitas Kristen Petra. Tim Direktorat Keamanan Informasi. 2011. Panduan
Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Keamanan Publik. Jakarta: Kementerian Komunikasi dan Informatika RI. Weber, Ron A. 1999. Information Systems Control and Audit.
Fremont, CA, USA: Prentice Hall Business Publishing.
