BAB IV HASIL DAN PEMBAHASAN
Pada Bab IV akan membahas hasil dari audit yang dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Hasil dari audit meliputi tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit. 4.1 Tahap Perencanaan Audit 4.1.1
Studi Literatur Studi literatur yang dilakukan menghasilkan dasar yang akan digunakan
dalam penulisan tugas akhir. Audit yang dilakukan pada penelitian ini menggunakan audit berbasis risiko. Audit berfokus pada pengujian atas sistem dan proses bagaimana manajemen audit mengatasi hambatan pencapaian tujuan. Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Keamanan informasi bergantung pada pengamanan terhadap semua aspek dan komponen teknologi informasi terkait, seperti perangkat lunak, perangkat keras, jaringan, peralatan pendukung dan sumber daya manusia. Audit yang dilakukan menggunakan tiga prosedur dari Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Prosedur yang digunakan seperti terlihat pada Tabel 4.1.
38
39
Tabel 4.1 Prosedur yang Digunakan
PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset 5.3.3.3Prosedur Pengamanan Fisik dan lingkungan 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
Pemetaan prosedur yang digunakan dengan klausul ISO 27002:2013 dibuat untuk menjadi pedoman penulis dalam membuat pernyataan. Tabel pemetaan tersebut seperti pada Tabel 4.2. Tabel 4.2 Pemetaan PBI dan ISO 27002
PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset 5.3.3.3Prosedur Pengamanan Fisik dan lingkungan 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
ISO 27002:2013 Klausul 8. Manajemen Aset Klausul 11. Keamanan Fisik dan Lingkungan Klausul 16. Manajemen Insiden Keamanan Informasi
Tabel pemetaan tersebut masih secara umum pemetaan yang dilakukan untuk lebih detailnya dibuat tabel pemetaan yang lebih detail sehingga memudahkan penulis dalam membuat pernyataan. Tabel pemetaan secara detail seperti pada Tabel 4.3. Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 PBI:2007 ISO 27002:2013 5.3.3.1 Prosedur Pengelolaan Aset Klausul 8. Manajemen Aset a. Terdapat identifikasi dan penanggung 8.1.1 Inventaris aset jawab setiap aset. 8.1.2 Kepemilikan aset b. Terdapat Klasifikasi Aset. 8.2.1 Klasifikasi Informasi 5.3.3.3Prosedur Pengamanan Fisik dan Klausul 11. Keamanan Fisik dan lingkungan Lingkungan a. Terdapat pengamanan fisik dan 11.1.1 Perimeter keamanan fisik lingkungan terhadap fasilitas 11.1.2 Kontrol masuk fisik pemrosesan informasi. 11.1.3 Keamanan kantor, ruangan, dan fasilitas. 11.1.4 Perlindungan pihak luar dan ancaman lingkungan
40
Tabel 4.3 Pemetaan Detil PBI dan ISO 27002 (Lanjutan) 5.3.3.3Prosedur Pengamanan Fisik dan Klausul 11. Keamanan Fisik dan lingkungan Lingkungan c. Terdapat pemastian kapasitas dan 11.2.2 Perangkat pendukung ketersediaan fasilitas pendukung. d. Terdapat identifikasi dan perlindungan terhadap aset milik penyedia jasa. e. Terdapat pemeliharaan dan 11.2.4 Perawatan peralatan. pemeriksaan berkala terhadap fasilitas pemrosesan informasi dan fasilitas pendukung informasi 5.3.3.6 Prosedur Penanganan Insiden Klausul 16. Manajemen insiden dalam Pengamanan Informasi keamanan informasi a. Terdapat identifikasi, pelaporan, 16.1.2 Laporan kejadian keamanan tindaklanjut, dokumentasi dan informasi. evaluasi terhadap insiden yang terjadi. b. Terdapat prosedur penanganan 16.1.1 Tanggung jawab dan prosedur insiden kontrol. c. Terdapat tim khusus yang menangani insiden pengamanan. d. Seluruh pegawai diminta melaporkan setiap menemukan indikasi atau potensi kelemahan
Pedoman penilaian yang diatur dalam Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 menggunakan risk register. Di dalam risk register hasil yang diperoleh merupakan tingkatan nilai low, medium dan high. Risk register dalam memperoleh nilai membandingkan antara kecenderungan dan dampak yang terjadi. Bentuk dari risk register dapat dilihat pada Tabel 4.4. Tabel 4.4 Risk Register Ase t
Desk ripsi Risik o
Analisa Kerawa nan
1
2
3
Kece nder unga n 4
Inheren Da Kecen mp derung ak an 5
6
Kontrol Yang ada
Kecen derun gan
7
8
Residual Dam Nilai pak risiko Akhi r 9 10
Nilai Risiko dihara pkan 11
41
4.1.2 Identifikasi Proses Bisnis dan TI Tahap ini menghasilkan dokumen identifikasi. Dokumen identifikasi berisi tentang profil perusahaan yaitu PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro merupakan salah satu dari 23 Kantor BRI Unit yang berada dibawah naungan Kantor BRI Cabang Magetan. Kantor BRI Unit Sukomoro berdiri sejak 7 Juli 1970. Kantor ini berada di atas tanah seluas ± 350 m 2 dipinggir Jalan Raya Tinap no. 196 Magetan. Kegiatan usaha dari Kantor BRI Unit Sukomoro diantaranya menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkan dana masyarakat berupa pinjaman kepada masyarakat wilayah kecamatan Sukomoro. Visi dari perusahaan adalah “Menjadi bank komersial terkemuka yang selalu mengutamakan kepuasan nasabah ”. Misi dari perusahaan adalah a. Melakukan kegiatan perbankan yang terbaik dengan mengutamakan pelayanan kepada usaha mikro, kecil dan menengah untuk menunjang peningkatan ekonomi masyarakat. b. Memberikan pelayanan prima kepada nasabah melalui jaringan kerja yang tersebar luas dan didukung oleh sumber daya manusia yang profesional dengan melaksanakan praktek good corporate governance. c. Memberikan keuntungan dan manfaat yang optimal kepada pihak-pihak yang berkepentingan. Tujuan bisnis dari perusahaan yaitu menyediakan jasa keuangan untuk masyarakat melalui pemberian pinjaman dan menghimpun dana melalui simpanan dengan sasaran bisnis yaitu masyarakat luas. Struktur organisasi dari PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro seperti terlihat pada Gambar 4.1.
42
Kepala Unit
Teller
Customer service
Mantri
Satpam
Cleaning service
Penjaga Malam
Gambar 4.1. Strukur Organisasi
Proses Bisnis yang terjadi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro meliputi proses bisnis pembukaan rekening simpanan baru, proses bisnis
pembukaan
rekening
pinjaman
baru,
penyetoran
melalui
teller,
pengambilan melalui teller dan pembuatan laporan harian. Berdasarkan lima proses bisnis yang telah dilakukan identifikasi, terdapat beberapa aset yang akan di audit. Aset yang diaudit dapat dilihat pada Tabel 4.5. Tabel 4.5 Aset yang Diaudit
Proses Bisnis Pembukaan Rekening Simpanan Baru
Aset Berkas simpanan berupa hardcopy Server Personal Computer (customer service) Printer Inkjet Personal Computer (kepala unit) Printer Pasbook Mesin ATM Lemari besi anti api
Pembukaan Berkas pinjaman berupa hardcopy Rekening Pinjaman Server Baru Personal Computer (customer service) Printer Inkjet Personal Computer (kepala unit) Brankas Tanam
Jenis Aset Data Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Pendukung Data Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Keras Perangkat Pendukung
43
Tabel 4.5 Aset yang Diaudit (Lanjutan)
Proses Bisnis Penyetoran Uang melalui Teller
Penarikan Uang melalui Teller
Pembuatan Laporan Harian
Aset Bukti transaksi berupa hardcopy Server Personal Computer (teller) Printer Pasbook Bukti transaksi berupa hardcopy Server Personal Computer (teller) Printer Pasbook Laporan harian berupa hardcopy Server Personal Computer (teller) Printer Laser
Jenis Aset Data Perangkat Keras Perangkat Keras Perangkat Keras Data Perangkat Keras Perangkat Keras Perangkat Keras Data Perangkat Keras Perangkat Keras Perangkat Keras
Terdapat aset perangkat pendukung yang masuk dalam daftar aset yang diaudit. Aset perangkat pendukung yang berkaitan dengan informasi dapat dilihat pada Tabel 4.6. Tabel 4.6. Perangkat Pendukung yang Diaudit Aset Jenis Aset Pendingin ruangan (ruang server) Perangkat pendukung Brankas jinjing Perangkat pendukung Genset Perangkat pendukung CCTV Perangkat pendukung Tabung pemadam kebakaran Perangkat pendukung Berdasarkan identifikasi bentuk proses bisnis yang ada di Unit Sukomoro yaitu, Nasabah menyerahkan KTP dan NPWP
Customer Service (CS) mencetak formulir simpanan
Cs mencetak buku tabungan dan mengaktifkan Kartu ATM
Kaunit memberikan persetujuan.
Cs menyerahkan buku tabungan dan Kartu ATM
nasabah melakukan penyetoran pada teller.
Nasabah menandatangani formulir simpanan
persyaratan disusun menjadi berkas simpanan.
Berkas simpanan diserahkan ke Kepala Unit ( Kaunit)
Cs menyimpan berkas simpanan di lemari besi anti api.
Gambar 4.2. Proses Bisnis Pembukaan Rekening Simpanan Baru
44
a.
Pembukaan Rekening Simpanan Baru Proses pembukaan rekening simpanan baru pertama kali yang
dilakukan adalah nasabah menyerahkan KTP dan NPWP. Costumer service mencetak formulir simpanan yang kemudian ditandatangani oleh nasabah. Semua persyaratan disusun menjadi berkas simpanan. Berkas simpanan yang telah tersusun diserahkan ke kepala unit untuk meminta persetujuan. Setelah kepala unit telah memberi persetujuan, costumer service mencetak buku tabungan dan mengaktifkan kartu ATM. Setelah itu buku tabungan dan kartu ATM diserahkan kepada nasabah, nasabah lalu menyetorkan uang melalui teller. Setelah penyetoran dilakukan nasabah mengaktifkan kartu ATM melalui ATM. Customer service menyimpan berkas simpanan ke dalam lemari besi anti api. Gambaran proses bisnis pembukaan rekening simpanan baru dapat dilihat pada Gambar 4.2. Terdapat aset yang berkaitan dengan informasi yang diaudit yaitu berkas simpanan berupa hardcopy, personal computer milik customer service, printer inkjet, personal computer milik kaunit, server, printer pasbook, mesin ATM dan lemari besi anti api b. Pembukaan Rekening Pinjaman Baru Proses bisnis pembukaan rekening pinjaman baru dilakukan dengan cara nasabah mengajukan permohonan pinjaman beserta fotokopi ktp, kk, npwp, surat keterangan dari kecamatan bahwa memiliki usaha dan agunan tambahan.
Costumer
service
mencetak
formulir
permohonan,
yang
selanjutnya ditanda tangani oleh nasabah. Nasabah dipersilahkan menunggu telepon dari customer service saat realisasi.
45
Costumer service menyusun data menjadi SKPP (Surat Keterangan Permohonan Pinjaman), SKPP akan dicek oleh kepala unit dan di disposisi ke mantri untuk disurvey kelayakannya. Hasil dari analisis mantri diserahkan ke customer service. Customer service menyerahkan hasil survey mantri ke kepala unit untuk diputuskan. Permohonan yang diputuskan disetujui dikembalikan ke customer service. Customer service memanggil nasabah untuk melakukan realisasi pinjaman. Nasabah membawa agunan tambahan asli untuk diserahkan ke costumer service. Setelah itu customer service mencetak formulir realisasi untuk ditandatangani nasabah. Setelah itu costumer service menyusun menjadi berkas pinjaman. Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana. Selanjutnya nasabah melakukan pencairan dana ke teller. Costumer service mencatat berkas kepada buku induk pinjaman. Costumer service bersama kepala unit menyimpan berkas pinjaman dalam brankas tanam. Gambaran proses bisnis pembukaan rekening pinjaman baru dapat dilihat pada Gambar 4.3. Proses bisnis untuk pembukaan rekening pinjaman baru terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (costumer service), server, printer inkjet,
personal computer
(kepala unit), brankas tanam dan berkas pinjaman berupa hardcopy.
46
Nasabah mengajukan permohonan pinjaman Mantri melakukan survey Kepala Unit memutuskan permohonan pinjaman
Kaunit mengecek SKPP
CS menghubungi nasabah untuk relisasi pinjaman
CS menyimpan berkas pinjaman bersama kaunit ke brankas tanam
Nasabah menandatangani formulir permohonan
Customer Service (CS) mencetak formulir permohonan
Nasabah membawa bukti transaksi pencairan dana ke teller
CS menyusun menjadi SKPP
Nasabah membawa agunan tambahan yang sah.
Customer Service (CS) mencetak formulir realisasi.
Kaunit mengecek berkas pinjaman dan menandatangani bukti transaksi pencairan dana
persyaratan disusun menjadi berkas pinjaman.
Gambar 4.3. Proses Bisnis Pembukaan Rekening Pinjaman Baru
Nasabah mengisi bukti transaksi
Teller mengembalikan copy bukti transaksi yang sudah divalidasi
Bukti transaksi penyetoran diserahkan ke teller bersama uang dan buku tabungan Teller melakukan validasi terhadap bukti transaksi
Teller akan mencocokkan antara buku tabungan, bukti transaksi dan uang.
Teller memasukkan data ke personal computer
Gambar 4.4. Proses Bisnis Penyetoran Uang melalui Teller
c.
Penyetoran Uang melalui Teller Proses penyetoran uang melalui teller dengan cara nasabah yang
telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi penyetoran. Nasabah menuju teller dengan membawa bukti transaksi penyetoran dan buku tabungan. Saat penyetoran nasabah menyerahkan uang kepada teller sesuai yang tertulis di bukti transaksi. Teller akan mengentri data melalui personal computer milik teller yang terhubung dengan server untuk mengisikan sesuai bukti transaksi dan uang yang disetor
47
oleh nasabah. Selanjutnya teller melakukan validasi terhadap bukti transaksi penyetoran. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah beserta buku tabungannya. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.4. Proses bisnis untuk penyetoran uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy . Nasabah mengisi bukti transaksi pengambilan Teller menyerahkan uang dan buku tabungan nasabah.
Bukti transaksi pengambilan diserahkan ke teller bersama buku tabungan
Teller melakukan validasi terhadap slip dan buku tabungan
Teller akan mencocokkan antara bukti transaksi dan buku tabungan
Teller memasukkan data ke personal computer
Gambar 4.5. Proses Bisnis Pengambilan Uang melalui Teller
d.
Pengambilan Uang melalui Teller Proses pengambilan uang melalui teller dengan cara nasabah yang
telah memiliki buku tabungan datang ke Unit Sukomoro. Nasabah mengisi bukti transaksi pengambilan. Selanjutnya nasabah menuju teller dengan membawa bukti transaksi pengambilan. Proses pengambilan nasabah menyerahkan buku tabungan dan bukti transaksi kepada teller. Teller akan mengentri data melalui personal computer milik teller mengisikan sesuai bukti transaksi dan uang yang diambil oleh nasabah. Selanjutnya teller
48
melakukan validasi terhadap bukti transaksi pengambilan. Tahap selanjutnya buku tabungan dicetak melalu printer pasbook. Setelah tecetak bukti transaksi pertama disimpan oleh teller dan bukti transaksi tindasannya diserahkan kepada nasabah. Selanjutnya Uang beserta buku tabungannya diserahkan kepada nasabah. Proses bisnis untuk pengambilan uang melalui teller terdapat aset yang berkaitan dengan informasi yang diaudit meliputi personal computer (teller), printer pasbook, dan bukti transaksi berupa hardcopy. Gambaran proses bisnis penyetoran uang melalui teller dapat dilihat pada Gambar 4.5.
Teller menyerahkan bukti transaksi ke kepala unit.
Kepala Unit menyimpan dalam amplop khusus.
Kepala Unit mencetak laporan harian
Kepala Unit menyimpan bukti transaksi dan laporan harian di lemari besi anti api
Gambar 4.6. Proses Bisnis Pembuatan Laporan Harian
e.
Pembuatan Laporan Harian Setelah kas tutup bukti transaksi berupa hardcopy diserahkan kepada
kepala unit. Kepala unit mengumpulkan menjadi satu dan dimasukkan kedalam amplop bukti kas dan diberi tanggal sesuai tanggal transaksi. Selanjutnya Kepala Unit melakukan pencetakan laporan transaksi harian dengan printer laser melalui personal computer milik kepala unit untuk mencocokkan dengan bukti kas. Gambaran proses bisnis pembuatan laporan harian dapat dilihat pada Gambar 4.6.
49
4.1.3 Identifikasi Ruang Lingkup dan Tujuan Tahap ini menghasilkan dokumen ruang lingkup dan tujuan. Isi dari dokumen ruang lingkup dan tujuan adalah ruang lingkup audit dan tujuan dari audit. Ruang lingkup audit meliputi Peraturan Bank Indonesia yang telah dipetakan dengan ISO 27002:2013. Ruang lingkup audit dapat dilihat pada Tabel 4.7 Tabel 4.7 Ruang Lingkup Audit
PBI:2007 5.3.3.1 Prosedur Pengelolaan Aset 5.3.3.3Prosedur Pengamanan Fisik dan lingkungan 5.3.3.6 Prosedur Penanganan Insiden dalam Pengamanan Informasi
ISO 27002:2013 Klausul 8. Manajemen Aset Klausul 11. Keamanan Fisik dan Lingkungan Klausul 16. Manajemen Insiden Keamanan Informasi
Tujuan audit yang ingin dicapai dalam penelitian ini adalah sebagai berikut. 1.
Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.
2.
Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.
50
3.
Melaporkan
hasil
rekomendasi
dari
audit
keamanan
informasi
berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
4.1.4
Persetujuan Engagement Letter oleh perusahaan Pada tahap ini penulis membuat engagement letter yang bertujuan
mempertegas hubungan antara auditor dengan perusahaan. Engagement letter berisi tentang indenpendensi dari auditor (tanggung jawab) diantaranya menjaga kerahasiaan dari hasil, data dan bukti audit tertulis dengan jelas pada engagement letter. Pihak bank menyetujui poin-poin yang akan diaudit diantara prosedur pengelolaan aset, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan operasional teknologi informasi, dan prosedur pengamanan insiden dalam pengamanan informasi yang tercantum pada ruang lingkup. Pihak bank menyetujui tanggal penyelesaian yang tercantum pada jadwal kerja yang tercantum. Kepala Unit sebagai auditee menyetujui dengan membubuhkan tanda tangan pada engagement letter. Bentuk dari engagement letter terlihat pada gambar 4.7 dan 4.8. Engagement letter untuk lebih jelasnya dapat dilihat pada lampiran 1.
51
Gambar 4.7 Halaman Awal Engagement Letter
52
Gambar 4.8 Halaman Akhir Engagement Letter
4.2
Tahap Persiapan Audit
4.2.1
Pembuatan Audit Working Plan Pada tahap pembuatan audit working plan telah direncanakan waktu
pelaksanaan audit kurang lebih 4 bulan. Dalam audit working plan terbagi dalam empat tahap yang akan dilalui yaitu perencanaan, persiapan, pelaksanaan dan pelaporan audit seperti yang terlihat pada Tabel 4.8.
53
Tabel 4.8 Audit Working Plan
No
Pekerjaan
Perencanaan Audit Identifikasi Proses Bisnis dan Teknologi Informasi Identifikasi Ruang Lingkup dan Tujuan Persetujuan Engagement Letter oleh Perusahaan 2 Persiapan Audit Membuat Audit Working Plan Membuat Pernyataan Penilaian Risiko Membuat Pertanyaan 3 Pelaksanaan Audit Pemeriksaan Data dan Bukti Pengumpulan Bukti Analisa Hasil Pemeriksaan 4 Pelaporan Audit Penyusunan dan Persetujuan Laporan Audit Melaporkan Laporan Audit Jumlah
Audi tor
1
Estimas i Waktu (/hari) 16 4
Onky P. W
4 4
23 Onky P. W
Onky P. W
2 5 9 7 30 10 10 10 11
Onky P. W
10 1 80
Realis asi (/hari)
Minggu 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
54
4.2.2
Membuat Pernyataan Pernyataan yang dibuat berdasarkan pemetaan yang telah dibuat saat studi
literatur. Pernyataan berisi tentang kontrol penting yang diperiksa auditor. Pernyataan diambil dari ISO 27002 yang memiliki dasar Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Dalam pembuatan pernyataan ini
pokok-pokok yang bersifat umum dalam Pedoman Penerapan
Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum maka pernyataan diambil dari kontrol ISO 27002:2013 sesuia pemetaan yang telah dilakukan. Hasil dari pernyataan yang telah dibuat dapat dilihat pada Tabel 4.9 dan untuk lebih jelasnya dapat dilihat pada Lampiran 2. Tabel 4.9 Pernyataan Audit
PBI
ISO 27002
5.3.3.1 Prosedur Pengelolaan Aset 1. Terdapat identifikasi dan penanggung jawab setiap aset.
Klausul 8. Manajemen Aset 8.1.1 Inventaris Aset
Pernyataan 1. 2. 3. 4.
8.1.2 Kepemilikan aset
5. 6. 7. 8. 9. 10. 1. 2. 3. 4. 5. 6.
Terdapat identifikasi aset yang relevan terhadap dokumen penting. Terdapat dokumentasi untuk pengadaan aset. Terdapat dokumentasi untuk penggunaan aset. Terdapat dokumentasi untuk penyimpanan aset. Terdapat dokumentasi untuk transmisi aset. Terdapat dokumentasi unuk penghapusan aset. Terdapat dokumentasi penghancuran aset. Inventaris aset akurat. Inventaris aset up to date. Inventaris aset konsisten Terdapat inventarisasi aset. Terdapat klasifikasi aset. Terdapat perlindungan aset. Terdapat aturan pembatasan akses. Terdapat aturan klasifikasi aset. Terdapat pemeriksaan secara berkala pembatasan akses.
55
4.2.3
Penilaian Risiko
A.
Identifikasi Aset Identifikasi aset dapat dilakukan setelah auditor mendata aset yang
dipergunakan dalam mendukung proses bisnis pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Daftar aset tersebut dapat dilihat pada Tabel 4.10.
Tabel 4.10 Daftar Aset yang Diaudit
No.
Nama Aset
Jenis Aset
1.
Berkas Pinjaman Berupa Hardcopy
Data
2.
Berkas Simpanan Berupa Hardcopy
Data
3.
Bukti Transaksi Harian Dalam Bentuk
Data
Hardcopy 4.
Laporan Transaksi Harian Berupa
Data
Hardcopy 5.
Server
Perangkat Keras
6.
Printer Pas Book
Perangkat Keras
7.
Mesin ATM (Anjungan Tunai Mandiri)
Perangkat Keras
8.
Printer Laser
Perangkat Keras
9.
Personal computer (Kepala Unit)
Perangkat Keras
10.
Personal computer (Teller)
Perangkat Keras
11.
Personal computer (Costumer service)
Perangkat Keras
12.
Printer Inkjet
Perangkat Keras
13.
Pendingin ruangan (Ruang Server)
Perangkat Pendukung
14.
Brankas Tanam
Perangkat Pendukung
15.
Lemari Besi Anti Api
Perangkat Pendukung
16.
Brankas Jinjing
Perangkat Pendukung
17.
Genset
Perangkat Pendukung
18.
CCTV
Perangkat Pendukung
19.
Tabung Pemadam
Perangkat Pendukung
56
Setelah daftar aset telah ditentukan tahap selanjutnya mengidentifikasi aset berdasarkan tingkat kritikal aset. Dalam menentukan tingkat kritikal aset diperlukan pedoman untuk memberikan penilaian. Bentuk pedoman penilaian identifikasi aset dapat dilihat pada Tabel 4.11. Tabel 4.11 Pedoman Penilaian Identifikasi Aset Aspek
Analisa Sensitivitas Berapa besar Confidentia-lity kerugian yang ditimbulkan apabila terjadi hilangnya kerahasiaan atas suatu informasi / dapat diakses oleh siapa saja? Berapa besar Integrity dampak/keru gian terhadap jalannya proses bisnis apabila suatu aset tidak digunakan dengan benar, tidak lengkap, tidak akurat dan tidak dikinikan?
Kriteria Penilaian High Medium Jika kerugian Jika kerugian yang yang ditimbulkan ditimbulkan sangat tidak signifikan signifikan karena informasi karena informasi tidak sensitif yang bocor atau akses sangat sensitif informasi oleh atau hanya bisa berbagai pihak diakses oleh di organisasi. personil tertentu yang telah diberi otorisasi. Jika dampak Jika dampak yang yang ditimbulkan ditimbulkan sangat tidak signifikan signifikan seperti seperti mengakibatkan mengakibatkan tidak tidak berjalannya berjalannya proses bisnis proses bisnis yang tidak dan signifikan, menimbulkan kesalahan dalam potensi pengambilan dilakukannya keputusan. penyimpangan yang mengarah pada nilai uang yang cukup signifikan.
Low Jika kerugian yang ditimbulkan sangat kecil karena informasi bersifat umum atau dapat diakses oleh siapa saja. Jika dampak yang ditimbulkan sangat kecil dan tidak menggangg u proses bisnis.
57
Tabel 4.11 Pedoman Penilaian Identifikasi Aset (Lanjutan) Aspek Analisa Kriteria Penilaian Sensitivitas High Medium Berapa besar Jika dampak Jika dampak Availadampak/keru yang yang bility gian yang ditimbulkan ditimbulkantida ditimbulkan sangat k signifikan apabila signifikan karena aset terjadi seperti dapat digantikan ketidaktersed mengakibatkan dengan biaya iaan suatu tidak atau waktu yang aset? berjalannya memadai proses bisnis. sehingga hanya mengakibatkan penurunan efisiensi dan efektifitas atas jalannya proses bisnis.
Low Jika dampak yang ditimbulkan sangat kecil karena proses bisnis tetap berjalan tanpa aset tersebut atau aset tersebut bisa dengan cepat diganti.
Berdasarkan pedoman penilaian identifikasi aset maka dihasilkan dokumen identifikasi aset. Dokumen identifikasi aset ini berdasarkan data aset yang ada selanjutnya dilakukan penilaian dengan pedoman penilaian identifikasi aset. Identifikasi aset dapat dilihat pada Gambar 4.4. Identifikasi aset untuk lebih jelasnya dapat dilihat pada Lampiran 3.
58
Dokumen Identifikasi Aset -
Berkas Pinjaman Berupa Hardcopy Aspek Confidentiality Integrity Availability
-
High
Confidentiality Integrity Availability
High
Confidentiality Integrity Availability
High
Low
Kriteria Penilaian Medium
Low
Laporan Transaksi Harian Berupa Hardcopy Aspek Confidentiality Integrity Availability
-
Kriteria Penilaian Medium
Bukti Transaksi Harian Berupa Hardcopy Aspek
-
Low
Berkas Simpanan Berupa Hardcopy Aspek
-
Kriteria Penilaian Medium
High
Kriteria Penilaian Medium
Low
Server Aspek Confidentiality Integrity Availability
High
Kriteria Penilaian Medium
Gambar 4.10 Identifikasi Aset
Low
59
B.
Pengisian Risk Register Awal Dalam pengisian risk register awal melalui beberapa tahapan. Tahap
pertama yang dilakukan auditor mengisi kolom satu (kolom aset) dengan hasil yang diperoleh dari tahap identifikasi aset. Pengisian kolom aset dapat dilihat pada Tabel 4.12. Tabel 4.12 Pengisian Kolom Aset Risk Register
No 0. 1. 2.
Aset 1. Berkas pinjaman berupa hardcopy Berkas simpanan berupa hardcopy
Tahap selanjutnya yang dilakukan oleh auditor adalah mengisi kolom dua (kolom deskripsi risiko). Kolom deskripsi risiko berkas pinjaman diantaranya adalah ketidaksesuaian inventaris dan pencurian. Pengisian deskripsi risiko dapat terlihat pada Tabel 4.13. Tabel 4.13 Pengisian Deskripsi Risiko Risk Register
No 0. 1.
Aset 1. Berkas pinjaman berupa hardcopy
Deskripsi Risiko 2. Ketidaksesuaian inventaris Pencurian
Tahap selanjutnya yng dilakukan auditor adalah mengisi kolom tiga (kolom analisa kerawanan). Kolom analisa kerawanan dari ketidaksesuaianan inventaris diantaranya adalah tidak terdapat inventaris aset, tidak terdapat kepemilikan aset, tidak terdapat klasifikasi aset dan tidak terdapat penandaan
60
informasi. analisa kerawanan ini berasal dari pernyataan yang telah dibuat. Pengisian analisa kerawanan dapat dilihat pada Tabel 4.14. Tabel 4.14 Pengisian Analisa Kerawanan Risk Register
No 0. 1.
Aset 1. Berkas pinjaman berupa hardcopy
Deskripsi Risiko 2. Ketidaksesuaian inventaris
Analisa Kerawanan 3. Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset. Tidak terdapat klasifikasi informasi. Tidak terdapat penandaan informasi.
Tahap selanjutnya adalah mengisi kolom inheren. Kolom inheren adalah kolom penilaian sebelum adanya pengendalian. Dalam mengisi kolom inheren kita memerlukan kriteria pengukuran kecenderungan, kriteria pengukuran dampak dan matrik tingkatan risiko. Kriteria pengukuran kecenderungan membantu auditor dalam memberi nilai kecenderungan terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran kecenderungan dapat dilihat pada Tabel 4.15. Tabel 4.15 Kriteria Pengukuran Kecenderungan
Level
3.
Potensi terjadi tinggi dalam jangka pendek Potensi terjadi tinggi dalam jangka panjang Potensi terjadi sedang
2.
Potensi terjadi kecil
Frekuensi Kejadian Sangat sering terjadi Lebih sering terjadi Cukup sering terjadi Jarang terjadi
1.
Kemungkinan terjadi kecil
Hampir tidak pernah terjadi
5. 4.
Potensi Kejadian
Frekuensi kejadian perminggu* Terjadi selama 5 hari kerja berulang. Terjadi 4 kali dalam seminggu hari kerja. Terjadi 3 kali dalam seminggu hari kerja. Terjadi 2 kali dalam seminggu hari kerja. Tidak pernah terjadi atau maksimal 1 kali dalam seminggu hari kerja
Kriteria pengukuran dampak membantu auditor dalam memberi nilai dampak terjadinya risiko sebelum adanya pengendalian. Kriteria pengukuran dampak dapat dilihat pada Tabel 4.16.
61
Tabel 4.16 Kriteria Pengukuran Dampak
Nilai 5
4
3
2
1
Potensi gangguan terhadap proses bisnis Aset pemrosesan informasi mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.
Potensi Penurunan Reputasi
Kerusakan reputasi yang mengakibatkan penurunan reputasi yang serius dan berkelanjutan dimata nasabah / stakeholder utama dan masyarakat. Aset pemrosesan informasi Kerusakan reputasi yang tidak mengalami gangguan yang meyeluruh, hanya nasabah atau menyebabkan aktifitas bisnis bank partner bisnis tertentu. mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih Aset pemrosesan informasi Kerusakan reputasi hanya pada mengalami gangguan yang unit tersebut. menyebabkan sebagian bisnis bank mengalami penundaan sampai aset pemrosesan informasi yang terkait pulih. Aset pemrosesan informasi Kerusakan reputasi yang tidak mengalami gangguan namun menyeluruh hanya satuan kerja akifitas pokok Tim dapat tertentu. dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya. Tidak menyebabkan gangguan Tidak berpengaruh pada terhadap operasional proses reputasi. bisnis. Matrik tingkatan risiko membantu auditor dalam memberi tingkatan nilai
risiko dasar berupa low, medium dan high dengan membandingkan kecenderungan dan dampak. Matrik tingkatan risiko dapat dilihat pada Tabel 4.17.
62
Kecenderungan n
Tabel 4.17 Matrik Tingkatan Risiko
5 4 3 2 1
Medium Medium High High Low Medium High High Low Low Medium High Low Low Medium Medium Low Low Medium Medium 1 2 3 4
High High High High High 5
Dampak Dalam mengisi kolom residu risk register awal auditor menganalisis seberapa tingkat kecenderungan ketidakamanan informasi saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama dengan kepala unit untuk kecenderungan residu aset berada pada posisi antara tiga dan lima. Aset yang memiliki nilai tiga potensi terjadinya risiko sedang, nilai empat potensi terjadinya risiko hampir setiap hari dalam seminggu dan nilai lima potensi kejadiannya setiap hari dalam seminggu. Selanjutnya seberapa tingkat dampak yang ditimbulkan saat tidak terdapat inventaris aset. Hasil yang didapatkan bersama kepala unit dampak residu aset berada pada posisi tiga dan lima. Aset yang memiliki nilai tiga dampaknya kerusakan hanya mengganggu sebagian proses saja, untuk nilai empat dampak kerusakannya mencapai penundaan hingga gangguan teratasi dan untuk nilai lima dampak kerusakan menyebabkan kegagalan total proses bisnis yang berlangsung. Penilaian kecenderungan dan dampak dapat dilihat pada Tabel 4.18. Tabel 4.18 Penilaian Kecenderungan dan Dampak
No
0. 1.
Aset
Deskripsi Risiko
1. 2. Berkas Ketidakpinjaman sesuaian berupa inventaris hardcopy
Analisa Kerawanan
3. Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset.
Inheren Kecender Dampak ungan (min =1, (min =1, mak = 5) mak = 5) 4. 5. 4 4 4
3
63
Tahap selanjunya adalah penilaian nilai risiko dasar yang berdasarkan hasil penilaian kecenderungan dan dampak pada setiap deskripsi risiko. Penilaian kecenderungan dan dampak inheren didapat dari konsultasi dengan perusahaan apabila aset tersebut tidak terdapat kontrol pengaman. Penilaian menggunakan matrik tingkatan risiko dimana pada analisa kerawanan tidak terdapat inventaris aset nilai kecenderungannya empat dan dampaknya lima maka diperoleh hasil high. Tahap selanjutnya pengisian nilai risiko yang diharapkan. Pengisian nilai risiko yang diharapkan berdasarkan nilai risiko dasar dimana nilai risiko yang diharapakan oleh perusahaan adalah mencapai level yang lebih baik. Hasil dari nilai risiko dasar yang diperoleh adalah high maka dilakukan konsultasi dengan perusahaan target apa yang ingin dicapai. Dalam audit ini Kepala Unit menginginkan nilai risiko yang diharapkan adalah mencapai level low. Risk register awal dapat dilihat pada Tabel 4.19. Risk register awal untuk lebih jelasnya dapat dilihat pada Lampiran 4.
64
Tabel 4.19 Risk Register Awal
No
0. 1.
Aset
1. Berkas pinjaman berupa hardcopy
dan seterusnya.
Deskripsi Risiko
2. Ketidaksesuaian inventaris
Analisa Kerawanan
3. Tidak terdapat inventaris aset. Tidak terdapat kepemilikan aset. Tidak terdapat klasifikasi informasi. Tidak terdapat penandaan informasi. Pencurian Tidak terdapat perimeter keamanan fisik. Tidak terdapat kontrol masuk fisik. Tidak terdapat keamanan kantor, ruangan dan fasilitas. Tidak terdapat penjagaan dari pihak luar dan ancaman lingkungan. Keterlambatan penanganan Tidak terdapat pelaporan informasi saat terjadi insiden. kejadian keamanan. Tidak terdapat tanggung jawab dan prosedur kontrol Tidak terdapat tim khusus yang menangani insiden pengamanan.
Inheren Kecende Dampak rungan (min =1, (min =1, mak = 5) mak = 5) 4. 5. 4 4 4 3 4 3 3 3 5 4
Nilai Risiko Dasar
Nilai Risiko Diharap kan
6.
11.
High
Low
High
Low
5 5
4 4
High High
Low Low
5
5
High
Low
5
5
High
Low
5
4
High
Low
5
4
High
Low
65
4.2.4
Membuat Pertanyaan Tahap membuat pertanyaan dilakukan berdasarkan pernyataan yang telah
dibuat. Pertanyaan yang ada berdasarkan dari dokumen pernyataan yang telah dibuat sebelumnya. Pertanyaan ini ditujukan pada setiap aset yang akan diaudit. Salah satu hasil dari pertanyaan yang dibuat seperti terlihat pada Tabel 4.20 dokumen pertanyaan untuk lebih jelasnya dapat dilihat pada Lampiran 5. Tabel 4.20 Pertanyaan Audit
8.1.1 Inventaris aset Pernyataan 11. Terdapat identifikasi aset yang relevan terhadap dokumen penting.
12. Terdapat dokumentasi pengadaan aset.
untuk
3.
Terdapat dokumentasi penggunaan aset.
untuk
4.
Terdapat dokumentasi penyimpanan aset.
untuk
Pertanyaan 1. Apakah aset termasuk dokumen penting di BRI Kantor Unit Sukomoro? 2. Apakah terdapat identifikasi dari dokumen penting tersebut? 3. Apa saja yang diidentifikasi dari dokumen penting tersebut? 1. Apakah terdapat proses pengadaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam pengadaan aset? 3. Apa saja yang didokumentasi dalam dokumentasi pengadaan aset? 4. Bagaimana bentuk dokumentasi pengadaan aset? 1. Apakah terdapat proses penggunaan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam penggunaan aset? 3. Apa saja yang didokumentasi dalam dokumentasi penggunaan aset? 4. Bagaimana bentuk dokumentasi pengolahan aset? 1. Apakah terdapat proses penyimpanan aset di BRI Kantor Unit Sukomoro? 2. Apakah dilakukan dokumentasi dalam penyimpanan aset? 3. Apa saja yang didokumentasi dalam dokumentasi penyimpanan aset? 4. Bagaimana bentuk dokumentasi penyimpanan aset?
66
4.3 Tahap Pelaksanaan Audit 4.3.1
Pengumpulan Bukti Tahap ini menghasilkan dokumen wawancara dan dokumen bukti.
Berdasarkan tahap persiapan audit yang telah kita buat, maka langkah selanjutnya adalah tahap pelaksanaan audit dengan langkah pertama adalah pengumpulan bukti. Pada langkah ini kita mengumpulkan bukti dengan cara melakukan wawancara dan observasi. Wawancara dilakukan terhadap Kepala Unit dari BRI Unit Sukomoro dan observasi yaitu dengan mengumpulkan bukti-bukti yang ada dan diperlukan sesuai dengan pertanyaan yang telah dibuat. Hasil dari observasi berupa dokumen bukti terlihat seperti Tabel 4.21. Dokumen bukti dapat dilihat pada Lampiran 6. Tabel 4.21 Dokumen Bukti Audit Kode
Keterangan Bukti
A.1
Tampak depan berkas pinjaman
Foto Bukti
dan seterusnya.
4.3.2
Pemeriksaan Data dan Bukti Tahap pertama dari pemeriksaan data dan bukti adalah membuat kertas
kerja audit berdasarkan dokumen wawancara dan dokumen bukti. Kertas kerja audit dapat dilihat pada Tabel 4.22. Kertas Kerja Audit untuk lebih jelasnya dapat dilihat pada Lampiran 7.
67
Tabel 4.22 Kertas Kerja Audit KERTAS KERJA AUDIT 1.1 Tanggal : 16 November 2014 (revisi) Nama : Jiantono jabatan : Ka Unit Tanda Tangan :
KLAUSUL 8.1.1 Inventaris Aset 1. Terdapat identifikasi aset yang relevan terhadap dokumen penting. No. Pertanyaan Jawaban 1. Apakah berkas pinjaman berupa Berkas pinjaman berupa hardcopy hardcopy termasuk dokumen termasuk dokumen penting. penting di BRI Kantor Unit Sukomoro? 2. Apakah terdapat identifikasi dari Terdapat identifikasi dari berkas pinjaman berkas pinjaman berupa berupa hardcopy. hardcopy? Bukti : A.1 3. Apa saja yang diidentifikasi dari Identifikasi pada berkas pinjaman berupa berkas pinjaman berupa hardcopy meliputi nomor induk, nama, hardcopy? alamat dan jenis dokumen agunan kredit.
Setelah kertas kerja audit selesai dibuat auditor meminta tanda tangan dari auditee. Tanda tangan dari auditee berfungsi untuk persetujuan bahwa hasil dari kertas kerja audit telah sesuai dengan wawancara dan observasi yang telah dilakukan auditor. Kertas kerja audit telah disetujui tahap selanjutnya dalam pemeriksaan data dan bukti adalah mengisi rincian penilaian risk register. Rincian penilaian risk register ini berisi rincian penilaian kolom residu tiap pernyataan untuk menjadi dasar dari penilaian risk register akhir. Rincian penilaian risk register terdapat dua kolom residu terdiri dari kolom residu satu dan kolom residu dua. Kolom residu satu berisi nilai yang berdasar pada ada atau tidaknya pengendalian yang tercantum pada kolom pernyataan. Kolom residu dua berisi kalkulasi nilai dari kolom residu satu. Pada kolom residu terdapat dua kolom yaitu kolom
68
kecenderungan dan dampak. Kolom kecenderungan berisi nilai kecenderungan yang terjadi setelah adanya pengendalian yang dilakukan oleh auditee. Kolom dampak berisi nilai dampak yang dapat terjadi setelah adanya pengendalian. Kolom kecenderungan dan dampak berisi nilai antara satu hingga lima. Tahap ini menghasilkan dokumen rincian penilaian risk register. Bentuk rincian penilaian risk register dapat dilihat pada Tabel 4.23. Dokumen rincian penilaian risk register dapat dilihat pada Lampiran 8.
69
Tabel 4.23 Dokumen Rincian Risk Register
No
Aset
Deskripsi Risiko
1.
Berkas pinjaman berupa hardcopy.
Ketidaksesuaian inventaris
Analisa Kerawanan Tidak terdapat inventaris aset.
Tidak terdapat kepemilikan aset.
dan seterusnya.
Residu 2 Residu 1 Kecen Dam Pernyataan Kecen Dam derun pak derun pak gan gan 2,57 2,28 Terdapat identifikasi aset yang relevan terhadap 2 1 dokumen penting. Terdapat dokumentasi untuk pengadaan aset. Terdapat dokumentasi untuk penggunaan aset. 4 4 Terdapat dokumentasi untuk penyimpanan aset. 1 1 Terdapat dokumentasi untuk transmisi aset. Terdapat dokumentasi untuk penghapusan aset. Terdapat dokumentasi untuk penghancuran aset. 1 1 Inventaris aset akurat. 2 1 Inventaris aset up to date. 4 4 Inventaris aset konsisten. 4 4 2,67 2,16 Terdapat inventaris aset. 2 1 Terdapat klasifikasi aset. 4 3 Terdapat perlindungan aset. 1 1 Terdapat aturan pembatasan akses 1 2 Terdapat aturan klasifikasi aset. 4 3 Terdapat pemeriksaan secara berkala pembatasan 4 3 akses.
70
4.3.3
Analisis Hasil Pemeriksaan Pada tahap analisi hasil pemeriksaan tahap pertama kali yang dilakukan
adalah pengisian risk register akhir. Pengisian risk register akhir berdasarkan dari hasil rincian penilaian risk register. Pada kontrol yang ada diisi dengan pernyataan yang ada yang telah diberikan nilai pada dokumen rincian penilaian risk register. Penilaian kolom inheren (sesudah ada pengendalian) diisi dengan pembulatan dari kolom residu dua dalam dokumen rincian penilaian risk register. Nilai risiko akhir untuk mendapatkannya menggunakan matrik tingkat risiko. Pengisian risk register (akhir) dapat diihat pada Tabel 4.24. Risk register akhir untuk lebih jelasnya dapat dilihat pada Lampiran 9.
71 Tabel 4.24 Risk Register Akhir
No.
Aset
0. 1.
1. Berkas pinjaman berupa hardcopy
Deskripsi Risiko
Analisa Kerawanan
2. Ketidakses uaian inventaris berkas pinjaman berupa hardcopy.
3. Tidak terdapat inventaris aset.
Tidak terdapat kepemilikan aset.
dan seterusnya.
Kecender ungan (min =1, mak = 5) 4. 4
4
Inheren Dampak (min =1, mak = 5)
Nilai Risiko Dasar
5. 4
6. High
3
High
Kontrol yang ada
7. - terdapat identifikasi aset yang relevan terhadap dokumen penting. - terdapat dokumentasi untuk penyimpanan - terdapat dokumentasi untuk penghancuran aset. - Inventaris aset akurat. - Terdapat inventaris aset. - Terdapat perlindungan aset. - Terdapat aturan pembatasan akses
Kecende rungan (min =1, mak = 5) 8. 3
3
Residual Dampak (min =1, mak = 5)
Nilai Risiko Akhir
Nilai Risiko Diharap kan
9. 2
10. Low
11. Low
2
Low
Low
72
Setelah pengisian risk register (akhir) dilakukan analisis terhadap nilai risiko akhir dari risk register (akhir) apakah telah sesuai dengan nilai risiko yang diharapkan.
Penyebab nilai risiko akhir tidak mencapai nilai risiko yang
diharapkan dicantumkan pada dokumen temuan. Setelah temuan terkumpul maka diberikan rekomendasi pada setiap temuan yang terjadi. Rekomendasi berasal dari kontrol keamanan yang telah dipetakan. Dokumen temuan dapat dilihat pada Tabel 4.25. Dokumen temuan yang lebih lengkap dapat dilihat pada Lampiran 10. Tabel 4.25 Dokumen Temuan Audit Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 1. Tidak terdapat klasifikasi Rekomendasi : Klasifikasi dilakukan informasi. dengan cara menentukan tingkatan berkas pinjaman sesuai dengan tingkatan kepentingannya. Risiko : Ketidaksesuaian Inventaris. Referensi :Klausul 8.2.1 ISO 27002 : 2013 2. Tidak terdapat penandaan Rekomendasi : memberikan penandaan informasi. informasi atau pemberian label pada berkas pinjaman sesuai dengan klasifikasinya.
3.
Risiko : Ketidaksesuaian Referensi :Klausul 8.1.1 ISO 27002 : 2013 inventaris. Tidak terdapat kontrol masuk Rekomendasi : kontrol masuk fisik fisik. dilakukan dengan memberikan pencatatan waktu beserta tanggal setiap pengunjung yang masuk ke clash.
Risiko :
Pencurian berkas pinjaman berupa hardcopy.
Referensi :Klausul 11.1.2 2013
ISO 27002 :
73
Tabel 4.25 Dokumen Temuan Audit (Lanjutan) Aset : Berkas pinjaman berupa hardcopy No. Temuan Rekomendasi 4. Tidak terdapat penjagaan dari Rekomendasi : Diadakan peninjauan pihak luar dan ancaman berkala pada clash, membatasi akses alat lingkungan. perekam pada clash dan memasang tanda peringatan untuk yang tidak berkepentingan dilarang masuk. Risiko :
5.
Pencurian berkas Pinjaman berupa hardcopy. Tidak terdapat tanggung jawab dan prosedur kontrol.
Keterlambatan penanganan insiden
Referensi :Klausul 11.1.2 ISO 27002 : 2013 Rekomendasi : Membuat prosedur untuk perencanaan, persiapan, pemantauan, pendeteksi, analisis jika terjadi insiden sehingga meminimalisir terjadinya insiden.
Risiko :
Referensi :Klausul 16.1.1 2013
ISO 27002 :
4.4 Tahap Pelaporan Audit 4.4.1
Penyusunan dan Persetujuan Laporan Audit Setelah tahap pelaksanaan audit dilakukan, tahap berikutnya adalah tahap
pelaporan audit. Pada tahap pelaporan ini dilakukan penyusunan dan persetujuan dari laporan audit. Pada laporan audit ini berisi tentang laporan untuk manajemen, temuan dan rekomendasi terhadap hasil dari audit yang dilakukan. Temuan yang ditemukan diantaranya PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro perlu melakukan perbaikan terutama pada klasifikasi informasi, penandaan informasi, penjagaan dari pihak luar dan ancaman lingkungan dan tanggung jawab dan prosedur kontrol. Perbaikan perlu segera dilakukan pada empat permasalahan tersebut karena empat hal ini ditemukan dalam semua aset yang berkaitan dengan informasi. Tingkat keamanan informasi atas aset data yang mencapai level low terdapat 23 (47,91%), untuk aset perangkat
74
keras yang mencapai level low terdapat 51 (47,22%), dan aset perangkat pendukung yang mencapai level low terdapat 51 (47,22%). Sehingga PT. Bank Rakyat Indonesia (persero) Tbk. perlu untuk melaksanakan rekomendasi yang telah dibuat supaya mencapai level low untuk keseluruhan kontrol keamanan terhadap aset informasi. Setelah laporan tersusun langkah selanjutnya kita meminta persetujuan atas laporan yang telah kita susun kepada auditee dimana pada penelitian ini adalah kepala unit Sukomoro. Persetujuan dilakukan agar pihak auditee menyetujui bahwa isi dari laporan audit benar adanya sehingga tidak menimbulkan permasalahan dikemudian hari. Laporan audit dapat dilihat pada Lampiran 11. 4.4.2 Melaporkan Laporan Audit Pada tahap terakhir ini auditor melakukan pertemuan dengan auditee untuk melaporkan kepada auditee tentang hasil yang didapat selama audit. Pertemuan ini disebut juga exit meeting. Exit meeting menandakan bahwa audit yang dilakukan telah selesai.