BAB 4 AUDIT SISTEM INFORMASI PENJUALAN
4.1
Rencana Audit Rencana audit yang dilakukan selama proses audit pada Sistem Informasi Penjualan PT. PERDANA BANGUN PUSAKA. Tbk adalah sebagai berikut : a. Lakukan wawancara dengan pimpinan Bagian Penjualan yang akan menjadi auditee (pihak yang akan diaudit), dan jelaskan apa saja yang menjadi objek audit. b. Lakukan pengumpulan data dan pahami permanent file perusahaan seperti data tentang latar belakang perusahaan, struktur organisasi, tugas dan wewenang masing-masing departemen, dan lain-lain. c. Lakukan pengumpulan data dan pahami tentang peraturan-peraturan dan prosedur-prosedur yang menjadi dasar dalam menggunakan Sistem Informasi Penjualan. d. Siapkan check list pemeriksaan atau kuesioner yang diberikan kepada staff IT dan User. e. Lakukan pengamatan terhadap cara kerja Sistem Informasi Penjualan yang digunakan. f. Lakukan uji coba terhadap Sistem Informasi Penjualan yang digunakan. g. Lakukan wawancara dengan bagian IT dan bagian Penjualan untuk mendapatkan informasi tentang Sistem Informasi Penjualan. h. Lakukan analisa terhadap cara kerja Sistem Informasi Penjualan. i. Lakukan analisa hasil survei secara keseluruhan. 70
71 j. Lakukan review dokumentasi terhadap Surat Pesanan yang akan diproses menjadi
Order Penjualan, Faktur Penjualan, Faktur Pajak, Retur
Penjualan, dan Laporan Penjualan Bulanan agar data yang dihasilkan terjaga kevaliditasannya. k. Lakukan identifikasi terhadap kelebihan dan kelemahan Sistem Informasi Penjualan yang digunakan. l. Siapkan hasil audit.
4.2
Pengendalian Internal Secara Umum
4.2.1
Pemahaman Terhadap Pengendalian Internal Secara Umum Untuk mendapatkan pemahaman terhadap pengendalian internal secara umum, maka dibuat kuesioner pengendalian internal secara umum (Tabel 4.1) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner.
4.2.1.1 Kuesioner Pengendalian Internal Secara Umum Tabel 4.1 Kuesioner Pengendalian Internal Secara Umum KUESIONER PENGENDALIAN INTERNAL SECARA UMUM
NO 1
PERTANYAAN Apakah terdapat struktur organisasi formal yang mencakup bagian pengolahan data?
Y √
T
KETERANGAN
72 NO 2
PERTANYAAN Apakah kedudukan bagian
Y
T
√
pengolahan data dalam struktur organisasi bersifat independent (terpisah) dari bagian yang lain? 3
Apakah fungsi-fungsi yang
√
ada di bagian pengolahan data telah ditetapkan tugas dan tanggungjawab secara jelas dan tertulis? 4
Apakah terdapat pemisahan
√
fungsi antara sistem manajer, programmer, dan operator? 5
Apakah ada standar kualifikasi
√
yang mengatur tentang keterampilan pegawai? 6
Apakah dilakukan evaluasi
√
periodik terhadap kriteria para pegawai? 7
Apakah digunakan formulir
√
benomor urut tercetak? 8
Apakah dilakukan pemeriksaan mendadak (surprised audit) tanpa pemberitahuan terlebih dahulu dengan jadwal yang tidak teratur?
√
KETERANGAN
73 NO 9
PERTANYAAN
Y
Apakah dilakukan perputaran
T
KETERANGAN
√
jabatan (job rotation) secara rutin? 10
Apakah dilakukan pencocokan
√
fisik persediaan dengan catatannya (stock opname) secara periodik? Keterangan : Y = Ya T = Tidak 4.2.1.2 Evaluasi Untuk Pengendalian Internal Secara Umum Hasil dari evaluasi pengendalian internal secara umum dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings
: Tidak adanya standar kualifikasi yang mengatur tentang keterampilan pegawai (Medium Risk)
Audit risk
: Apabila tidak ada standar kualifikasi maka kemungkinan besar pegawai yang bekerja kurang kompeten di bidangnya.
Rekomendasi
: Sebaiknya sewaktu perekrutan pegawai, bagian HRD menetapkan standar kualifikasi ketrampilan pegawai.
2. Audit findings
: Tidak dilakukannya evaluasi periodik terhadap kriteria para pegawai (Medium Risk)
74 Audit risk
: Apabila tidak dilakukan evaluasi secara periodik maka pihak perusahaan tidak akan mengetahui bagaimana kinerja para pegawainya.
Rekomendasi
: Sebaiknya pihak manajemen melakukan evaluasi terhadap kriteria pegawai secara periodik dengan tujuan untuk mengetahui bagaimana kinerja para pegawainya.
3. Audit findings
: Tidak dilakukannya pemeriksaan mendadak (surprised audit) tanpa pemberitahuan terlebih dahulu dengan jadwal yang tidak teratur (High Risk)
Audit risk
: Apabila tidak dilakukan pemeriksaan mendadak (surprised audit) maka akan mendorong pegawai untuk tidak melakukan pekerjaan/tugasnya sesuai dengan aturan yang ditetapkan dan bahkan melakukan kecurangan yang dapat merugikan perusahaan. Selain itu, tingkat kecurangan yang akan terjadi lebih tinggi, karena dengan sering dilakukannya surprised audit maka para pegawai pun akan berpikir 2 (dua) kali jika ingin melakukan kecurangan.
Rekomendasi
: Sebaiknya perusahaan selain melakukan audit secara berkala juga perlu melakukan pemeriksaan mendadak (surprised audit) untuk mengontrol kinerja pegawai dan mengecek apakah terjadi kecurangan atau tidak.
4. Audit findings
: Tidak dilakukannya perputaran jabatan (job rotation) secara rutin (Medium Risk)
75 : Apabila perusahaan tidak melakukan job rotation secara
Audit risk
rutin maka lebih mudah terjadi kecurangan karena pegawai yang bersangkutan telah benar-benar mengetahui seluk-beluk dan celah di bagiannya. Rekomendasi
: Perlu dilakukan job rotation secara rutin untuk mencegah terjadinya penyelewengan ataupun kecurangan.
5. Audit findings atas evaluasi pengendalian internal secara umum yang baik yaitu:
Dalam pengendalian internal secara umum, Perusahaan mempunyai struktur organisasi formal yang mencakup bagian pengolahan data, dimana bagian ini bersifat independent (terpisah) dari bagian yang lain. Selain itu, fungsi-fungsi yang ada di bagian pengolahan data telah ditetapkan tugas dan tanggungjawab secara jelas dan tertulis.
Perusahaan juga menetapkan pemisahan fungsi yang jelas antara sistem manajer, programmer, dan operator sehingga setiap fungsi tersebut mempunyai tanggungjawabnya masing-masing.
Dalam hal penggunaan formulir, perusahaan menggunakan formulir bernomor urut tercetak dengan tujuan untuk pengendalian internal yang baik sehingga formulir-formulir transaksi tidak dapat diselewengkan ataupun
disalahgunakan
oleh
pegawai
yang
berniat
melakukan
kecurangan.
Setiap minggu, Bagian Gudang akan melakukan pencocokan fisik persediaan dengan catatannya (stock opname). Hal ini dilakukan untuk
76 memastikan bahwa persediaan yang ada di gudang pasti sesuai dengan catatannya.
4.3
Pengendalian Boundary
4.3.1
Pemahaman Terhadap Pengendalian Boundary Untuk mendapatkan pemahaman terhadap pengendalian boundary, maka dibuat kuesioner pengendalian boundary (tabel 4.2) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar boundary yang digunakan.
4.3.1.1 Kuesioner Pengendalian Boundary Tabel 4.2 Kuesioner Pengendalian Boundary KUESIONER PENGENDALIAN BOUNDARY NO
PERTANYAAN
1
Apakah terdapat pengendalian akses terhadap sistem aplikasi
Y
√
penjualan yang digunakan ? a. Jika ya, apakah dilakukan otentifikasi atas sarana akses
√
tersebut ? b. Jika ya, dalam bentuk apakah otentifikasi tersebut? 1. Password 2. Kartu 3. Sidik jari 4. Lainnya
√
T
KETERANGAN
77 NO
PERTANYAAN
Y
c. Jika ya dalam bentuk
√
T
KETERANGAN
password apakah sistem mengharuskan pembaharuan secara berkala ? d. Jika ya, berapa lamakah
40 hari
√
pembaharuan harus dilakukan ? 2
Apakah terdapat ketentuan
√
berapa digit panjang password? 3
Apakah terdapat batas
√
pengisian password bila terjadi kesalahan ? 4
Apakah terdapat peringatan
√
(error message) bila User salah mengisi password? 5
Apakah tampilan password
√
dilayar berubah menjadi simbol ? 6
Apakah database password
√
dienkripsi ? 7
Apakah User dapat mengganti
√
password-nya sewaktu-waktu? 8
Apakah setiap karyawan memiliki password untuk akses ke dalam sistem perusahaan ?
√
78 Keterangan : Y = Ya T = Tidak 4.3.1.2 Tampilan Password
Gambar 4.1 Tampilan Password
4.3.1.3 Evaluasi Untuk Pengendalian Boundary Hasil dari evaluasi pengendalian boundary dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings Audit risk
: Database password tidak dienkripsi (Medium Risk) : Database password yang tidak dienkripsi memiliki tingkat resiko yang tinggi dan berbahaya bagi sistem karena akan lebih mudah dibobol oleh hacker.
Rekomendasi
: Sebaiknya database password dienkripsi terlebih dahulu oleh sistem sehingga hacker ataupun User yang tidak
79 bertanggungjawab tidak dapat mengetahui password dengan mudah. 2. Audit findings
: User tidak dapat mengganti password sewaktu-waktu (Low Risk)
Audit risk
: Apabila User tidak dapat mengganti password sewaktuwaktu maka akan timbul masalah seandainya ada keadaan tertentu
yang
mengharuskan
User
melakukan
pembaharuan ataupun penggantian password namun belum mencapai 40 hari. Misalnya : keadaan dimana password yang sangat penting diketahui oleh pegawai yang tidak berkepentingan sehingga harus dilakukan penggantian password karena mungkin saja pegawai tersebut mengakses data dan informasi perusahaan yang bersifat rahasia untuk kepentingan pribadinya. Rekomendasi
: Sebaiknya sistem yang dibuat harus bersifat fleksibel, selain adanya setting oleh sistem untuk pembaharuan dan penggantian password secara berkala yaitu setiap 40 hari, User
juga
dapat
melakukannya
sewaktu-waktu,
disesuaikan dengan kebutuhan dan atas otoritas dari pihak yang bertanggungjawab. 3. Audit findings
:Sistem mengharuskan/men-setting adanya pembaharuan password secara berkala yaitu setiap 40 hari sekali.
80 Audit risk
: Hal ini tidak efektif karena terlalu sering mengganti password akan menyebabkan kerahasiaan password tidak terjamin dan User bisa lupa.
Rekomendasi
: Sebaiknya password diganti setiap 12 bulan sekali.
3. Audit findings atas evaluasi pengendalian boundary yang baik yaitu:
Terdapat pengendalian akses terhadap sistem aplikasi penjualan yang digunakan dan juga dilakukan otentifikasi atas sarana akses tersebut. Bentuk otentifikasi yang digunakan adalah password.
Dalam penggunaan password, ada terdapat ketentuan mengenai digit panjang password dan batas pengisian password apabila terjadi kesalahan.
Juga terdapat peringatan (error message) apabila User salah mengisi password.
Sewaktu password diisi, tampilan password di layar akan berubah menjadi simbol.
Setiap karyawan yang berkepentingan atas sistem aplikasi penjualan akan memiliki password untuk mengaksesnya.
4.4
Pengendalian Input
4.4.1
Pemahaman Terhadap Pengendalian Input Untuk mendapatkan pemahaman terhadap pengendalian input, maka dibuat kuesioner pengendalian input (tabel 4.3) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar input yang digunakan.
81 4.4.1.1 Kuesioner Pengendalian Input Tabel 4.3 Kuesioner Pengendalian Input KUESIONER PENGENDALIAN INPUT NO 1
2
PERTANYAAN Pada waktu melakukan input
Y
T
Form Order Pesanan, nomor
√
apakah dokumen sumber
seri produk, faktur, dan lain-
dibutuhkan?
lain.
Hanya dokumen sumber yang
√
telah diotorisasi saja yang bisa di-input ke dalam komputer 3
Apakah dokumen sumber
√
(surat pesanan) dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? Jika ya, berapa lama dokumen dikumpulkan? Apakah :
4
•
Per hari
•
Per minggu
•
Per bulan
Apakah layar input mudah
√
dimengerti oleh User? 5
KETERANGAN
Apakah sistem melakukan validasi saat proses input sedang berjalan? Misal : menolak transaksi yang keliru.
√
82 NO 6
PERTANYAAN Input yang dilakukan salah,
Y √
tetapi penyimpanan data sudah dilakukan. Apakah sistem aplikasi memberikan otorisasi / menu-menu untuk meng-edit data? Jika ya, apakah data yang diedit: •
Mulai dari awal, secara keseluruhan
•
Hanya bagian yang
√
salah input 7
Apakah error message yang
√
muncul mudah dimengerti oleh User ? 8
Apakah digunakan suatu
√
bentuk pengkodean untuk mengidentifikasikan produkproduk perusahaan? 9
Apakah teknik pengkodean pada input mudah dipahami?
Keterangan : Y = Ya T = Tidak
√
T
KETERANGAN
83 4.4.1.2 Tampilan Menu 4.4.1.2.1 Pengendalian Input Pada Aplikasi Layar Utama
Gambar 4.2 Tampilan Aplikasi Layar Utama
84 4.4.1.2.2 Pengendalian Input Pada Form Order Pesanan
Gambar 4.3 Form Order Pesanan
85 4.4.1.2.3 Pengendalian Input Pada Aplikasi Order Penjualan
Gambar 4.4 Tampilan Aplikasi Order Penjualan
86
Gambar 4.5 Isi Detail (1)
Gambar 4.6 Isi Detail (2)
87
Gambar 4.7 Isi Detail (3)
4.4.1.3 Evaluasi Untuk Pengendalian Input Hasil dari evaluasi pengendalian input dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings
: Limit kredit pelanggan yang ada hanya sebatas informasi saja (Medium Risk)
Audit risk
: Pelanggan akan mempunyai limit kredit dalam jumlah yang besar karena tidak adanya batasan.
88 Rekomendasi
: Sebaiknya limit kredit pelanggan yang ada tidak hanya sebatas informasi
saja,
melainkan
benar-benar
diterapkan
untuk
menentukan valid tidaknya suatu order pesanan. 2. Audit findings atas evaluasi pengendalian input yang baik yaitu:
Pada waktu melakukan input data penjualan pegawai membutuhkan dokumen sumber seperti : form order pesanan, nomor seri produk, faktur dan lain-lain.
Dokumen sumber yang di-input ke dalam komputer hanyalah dokumen sumber yang telah diotorisasi oleh manager dan kepala admin.
Dokumen sumber di-input secara real time yaitu pada saat terjadinya transaksi. Jadi, dokumen sumber tersebut tidak perlu dikumpulkan terlebih dahulu sebelum di-input ke dalam komputer.
Sistem aplikasi memiliki layar input yang mudah dimengerti oleh User, dan juga melakukan validasi saat proses input sedang berjalan sehingga transaksi yang keliru akan ditolak dan User diminta mengisi ulang.
Sistem aplikasi akan memberikan otorisasi/menu-menu untuk meng-edit data apabila input yang dilakukan salah, namun penyimpanan data sudah dilakukan. Dan data yang di-edit hanyalah bagian yang salah input.
Selain itu, sistem aplikasi menampilkan error message yang mudah dimengerti oleh User.
Perusahaan dalam mengidentifikasi produk-produknya menggunakan bentuk pengkodean, yang mana teknik pengkodean ini dapat mudah dipahami oleh User.
89 4.5
Pengendalian Output
4.5.1
Pemahaman Terhadap Pengendalian Output Untuk mendapatkan pemahaman terhadap pengendalian output, maka dibuat kuesioner pengendalian output (tabel 4.4) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar output yang berupa Laporan Penjualan Bulanan. Selain laporan utama yang berupa Laporan Penjualan Bulanan, terdapat laporan pendukung yaitu Laporan Retur Penjualan.
4.5.1.1 Kuesioner Pengendalian Output Tabel 4.4 Kuesioner Pengendalian Output KUESIONER PENGENDALIAN OUTPUT
NO 1
PERTANYAAN Apakah tanggal pencetakan
Y
T
√
selalu dicantumkan pada setiap laporan yang dihasilkan ? 2
Apakah setiap laporan yang
√
dihasilkan, dicantumkan nama personil yang bertanggung jawab atas dikeluarkannya laporan? 3
Apakah banyaknya copy laporan dicantumkan pada setiap laporan yang dihasilkan?
√
KETERANGAN
90 NO
PERTANYAAN
4
Apakah hanya karyawan yang
Y
T
KETERANGAN
√
memiliki otoritas saja yang dapat melakukan pencetakan laporan? 5
Apakah laporan-laporan yang
√
dihasilkan didistribusikan ke departemen pemakai tepat pada waktunya ? Jika ya, apakah didistribusikan: a. per hari
Per minggu
b. per bulan c. per tahun 6
Apakah laporan yang
√
dihasilkan sudah disampaikan kepada pihak yang berwenang terhadap laporan tersebut? 7
Apakah setiap laporan
√
dicantumkan juga masa berlaku laporan tersebut? 8
Apakah nama program untuk
√
pembuatan laporan dicantumkan pada laporan? 9
Apalah dilakukan pengecekan terlebih dahulu sebelum laporan tersebut diserahkan kepada pihak yang berwenang?
√
91 Keterangan : Y = Ya T = Tidak
4.5.1.2. Pengendalian Output Pada Tampilan Laporan Penjualan Bulanan
Gambar 4.8 Laporan Penjualan Bulanan
4.5.1.3 Evaluasi Untuk Pengendalian Output Hasil dari evaluasi pengendalian output dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings
: Banyaknya copy laporan tidak dicantumkan pada laporan (High Risk).
92 Audit risk
: Apabila banyaknya copy laporan tidak dicantumkan pada laporan maka Pihak yang tidak berwenang bisa saja mendapatkan laporan tersebut dan menyelewengkannya.
Rekomendasi
: Sebaiknya mencantumkan banyaknya copy laporan dalam laporan perusahaan.
2. Audit findings
: Tidak adanya nama program yang dicantumkan pada laporan (Low Risk).
Audit risk
: Bila perusahaan ingin mengganti bentuk laporan, maka tidak diketahui program yang digunakan untuk pembuatan laporan.
Rekomendasi 3. Audit findings Audit risk
: Mencantumkan nama program pada laporan. : Tidak adanya masa berlaku laporan (Low Risk) : Laporan yang masih diperlukan tidak tersimpan pada file perusahaan
karena
mungkin
telah
dibuang
oleh
perusahaan. Rekomendasi
: Mencantumkan masa berlaku laporan.
5. Audit findings atas evaluasi pengendalian output yang baik yaitu:
Pencetakan laporan hanya boleh dilakukan oleh karyawan yang memiliki otoritas saja. Hal ini ditetapkan supaya laporan tidak dapat diselewengkan oleh pihak-pihak yang tidak berkepentingan.
Selain itu, laporan-laporan yang dihasilkan juga harus didistribusikan ke departemen pemakai tepat waktu yaitu per minggu dan laporan tersebut
93 dipastikan
telah
benar-benar
disampaikan
kepada
pihak
yang
berkepentingan atas laporan yang dihasilkan.
Adanya pengecekan terlebih dahulu sebelum laporan tersebut diserahkan kepada pihak yang berwenang.
4.6
Pengendalian Security
4.6.1
Pemahaman Terhadap Pengendalian Security Untuk mendapatkan pemahaman terhadap pengendalian security, maka dibuat kuesioner pengendalian security (tabel 4.5) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner.
4.6.1.1 Kuesioner Pengendalian Security Tabel 4.5 Kuesioner Pengendalian Security KUESIONER PENGENDALIAN SECURITY NO 1
PERTANYAAN Apakah di ruang komputer
Y
T
√
memiliki alarm kebakaran otomatis ? Jika ya, ketika alarm berbunyi, apakah signal langsung dikirim ke stasiun pengendalian yang selalu dijaga oleh staf ?
√
KETERANGAN
94 NO
PERTANYAAN
Y
2
Apakah ada pemisahaan antara
√
T
ruang komputer dengan tempat penyimpanan dokumen? Jika ya, apakah ada
√
pengawasan rutin terhadap sistem perlindungan kebakaran yang memastikan bahwa ruangan dokumen terawat baik? 3
Apakah semua aset sistem
√
informasi diletakkan ditempat yang tinggi untuk mengatasi banjir ? 4
Apakah peralatan hardware
√
yang sementara tidak digunakan ditutup dengan bahan yang tahan air ? 5
Apakah setiap komputer yang
√
digunakan dilengkapi dengan fasilitas berupa stabilizer ataupun UPS ? 6
Apakah ada penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup?
√
KETERANGAN
95 NO 7
PERTANYAAN Apakah dilakukan
Y
T
KETERANGAN
√
penginstalan anti virus dan mengupdatenya secara rutin? Jika ya, apakah dilakukan scan
√
file secara rutin? 8
Apakah ada dilakukan back up
√
data ? Jika ya, apakah back up data
√
tersebut sudah dipastikan bebas virus? 9
Apakah perusahaan memiliki
√
asuransi atas aset, dokumen dan kertas berharga dan media transportasi yang dimiliki? 10
Apakah ada penggunaan
√
password untuk mengatasi hacking? Jika ya, apakah password tersebut diganti secara berkala?
Keterangan : Y = Ya T = Tidak
√
Dipastikan bebas virus
96 4.6.1.2 Evaluasi Untuk Pengendalian Security Hasil dari evaluasi pengendalian security dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings
: Walaupun, di ruang komputer memiliki alarm kebakaran otomatis, namun ketika alarm berbunyi, signalnya tidak dikirim langsung ke stasiun pengendalian (Medium Risk)
Audit risk
: Apabila tidak ada pengiriman signal secara langsung pada saat alarm kebakaran berbunyi, maka kebakaran tidak akan dapat ditangani secara cepat dan bisa menyebabkan kerugian perusahaan yang lebih besar.
Rekomendasi
: Alarm kebakaran otomatis sebaiknya dilengkapi juga dengan sistem yang dapat mengirim signal langsung ke stasiun pengendali yang dijaga oleh staf sehingga kebakaran dapat ditangani secara cepat.
2. Audit findings
: Peralatan hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air (Low Risk).
Audit Risk
: Apabila. peralatan hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air maka sewaktu terjadi kebanjiran, peralatan hardware akan mengalami kerusakan.
Rekomendasi
: Sebaiknya peralatan hardware yang sementara tidak digunakan ditutup dengan bahan yang tahan air sebagai tindakan pencegahan.
97 3. Audit findings
: Setiap komputer yang digunakan tidak dilengkapi dengan fasilitas berupa stabilizer ataupun UPS (High Risk).
Audit Risk
: Tidak adanya stabilizer ataupun UPS akan menyebabkan kerusakan pada komputer karena pengaruh tegangan listrik yang tidak stabil. Selain itu, juga memberikan resiko kehilangan data yang belum sempat disimpan (save) jika terjadi pemadaman listrik.
Rekomendasi
: Sebaiknya setiap komputer yang digunakan dilengkapi dengan fasilitas berupa stabilizer ataupun UPS
4. Audit findings
: Tidak adanya penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup (High Risk).
Audit Risk
:
Kemungkinan
resiko
terjadinya
penyusupan
dan
pencurian terhadap aset milik perusahaan menjadi lebih besar. Rekomendasi
: Sebaiknya ditempatkan minimal 2 orang penjaga yang bertugas untuk menjaga keamanan perusahaan.
5. Audit findings
:
Ada
dilakukan
penginstalan
anti
virus
dan
mengupdatenya secara rutin, namun scan file tidak dilakukan secara rutin (Medium Risk) Audit risk
: Apabila scan file tidak dilakukan secara rutin, maka kemungkinan virus-virus akan masuk ke dalam sistem dan merusak file-file perusahaan.
Rekomendasi
: Sebaiknya scan file dilakukan secara rutin minimal seminggu sekali.
98 6. Audit findings atas evaluasi pengendalian security yang baik yaitu:
Untuk menerapkan pengendalian security yang baik, Perusahaan melengkapi ruang komputer dengan alarm kebakaran otomatis. Dan antara ruang komputer dengan tempat penyimpanan dokumen dipisahkan.
Adanya pengawasan yang rutin terhadap sistem perlindungan kebakaran yang memastikan bahwa ruangan dokumen terawat baik.
Semua aset sistem informasi diletakkan di tempat yang tinggi untuk mengatasi banjir.
Untuk menjaga agar file bebas dari virus, maka dilakukan penginstalan anti virus serta mengupdatenya secara rutin.
Selain itu, juga dilakukan back up data dan dipastikan bebas virus.
Perusahaan memiliki asuransi atas aset, dokumen dan kertas berharga dan media transportasi yang dimiliki.
Adanya penggunaan password untuk mengatasi hacking dan password tersebut diganti secara berkala.
4.7
Pengendalian Operasional
4.7.1
Pemahaman Terhadap Pengendalian Operasional Untuk mendapatkan pemahaman terhadap pengendalian operasional, maka dibuat kuesioner pengendalian operasional (tabel 4.6) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner.
99 4.7.1.1 Kuesioner Pengendalian Operasional Tabel 4.6 Kuesioner Pengendalian Operasional KUESIONER PENGENDALIAN OPERASIONAL NO 1
PERTANYAAN
Y
Apakah terhadap seluruh
T √
KETERANGAN Setiap bagian
operasi komputer telah
mengoperasikan
dilakukan penjadwalan
komputernya masing-masing
sehingga dapat diselesaikan tepat waktu dan efisien? 2
Apakah telah ditetapkan staf
√
yang bertanggung jawab untuk mengelola media komputer (disket, CD, dll) ? 3
Apakah telah terdapat prosedur
√
pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan? 4
Apakah perawatan terhadap
√
Setiap User
hardware telah dilakukan
bertanggungjawab penuh
dengan baik?
atas penggunaan komputer
100 NO
PERTANYAAN
5
Apakah menggunakan fasilitas
Y
T
KETERANGAN
√
seperti barcode reader ataupun scanner dalam pengentrian data? Jika ya, apakah fasilitas tersebut memiliki kecepatan dan keakuratan dalam pengentrian data? 6
Apakah dilakukan monitor
√
terhadap hardware dan software yang ada? 7
Apakah dilakukan
√
maintenance kontrol terhadap hardware sewaktu pertama kali dibeli? 8
Apakah dilakukan monitoring
√
terhadap jaringan komunikasi secara berkala? Keterangan : Y = Ya T = Tidak 4.7.1.2 Evaluasi Untuk Pengendalian Operasional Hasil dari evaluasi pengendalian operasional dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings : Pengentrian nomor seri produk dilakukan dengan cara mengetik kode produk satu per satu (High Risk).
101 Audit risk
: Hal ini tidak efisien karena memboros waktu dan kemungkinan kesalahan pengentrian juga besar (human error) karena biasanya perusahaan menjual dalam partai besar sehingga banyak nomor seri produk yang harus dientri.
Rekomendasi : Perusahaan sebaiknya menggunakan fasilitas barcode reader untuk pengentrian nomor seri produk. 2. Audit findings atas evaluasi pengendalian operasional yang baik yaitu: Setiap bagian memiliki komputer masing-masing dalam melakukan tugas mereka.
Adanya penetapan staf yang bertanggungjawab untuk mengelola media komputer (disket, CD, dll) yaitu staf pengolahan data dan divisi IT.
Terdapat prosedur yang jelas mengenai pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan.
Perawatan terhadap hardware dilakukan dengan baik. Dan juga adanya monitor terhadap hardware dan software yang ada
Maintenance kontrol terhadap hardware sewaktu dibeli juga dilakukan oleh divisi IT.
Adanya monitoring terhadap jaringan komunikasi secara berkala.
102 4.8
Pengendalian Software Aplication
4.8.1
Pemahaman Terhadap Pengendalian Software Aplication Untuk mendapatkan pemahaman terhadap pengendalian software aplication, maka dibuat kuesioner pengendalian software aplication (tabel 4.7) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner.
4.8.1.1 Kuesioner Pengendalian Software Aplication Tabel 4.7 Kuesioner Pengendalian Software Aplication KUESIONER PENGENDALIAN SOFTWARE APLICATION NO
PERTANYAAN
Y
1
Apakah aplikasi software yang
√
T
digunakan User Friendly? 2
Apakah warna layar dalam
√
aplikasi digunakan secara konsisten? 3
Apakah warna yang digunakan
√
terlalu mencolok sehingga dapat menyilaukan mata? 4
Apakah waktu respon dan
√
tampilan rata-rata untuk layar cepat? 5
Apakah dalam sistem aplikasi
√
dilengkapi dengan fasilitas Help? 6
Apakah menu dan field-field dalam aplikasi dirancang sesuai dengan kebutuhan User?
√
KETERANGAN
103 NO
PERTANYAAN
Y
7
Apakah output yang dihasilkan
√
T
KETERANGAN
sudah sesuai dengan kebutuhan manajemen? 8
Apakah ada pesan error untuk
√
kesalahan dalam penggunaan software aplikasi? Keterangan : Y = Ya T = Tidak 4.8.1.2 Evaluasi Untuk Pengendalian Software Application Hasil dari evaluasi pengendalian software application dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Audit findings
: Sistem aplikasi tidak dilengkapi dengan fasilitas Help (Low Risk)
Audit Risk
: Apabila sistem aplikasi tidak dilengkapi dengan fasilitas Help maka User akan mengalami kesulitan dalam mengoperasikan aplikasi tersebut.
Rekomendasi
: Sebaiknya sistem aplikasi yang dirancang perlu dilengkapi dengan fasilitas Help untuk memudahkan pengoperasian aplikasi.
104 2. Audit findings atas evaluasi pengendalian software application yang baik yaitu:
Secara umum, aplikasi software yang digunakan User Friendly dengan warna layar yang konsisten dan warna yang digunakan tidak terlalu mencolok sehingga tidak akan menyilaukan mata.
Waktu respon dan tampilan rata-rata untuk layar relatif cepat.
Menu dan field-field dalam aplikasi dirancang sesuai dengan kebutuhan User.
Output yang dihasilkan sudah sesuai dengan kebutuhan manajemen.
Adanya pesan error untuk kesalahan dalam penggunaan software aplikasi.
4.9
Hasil Wawancara dan Pengamatan
4.9.1
Pengendalian Internal Secara Umum Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian internal secara umum yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Bagaimana cara mengevaluasi kriteria dan kinerja para pegawai ? Audit findings Evaluasi periodik terhadap kriteria para pegawai dilakukan dan dikontrol oleh Supervisor. Hasil evaluasi ini akan disampaikan kepada Manajer pada
setiap bagian. Dan selanjutnya akan dibicarakan dalam rapat.
Evaluasi terhadap kriteria para pegawai dilakukan tidak secara periodik.
105 Kalau ada waktu sisa dalam rapat baru dibicarakan mengenai kriteria pegawai (Low Risk) Audit risk Evaluasi yang hanya dilakukan oleh Supervisor kurang maksimal karena mungkin lebih bersifat subjektif. Dan karena tidak dilakukan evaluasi secara rutin, maka kinerja pegawai pun kurang terkontrol. Rekomendasi Evaluasi periodik tidak hanya dilakukan oleh Supervisor, sebaiknya juga dilakukan oleh bagian HRD karena bagian ini yang biasanya berhubungan erat dan yang menangani masalah kepegawaian. Bagian HRD tidak hanya melakukan evaluasi terhadap kinerja para pegawai, tetapi juga menyelenggarakan program training yang bisa meningkatkan kinerja para pegawai. Hasil evaluasi dan penyelenggaraan program training akan dilaporkan kepada Manager pada masing-masing bagian. Dan evaluasi terhadap kinerja pegawai perlu dilakukan secara periodik misal : 2 (dua) bulan sekali atau 1 (satu) minggu setelah training.
2. Apakah setiap formulir terdapat nomor urut tercetak ? Audit findings Tidak semua formulir mempunyai nomor urut tercetak. Contohnya : Formulir Permintaan Barang, karena formulir ini dibuat hanya dalam internal perusahaan saja antara sales dan bagian penjualan (Low Risk).
106 Audit risk Formulir yang tidak mempunyai nomor urut tercetak akan menyebabkan terjadinya tindakan kecurangan dalam perusahaan karena kemungkinan formulir-formulir tersebut disalahgunakan oleh pegawai. Rekomendasi Sebaiknya semua formulir harus bernomor urut tercetak baik internal maupun
external
perusahaan.
Hal
ini
dimaksudkan
untuk
penyelenggaraan pengendalian internal yang baik dalam perusahaan. Karena dengan adanya penggunaan formulir bernomor urut tercetak, maka formulir-formulir tersebut tidak akan dapat diselewengkan ataupun disalahgunakan oleh para pegawai.
3. Apakah Perusahaan mencetak form surat jalan? Audit findings Perusahaan hanya menggunakan form faktur dan tidak mencetak form surat jalan (High Risk) Audit risk Memperbesar timbulnya penyelewengan oleh staf pengiriman karena dia dapat mengetahui dengan benar harga masing-masing produk dari faktur tersebut. Rekomendasi Sebaiknya Perusahaan memisahkan antara faktur dan surat jalan sehingga staf pengiriman tidak dapat mengetahui harga produk.
107 4.9.2
Pengendalian Boundary Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian boundary yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Berapa digit password yang digunakan? Audit findings Password yang digunakan terdiri dari 6 (enam) digit (Low Risk). Audit risk Password dengan 6 (enam) digit lebih mudah dipecahkan karena waktu yang diperlukan untuk memecahkan kode tersebut relatif singkat. Apalagi dengan adanya program untuk pemecahan password yang bisa dilakukan dalam hitungan menit. Rekomendasi Dalam
pengendalian
perusahaan
akses
menggunakan
terhadap bentuk
sistem
otentifikasi
aplikasi
penjualan,
berupa
password.
Perusahaan biasanya mempunyai ketentuan mengenai berapa digit panjang password. Pada kondisi yang ideal, password seharusnya minimal terdiri dari 8 digit.
2. Apakah terdapat metode pembatasan akses terhadap ruang fasilitas library yang ada? Audit findings Memiliki pembatasan akses dalam melakukan CRUD terhadap data.
108 3. Bagaimana pembatasan akses terhadap sistem dilakukan? Audit findings Setiap pegawai yang berkepentingan diberikan USER-ID.
4. Bagaimana pengamanan terhadap sistem apabila User lupa untuk melakukan LOG-OFF? Audit findings Pengamanan terhadap sistem masih kurang karena apabila User lupa untuk melakukan Log-Off, sistem tidak bisa melakukan automatic LogOff (Low Risk). Audit risk Apabila sistem tidak bisa melakukan automatic Log-Off, kemungkinan resikonya adalah adanya orang lain yang tidak memiliki otoritas dapat mengakses sistem tersebut sewaktu sistem lupa dimatikan oleh User yang bersangkutan. Rekomendasi Sebaiknya sistem di-set untuk melakukan automatic Log-Off sewaktu komputer dalam kondisi idle (kondisi dimana komputer tidak melakukan operasi apa-apa selama tenggang waktu tertentu).
5. Bagaimana perusahaan merekam semua kejadian yang terjadi dalam sistem? Audit findings Sistem dalam perusahaan tidak memiliki audit trail (High Risk).
109 Audit risk Apabila dalam sistem tidak memiliki audit trail maka akan kesulitan pada saat melakukan review sistem aplikasi untuk mengetahui aktivitas User mulai dari Log-In, proses selama penggunaan sistem sampai pada saat Log-Off. Rekomendasi Sebaiknya, sistem perusahaan memiliki audit trail.
4.9.3
Pengendalian Input Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian input yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Perangkat apa yang digunakan untuk mengentri data? Audit findings Menggunakan keyborad, touch secreen, mouse atau disimpan dalam dokumen sumber.
2. Bagaimana pengentrian data penjualan ke dalam sistem? Audit findings Pengentrian data penjualan langsung dilakukan pada saat terjadinya transaksi.
3. Bagaimana isi pesan pada saat terjadinya error? Audit findings Isi pesan pada saat terjadinya error jelas, singkat dan mudah dimengerti.
110 4. Bagaimana penanganan terhadap terjadinya kesalahan inputan? Audit findings Staf yang bersangkutan langsung memperbaiki kesalahan inputan dengan cara mengedit tanpa adanya otorisasi dari Manager (Low Risk). Audit risk Apabila terlalu mempercayakan kepada staf untuk mengedit data penjualan kemungkinan kepercayaan itu akan disalahgunakan. Rekomendasi Perlu dilakukan identifikasi sebab-sebab kesalahan dan kemudian meminta otorisasi/persetujuan untuk perbaikan dari Manager. Dan pemrosesan kembali ke dalam sistem baru dilakukan.
4.9.4 Pengendalian Output Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian output yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1.Apakah dilakukan rekonsiliasi antara input dan output untuk menjamin bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar? Audit findings Tidak dilakukan rekonsiliasi antara input dan output (Medium Risk) Audit risk Apabila tidak ada rekonsiliasi antara input dan output maka tidak dapat diketahui apakah output yang dihasilkan sudah sesuai dengan input.
111 Rekomendasi Perlu dilakukan rekonsiliasi antara input dan output supaya dapat menjamin bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar.
2. Apakah terdapat prosedur yang dapat menjamin bahwa output dari sistem informasi selalu direview oleh User management untuk menentukan kelengkapan, akurasi dan konsistensinya? Audit findings Tidak ada prosedur untuk pelaksanaan review atas output dari sistem informasi oleh user management (Medium Risk). Audit risk Apabila tidak dilakukan review atas output dari sistem informasi maka output yang dihasilkan tidak akan sesuai dengan kebutuhan manajemen dalam pengambilan keputusan karena kebutuhan informasi oleh manajemen semakin bertambah dari periode ke periode yang baru. Rekomendasi Perlunya dilakukan review atas output dari sistem informasi oleh User management untuk menentukan kelengkapan, akurasi dan konsistensinya sehingga output yang dihasilkan sesuai dengan kebutuhan manajemen.
3. Bagaimana ketersediaan data output untuk memenuhi kebutuhan User? Audit findings Data output yang dihasilkan tepat waktu dan akurat.
112 4. Kapankah perusahaan perlu menghancurkan dokumen-dokumen yang sudah tidak dipergunakan lagi? Audit findings Dokumen-dokumen yang sudah tidak dipergunakan lagi dihancurkan 5 (lima) tahun sekali.
5. Dalam bentuk apakah laporan dihasilkan? Audit findings Laporan dihasilkan dalam bentuk print-out.
6. Apakah laporan yang dihasilkan mencantumkan page heading? Audit findings Setiap halaman laporan tidak tercantum page heading (Low Risk). Audit risk Halaman laporan kemungkinan besar akan tertukar dan akan sulit diketahui apabila ada halaman laporan yang hilang. Rekomendasi Sebaiknya setiap halaman laporan dicantumkan page heading untuk memudahkan penyusunan halaman laporan.
7. Bagaimana kondisi tempat penyimpanan peralatan output? Audit findings Kondisi tempat penyimpanan peralatan output cukup bagus karena semua peralatan disimpan dalam ruangan yang dingin dan bebas debu.
113 8. Apakah laporan-laporan yang dihasilkan sudah cukup dalam membantu pengambilan keputusan oleh pihak manajemen? Audit findings Laporan yang dihasilkan belum dapat membantu manajemen dalam pengambilan keputusan. (Medium Risk) Audit risk Tanpa adanya laporan-laporan pendukung akan mempersulit pihak manajemen dalam pengambilan keputusan. Rekomendasi Perlu dibuatnya laporan pendukung untuk pengambilan keputusan pihak manajemen seperti : Laporan Barang yang banyak terjual, Laporan Barang yang banyak diretur (rusak) dan Laporan Top Ten Customer.
4.9.5 Pengendalian Security Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian security yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Apakah terdapat prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi? Audit findings Perusahaan tidak mempunyai prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi (Low Risk).
114 Audit risk Apabila tidak ada prosedur tertulis mengenai penanganan kebakaran maka kemungkinan apabila terjadi kebakaran, staf tidak akan dapat menanggulangi kebakaran dengan cepat. Rekomendasi Perlu adanya prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi. Dan tata cara tersebut seharusnya diletakkan di lokasi yang mudah dilihat.
2. Apakah telah terdapat pelatihan dalam rangka menghadapi bahaya kebakaran? Audit findings Perusahaan tidak memberikan pelatihan kepada karyawannya dalam rangka menghadapi bahaya kebakaran (Medium Risk). Audit risk Apabila tidak ada pelatihan untuk menghadapi bahaya kebakaran, maka karyawan akan mengalami kepanikan dan takut pada saat terjadi kebakaran sehingga keadaan akan menjadi semakin tidak terkendali. Rekomendasi Perlu adanya training dalam menghadapi bahaya kebakaran supaya karyawan memperoleh pengetahuan mengenai bagaimana cara menangani kebakaran.
115 3. Bagaimana kondisi di ruang komputer? Audit findings Ruang komputer mempunyai alat pendingin dan pengatur kelembapan.
4. Bagaimana pemeliharaan gedung? Audit findings Gedung dibersihkan seminggu dua kali secara teratur.
5. Bagaimana pengamanan terhadap ruang komputer? Audit findings Ruang komputer selalu terkunci apabila tidak digunakan.
6. Dimanakah letak tabung kebakaran? Audit findings Tabung kebakaran berada pada lokasi yang mudah terlihat dan terjangkau.
4.9.6
Pengendalian Operasional Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian operasional yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Bagaimana monitoring jaringan komunikasi dilakukan ? Audit findings Monitoring jaringan komunikasi dilakukan oleh divisi IT , bagian technical support, namun tidak secara berkala. Apabila jaringan komunikasi mengalami masalah, baru dilakukan monitoring tersebut (Medium Risk).
116 Audit risk Apabila monitoring jaringan komunikasi tidak secara berkala, maka kerusakan mungkin tidak terdeteksi. Dan setelah terdeteksi,akan berdampak buruk pada sistem sehingga dibutuhkan waktu yang lebih lama untuk pemulihan kembali (recovery) Rekomendasi Divisi IT perlu melakukan monitoring jaringan komunikasi secara berkala untuk tindakan preventif terhadap jaringan komunikasi.
2. Apakah semua staf dapat mengakses data dan informasi yang sama melalui jaringan LAN ? Audit findings Tidak semua staf dapat mengakses dengan menggunakan LAN. Hanya jajaran Manager yang memiliki otoritas saja yang dapat menggunakan fasilitas LAN.
4.9.7 Pengendalian Software Application Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian sofware application yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Apakah sofware application yang diterapkan telah didokumentasikan? Audit findings Software application yang ada telah didokumentasikan oleh divisi IT supaya membantu manajemen dalam mendapatkan petunjuk atau informasi sehubungan dengan aplikasi yang digunakan.
117 2. Berapakah waktu respon rata-rata antara pemasukan data dengan sistem Audit findings Waktu respon antara pemasukan data dengan sistem kira-kira 4-5 detik.
3. Bagaimana tingkat display untuk menampilkan karakter atau image? Audit findings Tingkat display cukup cepat untuk menampilkan karakter atau image.
4.10
Matriks Mengenai Pembahasan Untuk Pengendalian Manajemen dan Aplikasi
Point
Audit findings
Audit risk
Rekomendasi
PIC (Orang yang bertanggungjawab)
Surprised Audit
Tidak
Tingkat kecurangan
Perlu
(pemeriksaan
dilakukannya
yang akan terjadi
dilakukannya
mendadak)
surprised
lebih tinggi
surprised audit.
audit
Divisi Audit
118 Pencetakan surat
Hanya
Bisa terjadi
Sebaiknya
Manajemen
jalan
menggunakan
penyelewengan oleh
faktur dan form
Operasional
faktur dan tidak
staf pengiriman
surat jalan
menggunakan
dicetak terpisah
form surat jalan Enkripsi Password
Database
Mudah dibobol oleh
Perlu adanya
password tidak
hacker
enkripsi
dienkripsi
Divisi IT
password
Penggantian
User tidak
Kerahasiaan
Sistem
password oleh User
dapat
password tidak dapat
password harus
mengganti
dipertahankan
fleksibel.
Sistem tidak
Orang yang tidak
Sebaiknya
bisa melakukan
berotoritas dapat
sistem
automatic Log-
mengakses sistem
memiliki
Divisi IT
password sewaktu-waktu
Automatic Log-Off
Off
automatic LogOff
Divisi IT
119 Audit trail
Sistem dalam
Review sistem
Sistem
perusahaan
aplikasi akan sulit
perusahaan
tidak memiliki
dilakukan
sebaiknya
Divisi IT
dilengkapi
audit trail
audit trail. Pencantuman copy
Banyaknya
Pihak yang tidak
Seharusnya
Manajemen
laporan
copy laporan
berwenang bisa saja
mencantumkan
Operasional
tidak
mendapatkan laporan
copy laporan
dicantumkan
tersebut dan
pada laporan
menyelewengkannya.
Rekonsiliasi antara
Tidak dilakukan Tidak dapat
Sebaiknya
Manajemen
input dan output
rekonsiliasi
diketahui apakah
dilakukan
Operasional
antara input dan
output yang
rekonsiliasi
output
dihasilkan sudah
antara input
sesuai dengan
dan output
inputan.
Review atas output
Tidak
Output yang
Perlu
Manajemen
dari sistem
dilakukannya
dihasilkan tidak akan
dilaksanakan
Operasional
informasi
review atas
sesuai dengan
review atas
output dari
kebutuhan
output dari
sistem
manajemen
sistem
120 informasi.
informasi
Penggunaan
Setiap
Kerusakan pada
Komputer
Manajemen
fasilitas stabilizer
komputer yang
hardware dan
perlu
Operasional
ataupun UPS
digunakan tidak
hilangnya data.
dilengkapi
dilengkapi
stabilizer
dengan fasilitas
ataupun UPS
berupa stabilizer ataupun UPS
Penempatan
Tidak adanya
Tidak terdeteksi
Perlu adanya
Manajemen
penjaga dan
penempatan
adanya penyusup
penempatan
keamanan
penggunaan alarm
penjaga dan
penjaga dan
penggunaan
penggunaan
alarm untuk
alarm.
mengantisipasi adanya penyusup Dilakukannya scan
Ada dilakukan
Virus-virus akan
Sebaiknya scan
file
penginstalan
masuk ke dalam
file dilakukan
anti virus dan
sistem dan merusak
secara rutin
mengupdatenya
file perusahaan
minimal
Divisi IT
121 secara rutin,
seminggu
namun scan file
sekali
tidak dilakukan secara rutin
Pengentrian kode
Pengentrian
Terjadinya kesalahan
Sebaiknya
Manajemen
produk
dilakukan
input dan memakan
menggunakan
Operasional
dengan cara
waktu yang lama
fasilitas
mengetik kode
barcode reader
produk satu per satu Monitoring jaringan
Monitoring
Kerusakan ataupun
Monitoring
komunikasi
jaringan
permasalahan pada
sebaiknya
komunikasi
jaringan komunikasi
dilakukan
dilakukan tidak
tidak terdeteksi
secara berkala
Divisi IT
secara berkala.
Tabel 4.8 Matriks Pembahasan Pengendalian Manajemen dan Aplikasi
4.11
Laporan Audit Laporan Audit Sistem Informasi Penjualan yang dibuat oleh Tim Audit Kelompok 6 adalah sebagai berikut :
122 Kepada
: Manajemen Penjualan PT. Perdana Bangun Pusaka. Tbk
Perihal
: Laporan Hasil Audit Sistem Informasi Penjualan
Periode
: Desember 2005
LAPORAN AUDIT SISTEM INFORMASI PENJUALAN PT. PERDANA BANGUN PUSAKA. TBK
I.
Tujuan Memastikan keluaran (output) yang dihasilkan tepat waktu sesuai dengan hasil masukan (input), membandingkan apakah sistem sudah sesuai dengan standar yang ada dan memberikan rekomendasi untuk kelemahan-kelemahan yang mungkin ditemukan dan menghasilkan laporan audit bagi PT. Perdana Bangun Pusaka. Tbk.
II.
Ruang Lingkup Pengendalian terhadap prosedur dan proses pelaksanaan sistem informasi khususnya
mengenai
penjualan.
Pengendalian
terhadap
prosedur
dan
pelaksanaan sistem informasi terfokus pada 2 (dua) bagian umum yaitu pengendalian manajemen dan pengendalian aplikasi. Pengendalian manajemen berupa pengendalian keamanan dan pengendalian operasional sedangkan pengendalian aplikasi berupa pengendalian boundary, input dan output. III.
Metode Audit Metode Audit yang digunakan adalah dengan melakukan wawancara, pengamatan, kuesioner, pengujian,analisis dan testing aplikasi.
123 IV.
Hasil Audit Berdasarkan audit findings yang ditemukan, kami selaku Tim Audit menyatakan bahwa pengendalian dalam perusahaan secara umum telah dilakukan dengan baik. Adapun pengendalian-pengendaliannya sebagai berikut : Pengendalian Internal secara Umum Pengendalian Internal secara umum pada PT. Perdana Bangun Pusaka. Tbk sudah dilakukan dengan baik, hanya saja sesekali pihak manajemen perlu menyelenggarakan
pemeriksaan
mendadak
(surprised
audit)
untuk
meminimalkan kecurangan yang mungkin terjadi. Pengendalian Boundary Pengendalian boundary sudah cukup baik diterapkan dalam perusahaan. Namun akan lebih baik lagi jika dilakukan pengenkripsian pada database password dan sistem aplikasi dilengkapi dengan audit trail. Pengendalian Input Pengendalian input sudah dilakukan cukup baik contohnya : dokumen sumber di-input secara real time, dokumen sumber yang di-input ke dalam komputer hanyalah dokumen sumber yang telah diotorisasi dan sistem aplikasi dapat menampilkan error message yang mudah dimengerti oleh User. Pengendalian Output Pengendalian output umumnya sudah dilakukan dengan baik. Namun kami menemukan bahwa tidak dicantumkannya banyaknya copy laporan, nama program dan masa berlaku laporan. Kami menyarankan untuk mencantumkan ketiga hal tersebut dalam laporan yang dihasilkan.
124 Pengendalian Security Pengendalian security telah diterapkan cukup baik kalau dilihat dari segi pengamanan terhadap resiko yang berasal dari lingkungan (bencana kebakaran dan banjir) namun dari segi pengamanan terhadap aset sistem informasi masih kurang karena perusahaan belum melengkapi komputer dengan fasilitas stabilizer ataupun UPS dan kurang penjagaan yang ketat terhadap penyusup. Pengendalian Operasional Pengendalian operasional juga sudah bagus diterapkan hanya saja dalam pengentrian nomor seri produk masih diketik satu per satu. Hal ini sangat membuang waktu dan kemungkinan kesalahan pengentrian juga sangat besar. Pengendalian Software Application Pengendalian software application sudah sangat bagus, ini terlihat pada aplikasi software yang cukup user friendly, waktu respon dan tampilan rata-rata untuk layar relatif cepat, menu dan field-field aplikasi dirancang sesuai kebutuhan User, serta adanya pesan error untuk kesalahan dalam penggunaan aplikasi.
Demikianlah hasil laporan audit atas sistem informasi penjualan pada PT. Perdana Bangun Pusaka. Tbk.
Jakarta, 10 Desember 2005
TIM AUDIT Kelompok 6