AUDIT TEKNOLOGI INFORMASI ATAS PHYSICAL SECURITY CONTROL DAN LOGICAL SECURITY CONTROL SERTA PENENTUAN KONDISI SECURITY RISK STUDI KASUS: PT TALC INDONESIA Inggrid Rizka I. Arfianti Viany Utami iany Utami IBII, Jakarta Abstract The fast growth of technology has an impact to the accounting field. This relates to the term of information technology (IT) auditing. One of the risk of using information technology in business which can be fatal enough ifignored is security risk. Security risk can be reduced by security controls which include Physical security control and logical security control. Information technology auditing is the process of collecting and evaluating evidence to determine whether or not a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. Security risk is a potential threat which may endanger the company’s assets, especially in the case where it is one of the impacts of IT implementation in a company. Physical security control is a security control designed by an organization or company to protect the physical facility of information technology infrastructure, Logical security control is a security control designed by an organization or company to. protect the information technology infrastructure that is invisible in character, such as corporate data and computer software by means of logical function (by using ID password, hand key, fingerprint, and retina scan). The research method is descriptive analysis method, a research method which systematically, actually, and accurately describes concerning facts, characteristics, and also the relation between the Phenomenon being studied (that is the application of physical and logical security control at PT Talc Indonesia). Data collecting techniques include observation, interviews, questionnaires, and documentation. Research result shows that environmental control is effective (68.75%), physical security control is not effective (26.92%), and logical. ‘Security control is categorized as 1718 Media Riset Akuntansi, Auditing & Informasi, Vol. No.3, Desember 2009 : 17 - 38 effective enough (42.22%). In conclusion, the condition of security risk in PT Talc Indonesia is at a risky level because according to this research, there is still an ineffective control (that is the practice of “physical security control). Meanwhile, the practice of logical security control at PT Talc Indonesia is determined as effective enough. Keyword: audit, information technology, security control, security risk PENDAHULUAN Semakin pentingnya teknologi informasi bagi keberhasilan organisasi secara keseluruhan memperluas peran fungsi sistem informasi. Teknologi informasi telah memainkan peran stratejik dan signifikan dalam suatu organisasi. Terbukti dengan alokasi lebih dari 50 persen investasi modal perusahaan- perusahaan yang ada di Amerika Serikat dan 4.2 persen dari pendapatan tahunan mereka untuk teknologi informasi (Weill dan Ross dalam Chew dan Gottschalk, 2008:22). Dengan perkembangan teknologi ini, bidang akuntansi juga mengalami perubahan. Banyak perusahaan yang menggunakan software akuntansi yang siap pakai dalam pencatatan keuangannya atau menyewa orang untuk membuatkan suatu software akuntansi untuk keperluan tertentu. Dengan penggunaan software akuntansi ini, menyebabkan beberapa catatan akuntansi dan dokumen menjadi tidak terdokumentasi karena langsung diproses melalui komputer dan tersimpan dalam bentuk file (Christiawan 2000:2). Perubahan proses bisnis maupun pemrosesan data akuntansi dengan bantuan komputer ini akhirnya juga berdampak pada jasa yang diberikan oleh seorang auditor terutama yang berkaitan dengan jasa atestasi (Meidawati 2002:1). Pada awal mulanya, penggunaan teknologi informasi dalam akuntansi hanya berupa penggunaan teknologi komputer yang mengubah perlakuan terhadap data, baik itu tentang penginputan data, pengolahan data, penerimaan data, sampai pada pengontrolan akan data itu sendiri. Perkembangan yang cukup pesat dalam teknologi informasi telah memberikan dampak besar pada bidang akuntansi khususnya auditing. Hal ini dibuktikan dengan munculnya istilah audit teknologi informasi (Information Technology Auditing). Information Technology Auditing (IT Auditing) awalnya dikenal sebagai Electronic Data Process (EDP) Auditing. Pesatnya petkembangan EDP auditing adalah merupakan dampak dari adanya peningkatan penggunaan teknologi informasi di dalam sistem akuntansi, kebutuhan akan IT control, dan juga sebagai dampak dari tingkat keyakinan pengguna akan komputer yang mengharuskan ruang lingkup audit juga semakin luas, tidak hanya sebatasAudit Teknologi Informasi Atas Physical Security Control Dan Logical Security ‘Control Serta Penentuan Kondisi rity Risk Studi Kasus: PT Tale Indonesia. 19 EDP saja tetapi keseluruhan IT nya harus juga diaudit.Seiring dengan pesatnya perkembangan teknologi informasi, penerapan teknologi informasi tersebut pun tidak luput dari adanya risiko. Teknologi informasi bagaikan dua sisi mata uang di mana di satu sisi IT itu sendiri dapat meningkatkan efektivitas serta efisiensi kinerja perusahaan, dan di sisi lain IT tersebut membawa berbagai risiko baru yang membutuhkan pengendalian internal khusus dan dampaknya sangat ‘berbahaya bagi kelangsungan bisnis perusahaan. Perkembangan teknologi informasi yang pesat ini telah melahirkan kebutuhan akan berbagai teknik baru untuk mengevaluasi pengendalian dan untuk memastikan keamanan serta akurasi data perusahaan dan sistem informasi yang menghasilkannya. Salah satu risiko perusahaan yang menggunakan teknologi informasi dalam proses bisnisnya yang cukup fatal apabila diabaikan adalah risiko keamana. \ 2curity risk). Security risk tersebut dapat berupa pengaksesan informasi atau data perusahaan oleh pihak-pihak yang tidak terotorisasi yang mengakibatkan rendahnya integritas data sehingga dapat mengakibatkan pengambilan keputusan bisnis menjadi tidak berkualitas. Security risk dapat diminimalisasi dengan adanya security controls (pengendalian keamanan) yang mencakup physical security control dan logical security control. Physical ‘security control memfokuskan pengamanan pada bentuk fisik seperti penjagaan fasilitas, komputer, perlengkapan komunikasi, dan komponen berwujud lainnya yang ada di dalam komputer ataupun di lingkungan tempat komputer tersebut berada. Logical security control memfokuskan pengamanan pada Ppenjagaan atas data perusahaan dan software komputer yang invisible, seperti aplikasi pengguna, sistem jaringan, sistem komunikasi, dan sistem operasi. Berdasarkan latar belakang di atas, penulis merumuskan masalah sebagai berikut: “Bagaimanakah penerapan Physical security control dan logical security control pada PT Talc Indonesia, dan apakah penerapan Physical security control dan logical security control tersebut telah efektif, serta penentuan kondisi security risk PT Talc Indonesia”. Adapun tujuan penelitian ini adalah untuk mengetahui bagaimanakah penerapan physical Security control dan logical security control pada PT Talc Indonesia; untuk mengetahui tingkat keefektifan dalam penerapan physical security control dan logical security control pada PT Talc Indonesia; serta untuk mengetahui bagaimanakah kondisi security risk PT Talc Indonesia.20 Media Riset Akuntansi, Auditing & Informasi, VoL9 No.3, Desember 2009 : 17 -38 KERANGKATEORITIS 1. Tinjauan Information and Technology (IT) Audit Definisi Information Systems or Information Technology Auditing menurut Weber (1999: 10), “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently.” Menurut Hunton dkk (2004: 213-224) terdapat empat jenis utama IT audit, yaitu: a. Attestation Pada jenis IT audit ini, auditor bertugas memberikan suatu jaminan atas sesuatu yang harus dipertanggung jawabkan oleh klien. Beberapa contoh prosedur atestasi yang biasanya dilakukan oleh auditor adalah Data Analytic Reviews, Commission Agreement Reviews, Webtrust Engagements, Systrust Engagement, Financial Projections, dan Compliance Reviews. b. Findings and Recommendations Pada jenis audit ini, IT auditor biasanya memberikan jasa konsultasi atau sebagai penasehat. Dalam prosedur ini biasanya mencakup implementasi sistem, implementasi Enterprise Resource Planning (ERP), peninjauan keamenan, peninjauan aplikasi database, perjanjian infrastruktur TI dan pengembangan yang dibutuhkan, manajemen proyek, dan jasa internal audit 11. c. SAS70Audit SAS 70 audit dapat digunakan pada berbagai tugas yang ada di dalam suatu organisasi dengan tujuan untuk menjamin eksistensi dan efektivitas dari pengendalian internalnya. d. SAS 94Audit Merupakan IT audit yang dilakukan untuk mendukung audit laporan keuangan dalam rangka menilai pengendalian internal perusahaan. Komponen-komponen SAS 94 audit adalah Physical and Environmental Review, Systems Administration Review, Application Software Review, Network Security Review, Business Continuity Review, dan Data Integrity Review. Menurut Weber (1999:5-10) faktor-faktor yang ‘memengaruhi suatu organisasi melakukan control dan audit pada infrastruktur teknologi informasi, antara lain: (1) Organizational costs of data loss; (2) Incorrect decision making; (3)Audit Telmnologi Informasi Atas Physical Security Control Dan Logical Security Control Serta Penenan Konda; Sexeiy Wak Bea aE ica Secure 21 Costs of computer abuse; (4) Value of computer hardware, software, and personnel; (5) High costs of computer error; (6) Maintenance of ‘privacy; dan (7) Controlled evolution of computer use. Pendekatan audit sistem informasi menurut Bodnar dan Hopwood (2004:456-458) dapat dikategorikan ke dalam tiga kelompok, yaitu: a. Auditing Around The Computer Teknik pengauditan ini memperlakukan komputer sebagai “black box” yang hanya menerima input dan menghasilkan output tertentu. Auditor menguji kelayakan informasi yang dihasilkan komputer dengan fokus pada input dan output saja. Kelebihan pendekatan ini adalah auditor memerlukan sedikit pengetahuan teknis mengenai komputer. Kelemahan pendekatan ini tidak melihat proses, seperti misalnya menentukan apakah program logical sudah benar atau belum. 5. Auditing Through The Computer Audit dilakukan sebagai verifikasi pengendalian di dalam sebuah sistem yang terkomputerisasi. Tujuannya adalah memeriksa kebenaran software aplikasi yang digunakan perusahaan. Pendekatan ini digunakan karena adanya ketidakmampuan untuk melokalisir source document atau \print-out karena memang rancangan sistem Pengarsipan yang digunakan menghendaki demikian; dan kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan saldo yang ada (ter-record) di file komputer. c. Auditing with the Computer Audit dengan komputer adalah sebuah pendekatan yang menitikberatkan pada penggunaan komputer sebagai alat bantu audit atau Computer Assisted Audit Techniques (CAATs), berupa komputer yang dilengkapi dengan software audit, misalnya: mengambil sampel dari file inventory untuk keperluan pengecekan fisik di gudang, dan menghitung biaya penyusutan. Software audit ini dikenal dengan istilah Generalized Audit Software (GAS), contohnya: ACL (Audit Command Language), IDEA (nteractive Data Extraction and Analysis). Menurut Hunton dkk (2004:208-213) semua IT audit akan melewati proses- proses siklus yang meliputi: a. Planning Tahap pertama dalam IT audit adalah perencanaan audit (audit planning). Sebelum auditor dapat menentukan sifat dan sejauh mana pengujian yang22 = Media Riset Akuntansi, Auditing & Informasi, Vol.9 No.3, Desember 2009 : 17 - 38 akan dilakukannya, dia harus mendapatkan pemahaman yang lengkap mengenai bisnis kliennya serta menentukan ruang lingkup dan tujuan pengendalian, tingkat materialitas, serta outsourcing. b. RiskAssessment Bagian utama dari proses audit ini adalah analisis risiko audit, karena dewasa ini auditor cenderung menggunakan risk-based audit approach agar auditnya lebih efisien dan masalah lebih ter-cover. c. Prepare Audit Program Tidak ada standar audit program yang baku untuk IT audit. Audit program untuk IT audit disesuaikan dengan hardware dan software yang dimiliki oleh Klien, topologi dan arsitektur jaringan, dan lingkungan serta pertimbangan-pertimbangan khusus mengenai industri tersebut. Audit program secara umum meliputi komponen-komponen berikut ini, yaitu: ruang lingkup audit, sasaran audit, prosedur audit, dan rincian administratif seperti perencanaan dan pelaporan. d. Gather Evidence Tujuan dari kerja lapangan adalah untuk mendapatkan bukti-bukti yang memadai, handal, relevan, dan berguna untuk mencapai sasaran audit secara efektif. Temuan-temuan audit dan kesimpulan akan didukung oleh analisa yang sesuai dan interpretasi dari bukti-bukti tersebut. ISACA mengidentifikasikan beberapa jenis bukti yang akan IT auditor temukan pada ! erja lapangan, yaitu: observasi proses-proses dan keberadaan dari item fisik seperti pengoperasian komputer atau prosedur backup data; bukti dala ventuk dokumen seperti program change logs, system access logs, dan tabel otorisasi; gambaran dari klien seperti flowcharts, narratives, dan kebijakan dan prosedur yang tertulis; serta analisa seperti prosedur CAATs yang dijalankan pada data-data klien. e. Form Conclusion Setelah seluruh bukti audit dikumpulkan, tugas auditor adalah untuk mengevaluasi bukti-bukti dan membuat suatu kesimpulan tentang hasil pemeriksaan yang pada akhimya mengarah pada opini audit. Auditor juga mengidentifikasi kondisi-kondisi yang dapat dilaporkan, seperti kelemahan dan kelebihan sistem. f. Deliver Audit Opinion IT audit tidak memiliki standar laporan audit. ISACA mengeluarkan petunjuk untuk item-item umum yang harus ada di dalam sebuah laporan audit. Item-item tersebut antara lain:Audit Telnologi Informasi Atas Physical Security Control Dan Logical Security Control Sets Penentuan Kondist eoce Rok RO ee agica Security 99 1) Nama dari organisasi atau perusahaan yang diaudit; 2) —Judul, tanda tangan, dan tanggal; 3) Pemyataan sasaran audit dan apakah audit tersebut telah memenuhi sasarannya; 4) Ruang lingkup audit, termasuk didalamnya area audit fungsional, periode audit yang tercakup, dan sistem informasi, aplikasi, atau lingkungan proses yang diaudit; 5) Pernyataan bahwa telah terjadi pembatasan Tuang lingkup dimana auditor tidak dapat melaksanakan pekerjaan audit dengan memadai untuk mencapai sasaran-sasaran audit tertentu; 6) Pengguna laporan audit yang dikehendaki, termasuk beberapa pembatasan dalam pendistribusian laporan audit; 7) Standar-standar dan kriteria yang menjadi dasar auditor untuk melaksanakan pekerjaan audit tersebut; 8) Penjelasan rinci mengenai temuan-temuan penting; 9) Kesimpulan dari area audit yang dievaluasi, termasuk di dalamnya syarat dan kualifikasi penting; 10) Saran-saran yang tepat untuk tindakan perbaikan dan peningkatan; 11) Peristiwa-peristiwa penting yang terjadi setelah masa fieldwork audit yang bersangkutan selesai. . Follow Up Tahapan terakhir dari IT audit adalah melakukan tindak lanjut. Setelah auditor menyampaikan hasil audit dan opini audit kepada klien, auditor akan membuat suatu ketentuan untuk melakukan tindak lanjut bersama dengan klien pada kondisi-kondisi yang dapat dilaporkan atau defisiensi audit yang tidak ter-cover selama kegiatan audit. . Tinjauan atas Risiko Macam-macam risiko menurut Hunton dkk (2004: 48-51), yaitu risiko bisnis, risiko audit, risiko keamanan, dan risiko kontinuitas. Risiko bisnis adalah suatu kemungkinan bahwa sebuah oganisasi tidak berhasil mencapai tujuan dan sasaran bisnis nya. Risiko audit adalah suatu kemungkinan bahwa auditor eksternal suatu organisasi melakukan kesalahan ketika mengeluarkan opini yang menegaskan kewajaran dari laporan keuangan perusahaan tersebut atau seorang IT auditor yang gagal menemukan kesalahan yang material atau Sraud. Sedangkan risiko keamanan IT mencakup risiko-risiko yang berhubungan dengan akses data24 Media Riset Akuntansi, Auditing & Informasi, Vol.9 No.3, Desember 2009 : 17 - 38 dan integritas data. Akses data yang tidak terotorisasi dapat berupa, physical dan atau logical. Contoh security risk antara lain mengenai kehilangan data, pengaksesan oleh oknum-oknum yang tidak terotorisasi, dan integritas data. Risiko kontinuitas mencakup risiko-risiko yang berhubungan dengan ketersediaan sistem informasi, backup, dan recovery- nya. Menurut United States General Accounting Office (diakses 16 Desember 2008 pada jam 00:41), ada berbagai model dan metode untuk menilai risiko, di antaranya terdapat tiga metode penilaian risiko, yaitu: a. Metode Kuantitatif Metode kuantitatif umumnya menggunakan pendekatan moneter, dimana risiko dinilai dengan menggunakan perkiraan biaya risiko dan pengurangan risiko teknik berdasarkan (1) kemungkinan damaging event yang akan terjadi, Mengacu pada General Security Risk Assessment, frekuensi atau kemungkinan terjadinya kerugian (damaging event), dapat dihitung dengan cara: Dimana, f P=the probability that a given event will occur £=the number of actual occurences of that event n=the total number of experiments seeking that event (2) biaya dari kerugian potensial, @) biaya mitigasi tindakan yang dapat diambil b. Metode Kualitatif Metode kualitatif digunakan ketika data akan kemungkinan keterjadian dan estimasi biaya tidak tersedia. Sebuah pendekatan kualitatif mendefinisikan risiko secara lebih subyektif dan dengan menggunakan istilah umum seperti tingkat security risk tinggi, tingkat security risk sedang, dan tingkat security risk rendah. Penilaian kualitatif ini sangat subyektif karena bergantung pada keahlian, pengalaman, dan pertimbangan dari yang melakukan penilaian. c. Metode Kombinasi Metode kombinasi ini merupakan metode gabungan antara metode kuantitatif dengan metode kualitatif.Audit Teknologi Informasi Atas Physical Security Control Dan Logical Security Control Serta Kondist Scouriy sk studi Kasus: PT Tale Indonesia. 20 3. Tinjauan atas Security Control Menurut James E. Hunton, Stephanie M. Bryant, dan Nancy A. Bagranoff (2004:106), security control merupakan salah satu kategori utama pengendalian yang ada di dalam fungsi IT. Security control disini dimaksudkan untuk mengamankan infrastruktur teknologi informasi yang ada di dalam organisasi dari ancaman internal dan eksternal. Hunton dkk (2004:107) mengatakan, terdapat beberapa persoalan dalam keamanan yang biasanya dihadapi oleh perusahaan yang mengimplementasikan teknologi informasi di dalam aktivitas perusahaannya (Tabel 1). Untuk membantu memeriksa atau mendesain security control, security control dapat dikategorikan berdasarkan waktu pada saat mereka bertindak yaitu: preventive control, detective control dan corrective control. Preventive control merupakan pengendalian yang dilakukan sebelum peristiwa terjadi, tujuannya untuk mencegah terjadinya sebuah insiden, misalnya seperti menetralisir lokasi dari penyusup yang tidak terotorisasi. Detective control dilakukan pada Tabel 1. Physical and Logical Security as Physical Console Logical Controls lesue eves D and pasrwords controls | Locks and ys ‘Authorization matrix Biometric deve Firewalls and encryption ‘Manlio | Security guards eves Tage ccentols | Video camera ‘Superdry oversight Penetration arms Penetration alarms Review | Formal reviews Formal reviews ccontrots | Signage logs Activity logs vestigations Volation Penetrating attempis to enter FF faciltes | Unauthorized attempts to enter servers tests Attempe to break in and networks Antemps o override access controls ‘As auhorized vistors, atemps leave | (hacking) ‘euthorized personnel and wander around | ds authorized user attemps to use ‘the fail without ‘cuthortzed applications and view sncutharized ‘Sumber : Hunton, James E., Stephanie M. Bryant, & Nancy A. Bagranoff (2004), Core Concepts of Information echnology Auditing, International Edition, New York: John Wiley and Sons. Inc. Halaman: 107. saat peristiwa berlangsung, untuk mengidentifikasikan dan menggolongkan insiden yang sedang terjadi, misalnya seperti membunyikan alarm ketika ada Penyusup, petugas keamanan dan polisi yang selalu siap siaga. Corrective controls merupakan pengendalian yang dilakukan setelah peristiwa terjadi, untuk membatasi sejauh dampak atau kerusakan yang diakibatkan oleh insiden tersebut, misalnya memulihkan status kerja organisasi agar kembali ke normal dan seefisien mungkin. Definisi physical security control menurut Jack J. Champlain (1998:8, 26), yaitu:26 Media Riset Akuntansi, Auditing & Informasi, Vol.9 No.3, Desember 2009 : 17 - 38 “Controls that protect against physical damage threats resulting from Natural disasters and other dangers are called physical security controls. Physical security controls pertain to the protection over computer hardware, components, and the facilities within which they Teside.” Logical security control menurut Hunton dkk (2004: 106), “The most valuable portion of the computing infrastructure is invisible corporate data and computer software (e.g. user applications, network systems, communication systems, and operating systems). Data and software of this nature known as “logical” components of the infrastructure. Dari definisi mengenai logical dan logical security di atas, dapat disimpulkan bahwa logical security control adalah suatu pengendalian keamanan yang didesain oleh suatu organisasi atau perusahaan untuk mengamankan infrastruktur teknologi informasi perusahaan yang sifatnya invisible seperti corporate data dan perangkat lunak komputer dengan menggunakan fungsi logis. Fungsi logis disini antara lain dapat berupa penggunaan ID password, hand key, fingerprint, dan retina scan. Menurut Wikipedia (diakses 30 November 2008 pada jam 08:45), elemen-elemen logical security antara lain: a. Userlds User IDs yang juga dikenal sebagai logins, user names, logons, atau account ini merupakan pengidentifikasi pribadi yang unik untuk pengguna program komputer atau jaringan yang dapat diakses oleh lebih dari satu pengguna. b. Authentication Authentication adalah proses yang digunakan oleh sebuah program komputer, komputer, atau jaringan dengan tujuan untuk mengkonfirmasi identitas pengguna. Tujuan dari authentication adalah untuk mencegah pengguna yang tidak memiliki user ID untuk memasuki sistem. c. Biometrics Authentication Biometrics authentication adalah suatu pengukuran akan fisiologis pengguna dan perilaku pengguna untuk mengkonfirmasi identitasnya. Aspek fisiologis yang digunakan sebagai perantara identifikasi mencakup sidik jari, retina atau iris mata, pola suara, struktur ‘wajah, dan pengukuran tangan.Audit Teknologi informasi Atas Physical Security Control Dan Logical Security Control Serta Penentan Kondist Secury Rsk Sut kanes PEiciaeees, 27 METODOLOGI PENELITIAN Metode penelitian yang digunakan adalah metode deskriptif analisis, yaitu suatu metode penelitian dengan tujuan untuk menggambarkan atau melukiskan secara sistematis, aktual, dan akurat, mengenai fakta-fakta, sifat- sifat, serta hubungan antara fenomena yang sedang diteliti yaitu penerapan physical security control dan logical security control pada PT Talc Indonesia. Hal ini dilakukan dengan wawancara, observasi, penyebaran kuesioner, dan dokumentasi guna untuk mempelajari dan menganalisa physical security control serta logical security control yang diterapkan oleh perusahaan. Obyek penelitian yang akan diteliti oleh penulis difokuskan pada penerapan physical security control dan logical security control atas infrastruktur TI yang ada serta pengimplementasian software Accurate version 3.0 standard edition oleh bagian akuntansi dan bagian pembelian PT Talc Indonesia. Berdasarkan penelitian yang akan dilakukan dalam skripsi ini, variabel penelitian yang digunakan adalah: 1, Penerapan physical security control PT Talc Indonesia 2. Penerapan logical security control PT Talc Indonesia 3. Security risk PT Talc Indonesia Teknik analisis data yang peneliti gunakan adalah sebagai berikut: 1. Untuk batasan masalah pertama dan kedua yaitu *Bagaimana penerapan physical dan logical security control pada PT Talc Indonesia?”, peneliti melakukan wawancara, observasi lapangan dan dokumentasi. Selanjutnya, peneliti akan menganalisis hasil wawancara, observasi lapangan dan dokumentasi yang kemudian akan diuraikan secara lengkap dalam skripsi inl. 2. Untuk batasan masalah ketiga dan keempat yaitu “Apakah penerapan physical dan logical security control pada PT Talc Indonesia telah efektif?”, peneliti menggunakan bantuan ICQs (Internal Control Questionnaires). Mengacu pada Sugiyono (2004: 90), ICQs ini didesain dengan menggunakan skala Guttman sehingga akan didapat jawaban yang tegas yaitu "Ya” dan "Tidak”. Jawaban ”Ya” mengindikasikan penerapan physical dan logical security control telah dilaksanakan, sedangkan jawaban ”Tidak” mengindikasikan penerapan physical dan logical security control tidak dilaksanakan dengan baik. Adapun cara penilaian hasil ICQs mengacu pada sistem penilaian di dalam kuesioner menurut Sugiyono (2004: 183) adalah: Dimana,28 Media Riset Akuntansi, Auditing & Informasi, Vol9 No.3, Desember 2009 : 17 - 38 2 100% N =Pengendalian yang dilaksanakan n =Jumlah item pengendalian Pengukuran efektivitas penerapan physical dan logical security control dapat diketahui melalui hasil persentase yang diperoleh dari perhitungan rumus diatas dengan mengacu pada kriteria penilaian yag telah ditentukan secara proporsional yaitu sebagai berikut: Interval Tingkat Efektivitas | Tingkat Security Risk 0% - 19,99% | Sangat Tidak Efektif |" Sangat Berisiko 20% - 39,99% Tidak Efektif Berisiko 40% - 59,99% Cukup Efektif Cukup Berisiko 60% - 79,99% Efektif Tidak Berisiko 80% - 100% Sangat Efektif | Sangat Tidak Berisiko 1. Untuk batasan masalah kelima yaitu “Bagaimanakah kondisi security risk PT. Petrona Inti Chemindo?”, penulis akan menggunakan: metode kualitatif yang akan mendefinisikan risiko secara lebih subyektif dan dengan menggunakan interval diatas (point 2) yang mengkategorikan kondisi security risk ke dalam tingkat sangat berisiko, berisiko, cukup berisiko, tidak berisiko, dan sangat tidak berisiko. Adapun beberapa hal yang dapat memengaruhi tingkat security risk tersebut antara lain: a. Pengukuran physical security control. Jika physical security control telah efektif, maka security risk berada pada tingkat tidak berisiko, begitu pula sebaliknya. b. Pengukuran logical security control. Jika logical security control telah efektif, maka security risk berada pada tingkat tidak berisiko, begitu pula sebaliknya. Analisis dan Pembahasan Berikut ini seluruh hasil pelaksanaan audit yang telah dilakukan oleh penulis. 1. Planning a. Ruang Lingkup2. Audit Teknologi Informasi Atas Physical Security Control Dan Logical Security Control Serta Penentuan Kondsi Security Risk Staal Kasus; PT Tale Indonesia, 29 (1) Dari Aspek Organisasi Perusahaan yang diteliti adalah PT Talc Indonesia yang beralamat di JI. Taman Palem Lestari, Ruko Galaxy Blok PNo. 1, Cengkareng Jakarta Barat. PT Talc Indonesia merupakan Perusahaan yang mendistribusikan talc powder. Penelitian ini dikhususkan pada departemen akuntansi dan pembelian. (2) DariAspek Kegiatan Kegiatan yang diteliti disini adalah kegiatan pengendalian keamanan (security controls) yaitu berupa pengimplementasian Physical security control dan logical security control atas infrastruktur TI yang ada di departemen akuntansi dan pembelian. (3) DariAspek Sistem Sistem yang akan diteliti adalah sistem yang digunakan oleh departemen akuntansi dan pembelian yaitu software Accurate version 3.0 standard edition yang diluncurkan oleh CPSSoft Int'l pada tahun 2004. Tujuan Pengendalian Tujuan pengendalian keamanan adalah untuk meminimalisasi risiko keamanan, dan tujuan dari dilakukannya penelitian ini adalah untuk menilai apakah pengendalian yang telah diterapkan oleh perusahaan tersebut efektif atau tidak serta untuk menentukan kondisi security risk perusahaan. . Tingkat Materialitas Dalam penelitian ini tidak dilakukan penentuan tingkat materialitas, karena peneliti tidak menguji saldo-saldo akun dan transaksi. Hal ini dilatarbelakangi karena adanya confidentiality data perusahaan. Outsourcing Dalam tahap perencanaan ini tidak diuraikan mengenai outsourcing karena klien belum pernah melibatkan pihak ketiga (dalam hal ini auditor independen) untuk melakukan pemeriksaan di perusahaannya. Risk Assessment Risiko yang akan diukur pada penelitian ini adalah risiko keamanan (security risk). Pengukuran risiko ini menggunakan metode kualitatif yang mengkategorikan kondisi security risk ke dalam tingkat sangat30 Media Riset Akuntansi, Auditing & Informasi, Vol. No.3, Desember 2009 : 17 - 38 4, berisiko, berisiko, cukup berisiko, tidak berisiko, dan sangat tidak berisiko. Pengkategorian tingkat risiko tersebut dapat dilihat dari tingkat efektivitas physical security control dan tingkat efektivitas logical security control. Hubungan antara tingkat efektivitas physical security control dan tingkat efektivitas logical security control dengan besarnya tingkat security risk adalah berbanding terbalik, dimana jika pengendalian telah efektif maka risiko akan berada pada tingkatan tidak berisiko, begitupun sebaliknya. Kondisi security risk akan ditentukan pada hasil penelitian, karena peneliti harus mengumpulkan bukti-bukti yang memadai terlebih dahulu yaitu pada tahapan gather evidence. |. Prepare Audit Program Dalam melaksanakan pemeriksaan teknologi informasi ini, peneliti merumuskan suatu program audit bagi perusahaan. Gather Evidence Pada tahapan ini peneliti melaksanakan program audit dengan mengumpulkan bukti-bukti yang berasal dari wawancara, observasi, dan internal control questionnaires (ICQs). Tabel 2 merupakan hasil pelaksanaan audit program.Audit Teknologi Informasi Atas Physical Security Control Dan Logical Se Control Serta Penentuan Kondisi Security Risk Studi Kasus: PT Talc Indonesia Tabel 2. Hasil Pelaksanaan Audit Program Keterangan Praktik dan Prosedur Operasi. Pemisehan fungsi bagian SI dan user. ‘Tidak terdapat pemisahan fungsi antara bagian sistem informasi (SI) dengan user, karena perusahaan tidak memilik i departemen IT yang independen. (©) Pemisahan fungsi df ‘Tidak terdapat pemisahan fungsi pada bogian sistem informasi sistem | karena tidak terdapat departemen IT yang independen. informasi (S). © Praktik ‘Bendasarkan hasil Internal Control Questionnaires (ICQs) ian diketabui bahwa terdapat pelatihan pegawai dalam rangka ‘menjalankan aplikasi yang ada, yaitu sebanyak delapan kali __| pertemuzn, (@ Prosedur operasi [© Berdasarkan hasil Internal Control Questionnaires (ICQs), tetap ‘wawancara dan pengamat an diketabui bahwa terdapat ‘buku manual prosedur pengoperasian aplikasi baik ita berupa hardcopy maupun yang ada di dalam sistem aplikasi. © Berdasarkan hasil pengamatan, penataan dan kerapihan ruang komputer dirasa kurang memadai, karena niangan tidak tertata dengan baik dan komputer tidak diletakkan pada ruangan yang bebas debu. (@) Pengadaan Sistem dan Kelengkapan Dokamentasinya. (@) Pengadaan sistem | Sistem aplikasi yang digunakan dibeli dari vendor, yaitu aplikasi CPSSoft Int'l ©) Review dokaumen | Tidak terdapat dokumen yang berupa surat Kontrak aniare Pengadaan sistem | vendor dengan Klien, hanya terdapat dokumen pembelian (seperti pada Lampiran 4). ‘Keamanan Fisik dan Keamanan Logis. is Physical security To Spesifkasi komputer di masing -masing workstations dan server dapat dilihat pada hasil observasi, ‘© Dari hasil pengamatan yang dilakukan diiketahui behwa tidak terdapat fire suppression systems yang memadai dan ‘tidak terdapat baban yang mudah terbakar di dalam sgedung perusahaan. © Terdapat pembatasan akses yang memadai di seluruh pintu ‘yang menjadi jalur akses ke pusat data dan ruang kerja ‘Konvensional dan gembok. Namun pengunjung yang akan ‘masuk ke pusat data tidak di wajibkan untuk memberikan data diri mereka pada saat ingin memasuki pusat data tersebut. © Tidak terdapat video surveillance camera , petugas ‘keamanan, dan electronic card keys yang digunakan untuk ‘mengamankan area pusat data, ruang kerja, dan ruang server. Dari basil pengamatan dan wawancara yang dilakukan diketahui bahwa hanya terdapat uninterruptible power supply dan emergency power systems. 3132 Media Riset Akuntansi, Auditing & Informasi, Vol.9 No.3, Desember 2009 : 17 - 38 ‘Spesifikasi komputer di masing -masing workstations dan server dapat dilihat pada hasil observasi. Dari hasil pengamatan yang dilskuken diiketahui bahwa tidak terdapat fire suppression systems yang memadai dan tidak terdapat bahan yang mudah terbakar di dalam gedung perusahaan. ‘Terdapat pembatusan akses yang memadsi di selursh pinta yang menjadi jalur akses ke pusat data dan ruang kerja, (yang didalamnya terdapat server ) yaitu berupa kunci ‘konvensional dan gembok. Namun pengunjung yang akan rmasuk ke pusat data tidak di wajibkan untuk memberikan tersebut. ‘Tidak terdapat video surveillance camera , petugas keamanan, dan electronic card keys yang digunakan untuk ‘mengamankan area pusat data, ruang kerja, dan ruang _ server. ‘Dari basil pengamatan dan wawancara yang dilakukan dliketahui behwa hanya terdapat uninterruptible power supply dan emergency power systems. Perusahaan tidak menyimpan polis asuransinya, karena selurubnya berada di tangan bank sebagai jaminan perotchan modal. (0) Logical security @ control ‘Terdapst fasilitas pembatasan akses user baik untuk Komputer user maupun server , yaitu berupa penggunsan user ID dan password di dalam sistem aplikasi. Berdasarkan basil kuesioner, diketahui bahwa logical ‘security control efeldif. ‘Sumber : Data Internal Control Questionnaires (ICQs), Wawancara, dan ObservasiAudit Teknologi Informasi Atas Physical Security Control Dan Logical Security Control Serta Penentuan Kondisi ity Risk Studi Kasus: PT Talc Indonesia. 33 a. Hasil Observasi (1) Spesifikasi hardware dan software yang digunakan komputer client dan server telah memadai. (2) Keterangan tambahan untuk pengendalian yang telah diterapkan (a) Ada dua buah Air Conditioner (AC) pada ruangan departemen akuntansi dan pembelian yang masing-masing memiliki kapasitas 1PK dan 3/4PK. (b) Ukuran ruangan departemen akuntansi dan pembelian adalah 4 meterx 6 meter. (c) Untuk pembatasan akses, ruangan departemen akuntansi dan pembelian memiliki tiga lapisan pintu besi. Pintu kedua dilengkapi dengan gembok, sedangkan pintu lainnya hanya dilengkapi dengan kunci konvensional. b. Hasil 1CQs (Internal Control Questionnaires) Dari hasil penelitian yang telah diperoleh pada PT Talc Indonesia yaitu melalui penyebaran kuesioner di departemen akuntansi dan pembelian sebanyak lima responden didapatkan jawaban yang sama untuk pertanyaan ya dan tidak, dengan komentar yang sedikit berbeda. Hasil ICQs dapat dilihat di tabel 3. Tabel 3. Hasil Internal Control Questionnaires (ICQs) Environmental Control, Physical Security Control, dan Logical Security Control Frekuensi Persentase ‘Aspek yang diaudit Jawaban | Jawaban | Jawaban Jawaban YA | "Tidak | YA | Tidak Environmental Control 55 25 68, 75% | 31, 25% Physical Security Contro! 35 95 26,92% | 73, 08% Logical Security Control 38 52 42, 22% | 57, 78% ‘Sumber : Data /nternal Control Questionnaires (ICQs) 5. Form Conclusions Setelah melakukan tahap mengumpulkan bukti-bukti berupa hasil wawancara, observasi, dan kuesioner yang kemudian dievaluasi, maka dilaporkan hasil pemeriksaan yang telah ditemukan kepada pihak manajemen agar dapat segera mengambil tindakan perbaikan yang dianggap perlu.Dengan adanya laporan audit teknologi informasi, diperoleh kesempatan untuk menunjukkan kepada pihak34 Media Riset Akuntans!, Auditing & tnformasi, Vol.9 No.3, Desember 2009 : 17 - 38 manajemen manfaat dari audit teknologi informasi bagi perusahaan dengan tujuan untuk meningkatkan efektivitas penerapan physical dan logical security controls serta untuk meminimalisasi risiko keamanan PT Talc Indonesia. Hasil Penelitian 1. Sebelum menilai efektivitas physical dan logical security controls, penulis menganalisa terlebih dahulu environmental controls yang dilakukan oleh perusahaan. Dan dari hasil penghitungan ICQs didapatkan bahwa environmental controls perusahaan berada pada tingkat efektif yaitu sebesar 76, 92%. Kekurangan yang ada dalam pengimplementasian environmental controls PT Talc Indonesia tidak terlalu material sifatnya, karena kekurangan tersebut sangat bergantung pada ukuran perusahaan dan tingkat penggunaan IT di dalam perusahaan. Untuk menjawab batasan masalah ketiga, dari hasil analisa yang telah dilakukan, diperoleh hasil mengenai efektivitas pengimplementasian physical security controls dalam departemen akuntansi dan pembelian pada perusahaan, dimana diketahui bahwa pengimplementasian physical security controls dalam departemen akuntansi dan pembelian pada tingkat yang tidak efektif yaitu sebesar 36, 84%. Hal tersebut dilatarbelakangi karena adanya pengendalian yang dianggap cukup penting namun tidak dilaksanakan oleh perusahaan, seperti misalnya tidak adanya asuransi yang mencakup hardware dan software, tidak adanya ruang khusus untuk server, tidak digunakannya stabilizer pada komputer user dan server, infrastruktur TI yang tidak diletakkan pada lingkungan yang bersih dan bebas debu, tidak terdapatnya alarm pendeteksi kebakaran dan alat pemadam kebakaran di dalam ruangan, serta tidak terdapatnya video surveillance camera. Ketidakefektifan pengimplementasian physical security controls dapat berdampak pada meningkatnya risiko keamanan perusahaan. Untuk menjawab batasan masalah keempat, dari hasil analisa yang telah dilakukan, diperoleh hasil mengenai efektivitas pengimplementasian logical security controls dalam departemen akuntansi dan pembelian pada perusahaan, dimana diketahui bahwa pengimplementasian logical security controls dalam departemen akuntansi dan pembelian pada tingkat yang cukup efektif yaitu sebesar 42, 22%. Walaupun hasil penelitian ini menyimpulkan bahwa pengimplementasian logical security‘Audit Teknolog Informas|Ats Physical Seeuriy Control Dan Logical Seourty 9p ‘Control Serta Penentuan Kondisi Security Risk Studi Kasus: PT Talc Indonesia controls dalam departemen akuntansi dan pembelian pada tingkat yang cukup efektif, masih terdapat kelemahan-kelemahan dalam pengendalian tersebut. Kelemahan-kelemahan tersebut antara lain tidak terdapatnya fungsi identifikasi dan otentikasi untuk membatasi akses user di dalam sistem komputer, tidak terdapat batasan minimum pada jumlah digit password, tidak adanya batasan maksimum terjadinya kesalahan dalam penginputan password, tidak adanya fasilitas lock jika terjadi kesalahan penginputan password, tidak adanya perubahan password secara berkala dan password lama dapat dipergunakan kembali pada periode yang lain, tidak terdapatnya fasilitas untuk mengingatkan user bila lupa dengan user ID dan password-nya, serta tidak terdapatnya fasilitas automatic lock jika tidak terjadi reaksi sama sekali pada sistem komputer dan aplikasi. Physical Security || Tidak Efektif Control 26, 92% Pelaksanaan era TT audit Baan Logical Security |_| Cukup Efeltit Controt 42, 22% Untuk batasan masalah kelima, penulis mengukur besamya risiko. Risiko yang diukur adalah risiko keamanan (security risk) dan pengukuran risiko disini menggunakan metode kualitatif yang akan mendefinisikan risiko secara lebih subyektif (berupa judgement auditor) dan dengan menggunakan istilah umum yaitu tingkat security risk tinggi, tingkat security risk sedang, dan tingkat security risk rendah berdasarkan hasil observasi, wawancara, dan kuesioner. Berdasarkan hasil observasi, wawancara, dan ICQs maka dapat disimpulkan bahwa risiko keamanan (security risk) PT Talc Indonesia dikategorikan berisiko karena masih terdapat pengendalian yang tidak efektif yaitu Physical security control. Dari hasil analisis penulis merumuskan temuan, dampak serta rekomendasi pada bagian sebelumnya. Dan berdasarkan hasil analisis tersebut penulis merekomendasikan suatu susunan tata letak tuang kerja yang baru dan penambahan suatu ruang khusus untuk server. Rekomendasi tata letak yang baru ini telah sesuai dengan hasil analisis36 Media Riset Akuntansi, Auditing & informasi, Vol. No.3, Desember 2009 : 17 - 38 yang telah diuraikan pada bagian sebelumnya. Pada rekomendasi tata letak yang baru ini, server memiliki ruangan khusus tersendiri yang dilengkapi dengan pendingin udara, pendeteksi kebakaran, alat pemadam kebakaran, video surveillance camera, dan pintu yang dilengkapi dengan kunci, namun tanpa ventilasi. Pada ruang kerja juga ditata kembali dimana masing-masing workstations yang berdampingan diberikan sekat kecuali untuk workstations 2 dan 3 tidak diberikan sekat karena letak CPU yang bersebelahan dapat berfungsi juga sebagai sekat serta masih terdapat inventaris yang digunakan bersama, dipasang juga ex-haust fan, video surveillance camera, pendeteksi kebakaran dan alat pemadam kebakaran. Selain itu juga dibuat suatu ruangan terpisah untuk meletakkan lemari es, water dispenser, lemari untuk menyimpan peralatan makan, dan difungsikan untuk ruangan makan bagi karyawan. Jadi akhimya dapat dianalisis bahwa faktor yang paling memengaruhi keputusan PT Talc Indonesia untuk melakukan IT Audit adalah value of computer hardware, software, and personnel. KESIMPULAN DAN SARAN Kesimpulan . Berdasarkan hasil penelitian, maka peneliti mengambil beberapa kesimpulan untuk menjawab batasan masalah sebagai berikut: 1. Penerapan physical security control pada PT Talc Indonesia dilakukan dengan cara melakukan pengendalian untuk membatasi akses bagi orang yang tidak terotorisasi dengan penggunaan kunci dan gembok pada ruang kerja, selain ita UPS juga digunakan pada server dan dua workstations untuk melindungi data/ aktivitas yang belum tersimpan ketika listrik padam, serta menggunakan antivirus pada setiap komputer. 2. Penerapan logical security control pada PT Talc Indonesia dilakukan dengan cara adanya penggunaan user ID dan password sebagai fungsi identifikasi dan otentifikasi untuk membatasi akses user pada sistem aplikasi, format password yang ada pun menggunakan kombinasi huruf dan angka serta password juga telah di-encrypt. 3. Penerapan physical security control PT Talc Indonesia dinilai tidak efektif, yaitu sebesar 26, 92%. 4. Penerapan logical security control PT Talc Indonesia dinilai cukup efektif, yaitu sebesar 42, 22%. 5. Kondisi security risk perusahaan berada pada tingkat berisiko.Audit Teknologi Informasi Atas Physical Security Control Dan Logical Security 37 Control Serta Penentuan Kondisi Security Risk Studi Kasus: PT Talc Indonesia Saran 1. Jika perusahaan memiliki keterbatasan dana untuk membentuk suatu departemen IT dan dengan alasan ukuran perusahaan yang belum terlalu besar, disarankan agar pihak perusahaan menggunakan tenaga outsourcing untuk menangani infrastruktur TI perusahaan. 2. Sebaiknya perusahaan rutin melakukan audit oleh pihak eksternal, hal ini dalam jangka pendek ditujukan untuk meningkatkan efektifitas dan efisiensi perusahaan, serta untuk jangka panjang yaitu menyiapkan perusahaan untuk Go Public. Jika perusahaan telah Go Public maka perusahaan akan mudah untuk mendapatkan dana sebagai tambahan modal usaha mengembangkan perusahaan. 3. Perusahaan mengubah tata letak saat ini dengan yang baru, di mana Tuangan server terpisah dengan ruang kerja. Dengan adanya ruangan khus..s untuk server, data perusahaan akan lebih aman. DAFTAR PUSTAKA Bodnar, George H., dan William S. Hopwood (2001), Accounting Information System, 9” edition, Prentice-Hall, Inc., New Jersey. Champlain, Jack J. (1998), Auditing Information Systems : a comprehensive reference guide, John Wiley and Sons, Inc., New York. Chew, E.K & Petter Gottschalk (2008), Information Technology Strategy and Management: Best Practices, Information Science Reference, Hershey, PA, USA. Christiawan, Yulius Jogi (2000), Konsep Pengauditan dalam Lingkungan Pengolahan Data Akuntansi Terkomputerisasi, Jurnal Akuntansi dan Keuangan, Vol.2, No.1, Universitas Kristen Petra, Surabaya Hunton, James E., Stephanie M. Bryant, & Nancy A. Bagranoff (2004), Core Concepts of Information Technology Auditing, International Edition, John Wiley and Sons, Inc., New Jersey. Information Systems Audit and Control Association (2004), Certified Information Systems Auditor Review Manual 2004, ISACA, United States of America. Meidawati, Neni (2002), Hubungan antara Tipologi Strategi Kompetitif, Kematangan Teknologi Informasi dan Ukuran Perusahaan terhadap Respon Strategik dalam Menghadapi Globalisasi, Jurnal Graduasi, Vol.XNo.12, Sekolah Tinggi IImu Ekonomi, Surakarta38 Media Riset Akuntansi, Auditing & Informasi, Vol.9 No.3, Desember 2009 : 17 - 38 Sugiyono (2004), Metode Penelitian Bisnis, CV Alfabeta, Bandung. United States Accounting Office Accounting and Information Management Division, Information Security Risk Assessment, November 1999, sumber : http://www.gao.gow/special. /ai00033.pdf (diakses 16 Desember 2008; jam 00:41). Weber, Ron (1999), Information Systems Control and Audit, International Edition, Prentice-Hall, Inc., New Jersey. Wikipedia, Information Technology Audit, 8 November 2008, sumber : http://en. wikipedia.org/wiki/Information_technology_audit (diakses 30 November 2008; jam 8:45).