Penerapan Manajemen Keamanan Informasi bagi Organisasi membahas tahapan penerapan sistem manajemen keamanan informasi sesuai dengan standar ISO 27001. Tahapan tersebut meliputi perencanaan implementasi, analisis kesiapan, manajemen risiko, penyusunan dokumen, implementasi kontrol, pemantauan, dan tinjauan manajemen."
Accounting Information System CHAPTER 7 ,PENGENDALIAN DAN SISTEM INFORMASI AK...Belinda Isamar
- Pengendalian
- Pengendalian INTERNAL
- KLASIFIKASI PENGENDALIAN INTERNAL
- FUNGSI PENGENDALIAN INTERNAL
- TIGA KERANGKA PENGENDALIAN
- COBIT(Control Objective for Information and Related Technology)
- Dll..
SI-PI, PASHA PINTOKITTA MADOGUCCI, HAPZI ALI, COSO dan COBIT, UNIVERSITAS MER...Pasha Madogucci
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.
Accounting Information System CHAPTER 7 ,PENGENDALIAN DAN SISTEM INFORMASI AK...Belinda Isamar
- Pengendalian
- Pengendalian INTERNAL
- KLASIFIKASI PENGENDALIAN INTERNAL
- FUNGSI PENGENDALIAN INTERNAL
- TIGA KERANGKA PENGENDALIAN
- COBIT(Control Objective for Information and Related Technology)
- Dll..
SI-PI, PASHA PINTOKITTA MADOGUCCI, HAPZI ALI, COSO dan COBIT, UNIVERSITAS MER...Pasha Madogucci
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.
Implementasi dan jenis sistem informasi dalam sebuah perusahaan yaitu PT indofood serta analisis kelemahan dan kelebihan pada sistemn informasi tersebut. dan juga jenis - jenis sistem informasi yang sering digunakan di perusahaan manufaktur dan jasa.
Disampaikan dalam Drum-up Laboratorium Inovasi Kabupaten Sorong, 27 Mei 2024
Dr. Tri Widodo W. Utomo, S.H., MA.
Deputi Kajian Kebijakan dan Inovasi Administrasi Negara LAN-RI
Disampaikan pada PKN Tingkat II Angkatan IV-2024 BPSDM Provinsi Jawa Tengah dengan Tema “Transformasi Tata Kelola Pelayanan Publik untuk Mewujudkan Perekonomian Tangguh, Berdayasaing, dan Berkelanjutan”
Dr. Tri Widodo Wahyu Utomo, S.H., MA
Deputi Kajian Kebijakan dan Inovasi Administrasi Negara LAN RI
Survei Kesehatan Indonesia (SKI) Tahun 2023Muh Saleh
Survei Kesehatan Indonesia (SKI) 2023 merupakan survei yang mengintegrasikan Riset Kesehatan Dasar (Riskesdas) dan Survei Status Gizi Balita Indonesia (SSGI). SKI 2023 dikerjakan untuk menilai capaian hasil pembangunan kesehatan yang dilakukan pada kurun waktu lima tahun terakhir di Indonesia, dan juga untuk mengukur tren status gizi balita setiap tahun (2019-2024). Data yang dihasilkan dapat merepresentasikan status kesehatan tingkat Nasional sampai dengan tingkat Kabupaten/Kota.
Ketersediaan data dan informasi terkait capaian hasil pembangunan kesehatan penting bagi Kementerian Kesehatan, Pemerintah Provinsi dan Kabupaten/Kota sebagai bahan penyusunan kebijakan, program dan kegiatan pembangunan yang lebih terarah dan tepat sasaran berbasis bukti termasuk pengembangan Rencana Pembangunan Kesehatan Jangka Menengah Nasional (RPJMN 2024-2029) oleh Kementerian PPN/Bappenas. Dalam upaya penyediaan data yang valid dan akurat tersebut, Badan Kebijakan Pembangunan Kesehatan (BKPK) bekerjasama dengan Badan Pusat Statistik (BPS) dalam penyusunan metode dan kerangka sampel SKI 2023, serta bersama dengan Lintas Program di Kementerian Kesehatan, World Health Organization (WHO) dan World Bank dalam pengembangan instrumen, pedoman hingga pelaporan survei.
PETUNJUK TEKNIS INTEGRASI PELAYANAN KESEHATAN PRIMER
Kementerian Kesehatan menggulirkan transformasi sistem kesehatan.
Terdapat 6 pilar transformasi sistem kesehatan sebagai penopang kesehatan
Indonesia yaitu: 1) Transformasi pelayanan kesehatan primer; 2) Transformasi
pelayanan kesehatan rujukan; 3) Transformasi sistem ketahanan kesehatan;
4) Transformasi sistem pembiayaan kesehatan; 5) Transformasi SDM
kesehatan; dan 6) Transformasi teknologi kesehatan.
Transformasi pelayanan kesehatan primer dilaksanakan melalui edukasi
penduduk, pencegahan primer, pencegahan sekunder dan peningkatan
kapasitas serta kapabilitas pelayanan kesehatan primer. Pilar prioritas
pertama ini bertujuan menata kembali pelayanan kesehatan primer yang ada,
sehingga mampu melayani seluruh penduduk Indonesia dengan pelayanan
kesehatan yang lengkap dan berkualitas.
Penataan struktur layanan kesehatan primer tersebut membutuhkan
pendekatan baru yang berorientasi pada kebutuhan layanan di setiap
siklus kehidupan yang diberikan secara komprehensif dan terintegrasi
antar tingkatan fasilitas pelayanan kesehatan. Pendekatan baru ini disebut
sebagai Integrasi Pelayanan Kesehatan Primer, melibatkan Puskesmas, unit
pelayanan kesehatan di desa/kelurahan yang disebut juga sebagai Puskesmas
Pembantu dan Posyandu. Selanjutnya juga akan melibatkan seluruh fasilitas
pelayanan kesehatan primer.
2. Overview Singkat SNI ISO 27001:2013
Bagaimana ?
Perlindungan terhadap informasi
Proses Manajemen Risiko
Kepastian atas dokumentasi
Evaluasi kinerja kontrol
Perbaikan berkelanjutan
4. Fokus Sistem Keamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi
7. Persiapan Implementasi
Perencanaan
Pelaksanaan
Evaluasi dan
pengawasan
• Adanya kemauan
dari pimpinan
• Pahami kerbutuhan
persyaratan
regulasi
• Merencanakan
rencana program
• Rencanakan
kebutuhan sumber
daya
• Susun mekanisme
komunikasi dengan
pihak terkait
• Mulai menerapkan
program yang telah
direncanakan
• Komitmen dalam
dukungan pada
proyek terkait
dengan penyediaan
sumber daya
• Penerapan kontrol
keamanan
• Memonitor status
implementasi
• Mengevaluasi
efektifitas proses
dan kontrol
• Melakukan audit
terhadap
implementasi
• Laporan progress
kepada manajemen
• Mengidentifikasi
tindakan perbaikan
8. Tahap Awal – Komitmen
Kepemimpinan dan komitmen ditunjukkan dengan:
a. Memastikan adanya tujuan keamanan informasi yang selaras dengan arahan
strategis organisasi;
b. Memastikan integrasi prasyarat SMPI dengan proses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang dibutuhkan SMPI;
e. Mendorong perbaikan yang berkesinambungan;
f. Mendukung peran manajemen untuk menunjukkan kepemimpinannya, terkait
keamanan informasi, pada area tanggung jawabnya masing-masing.
Peran yang penting dalam kepemimpinan
Top Management
Koordinator SMKI
Tim implementasi SMKI
Pegawai
9. Tahap Awal – Project Plan
Rencana Proyek
bertujuan agar
terlaksananya
persyaratan dalam
standard dan
sesuai dengan
target waktu yang
telah ditetapkan
Melakukan penilaian kondisi aktual pengamanan informasi
a. Review kondisi pengamanan informasi
b. Melakukan inventarisasi aset TI
Menerapkan proses Information Risk Management sebagai persiapan implementasi ISO
27001:2005
a. Melakukan risk assessment
b. Menyusun Rencana Penanganan Risiko
c. Menyusun Statement of Applicability
Menyusun dokumen SMPI (Kebijakan, SOP, Pedoman) dan membantu implementasi SMPI
berdasarkan SNI ISO 27001:2013
a. Menyusun draft SOP yang dibutuhkan
dalam implementasi SMPI
b. Melakukan sosialisasi dan implementasi
SMPI
c. Pengukuran efektifitas kontrol SMPI
Melaksanakan proses internal audit ISO 27001:2013 dan Manajemen Review
a. Pelaksanaan Internal Audit dan rencana
tindak lanjut
b. Melaksanakan rapat tinjauan manajemen
10. Tahap Awal – Struktur Organisasi
Struktur SMPIakan membantu dalam proses implementasi dalam rangka memonitor dan
mensupervisi proses pelaksanaan kontrol keamanan informasi.
• Koordinator SMPI
• Membuat program kerja
pelaksanaan SMPI dan
mengevakuasi pelaksanaanya.
• Memantau implementasi SMPI
dengan berkoordinasi dengan
seluruh fungsi terkait.
• melakukan konsolidasi internal
untuk implementasi prosedur
secara konsisten.
• Mengkoordinasikan pelaksanaan
Manajemen Resiko.
• Mengkoordinasikan pengukuran
efektivitas kontrol implementasi
SMPI.
• Melaporkan secara periodik
mengenai pelaksanaan ISO
kepada Top Manajemen
• Officer SMPI
• Melakukan pengkinian dan
monitoring secara rutin terhadap
status risiko organisasi.
• Melakukan supervisi dan
monitoring pelaksanaan SMPI
dimasing-masing fungsi.
• Melaksanakan program
awareness untuk personil unit.
• Memantau pengukuran
efektivitas kontrol implementasi
SMPI.
• Pengendali dokumen
• Mengadministrasikan dokumen
kebijakan dan prosedur SMPI
• Mengawasi penomoran dan
sirkulasi dokumen.
11. I. Fase PLAN – Analisa Kesiapan
Tujuan:
untuk mengetahui kondisi implementasi dan operasional SMPI saat ini sebagai bagian dari
rencana implementasi berikutnya.
CONTOH KELUARAN DARI GAP :
Sesuai
(Conform)
Belum SepenuhnyaSesuai
(PartiallyConform)
TidakSesuai
(Not Conform)
TidakDiterapkan
(Not Applicable)
Total
Klausul(Proses) 14 12 0 0 26
Annex A (Kontrol) 62 35 0 17 114
76 47 0 17 140
HasilPenilaian AnalisaKesenjangan (Gap Assessment)
Referensi
12. I. Fase PLAN – Manajemen Risiko
Metodologi
Manajemen
Risiko
Menetapkan
kriteria Risiko
Menetapkan
batas ambang
nilai risiko
Menyusun profil
risk (analisa,
evaluasi,
rencana
mitigasi)
Melaksanakan
mitigasi risiko
Mengevaluasi
residu risiko
Metodologi Kriteria Risiko
Kriteria Dampak
Kriteria
Kecenderungan
13. I. Fase PLAN – Manajemen Risiko
KRITERIA PENILAIAN RISIKO
Risiko yang dinyatakan langsung
dapat diterima adalah risiko
dengan tingkat Rendah.
Risiko dengan tingkat Moderat,
Tinggi dan Ekstrem
harus diberikan Rencana Mitigasi
Risiko untuk menurunkan Nilai
Risiko ke tingkat yang dapat
diterima
14. Fisik PC PC menjadi rusak
Pemeliharaan dilakukan tidak
proporsional (dilakukan oleh personil yang
kurang kompeten)
Proses operasional IT (pengembangan, monitoring,
dll) mengalami penundaan
Fisik PC
PC rentan terhadap serangan
malicious dan mobile code
Tidak dilakukan scan antivirus
Proses operasional IT (pengembangan, monitoring,
dll) terhambat
Aplikasi Aplikasi kritikal
Aplikasi rusak karena bencana
alam
Lemahnya mekanisme dan pelaksanaan
BCP (Business Process Continuity)
Tidak dapat dilakukan recovery aplikasi sehingga
menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritas
Pekerjaan divisi IT terkait aplikasi terhambat
(pengembangan dan pemeliharaan program)
Software Database Software failure
Pemeliharaan software tidak terlaksana
dengan baik (update, patch management)
Software atau file database tidak dapat digunakan
Software Database Software failure Software tidak berlisensi secara legal
Software atau file database tidak dapat digunakan
atau diakses
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerja
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif pada kelangsungan bisnis
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik terhadap
lemari penyimpanan Informasi dan ruang
arsip
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif padakelangsungan bisnis
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Lemahnya mekanisme penerimaan
personil pegawai
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Kemampuan dan skill yang dimiliki kurang
untuk suatu pekerjaan
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Pemeliharaan aset tidak dilakukan
dengan baik
Resiko kehilangan data pada saat kegagalan
elektrik
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Tidak adanya / lemahnya mekanisme
pelaporan insiden pengamanan
informasi
Resiko kehilangan data pada saat kegagalan
elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
I. Fase PLAN – Manajemen Risiko
15. I. Fase PLAN – Penyusunan Dokumen
Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan,
disetujui oleh manajemen, dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak eksternal yang relevan.
Konten:
• WHAT, WHEN, WHO, WHY,
WHERE
• SHOULD
REFERENSI TERBAIK :
• SNI ISO 27001:2013
• ISO 27002:2013
16. I. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamanan
informasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalam
ISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC
27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
Terdiri dari Control Objectives and
Controls
Menjelaskan 14 domain yang
terbagi dalam 114 kontrol
pengamanan informasi yang
dapat diimplementasikan oleh
organisasi.
17. I. PLAN – Dokumentasi SMKI
• Dokumen Prosedur SMPI yang harus dipenuhi*
- Prosedur Pengendalian Dokumentasi
- Prosedur Internal Audit]
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan Korektif.
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Pengamanan Informasi pada Personil;
- Prosedur Manajemen Perubahan;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.
18. II. DO – Implementasi
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A)
dan pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi
Risiko residual
4 Progress Review.
• Bukti Dokumentasi yang harus dipenuhi* antara lain:
- Rencana Mitigasi Risiko
- Laporan Risk assessment
- Log training dan rencana training
- Hasil Monitoring dan pengukuran control
- Program dan hasil Internal audit
- Hasil management review
- Hasil tindakan perbaikan
- Definisi Tugas dan kewenangan terkait operasional
system dan SMPI
- Inventaris aset
- Review hak akses sistem
- Log manajemen perubahan
- Laporan monitoring majamenen kapasitas
- Review log system
- Laporan analisa review terhadap infrastruktur
- SLA vendot
- Log laporan insiden
- Hasil pengujian BCP
19. Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga
20. III. CHECK
Pemantauan,
pengukuran,
dan evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan
pengukuran;
Internal
Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
Tinjauan
Manajemen
•9 Input Agenda
•Terdokumentasi sebagai bagian
peningkatan perbaikan
21. III. CHECK – Metriks pengukuran
No Area dan Sasaran Kebutuhan Sumber Daya Tindakan Yang Diperlukan Target Pencapaian Langkah Evaluasi
1
Kesaradaan
Awareness personil yang memadai terkait
pengamanan informasi dan menerapkannya
pada kegiatan operasional
- Rencana Program Awareness
- Materi Sosialisasi Awareness
Keamanan Informasi
- Menyusun materi sosialiasi peraturan kebijakan
SMKI dan awareness terkait keamanan informasi
- Melaksanakan sosialisasi dan awareness keamanan
informasi secara berkala
Tidak terjadi kejadian akibat
kesalahan prosedur dan
pelanggaran kebijakan
Formulasi:
Jumlah temuan terkait Sosialisasi &
Awareness
Periode pengukuran:
1 kali setahun
2
Pengelolaan Aset
Memastikan kesesuaian dan keakuratan
pencatatan / inventarisasi aset
Register Aset
- Melakukan pencatatan inventarisasi aset.
- Melakukan peninjauan berkala terhadap status
aset.
Nol temuan audit yang terkait
dengan kelengkapan dan
keakuratan inventarisasi aset
Formulasi:
Jumlah temuan terkait pengelolaan
aset
Periode pengukuran:
1 kali setahun
3
Peninjauan Operasional Sistem dan
Infrastruktur
Memastikan terlaksananya proses
peninjauan (review) terhadap aktivitas
operasional sistem dan infrastruktur
Dokumentasi Review terkait
Infrastruktur
Melaksanakan review berkala :
- Hak Akses;
- Log Event;
- Log Firewall
- Log Anti Virus
- Log Backup.
100% konsisten dalam pelaksanaan
proses peninjauan (review)
terhadap operasional sistem dan
infrastruktur
Formulasi:
Jumlah temuan terkait proses
peninjauan (review)
Periode pengukuran:
1 kali setahun
4
Kerahasiaan
Perlindungan data/informasi rahasia dan
data/informasi pemangku kepentingan
(stakeholders)
Label Cap Klasifikasi
Informasi
Melakukan identifikasi dan pelabelan terhadap
informasi yang diklasifikasikan rahasia
Nol insiden / temuan audit yang
dapat menyebabkan
pengungkapan data rahasia dan
data milik pemangku kepentingan
(stakeholders)
Formulasi:
Lemari yang dapat dikunci
Jumlah Insiden terkait penanganan
informasi rahasia
Periode pengukuran:
1 kali setahun
5
Integritas
Integritas dari data dan pemangku
kepentingan (stakeholders)
Sampel Data
- Admin sistem memeriksa kelengkapan data pada
sistem yang dikelola
- Memastikan tingkat akses kepada informasi
berdasarkan kewenangan
- Pengujian Restore data Backup
Nol insiden / temuan audit yang
menyebabkan data dan pemangku
kepentingan (stakeholders) menjadi
rusak keutuhannya dan tidak dapat
dipulihkan.
Formulasi:
Jumlah Temuan Insiden terkait
kerusakan keutuhan data dan/atau
Kegagalan Pengujian Restore.
Periode pengukuran:
1 kali setahun
6
Ketersediaan
Ketersediaan dari sistem informasi dan data
serta fasilitas layanan
Prosedur Perencanaan dan
Penerimaan Sistem
Melakukan perencanaan kapasitas
Kapasitas Sistem / Server tidak
melebihi Threshold :
Formulasi:
Dokumen Perencanaan
Kapasitas Sistem
Pemantauan kapasitas server secara berkala
Status Kapasitas Sistem tidak
melebihi Threshold
Laporan Pemantauan
Kapasitas Sistem
Penerapan pengelolaan perubahan (change
management) terkait dengan perubahan sistem
CPU < 95%
RAM < 95%
Periode pengukuran:
Storage < 95% Setiap 6 bulan
24. INTERNAL AUDIT
IMPLEMENTASI
DOKUMEN SMKI
• Metodologi yang tidak
tepat terkait definisi
kriteria risiko
• Proses reporting risiko
tidak sampai ke top
management
• Risiko tidak
merepresentasikan
kondisi kontrol/proses
yang ada.
• Pelaksanaan kontrol
mitigasi tidak
mempertimbangkan
aspek biaya dan
manfaat bagi bisnis
MANAJEMEN RISIKO
• Kebijakan dibuat terlalu
ideal (tidak sesuai
kondisi / budaya
organisasi)
• Alur proses terlalu
rumit.
• Keterlambatan
persetujuan pada
dokumen.
• Tidak ada sosialisasi
kepada pelaku proses
terhadap dokumen.
• Awareness tidak
menyeluruh
• Program implementasi
tidak jelas terkait
kontrol apa yang harus
dilaksanakan
• Tidak ada proses
review terhadap hasil
implementasi
• Pengukuran terhadap
implementasi kontrol
tidak jelas karena
formulasi yang kurang
sesuai dengan target
yang ingin dicapai
• Kurang dibuat checklist
• Kurangnya
Ketersediaan auditor
• Kurangnya proses
evaluasi terhadap
tindak lanjut perbaikan.