Tugas Akhir - KS 091336 PEMBUATAN PANDUAN AUDIT TEKNOLOGI INFORMASI PADA PROSES PENGELOLAAN LINGKUNGAN FISIK BERBASIS COBIT 5 DI KPPN SURABAYA II Yudhis Cahyo Eko/ NRP 5210105012
Dosen Pembimbing : Ir. Ahmad Holil Noor Ali, M. Kom Prih Haryanta, S.E., M.M., M.T. PROGRAM STUDI SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER
BAB I PENDAHULUAN
Latar Belakang • Resiko kehilangan data yang diakibatkan karena pencurian perangkat TI maupun karena kejadian force majeur, seperti kebakaran dan bencana alam. • Untuk meminimalisir resiko tersebut, maka diperlukan mekanisme kontrol berupa audit SI/TI • Selama ini belum pernah dilakukan audit terhadap proses pengelolaan SI/TI di KPPN Surabaya II, sehingga KPPN Surabaya II tidak dapat mengetahui sejauh mana efisiensi dan efektivitas tata kelola teknologi informasi yang telah dilakukannya.
Rumusan Masalah • Bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung jawab audit, prosedur audit, audit checklist, serta form temuan) pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai dengan standar COBIT 5.
Batasan Masalah • Panduan audit SI/TI disusun berdasarkan standar COBIT 5 domain DSS01.04 (Manage the environment), DSS01.05 (Manage facilities), dan DSS05.05 (Manage physical access to IT assets). Domain COBIT 5 yang digunakan merupakan domain yang sesuai dengan pengendalian keamanan fisik dan lingkungan pada KMK 479/KMK.01/2010. • Dokumen panduan audit SI/TI berupa penjelasan mengenai tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit. • Dokumen panduan audit ini dikhususkan untuk KPPN Surabaya II, sehingga di dalamnya nanti akan menjelaskan hal-hal khusus yang berkaitan dengan lingkungan fisik KPPN Surabaya II yang tidak dimiliki KPPN lainnya.
Tujuan Tugas Akhir Untuk menghasilkan dokumen-dokumen (tujuan, ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit checklist, serta form temuan audit) yang digunakan untuk memandu pelaksanaan audit SI/TI pada KPPN Surabaya II.
Manfaat Tugas Akhir • Membantu auditor internal untuk melaksanakan audit TI pada KPPN Surabaya II. • Dokumen panduan audit TI ini dapat dijadikan pedoman dalam audit TI oleh instansi lain.
BAB II TINJAUAN PUSTAKA
Definisi Audit • Audit adalah suatu proses sistematis, mandiri, dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit telah dipenuhi. • Sedangkan audit teknologi informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya secara efisien (Weber, 1999).
COBIT 5 • COBIT 5 terbagi ke dalam 2 area, yaitu governance dan manajemen. • Kedua area ini terdiri dari 5 domain utama dan 37 proses, yaitu sebagai berikut (ISACA, 2012) : 1. Governance of Enterprise IT, terdiri dari domain : Evaluate, Direct and Monitor (EDM) – 5 proses 2. Management of Enterprise IT, terdiri dari domain : Align, Plan and Organise (APO) – 13 proses Build, Acquire and Implement (BAI) – 10 proses Deliver, Service and Support (DSS) – 6 proses Monitor, Evaluate and Assess (MEA) – 3 proses
COBIT 5 (Cont’d)
BAB III METODE PENGERJAAN TA
Metode Pengerjaan
BAB IV PEMBUATAN DAN HASIL DOKUMEN
Pengumpulan Data • Secara fisik, gedung KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara Surabaya II. • Gedung Keuangan Negara Surabaya II terletak di jalan Dinoyo no. 111 Surabaya. • GKN Surabaya II memiliki luas area 8.458 m2, dan dengan tahun perolehan 1996. • Kepala Rumah Tangga GKN Surabaya II saat ini adalah Heyang Muhanan K, SH, MH yang merangkap sebagai Kepala Bagian Umum Kanwil X Direktorat Jenderal Kekayaan Negara Surabaya.
Pengumpulan Data (Cont’d) • Kantor Pelayanan Perbendaharaan Negara (KPPN) Surabaya II merupakan instansi vertikal di lingkungan Direktorat Jenderal Perbendaharaan Kementerian Keuangan Republik Indonesia. • Visi : Menjadi pelaksana fungsi Bendahara Umum yang profesional, transparan dan akuntabel untuk mewujudkan pelayanan prima. • Misi : Menjamin kelancaran pencairan dana APBN secara tepat sasaran, tepat waktu dan tepat jumlah Mengelola penerimaan Negara secara professional dan akuntabel Mewujudkan pelaporan pertanggung jawaban APBN yang akurat dan tepat waktu
Pengumpulan Data (Cont’d) • KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara (GKN) Surabaya II. • KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN. • Karena merupakan bagaikan dari GKN, maka beberapa aset yang terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN.
Pengumpulan Data (Cont’d) • Struktur Organisasi KPPN Surabaya II Kepala Kantor
Kepala Subbagian Umum
Keuangan
Kepegawaian
TU/RT
Kepala Seksi Verifikasi dan Akuntansi
Supervisor
Kepala Seksi Pencairan Dana
Kepala Seksi Bank/ Giro Pos
Pengumpulan Data (Cont’d) • Server utama dan server back up berada di ruang server dan dikelola oleh seorang supervisor. • Belum terdapat adanya dokumentasi yang terstruktur • Pengelolaan TI di KPPN Surabaya dilakukan oleh supervisor yang secara struktural berada di bawah Kepala Subbagian Umum • Pengelolaan dan pendataan aset-aset TI KPPN Surabaya II menjadi tanggung jawab staf pengelola Tata Usaha / Rumah Tangga (TU/RT)
Pengelolaan Lingk. Fisik di dalam COBIT 5 • Pada COBIT 4.1, pengelolaan lingkungan fisik TI terdapat pada proses DS12, yaitu manage the physical environment. • Pada COBIT 5, manage the physical environment telah digabung ke dalam beberapa proses lain, yaitu DSS01.04 Pengelolaan Lingkungan DSS01.05 Pengelolaan Fasilitas DSS 05.05 Pengelolaan Akses Fisik ke Aset TI
Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan • Aktor-aktor utama yang berperan dalam pengelolaan lingkungan fisik TI di KPPN Surabaya II di antaranya adalah : 1. Kepala kantor 2. Kepala subbagian umum 3. Staf TU/RT 4. Supervisor • Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed).
Pendefinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan (Cont’d) • Hasil pemetaan RACI Chart ke struktur organisasi KPPN Surabaya dapat dilihat pada tabel berikut. Proses
Kepala kantor
Kepala subbagian umum
TU/ RT
Supervisor
Pengelolaan lingkungan
I
C/R/A
I
R
Pengelolaan Fasilitas
I
C/R/A
I
R
Pengelolaan akses fisik ke aset TI
I
C/R/A
I
R
Pengumpulan Bukti Audit • Dari aktivitas yang ada dalam COBIT 5, kemudian ditentukan bukti untuk mendukung pelaksanaan aktivitas tersebut beserta metode pengumpulan bukti tersebut IT Process COBIT 5 DSS 01.04 Pengelolaan Lingkungan
Aktivitas
Sumber
Metode
1. Mengidentifikasi Kasubbag bencana alam dan Umum, kerusakan karena ulah supervisor manusia (human eror)
Interview, observasi
2. Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan.
Review dokumen, observasi dan interview
Supervisor, peraturan pengamanan perangkat TI
Penyusunan Dokumen Panduan Audit Pembuatan Prosedur Audit Pembuatan Audit Checklist Skala Penilaian Dokumen Panduan Audit
Pembuatan Prosedur Audit • Prosedur audit merupakan uraian dari aktvitas-aktivitas yang ada di dalam COBIT, seperti pada tabel berikut. No 1
Proses COBIT 5 Pengelolaan Lingkungan (DSS01.04)
Aktivitas
Prosedur Audit
Kode Dokumen
Mengidentifikasi bencana alam dan kerusakan karena ulah manusia (human eror)
Prosedur audit identifikasi risiko lingkungan dan human error
P.1.1
Mengidentifikasi bagaimana perangkat, termasuk perangkat mobile dan off-site TI dilindungi terhadap ancaman lingkungan.
Prosedur audit P.1.2 perlindungan terhadap perangkat mobile dan perangkat dari luar lokasi
Pembuatan Prosedur Audit (Cont’d) Prosedur-prosedur yang dihasilkan adalah sbb : 1. Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi a. Identifikasi risiko lingkungan dan human eror (P.1.1) b. Perlindungan terhadap perangkat mobile dan perangkat di luar lokasi (P.1.2) c. Penempatan fasilitas ruang server (P.1.3) d. Penempatan fasilitas di dalam gedung KPPN Surabaya II (P.1.4) e. Perangkat keamanan lingkungan (P.1.5) f. Sosialisasi dan pelatihan keamanan lingkungan (P.1.6) g. Rencana kontingensi (P.1.7) h. Kebersihan dan keamanan ruang server (P.1.8) i. Kebersihan dan keamanan gedung KPPN Surabaya II (P.1.9)
Pembuatan Prosedur Audit (Cont’d) Prosedur-prosedur yang dihasilkan adalah sbb (Cont’d) : 2. Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi a. Penyediaan tenaga listrik cadangan (P.2.1) b. Pemeliharaan UPS (P.2.2) c. Sumber daya listrik, air, dan komunikasi (P.2.3) d. Keamanan kabel (P.2.4) e. Keamanan area KPPN Surabaya II (P.2.5) f. Keamanan area server (P.2.6) g. Manajemen insiden TI (P.2.7) h. Pemeliharaan komputer server (P.2.8) i. Pemeliharaan Personal Computer (PC) (P.2.9) j. Pemeliharaan Printer (P.2.10) k. Pemeliharaan Scanner (P.2.11) l. Analisis perubahan area fisik (P.2.12)
Pembuatan Prosedur Audit (Cont’d) Prosedur-prosedur yang dihasilkan adalah sbb (Cont’d) : 3. Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke aset TI, meliputi a. Pengelolaan akses masuk ke ruangan server (P.3.1) b. Pengelolaan akses masuk ke ruangan selain front office (P.3.2) c. Prosedur audit pengelolaan akses pegawai ke ruangan KPPN Surabaya II (P.3.3) d. Pengelolaan buku tamu (P.3.4) e. Perimeter keamanan fisik (P.3.5)
Pembuatan Prosedur Audit (Cont’d) • Setiap prosedur akan diuraikan lagi menjadi langkah-langkah audit. • Sebagai contoh, langkah audit untuk prosedur audit “identifikasi risiko lingkungan dan human error (P.1)” 1. Tanyakan dan periksa apakah risiko keamanan yang berkaitan dengan bencana alam dan kerusakan karena ulah manusia (human eror) telah diidentifikasikan? (Lakukan pemeriksaan secara langsung terhadap : a. Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok) dan tabung pemadam di setiap ruangan b. Ketersediaan petunjuk mengenai jalur evakuasi dan adanya tangga darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7 GKN. c. Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer server dan 46 unit PC untuk mengatasi risiko pemadaman
Pembuatan Prosedur Audit (Cont’d) c. d.
2.
Ketersediaan genset untuk cadangan sumber tenaga saat terjadi pemadaman. Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti gempa bumi) Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan?
(Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan pengamanan yang harus diambil)
Pembuatan Audit Checklist • Tahap berikutnya adalah membuat audit checklist berdasarkan prosedur-prosedur audit yang ada. • Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan Lingkungan (CK.1) Audit Checklist Pengelolaan Fasilitas (CK.2) Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3)
Pembuatan Audit Checklist (Cont’d) • Contoh audit checklist untuk pengelolaan akses fisik ke aset TI (CK.3)
Skala Penilaian • Penilaian menggunakan skala Likert berdasarkan kesesuaiannya dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai. • Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah prosedur yang ada telah sesuai dengan standar atau tidak.
Skala Penilaian (Cont’d) Skala Likert yang digunakan dalam penilaian audit ini sebagai berikut. 1 : Sangat tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit tidak dilaksanakan sama sekali. 2 : Tidak sesuai Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan sebagian, namun tidak mencapai 50% 3 : Cukup Apabila poin-poin kontrol yang ada dalam prosedur audit dilaksanakan antara 50%-70% 4 : Sesuai Apabila sebagian besar poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, namun belum didokumentasikan 5 : Sangat sesuai Apabila semua poin-poin kontrol yang ada dalam prosedur audit dilaksanakan, dan telah didokumentasikan
Dokumen Panduan Audit TI Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di dalamnya berisi hal-hal berikut ini : • Ikhtisar dokumen panduan audit teknologi informasi • Kertas kerja pemeriksaan utama audit teknologi informasi • Audit Checklist Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan Lingkungan (CK.1), Audit Checklist Pengelolaan Fasilitas (CK.2), Audit Checklist Pengelolaan Akses Fisik ke Aset TI (CK.3) • Prosedur Audit Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan fisik TI di KPPN Surabaya II, dengan pembagian: Pengelolaan Lingkungan (9 prosedur), Pengelolaan Fasilitas (12 prosedur), Pengelolaan Akses Fisik ke Aset TI (5 prosedur) • Kertas kerja konsep temuan pemeriksaan
Verifikasi Dokumen Panduan Audit • Verifikasi dokumen panduan audit dilakukan dengan melakukan pengecekan kelengkapan prosedur yang ada dengan aktivitasaktivitas dan proses-proses yang terkait dengan pengelolaan lingkungan fisik TI di dalam COBIT 5.
Verifikasi dokumen panduan audit (Cont’d)
BAB V KESIMPULAN & SARAN
Kesimpulan • Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan, pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI. • Pembuatan dokumen panduan audit ini menghasilkan: 1. 2.
Ikhtisar dokumen panduan audit teknologi informasi Kertas kerja pemeriksaan utama audit teknologi informasi
3.
Audit Checklist, yang terdiri dari tiga bagian.
4.
Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian sebagai berikut : Pengelolaan Lingkungan
: 9 prosedur
Pengelolaan Fasilitas (CK.2)
: 12 prosedur
Pengelolaan Akses Fisik ke Aset TI : 5 prosedur 4. Kertas kerja konsep temuan pemeriksaan
Saran • Panduan audit ini dibuat berdasarkan COBIT 5. Untuk pengembangan selanjutnya, diharapkan dapat dibuat dokumen panduan audit dengan menggunakan standar lain, dengan kelebihan masing-masing. • Penelitian ini diharapkan dapat menjadi dasar bagi penelitianpenelitian selanjutnya untuk perkembangan organisasi.
Daftar Pustaka • Ditjen Perbendaharaan. 2009. Perdirjen Perbendaharaan No. PER/46/PB/2009. Jakarta. • Insani, Wening. 2010. Perancangan Buku Visual Cara Membuat Mainan Tradisional untuk Anak. Surabaya: Institut Teknologi Sepuluh Nopember. • ISACA. 2012. COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association. • Istiqlal, Yaomi Awalishoum. 2010. Pembuatan Panduan Audit Manajemen Insiden TI berdasarkan ITIL (Studi Kasus di BPK RI). Surabaya: Institut Teknologi Sepuluh Nopember. • IT Governance Institute. 2007. COBIT 4.1. USA: IT Governance Institute. • Menteri Keuangan Republik Indonesia. 2010. KMK Nomor 479/KMK.01/2010. Jakarta. • Mukhtar, Ali Masjono . 1999. Audit Sistem Informasi. Jakarta: Rineka Cipta. • Robert, R., dan Moeller. 2008. Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL. USA: John Wiley. • Sarno, Riyanarto. 2009. Audit Sistem Informasi dan Teknologi Informasi. Surabaya: ITS Press. • Tarigan, Joshua. 2006. Merancang IT Governance dengan Cobit & Arbanes-Oxley dalam Konteks Budaya Indonesia. Surabaya: Universitas Kristen Petra. • Tim Direktorat Keamanan Informasi. 2011. Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Keamanan Publik. Jakarta: Kementerian Komunikasi dan Informatika RI. • Weber, Ron A. 1999. Information Systems Control and Audit. Fremont, CA, USA: Prentice Hall Business Publishing.
TERIMA KASIH
