Panduan Auditor
Memvalidasi jawaban asesmen, memeriksa bukti pendukung, mengisi keterangan validasi, dan meneruskan atau menolak ke tahap berikutnya
Untuk siapa panduan ini? Panduan ini ditujukan untuk pengguna dengan peran Auditor — yaitu orang yang bertugas memvalidasi jawaban asesmen dan memeriksa bukti pendukung yang diunggah oleh Pihak Terasesmen (Auditee). Auditor adalah tahap pertama dalam proses validasi 3-tahap sebelum asesmen disetujui secara final.
Hanya-baca terhadap jawaban: Sebagai Auditor, Anda tidak dapat mengubah pilihan indeks kematangan yang telah diisi Auditee. Tugas Anda adalah memvalidasi kebenaran dan kecukupan jawaban serta bukti pendukung. Jika Anda menemukan jawaban yang perlu diperbaiki, gunakan aksi "Minta Revisi" atau "Tolak" agar Auditee dapat memperbaikinya sendiri.
Menu Sidebar untuk Auditor: Sebagai Auditor, menu sidebar Anda meliputi:
- Beranda — ringkasan tugas validasi dan notifikasi
- Periode Asesmen — daftar periode yang ditugaskan kepada Anda
- Isi Asesmen — melihat formulir asesmen dan progres pengisian (hanya-baca)
- Persetujuan — halaman utama untuk memvalidasi asesmen (tahap 1)
Laporan:
- Laporan Kematangan — melihat laporan tingkat kematangan keamanan siber
- Analisis Kesenjangan — melihat analisis kesenjangan dan rencana aksi korektif
Manajemen Risiko:
- Daftar Risiko — melihat daftar risiko (risk register) dan CAPA
- Analisis Risiko — melihat analisis risiko otomatis dan peta risiko (heat map)
Bantuan:
- Pusat Bantuan — buat tiket jika membutuhkan bantuan
- Panduan Pengguna — panduan penggunaan aplikasi
1. Login & Beranda Auditor
Login menggunakan email dan password yang diberikan oleh Admin Instansi Anda. Jika ini adalah login pertama kali, sistem akan meminta Anda mengganti password default dengan password baru pilihan Anda sendiri.
Setelah login, Anda akan melihat Beranda yang menampilkan:
- Banner Selamat Datang — menampilkan nama Anda, peran (Auditor) beserta deskripsi tugas, dan nama instansi serta sistem elektronik yang ditugaskan kepada Anda
- Notifikasi (jika ada) — muncul tepat di bawah banner biru, misalnya pemberitahuan asesmen yang siap divalidasi atau permintaan perbaikan dari Peninjau
- Aksi Cepat — tombol pintasan ke halaman Persetujuan, Periode Asesmen, dan fitur terkait
- Panel Analitik — ringkasan periode yang memerlukan perhatian Anda
Login pertama kali? Password default yang dikirim via email bersifat sementara. Anda wajib menggantinya dengan password baru yang kuat (minimal 12 karakter, kombinasi huruf besar-kecil, angka, dan simbol). Lihat panduan registrasi untuk detail persyaratan password.
2. Memahami Proses Validasi
Sebelum mulai memvalidasi, penting untuk memahami posisi Anda dalam alur asesmen IKAS. Proses validasi terdiri dari 3 tahap berurutan:
Setiap asesmen yang dikirim Auditee harus melewati 3 tahap validasi sebelum data terkunci secara permanen:
- Tahap 1 — Auditor (Anda): Memvalidasi kebenaran jawaban dan kecukupan bukti pendukung
- Tahap 2 — Peninjau: Melakukan validasi teknis menyeluruh berdasarkan standar NIST CSF 2.0
- Tahap 3 — Penyetuju: Memberikan persetujuan akhir; data menjadi hanya-baca
Analogi: Seperti proses persetujuan dokumen di kantor — Anda adalah pemeriksa pertama yang memastikan kelengkapan dan kebenaran, sebelum dokumen diteruskan ke atasan untuk tinjauan teknis dan persetujuan akhir.
1
Auditee Kirim
Asesmen dikirim untuk validasi
2
Auditor (Anda)
Validasi jawaban & bukti
3
Peninjau
Validasi teknis menyeluruh
4
Penyetuju
Persetujuan akhir, data terkunci
!
Minta Revisi / Tolak
Anda dapat mengembalikan ke Auditee untuk diperbaiki
3. Melihat Daftar Asesmen
Di menu "Periode Asesmen" di sidebar, Anda akan melihat daftar periode yang ditugaskan kepada Anda sebagai Auditor. Perhatikan kolom Status untuk mengetahui posisi setiap asesmen:
| Status |
Keterangan |
Aksi Anda |
| Audit |
Asesmen sudah dikirim oleh Auditee dan siap divalidasi oleh Anda. |
Klik "Validasi" |
| Ditinjau |
Asesmen sudah Anda teruskan dan sedang ditinjau oleh Peninjau. |
Menunggu |
| Persetujuan |
Asesmen sudah melewati Peninjau dan menunggu persetujuan Penyetuju. |
Menunggu |
| Disetujui |
Asesmen telah disetujui secara final. Data terkunci dan tidak dapat diubah. |
Selesai |
Fokus pada status "Audit": Asesmen dengan status Audit adalah yang memerlukan tindakan Anda. Asesmen dengan status lain sedang diproses di tahap selanjutnya atau sudah selesai.
4. Memvalidasi Asesmen
Ini adalah tugas utama Anda sebagai Auditor. Anda perlu memeriksa kebenaran jawaban dan kecukupan bukti pendukung yang diunggah Auditee.
Untuk memvalidasi asesmen yang berstatus Audit:
- Buka menu "Persetujuan" di sidebar, atau klik tombol "Validasi" di daftar periode asesmen.
- Di halaman detail, Anda dapat melihat:
- Ringkasan skor kematangan — skor total dan rata-rata per domain
- Progres pengisian — persentase kontrol yang sudah diisi oleh Auditee
- Detail asesmen — jawaban per kontrol beserta bukti pendukung
- Catatan Auditee — penjelasan tambahan yang ditulis Auditee untuk setiap kontrol
Di halaman detail asesmen, periksa setiap kontrol dengan seksama:
- Melihat semua kontrol — Setiap kontrol ditampilkan beserta indeks kematangan (1–5) yang dipilih oleh Auditee
- Memeriksa bukti pendukung — Buka dan periksa dokumen/file yang diunggah Auditee untuk setiap kontrol
- Mengisi Keterangan Validasi (Auditor) — Untuk setiap kontrol, Anda dapat menulis catatan validasi: temuan, kecukupan bukti, atau rekomendasi perbaikan
- Melihat progres per domain — Ringkasan pengisian dan skor per domain NIST CSF tersedia
Kolom "Keterangan Validasi": Kolom ini khusus untuk Anda sebagai Auditor. Gunakan untuk mencatat temuan, baik positif maupun yang perlu diperbaiki. Catatan ini akan terlihat oleh Peninjau di tahap berikutnya sehingga membantu kelancaran proses tinjauan.
Berikut checklist yang dapat Anda gunakan saat memvalidasi setiap kontrol:
- Apakah indeks kematangan sesuai dengan bukti? — Jika Auditee memilih Level 3 (Terdefinisi), pastikan ada dokumen SOP/kebijakan yang sudah disahkan sebagai bukti
- Apakah bukti pendukung lengkap? — Setiap kontrol idealnya memiliki minimal satu dokumen bukti
- Apakah kontrol N/A valid? — Jika ada kontrol yang ditandai "Tidak Relevan (N/A)", pastikan alasannya masuk akal untuk sistem elektronik yang dinilai
- Apakah catatan Auditee masuk akal? — Periksa apakah penjelasan Auditee konsisten dengan bukti dan indeks yang dipilih
- Apakah ada indikasi penilaian terlalu optimis? — Bandingkan indeks yang dipilih dengan bukti aktual
5. Mengambil Keputusan
Setelah memeriksa keseluruhan asesmen, Anda harus mengambil keputusan di halaman Persetujuan. Tersedia tiga pilihan aksi:
| Aksi |
Efek |
Notifikasi |
| Validasi & Teruskan |
Status berubah ke Ditinjau — asesmen diteruskan ke Peninjau untuk validasi teknis. |
Peninjau menerima notifikasi bahwa asesmen siap ditinjau. |
| Minta Revisi |
Status kembali ke Asesmen — dikembalikan ke Auditee untuk diperbaiki. |
Auditee menerima notifikasi dengan komentar Anda tentang apa yang perlu diperbaiki. |
| Tolak |
Status kembali ke Asesmen — dikembalikan ke Auditee dengan penolakan. |
Auditee menerima notifikasi penolakan beserta alasan. |
Selalu berikan komentar: Saat meminta revisi atau menolak asesmen, wajib tuliskan alasan yang jelas dan spesifik. Sebutkan kontrol mana yang bermasalah dan apa yang perlu diperbaiki, agar Auditee dapat langsung memahami dan menindaklanjuti tanpa kebingungan.
Contoh komentar validasi yang baik:
- "Kontrol ID.AM-1.a: Indeks dipilih Level 3, tetapi bukti yang dilampirkan hanya draft SOP (belum disahkan). Mohon lampirkan SOP yang sudah ditandatangani, atau turunkan indeks ke Level 2."
- "Kontrol PR.AC-2.b: Bukti pendukung berupa screenshot konfigurasi sudah baik dan sesuai dengan Level 4. Catatan validasi: konfigurasi firewall terkonfirmasi aktif di semua server."
- "Domain DE (Deteksi): Beberapa kontrol belum memiliki bukti pendukung. Mohon lengkapi bukti untuk kontrol DE.AE-1.a dan DE.CM-1.b sebelum diteruskan."
6. Jika Peninjau Mengembalikan Asesmen
Jika Peninjau menemukan masalah dalam validasi Anda, asesmen akan dikembalikan ke status Audit. Anda akan menerima notifikasi di Beranda.
Langkah yang perlu dilakukan:
- Baca catatan/komentar dari Peninjau di halaman Persetujuan
- Periksa kembali kontrol yang disebutkan oleh Peninjau
- Jika masalah bisa Anda selesaikan di level validasi (misalnya keterangan validasi kurang lengkap), perbaiki catatan Anda lalu teruskan kembali
- Jika masalah memerlukan perbaikan dari Auditee (misalnya bukti tidak cukup), kembalikan asesmen ke Auditee dengan catatan spesifik
Komunikasi antar tahap: Catatan yang Anda tulis di kolom Keterangan Validasi akan terlihat oleh Peninjau dan Penyetuju. Demikian juga, catatan Peninjau akan terlihat oleh Anda. Manfaatkan fitur ini untuk komunikasi yang efektif antar tahap validasi.
7. Tips untuk Auditor
- Periksa setiap kontrol secara teliti — pastikan nilai indeks kematangan sesuai dengan bukti yang diunggah
- Gunakan kolom Keterangan Validasi — catat temuan positif maupun yang perlu perbaikan untuk setiap kontrol yang Anda periksa
- Periksa kelengkapan bukti pendukung — setiap kontrol idealnya memiliki dokumen bukti yang relevan
- Perhatikan kontrol N/A — pastikan alasan "Tidak Berlaku" valid untuk sistem elektronik yang sedang dinilai
- Periksa konsistensi — pastikan indeks yang dipilih di satu kontrol tidak kontradiktif dengan kontrol terkait lainnya
- Prioritaskan domain berurutan — mulai dari domain ID (Identifikasi), lalu PR (Proteksi), DE (Deteksi), dan GH (Penanggulangan & Pemulihan)
Jangan terburu-buru: Validasi yang teliti di tahap Auditor akan mempercepat proses secara keseluruhan. Jika ada masalah yang tidak terdeteksi di tahap ini, Peninjau mungkin mengembalikan asesmen ke Anda, yang berarti proses validasi harus diulang.
8. Pusat Bantuan
Jika Anda mengalami kendala teknis atau memiliki pertanyaan seputar proses validasi, Anda dapat menggunakan Pusat Bantuan:
- Klik menu "Pusat Bantuan" di sidebar untuk membuka halaman bantuan
- Klik tombol "Buat Tiket" untuk membuat permintaan bantuan baru
- Isi judul dan deskripsi masalah secara detail — sertakan informasi kontrol/periode yang bermasalah jika relevan
- Kirim tiket — Super Admin atau Admin Instansi akan merespons
Setiap tiket memiliki status: Baru, Diproses, atau Selesai — sehingga Anda dapat melacak penanganan permintaan Anda.
9. Notifikasi di Dashboard
Sebagai Auditor, Anda akan menerima notifikasi otomatis di halaman Beranda (Dashboard)
setiap kali ada pembaruan terkait asesmen yang ditugaskan kepada Anda.
| Tipe Notifikasi |
Deskripsi |
Yang Harus Dilakukan |
| Asesmen Dikirim |
Auditee mengirimkan asesmen untuk divalidasi oleh Anda. |
Buka halaman Persetujuan untuk mulai memvalidasi. |
| Dikembalikan Peninjau |
Peninjau mengembalikan asesmen ke tahap Audit karena ditemukan masalah. |
Baca catatan Peninjau, periksa ulang, lalu tindak lanjuti. |
| Asesmen Disetujui |
Asesmen telah disetujui secara final oleh Penyetuju. |
Tidak perlu tindakan. Asesmen sudah final. |
- Notifikasi ditampilkan di bagian atas halaman Beranda dalam panel berwarna kuning.
- Setiap notifikasi menampilkan judul, komentar (jika ada), dan waktu.
- Klik tombol "Lihat Asesmen" untuk langsung menuju halaman asesmen terkait.
- Klik tombol "Tandai Dibaca" untuk menghilangkan notifikasi setelah Anda membacanya.
- Gunakan tombol "Tandai Semua Dibaca" untuk menghapus semua notifikasi sekaligus.
- Jumlah notifikasi belum dibaca juga ditampilkan sebagai badge merah pada ikon lonceng di topbar.
Penting: Pastikan Anda secara rutin memeriksa halaman Beranda untuk notifikasi baru. Notifikasi asesmen yang dikirim berarti Auditee menunggu validasi dari Anda — semakin cepat Anda merespons, semakin cepat proses asesmen selesai.
