universitas indonesia perancangan alat …lib.ui.ac.id/file?file=digital/20367303-ta-ika septi...

UNIVERSITAS INDONESIA

PERANCANGAN ALAT BANTU DAN KERANGKA KERJA

PENILAIAN RISIKO KEAMANAN INFORMASI

DALAM PROSES PERENCANAAN PEMERIKSAAN

LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH

DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN

KARYA AKHIR

IKA SEPTI ANGGRAENI

1206302573

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA

JANUARI 2014

Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

PERANCANGAN ALAT BANTU DAN KERANGKA KERJA

PENILAIAN RISIKO KEAMANAN INFORMASI

DALAM PROSES PERENCANAAN PEMERIKSAAN

LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH

DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh

gelar Magister Teknologi Informasi

IKA SEPTI ANGGRAENI

1206302573

FAKULTAS ILMU KOMPUTER

PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTA

JANUARI 2014


ii


iii


iv

KATA PENGANTAR

Puji syukur saa panjatkan kehadirat Allah SWT karena rahmatnya saya dapat

menyelesaikan Karya Akhir ini yang berjudul Perancangan alat bantu dan

kerangka kerja penilaian risiko keamanan informasi dalam proses perencanaan

pemeriksaan laporan keuangan konsolidasi pemerintah daerah – BPK RI Pwk

Banten.

Saya menyadari sangatlah sulit bagi saya menyelesaikan penelitian ini tanpa

bantuan dan bimbingan dari berbagai pihak. Untuk itu, saya mengucapkan terima

kasih sebesar-besarnya kepada:

1. Bapak Yudho Giri Sucahyo, Ph.D dan Bapak Ivano Aviandi, M.Sc selaku

Dosen pembimbing yang telah meluangkan waktu, tenaga dan pikiran untuk

mengarahkan penulis dalam menyelesaikan karya akhir.

2. Teman-teman yaitu Mbak Atik, Chairina, Irena, Mbak Gals, Pita, Ika, Mbak

Sandra, Yuli, Mbak Atina, Angga, Fajar, Fathul Bari, Pak Dirjen, Brot Sen,

Pak Eselon, Aji, Tri Budi, Pak Eko, Bayu, Nur, Mas Bambang, Mas Suprianto,

Pak Tosan, Handy, Indra, Muti, Pak Jonny, Pak Syofian, Mas Hari, Fefe,

Anday, Nia dan David yang telah berjuang dalam suka dan duka selama

menjalani perkuliahan di MTI-UI kelas 2012SA.

3. Kementerian Komunikasi dan Informatika Republik Indonesia yang telah

memberikan kesempatan untuk mendapatkan beasiswa GCIO.

4. Bapak I Nyoman Wara, S.E., Ak (selaku pejabat eselon I staf ahli BPK RI).

5. Ibu Ririn Untari, M.Si., Ak, Bapak Priyo, SE., Ak (selaku Pengendali Teknis

BPK RI).

6. Bapak H. Muhtarom, SE., Ak yang memberikan ijin untuk pengambilan data

keamanan informasi pengelolaan keuangan di Pemkot Tangerang.

7. Bapak Adhi Zulkifli, MT, Beben Machbuban, S.ip, Mugiya Wardhany, SE.

M.Si yang meluangkan waktu untuk memberikan informasi terkait keamanan

informasi di Pemerintah Kota Tangerang.


v

8. Dedy Rustandi, S.Kom sebagai suami yang memberikan dukungan secara moril

dan finansial dalam proses perkuliahan sampai dengan pembuatan karya akhir.

9. Ryuzain Ardan Radyka yang mencoba mengerti bahwa mama nya sering

meninggalkan anaknya untuk perkuliahan, tugas dan karya akhir.

10. Ibu, adik-adik saya tercinta, ibu dan ayah mertua yang telah memberikan doa

dan dukungan besar untuk penulis.

Jakarta, 10 Januari 2014

Ika Septi Anggraeni


vi


vii Universitas Indonesia

ABSTRAK

Nama : Ika Septi Anggraeni

Program Studi : Magister Teknologi Informasi

Judul : Perancangan Alat Bantu dan Kerangka Kerja Penilaian

Risiko Keamanan Informasi dalam perencanaan

pemeriksaan laporan keuangan konsolidasi pemerintah

daerah : Studi Kasus BPK RI Perwakilan Banten

Risiko pemeriksaan mempengaruhi standar pekerjaan lapangan dan standar

pelaporan dalam pemeriksaan laporan keuangan. Salah satu aspek yang dinilai

paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah

risiko keamanan informasi. Perlunya penilaian risiko keamanan informasi dari

aspek TI kerana teknologi informasi sangat mempengaruhi berbagai macam

aktivitas dalam organisasi diantaranya penyusunan laporan keuangan yang

merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi,

tidak terkecuali instansi pemerintah. Penelitian ini akan menyusun alat bantu dan

kerangka kerja penilaian risiko keamanan informasi di instansi pemerintah yang

berbasis ISO 27001. Narasumber yang terdiri dari pengendali teknis, auditor dan

pejabat eselon I BPK RI diwawancara untuk memilih aktivitas pengendalian

dalam ISO 27001 yang penting dalam penilaian risiko keamanan informasi. Hasil

pemilihan aktivitas tersebut dijadikan input dalam perancangan model kerangka

kerja, dimana kerangka kerja tersebut akan diuji publik di Pemerintah Kota

Tangerang oleh beberapa auditor. Hasil penelitian ini dapat membentuk suatu alat

bantu dan kerangka kerja untuk memudahkan para auditor di BPK dalam proses

penilaian risiko keamanan informasi untuk menunjang perencanaan pemeriksaan

laporan keuangan pemerintah daerah dimana terdiri dari unsur-unsur dalam

program audit yakni ruang lingkup audit, tujuan audit, tahap perencanaan, tahap

pelaksanaan, dan tahap penyelesaian yang dirumuskan dari aktivitas dan praktik

pengendalian di ISO 27001 terpilih. Kerangka kerja dilengkapi dengan indikator

dampak dan kecenderungan dari setiap risiko aktivitas yang didapat dari klausal-

klausal ISO 27001.

Kata kunci: Risiko Keamanan Informasi , ISO 27001, Program Audit

x + 127 Halaman; 27 Gambar; 27 Tabel; 6 Lampiran


viii Universitas Indonesia

ABSTRACT

Name : Ika Septi Anggraeni

Study Program : Magister Teknologi Informasi

Title : Information Security Risk Assessment Tools and

Framework Design for Consolidated Financial Statements

of Audit Planning in Local Governments: A Case Study at

The Audit Board of Republic Indonesia Banten

Representative

Inspection risks affecting standard of field works and standards of examination

report of financial statements. One aspect that is considered the most influencing

risk in todays information age is a risk of information security covering aspects of

IT and non IT aspects. The needs for information risk security assesment of IT

aspects which due to the rapid information technology development, which

greatly affects wide range of activities within organization including stated

financial reports, is the output of a system that uses information technology,

including government agencies. This research develop tools and frameworks in

the information security risk assesment at government agencies based on ISO

27001. Resource persons consisting of technical controllers, auditor and BPK

echelon I are interviewed to select the ISO 27001 control activities which are

important in the information security risk assesment. Election results will serve as

input in designing the model framework, which then some auditors will perform

public test in Tangerang city government. The results of this study can form a

frameowkrs and tools to facilitate the BPK auditors in the process of information

security risk assesment to support inspection planning of local government

financial reports, which consist of the elements in the audit program such as audit

scope, audit objectives, planning phase, stages of implementation, and completion

stages of activities and practices defined in the selected ISO 27001. The

framework comes with indicators of the impact and trends of each risk activity

derived from ISO 27001 clauses.

Keywords: Information Security Risk , ISO 27001, Audit Program

x + 127 Pages; 27 Figures; 27 Tables; 6 Attachments


ix Universitas Indonesia

DAFTAR ISI

HALAMAN JUDUL .............................................................................................. i

HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA

AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi ABSTRAK ........................................................................................................... vii ABSTRACT ........................................................................................................ viii DAFTAR ISI ......................................................................................................... ix DAFTAR GAMBAR ........................................................................................... xii

DAFTAR TABEL .............................................................................................. xiii DAFTAR LAMPIRAN ...................................................................................... xiv BAB 1 PENDAHULUAN ..................................................................................... 1

1.1 Latar Belakang .......................................................................................... 1 1.2 Pertanyaan Masalah (Research Question) ................................................ 7 1.3 Tujuan Penelitian ...................................................................................... 7 1.4 Manfaat Penelitian .................................................................................... 8 1.5 Ruang lingkup Penelitian .......................................................................... 8

BAB 2 TINJAUAN PUSTAKA ............................................................................ 9 2.1 Risiko ........................................................................................................ 9

2.1.1 Pengertian Risiko .......................................................................... 9 2.1.2 Macam-Macam Risiko ................................................................ 10

2.2 Keamanan Informasi ............................................................................... 10 2.3 Hubungan Risiko Keamanan Informasi dalam Risk Based Audit Laporan

Keuangan ................................................................................................ 13 2.3.1 Konsep Risk Based Audit ............................................................ 13 2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk

Based Audit ................................................................................. 13

2.4 Sistem Pengelolaan Keuangan Pemerintah Daerah ................................ 14 2.5 Program Audit ......................................................................................... 18 2.6 Penilaian Risiko Keamanan Informasi (security risk assessment) ......... 20 2.7 ISO 27001:2005 ...................................................................................... 22 2.8 Penelitian Sebelumnya ............................................................................ 25

2.9 Kerangka Teori Penelitian (Theoretical Framework)............................. 26

BAB 3 METODOLOGI PENELITIAN ............................................................ 28 3.1 Identifikasi Permasalahan ....................................................................... 29

3.2 Melakukan Studi Literatur ...................................................................... 29 3.3 Pengambilan data .................................................................................... 30 3.4 Analisis Data ........................................................................................... 31

3.4.1 Analisis Proses Akuntansi SIPKD .............................................. 32

3.4.2 Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik

Pengendalian dari Aktivitas di ISO 27001 .................................. 32 3.5 Perancangan model konseptual ............................................................... 32

3.5.1 Perancangan Penetapan Kelemahan dan Ancaman..................... 33


x Universitas Indonesia

3.5.2 Perancangan analisis dampak dan likelihood .............................. 33 3.5.3 Penilaian tingkat risiko ................................................................ 34 3.5.4 Analisis Prioritas risiko ............................................................... 35 3.5.5 Menganalisis rekomendasi kontrol ............................................. 35

3.6 Uji publik rancangan ............................................................................... 36 3.7 Validasi rancangan alat bantu dan kerangka kerja ................................. 36 3.8 Simpulan dan Saran ................................................................................ 37

BAB 4 PROFIL ORGANISASI ......................................................................... 38 4.1 Identifikasi Organisasi ............................................................................ 38 4.2 Struktur Organisasi ................................................................................. 39 4.3 Visi, Misi, dan Nilai Dasar BPK ............................................................. 40 4.4 Penilaian Risiko dalam Pemeriksaan di BPK RI .................................... 40

4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan ........ 40

4.4.2 Kedudukan Panduan Penilaian Risiko ........................................ 41 4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan .. 42 4.4.4 Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan

Laporan Keuangan di BPK RI .................................................... 43

BAB 5 HASIL DAN PEMBAHASAN ............................................................... 45 5.1 Hasil wawancara awal ............................................................................ 45

5.1.1 Pemilihan aktivitas pengendalian ................................................ 48 5.2 Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah

Daerah ..................................................................................................... 53 5.2.1 Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan

Pemerintah Daerah ...................................................................... 53 5.3 Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan

Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001

................................................................................................................. 60 5.3.1 Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas

ISO 27001 ................................................................................... 62 5.3.2 Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan

Aktivitas ISO 27001 .................................................................... 63

5.3.3 Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan

Aktivitas ISO 27001 .................................................................... 64 5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001

..................................................................................................... 66 5.4 Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan

Informasi ................................................................................................. 67 5.4.1 Rancangan awal Program Audit ................................................. 67 5.4.2 Hasil Perancangan Program Audit .............................................. 85

5.4.3 Penetapan Kelemahan dan Ancaman ........................................ 101 5.4.4 Analisa Dampak ........................................................................ 101 5.4.5 Analisa Likelihood (kecenderungan)......................................... 106 5.4.6 Penetapan Tingkat Risiko ......................................................... 110

5.4.7 Penentuan prioritas risiko .......................................................... 112 5.4.8 Analisis Rekomendasi Kontrol ................................................. 112 5.4.9 Mitigasi Risiko .......................................................................... 112 5.4.10 Risiko Deteksi ............................................................................ 113


xi Universitas Indonesia

5.5 Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko Keamanan

Informasi ............................................................................................... 114 5.5.1 Kerangka kerja penilaian risiko keamanan informasi ............... 114

5.6 Uji Publik ............................................................................................. 118 5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi

................................................................................................... 118 5.7 Alat bantu Penilaian Risiko .................................................................. 126

5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi .. 127

BAB 6 KESIMPULAN DAN SARAN ............................................................. 133 6.1 Kesimpulan ........................................................................................... 133 6.2 Saran ..................................................................................................... 134

DAFTAR PUSTAKA ........................................................................................ 135


xii Universitas Indonesia

DAFTAR GAMBAR

Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah

(Keuangan, Oktober, 2011) ............................................................... 5 Gambar 1.2 Fishbone Diagram (Ishikawa Diagram) ............................................. 7 Gambar 2.1 Komponen keamanan informasi (Mattord, 2010) ............................ 11 Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses

Risk-Based Auditing (Sumber : CPA journal, Juli 2010) ................... 13 Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah ........................ 15 Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah .................................... 17 Gambar 2.5 Contoh Program Audit ...................................................................... 20 Gambar 2.6 Perbandingan Metode Penilaian Risiko ............................................ 24

Gambar 2.7 Theoritical Framework ..................................................................... 27 Gambar 3.1 Metodologi Penelitian ....................................................................... 28 Gambar 3.2 Matriks penentuan tingkat risiko ....................................................... 35 Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor

34/K/I-VIII.3/6/2007) ...................................................................... 39 Gambar 4.2 Metodologi Pemeriksaan ................................................................... 41 Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan

Keuangan dengan Pedoman Pemeriksaan BPK ............................... 42 Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting” 49 Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup

Audit ................................................................................................ 67 Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup

Audit (2) ........................................................................................... 68 Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko......... 111 Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja ............................. 115 Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja ........................... 115 Gambar 5. 7 Formulir program audit dalam kerangka kerja ............................... 116 Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator ....................... 127

Gambar 5. 9 Halaman pilih ruang lingkup .......................................................... 128 Gambar 5. 10 Halaman Pertanyaan ..................................................................... 129 Gambar 5. 11 Halaman Hasil Penilaian Risiko ................................................... 130 Gambar 5. 12 Halaman input data Risk Assesment ............................................. 132 Gambar 5. 13 Halaman Tampilan Risk Assesment.............................................. 132


xiii Universitas Indonesia

DAFTAR TABEL

Tabel 2.1 Peta Risiko (Madhukar, 2007) ............................................................. 22 Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber :

www.iso27001certificates.com/Register%20Search.htm) .................................... 23 Tabel 5.1 Hasil Tabulasi pengambilan data awal.................................................. 46 Tabel 5.2 Hasil review pejabat BPK RI ................................................................ 51 Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting" ...................... 52 Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran ....... 53 Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas..... 55 Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas ........... 57

Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset ....................... 59 Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih .......... 61 Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran ................... 62 Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan ... 63 Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan .. 65 Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset ................................ 66 Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko ............................ 102 Tabel 5.14 Skala penilaian dampak .................................................................... 103 Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan ................ 104 Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak ..... 104 Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko ........................... 106 Tabel 5.18 Skala penilaian likelihood ................................................................. 108 Tabel 5.19 Penilaian Likelihood tiap jenis risiko ................................................ 108 Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood .... 109 Tabel 5.21 Skala Risiko ...................................................................................... 111 Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK113 Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup ......................................... 119 Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas ......................................... 121

Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas ...................................... 124


xiv Universitas Indonesia

DAFTAR LAMPIRAN

Lampiran 1..................................................................................................... 135

Lampiran 2..................................................................................................... 145

Lampiran 3..................................................................................................... 148

Lampiran 4..................................................................................................... 180

Lampiran 5..................................................................................................... 191

Lampiran 6..................................................................................................... 209


1 Universitas Indonesia

BAB 1

PENDAHULUAN

Pada Bab 1 ini dijelaskan tentang latar belakang penelitian, permasalahan dan

ruang lingkup penelitian. Studi kasus yang diambil untuk perancangan alat bantu

dan kerangka kerja penilaian risiko keamanan informasi sistem pengelolaan

keuangan pemerintah daerah adalah Badan Pemeriksa Keuangan Perwakilan

Provinsi Banten.

1.1 Latar Belakang

Badan Pemeriksa Keuangan (BPK) merupakan satu lembaga negara yang bebas

dan mandiri dalam memeriksa pengelolaan dan tanggung jawab keuangan negara.

Secara hukum kedudukan BPK diatur dalam UUD 1945 pada pasal 23E, 23F dan

23G serta Undang-Undang (UU) No 15/2006 tentang BPK. BPK bertugas

memeriksa pengelolaan dan tanggung jawab keuangan negara yang dilakukan

oleh pemerintah pusat, pemerintah daerah, lembaga negara lainnya, Bank

Indonesia, Badan Usaha Milik Negara, Badan Layanan Umum, Badan Usaha

Milik Daerah, dan lembaga atau badan lain yang mengelola keuangan negara.

BPK dalam melaksanakan tugasnya tersebut ditunjang oleh rencana strategi 2011-

2015 yang dituangkan dalam Keputusan Badan Pemeriksa Keuangan Republik

Indonesia No.3/K/I-XIII.2/5/2011. Salah satu strategi yang direncanakan oleh

BPK adalah mewujudkan pemeriksaan yang bermutu untuk menghasilkan laporan

hasil pemeriksaan yang bermanfaat dan sesuai dengan pemangku kepentingan.

Salah satu indikator kinerja utama dari rencana strategis ini adalah jumlah laporan

hasil pemeriksaan (LHP) yang diterbitkan oleh BPK karena perhatian pemangku

kepentingan, baik dari lembaga perwakilan, pemerintah, maupun masyarakat

umum terhadap hasil pemeriksaan BPK juga semakin meningkat.

Laporan hasil pemeriksaan atas laporan keuangan pemerintah pusat atau

pemerintah daerah disampaikan oleh BPK kepada DPR dan DPD atau DPRD

selambat-lambatnya dua bulan setelah menerima laporan keuangan dari


2

Universitas Indonesia

pemerintah pusat atau pemerintah daerah sesuai dengan UU No 15 Tahun 2004

tentang Pemeriksaan Pengelolaan dan Tanggung jawab Keuangan Negara.

Laporan hasil evaluasi Direktorat Utama Perencanaan, Evaluasi, Pengembangan,

Pendidikan dan Pelatihan (Ditama Revbang) BPK RI tahun 2012 menunjukkan

bahwa target LHP yang diterbitkan oleh BPK sebanyak 1415 sedangkan realisasi

selama tahun 2012 BPK menerbitkan sebanyak 1316 atau sebesar 93%. Dari

jumlah realisasi terdapat 54% LHP yang terbit tepat waktu, sedangkan 46% LHP

terlambat (Direktorat Utama Perencanaan, 2013).

Laporan hasil evaluasi Ditama Revbang BPK tersebut menunjukkan penerbitan

LHP di BPK tidak optimal karena terdapat permasalahan dari proses pelaksanaan

pemeriksaan keuangan negara yang dilakukan BPK. Permasalahan ini disebabkan

beberapa faktor, diantaranya:

a. Sumber Daya Manusia

Data dari Biro Sumber Daya Manusia (SDM) BPK RI tahun 2012

menunjukkan bahwa jumlah pegawai BPK RI baik di pusat dan perwakilan

adalah 6218 orang, dimana 2963 orang atau 47,65% adalah auditor. Menurut

Keputusan Sekretariat Jenderal BPK RI tahun 2006 ditetapkan standar ideal

jumlah personil dalam satu tim adalah 5 orang sehingga jumlah LHP yang

dapat diterbitkan sebanyak 593 laporan tiap periode pemeriksaan laporan

keuangan sedangkan target yang telah ditetapkan BPK menurut Laporan hasil

evaluasi Ditama Revbang untuk penerbitan LHP laporan keuangan sebanyak

616 laporan.

Menurut UU No 15 Tahun 2004, BPK tidak hanya melaksanakan pemeriksaan

atas laporan keuangan melainkan pemeriksaan atas kinerja dan pemeriksaan

dengan tujuan tertentu. Hal ini semakin mendukung bahwa ada ketimpangan

jumlah auditor yang ada di BPK dengan jumlah objek pemeriksaan yang harus

diperiksa oleh BPK selain analisa diatas mengenai perbandingan jumlah

auditor dengan target penerbitan LHP.


3


b. Prosedur pengujian area pemeriksaan laporan keuangan

Prosedur pengujian atas seluruh area pemeriksaan LK dalam suatu entitas yang

diperiksa masih dilakukan oleh auditor BPK karena tidak ada prioritas area

pemeriksaan yang akan diperiksa berdasarkan level risikonya, dimana

penentuan risiko pemeriksaan didapat dari proses perencanaan audit laporan

keuangan. Keadaan tersebut menyebabkan setiap pemeriksaan laporan

keuangan membutuhkan waktu pemeriksaan yakni dua sampai dengan tiga

bulan berdasarkan data laporan hasil evaluasi Ditama Revbang BPK sedangkan

terdapat ketentuan bahwa LHP diserahkan kepada para pemangku kepentingan

selambat-lambatnya 2(dua) bulan setelah laporan keuangan diterima BPK.

Oleh karena itu BPK menghadapi berbagai keterbatasan, seperti sumber daya

manusia dan waktu, sehingga kinerja BPK dalam menerbitkan LHP bagi para

pemangku kepentingan tidak optimal seperti yang telah dipaparkan melalui data

penerbitan LHP di BPK tahun 2012.

Keterbatasan sumber daya manusia diatas mengharuskan pemeriksa bekerja

dengan efektif dan efisien yakni dengan mempertimbangkan dilakukannya

pemeriksaan pada area-area yang berisiko tinggi, yakni pemeriksa perlu

mempertimbangkan risiko pemeriksaan dalam perencanaan pemeriksaannya yang

dikenal dengan istilah Risk Based Audit.

Semakin tinggi risiko pada area tersebut maka membutuhkan pengujian substantif

yang lebih banyak. Pengujian substantif banyak membutuhkan tenaga kerja dan

memakan waktu yang lama. Peningkatan pengujian substantif dapat berarti audit

yang lebih lama serta biaya audit yang lebih tinggi (Hall, 2007).

Risiko pemeriksaan mempengaruhi penerapan standar auditing. Khususnya

standar pekerjaan lapangan dan standar pelaporan. Risiko audit dan materialitas,

bersama dengan hal lainnya perlu dipertimbangkan untuk menentukan sifat dan

luas prosedur audit serta dalam mengevaluasi hasil prosedur tersebut (Agus

Widarsono, 2005) .


4


Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era

informasi sekarang ini adalah risiko keamanan informasi pengelolaan keuangan

daerah. Risiko keamanan informasi meliputi dua aspek yaitu aspek non teknologi

informasi dan aspek teknologi informasi.

Aspek TI pengelolaan keuangan daerah berasal dari pesatnya perkembangan

teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam

organisasi. Laporan keuangan yang dihasilkan oleh organisasi merupakan

keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak

terkecuali instansi pemerintah.

Laporan Monitoring dan Evaluasi Penyelenggaraan Sistem Informasi Keuangan

Daerah Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan tahun

2011 menunjukkan secara umum daerah telah memulai implementasi teknologi

informasi pengelolaan keuangan dearah sepanjang tahun 2006 s.d 2010

(Keuangan, Oktober, 2011). Hal ini bertepatan dengan terbitnya PP 58/2005

tentang Pengelolaan Keuangan Daerah dan Permendargi 13/2006 tentang

Pedoman Pengelolaan Keuangan Daerah. Sedangkan hanya 10% daerah setelah

2010 dan sisanya sebesar 17 persen sebelum 2006 yang mengimplementasikan

teknologi informasi dalam pengelolaan keuangan daerah sedangkan dari hasil

kuisioner menunjukkan juga aplikasi pengelolaan keuangan daerah yang paling

banyak dipakai oleh daerah berasal dari pengembang Badan Pengawasan

Keuangan dan Pembangunan (BPKP) dengan nama produknya Sistem

Manajemen dan Informasi Daerah (SIMDA). Kemudian Sekitar 27% merupakan

aplikasi yang bernama Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)

yang berasal dari Pilot Project Kemendagri. Sisanya adalah swakelola, SIPKD

non pilot project dan sisanya masing-masing sebesar 10%, 3% dan 10%.

Grafik penggunaan sistem informasi pada pengelolaan keuangan pemerintah

daerah yang berasal dari beberapa organisasi yakni Kemendagri, BPKP, SIPKD,

swakelola dan lain-lain. Grafik penggunaan sistem informasi ini dapat dilihat pada

Gambar 1.1.


5


Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah (Keuangan,

Oktober, 2011)

Certified Public Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan

bahwa Statements on Auditing Standards (SAS) 104-111 dan Auditing Standard

(AS) 5 menekankan perlu hubungan antara proses perencanaan audit laporan

keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan (Dan

Schroeder, Juli, 2010). Pentingnya hubungan antara proses perencanaan audit

laporan keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan

juga disebutkan dalam Standar Pemeriksaan Keuangan Negara (SPKN) yang

diatur dalam Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007.

Hubungan antara proses perencanaan audit laporan keuangan dan prosedur

penilaian risiko keamanan informasi inilah maka dapat diidentifikasi bagaimana

efek keamanan informasi pengelolaan keuangan daerah pada asersi laporan

keuangan sehingga dapat diketahui pula area-area mana yang akan menjadi fokus

pemeriksaan laporan keuangan tersebut.

Hasil observasi menunjukkan bahwa belum pernah dilakukan penilaian risiko

keamanan informasi pengelolaan keuangan daerah oleh pemeriksa di BPK pada

proses perencanaan pemeriksaa laporan keuangan sehingga proses perencanaan

pemeriksaan laporan keuangan di BPK tidak dapat bejalan sesuai dengan SPKN

yang ada. Permasalahan tersebut disebabkan oleh beberapa hal, sebagai berikut:


6


a. Sumber Daya Manusia

Hasil observasi menunjukkan bahwa proses penilaian risiko keamanan

informasi pengelolaan keuangan dalam pemeriksaan laporan keuangan di

BPK belum dapat maksimal karena belum ada sosialisasi mengenai

pentingnya penilaian risiko keamanan informasi ini dalam perencanaan

pemeriksaan laporan keuangan.

b. Prosedur perencanaan pemeriksaan laporan keuangan

Selain sosialisasi, permasalahan yang ada disebabkan oleh belum adanya alat

bantu dan kerangka kerja yang baku untuk menilai risiko keamanan informasi

pengelolaan keuangan dalam bentuk program audit yang mudah dipahami

oleh para pemeriksa di BPK RI sehingga hasil penilaian risiko ini akan

mendukung proses perencanaan pemeriksaan laporan keuangan.

Permasalahan diatas mengenai belum adanya alat bantu dan kerangka kerja

penilaian risiko keamanan informasi pada perencanaan audit laporan keuangan

dapat digambarkan melalui diagram fishbone. Melalui diagram ini dapat diketahui

berbagai permasalahan mengenai penilaian risiko keamanan informasi

pengelolaan keuangan dalam proses perencanaan pemeriksaan laporan keuangan

di BPK tidak dapat bejalan sesuai dengan SPKN. Hubungan sebab akibat dengan

diagram fishbone dapat dilihat pada Gambar 1.2


7


Gambar 1.2 Fishbone Diagram (Ishikawa Diagram)

Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko

keamanan informasi pengelolaan keuangan dalam bentuk program audit yang

dapat dimengerti oleh pemeriksa dan disesuaikan dengan kondisi objek

pemeriksaan yang diperiksa yakni instansi pemerintah.j

1.2 Pertanyaan Masalah (Research Question)

Dari hasil analisis maka didapat pertanyaan penelitian sebagai berikut.

“Bagaimana bentuk alat bantu dan kerangka kerja untuk penilaian risiko

keamanan informasi atas pengelolaan keuangan daerah dalam bentuk program

audit sehingga penilaian risiko pada proses perencanaan pemeriksaan laporan

sesuai dengan SPKN?”

1.3 Tujuan Penelitian

Berdasarkan pertanyaan penelitian diatas, maka tujuan yang ingin dicapai dalam

penelitian ini adalah membuat perancangan alat bantu dan kerangka kerja untuk

penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan


8


keuangan yang sesuai SPKN sehingga dapat dijadikan pedoman yang seragam

bagi semua pemeriksa BPK RI dalam menilai risiko keamanan informasi.

1.4 Manfaat Penelitian

Manfaat yang diharapkan dari penelitian ini adalah membantu auditor dalam

menilai risiko keamanan informasi baik aspek non TI dan aspek TI dari sistem

pengelolaan keuangan di instansi pemerintah sehingga dapat diketahui area-area

yang menjadi fokus pemeriksaan laporan keuangan dan menjadi pedoman bagi

penelitian yang lain dalam menentukan risiko keamanan informasi pengelolaan

keuangan di instansi pemerintah.

1.5 Ruang lingkup Penelitian

Peneliti menyadari bahwa terdapat hal-hal yang tidak dapat diteliti secara

menyeluruh. Oleh karena itu penelitian ini hanya dibatasi pada pembuatan alat

bantu dan kerangka kerja penilaian risiko keamanan informasi prosedur akuntansi

pengelolaan keuangan dalam bentuk program audit di instansi pemerintah daerah.



BAB 2

TINJAUAN PUSTAKA

Pada bab ini akan dibahas teori-teori yang berkaitan dengan risiko pemeriksaan

laporan keuangan, risiko teknologi informasi, bagaimana hubungan risiko

pemeriksaan dengan risiko teknologi informasi, Risk Based Audit, audit teknologi

informasi, keamanan informasi, sistem pengelolaan keuangan daerah, program

audit dan ISO 27001 serta referensi penelitian sebelumnya. Pada akhir bab ini

akan dibuat suatu kerangka teori penelitian (theoretical framework).

2.1 Risiko

2.1.1 Pengertian Risiko

Menurut Peltier (Peltier, 2001), risiko adalah seseorang atau sesuatu yang

membuat atau menyarankan sebuah bahaya. Sedangkan menurut Djojosoedarso

(Djojosoedarso, 2005), pengertian risiko diantaranya:

1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode

tertentu (Arthur Wiliams dan Richard, M.H).

2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan

peristiwa kerugian (Loss) (A.Abas Salim).

3. Risko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto).

4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang

diharapkan (Herman Darmawi).

5. Risiko adalah probalitas sesuatu hasil/outcome yang berbeda dengan yang

diharapkan (Herman Darmawi).

Berdasarkan definisi-definisi diatas dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan tidak

terduga/ tidak diinginkan.


10


2.1.2 Macam-Macam Risiko

Menurut Gondodiyoto (Gondodiyoto, 2003), dari berbagai sudut pandang, risiko

dapat dibedakan dalam beberapa jenis diantaranya:

1. Risiko Bisnis (Business Risks)

Risiko Bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern

maupun ekstern yang berakibat kemungkinan tidak tercapai tujuan organisasi

(business goals/objective).

2. Risiko Bawaan (Inherent Risks)

Risiko bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat

pada suatu kegiatan jika tidak ada pengendalian intern.

3. Risiko Pengendalian (Control Risks)

Dalam suatu organisasi yang baik seharusnya sudah ada Risk Assessment, dan

dirancang pengendalian intern secara optimal terhadap setiap potensi risiko.

Risiko pengendalian ialah masih adanya risiko meskipun sudah ada

pengendalian.

4. Risiko Audit (Audit Risk)

Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum

dapat mencerminkan keadaan yang sesungguhnya.

2.2 Keamanan Informasi

Menurut G.J. Simons keamanan informasi adalah bagaimana kita dapat mencegah

penipuan (cheating) atau mendeteksi adanya penipuan di sebuah sistem yang

berbasis informasi.

Keamanan informasi berbeda dengan keamanan teknologi informasi karena

mengacu pada hal yang berbeda yakni keamanan teknologi informasi mengacu

pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguan-

gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan.

Keamanan informasi berfokus pada data dan informasi milik organisasi dengan


11


merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait

dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi

sesuai dengan fungsinya dan tidak disalahgunakan atau bahkan dibocorkan ke

pihak-pihak yang tidak berkepentingan (H.Februariyanti, Juli, 2006). sehingga

dapat dikatakan bahwa keamanan teknologi informasi merupakan bagian dari

keseluruhan aspek keamanan informasi seperti dijelaskan pada Gambar 2.1.

Karena teknologi informasi merupakan salah satu alat atau tool penting yang

digunakan untuk mengamankan akses serta penggunaan dari data dan informasi

organisasi.

Gambar 2.1 Komponen keamanan informasi (Mattord, 2010)

Salah satu cara untuk melindungi informasi penting oleh suatu organisasi adalah

dengan meningkatkan keamanan informasi berdasarkan prinsip kerahasiaan

(Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) di setiap

informasi yang dikandungnya.

Keamanan informasi mencapai tiga tujuan utama, yakni (Mattord, 2010):

1. Confidentiality (kerahasiaan), setiap organisasi berusaha melindungi data dan

informasinya dari pihak-pihak yang tidak berwenang sehingga aspek ini

memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang

dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.


12


2. Integrity (integritas), semua informasi yang ada dalam organisasi harus mampu

dilindungi sehingga informasi tersebut tidak dapat diubah tanpa seijin dari

pemilik informasi.

3. Availability (ketersedian), semua informasi akan selalu tersedia ketika sedang

dibutuhkan oleh pemilik informasi. Aspek ini juga bergantung pada aspek

ketersediaan dari sistem pengelola informasi

Menurut W.Stallings, serangan terhadap aspek-aspek keamanan informasi dapat

dibagi menjadi (Stalling, 1995):

a. Interruption adalah suatu serangan yang bertujuan untuk menggangu

ketersediaan dari suatu informasi atau perangkat pengelola informasi. Serangan

ini mengakibatkan perangkat pengelola informasi menjadi rusak. Contoh dari

Interruption adalah “denial of service (DoS)”.

b. Interception merupakan ancaman terhadap kerahasiaan (secrecy). Informasi yang

ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer di mana

informasi tersebut disimpan. Contoh aspek interception adalah orang yang tidak

bertanggung jawab menyadap data pada saat terjadinya komunikasi atau

pertukaran informasi.

c. Modification adalah suatu bentuk serangan yang terjadi ketika pengguna/pihak

yang tidak memiliki hak berhasil masuk dalam sistem dan melakukan

pengubahan aset. Contoh serangan ini adalah mengubah data sistem keuangan

oleh orang yang tidak berhak.

d. Febrication merupakan ancaman terhadap integritas. Orang yang tidak berhak

berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang

menerima informasi tersebut menyangka informasi tersebut berasal dari orang

yang dikehendaki oleh si penerima informasi tersebut. Misalnya:

menambahkan suatu record ke dalam file.


13


2.3 Hubungan Risiko Keamanan Informasi dalam Risk Based Audit

Laporan Keuangan

2.3.1 Konsep Risk Based Audit

Perkembangan kegiatan bisnis ternyata mampu mempengaruhi dan membawa

perubahan paradigma pelaksanaan audit dari pendekatan dengan pengendalian ke

pendekatan audit berdasarkan risiko (Risk Based Audit). (Pemeriksa No 93, 2003).

Pergeseran fokus audit dari pengendalian ke risiko telah membuat suatu revolusi

yang besar dalam pendekatan audit masa kini.

Risk assessment merupakan bagian dari tahapan pertama metodologi Risk

Management Based Auditing yang harus dilakukan dalam melaksanakan audit

keuangan dengan berbasis manajemen risiko. Tahapan tersebut adalah memahami

operasi auditee yang bertujuan untuk mengidentifikasi dan memprioritaskan risiko

kegagalan, risiko kekeliruan, dan risiko kecurangan yang dapat mempengaruhi

audit laporan keuangan. (Agus Widarsono, 2005)

2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk Based

Audit

Considerations Key Activities Deliverables

Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses Risk-Based

Auditing (Sumber : CPA journal, Juli 2010)


14


Gambar 2.2 menunjukkan hubungan prosedur audit dengan proses penilaian risiko

keamanan informasi sistem pengelolaan keuangan seperti halnya yang telah

dikemukakan oleh Dan Schroeder dan Tommie Singleton di Certified Public

Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan bahwa Statements on

Auditing Standards (SAS) 104-111 dan Auditing Standard (AS) 5 (Dan

Schroeder, Juli, 2010).

2.4 Sistem Pengelolaan Keuangan Pemerintah Daerah

Pengelolaan keuangan daerah mengalami perubahan yang cukup fundamental

dengan diterbitkannya paket UU keuangan negara. Diantara perubahan tersebut

adalah Pemerintah Daerah harus menyajikan laporan keuangan berupa laporan

realisasi anggaran, neraca, laporan arus kas dan catatan atas laporan keuangan,

yang sebelumnya hanya laporan perhitungan APBD dan Nota Perhitungan APBD.

Perubahan tersebut ditujukan untuk mewujudkan akuntabilitas dan transparansi

keuangan Pemerintah Daerah. Laporan keuangan Pemerintah Daerah disusun dan

disajikan berdasarkan standar akuntansi pemerintahan. Hal tersebut diamanatkan

oleh UU Nomor 17 Tahun 2003 tentang Keuangan Negara.

Proses penyusunan Laporan Keuangan Daerah sebagaimana disebutkan dalam

Pasal 31 UU Nomor 17 Tahun 2003, dinyatakan bahwa proses penyusunan

laporan keuangan keuangan dilakukan secara beberapa tahap yakni:

Tahap pertama adalah penyusunan laporan keuangan Satuan Kerja Perangkat

Daerah yang meliputi laporan realisasi anggaran, neraca dan catatan atas

laporan keuangan yang disampaikan kepada Satuan Kerja Pengelola Keuangan

Daerah paling lambat 2 (dua) bulan sejak tahun anggaran dan Satuan Kerja

Pengelola Keuangan selaku BUD menyusun laporan arus kas.

Tahap kedua adalah menggabungkan laporan keuangan dari berbagai Satuan

Kerja Perangkat Daerah dan Bendahara Umum Daerah oleh Satuan Kerja

Pengelola Keuangan Daerah untuk selanjutnya disajikan sebagai laporan

keuangan Pemda yang merupakan bentuk pertanggungjawaban pelaksanaan

APBD kepada Gubernur/Bupati/Walikota.


15


Proses penyusunan laporan keuangan satuan kerja perangkat daerah yang terdiri dari

dua tahapan yakni laporan keuangan SKPD kemudian dilanjutkan dengan laporan

keuangan PPKD seperti penjelasan diatas maka proses tersebut dapat digambarkan

seperti Gambar 2.3 berikut ini.

Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah

Berdasarkan Gambar 2.3 maka proses pencatatan akuntansi dilakukan secara

desentralisasi. Oleh karena itu dalam pembahasan sistem akuntansi keuangan

daerah ini akan dilakukan pembagian menjadi dua subsistem yaitu subsistem

akuntansi Satuan Kerja Perangkat Daerah selaku pengguna anggaran dan

subsistem akuntansi Pejabat Pengelola Keuangan Daerah/BUD.

Akuntansi merupakan proses pencatatan transaksi keuangan yang output akhirnya

berupa laporan keuangan. Berbeda dengan siklus akuntansi komersil, proses

akuntansi pada sektor pemerintah dimulai ketika penganggaran ditetapkan.

Sehingga ada istilah yang dinamakan jurnal penganggaran. Siklus akuntansi

secara detail meliputi:

Jurnal merupakan pencatatan transaksi keuangan secara kronologis. Proses

jurnal merupakan proses pertama kali prosedur akuntansi dijalankan. Jurnal

(pencatatan akuntansi) dilakukan berdasarkan suatu dokumen sumber yang


16


dalam hal ini dapat berupa bukti penerimaan kas, bukti pengeluaran kas, bukti

memorial, dan memo penyesuaian, dll.

Posting merupakan pengelompokan jurnal transaksi keuangan ke buku besar

sesuai dengan bagan perkiraan yang standar. Bagan Perkiraan Standar adalah

daftar perkiraan buku besar yang ditetapkan dan disusun secara sistematis

untuk memudahan perencanaan dan pelaksanaan anggaran, serta

pertanggjawaban dan pelaporan keuangan pemerintah. Sedangkan bagan

perkiraan utama dalam buku besar dikelompokkan ke dalam klasifikasi yaitu:

a. Aset

b. Kewajiban

c. Ekuitas

d. Pendapatan

e. Belanja

f. Pembiayaan

g. Non Anggaran

Laporan Keuangan

Hasil akhir dari suatu siklus akuntansi adalah disajikannya Laporan Keuangan,

laporan keuangan pemerintah daerah terdiri dari Laporan Realisasi Anggaran,

Neraca, Laporan Arus Kas dan Catatan atas Laporan Keuangan

Secara umum suatu siklus akuntansi dapat tergambarkan pada bagan di bawah

ini:


17


Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah

Proses akuntansi yang ditunjukkan dalam Gambar 2.4 mengaitkan pada fungsi-

fungsi dalam pemerintah daerah. Fungsi-fungsi yang terkait dalam proses

akuntasi adalah sebagai berikut:

a. Kepala Daerah

b. Bendahara Umum Daerah/Kuasa Bendahara Umum Daerah

c. Pengguna Anggaran/Kuasa Pengguna Anggaran,

d. Pengguna Barang/Kuasa Pengguna Barang,

e. Pejabat Pengelola Keuangan Daerah (PPKD),

f. Pejabat Penatausahaan Keuangan SKPD (PPK-SKPD),

g. Bendahara Barang,

h. Pejabat Pelaksana Teknis Kegiatan,

i. Bendahara Penerimaan/ Pembantu Bendahara Penerimaan,

j. Bendahara Pengeluaran/ Pembantu Bendahara Pengeluaran.


18


2.5 Program Audit

Program audit adalah rangkaian sistematis dari prosedur-prosedur pemeriksaan

untuk mencapai tujuan audit. Program audit berisi rencana langkah kerja yang

harus dilakukan selama audit berlangsung yang didasarkan pada tujuan dan

sasaran yang ditetapkan serta informasi yang ada tentang objek yang diperiksa.

Manfaat penyusunan program kerja adalah

1. Merupakan suatu rencana yang sistematis tentang setiap tahap kegiatan yang

dapat dikomunikasikan kepada semua anggota tim audit,

2. Merupakan landasan yang sistematis dalam memberikan tugas kepada para

auditor dan supervisiornya,

3. Sebagai dasar untuk membandingkan pelaksanaan kegiatan dengan rencana

yang telah disetujui dan dengan standar serta persyaratan yang telah ditetapkan.

Boynton menyatakan bahwa program audit harus mengungkapkan secara rinci

prosedur audit yang menurut keyakinan auditor diperlukan untuk mencapai tujuan

audit (T.J. Mock, 1998). Mock et. all. menjelaskan bahwa perencanaan program

audit yang berkaitan dengan sifat, luas, dan saat pelaksanaan prosedur audit

merupakan sesuatu yang penting untuk efisiensi dan efektivitas sebuah audit (T.J.

Mock, 1998). SPKN menjelaskan bahwa program audit yang merupakan uraian

prosedur diperlukan untuk mencapai tujuan pemeriksaan, memberikan dasar yang

sistematis untuk membagi tugas kepada staf, dan untuk menyusun ikhtisar

pekerjaan audit yang dilaksanakan.

Dalam konteks audit sistem informasi, Hunton et. all. (J. E. Hunton, 2004)

menyatakan bahwa tidak terdapat bentuk baku atas program audit sistem

informasi. Program audit sistem informasi harus disesuaikan dengan hardware

dan software yang diperiksa, arsitektur jaringan, lingkungan sistem informasi,

serta mempertimbangkan kondisi dan karakteristik organisasi yang diperiksa.

Perubahan atas program audit tersebut dapat dilakukan oleh auditor jika

diperlukan sesuai kondisi sistem informasinya. Program audit sistem informasi

setidaknya memuat ruang lingkup audit, tujuan audit, prosedur audit, dan rincian


19


yang diperlukan seperti perencanaan dan pelaporan audit. SPKN menyatakan

bahwa ruang lingkup audit adalah batasan permasalahan yang sama pada

pelaksanaan audit, sedangkan tujuan audit adalah sesuatu yang akan dijawab

dalam pelaksanaan audit.

Program audit didokumentasikan dalam sebuah kertas kerja yang digunakan

sebagai panduan dalam melaksanakan aktivitas audit. Pada akhir pelaksanaan

audit, program audit juga harus bisa menunjukkan aktivitas masing-masing

anggota tim audit selama pelaksanaan audit dan menunjukkan bukti audit yang

diperoleh (J. E. Hunton, 2004).

Contoh program audit sistem informasi dimuat dalam Gambar 2.5 yang terdiri

ruang lingkup audit, tujuan audit, langkah audit dan bukti audit yang dibutuhkan

untuk setiap langkah audit yang ada.

Program audit ini digunakan dalam perancangan kerangka kerja penilaian risiko

keamanan informasi pengelolaan keuangan pemerintah daerah sehingga

memudahkan para pemeriksa untuk melakukan pemeriksaan dengan metode Risk

Based Audit.


20


Gambar 2.5 Contoh Program Audit

2.6 Penilaian Risiko Keamanan Informasi (security risk assessment)

Penilaian risiko keamanan merupakan metode untuk memaksimalkan penggunaan

aset organisasi secara terbatas berdasarkan risiko yang terukur dan toleransi risiko

organisasi. Kontrol dapat dipilih untuk menghindari dan mengurangi risiko ke

tingkat yang dapat diterima untuk membantu memastikan tujuan manajemen telah

dilaksanakan.

Hal yang perlu diperhatikan di sini adalah keberadaan kebijakan dan prosedur

yang diperlukan, tujuan keamanan yang jelas dengan monitoring aktif, pemisahan

tugas yang logis, melakukan pembandingan antara catatan dengan aktual secara

periodik, penjagaan dokumen, serta catatan dan aset yang memadai.


21


Carlson dalam Information Security Management : Understanding ISO 17799

menjelaskan langkah-langkah risk assessment yaitu sebagai berikut (Carlson,

2001).

1. Mengidentifikasi aset dalam perimeter keamanan

Aset bisa menjadi barang berwujud seperti perangkat keras atau tidak

berwujud seperti database organisasi. Aset memiliki nilai bagi organisasi

sehingga membutuhkan perlindungan dan harus diidentifikasi serta harus

jelas kepemilikannya. Sebuah nilai relatif juga harus dibentuk untuk setiap

aset penting sehingga dapat diantisipasi ketika terjadi risiko.

2. Mengidentifikasi ancaman terhadap aset

Ancaman terhadap aset harus diidentifikasi dan bersifat realistis. Hanya ancaman

yang memiliki kecenderungan yang signifikan atau sangat berbahaya yang harus

dipertimbangkan. Misalnya ancaman ke database organisasi karena pencurian

atau perubahan data.

3. Mengidentifikasi kelemahan terhadap aset

Kelemahan dari keamanan sistem informasi yang dapat menjadi ancaman.

Misalnya, kelemahan ke database organisasi karena kontrol akses yang buruk

password yang mudah ditebak orang lain.

4. Menentukan dampak

Dapat diukur secara numerik untuk melihat timbulnya kerusakan dari

ancaman.

5. Menentukan kecenderungan

Kecenderungan atau frekuensi untuk setiap kelemahan dan ancaman harus

ditentukan. Kecenderungan yang tidak signifikan dapat diabaikan.

6. Menghitung risiko

Secara matematis, risiko dapat dinyatakan sebagai:

Kecenderungan x Dampak = Risiko


22


Perhitungan ini menghasilkan suatu rating numerik aset berbasis risiko untuk

satu set ancaman dan kelemahan. Hasil dari perhitungan tersebut

memungkinkan memperlihatkan mana risiko yang tinggi maka akan

mendapat prioritas untuk diamankan dari gangguan seperti ditampilkan pada

Tabel 2.1.

Tabel 2.1 Peta Risiko (Madhukar, 2007)

IMPACT

Extreme Major Moderate Minor insignificant

5 4 3 2 1

P

R

O

B

A

B

I

L

I

T

Y

100% 80% 62% 25% 1%

(Almost)

certain 5 100% 100% 80% 62% 25% 1%

Probable 4 80% 80% 64% 50% 20% 1%

Possible 3 62% 62% 50% 38% 16% 0%

Unlikely 2 25% 25% 20% 16% 6% 0%

Rare 1 1% 1% 1% 0% 0% 0%

2.7 ISO 27001:2005

ISO 27001:2005 atau disebut dengan ISO 17799:2005-2 adalah suatu standar

keamanan yang diperuntukan bagi institusi yang akan mengelola dan mengontrol

keamanan informasi nya. Information Security Management Systems (ISMS) yang

telah banyak diadopsi oleh negara-negara di dunia terutama negara di benua Asia.

Jumlah sertifikat ISO 27001 yang telah dikeluarkan dan masuk dalam lima besar

di beberapa negara dapat dilihat pada Tabel 2.2 ini.


23


No Nama Negara Jumlah Sertifikat

1 Japan 4125

2 UK 573

3 India 546

4 Taiwan 461

5 China 393

Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber :

www.iso27001certificates.com/Register%20Search.htm)

ISO/IEC 27001 hadir sebagai panduan dengan mengandalkan proses yang

terkenal dengan istilah PDCA, yaitu Plan, Do, Check dan Action. ISO/IEC 27001

menyediakan model untuk penerapan dan pengoperasian ISMS. Tujuan dari

standar ini adalah menyediakan penerapan dan operasional ISMS yang konsisten

dan terpadu yang berkolaborasi dengan standar lain dalam suatu lingkup

organisasi (Arnason, 2008).

ISO/IEC 27001 menggambarkan ISMS sebagai satu sistem manajemen yang

menyeluruh dengan menggunakan pendekatan risiko bisnis untuk membuat,

menerapkan, mengoperasikan, memantau dan memelihara sebuah ISMS. Sebuah

ISMS yang baik harus mencakup segala aspek di suatu organisasi, baik struktur

organisasi, kebijakan, aktivitas perencanaan, tanggung jawab, praktek, prosedur,

proses, maupun sumber daya.

ISMS meliputi 11 domain, 39 kendali utama, dan 122 kendali bagian.

Kesemuanya itu meliputi segala hal tentang keamanan informasi yang patut

diperhatikan. Meskipun demikian bukan berarti sebuah organisasi memiliki

keharusan untuk menerapkan kontrol keamanan dalam standar ini akan tetapi

organisasi dapat menerapkan kontrol yang berkaitan dengan hal-hal yang

berpotensi memberikan risiko terhadap keberlangsungan bisnis.

Selain standar ISO 27001 yang digunakan untuk penilaian risiko keamanan

informasi masih terdapat standar lain yang dapat digunakan untuk penilaian risiko

keamanan informasi. Berikut ini adalah metode-metode yang dapat digunakan

untuk penilaian risiko keamanan informasi adalah:


24


a. Australian IT Security Handbook

b. CRAMM

c. Dutch A&K analysis

d. EBIOS

e. ISF methods for risk assessment and risk management

f. ISO/IEC IS 13335-2 (ISO/IEC IS 27005)

g. ISO/IEC IS 17799:2005

h. ISO/IEC IS 27001 (BS7799-2:2002)

i. IT-Grundschutz (IT Baseline Protection Manual)

j. Marion

k. Mehari

l. Octave

m. SP800-30 (NIST)

Standar diatas diperbandingkan berdasarkan atribut-atribut yang digunakan dalam

proses penilaian risiko seperti Gambar 2.6 ini.

Gambar 2.6 Perbandingan Metode Penilaian Risiko


25


Perbandingan dari metode-metode penilaian risiko dapat dilihat pada Gambar 2.6

sehingga menjadi pertimbangan metode yang akan digunakan untuk organisasi

kita. Jumlah dari ( ., .., ...) menunjukkan variasi atribut yang digunakan oleh

masing-masing metode diatas. Sedangkan * adalah basic level kemampuan yang

dibutuhkan, ** adalah standard level kemampuan yang dibutuhkan sedangkan

*** adalah specialist level.

2.8 Penelitian Sebelumnya

Terdapat penelitian terdahulu berupa Karya Akhir yang dijadikan referensi untuk

penelitian ini. Berikut adalah penelitian sebelumnya yang dijadikan acuan yaitu:

1. Nur indrawati, 2013, “Rancangan kebijakan dan prosedur pengelolaan

integritas data berbasis COBIT dan ISO 27001 studi kasus direktorat xyz”.

Tujuan penelitian ini adalah penyusunan rancangan kebijakan dan prosedur

pengelolaan data yang komprehensif dan pengelolaan keamanan informasi

dengan menggunakan metodologi yakni penilaian tingkat kinerja dan tingkat

kematangan berdasarkan cobit 4.1, penilaian risiko keamanan informasi SNI

ISO/IEC 27001:2009, perancangan kebijakan dan prosedur pengelolaan

integritas data

2. Firman Agung Suryono, 2013, “Perancangan Perangkat Audit keamanan

Informasi: studi kasus Pusat Komunikasi-Kementerian Luar Negeri”. Tujuan

penelitian ini adalah menghasilkan sebuah perangkat audit keamanan informasi

yang dapat digunakan untuk menilai aspek keamanan informasi yang

berhubungan dengan tata kelola keamanan informasi dan kontrol teknis

keamanan informasi di Kementerian Luar Negeri.

3. Lynne Gerke dan Gail Ridley. 2006, “Towards an abbreviated COBIT

framework for use in an Australian State Public Sector”. Tujuan dari penelitian

ini adalah mencari high level control objective untuk COBIT yang paling

penting di 30 sektor publik yang ada di Australia. Metodologi yang digunakan

dalam penelitian ini adalah pengambilan data yang akan diolah dari 30


26


organisasi publik di Australia, kemudian menganalisa data yang telah

dikumpulkan dengan metode linkert-type scale sehingga didapat 17 aktivitas

pengendalian yang paling pengaruh di 30 organisasi publik tersebut.

Berbeda dengan penelitian yang dilakukan oleh Nur indrawati (2013) seperti

penjelasan diatas yang melakukan perancangan kebijakan dan prosedur

pengelolaan integritas data.

Penelitian yang akan dilakukan adalah membuat alat bantu dan kerangka kerja

dalam bentuk program audit untuk menilai risiko keamanan informasi, dimana

memiliki kesamaan dengan penelitian yang dilakukan oleh Firman Agung Suyono

(2013) akan tetapi prosedur penilaian risiko keamanan informasi yang dihasilkan

dari penelitian ini akan disesuaikan dengan kondisi obyek yang diperiksa

sedangkan framework yang akan digunakan pada penelitian ini memiliki

kesamaan dengan penelitian Nur indrawati (2013) yakni menggunakan ISO

27001.

Control objective yang dijadikan program audit untuk penilaian risiko keamanan

informasi disesuaikan dengan kondisi yang ada di pemerintah daerah dengan

melakukan wawancara terhadap pemeriksa senior dan pejabat BPK RI seperti

penelitian yang dilakukan oleh Lynne Gerke dan Gail Ridley (2006).

2.9 Kerangka Teori Penelitian (Theoretical Framework)

Kerangka teori penelitian atau theoretical framework digunakan untuk

menggambarkan teori-teori yang digunakan dalam penelitian dan bagaimana

teori-teori tersebut dipadukan menjadi suatu desain penelitian yang dapat

menghasilkan kesimpulan atau hasil penelitian.


27


Kerangka teori penelitian ini dapat dilihat pada Gambar 2.7 berikut:

Alat Bantu dan Kerangka Kerja Penilaian Risiko keamanan informasi dalam bentuk

Program Audit

ISO 27001

Standar Pemeriksaan Keuangan Negara

BPK RI

Gambar 2.7 Theoritical Framework



BAB 3

METODOLOGI PENELITIAN

Metodologi adalah langkah-langkah sistematis atau sekumpulan metode yang

digunakan untuk menyelesaikan suatu permasalahan. Sebagai langkah sistematis,

metodologi terdiri dari masukan (input), proses dan keluaran (ouput) seperti yang

terlihat pada Gambar 3.1.

Metodologi Penelitian

Input Proses Output

Mulai

Analisa organisasi (Identifikasi

Permasalahan)

Laporan Ditama Revbang BPK RI Analisa Fish Bone

Perumusan Masalah Research

QuestionObservasi

Studi LiteraturJurnal, buku, peraturan

Theoritical

Framework

Pengambilan data dengan wawancara

Penentuan prioritas

Control Objective

ISO 27001

Pengolahan data

Penentuan prioritas control objective

Control Objective

ISO 27001

Hasil Wawancara

Hasil Pengolahan data

Hasil Wawancara

Hasil Pengolahan data

Control Objective terpilih

Draft Program Audit

Control Objective ISO 27001 terpilih

FGD/Pendapat Ahli Draft Program Audit

Perbaikan dan perubahan draft

Perbaikan dan perubahan draft

FGD/Pendapat Ahli Perbaikan Draft Program Audit sebelumnya

Kesimpulan dan saran

Selesai

Pembuatan Alat Bantu

Penilaian Risiko

Keamanan Informasi

Model Konseptual

Uji Publik

Validasi Program Audit

Rancangan Program Audit

Program Audit Penilaian Resiko

Keamanan TI

Gambar 3.1 Metodologi Penelitian


29


Berikut masing-masing penjelasan dari tiap-tiap tahapan penelitian

3.1 Identifikasi Permasalahan

Perumusan masalah dilakukan dengan menggunakan studi literatur dan observasi.

Studi literatur awal pada langkah ini adalah melihat dokumen laporan Ditama

Revbang BPK RI. Dokumen ini menunjukkan bahwa terdapat permasalahan

dalam penerbitan LHP di BPK, kemudian dilakukan penelusuran terhadap

penyebab permasalahan tersebut. Penelusuran dilakukan dengan observasi. Hasil

observasi adalah keterbatasan SDM dan prosedur pemeriksaan yang dilakukan

menjadi penyebab utama permasalahan. Permasalahan dalam prosedur

pemeriksaan adalah belum adanya penilaian risiko pada area pemeriksaan

sehingga tidak ada area yang menjadi fokus pemeriksaan selain karena

keterbatasan sumber daya untuk pemeriksaan alasan perlunya dilakukan penilaian

risiko pada pemeriksaan keuangan adalah menurut Standar Pemeriksaan

Keuangan Negara (SPKN) diatur mengenai penialain risiko tersebut.

Salah satu aspek penting dalam penilaian risiko adalah penilaian risiko keamanan

informasi yang meliputi aspek non TI dan aspek TI. Aspek TI berpengaruh pada

penilaian risiko keamanan informasi dengan melihat hasil studi literatur pada

laporan Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan

mengenai penyelenggaraan SIKD menunjukkan bahwa instansi pemerintah

sebagian besar menggunakan sistem informasi untuk penyusunan laporan

keuangannya. Hasil observasi yang lain adalah belum ada prosedur penilaian

risiko TI yang baku untuk mendukung proses perencanaan pemeriksaan yang

sesuai dengan SPKN. Hasil yang diperoleh pada tahapan ini adalah Research

Question.

3.2 Melakukan Studi Literatur

Studi literatur dilakukan untuk mencari teori dan praktik/best practice yang

relevan dengan permasalahan (research question). Topik yang dipilih yaitu

mengenai hubungan risiko keamanan informasi dengan Risk Based Audit pada


30


pemeriksaan laporan keuangan, sistem pengelolaan keuangan daerah, program

audit, ISO 27001, dan Penelitian terdahulu/best practice, antara lain (Nur

indrawati, 2013), (Firman Agung Suryono, 2013) dan (Lynne Gerke dan Gail

Ridley, 2006). Hasil dari proses ini adalah control objective yang ada dalam ISO

27001 dan kerangka teori (theoritical framework) yang berasal dari teori dan

framework.

3.3 Pengambilan data

Data yang diambil dalam penelitian ini menggunakan wawancara. Panduan

wawancara atau form wawancara yang diberikan terdiri dari tiga bagian. Bagian

pertama berisi penjelasan mengenai maksud dan tujuan dari pengambilan data

serta kilasan mengenai ISO 27001 sedangkan bagian kedua berisi identitas

narasumber dan bagian terakhir berisi aktivitas pengendalian yang ada di ISO

27001.

Penyusunan panduan wawancara dilakukan dengan menerjemahkan aktivitas

pengendalian yang ada di ISO 27001. Proses tersebut menjadi item pertanyaan

dengan menggunakan skala untuk menilai tingkat kepentingan dalam penilaian

risiko keamanan informasi prosedur akuntansi sistem pengelolaan keuangan

pemerintah daerah yang akan dilakukan oleh auditor BPK pada proses

perencanaan pemeriksaan laporan keuangan pemerintah daerah.

Penggunaan skala ini akan mempermudah bagi peneliti dan narasumber untuk

mendapatkan nilai kepentingan dari setiap aktivitas yang ada di ISO 27001.

Pengukuran menggunakan empat skala, yakni skala N (tidak mungkin diterapkan),

skala 1 (tidak penting), skala 2 (cukup penting), skala 3 (penting). Narasumber

pada awalnya akan diwawancara mengenai hal-hal yang penting terkait keamanan

informasi dalam pengelolaan keuangan pemerintah daerah kemudian narasumber

akan memilih skala tersebut untuk setiap pertanyaan yang ada. Panduan yang

diberikan oleh narasumber dapat dilihat pada Lampiran 1. Pertanyaan ini diajukan

kepada beberapa auditor BPK yang memiliki karakteristik sebagai berikut:


31


a. Auditor BPK yang memiliki peran sebagai Ketua Tim Senior. Ketua Tim

Senior memiliki pengalaman dalam pemeriksaan laporan keuangan lebih dari

12 tahun keatas sehingga diharapkan lebih memahami aktivitas yang sangat

diperlukan dalam penilaian risiko keamanan informasi pengelolaan keuangan

pemerintah daerah.

b. Auditor BPK yang memiliki pengalaman dalam hal pelatihan audit sistem

informasi/ teknologi informasi sehingga diharapkan dapat mengetahui langkah

audit yang diperlukan dalam menilai aktivitas pengendalian keamanan

informasi.

c. Auditor BPK yang memiliki kompetensi terkait audit sistem informasi berupa

pengalaman audit sistem informasi dan kepemilikan sertifikat pemeriksa sistem

informasi/teknologi informasi Certified Information System Auditor (CISA)

sehingga diharapkan dapat mengetahui langkah-langkah audit untuk menilai

risiko keamanan informasi dalam pengelolaan keuangan pemerintah daerah.

Selain itu dilakukan wawancara lanjutan pada pejabat eselon I di BPK RI terkait

pengelolaan aktivitas keamanan informasi yang mana bisa dijadikan pertimbangan

dalam penentuan control objective sehingga akan didapatkan validasi aktivitas

pengendalian ISO 27001 yang dapat dijadikan bahan untuk penyusunan alat bantu

dan kerangka kerja penilaian risiko keamanan informasi.

Hasil dari langkah ini adalah daftar peringkat dari Control Objective yang

berpengaruh di organisasi pemerintah.

3.4 Analisis Data

Analisis data untuk pemilihan control objective dilakukan dengan cara data

wawancara. Data wawancara yang akan diolah dan dianalisa adalah data hasil

wawancara mengenai pemeringkatan kepentingan setiap control objective di ISO

27001. Hasil dari analisis data adalah control objective ISO 27001 yang paling

berpengaruh bagi instansi pemerintah dan memiliki skala prioritas yang paling

tinggi dan telah divalidasi oleh pejabat BPK RI. Control objective inilah yang

akan dijadikan dasar dalam perancangan alat bantu dan kerangka kerja penilaian


32


risiko keamanan informasi pada proses akuntansi pengelolaan keuangan

pemerintah daerah.

3.4.1 Analisis Proses Akuntansi SIPKD

Langkah ini adalah melakukan analisa terhadap prosedur akuntansi sistem

pengelolaan keuangan pemerintah daerah yang mana setiap prosedur akuntansi

terdiri dari beberapa proses. Setiap proses dari prosedur akuntansi tersebut

memiliki karakteristik yang berbeda-beda sehingga membutuhkan praktik-praktik

pengendalian yang berbeda juga terkait risiko keamanan informasinya.

3.4.2 Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik

Pengendalian dari Aktivitas di ISO 27001

Langkah ini adalah adalah malakukan analisa pemetaan proses yang ada dalam

prosedur akuntasi sistem pengelolaan keuangan pemerintah daerah dengan

praktik-praktik pengendalian dari aktivitas yang ada di ISO 27001 yang telah

terpilih melalui wawancara dengan auditor dan pejabat di BPK RI.

3.5 Perancangan model konseptual

Perancangan kerangka kerja untuk penilaian risiko keamanan informasi dalam

bentuk program audit di BPK RI dibuat berdasarkan control objective dari ISO

27001 yang terpilih melalui pengolahan data kualitatif selain itu kerangka kerja

dan alat bantu untuk penilaian risiko keamanan informasi ini disusun dengan

memerhatikan Standar Pemeriksaan Keuangan Negara BPK RI sebagai standar

untuk pembuatan prosedur dalam perencanaan pemeriksaan yakni penilaian risiko

informasi, kemudian langkah ini akan dilakukan pendefinisian bukti audit dari

setiap program audit yang dirancang sehingga hasil dari langkah ini tidak hanya

rancangan kerangka kerja untuk penilaiain risiko keamanan informasi dalam

bentuk program audit melainkan beserta bukti audit yang diperlukan untuk setiap

program.

Program audit dibentuk dari hasil penjabaran praktik-praktik dari setiap aktivitas

terpilih yang merupakan adopsi dari ISO 27001, praktik-praktik tersebut


33


mencakup langkah audit yang diperlukan dalam penilaian risiko kemanan

informasi pengelolaan keuangan daerah.

Bukti audit diperoleh dari hasil wawancara dengan salah satu pejabat di

pemerintah daerah sehingga bukti audit yang didefinisikan adalah bentuk proses

dan dokumentasi yang ada dan diterapkan di pemerintah daerah.

Perancangan dilakukan dengan mengelompokkan aktivitas pengendalian yang

telah terpilih ke dalam beberapa kelompok atau ruang lingkup audit.

pengelompokan aktivitas pengendalian didasarkan pada sasaran dan tujuan dari

aktivitas pengendalian, aktivitas yang memiliki tujuan yang sama maka akan

dikelompokkan ke dalam ruang lingkup yang sama. Setelah pengelompokan

aktivitas pengendalian ke dalam ruang lingkup audit maka dirancanglah kerangka

kerja untuk penilaian risiko.

Kerangka kerja penilaian risiko ini merupakan tahapan-tahapan yang dapat

dilakukan oleh auditor dalam menilai risiko keamanan informasi di pemerintah

daerah. Perancangan tahapan dari proses penilaian risiko adalah sebagai berikut.

3.5.1 Perancangan Penetapan Kelemahan dan Ancaman

Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi

ancaman dan menimbulkan risiko bagi organisasi. Sedangkan ancaman mengambil

keuntungan dari kelemahan yang dimiliki organisasi dan menimbulkan risiko bagi

organisasi. Untuk mengetahui kelemahan dan ancaman yang dimiliki organisasi

maka perlu dilakukan analisis. Perancangan analisis kelemahan dan ancaman

didapat dari melihat hasil audit yakni melihat kesesuaian kondisi organisasi

dengan kondisi ideal yang ada dalam daftar bukti audit.

3.5.2 Perancangan analisis dampak dan likelihood

Perancangan analisis dampak dan likelihood sama dengan analisis dalam ISO

27001. Perancangan analisis dampak dan likelihood yakni mendefinisikan

indikator-indikator dampak dan likelihood yang dapat dilihat dari masing-masing


34


risiko di ruang lingkup audit dan masing-masing risiko di tiap aktivitas

pengendalian.

Tingkat penilaian dampak adalah Extreme, Major, Moderate, Minor dan

Insignificant sedangkan untuk tingkat penilaian likelihood adalah Almost certain,

Likely, Moderate, Unlikely dan Rare. Tingkatan ini dapat diperoleh melalui

wawancara dan kuesioner yang diberikan auditor kepada entitas/organisasi yang

diperiksa.

Penilaian dampak dan kecenderungan setiap aktivitas pengendalian didapat dari

pemberikan kuesioner oleh pemeriksa kepada organisasi yang diperiksa,

pembuatan kuesioner didasarkan pada indikator-indikator yang telah

diidentifikasi. Indikator didapat dari klausal-klausal yang ada dalam ISO 27001

untuk setiap ruang lingkup pemeriksaan dan setiap aktivitas pengendalian.

3.5.3 Penilaian tingkat risiko

Penilaian tingkat risiko merupakan perhitungan yang menghasilkan rating

numerik aset berbasis risiko untuk ancaman dan kecenderungan. Penilaian tingkat

risiko dilakukan untuk mengetahui mana risiko yang tinggi dan akan menjadi

prioritas untuk diamankan dari gangguan.

Penilaian tingkat risiko oleh auditor untuk jenis risiko dilakukan dengan cara:

1. Menjumlahkan skor dampak kemudian membagi dengan jumlah indikator

sehingga didapatkan nilai rata-rata.

2. Menjumlahkan skor kecenderungan kemudian membagi dengan jumlah indikator

sehingga didapatkan nilai rata-rata.

3. Nilai risiko secara keseluruhan didapat dari perkalian nilai risiko dampak dengan

nilai risiko kecenderungan dalam matriks risiko pada Gambar 3.2 ini


35


Gambar 3.2 Matriks penentuan tingkat risiko

Gambar 3.2 juga dapat digunakan oleh auditor dalam menentukan tingkatan risiko

untuk masing-masing aktivitas pengendalian yang telah terpilih diatas.

3.5.4 Analisis Prioritas risiko

Berdasarkan hasil penilaian tingkat risiko diperoleh nilai risiko dari masing-

masing jenis risiko dan risiko secara keseluruhan. Kemudian dilakukan analisis

terhadap nilai risiko yang telah diperoleh. Risiko yang memiliki nilai tinggi akan

menjadi prioritas.

Analisis prioritas risiko dilakukan untuk menentukan fokus pemeriksaan

selanjutnya.

3.5.5 Menganalisis rekomendasi kontrol

Rekomendasi kontrol merupakan perkiraan tingkat risiko yang harus dihadapi

serta menentukan apakah risiko yang dihadapi dapat diterima atau membutuhkan

perbaikan. Perbaikan-perbaikan yang direkomendasikan kemudian dianalisis

apakah dapat diterima oleh organisasi dengan melihat kemampuan organisasi baik

dari segi anggaran maupun sumber daya manusia. Kontrol dibuat berdasarkan

hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input kontrol adalah

output dari tahapan sebelumnya yaitu risiko dan tingkat risiko sehingga


36


menghasilkan daftar rekomendasi kontrol. Daftar rekomendasi kontrol inilah

menjadi input bagi tahap mitigasi risiko yang direkomendasikan.

3.6 Uji publik rancangan

Pengujian kepada publik dengan melibatkan para ahli dari pemerintah daerah

untuk mengujicobakan alat bantu dan kerangka kerja penilaian risiko keamanan

informasi yang akan dibuat menggunakan analisis kualitatif dan kuantitatif yakni

dengan wawancara, FGD dan kuesioner. Langkah ini diharapkan dapat membuat

perbaikan model konseptual dari rancangan alat bantu dan kerangka kerja

penilaian risiko keamanan informasi sehingga prosedur ini dapat sesuai dan

mudah dipahami oleh para pemeriksa di BPK RI.

Ujicoba alat bantu dan kerangka kerja untuk penilaian risiko keamanan informasi

dilakukan oleh beberapa pemeriksa BPK RI di Pemerintah Daerah Kota

Tangerang.

Pertama dilakukan wawancara dan observasi dalam pengisian formulir yang ada

dalam kerangka kerja penilaian risiko. Pengisian formulir berdasarkan program

audit yang diberikan kepada pemeriksa. Kedua pemeriksa memberikan kuesioner

untuk mendapatkan nilai dampak dan kecenderungan dari setiap aktivitas dengan

menggunakan indikator-indikator yang telah ada dalam kerangka kerja selain itu

pemeriksa juga mengoperasikan alat bantu yang ada dengan memasukkan data

hasil penilaian risiko.

Hasil dari langkah ini berupa rancangan kerangka kerja dan alat bantu penilaian

risiko keamanan informasi dalam bentuk program audit yang telah di uji cobakan

kepada publik.

3.7 Validasi rancangan alat bantu dan kerangka kerja

Validasi rancangan alat bantu dan kerangka kerja penilaian risiko keamanan

informasi dalam bentuk program audit dilakukan dengan analisis kualitatif yakni

dengan wawancara dan FGD. Langkah ini dilakukan dengan melibatkan para ahli

dari BPK RI, diharapkan rancangan prosedur yang diperoleh benar-benar valid.


37


Hasil dari langkah ini berupa rancangan alat bantu dan kerangka kerja penilaian

risiko keamanan informasi dalam bentuk program audit yang telah di validasi.

3.8 Simpulan dan Saran

Simpulan dalam penelitian ini diambil secara deduktif maupun induktif. Langkah

ini menghasilkan simpulan dan saran penelitian.



BAB 4

PROFIL ORGANISASI

Bab 4 ini akan menjelaskan profil organisasi yang dijadikan objek penelitian

meliputi identifikasi organisasi, struktur organisasi, visi, misi dan nilai dasar BPK

RI. Selain itu akan dijabarkan mengenai proses penilaian risiko dalam

perencanaan pemeriksaan laporan keuangan oleh BPK RI.

4.1 Identifikasi Organisasi

BPK RI adalah lembaga Negara yang bertugas untuk memeriksa pengelolaan dan

tanggung jawab keuangan Negara sebagaimana dimaksud dalam UUD Negara RI

Tahun 1945. BPK RI berkedudukan di Ibu Kota Negara dan memiliki kantor

perwakilan di setiap Ibu Kota Provinsi. Secara hukum kedudukan BPK RI diatur

dalam UUD 1945 pada pasal 23e, 23f dan 23g serta Undang-Undang (UU) No

15/2006 tentang BPK.

BPK bertugas memeriksa pengelolaan dan tanggung jawab keuangan Negara yang

dilakukan oleh Pemeritah Pusat, Pemerintah Daerah, Lembaga Negara lainnya,

Bank Indonesia, Badan Usaha Milik Negara (BUMN), Badan Layanan Umum

(BLU), Badan Usaha Milik Daerah (BUMD), dan lembaga atau badan lain yang

mengelola keuangan Negara.

Pihak-pihak yang berkepetingan terhadap hasil pemeriksaan yang telah dilakukan

oleh BPK meliputi :

a. Lembaga perwakilan (DPR, DPD, DPRD);

b. Pemerintah (instansi pemerintah yang diperiksa/entitas dan instansi penegak

hukum);

c. Lembaga lain yang dibentuk berdasarkan UU;

d. Warga Negara Indonesia/Masyarakat; dan

e. Lembaga-lembaga internasional.


39


4.2 Struktur Organisasi

Sesuai dengan Keputusan Ketua BPK RI Nomor 34/K/I-VIII.3/6/2007 tentang

Struktur Organisasi Badan Pemeriksa Keuangan Republik Indonesia. Struktur

Organisasi BPK RI adalah sebagai berikut :

Secara garis besar struktur tersebut terdiri atas bagian-bagian sebagai berikut:

1. Pimpinan BPK berjumlah Sembilan orang yang terdiri atas ketua, wakil ketua

dan tujuh orang ketua.

2. Pejabat eselon I berjumlah 11 orang dimana fungsi pemeriksaan keuangan

dijalankan tujuh pejabat sebagai Auditor Utama Keuangan Negara (AKN) dan

fungsi pendukung dijalankan oleh empat pejabat lainnya.

3. 33 perwakilan BPK RI dibagi menjadi dua wilayah dan berada di bawah

pimpinan Auditor Utama V untuk wilayah barat dan Auditor Utama VI untuk

wilayah timur.

4. Biro Teknologi Informasi selaku pengelola dan penanggung jawab

pengembangan teknologi informasi pada BPK berposisi sebagai pejabat eselon

II di bawah tanggung jawab Sekretariat Jenderal.

Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor 34/K/I-

VIII.3/6/2007)


40


4.3 Visi, Misi, dan Nilai Dasar BPK

Visi BPK RI adalah menjadi lembaga pemeriksa keuangan Negara yang kredibel

dengan menjunjung tinggi nilai-nilai dasar untuk berperan aktif dalam mendorong

terwujudnya tata kelola keuangan Negara yang akuntabel dan transparan.

Misi BPK RI adalah sebagai berikut :

1. Independensi, BPK RI menjunjung tinggi independensi, baik secara

kelembagaan, organisasi, maupun individu. Dalam semua hal yang berkaitan

dengan pekerjaan pemeriksaan. BPK RI bebas dalam sikap mental dan

penampilan dari gangguan pribadi, ekstern, dan/atau organisasi yang dapat

mempengaruhi independensi.

2. Integritas, BPK RI membangun nilai integritas dengan bersikap jujur, objektif,

dan tegas dalam menerapkan prinsip, nilai dan keputusan.

3. Profesionalisme, BPK RI membangun nilai profesionalisme dengan

menerapkan prinsip kehati-hatian, kecermatan, serta berpedoman kepada

standar yang berlaku

4.4 Penilaian Risiko dalam Pemeriksaan di BPK RI

4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan

Penilaian dan penyesuaian atas risiko merupakan salah satu langkah dalam tahap

perencanaan dan pelaksanaan pemeriksaan laporan keuangan sebagaimana diatur

dalam Petunjuk Pelaksanaan Pemeriksaan Keuangan.

Petunjuk Pelaksanaan Pemeriksaan Keuangan di BPK RI menunjukkan bahwa

pentingnya langkah penilaian risiko dalam pemeriksaan laporan keuangan

sehingga pemeriksa BPK RI hanya berfokus pada area-area yang berisiko tinggi

saja.

Metodologi Pemeriksaan Keuangan sejak tahap perencanaan hingga pelaporan

dapat dilihat dalam Gambar 4.2.


41


Gambar 4.2 Metodologi Pemeriksaan

Metodologi pemeriksaan pada Gambar 4.2 memperlihatkan bahwa penilaian

risiko dilakukan pada tahap perencanaan dan tahap pelaksanaan pada pemeriksaan

yakni penilaian risiko awal dan penilaian risiko akhir.

4.4.2 Kedudukan Panduan Penilaian Risiko

Panduan Penilaian Risiko Pemeriksaan Keuangan merupakan pengaturan lebih

lanjut dari Petunjuk Pelaksanaan Pemeriksaan Keuangan.

Panduan penilaian risiko pemeriksaan keuangan yang ada di BPK RI digunakan

untuk pedoman dalam menilai risiko pemeriksaan keuangan dan untuk

menyeragamkan metode penilaian risiko dalam pemeriksaan keuangan.

Hubungan panduan Penilaian Risiko Pemeriksaan Keuangan dengan Pedoman

Pemeriksaan BPK dapat dilihat pada Gambar 4.3.


42


Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan Keuangan

dengan Pedoman Pemeriksaan BPK

Gambar 4.3 menunjukkan hierarki kedudukan panduan penilaian risiko dalam

peraturan pemeriksaan keuangan negara di BPK RI.

4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan

Penilaian risiko dalam pemeriksaan keuangan memiliki dasar hukum yang

menjadi landasan dalam pelaksanaannya, yakni

1. Undang-Undang Nomor 15 Tahun 2004 tentang Pemeriksaan dan Tanggung

Jawab Pengelolaan Keuangan Negara (Lembaran Negara Nomor 66 Tahun

2004, Tambahan Lembaran Negara Nomor 4400);


43


2. Undang-Undang Nomor 15 Tahun 2006 tentang Badan Pemeriksa Keuangan

(Lembaran Negara Nomor 85 Tahun 2006, Tambahan Lembaran Negara

Nomor 4654);

3. Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007 tentang Standar

Pemeriksaan Keuangan Negara (Lembaran Negara Nomor 42 Tahun 2007,

Tambahan Lembaran Negara Nomor 4707);

4. Keputusan Badan Pemeriksa Keuangan Nomor 1/K/I.XIII.2/2/2008 Tahun

2008 tentang Panduan Manajemen Pemeriksaan sebagaimana telah diubah

dengan Keputusan BPK Nomor 05/K/I-XIII.2/8/2009 tanggal 26 Agustus 2009

tentang Perubahan atas Keputusan BPK Nomor 1/K/IXIII. 2/2/2008 tentang

Panduan Manajemen Pemeriksaan;

5. Keputusan Ketua Badan Pemeriksa Keuangan Republik Indonesia Nomor

34/K/I-VIII.3/6/2007 tentang Struktur Organisasi Badan Pemeriksa Keuangan

Republik Indonesia;

6. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 39/K/I-

VIII.3/7/2007 tentang Organisasi dan Tata Kerja Pelaksana Badan Pemeriksa

Keuangan Republik Indonesia;

7. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 04/K/I-

XIII.2/5/2008 tentang Petunjuk Pelaksanaan Pemeriksaan Keuangan.

Dasar hukum diatas memperlihatkan kekuatan atas pelaksanaan penilaian risiko

dalam pemeriksaan keuangan oleh BPK RI.

4.4.4 Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan Laporan

Keuangan di BPK RI

Risiko Pemeriksaan atau Audit Risk adalah risiko yang timbul karena pemeriksa,

tanpa disadari, tidak memodifikasi opininya sebagaimana mestinya, atas suatu

laporan keuangan yang mengandung salah saji material. Pemeriksa menetapkan

risiko pemeriksaan dalam pemeriksaan keuangan pada tingkat keyakinan yang

memadai untuk bisa memberikan opini atas laporan keuangan yang diperiksa.


44


AR berkaitan dengan seberapa besar kemungkinan (probabilitas) pemeriksa

menyimpulkan bahwa semua asersi yang disajikan dalam laporan keuangan yang

disusun oleh manajemen (entitas) secara material adalah benar, padahal terdapat

asersi yang keliru secara material. Kekeliruan dan salah saji (error dan

misstatements) dapat terjadi karena bermacam-macam faktor, antara lain:

transaksi hilang atau terabaikan dari sistem akuntansi, pemrosesan transaksi tidak

akurat, pemalsuan dokumen-dokumen pendukung laporan keuangan, pemilihan

kebijakan akuntansi yang tidak tepat, dan sebagainya. Pemeriksa kemudian

menetapkan risiko pemeriksaan pada tingkat keyakinan yang memadai

(reasonable assurance) sebagai dasar pemberian opini atas laporan keuangan

yang diperiksa.

Dalam mempertimbangkan risiko pemeriksaan laporan keuangan secara

keseluruhan, pemeriksa harus mempertimbangkan risiko salah saji material yang

berpotensi memengaruhi asersi.

Ada lima aspek yang dinilai dapat berpengaruh pada Risiko Pemeriksaan, yaitu:

1. Perubahan kebijakan, lingkungan operasi dan peraturan perundang-undangan.

2. Hubungan dengan stakeholder.

3. Risiko kinerja keuangan.

4. Tujuan, sasaran dan strategi entitas.

5. Risiko keamanan informasi.

Pada setiap aspek yang dinilai, pemeriksa menganalisis bagaimana aspek tersebut

berpengaruh terhadap entitas yang diperiksa. Analisis tersebut menyangkut

seberapa signifikan tingkat risikonya, apakah entitas memiliki pengendalian

internal yang cukup untuk memitigasi risiko sesuai dengan aspek yang dinilai,

bagaimana respons audit terhadap risiko yang teridentifikasi dan apa saja prosedur

audit yang harus dilakukan.



BAB 5

HASIL DAN PEMBAHASAN

Bab 5 ini akan dijelaskan mengenai hasil pengolahan data, hasil analisa data

sampai dengan perancangan kerangka kerja dan alat bantu penilaian risiko

keamanan informasi pada prosedur akuntansi sistem pengelolaan keuangan

pemerintah daerah.

5.1 Hasil wawancara awal

Hasil wawancara kepada empat narasumber yakni auditor BPK yang memiliki

peran sebagai Ketua Tim Senior dan auditor BPK yang memiliki kompetensi

terkait audit sistem informasi berupa pengalaman audit sistem informasi dan

kepemilikan sertifikat pemeriksa sistem informasi/teknologi informasi Certified

Information System Auditor (CISA) dengan rincian hasil pengambilan data awal

ini dapat dilihat pada Lampiran 2.

Setiap aktivitas akan diberi nilai sesuai tingkat kepentingan oleh narasumber

selain perhitungan nilai tingkat kepentingan dari setiap aktivitas dipertimbangkan

juga hasil wawancara berupa pernyataan terbuka yang ada, hasil rata-rata yang

diperoleh dari tiap pertanyaan atau tiap aktivitas pengendalian akan dilakukan

pembulatan keatas yakni:

a. Nilai rata-rata >= 2.5 akan bernilai 3. Nilai 3 ini memiliki pengertian bahwa

aktivitas pengendalian ini memiliki skala penilaian yang tinggi yakni penting

dalam proses penilaian risiko keamanan informasi pengelolaan keuangan

pemerintah daerah.

b. Nilai rata-rata <2.5 dan >=1.5 akan bernilai 2. Nilai 2 ini memiliki pengertian

bahwa aktivitas pengendalian ini memiliki skala penilaian yang cukup tinggi

yakni cukup penting dalam proses penilaian risiko keamanan informasi

pengelolaan keuangan pemerintah daerah.

c. Nilai rata-rata <1.5 dan >=1 akan bernilai 1. Nilai 1 ini memiliki pengertian

bahwa aktivitas pengendalian ini memiliki skala penilaian risiko yang tidak


46


tinggi akan tetapi masih memiliki kemungkinan untuk diterapkan yakni tidak

penting dalam proses penilaian risiko keamanan informasi pengelolaan

keuangan pemerintah daerah.

d. Nilai rata-rata <1 akan bernilai 0. Nilai 0 ini memiliki pengertian bahwa

aktivitas pengendalian ini memiliki skala penilaian yang rendah yakni tidak

mungkin diterapkan dalam proses penilaian risiko keamanan informasi


Hasil tabulasi dari proses pengambilan data awal dapat dilihat pada Tabel 5.1 ini

sedangkan rincian hasil tabulasi dari wawancara dapat dilihat pada Lampiran 2.

Tabel 5.1 Hasil Tabulasi pengambilan data awal

Kode

Aktivitas

Pengendalian Proses

Rata-

rata

Pembu

latan Tingkat

A.5 Security Policy

A.5.1

Mendokumentasikan Information Security

Policy 2,5 3 Penting

A.5.2 Kajian Information Security Policy 2,75 3 Penting

A.6 Organisasi Keamanan Informasi

A.6.1 Organisasi internal 3 3 Penting

A.6.2 Organisasi eksternal 2,75 3 Penting

A.7 Pengolahan Aset

A.7.1 Tanggung jawab terhadap aset 3 3 Penting

A.7.2 Klasifikasi informasi 2,5 3 Penting

A.8 Keamanan Sumberdaya manusianya

A.8.1 Sebelum dipekerjakan 2 2

Cukup

penting

A.8.2 Selama bekerja 2,5 3 Penting

A.8.3 Pengakhiran atau perubahan pekerjaan 2,75 3 Penting

A.9 Keamanan Fisik dan Lingkungan

A.9.1 Area yang aman 2,5 3 Penting

A.9.2 Keamanan Peralatan 2,25 1

Tidak

penting

A.10 Manajemen Komunikasi dan Operasi

A.10.1 Prosedur Operasional dan Tanggung jawab 2 2 Cukup


47


Kode

Aktivitas

Pengendalian Proses

Rata-

rata

Pembu

latan Tingkat

penting

A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga 2 2

Cukup

penting

A.10.3 Perencanaan dan Keberterimaan Sistem 2,5 3 Penting

A.10.4

Perlindungan terhadap malicious dan

mobile code 1,5 2

Cukup

penting

A.10.5 Back-up 2,75 3 Penting

A.10.6 Manajemen Keamanan Jaringan 2,25 2

Cukup

penting

A.10.7 Penanganan Media 1,5 2

Cukup

penting

A.10.8 Pertukaran informasi 2 2

Cukup

penting

A.10.9 Layanan electronic commerce 0 0

Tidak

mugkin

diterapkan

A.10.10 Pemantauan 2,5 3 Penting

A.11 Pengendalian Akses

A.11.1

Persyaratan bisnis untuk pengendalian

akses 2,5 3 Penting

A.11.2 Manajemen akses pengguna 2 2

Cukup

penting

A.11.3 Tanggung jawab pengguna 2,5 3 Penting

A.11.4 Pengendalian akses jaringan 2,5 3 Penting

A.11.5 Pengendalian akses sistem operasi 2,5 3 Penting

A.11.6 Pengendalian akses aplikasi dan informasi 2,5 3 Penting

A.11.7 Mobile computing dan kerja jarak jauh 0,75 1

Tidak

penting

A.12

Akusisi, pengembangan dan

pemeliharaan sistem informasi

A.12.1

Persyaratan keamanan dari sistem

informasi 2 2

Cukup

penting

A.12.2 Pengolahan yang benar dalam aplikasi 3 3 Penting

A.12.3 Pengendalian dengan cara kriptografi 1,75 2

Cukup

penting

A.12.4 Keamanan sistem file 2,75 3 Penting

A.12.5 Keamanan dalam proses pengembangan

2,5 3 Penting


48


Kode

Aktivitas

Pengendalian Proses

Rata-

rata

Pembu

latan Tingkat

dan pendukung

A.12.6 Manajemen Kerawanan Teknis 2,25 2

Cukup

penting

A.13

Manajemen Insiden Keamanan

Informasi

A.13.1

Pelaporan kejadian dan kelemahan

keamanan informasi 2,5 3 Penting

A.13.2

Manajemen insiden keamanan informasi

dan perbaikan 3 3 Penting

A.14

Manajemen Keberlanjutan Bisnis (

Businees Continuity Management )

A.14.1

Aspek Keamanan Informasi dari

manajemen keberlanjutan bisnis 2,25 2

Cukup

penting

A15 Kesesuaian

A.15.1 Kesesuaian dengan persyaratan umum 2,75 3 Penting

A.15.2

Pemenuhan terhadap kebijakan keamanan

dan standar, dan pemenuhan teknis 2,25 2

Cukup

penting

A.15.3 Pertimbangan audit sistem informasi 2,75 3 Penting

Tabel 5.1 menunjukkan tingkat kepentingan setiap aktivitas pengendalian yakni

penting, cukup penting, tidak penting dan tidak mungkin diterapkan dalam proses

penyusunan program audit penilaian risiko keamanan informasi untuk


5.1.1 Pemilihan aktivitas pengendalian

Pemilihan atas aktivitas pengendalian didapat dari tabel tabulasi yang telah

dipaparkan diatas. Aktivitas yang akan dijadikan bahan untuk penyusunan

program audit penilaian risiko keamanan informasi pengelolaan keuangan

pemerintah daerah adalah aktivitas yang memiliki status tingkat penting selain itu

dilakukan review lanjutan atas aktivitas pengendalian yang memiliki status tingkat

cukup penting oleh peneliti. Review lanjutan berupa hasil pemetaan aktivitas

yang memilki status “cukup penting” dengan status “penting”. Pemetaan


49


dilakukan atas dasar kemiripan lingkup yang ada pada masing-masing aktivitas.

Berikut hasil pemetaan aktivitas

Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting”

Gambar 5.1 menunjukkan bahwa aktivitas dengan kode A.10.6 dan A.11.2

memiliki kesamaan ruang lingkup dengan aktivitas kode A.11.4, A.11.5, dan

A.11.6

Berikut adalah penjelasan dari masing-masing pemetaan diatas:

a. Aktivitas A.10.6 memiliki lingkup pengendalian yakni perlindungan informasi

dalam jaringan dan perlindungan infrastruktur pendukung sedangkan lingkup

aktivitas A.11.4 adalah pengendalian berupa pencegahan akses ke dalam


50


layanan jaringan. Kedua aktivitas ini memliki kesamaan lingkup yakni

perlindungan informasi dalam jaringan baik pengendalian akses jaringan

maupun perlindungan atas infrastruktur jaringanya.

b. Aktivitas A.11.2 memiliki lingkup yakni memastikan akses oleh pengguna

yang sah. Aktivitas ini tidak memiliki kesamaan lingkup dengan tiga aktivitas

yang lainnya A.11.4, A.11.5, dan A.11.6 hanya saja tiga aktivitas membaginya

menjadi pengendalian akses yang lebih detail yakni akses jaringan, sistem

operasi dan aplikasi dan informasi.

Pemetaan diatas membuat aktivitas A10.6 dan A.11.2 menjadi status “penting”

untuk dijadikan bahan dalam pembuatan program audit untuk penilaian risiko

keamanan informasi.

Proses review tidak hanya dilakukan dengan pemetaan lingkup dari aktivitas

“penting” dengan aktivitas “cukup penting” akan tetapi peneliti melakukan

wawancara tambahan kepada pejabat eselon 1 di BPK RI untuk melakukan review

atas pemilihan aktivitas yang akan dijadikan bahan untuk program audit penilaian

risiko keamanan informasi. Hasil review dapat dilihat pada Tabel 5.2.

Tabel 5.2 menunjukkan bahwa ada beberapa aktivitas yang dipertimbangkan

untuk masuk dalam aktivitas penting dalam penyusunan program audit penilaian

risiko keamanan informasi. Berikut adalah masing-masing penjelasan atas

aktivitas yang dipertimbangkan:

a. Aktivitas A.12.3 Pengendalian dengan cara kriptografi dipertimbangkan untuk

masuk dalam perancangan alat bantu penilaian risiko keamanan informasi

karena tingkat pengamanan secara teknis lebih mudah diterapkan daripada

tingkat manajemen.

b. Aktivitas A.9.2 keamanan peralatan dipertimbangkan karena aktivitas ini

untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset pada

organisasi. Peralatan yang ada merupakan akun AKTIVA yang mana risiko

perlindungan atas peralatan akan mempengaruhi juga pada tingkat risiko pada

pelaporan keuangan pemerintah daerah.


51


Tabel 5.2 Hasil review pejabat BPK RI

Status "cukup penting"

Kode Aktivitas

Pengendalian Proses Keterangan Review

A.8.1 Sebelum dipekerjakan

A.10.1 Prosedur Operasional dan Tanggung jawab

A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga

A.10.4 Perlindungan terhadap malicious dan mobile code

A.10.7 Penanganan Media

A.10.8 Pertukaran informasi

A.12.1 Persyaratan keamanan dari sistem informasi

A.12.3 Pengendalian dengan cara kriptografi

Dipertimbangkan

penting

A.12.6 Manajemen Kerawanan Teknis

A.14.1

Aspek Keamanan Informasi dari manajemen

keberlanjutan bisnis

A.15.2

Pemenuhan terhadap kebijakan keamanan dan

standar, dan pemenuhan teknis

Status "tidak penting"

A.9.2 Keamanan Peralatan

Dipertimbangkan

penting

A.11.7 Mobile computing dan kerja jarak jauh

Hasil analisa diatas menghasilkan daftar aktivitas pengendalian dari ISO 27001

yang memiiki kepentingan tinggi dalam penentuan program audit yang

dibutuhkan untuk penilaian risiko keamanan informasi pada pengelolaan

keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan

keuangan. Berikut adalah daftar aktivitas dengan status “penting” dapat dilihat

pada Tabel 5.3 yang menunjukkan bahwa 29 aktivitas pengendalian yang terpilih

dalam Tabel 5.2 akan dikembangkan menjadi rancangan awal program audit

untuk penilaian risiko keamanan informasi pengelolaan keuangan. Rancangan

awal ini juga didasarkan atas praktik dari setiap aktivitas yang diadopsi dari ISO

27001, sehingga praktik dari setiap aktivitas sebagai dasar untuk menyusun

rancangan awal.


52


Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting"

Kode Aktivitas

Pengendalian Proses Tingkat

A.5 Security Policy

A.5.1 Mendokumentasikan Information Security Policy Penting

A.5.2 Kajian Information Security Policy Penting

A.6 Organisasi Keamanan Informasi

A.6.1 Organisasi internal Penting

A.6.2 Organisasi eksternal Penting

A.7 Pengolahan Aset

A.7.1 Tanggung jawab terhadap aset Penting

A.7.2 Klasifikasi informasi Penting

A.8 Keamanan Sumberdaya manusianya

A.8.2 Selama bekerja Penting

A.8.3 Pengakhiran atau perubahan pekerjaan Penting

A.9 Keamanan Fisik dan Lingkungan

A.9.1 Area yang aman Penting

A.9.2 Keamanan Peralatan Penting


A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga Penting

A.10.3 Perencanaan dan Keberterimaan Sistem Penting

A.10.5 Back-up Penting

A.10.8 Pertukaran informasi Penting

A.10.10 Pemantauan Penting


A.11.1 Persyaratan bisnis untuk pengendalian akses Penting

A.11.2 Manajemen akses pengguna Penting

A.11.3 Tanggung jawab pengguna Penting

A.11.4 Pengendalian akses jaringan Penting

A.11.5 Pengendalian akses sistem operasi Penting

A.11.6 Pengendalian akses aplikasi dan informasi Penting

A.12 Akusisi, pengembangan dan pemeliharaan sistem informasi

A.12.2 Pengolahan yang benar dalam aplikasi Penting

A.12.3 Pengendalian dengan cara kriptografi Penting

A.12.4 Keamanan sistem file Penting

A.12.5 Keamanan dalam proses pengembangan dan pendukung Penting

A.13 Manajemen Insiden Keamanan Informasi

A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi Penting

A.13.2 Manajemen insiden keamanan informasi dan perbaikan Penting

A15 Kesesuaian


53


Kode Aktivitas

Pengendalian Proses Tingkat

A.15.1 Kesesuaian dengan persyaratan umum Penting

A.15.3 Pertimbangan audit sistem informasi Penting

Aktivitas-aktivitas yang ada dalam Tabel 5.3 akan dijadikan dasar dalam

perancangan langkah audit untuk penilaiam risiko keamanan informasi sistem


5.2 Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah

Daerah

Sistem pengelolaan keuangan pemerintah daerah memiliki aset informasi yang

meliputi pelaku (people), proses dan dokumen. Aset informasi ini akan saling

berkaitan satu sama lain sehingga saat dilakukan penilaian risiko keamanan

informasi dari proses sistem pengelolaan keuangan pemerintah daerah.

5.2.1 Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan

Pemerintah Daerah

Prosedur akuntansi yang ada dalam sistem pengelolaan keuangan pemerintah

daerah yang akan dilakukan analisa terdiri dari empat macam prosedur. Empat

prosedur tersebut diantaranya prosedur akuntansi penganggaran, penerimaan kas,

pengeluaran kas dan aset. Setiap prosedur yang ada memiliki aset informasi yang

saling terkait.

a. Prosedur akuntansi penganggaran

Prosedur ini membahas prosedur akuntansi mengenai penetapan APBD,

alokasi APBD, perubahan APBD, dan alokasi perubahan APBD masing-

masing disertai ilustrasi. Prosedur ini mencakup tiga aset informasi

fungsi/pihak terkait, proses dan dokumen. Hubungan ketiga aset informasi ini

dapat dilihat pada Tabel 5.4.

Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran

Kode Proses Fungsi terkait Dokumen

P.a.1 Rancangan Dokumen

Pelaksanaan Anggaran

(DPA) dari Satuan Kerja

Perangkat Daerah (SKPD)

Pejabat

Penatausahaan

Keuangan SKPD

(PPK-SKPD)

DPA SKPD


54



P.a.2 Rancangan DPA PPKD Pejabat Pengelola

Keuangan Daerah

(PPKD)

DPA PPKD

P.a.3 Pencatatan anggaran SKPD

berdasarkan DPA SKPD Pejabat

Penatausahaan

Keuangan SKPD

(PPK-SKPD)

DPA SKPD

Jurnal SKPD

Neraca Saldo

SKPD

P.a.4 Pencatatan anggaran PPKD

berdasarkan DPA PPKD Pejabat Pengelola

Keuangan Daerah

(PPKD)

DPA PPKD

Jurnal PPKD

Neraca Saldo

PPKD

Setiap proses memiliki karakteristik yang berbeda. Berikut ini adalah

karakteristik setiap proses yang ada dalam prosedur akuntansi penganggaran:

1. Proses P.a.1 merupakan proses yang tidak bersifat rutin atau operasional

karena hanya dilakukan pada momen tertentu saja yakni pada akhir tahun,

penginputan dilakukan oleh semua satuan kerja di pemerintah daerah, dan

adanya koordinasi dengan satuan kerja yang lain sehingga diperlukan

prosedur atau kebijakan terkait keamanan informasi untuk proses ini.

2. Proses P.a.2 merupakan proses yang memiliki karakteristik yang sama

dengan proses pada P.a.1 yakni bersifat tidak rutin dan inputan proses ini

berasal dari proses yang lain. Proses ini memerlukan kebijakan atau

prosedur yang berasal dari manajemen level atas terkait keamanan

informasi.

3. Proses P.a.3 merupakan proses yang memiliki karakteristik adanya koneksi

dengan proses yang lain, berkaitan erat dengan nilai akun pada laporan

keuangan dan bersifat tidak rutin. Proses ini memerlukan pengendalian

pengolahan yang benar dalam aplikasi dan keamanan dalam proses

pengembangan sistem informasinya.

4. Proses P.a.4 memiliki karakteristik yang sama dengan proses P.a.3 sehingga

output dari proses ini memiliki peran yang besar pada pelaporan keuangan


55


pemerintah daerah sehingga membutuhkan pengendalian terkait pengolahan

yang benar dalam aplikasi.

b. Prosedur akuntansi penerimaan kas

Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang

digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-

transaksi penerimaan/aliran masuk ke kas daerah berupa pendapatan asli

daerah, dana perimbangan, lain-lain pendapatan daerah yang sah dan

penerimaan pembiayaan daerah.

Transaksi penerimaan Pendapatan Asli Daerah antara lain diperoleh dari Pajak

Daerah, Retribusi Daerah, Penerimaan Lain-lain Pendapatan Asli Daerah yang Sah

seperti penjualan aktiva daerah yang tidak dipisahkan, penerimaan bunga deposito,

jasa giro, denda, dan lain-lain.

Penerimaan kas pemerintah daerah bersal dari tiga jenis sumber, yakni:

1. Penerimaan dari Pendapatan Asli Daerah.

2. Penerimaan dari Dana Perimbangan.

3. Penerimaan dari Pembiayaan.

Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada

Tabel 5.5 ini.

Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas


P.b.1 Pencatatan

penerimaan di

Kas Umum

Daerah

Pejabat Pengelola Keuangan

Daerah selaku Bendahara

Umum Daerah/Kuasa

Bendahara Umum Daerah

Surat Tanda Setoran

(STS)

Bukti Transfer

Nota Kredit Bank

P.b.2 Penetapan

retribusi daerah Pejabat Pengelola Keuangan

Daerah (PPKD)-SKPD

Surat Ketetapan

Retribusi (SKR)

P.b.3 Penetapan Pajak

Daerah Pejabat Pengelola Keuangan

Daerah (PPKD)

Surat Ketetapan Pajak

Daerah (SKPD)

P.b.4 Pencatatan

penerimaan di

Bendahara

penerimaan

Bendahara Penerimaan Surat Tanda Setoran

(STS)

Buku Besar Penerimaan

P.b.5 Pencatatan

penerimaan oleh Pejabat Penatausahaan

Keuangan Satuan Kerja

Surat Tanda Setoran

(STS)


56



PPK-SKPD Perangkat Daerah (PPK-

SKPD) Buku Besar

Neraca Saldo

Jurnal

Laporan Keuangan

Prosedur penerimaan kas terdiri dari lima proses yang memiliki karakteristik

yang berbeda-beda sehingga membuat proses-proses ini membutuhkan

aktivitas pengendalian yang berbeda-beda. Berikut ini karakteristik proses yang

ada dalam prosedur penerimaan kas yakni:

1. Proses P.b.1 memiliki karakteristik jika dilihat dari penggunaan proses ini

yakni proses ini digunakan untuk kegiatan operasional keuangan pemerintah

daerah, proses ini berdekatan dengan kegiatan individual dari pegawai di

pemerintah daerah dan melibatkan interkoneksi informasi keuangan dengan

proses yang lain.

2. Proses P.b.2 memiliki karakteristik yakni digunakan untuk kegiatan

operasional penerimaan keuangan pemerintah daerah, proses pendukung

dari proses pelaporan keuangan pemerintah, berdekatan dengan pelayanan

jasa bagi pihak ketiga dan kegiatan individual dari pegawai pemerintah

daerah. Proses ini juga terhubung dengan proses yang lain sehingga

pengendalian terkait interkoneksi informasi keuangan dibutuhkan.

3. Proses P.b.3 memiliki karakteristik yang sama dengan proses P.b.2 karena

berhubungan dengan pemberian pelayanan jasa ke pihak ketiga selain itu

pengumpulan bukti atas insiden keamanan informasi yang melibatkan

tindakan hukum diperlukan dalam proses ini karena proses ini berhubungan

dengan penerimaan daerah dari masyarakat dan pengusaha.

4. Proses P.b.4 memiliki karakteristik yakni data yang diolah pada proses ini

mengharuskan tingkat keamanan informasi yang tinggi sehingga

membutuhkan praktik pengendalian yang banyak terkait keamanan

informasi.


57


5. Proses P.b.5 memiliki karakteristik yaitu hasil dari proses ini digunakan

untuk pelaporan keuangan sehingga validasi input dan output diperlukan

untuk pengendalian proses ini.

c. Prosedur akuntansi pengeluaran kas


digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-

transaksi pengeluaran/aliran masuk dari kas daerah berupa penyediaan uang

persediaan, penggantian uang persediaan, dan pembayaran langsung.

Pengeluaran kas meliputi tiga jenis pengeluaran, yakni:

1. Pengeluaran untuk penyediaan uang persediaan

2. Pengeluaran untuk penggantian uang persediaan

3. Pengeluaran untuk pembayaran langsung

Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada

Tabel 5.6 ini.

Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas


P.c.1 Permintaan

pembayaran

oleh

bendahara

Bendahara

Pengeluaran

Surat Permintaan Pembayaran Langsung

(SPP LS)

Surat Permintaan Pembayaran Ganti

Uang Persediaan (SPP GU)

Surat Permintaan Pembayaran Uang

Persediaan (SPP UP)

Surat Permintaan Pembayaran

Tambahan Uang Persediaan (SPP TU)

P.c.2 Penerbitan

Surat

Perintah

Pencairan

Dana

(SP2D) atas

beban

pengeluaran

DPA SKPD

Pengguna

Anggaran/Kuasa

Pengguna

Anggaran

Surat Perintah Membayar Langsung

(SPM LS)

Surat Perintah Membayar Ganti Uang

Persediaan (SPM GU) + Surat

Pengesahan Pertanggungjawaban

Bendahara Pengeluaran (SPJ Belanja)

Surat Perintah Membayar Uang

Persediaan (SPM UP)

Surat Perintah Membayar Tambahan

Uang Persediaan (SPM TU)

P.c.3 Pencairkan

uang pada

bank yang

ditunjuk

BUD/Kuasa BUD Surat Perintah Pencairan Dana (SP2D)


58



berdasarkan

SPM LS

P.c.4 Pencatatan

pengeluaran

oleh

Bendahara

Bendahara

Pengeluaran

Surat Perintah Pencairan Dana (SP2D)

P.c.5 Pencatatan

pengeluaran

oleh Kas

Umum

Daerah

Pejabat Pengelola

Keuangan Daerah

selaku Bendahara

Umum

Daerah/Kuasa

Bendahara Umum

Daerah


Bukti Transfer

Nota Debet Bank

P.c.6 Pencatatan

pengeluaran

oleh PPK-

SKPD

Pejabat

Penatausahaan

Keuangan Satuan

Kerja Perangkat

Daerah (PPK-

SKPD)


Buku Besar

Neraca Saldo

Jurnal

Laporan Keuangan

Prosedur akuntansi pengeluaran keuangan pemerintah daerah terdiri dari enam

proses. Enam proses ini memiliki karakteristik yang berbeda-beda yakni:

1. Proses P.c.1 pada prosedur akuntansi dilakukan rutin pada kegiatan

pengelolaan keuangan di pemerintah daerah. Proses ini berdekatan dengan

aktivitas individu sehingga pengendalian akses sistem operasi, jaringan dan

aplikasi serta pengendalian keamanan fisik dan lingkungan dibutuhkan.

2. Proses P.c.2 memiliki karakteristik yang sama dengan proses P.c.1 karena

proses P.c.2 berjalan setelah proses yang ada di P.c.1. Proses ini

menghasilkan dokumen yang digunakan untuk dasar pencairan keuangan di

pemerintah daerah oleh karena itu perlu dilakukan pengendalian berupa

audit sistem informasi untuk proses ini sehingga proses P.c.2 dapat dipantau

secara berkala.

3. Proses P.c.3 memiliki karakteristik yakni mengolah data yang sensitif bagi

pemerintah daerah karena berkaitan dengan proses pencairan yang

dilakukan oleh pihak ketiga sehingga pengendalian terkait pihak eksternal

dan pelayanan jasa pihak ketiga dilakukan.

4. Proses P.c.4 memiliki karakteristik yakni proses ini berdekatan dengan

aktivitas individu dan kegiatan operasional pemerintah daerah selain itu


59


output dari proses ini akan menjadi input bagi proses yang lain sehingga

pengendalian pengolahan informasi oleh fasilitas informasi dibutuhkan pada

proses ini.

5. Proses P.c.5 memiliki karakteristik yang sama denga P.c.4 hanya saja

dilakukan oleh pihak yang lain yaitu kas umum daerah sehingga

pengendalian yang dibutuhkan adalah pengendalian pengolahan informasi

oleh fasilitas informasi.

6. Proses P.c.6 adalah proses yang berhubungan dengan pelaporan pengeluaran

keuangan pada pemerintah daerah sehingga keamanan dalam proses

pengembangan dan pendukung diperlukan untuk proses ini.

d. Proses akuntansi aset


digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-transaksi

perolehan aset, kapitalisasi, penyusutan, dan pelepasan aset.

Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada Tabel

5.7 ini.

Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset

Kode Proses

Akuntansi

Proses Fungsi terkait Dokumen

P.d.1 Pencatatan penambahan aset

di bendahara barang Bendahara

Barang SKPD

BA penerimaan

barang

Surat pengiriman

barang

BA serah terima

barang

P.d.2 Pencatatan penghapusan aset

di bendahara barang Bendahara

Barang SKPD

BA Pemusnahan

barang

SK Penghapusan

BA Penilaian

P.d.3 Pencatatan

penambahan/pengurangan

aset oleh PPK-SKPD

PPK-SKPD Bukti Transaksi

SPJ Penerimaan

SPJ Pengeluaran +

SP2D

Buku Besar

Neraca Saldo

Jurnal

Laporan Keuangan


60


Prosedur akuntansi aset pada pengelolaan keuangan pemerintah daerah memiliki

tiga proses yang utama yakni:

1. Proses P.d.1 berkaitan dengan pencatatan penambahan aset pada satuan kerja

pemerintah daerah baik yang berasal dari pengadaan barang tersebut ataupun

dari hibah oleh organisasi yang lain. Proses ini berdekatan dengan kegiatan

operasional di satuan kerja pemerintah daerah sehingga memiliki intensitas

pengolahan data yang tinggi. Oleh karena itu proses ini membutuhkan

pengendalian terkait manajemen insiden keamanan informasi dan pengendalian

akses terhadap informasi aset ini.

2. Proses P.d.2 memiliki karakteristik yang sama dengan proses P.d.2 hanya saja

ini terkait penghapusan aset oleh bendahara barang di satuan kerja pemerintah

daerah. Proses penghapusan aset ini membutuhkan pengendalian terkait

pertukaran informasi untuk memelihara keamanan informasi yang

dipertukarkan dalam satuan kerja dan dengan satuan kerja/organisasi yang lain.

3. Proses P.d.3 proses yang berhubungan dengan pelaporan aset pada laporan

keuangan pemerintah daerah sehingga keamanan dalam proses pengembangan

dan pendukung diperlukan untuk proses ini.

5.3 Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan

Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001

Analisa selanjutnya adalah pemetaan prosedur akuntasi yang ada pada sistem

pengelolaan keuangan pemerintah daerah dengan aktivitas pengendalian yang

diadopsi dari ISO 27001 dan terpilih berdasarkan hasil wawancara dengan auditor

senior dan pejabat BPK RI. Aktivitas pengendalian yang terpilih memiliki

praktik-praktik terbaik untuk mendukung setiap aktivitas tersebut. Berdasarkan

analisa karakteristik yang ada dalam setiap proses prosedur akuntansi pemerintah

daerah maka dipilih praktik-praktik dari ISO 27001 yang menunjang proses

keamanan informasi dari pengelolaan keuangan pemerintah daerah. Berikut

adalah praktik-praktik ISO 27001 yang dibutuhkan.


61


Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih

Kode Praktik Deskripsi Praktik

A.5.1.1 Dokumen kebijakan keamanan informasi

A.5.2.1 Kajian kebijakan keamanan informasi

A.6.1.1 Komitmen manajemen terhadap keamanan informasi

A.6.1.2 Koordinasi keamanan informasi

A.6.1.3 Alokasi tanggung jawab keamanan informasi

A.6.1.6 Kontak dengan pihak yang berwenang

A.6.2.3 Penekanan keamanan perjanjian dengan pihak ketiga

A.7.1.1 Inventaris aset

A.7.1.2 Kepemilikan aset

A.7.1.3 Penggunaan aset yang dapat diterima

A.7.2.1 Pedoman klasifikasi

A.7.2.2 Pelabelan dan penanganan informasi

A.8.2.1 Tanggung jawab manajemen

A.8.2.3 Proses Pendisiplinan

A.8.3.1 Tanggung jawab pengakhiran pekerjaan

A.8.3.2 Pengembalian aset

A.8.3.3 Penghapusan hak akses

A.9.1.1 Perimeter keamanan fisik

A.9.1.2 Pengendalian entri yang bersifat fisik

A.9.1.3 Mengamankan kantor, ruangan dan fasilitas

A.9.2.1 Penempatan dan perlindungan peralatan

A.9.2.4 Pemeliaharan peralatan

A.9.2.5 Keamanan peralatan di luar lokasi

A.10.2.1 Pelayanan Jasa

A.10.3.1 Majamen kapasitas

A.10.3.2 Keberterimaan sistem

A.10.5.1 Back up informasi

A.10.8.1 Kebijakan dan prosedur pertukaran informasi

A.10.8.5 Sistem informasi bisnis

A.10.10.1 Log audit

A.10.10.2 Pemantauan penggunaan sistem

A.10.10.3 Perlindungan informasi log

A.10.10.4 Log administrator dan operator

A.10.10.5 Log atas kesalahan yang terjadi (fault logging)

A.11.1.1 Kebijakan pengendalian akses

A.11.2.1 Pendaftaran pengguna

A.11.2.2 Manajemen hak khusus

A.11.2.3 Manajemen password pengguna

A.11.2.4 Tinjauan terhadap hak akses pengguna

A.11.3.1 Penggunaan password

A.11.3.2 Peralatan yang ditinggal oleh penggunanya

A.11.3.3 Kebijakan clear desk dan clear screen

A.11.4.1 Kebijakan penggunaan layanan jaringan

A.11.4.4 Perlindungan terhadap remote diagnostic dan configuration port

A.11.5.1 Prosedur log on yang aman

A.11.5.2 Identifikasi dan otentiasi pengguna

A.11.5.3 Sistem manajemen password

A.11.5.4 Penggunaan sistem utilities

A.11.5.5 Sesi time out


62


Kode Praktik Deskripsi Praktik

A.11.6.1 Pembatasan akses informasi

A.11.6.2 Isolasi sistem yang sensitif

A.12.2.1 Validasi data masukan

A.12.2.2 Pengendalian pengolahan internal

A.12.2.4 Validasi data keluaran

A.12.3.1 Kebijakan tentang penggunaan pengendalian kriptografi

A.12.3.2 Manajemn kunci

A.12.4.2 Perlindungan data uji sistem

A.12.4.3 Pengendalian akses terhadap kode sumber program

A.12.5.2 Tinjauan tenis dari aplikasi setelah perubahan sistem operasi

A.13.1.1 Pelaporan kejadian keamanan informasi

A.13.1.2 Pelaporan kelemahan keamanan

A.13.2.1 Tanggung jawab dan prosedur

A.13.2.2 Pembelajaran dari insiden keamanan informasi

A.13.2.3 Pengumpulan bukti

A.15.1.2 Hak Kekayaan intelektual (Haki)

A.15.1.4 Perlindungan data dan rahasia informasi pribadi

A.15.1.5 Pencegahan penyalahgunaan fasilitas pengolah informasi

A.15.3.1 Pengendalia audit sistem informasi

Berikut adalah pemetaan tiap prosedur dengan aktivitas pengendalian ISO 27001.

5.3.1 Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas ISO

27001

Pemetaan prosedur akuntansi pengganggaran dengan aktivitas ISO 27001 yang

telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktik-

praktik aktivitas yang ada dalam ISO 27001.

Dasar pemetaan antara proses yang ada dalam akuntansi penganggaran dengan

aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran

pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil

pemetaan proses pada prosedur akuntansi penganggaran.

Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran

Kode Proses Kode Praktik

P.a.1 Rancangan Dokumen

Pelaksanaan Anggaran

(DPA) dari Satuan Kerja

Perangkat Daerah (SKPD)

A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.8.2.3,

A.9.2.1, A.10.5.1, A.11.1.1, A.11.2.1, A.11.2.2,

A.11.2.3, A.11.6.1, A.12.2.1, A.12.5.2,

A.15.1.2, A.15.1.5

P.a.2 Rancangan DPA PPKD A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.8.2.3,

A.9.2.1, A.10.5.1, A.10.8.2, A.11.2.1, A.11.2.2,

A.11.2.3, A.11.6.1, A.12.2.1, A.12.5.2,

A.15.1.2, A.15.1.5

P.a.3 Pencatatan anggaran A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1,


63


SKPD berdasarkan DPA

SKPD

A.8.2.3 , A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2,

A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2,

A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5

P.a.4 Pencatatan anggaran

PPKD berdasarkan DPA

PPKD

A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1,

A.8.2.3, A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2,

A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2,

A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5

5.3.2 Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan

Aktivitas ISO 27001

Pemetaan prosedur akuntansi penerimaan keuangan dengan aktivitas ISO 27001

yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan

praktik-praktik aktivitas yang ada dalam ISO 27001.

Dasar pemetaan antara proses yang ada dalam akuntansi penerimaan keuangan

dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan

sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah

hasil pemetaan proses pada prosedur akuntansi penerimaan keuangan di

pemerintah daerah.

Tabel 5.10 menunjukkan pemetaan proses akuntansi penerimaan keuangan

pemerintah daerah dengan praktik-praktik pengendalian dari aktivitas ISO 27001

yang dibutuhkan untuk setiap proses yang ada.

Praktik –praktik ini akan dijadikan acuan dalam perancangan model kerangka

kerja dan alat bantu penilaian risiko keamanan informasi pada proses akuntansi


Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan


P.b.1 Pencatatan penerimaan di

Kas Umum Daerah

A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2,

A.9.1.3, A.9.2.1, A.10.2.1, A.10.3.1, A.10.3.2,

A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2,

A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,

A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2,

A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2,

A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,

A.12.5.2, A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,

A.13.2.3, A.15.1.2, A.15.1.4. , A.15.1.5


64



P.b.2 Penetapan retribusi daerah A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3,

A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1,

A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5,

A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4,

A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3,

A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,

A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,

A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1,

A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1,

A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2,

A.15.1.4, A.15.1.5, A.15.3.1

P.b.3 Penetapan Pajak Daerah A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3,

A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1,

A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5,

A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4,

A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3,

A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,

A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,

A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1,

A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1,

A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2,

A.15.1.4, A.15.1.5, A.15.3.1

P.b.4 Pencatatan penerimaan di

Bendahara penerimaan

A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1,

A.10.3.1, A.10.3.2, A.10.5.1, A.10.10.1, A.10.10.2,

A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,

A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2,

A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2,

A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,

A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,

A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5

P.b.5 Pencatatan penerimaan

oleh PPK-SKPD

A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1,

A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1,

A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2, A.15.1.2,

A.15.1.4, A.15.1.5

5.3.3 Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan

Aktivitas ISO 27001

Pemetaan prosedur akuntansi pengeluaran keuangan dengan aktivitas ISO 27001

yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan

praktik-praktik aktivitas yang ada dalam ISO 27001.

Dasar pemetaan antara proses yang ada dalam akuntansi pengeluaran keuangan

dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan

sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah


65


hasil pemetaan proses pada prosedur akuntansi pengeluaran keuangan di

pemerintah daerah.

Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan


P.c.1 Permintaan

pembayaran oleh

bendahara

A.5.1.1, A.5.2.1, A.6.1.6, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,

A.9.1.2, A.9.2.1, A.10.3.1, , A.11.2.4A.10.3.2, A.10.5.1,

A.11.1.1, A.11.2.1, A.11.2.3, A.11.3.1, A.11.3.2, A.11.3.3,

A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,

A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2,

A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1,

A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5

P.c.2 Penerbitan

Surat Perintah

Pencairan Dana

(SP2D) atas

beban

pengeluaran DPA

SKPD

A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,

A.9.1.2, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1,

A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5,

A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,

A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3,

A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1,

A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2,

A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5,

A.15.3.1

P.c.3 Pencairkan uang

pada bank yang

ditunjuk

berdasarkan

SPM LS

A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,

A.9.1.2, A.9.2.1, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2,

A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.2, A.11.2.3,

A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4,

A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1,

A.11.6.2, A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2, A.12.4.1,

A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,

A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1

P.c.4 Pencatatan

pengeluaran oleh

Bendahara

A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3,

A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1,

A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,

A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3,

A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,

A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2,

A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1,

A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5

P.c.5 Pencatatan

pengeluaran oleh

Kas Umum

Daerah

A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3,

A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1,

A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,

A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,

A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5,

A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1,

A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2,

A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5

P.c.6 Pencatatan

pengeluaran oleh

PPK-SKPD

A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.2.1, A.10.3.1, A.10.3.2,

A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1,

A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2,

A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5


66


5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001

Pemetaan prosedur akuntansi aset pada pengeloaan keuangan dengan aktivitas

ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur

dengan praktik-praktik aktivitas yang ada dalam ISO 27001.

Dasar pemetaan antara proses yang ada dalam akuntansi aset dengan aktivitas ISO

27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian

dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil pemetaan proses

pada prosedur akuntansi aset di pemerintah daerah.

Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset


P.d.1 Pencatatan

penambahan aset di

bendahara barang

A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1, A.7.1.2, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,

A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2,

A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3,

A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3,

A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4,

A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1,

A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,

A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5

P.d.2 Pencatatan

penghapusan aset di

bendahara barang

A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,

A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.5.1, A.10.8.1,

A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5,

A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,

A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3,

A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1,

A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2, A.13.2.1, A.15.1.2,

A.15.1.4, A.15.1.5

P.d.3 Pencatatan

penambahan/pengura

ngan aset oleh PPK-

SKPD

A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2,

A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,

A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2,

A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1,

A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2,

A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5


67


5.4 Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan

Informasi

5.4.1 Rancangan awal Program Audit

Penyusunan rancangan awal program audit untuk menilai risiko keamanan

informasi pengelolaan keuangan pemerintah daerah dilakukan dengan

mengelompokkan 29 aktivitas pengendalian yang terpilih sebelumnya menjadi

ruang lingkup audit. Hal ini sesuai dengan SPKN yang menyatakan bahwa ruang

lingkup audit adalah batasan permasalahan yang sama dengan pelaksanaan audit.

Oleh karena itu, dilakukan pengelompokan aktivitas pengendalian yang sama

untuk menentukan ruang lingkup audit. Pengelompokan didasarkan persamaaan

sasaran pada penjelasan masing-masing aktivitas di ISO 27001. Pengelompokan

29 aktivitas pengendalian dari ISO 27001 akan menjadi ruang lingkup audit,

seperti pada gambar berikut ini

Kode Aktivitas

Pengendalian Proses Kode R.Lingkup Kode R.Lingkup Ruang Lingkup

A.5.1 Mendokumentasikan Information Security Policy R.1 R.1 Review Tata Kelola Keamanan informasi

A.5.2 Kajian Information Security Policy R.1 R.2 Review Pengelolaan Risiko Keamanan informasi

A.6.1 Organisasi internal R.1 R.3 Review Kerangka Kerja Keamanan Informasi

A.6.2 Organisasi eksternal R.1 R.4 Review Pengelolaan Aset Informasi

A.7.1 Tanggung jawab terhadap asset R.2 R.5 Review Teknologi dan Keamanan Informasi

A.7.2 Klasifikasi informasi R.2

A.8.2 Selama bekerja R.4

A.8.3 Pengakhiran atau perubahan pekerjaan R.4

A.9.1 Area yang aman R.4

A.9.2 Keamanan Peralatan R.4

A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga R.3

A.10.3 Perencanaan dan Keberterimaan Sistem R.3

A.10.5 Back-up R.3

A.10.8 Pertukaran informasi R.3

Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit


68


Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit (2)

Gambar 5.2 dan Gambar 5.3 menunjukkan pemetaan tiap aktivitas pengendalian

yang telah terpilih ke dalam ruang lingkup yang telah diidentifikasi. Pemetaan

ruang lingkup berdasarkan sasaran yang ada dalam aktivitas pengendalian di ISO

27001 kemudian dijabarkan dalam langkah audit yang berasal dari penjabaran

praktik-praktik aktivitas yang ada dalam ISO 27001. Hasil pemetaan ruang

lingkup dan penyusunan langkah audit adalah sebagai berikut:

1. Tata Kelola keamanan informasi berisi aktivitas pendokumentasian

information security policy (A.5.1), Kajian information security policy (A.5.2),

Organisasi internal (A.6.1), organisasi eksternal (A.6.2). proses A.5.1

merupakan proses dengan sasaran memberikan arahan manajemen dan

dukungan untuk kemananan informasi menurut persyaratan bisnis dan hukum

serta regulasi yang relevan. Proses A.52 memiliki sasaran untuk mengkaji

secara interval yang terencana atau jika terjadi perubahan yang signifikan

untuk memastikan kesesuaian, kecukupan, dan keefektifan yang berkelanjutan.


69


Proses A.6.1 bertujuan untuk mengelola keamanan informasi dalam organisasi

sedangkan proses A.6.2 bertujuan untuk memeliharan informasi organisasi dan

fasilitas pengolsh informasi yang diakses, diolah, dikomunikasikan kepada atau

dikelola oleh pihak eksternal.

Hasil penjabaran sasaran diatas berkaitan dengan ruang lingkup tata kelola

keamanan informasi keuangan yang memiliki tujuan untuk pengevaluasian

kesiapan bentuk tata kelola keamanan informasi beserta fungsi selain itu tugas

dan tanggung jawab pengelola keamanan informasi keuangan.

Penentuan aktivitas yang dapat diterapkan dalam masing-masing praktik pada

proses A.5.1 adalah praktik penetapan kebijakan keamanan informasi

pengelolaaan keuangan daerah yang mendukung tiga langkah audit yaitu

komitmen pimpinan dalam pelaksanaan dan penetapan kebijakan keamanan

informasi pengelolaan keuangan, identifikasi hukum yang terkait pengelolaan

keamanan informasi keuangan di daerah dan kebijakan terkait pelanggaran

hukum yang dilakukan oleh pihak tertentu dalam proses pengelolaan keuangan.

Penentuan aktivitas yang dapat diterapkan dalam proses A.5.2 adalah praktik

pengkajian kebijakan terkait keamanan informasi dalam proses pengelolaan

keuangan daerah yang mendukung satu langkah audit yaitu review dokumen

hasil pengkajian kebijakan keamanan informasi pengelolaan keuangan daerah,

misal Inspektorat atau BPKP.

Penentuan aktivitas yang dapat diterapkan dalam proses A.6.1 adalah sebagai

berikut:

a. Praktik alokasi tanggung jawab keamanan informasi yang mendukung dua

langkah audit yaitu identifikasi fungsi atau bagian yang mempunyai tugas

untuk mengelola keamanan informasi keuangan daerah meliputi menjaga

kepatuhan dari kebijakan yang ada dan review pelaksanaan kepatuhan

program keamanan informasi keuangan.

b. Praktik koordinasi keamanan informasi yang berisi kegiatan keamanan

informasi keuangan harus dikoordinasikan oleh wakil-wakil dari bagian


70


organisasi yang sesuai dengan peran dan fungsi kerjanya masing-masing.

Praktik ini mendukung satu langkah audit identifikasi fungsi atau bagian

yang mempunyai tugas untuk mengelola keamanan informasi keuangan

daerah meliputi menjaga kepatuhan dari kebijakan yang ada.

c. Praktik komitmen manajemen terhadap keamanan informasi yang

mendukung dua langkah audit komitmen nyata penugasan eksplisit dalam

menerapkan kepatuhan program keamanan informasi dan penerapan

program khusus untuk kepatuhan keamanan informasi, misal sosialisasi

kebijakan keamanan informasi keuangan.

d. Praktik kontak dengan pihak berwenang dan kontak dengan kelompok

khusus adalah kontak dengan pihak berwenang yang relevan harus

dipelihara. Praktik ini mendukung satu langkah audit koordinasi antara

pengelola keamanan informasi dengan SDM, legal/hukum dan keuangan

sebagai punisment jika terjadi pelanggaran.

Aktivitas A.6.2 memiliki praktik-praktik yang ada dalam ISO 27001 yakni

penekanan keamanan perjanjian dengan pihak ketiga yang meliputi perjanjian

dengan pihak ketiga meliputi pengaksesan, pengolahan, pengkomunikasian

atau pengelolaan informasi keuangan oleh pihak eksternal. Praktik ini

mencakup satu langkah audit tentang koordinasi dengan pihak eksternal dalam

pengelolaan keuangan.

2. Pengelolaan risiko keamanan informasi berisi aktivitas tanggung jawab

terhadap aset (A.7.1) dan klasifikasi informasi (A.7.2). Proses A.7.1 memiliki

sasaran untuk mencapai dan memelihara perlindungan yang sesuai terhadap

aset organisasi sedangkan dalam proses A.7.2 memiliki sasaran untuk

memastikan bahwa informasi menerima tingkat perlindungan yang tepat.

Hasil pejabaran sasaran diatas sesuai dengan tujuan dari ruang lingkup

pengelolaan risiko keamanan informasi yaitu evaluasi kesiapan pengelolaan

risiko keamanan informasi sebagai dasar penerapan strategi keamanan

informasi terkait pengelolaan keuangan daerah.


71


Penentuan aktivitas A.7.1 memiliki praktik-praktik yang dapat diadopsi dari

ISO 27001 yakni

a. Praktik inventaris aset adalah semua aset harus diidentifikasi dengan jelas

dan inventaris dari semua aset penting dicatat dan dipelihara. Praktik

mencakup satu langkah audit yaitu pendefinisian atau penginventarisasi aset

yang berkaitan dengan pengelolaan keuangan baik aset data keuangan, aset

aplikasi keuangan dan aset staf pengolah data keuangan.

b. Praktik kepemilikan aset adalah semua informasi dan aset yang terkait

dengan fasilitas pengolahan data keuangan harus dimiliki oleh bagian dari

organisasi yang ditunjuk dalam hal ini setiap bagian keuangan yang ada

disetiap SKPD. Praktik ini mencakup satu langkah audit yakni definisi

kepemilikan dari aset yang terkait fasilitas pengolah data keuangan.

c. Praktik penggunaan aset yang dapat diterima adalah aturan untuk

penggunaan informasi dan aset yang ada dalam fasilitas pengolah informasi

keuangan di organisasi yakni dari dalam aplikasi keuangan atau aplikasi

lainnya. Praktik ini mencakup satu langkah audit yakni identifikasi lokasi

dan fasilitas pengolah informasi keuangan/aplikasi keuangan.

Sedangkan aktivitas A.7.2 memiliki praktik yang dapat diterapkan dalam

penilaian risiko keamanan informasi pengelolaan keuangan daerah yakni:

a. Praktik pedoman klasifikasi yaitu informasi keuangan harus diklasifikasikan

sesuai dengan tingkat kesensivitasnya dalam pelaporan keuangan

pemerintah daerah. Praktik ini terdiri dari dua langkah audit identifikasi

pedoman klasifikasi informasi keuangan berdasarkan tingkat kepentingan

dalam laporan keuangan daerah yakni berupa program kerja dan kerangka

kerja pengelolaan risiko keamanan informasi keuangan.

b. Praktik pelabelan dan penanganan informasi yakni sekumpulan prosedur

yang memadai untuk menangani permasalahan pada aset informasi

keuangan berdasarkan tingkat kritisnya pada proses pelaporan keuangan

pemerintah daerah. Langkah audit yang tercakup dalam praktik ini ada dua


72


macam yaitu mitigasi masalah/risiko pada aset informasi yang terkait proses

pelaporan keuangan dan evaluasi mitigasi yang dilakukan terhadap risiko

yang dihadapi oleh aset informasi keuangan tersebut.

3. Kerangka kerja keamanan informasi berisi aktivitas manajemen pelayanan jasa

pihak ketiga (A.10.2), perencanaan dan keberterimaan sistem (A.10.3), backup

(A.10.5), pertukaran informasi (A.10.8), pemantauan (A.10.10), pelaporan

kejadian dan kelemahan keamanan informasi (A.13.1) dan manajemen insiden

keamanan informasi dan perbaikan (A.13.2). setiap aktivitas memiliki sasaran

yang ada dalam ISO 27001 yakni sasaran A.10.2 untuk menerapkan dan

memelihara tingkat keamanan informasi keuangan dan pelayanan jasa yang

sesuai dengan perjanjian pelayanan jasa pihak ketiga terkait pengelolaan

keuangan daerah, aktivitas A.10.3 memiliki sasaran untuk mengurangi risiko

kegagalan sistem pengelolaan keuangan, aktivitas A.10.5 untuk memelihara

integritas dan ketersediaan informasi dan fasilitas pengolah informasi keuangan

daerah, aktivitas A.10.8 untuk memelihara keamanan informasi dan perangkat

lunak pengolah informasi keuangan yang dipertukarkan dengan organisai lain,

aktivitas A.10.10 untuk mendeteksi kegiatan pengolahan informasi keuangan

yang tidak sah sedangkan aktivitas A.13.1 untuk memastikan kejadian dan

kelemahan keamanan informasi terkait sistem informasi pengolah keuangan

daerah dikomunikasikan sehingga memungkinkan tindakan koreksi dilakukan

tepat waktu yang mana tidak akan berdampak pada hasil laporan keuangan

pemerintah. Aktivitas A.13.2 untuk memastikan pendekatan yang konsisten

dan efektif untuk manajemen insiden keamanan informasi keuangan.

Berdasarkan penjabaran sasaran setiap aktivitas maka dapat ditentukan tujuan

dari ruang lingkup kerangka kerja keamanan informasi adalah melakukan

evaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan prosedur)

pengelolaan keamanan informasi sehingga sesuai dengan peraturan terkait

sistem pengelolaan keuangan daerah.


73


Aktivitas A.10.2 memiliki praktik pelayanan jasa yang mencakup

pengkomunikasian keamanan informasi kepada pihak ketiga terkait

pengelolaan keuangan daerah. Langkah audit yang tercakup dalam praktik ini

adalah identifikasi prosedur terkait pengelolaan keamanan informasi yang

mencakup pengkomunikasian perubahan dan pemantauan kepada pihak ketiga

terkait pengelolaan keuangan daerah.

Aktivitas A.10.3 memiliki dua praktik yang dapat dijadikan langkah audit

untuk menilai risiko keamanan informasi keuangan yakni:

a. Praktik manajemen kapasitas berisi penggunaan sumber daya harus

dipantau, disesuaikan dan diproyeksikan untuk memenuhi kinerja sistem

pengelolaan keuangan daerah. Praktik ini mencakup satu langkah audit yaitu

review strategi penggunaan teknologi informasi untuk pengolahan informasi

keuangan.

b. Praktik keberterimaan sistem berisi sistem yang baru atau hasil upgrade

harus dilakukan pengujian sistem sehingga tidak mempengaruhi pelaporan

keuangan pemerintah daerah. Praktik ini mencakup dua langkah audit yaitu

proses evaluasi dari risiko yang mungkin timbul dari pengembangan sistem

pengelolaan keuangan baru sehingga berdampak bagi laporan keuangan

serta penerapan sistem yang ada sudah sesuai dengan kebijakan terkait

pelaksanaan pelaporan keuangan pemerintah.

Aktivitas A.10.5 memiliki praktik backup informasi yang berisi pengelolaan

backup informasi keuangan daerah. Praktik ini mencakup tiga langkah audit

yakni kebijakan backup, proses evaluasi proses backup data keuangan dan

proses pelabelan media penyimpanan informasi keuangan.

Aktivitas A.10.8 memiliki dua praktik yang dapat diterapkan dalam penilaian

risiko keamanan informasi pengelolaan keuangan. Praktik tersebut adalah

a. Praktik mengenai kebijakan dan prosedur pertukaran informasi, praktik ini

memiliki tujuan kebijakan atau prosedur harus tersedia untuk melindungi

segala jenis pertukaran informasi keuangan dengan menggunakan segala


74


jenis fasilitas komunikasi. Praktik ini mencakup satu langkah audit

mengenai identifikasi kebijakan yang mengatur pendistribusian informasi

keuangan.

b. Praktik sistem informasi bisnis, praktik ini memiliki tujuan mengenai

kebijakan dan mekanisme yang melindungi informasi keuangan yang

berhubungan dengan interkoneksi sistem informasi yang berhubungan

dengan pelaporan keuangan sehingga praktik ini mencakup satu langkah

audit yakni review kebijakan yang mengatur interkoneksi sistem informasi

pelaporan keuangan dengan organisasi lain.

Aktivitas A.10.10 memiliki lima praktik yang diterapkan dalam penilaian

risiko keamanan informasi keuangan, yakni:

a. Praktik log audit, praktik ini merekam kegiatan pengguna yang berkaitan

dengan pengolahan informasi keuangan sehingga pengelola keamanan

informasi dapat melakukan pemantauan dan pengendalian akses terhadap

aset informasi keuangan. Praktik ini mencakup satu langkah audit yaitu

review pendeteksian kegiatan pengolahan informasi keuangan yang tidak

sah melalui log audit.

b. Praktik log administrator dan operator berisi pencatatan kegiatan

administartor sistem keuangan dalam log. Praktik ini mencakup satu

langkah audit yakni review pendeteksian kegiatan pengolahan informasi

keuangan yang tidak sah melalui log administrator dan operator.

c. Praktik log atas kesalahan yang terjadi (fault logging) berisi pencatatan

kesalahan dalam pengoperasian sistem informasi pengelolaan keuangan

sehingga dapat segera dianalisa dan diambil tindakan dan tidak

menimbulkan masalah pada laporan keuangan. Praktik ini mencakup satu

langkah audit yakni review pendeteksian kegiatan pengolahan informasi

keuangan yang tidak sah melalui log atas kesalahan yang terjadi (fault

logging).


75


d. Praktik pemantauan penggunaan sistem yang berisi pengendalian berupa

prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi

keuangan. Praktik ini mencakup satu langkah audit yakni review prosedur

pemantauan penggunaan sistem pengelolaan keuangan secara berkala.

e. Praktik perlindungan informasi log berisi pengendalian perlindungan

fasilitas log dan informasi log atas penggunaan fasilitas pengelolaan

keuangan. Praktik ini mencakup satu langkah audit yakni review

perlindungan yang dilakukan organisasi terhadap fasilitas log dari akses

sistem pengelolaan keuangan.

Aktivitas A.13.1 berisi dua praktik yakni pelaporan kejadian keamanan

informasi dan pelaporan kelemahan keamananan. Kedua praktik berisi

pelaporan kejadian kelemahan yang berhubungan dengan keamanan informasi

keuangan harus segera disampaikan dengan cepat oleh semua pegawai, pihak

ketiga sebagai pengguna fasilitas pengolah informasi keuangan kepada

manajemen yang tepat. Dua praktik ini mencakup satu langkah audit yakni

review aspek keamanan informasi keuangan yang mencakup pelaporan insiden

dari penggunaan sistem pengelolaan keuangan daerah.

Aktivitas A.13.2 berisi tiga praktik yang dapat diterapkan dalam penilaian

risiko keamanan informasi keuangan, yakni:

a. Praktik tanggung jawab dan prosedur berisi tanggung jawab manajemen

untuk memastikan tanggapan yang cepat terhadap insiden keamanan

informasi pada fasilitas pengolah keuangan. Praktik ini mencakup satu

langkah audit review alokasi tanggung jawab untuk memonitor

penanggulangan insiden keamanan fasilitas pengolah keuangan.

b. Praktik pembelajaran dan insiden keamanan informasi berisi mekanisme

yang memungkinkan organisasi mengukur dan memantau insiden keamanan

pada fasilitas pengolah keuangan. Praktik ini mencakup dua langkah audit

yakni review program peningkatan keamanan informasi untuk mengatasi

insisden yang telah terjadi sebelumnya pada sistem informasi keuangan dan


76


review program tersebut sudah direview secara berkala untuk melihat

keefektifan penerapan program dalam entitas.

c. Praktik pengumpulan bukti berisi tindak lanjut terhadap orang atau

organisasi yang terkait dengan kejadian insiden keamanan informasi dari

fasilitas pengolah data keuangan. Praktik ini mencakup satu langkah audit

yakni review konsekuensi dari pelanggaran keamanan informasi

berdasarkan dengan bukti yang didapat.

4. Pengelolaan aset informasi berisi aktivitas area yang aman (A.9.1), keamanan

peralatan (A.9.2), persyaratan bisnis untuk pengendalian akses (A.11.1),

manajemen akses pengguna (A.11.2), tanggung jawab pengguna (A.11.3),

pengendalian akses jaringan (A.11.4), pengendalian akses sistem operasi

(A.11.5), pengendalian akses aplikasi dan informasi (A.11.6), aktivitas

kesesuaian dengan persyaratan hukum (A.15.1) dan pertimbangan audit sistem

informasi (A.15.3).

Setiap aktivitas memiliki sasaran yang dapat dijadikan dasar dalam pemetaan

ruang lingkup yang sama yakni:

a. Aktivitas A.8.2 memiliki sasaran untuk memastikan bahwa semua pegawai,

kontraktor sebagai pengguna dan pengolah data keuangan mendukung

kebijakan keamanan informasi selama bekerja di organisasi.

b. Aktivitas A.8.3 memiliki sasaran untuk memastikan bahwa semua pegawai,

kontraktor sebagai pengguna dan pengolah data keuangan yang terjadi

perubahan atau pengakhiran pekerjaan terkait pengolahan data keuangan

akan disesuaikan kembali.

c. Aktivitas A.9.1 memiliki sasaran pencegahan akses secara fisik oleh pihak

yang tidak berwenang, kerusakan dan interferensi terhadap lokasi dan

informasi organisasi sehingga menimbulkan risiko pada penyajian pelaporan

keuangan.


77


d. Aktivitas A.9.2 memiliki sasaran pencegahan kehilangan, kerusakan,

pencurian atau ganguan aset dan interupsi dalam kegiatan pengelolaan

keuangan di organisasi.

e. Aktivitas A.11.1 memiliki sasaran mengendalikan akses kepada informasi

keuangan.

f. Aktivitas A.11.2 memiliki sasaran untuk memastikan akses oleh pengguna

yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi

keuangan.

g. Aktivitas A.11.3 memiliki sasaran untuk mencegah akses pengguna yang

tidak sah dan gangguan atau pencurian atas informasi keuangan dan fasilitas

pengolah informasi laporan keuangan.

h. Aktivitas A.11.4 memiliki sasaran untuk mencegah akses yang tidak sah

dalam layanan jaringan yang digunakan dalam pengolahan data keuangan.

i. Aktivitas A.11.5 memiliki sasaran untuk mencegah akses yang tidak sah

dalam sistem operasi yang digunakan dalam pengolahan data keuangan.

j. Aktivitas A.11.6 memiliki sasaran untuk mencegah akses yang tidak sah

terhadap informasi dalam sistem aplikasi pengolahan data keuangan.

k. Aktivitas A.15.1 memiliki sasaran untuk mencegah pelanggaran terhadap

undang-undang dalam kaitannya dengan pengelolaan informasi keuangan.

l. Aktivitas A.15.3 memiliki sasaran untuk memaksimalkan keefektifan dari

proses audit sistem informasi pengelolaan keuangan.

Hasil penjabaran diatas akan dapat digabungkan dalam satu tujuan besar ruang

lingkup pengelolaan aset informasi yakni melakukan evaluasi tentang

kelengkapan pengamanan aset informasi keuangan.

Setiap aktivitas dijabarkan dalam langkah audit yang dapat dilakukan untuk

menilai keamanan informasi keuangan dari praktik-praktik yang ada dalam

aktivitas di ISO 27001.


78


Aktivitas A.8.2 memiliki dua praktik yang diterapkan dalam penilaian risiko

keamanan informasi keuangan, yakni:

a. Praktik tanggung jawab manajemen berisi manajemen harus mendefinisikan

kebijakan dan prosedur dalam proses keamanan informasi keuangan bagi

pengguna fasilitas pengolah data keuangan. Praktik ini mencakup satu

langkah audit yakni review pendefinisian tanggung jawab pengamanan

informasi keuangan.

b. Praktik proses pendisiplinan berisi tindakan atas pegawai yang melakukan

pelanggaran keamanan informasi keuangan. Praktik ini mencakup satu

langkah audit yakni review konsekuensi dari pelanggaran keamanan

informasi yang menyebabkan permasalahan pada pelaporan keuangan.

Aktivitas A.8.3 memiliki tiga praktik yang diterapkan dalam penilaian, yakni:

a. Praktik tanggung jawab pengakhiran pekerjaan berisi tanggung jawab yang

harus ditetapkan oleh organisasi saat proses penyelesaian dan pengakhiran

kegiatan pengolahan data keuangan dengan jelas. Praktik ini mencakup satu

langkah audit yakni pendefinisian tanggung jawab dari pengguna dan

pengolah informasi keuangan saat terjadi perubahan/pengakhiran pekerjaan.

b. Praktik pengembalian aset berisi pengembalian aset yang digunakan

mengolah data keuangan saat pekerjaan atau kontrak berakhir. Praktik ini

mencakup satu langkah audit yakni review pelaksanaan pengembalian aset

untuk pengolahan data keuangan saat pekerjaan atau kontrak terkait

pengelolaan informasi keuangan.

c. Praktik penghapusan hak akses berisi penghapusan hak akses semua

pegawai, kontraktor dan pengguna terhadap informasi keuangan dan

fasilitas pengolahan informasi keuangan ketika perjanjian atau kontrak

berakhir. Praktik ini mencakup satu langkah audit yakni review proses

penghapusan hak ases pegawai atau kontraktor terhadap fasilitas pengolah

keuangan dan informasi keuangan saat berakhir pekerjaan.


79


Aktivitas A.9.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko

yakni:

a. Praktik perimeter keamanan fisik memiliki pengendalian perlindungan area

yang berisi informasi terkait pengelolaan keuangan pemerintah daerah dan

fasilitas pengolahnya. Praktik ini mencakup satu langkah audit yaitu review

ketentuan pengamanan fisik terhadap aset informasi dan fasilitas pengolah

informasi keuangan pemerintah daerah.

b. Praktik pengendalian entri yang bersifat fisik mencakup satu langkah audit

yaitu review pengendalian fisik area penyimpanan fasilitas informasi berupa

pengendalian entri.

c. Praktik mengamankan kantor, ruangan dan fasilitas yang mencakup satu

langkah audit yaitu review pengamanan kantor, ruangan dan fasilitas

penyimpanan informasi dari ancaman eksternal.

Aktivitas A.9.2 berisi satu praktik yang akan diterapkan dalam penilaian risiko

yakni penempatan dan perlindungan peralatan. Praktik ini berisi perlindungan

peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan

sehingga mempegaruhi keakuratan data laporan keuangan. Praktik ini

mencakup satu langkah audit yakni cek tersediaanya peraturan yang berisi

pengamanan lokasi kerja penting dalam proses pengelolaan data keuangan.

Aktivitas A.11.1 berisi satu praktik yakni kebijakan pengendalian akses

terhadap informasi dan fasilitas pengelolaan keuangan. Praktik ini mencakup

satu langkah audit review dokumen kebijakan yang mengatur pengelolaan

akses dan otentikasi dan otorisasi untuk menggunakan aset informasi


Ativitas A.11.2 berisi empat praktik yang diterapkan untuk penilaian risiko

keamanan informasi keuangan di pemerintah, yakni:

a. Praktik pendaftaran pengguna, praktik manajemen hak khusus dan

manajemen password pengguna. Ketiga praktik ini mencakup satu langkah


80


audit yaitu review inventarisasi akses yang berisi password, hak akses

khusus.

b. Praktik tinjauan terhadap hak akses pengguna berisi tinjauan oleh

manajemen terhadap akses pengguna pada fasilitas pengolah data keuangan

secara regular. Praktik ini berisi satu langkah audit yaitu review prosedur

yang mengatur user access review yang dilakukan oleh manajemen terkait

hak akses pengguna informasi dan pengolah data keuangan.

Aktivitas A.11.3 berisi tiga praktik yang diambil dari ISO 27001 yakni

penggunaan password, peralatan yang ditinggalkan oleh penggunanya dan

kebijakan clear desk dan clear screen. Ketiga praktik ini mencakup satu

langkah audit yang dapat diterapkan dalam penilaian risiko keamanan

informasi yakni review ketetapan pendefinisian tanggung jawab pengamanan

informasi secara individu sebagai pengolah data keuangan meliputi ketentuan

pemilihan password tiap pengguna, sistem clear desk dan clear screen serta

keamanan peralatan yang ditinggalkan oleh pengguna.

Aktivitas A.11.4 berisi dua praktik yang diterapkan dalam penilaian risiko

keamanan informasi di pemerintah daerah, yakni

a. Praktik kebijakan penggunaan layanan jaringan berisi kebijakan terkait

pemberian akses terhadap layanan jaringan yang digunakan untuk

pengelolaan data keuangan kepada pengguna yang berwenang. Praktik ini

berisi satu langkah audit yakni review kebijakn atau prosedur penggunaan

layangan jaringan untuk mengolah data keuangan.

b. Praktik perlindungan terhadap remote diagnostic dan confuguration port

berisi pengendalian akses secara fisik dan logical terhadap diagnostic dan

confuguration port. Praktik ini mencakup satu langkah audit yaitu cek

pengendalian secara teknis pada aset jaringan sebagai fasilitas pengolah data

keuangan.


81


Aktivitas A.11.5 berisi lima praktik dalam ISO 27001 yang diadopsi untuk

penilaian risiko keamanan informasi dalam kaitannya dengan risiko

pemeriksaan laporan keuangan yaitu:

a. Praktik prosedur log on yang aman berisi akses ke dalam sistem operasi

dalam proses pengelolaan keuangan harus dikendalikan dengan prosedur log

on yang aman. Praktik ini mencakup satu langkah audit yakni review

pengendalian yang dilakukan oleh organisasi berupa prosedur log on dalam


b. Praktik sesi time-out berisi pengendalian berupa sesi yang tidak aktif dalam

jangka waktu tertentu harus mati pada sistem operasi yang digunakan untuk

pengolahan data keuangan. Praktik ini mencakup satu langkah audit yakni

review pengendalian yang dilakukan oleh organisasi berupa sesi time-out

pada sistem operasi yang digunakan untuk pengolahan data keuangan.

c. Praktik penggunaan system utilities berupa pengendalian dengan

penggunaan utility yang mampu membatasi sistem dan aplikasi dalam

sistem operasi untuk pengolahan data keuangan. Praktik ini mencakup satu

langkah audit yakni review pengendalian yang dilakukan oleh organisasi

berupa system utilities pada sistem operasi yang digunakan untuk

pengolahan data keuangan.

d. Praktik sistem manajemen password berupa pengendalian dengan

penggunaan password dengan memperhatikan kualitas password. Praktik ini

mencakup satu langkah audit yakni review pengendalian yang dilakukan

oleh organisasi berupa manajemen password pada sistem operasi yang

digunakan untuk pengolahan data keuangan.

e. Praktik identifikasi dan otentikasi pengguna pengendalian dengan

menggunakan otentikasi pengguna pada sistem operasi yang digunakan

pada pengolahan data keuangan. Praktik ini mencakup review kebijakan

atau prosedur yang mengatur otentikasi pada sistem operasi.


82


Aktivitas A.11.6 berisi dua praktik yang digunakan dalam penilaian risiko

yaitu:

a. Praktik pembatasan akses informasi mencakup satu langkah audit yakni

prosedur yang mengatur pembatasan akses terhadap informasi pengelolaan

keuangan.

b. Praktik isolasi sistem yang sensitif berisi pengendalian sistem atau aplikasi

pengelolaan keuangan yang sensitif atau memiliki peran yang besar dalam

pelaporan keuangan pemerintah diletakkan pada lingkungan komputasi yang

diisolasi. Praktik ini mencakup satu langkah audit yakni review

pengendalian secara teknis terhadap aplikasi yang mempunyai peran penting

pada proses pelaporan keuangan berupa peletakan sistem pada lingkungan

yang diisolasi.

Aktivitas A.15.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko

yakni:

a. Praktik Hak Kekayaan Intelektual (HAKI) mencakup satu langkah audit

yakni review tata tertib pengamanan penggunaan aset terkait pengolahan

data keuangan terkait HAKI.

b. Praktik perlindungan data dan rahasia informasi pribadi berisi prosedur yang

mengatur perlindungan data dan informasi pribadi pada saat proses


c. Praktik pencegahan penyalahgunaan fasilitas pengolah informasi mencakup

satu langkah audit yakni review tata tertib yang berkaitan dengan

penggunaan fasilitas pengolah informasi seperti email, internet dan intranet

yang digunkan oleh pengelola keuangan pemerintah daerah.

Aktivitas A.15.3 berisi praktik pengendalian audit sistem informasi berisi

pengamanan lokasi kerja, fasilitas informasi dan aset informasi terkait

pengelolaan keuangan daerah dari pelaksanaan audit sistem informasi sehingga

tidak akan mempengaruhi hasil laporan keuangan.


83


5. Teknologi dan keamanan informasi berisi aktivitas pengolahan data yang benar

dalam aplikasi (A.12.2), pengendalian dengan cara kriptografi (A.12.3),

keamanan system files (A.12.4) dan keamanan dalam proses pengembangan

dan pendukung (A.12.5).

Setiap aktivitas memiliki sasaran yang dapat diadopsi dari ISO 27001 yaitu:

a. Aktivitas A.12.2 untuk mencegah kesalahan, kehilangan, modifikasi yang

tidak sah atau penyalahgunaan informasi dalam aplikasi pengelolaan


b. Aktivitas A.12.3 untuk melindungi kerahasiaan, keaslian atau integritas

informasi dengan cara kriptografi.

c. Aktivitas A.12.4 untuk memastikan keamanan system files pada aplikasi

pengelolaan keuangan pemerintah daerah

d. Aktivitas A.12.5 untuk memelihara keamanan perangkat lunak, sistem

aplikasi dan informasi pengelolaan keuangan pemerintah daerah.

Hasil penjabaran diatas dapat dipetakan dalam ruang lingkup teknologi dan

keamanan informasi yang memiliki tujuan untuk mengevaluasi kelengkapan,

konsistensi dan keefektivitas penggunaan teknologi dalam pengamanan aset

informasi.

Setiap aktivitas dapat dijabarkan dalam praktik-praktik yang mencakup

langkah audit untuk penilaian risiko keamanan informasi.

Praktik pada aktivitas dalam ruang lingkup teknologi dan keamanan informasi

yang dijadikan langkah audit yaitu aktivitas A.12.2.

Aktivitas A.12.2 berisi tiga praktik yang diterapkan dalam langkah audit yakni

a. Praktik validasi data masukan berisi pengendalian terhadap masukan data ke

dalam aplikasi pengolah data keuangan telah divalidasi sehingga tidak

mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu

langkah audit yaitu review log yang berisi data masukan pada aplikasi


84


pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada

laporan keuangan.

b. Praktik pengendalian pengolahan internal mencakup satu langkah audit

yakni review akses yang tidak berhak dalam log.

c. Praktik validasi data keluaran berisi pengendalian terhadap keluaran data

dari aplikasi pengolah data keuangan telah divalidasi sehingga tidak

mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu

langkah audit yaitu review log yang berisi data keluaran pada aplikasi

pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada

laporan keuangan.

Aktivitas A.12.3 berisi dua praktik yang akan diadopsi untuk perancangan

langkah audit yaitu:

a. Praktik kebijakan tentang penggunaan pengendalian kriptografi memiliki

pengendalian kebijakan tentang penggunaan kriptografi untuk melindungi

informasi keuangan. Praktik ini mencakup dua langkah audit yaitu review

standar penggunaan dan penerapan enkripsi untuk melindungi aset

informasi pengelolaan keuangan.

b. Praktik manajemen kunci memiliki pengendalian yakni penerapan

manajemen kunci untuk mendukung teknik kriptografi di organisasi. Praktik

ini mencakup satu langkah audit yaitu review penerapan pengamanan untuk

mengelola kunci enkripsi yang digunakan oleh organisasi.

Ada dua praktik yang akan digunakan untuk perancangan program audit pada

aktivitas A.12.4 yaitu praktik perlindungan data uji sistem dan pengendalian

akses terhadap kode sumber program. Dua praktik ini akan dijadikan satu

langkah audit yakni review penerapan pengamanan system files berupa

perlindungan data uji sistem dan pembatasan akses ke kode sumber sistem

informasi keuangan.


85


Satu praktik pada aktivitas A.12.5 yang akan digunakan dalam penilaian risiko

keamanan informasi pengelolaan keuangan pemerintah daerah yakni praktik

tinjauan teknis dari aplikasi pengelolaan keuangan setelah perubahan aset

informasi yang terhubung dengan aplikasi tersebut. Praktik ini akan mencakup

satu langkah audit yaitu review pengamanan saat pengembangan pendukung

atau aset informasi yang terhubung dengan aplikasi pengelolaan keuangan.

5.4.2 Hasil Perancangan Program Audit

Perancangan program audit disusun berdasarkan aktivitas-aktivitas yang telah

terpilih dari proses wawancara kemudian aktivitas yang memiliki sasaran yang

sama akan dikelompokkan dalam ruang lingkup yang sama.

Program audit digunakan dalam pelaksanaan penilaian risiko keamanan informasi

melalui audit teknologi informasi. Audit teknologi informasi ini terdiri dari tahap

perencanaan, tahap pelaksanaan dan tahap penyelesaian atau pelaporan.

Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk

semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah

pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang

dibawah ini.

a. Langkah Audit Tahap Perencanaan

Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan

audit teknologi informasi dalam penilaian risiko keamanan informasi pengelolaan

keuangan di pemerintah daerah. Tahapan yang dilakukan yakni:

1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem

pengelolaan keuangan pemerintah daerah oleh auditor lain. Review ini

dilakukan atas organisasi yang akan dilakukan pemeriksaan.

2. Menentukan ruang lingkup audit berdasarkan hasil review.

3. Membuat program audit yang rinci dan tepat.

4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit.


86


5. Menentukan jadwal dan anggaran untuk melakukan audit.

6. Menyiapkan penugasan dalam bentuk surat tugas.

7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk

menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi

untuk menyiapkan dokumen awal sebagai bahan untuk audit.

Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya

pada tahap pelaksanaan.

b. Langkah Audit Tahap Pelaksanaan

Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup

yang akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil

review dari pemeriksaan penilaian risiko keamanan informasi sebelumnya.

Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor

yakni dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat

proses secara langsung.

Langkah audit dari lima ruang lingkup pemeriksaan adalah sebagai berikut:

a. Ruang Lingkup Audit : (R.1) Review tata kelola keamanan informasi

1) Tujuan Audit

Mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta

fungsi selain itu serta tugas dan tanggung jawab pengelola keamanan

informasi terkait prosedur akuntansi sistem pengelolaan keuangan.

2) Langkah Audit

No Deskripsi langkah audit

1. Dapatkan dokumen yang terkait kebijakan keamanan informasi pengelolaan

keuangan dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan aset dan

lakukan analisa dokumen apakah organisasi telah mengidentifikasi: (sumber:

A.5.1)

a. Pimpinan Instansi organisasi secara prinsip dan resmi bertanggungjawab


87



terhadap pelaksanaan program keamanan informasi pengelolaan keuangan,

termasuk penetapan kebijakan terkait? (sumber: A.5.1.1)

b. Identifikasi legislasi dan perangkat hukum lainnya terkait keamanan

informasi keuangan yang harus dipatuhi dan menganalisa tingkat

kepatuhannya, misal PP Nomor 60 Tahun 2008 tentang SPIP? (Sumber:

A.5.1.1)

c. kebijakan dan langkah penanggulangan insiden keamanan informasi dalam

pengelolaan keuangan yang menyangkut pelanggaran hukum? (Sumber:

A.5.1.1)

2. Review apakah dokumen yang terkait kebijakan keamanan informasi

pengelolaan keuangan daerah dari sisi anggaran, pengeluaran, penerimaan dan

pengelolaan asetnya telah dikaji oleh unit lain yang berwenang secara berkala,

misal Inspektorat, BPKP? (sumber: A.5.2.1)

3. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan

informasi dalam entitas (sumber: A.6.1)

a. Apakah entitas memiliki fungsi atau bagian yang secara spesifik mempunyai

tugas dan tanggungjawab mengelola keamanan informasi pengelolaan

keuangan terkait pencatatan penerimaan dan pengeluaran oleh bendahara dan

Kas Umum Daerah dan menjaga kepatuhannya? (Sumber:A.6.1.3)

b. Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai

wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program

keamanan informasi pengelolaan keuangan? (Sumber:A.6.1.1)

c. Apakah penanggungjawab pelaksanaan pengamanan informasi keuangan

diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin

kepatuhan program keamanan informasi pengelolaan keuangan, misal

dukungan fisik berupa access log view sistem keuangan? (Sumber:A.6.1.1)

d. Apakah entitas sudah menerapkan program sosialisasi dan peningkatan

pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya

bagi semua pihak yang terkait? (Sumber:A.6.1.1)

e. Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan

satker terkait (SDM, Legal/Hukum, Umum, DPKD dll) (Sumber:A.6.1.2)


88



f. Apakah pimpinan tiap SKPD menerapkan program khusus untuk mematuhi

tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang

mencakup aset informasi keuangan yang menjadi tanggungjawab tiap SKPD

tersebut? (Sumber: A.6.1.6)

4. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan

informasi entitas yang berhubungan dengan pihak luar organisasi yakni terkait

penetapan retribusi, pajak daerah (sumber: A.6.2)

a. Apakah tanggungjawab pengelolaan keamanan informasi mencakup

koordinasi dengan pihak pengelola/pengguna aset informasi eksternal untuk

mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan

permasalahan/risiko yang ada, misal akses sistem penetapan retribusi dan

pajak daerah? (Sumber:A.6.2.3)

3) Identifikasi Bukti Audit

No Bukti Index langkah

1.

Kebijakan Umum Keamanan Informasi dalam bentuk

Perwal, action plan, strategic plan, SOP terkait pengelolaan

keuangan.

1

2.

Laporan Kajian Kebijakan umum keamanan informasi,

risalah rapat (MOM) tentang pembahasan masalah-masalah

sistem pengelolaan keuangan.

2, 4

3. Struktur organisasi unit kerja instansi/Lembaga dalam ruang

lingkup penerapan keamanan informasi ( SOTK)

3a, 3c

4.

Tupoksi / job description unit organisasi/lembaga juga

memasukkan tanggungjawab keamanan informasi, SK

penunjukan Kepala Keamanan Informasi

3b

5. program/rencana pelatihan/sosialisasi keamanan informasi

dan bukti realisasinya

3d

6. prosedur pengelolaan insiden/masalah, termasuk jika

masalah tersebut menyangkut aspek hukum

3e,3f


89


4) Kriteria : ISO/IEC27005 - Information Security Risk Management,

Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,

NIST Special Publication 800-30:Risk Management Guide for Information

Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi

Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September

2003)

b. Ruang Lingkup Audit : (R.2) Review pengelolaan risiko keamanan informasi

1) Tujuan Audit

Mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi

sebagai dasar penerapan strategi keamanan informasi terkait pengelolaan

keuangan daerah

2) Langkah Audit


1. Dapatkan dokumen yang terkait pengelolaan risiko keamanan informasi yang

terdokumentasi dan memuat (sumber:A.7.2)

a. Program kerja pengelolaan risiko keamanan informasi dalam organisasi

(Sumber:A.7.2.2)

b. Kerangka kerja pengelolaan risiko keamanan informasi dalam organisasi

yang mencakup definisi dan hubungan tingkat klasifiasi aset informasi,

tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak

kerugian yakni ketidakakuratan data pada laporan keuangan pemerintah

daerah? (Sumber:A.7.2.1)

2. Review apakah entitas telah melakukan kegiatan pengelolaan risiko keamanan

informasi keuangan yang meliputi (sumber : A.7.1)

a. Apakah entitas sudah mendefinisikan atau inventarisasi kepemilikan dan

pihak pengelola aset informasi keuangan yang ada, meliputi aset data

keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan?

(Sumber:A.7.1.1)

b. Apakah entitas sudah mendefinisikan penggunaan aset yang ada?

(Sumber:A.7.1.3)


90



c. Apakah ancaman dan kelemahan terkait aset informasi yang sudah

diinventaris sudah diindentifikasi (Sumber:A.7.1.1)

d. Apakah dampak kerugian terkait sudah diidentifikasi sesuai dengan

klasifikasi aset yang ada (Sumber:A.7.1.1)

3. Dapatkan dokumen terkait penggunaan aset informasi yang ada di entitas

meliputi (sumber : A.7.1)

a. Identifikasi lokasi dan fasilitas pengolahan informasi yang ada/aplikasi

keuangan, apakah digunakan oleh yang tepat dan berada pada tempat yang

aman? (Sumber:A.7.1.1)

4. Review penanganan masalah yang terjadi atau risiko pada setiap aset informasi

yang ada (sumber: A.7.2)

a. Apakah entitas telah melakukan mitigasi masalah/risiko yang ada pada setiap

aset informasi berdasarkan klasifikasi atau tingkat kepentingan pada proses

pelaporan keuangan pemerintah daerah(Sumber:A.7.2.1)

b. Apakah status mitigasi dari setiap masalah/risiko telah dilakukan evaluasi

untuk memastikan kemajuan kerjanya? (Sumber:A.7.2.2)



1. SOP Bidang komunikasi dan informatika 1a

2. dokumen metodologi risiko TI 1b

3. daftar aset TI, IT Master Plan 2a,2b, 3

4. hasil kajian risiko TI (risk register) 2c

5. risk acceptance kriteria 2d

6. Laporan monitoring Tim secara berkala 4a

7. Risk Treatment Plan (RTP) 4b

4) Kriteria ISO/IEC27005 - Information Security Risk Management,




91




2003)

c. Ruang Lingkup Audit : (R.3) Review Kerangka Kerja Keamanan Informasi

1) Tujuan Audit

Mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan

prosedur) pengelolaan keamanan informasi sehingga sesuai dengan

peraturan terkait sistem pengelolaan keuangan daerah.

2) Langkah Audit


1. Apakah kebijakan dan prosedur keamanan informasi sudah disusun dengan jelas

dengan mencantumkan peran dan tanggung jawab pihak-pihak yang berwenang

untuk menerapkan?

2. Apakah kebijakan dan prosedur keamanan informasi sudah dikomunikasikan

dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua

pihak dalam entitas tersebut? (Sumber : A.10.2.1)

3. Review dan dapatkan dokumen (jika ada) yang berisi pengelolaan risiko dari

pengembangan sistem pengelolaan keuangan yang baru pada entitas ( sumber :

A.10.3)

a. Apakah entitas sudah menerapkan proses evaluasi dari risiko terkait rencana

pengembangan sistem baru dan penanggulangan masalah yang mungkin

timbul dari sistem pengelolaan keuangan baru tersebut? (Sumber:A.10.3.2)

b. Apabila penerapan suatu sistem baru tersebut menimbulkan masalah atau

menyalahi kebijakan terkait pelaksanaan pelaporan keuangan pemerintah,

apakah ada proses penanggulangan termasuk pengamanan yang baru

(compensating control)? (Sumber:A.10.3.2)

c. Apakah entitas memiliki mempunyai strategi penggunaan atas teknologi

keamanan informasi untuk pengolah keuangan daerah yang penerapan dan

pemutakhirannya disesuaikan dengan kebutuhan entitas? (Sumber:A.10.3.1)

4. Review pengelolaan proses ketersediaan informasi keuangan pemerintah daerah


92



yakni informasi anggaran, aset, penerimaan dan pengeluaran dengan cara back

up data (sumber : A.10.5.1)

a. Apakah entitas memiliki kebijakan terkait proses back up informasi ?

b. Apakah ada proses evaluasi dilakukan secara berkala terhadap kebijakan

terkait proses back up?

c. Apakah ada proses pelabelan atau inventarisasi media penyimpanan back up

informasi keuangan?

5. Review dan dapatkan dokumennya jika ada mengenai pengendalian entitas

terkait proses pertukaran informasi keuangan baik di lingkungan internal

maupun eksternal entitas ( sumber: A.10.8)

a. Apakah ada kebijakan atau prosedur yang mengatur pengelolaan informasi

termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan

penyimpanan? (Sumber:A.10.8.1)

b. Review apakah terdapat kebijakan atau mekanisme yang mengatur

interkoneksi sistem informasi yang berhubungan dengan pelaporan

keuangan dengan organisasi eksternal? (Sumber:A.10.8.5)

6. Review proses pendeteksian kegiatan pengolahan informasi keuangan yang

tidak sah (sumber: A.10.10)

a. Apakah entitas memiliki prosedur yang mengatur proses pemantauan

penggunaan fasilitas pengolahan informasi keuangan? (Sumber:A.10.10.2)

b. Apakah aspek keamanan informasi mencakup pengendalian pelaporan

insiden yang didapat dari log audit, log administrator dan operator dan log

atas kesalahan yang terjadi pada sistem informasi keuangan sehingga dapat

segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada

laporan keuangan? (Sumber:A.10.10.1, A.10.10.4, A.10.10.5 )

c. Apakah entitas melakukan perlindungan pada fasilitas log dari akses sistem

pengelolaan keuangan daerah? (Sumber:A.10.10.3)

7. Review dan dapatkan dokumen yang berisi proses pelaporan kelemahan

keamanan informasi keuangan (sumber : A.13.1.1, A.13.1.2)

a. Apakah aspek keamanan informasi keuangan yang mencakup pelaporan


93



insiden dari sistem pengelolaan keuangan tercantum dalam suatu kebijakan

atau prosedur yang disebarkan ke semua pegawai dan pihak ketiga?

8. Review dan dapatkan dokumen yang berisi manajemen insiden keamanan

informasi yang bertujuan untuk melihat keefektifan penerapannya? (sumber

A.13.2)

a. Apakah entitas sudah menerapkan kebijakan dan prosedur operasional

untuk mengelola insiden keamanan informasi yang muncul, alokasi

tanggung jawab untuk memonitor dan penanggulangan insiden keamanan

pada fasilitas pengolah keuangan yang ada? (sumber A.13.2.1)

b. Apakah entitas memiliki program untuk meningkatkan keamanan informasi

untuk mengatasi insiden yang telah terjadi sebelum-sebelumnya pada

fasilitas pengolah keuangan? (sumber A.13.2.2)

c. Apakah program keamanan informasi yang ada dilakukan evaluasi untuk

melihat keefektifan penerapannya dalam entitas? (sumber A.13.2.3)

d. Apakah konsekuensi dari pelanggaran keamanan informasi yang

menyebabkan insiden sudah didefinisikan, dikomunikasikan dan ditegakan

oleh entitas? (sumber A.13.2.3)



1. SOTK, job desc pengelola keuangan 1

2.

Pengunguman ke semua satuan kerja terkait keamanan

infomasi yang dilakukan secara berjenjang terutama bagi

pengelola keuangan.

2

3.

Hasil evaluasi dan pengkajian investasi sistem TI yang baru

pada pihak yang terkait, meliputi user (kepala SKPD dan

jajarannya), sekretaris daerah

3

4. SOP Backup dan restore 4

5. SOP Pertukaran informasi keuangan 5


94



6. Laporan pemantuan meliputi analisa log admin 6b

7. SOP Pemantauan bidang komunikasi dan informatika 6a, 6c

8. SOP penanganan insiden 7, 8a

9. BCP (Business Continuity Plan) , DRP (Disaster Recovery

Plan)

8a, 8b

10. Laporan tim teknis berupa rekomendasi kontrol 8b

11. bukti/risalah rapat/manajemen review untuk mengevaluasi

efektivitas penerapan keamanan informasi

8.c, 8d






2003)

d. Ruang Lingkup Audit : (R.4) Review Pengelolaan Aset Informasi

1) Tujuan Audit

Mengevaluasi kelengkapan pengamanan aset informasi keuangan termasuk

siklus penggunaanya.

2) Langkah Audit


1. Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi

oleh semua pihak entitas baik pegawai dan kontraktor selama bekerja di entitas

tersebut. (sumber: A.8.2)

a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan

informasi keuangan secara individual untuk semua personil di entitas?

(sumber A.8.2.1)


95



b. Apakah konsekuensi dari pelanggaran keamanan informasi yang

menyebabkan insiden pada proses pelaporan keuangan sudah didefinisikan,

dikomunikasikan dan ditegakan oleh entitas? (sumber A.8.2.3)

2. Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi

keuangan oleh semua pihak entitas baik pegawai dan kontraktor setelah

mengakhiri kerjasama atau perubahan pekerjaan di entitas tersebut. (sumber :

A.8.3)

a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan

informasi keuangan secara individual untuk semua personil di entitas

setelah pengakhiran kerjasama atau perubahan pekerjaaan? (sumber

A.8.3.1)

b. Apakah pihak yang melakukan pengakhiran pekerjaan terkait proses

pengelolaan data keuangan dalam entitas mengembalikan aset yang

digunakan ketika bekerja? (sumber A.8.3.2)

c. Apakah terdapat penghapusan hak akses pihak yang mengakhiri kerjasama

dan perubahan pekerjaan terhadap fasilitas pengolah informasi keuangan

yang dipakai selama bekerja di entitas tersebut? (sumber A.8.3.3)

3. Review dan dapatkan dokumen mengenai pengendalian area penyimpanan

fasilitas pengolahan informasi (sumber: A.9.1)

a. Apakah terdapat ketentuan pengamanan fisik yang disesuaikan dengan

definisi zona dan klasifikasi aset yang ada didalamnya? (sumber A.9.1.1)

b. Apakah entitas memiliki pengendalian fisik area penyimpanan fasilitas

informasi berupa pengendalian entri? (sumber A.9.1.2)

c. Apakah entitas memiliki pengamanan kantor, ruangan dan fasilitas

penyimpanan informasi dari ancaman eksternal entitas? (misal adanya

rancangan dan material yang dapat menanggulangi risiko kebakaran dan

dilengkapi dengan fasilitas pendukung (deteksi kebakaran, asap,

pemadaman api, pengatur suhu dan kelembapan) (sumber A.9.1.3)

4. Review dan dapatkan dokumen mengenai keamanan peralatan yang memuat

informasi sehingga pencegahan kehilangan, kerusakan, pencurian atau

gangguan terhadap kegiatan entitas. (sumber : A.9.2)


96



a. Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang

server, ruang arsip) dalam proses pengelolaan data keuangan dari risiko

perangkat atau bahan yang membahayakan aset informasi yang ada

didalamnya? (misal menggunakan telepon genggam atau kamera pada saat

memasuki ruang server) (sumber A.9.2.1, A.9.2.4, A.9.2.5)

5. Adakah dokumen kebijakan atau prosedur yang mengatur mengenai

pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset

informasi pengelolaan keuangan (sumber: A.11.1.1)

6. Review pengelolaan akses untuk menggunakan aset informasi di entitas

(sumber:A.11.2)

a. Apakah entitas memiliki inventarisasi akses terhadap informasi keuangan

dan fasilitas pengolah keuangan yang berisi identitas elektronik pemilik

akses, proses otentikasi (username, password)? (sumber A.11.2.1,

A.11.2.2, A.11.2.3)

b. Apakah ada prosedur yang mengatur pengkajian atas hak akses pengguna

(user access review) secara berkala dan langkah pembenahan apabila

terjadi ketidaksesuaian terhadap kebijakan yang berlaku?(misal: apabila

pengguna sudah tidak berwenang atas suatu proses dalam sistem keuangan

maka dia tidak bisa mengakses fungsi tersebut) (sumber A.11.2.4)

7. Review apakah entitas memiliki ketetapan pendefinisian tanggung jawab

pengamanan informasi secara individual sebagai pengolah data keuangan di

semua satuan kerja yang ada?(misal: ketentuan pemilihan password tiap

pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang

ditinggalkan oleh pengguna) (sumber : A.11.3.1, A.11.3.2, A.11.3.3)

8. Review dan dapatkan dokumen jika ada terkait pengendalian akses jaringan,

sistem operasi dan sistem aplikasi informasi yang digunakan untuk pengolahan

keuangan baik pencatatan penerimaan, pengeluaran dan mutasi aset (sumber:

A.11.4, A.11.5, A.11.6)

a. Apakah entitas memiliki kebijakan atau prosedur yang mengatur akses,

proses otentikasi dan otorisasi penggunaan aset informasi yakni jaringan,

sistem operasi dan sistem aplikasi informasi? (sumber: A.11.4.1, A.11.5.1

)


97



b. Apakah entitas melakukan pengendalian secara teknis pada aset informasi

yakni jaringan, diantaranya perlindungan dari configuration port, remote

diagnostic selain itu pengendalian pada routing dan koneksi jaringan untu

pengelolaan informasi keuangan? (sumber: A.11.4.4)

c. Apakah entitas melakukan pengendalian secara teknis pada aset informasi

yakni sistem operasi, diantaranya sesi time out, prosedur log on yang aman

pada sistem operasi, dan pengendalian program utility? (sumber: A.11.5.1,

A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5)

d. Apakah entitas melakukan pengendalian secara teknis pada aset informasi

yakni aplikasi, diantaranya isolasi aplikasi yang sensitif bagi entitas dan

pembatasan akses informasi? (sumber: A.11.6.2)

9. Review kesesuaian proses pengamanan informasi yang dilakukan oleh

pengelola keuangan yakni bendahara penerimaan, bendahara barang,

bendahara pengeluaran dan PPK-SKPD terhadap hukum yang berlaku

(sumber: A.15.1)

a. Apakah entitas telah membuat tata tertib pengamanan dan

penggunaan aset entitas terkait HAKI (Hak Kekayaan Intelektual)?

(sumber: A.15.1.2)

b. Apakah terdapat peraturan pengamanan data pribadi di entitas

tersebut (sumber: A.15.1.4)

c. Apakah terdapat tata tertib penggunaan email, internet, intranet dan

komputer? (sumber: A.15.1.5)

10. Review apakah entitas memiliki prosedur untuk mengamankan lokasi kerja,

fasilitas informasi dan aset informasi terkait pengelolaan keuangan (anggaran,

penerimaan, pengeluaran dan pengelolaan aset dari keberadaan pihak internal

maupun eksternal yang melakukan audit pada entitas? (sumber A.15.3.1)



1. SOP keamanan informasi, SOTK/Job desc 1


98



2. Pakta integritas dengan pihak ketiga dalam MOU, NDA

untuk pihak ketiga menyangkut informasi rahasia

2, 10

3. SOP pengamanan fasilitas pengolahan informasi (SOP

data center)

3a, 4

4. Cek fisik data center 3b,3c

5. prosedur pengelolaan hak akses (Access Control) 5

6. Laporan monitoring terkait hak akses pengguna ( user

access review)

6

7. SOP pengamanan informasi secara individual 7, 10

8. SOP pengamanan jaringan, sistem operasi dan sistem

informasi

8a

9. Cek fisik ruang kerja pegawai 8b, 8c, 8d

10. Cek fisik lisensi OS atau aplikasi yang lainnya 9a

11. SOP/ aturan penggunaan email, internet dan hasil

pemantauan pengunggan email & internet

11b, 11c






2003)

e. Ruang Lingkup Audit : (R.5) Review Teknologi dan Keamanan Informasi

1) Tujuan Audit

Mengevaluasi kelengkapan, konsistensi dan efektifitas penggunaan

teknologi dalam pengamanan aset informasi.

2) Langkah Audit


99



1. Review apakah entitas melakukan pengendalian terkait pengolahan dalam suatu

aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara

dan kas umum daerah serta mutasi aset di pemerintah daerah. (sumber A.12.2)

a. Apakah setiap perubahan pada sistem informasi secara otomatis terekam

didalam log? (sumber A.12.2.2)

b. Apakah upaya akses yang tidak berhak juga terekam dalam log? (sumber

A.12.2.2)

c. Apakah semua log yang ada dianalisa secara berkala untuk memastikan

akurasi, validitas data masukan serta data keluaran sistem informasi dan

kelengkapan isinya? (sumber A.12.2.1. A.12.2.4)

2. Review dan dapatkan dokumen mengenai pengendalian kriptografi yang

diterapkan oleh entitas pada aplikasi untuk pencatatan pengeluaran, penerimaan

keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah

daerah. (sumber: A.12.3)

a. Apakah entitas menerapakan enkripsi untuk melindungi aset informasi

keuangan penting sesuai dengan kebijakan yang ada? (sumber A.12.3.1)

b. Apakah entitas memiliki standar dalam penggunaan enkripsi tersebut?

(sumber A.12.3.1)

c. Apakah entitas menerapkan pengamanan untuk mengelola kunci enkripsi

yang digunakan? (sumber A.12.3.2)

3. Review apakah entitas melakukan pengamanan system files berupa

perlindungan data uji sistem, pembatasan akses ke kode sumber sistem

informasi keuangan terkait pengelolaan anggaran, penerimaan keuangan,

pengeluaran dan pengelolaan aset? (sumber :A.12.4.2, A.12.4.3)

4. Review apakah entitas melakukan pengamanan dan tinjuan teknis atas sistem

aplikasi pengelolaan keuangan meliputi aplikasi anggaran, aset dan penerimaan

atau pengeluaran keuangan pada saat proses pengembangan atau perubahan

pada aset informasi yang terhubung dengan aplikasi tersebut, misal perubahan

sistem operasi? (sumber: A.12.5.2)



100



1. Periksa log penggunaan sistem dan aplikasi TI, baik oleh

user maupun admin

1a, 1b

2. Laporan tim teknis terkait analisa log 1c

3. SOP enkripsi 2

4.

Periksa kesesuaian sistem TI dengan standar yang

ditetapkan:

a. Standar software,

b. Standar keamanan (security baseline),

c. Standar rilis aplikasi

d. Software AntiVirus

3,4






2003)

Setelah melakukan langkah audit diatas, maka auditor dapat melakukan

pendeteksian kelemahan berdasarkan hasil audit. hasil audit yang ada akan

digunakan untuk mengevaluasi risiko dari keamanan informasi pada entitas

tersebut.

c. Langkah Audit Tahap Penyelesaian

Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai

risiko keamanan informasi dijadikan input/masukan pada tahap penyelesaian.

Pada tahapan ini auditor melakukan hal-hal berikut ini:

1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan

dalam audit.


101


2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada.

3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman

yang ada.

4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan

tanggapan atas temuan audit.

5. Membuat laporan audit.

5.4.3 Penetapan Kelemahan dan Ancaman

Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi

ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui kelemahan dari

organisasi dapat dianalisa dari hasil audit yang dilakukan pada tahap pelaksanaan

sebelumnya. Kemudian analisa ancaman didapat dari kelemahan yang dapat

dieksplore oleh threat agent sehingga menimbulkan risiko kerugian bagi organisasi.

Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup yang

ada dalam tahap pelaksanaan.

Penetapan kelemahan dan ancaman yang ada berasal dari aktivitas pengendalian yang

ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas pengendalian

tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen maupun secara

teknikal maka auditor dapat menetapkan hal tersebut sebagai sebuah kelemahan dan

ancaman.

5.4.4 Analisa Dampak

Analisa dampak dilakukan untuk memberikan nilai dampak atas kelemahan yang

sudah teridentifikasi sebelumnya. nilai dampak adalah dampak yang dapat

mempengaruhi proses pencapaian tujuan dari organisasi. Analisa dampak dapat

diperoleh dengan cara dua cara

a. Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada

organisasi yang diperiksa atau auditee.


102


b. Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada

pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi

tersebut.

Analisis dampak diperoleh dari 31 indikator dampak. Indikator didapat dari

klausal-klausal yang ada dalam ISO27001 pada tiap aktivitas pengendalian.

Indikator ini digunakan untuk menghitung nilai dampak berdasarkan lima jenis

risiko ruang lingkup sesuai dengan tingkat relevansinya.seperti Tabel 5.13 ini.

Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko

Kode

risiko

ruang

lingkup

Jenis risiko Kode

Indikator

dampak

Deskripsi Indikator dampak

KR.1 Tata kelola keamanan

informasi

D.1.1 Information Security Policy

D.1.2 Kajian Information Security Policy

D.1.3 Kesadaran keamanan informasi

D.1.4 MOU dengan pihak eksternal

KR.2 pengelolaan risiko

keamanan informasi

D.2.1 Inventarisasi Aset

D.2.2 Klasifikasi Informasi

D.2.3 Monitoring risiko terkait TI

KR.3 Kerangka Kerja

Keamanan informasi

D.3.1 Compensating control terhadap sistem

baru

D.3.2 Back-up

D.3.3 Prosedur pertukaran informasi

D.3.4 Audit Log

D.3.5 Pelaporan kejadian dan kelemahan

keamanan informasi

D.3.6 Pemeliharaan aset TI

KR.4 Pengelolaan Aset

Informasi

D.4.1 Pelatihan keamanan informasi

D.4.2 Pelanggaran

D.4.3 Pemisahan tugas (job description)

D.4.4 Pengembalian aset dan penghapusan

hak ases

D.4.5 Akses ke ruang data center

D.4.6 Penanggulangan bencana

D.4.7 Prosedur keamanan peralatan di luar

lokasi kerja

D.4.8 Kebijakan pengendalian akses

D.4.9 Pengelolaan hak akses

D.4.10 Manajemen password

D.4.11 Update antivirus

D.4.12 Kehandalan antivirus

D.4.13 Sesi time-out


103


Kode

risiko

ruang

lingkup

Jenis risiko Kode

Indikator

dampak

Deskripsi Indikator dampak

D.4.14 Pengelolaan email

D.4.15 HAKI (Hak Kekayaan Intelektual)

D.4.16 Pertimbangan audit sistem informasi

KR.5 Teknologi dan

keamanan informasi

D.5.1 Enkripsi

D.5.2 Pengendalian akses terhadap kode

sumber program

D.5.3 Konten aplikasi

D.5.4 Pengembangan aplikasi

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator dampak di

tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai rata-ratanya

(pembulatan keatas). Nilai dampak dari tiap risiko diklasifikasikan ke dalam skala

dampak pada Tabel 5.14 ini.

Tabel 5.14 Skala penilaian dampak

Nilai Klasifikasi Definisi

5 Extreme

> 80 to 100%

Permasalahan yang terjadi mengakibatkan layanan hingga tidak

dapat digunakan sama sekali.

4 Major

> 62 to 80%

Permasalahan yang terjadi dapat menyebabkan terhentinya layanan

secara tiba-tiba mengakibatkan kerusakan dan biaya yang mahal

namun dapat bertahan

3 Moderate

> 25 to 62%

Permasalahan yang terjadi mengganggu berjalannya layanan sehari-

hari dan tidak sampai berakibat terhentinya layanan, namun biaya

yang dibutuhkan tidak sedikit

2 Minor

> 5 to 25%

Permasalahan yang terjadi berpotensi mengganggu berjalannya

layanan di kemudian hari namun terbatas sehingga dibutuhkan

biaya

1 Insignificant

5% or less

Permasalahan yang terjadi tidak mengganggu berjalannya layanan

di kemudian hari sehingga biaya dapat diabaikan

Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni

melalui kuesioner dari auditor atas dampak dari risiko tiap ruang lingkup

pemeriksaan yang sudah teridentifikasi.

Rumus yang dapat digunakan untuk penilaian dampak dari masing-masing risiko

adalah sebagai berikut


104


Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan

Kode risiko ruang

lingkup

Jumlah Indikator Rumus nilai dampak

KR.1 4 (∑Nilai Indikator dampak risiko KR.1) / 4





Sedangkan auditor dapat memberikan juga nilai dampak dari tiap-tiap aktivitas

pengendalian yang telah terpilih dengan melihat nilai tiap indikator dampak yang

didapat melalui kuesioner. Relevansi aktivitas pengendalian dengan indikator

dampak untuk tiap jenis risiko dapat dilihat pada Tabel 5.16.

Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak

Kode risiko

ruang lingkup

Kode Aktivitas

Pengendalian

Proses Kode Indikator

dampak

Jumlah

Indikator

KR.1 A.5.1 Mendokumentasikan

information security

policy

D.1.1 1

A.5.2 Kajian information

security Policy

D.1.2 1

A.6.1 Organisasi internal D.1.3 1

A.6.2 Organisasi eksternal D.1.4 1

KR.2

A.7.1

Tanggung jawab

terhadap aset

D.2.1, D.2.3 2

A.7.2 Klasifikasi informasi D.2.2 1

KR.3

A.10.2

Manajemen Pelayanan

Jasa Pihak Ketiga

D.3.4, D.3.5 2

A.10.3

Perencanaan dan

Keberterimaan Sistem

D.3.1 1

A.10.5 Back-up D.3.2 1

A.10.8 Pertukaran informasi D.3.3 1

A.10.10 Pemantauan D.3.4 1

A.13.1

Pelaporan kejadian

dan kelemahan

D.3.5 1


105


Kode risiko

ruang lingkup

Kode Aktivitas

Pengendalian


dampak

Jumlah

Indikator

keamanan informasi

A.13.2

Manajemen insiden

keamanan informasi

dan perbaikan

D.3.6 1

KR.4

A.8.2 Selama bekerja

D.4.1, D.4.2,

D.4.3

3

A.8.3

Pengakhiran atau

perubahan pekerjaan

D.4.4 1

A.9.1 Area yang aman D.4.5, D.4.6 2

A.9.2 Keamanan Peralatan D.4.7 1

A.11.1

Persyaratan bisnis

untuk pengendalian

akses

D.4.8 1

A.11.2

Manajemen akses

pengguna

D.4.9, D.4.10 2

A.11.3

Tanggung jawab

pengguna

D.4.10 1

A.11.4

Pengendalian akses

jaringan

D.4.10, D.4.11,

D.4.12

3

A.11.5

Pengendalian akses

sistem operasi

D.4.13 1

A.11.6

Pengendalian akses

aplikasi dan informasi

D.4.10, D.4.11,

D.4.12,D.4.14

4

A.15.1

Kesesuaian dengan

persyaratan umum

D.4.15 1

A.15.3

Pertimbangan audit

sistem informasi

D.4.16 1

KR.5

A.12.2

Pengolahan yang

benar dalam aplikasi

D.5.3, D.5.4 2

A.12.3

Pengendalian dengan

cara kriptografi

D.5.1 1

A.12.4 Keamanan sistem file D.5.2 1

A.12.5

Keamanan dalam

proses pengembangan

dan pendukung

D.5.4 1

Penilaian dampak atas masing-masing aktivitas pengendalian yakni dengan

menjumlahkan nilai dampak dari masing-masing indikator kemudian dibagi

dengan jumlah jenis indikator setiap aktivitas pengendalian.


106


5.4.5 Analisa Likelihood (kecenderungan)

Analisa likelihood digunakan untuk mengetahui frekuensi terjadinya kejadian

yang diidentifikasi terjadinya risiko. Analisa likelihood diperoleh oleh auditor

dengan dua cara yakni:

a. Cara kualitatif : auditor memperoleh nilai likelihood dari hasil wawancara

dengan pihak-pihak yang mengelola keamanan informasi di organisasi

tersebut.

b. Cara kuantitatif : auditor memperoleh nilai likelihood dari hasil kuesioner yang

diberikan auditor kepada pihak-pihak yang mengelola keamanan informasi di

organisasi.

Analisis likelihood diperoleh dari 31 indikator likelihood yang digunakan untuk

menghitung nilai likelihood berdasarkan 5 jenis risiko sesuai dengan tingkat

relevansinya seperti Tabel 5.17.

Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko

Kode risiko

ruang lingkup

Jenis risiko Kode Indikator Deskripsi Indikator

Likelihood

KR.1 tata kelola keamanan

informasi

L.1.1 Information Security Policy

L.1.2 Kajian Information

Security Policy

L.1.3 Kesadaran keamanan

informasi

L.1.4 MOU dengan pihak

eksternal

KR.2 Pengelolaan risiko

keamanan informasi

L.2.1 Inventarisasi Aset

L.2.2 Klasifikasi Informasi

L.2.3 Monitoring risiko terkait TI

KR.3 Kerangka Kerja Keamanan

informasi

L.3.1 Compensating control

terhadap sistem baru

L.3.2 Back-up

L.3.3 Prosedur pertukaran

informasi

L.3.4 Audit Log


107


Kode risiko

ruang lingkup

Jenis risiko Kode Indikator Deskripsi Indikator

Likelihood

L.3.5 Pelaporan kejadian dan

kelemahan keamanan

informasi

L.3.6 Pemeliharaan aset TI


Informasi

L.4.1 Pelatihan keamanan

informasi

L.4.2 Pelanggaran

L.4.3 Pemisahan tugas (job

description)

L.4.4 Pengembalian aset dan

penghapusan hak ases

L.4.5 Akses ke ruang data center

L.4.6 Penanggulangan bencana

L.4.7 Prosedur keamanan

peralatan di luar lokasi

kerja

L.4.8 Kebijakan pengendalian

akses

L.4.9 Pengelolaan hak akses

L.4.10 Manajemen password

L.4.11 Update antivirus

L.4.12 Kehandalan antivirus

L.4.13 Sesi time-out

L.4.14 Pengelolaan email

L.4.15 HAKI (Hak Kekayaan

Intelektual)

L.4.16 Pertimbangan audit sistem

informasi

KR.5 Teknologi dan keamanan

informasi

L.5.1 Enkripsi

L.5.2 Pengendalian akses

terhadap kode sumber

program

L.5.3 Konten aplikasi

L.5.4 Pengembangan aplikasi


108


Hasil analis likelihood diperoleh dari penjumlahan total skor dari indikator faktor

likelihood kemudian dihitung nilai rata-ratanya (pembulatan keatas). Nilai likelihood

dari tiap risiko diklasifikasikan ke dalam skala dampak pada Tabel 5.18 ini.

Tabel 5.18 Skala penilaian likelihood


5 Almost

certain

> 80 to 100%

Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali.

Alternatif sangat diperlukan dan tindakan mitigasi harus segera

dilakukan

4 Likely

> 62 to 80%

Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif

akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan

3 Moderate

> 25 to 62%

Berlangsung terus-menerus namun sudah ada kesadaran untuk

melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus

mempertimbangkan tindakan mitigasi.

2 Unlikely

> 5 to 25%

Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada

kemungkinan akan mengalaminya di masa depan. Sehingga strategi

saat ini harus mengatasi insiden yang terjadi.

1 Rare

5% or less

Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah

dan cepat.

Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni

melalui kuesioner dari auditor atas likelihood dari risiko tiap ruang lingkup

pemeriksaan yang sudah teridentifikasi. Rumus yang dapat digunakan untuk

penilaian dampak dari masing-masing risiko adalah sebagai berikut.

Tabel 5.19 Penilaian Likelihood tiap jenis risiko

Kode risiko ruang

lingkup

Jumlah

Indikator

Rumus

KR.1 2 (∑Nilai Indikator likelihood risiko KR.1) / 4






109


Auditor dapat memberikan juga penilaian atas likelihood untuk masing-masing

aktivitas pengendalian yang didapat dengan cara kuesioner. Relevansi aktivitas

pengendalian dengan indikator likelihood untuk tiap jenis risiko dapat dilihat pada

Tabel 5.20.

Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood

Kode risiko

ruang lingkup

Kode Aktivitas

Pengendalian


Likelihood

Jumlah

Indikator



policy

L.1.1 1


security Policy

L.1.2 1

A.6.1 Organisasi internal L.1.3 1

A.6.2 Organisasi eksternal L.1.4 1

KR.2

A.7.1

Tanggung jawab

terhadap aset

L.2.1, L.2.3 2

A.7.2 Klasifikasi informasi L.2.2 1

KR.3

A.10.2

Manajemen Pelayanan

Jasa Pihak Ketiga

L.3.4, L.3.5 2

A.10.3

Perencanaan dan


L.3.1 1

A.10.5 Back-up L.3.2 1

A.10.8 Pertukaran informasi L.3.3 1

A.10.10 Pemantauan L.3.4 1

A.13.1

Pelaporan kejadian

dan kelemahan

keamanan informasi

L.3.5 1

A.13.2

Manajemen insiden

keamanan informasi

dan perbaikan

L.3.6 1

KR.4 A.8.2 Selama bekerja L.4.1, L.4.2, L.4.3 3

A.8.3

Pengakhiran atau

perubahan pekerjaan

L.4.4 1

A.9.1 Area yang aman L.4.5, L.4.6 2

A.9.2 Keamanan Peralatan L.4.7 1

A.11.1

Persyaratan bisnis

untuk pengendalian

akses

L.4.8 1


110


Kode risiko

ruang lingkup

Kode Aktivitas

Pengendalian


Likelihood

Jumlah

Indikator

A.11.2

Manajemen akses

pengguna

L.4.9, L.4.10 2

A.11.3

Tanggung jawab

pengguna

L.4.10 1

A.11.4

Pengendalian akses

jaringan

L.4.10, L.4.11,

L.4.12

3

A.11.5

Pengendalian akses

sistem operasi

L.4.13 1

A.11.6

Pengendalian akses


L.4.10, L.4.11,

L.4.12,L.4.14

4

A.15.1

Kesesuaian dengan

persyaratan umum

L.4.15 1

A.15.3

Pertimbangan audit

sistem informasi

L.4.16 1

KR.5

A.12.2

Pengolahan yang


L.5.3, L.5.4 2

A.12.3

Pengendalian dengan

cara kriptografi

L.5.1 1

A.12.4 Keamanan sistem file L.5.2 1

A.12.5

Keamanan dalam

proses pengembangan

dan pendukung

L.5.4 1

Penilaian likelihood atas masing-masing aktivitas pengendalian yakni dengan

menjumlahkan nilai likelihood dari masing-masing aktivitas pengendalian

kemudian dibagi dengan jumlah jenis indikator setiap aktivitas pengendalian.

5.4.6 Penetapan Tingkat Risiko

Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan

analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari

pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut.

Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan

melakukan perkalian nilai dampak dengan nilai kecenderungan dari masing-

masing risiko.


111


Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko

Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil

pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas

pengendalian.

Tingkat risiko yang ada pada Gambar 5.4 memiliki arti, maksud dari masing-

masing tingkatan risiko adalah sebagai berikut:

Tabel 5.21 Skala Risiko

Nilai

Risiko

Deskripsi risiko

Sangat

tinggi

(Very

High)

Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai banyak efek merugikan yang sangat besar pada

operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.

Tinggi

(high)

Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai beberapa efek merugikan yang besar pada

operasi organisasi, aset organisasi, individu, organisasi lain, atau negara

Sedang

(medium)

Cukup berisiko yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai efek merugikan yang serius pada operasi

organisasi, aset organisasi, individu, organisasi lain, atau negara

Rendah

(low)

Berisiko rendah yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai efek merugikan yang terbatas pada operasi

organisasi, aset organisasi, individu, organisasi lain, atau negara.


112


5.4.7 Penentuan prioritas risiko

Hasil dari proses penetapan risiko dapat memberikan arahan dalam menentukan

prioritas risiko dari ancaman yang muncul dan harus mendapatkan perhatian dari

organisasi. Jenis risiko yang harusnya mendapat perhatian utama adalah risiko

yang memiliki skala Very high kemudian dilanjutkan pada skala high, medium dan

low . Pemeriksa dapat melihat prioritas risiko dari tiap ruang lingkup yang ada

selain itu pemeriksa juga dapat melihat prioritas risiko di masing-masing indikator

yang ada.

Tujuan dari penentuan prioritas risiko adalah untuk mengidentifikasi risiko yang akan

diprioritaskan untuk ditangani sehingga memudahkan pengambil keputusan dalam

menentukan fokus perhatian yang utama dalam pengelolaan risiko.

5.4.8 Analisis Rekomendasi Kontrol

Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi

kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut ke

tingkat yang dapat diterima oleh organisasi.

Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko,

kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi

level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol

dibuat berdasarkan hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input

kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko. Dari

hasil inilah akan dihasilkan daftar rekomendasi kontrol.

Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko

yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol

keamanan yang direkomendasikan.

5.4.9 Mitigasi Risiko

Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang

secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang


113


berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan

hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi

kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol

yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan

dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.

5.4.10 Risiko Deteksi

Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah

daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat

mendeteksi salah saji material pada saat melaksanakan prosedur substantif.

Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedue

substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas

pelaksanaan prosedur substantif.

Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko

residual maka semakin rendah risiko deteksi. Demikian sebaliknya.

Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat

ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual

adalah sebagai berikut:

Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK

Risiko Residual Risiko Deteksi

Sangat tinggi (Very High) Rendah (low)

Tinggi (high) Sedang (medium)

Sedang (medium) Tinggi (high)

Rendah (low) Sangat tinggi (Very High)


114


5.5 Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko

Keamanan Informasi

5.5.1 Kerangka kerja penilaian risiko keamanan informasi

Kerangka kerja ini digunakan sebagai panduan pemeriksa BPK RI untuk menilai

keamanan informasi di pemerintah daerah.

Kerangka kerja terdiri dari beberapa bagian, yakni :

a. Formulir pengisian penilaian risiko keamanan informasi

b. Tahapan penilaian risiko keamanan informasi

c. Cara pengisian formulir penilaian risiko keamanan informasi

Kerangka kerja ini juga dilengkapi dengan program pemeriksaan untuk

mengidentifikasi kelemahan dan ancaman terkait keamanan informasi pengelolaan

keuangan dalam suatu organisasi pemerintah daerah sehingga menimbulkan risiko

yang berdampak pada laporan keuangan pemerintah daerah tersebut.

Selain itu kerangka kerja ini juga menyediakan alat bantu kuesioner sehingga

memudahkan pemeriksa untuk menilai secara kuantitatif dari dampak dan

kecenderungan atas pengelolaan keamanan informasi di organisasi pemerintah

daerah tersebut berdasarkan indikator-indikator yang telah diidentifikasi pada

analisa sebelumnya.

Formulir pengisian penilaian risiko keamanan informasi untuk pengelolaan

keuangan pemerintah daerah terdiri dari beberapa bagian yakni:

a. Kolom formulir terdiri dari 19 kolom, kolom 1 sampai dengan kolom 10

adalah seperti gambar berikut ini:


115


Kode

ruang

lingkup

Ruang lingkup

Kode

aktivitas

pengendalia

n

Aktivitas

pengendalia

n

Ref.

Program

Pemeriksaa

n

Kerawanan Ancaman

Dampak Kecenderungan Nilai Risiko1 2 3 4 5 6 7 8 9 10

Inheren

Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja

Kolom 1 dan 2 berisi informasi mengenai ruang lingkup yang dipilih oleh

pemeriksa BPK untuk menilai keamanan informasi terkait pengelolaan

keuangan pemerintah daerah dengan mempertimbangkan penilaian yang

dilakukan sebelumnya. Sedangkan kolom 3, 4 dan 5 adalah informasi

mengenai aktivitas pengendalian yang dinilai dalam penilaian risiko keamanan

informasi.

Hasil dari identifikasi kelemahan berdasarkan langkah audit pada kolom 1 s/d 5

dipaparkan dalam kolom 6 dan 7. Kolom 6 dan 7 berisi informasi kerawanan

dan ancaman yang didapat dari setiap penilaian atas praktik-praktik

pengendalian ISO 27001 terkait keamanan informasi dalam pengelolaan


Kolom 8 s/d 10 berisi nilai inheren risk yang dimiliki oleh pemerintah daerah

tersebut dimana hasil kolom 8 s/d 10 didapat melalui kuesioner atau

wawancara dengan menilai setiap aktivitas dan ruang lingkup berdasarkan

indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20.

b. Kolom 11 sampai dengan 19 berisi kolom rekomendasi kontrol, residual risk,

strategi mitigasi, rencana kerja, target penyelesaian, risiko deteksi dan strategi

pemeriksaan umum yang dapat dilihat pada Gambar 5.6.

Rekomendasi Kontrol

Strateg

i

Mitigas

i risiko

Rencana KerjaTarget

PenyelesaianRisiko Deteksi

Strategi

Pemeriksaan

Umum

Dampak Kecenderungan Nilai Risiko11 12 13 14 15 16 17 18 19

Residual

Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja

Kolom 11 berisi informasi mengenai rekomendasi kontrol yang diperlukan oleh

organisasi untuk mengatasi kelemahan dan ancaman yang mungkin muncul dari


116


setiap penilaian praktik-praktik dari aktivitas pengendalian pada ISO 27001 terkait

keamanan informasi pengelolaan keuangan pemerintah daerah.

Kolom 12 sampai dengan kolom 14 berisi nilai residual risk yang dimiliki oleh

pemerintah daerah tersebut dimana hasil kolom 12 s/d 14 didapat melalui

kuesioner atau wawancara dengan menilai setiap aktivitas dan ruang lingkup

berdasarkan indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20.

Kolom 15, 16 dan 17 berisi strategi mitigasi risiko, rencana kerja dan target

penyelesaian dengan melihat nilai akhir risiko yakni residual risk dari setiap

aktivitas pengendalian.

Kolom 18 berisi risiko deteksi. Risiko deteksi ini berkaitan dengan risiko

pemeriksaan keuangan pemerintah daerah dimana risiko deteksi adalah risiko

bahwa pemeriksa tidak dapat mendeteksi salah saji material pada saat

melaksanakan prosedur substantif. Semakin tinggi risiko deteksi, semakin rendah

efektifitas pelaksanaan prosedue substantif. Sebaliknya, semakin rendah risiko

deteksi, semakin tinggi efektifitas pelaksanaan prosedur substantif.

Kolom 19 berisi strategi pemeriksaa umum. Kolom ini berkaitan dengan strategi

pemeriksaan selanjutnya bagi pemeriksa BPK RI yang dilihat dari nilai risiko

deteksi. Semakin rendah nilai risiko deteksi maka pengujian substantif terhadap

aktivitas tersebut semakin tinggi juga begitu juga sebaliknya.

c. Hasil penilaian pada kolom 1 sampai dengan 19 didapat dari langkah audit

yang ada pada program audit. program audit berisi tujuan audit, langkah audit,

bukti audit selain itu dalam program audit disediakan kolom yang berisi aspek

keamanan informasi dan level dari setiap langkah audit. berikut adalah gambar

formulir program audit yang ada dalam kerangka kerja.

Reff

Ruang

lingkup

No Program

Pemeriksa

an

Bukti

Audit

Level Asersi uji

pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

Gambar 5. 7 Formulir program audit dalam kerangka kerja


117


Aspek keamanan informasi terdiri dari tiga macam yakni:

a. C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan

kerahasian data dan informasi.

b. I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa

data tidak akan boleh berubah tanpa ijin yang berwenang.

c. A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa

data tersedia ketika dibutuhkan.

Sedangkan setiap level yang dapat diberikan untuk setiap langkah audit adalah:

Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni :

a. Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih

belum lengkap dan bersifat adhock bergantung pada permasalahan yang

muncul atau kondisi tertentu yang sedang dihadapi.

b. Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah

diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang hampir

sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam

perencanaan.

c. Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang

diterapkan pada setiap proses kerja yang berhubungan dengan keamanan

informasi dan sudah ada standar kontrol keamanan informasi yang akan

dilakukan.

d. Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan

dan kontrol keamanan informasi yang diterapkan.

e. Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap

prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.

Rincian kerangka kerja yang dirancang pada penelitian ini dapat dilihat pada

Lampiran 3, 3.1 dan 3.2.


118


5.6 Uji Publik

Kerangka kerja penilaian risiko ini akan diuji oleh pemeriksa BPK RI untuk

menilai risiko keamanan informasi di Pemerintah Daerah Kota Tangerang.

Berikut hasil uji publik yang telah dilakukan oleh pemeriksa BPK

5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi

Hasil uji publik yang telah dilakukan yakni berupa hasil penilaian risiko

keamanan informasi oleh auditor BPK RI di Pemerintah Daerah Kota Tangerang.

Uji kerangka kerja dilakukan secara bersamaan dengan uji alat bantu. Hasil yang

ditunjukkan oleh alat bantu audit akan mendukung proses penilaian risiko dari

proses kerja Pemerintah Daerah Kota Tangerang. Hasil penilaian risiko keamanan

informasi ditunjukkan dengan pelaksanaan formulir penilaian risiko yakni

meliputi penetapan kelemahan dan ancaman kemudian dilakukan pehitungan

risiko berdasarkan kuesioner yang telah dirancang sampai dengan penetapan

kontrol yang dibutuhkan dan strategi pemeriksaan laporan keungan secara umum.

Berikut adalah hasil penilaian risiko keamanan informasi Pemerintah Daerah Kota

Tangerang

a. Hasil pelaksanaan program audit

Pemeriksa BPK RI menjalankan langkah audit di program pemeriksaan yang

ada di kerangka kerja. Pelaksanaan program pemeriksaan yang ada di kerangka

kerja dapat dilihat pada Lampiran 4. Lampiran 4 memperlihatkan akun-akun

yang terkait pada proses keamanan informasi di organisasi selain itu jenis

asersi pengujian yang dibutuhkan untuk setiap program pemeriksaan dan

leveling setiap proses keamanan informasi yang ada di organisasi tersebut.

b. Hasil Penilaian Risiko

Pemeriksa mengidentifikasi nilai inheren risiko berdasarkan hasil penyebaran

kuesioner kepada para pemilik aset informasi dan pemilik risiko yakni Bidang

aset, anggaran, akuntansi di Dinas Pengelolaan Keuangan dan Aset Daerah


119


Pemerintah Kota Tangerang dan Dinas Informasi dan Komunikasi Pemerintah

Kota Tangerang.

Kuesioner yang diberikan berisi indikator-indikator untuk penilaian tingkat

dampak dan likelihood dari masing-masing ruang lingkup dan aktivitas.

Hasil kuesioner dapat dilihat pada Lampiran 5, sedangkan hasil risiko untuk

tiap ruang lingkup yang ada dapat dilihat pada tabel 5.23.

Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup

Risiko Inheren per Ruang Lingkup

RI

D.1.1 5 L.1.1 3

D.1.2 5 L.1.2 2

D.1.3 4 L.1.3 4

D.1.4 5 L.1.4 2

Rata2 5 3

Nilai Risiko High

R2

D.2.1 5 L.2.1 2

D.2.2 5 L.2.2 2

D.2.3 5 L.2.3 2

Rata2 5 2

Nilai Risiko High

R3

D.3.1 5 L.3.1 2

D.3.2 5 L.3.2 2

D.3.3 4 L.3.3 2

D.3.4 3 L.3.4 2

D.3.5 4 L.3.5 3

D.3.6 4 L.3.6 4

Rata2 4 2

Nilai Risiko Medium

R4

D.4.1 4 L.4.1 4

D.4.2 4 L.4.2 2

D.4.3 5 L.4.3 3

D.4.4 4 L.4.4 1

D.4.5 5 L.4.5 3


120


Risiko Inheren per Ruang Lingkup

D.4.6 5 L.4.6 1

D.4.7 4 L.4.7 5

D.4.8 4 L.4.8 2

D.4.9 4 L.4.9 4

D.4.10 5 L.4.10 3

D.4.11 4 L.4.11 2

D.4.12 4 L.4.12 3

D.4.13 3 L.4.13 5

D.4.14 5 L.4.14 3

D.4.15 4 L.4.15 2

D.4.16 2 L.4.16 1

Rata2 4 3

Nilai Risiko Medium

R5

D.5.1 3 L.5.1 4

D.5.2 5 L.5.2 2

D.5.3 5 L.5.3 2

D.5.4 4 L.5.4 2

Rata2 4 3

Nilai Risiko High

Tabel 5.23 menunjukkan bahwa ruang lingkup dengan kode RI yang

membahas tentang Tata Kelola Keamanan informasi, kode R2 yang membahas

Pengelolaan Risiko Keamanan informasi, kode R5 yang membahas Teknologi

dan Keamanan Informasi memiliki risiko High, yang artinya menjadi perhatian

bagi organisasi yang diperiksa dan juga pemeriksa BPK RI. Sedangkan ruang

lingkup dengan kode R3 yang membahas mengenai Kerangka Kerja Keamanan

Informasi dan ruang lingkup dengan kode R4 yang membahas mengenai

Pengelolaan Aset Informasi memiliki risiko Medium, yang artinya risiko tidak

terlalu berpengaruh bagi proses bisnis organisasi yakni terkait pengelolaan

keuangan akan tetapi perlu mendapat perhatian dari organisasi dan pemeriksa

BPK RI.

Sedangkan hasil kuesioner dapat dilihat juga nilai risiko inheren untuk tiap

aktivitas. Nilai risiko dari tiap aktivitas ditunjukkan pada Tabel 5.24.


121


Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas

Kode

Aktivitas

Pengendali

an

Proses

Kode

Indikator

Dampak

Kode

Indikator

Likelihood Dampak

Likeli

hood Risiko

A.5.1

Mendokumentasikan


policy

D.1.1 L.1.1

5 3

High


security Policy D.1.2 L.1.2

5 2 High

A.6.1 Organisasi internal D.1.3 L.1.3 4 4 High

A.6.2 Organisasi eksternal D.1.4 L.1.4 5 2 High

A.7.1 Tanggung jawab

terhadap aset

D.2.1,

D.2.3 L.2.1, L.2.3

5 2 High

A.7.2 Klasifikasi informasi D.2.2 L.2.2 5 2 High

A.10.2

Manajemen

Pelayanan Jasa Pihak

Ketiga

D.3.4,

D.3.5 L.3.4, L.3.5

4 3 High

A.10.3 Perencanaan dan

Keberterimaan Sistem D.3.1 L.3.1

5 2 High

A.10.5 Back-up D.3.2 L.3.2 5 2 High

A.10.8 Pertukaran informasi D.3.3 L.3.3 4 2 Medium

A.10.10 Pemantauan D.3.4 L.3.4 3 2 Medium

A.13.1

Pelaporan kejadian

dan kelemahan

keamanan informasi

D.3.5 L.3.5

4 3 High

A.13.2

Manajemen insiden

keamanan informasi

dan perbaikan

D.3.6 L.3.6

4 4 High


D.4.1,

D.4.2,

D.4.3

L.4.1, L.4.2,

L.4.3 4 3

High

A.8.3 Pengakhiran atau

perubahan pekerjaan D.4.4 L.4.4

4 1 Medium

A.9.1 Area yang aman D.4.5,

D.4.6 L.4.5, L.4.6

5 2 High

A.9.2 Keamanan Peralatan D.4.7 L.4.7 4 5 Very High

A.11.1 Persyaratan bisnis

untuk pengendalian D.4.8 L.4.8

4 2 Medium


122


Kode

Aktivitas

Pengendali

an

Proses

Kode

Indikator

Dampak

Kode

Indikator

Likelihood Dampak

Likeli

hood Risiko

akses

A.11.2 Manajemen akses

pengguna

D.4.9,

D.4.10

L.4.9,

L.4.10 4 3 High


pengguna D.4.10 L.4.10

5 3 High

A.11.4 Pengendalian akses

jaringan

D.4.10,

D.4.11,

D.4.12

L.4.10,

L.4.11,

L.4.12 4 3

High


sistem operasi D.4.13 L.4.13

3 5 High



D.4.10,

D.4.11,

D.4.12,D.

4.14

L.4.10,

L.4.11,

L.4.12,L.4.1

4 4 3

High

A.15.1 Kesesuaian dengan

persyaratan umum D.4.15 L.4.15

4 2 Medium

A.15.3 Pertimbangan audit

sistem informasi D.4.16 L.4.16

2 1 low

A.12.2 Pengolahan yang


D.5.3,

D.5.4 L.5.3, L.5.4

5 2 High

A.12.3 Pengendalian dengan

cara kriptografi D.5.1 L.5.1

3 4 High

A.12.4 Keamanan sistem file D.5.2 L.5.2 5 2 High

A.12.5

Keamanan dalam

proses pengembangan

dan pendukung

D.5.4 L.5.4

4 2 Medium

Tabel 5.24 menujukkan bahwa aktivitas yang berhubungan dengan keamanan

peralatan dengan kode A.9.2 memiliki risiko Very High yang mana

ditunjukkan dengan indikator keamanan peralatan pada saat diluar lokasi kerja.

Organisasi Pemerintah Kota Tangerang belum memiliki aturan atau kebijakan

mengenai pengelolaan aset informasi/peralatan pengolah informasi jika


123


digunakan di luar lokasi kerja sedangkan dampak bagi organisasi tinggi

sehingga risiko yang dihasilkan juga sangat tinggi.

Aktivitas dengan kode A.15.3 yakni pertimbangan audit sistem informasi

memiliki risiko Low yang mana menunjukkan bahwa risiko pada akivitas ini

tidak terlalu berpengaruh terhadap proses bisnis organisasi sehingga tidak

menjadi perhatian utama bagi organisasi dan pemeriksa BPK RI.

Aktivitas Pengakhiran atau perubahan pekerjaan (A.8.3), Pertukaran Informasi

(A.10.8), Pemantauan (A.10.10), Persyaratan bisnis untuk pengendalian akses

(A.11.1), Kesesuaian dengan persyaratan umum (A.15.1) dan Keamanan dalam

proses pengembangan dan pendukung (A.12.5) memiliki risiko Medium yang

menunjukkan bahwa dampak dari risiko aktivitas tersebut cukup berpengaruh

bagi organisasi akan tetapi tetap harus mendapat perhatian organisasi dan

pemeriksa.

Sedangkan aktivitas-aktivitas yang lainnya memiliki risiko High yang

menunjukkan bahwa peristiwa ancaman dapat diperkirakan mempunyai

beberapa efek merugikan yang besar pada operasi organisasi, aset organisasi,

individu, organisasi lain, atau negara sehingga harus mendapat perhatian bagi

Pemerintah Kota Tangerang dan Pemeriksa BPK RI.

Hasil penilaian risiko inheren yang telah diidentifikasi dijadikan pertimbangan

untuk penentuan kontrol yang dibutuhkan oleh setiap aktivitas yang ada.

Kemudian dari kontrol yang ada maka ditentukan nilai risiko residual dari

setiap aktivitas. Nilai residual didapat dari wawancara dengan pejabat yang ada

di Pemerintah Kota Tangerang.

Nilai risiko residual adalah sebagai berikut yang dipaparkan dalam Tabel 5.25

ini.


124


Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas

Kode

Aktivitas

Pengendalian

Proses Damp

ak Likelihood Risiko

A.5.1 Mendokumentasikan information

security policy Major Unlikely Medium

A.5.2 Kajian information security Policy Major Unlikely Medium

A.6.1 Organisasi internal Major Unlikely Medium

A.6.2 Organisasi eksternal Major Unlikely Medium

A.7.1 Tanggung jawab terhadap aset Extre

me Rare Medium

A.7.2 Klasifikasi informasi Extre

me Rare Medium

A.10.2 Manajemen Pelayanan Jasa Pihak

Ketiga

Moder

ate Unlikely Medium

A.10.3 Perencanaan dan Keberterimaan

Sistem

Extre

me Rare Medium

A.10.5 Back-up Major Unlikely Medium

A.10.8 Pertukaran informasi Moder

ate Rare Low

A.10.10 Pemantauan Moder

ate Rare Low

A.13.1 Pelaporan kejadian dan kelemahan

keamanan informasi Major Unlikely Medium

A.13.2 Manajemen insiden keamanan

informasi dan perbaikan Major Unlikely Medium

A.8.2 Selama bekerja Moder

ate Unlikely Medium

A.8.3 Pengakhiran atau perubahan

pekerjaan Major Rare Medium

A.9.1 Area yang aman Major Unlikely Medium

A.9.2 Keamanan Peralatan Major Moderate High

A.11.1 Persyaratan bisnis untuk

pengendalian akses

Moder

ate Rare Low

A.11.2 Manajemen akses pengguna Major Unlikely Medium

A.11.3 Tanggung jawab pengguna Major Unlikely Medium

A.11.4 Pengendalian akses jaringan Major Unlikely Medium

A.11.5 Pengendalian akses sistem operasi Moder

ate Likely High


125


Kode

Aktivitas

Pengendalian

Proses Damp

ak Likelihood Risiko

A.11.6 Pengendalian akses aplikasi dan

informasi

Moder

ate Moderate Medium

A.15.1 Kesesuaian dengan persyaratan

umum

Moder

ate Moderate Medium

A.15.3 Pertimbangan audit sistem informasi Insinig

hficant Rare Low

A.12.2 Pengolahan yang benar dalam

aplikasi Major Unlikely Medium

A.12.3 Pengendalian dengan cara kriptografi Moder

ate Unlikely Medium

A.12.4 Keamanan sistem file Moder

ate Unlikely Medium

A.12.5 Keamanan dalam proses

pengembangan dan pendukung

Moder

ate Rare Low

Tabel 5.25 memperlihatkan bahwa risiko residual untuk aktivitas pengendalian

akses sistem operasi (kode A.11.5) adalah High sedangkan untuk risiko

inherennya adalah high juga. Hal ini tidak ada perubahan status risiko

walaupun sudah terdapat kontrol-kontrol yang akan dan sudah diterapkan oleh

pemerintah Kota Tangerang. Kondisi ini disebebakan karena untuk alasan

kemudahan operasional maka nilai kecenderunganya masih cukup tinggi

terjadi.

c. Hasil pengisian formulir penilaian risiko

Pemeriksa BPK RI setelah melaksanakan program audit, maka dilanjutkan

dengan mengisi formulir penilaian risiko yang ada dalam kerangka kerja. Dasar

pengisian formulir adalah program pemeriksaan yang telah dilakukan. Formulir

berisi hasil identifikasi kelemahan, ancaman, risiko dan kontrol yang

dibutuhkan untuk setiap risiko tersebut.

Formulir penilaian risiko untuk Pemerintah Kota Tangerang dapat dilihat pada

Lampiran 6. Lampiran 6 adalah daftar kondisi tiap aktivitas yang ada dalam


126


ISO 27001, dimana aktivitas tersebut sudah dipetakan ke dalam ruang lingkup

pemeriksaan.

Setiap aktivitas akan diidentifikasi kelemahan, ancaman, risiko baik inheren

maupun residual selain itu pemeriksa mengidentifikasi kontrol dan rencana

kerja yang dibutuhkan untuk mengatasi risiko tersebut.

Formulir penilaian risiko ini juga dijadikan panduan dalam pemeriksaan

laporan keuangan karena setiap risiko aktivitas akan memiliki risiko deteksi

yang berbeda-beda untuk pelaksanaan pemeriksaan laporan keuangan.

Saat uji publik kerangka kerja penilaian risiko keamanan informasi dilakukan,

auditor memberikan masukan untuk penambahan penjelasan di kerangka kerja

kerja yakni pada bagian startegi mitigasi risiko.

Strategi mitigasi risiko pada kerangka kerja ada dua yakni Accept dan Not

accept. Pemeriksa ingin terdapat penjelasan mengenai ketentuan risiko

diAccept atau Not Accept. Berikut adalah ketentuan tambahan dalam strategi

mitigasi risiko kerangka kerja penilaian risiko keamanan informasi untuk

strategi Not accept, yakni

1. Terdapat perlindungan hukum yang memadai mencakup regulasi dan/atau

kontrak/perjanjian

2. Pemilik risiko dapat memastikan dengan tingkat keyakinan diatas 85%

bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada.

3. Maksimal memiliki tingkat konsekuensi pada level yang ditetapkan untuk di

Not Accept sesuai dengan toleransi dan selera risiko instansi yang telah

ditetakan.

5.7 Alat bantu Penilaian Risiko

Alat bantu penilaian risiko keamanan informasi akan diterapkan dalam bentuk

daftar pertanyaan yakni program pemeriksaan. Program pemeriksaan akan dibuat

dalam struktur yang memiliki tingkatan (leveling) untuk mengukur kelengkapan


127


baik secara dokumen atau pengendalian yang telah dilakukan untuk menunjang

keamanan informasi di organisasi tersebut.

Program pemeriksaan yang dibuat untuk mendukung proses assesment yang ada

pada kerangka kerja diatas.

Alat bantu ini juga menyediakan formulir penilaian risiko keamanan informasi

bagi pemeriksa BPK RI sehingga data penilaian risiko dapat tersimpan dengan

baik dan dapat dijadikan rujukan bagi pemeriksaan selanjutnya.

5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi

Aplikasi yang dibangun adalah aplikasi web based sehingga memudahkan para

pemeriksa untuk mengoperasikan aplikasi ini di lokasi pemeriksaan yang tersebar

dibeberapa daerah.

Gambar 5.8 adalah halaman depan untuk aplikasi risk assesment simulator yang

telah diujicobakan untuk menilai keamanan informasi terkait pengelolaan

keuangan pemerintah Kota Tangerang.

Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator

User aplikasi ini adalah salah satu pemeriksa BPK RI yang ditunjukkan untuk

tugas pelaksanaan penilain risiko pada entitas yang diperiksa. setelah berhasil

maka pemeriksa akan dihadapkan pada halaman ruang lingkup pemeriksaan yang


128


bisa dipilih oleh pemeriksa dengan mempertimbangkan hasil pemeriksaan

sebelumnya.

Gambar 5. 9 Halaman pilih ruang lingkup

Gambar 5.9 menunjukkan bahwa halaman ruang lingkup memberikan kemudahan

bagi pemeriksa untuk memilih ruang lingkup pemeriksaan. Ruang lingkup yang

tersedia adalah tata kelola tata kelola keamanan informasi, pengelolaan risiko

keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset

informasi dan teknologi dan keamanan informasi. Setiap ruang lingkup memiliki

tujuan yang berbeda-beda sesuai dengan perspektif pelaksanaan pemeriksaan

penilaian risiko keamanan informasi.

Gambar 5.10 ini menunjukkan halaman pertanyaan yang berisi program

pemeriksaan untuk setiap ruang lingkup yang telah dipilih oleh pemeriksa.

Program pemeriksaan berisi ruang lingkup, tujuan pemeriksaan, tahap

pelaksanaan yang terdiri dari langkah audit, bukti dari tiap langkah dan leveling

dari tiap langkah.


129


Gambar 5. 10 Halaman Pertanyaan

Pemeriksa memberikan nilai berupa level untuk tiap proses yang ada. Proses pada

aplikasi ini digambarkan melalui daftar pertanyaan yang disertai bukti untuk tiap

pertanyaan.

Hasil nilai level untuk tiap ruang lingkup pada proses uji publik untuk Pemerintah

Kota Tangerang adalah seperti Gambar 5.11 ini.


130


Gambar 5. 11 Halaman Hasil Penilaian Risiko

Pemeriksa mendapatkan gambaran hasil penilaian risiko secara grafik kemudian

pemeriksa memasukkan data penilaian risiko yang berisi kelemahan, ancaman,

nilai risiko inheren dan residual, kontrol, rencana kerja, risiko deteksi dan strategi

pemeriksaan untuk pemeriksaan laporan keuangan Pemerintah Kota Tangerang.


131



132


Gambar 5. 12 Halaman input data Risk Assesment

Data yang telah dimasukkan akan ditampilkan dalam layar seperti Gambar 5.10

berikut ini.

Gambar 5. 13 Halaman Tampilan Risk Assesment



BAB 6

KESIMPULAN DAN SARAN

Bab 6 akan menjelaskan mengenai kesimpulan dan saran dari penelitian ini.

Kesimpulan dan saran didapat dari hasil pengambilan, hasil pengolahan dan hasil

analisis data yang dilakukan oleh peneliti selama penelitian ini berlangsung.

6.1 Kesimpulan

Berdasarkan hasil penelitian mengenai pembuatan alat bantu dan kerangka kerja

penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan

keuangan konsolidasi pemerintah daerah untuk BPK RI, dapat diambil

kesimpulan sebagai berikut:

1. Penggabungan ISO 27001 dengan Standar Pemeriksaan Keuangan Negara

menghasilkan sebuah kerangka kerja penilaian risiko keamanan informasi

dalam proses perencanaan pemeriksaan keuangan yang sesuai dengan

kebutuhan pemeriksaan laporan keuangan pemerintah daerah dengan

mencakup:

a. Ruang lingkup tata kelola keamanan informasi, pengelolaan risiko

keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset

informasi dan teknologi dan keamanan informasi dalam prosedur akuntansi


b. 29 aktivitas pengendalian dan 68 praktik pengendalian yang ada dalam ISO

27001.

c. Formulir pengisian penilaian risiko keamanan informasi, tahapan penilaian

risiko keamanan informasi dan cara pengisian formulir. Selain itu dalam

kerangka kerja terdapat program pemeriksaan yang mendukung penilaian

risiko keamanan informasi

d. Indikator –indikator dampak dan kecenderungan yang dapat digunakan oleh

pemeriksa dalam menilai risiko untuk setiap ruang lingkup pemeriksaan dan


134


aktivitas yakni terdapat sebanyak 33 jenis indikator yang dapat diadopsi dari

ISO 27001.

2. Alat bantu berbasis web yang dirancang memudahkan pemeriksa dalam

menilai risiko keamanan informasi, selain itu pemeriksa dapat melihat record

penilaian risiko yang pernah dilakukan sebelumnya untuk dijadikan acuan pada

pemeriksaan penilaian risiko yang akan dilakukan.

6.2 Saran

Dari proses pembuatan alat bantu dan kerangka kerja penilaian risiko keamanan

informasi untuk proses perencanaan pemeriksaan laporan keuangan pemerintah

daerah, dapat disarankan pengembangan sebagai berikut:

1. Mengembangkan program audit yang bersifat application control terhadap

sistem pengelolaan keuangan pemerintah daerah.

2. Mengembangkan kerangka kerja dan alat bantu penilaian risiko keamanan

informasi pengelolaan keuangan untuk mendeteksi terjadinya fraud dalam

pengelolaan keuangan di pemerintah daerah.

3. Mengembangkan program audit untuk penilaian risiko di instansi pemerintah

daerah yang lain dengan metode risk assesment yang lain, misal NIST,

OCTAVE, Sarbanes Oxley section 404 atau IT Risk.



DAFTAR PUSTAKA

Arnason, S. T. (2008). How to achive 27001 Certification: An Example of Applied

Complience Management. New York, USA: Aurbach Publications.

Carlson, T. (2001). Information Security Management : Understanding ISO

17799. USA: Lucent Technologies Worldwide Service.

Dan Schroeder, T. S. (Juli, 2010). Risk-Based Audit. Certified Public Accountant,

104-111.

Direktorat Utama Perencanaan, E. P. (2013). Laporan Hasil Evaluasi . Jakarta:

Badan Pemeriksa Keuangan.

Djojosoedarso, a. S. (2005). Prinsip-Prinsip Manajemen Risiko dan Asuransi,

edisi revisi. Jakarta, Indonesia: Salemba Empat.

Gondodiyoto, S. (2003). Audit Sistem Informasi Pendekatan Konsep. Jakarta: PT.

Media Global Edukasi (McGraw-Hill Education).

H.Februariyanti. (Juli, 2006). Standar dan Manajemen Keamanan Komputer.

Jurnal Teknologi Informasi DINAMIK, Vol.XI No.2.

Hall, S. (2007). Information Technology Auditing and Assurance, Edisi ke-2,

terjemahan: Fitriasari Dewi. Jakarta: Salemba Empat.

J. E. Hunton, S. M. (2004). Core Concepts of Information Technology Auditing.

John Wiley & Sons.

Keuangan, D. J. (Oktober, 2011). Monitoring dan Evaluasi Penyelenggaraan

Sistem Informasi Keuangan Daerah. Jakarta: Kementerian Keuangan.

Madhukar. (2007). Risk Register Template v2 Guidance on Scoring. ISO 27001

Security.

Mattord, M. W. (2010). Management of Information Security, 3rd ed. Boston:

Cengage Learning.

Peltier, T. R. (2001). Information Security Risk Analysis. United States of

America: Auerbach.

Stalling, W. (1995). Network and Internetwork Security. Prentice Hall.


136


T.J. Mock, A. W. (1998). Audit Program Planning Using A Belief Function

Framework. University of Kansas.

W.Boyton. (2010). Modern Auditing 8th Edition . New York: John Wiley & Sons

Inc.


137


LAMPIRAN 1

Bagian awal untuk responden Auditor

Kepada Yth.

Responden Penelitian

Dalam mendukung penelitian dengan judul “PERANCANGAN ALAT BANTU DAN

KERANGKA KERJA PENILAIAN RISIKO KEAMANAN INFORMASI DALAM

PROSES PERENCANAAN PEMERIKSAAN LAPORAN KEUANGAN

KONSOLIDASI DI PEMERINTAH DAERAH : STUDI KASUS BPK RI

PERWAKILAN BANTEN”, peneliti mengharapkan kesedian Bapak/Ibu/Saudara untuk

mengisi kuesioner berikut. Kuesioner ini ditujukan untuk memperoleh informasi dari

Bapak/Ibu/Saudara dalam posisi sebagai auditor. Bapak/Ibu/Saudara cukup memilih

aktivitas pengendalian yang penting dalam keamanan informasi prosedur akuntansi di

sistem Pengelolaan Keuangan Pemerintah Daerah. Peneliti menggunakan aktivitas

pengendalian dalam ISO 27001. ISO 27001:2005 atau disebut dengan ISO 17799:2005-2

adalah suatu standar keamanan yang diperuntukan bagi institusi yang akan mengelola dan

mengontrol keamanan informasi nya .

Dalam survei ini, peneliti berharap mendapatkan informasi dari Bapak/Ibu/Saudara

berkaitan dengan aktivitas pengendalian apa yang dianggap penting dalam keamanan

informasi system pengelolaan keuangan pada instansi pemerintah daerah dari sudut

pandang auditor. Peneliti akan menggunakan hasil survei tersebut sebagai dasar

penyusunan program audit untuk menilai risiko keamanan informasi sistem pengelolaan

keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan keuangan

pemerintah daerah.

Informasi dari Bapak/Ibu/Saudara tersebut, semata-mata hanya untuk kepentingan

penelitian. Sehingga peneliti berharap Bapak/Ibu/Saudara mengisi berdasarkan tingkat

keyakinan sebagai seorang auditor.

Sekilas tentang Sistem Pengelolaan Keuangan Daerah

Sistem pengelolaan keuangan daerah adalah sistem terpadu dipergunakan sebagai alat

bantu pemerintah daerah yang digunakan meningkatkan efektifitas implementasi dari

berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan asas efisiensi,

ekonomis, efektif, transparan, akuntabel dan auditable. Prinsip dasar dari sistem ini

adalah

1. Kejelasan peranan dan pertanggungjawaban kebijakan fiskal

2. Ketersediaan informasi keuangan bagi masyarakat


138


3. Keterbukaan dalam perencanaan, pelaksanaan, dan pelaporan anggaran

4. Adanya jaminan independensi atas kebijakan fiskal yang baik

Demikian permohonan saya, atas kesediaan waktunya diucapkan terima kasih.

Peneliti,

Ika Septi Anggraeni

Bagian 1 Identitas Responden

1. Jenis Kelamin dan Usia

Laki-Laki Usia :

Perempuan Usia :

2. Pendidikan terakhir

D3 (atau dibawahnya ) S2

S1 S3

3. Masa Kerja di BPK RI

Kurang dari 4 tahun 10-12 tahun

4-6 tahun

12 tahun

keatas

7-9 tahun

4. Apakah anda pernah mengikuti pelatihan audit system informasi/teknologi informasi

Pernah Berapa kali Terakhir tahun

Belum pernah

5. Apakah anda pernah mengikuti audit system informasi/teknologi informasi


Belum pernah

6. Apakah anda pernah melakukan penilaian risiko keamanan informasi sistem

pengelolaan keuangan pemerintah daerah



139


Belum pernah

7. Apakah saat ini Anda sudah memiliki sertifikat pemeriksa sistem

informasi/teknologi informasi Certified Information Systems Auditor (CISA)?

Pernah

Tahun berapa anda

memperolehnya

Belum pernah

Bagian 2 Aktifitas Pengendalian Keamanan Informasi

Berdasarkan tingkat kepentingan dengan pelaksanaan sistem pengelolaan keuangan

daerah, mohon memberikan penilaian pada aktivitas pengendalian dalam pelaksanaan

keamanan informasi system pengelolaan keuangan daerah dengan melingkari skala

penilaian yang tersedia. Aktivitas tersebut mencakup proses keamanan informasi .

Skala penilaian adalah sebagai berikut:

N: Tidak Mungkin Diterapkan

1 : Tidak Penting

2 : Cukup Penting

3 : Penting

A.5. Security Policy

A5.1 Mendokumentasikan Information Security Policy

Mendokumentasikan disini adalah adanya dokumen policy terkait keamanan informasi

yang disetujui oleh manajemen, dipublikasikan serta dikomunikasikan kepada semua

karyawan

N 1 2 3

A5.2 Kajian Information Security Policy

Information Security Policy yang ada telah direview oleh manajemen sehingga jika

terjadi perubahan yang signifikan untuk memastikan kesesuaian, keefektifan dan

kecukupan yang berkelanjutan.

N 1 2 3

A.6. Organisasi Keamanan Informasi

A.6.1 Organisasi internal

Adanya komitmen oleh manajemen dengan mendukung secara aktif dan jelas

terkait penugasan eksplisit dan tanggung jawab keamanan informasi dan adanya

koordinasi pada wakil-wakil bagian organisasi sesuai dengan peran dan fungsi


140


kerjanya masing-masing selain itu adanya proses otorisasi dari manajemen terkait

fasilitas informasi, contoh : pemisahan fungsi akses informasi keuangan (bidang

anggaran, penatausahaan, bendahara, pelaporan ).

Adanya review independen yang dilakukan pengawas internal (inspektorat)

terkait keamanan informasi organisasi

N 1 2 3

A.6.2 Organisasi eksternal

Adanya penekanan keamanan perjanjian dengan pihak ketiga yang meliputi

pengaksesan, pengolahan dan pengkomunikasian informasi organisasi, misal

membuat kausal tambahan pada perjanjian dengan pihak ketiga yang berkaitan

dengan pengembangan aplikasi atau pengolahan informasi organisasi.

N 1 2 3

A.7. Pengolahan Aset

A.7.1 Tanggung jawab terhadap asset

Adanya manajemen aset yakni proses identifikasi dan inventarisasi dari aset yang

meliputi kepemilikan aset sebagai fasilitas pengolah informasi dan pembatasan

akses pada aset selain itu adanya penerapan aturan untuk penggunaan informasi

dan aset .

N 1 2 3

A.7.2 Klasifikasi informasi

Adanya pengklasifikasian aset sesuai dengan nilai, persyaratan hokum, sensitivitas

terhadap organisasi sehingga bentuk penanganan tiap asset disesuaikan dengan

kategorinya.

N 1 2 3

A.8. Keamanan Sumberdaya manusianya

A.8.1 Sebelum dipekerjakan

Adanya penyaringan atau screening yakni verifikasi latar belakang semua calon

pegawai, kontraktor dan pengguna pihak ketiga menurut undang-undang, hukum

dan etika yang berlaku serta adanya penandatanganan kontrak untuk bertanggung

jawab keamanan informasi organisasi.

N 1 2 3


Adanya kepedulian, pendidikan dan pelatihan keamanan informasi bagi semua

pegawai, kontraktor, pengguna pihak ketiga serta terdapat proses pendisiplinan


141


bagi semua pegawai, kontraktor, dan pengguna pihak ketiga yang melakukan

pelanggaran keamanan.

N 1 2 3

A.8.3 Pengakhiran atau perubahan pekerjaan

Adanya pengembalian asset organisasi yang digunakan oleh semua pegawai,

kontraktor, dan penguna pihak ketiga, selain itu terdapat penghapusan hak akses

terhadap informasi dan fasilitas pengolah informasi ketika pekerjaan atau kontrak

berakhir.

N 1 2 3

A.9. Keamanan Fisik dan Lingkungan

A.9.1 Area yang aman

Adanya perimeter keamanan fisik seperti access door dan perlindungan terhadap

ancaman lingkungan eksternal seperti smoked/fired detector serta adanya

pengaturan akses area public seperti lokasi bongkar muat barang.

N 1 2 3


Adanya penempatan dan perlindungan peralatan yang merupakan sarana untuk

membawa data dan informasi seperti keamanan kabel , pengamanan peralatan ini

tidak hanya didalam lokasi organisasi melainkan juga di luar lokasi serta terdapat

pemeliharaan peralatan.

N 1 2 3


A.10.1 Prosedur Operasional dan Tanggung jawab

Adanya prosedur pengoperasian fasilitas informasi yang berisi manajemen

perubahan terhadap fasilitas dan system pengolahan informasi, pemisahan tugas

dalam penggunaan fasilitas informasi.

N 1 2 3

A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga

Adanya penerapan dan pemeliharaan tingkat keamanan informasi dan pelayanan

jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga seperti adanya

pemantauan, pengkajian dan audit secara regular terkait jasa, laporan dan rekaman

yang diberikan pihak ketiga.

N 1 2 3


142


A.10.3 Perencanaan dan Keberterimaan Sistem

Adanya manajemen kapasitas yakni penggunaan sumber daya yang harus dipantau,

disesuaikan dan diproyeksikan selain itu proses upgrade sistem harus ditetapkan

dan dilakukan pengujian sistem.

N 1 2 3

A.10.4 Perlindungan terhadap malicious dan mobile code

Adanya pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan dari

malicious code serta terdapat pengendalian penggunaan mobile code yang sesuai

dengan prosedur keamanan informasi organisasi

N 1 2 3

A.10.5 Back-up

Adanya proses pengambilan dan pengujian secara berkala salinan back-up

informasi dan perangkal lunak sesuai dengan kebijakan back-up yang disetujui.

N 1 2 3

A.10.6 Manajemen Keamanan Jaringan

Adanya perlindungan informasi dalam jaringan dan perlindungan infrastruktur

pendukung, seperti perlindungan jaringan dan pengidentifikasian fitur keamanan,

tingkat layanan dan persyaratan manajemen yang kemudian dituangkan dalam

perjanjian layanan jaringan baik in-house atau alih daya.

N 1 2 3

A.10.7 Penanganan Media

Adanya upaya untuk mencegah terjadinya pengungkapan, modifikasi, pemindahan

atau pemusnahan aset yang tidak sah dan gangguan bisnis dengan cara pembuatan

prosedur manajemen media, pemusnahan media, penanganan informasi dan

pembatasan akses pada dokumen system.

N 1 2 3

A.10.8 Pertukaran informasi

Adanya pemeliharaan keamanan informasi dan perangkat lunak yang dipertukarkan

dalam suatu organisasi dan dengan setiap entitas eksternal seperti kebijakan dan

prosedur pertukaran informasi

N 1 2 3


143


A.10.9 Layanan electronic commerce

Adanya keamanan layanan electronic commerce dan keamanan penggunaannya

N 1 2 3

A.10.10 Pemantauan

Adanya pengendalian untuk mendeteksi kegiatan pengolahan informasi yang tidak

sah seperti log audit, perlindungan informasi log, log administrator dan operator

dan sinkronisasi penunjuk waktu.

N 1 2 3


A.11.1 Persyaratan bisnis untuk pengendalian akses

Adanya kebijakan terkait pengendalian akses pada semua asset informasi di

organisasi

N 1 2 3

A.11.2 Manajemen akses pengguna

Adanya prosedur untuk memastikan akses oleh pengguna yang sah melalui

pendaftaran pengguna, manajemen password pengguna.

N 1 2 3

A.11.3 Tanggung jawab pengguna

Adanya prosedur untuk meningkatkan rasa tanggung jawab dari pengguna fasilitas

informasi, misal kebijakan clear desk dan clear screen dan adanya perlindungan

peralatan informasi yang ditinggalkan oleh pengguna .

N 1 2 3

A.11.4 Pengendalian akses jaringan

Adanya upaya pencegahan akses yang tidak sah kedalam jaringan misal kebijakan

penggunaan layanan jaringan, perlindungan terhadap remote diagnostic dan

configuration port

N 1 2 3

A.11.5 Pengendalian akses sistem operasi

Adanya upaya pencegahan akses tidak sah ke dalam system operasi misal prosedur

log-on yang aman, identifikasi dan otentikasi pengguna dan sesi time-out.


144


N 1 2 3

A.11.6 Pengendalian akses aplikasi dan informasi

Adanya upaya pencegahan akses tidak sah pada aplikasi dan informasi misal isolasi

sistem yang sensitive.

N 1 2 3

A.11.7 Mobile computing dan kerja jarak jauh

Adanya kebijakan yang mengatur kegiatan mobile computing dan kerja jarak jauh

untuk menjaga keamanan informasi.

N 1 2 3

A.12 Akusisi, pengembangan dan pemeliharaan sistem informasi

A.12.1 Persyaratan keamanan dari sistem informasi

Adanya analisa dan spesifikasi persyaratan keamanan untuk sistem informasi yang

ada.

N 1 2 3

A.12.2 Pengolahan yang benar dalam aplikasi

Adanya validasi data yang akan dimasukkan dalam aplikasi sehingga data yang

dimasukkan dalam aplikasi benar selain itu adanya validasi data keluaran aplikasi

agar memastikan proses pengolahan informasinya benar.

N 1 2 3

A.12.3 Pengendalian dengan cara kriptografi

Adanya kebijakan tentang penggunaan pengendalian kriptografi.

N 1 2 3

A.12.4 Keamanan sistem file

Adanya prosedur untuk mengendalikan instalasi perangkat lunak pada sistem

operasional serta pembatasan akses ke kode sumber program harus dibatasi .

N 1 2 3

A.12.5 Keamanan dalam proses pengembangan dan pendukung

Adanya pengendalian pengembangan perangkat lunak yang dialihdayakan harus

disupervisi dan dipantau oleh organisasi.


145


N 1 2 3

A.12.6 Manajemen Kerawanan Teknis

Adanya pengendalian kerawanan yang mungkin muncul dari sistem informasi

yang digunakan sehingga tidak menimbulkan risiko.

N 1 2 3

A.13 Manajemen Insiden Keamanan Informasi

A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi

Adanya pelaporan terkait kelemahan yang diamati dan dicurigai dalam sistem

atau layanan oleh pegawai, kontraktor, dan pengguna pihak ketiga

N 1 2 3

A.13.2 Manajemen insiden keamanan informasi dan perbaikan

Adanya prosedur penanganan jika terjadi insiden keamanan informasi baik

pendeteksi insiden, pengumpulan bukti jika melibatkan orang atau organisasi

tertentu dan peningkatan setelah insiden terjadi.

N 1 2 3

A.14 Manajemen Keberlanjutan Bisnis ( Businees Continuity Management )

A.14.1 Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis

Adanya prosedur untuk identifikasi risiko yang mungkin mengganggu

keberlanjutan bisnis atau proses bisnis dalam organisasi.

N 1 2 3

A.15 Kesesuaian

A.15.1 Kesesuaian dengan persyaratan umum

Adanya upaya pencegahan pelanggaran terhadap undang-undang, peraturan

perundang-undangan dan setiap persyaratan keamanan informasi seperti

perlindungan data dan rahasia informasi pribadi, perlindungan rekaman organisasi

N 1 2 3

A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan

teknis

Adanya pengendalian untuk memastikan secara berkala sistem informasi telah

memenuhi persyaratan teknis terhadap standar penerapan keamanan.


146


N 1 2 3

A.15.3 Pertimbangan audit sistem informasi

Adanya pengendalian audit sistem informasi yang melibatkan pengecekan sistem

operasional direncanakan dengan hati-hati untuk meminimalisasi risiko dari

gangguan proses bisnis serta perlindungan terhadap alat audit informasi.

N 1 2 3


147


LAMPIRAN 2

Hasil Tabulasi Wawancara

Kode

Aktivitas

Pengendalian

Proses RI R2 R3 R4 Rata-

rata

Pembulatan Tingkat

A.5 Security Policy

A.5.1 Mendokumentasik

an Information

Security Policy

3 1 3 3 2,5 3 Penting

A.5.2 Kajian Information

Security Policy

3 3 2 3 2,75 3 Penting

A.6 Organisasi

Keamanan

Informasi

A.6.1 Organisasi internal 3 3 3 3 3 3 Penting

A.6.2 Organisasi

eksternal

3 3 2 3 2,75 3 Penting

A.7 Pengolahan Aset


terhadap asset

3 3 3 3 3 3 Penting

A.7.2 Klasifikasi

informasi

3 2 2 3 2,5 3 Penting

A.8 Keamanan

Sumberdaya

manusianya

A.8.1 Sebelum

dipekerjakan

1 2 2 3 2 2 Cukup

penting

A.8.2 Selama bekerja 2 3 2 3 2,5 3 Penting

A.8.3 Pengakhiran atau

perubahan

pekerjaan

3 3 2 3 2,75 3 Penting

A.9 Keamanan Fisik

dan Lingkungan

A.9.1 Area yang aman 3 3 1 3 2,5 3 Penting

A.9.2 Keamanan

Peralatan

1 3 2 3 2,25 1 Tidak

penting

A.10 Manajemen

Komunikasi dan

Operasi

A.10.1 Prosedur

Operasional dan

Tanggung jawab

1 3 2 2 2 2 Cukup

penting

A.10.2 Manajemen

Pelayanan Jasa

Pihak Ketiga

1 2 2 3 2 2 Cukup

penting

A.10.3 Perencanaan dan

Keberterimaan

Sistem

2 3 2 3 2,5 3 Penting


148


Kode

Aktivitas

Pengendalian


rata

Pembulatan Tingkat

A.10.4 Perlindungan

terhadap malicious

dan mobile code

1 3 1 1 1,5 2 Cukup

penting

A.10.5 Back-up 3 3 2 3 2,75 3 Penting

A.10.6 Manajemen

Keamanan

Jaringan

1 3 2 3 2,25 2 Cukup

penting

A.10.7 Penanganan Media 0 3 2 1 1,5 2 Cukup

penting

A.10.8 Pertukaran

informasi

2 2 2 2 2 2 Cukup

penting

A.10.9 Layanan electronic

commerce

0 0 0 0 0 0 Tidak

mugkin

diterapkan

A.10.10 Pemantauan 3 2 2 3 2,5 3 Penting

A.11 Pengendalian

Akses

A.11.1 Persyaratan bisnis

untuk

pengendalian akses

3 2 2 3 2,5 3 Penting

A.11.2 Manajemen akses

pengguna

1 2 2 3 2 2 Cukup

penting


pengguna

3 2 2 3 2,5 3 Penting


jaringan

3 2 2 3 2,5 3 Penting


sistem operasi

3 2 2 3 2,5 3 Penting


aplikasi dan

informasi

3 2 2 3 2,5 3 Penting

A.11.7 Mobile computing

dan kerja jarak

jauh

1 1 0 1 0,75 1 Tidak

penting

A.12 Akusisi,

pengembangan dan

pemeliharaan

sistem informasi

A.12.1 Persyaratan

keamanan dari

sistem informasi

2 2 2 2 2 2 Cukup

penting

A.12.2 Pengolahan yang

benar dalam

aplikasi

3 3 3 3 3 3 Penting

A.12.3 Pengendalian

dengan cara

kriptografi

1 2 2 2 1,75 2 Cukup

penting

A.12.4 Keamanan sistem

file

3 3 2 3 2,75 3 Penting


149


Kode

Aktivitas

Pengendalian


rata

Pembulatan Tingkat

A.12.5 Keamanan dalam

proses

pengembangan dan

pendukung

3 2 2 3 2,5 3 Penting

A.12.6 Manajemen

Kerawanan Teknis

2 2 2 3 2,25 2 Cukup

penting

A.13 Manajemen

Insiden Keamanan

Informasi

A.13.1 Pelaporan kejadian

dan kelemahan

keamanan

informasi

3 2 2 3 2,5 3 Penting

A.13.2 Manajemen

insiden keamanan

informasi dan

perbaikan

3 3 3 3 3 3 Penting

A.14 Manajemen

Keberlanjutan

Bisnis ( Businees

Continuity

Management )

A.14.1 Aspek Keamanan

Informasi dari

manajemen

keberlanjutan

bisnis

2 3 2 2 2,25 2 Cukup

penting

A15 Kesesuaian

A.15.1 Kesesuaian dengan

persyaratan umum

3 3 2 3 2,75 3 Penting

A.15.2 Pemenuhan

terhadap kebijakan

keamanan dan

standar, dan

pemenuhan teknis

1 3 2 3 2,25 2 Cukup

penting

A.15.3 Pertimbangan audit

sistem informasi

3 3 2 3 2,75 3 Penting


150


LAMPIRAN 3

Kerangka Kerja Penilaian Risiko Keamanan Informasi Pemerintah Daerah

1. Formulir penilaian risiko keamanan informasi

Penilaian risiko keamanan informasi pemerintah daerah menggunakan formulir sebagaimana digambarkan dalam tabel dibawah ini :

Kode ruang lingkup

Ruang lingkup

Kode aktivitas pengendalian

Aktivitas pengendalian

Ref. Program Pemeriksaan Kerawanan Ancaman

Kontrol yang ada

Strategi Mitigasi risiko

Rencana Kerja

Target Penyelesaian

Risiko Deteksi

Strategi Pemeriks

aan Dampak Kecenderungan Nilai Risiko Dampak Kecenderungan Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

Inheren Residual

Untuk dapat mengisi formulir tersebut, pemeriksa terlebih dahulu harus memiliki pemahaman yang mendalam terhadap proses bisnis

entitas/organisasi serta hasil evaluasi dan pengujian pengendalian intern entitas secara kualitatif (dengan wawancara dan cek fisik) dan

kuantitatif (pemberian kuesioner penilaian tingkat risiko).

Identifikasi yang dicantumkan dalam ilustrasi dibawah ini masih/dapat dikembangkan oleh pemeriksa berdasarkan keadaan pada entitas yang

bersangkutan.


151


2. Tahapan penilaian risiko keamanan informasi

Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk

semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah

pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang dibawah

ini.

a. Langkah Audit Tahap Perencanaan

Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan audit

teknologi informasi dalam penilaian risiko keamanan informasi di pemerintah daerah.

Tahapan yang dilakukan yakni:

1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem pengelolaan

keuangan pemerintah daerah oleh auditor lain. Review ini dilakukan atas organisasi

yang akan dilakukan pemeriksaan.

2. Menentukan ruang lingkup audit berdasarkan hasil review.

3. Membuat program audit yang rinci dan tepat.

4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit.

5. Menentukan jadwal dan anggaran untuk melakukan audit.

6. Menyiapkan penugasan dalam bentuk surat tugas

7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk

menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi

untuk menyiapkan dokumen awal sebagai bahan untuk audit.

Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya

pada tahap pelaksanaan

b. Langkah Audit Tahap Pelaksanaan

Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup yang

akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil review dari

pemeriksaan penilaian risiko keamanan informasi sebelumnya.

Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor yakni

dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat proses

keamanan informasi secara langsung di entitas terkait.

Setelah melakukan langkah audit diatas, maka auditor dapat melakukan pendeteksian

kelemahan berdasarkan hasil audit. hasil audit yang ada akan digunakan untuk

mengevaluasi risiko dari keamanan informasi pada entitas tersebut.

c. Langkah Audit Tahap Penyelesaian


152


Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai risiko

keamanan informasi dijadikan input/masukan pada tahap penyelesaian. Pada tahapan

ini auditor melakukan hal-hal berikut ini :

1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan

dalam audit.

2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada.

3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman

yang ada.

4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan

tanggapan atas temuan audit.

5. Membuat laporan audit.

3. Pengisian formulir penilaian risiko keamanan informasi

Berikut petunjuk pengisian masing-masing kolom formulir penilaian risiko keamanan

informasi

a. Kolom 1 (Kode ruang lingkup)

Diisi dengan kode ruang lingkup, misal R.1, R.2, R.3, R.4 dan R.5.

b. Kolom 2 ( Ruang lingkup )

Diisi dengan nama ruang lingkup, ruang lingkup ini dapat dipilih oleh pemeriksa

sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas yang diperiksa.

Berikut adalah daftar ruang lingkup yang ada beserta sasarannya.

Kode ruang lingkup Ruang lingkup Sasaran

R.1 Review tata kelola keamanan

informasi

Mengevaluasi kesiapan bentuk tata kelola

keamanan informasi beserta fungsi selain itu

serta tugas dan tanggung jawab pengelola

keamanan informasi terkait prosedur

akuntansi sistem pengelolaan keuangan

R.2 Review pengelolaan risiko

keamanan informasi

Mengevaluasi kesiapan penerapan

pengelolaan risiko keamanan informasi

R.3 Review Kerangka Kerja

Keamanan Informasi

Mengevaluasi kesiapan kebijakan dan

prosedur pengelolaan keamanan informasi dan

strategi penerapannya

R.4 Review Pengelolaan Aset

Informasi

Mengevaluasi kelengkapan pengamanan aset

informasi termasuk siklus penggunaanya

R.5 Review Teknologi dan

Keamanan Informasi

Mengevaluasi kelengkapan, konsistensi dan

efektifitas penggunaan teknologi dalam

pengamanan aset informasi

*catatan : pemeriksa dapat menambah ruang lingkup yang ada sesuai dengan

kebutuhan dan kondisi organisasi.


153


c. Kolom 3 (Kode aktivitas pengendalian)

Diisi dengan kode aktivitas pengendalian. Misal A.5.1, A.5.2 dst..

d. Kolom 4 (Aktivitas pengendalian)

Diisi dengan nama aktivitas pengendalian. aktivitas pengendalian ini dapat dipilih

oleh pemeriksa sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas

yang diperiksa. akan tetapi kerangka kerja ini sudah menyediakan pengelompokan

aktivitas pengendalian yang memiliki sasaran yang sama kedalam ruang lingkup

yang sama juga. Berikut pengelompokan dari aktivitas pengendalian yang ada

Kode Aktivitas

Pengendalian Proses Kode R.Lingkup Kode R.Lingkup Ruang Lingkup

A.5.1 Mendokumentasikan Information Security Policy R.1 R.1 Review Tata Kelola Keamanan informasi

A.5.2 Kajian Information Security Policy R.1 R.2 Review Pengelolaan Risiko Keamanan informasi

A.6.1 Organisasi internal R.1 R.3 Review Kerangka Kerja Keamanan Informasi

A.6.2 Organisasi eksternal R.1 R.4 Review Pengelolaan Aset Informasi

A.7.1 Tanggung jawab terhadap asset R.2 R.5 Review Teknologi dan Keamanan Informasi

A.7.2 Klasifikasi informasi R.2

A.8.2 Selama bekerja R.4

A.8.3 Pengakhiran atau perubahan pekerjaan R.4

A.9.1 Area yang aman R.4

A.9.2 Keamanan Peralatan R.4

A.10.3 Perencanaan dan Keberterimaan Sistem R.3

A.10.5 Back-up R.3

A.10.8 Pertukaran informasi R.3

A.10.10 Pemantauan R.3

A.11.1 Persyaratan bisnis untuk pengendalian akses R.4

A.11.2 Manajemen akses pengguna R.4

A.11.3 Tanggung jawab pengguna R.4

A.11.4 Pengendalian akses jaringan R.4

A.11.5 Pengendalian akses sistem operasi R.4

A.11.6 Pengendalian akses aplikasi dan informasi R.4

A.12.2 Pengolahan yang benar dalam aplikasi R.5

A.12.3 Pengendalian dengan cara kriptografi R.5

A.12.4 Keamanan sistem file R.5

A.12.5 Keamanan dalam proses pengembangan dan pendukung R.5

A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi R.3

A.13.2 Manajemen insiden keamanan informasi dan perbaikan R.3

A.15.1 Kesesuaian dengan persyaratan umum R.4

A.15.3 Pertimbangan audit sistem informasi R.4

e. Kolom 5 (Ref. Progam Pemeriksaan)

Diisi dengan reference pada program pemeriksaan. Misalnya reff pada program

langkah R.1.1.a yang artinya program pemeriksaan di kode ruang lingkup R.1

pada langkah yang ke 1.a .

Program pemeriksaan dan bukti audit yang dilakukan untuk penilaian risiko

keamanan informasi dapat dilhat pada lampiran 1.

f. Kolom 6 (kerawanan/vulnerability), Kolom 7 (ancaman)

Diisi dengan deskripsi kerawanan dan ancaman yang dapat diidentifikasi oleh

pemeriksa. kerawanan merupakan kekurangan yang dimiliki organisasi dan dapat

menjadi ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui


154


kerawanan dari organisasi dapat dianalisa dari hasil audit yang dilakukan sesuai

dengan program pemeriksaan untuk penilaian risiko keamanan informasi pada

lampiran 1.

Kemudian analisa ancaman didapat dari kerawanan yang dapat dieksplore oleh

threat agent sehingga menimbulkan risiko kerugian bagi organisasi.

Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup

yang ada dalam lampiran 1

Penetapan kerawanan dan ancaman yang ada berasal dari aktivitas pengendalian

yang ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas

pengendalian tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen

maupun secara teknikal maka auditor dapat menetapkan hal tersebut sebagai

sebuah kerawanan dan ancaman.

g. Kolom 8 (inheren Risk : dampak)

Inheren risk adalah kerentanan suatu proses TI untuk memberikan risiko kerugian

bagi organisasi, dengan asumsi tidak terdapat pengendalian atas proses TI terkait.

Untuk melihat nilai dampak kerentanan suatu proses TI tersebut maka auditor

dapat mengidentifikasi dengan dua cara, yakni :

Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada

organisasi yang diperiksa atau auditee. Penilaiannya berupa Extreme, Major,

Moderate, Minor dan Insignificant. Definisi skala dampak dapat dilihat pada

tabel dibawah ini

Klasifikasi Definisi

Extreme

Permasalahan yang terjadi mengakibatkan layanan hingga tidak dapat digunakan

sama sekali.

Major

Permasalahan yang terjadi dapat menyebabkan terhentinya layanan secara tiba-

tiba mengakibatkan kerusakan dan biaya yang mahal namun dapat bertahan

Moderate

Permasalahan yang terjadi mengganggu berjalannya layanan sehari-hari dan tidak

sampai berakibat terhentinya layanan, namun biaya yang dibutuhkan tidak sedikit

Minor

Permasalahan yang terjadi berpotensi mengganggu berjalannya layanan di

kemudian hari namun terbatas sehingga dibutuhkan biaya

Insignificant Permasalahan yang terjadi tidak mengganggu berjalannya layanan di kemudian

hari sehingga biaya dapat diabaikan


155


Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada

pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi

tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur dampak dari

risiko yang ada. Tiap indikator akan di nilai berdasarkan skala kuantitatif

dampak berikut ini


5 Extreme

> 80 to 100%

Permasalahan yang terjadi mengakibatkan layanan hingga tidak

dapat digunakan sama sekali.

4 Major

> 62 to 80%

Permasalahan yang terjadi dapat menyebabkan terhentinya

layanan secara tiba-tiba mengakibatkan kerusakan dan biaya

yang mahal namun dapat bertahan

3 Moderate

> 25 to 62%

Permasalahan yang terjadi mengganggu berjalannya layanan

sehari-hari dan tidak sampai berakibat terhentinya layanan,

namun biaya yang dibutuhkan tidak sedikit

2 Minor

> 5 to 25%

Permasalahan yang terjadi berpotensi mengganggu berjalannya

layanan di kemudian hari namun terbatas sehingga dibutuhkan

biaya

1 Insignificant

5% or less

Permasalahan yang terjadi tidak mengganggu berjalannya

layanan di kemudian hari sehingga biaya dapat diabaikan

Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang

lingkup yang ada sebagai berikut.

Kode risiko

ruang lingkup

Jenis risiko Kode Indikator

dampak

Deskripsi Indikator

dampak

KR.1 Tata kelola keamanan

informasi

D.1.1 Information Security

Policy

D.1.2 Kajian Information

Security Policy

D.1.3 Kesadaran keamanan

informasi

D.1.4 MOU dengan pihak

eksternal

KR.2 pengelolaan risiko

keamanan informasi

D.2.1 Inventarisasi Aset

D.2.2 Klasifikasi Informasi

D.2.3 Monitoring risiko terkait

TI


156


Kode risiko

ruang lingkup


dampak

Deskripsi Indikator

dampak

KR.3 Kerangka Kerja

Keamanan informasi

D.3.1 Compensating control


D.3.2 Back-up

D.3.3 Prosedur pertukaran

informasi

D.3.4 Audit Log

D.3.5 Pelaporan kejadian dan

kelemahan keamanan

informasi

D.3.6 Pemeliharaan aset TI


Informasi

D.4.1 Pelatihan keamanan

informasi

D.4.2 Pelanggaran

D.4.3 Pemisahan tugas (job

description)

D.4.4 Pengembalian aset dan


D.4.5 Akses ke ruang data

center

D.4.6 Penanggulangan bencana

D.4.7 Prosedur keamanan


kerja

D.4.8 Kebijakan pengendalian

akses

D.4.9 Pengelolaan hak akses

D.4.10 Manajemen password

D.4.11 Update antivirus

D.4.12 Kehandalan antivirus

D.4.13 Sesi time-out

D.4.14 Pengelolaan email

D.4.15 HAKI (Hak Kekayaan

Intelektual)

D.4.16 Pertimbangan audit sistem

informasi

KR.5 Teknologi dan

keamanan informasi

D.5.1 Enkripsi

D.5.2 Pengendalian akses



157


Kode risiko

ruang lingkup


dampak

Deskripsi Indikator

dampak

program

D.5.3 Konten aplikasi

D.5.4 Pengembangan aplikasi

*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai

dengan kebutuhan dan kondisi organisasi.

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator

dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai

rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat memberikan

penilaian dampak atas tiap aktivitas pengendalian yang ada dengan melihat

relevansi antara jenis ruang lingkup, aktivitas pengendalian dan indikator

dampak dibawah ini.

Kode risiko

ruang

lingkup

Kode Aktivitas

Pengendalian

Proses Kode

Indikator

dampak

Jumlah

Indikator



policy

D.1.1 1


security Policy

D.1.2 1

A.6.1 Organisasi internal D.1.3 1

A.6.2 Organisasi eksternal D.1.4 1

KR.2

A.7.1

Tanggung jawab

terhadap asset

D.2.1, D.2.3 2

A.7.2 Klasifikasi informasi D.2.2 1

KR.3

A.10.2

Manajemen Pelayanan

Jasa Pihak Ketiga

D.3.4, D.3.5 2

A.10.3

Perencanaan dan


D.3.1 1

A.10.5 Back-up D.3.2 1

A.10.8 Pertukaran informasi D.3.3 1

A.10.10 Pemantauan D.3.4 1

A.13.1

Pelaporan kejadian

dan kelemahan

keamanan informasi

D.3.5 1

A.13.2

Manajemen insiden

keamanan informasi

D.3.6 1


158


Kode risiko

ruang

lingkup

Kode Aktivitas

Pengendalian

Proses Kode

Indikator

dampak

Jumlah

Indikator

dan perbaikan

KR.4


D.4.1, D.4.2,

D.4.3

3

A.8.3

Pengakhiran atau

perubahan pekerjaan

D.4.4 1

A.9.1 Area yang aman D.4.5, D.4.6 2

A.9.2 Keamanan Peralatan D.4.7 1

A.11.1

Persyaratan bisnis

untuk pengendalian

akses

D.4.8 1

A.11.2

Manajemen akses

pengguna

D.4.9, D.4.10 2

A.11.3

Tanggung jawab

pengguna

D.4.10 1

A.11.4

Pengendalian akses

jaringan

D.4.10,

D.4.11, D.4.12

3

A.11.5

Pengendalian akses

sistem operasi

D.4.13 1

A.11.6

Pengendalian akses


D.4.10,

D.4.11,

D.4.12,D.4.14

4

A.15.1

Kesesuaian dengan

persyaratan umum

D.4.15 1

A.15.3

Pertimbangan audit

sistem informasi

D.4.16 1

KR.5

A.12.2

Pengolahan yang


D.5.3, D.5.4 2

A.12.3

Pengendalian dengan

cara kriptografi

D.5.1 1

A.12.4 Keamanan sistem file D.5.2 1

A.12.5

Keamanan dalam

proses pengembangan

dan pendukung

D.5.4 1

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator

dampak di tiap jenis proses aktivitas pengendalian yang ada kemudian

dihitung nilai rata-ratanya (pembulatan keatas).


159


Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner

ini bukan acuan baku dalam pelaksanaan penilaian dampak sehingga

pemeriksa dapat merubah sesuai dengan kondisi yang ada.

h. Kolom 9 (inheren risk : kecenderungan)

Untuk melihat nilai kecenderungan kerentanan suatu proses TI tersebut maka auditor

dapat mengidentifikasi dengan dua cara, yakni :

Cara kualitatif : nilai kecenderungan diperoleh dari hasil wawancara auditor kepada

organisasi yang diperiksa atau auditee. Penilaiannya berupa Almost certain, Likely,

Moderate, Unlikely dan Rare. Definisi skala dampak dapat dilihat pada tabel

dibawah ini.

Klasifikasi Definisi

Almost

certain

Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali.

Alternatif sangat diperlukan dan tindakan mitigasi harus segera

dilakukan

Likely

Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif

akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan

Moderate


melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus

mempertimbangkan tindakan mitigasi.

Unlikely Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada kemungkinan

akan mengalaminya di masa depan. Sehingga strategi saat ini harus

mengatasi insiden yang terjadi.

Rare Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah

dan cepat.

Cara kuantitatif : nilai kecenderungan diperoleh dari pemberian kuesioner

kepada pihak-pihak yang terkait dalam pengelolaan keamanan informasi di

organisasi tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur

kecenderungan dari risiko yang ada. Tiap indikator akan di nilai berdasarkan

skala kuantitatif dampak berikut ini


5 Almost certain

> 80 to 100%

Berlangsung terus menerus dan tidak ada usaha perbaikan sama

sekali. Alternatif sangat diperlukan dan tindakan mitigasi harus

segera dilakukan


160



4 Likely

> 62 to 80%

Berlangsung terus menerus dan sedikit ada usaha perbaikan.

Alternatif akan diperlukan dan menentukan tindakan mitigasi

yang dibutuhkan

3 Moderate

> 25 to 62%


melakukan usaha perbaikan. Alternatif mungkin diperlukan dan

harus mempertimbangkan tindakan mitigasi.

2 Unlikely

> 5 to 25%

Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada

kemungkinan akan mengalaminya di masa depan. Sehingga

strategi saat ini harus mengatasi insiden yang terjadi.

1 Rare

5% or less

Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan

mudah dan cepat.

Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang

lingkup yang ada sebagai berikut.

Kode risiko

ruang

lingkup

Jenis risiko Kode

Indikator

Deskripsi Indikator

Likelihood

KR.1 tata kelola keamanan

informasi

L.1.1 Information Security

Policy

L.1.2 Kajian Information

Security Policy

L.1.3 Kesadaran keamanan

informasi

L.1.4 MOU dengan pihak

eksternal

KR.2 Pengelolaan risiko

keamanan informasi

L.2.1 Inventarisasi Aset

L.2.2 Klasifikasi Informasi

L.2.3 Monitoring risiko terkait

TI

KR.3 Kerangka Kerja

Keamanan informasi

L.3.1 Compensating control


L.3.2 Back-up

L.3.3 Prosedur pertukaran

informasi


161


Kode risiko

ruang

lingkup

Jenis risiko Kode

Indikator

Deskripsi Indikator

Likelihood

L.3.4 Audit Log

L.3.5 Pelaporan kejadian dan

kelemahan keamanan

informasi

L.3.6 Pemeliharaan aset TI


Informasi

L.4.1 Pelatihan keamanan

informasi

L.4.2 Pelanggaran

L.4.3 Pemisahan tugas (job

description)

L.4.4 Pengembalian aset dan


L.4.5 Akses ke ruang data

center

L.4.6 Penanggulangan bencana

L.4.7 Prosedur keamanan


kerja

L.4.8 Kebijakan pengendalian

akses

L.4.9 Pengelolaan hak akses

L.4.10 Manajemen password

L.4.11 Update antivirus

L.4.12 Kehandalan antivirus

L.4.13 Sesi time-out

L.4.14 Pengelolaan email

L.4.15 HAKI (Hak Kekayaan

Intelektual)

L.4.16 Pertimbangan audit

sistem informasi

KR.5 Teknologi dan

keamanan informasi

L.5.1 Enkripsi

L.5.2 Pengendalian akses


162


Kode risiko

ruang

lingkup

Jenis risiko Kode

Indikator

Deskripsi Indikator

Likelihood


program

L.5.3 Konten aplikasi

L.5.4 Pengembangan aplikasi

*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai

dengan kebutuhan dan kondisi organisasi.

Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari

indikator dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian

dihitung nilai rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat

memberikan penilaian kecenderungan atas tiap aktivitas pengendalian yang

ada dengan melihat relevansi antara jenis ruang lingkup, aktivitas

pengendalian dan indikator kecenderungan dibawah ini.

Kode risiko

ruang

lingkup

Kode Aktivitas

Pengendalian


Likelihood

Jumlah

Indikator



policy

L.1.1 1


security Policy

L.1.2 1

A.6.1 Organisasi internal L.1.3 1

A.6.2 Organisasi eksternal L.1.4 1

KR.2

A.7.1

Tanggung jawab

terhadap asset

L.2.1, L.2.3 2

A.7.2

Klasifikasi

informasi

L.2.2 1

KR.3

A.10.2

Manajemen

Pelayanan Jasa

Pihak Ketiga

L.3.4, L.3.5 2

A.10.3

Perencanaan dan

Keberterimaan

Sistem

L.3.1 1

A.10.5 Back-up L.3.2 1

A.10.8

Pertukaran

informasi

L.3.3 1

A.10.10 Pemantauan L.3.4 1


163


Kode risiko

ruang

lingkup

Kode Aktivitas

Pengendalian


Likelihood

Jumlah

Indikator

A.13.1

Pelaporan kejadian

dan kelemahan

keamanan informasi

L.3.5 1

A.13.2

Manajemen insiden

keamanan informasi

dan perbaikan

L.3.6 1

KR.4


L.4.1, L.4.2,

L.4.3

3

A.8.3

Pengakhiran atau

perubahan pekerjaan

L.4.4 1

A.9.1 Area yang aman L.4.5, L.4.6 2

A.9.2 Keamanan Peralatan L.4.7 1

A.11.1

Persyaratan bisnis

untuk pengendalian

akses

L.4.8 1

A.11.2

Manajemen akses

pengguna

L.4.9, L.4.10 2

A.11.3

Tanggung jawab

pengguna

L.4.10 1

A.11.4

Pengendalian akses

jaringan

L.4.10, L.4.11,

L.4.12

3

A.11.5

Pengendalian akses

sistem operasi

L.4.13 1

A.11.6

Pengendalian akses

aplikasi dan

informasi

L.4.10, L.4.11,

L.4.12,L.4.14

4

A.15.1

Kesesuaian dengan

persyaratan umum

L.4.15 1

A.15.3

Pertimbangan audit

sistem informasi

L.4.16 1

KR.5

A.12.2

Pengolahan yang


L.5.3, L.5.4 2

A.12.3

Pengendalian

dengan cara

kriptografi

L.5.1 1

A.12.4

Keamanan sistem

file

L.5.2 1

A.12.5

Keamanan dalam

proses

pengembangan dan

pendukung

L.5.4 1


164


Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari

indikator kecenderungan di tiap jenis proses aktivitas pengendalian yang ada

kemudian dihitung nilai rata-ratanya (pembulatan keatas).

Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner

ini bukan acuan baku dalam pelaksanaan penilaian kecenderungan sehingga

pemeriksa dapat merubah sesuai dengan kondisi yang ada.

i. Kolom 10 (Inheren Risk : Nilai risiko)

Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan

analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari

pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut.

Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan

melakukan perkalian nilai dampak dengan nilai kecenderungan dari masing-

masing risiko. Pemetaan likelihood dengan dampak dalam penilaian risiko dapat

dilihat pada gambar berikut

Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil

pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas

pengendalian.

Tingkat risiko yang ada pada gambar diatas memiliki arti, maksud dari masing-

masing tingkatan risiko adalah sebagai berikut.

Nilai Risiko Deskripsi risiko

Sangat tinggi (Very

High)

Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai banyak efek merugikan yang sangat besar

pada operasi organisasi, aset organisasi, individu, organisasi lain, atau

negara.

Tinggi (high) Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai beberapa efek merugikan yang besar pada


165


operasi organisasi, aset organisasi, individu, organisasi lain, atau

negara

Sedang (medium) Cukup berisiko yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai efek merugikan yang serius pada operasi

organisasi, aset organisasi, individu, organisasi lain, atau negara

Rendah (low) Berisiko rendah yang berarti bahwa peristiwa ancaman dapat

diperkirakan mempunyai efek merugikan yang terbatas pada operasi

organisasi, aset organisasi, individu, organisasi lain, atau negara.

j. Kolom 11 (Kontrol yang ada)

Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi

kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut

ke tingkat yang dapat diterima oleh organisasi.

Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko. Jenis

risiko yang harusnya mendapat perhatian utama adalah risiko yang memiliki

skala Very high kemudian dilanjutkan pada skala high, medium dan low .

kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi

level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol

dibuat berdasarkan hasil pemetaan klausul-klasul dalam ISO 27001:2005. Input

kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko.

Dari hasil inilah akan dihasilkan daftar rekomendasi kontrol.

Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko

yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol

keamanan yang direkomendasikan.

k. Kolom 12 (Residual : dampak), kolom 13 (residual : kecenderungan), kolom 14

(residual : nilai risiko)

Residual risk adalah risiko yang muncul dari risiko bawaan suatu proses TI

setelah dikurangi dengan bagian risiko bawaan yang bisa dimitigasi oleh

pengendalian atau kontrol intern yang efektif.

Untuk mengisi residual risk, pemeriksa dapat menggunakan cara yang sama

dengan pengisian inheren risk akan tetapi kali ini pemeriksa mempertimbangkan

pengendalian yang dijalankan oleh organisasi tersebut.

l. Kolom 15 (Strategi mitigasi risiko)

Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang

secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang

berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan


166


hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi

kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol

yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan

dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.

m. Kolom 16 (Rencana Kerja)

Diisi dengan rencana kerja yang direkomendasikan oleh pemeriksa kepada

organisasi berdasarkan hasil rekomendasi kontrol dari analisis sebelumnya.

n. Kolom 17 (Target Penyelesaian)

Diisi dengan tahun penyelesaian dari rencana kerja yang telah direkomendasikan

oleh pemeriksa kepada organisasi. Tahun penyelesaian ini disesuaikan dengan

kemampuan dari organisasi tersebut.

o. Kolom 18 (Risiko deteksi)

Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah

daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat

mendeteksi salah saji material pada saat melaksanakan prosedur substantif.

Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedur

substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas

pelaksanaan prosedur substantif.

Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko

residual maka semakin rendah risiko deteksi. Demikian sebaliknya.

Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat

ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual

adalah sebagai berikut :

Risiko Residual Risiko Deteksi

Sangat tinggi (Very High) Rendah (low)

Tinggi (high) Sedang (medium)

Sedang (medium) Tinggi (high)

Rendah (low) Sangat tinggi (Very High)

p. Kolom 19 (Strategi Pemeriksaan yang umum)

Sesuai dengan risk based audit maka penentuan strategi pemeriksaan didasarkan

pada tingkat risiko deteksi pada akun yang terkait. Semakin rendah risiko deteksi

maka semakin tinggi efektivitas prosedur substantif yang dilaksanakan. Dengan

demikian, pemeriksa bisa mengalokasikan sebagian besar sumber daya baik


167


jumlah pemeriksa, cakupan dan kedalaman prosedur pemeriksaan subtantif atas

akun tersebut.

Risiko Deteksi Strategi pemeriksaan umum

Rendah Menjadi fokus pemeriksaan

Tidak mengandalkan pengendalian

Pengujian subtantif mendalam

Prioritas pertama untuk alokasi sumber daya (jumlah dan

kualitas)

Prosedur analitis dan uji akurasi harus dilakukan

Medium Walaupun tidak menjadi fokus, tetapi harus ada perhatian

yang cukup

Sedikit mengandalkan pengendalian

Pengujian subtantif tidak terlalu mendalam

Sample menengah

Prioritas kedua untuk alokasi sumber daya (jumlah dan

kualitas)

Prosedur analitis dan uji akurasi tetap harus dilakukan

Tinggi Walaupun tidak menjadi fokus, tetapi harus ada perhatian

yang cukup

Sebagian besar mengandalkan pengendalian

Pengujian subtantif terbatas

Sample kecil

Prioritas ketiga untuk alokasi sumber daya (jumlah dan

kualitas)

Prosedur analitis dan uji akurasi tetap harus dilakukan

Sangat tinggi Tidak menjadi fokus pemeriksaan

Dapat mengandalkan pengendalian

Pengujian subtantif tidak dilakukan. Bila dilakukan dapat

hanya dari subtantive saldo saja

Sample tidak diuji

Prioritas keempat untuk alokasi sumber daya (jumlah dan

kualitas)

Prosedur analitis dan uji akurasi merupakan prosedur

utama


168


Lampiran 3.1

Badan Pemeriksa Keuangan

Prosedur Pemeriksaan

Entitas : Pemerintah Daerah ABC

Tahun Buku : 2013

Reff

Ruang

lingkup

No Program Pemeriksaan Bukti Audit Level Asersi uji

pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

R.1 Review tata kelola keamanan informasi

1 Dapatkan dokumen yang terkait kebijakan keamanan

informasi pengelolaan keuangan dari sisi anggaran,

pengeluaran, penerimaan dan pengelolaan aset dan

lakukan analisa dokumen apakah organisasi telah

mengidentifikasi:

Kebijakan Umum Keamanan

Informasi dalam bentuk Perwal,

action plan, strategic plan, SOP

a Pimpinan Instansi organisasi secara prinsip dan resmi

bertanggungjawab terhadap pelaksanaan program

keamanan informasi pengelolaan keuangan, termasuk

penetapan kebijakan terkait?

b Identifikasi legislasi dan perangkat hukum lainnya

terkait keamanan informasi keuangan yang harus

dipatuhi dan menganalisa tingkat kepatuhannya, misal

PP Nomor 60 Tahun 2008 tentang SPIP?

Tupoksi / job description unit

organisasi/lembaga juga memasukkan

tanggungjawab keamanan informasi,

SK penunjukan Kepala Keamanan

Index A.17 Penilaian Risiko

keamanan Informasi


169


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

Informasi

c kebijakan dan langkah penanggulangan insiden

keamanan informasi dalam pengelolaan keuangan

yang menyangkut pelanggaran hukum

2 Review apakah dokumen yang terkait kebijakan

keamanan informasi pengelolaan keuangan daerah

dari sisi anggaran, pengeluaran, penerimaan dan

pengelolaan asetnya telah dikaji oleh unit lain yang

berwenang secara berkala, misal Inspektorat, BPKP?

Laporan Kajian Kebijakan umum

keamanan informasi, risalah rapat

(MOM) tentang pembahasan

masalah-masalah TI

3 Review dan dapatkan dokumen yang memuat tentang

pengelolaan keamanan informasi dalam entitas

a Apakah entitas memiliki fungsi atau bagian yang

secara spesifik mempunyai tugas dan tanggungjawab

mengelola keamanan informasi pengelolaan keuangan

terkait pencatatan penerimaan dan pengeluaran oleh

bendahara dan Kas Umum Daerah dan menjaga

kepatuhannya?

Struktur organisasi unit kerja

instansi/Lembaga dalam ruang

lingkup penerapan keamanan

informasi ( SOTK)

b Apakah pejabat/petugas pelaksana pengamanan

informasi mempunyai wewenang yang sesuai untuk

menerapkan dan menjamin kepatuhan program

keamanan informasi pengelolaan keuangan?





Informasi

c Apakah penanggungjawab pelaksanaan pengamanan

informasi keuangan diberikan alokasi sumber daya

yang sesuai untuk mengelola dan menjamin kepatuhan

program keamanan informasi pengelolaan keuangan,

misal dukungan fisik berupa access log view sistem




informasi ( SOTK)


170


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

keuangan?

d Apakah entitas sudah menerapkan program sosialisasi

dan peningkatan pemahaman untuk keamanan

informasi, termasuk kepentingan kepatuhannya bagi

semua pihak yang terkait?

program/rencana pelatihan/sosialisasi

keamanan informasi dan bukti

realisasinya

e Apakah pengelola keamanan informasi secara proaktif

berkoordinasi dengan satker terkait (SDM,

Legal/Hukum, Umum, DPKD dll)

prosedur pengelolaan

insiden/masalah, termasuk jika

masalah tersebut menyangkut aspek

hukum

f Apakah pimpinan tiap SKPD menerapkan program

khusus untuk mematuhi tujuan dan sasaran kepatuhan

pengamanan informasi, khususnya yang mencakup

aset informasi keuangan yang menjadi tanggungjawab

tiap SKPD tersebut?


pengelolaan keamanan informasi entitas yang

berhubungan dengan pihak luar organisasi yakni

terkait penetapan retribusi, pajak daerah




masalah-masalah TI

a Apakah tanggungjawab pengelolaan keamanan

informasi mencakup koordinasi dengan pihak

pengelola/pengguna aset informasi eksternal untuk

mengidentifikasikan persyaratan/kebutuhan

pengamanan dan menyelesaikan permasalahan/risiko

yang ada, misal akses sistem penetapan retribusi dan

pajak daerah?

R.2 Review pengelolaan risiko keamanan

1 Dapatkan dokumen yang terkait pengelolaan risiko


171


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

keamanan informasi yang terdokumentasi dan memuat

a Program kerja pengelolaan risiko keamanan informasi

dalam organisasi

SOP Bidang komunikasi dan

informatika

b Kerangka kerja pengelolaan risiko keamanan

informasi dalam organisasi yang mencakup definisi

dan hubungan tingkat klasifiasi aset informasi, tingkat

ancaman, kemungkinan terjadinya ancaman tersebut

dan dampak kerugian yakni ketidakakuratan data pada

laporan keuangan pemerintah daerah?

dokumen metodologi risiko TI

2 Review apakah entitas telah melakukan kegiatan

pengelolaan risiko keamanan informasi keuangan

yang meliputi

a Apakah entitas sudah mendefinisikan atau

inventarisasi kepemilikan dan pihak pengelola aset

informasi keuangan yang ada, meliputi aset data

keuangan, aset aplikasi keuangan dan aset staf

pengolah data keuangan?

daftar aset TI, IT Master Plan

b Apakah entitas sudah mendefinisikan penggunaan aset

yang ada?

c Apakah ancaman dan kelemahan terkait aset informasi

yang sudah diinventaris sudah diindentifikasi

hasil kajian risiko TI (risk register)

d Apakah dampak kerugian terkait sudah diidentifikasi

sesuai dengan klasifikasi aset yang ada

risk acceptance kriteria

3 Dapatkan dokumen terkait penggunaan aset informasi

yang ada di entitas meliputi (sumber : A.7.1)


a Identifikasi lokasi dan fasilitas pengolahan informasi

yang ada/aplikasi keuangan, apakah digunakan oleh


172


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

yang tepat dan berada pada tempat yang aman?

4 Review penanganan masalah yang terjadi atau risiko

pada setiap aset informasi yang ada (sumber: A.7.2)

a Apakah entitas telah melakukan mitigasi

masalah/risiko yang ada pada setiap aset informasi

berdasarkan klasifikasi atau tingkat kepentingan pada

proses pelaporan keuangan pemerintah daerah

Laporan monitoring Tim secara

berkala

b Apakah status mitigasi dari setiap masalah/risiko telah

dilakukan evaluasi untuk memastikan kemajuan

kerjanya?

Risk Treatment Plan (RTP)

R.3 Review Kerangka Kerja Keamanan Informasi

1 Apakah kebijakan dan prosedur keamanan informasi

sudah disusun dengan jelas dengan mencantumkan

peran dan tanggung jawab pihak-pihak yang

berwenang untuk menerapkan?

SOTK, job desc

2 Apakah kebijakan dan prosedur keamanan informasi

sudah dikomunikasikan dan dipublikasikan kepada

pihak terkait dan dengan mudah diakses oleh semua

pihak dalam entitas tersebut?

Pengunguman ke semua satuan kerja

terkait keamanan infomasi yang

dilakukan secara berjenjang

3 Review dan dapatkan dokumen (jika ada) yang berisi

pengelolaan risiko dari pengembangan sistem

pengelolaan keuangan yang baru pada entitas

Hasil evaluasi dan pengkajian

investasi sistem TI yang baru pada

pihak yang terkait, meliputi user

(kepala SKPD dan jajarannya),

sekretaris daerah

a Apakah entitas sudah menerapkan proses evaluasi dari

risiko terkait rencana pengembangan sistem baru dan

penanggulangan masalah yang mungkin timbul dari

sistem pengelolaan keuangan baru tersebut?


173


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

b Apabila penerapan suatu sistem baru tersebut

menimbulkan masalah atau menyalahi kebijakan

terkait pelaksanaan pelaporan keuangan pemerintah,

apakah ada proses penanggulangan termasuk

pengamanan yang baru (compensating control)?

c Apakah entitas memiliki mempunyai strategi

penggunaan atas teknologi keamanan informasi untuk

pengolah keuangan daerah yang penerapan dan

pemutakhirannya disesuaikan dengan kebutuhan

entitas?

4 Review pengelolaan proses ketersediaan informasi

keuangan pemerintah daerah yakni informasi

anggaran, aset, penerimaan dan pengeluaran dengan

cara back up data

SOP Backup dan restore

a Apakah entitas memiliki kebijakan terkait proses back

up informasi ?

b Apakah ada proses evaluasi dilakukan secara berkala

terhadap kebijakan terkait proses back up?

c Apakah ada proses pelabelan atau inventarisasi media

penyimpanan back up informasi keuangan?

5 Review dan dapatkan dokumennya jika ada mengenai

pengendalian entitas terkait proses pertukaran

informasi keuangan baik di lingkungan internal

maupun eksternal entitas

a Apakah ada kebijakan atau prosedur yang mengatur

pengelolaan informasi termasuk penggunaan daftar

induk, distribusi, penarikan dari peredaran dan

SOP Pertukaran informasi


174


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

penyimpanan?

b Review apakah terdapat kebijakan atau mekanisme

yang mengatur interkoneksi sistem informasi yang

berhubungan dengan pelaporan keuangan dengan

organisasi eksternal?

6 Review proses pendeteksian kegiatan pengolahan

informasi keuangan yang tidak sah

a Apakah entitas memiliki prosedur yang mengatur

proses pemantauan penggunaan fasilitas pengolahan

informasi keuangan?

SOP Pemantauan bidang komunikasi

dan informatika

b Apakah aspek keamanan informasi mencakup

pengendalian pelaporan insiden yang didapat dari log

audit, log administrator dan operator dan log atas

kesalahan yang terjadi pada sistem informasi

keuangan sehingga dapat segera dianalisa dan diambil

tindakan dan tidak menimbulkan masalah pada

laporan keuangan?

Laporan pemantuan meliputi analisa

log admin

c Apakah entitas melakukan perlindungan pada fasilitas

log dari akses sistem pengelolaan keuangan daerah?


dan informatika

7 Review dan dapatkan dokumen yang berisi proses

pelaporan kelemahan keamanan informasi keuangan

SOP penanganan insiden

a Apakah aspek keamanan informasi keuangan yang

mencakup pelaporan insiden dari sistem pengelolaan

keuangan tercantum dalam suatu kebijakan atau

prosedur yang disebarkan ke semua pegawai dan

pihak ketiga?

8 Review dan dapatkan dokumen yang berisi


175


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

manajemen insiden keamanan informasi yang

bertujuan untuk melihat keefektifan penerapannya?

a Apakah entitas sudah menerapkan kebijakan dan

prosedur operasional untuk mengelola insiden

keamanan informasi yang muncul, alokasi tanggung

jawab untuk memonitor dan penanggulangan insiden

keamanan pada fasilitas pengolah keuangan yang ada?


b Apakah entitas memiliki program untuk meningkatkan

keamanan informasi untuk mengatasi insiden yang

telah terjadi sebelum-sebelumnya pada fasilitas

pengolah keuangan?

Laporan tim teknis berupa

rekomendasi kontrol

c Apakah program keamanan informasi yang ada

dilakukan evaluasi untuk melihat keefektifan

penerapannya dalam entitas?

bukti/risalah rapat/manajemen review

untuk mengevaluasi efektivitas

penerapan keamanan informasi

d Apakah konsekuensi dari pelanggaran keamanan

informasi yang menyebabkan insiden sudah

didefinisikan, dikomunikasikan dan ditegakan oleh

entitas?

R.4 Review Pengelolaan Aset Informasi

1 Review dan dapatkan dokumen mengenai pengelolaan

keamanan informasi oleh semua pihak entitas baik

pegawai dan kontraktor selama bekerja di entitas

tersebut.

SOP keamanan informasi, SOTK/Job

desc

a Apakah entitas telah mendefinisikan tanggung jawab

pengamanan informasi keuangan secara individual

untuk semua personil di entitas?


176


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

b Apakah konsekuensi dari pelanggaran keamanan

informasi yang menyebabkan insiden pada proses

pelaporan keuangan sudah didefinisikan,

dikomunikasikan dan ditegakan oleh entitas?


keamanan informasi keuangan oleh semua pihak

entitas baik pegawai dan kontraktor setelah

mengakhiri kerjasama atau perubahan pekerjaan di

entitas tersebut.

Pakta integritas dengan pihak ketiga

dalam MOU, NDA untuk pihak

ketiga menyangkut informasi rahasia


pengamanan informasi keuangan secara individual

untuk semua personil di entitas setelah pengakhiran

kerjasama atau perubahan pekerjaaan?

b Apakah pihak yang melakukan pengakhiran pekerjaan

terkait proses pengelolaan data keuangan dalam entitas

mengembalikan aset yang digunakan ketika bekerja?

c Apakah terdapat penghapusan hak akses pihak yang

mengakhiri kerjasama dan perubahan pekerjaan

terhadap fasilitas pengolah informasi keuangan yang

dipakai selama bekerja di entitas tersebut?

3 Review dan dapatkan dokumen mengenai

pengendalian area penyimpanan fasilitas pengolahan

informasi

a Apakah terdapat ketentuan pengamanan fisik yang

disesuaikan dengan definisi zona dan klasifikasi aset

yang ada didalamnya?

SOP pengamanan fasilitas

pengolahan informasi (SOP data

center)

b Apakah entitas memiliki pengendalian fisik area Cek fisik data center


177


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

penyimpanan fasilitas informasi berupa pengendalian

entri?

c Apakah entitas memiliki pengamanan kantor, ruangan

dan fasilitas penyimpanan informasi dari ancaman

eksternal entitas? (misal adanya rancangan dan

material yang dapat menanggulangi risiko kebakaran

dan dilengkapi dengan fasilitas pendukung (deteksi

kebakaran, asap, pemadaman api, pengatur suhu dan

kelembapan)

4 Review dan dapatkan dokumen mengenai keamanan

peralatan yang memuat informasi sehingga

pencegahan kehilangan, kerusakan, pencurian atau

gangguan terhadap kegiatan entitas.

a Apakah tersedia peraturan untuk mengamankan lokasi

kerja penting (ruang server, ruang arsip) dalam proses

pengelolaan data keuangan dari risiko perangkat atau

bahan yang membahayakan aset informasi yang ada

didalamnya? (misal menggunakan telepon genggam

atau kamera pada saat memasuki ruang server)



center)

5 Adakah dokumen kebijakan atau prosedur yang

mengatur mengenai pengelolaan/pemberian akses,

otentikasi dan otorisasi untuk menggunakan aset

informasi pengelolaan keuangan

prosedur pengelolaan hak akses

(Access Control)

6 Review pengelolaan akses untuk menggunakan aset

informasi di entitas

Laporan monitoring terkait hak akses

pengguna ( user access review)

a Apakah entitas memiliki inventarisasi akses terhadap

informasi keuangan dan fasilitas pengolah keuangan


178


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

yang berisi identitas elektronik pemilik akses, proses

otentikasi (username, password)?

b Apakah ada prosedur yang mengatur pengkajian atas

hak akses pengguna (user access review) secara

berkala dan langkah pembenahan apabila terjadi

ketidaksesuaian terhadap kebijakan yang

berlaku?(misal: apabila pengguna sudah tidak

berwenang atas suatu proses dalam sistem keuangan

maka dia tidak bisa mengakses fungsi tersebut)

7 Review apakah entitas memiliki ketetapan

pendefinisian tanggung jawab pengamanan informasi

secara individual sebagai pengolah data keuangan di

semua satuan kerja yang ada?(misal: ketentuan

pemilihan password tiap pengguna, sistem clear desk

dan clear screen serta keamanan peralatan yang

ditinggalkan oleh pengguna)

SOP pengamanan informasi secara

individual

8 Review dan dapatkan dokumen jika ada terkait

pengendalian akses jaringan, sistem operasi dan sistem

aplikasi informasi yang digunakan untuk pengolahan

keuangan baik pencatatan penerimaan, pengeluaran

dan mutasi aset

a Apakah entitas memiliki kebijakan atau prosedur yang

mengatur akses, proses otentikasi dan otorisasi

penggunaan aset informasi yakni jaringan, sistem

operasi dan sistem aplikasi informasi?

SOP pengamanan jaringan, sistem

operasi dan sistem informasi

b Apakah entitas melakukan pengendalian secara teknis

pada aset informasi yakni jaringan, diantaranya

Cek fisik ruang kerja pegawai


179


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

perlindungan dari configuration port, remote

diagnostic selain itu pengendalian pada routing dan

koneksi jaringan untu pengelolaan informasi

keuangan?

c Apakah entitas melakukan pengendalian secara teknis

pada aset informasi yakni sistem operasi, diantaranya

sesi time out, prosedur log on yang aman pada sistem

operasi, dan pengendalian program utility?

d Apakah entitas melakukan pengendalian secara teknis

pada aset informasi yakni aplikasi, diantaranya isolasi

aplikasi yang sensitif bagi entitas dan pembatasan

akses informasi?

9 Review kesesuaian proses pengamanan informasi

yang dilakukan oleh pengelola keuangan yakni

bendahara penerimaan, bendahara barang, bendahara

pengeluaran dan PPK-SKPD terhadap hukum yang

berlaku

a Apakah entitas telah membuat tata tertib pengamanan

dan penggunaan aset entitas terkait HAKI (Hak

Kekayaan Intelektual)?

Cek fisik lisensi OS atau aplikasi

yang lainnya

b Apakah terdapat peraturan pengamanan data pribadi di

entitas tersebut

SOP/ aturan penggunaan email,

internet dan hasil pemantauan

pengunggan email & internet

c Apakah terdapat tata tertib penggunaan email, internet,

intranet dan komputer?

10 Review apakah entitas memiliki prosedur untuk

mengamankan lokasi kerja, fasilitas informasi dan aset

informasi terkait pengelolaan keuangan (anggaran,





180


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

penerimaan, pengeluaran dan pengelolaan aset dari

keberadaan pihak internal maupun eksternal yang

melakukan audit pada entitas?


individual

R.5 Review Teknologi dan Keamanan Informasi

1 Review apakah entitas melakukan pengendalian

terkait pengolahan dalam suatu aplikasi untuk

pencatatan pengeluaran, penerimaan keuangan oleh

bendahara dan kas umum daerah serta mutasi aset di

pemerintah daerah.

a Apakah setiap perubahan pada sistem informasi secara

otomatis terekam didalam log?

Periksa log penggunaan sistem dan

aplikasi TI, baik oleh user maupun

admin

b Apakah upaya akses yang tidak berhak juga terekam

dalam log?

c Apakah semua log yang ada dianalisa secara berkala

untuk memastikan akurasi, validitas data masukan

serta data keluaran sistem informasi dan kelengkapan

isinya?

Laporan tim teknis terkait analisa log

2 Review dan dapatkan dokumen mengenai

pengendalian kriptografi yang diterapkan oleh entitas

pada aplikasi untuk pencatatan pengeluaran,

penerimaan keuangan oleh bendahara dan kas umum

daerah serta mutasi aset di pemerintah daerah.

SOP enkripsi

a Apakah entitas menerapakan enkripsi untuk

melindungi aset informasi keuangan penting sesuai

dengan kebijakan yang ada?

b Apakah entitas memiliki standar dalam penggunaan

enkripsi tersebut?


181


Reff

Ruang

lingkup


pengendalian

Akun Laporan

Keuangan yang

terkait

C I A

c Apakah entitas menerapkan pengamanan untuk

mengelola kunci enkripsi yang digunakan?

3 Review apakah entitas melakukan pengamanan system

files berupa perlindungan data uji sistem, pembatasan

akses ke kode sumber sistem informasi keuangan

terkait pengelolaan anggaran, penerimaan keuangan,

pengeluaran dan pengelolaan aset?

Periksa kesesuaian sistem TI dengan

standar yang ditetapkan:


b. Standar keamanan (security

baseline),

c. Standar rilis aplikasi


4 Review apakah entitas melakukan pengamanan dan

tinjuan teknis atas sistem aplikasi pengelolaan

keuangan meliputi aplikasi anggaran, aset dan

penerimaan atau pengeluaran keuangan pada saat

proses pengembangan atau perubahan pada aset

informasi yang terhubung dengan aplikasi tersebut,

misal perubahan sistem operasi?

Keterangan :

C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan kerahasian data dan informasi.

I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tidak akan boleh berubah tanpa ijin yang berwenang.

A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tersedia ketika dibutuhkan.

Deskripsi Level untuk tiap proses

Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni :


182


a) Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih belum lengkap dan bersifat adhock bergantung pada

permasalahan yang muncul atau kondisi tertentu yang sedang dihadapi.

b) Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang

hampir sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam perencanaan.

c) Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang diterapkan pada setiap proses kerja yang berhubungan dengan keamanan

informasi dan sudah ada standar kontrol keamanan informasi yang akan dilakukan.

d) Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.

e) Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.


183


Lampiran 3.2

Keusioner Pengukuran tingkat risiko keamanan informasi

Petunjuk pengisian :

Pada kuesioner ini, Bapak/Ibu diminta untuk menjawab pertanyaan-pertanyaan yang ada

dengan memberi tanda (×) pada salah satu pilihan jawaban yang tersedia, berdasarkan

penilaian dan pendapat yang Bapak/Ibu anggap paling mewakili kondisi sesungguhnya di

tempat Bapak/Ibu bekerja saat ini.

Nama :

Jabatan : Eselon I/Eselon II/Eselon III/Eselon IV/Staf

Unit kerja :

- -

(L.1.1) Apakah di dalam organisasi Anda terdapat kebijakan keamanan informasi ?

a. Ya

b. Tidak

(D.1.1, D.1.2) Seberapa penting kebijakan keamanan informasi bagi Anda ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting

e. Sangat tidak penting

(L.1.2) Setiap berapa kali kebijakan keamanan informasi direview?

a. Setahun sekali

b. 2-3 tahun sekali

c. 5 tahun sekali

d. Sesuai kebutuhan

e. Tidak pernah direview

(L.1.3) Berapa persentase dari IT budgeting yang dikeluarkan untuk keamanan informasi

jika ada ?

a. > 40%

b. 30% - 39%

c. 20% - 29%

d. 10% - 19%

e. < 10%


184


(D.1.3) Seberapa besar pengaruh dukungan organisasi terhadap keamanan informasi ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.1.4) Konten pakta integritas dengan pihak ketiga terkait keamanan informasi di

organisasi meliputi ?

a. pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi

organisasi

b. pengaksesan dan pengolahan informasi

c. pengaksesan fasilitas pengolahan informasi

d. proses pengolahan informasi

e. tidak ada penekanan perjanjian terkait keamanan

(D.1.4) seberapa penting konten pakta integritas dengan pihak ketiga terkait keamanan

informasi bagi organisasi?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.2.1) Bagaimana proses inventarisasi aset TI dilakukan oleh organisasi anda

a. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi

dan Hardware) di seluruh satuan kerja

b. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi

dan Hardware) hanya di beberapa satuan kerja

c. Dilakukan pada saat ada penambahan aset TI saja atau kondisi tertentu dan

meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware)

d. Dilakukan secara tidak menentu ( baik segi waktu dan kondisi ) dan meliputi

semua aset TI ( Jaringan, Sistem Informasi dan Hardware)

e. Tidak dilakukan inventarisasi aset di organisasi

(D.2.1) Seberapa penting proses inventarisasi aset TI bagi organisasi anda

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting



185


(L.2.2) Bagaimana klasifikasi informasi dilakukan ?

a. Diklasifikasi berdasarkan tingkat sangat rahasia, rahasia, terbatas dan public

b. Diklasifikasi berdasarkan tingkat sangat rahasia, terbatas dan public

c. Diklasifikasi berdasarkan tingkat rahasia dan public

d. Diklasifikasi berdasarkan tingkat rahasia

e. Informasi belum diklasifikasikan

(D.2.2) Seberapa penting klasifikasi informasi terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.2.3) Bagaimana proses monitoring risiko TI di organisasi anda?

a. Dilakukan secara berkala, terdokumentasi dengan baik dan didukung prosedur

pengelolaan monitoring risiko TI

b. Dilakukan pada kondisi tertentu, terdokumentasi dan didukung prosedur

pengelolaan monitoring risiko TI

c. Dilakukan pada kondisi tertentu, pelaporan hanya berupa lisan dan

pelaksanaannya secara adhoc

d. Dilakukan pada kondisi tertentu, tidak ada pelaporan dan pelaksanaanya secara

adhoc

e. Tidak terdapat monitoring risiko TI

(D.2.3) Seberapa penting proses monitoring risiko TI bagi organisasi anda?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.3.1) Meliputi apa saja proses perencanaan aksi organisasi terkait pengembangan sistem

baru (Compensating control)?

a. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat

pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi.

Pelaksanaannya didukung dengan dokumentasi yang baik

b. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat

pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi.

Pelaksanaannya secara adhoc

c. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang.

Pelaksanaannya didukung dengan dokumentasi yang baik


186


d. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang.

Pelaksanaannya secara adhoc

e. Tidak ada compensating control dalam organisasi

(D.3.1) seberapa penting compensating control dalam organisasi

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.3.2) Bagaimana intensitas back up dilakukan ?

a. Seminggu sekali

b. Sebulan sekali

c. 3 – 6 bulan sekali

d. Tidak tentu waktunya

e. Tidak pernah dilakukan

(D.3.2) Seberapa penting back up terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.3.3) Pengendalian pertukaran informasi di organisasi anda meliputi ?

a. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan

dikaji secara berkala serta dilaksanakan

b. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan

tidak dikaji secara berkala serta dilaksanakan

c. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan

dikaji secara berkala tapi tidak dilaksanakan

d. Kebijakan dan prosedur pertukaran informasi tidak didokumentasikan karena

pelaksanaanya secara adhoc

e. Tidak ada prosedur pertukaran informasi

(D.3.3) seberapa besar pengaruh prosedur pertukaran informasi bagi organisasi anda?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil


187


e. Sangat kecil

(L.3.5) Jenis ancaman apa saja yang sering terjadi di organisasi ?

a. Virus

b. Virus dan sniffing (akses informasi sensitive melalui jaringan)

c. Virus, sniffing dan brute force login (menebak password)

d. Virus, sniffing , brute force login dan DoS (membuat server jadi sibuk)

e. Virus, sniffing , brute force login, DoS dan spoofing (memalsukan situs web)

(D.3.5) Seberapa besar pengaruh ancaman tersebut terhadap proses bisnis organisasi ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.3.6) Berapa anggaran pengeluaran untuk pemeliharaan terhadap keamanan asset TI ?

a. 81% – 100%

b. 61% – 80%

c. 41% – 60%

d. 21% – 40%

e. < 20%

(D.3.6) Seberapa besar pengaruh dukungan organisasi terhadap keamanan asset TI ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.4.1) Berapa kali pegawai mendapatkan pelatihan terkait keamanan informasi ?

a. > 5 kali

b. 4 – 5 kali

c. 2 – 3 kali

d. 1 kali

e. Belum pernah

(D.4.1) Seberapa penting pelatihan terkait keamanan informasi bagi organisasi ?

a. Sangat penting

b. Penting


188


c. Sedang

d. Tidak penting


(L.4.2) Berapa banyak staf yang terkait dengan insiden ?

a. < 20%

b. 21% - 40%

c. 41% - 60%

d. 61% - 80%

e. 81% - 100%

(D.4.2) Seberapa besar pengaruh insiden yang diakibatkan oleh pegawai terhadap proses

bisnis organisasi ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.4.3) Berapa perbandingan masing-masing pegawai dengan beban kerja ?

a. 1 orang : 1 pekerjaan

b. 1 orang : 2 pekerjaan

c. 1 orang : 3 pekerjaan

d. 1 orang : 4 pekerjaan

e. 1 orang : 5 pekerjaan

(D.4.3) Seberapa besar pengaruh beban kerja terhadap para pegawai ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.4.5) Bagaimana akses masuk ke dalam ruangan datacenter ?

a. Sidik jari, swipe card dan pin code

b. Swipe card dan pin code

c. Swipe card

d. Pin code

e. Tanpa akses

(D.4.5) Seberapa penting pengamanan fisik untuk area sensitive ?


189


a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.4.6) Setelah terjadinya bencana seperti listrik padam, berapa lama waktu yang

dibutuhkan system untuk kembali normal ?

a. < 1 jam

b. 2 – 4 jam

c. 5 – 7 jam

d. > 7 jam

e. 1 hari

(D.4.6) Seberapa penting adanya DRP (Disaster Recovery Planning) terhadap proses

bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.4.7) Berapa persentase banyaknya pengguna yang sudah mengimplementasikan ISO

27001 terkait keamanan peralatan di luar lokasi kerja?

a. > 40%

b. 30% - 39%

c. 20% - 29%

d. 10% - 19%

e. < 10%

(D.4.7) Seberapa penting implementasi ISO 27001 terkait keamanan peralatan di luar

lokasi kerja bagi organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.4.9) Bagaimana pengendalian terhadap akses ke social networking bagi para

pengguna di organisasi anda ?

a. Tidak boleh akses sama sekali


190


b. Adanya pembatasan url dan jam akses

c. Adanya pembatasan url

d. Adanya pembatasan jam akses

e. Tidak ada pembatasan url dan jam akses

(D.4.9) Seberapa besar pengaruh pengendalian dari akses social networking terhadap

proses bisnis organisasi ?

a. Sangat besar

b. Besar

c. Sedang

d. Kecil

e. Sangat kecil

(L.4.10) Bagaimana pengelolaan password dilakukan ?

a. Password akan terkunci jika melakukan kesalahan hingga 3x, terdiri dari 6 digit,

kombinasi huruf dan angka dan diganti secara berkala

b. Password terdiri dari minimal 6 digit, kombinasi huruf dan angka serta diganti

secara berkala

c. Password terdiri dari kombinasi huruf dan angka serta diganti secara berkala

d. Password diganti secara berkala

e. Tidak ada peraturan tentang pengelolaan password

(D.4.10) Seberapa penting pengelolaan password terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.4.11) Bagaimana update antivirus dilakukan di organisasi ?

a. Seminggu sekali

b. Sebulan sekali

c. 3 – 6 bulan sekali

d. Setahun sekali

e. Tidak tentu waktunya

(D.4.11) Seberapa penting update antivirus terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang


191


d. Tidak penting


(L.4.12) Bagaimana dengan kehandalan antivirus yang digunakan di organisasi ?

a. Dapat mendeteksi virus pada semua unit kerja di Kantor Pusat Pemda dan

Kec/Kel

b. Hanya dapat mendeteksi virus pada unit kerja di Kantor Pusat Pemda

c. Hanya dapat mendeteksi virus pada satu gedung saja

d. Lokasi tidak dapat diprediksi

e. Lebih sering virus tidak terdeteksi

(D.4.12) Seberapa penting antivirus terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.4.14) Bagaimana pengelolaan email dilakukan ?

a. Mengganti password secara berkala, melakukan scanning terhadap attachment,

tidak membuka email dari pengirim yang tidak dikenal dan tidak menggunakan

third party email services untuk kebutuhan organisasi

b. Mengganti password secara berkala, melakukan scanning terhadap attachment

dan tidak membuka email dari pengirim yang tidak dikenal

c. Mengganti password secara berkala dan melakukan scanning terhadap

attachment

d. Mengganti password secara berkala

e. Belum ada prosedur pengelolaan email

(D.4.14) Seberapa penting pengelolaan email terhadap proses bisnis organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.5.2) Bagaimana bentuk pengendalian terhadap system informasi di organisasi ?

a. Pemberian hak akses, enkripsi password, monitoring system dan log audit

b. Pemberian hak akses, enkripsi password dan monitoring system

c. Pemberian hak akses dan enkripsi password

d. Enkripsi password


192


e. Bentuk pengendalian belum jelas

(D.5.2) Seberapa penting pengendalian system informasi terhadap proses bisnis

organisasi ?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.5.3) Kejadian apa yang sering dialami terhadap data atau informasi dalam aplikasi di

organisasi ?

a. Tidak pernah

b. Data diubah dan terinfeksi virus

c. Data diubah, terinfeksi virus dan data hilang

d. Data diubah, terkena virus , hilang dan data dicuri

e. Data diubah, terkena virus , hilang, data dicuri dan disalah gunakan

(D.5.3) Seberapa penting keamanan data dalam aplikasi terhadap proses bisnis organisasi

?

a. Sangat penting

b. Penting

c. Sedang

d. Tidak penting


(L.5.4) Berapa persentase aplikasi dilakukan secara outsourced ?

a. < 20%

b. 21% - 40%

c. 41% - 60%

d. 61% - 80%

e. 81% - 100%

(D.5.4) Bagaimana pengaruh dilakukannya outsourced di organisasi Anda ?

a. Sangat membantu

b. Membantu

c. Sedang

d. Tidak membantu

e. Sangat tidak membantu


193


Lampiran 4

Badan Pemeriksa Keuangan

Prosedur Pemeriksaan

Entitas : Pemerintah Daerah Kota Tangerang

Tahun Buku : 2013

Dibuat oleh : ISA

Direviu oleh : YK

Disetujui oleh : RU

Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

R.1 Review tata kelola keamanan informasi

1 Dapatkan dokumen yang terkait kebijakan keamanan

informasi pengelolaan keuangan dari sisi anggaran,

pengeluaran, penerimaan dan pengelolaan aset dan lakukan

analisa dokumen apakah organisasi telah mengidentifikasi:

Kebijakan Umum Keamanan

Informasi dalam bentuk Perwal,

action plan, strategic plan, SOP

a Pimpinan Instansi organisasi secara prinsip dan resmi

bertanggungjawab terhadap pelaksanaan program

2 X Semua akun

Index A.17 Penilaian Risiko keamanan

Informasi


194


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

keamanan informasi pengelolaan keuangan, termasuk

penetapan kebijakan terkait?

b Identifikasi legislasi dan perangkat hukum lainnya terkait

keamanan informasi keuangan yang harus dipatuhi dan

menganalisa tingkat kepatuhannya, misal PP Nomor 60

Tahun 2008 tentang SPIP?





Informasi

1 X Semua akun

c kebijakan dan langkah penanggulangan insiden keamanan

informasi dalam pengelolaan keuangan yang menyangkut

pelanggaran hukum

2 X Semua akun

2 Review apakah dokumen yang terkait kebijakan keamanan

informasi pengelolaan keuangan daerah dari sisi anggaran,

pengeluaran, penerimaan dan pengelolaan asetnya telah

dikaji oleh unit lain yang berwenang secara berkala, misal

Inspektorat, BPKP?




masalah-masalah TI

X Semua akun


pengelolaan keamanan informasi dalam entitas

a Apakah entitas memiliki fungsi atau bagian yang secara

spesifik mempunyai tugas dan tanggungjawab mengelola

keamanan informasi pengelolaan keuangan terkait

pencatatan penerimaan dan pengeluaran oleh bendahara dan

Kas Umum Daerah dan menjaga kepatuhannya?




informasi ( SOTK)

2 X X Akun PAD,

Belanja,

Aktiva

b Apakah pejabat/petugas pelaksana pengamanan informasi

mempunyai wewenang yang sesuai untuk menerapkan dan

menjamin kepatuhan program keamanan informasi

pengelolaan keuangan?





Informasi

1 X X Semua akun


195


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

c Apakah penanggungjawab pelaksanaan pengamanan

informasi keuangan diberikan alokasi sumber daya yang

sesuai untuk mengelola dan menjamin kepatuhan program

keamanan informasi pengelolaan keuangan, misal

dukungan fisik berupa access log view sistem keuangan?




informasi ( SOTK)

1 X X Pendapatan

Pajak Daerah,

Belanja

d Apakah entitas sudah menerapkan program sosialisasi dan

peningkatan pemahaman untuk keamanan informasi,

termasuk kepentingan kepatuhannya bagi semua pihak yang

terkait?

program/rencana pelatihan/sosialisasi

keamanan informasi dan bukti

realisasinya

1 X X Semua akun

e Apakah pengelola keamanan informasi secara proaktif

berkoordinasi dengan satker terkait (SDM, Legal/Hukum,

Umum, DPKD dll)

prosedur pengelolaan

insiden/masalah, termasuk jika

masalah tersebut menyangkut aspek

hukum

1 X X Semua akun

f Apakah pimpinan tiap SKPD menerapkan program khusus

untuk mematuhi tujuan dan sasaran kepatuhan pengamanan

informasi, khususnya yang mencakup aset informasi

keuangan yang menjadi tanggungjawab tiap SKPD

tersebut?

1 X X Semua akun


pengelolaan keamanan informasi entitas yang berhubungan

dengan pihak luar organisasi yakni terkait penetapan

retribusi, pajak daerah




masalah-masalah TI

a Apakah tanggungjawab pengelolaan keamanan informasi

mencakup koordinasi dengan pihak pengelola/pengguna

aset informasi eksternal untuk mengidentifikasikan

persyaratan/kebutuhan pengamanan dan menyelesaikan

permasalahan/risiko yang ada, misal akses sistem penetapan

3 X X X Pendapatan

Pajak Daerah


196


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

retribusi dan pajak daerah?

R.2 Review pengelolaan risiko keamanan

1 Dapatkan dokumen yang terkait pengelolaan risiko

keamanan informasi yang terdokumentasi dan memuat

a Program kerja pengelolaan risiko keamanan informasi

dalam organisasi

SOP Bidang komunikasi dan

informatika

1 X Semua akun

b Kerangka kerja pengelolaan risiko keamanan informasi

dalam organisasi yang mencakup definisi dan hubungan

tingkat klasifiasi aset informasi, tingkat ancaman,

kemungkinan terjadinya ancaman tersebut dan dampak

kerugian yakni ketidakakuratan data pada laporan keuangan

pemerintah daerah?

dokumen metodologi risiko TI 1 X Semua akun

2 Review apakah entitas telah melakukan kegiatan

pengelolaan risiko keamanan informasi keuangan yang

meliputi

a Apakah entitas sudah mendefinisikan atau inventarisasi

kepemilikan dan pihak pengelola aset informasi keuangan

yang ada, meliputi aset data keuangan, aset aplikasi

keuangan dan aset staf pengolah data keuangan?

daftar aset TI, IT Master Plan 2 X X X Akun aktiva

b Apakah entitas sudah mendefinisikan penggunaan aset yang

ada?

2 X X X Akun aktiva

c Apakah ancaman dan kelemahan terkait aset informasi yang

sudah diinventaris sudah diindentifikasi

hasil kajian risiko TI (risk register) 1 X X X Akun aktiva

d Apakah dampak kerugian terkait sudah diidentifikasi sesuai

dengan klasifikasi aset yang ada

risk acceptance kriteria 1 X X X Akun aktiva


197


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

3 Dapatkan dokumen terkait penggunaan aset informasi yang

ada di entitas meliputi (sumber : A.7.1)


a Identifikasi lokasi dan fasilitas pengolahan informasi yang

ada/aplikasi keuangan, apakah digunakan oleh yang tepat

dan berada pada tempat yang aman?

2 X X X Akun aktiva

4 Review penanganan masalah yang terjadi atau risiko pada

setiap aset informasi yang ada (sumber: A.7.2)

a Apakah entitas telah melakukan mitigasi masalah/risiko

yang ada pada setiap aset informasi berdasarkan klasifikasi

atau tingkat kepentingan pada proses pelaporan keuangan

pemerintah daerah

Laporan monitoring Tim secara

berkala

1 X X X Semua akun

b Apakah status mitigasi dari setiap masalah/risiko telah

dilakukan evaluasi untuk memastikan kemajuan kerjanya?

Risk Treatment Plan (RTP) 2 X X X Semua akun

R.3 Review Kerangka Kerja Keamanan Informasi

1 Apakah kebijakan dan prosedur keamanan informasi sudah

disusun dengan jelas dengan mencantumkan peran dan

tanggung jawab pihak-pihak yang berwenang untuk

menerapkan?

SOTK, job desc X Semua akun

2 Apakah kebijakan dan prosedur keamanan informasi sudah

dikomunikasikan dan dipublikasikan kepada pihak terkait

dan dengan mudah diakses oleh semua pihak dalam entitas

tersebut?

Pengunguman ke semua satuan kerja

terkait keamanan infomasi yang

dilakukan secara berjenjang

X Semua akun

3 Review dan dapatkan dokumen (jika ada) yang berisi

pengelolaan risiko dari pengembangan sistem pengelolaan

keuangan yang baru pada entitas

Hasil evaluasi dan pengkajian

investasi sistem TI yang baru pada

pihak yang terkait, meliputi user


198


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

a Apakah entitas sudah menerapkan proses evaluasi dari

risiko terkait rencana pengembangan sistem baru dan

penanggulangan masalah yang mungkin timbul dari sistem

pengelolaan keuangan baru tersebut?

(kepala SKPD dan jajarannya),

sekretaris daerah

2 X X X Semua akun

b Apabila penerapan suatu sistem baru tersebut menimbulkan

masalah atau menyalahi kebijakan terkait pelaksanaan

pelaporan keuangan pemerintah, apakah ada proses

penanggulangan termasuk pengamanan yang baru

(compensating control)?

2 X X X Semua akun

c Apakah entitas memiliki mempunyai strategi penggunaan

atas teknologi keamanan informasi untuk pengolah

keuangan daerah yang penerapan dan pemutakhirannya

disesuaikan dengan kebutuhan entitas?

2 X X X Semua akun

4 Review pengelolaan proses ketersediaan informasi

keuangan pemerintah daerah yakni informasi anggaran,

aset, penerimaan dan pengeluaran dengan cara back up data

SOP Backup dan restore

a Apakah entitas memiliki kebijakan terkait proses back up

informasi ?

1 X X X Semua akun

b Apakah ada proses evaluasi dilakukan secara berkala

terhadap kebijakan terkait proses back up?

2 X X X Semua akun

c Apakah ada proses pelabelan atau inventarisasi media

penyimpanan back up informasi keuangan?

3 X Semua akun

5 Review dan dapatkan dokumennya jika ada mengenai

pengendalian entitas terkait proses pertukaran informasi

keuangan baik di lingkungan internal maupun eksternal

entitas


199


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

a Apakah ada kebijakan atau prosedur yang mengatur

pengelolaan informasi termasuk penggunaan daftar induk,

distribusi, penarikan dari peredaran dan penyimpanan?

SOP Pertukaran informasi 1 X X X Anggaran,

Pendapatan

dan aset

b Review apakah terdapat kebijakan atau mekanisme yang

mengatur interkoneksi sistem informasi yang berhubungan

dengan pelaporan keuangan dengan organisasi eksternal?

2 X X X Anggaran,

Pendapatan

dan aset

6 Review proses pendeteksian kegiatan pengolahan informasi

keuangan yang tidak sah

a Apakah entitas memiliki prosedur yang mengatur proses

pemantauan penggunaan fasilitas pengolahan informasi

keuangan?


dan informatika

2 X X X Semua akun

b Apakah aspek keamanan informasi mencakup pengendalian

pelaporan insiden yang didapat dari log audit, log

administrator dan operator dan log atas kesalahan yang

terjadi pada sistem informasi keuangan sehingga dapat

segera dianalisa dan diambil tindakan dan tidak

menimbulkan masalah pada laporan keuangan?

Laporan pemantuan meliputi analisa

log admin

3 X X X Semua akun

c Apakah entitas melakukan perlindungan pada fasilitas log

dari akses sistem pengelolaan keuangan daerah?


dan informatika

2 X X X Semua akun

7 Review dan dapatkan dokumen yang berisi proses

pelaporan kelemahan keamanan informasi keuangan


a Apakah aspek keamanan informasi keuangan yang

mencakup pelaporan insiden dari sistem pengelolaan

keuangan tercantum dalam suatu kebijakan atau prosedur

yang disebarkan ke semua pegawai dan pihak ketiga?

2 X X Semua akun

8 Review dan dapatkan dokumen yang berisi manajemen


200


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

insiden keamanan informasi yang bertujuan untuk melihat

keefektifan penerapannya?

a Apakah entitas sudah menerapkan kebijakan dan prosedur

operasional untuk mengelola insiden keamanan informasi

yang muncul, alokasi tanggung jawab untuk memonitor dan

penanggulangan insiden keamanan pada fasilitas pengolah

keuangan yang ada?

SOP penanganan insiden 2 X X X Semua akun

b Apakah entitas memiliki program untuk meningkatkan

keamanan informasi untuk mengatasi insiden yang telah

terjadi sebelum-sebelumnya pada fasilitas pengolah

keuangan?

Laporan tim teknis berupa

rekomendasi kontrol

2 X Semua akun

c Apakah program keamanan informasi yang ada dilakukan

evaluasi untuk melihat keefektifan penerapannya dalam

entitas?

bukti/risalah rapat/manajemen review

untuk mengevaluasi efektivitas

penerapan keamanan informasi

2 X Semua akun

d Apakah konsekuensi dari pelanggaran keamanan informasi

yang menyebabkan insiden sudah didefinisikan,

dikomunikasikan dan ditegakan oleh entitas?

1 X Semua akun

R.4 Review Pengelolaan Aset Informasi


keamanan informasi oleh semua pihak entitas baik pegawai

dan kontraktor selama bekerja di entitas tersebut.

SOP keamanan informasi, SOTK/Job

desc


pengamanan informasi keuangan secara individual untuk

semua personil di entitas?

2 X Semua akun

b Apakah konsekuensi dari pelanggaran keamanan informasi 1 X X Semua akun


201


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

yang menyebabkan insiden pada proses pelaporan keuangan

sudah didefinisikan, dikomunikasikan dan ditegakan oleh

entitas?


keamanan informasi keuangan oleh semua pihak entitas

baik pegawai dan kontraktor setelah mengakhiri kerjasama

atau perubahan pekerjaan di entitas tersebut.





pengamanan informasi keuangan secara individual untuk

semua personil di entitas setelah pengakhiran kerjasama

atau perubahan pekerjaaan?

3 X X X Belanja

b Apakah pihak yang melakukan pengakhiran pekerjaan

terkait proses pengelolaan data keuangan dalam entitas

mengembalikan aset yang digunakan ketika bekerja?

3 X X Belanja

c Apakah terdapat penghapusan hak akses pihak yang

mengakhiri kerjasama dan perubahan pekerjaan terhadap

fasilitas pengolah informasi keuangan yang dipakai selama

bekerja di entitas tersebut?

3 X X Belanja

3 Review dan dapatkan dokumen mengenai pengendalian

area penyimpanan fasilitas pengolahan informasi

a Apakah terdapat ketentuan pengamanan fisik yang

disesuaikan dengan definisi zona dan klasifikasi aset yang

ada didalamnya?



center)

2 X X X Semua akun

b Apakah entitas memiliki pengendalian fisik area

penyimpanan fasilitas informasi berupa pengendalian entri?

Cek fisik data center 3 X X Pendapatan,

Anggaran,

Aktiva


202


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

c Apakah entitas memiliki pengamanan kantor, ruangan dan

fasilitas penyimpanan informasi dari ancaman eksternal

entitas? (misal adanya rancangan dan material yang dapat

menanggulangi risiko kebakaran dan dilengkapi dengan

fasilitas pendukung (deteksi kebakaran, asap, pemadaman

api, pengatur suhu dan kelembapan)

3 X X X Pendapatan,

Anggaran,

Aktiva

4 Review dan dapatkan dokumen mengenai keamanan

peralatan yang memuat informasi sehingga pencegahan

kehilangan, kerusakan, pencurian atau gangguan terhadap

kegiatan entitas.

a Apakah tersedia peraturan untuk mengamankan lokasi kerja

penting (ruang server, ruang arsip) dalam proses

pengelolaan data keuangan dari risiko perangkat atau bahan

yang membahayakan aset informasi yang ada didalamnya?

(misal menggunakan telepon genggam atau kamera pada

saat memasuki ruang server)



center)

2 X X Akun Aktiva

5 Adakah dokumen kebijakan atau prosedur yang mengatur

mengenai pengelolaan/pemberian akses, otentikasi dan

otorisasi untuk menggunakan aset informasi pengelolaan

keuangan

prosedur pengelolaan hak akses

(Access Control)

2 X X Akun Aktiva

6 Review pengelolaan akses untuk menggunakan aset

informasi di entitas

Laporan monitoring terkait hak akses

pengguna ( user access review)

a Apakah entitas memiliki inventarisasi akses terhadap

informasi keuangan dan fasilitas pengolah keuangan yang

berisi identitas elektronik pemilik akses, proses otentikasi

(username, password)?

2 X X X Semua akun


203


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

b Apakah ada prosedur yang mengatur pengkajian atas hak

akses pengguna (user access review) secara berkala dan

langkah pembenahan apabila terjadi ketidaksesuaian

terhadap kebijakan yang berlaku?(misal: apabila pengguna

sudah tidak berwenang atas suatu proses dalam sistem

keuangan maka dia tidak bisa mengakses fungsi tersebut)

2 X X X Semua akun

7 Review apakah entitas memiliki ketetapan pendefinisian

tanggung jawab pengamanan informasi secara individual

sebagai pengolah data keuangan di semua satuan kerja yang

ada?(misal: ketentuan pemilihan password tiap pengguna,

sistem clear desk dan clear screen serta keamanan peralatan

yang ditinggalkan oleh pengguna)


individual

1 X X Semua akun

8 Review dan dapatkan dokumen jika ada terkait

pengendalian akses jaringan, sistem operasi dan sistem

aplikasi informasi yang digunakan untuk pengolahan

keuangan baik pencatatan penerimaan, pengeluaran dan

mutasi aset

a Apakah entitas memiliki kebijakan atau prosedur yang

mengatur akses, proses otentikasi dan otorisasi penggunaan

aset informasi yakni jaringan, sistem operasi dan sistem

aplikasi informasi?

SOP pengamanan jaringan, sistem

operasi dan sistem informasi

2 X X Akun

Pendapatan,

Belanja

b Apakah entitas melakukan pengendalian secara teknis pada

aset informasi yakni jaringan, diantaranya perlindungan

dari configuration port, remote diagnostic selain itu

pengendalian pada routing dan koneksi jaringan untu

pengelolaan informasi keuangan?

Cek fisik ruang kerja pegawai 2 X X X Akun

Pendapatan,

Belanja


204


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

c Apakah entitas melakukan pengendalian secara teknis pada

aset informasi yakni sistem operasi, diantaranya sesi time

out, prosedur log on yang aman pada sistem operasi, dan

pengendalian program utility?

1 X X Akun

Pendapatan,

Belanja

d Apakah entitas melakukan pengendalian secara teknis pada

aset informasi yakni aplikasi, diantaranya isolasi aplikasi

yang sensitif bagi entitas dan pembatasan akses informasi?

1 X X Akun

Pendapatan,

Belanja

9 Review kesesuaian proses pengamanan informasi yang

dilakukan oleh pengelola keuangan yakni bendahara

penerimaan, bendahara barang, bendahara pengeluaran dan

PPK-SKPD terhadap hukum yang berlaku

a Apakah entitas telah membuat tata tertib pengamanan dan

penggunaan aset entitas terkait HAKI (Hak Kekayaan

Intelektual)?

Cek fisik lisensi OS atau aplikasi

yang lainnya

2 X Akun aktiva

b Apakah terdapat peraturan pengamanan data pribadi di

entitas tersebut

SOP/ aturan penggunaan email,

internet dan hasil pemantauan

pengunggan email & internet

1 X X Semua akun

c Apakah terdapat tata tertib penggunaan email, internet,

intranet dan komputer?

1 X X Semua akun

10 Review apakah entitas memiliki prosedur untuk

mengamankan lokasi kerja, fasilitas informasi dan aset

informasi terkait pengelolaan keuangan (anggaran,

penerimaan, pengeluaran dan pengelolaan aset dari

keberadaan pihak internal maupun eksternal yang

melakukan audit pada entitas?





individual

3 X X Semua akun

R.5 Review Teknologi dan Keamanan Informasi

1 Review apakah entitas melakukan pengendalian terkait


205


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

pengolahan dalam suatu aplikasi untuk pencatatan

pengeluaran, penerimaan keuangan oleh bendahara dan kas

umum daerah serta mutasi aset di pemerintah daerah.

a Apakah setiap perubahan pada sistem informasi secara

otomatis terekam didalam log?

Periksa log penggunaan sistem dan

aplikasi TI, baik oleh user maupun

admin

3 X X X Akun PAD,

belanja

b Apakah upaya akses yang tidak berhak juga terekam dalam

log?

3 X X X Akun PAD,

belanja

c Apakah semua log yang ada dianalisa secara berkala untuk

memastikan akurasi, validitas data masukan serta data

keluaran sistem informasi dan kelengkapan isinya?

Laporan tim teknis terkait analisa log 2 X X X Akun PAD,

belanja

2 Review dan dapatkan dokumen mengenai pengendalian

kriptografi yang diterapkan oleh entitas pada aplikasi untuk

pencatatan pengeluaran, penerimaan keuangan oleh

bendahara dan kas umum daerah serta mutasi aset di

pemerintah daerah.

SOP enkripsi

a Apakah entitas menerapakan enkripsi untuk melindungi

aset informasi keuangan penting sesuai dengan kebijakan

yang ada?

1 X X Semua akun

b Apakah entitas memiliki standar dalam penggunaan

enkripsi tersebut?

1 X X Semua akun

c Apakah entitas menerapkan pengamanan untuk mengelola

kunci enkripsi yang digunakan?

1 X X Semua akun

3 Review apakah entitas melakukan pengamanan system files

berupa perlindungan data uji sistem, pembatasan akses ke

kode sumber sistem informasi keuangan terkait pengelolaan

anggaran, penerimaan keuangan, pengeluaran dan

Periksa kesesuaian sistem TI dengan

standar yang ditetapkan:


b. Standar keamanan

2 X X X Semua akun


206


Reff

Ruang

lingkup


pengendalian

Akun

Laporan

Keuangan

yang terkait

C I A

pengelolaan aset? (security baseline),

c. Standar rilis

aplikasi


4 Review apakah entitas melakukan pengamanan dan tinjuan

teknis atas sistem aplikasi pengelolaan keuangan meliputi

aplikasi anggaran, aset dan penerimaan atau pengeluaran

keuangan pada saat proses pengembangan atau perubahan

pada aset informasi yang terhubung dengan aplikasi

tersebut, misal perubahan sistem operasi?

2 X X X Semua akun


207


Lampiran 5

Hasil Kuesioner Nilai Dampak

Indikator Nara 1 Nara 2 Nara 3 Nara 4 Nara 5 Nara 6 Nara 7 Nara 8 Nara 9 Rata-Rata

D.1.1 4 5 5 5 5 5 5 5 5 5 Extreme

D.1.2 4 5 5 5 5 5 5 5 5 5 Extreme

D.1.3 4 4 5 5 2 2 2 4 5 4 Major

D.1.4 5 5 5 5 4 5 5 5 5 5 Extreme

D.2.1 5 5 5 5 4 5 5 4 5 5 Extreme

D.2.2 4 5 5 5 4 5 5 4 5 5 Extreme

D.2.3 4 5 5 5 4 5 5 4 5 5 Extreme

D.3.1 4 5 5 5 5 5 5 4 5 5 Extreme

D.3.2 5 5 5 5 4 5 5 5 5 5 Extreme

D.3.3 4 4 5 5 2 5 5 4 4 4 Major

D.3.4 3 3 3 2 3 4 4 4 3 3 Moderate

D.3.5 4 5 5 5 4 2 4 5 4 4 Major

D.3.6 5 4 5 3 3 5 5 4 5 4 Major

D.4.1 4 5 5 5 2 5 5 4 5 4 Major

D.4.2 3 4 5 3 3 3 3 4 5 4 Major

D.4.3 5 5 5 5 4 4 4 5 4 5 Extreme

D.4.4 4 4 5 5 2 2 2 4 5 4 Major

D.4.5 4 5 5 5 5 4 5 4 5 5 Extreme


208



D.4.6 4 5 5 5 5 5 5 5 5 5 Extreme

D.4.7 4 5 5 3 2 5 5 4 4 4 Major

D.4.8 4 5 5 5 3 4 5 4 5 4 Major

D.4.9 4 4 5 4 3 5 5 4 4 4 Major

D.4.10 4 5 5 5 4 4 5 4 5 5 Extreme

D.4.11 4 4 5 4 4 5 5 4 5 4 Major

D.4.12 4 5 5 5 3 4 5 4 5 4 Major

D.4.13 2 3 3 3 4 3 4 3 3 3 Moderate

D.4.14 4 5 5 5 4 4 5 4 5 5 Extreme

D.4.15 3 4 5 5 5 5 5 4 3 4 Major

D.4.16 2 1 5 5 1 1 3 1 1 2 Minor

D.5.1 4 4 2 5 4 4 1 4 1 3 Moderate

D.5.2 4 5 5 5 4 5 5 4 5 5 Extreme

D.5.3 5 5 5 5 4 5 5 4 5 5 Extreme

D.5.4 4 4 3 5 3 5 5 4 4 4 Major


209


Hasil Kuesioner Nilai Likelihood


L.1.1 1 5 1 5 5 1 5 1 1 3 Moderate

L.1.2 1 1 1 1 5 1 5 5 1 2 Unlikely

L.1.3 4 3 3 1 5 5 5 5 2 4 Likely

L.1.4 2 2 2 1 2 2 1 1 1 2 Unlikely

L.2.1 2 1 4 1 3 1 1 1 1 2 Unlikely

L.2.2 2 5 2 1 3 1 5 2 1 2 Unlikely

L.2.3 2 3 2 1 3 1 4 2 2 2 Unlikely

L.3.1 1 2 3 2 1 1 4 2 1 2 Unlikely

L.3.2 4 1 1 4 1 1 1 1 1 2 Unlikely

L.3.3 1 4 3 1 5 1 1 2 1 2 Unlikely

L.3.4 1 1 1 1 5 1 5 5 1 2 Unlikely

L.3.5 2 2 4 2 4 1 1 5 2 3 Moderate

L.3.6 3 3 3 5 5 5 5 5 4 4 Likely

L.4.1 3 4 5 5 5 5 5 4 3 4 Likely

L.4.2 1 2 1 1 1 3 3 2 2 2 Unlikely

L.4.3 4 4 2 5 4 4 1 4 1 3 Moderate

L.4.4 1 1 2 1 1 1 2 1 1 1 Rare

L.4.5 3 3 3 3 3 4 2 5 4 3 Moderate

L.4.6 1 1 2 1 1 1 2 1 1 1 Rare

L.4.7 5 5 5 5 5 5 5 5 3 5 Almost Certain

L.4.8 1 2 1 1 1 3 3 2 2 2 Unlikely


210



L.4.9 5 5 5 2 5 3 5 5 2 4 Likely

L.4.10 2 2 3 5 5 3 5 4 1 3 Moderate

L.4.11 2 1 5 5 1 1 3 1 1 2 Unlikely

L.4.12 4 2 4 4 4 4 4 1 3 3 Moderate

L.4.13 5 5 5 5 5 5 5 5 3 5 Almost Certain

L.4.14 1 2 5 5 5 1 5 2 1 3 Moderate

L.4.15 2 1 5 5 1 1 3 1 1 2 Unlikely

L.4.16 1 1 2 1 1 1 2 1 1 1 Rare

L.5.1 5 5 5 2 5 3 5 5 2 4 Likely

L.5.2 2 2 2 3 3 1 1 2 1 2 Unlikely

L.5.3 3 1 3 3 1 3 1 3 1 2 Unlikely

L.5.4 2 3 4 1 2 1 1 1 4 2 Unlikely



Lampiran 6

Dibuat oleh : ISA

Direviu oleh : YK

Disetujui oleh : RU

Hasil Pengisian Formulir Penilaian Risiko Keamanan Informasi Pemerintah Kota Tangerang

Kode ruang lingkup

Ruang lingkup



Ref. Program Pemeriksaan

Kerawanan Ancaman Inheren Rekomendasi Kontrol

Residual Strategi Mitigasi risiko

Rencana Kerja

Target Penyelesaian

Risiko Deteksi

Strategi Pemeriksaan Umum

Dampak Kecenderungan

Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.1

Tata Kelola Keamanan Informasi

A.5.1 Information Security Policy

R.1.1.a

Belum adanya dokumen formal yang mengatur keamanan informasi di Pemda Kota Tangerang

Penyelewengan dan penyalahgunaan data oleh pihak internal dan eksternal organisasi

Extreme Moderate High

Penyusunan kebijakan keamanan informasi mulai dari kebijakan/standar, prosedur hingga petunjuk teknis.

Major Unlikely Medium Accept

Penyusunan kebijakan keamanan informasi yang mengadopsi pada standar internasional, misal ISO 27001

Tahun

2014

Tinggi

• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil


212


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.1.1.b , R.1.1.c

Pelaksanaan perangkat hukum terkait keamanan informasi masih dilaksanakan secara adhoc, yakni hanya berdasarkan permasalahan yang muncul saja

A.5.2

Kajian Information Security Policy

R.1.2

Belum dilakukan review/kajian terhadap kebijakan teknologi informasi secara reguler

Kebijakan informasi tidak dapat mengcover kondisi yang as is dari organisasi

Extreme Unlikely High

Review kebijakan-kebijakan teknologi informasi yang sudah ada secara regular


Kajian kebijakan teknologi informasi dan keamanan informasi secara berkala

Tahun 2015

Tinggi

• Pengujian subtantif terbatas • Sample kecil


213


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.6.1 Organisasi internal

R.1.3.a, R.1.3.b, R.1.3.c

Sudah ada Tupoksi / job description unit organisasi/lembaga yang memasukkan tanggungjawab keamanan informasi hanya saja belum secara spesifik mengurus keamanan informasi sehingga staf tidak fokus baik untuk pengelolaannya dan penjaminan kepatuhan program keamanan informasi

Penanganan risiko keamanan informasi tidak dapat dilaksanakan dengan cepat

Major Likely High

Memastikan job description masing-masing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagian tugas yang jelas.


Penyusunan SOTK khusus keamanan informasi

tahun

2015

Tinggi

• Pengujian subtantif terbatas • Sample

kecil Terkait

dokumen STS PAD, SP2D UP, GU dan LS dan aset


214


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.1.3.d, R.1.3.f

Tidak memiliki Security Awareness Program

User menjadi tidak aware dengan keamanan informasi. sehingga jaringan mudah diserang oleh pihak luar

Mengadakan sosialisasi khusus keamanan informasi kepada staf secara rutin.

Accept

Sosialisasi pentingnya keamanan informasi kepada staf di lingkungan organisasisecara berkala dengan memberikan informasi mengenai tindakan pencegahan dan mengatasi virus baik melalui brosur, majalah internal organisasi dan surat edaran. Serta pengguna


215


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 an internet yang aman bagi user melalui acara khusus


216


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.1.3.e

Tidak ada koordinasi dengan satker lain terkait pelanggaran keamanan informasi

Pembocoran informasi atau insiden yang dilakukan oleh staf organisasi

Memberikan sanksi dan tindakan disiplin kepada staf yang telah melanggar kebijakan keamanan seperti dinon-aktifkan, surat peringatan dan penurunan jabatan yang berasal dari satker SDM, legal atau keuangan

Koordinasi dengan satker lain terkait punishment terhadap pelanggaran keamanan informasi

A.6.2 Organisasi eksternal

R.1.4

Sudah ada MOU dan agreement dengan pihak ketiga terkait keamanan yang menyangkut proses di Pemkot Tangerang akan tetapi tidak dilakukan oleh semua satker

Pembocoran informasi atau insiden yang dilakukan oleh pihak eskternal


Review terhadap agreement dengan pihak ketiga dan minta source code untuk aplikasi yang dioutsourcedkan untuk maintainance ke depannya. Serta dokumentasi seperti user manual dari


Membuat prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem

Tahun

2014

Tinggi

• Pengujian subtantif terbatas • Sample kecil Terkait STS Pendapatan


217


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 aplikasi tersebut.

R.2

Pengelolaan Risiko Keamanan informasi

A.7.1

Tanggung Jawab terhadap aset

R.2.2.a, R.2.2.b, R.2.3.a

Inventarisasi aset TI sudah terdefinisi dengan baik dalam daftar aset Pemda Kota Tangerang akan tetapi pelabelannya masih belum lengkap

Jika ada perangkat yang hilang, maka akan sulit terdeteksi


Melakukan inventarisasi peralatan TI secara rutin untuk menghindari hilangnya barang inventaris TI di lingkungan Pemkot Tangerang dengan memberi nomor inventaris pada masing-masing peralatan TI yang ada.

Extreme Rare Medi

um Accept

adanya Kebijakan harus melindungi aset informasi dan reputasi organisasi serta mempertahankan integritas data

tahun 2014

Tinggi

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang


218


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.7.2 klasifikasi Informasi

R.2.1.a, R.2.1.b, R.2.4.a, R.2.4,b

kepemilikan informasi belum terdefinisi dengan jelas karena IT master plan Pemda Kota Tangerang masih dalam perencanaan

Informasi yang akan keluar dari organisasi harus terklasifikasi dan dilabelkan berdasarkan sensitifitasnya, jika tidak maka informasi tersebut menjadi tidak diproteksi secara baik, menyebabkan hilangnya kerahasiaan informasi


a) Menentukan siapa pemilik proses pengelolaan aset informasi pada peta proses bisnis Kota Tangerang seperti retensi, recovery dan pemusnahan yang dituangkan dalam IT Master Plan b) Penggolongan informasi berdasarkan tingkat sensitivitasnya. Klasifikasi informasi dibagi menjadi Sangat Rahasia, Terbatas dan Publik

Extreme Rare Medi

um Accept

Kebijakan mengidentifikasi apa saja yang termasuk ‘informasi’, tujuan organisasi dan tanggung jawab manajemen dan pegawai. IT Master Plan

Tahun 2014

Tinggi

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang


219


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.3

Kerangka Kerja Keamanan Informasi

A.10.2

Manajemen Pelayanan Jasa Pihak Ketiga

R.3.2

kebijakan dan prosedur keamanan informasi belum dikomunikasikan dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam organisasi

User yang berasal dari pihak eksternal menjadi tidak aware dengan keamanan informasi. sehingga keamanan informasi organisasi terganggu

Major Moderate High

Mengkomunikasikan kebijakan atau prosedur terkait keamanan informasi organisasi sehingga semua pihak yakni pihak eksternal organisasi mengetahui pentingnya keamanan informasi

Moderate Unlikely Medi

um Accept

Publikasi kepada publik terkait pengelolaan keamanan informasi dalam proses pelayanan jasa yang diberikan kepada Pemkot Tangerang

Tahun 2014

Tinggi



220


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.10.3

Perencanaan dan Keberterimaan sistem

R.3.3.a, R.3.3.b, R.3.3.c

Belum terdokumentasinya sistem dan prosedur untuk memonitor risiko terkait TI di satuan kerja TI. Sehingga sulit untuk dilakukan evaluasi.

Insiden yang sama akan terulang kembali tanpa adanya pembelajaran dan penanganan yang baik


Perlu adanya upaya dokumentasi dalam merekam jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokumentasikan aktifitas-aktifitasnya

Extreme Rare Medi

um Accept

Menginstall software berlisensi untuk melakukan pengawasan terhadap serangan- serangan yang timbul dari luar (hacker).

Tahun 2015

Tinggi



221


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.10.5 Back Up R.3.4.a, R.3.4.b, R.3.4.c

Belum adanya SOP mengenai proses back up akan tetapi pelaksanaan backup nya sudah baik yakni dengan menggunakan pelabelan untuk setiap proses backup. Aplikasi 1 minggu sekali, database setiap hari

Kehilangan data terakhir atau sebelumnya


Dilakukan back up secara teratur dan otomatis disertai labeling.


Dilakukan back up secara teratur dan otomatis disertai labeling. Dan disusuan SOP Back up agar berlaku untuk semua informasi yang ada di semua unit di Pemkot Tangerang

tahun 2014

Tinggi



222


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.10.8 Pertukaran Informasi

R.3.5.a, R.3.5.b

Belum adanya sop yang mengatur pertukaran informasi antara organisasi dengn organisasi/pihak lain akan tetapi perjanjian pertukaran sudah pernah dilakukan, misal dengan BPK RI dalam e-audit

Kebocoran data dan informasi organisasi

Major Unlikely Medium

dibuat kebijakan/prosedur pertukaran informasi, perjanjian pertukaran baik yang melalui pesan elektronik, sistem informasi bisnis dan media fisik transit

Moderate Rare Low Accept

dibuat kebijakan/prosedur pertukaran informasi, Menetapkan bentuk atau klasifikasi data yang akan dipertukarkan dengan pihak eksternal. Misalnya menggunakan format data teks dan basis data

Tahun 2014

Sangat tinggi (Very High)

• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen STS PAD, BA Mutasi barang


223


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.10.10 Pemantauan

R.3.6.a, R.3.6.b, R.3.6.c

Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya. Log admin hanya akan dievaluasi jika ada masalah yang timbul pada proses organisasi

Insiden yang sama akan terulang kembali tanpa adanya pembelajaran dan penanganan yang baik serta pencurian data yang akan lama deteksinya

Moderate Unlikely Medium

a) Perlu adanya upaya dokumentasi dalam merekam jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokumentasikan aktifitas-aktifitasnya. b) Evaluasi log administartor


Membuat dokumentasi rekaman jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan.

Tahun 2014


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji

A.13.1

Pelaporan Kejadian dan kelemahan Keamanan informasi

R.3.7.a

Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya

Major Moderate HIgh Major Unlikely Medi

um Accept Tahun 2014

Tinggi



224


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.13.2

Manajemen insiden keamanan informasi dan perbaikan

R.3.8.a, R.3.8.b

a)Belum memiliki rencana dalam penanggulangan bencana, sehingga tidak ada jaminan bahwa bisnis dapat berjalan secara cepat, setelah terjadi bencana. Serta tidak mampu mempertahankan dukungan TI terhadap jalannya bisnis secara sistematis. b)belum memiliki DRP dan BCP

a) Jika terjadi bencana, tidak memiliki alternatif cara agar bisnis dapat terus berjalan, sehingga yang terjadi bisnis terhenti dan organisasi mengalami kerugian b)Proses bisnis akan mengalami gangguan operasional cukup lama untuk kembali ke keadaaan normal.

Major Likely High

Pengembangan alat perlindungan untuk insiden keamanan informasi di lokasi kerja yang penting misal data center, membuat kebijakan BCP dan DRP


Membuat kebijakan BCP (Bussiness Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk mengurangi risiko terjadinya insiden terhadap keamanan informasi.

Tahun 2014

Tinggi



225


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R.4

Pengelolaan Aset Informasi


R.4.3.a, R.4.3.b

a)Ketentuan mengenai sanksi atas pelanggaran terhadap kebijakan pengamanan informasi belum diterapkan. b)Staf TI yang menangani risiko terkait TI tidak terlalu fokus karena banyak dibebani pekerjaan tambahan sehingga sistem kerja tidak tersistematis

a)pembocoran data dan informasi oleh pihak internal maupun eksternal yang sedang menjalani tugas di Pemkot Tangerang b)pengelolaan keamanan informasi di Pemkot Tangerang tidak bisa optimal

Major Moderate High

a)Pegawai TI tidak boleh diberikan tanggung jawab operasional untuk menghindari terjadinya conflicts of interests. b)Pada setiap bagian atau unit kerja akan ditunjuk sebagai wakil yang akan bertanggung jawab dan memonitor keamanan informasi di bagiannya, di bawah koordinasi bidang pengamanan dan pemeliharaan.


um Accept

a)Memastikan job description masing-masing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagian tugas yang jelas.

Tahun 2014

Tinggi



226


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.8.3

Pengakhiran atau perubahan pekerjaan

R.4.4.a,

terdapat pakta integritas dalam perjanjian dengan pihak ketiga terkait pengembangan sistem akan tetapi belum ada prosedur yang mengatur pengakhiran tugas atau pekerjaan dari pegawai/pejabat Pemerintah Kota Tangerang karena masih didapat aset informasi yang berada di pihak yang tidak berwenang lagi

Pembocoran informasi atau insiden yang dilakukan oleh staf organisasi

Major Rare Medium

a) SOP pengaturan aset informasi b) MOU/Pakta Integritas dengan pihak ketiga yang memuat

Major Rare Medium Accept

Pembuatan a) SOP pengaturan aset informasi b) MOU/Pakta Integritas dengan pihak ketiga yang memuat

Tahun 2014

Tinggi

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen SP2D


227


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.9.1 Area yang aman

R.4.5.a, R.4.5.b, R.4.5.c

Data center sudah dilengkapi pengamanan fisik yakni deteksi api, pengatur suhu dan kelembapan, Swipe card, CCTV dan pin code akan tetapi belum ada SOP nya sehingga pelaksanaanya masih adhoc

Data hilang jika terjadi bencana


Membuat kebijakan BCP (Bussiness Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk mengurangi risiko terjadinya insiden terhadap keamanan informasi.

Major Unlikely Medium accept

Membuat kebijakan BCP (Business Continuity Plan) atau DRP (Disaster Recovery Plan).

Tahun 2014

Tinggi

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD, Aset dan anggaran


228


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19


R.4.6.a

Belum ada peraturan/prosedur yang mengatur pengamanan lokasi kerja penting, misal data center walaupun sudah ada pengamanan fisik lokasi data center, selain itu belum ada prosedur pengamanan peralatan informasi yang dibawa ke luar lokasi kerja


Major Almost certain Very High

a) Ditingkatkannya pengamanan fisik menggunakan alat pengaman kunci biometric seperti finger print. b)SOP pengamanan peralatan di luar lokasi Kerja

Major Moderate High accept

Membuat SOP pengamanan peralatan di luar lokasi kerja dengan mengadopsi pada ISO 27001

Tahun 2014

Medium

• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan Terkait dokumen pengelolaan aset


229


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.1

Persyaratan bisnis untuk pengendalian akses

R.4.7.a

Belum adanya kebijakan dan prosedur pengelolaan hak akses pengguna sistem dan aplikasi

Orang yang tidak mempunyai wewenang dapat mengakses informasi sensitif yang dapat mengakibatkan kerugian bagi organisasi seperti misalnya kebocoran informasi


Perlu dikembangkan SOP (Standard Operating Procedure) pengelolaan hak akses pengguna

Moderate Rare Low accept

Perlu dikembangkan SOP pengelolaan hak akses pengguna

Tahun 2014


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen pengelolaan aset


230


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.2 Manajemen akses pengguna

R.4.8.a, R.4.8.b

Belum ada kebijakan dan prosedur yang mengatur pengelolaan akses pengguna sistem aplikasi yang meliputi inventarisasi daftar akses dan review daftar akses secara berkala

Major Moderate HIgh

Penghapusan hak akses kepada pegawai, kontraktor dan pengguna pihak ketiga ketika pekerjaan dan kontrak berakhir


Pembuatan SOP pengelolaan akses terhadap aplikasi/sistem, Pegawai dilarang membagi account, password, personal identification, atau informasi sejenis yang digunakan untuk identifikasi dan otorisasi

Tahun 2014

Tinggi



231


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.3 Tanggung jawab pengguna

R.4.9.a

Belum adanya penerapan pengamanan password pada aplikasi misal aplikasi telah memaksa user untuk mengubah password secara berkala

Brute force login/password guessing yang dilakukan oleh orang yang tidak bertanggung jawab

Extreme Moderate High

Pegawai dilarang untuk menulis dan melekatkan pada obyek sekitar workstation atau meja informasi untuk akses ke sistem yang bersifat sensitive seperti User ID dan password dengan melakukan kontrol clear desk dan clear screen.


a.Penyusunan kebijakan clear desk dan clear screen. b.Penyusunan SOP manajemen password

Tahun 2014

Tinggi



232


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.4

Pengendalian akses jaringan

R.4.10.a,

R.4.10.b,

R.4.10.c,

R.4.10.d

sudah ada network monitoring system akan tetapi dimonitor hanya jika terdapat masalah bukan dilakukan secara berkala. Hal ini terjadi karena belum ada SOP tentang pemantauan akses jaringan

sulit untuk memonitor log-log kegiatan dalam jaringan

Extreme Moderate HIgh

Penerapan Network Monitoring System

Major Unlikely Medium accept

SOP pemantauan akses jaringan di Pemerintah Kota Tangerang sehingga pemantauan dilkukan secara berkala

tahun 2014

Tinggi

• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS dan SP2D UP


233


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.5

Pengendalian akses sistem operasi

sudah ada sesi time out yang diterapkan dalam organisasi Pemkot Tangerang akan tetapi belum ada pembatasan penggunaan workstation bagi siswa/pegawai magang


Moderate Almost certain High

Membuat prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem bagi siswa/pegawai magang

Moderate Likely HIgh accept

prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem bagi siswa/pegawai magang

tahun 2014

Medium

• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan


234


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.11.6

Pengendalian akses aplikasi dan informasi

Review Konten dan Aplikasi Sistem Informasi sudah ada, namun belum direview ulang saat aplkasi sudah beroperasi

Tidak adanya pembatasan yang diberikan kepada user akan mengakibatkan data mudah diubah dan dihapus

Major Moderate High

a)Pembatasan terhadap akses ke social networking. Misalnya dengan pembatasan jam akses serta url yang boleh dan tidak boleh diakses oleh user. b)Mengamankan data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write

Moderate Moderate Medi

um accept

a)File-file yang dipublikasi status property filenya hanya bisa baca sehingga terlindungi dari modifikasi pihak-pihak yang tidak berkepentingan b) Pembatasan waktu koneksi dalam mengakses aplikasi yang berisiko tinggi

tahun 2014

Tinggi



235


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 dan Access. Sedangkan Compress Keying


236


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.15.1

Kesesuaian dengan persyaratan umum

R.4.11.a, R.4.11.c

Belum ada SOP tentang penggunaan email, internet dan intranet di Pemerintah Kota Tangerang, sehingga pengelolaan email dioragnisasi belum baik

Pencurian data pribadi yang berdampak bagi organisasi


SOP tentang penggunaan email, internet dan intranet

Moderate Moderate Medi

um Accept

Pelatihan untuk membangun awarness staf akan kejahatan melalui sosial media yang berakibat bagi organisasi

tahun 2014

Tinggi


A.15.3

Pertimbangan audit sistem informasi

R.4.12

Sudah MOU dengan pihak eksternal terkait e-audit yakni dengan BPK RI dan pihak ketiga sebagai penyedia jasa sistem keuangan


Minor Rare Low

MOU/Pakta integritas dengan pihak ketiga terkait audit sistem informasi

Insinighficant Rare Low Accept

MOU/Pakta integritas dengan pihak ketiga terkait audit sistem informasi

tahun 2013


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen


237


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 STS dan SP2D


238


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

R5

Teknologi dan Keamanan Informasi

A.12.2

Pengolahan yang benar dalam aplikasi

R.5.1.a, R.5.1.b, R.5.1.c

Fungsi audit Log sudah dilakukan oleh Pemerintah Kota Tangerang akan tetapi tidak direview secara berkala hanya pada kondisi tertentu saja

Penyerang melakukan Sql Injection yang dapat merusak data milik Pemerintah Kota Tangerang dan kemampuan organisasi untuk menjalankan fungsi bisnis secara benar dan atau menurunkan kredibillitas entitas lainnya yang mungkin berada dalam cakupan informasi atau layanan yang disediakan oleh


Perekaman kegiatan pengguna dan kejadian keamanan informasi melalui log audit.


SOP tentang pemantauan melalui audit log pada aplikasi sehingga diketahui dengan cepat permasalahan yang muncul

Tahun 2014

Tinggi

• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD dan SP2D


239


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 organisasi


240


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.12.3

Pengendalian dengan cara kriptografi

R.5.2.a, R.5.2.b, R.5.2.c

Belum adanya kebijakan dan prosedur untuk standar enkripsi yang digunakan pemerintah Kota Tangerang, sehingga belum ada pendataan enkripsi yang dipakai

Apabila muncul permasalahan terkait enkripsi yang diterapkan dalam sistem/aplikasi akan susah dideteksi dan diselesaikan

Moderate Likely High

Daftar Enkripsi dan kunci untuk setiap aplikasi/sistem informasi


um Accept

SOP penggunaan enkripsi pada aplikasi/sistem informasi

Tahun 2014

Tinggi



241


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.12.4 Keamanan sistem file

R.5.3

Sudah ada pembatasan akses ke kode sumber program aplikasi di Pemerintah Kota Tangerang akan tetapi belum ada standar yang mengatur hal tersebut sehingga hanya beberapa satker tertentu yang menjalankan pengendalian ini



Mengamankan data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write dan Access. Sedangkan Compress Keying yaitu penguncian hasil pemadatan file seperti RAR, ZIP dan lain-lain. Hasil kompres lalu ditambahkan password apabila ingin di decompress


um Accept

a) File-file yang dipublikasi status property filenya hanya bisa baca sehingga terlindungi dari modifikasi pihak-pihak yang tidak berkepentingan b) pembuatan SOP pembatasan akses ke kode sumber

Tahun 2013

Tinggi



242


Kode ruang lingkup

Ruang lingkup






Rencana Kerja

Target Penyelesaian

Risiko Deteksi



Nilai Risiko Dampa

k Kecenderungan

Nilai Risiko

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

A.12.5

Keamanan dalam proses pengembangan dan pendukung

R.5.4

Kebijakan dan prosedur pengembangan aplikasi sudah ada namun belum dilakukan review ulang, source code dari aplikasi yang dikembangkan oleh pihak ketiga sudah diberikan kepada Pemerintah Kota Tangerang

Outsourced application yang dikerjakan oleh pihak ketiga dapat diketahui kekurangan dari proses bisnisnya sehingga mempengaruhi pelayanan Pemerintah Kota Tangerang


Penyusunan dokumentasi setiap pengembangan aplikasi meliputi kamus, data, ER diagram, database management system, source code dan algoritma.


Penyusunan Kebijakan dan prosedur pengembangan aplikasi

Tahun 2013


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji


universitas indonesia perancangan alat …lib.ui.ac.id/file?file=digital/20367303-ta-ika septi...

Documents