No.

Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 1 dari 9
SOP INTERNAL AUDIT

PENGESAHAN

Disahkan oleh, Diperiksa oleh, Disiapkan oleh,

President Director (MR) Technology Direktor (CISO) Document Control

Donny Swandono Wahyu Hidayat Bunga Ayu Lestari

 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 2 dari 9
SOP INTERNAL AUDIT

RIWAYAT PERUBAHAN DOKUMEN

NO.
NO. TANGGAL HALAMAN BAGIAN YANG DIREVISI
REVISI
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 3 dari 9
SOP INTERNAL AUDIT

I. TUJUAN
Untuk memastikan agar sistem manajemen keamanan informasi ISO
27001:2013 di PT. Etobee Ecom Indonesia telah diterapkan secara efektif,
konsisten, dan dapat terus-menerus ditingkatkan efektifitasnya.

II. RUANG LINGKUP

Prosedur ini digunakan sebagai acuan dalam melakukan audit internal Sistem
Manajemen Keamanan Informasi di PT. Etobee Ecom Indonesia yang
mencakup kegiatan perencanaan, pelaksanaan, pelaporan audit internal dan
tindakan perbaikan atas ketidaksesuaian yang ditemukan.

III. REFERENSI
3.1. ISO 27001 : 2013 Klausul 9.2 Internal Audit
3.2. ISO 27001 : 2013 Klausul 12.7 Pertimbangan Audit Sistem Informasi

IV. DEFINISI

4.1. Audit Internal : Suatu kegiatan atau pemeriksaan yang sistematis,

terencana, periodik, dan independen untuk menetapkan atau melakukan
verifikasi apakah implementasi Sistem Manajemen Keamanan Informasi
telah memenuhi dan konsisten terhadap persyaratan ISO 27001:2013
yang ditetapkan.
4.2. Audit Plan / Program Audit : Perencanaan kegiatan audit yang
mencakup ruang lingkup audit, metode, kriteria/jenis audit, jadwal
tahunan audit, dan dokumen acuan audit.
4.3. Auditor : Personel yang ditunjuk CEO untuk melaksanakan audit internal
SMKI ISO 27001:2013.
4.4. Auditee : Personel atau unit kerja yang diperiksa / diaudit.
4.5. Lead Auditor : Personel yang mengkoordinasi tim auditor atau menjadi
ketua tim auditor.
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 4 dari 9
SOP INTERNAL AUDIT

4.6. Temuan Major : Temuan ketidaksesuaian dari hasil audit keamanan

Informasi internal yang signifikan atas pasal persyaratan keamanan
informasi atau beberapa temuan minor yang sistemik.
4.7. Temuan Minor : Temuan ketidaksesuaian dari hasil audit keamanan
informasi internal yang tidak berdampak sistemik.
4.8. Rekomendasi : Saran-saran yang perlu dipertimbangkan sebagai hasil
proses audit, yang belum dapat dikategorikan sebagai temuan
ketidaksesuaian, namun apabila tidak diperhatikan akan berpotensi
menjadi ketidaksesuaian di kemudian hari.

V. KETENTUAN UMUM
5.1. President Director (MR), dengan dibantu Deputy MR, bertanggung jawab
untuk membuat program audit internal. Hasil audit tersebut kemudian
disimpan oleh Document Control.
5.2. Lead Auditor (yaitu Deputy MR) bertanggung jawab dalam
mengkoordinasi pelaksanaan audit, membuat jadwal dan membuat
laporan pelaksanaan ke President Director.
5.3. Perencanaan audit internal untuk proses kritis harus dibuat tidak
mengganggu dan tidak membahayakan operasional dan keamanan
sistem informasi.
5.4. Auditor bertanggung jawab untuk melaksanakan audit internal, kemudian
membuat PTKA (Permintaan Tindakan Koreksi Audit) jika ada temuan
ketidaksesuaian dan melakukan tindak lanjutnya. PTKA tersebut dibuat
menggunakan Form Permintaan Tindakan Koreksi Audit.
5.5. Auditee bertanggung jawab memberikan data yang ditanyakan oleh
auditor secara terbuka.

5.5.1 Perencanaan Audit

 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 5 dari 9
SOP INTERNAL AUDIT

5.5.3.1. Audit Keamanan Informasi internal dilaksanakan minimal

satu kali dalam satu tahun di setiap divisi.
5.5.3.2. President Director, dengan dibantu Deputy MR, membuat
jadwal dan program audit setahun dengan menggunakan
Form Jadwal Tahunan Audit Internal.
5.5.3.3. Program Audit (jadwal tahunan audit internal) disusun
menurut tingkat kepentingannya, yaitu :
a. Frekuensi per periode
b. Banyaknya aktivitas
c. Jumlah temuan, atau ada tidaknya temuan major
d. Pertimbangan President Director atau CEO
e. Proses Kritis dan Proses Inti pada perusahaan
5.5.3.4. Bila terjadi ketidaksesuaian major atau ketidaksesuaian
minor yang berulang, President Director dapat
menjadwalkan audit khusus di luar audit internal yang
direncanakan / diprogramkan.
5.5.3.5. CEO membuat SK Pengangkatan Tim Auditor Internal
5.5.3.6. Lead Auditor memastikan seluruh auditor yang ditunjuk
siap dan kompeten. Kompetensi auditor ditunjukkan
dengan sertifikat pelatihan sebagai auditor. Semua
auditor (dan data pelatihannya) dicatat dalam Form
Daftar Auditor Internal.
5.5.3.7. Lead Auditor menyusun jadwal detail hari, tanggal, dan
bulan pelaksanaan audit internal sebelum pelaksanaan,
dengan menggunakan Form Jadwal Detail Audit
Internal. Jadwal Audit Internal minimal memberikan
informasi tentang tanggal, bulan, jam, auditor, auditee,
dan area yang diaudit.
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 6 dari 9
SOP INTERNAL AUDIT

5.5.3.8. Audit internal di luar jadwal dapat dilakukan, bila

diperlukan.
5.5.3.9. Lead Auditor mendistribusikan jadwal ke seluruh auditee
5.5.3.10. Lead Auditor melakukan pengecekan persiapan audit
berupa :
 Persiapan anggota audit internal
 Persiapan sumber daya lain yang dibutuhkan,
termasuk pelatihan auditor internal yang belum
memiliki kompetensi.
5.5.3.11. Auditor membuat checklist untuk area yang diaudit
dengan menggunakan Form Checklist Audit Internal.
5.5.3.12. Auditor tidak boleh mengaudit pada bagiannya sendiri.
Auditor melaksanakan audit internal sesuai dengan
jadwal yang sudah ditetapkan.

5.5.2 Pelaksanaan Audit

5.5.2.1 Pelaksanaan audit dimulai dengan opening meeting.
5.5.2.2 Jika ada temuan, Auditor harus mengkonfirmasikan
termuan kepada auditee.
5.5.2.3 Semua temuan audit harus disertai dengan bukti
obyektif.
5.5.2.4 Auditor menetapkan klasifikasi temuan (Major, Minor,
atau Rekomendasi) serta pasal-pasal persyaratan ISO
27001:2013 yang dilanggar. Hasil temuan tersebut ditulis
pada PTKA.
5.5.2.5 Jika ada temuan, maka harus dilakukan kesepakatan
batas waktu penyelesaiannya.
5.5.2.6 Tim Auditor melakukan kajian atas seluruh hasil temuan
audit internal, dengan dipimpin oleh Lead Auditor.
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 7 dari 9
SOP INTERNAL AUDIT

5.5.2.7 Pada akhir dari pelaksanaan audit internal, dilakukan

closing meeting.

5.5.3 Pelaporan Audit

5.5.3.1. Hasil temuan Audit Internal didistribusikan kepada
auditee, dengan menggunakan Form Permintaan
Tindakan Koreksi Audit.
5.5.3.2. Auditee bertanggung jawab untuk melakukan tindakan
perbaikan.
5.5.3.3. Lead Auditor merangkum hasil temuan pada Form
Laporan Audit Internal dan dilaporkan kepada
President Director.

5.5.4 Tindak Lanjut Audit

5.5.4.1. Auditor melakukan verifikasi hasil audit sesuai dengan
jangka waktu yang telah disepakati.
5.5.4.2. Jika sudah dilakukan perbaikan terhadap temuan, maka
PTKA akan di-close.
5.5.4.3. Jika dalam batas waktu yang ditentukan pada PTKA
tersebut belum ada perbaikan, maka Auditor akan
menerbitkan PTKA baru.
5.5.4.4. Jika sudah diterbitkan 3x PTKA, namun belum dilakukan
perbaikan, maka Auditor akan melaporkannya pada
CEO, melalui Lead Auditor dan President Director.
5.5.4.5. Hasil verifikasi direkap oleh Lead Auditor (menggunakan
Form Status Temuan Audit Internal) dan dilaporkan ke
President Director untuk didokumentasikan dan dijadikan
sebagai bahan Tinjauan Manajemen selanjutnya
(dibahas dalam SOP Tinjauan Manajemen).
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 8 dari 9
SOP INTERNAL AUDIT

5.5.5 Kaji Ulang Sistem Audit

President Director (dibantu oleh Deputy MR) bertanggung jawab
mengevaluasi keefektifan sistem audit internal paling sedikit sekali
dalam setahun dan mengadakan penyempumaan pelaksanaan
audit.

5.5.6 Informasi Terdokumentasi

5.5.6.1. Semua Informasi terdokumentasi dari Audit Internal
disimpan dan dijaga sesuai dengan SOP Pengendalian
Dokumen dan Rekaman, untuk digunakan dalam
pelaksanaan Tinjauan Manajemen (dibahas dalam SOP
Tinjauan Manajemen).
5.5.6.2. President Director (MR) bertanggung jawab menyimpan
informasi terdokumentasi, dengan dibantu oleh
Document Control.

VI. DOKUMEN TERKAIT

6.1. Manual SMKI
6.2. Kebijakan Kontrol Pengendalian Kemanan Informasi
6.3. SK Pengangkatan Tim Auditor Internal
6.4. SOP Tinjauan Manajemen
6.5. SOP Pengendalian Dokumen dan Rekaman

VII. FORM YANG DIGUNAKAN

7.1. Daftar Auditor Internal
7.2. Permintaan Tindakan Koreksi Audit
7.3. Jadwal Tahunan Audit Internal
7.4. Jadwal Detail Audit Internal
 No. Dokumen :

Revisi : 00 ( 1 Juli 2019 )

Klasifikasi : INTERNAL

Halaman : 9 dari 9
SOP INTERNAL AUDIT

7.5. Checklist Audit Internal

7.6. Laporan Audit Internal
7.7. Status Temuan Audit Internal

VIII. UNIT KERJA TERKAIT

8.1. MR
8.2. Deputy MR & Internal Audit
8.3. Document Control & Communication
8.4. CISO (Divisi IT)
8.5. Head of Product & Project Management