AUDIT KEAMANAN INFORMASI

PADA PT. BANK RAKYAT INDONESIA (PERSERO) Tbk.

UNIT SUKOMORO

TUGAS AKHIR

Program Studi S1 Sistem Informasi

Oleh:

ONKY PRIMA WIBOWO 09.41010.0035

FAKULTAS TEKNOLOGI DAN INFORMATIKA

INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2015

x

ABSTRAK ... vii

KATA PENGANTAR ... viii

DAFTAR ISI ... x

DAFTAR GAMBAR ... xiii

DAFTAR TABEL ... xiv

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Pembatasan Masalah ... 4

1.4 Tujuan ... 5

1.5 Sistematika Penulisan ... 6

BAB II LANDASAN TEORI ... 8

2.1 Audit ... 8

2.2 Informasi ... 9

2.3 Keamanan Informasi ... 10

2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember ...2007 ... 11

2.4.1 Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum ... 12

2.5 ISO 27002 ... 14

2.6 Manajemen Risiko ... 16

xi

3.1 Tahap Perencanaan Audit ... 25

3.1.1 Studi Literatur ... 25

3.1.2 Identifikasi Proses Bisnis dan Teknologi Informasi ... 25

3.1.3 Identifikasi Ruang Lingkup dan Tujuan ... 26

3.1.4 Persetujuan Engagement Letter oleh Perusahaan ... 26

3.2 Tahap Persiapan Audit ... 27

3.2.1 Pembuatan Audit Working Plan ... 27

3.2.2 Membuat Pernyataan ... 28

3.2.3 Penilaian Risiko ... 30

3.2.4 Membuat Pertanyaan ... 31

3.3 Tahap Pelaksanaan Audit ... 32

3.3.1 Pengumpulan Bukti ... 32

3.3.2 Pemeriksaan Data dan Bukti ... 33

3.3.3 Analisis Hasil Pemeriksaan ... 34

3.4 Tahap Pelaporan Audit ... 37

3.4.1 Penyusunan dan Persetujuan Laporan Audit ... 37

3.4.2 Melaporkan Laporan Audit ... 37

BAB IV HASIL DAN PEMBAHASAN ... 38

4.1 Tahap Perencanaan Audit ... 38

xii

4.1.3 Identifikasi Ruang Lingkup dan Tujuan ... 49

4.1.4 Persetujuan Engagement Letter oleh Perusahaan ... 50

4.2 Tahap Persiapan Audit ... 52

4.2.1 Pembuatan Audit Working Plan ... 52

4.2.2 Membuat Pernyataan ... 54

4.2.3 Penilaian Risiko ... 55

4.2.4 Membuat Pertanyaan ... 65

4.3 Tahap Pelaksanaan Audit ... 66

4.3.1 Pengumpulan Bukti ... 66

4.3.2 Pemeriksaan Data dan Bukti ... 66

4.3.3 Analisis Hasil Pemeriksaan ... 70

4.4 Tahap Pelaporan Audit ... 73

4.4.1 Penyusunan dan Persetujuan Laporan Audit ... 73

4.4.2 Melaporkan Laporan Audit ... 74

BAB V Penutup ... 75

5.1 Kesimpulan ... 75

5.2 Saran ... 76

DAFTAR PUSTAKA ... 77

xiii

Gambar 3.1 Alur Metode Penelitian ... 24

Gambar 4.1 Struktur Organisasi ... 42

Gambar 4.2 Pembukaan Rekening Simpanan Baru ... 43

Gambar 4.3 Pembukaan Rekening Pinjaman Baru ... 45

Gambar 4.4Penyetoran Uang melalui Teller ... 46

Gambar 4.5 Pengambilan Uang melalui Teller ... 47

Gambar 4.6 Pembuatan Laporan Harian ... 48

Gambar 4.7Halaman Awal Engagement Letter ... 51

Gambar 4.8Halaman Akhir Engagement Letter... 52

xiv

Tabel 2.1 Prosedur Pengamanan Informasi ... 13

Tabel 2.2 Susunan Kontrol Keamanan dan Kategori Keamanan Utama ISO 27002:2013 ... 15

Tabel 2.3 Risk Register ... 19

Tabel 2.4 Pedoman Penilaian Kritikal Aset ... 19

Tabel 2.5 Kriteria Pengukuran Kecenderungan ... 20

Tabel 2.6 Klasifikasi Dampak ... 20

Tabel 2.7 Matrik Pengukuran Risiko ... 21

Tabel 2.8 Matrik Penilaian Risk Register ... 22

Tabel 3.1 Contoh Audit Working Plan ... 27

Tabel 3.2 Pemetaan PBI dan ISO 27002 ... 28

Tabel 3.3 Pemetaan Detil PBI dan ISO 27002 ... 28

Tabel 3.4Contoh Pernyataan Audit ... 30

Tabel 3.5 Contoh Risk Register Awal ... 32

Tabel 3.6Contoh Pertanyaan Audit ... 32

Tabel 3.7 Contoh Dokumen Bukti ... 33

Tabel 3.8 Contoh Kertas Kerja Audit ... 33

Tabel 3.9Contoh Rincian Peniaian Risk Register ... 35

Tabel 3.10Contoh Risk Regiser Akhir ... 36

Tabel 3.11Contoh Temuan Audit ... 37

Tabel 4.1 Prosedur yang Digunakan ... 39

xv

Tabel 4.4 Risk Register ... 40

Tabel 4.5 Aset yang Diaudit ... 42

Tabel 4.6 Perangkat Pendukung yang Diaudit ... 43

Tabel 4.7 Ruang Lingkup Audit ... 49

Tabel 4.8 Audit Working Plan ... 53

Tabel 4.9 Pernyataan Audit ... 54

Tabel 4.10 Daftar Aset yang Diaudit ... 55

Tabel 4.11 Pedoman Penilaian Identifikasi Aset ... 56

Tabel 4.12 Pengisian Kolom Aset Risk Register ... 59

Tabel 4.13 Pengisian Deskripsi Risiko Risk Register ... 59

Tabel 4.14 Pengisian Analisi Kerawanan Risk Register ... 60

Tabel 4.15 Kriteria Pengukuran Kecenderungan ... 60

Tabel 4.16 Kriteria Pengukuran Dampak ... 61

Tabel 4.17 Matrik Tingkatan Risiko ... 62

Tabel 4.18 Penilaian Kecenderungan dan Dampak ... 63

Tabel 4.19 Risk Register Awal ... 64

Tabel 4.20 Pertanyaan Audit ... 65

Tabel 4.21 Dokumen Bukti Audit ... 66

Tabel 4.22 Kertas Kerja Audit ... 67

Tabel 4.23 Dokumen Rincian Risk Register ... 69

Tabel 4.24 Dokumen Risk Register Akhir ... 71

1 1.1 Latar Belakang

PT. Bank Rakyat Indonesia (Persero) Tbk. merupakan salah satu bank milik pemerintah yang memiliki jaringan terluas dan terbesar di Indonesia. Bank yang awalnya bernama De Poerwokertosche Hulp en Spaarbank der Inlandsche Hoofden didirikan 16 Desember 1895 di Purwokerto, Jawa Tengah oleh Raden Bei Aria Wirjaatmadja. Bank yang telah berdiri 118 tahun ini memiliki 9.736 kantor. PT. Bank Rakyat Indonesia (Persero) Tbk. terdiri dari Kantor Pusat, Kantor Wilayah, Kantor Cabang, Kantor Cabang Pembantu, Kantor Unit, Kantor Kas Bayar, Teras BRI dan Teras Mobile yang tersebar diseluruh Indonesia.

PT. Bank Rakyat Indonesia (Persero) Tbk. memiliki jaringan setiap kecamatan yaitu kantor unit. Kantor unit bertugas untuk menghimpun dan menyalurkan kembali dana pada masyarakat dalam lingkup kecamatan. Kantor unit melayani kredit namun terbatas misalnya KUR maksimal dua puluh juta rupiah, kredit modal kerja dan kredit investasi maksimal seratus juta rupiah. Sumber daya manusia yang ada di kantor unit meliputi kepala unit, mantri,

customer service, teller, satpam, cleaning service dan penjaga malam. Setiap pegawai memiliki komputer masing-masing yang tersambung oleh aplikasi BRINET kecuali satpam, cleaning service dan penjaga malam. Aplikasi BRINET isinya meliputi sistem operasional dan sistem pelaporan yang terintegrasi dengan Kantor Pusat Jakarta.

Salah satu kantor unit terletak di kecamatan Sukomoro di Jalan Raya Tinap No. 196 Kabupaten Magetan. Kantor Unit Sukomoro merupakan satu dari dua puluh tiga kantor unit yang dibawahi oleh Kantor Cabang Magetan. Kantor unit ini memiliki satu mesin ATM (Anjungan Tunai Mandiri), server dan beberapa komputer yang terintegrasi dengan aplikasi BRINET. Aplikasi BRINET menghubungkan seluruh jaringan PT. Bank Rakyat Indonesia (Persero) Tbk. diseluruh Indonesia.

PT. Bank Rakyat Indonesia (Persero) Tbk. berada dibawah Bank Indonesia dimana semua Kantor dari PT. Bank Rakyat Indonesia (Persero) Tbk. tersebut wajib memenuhi peraturan dari Bank Indonesia terutama dalam hal keamanan informasi. Keamanan Informasi penting karena kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi bank (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Kantor Unit Sukomoro memenuhi peraturan keamanan informasi dari Bank Indonesia untuk memberikan jaminan keamanan kepada nasabah. Saat ini belum ada audit eksternal yang spesifik mengenai keamanan informasi pada Kantor Unit Sukomoro. Selama ini audit eksternal dari Bank Indonesia untuk Kantor Unit dari PT. Bank Rakyat Indonesia (Persero) Tbk. seluruh Indonesia dilakukan dengan mengambil sampling. Kantor Unit Sukomoro yang berada dibawah Kantor Cabang Magetan belum pernah menjadi sampling dari Bank Indonesia sehingga Kantor Unit Sukomoro perlu untuk mengetahui sejauh mana keamanan informasi yang diterapkan telah memenuhi peraturan Bank Indonesia. Untuk mengetahui tingkat keamanan informasi tersebut diperlukan audit keamanan informasi.

Audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro menggunakan regulasi yang berlaku saat ini yaitu Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Surat Edaran Nomor 9/30/DPNP berisi tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam Surat Edaran Nomor 9/30/DPNP terdapat Lampiran 1 yang berisi Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman tersebut digunakan sebagai pedoman dalam audit yang dilakukan. Dalam audit ini akan dibandingkan kesesuaiannya antara operasional dengan peraturan dari Bank Indonesia karena masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi (Rahardjo, 2005). Audit Keamanan Informasi ini menggunakan penerapan manajemen risiko yang bertujuan untuk meminimalkan risiko yang dapat menggagalkan visi dan misi dari bank.

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan Teknologi Informasi yang harus diterapkan oleh Bank. Dalam penelitian ini Pedoman tersebut dibantu dengan referensi ISO 27002 tahun 2013 untuk hal pengecekan terutama dalam hal kontrol keamanannya. Pada ISO 27002 tahun 2013 kontrol keamanan yang diperiksa cukup jelas sedangkan pada Pedoman merupakan garis besarnya.

Pada audit ini terdapat dua prosedur yang tidak dapat dilakukan pada Kantor Unit Sukomoro yaitu tentang prosedur pengelolaan sumber daya manusia dan prosedur pengamanan logic. Kedua prosedur ini tidak dapat diaudit karena

prosedur tersebut wewenang kantor pusat. Kantor Unit Sukomoro hanya bertindak sebagai pengguna.

Dengan adanya audit keamanan informasi yang menggunakan regulasi dari Bank Indonesia pada Kantor Unit Sukomoro ini diharapkan dapat membantu mengetahui tingkat keamanan informasi yang telah diterapkan. Hasil audit keamanan informasi ini menghasilkan rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada Kantor Unit Sukomoro.

1.2Perumusan Masalah

Berdasarkan latar belakang masalah yang telah diuraikan, maka dapat dirumuskan permasalahan sebagai berikut.

1. Bagaimana melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

2. Bagaimana menyusun laporan audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. 3. Bagaimana melaporkan hasil rekomendasi dari audit keamanan informasi

berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

1.3 Pembatasan Masalah

Batasan permasalahan dalam audit ini adalah sebagai berikut:

1. Penelitian membahas tentang Pengamanan Informasi berdasarkan risiko yang sesuai dengan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

3. Prosedur yang tidak diaudit adalah Prosedur Pengelolaan Sumber Daya Manusia dan Prosedur Pengamanan Logic karena hal tersebut wewenang Kantor Pusat.

4. Audit dilakukan pada kegiatan operasional Bank meliputi pembukaan rekening simpanan baru, pembukaan rekening pinjaman baru, pengambilan atau penyetoran uang melalui teller dan penarikan laporan harian.

5. Aset yang berkaitan dengan informasi yang berupa perangkat lunak dan jaringan tidak dilakukan audit karena wewenang Kantor Cabang.

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut.

1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.

2. Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.

3. Melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.

1.5 Sistematika Penulisan

Laporan Tugas Akhir (TA) ini ditulis dengan sistematika penulisan sebagai berikut :

BAB I: PENDAHULUAN

Pada Bab ini membahas tentang latar belakang masalah dan penjelasan permasalahan secara umum, perumusan masalah serta batasan masalah, tujuan dari pembuatan tugas akhir dan sistematika penulisan buku ini.

BAB II: LANDASAN TEORI

Pada Bab ini membahas mengenai teori yang digunakan pada penelitian audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teori yang digunakan adalah audit, informasi, keamanan informasi, surat edaran Bank Indonesia nomor 9/30/DPNP tanggal 12 Desember 2007, ISO 27002:2013, manajemen risiko dan penilaian risiko.

BAB III: METODE PENELITIAN

Pada Bab ini berisi uraian mengenai tahapan audit keamanan informasi yang diterapkan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Terdapat empat tahap audit yang dilakukan yaitu tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.

BAB IV: HASIL DAN PEMBAHASAN

Pada Bab ini berisi uraian hasil dan pembahasan dari tahapan audit yang telah dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

BAB V: PENUTUP

Pada Bab ini berisi kesimpulan dari Tugas Akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan pada penelitian selanjutnya.

8 2.1Audit

Audit adalah proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif. ISACA dalam Sarno (2009) mendefinisikan tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi. Audit adalah kegiatan mengumpulkan informasi faktual dan signifikan melalui interaksi (pemeriksaan, pengukuran dan penilaian yang berujung pada penarikan kesimpulan) secara sistematis, obyektif dan terdokumentasi yang berorientasi pada azas penggalian nilai atau manfaat (Susilo, 2003).

Definisi secara umum tentang audit adalah bahwa “Auditing is an independent investigation of some particular activity”. Kata audit berasal dari

Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang dimaksud adalah “hearing about the account’s balances” oleh para pihak terkait terhadap pihak ketiga yang netral mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya (Gondodiyoto, 2007).

Audit yang dilakukan dalam penelitian ini menggunakan audit berbasis risiko. Risiko secara umum diartikan hambatan dalam pencapaian suatu tujuan. Audit berbasis risiko lebih mengutamakan pada tujuan yang akan dicapai oleh

perusahaan (Ramadhana, 2012). Perbedaan pendekatan audit berbasis risiko dengan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan (Ramadhana, 2012).

2.2 Informasi

Informasi adalah sekumpulan data/fakta yang diorganiasi atau diolah dengan cara tertentu sehingga mempunyai arti bagi penerima (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Data yang telah diolah menjadi sesuatu yang berguna bagi penerima maksudnya yaitu dapat memberikan keterangan dan pengetahuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh seluruh personil di Bank. Kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun non-finansial bagi Bank.

Aset yang sangat penting ini oleh Bank Indonesia telah ditetapkan standar untuk menjaga keamanannya. Bank perlu adanya audit untuk mengecek kesesuaian antara standar yang ditetapkan dengan kenyataan dilapangan, dimana keamanan informasi yang terjaga akan memberikan jaminan keamanan pada nasabah.

2.3 Keamanan Informasi

Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (Sarno dan Iffano, 2009). Prinsip – prinsip pengamanan informasi yang harus diperhatikan (Direktorat Penelitian dan Pengaturan Perbankan, 2005) sebagai berikut :

1. Dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan (confidentiality) , integritas (integrity) dan ketersediaan (availability) secara efektif dan efisien dengan memperhatikan kepatuhan (compliance) terhadap ketentuan yang berlaku.

2. Memperhatikan aspek sumber daya manusia, proses dan teknologi.

3. Dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan memperhatikan strategi bisnis Bank dan ketentuan yang berlaku.

4. Menerapkan pengamanan informasi secara komprehensif dan berkesinambungan yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi, mengimplementasikan pengendalian pengamanan informasi, memantau dan mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta melakukan penyempurnaan.

Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Informasi yang merupakan aset

harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai „quality or state of being secure-to be free from danger’. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi (Whitman dan Mattord, 2011) sebagai berikut,

a. Keamanan fisik yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

b. Keamanan manusia yang overlap dengan keamanan fisik dalam melindungi orang-orang dalam organisasi.

c. Keamanan operasi yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. d. Keamanan komunikasi yang bertujuan mengamankan media komunikasi,

teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

e. Keamanan jaringan yang memfokuskan pada pengamanan peraltan jaringan data organisasi, jaringan dan isinya, serta kemampuan untuk menggunkan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

2.4 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007

Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 berisi Peraturan Bank Indonesia untuk mengatur tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam surat edaran ini dilampiri Pedoman Penerapan Manajemen Risiko dalam

Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan teknologi informasi.

2.4.1. Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.

Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan teknologi infomasi. Dalam pedoman ini terdapat sepuluh bab yang dibahas yaitu tentang manajemen, pengembangan dan pengadaan, aktivitas operasional teknologi informasi, jaringan komunikasi, pengamanan informasi,

bussiness continuity plan, end user computing, electronic banking, audit intern

teknologi informasi dan penggunaan penyedia jasa teknologi informasi. Penelitian ini menggunakan bagian dari bab V yaitu tentang pengamanan informasi.

Bab V tentang pengamanan informasi berisi tentang pendahuluan, tugas dan tanggung jawab, prinsip, kebijakan dan prosedur pengamanan informasi, proses manajemen risiko dan pengendalian intern dan audit intern. Pada pendahuluan berisi tentang penjelasan pentingnya pengamanan informasi. Tugas dan tanggung jawab berisi tentang tugas dan tanggung jawab dari dewan komisaris, komite pengarahan teknologi informasi, direksi dan pejabat tertinggi pengamanan informasi. Prinsip, kebijakan dan prosedur pengamanan informasi berisi prinsip dari pengamanan informasi, kebijakan dari pengamanan informasi dan prosedur-prosedur dari pengamanan informasi. Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Pengendalian intern dan audit intern berisi kegiatan yang harus dilakukan oleh audit intern.

Penelitian audit ini menggunakan prosedur pengamanan informasi dan proses manajemen risiko. Prosedur pengamanan informasi terdiri dari enam sub bab yaitu prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logic, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Prosedur pengamanan informasi terlihat seperti pada Tabel 2.1.

Tabel 2.1 Prosedur Pengamanan Informasi

PBI:2007

5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.2 Prosedur Pengelolaan Sumber Daya Manusia 5.3.3.3 Prosedur Pengamanan Fisik dan lingkungan 5.3.3.4 Prosedur Pengamanan logic

5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Proses manajemen risiko berisi tentang penilaian risiko, pengendalian dan mitigasi risiko. Penilaian risiko akan dibahas lebih jelas pada sub bab 2.7. Pengendalian dilakukan dua kali dalam manajemen risiko yaitu saat penilaian risiko dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya dan kedua setelah mendapat Nilai Risiko Akhir.

Terdapat tiga prosedur yang digunakan dalam audit. Prosedur Pengelolaan Aset mengaudit tentang identifikasi aset, penentuan penanggung jawaban dan pengklasifikasian aset. Prosedur Pengamanan Fisik dan Lingkungan mengaudit tentang pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi, ketersediaan fasilitas pendukung,identifikasi aset milik penyedia jasa, dan prosedur pemeliharaan dan pemerksaan secara berkala. Prosedur Penanganan Insiden dalam Pengamanan Informasi mengaudit tentang penanganan insiden yang terjadi, penetapan prosedur penanganan insiden,

pembentukan tim khusus dalam menangani insiden dan pelaporan indikasi kelemahan sistem.

2.5ISO 27002

ISO/IEC 27002 merupakan dokumen standar keamanan informasi atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Dalam penelitian ini menggunakan ISO 27002 tahun 2013. ISO 27002:2013 merupakan pembaharuan dari ISO 27002 tahun 2005. Ruang lingkup ISO 27002:2013 yaitu standar internasional untuk memberi petunjuk standar keamanan informasi organisasi dan manajemen keamanan informasi meliputi seleksi, implementasi dan risiko lingkungan keamanan informasi (ISO/IEC 27002, 2013). ISO 27002:2013 terdiri dari 14 klausul kontrol keamanan di dalamnya terdapati 35 kategori keamanan utama dan 114 kontrol. Masing-masing klausul kontrol keamanan memiliki satu atau lebih kategori keamanan utama. Standard internasional ini disiapkan untuk memberikan persyaratan untuk pendirian, pengimplementasian, pemiliharaan, dan perbaikan yang terus menerus pada sistem manajemen keamanan informasi. Pengadopsian sistem manajemen keamanan informasi merupakan sebuah keputusan strategis bagi suatu organisasi. Pembentukan dan pengimplementasian sistem manajemen keamanan informasi sebuah organisasi dipengaruhi oleh kebutuhan dan tujuan organisasi, persyaratan keamanan, proses organisasional

yang digunakan, dan struktur dan ukuran organisasi. Semua hal tersebut merupakan faktor yang mempengaruhi dan diharapkan berubah sepanjang waktu.

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut. Susunan Kontrol Keamanan dan Kategori Keamanan Utama dari ISO 27002 tahun 2013 dapat dilihat pada Tabel 2.2.

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013

Klausul Kontrol Keamanan Kategori Keamanan Utama

5. Kebijakan Keamanan Informasi 5.1 Manajemen tujuan dari keamanan

informasi

6. Keamanan Informasi Organisasi 6.1

6.2

Organisasi internal

Perangkat mobile dan teleworking

7. Sumber Daya Manusia 7.1

7.2 7.3

Sebelum menjadi pegawai. Selama menjadi pegawai.

Penghentian dan perubahan pegawai.

8. Aset 8.1

8.2 8.3

Tanggung jawab untuk aset. Klasifikasi informasi. Penanganan media.

9. Kontrol Akses 9.1

9.2 9.3

Akses kontrol untuk persyaratan bisnis. Manajemen akses pengguna.

Tanggung jawab pengguna. Kontrol akses sistem dan aplikasi

Tabel 2.2. Susunan Kontrol Keamanan dan Kategori Keamananan Utama ISO 27002:2013 (Lanjutan)

Klausul Kontrol Keamanan Kategori Keamanan Utama

10. Cryptografi 10.1 Kontrol Kriptografi.

12. Keamanan Operasi 12.1

12.2 12.3 12.4 12.5 12.6 12.7

Tanggung jawab dan prosedur operasional.

Perlindungan dari malware Back up

Logging dan monitoring

Pengendalian operasional perangkat lunak.

Manajemen kerentanan teknis Konsiderasi sistem informasi.

13. Komunikasi 13.1

13.2

Manajemen jaringan keamanan Pengiriman informasi

14. Akusisi sistem, pengembangan dan perawatan

14.1 14.2

Persyaratan keamanan sistem informasi

Keamanan dalam pengembangan dan proses dukungan.

15. hubungan dengan distributor 15.1

15.2

Keamanan informasi hubungan distributor.

Manajemen pelayanan distributor. 16. manajemen insiden keamanan informasi 16.1 Pengelolaan insiden keamanan

informasi dn perbaikan 17 aspek keamanan informasi manajemen

kelangsungan bisnis.

17.1 17.2

Kelanjutan informasi Ketimpangan

18. Compliance 18.1

18.2

Kepatuhan dengan hukum dan kontrak

Pengulangan informasi 2.6 Manajemen Risiko

Semua organisasi, pemerintahan maupun swasta, bermotifkan laba atau nirlaba yang dibangun dengan satu tujuan yaitu memberi nilai kepada semua pihak yang terkait. Dalam upaya mencapai tujuan menciptakan nilai tambah bagi

stakeholder, setiap organisasi akan menghadapi ketidakpastian. Ketidakpastian ini yang mengandung risiko potensial, yang dapat menghilangkan peluang untuk menghasilkan nilai tambah. Tugas dari manajemen untuk mengelola risiko-risiko dimaksud agar menjadi peluang yang akan dapat meningkatkan nilai dari para stakeholder tersebut (Tampubolon, 2005). Dalam bidang manajemen dan penyusunan strategi, risiko didefinisikan sebagai sebuah rentang (continuum) yang dapat bergerak ke arah ancaman dengan dampak negaif, yaitu tidak

tercapainya tujuan atau kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan disertai berbagai tingkat kemungkinan terjadinya ancaman maupun peluang tersebut.

Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang memantau risiko serta yang melakukan test dan verifikasi (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Bank wajib memiliki pendekatan manajemen risiko yang terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko yang terkait dengan penyelenggaraan TI utamanya terdapat lima yaitu risiko operasional, risiko kepatuhan, risiko hukum risiko reputasi dan risiko strategis (Direktorat Penelitian dan Pengaturan Perbankan, 2007).

Risiko operasional dapat timbul disebabkan antara lain oleh ketidaksesuaian desain, implementasi, pemeliharaan, metode pengamanan, testing, standar internal audit dan penggunaan jasa pihak lain dalam penyelenggaraan teknologi informasi. Risiko kepatuhan dapat timbul disebabkan bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku. Risiko hukum dapat timbul disebabkan adanya tuntutan hukum, ketidakadaan peraturan perundangan yang mendukung dan kelemahan perikatan. Risiko reputasi dapat timbul karena kegagalan dalam memberikan dukungan layanan kepada nasabah. Risiko strategis dapat timbul karena ketidakcocokan teknologi informasi yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis untuk mencapat tujuan tersebut.

2.7 Penilaian Risiko

Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya teknologi informasi melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Penilaian risiko menggunakan cara dari Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.

Penilaian risiko ini menggunakan pendekatan aset. Aset yang digunakan aset terkait dengan informasi. Aset yang terkait dengan informasi dapat berupa data (baik hardcopy maupun softcopy), perangkat lunak, perangkat keras, jaringan, perangkat pendukung (misalnya sumber daya listrik, pendingin ruangan) dan sumber daya manusia (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Hasil dari penilaian risiko ini berupa Risk register dapat dilihat pada Tabel 2.3.

Tabel 2.3 Risk Register

Ase t Desk ripsi Risik o Analisa Kerawa nan

Inheren Residual Kece nder unga n Da mp ak Kecen derung an Kontrol Yang ada Kecen derun gan Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan 1 2 3 4 5 6 7 8 9 10 11

Dalam risk register terdapat sebelas kolom yaitu kolom aset, deskripsi risiko, analisa kerawanan, inheren (kecenderungan, dampak dan nilai risiko dasar), kontrol yang ada, residual (kecenderungan, dampak dan nilai risiko akhir) dan nilai risiko diharapkan. Kolom aset berisi nama aset yang terkait informasi.

Tahap untuk mengisi kolom aset dilakukan identifikasi aset yang meliputi mendata aset yang terkait informasi dan menentukan tingkat pentingnya (kritikal) aset untuk Bank. Setelah tingkat kritikal telah ditentukan kolom aset diisi berdasarkan aset yang paling kritikal untuk perusahaan. Penentuan tingkat pentingnya (kritikal) aset untuk Bank menggunakan Tabel 2.4.

Tabel 2.4 Pedoman Penilaian Kritikal Aset

Aspek Analisa Sensitivitas

Kriteria Penilaian

High Medium Low

Confidentia lity Berapa besar kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi / dapat diakses oleh siapa saja?

Jika kerugian yang ditimbulkan sangat signifikan karena informasi yang bocor sangat sensitif atau hanya bisa diakses oleh personil tertentu yang telah diberi otorisasi.

Jika kerugian yang ditimbulkan tidak signifikan karena informasi tidak sensitif atau akses informasi oleh berbagai pihak di organisasi. Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja.

Integrity Berapa besar dampak/kerugia n terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan?

Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan.

Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan. Jika dampak yang ditimbulkan sangat kecil dan tidak mengganggu proses bisnis. Availa-bility Berapa besar dampak/kerugia n yang ditimbulkan apabila terjadi ketidaktersediaa n suatu aset?

Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis.

Jika dampak yang ditimbulkan tidak signifikan karena aset dapat

digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis. Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti.

Kolom deskripsi risiko berisi tentang potensi kegagalan dari proses keamanan yang ada atas aset yang ditetapkan. Satu aset dapat memiliki beberapa risiko. Kolom analisa kerawanan berisi faktor yang rawan dapat menyebabkan terjadinya kegagalan pengaman teknologi informasi. Setiap deskripsi risiko dapat memiliki beberapa kerawanan. Kolom inheren berisi tentang hasil pengukuran sebelum pengendalian dilakukan terhadap aset. Kolom inheren kecenderungan berisi tentang hasil penilaian kecenderungan sebelum pengendalian dilakukan terhadap aset menggunakan kriteria pengukuran kecenderungan. Kriteria pengukuran kecenderungan dalam menentukan nilainya berdasarkan hasil kesepakatan dengan auditee. Kriteria pengukuran kecenderungan seperti pada Tabel 2.5.

Tabel 2.5 Kriteria Pengukuran Kecenderungan

Nilai Potensi Kejadian Frekuensi Kejadian 5. Potensi terjadi tinggi dalam jangka

pendek

Sangat sering terjadi

4. Potensi terjadi tinggi dalam jangka panjang

Lebih sering terjadi

3. Potensi terjadi sedang Cukup sering terjadi

2. Potensi terjadi kecil Jarang terjadi

1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi

Kolom inheren dampak berisi tentang hasil penilaian dampak sebelum pengendalian dilakukan terhadap aset. Penilaian dampak dilakukan dengan cara menentukan seberapa besar akibat yang terjadi pada aset apabila tidak terdapat kontrol keamanan. Tabel klasifikasi dampak seperti terlihat pada Tabel 2.6.

Tabel 2.6 Klasifikasi Dampak

Nilai Potensi gangguan terhadap proses bisnis

Potensi Penurunan Reputasi

5 Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.

Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah / stakeholder utama dan masyarakat.

Tabel 2.6 Klasifikasi Dampak (Lanjutan)

Nilai Potensi gangguan terhadap proses bisnis

Potensi Penurunan Reputasi

4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih

Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu.

3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih.

Kerusakan reputasi hanya pada unit tersebut.

2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya.

Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu.

1 Tidak menyebabkan gangguan terhadap operasional proses bisnis.

Tidak berpengaruh pada reputasi.

Kolom Inheren Nilai Risiko Dasar berisi tingkatan risiko aset sebelum ada pengendalian terhadap aset. Matrik pengukuran risiko terdapat tiga nilai yaitu

high, medium dan low. Nilai high menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko cukup tinggi, sedang medium menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko dalam tingkat sedang dan untuk low menunjukkan tingkat kerusakan yang disebabkan oleh terjadinya risiko kecil atau malah tidak berpengaruh. Penilaian kecenderungan dan dampak berdasarkan kesepakatan dengan auditee dan penilaian auditor. Matrik pengukuran risiko seperti pada Tabel 2.7.

Tabel 2.7 Matrik Pengukuran Risiko

Ke ce nd erunga n n

5 Medium Medium High High High

4 Low Medium High High High

3 Low Low Medium High High

2 Low Low Medium Medium High

1 Low Low Medium Medium High

1 2 3 4 5

Setelah kolom inheren terisi semua maka selanjutnya mengisi kolom nilai risiko diharapkan. Kolom nilai risiko diharapkan berisi harapan dari Bank terhadap nilai risiko yang akan dicapai. Kolom ini pengisiannya berdasarkan kolom nilai risiko dasar.

Setelah nilai risiko yang diharapkan telah diisi selanjutnya adalah mengisi kolom kontrol yang ada dan kolom residu. Kolom-kolom ini diisi setelah audit dilaksanakan. Kolom residu berisi tentang hasil pengukuran setelah pengendalian dilakukan terhadap aset. Pengisian kolom kecenderungan residu dan dampak residu dengan menggunakan tabel rincian penilaian risk register. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 2.8.

Tabel 2.8 Rincian Penilaian Risk Register No Aset Deskripsi

Risiko

Analisa Kerawanan

Residu 1

Pernyataan

Residu 2 Kecender

ungan

Dam pak

Kecender ungan

Dam pak

Pengisian rincian penilaian risk register pertama kali isi nomor dengan urutan aset sesuai dengan risk register awal. Kolom aset diisi dengan nama aset. Kolom analisa kerawanan diisi dengan analisa kerawanan yang telah ditentukan pada saat pembuatan risk register awal. Pernyataan berisi tentang pernyataan audit yang telah dibuat berdasarkan standar yang telah ditentukan. Kolom residu dua penilaiannya berdasarkan dari pernyataan tentang keamanan dari tiap analisa kerawanan.

Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi

kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Penilaian pada kolom kecenderungan menggunakan kriteria pengukuran kecenderungan seperti pada Tabel 2.5

Kolom residu dampak berisi tentang hasil penilaian dampak setelah pengendalian dilakukan terhadap aset. Penilaian dampak dengan menggunakan klasifikasi dampak seperti terlihat pada Tabel 2.6. Kolom residu satu berisi rata-rata hasil penilaian dari kolom residu dua baik kolom kecenderungan maupun kolom dampak. Hasil kolom residu satu kecenderungan dan dampak menjadi dasar yang dimasukkan kedalam kolom residu di risk register. Pernyataan audit yang didapat dimasukkan ke dalam kolom kontrol yang ada pada risk register.

Hasil dari kolom residu satu dari rincian penilaian risk register tentang kecenderungan dan dampak dimasukkan ke dalam kolom residu kecenderungan dan dampak dalam risk register. Pengisian selanjutnya dari risk register adalah pada kolom residu Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah ada pengendalian terhadap aset. Pengukuran NRA dengan matrik pengukuran risiko seperti pada Tabel 2.7.

Setelah terisi semua penilaian risiko dilakukan dengan membandingkan hasil dari NRA dengan Nilai Risiko Diharapkan. Dari perbandingan ini dapat dilihat apakah NRA sesuai dengan Nilai Risiko Diharapkan. Berdasarkan NRA tersebut dapat dibuat rekomendasi bagi NRA yang tidak tercapai.

24

Pada Bab III akan dibahas tentang metode penelitian yang digunakan dalam penelitian ini. Metode penelitian yang digunakan mengaplikasikan antara langkah audit menurut Cannon (2006) yang disesuaikan dengan langkah-langkah penelitian tugas akhir, sehingga menghasilkan alur metode penelitian seperti terlihat pada Gambar 3.1.

Gambar 3.1 Alur Metode Penelitian Tahap Pelaksanaan Audit Pengumpulan Bukti Pemeriksaan Data dan Bukti

Analisa Hasil Pemeriksaan Tahap Perencanaan Audit Studi Literatur Identifikasi Proses Bisnis dan TI Identifikasi Ruang Lingkup dan Tujuan Persetujuan Engagement Letter oleh Perusahaan Tahap Persiapan Audit Pembuatan Audit Working Plan Membuat Pernyataan Membuat Pertanyaan Penilaian Risiko Tahap Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Melaporkan Laporan Audit

3.1 Tahap Perencanaan Audit

Pada tahap perencanaan audit berisi tentang empat tahap perencanaan yang dilakukan oleh penulis sebagai auditor . Tahap perencanaan ini terdiri dari studi literatur, identifikasi proses bisnis dan teknologi informasi, identifikasi ruang lingkup dan tujuan audit, dan persetujuan engagement letter oleh perusahaan. Tahap perencanaan ini merupakan tahap awal dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.1.1 Studi Literatur

Tahap studi literatur penulis mencari bahan tentang penelitian yang dilakukan. Studi literatur ini bertujuan untuk mendapatkan gambaran menyeluruh tentang audit keamanan informasi yang dilakukan oleh penulis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Studi literatur ini berdasarkan dari referensi buku dan jurnal tentang audit, informasi, keamanan informasi, Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007, Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, ISO 27002:2013, manajemen risiko dan penilaian risiko. Berdasarkan referensi tersebut menghasilkan tentang audit yang digunakan, informasi pada Bank, keamanan informasi, prosedur yang digunakan untuk audit, pemetaan klausul ISO 27002:2013 yang digunakan, jenis-jenis risiko dan penilaian risiko. 3.1.2 Identifikasi Proses Bisnis dan Teknologi Informasi

Pada tahap ini penulis melakukan identifikasi terhadap proses bisnis dan teknologi informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu berupa gambaran umum perusahaan, proses bisnis yang berlangsung dan teknologi yang digunakan. Gambaran umum

Bank berisi tentang profil organisasi, visi organisasi, misi organisasi, tujuan, struktur organisasi, dan sasaran bisnis. Proses bisnis Bank berisi tentang proses kegiatan operasional yang terjadi di PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teknologi informasi Bank berisi tentang daftar peralatan teknologi informasi yang mendukung proses kegiatan operasional yang terjadi PT. Bank Rakyat Indonesia Unit Sukomoro. Tahap ini menghasilkan dokumen identifikasi proses bisnis dan teknologi informasi.

3.1.3 Identifikasi Ruang Lingkup dan Tujuan

Pada tahap ini penulis melakukan identifikasi terhadap ruang lingkup dan tujuan dari audit pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu ruang lingkup dari audit dan tujuan dari audit. Ruang lingkup audit berisi tentang lingkup audit yang dilakukan. Tujuan berisi tentang tujuan dari audit yang dilakukan penulis. Tahap ini menghasilkan dokumen ruang lingkup dan tujuan.

3.1.4 Persetujuan Engagement Letter oleh perusahaan

Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter

berisi tentang poin-poin yang akan diaudit, indenpendensi (tanggung jawab) dari auditor, bukti kesepakatan dengan hal-hal yang diaudit dan kondisinya (kewenangan), menyetujui tanggal penyelesaian (akuntabilitas), sehingga menghasilkan persetujuan dari auditee.

3.2 Tahap Persiapan Audit

Pada tahap persiapan audit berisi tentang empat tahap persiapan yang dilakukan oleh penulis sebagai auditor. Tahap persiapan ini terdiri dari pembuatan

audit working plan, membuat pernyataan, penilaian risiko dan membuat pertanyaan. Tahap perencanaan ini merupakan tahapan setelah tahap perencanaan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.2.1 Pembuatan Audit Working Plan

Pada tahap ini penulis membuat rancangan kerja audit dimana berisi tentang waktu dalam setiap kegiatan yang dilakukan pada saat audit keamanan informasi. Hal ini dilakukan untuk membantu auditor tidak melampaui waktu yang ditentukan. Tahap ini menghasilkan Audit Working Plan seperti terlihat pada Tabel 3.1.

Tabel 3.1 Contoh Audit Working Plan

3.2.2 Membuat Pernyataan

Pada tahap ini penulis membuat pernyataan. Pernyataan yang dibuat berdasarkan dari pemetaan antara Peraturan Bank Indonesia dengan ISO 27002:2013 seperti terlihat pada Tabel 3.2 dan 3.3.

No Pekerjaan Audi tor

Estimasi Waktu

(/jam)

Reali sasi (/jam)

Hari

1 2 3 4 5 6 7 8 9 10

1. Perencanaan Audit

Onky P. W

10 Identifikasi

Proses Bisnis dan Teknologi Informasi

4 Identifikasi

Ruang Lingkup dan Tujuan

4 Persetujuan

Engagement Letter oleh Perusahaan

Tabel 3.2. Pemetaan PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik

dan lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen Insiden Keamanan Informasi

Tabel 3.3. Pemetaan detil PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan

penanggung jawab setiap aset.

8.1.1 8.1.2

Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi.

11.1.1 11.1.2 11.1.3 11.1.4

Perimeter keamanan fisik Kontrol masuk fisik

Keamanan kantor, ruangan, dan fasilitas.

Perlindungan pihak luar dan ancaman lingkungan

c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung.

11.2.2 Perangkat pendukung d. Terdapat identifikasi dan

perlindungan terhadap aset milik penyedia jasa.

e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi

11.2.4 Perawatan peralatan.

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen insiden keamanan informasi

a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi.

16.1.2 Laporan kejadian keamanan informasi.

b. Terdapat prosedur penanganan insiden

16.1.1 Tanggung jawab dan prosedur kontrol. c. Terdapat tim khusus yang

menangani insiden pengamanan. d. Seluruh pegawai diminta

melaporkan setiap menemukan indikasi atau potensi kelemahan

Pernyataan yang dibuat berisi tentang apa yang akan diperiksa auditor ke auditee. Pernyataan ini diambil dari poin-poin dari prosedur yang tercantum pada Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 pada bagian keamanan informasi dan kontrol dari ISO 27002:2013. Contoh dari membuat pernyataan dari prosedur pengelolaan aset pada Peraturan Bank Indonesia yaitu “Terdapat identifikasi dan penanggung jawab setiap aset”. Dari prosedur tersebut diarahkan pada klausul 8. tentang manajemen aset yaitu “inventaris aset”. Pada inventaris aset ini menghasilkan beberapa pernyataan antara lain yaitu “terdapat identifikasi aset yang relevan terhadap dokumen penting, dan selanjutnya”. Pernyataan tersebut disusun pada dokumen pernyataan seperti terlihat pada Tabel 3.4.

Tabel 3.4 Contoh Pernyataan Audit

PBI ISO 27002 Pernyataan

5.3.3.1 Prosedur Pengelolaan Aset

Klausul 8. Manajemen Aset

1. Terdapat identifikasi dan

penanggung jawab setiap aset.

8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk

penciptaan aset.

3. Terdapat dokumentasi untuk pengolahan aset.

4. Terdapat dokumentasi untuk penyimpanan aset.

5. Terdapat dokumentasi untuk transmisi aset.

3.2.3 Penilaian Risiko

Pada tahap ini penulis membuat penilaian risiko. Dalam membuat penilaian risiko terdapat dua tahap yang harus dilakukan yaitu identifikasi aset dan pengisian risk register (awal).

A. Identifikasi Aset

Tahap identifikasi aset berguna untuk mengetahui tingkat kritikal aset. Sebelum melakukan identifikasi auditor mendata aset yang mendukung proses bisnis untuk diaudit. Tingkat kritikal aset ditentukan dengan menggunakan kriteria penilaian yang terdiri dari aspek confidentiality (kerahasiaan), integrity

(keakuratan), dan availability (ketersediaan). Aset diklasifikasikan sesuai dengan penentuan kritikal yang akan dicantumkan pada risk register. Pada tahap ini menghasilkan dokumen identifikasi aset.

B. Pengisian Risk Register Awal

Setelah melakukan identifikasi aset tahap selanjutnya adalah melakukan pengisian risk register awal. Risk register awal adalah tabel penilaian sebelum adanya pengendalian yang dilakukan oleh auditee. Tahap pertama adalah mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Tahap selanjutnya adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berisi tentang potensi risiko yang terjadi pada aset akibat dari kegagalan atau kelemahan keamanan informasi. Risiko pada setiap aset dapat lebih dari satu risiko. Tahap selanjutnya adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan berisi faktor-faktor yang dapat menyebabkan terjadinya kegagalan atau kelemahan keamanan informasi.

Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Pada kolom inheren terdapat tiga kolom yaitu kolom empat (kolom kecenderungan), kolom lima (kolom dampak) dan kolom enam (kolom nilai risiko dasar). Kolom kecenderungan dan kolom dampak berisi nilai angka antara satu sampai lima sedangkan pada kolom nilai risiko dasar berisi tingkatan nilai perbandingan antara kecenderungan dan dampak yaitu low, medium dan high. Tahap selanjutnya adalah mengisi kolom sebelas (kolom nilai risiko diharapkan). Kolom nilai risiko diharapkan berisi nilai risiko yang diharapkan oleh perusahaan yang berdasarkan nilai risiko dasar yang telah ditentukan sebelumnya. Kolom nilai risiko yang diharapkan berisi tingkatan nilai yaitu low, medium dan high. Pada tahap ini menghasilkan risk register awal seperti terlihat pada Tabel 3.5.

Tabel 3.5 Contoh Risk Register Awal

Ase t Desk ripsi Risik o Analisa Kerawa nan

Inheren Residual Kece nder unga n Da mp ak Kecen derung an Kontrol Yang ada Kecen derun gan Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan 1 2 3 4 5 6 7 8 9 10 11

3.2.4 Membuat Pertanyaan

Pada tahap ini auditor membuat pertanyaan untuk audit. Pertanyaan yang dibuat berdasarkan dari pernyataan yang telah dibuat dan berdasarkan analisis kerawanan dari penilaian risiko. Pertanyaan yang dibuat berisi tentang apa yang akan ditanyakan auditor ke auditee saat dilakukan wawancara. Tahap ini menghasilkan dokumen pertanyaan seperti terlihat pada Tabel 3.6.

Tabel 3.6 Contoh Pertanyaan Audit 8.1.1 Inventaris aset

Pernyataan Pertanyaan

1. Terdapat

identifikasi aset yang relevan terhadap dokumen penting.

1. Apa saja yang termasuk dokumen penting di BRI Kantor Unit Sukomoro?

2. Apakah terdapat identifikasi dari dokumen penting tersebut?

3. Apa saja yang diidentifikasi dari dokumen penting tersebut?

2. Terdapat

dokumentasi untuk pengadaan aset.

1. Apakah terdapat proses penciptaan aset di BRI Kantor Unit Sukomoro?

2. Apakah dilakukan dokumentasi dalam penciptaan aset?

3. Apa saja yang didokumentasi dalam dokumentasi penciptaan aset?

4. Bagaimana bentuk dokumentasi penciptaan aset?

3.3 Tahap Pelaksanaan Audit

Pada tahap pelaksanaan audit berisi tentang tiga tahap pelaksanaan yang dilakukan oleh penulis sebagai auditor. Tahap pelaksanaan ini terdiri dari pengumpulan bukti, pemeriksaan data dan bukti dan analisis hasil pemeriksaan. Tahap pelaksanaan ini merupakan tahapan setelah tahap persiapan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.

3.3.1 Pengumpulan Bukti

Berdasarkan tahap persiapan audit yang telah dibuat, maka langkah selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pengumpulan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro. Observasi dilakukan dengan mengumpulkan bukti-bukti yang ada dan diperlukan

sesuai dengan pertanyaan yang telah dibuat. Hasil wawancara tertulis dalam kertas kerja audit. Langkah ini menghasilkan dokumen bukti seperti pada Tabel 3.7

Tabel 3.7 Contoh Dokumen Bukti

Kode Keterangan Bukti Foto Bukti

A.1

A.2

Keterangan foto 1

Keterangan foto 2

3.3.2 Pemeriksaan Data dan Bukti

Tahap selanjutnya adalah pemeriksaan data dan bukti. Dalam pemeriksaan ini dilakukan penyatuan antara hasil wawancara dan dokumen bukti untuk memudahkan dalam pemeriksaan data dan bukti. Tahap ini menghasilkan dokumen kertas kerja audit. Bentuk dari kertas kerja audit dapat dilihat pada Tabel 3.8.

Tabel 3.8 Contoh Kertas Kerja Audit KLAUSUL 8.1.1 Inventaris Aset

1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.

No. Pertanyaan Jawaban

1. Apakah terdapat identifikasi dari berkas pinjaman berupa hardcopy?

Jawaban Bukti : A.1 2. Apa saja yang diidentifikasi dari

berkas pinjaman berupa hardcopy?

Jawaban Bukti :

Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari

auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor.

3.3.3 Analisis Hasil Pemeriksaan

Pada tahap analisis hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian rincian penilaian risk register. Rincian penilaian risk register

berguna sebagai dasar dalam mengisi nilai residu risk register akhir. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan.

Pengisian kolom residu kecenderungan dan dampak berdasarkan nilai inheren dari risk register awal, sehingga apabila kontrol tidak dipenuhi nilai kecenderungan dan dampak sama dengan nilai inheren risk register awal. Kontrol yang tidak ada karena tidak digunakan tidak perlu diberi nilai. Pengisian kolom residu kecenderungan menggunakan kriteria pengukuran kecenderungan dapat dilihat pada Tabel 2.5. Kolom residu kecenderungan berisi berapa sering tingkat kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan. Pengisian kolom residu dampak menggunakan klasifikasi dampak dapat dilihat pada Tabel 2.6. Kolom residu dampak berisi besar dampak kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan.

Kolom residu dua berisi hasil rata-rata nilai dari kolom residu satu. Kolom residu satu pada kecenderungan berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Kolom residu satu pada dampak berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Hasil dari rata-rata nilai ini menimbulkan angka desimal sehingga dilakukan pembulatan angka angka dibelakang koma kurang dari lima maka dibulatkan ke bawah apabila angka dibelakang koma adalah lima atau diatas lima dibulatkan ke atas. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 3.9.

Tabel 3.9 Contoh Rincian Penilaian Risk Register N

o Aset

Deskripsi Risiko

Analisa Kerawanan

Residu 2 Residu 1

Kece nderu ngan Da mpa k

Pernyataan Kece

nderu ngan

Da mpa

k

1. Berkas pinjam an berupa hardco py. Ketidaks esuaian inventari s berkas pinjaman berupa hardcopy Tidak terdapat inventaris aset.

Terdapat identifikasi aset yang relevan terhadap dokumen penting.

Terdapat

dokumentasi untuk pengadaan aset.

Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Kolom risk register akhir yang diisi adalah kolom tujuh hingga kolom sepuluh. Kolom tujuh (kolom kontrol yang ada) diisi sesuai dengan pengendalian yang ada. Pengendalian yang ada dapat dilihat dalam rincian penilaian risk register pada kolom pernyataan. Pernyataan yang ada dapat dicantumkan pada kolom kontrol yang ada.

Selanjutnya pengisian kolom residu pada risk register terdapat tiga kolom yang harus diisi yaitu kolom delapan (kolom kecenderungan), kolom sembilan (kolom dampak) dan kolom sepuluh (kolom nilai risiko akhir). Kolom kecenderungan dan dampak dapat diisi dengan dasar rincian penilaian risk

register yaitu kolom residu dua. Kolom nilai risiko akhir berisi tingkatan nilai dari perbandingan kecenderungan dan dampak yaitu low, medium atau high. Hasil nilai risiko akhir didapat berdasarkan matrik pengukuran risiko seperti terlihat pada Tabel 2.7. Langkah ini menghasilkan dokumen risk register seperti terlihat pada Tabel 3.10.

Tabel 3.10 Contoh Risk Register Akhir

Ase t

Desk ripsi Risik o

Analisa Kerawa nan

Inheren Residual Kece

nder unga n

Da mp ak

Kecen derung

an

Kontrol Yang

ada

Kecen derun gan

Dam pak

Nilai risiko

Akhi r

Nilai Risiko dihara

pkan 1 2 3 4 5 6 7 8 9 10 11

Setelah pengisian risk register akhir dilakukan analisis. Analisis ini dilakukan terhadap risk register akhir. Analisis yang dilakukan adalah apa nilai risiko akhir sudah mencapai nilai risiko yang diharapkan, jika belum mencapai dianalisis penyebab belum tercapainya nilai risiko yang diharapkan. Penyebab belum tercapainya nilai risiko yang diharapkan dimasukkan ke dalam dokumen temuan. Setelah dimasukkan ke dalam dokumen temuan auditor memberikan rekomendasi terhadap temuan tersebut. Rekomendasi berdasarkan referensi dari kontro keamanan yang telah dipetakan. Tahap ini menghasilkan dokumen temuan. Temuan dapat dilihat pada Tabel 3.11.

Tabel 3.11 Contoh Temuan Audit Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

1. Temuan 1

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : rekomendasi 1

Referensi :Klausul 8.2.1 ISO 27002 : 2013 2. Temuan 2

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : rekomendasi 2

Referensi :Klausul 8.1.1 ISO 27002 : 2013

3.4 Tahap Pelaporan Audit

3.4.1 Penyusunan dan Persetujuan Laporan Audit

Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Pada laporan ini juga dilampirkan prosentase dari keseluruhan kontrol yang digunakan dalam audit dengan pencapaian level low pada seluruh aset yang terkait dengan informasi berupa aset data, perangkat keras dan perangkat pendukung. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada

auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari.

3.4.2 Melaporkan Laporan Audit

Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee

untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.

38

Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.

4.1Tahap Perencanaan Audit 4.1.1 Studi Literatur

Studi literatur yang dilakukan menghasilkan dasar yang akan digunakan dalam penulisan tugas akhir. Audit yang dilakukan pada penelitian ini menggunakan audit berbasis risiko. Audit berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia. Audit yang dilakukan menggunakan tiga prosedur dari Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Prosedur yang digunakan seperti terlihat pada Tabel 4.1.

Tabel 4.1 Prosedur yang Digunakan PBI:2007

5.3.3.1 Prosedur Pengelolaan Aset

5.3.3.3Prosedur Pengamanan Fisik dan lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013 dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel pemetaan tersebut seperti pada Tabel 4.2.

Tabel 4.2 Pemetaan PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik

dan lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen Insiden Keamanan Informasi

Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada Tabel 4.3.

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002

PBI:2007 ISO 27002:2013

5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung

jawab setiap aset.

8.1.1 8.1.2

Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi.

11.1.1 11.1.2 11.1.3 11.1.4

Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas.

Perlindungan pihak luar dan ancaman lingkungan

Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 (Lanjutan) 5.3.3.3Prosedur Pengamanan Fisik dan

lingkungan

Klausul 11. Keamanan Fisik dan Lingkungan

c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung.

11.2.2 Perangkat pendukung d. Terdapat identifikasi dan

perlindungan terhadap aset milik penyedia jasa.

e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi

11.2.4 Perawatan peralatan.

5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi

Klausul 16. Manajemen insiden keamanan informasi

a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi.

16.1.2 Laporan kejadian keamanan informasi.

b. Terdapat prosedur penanganan insiden

16.1.1 Tanggung jawab dan prosedur kontrol.

c. Terdapat tim khusus yang menangani insiden pengamanan.

d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan

Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium

dan high. Risk register dalam memperoleh nilai membandingkan antara kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat pada Tabel 4.4.

Tabel 4.4 Risk Register

Ase t Desk ripsi Risik o Analisa Kerawa nan

Inheren Residual Kece nder unga n Da mp ak Kecen derung an Kontrol Yang ada Kecen derun gan Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan 1 2 3 4 5 6 7 8 9 10 11

4.1.2 Identifikasi Proses Bisnis dan TI

Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro berdiri sejak 7 Juli 1970. Kantor ini berada di atas tanah seluas ± 350 m2 dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat wilayah kecamatan Sukomoro.

Visi dari perusahaan adalah “Menjadi bank komersial terkemuka yang

selalu mengutamakan kepuasan nasabah ”. Misi dari perusahaan adalah

a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang peningkatan ekonomi masyarakat.

b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja yang tersebar luas dan didukung oleh sumber daya manusia yang profesional dengan melaksanakan praktek good corporate governance. c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak

yang berkepentingan.

Tujuan bisnis dari perusahaan yaitu menyediakan jasa keuangan untuk masyarakat melalui pemberian pinjaman dan menghimpun dana melalui simpanan dengan sasaran bisnis yaitu masyarakat luas. Struktur organisasi dari PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro seperti terlihat pada Gambar 4.1.

Gambar 4.1. Strukur Organisasi

Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses bisnis pembukaan rekening pinjaman baru, penyetoran melalui teller,

pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5.

Tabel 4.5 Aset yang Diaudit

Proses Bisnis Aset Jenis Aset

Pembukaan Rekening Simpanan Baru

Berkas simpanan berupa hardcopy Data

Server Perangkat Keras

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Printer Pasbook Perangkat Keras

Mesin ATM Perangkat Keras

Lemari besi anti api Perangkat

Pendukung Pembukaan

Rekening Pinjaman Baru

Berkas pinjaman berupa hardcopy Data

Server Perangkat Keras

Personal Computer (customer service)

Perangkat Keras

Printer Inkjet Perangkat Keras

Personal Computer (kepala unit) Perangkat Keras

Brankas Tanam Perangkat

Pendukung Kepala Unit

Customer service Mantri Satpam

Teller

Tabel 4.5 Aset yang Diaudit (Lanjutan)

Proses Bisnis Aset Jenis Aset

Penyetoran Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Pasbook Perangkat Keras

Penarikan Uang melalui Teller

Bukti transaksi berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Pasbook Perangkat Keras

Pembuatan Laporan Harian

Laporan harian berupa hardcopy Data

Server Perangkat Keras

Personal Computer (teller) Perangkat Keras

Printer Laser Perangkat Keras

Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat pada Tabel 4.6.

Tabel 4.6. Perangkat Pendukung yang Diaudit

Aset Jenis Aset

Pendingin ruangan (ruang server) Perangkat pendukung

Brankas jinjing Perangkat pendukung

Genset Perangkat pendukung

CCTV Perangkat pendukung

Tabung pemadam kebakaran Perangkat pendukung

Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro yaitu,

Gambar 4.2. Proses Bisnis Pembukaan Rekening Simpanan Baru Nasabah

menyerahkan KTP dan NPWP

Customer Service (CS) mencetak formulir simpanan persyaratan disusun menjadi berkas simpanan. Nasabah menandatangani formulir simpanan Berkas simpanan diserahkan ke Kepala

Unit ( Kaunit) Kaunit

memberikan persetujuan. Cs mencetak buku

tabungan dan mengaktifkan Kartu

ATM Cs menyerahkan buku tabungan dan

Kartu ATM

nasabah melakukan penyetoran pada

teller.

Cs menyimpan berkas simpanan di lemari besi anti api.

a. Pembukaan Rekening Simpanan Baru

Proses pembukaan rekening simpanan baru pertama kali yang dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service

mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah. Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah kepala unit telah memberi persetujuan, costumer service mencetak buku tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui

teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM melalui ATM. Customer service menyimpan berkas simpanan ke dalam lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan baru dapat dilihat pada Gambar 4.2.

Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu berkas simpanan berupa hardcopy, personal computer milik customer service, printer inkjet, personal computer milik kaunit, server, printer

pasbook, mesin ATM dan lemari besi anti api b. Pembukaan Rekening Pinjaman Baru

Proses bisnis pembukaan rekening pinjaman baru dilakukan dengan cara nasabah mengajukan permohonan pinjaman beserta fotokopi ktp, kk, npwp, surat keterangan dari kecamatan bahwa memiliki usaha dan agunan tambahan. Costumer service mencetak formulir permohonan, yang selanjutnya ditanda tangani oleh nasabah. Nasabah dipersilahkan menunggu telepon dari customer service saat realisasi.

72

Setelah pengisian risk register (akhir) dilakukan analisis terhadap nilai risiko akhir dari risk register (akhir) apakah telah sesuai dengan nilai risiko yang diharapkan. Penyebab nilai risiko akhir tidak mencapai nilai risiko yang diharapkan dicantumkan pada dokumen temuan. Setelah temuan terkumpul maka diberikan rekomendasi pada setiap temuan yang terjadi. Rekomendasi berasal dari kontrol keamanan yang telah dipetakan. Dokumen temuan dapat dilihat pada Tabel 4.25. Dokumen temuan yang lebih lengkap dapat dilihat pada Lampiran 10.

Tabel 4.25 Dokumen Temuan Audit Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

1. Tidak terdapat klasifikasi informasi.

Risiko : Ketidaksesuaian Inventaris.

Rekomendasi : Klasifikasi dilakukan dengan cara menentukan tingkatan berkas pinjaman sesuai dengan tingkatan kepentingannya.

Referensi :Klausul 8.2.1 ISO 27002 : 2013 2. Tidak terdapat penandaan

informasi.

Risiko : Ketidaksesuaian inventaris.

Rekomendasi : memberikan penandaan informasi atau pemberian label pada berkas pinjaman sesuai dengan klasifikasinya. Referensi :Klausul 8.1.1 ISO 27002 : 2013 3. Tidak terdapat kontrol masuk

fisik.

Risiko : Pencurian berkas pinjaman berupa hardcopy.

Rekomendasi : kontrol masuk fisik dilakukan dengan memberikan pencatatan waktu beserta tanggal setiap pengunjung yang masuk ke clash.

Referensi :Klausul 11.1.2 ISO 27002 : 2013

Tabel 4.25 Dokumen Temuan Audit (Lanjutan)

Aset : Berkas pinjaman berupa hardcopy

No. Temuan Rekomendasi

4. Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan.

Risiko : Pencurian berkas Pinjaman

berupa hardcopy.

Rekomendasi : Diadakan peninjauan berkala pada clash, membatasi akses alat perekam pada clash dan memasang tanda peringatan untuk yang tidak berkepentingan dilarang masuk.

Referensi :Klausul 11.1.2 ISO 27002 : 2013

5. Tidak terdapat tanggung jawab dan prosedur kontrol.

Risiko : Keterlambatan penanganan

insiden

Rekomendasi : Membuat prosedur untuk perencanaan, persiapan, pemantauan, pendeteksi, analisis jika terjadi insiden sehingga meminimalisir terjadinya insiden.

Referensi :Klausul 16.1.1 ISO 27002 : 2013

4.4 Tahap Pelaporan Audit

4.4.1 Penyusunan dan Persetujuan Laporan Audit

Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang laporan untuk manajemen, temuan dan rekomendasi terhadap hasil dari audit yang dilakukan.

Temuan yang ditemukan diantaranya PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro perlu melakukan perbaikan terutama pada klasifikasi informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman lingkungan dan tanggung jawab dan prosedur kontrol. Perbaikan perlu segera dilakukan pada empat permasalahan tersebut karena empat hal ini ditemukan dalam semua aset yang berkaitan dengan informasi. Tingkat keamanan informasi atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat

74

keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat pendukung yang mencapai level low terdapat 51 (47,22%). Sehingga PT. Bank Rakyat Indonesia (persero) Tbk. perlu untuk melaksanakan rekomendasi yang telah dibuat supaya mencapai level low untuk keseluruhan kontrol keamanan terhadap aset informasi.

Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari. Laporan audit dapat dilihat pada Lampiran 11.

4.4.2 Melaporkan Laporan Audit

Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.

75

5.1 Kesimpulan

Berdasarkan hasil audit keamanan informasi yang telah dilakukan maka didapat kesimpulan berupa:

1. Perencanaan audit keamanan sistem informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro menghasilkan identifikasi ruang lingkup pada pedoman Bank Indonesia dalam menerapkan manajemen risiko pada teknologi informasi yaitu prosedur pengelolaan aset, pengamanan fisik dan lingkungan, dan penanganan insiden dalam pengamanan informasi.

2. Tingkat keamanan informasi atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat pendukung yang mencapai level low terdapat 51 (47,22%) sehingga perlu adanya perbaikan yang didasarkan pada belum tercapainya perolehan nilai risiko akhir pada level low. Rekomendasi perbaikan yaitu pada klasifikasi informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman lingkungan, tanggung jawab dan prosedur kontrol.

5.2Saran

Saran yang dapat diberikan untuk mengembangkan lebih lanjut adalah audit yang dilakukan hanya membahas tentang aspek kebijakan dan prosedur

76

keamanan informasi. Sehingga untuk kedepannya diharapkan seluruh aspek manajemen risiko penggunaan teknologi informasi dapat diaudit sehingga akan mendapatkan rekomendasi untuk semua aspek. Rekomendasi yang didapatkan dapat membantu bank untuk memperbaiki kekurangan dalam mengatasi risiko yang ada.

77

Canon, David L dan Timothy S. Bergmann. 2006 . Cisa Certified Information Systems Auditor Study Guide. Indianapolis : Wiley Publishing,Inc.

Direktorat Penelitian dan Pengaturan Perbankan. 2007. Pedoman Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Jakarta : Bank Indonesia.

Gondodiyoto, S. 2007. Audit Sistem Informasi Pendekatan COBIT. Jakarta: Mitra Wacana Media.

ISO/IEC 27002. 2013. Information Technology-Security Techniques-Code of Practice for Information Security Controls. 2013 .Switzerland.

Rahardjo, Budi. 2005. Keamanan Sistem Informasi Berbasis Internet. Bandung: PT. Insan Indonesia.

Ramadhana, Mochammad Arief. 2012. Pembuatan Perangkat Audit Internal TI Berbasis Resiko Menggunakan ISO/IEC 27002:2007 Pada Proses Pengelolaan Data Studi Kasus Digital Library ITS.http://digilib.its.ac.id/ pembuatan-perangkat-audit-internal-ti-berbasis-resiko-menggunakan- isoiec-270022007-pada-proses-pengelolaan-data-studi-kasus-digital-library-its-17226.html.1 Maret 2015

Sarno, Riyanto. 2009. Audit Sistem & Teknologi Informasi. Surabaya : ITSPress Surabaya.

Sarno, Riyanto dan Iffano, Irsyat. 2009 . Sistem Manajemen Keamanan Informasi. Surabaya : ITSPress Surabaya.

Susilo, Willy. 2003. Audit Mutu Internal.Jakarta : PT. Vorqistatama Binamega. Tampubolon, Robert. 2005. Risk and Systems-Based Internal Audit. Jakarta : PT.

Elex Media Komputindo.

Whitman, Michael E. Dan Mattord, Herbert J.2009. Management of Information Secutity. Course Technology.