BAB IV HASIL DAN PEMBAHASAN

Transkripsi

1 BAB IV HASIL DAN PEMBAHASAN Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit. 4.1 Tahap Perencanaan Audit Studi Literatur Studi literatur yang dilakukan menghasilkan dasar yang akan digunakan dalam penulisan tugas akhir. Audit yang dilakukan pada penelitian ini menggunakan audit berbasis risiko. Audit berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia. Audit yang dilakukan menggunakan tiga prosedur dari Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Prosedur yang digunakan seperti terlihat pada Tabel

2 39 Tabel 4.1 Prosedur yang Digunakan PBI: Prosedur Pengelolaan Aset Prosedur Pengamanan Fisik dan lingkungan Prosedur Penanganan Insiden dalam Pengamanan Informasi Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013 dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel pemetaan tersebut seperti pada Tabel 4.2. Tabel 4.2 Pemetaan PBI dan ISO PBI:2007 ISO 27002: Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset Prosedur Pengamanan Fisik Klausul 11. Keamanan Fisik dan dan lingkungan Prosedur Penanganan Insiden dalam Pengamanan Informasi Lingkungan Klausul 16. Manajemen Insiden Keamanan Informasi Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada Tabel 4.3. Tabel 4.3 Pemetaan Detil PBI dan ISO PBI:2007 ISO 27002: Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung jawab setiap aset Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset Klasifikasi Informasi Prosedur Pengamanan Fisik dan Klausul 11. Keamanan Fisik dan lingkungan a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi. Lingkungan Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas. Perlindungan pihak luar dan ancaman lingkungan

3 40 Tabel 4.3 Pemetaan Detil PBI dan ISO (Lanjutan) Prosedur Pengamanan Fisik dan lingkungan Klausul 11. Keamanan Fisik dan Lingkungan c. Terdapat pemastian kapasitas dan Perangkat pendukung ketersediaan fasilitas pendukung. d. Terdapat identifikasi dan perlindungan terhadap aset milik penyedia jasa. e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi Perawatan peralatan Prosedur Penanganan Insiden dalam Pengamanan Informasi Klausul 16. Manajemen insiden keamanan informasi a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi Laporan kejadian keamanan informasi. b. Terdapat prosedur penanganan insiden c. Terdapat tim khusus yang menangani insiden pengamanan. d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan Tanggung jawab dan prosedur kontrol. Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium dan high. Risk register dalam memperoleh nilai membandingkan antara kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat pada Tabel 4.4. Ase t Desk ripsi Risik o Analisa Kerawa nan Kece nder unga n Tabel 4.4 Risk Register Inheren Da Kecen mp derung ak an Kontrol Yang ada Kecen derun gan Residual Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan

4 Identifikasi Proses Bisnis dan TI Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro berdiri sejak 7 Juli Kantor ini berada di atas tanah seluas ± 350 m 2 dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat wilayah kecamatan Sukomoro. Visi dari perusahaan adalah Menjadi bank komersial terkemuka yang selalu mengutamakan kepuasan nasabah. Misi dari perusahaan adalah a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang peningkatan ekonomi masyarakat. b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja yang tersebar luas dan didukung oleh sumber daya manusia yang profesional dengan melaksanakan praktek good corporate governance. c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak yang berkepentingan. Tujuan bisnis dari perusahaan yaitu menyediakan jasa keuangan untuk masyarakat melalui pemberian pinjaman dan menghimpun dana melalui simpanan dengan sasaran bisnis yaitu masyarakat luas. Struktur organisasi dari PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro seperti terlihat pada Gambar 4.1.

5 42 Kepala Unit Teller Customer service Mantri Satpam Penjaga Malam Cleaning service Gambar 4.1. Strukur Organisasi Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses bisnis pembukaan rekening pinjaman baru, penyetoran melalui teller, pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5. Tabel 4.5 Aset yang Diaudit Proses Bisnis Aset Jenis Aset Pembukaan Berkas simpanan berupa hardcopy Data Rekening Server Perangkat Keras Simpanan Baru Personal Computer (customer Perangkat Keras service) Printer Inkjet Perangkat Keras Personal Computer (kepala unit) Perangkat Keras Printer Pasbook Perangkat Keras Mesin ATM Perangkat Keras Lemari besi anti api Perangkat Pendukung Pembukaan Berkas pinjaman berupa hardcopy Data Rekening Pinjaman Server Perangkat Keras Baru Personal Computer (customer Perangkat Keras service) Printer Inkjet Perangkat Keras Personal Computer (kepala unit) Perangkat Keras Brankas Tanam Perangkat Pendukung

6 43 Tabel 4.5 Aset yang Diaudit (Lanjutan) Proses Bisnis Aset Jenis Aset Penyetoran Uang Bukti transaksi berupa hardcopy Data melalui Teller Server Perangkat Keras Personal Computer (teller) Perangkat Keras Printer Pasbook Perangkat Keras Penarikan Uang Bukti transaksi berupa hardcopy Data melalui Teller Server Perangkat Keras Personal Computer (teller) Perangkat Keras Printer Pasbook Perangkat Keras Pembuatan Laporan harian berupa hardcopy Data Laporan Harian Server Perangkat Keras Personal Computer (teller) Perangkat Keras Printer Laser Perangkat Keras Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat pada Tabel 4.6. Tabel 4.6. Perangkat Pendukung yang Diaudit Aset Jenis Aset Pendingin ruangan (ruang server) Perangkat pendukung Brankas jinjing Perangkat pendukung Genset Perangkat pendukung CCTV Perangkat pendukung Tabung pemadam kebakaran Perangkat pendukung Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro yaitu, Nasabah menyerahkan KTP dan NPWP Cs mencetak buku tabungan dan mengaktifkan Kartu ATM Customer Service (CS) mencetak formulir simpanan Kaunit memberikan persetujuan. Nasabah menandatangani formulir simpanan Berkas simpanan diserahkan ke Kepala Unit ( Kaunit) persyaratan disusun menjadi berkas simpanan. Cs menyerahkan buku tabungan dan Kartu ATM nasabah melakukan penyetoran pada teller. Cs menyimpan berkas simpanan di lemari besi anti api. Gambar 4.2. Proses Bisnis Pembukaan Rekening Simpanan Baru

7 44 a. Pembukaan Rekening Simpanan Baru Proses pembukaan rekening simpanan baru pertama kali yang dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah. Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah kepala unit telah memberi persetujuan, costumer service mencetak buku tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM melalui ATM. Customer service menyimpan berkas simpanan ke dalam lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan baru dapat dilihat pada Gambar 4.2. Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu berkas simpanan berupa hardcopy, personal computer milik customer service, printer inkjet, personal computer milik kaunit, server, printer pasbook, mesin ATM dan lemari besi anti api b. Pembukaan Rekening Pinjaman Baru Proses bisnis pembukaan rekening pinjaman baru dilakukan dengan cara nasabah mengajukan permohonan pinjaman beserta fotokopi ktp, kk, npwp, surat keterangan dari kecamatan bahwa memiliki usaha dan agunan tambahan. Costumer service mencetak formulir permohonan, yang selanjutnya ditanda tangani oleh nasabah. Nasabah dipersilahkan menunggu telepon dari customer service saat realisasi.

8 45 Costumer service menyusun data menjadi SKPP (Surat Keterangan Permohonan Pinjaman), SKPP akan dicek oleh kepala unit dan di disposisi ke mantri untuk disurvey kelayakannya. Hasil dari analisis mantri diserahkan ke customer service. Customer service menyerahkan hasil survey mantri ke kepala unit untuk diputuskan. Permohonan yang diputuskan disetujui dikembalikan ke customer service. Customer service memanggil nasabah untuk melakukan realisasi pinjaman. Nasabah membawa agunan tambahan asli untuk diserahkan ke costumer service. Setelah itu customer service mencetak formulir realisasi untuk ditandatangani nasabah. Setelah itu costumer service menyusun menjadi berkas pinjaman. Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana. Selanjutnya nasabah melakukan pencairan dana ke teller. Costumer service mencatat berkas kepada buku induk pinjaman. Costumer service bersama kepala unit menyimpan berkas pinjaman dalam brankas tanam. Gambaran proses bisnis pembukaan rekening pinjaman baru dapat dilihat pada Gambar 4.3. Proses bisnis untuk pembukaan rekening pinjaman baru terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (costumer service), server, printer inkjet, personal computer (kepala unit), brankas tanam dan berkas pinjaman berupa hardcopy.

9 46 Nasabah mengajukan permohonan pinjaman Customer Service (CS) mencetak formulir permohonan Nasabah menandatangani formulir permohonan Mantri melakukan survey Kaunit mengecek SKPP CS menyusun menjadi SKPP Kepala Unit memutuskan permohonan pinjaman CS menghubungi nasabah untuk relisasi pinjaman Nasabah membawa agunan tambahan yang sah. Customer Service (CS) mencetak formulir realisasi. CS menyimpan berkas pinjaman bersama kaunit ke brankas tanam Nasabah membawa bukti transaksi pencairan dana ke teller Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana persyaratan disusun menjadi berkas pinjaman. Gambar 4.3. Proses Bisnis Pembukaan Rekening Pinjaman Baru Nasabah mengisi bukti transaksi Bukti transaksi penyetoran diserahkan ke teller bersama uang dan buku tabungan Teller akan mencocokkan antara buku tabungan, bukti transaksi dan uang. Teller mengembalikan copy bukti transaksi yang sudah divalidasi Teller melakukan validasi terhadap bukti transaksi Teller memasukkan data ke personal computer Gambar 4.4. Proses Bisnis Penyetoran Uang melalui Teller c. Penyetoran Uang melalui Teller Proses penyetoran uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi penyetoran. Nasabah menuju teller dengan membawa bukti transaksi penyetoran dan buku tabungan. Saat penyetoran nasabah menyerahkan uang kepada teller sesuai yang tertulis di bukti transaksi. Teller akan mengentri data melalui personal computer milik teller yang terhubung dengan server untuk mengisikan sesuai bukti transaksi dan uang yang disetor

10 47 oleh nasabah. Selanjutnya teller melakukan validasi terhadap bukti transaksi penyetoran. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah beserta buku tabungannya. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.4. Proses bisnis untuk penyetoran uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy. Nasabah mengisi bukti transaksi pengambilan Bukti transaksi pengambilan diserahkan ke teller bersama buku tabungan Teller akan mencocokkan antara bukti transaksi dan buku tabungan Teller menyerahkan uang dan buku tabungan nasabah. Teller melakukan validasi terhadap slip dan buku tabungan Teller memasukkan data ke personal computer Gambar 4.5. Proses Bisnis Pengambilan Uang melalui Teller d. Pengambilan Uang melalui Teller Proses pengambilan uang melalui teller dengan cara nasabah yang telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi pengambilan. Selanjutnya nasabah menuju teller dengan membawa bukti transaksi pengambilan. Proses pengambilan nasabah menyerahkan buku tabungan dan bukti transaksi kepada teller. Teller akan mengentri data melalui personal computer milik teller mengisikan sesuai bukti transaksi dan uang yang diambil oleh nasabah. Selanjutnya teller

11 48 melakukan validasi terhadap bukti transaksi pengambilan. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah. Selanjutnya Uang beserta buku tabungannya diserahkan kepada nasabah. Proses bisnis untuk pengambilan uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.5. Teller menyerahkan bukti transaksi ke kepala unit. Kepala Unit menyimpan dalam amplop khusus. Kepala Unit mencetak laporan harian Kepala Unit menyimpan bukti transaksi dan laporan harian di lemari besi anti api Gambar 4.6. Proses Bisnis Pembuatan Laporan Harian e. Pembuatan Laporan Harian Setelah kas tutup bukti transaksi berupa hardcopy diserahkan kepada kepala unit. Kepala unit mengumpulkan menjadi satu dan dimasukkan kedalam amplop bukti kas dan diberi tanggal sesuai tanggal transaksi. Selanjutnya Kepala Unit melakukan pencetakan laporan transaksi harian dengan printer laser melalui personal computer milik kepala unit untuk mencocokkan dengan bukti kas. Gambaran proses bisnis pembuatan laporan harian dapat dilihat pada Gambar 4.6.

12 Identifikasi Ruang Lingkup dan Tujuan Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. Isi dari dokumen ruang lingkup dan tujuan adalah ruang lingkup audit dan tujuan dari audit. Ruang lingkup audit meliputi Peraturan Bank Indonesia yang telah dipetakan dengan ISO 27002:2013. Ruang lingkup audit dapat dilihat pada Tabel 4.7 Tabel 4.7 Ruang Lingkup Audit PBI:2007 ISO 27002: Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset Prosedur Pengamanan Fisik dan lingkungan Klausul 11. Keamanan Fisik dan Lingkungan Prosedur Penanganan Insiden dalam Pengamanan Informasi Klausul 16. Manajemen Insiden Keamanan Informasi Tujuan audit yang ingin dicapai dalam penelitian ini adalah sebagai berikut. 1. Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi. 2. Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.

13 50 3. Melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember Persetujuan Engagement Letter oleh perusahaan Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang indenpendensi dari auditor (tanggung jawab) diantaranya menjaga kerahasiaan dari hasil, data dan bukti audit tertulis dengan jelas pada engagement letter. Pihak bank menyetujui poin-poin yang akan diaudit diantara prosedur pengelolaan aset, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan operasional teknologi informasi, dan prosedur pengamanan insiden dalam pengamanan informasi yang tercantum pada ruang lingkup. Pihak bank menyetujui tanggal penyelesaian yang tercantum pada jadwal kerja yang tercantum. Kepala Unit sebagai auditee menyetujui dengan membubuhkan tanda tangan pada engagement letter. Bentuk dari engagement letter terlihat pada gambar 4.7 dan 4.8. Engagement letter untuk lebih jelasnya dapat dilihat pada lampiran 1.

14 Gambar 4.7 Halaman Awal Engagement Letter 51

15 52 Gambar 4.8 Halaman Akhir Engagement Letter 4.2 Tahap Persiapan Audit Pembuatan Audit Working Plan Pada tahap pembuatan audit working plan telah direncanakan waktu pelaksanaan audit kurang lebih 4 bulan. Dalam audit working plan terbagi dalam empat tahap yang akan dilalui yaitu perencanaan, persiapan, pelaksanaan dan pelaporan audit seperti yang terlihat pada Tabel 4.8.

16 53 Tabel 4.8 Audit Working Plan No Pekerjaan Audi tor Estimas i Waktu (/hari) 1 Perencanaan Audit 16 Identifikasi Proses Bisnis dan Teknologi 4 Informasi Onky Identifikasi Ruang P. W Lingkup dan Tujuan 4 Persetujuan 4 Engagement Letter oleh Perusahaan 2 Persiapan Audit 23 Membuat Audit Working Plan Onky 2 Membuat Pernyataan P. W 5 Penilaian Risiko 9 Membuat Pertanyaan 7 3 Pelaksanaan Audit 30 Pemeriksaan Data dan Bukti Onky 10 Pengumpulan Bukti P. W 10 Analisa Hasil Pemeriksaan 10 4 Pelaporan Audit 11 Penyusunan dan Persetujuan Laporan Onky 10 Audit P. W Melaporkan Laporan Audit 1 Jumlah 80 Realis asi (/hari) Minggu

17 Membuat Pernyataan Pernyataan yang dibuat berdasarkan pemetaan yang telah dibuat saat studi literatur. Pernyataan berisi tentang kontrol penting yang diperiksa auditor. Pernyataan diambil dari ISO yang memiliki dasar Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember Dalam pembuatan pernyataan ini pokok-pokok yang bersifat umum dalam Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum maka pernyataan diambil dari kontrol ISO 27002:2013 sesuia pemetaan yang telah dilakukan. Hasil dari pernyataan yang telah dibuat dapat dilihat pada Tabel 4.9 dan untuk lebih jelasnya dapat dilihat pada Lampiran 2. Tabel 4.9 Pernyataan Audit PBI ISO Pernyataan Prosedur Pengelolaan Aset 1. Terdapat identifikasi dan penanggung jawab setiap aset. Klausul 8. Manajemen Aset Inventaris Aset Kepemilikan aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk pengadaan aset. 3. Terdapat dokumentasi untuk penggunaan aset. 4. Terdapat dokumentasi untuk penyimpanan aset. 5. Terdapat dokumentasi untuk transmisi aset. 6. Terdapat dokumentasi unuk penghapusan aset. 7. Terdapat dokumentasi penghancuran aset. 8. Inventaris aset akurat. 9. Inventaris aset up to date. 10. Inventaris aset konsisten 1. Terdapat inventarisasi aset. 2. Terdapat klasifikasi aset. 3. Terdapat perlindungan aset. 4. Terdapat aturan pembatasan akses. 5. Terdapat aturan klasifikasi aset. 6. Terdapat pemeriksaan secara berkala pembatasan akses.

18 Penilaian Risiko A. Identifikasi Aset Identifikasi aset dapat dilakukan setelah auditor mendata aset yang dipergunakan dalam mendukung proses bisnis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Daftar aset tersebut dapat dilihat pada Tabel Tabel 4.10 Daftar Aset yang Diaudit No. Nama Aset Jenis Aset 1. Berkas Pinjaman Berupa Hardcopy Data 2. Berkas Simpanan Berupa Hardcopy Data 3. Bukti Transaksi Harian Dalam Bentuk Hardcopy 4. Laporan Transaksi Harian Berupa Hardcopy Data Data 5. Server Perangkat Keras 6. Printer Pas Book Perangkat Keras 7. Mesin ATM (Anjungan Tunai Mandiri) Perangkat Keras 8. Printer Laser Perangkat Keras 9. Personal computer (Kepala Unit) Perangkat Keras 10. Personal computer (Teller) Perangkat Keras 11. Personal computer (Costumer service) Perangkat Keras 12. Printer Inkjet Perangkat Keras 13. Pendingin ruangan (Ruang Server) Perangkat Pendukung 14. Brankas Tanam Perangkat Pendukung 15. Lemari Besi Anti Api Perangkat Pendukung 16. Brankas Jinjing Perangkat Pendukung 17. Genset Perangkat Pendukung 18. CCTV Perangkat Pendukung 19. Tabung Pemadam Perangkat Pendukung

19 56 Setelah daftar aset telah ditentukan tahap selanjutnya mengidentifikasi aset berdasarkan tingkat kritikal aset. Dalam menentukan tingkat kritikal aset diperlukan pedoman untuk memberikan penilaian. Bentuk pedoman penilaian identifikasi aset dapat dilihat pada Tabel Aspek Confidentia-lity Integrity Tabel 4.11 Pedoman Penilaian Identifikasi Aset Analisa Sensitivitas Berapa besar kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi / dapat diakses oleh siapa saja? Berapa besar dampak/keru gian terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan? Kriteria Penilaian High Medium Low Jika kerugian yang ditimbulkan tidak signifikan karena informasi tidak sensitif atau akses informasi oleh berbagai pihak di organisasi. Jika kerugian yang ditimbulkan sangat signifikan karena informasi yang bocor sangat sensitif atau hanya bisa diakses oleh personil tertentu yang telah diberi otorisasi. Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis dan menimbulkan potensi dilakukannya penyimpangan yang mengarah pada nilai uang yang cukup signifikan. Jika dampak yang ditimbulkan tidak signifikan seperti mengakibatkan tidak berjalannya proses bisnis yang tidak signifikan, kesalahan dalam pengambilan keputusan. Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja. Jika dampak yang ditimbulkan sangat kecil dan tidak menggangg u proses bisnis.

20 57 Tabel 4.11 Pedoman Penilaian Identifikasi Aset (Lanjutan) Aspek Analisa Kriteria Penilaian Sensitivitas High Medium Low Availability Berapa besar dampak/keru gian yang ditimbulkan apabila terjadi ketidaktersed iaan suatu aset? Jika dampak yang ditimbulkan sangat signifikan seperti mengakibatkan tidak berjalannya proses bisnis. Jika dampak yang ditimbulkantida k signifikan karena aset dapat digantikan dengan biaya atau waktu yang memadai sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis. Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti. Berdasarkan pedoman penilaian identifikasi aset maka dihasilkan dokumen identifikasi aset. Dokumen identifikasi aset ini berdasarkan data aset yang ada selanjutnya dilakukan penilaian dengan pedoman penilaian identifikasi aset. Identifikasi aset dapat dilihat pada Gambar 4.4. Identifikasi aset untuk lebih jelasnya dapat dilihat pada Lampiran 3.

21 58 Dokumen Identifikasi Aset - Berkas Pinjaman Berupa Hardcopy Aspek Confidentiality Integrity Availability Kriteria Penilaian High Medium Low - Berkas Simpanan Berupa Hardcopy Aspek Confidentiality Integrity Availability Kriteria Penilaian High Medium Low - Bukti Transaksi Harian Berupa Hardcopy Aspek Confidentiality Integrity Availability Kriteria Penilaian High Medium Low - Laporan Transaksi Harian Berupa Hardcopy Aspek Confidentiality Integrity Availability Kriteria Penilaian High Medium Low - Server Aspek Confidentiality Integrity Availability Kriteria Penilaian High Medium Low Gambar 4.10 Identifikasi Aset

22 59 B. Pengisian Risk Register Awal Dalam pengisian risk register awal melalui beberapa tahapan. Tahap pertama yang dilakukan auditor mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Pengisian kolom aset dapat dilihat pada Tabel Tabel 4.12 Pengisian Kolom Aset Risk Register No Aset Berkas pinjaman berupa hardcopy 2. Berkas simpanan berupa hardcopy Tahap selanjutnya yang dilakukan oleh auditor adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berkas pinjaman diantaranya adalah ketidaksesuaian inventaris dan pencurian. Pengisian deskripsi risiko dapat terlihat pada Tabel No Tabel 4.13 Pengisian Deskripsi Risiko Risk Register Aset Deskripsi Risiko Berkas pinjaman berupa hardcopy Ketidaksesuaian inventaris Pencurian Tahap selanjutnya yng dilakukan auditor adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan dari ketidaksesuaianan inventaris diantaranya adalah tidak terdapat inventaris aset, tidak terdapat kepemilikan aset, tidak terdapat klasifikasi aset dan tidak terdapat penandaan

23 60 informasi. analisa kerawanan ini berasal dari pernyataan yang telah dibuat. Pengisian analisa kerawanan dapat dilihat pada Tabel Tabel 4.14 Pengisian Analisa Kerawanan Risk Register No Aset Deskripsi Risiko Analisa Kerawanan Berkas pinjaman berupa hardcopy Ketidaksesuaian inventaris Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset. Tidak terdapat klasifikasi informasi. Tidak terdapat penandaan informasi. Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Dalam mengisi kolom inheren kita memerlukan kriteria pengukuran kecenderungan, kriteria pengukuran dampak dan matrik tingkatan risiko. Kriteria pengukuran kecenderungan membantu auditor dalam memberi nilai kecenderungan terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran kecenderungan dapat dilihat pada Tabel Tabel 4.15 Kriteria Pengukuran Kecenderungan Level Potensi Kejadian Frekuensi Kejadian Frekuensi kejadian perminggu* 5. Potensi terjadi tinggi dalam jangka pendek Sangat sering terjadi Terjadi selama 5 hari kerja berulang. 4. Potensi terjadi tinggi dalam jangka panjang Lebih sering terjadi Terjadi 4 kali dalam seminggu hari kerja. 3. Potensi terjadi sedang Cukup sering terjadi Terjadi 3 kali dalam seminggu hari kerja. 2. Potensi terjadi kecil Jarang terjadi Terjadi 2 kali dalam seminggu hari kerja. 1. Kemungkinan terjadi kecil Hampir tidak pernah terjadi Tidak pernah terjadi atau maksimal 1 kali dalam seminggu hari kerja Kriteria pengukuran dampak membantu auditor dalam memberi nilai dampak terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran dampak dapat dilihat pada Tabel 4.16.

24 61 Tabel 4.16 Kriteria Pengukuran Dampak Nilai Potensi gangguan terhadap proses bisnis 5 Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai. 4 Aset pemrosesan informasi mengalami gangguan yang menyebabkan aktifitas bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih 3 Aset pemrosesan informasi mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih. 2 Aset pemrosesan informasi mengalami gangguan namun akifitas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya. 1 Tidak menyebabkan gangguan terhadap operasional proses bisnis. Potensi Penurunan Reputasi Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah / stakeholder utama dan masyarakat. Kerusakan reputasi yang tidak meyeluruh, hanya nasabah atau partner bisnis tertentu. Kerusakan reputasi hanya pada unit tersebut. Kerusakan reputasi yang tidak menyeluruh hanya satuan kerja tertentu. Tidak berpengaruh pada reputasi. Matrik tingkatan risiko membantu auditor dalam memberi tingkatan nilai risiko dasar berupa low, medium dan high dengan membandingkan kecenderungan dan dampak. Matrik tingkatan risiko dapat dilihat pada Tabel 4.17.

25 62 Kecenderungan n Tabel 4.17 Matrik Tingkatan Risiko 5 Medium Medium High High High 4 Low Medium High High High 3 Low Low Medium High High 2 Low Low Medium Medium High 1 Low Low Medium Medium High Dampak Dalam mengisi kolom residu risk register awal auditor menganalisis seberapa tingkat kecenderungan ketidakamanan informasi saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama dengan kepala unit untuk kecenderungan residu aset berada pada posisi antara tiga dan lima. Aset yang memiliki nilai tiga potensi terjadinya risiko sedang, nilai empat potensi terjadinya risiko hampir setiap hari dalam seminggu dan nilai lima potensi kejadiannya setiap hari dalam seminggu. Selanjutnya seberapa tingkat dampak yang ditimbulkan saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama kepala unit dampak residu aset berada pada posisi tiga dan lima. Aset yang memiliki nilai tiga dampaknya kerusakan hanya mengganggu sebagian proses saja, untuk nilai empat dampak kerusakannya mencapai penundaan hingga gangguan teratasi dan untuk nilai lima dampak kerusakan menyebabkan kegagalan total proses bisnis yang berlangsung. Penilaian kecenderungan dan dampak dapat dilihat pada Tabel No Aset Tabel 4.18 Penilaian Kecenderungan dan Dampak Deskripsi Risiko Analisa Kerawanan Kecender ungan (min =1, mak = 5) Inheren Dampak (min =1, mak = 5) Berkas Ketidaksesuaian Tidak terdapat inventaris 4 4 pinjaman berupa hardcopy inventaris aset. Tidak terdapat kepemilikan aset. 4 3

26 63 Tahap selanjunya adalah penilaian nilai risiko dasar yang berdasarkan hasil penilaian kecenderungan dan dampak pada setiap deskripsi risiko. Penilaian kecenderungan dan dampak inheren didapat dari konsultasi dengan perusahaan apabila aset tersebut tidak terdapat kontrol pengaman. Penilaian menggunakan matrik tingkatan risiko dimana pada analisa kerawanan tidak terdapat inventaris aset nilai kecenderungannya empat dan dampaknya lima maka diperoleh hasil high. Tahap selanjutnya pengisian nilai risiko yang diharapkan. Pengisian nilai risiko yang diharapkan berdasarkan nilai risiko dasar dimana nilai risiko yang diharapakan oleh perusahaan adalah mencapai level yang lebih baik. Hasil dari nilai risiko dasar yang diperoleh adalah high maka dilakukan konsultasi dengan perusahaan target apa yang ingin dicapai. Dalam audit ini Kepala Unit menginginkan nilai risiko yang diharapkan adalah mencapai level low. Risk register awal dapat dilihat pada Tabel Risk register awal untuk lebih jelasnya dapat dilihat pada Lampiran 4.

27 64 Tabel 4.19 Risk Register Awal No Aset Deskripsi Risiko Analisa Kerawanan Kecende rungan (min =1, mak = 5) Inheren Dampak (min =1, mak = 5) Nilai Risiko Dasar Nilai Risiko Diharap kan Berkas Ketidaksesuaian inventaris Tidak terdapat inventaris aset. 4 4 pinjaman Tidak terdapat kepemilikan aset. 4 3 berupa Tidak terdapat klasifikasi informasi. 4 3 High Low hardcopy Tidak terdapat penandaan informasi. 3 3 Pencurian Keterlambatan penanganan saat terjadi insiden. Tidak terdapat perimeter keamanan 5 4 High Low fisik. Tidak terdapat kontrol masuk fisik. 5 4 High Low Tidak terdapat keamanan kantor, 5 4 High Low ruangan dan fasilitas. Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan. 5 5 High Low Tidak terdapat pelaporan informasi 5 5 High Low kejadian keamanan. Tidak terdapat tanggung jawab dan 5 4 High Low prosedur kontrol Tidak terdapat tim khusus yang 5 4 High Low menangani insiden pengamanan. dan seterusnya.

28 Membuat Pertanyaan Tahap membuat pertanyaan dilakukan berdasarkan pernyataan yang telah dibuat. Pertanyaan yang ada berdasarkan dari dokumen pernyataan yang telah dibuat sebelumnya. Pertanyaan ini ditujukan pada setiap aset yang akan diaudit. Salah satu hasil dari pertanyaan yang dibuat seperti terlihat pada Tabel 4.20 dokumen pertanyaan untuk lebih jelasnya dapat dilihat pada Lampiran 5. Tabel 4.20 Pertanyaan Audit Inventaris aset Pernyataan Pertanyaan 11. Terdapat identifikasi aset yang 1. Apakah aset termasuk dokumen relevan terhadap dokumen penting di BRI Kantor Unit penting. Sukomoro? 2. Apakah terdapat identifikasi dari dokumen penting tersebut? 3. Apa saja yang diidentifikasi dari dokumen penting tersebut? 12. Terdapat dokumentasi untuk 1. Apakah terdapat proses pengadaan pengadaan aset. aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam pengadaan aset? 3. Apa saja yang didokumentasi dalam dokumentasi pengadaan aset? 4. Bagaimana bentuk dokumentasi 3. Terdapat dokumentasi untuk penggunaan aset. 4. Terdapat dokumentasi untuk penyimpanan aset. pengadaan aset? 1. Apakah terdapat proses penggunaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam penggunaan aset? 3. Apa saja yang didokumentasi dalam dokumentasi penggunaan aset? 4. Bagaimana bentuk dokumentasi pengolahan aset? 1. Apakah terdapat proses penyimpanan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam penyimpanan aset? 3. Apa saja yang didokumentasi dalam dokumentasi penyimpanan aset? 4. Bagaimana bentuk dokumentasi penyimpanan aset?

29 Tahap Pelaksanaan Audit Pengumpulan Bukti Tahap ini menghasilkan dokumen wawancara dan dokumen bukti. Berdasarkan tahap persiapan audit yang telah kita buat, maka langkah selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pada langkah ini kita mengumpulkan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro dan observasi yaitu dengan mengumpulkan bukti-bukti yang ada dan diperlukan sesuai dengan pertanyaan yang telah dibuat. Hasil dari observasi berupa dokumen bukti terlihat seperti Tabel Dokumen bukti dapat dilihat pada Lampiran 6. Tabel 4.21 Dokumen Bukti Audit Kode Keterangan Bukti Foto Bukti A.1 Tampak depan berkas pinjaman dan seterusnya Pemeriksaan Data dan Bukti Tahap pertama dari pemeriksaan data dan bukti adalah membuat kertas kerja audit berdasarkan dokumen wawancara dan dokumen bukti. Kertas kerja audit dapat dilihat pada Tabel Kertas Kerja Audit untuk lebih jelasnya dapat dilihat pada Lampiran 7.

30 67 Tabel 4.22 Kertas Kerja Audit KERTAS KERJA AUDIT 1.1 Tanggal : 16 November 2014 (revisi) Nama : Jiantono jabatan : Ka Unit Tanda Tangan : KLAUSUL Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. No. Pertanyaan Jawaban 1. Apakah berkas pinjaman berupa hardcopy termasuk dokumen penting di BRI Kantor Unit Sukomoro? 2. Apakah terdapat identifikasi dari berkas pinjaman berupa hardcopy? 3. Apa saja yang diidentifikasi dari berkas pinjaman berupa hardcopy? Berkas pinjaman berupa hardcopy termasuk dokumen penting. Terdapat identifikasi dari berkas pinjaman berupa hardcopy. Bukti : A.1 Identifikasi pada berkas pinjaman berupa hardcopy meliputi nomor induk, nama, alamat dan jenis dokumen agunan kredit. Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor. Kertas kerja audit telah disetujui tahap selanjutnya dalam pemeriksaan data dan bukti adalah mengisi rincian penilaian risk register. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom

31 68 kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Tahap ini menghasilkan dokumen rincian penilaian risk register. Bentuk rincian penilaian risk register dapat dilihat pada Tabel Dokumen rincian penilaian risk register dapat dilihat pada Lampiran 8.

32 69 Tabel 4.23 Dokumen Rincian Risk Register No Aset Deskripsi Risiko 1. Berkas pinjaman berupa hardcopy. dan seterusnya. Ketidaksesuaian inventaris Analisa Kerawanan Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset. Residu 2 Residu 1 Dam Pernyataan Kecen pak derun Kecen derun gan 2,57 2,28 Terdapat identifikasi aset yang relevan terhadap dokumen penting. Dam pak gan 2 1 Terdapat dokumentasi untuk pengadaan aset. - - Terdapat dokumentasi untuk penggunaan aset. 4 4 Terdapat dokumentasi untuk penyimpanan aset. 1 1 Terdapat dokumentasi untuk transmisi aset. - - Terdapat dokumentasi untuk penghapusan aset. - - Terdapat dokumentasi untuk penghancuran aset. 1 1 Inventaris aset akurat. 2 1 Inventaris aset up to date. 4 4 Inventaris aset konsisten ,67 2,16 Terdapat inventaris aset. 2 1 Terdapat klasifikasi aset. 4 3 Terdapat perlindungan aset. 1 1 Terdapat aturan pembatasan akses 1 2 Terdapat aturan klasifikasi aset. 4 3 Terdapat pemeriksaan secara berkala pembatasan akses. 4 3

33 Analisis Hasil Pemeriksaan Pada tahap analisi hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian risk register akhir. Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Pada kontrol yang ada diisi dengan pernyataan yang ada yang telah diberikan nilai pada dokumen rincian penilaian risk register. Penilaian kolom inheren (sesudah ada pengendalian) diisi dengan pembulatan dari kolom residu dua dalam dokumen rincian penilaian risk register. Nilai risiko akhir untuk mendapatkannya menggunakan matrik tingkat risiko. Pengisian risk register (akhir) dapat diihat pada Tabel Risk register akhir untuk lebih jelasnya dapat dilihat pada Lampiran 9.

34 71 No. Aset Deskripsi Risiko Analisa Kerawanan Kecender ungan (min =1, mak = 5) Tabel 4.24 Risk Register Akhir Inheren Dampak (min =1, mak = 5) Nilai Risiko Dasar Kontrol yang ada Kecende rungan (min =1, mak = 5) Residual Dampak (min =1, mak = 5) Nilai Risiko Akhir Nilai Risiko Diharap kan Berkas pinjaman berupa hardcopy Tidak terdapat inventaris aset. 3 2 Low Low dan seterusnya. Ketidakses uaian inventaris berkas pinjaman berupa hardcopy. Tidak terdapat kepemilikan aset. 4 4 High - terdapat identifikasi aset yang relevan terhadap dokumen penting. - terdapat dokumentasi untuk penyimpanan - terdapat dokumentasi untuk penghancuran aset. - Inventaris aset akurat. 4 3 High - Terdapat inventaris aset. - Terdapat perlindungan aset. - Terdapat aturan pembatasan akses 3 2 Low Low

35 72 Setelah pengisian risk register (akhir) dilakukan analisis terhadap nilai risiko akhir dari risk register (akhir) apakah telah sesuai dengan nilai risiko yang diharapkan. Penyebab nilai risiko akhir tidak mencapai nilai risiko yang diharapkan dicantumkan pada dokumen temuan. Setelah temuan terkumpul maka diberikan rekomendasi pada setiap temuan yang terjadi. Rekomendasi berasal dari kontrol keamanan yang telah dipetakan. Dokumen temuan dapat dilihat pada Tabel Dokumen temuan yang lebih lengkap dapat dilihat pada Lampiran 10. Tabel 4.25 Dokumen Temuan Audit Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 1. Tidak terdapat klasifikasi informasi. Risiko : Ketidaksesuaian Inventaris. 2. Tidak terdapat penandaan informasi. Rekomendasi : Klasifikasi dilakukan dengan cara menentukan tingkatan berkas pinjaman sesuai dengan tingkatan kepentingannya. Referensi :Klausul ISO : 2013 Rekomendasi : memberikan penandaan informasi atau pemberian label pada berkas pinjaman sesuai dengan klasifikasinya. Risiko : Ketidaksesuaian inventaris. 3. Tidak terdapat kontrol masuk fisik. Referensi :Klausul ISO : 2013 Rekomendasi : kontrol masuk fisik dilakukan dengan memberikan pencatatan waktu beserta tanggal setiap pengunjung yang masuk ke clash. Risiko : Pencurian berkas pinjaman berupa hardcopy. Referensi :Klausul ISO : 2013

36 73 Tabel 4.25 Dokumen Temuan Audit (Lanjutan) Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 4. Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan. Rekomendasi : Diadakan peninjauan berkala pada clash, membatasi akses alat perekam pada clash dan memasang tanda peringatan untuk yang tidak berkepentingan dilarang masuk. Risiko : Pencurian berkas Pinjaman berupa hardcopy. 5. Tidak terdapat tanggung jawab dan prosedur kontrol. Risiko : Keterlambatan penanganan insiden Referensi :Klausul ISO : 2013 Rekomendasi : Membuat prosedur untuk perencanaan, persiapan, pemantauan, pendeteksi, analisis jika terjadi insiden sehingga meminimalisir terjadinya insiden. Referensi :Klausul ISO : Tahap Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang laporan untuk manajemen, temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Temuan yang ditemukan diantaranya PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro perlu melakukan perbaikan terutama pada klasifikasi informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman lingkungan dan tanggung jawab dan prosedur kontrol. Perbaikan perlu segera dilakukan pada empat permasalahan tersebut karena empat hal ini ditemukan dalam semua aset yang berkaitan dengan informasi. Tingkat keamanan informasi atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat

37 74 keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat pendukung yang mencapai level low terdapat 51 (47,22%). Sehingga PT. Bank Rakyat Indonesia (persero) Tbk. perlu untuk melaksanakan rekomendasi yang telah dibuat supaya mencapai level low untuk keseluruhan kontrol keamanan terhadap aset informasi. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari. Laporan audit dapat dilihat pada Lampiran Melaporkan Laporan Audit Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.