BAB III METODE PENELITIAN. penelitian tugas akhir, sehingga menghasilkan alur metode penelitian

Transkripsi

1 BAB III METODE PENELITIAN Pada Bab III akan dibahas tentang metode penelitian yang digunakan dalam penelitian ini. Metode penelitian yang digunakan mengaplikasikan antara langkah-langkah audit menurut Cannon (2006) yang disesuaikan dengan langkahlangkah penelitian tugas akhir, sehingga menghasilkan alur metode penelitian seperti terlihat pada Gambar 3.1. Tahap Perencanaan Audit Studi Literatur Identifikasi Proses Bisnis dan TI Persetujuan Engagement Letter oleh Perusahaan Identifikasi Ruang Lingkup dan Tujuan Tahap Persiapan Audit Pembuatan Audit Working Plan Membuat Pernyataan Penilaian Risiko Membuat Pertanyaan Tahap Pelaksanaan Audit Pengumpulan Bukti Pemeriksaan Data dan Bukti Analisa Hasil Pemeriksaan Tahap Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Melaporkan Laporan Audit Gambar 3.1 Alur Metode Penelitian 24

2 Tahap Perencanaan Audit Pada tahap perencanaan audit berisi tentang empat tahap perencanaan yang dilakukan oleh penulis sebagai auditor. Tahap perencanaan ini terdiri dari studi literatur, identifikasi proses bisnis dan teknologi informasi, identifikasi ruang lingkup dan tujuan audit, dan persetujuan engagement letter oleh perusahaan. Tahap perencanaan ini merupakan tahap awal dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro Studi Literatur Tahap studi literatur penulis mencari bahan tentang penelitian yang dilakukan. Studi literatur ini bertujuan untuk mendapatkan gambaran menyeluruh tentang audit keamanan informasi yang dilakukan oleh penulis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Studi literatur ini berdasarkan dari referensi buku dan jurnal tentang audit, informasi, keamanan informasi, Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007, Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, ISO 27002:2013, manajemen risiko dan penilaian risiko. Berdasarkan referensi tersebut menghasilkan tentang audit yang digunakan, informasi pada Bank, keamanan informasi, prosedur yang digunakan untuk audit, pemetaan klausul ISO 27002:2013 yang digunakan, jenis-jenis risiko dan penilaian risiko Identifikasi Proses Bisnis dan Teknologi Informasi Pada tahap ini penulis melakukan identifikasi terhadap proses bisnis dan teknologi informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu berupa gambaran umum perusahaan, proses bisnis yang berlangsung dan teknologi yang digunakan. Gambaran umum

3 26 Bank berisi tentang profil organisasi, visi organisasi, misi organisasi, tujuan, struktur organisasi, dan sasaran bisnis. Proses bisnis Bank berisi tentang proses kegiatan operasional yang terjadi di PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teknologi informasi Bank berisi tentang daftar peralatan teknologi informasi yang mendukung proses kegiatan operasional yang terjadi PT. Bank Rakyat Indonesia Unit Sukomoro. Tahap ini menghasilkan dokumen identifikasi proses bisnis dan teknologi informasi Identifikasi Ruang Lingkup dan Tujuan Pada tahap ini penulis melakukan identifikasi terhadap ruang lingkup dan tujuan dari audit pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu ruang lingkup dari audit dan tujuan dari audit. Ruang lingkup audit berisi tentang lingkup audit yang dilakukan. Tujuan berisi tentang tujuan dari audit yang dilakukan penulis. Tahap ini menghasilkan dokumen ruang lingkup dan tujuan Persetujuan Engagement Letter oleh perusahaan Pada tahap ini penulis membuat engagement letter yang bertujuan mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang poin-poin yang akan diaudit, indenpendensi (tanggung jawab) dari auditor, bukti kesepakatan dengan hal-hal yang diaudit dan kondisinya (kewenangan), menyetujui tanggal penyelesaian (akuntabilitas), sehingga menghasilkan persetujuan dari auditee. 3.2 Tahap Persiapan Audit Pada tahap persiapan audit berisi tentang empat tahap persiapan yang dilakukan oleh penulis sebagai auditor. Tahap persiapan ini terdiri dari pembuatan

4 27 audit working plan, membuat pernyataan, penilaian risiko dan membuat pertanyaan. Tahap perencanaan ini merupakan tahapan setelah tahap perencanaan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro Pembuatan Audit Working Plan Pada tahap ini penulis membuat rancangan kerja audit dimana berisi tentang waktu dalam setiap kegiatan yang dilakukan pada saat audit keamanan informasi. Hal ini dilakukan untuk membantu auditor tidak melampaui waktu yang ditentukan. Tahap ini menghasilkan Audit Working Plan seperti terlihat pada Tabel 3.1. No Pekerjaan 1. Perencanaan Audit Identifikasi Proses Bisnis dan Teknologi Informasi Identifikasi Ruang Lingkup dan Tujuan Persetujuan Engagement Letter oleh Perusahaan Tabel 3.1 Contoh Audit Working Plan Audi tor Onky P. W Estimasi Waktu (/jam) Reali sasi (/jam) Hari Membuat Pernyataan Pada tahap ini penulis membuat pernyataan. Pernyataan yang dibuat berdasarkan dari pemetaan antara Peraturan Bank Indonesia dengan ISO 27002:2013 seperti terlihat pada Tabel 3.2 dan 3.3.

5 28 Tabel 3.2. Pemetaan PBI dan ISO PBI:2007 ISO 27002: Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset Prosedur Pengamanan Fisik dan lingkungan Prosedur Pengamanan Operasional Teknologi Informasi Prosedur Penanganan Insiden dalam Pengamanan Informasi Klausul 11. Keamanan Fisik dan Lingkungan Klausul 16. Manajemen Insiden Keamanan Informasi Tabel 3.3. Pemetaan detil PBI dan ISO PBI:2007 ISO 27002: Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung jawab setiap aset Inventaris aset Kepemilikan aset b. Terdapat Klasifikasi Aset Klasifikasi Informasi Prosedur Pengamanan Fisik dan Klausul 11. Keamanan Fisik dan lingkungan a. Terdapat pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi. c. Terdapat pemastian kapasitas dan ketersediaan fasilitas pendukung. d. Terdapat identifikasi dan perlindungan terhadap aset milik penyedia jasa. e. Terdapat pemeliharaan dan pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi Prosedur Penanganan Insiden dalam Pengamanan Informasi a. Terdapat identifikasi, pelaporan, tindaklanjut, dokumentasi dan evaluasi terhadap insiden yang terjadi. b. Terdapat prosedur penanganan insiden c. Terdapat tim khusus yang menangani insiden pengamanan. d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan Lingkungan Perimeter keamanan fisik Kontrol masuk fisik Keamanan kantor, ruangan, dan fasilitas. Perlindungan pihak luar dan ancaman lingkungan Perangkat pendukung Perawatan peralatan. Klausul 16. Manajemen insiden keamanan informasi Laporan kejadian keamanan informasi Tanggung jawab dan prosedur kontrol.

6 29 Pernyataan yang dibuat berisi tentang apa yang akan diperiksa auditor ke auditee. Pernyataan ini diambil dari poin-poin dari prosedur yang tercantum pada Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 pada bagian keamanan informasi dan kontrol dari ISO 27002:2013. Contoh dari membuat pernyataan dari prosedur pengelolaan aset pada Peraturan Bank Indonesia yaitu Terdapat identifikasi dan penanggung jawab setiap aset. Dari prosedur tersebut diarahkan pada klausul 8. tentang manajemen aset yaitu inventaris aset. Pada inventaris aset ini menghasilkan beberapa pernyataan antara lain yaitu terdapat identifikasi aset yang relevan terhadap dokumen penting, dan selanjutnya. Pernyataan tersebut disusun pada dokumen pernyataan seperti terlihat pada Tabel 3.4. Tabel 3.4 Contoh Pernyataan Audit PBI ISO Pernyataan Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 1. Terdapat identifikasi dan penanggung jawab aset. setiap Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk penciptaan aset. 3. Terdapat dokumentasi untuk pengolahan aset. 4. Terdapat dokumentasi untuk penyimpanan aset. 5. Terdapat dokumentasi untuk transmisi aset.

7 Penilaian Risiko Pada tahap ini penulis membuat penilaian risiko. Dalam membuat penilaian risiko terdapat dua tahap yang harus dilakukan yaitu identifikasi aset dan pengisian risk register (awal). A. Identifikasi Aset Tahap identifikasi aset berguna untuk mengetahui tingkat kritikal aset. Sebelum melakukan identifikasi auditor mendata aset yang mendukung proses bisnis untuk diaudit. Tingkat kritikal aset ditentukan dengan menggunakan kriteria penilaian yang terdiri dari aspek confidentiality (kerahasiaan), integrity (keakuratan), dan availability (ketersediaan). Aset diklasifikasikan sesuai dengan penentuan kritikal yang akan dicantumkan pada risk register. Pada tahap ini menghasilkan dokumen identifikasi aset. B. Pengisian Risk Register Awal Setelah melakukan identifikasi aset tahap selanjutnya adalah melakukan pengisian risk register awal. Risk register awal adalah tabel penilaian sebelum adanya pengendalian yang dilakukan oleh auditee. Tahap pertama adalah mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Tahap selanjutnya adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berisi tentang potensi risiko yang terjadi pada aset akibat dari kegagalan atau kelemahan keamanan informasi. Risiko pada setiap aset dapat lebih dari satu risiko. Tahap selanjutnya adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan berisi faktor-faktor yang dapat menyebabkan terjadinya kegagalan atau kelemahan keamanan informasi.

8 31 Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Pada kolom inheren terdapat tiga kolom yaitu kolom empat (kolom kecenderungan), kolom lima (kolom dampak) dan kolom enam (kolom nilai risiko dasar). Kolom kecenderungan dan kolom dampak berisi nilai angka antara satu sampai lima sedangkan pada kolom nilai risiko dasar berisi tingkatan nilai perbandingan antara kecenderungan dan dampak yaitu low, medium dan high. Tahap selanjutnya adalah mengisi kolom sebelas (kolom nilai risiko diharapkan). Kolom nilai risiko diharapkan berisi nilai risiko yang diharapkan oleh perusahaan yang berdasarkan nilai risiko dasar yang telah ditentukan sebelumnya. Kolom nilai risiko yang diharapkan berisi tingkatan nilai yaitu low, medium dan high. Pada tahap ini menghasilkan risk register awal seperti terlihat pada Tabel 3.5. Ase t Desk ripsi Risik o Analisa Kerawa nan Tabel 3.5 Contoh Risk Register Awal Kece nder unga n Inheren Da Kecen mp derung ak an Kontrol Yang ada Kecen derun gan Residual Dam pak Nilai risiko Akhi r Nilai Risiko dihara pkan Membuat Pertanyaan Pada tahap ini auditor membuat pertanyaan untuk audit. Pertanyaan yang dibuat berdasarkan dari pernyataan yang telah dibuat dan berdasarkan analisis kerawanan dari penilaian risiko. Pertanyaan yang dibuat berisi tentang apa yang akan ditanyakan auditor ke auditee saat dilakukan wawancara. Tahap ini menghasilkan dokumen pertanyaan seperti terlihat pada Tabel 3.6.

9 32 Tabel 3.6 Contoh Pertanyaan Audit Inventaris aset Pernyataan Pertanyaan 1. Terdapat identifikasi aset 1. Apa saja yang termasuk dokumen penting di BRI Kantor Unit Sukomoro? yang relevan 2. Apakah terdapat identifikasi dari dokumen terhadap dokumen penting. penting tersebut? 3. Apa saja yang diidentifikasi dari dokumen 2. Terdapat dokumentasi untuk pengadaan aset. penting tersebut? 1. Apakah terdapat proses penciptaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam penciptaan aset? 3. Apa saja yang didokumentasi dalam dokumentasi penciptaan aset? 4. Bagaimana bentuk dokumentasi penciptaan aset? 3.3 Tahap Pelaksanaan Audit Pada tahap pelaksanaan audit berisi tentang tiga tahap pelaksanaan yang dilakukan oleh penulis sebagai auditor. Tahap pelaksanaan ini terdiri dari pengumpulan bukti, pemeriksaan data dan bukti dan analisis hasil pemeriksaan. Tahap pelaksanaan ini merupakan tahapan setelah tahap persiapan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro Pengumpulan Bukti Berdasarkan tahap persiapan audit yang telah dibuat, maka langkah selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pengumpulan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro. Observasi dilakukan dengan mengumpulkan bukti-bukti yang ada dan diperlukan

10 33 sesuai dengan pertanyaan yang telah dibuat. Hasil wawancara tertulis dalam kertas kerja audit. Langkah ini menghasilkan dokumen bukti seperti pada Tabel 3.7 Tabel 3.7 Contoh Dokumen Bukti Kode Keterangan Bukti Foto Bukti A.1 Keterangan foto 1 A.2 Keterangan foto Pemeriksaan Data dan Bukti Tahap selanjutnya adalah pemeriksaan data dan bukti. Dalam pemeriksaan ini dilakukan penyatuan antara hasil wawancara dan dokumen bukti untuk memudahkan dalam pemeriksaan data dan bukti. Tahap ini menghasilkan dokumen kertas kerja audit. Bentuk dari kertas kerja audit dapat dilihat pada Tabel 3.8. Tabel 3.8 Contoh Kertas Kerja Audit KLAUSUL Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. No. Pertanyaan Jawaban 1. Apakah terdapat identifikasi dari berkas pinjaman berupa hardcopy? Jawaban 2. Apa saja yang diidentifikasi dari berkas pinjaman berupa hardcopy? Bukti : A.1 Jawaban Bukti :

11 34 Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor Analisis Hasil Pemeriksaan Pada tahap analisis hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian rincian penilaian risk register. Rincian penilaian risk register berguna sebagai dasar dalam mengisi nilai residu risk register akhir. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Pengisian kolom residu kecenderungan dan dampak berdasarkan nilai inheren dari risk register awal, sehingga apabila kontrol tidak dipenuhi nilai kecenderungan dan dampak sama dengan nilai inheren risk register awal. Kontrol yang tidak ada karena tidak digunakan tidak perlu diberi nilai. Pengisian kolom residu kecenderungan menggunakan kriteria pengukuran kecenderungan dapat dilihat pada Tabel 2.5. Kolom residu kecenderungan berisi berapa sering tingkat kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan. Pengisian kolom residu dampak menggunakan klasifikasi dampak dapat dilihat pada Tabel 2.6. Kolom residu dampak berisi besar dampak kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan.

12 35 Kolom residu dua berisi hasil rata-rata nilai dari kolom residu satu. Kolom residu satu pada kecenderungan berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Kolom residu satu pada dampak berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Hasil dari rata-rata nilai ini menimbulkan angka desimal sehingga dilakukan pembulatan angka angka dibelakang koma kurang dari lima maka dibulatkan ke bawah apabila angka dibelakang koma adalah lima atau diatas lima dibulatkan ke atas. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 3.9. N o Aset 1. Berkas pinjam an berupa hardco py. Tabel 3.9 Contoh Rincian Penilaian Risk Register Residu 2 Residu 1 Analisa Pernyataan Kerawanan Deskripsi Risiko Ketidaks esuaian inventari s berkas pinjaman berupa hardcopy Tidak terdapat inventaris aset. Kece nderu ngan Da mpa k Terdapat identifikasi aset yang relevan terhadap dokumen penting. Terdapat dokumentasi untuk pengadaan aset. Kece nderu ngan Da mpa k Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Kolom risk register akhir yang diisi adalah kolom tujuh hingga kolom sepuluh. Kolom tujuh (kolom kontrol yang ada) diisi sesuai dengan pengendalian yang ada. Pengendalian yang ada dapat dilihat dalam rincian penilaian risk register pada kolom pernyataan. Pernyataan yang ada dapat dicantumkan pada kolom kontrol yang ada. Selanjutnya pengisian kolom residu pada risk register terdapat tiga kolom yang harus diisi yaitu kolom delapan (kolom kecenderungan), kolom sembilan (kolom dampak) dan kolom sepuluh (kolom nilai risiko akhir). Kolom kecenderungan dan dampak dapat diisi dengan dasar rincian penilaian risk

13 36 register yaitu kolom residu dua. Kolom nilai risiko akhir berisi tingkatan nilai dari perbandingan kecenderungan dan dampak yaitu low, medium atau high. Hasil nilai risiko akhir didapat berdasarkan matrik pengukuran risiko seperti terlihat pada Tabel 2.7. Langkah ini menghasilkan dokumen risk register seperti terlihat pada Tabel Ase t Desk ripsi Risik o Analisa Kerawa nan Kece nder unga n Tabel 3.10 Contoh Risk Register Akhir Inheren Residual Da Kecen Kontrol Kecen Dam mp derung Yang derun pak ak an ada gan Nilai risiko Akhi r Nilai Risiko dihara pkan Setelah pengisian risk register akhir dilakukan analisis. Analisis ini dilakukan terhadap risk register akhir. Analisis yang dilakukan adalah apa nilai risiko akhir sudah mencapai nilai risiko yang diharapkan, jika belum mencapai dianalisis penyebab belum tercapainya nilai risiko yang diharapkan. Penyebab belum tercapainya nilai risiko yang diharapkan dimasukkan ke dalam dokumen temuan. Setelah dimasukkan ke dalam dokumen temuan auditor memberikan rekomendasi terhadap temuan tersebut. Rekomendasi berdasarkan referensi dari kontro keamanan yang telah dipetakan. Tahap ini menghasilkan dokumen temuan. Temuan dapat dilihat pada Tabel 3.11.

14 37 Tabel 3.11 Contoh Temuan Audit Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 1. Temuan 1 Rekomendasi : rekomendasi 1 Risiko : Ketidaksesuaian inventaris. 2. Temuan 2 Risiko : Ketidaksesuaian inventaris. Referensi :Klausul ISO : 2013 Rekomendasi : rekomendasi 2 Referensi :Klausul ISO : Tahap Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Pada laporan ini juga dilampirkan prosentase dari keseluruhan kontrol yang digunakan dalam audit dengan pencapaian level low pada seluruh aset yang terkait dengan informasi berupa aset data, perangkat keras dan perangkat pendukung. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari Melaporkan Laporan Audit Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.