Pembuatan Panduan Audit Teknologi Informasi pada Proses Pengelolaan Lingkungan Fisik Berbasis COBIT 5 di KPPN Surabaya II

Transkripsi

1 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 1 Pembuatan Panduan Audit Teknologi Informasi pada Proses Lingkungan Fisik Berbasis COBIT 5 di KPPN Surabaya II Yudhis Cahyo Eko, Ahmad Holil Noor Ali, Prih Haryanta Jurusan Sistem Informasi, Fakultas Teknologi Informatika, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya Indonesia holil@is.its.ac.id Abstrak KPPN Surabaya II merupakan instansi yang harus memberikan layanan prima kepada satuan kerja, sehingga dukungan teknologi informasi (TI) sangat diperlukan demi kelancaran layanan. Teknologi informasi akan dapat dimanfaatkan dengan optimal jika didukung oleh fasilitas dan lingkungan fisik yang baik. Untuk memastikan bahwa pengelolaan lingkungan fisik TI telah dilaksanakan dengan baik, dibutuhkan suatu mekanisme kontrol berupa audit teknologi informasi. Sampai saat ini, KPPN Surabaya II sama sekali belum pernah melakukan audit teknologi informasi, termasuk dalam proses pengelolaan lingkungan fisik TI. Sehingga, pengelolaan fisik TI di KPPN Surabaya II menjadi kurang optimal. Hal ini juga dapat meningkatkan munculnya risiko yang berkaitan dengan fasilitas fisik TI, seperti kerusakan perangkat TI, kehilangan data karena pencurian dan sebagainya. Berdasarkan alasan di atas, maka penulis ingin menyusun suatu dokumen panduan audit untuk membantu pelaksanaan audit teknologi informasi di KPPN Surabaya II. Framework yang akan digunakan dalam pembuatan dokumen panduan audit ini adalah COBIT 5. Proses pembuatan panduan audit dimulai dengan memetakan proses-proses di dalam COBIT 5 dengan kondisi KPPN Surabaya II, menyusun langkah-langkah audit, membuat checklist, dan terakhir menyusun dokumen panduan audit. Hasil akhir penelitian ini nantinya berupa dokumen panduan audit yang di dalamnya berisi tujuan, ruang lingkup audit, auditor internal, checklist, prosedur audit, serta form temuan audit. Dokumen ini nantinya diharapkan dapat membantu auditor internal dalam melakukan audit teknologi informasi di KPPN Surabaya II. Kata Kunci Audit, COBIT 5, KPPN Surabaya II, lingkungan fisik, panduan, teknologi informasi. S I. PENDAHULUAN AAT ini, teknologi informasi (TI) telah menjadi aspek yang sangat penting bagi berbagai organisasi dan perusahaan untuk mencapai tujuan bisnisnya. TI selalu berperan dalam mendukung proses bisnis, baik proses bisnis utama maupun pendukung yang ada di dalam organisasi atau perusahaan tersebut. Ketergantungan yang tinggi terhadap TI ini akan mengakibatkan proses bisnis tidak mampu berjalan dengan baik jika layanan TI kurang mampu menjalankan fungsinya secara optimal. KPPN Surabaya II sebagai instansi publik yang tugas pokoknya menyalurkan pembiayaan yang dibebankan ke Anggaran Pendapatan Biaya Negara (APBN), sangat membutuhkan dukungan sistem informasi dan teknologi informasi untuk merekam proses transaksi pencairan dana yang terjadi setiap harinya dengan para satuan kerja (satker). KPPN Surabaya II telah cukup banyak melakukan investasi TI, baik dari segi infrastruktur maupun jaringan dalam rangka mencapai tujuan bisnisnya tersebut. Investasi TI di KPPN Surabaya II tersebut akan dapat berfungsi dengan baik dan memberikan kontribusi yang optimal terhadap proses bisnis KPPN Surabaya II jika didukung dengan fasilitas dan lingkungan fisik TI yang baik. Lingkungan fisik TI yang dimaksud meliputi kondisi, tata letak infrastruktur TI, fasilitas fisik dan juga pengamanan fasilitas fisik tersebut. lingkungan fisik TI yang baik akan mengurangi gangguan bisnis dari risiko-risiko seperti kerusakan perangkat TI, kehilangan data karena pencurian, kebakaran dan lain-lain. Kegiatan pengelolaan TI di KPPN Surabaya II, termasuk di dalamnya pengelolaan lingkungan fisik TI, mengikuti Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan. Untuk memastikan bahwa pengelolaan lingkungan fisik TI telah dilaksanakan dengan baik, dibutuhkan suatu mekanisme kontrol berupa audit teknologi informasi. Sampai saat ini, sama sekali belum pernah dilakukan audit teknologi informasi di KPPN Surabaya II, sehingga tidak dapat diketahui sejauh mana efisiensi dan efektivitas pengelolaan teknologi informasi yang telah dilakukan KPPN Surabaya II. Berdasarkan hal tersebut, maka tugas akhir ini bertujuan untuk merumuskan guideline (panduan) untuk mengaudit proses pengelolaan lingkungan fisik TI pada KPPN Surabaya II. Panduan audit ini bertujuan untuk membantu memudahkan auditor internal untuk melakukan audit TI pada KPPN Surabaya II. Panduan audit ini nantinya diharapkan dapat membantu jalannya proses audit oleh auditor, mulai dari tahap perencanaan, sampai dengan pelaporan. Dokumen panduan audit ini akan berisi tujuan, ruang lingkup audit, auditor internal, checklist, prosedur audit, serta form temuan audit.. Pembuatan panduan audit ini akan menggunakan kerangka kerja COBIT 5. Penulis menggunakan COBIT 5 sebagai acuan karena COBIT 5 mengintegrasikan beberapa best practice teknologi informasi. Di samping itu, framework COBIT 5

2 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 2 cukup lengkap karena tidak hanya membahas mengenai control objective saja, namun juga aktivitas-aktivitas yang harus dilakukan untuk memenuhi control objective tersebut. Dokumen panduan audit ini nantinya dikhususkan hanya untuk lingkungan KPPN Surabaya II. Hal ini dikarenakan dasar pembuatan serta data-data penelitian pada pembuatan dokumen ini berasal dari KPPN Surabaya II. Selain itu, KPPN Surabaya II memiliki hal khusus yang membedakan dari KPPN-KPPN lainnya, yaitu KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara Surabaya II, sehingga beberapa aset yang terdapat di KPPN Surabaya II merupakan milik Gedung Keuangan Negara. Meskipun demikian, tidak menutup kemungkinan dokumen ini untuk digunakan sebagai acuan bagi instansi lain di luar KPPN Surabaya II bagi proses audit di instansinya. Sesuai latar belakang yang telah dipaparkan di atas, maka permasalahan yang akan diselesaikan dalam tugas akhir ini adalah bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung jawab audit, prosedur audit, audit checklist, serta form temuan) pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai dengan standar COBIT 5. Tujuan tugas akhir ini adalah untuk menghasilkan dokumen-dokumen (tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit) yang digunakan untuk memandu pelaksanaan audit SI/TI pada KPPN Surabaya II. II. TINJAUAN PUSTAKA 2.1 Lingkungan Fisik dalam COBIT 5 Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information System Audit and Control Association (ISACA). COBIT saat ini yang dipakai yaitu COBIT 5 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1. lingkungan fisik TI di dalam COBIT 5 terdapat di dalam 3 proses berikut: DSS01.04 Lingkungan Mengelola langkah-langkah untuk perlindungan terhadap faktor lingkungan. Memasang peralatan dan perangkat khusus untuk memantau dan mengendalikan lingkungan. Aktivitas dalam pengelolaan lingkungan adalah sebagai berikut: 1. Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) yang mungkin terjadi di daerah di mana fasilitas TI berada. Menilai efek potensial pada fasilitas IT. 2. Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Memastikan bahwa telah terdapat peraturan untuk membatasi atau melarang makan, minum dan merokok di daerah sensitif, dan melarang penyimpanan ATK yang berpotensi menimbulkan bahaya kebakaran dalam ruang komputer 3. Menempatkan dan membangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan. 4. Secara rutin memonitor dan menjaga perangkat yang proaktif mendeteksi ancaman lingkungan (misalnya, api, air, asap, kelembaban). 5. Menanggapi alarm bahaya lingkungan dari daerah setempat dan tanda peringatan lainnya. Dokumen dan uji prosedur, yang harus mencakup prioritas alarm dan kontak dengan pihak berwenang tanggap darurat lokal, dan melatih personil dalam prosedur ini. 6. Memastikan bahwa rencana kontingensi tidak bertentangan dengan persyaratan polis asuransi. 7. Memastikan bahwa ruangan IT dibangun dan dirancang untuk meminimalkan dampak lingkungan (misalnya risiko pencurian, udara, api, asap, air, getaran, teror, vandalisme, ledakan bahan kimia. Mempertimbangkan zona keamanan spesifik dan/atau ruangan tahan api (misalnya menempatkan lingkungan produksi dan server saling berjauhan satu sama lain) 8. Menjaga agar lingkungan TI dan server selalu bersih dan dalam kondisi aman setiap saat (yaitu, tidak ada kekacauan, tidak ada kertas atau kardus, tidak ada tempat sampah penuh, tidak ada bahan kimia atau material yang mudah terbakar ) DSS01.05 Fasilitas Mengelola fasilitas, termasuk sumber tenaga dan peralatan komunikasi, sesuai dengan peraturan perundang-undangan, persyaratan teknis dan bisnis, spesifikasi vendor, dan pedoman kesehatan dan keselamatan. Aktivitas yang terdapat dalam pengelolaan fasilitas adalah sebagai berikut: 1. Memeriksa requirement fasilitas TI untuk perlindungan terhadap fluktuasi daya dan pemadaman, dalam kaitannya dengan persyaratan business continuities planning. Pengadaan peralatan penjaga pasokan listrik (misalnya, baterai, generator) untuk mendukung perencanaan kelangsungan bisnis. 2. Secara berkala menguji uninterruptible power supply (UPS) dan memastikan daya yang dapat beralih ke dengan baik tanpa mengganggu operasi bisnis 3. Memastikan bahwa fasilitas ruang sistem TI memiliki lebih dari satu sumber untuk setiap fungsi (misalnya, listrik, telekomunikasi, air, gas). Memisahkan pintu masuk fisik dari setiap fungsi. 4. Mengkonfirmasikan bahwa kabel eksternal ke ruangan TI terletak di bawah tanah atau memiliki proteksi alternatif yang sesuai. Memastikan kabel di dalam area TI terdapat di dalam saluran yang aman, dan lemari kabel memiliki akses terbatas untuk pihak yang berwenang. Memastikan kabel telah dilindungi terhadap kerusakan yang disebabkan oleh api, asap, air, intersepsi dan gangguan.

3 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 3 5. Memastikan bahwa pemasangan kabel dan sambungan fisik (data dan telepon) telah terstruktur dan terorganisir. Kabel dan struktur saluran harus didokumentasikan (misalnya, rencana pembangunan cetak biru dan wiring diagram). 6. Menganalisa ketersediaan fasilitas sistem untuk redundansi dan kegagalan pengkabelan (eksternal dan internal) 7. Pastikan bahwa area dan fasilitas TI sesuai dan berkelanjutan dengan spesifikasi vendor, hukum keselamatan kesehatan yang relevan dan, peraturan serta regulasi. 8. Mengadakan pelatihan personil secara teratur tentang hukum kesehatan dan keselamatan, peraturan, dan pedoman yang relevan. Mengadakan pelatihan personil terhadap kebakaran dan latihan keselamatan untuk memastikan pengetahuan dan tindakan yang diambil dalam kasus kebakaran atau insiden serupa. 9. Merekam, memantau, mengelola dan menyelesaikan insiden yang terjadi terhadap fasilitas TI sejalan dengan proses manajemen insiden TI. Membuat laporan insiden yang terjadi sesuai hukum dan peraturan. 10. Memastikan bahwa situs dan peralatan TI dipelihara sesuai dengan service berkala dan spesifikasi dari supplier. Proses pemeliharaan harus dilakukan hanya oleh petugas yang berwenang. 11. Melakukan analisis perubahan fisik terhadap situs TI untuk menilai kembali risiko lingkungan (misalnya, api atau kerusakan oleh air). Melaporkan hasil analisis ini untuk kelangsungan bisnis dan manajemen fasilitas DSS Akses Fisik ke Aset TI Menetapkan dan menerapkan prosedur untuk memberikan, membatasi dan mencabut akses ke lokasi, bangunan dan daerah sesuai dengan kebutuhan bisnis, termasuk keadaan darurat. Akses ke bangunan dan wilayah tertentu sesuai kebutuhan bisnis harus dibenarkan, disahkan, disimpan dan dipantau. Kondisi ini harus berlaku untuk semua orang yang memasuki lokasi, termasuk staf, staf sementara, klien, vendor, pengunjung atau pihak ketiga lainnya. Aktivitas yang terdapat dalam pengelolaan akses fisik ke aset adalah sebagai berikut. 1. Mengelola permintaan dan pemberian akses ke fasilitas komputer. Permintaan akses formal akan disahkan oleh manajemen dari area TI, dan catatan permintaan disimpan. Format harus spesifik mengidentifikasi daerah mana individu diberikan akses. 2. Pastikan bahwa profil akses tetap berjalan. Akses untuk area TI (ruang server, bangunan, area, atau zona) didasarkan pada fungsi tugas dan tanggung jawab 3. Mencatat dan memantau semua titik masuk ke area TI. Daftar semua pengunjung, termasuk kontraktor dan vendor, ke area TI. 4. Instruksikan semua personil agar identitas terlihat jelas sepanjang waktu. Mencegah penerbitan kartu identitas atau lencana tanpa otorisasi yang tepat. 5. Pengunjung harus dipandu setiap saat selama di situs TI. Jika terdapat individu yang tidak dipandu dan tidak memakai identitas staf, maka menghubungi petugas keamanan. 6. Membatasi akses ke situs sensitif TI dengan membentuk perimeter pembatasan, seperti pagar, dinding, dan perangkat keamanan pada interior dan eksterior pintu. Pastikan bahwa perangkat keamanan akan memicu alarm jika terdapat akses yang tidak sah. Contoh perangkat tersebut meliputi lencana atau key card, keypad, CCTV dan scanner biometrik. 7. Melakukan pelatihan keamanan fisik secara teratur. III. METODOLOGI Metodologi pengerjaan tugas akhir ini secara garis besar terdiri atas tahapan-tahapan berikut. 1. Pengumpulan Data 2. Pembuatan Dokumen Panduan Audit 3. Verifikasi Dokumen Panduan Audit Penjelasan lebih lanjut mengenai terhadap metodologi yang digunakan terdapat pada bagian IV (Pembahasan). IV. PEMBAHASAN 4.1 Pengumpulan Data Pengumpulan data dilakukan dengan tiga cara yaitu review dokumen, observasi langsung pada KPPN Surabaya II serta wawancara terhadap pegawai KPPN Surabaya II. Dari pengumpulan data yang dilakukan, didapatkan informasi bahwa KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara (GKN) Surabaya II. KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN. Karena merupakan bagaikan dari GKN, maka beberapa aset yang terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN. 4.2 Pembuatan Dokumen Panduan Audit Pembuatan dokumen panduan audit dilakukan melalui tahap-tahap berikut Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan Di dalam pelaksanaannya, tidak semua struktur fungsional di dalam COBIT ter-cover di dalam struktur organisasi KPPN Surabaya II. Sehingga, beberapa fungsi yang ada di dalam COBIT harus dirangkap oleh Kepala Subbagian Umum maupun oleh staf yang lain. Berdasarkan hasil observasi dan pengumpulan data di KPPN Surabaya II, aktor-aktor utama yang berperan dalam pengelolaan lingkungan fisik TI di antaranya adalah : 1. Kepala kantor 2. Kepala subbagian umum 3. Staf TU/RT 4. Supervisor Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed).

4 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 4 Responsible berarti pihak yang bertanggung jawab terhadap pelaksanaan aktifitas. Accountable berarti pihak yang memberikan arahan untuk pelaksanaan aktifitas. Consulted berarti pihak tersebut dilibatkan dalam pengambilan keputusan suatu aktifitas Informed berarti pihak tersebut diberi laporan terhadap suatu aktifitas. Hasil pemetaan RACI Chart ke struktur organisasi KPPN Surabaya dapat dilihat pada tabel 1 berikut ini. Tabel 1. RACI Chart Lingkungan Fisik TI pada KPPN Surabaya II Proses lingkungan Fasilitas akses fisik ke aset TI Kepala kantor Kepala subbagia n umum TU / RT Super -visor I C/R/A I R I C/R/A I R I C/R/A I R Penentuan Bukti Audit Dari aktivitas yang ada berkaitan dengan pengelolaan lingkungan fisik pada COBIT 5, kemudian ditentukan bukti untuk mendukung pelaksanaan aktivitas tersebut beserta metode pengumpulan bukti tersebut. Berikut ini akan diuraikan bukti yang dibutuhkan beserta metode pengumpulan bukti untuk setiap aktivitas. Contoh penentuan bukti audit untuk salah satu aktivitas dalam COBIT 5 dapat dilihat dalam tabel 2 berikut ini. IT Process COBIT 5 DSS Lingkungan Tabel 2. Penentuan Bukti Audit Aktivitas Sumber Metode 1. Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) 2. Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Kasubbag Umum, supervisor Supervisor, peraturan pengamanan perangkat TI Interview, observasi Review dokumen, observasi dan interview Penyusunan Dokumen Panduan Audit Tahapan penyusunan dokumen panduan audit adalah sebagai berikut Pembuatan Prosedur Audit Setelah menentukan bukti-bukti yang harus dikumpulkan, langkah selanjutnya adalah membuat prosedur audit dari aktivitas-aktivitas yang ada di dalam COBIT. Contoh pemetaan prosedur audit dari aktivitas-aktivitas yang ada di dalam COBIT dapat dilihat pada tabel 3 berikut. No Tabel 3. Pemetaan prosedur audit dari aktivitas di dalam COBIT Aktivitas Proses COBIT 5 1 Pengelola an Lingkung an (DSS01.0 4) Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Prosedur Audit Prosedur audit identifikasi risiko lingkungan dan human error Prosedur audit perlindunga n terhadap perangkat mobile dan perangkat dari luar lokasi Kode Doku men P.1.1 P.1.2 Dari hasil pemetaan prosedur untuk setiap aktivitas, prosedur-prosedur audit yang ada untuk setiap proses yang berkaitan dengan pengelolaan lingkungan fisik TI adalah sebagai berikut. 1. Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi a. Identifikasi risiko lingkungan dan human eror (P.1.1) b. Perlindungan terhadap perangkat mobile dan perangkat di luar lokasi (P.1.2) c. Penempatan fasilitas ruang server (P.1.3) d. Penempatan fasilitas di dalam gedung KPPN Surabaya II (P.1.4) e. Perangkat keamanan lingkungan (P.1.5) f. Sosialisasi dan pelatihan keamanan lingkungan (P.1.6) g. Rencana kontingensi (P.1.7) h. Kebersihan dan keamanan ruang server (P.1.8) i. Kebersihan dan keamanan gedung KPPN Surabaya II (P.1.9) 2. Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi a. Penyediaan tenaga listrik cadangan (P.2.1) b. Pemeliharaan UPS (P.2.2) c. Sumber daya listrik, air, dan komunikasi (P.2.3) d. Keamanan kabel (P.2.4)

5 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 5 e. Keamanan area KPPN Surabaya II (P.2.5) f. Keamanan area server (P.2.6) g. Manajemen insiden TI (P.2.7) h. Pemeliharaan komputer server (P.2.8) i. Pemeliharaan Personal Computer (PC) (P.2.9) j. Pemeliharaan Printer (P.2.10) k. Pemeliharaan Scanner (P.2.11) l. Analisis perubahan area fisik (P.2.12) 3. Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke aset TI, meliputi a. akses masuk ke ruangan server (P.3.1) b. akses masuk ke ruangan selain front office (P.3.2) c. Prosedur audit pengelolaan akses pegawai ke ruangan KPPN Surabaya II (P.3.3) d. buku tamu (P.3.4) e. Perimeter keamanan fisik (P.3.5) Di dalam dokumen audit, setiap prosedur akan diuraikan lagi menjadi langkah-langkah menjadi langkah-langkah audit. Sebagai contoh, langkah audit untuk prosedur audit identifikasi risiko lingkungan dan human error (P.1) pada Lingkungan Fisik, adalah sebagai berikut : 1. Tanyakan dan periksa apakah risiko keamanan yang berkaitan dengan bencana alam dan kerusakan karena ulah manusia (human eror) telah diidentifikasikan? (Lakukan pemeriksaan secara langsung terhadap : a. Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok) dan tabung pemadam di setiap ruangan b. Ketersediaan petunjuk mengenai jalur evakuasi dan adanya tangga darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7 GKN. c. Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer server dan 46 unit PC untuk mengatasi risiko pemadaman d. Ketersediaan genset untuk cadangan sumber tenaga saat terjadi pemadaman. e. Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti gempa bumi) 2. Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan? (Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan pengamanan yang harus diambil) Pembuatan Audit Checklist Untuk mengetahui sejauh mana prosedur audit telah dipenuhi dari langkah-langkah audit yang telah dilakukan, maka selanjutnya perlu dibuat audit checklist. Audit checklist ini terdiri dari tiga bagian, yaitu : 1. Audit Checklist Lingkungan (CK.1) 2. Audit Checklist Fasilitas (CK.2) 3. Audit Checklist Akses Fisik ke Aset TI (CK.3) Tabel 4. Audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3) CHECKLIST PROSES PENGELOLAAN AKSES FISIK KE ASET TI No Audit Checklist Skala Ref 1 akses masuk ke P.3.1 ruangan server 2 akses masuk ke P.3.2 ruangan selain front office 3 Prosedur audit pengelolaan akses P.3.3 pegawai ke ruangan KPPN Surabaya II 4 buku tamu P Perimeter keamanan fisik P Skala Penilaian Penilaian dalam dokumen panduan audit ini mengacu pada penilaian dari penelitian sebelumnya yang dilakukan oleh Istiqlal, Penilaian dalam penelitian ini menggunakan skala Likert berdasarkan kesesuaiannya dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai. Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah prosedur yang ada telah sesuai dengan standar atau tidak. Skala Likert yang digunakan dalam penilaian audit ini adalah sebagai berikut. 1 : Sangat tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit tidak dilaksanakan sama sekali. 2 : Tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan sebagian, namun tidak mencapai 50% 3 : Cukup Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan antara 50%-70% 4 : Sesuai Apabila sebagian besar poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, namun belum didokumentasikan 5 : Sangat sesuai Apabila semua poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, dan telah didokumentasikan Dokumen Panduan Audit Teknologi Informasi Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di dalamnya berisi hal-hal berikut ini : 1. Ikhtisar dokumen panduan audit Bagian ini memberikan penjelasan mengenai isi dokumen, tujuan, ruang lingkup dokumen, istilah dan definisi, kode etik auditor, uraian pekerjaan auditor, tahapan audit, serta form-form yang digunakan dalam proses audit. Salah satu contoh audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3) dapat dilihat pada tabel 4 berikut.

6 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 6 2. Kertas kerja pemeriksaan utama audit teknologi informasi Bagian ini berisi mengenai kesimpulan dari hasil audit proses pengelolaan lingkungan fisik TI pada KPPN Surabaya II. 3. Audit Checklist Audit checklist berfungsi untuk mengetahui sejauh mana prosedur audit telah dipenuhi dari langkah-langkah audit yang telah dilakukan. Audit checklist ini terdiri dari tiga bagian, yaitu : a. Audit Checklist Lingkungan (CK.1) b. Audit Checklist Fasilitas (CK.2) c. Audit Checklist Akses Fisik ke Aset TI (CK.3) 4. Prosedur Audit Di dalam setiap prosedur audit terdapat penjelasan mengenai langkah-langkah yang harus dilaksanakan dalam proses auditing. Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan fisik TI di KPPN Surabaya II, dengan pembagian sebagai berikut : a. Lingkungan : 9 prosedur b. Fasilitas : 12 prosedur c. Akses Fisik ke Aset TI: 5 prosedur 5. Kertas kerja konsep temuan pemeriksaan Bagian ini menjelaskan mengenai temuan-temuan yang didapatkan selama proses audit pengelolaan lingkungan fisik di KPPN Surabaya II. 4.3 Verifikasi Dokumen Panduan Audit Verifikasi dokumen panduan audit dilakukan dengan melakukan pengecekan kelengkapan prosedur yang ada dengan aktivitas-aktivitas dan proses-proses yang terkait dengan pengelolaan lingkungan fisik TI di dalam COBIT 5. Tabel verifikasi kelengkapan dokumen panduan audit dapat dilihat berikut ini. Tabel 5. Verifikasi kelengkapan dokumen panduan audit Prosedur Audit Aktivitas dalam Proses Audit Checklist COBIT Identifikasi risiko lingkungan dan human eror (P.1.1) CK.1 Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Lingkungan (DSS01.04) Dari hasil verifikasi dokumen panduan audit kita dapat mengetahui bahwa setiap aktivitas yang ada di dalam pengelolaan lingkungan fisik COBIT 5 telah tercakup dalam prosedur-prosedur dan audit checklist yang ada dalam dokumen panduan audit. V. KESIMPULAN Kesimpulan yang dapat diambil dari pembuatan dokumen panduan audit TI ini antara lain : 1. Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan, pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI. 2. Pembuatan dokumen panduan audit ini menghasilkan: Ikhtisar dokumen panduan audit teknologi informasi, termasuk di dalamnya penjelasan mengenai tujuan, ruang lingkup dokumen, istilah dan definisi, kode etik auditor, uraian pekerjaan auditor, tahapan audit, serta form-form yang digunakan dalam proses audit. Kertas kerja pemeriksaan utama audit teknologi informasi Audit Checklist, yang terdiri dari tiga bagian. Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian sebagai berikut : a. Lingkungan : 9 prosedur b. Fasilitas (CK.2) : 12 prosedur c. Akses Fisik ke Aset TI : 5 prosedur Kertas kerja konsep temuan pemeriksaan UCAPAN TERIMA KASIH Penulis Y.C.E mengucapkan terima kasih kepada Direktorat Jenderal Perbendaharaan dan KPPN Surabaya II yang telah banyak membantu penulis dalam melaksanakan penelitian ini. DAFTAR PUSTAKA Ditjen Perbendaharaan Perdirjen Perbendaharaan No. PER/46/PB/2009. Jakarta. Insani, Wening Perancangan Buku Visual Cara Membuat Mainan Tradisional untuk Anak. Surabaya: Institut Teknologi Sepuluh Nopember. ISACA COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association. Istiqlal, Yaomi Awalishoum Pembuatan Panduan Audit Manajemen Insiden TI berdasarkan ITIL (Studi Kasus di BPK RI). Surabaya: Institut Teknologi Sepuluh Nopember. IT Governance Institute COBIT 4.1. USA: IT Governance Institute. Menteri Keuangan Republik Indonesia KMK Nomor 479/KMK.01/2010. Jakarta. Mukhtar, Ali Masjono Audit Sistem Informasi. Jakarta: Rineka Cipta. Robert, R., dan Moeller Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL. USA: John Wiley. Sarno, Riyanarto Audit Sistem Informasi dan Teknologi Informasi. Surabaya: ITS Press. Tarigan, Joshua Merancang IT Governance dengan Cobit & Arbanes-Oxley dalam Konteks Budaya Indonesia. Surabaya: Universitas Kristen Petra. Tim Direktorat Keamanan Informasi Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Keamanan Publik. Jakarta: Kementerian Komunikasi dan Informatika RI. Weber, Ron A Information Systems Control and Audit. Fremont, CA, USA: Prentice Hall Business Publishing.