PEMBUATAN PANDUAN AUDIT TEKNOLOGI INFORMASI PADA PROSES PENGELOLAAN LINGKUNGAN FISIK BERBASIS COBIT 5 DI KPPN SURABAYA II

Transkripsi

1 Tugas Akhir - KS PEMBUATAN PANDUAN AUDIT TEKNOLOGI INFORMASI PADA PROSES PENGELOLAAN LINGKUNGAN FISIK BERBASIS COBIT 5 DI KPPN SURABAYA II Yudhis Cahyo Eko/ NRP Dosen Pembimbing : Ir. Ahmad Holil Noor Ali, M. Kom Prih Haryanta, S.E., M.M., M.T. PROGRAM STUDI SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER

2 BAB I PENDAHULUAN

3 Latar Belakang Resiko kehilangan data yang diakibatkan karena pencurian perangkat TI maupun karena kejadian force majeur, seperti kebakaran dan bencana alam. Untuk meminimalisir resiko tersebut, maka diperlukan mekanisme kontrol berupa audit SI/TI Selama ini belum pernah dilakukan audit terhadap proses pengelolaan SI/TI di KPPN Surabaya II, sehingga KPPN Surabaya II tidak dapat mengetahui sejauh mana efisiensi dan efektivitas tata kelola teknologi informasi yang telah dilakukannya.

4 Rumusan Masalah Bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung jawab audit, prosedur audit, audit checklist, serta form temuan) pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai dengan standar COBIT 5.

5 Batasan Masalah Panduan audit SI/TI disusun berdasarkan standar COBIT 5 domain DSS01.04 (Manage the environment), DSS01.05 (Manage facilities), dan DSS05.05 (Manage physical access to IT assets). Domain COBIT 5 yang digunakan merupakan domain yang sesuai dengan pengendalian keamanan fisik dan lingkungan pada KMK 479/KMK.01/2010. Dokumen panduan audit SI/TI berupa penjelasan mengenai tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit. Dokumen panduan audit ini dikhususkan untuk KPPN Surabaya II, sehingga di dalamnya nanti akan menjelaskan hal-hal khusus yang berkaitan dengan lingkungan fisik KPPN Surabaya II yang tidak dimiliki KPPN lainnya.

6 Tujuan Tugas Akhir Untuk menghasilkan dokumen-dokumen (tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit) yang digunakan untuk memandu pelaksanaan audit SI/TI pada KPPN Surabaya II.

7 Manfaat Tugas Akhir Membantu auditor internal untuk melaksanakan audit TI pada KPPN Surabaya II. Dokumen panduan audit TI ini dapat dijadikan pedoman dalam audit TI oleh instansi lain.

8 BAB II TINJAUAN PUSTAKA

9 Definisi Audit Audit adalah suatu proses sistematis, mandiri, dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit telah dipenuhi. Sedangkan audit teknologi informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya secara efisien (Weber, 1999).

10 COBIT 5 COBIT 5 terbagi ke dalam 2 area, yaitu governance dan manajemen. Kedua area ini terdiri dari 5 domain utama dan 37 proses, yaitu sebagai berikut (ISACA, 2012) : 1. Governance of Enterprise IT, terdiri dari domain : Evaluate, Direct and Monitor (EDM) 5 proses 2. Management of Enterprise IT, terdiri dari domain : Align, Plan and Organise (APO) 13 proses Build, Acquire and Implement (BAI) 10 proses Deliver, Service and Support (DSS) 6 proses Monitor, Evaluate and Assess (MEA) 3 proses

11 COBIT 5 (Cont d)

12 BAB III METODE PENGERJAAN TA

13 Metode Pengerjaan

14 BAB IV PEMBUATAN DAN HASIL DOKUMEN

15 Pengumpulan Data Secara fisik, gedung KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara Surabaya II. Gedung Keuangan Negara Surabaya II terletak di jalan Dinoyo no. 111 Surabaya. GKN Surabaya II memiliki luas area m 2, dan dengan tahun perolehan Kepala Rumah Tangga GKN Surabaya II saat ini adalah Heyang Muhanan K, SH, MH yang merangkap sebagai Kepala Bagian Umum Kanwil X Direktorat Jenderal Kekayaan Negara Surabaya.

16 Pengumpulan Data (Cont d) Kantor Pelayanan Perbendaharaan Negara (KPPN) Surabaya II merupakan instansi vertikal di lingkungan Direktorat Jenderal Perbendaharaan Kementerian Keuangan Republik Indonesia. Visi : Menjadi pelaksana fungsi Bendahara Umum yang profesional, transparan dan akuntabel untuk mewujudkan pelayanan prima. Misi : Menjamin kelancaran pencairan dana APBN secara tepat sasaran, tepat waktu dan tepat jumlah Mengelola penerimaan Negara secara professional dan akuntabel Mewujudkan pelaporan pertanggung jawaban APBN yang akurat dan tepat waktu

17 Pengumpulan Data (Cont d) KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara (GKN) Surabaya II. KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN. Karena merupakan bagaikan dari GKN, maka beberapa aset yang terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN.

18 Pengumpulan Data (Cont d) Struktur Organisasi KPPN Surabaya II Kepala Kantor Kepala Subbagian Umum Keuangan Kepegawaian TU/RT Supervisor Kepala Seksi Verifikasi dan Akuntansi Kepala Seksi Pencairan Dana Kepala Seksi Bank/ Giro Pos

19 Pengumpulan Data (Cont d) Server utama dan server back up berada di ruang server dan dikelola oleh seorang supervisor. Belum terdapat adanya dokumentasi yang terstruktur Pengelolaan TI di KPPN Surabaya dilakukan oleh supervisor yang secara struktural berada di bawah Kepala Subbagian Umum Pengelolaan dan pendataan aset-aset TI KPPN Surabaya II menjadi tanggung jawab staf pengelola Tata Usaha / Rumah Tangga (TU/RT)

20 Pengelolaan Lingk. Fisik di dalam COBIT 5 Pada COBIT 4.1, pengelolaan lingkungan fisik TI terdapat pada proses DS12, yaitu manage the physical environment. Pada COBIT 5, manage the physical environment telah digabung ke dalam beberapa proses lain, yaitu DSS01.04 Pengelolaan Lingkungan DSS01.05 Pengelolaan Fasilitas DSS Pengelolaan Akses Fisik ke Aset TI

21 Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan Aktor-aktor utama yang berperan dalam pengelolaan lingkungan fisik TI di KPPN Surabaya II di antaranya adalah : 1. Kepala kantor 2. Kepala subbagian umum 3. Staf TU/RT 4. Supervisor Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed).

22 Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan (Cont d) Hasil pemetaan RACI Chart ke struktur organisasi KPPN Surabaya dapat dilihat pada tabel berikut. Proses Kepala kantor Kepala subbagian umum TU/ RT Supervisor Pengelolaan lingkungan Pengelolaan Fasilitas Pengelolaan akses fisik ke aset TI I C/R/A I R I C/R/A I R I C/R/A I R

23 Pengumpulan Bukti Audit Dari aktivitas yang ada dalam COBIT 5, kemudian ditentukan bukti untuk mendukung pelaksanaan aktivitas tersebut beserta metode pengumpulan bukti tersebut IT Process COBIT 5 DSS Pengelolaan Lingkungan Aktivitas Sumber Metode 1. Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Kasubbag Umum, supervisor Interview, observasi 2. Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Supervisor, peraturan pengamanan perangkat TI Review dokumen, observasi dan interview

24 Penyusunan Dokumen Panduan Audit Pembuatan Prosedur Audit Pembuatan Audit Checklist Skala Penilaian Dokumen Panduan Audit

25 Pembuatan Prosedur Audit Prosedur audit merupakan uraian dari aktvitas-aktivitas yang ada di dalam COBIT, seperti pada tabel berikut. No Proses COBIT 5 Aktivitas Prosedur Audit Kode Dokumen 1 Pengelolaan Lingkungan (DSS01.04) Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror) Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan. Prosedur audit identifikasi risiko lingkungan dan human error Prosedur audit perlindungan terhadap perangkat mobile dan perangkat dari luar lokasi P.1.1 P.1.2

26 Pembuatan Prosedur Audit (Cont d) Prosedur-prosedur yang dihasilkan adalah sbb : 1. Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi a. Identifikasi risiko lingkungan dan human eror (P.1.1) b. Perlindungan terhadap perangkat mobile dan perangkat di luar lokasi (P.1.2) c. Penempatan fasilitas ruang server (P.1.3) d. Penempatan fasilitas di dalam gedung KPPN Surabaya II (P.1.4) e. Perangkat keamanan lingkungan (P.1.5) f. Sosialisasi dan pelatihan keamanan lingkungan (P.1.6) g. Rencana kontingensi (P.1.7) h. Kebersihan dan keamanan ruang server (P.1.8) i. Kebersihan dan keamanan gedung KPPN Surabaya II (P.1.9)

27 Pembuatan Prosedur Audit (Cont d) Prosedur-prosedur yang dihasilkan adalah sbb (Cont d) : 2. Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi a. Penyediaan tenaga listrik cadangan (P.2.1) b. Pemeliharaan UPS (P.2.2) c. Sumber daya listrik, air, dan komunikasi (P.2.3) d. Keamanan kabel (P.2.4) e. Keamanan area KPPN Surabaya II (P.2.5) f. Keamanan area server (P.2.6) g. Manajemen insiden TI (P.2.7) h. Pemeliharaan komputer server (P.2.8) i. Pemeliharaan Personal Computer (PC) (P.2.9) j. Pemeliharaan Printer (P.2.10) k. Pemeliharaan Scanner (P.2.11) l. Analisis perubahan area fisik (P.2.12)

28 Pembuatan Prosedur Audit (Cont d) Prosedur-prosedur yang dihasilkan adalah sbb (Cont d) : 3. Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke aset TI, meliputi a. Pengelolaan akses masuk ke ruangan server (P.3.1) b. Pengelolaan akses masuk ke ruangan selain front office (P.3.2) c. Prosedur audit pengelolaan akses pegawai ke ruangan KPPN Surabaya II (P.3.3) d. Pengelolaan buku tamu (P.3.4) e. Perimeter keamanan fisik (P.3.5)

29 Pembuatan Prosedur Audit (Cont d) Setiap prosedur akan diuraikan lagi menjadi langkah-langkah audit. Sebagai contoh, langkah audit untuk prosedur audit identifikasi risiko lingkungan dan human error (P.1) 1. Tanyakan dan periksa apakah risiko keamanan yang berkaitan dengan bencana alam dan kerusakan karena ulah manusia (human eror) telah diidentifikasikan? (Lakukan pemeriksaan secara langsung terhadap : a. Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok) dan tabung pemadam di setiap ruangan b. Ketersediaan petunjuk mengenai jalur evakuasi dan adanya tangga darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7 GKN. c. Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer server dan 46 unit PC untuk mengatasi risiko pemadaman

30 Pembuatan Prosedur Audit (Cont d) c. Ketersediaan genset untuk cadangan sumber tenaga saat terjadi pemadaman. d. Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti gempa bumi) 2. Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan? (Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan pengamanan yang harus diambil)

31 Pembuatan Audit Checklist Tahap berikutnya adalah membuat audit checklist berdasarkan prosedur-prosedur audit yang ada. Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan Lingkungan (CK.1) Audit Checklist Pengelolaan Fasilitas (CK.2) Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3)

32 Pembuatan Audit Checklist (Cont d) Contoh audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3)

33 Skala Penilaian Penilaian menggunakan skala Likert berdasarkan kesesuaiannya dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai. Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah prosedur yang ada telah sesuai dengan standar atau tidak.

34 Skala Penilaian (Cont d) Skala Likert yang digunakan dalam penilaian audit ini sebagai berikut. 1 : Sangat tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit tidak dilaksanakan sama sekali. 2 : Tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan sebagian, namun tidak mencapai 50% 3 : Cukup Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan antara 50%-70% 4 : Sesuai Apabila sebagian besar poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, namun belum didokumentasikan 5 : Sangat sesuai Apabila semua poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, dan telah didokumentasikan

35 Dokumen Panduan Audit TI Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di dalamnya berisi hal-hal berikut ini : Ikhtisar dokumen panduan audit teknologi informasi Kertas kerja pemeriksaan utama audit teknologi informasi Audit Checklist Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan Lingkungan (CK.1), Audit Checklist Pengelolaan Fasilitas (CK.2), Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3) Prosedur Audit Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan fisik TI di KPPN Surabaya II, dengan pembagian: Pengelolaan Lingkungan (9 prosedur), Pengelolaan Fasilitas (12 prosedur), Pengelolaan Akses Fisik ke Aset TI (5 prosedur) Kertas kerja konsep temuan pemeriksaan

36 Verifikasi Dokumen Panduan Audit Verifikasi dokumen panduan audit dilakukan dengan melakukan pengecekan kelengkapan prosedur yang ada dengan aktivitasaktivitas dan proses-proses yang terkait dengan pengelolaan lingkungan fisik TI di dalam COBIT 5.

37 Verifikasi dokumen panduan audit (Cont d)

38 BAB V KESIMPULAN & SARAN

39 Kesimpulan Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan, pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI. Pembuatan dokumen panduan audit ini menghasilkan: 1. Ikhtisar dokumen panduan audit teknologi informasi 2. Kertas kerja pemeriksaan utama audit teknologi informasi 3. Audit Checklist, yang terdiri dari tiga bagian. 4. Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian sebagai berikut : Pengelolaan Lingkungan Pengelolaan Fasilitas (CK.2) : 9 prosedur : 12 prosedur Pengelolaan Akses Fisik ke Aset TI : 5 prosedur 4. Kertas kerja konsep temuan pemeriksaan

40 Saran Panduan audit ini dibuat berdasarkan COBIT 5. Untuk pengembangan selanjutnya, diharapkan dapat dibuat dokumen panduan audit dengan menggunakan standar lain, dengan kelebihan masing-masing. Penelitian ini diharapkan dapat menjadi dasar bagi penelitianpenelitian selanjutnya untuk perkembangan organisasi.

41 Daftar Pustaka Ditjen Perbendaharaan Perdirjen Perbendaharaan No. PER/46/PB/2009. Jakarta. Insani, Wening Perancangan Buku Visual Cara Membuat Mainan Tradisional untuk Anak. Surabaya: Institut Teknologi Sepuluh Nopember. ISACA COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association. Istiqlal, Yaomi Awalishoum Pembuatan Panduan Audit Manajemen Insiden TI berdasarkan ITIL (Studi Kasus di BPK RI). Surabaya: Institut Teknologi Sepuluh Nopember. IT Governance Institute COBIT 4.1. USA: IT Governance Institute. Menteri Keuangan Republik Indonesia KMK Nomor 479/KMK.01/2010. Jakarta. Mukhtar, Ali Masjono Audit Sistem Informasi. Jakarta: Rineka Cipta. Robert, R., dan Moeller Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL. USA: John Wiley. Sarno, Riyanarto Audit Sistem Informasi dan Teknologi Informasi. Surabaya: ITS Press. Tarigan, Joshua Merancang IT Governance dengan Cobit & Arbanes-Oxley dalam Konteks Budaya Indonesia. Surabaya: Universitas Kristen Petra. Tim Direktorat Keamanan Informasi Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Keamanan Publik. Jakarta: Kementerian Komunikasi dan Informatika RI. Weber, Ron A Information Systems Control and Audit. Fremont, CA, USA: Prentice Hall Business Publishing.

42 TERIMA KASIH