UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA

PERANCANGAN ALAT BANTU DAN KERANGKA KERJA PENILAIAN RISIKO KEAMANAN INFORMASI DALAM PROSES PERENCANAAN PEMERIKSAAN LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN

KARYA AKHIR

IKA SEPTI ANGGRAENI 1206302573

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2014

Perancangan alat bantu ..., Ika Septi Anggraeni, Fasilkom UI, 2014

UNIVERSITAS INDONESIA

PERANCANGAN ALAT BANTU DAN KERANGKA KERJA PENILAIAN RISIKO KEAMANAN INFORMASI DALAM PROSES PERENCANAAN PEMERIKSAAN LAPORAN KEUANGAN KONSOLIDASI DI PEMERINTAH DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

IKA SEPTI ANGGRAENI 1206302573

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2014


ii


iii


KATA PENGANTAR

Puji syukur saa panjatkan kehadirat Allah SWT karena rahmatnya saya dapat menyelesaikan Karya Akhir ini yang berjudul Perancangan alat bantu dan kerangka kerja penilaian risiko keamanan informasi dalam proses perencanaan pemeriksaan laporan keuangan konsolidasi pemerintah daerah – BPK RI Pwk Banten. Saya menyadari sangatlah sulit bagi saya menyelesaikan penelitian ini tanpa bantuan dan bimbingan dari berbagai pihak. Untuk itu, saya mengucapkan terima kasih sebesar-besarnya kepada: 1. Bapak Yudho Giri Sucahyo, Ph.D dan Bapak Ivano Aviandi, M.Sc selaku Dosen pembimbing yang telah meluangkan waktu, tenaga dan pikiran untuk mengarahkan penulis dalam menyelesaikan karya akhir. 2. Teman-teman yaitu Mbak Atik, Chairina, Irena, Mbak Gals, Pita, Ika, Mbak Sandra, Yuli, Mbak Atina, Angga, Fajar, Fathul Bari, Pak Dirjen, Brot Sen, Pak Eselon, Aji, Tri Budi, Pak Eko, Bayu, Nur, Mas Bambang, Mas Suprianto, Pak Tosan, Handy, Indra, Muti, Pak Jonny, Pak Syofian, Mas Hari, Fefe, Anday, Nia dan David yang telah berjuang dalam suka dan duka selama menjalani perkuliahan di MTI-UI kelas 2012SA. 3. Kementerian Komunikasi dan Informatika Republik Indonesia yang telah memberikan kesempatan untuk mendapatkan beasiswa GCIO. 4. Bapak I Nyoman Wara, S.E., Ak (selaku pejabat eselon I staf ahli BPK RI). 5. Ibu Ririn Untari, M.Si., Ak, Bapak Priyo, SE., Ak (selaku Pengendali Teknis BPK RI). 6. Bapak H. Muhtarom, SE., Ak yang memberikan ijin untuk pengambilan data keamanan informasi pengelolaan keuangan di Pemkot Tangerang. 7. Bapak Adhi Zulkifli, MT, Beben Machbuban, S.ip, Mugiya Wardhany, SE. M.Si yang meluangkan waktu untuk memberikan informasi terkait keamanan informasi di Pemerintah Kota Tangerang. iv


8. Dedy Rustandi, S.Kom sebagai suami yang memberikan dukungan secara moril dan finansial dalam proses perkuliahan sampai dengan pembuatan karya akhir. 9. Ryuzain Ardan Radyka yang mencoba mengerti bahwa mama nya sering meninggalkan anaknya untuk perkuliahan, tugas dan karya akhir. 10. Ibu, adik-adik saya tercinta, ibu dan ayah mertua yang telah memberikan doa dan dukungan besar untuk penulis.

Jakarta, 10 Januari 2014

Ika Septi Anggraeni

v


vi


ABSTRAK Nama Program Studi Judul

: Ika Septi Anggraeni : Magister Teknologi Informasi : Perancangan Alat Bantu dan Kerangka Kerja Penilaian Risiko Keamanan Informasi dalam perencanaan pemeriksaan laporan keuangan konsolidasi pemerintah daerah : Studi Kasus BPK RI Perwakilan Banten

Risiko pemeriksaan mempengaruhi standar pekerjaan lapangan dan standar pelaporan dalam pemeriksaan laporan keuangan. Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah risiko keamanan informasi. Perlunya penilaian risiko keamanan informasi dari aspek TI kerana teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam organisasi diantaranya penyusunan laporan keuangan yang merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak terkecuali instansi pemerintah. Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko keamanan informasi di instansi pemerintah yang berbasis ISO 27001. Narasumber yang terdiri dari pengendali teknis, auditor dan pejabat eselon I BPK RI diwawancara untuk memilih aktivitas pengendalian dalam ISO 27001 yang penting dalam penilaian risiko keamanan informasi. Hasil pemilihan aktivitas tersebut dijadikan input dalam perancangan model kerangka kerja, dimana kerangka kerja tersebut akan diuji publik di Pemerintah Kota Tangerang oleh beberapa auditor. Hasil penelitian ini dapat membentuk suatu alat bantu dan kerangka kerja untuk memudahkan para auditor di BPK dalam proses penilaian risiko keamanan informasi untuk menunjang perencanaan pemeriksaan laporan keuangan pemerintah daerah dimana terdiri dari unsur-unsur dalam program audit yakni ruang lingkup audit, tujuan audit, tahap perencanaan, tahap pelaksanaan, dan tahap penyelesaian yang dirumuskan dari aktivitas dan praktik pengendalian di ISO 27001 terpilih. Kerangka kerja dilengkapi dengan indikator dampak dan kecenderungan dari setiap risiko aktivitas yang didapat dari klausalklausal ISO 27001.

Kata kunci: Risiko Keamanan Informasi , ISO 27001, Program Audit x + 127 Halaman; 27 Gambar; 27 Tabel; 6 Lampiran

vii

Universitas Indonesia


ABSTRACT

Name Study Program Title

: Ika Septi Anggraeni : Magister Teknologi Informasi : Information Security Risk Assessment Tools and Framework Design for Consolidated Financial Statements of Audit Planning in Local Governments: A Case Study at The Audit Board of Republic Indonesia Banten Representative

Inspection risks affecting standard of field works and standards of examination report of financial statements. One aspect that is considered the most influencing risk in todays information age is a risk of information security covering aspects of IT and non IT aspects. The needs for information risk security assesment of IT aspects which due to the rapid information technology development, which greatly affects wide range of activities within organization including stated financial reports, is the output of a system that uses information technology, including government agencies. This research develop tools and frameworks in the information security risk assesment at government agencies based on ISO 27001. Resource persons consisting of technical controllers, auditor and BPK echelon I are interviewed to select the ISO 27001 control activities which are important in the information security risk assesment. Election results will serve as input in designing the model framework, which then some auditors will perform public test in Tangerang city government. The results of this study can form a frameowkrs and tools to facilitate the BPK auditors in the process of information security risk assesment to support inspection planning of local government financial reports, which consist of the elements in the audit program such as audit scope, audit objectives, planning phase, stages of implementation, and completion stages of activities and practices defined in the selected ISO 27001. The framework comes with indicators of the impact and trends of each risk activity derived from ISO 27001 clauses.

Keywords: Information Security Risk , ISO 27001, Audit Program x + 127 Pages; 27 Figures; 27 Tables; 6 Attachments

viii



DAFTAR ISI

HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS ............................................. vi ABSTRAK ........................................................................................................... vii ABSTRACT ........................................................................................................ viii DAFTAR ISI ......................................................................................................... ix DAFTAR GAMBAR ........................................................................................... xii DAFTAR TABEL .............................................................................................. xiii DAFTAR LAMPIRAN ...................................................................................... xiv BAB 1 PENDAHULUAN ..................................................................................... 1 1.1 Latar Belakang .......................................................................................... 1 1.2 Pertanyaan Masalah (Research Question) ................................................ 7 1.3 Tujuan Penelitian ...................................................................................... 7 1.4 Manfaat Penelitian .................................................................................... 8 1.5 Ruang lingkup Penelitian .......................................................................... 8 BAB 2 TINJAUAN PUSTAKA ............................................................................ 9 2.1 Risiko ........................................................................................................ 9 2.1.1 Pengertian Risiko .......................................................................... 9 2.1.2 Macam-Macam Risiko ................................................................ 10 2.2 Keamanan Informasi ............................................................................... 10 2.3 Hubungan Risiko Keamanan Informasi dalam Risk Based Audit Laporan Keuangan ................................................................................................ 13 2.3.1 Konsep Risk Based Audit ............................................................ 13 2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk Based Audit ................................................................................. 13 2.4 Sistem Pengelolaan Keuangan Pemerintah Daerah ................................ 14 2.5 Program Audit ......................................................................................... 18 2.6 Penilaian Risiko Keamanan Informasi (security risk assessment) ......... 20 2.7 ISO 27001:2005 ...................................................................................... 22 2.8 Penelitian Sebelumnya ............................................................................ 25 2.9 Kerangka Teori Penelitian (Theoretical Framework)............................. 26 BAB 3 METODOLOGI PENELITIAN ............................................................ 28 3.1 Identifikasi Permasalahan ....................................................................... 29 3.2 Melakukan Studi Literatur ...................................................................... 29 3.3 Pengambilan data .................................................................................... 30 3.4 Analisis Data ........................................................................................... 31 3.4.1 Analisis Proses Akuntansi SIPKD .............................................. 32 3.4.2 Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik Pengendalian dari Aktivitas di ISO 27001 .................................. 32 3.5 Perancangan model konseptual ............................................................... 32 3.5.1 Perancangan Penetapan Kelemahan dan Ancaman..................... 33 ix



3.5.2 Perancangan analisis dampak dan likelihood .............................. 33 3.5.3 Penilaian tingkat risiko................................................................ 34 3.5.4 Analisis Prioritas risiko ............................................................... 35 3.5.5 Menganalisis rekomendasi kontrol ............................................. 35 3.6 Uji publik rancangan ............................................................................... 36 3.7 Validasi rancangan alat bantu dan kerangka kerja ................................. 36 3.8 Simpulan dan Saran ................................................................................ 37 BAB 4 PROFIL ORGANISASI ......................................................................... 38 4.1 Identifikasi Organisasi ............................................................................ 38 4.2 Struktur Organisasi ................................................................................. 39 4.3 Visi, Misi, dan Nilai Dasar BPK ............................................................. 40 4.4 Penilaian Risiko dalam Pemeriksaan di BPK RI .................................... 40 4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan ........ 40 4.4.2 Kedudukan Panduan Penilaian Risiko ........................................ 41 4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan .. 42 4.4.4 Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan Laporan Keuangan di BPK RI .................................................... 43 BAB 5 HASIL DAN PEMBAHASAN ............................................................... 45 5.1 Hasil wawancara awal ............................................................................ 45 5.1.1 Pemilihan aktivitas pengendalian ................................................ 48 5.2 Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah Daerah ..................................................................................................... 53 5.2.1 Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan Pemerintah Daerah ...................................................................... 53 5.3 Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001 ................................................................................................................. 60 5.3.1 Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas ISO 27001 ................................................................................... 62 5.3.2 Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan Aktivitas ISO 27001 .................................................................... 63 5.3.3 Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan Aktivitas ISO 27001 .................................................................... 64 5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001 ..................................................................................................... 66 5.4 Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan Informasi ................................................................................................. 67 5.4.1 Rancangan awal Program Audit ................................................. 67 5.4.2 Hasil Perancangan Program Audit .............................................. 85 5.4.3 Penetapan Kelemahan dan Ancaman ........................................ 101 5.4.4 Analisa Dampak ........................................................................ 101 5.4.5 Analisa Likelihood (kecenderungan)......................................... 106 5.4.6 Penetapan Tingkat Risiko ......................................................... 110 5.4.7 Penentuan prioritas risiko.......................................................... 112 5.4.8 Analisis Rekomendasi Kontrol ................................................. 112 5.4.9 Mitigasi Risiko .......................................................................... 112 5.4.10 Risiko Deteksi ............................................................................ 113 x



5.5

Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko Keamanan Informasi ............................................................................................... 114 5.5.1 Kerangka kerja penilaian risiko keamanan informasi ............... 114 5.6 Uji Publik ............................................................................................. 118 5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi ................................................................................................... 118 5.7 Alat bantu Penilaian Risiko .................................................................. 126 5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi .. 127 BAB 6 KESIMPULAN DAN SARAN ............................................................. 133 6.1 Kesimpulan ........................................................................................... 133 6.2 Saran ..................................................................................................... 134 DAFTAR PUSTAKA ........................................................................................ 135

xi



DAFTAR GAMBAR

Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah (Keuangan, Oktober, 2011) ............................................................... 5 Gambar 1.2 Fishbone Diagram (Ishikawa Diagram) ............................................. 7 Gambar 2.1 Komponen keamanan informasi (Mattord, 2010) ............................ 11 Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses Risk-Based Auditing (Sumber : CPA journal, Juli 2010) ................... 13 Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah ........................ 15 Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah .................................... 17 Gambar 2.5 Contoh Program Audit ...................................................................... 20 Gambar 2.6 Perbandingan Metode Penilaian Risiko ............................................ 24 Gambar 2.7 Theoritical Framework ..................................................................... 27 Gambar 3.1 Metodologi Penelitian ....................................................................... 28 Gambar 3.2 Matriks penentuan tingkat risiko ....................................................... 35 Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor 34/K/I-VIII.3/6/2007) ...................................................................... 39 Gambar 4.2 Metodologi Pemeriksaan ................................................................... 41 Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan Keuangan dengan Pedoman Pemeriksaan BPK............................... 42 Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting” 49 Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit ................................................................................................ 67 Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit (2) ........................................................................................... 68 Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko......... 111 Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja ............................. 115 Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja ........................... 115 Gambar 5. 7 Formulir program audit dalam kerangka kerja ............................... 116 Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator ....................... 127 Gambar 5. 9 Halaman pilih ruang lingkup .......................................................... 128 Gambar 5. 10 Halaman Pertanyaan ..................................................................... 129 Gambar 5. 11 Halaman Hasil Penilaian Risiko ................................................... 130 Gambar 5. 12 Halaman input data Risk Assesment ............................................. 132 Gambar 5. 13 Halaman Tampilan Risk Assesment.............................................. 132

xii



DAFTAR TABEL

Tabel 2.1 Peta Risiko (Madhukar, 2007) ............................................................. 22 Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber : www.iso27001certificates.com/Register%20Search.htm) .................................... 23 Tabel 5.1 Hasil Tabulasi pengambilan data awal.................................................. 46 Tabel 5.2 Hasil review pejabat BPK RI ................................................................ 51 Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting"...................... 52 Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran ....... 53 Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas..... 55 Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas ........... 57 Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset ....................... 59 Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih .......... 61 Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran ................... 62 Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan ... 63 Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan .. 65 Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset ................................ 66 Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko ............................ 102 Tabel 5.14 Skala penilaian dampak .................................................................... 103 Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan ................ 104 Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak ..... 104 Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko ........................... 106 Tabel 5.18 Skala penilaian likelihood ................................................................. 108 Tabel 5.19 Penilaian Likelihood tiap jenis risiko ................................................ 108 Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood .... 109 Tabel 5.21 Skala Risiko ...................................................................................... 111 Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK113 Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup ......................................... 119 Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas ......................................... 121 Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas ...................................... 124

xiii



DAFTAR LAMPIRAN Lampiran 1..................................................................................................... 135 Lampiran 2..................................................................................................... 145 Lampiran 3..................................................................................................... 148 Lampiran 4..................................................................................................... 180 Lampiran 5..................................................................................................... 191 Lampiran 6..................................................................................................... 209

xiv



BAB 1 PENDAHULUAN

Pada Bab 1 ini dijelaskan tentang latar belakang penelitian, permasalahan dan ruang lingkup penelitian. Studi kasus yang diambil untuk perancangan alat bantu dan kerangka kerja penilaian risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah adalah Badan Pemeriksa Keuangan Perwakilan Provinsi Banten. 1.1

Latar Belakang

Badan Pemeriksa Keuangan (BPK) merupakan satu lembaga negara yang bebas dan mandiri dalam memeriksa pengelolaan dan tanggung jawab keuangan negara. Secara hukum kedudukan BPK diatur dalam UUD 1945 pada pasal 23E, 23F dan 23G serta Undang-Undang (UU) No 15/2006 tentang BPK. BPK bertugas memeriksa pengelolaan dan tanggung jawab keuangan negara yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lainnya, Bank Indonesia, Badan Usaha Milik Negara, Badan Layanan Umum, Badan Usaha Milik Daerah, dan lembaga atau badan lain yang mengelola keuangan negara. BPK dalam melaksanakan tugasnya tersebut ditunjang oleh rencana strategi 20112015 yang dituangkan dalam Keputusan Badan Pemeriksa Keuangan Republik Indonesia No.3/K/I-XIII.2/5/2011. Salah satu strategi yang direncanakan oleh BPK adalah mewujudkan pemeriksaan yang bermutu untuk menghasilkan laporan hasil pemeriksaan yang bermanfaat dan sesuai dengan pemangku kepentingan. Salah satu indikator kinerja utama dari rencana strategis ini adalah jumlah laporan hasil pemeriksaan (LHP) yang diterbitkan oleh BPK karena perhatian pemangku kepentingan, baik dari lembaga perwakilan, pemerintah, maupun masyarakat umum terhadap hasil pemeriksaan BPK juga semakin meningkat. Laporan hasil pemeriksaan atas laporan keuangan pemerintah pusat atau pemerintah daerah disampaikan oleh BPK kepada DPR dan DPD atau DPRD selambat-lambatnya dua bulan setelah menerima laporan keuangan dari

1



2 pemerintah pusat atau pemerintah daerah sesuai dengan UU No 15 Tahun 2004 tentang Pemeriksaan Pengelolaan dan Tanggung jawab Keuangan Negara. Laporan hasil evaluasi Direktorat Utama Perencanaan, Evaluasi, Pengembangan, Pendidikan dan Pelatihan (Ditama Revbang) BPK RI tahun 2012 menunjukkan bahwa target LHP yang diterbitkan oleh BPK sebanyak 1415 sedangkan realisasi selama tahun 2012 BPK menerbitkan sebanyak 1316 atau sebesar 93%. Dari jumlah realisasi terdapat 54% LHP yang terbit tepat waktu, sedangkan 46% LHP terlambat (Direktorat Utama Perencanaan, 2013). Laporan hasil evaluasi Ditama Revbang BPK tersebut menunjukkan penerbitan LHP di BPK tidak optimal karena terdapat permasalahan dari proses pelaksanaan pemeriksaan keuangan negara yang dilakukan BPK. Permasalahan ini disebabkan beberapa faktor, diantaranya: a. Sumber Daya Manusia Data dari Biro Sumber Daya Manusia (SDM) BPK RI tahun 2012 menunjukkan bahwa jumlah pegawai BPK RI baik di pusat dan perwakilan adalah 6218 orang, dimana 2963 orang atau 47,65% adalah auditor. Menurut Keputusan Sekretariat Jenderal BPK RI tahun 2006 ditetapkan standar ideal jumlah personil dalam satu tim adalah 5 orang sehingga jumlah LHP yang dapat diterbitkan sebanyak 593 laporan tiap periode pemeriksaan laporan keuangan sedangkan target yang telah ditetapkan BPK menurut Laporan hasil evaluasi Ditama Revbang untuk penerbitan LHP laporan keuangan sebanyak 616 laporan. Menurut UU No 15 Tahun 2004, BPK tidak hanya melaksanakan pemeriksaan atas laporan keuangan melainkan pemeriksaan atas kinerja dan pemeriksaan dengan tujuan tertentu. Hal ini semakin mendukung bahwa ada ketimpangan jumlah auditor yang ada di BPK dengan jumlah objek pemeriksaan yang harus diperiksa oleh BPK selain analisa diatas mengenai perbandingan jumlah auditor dengan target penerbitan LHP.



3 b. Prosedur pengujian area pemeriksaan laporan keuangan Prosedur pengujian atas seluruh area pemeriksaan LK dalam suatu entitas yang diperiksa masih dilakukan oleh auditor BPK karena tidak ada prioritas area pemeriksaan yang akan diperiksa berdasarkan level risikonya, dimana penentuan risiko pemeriksaan didapat dari proses perencanaan audit laporan keuangan. Keadaan tersebut menyebabkan setiap pemeriksaan laporan keuangan membutuhkan waktu pemeriksaan yakni dua sampai dengan tiga bulan berdasarkan data laporan hasil evaluasi Ditama Revbang BPK sedangkan terdapat ketentuan bahwa LHP diserahkan kepada para pemangku kepentingan selambat-lambatnya 2(dua) bulan setelah laporan keuangan diterima BPK. Oleh karena itu BPK menghadapi berbagai keterbatasan, seperti sumber daya manusia dan waktu, sehingga kinerja BPK dalam menerbitkan LHP bagi para pemangku kepentingan tidak optimal seperti yang telah dipaparkan melalui data penerbitan LHP di BPK tahun 2012. Keterbatasan sumber daya manusia diatas mengharuskan pemeriksa bekerja dengan efektif dan efisien yakni dengan mempertimbangkan dilakukannya pemeriksaan pada area-area yang berisiko tinggi, yakni pemeriksa perlu mempertimbangkan risiko pemeriksaan dalam perencanaan pemeriksaannya yang dikenal dengan istilah Risk Based Audit. Semakin tinggi risiko pada area tersebut maka membutuhkan pengujian substantif yang lebih banyak. Pengujian substantif banyak membutuhkan tenaga kerja dan memakan waktu yang lama. Peningkatan pengujian substantif dapat berarti audit yang lebih lama serta biaya audit yang lebih tinggi (Hall, 2007). Risiko pemeriksaan mempengaruhi penerapan standar auditing. Khususnya standar pekerjaan lapangan dan standar pelaporan. Risiko audit dan materialitas, bersama dengan hal lainnya perlu dipertimbangkan untuk menentukan sifat dan luas prosedur audit serta dalam mengevaluasi hasil prosedur tersebut (Agus Widarsono, 2005) .



4 Salah satu aspek yang dinilai paling mempengaruhi risiko pemeriksaan di era informasi sekarang ini adalah risiko keamanan informasi pengelolaan keuangan daerah. Risiko keamanan informasi meliputi dua aspek yaitu aspek non teknologi informasi dan aspek teknologi informasi. Aspek TI pengelolaan keuangan daerah berasal dari pesatnya perkembangan teknologi informasi sangat mempengaruhi berbagai macam aktivitas dalam organisasi. Laporan keuangan yang dihasilkan oleh organisasi merupakan keluaran dari sebuah sistem yang menggunakan teknologi informasi, tidak terkecuali instansi pemerintah. Laporan Monitoring dan Evaluasi Penyelenggaraan Sistem Informasi Keuangan Daerah Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan tahun 2011 menunjukkan secara umum daerah telah memulai implementasi teknologi informasi pengelolaan keuangan dearah sepanjang tahun 2006 s.d 2010 (Keuangan, Oktober, 2011). Hal ini bertepatan dengan terbitnya PP 58/2005 tentang Pengelolaan Keuangan Daerah dan Permendargi 13/2006 tentang Pedoman Pengelolaan Keuangan Daerah. Sedangkan hanya 10% daerah setelah 2010 dan sisanya sebesar 17 persen sebelum 2006 yang mengimplementasikan teknologi informasi dalam pengelolaan keuangan daerah sedangkan dari hasil kuisioner menunjukkan juga aplikasi pengelolaan keuangan daerah yang paling banyak dipakai oleh daerah berasal dari pengembang Badan Pengawasan Keuangan dan Pembangunan (BPKP) dengan nama produknya Sistem Manajemen dan Informasi Daerah (SIMDA). Kemudian Sekitar 27% merupakan aplikasi yang bernama Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) yang berasal dari Pilot Project Kemendagri. Sisanya adalah swakelola, SIPKD non pilot project dan sisanya masing-masing sebesar 10%, 3% dan 10%. Grafik penggunaan sistem informasi pada pengelolaan keuangan pemerintah daerah yang berasal dari beberapa organisasi yakni Kemendagri, BPKP, SIPKD, swakelola dan lain-lain. Grafik penggunaan sistem informasi ini dapat dilihat pada Gambar 1.1.



5

Gambar 1.1 Grafik Penggunaan Aplikasi Pengelolaan Keuangan Daerah (Keuangan, Oktober, 2011)

Certified Public Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan bahwa Statements on Auditing Standards (SAS) 104-111 dan Auditing Standard (AS) 5 menekankan perlu hubungan antara proses perencanaan audit laporan keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan (Dan Schroeder, Juli, 2010). Pentingnya hubungan antara proses perencanaan audit laporan keuangan dan penilaian risiko keamanan informasi pengelolaan keuangan juga disebutkan dalam Standar Pemeriksaan Keuangan Negara (SPKN) yang diatur dalam Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007. Hubungan antara proses perencanaan audit laporan keuangan dan prosedur penilaian risiko keamanan informasi inilah maka dapat diidentifikasi bagaimana efek keamanan informasi pengelolaan keuangan daerah pada asersi laporan keuangan sehingga dapat diketahui pula area-area mana yang akan menjadi fokus pemeriksaan laporan keuangan tersebut. Hasil observasi menunjukkan bahwa belum pernah dilakukan penilaian risiko keamanan informasi pengelolaan keuangan daerah oleh pemeriksa di BPK pada proses perencanaan pemeriksaa laporan keuangan sehingga proses perencanaan pemeriksaan laporan keuangan di BPK tidak dapat bejalan sesuai dengan SPKN yang ada. Permasalahan tersebut disebabkan oleh beberapa hal, sebagai berikut:



6 a.

Sumber Daya Manusia Hasil observasi menunjukkan bahwa proses penilaian risiko keamanan informasi pengelolaan keuangan dalam pemeriksaan laporan keuangan di BPK belum dapat maksimal karena belum ada sosialisasi mengenai pentingnya penilaian risiko keamanan informasi ini dalam perencanaan pemeriksaan laporan keuangan.

b.

Prosedur perencanaan pemeriksaan laporan keuangan Selain sosialisasi, permasalahan yang ada disebabkan oleh belum adanya alat bantu dan kerangka kerja yang baku untuk menilai risiko keamanan informasi pengelolaan keuangan dalam bentuk program audit yang mudah dipahami oleh para pemeriksa di BPK RI sehingga hasil penilaian risiko ini akan mendukung proses perencanaan pemeriksaan laporan keuangan.

Permasalahan diatas mengenai belum adanya alat bantu dan kerangka kerja penilaian risiko keamanan informasi pada perencanaan audit laporan keuangan dapat digambarkan melalui diagram fishbone. Melalui diagram ini dapat diketahui berbagai

permasalahan

mengenai

penilaian

risiko

keamanan

informasi

pengelolaan keuangan dalam proses perencanaan pemeriksaan laporan keuangan di BPK tidak dapat bejalan sesuai dengan SPKN. Hubungan sebab akibat dengan diagram fishbone dapat dilihat pada Gambar 1.2



7

Gambar 1.2 Fishbone Diagram (Ishikawa Diagram)

Penelitian ini akan menyusun alat bantu dan kerangka kerja penilaian risiko keamanan informasi pengelolaan keuangan dalam bentuk program audit yang dapat dimengerti oleh pemeriksa dan disesuaikan dengan kondisi objek pemeriksaan yang diperiksa yakni instansi pemerintah.j 1.2

Pertanyaan Masalah (Research Question)

Dari hasil analisis maka didapat pertanyaan penelitian sebagai berikut. “Bagaimana bentuk alat bantu dan kerangka kerja untuk penilaian risiko keamanan informasi atas pengelolaan keuangan daerah dalam bentuk program audit sehingga penilaian risiko pada proses perencanaan pemeriksaan laporan sesuai dengan SPKN?” 1.3

Tujuan Penelitian

Berdasarkan pertanyaan penelitian diatas, maka tujuan yang ingin dicapai dalam penelitian ini adalah membuat perancangan alat bantu dan kerangka kerja untuk penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan



8 keuangan yang sesuai SPKN sehingga dapat dijadikan pedoman yang seragam bagi semua pemeriksa BPK RI dalam menilai risiko keamanan informasi. 1.4

Manfaat Penelitian

Manfaat yang diharapkan dari penelitian ini adalah membantu auditor dalam menilai risiko keamanan informasi baik aspek non TI dan aspek TI dari sistem pengelolaan keuangan di instansi pemerintah sehingga dapat diketahui area-area yang menjadi fokus pemeriksaan laporan keuangan dan menjadi pedoman bagi penelitian yang lain dalam menentukan risiko keamanan informasi pengelolaan keuangan di instansi pemerintah. 1.5

Ruang lingkup Penelitian

Peneliti menyadari bahwa terdapat hal-hal yang tidak dapat diteliti secara menyeluruh. Oleh karena itu penelitian ini hanya dibatasi pada pembuatan alat bantu dan kerangka kerja penilaian risiko keamanan informasi prosedur akuntansi pengelolaan keuangan dalam bentuk program audit di instansi pemerintah daerah.



BAB 2 TINJAUAN PUSTAKA

Pada bab ini akan dibahas teori-teori yang berkaitan dengan risiko pemeriksaan laporan keuangan, risiko teknologi informasi, bagaimana hubungan risiko pemeriksaan dengan risiko teknologi informasi, Risk Based Audit, audit teknologi informasi, keamanan informasi, sistem pengelolaan keuangan daerah, program audit dan ISO 27001 serta referensi penelitian sebelumnya. Pada akhir bab ini akan dibuat suatu kerangka teori penelitian (theoretical framework). 2.1

Risiko

2.1.1 Pengertian Risiko Menurut Peltier

(Peltier, 2001), risiko adalah seseorang atau sesuatu yang

membuat atau menyarankan sebuah bahaya. Sedangkan menurut Djojosoedarso (Djojosoedarso, 2005), pengertian risiko diantaranya: 1. Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu (Arthur Wiliams dan Richard, M.H). 2. Risiko adalah ketidakpastian (uncertainty) yang mungkin melahirkan peristiwa kerugian (Loss) (A.Abas Salim). 3. Risko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto). 4. Risiko merupakan penyebaran/penyimpangan hasil aktual dari hasil yang diharapkan (Herman Darmawi). 5. Risiko adalah probalitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan (Herman Darmawi). Berdasarkan definisi-definisi diatas dapat disimpulkan bahwa risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan tidak terduga/ tidak diinginkan.

9



10 2.1.2 Macam-Macam Risiko Menurut Gondodiyoto (Gondodiyoto, 2003), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis diantaranya: 1. Risiko Bisnis (Business Risks) Risiko Bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapai tujuan organisasi (business goals/objective). 2. Risiko Bawaan (Inherent Risks) Risiko bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian intern. 3. Risiko Pengendalian (Control Risks) Dalam suatu organisasi yang baik seharusnya sudah ada Risk Assessment, dan dirancang pengendalian intern secara optimal terhadap setiap potensi risiko. Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian. 4. Risiko Audit (Audit Risk) Risiko audit adalah risiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya. 2.2

Keamanan Informasi

Menurut G.J. Simons keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi. Keamanan informasi

berbeda dengan keamanan teknologi informasi karena

mengacu pada hal yang berbeda yakni keamanan teknologi informasi mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguangangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan. Keamanan informasi berfokus pada data dan informasi milik organisasi dengan



11 merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya dan tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan (H.Februariyanti, Juli, 2006). sehingga dapat dikatakan bahwa keamanan teknologi informasi merupakan bagian dari keseluruhan aspek keamanan informasi seperti dijelaskan pada Gambar 2.1. Karena teknologi informasi merupakan salah satu alat atau tool penting yang digunakan untuk mengamankan akses serta penggunaan dari data dan informasi organisasi.

Gambar 2.1 Komponen keamanan informasi (Mattord, 2010)

Salah satu cara untuk melindungi informasi penting oleh suatu organisasi adalah dengan meningkatkan keamanan informasi berdasarkan prinsip kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) di setiap informasi yang dikandungnya. Keamanan informasi mencapai tiga tujuan utama, yakni (Mattord, 2010): 1. Confidentiality (kerahasiaan), setiap organisasi berusaha melindungi data dan

informasinya dari pihak-pihak yang tidak berwenang sehingga aspek ini memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.



12 2. Integrity (integritas), semua informasi yang ada dalam organisasi harus mampu

dilindungi sehingga informasi tersebut tidak dapat diubah tanpa seijin dari pemilik informasi. 3. Availability (ketersedian), semua informasi akan selalu tersedia ketika sedang

dibutuhkan oleh pemilik informasi. Aspek ini juga bergantung pada aspek ketersediaan dari sistem pengelola informasi Menurut W.Stallings, serangan terhadap aspek-aspek keamanan informasi dapat dibagi menjadi (Stalling, 1995): a. Interruption adalah suatu serangan yang bertujuan untuk menggangu ketersediaan dari suatu informasi atau perangkat pengelola informasi. Serangan ini mengakibatkan perangkat pengelola informasi menjadi rusak. Contoh dari Interruption adalah “denial of service (DoS)”. b. Interception merupakan ancaman terhadap kerahasiaan (secrecy). Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer di mana informasi tersebut disimpan. Contoh aspek interception adalah orang yang tidak bertanggung jawab menyadap data pada saat terjadinya komunikasi atau pertukaran informasi.

c. Modification adalah suatu bentuk serangan yang terjadi ketika pengguna/pihak yang tidak memiliki hak berhasil masuk dalam sistem dan melakukan pengubahan aset. Contoh serangan ini adalah mengubah data sistem keuangan oleh orang yang tidak berhak. d. Febrication merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang

dikehendaki

oleh

si

penerima

informasi

tersebut.

Misalnya:

menambahkan suatu record ke dalam file.



13 2.3

Hubungan Risiko Keamanan Informasi dalam Risk Based Audit

Laporan Keuangan 2.3.1 Konsep Risk Based Audit Perkembangan kegiatan bisnis ternyata mampu mempengaruhi dan membawa perubahan paradigma pelaksanaan audit dari pendekatan dengan pengendalian ke pendekatan audit berdasarkan risiko (Risk Based Audit). (Pemeriksa No 93, 2003). Pergeseran fokus audit dari pengendalian ke risiko telah membuat suatu revolusi yang besar dalam pendekatan audit masa kini. Risk assessment merupakan bagian dari tahapan pertama metodologi Risk Management Based Auditing yang harus dilakukan dalam melaksanakan audit keuangan dengan berbasis manajemen risiko. Tahapan tersebut adalah memahami operasi auditee yang bertujuan untuk mengidentifikasi dan memprioritaskan risiko kegagalan, risiko kekeliruan, dan risiko kecurangan yang dapat mempengaruhi audit laporan keuangan. (Agus Widarsono, 2005) 2.3.2 Peran Risiko Keamanan Informasi dalam Implementasi Risk Based Audit Considerations

Key Activities

Deliverables

Gambar 2.2 Flowchart pertimbangan risiko keamanan informasi dalam proses Risk-Based Auditing (Sumber : CPA journal, Juli 2010)



14 Gambar 2.2 menunjukkan hubungan prosedur audit dengan proses penilaian risiko keamanan informasi sistem pengelolaan keuangan seperti halnya yang telah dikemukakan oleh Dan Schroeder dan Tommie Singleton di Certified Public Accountant (CPA) jurnal pada bulan Juli 2010 menjelaskan bahwa Statements on Auditing Standards (SAS) 104-111 dan Auditing Standard (AS) 5

(Dan

Schroeder, Juli, 2010). 2.4

Sistem Pengelolaan Keuangan Pemerintah Daerah

Pengelolaan keuangan daerah mengalami perubahan yang cukup fundamental dengan diterbitkannya paket UU keuangan negara. Diantara perubahan tersebut adalah Pemerintah Daerah harus menyajikan laporan keuangan berupa laporan realisasi anggaran, neraca, laporan arus kas dan catatan atas laporan keuangan, yang sebelumnya hanya laporan perhitungan APBD dan Nota Perhitungan APBD. Perubahan tersebut ditujukan untuk mewujudkan akuntabilitas dan transparansi keuangan Pemerintah Daerah. Laporan keuangan Pemerintah Daerah disusun dan disajikan berdasarkan standar akuntansi pemerintahan. Hal tersebut diamanatkan oleh UU Nomor 17 Tahun 2003 tentang Keuangan Negara. Proses penyusunan Laporan Keuangan Daerah sebagaimana disebutkan dalam Pasal 31 UU Nomor 17 Tahun 2003, dinyatakan bahwa proses penyusunan laporan keuangan keuangan dilakukan secara beberapa tahap yakni:  Tahap pertama adalah penyusunan laporan keuangan Satuan Kerja Perangkat Daerah yang meliputi laporan realisasi anggaran, neraca dan catatan atas laporan keuangan yang disampaikan kepada Satuan Kerja Pengelola Keuangan Daerah paling lambat 2 (dua) bulan sejak tahun anggaran dan Satuan Kerja Pengelola Keuangan selaku BUD menyusun laporan arus kas.  Tahap kedua adalah menggabungkan laporan keuangan dari berbagai Satuan

Kerja Perangkat Daerah dan Bendahara Umum Daerah oleh Satuan Kerja Pengelola Keuangan Daerah untuk selanjutnya disajikan sebagai laporan keuangan Pemda yang merupakan bentuk pertanggungjawaban pelaksanaan APBD kepada Gubernur/Bupati/Walikota.



15 Proses penyusunan laporan keuangan satuan kerja perangkat daerah yang terdiri dari dua tahapan yakni laporan keuangan SKPD kemudian dilanjutkan dengan laporan keuangan PPKD seperti penjelasan diatas maka proses tersebut dapat digambarkan seperti Gambar 2.3 berikut ini.

Gambar 2.3 Penyusunan Laporan Keuangan Pemerintah Daerah

Berdasarkan Gambar 2.3 maka proses pencatatan akuntansi dilakukan secara desentralisasi. Oleh karena itu dalam pembahasan sistem akuntansi keuangan daerah ini akan dilakukan pembagian menjadi dua subsistem yaitu subsistem akuntansi Satuan Kerja Perangkat Daerah selaku pengguna anggaran dan subsistem akuntansi Pejabat Pengelola Keuangan Daerah/BUD. Akuntansi merupakan proses pencatatan transaksi keuangan yang output akhirnya berupa laporan keuangan. Berbeda dengan siklus akuntansi komersil, proses akuntansi pada sektor pemerintah dimulai ketika penganggaran ditetapkan. Sehingga ada istilah yang dinamakan jurnal penganggaran. Siklus akuntansi secara detail meliputi:  Jurnal merupakan pencatatan transaksi keuangan secara kronologis. Proses jurnal merupakan proses pertama kali prosedur akuntansi dijalankan. Jurnal (pencatatan akuntansi) dilakukan berdasarkan suatu dokumen sumber yang



16 dalam hal ini dapat berupa bukti penerimaan kas, bukti pengeluaran kas, bukti memorial, dan memo penyesuaian, dll.  Posting merupakan pengelompokan jurnal transaksi keuangan ke buku besar sesuai dengan bagan perkiraan yang standar. Bagan Perkiraan Standar adalah daftar perkiraan buku besar yang ditetapkan dan disusun secara sistematis untuk

memudahan

perencanaan

dan

pelaksanaan

anggaran,

serta

pertanggjawaban dan pelaporan keuangan pemerintah. Sedangkan bagan perkiraan utama dalam buku besar dikelompokkan ke dalam klasifikasi yaitu: a. Aset b. Kewajiban c. Ekuitas d. Pendapatan e. Belanja f. Pembiayaan g. Non Anggaran  Laporan Keuangan Hasil akhir dari suatu siklus akuntansi adalah disajikannya Laporan Keuangan, laporan keuangan pemerintah daerah terdiri dari Laporan Realisasi Anggaran, Neraca, Laporan Arus Kas dan Catatan atas Laporan Keuangan Secara umum suatu siklus akuntansi dapat tergambarkan pada bagan di bawah ini:



17

Gambar 2.4 Proses Akuntansi Pokok Pemerintah Daerah

Proses akuntansi yang ditunjukkan dalam Gambar 2.4 mengaitkan pada fungsifungsi dalam pemerintah daerah. Fungsi-fungsi yang terkait dalam proses akuntasi adalah sebagai berikut: a. Kepala Daerah b. Bendahara Umum Daerah/Kuasa Bendahara Umum Daerah c. Pengguna Anggaran/Kuasa Pengguna Anggaran, d. Pengguna Barang/Kuasa Pengguna Barang, e. Pejabat Pengelola Keuangan Daerah (PPKD), f. Pejabat Penatausahaan Keuangan SKPD (PPK-SKPD), g. Bendahara Barang, h. Pejabat Pelaksana Teknis Kegiatan, i. Bendahara Penerimaan/ Pembantu Bendahara Penerimaan, j. Bendahara Pengeluaran/ Pembantu Bendahara Pengeluaran.



18 2.5

Program Audit

Program audit adalah rangkaian sistematis dari prosedur-prosedur pemeriksaan untuk mencapai tujuan audit. Program audit berisi rencana langkah kerja yang harus dilakukan selama audit berlangsung yang didasarkan pada tujuan dan sasaran yang ditetapkan serta informasi yang ada tentang objek yang diperiksa. Manfaat penyusunan program kerja adalah 1. Merupakan suatu rencana yang sistematis tentang setiap tahap kegiatan yang dapat dikomunikasikan kepada semua anggota tim audit, 2. Merupakan landasan yang sistematis dalam memberikan tugas kepada para auditor dan supervisiornya, 3. Sebagai dasar untuk membandingkan pelaksanaan kegiatan dengan rencana yang telah disetujui dan dengan standar serta persyaratan yang telah ditetapkan. Boynton menyatakan bahwa program audit harus mengungkapkan secara rinci prosedur audit yang menurut keyakinan auditor diperlukan untuk mencapai tujuan audit (T.J. Mock, 1998). Mock et. all. menjelaskan bahwa perencanaan program audit yang berkaitan dengan sifat, luas, dan saat pelaksanaan prosedur audit merupakan sesuatu yang penting untuk efisiensi dan efektivitas sebuah audit (T.J. Mock, 1998). SPKN menjelaskan bahwa program audit yang merupakan uraian prosedur diperlukan untuk mencapai tujuan pemeriksaan, memberikan dasar yang sistematis untuk membagi tugas kepada staf, dan untuk menyusun ikhtisar pekerjaan audit yang dilaksanakan. Dalam konteks audit sistem informasi, Hunton et. all.

(J. E. Hunton, 2004)

menyatakan bahwa tidak terdapat bentuk baku atas program audit sistem informasi. Program audit sistem informasi harus disesuaikan dengan hardware dan software yang diperiksa, arsitektur jaringan, lingkungan sistem informasi, serta mempertimbangkan kondisi dan karakteristik organisasi yang diperiksa. Perubahan atas program audit tersebut dapat dilakukan oleh auditor jika diperlukan sesuai kondisi sistem informasinya. Program audit sistem informasi setidaknya memuat ruang lingkup audit, tujuan audit, prosedur audit, dan rincian



19 yang diperlukan seperti perencanaan dan pelaporan audit. SPKN menyatakan bahwa ruang lingkup audit adalah batasan permasalahan yang sama pada pelaksanaan audit, sedangkan tujuan audit adalah sesuatu yang akan dijawab dalam pelaksanaan audit. Program audit didokumentasikan dalam sebuah kertas kerja yang digunakan sebagai panduan dalam melaksanakan aktivitas audit. Pada akhir pelaksanaan audit, program audit juga harus bisa menunjukkan aktivitas masing-masing anggota tim audit selama pelaksanaan audit dan menunjukkan bukti audit yang diperoleh (J. E. Hunton, 2004). Contoh program audit sistem informasi dimuat dalam Gambar 2.5 yang terdiri ruang lingkup audit, tujuan audit, langkah audit dan bukti audit yang dibutuhkan untuk setiap langkah audit yang ada. Program audit ini digunakan dalam perancangan kerangka kerja penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah sehingga memudahkan para pemeriksa untuk melakukan pemeriksaan dengan metode Risk Based Audit.



20

Gambar 2.5 Contoh Program Audit

2.6

Penilaian Risiko Keamanan Informasi (security risk assessment)

Penilaian risiko keamanan merupakan metode untuk memaksimalkan penggunaan aset organisasi secara terbatas berdasarkan risiko yang terukur dan toleransi risiko organisasi. Kontrol dapat dipilih untuk menghindari dan mengurangi risiko ke tingkat yang dapat diterima untuk membantu memastikan tujuan manajemen telah dilaksanakan. Hal yang perlu diperhatikan di sini adalah keberadaan kebijakan dan prosedur yang diperlukan, tujuan keamanan yang jelas dengan monitoring aktif, pemisahan tugas yang logis, melakukan pembandingan antara catatan dengan aktual secara periodik, penjagaan dokumen, serta catatan dan aset yang memadai.



21 Carlson dalam Information Security Management : Understanding ISO 17799 menjelaskan langkah-langkah risk assessment yaitu sebagai berikut (Carlson, 2001). 1.

Mengidentifikasi aset dalam perimeter keamanan Aset bisa menjadi barang berwujud seperti perangkat keras atau tidak berwujud seperti database organisasi. Aset memiliki nilai bagi organisasi sehingga membutuhkan perlindungan dan harus diidentifikasi serta harus jelas kepemilikannya. Sebuah nilai relatif juga harus dibentuk untuk setiap aset penting sehingga dapat diantisipasi ketika terjadi risiko.

2.

Mengidentifikasi ancaman terhadap aset Ancaman terhadap aset harus diidentifikasi dan bersifat realistis. Hanya ancaman yang memiliki kecenderungan yang signifikan atau sangat berbahaya yang harus dipertimbangkan. Misalnya ancaman ke database organisasi karena pencurian atau perubahan data.

3.

Mengidentifikasi kelemahan terhadap aset Kelemahan dari keamanan sistem informasi yang dapat menjadi ancaman. Misalnya, kelemahan ke database organisasi karena kontrol akses yang buruk password yang mudah ditebak orang lain.

4.

Menentukan dampak Dapat diukur secara numerik untuk melihat timbulnya kerusakan dari ancaman.

5.

Menentukan kecenderungan Kecenderungan atau frekuensi untuk setiap kelemahan dan ancaman harus ditentukan. Kecenderungan yang tidak signifikan dapat diabaikan.

6.

Menghitung risiko Secara matematis, risiko dapat dinyatakan sebagai: Kecenderungan x Dampak = Risiko



22 Perhitungan ini menghasilkan suatu rating numerik aset berbasis risiko untuk satu set ancaman dan kelemahan. Hasil dari perhitungan tersebut memungkinkan memperlihatkan mana risiko yang tinggi maka akan mendapat prioritas untuk diamankan dari gangguan seperti ditampilkan pada Tabel 2.1. Tabel 2.1 Peta Risiko (Madhukar, 2007) IMPACT

P R O B A B I L I T Y

2.7

Extreme

Major

Moderate

Minor

insignificant

5

4

3

2

1

100%

80%

62%

25%

1%

(Almost) certain

5

100%

100%

80%

62%

25%

1%

Probable

4

80%

80%

64%

50%

20%

1%

Possible

3

62%

62%

50%

38%

16%

0%

Unlikely

2

25%

25%

20%

16%

6%

0%

Rare

1

1%

1%

1%

0%

0%

0%

ISO 27001:2005

ISO 27001:2005 atau disebut dengan ISO 17799:2005-2 adalah suatu standar keamanan yang diperuntukan bagi institusi yang akan mengelola dan mengontrol keamanan informasi nya. Information Security Management Systems (ISMS) yang telah banyak diadopsi oleh negara-negara di dunia terutama negara di benua Asia. Jumlah sertifikat ISO 27001 yang telah dikeluarkan dan masuk dalam lima besar di beberapa negara dapat dilihat pada Tabel 2.2 ini.



23 No

Nama Negara

Jumlah Sertifikat

1

Japan

4125

2

UK

573

3

India

546

4

Taiwan

461

5

China

393

Tabel 2.2 Jumlah Sertifikat ISO 27001 di dunia tahun 2012 (Sumber : www.iso27001certificates.com/Register%20Search.htm)

ISO/IEC 27001 hadir sebagai panduan dengan mengandalkan proses yang terkenal dengan istilah PDCA, yaitu Plan, Do, Check dan Action. ISO/IEC 27001 menyediakan model untuk penerapan dan pengoperasian ISMS. Tujuan dari standar ini adalah menyediakan penerapan dan operasional ISMS yang konsisten dan terpadu yang berkolaborasi dengan standar lain dalam suatu lingkup organisasi (Arnason, 2008). ISO/IEC 27001 menggambarkan ISMS sebagai satu sistem manajemen yang menyeluruh dengan menggunakan pendekatan risiko bisnis untuk membuat, menerapkan, mengoperasikan, memantau dan memelihara sebuah ISMS. Sebuah ISMS yang baik harus mencakup segala aspek di suatu organisasi, baik struktur organisasi, kebijakan, aktivitas perencanaan, tanggung jawab, praktek, prosedur, proses, maupun sumber daya. ISMS meliputi 11 domain, 39 kendali utama, dan 122 kendali bagian. Kesemuanya itu meliputi segala hal tentang keamanan informasi yang patut diperhatikan. Meskipun demikian bukan berarti sebuah organisasi memiliki keharusan untuk menerapkan kontrol keamanan dalam standar ini akan tetapi organisasi dapat menerapkan kontrol yang berkaitan dengan hal-hal yang berpotensi memberikan risiko terhadap keberlangsungan bisnis. Selain standar ISO 27001 yang digunakan untuk penilaian risiko keamanan informasi masih terdapat standar lain yang dapat digunakan untuk penilaian risiko keamanan informasi. Berikut ini adalah metode-metode yang dapat digunakan untuk penilaian risiko keamanan informasi adalah:



24 a. Australian IT Security Handbook b. CRAMM c. Dutch A&K analysis d. EBIOS e. ISF methods for risk assessment and risk management f. ISO/IEC IS 13335-2 (ISO/IEC IS 27005) g. ISO/IEC IS 17799:2005 h. ISO/IEC IS 27001 (BS7799-2:2002) i. IT-Grundschutz (IT Baseline Protection Manual) j. Marion k. Mehari l. Octave m. SP800-30 (NIST) Standar diatas diperbandingkan berdasarkan atribut-atribut yang digunakan dalam proses penilaian risiko seperti Gambar 2.6 ini.

Gambar 2.6 Perbandingan Metode Penilaian Risiko



25 Perbandingan dari metode-metode penilaian risiko dapat dilihat pada Gambar 2.6 sehingga menjadi pertimbangan metode yang akan digunakan untuk organisasi

. .., ...) menunjukkan variasi atribut yang digunakan oleh

kita. Jumlah dari ( ,

masing-masing metode diatas. Sedangkan * adalah basic level kemampuan yang dibutuhkan, ** adalah standard level kemampuan yang dibutuhkan sedangkan *** adalah specialist level. 2.8

Penelitian Sebelumnya

Terdapat penelitian terdahulu berupa Karya Akhir yang dijadikan referensi untuk penelitian ini. Berikut adalah penelitian sebelumnya yang dijadikan acuan yaitu: 1. Nur indrawati, 2013, “Rancangan kebijakan dan prosedur pengelolaan integritas data berbasis COBIT dan ISO 27001 studi kasus direktorat xyz”. Tujuan penelitian ini adalah penyusunan rancangan kebijakan dan prosedur pengelolaan data yang komprehensif dan pengelolaan keamanan informasi dengan menggunakan metodologi yakni penilaian tingkat kinerja dan tingkat kematangan berdasarkan cobit 4.1, penilaian risiko keamanan informasi SNI ISO/IEC 27001:2009, perancangan kebijakan dan prosedur pengelolaan integritas data 2. Firman Agung Suryono, 2013, “Perancangan Perangkat Audit keamanan Informasi: studi kasus Pusat Komunikasi-Kementerian Luar Negeri”. Tujuan penelitian ini adalah menghasilkan sebuah perangkat audit keamanan informasi yang dapat digunakan untuk menilai aspek keamanan informasi yang berhubungan dengan tata kelola keamanan informasi dan kontrol teknis keamanan informasi di Kementerian Luar Negeri. 3. Lynne Gerke dan Gail Ridley. 2006, “Towards an abbreviated COBIT framework for use in an Australian State Public Sector”. Tujuan dari penelitian ini adalah mencari high level control objective untuk COBIT yang paling penting di 30 sektor publik yang ada di Australia. Metodologi yang digunakan dalam penelitian ini adalah pengambilan data yang akan diolah dari 30 Universitas Indonesia


26 organisasi publik di Australia, kemudian menganalisa data yang telah dikumpulkan dengan metode linkert-type scale sehingga didapat 17 aktivitas pengendalian yang paling pengaruh di 30 organisasi publik tersebut. Berbeda dengan penelitian yang dilakukan oleh Nur indrawati (2013) seperti penjelasan diatas yang melakukan perancangan kebijakan dan prosedur pengelolaan integritas data. Penelitian yang akan dilakukan adalah membuat alat bantu dan kerangka kerja dalam bentuk program audit untuk menilai risiko keamanan informasi, dimana memiliki kesamaan dengan penelitian yang dilakukan oleh Firman Agung Suyono (2013) akan tetapi prosedur penilaian risiko keamanan informasi yang dihasilkan dari penelitian ini akan disesuaikan dengan kondisi obyek yang diperiksa sedangkan framework yang akan digunakan pada penelitian ini memiliki kesamaan dengan penelitian Nur indrawati (2013) yakni menggunakan ISO 27001. Control objective yang dijadikan program audit untuk penilaian risiko keamanan informasi disesuaikan dengan kondisi yang ada di pemerintah daerah dengan melakukan wawancara terhadap pemeriksa senior dan pejabat BPK RI seperti penelitian yang dilakukan oleh Lynne Gerke dan Gail Ridley (2006). 2.9

Kerangka Teori Penelitian (Theoretical Framework)

Kerangka teori penelitian atau theoretical framework digunakan untuk menggambarkan teori-teori yang digunakan dalam penelitian dan bagaimana teori-teori tersebut dipadukan menjadi suatu desain penelitian yang dapat menghasilkan kesimpulan atau hasil penelitian.



27 Kerangka teori penelitian ini dapat dilihat pada Gambar 2.7 berikut: ISO 27001

Alat Bantu dan Kerangka Kerja Penilaian Risiko keamanan informasi dalam bentuk Program Audit

Standar Pemeriksaan Keuangan Negara BPK RI

Gambar 2.7 Theoritical Framework



BAB 3 METODOLOGI PENELITIAN

Metodologi adalah langkah-langkah sistematis atau sekumpulan metode yang digunakan untuk menyelesaikan suatu permasalahan. Sebagai langkah sistematis, metodologi terdiri dari masukan (input), proses dan keluaran (ouput) seperti yang terlihat pada Gambar 3.1. Metodologi Penelitian Input

Proses

Output

Mulai

Laporan Ditama Revbang BPK RI

Analisa organisasi (Identifikasi Permasalahan)

Analisa Fish Bone

Observasi

Perumusan Masalah

Research Question

Jurnal, buku, peraturan

Studi Literatur

Theoritical Framework

Penentuan prioritas Control Objective ISO 27001

Control Objective ISO 27001

Hasil Wawancara

Hasil Pengolahan data

Pengambilan data dengan wawancara

Hasil Wawancara

Pengolahan data

Hasil Pengolahan data

Penentuan prioritas control objective

Control Objective terpilih

Pembuatan Alat Bantu Penilaian Risiko Keamanan Informasi Control Objective ISO 27001 terpilih FGD/Pendapat Ahli Draft Program Audit FGD/Pendapat Ahli Perbaikan Draft Program Audit sebelumnya

Model Konseptual

Draft Program Audit

Uji Publik

Perbaikan dan perubahan draft

Validasi Program Audit

Perbaikan dan perubahan draft

Rancangan Program Audit

Program Audit Penilaian Resiko Keamanan TI

Kesimpulan dan saran

Selesai

Gambar 3.1 Metodologi Penelitian

28



29

Berikut masing-masing penjelasan dari tiap-tiap tahapan penelitian 3.1

Identifikasi Permasalahan

Perumusan masalah dilakukan dengan menggunakan studi literatur dan observasi. Studi literatur awal pada langkah ini adalah melihat dokumen laporan Ditama Revbang BPK RI. Dokumen ini menunjukkan bahwa terdapat permasalahan dalam penerbitan LHP di BPK, kemudian dilakukan penelusuran terhadap penyebab permasalahan tersebut. Penelusuran dilakukan dengan observasi. Hasil observasi adalah keterbatasan SDM dan prosedur pemeriksaan yang dilakukan menjadi

penyebab

utama

permasalahan.

Permasalahan

dalam

prosedur

pemeriksaan adalah belum adanya penilaian risiko pada area pemeriksaan sehingga tidak ada area yang menjadi fokus pemeriksaan selain karena keterbatasan sumber daya untuk pemeriksaan alasan perlunya dilakukan penilaian risiko pada pemeriksaan keuangan adalah menurut Standar Pemeriksaan Keuangan Negara (SPKN) diatur mengenai penialain risiko tersebut. Salah satu aspek penting dalam penilaian risiko adalah penilaian risiko keamanan informasi yang meliputi aspek non TI dan aspek TI. Aspek TI berpengaruh pada penilaian risiko keamanan informasi dengan melihat hasil studi literatur pada laporan Direktorat Jenderal Perimbangan Keuangan Kementerian Keuangan mengenai penyelenggaraan SIKD

menunjukkan bahwa instansi pemerintah

sebagian besar menggunakan sistem informasi untuk penyusunan laporan keuangannya. Hasil observasi yang lain adalah belum ada prosedur penilaian risiko TI yang baku untuk mendukung proses perencanaan pemeriksaan yang sesuai dengan SPKN. Hasil yang diperoleh pada tahapan ini adalah Research Question. 3.2

Melakukan Studi Literatur

Studi literatur dilakukan untuk mencari teori dan praktik/best practice yang relevan dengan permasalahan (research question). Topik yang dipilih yaitu mengenai hubungan risiko keamanan informasi dengan Risk Based Audit pada Universitas Indonesia


30 pemeriksaan laporan keuangan, sistem pengelolaan keuangan daerah, program audit, ISO 27001, dan Penelitian terdahulu/best practice, antara lain (Nur indrawati, 2013), (Firman Agung Suryono, 2013) dan (Lynne Gerke dan Gail Ridley, 2006). Hasil dari proses ini adalah control objective yang ada dalam ISO 27001 dan kerangka teori (theoritical framework) yang berasal dari teori dan framework. 3.3

Pengambilan data

Data yang diambil dalam penelitian ini menggunakan wawancara. Panduan wawancara atau form wawancara yang diberikan terdiri dari tiga bagian. Bagian pertama berisi penjelasan mengenai maksud dan tujuan dari pengambilan data serta kilasan mengenai ISO 27001 sedangkan bagian kedua berisi identitas narasumber dan bagian terakhir berisi aktivitas pengendalian yang ada di ISO 27001. Penyusunan panduan wawancara dilakukan dengan menerjemahkan aktivitas pengendalian yang ada di ISO 27001. Proses tersebut menjadi item pertanyaan dengan menggunakan skala untuk menilai tingkat kepentingan dalam penilaian risiko keamanan informasi prosedur akuntansi sistem pengelolaan keuangan pemerintah daerah yang akan dilakukan oleh auditor BPK pada proses perencanaan pemeriksaan laporan keuangan pemerintah daerah. Penggunaan skala ini akan mempermudah bagi peneliti dan narasumber untuk mendapatkan nilai kepentingan dari setiap aktivitas yang ada di ISO 27001. Pengukuran menggunakan empat skala, yakni skala N (tidak mungkin diterapkan), skala 1 (tidak penting), skala 2 (cukup penting), skala 3 (penting). Narasumber pada awalnya akan diwawancara mengenai hal-hal yang penting terkait keamanan informasi dalam pengelolaan keuangan pemerintah daerah kemudian narasumber akan memilih skala tersebut untuk setiap pertanyaan yang ada. Panduan yang diberikan oleh narasumber dapat dilihat pada Lampiran 1. Pertanyaan ini diajukan kepada beberapa auditor BPK yang memiliki karakteristik sebagai berikut:



31 a. Auditor BPK yang memiliki peran sebagai Ketua Tim Senior. Ketua Tim Senior memiliki pengalaman dalam pemeriksaan laporan keuangan lebih dari 12 tahun keatas sehingga diharapkan lebih memahami aktivitas yang sangat diperlukan dalam penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah. b. Auditor BPK yang memiliki pengalaman dalam hal pelatihan audit sistem informasi/ teknologi informasi sehingga diharapkan dapat mengetahui langkah audit yang diperlukan dalam menilai aktivitas pengendalian keamanan informasi. c. Auditor BPK yang memiliki kompetensi terkait audit sistem informasi berupa pengalaman audit sistem informasi dan kepemilikan sertifikat pemeriksa sistem informasi/teknologi informasi Certified Information System Auditor (CISA) sehingga diharapkan dapat mengetahui langkah-langkah audit untuk menilai risiko keamanan informasi dalam pengelolaan keuangan pemerintah daerah. Selain itu dilakukan wawancara lanjutan pada pejabat eselon I di BPK RI terkait pengelolaan aktivitas keamanan informasi yang mana bisa dijadikan pertimbangan dalam penentuan control objective sehingga akan didapatkan validasi aktivitas pengendalian ISO 27001 yang dapat dijadikan bahan untuk penyusunan alat bantu dan kerangka kerja penilaian risiko keamanan informasi. Hasil dari langkah ini adalah daftar peringkat dari Control Objective yang berpengaruh di organisasi pemerintah. 3.4

Analisis Data

Analisis data untuk pemilihan control objective dilakukan dengan cara data wawancara. Data wawancara yang akan diolah dan dianalisa adalah data hasil wawancara mengenai pemeringkatan kepentingan setiap control objective di ISO 27001. Hasil dari analisis data adalah control objective ISO 27001 yang paling berpengaruh bagi instansi pemerintah dan memiliki skala prioritas yang paling tinggi dan telah divalidasi oleh pejabat BPK RI. Control objective inilah yang akan dijadikan dasar dalam perancangan alat bantu dan kerangka kerja penilaian



32 risiko keamanan informasi pada proses akuntansi pengelolaan keuangan pemerintah daerah. 3.4.1 Analisis Proses Akuntansi SIPKD Langkah ini adalah melakukan analisa terhadap prosedur akuntansi sistem pengelolaan keuangan pemerintah daerah yang mana setiap prosedur akuntansi terdiri dari beberapa proses. Setiap proses dari prosedur akuntansi tersebut memiliki karakteristik yang berbeda-beda sehingga membutuhkan praktik-praktik pengendalian yang berbeda juga terkait risiko keamanan informasinya. 3.4.2

Analisis Pemetaan Prosedur Akuntansi dengan Praktik-Praktik

Pengendalian dari Aktivitas di ISO 27001 Langkah ini adalah adalah malakukan analisa pemetaan proses yang ada dalam prosedur akuntasi sistem pengelolaan keuangan pemerintah daerah dengan praktik-praktik pengendalian dari aktivitas yang ada di ISO 27001 yang telah terpilih melalui wawancara dengan auditor dan pejabat di BPK RI. 3.5

Perancangan model konseptual

Perancangan kerangka kerja untuk penilaian risiko keamanan informasi dalam bentuk program audit di BPK RI dibuat berdasarkan control objective dari ISO 27001 yang terpilih melalui pengolahan data kualitatif selain itu kerangka kerja dan alat bantu untuk penilaian risiko keamanan informasi ini disusun dengan memerhatikan Standar Pemeriksaan Keuangan Negara BPK RI sebagai standar untuk pembuatan prosedur dalam perencanaan pemeriksaan yakni penilaian risiko informasi, kemudian langkah ini akan dilakukan pendefinisian bukti audit dari setiap program audit yang dirancang sehingga hasil dari langkah ini tidak hanya rancangan kerangka kerja untuk penilaiain risiko keamanan informasi dalam bentuk program audit melainkan beserta bukti audit yang diperlukan untuk setiap program. Program audit dibentuk dari hasil penjabaran praktik-praktik dari setiap aktivitas terpilih yang merupakan adopsi dari ISO 27001, praktik-praktik tersebut



33 mencakup langkah audit yang diperlukan dalam penilaian risiko kemanan informasi pengelolaan keuangan daerah. Bukti audit diperoleh dari hasil wawancara dengan salah satu pejabat di pemerintah daerah sehingga bukti audit yang didefinisikan adalah bentuk proses dan dokumentasi yang ada dan diterapkan di pemerintah daerah. Perancangan dilakukan dengan mengelompokkan aktivitas pengendalian yang telah terpilih ke dalam beberapa kelompok atau ruang lingkup audit. pengelompokan aktivitas pengendalian didasarkan pada sasaran dan tujuan dari aktivitas pengendalian, aktivitas yang memiliki tujuan yang sama maka akan dikelompokkan ke dalam ruang lingkup yang sama. Setelah pengelompokan aktivitas pengendalian ke dalam ruang lingkup audit maka dirancanglah kerangka kerja untuk penilaian risiko. Kerangka kerja penilaian risiko ini merupakan tahapan-tahapan yang dapat dilakukan oleh auditor dalam menilai risiko keamanan informasi di pemerintah daerah. Perancangan tahapan dari proses penilaian risiko adalah sebagai berikut. 3.5.1 Perancangan Penetapan Kelemahan dan Ancaman Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi ancaman dan menimbulkan risiko bagi organisasi. Sedangkan ancaman mengambil keuntungan dari kelemahan yang dimiliki organisasi dan menimbulkan risiko bagi organisasi.

Untuk mengetahui kelemahan dan ancaman yang dimiliki organisasi

maka perlu dilakukan analisis.

Perancangan analisis kelemahan dan ancaman

didapat dari melihat hasil audit yakni melihat kesesuaian kondisi organisasi dengan kondisi ideal yang ada dalam daftar bukti audit. 3.5.2 Perancangan analisis dampak dan likelihood Perancangan analisis dampak dan likelihood sama dengan analisis dalam ISO 27001. Perancangan analisis dampak dan likelihood yakni mendefinisikan indikator-indikator dampak dan likelihood yang dapat dilihat dari masing-masing



34 risiko di ruang lingkup audit dan masing-masing risiko di tiap aktivitas pengendalian. Tingkat penilaian dampak adalah Extreme, Major, Moderate, Minor dan Insignificant sedangkan untuk tingkat penilaian likelihood adalah Almost certain, Likely, Moderate, Unlikely dan Rare. Tingkatan ini dapat diperoleh melalui wawancara dan kuesioner yang diberikan auditor kepada entitas/organisasi yang diperiksa. Penilaian dampak dan kecenderungan setiap aktivitas pengendalian didapat dari pemberikan kuesioner oleh pemeriksa kepada organisasi yang diperiksa, pembuatan

kuesioner

didasarkan

pada

indikator-indikator

yang

telah

diidentifikasi. Indikator didapat dari klausal-klausal yang ada dalam ISO 27001 untuk setiap ruang lingkup pemeriksaan dan setiap aktivitas pengendalian. 3.5.3 Penilaian tingkat risiko Penilaian tingkat risiko merupakan perhitungan yang menghasilkan rating numerik aset berbasis risiko untuk ancaman dan kecenderungan. Penilaian tingkat risiko dilakukan untuk mengetahui mana risiko yang tinggi dan akan menjadi prioritas untuk diamankan dari gangguan. Penilaian tingkat risiko oleh auditor untuk jenis risiko dilakukan dengan cara: 1. Menjumlahkan skor dampak kemudian membagi dengan jumlah indikator sehingga didapatkan nilai rata-rata. 2. Menjumlahkan skor kecenderungan kemudian membagi dengan jumlah indikator sehingga didapatkan nilai rata-rata. 3. Nilai risiko secara keseluruhan didapat dari perkalian nilai risiko dampak dengan nilai risiko kecenderungan dalam matriks risiko pada Gambar 3.2 ini



35

Gambar 3.2 Matriks penentuan tingkat risiko

Gambar 3.2 juga dapat digunakan oleh auditor dalam menentukan tingkatan risiko untuk masing-masing aktivitas pengendalian yang telah terpilih diatas. 3.5.4 Analisis Prioritas risiko Berdasarkan hasil penilaian tingkat risiko diperoleh nilai risiko dari masingmasing jenis risiko dan risiko secara keseluruhan. Kemudian dilakukan analisis terhadap nilai risiko yang telah diperoleh. Risiko yang memiliki nilai tinggi akan menjadi prioritas. Analisis prioritas risiko dilakukan untuk menentukan fokus pemeriksaan selanjutnya. 3.5.5 Menganalisis rekomendasi kontrol Rekomendasi kontrol merupakan perkiraan tingkat risiko yang harus dihadapi serta menentukan apakah risiko yang dihadapi dapat diterima atau membutuhkan perbaikan. Perbaikan-perbaikan yang direkomendasikan kemudian dianalisis apakah dapat diterima oleh organisasi dengan melihat kemampuan organisasi baik dari segi anggaran maupun sumber daya manusia. Kontrol dibuat berdasarkan hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko sehingga



36 menghasilkan daftar rekomendasi kontrol. Daftar rekomendasi kontrol inilah menjadi input bagi tahap mitigasi risiko yang direkomendasikan. 3.6

Uji publik rancangan

Pengujian kepada publik dengan melibatkan para ahli dari pemerintah daerah untuk mengujicobakan alat bantu dan kerangka kerja penilaian risiko keamanan informasi yang akan dibuat menggunakan analisis kualitatif dan kuantitatif yakni dengan wawancara, FGD dan kuesioner. Langkah ini diharapkan dapat membuat perbaikan model konseptual dari rancangan alat bantu dan kerangka kerja penilaian risiko keamanan informasi sehingga prosedur ini dapat sesuai dan mudah dipahami oleh para pemeriksa di BPK RI. Ujicoba alat bantu dan kerangka kerja untuk penilaian risiko keamanan informasi dilakukan oleh beberapa pemeriksa BPK RI di Pemerintah Daerah Kota Tangerang. Pertama dilakukan wawancara dan observasi dalam pengisian formulir yang ada dalam kerangka kerja penilaian risiko. Pengisian formulir berdasarkan program audit yang diberikan kepada pemeriksa. Kedua pemeriksa memberikan kuesioner untuk mendapatkan nilai dampak dan kecenderungan dari setiap aktivitas dengan menggunakan indikator-indikator yang telah ada dalam kerangka kerja selain itu pemeriksa juga mengoperasikan alat bantu yang ada dengan memasukkan data hasil penilaian risiko. Hasil dari langkah ini berupa rancangan kerangka kerja dan alat bantu penilaian risiko keamanan informasi dalam bentuk program audit yang telah di uji cobakan kepada publik. 3.7

Validasi rancangan alat bantu dan kerangka kerja

Validasi rancangan alat bantu dan kerangka kerja penilaian risiko keamanan informasi dalam bentuk program audit dilakukan dengan analisis kualitatif yakni dengan wawancara dan FGD. Langkah ini dilakukan dengan melibatkan para ahli dari BPK RI, diharapkan rancangan prosedur yang diperoleh benar-benar valid.



37 Hasil dari langkah ini berupa rancangan alat bantu dan kerangka kerja penilaian risiko keamanan informasi dalam bentuk program audit yang telah di validasi. 3.8

Simpulan dan Saran

Simpulan dalam penelitian ini diambil secara deduktif maupun induktif. Langkah ini menghasilkan simpulan dan saran penelitian.



BAB 4 PROFIL ORGANISASI

Bab 4 ini akan menjelaskan profil organisasi yang dijadikan objek penelitian meliputi identifikasi organisasi, struktur organisasi, visi, misi dan nilai dasar BPK RI. Selain itu akan dijabarkan mengenai proses penilaian risiko dalam perencanaan pemeriksaan laporan keuangan oleh BPK RI. 4.1

Identifikasi Organisasi

BPK RI adalah lembaga Negara yang bertugas untuk memeriksa pengelolaan dan tanggung jawab keuangan Negara sebagaimana dimaksud dalam UUD Negara RI Tahun 1945. BPK RI berkedudukan di Ibu Kota Negara dan memiliki kantor perwakilan di setiap Ibu Kota Provinsi. Secara hukum kedudukan BPK RI diatur dalam UUD 1945 pada pasal 23e, 23f dan 23g serta Undang-Undang (UU) No 15/2006 tentang BPK. BPK bertugas memeriksa pengelolaan dan tanggung jawab keuangan Negara yang dilakukan oleh Pemeritah Pusat, Pemerintah Daerah, Lembaga Negara lainnya, Bank Indonesia, Badan Usaha Milik Negara (BUMN), Badan Layanan Umum (BLU), Badan Usaha Milik Daerah (BUMD), dan lembaga atau badan lain yang mengelola keuangan Negara. Pihak-pihak yang berkepetingan terhadap hasil pemeriksaan yang telah dilakukan oleh BPK meliputi : a. Lembaga perwakilan (DPR, DPD, DPRD); b. Pemerintah (instansi pemerintah yang diperiksa/entitas dan instansi penegak hukum); c. Lembaga lain yang dibentuk berdasarkan UU; d. Warga Negara Indonesia/Masyarakat; dan e. Lembaga-lembaga internasional.

38



39 4.2

Struktur Organisasi

Sesuai dengan Keputusan Ketua BPK RI Nomor 34/K/I-VIII.3/6/2007 tentang Struktur Organisasi Badan Pemeriksa Keuangan Republik Indonesia. Struktur Organisasi BPK RI adalah sebagai berikut : Secara garis besar struktur tersebut terdiri atas bagian-bagian sebagai berikut: 1. Pimpinan BPK berjumlah Sembilan orang yang terdiri atas ketua, wakil ketua dan tujuh orang ketua. 2. Pejabat eselon I berjumlah 11 orang dimana fungsi pemeriksaan keuangan dijalankan tujuh pejabat sebagai Auditor Utama Keuangan Negara (AKN) dan fungsi pendukung dijalankan oleh empat pejabat lainnya. 3. 33 perwakilan BPK RI dibagi menjadi dua wilayah dan berada di bawah pimpinan Auditor Utama V untuk wilayah barat dan Auditor Utama VI untuk wilayah timur. 4. Biro Teknologi

Informasi selaku pengelola dan penanggung jawab

pengembangan teknologi informasi pada BPK berposisi sebagai pejabat eselon II di bawah tanggung jawab Sekretariat Jenderal.

Gambar 4.1 Struktur Organisasi BPK RI (Sumber : Keputusan BPK RI Nomor 34/K/IVIII.3/6/2007)



40 4.3

Visi, Misi, dan Nilai Dasar BPK

Visi BPK RI adalah menjadi lembaga pemeriksa keuangan Negara yang kredibel dengan menjunjung tinggi nilai-nilai dasar untuk berperan aktif dalam mendorong terwujudnya tata kelola keuangan Negara yang akuntabel dan transparan. Misi BPK RI adalah sebagai berikut : 1. Independensi, BPK RI menjunjung tinggi independensi, baik secara kelembagaan, organisasi, maupun individu. Dalam semua hal yang berkaitan dengan pekerjaan pemeriksaan. BPK RI bebas dalam sikap mental dan penampilan dari gangguan pribadi, ekstern, dan/atau organisasi yang dapat mempengaruhi independensi. 2. Integritas, BPK RI membangun nilai integritas dengan bersikap jujur, objektif, dan tegas dalam menerapkan prinsip, nilai dan keputusan. 3. Profesionalisme,

BPK

RI

membangun

nilai

profesionalisme

dengan

menerapkan prinsip kehati-hatian, kecermatan, serta berpedoman kepada standar yang berlaku 4.4

Penilaian Risiko dalam Pemeriksaan di BPK RI

4.4.1 Tahapan Penilaian Risiko dalam Metodologi Pemeriksaan Penilaian dan penyesuaian atas risiko merupakan salah satu langkah dalam tahap perencanaan dan pelaksanaan pemeriksaan laporan keuangan sebagaimana diatur dalam Petunjuk Pelaksanaan Pemeriksaan Keuangan. Petunjuk Pelaksanaan Pemeriksaan Keuangan di BPK RI menunjukkan bahwa pentingnya langkah penilaian risiko dalam pemeriksaan laporan keuangan sehingga pemeriksa BPK RI hanya berfokus pada area-area yang berisiko tinggi saja. Metodologi Pemeriksaan Keuangan sejak tahap perencanaan hingga pelaporan dapat dilihat dalam Gambar 4.2.



41

Gambar 4.2 Metodologi Pemeriksaan

Metodologi pemeriksaan pada Gambar 4.2 memperlihatkan bahwa penilaian risiko dilakukan pada tahap perencanaan dan tahap pelaksanaan pada pemeriksaan yakni penilaian risiko awal dan penilaian risiko akhir. 4.4.2 Kedudukan Panduan Penilaian Risiko Panduan Penilaian Risiko Pemeriksaan Keuangan merupakan pengaturan lebih lanjut dari Petunjuk Pelaksanaan Pemeriksaan Keuangan. Panduan penilaian risiko pemeriksaan keuangan yang ada di BPK RI digunakan untuk pedoman dalam menilai risiko pemeriksaan keuangan dan untuk menyeragamkan metode penilaian risiko dalam pemeriksaan keuangan. Hubungan panduan Penilaian Risiko Pemeriksaan Keuangan dengan Pedoman Pemeriksaan BPK dapat dilihat pada Gambar 4.3.



42

Gambar 4.3 Hierarki dan Hubungan Panduan Penilaian Risiko Pemeriksaan Keuangan dengan Pedoman Pemeriksaan BPK

Gambar 4.3 menunjukkan hierarki kedudukan panduan penilaian risiko dalam peraturan pemeriksaan keuangan negara di BPK RI. 4.4.3 Dasar Hukum Penilaian Risiko dalam Pemeriksaan Keuangan Penilaian risiko dalam pemeriksaan keuangan memiliki dasar hukum yang menjadi landasan dalam pelaksanaannya, yakni 1. Undang-Undang Nomor 15 Tahun 2004 tentang Pemeriksaan dan Tanggung Jawab Pengelolaan Keuangan Negara (Lembaran Negara Nomor 66 Tahun 2004, Tambahan Lembaran Negara Nomor 4400);



43 2. Undang-Undang Nomor 15 Tahun 2006 tentang Badan Pemeriksa Keuangan (Lembaran Negara Nomor 85 Tahun 2006, Tambahan Lembaran Negara Nomor 4654); 3. Peraturan Badan Pemeriksa Keuangan Nomor 1 Tahun 2007 tentang Standar Pemeriksaan Keuangan Negara (Lembaran Negara Nomor 42 Tahun 2007, Tambahan Lembaran Negara Nomor 4707); 4. Keputusan Badan Pemeriksa Keuangan Nomor 1/K/I.XIII.2/2/2008 Tahun 2008 tentang Panduan Manajemen Pemeriksaan sebagaimana telah diubah dengan Keputusan BPK Nomor 05/K/I-XIII.2/8/2009 tanggal 26 Agustus 2009 tentang Perubahan atas Keputusan BPK Nomor 1/K/IXIII. 2/2/2008 tentang Panduan Manajemen Pemeriksaan; 5. Keputusan Ketua Badan Pemeriksa Keuangan Republik Indonesia Nomor 34/K/I-VIII.3/6/2007 tentang Struktur Organisasi Badan Pemeriksa Keuangan Republik Indonesia; 6. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 39/K/IVIII.3/7/2007 tentang Organisasi dan Tata Kerja Pelaksana Badan Pemeriksa Keuangan Republik Indonesia; 7. Keputusan Badan Pemeriksa Keuangan Republik Indonesia Nomor 04/K/IXIII.2/5/2008 tentang Petunjuk Pelaksanaan Pemeriksaan Keuangan. Dasar hukum diatas memperlihatkan kekuatan atas pelaksanaan penilaian risiko dalam pemeriksaan keuangan oleh BPK RI. 4.4.4

Peranan Risiko Pemeriksaan di Perencanaan Pemeriksaan Laporan

Keuangan di BPK RI Risiko Pemeriksaan atau Audit Risk adalah risiko yang timbul karena pemeriksa, tanpa disadari, tidak memodifikasi opininya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material. Pemeriksa menetapkan risiko pemeriksaan dalam pemeriksaan keuangan pada tingkat keyakinan yang memadai untuk bisa memberikan opini atas laporan keuangan yang diperiksa.



44 AR berkaitan dengan seberapa besar kemungkinan (probabilitas) pemeriksa menyimpulkan bahwa semua asersi yang disajikan dalam laporan keuangan yang disusun oleh manajemen (entitas) secara material adalah benar, padahal terdapat asersi yang keliru secara material. Kekeliruan dan salah saji (error dan misstatements) dapat terjadi karena bermacam-macam faktor, antara lain: transaksi hilang atau terabaikan dari sistem akuntansi, pemrosesan transaksi tidak akurat, pemalsuan dokumen-dokumen pendukung laporan keuangan, pemilihan kebijakan akuntansi yang tidak tepat, dan sebagainya. Pemeriksa kemudian menetapkan risiko pemeriksaan pada tingkat keyakinan yang memadai (reasonable assurance) sebagai dasar pemberian opini atas laporan keuangan yang diperiksa. Dalam mempertimbangkan risiko pemeriksaan laporan keuangan secara keseluruhan, pemeriksa harus mempertimbangkan risiko salah saji material yang berpotensi memengaruhi asersi. Ada lima aspek yang dinilai dapat berpengaruh pada Risiko Pemeriksaan, yaitu: 1. Perubahan kebijakan, lingkungan operasi dan peraturan perundang-undangan. 2. Hubungan dengan stakeholder. 3. Risiko kinerja keuangan. 4. Tujuan, sasaran dan strategi entitas. 5. Risiko keamanan informasi. Pada setiap aspek yang dinilai, pemeriksa menganalisis bagaimana aspek tersebut berpengaruh terhadap entitas yang diperiksa. Analisis tersebut menyangkut seberapa signifikan tingkat risikonya, apakah entitas memiliki pengendalian internal yang cukup untuk memitigasi risiko sesuai dengan aspek yang dinilai, bagaimana respons audit terhadap risiko yang teridentifikasi dan apa saja prosedur audit yang harus dilakukan.



BAB 5 HASIL DAN PEMBAHASAN

Bab 5 ini akan dijelaskan mengenai hasil pengolahan data, hasil analisa data sampai dengan perancangan kerangka kerja dan alat bantu penilaian risiko keamanan informasi pada prosedur akuntansi sistem pengelolaan keuangan pemerintah daerah. 5.1

Hasil wawancara awal

Hasil wawancara kepada empat narasumber yakni auditor BPK yang memiliki peran sebagai Ketua Tim Senior dan auditor BPK yang memiliki kompetensi terkait audit sistem informasi berupa pengalaman audit sistem informasi dan kepemilikan sertifikat pemeriksa sistem informasi/teknologi informasi Certified Information System Auditor (CISA) dengan rincian hasil pengambilan data awal ini dapat dilihat pada Lampiran 2. Setiap aktivitas akan diberi nilai sesuai tingkat kepentingan oleh narasumber selain perhitungan nilai tingkat kepentingan dari setiap aktivitas dipertimbangkan juga hasil wawancara berupa pernyataan terbuka yang ada, hasil rata-rata yang diperoleh dari tiap pertanyaan atau tiap aktivitas pengendalian akan dilakukan pembulatan keatas yakni: a. Nilai rata-rata >= 2.5 akan bernilai 3. Nilai 3 ini memiliki pengertian bahwa aktivitas pengendalian ini memiliki skala penilaian yang tinggi yakni penting dalam proses penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah. b. Nilai rata-rata <2.5 dan >=1.5 akan bernilai 2. Nilai 2 ini memiliki pengertian bahwa aktivitas pengendalian ini memiliki skala penilaian yang cukup tinggi yakni cukup penting dalam proses penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah. c. Nilai rata-rata <1.5 dan >=1 akan bernilai 1. Nilai 1 ini memiliki pengertian bahwa aktivitas pengendalian ini memiliki skala penilaian risiko yang tidak

45



46 tinggi akan tetapi masih memiliki kemungkinan untuk diterapkan yakni tidak penting dalam proses penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah. d. Nilai rata-rata <1 akan bernilai 0. Nilai 0 ini memiliki pengertian bahwa aktivitas pengendalian ini memiliki skala penilaian yang rendah yakni tidak mungkin diterapkan dalam proses penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah. Hasil tabulasi dari proses pengambilan data awal dapat dilihat pada Tabel 5.1 ini sedangkan rincian hasil tabulasi dari wawancara dapat dilihat pada Lampiran 2. Tabel 5.1 Hasil Tabulasi pengambilan data awal Kode Aktivitas Pengendalian

Proses

A.5

Security Policy

A.5.1

Mendokumentasikan Information Security Policy

A.5.2

Kajian Information Security Policy

A.6

Organisasi Keamanan Informasi

A.6.1

Organisasi internal

A.6.2

Organisasi eksternal

A.7

Pengolahan Aset

A.7.1

Tanggung jawab terhadap aset

A.7.2

Klasifikasi informasi

A.8

Keamanan Sumberdaya manusianya

A.8.1

Sebelum dipekerjakan

A.8.2

Selama bekerja

A.8.3

Pengakhiran atau perubahan pekerjaan

A.9

Keamanan Fisik dan Lingkungan

A.9.1

Area yang aman

A.9.2

Keamanan Peralatan

A.10

Manajemen Komunikasi dan Operasi

A.10.1

Prosedur Operasional dan Tanggung jawab

Ratarata

Pembu latan

Tingkat

2,5

3

Penting

2,75

3

Penting

3

3

Penting

2,75

3

Penting

3

3

Penting

2,5

3

Penting

2

2

Cukup penting

2,5

3

Penting

2,75

3

Penting

2,5

3

Penting

2,25

1

Tidak penting

2

2

Cukup



47 Kode Aktivitas Pengendalian

Proses

Ratarata

Pembu latan

Tingkat penting

2

2

Cukup penting

Perencanaan dan Keberterimaan Sistem

2,5

3

Penting

A.10.4

Perlindungan terhadap malicious dan mobile code

1,5

2

Cukup penting

A.10.5

Back-up

2,75

3

Penting

A.10.6

Manajemen Keamanan Jaringan

2,25

2

Cukup penting

A.10.7

Penanganan Media

1,5

2

Cukup penting

A.10.8

Pertukaran informasi

2

2

Cukup penting

0

0

Tidak mugkin diterapkan

2,5

3

Penting

2,5

3

Penting

2

2

Cukup penting

A.10.2

Manajemen Pelayanan Jasa Pihak Ketiga

A.10.3

A.10.9

Layanan electronic commerce

A.10.10

Pemantauan

A.11

Pengendalian Akses

A.11.1

Persyaratan bisnis untuk pengendalian akses

A.11.2

Manajemen akses pengguna

A.11.3

Tanggung jawab pengguna

2,5

3

Penting

A.11.4

Pengendalian akses jaringan

2,5

3

Penting

A.11.5

Pengendalian akses sistem operasi

2,5

3

Penting

A.11.6

Pengendalian akses aplikasi dan informasi

2,5

3

Penting

A.11.7

Mobile computing dan kerja jarak jauh

0,75

1

Tidak penting

A.12

Akusisi, pengembangan dan pemeliharaan sistem informasi

A.12.1

Persyaratan keamanan dari sistem informasi

2

2

Cukup penting

A.12.2

Pengolahan yang benar dalam aplikasi

3

3

Penting

A.12.3

Pengendalian dengan cara kriptografi

1,75

2

Cukup penting

A.12.4

Keamanan sistem file

2,75

3

Penting

2,5

3

Penting

A.12.5

Keamanan dalam proses pengembangan




Proses

Ratarata

Pembu latan

Tingkat

2,25

2

Cukup penting

2,5

3

Penting

3

3

Penting

2,25

2

Cukup penting

dan pendukung A.12.6

Manajemen Kerawanan Teknis

A.13

Manajemen Insiden Keamanan Informasi

A.13.1

Pelaporan kejadian dan kelemahan keamanan informasi

A.13.2

Manajemen insiden keamanan informasi dan perbaikan

A.14

Manajemen Keberlanjutan Bisnis ( Businees Continuity Management )

A.14.1

Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis

A15

Kesesuaian

A.15.1

Kesesuaian dengan persyaratan umum

2,75

3

Penting

A.15.2

Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis

2,25

2

Cukup penting

A.15.3

Pertimbangan audit sistem informasi

2,75

3

Penting

Tabel 5.1 menunjukkan tingkat kepentingan setiap aktivitas pengendalian yakni penting, cukup penting, tidak penting dan tidak mungkin diterapkan dalam proses penyusunan program audit penilaian risiko keamanan informasi untuk pengelolaan keuangan pemerintah daerah. 5.1.1 Pemilihan aktivitas pengendalian Pemilihan atas aktivitas pengendalian didapat dari tabel tabulasi yang telah dipaparkan diatas. Aktivitas yang akan dijadikan bahan untuk penyusunan program audit penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah adalah aktivitas yang memiliki status tingkat penting selain itu dilakukan review lanjutan atas aktivitas pengendalian yang memiliki status tingkat cukup penting oleh peneliti. Review lanjutan berupa hasil pemetaan aktivitas yang memilki status “cukup penting” dengan status “penting”. Pemetaan



49 dilakukan atas dasar kemiripan lingkup yang ada pada masing-masing aktivitas. Berikut hasil pemetaan aktivitas

Gambar 5. 1 Pemetaan aktivitas “cukup penting” dengan “penting”

Gambar 5.1 menunjukkan bahwa aktivitas dengan kode A.10.6 dan A.11.2 memiliki kesamaan ruang lingkup dengan aktivitas kode A.11.4, A.11.5, dan A.11.6 Berikut adalah penjelasan dari masing-masing pemetaan diatas: a. Aktivitas A.10.6 memiliki lingkup pengendalian yakni perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung sedangkan lingkup aktivitas A.11.4 adalah pengendalian berupa pencegahan akses ke dalam



50 layanan jaringan. Kedua aktivitas ini memliki kesamaan lingkup yakni perlindungan informasi dalam jaringan baik pengendalian akses jaringan maupun perlindungan atas infrastruktur jaringanya. b. Aktivitas A.11.2 memiliki lingkup yakni memastikan akses oleh pengguna yang sah. Aktivitas ini tidak memiliki kesamaan lingkup dengan tiga aktivitas yang lainnya A.11.4, A.11.5, dan A.11.6 hanya saja tiga aktivitas membaginya menjadi pengendalian akses yang lebih detail yakni akses jaringan, sistem operasi dan aplikasi dan informasi. Pemetaan diatas membuat aktivitas A10.6 dan A.11.2 menjadi status “penting” untuk dijadikan bahan dalam pembuatan program audit untuk penilaian risiko keamanan informasi. Proses review tidak hanya dilakukan dengan pemetaan lingkup dari aktivitas “penting” dengan aktivitas “cukup penting” akan tetapi peneliti melakukan wawancara tambahan kepada pejabat eselon 1 di BPK RI untuk melakukan review atas pemilihan aktivitas yang akan dijadikan bahan untuk program audit penilaian risiko keamanan informasi. Hasil review dapat dilihat pada Tabel 5.2. Tabel 5.2 menunjukkan bahwa ada beberapa aktivitas yang dipertimbangkan untuk masuk dalam aktivitas penting dalam penyusunan program audit penilaian risiko keamanan informasi. Berikut adalah masing-masing penjelasan atas aktivitas yang dipertimbangkan: a.

Aktivitas A.12.3 Pengendalian dengan cara kriptografi dipertimbangkan untuk masuk dalam perancangan alat bantu penilaian risiko keamanan informasi karena tingkat pengamanan secara teknis lebih mudah diterapkan daripada tingkat manajemen.

b.

Aktivitas A.9.2 keamanan peralatan dipertimbangkan karena aktivitas ini untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset pada organisasi. Peralatan yang ada merupakan akun AKTIVA yang mana risiko perlindungan atas peralatan akan mempengaruhi juga pada tingkat risiko pada pelaporan keuangan pemerintah daerah. Universitas Indonesia


51

Tabel 5.2 Hasil review pejabat BPK RI Status "cukup penting" Kode Aktivitas Pengendalian

Proses

A.8.1

Sebelum dipekerjakan

A.10.1

Prosedur Operasional dan Tanggung jawab

A.10.2


A.10.4

Perlindungan terhadap malicious dan mobile code

A.10.7

Penanganan Media

A.10.8


A.12.1

Persyaratan keamanan dari sistem informasi

A.12.3


A.12.6

Manajemen Kerawanan Teknis Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis

A.14.1 A.15.2

Keterangan Review

Dipertimbangkan penting

Status "tidak penting" A.9.2

Keamanan Peralatan

A.11.7

Mobile computing dan kerja jarak jauh

Dipertimbangkan penting

Hasil analisa diatas menghasilkan daftar aktivitas pengendalian dari ISO 27001 yang memiiki kepentingan tinggi dalam penentuan program audit yang dibutuhkan untuk penilaian risiko keamanan informasi pada pengelolaan keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan keuangan. Berikut adalah daftar aktivitas dengan status “penting” dapat dilihat pada Tabel 5.3 yang menunjukkan bahwa 29 aktivitas pengendalian yang terpilih dalam Tabel 5.2 akan dikembangkan menjadi rancangan awal program audit untuk penilaian risiko keamanan informasi pengelolaan keuangan. Rancangan awal ini juga didasarkan atas praktik dari setiap aktivitas yang diadopsi dari ISO 27001, sehingga praktik dari setiap aktivitas sebagai dasar untuk menyusun rancangan awal.



52 Tabel 5.3 Daftar aktivitas pengendalian dengan tingkat "penting"

Kode Aktivitas Pengendalian

Tingkat

Proses

A.5

Security Policy

A.5.1

Mendokumentasikan Information Security Policy

Penting

A.5.2


Penting

A.6

Organisasi Keamanan Informasi

A.6.1

Organisasi internal

Penting

A.6.2


Penting

A.7

Pengolahan Aset

A.7.1


Penting

A.7.2


Penting

A.8

Keamanan Sumberdaya manusianya

A.8.2

Selama bekerja

Penting

A.8.3


Penting

A.9

Keamanan Fisik dan Lingkungan

A.9.1

Area yang aman

Penting

A.9.2

Keamanan Peralatan

Penting

A.10

Manajemen Komunikasi dan Operasi

A.10.2


Penting

A.10.3


Penting

A.10.5

Back-up

Penting

A.10.8


Penting

A.10.10

Pemantauan

Penting

A.11

Pengendalian Akses

A.11.1


Penting

A.11.2


Penting

A.11.3


Penting

A.11.4


Penting

A.11.5


Penting

A.11.6


Penting

A.12

Akusisi, pengembangan dan pemeliharaan sistem informasi

A.12.2


Penting

A.12.3


Penting

A.12.4


Penting

A.12.5

Keamanan dalam proses pengembangan dan pendukung

Penting

A.13

Manajemen Insiden Keamanan Informasi

A.13.1


Penting

A.13.2


Penting

A15

Kesesuaian



53


Tingkat

Proses

A.15.1


Penting

A.15.3


Penting

Aktivitas-aktivitas yang ada dalam Tabel 5.3 akan dijadikan dasar dalam perancangan langkah audit untuk penilaiam risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah. 5.2

Analisa Aset Informasi dari Sistem Pengelolaan Keuangan Pemerintah

Daerah Sistem pengelolaan keuangan pemerintah daerah memiliki aset informasi yang meliputi pelaku (people), proses dan dokumen. Aset informasi ini akan saling berkaitan satu sama lain sehingga saat dilakukan penilaian risiko keamanan informasi dari proses sistem pengelolaan keuangan pemerintah daerah. 5.2.1

Analisa Prosedur Akuntansi pada Sistem Pengelolaan Keuangan

Pemerintah Daerah Prosedur akuntansi yang ada dalam sistem pengelolaan keuangan pemerintah daerah yang akan dilakukan analisa terdiri dari empat macam prosedur. Empat prosedur tersebut diantaranya prosedur akuntansi penganggaran, penerimaan kas, pengeluaran kas dan aset. Setiap prosedur yang ada memiliki aset informasi yang saling terkait. a. Prosedur akuntansi penganggaran Prosedur ini membahas prosedur akuntansi mengenai penetapan APBD, alokasi APBD, perubahan APBD, dan alokasi perubahan APBD masingmasing disertai ilustrasi. Prosedur

ini mencakup tiga aset informasi

fungsi/pihak terkait, proses dan dokumen. Hubungan ketiga aset informasi ini dapat dilihat pada Tabel 5.4. Tabel 5.4 Hubungan aset informasi pada prosedur akuntansi penganggaran Kode P.a.1

Proses Rancangan Dokumen Pelaksanaan Anggaran (DPA) dari Satuan Kerja Perangkat Daerah (SKPD)

Fungsi terkait  Pejabat Penatausahaan Keuangan SKPD (PPK-SKPD)

Dokumen  DPA SKPD



54 Kode P.a.2

Proses Rancangan DPA PPKD

P.a.3

Pencatatan anggaran SKPD berdasarkan DPA SKPD

P.a.4

Pencatatan anggaran PPKD berdasarkan DPA PPKD

Fungsi terkait  Pejabat Pengelola Keuangan Daerah (PPKD)  Pejabat Penatausahaan Keuangan SKPD (PPK-SKPD)

Dokumen  DPA PPKD

 Pejabat Pengelola Keuangan Daerah (PPKD)

 DPA PPKD  Jurnal PPKD  Neraca Saldo PPKD

 DPA SKPD  Jurnal SKPD  Neraca Saldo SKPD

Setiap proses memiliki karakteristik yang berbeda. Berikut ini adalah karakteristik setiap proses yang ada dalam prosedur akuntansi penganggaran: 1. Proses P.a.1 merupakan proses yang tidak bersifat rutin atau operasional karena hanya dilakukan pada momen tertentu saja yakni pada akhir tahun, penginputan dilakukan oleh semua satuan kerja di pemerintah daerah, dan adanya koordinasi dengan satuan kerja yang lain sehingga diperlukan prosedur atau kebijakan terkait keamanan informasi untuk proses ini. 2. Proses P.a.2 merupakan proses yang memiliki karakteristik yang sama dengan proses pada P.a.1 yakni bersifat tidak rutin dan inputan proses ini berasal dari proses yang lain. Proses ini memerlukan kebijakan atau prosedur yang berasal dari manajemen level atas terkait keamanan informasi. 3. Proses P.a.3 merupakan proses yang memiliki karakteristik adanya koneksi dengan proses yang lain, berkaitan erat dengan nilai akun pada laporan keuangan dan bersifat tidak rutin. Proses ini memerlukan pengendalian pengolahan yang benar dalam aplikasi dan keamanan dalam proses pengembangan sistem informasinya. 4. Proses P.a.4 memiliki karakteristik yang sama dengan proses P.a.3 sehingga output dari proses ini memiliki peran yang besar pada pelaporan keuangan



55 pemerintah daerah sehingga membutuhkan pengendalian terkait pengolahan yang benar dalam aplikasi. b. Prosedur akuntansi penerimaan kas Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksitransaksi penerimaan/aliran masuk ke kas daerah berupa pendapatan asli daerah, dana perimbangan, lain-lain pendapatan daerah yang sah dan penerimaan pembiayaan daerah. Transaksi penerimaan Pendapatan Asli Daerah antara lain diperoleh dari Pajak Daerah, Retribusi Daerah, Penerimaan Lain-lain Pendapatan Asli Daerah yang Sah seperti penjualan aktiva daerah yang tidak dipisahkan, penerimaan bunga deposito, jasa giro, denda, dan lain-lain. Penerimaan kas pemerintah daerah bersal dari tiga jenis sumber, yakni: 1. Penerimaan dari Pendapatan Asli Daerah. 2. Penerimaan dari Dana Perimbangan. 3. Penerimaan dari Pembiayaan.

Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada Tabel 5.5 ini. Tabel 5.5 Hubungan aset informasi pada prosedur akuntansi penerimaan kas Kode P.b.1

P.b.2 P.b.3 P.b.4

P.b.5

Proses Pencatatan penerimaan di Kas Umum Daerah Penetapan retribusi daerah Penetapan Pajak Daerah Pencatatan penerimaan di Bendahara penerimaan Pencatatan penerimaan oleh



  

Fungsi terkait Pejabat Pengelola Keuangan Daerah selaku Bendahara Umum Daerah/Kuasa Bendahara Umum Daerah Pejabat Pengelola Keuangan Daerah (PPKD)-SKPD Pejabat Pengelola Keuangan Daerah (PPKD) Bendahara Penerimaan

      

 Pejabat Keuangan

Penatausahaan Satuan Kerja

Dokumen Surat Tanda Setoran (STS) Bukti Transfer Nota Kredit Bank Surat Ketetapan Retribusi (SKR) Surat Ketetapan Pajak Daerah (SKPD) Surat Tanda Setoran (STS) Buku Besar Penerimaan

 Surat Tanda (STS)

Setoran



56 Kode

Proses PPK-SKPD

Fungsi terkait Perangkat Daerah SKPD)

(PPK-

   

Dokumen Buku Besar Neraca Saldo Jurnal Laporan Keuangan

Prosedur penerimaan kas terdiri dari lima proses yang memiliki karakteristik yang berbeda-beda sehingga membuat proses-proses ini membutuhkan aktivitas pengendalian yang berbeda-beda. Berikut ini karakteristik proses yang ada dalam prosedur penerimaan kas yakni: 1. Proses P.b.1 memiliki karakteristik jika dilihat dari penggunaan proses ini yakni proses ini digunakan untuk kegiatan operasional keuangan pemerintah daerah, proses ini berdekatan dengan kegiatan individual dari pegawai di pemerintah daerah dan melibatkan interkoneksi informasi keuangan dengan proses yang lain. 2. Proses P.b.2 memiliki karakteristik yakni digunakan untuk kegiatan operasional penerimaan keuangan pemerintah daerah, proses pendukung dari proses pelaporan keuangan pemerintah, berdekatan dengan pelayanan jasa bagi pihak ketiga dan kegiatan individual dari pegawai pemerintah daerah. Proses ini juga terhubung dengan proses yang lain sehingga pengendalian terkait interkoneksi informasi keuangan dibutuhkan. 3. Proses P.b.3 memiliki karakteristik yang sama dengan proses P.b.2 karena berhubungan dengan pemberian pelayanan jasa ke pihak ketiga selain itu pengumpulan bukti atas insiden keamanan informasi yang melibatkan tindakan hukum diperlukan dalam proses ini karena proses ini berhubungan dengan penerimaan daerah dari masyarakat dan pengusaha. 4. Proses P.b.4 memiliki karakteristik yakni data yang diolah pada proses ini mengharuskan

tingkat

keamanan

informasi

yang

tinggi

sehingga

membutuhkan praktik pengendalian yang banyak terkait keamanan informasi.



57 5. Proses P.b.5 memiliki karakteristik yaitu hasil dari proses ini digunakan untuk pelaporan keuangan sehingga validasi input dan output diperlukan untuk pengendalian proses ini. c. Prosedur akuntansi pengeluaran kas Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksitransaksi pengeluaran/aliran masuk dari kas daerah berupa penyediaan uang persediaan, penggantian uang persediaan, dan pembayaran langsung. Pengeluaran kas meliputi tiga jenis pengeluaran, yakni:

1. Pengeluaran untuk penyediaan uang persediaan 2. Pengeluaran untuk penggantian uang persediaan 3. Pengeluaran untuk pembayaran langsung Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada Tabel 5.6 ini. Tabel 5.6 Hubungan antar aset informasi pada prosedur pengeluaran kas Kode P.c.1

Proses Permintaan pembayaran oleh bendahara

Fungsi terkait  Bendahara Pengeluaran

P.c.2

Penerbitan Surat Perintah Pencairan Dana (SP2D) atas beban pengeluaran DPA SKPD

 Pengguna Anggaran/Kuasa Pengguna Anggaran

P.c.3

Pencairkan uang pada bank yang ditunjuk

 BUD/Kuasa BUD

Dokumen  Surat Permintaan Pembayaran Langsung (SPP LS)  Surat Permintaan Pembayaran Ganti Uang Persediaan (SPP GU)  Surat Permintaan Pembayaran Uang Persediaan (SPP UP)  Surat Permintaan Pembayaran Tambahan Uang Persediaan (SPP TU)  Surat Perintah Membayar Langsung (SPM LS)  Surat Perintah Membayar Ganti Uang Persediaan (SPM GU) + Surat Pengesahan Pertanggungjawaban Bendahara Pengeluaran (SPJ Belanja)  Surat Perintah Membayar Uang Persediaan (SPM UP)  Surat Perintah Membayar Tambahan Uang Persediaan (SPM TU)  Surat Perintah Pencairan Dana (SP2D)



58 Kode

P.c.4

P.c.5

P.c.6

Proses berdasarkan SPM LS Pencatatan pengeluaran oleh Bendahara Pencatatan pengeluaran oleh Kas Umum Daerah

Pencatatan pengeluaran oleh PPKSKPD

Fungsi terkait

Dokumen

 Bendahara Pengeluaran

 Surat Perintah Pencairan Dana (SP2D)

 Pejabat Pengelola Keuangan Daerah selaku Bendahara Umum Daerah/Kuasa Bendahara Umum Daerah  Pejabat Penatausahaan Keuangan Satuan Kerja Perangkat Daerah (PPKSKPD)

 Surat Perintah Pencairan Dana (SP2D)  Bukti Transfer  Nota Debet Bank

    

Surat Perintah Pencairan Dana (SP2D) Buku Besar Neraca Saldo Jurnal Laporan Keuangan

Prosedur akuntansi pengeluaran keuangan pemerintah daerah terdiri dari enam proses. Enam proses ini memiliki karakteristik yang berbeda-beda yakni: 1. Proses P.c.1 pada prosedur akuntansi dilakukan rutin pada kegiatan pengelolaan keuangan di pemerintah daerah. Proses ini berdekatan dengan aktivitas individu sehingga pengendalian akses sistem operasi, jaringan dan aplikasi serta pengendalian keamanan fisik dan lingkungan dibutuhkan. 2. Proses P.c.2 memiliki karakteristik yang sama dengan proses P.c.1 karena proses P.c.2 berjalan setelah proses yang ada di P.c.1. Proses ini menghasilkan dokumen yang digunakan untuk dasar pencairan keuangan di pemerintah daerah oleh karena itu perlu dilakukan pengendalian berupa audit sistem informasi untuk proses ini sehingga proses P.c.2 dapat dipantau secara berkala. 3. Proses P.c.3 memiliki karakteristik yakni mengolah data yang sensitif bagi pemerintah daerah karena berkaitan dengan proses pencairan yang dilakukan oleh pihak ketiga sehingga pengendalian terkait pihak eksternal dan pelayanan jasa pihak ketiga dilakukan. 4. Proses P.c.4 memiliki karakteristik yakni proses ini berdekatan dengan aktivitas individu dan kegiatan operasional pemerintah daerah selain itu



59 output dari proses ini akan menjadi input bagi proses yang lain sehingga pengendalian pengolahan informasi oleh fasilitas informasi dibutuhkan pada proses ini. 5. Proses P.c.5 memiliki karakteristik yang sama denga P.c.4 hanya saja dilakukan oleh pihak yang lain yaitu kas umum daerah sehingga pengendalian yang dibutuhkan adalah pengendalian pengolahan informasi oleh fasilitas informasi. 6. Proses P.c.6 adalah proses yang berhubungan dengan pelaporan pengeluaran keuangan pada pemerintah daerah sehingga keamanan dalam proses pengembangan dan pendukung diperlukan untuk proses ini. d. Proses akuntansi aset Prosedur ini membahas fungsi-fungsi yang terkait, dokumen akuntansi yang digunakan, jurnal standar termasuk koreksinya, dan ilustrasi atas transaksi-transaksi perolehan aset, kapitalisasi, penyusutan, dan pelepasan aset.

Hubungan aset informasi untuk prosedur penerimaan kas dapat dilihat pada Tabel 5.7 ini. Tabel 5.7 Hubungan aset informasi pada prosedur akuntansi aset Kode Proses Akuntansi P.d.1

Proses

Fungsi terkait

Pencatatan penambahan aset di bendahara barang

 Bendahara Barang SKPD

P.d.2

Pencatatan penghapusan aset di bendahara barang

 Bendahara Barang SKPD

P.d.3

Pencatatan penambahan/pengurangan aset oleh PPK-SKPD

 PPK-SKPD

Dokumen  BA penerimaan barang  Surat pengiriman barang  BA serah terima barang  BA Pemusnahan barang  SK Penghapusan  BA Penilaian  Bukti Transaksi  SPJ Penerimaan  SPJ Pengeluaran + SP2D  Buku Besar  Neraca Saldo  Jurnal  Laporan Keuangan



60

Prosedur akuntansi aset pada pengelolaan keuangan pemerintah daerah memiliki tiga proses yang utama yakni: 1. Proses P.d.1 berkaitan dengan pencatatan penambahan aset pada satuan kerja pemerintah daerah baik yang berasal dari pengadaan barang tersebut ataupun dari hibah oleh organisasi yang lain. Proses ini berdekatan dengan kegiatan operasional di satuan kerja pemerintah daerah sehingga memiliki intensitas pengolahan data yang tinggi. Oleh karena itu proses ini membutuhkan pengendalian terkait manajemen insiden keamanan informasi dan pengendalian akses terhadap informasi aset ini. 2. Proses P.d.2 memiliki karakteristik yang sama dengan proses P.d.2 hanya saja ini terkait penghapusan aset oleh bendahara barang di satuan kerja pemerintah daerah. Proses penghapusan aset ini membutuhkan pengendalian terkait pertukaran

informasi

untuk

memelihara

keamanan

informasi

yang

dipertukarkan dalam satuan kerja dan dengan satuan kerja/organisasi yang lain. 3. Proses P.d.3 proses yang berhubungan dengan pelaporan aset pada laporan keuangan pemerintah daerah sehingga keamanan dalam proses pengembangan dan pendukung diperlukan untuk proses ini. 5.3

Analisa Pemetaan Prosedur Akuntansi pada Sistem Pengelolaan

Keuangan Pemerintah Daerah dengan Aktivitas Pengendalian ISO 27001 Analisa selanjutnya adalah pemetaan prosedur akuntasi yang ada pada sistem pengelolaan keuangan pemerintah daerah dengan aktivitas pengendalian yang diadopsi dari ISO 27001 dan terpilih berdasarkan hasil wawancara dengan auditor senior dan pejabat BPK RI. Aktivitas pengendalian yang terpilih memiliki praktik-praktik terbaik untuk mendukung setiap aktivitas tersebut. Berdasarkan analisa karakteristik yang ada dalam setiap proses prosedur akuntansi pemerintah daerah maka dipilih praktik-praktik dari ISO 27001 yang menunjang proses keamanan informasi dari pengelolaan keuangan pemerintah daerah. Berikut adalah praktik-praktik ISO 27001 yang dibutuhkan.



61 Tabel 5.8 Praktik-Praktik ISO 27001 dari Aktivitas Pengendalian terpilih Kode Praktik A.5.1.1 A.5.2.1 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.6 A.6.2.3 A.7.1.1 A.7.1.2 A.7.1.3 A.7.2.1 A.7.2.2 A.8.2.1 A.8.2.3 A.8.3.1 A.8.3.2 A.8.3.3 A.9.1.1 A.9.1.2 A.9.1.3 A.9.2.1 A.9.2.4 A.9.2.5 A.10.2.1 A.10.3.1 A.10.3.2 A.10.5.1 A.10.8.1 A.10.8.5 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 A.10.10.5 A.11.1.1 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.3.1 A.11.3.2 A.11.3.3 A.11.4.1 A.11.4.4 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5

Deskripsi Praktik Dokumen kebijakan keamanan informasi Kajian kebijakan keamanan informasi Komitmen manajemen terhadap keamanan informasi Koordinasi keamanan informasi Alokasi tanggung jawab keamanan informasi Kontak dengan pihak yang berwenang Penekanan keamanan perjanjian dengan pihak ketiga Inventaris aset Kepemilikan aset Penggunaan aset yang dapat diterima Pedoman klasifikasi Pelabelan dan penanganan informasi Tanggung jawab manajemen Proses Pendisiplinan Tanggung jawab pengakhiran pekerjaan Pengembalian aset Penghapusan hak akses Perimeter keamanan fisik Pengendalian entri yang bersifat fisik Mengamankan kantor, ruangan dan fasilitas Penempatan dan perlindungan peralatan Pemeliaharan peralatan Keamanan peralatan di luar lokasi Pelayanan Jasa Majamen kapasitas Keberterimaan sistem Back up informasi Kebijakan dan prosedur pertukaran informasi Sistem informasi bisnis Log audit Pemantauan penggunaan sistem Perlindungan informasi log Log administrator dan operator Log atas kesalahan yang terjadi (fault logging) Kebijakan pengendalian akses Pendaftaran pengguna Manajemen hak khusus Manajemen password pengguna Tinjauan terhadap hak akses pengguna Penggunaan password Peralatan yang ditinggal oleh penggunanya Kebijakan clear desk dan clear screen Kebijakan penggunaan layanan jaringan Perlindungan terhadap remote diagnostic dan configuration port Prosedur log on yang aman Identifikasi dan otentiasi pengguna Sistem manajemen password Penggunaan sistem utilities Sesi time out



62 Kode Praktik A.11.6.1 A.11.6.2 A.12.2.1 A.12.2.2 A.12.2.4 A.12.3.1 A.12.3.2 A.12.4.2 A.12.4.3 A.12.5.2 A.13.1.1 A.13.1.2 A.13.2.1 A.13.2.2 A.13.2.3 A.15.1.2 A.15.1.4 A.15.1.5 A.15.3.1

Deskripsi Praktik Pembatasan akses informasi Isolasi sistem yang sensitif Validasi data masukan Pengendalian pengolahan internal Validasi data keluaran Kebijakan tentang penggunaan pengendalian kriptografi Manajemn kunci Perlindungan data uji sistem Pengendalian akses terhadap kode sumber program Tinjauan tenis dari aplikasi setelah perubahan sistem operasi Pelaporan kejadian keamanan informasi Pelaporan kelemahan keamanan Tanggung jawab dan prosedur Pembelajaran dari insiden keamanan informasi Pengumpulan bukti Hak Kekayaan intelektual (Haki) Perlindungan data dan rahasia informasi pribadi Pencegahan penyalahgunaan fasilitas pengolah informasi Pengendalia audit sistem informasi

Berikut adalah pemetaan tiap prosedur dengan aktivitas pengendalian ISO 27001. 5.3.1

Pemetaan Prosedur Akuntansi Penganggaran dengan Aktivitas ISO

27001 Pemetaan prosedur akuntansi pengganggaran dengan aktivitas ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktikpraktik aktivitas yang ada dalam ISO 27001. Dasar pemetaan antara proses yang ada dalam akuntansi penganggaran dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil pemetaan proses pada prosedur akuntansi penganggaran. Tabel 5.9 Pemetaan Proses pada Prosedur Akuntansi Penganggaran Kode P.a.1

Proses

Kode Praktik

P.a.2

Rancangan Dokumen Pelaksanaan Anggaran (DPA) dari Satuan Kerja Perangkat Daerah (SKPD) Rancangan DPA PPKD

P.a.3

Pencatatan

anggaran

A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.9.2.1, A.10.5.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.12.2.1, A.15.1.2, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.9.2.1, A.10.5.1, A.10.8.2, A.11.2.1, A.11.2.3, A.11.6.1, A.12.2.1, A.15.1.2, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3,

A.8.2.3, A.11.2.2, A.12.5.2, A.8.2.3, A.11.2.2, A.12.5.2, A.7.2.1,



63 SKPD SKPD

P.a.4

5.3.2

berdasarkan DPA

Pencatatan anggaran PPKD berdasarkan DPA PPKD

A.8.2.3 , A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.8.2.3, A.9.2.1, A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5

Pemetaan Prosedur Akuntansi Penerimaan Keuangan dengan

Aktivitas ISO 27001 Pemetaan prosedur akuntansi penerimaan keuangan dengan aktivitas ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktik-praktik aktivitas yang ada dalam ISO 27001. Dasar pemetaan antara proses yang ada dalam akuntansi penerimaan keuangan dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil pemetaan proses pada prosedur akuntansi penerimaan keuangan di pemerintah daerah. Tabel 5.10 menunjukkan pemetaan proses akuntansi penerimaan keuangan pemerintah daerah dengan praktik-praktik pengendalian dari aktivitas ISO 27001 yang dibutuhkan untuk setiap proses yang ada. Praktik –praktik ini akan dijadikan acuan dalam perancangan model kerangka kerja dan alat bantu penilaian risiko keamanan informasi pada proses akuntansi pengelolaan keuangan pemerintah daerah. Tabel 5.10 Pemetaan Proses pada Prosedur Akuntansi Penerimaan Keuangan Kode P.b.1

Proses Pencatatan penerimaan di Kas Umum Daerah

Kode Praktik A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3, A.9.2.1, A.10.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2, A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4. , A.15.1.5



64 Kode P.b.2

Proses Penetapan retribusi daerah

P.b.3

Penetapan Pajak Daerah

P.b.4

Pencatatan penerimaan di Bendahara penerimaan

P.b.5

Pencatatan penerimaan oleh PPK-SKPD

5.3.3

Kode Praktik A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1 A.5.1.1, A.5.2.1, A.6.1.6, A.6.2.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.8.5, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.2, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.12.2.1, A.12.2.4, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1 A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.1, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2, A.15.1.2, A.15.1.4, A.15.1.5

Pemetaan Prosedur Akuntansi Pengeluaran Keuangan dengan

Aktivitas ISO 27001 Pemetaan prosedur akuntansi pengeluaran keuangan dengan aktivitas ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktik-praktik aktivitas yang ada dalam ISO 27001. Dasar pemetaan antara proses yang ada dalam akuntansi pengeluaran keuangan dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah



65 hasil pemetaan proses pada prosedur akuntansi pengeluaran keuangan di pemerintah daerah. Tabel 5.11 Pemetaan Proses pada Prosedur Akuntansi Pengeluaran Keuangan Kode P.c.1

Proses Permintaan pembayaran oleh bendahara

P.c.2

Penerbitan Surat Perintah Pencairan Dana (SP2D) atas beban pengeluaran DPA SKPD

P.c.3

Pencairkan uang pada bank yang ditunjuk berdasarkan SPM LS

P.c.4

Pencatatan pengeluaran oleh Bendahara

P.c.5

Pencatatan pengeluaran oleh Kas Umum Daerah

P.c.6

Pencatatan pengeluaran oleh PPK-SKPD

Kode Praktik A.5.1.1, A.5.2.1, A.6.1.6, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.3.1, , A.11.2.4A.10.3.2, A.10.5.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1 A.5.1.1, A.5.2.1, A.6.1.3, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.2, A.9.2.1, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.2, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5, A.15.3.1 A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.1.1, A.9.1.2, A.9.1.3, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2 A.13.1.1, A.13.1.2, A.13.2.1, A.13.2.2, A.13.2.3, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.1, A.6.1.3, A.7.1.3, A.7.2.1, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.3, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5



66

5.3.4 Pemetaan Prosedur Akuntansi Aset dengan Aktivitas ISO 27001 Pemetaan prosedur akuntansi aset pada pengeloaan keuangan dengan aktivitas ISO 27001 yang telah terpilih meliputi pemetaan proses yang ada dalam prosedur dengan praktik-praktik aktivitas yang ada dalam ISO 27001. Dasar pemetaan antara proses yang ada dalam akuntansi aset dengan aktivitas ISO 27001 adalah dilihat dari karakteristik setiap prosesnya dan sasaran pengendalian dari praktik-praktik aktivitas ISO 27001. Berikut adalah hasil pemetaan proses pada prosedur akuntansi aset di pemerintah daerah. Tabel 5.12 Pemetaan Proses pada Prosedur Akuntansi Aset Kode P.d.1

Proses Pencatatan penambahan aset di bendahara barang

P.d.2

Pencatatan penghapusan aset di bendahara barang

P.d.3

Pencatatan penambahan/pengura ngan aset oleh PPKSKPD

Kode Praktik A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1, A.7.1.2, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3, A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3, A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.5.1, A.10.8.1, A.10.10.1, A.10.10.2, A.10.10.3, A.10.10.4, A.10.10.5, A.11.1.1, A.11.2.1, A.11.2.3, A.11.2.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.1, A.11.4.4, A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5, A.11.6.1, A.11.6.2, A.12.2.1, A.12.3.1, A.12.3.2, A.12.4.1, A.12.4.2, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5 A.5.1.1, A.5.2.1, A.6.1.2, A.6.1.3, A.7.1.1 A.7.1.2, A.7.2.2, A.8.2.1, A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.9.1.2, A.9.1.3, A.9.2.1, A.9.2.4, A.9.2.5, A.9.2.1, A.10.3.1, A.10.3.2, A.10.5.1, A.10.8.1, A.11.1.1, A.11.2.1, A.11.2.3, A.11.6.1, A.11.6.2, A.12.2.1, A.12.2.2, A.12.2.4, A.12.3.1, A.12.5.2, A.13.2.1, A.15.1.2, A.15.1.4, A.15.1.5



67 5.4

Rancangan Penyusunan Program Audit Penilaian Risiko Keamanan

Informasi 5.4.1 Rancangan awal Program Audit Penyusunan rancangan awal program audit untuk menilai risiko keamanan informasi

pengelolaan

keuangan

pemerintah

daerah

dilakukan

dengan

mengelompokkan 29 aktivitas pengendalian yang terpilih sebelumnya menjadi ruang lingkup audit. Hal ini sesuai dengan SPKN yang menyatakan bahwa ruang lingkup audit adalah batasan permasalahan yang sama dengan pelaksanaan audit. Oleh karena itu, dilakukan pengelompokan aktivitas pengendalian yang sama untuk menentukan ruang lingkup audit. Pengelompokan didasarkan persamaaan sasaran pada penjelasan masing-masing aktivitas di ISO 27001. Pengelompokan 29 aktivitas pengendalian dari ISO 27001 akan menjadi ruang lingkup audit, seperti pada gambar berikut ini

Kode Aktivitas Pengendalian Proses A.5.1 Mendokumentasikan Information Security Policy A.5.2 Kajian Information Security Policy A.6.1 Organisasi internal A.6.2 Organisasi eksternal A.7.1 Tanggung jawab terhadap asset A.7.2 Klasifikasi informasi A.8.2 Selama bekerja A.8.3 Pengakhiran atau perubahan pekerjaan A.9.1 Area yang aman A.9.2 Keamanan Peralatan A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga A.10.3 Perencanaan dan Keberterimaan Sistem A.10.5 Back-up A.10.8 Pertukaran informasi

Kode R.Lingkup R.1 R.1 R.1 R.1 R.2 R.2 R.4 R.4 R.4 R.4 R.3 R.3 R.3 R.3

Kode R.Lingkup Ruang Lingkup R.1 Review Tata Kelola Keamanan informasi R.2 Review Pengelolaan Risiko Keamanan informasi R.3 Review Kerangka Kerja Keamanan Informasi R.4 Review Pengelolaan Aset Informasi R.5 Review Teknologi dan Keamanan Informasi

Gambar 5. 2 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit



68

Gambar 5. 3 Pengelompokkan Aktivitas Pengendalian dalam Ruang Lingkup Audit (2)

Gambar 5.2 dan Gambar 5.3 menunjukkan pemetaan tiap aktivitas pengendalian yang telah terpilih ke dalam ruang lingkup yang telah diidentifikasi. Pemetaan ruang lingkup berdasarkan sasaran yang ada dalam aktivitas pengendalian di ISO 27001 kemudian dijabarkan dalam langkah audit yang berasal dari penjabaran praktik-praktik aktivitas yang ada dalam ISO 27001. Hasil pemetaan ruang lingkup dan penyusunan langkah audit adalah sebagai berikut: 1. Tata

Kelola

keamanan

informasi

berisi

aktivitas

pendokumentasian

information security policy (A.5.1), Kajian information security policy (A.5.2), Organisasi internal (A.6.1), organisasi eksternal (A.6.2). proses A.5.1 merupakan proses dengan sasaran memberikan arahan manajemen dan dukungan untuk kemananan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan. Proses A.52 memiliki sasaran untuk mengkaji secara interval yang terencana atau jika terjadi perubahan yang signifikan untuk memastikan kesesuaian, kecukupan, dan keefektifan yang berkelanjutan.



69 Proses A.6.1 bertujuan untuk mengelola keamanan informasi dalam organisasi sedangkan proses A.6.2 bertujuan untuk memeliharan informasi organisasi dan fasilitas pengolsh informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal. Hasil penjabaran sasaran diatas berkaitan dengan ruang lingkup tata kelola keamanan informasi keuangan yang memiliki tujuan untuk pengevaluasian kesiapan bentuk tata kelola keamanan informasi beserta fungsi selain itu tugas dan tanggung jawab pengelola keamanan informasi keuangan. Penentuan aktivitas yang dapat diterapkan dalam masing-masing praktik pada proses A.5.1 adalah praktik penetapan kebijakan keamanan informasi pengelolaaan keuangan daerah yang mendukung tiga langkah audit yaitu komitmen pimpinan dalam pelaksanaan dan penetapan kebijakan keamanan informasi pengelolaan keuangan, identifikasi hukum yang terkait pengelolaan keamanan informasi keuangan di daerah dan kebijakan terkait pelanggaran hukum yang dilakukan oleh pihak tertentu dalam proses pengelolaan keuangan. Penentuan aktivitas yang dapat diterapkan dalam proses A.5.2 adalah praktik pengkajian kebijakan terkait keamanan informasi dalam proses pengelolaan keuangan daerah yang mendukung satu langkah audit yaitu review dokumen hasil pengkajian kebijakan keamanan informasi pengelolaan keuangan daerah, misal Inspektorat atau BPKP. Penentuan aktivitas yang dapat diterapkan dalam proses A.6.1 adalah sebagai berikut: a. Praktik alokasi tanggung jawab keamanan informasi yang mendukung dua langkah audit yaitu identifikasi fungsi atau bagian yang mempunyai tugas untuk mengelola keamanan informasi keuangan daerah meliputi menjaga kepatuhan dari kebijakan yang ada dan review pelaksanaan kepatuhan program keamanan informasi keuangan. b. Praktik koordinasi keamanan informasi yang berisi kegiatan keamanan informasi keuangan harus dikoordinasikan oleh wakil-wakil dari bagian Universitas Indonesia


70 organisasi yang sesuai dengan peran dan fungsi kerjanya masing-masing. Praktik ini mendukung satu langkah audit identifikasi fungsi atau bagian yang mempunyai tugas untuk mengelola keamanan informasi keuangan daerah meliputi menjaga kepatuhan dari kebijakan yang ada. c. Praktik komitmen manajemen terhadap keamanan informasi

yang

mendukung dua langkah audit komitmen nyata penugasan eksplisit dalam menerapkan kepatuhan program keamanan informasi dan penerapan program khusus untuk kepatuhan keamanan informasi, misal sosialisasi kebijakan keamanan informasi keuangan. d. Praktik kontak dengan pihak berwenang dan kontak dengan kelompok khusus adalah kontak dengan pihak berwenang yang relevan harus dipelihara. Praktik ini mendukung satu langkah audit koordinasi antara pengelola keamanan informasi dengan SDM, legal/hukum dan keuangan sebagai punisment jika terjadi pelanggaran. Aktivitas A.6.2 memiliki praktik-praktik yang ada dalam ISO 27001 yakni penekanan keamanan perjanjian dengan pihak ketiga yang meliputi perjanjian dengan pihak ketiga meliputi pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi keuangan oleh pihak eksternal. Praktik ini mencakup satu langkah audit tentang koordinasi dengan pihak eksternal dalam pengelolaan keuangan. 2. Pengelolaan risiko keamanan informasi berisi aktivitas tanggung jawab terhadap aset (A.7.1) dan klasifikasi informasi (A.7.2). Proses A.7.1 memiliki sasaran untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi sedangkan dalam proses A.7.2 memiliki sasaran untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat. Hasil pejabaran sasaran diatas sesuai dengan tujuan dari ruang lingkup pengelolaan risiko keamanan informasi yaitu evaluasi kesiapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi terkait pengelolaan keuangan daerah.



71 Penentuan aktivitas A.7.1 memiliki praktik-praktik yang dapat diadopsi dari ISO 27001 yakni a. Praktik inventaris aset adalah semua aset harus diidentifikasi dengan jelas dan inventaris dari semua aset penting dicatat dan dipelihara. Praktik mencakup satu langkah audit yaitu pendefinisian atau penginventarisasi aset yang berkaitan dengan pengelolaan keuangan baik aset data keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan. b. Praktik kepemilikan aset adalah semua informasi dan aset yang terkait dengan fasilitas pengolahan data keuangan harus dimiliki oleh bagian dari organisasi yang ditunjuk dalam hal ini setiap bagian keuangan yang ada disetiap SKPD. Praktik ini mencakup satu langkah audit yakni definisi kepemilikan dari aset yang terkait fasilitas pengolah data keuangan. c. Praktik penggunaan aset yang dapat diterima adalah aturan untuk penggunaan informasi dan aset yang ada dalam fasilitas pengolah informasi keuangan di organisasi yakni dari dalam aplikasi keuangan atau aplikasi lainnya. Praktik ini mencakup satu langkah audit yakni identifikasi lokasi dan fasilitas pengolah informasi keuangan/aplikasi keuangan. Sedangkan aktivitas A.7.2 memiliki praktik yang dapat diterapkan dalam penilaian risiko keamanan informasi pengelolaan keuangan daerah yakni: a. Praktik pedoman klasifikasi yaitu informasi keuangan harus diklasifikasikan sesuai

dengan

tingkat

kesensivitasnya

dalam

pelaporan

keuangan

pemerintah daerah. Praktik ini terdiri dari dua langkah audit identifikasi pedoman klasifikasi informasi keuangan berdasarkan tingkat kepentingan dalam laporan keuangan daerah yakni berupa program kerja dan kerangka kerja pengelolaan risiko keamanan informasi keuangan. b. Praktik pelabelan dan penanganan informasi yakni sekumpulan prosedur yang memadai untuk menangani permasalahan pada aset informasi keuangan berdasarkan tingkat kritisnya pada proses pelaporan keuangan pemerintah daerah. Langkah audit yang tercakup dalam praktik ini ada dua Universitas Indonesia


72 macam yaitu mitigasi masalah/risiko pada aset informasi yang terkait proses pelaporan keuangan dan evaluasi mitigasi yang dilakukan terhadap risiko yang dihadapi oleh aset informasi keuangan tersebut. 3. Kerangka kerja keamanan informasi berisi aktivitas manajemen pelayanan jasa pihak ketiga (A.10.2), perencanaan dan keberterimaan sistem (A.10.3), backup (A.10.5), pertukaran informasi (A.10.8), pemantauan (A.10.10), pelaporan kejadian dan kelemahan keamanan informasi (A.13.1) dan manajemen insiden keamanan informasi dan perbaikan (A.13.2). setiap aktivitas memiliki sasaran yang ada dalam ISO 27001 yakni sasaran A.10.2 untuk menerapkan dan memelihara tingkat keamanan informasi keuangan dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga terkait pengelolaan keuangan daerah, aktivitas A.10.3 memiliki sasaran untuk mengurangi risiko kegagalan sistem pengelolaan keuangan, aktivitas A.10.5 untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolah informasi keuangan daerah, aktivitas A.10.8 untuk memelihara keamanan informasi dan perangkat lunak pengolah informasi keuangan yang dipertukarkan dengan organisai lain, aktivitas A.10.10 untuk mendeteksi kegiatan pengolahan informasi keuangan yang tidak sah sedangkan aktivitas A.13.1 untuk memastikan kejadian dan kelemahan keamanan informasi terkait sistem informasi pengolah keuangan daerah dikomunikasikan sehingga memungkinkan tindakan koreksi dilakukan tepat waktu yang mana tidak akan berdampak pada hasil laporan keuangan pemerintah. Aktivitas A.13.2 untuk memastikan pendekatan yang konsisten dan efektif untuk manajemen insiden keamanan informasi keuangan. Berdasarkan penjabaran sasaran setiap aktivitas maka dapat ditentukan tujuan dari ruang lingkup kerangka kerja keamanan informasi adalah melakukan evaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan prosedur) pengelolaan keamanan informasi sehingga sesuai dengan peraturan terkait sistem pengelolaan keuangan daerah.



73 Aktivitas

A.10.2

pengkomunikasian

memiliki keamanan

praktik

pelayanan

informasi

kepada

jasa pihak

yang

mencakup

ketiga

terkait

pengelolaan keuangan daerah. Langkah audit yang tercakup dalam praktik ini adalah identifikasi prosedur terkait pengelolaan keamanan informasi yang mencakup pengkomunikasian perubahan dan pemantauan kepada pihak ketiga terkait pengelolaan keuangan daerah. Aktivitas A.10.3 memiliki dua praktik yang dapat dijadikan langkah audit untuk menilai risiko keamanan informasi keuangan yakni: a. Praktik manajemen kapasitas berisi penggunaan sumber daya harus dipantau, disesuaikan dan diproyeksikan untuk memenuhi kinerja sistem pengelolaan keuangan daerah. Praktik ini mencakup satu langkah audit yaitu review strategi penggunaan teknologi informasi untuk pengolahan informasi keuangan. b. Praktik keberterimaan sistem berisi sistem yang baru atau hasil upgrade harus dilakukan pengujian sistem sehingga tidak mempengaruhi pelaporan keuangan pemerintah daerah. Praktik ini mencakup dua langkah audit yaitu proses evaluasi dari risiko yang mungkin timbul dari pengembangan sistem pengelolaan keuangan baru sehingga berdampak bagi laporan keuangan serta penerapan sistem yang ada sudah sesuai dengan kebijakan terkait pelaksanaan pelaporan keuangan pemerintah. Aktivitas A.10.5 memiliki praktik backup informasi yang berisi pengelolaan backup informasi keuangan daerah. Praktik ini mencakup tiga langkah audit yakni kebijakan backup, proses evaluasi proses backup data keuangan dan proses pelabelan media penyimpanan informasi keuangan. Aktivitas A.10.8 memiliki dua praktik yang dapat diterapkan dalam penilaian risiko keamanan informasi pengelolaan keuangan. Praktik tersebut adalah a. Praktik mengenai kebijakan dan prosedur pertukaran informasi, praktik ini memiliki tujuan kebijakan atau prosedur harus tersedia untuk melindungi segala jenis pertukaran informasi keuangan dengan menggunakan segala Universitas Indonesia


74 jenis fasilitas komunikasi. Praktik ini mencakup satu langkah audit mengenai identifikasi kebijakan yang mengatur pendistribusian informasi keuangan. b. Praktik sistem informasi bisnis, praktik ini memiliki tujuan mengenai kebijakan dan mekanisme yang melindungi informasi keuangan yang berhubungan dengan interkoneksi sistem informasi yang berhubungan dengan pelaporan keuangan sehingga praktik ini mencakup satu langkah audit yakni review kebijakan yang mengatur interkoneksi sistem informasi pelaporan keuangan dengan organisasi lain. Aktivitas A.10.10 memiliki lima praktik yang diterapkan dalam penilaian risiko keamanan informasi keuangan, yakni: a. Praktik log audit, praktik ini merekam kegiatan pengguna yang berkaitan dengan pengolahan informasi keuangan sehingga pengelola keamanan informasi dapat melakukan pemantauan dan pengendalian akses terhadap aset informasi keuangan. Praktik ini mencakup satu langkah audit yaitu review pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah melalui log audit. b. Praktik log administrator dan operator berisi pencatatan kegiatan administartor sistem keuangan dalam log. Praktik ini mencakup satu langkah audit yakni review pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah melalui log administrator dan operator. c. Praktik log atas kesalahan yang terjadi (fault logging) berisi pencatatan kesalahan dalam pengoperasian sistem informasi pengelolaan keuangan sehingga dapat segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada laporan keuangan. Praktik ini mencakup satu langkah audit yakni review pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah melalui log atas kesalahan yang terjadi (fault logging).



75 d. Praktik pemantauan penggunaan sistem yang berisi pengendalian berupa prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi keuangan. Praktik ini mencakup satu langkah audit yakni review prosedur pemantauan penggunaan sistem pengelolaan keuangan secara berkala. e. Praktik perlindungan informasi log berisi pengendalian perlindungan fasilitas log dan informasi log atas penggunaan fasilitas pengelolaan keuangan. Praktik ini mencakup satu langkah audit yakni review perlindungan yang dilakukan organisasi terhadap fasilitas log dari akses sistem pengelolaan keuangan. Aktivitas A.13.1 berisi dua praktik yakni pelaporan kejadian keamanan informasi dan pelaporan kelemahan keamananan. Kedua praktik berisi pelaporan kejadian kelemahan yang berhubungan dengan keamanan informasi keuangan harus segera disampaikan dengan cepat oleh semua pegawai, pihak ketiga sebagai pengguna fasilitas pengolah informasi keuangan kepada manajemen yang tepat. Dua praktik ini mencakup satu langkah audit yakni review aspek keamanan informasi keuangan yang mencakup pelaporan insiden dari penggunaan sistem pengelolaan keuangan daerah. Aktivitas A.13.2 berisi tiga praktik yang dapat diterapkan dalam penilaian risiko keamanan informasi keuangan, yakni: a. Praktik tanggung jawab dan prosedur berisi tanggung jawab manajemen untuk memastikan tanggapan yang cepat terhadap insiden keamanan informasi pada fasilitas pengolah keuangan. Praktik ini mencakup satu langkah

audit

review

alokasi

tanggung

jawab

untuk

memonitor

penanggulangan insiden keamanan fasilitas pengolah keuangan. b. Praktik pembelajaran dan insiden keamanan informasi berisi mekanisme yang memungkinkan organisasi mengukur dan memantau insiden keamanan pada fasilitas pengolah keuangan. Praktik ini mencakup dua langkah audit yakni review program peningkatan keamanan informasi untuk mengatasi insisden yang telah terjadi sebelumnya pada sistem informasi keuangan dan



76 review program tersebut sudah direview secara berkala untuk melihat keefektifan penerapan program dalam entitas. c. Praktik pengumpulan bukti berisi tindak lanjut terhadap orang atau organisasi yang terkait dengan kejadian insiden keamanan informasi dari fasilitas pengolah data keuangan. Praktik ini mencakup satu langkah audit yakni

review

konsekuensi

dari

pelanggaran

keamanan

informasi

berdasarkan dengan bukti yang didapat. 4. Pengelolaan aset informasi berisi aktivitas area yang aman (A.9.1), keamanan peralatan (A.9.2), persyaratan bisnis untuk pengendalian akses (A.11.1), manajemen akses pengguna (A.11.2), tanggung jawab pengguna (A.11.3), pengendalian akses jaringan (A.11.4), pengendalian akses sistem operasi (A.11.5), pengendalian akses aplikasi dan informasi (A.11.6), aktivitas kesesuaian dengan persyaratan hukum (A.15.1) dan pertimbangan audit sistem informasi (A.15.3). Setiap aktivitas memiliki sasaran yang dapat dijadikan dasar dalam pemetaan ruang lingkup yang sama yakni: a. Aktivitas A.8.2 memiliki sasaran untuk memastikan bahwa semua pegawai, kontraktor sebagai pengguna dan pengolah data keuangan mendukung kebijakan keamanan informasi selama bekerja di organisasi. b. Aktivitas A.8.3 memiliki sasaran untuk memastikan bahwa semua pegawai, kontraktor sebagai pengguna dan pengolah data keuangan yang terjadi perubahan atau pengakhiran pekerjaan terkait pengolahan data keuangan akan disesuaikan kembali. c. Aktivitas A.9.1 memiliki sasaran pencegahan akses secara fisik oleh pihak yang tidak berwenang, kerusakan dan interferensi terhadap lokasi dan informasi organisasi sehingga menimbulkan risiko pada penyajian pelaporan keuangan.



77 d. Aktivitas A.9.2 memiliki sasaran pencegahan kehilangan, kerusakan, pencurian atau ganguan aset dan interupsi dalam kegiatan pengelolaan keuangan di organisasi. e. Aktivitas A.11.1 memiliki sasaran mengendalikan akses kepada informasi keuangan. f. Aktivitas A.11.2 memiliki sasaran untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi keuangan. g. Aktivitas A.11.3 memiliki sasaran untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi keuangan dan fasilitas pengolah informasi laporan keuangan. h. Aktivitas A.11.4 memiliki sasaran untuk mencegah akses yang tidak sah dalam layanan jaringan yang digunakan dalam pengolahan data keuangan. i. Aktivitas A.11.5 memiliki sasaran untuk mencegah akses yang tidak sah dalam sistem operasi yang digunakan dalam pengolahan data keuangan. j. Aktivitas A.11.6 memiliki sasaran untuk mencegah akses yang tidak sah terhadap informasi dalam sistem aplikasi pengolahan data keuangan. k. Aktivitas A.15.1 memiliki sasaran untuk mencegah pelanggaran terhadap undang-undang dalam kaitannya dengan pengelolaan informasi keuangan. l. Aktivitas A.15.3 memiliki sasaran untuk memaksimalkan keefektifan dari proses audit sistem informasi pengelolaan keuangan. Hasil penjabaran diatas akan dapat digabungkan dalam satu tujuan besar ruang lingkup pengelolaan aset informasi yakni melakukan evaluasi tentang kelengkapan pengamanan aset informasi keuangan. Setiap aktivitas dijabarkan dalam langkah audit yang dapat dilakukan untuk menilai keamanan informasi keuangan dari praktik-praktik yang ada dalam aktivitas di ISO 27001.



78 Aktivitas A.8.2 memiliki dua praktik yang diterapkan dalam penilaian risiko keamanan informasi keuangan, yakni: a. Praktik tanggung jawab manajemen berisi manajemen harus mendefinisikan kebijakan dan prosedur dalam proses keamanan informasi keuangan bagi pengguna fasilitas pengolah data keuangan. Praktik ini mencakup satu langkah audit yakni review pendefinisian tanggung jawab pengamanan informasi keuangan. b. Praktik proses pendisiplinan berisi tindakan atas pegawai yang melakukan pelanggaran keamanan informasi keuangan. Praktik ini mencakup satu langkah audit yakni review konsekuensi dari pelanggaran keamanan informasi yang menyebabkan permasalahan pada pelaporan keuangan. Aktivitas A.8.3 memiliki tiga praktik yang diterapkan dalam penilaian, yakni: a. Praktik tanggung jawab pengakhiran pekerjaan berisi tanggung jawab yang harus ditetapkan oleh organisasi saat proses penyelesaian dan pengakhiran kegiatan pengolahan data keuangan dengan jelas. Praktik ini mencakup satu langkah audit yakni pendefinisian tanggung jawab dari pengguna dan pengolah informasi keuangan saat terjadi perubahan/pengakhiran pekerjaan. b. Praktik pengembalian aset berisi pengembalian aset yang digunakan mengolah data keuangan saat pekerjaan atau kontrak berakhir. Praktik ini mencakup satu langkah audit yakni review pelaksanaan pengembalian aset untuk pengolahan data keuangan saat pekerjaan atau kontrak terkait pengelolaan informasi keuangan. c. Praktik penghapusan hak akses berisi penghapusan hak akses semua pegawai, kontraktor dan pengguna terhadap informasi keuangan dan fasilitas pengolahan informasi keuangan ketika perjanjian atau kontrak berakhir. Praktik ini mencakup satu langkah audit yakni review proses penghapusan hak ases pegawai atau kontraktor terhadap fasilitas pengolah keuangan dan informasi keuangan saat berakhir pekerjaan.



79 Aktivitas A.9.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko yakni: a. Praktik perimeter keamanan fisik memiliki pengendalian perlindungan area yang berisi informasi terkait pengelolaan keuangan pemerintah daerah dan fasilitas pengolahnya. Praktik ini mencakup satu langkah audit yaitu review ketentuan pengamanan fisik terhadap aset informasi dan fasilitas pengolah informasi keuangan pemerintah daerah. b. Praktik pengendalian entri yang bersifat fisik mencakup satu langkah audit yaitu review pengendalian fisik area penyimpanan fasilitas informasi berupa pengendalian entri. c. Praktik mengamankan kantor, ruangan dan fasilitas yang mencakup satu langkah audit yaitu review pengamanan kantor, ruangan dan fasilitas penyimpanan informasi dari ancaman eksternal. Aktivitas A.9.2 berisi satu praktik yang akan diterapkan dalam penilaian risiko yakni penempatan dan perlindungan peralatan. Praktik ini berisi perlindungan peralatan untuk mengurangi risiko dari ancaman dan bahaya lingkungan sehingga mempegaruhi keakuratan data laporan keuangan. Praktik ini mencakup satu langkah audit yakni cek tersediaanya peraturan yang berisi pengamanan lokasi kerja penting dalam proses pengelolaan data keuangan. Aktivitas A.11.1 berisi satu praktik yakni kebijakan pengendalian akses terhadap informasi dan fasilitas pengelolaan keuangan. Praktik ini mencakup satu langkah audit review dokumen kebijakan yang mengatur pengelolaan akses dan otentikasi dan otorisasi untuk menggunakan aset informasi pengelolaan keuangan. Ativitas A.11.2 berisi empat praktik yang diterapkan untuk penilaian risiko keamanan informasi keuangan di pemerintah, yakni: a. Praktik pendaftaran pengguna, praktik manajemen hak khusus dan manajemen password pengguna. Ketiga praktik ini mencakup satu langkah



80 audit yaitu review inventarisasi akses yang berisi password, hak akses khusus. b. Praktik tinjauan terhadap hak akses pengguna berisi tinjauan oleh manajemen terhadap akses pengguna pada fasilitas pengolah data keuangan secara regular. Praktik ini berisi satu langkah audit yaitu review prosedur yang mengatur user access review yang dilakukan oleh manajemen terkait hak akses pengguna informasi dan pengolah data keuangan. Aktivitas A.11.3 berisi tiga praktik yang diambil dari ISO 27001 yakni penggunaan password, peralatan yang ditinggalkan oleh penggunanya dan kebijakan clear desk dan clear screen. Ketiga praktik ini mencakup satu langkah audit yang dapat diterapkan dalam penilaian risiko keamanan informasi yakni review ketetapan pendefinisian tanggung jawab pengamanan informasi secara individu sebagai pengolah data keuangan meliputi ketentuan pemilihan password tiap pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang ditinggalkan oleh pengguna. Aktivitas A.11.4 berisi dua praktik yang diterapkan dalam penilaian risiko keamanan informasi di pemerintah daerah, yakni a. Praktik kebijakan penggunaan layanan jaringan berisi kebijakan terkait pemberian akses terhadap layanan jaringan yang digunakan untuk pengelolaan data keuangan kepada pengguna yang berwenang. Praktik ini berisi satu langkah audit yakni review kebijakn atau prosedur penggunaan layangan jaringan untuk mengolah data keuangan. b. Praktik perlindungan terhadap remote diagnostic dan confuguration port berisi pengendalian akses secara fisik dan logical terhadap diagnostic dan confuguration port. Praktik ini mencakup satu langkah audit yaitu cek pengendalian secara teknis pada aset jaringan sebagai fasilitas pengolah data keuangan.



81 Aktivitas A.11.5 berisi lima praktik dalam ISO 27001 yang diadopsi untuk penilaian risiko keamanan informasi dalam kaitannya dengan risiko pemeriksaan laporan keuangan yaitu: a. Praktik prosedur log on yang aman berisi akses ke dalam sistem operasi dalam proses pengelolaan keuangan harus dikendalikan dengan prosedur log on yang aman. Praktik ini mencakup satu langkah audit yakni review pengendalian yang dilakukan oleh organisasi berupa prosedur log on dalam pengelolaan keuangan. b. Praktik sesi time-out berisi pengendalian berupa sesi yang tidak aktif dalam jangka waktu tertentu harus mati pada sistem operasi yang digunakan untuk pengolahan data keuangan. Praktik ini mencakup satu langkah audit yakni review pengendalian yang dilakukan oleh organisasi berupa sesi time-out pada sistem operasi yang digunakan untuk pengolahan data keuangan. c. Praktik

penggunaan

system

utilities

berupa

pengendalian

dengan

penggunaan utility yang mampu membatasi sistem dan aplikasi dalam sistem operasi untuk pengolahan data keuangan. Praktik ini mencakup satu langkah audit yakni review pengendalian yang dilakukan oleh organisasi berupa system utilities pada sistem operasi yang digunakan untuk pengolahan data keuangan. d. Praktik sistem manajemen password berupa pengendalian dengan penggunaan password dengan memperhatikan kualitas password. Praktik ini mencakup satu langkah audit yakni review pengendalian yang dilakukan oleh organisasi berupa manajemen password pada sistem operasi yang digunakan untuk pengolahan data keuangan. e. Praktik identifikasi dan otentikasi pengguna pengendalian dengan menggunakan otentikasi pengguna pada sistem operasi yang digunakan pada pengolahan data keuangan. Praktik ini mencakup review kebijakan atau prosedur yang mengatur otentikasi pada sistem operasi.



82 Aktivitas A.11.6 berisi dua praktik yang digunakan dalam penilaian risiko yaitu: a. Praktik pembatasan akses informasi mencakup satu langkah audit yakni prosedur yang mengatur pembatasan akses terhadap informasi pengelolaan keuangan. b. Praktik isolasi sistem yang sensitif berisi pengendalian sistem atau aplikasi pengelolaan keuangan yang sensitif atau memiliki peran yang besar dalam pelaporan keuangan pemerintah diletakkan pada lingkungan komputasi yang diisolasi. Praktik ini mencakup satu langkah audit yakni review pengendalian secara teknis terhadap aplikasi yang mempunyai peran penting pada proses pelaporan keuangan berupa peletakan sistem pada lingkungan yang diisolasi. Aktivitas A.15.1 berisi tiga praktik yang akan diterapkan dalam penilaian risiko yakni: a. Praktik Hak Kekayaan Intelektual (HAKI) mencakup satu langkah audit yakni review tata tertib pengamanan penggunaan aset terkait pengolahan data keuangan terkait HAKI. b. Praktik perlindungan data dan rahasia informasi pribadi berisi prosedur yang mengatur perlindungan data dan informasi pribadi pada saat proses pengelolaan keuangan. c. Praktik pencegahan penyalahgunaan fasilitas pengolah informasi mencakup satu langkah audit yakni review tata tertib yang berkaitan dengan penggunaan fasilitas pengolah informasi seperti email, internet dan intranet yang digunkan oleh pengelola keuangan pemerintah daerah. Aktivitas A.15.3 berisi praktik pengendalian audit sistem informasi berisi pengamanan lokasi kerja, fasilitas informasi dan aset informasi terkait pengelolaan keuangan daerah dari pelaksanaan audit sistem informasi sehingga tidak akan mempengaruhi hasil laporan keuangan.



83 5. Teknologi dan keamanan informasi berisi aktivitas pengolahan data yang benar dalam aplikasi (A.12.2), pengendalian dengan cara kriptografi (A.12.3), keamanan system files (A.12.4) dan keamanan dalam proses pengembangan dan pendukung (A.12.5). Setiap aktivitas memiliki sasaran yang dapat diadopsi dari ISO 27001 yaitu: a. Aktivitas A.12.2 untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi pengelolaan keuangan pemerintah daerah. b. Aktivitas A.12.3 untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi. c. Aktivitas A.12.4 untuk memastikan keamanan system files pada aplikasi pengelolaan keuangan pemerintah daerah d. Aktivitas A.12.5 untuk memelihara keamanan perangkat lunak, sistem aplikasi dan informasi pengelolaan keuangan pemerintah daerah. Hasil penjabaran diatas dapat dipetakan dalam ruang lingkup teknologi dan keamanan informasi yang memiliki tujuan untuk mengevaluasi kelengkapan, konsistensi dan keefektivitas penggunaan teknologi dalam pengamanan aset informasi. Setiap aktivitas dapat dijabarkan dalam praktik-praktik yang mencakup langkah audit untuk penilaian risiko keamanan informasi. Praktik pada aktivitas dalam ruang lingkup teknologi dan keamanan informasi yang dijadikan langkah audit yaitu aktivitas A.12.2. Aktivitas A.12.2 berisi tiga praktik yang diterapkan dalam langkah audit yakni a. Praktik validasi data masukan berisi pengendalian terhadap masukan data ke dalam aplikasi pengolah data keuangan telah divalidasi sehingga tidak mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu langkah audit yaitu review log yang berisi data masukan pada aplikasi



84 pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada laporan keuangan. b. Praktik pengendalian pengolahan internal mencakup satu langkah audit yakni review akses yang tidak berhak dalam log. c. Praktik validasi data keluaran berisi pengendalian terhadap keluaran data dari aplikasi pengolah data keuangan telah divalidasi sehingga tidak mempengaruhi tingkat akurasi laporan keuangan. Praktik ini mencakup satu langkah audit yaitu review log yang berisi data keluaran pada aplikasi pengelolaan keuangan sehingga dapat dilakukan validasi kebenaran pada laporan keuangan. Aktivitas A.12.3 berisi dua praktik yang akan diadopsi untuk perancangan langkah audit yaitu: a. Praktik kebijakan tentang penggunaan pengendalian kriptografi memiliki pengendalian kebijakan tentang penggunaan kriptografi untuk melindungi informasi keuangan. Praktik ini mencakup dua langkah audit yaitu review standar penggunaan dan penerapan enkripsi untuk melindungi aset informasi pengelolaan keuangan. b. Praktik manajemen kunci memiliki pengendalian yakni penerapan manajemen kunci untuk mendukung teknik kriptografi di organisasi. Praktik ini mencakup satu langkah audit yaitu review penerapan pengamanan untuk mengelola kunci enkripsi yang digunakan oleh organisasi. Ada dua praktik yang akan digunakan untuk perancangan program audit pada aktivitas A.12.4 yaitu praktik perlindungan data uji sistem dan pengendalian akses terhadap kode sumber program. Dua praktik ini akan dijadikan satu langkah audit yakni review penerapan pengamanan system files berupa perlindungan data uji sistem dan pembatasan akses ke kode sumber sistem informasi keuangan.



85 Satu praktik pada aktivitas A.12.5 yang akan digunakan dalam penilaian risiko keamanan informasi pengelolaan keuangan pemerintah daerah yakni praktik tinjauan teknis dari aplikasi pengelolaan keuangan setelah perubahan aset informasi yang terhubung dengan aplikasi tersebut. Praktik ini akan mencakup satu langkah audit yaitu review pengamanan saat pengembangan pendukung atau aset informasi yang terhubung dengan aplikasi pengelolaan keuangan. 5.4.2 Hasil Perancangan Program Audit Perancangan program audit disusun berdasarkan aktivitas-aktivitas yang telah terpilih dari proses wawancara kemudian aktivitas yang memiliki sasaran yang sama akan dikelompokkan dalam ruang lingkup yang sama. Program audit digunakan dalam pelaksanaan penilaian risiko keamanan informasi melalui audit teknologi informasi. Audit teknologi informasi ini terdiri dari tahap perencanaan, tahap pelaksanaan dan tahap penyelesaian atau pelaporan. Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang dibawah ini. a. Langkah Audit Tahap Perencanaan Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan audit teknologi informasi dalam penilaian risiko keamanan informasi pengelolaan keuangan di pemerintah daerah. Tahapan yang dilakukan yakni: 1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah oleh auditor lain. Review ini dilakukan atas organisasi yang akan dilakukan pemeriksaan. 2. Menentukan ruang lingkup audit berdasarkan hasil review. 3. Membuat program audit yang rinci dan tepat. 4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit.



86 5. Menentukan jadwal dan anggaran untuk melakukan audit. 6. Menyiapkan penugasan dalam bentuk surat tugas. 7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi untuk menyiapkan dokumen awal sebagai bahan untuk audit. Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya pada tahap pelaksanaan. b. Langkah Audit Tahap Pelaksanaan Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup yang akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil review dari pemeriksaan penilaian risiko keamanan informasi sebelumnya. Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor yakni dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat proses secara langsung. Langkah audit dari lima ruang lingkup pemeriksaan adalah sebagai berikut: a. Ruang Lingkup Audit : (R.1) Review tata kelola keamanan informasi 1) Tujuan Audit Mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta fungsi selain itu serta tugas dan tanggung jawab pengelola keamanan informasi terkait prosedur akuntansi sistem pengelolaan keuangan. 2) Langkah Audit No

Deskripsi langkah audit 1. Dapatkan dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan aset dan lakukan analisa dokumen apakah organisasi telah mengidentifikasi: (sumber: A.5.1) a. Pimpinan Instansi organisasi secara prinsip dan resmi bertanggungjawab



87 No

Deskripsi langkah audit terhadap pelaksanaan program keamanan informasi pengelolaan keuangan, termasuk penetapan kebijakan terkait? (sumber: A.5.1.1) b. Identifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi keuangan yang harus dipatuhi dan menganalisa tingkat kepatuhannya, misal PP Nomor 60 Tahun 2008 tentang SPIP? (Sumber: A.5.1.1) c. kebijakan dan langkah penanggulangan insiden keamanan informasi dalam pengelolaan keuangan yang menyangkut pelanggaran hukum? (Sumber: A.5.1.1) 2. Review apakah dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan daerah dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan asetnya telah dikaji oleh unit lain yang berwenang secara berkala, misal Inspektorat, BPKP? (sumber: A.5.2.1) 3. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi dalam entitas (sumber: A.6.1) a. Apakah entitas memiliki fungsi atau bagian yang secara spesifik mempunyai tugas dan tanggungjawab mengelola keamanan informasi pengelolaan keuangan terkait pencatatan penerimaan dan pengeluaran oleh bendahara dan Kas Umum Daerah dan menjaga kepatuhannya? (Sumber:A.6.1.3) b. Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan? (Sumber:A.6.1.1) c. Apakah penanggungjawab pelaksanaan pengamanan informasi keuangan diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan, misal dukungan fisik berupa access log view sistem keuangan? (Sumber:A.6.1.1) d. Apakah entitas sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait? (Sumber:A.6.1.1) e. Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan satker terkait (SDM, Legal/Hukum, Umum, DPKD dll) (Sumber:A.6.1.2)



88 No

Deskripsi langkah audit f. Apakah pimpinan tiap SKPD menerapkan program khusus untuk mematuhi tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang mencakup aset informasi keuangan yang menjadi tanggungjawab tiap SKPD tersebut? (Sumber: A.6.1.6) 4. Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi entitas yang berhubungan dengan pihak luar organisasi yakni terkait penetapan retribusi, pajak daerah (sumber: A.6.2) a. Apakah tanggungjawab

pengelolaan

keamanan informasi

mencakup

koordinasi dengan pihak pengelola/pengguna aset informasi eksternal untuk mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan permasalahan/risiko yang ada, misal akses sistem penetapan retribusi dan pajak daerah? (Sumber:A.6.2.3)

3) Identifikasi Bukti Audit No

Bukti

Index langkah

Kebijakan Umum Keamanan Informasi dalam bentuk

1

1. Perwal, action plan, strategic plan, SOP terkait pengelolaan keuangan. Laporan Kajian Kebijakan umum keamanan informasi,

2, 4

2. risalah rapat (MOM) tentang pembahasan masalah-masalah sistem pengelolaan keuangan. 3.

Struktur organisasi unit kerja instansi/Lembaga dalam ruang

3a, 3c

lingkup penerapan keamanan informasi ( SOTK) Tupoksi / job description unit organisasi/lembaga juga

3b

4. memasukkan tanggungjawab keamanan informasi, SK penunjukan Kepala Keamanan Informasi 5.

6.

program/rencana pelatihan/sosialisasi keamanan informasi

3d

dan bukti realisasinya prosedur

pengelolaan

insiden/masalah,

termasuk

jika

3e,3f

masalah tersebut menyangkut aspek hukum



89

4) Kriteria : ISO/IEC27005 - Information Security Risk Management, Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004, NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) b. Ruang Lingkup Audit : (R.2) Review pengelolaan risiko keamanan informasi 1) Tujuan Audit Mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi terkait pengelolaan keuangan daerah 2) Langkah Audit No

Deskripsi langkah audit 1. Dapatkan dokumen yang terkait pengelolaan risiko keamanan informasi yang terdokumentasi dan memuat (sumber:A.7.2) a. Program kerja pengelolaan risiko keamanan informasi dalam organisasi (Sumber:A.7.2.2) b. Kerangka kerja pengelolaan risiko keamanan informasi dalam organisasi yang mencakup definisi dan hubungan tingkat klasifiasi aset informasi, tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak kerugian yakni ketidakakuratan data pada laporan keuangan pemerintah daerah? (Sumber:A.7.2.1) 2. Review apakah entitas telah melakukan kegiatan pengelolaan risiko keamanan informasi keuangan yang meliputi (sumber : A.7.1) a. Apakah entitas sudah mendefinisikan atau inventarisasi kepemilikan dan pihak pengelola aset informasi keuangan yang ada, meliputi aset data keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan? (Sumber:A.7.1.1) b. Apakah entitas sudah mendefinisikan penggunaan aset yang ada? (Sumber:A.7.1.3)



90 No

Deskripsi langkah audit c. Apakah ancaman dan kelemahan terkait aset informasi yang sudah diinventaris sudah diindentifikasi (Sumber:A.7.1.1) d. Apakah dampak kerugian terkait sudah diidentifikasi sesuai dengan klasifikasi aset yang ada (Sumber:A.7.1.1) 3. Dapatkan dokumen terkait penggunaan aset informasi yang ada di entitas meliputi (sumber : A.7.1) a. Identifikasi lokasi dan fasilitas pengolahan informasi yang ada/aplikasi keuangan, apakah digunakan oleh yang tepat dan berada pada tempat yang aman? (Sumber:A.7.1.1) 4. Review penanganan masalah yang terjadi atau risiko pada setiap aset informasi yang ada (sumber: A.7.2) a. Apakah entitas telah melakukan mitigasi masalah/risiko yang ada pada setiap aset informasi berdasarkan klasifikasi atau tingkat kepentingan pada proses pelaporan keuangan pemerintah daerah(Sumber:A.7.2.1) b. Apakah status mitigasi dari setiap masalah/risiko telah dilakukan evaluasi untuk memastikan kemajuan kerjanya? (Sumber:A.7.2.2)

3) Identifikasi Bukti Audit No

Bukti

Index langkah

1.

SOP Bidang komunikasi dan informatika

1a

2.

dokumen metodologi risiko TI

1b

3.

daftar aset TI, IT Master Plan

2a,2b, 3

4.

hasil kajian risiko TI (risk register)

2c

5.

risk acceptance kriteria

2d

6.

Laporan monitoring Tim secara berkala

4a

7.

Risk Treatment Plan (RTP)

4b

4) Kriteria ISO/IEC27005 - Information Security Risk Management, Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004, NIST Special Publication 800-30:Risk Management Guide for Information



91 Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) c. Ruang Lingkup Audit : (R.3) Review Kerangka Kerja Keamanan Informasi 1) Tujuan Audit Mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan prosedur) pengelolaan keamanan informasi sehingga sesuai dengan peraturan terkait sistem pengelolaan keuangan daerah. 2) Langkah Audit No

Deskripsi langkah audit

1. Apakah kebijakan dan prosedur keamanan informasi sudah disusun dengan jelas dengan mencantumkan peran dan tanggung jawab pihak-pihak yang berwenang untuk menerapkan? 2. Apakah kebijakan dan prosedur keamanan informasi sudah dikomunikasikan dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam entitas tersebut? (Sumber : A.10.2.1) 3. Review dan dapatkan dokumen (jika ada) yang berisi pengelolaan risiko dari pengembangan sistem pengelolaan keuangan yang baru pada entitas ( sumber : A.10.3) a. Apakah entitas sudah menerapkan proses evaluasi dari risiko terkait rencana pengembangan sistem baru dan penanggulangan masalah yang mungkin timbul dari sistem pengelolaan keuangan baru tersebut? (Sumber:A.10.3.2) b. Apabila penerapan suatu sistem baru tersebut menimbulkan masalah atau menyalahi kebijakan terkait pelaksanaan pelaporan keuangan pemerintah, apakah ada proses penanggulangan termasuk pengamanan yang baru (compensating control)? (Sumber:A.10.3.2) c. Apakah entitas memiliki mempunyai strategi penggunaan atas teknologi keamanan informasi untuk pengolah keuangan daerah yang penerapan dan pemutakhirannya disesuaikan dengan kebutuhan entitas? (Sumber:A.10.3.1) 4. Review pengelolaan proses ketersediaan informasi keuangan pemerintah daerah



92 No

Deskripsi langkah audit yakni informasi anggaran, aset, penerimaan dan pengeluaran dengan cara back up data (sumber : A.10.5.1) a. Apakah entitas memiliki kebijakan terkait proses back up informasi ? b. Apakah ada proses evaluasi dilakukan secara berkala terhadap kebijakan terkait proses back up? c. Apakah ada proses pelabelan atau inventarisasi media penyimpanan back up informasi keuangan?

5. Review dan dapatkan dokumennya jika ada mengenai pengendalian entitas terkait proses pertukaran informasi keuangan baik di lingkungan internal maupun eksternal entitas ( sumber: A.10.8) a. Apakah ada kebijakan atau prosedur yang mengatur pengelolaan informasi termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan penyimpanan? (Sumber:A.10.8.1) b. Review apakah terdapat kebijakan atau mekanisme yang mengatur interkoneksi sistem informasi yang berhubungan dengan pelaporan keuangan dengan organisasi eksternal? (Sumber:A.10.8.5) 6. Review proses pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah (sumber: A.10.10) a. Apakah entitas memiliki prosedur yang mengatur proses pemantauan penggunaan fasilitas pengolahan informasi keuangan? (Sumber:A.10.10.2) b. Apakah aspek keamanan informasi mencakup pengendalian pelaporan insiden yang didapat dari log audit, log administrator dan operator dan log atas kesalahan yang terjadi pada sistem informasi keuangan sehingga dapat segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada laporan keuangan? (Sumber:A.10.10.1, A.10.10.4, A.10.10.5 ) c. Apakah entitas melakukan perlindungan pada fasilitas log dari akses sistem pengelolaan keuangan daerah? (Sumber:A.10.10.3) 7. Review dan dapatkan dokumen yang berisi proses pelaporan kelemahan keamanan informasi keuangan (sumber : A.13.1.1, A.13.1.2) a.

Apakah aspek keamanan informasi keuangan yang mencakup pelaporan



93 No

Deskripsi langkah audit insiden dari sistem pengelolaan keuangan tercantum dalam suatu kebijakan atau prosedur yang disebarkan ke semua pegawai dan pihak ketiga?

8. Review dan dapatkan dokumen yang berisi manajemen insiden keamanan informasi yang bertujuan untuk melihat keefektifan penerapannya? (sumber A.13.2) a.

Apakah entitas sudah menerapkan kebijakan dan prosedur operasional untuk mengelola insiden keamanan informasi yang muncul, alokasi tanggung jawab untuk memonitor dan penanggulangan insiden keamanan pada fasilitas pengolah keuangan yang ada? (sumber A.13.2.1)

b.

Apakah entitas memiliki program untuk meningkatkan keamanan informasi untuk mengatasi insiden yang telah terjadi sebelum-sebelumnya pada fasilitas pengolah keuangan? (sumber A.13.2.2)

c.

Apakah program keamanan informasi yang ada dilakukan evaluasi untuk melihat keefektifan penerapannya dalam entitas? (sumber A.13.2.3)

d.

Apakah

konsekuensi

dari

pelanggaran

keamanan

informasi

yang

menyebabkan insiden sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? (sumber A.13.2.3)

3) Identifikasi Bukti Audit No 1.

2.

Bukti

Index langkah

SOTK, job desc pengelola keuangan

1

Pengunguman ke semua satuan kerja terkait keamanan

2

infomasi yang dilakukan secara berjenjang terutama bagi pengelola keuangan. Hasil evaluasi dan pengkajian investasi sistem TI yang baru

3.

3

pada pihak yang terkait, meliputi user (kepala SKPD dan jajarannya), sekretaris daerah

4.

SOP Backup dan restore

4

5.

SOP Pertukaran informasi keuangan

5



94 No

Bukti

Index langkah

6.

Laporan pemantuan meliputi analisa log admin

6b

7.

SOP Pemantauan bidang komunikasi dan informatika

6a, 6c

8.

SOP penanganan insiden

7, 8a

BCP (Business Continuity Plan) , DRP (Disaster Recovery

8a, 8b

9.

Plan)

10. Laporan tim teknis berupa rekomendasi kontrol 11.

8b

bukti/risalah rapat/manajemen review untuk mengevaluasi

8.c, 8d

efektivitas penerapan keamanan informasi

4) Kriteria : ISO/IEC27005 - Information Security Risk Management, Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004, NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) d. Ruang Lingkup Audit : (R.4) Review Pengelolaan Aset Informasi 1) Tujuan Audit Mengevaluasi kelengkapan pengamanan aset informasi keuangan termasuk siklus penggunaanya. 2) Langkah Audit No

Deskripsi langkah audit 1.

Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi oleh semua pihak entitas baik pegawai dan kontraktor selama bekerja di entitas tersebut. (sumber: A.8.2) a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas? (sumber A.8.2.1)



95 No

Deskripsi langkah audit b. Apakah

konsekuensi

dari

pelanggaran

keamanan

informasi

yang

menyebabkan insiden pada proses pelaporan keuangan sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? (sumber A.8.2.3) 2.

Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi keuangan oleh semua pihak entitas baik pegawai dan kontraktor setelah mengakhiri kerjasama atau perubahan pekerjaan di entitas tersebut. (sumber : A.8.3) a. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas setelah pengakhiran kerjasama atau perubahan pekerjaaan? (sumber A.8.3.1) b. Apakah pihak yang melakukan pengakhiran pekerjaan terkait proses pengelolaan data keuangan dalam entitas mengembalikan aset yang digunakan ketika bekerja? (sumber A.8.3.2) c. Apakah terdapat penghapusan hak akses pihak yang mengakhiri kerjasama dan perubahan pekerjaan terhadap fasilitas pengolah informasi keuangan yang dipakai selama bekerja di entitas tersebut? (sumber A.8.3.3)

3.

Review dan dapatkan dokumen mengenai pengendalian area penyimpanan fasilitas pengolahan informasi (sumber: A.9.1) a. Apakah terdapat ketentuan pengamanan fisik yang disesuaikan dengan definisi zona dan klasifikasi aset yang ada didalamnya? (sumber A.9.1.1) b. Apakah entitas memiliki pengendalian fisik area penyimpanan fasilitas informasi berupa pengendalian entri? (sumber A.9.1.2) c. Apakah entitas memiliki pengamanan kantor, ruangan dan fasilitas penyimpanan informasi dari ancaman eksternal entitas? (misal adanya rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi

dengan

fasilitas

pendukung

(deteksi

kebakaran,

asap,

pemadaman api, pengatur suhu dan kelembapan) (sumber A.9.1.3) 4.

Review dan dapatkan dokumen mengenai keamanan peralatan yang memuat informasi sehingga pencegahan kehilangan, kerusakan, pencurian atau gangguan terhadap kegiatan entitas. (sumber : A.9.2)



96 No

Deskripsi langkah audit a. Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dalam proses pengelolaan data keuangan dari risiko perangkat atau bahan yang membahayakan aset informasi yang ada didalamnya? (misal menggunakan telepon genggam atau kamera pada saat memasuki ruang server) (sumber A.9.2.1, A.9.2.4, A.9.2.5) 5.

Adakah dokumen kebijakan atau prosedur yang mengatur mengenai pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset informasi pengelolaan keuangan (sumber: A.11.1.1)

6.

Review pengelolaan akses untuk menggunakan aset informasi di entitas (sumber:A.11.2) a. Apakah entitas memiliki inventarisasi akses terhadap informasi keuangan dan fasilitas pengolah keuangan yang berisi identitas elektronik pemilik akses, proses otentikasi (username, password)? (sumber A.11.2.1, A.11.2.2, A.11.2.3) b. Apakah ada prosedur yang mengatur pengkajian atas hak akses pengguna (user access review) secara berkala dan langkah pembenahan apabila terjadi ketidaksesuaian terhadap kebijakan yang berlaku?(misal: apabila pengguna sudah tidak berwenang atas suatu proses dalam sistem keuangan maka dia tidak bisa mengakses fungsi tersebut) (sumber A.11.2.4)

7.

Review apakah entitas memiliki ketetapan pendefinisian tanggung jawab pengamanan informasi secara individual sebagai pengolah data keuangan di semua satuan kerja yang ada?(misal: ketentuan pemilihan password tiap pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang ditinggalkan oleh pengguna) (sumber : A.11.3.1, A.11.3.2, A.11.3.3)

8.

Review dan dapatkan dokumen jika ada terkait pengendalian akses jaringan, sistem operasi dan sistem aplikasi informasi yang digunakan untuk pengolahan keuangan baik pencatatan penerimaan, pengeluaran dan mutasi aset (sumber: A.11.4, A.11.5, A.11.6) a. Apakah entitas memiliki kebijakan atau prosedur yang mengatur akses, proses otentikasi dan otorisasi penggunaan aset informasi yakni jaringan, sistem operasi dan sistem aplikasi informasi? (sumber: A.11.4.1, A.11.5.1 )



97 No

Deskripsi langkah audit b. Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni jaringan, diantaranya perlindungan dari configuration port, remote diagnostic selain itu pengendalian pada routing dan koneksi jaringan untu pengelolaan informasi keuangan? (sumber: A.11.4.4) c. Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni sistem operasi, diantaranya sesi time out, prosedur log on yang aman pada sistem operasi, dan pengendalian program utility? (sumber: A.11.5.1, A.11.5.2, A.11.5.3, A.11.5.4, A.11.5.5) d. Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni aplikasi, diantaranya isolasi aplikasi yang sensitif bagi entitas dan pembatasan akses informasi? (sumber: A.11.6.2) 9.

Review kesesuaian proses pengamanan informasi yang dilakukan oleh pengelola keuangan yakni bendahara penerimaan, bendahara barang, bendahara pengeluaran dan PPK-SKPD terhadap hukum yang berlaku (sumber: A.15.1) a.

Apakah entitas telah membuat tata tertib pengamanan dan penggunaan aset entitas terkait HAKI (Hak Kekayaan Intelektual)? (sumber: A.15.1.2)

b.

Apakah terdapat peraturan pengamanan data pribadi di entitas tersebut (sumber: A.15.1.4)

c.

Apakah terdapat tata tertib penggunaan email, internet, intranet dan komputer? (sumber: A.15.1.5)

10. Review apakah entitas memiliki prosedur untuk mengamankan lokasi kerja, fasilitas informasi dan aset informasi terkait pengelolaan keuangan (anggaran, penerimaan, pengeluaran dan pengelolaan aset dari keberadaan pihak internal maupun eksternal yang melakukan audit pada entitas? (sumber A.15.3.1)

3) Identifikasi Bukti Audit No 1.

Bukti

Index langkah

SOP keamanan informasi, SOTK/Job desc

1



98 No 2.

3.

Bukti

Index langkah

Pakta integritas dengan pihak ketiga dalam MOU, NDA

2, 10

untuk pihak ketiga menyangkut informasi rahasia SOP pengamanan fasilitas pengolahan informasi (SOP

3a, 4

data center)

4.

Cek fisik data center

3b,3c

5.

prosedur pengelolaan hak akses (Access Control)

5

Laporan monitoring terkait hak akses pengguna ( user

6

6. 7. 8.

access review) SOP pengamanan informasi secara individual

7, 10

SOP pengamanan jaringan, sistem operasi dan sistem

8a

informasi

9.

Cek fisik ruang kerja pegawai

8b, 8c, 8d

10.

Cek fisik lisensi OS atau aplikasi yang lainnya

9a

SOP/ aturan penggunaan email, internet dan hasil

11b, 11c

11.

pemantauan pengunggan email & internet

4) Kriteria : ISO/IEC27005 - Information Security Risk Management, Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004, NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) e. Ruang Lingkup Audit : (R.5) Review Teknologi dan Keamanan Informasi 1) Tujuan Audit Mengevaluasi

kelengkapan,

konsistensi

dan

efektifitas

penggunaan

teknologi dalam pengamanan aset informasi. 2) Langkah Audit



99 No 1.

Deskripsi langkah audit Review apakah entitas melakukan pengendalian terkait pengolahan dalam suatu aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. (sumber A.12.2) a.

Apakah setiap perubahan pada sistem informasi secara otomatis terekam didalam log? (sumber A.12.2.2)

b.

Apakah upaya akses yang tidak berhak juga terekam dalam log? (sumber A.12.2.2)

c.

Apakah semua log yang ada dianalisa secara berkala untuk memastikan akurasi, validitas data masukan serta data keluaran sistem informasi dan kelengkapan isinya? (sumber A.12.2.1. A.12.2.4)

2.

Review dan dapatkan dokumen mengenai pengendalian kriptografi yang diterapkan oleh entitas pada aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. (sumber: A.12.3) a.

Apakah entitas menerapakan enkripsi untuk melindungi aset informasi keuangan penting sesuai dengan kebijakan yang ada? (sumber A.12.3.1)

b.

Apakah entitas memiliki standar dalam penggunaan enkripsi tersebut? (sumber A.12.3.1)

c.

Apakah entitas menerapkan pengamanan untuk mengelola kunci enkripsi yang digunakan? (sumber A.12.3.2)

3.

Review

apakah

entitas

melakukan

pengamanan

system

files

berupa

perlindungan data uji sistem, pembatasan akses ke kode sumber sistem informasi keuangan terkait pengelolaan anggaran, penerimaan keuangan, pengeluaran dan pengelolaan aset? (sumber :A.12.4.2, A.12.4.3) 4.

Review apakah entitas melakukan pengamanan dan tinjuan teknis atas sistem aplikasi pengelolaan keuangan meliputi aplikasi anggaran, aset dan penerimaan atau pengeluaran keuangan pada saat proses pengembangan atau perubahan pada aset informasi yang terhubung dengan aplikasi tersebut, misal perubahan sistem operasi? (sumber: A.12.5.2)

3) Identifikasi Bukti Audit Universitas Indonesia


100 No 1.

Bukti

Index langkah

Periksa log penggunaan sistem dan aplikasi TI, baik oleh

1a, 1b

user maupun admin

2.

Laporan tim teknis terkait analisa log

1c

3.

SOP enkripsi

2

Periksa kesesuaian sistem TI dengan standar yang

3,4

ditetapkan: a. Standar software, 4.

b. Standar keamanan (security baseline), c. Standar rilis aplikasi d. Software AntiVirus

4) Kriteria : ISO/IEC27005 - Information Security Risk Management, Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004, NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems, Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) Setelah melakukan langkah audit diatas, maka auditor dapat melakukan pendeteksian kelemahan berdasarkan hasil audit. hasil audit yang ada akan digunakan untuk mengevaluasi risiko dari keamanan informasi pada entitas tersebut. c. Langkah Audit Tahap Penyelesaian Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai risiko keamanan informasi dijadikan input/masukan pada tahap penyelesaian. Pada tahapan ini auditor melakukan hal-hal berikut ini: 1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan dalam audit.



101 2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada. 3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman yang ada. 4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan tanggapan atas temuan audit. 5. Membuat laporan audit. 5.4.3 Penetapan Kelemahan dan Ancaman Kelemahan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui kelemahan dari organisasi dapat dianalisa dari hasil audit yang dilakukan pada tahap pelaksanaan sebelumnya.

Kemudian analisa ancaman didapat dari kelemahan yang dapat

dieksplore oleh threat agent sehingga menimbulkan risiko kerugian bagi organisasi. Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup yang ada dalam tahap pelaksanaan. Penetapan kelemahan dan ancaman yang ada berasal dari aktivitas pengendalian yang ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas pengendalian tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen maupun secara teknikal maka auditor dapat menetapkan hal tersebut sebagai sebuah kelemahan dan ancaman.

5.4.4 Analisa Dampak Analisa dampak dilakukan untuk memberikan nilai dampak atas kelemahan yang sudah teridentifikasi sebelumnya. nilai dampak adalah dampak yang dapat mempengaruhi proses pencapaian tujuan dari organisasi. Analisa dampak dapat diperoleh dengan cara dua cara a. Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada organisasi yang diperiksa atau auditee.



102 b. Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi tersebut. Analisis dampak diperoleh dari 31 indikator dampak. Indikator didapat dari klausal-klausal yang ada dalam ISO27001 pada tiap aktivitas pengendalian. Indikator ini digunakan untuk menghitung nilai dampak berdasarkan lima jenis risiko ruang lingkup sesuai dengan tingkat relevansinya.seperti Tabel 5.13 ini. Tabel 5.13 Relevansi indikator dampak terhadap jenis risiko Kode risiko ruang lingkup KR.1

KR.2

KR.3

Jenis risiko

Kode Indikator dampak

Tata kelola keamanan informasi

pengelolaan risiko keamanan informasi

Kerangka Kerja Keamanan informasi

D.1.1

Information Security Policy

D.1.2 D.1.3 D.1.4 D.2.1

Kajian Information Security Policy Kesadaran keamanan informasi MOU dengan pihak eksternal Inventarisasi Aset

D.2.2 D.2.3 D.3.1

Klasifikasi Informasi Monitoring risiko terkait TI Compensating control terhadap sistem baru Back-up Prosedur pertukaran informasi Audit Log Pelaporan kejadian dan kelemahan keamanan informasi Pemeliharaan aset TI Pelatihan keamanan informasi

D.3.2 D.3.3 D.3.4 D.3.5

KR.4

Pengelolaan Informasi

Aset

Deskripsi Indikator dampak

D.3.6 D.4.1 D.4.2 D.4.3 D.4.4 D.4.5 D.4.6 D.4.7 D.4.8 D.4.9 D.4.10 D.4.11 D.4.12 D.4.13

Pelanggaran Pemisahan tugas (job description) Pengembalian aset dan penghapusan hak ases Akses ke ruang data center Penanggulangan bencana Prosedur keamanan peralatan di luar lokasi kerja Kebijakan pengendalian akses Pengelolaan hak akses Manajemen password Update antivirus Kehandalan antivirus Sesi time-out



103 Kode risiko ruang lingkup

KR.5

Jenis risiko

Teknologi dan keamanan informasi



D.4.14 D.4.15 D.4.16 D.5.1

Pengelolaan email HAKI (Hak Kekayaan Intelektual) Pertimbangan audit sistem informasi Enkripsi

D.5.2

Pengendalian akses terhadap sumber program Konten aplikasi Pengembangan aplikasi

D.5.3 D.5.4

kode

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai rata-ratanya (pembulatan keatas). Nilai dampak dari tiap risiko diklasifikasikan ke dalam skala dampak pada Tabel 5.14 ini. Tabel 5.14 Skala penilaian dampak Nilai 5

Klasifikasi Extreme > 80 to 100%

4

Major > 62 to 80%

3

Moderate > 25 to 62%

2

Minor > 5 to 25%

1

Insignificant 5% or less

Definisi Permasalahan yang terjadi mengakibatkan layanan hingga tidak dapat digunakan sama sekali. Permasalahan yang terjadi dapat menyebabkan terhentinya layanan secara tiba-tiba mengakibatkan kerusakan dan biaya yang mahal namun dapat bertahan Permasalahan yang terjadi mengganggu berjalannya layanan seharihari dan tidak sampai berakibat terhentinya layanan, namun biaya yang dibutuhkan tidak sedikit Permasalahan yang terjadi berpotensi mengganggu berjalannya layanan di kemudian hari namun terbatas sehingga dibutuhkan biaya Permasalahan yang terjadi tidak mengganggu berjalannya layanan di kemudian hari sehingga biaya dapat diabaikan

Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni melalui kuesioner dari auditor atas dampak dari risiko tiap ruang lingkup pemeriksaan yang sudah teridentifikasi. Rumus yang dapat digunakan untuk penilaian dampak dari masing-masing risiko adalah sebagai berikut



104 Tabel 5.15 Penilaian dampak risiko tiap ruang lingkup pemeriksaan Kode risiko ruang

Jumlah Indikator

Rumus nilai dampak

lingkup KR.1

4

(∑Nilai Indikator dampak risiko KR.1) / 4

KR.2

3


KR.3

6


KR.4

16


KR.5

4


Sedangkan auditor dapat memberikan juga nilai dampak dari tiap-tiap aktivitas pengendalian yang telah terpilih dengan melihat nilai tiap indikator dampak yang didapat melalui kuesioner. Relevansi aktivitas pengendalian dengan indikator dampak untuk tiap jenis risiko dapat dilihat pada Tabel 5.16. Tabel 5.16 Relevansi risiko, aktivitas pengendalian, dan indikator dampak Kode risiko ruang lingkup KR.1


Proses


Jumlah Indikator

A.5.1

Mendokumentasikan information security policy

D.1.1

1

A.5.2

Kajian information security Policy

D.1.2

1

A.6.1

Organisasi internal

D.1.3

1

A.6.2


D.1.4

1


D.2.1, D.2.3

2

A.7.1 A.7.2


D.2.2

1


D.3.4, D.3.5

2

A.10.2


D.3.1

1

A.10.3 A.10.5

Back-up

D.3.2

1

A.10.8


D.3.3

1

A.10.10

Pemantauan

D.3.4

1

A.13.1

Pelaporan kejadian dan kelemahan

D.3.5

1

KR.2

KR.3





Proses


Jumlah Indikator

D.3.6

1

keamanan informasi

A.13.2


A.8.2

Selama bekerja Pengakhiran atau perubahan pekerjaan

D.4.4

1

A.8.3 A.9.1

Area yang aman

D.4.5, D.4.6

2

A.9.2

Keamanan Peralatan

D.4.7

1

D.4.8

1

A.11.1

Persyaratan bisnis untuk pengendalian akses Manajemen akses pengguna

D.4.9, D.4.10

2

A.11.2


D.4.10

1

A.11.3


D.4.10, D.4.11, D.4.12

3

A.11.4


D.4.13

1

A.11.5


D.4.10, D.4.11, D.4.12,D.4.14

4

A.11.6


D.4.15

1

A.15.1


D.4.16

1

A.15.3


D.5.3, D.5.4

2

A.12.2


D.5.1

1

A.12.3 A.12.4


D.5.2

1

D.5.4

1

A.12.5


KR.4

KR.5

D.4.1, D.4.3

D.4.2,

3

Penilaian dampak atas masing-masing aktivitas pengendalian yakni dengan menjumlahkan nilai dampak dari masing-masing indikator kemudian dibagi dengan jumlah jenis indikator setiap aktivitas pengendalian.



106 5.4.5 Analisa Likelihood (kecenderungan) Analisa likelihood digunakan untuk mengetahui frekuensi terjadinya kejadian yang diidentifikasi terjadinya risiko. Analisa likelihood diperoleh oleh auditor dengan dua cara yakni: a. Cara kualitatif : auditor memperoleh nilai likelihood dari hasil wawancara dengan pihak-pihak yang mengelola keamanan informasi di organisasi tersebut. b. Cara kuantitatif : auditor memperoleh nilai likelihood dari hasil kuesioner yang diberikan auditor kepada pihak-pihak yang mengelola keamanan informasi di organisasi. Analisis likelihood diperoleh dari 31 indikator likelihood yang digunakan untuk menghitung nilai likelihood berdasarkan 5 jenis risiko sesuai dengan tingkat relevansinya seperti Tabel 5.17. Tabel 5.17 Relevansi indikator likelihood dengan jenis risiko Kode risiko ruang lingkup

Jenis risiko

KR.1

tata kelola informasi

KR.2

KR.3

keamanan

Pengelolaan risiko keamanan informasi


Kode Indikator

Deskripsi Indikator Likelihood

L.1.1

Information Security Policy

L.1.2


L.1.3

Kesadaran keamanan informasi

L.1.4

MOU dengan pihak eksternal

L.2.1

Inventarisasi Aset

L.2.2

Klasifikasi Informasi

L.2.3

Monitoring risiko terkait TI

L.3.1

Compensating control terhadap sistem baru

L.3.2

Back-up

L.3.3

Prosedur informasi

L.3.4

Audit Log

pertukaran




KR.4

KR.5

Jenis risiko


Aset


Kode Indikator

Deskripsi Indikator Likelihood

L.3.5


L.3.6

Pemeliharaan aset TI

L.4.1

Pelatihan informasi

L.4.2

Pelanggaran

L.4.3

Pemisahan description)

L.4.4

Pengembalian aset dan penghapusan hak ases

L.4.5

Akses ke ruang data center

L.4.6

Penanggulangan bencana

L.4.7

Prosedur keamanan peralatan di luar lokasi kerja

L.4.8

Kebijakan akses

L.4.9

Pengelolaan hak akses

L.4.10

Manajemen password

L.4.11

Update antivirus

L.4.12

Kehandalan antivirus

L.4.13

Sesi time-out

L.4.14

Pengelolaan email

L.4.15

HAKI (Hak Intelektual)

L.4.16


L.5.1

Enkripsi

L.5.2

Pengendalian terhadap kode program

L.5.3

Konten aplikasi

L.5.4

Pengembangan aplikasi

keamanan

tugas

(job

pengendalian

Kekayaan

akses sumber



108 Hasil analis likelihood diperoleh dari penjumlahan total skor dari indikator faktor likelihood kemudian dihitung nilai rata-ratanya (pembulatan keatas). Nilai likelihood dari tiap risiko diklasifikasikan ke dalam skala dampak pada Tabel 5.18 ini. Tabel 5.18 Skala penilaian likelihood Nilai 5

Klasifikasi

Definisi

Almost certain

Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali. Alternatif sangat diperlukan dan tindakan mitigasi harus segera dilakukan

> 80 to 100% 4

Likely

Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan

> 62 to 80% 3

Moderate

Berlangsung terus-menerus namun sudah ada kesadaran untuk melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus mempertimbangkan tindakan mitigasi.

> 25 to 62% 2

Unlikely

Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada kemungkinan akan mengalaminya di masa depan. Sehingga strategi saat ini harus mengatasi insiden yang terjadi.

> 5 to 25% 1

Rare

Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah dan cepat.

5% or less

Skala diatas akan digunakan oleh organisasi untuk menilai secara kuantitatif yakni melalui kuesioner dari auditor atas likelihood dari risiko tiap ruang lingkup pemeriksaan yang sudah teridentifikasi. Rumus yang dapat digunakan untuk penilaian dampak dari masing-masing risiko adalah sebagai berikut. Tabel 5.19 Penilaian Likelihood tiap jenis risiko Kode risiko ruang

Jumlah

lingkup

Rumus

Indikator

KR.1

2

(∑Nilai Indikator likelihood risiko KR.1) / 4

KR.2

3


KR.3

6


KR.4

16


KR.5

4




109 Auditor dapat memberikan juga penilaian atas likelihood untuk masing-masing aktivitas pengendalian yang didapat dengan cara kuesioner. Relevansi aktivitas pengendalian dengan indikator likelihood untuk tiap jenis risiko dapat dilihat pada Tabel 5.20. Tabel 5.20 Relevansi risiko, aktivitas pengendalian dan indikator likelihood Kode risiko ruang lingkup


KR.1

A.5.1


L.1.1

1

A.5.2


L.1.2

1

A.6.1

Organisasi internal

L.1.3

1

A.6.2


L.1.4

1


L.2.1, L.2.3

2

A.7.1 A.7.2


L.2.2

1


L.3.4, L.3.5

2

A.10.2


L.3.1

1

A.10.3 A.10.5

Back-up

L.3.2

1

A.10.8


L.3.3

1

A.10.10

Pemantauan

L.3.4

1

L.3.5

1

A.13.1


L.3.6

1

A.13.2


A.8.2

Selama bekerja

L.4.1, L.4.2, L.4.3

3


L.4.4

1

A.8.3 A.9.1

Area yang aman

L.4.5, L.4.6

2

A.9.2

Keamanan Peralatan

L.4.7

1

L.4.8

1

A.11.1


KR.2

KR.3

KR.4

Proses

Kode Indikator Likelihood

Jumlah Indikator





Proses


Jumlah Indikator


L.4.9, L.4.10

2

A.11.2


L.4.10

1

A.11.3


L.4.10, L.4.11, L.4.12

3

A.11.4


L.4.13

1

A.11.5


L.4.10, L.4.11, L.4.12,L.4.14

4

A.11.6


L.4.15

1

A.15.1


L.4.16

1

A.15.3


L.5.3, L.5.4

2

A.12.2


L.5.1

1

A.12.3 A.12.4


L.5.2

1

L.5.4

1

A.12.5


KR.5

Penilaian likelihood atas masing-masing aktivitas pengendalian yakni dengan menjumlahkan nilai likelihood dari masing-masing aktivitas pengendalian kemudian dibagi dengan jumlah jenis indikator setiap aktivitas pengendalian. 5.4.6 Penetapan Tingkat Risiko Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut. Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan melakukan perkalian nilai dampak dengan nilai kecenderungan dari masingmasing risiko.



111

Gambar 5. 4 Pemetaan likelihood dengan dampak dalam penilaian risiko

Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas pengendalian. Tingkat risiko yang ada pada Gambar 5.4 memiliki arti, maksud dari masingmasing tingkatan risiko adalah sebagai berikut: Tabel 5.21 Skala Risiko

Nilai Risiko

Deskripsi risiko

Sangat tinggi (Very High)

Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai banyak efek merugikan yang sangat besar pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.

Tinggi (high)

Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai beberapa efek merugikan yang besar pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara

Sedang (medium)

Cukup berisiko yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai efek merugikan yang serius pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara

Rendah (low)

Berisiko rendah yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai efek merugikan yang terbatas pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.



112

5.4.7 Penentuan prioritas risiko Hasil dari proses penetapan risiko dapat memberikan arahan dalam menentukan prioritas risiko dari ancaman yang muncul dan harus mendapatkan perhatian dari organisasi. Jenis risiko yang harusnya mendapat perhatian utama adalah risiko yang memiliki skala Very high kemudian dilanjutkan pada skala high, medium dan low . Pemeriksa dapat melihat prioritas risiko dari tiap ruang lingkup yang ada selain itu pemeriksa juga dapat melihat prioritas risiko di masing-masing indikator yang ada. Tujuan dari penentuan prioritas risiko adalah untuk mengidentifikasi risiko yang akan diprioritaskan untuk ditangani sehingga memudahkan pengambil keputusan dalam menentukan fokus perhatian yang utama dalam pengelolaan risiko.

5.4.8 Analisis Rekomendasi Kontrol Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut ke tingkat yang dapat diterima oleh organisasi. Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko, kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol dibuat berdasarkan hasil pemetaan klausul-klausul dalam ISO 27001:2005. Input kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko. Dari hasil inilah akan dihasilkan daftar rekomendasi kontrol. Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol keamanan yang direkomendasikan. 5.4.9 Mitigasi Risiko Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang



113 berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan dikurangi dan mampu menurunkan risiko di bawah maksimum risiko. 5.4.10 Risiko Deteksi Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat mendeteksi salah saji material pada saat melaksanakan prosedur substantif. Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedue substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas pelaksanaan prosedur substantif. Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko residual maka semakin rendah risiko deteksi. Demikian sebaliknya. Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual adalah sebagai berikut: Tabel 5.22 Hubungan Risiko Resdiual dengan Risiko Deteksi Pemeriksaan LK Risiko Residual

Risiko Deteksi


Rendah (low)

Tinggi (high)

Sedang (medium)

Sedang (medium)

Tinggi (high)

Rendah (low)




114

5.5

Rancangan Kerangka Kerja dan Alat Bantu Penilaian Risiko

Keamanan Informasi 5.5.1 Kerangka kerja penilaian risiko keamanan informasi Kerangka kerja ini digunakan sebagai panduan pemeriksa BPK RI untuk menilai keamanan informasi di pemerintah daerah. Kerangka kerja terdiri dari beberapa bagian, yakni : a. Formulir pengisian penilaian risiko keamanan informasi b. Tahapan penilaian risiko keamanan informasi c. Cara pengisian formulir penilaian risiko keamanan informasi Kerangka kerja ini juga dilengkapi dengan program pemeriksaan untuk mengidentifikasi kelemahan dan ancaman terkait keamanan informasi pengelolaan keuangan dalam suatu organisasi pemerintah daerah sehingga menimbulkan risiko yang berdampak pada laporan keuangan pemerintah daerah tersebut. Selain itu kerangka kerja ini juga menyediakan alat bantu kuesioner sehingga memudahkan pemeriksa untuk menilai secara kuantitatif dari dampak dan kecenderungan atas pengelolaan keamanan informasi di organisasi pemerintah daerah tersebut berdasarkan indikator-indikator yang telah diidentifikasi pada analisa sebelumnya. Formulir pengisian penilaian risiko keamanan informasi untuk pengelolaan keuangan pemerintah daerah terdiri dari beberapa bagian yakni: a. Kolom formulir terdiri dari 19 kolom, kolom 1 sampai dengan kolom 10 adalah seperti gambar berikut ini:



115 Kode ruang lingkup 1

Ruang lingkup

Kode Aktivitas aktivitas pengendalia pengendalia n n

Ref. Program Kerawanan Pemeriksaa n

Ancaman

Inheren

2

3

5

7

Dampak Kecenderungan 8 9

4

6

Nilai Risiko 10

Gambar 5. 5 Kolom 1 s/d 10 formulir dalam kerangka kerja

Kolom 1 dan 2 berisi informasi mengenai ruang lingkup yang dipilih oleh pemeriksa BPK untuk menilai keamanan informasi terkait pengelolaan keuangan pemerintah daerah dengan mempertimbangkan penilaian yang dilakukan sebelumnya. Sedangkan kolom 3, 4 dan 5 adalah informasi mengenai aktivitas pengendalian yang dinilai dalam penilaian risiko keamanan informasi. Hasil dari identifikasi kelemahan berdasarkan langkah audit pada kolom 1 s/d 5 dipaparkan dalam kolom 6 dan 7. Kolom 6 dan 7 berisi informasi kerawanan dan ancaman yang didapat dari setiap penilaian atas praktik-praktik pengendalian ISO 27001 terkait keamanan informasi dalam pengelolaan keuangan pemerintah daerah. Kolom 8 s/d 10 berisi nilai inheren risk yang dimiliki oleh pemerintah daerah tersebut dimana hasil kolom 8 s/d 10 didapat melalui kuesioner atau wawancara dengan menilai setiap aktivitas dan ruang lingkup berdasarkan indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20. b. Kolom 11 sampai dengan 19 berisi kolom rekomendasi kontrol, residual risk, strategi mitigasi, rencana kerja, target penyelesaian, risiko deteksi dan strategi pemeriksaan umum yang dapat dilihat pada Gambar 5.6.

Rekomendasi Kontrol Residual

11

Dampak 12

Kecenderungan Nilai Risiko 13 14

Strateg i Rencana Kerja Mitigas i risiko

Strategi Target Risiko Deteksi Pemeriksaan Penyelesaian Umum

15

17

16

18

19

Gambar 5. 6 Kolom 11 s/d 19 formulir dalam kerangka kerja

Kolom 11 berisi informasi mengenai rekomendasi kontrol yang diperlukan oleh organisasi untuk mengatasi kelemahan dan ancaman yang mungkin muncul dari Universitas Indonesia


116 setiap penilaian praktik-praktik dari aktivitas pengendalian pada ISO 27001 terkait keamanan informasi pengelolaan keuangan pemerintah daerah. Kolom 12 sampai dengan kolom 14 berisi nilai residual risk yang dimiliki oleh pemerintah daerah tersebut dimana hasil kolom 12 s/d 14 didapat melalui kuesioner atau wawancara dengan menilai setiap aktivitas dan ruang lingkup berdasarkan indikator dampak dan likelihood pada tabel 5.13, 5.16, 5.17 dan 5.20. Kolom 15, 16 dan 17 berisi strategi mitigasi risiko, rencana kerja dan target penyelesaian dengan melihat nilai akhir risiko yakni residual risk dari setiap aktivitas pengendalian. Kolom 18 berisi risiko deteksi. Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat mendeteksi salah saji material pada saat melaksanakan prosedur substantif. Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedue substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas pelaksanaan prosedur substantif. Kolom 19 berisi strategi pemeriksaa umum. Kolom ini berkaitan dengan strategi pemeriksaan selanjutnya bagi pemeriksa BPK RI yang dilihat dari nilai risiko deteksi. Semakin rendah nilai risiko deteksi maka pengujian substantif terhadap aktivitas tersebut semakin tinggi juga begitu juga sebaliknya. c. Hasil penilaian pada kolom 1 sampai dengan 19 didapat dari langkah audit yang ada pada program audit. program audit berisi tujuan audit, langkah audit, bukti audit selain itu dalam program audit disediakan kolom yang berisi aspek keamanan informasi dan level dari setiap langkah audit. berikut adalah gambar formulir program audit yang ada dalam kerangka kerja. Reff Ruang lingkup

No

Program Pemeriksa an

Bukti Audit

Level

Asersi uji pengendalian C

I

Akun Laporan Keuangan yang terkait

A

Gambar 5. 7 Formulir program audit dalam kerangka kerja



117 Aspek keamanan informasi terdiri dari tiga macam yakni: a. C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan kerahasian data dan informasi. b. I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tidak akan boleh berubah tanpa ijin yang berwenang. c. A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tersedia ketika dibutuhkan. Sedangkan setiap level yang dapat diberikan untuk setiap langkah audit adalah: Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni : a. Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih belum lengkap dan bersifat adhock bergantung pada permasalahan yang muncul atau kondisi tertentu yang sedang dihadapi. b. Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang hampir sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam perencanaan. c. Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang diterapkan pada setiap proses kerja yang berhubungan dengan keamanan informasi dan sudah ada standar kontrol keamanan informasi yang akan dilakukan. d. Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan. e. Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan. Rincian kerangka kerja yang dirancang pada penelitian ini dapat dilihat pada Lampiran 3, 3.1 dan 3.2.



118 5.6

Uji Publik

Kerangka kerja penilaian risiko ini akan diuji oleh pemeriksa BPK RI untuk menilai risiko keamanan informasi di Pemerintah Daerah Kota Tangerang. Berikut hasil uji publik yang telah dilakukan oleh pemeriksa BPK 5.6.1 Uji Publik Kerangka kerja penilaian risiko keamanan informasi Hasil uji publik yang telah dilakukan yakni berupa hasil penilaian risiko keamanan informasi oleh auditor BPK RI di Pemerintah Daerah Kota Tangerang. Uji kerangka kerja dilakukan secara bersamaan dengan uji alat bantu. Hasil yang ditunjukkan oleh alat bantu audit akan mendukung proses penilaian risiko dari proses kerja Pemerintah Daerah Kota Tangerang. Hasil penilaian risiko keamanan informasi ditunjukkan dengan pelaksanaan formulir penilaian risiko yakni meliputi penetapan kelemahan dan ancaman kemudian dilakukan pehitungan risiko berdasarkan kuesioner yang telah dirancang sampai dengan penetapan kontrol yang dibutuhkan dan strategi pemeriksaan laporan keungan secara umum. Berikut adalah hasil penilaian risiko keamanan informasi Pemerintah Daerah Kota Tangerang a. Hasil pelaksanaan program audit Pemeriksa BPK RI menjalankan langkah audit di program pemeriksaan yang ada di kerangka kerja. Pelaksanaan program pemeriksaan yang ada di kerangka kerja dapat dilihat pada Lampiran 4. Lampiran 4 memperlihatkan akun-akun yang terkait pada proses keamanan informasi di organisasi selain itu jenis asersi pengujian yang dibutuhkan untuk setiap program pemeriksaan dan leveling setiap proses keamanan informasi yang ada di organisasi tersebut. b. Hasil Penilaian Risiko Pemeriksa mengidentifikasi nilai inheren risiko berdasarkan hasil penyebaran kuesioner kepada para pemilik aset informasi dan pemilik risiko yakni Bidang aset, anggaran, akuntansi di Dinas Pengelolaan Keuangan dan Aset Daerah



119 Pemerintah Kota Tangerang dan Dinas Informasi dan Komunikasi Pemerintah Kota Tangerang. Kuesioner yang diberikan berisi indikator-indikator untuk penilaian tingkat dampak dan likelihood dari masing-masing ruang lingkup dan aktivitas. Hasil kuesioner dapat dilihat pada Lampiran 5, sedangkan hasil risiko untuk tiap ruang lingkup yang ada dapat dilihat pada tabel 5.23. Tabel 5.23 Hasil Risiko Inheren per Ruang Lingkup Risiko Inheren per Ruang Lingkup RI D.1.1

5

L.1.1

3

D.1.2

5

L.1.2

2

D.1.3

4

L.1.3

4

D.1.4

5

L.1.4

2

Rata2

5

Nilai Risiko

3 High

R2 D.2.1

5

L.2.1

2

D.2.2

5

L.2.2

2

D.2.3

5

L.2.3

2

Rata2

5

Nilai Risiko

2 High

R3 D.3.1

5

L.3.1

2

D.3.2

5

L.3.2

2

D.3.3

4

L.3.3

2

D.3.4

3

L.3.4

2

D.3.5

4

L.3.5

3

D.3.6

4

L.3.6

4

Rata2

4

Nilai Risiko

2 Medium

R4 D.4.1

4

L.4.1

4

D.4.2

4

L.4.2

2

D.4.3

5

L.4.3

3

D.4.4

4

L.4.4

1

D.4.5

5

L.4.5

3



120 Risiko Inheren per Ruang Lingkup D.4.6

5

L.4.6

1

D.4.7

4

L.4.7

5

D.4.8

4

L.4.8

2

D.4.9

4

L.4.9

4

D.4.10

5

L.4.10

3

D.4.11

4

L.4.11

2

D.4.12

4

L.4.12

3

D.4.13

3

L.4.13

5

D.4.14

5

L.4.14

3

D.4.15

4

L.4.15

2

D.4.16

2

L.4.16

1

Rata2

4

Nilai Risiko

3 Medium

R5 D.5.1

3

L.5.1

4

D.5.2

5

L.5.2

2

D.5.3

5

L.5.3

2

D.5.4

4

L.5.4

2

Rata2

4

Nilai Risiko

3 High

Tabel 5.23 menunjukkan bahwa ruang lingkup dengan kode RI yang membahas tentang Tata Kelola Keamanan informasi, kode R2 yang membahas Pengelolaan Risiko Keamanan informasi, kode R5 yang membahas Teknologi dan Keamanan Informasi memiliki risiko High, yang artinya menjadi perhatian bagi organisasi yang diperiksa dan juga pemeriksa BPK RI. Sedangkan ruang lingkup dengan kode R3 yang membahas mengenai Kerangka Kerja Keamanan Informasi dan ruang lingkup dengan kode R4 yang membahas mengenai Pengelolaan Aset Informasi memiliki risiko Medium, yang artinya risiko tidak terlalu berpengaruh bagi proses bisnis organisasi yakni terkait pengelolaan keuangan akan tetapi perlu mendapat perhatian dari organisasi dan pemeriksa BPK RI. Sedangkan hasil kuesioner dapat dilihat juga nilai risiko inheren untuk tiap aktivitas. Nilai risiko dari tiap aktivitas ditunjukkan pada Tabel 5.24.



121 Tabel 5.24 Nilai Risiko Inheren untuk tiap Aktivitas Kode Aktivitas

Proses

Pengendali an

Kode

Kode

Indikator

Indikator

Dampak

Likelihood

Likeli Dampak

hood

Risiko

Mendokumentasikan A.5.1

information

security

D.1.1

L.1.1

policy A.5.2

Kajian

information

security Policy

D.1.2

L.1.2

High 5

3

5

2

High

A.6.1

Organisasi internal

D.1.3

L.1.3

4

4

High

A.6.2


D.1.4

L.1.4

5

2

High

Tanggung jawab

D.2.1,

terhadap aset

D.2.3

5

2

High


D.2.2

5

2

High

4

3

High

5

2

High

A.7.1 A.7.2

Manajemen A.10.2

Pelayanan Jasa Pihak Ketiga

A.10.3


D.3.4, D.3.5

L.2.1, L.2.3 L.2.2

L.3.4, L.3.5

D.3.1

L.3.1

A.10.5

Back-up

D.3.2

L.3.2

5

2

High

A.10.8


D.3.3

L.3.3

4

2

Medium

A.10.10

Pemantauan

D.3.4

L.3.4

3

2

Medium

D.3.5

L.3.5 4

3

High

4

4

High

4

3

4

1

Medium

5

2

High

4

5

Very High

4

2

Medium

Pelaporan kejadian A.13.1

dan kelemahan keamanan informasi Manajemen insiden

A.13.2

keamanan informasi

D.3.6

L.3.6

dan perbaikan D.4.1, A.8.2

Selama bekerja

D.4.2, D.4.3

A.8.3


A.9.1

Area yang aman

A.9.2

Keamanan Peralatan

A.11.1

Persyaratan bisnis untuk pengendalian

D.4.4 D.4.5, D.4.6

L.4.1, L.4.2, L.4.3

L.4.4

L.4.5, L.4.6

D.4.7

L.4.7

D.4.8

L.4.8

High



122 Kode Aktivitas

Proses

Pengendali an

Kode

Kode

Indikator

Indikator

Dampak

Likelihood

Likeli Dampak

hood

Risiko

akses A.11.2

A.11.3

A.11.4

A.11.5

A.11.6

A.15.1

A.15.3

A.12.2

A.12.3 A.12.4

Manajemen akses

D.4.9,

L.4.9,

pengguna

D.4.10

L.4.10

D.4.10

L.4.10

D.4.10,

L.4.10,

D.4.11,

L.4.11,

D.4.12

L.4.12

D.4.13

L.4.13

D.4.10,

L.4.10,

Pengendalian akses

D.4.11,

L.4.11,

aplikasi dan informasi

D.4.12,D.

L.4.12,L.4.1

4.14

4

D.4.15

L.4.15

D.4.16

L.4.16

Tanggung jawab pengguna Pengendalian akses jaringan Pengendalian akses sistem operasi

Kesesuaian dengan persyaratan umum Pertimbangan audit sistem informasi Pengolahan yang

D.5.3,

benar dalam aplikasi

D.5.4

Pengendalian dengan cara kriptografi Keamanan sistem file

L.5.3, L.5.4

D.5.1

L.5.1

D.5.2

L.5.2

D.5.4

L.5.4

4

3

5

3

High

High

High 4

3

3

5

High

High 4

3

4

2

Medium

2

1

low

5

2

3

4

5

2

High

4

2

Medium

High

High

Keamanan dalam A.12.5

proses pengembangan dan pendukung

Tabel 5.24 menujukkan bahwa aktivitas yang berhubungan dengan keamanan peralatan dengan kode A.9.2 memiliki risiko Very High yang mana ditunjukkan dengan indikator keamanan peralatan pada saat diluar lokasi kerja. Organisasi Pemerintah Kota Tangerang belum memiliki aturan atau kebijakan mengenai pengelolaan aset informasi/peralatan pengolah informasi jika



123 digunakan di luar lokasi kerja sedangkan dampak bagi organisasi tinggi sehingga risiko yang dihasilkan juga sangat tinggi. Aktivitas dengan kode A.15.3 yakni pertimbangan audit sistem informasi memiliki risiko Low yang mana menunjukkan bahwa risiko pada akivitas ini tidak terlalu berpengaruh terhadap proses bisnis organisasi sehingga tidak menjadi perhatian utama bagi organisasi dan pemeriksa BPK RI. Aktivitas Pengakhiran atau perubahan pekerjaan (A.8.3), Pertukaran Informasi (A.10.8), Pemantauan (A.10.10), Persyaratan bisnis untuk pengendalian akses (A.11.1), Kesesuaian dengan persyaratan umum (A.15.1) dan Keamanan dalam proses pengembangan dan pendukung (A.12.5) memiliki risiko Medium yang menunjukkan bahwa dampak dari risiko aktivitas tersebut cukup berpengaruh bagi organisasi akan tetapi tetap harus mendapat perhatian organisasi dan pemeriksa. Sedangkan aktivitas-aktivitas yang lainnya memiliki risiko High yang menunjukkan bahwa peristiwa ancaman dapat diperkirakan mempunyai beberapa efek merugikan yang besar pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara sehingga harus mendapat perhatian bagi Pemerintah Kota Tangerang dan Pemeriksa BPK RI. Hasil penilaian risiko inheren yang telah diidentifikasi dijadikan pertimbangan untuk penentuan kontrol yang dibutuhkan oleh setiap aktivitas yang ada. Kemudian dari kontrol yang ada maka ditentukan nilai risiko residual dari setiap aktivitas. Nilai residual didapat dari wawancara dengan pejabat yang ada di Pemerintah Kota Tangerang. Nilai risiko residual adalah sebagai berikut yang dipaparkan dalam Tabel 5.25 ini.



124 Tabel 5.25 Nilai Risiko Residual untuk Tiap Aktivitas Kode Aktivitas Pengendalian

Proses information

Damp ak

Likelihood

Risiko

Major

Unlikely

Medium

A.5.1

Mendokumentasikan security policy

A.5.2


Major

Unlikely

Medium

A.6.1

Organisasi internal

Major

Unlikely

Medium

A.6.2


Major

Unlikely

Medium

A.7.1


Extre me

Rare

Medium

A.7.2


Extre me

Rare

Medium

A.10.2


Moder ate

Unlikely

Medium

A.10.3


Extre me

Rare

Medium

A.10.5

Back-up

Major

Unlikely

Medium

A.10.8


Moder ate

Rare

Low

A.10.10

Pemantauan

Moder ate

Rare

Low

A.13.1


Major

Unlikely

Medium

A.13.2


Major

Unlikely

Medium

A.8.2

Selama bekerja

Moder ate

Unlikely

Medium

A.8.3


Major

Rare

Medium

A.9.1

Area yang aman

Major

Unlikely

Medium

A.9.2

Keamanan Peralatan

Major

Moderate

High

A.11.1


Moder ate

Rare

Low

A.11.2


Major

Unlikely

Medium

A.11.3


Major

Unlikely

Medium

A.11.4


Major

Unlikely

Medium

A.11.5


Moder ate

Likely

High




Proses

Damp ak

Likelihood

Risiko

A.11.6


Moder ate

Moderate

Medium

A.15.1


Moder ate

Moderate

Medium

A.15.3


Insinig hficant

Rare

Low

A.12.2


Major

Unlikely

Medium

A.12.3


Moder ate

Unlikely

Medium

A.12.4


Moder ate

Unlikely

Medium

A.12.5


Moder ate

Rare

Low

Tabel 5.25 memperlihatkan bahwa risiko residual untuk aktivitas pengendalian akses sistem operasi (kode A.11.5) adalah High sedangkan untuk risiko inherennya adalah high juga. Hal ini tidak ada perubahan status risiko walaupun sudah terdapat kontrol-kontrol yang akan dan sudah diterapkan oleh pemerintah Kota Tangerang. Kondisi ini disebebakan karena untuk alasan kemudahan operasional maka nilai kecenderunganya masih cukup tinggi terjadi. c. Hasil pengisian formulir penilaian risiko Pemeriksa BPK RI setelah melaksanakan program audit, maka dilanjutkan dengan mengisi formulir penilaian risiko yang ada dalam kerangka kerja. Dasar pengisian formulir adalah program pemeriksaan yang telah dilakukan. Formulir berisi hasil identifikasi kelemahan, ancaman, risiko dan kontrol yang dibutuhkan untuk setiap risiko tersebut. Formulir penilaian risiko untuk Pemerintah Kota Tangerang dapat dilihat pada Lampiran 6. Lampiran 6 adalah daftar kondisi tiap aktivitas yang ada dalam



126 ISO 27001, dimana aktivitas tersebut sudah dipetakan ke dalam ruang lingkup pemeriksaan. Setiap aktivitas akan diidentifikasi kelemahan, ancaman, risiko baik inheren maupun residual selain itu pemeriksa mengidentifikasi kontrol dan rencana kerja yang dibutuhkan untuk mengatasi risiko tersebut. Formulir penilaian risiko ini juga dijadikan panduan dalam pemeriksaan laporan keuangan karena setiap risiko aktivitas akan memiliki risiko deteksi yang berbeda-beda untuk pelaksanaan pemeriksaan laporan keuangan. Saat uji publik kerangka kerja penilaian risiko keamanan informasi dilakukan, auditor memberikan masukan untuk penambahan penjelasan di kerangka kerja kerja yakni pada bagian startegi mitigasi risiko. Strategi mitigasi risiko pada kerangka kerja ada dua yakni Accept dan Not accept. Pemeriksa ingin terdapat penjelasan mengenai ketentuan risiko diAccept atau Not Accept. Berikut adalah ketentuan tambahan dalam strategi mitigasi risiko kerangka kerja penilaian risiko keamanan informasi untuk strategi Not accept, yakni 1. Terdapat perlindungan hukum yang memadai mencakup regulasi dan/atau kontrak/perjanjian 2. Pemilik risiko dapat memastikan dengan tingkat keyakinan diatas 85% bahwa tidak akan terjadi kegagalan pada orang, proses dan sistem yang ada. 3. Maksimal memiliki tingkat konsekuensi pada level yang ditetapkan untuk di Not Accept sesuai dengan toleransi dan selera risiko instansi yang telah ditetakan. 5.7

Alat bantu Penilaian Risiko

Alat bantu penilaian risiko keamanan informasi akan diterapkan dalam bentuk daftar pertanyaan yakni program pemeriksaan. Program pemeriksaan akan dibuat dalam struktur yang memiliki tingkatan (leveling) untuk mengukur kelengkapan



127 baik secara dokumen atau pengendalian yang telah dilakukan untuk menunjang keamanan informasi di organisasi tersebut. Program pemeriksaan yang dibuat untuk mendukung proses assesment yang ada pada kerangka kerja diatas. Alat bantu ini juga menyediakan formulir penilaian risiko keamanan informasi bagi pemeriksa BPK RI sehingga data penilaian risiko dapat tersimpan dengan baik dan dapat dijadikan rujukan bagi pemeriksaan selanjutnya. 5.7.1 Uji Publik Alat Bantu Penilaian Risiko Keamanan Informasi Aplikasi yang dibangun adalah aplikasi web based sehingga memudahkan para pemeriksa untuk mengoperasikan aplikasi ini di lokasi pemeriksaan yang tersebar dibeberapa daerah. Gambar 5.8 adalah halaman depan untuk aplikasi risk assesment simulator yang telah diujicobakan untuk menilai keamanan informasi terkait pengelolaan keuangan pemerintah Kota Tangerang.

Gambar 5. 8 Halaman depan aplikasi Risk Assesment Simulator

User aplikasi ini adalah salah satu pemeriksa BPK RI yang ditunjukkan untuk tugas pelaksanaan penilain risiko pada entitas yang diperiksa. setelah berhasil maka pemeriksa akan dihadapkan pada halaman ruang lingkup pemeriksaan yang



128 bisa dipilih oleh pemeriksa dengan mempertimbangkan hasil pemeriksaan sebelumnya.

Gambar 5. 9 Halaman pilih ruang lingkup

Gambar 5.9 menunjukkan bahwa halaman ruang lingkup memberikan kemudahan bagi pemeriksa untuk memilih ruang lingkup pemeriksaan. Ruang lingkup yang tersedia adalah tata kelola tata kelola keamanan informasi, pengelolaan risiko keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset informasi dan teknologi dan keamanan informasi. Setiap ruang lingkup memiliki tujuan yang berbeda-beda sesuai dengan perspektif pelaksanaan pemeriksaan penilaian risiko keamanan informasi. Gambar 5.10 ini menunjukkan halaman pertanyaan yang berisi program pemeriksaan untuk setiap ruang lingkup yang telah dipilih oleh pemeriksa. Program pemeriksaan berisi ruang lingkup, tujuan pemeriksaan, tahap pelaksanaan yang terdiri dari langkah audit, bukti dari tiap langkah dan leveling dari tiap langkah.



129

Gambar 5. 10 Halaman Pertanyaan

Pemeriksa memberikan nilai berupa level untuk tiap proses yang ada. Proses pada aplikasi ini digambarkan melalui daftar pertanyaan yang disertai bukti untuk tiap pertanyaan. Hasil nilai level untuk tiap ruang lingkup pada proses uji publik untuk Pemerintah Kota Tangerang adalah seperti Gambar 5.11 ini.



130

Gambar 5. 11 Halaman Hasil Penilaian Risiko

Pemeriksa mendapatkan gambaran hasil penilaian risiko secara grafik kemudian pemeriksa memasukkan data penilaian risiko yang berisi kelemahan, ancaman, nilai risiko inheren dan residual, kontrol, rencana kerja, risiko deteksi dan strategi pemeriksaan untuk pemeriksaan laporan keuangan Pemerintah Kota Tangerang.



131



132 Gambar 5. 12 Halaman input data Risk Assesment

Data yang telah dimasukkan akan ditampilkan dalam layar seperti Gambar 5.10 berikut ini.

Gambar 5. 13 Halaman Tampilan Risk Assesment



BAB 6 KESIMPULAN DAN SARAN

Bab 6 akan menjelaskan mengenai kesimpulan dan saran dari penelitian ini. Kesimpulan dan saran didapat dari hasil pengambilan, hasil pengolahan dan hasil analisis data yang dilakukan oleh peneliti selama penelitian ini berlangsung. 6.1

Kesimpulan

Berdasarkan hasil penelitian mengenai pembuatan alat bantu dan kerangka kerja penilaian risiko keamanan informasi dalam perencanaan pemeriksaan laporan keuangan konsolidasi pemerintah daerah untuk BPK RI, dapat diambil kesimpulan sebagai berikut: 1. Penggabungan ISO 27001 dengan Standar Pemeriksaan Keuangan Negara menghasilkan sebuah kerangka kerja penilaian risiko keamanan informasi dalam proses perencanaan pemeriksaan keuangan yang sesuai dengan kebutuhan pemeriksaan laporan keuangan pemerintah daerah dengan mencakup: a. Ruang lingkup tata kelola keamanan informasi, pengelolaan risiko keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset informasi dan teknologi dan keamanan informasi dalam prosedur akuntansi pengelolaan keuangan pemerintah daerah. b. 29 aktivitas pengendalian dan 68 praktik pengendalian yang ada dalam ISO 27001. c. Formulir pengisian penilaian risiko keamanan informasi, tahapan penilaian risiko keamanan informasi dan cara pengisian formulir. Selain itu dalam kerangka kerja terdapat program pemeriksaan yang mendukung penilaian risiko keamanan informasi d. Indikator –indikator dampak dan kecenderungan yang dapat digunakan oleh pemeriksa dalam menilai risiko untuk setiap ruang lingkup pemeriksaan dan

133



134 aktivitas yakni terdapat sebanyak 33 jenis indikator yang dapat diadopsi dari ISO 27001. 2. Alat bantu berbasis web yang dirancang memudahkan pemeriksa dalam menilai risiko keamanan informasi, selain itu pemeriksa dapat melihat record penilaian risiko yang pernah dilakukan sebelumnya untuk dijadikan acuan pada pemeriksaan penilaian risiko yang akan dilakukan. 6.2

Saran

Dari proses pembuatan alat bantu dan kerangka kerja penilaian risiko keamanan informasi untuk proses perencanaan pemeriksaan laporan keuangan pemerintah daerah, dapat disarankan pengembangan sebagai berikut: 1. Mengembangkan program audit yang bersifat application control terhadap sistem pengelolaan keuangan pemerintah daerah. 2. Mengembangkan kerangka kerja dan alat bantu penilaian risiko keamanan informasi pengelolaan keuangan untuk mendeteksi terjadinya fraud dalam pengelolaan keuangan di pemerintah daerah. 3. Mengembangkan program audit untuk penilaian risiko di instansi pemerintah daerah yang lain dengan metode risk assesment yang lain, misal NIST, OCTAVE, Sarbanes Oxley section 404 atau IT Risk.



DAFTAR PUSTAKA

Arnason, S. T. (2008). How to achive 27001 Certification: An Example of Applied Complience Management. New York, USA: Aurbach Publications. Carlson, T. (2001). Information Security Management : Understanding ISO 17799. USA: Lucent Technologies Worldwide Service. Dan Schroeder, T. S. (Juli, 2010). Risk-Based Audit. Certified Public Accountant, 104-111. Direktorat Utama Perencanaan, E. P. (2013). Laporan Hasil Evaluasi . Jakarta: Badan Pemeriksa Keuangan. Djojosoedarso, a. S. (2005). Prinsip-Prinsip Manajemen Risiko dan Asuransi, edisi revisi. Jakarta, Indonesia: Salemba Empat. Gondodiyoto, S. (2003). Audit Sistem Informasi Pendekatan Konsep. Jakarta: PT. Media Global Edukasi (McGraw-Hill Education). H.Februariyanti. (Juli, 2006). Standar dan Manajemen Keamanan Komputer. Jurnal Teknologi Informasi DINAMIK, Vol.XI No.2. Hall, S. (2007). Information Technology Auditing and Assurance, Edisi ke-2, terjemahan: Fitriasari Dewi. Jakarta: Salemba Empat. J. E. Hunton, S. M. (2004). Core Concepts of Information Technology Auditing. John Wiley & Sons. Keuangan, D. J. (Oktober, 2011). Monitoring dan Evaluasi Penyelenggaraan Sistem Informasi Keuangan Daerah. Jakarta: Kementerian Keuangan. Madhukar. (2007). Risk Register Template v2 Guidance on Scoring. ISO 27001 Security. Mattord, M. W. (2010). Management of Information Security, 3rd ed. Boston: Cengage Learning. Peltier, T. R. (2001). Information Security Risk Analysis. United States of America: Auerbach. Stalling, W. (1995). Network and Internetwork Security. Prentice Hall.

135



136 T.J. Mock, A. W. (1998). Audit Program Planning Using A Belief Function Framework. University of Kansas. W.Boyton. (2010). Modern Auditing 8th Edition . New York: John Wiley & Sons Inc.



137 LAMPIRAN 1 Bagian awal untuk responden Auditor Kepada Yth. Responden Penelitian Dalam mendukung penelitian dengan judul “PERANCANGAN ALAT BANTU DAN KERANGKA KERJA PENILAIAN RISIKO KEAMANAN INFORMASI DALAM PROSES

PERENCANAAN

PEMERIKSAAN

LAPORAN

KEUANGAN

KONSOLIDASI DI PEMERINTAH DAERAH : STUDI KASUS BPK RI PERWAKILAN BANTEN”, peneliti mengharapkan kesedian Bapak/Ibu/Saudara untuk mengisi kuesioner berikut. Kuesioner ini ditujukan untuk memperoleh informasi dari Bapak/Ibu/Saudara dalam posisi sebagai auditor. Bapak/Ibu/Saudara cukup memilih aktivitas pengendalian yang penting dalam keamanan informasi prosedur akuntansi di sistem Pengelolaan Keuangan Pemerintah Daerah. Peneliti menggunakan aktivitas pengendalian dalam ISO 27001. ISO 27001:2005 atau disebut dengan ISO 17799:2005-2 adalah suatu standar keamanan yang diperuntukan bagi institusi yang akan mengelola dan mengontrol keamanan informasi nya . Dalam survei ini, peneliti berharap mendapatkan informasi dari Bapak/Ibu/Saudara berkaitan dengan aktivitas pengendalian apa yang dianggap penting dalam keamanan informasi system pengelolaan keuangan pada instansi pemerintah daerah dari sudut pandang auditor. Peneliti akan menggunakan hasil survei tersebut sebagai dasar penyusunan program audit untuk menilai risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah pada proses perencanaan pemeriksaan laporan keuangan pemerintah daerah. Informasi dari Bapak/Ibu/Saudara tersebut, semata-mata hanya untuk kepentingan penelitian. Sehingga peneliti berharap Bapak/Ibu/Saudara mengisi berdasarkan tingkat keyakinan sebagai seorang auditor. Sekilas tentang Sistem Pengelolaan Keuangan Daerah Sistem pengelolaan keuangan daerah adalah sistem terpadu dipergunakan sebagai alat bantu pemerintah daerah yang digunakan meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan asas efisiensi, ekonomis, efektif, transparan, akuntabel dan auditable. Prinsip dasar dari sistem ini adalah 1.

Kejelasan peranan dan pertanggungjawaban kebijakan fiskal

2.

Ketersediaan informasi keuangan bagi masyarakat Universitas Indonesia


138 3.

Keterbukaan dalam perencanaan, pelaksanaan, dan pelaporan anggaran

4.

Adanya jaminan independensi atas kebijakan fiskal yang baik

Demikian permohonan saya, atas kesediaan waktunya diucapkan terima kasih.

Peneliti, Ika Septi Anggraeni

Bagian 1 Identitas Responden 1.

2.

3.

Jenis Kelamin dan Usia Laki-Laki

Usia :

Perempuan

Usia :

Pendidikan terakhir D3 (atau dibawahnya )

S2

S1

S3

Masa Kerja di BPK RI Kurang dari 4 tahun

10-12 tahun 12 tahun

4-6 tahun

keatas

7-9 tahun

4.

Apakah anda pernah mengikuti pelatihan audit system informasi/teknologi informasi Pernah

Berapa kali

Terakhir tahun

Belum pernah

5.

Apakah anda pernah mengikuti audit system informasi/teknologi informasi Pernah

Berapa kali

Terakhir tahun

Belum pernah

6.

Apakah anda pernah melakukan penilaian risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah Pernah

Berapa kali

Terakhir tahun



139 Belum pernah

7.

Apakah

saat

ini

Anda

sudah

memiliki

sertifikat

pemeriksa

sistem

informasi/teknologi informasi Certified Information Systems Auditor (CISA)? Tahun berapa anda Pernah

memperolehnya

Belum pernah

Bagian 2 Aktifitas Pengendalian Keamanan Informasi Berdasarkan tingkat kepentingan dengan pelaksanaan sistem pengelolaan keuangan daerah, mohon memberikan penilaian pada aktivitas pengendalian dalam pelaksanaan keamanan informasi system pengelolaan keuangan daerah dengan melingkari skala penilaian yang tersedia. Aktivitas tersebut mencakup proses keamanan informasi . Skala penilaian adalah sebagai berikut: N: Tidak Mungkin Diterapkan 1 : Tidak Penting 2 : Cukup Penting 3 : Penting A.5. Security Policy A5.1 Mendokumentasikan Information Security Policy Mendokumentasikan disini adalah adanya dokumen policy terkait keamanan informasi yang disetujui oleh manajemen, dipublikasikan serta dikomunikasikan kepada semua karyawan N

1

2

3

A5.2 Kajian Information Security Policy Information Security Policy yang ada telah direview oleh manajemen sehingga jika terjadi perubahan yang signifikan untuk memastikan kesesuaian, keefektifan dan kecukupan yang berkelanjutan. N

1

2

3

A.6. Organisasi Keamanan Informasi A.6.1 Organisasi internal  Adanya komitmen oleh manajemen dengan mendukung secara aktif dan jelas terkait penugasan eksplisit dan tanggung jawab keamanan informasi dan adanya koordinasi pada wakil-wakil bagian organisasi sesuai dengan peran dan fungsi Universitas Indonesia


140 kerjanya masing-masing selain itu adanya proses otorisasi dari manajemen terkait fasilitas informasi, contoh : pemisahan fungsi akses informasi keuangan (bidang anggaran, penatausahaan, bendahara, pelaporan ).  Adanya review independen yang dilakukan pengawas internal (inspektorat) terkait keamanan informasi organisasi N

1

2

3

A.6.2 Organisasi eksternal Adanya penekanan keamanan perjanjian dengan pihak ketiga yang meliputi pengaksesan, pengolahan dan pengkomunikasian informasi organisasi, misal membuat kausal tambahan pada perjanjian dengan pihak ketiga yang berkaitan dengan pengembangan aplikasi atau pengolahan informasi organisasi. N

1

2

3

A.7. Pengolahan Aset A.7.1 Tanggung jawab terhadap asset Adanya manajemen aset yakni proses identifikasi dan inventarisasi dari aset yang meliputi kepemilikan aset sebagai fasilitas pengolah informasi dan pembatasan akses pada aset selain itu adanya penerapan aturan untuk penggunaan informasi dan aset . N

1

2

3

A.7.2 Klasifikasi informasi Adanya pengklasifikasian aset sesuai dengan nilai, persyaratan hokum, sensitivitas terhadap organisasi sehingga bentuk penanganan tiap asset disesuaikan dengan kategorinya. N

1

2

3

A.8. Keamanan Sumberdaya manusianya A.8.1 Sebelum dipekerjakan Adanya penyaringan atau screening yakni verifikasi latar belakang semua calon pegawai, kontraktor dan pengguna pihak ketiga menurut undang-undang, hukum dan etika yang berlaku serta adanya penandatanganan kontrak untuk bertanggung jawab keamanan informasi organisasi. N

1

2

3

A.8.2 Selama bekerja Adanya kepedulian, pendidikan dan pelatihan keamanan informasi bagi semua pegawai, kontraktor, pengguna pihak ketiga serta terdapat proses pendisiplinan Universitas Indonesia


141 bagi semua pegawai, kontraktor, dan pengguna pihak ketiga yang melakukan pelanggaran keamanan. N

1

2

3

A.8.3 Pengakhiran atau perubahan pekerjaan Adanya pengembalian asset organisasi yang digunakan oleh semua pegawai, kontraktor, dan penguna pihak ketiga, selain itu terdapat penghapusan hak akses terhadap informasi dan fasilitas pengolah informasi ketika pekerjaan atau kontrak berakhir. N

1

2

3

A.9. Keamanan Fisik dan Lingkungan A.9.1 Area yang aman Adanya perimeter keamanan fisik seperti access door dan perlindungan terhadap ancaman lingkungan eksternal seperti smoked/fired detector serta adanya pengaturan akses area public seperti lokasi bongkar muat barang. N

1

2

3

A.9.2 Keamanan Peralatan Adanya penempatan dan perlindungan peralatan yang merupakan sarana untuk membawa data dan informasi seperti keamanan kabel , pengamanan peralatan ini tidak hanya didalam lokasi organisasi melainkan juga di luar lokasi serta terdapat pemeliharaan peralatan. N

1

2

3

A.10 Manajemen Komunikasi dan Operasi A.10.1 Prosedur Operasional dan Tanggung jawab Adanya prosedur pengoperasian fasilitas informasi yang berisi manajemen perubahan terhadap fasilitas dan system pengolahan informasi, pemisahan tugas dalam penggunaan fasilitas informasi. N

1

2

3

A.10.2 Manajemen Pelayanan Jasa Pihak Ketiga Adanya penerapan dan pemeliharaan tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga seperti adanya pemantauan, pengkajian dan audit secara regular terkait jasa, laporan dan rekaman yang diberikan pihak ketiga. N

1

2

3



142

A.10.3 Perencanaan dan Keberterimaan Sistem Adanya manajemen kapasitas yakni penggunaan sumber daya yang harus dipantau, disesuaikan dan diproyeksikan selain itu proses upgrade sistem harus ditetapkan dan dilakukan pengujian sistem. N

1

2

3

A.10.4 Perlindungan terhadap malicious dan mobile code Adanya pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan dari malicious code serta terdapat pengendalian penggunaan mobile code yang sesuai dengan prosedur keamanan informasi organisasi N

1

2

3

A.10.5 Back-up Adanya proses pengambilan dan pengujian secara berkala salinan back-up informasi dan perangkal lunak sesuai dengan kebijakan back-up yang disetujui. N

1

2

3

A.10.6 Manajemen Keamanan Jaringan Adanya perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung, seperti perlindungan jaringan dan pengidentifikasian fitur keamanan, tingkat layanan dan persyaratan manajemen yang kemudian dituangkan dalam perjanjian layanan jaringan baik in-house atau alih daya. N

1

2

3

A.10.7 Penanganan Media Adanya upaya untuk mencegah terjadinya pengungkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah dan gangguan bisnis dengan cara pembuatan prosedur manajemen media, pemusnahan media, penanganan informasi dan pembatasan akses pada dokumen system. N

1

2

3

A.10.8 Pertukaran informasi Adanya pemeliharaan keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan setiap entitas eksternal seperti kebijakan dan prosedur pertukaran informasi N

1

2

3



143 A.10.9 Layanan electronic commerce Adanya keamanan layanan electronic commerce dan keamanan penggunaannya N

1

2

3

A.10.10 Pemantauan Adanya pengendalian untuk mendeteksi kegiatan pengolahan informasi yang tidak sah seperti log audit, perlindungan informasi log, log administrator dan operator dan sinkronisasi penunjuk waktu. N

1

2

3

A.11 Pengendalian Akses A.11.1 Persyaratan bisnis untuk pengendalian akses Adanya kebijakan terkait pengendalian akses pada semua asset informasi di organisasi N

1

2

3

A.11.2 Manajemen akses pengguna Adanya prosedur untuk memastikan akses oleh pengguna yang sah melalui pendaftaran pengguna, manajemen password pengguna. N

1

2

3

A.11.3 Tanggung jawab pengguna Adanya prosedur untuk meningkatkan rasa tanggung jawab dari pengguna fasilitas informasi, misal kebijakan clear desk dan clear screen dan adanya perlindungan peralatan informasi yang ditinggalkan oleh pengguna . N

1

2

3

A.11.4 Pengendalian akses jaringan Adanya upaya pencegahan akses yang tidak sah kedalam jaringan misal kebijakan penggunaan layanan jaringan, perlindungan terhadap remote diagnostic dan configuration port N

1

2

3

A.11.5 Pengendalian akses sistem operasi Adanya upaya pencegahan akses tidak sah ke dalam system operasi misal prosedur log-on yang aman, identifikasi dan otentikasi pengguna dan sesi time-out.



144 N

1

2

3

A.11.6 Pengendalian akses aplikasi dan informasi Adanya upaya pencegahan akses tidak sah pada aplikasi dan informasi misal isolasi sistem yang sensitive. N

1

2

3

A.11.7 Mobile computing dan kerja jarak jauh Adanya kebijakan yang mengatur kegiatan mobile computing dan kerja jarak jauh untuk menjaga keamanan informasi. N

1

2

3

A.12 Akusisi, pengembangan dan pemeliharaan sistem informasi A.12.1 Persyaratan keamanan dari sistem informasi Adanya analisa dan spesifikasi persyaratan keamanan untuk sistem informasi yang ada. N

1

2

3

A.12.2 Pengolahan yang benar dalam aplikasi Adanya validasi data yang akan dimasukkan dalam aplikasi sehingga data yang dimasukkan dalam aplikasi benar selain itu adanya validasi data keluaran aplikasi agar memastikan proses pengolahan informasinya benar. N

1

2

3

A.12.3 Pengendalian dengan cara kriptografi Adanya kebijakan tentang penggunaan pengendalian kriptografi. N

1

2

3

A.12.4 Keamanan sistem file Adanya prosedur untuk mengendalikan instalasi perangkat lunak pada sistem operasional serta pembatasan akses ke kode sumber program harus dibatasi . N

1

2

3

A.12.5 Keamanan dalam proses pengembangan dan pendukung Adanya pengendalian pengembangan perangkat lunak yang dialihdayakan harus disupervisi dan dipantau oleh organisasi.



145 N

1

2

3

A.12.6 Manajemen Kerawanan Teknis Adanya pengendalian kerawanan yang mungkin muncul dari sistem informasi yang digunakan sehingga tidak menimbulkan risiko. N

1

2

3

A.13 Manajemen Insiden Keamanan Informasi A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi Adanya pelaporan terkait kelemahan yang diamati dan dicurigai dalam sistem atau layanan oleh pegawai, kontraktor, dan pengguna pihak ketiga N

1

2

3

A.13.2 Manajemen insiden keamanan informasi dan perbaikan Adanya prosedur penanganan jika terjadi insiden keamanan informasi baik pendeteksi insiden, pengumpulan bukti jika melibatkan orang atau organisasi tertentu dan peningkatan setelah insiden terjadi. N

1

2

3

A.14 Manajemen Keberlanjutan Bisnis ( Businees Continuity Management ) A.14.1 Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis Adanya prosedur untuk identifikasi risiko yang mungkin mengganggu keberlanjutan bisnis atau proses bisnis dalam organisasi. N

1

2

3

A.15 Kesesuaian A.15.1 Kesesuaian dengan persyaratan umum Adanya upaya pencegahan pelanggaran terhadap undang-undang, peraturan perundang-undangan dan setiap persyaratan keamanan informasi seperti perlindungan data dan rahasia informasi pribadi, perlindungan rekaman organisasi N

1

2

3

A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis Adanya pengendalian untuk memastikan secara berkala sistem informasi telah memenuhi persyaratan teknis terhadap standar penerapan keamanan.



146 N

1

2

3

A.15.3 Pertimbangan audit sistem informasi Adanya pengendalian audit sistem informasi yang melibatkan pengecekan sistem operasional direncanakan dengan hati-hati untuk meminimalisasi risiko dari gangguan proses bisnis serta perlindungan terhadap alat audit informasi. N

1

2

3



147

LAMPIRAN 2 Hasil Tabulasi Wawancara Kode Aktivitas Pengendalian A.5

Proses

A.5.1

A.5.2 A.6

A.6.1 A.6.2 A.7 A.7.1 A.7.2 A.8

A.8.1 A.8.2 A.8.3

A.9 A.9.1 A.9.2 A.10

A.10.1

A.10.2

A.10.3

RI

R2

R3

R4

Ratarata

Pembulatan

Tingkat

Mendokumentasik an Information Security Policy Kajian Information Security Policy Organisasi Keamanan Informasi Organisasi internal

3

1

3

3

2,5

3

Penting

3

3

2

3

2,75

3

Penting

3

3

3

3

3

3

Penting

Organisasi eksternal Pengolahan Aset

3

3

2

3

2,75

3

Penting

Tanggung jawab terhadap asset Klasifikasi informasi Keamanan Sumberdaya manusianya Sebelum dipekerjakan Selama bekerja

3

3

3

3

3

3

Penting

3

2

2

3

2,5

3

Penting

1

2

2

3

2

2

2

3

2

3

2,5

3

Cukup penting Penting

Pengakhiran atau perubahan pekerjaan Keamanan Fisik dan Lingkungan Area yang aman

3

3

2

3

2,75

3

Penting

3

3

1

3

2,5

3

Penting

Keamanan Peralatan Manajemen Komunikasi dan Operasi Prosedur Operasional dan Tanggung jawab Manajemen Pelayanan Jasa Pihak Ketiga Perencanaan dan Keberterimaan Sistem

1

3

2

3

2,25

1

Tidak penting

1

3

2

2

2

2

Cukup penting

1

2

2

3

2

2

Cukup penting

2

3

2

3

2,5

3

Penting

Security Policy



148 Kode Aktivitas Pengendalian A.10.4

Proses

RI

R2

R3

R4

Ratarata

Pembulatan

Tingkat

Perlindungan terhadap malicious dan mobile code Back-up

1

3

1

1

1,5

2

Cukup penting

3

3

2

3

2,75

3

Penting

Manajemen Keamanan Jaringan Penanganan Media

1

3

2

3

2,25

2

Cukup penting

0

3

2

1

1,5

2

Pertukaran informasi Layanan electronic commerce

2

2

2

2

2

2

0

0

0

0

0

0

A.10.10

Pemantauan

3

2

2

3

2,5

3

Cukup penting Cukup penting Tidak mugkin diterapkan Penting

A.11

Pengendalian Akses Persyaratan bisnis untuk pengendalian akses Manajemen akses pengguna Tanggung jawab pengguna Pengendalian akses jaringan Pengendalian akses sistem operasi Pengendalian akses aplikasi dan informasi Mobile computing dan kerja jarak jauh Akusisi, pengembangan dan pemeliharaan sistem informasi Persyaratan keamanan dari sistem informasi Pengolahan yang benar dalam aplikasi Pengendalian dengan cara kriptografi Keamanan sistem file

3

2

2

3

2,5

3

Penting

1

2

2

3

2

2

3

2

2

3

2,5

3

Cukup penting Penting

3

2

2

3

2,5

3

Penting

3

2

2

3

2,5

3

Penting

3

2

2

3

2,5

3

Penting

1

1

0

1

0,75

1

Tidak penting

2

2

2

2

2

2

Cukup penting

3

3

3

3

3

3

Penting

1

2

2

2

1,75

2

Cukup penting

3

3

2

3

2,75

3

Penting

A.10.5 A.10.6

A.10.7 A.10.8 A.10.9

A.11.1

A.11.2 A.11.3 A.11.4 A.11.5 A.11.6

A.11.7

A.12

A.12.1

A.12.2

A.12.3

A.12.4



149 Kode Aktivitas Pengendalian A.12.5

Proses

RI

R2

R3

R4

Ratarata

Pembulatan

Tingkat

Keamanan dalam proses pengembangan dan pendukung Manajemen Kerawanan Teknis Manajemen Insiden Keamanan Informasi Pelaporan kejadian dan kelemahan keamanan informasi Manajemen insiden keamanan informasi dan perbaikan Manajemen Keberlanjutan Bisnis ( Businees Continuity Management ) Aspek Keamanan Informasi dari manajemen keberlanjutan bisnis Kesesuaian

3

2

2

3

2,5

3

Penting

2

2

2

3

2,25

2

Cukup penting

3

2

2

3

2,5

3

Penting

3

3

3

3

3

3

Penting

2

3

2

2

2,25

2

Cukup penting

A.15.1


3

3

2

3

2,75

3

Penting

A.15.2

Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis Pertimbangan audit sistem informasi

1

3

2

3

2,25

2

Cukup penting

3

3

2

3

2,75

3

Penting

A.12.6 A.13

A.13.1

A.13.2

A.14

A.14.1

A15

A.15.3



150

LAMPIRAN 3 Kerangka Kerja Penilaian Risiko Keamanan Informasi Pemerintah Daerah

1. Formulir penilaian risiko keamanan informasi Penilaian risiko keamanan informasi pemerintah daerah menggunakan formulir sebagaimana digambarkan dalam tabel dibawah ini :

Kode ruang Ruang Kode aktivitas Aktivitas Ref. Program lingkup lingkup pengendalian pengendalian Pemeriksaan Kerawanan Ancaman 1

2

3

4

5

6

7

Inheren Dampak Kecenderungan Nilai Risiko 8 9 10

Kontrol yang ada 11

Strategi Strategi Risiko Pemeriks Mitigasi Rencana Target risiko Kerja Penyelesaian Deteksi aan

Residual Dampak Kecenderungan Nilai Risiko 12 13 14 15

16

17

18

19

Untuk dapat mengisi formulir tersebut, pemeriksa terlebih dahulu harus memiliki pemahaman yang mendalam terhadap proses bisnis entitas/organisasi serta hasil evaluasi dan pengujian pengendalian intern entitas secara kualitatif (dengan wawancara dan cek fisik) dan kuantitatif (pemberian kuesioner penilaian tingkat risiko). Identifikasi yang dicantumkan dalam ilustrasi dibawah ini masih/dapat dikembangkan oleh pemeriksa berdasarkan keadaan pada entitas yang bersangkutan.



151 2. Tahapan penilaian risiko keamanan informasi Langkah-langkah pada tahap perencanaan dan penyelesaian berlaku sama untuk semua tahap pelaksanaan penilaian risiko keamanan informasi sedangkan langkah pada tahap pelaksanaan didasarkan oleh program audit yang telah dirancang dibawah ini. a. Langkah Audit Tahap Perencanaan Pada tahap ini auditor BPK melakukan langkah-langkah awal untuk pelaksanaan audit teknologi informasi dalam penilaian risiko keamanan informasi di pemerintah daerah. Tahapan yang dilakukan yakni: 1. Review atas pelaksanaan penilaian risiko keamanan informasi sistem pengelolaan keuangan pemerintah daerah oleh auditor lain. Review ini dilakukan atas organisasi yang akan dilakukan pemeriksaan. 2. Menentukan ruang lingkup audit berdasarkan hasil review. 3. Membuat program audit yang rinci dan tepat. 4. Menentukan auditor yang memenuhi kualifikasi untuk melakukan audit. 5. Menentukan jadwal dan anggaran untuk melakukan audit. 6. Menyiapkan penugasan dalam bentuk surat tugas 7. Menyampaikan surat tugas kepada pimpinan organisasi yang diperiksa untuk menyampaikan tujuan pemeriksaan serta menginformasikan kepada organisasi untuk menyiapkan dokumen awal sebagai bahan untuk audit. Setelah melakukan tahapan diatas maka para auditor melanjutan langkah auditnya pada tahap pelaksanaan b. Langkah Audit Tahap Pelaksanaan Tahap pelaksanaan ini terdiri dari lima ruang lingkup yang ada, ruang lingkup yang akan dipilih auditor untuk pelaksanaan pemeriksaan berdasarkan hasil review dari pemeriksaan penilaian risiko keamanan informasi sebelumnya. Pelaksanaan pada tahap ini dapat dilakukan dengan cara kualitatif oleh auditor yakni dengan cara wawancara, cek fisik dokumen dan cek lapangan yaitu melihat proses keamanan informasi secara langsung di entitas terkait. Setelah melakukan langkah audit diatas, maka auditor dapat melakukan pendeteksian kelemahan berdasarkan hasil audit. hasil audit yang ada akan digunakan untuk mengevaluasi risiko dari keamanan informasi pada entitas tersebut. c. Langkah Audit Tahap Penyelesaian



152 Hasil-hasil pada tahap perencanaan dan tahap pelaksanaan audit untuk menilai risiko keamanan informasi dijadikan input/masukan pada tahap penyelesaian. Pada tahapan ini auditor melakukan hal-hal berikut ini : 1. Menyiapkan temuan audit berdasarkan indikator dan kriteria yang digunakan dalam audit. 2. Mengidentifikasi kelemahan dan ancaman dari temuan yang ada. 3. Menilai risiko inherent dan residual yang berasal dari kelemahan dan ancaman yang ada. 4. Menyampaikan temuan audit kepada pimpinan organisasi untuk mendapatkan tanggapan atas temuan audit. 5. Membuat laporan audit. 3. Pengisian formulir penilaian risiko keamanan informasi Berikut petunjuk pengisian masing-masing kolom formulir penilaian risiko keamanan informasi a. Kolom 1 (Kode ruang lingkup) Diisi dengan kode ruang lingkup, misal R.1, R.2, R.3, R.4 dan R.5. b. Kolom 2 ( Ruang lingkup ) Diisi dengan nama ruang lingkup, ruang lingkup ini dapat dipilih oleh pemeriksa sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas yang diperiksa. Berikut adalah daftar ruang lingkup yang ada beserta sasarannya. Kode ruang lingkup

Ruang lingkup

Sasaran

R.1

Review tata kelola keamanan informasi

Mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta fungsi selain itu serta tugas dan tanggung jawab pengelola keamanan informasi terkait prosedur akuntansi sistem pengelolaan keuangan

R.2

Review pengelolaan keamanan informasi

risiko

Mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi

R.3

Review Kerangka Keamanan Informasi

Kerja

Mengevaluasi kesiapan kebijakan dan prosedur pengelolaan keamanan informasi dan strategi penerapannya

R.4

Review Pengelolaan Informasi

Aset

Mengevaluasi kelengkapan pengamanan aset informasi termasuk siklus penggunaanya

R.5

Review Teknologi Keamanan Informasi

dan

Mengevaluasi kelengkapan, konsistensi dan efektifitas penggunaan teknologi dalam pengamanan aset informasi

*catatan : pemeriksa dapat menambah ruang lingkup yang ada sesuai dengan kebutuhan dan kondisi organisasi. Universitas Indonesia


153 c. Kolom 3 (Kode aktivitas pengendalian) Diisi dengan kode aktivitas pengendalian. Misal A.5.1, A.5.2 dst.. d. Kolom 4 (Aktivitas pengendalian) Diisi dengan nama aktivitas pengendalian. aktivitas pengendalian ini dapat dipilih oleh pemeriksa sesuai dengan pemeriksaan sebelumnya atau melihat kondisi entitas yang diperiksa. akan tetapi kerangka kerja ini sudah menyediakan pengelompokan aktivitas pengendalian yang memiliki sasaran yang sama kedalam ruang lingkup yang sama juga. Berikut pengelompokan dari aktivitas pengendalian yang ada Kode Aktivitas Pengendalian A.5.1 A.5.2 A.6.1 A.6.2 A.7.1 A.7.2 A.8.2 A.8.3 A.9.1 A.9.2 A.10.3 A.10.5 A.10.8 A.10.10 A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.12.2 A.12.3 A.12.4 A.12.5 A.13.1 A.13.2 A.15.1 A.15.3

Proses Mendokumentasikan Information Security Policy Kajian Information Security Policy Organisasi internal Organisasi eksternal Tanggung jawab terhadap asset Klasifikasi informasi Selama bekerja Pengakhiran atau perubahan pekerjaan Area yang aman Keamanan Peralatan Perencanaan dan Keberterimaan Sistem Back-up Pertukaran informasi Pemantauan Persyaratan bisnis untuk pengendalian akses Manajemen akses pengguna Tanggung jawab pengguna Pengendalian akses jaringan Pengendalian akses sistem operasi Pengendalian akses aplikasi dan informasi Pengolahan yang benar dalam aplikasi Pengendalian dengan cara kriptografi Keamanan sistem file Keamanan dalam proses pengembangan dan pendukung Pelaporan kejadian dan kelemahan keamanan informasi Manajemen insiden keamanan informasi dan perbaikan Kesesuaian dengan persyaratan umum Pertimbangan audit sistem informasi

Kode R.Lingkup R.1 R.1 R.1 R.1 R.2 R.2 R.4 R.4 R.4 R.4 R.3 R.3 R.3 R.3 R.4 R.4 R.4 R.4 R.4 R.4 R.5 R.5 R.5 R.5 R.3 R.3 R.4 R.4

Kode R.Lingkup R.1 R.2 R.3 R.4 R.5

Ruang Lingkup Review Tata Kelola Keamanan informasi Review Pengelolaan Risiko Keamanan informasi Review Kerangka Kerja Keamanan Informasi Review Pengelolaan Aset Informasi Review Teknologi dan Keamanan Informasi

e. Kolom 5 (Ref. Progam Pemeriksaan) Diisi dengan reference pada program pemeriksaan. Misalnya reff pada program langkah R.1.1.a yang artinya program pemeriksaan di kode ruang lingkup R.1 pada langkah yang ke 1.a . Program pemeriksaan dan bukti audit yang dilakukan untuk penilaian risiko keamanan informasi dapat dilhat pada lampiran 1. f.

Kolom 6 (kerawanan/vulnerability), Kolom 7 (ancaman) Diisi dengan deskripsi kerawanan dan ancaman yang dapat diidentifikasi oleh pemeriksa. kerawanan merupakan kekurangan yang dimiliki organisasi dan dapat menjadi ancaman dan menimbulkan risiko bagi organisasi. Untuk mengetahui



154 kerawanan dari organisasi dapat dianalisa dari hasil audit yang dilakukan sesuai dengan program pemeriksaan untuk penilaian risiko keamanan informasi pada lampiran 1. Kemudian analisa ancaman didapat dari kerawanan yang dapat dieksplore oleh threat agent sehingga menimbulkan risiko kerugian bagi organisasi. Setiap analisa kelemahan dan ancaman diidentifikasi untuk tiap ruang lingkup yang ada dalam lampiran 1 Penetapan kerawanan dan ancaman yang ada berasal dari aktivitas pengendalian yang ada pada tiap ruang lingkup pelaksanaan pemeriksaan. Apabila aktivitas pengendalian tersebut tidak dapat dipenuhi oleh entitas baik secara manajemen maupun secara teknikal maka auditor dapat menetapkan hal tersebut sebagai sebuah kerawanan dan ancaman. g. Kolom 8 (inheren Risk : dampak) Inheren risk adalah kerentanan suatu proses TI untuk memberikan risiko kerugian bagi organisasi, dengan asumsi tidak terdapat pengendalian atas proses TI terkait. Untuk melihat nilai dampak kerentanan suatu proses TI tersebut maka auditor dapat mengidentifikasi dengan dua cara, yakni :  Cara kualitatif : nilai dampak diperoleh dari hasil wawancara auditor kepada organisasi yang diperiksa atau auditee. Penilaiannya berupa Extreme, Major, Moderate, Minor dan Insignificant. Definisi skala dampak dapat dilihat pada tabel dibawah ini Klasifikasi Extreme

Definisi Permasalahan yang terjadi mengakibatkan layanan hingga tidak dapat digunakan sama sekali.

Major

Permasalahan yang terjadi dapat menyebabkan terhentinya layanan secara tibatiba mengakibatkan kerusakan dan biaya yang mahal namun dapat bertahan

Moderate

Permasalahan yang terjadi mengganggu berjalannya layanan sehari-hari dan tidak sampai berakibat terhentinya layanan, namun biaya yang dibutuhkan tidak sedikit

Minor

Permasalahan yang terjadi berpotensi mengganggu berjalannya layanan di kemudian hari namun terbatas sehingga dibutuhkan biaya

Insignificant

Permasalahan yang terjadi tidak mengganggu berjalannya layanan di kemudian hari sehingga biaya dapat diabaikan



155  Cara kuantitatif : nilai dampak diperoleh dari pemberian kuesioner kepada pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur dampak dari risiko yang ada. Tiap indikator akan di nilai berdasarkan skala kuantitatif dampak berikut ini

Nilai 5

4

Klasifikasi

Definisi

Extreme

Permasalahan yang terjadi mengakibatkan layanan hingga tidak

> 80 to 100%

dapat digunakan sama sekali.

Major

Permasalahan yang terjadi dapat menyebabkan terhentinya

> 62 to 80%

layanan secara tiba-tiba mengakibatkan kerusakan dan biaya yang mahal namun dapat bertahan

3

Moderate

Permasalahan yang terjadi mengganggu berjalannya layanan

> 25 to 62%

sehari-hari dan tidak sampai berakibat terhentinya layanan, namun biaya yang dibutuhkan tidak sedikit

2

Minor

Permasalahan yang terjadi berpotensi mengganggu berjalannya

> 5 to 25%

layanan di kemudian hari namun terbatas sehingga dibutuhkan biaya

1

Insignificant

Permasalahan yang terjadi tidak mengganggu berjalannya

5% or less

layanan di kemudian hari sehingga biaya dapat diabaikan

Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang lingkup yang ada sebagai berikut. Kode risiko ruang lingkup KR.1

KR.2

Jenis risiko Tata kelola keamanan informasi

pengelolaan risiko keamanan informasi



D.1.1

Information Policy

Security

D.1.2


D.1.3


D.1.4


D.2.1

Inventarisasi Aset

D.2.2


D.2.3

Monitoring risiko terkait TI



156 Kode risiko ruang lingkup KR.3

KR.4

KR.5

Jenis risiko




Aset



D.3.1

Compensating control terhadap sistem baru

D.3.2

Back-up

D.3.3

Prosedur informasi

D.3.4

Audit Log

D.3.5


D.3.6


D.4.1

Pelatihan informasi

D.4.2

Pelanggaran

D.4.3

Pemisahan tugas description)

D.4.4


D.4.5

Akses ke ruang center

D.4.6


D.4.7

Prosedur keamanan peralatan di luar lokasi kerja

D.4.8

Kebijakan akses

D.4.9


D.4.10

Manajemen password

D.4.11

Update antivirus

D.4.12


D.4.13

Sesi time-out

D.4.14

Pengelolaan email

D.4.15

HAKI (Hak Intelektual)

D.4.16


D.5.1

Enkripsi

D.5.2

Pengendalian terhadap kode

pertukaran

keamanan

(job

data

pengendalian

Kekayaan

akses sumber




Jenis risiko


Deskripsi Indikator dampak program

D.5.3

Konten aplikasi

D.5.4


*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai dengan kebutuhan dan kondisi organisasi.

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat memberikan penilaian dampak atas tiap aktivitas pengendalian yang ada dengan melihat relevansi antara jenis ruang lingkup, aktivitas pengendalian dan indikator dampak dibawah ini. Kode risiko ruang lingkup KR.1


Proses


Jumlah Indikator

A.5.1


D.1.1

1

A.5.2


D.1.2

1

A.6.1

Organisasi internal

D.1.3

1

A.6.2


D.1.4

1

Tanggung jawab terhadap asset

D.2.1, D.2.3

2

A.7.1 A.7.2


D.2.2

1


D.3.4, D.3.5

2

A.10.2


D.3.1

1

A.10.3 A.10.5

Back-up

D.3.2

1

A.10.8


D.3.3

1

A.10.10

Pemantauan

D.3.4

1

D.3.5

1

A.13.1

Pelaporan kejadian dan kelemahan keamanan informasi Manajemen insiden keamanan informasi

D.3.6

1

KR.2

KR.3

A.13.2





Proses


Jumlah Indikator

dan perbaikan KR.4

D.4.1, D.4.3

D.4.2,

3

A.8.2


D.4.4

1

A.8.3 A.9.1

Area yang aman

D.4.5, D.4.6

2

A.9.2

Keamanan Peralatan

D.4.7

1

D.4.8

1

A.11.1


D.4.9, D.4.10

2

A.11.2


D.4.10

1

A.11.3


D.4.10, D.4.11, D.4.12

3

A.11.4


D.4.13

1

A.11.5

A.11.6

D.4.10, D.4.11, D.4.12,D.4.14

4

Pengendalian akses aplikasi dan informasi Kesesuaian dengan persyaratan umum

D.4.15

1

A.15.1


D.4.16

1

A.15.3


D.5.3, D.5.4

2

A.12.2


D.5.1

1

A.12.3 A.12.4


D.5.2

1

D.5.4

1

A.12.5


KR.5

Hasil analis dampak diperoleh dari penjumlahan total skor dari indikator dampak di tiap jenis proses aktivitas pengendalian yang ada kemudian dihitung nilai rata-ratanya (pembulatan keatas).



159 Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner ini bukan acuan baku dalam pelaksanaan penilaian dampak sehingga pemeriksa dapat merubah sesuai dengan kondisi yang ada.

h. Kolom 9 (inheren risk : kecenderungan) Untuk melihat nilai kecenderungan kerentanan suatu proses TI tersebut maka auditor dapat mengidentifikasi dengan dua cara, yakni :  Cara kualitatif : nilai kecenderungan diperoleh dari hasil wawancara auditor kepada organisasi yang diperiksa atau auditee. Penilaiannya berupa Almost certain, Likely, Moderate, Unlikely dan Rare. Definisi skala dampak dapat dilihat pada tabel dibawah ini. Klasifikasi

Definisi

Almost

Berlangsung terus menerus dan tidak ada usaha perbaikan sama sekali.

certain

Alternatif sangat diperlukan dan tindakan mitigasi harus segera dilakukan

Likely

Berlangsung terus menerus dan sedikit ada usaha perbaikan. Alternatif akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan

Moderate

Berlangsung terus-menerus

namun sudah ada

kesadaran untuk

melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus mempertimbangkan tindakan mitigasi. Unlikely

Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada kemungkinan akan mengalaminya di masa depan. Sehingga strategi saat ini harus mengatasi insiden yang terjadi.

Rare

Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan mudah dan cepat.

 Cara kuantitatif : nilai kecenderungan diperoleh dari pemberian kuesioner kepada pihak-pihak yang terkait dalam pengelolaan keamanan informasi di organisasi tersebut. Kuesioner berisi indikator-indikator yang dapat mengukur kecenderungan dari risiko yang ada. Tiap indikator akan di nilai berdasarkan skala kuantitatif dampak berikut ini Nilai 5

Klasifikasi

Definisi

Almost certain

Berlangsung terus menerus dan tidak ada usaha perbaikan sama

> 80 to 100%

sekali. Alternatif sangat diperlukan dan tindakan mitigasi harus segera dilakukan



160 Nilai 4

Klasifikasi

Definisi

Likely

Berlangsung terus menerus dan sedikit ada usaha perbaikan.

> 62 to 80%

Alternatif akan diperlukan dan menentukan tindakan mitigasi yang dibutuhkan

3

Moderate

Berlangsung terus-menerus namun sudah ada kesadaran untuk

> 25 to 62%

melakukan usaha perbaikan. Alternatif mungkin diperlukan dan harus mempertimbangkan tindakan mitigasi.

2

Unlikely

Insiden sesekali terjadi dan ada usaha perbaikan, tetapi ada

> 5 to 25%

kemungkinan akan mengalaminya di masa depan. Sehingga strategi saat ini harus mengatasi insiden yang terjadi.

1

Rare

Insiden jarang sekali terjadi. Masalah dapat diselesaikan dengan

5% or less

mudah dan cepat.

Indikator-indikator yang dapat digunakan oleh auditor bedasarkan tiap ruang lingkup yang ada sebagai berikut. Kode risiko

Jenis risiko

ruang

Kode

Deskripsi Indikator

Indikator

Likelihood

L.1.1

Information

lingkup KR.1

tata kelola keamanan informasi

Security

Policy L.1.2

Kajian

Information

Security Policy L.1.3


L.1.4


KR.2

Pengelolaan

risiko

L.2.1

Inventarisasi Aset

L.2.2


L.2.3

Monitoring risiko terkait

keamanan informasi

TI KR.3

Kerangka

Kerja

L.3.1

Keamanan informasi

Compensating

control

terhadap sistem baru L.3.2

Back-up

L.3.3

Prosedur

pertukaran

informasi



161 Kode risiko

Jenis risiko

ruang

Kode

Deskripsi Indikator

Indikator

Likelihood

L.3.4

Audit Log

L.3.5

Pelaporan kejadian dan

lingkup

kelemahan

keamanan

informasi

KR.4

Pengelolaan

Aset

L.3.6


L.4.1

Pelatihan

Informasi

keamanan

informasi L.4.2

Pelanggaran

L.4.3

Pemisahan

tugas

(job

description) L.4.4


L.4.5

Akses ke ruang

data

center L.4.6


L.4.7

Prosedur

keamanan

peralatan di luar lokasi kerja L.4.8

Kebijakan pengendalian akses

L.4.9


L.4.10

Manajemen password

L.4.11

Update antivirus

L.4.12


L.4.13

Sesi time-out

L.4.14

Pengelolaan email

L.4.15

HAKI (Hak Kekayaan Intelektual)

L.4.16

Pertimbangan

audit

sistem informasi KR.5

Teknologi

dan

L.5.1

Enkripsi

L.5.2

Pengendalian

keamanan informasi akses



162 Kode risiko

Jenis risiko

ruang

Kode

Deskripsi Indikator

Indikator

Likelihood

lingkup terhadap kode sumber program L.5.3

Konten aplikasi

L.5.4


*catatan : pemeriksa dapat menambahkan atau mengurangi indikator sesuai dengan kebutuhan dan kondisi organisasi. Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari indikator dampak di tiap jenis risiko ruang lingkup pemeriksaan kemudian dihitung nilai rata-ratanya (pembulatan keatas). Selain itu pemeriksa dapat memberikan penilaian kecenderungan atas tiap aktivitas pengendalian yang ada dengan melihat relevansi antara jenis ruang lingkup, aktivitas pengendalian dan indikator kecenderungan dibawah ini. Kode risiko ruang lingkup


KR.1

A.5.1


Jumlah Indikator


L.1.1

1

A.5.2


L.1.2

1

A.6.1

Organisasi internal

L.1.3

1

A.6.2


L.1.4

1

Tanggung jawab terhadap asset

L.2.1, L.2.3

2

A.7.1


L.2.2

1

A.7.2

L.3.4, L.3.5

2

A.10.2


L.3.1

1

A.10.3


A.10.5

Back-up

L.3.2

1


L.3.3

1

A.10.8 A.10.10

Pemantauan

L.3.4

1

KR.2

KR.3

Proses





Proses


Jumlah Indikator

L.3.5

1

A.13.1


L.3.6

1

A.13.2


A.8.2


L.4.4

1

A.8.3 A.9.1

Area yang aman

L.4.5, L.4.6

2

A.9.2

Keamanan Peralatan

L.4.7

1

L.4.8

1

A.11.1


L.4.9, L.4.10

2

A.11.2


L.4.10

1

A.11.3


L.4.10, L.4.11, L.4.12

3

A.11.4


L.4.13

1

A.11.5

L.4.10, L.4.11, L.4.12,L.4.14

4

A.11.6

Pengendalian akses aplikasi dan informasi Kesesuaian dengan persyaratan umum

L.4.15

1

A.15.1


L.4.16

1

A.15.3


L.5.3, L.5.4

2

A.12.2

L.5.1

1

A.12.3

Pengendalian dengan cara kriptografi Keamanan sistem file

L.5.2

1

A.12.4

L.5.4

1

A.12.5


KR.4

KR.5

L.4.1, L.4.3

L.4.2,

3



164 Hasil analis kecenderungan diperoleh dari penjumlahan total skor dari indikator kecenderungan di tiap jenis proses aktivitas pengendalian yang ada kemudian dihitung nilai rata-ratanya (pembulatan keatas). Contoh kuesioner yang dapat digunakan adalah pada lampiran 2. Kuesioner ini bukan acuan baku dalam pelaksanaan penilaian kecenderungan sehingga pemeriksa dapat merubah sesuai dengan kondisi yang ada. i.

Kolom 10 (Inheren Risk : Nilai risiko) Penetapan tingkat risiko didapat setelah melakukan analisa dampak (Impact) dan analisa kecenderungan (likelihood). Penetapan tingkat risiko didapat dari pemetaan kemungkinan terjadinya ancaman dan dampak dari ancaman tersebut. Penilaian tingkat risiko untuk semua jenis risiko diperoleh dengan dengan melakukan perkalian nilai dampak dengan nilai kecenderungan dari masingmasing risiko. Pemetaan likelihood dengan dampak dalam penilaian risiko dapat dilihat pada gambar berikut

Risiko untuk masing-masing aktivitas pengendalian juga didapat dari hasil pemetaan nilai dampak dan nilai likelihood untuk masing-masing aktivitas pengendalian. Tingkat risiko yang ada pada gambar diatas memiliki arti, maksud dari masingmasing tingkatan risiko adalah sebagai berikut. Nilai Risiko

Deskripsi risiko


Berisiko sangat tinggi yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai banyak efek merugikan yang sangat besar pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.

Tinggi (high)

Berisiko tinggi yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai beberapa efek merugikan yang besar pada Universitas Indonesia


165 operasi organisasi, aset organisasi, individu, organisasi lain, atau negara

j.

Sedang (medium)

Cukup berisiko yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai efek merugikan yang serius pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara

Rendah (low)

Berisiko rendah yang berarti bahwa peristiwa ancaman dapat diperkirakan mempunyai efek merugikan yang terbatas pada operasi organisasi, aset organisasi, individu, organisasi lain, atau negara.

Kolom 11 (Kontrol yang ada) Hasil analisa risiko memberikan hasil identifikasi risiko, beserta rekomendasi kontrol keamanan yang terkait dengan upaya untuk menurunkan risiko tersebut ke tingkat yang dapat diterima oleh organisasi. Berdasarkan prioritas risiko yang sudah dilakukan pada penilaian risiko. Jenis risiko yang harusnya mendapat perhatian utama adalah risiko yang memiliki skala Very high kemudian dilanjutkan pada skala high, medium dan low . kemudian dilakukan pengendalian (control) yang bertujuan untuk mengurangi level risiko pada sistem TI sehingga mencapai level yang bisa diterima. Kontrol dibuat berdasarkan hasil pemetaan klausul-klasul dalam ISO 27001:2005. Input kontrol adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko. Dari hasil inilah akan dihasilkan daftar rekomendasi kontrol. Daftar rekomendasi kontrol yang akan menjadi hasil dari tahap analisis risiko yang selanjutnya menjadi input bagi tahap risk mitigation terhadap kontrol keamanan yang direkomendasikan.

k. Kolom 12 (Residual : dampak), kolom 13 (residual : kecenderungan), kolom 14 (residual : nilai risiko) Residual risk adalah risiko yang muncul dari risiko bawaan suatu proses TI setelah dikurangi dengan bagian risiko bawaan yang bisa dimitigasi oleh pengendalian atau kontrol intern yang efektif. Untuk mengisi residual risk, pemeriksa dapat menggunakan cara yang sama dengan pengisian inheren risk akan tetapi kali ini pemeriksa mempertimbangkan pengendalian yang dijalankan oleh organisasi tersebut. l.

Kolom 15 (Strategi mitigasi risiko) Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang berpotensi terjadi ke tingkat yang dapat ditolerir oleh organisasi. Berdasarkan Universitas Indonesia


166 hasil rekomendasi kontrol dari analisis sebelumnya maka dipilih rekomendasi kontrol yang mampu mengurangi dan menghilangkan risiko. Pemilihan kontrol yang dipilih adalah seluruh kontrol yang sesuai dengan kelemahan yang akan dikurangi dan mampu menurunkan risiko di bawah maksimum risiko. m. Kolom 16 (Rencana Kerja) Diisi dengan rencana kerja yang direkomendasikan oleh pemeriksa kepada organisasi berdasarkan hasil rekomendasi kontrol dari analisis sebelumnya. n. Kolom 17 (Target Penyelesaian) Diisi dengan tahun penyelesaian dari rencana kerja yang telah direkomendasikan oleh pemeriksa kepada organisasi. Tahun penyelesaian ini disesuaikan dengan kemampuan dari organisasi tersebut. o. Kolom 18 (Risiko deteksi) Risiko deteksi ini berkaitan dengan risiko pemeriksaan keuangan pemerintah daerah dimana risiko deteksi adalah risiko bahwa pemeriksa tidak dapat mendeteksi salah saji material pada saat melaksanakan prosedur substantif. Semakin tinggi risiko deteksi, semakin rendah efektifitas pelaksanaan prosedur substantif. Sebaliknya, semakin rendah risiko deteksi, semakin tinggi efektifitas pelaksanaan prosedur substantif. Risiko deteksi berbanding terbalik dengan risiko residual. Semakin tinggi risiko residual maka semakin rendah risiko deteksi. Demikian sebaliknya. Dengan mempertimbangkan risiko residual dan risiko inheren maka dapat ditentukan risiko deteksinya. Hubungan antara risiko deteksi dan risiko residual adalah sebagai berikut : Risiko Residual

Risiko Deteksi


Rendah (low)

Tinggi (high)

Sedang (medium)

Sedang (medium)

Tinggi (high)

Rendah (low)


p. Kolom 19 (Strategi Pemeriksaan yang umum) Sesuai dengan risk based audit maka penentuan strategi pemeriksaan didasarkan pada tingkat risiko deteksi pada akun yang terkait. Semakin rendah risiko deteksi maka semakin tinggi efektivitas prosedur substantif yang dilaksanakan. Dengan demikian, pemeriksa bisa mengalokasikan sebagian besar sumber daya baik



167 jumlah pemeriksa, cakupan dan kedalaman prosedur pemeriksaan subtantif atas akun tersebut. Risiko Deteksi

Strategi pemeriksaan umum

Rendah

 Menjadi fokus pemeriksaan  Tidak mengandalkan pengendalian  Pengujian subtantif mendalam  Prioritas pertama untuk alokasi sumber daya (jumlah dan kualitas)  Prosedur analitis dan uji akurasi harus dilakukan

Medium

 Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup  Sedikit mengandalkan pengendalian  Pengujian subtantif tidak terlalu mendalam  Sample menengah  Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas)  Prosedur analitis dan uji akurasi tetap harus dilakukan

Tinggi

 Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup  Sebagian besar mengandalkan pengendalian  Pengujian subtantif terbatas  Sample kecil  Prioritas ketiga untuk alokasi sumber daya (jumlah dan kualitas)  Prosedur analitis dan uji akurasi tetap harus dilakukan

Sangat tinggi

 Tidak menjadi fokus pemeriksaan  Dapat mengandalkan pengendalian  Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja  Sample tidak diuji  Prioritas keempat untuk alokasi sumber daya (jumlah dan kualitas)  Prosedur analitis dan uji akurasi merupakan prosedur utama



168

Lampiran 3.1 Badan Pemeriksa Keuangan

Prosedur Pemeriksaan

Entitas

:

Pemerintah Daerah ABC

Tahun Buku

:

2013

Reff Ruang lingkup

No

Program Pemeriksaan

Index A.17 Penilaian keamanan Informasi

Bukti Audit

Level


R.1 1

a

b

Review tata kelola keamanan informasi Dapatkan dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan aset dan lakukan analisa dokumen apakah organisasi telah mengidentifikasi: Pimpinan Instansi organisasi secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi pengelolaan keuangan, termasuk penetapan kebijakan terkait? Identifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi keuangan yang harus dipatuhi dan menganalisa tingkat kepatuhannya, misal PP Nomor 60 Tahun 2008 tentang SPIP?

I

Risiko


A

Kebijakan Umum Keamanan Informasi dalam bentuk Perwal, action plan, strategic plan, SOP

Tupoksi / job description unit organisasi/lembaga juga memasukkan tanggungjawab keamanan informasi, SK penunjukan Kepala Keamanan



169

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


I


A

Informasi c

2

3 a

b

c

kebijakan dan langkah penanggulangan insiden keamanan informasi dalam pengelolaan keuangan yang menyangkut pelanggaran hukum Review apakah dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan daerah dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan asetnya telah dikaji oleh unit lain yang berwenang secara berkala, misal Inspektorat, BPKP? Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi dalam entitas Apakah entitas memiliki fungsi atau bagian yang secara spesifik mempunyai tugas dan tanggungjawab mengelola keamanan informasi pengelolaan keuangan terkait pencatatan penerimaan dan pengeluaran oleh bendahara dan Kas Umum Daerah dan menjaga kepatuhannya? Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan? Apakah penanggungjawab pelaksanaan pengamanan informasi keuangan diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan, misal dukungan fisik berupa access log view sistem

Laporan Kajian Kebijakan umum keamanan informasi, risalah rapat (MOM) tentang pembahasan masalah-masalah TI

Struktur organisasi unit kerja instansi/Lembaga dalam ruang lingkup penerapan keamanan informasi ( SOTK)

Tupoksi / job description unit organisasi/lembaga juga memasukkan tanggungjawab keamanan informasi, SK penunjukan Kepala Keamanan Informasi Struktur organisasi unit kerja instansi/Lembaga dalam ruang lingkup penerapan keamanan informasi ( SOTK)



170

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


d

e

f

4

a

R.2 1

keuangan? Apakah entitas sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait? Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan satker terkait (SDM, Legal/Hukum, Umum, DPKD dll) Apakah pimpinan tiap SKPD menerapkan program khusus untuk mematuhi tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang mencakup aset informasi keuangan yang menjadi tanggungjawab tiap SKPD tersebut? Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi entitas yang berhubungan dengan pihak luar organisasi yakni terkait penetapan retribusi, pajak daerah Apakah tanggungjawab pengelolaan keamanan informasi mencakup koordinasi dengan pihak pengelola/pengguna aset informasi eksternal untuk mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan permasalahan/risiko yang ada, misal akses sistem penetapan retribusi dan pajak daerah?

I


A

program/rencana pelatihan/sosialisasi keamanan informasi dan bukti realisasinya prosedur pengelolaan insiden/masalah, termasuk jika masalah tersebut menyangkut aspek hukum


Review pengelolaan risiko keamanan Dapatkan dokumen yang terkait pengelolaan risiko



171

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


a b

2

a

b c d 3 a

keamanan informasi yang terdokumentasi dan memuat Program kerja pengelolaan risiko keamanan informasi dalam organisasi Kerangka kerja pengelolaan risiko keamanan informasi dalam organisasi yang mencakup definisi dan hubungan tingkat klasifiasi aset informasi, tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak kerugian yakni ketidakakuratan data pada laporan keuangan pemerintah daerah? Review apakah entitas telah melakukan kegiatan pengelolaan risiko keamanan informasi keuangan yang meliputi Apakah entitas sudah mendefinisikan atau inventarisasi kepemilikan dan pihak pengelola aset informasi keuangan yang ada, meliputi aset data keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan? Apakah entitas sudah mendefinisikan penggunaan aset yang ada? Apakah ancaman dan kelemahan terkait aset informasi yang sudah diinventaris sudah diindentifikasi Apakah dampak kerugian terkait sudah diidentifikasi sesuai dengan klasifikasi aset yang ada Dapatkan dokumen terkait penggunaan aset informasi yang ada di entitas meliputi (sumber : A.7.1) Identifikasi lokasi dan fasilitas pengolahan informasi yang ada/aplikasi keuangan, apakah digunakan oleh

SOP Bidang komunikasi informatika dokumen metodologi risiko TI

I


A

dan


hasil kajian risiko TI (risk register) risk acceptance kriteria daftar aset TI, IT Master Plan



172

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


4 a

b

R.3 1

2

3

a

yang tepat dan berada pada tempat yang aman? Review penanganan masalah yang terjadi atau risiko pada setiap aset informasi yang ada (sumber: A.7.2) Apakah entitas telah melakukan mitigasi masalah/risiko yang ada pada setiap aset informasi berdasarkan klasifikasi atau tingkat kepentingan pada proses pelaporan keuangan pemerintah daerah Apakah status mitigasi dari setiap masalah/risiko telah dilakukan evaluasi untuk memastikan kemajuan kerjanya? Review Kerangka Kerja Keamanan Informasi Apakah kebijakan dan prosedur keamanan informasi sudah disusun dengan jelas dengan mencantumkan peran dan tanggung jawab pihak-pihak yang berwenang untuk menerapkan? Apakah kebijakan dan prosedur keamanan informasi sudah dikomunikasikan dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam entitas tersebut? Review dan dapatkan dokumen (jika ada) yang berisi pengelolaan risiko dari pengembangan sistem pengelolaan keuangan yang baru pada entitas Apakah entitas sudah menerapkan proses evaluasi dari risiko terkait rencana pengembangan sistem baru dan penanggulangan masalah yang mungkin timbul dari sistem pengelolaan keuangan baru tersebut?

Laporan berkala

monitoring

Tim

I


A

secara


SOTK, job desc

Pengunguman ke semua satuan kerja terkait keamanan infomasi yang dilakukan secara berjenjang Hasil evaluasi dan pengkajian investasi sistem TI yang baru pada pihak yang terkait, meliputi user (kepala SKPD dan jajarannya), sekretaris daerah



173

Reff Ruang lingkup

No

Program Pemeriksaan

b

Apabila penerapan suatu sistem baru tersebut menimbulkan masalah atau menyalahi kebijakan terkait pelaksanaan pelaporan keuangan pemerintah, apakah ada proses penanggulangan termasuk pengamanan yang baru (compensating control)? Apakah entitas memiliki mempunyai strategi penggunaan atas teknologi keamanan informasi untuk pengolah keuangan daerah yang penerapan dan pemutakhirannya disesuaikan dengan kebutuhan entitas? Review pengelolaan proses ketersediaan informasi keuangan pemerintah daerah yakni informasi anggaran, aset, penerimaan dan pengeluaran dengan cara back up data Apakah entitas memiliki kebijakan terkait proses back up informasi ? Apakah ada proses evaluasi dilakukan secara berkala terhadap kebijakan terkait proses back up? Apakah ada proses pelabelan atau inventarisasi media penyimpanan back up informasi keuangan? Review dan dapatkan dokumennya jika ada mengenai pengendalian entitas terkait proses pertukaran informasi keuangan baik di lingkungan internal maupun eksternal entitas Apakah ada kebijakan atau prosedur yang mengatur pengelolaan informasi termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan

Bukti Audit

Level


c

4

a b c 5

a

I


A


SOP Pertukaran informasi



174

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


b

6 a

b

c 7 a

8

penyimpanan? Review apakah terdapat kebijakan atau mekanisme yang mengatur interkoneksi sistem informasi yang berhubungan dengan pelaporan keuangan dengan organisasi eksternal? Review proses pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah Apakah entitas memiliki prosedur yang mengatur proses pemantauan penggunaan fasilitas pengolahan informasi keuangan? Apakah aspek keamanan informasi mencakup pengendalian pelaporan insiden yang didapat dari log audit, log administrator dan operator dan log atas kesalahan yang terjadi pada sistem informasi keuangan sehingga dapat segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada laporan keuangan? Apakah entitas melakukan perlindungan pada fasilitas log dari akses sistem pengelolaan keuangan daerah? Review dan dapatkan dokumen yang berisi proses pelaporan kelemahan keamanan informasi keuangan Apakah aspek keamanan informasi keuangan yang mencakup pelaporan insiden dari sistem pengelolaan keuangan tercantum dalam suatu kebijakan atau prosedur yang disebarkan ke semua pegawai dan pihak ketiga? Review dan dapatkan dokumen yang berisi

I


A

SOP Pemantauan bidang komunikasi dan informatika Laporan pemantuan meliputi analisa log admin

SOP Pemantauan bidang komunikasi dan informatika SOP penanganan insiden



175

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


a

b

c

d

R.4 1

a

manajemen insiden keamanan informasi yang bertujuan untuk melihat keefektifan penerapannya? Apakah entitas sudah menerapkan kebijakan dan prosedur operasional untuk mengelola insiden keamanan informasi yang muncul, alokasi tanggung jawab untuk memonitor dan penanggulangan insiden keamanan pada fasilitas pengolah keuangan yang ada? Apakah entitas memiliki program untuk meningkatkan keamanan informasi untuk mengatasi insiden yang telah terjadi sebelum-sebelumnya pada fasilitas pengolah keuangan? Apakah program keamanan informasi yang ada dilakukan evaluasi untuk melihat keefektifan penerapannya dalam entitas? Apakah konsekuensi dari pelanggaran keamanan informasi yang menyebabkan insiden sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? Review Pengelolaan Aset Informasi Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi oleh semua pihak entitas baik pegawai dan kontraktor selama bekerja di entitas tersebut. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas?

I


A


Laporan tim teknis rekomendasi kontrol

berupa

bukti/risalah rapat/manajemen review untuk mengevaluasi efektivitas penerapan keamanan informasi

SOP keamanan informasi, SOTK/Job desc



176

Reff Ruang lingkup

No

Program Pemeriksaan

b

Apakah konsekuensi dari pelanggaran keamanan informasi yang menyebabkan insiden pada proses pelaporan keuangan sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi keuangan oleh semua pihak entitas baik pegawai dan kontraktor setelah mengakhiri kerjasama atau perubahan pekerjaan di entitas tersebut. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas setelah pengakhiran kerjasama atau perubahan pekerjaaan? Apakah pihak yang melakukan pengakhiran pekerjaan terkait proses pengelolaan data keuangan dalam entitas mengembalikan aset yang digunakan ketika bekerja? Apakah terdapat penghapusan hak akses pihak yang mengakhiri kerjasama dan perubahan pekerjaan terhadap fasilitas pengolah informasi keuangan yang dipakai selama bekerja di entitas tersebut? Review dan dapatkan dokumen mengenai pengendalian area penyimpanan fasilitas pengolahan informasi Apakah terdapat ketentuan pengamanan fisik yang disesuaikan dengan definisi zona dan klasifikasi aset yang ada didalamnya? Apakah entitas memiliki pengendalian fisik area

Bukti Audit

Level


2

a

b

c

3

a

b

I


A

Pakta integritas dengan pihak ketiga dalam MOU, NDA untuk pihak ketiga menyangkut informasi rahasia

SOP pengamanan fasilitas pengolahan informasi (SOP data center) Cek fisik data center



177

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


c

4

a

5

6 a

penyimpanan fasilitas informasi berupa pengendalian entri? Apakah entitas memiliki pengamanan kantor, ruangan dan fasilitas penyimpanan informasi dari ancaman eksternal entitas? (misal adanya rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran, asap, pemadaman api, pengatur suhu dan kelembapan) Review dan dapatkan dokumen mengenai keamanan peralatan yang memuat informasi sehingga pencegahan kehilangan, kerusakan, pencurian atau gangguan terhadap kegiatan entitas. Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dalam proses pengelolaan data keuangan dari risiko perangkat atau bahan yang membahayakan aset informasi yang ada didalamnya? (misal menggunakan telepon genggam atau kamera pada saat memasuki ruang server) Adakah dokumen kebijakan atau prosedur yang mengatur mengenai pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset informasi pengelolaan keuangan Review pengelolaan akses untuk menggunakan aset informasi di entitas Apakah entitas memiliki inventarisasi akses terhadap informasi keuangan dan fasilitas pengolah keuangan

I


A

SOP pengamanan fasilitas pengolahan informasi (SOP data center)

prosedur pengelolaan (Access Control)

hak

akses

Laporan monitoring terkait hak akses pengguna ( user access review)



178

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


b

7

8

a

b

yang berisi identitas elektronik pemilik akses, proses otentikasi (username, password)? Apakah ada prosedur yang mengatur pengkajian atas hak akses pengguna (user access review) secara berkala dan langkah pembenahan apabila terjadi ketidaksesuaian terhadap kebijakan yang berlaku?(misal: apabila pengguna sudah tidak berwenang atas suatu proses dalam sistem keuangan maka dia tidak bisa mengakses fungsi tersebut) Review apakah entitas memiliki ketetapan pendefinisian tanggung jawab pengamanan informasi secara individual sebagai pengolah data keuangan di semua satuan kerja yang ada?(misal: ketentuan pemilihan password tiap pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang ditinggalkan oleh pengguna) Review dan dapatkan dokumen jika ada terkait pengendalian akses jaringan, sistem operasi dan sistem aplikasi informasi yang digunakan untuk pengolahan keuangan baik pencatatan penerimaan, pengeluaran dan mutasi aset Apakah entitas memiliki kebijakan atau prosedur yang mengatur akses, proses otentikasi dan otorisasi penggunaan aset informasi yakni jaringan, sistem operasi dan sistem aplikasi informasi? Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni jaringan, diantaranya

I


A

SOP pengamanan informasi secara individual

SOP pengamanan jaringan, sistem operasi dan sistem informasi




179

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


c

d

9

a

b c 10

perlindungan dari configuration port, remote diagnostic selain itu pengendalian pada routing dan koneksi jaringan untu pengelolaan informasi keuangan? Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni sistem operasi, diantaranya sesi time out, prosedur log on yang aman pada sistem operasi, dan pengendalian program utility? Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni aplikasi, diantaranya isolasi aplikasi yang sensitif bagi entitas dan pembatasan akses informasi? Review kesesuaian proses pengamanan informasi yang dilakukan oleh pengelola keuangan yakni bendahara penerimaan, bendahara barang, bendahara pengeluaran dan PPK-SKPD terhadap hukum yang berlaku Apakah entitas telah membuat tata tertib pengamanan dan penggunaan aset entitas terkait HAKI (Hak Kekayaan Intelektual)? Apakah terdapat peraturan pengamanan data pribadi di entitas tersebut Apakah terdapat tata tertib penggunaan email, internet, intranet dan komputer? Review apakah entitas memiliki prosedur untuk mengamankan lokasi kerja, fasilitas informasi dan aset informasi terkait pengelolaan keuangan (anggaran,

I


A

Cek fisik lisensi OS atau aplikasi yang lainnya SOP/ aturan penggunaan email, internet dan hasil pemantauan pengunggan email & internet Pakta integritas dengan pihak ketiga dalam MOU, NDA untuk pihak ketiga menyangkut informasi rahasia



180

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

penerimaan, pengeluaran dan pengelolaan aset dari keberadaan pihak internal maupun eksternal yang melakukan audit pada entitas? Review Teknologi dan Keamanan Informasi Review apakah entitas melakukan pengendalian terkait pengolahan dalam suatu aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. Apakah setiap perubahan pada sistem informasi secara otomatis terekam didalam log? Apakah upaya akses yang tidak berhak juga terekam dalam log? Apakah semua log yang ada dianalisa secara berkala untuk memastikan akurasi, validitas data masukan serta data keluaran sistem informasi dan kelengkapan isinya? Review dan dapatkan dokumen mengenai pengendalian kriptografi yang diterapkan oleh entitas pada aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. Apakah entitas menerapakan enkripsi untuk melindungi aset informasi keuangan penting sesuai dengan kebijakan yang ada? Apakah entitas memiliki standar dalam penggunaan enkripsi tersebut?


Level


R.5 1

a b c

2

a

b

I


A

Periksa log penggunaan sistem dan aplikasi TI, baik oleh user maupun admin Laporan tim teknis terkait analisa log

SOP enkripsi



181

Reff Ruang lingkup

No

Program Pemeriksaan

c

Apakah entitas menerapkan pengamanan untuk mengelola kunci enkripsi yang digunakan? Review apakah entitas melakukan pengamanan system files berupa perlindungan data uji sistem, pembatasan akses ke kode sumber sistem informasi keuangan terkait pengelolaan anggaran, penerimaan keuangan, pengeluaran dan pengelolaan aset? Review apakah entitas melakukan pengamanan dan tinjuan teknis atas sistem aplikasi pengelolaan keuangan meliputi aplikasi anggaran, aset dan penerimaan atau pengeluaran keuangan pada saat proses pengembangan atau perubahan pada aset informasi yang terhubung dengan aplikasi tersebut, misal perubahan sistem operasi?

Bukti Audit

Level


3

4

I


A

Periksa kesesuaian sistem TI dengan standar yang ditetapkan: a. Standar software, b. Standar keamanan (security baseline), c. Standar rilis aplikasi d. Software AntiVirus

Keterangan : C (Confidentiality) : pengujian yang mempertimbangkan aspek penjaminan kerahasian data dan informasi. I (Integrity) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tidak akan boleh berubah tanpa ijin yang berwenang. A (Availability) : pengujian yang mempertimbangkan aspek penjaminan bahwa data tersedia ketika dibutuhkan. Deskripsi Level untuk tiap proses Tingkatan dalam audit akan dibagi menjadi 5 tingkatan, yakni :



182

a) Tingkatan 1 : Prosedur dan kontrol keamanan informasi yang diterapkan masih belum lengkap dan bersifat adhock bergantung pada permasalahan yang muncul atau kondisi tertentu yang sedang dihadapi. b) Tingkat 2 : prosedur dan kontrol keamanan informasi yang sama sudah diterapkan untuk beberapa permasalahan yang mirip dan kondisi yang hampir sama dengan kondisi sebelumnya akan tetapi prosedur nya masih dalam perencanaan. c) Tingkat 3 : prosedur keamanan informsi sudah menjadi standar yang diterapkan pada setiap proses kerja yang berhubungan dengan keamanan informasi dan sudah ada standar kontrol keamanan informasi yang akan dilakukan. d) Tingkat 4 : sudah dilakukan proses pengukuran efektivitas prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan. e) Tingkat 5 : dilakukan penyempurnaan secara berkelanjutan terhadap prosedur/kebijakan dan kontrol keamanan informasi yang diterapkan.



183 Lampiran 3.2 Keusioner Pengukuran tingkat risiko keamanan informasi

Petunjuk pengisian : Pada kuesioner ini, Bapak/Ibu diminta untuk menjawab pertanyaan-pertanyaan yang ada dengan memberi tanda (×) pada salah satu pilihan jawaban yang tersedia, berdasarkan penilaian dan pendapat yang Bapak/Ibu anggap paling mewakili kondisi sesungguhnya di tempat Bapak/Ibu bekerja saat ini. Nama : Jabatan : Eselon I/Eselon II/Eselon III/Eselon IV/Staf Unit kerja : -

-

(L.1.1) Apakah di dalam organisasi Anda terdapat kebijakan keamanan informasi ? a. Ya b. Tidak (D.1.1, D.1.2) Seberapa penting kebijakan keamanan informasi bagi Anda ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.1.2) Setiap berapa kali kebijakan keamanan informasi direview? a. Setahun sekali b. 2-3 tahun sekali c. 5 tahun sekali d. Sesuai kebutuhan e. Tidak pernah direview (L.1.3) Berapa persentase dari IT budgeting yang dikeluarkan untuk keamanan informasi jika ada ? a. > 40% b. 30% - 39% c. 20% - 29% d. 10% - 19% e. < 10%



184 (D.1.3) Seberapa besar pengaruh dukungan organisasi terhadap keamanan informasi ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.1.4) Konten pakta integritas dengan pihak ketiga terkait keamanan informasi di organisasi meliputi ? a. pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi organisasi b. pengaksesan dan pengolahan informasi c. pengaksesan fasilitas pengolahan informasi d. proses pengolahan informasi e. tidak ada penekanan perjanjian terkait keamanan (D.1.4) seberapa penting konten pakta integritas dengan pihak ketiga terkait keamanan informasi bagi organisasi? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.2.1) Bagaimana proses inventarisasi aset TI dilakukan oleh organisasi anda a. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware) di seluruh satuan kerja b. Dilakukan secara berkala dan meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware) hanya di beberapa satuan kerja c. Dilakukan pada saat ada penambahan aset TI saja atau kondisi tertentu dan meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware) d. Dilakukan secara tidak menentu ( baik segi waktu dan kondisi ) dan meliputi semua aset TI ( Jaringan, Sistem Informasi dan Hardware) e. Tidak dilakukan inventarisasi aset di organisasi (D.2.1) Seberapa penting proses inventarisasi aset TI bagi organisasi anda a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting Universitas Indonesia


185 (L.2.2) Bagaimana klasifikasi informasi dilakukan ? a. Diklasifikasi berdasarkan tingkat sangat rahasia, rahasia, terbatas dan public b. Diklasifikasi berdasarkan tingkat sangat rahasia, terbatas dan public c. Diklasifikasi berdasarkan tingkat rahasia dan public d. Diklasifikasi berdasarkan tingkat rahasia e. Informasi belum diklasifikasikan (D.2.2) Seberapa penting klasifikasi informasi terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.2.3) Bagaimana proses monitoring risiko TI di organisasi anda? a. Dilakukan secara berkala, terdokumentasi dengan baik dan didukung prosedur pengelolaan monitoring risiko TI b. Dilakukan pada kondisi tertentu, terdokumentasi dan didukung prosedur pengelolaan monitoring risiko TI c. Dilakukan pada kondisi tertentu, pelaksanaannya secara adhoc

pelaporan

hanya

berupa

lisan

dan

d. Dilakukan pada kondisi tertentu, tidak ada pelaporan dan pelaksanaanya secara adhoc e. Tidak terdapat monitoring risiko TI (D.2.3) Seberapa penting proses monitoring risiko TI bagi organisasi anda? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.3.1) Meliputi apa saja proses perencanaan aksi organisasi terkait pengembangan sistem baru (Compensating control)? a. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi. Pelaksanaannya didukung dengan dokumentasi yang baik b. Adanya pemantauan dan proyeksi pemenuhan kapasitas mendatang serta terdapat pengujian sistem selama pengembangan dan sebelum diterima oleh organisasi. Pelaksanaannya secara adhoc c. Adanya pemantauan dan proyeksi pemenuhan kapasitas Pelaksanaannya didukung dengan dokumentasi yang baik

mendatang.



186 d. Adanya pemantauan dan Pelaksanaannya secara adhoc

proyeksi

pemenuhan

kapasitas

mendatang.

e. Tidak ada compensating control dalam organisasi (D.3.1) seberapa penting compensating control dalam organisasi a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.3.2) Bagaimana intensitas back up dilakukan ? a. Seminggu sekali b. Sebulan sekali c. 3 – 6 bulan sekali d. Tidak tentu waktunya e. Tidak pernah dilakukan (D.3.2) Seberapa penting back up terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.3.3) Pengendalian pertukaran informasi di organisasi anda meliputi ? a. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan dikaji secara berkala serta dilaksanakan b. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan tidak dikaji secara berkala serta dilaksanakan c. Kebijakan dan prosedur pertukaran informasi ditetapkan, didokumentasikan dan dikaji secara berkala tapi tidak dilaksanakan d. Kebijakan dan prosedur pertukaran informasi tidak didokumentasikan karena pelaksanaanya secara adhoc e.

Tidak ada prosedur pertukaran informasi

(D.3.3) seberapa besar pengaruh prosedur pertukaran informasi bagi organisasi anda? a. Sangat besar b. Besar c. Sedang d. Kecil Universitas Indonesia


187 e. Sangat kecil (L.3.5) Jenis ancaman apa saja yang sering terjadi di organisasi ? a. Virus b. Virus dan sniffing (akses informasi sensitive melalui jaringan) c. Virus, sniffing dan brute force login (menebak password) d. Virus, sniffing , brute force login dan DoS (membuat server jadi sibuk) e. Virus, sniffing , brute force login, DoS dan spoofing (memalsukan situs web) (D.3.5) Seberapa besar pengaruh ancaman tersebut terhadap proses bisnis organisasi ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.3.6) Berapa anggaran pengeluaran untuk pemeliharaan terhadap keamanan asset TI ? a. 81% – 100% b. 61% – 80% c. 41% – 60% d. 21% – 40% e. < 20% (D.3.6) Seberapa besar pengaruh dukungan organisasi terhadap keamanan asset TI ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.4.1) Berapa kali pegawai mendapatkan pelatihan terkait keamanan informasi ? a. > 5 kali b. 4 – 5 kali c. 2 – 3 kali d. 1 kali e. Belum pernah (D.4.1) Seberapa penting pelatihan terkait keamanan informasi bagi organisasi ? a. Sangat penting b. Penting



188 c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.2) Berapa banyak staf yang terkait dengan insiden ? a. < 20% b. 21% - 40% c. 41% - 60% d. 61% - 80% e. 81% - 100% (D.4.2) Seberapa besar pengaruh insiden yang diakibatkan oleh pegawai terhadap proses bisnis organisasi ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.4.3) Berapa perbandingan masing-masing pegawai dengan beban kerja ? a. 1 orang : 1 pekerjaan b. 1 orang : 2 pekerjaan c. 1 orang : 3 pekerjaan d. 1 orang : 4 pekerjaan e. 1 orang : 5 pekerjaan (D.4.3) Seberapa besar pengaruh beban kerja terhadap para pegawai ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.4.5) Bagaimana akses masuk ke dalam ruangan datacenter ? a. Sidik jari, swipe card dan pin code b. Swipe card dan pin code c. Swipe card d. Pin code e. Tanpa akses (D.4.5) Seberapa penting pengamanan fisik untuk area sensitive ? Universitas Indonesia


189 a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.6) Setelah terjadinya bencana seperti listrik padam, berapa lama waktu yang dibutuhkan system untuk kembali normal ? a. < 1 jam b. 2 – 4 jam c. 5 – 7 jam d. > 7 jam e. 1 hari (D.4.6) Seberapa penting adanya DRP (Disaster Recovery Planning) terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.7) Berapa persentase banyaknya pengguna yang sudah mengimplementasikan ISO 27001 terkait keamanan peralatan di luar lokasi kerja? a. > 40% b. 30% - 39% c. 20% - 29% d. 10% - 19% e. < 10% (D.4.7) Seberapa penting implementasi ISO 27001 terkait keamanan peralatan di luar lokasi kerja bagi organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.9) Bagaimana pengendalian terhadap akses ke social networking bagi para pengguna di organisasi anda ? a. Tidak boleh akses sama sekali Universitas Indonesia


190 b. Adanya pembatasan url dan jam akses c. Adanya pembatasan url d. Adanya pembatasan jam akses e. Tidak ada pembatasan url dan jam akses (D.4.9) Seberapa besar pengaruh pengendalian dari akses social networking terhadap proses bisnis organisasi ? a. Sangat besar b. Besar c. Sedang d. Kecil e. Sangat kecil (L.4.10) Bagaimana pengelolaan password dilakukan ? a. Password akan terkunci jika melakukan kesalahan hingga 3x, terdiri dari 6 digit, kombinasi huruf dan angka dan diganti secara berkala b. Password terdiri dari minimal 6 digit, kombinasi huruf dan angka serta diganti secara berkala c. Password terdiri dari kombinasi huruf dan angka serta diganti secara berkala d. Password diganti secara berkala e. Tidak ada peraturan tentang pengelolaan password (D.4.10) Seberapa penting pengelolaan password terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.11) Bagaimana update antivirus dilakukan di organisasi ? a. Seminggu sekali b. Sebulan sekali c. 3 – 6 bulan sekali d. Setahun sekali e. Tidak tentu waktunya (D.4.11) Seberapa penting update antivirus terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang



191 d. Tidak penting e. Sangat tidak penting (L.4.12) Bagaimana dengan kehandalan antivirus yang digunakan di organisasi ? a. Dapat mendeteksi virus pada semua unit kerja di Kantor Pusat Pemda dan Kec/Kel b. Hanya dapat mendeteksi virus pada unit kerja di Kantor Pusat Pemda c. Hanya dapat mendeteksi virus pada satu gedung saja d. Lokasi tidak dapat diprediksi e. Lebih sering virus tidak terdeteksi (D.4.12) Seberapa penting antivirus terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.4.14) Bagaimana pengelolaan email dilakukan ? a. Mengganti password secara berkala, melakukan scanning terhadap attachment, tidak membuka email dari pengirim yang tidak dikenal dan tidak menggunakan third party email services untuk kebutuhan organisasi b. Mengganti password secara berkala, melakukan scanning terhadap attachment dan tidak membuka email dari pengirim yang tidak dikenal c. Mengganti password secara berkala dan melakukan scanning terhadap attachment d. Mengganti password secara berkala e. Belum ada prosedur pengelolaan email (D.4.14) Seberapa penting pengelolaan email terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.5.2) Bagaimana bentuk pengendalian terhadap system informasi di organisasi ? a. Pemberian hak akses, enkripsi password, monitoring system dan log audit b. Pemberian hak akses, enkripsi password dan monitoring system c. Pemberian hak akses dan enkripsi password d. Enkripsi password Universitas Indonesia


192 e. Bentuk pengendalian belum jelas (D.5.2) Seberapa penting pengendalian system informasi terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.5.3) Kejadian apa yang sering dialami terhadap data atau informasi dalam aplikasi di organisasi ? a. Tidak pernah b. Data diubah dan terinfeksi virus c. Data diubah, terinfeksi virus dan data hilang d. Data diubah, terkena virus , hilang dan data dicuri e. Data diubah, terkena virus , hilang, data dicuri dan disalah gunakan (D.5.3) Seberapa penting keamanan data dalam aplikasi terhadap proses bisnis organisasi ? a. Sangat penting b. Penting c. Sedang d. Tidak penting e. Sangat tidak penting (L.5.4) Berapa persentase aplikasi dilakukan secara outsourced ? a. < 20% b. 21% - 40% c. 41% - 60% d. 61% - 80% e. 81% - 100% (D.5.4) Bagaimana pengaruh dilakukannya outsourced di organisasi Anda ? a. Sangat membantu b. Membantu c. Sedang d. Tidak membantu e. Sangat tidak membantu



193

Lampiran 4

Badan Pemeriksa Keuangan

Prosedur Pemeriksaan

Reff Ruang lingkup

Entitas

:

Pemerintah Daerah Kota Tangerang

Tahun Buku

:

2013

Dibuat oleh

:

ISA

Direviu oleh

:

YK

Disetujui oleh

:

RU

No

Program Pemeriksaan

Index A.17 Penilaian Risiko keamanan Informasi

Bukti Audit

Level

Asersi uji pengendalian

C R.1 1

a

Review tata kelola keamanan informasi Dapatkan dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan aset dan lakukan analisa dokumen apakah organisasi telah mengidentifikasi: Pimpinan Instansi organisasi secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program

I


A

Kebijakan Umum Keamanan Informasi dalam bentuk Perwal, action plan, strategic plan, SOP 2

X

Semua akun



194

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


C

b

c

2

3 a

b

keamanan informasi pengelolaan keuangan, termasuk penetapan kebijakan terkait? Identifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi keuangan yang harus dipatuhi dan menganalisa tingkat kepatuhannya, misal PP Nomor 60 Tahun 2008 tentang SPIP? kebijakan dan langkah penanggulangan insiden keamanan informasi dalam pengelolaan keuangan yang menyangkut pelanggaran hukum Review apakah dokumen yang terkait kebijakan keamanan informasi pengelolaan keuangan daerah dari sisi anggaran, pengeluaran, penerimaan dan pengelolaan asetnya telah dikaji oleh unit lain yang berwenang secara berkala, misal Inspektorat, BPKP? Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi dalam entitas Apakah entitas memiliki fungsi atau bagian yang secara spesifik mempunyai tugas dan tanggungjawab mengelola keamanan informasi pengelolaan keuangan terkait pencatatan penerimaan dan pengeluaran oleh bendahara dan Kas Umum Daerah dan menjaga kepatuhannya? Apakah pejabat/petugas pelaksana pengamanan informasi mempunyai wewenang yang sesuai untuk menerapkan dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan?

Tupoksi / job description unit organisasi/lembaga juga memasukkan tanggungjawab keamanan informasi, SK penunjukan Kepala Keamanan Informasi

I


A

1

X

Semua akun

2

X

Semua akun

X

Semua akun



2

X

X

Akun PAD, Belanja, Aktiva

Tupoksi / job description unit organisasi/lembaga juga memasukkan tanggungjawab keamanan informasi, SK penunjukan Kepala Keamanan Informasi

1

X

X

Semua akun



195

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

c

Apakah penanggungjawab pelaksanaan pengamanan informasi keuangan diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi pengelolaan keuangan, misal dukungan fisik berupa access log view sistem keuangan? Apakah entitas sudah menerapkan program sosialisasi dan peningkatan pemahaman untuk keamanan informasi, termasuk kepentingan kepatuhannya bagi semua pihak yang terkait? Apakah pengelola keamanan informasi secara proaktif berkoordinasi dengan satker terkait (SDM, Legal/Hukum, Umum, DPKD dll) Apakah pimpinan tiap SKPD menerapkan program khusus untuk mematuhi tujuan dan sasaran kepatuhan pengamanan informasi, khususnya yang mencakup aset informasi keuangan yang menjadi tanggungjawab tiap SKPD tersebut? Review dan dapatkan dokumen yang memuat tentang pengelolaan keamanan informasi entitas yang berhubungan dengan pihak luar organisasi yakni terkait penetapan retribusi, pajak daerah Apakah tanggungjawab pengelolaan keamanan informasi mencakup koordinasi dengan pihak pengelola/pengguna aset informasi eksternal untuk mengidentifikasikan persyaratan/kebutuhan pengamanan dan menyelesaikan permasalahan/risiko yang ada, misal akses sistem penetapan


1

C X

I X

program/rencana pelatihan/sosialisasi keamanan informasi dan bukti realisasinya

1

X

X

Semua akun

prosedur pengelolaan insiden/masalah, termasuk jika masalah tersebut menyangkut aspek hukum

1

X

X

Semua akun

1

X

X

Semua akun

3

X

X

d

e

f

4

a

Level



A Pendapatan Pajak Daerah, Belanja

Laporan Kajian Kebijakan umum keamanan informasi, risalah rapat (MOM) tentang pembahasan masalah-masalah TI X

Pendapatan Pajak Daerah



196

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

Level


C

I


A

retribusi dan pajak daerah? R.2 1 a b

2

a

b c d

Review pengelolaan risiko keamanan Dapatkan dokumen yang terkait pengelolaan risiko keamanan informasi yang terdokumentasi dan memuat Program kerja pengelolaan risiko keamanan informasi dalam organisasi Kerangka kerja pengelolaan risiko keamanan informasi dalam organisasi yang mencakup definisi dan hubungan tingkat klasifiasi aset informasi, tingkat ancaman, kemungkinan terjadinya ancaman tersebut dan dampak kerugian yakni ketidakakuratan data pada laporan keuangan pemerintah daerah? Review apakah entitas telah melakukan kegiatan pengelolaan risiko keamanan informasi keuangan yang meliputi Apakah entitas sudah mendefinisikan atau inventarisasi kepemilikan dan pihak pengelola aset informasi keuangan yang ada, meliputi aset data keuangan, aset aplikasi keuangan dan aset staf pengolah data keuangan? Apakah entitas sudah mendefinisikan penggunaan aset yang ada? Apakah ancaman dan kelemahan terkait aset informasi yang sudah diinventaris sudah diindentifikasi Apakah dampak kerugian terkait sudah diidentifikasi sesuai dengan klasifikasi aset yang ada

SOP Bidang komunikasi informatika dokumen metodologi risiko TI

dan


1

X

Semua akun

1

X

Semua akun

2

X

X

X

Akun aktiva

2

X

X

X

Akun aktiva

hasil kajian risiko TI (risk register)

1

X

X

X

Akun aktiva

risk acceptance kriteria

1

X

X

X

Akun aktiva



197

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

3

Dapatkan dokumen terkait penggunaan aset informasi yang ada di entitas meliputi (sumber : A.7.1) Identifikasi lokasi dan fasilitas pengolahan informasi yang ada/aplikasi keuangan, apakah digunakan oleh yang tepat dan berada pada tempat yang aman? Review penanganan masalah yang terjadi atau risiko pada setiap aset informasi yang ada (sumber: A.7.2) Apakah entitas telah melakukan mitigasi masalah/risiko yang ada pada setiap aset informasi berdasarkan klasifikasi atau tingkat kepentingan pada proses pelaporan keuangan pemerintah daerah Apakah status mitigasi dari setiap masalah/risiko telah dilakukan evaluasi untuk memastikan kemajuan kerjanya?


a

4 a

b

R.3 1

2

3

Review Kerangka Kerja Keamanan Informasi Apakah kebijakan dan prosedur keamanan informasi sudah disusun dengan jelas dengan mencantumkan peran dan tanggung jawab pihak-pihak yang berwenang untuk menerapkan? Apakah kebijakan dan prosedur keamanan informasi sudah dikomunikasikan dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam entitas tersebut? Review dan dapatkan dokumen (jika ada) yang berisi pengelolaan risiko dari pengembangan sistem pengelolaan keuangan yang baru pada entitas

Level



C

I

A

2

X

X

X

Akun aktiva

1

X

X

X

Semua akun

2

X

X

X

Semua akun

SOTK, job desc

X

Semua akun

Pengunguman ke semua satuan kerja terkait keamanan infomasi yang dilakukan secara berjenjang

X

Semua akun

Laporan berkala

monitoring

Tim

secara


Hasil evaluasi dan pengkajian investasi sistem TI yang baru pada pihak yang terkait, meliputi user



198

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

a

Apakah entitas sudah menerapkan proses evaluasi dari risiko terkait rencana pengembangan sistem baru dan penanggulangan masalah yang mungkin timbul dari sistem pengelolaan keuangan baru tersebut? Apabila penerapan suatu sistem baru tersebut menimbulkan masalah atau menyalahi kebijakan terkait pelaksanaan pelaporan keuangan pemerintah, apakah ada proses penanggulangan termasuk pengamanan yang baru (compensating control)? Apakah entitas memiliki mempunyai strategi penggunaan atas teknologi keamanan informasi untuk pengolah keuangan daerah yang penerapan dan pemutakhirannya disesuaikan dengan kebutuhan entitas? Review pengelolaan proses ketersediaan informasi keuangan pemerintah daerah yakni informasi anggaran, aset, penerimaan dan pengeluaran dengan cara back up data Apakah entitas memiliki kebijakan terkait proses back up informasi ? Apakah ada proses evaluasi dilakukan secara berkala terhadap kebijakan terkait proses back up? Apakah ada proses pelabelan atau inventarisasi media penyimpanan back up informasi keuangan? Review dan dapatkan dokumennya jika ada mengenai pengendalian entitas terkait proses pertukaran informasi keuangan baik di lingkungan internal maupun eksternal entitas

(kepala SKPD sekretaris daerah

b

c

4

a b c 5

Level

dan

jajarannya),



2

C X

I X

A X

Semua akun

2

X

X

X

Semua akun

2

X

X

X

Semua akun

1

X

X

X

Semua akun

2

X

X

X

Semua akun

X

Semua akun


3



199

Reff Ruang lingkup

No

Program Pemeriksaan

Bukti Audit

a

Apakah ada kebijakan atau prosedur yang mengatur pengelolaan informasi termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan penyimpanan? Review apakah terdapat kebijakan atau mekanisme yang mengatur interkoneksi sistem informasi yang berhubungan dengan pelaporan keuangan dengan organisasi eksternal? Review proses pendeteksian kegiatan pengolahan informasi keuangan yang tidak sah Apakah entitas memiliki prosedur yang mengatur proses pemantauan penggunaan fasilitas pengolahan informasi keuangan? Apakah aspek keamanan informasi mencakup pengendalian pelaporan insiden yang didapat dari log audit, log administrator dan operator dan log atas kesalahan yang terjadi pada sistem informasi keuangan sehingga dapat segera dianalisa dan diambil tindakan dan tidak menimbulkan masalah pada laporan keuangan? Apakah entitas melakukan perlindungan pada fasilitas log dari akses sistem pengelolaan keuangan daerah? Review dan dapatkan dokumen yang berisi proses pelaporan kelemahan keamanan informasi keuangan Apakah aspek keamanan informasi keuangan yang mencakup pelaporan insiden dari sistem pengelolaan keuangan tercantum dalam suatu kebijakan atau prosedur yang disebarkan ke semua pegawai dan pihak ketiga? Review dan dapatkan dokumen yang berisi manajemen

SOP Pertukaran informasi

b

6 a

b

c 7 a

8

Level



1

C X

I X

A X

2

X

X

X

SOP Pemantauan bidang komunikasi dan informatika

2

X

X

X

Semua akun

Laporan pemantuan meliputi analisa log admin

3

X

X

X

Semua akun

SOP Pemantauan bidang komunikasi dan informatika SOP penanganan insiden

2

X

X

X

Semua akun

X

X

Semua akun

2

Anggaran, Pendapatan dan aset Anggaran, Pendapatan dan aset



200

Reff Ruang lingkup

No

a

b

c

d

R.4 1

a

b

Program Pemeriksaan

Bukti Audit

insiden keamanan informasi yang bertujuan untuk melihat keefektifan penerapannya? Apakah entitas sudah menerapkan kebijakan dan prosedur operasional untuk mengelola insiden keamanan informasi yang muncul, alokasi tanggung jawab untuk memonitor dan penanggulangan insiden keamanan pada fasilitas pengolah keuangan yang ada? Apakah entitas memiliki program untuk meningkatkan keamanan informasi untuk mengatasi insiden yang telah terjadi sebelum-sebelumnya pada fasilitas pengolah keuangan? Apakah program keamanan informasi yang ada dilakukan evaluasi untuk melihat keefektifan penerapannya dalam entitas? Apakah konsekuensi dari pelanggaran keamanan informasi yang menyebabkan insiden sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? Review Pengelolaan Aset Informasi Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi oleh semua pihak entitas baik pegawai dan kontraktor selama bekerja di entitas tersebut. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas? Apakah konsekuensi dari pelanggaran keamanan informasi

Level


Laporan tim teknis rekomendasi kontrol

2



C

I

A

X

X

X

Semua akun

berupa

2

X

Semua akun

bukti/risalah rapat/manajemen review untuk mengevaluasi efektivitas penerapan keamanan informasi

2

X

Semua akun

1

X

Semua akun

SOP keamanan informasi, SOTK/Job desc 2

X

1

X

Semua akun

X

Semua akun



201

Reff Ruang lingkup

No

2

a

b

c

3 a

b

Program Pemeriksaan

Bukti Audit

yang menyebabkan insiden pada proses pelaporan keuangan sudah didefinisikan, dikomunikasikan dan ditegakan oleh entitas? Review dan dapatkan dokumen mengenai pengelolaan keamanan informasi keuangan oleh semua pihak entitas baik pegawai dan kontraktor setelah mengakhiri kerjasama atau perubahan pekerjaan di entitas tersebut. Apakah entitas telah mendefinisikan tanggung jawab pengamanan informasi keuangan secara individual untuk semua personil di entitas setelah pengakhiran kerjasama atau perubahan pekerjaaan? Apakah pihak yang melakukan pengakhiran pekerjaan terkait proses pengelolaan data keuangan dalam entitas mengembalikan aset yang digunakan ketika bekerja? Apakah terdapat penghapusan hak akses pihak yang mengakhiri kerjasama dan perubahan pekerjaan terhadap fasilitas pengolah informasi keuangan yang dipakai selama bekerja di entitas tersebut? Review dan dapatkan dokumen mengenai pengendalian area penyimpanan fasilitas pengolahan informasi Apakah terdapat ketentuan pengamanan fisik yang disesuaikan dengan definisi zona dan klasifikasi aset yang ada didalamnya? Apakah entitas memiliki pengendalian fisik area penyimpanan fasilitas informasi berupa pengendalian entri?

Level



C

I

A

3

X

X

X

3

X

X

Belanja

3

X

X

Belanja

2

X

X

3

X

X

Pakta integritas dengan pihak ketiga dalam MOU, NDA untuk pihak ketiga menyangkut informasi rahasia

SOP pengamanan fasilitas pengolahan informasi (SOP data center) Cek fisik data center

X

Belanja

Semua akun

Pendapatan, Anggaran, Aktiva



202

Reff Ruang lingkup

No

Program Pemeriksaan

c

Apakah entitas memiliki pengamanan kantor, ruangan dan fasilitas penyimpanan informasi dari ancaman eksternal entitas? (misal adanya rancangan dan material yang dapat menanggulangi risiko kebakaran dan dilengkapi dengan fasilitas pendukung (deteksi kebakaran, asap, pemadaman api, pengatur suhu dan kelembapan) Review dan dapatkan dokumen mengenai keamanan peralatan yang memuat informasi sehingga pencegahan kehilangan, kerusakan, pencurian atau gangguan terhadap kegiatan entitas. Apakah tersedia peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dalam proses pengelolaan data keuangan dari risiko perangkat atau bahan yang membahayakan aset informasi yang ada didalamnya? (misal menggunakan telepon genggam atau kamera pada saat memasuki ruang server) Adakah dokumen kebijakan atau prosedur yang mengatur mengenai pengelolaan/pemberian akses, otentikasi dan otorisasi untuk menggunakan aset informasi pengelolaan keuangan Review pengelolaan akses untuk menggunakan aset informasi di entitas Apakah entitas memiliki inventarisasi akses terhadap informasi keuangan dan fasilitas pengolah keuangan yang berisi identitas elektronik pemilik akses, proses otentikasi (username, password)?

4

a

5

6 a

Bukti Audit

Level


3

C X

I X

SOP pengamanan fasilitas pengolahan informasi (SOP data center)

2

X

X

Akun Aktiva

prosedur pengelolaan (Access Control)

2

X

X

Akun Aktiva

2

X

X

hak

akses

A X

Akun Laporan Keuangan yang terkait Pendapatan, Anggaran, Aktiva

Laporan monitoring terkait hak akses pengguna ( user access review) X

Semua akun



203

Reff Ruang lingkup

No

Program Pemeriksaan

b

Apakah ada prosedur yang mengatur pengkajian atas hak akses pengguna (user access review) secara berkala dan langkah pembenahan apabila terjadi ketidaksesuaian terhadap kebijakan yang berlaku?(misal: apabila pengguna sudah tidak berwenang atas suatu proses dalam sistem keuangan maka dia tidak bisa mengakses fungsi tersebut) Review apakah entitas memiliki ketetapan pendefinisian tanggung jawab pengamanan informasi secara individual sebagai pengolah data keuangan di semua satuan kerja yang ada?(misal: ketentuan pemilihan password tiap pengguna, sistem clear desk dan clear screen serta keamanan peralatan yang ditinggalkan oleh pengguna) Review dan dapatkan dokumen jika ada terkait pengendalian akses jaringan, sistem operasi dan sistem aplikasi informasi yang digunakan untuk pengolahan keuangan baik pencatatan penerimaan, pengeluaran dan mutasi aset Apakah entitas memiliki kebijakan atau prosedur yang mengatur akses, proses otentikasi dan otorisasi penggunaan aset informasi yakni jaringan, sistem operasi dan sistem aplikasi informasi? Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni jaringan, diantaranya perlindungan dari configuration port, remote diagnostic selain itu pengendalian pada routing dan koneksi jaringan untu pengelolaan informasi keuangan?

7

8

a

b

Bukti Audit

Level


A X


2

C X

I X


1

X

X

Semua akun

SOP pengamanan jaringan, sistem operasi dan sistem informasi

2

X

X

Akun Pendapatan, Belanja


2

X

X

X

Semua akun

Akun Pendapatan, Belanja



204

Reff Ruang lingkup

No

Program Pemeriksaan

c

Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni sistem operasi, diantaranya sesi time out, prosedur log on yang aman pada sistem operasi, dan pengendalian program utility? Apakah entitas melakukan pengendalian secara teknis pada aset informasi yakni aplikasi, diantaranya isolasi aplikasi yang sensitif bagi entitas dan pembatasan akses informasi? Review kesesuaian proses pengamanan informasi yang dilakukan oleh pengelola keuangan yakni bendahara penerimaan, bendahara barang, bendahara pengeluaran dan PPK-SKPD terhadap hukum yang berlaku Apakah entitas telah membuat tata tertib pengamanan dan penggunaan aset entitas terkait HAKI (Hak Kekayaan Intelektual)? Apakah terdapat peraturan pengamanan data pribadi di entitas tersebut Apakah terdapat tata tertib penggunaan email, internet, intranet dan komputer? Review apakah entitas memiliki prosedur untuk mengamankan lokasi kerja, fasilitas informasi dan aset informasi terkait pengelolaan keuangan (anggaran, penerimaan, pengeluaran dan pengelolaan aset dari keberadaan pihak internal maupun eksternal yang melakukan audit pada entitas? Review Teknologi dan Keamanan Informasi Review apakah entitas melakukan pengendalian terkait

d

9

a

b c 10

R.5 1

Bukti Audit

Level


1

C X

I X

1

X

X


A Akun Pendapatan, Belanja Akun Pendapatan, Belanja

Cek fisik lisensi OS atau aplikasi yang lainnya

2

X

Akun aktiva

SOP/ aturan penggunaan email, internet dan hasil pemantauan pengunggan email & internet

1

X

X

Semua akun

1

X

X

Semua akun

Pakta integritas dengan pihak ketiga dalam MOU, NDA untuk pihak ketiga menyangkut informasi rahasia SOP pengamanan informasi secara individual

3

X

X

Semua akun



205

Reff Ruang lingkup

No

a b c

2

a

b c 3

Program Pemeriksaan

Bukti Audit

pengolahan dalam suatu aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. Apakah setiap perubahan pada sistem informasi secara otomatis terekam didalam log? Apakah upaya akses yang tidak berhak juga terekam dalam log? Apakah semua log yang ada dianalisa secara berkala untuk memastikan akurasi, validitas data masukan serta data keluaran sistem informasi dan kelengkapan isinya? Review dan dapatkan dokumen mengenai pengendalian kriptografi yang diterapkan oleh entitas pada aplikasi untuk pencatatan pengeluaran, penerimaan keuangan oleh bendahara dan kas umum daerah serta mutasi aset di pemerintah daerah. Apakah entitas menerapakan enkripsi untuk melindungi aset informasi keuangan penting sesuai dengan kebijakan yang ada? Apakah entitas memiliki standar dalam penggunaan enkripsi tersebut? Apakah entitas menerapkan pengamanan untuk mengelola kunci enkripsi yang digunakan? Review apakah entitas melakukan pengamanan system files berupa perlindungan data uji sistem, pembatasan akses ke kode sumber sistem informasi keuangan terkait pengelolaan anggaran, penerimaan keuangan, pengeluaran dan

Level


C

I

A


Periksa log penggunaan sistem dan aplikasi TI, baik oleh user maupun admin

3

X

X

X

Akun PAD, belanja Akun PAD, belanja Akun PAD, belanja

3

X

X

X

Laporan tim teknis terkait analisa log

2

X

X

X

1

X

X

Semua akun

1

X

X

Semua akun

1

X

X

Semua akun

2

X

X

SOP enkripsi

Periksa kesesuaian sistem TI dengan standar yang ditetapkan: a. Standar software, b. Standar keamanan

X

Semua akun



206

Reff Ruang lingkup

No

4

Program Pemeriksaan

Bukti Audit

pengelolaan aset? Review apakah entitas melakukan pengamanan dan tinjuan teknis atas sistem aplikasi pengelolaan keuangan meliputi aplikasi anggaran, aset dan penerimaan atau pengeluaran keuangan pada saat proses pengembangan atau perubahan pada aset informasi yang terhubung dengan aplikasi tersebut, misal perubahan sistem operasi?

Level

c. d.

(security baseline), Standar rilis aplikasi Software AntiVirus

2


C

I

A

X

X

X


Semua akun



207

Lampiran 5

Hasil Kuesioner Nilai Dampak Indikator

Nara 1

Nara 2

Nara 3

Nara 4

Nara 5

Nara 6

Nara 7

Nara 8

Nara 9

Rata-Rata

D.1.1

4

5

5

5

5

5

5

5

5

5

Extreme

D.1.2

4

5

5

5

5

5

5

5

5

5

Extreme

D.1.3

4

4

5

5

2

2

2

4

5

4

Major

D.1.4

5

5

5

5

4

5

5

5

5

5

Extreme

D.2.1

5

5

5

5

4

5

5

4

5

5

Extreme

D.2.2

4

5

5

5

4

5

5

4

5

5

Extreme

D.2.3

4

5

5

5

4

5

5

4

5

5

Extreme

D.3.1

4

5

5

5

5

5

5

4

5

5

Extreme

D.3.2

5

5

5

5

4

5

5

5

5

5

Extreme

D.3.3

4

4

5

5

2

5

5

4

4

4

Major

D.3.4

3

3

3

2

3

4

4

4

3

3

Moderate

D.3.5

4

5

5

5

4

2

4

5

4

4

Major

D.3.6

5

4

5

3

3

5

5

4

5

4

Major

D.4.1

4

5

5

5

2

5

5

4

5

4

Major

D.4.2

3

4

5

3

3

3

3

4

5

4

Major

D.4.3

5

5

5

5

4

4

4

5

4

5

Extreme

D.4.4

4

4

5

5

2

2

2

4

5

4

Major

D.4.5

4

5

5

5

5

4

5

4

5

5

Extreme



208

Indikator

Nara 1

Nara 2

Nara 3

Nara 4

Nara 5

Nara 6

Nara 7

Nara 8

Nara 9

Rata-Rata

D.4.6

4

5

5

5

5

5

5

5

5

5

Extreme

D.4.7

4

5

5

3

2

5

5

4

4

4

Major

D.4.8

4

5

5

5

3

4

5

4

5

4

Major

D.4.9

4

4

5

4

3

5

5

4

4

4

Major

D.4.10

4

5

5

5

4

4

5

4

5

5

Extreme

D.4.11

4

4

5

4

4

5

5

4

5

4

Major

D.4.12

4

5

5

5

3

4

5

4

5

4

Major

D.4.13

2

3

3

3

4

3

4

3

3

3

Moderate

D.4.14

4

5

5

5

4

4

5

4

5

5

Extreme

D.4.15

3

4

5

5

5

5

5

4

3

4

Major

D.4.16

2

1

5

5

1

1

3

1

1

2

Minor

D.5.1

4

4

2

5

4

4

1

4

1

3

Moderate

D.5.2

4

5

5

5

4

5

5

4

5

5

Extreme

D.5.3

5

5

5

5

4

5

5

4

5

5

Extreme

D.5.4

4

4

3

5

3

5

5

4

4

4

Major



209

Hasil Kuesioner Nilai Likelihood Indikator L.1.1 L.1.2 L.1.3 L.1.4 L.2.1 L.2.2 L.2.3 L.3.1 L.3.2 L.3.3 L.3.4 L.3.5 L.3.6 L.4.1 L.4.2 L.4.3 L.4.4 L.4.5 L.4.6 L.4.7 L.4.8

Nara 1 1 1 4 2 2 2 2 1 4 1 1 2 3 3 1 4 1 3 1 5 1

Nara 2 5 1 3 2 1 5 3 2 1 4 1 2 3 4 2 4 1 3 1 5 2

Nara 3 1 1 3 2 4 2 2 3 1 3 1 4 3 5 1 2 2 3 2 5 1

Nara 4 5 1 1 1 1 1 1 2 4 1 1 2 5 5 1 5 1 3 1 5 1

Nara 5 5 5 5 2 3 3 3 1 1 5 5 4 5 5 1 4 1 3 1 5 1

Nara 6 1 1 5 2 1 1 1 1 1 1 1 1 5 5 3 4 1 4 1 5 3

Nara 7 5 5 5 1 1 5 4 4 1 1 5 1 5 5 3 1 2 2 2 5 3

Nara 8 1 5 5 1 1 2 2 2 1 2 5 5 5 4 2 4 1 5 1 5 2

Nara 9 1 1 2 1 1 1 2 1 1 1 1 2 4 3 2 1 1 4 1 3 2

3 2 4 2 2 2 2 2 2 2 2 3 4 4 2 3 1 3 1 5 2

Rata-Rata Moderate Unlikely Likely Unlikely Unlikely Unlikely Unlikely Unlikely Unlikely Unlikely Unlikely Moderate Likely Likely Unlikely Moderate Rare Moderate Rare Almost Certain Unlikely Universitas Indonesia


210

Indikator L.4.9 L.4.10 L.4.11 L.4.12 L.4.13 L.4.14 L.4.15 L.4.16 L.5.1 L.5.2 L.5.3 L.5.4

Nara 1 5 2 2 4 5 1 2 1 5 2 3 2

Nara 2 5 2 1 2 5 2 1 1 5 2 1 3

Nara 3 5 3 5 4 5 5 5 2 5 2 3 4

Nara 4 2 5 5 4 5 5 5 1 2 3 3 1

Nara 5 5 5 1 4 5 5 1 1 5 3 1 2

Nara 6 3 3 1 4 5 1 1 1 3 1 3 1

Nara 7 5 5 3 4 5 5 3 2 5 1 1 1

Nara 8 5 4 1 1 5 2 1 1 5 2 3 1

Nara 9 2 1 1 3 3 1 1 1 2 1 1 4

4 3 2 3 5 3 2 1 4 2 2 2

Rata-Rata Likely Moderate Unlikely Moderate Almost Certain Moderate Unlikely Rare Likely Unlikely Unlikely Unlikely



Lampiran 6 Dibuat oleh

:

ISA

Direviu oleh

:

YK

Disetujui oleh

:

RU

Hasil Pengisian Formulir Penilaian Risiko Keamanan Informasi Pemerintah Kota Tangerang Kode ruang lingkup

Ruang lingku p

Kode aktivita s penge ndalian

Aktivitas pengend alian

Ref. Progra m Pemeri ksaan

Kerawanan

Ancaman

Inheren

Dampak 1

R.1

2

Tata Kelola Keama nan Informa si

3

A.5.1

4

Informatio n Security Policy

5

R.1.1.a

6

Belum adanya dokumen formal yang mengatur keamanan informasi di Pemda Kota Tangerang

7

8

Penyelewen gan dan penyalahgu naan data oleh pihak internal dan eksternal organisasi

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Modera te

Nilai Risiko 10

11

High

Penyusunan kebijakan keamanan informasi mulai dari kebijakan/stan dar, prosedur hingga petunjuk teknis.

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

211


Nilai Risik o 14

Medi um

Strategi Mitigasi risiko

Rencana Kerja

Targ et Peny eles aian

Risik o Dete ksi

Strategi Pemeriksa an Umum

15

16

17

18

19

Tingg i

• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalk an pengendalia n • Pengujian subtantif terbatas • Sample kecil

Accept

Penyusun an kebijakan keamana n informasi yang mengado psi pada standar internasio nal, misal ISO 27001

Tahu n 2014


212

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

R.1.1.b , R.1.1.c

A.5.2

Kajian Informatio n Security Policy

R.1.2

6 Pelaksanaan perangkat hukum terkait keamanan informasi masih dilaksanakan secara adhoc, yakni hanya berdasarkan permasalahan yang muncul saja

7

Belum dilakukan review/kajian terhadap kebijakan teknologi informasi secara reguler

Kebijakan informasi tidak dapat mengcover kondisi yang as is dari organisasi

Rekomendasi Kontrol

8

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

11

High

Review kebijakankebijakan teknologi informasi yang sudah ada secara regular

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Kajian kebijakan teknologi informasi dan keamana n informasi secara berkala

Tahu n 2015

Tingg i

• Pengujian subtantif terbatas • Sample kecil



213

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.6.1

4

Organisa si internal

5

R.1.3.a, R.1.3.b, R.1.3.c

6 Sudah ada Tupoksi / job description unit organisasi/lem baga yang memasukkan tanggungjawa b keamanan informasi hanya saja belum secara spesifik mengurus keamanan informasi sehingga staf tidak fokus baik untuk pengelolaanny a dan penjaminan kepatuhan program keamanan informasi

7

8

Penangana n risiko keamanan informasi tidak dapat dilaksanaka n dengan cepat

Rekomendasi Kontrol

Major

Kecend erunga n 9

Likely

Nilai Risiko 10

11

High

Memastikan job description masingmasing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagian tugas yang jelas.

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD, SP2D UP, GU dan LS dan aset

Accept

Penyusun an SOTK khusus keamana n informasi

tahu n 2015



214

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

R.1.3.d, R.1.3.f

6

7

Tidak memiliki Security Awareness Program

User menjadi tidak aware dengan keamanan informasi. sehingga jaringan mudah diserang oleh pihak luar

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

11


Residual

Dampa k

Kecender ungan

12

13

Mengadakan sosialisasi khusus keamanan informasi kepada staf secara rutin.

Nilai Risik o 14

15

Accept

Rencana Kerja

16 Sosialisas i pentingny a keamana n informasi kepada staf di lingkunga n organisas isecara berkala dengan memberik an informasi mengenai tindakan pencegah an dan mengatas i virus baik melalui brosur, majalah internal organisas i dan surat edaran. Serta pengguna


Risik o Dete ksi


17

18

19



215

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

6

7

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

11


Residual

Dampa k

Kecender ungan

12

13

Nilai Risik o 14

15

Rencana Kerja

16 an internet yang aman bagi user melalui acara khusus


Risik o Dete ksi


17

18

19



216

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.6.2

4

Organisa si eksternal

5

6

R.1.3.e

Tidak ada koordinasi dengan satker lain terkait pelanggaran keamanan informasi

R.1.4

Sudah ada MOU dan agreement dengan pihak ketiga terkait keamanan yang menyangkut proses di Pemkot Tangerang akan tetapi tidak dilakukan oleh semua satker

7

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

Pembocora n informasi atau insiden yang dilakukan oleh staf organisasi

Pembocora n informasi atau insiden yang dilakukan oleh pihak eskternal

Extreme

Unlikely

High

11 Memberikan sanksi dan tindakan disiplin kepada staf yang telah melanggar kebijakan keamanan seperti dinonaktifkan, surat peringatan dan penurunan jabatan yang berasal dari satker SDM, legal atau keuangan Review terhadap agreement dengan pihak ketiga dan minta source code untuk aplikasi yang dioutsourcedk an untuk maintainance ke depannya. Serta dokumentasi seperti user manual dari

Residual

Dampa k

Kecender ungan

12

13

Nilai Risik o 14


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait STS Pendapatan

Koordinas i dengan satker lain terkait punishme nt terhadap pelanggar an keamana n informasi

Major

Unlikely

Medi um

Accept

Membuat prosedur kolaboras i pengatura n keamana n dengan pihak ketiga dan membata si akses ke sistem

Tahu n 2014



217

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

R.2

2

Pengel olaan Risiko Keama nan informa si

3

A.7.1

4

Tanggung Jawab terhadap aset

5

R.2.2.a, R.2.2.b, R.2.3.a

6

Inventarisasi aset TI sudah terdefinisi dengan baik dalam daftar aset Pemda Kota Tangerang akan tetapi pelabelannya masih belum lengkap

7

8

Jika ada perangkat yang hilang, maka akan sulit terdeteksi

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11 aplikasi tersebut.

Melakukan inventarisasi peralatan TI secara rutin untuk menghindari hilangnya barang inventaris TI di lingkungan Pemkot Tangerang dengan memberi nomor inventaris pada masingmasing peralatan TI yang ada.

Residual

Dampa k

Kecender ungan

12

13

Extrem e

Rare

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

adanya Kebijakan harus melindun gi aset informasi dan reputasi organisas i serta memperta hankan integritas data

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang

tahu n 2014



218

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.7.2

4

klasifikasi Informasi

5

R.2.1.a, R.2.1.b, R.2.4.a, R.2.4,b

6

7

kepemilikan informasi belum terdefinisi dengan jelas karena IT master plan Pemda Kota Tangerang masih dalam perencanaan

Informasi yang akan keluar dari organisasi harus terklasifikasi dan dilabelkan berdasarka n sensitifitasn ya, jika tidak maka informasi tersebut menjadi tidak diproteksi secara baik, menyebabk an hilangnya kerahasiaan informasi

Rekomendasi Kontrol

8

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11 a) Menentukan siapa pemilik proses pengelolaan aset informasi pada peta proses bisnis Kota Tangerang seperti retensi, recovery dan pemusnahan yang dituangkan dalam IT Master Plan b) Penggolongan informasi berdasarkan tingkat sensitivitasnya . Klasifikasi informasi dibagi menjadi Sangat Rahasia, Terbatas dan Publik

Residual

Dampa k

Kecender ungan

12

13

Extrem e

Rare

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Kebijakan mengiden tifikasi apa saja yang termasuk ‘informasi’ , tujuan organisas i dan tanggung jawab manajem en dan pegawai. IT Master Plan

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen BA Mutasi Barang

Tahu n 2014



219

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

R.3

2

Kerang ka Kerja Keama nan Informa si

3

A.10.2

4

Manajem en Pelayana n Jasa Pihak Ketiga

5

6

R.3.2

kebijakan dan prosedur keamanan informasi belum dikomunikasik an dan dipublikasikan kepada pihak terkait dan dengan mudah diakses oleh semua pihak dalam organisasi

7

8

User yang berasal dari pihak eksternal menjadi tidak aware dengan keamanan informasi. sehingga keamanan informasi organisasi terganggu

Rekomendasi Kontrol

Major

Kecend erunga n 9

Modera te

Nilai Risiko 10

11

High

Mengkomunik asikan kebijakan atau prosedur terkait keamanan informasi organisasi sehingga semua pihak yakni pihak eksternal organisasi mengetahui pentingnya keamanan informasi

Residual

Dampa k

Kecender ungan

12

13

Modera te

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Publikasi kepada publik terkait pengelola an keamana n informasi dalam proses pelayana n jasa yang diberikan kepada Pemkot Tangeran g

Tahu n 2014

Tingg i




220

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.10.3

4

Perencan aan dan Keberteri maan sistem

5

R.3.3.a, R.3.3.b, R.3.3.c

6

Belum terdokumenta sinya sistem dan prosedur untuk memonitor risiko terkait TI di satuan kerja TI. Sehingga sulit untuk dilakukan evaluasi.

7

8

Insiden yang sama akan terulang kembali tanpa adanya pembelajara n dan penangana n yang baik

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11 Perlu adanya upaya dokumentasi dalam merekam jejak aktifitasaktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokument asikan aktifitasaktifitasnya

Residual

Dampa k

Kecender ungan

12

13

Extrem e

Rare

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Menginst all software berlisensi untuk melakuka n pengawa san terhadap seranganserangan yang timbul dari luar (hacker).

Tahu n 2015

Tingg i




221

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.10.5

4

Back Up

5

6

7

R.3.4.a, R.3.4.b, R.3.4.c

Belum adanya SOP mengenai proses back up akan tetapi pelaksanaan backup nya sudah baik yakni dengan menggunakan pelabelan untuk setiap proses backup. Aplikasi 1 minggu sekali, database setiap hari

Kehilangan data terakhir atau sebelumnya

Rekomendasi Kontrol

8

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

11

High

Dilakukan back up secara teratur dan otomatis disertai labeling.


Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um

15

Accept

Rencana Kerja

16 Dilakukan back up secara teratur dan otomatis disertai labeling. Dan disusuan SOP Back up agar berlaku untuk semua informasi yang ada di semua unit di Pemkot Tangeran g


Risik o Dete ksi


17

18

19

tahu n 2014

Tingg i




222

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.10.8

4

Pertukara n Informasi

5

6

R.3.5.a, R.3.5.b

Belum adanya sop yang mengatur pertukaran informasi antara organisasi dengn organisasi/pih ak lain akan tetapi perjanjian pertukaran sudah pernah dilakukan, misal dengan BPK RI dalam e-audit

7

8

Kebocoran data dan informasi organisasi

Rekomendasi Kontrol

Major

Kecend erunga n 9

Unlikely

Nilai Risiko 10

11

Medium

dibuat kebijakan/pros edur pertukaran informasi, perjanjian pertukaran baik yang melalui pesan elektronik, sistem informasi bisnis dan media fisik transit


Residual

Dampa k

Kecender ungan

12

13

Modera te

Rare

Nilai Risik o 14

Low

15

Accept

Rencana Kerja

16 dibuat kebijakan/ prosedur pertukara n informasi, Menetapk an bentuk atau klasifikasi data yang akan dipertukar kan dengan pihak eksternal. Misalnya menggun akan format data teks dan basis data


Risik o Dete ksi


17

18

19

Sang at tinggi (Very High)

• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen STS PAD, BA Mutasi barang

Tahu n 2014



223

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

A.10.10

Pemanta uan

A.13.1

Pelapora n Kejadian dan kelemaha n Keamana n informasi

5

R.3.6.a, R.3.6.b, R.3.6.c

R.3.7.a

6 Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya. Log admin hanya akan dievaluasi jika ada masalah yang timbul pada proses organisasi Belum ada prosedur pelaporan insiden pengamanan informasi dan tindak lanjutnya

7

8

Insiden yang sama akan terulang kembali tanpa adanya pembelajara n dan penangana n yang baik serta pencurian data yang akan lama deteksinya

Rekomendasi Kontrol Kecend erunga n 9

Moderate

Unlikely

Major

Modera te

Nilai Risiko 10

Medium

HIgh

11 a) Perlu adanya upaya dokumentasi dalam merekam jejak aktifitasaktifitas pengamanan untuk bisa dievaluasi dan ditingkatkan secara berkelanjutan. Memudahkan pengelolaan pengetahuan staf TI dalam mendokument asikan aktifitasaktifitasnya. b) Evaluasi log administartor

Residual

Dampa k

Kecender ungan

12

13

Modera te

Major

Nilai Risik o 14

Rare

Low

Unlikely

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tahu n 2014


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji

Tahu n 2014

Tingg i


Accept

Accept

Membuat dokument asi rekaman jejak aktifitasaktifitas pengama nan untuk bisa dievaluasi dan ditingkatk an secara berkelanj utan.



224

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.13.2

4

Manajem en insiden keamana n informasi dan perbaikan

5

6

R.3.8.a, R.3.8.b

a)Belum memiliki rencana dalam penanggulang an bencana, sehingga tidak ada jaminan bahwa bisnis dapat berjalan secara cepat, setelah terjadi bencana. Serta tidak mampu mempertahan kan dukungan TI terhadap jalannya bisnis secara sistematis. b)belum memiliki DRP dan BCP

7 a) Jika terjadi bencana, tidak memiliki alternatif cara agar bisnis dapat terus berjalan, sehingga yang terjadi bisnis terhenti dan organisasi mengalami kerugian b)Proses bisnis akan mengalami gangguan operasional cukup lama untuk kembali ke keadaaan normal.

Rekomendasi Kontrol

8

Major

Kecend erunga n 9

Likely

Nilai Risiko 10

High

11

Pengembanga n alat perlindungan untuk insiden keamanan informasi di lokasi kerja yang penting misal data center, membuat kebijakan BCP dan DRP

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Membuat kebijakan BCP (Bussines s Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk menguran gi risiko terjadinya insiden terhadap keamana n informasi.

Tahu n 2014

Tingg i




225

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

R.4

2

Pengel olaan Aset Informa si

3

A.8.2

4

Selama bekerja

5

6

7

R.4.3.a, R.4.3.b

a)Ketentuan mengenai sanksi atas pelanggaran terhadap kebijakan pengamanan informasi belum diterapkan. b)Staf TI yang menangani risiko terkait TI tidak terlalu fokus karena banyak dibebani pekerjaan tambahan sehingga sistem kerja tidak tersistematis

a)pembocor an data dan informasi oleh pihak internal maupun eksternal yang sedang menjalani tugas di Pemkot Tangerang b)pengelola an keamanan informasi di Pemkot Tangerang tidak bisa optimal

Rekomendasi Kontrol

8

Major

Kecend erunga n 9

Modera te

Nilai Risiko 10

High

11 a)Pegawai TI tidak boleh diberikan tanggung jawab operasional untuk menghindari terjadinya conflicts of interests. b)Pada setiap bagian atau unit kerja akan ditunjuk sebagai wakil yang akan bertanggung jawab dan memonitor keamanan informasi di bagiannya, di bawah koordinasi bidang pengamanan dan pemeliharaan.

Residual

Dampa k

Kecender ungan

12

13

Modera te

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

a)Memast ikan job descriptio n masingmasing personil sehingga tidak ada tumpang tindih pekerjaan dengan dibuatnya prosedur pembagia n tugas yang jelas.

Tahu n 2014

Tingg i




226

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.8.3

4

Pengakhir an atau perubaha n pekerjaan

5

R.4.4.a,

6 terdapat pakta integritas dalam perjanjian dengan pihak ketiga terkait pengembanga n sistem akan tetapi belum ada prosedur yang mengatur pengakhiran tugas atau pekerjaan dari pegawai/pejab at Pemerintah Kota Tangerang karena masih didapat aset informasi yang berada di pihak yang tidak berwenang lagi

7

8

Pembocora n informasi atau insiden yang dilakukan oleh staf organisasi

Rekomendasi Kontrol

Major

Kecend erunga n 9

Rare

Nilai Risiko 10

Medium

11

a) SOP pengaturan aset informasi b) MOU/Pakta Integritas dengan pihak ketiga yang memuat

Residual

Dampa k

Kecender ungan

12

13

Major

Rare

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Pembuat an a) SOP pengatura n aset informasi b) MOU/Pak ta Integritas dengan pihak ketiga yang memuat

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen SP2D

Tahu n 2014



227

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.9.1

4

Area yang aman

5

6

R.4.5.a, R.4.5.b, R.4.5.c

Data center sudah dilengkapi pengamanan fisik yakni deteksi api, pengatur suhu dan kelembapan, Swipe card, CCTV dan pin code akan tetapi belum ada SOP nya sehingga pelaksanaany a masih adhoc

7

8

Data hilang jika terjadi bencana

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11 Membuat kebijakan BCP (Bussiness Continuity Planning ) atau DRP (Disaster Recovery Planning) untuk mengurangi risiko terjadinya insiden terhadap keamanan informasi.

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

accept

Membuat kebijakan BCP (Business Continuity Plan) atau DRP (Disaster Recovery Plan).

Tingg i

• Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD, Aset dan anggaran

Tahu n 2014



228

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.9.2

4

Keamana n Peralatan

5

6

R.4.6.a

Belum ada peraturan/pros edur yang mengatur pengamanan lokasi kerja penting, misal data center walaupun sudah ada pengamanan fisik lokasi data center, selain itu belum ada prosedur pengamanan peralatan informasi yang dibawa ke luar lokasi kerja

7

8


Rekomendasi Kontrol

Major

Kecend erunga n 9

Almost certain

Nilai Risiko 10

Very High

11

a) Ditingkatkann ya pengamanan fisik menggunakan alat pengaman kunci biometric seperti finger print. b)SOP pengamanan peralatan di luar lokasi Kerja

Residual

Dampa k

Kecender ungan

12

13

Major

Moderate

Nilai Risik o 14

High


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Medi um

• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan Terkait dokumen pengelolaan aset

accept

Membuat SOP pengama nan peralatan di luar lokasi kerja dengan mengado psi pada ISO 27001

Tahu n 2014



229

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.1

4

Persyarat an bisnis untuk pengenda lian akses

5

R.4.7.a

6

7

Belum adanya kebijakan dan prosedur pengelolaan hak akses pengguna sistem dan aplikasi

Orang yang tidak mempunyai wewenang dapat mengakses informasi sensitif yang dapat mengakibat kan kerugian bagi organisasi seperti misalnya kebocoran informasi

Rekomendasi Kontrol

8

Major

Kecend erunga n 9

Unlikely

Nilai Risiko 10

Medium

11

Perlu dikembangkan SOP (Standard Operating Procedure) pengelolaan hak akses pengguna

Residual

Dampa k

Kecender ungan

12

13

Modera te

Rare

Nilai Risik o 14

Low


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen pengelolaan aset

accept

Perlu dikemban gkan SOP pengelola an hak akses pengguna

Tahu n 2014



230

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.2

4

Manajem en akses pengguna

5

6

R.4.8.a, R.4.8.b

Belum ada kebijakan dan prosedur yang mengatur pengelolaan akses pengguna sistem aplikasi yang meliputi inventarisasi daftar akses dan review daftar akses secara berkala

7

Rekomendasi Kontrol

8

Major

Kecend erunga n 9

Modera te

Nilai Risiko 10

HIgh

11

Penghapusan hak akses kepada pegawai, kontraktor dan pengguna pihak ketiga ketika pekerjaan dan kontrak berakhir


Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um

15

Accept

Rencana Kerja

16 Pembuat an SOP pengelola an akses terhadap aplikasi/si stem, Pegawai dilarang membagi account, password , personal identificati on, atau informasi sejenis yang digunaka n untuk identifikas i dan otorisasi


Risik o Dete ksi


17

18

19

Tingg i


Tahu n 2014



231

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.3

4


5

R.4.9.a

6

Belum adanya penerapan pengamanan password pada aplikasi misal aplikasi telah memaksa user untuk mengubah password secara berkala

7

8

Brute force login/passw ord guessing yang dilakukan oleh orang yang tidak bertanggun g jawab

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Modera te

Nilai Risiko 10

High

11 Pegawai dilarang untuk menulis dan melekatkan pada obyek sekitar workstation atau meja informasi untuk akses ke sistem yang bersifat sensitive seperti User ID dan password dengan melakukan kontrol clear desk dan clear screen.

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tingg i


Accept

a.Penyus unan kebijakan clear desk dan clear screen. b.Penyus unan SOP manajem en password

Tahu n 2014



232

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.4

4

Pengend alian akses jaringan

5

6

R.4.10. a, R.4.10. b, R.4.10. c, R.4.10. d

sudah ada network monitoring system akan tetapi dimonitor hanya jika terdapat masalah bukan dilakukan secara berkala. Hal ini terjadi karena belum ada SOP tentang pemantauan akses jaringan

7

8

sulit untuk memonitor log-log kegiatan dalam jaringan

Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Modera te

Nilai Risiko 10

HIgh

11

Penerapan Network Monitoring System

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi

15

16

17

18

accept

SOP pemantau an akses jaringan di Pemerint ah Kota Tangeran g sehingga pemantau an dilkukan secara berkala

tahu n 2014

Tingg i


19 • Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalk an pengendalia n • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS dan SP2D UP



233

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.5

4

Pengend alian akses sistem operasi

5

6

sudah ada sesi time out yang diterapkan dalam organisasi Pemkot Tangerang akan tetapi belum ada pembatasan penggunaan workstation bagi siswa/pegawai magang

7

8


Rekomendasi Kontrol

Moderate

Kecend erunga n 9

Almost certain

Nilai Risiko 10

High

11

Membuat prosedur kolaborasi pengaturan keamanan dengan pihak ketiga dan membatasi akses ke sistem bagi siswa/pegawai magang

Residual

Dampa k

Kecender ungan

12

13

Modera te

Likely

Nilai Risik o 14

HIgh


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

accept

prosedur kolaboras i pengatura n keamana n dengan pihak ketiga dan membata si akses ke sistem bagi siswa/peg awai magang

Medi um

• Pengujian subtantif tidak terlalu mendalam • Sample menengah • Prioritas kedua untuk alokasi sumber daya (jumlah dan kualitas) • Prosedur analitis dan uji akurasi tetap harus dilakukan

tahu n 2014



234

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.11.6

4

Pengend alian akses aplikasi dan informasi

5

6

Review Konten dan Aplikasi Sistem Informasi sudah ada, namun belum direview ulang saat aplkasi sudah beroperasi

7

8

Tidak adanya pembatasan yang diberikan kepada user akan mengakibat kan data mudah diubah dan dihapus

Rekomendasi Kontrol

Major

Kecend erunga n 9

Modera te

Nilai Risiko 10

High

11 a)Pembatasan terhadap akses ke social networking. Misalnya dengan pembatasan jam akses serta url yang boleh dan tidak boleh diakses oleh user. b)Mengamank an data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write

Residual

Dampa k

Kecender ungan

12

13

Modera te

Moderate

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

accept

a)File-file yang dipublikas i status property filenya hanya bisa baca sehingga terlindung i dari modifikasi pihakpihak yang tidak berkepent ingan b) Pembatas an waktu koneksi dalam mengaks es aplikasi yang berisiko tinggi

Tingg i


tahu n 2014



235

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

6

7

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

11 dan Access. Sedangkan Compress Keying

Residual

Dampa k

Kecender ungan

12

13

Nilai Risik o 14


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19



236

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.15.1

A.15.3

4

Kesesuai an dengan persyarat an umum

Pertimba ngan audit sistem informasi

5

6

R.4.11. a, R.4.11. c

Belum ada SOP tentang penggunaan email, internet dan intranet di Pemerintah Kota Tangerang, sehingga pengelolaan email dioragnisasi belum baik

R.4.12

Sudah MOU dengan pihak eksternal terkait e-audit yakni dengan BPK RI dan pihak ketiga sebagai penyedia jasa sistem keuangan

7

8

Pencurian data pribadi yang berdampak bagi organisasi


Rekomendasi Kontrol

Major

Minor

Kecend erunga n 9

Unlikely

Rare

Nilai Risiko 10

Medium

Low

11

SOP tentang penggunaan email, internet dan intranet

MOU/Pakta integritas dengan pihak ketiga terkait audit sistem informasi

Residual

Dampa k

Kecender ungan

12

13

Modera te

Insinigh ficant

Moderate

Rare

Nilai Risik o 14

Medi um

Low


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

Pelatihan untuk membang un awarness staf akan kejahatan melalui sosial media yang berakibat bagi organisas i

Tingg i



• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji Terkait dokumen

Accept

MOU/Pak ta integritas dengan pihak ketiga terkait audit sistem informasi

tahu n 2014

tahu n 2013



237

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

6

7

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

11

Residual

Dampa k

Kecender ungan

12

13

Nilai Risik o 14


Rencana Kerja


Risik o Dete ksi

15

16

17

18


19 STS dan SP2D



238

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

R5

2

Teknol ogi dan Keama nan Informa si

3

A.12.2

4

Pengolah an yang benar dalam aplikasi

5

R.5.1.a, R.5.1.b, R.5.1.c

6

Fungsi audit Log sudah dilakukan oleh Pemerintah Kota Tangerang akan tetapi tidak direview secara berkala hanya pada kondisi tertentu saja

7 Penyerang melakukan Sql Injection yang dapat merusak data milik Pemerintah Kota Tangerang dan kemampuan organisasi untuk menjalanka n fungsi bisnis secara benar dan atau menurunka n kredibillitas entitas lainnya yang mungkin berada dalam cakupan informasi atau layanan yang disediakan oleh

Rekomendasi Kontrol

8

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11

Perekaman kegiatan pengguna dan kejadian keamanan informasi melalui log audit.

Residual

Dampa k

Kecender ungan

12

13

Major

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tingg i

• Walaupun tidak menjadi fokus, tetapi harus ada perhatian yang cukup • Sebagian besar mengandalk an pengendalia n • Pengujian subtantif terbatas • Sample kecil Terkait dokumen STS PAD dan SP2D

Accept

SOP tentang pemantau an melalui audit log pada aplikasi sehingga diketahui dengan cepat permasal ahan yang muncul

Tahu n 2014



239

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

4

5

6

7 organisasi

Rekomendasi Kontrol

8

Kecend erunga n 9

Nilai Risiko 10

11

Residual

Dampa k

Kecender ungan

12

13

Nilai Risik o 14


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19



240

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.12.3

4

Pengend alian dengan cara kriptografi

5

R.5.2.a, R.5.2.b, R.5.2.c

6

Belum adanya kebijakan dan prosedur untuk standar enkripsi yang digunakan pemerintah Kota Tangerang, sehingga belum ada pendataan enkripsi yang dipakai

7

8

Apabila muncul permasalah an terkait enkripsi yang diterapkan dalam sistem/aplik asi akan susah dideteksi dan diselesaikan

Rekomendasi Kontrol

Moderate

Kecend erunga n 9

Likely

Nilai Risiko 10

High

11

Daftar Enkripsi dan kunci untuk setiap aplikasi/sistem informasi

Residual

Dampa k

Kecender ungan

12

13

Modera te

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Tingg i


Accept

SOP pengguna an enkripsi pada aplikasi/si stem informasi

Tahu n 2014



241

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.12.4

4

Keamana n sistem file

5

6

R.5.3

Sudah ada pembatasan akses ke kode sumber program aplikasi di Pemerintah Kota Tangerang akan tetapi belum ada standar yang mengatur hal tersebut sehingga hanya beberapa satker tertentu yang menjalankan pengendalian ini

7

8


Rekomendasi Kontrol

Extreme

Kecend erunga n 9

Unlikely

Nilai Risiko 10

High

11 Mengamanka n data dengan Attribut Keying dan Compress Keying. Attribute keying yaitu penguncian terhadap attribute sebuah file data agar tidak mudah diserang oleh orang lain. Misalnya dengan memberikan attribute Read, Write dan Access. Sedangkan Compress Keying yaitu penguncian hasil pemadatan file seperti RAR, ZIP dan lain-lain. Hasil kompres lalu ditambahkan password apabila ingin di decompress

Residual

Dampa k

Kecender ungan

12

13

Modera te

Unlikely

Nilai Risik o 14

Medi um


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19

Accept

a) File-file yang dipublikas i status property filenya hanya bisa baca sehingga terlindung i dari modifikasi pihakpihak yang tidak berkepent ingan b) pembuata n SOP pembatas an akses ke kode sumber

Tingg i


Tahu n 2013



242

Kode ruang lingkup

Ruang lingku p




Kerawanan

Ancaman

Inheren

Dampak 1

2

3

A.12.5

4

Keamana n dalam proses pengemb angan dan pendukun g

5

R.5.4

6 Kebijakan dan prosedur pengembanga n aplikasi sudah ada namun belum dilakukan review ulang, source code dari aplikasi yang dikembangkan oleh pihak ketiga sudah diberikan kepada Pemerintah Kota Tangerang

7

8

Outsourced application yang dikerjakan oleh pihak ketiga dapat diketahui kekurangan dari proses bisnisnya sehingga mempengar uhi pelayanan Pemerintah Kota Tangerang

Rekomendasi Kontrol

Major

Kecend erunga n 9

Unlikely

Nilai Risiko 10

11

Medium

Penyusunan dokumentasi setiap pengembanga n aplikasi meliputi kamus, data, ER diagram, database management system, source code dan algoritma.

Residual

Dampa k

Kecender ungan

12

13

Moder ate

Rare

Nilai Risik o 14

Low


Rencana Kerja


Risik o Dete ksi


15

16

17

18

19


• Pengujian subtantif tidak dilakukan. Bila dilakukan dapat hanya dari subtantive saldo saja • Sample tidak diuji

Accept

Penyusun an Kebijakan dan prosedur pengemb angan aplikasi

Tahu n 2013



UNIVERSITAS INDONESIA

Recommend Documents