BAB III METODE PENELITIAN
Pada Bab III akan dibahas tentang metode penelitian yang digunakan dalam penelitian ini. Metode penelitian yang digunakan mengaplikasikan antara langkah-langkah audit menurut Cannon (2006) yang disesuaikan dengan langkahlangkah penelitian tugas akhir, sehingga menghasilkan alur metode penelitian seperti terlihat pada Gambar 3.1.
Identifikasi Proses Bisnis dan TI
Studi Literatur Tahap Perencanaan Audit
Tahap Persiapan Audit
Tahap Pelaksanaan Audit
Tahap Pelaporan Audit
Identifikasi Ruang Lingkup dan Tujuan
Persetujuan Engagement Letter oleh Perusahaan
Pembuatan Audit Working Plan
Membuat Pernyataan
Pengumpulan Bukti
Penilaian Risiko
Pemeriksaan Data dan Bukti
Penyusunan dan Persetujuan Laporan Audit
Melaporkan Laporan Audit
Gambar 3.1 Alur Metode Penelitian
24
Membuat Pertanyaan
Analisa Hasil Pemeriksaan
25
3.1 Tahap Perencanaan Audit Pada tahap perencanaan audit berisi tentang empat tahap perencanaan yang dilakukan oleh penulis sebagai auditor . Tahap perencanaan ini terdiri dari studi literatur, identifikasi proses bisnis dan teknologi informasi, identifikasi ruang lingkup dan tujuan audit, dan persetujuan engagement letter oleh perusahaan. Tahap perencanaan ini merupakan tahap awal dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. 3.1.1
Studi Literatur Tahap studi literatur penulis mencari bahan tentang penelitian yang
dilakukan. Studi literatur ini bertujuan untuk mendapatkan gambaran menyeluruh tentang audit keamanan informasi yang dilakukan oleh penulis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Studi literatur ini berdasarkan dari referensi buku dan jurnal tentang audit, informasi, keamanan informasi, Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007, Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, ISO 27002:2013, manajemen risiko dan penilaian risiko. Berdasarkan referensi tersebut menghasilkan tentang audit yang digunakan, informasi pada Bank, keamanan informasi, prosedur yang digunakan untuk audit, pemetaan klausul ISO 27002:2013 yang digunakan, jenis-jenis risiko dan penilaian risiko. 3.1.2
Identifikasi Proses Bisnis dan Teknologi Informasi Pada tahap ini penulis melakukan identifikasi terhadap proses bisnis dan
teknologi informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu berupa gambaran umum perusahaan, proses bisnis yang berlangsung dan teknologi yang digunakan. Gambaran umum
26
Bank berisi tentang profil organisasi, visi organisasi, misi organisasi, tujuan, struktur organisasi, dan sasaran bisnis. Proses bisnis Bank berisi tentang proses kegiatan operasional yang terjadi di PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teknologi informasi Bank berisi tentang daftar peralatan teknologi informasi yang mendukung proses kegiatan operasional yang terjadi PT. Bank Rakyat Indonesia Unit Sukomoro. Tahap ini menghasilkan dokumen identifikasi proses bisnis dan teknologi informasi. 3.1.3
Identifikasi Ruang Lingkup dan Tujuan Pada tahap ini penulis melakukan identifikasi terhadap ruang lingkup dan
tujuan dari audit pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari identifikasi ini yaitu ruang lingkup dari audit dan tujuan dari audit. Ruang lingkup audit berisi tentang lingkup audit yang dilakukan. Tujuan berisi tentang tujuan dari audit yang dilakukan penulis. Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. 3.1.4
Persetujuan Engagement Letter oleh perusahaan Pada tahap ini penulis membuat engagement letter yang bertujuan
mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang poin-poin yang akan diaudit, indenpendensi (tanggung jawab) dari auditor, bukti kesepakatan dengan hal-hal yang diaudit dan kondisinya (kewenangan), menyetujui tanggal penyelesaian (akuntabilitas), sehingga menghasilkan persetujuan dari auditee. 3.2 Tahap Persiapan Audit Pada tahap persiapan audit berisi tentang empat tahap persiapan yang dilakukan oleh penulis sebagai auditor. Tahap persiapan ini terdiri dari pembuatan
27
audit working plan, membuat pernyataan, penilaian risiko dan membuat pertanyaan. Tahap perencanaan ini merupakan tahapan setelah tahap perencanaan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. 3.2.1
Pembuatan Audit Working Plan Pada tahap ini penulis membuat rancangan kerja audit dimana berisi
tentang waktu dalam setiap kegiatan yang dilakukan pada saat audit keamanan informasi. Hal ini dilakukan untuk membantu auditor tidak melampaui waktu yang ditentukan. Tahap ini menghasilkan Audit Working Plan seperti terlihat pada Tabel 3.1. Tabel 3.1 Contoh Audit Working Plan No 1.
3.2.2
Pekerjaan Perencanaan Audit Identifikasi Proses Bisnis dan Teknologi Informasi Identifikasi Ruang Lingkup dan Tujuan Persetujuan Engagement Letter oleh Perusahaan
Audi tor
Estimasi Waktu (/jam)
Reali sasi (/jam)
Hari 1 2 3 4 5 6 7
8 9 10
10
4 Onky P. W
4
2
Membuat Pernyataan Pada tahap ini penulis membuat pernyataan. Pernyataan yang dibuat
berdasarkan dari pemetaan antara Peraturan Bank Indonesia dengan ISO 27002:2013 seperti terlihat pada Tabel 3.2 dan 3.3.
28
Tabel 3.2. Pemetaan PBI dan ISO 27002 PBI:2007 ISO 27002:2013 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset 5.3.3.3Prosedur Pengamanan Fisik Klausul 11. Keamanan Fisik dan dan lingkungan Lingkungan 5.3.3.5 Prosedur Pengamanan Operasional Teknologi Informasi 5.3.3.6 Prosedur Penanganan Insiden Klausul 16. Manajemen Insiden dalam Pengamanan Informasi Keamanan Informasi
Tabel 3.3. Pemetaan detil PBI dan ISO 27002 PBI:2007 ISO 27002:2013 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan 8.1.1 Inventaris aset penanggung jawab setiap aset. 8.1.2 Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan Klausul 11. Keamanan Fisik dan lingkungan Lingkungan a. Terdapat pengamanan fisik dan 11.1.1 Perimeter keamanan fisik lingkungan terhadap fasilitas 11.1.2 Kontrol masuk fisik pemrosesan informasi. 11.1.3 Keamanan kantor, ruangan, dan fasilitas. 11.1.4 Perlindungan pihak luar dan ancaman lingkungan c. Terdapat pemastian kapasitas dan 11.2.2 Perangkat pendukung ketersediaan fasilitas pendukung. d. Terdapat identifikasi dan perlindungan terhadap aset milik penyedia jasa. e. Terdapat pemeliharaan dan 11.2.4 Perawatan peralatan. pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi 5.3.3.6 Prosedur Penanganan Insiden Klausul 16. Manajemen insiden dalam Pengamanan Informasi keamanan informasi a. Terdapat identifikasi, pelaporan, 16.1.2 Laporan kejadian keamanan tindaklanjut, dokumentasi dan informasi. evaluasi terhadap insiden yang terjadi. b. Terdapat prosedur penanganan 16.1.1 Tanggung jawab dan insiden prosedur kontrol. c. Terdapat tim khusus yang menangani insiden pengamanan. d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan
29
Pernyataan yang dibuat berisi tentang apa yang akan diperiksa auditor ke auditee. Pernyataan ini diambil dari poin-poin dari prosedur yang tercantum pada Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 pada bagian keamanan informasi dan kontrol dari ISO 27002:2013. Contoh dari membuat pernyataan dari prosedur pengelolaan aset pada Peraturan Bank Indonesia yaitu “Terdapat identifikasi dan penanggung jawab setiap aset”. Dari prosedur tersebut diarahkan pada klausul 8. tentang manajemen aset yaitu “inventaris aset”. Pada inventaris aset ini menghasilkan beberapa pernyataan antara lain yaitu “terdapat identifikasi aset yang relevan terhadap dokumen penting, dan selanjutnya”. Pernyataan tersebut disusun pada dokumen pernyataan seperti terlihat pada Tabel 3.4. Tabel 3.4 Contoh Pernyataan Audit
PBI 5.3.3.1 Prosedur Pengelolaan Aset 1. Terdapat identifikasi dan penanggung jawab setiap aset.
ISO 27002 Klausul 8. Manajemen Aset 8.1.1 Inventaris Aset
Pernyataan
1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk penciptaan aset. 3. Terdapat dokumentasi untuk pengolahan aset. 4. Terdapat dokumentasi untuk penyimpanan aset. 5. Terdapat dokumentasi untuk transmisi aset.
30
3.2.3 Penilaian Risiko Pada tahap ini penulis membuat penilaian risiko. Dalam membuat penilaian risiko terdapat dua tahap yang harus dilakukan yaitu identifikasi aset dan pengisian risk register (awal). A.
Identifikasi Aset Tahap identifikasi aset berguna untuk mengetahui tingkat kritikal aset.
Sebelum melakukan identifikasi auditor mendata aset yang mendukung proses bisnis untuk diaudit. Tingkat kritikal aset ditentukan dengan menggunakan kriteria penilaian yang terdiri dari aspek confidentiality (kerahasiaan), integrity (keakuratan), dan availability (ketersediaan). Aset diklasifikasikan sesuai dengan penentuan kritikal yang akan dicantumkan pada risk register. Pada tahap ini menghasilkan dokumen identifikasi aset. B.
Pengisian Risk Register Awal Setelah melakukan identifikasi aset tahap selanjutnya adalah melakukan
pengisian risk register awal. Risk register awal adalah tabel penilaian sebelum adanya pengendalian yang dilakukan oleh auditee. Tahap pertama adalah mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Tahap selanjutnya adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berisi tentang potensi risiko yang terjadi pada aset akibat dari kegagalan atau kelemahan keamanan informasi. Risiko pada setiap aset dapat lebih dari satu risiko. Tahap selanjutnya adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan berisi faktor-faktor yang dapat menyebabkan terjadinya kegagalan atau kelemahan keamanan informasi.
31
Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Pada kolom inheren terdapat tiga kolom yaitu kolom empat (kolom kecenderungan), kolom lima (kolom dampak) dan kolom enam (kolom nilai risiko dasar). Kolom kecenderungan dan kolom dampak berisi nilai angka antara satu sampai lima sedangkan pada kolom nilai risiko dasar berisi tingkatan nilai perbandingan antara kecenderungan dan dampak yaitu low, medium dan high. Tahap selanjutnya adalah mengisi kolom sebelas (kolom nilai risiko diharapkan). Kolom nilai risiko diharapkan berisi nilai risiko yang diharapkan oleh perusahaan yang berdasarkan nilai risiko dasar yang telah ditentukan sebelumnya. Kolom nilai risiko yang diharapkan berisi tingkatan nilai yaitu low, medium dan high. Pada tahap ini menghasilkan risk register awal seperti terlihat pada Tabel 3.5. Tabel 3.5 Contoh Risk Register Awal Ase t
Desk ripsi Risik o
Analisa Kerawa nan
1
2
3
3.2.4
Kece nder unga n 4
Inheren Da Kecen mp derung ak an 5
6
Kontrol Yang ada
Kecen derun gan
7
8
Residual Dam Nilai pak risiko Akhi r 9 10
Nilai Risiko dihara pkan 11
Membuat Pertanyaan Pada tahap ini auditor membuat pertanyaan untuk audit. Pertanyaan yang
dibuat berdasarkan dari pernyataan yang telah dibuat dan berdasarkan analisis kerawanan dari penilaian risiko. Pertanyaan yang dibuat berisi tentang apa yang akan ditanyakan auditor ke auditee saat dilakukan wawancara. Tahap ini menghasilkan dokumen pertanyaan seperti terlihat pada Tabel 3.6.
32
Tabel 3.6 Contoh Pertanyaan Audit
8.1.1 Inventaris aset Pernyataan 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. 2. Terdapat dokumentasi untuk pengadaan aset.
1. 2. 3. 1. 2. 3. 4.
Pertanyaan Apa saja yang termasuk dokumen penting di BRI Kantor Unit Sukomoro? Apakah terdapat identifikasi dari dokumen penting tersebut? Apa saja yang diidentifikasi dari dokumen penting tersebut? Apakah terdapat proses penciptaan aset di BRI Kantor Unit Sukomoro? Apakah dilakukan dokumentasi dalam penciptaan aset? Apa saja yang didokumentasi dalam dokumentasi penciptaan aset? Bagaimana bentuk dokumentasi penciptaan aset?
3.3 Tahap Pelaksanaan Audit Pada tahap pelaksanaan audit berisi tentang tiga tahap pelaksanaan yang dilakukan oleh penulis sebagai auditor. Tahap pelaksanaan ini terdiri dari pengumpulan bukti, pemeriksaan data dan bukti dan analisis hasil pemeriksaan. Tahap pelaksanaan ini merupakan tahapan setelah tahap persiapan dalam audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. 3.3.1
Pengumpulan Bukti Berdasarkan tahap persiapan audit yang telah dibuat, maka langkah
selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pengumpulan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro. Observasi dilakukan dengan mengumpulkan bukti-bukti yang ada dan diperlukan
33
sesuai dengan pertanyaan yang telah dibuat. Hasil wawancara tertulis dalam kertas kerja audit. Langkah ini menghasilkan dokumen bukti seperti pada Tabel 3.7
Tabel 3.7 Contoh Dokumen Bukti
Kode
Keterangan Bukti
A.1
Keterangan foto 1
A.2
Keterangan foto 2
3.3.2
Foto Bukti
Pemeriksaan Data dan Bukti Tahap selanjutnya adalah pemeriksaan data dan bukti. Dalam pemeriksaan
ini dilakukan penyatuan antara hasil wawancara dan dokumen bukti untuk memudahkan dalam pemeriksaan data dan bukti. Tahap ini menghasilkan dokumen kertas kerja audit. Bentuk dari kertas kerja audit dapat dilihat pada Tabel 3.8. Tabel 3.8 Contoh Kertas Kerja Audit
KLAUSUL 8.1.1 Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. No. Pertanyaan Jawaban 1. Apakah terdapat identifikasi dari Jawaban berkas pinjaman berupa hardcopy? Bukti : A.1 2. Apa saja yang diidentifikasi dari Jawaban berkas pinjaman berupa hardcopy? Bukti :
34
Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor.
3.3.3 Analisis Hasil Pemeriksaan Pada tahap analisis hasil pemeriksaan tahap pertama kali yang dilakukan adalah pengisian rincian penilaian risk register. Rincian penilaian risk register berguna sebagai dasar dalam mengisi nilai residu risk register akhir. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Pengisian kolom residu kecenderungan dan dampak berdasarkan nilai inheren dari risk register awal, sehingga apabila kontrol tidak dipenuhi nilai kecenderungan dan dampak sama dengan nilai inheren risk register awal. Kontrol yang tidak ada karena tidak digunakan tidak perlu diberi nilai. Pengisian kolom residu kecenderungan menggunakan kriteria pengukuran kecenderungan dapat dilihat pada Tabel 2.5. Kolom residu kecenderungan berisi berapa sering tingkat kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan. Pengisian kolom residu dampak menggunakan klasifikasi dampak dapat dilihat pada Tabel 2.6. Kolom residu dampak berisi besar dampak kerusakan dari aset atas risiko yang terjadi bila sudah terdapat kontrol keamanan.
35
Kolom residu dua berisi hasil rata-rata nilai dari kolom residu satu. Kolom residu satu pada kecenderungan berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Kolom residu satu pada dampak berisi rata-rata nilai yang didapatkan dari keseluruhan kontrol. Hasil dari rata-rata nilai ini menimbulkan angka desimal sehingga dilakukan pembulatan angka angka dibelakang koma kurang dari lima maka dibulatkan ke bawah apabila angka dibelakang koma adalah lima atau diatas lima dibulatkan ke atas. Bentuk tabel rincian penilaian risk register dapat dilihat pada Tabel 3.9. Tabel 3.9 Contoh Rincian Penilaian Risk Register N o 1.
Aset Berkas pinjam an berupa hardco py.
Deskripsi Risiko
Analisa Kerawanan
Ketidaks esuaian inventari s berkas pinjaman berupa hardcopy
Tidak terdapat inventaris aset.
Residu 2 Kece Da nderu mpa ngan k
Pernyataan
Residu 1 Kece Da nderu mpa ngan k
Terdapat identifikasi aset yang relevan terhadap dokumen penting. Terdapat dokumentasi untuk pengadaan aset.
Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Kolom risk register akhir yang diisi adalah kolom tujuh hingga kolom sepuluh. Kolom tujuh (kolom kontrol yang ada) diisi sesuai dengan pengendalian yang ada. Pengendalian yang ada dapat dilihat dalam rincian penilaian risk register pada kolom pernyataan. Pernyataan yang ada dapat dicantumkan pada kolom kontrol yang ada. Selanjutnya pengisian kolom residu pada risk register terdapat tiga kolom yang harus diisi yaitu kolom delapan (kolom kecenderungan), kolom sembilan (kolom dampak) dan kolom sepuluh (kolom nilai risiko akhir). Kolom kecenderungan dan dampak dapat diisi dengan dasar rincian penilaian risk
36
register yaitu kolom residu dua. Kolom nilai risiko akhir berisi tingkatan nilai dari perbandingan kecenderungan dan dampak yaitu low, medium atau high. Hasil nilai risiko akhir didapat berdasarkan matrik pengukuran risiko seperti terlihat pada Tabel 2.7. Langkah ini menghasilkan dokumen risk register seperti terlihat pada Tabel 3.10. Tabel 3.10 Contoh Risk Register Akhir Ase t
Desk ripsi Risik o
Analisa Kerawa nan
1
2
3
Kece nder unga n 4
Inheren Da Kecen mp derung ak an 5
6
Kontrol Yang ada
Kecen derun gan
7
8
Residual Dam Nilai pak risiko Akhi r 9 10
Nilai Risiko dihara pkan 11
Setelah pengisian risk register akhir dilakukan analisis. Analisis ini dilakukan terhadap risk register akhir. Analisis yang dilakukan adalah apa nilai risiko akhir sudah mencapai nilai risiko yang diharapkan, jika belum mencapai dianalisis penyebab belum tercapainya nilai risiko yang diharapkan. Penyebab belum tercapainya nilai risiko yang diharapkan dimasukkan ke dalam dokumen temuan. Setelah dimasukkan ke dalam dokumen temuan auditor memberikan rekomendasi terhadap temuan tersebut. Rekomendasi berdasarkan referensi dari kontro keamanan yang telah dipetakan. Tahap ini menghasilkan dokumen temuan. Temuan dapat dilihat pada Tabel 3.11.
37
Tabel 3.11 Contoh Temuan Audit
Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 1. Temuan 1 Rekomendasi : rekomendasi 1
2.
Risiko : Ketidaksesuaian Referensi :Klausul 8.2.1 ISO 27002 : 2013 inventaris. Temuan 2 Rekomendasi : rekomendasi 2 Risiko : Ketidaksesuaian Referensi :Klausul 8.1.1 ISO 27002 : 2013 inventaris.
3.4 Tahap Pelaporan Audit 3.4.1
Penyusunan dan Persetujuan Laporan Audit Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap
pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Pada laporan ini juga dilampirkan prosentase dari keseluruhan kontrol yang digunakan dalam audit dengan pencapaian level low pada seluruh aset yang terkait dengan informasi berupa aset data, perangkat keras dan perangkat pendukung. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari. 3.4.2
Melaporkan Laporan Audit Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee
untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.
