bab iv hasil dan pembahasanrepository.dinamika.ac.id/id/eprint/1674/6/bab_iv.pdfbab iv hasil dan...
TRANSCRIPT
38
BAB IV
HASIL DAN PEMBAHASAN
Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT.
Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi
tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap
pelaporan audit.
4.1 Tahap Perencanaan Audit
4.1.1 Studi Literatur
Studi literatur yang dilakukan menghasilkan dasar yang akan digunakan
dalam penulisan tugas akhir. Audit yang dilakukan pada penelitian ini
menggunakan audit berbasis risiko. Audit berfokus pada pengujian atas sistem
dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan.
Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait
dengan nasabah, keuangan, laporan maupun informasi lainnya. Keamanan
informasi bergantung pada pengamanan terhadap semua aspek dan komponen
teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan,
peralatan pendukung dan sumber daya manusia. Audit yang dilakukan
menggunakan tiga prosedur dari Pedoman Penerapan Manajemen Risiko dalam
Penggunaan Teknologi Informasi oleh Bank Umum. Prosedur yang digunakan
seperti terlihat pada Tabel 4.1.
39
Tabel 4.1 Prosedur yang Digunakan
PBI:2007
5.3.3.1 Prosedur Pengelolaan Aset
5.3.3.3Prosedur Pengamanan Fisik dan lingkungan
5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013
dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel
pemetaan tersebut seperti pada Tabel 4.2.
Tabel 4.2 Pemetaan PBI dan ISO 27002
PBI:2007 ISO 27002:2013
5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset
5.3.3.3Prosedur Pengamanan Fisik
dan lingkungan
Klausul 11. Keamanan Fisik dan
Lingkungan
5.3.3.6 Prosedur Penanganan Insiden
dalam Pengamanan Informasi
Klausul 16. Manajemen Insiden
Keamanan Informasi
Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk
lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan
penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada
Tabel 4.3.
Tabel 4.3 Pemetaan Detil PBI dan ISO 27002
PBI:2007 ISO 27002:2013
5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset
a. Terdapat identifikasi dan penanggung
jawab setiap aset.
8.1.1
8.1.2
Inventaris aset
Kepemilikan aset
b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi
5.3.3.3Prosedur Pengamanan Fisik dan
lingkungan
Klausul 11. Keamanan Fisik dan
Lingkungan
a. Terdapat pengamanan fisik dan
lingkungan terhadap fasilitas
pemrosesan informasi.
11.1.1
11.1.2
11.1.3
11.1.4
Perimeter keamanan fisik
Kontrol masuk fisik
Keamanan kantor, ruangan,
dan fasilitas.
Perlindungan pihak luar dan
ancaman lingkungan
40
Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 (Lanjutan)
5.3.3.3Prosedur Pengamanan Fisik dan
lingkungan
Klausul 11. Keamanan Fisik dan
Lingkungan
c. Terdapat pemastian kapasitas dan
ketersediaan fasilitas pendukung.
11.2.2 Perangkat pendukung
d. Terdapat identifikasi dan
perlindungan terhadap aset milik
penyedia jasa.
e. Terdapat pemeliharaan dan
pemeriksaan berkala terhadap
fasilitas pemrosesan informasi dan
fasilitas pendukung informasi
11.2.4 Perawatan peralatan.
5.3.3.6 Prosedur Penanganan Insiden
dalam Pengamanan Informasi
Klausul 16. Manajemen insiden
keamanan informasi
a. Terdapat identifikasi, pelaporan,
tindaklanjut, dokumentasi dan
evaluasi terhadap insiden yang
terjadi.
16.1.2 Laporan kejadian keamanan
informasi.
b. Terdapat prosedur penanganan
insiden
16.1.1 Tanggung jawab dan prosedur
kontrol.
c. Terdapat tim khusus yang menangani
insiden pengamanan.
d. Seluruh pegawai diminta melaporkan
setiap menemukan indikasi atau
potensi kelemahan
Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia
Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di
dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium
dan high. Risk register dalam memperoleh nilai membandingkan antara
kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat
pada Tabel 4.4.
Tabel 4.4 Risk Register
Ase
t
Desk
ripsi
Risik
o
Analisa
Kerawa
nan
Inheren Residual
Kece
nder
unga
n
Da
mp
ak
Kecen
derung
an
Kontrol
Yang
ada
Kecen
derun
gan
Dam
pak
Nilai
risiko
Akhi
r
Nilai
Risiko
dihara
pkan
1 2 3 4 5 6 7 8 9 10 11
41
4.1.2 Identifikasi Proses Bisnis dan TI
Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi
berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk.
Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada
dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro
berdiri sejak 7 Juli 1970. Kantor ini berada di atas tanah seluas ± 350 m2
dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI
Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk
simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat
wilayah kecamatan Sukomoro.
Visi dari perusahaan adalah “Menjadi bank komersial terkemuka yang
selalu mengutamakan kepuasan nasabah ”. Misi dari perusahaan adalah
a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan
pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang
peningkatan ekonomi masyarakat.
b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja
yang tersebar luas dan didukung oleh sumber daya manusia yang
profesional dengan melaksanakan praktek good corporate governance.
c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak
yang berkepentingan.
Tujuan bisnis dari perusahaan yaitu menyediakan jasa keuangan untuk masyarakat
melalui pemberian pinjaman dan menghimpun dana melalui simpanan dengan
sasaran bisnis yaitu masyarakat luas. Struktur organisasi dari PT. Bank Rakyat
Indonesia (persero) Tbk. Unit Sukomoro seperti terlihat pada Gambar 4.1.
42
Gambar 4.1. Strukur Organisasi
Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk.
Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses
bisnis pembukaan rekening pinjaman baru, penyetoran melalui teller,
pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima
proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan
di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5.
Tabel 4.5 Aset yang Diaudit
Proses Bisnis Aset Jenis Aset
Pembukaan
Rekening
Simpanan Baru
Berkas simpanan berupa hardcopy Data
Server Perangkat Keras
Personal Computer (customer
service)
Perangkat Keras
Printer Inkjet Perangkat Keras
Personal Computer (kepala unit) Perangkat Keras
Printer Pasbook Perangkat Keras
Mesin ATM Perangkat Keras
Lemari besi anti api Perangkat
Pendukung
Pembukaan
Rekening Pinjaman
Baru
Berkas pinjaman berupa hardcopy Data
Server Perangkat Keras
Personal Computer (customer
service)
Perangkat Keras
Printer Inkjet Perangkat Keras
Personal Computer (kepala unit) Perangkat Keras
Brankas Tanam Perangkat
Pendukung
Kepala Unit
Customer service Mantri Satpam Teller
Penjaga Malam Cleaning service
43
Tabel 4.5 Aset yang Diaudit (Lanjutan)
Proses Bisnis Aset Jenis Aset
Penyetoran Uang
melalui Teller
Bukti transaksi berupa hardcopy Data
Server Perangkat Keras
Personal Computer (teller) Perangkat Keras
Printer Pasbook Perangkat Keras
Penarikan Uang
melalui Teller
Bukti transaksi berupa hardcopy Data
Server Perangkat Keras
Personal Computer (teller) Perangkat Keras
Printer Pasbook Perangkat Keras
Pembuatan
Laporan Harian
Laporan harian berupa hardcopy Data
Server Perangkat Keras
Personal Computer (teller) Perangkat Keras
Printer Laser Perangkat Keras
Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang
diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat
pada Tabel 4.6.
Tabel 4.6. Perangkat Pendukung yang Diaudit
Aset Jenis Aset
Pendingin ruangan (ruang server) Perangkat pendukung
Brankas jinjing Perangkat pendukung
Genset Perangkat pendukung
CCTV Perangkat pendukung
Tabung pemadam kebakaran Perangkat pendukung
Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro
yaitu,
Gambar 4.2. Proses Bisnis Pembukaan Rekening Simpanan Baru
Nasabah
menyerahkan
KTP dan NPWP
Customer Service
(CS) mencetak
formulir simpanan
persyaratan
disusun
menjadi
berkas
simpanan.
Nasabah
menandatangani
formulir simpanan
Berkas simpanan
diserahkan ke Kepala
Unit ( Kaunit)
Kaunit
memberikan
persetujuan.
Cs mencetak buku
tabungan dan
mengaktifkan Kartu
ATM
Cs menyerahkan
buku tabungan dan
Kartu ATM
nasabah melakukan
penyetoran pada
teller.
Cs menyimpan
berkas simpanan di
lemari besi anti api.
44
a. Pembukaan Rekening Simpanan Baru
Proses pembukaan rekening simpanan baru pertama kali yang
dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service
mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah.
Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang
telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah
kepala unit telah memberi persetujuan, costumer service mencetak buku
tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu
ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui
teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM
melalui ATM. Customer service menyimpan berkas simpanan ke dalam
lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan
baru dapat dilihat pada Gambar 4.2.
Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu
berkas simpanan berupa hardcopy, personal computer milik customer
service, printer inkjet, personal computer milik kaunit, server, printer
pasbook, mesin ATM dan lemari besi anti api
b. Pembukaan Rekening Pinjaman Baru
Proses bisnis pembukaan rekening pinjaman baru dilakukan dengan
cara nasabah mengajukan permohonan pinjaman beserta fotokopi ktp, kk,
npwp, surat keterangan dari kecamatan bahwa memiliki usaha dan agunan
tambahan. Costumer service mencetak formulir permohonan, yang
selanjutnya ditanda tangani oleh nasabah. Nasabah dipersilahkan menunggu
telepon dari customer service saat realisasi.
45
Costumer service menyusun data menjadi SKPP (Surat Keterangan
Permohonan Pinjaman), SKPP akan dicek oleh kepala unit dan di disposisi ke
mantri untuk disurvey kelayakannya. Hasil dari analisis mantri diserahkan ke
customer service. Customer service menyerahkan hasil survey mantri ke
kepala unit untuk diputuskan. Permohonan yang diputuskan disetujui
dikembalikan ke customer service.
Customer service memanggil nasabah untuk melakukan realisasi
pinjaman. Nasabah membawa agunan tambahan asli untuk diserahkan ke
costumer service. Setelah itu customer service mencetak formulir realisasi
untuk ditandatangani nasabah. Setelah itu costumer service menyusun
menjadi berkas pinjaman. Kaunit mengecek berkas pinjaman dan
menandatangani bukti transaksi pencairan dana. Selanjutnya nasabah
melakukan pencairan dana ke teller. Costumer service mencatat berkas
kepada buku induk pinjaman. Costumer service bersama kepala unit
menyimpan berkas pinjaman dalam brankas tanam. Gambaran proses bisnis
pembukaan rekening pinjaman baru dapat dilihat pada Gambar 4.3.
Proses bisnis untuk pembukaan rekening pinjaman baru terdapat
aset yang berkaitan dengan informasi yang diaudit meliputi personal
computer (costumer service), server, printer inkjet, personal computer
(kepala unit), brankas tanam dan berkas pinjaman berupa hardcopy.
46
Gambar 4.3. Proses Bisnis Pembukaan Rekening Pinjaman Baru
Gambar 4.4. Proses Bisnis Penyetoran Uang melalui Teller
c. Penyetoran Uang melalui Teller
Proses penyetoran uang melalui teller dengan cara nasabah yang
telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi
bukti transaksi penyetoran. Nasabah menuju teller dengan membawa bukti
transaksi penyetoran dan buku tabungan. Saat penyetoran nasabah
menyerahkan uang kepada teller sesuai yang tertulis di bukti transaksi. Teller
akan mengentri data melalui personal computer milik teller yang terhubung
dengan server untuk mengisikan sesuai bukti transaksi dan uang yang disetor
Nasabah mengajukan
permohonan
pinjaman
Customer Service
(CS) mencetak
formulir permohonan
persyaratan
disusun
menjadi berkas
pinjaman.
Nasabah
menandatangani
formulir permohonan
CS menyusun menjadi SKPP Kaunit
mengecek SKPP
Mantri melakukan
survey
CS menghubungi
nasabah untuk
relisasi pinjaman
Kaunit mengecek
berkas pinjaman dan
menandatangani
bukti transaksi
pencairan dana
Nasabah membawa
agunan tambahan
yang sah.
Customer Service
(CS) mencetak
formulir realisasi.
Nasabah
membawa bukti
transaksi
pencairan dana
ke teller
CS menyimpan
berkas pinjaman
bersama kaunit ke
brankas tanam
Nasabah mengisi
bukti transaksi
Bukti transaksi penyetoran
diserahkan ke teller bersama
uang dan buku tabungan
Teller akan mencocokkan
antara buku tabungan,
bukti transaksi dan uang.
Teller memasukkan data ke
personal computer
Teller melakukan
validasi terhadap
bukti transaksi
Teller mengembalikan
copy bukti transaksi
yang sudah divalidasi
Kepala Unit
memutuskan
permohonan
pinjaman
47
oleh nasabah. Selanjutnya teller melakukan validasi terhadap bukti transaksi
penyetoran. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook.
Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti
transaksi tindasannya diserahkan kepada nasabah beserta buku tabungannya.
Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada
Gambar 4.4.
Proses bisnis untuk penyetoran uang melalui teller terdapat aset yang
berkaitan dengan informasi yang diaudit meliputi personal computer (teller),
printer pasbook, dan bukti transaksi berupa hardcopy
.
Gambar 4.5. Proses Bisnis Pengambilan Uang melalui Teller
d. Pengambilan Uang melalui Teller
Proses pengambilan uang melalui teller dengan cara nasabah yang
telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi
bukti transaksi pengambilan. Selanjutnya nasabah menuju teller dengan
membawa bukti transaksi pengambilan. Proses pengambilan nasabah
menyerahkan buku tabungan dan bukti transaksi kepada teller. Teller akan
mengentri data melalui personal computer milik teller mengisikan sesuai
bukti transaksi dan uang yang diambil oleh nasabah. Selanjutnya teller
Nasabah mengisi
bukti transaksi
pengambilan
Bukti transaksi pengambilan
diserahkan ke teller bersama
buku tabungan
Teller akan mencocokkan
antara bukti transaksi dan
buku tabungan
Teller memasukkan data ke
personal computer
Teller melakukan
validasi terhadap slip
dan buku tabungan
Teller menyerahkan
uang dan buku
tabungan nasabah.
48
melakukan validasi terhadap bukti transaksi pengambilan. Tahap selanjutnya
buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi
pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan
kepada nasabah. Selanjutnya Uang beserta buku tabungannya diserahkan
kepada nasabah. Proses bisnis untuk pengambilan uang melalui teller terdapat
aset yang berkaitan dengan informasi yang diaudit meliputi personal
computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy.
Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada
Gambar 4.5.
Gambar 4.6. Proses Bisnis Pembuatan Laporan Harian
e. Pembuatan Laporan Harian
Setelah kas tutup bukti transaksi berupa hardcopy diserahkan kepada
kepala unit. Kepala unit mengumpulkan menjadi satu dan dimasukkan
kedalam amplop bukti kas dan diberi tanggal sesuai tanggal transaksi.
Selanjutnya Kepala Unit melakukan pencetakan laporan transaksi harian
dengan printer laser melalui personal computer milik kepala unit untuk
mencocokkan dengan bukti kas. Gambaran proses bisnis pembuatan laporan
harian dapat dilihat pada Gambar 4.6.
Kepala Unit menyimpan bukti transaksi
dan laporan harian di lemari besi anti api
Teller menyerahkan
bukti transaksi ke
kepala unit.
Kepala Unit
menyimpan dalam
amplop khusus.
Kepala Unit
mencetak laporan
harian
49
4.1.3 Identifikasi Ruang Lingkup dan Tujuan
Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. Isi dari
dokumen ruang lingkup dan tujuan adalah ruang lingkup audit dan tujuan dari
audit. Ruang lingkup audit meliputi Peraturan Bank Indonesia yang telah
dipetakan dengan ISO 27002:2013. Ruang lingkup audit dapat dilihat pada Tabel
4.7
Tabel 4.7 Ruang Lingkup Audit
PBI:2007 ISO 27002:2013
5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset
5.3.3.3Prosedur Pengamanan Fisik dan
lingkungan
Klausul 11. Keamanan Fisik dan
Lingkungan
5.3.3.6 Prosedur Penanganan Insiden
dalam Pengamanan Informasi
Klausul 16. Manajemen Insiden
Keamanan Informasi
Tujuan audit yang ingin dicapai dalam penelitian ini adalah sebagai
berikut.
1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat
Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank
Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan
menganalisa hasil wawancara berupa bukti dan temuan-temuan audit
sehingga dapat mengukur risiko yang terjadi.
2. Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat
Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank
Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan
melakukan analisa dan evaluasi dari bukti dan temuan yang didapat
sehingga menghasilkan laporan audit yang berupa temuan dan
rekomendasi.
50
3. Melaporkan hasil rekomendasi dari audit keamanan informasi
berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12
Desember 2007.
4.1.4 Persetujuan Engagement Letter oleh perusahaan
Pada tahap ini penulis membuat engagement letter yang bertujuan
mempertegas hubungan antara auditor dengan perusahaan. Engagement letter
berisi tentang indenpendensi dari auditor (tanggung jawab) diantaranya menjaga
kerahasiaan dari hasil, data dan bukti audit tertulis dengan jelas pada engagement
letter. Pihak bank menyetujui poin-poin yang akan diaudit diantara prosedur
pengelolaan aset, prosedur pengamanan fisik dan lingkungan, prosedur
pengamanan operasional teknologi informasi, dan prosedur pengamanan insiden
dalam pengamanan informasi yang tercantum pada ruang lingkup. Pihak bank
menyetujui tanggal penyelesaian yang tercantum pada jadwal kerja yang
tercantum. Kepala Unit sebagai auditee menyetujui dengan membubuhkan tanda
tangan pada engagement letter. Bentuk dari engagement letter terlihat pada
gambar 4.7 dan 4.8. Engagement letter untuk lebih jelasnya dapat dilihat pada
lampiran 1.
52
Gambar 4.8 Halaman Akhir Engagement Letter
4.2 Tahap Persiapan Audit
4.2.1 Pembuatan Audit Working Plan
Pada tahap pembuatan audit working plan telah direncanakan waktu
pelaksanaan audit kurang lebih 4 bulan. Dalam audit working plan terbagi dalam
empat tahap yang akan dilalui yaitu perencanaan, persiapan, pelaksanaan dan
pelaporan audit seperti yang terlihat pada Tabel 4.8.
53
Tabel 4.8 Audit Working Plan
No Pekerjaan Audi
tor
Estimas
i Waktu
(/hari)
Realis
asi
(/hari)
Minggu
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1 Perencanaan Audit
Onky
P. W
16
Identifikasi Proses
Bisnis dan Teknologi
Informasi
4
Identifikasi Ruang
Lingkup dan Tujuan
4
Persetujuan
Engagement Letter
oleh Perusahaan
4
2 Persiapan Audit
Onky
P. W
23
Membuat Audit
Working Plan 2
Membuat Pernyataan 5
Penilaian Risiko 9
Membuat Pertanyaan 7
3 Pelaksanaan Audit
Onky
P. W
30
Pemeriksaan Data dan
Bukti 10
Pengumpulan Bukti 10
Analisa Hasil
Pemeriksaan 10
4 Pelaporan Audit
Onky
P. W
11
Penyusunan dan
Persetujuan Laporan
Audit
10
Melaporkan Laporan
Audit 1
Jumlah 80
54
4.2.2 Membuat Pernyataan
Pernyataan yang dibuat berdasarkan pemetaan yang telah dibuat saat studi
literatur. Pernyataan berisi tentang kontrol penting yang diperiksa auditor.
Pernyataan diambil dari ISO 27002 yang memiliki dasar Surat Edaran Bank
Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Dalam pembuatan
pernyataan ini pokok-pokok yang bersifat umum dalam Pedoman Penerapan
Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
maka pernyataan diambil dari kontrol ISO 27002:2013 sesuia pemetaan yang telah
dilakukan. Hasil dari pernyataan yang telah dibuat dapat dilihat pada Tabel 4.9
dan untuk lebih jelasnya dapat dilihat pada Lampiran 2.
Tabel 4.9 Pernyataan Audit
PBI ISO 27002 Pernyataan 5.3.3.1 Prosedur
Pengelolaan Aset
Klausul 8.
Manajemen Aset
1. Terdapat
identifikasi dan
penanggung
jawab setiap
aset.
8.1.1 Inventaris
Aset
1. Terdapat identifikasi aset yang relevan
terhadap dokumen penting.
2. Terdapat dokumentasi untuk pengadaan aset.
3. Terdapat dokumentasi untuk penggunaan aset.
4. Terdapat dokumentasi untuk penyimpanan
aset.
5. Terdapat dokumentasi untuk transmisi aset.
6. Terdapat dokumentasi unuk penghapusan aset.
7. Terdapat dokumentasi penghancuran aset.
8. Inventaris aset akurat.
9. Inventaris aset up to date.
10. Inventaris aset konsisten
8.1.2
Kepemilikan
aset
1. Terdapat inventarisasi aset.
2. Terdapat klasifikasi aset.
3. Terdapat perlindungan aset.
4. Terdapat aturan pembatasan akses.
5. Terdapat aturan klasifikasi aset.
6. Terdapat pemeriksaan secara berkala
pembatasan akses.
55
4.2.3 Penilaian Risiko
A. Identifikasi Aset
Identifikasi aset dapat dilakukan setelah auditor mendata aset yang
dipergunakan dalam mendukung proses bisnis pada PT. Bank Rakyat Indonesia
(persero) Tbk. Unit Sukomoro. Daftar aset tersebut dapat dilihat pada Tabel 4.10.
Tabel 4.10 Daftar Aset yang Diaudit
No. Nama Aset Jenis Aset
1. Berkas Pinjaman Berupa Hardcopy Data
2. Berkas Simpanan Berupa Hardcopy Data
3. Bukti Transaksi Harian Dalam Bentuk
Hardcopy
Data
4. Laporan Transaksi Harian Berupa
Hardcopy
Data
5. Server Perangkat Keras
6. Printer Pas Book Perangkat Keras
7. Mesin ATM (Anjungan Tunai Mandiri) Perangkat Keras
8. Printer Laser Perangkat Keras
9. Personal computer (Kepala Unit) Perangkat Keras
10. Personal computer (Teller) Perangkat Keras
11. Personal computer (Costumer service) Perangkat Keras
12. Printer Inkjet Perangkat Keras
13. Pendingin ruangan (Ruang Server) Perangkat Pendukung
14. Brankas Tanam Perangkat Pendukung
15. Lemari Besi Anti Api Perangkat Pendukung
16. Brankas Jinjing Perangkat Pendukung
17. Genset Perangkat Pendukung
18. CCTV Perangkat Pendukung
19. Tabung Pemadam Perangkat Pendukung
56
Setelah daftar aset telah ditentukan tahap selanjutnya mengidentifikasi aset
berdasarkan tingkat kritikal aset. Dalam menentukan tingkat kritikal aset
diperlukan pedoman untuk memberikan penilaian. Bentuk pedoman penilaian
identifikasi aset dapat dilihat pada Tabel 4.11.
Tabel 4.11 Pedoman Penilaian Identifikasi Aset
Aspek Analisa
Sensitivitas
Kriteria Penilaian
High Medium Low
Confi-
dentia-lity
Berapa besar
kerugian
yang
ditimbulkan
apabila
terjadi
hilangnya
kerahasiaan
atas suatu
informasi /
dapat diakses
oleh siapa
saja?
Jika kerugian
yang
ditimbulkan
sangat
signifikan
karena informasi
yang bocor
sangat sensitif
atau hanya bisa
diakses oleh
personil tertentu
yang telah diberi
otorisasi.
Jika kerugian
yang
ditimbulkan
tidak signifikan
karena informasi
tidak sensitif
atau akses
informasi oleh
berbagai pihak
di organisasi.
Jika
kerugian
yang
ditimbulkan
sangat kecil
karena
informasi
bersifat
umum atau
dapat
diakses oleh
siapa saja.
Integrity Berapa besar
dampak/keru
gian terhadap
jalannya
proses bisnis
apabila suatu
aset tidak
digunakan
dengan
benar, tidak
lengkap,
tidak akurat
dan tidak
dikinikan?
Jika dampak
yang
ditimbulkan
sangat
signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis
dan
menimbulkan
potensi
dilakukannya
penyimpangan
yang mengarah
pada nilai uang
yang cukup
signifikan.
Jika dampak
yang
ditimbulkan
tidak signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis
yang tidak
signifikan,
kesalahan dalam
pengambilan
keputusan.
Jika
dampak
yang
ditimbulkan
sangat kecil
dan tidak
menggangg
u proses
bisnis.
57
Tabel 4.11 Pedoman Penilaian Identifikasi Aset (Lanjutan)
Aspek Analisa
Sensitivitas
Kriteria Penilaian
High Medium Low
Availa-
bility
Berapa besar
dampak/keru
gian yang
ditimbulkan
apabila
terjadi
ketidaktersed
iaan suatu
aset?
Jika dampak
yang
ditimbulkan
sangat
signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis.
Jika dampak
yang
ditimbulkantida
k signifikan
karena aset
dapat digantikan
dengan biaya
atau waktu yang
memadai
sehingga hanya
mengakibatkan
penurunan
efisiensi dan
efektifitas atas
jalannya proses
bisnis.
Jika
dampak
yang
ditimbulkan
sangat kecil
karena
proses
bisnis tetap
berjalan
tanpa aset
tersebut
atau aset
tersebut
bisa dengan
cepat
diganti.
Berdasarkan pedoman penilaian identifikasi aset maka dihasilkan dokumen
identifikasi aset. Dokumen identifikasi aset ini berdasarkan data aset yang ada
selanjutnya dilakukan penilaian dengan pedoman penilaian identifikasi aset.
Identifikasi aset dapat dilihat pada Gambar 4.4. Identifikasi aset untuk lebih
jelasnya dapat dilihat pada Lampiran 3.
58
Gambar 4.10 Identifikasi Aset
Dokumen Identifikasi Aset
- Berkas Pinjaman Berupa Hardcopy
Aspek Kriteria Penilaian
High Medium Low
Confidentiality
Integrity
Availability
- Berkas Simpanan Berupa Hardcopy
Aspek Kriteria Penilaian
High Medium Low
Confidentiality
Integrity
Availability
- Bukti Transaksi Harian Berupa Hardcopy
Aspek Kriteria Penilaian
High Medium Low
Confidentiality
Integrity
Availability
- Laporan Transaksi Harian Berupa Hardcopy
Aspek Kriteria Penilaian
High Medium Low
Confidentiality
Integrity
Availability
- Server
Aspek Kriteria Penilaian
High Medium Low
Confidentiality
Integrity
Availability
59
B. Pengisian Risk Register Awal
Dalam pengisian risk register awal melalui beberapa tahapan. Tahap
pertama yang dilakukan auditor mengisi kolom satu (kolom aset) dengan hasil
yang diperoleh dari tahap identifikasi aset. Pengisian kolom aset dapat dilihat pada
Tabel 4.12.
Tabel 4.12 Pengisian Kolom Aset Risk Register
No Aset
0. 1.
1.
Berkas pinjaman berupa
hardcopy
2.
Berkas simpanan berupa
hardcopy
Tahap selanjutnya yang dilakukan oleh auditor adalah mengisi kolom dua
(kolom deskripsi risiko). Kolom deskripsi risiko berkas pinjaman diantaranya
adalah ketidaksesuaian inventaris dan pencurian. Pengisian deskripsi risiko dapat
terlihat pada Tabel 4.13.
Tabel 4.13 Pengisian Deskripsi Risiko Risk Register
No Aset Deskripsi Risiko
0. 1. 2.
1.
Berkas pinjaman berupa
hardcopy
Ketidaksesuaian inventaris
Pencurian
Tahap selanjutnya yng dilakukan auditor adalah mengisi kolom tiga
(kolom analisa kerawanan). Kolom analisa kerawanan dari ketidaksesuaianan
inventaris diantaranya adalah tidak terdapat inventaris aset, tidak terdapat
kepemilikan aset, tidak terdapat klasifikasi aset dan tidak terdapat penandaan
60
informasi. analisa kerawanan ini berasal dari pernyataan yang telah dibuat.
Pengisian analisa kerawanan dapat dilihat pada Tabel 4.14.
Tabel 4.14 Pengisian Analisa Kerawanan Risk Register
No Aset Deskripsi Risiko Analisa Kerawanan
0. 1. 2. 3.
1.
Berkas
pinjaman
berupa
hardcopy
Ketidaksesuaian
inventaris
Tidak terdapat inventaris aset.
Tidak terdapat kepemilikan aset.
Tidak terdapat klasifikasi informasi.
Tidak terdapat penandaan informasi.
Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah
kolom penilaian sebelum adanya pengendalian. Dalam mengisi kolom inheren kita
memerlukan kriteria pengukuran kecenderungan, kriteria pengukuran dampak dan
matrik tingkatan risiko. Kriteria pengukuran kecenderungan membantu auditor
dalam memberi nilai kecenderungan terjadinya risiko sebelum adanya
pengendalian. Kriteria pengukuran kecenderungan dapat dilihat pada Tabel 4.15.
Tabel 4.15 Kriteria Pengukuran Kecenderungan
Level Potensi Kejadian Frekuensi
Kejadian
Frekuensi kejadian
perminggu*
5. Potensi terjadi tinggi
dalam jangka pendek
Sangat sering
terjadi
Terjadi selama 5 hari
kerja berulang.
4. Potensi terjadi tinggi
dalam jangka panjang
Lebih sering
terjadi
Terjadi 4 kali dalam
seminggu hari kerja.
3. Potensi terjadi sedang Cukup sering
terjadi
Terjadi 3 kali dalam
seminggu hari kerja.
2. Potensi terjadi kecil Jarang terjadi Terjadi 2 kali dalam
seminggu hari kerja.
1. Kemungkinan terjadi
kecil
Hampir tidak
pernah terjadi
Tidak pernah terjadi atau
maksimal 1 kali dalam
seminggu hari kerja
Kriteria pengukuran dampak membantu auditor dalam memberi nilai
dampak terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran
dampak dapat dilihat pada Tabel 4.16.
61
Tabel 4.16 Kriteria Pengukuran Dampak
Nilai Potensi gangguan terhadap
proses bisnis
Potensi Penurunan Reputasi
5 Aset pemrosesan informasi
mengalami kegagalan total
sehingga keseluruhan bisnis bank
tidak tercapai.
Kerusakan reputasi yang
mengakibatkan penurunan
reputasi yang serius dan
berkelanjutan dimata nasabah /
stakeholder utama dan
masyarakat.
4 Aset pemrosesan informasi
mengalami gangguan yang
menyebabkan aktifitas bisnis bank
mengalami penundaan sampai
aset pemrosesan informasi yang
terkait pulih
Kerusakan reputasi yang tidak
meyeluruh, hanya nasabah atau
partner bisnis tertentu.
3 Aset pemrosesan informasi
mengalami gangguan yang
menyebabkan sebagian bisnis
bank mengalami penundaan
sampai aset pemrosesan informasi
yang terkait pulih.
Kerusakan reputasi hanya pada
unit tersebut.
2 Aset pemrosesan informasi
mengalami gangguan namun
akifitas pokok Tim dapat
dikerjakan secara normal karena
aset pemrosesan informasi yang
terkait dapat digantikan oleh Aset
Pemrosesan Informasi lainnya.
Kerusakan reputasi yang tidak
menyeluruh hanya satuan kerja
tertentu.
1 Tidak menyebabkan gangguan
terhadap operasional proses
bisnis.
Tidak berpengaruh pada
reputasi.
Matrik tingkatan risiko membantu auditor dalam memberi tingkatan nilai
risiko dasar berupa low, medium dan high dengan membandingkan kecenderungan
dan dampak. Matrik tingkatan risiko dapat dilihat pada Tabel 4.17.
62
Tabel 4.17 Matrik Tingkatan Risiko
Kec
end
erungan
n
5 Medium Medium High High High
4 Low Medium High High High
3 Low Low Medium High High
2 Low Low Medium Medium High
1 Low Low Medium Medium High
1 2 3 4 5
Dampak
Dalam mengisi kolom residu risk register awal auditor menganalisis
seberapa tingkat kecenderungan ketidakamanan informasi saat tidak terdapat
inventaris aset. Hasil yang didapatkan bersama dengan kepala unit untuk
kecenderungan residu aset berada pada posisi antara tiga dan lima. Aset yang
memiliki nilai tiga potensi terjadinya risiko sedang, nilai empat potensi terjadinya
risiko hampir setiap hari dalam seminggu dan nilai lima potensi kejadiannya setiap
hari dalam seminggu. Selanjutnya seberapa tingkat dampak yang ditimbulkan saat
tidak terdapat inventaris aset. Hasil yang didapatkan bersama kepala unit dampak
residu aset berada pada posisi tiga dan lima. Aset yang memiliki nilai tiga
dampaknya kerusakan hanya mengganggu sebagian proses saja, untuk nilai empat
dampak kerusakannya mencapai penundaan hingga gangguan teratasi dan untuk
nilai lima dampak kerusakan menyebabkan kegagalan total proses bisnis yang
berlangsung. Penilaian kecenderungan dan dampak dapat dilihat pada Tabel 4.18.
Tabel 4.18 Penilaian Kecenderungan dan Dampak
No Aset Deskripsi
Risiko Analisa Kerawanan
Inheren
Kecender
ungan
(min =1,
mak = 5)
Dampak
(min =1,
mak = 5)
0. 1. 2. 3. 4. 5.
1.
Berkas
pinjaman
berupa
hardcopy
Ketidak-
sesuaian
inventaris
Tidak terdapat inventaris
aset.
4 4
Tidak terdapat
kepemilikan aset.
4 3
63
Tahap selanjunya adalah penilaian nilai risiko dasar yang berdasarkan
hasil penilaian kecenderungan dan dampak pada setiap deskripsi risiko. Penilaian
kecenderungan dan dampak inheren didapat dari konsultasi dengan perusahaan
apabila aset tersebut tidak terdapat kontrol pengaman. Penilaian menggunakan
matrik tingkatan risiko dimana pada analisa kerawanan tidak terdapat inventaris
aset nilai kecenderungannya empat dan dampaknya lima maka diperoleh hasil
high. Tahap selanjutnya pengisian nilai risiko yang diharapkan. Pengisian nilai
risiko yang diharapkan berdasarkan nilai risiko dasar dimana nilai risiko yang
diharapakan oleh perusahaan adalah mencapai level yang lebih baik. Hasil dari
nilai risiko dasar yang diperoleh adalah high maka dilakukan konsultasi dengan
perusahaan target apa yang ingin dicapai. Dalam audit ini Kepala Unit
menginginkan nilai risiko yang diharapkan adalah mencapai level low. Risk
register awal dapat dilihat pada Tabel 4.19. Risk register awal untuk lebih
jelasnya dapat dilihat pada Lampiran 4.
64
Tabel 4.19 Risk Register Awal
No Aset Deskripsi Risiko Analisa Kerawanan
Inheren Nilai
Risiko
Diharap
kan
Kecende
rungan
(min =1,
mak = 5)
Dampak
(min =1,
mak = 5)
Nilai
Risiko
Dasar
0. 1. 2. 3. 4. 5. 6. 11.
1.
Berkas
pinjaman
berupa
hardcopy
Ketidaksesuaian inventaris Tidak terdapat inventaris aset. 4 4
High Low Tidak terdapat kepemilikan aset. 4 3
Tidak terdapat klasifikasi informasi. 4 3
Tidak terdapat penandaan informasi. 3 3
Pencurian Tidak terdapat perimeter keamanan
fisik.
5 4 High Low
Tidak terdapat kontrol masuk fisik. 5 4 High Low
Tidak terdapat keamanan kantor,
ruangan dan fasilitas.
5 4 High Low
Tidak terdapat penjagaan dari pihak luar
dan ancaman lingkungan.
5 5 High Low
Keterlambatan penanganan
saat terjadi insiden.
Tidak terdapat pelaporan informasi
kejadian keamanan.
5 5 High Low
Tidak terdapat tanggung jawab dan
prosedur kontrol
5 4 High Low
Tidak terdapat tim khusus yang
menangani insiden pengamanan.
5 4 High Low
dan seterusnya.
65
4.2.4 Membuat Pertanyaan
Tahap membuat pertanyaan dilakukan berdasarkan pernyataan yang telah
dibuat. Pertanyaan yang ada berdasarkan dari dokumen pernyataan yang telah
dibuat sebelumnya. Pertanyaan ini ditujukan pada setiap aset yang akan diaudit.
Salah satu hasil dari pertanyaan yang dibuat seperti terlihat pada Tabel 4.20
dokumen pertanyaan untuk lebih jelasnya dapat dilihat pada Lampiran 5.
Tabel 4.20 Pertanyaan Audit
8.1.1 Inventaris aset
Pernyataan Pertanyaan
11. Terdapat identifikasi aset yang
relevan terhadap dokumen
penting.
1. Apakah aset termasuk dokumen
penting di BRI Kantor Unit
Sukomoro?
2. Apakah terdapat identifikasi dari
dokumen penting tersebut?
3. Apa saja yang diidentifikasi dari
dokumen penting tersebut?
12. Terdapat dokumentasi untuk
pengadaan aset.
1. Apakah terdapat proses pengadaan
aset di BRI Kantor Unit Sukomoro?
2. Apakah dilakukan dokumentasi
dalam pengadaan aset?
3. Apa saja yang didokumentasi dalam
dokumentasi pengadaan aset?
4. Bagaimana bentuk dokumentasi
pengadaan aset?
3. Terdapat dokumentasi untuk
penggunaan aset.
1. Apakah terdapat proses penggunaan
aset di BRI Kantor Unit Sukomoro?
2. Apakah dilakukan dokumentasi
dalam penggunaan aset?
3. Apa saja yang didokumentasi dalam
dokumentasi penggunaan aset?
4. Bagaimana bentuk dokumentasi
pengolahan aset?
4. Terdapat dokumentasi untuk
penyimpanan aset.
1. Apakah terdapat proses penyimpanan
aset di BRI Kantor Unit Sukomoro?
2. Apakah dilakukan dokumentasi
dalam penyimpanan aset?
3. Apa saja yang didokumentasi dalam
dokumentasi penyimpanan aset?
4. Bagaimana bentuk dokumentasi
penyimpanan aset?
66
4.3 Tahap Pelaksanaan Audit
4.3.1 Pengumpulan Bukti
Tahap ini menghasilkan dokumen wawancara dan dokumen bukti.
Berdasarkan tahap persiapan audit yang telah kita buat, maka langkah selanjutnya
adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan
bukti. Pada langkah ini kita mengumpulkan bukti dengan cara melakukan
wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI
Unit Sukomoro dan observasi yaitu dengan mengumpulkan bukti-bukti yang ada
dan diperlukan sesuai dengan pertanyaan yang telah dibuat. Hasil dari observasi
berupa dokumen bukti terlihat seperti Tabel 4.21. Dokumen bukti dapat dilihat
pada Lampiran 6.
Tabel 4.21 Dokumen Bukti Audit
Kode Keterangan Bukti Foto Bukti
A.1 Tampak depan berkas pinjaman
4.3.2 Pemeriksaan Data dan Bukti
Tahap pertama dari pemeriksaan data dan bukti adalah membuat kertas
kerja audit berdasarkan dokumen wawancara dan dokumen bukti. Kertas kerja
audit dapat dilihat pada Tabel 4.22. Kertas Kerja Audit untuk lebih jelasnya dapat
dilihat pada Lampiran 7.
dan seterusnya.
67
Tabel 4.22 Kertas Kerja Audit
KERTAS KERJA AUDIT 1.1
Tanggal : 16 November 2014 (revisi)
Nama : Jiantono
jabatan : Ka Unit
Tanda Tangan :
KLAUSUL 8.1.1 Inventaris Aset
1. Terdapat identifikasi aset yang relevan terhadap dokumen penting.
No. Pertanyaan Jawaban
1. Apakah berkas pinjaman berupa
hardcopy termasuk dokumen
penting di BRI Kantor Unit
Sukomoro?
Berkas pinjaman berupa hardcopy
termasuk dokumen penting.
2. Apakah terdapat identifikasi dari
berkas pinjaman berupa
hardcopy?
Terdapat identifikasi dari berkas pinjaman
berupa hardcopy.
Bukti : A.1
3. Apa saja yang diidentifikasi dari
berkas pinjaman berupa
hardcopy?
Identifikasi pada berkas pinjaman berupa
hardcopy meliputi nomor induk, nama,
alamat dan jenis dokumen agunan kredit.
Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari
auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari
kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah
dilakukan auditor.
Kertas kerja audit telah disetujui tahap selanjutnya dalam pemeriksaan
data dan bukti adalah mengisi rincian penilaian risk register. Rincian penilaian
risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk
menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register
terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua.
Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian
yang tercantum pada kolom pernyataan. Kolom residu dua berisi kalkulasi nilai
dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom
68
kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan
yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom
dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian.
Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Tahap ini
menghasilkan dokumen rincian penilaian risk register. Bentuk rincian penilaian
risk register dapat dilihat pada Tabel 4.23. Dokumen rincian penilaian risk
register dapat dilihat pada Lampiran 8.
69
Tabel 4.23 Dokumen Rincian Risk Register
No Aset Deskripsi Risiko Analisa
Kerawanan
Residu 2 Residu 1
Kecen
derun
gan
Dam
pak
Pernyataan Kecen
derun
gan
Dam
pak
1. Berkas
pinjaman
berupa
hardcopy.
Ketidaksesuaian
inventaris
Tidak
terdapat
inventaris
aset.
2,57 2,28 Terdapat identifikasi aset yang relevan terhadap
dokumen penting.
2 1
Terdapat dokumentasi untuk pengadaan aset. - -
Terdapat dokumentasi untuk penggunaan aset. 4 4
Terdapat dokumentasi untuk penyimpanan aset. 1 1
Terdapat dokumentasi untuk transmisi aset. - -
Terdapat dokumentasi untuk penghapusan aset. - -
Terdapat dokumentasi untuk penghancuran aset. 1 1
Inventaris aset akurat. 2 1
Inventaris aset up to date. 4 4
Inventaris aset konsisten. 4 4
Tidak
terdapat
kepemilikan
aset.
2,67 2,16 Terdapat inventaris aset. 2 1
Terdapat klasifikasi aset. 4 3
Terdapat perlindungan aset. 1 1
Terdapat aturan pembatasan akses 1 2
Terdapat aturan klasifikasi aset. 4 3
Terdapat pemeriksaan secara berkala pembatasan
akses.
4 3
dan seterusnya.
70
4.3.3 Analisis Hasil Pemeriksaan
Pada tahap analisi hasil pemeriksaan tahap pertama kali yang dilakukan
adalah pengisian risk register akhir. Pengisian risk register akhir berdasarkan dari
hasil rincian penilaian risk register. Pada kontrol yang ada diisi dengan
pernyataan yang ada yang telah diberikan nilai pada dokumen rincian penilaian
risk register. Penilaian kolom inheren (sesudah ada pengendalian) diisi dengan
pembulatan dari kolom residu dua dalam dokumen rincian penilaian risk register.
Nilai risiko akhir untuk mendapatkannya menggunakan matrik tingkat risiko.
Pengisian risk register (akhir) dapat diihat pada Tabel 4.24. Risk register akhir
untuk lebih jelasnya dapat dilihat pada Lampiran 9.
71
Tabel 4.24 Risk Register Akhir
No. Aset Deskripsi
Risiko
Analisa
Kerawanan
Inheren
Kontrol yang ada
Residual Nilai
Risiko
Diharap
kan
Kecender
ungan
(min =1,
mak = 5)
Dampak
(min =1,
mak = 5)
Nilai
Risiko
Dasar
Kecende
rungan
(min =1,
mak = 5)
Dampak
(min =1,
mak = 5)
Nilai
Risiko
Akhir
0. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
1.
Berkas
pinjaman
berupa
hardcopy
Ketidakses
uaian
inventaris
berkas
pinjaman
berupa
hardcopy.
Tidak terdapat
inventaris aset.
4 4 High - terdapat identifikasi
aset yang relevan
terhadap dokumen
penting.
- terdapat dokumentasi
untuk penyimpanan
- terdapat dokumentasi
untuk penghancuran
aset.
- Inventaris aset akurat.
3 2 Low Low
Tidak terdapat
kepemilikan
aset.
4 3 High - Terdapat inventaris
aset.
- Terdapat perlindungan
aset.
- Terdapat aturan
pembatasan akses
3 2 Low Low
dan seterusnya.
72
Setelah pengisian risk register (akhir) dilakukan analisis terhadap nilai
risiko akhir dari risk register (akhir) apakah telah sesuai dengan nilai risiko yang
diharapkan. Penyebab nilai risiko akhir tidak mencapai nilai risiko yang
diharapkan dicantumkan pada dokumen temuan. Setelah temuan terkumpul maka
diberikan rekomendasi pada setiap temuan yang terjadi. Rekomendasi berasal dari
kontrol keamanan yang telah dipetakan. Dokumen temuan dapat dilihat pada
Tabel 4.25. Dokumen temuan yang lebih lengkap dapat dilihat pada Lampiran 10.
Tabel 4.25 Dokumen Temuan Audit
Aset : Berkas pinjaman berupa hardcopy
No. Temuan Rekomendasi
1. Tidak terdapat klasifikasi
informasi.
Risiko : Ketidaksesuaian
Inventaris.
Rekomendasi : Klasifikasi dilakukan
dengan cara menentukan tingkatan berkas
pinjaman sesuai dengan tingkatan
kepentingannya.
Referensi :Klausul 8.2.1 ISO 27002 : 2013
2. Tidak terdapat penandaan
informasi.
Risiko : Ketidaksesuaian
inventaris.
Rekomendasi : memberikan penandaan
informasi atau pemberian label pada berkas
pinjaman sesuai dengan klasifikasinya.
Referensi :Klausul 8.1.1 ISO 27002 : 2013
3. Tidak terdapat kontrol masuk
fisik.
Risiko : Pencurian berkas
pinjaman berupa
hardcopy.
Rekomendasi : kontrol masuk fisik
dilakukan dengan memberikan pencatatan
waktu beserta tanggal setiap pengunjung
yang masuk ke clash.
Referensi :Klausul 11.1.2 ISO 27002 :
2013
73
Tabel 4.25 Dokumen Temuan Audit (Lanjutan)
Aset : Berkas pinjaman berupa hardcopy
No. Temuan Rekomendasi
4. Tidak terdapat penjagaan dari
pihak luar dan ancaman
lingkungan.
Risiko : Pencurian berkas
Pinjaman
berupa
hardcopy.
Rekomendasi : Diadakan peninjauan
berkala pada clash, membatasi akses alat
perekam pada clash dan memasang tanda
peringatan untuk yang tidak berkepentingan
dilarang masuk.
Referensi :Klausul 11.1.2 ISO 27002 :
2013
5. Tidak terdapat tanggung
jawab dan prosedur kontrol.
Risiko : Keterlambatan
penanganan
insiden
Rekomendasi : Membuat prosedur untuk
perencanaan, persiapan, pemantauan,
pendeteksi, analisis jika terjadi insiden
sehingga meminimalisir terjadinya insiden.
Referensi :Klausul 16.1.1 ISO 27002 :
2013
4.4 Tahap Pelaporan Audit
4.4.1 Penyusunan dan Persetujuan Laporan Audit
Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap
pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan
dari laporan audit. Pada laporan audit ini berisi tentang laporan untuk manajemen,
temuan dan rekomendasi terhadap hasil dari audit yang dilakukan.
Temuan yang ditemukan diantaranya PT. Bank Rakyat Indonesia (persero)
Tbk. Unit Sukomoro perlu melakukan perbaikan terutama pada klasifikasi
informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman
lingkungan dan tanggung jawab dan prosedur kontrol. Perbaikan perlu segera
dilakukan pada empat permasalahan tersebut karena empat hal ini ditemukan
dalam semua aset yang berkaitan dengan informasi. Tingkat keamanan informasi
atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat
74
keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat
pendukung yang mencapai level low terdapat 51 (47,22%). Sehingga PT. Bank
Rakyat Indonesia (persero) Tbk. perlu untuk melaksanakan rekomendasi yang
telah dibuat supaya mencapai level low untuk keseluruhan kontrol keamanan
terhadap aset informasi.
Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan
atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini
adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee
menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak
menimbulkan permasalahan dikemudian hari. Laporan audit dapat dilihat pada
Lampiran 11.
4.4.2 Melaporkan Laporan Audit
Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee
untuk melaporkan kepada auditee tentang hasil yang didapat selama audit.
Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit
yang dilakukan telah selesai.