Apa itu Audit SPBE?
Audit SPBE terbagi dua menjadi audit Aplikasi (umum dan khusus) dan Infrastruktur (infrastruktur nasional dan infrastruktur Instansi Pusat dan Pemerintah Daerah / IPPD) SPBE
Audit Aplikasi Sistem Pemerintahan Berbasis Elektronik adalah pemeriksaan/evaluasi secara sistematis dan obyektif dalam rangka memberikan nilai tambah atau meningkatkan kinerja terhadap Aplikasi Sistem Pemerintahan Berbasis Elektronik.
Siapa Auditor SPBE?
BPPT sebagai pelaksana auditor Aplikasi dan Infrastruktur SPBE
Sebagaimana tertuang dalam Peraturan Presiden no. 95 tahun 2018 untuk BPPT, yang tertera dalam batang tubuh maupun lampiran Perpres adalah sebagai berikut :
- Melakukan Koordinasi dan Pendampingan manajemen pengetahuan bagi seluruh K/L/I Pusat dan Daerah (sesuai pasal 52 ayat 4).
- Penyusunan Pedoman Manajemen Pengetahuan SPBE (pasal 52 ayat 5)
- Melakukan Audit Jaringan SPBE Nasional selama satu kali per tahun (pasal 56 ayat 2)
- Penyusunan Standar dan tatacara pelaksanaan Audit Infrastruktur SPBE (pasal 56 ayat 6)
- Melakukan Audit Aplikasi umum SPBE selama satu kali per tahun (pasal 57 ayat 3)
- Penyusunan Standar dan tatacara pelaksanaan Audit Aplikasi SPBE (pasal 57 ayat 6)
- Melakukan Kajian Teknologi pada tahun 2019-2025
Siapa Auditee Tools Audit SPBE?
Peserta Auditee adalah para pengguna SPBE dalam hal ini yaitu perwakilan semua instansi pemerintahan dimulai dari tingkat pusat, propinsi sampai tingkat kota/kabupaten.
Berikut ini adalah beberapa pertanyaan yang sering diajukan mengenai Audit SPBE
1. Apa yang dimaksud dengan Audit SPBE ?
Jawab :
Audit SPBE (Sistem Pemerintahan Berbasis Elektronik) sesuai dengan yang diamanatkan dalam Perpres no. 95 tahun 2018 adalah audit yang dilakukan terhadap Infrastruktur, Aplikasi, dan Keamanan SPBE. Audit Infrastruktur dan Aplikasi SPBE diamanatkan kepada BPPT dan Audit Keamanan SPBE diamanatkan kepada BSSN.
2. Apa Lingkup (domain) Audit Aplikasi SPBE ?
Jawab :
Audit Aplikasi mencakup Aplikasi umum dan Aplikasi khusus SPBE.
Aplikasi umum adalah Aplikasi SPBE yang sama, standar, dan digunakan secara bagi pakai oleh instansi pusat dan/atau pemerintah daerah. Aplikasi Umum ditentukan oleh KemenPANRB.
Sedangkan Aplikasi khusus adalah Aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh instansi pusat atau pemerintah daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan instansi pusat dan pemerintah daerah lain. Aplikasi khusus ditentukan oleh IPPD (Instansi Pusat dan Pemerintah Daerah)
Lingkup (domain) dari Audit Aplikasi adalah Tatakelola, Manajemen, dan Fungsionalitas Kinerja aplikasi.
3. Apa Lingkup (domain) Audit Infrastruktur SPBE ?
Jawab :
Audit Infrastruktur SPBE mencakup Infrastruktur Nasional dan Infrastruktur IPPD.
Lingkup (domain)dari Audit Infrastruktur SPBE adalah Tatakelola, dan Fungsionalitas Kinerja Infrastruktur.
Fungsionalitas Kinerja Infrastruktur dikelompokkan menjadi Pusat Data, Jaringan Intra Pemerintah, dan Sistem Penghubung Layanan.
4. Apa tujuan dan manfaat dilakukan audit aplikasi SPBE khususnya pada domain manajemen?
Jawab :
Lingkup manajemen pada audit aplikasi adalah sesuai amanat perpres SPBE, dimana tujuannya agar aplikasi terkelola dengan baik dan berkelanjutan karena merupakan aplikasi khusus sebuah instansi pusat dan pemerintah daerah dimana aplikasi tersebut merupakan output proses bisnis dari layanan publik IPPD tersebut, yang sesuai permenPANRB 59 2020 ditetapkan minimal ada 3 buah aplikasi khusus IPPD. Proses manajemen yang wajib dilaksanakan dalam pengelolaan aplikasi adalah :
1. Manajemen Risiko
2. Manajemen Data
3. Manajemen Aset TIK
4. Manajemen Keamanan Informasi
5. Manajemen Layanan
6. Manajemen SDM SPBE
7. Manajemen Perubahan
8. Manajemen Pengetahuan
Demikian juga untuk aplikasi umum, mengikuti penerapan audit manajemen diatas, bahkan ada tambahan khusus dimana kriteria-kriteria infrastruktur pendukung wajib ditambahkan mengingat bahwa aplikasi umum akan digunakan di seluruh IPPD.
Lingkup Manajemen Infrastruktur juga sama seperti Aplikasi.
Manajemen Keamanan Informasi tidak dimasukkan karena merupakan tugas dari BSSN.
5. Apa yang dimaksud dengan Audit Eksternal dan Audit Internal ?
Jawab :
Audit eksternal adalah Audit yang dilakukan oleh Lembaga Pelaksana Audit TIK (LATIK) Pemerintah dan Swasta Terakreditasi, sedangkan Audit Internal adalah audit yang dilakukan oleh pegawai IPPD yang ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama Instansi.
6. Siapa yang melakukan Audit Eksternal untuk Aplikasi dan Infrastruktur SPBE ?
Jawab :
Audit Aplikasi Umum dilakukan oleh BPPT sebagai Lembaga Audit TIK (LATIK) Pemerintah, sedangkan Audit Aplikasi Khusus dilakukan oleh Lembaga Audit TIK Swasta Terakreditasi.
Audit Infrastruktur Nasional dilakukan oleh BPPT dan Audit Infrastruktur IPPD dilakukan oleh LATIK Swasta Terakreditasi
Dalam Hal LATIK Swasta Terakreditasi belum ada atau tidak dapat melakukan Audit SPBE, BPPT dapat melakukan Audit SPBE.
Catatan :
Disarankan untuk melaksanakan audit internal oleh setiap IPPD sebelum meminta untuk melakukan audit eksternal.
7. Apa yang menjadi pedoman LATIK dalam melakukan Audit SPBE ?
Jawab :
LATIK Pemerintah dan Swasta Terakreditasi dalam melakukan Audit SPBE harus mengacu pada Peraturan Badan (Perban) BPPT yang memuat tentang Standar dan Tata Cara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.
Perban ini memuat kriteria minimal dalam melakukan audit; dan pengembangan pedoman audit aplikasi dan infrastruktur SPBE ini sudah mengacu pada standar teknis internasional, Standar Nasional Indonesia, serta peraturan perundangan yang berlaku seperti Perpres SPBE, Peraturan Kemenkominfo tentang Kebijakan Umum Pelaksanaan Audit TIK, serta PermenPANRB no. 59 tahun 2020 tentang Pemantauan dan Evaluasi SPBE.
Sebelum ada perpres SPBE, para auditor bebas menetapkan metoda pengolahan datanya karena sangat ditentukan oleh lingkup audit dan tujuan audit. Semenjak ada Perpres SPBE, ketentuan mengenai lingkup audit sudah ditetapkan yaitu Tata Kelola, Manajemen, Fungsionalitas dan Kinerja, dan tujuannya adalah untuk perbaikan sesuai tujuan SPBE.
Standarisasi fungsional dan kinerja aplikasi secara umum sudah ditetapkan yang mengacu pada standar internasional IEEE dan peraturan perundangan. Namun untuk aplikasi umum, sangat ditentukan dengan proses bisnis dari instansi yang mengeluarkan aplikasi umum dan aplikasi umum tsb sudah ditetapkan oleh KemenPANRB.
Draft Perban ini dapat diunduh di ptik.bppt.go.id
8. Terkait fungsional kinerja aplikasi, tahapan apa saja yang akan diaudit ?
Jawab :
a. Perencanaan - Persyaratan Layanan (Business Requirement), Kebutuhan Perangkat Lunak (Software Requirement), Rancangan Perangkat Lunak (Software Design)
b. Pengembangan - Implementasi Perangkat Lunak (Software Implementation), Pengujian (Testing), Instalasi/Pemasangan (Installation)
c. Pengoperasian, Penggunaan Perangkat Lunak (Software Usage)
d. Pemeliharaan, Pemeliharaan Perangkat Lunak (Software Maintenance), dan Manajemen Konfigurasi Perangkat Lunak (Software Configuration Management)
9. Apa kaitannya Indikator penilaian yang ada dalam Evaluasi SPBE yang dilaksanakan oleh KemenPANRB dengan Audit SPBE ini ?
Jawab :
Audit SPBE ini bersifat lebih rinci (detail) dan bersifat lebih teknis jika dibandingkan dengan Evaluasi SPBE
10. Apakah Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah ?
Jawab :
Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah. Tidak semua aplikasi khusus dan Infrastruktur yang direkomendasikan untuk diaudit diajukan secara serentak, bergantung pada kondisi internal IPPD.
11. Apakah IPPD bisa langsung melakukan Audit Eksternal SPBE tanpa melalui Audit Internal?
Jawab :
Dalam Indikator Kematangan Evaluasi SPBE, penyelenggaraan Audit SPBE dapat menaikkan nilai kematangannya pada indikator Audit, tetapi dengan syarat jika sudah dilakukan Audit Internal SPBE terlebih dahulu. Audit SPBE yang bersifat eksternal tetap dapat dilakukan walaupun tidak akan merubah nilai kematangan pada Evaluasi SPBE yang dilakukan oleh KemenPANRB
Disarankan IPPD dapat melaksanakan audit internal terlebih dahulu sebelum dilakukan audit eksternal.
12. Apa acuan yang digunakan pada Audit Internal SPBE dan siapa yang melakukan Audit Internal ?
Jawab :
Acuan yang digunakan oleh Auditor Internal sama dengan yang digunakan oleh Auditor SPBE yaitu Perban BPPT tentang Standar dan Tatacara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.
Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer dan Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD, demikian juga sebagai auditee nya ditetapkan oleh Koordinator SPBE IPPD dimana auditee ini adalah penanggung jawab atau pengelola infrastruktur atau aplikasi.
13. Bagaimana proses penyelenggaraan Audit SPBE dilakukan ?
Jawab :
Penyelenggaraan Audit SPBE dapat dilakukan secara daring (online) dan kunjungan lapangan (offline).
Untuk memudahkan pelaksanaan audit, BPPT mengembangkan aplikasi Instrumen Audit (Audit tools) yang digunakan untuk komunikasi antara Auditor dan Auditee. Instrument Audit ini digunakan untuk menjawab pertanyaan yang dilakukan Auditor baik yang berupa pertanyaan standar (minimal) yang mengacu pada Kriteria Penilaian yang ada pada Perban BPPT maupun pertanyaan tambahan yang digunakan oleh Auditor.
Aplikasi ini juga dapat digunakan oleh IPPD untuk mengunggah dokumen atas jawaban pertanyaan tersebut. Aplikasi ini juga dapat digunakan untuk mengeluarkan laporan standar Audit SPBE dan dapat dibagi pakai.
14. Bagaimana alur tahapan proses audit aplikasi dan infrastuktur?
Jawab :
15. Berapa lama proses audit dilakukan hingga keluar hasil audit ?
Jawab :
Lama penyelenggaraan audit yang terdiri dari tahap persiapan, tahap pelaksanaan dan tahap pelaporan bergantung dari kesepakatan antara auditor dan auditee, dan lingkup auditnya.
16. Kepada siapa hasil audit dilaporkan ?
Jawab :
Laporan audit internal dilaporkan kepada Koordinator SPBE IPPD, dan untuk laporan audit oleh Latik Swasta terakreditasi diberikan ke IPPD sebagai auditee.
17. Apakah bentuk laporan audit yang disampaikan sudah mencakup kompleksitas dari suatu tindakan perbaikan?
Jawab :
Laporan audit berupa TEMUAN dan REKOMENDASI. Tentu hasil audit sangat tergantung pada kondisi saat ini ketika dialakukan audit. Sehingga kompleksitasnya sangat tergantung pada kondisi saat ini, dan solusi audit yang tertuang dalam rekomendasi hasil audit disesuaikan dengan tujuan SPBE.
18. Dalam tahap persiapan audit, apakah hal teknis dan dokumen yang perlu dipersiapkan oleh IPPD dalam pelaksanaan Audit SPBE?
Jawab :
Pada tahap persiapan, yang perlu dipersiapkan adalah :
- Menentukan ruang lingkup audit dan menyusun Audit Plan
- Penyusunan Tim (Tim auditor dan tim auditee)
- Persetujuan dan Finalisasi Audit Plan
- Mengumpulkan kriteria teknis dan peraturan perundang-undangan
- Mengumpulkan dokumen-dokumen yang diperlukan sesuai yang dituangkan dalam Audit Plan.
19. Apa saja Aplikasi Umum yang harus diaudit ?
Jawab :
Aplikasi umum yang harus diaudit sesuai rencana KemenPANRB ada 8 yaitu :
1 Pengaduan Pelayanan Publik
2 Kearsipan Dinamis
3 Kepegawaian
4 Perencanaan
5 Penganggaran
6 Pengadaan barang dan jasa
7 Akuntabilitas kinerja
8 Pemantauan dan evaluasi
20. Berapa kali dilakukan audit Aplikasi Umum SPBE ?
Jawab :
Aplikasi umum diaudit setahun sekali oleh Pelaksana audit pemerintah yaitu BPPT.
21. Apa saja aplikasi layanan yang harus diaudit ?
Jawab :
Layanan berkaitan dengan aplikasi layanan publik yang sangat tergantung dari instansi yang diaudit. Mengingat aplikasi di satu instansi sangat banyak, maka sebaiknya diprioritaskan untuk diaudit adalah aplikasi layanan publik. Pada dasarnya aplikasi SPBE terdiri dari dua yaitu layanan administrasi internal dan layanan publik. Yang perlu dilakukan audit adalah aplikasi layanan publik, jika aplikasi layanan publik sudah diaudit semua, maka layanan administrasi bisa dilakukan audit.
22. Bagaimana prosedur penyampaian usulan Audit eksternal dan Internal SPBE serta mendapatkan akun instrumen audit?
Jawab :
Untuk Aplikasi Umum dan Infrastruktur Nasional, Instansi Penanggung Jawab
mengajukan permohonan ke BPPT untuk dilakukan Audit SPBE; sedangkan untuk Aplikasi khusus dan Infrastruktur SPBE lainnya, IPPD melakukan pengadaan Audit SPBE melalui proses pengadaan atau alternatif pembiayaan lainnya yang sesuai dengan SBU (Standar Biaya Umum).
Secara reguler, BPPT akan mengeluarkan daftar LATIK terakreditasi yang dapat melakukan Audit SPBE sesuai permintaan IPPD.
Untuk audit internal dapat dilakukan melalui email dan melampirkan SK Tim Auditor Internal IPPD dan SK TIM Auditee IPPD dari Koordinator SPBE IPPD. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.
Untuk audit eksternal dapat dilakukan melalui email dan melampirkan bukti bahwa Pelaksana audit swasta terakreditasi sudah terdaftar di BPPT, demikian pula auditor yang akan melaksanakan audit. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.
23. Apa saja peran dan tugas Auditee selama proses audit ?
Jawab :
Tugas Auditee adalah menjawab setiap pertanyaan dari auditor dan mengunggah bukti dokumen pendukung. Peran auditee adalah sebagai penanggung jawab atau pemilik objek audit (aplikasi atau infrastruktur) dan ditetapkan oleh instansinya sebagai auditee.
24. Apa saja kriteria penilaian domain manajemen dalam audit aplikasi SPBE ?
Jawab :
Kriteria penilaian domain manajemen adalah nilai kapabilitas, dengan nilai 0,1,2 atau 3. 0. Apabila tidak dijalankan, 1. Dijalankan atas inisiatif perseorangan, bukan inisiatif institusi, 2. Dijalankan, dengan bukti adanya penetapan berupa kebijakan pimpinan instansi, dan kebijakannya belum mengacu pada pedoman manajemen SPBE yang sdh ditetapkan, 3. Ditetapkan dan ada bukti kegiatan sesuai pedoman manajemen yang wajib diacu oleh IPPD.
Untuk aplikasi umum ditambahkan kriteria penilaian kematangan dari infrastruktur pendukung.
25. Bagaimana cara mengukur tingkat kematangan pada indikator penilaian di domain manajemen ?
Jawab :
Penilaian kematangan di domain manajemen mengikuti nilai kapabilitas di setiap tahapan, sesuai gambar berikut :
26. Apakah teknik audit yang digunakan pada prosesnya dapat bersifat dinamis menyesuaikan karaktersitik manajemen instansi terkait?
Jawab :
Aplikasi umum tentu sangat tergantung pada proses bisnis dari instansi yang mengeluarkan apikasi umum dan telah ditetapkan oleh KemenPANRB sebagai aplikasi umum. Oleh karena itu sangat dimungkinkan adanya pertanyaan tambahan dari auditor yang menyesuaikan dengan proses bisnisnya. Dengan demikian pertanyaan-pertanyaan yang disampaikan kepada auditee sangat dinamis sesuai perkembangan peraturan perundangan dan perkembangan teknologi.
27. Apa saja teknologi yang harus diterapkan dalam Aplikasi Umum SPBE ?
Jawab :
Teknologi yang wajib diterapkan pada aplikasi umum pada proses pengembangan adalah sebagai berikut :
1. Pambangunan dan pengembangan Aplikasi Umum dilakukan dengan mengutamakan penggunaan teknologi berbasis kode sumber terbuka (open source) sehingga bebas dipelajari, digunakan, dan dikembangkan lebih lanjut sesuai kabutuhan.
2. Koda sumber dan dokumentasi Aplikasi Umum harus terjaga keterkiniannya dan keterlacakannya malalui tata kelola dengan didaftarkan dan disimpan pada repositori Aplikasi SPBE.
3. Aplikasi Umum memanfaatkan teknologi yang sudah teruji, baik oleh pengembangnya maupun olah instansi yang akan menggunakannya, bardasarkan persyaratan, acuan, dan standar yang tersedia untuk pemanfaatan teknologi itu sehingga terjamin keandalan, keamanan dan keberlangsungannya.
4. Aplikasi Umum dan aplikasi pendukungnya tidak memiliki syarat lisensi atau ketentuan kontrak yang membatasi penggunaan dalam bentuk batas jumlah pengguna, perangkat, waktu, area geografis, klasifikasi/jenis pemakai, jenis penggunaan, dll.
5. Komponen-komponen pendukung (komunikasi antar-modul, pengolahan data, penempatan, enkripsi, alat monitoring kinerja, sistem pencatatan gangguan) untuk keperluan parancangan, pengembangan, pengujian, penerapan dan perawatan Aplikasi Umum mengutamakan penggunaan teknologi terbuka.
6. Dalam hal pembangunan dan implementasi Aplikasi Umum yang merupakan kelanjutan dari aplikasi yang sudah digunakan sebelumnya, maka perlu diterapkan manajemen perubahan agar semua pihak terkait dapat melakukan penyesuaian dalam rangka memastikan keberlangsungan proses bisnis.
7. Pembangunan dan pengembangan Aplikasi Umum harus menjalankan mekanisme pengujian kualitas (uji fungsi, uji integrasi, uji beban, dan uji keamanan) sebelum Aplikasi Umum (atau perubahannya) diimplementasikan.
8. Dalam hal pekerjaan pembangunan Aplikasi Umum dilakukan sebagian atau secara keseluruhan oleh pihak ketiga, harus dipastikan adanya kontrak kerja berisi perjanjian yang memastikan terjaganya keamanan data, serah terima seluruh dokumentasi secara lengkap dan dilaksanakannya transfer teknologi sebagaimena tercantum dalam kontrak kerja.
28. Setiap aplikasi umum yang telah dilakukan audit dan telah dipergunakan oleh publik, dan di kemudian hari dilakukan penambahan fitur/fungsi, apakah wajib dilakukan audit terlebih dahulu sebelum direlease ?
Jawab :
Audit aplikasi umum dapat dilakukan setiap saat baik sebelum dipakai atau setelah dipakai, dan seterusnya dilakukan audit setiap tahun agar perubahan dan perbaikan dapat diketahui dan apakah sudah dilakukan perbaikan terhadap temuan audit sebelumnya, dan apakah perbaikan tersebut sesuai rekomendasi atau tidak.
29. Dalam kegiatan audit terdapat pengujian, apa yang dilakukan dalam proses pengujian dan apa saja oyek yang diuji ?
Jawab :
Dalam audit tidak lakukan pengujian baik pada aplikasi dan infrastruktur, namun bukti-bukti pengujian aplikasi pada saat pengembangan wajib diserahkan kepada auditor dan diperiksa oleh auditor apakah hasil pengujiannya sudah sesuai dan tepat sasaran sesuai panduan pengujian.
30. Jika dokumen tidak lengkap, apakah dapat mengganggu pelaksanaan audit ?
Jawab :
Jika tidak lengkap tentu akan mempengaruhi hasil audit berupa temuan, namun tidak mengganggu pelaksanaan audit, karena audit ada jangka waktunya dan disepakati oleh auditor dan auditee, demikian juga dokumen-dokumen yang harus diserahkan oleh auditee sudah dijelaskan dalam manual audit atau audit plan.
31. Apakah Auditor memiliki hak untuk mengakses source code (kode sumber) ataupun perangkat pendukung aplikasi umum dalam rangka pelaksanaan audit ?
Jawab :
Dalam audit aplikasi, source code wajib dapat diakses oleh auditor.
32. Berapa besar kapasitas setiap file yang dibolehkan untuk dikirim melalui aplikasi audit ?
Jawab :
Maksimal 8 Mb untuk satu dokumen yang diupload.
33. Bagaimana pemetaan pertanyaan terhadap Domain, tahapan dan aktifitas audit?
34. Dimanakah bisa didapatkan informasi tentang Audit TIK dan kriteria penilaian Audit Aplikasi dan Infrastruktur SPBE?
Jawab :
Di website ptik.bppt.go.id dan website instrumen audit
35. Apakah ada pelatihan terkait audit SPBE dari BRIN?
Jawab :
BRIN akan mulai mengadakan pelatihan tentang Audit SPBE mulai Tahun 2022, pelatihan akan dilakukan rutin dimulai dari bulan Februari dan dapat diikuti oleh seluruh IPPD. Informasi pendaftaran dapat menghubungi Direktorat Peningkatan Kompetensi BRIN di Nomor +62 831-4712-3415
36. Apakah BRIN memberikan sertifikat khusus bagi auditor internal SPBE?
Jawab :
BRIN tidak mengeluarkan sertifikat bagi Auditor Internal. Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer dan Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD.
37. Apakah kriteria penilaian yang dibuat oleh BRIN sudah mencakup lingkup keamanan?
Jawab :
Sesuai dengan amanat Perpres 95 Tahun 2018 tentang SPBE. BRIN hanya membuat kriteria penilaian terkait aplikasi (umum dan khusus) dan infrastruktur. Untuk lingkup keamanan menjadi tanggung jawab BSSN.
38. Apakah audit internal yang dilakukan IPPD berada pada level kementerian/Lembaga/Pemda? Apakah perorangan boleh meminta user id jika ingin melakukan audit?
Jawab :
Audit internal dilaksanakan oleh masing-masing IPPD bukan perorangan. IPPD yang akan melakukan audit internal mengirimkan permohonan akun ke BRIN melalui email : layanan.auditspbe@brin.go.id dengan melampirkan SK Tim Audit yang ditandatangani oleh Koordinator SPBE IPPD. Jika persyaratan sudah disetujui maka IPPD akan dikirimkan username dan password auditor dan auditee yang dapat digunakan untuk melakukan audit internal dengan login pada Aplikasi Audit Tools.
39. Apakah kedepan akan ada kolaborasi/kerjasama antara BRIN dengan BSSN dalam menyelenggarakan audit internal sehingga IPPD yang ingin melakukan audit aplikasi/infrastruktur dan keamanan bisa dilaksanakan berbarengan?
Jawab :
Pada saat ini kolaborasi antara BRIN dan BSSN sudah dilakukan dalam melaksanakan audit aplikasi umum. Dimana pada tahap awal audit aplikasi umum dilakukan berbarengan antara audit TIK dengan audit keamanan. Namun tidak menutup kemungkinan akan dilakukan juga kolaborasi untuk audit internal.
40. Apakah ada pelatihan terkait audit SPBE dari BRIN?
Jawab:
BRIN akan mulai mengadakan pelatihan tentang Audit SPBE mulai Tahun 2022, pelatihan akan dilakukan rutin setiap bulan dimulai dari bulan Februari 2022 dan dapat diikuti oleh seluruh IPPD. Pelatihan tersebut ditangani oleh Direktorat Peningkatan Kompetensi - BRIN. Informasi pendaftaran dapat menghubungi kontak di +62 831-4712-3415.
41. Apakah BRIN memberikan sertifikat khusus bagi auditor internal SPBE?
Jawab:
BRIN tidak mengeluarkan sertifikat bagi Auditor Internal. Namun, dengan mengikuti pelatihan yang diselenggarakan oleh Direktorat Peningkatan Kompetensi - BRIN, akan mendapatkan sertifikat kompetensi Pelaksanaan Audit Infrastruktur dan Aplikasi Sistem Pemerintahan Berbasis Elektronik. Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer. Tim Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD.
42. Apakah kriteria penilaian yang dibuat oleh BRIN sudah mencakup lingkup keamanan?
Jawab:
Sesuai dengan amanat Perpres 95 Tahun 2018 tentang SPBE, BRIN hanya membuat kriteria penilaian terkait aplikasi (umum dan khusus) dan infrastruktur (nasional dan IPPD). Untuk lingkup keamanan menjadi tanggung jawab BSSN.
43. Apakah audit internal yang dilakukan IPPD berada pada level kementerian/Lembaga/Pemda? Apakah perorangan boleh meminta user id jika ingin melakukan audit?
Jawab:
Audit internal dilaksanakan oleh masing-masing IPPD bukan perorangan. IPPD yang akan melakukan audit internal mengirimkan permohonan akun ke BRIN melalui email : layanan.auditspbe@brin.go.id dengan melampirkan SK Tim Audit yang ditandatangani oleh Koordinator SPBE IPPD. Jika persyaratan sudah disetujui maka IPPD akan dikirimkan username dan password auditor dan auditee yang dapat digunakan untuk melakukan audit internal dengan login pada Aplikasi Audit Tools. Pelaksanaan audit internal IPPD dilaksanakan sesuai waktu yang ditentukan dalam SK tersebut.
44. Apakah kedepan akan ada kolaborasi/kerjasama antara BRIN dengan BSSN dalam menyelenggarakan audit internal sehingga IPPD yang ingin melakukan audit aplikasi/infrastruktur dan keamanan bisa dilaksanakan berbarengan?
Jawab:
Pada saat ini kolaborasi antara BRIN dan BSSN sudah dilakukan dalam melaksanakan audit aplikasi umum. Dimana pada tahap awal audit aplikasi umum dilakukan berbarengan antara audit TIK dengan audit keamanan. Namun tidak menutup kemungkinan akan dilakukan juga kolaborasi untuk audit internal.
45. Apakah semua pertanyaan harus dijawab oleh Auditi?
Jawab:
Sebaiknya semua pertanyaan dijawab oleh Auditi, walaupun tidak diwajibkan. Untuk pertanyaan yang tidak dapat dijawab oleh Auditi, pilih Jawaban level 0 (Tidak Dilaksanakan).
46. Selain menggunakan aplikasi Audit Tools, apakah dimungkinkan untuk mengkonfirmasi jawaban secara daring atau luring; dan adakah aplikasi lain dalam melakukan Audit Aplikasi dan Infrastruktur SPBE ?
Jawab:
Jawaban harus dilakukan melalui aplikasi karena sejarah (history) jawaban akan terekam di sistem. Sekiranya diperlukan, dapat dilakukan pertemuan secara daring atau luring, tetapi jawaban tetap harus dilakukan melalui aplikasi.
Tidak ada aplikasi lain selain Audit Tools yang dikembangkan oleh BRIN
47. Pada audit internal, bolehkah auditor membantu auditee dalam menjawab pertanyaan karena wawasan auditor atas bukti atau dokumen yang dikumpulkan lebih luas dari tim Auditi ?
Jawab:
Walaupun audit dilakukan secara internal, etika auditor seperti yang tertulis dalam Standar dan Tatacara Audit Infrastruktur dan Aplikasi SPBE harus tetap dipatuhi dalam berkomunikasi termasuk dalam menjamin hasil audit internal yang independen.
48. Bolehkah Audit SPBE dilakukan secara manual tanpa menggunakan Audit Tools ?
Jawab:
Audit Aplikasi dan Infrastruktur SPBE harus dilakukan menggunakan aplikasi Audit Tools
49. Dalam Audit Internal, apakah Audit Plan masih diperlukan mengingat Audit Plan belum ada di aplikasi dan Cakupan di Audit Plan lebih rinci jika dibandingkan dengan Surat Keputusan (SK) sehingga akan mengikat personil yang diberikan tanggung jawab ?
Jawab:
Audit Plan masih diperlukan dan sedang dalam pengembangan untuk dimasukkan ke dalam Aplikasi Audit Tools
50. Dalam melakukan Audit Internal, bolehkah menggunakan Auditor Eksternal mengingat keterbatasan SDM TIK ?
Jawab:
Sedapat mungkin menggunakan SDM IPPD yang dapat berasal dari unit kerja yang ada di IPPD. Dalam hal tidak diperoleh SDM yang memiliki kompetensi TIK yang memadai, dapat menggunakan SDM eksternal dengan Auditor Internal Utama (Lead Auditor) tetap berasal dari IPPD dan SDM eksternal harus dapat menjaga kerahasiaan seperti etika Auditor yang tertulis
51. Bagaimana komposisi Tim Auditee dan Auditor Internal Pemerintah Daerah dan berasal dari mana saja ?
Jawab:
Syarat untuk menjadi Auditor internal SPBE harus mempunyai kompetensi TIK (tidak harus bersertifikat). Domain Tatakelola adalah ranahnya manajemen puncak (Top Management) sehingga auditornya tidak mesti dari Dinas Kominfo. Domain Manajemen adalah ranahnya manajamen menengah (Middle Management) sehingga anggota Timnya bisa berasal dari beberapa OPD; sedangkan domain Fungsionalitas dan Kinerja bersifat teknis sehingga auditornya harus mempunyai kompetensi teknis TIK. Auditor internal yang mempunyai jabatan fungsional Pranata Komputer akan lebih menguntungkan karena akan mendapatkan angka kredit dari pelaksanaan audit ini.
Demikian juga halnya untuk auditee pada fungsionalitas dan Kinerja. Untuk yang terkait dengan operasional, auditeenya berasal dari OPD yang menjalankan tugas aplikasi. Tahapan perencanaan dan pengembangan bisa berasal dari Dinas Kominfo dan seterusnya. Penggunaan pemetaan domain, aspek/aktivitas yang ada dalam kriteria penilaian audit akan sangat membantu dalam penentuan tim Audit SPBE
52. Apakah pengguna (user) aplikasi yang bukan merupakan tim Auditee juga ikut diaudit ?
Jawab:
Jika memang diperlukan oleh tim auditor untuk mendalami informasi yang diperlukan pengguna aplikasi baik internal maupun eksternal dapat diaudit.
53. Apakah Inspektorat dapat melakukan Audit SPBE ?
Jawab:
Sepanjang personil Inspektorat yang ditugaskan mempunyai kompetensi TIK, maka personil tersebut dapat melakukan Audit TIK
54. Fungsi apa saja yang ada dalam aplikasi Audit Tools ?
Jawab:
Selain administrator, aplikasi ini mempunya pengguna auditor dan auditee. Fungsi auditor lebih jika dibandingkan dengan Auditee.
Secara umum, auditee hanya menjawab pertanyaan, memasukkan dokumen pendukung sebagai bukti, melakukan konfirmasi atas tanggapan dari auditor, melakukan konfirmasi atas temuan yang ditulis (setelah proses menjawab ditutup), dan melihat laporan yang dibuat oleh Auditor.
Untuk Auditor yang dapat dilakukan adalah mengirimkan daftar pertanyaan ke auditee, menanggapi jawaban auditee atas pertanyaan yang diberikan, menutup waktu menjawab auditee, memasukkan temuan dan rekomendasi, menanggapi konfirmasi auditee atas temuan yang ditulis, dan membuat laporan.
55. Bagaimana bentuk lampiran format untuk Tim Audit Internal SPBE
Jawab:
Format Umum dari Tim Audit Internal SPBE IPPD adalah seperti berikut.
Aplikasi / Infrastruktur
Obyek Audit
Auditor Internal
Auditee Internal
Nama
NIP
Unit Kerja
Nama
NIP
Unit Kerja
Aplikasi
Aplikasi A
1.
1.
2.
2.
3.
3.
…
4.
…
Aplikasi B
1.
1.
2.
2.
3.
3.
…
4.
…
…
Infrastruktur
Jaringan Intra Pemerintah (JIP)
1.
1.
2.
2.
3.
3.
…
4.
…
Sistem Penghubung Layanan Pemerintah (SPLP)
1.
1.
2.
2.
3.
3.
…
4.
…
56. Bagaimana pendanaan pada Audit Eksternal?
Jawab:
Pendanaan dilakukan menggunakan aturan perundangan yang berlaku
57. Apakah laporan audit internal saat ini bisa dinilaikan untuk evaluasi SPBE tahun berikutnya ?
Jawab:
Bisa, selama masih dalam perioda audit yang disyaratkan
58. Apakah semua dokumen yang ada di daftar harus semuanya diunggah (upload) ?
Jawab:
Bergantung dokumen yang tersedia. Ada kemungkinan bukti pendukung level1, level2, dan level 3 ada dalam satu dokumen; sehingga cukup satu dokumen yang diunggah. Ada kemungkinan juga bukti pendukung level tertentu ada di beberapa dokumen sehingga dimungkinkan diunggah satu-persatu. Kemungkinan yang dipilih dituliskan dalam jawaban sebagai penjelasan.
59. Apakah proses tik tok konfirmasi perlu dijadualkan mengingat respon auditor/auditi bisa jadi agak lama karena banyaknya pekerjaan lain?
Jawab:
Bisa
60. Kalau ada dokumen yang tidak ada di daftar jawaban tetapi auditi menganggap perlu untuk diupload, bagaimana caranya ?
Jawab:
Dokumen dapat diunggah pada level yang sesuai. Jika daftar dokumen sudah terunggah semua sehingga tidak ada tempat untuk mengunggahnya, maka dokumen tersebut digabungkan dengan dokumen lain pada level yang sama; dan dituliskan dalam jawaban sebagai penjelasan.
61. Apakah Auditee dan Auditor harus mengikuti pelatihan audit dan apakah memilki materi yang sama antara Auditee dan Auditor?
Jawab:
Baik Auditee maupun Auditor harus mengikuti pelatihan Audit dengan materi yang sama, agar memiliki persepsi yang sama dalam menjawab pertanyaan dan mengkonfirmasi jawaban kriteria pertanyan Audit.
62. Apakah ketika melakukan audit aplikasi, juga harus menyiapkan Auditee atau Auditor yang juga mengerti inftastrukur?
Jawab:
Ya, harus. Namun untuk audit infrastruktur tidak harus melibatkan orang aplikasi, namun saat mengaudit aplikasi harus ada kriteria audit infrastruktur yang harus dijawab.
63. Apakah aplikasi yang akan dilakukan audit eksternal harus dilakukan audit internal terlebih dahulu?
Jawab:
Ya. Namun aplikasi yang diaudit sebaiknya diprioritaskan untuk aplikasi pelayanan publik. Agar masyarakat juga yakin bahwa aplikasi pelayanan publiknya sudah diaudit.
64. Bagaimana dengan Audit yang dilakukan BPK-RI pada kegiatan pengembangan aplikasi atau pengadaan infrastruktur jaringan TIK? Apakah ini termasuk Audit TIK eksternal?
Jawab :
Audit diatas tidak sama dengan audit Aplikasi sesuai Perpres SPBE 95 2018.
Audit aplikasi SPBE merupakan pemeriksaan aplikasi terhadap 3 hal :
- Fungsional dan kinerja aplikasi mulai dari tahap perencanan, pengembangan, operasional dan pemeliharaan.
- Tata kelola, bagaimana mengelola aplikasi tsb mulai dari kebijakan, penyelenggara, evaluasi dan pemantauannya, serta anggaran dan SDM pengelola sumber aplikasi tsb.
- Manajemen, diperiksa juga terkait manajemennya, merupakan implementasi kebijakan 8 macam manajemen yang diimplementasikan pada aplikasi yang di periksa.
Audit aplikasi SPBE tidak memeriksa bagaimana pengadaannya dan harganya.
65. Apakah dalam pelaksanaan audit TIK internal, wajib menggunakan audit tools dari tautan BPPT? atau bisa menggunakan aplikasi audit management system, misalnya teammate?
Jawab:
Audit internal dan audit eksternal merupakan satu kegiatan audit yang berurutan, dengan demikian tools harus sama, dan menggunakan tools yang sudah disiapkan.
Audit Tools sudah dilengkapi dengan pertanyaan-pertanyaan yang harus dilaksanakan setiap Instansi Pusat dan Pemerintah Daerah, untuk kepatuhan terhadap peraturan perundangan yang berlaku, untuk mendukung terwujudnya tujuan SPBE nasional yaitu adanya Keterpaduan dan Integrasi, berbagi data dan informasi, mengurangi duplikasi infrastruktur dan aplikasi.
66. Aspek TIK secara menyeluruh ada 3 komponen utama: Infrastruktur, Aplikasi, dan Keamanan. Jika dilakukan audit internal hanya satu aplikasi saja sebagai sampel karena keterbatasan sumber daya, apakah dapat mewaliki pelaksanaan Audit TIK internal secara menyeluruh?
Jawab :
Yang harus diaudit adalah Infrastruktur (indikator 29), Aplikasi (indikator 30) dan Keamanan (indikator 31). Aplikasi dan Infrastruktur diaudit menggunakan standar dan Tata Cara dari Perban BPPT (sekarang BRIN), sedangkan audit keamanan berdasarkan Standar dan Tata Cara audit Keamanan dari BSSN.
Audit internal merupakan urutan dari proses audit yang harus dilakukan dulu sebelum dilaksanakan audit eksternal. Dengan demikian perlu dilakukan audit pada 3 hal diatas. Untuk Aplikasi, yang perlu dilakukan audit tentu aplikasi pelayanan publik sesuai aplikasi pelayanan publik yang dinilaikan pada evaluasi SPBE. Dengan demikian, audit internal bukan merupakan sampel proses audit.
67. Jika dilakukan audit TIK eksternal pada aplikasi khusus yang datanya bersifat sangat rahasia, bagaimana Service Level Agreementnya terkait kerahasiaan data?
Jawab :
Jika merasa kurang yakin pada pelaksanaan audit eksternal yang dilakukan oleh lembaga audit swasta terakreditasi, maka bisa meminta kepada lembaga audit pemerintah sesuai Perpres SPBE 95 2018, dengan memberikan alasan khusus yang disampaikan dengan surat resmi.
1. Apa yang dimaksud dengan Audit SPBE ?
Jawab :
Audit SPBE (Sistem Pemerintahan Berbasis Elektronik) sesuai dengan yang diamanatkan dalam Perpres no. 95 tahun 2018 adalah audit yang dilakukan terhadap Infrastruktur, Aplikasi, dan Keamanan SPBE. Audit Infrastruktur dan Aplikasi SPBE diamanatkan kepada BPPT dan Audit Keamanan SPBE diamanatkan kepada BSSN.
2. Apa Lingkup (domain) Audit Aplikasi SPBE ?
Jawab :
Audit Aplikasi mencakup Aplikasi umum dan Aplikasi khusus SPBE.
Aplikasi umum adalah Aplikasi SPBE yang sama, standar, dan digunakan secara bagi pakai oleh instansi pusat dan/atau pemerintah daerah. Aplikasi Umum ditentukan oleh KemenPANRB.
Sedangkan Aplikasi khusus adalah Aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh instansi pusat atau pemerintah daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan instansi pusat dan pemerintah daerah lain. Aplikasi khusus ditentukan oleh IPPD (Instansi Pusat dan Pemerintah Daerah)
Lingkup (domain) dari Audit Aplikasi adalah Tatakelola, Manajemen, dan Fungsionalitas Kinerja aplikasi.
3. Apa Lingkup (domain) Audit Infrastruktur SPBE ?
Jawab :
Audit Infrastruktur SPBE mencakup Infrastruktur Nasional dan Infrastruktur IPPD.
Lingkup (domain)dari Audit Infrastruktur SPBE adalah Tatakelola, dan Fungsionalitas Kinerja Infrastruktur.
Fungsionalitas Kinerja Infrastruktur dikelompokkan menjadi Pusat Data, Jaringan Intra Pemerintah, dan Sistem Penghubung Layanan.
4. Apa tujuan dan manfaat dilakukan audit aplikasi SPBE khususnya pada domain manajemen?
Jawab :
Lingkup manajemen pada audit aplikasi adalah sesuai amanat perpres SPBE, dimana tujuannya agar aplikasi terkelola dengan baik dan berkelanjutan karena merupakan aplikasi khusus sebuah instansi pusat dan pemerintah daerah dimana aplikasi tersebut merupakan output proses bisnis dari layanan publik IPPD tersebut, yang sesuai permenPANRB 59 2020 ditetapkan minimal ada 3 buah aplikasi khusus IPPD. Proses manajemen yang wajib dilaksanakan dalam pengelolaan aplikasi adalah :
1. Manajemen Risiko
2. Manajemen Data
3. Manajemen Aset TIK
4. Manajemen Keamanan Informasi
5. Manajemen Layanan
6. Manajemen SDM SPBE
7. Manajemen Perubahan
8. Manajemen Pengetahuan
Demikian juga untuk aplikasi umum, mengikuti penerapan audit manajemen diatas, bahkan ada tambahan khusus dimana kriteria-kriteria infrastruktur pendukung wajib ditambahkan mengingat bahwa aplikasi umum akan digunakan di seluruh IPPD.
Lingkup Manajemen Infrastruktur juga sama seperti Aplikasi.
Manajemen Keamanan Informasi tidak dimasukkan karena merupakan tugas dari BSSN.
5. Apa yang dimaksud dengan Audit Eksternal dan Audit Internal ?
Jawab :
Audit eksternal adalah Audit yang dilakukan oleh Lembaga Pelaksana Audit TIK (LATIK) Pemerintah dan Swasta Terakreditasi, sedangkan Audit Internal adalah audit yang dilakukan oleh pegawai IPPD yang ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama Instansi.
6. Siapa yang melakukan Audit Eksternal untuk Aplikasi dan Infrastruktur SPBE ?
Jawab :
Audit Aplikasi Umum dilakukan oleh BPPT sebagai Lembaga Audit TIK (LATIK) Pemerintah, sedangkan Audit Aplikasi Khusus dilakukan oleh Lembaga Audit TIK Swasta Terakreditasi.
Audit Infrastruktur Nasional dilakukan oleh BPPT dan Audit Infrastruktur IPPD dilakukan oleh LATIK Swasta Terakreditasi
Dalam Hal LATIK Swasta Terakreditasi belum ada atau tidak dapat melakukan Audit SPBE, BPPT dapat melakukan Audit SPBE.
Catatan :
Disarankan untuk melaksanakan audit internal oleh setiap IPPD sebelum meminta untuk melakukan audit eksternal.
7. Apa yang menjadi pedoman LATIK dalam melakukan Audit SPBE ?
Jawab :
LATIK Pemerintah dan Swasta Terakreditasi dalam melakukan Audit SPBE harus mengacu pada Peraturan Badan (Perban) BPPT yang memuat tentang Standar dan Tata Cara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.
Perban ini memuat kriteria minimal dalam melakukan audit; dan pengembangan pedoman audit aplikasi dan infrastruktur SPBE ini sudah mengacu pada standar teknis internasional, Standar Nasional Indonesia, serta peraturan perundangan yang berlaku seperti Perpres SPBE, Peraturan Kemenkominfo tentang Kebijakan Umum Pelaksanaan Audit TIK, serta PermenPANRB no. 59 tahun 2020 tentang Pemantauan dan Evaluasi SPBE.
Sebelum ada perpres SPBE, para auditor bebas menetapkan metoda pengolahan datanya karena sangat ditentukan oleh lingkup audit dan tujuan audit. Semenjak ada Perpres SPBE, ketentuan mengenai lingkup audit sudah ditetapkan yaitu Tata Kelola, Manajemen, Fungsionalitas dan Kinerja, dan tujuannya adalah untuk perbaikan sesuai tujuan SPBE.
Standarisasi fungsional dan kinerja aplikasi secara umum sudah ditetapkan yang mengacu pada standar internasional IEEE dan peraturan perundangan. Namun untuk aplikasi umum, sangat ditentukan dengan proses bisnis dari instansi yang mengeluarkan aplikasi umum dan aplikasi umum tsb sudah ditetapkan oleh KemenPANRB.
Draft Perban ini dapat diunduh di ptik.bppt.go.id
8. Terkait fungsional kinerja aplikasi, tahapan apa saja yang akan diaudit ?
Jawab :
a. Perencanaan - Persyaratan Layanan (Business Requirement), Kebutuhan Perangkat Lunak (Software Requirement), Rancangan Perangkat Lunak (Software Design)
b. Pengembangan - Implementasi Perangkat Lunak (Software Implementation), Pengujian (Testing), Instalasi/Pemasangan (Installation)
c. Pengoperasian, Penggunaan Perangkat Lunak (Software Usage)
d. Pemeliharaan, Pemeliharaan Perangkat Lunak (Software Maintenance), dan Manajemen Konfigurasi Perangkat Lunak (Software Configuration Management)
9. Apa kaitannya Indikator penilaian yang ada dalam Evaluasi SPBE yang dilaksanakan oleh KemenPANRB dengan Audit SPBE ini ?
Jawab :
Audit SPBE ini bersifat lebih rinci (detail) dan bersifat lebih teknis jika dibandingkan dengan Evaluasi SPBE
10. Apakah Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah ?
Jawab :
Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah. Tidak semua aplikasi khusus dan Infrastruktur yang direkomendasikan untuk diaudit diajukan secara serentak, bergantung pada kondisi internal IPPD.
11. Apakah IPPD bisa langsung melakukan Audit Eksternal SPBE tanpa melalui Audit Internal?
Jawab :
Dalam Indikator Kematangan Evaluasi SPBE, penyelenggaraan Audit SPBE dapat menaikkan nilai kematangannya pada indikator Audit, tetapi dengan syarat jika sudah dilakukan Audit Internal SPBE terlebih dahulu. Audit SPBE yang bersifat eksternal tetap dapat dilakukan walaupun tidak akan merubah nilai kematangan pada Evaluasi SPBE yang dilakukan oleh KemenPANRB
Disarankan IPPD dapat melaksanakan audit internal terlebih dahulu sebelum dilakukan audit eksternal.
12. Apa acuan yang digunakan pada Audit Internal SPBE dan siapa yang melakukan Audit Internal ?
Jawab :
Acuan yang digunakan oleh Auditor Internal sama dengan yang digunakan oleh Auditor SPBE yaitu Perban BPPT tentang Standar dan Tatacara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.
Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer dan Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD, demikian juga sebagai auditee nya ditetapkan oleh Koordinator SPBE IPPD dimana auditee ini adalah penanggung jawab atau pengelola infrastruktur atau aplikasi.
13. Bagaimana proses penyelenggaraan Audit SPBE dilakukan ?
Jawab :
Penyelenggaraan Audit SPBE dapat dilakukan secara daring (online) dan kunjungan lapangan (offline).
Untuk memudahkan pelaksanaan audit, BPPT mengembangkan aplikasi Instrumen Audit (Audit tools) yang digunakan untuk komunikasi antara Auditor dan Auditee. Instrument Audit ini digunakan untuk menjawab pertanyaan yang dilakukan Auditor baik yang berupa pertanyaan standar (minimal) yang mengacu pada Kriteria Penilaian yang ada pada Perban BPPT maupun pertanyaan tambahan yang digunakan oleh Auditor.
Aplikasi ini juga dapat digunakan oleh IPPD untuk mengunggah dokumen atas jawaban pertanyaan tersebut. Aplikasi ini juga dapat digunakan untuk mengeluarkan laporan standar Audit SPBE dan dapat dibagi pakai.
14. Bagaimana alur tahapan proses audit aplikasi dan infrastuktur?
Jawab :
15. Berapa lama proses audit dilakukan hingga keluar hasil audit ?
Jawab :
Lama penyelenggaraan audit yang terdiri dari tahap persiapan, tahap pelaksanaan dan tahap pelaporan bergantung dari kesepakatan antara auditor dan auditee, dan lingkup auditnya.
16. Kepada siapa hasil audit dilaporkan ?
Jawab :
Laporan audit internal dilaporkan kepada Koordinator SPBE IPPD, dan untuk laporan audit oleh Latik Swasta terakreditasi diberikan ke IPPD sebagai auditee.
17. Apakah bentuk laporan audit yang disampaikan sudah mencakup kompleksitas dari suatu tindakan perbaikan?
Jawab :
Laporan audit berupa TEMUAN dan REKOMENDASI. Tentu hasil audit sangat tergantung pada kondisi saat ini ketika dialakukan audit. Sehingga kompleksitasnya sangat tergantung pada kondisi saat ini, dan solusi audit yang tertuang dalam rekomendasi hasil audit disesuaikan dengan tujuan SPBE.
18. Dalam tahap persiapan audit, apakah hal teknis dan dokumen yang perlu dipersiapkan oleh IPPD dalam pelaksanaan Audit SPBE?
Jawab :
Pada tahap persiapan, yang perlu dipersiapkan adalah :
- Menentukan ruang lingkup audit dan menyusun Audit Plan
- Penyusunan Tim (Tim auditor dan tim auditee)
- Persetujuan dan Finalisasi Audit Plan
- Mengumpulkan kriteria teknis dan peraturan perundang-undangan
- Mengumpulkan dokumen-dokumen yang diperlukan sesuai yang dituangkan dalam Audit Plan.
19. Apa saja Aplikasi Umum yang harus diaudit ?
Jawab :
Aplikasi umum yang harus diaudit sesuai rencana KemenPANRB ada 8 yaitu :
1 Pengaduan Pelayanan Publik
2 Kearsipan Dinamis
3 Kepegawaian
4 Perencanaan
5 Penganggaran
6 Pengadaan barang dan jasa
7 Akuntabilitas kinerja
8 Pemantauan dan evaluasi
20. Berapa kali dilakukan audit Aplikasi Umum SPBE ?
Jawab :
Aplikasi umum diaudit setahun sekali oleh Pelaksana audit pemerintah yaitu BPPT.
21. Apa saja aplikasi layanan yang harus diaudit ?
Jawab :
Layanan berkaitan dengan aplikasi layanan publik yang sangat tergantung dari instansi yang diaudit. Mengingat aplikasi di satu instansi sangat banyak, maka sebaiknya diprioritaskan untuk diaudit adalah aplikasi layanan publik. Pada dasarnya aplikasi SPBE terdiri dari dua yaitu layanan administrasi internal dan layanan publik. Yang perlu dilakukan audit adalah aplikasi layanan publik, jika aplikasi layanan publik sudah diaudit semua, maka layanan administrasi bisa dilakukan audit.
22. Bagaimana prosedur penyampaian usulan Audit eksternal dan Internal SPBE serta mendapatkan akun instrumen audit?
Jawab :
Untuk Aplikasi Umum dan Infrastruktur Nasional, Instansi Penanggung Jawab
mengajukan permohonan ke BPPT untuk dilakukan Audit SPBE; sedangkan untuk Aplikasi khusus dan Infrastruktur SPBE lainnya, IPPD melakukan pengadaan Audit SPBE melalui proses pengadaan atau alternatif pembiayaan lainnya yang sesuai dengan SBU (Standar Biaya Umum).
Secara reguler, BPPT akan mengeluarkan daftar LATIK terakreditasi yang dapat melakukan Audit SPBE sesuai permintaan IPPD.
Untuk audit internal dapat dilakukan melalui email dan melampirkan SK Tim Auditor Internal IPPD dan SK TIM Auditee IPPD dari Koordinator SPBE IPPD. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.
Untuk audit eksternal dapat dilakukan melalui email dan melampirkan bukti bahwa Pelaksana audit swasta terakreditasi sudah terdaftar di BPPT, demikian pula auditor yang akan melaksanakan audit. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.
23. Apa saja peran dan tugas Auditee selama proses audit ?
Jawab :
Tugas Auditee adalah menjawab setiap pertanyaan dari auditor dan mengunggah bukti dokumen pendukung. Peran auditee adalah sebagai penanggung jawab atau pemilik objek audit (aplikasi atau infrastruktur) dan ditetapkan oleh instansinya sebagai auditee.
24. Apa saja kriteria penilaian domain manajemen dalam audit aplikasi SPBE ?
Jawab :
Kriteria penilaian domain manajemen adalah nilai kapabilitas, dengan nilai 0,1,2 atau 3. 0. Apabila tidak dijalankan, 1. Dijalankan atas inisiatif perseorangan, bukan inisiatif institusi, 2. Dijalankan, dengan bukti adanya penetapan berupa kebijakan pimpinan instansi, dan kebijakannya belum mengacu pada pedoman manajemen SPBE yang sdh ditetapkan, 3. Ditetapkan dan ada bukti kegiatan sesuai pedoman manajemen yang wajib diacu oleh IPPD.
Untuk aplikasi umum ditambahkan kriteria penilaian kematangan dari infrastruktur pendukung.
25. Bagaimana cara mengukur tingkat kematangan pada indikator penilaian di domain manajemen ?
Jawab :
Penilaian kematangan di domain manajemen mengikuti nilai kapabilitas di setiap tahapan, sesuai gambar berikut :
26. Apakah teknik audit yang digunakan pada prosesnya dapat bersifat dinamis menyesuaikan karaktersitik manajemen instansi terkait?
Jawab :
Aplikasi umum tentu sangat tergantung pada proses bisnis dari instansi yang mengeluarkan apikasi umum dan telah ditetapkan oleh KemenPANRB sebagai aplikasi umum. Oleh karena itu sangat dimungkinkan adanya pertanyaan tambahan dari auditor yang menyesuaikan dengan proses bisnisnya. Dengan demikian pertanyaan-pertanyaan yang disampaikan kepada auditee sangat dinamis sesuai perkembangan peraturan perundangan dan perkembangan teknologi.
27. Apa saja teknologi yang harus diterapkan dalam Aplikasi Umum SPBE ?
Jawab :
Teknologi yang wajib diterapkan pada aplikasi umum pada proses pengembangan adalah sebagai berikut :
1. Pambangunan dan pengembangan Aplikasi Umum dilakukan dengan mengutamakan penggunaan teknologi berbasis kode sumber terbuka (open source) sehingga bebas dipelajari, digunakan, dan dikembangkan lebih lanjut sesuai kabutuhan.
2. Koda sumber dan dokumentasi Aplikasi Umum harus terjaga keterkiniannya dan keterlacakannya malalui tata kelola dengan didaftarkan dan disimpan pada repositori Aplikasi SPBE.
3. Aplikasi Umum memanfaatkan teknologi yang sudah teruji, baik oleh pengembangnya maupun olah instansi yang akan menggunakannya, bardasarkan persyaratan, acuan, dan standar yang tersedia untuk pemanfaatan teknologi itu sehingga terjamin keandalan, keamanan dan keberlangsungannya.
4. Aplikasi Umum dan aplikasi pendukungnya tidak memiliki syarat lisensi atau ketentuan kontrak yang membatasi penggunaan dalam bentuk batas jumlah pengguna, perangkat, waktu, area geografis, klasifikasi/jenis pemakai, jenis penggunaan, dll.
5. Komponen-komponen pendukung (komunikasi antar-modul, pengolahan data, penempatan, enkripsi, alat monitoring kinerja, sistem pencatatan gangguan) untuk keperluan parancangan, pengembangan, pengujian, penerapan dan perawatan Aplikasi Umum mengutamakan penggunaan teknologi terbuka.
6. Dalam hal pembangunan dan implementasi Aplikasi Umum yang merupakan kelanjutan dari aplikasi yang sudah digunakan sebelumnya, maka perlu diterapkan manajemen perubahan agar semua pihak terkait dapat melakukan penyesuaian dalam rangka memastikan keberlangsungan proses bisnis.
7. Pembangunan dan pengembangan Aplikasi Umum harus menjalankan mekanisme pengujian kualitas (uji fungsi, uji integrasi, uji beban, dan uji keamanan) sebelum Aplikasi Umum (atau perubahannya) diimplementasikan.
8. Dalam hal pekerjaan pembangunan Aplikasi Umum dilakukan sebagian atau secara keseluruhan oleh pihak ketiga, harus dipastikan adanya kontrak kerja berisi perjanjian yang memastikan terjaganya keamanan data, serah terima seluruh dokumentasi secara lengkap dan dilaksanakannya transfer teknologi sebagaimena tercantum dalam kontrak kerja.
28. Setiap aplikasi umum yang telah dilakukan audit dan telah dipergunakan oleh publik, dan di kemudian hari dilakukan penambahan fitur/fungsi, apakah wajib dilakukan audit terlebih dahulu sebelum direlease ?
Jawab :
Audit aplikasi umum dapat dilakukan setiap saat baik sebelum dipakai atau setelah dipakai, dan seterusnya dilakukan audit setiap tahun agar perubahan dan perbaikan dapat diketahui dan apakah sudah dilakukan perbaikan terhadap temuan audit sebelumnya, dan apakah perbaikan tersebut sesuai rekomendasi atau tidak.
29. Dalam kegiatan audit terdapat pengujian, apa yang dilakukan dalam proses pengujian dan apa saja oyek yang diuji ?
Jawab :
Dalam audit tidak lakukan pengujian baik pada aplikasi dan infrastruktur, namun bukti-bukti pengujian aplikasi pada saat pengembangan wajib diserahkan kepada auditor dan diperiksa oleh auditor apakah hasil pengujiannya sudah sesuai dan tepat sasaran sesuai panduan pengujian.
30. Jika dokumen tidak lengkap, apakah dapat mengganggu pelaksanaan audit ?
Jawab :
Jika tidak lengkap tentu akan mempengaruhi hasil audit berupa temuan, namun tidak mengganggu pelaksanaan audit, karena audit ada jangka waktunya dan disepakati oleh auditor dan auditee, demikian juga dokumen-dokumen yang harus diserahkan oleh auditee sudah dijelaskan dalam manual audit atau audit plan.
31. Apakah Auditor memiliki hak untuk mengakses source code (kode sumber) ataupun perangkat pendukung aplikasi umum dalam rangka pelaksanaan audit ?
Jawab :
Dalam audit aplikasi, source code wajib dapat diakses oleh auditor.
32. Berapa besar kapasitas setiap file yang dibolehkan untuk dikirim melalui aplikasi audit ?
Jawab :
Maksimal 8 Mb untuk satu dokumen yang diupload.
33. Bagaimana pemetaan pertanyaan terhadap Domain, tahapan dan aktifitas audit?
34. Dimanakah bisa didapatkan informasi tentang Audit TIK dan kriteria penilaian Audit Aplikasi dan Infrastruktur SPBE?
Jawab :
Di website ptik.bppt.go.id dan website instrumen audit
35. Apakah ada pelatihan terkait audit SPBE dari BRIN?
Jawab :
BRIN akan mulai mengadakan pelatihan tentang Audit SPBE mulai Tahun 2022, pelatihan akan dilakukan rutin dimulai dari bulan Februari dan dapat diikuti oleh seluruh IPPD. Informasi pendaftaran dapat menghubungi Direktorat Peningkatan Kompetensi BRIN di Nomor +62 831-4712-3415
36. Apakah BRIN memberikan sertifikat khusus bagi auditor internal SPBE?
Jawab :
BRIN tidak mengeluarkan sertifikat bagi Auditor Internal. Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer dan Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD.
37. Apakah kriteria penilaian yang dibuat oleh BRIN sudah mencakup lingkup keamanan?
Jawab :
Sesuai dengan amanat Perpres 95 Tahun 2018 tentang SPBE. BRIN hanya membuat kriteria penilaian terkait aplikasi (umum dan khusus) dan infrastruktur. Untuk lingkup keamanan menjadi tanggung jawab BSSN.
38. Apakah audit internal yang dilakukan IPPD berada pada level kementerian/Lembaga/Pemda? Apakah perorangan boleh meminta user id jika ingin melakukan audit?
Jawab :
Audit internal dilaksanakan oleh masing-masing IPPD bukan perorangan. IPPD yang akan melakukan audit internal mengirimkan permohonan akun ke BRIN melalui email : layanan.auditspbe@brin.go.id dengan melampirkan SK Tim Audit yang ditandatangani oleh Koordinator SPBE IPPD. Jika persyaratan sudah disetujui maka IPPD akan dikirimkan username dan password auditor dan auditee yang dapat digunakan untuk melakukan audit internal dengan login pada Aplikasi Audit Tools.
39. Apakah kedepan akan ada kolaborasi/kerjasama antara BRIN dengan BSSN dalam menyelenggarakan audit internal sehingga IPPD yang ingin melakukan audit aplikasi/infrastruktur dan keamanan bisa dilaksanakan berbarengan?
Jawab :
Pada saat ini kolaborasi antara BRIN dan BSSN sudah dilakukan dalam melaksanakan audit aplikasi umum. Dimana pada tahap awal audit aplikasi umum dilakukan berbarengan antara audit TIK dengan audit keamanan. Namun tidak menutup kemungkinan akan dilakukan juga kolaborasi untuk audit internal.
40. Apakah ada pelatihan terkait audit SPBE dari BRIN?
Jawab:
BRIN akan mulai mengadakan pelatihan tentang Audit SPBE mulai Tahun 2022, pelatihan akan dilakukan rutin setiap bulan dimulai dari bulan Februari 2022 dan dapat diikuti oleh seluruh IPPD. Pelatihan tersebut ditangani oleh Direktorat Peningkatan Kompetensi - BRIN. Informasi pendaftaran dapat menghubungi kontak di +62 831-4712-3415.
41. Apakah BRIN memberikan sertifikat khusus bagi auditor internal SPBE?
Jawab:
BRIN tidak mengeluarkan sertifikat bagi Auditor Internal. Namun, dengan mengikuti pelatihan yang diselenggarakan oleh Direktorat Peningkatan Kompetensi - BRIN, akan mendapatkan sertifikat kompetensi Pelaksanaan Audit Infrastruktur dan Aplikasi Sistem Pemerintahan Berbasis Elektronik. Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer. Tim Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD.
42. Apakah kriteria penilaian yang dibuat oleh BRIN sudah mencakup lingkup keamanan?
Jawab:
Sesuai dengan amanat Perpres 95 Tahun 2018 tentang SPBE, BRIN hanya membuat kriteria penilaian terkait aplikasi (umum dan khusus) dan infrastruktur (nasional dan IPPD). Untuk lingkup keamanan menjadi tanggung jawab BSSN.
43. Apakah audit internal yang dilakukan IPPD berada pada level kementerian/Lembaga/Pemda? Apakah perorangan boleh meminta user id jika ingin melakukan audit?
Jawab:
Audit internal dilaksanakan oleh masing-masing IPPD bukan perorangan. IPPD yang akan melakukan audit internal mengirimkan permohonan akun ke BRIN melalui email : layanan.auditspbe@brin.go.id dengan melampirkan SK Tim Audit yang ditandatangani oleh Koordinator SPBE IPPD. Jika persyaratan sudah disetujui maka IPPD akan dikirimkan username dan password auditor dan auditee yang dapat digunakan untuk melakukan audit internal dengan login pada Aplikasi Audit Tools. Pelaksanaan audit internal IPPD dilaksanakan sesuai waktu yang ditentukan dalam SK tersebut.
44. Apakah kedepan akan ada kolaborasi/kerjasama antara BRIN dengan BSSN dalam menyelenggarakan audit internal sehingga IPPD yang ingin melakukan audit aplikasi/infrastruktur dan keamanan bisa dilaksanakan berbarengan?
Jawab:
Pada saat ini kolaborasi antara BRIN dan BSSN sudah dilakukan dalam melaksanakan audit aplikasi umum. Dimana pada tahap awal audit aplikasi umum dilakukan berbarengan antara audit TIK dengan audit keamanan. Namun tidak menutup kemungkinan akan dilakukan juga kolaborasi untuk audit internal.
45. Apakah semua pertanyaan harus dijawab oleh Auditi?
Jawab:
Sebaiknya semua pertanyaan dijawab oleh Auditi, walaupun tidak diwajibkan. Untuk pertanyaan yang tidak dapat dijawab oleh Auditi, pilih Jawaban level 0 (Tidak Dilaksanakan).
46. Selain menggunakan aplikasi Audit Tools, apakah dimungkinkan untuk mengkonfirmasi jawaban secara daring atau luring; dan adakah aplikasi lain dalam melakukan Audit Aplikasi dan Infrastruktur SPBE ?
Jawab:
Jawaban harus dilakukan melalui aplikasi karena sejarah (history) jawaban akan terekam di sistem. Sekiranya diperlukan, dapat dilakukan pertemuan secara daring atau luring, tetapi jawaban tetap harus dilakukan melalui aplikasi.
Tidak ada aplikasi lain selain Audit Tools yang dikembangkan oleh BRIN
47. Pada audit internal, bolehkah auditor membantu auditee dalam menjawab pertanyaan karena wawasan auditor atas bukti atau dokumen yang dikumpulkan lebih luas dari tim Auditi ?
Jawab:
Walaupun audit dilakukan secara internal, etika auditor seperti yang tertulis dalam Standar dan Tatacara Audit Infrastruktur dan Aplikasi SPBE harus tetap dipatuhi dalam berkomunikasi termasuk dalam menjamin hasil audit internal yang independen.
48. Bolehkah Audit SPBE dilakukan secara manual tanpa menggunakan Audit Tools ?
Jawab:
Audit Aplikasi dan Infrastruktur SPBE harus dilakukan menggunakan aplikasi Audit Tools
49. Dalam Audit Internal, apakah Audit Plan masih diperlukan mengingat Audit Plan belum ada di aplikasi dan Cakupan di Audit Plan lebih rinci jika dibandingkan dengan Surat Keputusan (SK) sehingga akan mengikat personil yang diberikan tanggung jawab ?
Jawab:
Audit Plan masih diperlukan dan sedang dalam pengembangan untuk dimasukkan ke dalam Aplikasi Audit Tools
50. Dalam melakukan Audit Internal, bolehkah menggunakan Auditor Eksternal mengingat keterbatasan SDM TIK ?
Jawab:
Sedapat mungkin menggunakan SDM IPPD yang dapat berasal dari unit kerja yang ada di IPPD. Dalam hal tidak diperoleh SDM yang memiliki kompetensi TIK yang memadai, dapat menggunakan SDM eksternal dengan Auditor Internal Utama (Lead Auditor) tetap berasal dari IPPD dan SDM eksternal harus dapat menjaga kerahasiaan seperti etika Auditor yang tertulis
51. Bagaimana komposisi Tim Auditee dan Auditor Internal Pemerintah Daerah dan berasal dari mana saja ?
Jawab:
Syarat untuk menjadi Auditor internal SPBE harus mempunyai kompetensi TIK (tidak harus bersertifikat). Domain Tatakelola adalah ranahnya manajemen puncak (Top Management) sehingga auditornya tidak mesti dari Dinas Kominfo. Domain Manajemen adalah ranahnya manajamen menengah (Middle Management) sehingga anggota Timnya bisa berasal dari beberapa OPD; sedangkan domain Fungsionalitas dan Kinerja bersifat teknis sehingga auditornya harus mempunyai kompetensi teknis TIK. Auditor internal yang mempunyai jabatan fungsional Pranata Komputer akan lebih menguntungkan karena akan mendapatkan angka kredit dari pelaksanaan audit ini.
Demikian juga halnya untuk auditee pada fungsionalitas dan Kinerja. Untuk yang terkait dengan operasional, auditeenya berasal dari OPD yang menjalankan tugas aplikasi. Tahapan perencanaan dan pengembangan bisa berasal dari Dinas Kominfo dan seterusnya. Penggunaan pemetaan domain, aspek/aktivitas yang ada dalam kriteria penilaian audit akan sangat membantu dalam penentuan tim Audit SPBE
52. Apakah pengguna (user) aplikasi yang bukan merupakan tim Auditee juga ikut diaudit ?
Jawab:
Jika memang diperlukan oleh tim auditor untuk mendalami informasi yang diperlukan pengguna aplikasi baik internal maupun eksternal dapat diaudit.
53. Apakah Inspektorat dapat melakukan Audit SPBE ?
Jawab:
Sepanjang personil Inspektorat yang ditugaskan mempunyai kompetensi TIK, maka personil tersebut dapat melakukan Audit TIK
54. Fungsi apa saja yang ada dalam aplikasi Audit Tools ?
Jawab:
Selain administrator, aplikasi ini mempunya pengguna auditor dan auditee. Fungsi auditor lebih jika dibandingkan dengan Auditee.
Secara umum, auditee hanya menjawab pertanyaan, memasukkan dokumen pendukung sebagai bukti, melakukan konfirmasi atas tanggapan dari auditor, melakukan konfirmasi atas temuan yang ditulis (setelah proses menjawab ditutup), dan melihat laporan yang dibuat oleh Auditor.
Untuk Auditor yang dapat dilakukan adalah mengirimkan daftar pertanyaan ke auditee, menanggapi jawaban auditee atas pertanyaan yang diberikan, menutup waktu menjawab auditee, memasukkan temuan dan rekomendasi, menanggapi konfirmasi auditee atas temuan yang ditulis, dan membuat laporan.
55. Bagaimana bentuk lampiran format untuk Tim Audit Internal SPBE
Jawab:
Format Umum dari Tim Audit Internal SPBE IPPD adalah seperti berikut.
Aplikasi / Infrastruktur | Obyek Audit | Auditor Internal | Auditee Internal | |||||
Nama | NIP | Unit Kerja | Nama | NIP | Unit Kerja | |||
Aplikasi | Aplikasi A |
|
|
|
|
|
| |
1. |
|
| 1. |
|
| |||
2. |
|
| 2. |
|
| |||
3. |
|
| 3. |
|
| |||
… |
|
| 4. |
|
| |||
|
|
| … |
|
| |||
Aplikasi B |
|
|
|
|
|
| ||
1. |
|
| 1. |
|
| |||
2. |
|
| 2. |
|
| |||
3. |
|
| 3. |
|
| |||
… |
|
| 4. |
|
| |||
|
|
| … |
|
| |||
… |
|
|
|
|
|
| ||
|
|
|
|
|
| |||
Infrastruktur | Jaringan Intra Pemerintah (JIP) |
|
|
|
|
|
| |
1. |
|
| 1. |
|
| |||
2. |
|
| 2. |
|
| |||
3. |
|
| 3. |
|
| |||
… |
|
| 4. |
|
| |||
|
|
| … |
|
| |||
|
|
|
|
|
| |||
Sistem Penghubung Layanan Pemerintah (SPLP) |
|
|
|
|
|
| ||
1. |
|
| 1. |
|
| |||
2. |
|
| 2. |
|
| |||
3. |
|
| 3. |
|
| |||
… |
|
| 4. |
|
| |||
|
|
| … |
|
| |||
56. Bagaimana pendanaan pada Audit Eksternal?
Jawab:
Pendanaan dilakukan menggunakan aturan perundangan yang berlaku
57. Apakah laporan audit internal saat ini bisa dinilaikan untuk evaluasi SPBE tahun berikutnya ?
Jawab:
Bisa, selama masih dalam perioda audit yang disyaratkan
58. Apakah semua dokumen yang ada di daftar harus semuanya diunggah (upload) ?
Jawab:
Bergantung dokumen yang tersedia. Ada kemungkinan bukti pendukung level1, level2, dan level 3 ada dalam satu dokumen; sehingga cukup satu dokumen yang diunggah. Ada kemungkinan juga bukti pendukung level tertentu ada di beberapa dokumen sehingga dimungkinkan diunggah satu-persatu. Kemungkinan yang dipilih dituliskan dalam jawaban sebagai penjelasan.
59. Apakah proses tik tok konfirmasi perlu dijadualkan mengingat respon auditor/auditi bisa jadi agak lama karena banyaknya pekerjaan lain?
Jawab:
Bisa
60. Kalau ada dokumen yang tidak ada di daftar jawaban tetapi auditi menganggap perlu untuk diupload, bagaimana caranya ?
Jawab:
Dokumen dapat diunggah pada level yang sesuai. Jika daftar dokumen sudah terunggah semua sehingga tidak ada tempat untuk mengunggahnya, maka dokumen tersebut digabungkan dengan dokumen lain pada level yang sama; dan dituliskan dalam jawaban sebagai penjelasan.
61. Apakah Auditee dan Auditor harus mengikuti pelatihan audit dan apakah memilki materi yang sama antara Auditee dan Auditor?
Jawab:
Baik Auditee maupun Auditor harus mengikuti pelatihan Audit dengan materi yang sama, agar memiliki persepsi yang sama dalam menjawab pertanyaan dan mengkonfirmasi jawaban kriteria pertanyan Audit.
62. Apakah ketika melakukan audit aplikasi, juga harus menyiapkan Auditee atau Auditor yang juga mengerti inftastrukur?
Jawab:
Ya, harus. Namun untuk audit infrastruktur tidak harus melibatkan orang aplikasi, namun saat mengaudit aplikasi harus ada kriteria audit infrastruktur yang harus dijawab.
63. Apakah aplikasi yang akan dilakukan audit eksternal harus dilakukan audit internal terlebih dahulu?
Jawab:
Ya. Namun aplikasi yang diaudit sebaiknya diprioritaskan untuk aplikasi pelayanan publik. Agar masyarakat juga yakin bahwa aplikasi pelayanan publiknya sudah diaudit.
64. Bagaimana dengan Audit yang dilakukan BPK-RI pada kegiatan pengembangan aplikasi atau pengadaan infrastruktur jaringan TIK? Apakah ini termasuk Audit TIK eksternal?
Jawab :
Audit diatas tidak sama dengan audit Aplikasi sesuai Perpres SPBE 95 2018.
Audit aplikasi SPBE merupakan pemeriksaan aplikasi terhadap 3 hal :
- Fungsional dan kinerja aplikasi mulai dari tahap perencanan, pengembangan, operasional dan pemeliharaan.
- Tata kelola, bagaimana mengelola aplikasi tsb mulai dari kebijakan, penyelenggara, evaluasi dan pemantauannya, serta anggaran dan SDM pengelola sumber aplikasi tsb.
- Manajemen, diperiksa juga terkait manajemennya, merupakan implementasi kebijakan 8 macam manajemen yang diimplementasikan pada aplikasi yang di periksa.
Audit aplikasi SPBE tidak memeriksa bagaimana pengadaannya dan harganya.
65. Apakah dalam pelaksanaan audit TIK internal, wajib menggunakan audit tools dari tautan BPPT? atau bisa menggunakan aplikasi audit management system, misalnya teammate?
Jawab:
Audit internal dan audit eksternal merupakan satu kegiatan audit yang berurutan, dengan demikian tools harus sama, dan menggunakan tools yang sudah disiapkan.
Audit Tools sudah dilengkapi dengan pertanyaan-pertanyaan yang harus dilaksanakan setiap Instansi Pusat dan Pemerintah Daerah, untuk kepatuhan terhadap peraturan perundangan yang berlaku, untuk mendukung terwujudnya tujuan SPBE nasional yaitu adanya Keterpaduan dan Integrasi, berbagi data dan informasi, mengurangi duplikasi infrastruktur dan aplikasi.
66. Aspek TIK secara menyeluruh ada 3 komponen utama: Infrastruktur, Aplikasi, dan Keamanan. Jika dilakukan audit internal hanya satu aplikasi saja sebagai sampel karena keterbatasan sumber daya, apakah dapat mewaliki pelaksanaan Audit TIK internal secara menyeluruh?
Jawab :
Yang harus diaudit adalah Infrastruktur (indikator 29), Aplikasi (indikator 30) dan Keamanan (indikator 31). Aplikasi dan Infrastruktur diaudit menggunakan standar dan Tata Cara dari Perban BPPT (sekarang BRIN), sedangkan audit keamanan berdasarkan Standar dan Tata Cara audit Keamanan dari BSSN.
Audit internal merupakan urutan dari proses audit yang harus dilakukan dulu sebelum dilaksanakan audit eksternal. Dengan demikian perlu dilakukan audit pada 3 hal diatas. Untuk Aplikasi, yang perlu dilakukan audit tentu aplikasi pelayanan publik sesuai aplikasi pelayanan publik yang dinilaikan pada evaluasi SPBE. Dengan demikian, audit internal bukan merupakan sampel proses audit.
67. Jika dilakukan audit TIK eksternal pada aplikasi khusus yang datanya bersifat sangat rahasia, bagaimana Service Level Agreementnya terkait kerahasiaan data?
Jawab :
Jika merasa kurang yakin pada pelaksanaan audit eksternal yang dilakukan oleh lembaga audit swasta terakreditasi, maka bisa meminta kepada lembaga audit pemerintah sesuai Perpres SPBE 95 2018, dengan memberikan alasan khusus yang disampaikan dengan surat resmi.