Audit Aplikasi Sistem Pemerintahan Berbasis Elektronik adalah pemeriksaan/evaluasi secara sistematis dan obyektif dalam rangka memberikan nilai tambah atau meningkatkan kinerja terhadap Aplikasi Sistem Pemerintahan Berbasis Elektronik.

Sebagaimana tertuang dalam Peraturan Presiden no. 95 tahun 2018 untuk BPPT (BRIN), yang tertera dalam batang tubuh maupun lampiran Perpres adalah sebagai berikut :

1. Melakukan Koordinasi dan Pendampingan manajemen pengetahuan bagi seluruh K/L/I Pusat dan Daerah (sesuai pasal 52 ayat 4).
2. Penyusunan Pedoman Manajemen Pengetahuan SPBE (pasal 52 ayat 5)
3. Melakukan Audit Jaringan SPBE Nasional selama satu kali per tahun (pasal 56 ayat 2)
4. Penyusunan Standar dan tatacara pelaksanaan Audit Infrastruktur SPBE (pasal 56 ayat 6)
5. Melakukan Audit Aplikasi umum SPBE selama satu kali per tahun (pasal 57 ayat 3)
6. Penyusunan Standar dan tatacara pelaksanaan Audit Aplikasi SPBE (pasal 57 ayat 6)
7. Melakukan Kajian Teknologi pada tahun 2019-2025
   

1.  Apa yang dimaksud dengan Audit SPBE ?
Jawab :
Audit SPBE (Sistem Pemerintahan Berbasis Elektronik) sesuai dengan yang diamanatkan dalam Perpres no. 95 tahun 2018 adalah audit yang dilakukan terhadap Infrastruktur, Aplikasi, dan Keamanan SPBE. Audit Infrastruktur dan Aplikasi SPBE diamanatkan kepada BPPT (BRIN) dan Audit Keamanan SPBE diamanatkan kepada BSSN.

2.   Apa Lingkup (domain) Audit Aplikasi SPBE ?
Jawab :
Audit Aplikasi mencakup Aplikasi umum dan Aplikasi khusus SPBE.
Aplikasi umum adalah Aplikasi SPBE yang sama, standar, dan digunakan secara bagi pakai oleh instansi pusat dan/atau pemerintah daerah. Aplikasi Umum ditentukan oleh KemenPANRB.
Sedangkan Aplikasi khusus adalah  Aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh instansi pusat atau pemerintah daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan instansi pusat dan pemerintah daerah lain. Aplikasi khusus ditentukan oleh IPPD (Instansi Pusat dan Pemerintah Daerah)
Lingkup (domain) dari Audit Aplikasi adalah Tatakelola, Manajemen, dan Fungsionalitas Kinerja aplikasi.

3.  Apa Lingkup (domain) Audit Infrastruktur SPBE ?
Jawab :
Audit Infrastruktur SPBE mencakup Infrastruktur Nasional dan Infrastruktur IPPD.
Lingkup (domain)dari Audit Infrastruktur SPBE adalah Tatakelola, dan Fungsionalitas Kinerja Infrastruktur.
Fungsionalitas Kinerja Infrastruktur dikelompokkan menjadi Pusat Data, Jaringan Intra Pemerintah, dan Sistem Penghubung Layanan.

4.    Apa tujuan dan manfaat dilakukan audit aplikasi SPBE khususnya pada domain manajemen?
Jawab :
Lingkup manajemen pada audit aplikasi adalah sesuai amanat perpres SPBE, dimana tujuannya agar aplikasi terkelola dengan baik dan berkelanjutan karena merupakan aplikasi khusus sebuah instansi pusat dan pemerintah daerah dimana aplikasi tersebut merupakan output proses bisnis dari layanan publik IPPD tersebut, yang sesuai permenPANRB 59 2020 ditetapkan minimal ada 3 buah aplikasi khusus IPPD. Proses manajemen yang wajib dilaksanakan dalam pengelolaan aplikasi adalah :
1.    Manajemen Risiko
2.    Manajemen Data
3.    Manajemen Aset TIK
4.    Manajemen Keamanan Informasi
5.    Manajemen Layanan
6.    Manajemen SDM SPBE
7.    Manajemen Perubahan
8.    Manajemen Pengetahuan

Demikian juga untuk aplikasi umum, mengikuti penerapan audit manajemen diatas, bahkan ada tambahan khusus dimana kriteria-kriteria infrastruktur pendukung wajib ditambahkan mengingat bahwa aplikasi umum akan digunakan di seluruh IPPD.

Lingkup Manajemen Infrastruktur juga sama seperti Aplikasi.
Manajemen Keamanan Informasi tidak dimasukkan karena merupakan tugas dari BSSN.

5.    Apa yang dimaksud dengan Audit Eksternal dan Audit Internal ?
Jawab :
Audit eksternal adalah Audit yang dilakukan oleh Lembaga Pelaksana Audit TIK (LATIK) Pemerintah dan Swasta Terakreditasi, sedangkan Audit Internal adalah audit yang dilakukan oleh pegawai IPPD yang ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama Instansi.

6.    Siapa yang melakukan Audit Eksternal untuk Aplikasi dan Infrastruktur SPBE ?
Jawab :
Audit Aplikasi Umum dilakukan oleh BRIN sebagai Lembaga Audit TIK (LATIK) Pemerintah, sedangkan Audit Aplikasi Khusus dilakukan oleh Lembaga Audit TIK Swasta Terakreditasi.

Audit Infrastruktur Nasional dilakukan oleh BRIN dan  Audit Infrastruktur IPPD dilakukan oleh LATIK  Swasta Terakreditasi

Dalam Hal LATIK Swasta Terakreditasi belum ada atau tidak dapat melakukan Audit SPBE, BRIN dapat melakukan Audit SPBE.

Catatan :
Diwajibkan untuk melaksanakan audit internal oleh setiap IPPD sebelum meminta untuk melakukan audit eksternal.

7.    Apa yang menjadi pedoman LATIK dalam melakukan Audit SPBE ?
Jawab :
LATIK Pemerintah dan Swasta Terakreditasi dalam melakukan Audit SPBE harus mengacu pada Peraturan Badan (Perban) BRIN yang memuat tentang Standar dan Tata Cara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.
Perban ini memuat kriteria minimal dalam melakukan audit; dan pengembangan pedoman audit aplikasi dan infrastruktur SPBE ini sudah mengacu pada standar teknis internasional, Standar Nasional Indonesia, serta peraturan perundangan yang berlaku seperti Perpres SPBE, Peraturan Kemenkominfo tentang Kebijakan Umum Pelaksanaan Audit TIK, serta PermenPANRB no. 59 tahun 2020 tentang Pemantauan dan Evaluasi SPBE.
Sebelum ada perpres SPBE, para auditor bebas menetapkan metoda pengolahan datanya karena sangat ditentukan oleh lingkup audit dan tujuan audit. Semenjak ada Perpres SPBE, ketentuan mengenai lingkup audit sudah ditetapkan yaitu Tata Kelola, Manajemen, Fungsionalitas dan Kinerja, dan tujuannya adalah untuk perbaikan sesuai tujuan SPBE.
Standarisasi fungsional dan kinerja aplikasi secara umum sudah ditetapkan yang mengacu pada standar internasional IEEE dan peraturan perundangan. Namun untuk aplikasi umum, sangat ditentukan dengan proses bisnis dari instansi yang mengeluarkan aplikasi umum dan aplikasi umum tsb sudah ditetapkan oleh KemenPANRB.
Draft Perban ini dapat diunduh di halaman ini tab unduh.

8.    Terkait fungsional kinerja aplikasi, tahapan apa saja yang akan diaudit ?
Jawab :

a.    Perencanaan - Persyaratan Layanan (Business Requirement), Kebutuhan Perangkat Lunak (Software Requirement), Rancangan Perangkat Lunak (Software Design)
b.    Pengembangan - Implementasi Perangkat Lunak (Software Implementation), Pengujian (Testing), Instalasi/Pemasangan (Installation)
c.    Pengoperasian, Penggunaan Perangkat Lunak (Software Usage), Infrastruktur Pendukung Perangkat Lunak dan Utilitas / Kinerja Jaringan
d.    Pemeliharaan, Pemeliharaan Perangkat Lunak, Pemeliharaan Infrastruktur Pendukung Perangkat Lunak (Software Maintenance), dan Pemeliharaan Utilitas / Kinerja Jaringan.

9.    Apa kaitannya Indikator penilaian yang ada dalam Evaluasi SPBE yang dilaksanakan oleh KemenPANRB dengan Audit SPBE ini ?
Jawab :
Audit SPBE ini bersifat lebih rinci (detail) dan bersifat lebih teknis jika dibandingkan dengan Evaluasi SPBE

10.    Apakah Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah ?
Jawab :
Audit Aplikasi dan Infrastruktur dapat dilakukan secara terpisah. Tidak semua aplikasi khusus dan Infrastruktur yang direkomendasikan untuk diaudit diajukan secara serentak, bergantung pada kondisi internal IPPD.

11.     Apakah IPPD bisa langsung melakukan Audit Eksternal SPBE tanpa melalui Audit Internal?
Jawab :
Dalam Indikator Kematangan Evaluasi SPBE, penyelenggaraan Audit SPBE dapat menaikkan nilai kematangannya pada indikator Audit, tetapi dengan syarat jika sudah dilakukan Audit Internal SPBE terlebih dahulu. Audit SPBE yang bersifat eksternal tetap dapat dilakukan walaupun tidak akan merubah nilai kematangan pada Evaluasi SPBE yang dilakukan oleh KemenPANRB
Disarankan IPPD dapat melaksanakan audit internal terlebih dahulu sebelum dilakukan audit eksternal.

12.     Apa acuan yang digunakan pada Audit Internal SPBE dan siapa yang melakukan Audit Internal ?
Jawab :
Acuan yang digunakan oleh Auditor Internal sama dengan yang digunakan oleh Auditor SPBE yaitu Perban BRIN tentang Standar dan Tatacara Pelaksanaan Audit Infrastruktur dan Aplikasi SPBE.

Auditor Internal merupakan pegawai IPPD yang mempunyai kompetensi/kemampuan TIK dan atau memiliki jenjang fungsional yang terkait dengan TIK seperti Pranata Komputer dan Auditor Internal ditetapkan oleh Sekretaris Daerah atau Sekretaris Utama IPPD selaku Koordinator SPBE IPPD, demikian juga sebagai auditee nya ditetapkan oleh Koordinator SPBE IPPD dimana auditee ini adalah penanggung jawab atau pengelola infrastruktur atau aplikasi.

13.     Bagaimana proses penyelenggaraan Audit SPBE dilakukan ?
Jawab :
Penyelenggaraan Audit SPBE dapat dilakukan secara daring (online) dan kunjungan lapangan (offline).

Untuk memudahkan pelaksanaan audit, BRIN mengembangkan aplikasi Instrumen Audit (Audit tools) yang digunakan untuk komunikasi antara Auditor dan Auditee. Instrument Audit ini digunakan untuk menjawab pertanyaan yang dilakukan Auditor baik yang berupa pertanyaan standar (minimal) yang mengacu pada Kriteria Penilaian yang ada pada Perban BRIN maupun pertanyaan tambahan yang digunakan oleh Auditor.

Aplikasi ini juga dapat digunakan oleh IPPD untuk mengunggah dokumen atas jawaban pertanyaan tersebut. Aplikasi ini juga dapat digunakan untuk mengeluarkan laporan standar Audit SPBE dan dapat dibagi pakai.

14.    Bagaimana alur tahapan proses audit aplikasi dan infrastuktur?
Jawab :
 

15.     Berapa lama proses audit dilakukan hingga keluar hasil audit ?
Jawab :
Lama penyelenggaraan audit yang terdiri dari tahap persiapan, tahap pelaksanaan dan tahap pelaporan bergantung dari kesepakatan antara auditor dan auditee, dan lingkup auditnya.

16.     Kepada siapa hasil audit dilaporkan ?
Jawab :
Laporan audit internal dilaporkan kepada Koordinator SPBE IPPD, dan untuk laporan audit oleh Latik Swasta terakreditasi diberikan ke IPPD sebagai auditee.

17.    Apakah bentuk laporan audit yang disampaikan sudah mencakup kompleksitas dari suatu tindakan perbaikan?
Jawab :
Laporan audit berupa TEMUAN dan REKOMENDASI. Tentu hasil audit sangat tergantung pada kondisi saat ini ketika dialakukan audit. Sehingga kompleksitasnya sangat tergantung pada kondisi saat ini, dan solusi audit yang tertuang dalam rekomendasi hasil audit disesuaikan dengan tujuan SPBE.
18.    Dalam tahap persiapan audit, apakah hal teknis dan dokumen yang perlu dipersiapkan oleh IPPD dalam pelaksanaan Audit SPBE?
Jawab :
Pada tahap persiapan, yang perlu dipersiapkan adalah :

• Menentukan ruang lingkup audit dan menyusun Audit Plan
• Penyusunan Tim (Tim auditor dan tim auditee)
• Persetujuan dan Finalisasi Audit Plan
• Mengumpulkan kriteria teknis dan peraturan perundang-undangan
• Mengumpulkan dokumen-dokumen yang diperlukan sesuai yang dituangkan dalam Audit Plan.

19.    Apa saja Aplikasi Umum yang harus diaudit ?
Jawab :
Aplikasi umum yang harus diaudit sesuai rencana KemenPANRB ada 3, yaitu :
1    Pengaduan Pelayanan Publik (SP4N-Lapor)
2    Kearsipan Dinamis (SRIKANDI)
3    Sistem Pengadaan Secara Elektronik (SPSE)

20.     Berapa kali dilakukan audit Aplikasi Umum SPBE ?
Jawab :
Aplikasi umum diaudit setahun sekali oleh Pelaksana audit pemerintah yaitu BRIN.

21.    Apa saja aplikasi layanan yang harus diaudit ?
Jawab :
Layanan berkaitan dengan aplikasi layanan publik yang sangat tergantung dari instansi yang diaudit. Mengingat aplikasi di satu instansi sangat banyak, maka sebaiknya diprioritaskan untuk diaudit adalah aplikasi layanan publik. Pada dasarnya aplikasi SPBE terdiri dari dua yaitu layanan administrasi internal dan layanan publik. Yang perlu dilakukan audit adalah aplikasi layanan publik, jika aplikasi layanan publik sudah diaudit semua, maka layanan administrasi bisa dilakukan audit.

22.    Bagaimana prosedur penyampaian usulan Audit  eksternal dan Internal SPBE serta mendapatkan akun instrumen audit?
Jawab :
Untuk Aplikasi Umum dan Infrastruktur Nasional, Instansi Penanggung Jawab
mengajukan permohonan ke BRIN untuk dilakukan Audit SPBE; sedangkan untuk Aplikasi khusus dan Infrastruktur SPBE lainnya, IPPD melakukan pengadaan Audit SPBE melalui proses pengadaan atau alternatif pembiayaan lainnya yang sesuai dengan SBU (Standar Biaya Umum).

Secara reguler, BRIN akan mengeluarkan daftar LATIK terakreditasi yang dapat melakukan Audit SPBE sesuai permintaan IPPD.
Untuk audit internal dapat dilakukan melalui email dan melampirkan SK Tim Auditor Internal IPPD dan SK TIM Auditee IPPD dari Koordinator SPBE IPPD. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.
Untuk audit eksternal dapat dilakukan melalui email dan melampirkan bukti bahwa Pelaksana audit swasta terakreditasi sudah terdaftar di BRIN, demikian pula auditor yang akan melaksanakan audit. Setelah diverifikasi, maka akan diberikan maksimal 5 user ID dan pasword nya.

23.    Apa saja peran dan tugas Auditee selama proses audit ?
Jawab :
Tugas Auditee adalah menjawab setiap pertanyaan dari auditor dan mengunggah bukti dokumen pendukung. Peran auditee adalah sebagai penanggung jawab atau pemilik objek audit (aplikasi atau infrastruktur) dan ditetapkan oleh instansinya sebagai auditee.

24.    Apa saja kriteria penilaian domain manajemen dalam audit aplikasi SPBE ?
Jawab :
Kriteria penilaian domain manajemen adalah nilai kapabilitas, dengan nilai 0,1,2 atau 3. 0. Apabila tidak dijalankan, 1. Dijalankan atas inisiatif perseorangan, bukan inisiatif institusi, 2. Dijalankan, dengan bukti adanya penetapan berupa kebijakan pimpinan instansi, dan kebijakannya belum mengacu pada pedoman manajemen SPBE yang sdh ditetapkan, 3. Ditetapkan dan ada bukti kegiatan sesuai pedoman manajemen yang wajib diacu oleh IPPD.

Untuk aplikasi umum ditambahkan kriteria penilaian kematangan dari infrastruktur pendukung.

25.    Bagaimana cara mengukur tingkat kematangan pada indikator penilaian di domain manajemen ?
Jawab :
Penilaian kematangan di domain manajemen mengikuti nilai kapabilitas di setiap tahapan, sesuai gambar berikut :

26.    Apakah teknik audit yang digunakan pada prosesnya dapat bersifat dinamis menyesuaikan karaktersitik manajemen instansi terkait?
Jawab :
Aplikasi umum tentu sangat tergantung pada proses bisnis dari instansi yang mengeluarkan apikasi umum dan telah ditetapkan oleh KemenPANRB sebagai aplikasi umum. Oleh karena itu sangat dimungkinkan adanya pertanyaan tambahan dari auditor yang menyesuaikan dengan proses bisnisnya.  Dengan demikian pertanyaan-pertanyaan yang disampaikan kepada auditee sangat dinamis sesuai perkembangan peraturan perundangan dan perkembangan teknologi.

27.    Apa saja teknologi yang harus diterapkan dalam Aplikasi Umum SPBE ?
Jawab :
Teknologi yang wajib diterapkan pada aplikasi umum pada proses pengembangan adalah sebagai berikut :
1.    Pambangunan dan pengembangan Aplikasi Umum dilakukan dengan mengutamakan penggunaan teknologi berbasis kode sumber terbuka (open source) sehingga bebas dipelajari, digunakan, dan dikembangkan lebih lanjut sesuai kabutuhan.
2.    Koda sumber dan dokumentasi Aplikasi Umum harus terjaga keterkiniannya dan keterlacakannya malalui tata kelola dengan didaftarkan dan disimpan pada repositori Aplikasi SPBE.
3.    Aplikasi Umum memanfaatkan teknologi yang sudah teruji, baik oleh pengembangnya maupun olah instansi yang akan menggunakannya, bardasarkan persyaratan, acuan, dan standar yang tersedia untuk pemanfaatan teknologi itu sehingga terjamin keandalan, keamanan dan keberlangsungannya.
4.    Aplikasi Umum dan aplikasi pendukungnya tidak memiliki syarat lisensi atau ketentuan kontrak yang membatasi penggunaan dalam bentuk batas jumlah pengguna, perangkat, waktu, area geografis, klasifikasi/jenis pemakai, jenis penggunaan, dll.
5.    Komponen-komponen pendukung (komunikasi antar-modul, pengolahan data, penempatan, enkripsi, alat monitoring kinerja, sistem pencatatan gangguan) untuk keperluan parancangan, pengembangan, pengujian, penerapan dan perawatan Aplikasi Umum mengutamakan penggunaan teknologi terbuka.
6.    Dalam hal pembangunan dan implementasi Aplikasi Umum yang merupakan kelanjutan dari aplikasi yang sudah digunakan sebelumnya, maka perlu diterapkan manajemen perubahan agar semua pihak terkait dapat melakukan penyesuaian dalam rangka memastikan keberlangsungan proses bisnis.
7.    Pembangunan dan pengembangan Aplikasi Umum harus menjalankan mekanisme pengujian kualitas (uji fungsi, uji integrasi, uji beban, dan uji keamanan) sebelum Aplikasi Umum (atau perubahannya) diimplementasikan.
8.    Dalam hal pekerjaan pembangunan Aplikasi Umum dilakukan sebagian atau secara keseluruhan oleh pihak ketiga, harus dipastikan adanya kontrak kerja berisi perjanjian yang memastikan terjaganya keamanan data, serah terima seluruh dokumentasi secara lengkap dan dilaksanakannya transfer teknologi sebagaimena tercantum dalam kontrak kerja.

28.    Setiap aplikasi umum yang telah dilakukan audit dan telah dipergunakan oleh publik, dan di kemudian hari dilakukan penambahan fitur/fungsi, apakah wajib dilakukan audit terlebih dahulu sebelum direlease ?
Jawab :
Audit aplikasi umum dapat dilakukan setiap saat baik sebelum dipakai atau setelah dipakai, dan seterusnya dilakukan audit setiap tahun agar perubahan dan perbaikan dapat diketahui dan apakah sudah dilakukan perbaikan terhadap temuan audit sebelumnya, dan apakah perbaikan tersebut sesuai rekomendasi atau tidak.

29.    Dalam kegiatan audit terdapat pengujian, apa yang dilakukan dalam proses pengujian dan apa saja oyek yang diuji ?
Jawab :
Dalam audit tidak lakukan pengujian baik pada aplikasi dan infrastruktur, namun bukti-bukti pengujian aplikasi pada saat pengembangan wajib diserahkan kepada auditor dan diperiksa oleh auditor apakah hasil pengujiannya sudah sesuai dan tepat sasaran sesuai panduan pengujian.

30.    Jika dokumen tidak lengkap, apakah dapat mengganggu pelaksanaan audit ?
Jawab :
Jika tidak lengkap tentu akan mempengaruhi hasil audit berupa temuan, namun tidak mengganggu pelaksanaan audit, karena audit ada jangka waktunya dan disepakati oleh auditor dan auditee, demikian juga dokumen-dokumen yang harus diserahkan oleh auditee sudah dijelaskan dalam manual audit atau audit plan.

31.    Apakah Auditor memiliki hak untuk mengakses source code (kode sumber) ataupun perangkat pendukung aplikasi umum dalam rangka pelaksanaan audit ?
Jawab :
Dalam audit aplikasi, source code wajib dapat diakses oleh auditor.

32.    Berapa besar kapasitas setiap file yang dibolehkan untuk dikirim melalui aplikasi audit ?
Jawab :
Maksimal 8 Mb untuk satu dokumen yang diupload.

33.    Bagaimana pemetaan pertanyaan terhadap Domain, tahapan dan aktifitas audit?