universitas indonesia perancangan alat …lib.ui.ac.id/file?file=digital/20367303-ta-ika septi...
TRANSCRIPT
UNIVERSITAS INDONESIA
PERANCANGAN ALAT BANTU DAN KERANGKA KERJA
PENILAIAN RISIKO KEAMANAN INFORMASI
DALAM PROSES PERENCANAAN PEMERIKSAAN
LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH
DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN
KARYA AKHIR
IKA SEPTI ANGGRAENI
1206302573
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JANUARI 2014
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
UNIVERSITAS INDONESIA
PERANCANGAN ALAT BANTU DAN KERANGKA KERJA
PENILAIAN RISIKO KEAMANAN INFORMASI
DALAM PROSES PERENCANAAN PEMERIKSAAN
LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH
DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh
gelar Magister Teknologi Informasi
IKA SEPTI ANGGRAENI
1206302573
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
JANUARI 2014
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
ii
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
iii
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
iv
KATA PENGANTAR
Puji syukur saa panjatkan kehadirat Allah SWT karena rahmatnya saya dapat
menyelesaikan Karya Akhir ini yang berjudul Perancangan alat bantu dan
kerangka kerja penilaian risiko keamanan informasi dalam proses perencanaan
pemeriksaan laporan keuangan konsolidasi pemerintah daerah – BPK RI Pwk
Banten.
Saya menyadari sangatlah sulit bagi saya menyelesaikan penelitian ini tanpa
bantuan dan bimbingan dari berbagai pihak. Untuk itu, saya mengucapkan terima
kasih sebesar-besarnya kepada:
1. Bapak Yudho Giri Sucahyo, Ph.D dan Bapak Ivano Aviandi, M.Sc selaku
Dosen pembimbing yang telah meluangkan waktu, tenaga dan pikiran untuk
mengarahkan penulis dalam menyelesaikan karya akhir.
2. Teman-teman yaitu Mbak Atik, Chairina, Irena, Mbak Gals, Pita, Ika, Mbak
Sandra, Yuli, Mbak Atina, Angga, Fajar, Fathul Bari, Pak Dirjen, Brot Sen,
Pak Eselon, Aji, Tri Budi, Pak Eko, Bayu, Nur, Mas Bambang, Mas Suprianto,
Pak Tosan, Handy, Indra, Muti, Pak Jonny, Pak Syofian, Mas Hari, Fefe,
Anday, Nia dan David yang telah berjuang dalam suka dan duka selama
menjalani perkuliahan di MTI-UI kelas 2012SA.
3. Kementerian Komunikasi dan Informatika Republik Indonesia yang telah
memberikan kesempatan untuk mendapatkan beasiswa GCIO.
4. Bapak I Nyoman Wara, S.E., Ak (selaku pejabat eselon I staf ahli BPK RI).
5. Ibu Ririn Untari, M.Si., Ak, Bapak Priyo, SE., Ak (selaku Pengendali Teknis
BPK RI).
6. Bapak H. Muhtarom, SE., Ak yang memberikan ijin untuk pengambilan data
keamanan informasi pengelolaan keuangan di Pemkot Tangerang.
7. Bapak Adhi Zulkifli, MT, Beben Machbuban, S.ip, Mugiya Wardhany, SE.
M.Si yang meluangkan waktu untuk memberikan informasi terkait keamanan
informasi di Pemerintah Kota Tangerang.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
v
8. Dedy Rustandi, S.Kom sebagai suami yang memberikan dukungan secara moril
dan finansial dalam proses perkuliahan sampai dengan pembuatan karya akhir.
9. Ryuzain Ardan Radyka yang mencoba mengerti bahwa mama nya sering
meninggalkan anaknya untuk perkuliahan, tugas dan karya akhir.
10. Ibu, adik-adik saya tercinta, ibu dan ayah mertua yang telah memberikan doa
dan dukungan besar untuk penulis.
Jakarta, 10 Januari 2014
Ika Septi Anggraeni
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
vi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
vii Universitas Indonesia
ABSTRAK
Nama : Ika Septi Anggraeni
Program Studi : Magister Teknologi Informasi
Judul : Perancangan Alat Bantu dan Kerangka Kerja Penilaian
Risiko Keamanan Informasi dalam perencanaan
pemeriksaan laporan keuangan konsolidasi pemerintah
daerah : Studi Kasus BPK RI Perwakilan Banten
Risiko pemeriksaan mempengaruhi standar pekerjaan lapangan dan standar
pelaporan dalam pemeriksaan laporan keuangan. Salah satu aspek yang dinilai
paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah
risiko keamanan informasi. Perlunya penilaian risiko keamanan informasi dari
aspek TI kerana teknologi informasi sangat mempengaruhi berbagai macam
aktivitas dalam organisasi diantaranya penyusunan laporan keuangan yang
merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi,
tidak terkecuali instansi pemerintah. Penelitian ini akan menyusun alat bantu dan
kerangka kerja penilaian risiko keamanan informasi di instansi pemerintah yang
berbasis ISO 27001. Narasumber yang terdiri dari pengendali teknis, auditor dan
pejabat eselon I BPK RI diwawancara untuk memilih aktivitas pengendalian
dalam ISO 27001 yang penting dalam penilaian risiko keamanan informasi. Hasil
pemilihan aktivitas tersebut dijadikan input dalam perancangan model kerangka
kerja, dimana kerangka kerja tersebut akan diuji publik di Pemerintah Kota
Tangerang oleh beberapa auditor. Hasil penelitian ini dapat membentuk suatu alat
bantu dan kerangka kerja untuk memudahkan para auditor di BPK dalam proses
penilaian risiko keamanan informasi untuk menunjang perencanaan pemeriksaan
laporan keuangan pemerintah daerah dimana terdiri dari unsur-unsur dalam
program audit yakni ruang lingkup audit, tujuan audit, tahap perencanaan, tahap
pelaksanaan, dan tahap penyelesaian yang dirumuskan dari aktivitas dan praktik
pengendalian di ISO 27001 terpilih. Kerangka kerja dilengkapi dengan indikator
dampak dan kecenderungan dari setiap risiko aktivitas yang didapat dari klausal-
klausal ISO 27001.
Kata kunci: Risiko Keamanan Informasi , ISO 27001, Program Audit
x + 127 Halaman; 27 Gambar; 27 Tabel; 6 Lampiran
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
viii Universitas Indonesia
ABSTRACT
Name : Ika Septi Anggraeni
Study Program : Magister Teknologi Informasi
Title : Information Security Risk Assessment Tools and
Framework Design for Consolidated Financial Statements
of Audit Planning in Local Governments: A Case Study at
The Audit Board of Republic Indonesia Banten
Representative
Inspection risks affecting standard of field works and standards of examination
report of financial statements. One aspect that is considered the most influencing
risk in todays information age is a risk of information security covering aspects of
IT and non IT aspects. The needs for information risk security assesment of IT
aspects which due to the rapid information technology development, which
greatly affects wide range of activities within organization including stated
financial reports, is the output of a system that uses information technology,
including government agencies. This research develop tools and frameworks in
the information security risk assesment at government agencies based on ISO
27001. Resource persons consisting of technical controllers, auditor and BPK
echelon I are interviewed to select the ISO 27001 control activities which are
important in the information security risk assesment. Election results will serve as
input in designing the model framework, which then some auditors will perform
public test in Tangerang city government. The results of this study can form a
frameowkrs and tools to facilitate the BPK auditors in the process of information
security risk assesment to support inspection planning of local government
financial reports, which consist of the elements in the audit program such as audit
scope, audit objectives, planning phase, stages of implementation, and completion
stages of activities and practices defined in the selected ISO 27001. The
framework comes with indicators of the impact and trends of each risk activity
derived from ISO 27001 clauses.
Keywords: Information Security Risk , ISO 27001, Audit Program
x + 127 Pages; 27 Figures; 27 Tables; 6 Attachments
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
ix Universitas Indonesia
DAFTAR ISI
HALAMAN JUDUL .............................................................................................. i
HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA
AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi ABSTRAK ........................................................................................................... vii ABSTRACT ........................................................................................................ viii DAFTAR ISI ......................................................................................................... ix DAFTAR GAMBAR ........................................................................................... xii
DAFTAR TABEL .............................................................................................. xiii DAFTAR LAMPIRAN ...................................................................................... xiv BAB 1 PENDAHULUAN ..................................................................................... 1
1.1 Latar Belakang .......................................................................................... 1 1.2 Pertanyaan Masalah (Research Question) ................................................ 7 1.3 Tujuan Penelitian ...................................................................................... 7 1.4 Manfaat Penelitian .................................................................................... 8 1.5 Ruang lingkup Penelitian .......................................................................... 8
BAB 2 TINJAUAN PUSTAKA ............................................................................ 9 2.1 Risiko ........................................................................................................ 9
2.1.1 Pengertian Risiko .......................................................................... 9 2.1.2 Macam-Macam Risiko ................................................................ 10
2.2 Keamanan Informasi ............................................................................... 10 2.3 Hubungan Risiko Keamanan Informasi dalam Risk Based Audit Laporan
Keuangan ................................................................................................ 13 2.3.1 Konsep Risk Based Audit ............................................................ 13 2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk
Based Audit ................................................................................. 13
2.4 Sistem Pengelolaan Keuangan Pemerintah Daerah ................................ 14 2.5 Program Audit ......................................................................................... 18 2.6 Penilaian Risiko Keamanan Informasi (security risk assessment) ......... 20 2.7 ISO 27001:2005 ...................................................................................... 22 2.8 Penelitian Sebelumnya ............................................................................ 25
2.9 Kerangka Teori Penelitian (Theoretical Framework)............................. 26
BAB 3 METODOLOGI PENELITIAN ............................................................ 28 3.1 Identifikasi Permasalahan ....................................................................... 29
3.2 Melakukan Studi Literatur ...................................................................... 29 3.3 Pengambilan data .................................................................................... 30 3.4 Analisis Data ........................................................................................... 31
3.4.1 Analisis Proses Akuntansi SIPKD .............................................. 32
3.4.2 Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik
Pengendalian dari Aktivitas di ISO 27001 .................................. 32 3.5 Perancangan model konseptual ............................................................... 32
3.5.1 Perancangan Penetapan Kelemahan dan Ancaman..................... 33
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
x Universitas Indonesia
3.5.2 Perancangan analisis dampak dan likelihood .............................. 33 3.5.3 Penilaian tingkat risiko ................................................................ 34 3.5.4 Analisis Prioritas risiko ............................................................... 35 3.5.5 Menganalisis rekomendasi kontrol ............................................. 35
3.6 Uji publik rancangan ............................................................................... 36 3.7 Validasi rancangan alat bantu dan kerangka kerja ................................. 36 3.8 Simpulan dan Saran ................................................................................ 37
BAB 4 PROFIL ORGANISASI ......................................................................... 38 4.1 Identifikasi Organisasi ............................................................................ 38 4.2 Struktur Organisasi ................................................................................. 39 4.3 Visi, Misi, dan Nilai Dasar BPK ............................................................. 40 4.4 Penilaian Risiko dalam Pemeriksaan di BPK RI .................................... 40
4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan ........ 40
4.4.2 Kedudukan Panduan Penilaian Risiko ........................................ 41 4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan .. 42 4.4.4 Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan
Laporan Keuangan di BPK RI .................................................... 43
BAB 5 HASIL DAN PEMBAHASAN ............................................................... 45 5.1 Hasil wawancara awal ............................................................................ 45
5.1.1 Pemilihan aktivitas pengendalian ................................................ 48 5.2 Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah
Daerah ..................................................................................................... 53 5.2.1 Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan
Pemerintah Daerah ...................................................................... 53 5.3 Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan
Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001
................................................................................................................. 60 5.3.1 Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas
ISO 27001 ................................................................................... 62 5.3.2 Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan
Aktivitas ISO 27001 .................................................................... 63
5.3.3 Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan
Aktivitas ISO 27001 .................................................................... 64 5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001
..................................................................................................... 66 5.4 Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan
Informasi ................................................................................................. 67 5.4.1 Rancangan awal Program Audit ................................................. 67 5.4.2 Hasil Perancangan Program Audit .............................................. 85
5.4.3 Penetapan Kelemahan dan Ancaman ........................................ 101 5.4.4 Analisa Dampak ........................................................................ 101 5.4.5 Analisa Likelihood (kecenderungan)......................................... 106 5.4.6 Penetapan Tingkat Risiko ......................................................... 110
5.4.7 Penentuan prioritas risiko .......................................................... 112 5.4.8 Analisis Rekomendasi Kontrol ................................................. 112 5.4.9 Mitigasi Risiko .......................................................................... 112 5.4.10 Risiko Deteksi ............................................................................ 113
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
xi Universitas Indonesia
5.5 Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko Keamanan
Informasi ............................................................................................... 114 5.5.1 Kerangka kerja penilaian risiko keamanan informasi ............... 114
5.6 Uji Publik ............................................................................................. 118 5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi
................................................................................................... 118 5.7 Alat bantu Penilaian Risiko .................................................................. 126
5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi .. 127
BAB 6 KESIMPULAN DAN SARAN ............................................................. 133 6.1 Kesimpulan ........................................................................................... 133 6.2 Saran ..................................................................................................... 134
DAFTAR PUSTAKA ........................................................................................ 135
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
xii Universitas Indonesia
DAFTAR GAMBAR
Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah
(Keuangan, Oktober, 2011) ............................................................... 5 Gambar 1.2 Fishbone Diagram (Ishikawa Diagram) ............................................. 7 Gambar 2.1 Komponen keamanan informasi (Mattord, 2010) ............................ 11 Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses
Risk-Based Auditing (Sumber : CPA journal, Juli 2010) ................... 13 Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah ........................ 15 Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah .................................... 17 Gambar 2.5 Contoh Program Audit ...................................................................... 20 Gambar 2.6 Perbandingan Metode Penilaian Risiko ............................................ 24
Gambar 2.7 Theoritical Framework ..................................................................... 27 Gambar 3.1 Metodologi Penelitian ....................................................................... 28 Gambar 3.2 Matriks penentuan tingkat risiko ....................................................... 35 Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor
34/K/I-VIII.3/6/2007) ...................................................................... 39 Gambar 4.2 Metodologi Pemeriksaan ................................................................... 41 Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan
Keuangan dengan Pedoman Pemeriksaan BPK ............................... 42 Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting” 49 Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup
Audit ................................................................................................ 67 Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup
Audit (2) ........................................................................................... 68 Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko......... 111 Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja ............................. 115 Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja ........................... 115 Gambar 5. 7 Formulir program audit dalam kerangka kerja ............................... 116 Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator ....................... 127
Gambar 5. 9 Halaman pilih ruang lingkup .......................................................... 128 Gambar 5. 10 Halaman Pertanyaan ..................................................................... 129 Gambar 5. 11 Halaman Hasil Penilaian Risiko ................................................... 130 Gambar 5. 12 Halaman input data Risk Assesment ............................................. 132 Gambar 5. 13 Halaman Tampilan Risk Assesment.............................................. 132
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
xiii Universitas Indonesia
DAFTAR TABEL
Tabel 2.1 Peta Risiko (Madhukar, 2007) ............................................................. 22 Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber :
www.iso27001certificates.com/Register%20Search.htm) .................................... 23 Tabel 5.1 Hasil Tabulasi pengambilan data awal.................................................. 46 Tabel 5.2 Hasil review pejabat BPK RI ................................................................ 51 Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting" ...................... 52 Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran ....... 53 Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas..... 55 Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas ........... 57
Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset ....................... 59 Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih .......... 61 Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran ................... 62 Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan ... 63 Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan .. 65 Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset ................................ 66 Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko ............................ 102 Tabel 5.14 Skala penilaian dampak .................................................................... 103 Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan ................ 104 Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak ..... 104 Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko ........................... 106 Tabel 5.18 Skala penilaian likelihood ................................................................. 108 Tabel 5.19 Penilaian Likelihood tiap jenis risiko ................................................ 108 Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood .... 109 Tabel 5.21 Skala Risiko ...................................................................................... 111 Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK113 Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup ......................................... 119 Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas ......................................... 121
Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas ...................................... 124
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
xiv Universitas Indonesia
DAFTAR LAMPIRAN
Lampiran 1..................................................................................................... 135
Lampiran 2..................................................................................................... 145
Lampiran 3..................................................................................................... 148
Lampiran 4..................................................................................................... 180
Lampiran 5..................................................................................................... 191
Lampiran 6..................................................................................................... 209
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
1 Universitas Indonesia
BAB 1
PENDAHULUAN
Pada Bab 1 ini dijelaskan tentang latar belakang penelitian, permasalahan dan
ruang lingkup penelitian. Studi kasus yang diambil untuk perancangan alat bantu
dan kerangka kerja penilaian risiko keamanan informasi sistem pengelolaan
keuangan pemerintah daerah adalah Badan Pemeriksa Keuangan Perwakilan
Provinsi Banten.
1.1 Latar Belakang
Badan Pemeriksa Keuangan (BPK) merupakan satu lembaga negara yang bebas
dan mandiri dalam memeriksa pengelolaan dan tanggung jawab keuangan negara.
Secara hukum kedudukan BPK diatur dalam UUD 1945 pada pasal 23E, 23F dan
23G serta Undang-Undang (UU) No 15/2006 tentang BPK. BPK bertugas
memeriksa pengelolaan dan tanggung jawab keuangan negara yang dilakukan
oleh pemerintah pusat, pemerintah daerah, lembaga negara lainnya, Bank
Indonesia, Badan Usaha Milik Negara, Badan Layanan Umum, Badan Usaha
Milik Daerah, dan lembaga atau badan lain yang mengelola keuangan negara.
BPK dalam melaksanakan tugasnya tersebut ditunjang oleh rencana strategi 2011-
2015 yang dituangkan dalam Keputusan Badan Pemeriksa Keuangan Republik
Indonesia No.3/K/I-XIII.2/5/2011. Salah satu strategi yang direncanakan oleh
BPK adalah mewujudkan pemeriksaan yang bermutu untuk menghasilkan laporan
hasil pemeriksaan yang bermanfaat dan sesuai dengan pemangku kepentingan.
Salah satu indikator kinerja utama dari rencana strategis ini adalah jumlah laporan
hasil pemeriksaan (LHP) yang diterbitkan oleh BPK karena perhatian pemangku
kepentingan, baik dari lembaga perwakilan, pemerintah, maupun masyarakat
umum terhadap hasil pemeriksaan BPK juga semakin meningkat.
Laporan hasil pemeriksaan atas laporan keuangan pemerintah pusat atau
pemerintah daerah disampaikan oleh BPK kepada DPR dan DPD atau DPRD
selambat-lambatnya dua bulan setelah menerima laporan keuangan dari
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
2
Universitas Indonesia
pemerintah pusat atau pemerintah daerah sesuai dengan UU No 15 Tahun 2004
tentang Pemeriksaan Pengelolaan dan Tanggung jawab Keuangan Negara.
Laporan hasil evaluasi Direktorat Utama Perencanaan, Evaluasi, Pengembangan,
Pendidikan dan Pelatihan (Ditama Revbang) BPK RI tahun 2012 menunjukkan
bahwa target LHP yang diterbitkan oleh BPK sebanyak 1415 sedangkan realisasi
selama tahun 2012 BPK menerbitkan sebanyak 1316 atau sebesar 93%. Dari
jumlah realisasi terdapat 54% LHP yang terbit tepat waktu, sedangkan 46% LHP
terlambat (Direktorat Utama Perencanaan, 2013).
Laporan hasil evaluasi Ditama Revbang BPK tersebut menunjukkan penerbitan
LHP di BPK tidak optimal karena terdapat permasalahan dari proses pelaksanaan
pemeriksaan keuangan negara yang dilakukan BPK. Permasalahan ini disebabkan
beberapa faktor, diantaranya:
a. Sumber Daya Manusia
Data dari Biro Sumber Daya Manusia (SDM) BPK RI tahun 2012
menunjukkan bahwa jumlah pegawai BPK RI baik di pusat dan perwakilan
adalah 6218 orang, dimana 2963 orang atau 47,65% adalah auditor. Menurut
Keputusan Sekretariat Jenderal BPK RI tahun 2006 ditetapkan standar ideal
jumlah personil dalam satu tim adalah 5 orang sehingga jumlah LHP yang
dapat diterbitkan sebanyak 593 laporan tiap periode pemeriksaan laporan
keuangan sedangkan target yang telah ditetapkan BPK menurut Laporan hasil
evaluasi Ditama Revbang untuk penerbitan LHP laporan keuangan sebanyak
616 laporan.
Menurut UU No 15 Tahun 2004, BPK tidak hanya melaksanakan pemeriksaan
atas laporan keuangan melainkan pemeriksaan atas kinerja dan pemeriksaan
dengan tujuan tertentu. Hal ini semakin mendukung bahwa ada ketimpangan
jumlah auditor yang ada di BPK dengan jumlah objek pemeriksaan yang harus
diperiksa oleh BPK selain analisa diatas mengenai perbandingan jumlah
auditor dengan target penerbitan LHP.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
3
Universitas Indonesia
b. Prosedur pengujian area pemeriksaan laporan keuangan
Prosedur pengujian atas seluruh area pemeriksaan LK dalam suatu entitas yang
diperiksa masih dilakukan oleh auditor BPK karena tidak ada prioritas area
pemeriksaan yang akan diperiksa berdasarkan level risikonya, dimana
penentuan risiko pemeriksaan didapat dari proses perencanaan audit laporan
keuangan. Keadaan tersebut menyebabkan setiap pemeriksaan laporan
keuangan membutuhkan waktu pemeriksaan yakni dua sampai dengan tiga
bulan berdasarkan data laporan hasil evaluasi Ditama Revbang BPK sedangkan
terdapat ketentuan bahwa LHP diserahkan kepada para pemangku kepentingan
selambat-lambatnya 2(dua) bulan setelah laporan keuangan diterima BPK.
Oleh karena itu BPK menghadapi berbagai keterbatasan, seperti sumber daya
manusia dan waktu, sehingga kinerja BPK dalam menerbitkan LHP bagi para
pemangku kepentingan tidak optimal seperti yang telah dipaparkan melalui data
penerbitan LHP di BPK tahun 2012.
Keterbatasan sumber daya manusia diatas mengharuskan pemeriksa bekerja
dengan efektif dan efisien yakni dengan mempertimbangkan dilakukannya
pemeriksaan pada area-area yang berisiko tinggi, yakni pemeriksa perlu
mempertimbangkan risiko pemeriksaan dalam perencanaan pemeriksaannya yang
dikenal dengan istilah Risk Based Audit.
Semakin tinggi risiko pada area tersebut maka membutuhkan pengujian substantif
yang lebih banyak. Pengujian substantif banyak membutuhkan tenaga kerja dan
memakan waktu yang lama. Peningkatan pengujian substantif dapat berarti audit
yang lebih lama serta biaya audit yang lebih tinggi (Hall, 2007).
Risiko pemeriksaan mempengaruhi penerapan standar auditing. Khususnya
standar pekerjaan lapangan dan standar pelaporan. Risiko audit dan materialitas,
bersama dengan hal lainnya perlu dipertimbangkan untuk menentukan sifat dan
luas prosedur audit serta dalam mengevaluasi hasil prosedur tersebut (Agus
Widarsono, 2005) .
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
4
Universitas Indonesia
Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era
informasi sekarang ini adalah risiko keamanan informasi pengelolaan keuangan
daerah. Risiko keamanan informasi meliputi dua aspek yaitu aspek non teknologi
informasi dan aspek teknologi informasi.
Aspek TI pengelolaan keuangan daerah berasal dari pesatnya perkembangan
teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam
organisasi. Laporan keuangan yang dihasilkan oleh organisasi merupakan
keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak
terkecuali instansi pemerintah.
Laporan Monitoring dan Evaluasi Penyelenggaraan Sistem Informasi Keuangan
Daerah Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan tahun
2011 menunjukkan secara umum daerah telah memulai implementasi teknologi
informasi pengelolaan keuangan dearah sepanjang tahun 2006 s.d 2010
(Keuangan, Oktober, 2011). Hal ini bertepatan dengan terbitnya PP 58/2005
tentang Pengelolaan Keuangan Daerah dan Permendargi 13/2006 tentang
Pedoman Pengelolaan Keuangan Daerah. Sedangkan hanya 10% daerah setelah
2010 dan sisanya sebesar 17 persen sebelum 2006 yang mengimplementasikan
teknologi informasi dalam pengelolaan keuangan daerah sedangkan dari hasil
kuisioner menunjukkan juga aplikasi pengelolaan keuangan daerah yang paling
banyak dipakai oleh daerah berasal dari pengembang Badan Pengawasan
Keuangan dan Pembangunan (BPKP) dengan nama produknya Sistem
Manajemen dan Informasi Daerah (SIMDA). Kemudian Sekitar 27% merupakan
aplikasi yang bernama Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)
yang berasal dari Pilot Project Kemendagri. Sisanya adalah swakelola, SIPKD
non pilot project dan sisanya masing-masing sebesar 10%, 3% dan 10%.
Grafik penggunaan sistem informasi pada pengelolaan keuangan pemerintah
daerah yang berasal dari beberapa organisasi yakni Kemendagri, BPKP, SIPKD,
swakelola dan lain-lain. Grafik penggunaan sistem informasi ini dapat dilihat pada
Gambar 1.1.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
5
Universitas Indonesia
Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah (Keuangan,
Oktober, 2011)
Certified Public Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan
bahwa Statements on Auditing Standards (SAS) 104-111 dan Auditing Standard
(AS) 5 menekankan perlu hubungan antara proses perencanaan audit laporan
keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan (Dan
Schroeder, Juli, 2010). Pentingnya hubungan antara proses perencanaan audit
laporan keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan
juga disebutkan dalam Standar Pemeriksaan Keuangan Negara (SPKN) yang
diatur dalam Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007.
Hubungan antara proses perencanaan audit laporan keuangan dan prosedur
penilaian risiko keamanan informasi inilah maka dapat diidentifikasi bagaimana
efek keamanan informasi pengelolaan keuangan daerah pada asersi laporan
keuangan sehingga dapat diketahui pula area-area mana yang akan menjadi fokus
pemeriksaan laporan keuangan tersebut.
Hasil observasi menunjukkan bahwa belum pernah dilakukan penilaian risiko
keamanan informasi pengelolaan keuangan daerah oleh pemeriksa di BPK pada
proses perencanaan pemeriksaa laporan keuangan sehingga proses perencanaan
pemeriksaan laporan keuangan di BPK tidak dapat bejalan sesuai dengan SPKN
yang ada. Permasalahan tersebut disebabkan oleh beberapa hal, sebagai berikut:
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
6
Universitas Indonesia
a. Sumber Daya Manusia
Hasil observasi menunjukkan bahwa proses penilaian risiko keamanan
informasi pengelolaan keuangan dalam pemeriksaan laporan keuangan di
BPK belum dapat maksimal karena belum ada sosialisasi mengenai
pentingnya penilaian risiko keamanan informasi ini dalam perencanaan
pemeriksaan laporan keuangan.
b. Prosedur perencanaan pemeriksaan laporan keuangan
Selain sosialisasi, permasalahan yang ada disebabkan oleh belum adanya alat
bantu dan kerangka kerja yang baku untuk menilai risiko keamanan informasi
pengelolaan keuangan dalam bentuk program audit yang mudah dipahami
oleh para pemeriksa di BPK RI sehingga hasil penilaian risiko ini akan
mendukung proses perencanaan pemeriksaan laporan keuangan.
Permasalahan diatas mengenai belum adanya alat bantu dan kerangka kerja
penilaian risiko keamanan informasi pada perencanaan audit laporan keuangan
dapat digambarkan melalui diagram fishbone. Melalui diagram ini dapat diketahui
berbagai permasalahan mengenai penilaian risiko keamanan informasi
pengelolaan keuangan dalam proses perencanaan pemeriksaan laporan keuangan
di BPK tidak dapat bejalan sesuai dengan SPKN. Hubungan sebab akibat dengan
diagram fishbone dapat dilihat pada Gambar 1.2
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
7
Universitas Indonesia
Gambar 1.2 Fishbone Diagram (Ishikawa Diagram)
Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko
keamanan informasi pengelolaan keuangan dalam bentuk program audit yang
dapat dimengerti oleh pemeriksa dan disesuaikan dengan kondisi objek
pemeriksaan yang diperiksa yakni instansi pemerintah.j
1.2 Pertanyaan Masalah (Research Question)
Dari hasil analisis maka didapat pertanyaan penelitian sebagai berikut.
“Bagaimana bentuk alat bantu dan kerangka kerja untuk penilaian risiko
keamanan informasi atas pengelolaan keuangan daerah dalam bentuk program
audit sehingga penilaian risiko pada proses perencanaan pemeriksaan laporan
sesuai dengan SPKN?”
1.3 Tujuan Penelitian
Berdasarkan pertanyaan penelitian diatas, maka tujuan yang ingin dicapai dalam
penelitian ini adalah membuat perancangan alat bantu dan kerangka kerja untuk
penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
8
Universitas Indonesia
keuangan yang sesuai SPKN sehingga dapat dijadikan pedoman yang seragam
bagi semua pemeriksa BPK RI dalam menilai risiko keamanan informasi.
1.4 Manfaat Penelitian
Manfaat yang diharapkan dari penelitian ini adalah membantu auditor dalam
menilai risiko keamanan informasi baik aspek non TI dan aspek TI dari sistem
pengelolaan keuangan di instansi pemerintah sehingga dapat diketahui area-area
yang menjadi fokus pemeriksaan laporan keuangan dan menjadi pedoman bagi
penelitian yang lain dalam menentukan risiko keamanan informasi pengelolaan
keuangan di instansi pemerintah.
1.5 Ruang lingkup Penelitian
Peneliti menyadari bahwa terdapat hal-hal yang tidak dapat diteliti secara
menyeluruh. Oleh karena itu penelitian ini hanya dibatasi pada pembuatan alat
bantu dan kerangka kerja penilaian risiko keamanan informasi prosedur akuntansi
pengelolaan keuangan dalam bentuk program audit di instansi pemerintah daerah.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
9 Universitas Indonesia
BAB 2
TINJAUAN PUSTAKA
Pada bab ini akan dibahas teori-teori yang berkaitan dengan risiko pemeriksaan
laporan keuangan, risiko teknologi informasi, bagaimana hubungan risiko
pemeriksaan dengan risiko teknologi informasi, Risk Based Audit, audit teknologi
informasi, keamanan informasi, sistem pengelolaan keuangan daerah, program
audit dan ISO 27001 serta referensi penelitian sebelumnya. Pada akhir bab ini
akan dibuat suatu kerangka teori penelitian (theoretical framework).
2.1 Risiko
2.1.1 Pengertian Risiko
Menurut Peltier (Peltier, 2001), risiko adalah seseorang atau sesuatu yang
membuat atau menyarankan sebuah bahaya. Sedangkan menurut Djojosoedarso
(Djojosoedarso, 2005), pengertian risiko diantaranya:
1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode
tertentu (Arthur Wiliams dan Richard, M.H).
2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan
peristiwa kerugian (Loss) (A.Abas Salim).
3. Risko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto).
4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang
diharapkan (Herman Darmawi).
5. Risiko adalah probalitas sesuatu hasil/outcome yang berbeda dengan yang
diharapkan (Herman Darmawi).
Berdasarkan definisi-definisi diatas dapat disimpulkan bahwa risiko selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan tidak
terduga/ tidak diinginkan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
10
Universitas Indonesia
2.1.2 Macam-Macam Risiko
Menurut Gondodiyoto (Gondodiyoto, 2003), dari berbagai sudut pandang, risiko
dapat dibedakan dalam beberapa jenis diantaranya:
1. Risiko Bisnis (Business Risks)
Risiko Bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern
maupun ekstern yang berakibat kemungkinan tidak tercapai tujuan organisasi
(business goals/objective).
2. Risiko Bawaan (Inherent Risks)
Risiko bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat
pada suatu kegiatan jika tidak ada pengendalian intern.
3. Risiko Pengendalian (Control Risks)
Dalam suatu organisasi yang baik seharusnya sudah ada Risk Assessment, dan
dirancang pengendalian intern secara optimal terhadap setiap potensi risiko.
Risiko pengendalian ialah masih adanya risiko meskipun sudah ada
pengendalian.
4. Risiko Audit (Audit Risk)
Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum
dapat mencerminkan keadaan yang sesungguhnya.
2.2 Keamanan Informasi
Menurut G.J. Simons keamanan informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau mendeteksi adanya penipuan di sebuah sistem yang
berbasis informasi.
Keamanan informasi berbeda dengan keamanan teknologi informasi karena
mengacu pada hal yang berbeda yakni keamanan teknologi informasi mengacu
pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguan-
gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan.
Keamanan informasi berfokus pada data dan informasi milik organisasi dengan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
11
Universitas Indonesia
merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait
dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi
sesuai dengan fungsinya dan tidak disalahgunakan atau bahkan dibocorkan ke
pihak-pihak yang tidak berkepentingan (H.Februariyanti, Juli, 2006). sehingga
dapat dikatakan bahwa keamanan teknologi informasi merupakan bagian dari
keseluruhan aspek keamanan informasi seperti dijelaskan pada Gambar 2.1.
Karena teknologi informasi merupakan salah satu alat atau tool penting yang
digunakan untuk mengamankan akses serta penggunaan dari data dan informasi
organisasi.
Gambar 2.1 Komponen keamanan informasi (Mattord, 2010)
Salah satu cara untuk melindungi informasi penting oleh suatu organisasi adalah
dengan meningkatkan keamanan informasi berdasarkan prinsip kerahasiaan
(Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) di setiap
informasi yang dikandungnya.
Keamanan informasi mencapai tiga tujuan utama, yakni (Mattord, 2010):
1. Confidentiality (kerahasiaan), setiap organisasi berusaha melindungi data dan
informasinya dari pihak-pihak yang tidak berwenang sehingga aspek ini
memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang
dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
12
Universitas Indonesia
2. Integrity (integritas), semua informasi yang ada dalam organisasi harus mampu
dilindungi sehingga informasi tersebut tidak dapat diubah tanpa seijin dari
pemilik informasi.
3. Availability (ketersedian), semua informasi akan selalu tersedia ketika sedang
dibutuhkan oleh pemilik informasi. Aspek ini juga bergantung pada aspek
ketersediaan dari sistem pengelola informasi
Menurut W.Stallings, serangan terhadap aspek-aspek keamanan informasi dapat
dibagi menjadi (Stalling, 1995):
a. Interruption adalah suatu serangan yang bertujuan untuk menggangu
ketersediaan dari suatu informasi atau perangkat pengelola informasi. Serangan
ini mengakibatkan perangkat pengelola informasi menjadi rusak. Contoh dari
Interruption adalah “denial of service (DoS)”.
b. Interception merupakan ancaman terhadap kerahasiaan (secrecy). Informasi yang
ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer di mana
informasi tersebut disimpan. Contoh aspek interception adalah orang yang tidak
bertanggung jawab menyadap data pada saat terjadinya komunikasi atau
pertukaran informasi.
c. Modification adalah suatu bentuk serangan yang terjadi ketika pengguna/pihak
yang tidak memiliki hak berhasil masuk dalam sistem dan melakukan
pengubahan aset. Contoh serangan ini adalah mengubah data sistem keuangan
oleh orang yang tidak berhak.
d. Febrication merupakan ancaman terhadap integritas. Orang yang tidak berhak
berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang
menerima informasi tersebut menyangka informasi tersebut berasal dari orang
yang dikehendaki oleh si penerima informasi tersebut. Misalnya:
menambahkan suatu record ke dalam file.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
13
Universitas Indonesia
2.3 Hubungan Risiko Keamanan Informasi dalam Risk Based Audit
Laporan Keuangan
2.3.1 Konsep Risk Based Audit
Perkembangan kegiatan bisnis ternyata mampu mempengaruhi dan membawa
perubahan paradigma pelaksanaan audit dari pendekatan dengan pengendalian ke
pendekatan audit berdasarkan risiko (Risk Based Audit). (Pemeriksa No 93, 2003).
Pergeseran fokus audit dari pengendalian ke risiko telah membuat suatu revolusi
yang besar dalam pendekatan audit masa kini.
Risk assessment merupakan bagian dari tahapan pertama metodologi Risk
Management Based Auditing yang harus dilakukan dalam melaksanakan audit
keuangan dengan berbasis manajemen risiko. Tahapan tersebut adalah memahami
operasi auditee yang bertujuan untuk mengidentifikasi dan memprioritaskan risiko
kegagalan, risiko kekeliruan, dan risiko kecurangan yang dapat mempengaruhi
audit laporan keuangan. (Agus Widarsono, 2005)
2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk Based
Audit
Considerations Key Activities Deliverables
Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses Risk-Based
Auditing (Sumber : CPA journal, Juli 2010)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
14
Universitas Indonesia
Gambar 2.2 menunjukkan hubungan prosedur audit dengan proses penilaian risiko
keamanan informasi sistem pengelolaan keuangan seperti halnya yang telah
dikemukakan oleh Dan Schroeder dan Tommie Singleton di Certified Public
Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan bahwa Statements on
Auditing Standards (SAS) 104-111 dan Auditing Standard (AS) 5 (Dan
Schroeder, Juli, 2010).
2.4 Sistem Pengelolaan Keuangan Pemerintah Daerah
Pengelolaan keuangan daerah mengalami perubahan yang cukup fundamental
dengan diterbitkannya paket UU keuangan negara. Diantara perubahan tersebut
adalah Pemerintah Daerah harus menyajikan laporan keuangan berupa laporan
realisasi anggaran, neraca, laporan arus kas dan catatan atas laporan keuangan,
yang sebelumnya hanya laporan perhitungan APBD dan Nota Perhitungan APBD.
Perubahan tersebut ditujukan untuk mewujudkan akuntabilitas dan transparansi
keuangan Pemerintah Daerah. Laporan keuangan Pemerintah Daerah disusun dan
disajikan berdasarkan standar akuntansi pemerintahan. Hal tersebut diamanatkan
oleh UU Nomor 17 Tahun 2003 tentang Keuangan Negara.
Proses penyusunan Laporan Keuangan Daerah sebagaimana disebutkan dalam
Pasal 31 UU Nomor 17 Tahun 2003, dinyatakan bahwa proses penyusunan
laporan keuangan keuangan dilakukan secara beberapa tahap yakni:
Tahap pertama adalah penyusunan laporan keuangan Satuan Kerja Perangkat
Daerah yang meliputi laporan realisasi anggaran, neraca dan catatan atas
laporan keuangan yang disampaikan kepada Satuan Kerja Pengelola Keuangan
Daerah paling lambat 2 (dua) bulan sejak tahun anggaran dan Satuan Kerja
Pengelola Keuangan selaku BUD menyusun laporan arus kas.
Tahap kedua adalah menggabungkan laporan keuangan dari berbagai Satuan
Kerja Perangkat Daerah dan Bendahara Umum Daerah oleh Satuan Kerja
Pengelola Keuangan Daerah untuk selanjutnya disajikan sebagai laporan
keuangan Pemda yang merupakan bentuk pertanggungjawaban pelaksanaan
APBD kepada Gubernur/Bupati/Walikota.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
15
Universitas Indonesia
Proses penyusunan laporan keuangan satuan kerja perangkat daerah yang terdiri dari
dua tahapan yakni laporan keuangan SKPD kemudian dilanjutkan dengan laporan
keuangan PPKD seperti penjelasan diatas maka proses tersebut dapat digambarkan
seperti Gambar 2.3 berikut ini.
Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah
Berdasarkan Gambar 2.3 maka proses pencatatan akuntansi dilakukan secara
desentralisasi. Oleh karena itu dalam pembahasan sistem akuntansi keuangan
daerah ini akan dilakukan pembagian menjadi dua subsistem yaitu subsistem
akuntansi Satuan Kerja Perangkat Daerah selaku pengguna anggaran dan
subsistem akuntansi Pejabat Pengelola Keuangan Daerah/BUD.
Akuntansi merupakan proses pencatatan transaksi keuangan yang output akhirnya
berupa laporan keuangan. Berbeda dengan siklus akuntansi komersil, proses
akuntansi pada sektor pemerintah dimulai ketika penganggaran ditetapkan.
Sehingga ada istilah yang dinamakan jurnal penganggaran. Siklus akuntansi
secara detail meliputi:
Jurnal merupakan pencatatan transaksi keuangan secara kronologis. Proses
jurnal merupakan proses pertama kali prosedur akuntansi dijalankan. Jurnal
(pencatatan akuntansi) dilakukan berdasarkan suatu dokumen sumber yang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
16
Universitas Indonesia
dalam hal ini dapat berupa bukti penerimaan kas, bukti pengeluaran kas, bukti
memorial, dan memo penyesuaian, dll.
Posting merupakan pengelompokan jurnal transaksi keuangan ke buku besar
sesuai dengan bagan perkiraan yang standar. Bagan Perkiraan Standar adalah
daftar perkiraan buku besar yang ditetapkan dan disusun secara sistematis
untuk memudahan perencanaan dan pelaksanaan anggaran, serta
pertanggjawaban dan pelaporan keuangan pemerintah. Sedangkan bagan
perkiraan utama dalam buku besar dikelompokkan ke dalam klasifikasi yaitu:
a. Aset
b. Kewajiban
c. Ekuitas
d. Pendapatan
e. Belanja
f. Pembiayaan
g. Non Anggaran
Laporan Keuangan
Hasil akhir dari suatu siklus akuntansi adalah disajikannya Laporan Keuangan,
laporan keuangan pemerintah daerah terdiri dari Laporan Realisasi Anggaran,
Neraca, Laporan Arus Kas dan Catatan atas Laporan Keuangan
Secara umum suatu siklus akuntansi dapat tergambarkan pada bagan di bawah
ini:
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
17
Universitas Indonesia
Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah
Proses akuntansi yang ditunjukkan dalam Gambar 2.4 mengaitkan pada fungsi-
fungsi dalam pemerintah daerah. Fungsi-fungsi yang terkait dalam proses
akuntasi adalah sebagai berikut:
a. Kepala Daerah
b. Bendahara Umum Daerah/Kuasa Bendahara Umum Daerah
c. Pengguna Anggaran/Kuasa Pengguna Anggaran,
d. Pengguna Barang/Kuasa Pengguna Barang,
e. Pejabat Pengelola Keuangan Daerah (PPKD),
f. Pejabat Penatausahaan Keuangan SKPD (PPK-SKPD),
g. Bendahara Barang,
h. Pejabat Pelaksana Teknis Kegiatan,
i. Bendahara Penerimaan/ Pembantu Bendahara Penerimaan,
j. Bendahara Pengeluaran/ Pembantu Bendahara Pengeluaran.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
18
Universitas Indonesia
2.5 Program Audit
Program audit adalah rangkaian sistematis dari prosedur-prosedur pemeriksaan
untuk mencapai tujuan audit. Program audit berisi rencana langkah kerja yang
harus dilakukan selama audit berlangsung yang didasarkan pada tujuan dan
sasaran yang ditetapkan serta informasi yang ada tentang objek yang diperiksa.
Manfaat penyusunan program kerja adalah
1. Merupakan suatu rencana yang sistematis tentang setiap tahap kegiatan yang
dapat dikomunikasikan kepada semua anggota tim audit,
2. Merupakan landasan yang sistematis dalam memberikan tugas kepada para
auditor dan supervisiornya,
3. Sebagai dasar untuk membandingkan pelaksanaan kegiatan dengan rencana
yang telah disetujui dan dengan standar serta persyaratan yang telah ditetapkan.
Boynton menyatakan bahwa program audit harus mengungkapkan secara rinci
prosedur audit yang menurut keyakinan auditor diperlukan untuk mencapai tujuan
audit (T.J. Mock, 1998). Mock et. all. menjelaskan bahwa perencanaan program
audit yang berkaitan dengan sifat, luas, dan saat pelaksanaan prosedur audit
merupakan sesuatu yang penting untuk efisiensi dan efektivitas sebuah audit (T.J.
Mock, 1998). SPKN menjelaskan bahwa program audit yang merupakan uraian
prosedur diperlukan untuk mencapai tujuan pemeriksaan, memberikan dasar yang
sistematis untuk membagi tugas kepada staf, dan untuk menyusun ikhtisar
pekerjaan audit yang dilaksanakan.
Dalam konteks audit sistem informasi, Hunton et. all. (J. E. Hunton, 2004)
menyatakan bahwa tidak terdapat bentuk baku atas program audit sistem
informasi. Program audit sistem informasi harus disesuaikan dengan hardware
dan software yang diperiksa, arsitektur jaringan, lingkungan sistem informasi,
serta mempertimbangkan kondisi dan karakteristik organisasi yang diperiksa.
Perubahan atas program audit tersebut dapat dilakukan oleh auditor jika
diperlukan sesuai kondisi sistem informasinya. Program audit sistem informasi
setidaknya memuat ruang lingkup audit, tujuan audit, prosedur audit, dan rincian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
19
Universitas Indonesia
yang diperlukan seperti perencanaan dan pelaporan audit. SPKN menyatakan
bahwa ruang lingkup audit adalah batasan permasalahan yang sama pada
pelaksanaan audit, sedangkan tujuan audit adalah sesuatu yang akan dijawab
dalam pelaksanaan audit.
Program audit didokumentasikan dalam sebuah kertas kerja yang digunakan
sebagai panduan dalam melaksanakan aktivitas audit. Pada akhir pelaksanaan
audit, program audit juga harus bisa menunjukkan aktivitas masing-masing
anggota tim audit selama pelaksanaan audit dan menunjukkan bukti audit yang
diperoleh (J. E. Hunton, 2004).
Contoh program audit sistem informasi dimuat dalam Gambar 2.5 yang terdiri
ruang lingkup audit, tujuan audit, langkah audit dan bukti audit yang dibutuhkan
untuk setiap langkah audit yang ada.
Program audit ini digunakan dalam perancangan kerangka kerja penilaian risiko
keamanan informasi pengelolaan keuangan pemerintah daerah sehingga
memudahkan para pemeriksa untuk melakukan pemeriksaan dengan metode Risk
Based Audit.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
20
Universitas Indonesia
Gambar 2.5 Contoh Program Audit
2.6 Penilaian Risiko Keamanan Informasi (security risk assessment)
Penilaian risiko keamanan merupakan metode untuk memaksimalkan penggunaan
aset organisasi secara terbatas berdasarkan risiko yang terukur dan toleransi risiko
organisasi. Kontrol dapat dipilih untuk menghindari dan mengurangi risiko ke
tingkat yang dapat diterima untuk membantu memastikan tujuan manajemen telah
dilaksanakan.
Hal yang perlu diperhatikan di sini adalah keberadaan kebijakan dan prosedur
yang diperlukan, tujuan keamanan yang jelas dengan monitoring aktif, pemisahan
tugas yang logis, melakukan pembandingan antara catatan dengan aktual secara
periodik, penjagaan dokumen, serta catatan dan aset yang memadai.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
21
Universitas Indonesia
Carlson dalam Information Security Management : Understanding ISO 17799
menjelaskan langkah-langkah risk assessment yaitu sebagai berikut (Carlson,
2001).
1. Mengidentifikasi aset dalam perimeter keamanan
Aset bisa menjadi barang berwujud seperti perangkat keras atau tidak
berwujud seperti database organisasi. Aset memiliki nilai bagi organisasi
sehingga membutuhkan perlindungan dan harus diidentifikasi serta harus
jelas kepemilikannya. Sebuah nilai relatif juga harus dibentuk untuk setiap
aset penting sehingga dapat diantisipasi ketika terjadi risiko.
2. Mengidentifikasi ancaman terhadap aset
Ancaman terhadap aset harus diidentifikasi dan bersifat realistis. Hanya ancaman
yang memiliki kecenderungan yang signifikan atau sangat berbahaya yang harus
dipertimbangkan. Misalnya ancaman ke database organisasi karena pencurian
atau perubahan data.
3. Mengidentifikasi kelemahan terhadap aset
Kelemahan dari keamanan sistem informasi yang dapat menjadi ancaman.
Misalnya, kelemahan ke database organisasi karena kontrol akses yang buruk
password yang mudah ditebak orang lain.
4. Menentukan dampak
Dapat diukur secara numerik untuk melihat timbulnya kerusakan dari
ancaman.
5. Menentukan kecenderungan
Kecenderungan atau frekuensi untuk setiap kelemahan dan ancaman harus
ditentukan. Kecenderungan yang tidak signifikan dapat diabaikan.
6. Menghitung risiko
Secara matematis, risiko dapat dinyatakan sebagai:
Kecenderungan x Dampak = Risiko
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
22
Universitas Indonesia
Perhitungan ini menghasilkan suatu rating numerik aset berbasis risiko untuk
satu set ancaman dan kelemahan. Hasil dari perhitungan tersebut
memungkinkan memperlihatkan mana risiko yang tinggi maka akan
mendapat prioritas untuk diamankan dari gangguan seperti ditampilkan pada
Tabel 2.1.
Tabel 2.1 Peta Risiko (Madhukar, 2007)
IMPACT
Extreme Major Moderate Minor insignificant
5 4 3 2 1
P
R
O
B
A
B
I
L
I
T
Y
100% 80% 62% 25% 1%
(Almost)
certain 5 100% 100% 80% 62% 25% 1%
Probable 4 80% 80% 64% 50% 20% 1%
Possible 3 62% 62% 50% 38% 16% 0%
Unlikely 2 25% 25% 20% 16% 6% 0%
Rare 1 1% 1% 1% 0% 0% 0%
2.7 ISO 27001:2005
ISO 27001:2005 atau disebut dengan ISO 17799:2005-2 adalah suatu standar
keamanan yang diperuntukan bagi institusi yang akan mengelola dan mengontrol
keamanan informasi nya. Information Security Management Systems (ISMS) yang
telah banyak diadopsi oleh negara-negara di dunia terutama negara di benua Asia.
Jumlah sertifikat ISO 27001 yang telah dikeluarkan dan masuk dalam lima besar
di beberapa negara dapat dilihat pada Tabel 2.2 ini.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
23
Universitas Indonesia
No Nama Negara Jumlah Sertifikat
1 Japan 4125
2 UK 573
3 India 546
4 Taiwan 461
5 China 393
Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber :
www.iso27001certificates.com/Register%20Search.htm)
ISO/IEC 27001 hadir sebagai panduan dengan mengandalkan proses yang
terkenal dengan istilah PDCA, yaitu Plan, Do, Check dan Action. ISO/IEC 27001
menyediakan model untuk penerapan dan pengoperasian ISMS. Tujuan dari
standar ini adalah menyediakan penerapan dan operasional ISMS yang konsisten
dan terpadu yang berkolaborasi dengan standar lain dalam suatu lingkup
organisasi (Arnason, 2008).
ISO/IEC 27001 menggambarkan ISMS sebagai satu sistem manajemen yang
menyeluruh dengan menggunakan pendekatan risiko bisnis untuk membuat,
menerapkan, mengoperasikan, memantau dan memelihara sebuah ISMS. Sebuah
ISMS yang baik harus mencakup segala aspek di suatu organisasi, baik struktur
organisasi, kebijakan, aktivitas perencanaan, tanggung jawab, praktek, prosedur,
proses, maupun sumber daya.
ISMS meliputi 11 domain, 39 kendali utama, dan 122 kendali bagian.
Kesemuanya itu meliputi segala hal tentang keamanan informasi yang patut
diperhatikan. Meskipun demikian bukan berarti sebuah organisasi memiliki
keharusan untuk menerapkan kontrol keamanan dalam standar ini akan tetapi
organisasi dapat menerapkan kontrol yang berkaitan dengan hal-hal yang
berpotensi memberikan risiko terhadap keberlangsungan bisnis.
Selain standar ISO 27001 yang digunakan untuk penilaian risiko keamanan
informasi masih terdapat standar lain yang dapat digunakan untuk penilaian risiko
keamanan informasi. Berikut ini adalah metode-metode yang dapat digunakan
untuk penilaian risiko keamanan informasi adalah:
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
24
Universitas Indonesia
a. Australian IT Security Handbook
b. CRAMM
c. Dutch A&K analysis
d. EBIOS
e. ISF methods for risk assessment and risk management
f. ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
g. ISO/IEC IS 17799:2005
h. ISO/IEC IS 27001 (BS7799-2:2002)
i. IT-Grundschutz (IT Baseline Protection Manual)
j. Marion
k. Mehari
l. Octave
m. SP800-30 (NIST)
Standar diatas diperbandingkan berdasarkan atribut-atribut yang digunakan dalam
proses penilaian risiko seperti Gambar 2.6 ini.
Gambar 2.6 Perbandingan Metode Penilaian Risiko
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
25
Universitas Indonesia
Perbandingan dari metode-metode penilaian risiko dapat dilihat pada Gambar 2.6
sehingga menjadi pertimbangan metode yang akan digunakan untuk organisasi
kita. Jumlah dari ( ., .., ...) menunjukkan variasi atribut yang digunakan oleh
masing-masing metode diatas. Sedangkan * adalah basic level kemampuan yang
dibutuhkan, ** adalah standard level kemampuan yang dibutuhkan sedangkan
*** adalah specialist level.
2.8 Penelitian Sebelumnya
Terdapat penelitian terdahulu berupa Karya Akhir yang dijadikan referensi untuk
penelitian ini. Berikut adalah penelitian sebelumnya yang dijadikan acuan yaitu:
1. Nur indrawati, 2013, “Rancangan kebijakan dan prosedur pengelolaan
integritas data berbasis COBIT dan ISO 27001 studi kasus direktorat xyz”.
Tujuan penelitian ini adalah penyusunan rancangan kebijakan dan prosedur
pengelolaan data yang komprehensif dan pengelolaan keamanan informasi
dengan menggunakan metodologi yakni penilaian tingkat kinerja dan tingkat
kematangan berdasarkan cobit 4.1, penilaian risiko keamanan informasi SNI
ISO/IEC 27001:2009, perancangan kebijakan dan prosedur pengelolaan
integritas data
2. Firman Agung Suryono, 2013, “Perancangan Perangkat Audit keamanan
Informasi: studi kasus Pusat Komunikasi-Kementerian Luar Negeri”. Tujuan
penelitian ini adalah menghasilkan sebuah perangkat audit keamanan informasi
yang dapat digunakan untuk menilai aspek keamanan informasi yang
berhubungan dengan tata kelola keamanan informasi dan kontrol teknis
keamanan informasi di Kementerian Luar Negeri.
3. Lynne Gerke dan Gail Ridley. 2006, “Towards an abbreviated COBIT
framework for use in an Australian State Public Sector”. Tujuan dari penelitian
ini adalah mencari high level control objective untuk COBIT yang paling
penting di 30 sektor publik yang ada di Australia. Metodologi yang digunakan
dalam penelitian ini adalah pengambilan data yang akan diolah dari 30
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
26
Universitas Indonesia
organisasi publik di Australia, kemudian menganalisa data yang telah
dikumpulkan dengan metode linkert-type scale sehingga didapat 17 aktivitas
pengendalian yang paling pengaruh di 30 organisasi publik tersebut.
Berbeda dengan penelitian yang dilakukan oleh Nur indrawati (2013) seperti
penjelasan diatas yang melakukan perancangan kebijakan dan prosedur
pengelolaan integritas data.
Penelitian yang akan dilakukan adalah membuat alat bantu dan kerangka kerja
dalam bentuk program audit untuk menilai risiko keamanan informasi, dimana
memiliki kesamaan dengan penelitian yang dilakukan oleh Firman Agung Suyono
(2013) akan tetapi prosedur penilaian risiko keamanan informasi yang dihasilkan
dari penelitian ini akan disesuaikan dengan kondisi obyek yang diperiksa
sedangkan framework yang akan digunakan pada penelitian ini memiliki
kesamaan dengan penelitian Nur indrawati (2013) yakni menggunakan ISO
27001.
Control objective yang dijadikan program audit untuk penilaian risiko keamanan
informasi disesuaikan dengan kondisi yang ada di pemerintah daerah dengan
melakukan wawancara terhadap pemeriksa senior dan pejabat BPK RI seperti
penelitian yang dilakukan oleh Lynne Gerke dan Gail Ridley (2006).
2.9 Kerangka Teori Penelitian (Theoretical Framework)
Kerangka teori penelitian atau theoretical framework digunakan untuk
menggambarkan teori-teori yang digunakan dalam penelitian dan bagaimana
teori-teori tersebut dipadukan menjadi suatu desain penelitian yang dapat
menghasilkan kesimpulan atau hasil penelitian.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
27
Universitas Indonesia
Kerangka teori penelitian ini dapat dilihat pada Gambar 2.7 berikut:
Alat Bantu dan Kerangka Kerja Penilaian Risiko keamanan informasi dalam bentuk
Program Audit
ISO 27001
Standar Pemeriksaan Keuangan Negara
BPK RI
Gambar 2.7 Theoritical Framework
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
28 Universitas Indonesia
BAB 3
METODOLOGI PENELITIAN
Metodologi adalah langkah-langkah sistematis atau sekumpulan metode yang
digunakan untuk menyelesaikan suatu permasalahan. Sebagai langkah sistematis,
metodologi terdiri dari masukan (input), proses dan keluaran (ouput) seperti yang
terlihat pada Gambar 3.1.
Metodologi Penelitian
Input Proses Output
Mulai
Analisa organisasi (Identifikasi
Permasalahan)
Laporan Ditama Revbang BPK RI Analisa Fish Bone
Perumusan Masalah Research
QuestionObservasi
Studi LiteraturJurnal, buku, peraturan
Theoritical
Framework
Pengambilan data dengan wawancara
Penentuan prioritas
Control Objective
ISO 27001
Pengolahan data
Penentuan prioritas control objective
Control Objective
ISO 27001
Hasil Wawancara
Hasil Pengolahan data
Hasil Wawancara
Hasil Pengolahan data
Control Objective terpilih
Draft Program Audit
Control Objective ISO 27001 terpilih
FGD/Pendapat Ahli Draft Program Audit
Perbaikan dan perubahan draft
Perbaikan dan perubahan draft
FGD/Pendapat Ahli Perbaikan Draft Program Audit sebelumnya
Kesimpulan dan saran
Selesai
Pembuatan Alat Bantu
Penilaian Risiko
Keamanan Informasi
Model Konseptual
Uji Publik
Validasi Program Audit
Rancangan Program Audit
Program Audit Penilaian Resiko
Keamanan TI
Gambar 3.1 Metodologi Penelitian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
29
Universitas Indonesia
Berikut masing-masing penjelasan dari tiap-tiap tahapan penelitian
3.1 Identifikasi Permasalahan
Perumusan masalah dilakukan dengan menggunakan studi literatur dan observasi.
Studi literatur awal pada langkah ini adalah melihat dokumen laporan Ditama
Revbang BPK RI. Dokumen ini menunjukkan bahwa terdapat permasalahan
dalam penerbitan LHP di BPK, kemudian dilakukan penelusuran terhadap
penyebab permasalahan tersebut. Penelusuran dilakukan dengan observasi. Hasil
observasi adalah keterbatasan SDM dan prosedur pemeriksaan yang dilakukan
menjadi penyebab utama permasalahan. Permasalahan dalam prosedur
pemeriksaan adalah belum adanya penilaian risiko pada area pemeriksaan
sehingga tidak ada area yang menjadi fokus pemeriksaan selain karena
keterbatasan sumber daya untuk pemeriksaan alasan perlunya dilakukan penilaian
risiko pada pemeriksaan keuangan adalah menurut Standar Pemeriksaan
Keuangan Negara (SPKN) diatur mengenai penialain risiko tersebut.
Salah satu aspek penting dalam penilaian risiko adalah penilaian risiko keamanan
informasi yang meliputi aspek non TI dan aspek TI. Aspek TI berpengaruh pada
penilaian risiko keamanan informasi dengan melihat hasil studi literatur pada
laporan Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan
mengenai penyelenggaraan SIKD menunjukkan bahwa instansi pemerintah
sebagian besar menggunakan sistem informasi untuk penyusunan laporan
keuangannya. Hasil observasi yang lain adalah belum ada prosedur penilaian
risiko TI yang baku untuk mendukung proses perencanaan pemeriksaan yang
sesuai dengan SPKN. Hasil yang diperoleh pada tahapan ini adalah Research
Question.
3.2 Melakukan Studi Literatur
Studi literatur dilakukan untuk mencari teori dan praktik/best practice yang
relevan dengan permasalahan (research question). Topik yang dipilih yaitu
mengenai hubungan risiko keamanan informasi dengan Risk Based Audit pada
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
30
Universitas Indonesia
pemeriksaan laporan keuangan, sistem pengelolaan keuangan daerah, program
audit, ISO 27001, dan Penelitian terdahulu/best practice, antara lain (Nur
indrawati, 2013), (Firman Agung Suryono, 2013) dan (Lynne Gerke dan Gail
Ridley, 2006). Hasil dari proses ini adalah control objective yang ada dalam ISO
27001 dan kerangka teori (theoritical framework) yang berasal dari teori dan
framework.
3.3 Pengambilan data
Data yang diambil dalam penelitian ini menggunakan wawancara. Panduan
wawancara atau form wawancara yang diberikan terdiri dari tiga bagian. Bagian
pertama berisi penjelasan mengenai maksud dan tujuan dari pengambilan data
serta kilasan mengenai ISO 27001 sedangkan bagian kedua berisi identitas
narasumber dan bagian terakhir berisi aktivitas pengendalian yang ada di ISO
27001.
Penyusunan panduan wawancara dilakukan dengan menerjemahkan aktivitas
pengendalian yang ada di ISO 27001. Proses tersebut menjadi item pertanyaan
dengan menggunakan skala untuk menilai tingkat kepentingan dalam penilaian
risiko keamanan informasi prosedur akuntansi sistem pengelolaan keuangan
pemerintah daerah yang akan dilakukan oleh auditor BPK pada proses
perencanaan pemeriksaan laporan keuangan pemerintah daerah.
Penggunaan skala ini akan mempermudah bagi peneliti dan narasumber untuk
mendapatkan nilai kepentingan dari setiap aktivitas yang ada di ISO 27001.
Pengukuran menggunakan empat skala, yakni skala N (tidak mungkin diterapkan),
skala 1 (tidak penting), skala 2 (cukup penting), skala 3 (penting). Narasumber
pada awalnya akan diwawancara mengenai hal-hal yang penting terkait keamanan
informasi dalam pengelolaan keuangan pemerintah daerah kemudian narasumber
akan memilih skala tersebut untuk setiap pertanyaan yang ada. Panduan yang
diberikan oleh narasumber dapat dilihat pada Lampiran 1. Pertanyaan ini diajukan
kepada beberapa auditor BPK yang memiliki karakteristik sebagai berikut:
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
31
Universitas Indonesia
a. Auditor BPK yang memiliki peran sebagai Ketua Tim Senior. Ketua Tim
Senior memiliki pengalaman dalam pemeriksaan laporan keuangan lebih dari
12 tahun keatas sehingga diharapkan lebih memahami aktivitas yang sangat
diperlukan dalam penilaian risiko keamanan informasi pengelolaan keuangan
pemerintah daerah.
b. Auditor BPK yang memiliki pengalaman dalam hal pelatihan audit sistem
informasi/ teknologi informasi sehingga diharapkan dapat mengetahui langkah
audit yang diperlukan dalam menilai aktivitas pengendalian keamanan
informasi.
c. Auditor BPK yang memiliki kompetensi terkait audit sistem informasi berupa
pengalaman audit sistem informasi dan kepemilikan sertifikat pemeriksa sistem
informasi/teknologi informasi Certified Information System Auditor (CISA)
sehingga diharapkan dapat mengetahui langkah-langkah audit untuk menilai
risiko keamanan informasi dalam pengelolaan keuangan pemerintah daerah.
Selain itu dilakukan wawancara lanjutan pada pejabat eselon I di BPK RI terkait
pengelolaan aktivitas keamanan informasi yang mana bisa dijadikan pertimbangan
dalam penentuan control objective sehingga akan didapatkan validasi aktivitas
pengendalian ISO 27001 yang dapat dijadikan bahan untuk penyusunan alat bantu
dan kerangka kerja penilaian risiko keamanan informasi.
Hasil dari langkah ini adalah daftar peringkat dari Control Objective yang
berpengaruh di organisasi pemerintah.
3.4 Analisis Data
Analisis data untuk pemilihan control objective dilakukan dengan cara data
wawancara. Data wawancara yang akan diolah dan dianalisa adalah data hasil
wawancara mengenai pemeringkatan kepentingan setiap control objective di ISO
27001. Hasil dari analisis data adalah control objective ISO 27001 yang paling
berpengaruh bagi instansi pemerintah dan memiliki skala prioritas yang paling
tinggi dan telah divalidasi oleh pejabat BPK RI. Control objective inilah yang
akan dijadikan dasar dalam perancangan alat bantu dan kerangka kerja penilaian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
32
Universitas Indonesia
risiko keamanan informasi pada proses akuntansi pengelolaan keuangan
pemerintah daerah.
3.4.1 Analisis Proses Akuntansi SIPKD
Langkah ini adalah melakukan analisa terhadap prosedur akuntansi sistem
pengelolaan keuangan pemerintah daerah yang mana setiap prosedur akuntansi
terdiri dari beberapa proses. Setiap proses dari prosedur akuntansi tersebut
memiliki karakteristik yang berbeda-beda sehingga membutuhkan praktik-praktik
pengendalian yang berbeda juga terkait risiko keamanan informasinya.
3.4.2 Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik
Pengendalian dari Aktivitas di ISO 27001
Langkah ini adalah adalah malakukan analisa pemetaan proses yang ada dalam
prosedur akuntasi sistem pengelolaan keuangan pemerintah daerah dengan
praktik-praktik pengendalian dari aktivitas yang ada di ISO 27001 yang telah
terpilih melalui wawancara dengan auditor dan pejabat di BPK RI.
3.5 Perancangan model konseptual
Perancangan kerangka kerja untuk penilaian risiko keamanan informasi dalam
bentuk program audit di BPK RI dibuat berdasarkan control objective dari ISO
27001 yang terpilih melalui pengolahan data kualitatif selain itu kerangka kerja
dan alat bantu untuk penilaian risiko keamanan informasi ini disusun dengan
memerhatikan Standar Pemeriksaan Keuangan Negara BPK RI sebagai standar
untuk pembuatan prosedur dalam perencanaan pemeriksaan yakni penilaian risiko
informasi, kemudian langkah ini akan dilakukan pendefinisian bukti audit dari
setiap program audit yang dirancang sehingga hasil dari langkah ini tidak hanya
rancangan kerangka kerja untuk penilaiain risiko keamanan informasi dalam
bentuk program audit melainkan beserta bukti audit yang diperlukan untuk setiap
program.
Program audit dibentuk dari hasil penjabaran praktik-praktik dari setiap aktivitas
terpilih yang merupakan adopsi dari ISO 27001, praktik-praktik tersebut
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
33
Universitas Indonesia
mencakup langkah audit yang diperlukan dalam penilaian risiko kemanan
informasi pengelolaan keuangan daerah.
Bukti audit diperoleh dari hasil wawancara dengan salah satu pejabat di
pemerintah daerah sehingga bukti audit yang didefinisikan adalah bentuk proses
dan dokumentasi yang ada dan diterapkan di pemerintah daerah.
Perancangan dilakukan dengan mengelompokkan aktivitas pengendalian yang
telah terpilih ke dalam beberapa kelompok atau ruang lingkup audit.
pengelompokan aktivitas pengendalian didasarkan pada sasaran dan tujuan dari
aktivitas pengendalian, aktivitas yang memiliki tujuan yang sama maka akan
dikelompokkan ke dalam ruang lingkup yang sama. Setelah pengelompokan
aktivitas pengendalian ke dalam ruang lingkup audit maka dirancanglah kerangka
kerja untuk penilaian risiko.
Kerangka kerja penilaian risiko ini merupakan tahapan-tahapan yang dapat
dilakukan oleh auditor dalam menilai risiko keamanan informasi di pemerintah
daerah. Perancangan tahapan dari proses penilaian risiko adalah sebagai berikut.
3.5.1 Perancangan Penetapan Kelemahan dan Ancaman
Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi
ancaman dan menimbulkan risiko bagi organisasi. Sedangkan ancaman mengambil
keuntungan dari kelemahan yang dimiliki organisasi dan menimbulkan risiko bagi
organisasi. Untuk mengetahui kelemahan dan ancaman yang dimiliki organisasi
maka perlu dilakukan analisis. Perancangan analisis kelemahan dan ancaman
didapat dari melihat hasil audit yakni melihat kesesuaian kondisi organisasi
dengan kondisi ideal yang ada dalam daftar bukti audit.
3.5.2 Perancangan analisis dampak dan likelihood
Perancangan analisis dampak dan likelihood sama dengan analisis dalam ISO
27001. Perancangan analisis dampak dan likelihood yakni mendefinisikan
indikator-indikator dampak dan likelihood yang dapat dilihat dari masing-masing
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
34
Universitas Indonesia
risiko di ruang lingkup audit dan masing-masing risiko di tiap aktivitas
pengendalian.
Tingkat penilaian dampak adalah Extreme, Major, Moderate, Minor dan
Insignificant sedangkan untuk tingkat penilaian likelihood adalah Almost certain,
Likely, Moderate, Unlikely dan Rare. Tingkatan ini dapat diperoleh melalui
wawancara dan kuesioner yang diberikan auditor kepada entitas/organisasi yang
diperiksa.
Penilaian dampak dan kecenderungan setiap aktivitas pengendalian didapat dari
pemberikan kuesioner oleh pemeriksa kepada organisasi yang diperiksa,
pembuatan kuesioner didasarkan pada indikator-indikator yang telah
diidentifikasi. Indikator didapat dari klausal-klausal yang ada dalam ISO 27001
untuk setiap ruang lingkup pemeriksaan dan setiap aktivitas pengendalian.
3.5.3 Penilaian tingkat risiko
Penilaian tingkat risiko merupakan perhitungan yang menghasilkan rating
numerik aset berbasis risiko untuk ancaman dan kecenderungan. Penilaian tingkat
risiko dilakukan untuk mengetahui mana risiko yang tinggi dan akan menjadi
prioritas untuk diamankan dari gangguan.
Penilaian tingkat risiko oleh auditor untuk jenis risiko dilakukan dengan cara:
1. Menjumlahkan skor dampak kemudian membagi dengan jumlah indikator
sehingga didapatkan nilai rata-rata.
2. Menjumlahkan skor kecenderungan kemudian membagi dengan jumlah indikator
sehingga didapatkan nilai rata-rata.
3. Nilai risiko secara keseluruhan didapat dari perkalian nilai risiko dampak dengan
nilai risiko kecenderungan dalam matriks risiko pada Gambar 3.2 ini
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
35
Universitas Indonesia
Gambar 3.2 Matriks penentuan tingkat risiko
Gambar 3.2 juga dapat digunakan oleh auditor dalam menentukan tingkatan risiko
untuk masing-masing aktivitas pengendalian yang telah terpilih diatas.
3.5.4 Analisis Prioritas risiko
Berdasarkan hasil penilaian tingkat risiko diperoleh nilai risiko dari masing-
masing jenis risiko dan risiko secara keseluruhan. Kemudian dilakukan analisis
terhadap nilai risiko yang telah diperoleh. Risiko yang memiliki nilai tinggi akan
menjadi prioritas.
Analisis prioritas risiko dilakukan untuk menentukan fokus pemeriksaan
selanjutnya.
3.5.5 Menganalisis rekomendasi kontrol
Rekomendasi kontrol merupakan perkiraan tingkat risiko yang harus dihadapi
serta menentukan apakah risiko yang dihadapi dapat diterima atau membutuhkan
perbaikan. Perbaikan-perbaikan yang direkomendasikan kemudian dianalisis
apakah dapat diterima oleh organisasi dengan melihat kemampuan organisasi baik
dari segi anggaran maupun sumber daya manusia. Kontrol dibuat berdasarkan
hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input kontrol adalah
output dari tahapan sebelumnya yaitu risiko dan tingkat risiko sehingga
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
36
Universitas Indonesia
menghasilkan daftar rekomendasi kontrol. Daftar rekomendasi kontrol inilah
menjadi input bagi tahap mitigasi risiko yang direkomendasikan.
3.6 Uji publik rancangan
Pengujian kepada publik dengan melibatkan para ahli dari pemerintah daerah
untuk mengujicobakan alat bantu dan kerangka kerja penilaian risiko keamanan
informasi yang akan dibuat menggunakan analisis kualitatif dan kuantitatif yakni
dengan wawancara, FGD dan kuesioner. Langkah ini diharapkan dapat membuat
perbaikan model konseptual dari rancangan alat bantu dan kerangka kerja
penilaian risiko keamanan informasi sehingga prosedur ini dapat sesuai dan
mudah dipahami oleh para pemeriksa di BPK RI.
Ujicoba alat bantu dan kerangka kerja untuk penilaian risiko keamanan informasi
dilakukan oleh beberapa pemeriksa BPK RI di Pemerintah Daerah Kota
Tangerang.
Pertama dilakukan wawancara dan observasi dalam pengisian formulir yang ada
dalam kerangka kerja penilaian risiko. Pengisian formulir berdasarkan program
audit yang diberikan kepada pemeriksa. Kedua pemeriksa memberikan kuesioner
untuk mendapatkan nilai dampak dan kecenderungan dari setiap aktivitas dengan
menggunakan indikator-indikator yang telah ada dalam kerangka kerja selain itu
pemeriksa juga mengoperasikan alat bantu yang ada dengan memasukkan data
hasil penilaian risiko.
Hasil dari langkah ini berupa rancangan kerangka kerja dan alat bantu penilaian
risiko keamanan informasi dalam bentuk program audit yang telah di uji cobakan
kepada publik.
3.7 Validasi rancangan alat bantu dan kerangka kerja
Validasi rancangan alat bantu dan kerangka kerja penilaian risiko keamanan
informasi dalam bentuk program audit dilakukan dengan analisis kualitatif yakni
dengan wawancara dan FGD. Langkah ini dilakukan dengan melibatkan para ahli
dari BPK RI, diharapkan rancangan prosedur yang diperoleh benar-benar valid.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
37
Universitas Indonesia
Hasil dari langkah ini berupa rancangan alat bantu dan kerangka kerja penilaian
risiko keamanan informasi dalam bentuk program audit yang telah di validasi.
3.8 Simpulan dan Saran
Simpulan dalam penelitian ini diambil secara deduktif maupun induktif. Langkah
ini menghasilkan simpulan dan saran penelitian.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
38 Universitas Indonesia
BAB 4
PROFIL ORGANISASI
Bab 4 ini akan menjelaskan profil organisasi yang dijadikan objek penelitian
meliputi identifikasi organisasi, struktur organisasi, visi, misi dan nilai dasar BPK
RI. Selain itu akan dijabarkan mengenai proses penilaian risiko dalam
perencanaan pemeriksaan laporan keuangan oleh BPK RI.
4.1 Identifikasi Organisasi
BPK RI adalah lembaga Negara yang bertugas untuk memeriksa pengelolaan dan
tanggung jawab keuangan Negara sebagaimana dimaksud dalam UUD Negara RI
Tahun 1945. BPK RI berkedudukan di Ibu Kota Negara dan memiliki kantor
perwakilan di setiap Ibu Kota Provinsi. Secara hukum kedudukan BPK RI diatur
dalam UUD 1945 pada pasal 23e, 23f dan 23g serta Undang-Undang (UU) No
15/2006 tentang BPK.
BPK bertugas memeriksa pengelolaan dan tanggung jawab keuangan Negara yang
dilakukan oleh Pemeritah Pusat, Pemerintah Daerah, Lembaga Negara lainnya,
Bank Indonesia, Badan Usaha Milik Negara (BUMN), Badan Layanan Umum
(BLU), Badan Usaha Milik Daerah (BUMD), dan lembaga atau badan lain yang
mengelola keuangan Negara.
Pihak-pihak yang berkepetingan terhadap hasil pemeriksaan yang telah dilakukan
oleh BPK meliputi :
a. Lembaga perwakilan (DPR, DPD, DPRD);
b. Pemerintah (instansi pemerintah yang diperiksa/entitas dan instansi penegak
hukum);
c. Lembaga lain yang dibentuk berdasarkan UU;
d. Warga Negara Indonesia/Masyarakat; dan
e. Lembaga-lembaga internasional.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
39
Universitas Indonesia
4.2 Struktur Organisasi
Sesuai dengan Keputusan Ketua BPK RI Nomor 34/K/I-VIII.3/6/2007 tentang
Struktur Organisasi Badan Pemeriksa Keuangan Republik Indonesia. Struktur
Organisasi BPK RI adalah sebagai berikut :
Secara garis besar struktur tersebut terdiri atas bagian-bagian sebagai berikut:
1. Pimpinan BPK berjumlah Sembilan orang yang terdiri atas ketua, wakil ketua
dan tujuh orang ketua.
2. Pejabat eselon I berjumlah 11 orang dimana fungsi pemeriksaan keuangan
dijalankan tujuh pejabat sebagai Auditor Utama Keuangan Negara (AKN) dan
fungsi pendukung dijalankan oleh empat pejabat lainnya.
3. 33 perwakilan BPK RI dibagi menjadi dua wilayah dan berada di bawah
pimpinan Auditor Utama V untuk wilayah barat dan Auditor Utama VI untuk
wilayah timur.
4. Biro Teknologi Informasi selaku pengelola dan penanggung jawab
pengembangan teknologi informasi pada BPK berposisi sebagai pejabat eselon
II di bawah tanggung jawab Sekretariat Jenderal.
Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor 34/K/I-
VIII.3/6/2007)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
40
Universitas Indonesia
4.3 Visi, Misi, dan Nilai Dasar BPK
Visi BPK RI adalah menjadi lembaga pemeriksa keuangan Negara yang kredibel
dengan menjunjung tinggi nilai-nilai dasar untuk berperan aktif dalam mendorong
terwujudnya tata kelola keuangan Negara yang akuntabel dan transparan.
Misi BPK RI adalah sebagai berikut :
1. Independensi, BPK RI menjunjung tinggi independensi, baik secara
kelembagaan, organisasi, maupun individu. Dalam semua hal yang berkaitan
dengan pekerjaan pemeriksaan. BPK RI bebas dalam sikap mental dan
penampilan dari gangguan pribadi, ekstern, dan/atau organisasi yang dapat
mempengaruhi independensi.
2. Integritas, BPK RI membangun nilai integritas dengan bersikap jujur, objektif,
dan tegas dalam menerapkan prinsip, nilai dan keputusan.
3. Profesionalisme, BPK RI membangun nilai profesionalisme dengan
menerapkan prinsip kehati-hatian, kecermatan, serta berpedoman kepada
standar yang berlaku
4.4 Penilaian Risiko dalam Pemeriksaan di BPK RI
4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan
Penilaian dan penyesuaian atas risiko merupakan salah satu langkah dalam tahap
perencanaan dan pelaksanaan pemeriksaan laporan keuangan sebagaimana diatur
dalam Petunjuk Pelaksanaan Pemeriksaan Keuangan.
Petunjuk Pelaksanaan Pemeriksaan Keuangan di BPK RI menunjukkan bahwa
pentingnya langkah penilaian risiko dalam pemeriksaan laporan keuangan
sehingga pemeriksa BPK RI hanya berfokus pada area-area yang berisiko tinggi
saja.
Metodologi Pemeriksaan Keuangan sejak tahap perencanaan hingga pelaporan
dapat dilihat dalam Gambar 4.2.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
41
Universitas Indonesia
Gambar 4.2 Metodologi Pemeriksaan
Metodologi pemeriksaan pada Gambar 4.2 memperlihatkan bahwa penilaian
risiko dilakukan pada tahap perencanaan dan tahap pelaksanaan pada pemeriksaan
yakni penilaian risiko awal dan penilaian risiko akhir.
4.4.2 Kedudukan Panduan Penilaian Risiko
Panduan Penilaian Risiko Pemeriksaan Keuangan merupakan pengaturan lebih
lanjut dari Petunjuk Pelaksanaan Pemeriksaan Keuangan.
Panduan penilaian risiko pemeriksaan keuangan yang ada di BPK RI digunakan
untuk pedoman dalam menilai risiko pemeriksaan keuangan dan untuk
menyeragamkan metode penilaian risiko dalam pemeriksaan keuangan.
Hubungan panduan Penilaian Risiko Pemeriksaan Keuangan dengan Pedoman
Pemeriksaan BPK dapat dilihat pada Gambar 4.3.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
42
Universitas Indonesia
Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan Keuangan
dengan Pedoman Pemeriksaan BPK
Gambar 4.3 menunjukkan hierarki kedudukan panduan penilaian risiko dalam
peraturan pemeriksaan keuangan negara di BPK RI.
4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan
Penilaian risiko dalam pemeriksaan keuangan memiliki dasar hukum yang
menjadi landasan dalam pelaksanaannya, yakni
1. Undang-Undang Nomor 15 Tahun 2004 tentang Pemeriksaan dan Tanggung
Jawab Pengelolaan Keuangan Negara (Lembaran Negara Nomor 66 Tahun
2004, Tambahan Lembaran Negara Nomor 4400);
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
43
Universitas Indonesia
2. Undang-Undang Nomor 15 Tahun 2006 tentang Badan Pemeriksa Keuangan
(Lembaran Negara Nomor 85 Tahun 2006, Tambahan Lembaran Negara
Nomor 4654);
3. Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007 tentang Standar
Pemeriksaan Keuangan Negara (Lembaran Negara Nomor 42 Tahun 2007,
Tambahan Lembaran Negara Nomor 4707);
4. Keputusan Badan Pemeriksa Keuangan Nomor 1/K/I.XIII.2/2/2008 Tahun
2008 tentang Panduan Manajemen Pemeriksaan sebagaimana telah diubah
dengan Keputusan BPK Nomor 05/K/I-XIII.2/8/2009 tanggal 26 Agustus 2009
tentang Perubahan atas Keputusan BPK Nomor 1/K/IXIII. 2/2/2008 tentang
Panduan Manajemen Pemeriksaan;
5. Keputusan Ketua Badan Pemeriksa Keuangan Republik Indonesia Nomor
34/K/I-VIII.3/6/2007 tentang Struktur Organisasi Badan Pemeriksa Keuangan
Republik Indonesia;
6. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 39/K/I-
VIII.3/7/2007 tentang Organisasi dan Tata Kerja Pelaksana Badan Pemeriksa
Keuangan Republik Indonesia;
7. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 04/K/I-
XIII.2/5/2008 tentang Petunjuk Pelaksanaan Pemeriksaan Keuangan.
Dasar hukum diatas memperlihatkan kekuatan atas pelaksanaan penilaian risiko
dalam pemeriksaan keuangan oleh BPK RI.
4.4.4 Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan Laporan
Keuangan di BPK RI
Risiko Pemeriksaan atau Audit Risk adalah risiko yang timbul karena pemeriksa,
tanpa disadari, tidak memodifikasi opininya sebagaimana mestinya, atas suatu
laporan keuangan yang mengandung salah saji material. Pemeriksa menetapkan
risiko pemeriksaan dalam pemeriksaan keuangan pada tingkat keyakinan yang
memadai untuk bisa memberikan opini atas laporan keuangan yang diperiksa.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
44
Universitas Indonesia
AR berkaitan dengan seberapa besar kemungkinan (probabilitas) pemeriksa
menyimpulkan bahwa semua asersi yang disajikan dalam laporan keuangan yang
disusun oleh manajemen (entitas) secara material adalah benar, padahal terdapat
asersi yang keliru secara material. Kekeliruan dan salah saji (error dan
misstatements) dapat terjadi karena bermacam-macam faktor, antara lain:
transaksi hilang atau terabaikan dari sistem akuntansi, pemrosesan transaksi tidak
akurat, pemalsuan dokumen-dokumen pendukung laporan keuangan, pemilihan
kebijakan akuntansi yang tidak tepat, dan sebagainya. Pemeriksa kemudian
menetapkan risiko pemeriksaan pada tingkat keyakinan yang memadai
(reasonable assurance) sebagai dasar pemberian opini atas laporan keuangan
yang diperiksa.
Dalam mempertimbangkan risiko pemeriksaan laporan keuangan secara
keseluruhan, pemeriksa harus mempertimbangkan risiko salah saji material yang
berpotensi memengaruhi asersi.
Ada lima aspek yang dinilai dapat berpengaruh pada Risiko Pemeriksaan, yaitu:
1. Perubahan kebijakan, lingkungan operasi dan peraturan perundang-undangan.
2. Hubungan dengan stakeholder.
3. Risiko kinerja keuangan.
4. Tujuan, sasaran dan strategi entitas.
5. Risiko keamanan informasi.
Pada setiap aspek yang dinilai, pemeriksa menganalisis bagaimana aspek tersebut
berpengaruh terhadap entitas yang diperiksa. Analisis tersebut menyangkut
seberapa signifikan tingkat risikonya, apakah entitas memiliki pengendalian
internal yang cukup untuk memitigasi risiko sesuai dengan aspek yang dinilai,
bagaimana respons audit terhadap risiko yang teridentifikasi dan apa saja prosedur
audit yang harus dilakukan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
45 Universitas Indonesia
BAB 5
HASIL DAN PEMBAHASAN
Bab 5 ini akan dijelaskan mengenai hasil pengolahan data, hasil analisa data
sampai dengan perancangan kerangka kerja dan alat bantu penilaian risiko
keamanan informasi pada prosedur akuntansi sistem pengelolaan keuangan
pemerintah daerah.
5.1 Hasil wawancara awal
Hasil wawancara kepada empat narasumber yakni auditor BPK yang memiliki
peran sebagai Ketua Tim Senior dan auditor BPK yang memiliki kompetensi
terkait audit sistem informasi berupa pengalaman audit sistem informasi dan
kepemilikan sertifikat pemeriksa sistem informasi/teknologi informasi Certified
Information System Auditor (CISA) dengan rincian hasil pengambilan data awal
ini dapat dilihat pada Lampiran 2.
Setiap aktivitas akan diberi nilai sesuai tingkat kepentingan oleh narasumber
selain perhitungan nilai tingkat kepentingan dari setiap aktivitas dipertimbangkan
juga hasil wawancara berupa pernyataan terbuka yang ada, hasil rata-rata yang
diperoleh dari tiap pertanyaan atau tiap aktivitas pengendalian akan dilakukan
pembulatan keatas yakni:
a. Nilai rata-rata >= 2.5 akan bernilai 3. Nilai 3 ini memiliki pengertian bahwa
aktivitas pengendalian ini memiliki skala penilaian yang tinggi yakni penting
dalam proses penilaian risiko keamanan informasi pengelolaan keuangan
pemerintah daerah.
b. Nilai rata-rata <2.5 dan >=1.5 akan bernilai 2. Nilai 2 ini memiliki pengertian
bahwa aktivitas pengendalian ini memiliki skala penilaian yang cukup tinggi
yakni cukup penting dalam proses penilaian risiko keamanan informasi
pengelolaan keuangan pemerintah daerah.
c. Nilai rata-rata <1.5 dan >=1 akan bernilai 1. Nilai 1 ini memiliki pengertian
bahwa aktivitas pengendalian ini memiliki skala penilaian risiko yang tidak
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
46
Universitas Indonesia
tinggi akan tetapi masih memiliki kemungkinan untuk diterapkan yakni tidak
penting dalam proses penilaian risiko keamanan informasi pengelolaan
keuangan pemerintah daerah.
d. Nilai rata-rata <1 akan bernilai 0. Nilai 0 ini memiliki pengertian bahwa
aktivitas pengendalian ini memiliki skala penilaian yang rendah yakni tidak
mungkin diterapkan dalam proses penilaian risiko keamanan informasi
pengelolaan keuangan pemerintah daerah.
Hasil tabulasi dari proses pengambilan data awal dapat dilihat pada Tabel 5.1 ini
sedangkan rincian hasil tabulasi dari wawancara dapat dilihat pada Lampiran 2.
Tabel 5.1 Hasil Tabulasi pengambilan data awal
Kode
Aktivitas
Pengendalian Proses
Rata-
rata
Pembu
latan Tingkat
A.5 Security Policy
A.5.1
Mendokumentasikan Information Security
Policy 2,5 3 Penting
A.5.2 Kajian Information Security Policy 2,75 3 Penting
A.6 Organisasi Keamanan Informasi
A.6.1 Organisasi internal 3 3 Penting
A.6.2 Organisasi eksternal 2,75 3 Penting
A.7 Pengolahan Aset
A.7.1 Tanggung jawab terhadap aset 3 3 Penting
A.7.2 Klasifikasi informasi 2,5 3 Penting
A.8 Keamanan Sumberdaya manusianya
A.8.1 Sebelum dipekerjakan 2 2
Cukup
penting
A.8.2 Selama bekerja 2,5 3 Penting
A.8.3 Pengakhiran atau perubahan pekerjaan 2,75 3 Penting
A.9 Keamanan Fisik dan Lingkungan
A.9.1 Area yang aman 2,5 3 Penting
A.9.2 Keamanan Peralatan 2,25 1
Tidak
penting
A.10 Manajemen Komunikasi dan Operasi
A.10.1 Prosedur Operasional dan Tanggung jawab 2 2 Cukup
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
47
Universitas Indonesia
Kode
Aktivitas
Pengendalian Proses
Rata-
rata
Pembu
latan Tingkat
penting
A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga 2 2
Cukup
penting
A.10.3 Perencanaan dan Keberterimaan Sistem 2,5 3 Penting
A.10.4
Perlindungan terhadap malicious dan
mobile code 1,5 2
Cukup
penting
A.10.5 Back-up 2,75 3 Penting
A.10.6 Manajemen Keamanan Jaringan 2,25 2
Cukup
penting
A.10.7 Penanganan Media 1,5 2
Cukup
penting
A.10.8 Pertukaran informasi 2 2
Cukup
penting
A.10.9 Layanan electronic commerce 0 0
Tidak
mugkin
diterapkan
A.10.10 Pemantauan 2,5 3 Penting
A.11 Pengendalian Akses
A.11.1
Persyaratan bisnis untuk pengendalian
akses 2,5 3 Penting
A.11.2 Manajemen akses pengguna 2 2
Cukup
penting
A.11.3 Tanggung jawab pengguna 2,5 3 Penting
A.11.4 Pengendalian akses jaringan 2,5 3 Penting
A.11.5 Pengendalian akses sistem operasi 2,5 3 Penting
A.11.6 Pengendalian akses aplikasi dan informasi 2,5 3 Penting
A.11.7 Mobile computing dan kerja jarak jauh 0,75 1
Tidak
penting
A.12
Akusisi, pengembangan dan
pemeliharaan sistem informasi
A.12.1
Persyaratan keamanan dari sistem
informasi 2 2
Cukup
penting
A.12.2 Pengolahan yang benar dalam aplikasi 3 3 Penting
A.12.3 Pengendalian dengan cara kriptografi 1,75 2
Cukup
penting
A.12.4 Keamanan sistem file 2,75 3 Penting
A.12.5 Keamanan dalam proses pengembangan
2,5 3 Penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
48
Universitas Indonesia
Kode
Aktivitas
Pengendalian Proses
Rata-
rata
Pembu
latan Tingkat
dan pendukung
A.12.6 Manajemen Kerawanan Teknis 2,25 2
Cukup
penting
A.13
Manajemen Insiden Keamanan
Informasi
A.13.1
Pelaporan kejadian dan kelemahan
keamanan informasi 2,5 3 Penting
A.13.2
Manajemen insiden keamanan informasi
dan perbaikan 3 3 Penting
A.14
Manajemen Keberlanjutan Bisnis (
Businees Continuity Management )
A.14.1
Aspek Keamanan Informasi dari
manajemen keberlanjutan bisnis 2,25 2
Cukup
penting
A15 Kesesuaian
A.15.1 Kesesuaian dengan persyaratan umum 2,75 3 Penting
A.15.2
Pemenuhan terhadap kebijakan keamanan
dan standar, dan pemenuhan teknis 2,25 2
Cukup
penting
A.15.3 Pertimbangan audit sistem informasi 2,75 3 Penting
Tabel 5.1 menunjukkan tingkat kepentingan setiap aktivitas pengendalian yakni
penting, cukup penting, tidak penting dan tidak mungkin diterapkan dalam proses
penyusunan program audit penilaian risiko keamanan informasi untuk
pengelolaan keuangan pemerintah daerah.
5.1.1 Pemilihan aktivitas pengendalian
Pemilihan atas aktivitas pengendalian didapat dari tabel tabulasi yang telah
dipaparkan diatas. Aktivitas yang akan dijadikan bahan untuk penyusunan
program audit penilaian risiko keamanan informasi pengelolaan keuangan
pemerintah daerah adalah aktivitas yang memiliki status tingkat penting selain itu
dilakukan review lanjutan atas aktivitas pengendalian yang memiliki status tingkat
cukup penting oleh peneliti. Review lanjutan berupa hasil pemetaan aktivitas
yang memilki status “cukup penting” dengan status “penting”. Pemetaan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
49
Universitas Indonesia
dilakukan atas dasar kemiripan lingkup yang ada pada masing-masing aktivitas.
Berikut hasil pemetaan aktivitas
Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting”
Gambar 5.1 menunjukkan bahwa aktivitas dengan kode A.10.6 dan A.11.2
memiliki kesamaan ruang lingkup dengan aktivitas kode A.11.4, A.11.5, dan
A.11.6
Berikut adalah penjelasan dari masing-masing pemetaan diatas:
a. Aktivitas A.10.6 memiliki lingkup pengendalian yakni perlindungan informasi
dalam jaringan dan perlindungan infrastruktur pendukung sedangkan lingkup
aktivitas A.11.4 adalah pengendalian berupa pencegahan akses ke dalam
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
50
Universitas Indonesia
layanan jaringan. Kedua aktivitas ini memliki kesamaan lingkup yakni
perlindungan informasi dalam jaringan baik pengendalian akses jaringan
maupun perlindungan atas infrastruktur jaringanya.
b. Aktivitas A.11.2 memiliki lingkup yakni memastikan akses oleh pengguna
yang sah. Aktivitas ini tidak memiliki kesamaan lingkup dengan tiga aktivitas
yang lainnya A.11.4, A.11.5, dan A.11.6 hanya saja tiga aktivitas membaginya
menjadi pengendalian akses yang lebih detail yakni akses jaringan, sistem
operasi dan aplikasi dan informasi.
Pemetaan diatas membuat aktivitas A10.6 dan A.11.2 menjadi status “penting”
untuk dijadikan bahan dalam pembuatan program audit untuk penilaian risiko
keamanan informasi.
Proses review tidak hanya dilakukan dengan pemetaan lingkup dari aktivitas
“penting” dengan aktivitas “cukup penting” akan tetapi peneliti melakukan
wawancara tambahan kepada pejabat eselon 1 di BPK RI untuk melakukan review
atas pemilihan aktivitas yang akan dijadikan bahan untuk program audit penilaian
risiko keamanan informasi. Hasil review dapat dilihat pada Tabel 5.2.
Tabel 5.2 menunjukkan bahwa ada beberapa aktivitas yang dipertimbangkan
untuk masuk dalam aktivitas penting dalam penyusunan program audit penilaian
risiko keamanan informasi. Berikut adalah masing-masing penjelasan atas
aktivitas yang dipertimbangkan:
a. Aktivitas A.12.3 Pengendalian dengan cara kriptografi dipertimbangkan untuk
masuk dalam perancangan alat bantu penilaian risiko keamanan informasi
karena tingkat pengamanan secara teknis lebih mudah diterapkan daripada
tingkat manajemen.
b. Aktivitas A.9.2 keamanan peralatan dipertimbangkan karena aktivitas ini
untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset pada
organisasi. Peralatan yang ada merupakan akun AKTIVA yang mana risiko
perlindungan atas peralatan akan mempengaruhi juga pada tingkat risiko pada
pelaporan keuangan pemerintah daerah.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
51
Universitas Indonesia
Tabel 5.2 Hasil review pejabat BPK RI
Status "cukup penting"
Kode Aktivitas
Pengendalian Proses Keterangan Review
A.8.1 Sebelum dipekerjakan
A.10.1 Prosedur Operasional dan Tanggung jawab
A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga
A.10.4 Perlindungan terhadap malicious dan mobile code
A.10.7 Penanganan Media
A.10.8 Pertukaran informasi
A.12.1 Persyaratan keamanan dari sistem informasi
A.12.3 Pengendalian dengan cara kriptografi
Dipertimbangkan
penting
A.12.6 Manajemen Kerawanan Teknis
A.14.1
Aspek Keamanan Informasi dari manajemen
keberlanjutan bisnis
A.15.2
Pemenuhan terhadap kebijakan keamanan dan
standar, dan pemenuhan teknis
Status "tidak penting"
A.9.2 Keamanan Peralatan
Dipertimbangkan
penting
A.11.7 Mobile computing dan kerja jarak jauh
Hasil analisa diatas menghasilkan daftar aktivitas pengendalian dari ISO 27001
yang memiiki kepentingan tinggi dalam penentuan program audit yang
dibutuhkan untuk penilaian risiko keamanan informasi pada pengelolaan
keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan
keuangan. Berikut adalah daftar aktivitas dengan status “penting” dapat dilihat
pada Tabel 5.3 yang menunjukkan bahwa 29 aktivitas pengendalian yang terpilih
dalam Tabel 5.2 akan dikembangkan menjadi rancangan awal program audit
untuk penilaian risiko keamanan informasi pengelolaan keuangan. Rancangan
awal ini juga didasarkan atas praktik dari setiap aktivitas yang diadopsi dari ISO
27001, sehingga praktik dari setiap aktivitas sebagai dasar untuk menyusun
rancangan awal.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
52
Universitas Indonesia
Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting"
Kode Aktivitas
Pengendalian Proses Tingkat
A.5 Security Policy
A.5.1 Mendokumentasikan Information Security Policy Penting
A.5.2 Kajian Information Security Policy Penting
A.6 Organisasi Keamanan Informasi
A.6.1 Organisasi internal Penting
A.6.2 Organisasi eksternal Penting
A.7 Pengolahan Aset
A.7.1 Tanggung jawab terhadap aset Penting
A.7.2 Klasifikasi informasi Penting
A.8 Keamanan Sumberdaya manusianya
A.8.2 Selama bekerja Penting
A.8.3 Pengakhiran atau perubahan pekerjaan Penting
A.9 Keamanan Fisik dan Lingkungan
A.9.1 Area yang aman Penting
A.9.2 Keamanan Peralatan Penting
A.10 Manajemen Komunikasi dan Operasi
A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga Penting
A.10.3 Perencanaan dan Keberterimaan Sistem Penting
A.10.5 Back-up Penting
A.10.8 Pertukaran informasi Penting
A.10.10 Pemantauan Penting
A.11 Pengendalian Akses
A.11.1 Persyaratan bisnis untuk pengendalian akses Penting
A.11.2 Manajemen akses pengguna Penting
A.11.3 Tanggung jawab pengguna Penting
A.11.4 Pengendalian akses jaringan Penting
A.11.5 Pengendalian akses sistem operasi Penting
A.11.6 Pengendalian akses aplikasi dan informasi Penting
A.12 Akusisi, pengembangan dan pemeliharaan sistem informasi
A.12.2 Pengolahan yang benar dalam aplikasi Penting
A.12.3 Pengendalian dengan cara kriptografi Penting
A.12.4 Keamanan sistem file Penting
A.12.5 Keamanan dalam proses pengembangan dan pendukung Penting
A.13 Manajemen Insiden Keamanan Informasi
A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi Penting
A.13.2 Manajemen insiden keamanan informasi dan perbaikan Penting
A15 Kesesuaian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
53
Universitas Indonesia
Kode Aktivitas
Pengendalian Proses Tingkat
A.15.1 Kesesuaian dengan persyaratan umum Penting
A.15.3 Pertimbangan audit sistem informasi Penting
Aktivitas-aktivitas yang ada dalam Tabel 5.3 akan dijadikan dasar dalam
perancangan langkah audit untuk penilaiam risiko keamanan informasi sistem
pengelolaan keuangan pemerintah daerah.
5.2 Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah
Daerah
Sistem pengelolaan keuangan pemerintah daerah memiliki aset informasi yang
meliputi pelaku (people), proses dan dokumen. Aset informasi ini akan saling
berkaitan satu sama lain sehingga saat dilakukan penilaian risiko keamanan
informasi dari proses sistem pengelolaan keuangan pemerintah daerah.
5.2.1 Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan
Pemerintah Daerah
Prosedur akuntansi yang ada dalam sistem pengelolaan keuangan pemerintah
daerah yang akan dilakukan analisa terdiri dari empat macam prosedur. Empat
prosedur tersebut diantaranya prosedur akuntansi penganggaran, penerimaan kas,
pengeluaran kas dan aset. Setiap prosedur yang ada memiliki aset informasi yang
saling terkait.
a. Prosedur akuntansi penganggaran
Prosedur ini membahas prosedur akuntansi mengenai penetapan APBD,
alokasi APBD, perubahan APBD, dan alokasi perubahan APBD masing-
masing disertai ilustrasi. Prosedur ini mencakup tiga aset informasi
fungsi/pihak terkait, proses dan dokumen. Hubungan ketiga aset informasi ini
dapat dilihat pada Tabel 5.4.
Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran
Kode Proses Fungsi terkait Dokumen
P.a.1 Rancangan Dokumen
Pelaksanaan Anggaran
(DPA) dari Satuan Kerja
Perangkat Daerah (SKPD)
Pejabat
Penatausahaan
Keuangan SKPD
(PPK-SKPD)
DPA SKPD
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
54
Universitas Indonesia
Kode Proses Fungsi terkait Dokumen
P.a.2 Rancangan DPA PPKD Pejabat Pengelola
Keuangan Daerah
(PPKD)
DPA PPKD
P.a.3 Pencatatan anggaran SKPD
berdasarkan DPA SKPD Pejabat
Penatausahaan
Keuangan SKPD
(PPK-SKPD)
DPA SKPD
Jurnal SKPD
Neraca Saldo
SKPD
P.a.4 Pencatatan anggaran PPKD
berdasarkan DPA PPKD Pejabat Pengelola
Keuangan Daerah
(PPKD)
DPA PPKD
Jurnal PPKD
Neraca Saldo
PPKD
Setiap proses memiliki karakteristik yang berbeda. Berikut ini adalah
karakteristik setiap proses yang ada dalam prosedur akuntansi penganggaran:
1. Proses P.a.1 merupakan proses yang tidak bersifat rutin atau operasional
karena hanya dilakukan pada momen tertentu saja yakni pada akhir tahun,
penginputan dilakukan oleh semua satuan kerja di pemerintah daerah, dan
adanya koordinasi dengan satuan kerja yang lain sehingga diperlukan
prosedur atau kebijakan terkait keamanan informasi untuk proses ini.
2. Proses P.a.2 merupakan proses yang memiliki karakteristik yang sama
dengan proses pada P.a.1 yakni bersifat tidak rutin dan inputan proses ini
berasal dari proses yang lain. Proses ini memerlukan kebijakan atau
prosedur yang berasal dari manajemen level atas terkait keamanan
informasi.
3. Proses P.a.3 merupakan proses yang memiliki karakteristik adanya koneksi
dengan proses yang lain, berkaitan erat dengan nilai akun pada laporan
keuangan dan bersifat tidak rutin. Proses ini memerlukan pengendalian
pengolahan yang benar dalam aplikasi dan keamanan dalam proses
pengembangan sistem informasinya.
4. Proses P.a.4 memiliki karakteristik yang sama dengan proses P.a.3 sehingga
output dari proses ini memiliki peran yang besar pada pelaporan keuangan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
55
Universitas Indonesia
pemerintah daerah sehingga membutuhkan pengendalian terkait pengolahan
yang benar dalam aplikasi.
b. Prosedur akuntansi penerimaan kas
Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang
digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-
transaksi penerimaan/aliran masuk ke kas daerah berupa pendapatan asli
daerah, dana perimbangan, lain-lain pendapatan daerah yang sah dan
penerimaan pembiayaan daerah.
Transaksi penerimaan Pendapatan Asli Daerah antara lain diperoleh dari Pajak
Daerah, Retribusi Daerah, Penerimaan Lain-lain Pendapatan Asli Daerah yang Sah
seperti penjualan aktiva daerah yang tidak dipisahkan, penerimaan bunga deposito,
jasa giro, denda, dan lain-lain.
Penerimaan kas pemerintah daerah bersal dari tiga jenis sumber, yakni:
1. Penerimaan dari Pendapatan Asli Daerah.
2. Penerimaan dari Dana Perimbangan.
3. Penerimaan dari Pembiayaan.
Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada
Tabel 5.5 ini.
Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas
Kode Proses Fungsi terkait Dokumen
P.b.1 Pencatatan
penerimaan di
Kas Umum
Daerah
Pejabat Pengelola Keuangan
Daerah selaku Bendahara
Umum Daerah/Kuasa
Bendahara Umum Daerah
Surat Tanda Setoran
(STS)
Bukti Transfer
Nota Kredit Bank
P.b.2 Penetapan
retribusi daerah Pejabat Pengelola Keuangan
Daerah (PPKD)-SKPD
Surat Ketetapan
Retribusi (SKR)
P.b.3 Penetapan Pajak
Daerah Pejabat Pengelola Keuangan
Daerah (PPKD)
Surat Ketetapan Pajak
Daerah (SKPD)
P.b.4 Pencatatan
penerimaan di
Bendahara
penerimaan
Bendahara Penerimaan Surat Tanda Setoran
(STS)
Buku Besar Penerimaan
P.b.5 Pencatatan
penerimaan oleh Pejabat Penatausahaan
Keuangan Satuan Kerja
Surat Tanda Setoran
(STS)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
56
Universitas Indonesia
Kode Proses Fungsi terkait Dokumen
PPK-SKPD Perangkat Daerah (PPK-
SKPD) Buku Besar
Neraca Saldo
Jurnal
Laporan Keuangan
Prosedur penerimaan kas terdiri dari lima proses yang memiliki karakteristik
yang berbeda-beda sehingga membuat proses-proses ini membutuhkan
aktivitas pengendalian yang berbeda-beda. Berikut ini karakteristik proses yang
ada dalam prosedur penerimaan kas yakni:
1. Proses P.b.1 memiliki karakteristik jika dilihat dari penggunaan proses ini
yakni proses ini digunakan untuk kegiatan operasional keuangan pemerintah
daerah, proses ini berdekatan dengan kegiatan individual dari pegawai di
pemerintah daerah dan melibatkan interkoneksi informasi keuangan dengan
proses yang lain.
2. Proses P.b.2 memiliki karakteristik yakni digunakan untuk kegiatan
operasional penerimaan keuangan pemerintah daerah, proses pendukung
dari proses pelaporan keuangan pemerintah, berdekatan dengan pelayanan
jasa bagi pihak ketiga dan kegiatan individual dari pegawai pemerintah
daerah. Proses ini juga terhubung dengan proses yang lain sehingga
pengendalian terkait interkoneksi informasi keuangan dibutuhkan.
3. Proses P.b.3 memiliki karakteristik yang sama dengan proses P.b.2 karena
berhubungan dengan pemberian pelayanan jasa ke pihak ketiga selain itu
pengumpulan bukti atas insiden keamanan informasi yang melibatkan
tindakan hukum diperlukan dalam proses ini karena proses ini berhubungan
dengan penerimaan daerah dari masyarakat dan pengusaha.
4. Proses P.b.4 memiliki karakteristik yakni data yang diolah pada proses ini
mengharuskan tingkat keamanan informasi yang tinggi sehingga
membutuhkan praktik pengendalian yang banyak terkait keamanan
informasi.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
57
Universitas Indonesia
5. Proses P.b.5 memiliki karakteristik yaitu hasil dari proses ini digunakan
untuk pelaporan keuangan sehingga validasi input dan output diperlukan
untuk pengendalian proses ini.
c. Prosedur akuntansi pengeluaran kas
Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang
digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-
transaksi pengeluaran/aliran masuk dari kas daerah berupa penyediaan uang
persediaan, penggantian uang persediaan, dan pembayaran langsung.
Pengeluaran kas meliputi tiga jenis pengeluaran, yakni:
1. Pengeluaran untuk penyediaan uang persediaan
2. Pengeluaran untuk penggantian uang persediaan
3. Pengeluaran untuk pembayaran langsung
Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada
Tabel 5.6 ini.
Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas
Kode Proses Fungsi terkait Dokumen
P.c.1 Permintaan
pembayaran
oleh
bendahara
Bendahara
Pengeluaran
Surat Permintaan Pembayaran Langsung
(SPP LS)
Surat Permintaan Pembayaran Ganti
Uang Persediaan (SPP GU)
Surat Permintaan Pembayaran Uang
Persediaan (SPP UP)
Surat Permintaan Pembayaran
Tambahan Uang Persediaan (SPP TU)
P.c.2 Penerbitan
Surat
Perintah
Pencairan
Dana
(SP2D) atas
beban
pengeluaran
DPA SKPD
Pengguna
Anggaran/Kuasa
Pengguna
Anggaran
Surat Perintah Membayar Langsung
(SPM LS)
Surat Perintah Membayar Ganti Uang
Persediaan (SPM GU) + Surat
Pengesahan Pertanggungjawaban
Bendahara Pengeluaran (SPJ Belanja)
Surat Perintah Membayar Uang
Persediaan (SPM UP)
Surat Perintah Membayar Tambahan
Uang Persediaan (SPM TU)
P.c.3 Pencairkan
uang pada
bank yang
ditunjuk
BUD/Kuasa BUD Surat Perintah Pencairan Dana (SP2D)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
58
Universitas Indonesia
Kode Proses Fungsi terkait Dokumen
berdasarkan
SPM LS
P.c.4 Pencatatan
pengeluaran
oleh
Bendahara
Bendahara
Pengeluaran
Surat Perintah Pencairan Dana (SP2D)
P.c.5 Pencatatan
pengeluaran
oleh Kas
Umum
Daerah
Pejabat Pengelola
Keuangan Daerah
selaku Bendahara
Umum
Daerah/Kuasa
Bendahara Umum
Daerah
Surat Perintah Pencairan Dana (SP2D)
Bukti Transfer
Nota Debet Bank
P.c.6 Pencatatan
pengeluaran
oleh PPK-
SKPD
Pejabat
Penatausahaan
Keuangan Satuan
Kerja Perangkat
Daerah (PPK-
SKPD)
Surat Perintah Pencairan Dana (SP2D)
Buku Besar
Neraca Saldo
Jurnal
Laporan Keuangan
Prosedur akuntansi pengeluaran keuangan pemerintah daerah terdiri dari enam
proses. Enam proses ini memiliki karakteristik yang berbeda-beda yakni:
1. Proses P.c.1 pada prosedur akuntansi dilakukan rutin pada kegiatan
pengelolaan keuangan di pemerintah daerah. Proses ini berdekatan dengan
aktivitas individu sehingga pengendalian akses sistem operasi, jaringan dan
aplikasi serta pengendalian keamanan fisik dan lingkungan dibutuhkan.
2. Proses P.c.2 memiliki karakteristik yang sama dengan proses P.c.1 karena
proses P.c.2 berjalan setelah proses yang ada di P.c.1. Proses ini
menghasilkan dokumen yang digunakan untuk dasar pencairan keuangan di
pemerintah daerah oleh karena itu perlu dilakukan pengendalian berupa
audit sistem informasi untuk proses ini sehingga proses P.c.2 dapat dipantau
secara berkala.
3. Proses P.c.3 memiliki karakteristik yakni mengolah data yang sensitif bagi
pemerintah daerah karena berkaitan dengan proses pencairan yang
dilakukan oleh pihak ketiga sehingga pengendalian terkait pihak eksternal
dan pelayanan jasa pihak ketiga dilakukan.
4. Proses P.c.4 memiliki karakteristik yakni proses ini berdekatan dengan
aktivitas individu dan kegiatan operasional pemerintah daerah selain itu
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
59
Universitas Indonesia
output dari proses ini akan menjadi input bagi proses yang lain sehingga
pengendalian pengolahan informasi oleh fasilitas informasi dibutuhkan pada
proses ini.
5. Proses P.c.5 memiliki karakteristik yang sama denga P.c.4 hanya saja
dilakukan oleh pihak yang lain yaitu kas umum daerah sehingga
pengendalian yang dibutuhkan adalah pengendalian pengolahan informasi
oleh fasilitas informasi.
6. Proses P.c.6 adalah proses yang berhubungan dengan pelaporan pengeluaran
keuangan pada pemerintah daerah sehingga keamanan dalam proses
pengembangan dan pendukung diperlukan untuk proses ini.
d. Proses akuntansi aset
Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang
digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-transaksi
perolehan aset, kapitalisasi, penyusutan, dan pelepasan aset.
Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada Tabel
5.7 ini.
Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset
Kode Proses
Akuntansi
Proses Fungsi terkait Dokumen
P.d.1 Pencatatan penambahan aset
di bendahara barang Bendahara
Barang SKPD
BA penerimaan
barang
Surat pengiriman
barang
BA serah terima
barang
P.d.2 Pencatatan penghapusan aset
di bendahara barang Bendahara
Barang SKPD
BA Pemusnahan
barang
SK Penghapusan
BA Penilaian
P.d.3 Pencatatan
penambahan/pengurangan
aset oleh PPK-SKPD
PPK-SKPD Bukti Transaksi
SPJ Penerimaan
SPJ Pengeluaran +
SP2D
Buku Besar
Neraca Saldo
Jurnal
Laporan Keuangan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
60
Universitas Indonesia
Prosedur akuntansi aset pada pengelolaan keuangan pemerintah daerah memiliki
tiga proses yang utama yakni:
1. Proses P.d.1 berkaitan dengan pencatatan penambahan aset pada satuan kerja
pemerintah daerah baik yang berasal dari pengadaan barang tersebut ataupun
dari hibah oleh organisasi yang lain. Proses ini berdekatan dengan kegiatan
operasional di satuan kerja pemerintah daerah sehingga memiliki intensitas
pengolahan data yang tinggi. Oleh karena itu proses ini membutuhkan
pengendalian terkait manajemen insiden keamanan informasi dan pengendalian
akses terhadap informasi aset ini.
2. Proses P.d.2 memiliki karakteristik yang sama dengan proses P.d.2 hanya saja
ini terkait penghapusan aset oleh bendahara barang di satuan kerja pemerintah
daerah. Proses penghapusan aset ini membutuhkan pengendalian terkait
pertukaran informasi untuk memelihara keamanan informasi yang
dipertukarkan dalam satuan kerja dan dengan satuan kerja/organisasi yang lain.
3. Proses P.d.3 proses yang berhubungan dengan pelaporan aset pada laporan
keuangan pemerintah daerah sehingga keamanan dalam proses pengembangan
dan pendukung diperlukan untuk proses ini.
5.3 Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan
Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001
Analisa selanjutnya adalah pemetaan prosedur akuntasi yang ada pada sistem
pengelolaan keuangan pemerintah daerah dengan aktivitas pengendalian yang
diadopsi dari ISO 27001 dan terpilih berdasarkan hasil wawancara dengan auditor
senior dan pejabat BPK RI. Aktivitas pengendalian yang terpilih memiliki
praktik-praktik terbaik untuk mendukung setiap aktivitas tersebut. Berdasarkan
analisa karakteristik yang ada dalam setiap proses prosedur akuntansi pemerintah
daerah maka dipilih praktik-praktik dari ISO 27001 yang menunjang proses
keamanan informasi dari pengelolaan keuangan pemerintah daerah. Berikut
adalah praktik-praktik ISO 27001 yang dibutuhkan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
61
Universitas Indonesia
Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih
Kode Praktik Deskripsi Praktik
A.5.1.1 Dokumen kebijakan keamanan informasi
A.5.2.1 Kajian kebijakan keamanan informasi
A.6.1.1 Komitmen manajemen terhadap keamanan informasi
A.6.1.2 Koordinasi keamanan informasi
A.6.1.3 Alokasi tanggung jawab keamanan informasi
A.6.1.6 Kontak dengan pihak yang berwenang
A.6.2.3 Penekanan keamanan perjanjian dengan pihak ketiga
A.7.1.1 Inventaris aset
A.7.1.2 Kepemilikan aset
A.7.1.3 Penggunaan aset yang dapat diterima
A.7.2.1 Pedoman klasifikasi
A.7.2.2 Pelabelan dan penanganan informasi
A.8.2.1 Tanggung jawab manajemen
A.8.2.3 Proses Pendisiplinan
A.8.3.1 Tanggung jawab pengakhiran pekerjaan
A.8.3.2 Pengembalian aset
A.8.3.3 Penghapusan hak akses
A.9.1.1 Perimeter keamanan fisik
A.9.1.2 Pengendalian entri yang bersifat fisik
A.9.1.3 Mengamankan kantor, ruangan dan fasilitas
A.9.2.1 Penempatan dan perlindungan peralatan
A.9.2.4 Pemeliaharan peralatan
A.9.2.5 Keamanan peralatan di luar lokasi
A.10.2.1 Pelayanan Jasa
A.10.3.1 Majamen kapasitas
A.10.3.2 Keberterimaan sistem
A.10.5.1 Back up informasi
A.10.8.1 Kebijakan dan prosedur pertukaran informasi
A.10.8.5 Sistem informasi bisnis
A.10.10.1 Log audit
A.10.10.2 Pemantauan penggunaan sistem
A.10.10.3 Perlindungan informasi log
A.10.10.4 Log administrator dan operator
A.10.10.5 Log atas kesalahan yang terjadi (fault logging)
A.11.1.1 Kebijakan pengendalian akses
A.11.2.1 Pendaftaran pengguna
A.11.2.2 Manajemen hak khusus
A.11.2.3 Manajemen password pengguna
A.11.2.4 Tinjauan terhadap hak akses pengguna
A.11.3.1 Penggunaan password
A.11.3.2 Peralatan yang ditinggal oleh penggunanya
A.11.3.3 Kebijakan clear desk dan clear screen
A.11.4.1 Kebijakan penggunaan layanan jaringan
A.11.4.4 Perlindungan terhadap remote diagnostic dan configuration port
A.11.5.1 Prosedur log on yang aman
A.11.5.2 Identifikasi dan otentiasi pengguna
A.11.5.3 Sistem manajemen password
A.11.5.4 Penggunaan sistem utilities
A.11.5.5 Sesi time out
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
62
Universitas Indonesia
Kode Praktik Deskripsi Praktik
A.11.6.1 Pembatasan akses informasi
A.11.6.2 Isolasi sistem yang sensitif
A.12.2.1 Validasi data masukan
A.12.2.2 Pengendalian pengolahan internal
A.12.2.4 Validasi data keluaran
A.12.3.1 Kebijakan tentang penggunaan pengendalian kriptografi
A.12.3.2 Manajemn kunci
A.12.4.2 Perlindungan data uji sistem
A.12.4.3 Pengendalian akses terhadap kode sumber program
A.12.5.2 Tinjauan tenis dari aplikasi setelah perubahan sistem operasi
A.13.1.1 Pelaporan kejadian keamanan informasi
A.13.1.2 Pelaporan kelemahan keamanan
A.13.2.1 Tanggung jawab dan prosedur
A.13.2.2 Pembelajaran dari insiden keamanan informasi
A.13.2.3 Pengumpulan bukti
A.15.1.2 Hak Kekayaan intelektual (Haki)
A.15.1.4 Perlindungan data dan rahasia informasi pribadi
A.15.1.5 Pencegahan penyalahgunaan fasilitas pengolah informasi
A.15.3.1 Pengendalia audit sistem informasi
Berikut adalah pemetaan tiap prosedur dengan aktivitas pengendalian ISO 27001.
5.3.1 Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas ISO
27001
Pemetaan prosedur akuntansi pengganggaran dengan aktivitas ISO 27001 yang
telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktik-
praktik aktivitas yang ada dalam ISO 27001.
Dasar pemetaan antara proses yang ada dalam akuntansi penganggaran dengan
aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran
pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil
pemetaan proses pada prosedur akuntansi penganggaran.
Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran
Kode Proses Kode Praktik
P.a.1 Rancangan Dokumen
Pelaksanaan Anggaran
(DPA) dari Satuan Kerja
Perangkat Daerah (SKPD)
A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.8.2.3,
A.9.2.1, A.10.5.1, A.11.1.1, A.11.2.1, A.11.2.2,
A.11.2.3, A.11.6.1, A.12.2.1, A.12.5.2,
A.15.1.2, A.15.1.5
P.a.2 Rancangan DPA PPKD A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.8.2.3,
A.9.2.1, A.10.5.1, A.10.8.2, A.11.2.1, A.11.2.2,
A.11.2.3, A.11.6.1, A.12.2.1, A.12.5.2,
A.15.1.2, A.15.1.5
P.a.3 Pencatatan anggaran A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1,
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
63
Universitas Indonesia
SKPD berdasarkan DPA
SKPD
A.8.2.3 , A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2,
A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2,
A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5
P.a.4 Pencatatan anggaran
PPKD berdasarkan DPA
PPKD
A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1,
A.8.2.3, A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2,
A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2,
A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5
5.3.2 Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan
Aktivitas ISO 27001
Pemetaan prosedur akuntansi penerimaan keuangan dengan aktivitas ISO 27001
yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan
praktik-praktik aktivitas yang ada dalam ISO 27001.
Dasar pemetaan antara proses yang ada dalam akuntansi penerimaan keuangan
dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan
sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah
hasil pemetaan proses pada prosedur akuntansi penerimaan keuangan di
pemerintah daerah.
Tabel 5.10 menunjukkan pemetaan proses akuntansi penerimaan keuangan
pemerintah daerah dengan praktik-praktik pengendalian dari aktivitas ISO 27001
yang dibutuhkan untuk setiap proses yang ada.
Praktik –praktik ini akan dijadikan acuan dalam perancangan model kerangka
kerja dan alat bantu penilaian risiko keamanan informasi pada proses akuntansi
pengelolaan keuangan pemerintah daerah.
Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan
Kode Proses Kode Praktik
P.b.1 Pencatatan penerimaan di
Kas Umum Daerah
A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2,
A.9.1.3, A.9.2.1, A.10.2.1, A.10.3.1, A.10.3.2,
A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2,
A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,
A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2,
A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2,
A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,
A.12.5.2, A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,
A.13.2.3, A.15.1.2, A.15.1.4. , A.15.1.5
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
64
Universitas Indonesia
Kode Proses Kode Praktik
P.b.2 Penetapan retribusi daerah A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3,
A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1,
A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5,
A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4,
A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3,
A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,
A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,
A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1,
A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1,
A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2,
A.15.1.4, A.15.1.5, A.15.3.1
P.b.3 Penetapan Pajak Daerah A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3,
A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1,
A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5,
A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4,
A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3,
A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,
A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,
A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1,
A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1,
A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2,
A.15.1.4, A.15.1.5, A.15.3.1
P.b.4 Pencatatan penerimaan di
Bendahara penerimaan
A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1,
A.10.3.1, A.10.3.2, A.10.5.1, A.10.10.1, A.10.10.2,
A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,
A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2,
A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2,
A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,
A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,
A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5
P.b.5 Pencatatan penerimaan
oleh PPK-SKPD
A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1,
A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1,
A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2, A.15.1.2,
A.15.1.4, A.15.1.5
5.3.3 Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan
Aktivitas ISO 27001
Pemetaan prosedur akuntansi pengeluaran keuangan dengan aktivitas ISO 27001
yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan
praktik-praktik aktivitas yang ada dalam ISO 27001.
Dasar pemetaan antara proses yang ada dalam akuntansi pengeluaran keuangan
dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan
sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
65
Universitas Indonesia
hasil pemetaan proses pada prosedur akuntansi pengeluaran keuangan di
pemerintah daerah.
Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan
Kode Proses Kode Praktik
P.c.1 Permintaan
pembayaran oleh
bendahara
A.5.1.1, A.5.2.1, A.6.1.6, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,
A.9.1.2, A.9.2.1, A.10.3.1, , A.11.2.4A.10.3.2, A.10.5.1,
A.11.1.1, A.11.2.1, A.11.2.3, A.11.3.1, A.11.3.2, A.11.3.3,
A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,
A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2,
A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1,
A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5
P.c.2 Penerbitan
Surat Perintah
Pencairan Dana
(SP2D) atas
beban
pengeluaran DPA
SKPD
A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,
A.9.1.2, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1,
A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5,
A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,
A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3,
A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1,
A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2,
A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5,
A.15.3.1
P.c.3 Pencairkan uang
pada bank yang
ditunjuk
berdasarkan
SPM LS
A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3,
A.9.1.2, A.9.2.1, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2,
A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.2, A.11.2.3,
A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4,
A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1,
A.11.6.2, A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2, A.12.4.1,
A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2,
A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1
P.c.4 Pencatatan
pengeluaran oleh
Bendahara
A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3,
A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1,
A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,
A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3,
A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4,
A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2,
A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1,
A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5
P.c.5 Pencatatan
pengeluaran oleh
Kas Umum
Daerah
A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3,
A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1,
A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1,
A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1,
A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5,
A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1,
A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2,
A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5
P.c.6 Pencatatan
pengeluaran oleh
PPK-SKPD
A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.2.1, A.10.3.1, A.10.3.2,
A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1,
A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2,
A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
66
Universitas Indonesia
5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001
Pemetaan prosedur akuntansi aset pada pengeloaan keuangan dengan aktivitas
ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur
dengan praktik-praktik aktivitas yang ada dalam ISO 27001.
Dasar pemetaan antara proses yang ada dalam akuntansi aset dengan aktivitas ISO
27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian
dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil pemetaan proses
pada prosedur akuntansi aset di pemerintah daerah.
Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset
Kode Proses Kode Praktik
P.d.1 Pencatatan
penambahan aset di
bendahara barang
A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1, A.7.1.2, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,
A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2,
A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3,
A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3,
A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4,
A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1,
A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2,
A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5
P.d.2 Pencatatan
penghapusan aset di
bendahara barang
A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,
A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.5.1, A.10.8.1,
A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5,
A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2,
A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3,
A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1,
A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2, A.13.2.1, A.15.1.2,
A.15.1.4, A.15.1.5
P.d.3 Pencatatan
penambahan/pengura
ngan aset oleh PPK-
SKPD
A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2,
A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3,
A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2,
A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1,
A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2,
A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
67
Universitas Indonesia
5.4 Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan
Informasi
5.4.1 Rancangan awal Program Audit
Penyusunan rancangan awal program audit untuk menilai risiko keamanan
informasi pengelolaan keuangan pemerintah daerah dilakukan dengan
mengelompokkan 29 aktivitas pengendalian yang terpilih sebelumnya menjadi
ruang lingkup audit. Hal ini sesuai dengan SPKN yang menyatakan bahwa ruang
lingkup audit adalah batasan permasalahan yang sama dengan pelaksanaan audit.
Oleh karena itu, dilakukan pengelompokan aktivitas pengendalian yang sama
untuk menentukan ruang lingkup audit. Pengelompokan didasarkan persamaaan
sasaran pada penjelasan masing-masing aktivitas di ISO 27001. Pengelompokan
29 aktivitas pengendalian dari ISO 27001 akan menjadi ruang lingkup audit,
seperti pada gambar berikut ini
Kode Aktivitas
Pengendalian Proses Kode R.Lingkup Kode R.Lingkup Ruang Lingkup
A.5.1 Mendokumentasikan Information Security Policy R.1 R.1 Review Tata Kelola Keamanan informasi
A.5.2 Kajian Information Security Policy R.1 R.2 Review Pengelolaan Risiko Keamanan informasi
A.6.1 Organisasi internal R.1 R.3 Review Kerangka Kerja Keamanan Informasi
A.6.2 Organisasi eksternal R.1 R.4 Review Pengelolaan Aset Informasi
A.7.1 Tanggung jawab terhadap asset R.2 R.5 Review Teknologi dan Keamanan Informasi
A.7.2 Klasifikasi informasi R.2
A.8.2 Selama bekerja R.4
A.8.3 Pengakhiran atau perubahan pekerjaan R.4
A.9.1 Area yang aman R.4
A.9.2 Keamanan Peralatan R.4
A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga R.3
A.10.3 Perencanaan dan Keberterimaan Sistem R.3
A.10.5 Back-up R.3
A.10.8 Pertukaran informasi R.3
Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
68
Universitas Indonesia
Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit (2)
Gambar 5.2 dan Gambar 5.3 menunjukkan pemetaan tiap aktivitas pengendalian
yang telah terpilih ke dalam ruang lingkup yang telah diidentifikasi. Pemetaan
ruang lingkup berdasarkan sasaran yang ada dalam aktivitas pengendalian di ISO
27001 kemudian dijabarkan dalam langkah audit yang berasal dari penjabaran
praktik-praktik aktivitas yang ada dalam ISO 27001. Hasil pemetaan ruang
lingkup dan penyusunan langkah audit adalah sebagai berikut:
1. Tata Kelola keamanan informasi berisi aktivitas pendokumentasian
information security policy (A.5.1), Kajian information security policy (A.5.2),
Organisasi internal (A.6.1), organisasi eksternal (A.6.2). proses A.5.1
merupakan proses dengan sasaran memberikan arahan manajemen dan
dukungan untuk kemananan informasi menurut persyaratan bisnis dan hukum
serta regulasi yang relevan. Proses A.52 memiliki sasaran untuk mengkaji
secara interval yang terencana atau jika terjadi perubahan yang signifikan
untuk memastikan kesesuaian, kecukupan, dan keefektifan yang berkelanjutan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
69
Universitas Indonesia
Proses A.6.1 bertujuan untuk mengelola keamanan informasi dalam organisasi
sedangkan proses A.6.2 bertujuan untuk memeliharan informasi organisasi dan
fasilitas pengolsh informasi yang diakses, diolah, dikomunikasikan kepada atau
dikelola oleh pihak eksternal.
Hasil penjabaran sasaran diatas berkaitan dengan ruang lingkup tata kelola
keamanan informasi keuangan yang memiliki tujuan untuk pengevaluasian
kesiapan bentuk tata kelola keamanan informasi beserta fungsi selain itu tugas
dan tanggung jawab pengelola keamanan informasi keuangan.
Penentuan aktivitas yang dapat diterapkan dalam masing-masing praktik pada
proses A.5.1 adalah praktik penetapan kebijakan keamanan informasi
pengelolaaan keuangan daerah yang mendukung tiga langkah audit yaitu
komitmen pimpinan dalam pelaksanaan dan penetapan kebijakan keamanan
informasi pengelolaan keuangan, identifikasi hukum yang terkait pengelolaan
keamanan informasi keuangan di daerah dan kebijakan terkait pelanggaran
hukum yang dilakukan oleh pihak tertentu dalam proses pengelolaan keuangan.
Penentuan aktivitas yang dapat diterapkan dalam proses A.5.2 adalah praktik
pengkajian kebijakan terkait keamanan informasi dalam proses pengelolaan
keuangan daerah yang mendukung satu langkah audit yaitu review dokumen
hasil pengkajian kebijakan keamanan informasi pengelolaan keuangan daerah,
misal Inspektorat atau BPKP.
Penentuan aktivitas yang dapat diterapkan dalam proses A.6.1 adalah sebagai
berikut:
a. Praktik alokasi tanggung jawab keamanan informasi yang mendukung dua
langkah audit yaitu identifikasi fungsi atau bagian yang mempunyai tugas
untuk mengelola keamanan informasi keuangan daerah meliputi menjaga
kepatuhan dari kebijakan yang ada dan review pelaksanaan kepatuhan
program keamanan informasi keuangan.
b. Praktik koordinasi keamanan informasi yang berisi kegiatan keamanan
informasi keuangan harus dikoordinasikan oleh wakil-wakil dari bagian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
70
Universitas Indonesia
organisasi yang sesuai dengan peran dan fungsi kerjanya masing-masing.
Praktik ini mendukung satu langkah audit identifikasi fungsi atau bagian
yang mempunyai tugas untuk mengelola keamanan informasi keuangan
daerah meliputi menjaga kepatuhan dari kebijakan yang ada.
c. Praktik komitmen manajemen terhadap keamanan informasi yang
mendukung dua langkah audit komitmen nyata penugasan eksplisit dalam
menerapkan kepatuhan program keamanan informasi dan penerapan
program khusus untuk kepatuhan keamanan informasi, misal sosialisasi
kebijakan keamanan informasi keuangan.
d. Praktik kontak dengan pihak berwenang dan kontak dengan kelompok
khusus adalah kontak dengan pihak berwenang yang relevan harus
dipelihara. Praktik ini mendukung satu langkah audit koordinasi antara
pengelola keamanan informasi dengan SDM, legal/hukum dan keuangan
sebagai punisment jika terjadi pelanggaran.
Aktivitas A.6.2 memiliki praktik-praktik yang ada dalam ISO 27001 yakni
penekanan keamanan perjanjian dengan pihak ketiga yang meliputi perjanjian
dengan pihak ketiga meliputi pengaksesan, pengolahan, pengkomunikasian
atau pengelolaan informasi keuangan oleh pihak eksternal. Praktik ini
mencakup satu langkah audit tentang koordinasi dengan pihak eksternal dalam
pengelolaan keuangan.
2. Pengelolaan risiko keamanan informasi berisi aktivitas tanggung jawab
terhadap aset (A.7.1) dan klasifikasi informasi (A.7.2). Proses A.7.1 memiliki
sasaran untuk mencapai dan memelihara perlindungan yang sesuai terhadap
aset organisasi sedangkan dalam proses A.7.2 memiliki sasaran untuk
memastikan bahwa informasi menerima tingkat perlindungan yang tepat.
Hasil pejabaran sasaran diatas sesuai dengan tujuan dari ruang lingkup
pengelolaan risiko keamanan informasi yaitu evaluasi kesiapan pengelolaan
risiko keamanan informasi sebagai dasar penerapan strategi keamanan
informasi terkait pengelolaan keuangan daerah.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
71
Universitas Indonesia
Penentuan aktivitas A.7.1 memiliki praktik-praktik yang dapat diadopsi dari
ISO 27001 yakni
a. Praktik inventaris aset adalah semua aset harus diidentifikasi dengan jelas
dan inventaris dari semua aset penting dicatat dan dipelihara. Praktik
mencakup satu langkah audit yaitu pendefinisian atau penginventarisasi aset
yang berkaitan dengan pengelolaan keuangan baik aset data keuangan, aset
aplikasi keuangan dan aset staf pengolah data keuangan.
b. Praktik kepemilikan aset adalah semua informasi dan aset yang terkait
dengan fasilitas pengolahan data keuangan harus dimiliki oleh bagian dari
organisasi yang ditunjuk dalam hal ini setiap bagian keuangan yang ada
disetiap SKPD. Praktik ini mencakup satu langkah audit yakni definisi
kepemilikan dari aset yang terkait fasilitas pengolah data keuangan.
c. Praktik penggunaan aset yang dapat diterima adalah aturan untuk
penggunaan informasi dan aset yang ada dalam fasilitas pengolah informasi
keuangan di organisasi yakni dari dalam aplikasi keuangan atau aplikasi
lainnya. Praktik ini mencakup satu langkah audit yakni identifikasi lokasi
dan fasilitas pengolah informasi keuangan/aplikasi keuangan.
Sedangkan aktivitas A.7.2 memiliki praktik yang dapat diterapkan dalam
penilaian risiko keamanan informasi pengelolaan keuangan daerah yakni:
a. Praktik pedoman klasifikasi yaitu informasi keuangan harus diklasifikasikan
sesuai dengan tingkat kesensivitasnya dalam pelaporan keuangan
pemerintah daerah. Praktik ini terdiri dari dua langkah audit identifikasi
pedoman klasifikasi informasi keuangan berdasarkan tingkat kepentingan
dalam laporan keuangan daerah yakni berupa program kerja dan kerangka
kerja pengelolaan risiko keamanan informasi keuangan.
b. Praktik pelabelan dan penanganan informasi yakni sekumpulan prosedur
yang memadai untuk menangani permasalahan pada aset informasi
keuangan berdasarkan tingkat kritisnya pada proses pelaporan keuangan
pemerintah daerah. Langkah audit yang tercakup dalam praktik ini ada dua
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
72
Universitas Indonesia
macam yaitu mitigasi masalah/risiko pada aset informasi yang terkait proses
pelaporan keuangan dan evaluasi mitigasi yang dilakukan terhadap risiko
yang dihadapi oleh aset informasi keuangan tersebut.
3. Kerangka kerja keamanan informasi berisi aktivitas manajemen pelayanan jasa
pihak ketiga (A.10.2), perencanaan dan keberterimaan sistem (A.10.3), backup
(A.10.5), pertukaran informasi (A.10.8), pemantauan (A.10.10), pelaporan
kejadian dan kelemahan keamanan informasi (A.13.1) dan manajemen insiden
keamanan informasi dan perbaikan (A.13.2). setiap aktivitas memiliki sasaran
yang ada dalam ISO 27001 yakni sasaran A.10.2 untuk menerapkan dan
memelihara tingkat keamanan informasi keuangan dan pelayanan jasa yang
sesuai dengan perjanjian pelayanan jasa pihak ketiga terkait pengelolaan
keuangan daerah, aktivitas A.10.3 memiliki sasaran untuk mengurangi risiko
kegagalan sistem pengelolaan keuangan, aktivitas A.10.5 untuk memelihara
integritas dan ketersediaan informasi dan fasilitas pengolah informasi keuangan
daerah, aktivitas A.10.8 untuk memelihara keamanan informasi dan perangkat
lunak pengolah informasi keuangan yang dipertukarkan dengan organisai lain,
aktivitas A.10.10 untuk mendeteksi kegiatan pengolahan informasi keuangan
yang tidak sah sedangkan aktivitas A.13.1 untuk memastikan kejadian dan
kelemahan keamanan informasi terkait sistem informasi pengolah keuangan
daerah dikomunikasikan sehingga memungkinkan tindakan koreksi dilakukan
tepat waktu yang mana tidak akan berdampak pada hasil laporan keuangan
pemerintah. Aktivitas A.13.2 untuk memastikan pendekatan yang konsisten
dan efektif untuk manajemen insiden keamanan informasi keuangan.
Berdasarkan penjabaran sasaran setiap aktivitas maka dapat ditentukan tujuan
dari ruang lingkup kerangka kerja keamanan informasi adalah melakukan
evaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan prosedur)
pengelolaan keamanan informasi sehingga sesuai dengan peraturan terkait
sistem pengelolaan keuangan daerah.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
73
Universitas Indonesia
Aktivitas A.10.2 memiliki praktik pelayanan jasa yang mencakup
pengkomunikasian keamanan informasi kepada pihak ketiga terkait
pengelolaan keuangan daerah. Langkah audit yang tercakup dalam praktik ini
adalah identifikasi prosedur terkait pengelolaan keamanan informasi yang
mencakup pengkomunikasian perubahan dan pemantauan kepada pihak ketiga
terkait pengelolaan keuangan daerah.
Aktivitas A.10.3 memiliki dua praktik yang dapat dijadikan langkah audit
untuk menilai risiko keamanan informasi keuangan yakni:
a. Praktik manajemen kapasitas berisi penggunaan sumber daya harus
dipantau, disesuaikan dan diproyeksikan untuk memenuhi kinerja sistem
pengelolaan keuangan daerah. Praktik ini mencakup satu langkah audit yaitu
review strategi penggunaan teknologi informasi untuk pengolahan informasi
keuangan.
b. Praktik keberterimaan sistem berisi sistem yang baru atau hasil upgrade
harus dilakukan pengujian sistem sehingga tidak mempengaruhi pelaporan
keuangan pemerintah daerah. Praktik ini mencakup dua langkah audit yaitu
proses evaluasi dari risiko yang mungkin timbul dari pengembangan sistem
pengelolaan keuangan baru sehingga berdampak bagi laporan keuangan
serta penerapan sistem yang ada sudah sesuai dengan kebijakan terkait
pelaksanaan pelaporan keuangan pemerintah.
Aktivitas A.10.5 memiliki praktik backup informasi yang berisi pengelolaan
backup informasi keuangan daerah. Praktik ini mencakup tiga langkah audit
yakni kebijakan backup, proses evaluasi proses backup data keuangan dan
proses pelabelan media penyimpanan informasi keuangan.
Aktivitas A.10.8 memiliki dua praktik yang dapat diterapkan dalam penilaian
risiko keamanan informasi pengelolaan keuangan. Praktik tersebut adalah
a. Praktik mengenai kebijakan dan prosedur pertukaran informasi, praktik ini
memiliki tujuan kebijakan atau prosedur harus tersedia untuk melindungi
segala jenis pertukaran informasi keuangan dengan menggunakan segala
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
74
Universitas Indonesia
jenis fasilitas komunikasi. Praktik ini mencakup satu langkah audit
mengenai identifikasi kebijakan yang mengatur pendistribusian informasi
keuangan.
b. Praktik sistem informasi bisnis, praktik ini memiliki tujuan mengenai
kebijakan dan mekanisme yang melindungi informasi keuangan yang
berhubungan dengan interkoneksi sistem informasi yang berhubungan
dengan pelaporan keuangan sehingga praktik ini mencakup satu langkah
audit yakni review kebijakan yang mengatur interkoneksi sistem informasi
pelaporan keuangan dengan organisasi lain.
Aktivitas A.10.10 memiliki lima praktik yang diterapkan dalam penilaian
risiko keamanan informasi keuangan, yakni:
a. Praktik log audit, praktik ini merekam kegiatan pengguna yang berkaitan
dengan pengolahan informasi keuangan sehingga pengelola keamanan
informasi dapat melakukan pemantauan dan pengendalian akses terhadap
aset informasi keuangan. Praktik ini mencakup satu langkah audit yaitu
review pendeteksian kegiatan pengolahan informasi keuangan yang tidak
sah melalui log audit.
b. Praktik log administrator dan operator berisi pencatatan kegiatan
administartor sistem keuangan dalam log. Praktik ini mencakup satu
langkah audit yakni review pendeteksian kegiatan pengolahan informasi
keuangan yang tidak sah melalui log administrator dan operator.
c. Praktik log atas kesalahan yang terjadi (fault logging) berisi pencatatan
kesalahan dalam pengoperasian sistem informasi pengelolaan keuangan
sehingga dapat segera dianalisa dan diambil tindakan dan tidak
menimbulkan masalah pada laporan keuangan. Praktik ini mencakup satu
langkah audit yakni review pendeteksian kegiatan pengolahan informasi
keuangan yang tidak sah melalui log atas kesalahan yang terjadi (fault
logging).
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
75
Universitas Indonesia
d. Praktik pemantauan penggunaan sistem yang berisi pengendalian berupa
prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi
keuangan. Praktik ini mencakup satu langkah audit yakni review prosedur
pemantauan penggunaan sistem pengelolaan keuangan secara berkala.
e. Praktik perlindungan informasi log berisi pengendalian perlindungan
fasilitas log dan informasi log atas penggunaan fasilitas pengelolaan
keuangan. Praktik ini mencakup satu langkah audit yakni review
perlindungan yang dilakukan organisasi terhadap fasilitas log dari akses
sistem pengelolaan keuangan.
Aktivitas A.13.1 berisi dua praktik yakni pelaporan kejadian keamanan
informasi dan pelaporan kelemahan keamananan. Kedua praktik berisi
pelaporan kejadian kelemahan yang berhubungan dengan keamanan informasi
keuangan harus segera disampaikan dengan cepat oleh semua pegawai, pihak
ketiga sebagai pengguna fasilitas pengolah informasi keuangan kepada
manajemen yang tepat. Dua praktik ini mencakup satu langkah audit yakni
review aspek keamanan informasi keuangan yang mencakup pelaporan insiden
dari penggunaan sistem pengelolaan keuangan daerah.
Aktivitas A.13.2 berisi tiga praktik yang dapat diterapkan dalam penilaian
risiko keamanan informasi keuangan, yakni:
a. Praktik tanggung jawab dan prosedur berisi tanggung jawab manajemen
untuk memastikan tanggapan yang cepat terhadap insiden keamanan
informasi pada fasilitas pengolah keuangan. Praktik ini mencakup satu
langkah audit review alokasi tanggung jawab untuk memonitor
penanggulangan insiden keamanan fasilitas pengolah keuangan.
b. Praktik pembelajaran dan insiden keamanan informasi berisi mekanisme
yang memungkinkan organisasi mengukur dan memantau insiden keamanan
pada fasilitas pengolah keuangan. Praktik ini mencakup dua langkah audit
yakni review program peningkatan keamanan informasi untuk mengatasi
insisden yang telah terjadi sebelumnya pada sistem informasi keuangan dan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
76
Universitas Indonesia
review program tersebut sudah direview secara berkala untuk melihat
keefektifan penerapan program dalam entitas.
c. Praktik pengumpulan bukti berisi tindak lanjut terhadap orang atau
organisasi yang terkait dengan kejadian insiden keamanan informasi dari
fasilitas pengolah data keuangan. Praktik ini mencakup satu langkah audit
yakni review konsekuensi dari pelanggaran keamanan informasi
berdasarkan dengan bukti yang didapat.
4. Pengelolaan aset informasi berisi aktivitas area yang aman (A.9.1), keamanan
peralatan (A.9.2), persyaratan bisnis untuk pengendalian akses (A.11.1),
manajemen akses pengguna (A.11.2), tanggung jawab pengguna (A.11.3),
pengendalian akses jaringan (A.11.4), pengendalian akses sistem operasi
(A.11.5), pengendalian akses aplikasi dan informasi (A.11.6), aktivitas
kesesuaian dengan persyaratan hukum (A.15.1) dan pertimbangan audit sistem
informasi (A.15.3).
Setiap aktivitas memiliki sasaran yang dapat dijadikan dasar dalam pemetaan
ruang lingkup yang sama yakni:
a. Aktivitas A.8.2 memiliki sasaran untuk memastikan bahwa semua pegawai,
kontraktor sebagai pengguna dan pengolah data keuangan mendukung
kebijakan keamanan informasi selama bekerja di organisasi.
b. Aktivitas A.8.3 memiliki sasaran untuk memastikan bahwa semua pegawai,
kontraktor sebagai pengguna dan pengolah data keuangan yang terjadi
perubahan atau pengakhiran pekerjaan terkait pengolahan data keuangan
akan disesuaikan kembali.
c. Aktivitas A.9.1 memiliki sasaran pencegahan akses secara fisik oleh pihak
yang tidak berwenang, kerusakan dan interferensi terhadap lokasi dan
informasi organisasi sehingga menimbulkan risiko pada penyajian pelaporan
keuangan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
77
Universitas Indonesia
d. Aktivitas A.9.2 memiliki sasaran pencegahan kehilangan, kerusakan,
pencurian atau ganguan aset dan interupsi dalam kegiatan pengelolaan
keuangan di organisasi.
e. Aktivitas A.11.1 memiliki sasaran mengendalikan akses kepada informasi
keuangan.
f. Aktivitas A.11.2 memiliki sasaran untuk memastikan akses oleh pengguna
yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi
keuangan.
g. Aktivitas A.11.3 memiliki sasaran untuk mencegah akses pengguna yang
tidak sah dan gangguan atau pencurian atas informasi keuangan dan fasilitas
pengolah informasi laporan keuangan.
h. Aktivitas A.11.4 memiliki sasaran untuk mencegah akses yang tidak sah
dalam layanan jaringan yang digunakan dalam pengolahan data keuangan.
i. Aktivitas A.11.5 memiliki sasaran untuk mencegah akses yang tidak sah
dalam sistem operasi yang digunakan dalam pengolahan data keuangan.
j. Aktivitas A.11.6 memiliki sasaran untuk mencegah akses yang tidak sah
terhadap informasi dalam sistem aplikasi pengolahan data keuangan.
k. Aktivitas A.15.1 memiliki sasaran untuk mencegah pelanggaran terhadap
undang-undang dalam kaitannya dengan pengelolaan informasi keuangan.
l. Aktivitas A.15.3 memiliki sasaran untuk memaksimalkan keefektifan dari
proses audit sistem informasi pengelolaan keuangan.
Hasil penjabaran diatas akan dapat digabungkan dalam satu tujuan besar ruang
lingkup pengelolaan aset informasi yakni melakukan evaluasi tentang
kelengkapan pengamanan aset informasi keuangan.
Setiap aktivitas dijabarkan dalam langkah audit yang dapat dilakukan untuk
menilai keamanan informasi keuangan dari praktik-praktik yang ada dalam
aktivitas di ISO 27001.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
78
Universitas Indonesia
Aktivitas A.8.2 memiliki dua praktik yang diterapkan dalam penilaian risiko
keamanan informasi keuangan, yakni:
a. Praktik tanggung jawab manajemen berisi manajemen harus mendefinisikan
kebijakan dan prosedur dalam proses keamanan informasi keuangan bagi
pengguna fasilitas pengolah data keuangan. Praktik ini mencakup satu
langkah audit yakni review pendefinisian tanggung jawab pengamanan
informasi keuangan.
b. Praktik proses pendisiplinan berisi tindakan atas pegawai yang melakukan
pelanggaran keamanan informasi keuangan. Praktik ini mencakup satu
langkah audit yakni review konsekuensi dari pelanggaran keamanan
informasi yang menyebabkan permasalahan pada pelaporan keuangan.
Aktivitas A.8.3 memiliki tiga praktik yang diterapkan dalam penilaian, yakni:
a. Praktik tanggung jawab pengakhiran pekerjaan berisi tanggung jawab yang
harus ditetapkan oleh organisasi saat proses penyelesaian dan pengakhiran
kegiatan pengolahan data keuangan dengan jelas. Praktik ini mencakup satu
langkah audit yakni pendefinisian tanggung jawab dari pengguna dan
pengolah informasi keuangan saat terjadi perubahan/pengakhiran pekerjaan.
b. Praktik pengembalian aset berisi pengembalian aset yang digunakan
mengolah data keuangan saat pekerjaan atau kontrak berakhir. Praktik ini
mencakup satu langkah audit yakni review pelaksanaan pengembalian aset
untuk pengolahan data keuangan saat pekerjaan atau kontrak terkait
pengelolaan informasi keuangan.
c. Praktik penghapusan hak akses berisi penghapusan hak akses semua
pegawai, kontraktor dan pengguna terhadap informasi keuangan dan
fasilitas pengolahan informasi keuangan ketika perjanjian atau kontrak
berakhir. Praktik ini mencakup satu langkah audit yakni review proses
penghapusan hak ases pegawai atau kontraktor terhadap fasilitas pengolah
keuangan dan informasi keuangan saat berakhir pekerjaan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
79
Universitas Indonesia
Aktivitas A.9.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko
yakni:
a. Praktik perimeter keamanan fisik memiliki pengendalian perlindungan area
yang berisi informasi terkait pengelolaan keuangan pemerintah daerah dan
fasilitas pengolahnya. Praktik ini mencakup satu langkah audit yaitu review
ketentuan pengamanan fisik terhadap aset informasi dan fasilitas pengolah
informasi keuangan pemerintah daerah.
b. Praktik pengendalian entri yang bersifat fisik mencakup satu langkah audit
yaitu review pengendalian fisik area penyimpanan fasilitas informasi berupa
pengendalian entri.
c. Praktik mengamankan kantor, ruangan dan fasilitas yang mencakup satu
langkah audit yaitu review pengamanan kantor, ruangan dan fasilitas
penyimpanan informasi dari ancaman eksternal.
Aktivitas A.9.2 berisi satu praktik yang akan diterapkan dalam penilaian risiko
yakni penempatan dan perlindungan peralatan. Praktik ini berisi perlindungan
peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan
sehingga mempegaruhi keakuratan data laporan keuangan. Praktik ini
mencakup satu langkah audit yakni cek tersediaanya peraturan yang berisi
pengamanan lokasi kerja penting dalam proses pengelolaan data keuangan.
Aktivitas A.11.1 berisi satu praktik yakni kebijakan pengendalian akses
terhadap informasi dan fasilitas pengelolaan keuangan. Praktik ini mencakup
satu langkah audit review dokumen kebijakan yang mengatur pengelolaan
akses dan otentikasi dan otorisasi untuk menggunakan aset informasi
pengelolaan keuangan.
Ativitas A.11.2 berisi empat praktik yang diterapkan untuk penilaian risiko
keamanan informasi keuangan di pemerintah, yakni:
a. Praktik pendaftaran pengguna, praktik manajemen hak khusus dan
manajemen password pengguna. Ketiga praktik ini mencakup satu langkah
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
80
Universitas Indonesia
audit yaitu review inventarisasi akses yang berisi password, hak akses
khusus.
b. Praktik tinjauan terhadap hak akses pengguna berisi tinjauan oleh
manajemen terhadap akses pengguna pada fasilitas pengolah data keuangan
secara regular. Praktik ini berisi satu langkah audit yaitu review prosedur
yang mengatur user access review yang dilakukan oleh manajemen terkait
hak akses pengguna informasi dan pengolah data keuangan.
Aktivitas A.11.3 berisi tiga praktik yang diambil dari ISO 27001 yakni
penggunaan password, peralatan yang ditinggalkan oleh penggunanya dan
kebijakan clear desk dan clear screen. Ketiga praktik ini mencakup satu
langkah audit yang dapat diterapkan dalam penilaian risiko keamanan
informasi yakni review ketetapan pendefinisian tanggung jawab pengamanan
informasi secara individu sebagai pengolah data keuangan meliputi ketentuan
pemilihan password tiap pengguna, sistem clear desk dan clear screen serta
keamanan peralatan yang ditinggalkan oleh pengguna.
Aktivitas A.11.4 berisi dua praktik yang diterapkan dalam penilaian risiko
keamanan informasi di pemerintah daerah, yakni
a. Praktik kebijakan penggunaan layanan jaringan berisi kebijakan terkait
pemberian akses terhadap layanan jaringan yang digunakan untuk
pengelolaan data keuangan kepada pengguna yang berwenang. Praktik ini
berisi satu langkah audit yakni review kebijakn atau prosedur penggunaan
layangan jaringan untuk mengolah data keuangan.
b. Praktik perlindungan terhadap remote diagnostic dan confuguration port
berisi pengendalian akses secara fisik dan logical terhadap diagnostic dan
confuguration port. Praktik ini mencakup satu langkah audit yaitu cek
pengendalian secara teknis pada aset jaringan sebagai fasilitas pengolah data
keuangan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
81
Universitas Indonesia
Aktivitas A.11.5 berisi lima praktik dalam ISO 27001 yang diadopsi untuk
penilaian risiko keamanan informasi dalam kaitannya dengan risiko
pemeriksaan laporan keuangan yaitu:
a. Praktik prosedur log on yang aman berisi akses ke dalam sistem operasi
dalam proses pengelolaan keuangan harus dikendalikan dengan prosedur log
on yang aman. Praktik ini mencakup satu langkah audit yakni review
pengendalian yang dilakukan oleh organisasi berupa prosedur log on dalam
pengelolaan keuangan.
b. Praktik sesi time-out berisi pengendalian berupa sesi yang tidak aktif dalam
jangka waktu tertentu harus mati pada sistem operasi yang digunakan untuk
pengolahan data keuangan. Praktik ini mencakup satu langkah audit yakni
review pengendalian yang dilakukan oleh organisasi berupa sesi time-out
pada sistem operasi yang digunakan untuk pengolahan data keuangan.
c. Praktik penggunaan system utilities berupa pengendalian dengan
penggunaan utility yang mampu membatasi sistem dan aplikasi dalam
sistem operasi untuk pengolahan data keuangan. Praktik ini mencakup satu
langkah audit yakni review pengendalian yang dilakukan oleh organisasi
berupa system utilities pada sistem operasi yang digunakan untuk
pengolahan data keuangan.
d. Praktik sistem manajemen password berupa pengendalian dengan
penggunaan password dengan memperhatikan kualitas password. Praktik ini
mencakup satu langkah audit yakni review pengendalian yang dilakukan
oleh organisasi berupa manajemen password pada sistem operasi yang
digunakan untuk pengolahan data keuangan.
e. Praktik identifikasi dan otentikasi pengguna pengendalian dengan
menggunakan otentikasi pengguna pada sistem operasi yang digunakan
pada pengolahan data keuangan. Praktik ini mencakup review kebijakan
atau prosedur yang mengatur otentikasi pada sistem operasi.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
82
Universitas Indonesia
Aktivitas A.11.6 berisi dua praktik yang digunakan dalam penilaian risiko
yaitu:
a. Praktik pembatasan akses informasi mencakup satu langkah audit yakni
prosedur yang mengatur pembatasan akses terhadap informasi pengelolaan
keuangan.
b. Praktik isolasi sistem yang sensitif berisi pengendalian sistem atau aplikasi
pengelolaan keuangan yang sensitif atau memiliki peran yang besar dalam
pelaporan keuangan pemerintah diletakkan pada lingkungan komputasi yang
diisolasi. Praktik ini mencakup satu langkah audit yakni review
pengendalian secara teknis terhadap aplikasi yang mempunyai peran penting
pada proses pelaporan keuangan berupa peletakan sistem pada lingkungan
yang diisolasi.
Aktivitas A.15.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko
yakni:
a. Praktik Hak Kekayaan Intelektual (HAKI) mencakup satu langkah audit
yakni review tata tertib pengamanan penggunaan aset terkait pengolahan
data keuangan terkait HAKI.
b. Praktik perlindungan data dan rahasia informasi pribadi berisi prosedur yang
mengatur perlindungan data dan informasi pribadi pada saat proses
pengelolaan keuangan.
c. Praktik pencegahan penyalahgunaan fasilitas pengolah informasi mencakup
satu langkah audit yakni review tata tertib yang berkaitan dengan
penggunaan fasilitas pengolah informasi seperti email, internet dan intranet
yang digunkan oleh pengelola keuangan pemerintah daerah.
Aktivitas A.15.3 berisi praktik pengendalian audit sistem informasi berisi
pengamanan lokasi kerja, fasilitas informasi dan aset informasi terkait
pengelolaan keuangan daerah dari pelaksanaan audit sistem informasi sehingga
tidak akan mempengaruhi hasil laporan keuangan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
83
Universitas Indonesia
5. Teknologi dan keamanan informasi berisi aktivitas pengolahan data yang benar
dalam aplikasi (A.12.2), pengendalian dengan cara kriptografi (A.12.3),
keamanan system files (A.12.4) dan keamanan dalam proses pengembangan
dan pendukung (A.12.5).
Setiap aktivitas memiliki sasaran yang dapat diadopsi dari ISO 27001 yaitu:
a. Aktivitas A.12.2 untuk mencegah kesalahan, kehilangan, modifikasi yang
tidak sah atau penyalahgunaan informasi dalam aplikasi pengelolaan
keuangan pemerintah daerah.
b. Aktivitas A.12.3 untuk melindungi kerahasiaan, keaslian atau integritas
informasi dengan cara kriptografi.
c. Aktivitas A.12.4 untuk memastikan keamanan system files pada aplikasi
pengelolaan keuangan pemerintah daerah
d. Aktivitas A.12.5 untuk memelihara keamanan perangkat lunak, sistem
aplikasi dan informasi pengelolaan keuangan pemerintah daerah.
Hasil penjabaran diatas dapat dipetakan dalam ruang lingkup teknologi dan
keamanan informasi yang memiliki tujuan untuk mengevaluasi kelengkapan,
konsistensi dan keefektivitas penggunaan teknologi dalam pengamanan aset
informasi.
Setiap aktivitas dapat dijabarkan dalam praktik-praktik yang mencakup
langkah audit untuk penilaian risiko keamanan informasi.
Praktik pada aktivitas dalam ruang lingkup teknologi dan keamanan informasi
yang dijadikan langkah audit yaitu aktivitas A.12.2.
Aktivitas A.12.2 berisi tiga praktik yang diterapkan dalam langkah audit yakni
a. Praktik validasi data masukan berisi pengendalian terhadap masukan data ke
dalam aplikasi pengolah data keuangan telah divalidasi sehingga tidak
mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu
langkah audit yaitu review log yang berisi data masukan pada aplikasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
84
Universitas Indonesia
pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada
laporan keuangan.
b. Praktik pengendalian pengolahan internal mencakup satu langkah audit
yakni review akses yang tidak berhak dalam log.
c. Praktik validasi data keluaran berisi pengendalian terhadap keluaran data
dari aplikasi pengolah data keuangan telah divalidasi sehingga tidak
mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu
langkah audit yaitu review log yang berisi data keluaran pada aplikasi
pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada
laporan keuangan.
Aktivitas A.12.3 berisi dua praktik yang akan diadopsi untuk perancangan
langkah audit yaitu:
a. Praktik kebijakan tentang penggunaan pengendalian kriptografi memiliki
pengendalian kebijakan tentang penggunaan kriptografi untuk melindungi
informasi keuangan. Praktik ini mencakup dua langkah audit yaitu review
standar penggunaan dan penerapan enkripsi untuk melindungi aset
informasi pengelolaan keuangan.
b. Praktik manajemen kunci memiliki pengendalian yakni penerapan
manajemen kunci untuk mendukung teknik kriptografi di organisasi. Praktik
ini mencakup satu langkah audit yaitu review penerapan pengamanan untuk
mengelola kunci enkripsi yang digunakan oleh organisasi.
Ada dua praktik yang akan digunakan untuk perancangan program audit pada
aktivitas A.12.4 yaitu praktik perlindungan data uji sistem dan pengendalian
akses terhadap kode sumber program. Dua praktik ini akan dijadikan satu
langkah audit yakni review penerapan pengamanan system files berupa
perlindungan data uji sistem dan pembatasan akses ke kode sumber sistem
informasi keuangan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
85
Universitas Indonesia
Satu praktik pada aktivitas A.12.5 yang akan digunakan dalam penilaian risiko
keamanan informasi pengelolaan keuangan pemerintah daerah yakni praktik
tinjauan teknis dari aplikasi pengelolaan keuangan setelah perubahan aset
informasi yang terhubung dengan aplikasi tersebut. Praktik ini akan mencakup
satu langkah audit yaitu review pengamanan saat pengembangan pendukung
atau aset informasi yang terhubung dengan aplikasi pengelolaan keuangan.
5.4.2 Hasil Perancangan Program Audit
Perancangan program audit disusun berdasarkan aktivitas-aktivitas yang telah
terpilih dari proses wawancara kemudian aktivitas yang memiliki sasaran yang
sama akan dikelompokkan dalam ruang lingkup yang sama.
Program audit digunakan dalam pelaksanaan penilaian risiko keamanan informasi
melalui audit teknologi informasi. Audit teknologi informasi ini terdiri dari tahap
perencanaan, tahap pelaksanaan dan tahap penyelesaian atau pelaporan.
Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk
semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah
pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang
dibawah ini.
a. Langkah Audit Tahap Perencanaan
Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan
audit teknologi informasi dalam penilaian risiko keamanan informasi pengelolaan
keuangan di pemerintah daerah. Tahapan yang dilakukan yakni:
1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem
pengelolaan keuangan pemerintah daerah oleh auditor lain. Review ini
dilakukan atas organisasi yang akan dilakukan pemeriksaan.
2. Menentukan ruang lingkup audit berdasarkan hasil review.
3. Membuat program audit yang rinci dan tepat.
4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
86
Universitas Indonesia
5. Menentukan jadwal dan anggaran untuk melakukan audit.
6. Menyiapkan penugasan dalam bentuk surat tugas.
7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk
menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi
untuk menyiapkan dokumen awal sebagai bahan untuk audit.
Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya
pada tahap pelaksanaan.
b. Langkah Audit Tahap Pelaksanaan
Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup
yang akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil
review dari pemeriksaan penilaian risiko keamanan informasi sebelumnya.
Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor
yakni dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat
proses secara langsung.
Langkah audit dari lima ruang lingkup pemeriksaan adalah sebagai berikut:
a. Ruang Lingkup Audit : (R.1) Review tata kelola keamanan informasi
1) Tujuan Audit
Mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta
fungsi selain itu serta tugas dan tanggung jawab pengelola keamanan
informasi terkait prosedur akuntansi sistem pengelolaan keuangan.
2) Langkah Audit
No Deskripsi langkah audit
1. Dapatkan dokumen yang terkait kebijakan keamanan informasi pengelolaan
keuangan dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan aset dan
lakukan analisa dokumen apakah organisasi telah mengidentifikasi: (sumber:
A.5.1)
a. Pimpinan Instansi organisasi secara prinsip dan resmi bertanggungjawab
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
87
Universitas Indonesia
No Deskripsi langkah audit
terhadap pelaksanaan program keamanan informasi pengelolaan keuangan,
termasuk penetapan kebijakan terkait? (sumber: A.5.1.1)
b. Identifikasi legislasi dan perangkat hukum lainnya terkait keamanan
informasi keuangan yang harus dipatuhi dan menganalisa tingkat
kepatuhannya, misal PP Nomor 60 Tahun 2008 tentang SPIP? (Sumber:
A.5.1.1)
c. kebijakan dan langkah penanggulangan insiden keamanan informasi dalam
pengelolaan keuangan yang menyangkut pelanggaran hukum? (Sumber:
A.5.1.1)
2. Review apakah dokumen yang terkait kebijakan keamanan informasi
pengelolaan keuangan daerah dari sisi anggaran, pengeluaran, penerimaan dan
pengelolaan asetnya telah dikaji oleh unit lain yang berwenang secara berkala,
misal Inspektorat, BPKP? (sumber: A.5.2.1)
3. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan
informasi dalam entitas (sumber: A.6.1)
a. Apakah entitas memiliki fungsi atau bagian yang secara spesifik mempunyai
tugas dan tanggungjawab mengelola keamanan informasi pengelolaan
keuangan terkait pencatatan penerimaan dan pengeluaran oleh bendahara dan
Kas Umum Daerah dan menjaga kepatuhannya? (Sumber:A.6.1.3)
b. Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai
wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program
keamanan informasi pengelolaan keuangan? (Sumber:A.6.1.1)
c. Apakah penanggungjawab pelaksanaan pengamanan informasi keuangan
diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin
kepatuhan program keamanan informasi pengelolaan keuangan, misal
dukungan fisik berupa access log view sistem keuangan? (Sumber:A.6.1.1)
d. Apakah entitas sudah menerapkan program sosialisasi dan peningkatan
pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya
bagi semua pihak yang terkait? (Sumber:A.6.1.1)
e. Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan
satker terkait (SDM, Legal/Hukum, Umum, DPKD dll) (Sumber:A.6.1.2)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
88
Universitas Indonesia
No Deskripsi langkah audit
f. Apakah pimpinan tiap SKPD menerapkan program khusus untuk mematuhi
tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang
mencakup aset informasi keuangan yang menjadi tanggungjawab tiap SKPD
tersebut? (Sumber: A.6.1.6)
4. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan
informasi entitas yang berhubungan dengan pihak luar organisasi yakni terkait
penetapan retribusi, pajak daerah (sumber: A.6.2)
a. Apakah tanggungjawab pengelolaan keamanan informasi mencakup
koordinasi dengan pihak pengelola/pengguna aset informasi eksternal untuk
mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan
permasalahan/risiko yang ada, misal akses sistem penetapan retribusi dan
pajak daerah? (Sumber:A.6.2.3)
3) Identifikasi Bukti Audit
No Bukti Index langkah
1.
Kebijakan Umum Keamanan Informasi dalam bentuk
Perwal, action plan, strategic plan, SOP terkait pengelolaan
keuangan.
1
2.
Laporan Kajian Kebijakan umum keamanan informasi,
risalah rapat (MOM) tentang pembahasan masalah-masalah
sistem pengelolaan keuangan.
2, 4
3. Struktur organisasi unit kerja instansi/Lembaga dalam ruang
lingkup penerapan keamanan informasi ( SOTK)
3a, 3c
4.
Tupoksi / job description unit organisasi/lembaga juga
memasukkan tanggungjawab keamanan informasi, SK
penunjukan Kepala Keamanan Informasi
3b
5. program/rencana pelatihan/sosialisasi keamanan informasi
dan bukti realisasinya
3d
6. prosedur pengelolaan insiden/masalah, termasuk jika
masalah tersebut menyangkut aspek hukum
3e,3f
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
89
Universitas Indonesia
4) Kriteria : ISO/IEC27005 - Information Security Risk Management,
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,
NIST Special Publication 800-30:Risk Management Guide for Information
Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi
Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September
2003)
b. Ruang Lingkup Audit : (R.2) Review pengelolaan risiko keamanan informasi
1) Tujuan Audit
Mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi
sebagai dasar penerapan strategi keamanan informasi terkait pengelolaan
keuangan daerah
2) Langkah Audit
No Deskripsi langkah audit
1. Dapatkan dokumen yang terkait pengelolaan risiko keamanan informasi yang
terdokumentasi dan memuat (sumber:A.7.2)
a. Program kerja pengelolaan risiko keamanan informasi dalam organisasi
(Sumber:A.7.2.2)
b. Kerangka kerja pengelolaan risiko keamanan informasi dalam organisasi
yang mencakup definisi dan hubungan tingkat klasifiasi aset informasi,
tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak
kerugian yakni ketidakakuratan data pada laporan keuangan pemerintah
daerah? (Sumber:A.7.2.1)
2. Review apakah entitas telah melakukan kegiatan pengelolaan risiko keamanan
informasi keuangan yang meliputi (sumber : A.7.1)
a. Apakah entitas sudah mendefinisikan atau inventarisasi kepemilikan dan
pihak pengelola aset informasi keuangan yang ada, meliputi aset data
keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan?
(Sumber:A.7.1.1)
b. Apakah entitas sudah mendefinisikan penggunaan aset yang ada?
(Sumber:A.7.1.3)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
90
Universitas Indonesia
No Deskripsi langkah audit
c. Apakah ancaman dan kelemahan terkait aset informasi yang sudah
diinventaris sudah diindentifikasi (Sumber:A.7.1.1)
d. Apakah dampak kerugian terkait sudah diidentifikasi sesuai dengan
klasifikasi aset yang ada (Sumber:A.7.1.1)
3. Dapatkan dokumen terkait penggunaan aset informasi yang ada di entitas
meliputi (sumber : A.7.1)
a. Identifikasi lokasi dan fasilitas pengolahan informasi yang ada/aplikasi
keuangan, apakah digunakan oleh yang tepat dan berada pada tempat yang
aman? (Sumber:A.7.1.1)
4. Review penanganan masalah yang terjadi atau risiko pada setiap aset informasi
yang ada (sumber: A.7.2)
a. Apakah entitas telah melakukan mitigasi masalah/risiko yang ada pada setiap
aset informasi berdasarkan klasifikasi atau tingkat kepentingan pada proses
pelaporan keuangan pemerintah daerah(Sumber:A.7.2.1)
b. Apakah status mitigasi dari setiap masalah/risiko telah dilakukan evaluasi
untuk memastikan kemajuan kerjanya? (Sumber:A.7.2.2)
3) Identifikasi Bukti Audit
No Bukti Index langkah
1. SOP Bidang komunikasi dan informatika 1a
2. dokumen metodologi risiko TI 1b
3. daftar aset TI, IT Master Plan 2a,2b, 3
4. hasil kajian risiko TI (risk register) 2c
5. risk acceptance kriteria 2d
6. Laporan monitoring Tim secara berkala 4a
7. Risk Treatment Plan (RTP) 4b
4) Kriteria ISO/IEC27005 - Information Security Risk Management,
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,
NIST Special Publication 800-30:Risk Management Guide for Information
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
91
Universitas Indonesia
Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi
Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September
2003)
c. Ruang Lingkup Audit : (R.3) Review Kerangka Kerja Keamanan Informasi
1) Tujuan Audit
Mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan
prosedur) pengelolaan keamanan informasi sehingga sesuai dengan
peraturan terkait sistem pengelolaan keuangan daerah.
2) Langkah Audit
No Deskripsi langkah audit
1. Apakah kebijakan dan prosedur keamanan informasi sudah disusun dengan jelas
dengan mencantumkan peran dan tanggung jawab pihak-pihak yang berwenang
untuk menerapkan?
2. Apakah kebijakan dan prosedur keamanan informasi sudah dikomunikasikan
dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua
pihak dalam entitas tersebut? (Sumber : A.10.2.1)
3. Review dan dapatkan dokumen (jika ada) yang berisi pengelolaan risiko dari
pengembangan sistem pengelolaan keuangan yang baru pada entitas ( sumber :
A.10.3)
a. Apakah entitas sudah menerapkan proses evaluasi dari risiko terkait rencana
pengembangan sistem baru dan penanggulangan masalah yang mungkin
timbul dari sistem pengelolaan keuangan baru tersebut? (Sumber:A.10.3.2)
b. Apabila penerapan suatu sistem baru tersebut menimbulkan masalah atau
menyalahi kebijakan terkait pelaksanaan pelaporan keuangan pemerintah,
apakah ada proses penanggulangan termasuk pengamanan yang baru
(compensating control)? (Sumber:A.10.3.2)
c. Apakah entitas memiliki mempunyai strategi penggunaan atas teknologi
keamanan informasi untuk pengolah keuangan daerah yang penerapan dan
pemutakhirannya disesuaikan dengan kebutuhan entitas? (Sumber:A.10.3.1)
4. Review pengelolaan proses ketersediaan informasi keuangan pemerintah daerah
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
92
Universitas Indonesia
No Deskripsi langkah audit
yakni informasi anggaran, aset, penerimaan dan pengeluaran dengan cara back
up data (sumber : A.10.5.1)
a. Apakah entitas memiliki kebijakan terkait proses back up informasi ?
b. Apakah ada proses evaluasi dilakukan secara berkala terhadap kebijakan
terkait proses back up?
c. Apakah ada proses pelabelan atau inventarisasi media penyimpanan back up
informasi keuangan?
5. Review dan dapatkan dokumennya jika ada mengenai pengendalian entitas
terkait proses pertukaran informasi keuangan baik di lingkungan internal
maupun eksternal entitas ( sumber: A.10.8)
a. Apakah ada kebijakan atau prosedur yang mengatur pengelolaan informasi
termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan
penyimpanan? (Sumber:A.10.8.1)
b. Review apakah terdapat kebijakan atau mekanisme yang mengatur
interkoneksi sistem informasi yang berhubungan dengan pelaporan
keuangan dengan organisasi eksternal? (Sumber:A.10.8.5)
6. Review proses pendeteksian kegiatan pengolahan informasi keuangan yang
tidak sah (sumber: A.10.10)
a. Apakah entitas memiliki prosedur yang mengatur proses pemantauan
penggunaan fasilitas pengolahan informasi keuangan? (Sumber:A.10.10.2)
b. Apakah aspek keamanan informasi mencakup pengendalian pelaporan
insiden yang didapat dari log audit, log administrator dan operator dan log
atas kesalahan yang terjadi pada sistem informasi keuangan sehingga dapat
segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada
laporan keuangan? (Sumber:A.10.10.1, A.10.10.4, A.10.10.5 )
c. Apakah entitas melakukan perlindungan pada fasilitas log dari akses sistem
pengelolaan keuangan daerah? (Sumber:A.10.10.3)
7. Review dan dapatkan dokumen yang berisi proses pelaporan kelemahan
keamanan informasi keuangan (sumber : A.13.1.1, A.13.1.2)
a. Apakah aspek keamanan informasi keuangan yang mencakup pelaporan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
93
Universitas Indonesia
No Deskripsi langkah audit
insiden dari sistem pengelolaan keuangan tercantum dalam suatu kebijakan
atau prosedur yang disebarkan ke semua pegawai dan pihak ketiga?
8. Review dan dapatkan dokumen yang berisi manajemen insiden keamanan
informasi yang bertujuan untuk melihat keefektifan penerapannya? (sumber
A.13.2)
a. Apakah entitas sudah menerapkan kebijakan dan prosedur operasional
untuk mengelola insiden keamanan informasi yang muncul, alokasi
tanggung jawab untuk memonitor dan penanggulangan insiden keamanan
pada fasilitas pengolah keuangan yang ada? (sumber A.13.2.1)
b. Apakah entitas memiliki program untuk meningkatkan keamanan informasi
untuk mengatasi insiden yang telah terjadi sebelum-sebelumnya pada
fasilitas pengolah keuangan? (sumber A.13.2.2)
c. Apakah program keamanan informasi yang ada dilakukan evaluasi untuk
melihat keefektifan penerapannya dalam entitas? (sumber A.13.2.3)
d. Apakah konsekuensi dari pelanggaran keamanan informasi yang
menyebabkan insiden sudah didefinisikan, dikomunikasikan dan ditegakan
oleh entitas? (sumber A.13.2.3)
3) Identifikasi Bukti Audit
No Bukti Index langkah
1. SOTK, job desc pengelola keuangan 1
2.
Pengunguman ke semua satuan kerja terkait keamanan
infomasi yang dilakukan secara berjenjang terutama bagi
pengelola keuangan.
2
3.
Hasil evaluasi dan pengkajian investasi sistem TI yang baru
pada pihak yang terkait, meliputi user (kepala SKPD dan
jajarannya), sekretaris daerah
3
4. SOP Backup dan restore 4
5. SOP Pertukaran informasi keuangan 5
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
94
Universitas Indonesia
No Bukti Index langkah
6. Laporan pemantuan meliputi analisa log admin 6b
7. SOP Pemantauan bidang komunikasi dan informatika 6a, 6c
8. SOP penanganan insiden 7, 8a
9. BCP (Business Continuity Plan) , DRP (Disaster Recovery
Plan)
8a, 8b
10. Laporan tim teknis berupa rekomendasi kontrol 8b
11. bukti/risalah rapat/manajemen review untuk mengevaluasi
efektivitas penerapan keamanan informasi
8.c, 8d
4) Kriteria : ISO/IEC27005 - Information Security Risk Management,
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,
NIST Special Publication 800-30:Risk Management Guide for Information
Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi
Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September
2003)
d. Ruang Lingkup Audit : (R.4) Review Pengelolaan Aset Informasi
1) Tujuan Audit
Mengevaluasi kelengkapan pengamanan aset informasi keuangan termasuk
siklus penggunaanya.
2) Langkah Audit
No Deskripsi langkah audit
1. Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi
oleh semua pihak entitas baik pegawai dan kontraktor selama bekerja di entitas
tersebut. (sumber: A.8.2)
a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan
informasi keuangan secara individual untuk semua personil di entitas?
(sumber A.8.2.1)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
95
Universitas Indonesia
No Deskripsi langkah audit
b. Apakah konsekuensi dari pelanggaran keamanan informasi yang
menyebabkan insiden pada proses pelaporan keuangan sudah didefinisikan,
dikomunikasikan dan ditegakan oleh entitas? (sumber A.8.2.3)
2. Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi
keuangan oleh semua pihak entitas baik pegawai dan kontraktor setelah
mengakhiri kerjasama atau perubahan pekerjaan di entitas tersebut. (sumber :
A.8.3)
a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan
informasi keuangan secara individual untuk semua personil di entitas
setelah pengakhiran kerjasama atau perubahan pekerjaaan? (sumber
A.8.3.1)
b. Apakah pihak yang melakukan pengakhiran pekerjaan terkait proses
pengelolaan data keuangan dalam entitas mengembalikan aset yang
digunakan ketika bekerja? (sumber A.8.3.2)
c. Apakah terdapat penghapusan hak akses pihak yang mengakhiri kerjasama
dan perubahan pekerjaan terhadap fasilitas pengolah informasi keuangan
yang dipakai selama bekerja di entitas tersebut? (sumber A.8.3.3)
3. Review dan dapatkan dokumen mengenai pengendalian area penyimpanan
fasilitas pengolahan informasi (sumber: A.9.1)
a. Apakah terdapat ketentuan pengamanan fisik yang disesuaikan dengan
definisi zona dan klasifikasi aset yang ada didalamnya? (sumber A.9.1.1)
b. Apakah entitas memiliki pengendalian fisik area penyimpanan fasilitas
informasi berupa pengendalian entri? (sumber A.9.1.2)
c. Apakah entitas memiliki pengamanan kantor, ruangan dan fasilitas
penyimpanan informasi dari ancaman eksternal entitas? (misal adanya
rancangan dan material yang dapat menanggulangi risiko kebakaran dan
dilengkapi dengan fasilitas pendukung (deteksi kebakaran, asap,
pemadaman api, pengatur suhu dan kelembapan) (sumber A.9.1.3)
4. Review dan dapatkan dokumen mengenai keamanan peralatan yang memuat
informasi sehingga pencegahan kehilangan, kerusakan, pencurian atau
gangguan terhadap kegiatan entitas. (sumber : A.9.2)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
96
Universitas Indonesia
No Deskripsi langkah audit
a. Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang
server, ruang arsip) dalam proses pengelolaan data keuangan dari risiko
perangkat atau bahan yang membahayakan aset informasi yang ada
didalamnya? (misal menggunakan telepon genggam atau kamera pada saat
memasuki ruang server) (sumber A.9.2.1, A.9.2.4, A.9.2.5)
5. Adakah dokumen kebijakan atau prosedur yang mengatur mengenai
pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset
informasi pengelolaan keuangan (sumber: A.11.1.1)
6. Review pengelolaan akses untuk menggunakan aset informasi di entitas
(sumber:A.11.2)
a. Apakah entitas memiliki inventarisasi akses terhadap informasi keuangan
dan fasilitas pengolah keuangan yang berisi identitas elektronik pemilik
akses, proses otentikasi (username, password)? (sumber A.11.2.1,
A.11.2.2, A.11.2.3)
b. Apakah ada prosedur yang mengatur pengkajian atas hak akses pengguna
(user access review) secara berkala dan langkah pembenahan apabila
terjadi ketidaksesuaian terhadap kebijakan yang berlaku?(misal: apabila
pengguna sudah tidak berwenang atas suatu proses dalam sistem keuangan
maka dia tidak bisa mengakses fungsi tersebut) (sumber A.11.2.4)
7. Review apakah entitas memiliki ketetapan pendefinisian tanggung jawab
pengamanan informasi secara individual sebagai pengolah data keuangan di
semua satuan kerja yang ada?(misal: ketentuan pemilihan password tiap
pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang
ditinggalkan oleh pengguna) (sumber : A.11.3.1, A.11.3.2, A.11.3.3)
8. Review dan dapatkan dokumen jika ada terkait pengendalian akses jaringan,
sistem operasi dan sistem aplikasi informasi yang digunakan untuk pengolahan
keuangan baik pencatatan penerimaan, pengeluaran dan mutasi aset (sumber:
A.11.4, A.11.5, A.11.6)
a. Apakah entitas memiliki kebijakan atau prosedur yang mengatur akses,
proses otentikasi dan otorisasi penggunaan aset informasi yakni jaringan,
sistem operasi dan sistem aplikasi informasi? (sumber: A.11.4.1, A.11.5.1
)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
97
Universitas Indonesia
No Deskripsi langkah audit
b. Apakah entitas melakukan pengendalian secara teknis pada aset informasi
yakni jaringan, diantaranya perlindungan dari configuration port, remote
diagnostic selain itu pengendalian pada routing dan koneksi jaringan untu
pengelolaan informasi keuangan? (sumber: A.11.4.4)
c. Apakah entitas melakukan pengendalian secara teknis pada aset informasi
yakni sistem operasi, diantaranya sesi time out, prosedur log on yang aman
pada sistem operasi, dan pengendalian program utility? (sumber: A.11.5.1,
A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5)
d. Apakah entitas melakukan pengendalian secara teknis pada aset informasi
yakni aplikasi, diantaranya isolasi aplikasi yang sensitif bagi entitas dan
pembatasan akses informasi? (sumber: A.11.6.2)
9. Review kesesuaian proses pengamanan informasi yang dilakukan oleh
pengelola keuangan yakni bendahara penerimaan, bendahara barang,
bendahara pengeluaran dan PPK-SKPD terhadap hukum yang berlaku
(sumber: A.15.1)
a. Apakah entitas telah membuat tata tertib pengamanan dan
penggunaan aset entitas terkait HAKI (Hak Kekayaan Intelektual)?
(sumber: A.15.1.2)
b. Apakah terdapat peraturan pengamanan data pribadi di entitas
tersebut (sumber: A.15.1.4)
c. Apakah terdapat tata tertib penggunaan email, internet, intranet dan
komputer? (sumber: A.15.1.5)
10. Review apakah entitas memiliki prosedur untuk mengamankan lokasi kerja,
fasilitas informasi dan aset informasi terkait pengelolaan keuangan (anggaran,
penerimaan, pengeluaran dan pengelolaan aset dari keberadaan pihak internal
maupun eksternal yang melakukan audit pada entitas? (sumber A.15.3.1)
3) Identifikasi Bukti Audit
No Bukti Index langkah
1. SOP keamanan informasi, SOTK/Job desc 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
98
Universitas Indonesia
No Bukti Index langkah
2. Pakta integritas dengan pihak ketiga dalam MOU, NDA
untuk pihak ketiga menyangkut informasi rahasia
2, 10
3. SOP pengamanan fasilitas pengolahan informasi (SOP
data center)
3a, 4
4. Cek fisik data center 3b,3c
5. prosedur pengelolaan hak akses (Access Control) 5
6. Laporan monitoring terkait hak akses pengguna ( user
access review)
6
7. SOP pengamanan informasi secara individual 7, 10
8. SOP pengamanan jaringan, sistem operasi dan sistem
informasi
8a
9. Cek fisik ruang kerja pegawai 8b, 8c, 8d
10. Cek fisik lisensi OS atau aplikasi yang lainnya 9a
11. SOP/ aturan penggunaan email, internet dan hasil
pemantauan pengunggan email & internet
11b, 11c
4) Kriteria : ISO/IEC27005 - Information Security Risk Management,
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,
NIST Special Publication 800-30:Risk Management Guide for Information
Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi
Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September
2003)
e. Ruang Lingkup Audit : (R.5) Review Teknologi dan Keamanan Informasi
1) Tujuan Audit
Mengevaluasi kelengkapan, konsistensi dan efektifitas penggunaan
teknologi dalam pengamanan aset informasi.
2) Langkah Audit
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
99
Universitas Indonesia
No Deskripsi langkah audit
1. Review apakah entitas melakukan pengendalian terkait pengolahan dalam suatu
aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara
dan kas umum daerah serta mutasi aset di pemerintah daerah. (sumber A.12.2)
a. Apakah setiap perubahan pada sistem informasi secara otomatis terekam
didalam log? (sumber A.12.2.2)
b. Apakah upaya akses yang tidak berhak juga terekam dalam log? (sumber
A.12.2.2)
c. Apakah semua log yang ada dianalisa secara berkala untuk memastikan
akurasi, validitas data masukan serta data keluaran sistem informasi dan
kelengkapan isinya? (sumber A.12.2.1. A.12.2.4)
2. Review dan dapatkan dokumen mengenai pengendalian kriptografi yang
diterapkan oleh entitas pada aplikasi untuk pencatatan pengeluaran, penerimaan
keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah
daerah. (sumber: A.12.3)
a. Apakah entitas menerapakan enkripsi untuk melindungi aset informasi
keuangan penting sesuai dengan kebijakan yang ada? (sumber A.12.3.1)
b. Apakah entitas memiliki standar dalam penggunaan enkripsi tersebut?
(sumber A.12.3.1)
c. Apakah entitas menerapkan pengamanan untuk mengelola kunci enkripsi
yang digunakan? (sumber A.12.3.2)
3. Review apakah entitas melakukan pengamanan system files berupa
perlindungan data uji sistem, pembatasan akses ke kode sumber sistem
informasi keuangan terkait pengelolaan anggaran, penerimaan keuangan,
pengeluaran dan pengelolaan aset? (sumber :A.12.4.2, A.12.4.3)
4. Review apakah entitas melakukan pengamanan dan tinjuan teknis atas sistem
aplikasi pengelolaan keuangan meliputi aplikasi anggaran, aset dan penerimaan
atau pengeluaran keuangan pada saat proses pengembangan atau perubahan
pada aset informasi yang terhubung dengan aplikasi tersebut, misal perubahan
sistem operasi? (sumber: A.12.5.2)
3) Identifikasi Bukti Audit
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
100
Universitas Indonesia
No Bukti Index langkah
1. Periksa log penggunaan sistem dan aplikasi TI, baik oleh
user maupun admin
1a, 1b
2. Laporan tim teknis terkait analisa log 1c
3. SOP enkripsi 2
4.
Periksa kesesuaian sistem TI dengan standar yang
ditetapkan:
a. Standar software,
b. Standar keamanan (security baseline),
c. Standar rilis aplikasi
d. Software AntiVirus
3,4
4) Kriteria : ISO/IEC27005 - Information Security Risk Management,
Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004,
NIST Special Publication 800-30:Risk Management Guide for Information
Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi
Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September
2003)
Setelah melakukan langkah audit diatas, maka auditor dapat melakukan
pendeteksian kelemahan berdasarkan hasil audit. hasil audit yang ada akan
digunakan untuk mengevaluasi risiko dari keamanan informasi pada entitas
tersebut.
c. Langkah Audit Tahap Penyelesaian
Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai
risiko keamanan informasi dijadikan input/masukan pada tahap penyelesaian.
Pada tahapan ini auditor melakukan hal-hal berikut ini:
1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan
dalam audit.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
101
Universitas Indonesia
2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada.
3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman
yang ada.
4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan
tanggapan atas temuan audit.
5. Membuat laporan audit.
5.4.3 Penetapan Kelemahan dan Ancaman
Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi
ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui kelemahan dari
organisasi dapat dianalisa dari hasil audit yang dilakukan pada tahap pelaksanaan
sebelumnya. Kemudian analisa ancaman didapat dari kelemahan yang dapat
dieksplore oleh threat agent sehingga menimbulkan risiko kerugian bagi organisasi.
Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup yang
ada dalam tahap pelaksanaan.
Penetapan kelemahan dan ancaman yang ada berasal dari aktivitas pengendalian yang
ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas pengendalian
tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen maupun secara
teknikal maka auditor dapat menetapkan hal tersebut sebagai sebuah kelemahan dan
ancaman.
5.4.4 Analisa Dampak
Analisa dampak dilakukan untuk memberikan nilai dampak atas kelemahan yang
sudah teridentifikasi sebelumnya. nilai dampak adalah dampak yang dapat
mempengaruhi proses pencapaian tujuan dari organisasi. Analisa dampak dapat
diperoleh dengan cara dua cara
a. Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada
organisasi yang diperiksa atau auditee.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
102
Universitas Indonesia
b. Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada
pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi
tersebut.
Analisis dampak diperoleh dari 31 indikator dampak. Indikator didapat dari
klausal-klausal yang ada dalam ISO27001 pada tiap aktivitas pengendalian.
Indikator ini digunakan untuk menghitung nilai dampak berdasarkan lima jenis
risiko ruang lingkup sesuai dengan tingkat relevansinya.seperti Tabel 5.13 ini.
Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko
Kode
risiko
ruang
lingkup
Jenis risiko Kode
Indikator
dampak
Deskripsi Indikator dampak
KR.1 Tata kelola keamanan
informasi
D.1.1 Information Security Policy
D.1.2 Kajian Information Security Policy
D.1.3 Kesadaran keamanan informasi
D.1.4 MOU dengan pihak eksternal
KR.2 pengelolaan risiko
keamanan informasi
D.2.1 Inventarisasi Aset
D.2.2 Klasifikasi Informasi
D.2.3 Monitoring risiko terkait TI
KR.3 Kerangka Kerja
Keamanan informasi
D.3.1 Compensating control terhadap sistem
baru
D.3.2 Back-up
D.3.3 Prosedur pertukaran informasi
D.3.4 Audit Log
D.3.5 Pelaporan kejadian dan kelemahan
keamanan informasi
D.3.6 Pemeliharaan aset TI
KR.4 Pengelolaan Aset
Informasi
D.4.1 Pelatihan keamanan informasi
D.4.2 Pelanggaran
D.4.3 Pemisahan tugas (job description)
D.4.4 Pengembalian aset dan penghapusan
hak ases
D.4.5 Akses ke ruang data center
D.4.6 Penanggulangan bencana
D.4.7 Prosedur keamanan peralatan di luar
lokasi kerja
D.4.8 Kebijakan pengendalian akses
D.4.9 Pengelolaan hak akses
D.4.10 Manajemen password
D.4.11 Update antivirus
D.4.12 Kehandalan antivirus
D.4.13 Sesi time-out
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
103
Universitas Indonesia
Kode
risiko
ruang
lingkup
Jenis risiko Kode
Indikator
dampak
Deskripsi Indikator dampak
D.4.14 Pengelolaan email
D.4.15 HAKI (Hak Kekayaan Intelektual)
D.4.16 Pertimbangan audit sistem informasi
KR.5 Teknologi dan
keamanan informasi
D.5.1 Enkripsi
D.5.2 Pengendalian akses terhadap kode
sumber program
D.5.3 Konten aplikasi
D.5.4 Pengembangan aplikasi
Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator dampak di
tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai rata-ratanya
(pembulatan keatas). Nilai dampak dari tiap risiko diklasifikasikan ke dalam skala
dampak pada Tabel 5.14 ini.
Tabel 5.14 Skala penilaian dampak
Nilai Klasifikasi Definisi
5 Extreme
> 80 to 100%
Permasalahan yang terjadi mengakibatkan layanan hingga tidak
dapat digunakan sama sekali.
4 Major
> 62 to 80%
Permasalahan yang terjadi dapat menyebabkan terhentinya layanan
secara tiba-tiba mengakibatkan kerusakan dan biaya yang mahal
namun dapat bertahan
3 Moderate
> 25 to 62%
Permasalahan yang terjadi mengganggu berjalannya layanan sehari-
hari dan tidak sampai berakibat terhentinya layanan, namun biaya
yang dibutuhkan tidak sedikit
2 Minor
> 5 to 25%
Permasalahan yang terjadi berpotensi mengganggu berjalannya
layanan di kemudian hari namun terbatas sehingga dibutuhkan
biaya
1 Insignificant
5% or less
Permasalahan yang terjadi tidak mengganggu berjalannya layanan
di kemudian hari sehingga biaya dapat diabaikan
Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni
melalui kuesioner dari auditor atas dampak dari risiko tiap ruang lingkup
pemeriksaan yang sudah teridentifikasi.
Rumus yang dapat digunakan untuk penilaian dampak dari masing-masing risiko
adalah sebagai berikut
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
104
Universitas Indonesia
Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan
Kode risiko ruang
lingkup
Jumlah Indikator Rumus nilai dampak
KR.1 4 (∑Nilai Indikator dampak risiko KR.1) / 4
KR.2 3 (∑Nilai Indikator dampak risiko KR.2) / 3
KR.3 6 (∑Nilai Indikator dampak risiko KR.3) / 6
KR.4 16 (∑Nilai Indikator dampak risiko KR.4) / 16
KR.5 4 (∑Nilai Indikator dampak risiko KR.5) / 4
Sedangkan auditor dapat memberikan juga nilai dampak dari tiap-tiap aktivitas
pengendalian yang telah terpilih dengan melihat nilai tiap indikator dampak yang
didapat melalui kuesioner. Relevansi aktivitas pengendalian dengan indikator
dampak untuk tiap jenis risiko dapat dilihat pada Tabel 5.16.
Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak
Kode risiko
ruang lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
dampak
Jumlah
Indikator
KR.1 A.5.1 Mendokumentasikan
information security
policy
D.1.1 1
A.5.2 Kajian information
security Policy
D.1.2 1
A.6.1 Organisasi internal D.1.3 1
A.6.2 Organisasi eksternal D.1.4 1
KR.2
A.7.1
Tanggung jawab
terhadap aset
D.2.1, D.2.3 2
A.7.2 Klasifikasi informasi D.2.2 1
KR.3
A.10.2
Manajemen Pelayanan
Jasa Pihak Ketiga
D.3.4, D.3.5 2
A.10.3
Perencanaan dan
Keberterimaan Sistem
D.3.1 1
A.10.5 Back-up D.3.2 1
A.10.8 Pertukaran informasi D.3.3 1
A.10.10 Pemantauan D.3.4 1
A.13.1
Pelaporan kejadian
dan kelemahan
D.3.5 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
105
Universitas Indonesia
Kode risiko
ruang lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
dampak
Jumlah
Indikator
keamanan informasi
A.13.2
Manajemen insiden
keamanan informasi
dan perbaikan
D.3.6 1
KR.4
A.8.2 Selama bekerja
D.4.1, D.4.2,
D.4.3
3
A.8.3
Pengakhiran atau
perubahan pekerjaan
D.4.4 1
A.9.1 Area yang aman D.4.5, D.4.6 2
A.9.2 Keamanan Peralatan D.4.7 1
A.11.1
Persyaratan bisnis
untuk pengendalian
akses
D.4.8 1
A.11.2
Manajemen akses
pengguna
D.4.9, D.4.10 2
A.11.3
Tanggung jawab
pengguna
D.4.10 1
A.11.4
Pengendalian akses
jaringan
D.4.10, D.4.11,
D.4.12
3
A.11.5
Pengendalian akses
sistem operasi
D.4.13 1
A.11.6
Pengendalian akses
aplikasi dan informasi
D.4.10, D.4.11,
D.4.12,D.4.14
4
A.15.1
Kesesuaian dengan
persyaratan umum
D.4.15 1
A.15.3
Pertimbangan audit
sistem informasi
D.4.16 1
KR.5
A.12.2
Pengolahan yang
benar dalam aplikasi
D.5.3, D.5.4 2
A.12.3
Pengendalian dengan
cara kriptografi
D.5.1 1
A.12.4 Keamanan sistem file D.5.2 1
A.12.5
Keamanan dalam
proses pengembangan
dan pendukung
D.5.4 1
Penilaian dampak atas masing-masing aktivitas pengendalian yakni dengan
menjumlahkan nilai dampak dari masing-masing indikator kemudian dibagi
dengan jumlah jenis indikator setiap aktivitas pengendalian.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
106
Universitas Indonesia
5.4.5 Analisa Likelihood (kecenderungan)
Analisa likelihood digunakan untuk mengetahui frekuensi terjadinya kejadian
yang diidentifikasi terjadinya risiko. Analisa likelihood diperoleh oleh auditor
dengan dua cara yakni:
a. Cara kualitatif : auditor memperoleh nilai likelihood dari hasil wawancara
dengan pihak-pihak yang mengelola keamanan informasi di organisasi
tersebut.
b. Cara kuantitatif : auditor memperoleh nilai likelihood dari hasil kuesioner yang
diberikan auditor kepada pihak-pihak yang mengelola keamanan informasi di
organisasi.
Analisis likelihood diperoleh dari 31 indikator likelihood yang digunakan untuk
menghitung nilai likelihood berdasarkan 5 jenis risiko sesuai dengan tingkat
relevansinya seperti Tabel 5.17.
Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko
Kode risiko
ruang lingkup
Jenis risiko Kode Indikator Deskripsi Indikator
Likelihood
KR.1 tata kelola keamanan
informasi
L.1.1 Information Security Policy
L.1.2 Kajian Information
Security Policy
L.1.3 Kesadaran keamanan
informasi
L.1.4 MOU dengan pihak
eksternal
KR.2 Pengelolaan risiko
keamanan informasi
L.2.1 Inventarisasi Aset
L.2.2 Klasifikasi Informasi
L.2.3 Monitoring risiko terkait TI
KR.3 Kerangka Kerja Keamanan
informasi
L.3.1 Compensating control
terhadap sistem baru
L.3.2 Back-up
L.3.3 Prosedur pertukaran
informasi
L.3.4 Audit Log
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
107
Universitas Indonesia
Kode risiko
ruang lingkup
Jenis risiko Kode Indikator Deskripsi Indikator
Likelihood
L.3.5 Pelaporan kejadian dan
kelemahan keamanan
informasi
L.3.6 Pemeliharaan aset TI
KR.4 Pengelolaan Aset
Informasi
L.4.1 Pelatihan keamanan
informasi
L.4.2 Pelanggaran
L.4.3 Pemisahan tugas (job
description)
L.4.4 Pengembalian aset dan
penghapusan hak ases
L.4.5 Akses ke ruang data center
L.4.6 Penanggulangan bencana
L.4.7 Prosedur keamanan
peralatan di luar lokasi
kerja
L.4.8 Kebijakan pengendalian
akses
L.4.9 Pengelolaan hak akses
L.4.10 Manajemen password
L.4.11 Update antivirus
L.4.12 Kehandalan antivirus
L.4.13 Sesi time-out
L.4.14 Pengelolaan email
L.4.15 HAKI (Hak Kekayaan
Intelektual)
L.4.16 Pertimbangan audit sistem
informasi
KR.5 Teknologi dan keamanan
informasi
L.5.1 Enkripsi
L.5.2 Pengendalian akses
terhadap kode sumber
program
L.5.3 Konten aplikasi
L.5.4 Pengembangan aplikasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
108
Universitas Indonesia
Hasil analis likelihood diperoleh dari penjumlahan total skor dari indikator faktor
likelihood kemudian dihitung nilai rata-ratanya (pembulatan keatas). Nilai likelihood
dari tiap risiko diklasifikasikan ke dalam skala dampak pada Tabel 5.18 ini.
Tabel 5.18 Skala penilaian likelihood
Nilai Klasifikasi Definisi
5 Almost
certain
> 80 to 100%
Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali.
Alternatif sangat diperlukan dan tindakan mitigasi harus segera
dilakukan
4 Likely
> 62 to 80%
Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif
akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan
3 Moderate
> 25 to 62%
Berlangsung terus-menerus namun sudah ada kesadaran untuk
melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus
mempertimbangkan tindakan mitigasi.
2 Unlikely
> 5 to 25%
Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada
kemungkinan akan mengalaminya di masa depan. Sehingga strategi
saat ini harus mengatasi insiden yang terjadi.
1 Rare
5% or less
Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah
dan cepat.
Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni
melalui kuesioner dari auditor atas likelihood dari risiko tiap ruang lingkup
pemeriksaan yang sudah teridentifikasi. Rumus yang dapat digunakan untuk
penilaian dampak dari masing-masing risiko adalah sebagai berikut.
Tabel 5.19 Penilaian Likelihood tiap jenis risiko
Kode risiko ruang
lingkup
Jumlah
Indikator
Rumus
KR.1 2 (∑Nilai Indikator likelihood risiko KR.1) / 4
KR.2 3 (∑Nilai Indikator likelihood risiko KR.2) / 3
KR.3 6 (∑Nilai Indikator likelihood risiko KR.3) / 6
KR.4 16 (∑Nilai Indikator likelihood risiko KR.4) / 16
KR.5 4 (∑Nilai Indikator likelihood risiko KR.5) / 4
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
109
Universitas Indonesia
Auditor dapat memberikan juga penilaian atas likelihood untuk masing-masing
aktivitas pengendalian yang didapat dengan cara kuesioner. Relevansi aktivitas
pengendalian dengan indikator likelihood untuk tiap jenis risiko dapat dilihat pada
Tabel 5.20.
Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood
Kode risiko
ruang lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
Likelihood
Jumlah
Indikator
KR.1 A.5.1 Mendokumentasikan
information security
policy
L.1.1 1
A.5.2 Kajian information
security Policy
L.1.2 1
A.6.1 Organisasi internal L.1.3 1
A.6.2 Organisasi eksternal L.1.4 1
KR.2
A.7.1
Tanggung jawab
terhadap aset
L.2.1, L.2.3 2
A.7.2 Klasifikasi informasi L.2.2 1
KR.3
A.10.2
Manajemen Pelayanan
Jasa Pihak Ketiga
L.3.4, L.3.5 2
A.10.3
Perencanaan dan
Keberterimaan Sistem
L.3.1 1
A.10.5 Back-up L.3.2 1
A.10.8 Pertukaran informasi L.3.3 1
A.10.10 Pemantauan L.3.4 1
A.13.1
Pelaporan kejadian
dan kelemahan
keamanan informasi
L.3.5 1
A.13.2
Manajemen insiden
keamanan informasi
dan perbaikan
L.3.6 1
KR.4 A.8.2 Selama bekerja L.4.1, L.4.2, L.4.3 3
A.8.3
Pengakhiran atau
perubahan pekerjaan
L.4.4 1
A.9.1 Area yang aman L.4.5, L.4.6 2
A.9.2 Keamanan Peralatan L.4.7 1
A.11.1
Persyaratan bisnis
untuk pengendalian
akses
L.4.8 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
110
Universitas Indonesia
Kode risiko
ruang lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
Likelihood
Jumlah
Indikator
A.11.2
Manajemen akses
pengguna
L.4.9, L.4.10 2
A.11.3
Tanggung jawab
pengguna
L.4.10 1
A.11.4
Pengendalian akses
jaringan
L.4.10, L.4.11,
L.4.12
3
A.11.5
Pengendalian akses
sistem operasi
L.4.13 1
A.11.6
Pengendalian akses
aplikasi dan informasi
L.4.10, L.4.11,
L.4.12,L.4.14
4
A.15.1
Kesesuaian dengan
persyaratan umum
L.4.15 1
A.15.3
Pertimbangan audit
sistem informasi
L.4.16 1
KR.5
A.12.2
Pengolahan yang
benar dalam aplikasi
L.5.3, L.5.4 2
A.12.3
Pengendalian dengan
cara kriptografi
L.5.1 1
A.12.4 Keamanan sistem file L.5.2 1
A.12.5
Keamanan dalam
proses pengembangan
dan pendukung
L.5.4 1
Penilaian likelihood atas masing-masing aktivitas pengendalian yakni dengan
menjumlahkan nilai likelihood dari masing-masing aktivitas pengendalian
kemudian dibagi dengan jumlah jenis indikator setiap aktivitas pengendalian.
5.4.6 Penetapan Tingkat Risiko
Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan
analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari
pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut.
Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan
melakukan perkalian nilai dampak dengan nilai kecenderungan dari masing-
masing risiko.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
111
Universitas Indonesia
Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko
Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil
pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas
pengendalian.
Tingkat risiko yang ada pada Gambar 5.4 memiliki arti, maksud dari masing-
masing tingkatan risiko adalah sebagai berikut:
Tabel 5.21 Skala Risiko
Nilai
Risiko
Deskripsi risiko
Sangat
tinggi
(Very
High)
Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai banyak efek merugikan yang sangat besar pada
operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.
Tinggi
(high)
Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai beberapa efek merugikan yang besar pada
operasi organisasi, aset organisasi, individu, organisasi lain, atau negara
Sedang
(medium)
Cukup berisiko yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai efek merugikan yang serius pada operasi
organisasi, aset organisasi, individu, organisasi lain, atau negara
Rendah
(low)
Berisiko rendah yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai efek merugikan yang terbatas pada operasi
organisasi, aset organisasi, individu, organisasi lain, atau negara.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
112
Universitas Indonesia
5.4.7 Penentuan prioritas risiko
Hasil dari proses penetapan risiko dapat memberikan arahan dalam menentukan
prioritas risiko dari ancaman yang muncul dan harus mendapatkan perhatian dari
organisasi. Jenis risiko yang harusnya mendapat perhatian utama adalah risiko
yang memiliki skala Very high kemudian dilanjutkan pada skala high, medium dan
low . Pemeriksa dapat melihat prioritas risiko dari tiap ruang lingkup yang ada
selain itu pemeriksa juga dapat melihat prioritas risiko di masing-masing indikator
yang ada.
Tujuan dari penentuan prioritas risiko adalah untuk mengidentifikasi risiko yang akan
diprioritaskan untuk ditangani sehingga memudahkan pengambil keputusan dalam
menentukan fokus perhatian yang utama dalam pengelolaan risiko.
5.4.8 Analisis Rekomendasi Kontrol
Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi
kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut ke
tingkat yang dapat diterima oleh organisasi.
Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko,
kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi
level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol
dibuat berdasarkan hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input
kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko. Dari
hasil inilah akan dihasilkan daftar rekomendasi kontrol.
Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko
yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol
keamanan yang direkomendasikan.
5.4.9 Mitigasi Risiko
Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang
secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
113
Universitas Indonesia
berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan
hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi
kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol
yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan
dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.
5.4.10 Risiko Deteksi
Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah
daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat
mendeteksi salah saji material pada saat melaksanakan prosedur substantif.
Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedue
substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas
pelaksanaan prosedur substantif.
Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko
residual maka semakin rendah risiko deteksi. Demikian sebaliknya.
Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat
ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual
adalah sebagai berikut:
Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK
Risiko Residual Risiko Deteksi
Sangat tinggi (Very High) Rendah (low)
Tinggi (high) Sedang (medium)
Sedang (medium) Tinggi (high)
Rendah (low) Sangat tinggi (Very High)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
114
Universitas Indonesia
5.5 Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko
Keamanan Informasi
5.5.1 Kerangka kerja penilaian risiko keamanan informasi
Kerangka kerja ini digunakan sebagai panduan pemeriksa BPK RI untuk menilai
keamanan informasi di pemerintah daerah.
Kerangka kerja terdiri dari beberapa bagian, yakni :
a. Formulir pengisian penilaian risiko keamanan informasi
b. Tahapan penilaian risiko keamanan informasi
c. Cara pengisian formulir penilaian risiko keamanan informasi
Kerangka kerja ini juga dilengkapi dengan program pemeriksaan untuk
mengidentifikasi kelemahan dan ancaman terkait keamanan informasi pengelolaan
keuangan dalam suatu organisasi pemerintah daerah sehingga menimbulkan risiko
yang berdampak pada laporan keuangan pemerintah daerah tersebut.
Selain itu kerangka kerja ini juga menyediakan alat bantu kuesioner sehingga
memudahkan pemeriksa untuk menilai secara kuantitatif dari dampak dan
kecenderungan atas pengelolaan keamanan informasi di organisasi pemerintah
daerah tersebut berdasarkan indikator-indikator yang telah diidentifikasi pada
analisa sebelumnya.
Formulir pengisian penilaian risiko keamanan informasi untuk pengelolaan
keuangan pemerintah daerah terdiri dari beberapa bagian yakni:
a. Kolom formulir terdiri dari 19 kolom, kolom 1 sampai dengan kolom 10
adalah seperti gambar berikut ini:
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
115
Universitas Indonesia
Kode
ruang
lingkup
Ruang lingkup
Kode
aktivitas
pengendalia
n
Aktivitas
pengendalia
n
Ref.
Program
Pemeriksaa
n
Kerawanan Ancaman
Dampak Kecenderungan Nilai Risiko1 2 3 4 5 6 7 8 9 10
Inheren
Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja
Kolom 1 dan 2 berisi informasi mengenai ruang lingkup yang dipilih oleh
pemeriksa BPK untuk menilai keamanan informasi terkait pengelolaan
keuangan pemerintah daerah dengan mempertimbangkan penilaian yang
dilakukan sebelumnya. Sedangkan kolom 3, 4 dan 5 adalah informasi
mengenai aktivitas pengendalian yang dinilai dalam penilaian risiko keamanan
informasi.
Hasil dari identifikasi kelemahan berdasarkan langkah audit pada kolom 1 s/d 5
dipaparkan dalam kolom 6 dan 7. Kolom 6 dan 7 berisi informasi kerawanan
dan ancaman yang didapat dari setiap penilaian atas praktik-praktik
pengendalian ISO 27001 terkait keamanan informasi dalam pengelolaan
keuangan pemerintah daerah.
Kolom 8 s/d 10 berisi nilai inheren risk yang dimiliki oleh pemerintah daerah
tersebut dimana hasil kolom 8 s/d 10 didapat melalui kuesioner atau
wawancara dengan menilai setiap aktivitas dan ruang lingkup berdasarkan
indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20.
b. Kolom 11 sampai dengan 19 berisi kolom rekomendasi kontrol, residual risk,
strategi mitigasi, rencana kerja, target penyelesaian, risiko deteksi dan strategi
pemeriksaan umum yang dapat dilihat pada Gambar 5.6.
Rekomendasi Kontrol
Strateg
i
Mitigas
i risiko
Rencana KerjaTarget
PenyelesaianRisiko Deteksi
Strategi
Pemeriksaan
Umum
Dampak Kecenderungan Nilai Risiko11 12 13 14 15 16 17 18 19
Residual
Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja
Kolom 11 berisi informasi mengenai rekomendasi kontrol yang diperlukan oleh
organisasi untuk mengatasi kelemahan dan ancaman yang mungkin muncul dari
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
116
Universitas Indonesia
setiap penilaian praktik-praktik dari aktivitas pengendalian pada ISO 27001 terkait
keamanan informasi pengelolaan keuangan pemerintah daerah.
Kolom 12 sampai dengan kolom 14 berisi nilai residual risk yang dimiliki oleh
pemerintah daerah tersebut dimana hasil kolom 12 s/d 14 didapat melalui
kuesioner atau wawancara dengan menilai setiap aktivitas dan ruang lingkup
berdasarkan indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20.
Kolom 15, 16 dan 17 berisi strategi mitigasi risiko, rencana kerja dan target
penyelesaian dengan melihat nilai akhir risiko yakni residual risk dari setiap
aktivitas pengendalian.
Kolom 18 berisi risiko deteksi. Risiko deteksi ini berkaitan dengan risiko
pemeriksaan keuangan pemerintah daerah dimana risiko deteksi adalah risiko
bahwa pemeriksa tidak dapat mendeteksi salah saji material pada saat
melaksanakan prosedur substantif. Semakin tinggi risiko deteksi, semakin rendah
efektifitas pelaksanaan prosedue substantif. Sebaliknya, semakin rendah risiko
deteksi, semakin tinggi efektifitas pelaksanaan prosedur substantif.
Kolom 19 berisi strategi pemeriksaa umum. Kolom ini berkaitan dengan strategi
pemeriksaan selanjutnya bagi pemeriksa BPK RI yang dilihat dari nilai risiko
deteksi. Semakin rendah nilai risiko deteksi maka pengujian substantif terhadap
aktivitas tersebut semakin tinggi juga begitu juga sebaliknya.
c. Hasil penilaian pada kolom 1 sampai dengan 19 didapat dari langkah audit
yang ada pada program audit. program audit berisi tujuan audit, langkah audit,
bukti audit selain itu dalam program audit disediakan kolom yang berisi aspek
keamanan informasi dan level dari setiap langkah audit. berikut adalah gambar
formulir program audit yang ada dalam kerangka kerja.
Reff
Ruang
lingkup
No Program
Pemeriksa
an
Bukti
Audit
Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
Gambar 5. 7 Formulir program audit dalam kerangka kerja
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
117
Universitas Indonesia
Aspek keamanan informasi terdiri dari tiga macam yakni:
a. C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan
kerahasian data dan informasi.
b. I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa
data tidak akan boleh berubah tanpa ijin yang berwenang.
c. A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa
data tersedia ketika dibutuhkan.
Sedangkan setiap level yang dapat diberikan untuk setiap langkah audit adalah:
Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni :
a. Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih
belum lengkap dan bersifat adhock bergantung pada permasalahan yang
muncul atau kondisi tertentu yang sedang dihadapi.
b. Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah
diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang hampir
sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam
perencanaan.
c. Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang
diterapkan pada setiap proses kerja yang berhubungan dengan keamanan
informasi dan sudah ada standar kontrol keamanan informasi yang akan
dilakukan.
d. Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan
dan kontrol keamanan informasi yang diterapkan.
e. Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap
prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.
Rincian kerangka kerja yang dirancang pada penelitian ini dapat dilihat pada
Lampiran 3, 3.1 dan 3.2.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
118
Universitas Indonesia
5.6 Uji Publik
Kerangka kerja penilaian risiko ini akan diuji oleh pemeriksa BPK RI untuk
menilai risiko keamanan informasi di Pemerintah Daerah Kota Tangerang.
Berikut hasil uji publik yang telah dilakukan oleh pemeriksa BPK
5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi
Hasil uji publik yang telah dilakukan yakni berupa hasil penilaian risiko
keamanan informasi oleh auditor BPK RI di Pemerintah Daerah Kota Tangerang.
Uji kerangka kerja dilakukan secara bersamaan dengan uji alat bantu. Hasil yang
ditunjukkan oleh alat bantu audit akan mendukung proses penilaian risiko dari
proses kerja Pemerintah Daerah Kota Tangerang. Hasil penilaian risiko keamanan
informasi ditunjukkan dengan pelaksanaan formulir penilaian risiko yakni
meliputi penetapan kelemahan dan ancaman kemudian dilakukan pehitungan
risiko berdasarkan kuesioner yang telah dirancang sampai dengan penetapan
kontrol yang dibutuhkan dan strategi pemeriksaan laporan keungan secara umum.
Berikut adalah hasil penilaian risiko keamanan informasi Pemerintah Daerah Kota
Tangerang
a. Hasil pelaksanaan program audit
Pemeriksa BPK RI menjalankan langkah audit di program pemeriksaan yang
ada di kerangka kerja. Pelaksanaan program pemeriksaan yang ada di kerangka
kerja dapat dilihat pada Lampiran 4. Lampiran 4 memperlihatkan akun-akun
yang terkait pada proses keamanan informasi di organisasi selain itu jenis
asersi pengujian yang dibutuhkan untuk setiap program pemeriksaan dan
leveling setiap proses keamanan informasi yang ada di organisasi tersebut.
b. Hasil Penilaian Risiko
Pemeriksa mengidentifikasi nilai inheren risiko berdasarkan hasil penyebaran
kuesioner kepada para pemilik aset informasi dan pemilik risiko yakni Bidang
aset, anggaran, akuntansi di Dinas Pengelolaan Keuangan dan Aset Daerah
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
119
Universitas Indonesia
Pemerintah Kota Tangerang dan Dinas Informasi dan Komunikasi Pemerintah
Kota Tangerang.
Kuesioner yang diberikan berisi indikator-indikator untuk penilaian tingkat
dampak dan likelihood dari masing-masing ruang lingkup dan aktivitas.
Hasil kuesioner dapat dilihat pada Lampiran 5, sedangkan hasil risiko untuk
tiap ruang lingkup yang ada dapat dilihat pada tabel 5.23.
Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup
Risiko Inheren per Ruang Lingkup
RI
D.1.1 5 L.1.1 3
D.1.2 5 L.1.2 2
D.1.3 4 L.1.3 4
D.1.4 5 L.1.4 2
Rata2 5 3
Nilai Risiko High
R2
D.2.1 5 L.2.1 2
D.2.2 5 L.2.2 2
D.2.3 5 L.2.3 2
Rata2 5 2
Nilai Risiko High
R3
D.3.1 5 L.3.1 2
D.3.2 5 L.3.2 2
D.3.3 4 L.3.3 2
D.3.4 3 L.3.4 2
D.3.5 4 L.3.5 3
D.3.6 4 L.3.6 4
Rata2 4 2
Nilai Risiko Medium
R4
D.4.1 4 L.4.1 4
D.4.2 4 L.4.2 2
D.4.3 5 L.4.3 3
D.4.4 4 L.4.4 1
D.4.5 5 L.4.5 3
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
120
Universitas Indonesia
Risiko Inheren per Ruang Lingkup
D.4.6 5 L.4.6 1
D.4.7 4 L.4.7 5
D.4.8 4 L.4.8 2
D.4.9 4 L.4.9 4
D.4.10 5 L.4.10 3
D.4.11 4 L.4.11 2
D.4.12 4 L.4.12 3
D.4.13 3 L.4.13 5
D.4.14 5 L.4.14 3
D.4.15 4 L.4.15 2
D.4.16 2 L.4.16 1
Rata2 4 3
Nilai Risiko Medium
R5
D.5.1 3 L.5.1 4
D.5.2 5 L.5.2 2
D.5.3 5 L.5.3 2
D.5.4 4 L.5.4 2
Rata2 4 3
Nilai Risiko High
Tabel 5.23 menunjukkan bahwa ruang lingkup dengan kode RI yang
membahas tentang Tata Kelola Keamanan informasi, kode R2 yang membahas
Pengelolaan Risiko Keamanan informasi, kode R5 yang membahas Teknologi
dan Keamanan Informasi memiliki risiko High, yang artinya menjadi perhatian
bagi organisasi yang diperiksa dan juga pemeriksa BPK RI. Sedangkan ruang
lingkup dengan kode R3 yang membahas mengenai Kerangka Kerja Keamanan
Informasi dan ruang lingkup dengan kode R4 yang membahas mengenai
Pengelolaan Aset Informasi memiliki risiko Medium, yang artinya risiko tidak
terlalu berpengaruh bagi proses bisnis organisasi yakni terkait pengelolaan
keuangan akan tetapi perlu mendapat perhatian dari organisasi dan pemeriksa
BPK RI.
Sedangkan hasil kuesioner dapat dilihat juga nilai risiko inheren untuk tiap
aktivitas. Nilai risiko dari tiap aktivitas ditunjukkan pada Tabel 5.24.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
121
Universitas Indonesia
Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas
Kode
Aktivitas
Pengendali
an
Proses
Kode
Indikator
Dampak
Kode
Indikator
Likelihood Dampak
Likeli
hood Risiko
A.5.1
Mendokumentasikan
information security
policy
D.1.1 L.1.1
5 3
High
A.5.2 Kajian information
security Policy D.1.2 L.1.2
5 2 High
A.6.1 Organisasi internal D.1.3 L.1.3 4 4 High
A.6.2 Organisasi eksternal D.1.4 L.1.4 5 2 High
A.7.1 Tanggung jawab
terhadap aset
D.2.1,
D.2.3 L.2.1, L.2.3
5 2 High
A.7.2 Klasifikasi informasi D.2.2 L.2.2 5 2 High
A.10.2
Manajemen
Pelayanan Jasa Pihak
Ketiga
D.3.4,
D.3.5 L.3.4, L.3.5
4 3 High
A.10.3 Perencanaan dan
Keberterimaan Sistem D.3.1 L.3.1
5 2 High
A.10.5 Back-up D.3.2 L.3.2 5 2 High
A.10.8 Pertukaran informasi D.3.3 L.3.3 4 2 Medium
A.10.10 Pemantauan D.3.4 L.3.4 3 2 Medium
A.13.1
Pelaporan kejadian
dan kelemahan
keamanan informasi
D.3.5 L.3.5
4 3 High
A.13.2
Manajemen insiden
keamanan informasi
dan perbaikan
D.3.6 L.3.6
4 4 High
A.8.2 Selama bekerja
D.4.1,
D.4.2,
D.4.3
L.4.1, L.4.2,
L.4.3 4 3
High
A.8.3 Pengakhiran atau
perubahan pekerjaan D.4.4 L.4.4
4 1 Medium
A.9.1 Area yang aman D.4.5,
D.4.6 L.4.5, L.4.6
5 2 High
A.9.2 Keamanan Peralatan D.4.7 L.4.7 4 5 Very High
A.11.1 Persyaratan bisnis
untuk pengendalian D.4.8 L.4.8
4 2 Medium
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
122
Universitas Indonesia
Kode
Aktivitas
Pengendali
an
Proses
Kode
Indikator
Dampak
Kode
Indikator
Likelihood Dampak
Likeli
hood Risiko
akses
A.11.2 Manajemen akses
pengguna
D.4.9,
D.4.10
L.4.9,
L.4.10 4 3 High
A.11.3 Tanggung jawab
pengguna D.4.10 L.4.10
5 3 High
A.11.4 Pengendalian akses
jaringan
D.4.10,
D.4.11,
D.4.12
L.4.10,
L.4.11,
L.4.12 4 3
High
A.11.5 Pengendalian akses
sistem operasi D.4.13 L.4.13
3 5 High
A.11.6 Pengendalian akses
aplikasi dan informasi
D.4.10,
D.4.11,
D.4.12,D.
4.14
L.4.10,
L.4.11,
L.4.12,L.4.1
4 4 3
High
A.15.1 Kesesuaian dengan
persyaratan umum D.4.15 L.4.15
4 2 Medium
A.15.3 Pertimbangan audit
sistem informasi D.4.16 L.4.16
2 1 low
A.12.2 Pengolahan yang
benar dalam aplikasi
D.5.3,
D.5.4 L.5.3, L.5.4
5 2 High
A.12.3 Pengendalian dengan
cara kriptografi D.5.1 L.5.1
3 4 High
A.12.4 Keamanan sistem file D.5.2 L.5.2 5 2 High
A.12.5
Keamanan dalam
proses pengembangan
dan pendukung
D.5.4 L.5.4
4 2 Medium
Tabel 5.24 menujukkan bahwa aktivitas yang berhubungan dengan keamanan
peralatan dengan kode A.9.2 memiliki risiko Very High yang mana
ditunjukkan dengan indikator keamanan peralatan pada saat diluar lokasi kerja.
Organisasi Pemerintah Kota Tangerang belum memiliki aturan atau kebijakan
mengenai pengelolaan aset informasi/peralatan pengolah informasi jika
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
123
Universitas Indonesia
digunakan di luar lokasi kerja sedangkan dampak bagi organisasi tinggi
sehingga risiko yang dihasilkan juga sangat tinggi.
Aktivitas dengan kode A.15.3 yakni pertimbangan audit sistem informasi
memiliki risiko Low yang mana menunjukkan bahwa risiko pada akivitas ini
tidak terlalu berpengaruh terhadap proses bisnis organisasi sehingga tidak
menjadi perhatian utama bagi organisasi dan pemeriksa BPK RI.
Aktivitas Pengakhiran atau perubahan pekerjaan (A.8.3), Pertukaran Informasi
(A.10.8), Pemantauan (A.10.10), Persyaratan bisnis untuk pengendalian akses
(A.11.1), Kesesuaian dengan persyaratan umum (A.15.1) dan Keamanan dalam
proses pengembangan dan pendukung (A.12.5) memiliki risiko Medium yang
menunjukkan bahwa dampak dari risiko aktivitas tersebut cukup berpengaruh
bagi organisasi akan tetapi tetap harus mendapat perhatian organisasi dan
pemeriksa.
Sedangkan aktivitas-aktivitas yang lainnya memiliki risiko High yang
menunjukkan bahwa peristiwa ancaman dapat diperkirakan mempunyai
beberapa efek merugikan yang besar pada operasi organisasi, aset organisasi,
individu, organisasi lain, atau negara sehingga harus mendapat perhatian bagi
Pemerintah Kota Tangerang dan Pemeriksa BPK RI.
Hasil penilaian risiko inheren yang telah diidentifikasi dijadikan pertimbangan
untuk penentuan kontrol yang dibutuhkan oleh setiap aktivitas yang ada.
Kemudian dari kontrol yang ada maka ditentukan nilai risiko residual dari
setiap aktivitas. Nilai residual didapat dari wawancara dengan pejabat yang ada
di Pemerintah Kota Tangerang.
Nilai risiko residual adalah sebagai berikut yang dipaparkan dalam Tabel 5.25
ini.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
124
Universitas Indonesia
Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas
Kode
Aktivitas
Pengendalian
Proses Damp
ak Likelihood Risiko
A.5.1 Mendokumentasikan information
security policy Major Unlikely Medium
A.5.2 Kajian information security Policy Major Unlikely Medium
A.6.1 Organisasi internal Major Unlikely Medium
A.6.2 Organisasi eksternal Major Unlikely Medium
A.7.1 Tanggung jawab terhadap aset Extre
me Rare Medium
A.7.2 Klasifikasi informasi Extre
me Rare Medium
A.10.2 Manajemen Pelayanan Jasa Pihak
Ketiga
Moder
ate Unlikely Medium
A.10.3 Perencanaan dan Keberterimaan
Sistem
Extre
me Rare Medium
A.10.5 Back-up Major Unlikely Medium
A.10.8 Pertukaran informasi Moder
ate Rare Low
A.10.10 Pemantauan Moder
ate Rare Low
A.13.1 Pelaporan kejadian dan kelemahan
keamanan informasi Major Unlikely Medium
A.13.2 Manajemen insiden keamanan
informasi dan perbaikan Major Unlikely Medium
A.8.2 Selama bekerja Moder
ate Unlikely Medium
A.8.3 Pengakhiran atau perubahan
pekerjaan Major Rare Medium
A.9.1 Area yang aman Major Unlikely Medium
A.9.2 Keamanan Peralatan Major Moderate High
A.11.1 Persyaratan bisnis untuk
pengendalian akses
Moder
ate Rare Low
A.11.2 Manajemen akses pengguna Major Unlikely Medium
A.11.3 Tanggung jawab pengguna Major Unlikely Medium
A.11.4 Pengendalian akses jaringan Major Unlikely Medium
A.11.5 Pengendalian akses sistem operasi Moder
ate Likely High
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
125
Universitas Indonesia
Kode
Aktivitas
Pengendalian
Proses Damp
ak Likelihood Risiko
A.11.6 Pengendalian akses aplikasi dan
informasi
Moder
ate Moderate Medium
A.15.1 Kesesuaian dengan persyaratan
umum
Moder
ate Moderate Medium
A.15.3 Pertimbangan audit sistem informasi Insinig
hficant Rare Low
A.12.2 Pengolahan yang benar dalam
aplikasi Major Unlikely Medium
A.12.3 Pengendalian dengan cara kriptografi Moder
ate Unlikely Medium
A.12.4 Keamanan sistem file Moder
ate Unlikely Medium
A.12.5 Keamanan dalam proses
pengembangan dan pendukung
Moder
ate Rare Low
Tabel 5.25 memperlihatkan bahwa risiko residual untuk aktivitas pengendalian
akses sistem operasi (kode A.11.5) adalah High sedangkan untuk risiko
inherennya adalah high juga. Hal ini tidak ada perubahan status risiko
walaupun sudah terdapat kontrol-kontrol yang akan dan sudah diterapkan oleh
pemerintah Kota Tangerang. Kondisi ini disebebakan karena untuk alasan
kemudahan operasional maka nilai kecenderunganya masih cukup tinggi
terjadi.
c. Hasil pengisian formulir penilaian risiko
Pemeriksa BPK RI setelah melaksanakan program audit, maka dilanjutkan
dengan mengisi formulir penilaian risiko yang ada dalam kerangka kerja. Dasar
pengisian formulir adalah program pemeriksaan yang telah dilakukan. Formulir
berisi hasil identifikasi kelemahan, ancaman, risiko dan kontrol yang
dibutuhkan untuk setiap risiko tersebut.
Formulir penilaian risiko untuk Pemerintah Kota Tangerang dapat dilihat pada
Lampiran 6. Lampiran 6 adalah daftar kondisi tiap aktivitas yang ada dalam
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
126
Universitas Indonesia
ISO 27001, dimana aktivitas tersebut sudah dipetakan ke dalam ruang lingkup
pemeriksaan.
Setiap aktivitas akan diidentifikasi kelemahan, ancaman, risiko baik inheren
maupun residual selain itu pemeriksa mengidentifikasi kontrol dan rencana
kerja yang dibutuhkan untuk mengatasi risiko tersebut.
Formulir penilaian risiko ini juga dijadikan panduan dalam pemeriksaan
laporan keuangan karena setiap risiko aktivitas akan memiliki risiko deteksi
yang berbeda-beda untuk pelaksanaan pemeriksaan laporan keuangan.
Saat uji publik kerangka kerja penilaian risiko keamanan informasi dilakukan,
auditor memberikan masukan untuk penambahan penjelasan di kerangka kerja
kerja yakni pada bagian startegi mitigasi risiko.
Strategi mitigasi risiko pada kerangka kerja ada dua yakni Accept dan Not
accept. Pemeriksa ingin terdapat penjelasan mengenai ketentuan risiko
diAccept atau Not Accept. Berikut adalah ketentuan tambahan dalam strategi
mitigasi risiko kerangka kerja penilaian risiko keamanan informasi untuk
strategi Not accept, yakni
1. Terdapat perlindungan hukum yang memadai mencakup regulasi dan/atau
kontrak/perjanjian
2. Pemilik risiko dapat memastikan dengan tingkat keyakinan diatas 85%
bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada.
3. Maksimal memiliki tingkat konsekuensi pada level yang ditetapkan untuk di
Not Accept sesuai dengan toleransi dan selera risiko instansi yang telah
ditetakan.
5.7 Alat bantu Penilaian Risiko
Alat bantu penilaian risiko keamanan informasi akan diterapkan dalam bentuk
daftar pertanyaan yakni program pemeriksaan. Program pemeriksaan akan dibuat
dalam struktur yang memiliki tingkatan (leveling) untuk mengukur kelengkapan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
127
Universitas Indonesia
baik secara dokumen atau pengendalian yang telah dilakukan untuk menunjang
keamanan informasi di organisasi tersebut.
Program pemeriksaan yang dibuat untuk mendukung proses assesment yang ada
pada kerangka kerja diatas.
Alat bantu ini juga menyediakan formulir penilaian risiko keamanan informasi
bagi pemeriksa BPK RI sehingga data penilaian risiko dapat tersimpan dengan
baik dan dapat dijadikan rujukan bagi pemeriksaan selanjutnya.
5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi
Aplikasi yang dibangun adalah aplikasi web based sehingga memudahkan para
pemeriksa untuk mengoperasikan aplikasi ini di lokasi pemeriksaan yang tersebar
dibeberapa daerah.
Gambar 5.8 adalah halaman depan untuk aplikasi risk assesment simulator yang
telah diujicobakan untuk menilai keamanan informasi terkait pengelolaan
keuangan pemerintah Kota Tangerang.
Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator
User aplikasi ini adalah salah satu pemeriksa BPK RI yang ditunjukkan untuk
tugas pelaksanaan penilain risiko pada entitas yang diperiksa. setelah berhasil
maka pemeriksa akan dihadapkan pada halaman ruang lingkup pemeriksaan yang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
128
Universitas Indonesia
bisa dipilih oleh pemeriksa dengan mempertimbangkan hasil pemeriksaan
sebelumnya.
Gambar 5. 9 Halaman pilih ruang lingkup
Gambar 5.9 menunjukkan bahwa halaman ruang lingkup memberikan kemudahan
bagi pemeriksa untuk memilih ruang lingkup pemeriksaan. Ruang lingkup yang
tersedia adalah tata kelola tata kelola keamanan informasi, pengelolaan risiko
keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset
informasi dan teknologi dan keamanan informasi. Setiap ruang lingkup memiliki
tujuan yang berbeda-beda sesuai dengan perspektif pelaksanaan pemeriksaan
penilaian risiko keamanan informasi.
Gambar 5.10 ini menunjukkan halaman pertanyaan yang berisi program
pemeriksaan untuk setiap ruang lingkup yang telah dipilih oleh pemeriksa.
Program pemeriksaan berisi ruang lingkup, tujuan pemeriksaan, tahap
pelaksanaan yang terdiri dari langkah audit, bukti dari tiap langkah dan leveling
dari tiap langkah.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
129
Universitas Indonesia
Gambar 5. 10 Halaman Pertanyaan
Pemeriksa memberikan nilai berupa level untuk tiap proses yang ada. Proses pada
aplikasi ini digambarkan melalui daftar pertanyaan yang disertai bukti untuk tiap
pertanyaan.
Hasil nilai level untuk tiap ruang lingkup pada proses uji publik untuk Pemerintah
Kota Tangerang adalah seperti Gambar 5.11 ini.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
130
Universitas Indonesia
Gambar 5. 11 Halaman Hasil Penilaian Risiko
Pemeriksa mendapatkan gambaran hasil penilaian risiko secara grafik kemudian
pemeriksa memasukkan data penilaian risiko yang berisi kelemahan, ancaman,
nilai risiko inheren dan residual, kontrol, rencana kerja, risiko deteksi dan strategi
pemeriksaan untuk pemeriksaan laporan keuangan Pemerintah Kota Tangerang.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
131
Universitas Indonesia
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
132
Universitas Indonesia
Gambar 5. 12 Halaman input data Risk Assesment
Data yang telah dimasukkan akan ditampilkan dalam layar seperti Gambar 5.10
berikut ini.
Gambar 5. 13 Halaman Tampilan Risk Assesment
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
133 Universitas Indonesia
BAB 6
KESIMPULAN DAN SARAN
Bab 6 akan menjelaskan mengenai kesimpulan dan saran dari penelitian ini.
Kesimpulan dan saran didapat dari hasil pengambilan, hasil pengolahan dan hasil
analisis data yang dilakukan oleh peneliti selama penelitian ini berlangsung.
6.1 Kesimpulan
Berdasarkan hasil penelitian mengenai pembuatan alat bantu dan kerangka kerja
penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan
keuangan konsolidasi pemerintah daerah untuk BPK RI, dapat diambil
kesimpulan sebagai berikut:
1. Penggabungan ISO 27001 dengan Standar Pemeriksaan Keuangan Negara
menghasilkan sebuah kerangka kerja penilaian risiko keamanan informasi
dalam proses perencanaan pemeriksaan keuangan yang sesuai dengan
kebutuhan pemeriksaan laporan keuangan pemerintah daerah dengan
mencakup:
a. Ruang lingkup tata kelola keamanan informasi, pengelolaan risiko
keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset
informasi dan teknologi dan keamanan informasi dalam prosedur akuntansi
pengelolaan keuangan pemerintah daerah.
b. 29 aktivitas pengendalian dan 68 praktik pengendalian yang ada dalam ISO
27001.
c. Formulir pengisian penilaian risiko keamanan informasi, tahapan penilaian
risiko keamanan informasi dan cara pengisian formulir. Selain itu dalam
kerangka kerja terdapat program pemeriksaan yang mendukung penilaian
risiko keamanan informasi
d. Indikator –indikator dampak dan kecenderungan yang dapat digunakan oleh
pemeriksa dalam menilai risiko untuk setiap ruang lingkup pemeriksaan dan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
134
Universitas Indonesia
aktivitas yakni terdapat sebanyak 33 jenis indikator yang dapat diadopsi dari
ISO 27001.
2. Alat bantu berbasis web yang dirancang memudahkan pemeriksa dalam
menilai risiko keamanan informasi, selain itu pemeriksa dapat melihat record
penilaian risiko yang pernah dilakukan sebelumnya untuk dijadikan acuan pada
pemeriksaan penilaian risiko yang akan dilakukan.
6.2 Saran
Dari proses pembuatan alat bantu dan kerangka kerja penilaian risiko keamanan
informasi untuk proses perencanaan pemeriksaan laporan keuangan pemerintah
daerah, dapat disarankan pengembangan sebagai berikut:
1. Mengembangkan program audit yang bersifat application control terhadap
sistem pengelolaan keuangan pemerintah daerah.
2. Mengembangkan kerangka kerja dan alat bantu penilaian risiko keamanan
informasi pengelolaan keuangan untuk mendeteksi terjadinya fraud dalam
pengelolaan keuangan di pemerintah daerah.
3. Mengembangkan program audit untuk penilaian risiko di instansi pemerintah
daerah yang lain dengan metode risk assesment yang lain, misal NIST,
OCTAVE, Sarbanes Oxley section 404 atau IT Risk.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
135 Universitas Indonesia
DAFTAR PUSTAKA
Arnason, S. T. (2008). How to achive 27001 Certification: An Example of Applied
Complience Management. New York, USA: Aurbach Publications.
Carlson, T. (2001). Information Security Management : Understanding ISO
17799. USA: Lucent Technologies Worldwide Service.
Dan Schroeder, T. S. (Juli, 2010). Risk-Based Audit. Certified Public Accountant,
104-111.
Direktorat Utama Perencanaan, E. P. (2013). Laporan Hasil Evaluasi . Jakarta:
Badan Pemeriksa Keuangan.
Djojosoedarso, a. S. (2005). Prinsip-Prinsip Manajemen Risiko dan Asuransi,
edisi revisi. Jakarta, Indonesia: Salemba Empat.
Gondodiyoto, S. (2003). Audit Sistem Informasi Pendekatan Konsep. Jakarta: PT.
Media Global Edukasi (McGraw-Hill Education).
H.Februariyanti. (Juli, 2006). Standar dan Manajemen Keamanan Komputer.
Jurnal Teknologi Informasi DINAMIK, Vol.XI No.2.
Hall, S. (2007). Information Technology Auditing and Assurance, Edisi ke-2,
terjemahan: Fitriasari Dewi. Jakarta: Salemba Empat.
J. E. Hunton, S. M. (2004). Core Concepts of Information Technology Auditing.
John Wiley & Sons.
Keuangan, D. J. (Oktober, 2011). Monitoring dan Evaluasi Penyelenggaraan
Sistem Informasi Keuangan Daerah. Jakarta: Kementerian Keuangan.
Madhukar. (2007). Risk Register Template v2 Guidance on Scoring. ISO 27001
Security.
Mattord, M. W. (2010). Management of Information Security, 3rd ed. Boston:
Cengage Learning.
Peltier, T. R. (2001). Information Security Risk Analysis. United States of
America: Auerbach.
Stalling, W. (1995). Network and Internetwork Security. Prentice Hall.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
136
Universitas Indonesia
T.J. Mock, A. W. (1998). Audit Program Planning Using A Belief Function
Framework. University of Kansas.
W.Boyton. (2010). Modern Auditing 8th Edition . New York: John Wiley & Sons
Inc.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
137
Universitas Indonesia
LAMPIRAN 1
Bagian awal untuk responden Auditor
Kepada Yth.
Responden Penelitian
Dalam mendukung penelitian dengan judul “PERANCANGAN ALAT BANTU DAN
KERANGKA KERJA PENILAIAN RISIKO KEAMANAN INFORMASI DALAM
PROSES PERENCANAAN PEMERIKSAAN LAPORAN KEUANGAN
KONSOLIDASI DI PEMERINTAH DAERAH : STUDI KASUS BPK RI
PERWAKILAN BANTEN”, peneliti mengharapkan kesedian Bapak/Ibu/Saudara untuk
mengisi kuesioner berikut. Kuesioner ini ditujukan untuk memperoleh informasi dari
Bapak/Ibu/Saudara dalam posisi sebagai auditor. Bapak/Ibu/Saudara cukup memilih
aktivitas pengendalian yang penting dalam keamanan informasi prosedur akuntansi di
sistem Pengelolaan Keuangan Pemerintah Daerah. Peneliti menggunakan aktivitas
pengendalian dalam ISO 27001. ISO 27001:2005 atau disebut dengan ISO 17799:2005-2
adalah suatu standar keamanan yang diperuntukan bagi institusi yang akan mengelola dan
mengontrol keamanan informasi nya .
Dalam survei ini, peneliti berharap mendapatkan informasi dari Bapak/Ibu/Saudara
berkaitan dengan aktivitas pengendalian apa yang dianggap penting dalam keamanan
informasi system pengelolaan keuangan pada instansi pemerintah daerah dari sudut
pandang auditor. Peneliti akan menggunakan hasil survei tersebut sebagai dasar
penyusunan program audit untuk menilai risiko keamanan informasi sistem pengelolaan
keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan keuangan
pemerintah daerah.
Informasi dari Bapak/Ibu/Saudara tersebut, semata-mata hanya untuk kepentingan
penelitian. Sehingga peneliti berharap Bapak/Ibu/Saudara mengisi berdasarkan tingkat
keyakinan sebagai seorang auditor.
Sekilas tentang Sistem Pengelolaan Keuangan Daerah
Sistem pengelolaan keuangan daerah adalah sistem terpadu dipergunakan sebagai alat
bantu pemerintah daerah yang digunakan meningkatkan efektifitas implementasi dari
berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan asas efisiensi,
ekonomis, efektif, transparan, akuntabel dan auditable. Prinsip dasar dari sistem ini
adalah
1. Kejelasan peranan dan pertanggungjawaban kebijakan fiskal
2. Ketersediaan informasi keuangan bagi masyarakat
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
138
Universitas Indonesia
3. Keterbukaan dalam perencanaan, pelaksanaan, dan pelaporan anggaran
4. Adanya jaminan independensi atas kebijakan fiskal yang baik
Demikian permohonan saya, atas kesediaan waktunya diucapkan terima kasih.
Peneliti,
Ika Septi Anggraeni
Bagian 1 Identitas Responden
1. Jenis Kelamin dan Usia
Laki-Laki Usia :
Perempuan Usia :
2. Pendidikan terakhir
D3 (atau dibawahnya ) S2
S1 S3
3. Masa Kerja di BPK RI
Kurang dari 4 tahun 10-12 tahun
4-6 tahun
12 tahun
keatas
7-9 tahun
4. Apakah anda pernah mengikuti pelatihan audit system informasi/teknologi informasi
Pernah Berapa kali Terakhir tahun
Belum pernah
5. Apakah anda pernah mengikuti audit system informasi/teknologi informasi
Pernah Berapa kali Terakhir tahun
Belum pernah
6. Apakah anda pernah melakukan penilaian risiko keamanan informasi sistem
pengelolaan keuangan pemerintah daerah
Pernah Berapa kali Terakhir tahun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
139
Universitas Indonesia
Belum pernah
7. Apakah saat ini Anda sudah memiliki sertifikat pemeriksa sistem
informasi/teknologi informasi Certified Information Systems Auditor (CISA)?
Pernah
Tahun berapa anda
memperolehnya
Belum pernah
Bagian 2 Aktifitas Pengendalian Keamanan Informasi
Berdasarkan tingkat kepentingan dengan pelaksanaan sistem pengelolaan keuangan
daerah, mohon memberikan penilaian pada aktivitas pengendalian dalam pelaksanaan
keamanan informasi system pengelolaan keuangan daerah dengan melingkari skala
penilaian yang tersedia. Aktivitas tersebut mencakup proses keamanan informasi .
Skala penilaian adalah sebagai berikut:
N: Tidak Mungkin Diterapkan
1 : Tidak Penting
2 : Cukup Penting
3 : Penting
A.5. Security Policy
A5.1 Mendokumentasikan Information Security Policy
Mendokumentasikan disini adalah adanya dokumen policy terkait keamanan informasi
yang disetujui oleh manajemen, dipublikasikan serta dikomunikasikan kepada semua
karyawan
N 1 2 3
A5.2 Kajian Information Security Policy
Information Security Policy yang ada telah direview oleh manajemen sehingga jika
terjadi perubahan yang signifikan untuk memastikan kesesuaian, keefektifan dan
kecukupan yang berkelanjutan.
N 1 2 3
A.6. Organisasi Keamanan Informasi
A.6.1 Organisasi internal
Adanya komitmen oleh manajemen dengan mendukung secara aktif dan jelas
terkait penugasan eksplisit dan tanggung jawab keamanan informasi dan adanya
koordinasi pada wakil-wakil bagian organisasi sesuai dengan peran dan fungsi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
140
Universitas Indonesia
kerjanya masing-masing selain itu adanya proses otorisasi dari manajemen terkait
fasilitas informasi, contoh : pemisahan fungsi akses informasi keuangan (bidang
anggaran, penatausahaan, bendahara, pelaporan ).
Adanya review independen yang dilakukan pengawas internal (inspektorat)
terkait keamanan informasi organisasi
N 1 2 3
A.6.2 Organisasi eksternal
Adanya penekanan keamanan perjanjian dengan pihak ketiga yang meliputi
pengaksesan, pengolahan dan pengkomunikasian informasi organisasi, misal
membuat kausal tambahan pada perjanjian dengan pihak ketiga yang berkaitan
dengan pengembangan aplikasi atau pengolahan informasi organisasi.
N 1 2 3
A.7. Pengolahan Aset
A.7.1 Tanggung jawab terhadap asset
Adanya manajemen aset yakni proses identifikasi dan inventarisasi dari aset yang
meliputi kepemilikan aset sebagai fasilitas pengolah informasi dan pembatasan
akses pada aset selain itu adanya penerapan aturan untuk penggunaan informasi
dan aset .
N 1 2 3
A.7.2 Klasifikasi informasi
Adanya pengklasifikasian aset sesuai dengan nilai, persyaratan hokum, sensitivitas
terhadap organisasi sehingga bentuk penanganan tiap asset disesuaikan dengan
kategorinya.
N 1 2 3
A.8. Keamanan Sumberdaya manusianya
A.8.1 Sebelum dipekerjakan
Adanya penyaringan atau screening yakni verifikasi latar belakang semua calon
pegawai, kontraktor dan pengguna pihak ketiga menurut undang-undang, hukum
dan etika yang berlaku serta adanya penandatanganan kontrak untuk bertanggung
jawab keamanan informasi organisasi.
N 1 2 3
A.8.2 Selama bekerja
Adanya kepedulian, pendidikan dan pelatihan keamanan informasi bagi semua
pegawai, kontraktor, pengguna pihak ketiga serta terdapat proses pendisiplinan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
141
Universitas Indonesia
bagi semua pegawai, kontraktor, dan pengguna pihak ketiga yang melakukan
pelanggaran keamanan.
N 1 2 3
A.8.3 Pengakhiran atau perubahan pekerjaan
Adanya pengembalian asset organisasi yang digunakan oleh semua pegawai,
kontraktor, dan penguna pihak ketiga, selain itu terdapat penghapusan hak akses
terhadap informasi dan fasilitas pengolah informasi ketika pekerjaan atau kontrak
berakhir.
N 1 2 3
A.9. Keamanan Fisik dan Lingkungan
A.9.1 Area yang aman
Adanya perimeter keamanan fisik seperti access door dan perlindungan terhadap
ancaman lingkungan eksternal seperti smoked/fired detector serta adanya
pengaturan akses area public seperti lokasi bongkar muat barang.
N 1 2 3
A.9.2 Keamanan Peralatan
Adanya penempatan dan perlindungan peralatan yang merupakan sarana untuk
membawa data dan informasi seperti keamanan kabel , pengamanan peralatan ini
tidak hanya didalam lokasi organisasi melainkan juga di luar lokasi serta terdapat
pemeliharaan peralatan.
N 1 2 3
A.10 Manajemen Komunikasi dan Operasi
A.10.1 Prosedur Operasional dan Tanggung jawab
Adanya prosedur pengoperasian fasilitas informasi yang berisi manajemen
perubahan terhadap fasilitas dan system pengolahan informasi, pemisahan tugas
dalam penggunaan fasilitas informasi.
N 1 2 3
A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga
Adanya penerapan dan pemeliharaan tingkat keamanan informasi dan pelayanan
jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga seperti adanya
pemantauan, pengkajian dan audit secara regular terkait jasa, laporan dan rekaman
yang diberikan pihak ketiga.
N 1 2 3
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
142
Universitas Indonesia
A.10.3 Perencanaan dan Keberterimaan Sistem
Adanya manajemen kapasitas yakni penggunaan sumber daya yang harus dipantau,
disesuaikan dan diproyeksikan selain itu proses upgrade sistem harus ditetapkan
dan dilakukan pengujian sistem.
N 1 2 3
A.10.4 Perlindungan terhadap malicious dan mobile code
Adanya pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan dari
malicious code serta terdapat pengendalian penggunaan mobile code yang sesuai
dengan prosedur keamanan informasi organisasi
N 1 2 3
A.10.5 Back-up
Adanya proses pengambilan dan pengujian secara berkala salinan back-up
informasi dan perangkal lunak sesuai dengan kebijakan back-up yang disetujui.
N 1 2 3
A.10.6 Manajemen Keamanan Jaringan
Adanya perlindungan informasi dalam jaringan dan perlindungan infrastruktur
pendukung, seperti perlindungan jaringan dan pengidentifikasian fitur keamanan,
tingkat layanan dan persyaratan manajemen yang kemudian dituangkan dalam
perjanjian layanan jaringan baik in-house atau alih daya.
N 1 2 3
A.10.7 Penanganan Media
Adanya upaya untuk mencegah terjadinya pengungkapan, modifikasi, pemindahan
atau pemusnahan aset yang tidak sah dan gangguan bisnis dengan cara pembuatan
prosedur manajemen media, pemusnahan media, penanganan informasi dan
pembatasan akses pada dokumen system.
N 1 2 3
A.10.8 Pertukaran informasi
Adanya pemeliharaan keamanan informasi dan perangkat lunak yang dipertukarkan
dalam suatu organisasi dan dengan setiap entitas eksternal seperti kebijakan dan
prosedur pertukaran informasi
N 1 2 3
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
143
Universitas Indonesia
A.10.9 Layanan electronic commerce
Adanya keamanan layanan electronic commerce dan keamanan penggunaannya
N 1 2 3
A.10.10 Pemantauan
Adanya pengendalian untuk mendeteksi kegiatan pengolahan informasi yang tidak
sah seperti log audit, perlindungan informasi log, log administrator dan operator
dan sinkronisasi penunjuk waktu.
N 1 2 3
A.11 Pengendalian Akses
A.11.1 Persyaratan bisnis untuk pengendalian akses
Adanya kebijakan terkait pengendalian akses pada semua asset informasi di
organisasi
N 1 2 3
A.11.2 Manajemen akses pengguna
Adanya prosedur untuk memastikan akses oleh pengguna yang sah melalui
pendaftaran pengguna, manajemen password pengguna.
N 1 2 3
A.11.3 Tanggung jawab pengguna
Adanya prosedur untuk meningkatkan rasa tanggung jawab dari pengguna fasilitas
informasi, misal kebijakan clear desk dan clear screen dan adanya perlindungan
peralatan informasi yang ditinggalkan oleh pengguna .
N 1 2 3
A.11.4 Pengendalian akses jaringan
Adanya upaya pencegahan akses yang tidak sah kedalam jaringan misal kebijakan
penggunaan layanan jaringan, perlindungan terhadap remote diagnostic dan
configuration port
N 1 2 3
A.11.5 Pengendalian akses sistem operasi
Adanya upaya pencegahan akses tidak sah ke dalam system operasi misal prosedur
log-on yang aman, identifikasi dan otentikasi pengguna dan sesi time-out.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
144
Universitas Indonesia
N 1 2 3
A.11.6 Pengendalian akses aplikasi dan informasi
Adanya upaya pencegahan akses tidak sah pada aplikasi dan informasi misal isolasi
sistem yang sensitive.
N 1 2 3
A.11.7 Mobile computing dan kerja jarak jauh
Adanya kebijakan yang mengatur kegiatan mobile computing dan kerja jarak jauh
untuk menjaga keamanan informasi.
N 1 2 3
A.12 Akusisi, pengembangan dan pemeliharaan sistem informasi
A.12.1 Persyaratan keamanan dari sistem informasi
Adanya analisa dan spesifikasi persyaratan keamanan untuk sistem informasi yang
ada.
N 1 2 3
A.12.2 Pengolahan yang benar dalam aplikasi
Adanya validasi data yang akan dimasukkan dalam aplikasi sehingga data yang
dimasukkan dalam aplikasi benar selain itu adanya validasi data keluaran aplikasi
agar memastikan proses pengolahan informasinya benar.
N 1 2 3
A.12.3 Pengendalian dengan cara kriptografi
Adanya kebijakan tentang penggunaan pengendalian kriptografi.
N 1 2 3
A.12.4 Keamanan sistem file
Adanya prosedur untuk mengendalikan instalasi perangkat lunak pada sistem
operasional serta pembatasan akses ke kode sumber program harus dibatasi .
N 1 2 3
A.12.5 Keamanan dalam proses pengembangan dan pendukung
Adanya pengendalian pengembangan perangkat lunak yang dialihdayakan harus
disupervisi dan dipantau oleh organisasi.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
145
Universitas Indonesia
N 1 2 3
A.12.6 Manajemen Kerawanan Teknis
Adanya pengendalian kerawanan yang mungkin muncul dari sistem informasi
yang digunakan sehingga tidak menimbulkan risiko.
N 1 2 3
A.13 Manajemen Insiden Keamanan Informasi
A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi
Adanya pelaporan terkait kelemahan yang diamati dan dicurigai dalam sistem
atau layanan oleh pegawai, kontraktor, dan pengguna pihak ketiga
N 1 2 3
A.13.2 Manajemen insiden keamanan informasi dan perbaikan
Adanya prosedur penanganan jika terjadi insiden keamanan informasi baik
pendeteksi insiden, pengumpulan bukti jika melibatkan orang atau organisasi
tertentu dan peningkatan setelah insiden terjadi.
N 1 2 3
A.14 Manajemen Keberlanjutan Bisnis ( Businees Continuity Management )
A.14.1 Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis
Adanya prosedur untuk identifikasi risiko yang mungkin mengganggu
keberlanjutan bisnis atau proses bisnis dalam organisasi.
N 1 2 3
A.15 Kesesuaian
A.15.1 Kesesuaian dengan persyaratan umum
Adanya upaya pencegahan pelanggaran terhadap undang-undang, peraturan
perundang-undangan dan setiap persyaratan keamanan informasi seperti
perlindungan data dan rahasia informasi pribadi, perlindungan rekaman organisasi
N 1 2 3
A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan
teknis
Adanya pengendalian untuk memastikan secara berkala sistem informasi telah
memenuhi persyaratan teknis terhadap standar penerapan keamanan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
146
Universitas Indonesia
N 1 2 3
A.15.3 Pertimbangan audit sistem informasi
Adanya pengendalian audit sistem informasi yang melibatkan pengecekan sistem
operasional direncanakan dengan hati-hati untuk meminimalisasi risiko dari
gangguan proses bisnis serta perlindungan terhadap alat audit informasi.
N 1 2 3
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
147
Universitas Indonesia
LAMPIRAN 2
Hasil Tabulasi Wawancara
Kode
Aktivitas
Pengendalian
Proses RI R2 R3 R4 Rata-
rata
Pembulatan Tingkat
A.5 Security Policy
A.5.1 Mendokumentasik
an Information
Security Policy
3 1 3 3 2,5 3 Penting
A.5.2 Kajian Information
Security Policy
3 3 2 3 2,75 3 Penting
A.6 Organisasi
Keamanan
Informasi
A.6.1 Organisasi internal 3 3 3 3 3 3 Penting
A.6.2 Organisasi
eksternal
3 3 2 3 2,75 3 Penting
A.7 Pengolahan Aset
A.7.1 Tanggung jawab
terhadap asset
3 3 3 3 3 3 Penting
A.7.2 Klasifikasi
informasi
3 2 2 3 2,5 3 Penting
A.8 Keamanan
Sumberdaya
manusianya
A.8.1 Sebelum
dipekerjakan
1 2 2 3 2 2 Cukup
penting
A.8.2 Selama bekerja 2 3 2 3 2,5 3 Penting
A.8.3 Pengakhiran atau
perubahan
pekerjaan
3 3 2 3 2,75 3 Penting
A.9 Keamanan Fisik
dan Lingkungan
A.9.1 Area yang aman 3 3 1 3 2,5 3 Penting
A.9.2 Keamanan
Peralatan
1 3 2 3 2,25 1 Tidak
penting
A.10 Manajemen
Komunikasi dan
Operasi
A.10.1 Prosedur
Operasional dan
Tanggung jawab
1 3 2 2 2 2 Cukup
penting
A.10.2 Manajemen
Pelayanan Jasa
Pihak Ketiga
1 2 2 3 2 2 Cukup
penting
A.10.3 Perencanaan dan
Keberterimaan
Sistem
2 3 2 3 2,5 3 Penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
148
Universitas Indonesia
Kode
Aktivitas
Pengendalian
Proses RI R2 R3 R4 Rata-
rata
Pembulatan Tingkat
A.10.4 Perlindungan
terhadap malicious
dan mobile code
1 3 1 1 1,5 2 Cukup
penting
A.10.5 Back-up 3 3 2 3 2,75 3 Penting
A.10.6 Manajemen
Keamanan
Jaringan
1 3 2 3 2,25 2 Cukup
penting
A.10.7 Penanganan Media 0 3 2 1 1,5 2 Cukup
penting
A.10.8 Pertukaran
informasi
2 2 2 2 2 2 Cukup
penting
A.10.9 Layanan electronic
commerce
0 0 0 0 0 0 Tidak
mugkin
diterapkan
A.10.10 Pemantauan 3 2 2 3 2,5 3 Penting
A.11 Pengendalian
Akses
A.11.1 Persyaratan bisnis
untuk
pengendalian akses
3 2 2 3 2,5 3 Penting
A.11.2 Manajemen akses
pengguna
1 2 2 3 2 2 Cukup
penting
A.11.3 Tanggung jawab
pengguna
3 2 2 3 2,5 3 Penting
A.11.4 Pengendalian akses
jaringan
3 2 2 3 2,5 3 Penting
A.11.5 Pengendalian akses
sistem operasi
3 2 2 3 2,5 3 Penting
A.11.6 Pengendalian akses
aplikasi dan
informasi
3 2 2 3 2,5 3 Penting
A.11.7 Mobile computing
dan kerja jarak
jauh
1 1 0 1 0,75 1 Tidak
penting
A.12 Akusisi,
pengembangan dan
pemeliharaan
sistem informasi
A.12.1 Persyaratan
keamanan dari
sistem informasi
2 2 2 2 2 2 Cukup
penting
A.12.2 Pengolahan yang
benar dalam
aplikasi
3 3 3 3 3 3 Penting
A.12.3 Pengendalian
dengan cara
kriptografi
1 2 2 2 1,75 2 Cukup
penting
A.12.4 Keamanan sistem
file
3 3 2 3 2,75 3 Penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
149
Universitas Indonesia
Kode
Aktivitas
Pengendalian
Proses RI R2 R3 R4 Rata-
rata
Pembulatan Tingkat
A.12.5 Keamanan dalam
proses
pengembangan dan
pendukung
3 2 2 3 2,5 3 Penting
A.12.6 Manajemen
Kerawanan Teknis
2 2 2 3 2,25 2 Cukup
penting
A.13 Manajemen
Insiden Keamanan
Informasi
A.13.1 Pelaporan kejadian
dan kelemahan
keamanan
informasi
3 2 2 3 2,5 3 Penting
A.13.2 Manajemen
insiden keamanan
informasi dan
perbaikan
3 3 3 3 3 3 Penting
A.14 Manajemen
Keberlanjutan
Bisnis ( Businees
Continuity
Management )
A.14.1 Aspek Keamanan
Informasi dari
manajemen
keberlanjutan
bisnis
2 3 2 2 2,25 2 Cukup
penting
A15 Kesesuaian
A.15.1 Kesesuaian dengan
persyaratan umum
3 3 2 3 2,75 3 Penting
A.15.2 Pemenuhan
terhadap kebijakan
keamanan dan
standar, dan
pemenuhan teknis
1 3 2 3 2,25 2 Cukup
penting
A.15.3 Pertimbangan audit
sistem informasi
3 3 2 3 2,75 3 Penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
150
Universitas Indonesia
LAMPIRAN 3
Kerangka Kerja Penilaian Risiko Keamanan Informasi Pemerintah Daerah
1. Formulir penilaian risiko keamanan informasi
Penilaian risiko keamanan informasi pemerintah daerah menggunakan formulir sebagaimana digambarkan dalam tabel dibawah ini :
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan Kerawanan Ancaman
Kontrol yang ada
Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriks
aan Dampak Kecenderungan Nilai Risiko Dampak Kecenderungan Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
Inheren Residual
Untuk dapat mengisi formulir tersebut, pemeriksa terlebih dahulu harus memiliki pemahaman yang mendalam terhadap proses bisnis
entitas/organisasi serta hasil evaluasi dan pengujian pengendalian intern entitas secara kualitatif (dengan wawancara dan cek fisik) dan
kuantitatif (pemberian kuesioner penilaian tingkat risiko).
Identifikasi yang dicantumkan dalam ilustrasi dibawah ini masih/dapat dikembangkan oleh pemeriksa berdasarkan keadaan pada entitas yang
bersangkutan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
151
Universitas Indonesia
2. Tahapan penilaian risiko keamanan informasi
Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk
semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah
pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang dibawah
ini.
a. Langkah Audit Tahap Perencanaan
Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan audit
teknologi informasi dalam penilaian risiko keamanan informasi di pemerintah daerah.
Tahapan yang dilakukan yakni:
1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem pengelolaan
keuangan pemerintah daerah oleh auditor lain. Review ini dilakukan atas organisasi
yang akan dilakukan pemeriksaan.
2. Menentukan ruang lingkup audit berdasarkan hasil review.
3. Membuat program audit yang rinci dan tepat.
4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit.
5. Menentukan jadwal dan anggaran untuk melakukan audit.
6. Menyiapkan penugasan dalam bentuk surat tugas
7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk
menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi
untuk menyiapkan dokumen awal sebagai bahan untuk audit.
Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya
pada tahap pelaksanaan
b. Langkah Audit Tahap Pelaksanaan
Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup yang
akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil review dari
pemeriksaan penilaian risiko keamanan informasi sebelumnya.
Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor yakni
dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat proses
keamanan informasi secara langsung di entitas terkait.
Setelah melakukan langkah audit diatas, maka auditor dapat melakukan pendeteksian
kelemahan berdasarkan hasil audit. hasil audit yang ada akan digunakan untuk
mengevaluasi risiko dari keamanan informasi pada entitas tersebut.
c. Langkah Audit Tahap Penyelesaian
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
152
Universitas Indonesia
Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai risiko
keamanan informasi dijadikan input/masukan pada tahap penyelesaian. Pada tahapan
ini auditor melakukan hal-hal berikut ini :
1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan
dalam audit.
2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada.
3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman
yang ada.
4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan
tanggapan atas temuan audit.
5. Membuat laporan audit.
3. Pengisian formulir penilaian risiko keamanan informasi
Berikut petunjuk pengisian masing-masing kolom formulir penilaian risiko keamanan
informasi
a. Kolom 1 (Kode ruang lingkup)
Diisi dengan kode ruang lingkup, misal R.1, R.2, R.3, R.4 dan R.5.
b. Kolom 2 ( Ruang lingkup )
Diisi dengan nama ruang lingkup, ruang lingkup ini dapat dipilih oleh pemeriksa
sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas yang diperiksa.
Berikut adalah daftar ruang lingkup yang ada beserta sasarannya.
Kode ruang lingkup Ruang lingkup Sasaran
R.1 Review tata kelola keamanan
informasi
Mengevaluasi kesiapan bentuk tata kelola
keamanan informasi beserta fungsi selain itu
serta tugas dan tanggung jawab pengelola
keamanan informasi terkait prosedur
akuntansi sistem pengelolaan keuangan
R.2 Review pengelolaan risiko
keamanan informasi
Mengevaluasi kesiapan penerapan
pengelolaan risiko keamanan informasi
R.3 Review Kerangka Kerja
Keamanan Informasi
Mengevaluasi kesiapan kebijakan dan
prosedur pengelolaan keamanan informasi dan
strategi penerapannya
R.4 Review Pengelolaan Aset
Informasi
Mengevaluasi kelengkapan pengamanan aset
informasi termasuk siklus penggunaanya
R.5 Review Teknologi dan
Keamanan Informasi
Mengevaluasi kelengkapan, konsistensi dan
efektifitas penggunaan teknologi dalam
pengamanan aset informasi
*catatan : pemeriksa dapat menambah ruang lingkup yang ada sesuai dengan
kebutuhan dan kondisi organisasi.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
153
Universitas Indonesia
c. Kolom 3 (Kode aktivitas pengendalian)
Diisi dengan kode aktivitas pengendalian. Misal A.5.1, A.5.2 dst..
d. Kolom 4 (Aktivitas pengendalian)
Diisi dengan nama aktivitas pengendalian. aktivitas pengendalian ini dapat dipilih
oleh pemeriksa sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas
yang diperiksa. akan tetapi kerangka kerja ini sudah menyediakan pengelompokan
aktivitas pengendalian yang memiliki sasaran yang sama kedalam ruang lingkup
yang sama juga. Berikut pengelompokan dari aktivitas pengendalian yang ada
Kode Aktivitas
Pengendalian Proses Kode R.Lingkup Kode R.Lingkup Ruang Lingkup
A.5.1 Mendokumentasikan Information Security Policy R.1 R.1 Review Tata Kelola Keamanan informasi
A.5.2 Kajian Information Security Policy R.1 R.2 Review Pengelolaan Risiko Keamanan informasi
A.6.1 Organisasi internal R.1 R.3 Review Kerangka Kerja Keamanan Informasi
A.6.2 Organisasi eksternal R.1 R.4 Review Pengelolaan Aset Informasi
A.7.1 Tanggung jawab terhadap asset R.2 R.5 Review Teknologi dan Keamanan Informasi
A.7.2 Klasifikasi informasi R.2
A.8.2 Selama bekerja R.4
A.8.3 Pengakhiran atau perubahan pekerjaan R.4
A.9.1 Area yang aman R.4
A.9.2 Keamanan Peralatan R.4
A.10.3 Perencanaan dan Keberterimaan Sistem R.3
A.10.5 Back-up R.3
A.10.8 Pertukaran informasi R.3
A.10.10 Pemantauan R.3
A.11.1 Persyaratan bisnis untuk pengendalian akses R.4
A.11.2 Manajemen akses pengguna R.4
A.11.3 Tanggung jawab pengguna R.4
A.11.4 Pengendalian akses jaringan R.4
A.11.5 Pengendalian akses sistem operasi R.4
A.11.6 Pengendalian akses aplikasi dan informasi R.4
A.12.2 Pengolahan yang benar dalam aplikasi R.5
A.12.3 Pengendalian dengan cara kriptografi R.5
A.12.4 Keamanan sistem file R.5
A.12.5 Keamanan dalam proses pengembangan dan pendukung R.5
A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi R.3
A.13.2 Manajemen insiden keamanan informasi dan perbaikan R.3
A.15.1 Kesesuaian dengan persyaratan umum R.4
A.15.3 Pertimbangan audit sistem informasi R.4
e. Kolom 5 (Ref. Progam Pemeriksaan)
Diisi dengan reference pada program pemeriksaan. Misalnya reff pada program
langkah R.1.1.a yang artinya program pemeriksaan di kode ruang lingkup R.1
pada langkah yang ke 1.a .
Program pemeriksaan dan bukti audit yang dilakukan untuk penilaian risiko
keamanan informasi dapat dilhat pada lampiran 1.
f. Kolom 6 (kerawanan/vulnerability), Kolom 7 (ancaman)
Diisi dengan deskripsi kerawanan dan ancaman yang dapat diidentifikasi oleh
pemeriksa. kerawanan merupakan kekurangan yang dimiliki organisasi dan dapat
menjadi ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
154
Universitas Indonesia
kerawanan dari organisasi dapat dianalisa dari hasil audit yang dilakukan sesuai
dengan program pemeriksaan untuk penilaian risiko keamanan informasi pada
lampiran 1.
Kemudian analisa ancaman didapat dari kerawanan yang dapat dieksplore oleh
threat agent sehingga menimbulkan risiko kerugian bagi organisasi.
Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup
yang ada dalam lampiran 1
Penetapan kerawanan dan ancaman yang ada berasal dari aktivitas pengendalian
yang ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas
pengendalian tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen
maupun secara teknikal maka auditor dapat menetapkan hal tersebut sebagai
sebuah kerawanan dan ancaman.
g. Kolom 8 (inheren Risk : dampak)
Inheren risk adalah kerentanan suatu proses TI untuk memberikan risiko kerugian
bagi organisasi, dengan asumsi tidak terdapat pengendalian atas proses TI terkait.
Untuk melihat nilai dampak kerentanan suatu proses TI tersebut maka auditor
dapat mengidentifikasi dengan dua cara, yakni :
Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada
organisasi yang diperiksa atau auditee. Penilaiannya berupa Extreme, Major,
Moderate, Minor dan Insignificant. Definisi skala dampak dapat dilihat pada
tabel dibawah ini
Klasifikasi Definisi
Extreme
Permasalahan yang terjadi mengakibatkan layanan hingga tidak dapat digunakan
sama sekali.
Major
Permasalahan yang terjadi dapat menyebabkan terhentinya layanan secara tiba-
tiba mengakibatkan kerusakan dan biaya yang mahal namun dapat bertahan
Moderate
Permasalahan yang terjadi mengganggu berjalannya layanan sehari-hari dan tidak
sampai berakibat terhentinya layanan, namun biaya yang dibutuhkan tidak sedikit
Minor
Permasalahan yang terjadi berpotensi mengganggu berjalannya layanan di
kemudian hari namun terbatas sehingga dibutuhkan biaya
Insignificant Permasalahan yang terjadi tidak mengganggu berjalannya layanan di kemudian
hari sehingga biaya dapat diabaikan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
155
Universitas Indonesia
Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada
pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi
tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur dampak dari
risiko yang ada. Tiap indikator akan di nilai berdasarkan skala kuantitatif
dampak berikut ini
Nilai Klasifikasi Definisi
5 Extreme
> 80 to 100%
Permasalahan yang terjadi mengakibatkan layanan hingga tidak
dapat digunakan sama sekali.
4 Major
> 62 to 80%
Permasalahan yang terjadi dapat menyebabkan terhentinya
layanan secara tiba-tiba mengakibatkan kerusakan dan biaya
yang mahal namun dapat bertahan
3 Moderate
> 25 to 62%
Permasalahan yang terjadi mengganggu berjalannya layanan
sehari-hari dan tidak sampai berakibat terhentinya layanan,
namun biaya yang dibutuhkan tidak sedikit
2 Minor
> 5 to 25%
Permasalahan yang terjadi berpotensi mengganggu berjalannya
layanan di kemudian hari namun terbatas sehingga dibutuhkan
biaya
1 Insignificant
5% or less
Permasalahan yang terjadi tidak mengganggu berjalannya
layanan di kemudian hari sehingga biaya dapat diabaikan
Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang
lingkup yang ada sebagai berikut.
Kode risiko
ruang lingkup
Jenis risiko Kode Indikator
dampak
Deskripsi Indikator
dampak
KR.1 Tata kelola keamanan
informasi
D.1.1 Information Security
Policy
D.1.2 Kajian Information
Security Policy
D.1.3 Kesadaran keamanan
informasi
D.1.4 MOU dengan pihak
eksternal
KR.2 pengelolaan risiko
keamanan informasi
D.2.1 Inventarisasi Aset
D.2.2 Klasifikasi Informasi
D.2.3 Monitoring risiko terkait
TI
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
156
Universitas Indonesia
Kode risiko
ruang lingkup
Jenis risiko Kode Indikator
dampak
Deskripsi Indikator
dampak
KR.3 Kerangka Kerja
Keamanan informasi
D.3.1 Compensating control
terhadap sistem baru
D.3.2 Back-up
D.3.3 Prosedur pertukaran
informasi
D.3.4 Audit Log
D.3.5 Pelaporan kejadian dan
kelemahan keamanan
informasi
D.3.6 Pemeliharaan aset TI
KR.4 Pengelolaan Aset
Informasi
D.4.1 Pelatihan keamanan
informasi
D.4.2 Pelanggaran
D.4.3 Pemisahan tugas (job
description)
D.4.4 Pengembalian aset dan
penghapusan hak ases
D.4.5 Akses ke ruang data
center
D.4.6 Penanggulangan bencana
D.4.7 Prosedur keamanan
peralatan di luar lokasi
kerja
D.4.8 Kebijakan pengendalian
akses
D.4.9 Pengelolaan hak akses
D.4.10 Manajemen password
D.4.11 Update antivirus
D.4.12 Kehandalan antivirus
D.4.13 Sesi time-out
D.4.14 Pengelolaan email
D.4.15 HAKI (Hak Kekayaan
Intelektual)
D.4.16 Pertimbangan audit sistem
informasi
KR.5 Teknologi dan
keamanan informasi
D.5.1 Enkripsi
D.5.2 Pengendalian akses
terhadap kode sumber
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
157
Universitas Indonesia
Kode risiko
ruang lingkup
Jenis risiko Kode Indikator
dampak
Deskripsi Indikator
dampak
program
D.5.3 Konten aplikasi
D.5.4 Pengembangan aplikasi
*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai
dengan kebutuhan dan kondisi organisasi.
Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator
dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai
rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat memberikan
penilaian dampak atas tiap aktivitas pengendalian yang ada dengan melihat
relevansi antara jenis ruang lingkup, aktivitas pengendalian dan indikator
dampak dibawah ini.
Kode risiko
ruang
lingkup
Kode Aktivitas
Pengendalian
Proses Kode
Indikator
dampak
Jumlah
Indikator
KR.1 A.5.1 Mendokumentasikan
information security
policy
D.1.1 1
A.5.2 Kajian information
security Policy
D.1.2 1
A.6.1 Organisasi internal D.1.3 1
A.6.2 Organisasi eksternal D.1.4 1
KR.2
A.7.1
Tanggung jawab
terhadap asset
D.2.1, D.2.3 2
A.7.2 Klasifikasi informasi D.2.2 1
KR.3
A.10.2
Manajemen Pelayanan
Jasa Pihak Ketiga
D.3.4, D.3.5 2
A.10.3
Perencanaan dan
Keberterimaan Sistem
D.3.1 1
A.10.5 Back-up D.3.2 1
A.10.8 Pertukaran informasi D.3.3 1
A.10.10 Pemantauan D.3.4 1
A.13.1
Pelaporan kejadian
dan kelemahan
keamanan informasi
D.3.5 1
A.13.2
Manajemen insiden
keamanan informasi
D.3.6 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
158
Universitas Indonesia
Kode risiko
ruang
lingkup
Kode Aktivitas
Pengendalian
Proses Kode
Indikator
dampak
Jumlah
Indikator
dan perbaikan
KR.4
A.8.2 Selama bekerja
D.4.1, D.4.2,
D.4.3
3
A.8.3
Pengakhiran atau
perubahan pekerjaan
D.4.4 1
A.9.1 Area yang aman D.4.5, D.4.6 2
A.9.2 Keamanan Peralatan D.4.7 1
A.11.1
Persyaratan bisnis
untuk pengendalian
akses
D.4.8 1
A.11.2
Manajemen akses
pengguna
D.4.9, D.4.10 2
A.11.3
Tanggung jawab
pengguna
D.4.10 1
A.11.4
Pengendalian akses
jaringan
D.4.10,
D.4.11, D.4.12
3
A.11.5
Pengendalian akses
sistem operasi
D.4.13 1
A.11.6
Pengendalian akses
aplikasi dan informasi
D.4.10,
D.4.11,
D.4.12,D.4.14
4
A.15.1
Kesesuaian dengan
persyaratan umum
D.4.15 1
A.15.3
Pertimbangan audit
sistem informasi
D.4.16 1
KR.5
A.12.2
Pengolahan yang
benar dalam aplikasi
D.5.3, D.5.4 2
A.12.3
Pengendalian dengan
cara kriptografi
D.5.1 1
A.12.4 Keamanan sistem file D.5.2 1
A.12.5
Keamanan dalam
proses pengembangan
dan pendukung
D.5.4 1
Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator
dampak di tiap jenis proses aktivitas pengendalian yang ada kemudian
dihitung nilai rata-ratanya (pembulatan keatas).
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
159
Universitas Indonesia
Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner
ini bukan acuan baku dalam pelaksanaan penilaian dampak sehingga
pemeriksa dapat merubah sesuai dengan kondisi yang ada.
h. Kolom 9 (inheren risk : kecenderungan)
Untuk melihat nilai kecenderungan kerentanan suatu proses TI tersebut maka auditor
dapat mengidentifikasi dengan dua cara, yakni :
Cara kualitatif : nilai kecenderungan diperoleh dari hasil wawancara auditor kepada
organisasi yang diperiksa atau auditee. Penilaiannya berupa Almost certain, Likely,
Moderate, Unlikely dan Rare. Definisi skala dampak dapat dilihat pada tabel
dibawah ini.
Klasifikasi Definisi
Almost
certain
Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali.
Alternatif sangat diperlukan dan tindakan mitigasi harus segera
dilakukan
Likely
Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif
akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan
Moderate
Berlangsung terus-menerus namun sudah ada kesadaran untuk
melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus
mempertimbangkan tindakan mitigasi.
Unlikely Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada kemungkinan
akan mengalaminya di masa depan. Sehingga strategi saat ini harus
mengatasi insiden yang terjadi.
Rare Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah
dan cepat.
Cara kuantitatif : nilai kecenderungan diperoleh dari pemberian kuesioner
kepada pihak-pihak yang terkait dalam pengelolaan keamanan informasi di
organisasi tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur
kecenderungan dari risiko yang ada. Tiap indikator akan di nilai berdasarkan
skala kuantitatif dampak berikut ini
Nilai Klasifikasi Definisi
5 Almost certain
> 80 to 100%
Berlangsung terus menerus dan tidak ada usaha perbaikan sama
sekali. Alternatif sangat diperlukan dan tindakan mitigasi harus
segera dilakukan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
160
Universitas Indonesia
Nilai Klasifikasi Definisi
4 Likely
> 62 to 80%
Berlangsung terus menerus dan sedikit ada usaha perbaikan.
Alternatif akan diperlukan dan menentukan tindakan mitigasi
yang dibutuhkan
3 Moderate
> 25 to 62%
Berlangsung terus-menerus namun sudah ada kesadaran untuk
melakukan usaha perbaikan. Alternatif mungkin diperlukan dan
harus mempertimbangkan tindakan mitigasi.
2 Unlikely
> 5 to 25%
Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada
kemungkinan akan mengalaminya di masa depan. Sehingga
strategi saat ini harus mengatasi insiden yang terjadi.
1 Rare
5% or less
Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan
mudah dan cepat.
Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang
lingkup yang ada sebagai berikut.
Kode risiko
ruang
lingkup
Jenis risiko Kode
Indikator
Deskripsi Indikator
Likelihood
KR.1 tata kelola keamanan
informasi
L.1.1 Information Security
Policy
L.1.2 Kajian Information
Security Policy
L.1.3 Kesadaran keamanan
informasi
L.1.4 MOU dengan pihak
eksternal
KR.2 Pengelolaan risiko
keamanan informasi
L.2.1 Inventarisasi Aset
L.2.2 Klasifikasi Informasi
L.2.3 Monitoring risiko terkait
TI
KR.3 Kerangka Kerja
Keamanan informasi
L.3.1 Compensating control
terhadap sistem baru
L.3.2 Back-up
L.3.3 Prosedur pertukaran
informasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
161
Universitas Indonesia
Kode risiko
ruang
lingkup
Jenis risiko Kode
Indikator
Deskripsi Indikator
Likelihood
L.3.4 Audit Log
L.3.5 Pelaporan kejadian dan
kelemahan keamanan
informasi
L.3.6 Pemeliharaan aset TI
KR.4 Pengelolaan Aset
Informasi
L.4.1 Pelatihan keamanan
informasi
L.4.2 Pelanggaran
L.4.3 Pemisahan tugas (job
description)
L.4.4 Pengembalian aset dan
penghapusan hak ases
L.4.5 Akses ke ruang data
center
L.4.6 Penanggulangan bencana
L.4.7 Prosedur keamanan
peralatan di luar lokasi
kerja
L.4.8 Kebijakan pengendalian
akses
L.4.9 Pengelolaan hak akses
L.4.10 Manajemen password
L.4.11 Update antivirus
L.4.12 Kehandalan antivirus
L.4.13 Sesi time-out
L.4.14 Pengelolaan email
L.4.15 HAKI (Hak Kekayaan
Intelektual)
L.4.16 Pertimbangan audit
sistem informasi
KR.5 Teknologi dan
keamanan informasi
L.5.1 Enkripsi
L.5.2 Pengendalian akses
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
162
Universitas Indonesia
Kode risiko
ruang
lingkup
Jenis risiko Kode
Indikator
Deskripsi Indikator
Likelihood
terhadap kode sumber
program
L.5.3 Konten aplikasi
L.5.4 Pengembangan aplikasi
*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai
dengan kebutuhan dan kondisi organisasi.
Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari
indikator dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian
dihitung nilai rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat
memberikan penilaian kecenderungan atas tiap aktivitas pengendalian yang
ada dengan melihat relevansi antara jenis ruang lingkup, aktivitas
pengendalian dan indikator kecenderungan dibawah ini.
Kode risiko
ruang
lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
Likelihood
Jumlah
Indikator
KR.1 A.5.1 Mendokumentasikan
information security
policy
L.1.1 1
A.5.2 Kajian information
security Policy
L.1.2 1
A.6.1 Organisasi internal L.1.3 1
A.6.2 Organisasi eksternal L.1.4 1
KR.2
A.7.1
Tanggung jawab
terhadap asset
L.2.1, L.2.3 2
A.7.2
Klasifikasi
informasi
L.2.2 1
KR.3
A.10.2
Manajemen
Pelayanan Jasa
Pihak Ketiga
L.3.4, L.3.5 2
A.10.3
Perencanaan dan
Keberterimaan
Sistem
L.3.1 1
A.10.5 Back-up L.3.2 1
A.10.8
Pertukaran
informasi
L.3.3 1
A.10.10 Pemantauan L.3.4 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
163
Universitas Indonesia
Kode risiko
ruang
lingkup
Kode Aktivitas
Pengendalian
Proses Kode Indikator
Likelihood
Jumlah
Indikator
A.13.1
Pelaporan kejadian
dan kelemahan
keamanan informasi
L.3.5 1
A.13.2
Manajemen insiden
keamanan informasi
dan perbaikan
L.3.6 1
KR.4
A.8.2 Selama bekerja
L.4.1, L.4.2,
L.4.3
3
A.8.3
Pengakhiran atau
perubahan pekerjaan
L.4.4 1
A.9.1 Area yang aman L.4.5, L.4.6 2
A.9.2 Keamanan Peralatan L.4.7 1
A.11.1
Persyaratan bisnis
untuk pengendalian
akses
L.4.8 1
A.11.2
Manajemen akses
pengguna
L.4.9, L.4.10 2
A.11.3
Tanggung jawab
pengguna
L.4.10 1
A.11.4
Pengendalian akses
jaringan
L.4.10, L.4.11,
L.4.12
3
A.11.5
Pengendalian akses
sistem operasi
L.4.13 1
A.11.6
Pengendalian akses
aplikasi dan
informasi
L.4.10, L.4.11,
L.4.12,L.4.14
4
A.15.1
Kesesuaian dengan
persyaratan umum
L.4.15 1
A.15.3
Pertimbangan audit
sistem informasi
L.4.16 1
KR.5
A.12.2
Pengolahan yang
benar dalam aplikasi
L.5.3, L.5.4 2
A.12.3
Pengendalian
dengan cara
kriptografi
L.5.1 1
A.12.4
Keamanan sistem
file
L.5.2 1
A.12.5
Keamanan dalam
proses
pengembangan dan
pendukung
L.5.4 1
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
164
Universitas Indonesia
Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari
indikator kecenderungan di tiap jenis proses aktivitas pengendalian yang ada
kemudian dihitung nilai rata-ratanya (pembulatan keatas).
Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner
ini bukan acuan baku dalam pelaksanaan penilaian kecenderungan sehingga
pemeriksa dapat merubah sesuai dengan kondisi yang ada.
i. Kolom 10 (Inheren Risk : Nilai risiko)
Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan
analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari
pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut.
Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan
melakukan perkalian nilai dampak dengan nilai kecenderungan dari masing-
masing risiko. Pemetaan likelihood dengan dampak dalam penilaian risiko dapat
dilihat pada gambar berikut
Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil
pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas
pengendalian.
Tingkat risiko yang ada pada gambar diatas memiliki arti, maksud dari masing-
masing tingkatan risiko adalah sebagai berikut.
Nilai Risiko Deskripsi risiko
Sangat tinggi (Very
High)
Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai banyak efek merugikan yang sangat besar
pada operasi organisasi, aset organisasi, individu, organisasi lain, atau
negara.
Tinggi (high) Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai beberapa efek merugikan yang besar pada
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
165
Universitas Indonesia
operasi organisasi, aset organisasi, individu, organisasi lain, atau
negara
Sedang (medium) Cukup berisiko yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai efek merugikan yang serius pada operasi
organisasi, aset organisasi, individu, organisasi lain, atau negara
Rendah (low) Berisiko rendah yang berarti bahwa peristiwa ancaman dapat
diperkirakan mempunyai efek merugikan yang terbatas pada operasi
organisasi, aset organisasi, individu, organisasi lain, atau negara.
j. Kolom 11 (Kontrol yang ada)
Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi
kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut
ke tingkat yang dapat diterima oleh organisasi.
Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko. Jenis
risiko yang harusnya mendapat perhatian utama adalah risiko yang memiliki
skala Very high kemudian dilanjutkan pada skala high, medium dan low .
kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi
level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol
dibuat berdasarkan hasil pemetaan klausul-klasul dalam ISO 27001:2005. Input
kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko.
Dari hasil inilah akan dihasilkan daftar rekomendasi kontrol.
Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko
yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol
keamanan yang direkomendasikan.
k. Kolom 12 (Residual : dampak), kolom 13 (residual : kecenderungan), kolom 14
(residual : nilai risiko)
Residual risk adalah risiko yang muncul dari risiko bawaan suatu proses TI
setelah dikurangi dengan bagian risiko bawaan yang bisa dimitigasi oleh
pengendalian atau kontrol intern yang efektif.
Untuk mengisi residual risk, pemeriksa dapat menggunakan cara yang sama
dengan pengisian inheren risk akan tetapi kali ini pemeriksa mempertimbangkan
pengendalian yang dijalankan oleh organisasi tersebut.
l. Kolom 15 (Strategi mitigasi risiko)
Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang
secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang
berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
166
Universitas Indonesia
hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi
kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol
yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan
dikurangi dan mampu menurunkan risiko di bawah maksimum risiko.
m. Kolom 16 (Rencana Kerja)
Diisi dengan rencana kerja yang direkomendasikan oleh pemeriksa kepada
organisasi berdasarkan hasil rekomendasi kontrol dari analisis sebelumnya.
n. Kolom 17 (Target Penyelesaian)
Diisi dengan tahun penyelesaian dari rencana kerja yang telah direkomendasikan
oleh pemeriksa kepada organisasi. Tahun penyelesaian ini disesuaikan dengan
kemampuan dari organisasi tersebut.
o. Kolom 18 (Risiko deteksi)
Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah
daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat
mendeteksi salah saji material pada saat melaksanakan prosedur substantif.
Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedur
substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas
pelaksanaan prosedur substantif.
Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko
residual maka semakin rendah risiko deteksi. Demikian sebaliknya.
Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat
ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual
adalah sebagai berikut :
Risiko Residual Risiko Deteksi
Sangat tinggi (Very High) Rendah (low)
Tinggi (high) Sedang (medium)
Sedang (medium) Tinggi (high)
Rendah (low) Sangat tinggi (Very High)
p. Kolom 19 (Strategi Pemeriksaan yang umum)
Sesuai dengan risk based audit maka penentuan strategi pemeriksaan didasarkan
pada tingkat risiko deteksi pada akun yang terkait. Semakin rendah risiko deteksi
maka semakin tinggi efektivitas prosedur substantif yang dilaksanakan. Dengan
demikian, pemeriksa bisa mengalokasikan sebagian besar sumber daya baik
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
167
Universitas Indonesia
jumlah pemeriksa, cakupan dan kedalaman prosedur pemeriksaan subtantif atas
akun tersebut.
Risiko Deteksi Strategi pemeriksaan umum
Rendah Menjadi fokus pemeriksaan
Tidak mengandalkan pengendalian
Pengujian subtantif mendalam
Prioritas pertama untuk alokasi sumber daya (jumlah dan
kualitas)
Prosedur analitis dan uji akurasi harus dilakukan
Medium Walaupun tidak menjadi fokus, tetapi harus ada perhatian
yang cukup
Sedikit mengandalkan pengendalian
Pengujian subtantif tidak terlalu mendalam
Sample menengah
Prioritas kedua untuk alokasi sumber daya (jumlah dan
kualitas)
Prosedur analitis dan uji akurasi tetap harus dilakukan
Tinggi Walaupun tidak menjadi fokus, tetapi harus ada perhatian
yang cukup
Sebagian besar mengandalkan pengendalian
Pengujian subtantif terbatas
Sample kecil
Prioritas ketiga untuk alokasi sumber daya (jumlah dan
kualitas)
Prosedur analitis dan uji akurasi tetap harus dilakukan
Sangat tinggi Tidak menjadi fokus pemeriksaan
Dapat mengandalkan pengendalian
Pengujian subtantif tidak dilakukan. Bila dilakukan dapat
hanya dari subtantive saldo saja
Sample tidak diuji
Prioritas keempat untuk alokasi sumber daya (jumlah dan
kualitas)
Prosedur analitis dan uji akurasi merupakan prosedur
utama
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
168
Universitas Indonesia
Lampiran 3.1
Badan Pemeriksa Keuangan
Prosedur Pemeriksaan
Entitas : Pemerintah Daerah ABC
Tahun Buku : 2013
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
R.1 Review tata kelola keamanan informasi
1 Dapatkan dokumen yang terkait kebijakan keamanan
informasi pengelolaan keuangan dari sisi anggaran,
pengeluaran, penerimaan dan pengelolaan aset dan
lakukan analisa dokumen apakah organisasi telah
mengidentifikasi:
Kebijakan Umum Keamanan
Informasi dalam bentuk Perwal,
action plan, strategic plan, SOP
a Pimpinan Instansi organisasi secara prinsip dan resmi
bertanggungjawab terhadap pelaksanaan program
keamanan informasi pengelolaan keuangan, termasuk
penetapan kebijakan terkait?
b Identifikasi legislasi dan perangkat hukum lainnya
terkait keamanan informasi keuangan yang harus
dipatuhi dan menganalisa tingkat kepatuhannya, misal
PP Nomor 60 Tahun 2008 tentang SPIP?
Tupoksi / job description unit
organisasi/lembaga juga memasukkan
tanggungjawab keamanan informasi,
SK penunjukan Kepala Keamanan
Index A.17 Penilaian Risiko
keamanan Informasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
169
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
Informasi
c kebijakan dan langkah penanggulangan insiden
keamanan informasi dalam pengelolaan keuangan
yang menyangkut pelanggaran hukum
2 Review apakah dokumen yang terkait kebijakan
keamanan informasi pengelolaan keuangan daerah
dari sisi anggaran, pengeluaran, penerimaan dan
pengelolaan asetnya telah dikaji oleh unit lain yang
berwenang secara berkala, misal Inspektorat, BPKP?
Laporan Kajian Kebijakan umum
keamanan informasi, risalah rapat
(MOM) tentang pembahasan
masalah-masalah TI
3 Review dan dapatkan dokumen yang memuat tentang
pengelolaan keamanan informasi dalam entitas
a Apakah entitas memiliki fungsi atau bagian yang
secara spesifik mempunyai tugas dan tanggungjawab
mengelola keamanan informasi pengelolaan keuangan
terkait pencatatan penerimaan dan pengeluaran oleh
bendahara dan Kas Umum Daerah dan menjaga
kepatuhannya?
Struktur organisasi unit kerja
instansi/Lembaga dalam ruang
lingkup penerapan keamanan
informasi ( SOTK)
b Apakah pejabat/petugas pelaksana pengamanan
informasi mempunyai wewenang yang sesuai untuk
menerapkan dan menjamin kepatuhan program
keamanan informasi pengelolaan keuangan?
Tupoksi / job description unit
organisasi/lembaga juga memasukkan
tanggungjawab keamanan informasi,
SK penunjukan Kepala Keamanan
Informasi
c Apakah penanggungjawab pelaksanaan pengamanan
informasi keuangan diberikan alokasi sumber daya
yang sesuai untuk mengelola dan menjamin kepatuhan
program keamanan informasi pengelolaan keuangan,
misal dukungan fisik berupa access log view sistem
Struktur organisasi unit kerja
instansi/Lembaga dalam ruang
lingkup penerapan keamanan
informasi ( SOTK)
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
170
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
keuangan?
d Apakah entitas sudah menerapkan program sosialisasi
dan peningkatan pemahaman untuk keamanan
informasi, termasuk kepentingan kepatuhannya bagi
semua pihak yang terkait?
program/rencana pelatihan/sosialisasi
keamanan informasi dan bukti
realisasinya
e Apakah pengelola keamanan informasi secara proaktif
berkoordinasi dengan satker terkait (SDM,
Legal/Hukum, Umum, DPKD dll)
prosedur pengelolaan
insiden/masalah, termasuk jika
masalah tersebut menyangkut aspek
hukum
f Apakah pimpinan tiap SKPD menerapkan program
khusus untuk mematuhi tujuan dan sasaran kepatuhan
pengamanan informasi, khususnya yang mencakup
aset informasi keuangan yang menjadi tanggungjawab
tiap SKPD tersebut?
4 Review dan dapatkan dokumen yang memuat tentang
pengelolaan keamanan informasi entitas yang
berhubungan dengan pihak luar organisasi yakni
terkait penetapan retribusi, pajak daerah
Laporan Kajian Kebijakan umum
keamanan informasi, risalah rapat
(MOM) tentang pembahasan
masalah-masalah TI
a Apakah tanggungjawab pengelolaan keamanan
informasi mencakup koordinasi dengan pihak
pengelola/pengguna aset informasi eksternal untuk
mengidentifikasikan persyaratan/kebutuhan
pengamanan dan menyelesaikan permasalahan/risiko
yang ada, misal akses sistem penetapan retribusi dan
pajak daerah?
R.2 Review pengelolaan risiko keamanan
1 Dapatkan dokumen yang terkait pengelolaan risiko
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
171
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
keamanan informasi yang terdokumentasi dan memuat
a Program kerja pengelolaan risiko keamanan informasi
dalam organisasi
SOP Bidang komunikasi dan
informatika
b Kerangka kerja pengelolaan risiko keamanan
informasi dalam organisasi yang mencakup definisi
dan hubungan tingkat klasifiasi aset informasi, tingkat
ancaman, kemungkinan terjadinya ancaman tersebut
dan dampak kerugian yakni ketidakakuratan data pada
laporan keuangan pemerintah daerah?
dokumen metodologi risiko TI
2 Review apakah entitas telah melakukan kegiatan
pengelolaan risiko keamanan informasi keuangan
yang meliputi
a Apakah entitas sudah mendefinisikan atau
inventarisasi kepemilikan dan pihak pengelola aset
informasi keuangan yang ada, meliputi aset data
keuangan, aset aplikasi keuangan dan aset staf
pengolah data keuangan?
daftar aset TI, IT Master Plan
b Apakah entitas sudah mendefinisikan penggunaan aset
yang ada?
c Apakah ancaman dan kelemahan terkait aset informasi
yang sudah diinventaris sudah diindentifikasi
hasil kajian risiko TI (risk register)
d Apakah dampak kerugian terkait sudah diidentifikasi
sesuai dengan klasifikasi aset yang ada
risk acceptance kriteria
3 Dapatkan dokumen terkait penggunaan aset informasi
yang ada di entitas meliputi (sumber : A.7.1)
daftar aset TI, IT Master Plan
a Identifikasi lokasi dan fasilitas pengolahan informasi
yang ada/aplikasi keuangan, apakah digunakan oleh
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
172
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
yang tepat dan berada pada tempat yang aman?
4 Review penanganan masalah yang terjadi atau risiko
pada setiap aset informasi yang ada (sumber: A.7.2)
a Apakah entitas telah melakukan mitigasi
masalah/risiko yang ada pada setiap aset informasi
berdasarkan klasifikasi atau tingkat kepentingan pada
proses pelaporan keuangan pemerintah daerah
Laporan monitoring Tim secara
berkala
b Apakah status mitigasi dari setiap masalah/risiko telah
dilakukan evaluasi untuk memastikan kemajuan
kerjanya?
Risk Treatment Plan (RTP)
R.3 Review Kerangka Kerja Keamanan Informasi
1 Apakah kebijakan dan prosedur keamanan informasi
sudah disusun dengan jelas dengan mencantumkan
peran dan tanggung jawab pihak-pihak yang
berwenang untuk menerapkan?
SOTK, job desc
2 Apakah kebijakan dan prosedur keamanan informasi
sudah dikomunikasikan dan dipublikasikan kepada
pihak terkait dan dengan mudah diakses oleh semua
pihak dalam entitas tersebut?
Pengunguman ke semua satuan kerja
terkait keamanan infomasi yang
dilakukan secara berjenjang
3 Review dan dapatkan dokumen (jika ada) yang berisi
pengelolaan risiko dari pengembangan sistem
pengelolaan keuangan yang baru pada entitas
Hasil evaluasi dan pengkajian
investasi sistem TI yang baru pada
pihak yang terkait, meliputi user
(kepala SKPD dan jajarannya),
sekretaris daerah
a Apakah entitas sudah menerapkan proses evaluasi dari
risiko terkait rencana pengembangan sistem baru dan
penanggulangan masalah yang mungkin timbul dari
sistem pengelolaan keuangan baru tersebut?
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
173
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
b Apabila penerapan suatu sistem baru tersebut
menimbulkan masalah atau menyalahi kebijakan
terkait pelaksanaan pelaporan keuangan pemerintah,
apakah ada proses penanggulangan termasuk
pengamanan yang baru (compensating control)?
c Apakah entitas memiliki mempunyai strategi
penggunaan atas teknologi keamanan informasi untuk
pengolah keuangan daerah yang penerapan dan
pemutakhirannya disesuaikan dengan kebutuhan
entitas?
4 Review pengelolaan proses ketersediaan informasi
keuangan pemerintah daerah yakni informasi
anggaran, aset, penerimaan dan pengeluaran dengan
cara back up data
SOP Backup dan restore
a Apakah entitas memiliki kebijakan terkait proses back
up informasi ?
b Apakah ada proses evaluasi dilakukan secara berkala
terhadap kebijakan terkait proses back up?
c Apakah ada proses pelabelan atau inventarisasi media
penyimpanan back up informasi keuangan?
5 Review dan dapatkan dokumennya jika ada mengenai
pengendalian entitas terkait proses pertukaran
informasi keuangan baik di lingkungan internal
maupun eksternal entitas
a Apakah ada kebijakan atau prosedur yang mengatur
pengelolaan informasi termasuk penggunaan daftar
induk, distribusi, penarikan dari peredaran dan
SOP Pertukaran informasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
174
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
penyimpanan?
b Review apakah terdapat kebijakan atau mekanisme
yang mengatur interkoneksi sistem informasi yang
berhubungan dengan pelaporan keuangan dengan
organisasi eksternal?
6 Review proses pendeteksian kegiatan pengolahan
informasi keuangan yang tidak sah
a Apakah entitas memiliki prosedur yang mengatur
proses pemantauan penggunaan fasilitas pengolahan
informasi keuangan?
SOP Pemantauan bidang komunikasi
dan informatika
b Apakah aspek keamanan informasi mencakup
pengendalian pelaporan insiden yang didapat dari log
audit, log administrator dan operator dan log atas
kesalahan yang terjadi pada sistem informasi
keuangan sehingga dapat segera dianalisa dan diambil
tindakan dan tidak menimbulkan masalah pada
laporan keuangan?
Laporan pemantuan meliputi analisa
log admin
c Apakah entitas melakukan perlindungan pada fasilitas
log dari akses sistem pengelolaan keuangan daerah?
SOP Pemantauan bidang komunikasi
dan informatika
7 Review dan dapatkan dokumen yang berisi proses
pelaporan kelemahan keamanan informasi keuangan
SOP penanganan insiden
a Apakah aspek keamanan informasi keuangan yang
mencakup pelaporan insiden dari sistem pengelolaan
keuangan tercantum dalam suatu kebijakan atau
prosedur yang disebarkan ke semua pegawai dan
pihak ketiga?
8 Review dan dapatkan dokumen yang berisi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
175
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
manajemen insiden keamanan informasi yang
bertujuan untuk melihat keefektifan penerapannya?
a Apakah entitas sudah menerapkan kebijakan dan
prosedur operasional untuk mengelola insiden
keamanan informasi yang muncul, alokasi tanggung
jawab untuk memonitor dan penanggulangan insiden
keamanan pada fasilitas pengolah keuangan yang ada?
SOP penanganan insiden
b Apakah entitas memiliki program untuk meningkatkan
keamanan informasi untuk mengatasi insiden yang
telah terjadi sebelum-sebelumnya pada fasilitas
pengolah keuangan?
Laporan tim teknis berupa
rekomendasi kontrol
c Apakah program keamanan informasi yang ada
dilakukan evaluasi untuk melihat keefektifan
penerapannya dalam entitas?
bukti/risalah rapat/manajemen review
untuk mengevaluasi efektivitas
penerapan keamanan informasi
d Apakah konsekuensi dari pelanggaran keamanan
informasi yang menyebabkan insiden sudah
didefinisikan, dikomunikasikan dan ditegakan oleh
entitas?
R.4 Review Pengelolaan Aset Informasi
1 Review dan dapatkan dokumen mengenai pengelolaan
keamanan informasi oleh semua pihak entitas baik
pegawai dan kontraktor selama bekerja di entitas
tersebut.
SOP keamanan informasi, SOTK/Job
desc
a Apakah entitas telah mendefinisikan tanggung jawab
pengamanan informasi keuangan secara individual
untuk semua personil di entitas?
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
176
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
b Apakah konsekuensi dari pelanggaran keamanan
informasi yang menyebabkan insiden pada proses
pelaporan keuangan sudah didefinisikan,
dikomunikasikan dan ditegakan oleh entitas?
2 Review dan dapatkan dokumen mengenai pengelolaan
keamanan informasi keuangan oleh semua pihak
entitas baik pegawai dan kontraktor setelah
mengakhiri kerjasama atau perubahan pekerjaan di
entitas tersebut.
Pakta integritas dengan pihak ketiga
dalam MOU, NDA untuk pihak
ketiga menyangkut informasi rahasia
a Apakah entitas telah mendefinisikan tanggung jawab
pengamanan informasi keuangan secara individual
untuk semua personil di entitas setelah pengakhiran
kerjasama atau perubahan pekerjaaan?
b Apakah pihak yang melakukan pengakhiran pekerjaan
terkait proses pengelolaan data keuangan dalam entitas
mengembalikan aset yang digunakan ketika bekerja?
c Apakah terdapat penghapusan hak akses pihak yang
mengakhiri kerjasama dan perubahan pekerjaan
terhadap fasilitas pengolah informasi keuangan yang
dipakai selama bekerja di entitas tersebut?
3 Review dan dapatkan dokumen mengenai
pengendalian area penyimpanan fasilitas pengolahan
informasi
a Apakah terdapat ketentuan pengamanan fisik yang
disesuaikan dengan definisi zona dan klasifikasi aset
yang ada didalamnya?
SOP pengamanan fasilitas
pengolahan informasi (SOP data
center)
b Apakah entitas memiliki pengendalian fisik area Cek fisik data center
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
177
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
penyimpanan fasilitas informasi berupa pengendalian
entri?
c Apakah entitas memiliki pengamanan kantor, ruangan
dan fasilitas penyimpanan informasi dari ancaman
eksternal entitas? (misal adanya rancangan dan
material yang dapat menanggulangi risiko kebakaran
dan dilengkapi dengan fasilitas pendukung (deteksi
kebakaran, asap, pemadaman api, pengatur suhu dan
kelembapan)
4 Review dan dapatkan dokumen mengenai keamanan
peralatan yang memuat informasi sehingga
pencegahan kehilangan, kerusakan, pencurian atau
gangguan terhadap kegiatan entitas.
a Apakah tersedia peraturan untuk mengamankan lokasi
kerja penting (ruang server, ruang arsip) dalam proses
pengelolaan data keuangan dari risiko perangkat atau
bahan yang membahayakan aset informasi yang ada
didalamnya? (misal menggunakan telepon genggam
atau kamera pada saat memasuki ruang server)
SOP pengamanan fasilitas
pengolahan informasi (SOP data
center)
5 Adakah dokumen kebijakan atau prosedur yang
mengatur mengenai pengelolaan/pemberian akses,
otentikasi dan otorisasi untuk menggunakan aset
informasi pengelolaan keuangan
prosedur pengelolaan hak akses
(Access Control)
6 Review pengelolaan akses untuk menggunakan aset
informasi di entitas
Laporan monitoring terkait hak akses
pengguna ( user access review)
a Apakah entitas memiliki inventarisasi akses terhadap
informasi keuangan dan fasilitas pengolah keuangan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
178
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
yang berisi identitas elektronik pemilik akses, proses
otentikasi (username, password)?
b Apakah ada prosedur yang mengatur pengkajian atas
hak akses pengguna (user access review) secara
berkala dan langkah pembenahan apabila terjadi
ketidaksesuaian terhadap kebijakan yang
berlaku?(misal: apabila pengguna sudah tidak
berwenang atas suatu proses dalam sistem keuangan
maka dia tidak bisa mengakses fungsi tersebut)
7 Review apakah entitas memiliki ketetapan
pendefinisian tanggung jawab pengamanan informasi
secara individual sebagai pengolah data keuangan di
semua satuan kerja yang ada?(misal: ketentuan
pemilihan password tiap pengguna, sistem clear desk
dan clear screen serta keamanan peralatan yang
ditinggalkan oleh pengguna)
SOP pengamanan informasi secara
individual
8 Review dan dapatkan dokumen jika ada terkait
pengendalian akses jaringan, sistem operasi dan sistem
aplikasi informasi yang digunakan untuk pengolahan
keuangan baik pencatatan penerimaan, pengeluaran
dan mutasi aset
a Apakah entitas memiliki kebijakan atau prosedur yang
mengatur akses, proses otentikasi dan otorisasi
penggunaan aset informasi yakni jaringan, sistem
operasi dan sistem aplikasi informasi?
SOP pengamanan jaringan, sistem
operasi dan sistem informasi
b Apakah entitas melakukan pengendalian secara teknis
pada aset informasi yakni jaringan, diantaranya
Cek fisik ruang kerja pegawai
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
179
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
perlindungan dari configuration port, remote
diagnostic selain itu pengendalian pada routing dan
koneksi jaringan untu pengelolaan informasi
keuangan?
c Apakah entitas melakukan pengendalian secara teknis
pada aset informasi yakni sistem operasi, diantaranya
sesi time out, prosedur log on yang aman pada sistem
operasi, dan pengendalian program utility?
d Apakah entitas melakukan pengendalian secara teknis
pada aset informasi yakni aplikasi, diantaranya isolasi
aplikasi yang sensitif bagi entitas dan pembatasan
akses informasi?
9 Review kesesuaian proses pengamanan informasi
yang dilakukan oleh pengelola keuangan yakni
bendahara penerimaan, bendahara barang, bendahara
pengeluaran dan PPK-SKPD terhadap hukum yang
berlaku
a Apakah entitas telah membuat tata tertib pengamanan
dan penggunaan aset entitas terkait HAKI (Hak
Kekayaan Intelektual)?
Cek fisik lisensi OS atau aplikasi
yang lainnya
b Apakah terdapat peraturan pengamanan data pribadi di
entitas tersebut
SOP/ aturan penggunaan email,
internet dan hasil pemantauan
pengunggan email & internet
c Apakah terdapat tata tertib penggunaan email, internet,
intranet dan komputer?
10 Review apakah entitas memiliki prosedur untuk
mengamankan lokasi kerja, fasilitas informasi dan aset
informasi terkait pengelolaan keuangan (anggaran,
Pakta integritas dengan pihak ketiga
dalam MOU, NDA untuk pihak
ketiga menyangkut informasi rahasia
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
180
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
penerimaan, pengeluaran dan pengelolaan aset dari
keberadaan pihak internal maupun eksternal yang
melakukan audit pada entitas?
SOP pengamanan informasi secara
individual
R.5 Review Teknologi dan Keamanan Informasi
1 Review apakah entitas melakukan pengendalian
terkait pengolahan dalam suatu aplikasi untuk
pencatatan pengeluaran, penerimaan keuangan oleh
bendahara dan kas umum daerah serta mutasi aset di
pemerintah daerah.
a Apakah setiap perubahan pada sistem informasi secara
otomatis terekam didalam log?
Periksa log penggunaan sistem dan
aplikasi TI, baik oleh user maupun
admin
b Apakah upaya akses yang tidak berhak juga terekam
dalam log?
c Apakah semua log yang ada dianalisa secara berkala
untuk memastikan akurasi, validitas data masukan
serta data keluaran sistem informasi dan kelengkapan
isinya?
Laporan tim teknis terkait analisa log
2 Review dan dapatkan dokumen mengenai
pengendalian kriptografi yang diterapkan oleh entitas
pada aplikasi untuk pencatatan pengeluaran,
penerimaan keuangan oleh bendahara dan kas umum
daerah serta mutasi aset di pemerintah daerah.
SOP enkripsi
a Apakah entitas menerapakan enkripsi untuk
melindungi aset informasi keuangan penting sesuai
dengan kebijakan yang ada?
b Apakah entitas memiliki standar dalam penggunaan
enkripsi tersebut?
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
181
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun Laporan
Keuangan yang
terkait
C I A
c Apakah entitas menerapkan pengamanan untuk
mengelola kunci enkripsi yang digunakan?
3 Review apakah entitas melakukan pengamanan system
files berupa perlindungan data uji sistem, pembatasan
akses ke kode sumber sistem informasi keuangan
terkait pengelolaan anggaran, penerimaan keuangan,
pengeluaran dan pengelolaan aset?
Periksa kesesuaian sistem TI dengan
standar yang ditetapkan:
a. Standar software,
b. Standar keamanan (security
baseline),
c. Standar rilis aplikasi
d. Software AntiVirus
4 Review apakah entitas melakukan pengamanan dan
tinjuan teknis atas sistem aplikasi pengelolaan
keuangan meliputi aplikasi anggaran, aset dan
penerimaan atau pengeluaran keuangan pada saat
proses pengembangan atau perubahan pada aset
informasi yang terhubung dengan aplikasi tersebut,
misal perubahan sistem operasi?
Keterangan :
C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan kerahasian data dan informasi.
I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tidak akan boleh berubah tanpa ijin yang berwenang.
A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tersedia ketika dibutuhkan.
Deskripsi Level untuk tiap proses
Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni :
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
182
Universitas Indonesia
a) Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih belum lengkap dan bersifat adhock bergantung pada
permasalahan yang muncul atau kondisi tertentu yang sedang dihadapi.
b) Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang
hampir sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam perencanaan.
c) Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang diterapkan pada setiap proses kerja yang berhubungan dengan keamanan
informasi dan sudah ada standar kontrol keamanan informasi yang akan dilakukan.
d) Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.
e) Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
183
Universitas Indonesia
Lampiran 3.2
Keusioner Pengukuran tingkat risiko keamanan informasi
Petunjuk pengisian :
Pada kuesioner ini, Bapak/Ibu diminta untuk menjawab pertanyaan-pertanyaan yang ada
dengan memberi tanda (×) pada salah satu pilihan jawaban yang tersedia, berdasarkan
penilaian dan pendapat yang Bapak/Ibu anggap paling mewakili kondisi sesungguhnya di
tempat Bapak/Ibu bekerja saat ini.
Nama :
Jabatan : Eselon I/Eselon II/Eselon III/Eselon IV/Staf
Unit kerja :
- -
(L.1.1) Apakah di dalam organisasi Anda terdapat kebijakan keamanan informasi ?
a. Ya
b. Tidak
(D.1.1, D.1.2) Seberapa penting kebijakan keamanan informasi bagi Anda ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.1.2) Setiap berapa kali kebijakan keamanan informasi direview?
a. Setahun sekali
b. 2-3 tahun sekali
c. 5 tahun sekali
d. Sesuai kebutuhan
e. Tidak pernah direview
(L.1.3) Berapa persentase dari IT budgeting yang dikeluarkan untuk keamanan informasi
jika ada ?
a. > 40%
b. 30% - 39%
c. 20% - 29%
d. 10% - 19%
e. < 10%
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
184
Universitas Indonesia
(D.1.3) Seberapa besar pengaruh dukungan organisasi terhadap keamanan informasi ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.1.4) Konten pakta integritas dengan pihak ketiga terkait keamanan informasi di
organisasi meliputi ?
a. pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi
organisasi
b. pengaksesan dan pengolahan informasi
c. pengaksesan fasilitas pengolahan informasi
d. proses pengolahan informasi
e. tidak ada penekanan perjanjian terkait keamanan
(D.1.4) seberapa penting konten pakta integritas dengan pihak ketiga terkait keamanan
informasi bagi organisasi?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.2.1) Bagaimana proses inventarisasi aset TI dilakukan oleh organisasi anda
a. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi
dan Hardware) di seluruh satuan kerja
b. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi
dan Hardware) hanya di beberapa satuan kerja
c. Dilakukan pada saat ada penambahan aset TI saja atau kondisi tertentu dan
meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware)
d. Dilakukan secara tidak menentu ( baik segi waktu dan kondisi ) dan meliputi
semua aset TI ( Jaringan, Sistem Informasi dan Hardware)
e. Tidak dilakukan inventarisasi aset di organisasi
(D.2.1) Seberapa penting proses inventarisasi aset TI bagi organisasi anda
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
185
Universitas Indonesia
(L.2.2) Bagaimana klasifikasi informasi dilakukan ?
a. Diklasifikasi berdasarkan tingkat sangat rahasia, rahasia, terbatas dan public
b. Diklasifikasi berdasarkan tingkat sangat rahasia, terbatas dan public
c. Diklasifikasi berdasarkan tingkat rahasia dan public
d. Diklasifikasi berdasarkan tingkat rahasia
e. Informasi belum diklasifikasikan
(D.2.2) Seberapa penting klasifikasi informasi terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.2.3) Bagaimana proses monitoring risiko TI di organisasi anda?
a. Dilakukan secara berkala, terdokumentasi dengan baik dan didukung prosedur
pengelolaan monitoring risiko TI
b. Dilakukan pada kondisi tertentu, terdokumentasi dan didukung prosedur
pengelolaan monitoring risiko TI
c. Dilakukan pada kondisi tertentu, pelaporan hanya berupa lisan dan
pelaksanaannya secara adhoc
d. Dilakukan pada kondisi tertentu, tidak ada pelaporan dan pelaksanaanya secara
adhoc
e. Tidak terdapat monitoring risiko TI
(D.2.3) Seberapa penting proses monitoring risiko TI bagi organisasi anda?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.3.1) Meliputi apa saja proses perencanaan aksi organisasi terkait pengembangan sistem
baru (Compensating control)?
a. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat
pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi.
Pelaksanaannya didukung dengan dokumentasi yang baik
b. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat
pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi.
Pelaksanaannya secara adhoc
c. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang.
Pelaksanaannya didukung dengan dokumentasi yang baik
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
186
Universitas Indonesia
d. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang.
Pelaksanaannya secara adhoc
e. Tidak ada compensating control dalam organisasi
(D.3.1) seberapa penting compensating control dalam organisasi
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.3.2) Bagaimana intensitas back up dilakukan ?
a. Seminggu sekali
b. Sebulan sekali
c. 3 – 6 bulan sekali
d. Tidak tentu waktunya
e. Tidak pernah dilakukan
(D.3.2) Seberapa penting back up terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.3.3) Pengendalian pertukaran informasi di organisasi anda meliputi ?
a. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan
dikaji secara berkala serta dilaksanakan
b. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan
tidak dikaji secara berkala serta dilaksanakan
c. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan
dikaji secara berkala tapi tidak dilaksanakan
d. Kebijakan dan prosedur pertukaran informasi tidak didokumentasikan karena
pelaksanaanya secara adhoc
e. Tidak ada prosedur pertukaran informasi
(D.3.3) seberapa besar pengaruh prosedur pertukaran informasi bagi organisasi anda?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
187
Universitas Indonesia
e. Sangat kecil
(L.3.5) Jenis ancaman apa saja yang sering terjadi di organisasi ?
a. Virus
b. Virus dan sniffing (akses informasi sensitive melalui jaringan)
c. Virus, sniffing dan brute force login (menebak password)
d. Virus, sniffing , brute force login dan DoS (membuat server jadi sibuk)
e. Virus, sniffing , brute force login, DoS dan spoofing (memalsukan situs web)
(D.3.5) Seberapa besar pengaruh ancaman tersebut terhadap proses bisnis organisasi ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.3.6) Berapa anggaran pengeluaran untuk pemeliharaan terhadap keamanan asset TI ?
a. 81% – 100%
b. 61% – 80%
c. 41% – 60%
d. 21% – 40%
e. < 20%
(D.3.6) Seberapa besar pengaruh dukungan organisasi terhadap keamanan asset TI ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.4.1) Berapa kali pegawai mendapatkan pelatihan terkait keamanan informasi ?
a. > 5 kali
b. 4 – 5 kali
c. 2 – 3 kali
d. 1 kali
e. Belum pernah
(D.4.1) Seberapa penting pelatihan terkait keamanan informasi bagi organisasi ?
a. Sangat penting
b. Penting
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
188
Universitas Indonesia
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.2) Berapa banyak staf yang terkait dengan insiden ?
a. < 20%
b. 21% - 40%
c. 41% - 60%
d. 61% - 80%
e. 81% - 100%
(D.4.2) Seberapa besar pengaruh insiden yang diakibatkan oleh pegawai terhadap proses
bisnis organisasi ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.4.3) Berapa perbandingan masing-masing pegawai dengan beban kerja ?
a. 1 orang : 1 pekerjaan
b. 1 orang : 2 pekerjaan
c. 1 orang : 3 pekerjaan
d. 1 orang : 4 pekerjaan
e. 1 orang : 5 pekerjaan
(D.4.3) Seberapa besar pengaruh beban kerja terhadap para pegawai ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.4.5) Bagaimana akses masuk ke dalam ruangan datacenter ?
a. Sidik jari, swipe card dan pin code
b. Swipe card dan pin code
c. Swipe card
d. Pin code
e. Tanpa akses
(D.4.5) Seberapa penting pengamanan fisik untuk area sensitive ?
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
189
Universitas Indonesia
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.6) Setelah terjadinya bencana seperti listrik padam, berapa lama waktu yang
dibutuhkan system untuk kembali normal ?
a. < 1 jam
b. 2 – 4 jam
c. 5 – 7 jam
d. > 7 jam
e. 1 hari
(D.4.6) Seberapa penting adanya DRP (Disaster Recovery Planning) terhadap proses
bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.7) Berapa persentase banyaknya pengguna yang sudah mengimplementasikan ISO
27001 terkait keamanan peralatan di luar lokasi kerja?
a. > 40%
b. 30% - 39%
c. 20% - 29%
d. 10% - 19%
e. < 10%
(D.4.7) Seberapa penting implementasi ISO 27001 terkait keamanan peralatan di luar
lokasi kerja bagi organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.9) Bagaimana pengendalian terhadap akses ke social networking bagi para
pengguna di organisasi anda ?
a. Tidak boleh akses sama sekali
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
190
Universitas Indonesia
b. Adanya pembatasan url dan jam akses
c. Adanya pembatasan url
d. Adanya pembatasan jam akses
e. Tidak ada pembatasan url dan jam akses
(D.4.9) Seberapa besar pengaruh pengendalian dari akses social networking terhadap
proses bisnis organisasi ?
a. Sangat besar
b. Besar
c. Sedang
d. Kecil
e. Sangat kecil
(L.4.10) Bagaimana pengelolaan password dilakukan ?
a. Password akan terkunci jika melakukan kesalahan hingga 3x, terdiri dari 6 digit,
kombinasi huruf dan angka dan diganti secara berkala
b. Password terdiri dari minimal 6 digit, kombinasi huruf dan angka serta diganti
secara berkala
c. Password terdiri dari kombinasi huruf dan angka serta diganti secara berkala
d. Password diganti secara berkala
e. Tidak ada peraturan tentang pengelolaan password
(D.4.10) Seberapa penting pengelolaan password terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.11) Bagaimana update antivirus dilakukan di organisasi ?
a. Seminggu sekali
b. Sebulan sekali
c. 3 – 6 bulan sekali
d. Setahun sekali
e. Tidak tentu waktunya
(D.4.11) Seberapa penting update antivirus terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
191
Universitas Indonesia
d. Tidak penting
e. Sangat tidak penting
(L.4.12) Bagaimana dengan kehandalan antivirus yang digunakan di organisasi ?
a. Dapat mendeteksi virus pada semua unit kerja di Kantor Pusat Pemda dan
Kec/Kel
b. Hanya dapat mendeteksi virus pada unit kerja di Kantor Pusat Pemda
c. Hanya dapat mendeteksi virus pada satu gedung saja
d. Lokasi tidak dapat diprediksi
e. Lebih sering virus tidak terdeteksi
(D.4.12) Seberapa penting antivirus terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.4.14) Bagaimana pengelolaan email dilakukan ?
a. Mengganti password secara berkala, melakukan scanning terhadap attachment,
tidak membuka email dari pengirim yang tidak dikenal dan tidak menggunakan
third party email services untuk kebutuhan organisasi
b. Mengganti password secara berkala, melakukan scanning terhadap attachment
dan tidak membuka email dari pengirim yang tidak dikenal
c. Mengganti password secara berkala dan melakukan scanning terhadap
attachment
d. Mengganti password secara berkala
e. Belum ada prosedur pengelolaan email
(D.4.14) Seberapa penting pengelolaan email terhadap proses bisnis organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.5.2) Bagaimana bentuk pengendalian terhadap system informasi di organisasi ?
a. Pemberian hak akses, enkripsi password, monitoring system dan log audit
b. Pemberian hak akses, enkripsi password dan monitoring system
c. Pemberian hak akses dan enkripsi password
d. Enkripsi password
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
192
Universitas Indonesia
e. Bentuk pengendalian belum jelas
(D.5.2) Seberapa penting pengendalian system informasi terhadap proses bisnis
organisasi ?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.5.3) Kejadian apa yang sering dialami terhadap data atau informasi dalam aplikasi di
organisasi ?
a. Tidak pernah
b. Data diubah dan terinfeksi virus
c. Data diubah, terinfeksi virus dan data hilang
d. Data diubah, terkena virus , hilang dan data dicuri
e. Data diubah, terkena virus , hilang, data dicuri dan disalah gunakan
(D.5.3) Seberapa penting keamanan data dalam aplikasi terhadap proses bisnis organisasi
?
a. Sangat penting
b. Penting
c. Sedang
d. Tidak penting
e. Sangat tidak penting
(L.5.4) Berapa persentase aplikasi dilakukan secara outsourced ?
a. < 20%
b. 21% - 40%
c. 41% - 60%
d. 61% - 80%
e. 81% - 100%
(D.5.4) Bagaimana pengaruh dilakukannya outsourced di organisasi Anda ?
a. Sangat membantu
b. Membantu
c. Sedang
d. Tidak membantu
e. Sangat tidak membantu
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
193
Universitas Indonesia
Lampiran 4
Badan Pemeriksa Keuangan
Prosedur Pemeriksaan
Entitas : Pemerintah Daerah Kota Tangerang
Tahun Buku : 2013
Dibuat oleh : ISA
Direviu oleh : YK
Disetujui oleh : RU
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
R.1 Review tata kelola keamanan informasi
1 Dapatkan dokumen yang terkait kebijakan keamanan
informasi pengelolaan keuangan dari sisi anggaran,
pengeluaran, penerimaan dan pengelolaan aset dan lakukan
analisa dokumen apakah organisasi telah mengidentifikasi:
Kebijakan Umum Keamanan
Informasi dalam bentuk Perwal,
action plan, strategic plan, SOP
a Pimpinan Instansi organisasi secara prinsip dan resmi
bertanggungjawab terhadap pelaksanaan program
2 X Semua akun
Index A.17 Penilaian Risiko keamanan
Informasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
194
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
keamanan informasi pengelolaan keuangan, termasuk
penetapan kebijakan terkait?
b Identifikasi legislasi dan perangkat hukum lainnya terkait
keamanan informasi keuangan yang harus dipatuhi dan
menganalisa tingkat kepatuhannya, misal PP Nomor 60
Tahun 2008 tentang SPIP?
Tupoksi / job description unit
organisasi/lembaga juga memasukkan
tanggungjawab keamanan informasi,
SK penunjukan Kepala Keamanan
Informasi
1 X Semua akun
c kebijakan dan langkah penanggulangan insiden keamanan
informasi dalam pengelolaan keuangan yang menyangkut
pelanggaran hukum
2 X Semua akun
2 Review apakah dokumen yang terkait kebijakan keamanan
informasi pengelolaan keuangan daerah dari sisi anggaran,
pengeluaran, penerimaan dan pengelolaan asetnya telah
dikaji oleh unit lain yang berwenang secara berkala, misal
Inspektorat, BPKP?
Laporan Kajian Kebijakan umum
keamanan informasi, risalah rapat
(MOM) tentang pembahasan
masalah-masalah TI
X Semua akun
3 Review dan dapatkan dokumen yang memuat tentang
pengelolaan keamanan informasi dalam entitas
a Apakah entitas memiliki fungsi atau bagian yang secara
spesifik mempunyai tugas dan tanggungjawab mengelola
keamanan informasi pengelolaan keuangan terkait
pencatatan penerimaan dan pengeluaran oleh bendahara dan
Kas Umum Daerah dan menjaga kepatuhannya?
Struktur organisasi unit kerja
instansi/Lembaga dalam ruang
lingkup penerapan keamanan
informasi ( SOTK)
2 X X Akun PAD,
Belanja,
Aktiva
b Apakah pejabat/petugas pelaksana pengamanan informasi
mempunyai wewenang yang sesuai untuk menerapkan dan
menjamin kepatuhan program keamanan informasi
pengelolaan keuangan?
Tupoksi / job description unit
organisasi/lembaga juga memasukkan
tanggungjawab keamanan informasi,
SK penunjukan Kepala Keamanan
Informasi
1 X X Semua akun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
195
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
c Apakah penanggungjawab pelaksanaan pengamanan
informasi keuangan diberikan alokasi sumber daya yang
sesuai untuk mengelola dan menjamin kepatuhan program
keamanan informasi pengelolaan keuangan, misal
dukungan fisik berupa access log view sistem keuangan?
Struktur organisasi unit kerja
instansi/Lembaga dalam ruang
lingkup penerapan keamanan
informasi ( SOTK)
1 X X Pendapatan
Pajak Daerah,
Belanja
d Apakah entitas sudah menerapkan program sosialisasi dan
peningkatan pemahaman untuk keamanan informasi,
termasuk kepentingan kepatuhannya bagi semua pihak yang
terkait?
program/rencana pelatihan/sosialisasi
keamanan informasi dan bukti
realisasinya
1 X X Semua akun
e Apakah pengelola keamanan informasi secara proaktif
berkoordinasi dengan satker terkait (SDM, Legal/Hukum,
Umum, DPKD dll)
prosedur pengelolaan
insiden/masalah, termasuk jika
masalah tersebut menyangkut aspek
hukum
1 X X Semua akun
f Apakah pimpinan tiap SKPD menerapkan program khusus
untuk mematuhi tujuan dan sasaran kepatuhan pengamanan
informasi, khususnya yang mencakup aset informasi
keuangan yang menjadi tanggungjawab tiap SKPD
tersebut?
1 X X Semua akun
4 Review dan dapatkan dokumen yang memuat tentang
pengelolaan keamanan informasi entitas yang berhubungan
dengan pihak luar organisasi yakni terkait penetapan
retribusi, pajak daerah
Laporan Kajian Kebijakan umum
keamanan informasi, risalah rapat
(MOM) tentang pembahasan
masalah-masalah TI
a Apakah tanggungjawab pengelolaan keamanan informasi
mencakup koordinasi dengan pihak pengelola/pengguna
aset informasi eksternal untuk mengidentifikasikan
persyaratan/kebutuhan pengamanan dan menyelesaikan
permasalahan/risiko yang ada, misal akses sistem penetapan
3 X X X Pendapatan
Pajak Daerah
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
196
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
retribusi dan pajak daerah?
R.2 Review pengelolaan risiko keamanan
1 Dapatkan dokumen yang terkait pengelolaan risiko
keamanan informasi yang terdokumentasi dan memuat
a Program kerja pengelolaan risiko keamanan informasi
dalam organisasi
SOP Bidang komunikasi dan
informatika
1 X Semua akun
b Kerangka kerja pengelolaan risiko keamanan informasi
dalam organisasi yang mencakup definisi dan hubungan
tingkat klasifiasi aset informasi, tingkat ancaman,
kemungkinan terjadinya ancaman tersebut dan dampak
kerugian yakni ketidakakuratan data pada laporan keuangan
pemerintah daerah?
dokumen metodologi risiko TI 1 X Semua akun
2 Review apakah entitas telah melakukan kegiatan
pengelolaan risiko keamanan informasi keuangan yang
meliputi
a Apakah entitas sudah mendefinisikan atau inventarisasi
kepemilikan dan pihak pengelola aset informasi keuangan
yang ada, meliputi aset data keuangan, aset aplikasi
keuangan dan aset staf pengolah data keuangan?
daftar aset TI, IT Master Plan 2 X X X Akun aktiva
b Apakah entitas sudah mendefinisikan penggunaan aset yang
ada?
2 X X X Akun aktiva
c Apakah ancaman dan kelemahan terkait aset informasi yang
sudah diinventaris sudah diindentifikasi
hasil kajian risiko TI (risk register) 1 X X X Akun aktiva
d Apakah dampak kerugian terkait sudah diidentifikasi sesuai
dengan klasifikasi aset yang ada
risk acceptance kriteria 1 X X X Akun aktiva
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
197
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
3 Dapatkan dokumen terkait penggunaan aset informasi yang
ada di entitas meliputi (sumber : A.7.1)
daftar aset TI, IT Master Plan
a Identifikasi lokasi dan fasilitas pengolahan informasi yang
ada/aplikasi keuangan, apakah digunakan oleh yang tepat
dan berada pada tempat yang aman?
2 X X X Akun aktiva
4 Review penanganan masalah yang terjadi atau risiko pada
setiap aset informasi yang ada (sumber: A.7.2)
a Apakah entitas telah melakukan mitigasi masalah/risiko
yang ada pada setiap aset informasi berdasarkan klasifikasi
atau tingkat kepentingan pada proses pelaporan keuangan
pemerintah daerah
Laporan monitoring Tim secara
berkala
1 X X X Semua akun
b Apakah status mitigasi dari setiap masalah/risiko telah
dilakukan evaluasi untuk memastikan kemajuan kerjanya?
Risk Treatment Plan (RTP) 2 X X X Semua akun
R.3 Review Kerangka Kerja Keamanan Informasi
1 Apakah kebijakan dan prosedur keamanan informasi sudah
disusun dengan jelas dengan mencantumkan peran dan
tanggung jawab pihak-pihak yang berwenang untuk
menerapkan?
SOTK, job desc X Semua akun
2 Apakah kebijakan dan prosedur keamanan informasi sudah
dikomunikasikan dan dipublikasikan kepada pihak terkait
dan dengan mudah diakses oleh semua pihak dalam entitas
tersebut?
Pengunguman ke semua satuan kerja
terkait keamanan infomasi yang
dilakukan secara berjenjang
X Semua akun
3 Review dan dapatkan dokumen (jika ada) yang berisi
pengelolaan risiko dari pengembangan sistem pengelolaan
keuangan yang baru pada entitas
Hasil evaluasi dan pengkajian
investasi sistem TI yang baru pada
pihak yang terkait, meliputi user
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
198
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
a Apakah entitas sudah menerapkan proses evaluasi dari
risiko terkait rencana pengembangan sistem baru dan
penanggulangan masalah yang mungkin timbul dari sistem
pengelolaan keuangan baru tersebut?
(kepala SKPD dan jajarannya),
sekretaris daerah
2 X X X Semua akun
b Apabila penerapan suatu sistem baru tersebut menimbulkan
masalah atau menyalahi kebijakan terkait pelaksanaan
pelaporan keuangan pemerintah, apakah ada proses
penanggulangan termasuk pengamanan yang baru
(compensating control)?
2 X X X Semua akun
c Apakah entitas memiliki mempunyai strategi penggunaan
atas teknologi keamanan informasi untuk pengolah
keuangan daerah yang penerapan dan pemutakhirannya
disesuaikan dengan kebutuhan entitas?
2 X X X Semua akun
4 Review pengelolaan proses ketersediaan informasi
keuangan pemerintah daerah yakni informasi anggaran,
aset, penerimaan dan pengeluaran dengan cara back up data
SOP Backup dan restore
a Apakah entitas memiliki kebijakan terkait proses back up
informasi ?
1 X X X Semua akun
b Apakah ada proses evaluasi dilakukan secara berkala
terhadap kebijakan terkait proses back up?
2 X X X Semua akun
c Apakah ada proses pelabelan atau inventarisasi media
penyimpanan back up informasi keuangan?
3 X Semua akun
5 Review dan dapatkan dokumennya jika ada mengenai
pengendalian entitas terkait proses pertukaran informasi
keuangan baik di lingkungan internal maupun eksternal
entitas
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
199
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
a Apakah ada kebijakan atau prosedur yang mengatur
pengelolaan informasi termasuk penggunaan daftar induk,
distribusi, penarikan dari peredaran dan penyimpanan?
SOP Pertukaran informasi 1 X X X Anggaran,
Pendapatan
dan aset
b Review apakah terdapat kebijakan atau mekanisme yang
mengatur interkoneksi sistem informasi yang berhubungan
dengan pelaporan keuangan dengan organisasi eksternal?
2 X X X Anggaran,
Pendapatan
dan aset
6 Review proses pendeteksian kegiatan pengolahan informasi
keuangan yang tidak sah
a Apakah entitas memiliki prosedur yang mengatur proses
pemantauan penggunaan fasilitas pengolahan informasi
keuangan?
SOP Pemantauan bidang komunikasi
dan informatika
2 X X X Semua akun
b Apakah aspek keamanan informasi mencakup pengendalian
pelaporan insiden yang didapat dari log audit, log
administrator dan operator dan log atas kesalahan yang
terjadi pada sistem informasi keuangan sehingga dapat
segera dianalisa dan diambil tindakan dan tidak
menimbulkan masalah pada laporan keuangan?
Laporan pemantuan meliputi analisa
log admin
3 X X X Semua akun
c Apakah entitas melakukan perlindungan pada fasilitas log
dari akses sistem pengelolaan keuangan daerah?
SOP Pemantauan bidang komunikasi
dan informatika
2 X X X Semua akun
7 Review dan dapatkan dokumen yang berisi proses
pelaporan kelemahan keamanan informasi keuangan
SOP penanganan insiden
a Apakah aspek keamanan informasi keuangan yang
mencakup pelaporan insiden dari sistem pengelolaan
keuangan tercantum dalam suatu kebijakan atau prosedur
yang disebarkan ke semua pegawai dan pihak ketiga?
2 X X Semua akun
8 Review dan dapatkan dokumen yang berisi manajemen
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
200
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
insiden keamanan informasi yang bertujuan untuk melihat
keefektifan penerapannya?
a Apakah entitas sudah menerapkan kebijakan dan prosedur
operasional untuk mengelola insiden keamanan informasi
yang muncul, alokasi tanggung jawab untuk memonitor dan
penanggulangan insiden keamanan pada fasilitas pengolah
keuangan yang ada?
SOP penanganan insiden 2 X X X Semua akun
b Apakah entitas memiliki program untuk meningkatkan
keamanan informasi untuk mengatasi insiden yang telah
terjadi sebelum-sebelumnya pada fasilitas pengolah
keuangan?
Laporan tim teknis berupa
rekomendasi kontrol
2 X Semua akun
c Apakah program keamanan informasi yang ada dilakukan
evaluasi untuk melihat keefektifan penerapannya dalam
entitas?
bukti/risalah rapat/manajemen review
untuk mengevaluasi efektivitas
penerapan keamanan informasi
2 X Semua akun
d Apakah konsekuensi dari pelanggaran keamanan informasi
yang menyebabkan insiden sudah didefinisikan,
dikomunikasikan dan ditegakan oleh entitas?
1 X Semua akun
R.4 Review Pengelolaan Aset Informasi
1 Review dan dapatkan dokumen mengenai pengelolaan
keamanan informasi oleh semua pihak entitas baik pegawai
dan kontraktor selama bekerja di entitas tersebut.
SOP keamanan informasi, SOTK/Job
desc
a Apakah entitas telah mendefinisikan tanggung jawab
pengamanan informasi keuangan secara individual untuk
semua personil di entitas?
2 X Semua akun
b Apakah konsekuensi dari pelanggaran keamanan informasi 1 X X Semua akun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
201
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
yang menyebabkan insiden pada proses pelaporan keuangan
sudah didefinisikan, dikomunikasikan dan ditegakan oleh
entitas?
2 Review dan dapatkan dokumen mengenai pengelolaan
keamanan informasi keuangan oleh semua pihak entitas
baik pegawai dan kontraktor setelah mengakhiri kerjasama
atau perubahan pekerjaan di entitas tersebut.
Pakta integritas dengan pihak ketiga
dalam MOU, NDA untuk pihak
ketiga menyangkut informasi rahasia
a Apakah entitas telah mendefinisikan tanggung jawab
pengamanan informasi keuangan secara individual untuk
semua personil di entitas setelah pengakhiran kerjasama
atau perubahan pekerjaaan?
3 X X X Belanja
b Apakah pihak yang melakukan pengakhiran pekerjaan
terkait proses pengelolaan data keuangan dalam entitas
mengembalikan aset yang digunakan ketika bekerja?
3 X X Belanja
c Apakah terdapat penghapusan hak akses pihak yang
mengakhiri kerjasama dan perubahan pekerjaan terhadap
fasilitas pengolah informasi keuangan yang dipakai selama
bekerja di entitas tersebut?
3 X X Belanja
3 Review dan dapatkan dokumen mengenai pengendalian
area penyimpanan fasilitas pengolahan informasi
a Apakah terdapat ketentuan pengamanan fisik yang
disesuaikan dengan definisi zona dan klasifikasi aset yang
ada didalamnya?
SOP pengamanan fasilitas
pengolahan informasi (SOP data
center)
2 X X X Semua akun
b Apakah entitas memiliki pengendalian fisik area
penyimpanan fasilitas informasi berupa pengendalian entri?
Cek fisik data center 3 X X Pendapatan,
Anggaran,
Aktiva
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
202
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
c Apakah entitas memiliki pengamanan kantor, ruangan dan
fasilitas penyimpanan informasi dari ancaman eksternal
entitas? (misal adanya rancangan dan material yang dapat
menanggulangi risiko kebakaran dan dilengkapi dengan
fasilitas pendukung (deteksi kebakaran, asap, pemadaman
api, pengatur suhu dan kelembapan)
3 X X X Pendapatan,
Anggaran,
Aktiva
4 Review dan dapatkan dokumen mengenai keamanan
peralatan yang memuat informasi sehingga pencegahan
kehilangan, kerusakan, pencurian atau gangguan terhadap
kegiatan entitas.
a Apakah tersedia peraturan untuk mengamankan lokasi kerja
penting (ruang server, ruang arsip) dalam proses
pengelolaan data keuangan dari risiko perangkat atau bahan
yang membahayakan aset informasi yang ada didalamnya?
(misal menggunakan telepon genggam atau kamera pada
saat memasuki ruang server)
SOP pengamanan fasilitas
pengolahan informasi (SOP data
center)
2 X X Akun Aktiva
5 Adakah dokumen kebijakan atau prosedur yang mengatur
mengenai pengelolaan/pemberian akses, otentikasi dan
otorisasi untuk menggunakan aset informasi pengelolaan
keuangan
prosedur pengelolaan hak akses
(Access Control)
2 X X Akun Aktiva
6 Review pengelolaan akses untuk menggunakan aset
informasi di entitas
Laporan monitoring terkait hak akses
pengguna ( user access review)
a Apakah entitas memiliki inventarisasi akses terhadap
informasi keuangan dan fasilitas pengolah keuangan yang
berisi identitas elektronik pemilik akses, proses otentikasi
(username, password)?
2 X X X Semua akun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
203
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
b Apakah ada prosedur yang mengatur pengkajian atas hak
akses pengguna (user access review) secara berkala dan
langkah pembenahan apabila terjadi ketidaksesuaian
terhadap kebijakan yang berlaku?(misal: apabila pengguna
sudah tidak berwenang atas suatu proses dalam sistem
keuangan maka dia tidak bisa mengakses fungsi tersebut)
2 X X X Semua akun
7 Review apakah entitas memiliki ketetapan pendefinisian
tanggung jawab pengamanan informasi secara individual
sebagai pengolah data keuangan di semua satuan kerja yang
ada?(misal: ketentuan pemilihan password tiap pengguna,
sistem clear desk dan clear screen serta keamanan peralatan
yang ditinggalkan oleh pengguna)
SOP pengamanan informasi secara
individual
1 X X Semua akun
8 Review dan dapatkan dokumen jika ada terkait
pengendalian akses jaringan, sistem operasi dan sistem
aplikasi informasi yang digunakan untuk pengolahan
keuangan baik pencatatan penerimaan, pengeluaran dan
mutasi aset
a Apakah entitas memiliki kebijakan atau prosedur yang
mengatur akses, proses otentikasi dan otorisasi penggunaan
aset informasi yakni jaringan, sistem operasi dan sistem
aplikasi informasi?
SOP pengamanan jaringan, sistem
operasi dan sistem informasi
2 X X Akun
Pendapatan,
Belanja
b Apakah entitas melakukan pengendalian secara teknis pada
aset informasi yakni jaringan, diantaranya perlindungan
dari configuration port, remote diagnostic selain itu
pengendalian pada routing dan koneksi jaringan untu
pengelolaan informasi keuangan?
Cek fisik ruang kerja pegawai 2 X X X Akun
Pendapatan,
Belanja
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
204
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
c Apakah entitas melakukan pengendalian secara teknis pada
aset informasi yakni sistem operasi, diantaranya sesi time
out, prosedur log on yang aman pada sistem operasi, dan
pengendalian program utility?
1 X X Akun
Pendapatan,
Belanja
d Apakah entitas melakukan pengendalian secara teknis pada
aset informasi yakni aplikasi, diantaranya isolasi aplikasi
yang sensitif bagi entitas dan pembatasan akses informasi?
1 X X Akun
Pendapatan,
Belanja
9 Review kesesuaian proses pengamanan informasi yang
dilakukan oleh pengelola keuangan yakni bendahara
penerimaan, bendahara barang, bendahara pengeluaran dan
PPK-SKPD terhadap hukum yang berlaku
a Apakah entitas telah membuat tata tertib pengamanan dan
penggunaan aset entitas terkait HAKI (Hak Kekayaan
Intelektual)?
Cek fisik lisensi OS atau aplikasi
yang lainnya
2 X Akun aktiva
b Apakah terdapat peraturan pengamanan data pribadi di
entitas tersebut
SOP/ aturan penggunaan email,
internet dan hasil pemantauan
pengunggan email & internet
1 X X Semua akun
c Apakah terdapat tata tertib penggunaan email, internet,
intranet dan komputer?
1 X X Semua akun
10 Review apakah entitas memiliki prosedur untuk
mengamankan lokasi kerja, fasilitas informasi dan aset
informasi terkait pengelolaan keuangan (anggaran,
penerimaan, pengeluaran dan pengelolaan aset dari
keberadaan pihak internal maupun eksternal yang
melakukan audit pada entitas?
Pakta integritas dengan pihak ketiga
dalam MOU, NDA untuk pihak
ketiga menyangkut informasi rahasia
SOP pengamanan informasi secara
individual
3 X X Semua akun
R.5 Review Teknologi dan Keamanan Informasi
1 Review apakah entitas melakukan pengendalian terkait
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
205
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
pengolahan dalam suatu aplikasi untuk pencatatan
pengeluaran, penerimaan keuangan oleh bendahara dan kas
umum daerah serta mutasi aset di pemerintah daerah.
a Apakah setiap perubahan pada sistem informasi secara
otomatis terekam didalam log?
Periksa log penggunaan sistem dan
aplikasi TI, baik oleh user maupun
admin
3 X X X Akun PAD,
belanja
b Apakah upaya akses yang tidak berhak juga terekam dalam
log?
3 X X X Akun PAD,
belanja
c Apakah semua log yang ada dianalisa secara berkala untuk
memastikan akurasi, validitas data masukan serta data
keluaran sistem informasi dan kelengkapan isinya?
Laporan tim teknis terkait analisa log 2 X X X Akun PAD,
belanja
2 Review dan dapatkan dokumen mengenai pengendalian
kriptografi yang diterapkan oleh entitas pada aplikasi untuk
pencatatan pengeluaran, penerimaan keuangan oleh
bendahara dan kas umum daerah serta mutasi aset di
pemerintah daerah.
SOP enkripsi
a Apakah entitas menerapakan enkripsi untuk melindungi
aset informasi keuangan penting sesuai dengan kebijakan
yang ada?
1 X X Semua akun
b Apakah entitas memiliki standar dalam penggunaan
enkripsi tersebut?
1 X X Semua akun
c Apakah entitas menerapkan pengamanan untuk mengelola
kunci enkripsi yang digunakan?
1 X X Semua akun
3 Review apakah entitas melakukan pengamanan system files
berupa perlindungan data uji sistem, pembatasan akses ke
kode sumber sistem informasi keuangan terkait pengelolaan
anggaran, penerimaan keuangan, pengeluaran dan
Periksa kesesuaian sistem TI dengan
standar yang ditetapkan:
a. Standar software,
b. Standar keamanan
2 X X X Semua akun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
206
Universitas Indonesia
Reff
Ruang
lingkup
No Program Pemeriksaan Bukti Audit Level Asersi uji
pengendalian
Akun
Laporan
Keuangan
yang terkait
C I A
pengelolaan aset? (security baseline),
c. Standar rilis
aplikasi
d. Software AntiVirus
4 Review apakah entitas melakukan pengamanan dan tinjuan
teknis atas sistem aplikasi pengelolaan keuangan meliputi
aplikasi anggaran, aset dan penerimaan atau pengeluaran
keuangan pada saat proses pengembangan atau perubahan
pada aset informasi yang terhubung dengan aplikasi
tersebut, misal perubahan sistem operasi?
2 X X X Semua akun
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
207
Universitas Indonesia
Lampiran 5
Hasil Kuesioner Nilai Dampak
Indikator Nara 1 Nara 2 Nara 3 Nara 4 Nara 5 Nara 6 Nara 7 Nara 8 Nara 9 Rata-Rata
D.1.1 4 5 5 5 5 5 5 5 5 5 Extreme
D.1.2 4 5 5 5 5 5 5 5 5 5 Extreme
D.1.3 4 4 5 5 2 2 2 4 5 4 Major
D.1.4 5 5 5 5 4 5 5 5 5 5 Extreme
D.2.1 5 5 5 5 4 5 5 4 5 5 Extreme
D.2.2 4 5 5 5 4 5 5 4 5 5 Extreme
D.2.3 4 5 5 5 4 5 5 4 5 5 Extreme
D.3.1 4 5 5 5 5 5 5 4 5 5 Extreme
D.3.2 5 5 5 5 4 5 5 5 5 5 Extreme
D.3.3 4 4 5 5 2 5 5 4 4 4 Major
D.3.4 3 3 3 2 3 4 4 4 3 3 Moderate
D.3.5 4 5 5 5 4 2 4 5 4 4 Major
D.3.6 5 4 5 3 3 5 5 4 5 4 Major
D.4.1 4 5 5 5 2 5 5 4 5 4 Major
D.4.2 3 4 5 3 3 3 3 4 5 4 Major
D.4.3 5 5 5 5 4 4 4 5 4 5 Extreme
D.4.4 4 4 5 5 2 2 2 4 5 4 Major
D.4.5 4 5 5 5 5 4 5 4 5 5 Extreme
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
208
Universitas Indonesia
Indikator Nara 1 Nara 2 Nara 3 Nara 4 Nara 5 Nara 6 Nara 7 Nara 8 Nara 9 Rata-Rata
D.4.6 4 5 5 5 5 5 5 5 5 5 Extreme
D.4.7 4 5 5 3 2 5 5 4 4 4 Major
D.4.8 4 5 5 5 3 4 5 4 5 4 Major
D.4.9 4 4 5 4 3 5 5 4 4 4 Major
D.4.10 4 5 5 5 4 4 5 4 5 5 Extreme
D.4.11 4 4 5 4 4 5 5 4 5 4 Major
D.4.12 4 5 5 5 3 4 5 4 5 4 Major
D.4.13 2 3 3 3 4 3 4 3 3 3 Moderate
D.4.14 4 5 5 5 4 4 5 4 5 5 Extreme
D.4.15 3 4 5 5 5 5 5 4 3 4 Major
D.4.16 2 1 5 5 1 1 3 1 1 2 Minor
D.5.1 4 4 2 5 4 4 1 4 1 3 Moderate
D.5.2 4 5 5 5 4 5 5 4 5 5 Extreme
D.5.3 5 5 5 5 4 5 5 4 5 5 Extreme
D.5.4 4 4 3 5 3 5 5 4 4 4 Major
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
209
Universitas Indonesia
Hasil Kuesioner Nilai Likelihood
Indikator Nara 1 Nara 2 Nara 3 Nara 4 Nara 5 Nara 6 Nara 7 Nara 8 Nara 9 Rata-Rata
L.1.1 1 5 1 5 5 1 5 1 1 3 Moderate
L.1.2 1 1 1 1 5 1 5 5 1 2 Unlikely
L.1.3 4 3 3 1 5 5 5 5 2 4 Likely
L.1.4 2 2 2 1 2 2 1 1 1 2 Unlikely
L.2.1 2 1 4 1 3 1 1 1 1 2 Unlikely
L.2.2 2 5 2 1 3 1 5 2 1 2 Unlikely
L.2.3 2 3 2 1 3 1 4 2 2 2 Unlikely
L.3.1 1 2 3 2 1 1 4 2 1 2 Unlikely
L.3.2 4 1 1 4 1 1 1 1 1 2 Unlikely
L.3.3 1 4 3 1 5 1 1 2 1 2 Unlikely
L.3.4 1 1 1 1 5 1 5 5 1 2 Unlikely
L.3.5 2 2 4 2 4 1 1 5 2 3 Moderate
L.3.6 3 3 3 5 5 5 5 5 4 4 Likely
L.4.1 3 4 5 5 5 5 5 4 3 4 Likely
L.4.2 1 2 1 1 1 3 3 2 2 2 Unlikely
L.4.3 4 4 2 5 4 4 1 4 1 3 Moderate
L.4.4 1 1 2 1 1 1 2 1 1 1 Rare
L.4.5 3 3 3 3 3 4 2 5 4 3 Moderate
L.4.6 1 1 2 1 1 1 2 1 1 1 Rare
L.4.7 5 5 5 5 5 5 5 5 3 5 Almost Certain
L.4.8 1 2 1 1 1 3 3 2 2 2 Unlikely
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
210
Universitas Indonesia
Indikator Nara 1 Nara 2 Nara 3 Nara 4 Nara 5 Nara 6 Nara 7 Nara 8 Nara 9 Rata-Rata
L.4.9 5 5 5 2 5 3 5 5 2 4 Likely
L.4.10 2 2 3 5 5 3 5 4 1 3 Moderate
L.4.11 2 1 5 5 1 1 3 1 1 2 Unlikely
L.4.12 4 2 4 4 4 4 4 1 3 3 Moderate
L.4.13 5 5 5 5 5 5 5 5 3 5 Almost Certain
L.4.14 1 2 5 5 5 1 5 2 1 3 Moderate
L.4.15 2 1 5 5 1 1 3 1 1 2 Unlikely
L.4.16 1 1 2 1 1 1 2 1 1 1 Rare
L.5.1 5 5 5 2 5 3 5 5 2 4 Likely
L.5.2 2 2 2 3 3 1 1 2 1 2 Unlikely
L.5.3 3 1 3 3 1 3 1 3 1 2 Unlikely
L.5.4 2 3 4 1 2 1 1 1 4 2 Unlikely
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
211 Universitas Indonesia
Lampiran 6
Dibuat oleh : ISA
Direviu oleh : YK
Disetujui oleh : RU
Hasil Pengisian Formulir Penilaian Risiko Keamanan Informasi Pemerintah Kota Tangerang
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.1
Tata Kelola Keamanan Informasi
A.5.1 Information Security Policy
R.1.1.a
Belum adanya dokumen formal yang mengatur keamanan informasi di Pemda Kota Tangerang
Penyelewengan dan penyalahgunaan data oleh pihak internal dan eksternal organisasi
Extreme Moderate High
Penyusunan kebijakan keamanan informasi mulai dari kebijakan/standar, prosedur hingga petunjuk teknis.
Major Unlikely Medium Accept
Penyusunan kebijakan keamanan informasi yang mengadopsi pada standar internasional, misal ISO 27001
Tahun
2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
212
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.1.1.b , R.1.1.c
Pelaksanaan perangkat hukum terkait keamanan informasi masih dilaksanakan secara adhoc, yakni hanya berdasarkan permasalahan yang muncul saja
A.5.2
Kajian Information Security Policy
R.1.2
Belum dilakukan review/kajian terhadap kebijakan teknologi informasi secara reguler
Kebijakan informasi tidak dapat mengcover kondisi yang as is dari organisasi
Extreme Unlikely High
Review kebijakan-kebijakan teknologi informasi yang sudah ada secara regular
Major Unlikely Medium Accept
Kajian kebijakan teknologi informasi dan keamanan informasi secara berkala
Tahun 2015
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
213
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.6.1 Organisasi internal
R.1.3.a, R.1.3.b, R.1.3.c
Sudah ada Tupoksi / job description unit organisasi/lembaga yang memasukkan tanggungjawab keamanan informasi hanya saja belum secara spesifik mengurus keamanan informasi sehingga staf tidak fokus baik untuk pengelolaannya dan penjaminan kepatuhan program keamanan informasi
Penanganan risiko keamanan informasi tidak dapat dilaksanakan dengan cepat
Major Likely High
Memastikan job description masing-masing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagian tugas yang jelas.
Major Unlikely Medium Accept
Penyusunan SOTK khusus keamanan informasi
tahun
2015
Tinggi
• Pengujian subtantif terbatas • Sample
kecil Terkait
dokumen STS PAD, SP2D UP, GU dan LS dan aset
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
214
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.1.3.d, R.1.3.f
Tidak memiliki Security Awareness Program
User menjadi tidak aware dengan keamanan informasi. sehingga jaringan mudah diserang oleh pihak luar
Mengadakan sosialisasi khusus keamanan informasi kepada staf secara rutin.
Accept
Sosialisasi pentingnya keamanan informasi kepada staf di lingkungan organisasisecara berkala dengan memberikan informasi mengenai tindakan pencegahan dan mengatasi virus baik melalui brosur, majalah internal organisasi dan surat edaran. Serta pengguna
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
215
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 an internet yang aman bagi user melalui acara khusus
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
216
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.1.3.e
Tidak ada koordinasi dengan satker lain terkait pelanggaran keamanan informasi
Pembocoran informasi atau insiden yang dilakukan oleh staf organisasi
Memberikan sanksi dan tindakan disiplin kepada staf yang telah melanggar kebijakan keamanan seperti dinon-aktifkan, surat peringatan dan penurunan jabatan yang berasal dari satker SDM, legal atau keuangan
Koordinasi dengan satker lain terkait punishment terhadap pelanggaran keamanan informasi
A.6.2 Organisasi eksternal
R.1.4
Sudah ada MOU dan agreement dengan pihak ketiga terkait keamanan yang menyangkut proses di Pemkot Tangerang akan tetapi tidak dilakukan oleh semua satker
Pembocoran informasi atau insiden yang dilakukan oleh pihak eskternal
Extreme Unlikely High
Review terhadap agreement dengan pihak ketiga dan minta source code untuk aplikasi yang dioutsourcedkan untuk maintainance ke depannya. Serta dokumentasi seperti user manual dari
Major Unlikely Medium Accept
Membuat prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem
Tahun
2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil Terkait STS Pendapatan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
217
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 aplikasi tersebut.
R.2
Pengelolaan Risiko Keamanan informasi
A.7.1
Tanggung Jawab terhadap aset
R.2.2.a, R.2.2.b, R.2.3.a
Inventarisasi aset TI sudah terdefinisi dengan baik dalam daftar aset Pemda Kota Tangerang akan tetapi pelabelannya masih belum lengkap
Jika ada perangkat yang hilang, maka akan sulit terdeteksi
Extreme Unlikely High
Melakukan inventarisasi peralatan TI secara rutin untuk menghindari hilangnya barang inventaris TI di lingkungan Pemkot Tangerang dengan memberi nomor inventaris pada masing-masing peralatan TI yang ada.
Extreme Rare Medi
um Accept
adanya Kebijakan harus melindungi aset informasi dan reputasi organisasi serta mempertahankan integritas data
tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
218
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.7.2 klasifikasi Informasi
R.2.1.a, R.2.1.b, R.2.4.a, R.2.4,b
kepemilikan informasi belum terdefinisi dengan jelas karena IT master plan Pemda Kota Tangerang masih dalam perencanaan
Informasi yang akan keluar dari organisasi harus terklasifikasi dan dilabelkan berdasarkan sensitifitasnya, jika tidak maka informasi tersebut menjadi tidak diproteksi secara baik, menyebabkan hilangnya kerahasiaan informasi
Extreme Unlikely High
a) Menentukan siapa pemilik proses pengelolaan aset informasi pada peta proses bisnis Kota Tangerang seperti retensi, recovery dan pemusnahan yang dituangkan dalam IT Master Plan b) Penggolongan informasi berdasarkan tingkat sensitivitasnya. Klasifikasi informasi dibagi menjadi Sangat Rahasia, Terbatas dan Publik
Extreme Rare Medi
um Accept
Kebijakan mengidentifikasi apa saja yang termasuk ‘informasi’, tujuan organisasi dan tanggung jawab manajemen dan pegawai. IT Master Plan
Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
219
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.3
Kerangka Kerja Keamanan Informasi
A.10.2
Manajemen Pelayanan Jasa Pihak Ketiga
R.3.2
kebijakan dan prosedur keamanan informasi belum dikomunikasikan dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam organisasi
User yang berasal dari pihak eksternal menjadi tidak aware dengan keamanan informasi. sehingga keamanan informasi organisasi terganggu
Major Moderate High
Mengkomunikasikan kebijakan atau prosedur terkait keamanan informasi organisasi sehingga semua pihak yakni pihak eksternal organisasi mengetahui pentingnya keamanan informasi
Moderate Unlikely Medi
um Accept
Publikasi kepada publik terkait pengelolaan keamanan informasi dalam proses pelayanan jasa yang diberikan kepada Pemkot Tangerang
Tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
220
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.10.3
Perencanaan dan Keberterimaan sistem
R.3.3.a, R.3.3.b, R.3.3.c
Belum terdokumentasinya sistem dan prosedur untuk memonitor risiko terkait TI di satuan kerja TI. Sehingga sulit untuk dilakukan evaluasi.
Insiden yang sama akan terulang kembali tanpa adanya pembelajaran dan penanganan yang baik
Extreme Unlikely High
Perlu adanya upaya dokumentasi dalam merekam jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokumentasikan aktifitas-aktifitasnya
Extreme Rare Medi
um Accept
Menginstall software berlisensi untuk melakukan pengawasan terhadap serangan- serangan yang timbul dari luar (hacker).
Tahun 2015
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
221
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.10.5 Back Up R.3.4.a, R.3.4.b, R.3.4.c
Belum adanya SOP mengenai proses back up akan tetapi pelaksanaan backup nya sudah baik yakni dengan menggunakan pelabelan untuk setiap proses backup. Aplikasi 1 minggu sekali, database setiap hari
Kehilangan data terakhir atau sebelumnya
Extreme Unlikely High
Dilakukan back up secara teratur dan otomatis disertai labeling.
Major Unlikely Medium Accept
Dilakukan back up secara teratur dan otomatis disertai labeling. Dan disusuan SOP Back up agar berlaku untuk semua informasi yang ada di semua unit di Pemkot Tangerang
tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
222
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.10.8 Pertukaran Informasi
R.3.5.a, R.3.5.b
Belum adanya sop yang mengatur pertukaran informasi antara organisasi dengn organisasi/pihak lain akan tetapi perjanjian pertukaran sudah pernah dilakukan, misal dengan BPK RI dalam e-audit
Kebocoran data dan informasi organisasi
Major Unlikely Medium
dibuat kebijakan/prosedur pertukaran informasi, perjanjian pertukaran baik yang melalui pesan elektronik, sistem informasi bisnis dan media fisik transit
Moderate Rare Low Accept
dibuat kebijakan/prosedur pertukaran informasi, Menetapkan bentuk atau klasifikasi data yang akan dipertukarkan dengan pihak eksternal. Misalnya menggunakan format data teks dan basis data
Tahun 2014
Sangat tinggi (Very High)
• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen STS PAD, BA Mutasi barang
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
223
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.10.10 Pemantauan
R.3.6.a, R.3.6.b, R.3.6.c
Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya. Log admin hanya akan dievaluasi jika ada masalah yang timbul pada proses organisasi
Insiden yang sama akan terulang kembali tanpa adanya pembelajaran dan penanganan yang baik serta pencurian data yang akan lama deteksinya
Moderate Unlikely Medium
a) Perlu adanya upaya dokumentasi dalam merekam jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokumentasikan aktifitas-aktifitasnya. b) Evaluasi log administartor
Moderate Rare Low Accept
Membuat dokumentasi rekaman jejak aktifitas-aktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan.
Tahun 2014
Sangat tinggi (Very High)
• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji
A.13.1
Pelaporan Kejadian dan kelemahan Keamanan informasi
R.3.7.a
Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya
Major Moderate HIgh Major Unlikely Medi
um Accept Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
224
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.13.2
Manajemen insiden keamanan informasi dan perbaikan
R.3.8.a, R.3.8.b
a)Belum memiliki rencana dalam penanggulangan bencana, sehingga tidak ada jaminan bahwa bisnis dapat berjalan secara cepat, setelah terjadi bencana. Serta tidak mampu mempertahankan dukungan TI terhadap jalannya bisnis secara sistematis. b)belum memiliki DRP dan BCP
a) Jika terjadi bencana, tidak memiliki alternatif cara agar bisnis dapat terus berjalan, sehingga yang terjadi bisnis terhenti dan organisasi mengalami kerugian b)Proses bisnis akan mengalami gangguan operasional cukup lama untuk kembali ke keadaaan normal.
Major Likely High
Pengembangan alat perlindungan untuk insiden keamanan informasi di lokasi kerja yang penting misal data center, membuat kebijakan BCP dan DRP
Major Unlikely Medium Accept
Membuat kebijakan BCP (Bussiness Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk mengurangi risiko terjadinya insiden terhadap keamanan informasi.
Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
225
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R.4
Pengelolaan Aset Informasi
A.8.2 Selama bekerja
R.4.3.a, R.4.3.b
a)Ketentuan mengenai sanksi atas pelanggaran terhadap kebijakan pengamanan informasi belum diterapkan. b)Staf TI yang menangani risiko terkait TI tidak terlalu fokus karena banyak dibebani pekerjaan tambahan sehingga sistem kerja tidak tersistematis
a)pembocoran data dan informasi oleh pihak internal maupun eksternal yang sedang menjalani tugas di Pemkot Tangerang b)pengelolaan keamanan informasi di Pemkot Tangerang tidak bisa optimal
Major Moderate High
a)Pegawai TI tidak boleh diberikan tanggung jawab operasional untuk menghindari terjadinya conflicts of interests. b)Pada setiap bagian atau unit kerja akan ditunjuk sebagai wakil yang akan bertanggung jawab dan memonitor keamanan informasi di bagiannya, di bawah koordinasi bidang pengamanan dan pemeliharaan.
Moderate Unlikely Medi
um Accept
a)Memastikan job description masing-masing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagian tugas yang jelas.
Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
226
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.8.3
Pengakhiran atau perubahan pekerjaan
R.4.4.a,
terdapat pakta integritas dalam perjanjian dengan pihak ketiga terkait pengembangan sistem akan tetapi belum ada prosedur yang mengatur pengakhiran tugas atau pekerjaan dari pegawai/pejabat Pemerintah Kota Tangerang karena masih didapat aset informasi yang berada di pihak yang tidak berwenang lagi
Pembocoran informasi atau insiden yang dilakukan oleh staf organisasi
Major Rare Medium
a) SOP pengaturan aset informasi b) MOU/Pakta Integritas dengan pihak ketiga yang memuat
Major Rare Medium Accept
Pembuatan a) SOP pengaturan aset informasi b) MOU/Pakta Integritas dengan pihak ketiga yang memuat
Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil Terkait dokumen SP2D
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
227
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.9.1 Area yang aman
R.4.5.a, R.4.5.b, R.4.5.c
Data center sudah dilengkapi pengamanan fisik yakni deteksi api, pengatur suhu dan kelembapan, Swipe card, CCTV dan pin code akan tetapi belum ada SOP nya sehingga pelaksanaanya masih adhoc
Data hilang jika terjadi bencana
Extreme Unlikely High
Membuat kebijakan BCP (Bussiness Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk mengurangi risiko terjadinya insiden terhadap keamanan informasi.
Major Unlikely Medium accept
Membuat kebijakan BCP (Business Continuity Plan) atau DRP (Disaster Recovery Plan).
Tahun 2014
Tinggi
• Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD, Aset dan anggaran
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
228
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.9.2 Keamanan Peralatan
R.4.6.a
Belum ada peraturan/prosedur yang mengatur pengamanan lokasi kerja penting, misal data center walaupun sudah ada pengamanan fisik lokasi data center, selain itu belum ada prosedur pengamanan peralatan informasi yang dibawa ke luar lokasi kerja
Kebocoran data dan informasi organisasi
Major Almost certain Very High
a) Ditingkatkannya pengamanan fisik menggunakan alat pengaman kunci biometric seperti finger print. b)SOP pengamanan peralatan di luar lokasi Kerja
Major Moderate High accept
Membuat SOP pengamanan peralatan di luar lokasi kerja dengan mengadopsi pada ISO 27001
Tahun 2014
Medium
• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan Terkait dokumen pengelolaan aset
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
229
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.1
Persyaratan bisnis untuk pengendalian akses
R.4.7.a
Belum adanya kebijakan dan prosedur pengelolaan hak akses pengguna sistem dan aplikasi
Orang yang tidak mempunyai wewenang dapat mengakses informasi sensitif yang dapat mengakibatkan kerugian bagi organisasi seperti misalnya kebocoran informasi
Major Unlikely Medium
Perlu dikembangkan SOP (Standard Operating Procedure) pengelolaan hak akses pengguna
Moderate Rare Low accept
Perlu dikembangkan SOP pengelolaan hak akses pengguna
Tahun 2014
Sangat tinggi (Very High)
• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen pengelolaan aset
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
230
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.2 Manajemen akses pengguna
R.4.8.a, R.4.8.b
Belum ada kebijakan dan prosedur yang mengatur pengelolaan akses pengguna sistem aplikasi yang meliputi inventarisasi daftar akses dan review daftar akses secara berkala
Major Moderate HIgh
Penghapusan hak akses kepada pegawai, kontraktor dan pengguna pihak ketiga ketika pekerjaan dan kontrak berakhir
Major Unlikely Medium Accept
Pembuatan SOP pengelolaan akses terhadap aplikasi/sistem, Pegawai dilarang membagi account, password, personal identification, atau informasi sejenis yang digunakan untuk identifikasi dan otorisasi
Tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
231
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.3 Tanggung jawab pengguna
R.4.9.a
Belum adanya penerapan pengamanan password pada aplikasi misal aplikasi telah memaksa user untuk mengubah password secara berkala
Brute force login/password guessing yang dilakukan oleh orang yang tidak bertanggung jawab
Extreme Moderate High
Pegawai dilarang untuk menulis dan melekatkan pada obyek sekitar workstation atau meja informasi untuk akses ke sistem yang bersifat sensitive seperti User ID dan password dengan melakukan kontrol clear desk dan clear screen.
Major Unlikely Medium Accept
a.Penyusunan kebijakan clear desk dan clear screen. b.Penyusunan SOP manajemen password
Tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
232
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.4
Pengendalian akses jaringan
R.4.10.a,
R.4.10.b,
R.4.10.c,
R.4.10.d
sudah ada network monitoring system akan tetapi dimonitor hanya jika terdapat masalah bukan dilakukan secara berkala. Hal ini terjadi karena belum ada SOP tentang pemantauan akses jaringan
sulit untuk memonitor log-log kegiatan dalam jaringan
Extreme Moderate HIgh
Penerapan Network Monitoring System
Major Unlikely Medium accept
SOP pemantauan akses jaringan di Pemerintah Kota Tangerang sehingga pemantauan dilkukan secara berkala
tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS dan SP2D UP
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
233
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.5
Pengendalian akses sistem operasi
sudah ada sesi time out yang diterapkan dalam organisasi Pemkot Tangerang akan tetapi belum ada pembatasan penggunaan workstation bagi siswa/pegawai magang
Kebocoran data dan informasi organisasi
Moderate Almost certain High
Membuat prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem bagi siswa/pegawai magang
Moderate Likely HIgh accept
prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem bagi siswa/pegawai magang
tahun 2014
Medium
• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
234
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.11.6
Pengendalian akses aplikasi dan informasi
Review Konten dan Aplikasi Sistem Informasi sudah ada, namun belum direview ulang saat aplkasi sudah beroperasi
Tidak adanya pembatasan yang diberikan kepada user akan mengakibatkan data mudah diubah dan dihapus
Major Moderate High
a)Pembatasan terhadap akses ke social networking. Misalnya dengan pembatasan jam akses serta url yang boleh dan tidak boleh diakses oleh user. b)Mengamankan data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write
Moderate Moderate Medi
um accept
a)File-file yang dipublikasi status property filenya hanya bisa baca sehingga terlindungi dari modifikasi pihak-pihak yang tidak berkepentingan b) Pembatasan waktu koneksi dalam mengakses aplikasi yang berisiko tinggi
tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
235
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 dan Access. Sedangkan Compress Keying
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
236
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.15.1
Kesesuaian dengan persyaratan umum
R.4.11.a, R.4.11.c
Belum ada SOP tentang penggunaan email, internet dan intranet di Pemerintah Kota Tangerang, sehingga pengelolaan email dioragnisasi belum baik
Pencurian data pribadi yang berdampak bagi organisasi
Major Unlikely Medium
SOP tentang penggunaan email, internet dan intranet
Moderate Moderate Medi
um Accept
Pelatihan untuk membangun awarness staf akan kejahatan melalui sosial media yang berakibat bagi organisasi
tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
A.15.3
Pertimbangan audit sistem informasi
R.4.12
Sudah MOU dengan pihak eksternal terkait e-audit yakni dengan BPK RI dan pihak ketiga sebagai penyedia jasa sistem keuangan
Kebocoran data dan informasi organisasi
Minor Rare Low
MOU/Pakta integritas dengan pihak ketiga terkait audit sistem informasi
Insinighficant Rare Low Accept
MOU/Pakta integritas dengan pihak ketiga terkait audit sistem informasi
tahun 2013
Sangat tinggi (Very High)
• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
237
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 STS dan SP2D
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
238
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
R5
Teknologi dan Keamanan Informasi
A.12.2
Pengolahan yang benar dalam aplikasi
R.5.1.a, R.5.1.b, R.5.1.c
Fungsi audit Log sudah dilakukan oleh Pemerintah Kota Tangerang akan tetapi tidak direview secara berkala hanya pada kondisi tertentu saja
Penyerang melakukan Sql Injection yang dapat merusak data milik Pemerintah Kota Tangerang dan kemampuan organisasi untuk menjalankan fungsi bisnis secara benar dan atau menurunkan kredibillitas entitas lainnya yang mungkin berada dalam cakupan informasi atau layanan yang disediakan oleh
Extreme Unlikely High
Perekaman kegiatan pengguna dan kejadian keamanan informasi melalui log audit.
Major Unlikely Medium Accept
SOP tentang pemantauan melalui audit log pada aplikasi sehingga diketahui dengan cepat permasalahan yang muncul
Tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD dan SP2D
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
239
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 organisasi
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
240
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.12.3
Pengendalian dengan cara kriptografi
R.5.2.a, R.5.2.b, R.5.2.c
Belum adanya kebijakan dan prosedur untuk standar enkripsi yang digunakan pemerintah Kota Tangerang, sehingga belum ada pendataan enkripsi yang dipakai
Apabila muncul permasalahan terkait enkripsi yang diterapkan dalam sistem/aplikasi akan susah dideteksi dan diselesaikan
Moderate Likely High
Daftar Enkripsi dan kunci untuk setiap aplikasi/sistem informasi
Moderate Unlikely Medi
um Accept
SOP penggunaan enkripsi pada aplikasi/sistem informasi
Tahun 2014
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
241
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.12.4 Keamanan sistem file
R.5.3
Sudah ada pembatasan akses ke kode sumber program aplikasi di Pemerintah Kota Tangerang akan tetapi belum ada standar yang mengatur hal tersebut sehingga hanya beberapa satker tertentu yang menjalankan pengendalian ini
Kebocoran data dan informasi organisasi
Extreme Unlikely High
Mengamankan data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write dan Access. Sedangkan Compress Keying yaitu penguncian hasil pemadatan file seperti RAR, ZIP dan lain-lain. Hasil kompres lalu ditambahkan password apabila ingin di decompress
Moderate Unlikely Medi
um Accept
a) File-file yang dipublikasi status property filenya hanya bisa baca sehingga terlindungi dari modifikasi pihak-pihak yang tidak berkepentingan b) pembuatan SOP pembatasan akses ke kode sumber
Tahun 2013
Tinggi
• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalkan pengendalian • Pengujian subtantif terbatas • Sample kecil
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014
242
Universitas Indonesia
Kode ruang lingkup
Ruang lingkup
Kode aktivitas pengendalian
Aktivitas pengendalian
Ref. Program Pemeriksaan
Kerawanan Ancaman Inheren Rekomendasi Kontrol
Residual Strategi Mitigasi risiko
Rencana Kerja
Target Penyelesaian
Risiko Deteksi
Strategi Pemeriksaan Umum
Dampak Kecenderungan
Nilai Risiko Dampa
k Kecenderungan
Nilai Risiko
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
A.12.5
Keamanan dalam proses pengembangan dan pendukung
R.5.4
Kebijakan dan prosedur pengembangan aplikasi sudah ada namun belum dilakukan review ulang, source code dari aplikasi yang dikembangkan oleh pihak ketiga sudah diberikan kepada Pemerintah Kota Tangerang
Outsourced application yang dikerjakan oleh pihak ketiga dapat diketahui kekurangan dari proses bisnisnya sehingga mempengaruhi pelayanan Pemerintah Kota Tangerang
Major Unlikely Medium
Penyusunan dokumentasi setiap pengembangan aplikasi meliputi kamus, data, ER diagram, database management system, source code dan algoritma.
Moderate Rare Low Accept
Penyusunan Kebijakan dan prosedur pengembangan aplikasi
Tahun 2013
Sangat tinggi (Very High)
• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji
Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014