BAB IV HASIL DAN PEMBAHASAN

(1)

38

Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.

4.1 Tahap Perencanaan Audit 4.1.1 Studi Literatur

Studi literatur yang dilakukan menghasilkan dasar yang akan digunakan dalam penulisan tugas akhir. Audit yang dilakukan pada penelitian ini menggunakan audit berbasis risiko. Audit berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia. Audit yang dilakukan menggunakan tiga prosedur dari Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Prosedur yang digunakan seperti terlihat pada Tabel 4.1.

(2)

Tabel 4.1 Prosedur yang Digunakan PBI:2007

5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.3Prosedur Pengamanan Fisik dan lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013 dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel pemetaan tersebut seperti pada Tabel 4.2.

Tabel 4.2 Pemetaan PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik

dan lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

Klausul 16. Manajemen Insiden Keamanan Informasi

Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada Tabel 4.3.

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung

jawab setiap aset.

8.1.1 8.1.2

Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi.

11.1.1 11.1.2 11.1.3 11.1.4

Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas.

Perlindungan pihak luar dan ancaman lingkungan

(3)

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 (Lanjutan) 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung.

11.2.2 Perangkat pendukung d. Terdapat identifikasi dan

perlindungan terhadap aset milik penyedia jasa.

e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi

11.2.4 Perawatan peralatan.

Klausul 16. Manajemen insiden keamanan informasi

a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi.

16.1.2 Laporan kejadian keamanan informasi.

b. Terdapat prosedur penanganan insiden

16.1.1 Tanggung jawab dan prosedur kontrol.

c. Terdapat tim khusus yang menangani insiden pengamanan.

d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan

Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium dan high. Risk register dalam memperoleh nilai membandingkan antara kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat pada Tabel 4.4.

Tabel 4.4 Risk Register

Ase t Desk ripsi Risik o Analisa Kerawa nan Inheren Residual Kece nder unga n Da mp ak Kecen derung an Kontrol Yang ada Kecen derun gan Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan 1 2 3 4 5 6 7 8 9 10 11

(4)

4.1.2 Identifikasi Proses Bisnis dan TI

Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro berdiri sejak 7 Juli 1970. Kantor ini berada di atas tanah seluas ± 350 m2 dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat wilayah kecamatan Sukomoro.

Visi dari perusahaan adalah “Menjadi bank komersial terkemuka yang selalu mengutamakan kepuasan nasabah ”. Misi dari perusahaan adalah

a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang peningkatan ekonomi masyarakat.

b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja yang tersebar luas dan didukung oleh sumber daya manusia yang profesional dengan melaksanakan praktek good corporate governance. c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak

yang berkepentingan.

Tujuan bisnis dari perusahaan yaitu menyediakan jasa keuangan untuk masyarakat melalui pemberian pinjaman dan menghimpun dana melalui simpanan dengan sasaran bisnis yaitu masyarakat luas. Struktur organisasi dari PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro seperti terlihat pada Gambar 4.1.

(5)

Gambar 4.1. Strukur Organisasi

Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses bisnis pembukaan rekening pinjaman baru, penyetoran melalui teller, pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5.

Tabel 4.5 Aset yang Diaudit

Proses Bisnis Aset Jenis Aset

Pembukaan Rekening Simpanan Baru

Berkas simpanan berupa hardcopy Data

Server Perangkat Keras

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Printer Pasbook Perangkat Keras

Mesin ATM Perangkat Keras

Lemari besi anti api Perangkat Pendukung Pembukaan

Rekening Pinjaman Baru

Berkas pinjaman berupa hardcopy Data

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Brankas Tanam Perangkat

Pendukung Kepala Unit

Customer service Mantri Satpam

Teller

(6)

Tabel 4.5 Aset yang Diaudit (Lanjutan)

Proses Bisnis Aset Jenis Aset

Penyetoran Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Personal Computer (teller) Perangkat Keras

Penarikan Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Pembuatan Laporan Harian

Laporan harian berupa hardcopy Data

Printer Laser Perangkat Keras

Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat pada Tabel 4.6.

Tabel 4.6. Perangkat Pendukung yang Diaudit

Aset Jenis Aset

Pendingin ruangan (ruang server) Perangkat pendukung

Brankas jinjing Perangkat pendukung

Genset Perangkat pendukung

CCTV Perangkat pendukung

Tabung pemadam kebakaran Perangkat pendukung

Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro yaitu,

Gambar 4.2. Proses Bisnis Pembukaan Rekening Simpanan Baru

Nasabah menyerahkan KTP dan NPWP Customer Service (CS) mencetak formulir simpanan persyaratan disusun menjadi berkas simpanan. Nasabah menandatangani formulir simpanan Berkas simpanan diserahkan ke Kepala Unit ( Kaunit) Kaunit memberikan persetujuan. Cs mencetak buku tabungan dan mengaktifkan Kartu ATM Cs menyerahkan buku tabungan dan

Kartu ATM nasabah melakukan penyetoran pada teller. Cs menyimpan berkas simpanan di lemari besi anti api.

(7)

a. Pembukaan Rekening Simpanan Baru

Proses pembukaan rekening simpanan baru pertama kali yang dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah. Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah kepala unit telah memberi persetujuan, costumer service mencetak buku tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM melalui ATM. Customer service menyimpan berkas simpanan ke dalam lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan baru dapat dilihat pada Gambar 4.2.

Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu berkas simpanan berupa hardcopy, personal computer milik customer service, printer inkjet, personal computer milik kaunit, server, printer pasbook, mesin ATM dan lemari besi anti api

b. Pembukaan Rekening Pinjaman Baru

Proses bisnis pembukaan rekening pinjaman baru dilakukan dengan cara nasabah mengajukan permohonan pinjaman beserta fotokopi ktp, kk, npwp, surat keterangan dari kecamatan bahwa memiliki usaha dan agunan tambahan. Costumer service mencetak formulir permohonan, yang selanjutnya ditanda tangani oleh nasabah. Nasabah dipersilahkan menunggu telepon dari customer service saat realisasi.

(8)

Costumer service menyusun data menjadi SKPP (Surat Keterangan Permohonan Pinjaman), SKPP akan dicek oleh kepala unit dan di disposisi ke mantri untuk disurvey kelayakannya. Hasil dari analisis mantri diserahkan ke customer service. Customer service menyerahkan hasil survey mantri ke kepala unit untuk diputuskan. Permohonan yang diputuskan disetujui dikembalikan ke customer service.

Customer service memanggil nasabah untuk melakukan realisasi pinjaman. Nasabah membawa agunan tambahan asli untuk diserahkan ke costumer service. Setelah itu customer service mencetak formulir realisasi untuk ditandatangani nasabah. Setelah itu costumer service menyusun menjadi berkas pinjaman. Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana. Selanjutnya nasabah melakukan pencairan dana ke teller. Costumer service mencatat berkas kepada buku induk pinjaman. Costumer service bersama kepala unit menyimpan berkas pinjaman dalam brankas tanam. Gambaran proses bisnis pembukaan rekening pinjaman baru dapat dilihat pada Gambar 4.3.

Proses bisnis untuk pembukaan rekening pinjaman baru terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (costumer service), server, printer inkjet, personal computer (kepala unit), brankas tanam dan berkas pinjaman berupa hardcopy.

(9)

Gambar 4.3. Proses Bisnis Pembukaan Rekening Pinjaman Baru

Gambar 4.4. Proses Bisnis Penyetoran Uang melalui Teller

c. Penyetoran Uang melalui Teller

Proses penyetoran uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi penyetoran. Nasabah menuju teller dengan membawa bukti transaksi penyetoran dan buku tabungan. Saat penyetoran nasabah menyerahkan uang kepada teller sesuai yang tertulis di bukti transaksi. Teller akan mengentri data melalui personal computer milik teller yang terhubung dengan server untuk mengisikan sesuai bukti transaksi dan uang yang disetor Nasabah mengajukan permohonan pinjaman Customer Service (CS) mencetak formulir permohonan persyaratan disusun menjadi berkas pinjaman. Nasabah menandatangani formulir permohonan CS menyusun menjadi SKPP Kaunit mengecek SKPP Mantri melakukan survey CS menghubungi nasabah untuk relisasi pinjaman Kaunit mengecek berkas pinjaman dan

menandatangani bukti transaksi pencairan dana Nasabah membawa agunan tambahan yang sah. Customer Service (CS) mencetak formulir realisasi. Nasabah membawa bukti transaksi pencairan dana ke teller CS menyimpan berkas pinjaman bersama kaunit ke brankas tanam Nasabah mengisi bukti transaksi

Bukti transaksi penyetoran diserahkan ke teller bersama

uang dan buku tabungan

Teller akan mencocokkan antara buku tabungan, bukti transaksi dan uang.

Teller memasukkan data ke personal computer Teller melakukan

validasi terhadap bukti transaksi Teller mengembalikan

copy bukti transaksi yang sudah divalidasi

Kepala Unit memutuskan permohonan pinjaman

(10)

oleh nasabah. Selanjutnya teller melakukan validasi terhadap bukti transaksi penyetoran. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah beserta buku tabungannya. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.4.

Proses bisnis untuk penyetoran uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy

.

Gambar 4.5. Proses Bisnis Pengambilan Uang melalui Teller

d. Pengambilan Uang melalui Teller

Proses pengambilan uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi pengambilan. Selanjutnya nasabah menuju teller dengan membawa bukti transaksi pengambilan. Proses pengambilan nasabah menyerahkan buku tabungan dan bukti transaksi kepada teller. Teller akan mengentri data melalui personal computer milik teller mengisikan sesuai bukti transaksi dan uang yang diambil oleh nasabah. Selanjutnya teller Nasabah mengisi

bukti transaksi pengambilan

Bukti transaksi pengambilan diserahkan ke teller bersama

buku tabungan

Teller akan mencocokkan antara bukti transaksi dan

buku tabungan

Teller memasukkan data ke personal computer Teller melakukan

validasi terhadap slip dan buku tabungan Teller menyerahkan

uang dan buku tabungan nasabah.

(11)

melakukan validasi terhadap bukti transaksi pengambilan. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah. Selanjutnya Uang beserta buku tabungannya diserahkan kepada nasabah. Proses bisnis untuk pengambilan uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.5.

Gambar 4.6. Proses Bisnis Pembuatan Laporan Harian

e. Pembuatan Laporan Harian

Setelah kas tutup bukti transaksi berupa hardcopy diserahkan kepada kepala unit. Kepala unit mengumpulkan menjadi satu dan dimasukkan kedalam amplop bukti kas dan diberi tanggal sesuai tanggal transaksi. Selanjutnya Kepala Unit melakukan pencetakan laporan transaksi harian dengan printer laser melalui personal computer milik kepala unit untuk mencocokkan dengan bukti kas. Gambaran proses bisnis pembuatan laporan harian dapat dilihat pada Gambar 4.6.

Kepala Unit menyimpan bukti transaksi dan laporan harian di lemari besi anti api Teller menyerahkan bukti transaksi ke kepala unit. Kepala Unit menyimpan dalam amplop khusus. Kepala Unit mencetak laporan harian

(12)

4.1.3 Identifikasi Ruang Lingkup dan Tujuan

Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. Isi dari dokumen ruang lingkup dan tujuan adalah ruang lingkup audit dan tujuan dari audit. Ruang lingkup audit meliputi Peraturan Bank Indonesia yang telah dipetakan dengan ISO 27002:2013. Ruang lingkup audit dapat dilihat pada Tabel 4.7

Tabel 4.7 Ruang Lingkup Audit

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 16. Manajemen Insiden Keamanan Informasi

Tujuan audit yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.

2. Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.

(13)

3. Melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

4.1.4 Persetujuan Engagement Letter oleh perusahaan

Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang indenpendensi dari auditor (tanggung jawab) diantaranya menjaga kerahasiaan dari hasil, data dan bukti audit tertulis dengan jelas pada engagement letter. Pihak bank menyetujui poin-poin yang akan diaudit diantara prosedur pengelolaan aset, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan operasional teknologi informasi, dan prosedur pengamanan insiden dalam pengamanan informasi yang tercantum pada ruang lingkup. Pihak bank menyetujui tanggal penyelesaian yang tercantum pada jadwal kerja yang tercantum. Kepala Unit sebagai auditee menyetujui dengan membubuhkan tanda tangan pada engagement letter. Bentuk dari engagement letter terlihat pada gambar 4.7 dan 4.8. Engagement letter untuk lebih jelasnya dapat dilihat pada lampiran 1.

(14)

(15)

Gambar 4.8 Halaman Akhir Engagement Letter 4.2 Tahap Persiapan Audit

4.2.1 Pembuatan Audit Working Plan

Pada tahap pembuatan audit working plan telah direncanakan waktu pelaksanaan audit kurang lebih 4 bulan. Dalam audit working plan terbagi dalam empat tahap yang akan dilalui yaitu perencanaan, persiapan, pelaksanaan dan pelaporan audit seperti yang terlihat pada Tabel 4.8.

(16)

Tabel 4.8 Audit Working Plan No Pekerjaan Audi tor Estimas i Waktu (/hari) Realis asi (/hari) Minggu 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1 Perencanaan Audit Onky P. W 16 Identifikasi Proses

Bisnis dan Teknologi Informasi

4 Identifikasi Ruang

Lingkup dan Tujuan

4 Persetujuan Engagement Letter oleh Perusahaan 4 2 Persiapan Audit Onky P. W 23 Membuat Audit Working Plan 2 Membuat Pernyataan 5 Penilaian Risiko 9 Membuat Pertanyaan 7 3 Pelaksanaan Audit Onky P. W 30 Pemeriksaan Data dan

Bukti 10 Pengumpulan Bukti 10 Analisa Hasil Pemeriksaan 10 4 Pelaporan Audit Onky P. W 11 Penyusunan dan Persetujuan Laporan Audit 10 Melaporkan Laporan Audit 1 Jumlah 80

(17)

4.2.2 Membuat Pernyataan

Pernyataan yang dibuat berdasarkan pemetaan yang telah dibuat saat studi literatur. Pernyataan berisi tentang kontrol penting yang diperiksa auditor. Pernyataan diambil dari ISO 27002 yang memiliki dasar Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Dalam pembuatan pernyataan ini pokok-pokok yang bersifat umum dalam Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum maka pernyataan diambil dari kontrol ISO 27002:2013 sesuia pemetaan yang telah dilakukan. Hasil dari pernyataan yang telah dibuat dapat dilihat pada Tabel 4.9 dan untuk lebih jelasnya dapat dilihat pada Lampiran 2.

Tabel 4.9 Pernyataan Audit

PBI ISO 27002 Pernyataan

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 1. Terdapat identifikasi dan penanggung jawab setiap aset. 8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

2. Terdapat dokumentasi untuk pengadaan aset. 3. Terdapat dokumentasi untuk penggunaan aset. 4. Terdapat dokumentasi untuk penyimpanan

aset.

5. Terdapat dokumentasi untuk transmisi aset. 6. Terdapat dokumentasi unuk penghapusan aset. 7. Terdapat dokumentasi penghancuran aset. 8. Inventaris aset akurat.

9. Inventaris aset up to date. 10. Inventaris aset konsisten 8.1.2

Kepemilikan aset

1. Terdapat inventarisasi aset. 2. Terdapat klasifikasi aset. 3. Terdapat perlindungan aset. 4. Terdapat aturan pembatasan akses. 5. Terdapat aturan klasifikasi aset.

6. Terdapat pemeriksaan secara berkala pembatasan akses.

(18)

4.2.3 Penilaian Risiko A. Identifikasi Aset

Identifikasi aset dapat dilakukan setelah auditor mendata aset yang dipergunakan dalam mendukung proses bisnis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Daftar aset tersebut dapat dilihat pada Tabel 4.10.

Tabel 4.10 Daftar Aset yang Diaudit

No. Nama Aset Jenis Aset

1. Berkas Pinjaman Berupa Hardcopy Data

2. Berkas Simpanan Berupa Hardcopy Data

3. Bukti Transaksi Harian Dalam Bentuk Hardcopy

Data

4. Laporan Transaksi Harian Berupa Hardcopy

Data

5. Server Perangkat Keras

6. Printer Pas Book Perangkat Keras

7. Mesin ATM (Anjungan Tunai Mandiri) Perangkat Keras

8. Printer Laser Perangkat Keras

9. Personal computer (Kepala Unit) Perangkat Keras 10. Personal computer (Teller) Perangkat Keras 11. Personal computer (Costumer service) Perangkat Keras

12. Printer Inkjet Perangkat Keras

13. Pendingin ruangan (Ruang Server) Perangkat Pendukung

14. Brankas Tanam Perangkat Pendukung

15. Lemari Besi Anti Api Perangkat Pendukung

16. Brankas Jinjing Perangkat Pendukung

17. Genset Perangkat Pendukung

18. CCTV Perangkat Pendukung

(19)

Setelah daftar aset telah ditentukan tahap selanjutnya mengidentifikasi aset berdasarkan tingkat kritikal aset. Dalam menentukan tingkat kritikal aset diperlukan pedoman untuk memberikan penilaian. Bentuk pedoman penilaian identifikasi aset dapat dilihat pada Tabel 4.11.

Tabel 4.11 Pedoman Penilaian Identifikasi Aset

Aspek Analisa

Sensitivitas

Kriteria Penilaian

High Medium Low

Confi-dentia-lity Berapa besar kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi / dapat diakses oleh siapa saja? Jika kerugian yang ditimbulkan sangat signifikan karena informasi yang bocor sangat sensitif atau hanya bisa diakses oleh personil tertentu yang telah diberi otorisasi. Jika kerugian yang ditimbulkan tidak signifikan karena informasi tidak sensitif atau akses informasi oleh berbagai pihak di organisasi. Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja. Integrity Berapa besar

dampak/keru gian terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan. Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan. Jika dampak yang ditimbulkan sangat kecil dan tidak menggangg u proses bisnis.

(20)

Tabel 4.11 Pedoman Penilaian Identifikasi Aset (Lanjutan)

Aspek Analisa

Sensitivitas

Kriteria Penilaian

High Medium Low

Availa-bility Berapa besar dampak/keru gian yang ditimbulkan apabila terjadi ketidaktersed iaan suatu aset? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis. Jika dampak yang ditimbulkantida k signifikan karena aset dapat digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis. Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti. Berdasarkan pedoman penilaian identifikasi aset maka dihasilkan dokumen identifikasi aset. Dokumen identifikasi aset ini berdasarkan data aset yang ada selanjutnya dilakukan penilaian dengan pedoman penilaian identifikasi aset. Identifikasi aset dapat dilihat pada Gambar 4.4. Identifikasi aset untuk lebih jelasnya dapat dilihat pada Lampiran 3.

(21)

Gambar 4.10 Identifikasi Aset

Dokumen Identifikasi Aset

- Berkas Pinjaman Berupa Hardcopy

Aspek Kriteria Penilaian

High Medium Low

Confidentiality 

Integrity 

Availability 

- Berkas Simpanan Berupa Hardcopy

High Medium Low

Confidentiality 

Integrity 

Availability 

- Bukti Transaksi Harian Berupa Hardcopy

High Medium Low

Confidentiality 

Integrity 

Availability 

- Laporan Transaksi Harian Berupa Hardcopy

High Medium Low

Confidentiality 

Integrity 

Availability 

- Server

High Medium Low

Confidentiality 

Integrity 

(22)

B. Pengisian Risk Register Awal

Dalam pengisian risk register awal melalui beberapa tahapan. Tahap pertama yang dilakukan auditor mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Pengisian kolom aset dapat dilihat pada Tabel 4.12.

Tabel 4.12 Pengisian Kolom Aset Risk Register

No Aset

0. 1.

1. Berkas pinjaman berupa hardcopy

2. Berkas simpanan berupa hardcopy

Tahap selanjutnya yang dilakukan oleh auditor adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berkas pinjaman diantaranya adalah ketidaksesuaian inventaris dan pencurian. Pengisian deskripsi risiko dapat terlihat pada Tabel 4.13.

Tabel 4.13 Pengisian Deskripsi Risiko Risk Register

No Aset Deskripsi Risiko

0. 1. 2.

1. Berkas pinjaman berupa hardcopy

Ketidaksesuaian inventaris Pencurian

Tahap selanjutnya yng dilakukan auditor adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan dari ketidaksesuaianan inventaris diantaranya adalah tidak terdapat inventaris aset, tidak terdapat kepemilikan aset, tidak terdapat klasifikasi aset dan tidak terdapat penandaan

(23)

informasi. analisa kerawanan ini berasal dari pernyataan yang telah dibuat. Pengisian analisa kerawanan dapat dilihat pada Tabel 4.14.

Tabel 4.14 Pengisian Analisa Kerawanan Risk Register

No Aset Deskripsi Risiko Analisa Kerawanan

0. 1. 2. 3. 1. Berkas pinjaman berupa hardcopy Ketidaksesuaian inventaris

Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset. Tidak terdapat klasifikasi informasi. Tidak terdapat penandaan informasi.

Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Dalam mengisi kolom inheren kita memerlukan kriteria pengukuran kecenderungan, kriteria pengukuran dampak dan matrik tingkatan risiko. Kriteria pengukuran kecenderungan membantu auditor dalam memberi nilai kecenderungan terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran kecenderungan dapat dilihat pada Tabel 4.15.

Tabel 4.15 Kriteria Pengukuran Kecenderungan Level Potensi Kejadian Frekuensi

Kejadian

Frekuensi kejadian perminggu* 5. Potensi terjadi tinggi

dalam jangka pendek

Sangat sering terjadi

Terjadi selama 5 hari kerja berulang. 4. Potensi terjadi tinggi

dalam jangka panjang

Lebih sering terjadi

Terjadi 4 kali dalam seminggu hari kerja. 3. Potensi terjadi sedang Cukup sering

terjadi

Terjadi 3 kali dalam seminggu hari kerja. 2. Potensi terjadi kecil Jarang terjadi Terjadi 2 kali dalam seminggu hari kerja. 1. Kemungkinan terjadi

kecil

Hampir tidak pernah terjadi

Tidak pernah terjadi atau maksimal 1 kali dalam seminggu hari kerja

Kriteria pengukuran dampak membantu auditor dalam memberi nilai dampak terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran dampak dapat dilihat pada Tabel 4.16.

(24)

Tabel 4.16 Kriteria Pengukuran Dampak Nilai Potensi gangguan terhadap

proses bisnis

Potensi Penurunan Reputasi 5 Aset pemrosesan informasi

mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.

Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah / stakeholder utama dan masyarakat.

4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih

Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu.

3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih.

Kerusakan reputasi hanya pada unit tersebut.

2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya.

Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu.

1 Tidak menyebabkan gangguan terhadap operasional proses bisnis.

Tidak berpengaruh pada reputasi.

Matrik tingkatan risiko membantu auditor dalam memberi tingkatan nilai risiko dasar berupa low, medium dan high dengan membandingkan kecenderungan dan dampak. Matrik tingkatan risiko dapat dilihat pada Tabel 4.17.

(25)

Tabel 4.17 Matrik Tingkatan Risiko Ke ce nd erunga n n

5 Medium Medium High High High

4 Low Medium High High High

3 Low Low Medium High High

2 Low Low Medium Medium High 1 Low Low Medium Medium High

1 2 3 4 5

Dampak

Dalam mengisi kolom residu risk register awal auditor menganalisis seberapa tingkat kecenderungan ketidakamanan informasi saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama dengan kepala unit untuk kecenderungan residu aset berada pada posisi antara tiga dan lima. Aset yang memiliki nilai tiga potensi terjadinya risiko sedang, nilai empat potensi terjadinya risiko hampir setiap hari dalam seminggu dan nilai lima potensi kejadiannya setiap hari dalam seminggu. Selanjutnya seberapa tingkat dampak yang ditimbulkan saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama kepala unit dampak residu aset berada pada posisi tiga dan lima. Aset yang memiliki nilai tiga dampaknya kerusakan hanya mengganggu sebagian proses saja, untuk nilai empat dampak kerusakannya mencapai penundaan hingga gangguan teratasi dan untuk nilai lima dampak kerusakan menyebabkan kegagalan total proses bisnis yang berlangsung. Penilaian kecenderungan dan dampak dapat dilihat pada Tabel 4.18.

Tabel 4.18 Penilaian Kecenderungan dan Dampak

No Aset Deskripsi

Risiko Analisa Kerawanan

Inheren Kecender ungan (min =1, mak = 5) Dampak (min =1, mak = 5) 0. 1. 2. 3. 4. 5. 1. Berkas pinjaman berupa hardcopy Ketidak-sesuaian inventaris

Tidak terdapat inventaris aset.

4 4

Tidak terdapat kepemilikan aset.

(26)

Tahap selanjunya adalah penilaian nilai risiko dasar yang berdasarkan hasil penilaian kecenderungan dan dampak pada setiap deskripsi risiko. Penilaian kecenderungan dan dampak inheren didapat dari konsultasi dengan perusahaan apabila aset tersebut tidak terdapat kontrol pengaman. Penilaian menggunakan matrik tingkatan risiko dimana pada analisa kerawanan tidak terdapat inventaris aset nilai kecenderungannya empat dan dampaknya lima maka diperoleh hasil high. Tahap selanjutnya pengisian nilai risiko yang diharapkan. Pengisian nilai risiko yang diharapkan berdasarkan nilai risiko dasar dimana nilai risiko yang diharapakan oleh perusahaan adalah mencapai level yang lebih baik. Hasil dari nilai risiko dasar yang diperoleh adalah high maka dilakukan konsultasi dengan perusahaan target apa yang ingin dicapai. Dalam audit ini Kepala Unit menginginkan nilai risiko yang diharapkan adalah mencapai level low. Risk register awal dapat dilihat pada Tabel 4.19. Risk register awal untuk lebih jelasnya dapat dilihat pada Lampiran 4.

(27)

Tabel 4.19 Risk Register Awal

No Aset Deskripsi Risiko Analisa Kerawanan

Inheren Nilai Risiko Diharap kan Kecende rungan (min =1, mak = 5) Dampak (min =1, mak = 5) Nilai Risiko Dasar 0. 1. 2. 3. 4. 5. 6. 11. 1. Berkas pinjaman berupa hardcopy

Ketidaksesuaian inventaris Tidak terdapat inventaris aset. 4 4

High Low

Tidak terdapat kepemilikan aset. 4 3 Tidak terdapat klasifikasi informasi. 4 3 Tidak terdapat penandaan informasi. 3 3 Pencurian Tidak terdapat perimeter keamanan

fisik.

5 4 High Low

Tidak terdapat kontrol masuk fisik. 5 4 High Low

Tidak terdapat keamanan kantor, ruangan dan fasilitas.

5 4 High Low

Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan.

5 5 High Low

Keterlambatan penanganan saat terjadi insiden.

Tidak terdapat pelaporan informasi kejadian keamanan.

5 5 High Low

Tidak terdapat tanggung jawab dan prosedur kontrol

5 4 High Low

Tidak terdapat tim khusus yang menangani insiden pengamanan.

5 4 High Low

(28)

4.2.4 Membuat Pertanyaan

Tahap membuat pertanyaan dilakukan berdasarkan pernyataan yang telah dibuat. Pertanyaan yang ada berdasarkan dari dokumen pernyataan yang telah dibuat sebelumnya. Pertanyaan ini ditujukan pada setiap aset yang akan diaudit. Salah satu hasil dari pertanyaan yang dibuat seperti terlihat pada Tabel 4.20 dokumen pertanyaan untuk lebih jelasnya dapat dilihat pada Lampiran 5.

Tabel 4.20 Pertanyaan Audit 8.1.1 Inventaris aset

Pernyataan Pertanyaan

11. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

1. Apakah aset termasuk dokumen penting di BRI Kantor Unit Sukomoro?

2. Apakah terdapat identifikasi dari dokumen penting tersebut?

3. Apa saja yang diidentifikasi dari dokumen penting tersebut?

12. Terdapat dokumentasi untuk pengadaan aset.

1. Apakah terdapat proses pengadaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi

dalam pengadaan aset?

3. Apa saja yang didokumentasi dalam dokumentasi pengadaan aset?

4. Bagaimana bentuk dokumentasi pengadaan aset?

3. Terdapat dokumentasi untuk penggunaan aset.

1. Apakah terdapat proses penggunaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi

dalam penggunaan aset?

3. Apa saja yang didokumentasi dalam dokumentasi penggunaan aset? 4. Bagaimana bentuk dokumentasi

pengolahan aset? 4. Terdapat dokumentasi untuk

penyimpanan aset.

1. Apakah terdapat proses penyimpanan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi

dalam penyimpanan aset?

3. Apa saja yang didokumentasi dalam dokumentasi penyimpanan aset? 4. Bagaimana bentuk dokumentasi

(29)

4.3 Tahap Pelaksanaan Audit 4.3.1 Pengumpulan Bukti

Tahap ini menghasilkan dokumen wawancara dan dokumen bukti. Berdasarkan tahap persiapan audit yang telah kita buat, maka langkah selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pada langkah ini kita mengumpulkan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro dan observasi yaitu dengan mengumpulkan bukti-bukti yang ada dan diperlukan sesuai dengan pertanyaan yang telah dibuat. Hasil dari observasi berupa dokumen bukti terlihat seperti Tabel 4.21. Dokumen bukti dapat dilihat pada Lampiran 6.

Tabel 4.21 Dokumen Bukti Audit

Kode Keterangan Bukti Foto Bukti

A.1 Tampak depan berkas pinjaman

4.3.2 Pemeriksaan Data dan Bukti

Tahap pertama dari pemeriksaan data dan bukti adalah membuat kertas kerja audit berdasarkan dokumen wawancara dan dokumen bukti. Kertas kerja audit dapat dilihat pada Tabel 4.22. Kertas Kerja Audit untuk lebih jelasnya dapat dilihat pada Lampiran 7.

(30)

Tabel 4.22 Kertas Kerja Audit KERTAS KERJA AUDIT 1.1

Tanggal : 16 November 2014 (revisi) Nama : Jiantono

jabatan : Ka Unit Tanda Tangan :

KLAUSUL 8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

No. Pertanyaan Jawaban

1. Apakah berkas pinjaman berupa hardcopy termasuk dokumen penting di BRI Kantor Unit Sukomoro?

Berkas pinjaman berupa hardcopy termasuk dokumen penting.

2. Apakah terdapat identifikasi dari berkas pinjaman berupa

hardcopy?

Terdapat identifikasi dari berkas pinjaman berupa hardcopy.

Bukti : A.1 3. Apa saja yang diidentifikasi dari

berkas pinjaman berupa hardcopy?

Identifikasi pada berkas pinjaman berupa hardcopy meliputi nomor induk, nama, alamat dan jenis dokumen agunan kredit.

Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor.

Kertas kerja audit telah disetujui tahap selanjutnya dalam pemeriksaan data dan bukti adalah mengisi rincian penilaian risk register. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom

(31)

kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Tahap ini menghasilkan dokumen rincian penilaian risk register. Bentuk rincian penilaian risk register dapat dilihat pada Tabel 4.23. Dokumen rincian penilaian risk register dapat dilihat pada Lampiran 8.

(32)

Tabel 4.23 Dokumen Rincian Risk Register

No Aset Deskripsi Risiko Analisa Kerawanan Residu 2 Residu 1 Kecen derun gan Dam pak Pernyataan Kecen derun gan Dam pak 1. Berkas pinjaman berupa hardcopy. Ketidaksesuaian inventaris Tidak terdapat inventaris aset.

2,57 2,28 Terdapat identifikasi aset yang relevan terhadap dokumen penting.

2 1

Terdapat dokumentasi untuk pengadaan aset. - - Terdapat dokumentasi untuk penggunaan aset. 4 4 Terdapat dokumentasi untuk penyimpanan aset. 1 1 Terdapat dokumentasi untuk transmisi aset. - - Terdapat dokumentasi untuk penghapusan aset. - - Terdapat dokumentasi untuk penghancuran aset. 1 1

Inventaris aset akurat. 2 1

Inventaris aset up to date. 4 4

Inventaris aset konsisten. 4 4

2,67 2,16 Terdapat inventaris aset. 2 1

Terdapat klasifikasi aset. 4 3

Terdapat perlindungan aset. 1 1

Terdapat aturan pembatasan akses 1 2

Terdapat aturan klasifikasi aset. 4 3

Terdapat pemeriksaan secara berkala pembatasan akses.

4 3

(33)

4.3.3 Analisis Hasil Pemeriksaan

Pada tahap analisi hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian risk register akhir. Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Pada kontrol yang ada diisi dengan pernyataan yang ada yang telah diberikan nilai pada dokumen rincian penilaian risk register. Penilaian kolom inheren (sesudah ada pengendalian) diisi dengan pembulatan dari kolom residu dua dalam dokumen rincian penilaian risk register. Nilai risiko akhir untuk mendapatkannya menggunakan matrik tingkat risiko. Pengisian risk register (akhir) dapat diihat pada Tabel 4.24. Risk register akhir untuk lebih jelasnya dapat dilihat pada Lampiran 9.

(34)

No. Aset Deskripsi Risiko

Analisa Kerawanan

Inheren

Kontrol yang ada

Residual Nilai Risiko Diharap kan Kecender ungan (min =1, mak = 5) Dampak (min =1, mak = 5) Nilai Risiko Dasar Kecende rungan (min =1, mak = 5) Dampak (min =1, mak = 5) Nilai Risiko Akhir 0. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 1. Berkas pinjaman berupa hardcopy Ketidakses uaian inventaris berkas pinjaman berupa hardcopy. Tidak terdapat inventaris aset.

4 4 High - terdapat identifikasi aset yang relevan terhadap dokumen penting. - terdapat dokumentasi untuk penyimpanan - terdapat dokumentasi untuk penghancuran aset.

- Inventaris aset akurat.

3 2 Low Low

4 3 High - Terdapat inventaris aset. - Terdapat perlindungan aset. - Terdapat aturan pembatasan akses 3 2 Low Low dan seterusnya.

(35)

Setelah pengisian risk register (akhir) dilakukan analisis terhadap nilai risiko akhir dari risk register (akhir) apakah telah sesuai dengan nilai risiko yang diharapkan. Penyebab nilai risiko akhir tidak mencapai nilai risiko yang diharapkan dicantumkan pada dokumen temuan. Setelah temuan terkumpul maka diberikan rekomendasi pada setiap temuan yang terjadi. Rekomendasi berasal dari kontrol keamanan yang telah dipetakan. Dokumen temuan dapat dilihat pada Tabel 4.25. Dokumen temuan yang lebih lengkap dapat dilihat pada Lampiran 10.

Tabel 4.25 Dokumen Temuan Audit Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

1. Tidak terdapat klasifikasi informasi.

Risiko : Ketidaksesuaian Inventaris.

Rekomendasi : Klasifikasi dilakukan dengan cara menentukan tingkatan berkas pinjaman sesuai dengan tingkatan kepentingannya.

Referensi :Klausul 8.2.1 ISO 27002 : 2013 2. Tidak terdapat penandaan

informasi.

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : memberikan penandaan informasi atau pemberian label pada berkas pinjaman sesuai dengan klasifikasinya. Referensi :Klausul 8.1.1 ISO 27002 : 2013 3. Tidak terdapat kontrol masuk

fisik.

Risiko : Pencurian berkas pinjaman berupa hardcopy.

Rekomendasi : kontrol masuk fisik dilakukan dengan memberikan pencatatan waktu beserta tanggal setiap pengunjung yang masuk ke clash.

Referensi :Klausul 11.1.2 ISO 27002 : 2013

(36)

Tabel 4.25 Dokumen Temuan Audit (Lanjutan)

Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

4. Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan.

Risiko : Pencurian berkas Pinjaman

berupa hardcopy.

Rekomendasi : Diadakan peninjauan berkala pada clash, membatasi akses alat perekam pada clash dan memasang tanda peringatan untuk yang tidak berkepentingan dilarang masuk.

5. Tidak terdapat tanggung jawab dan prosedur kontrol.

Risiko : Keterlambatan penanganan

insiden

Rekomendasi : Membuat prosedur untuk perencanaan, persiapan, pemantauan, pendeteksi, analisis jika terjadi insiden sehingga meminimalisir terjadinya insiden.

4.4 Tahap Pelaporan Audit

4.4.1 Penyusunan dan Persetujuan Laporan Audit

Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang laporan untuk manajemen, temuan dan rekomendasi terhadap hasil dari audit yang dilakukan.

Temuan yang ditemukan diantaranya PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro perlu melakukan perbaikan terutama pada klasifikasi informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman lingkungan dan tanggung jawab dan prosedur kontrol. Perbaikan perlu segera dilakukan pada empat permasalahan tersebut karena empat hal ini ditemukan dalam semua aset yang berkaitan dengan informasi. Tingkat keamanan informasi atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat

(37)

keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat pendukung yang mencapai level low terdapat 51 (47,22%). Sehingga PT. Bank Rakyat Indonesia (persero) Tbk. perlu untuk melaksanakan rekomendasi yang telah dibuat supaya mencapai level low untuk keseluruhan kontrol keamanan terhadap aset informasi.

Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari. Laporan audit dapat dilihat pada Lampiran 11.

4.4.2 Melaporkan Laporan Audit

Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.