105 BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI
Dalam bab ini dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi aktiva tetap pada PT. Triteguh Manunggal Sejati, yang terdiri dari : perencanaan evaluasi, program audit, pengumpulan bukti audit untuk setiap pengendalian, matriks penilaian resiko dan pengendaliannya, serta laporan audit.
4.1.
Perencanaan Evaluasi Perencanaan audit merupakan tahap awal audit yang dilakukan untuk mempermudah proses audit. Tahap perencanaan ini dilakukan auditor untuk menentukan ruang lingkup, tujuan pelaksanaan, dan persiapan evaluasi.
4.1.1
Ruang Lingkup Evaluasi Ruang lingkup evaluasi dibatasi oleh auditor menjadi : 4. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran, perbaikan (reparasi), penyusutan (depresiasi) sampai dengan penghapusan (disposal) aktiva tetap tersebut. 5. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor. 6. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan pada pengendalian umum (general control) dan pengendalian aplikasi (application control). Pengendalian umum yang akan dibahas oleh penulis, terdiri dari: Pengendalian Manajemen Keamanan (Security Management
106 Control) dan Pengendalian Manajemen Operasi (Operations Management Control). Sedangkan Pengendalian aplikasi yang akan dibahas oleh penulis, terdiri dari: Pengendalian Masukan (Input Control), Pengendalian Batasan (Boundary Control) dan Pengendalian Keluaran (Output Control). 4.1.2
Tujuan Pelaksanaan Evaluasi Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai berikut : a. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap yang terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai dengan standard dan business process. b. Untuk mengidentifikasi permasalahan atau kelemahan, resiko yang mungkin timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva tetap PT. TRITEGUH MANUNGGAL SEJATI. c. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT. TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang ada. d. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah diproses, sehingga output yang dihasilkan dapat dipercaya.
4.1.3
Persiapan Evaluasi Persiapan evaluasi yang dilakukan auditor, antara lain : -
Mencari dan membaca buku – buku yang dapat digunakan sebagai referensi untuk melakukan evaluasi.
-
Mempersiapkan pertanyaan – pertanyaan yang akan diajukan pada saat wawancara dan membagikan kuesioner pada bagian – bagian yang terkait.
107 -
Mengumpulkan informasi tentang data umum perusahaan, seperti sejarah perusahaan, struktur organisasi, dan pembagian tugas dan tanggung jawab.
-
Mengumpulkan informasi tentang prosedur sistem informasi aktiva tetap yang sedang berjalan dan digambarkan dalam bentuk DFD (Data Flow Diagram).
-
Melakukan evaluasi mulai dari bulan September 2007 sampai dengan Desember 2007.
-
Evaluasi dilakukan pada PT TRITEGUH MANUNGGAL SEJATI yang berlokasi di Kawasan Griya Mentari, Jl Raya Serang Km 14,5
-
4.2.
Tim evaluasi terdiri dari 3 orang.
Program Audit
4.2.1
Program Audit Pada Pengendalian Umum
4.2.1.1 Program Audit Pada Security Management Control No 1.
Tahap Pengujian Security Management Controls Melakukan pengecekan apakah terdapat user protection dengan menggunakan password pada setiap komputer.
Auditee Bagian Akuntansi dan Keuangan
2.
Mengecek apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam.
Bagian Akuntansi dan Keuangan
3.
Melakukan pengecekan apakah sudah terdapat UPS (Uninterruptable Power Supply) pada setiap komputer untuk mengatasi permasalahan tegangan listrik. Mendapatkan informasi mengenai software – software yang digunakan perusahaan seperti antivirus, sistem operasi, dan lain - lain
Bagian Akuntansi dan Keuangan
4.
5.
Mendapatkan informasi mengenai jenis-jenis
Bagian IT
Bagian IT
Instrumen Observasi, kuesioner dan wawancara Observasi, kuesioner dan wawancara Observasi, kuesioner dan wawancara Observasi, kuesioner dan wawancara Kuesioner
108
6.
pengendalian virus komputer yang diterapkan perusahaan Mendapatkan informasi apakah software – software tersebut sering di update
7.
Meninjau apakah terdapat alarm kebakaran otomatis dan tabung pemadam kebakaran yang diletakkan pada tempat yang mudah dijangkau dimana terdapat aset sistem informasi. 8. Mendapatkan informasi apakah perusahaan memiliki asuransi untuk aktiva tetap seperti gedung, kendaraan, mesin, dan lain – lain. 9. Melakukan pengecekan apakah dilakukan backup data untuk mencegah terjadinya kehilangan data. 10. Memeriksa apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana. 11. 12.
13. 14.
15.
Bagian IT Bagian Akuntansi dan Keuangan
dan wawancara Kuesioner dan wawancara Observasi dan kuesioner
Bagian Akuntansi dan Keuangan Bagian IT
Kuesioner dan wawancara Kuesioner dan wawancara Bagian Kuesioner Akuntansi dan dan Keuangan wawancara Observasi Mengecek apakah setiap karyawan memiliki Bagian dan ID Card atau kartu identitas karyawan. Akuntansi dan kuesioner Keuangan Observasi, Bagian Mendapatkan informasi apakah setiap tamu kuesioner Akuntansi dan atau pihak luar yang akan masuk harus dan Keuangan melapor ke pihak keamanan (security). wawancara Observasi Bagian Meninjau apakah karyawan diberikan dan larangan membawa makanan dan minuman di Akuntansi dan kuesioner Keuangan dekat peralatan komputer. Observasi, Bagian Memeriksa apakah terdapat prosedur kuesioner Akuntansi dan kebersihan aset dan ruangan yang dan Keuangan menyimpan aset sistem informasi. wawancara Observasi Bagian Meninjau apakah terdapat pemisahan antara dan ruang komputer dengan tempat penyimpanan Akuntansi dan kuesioner Keuangan dokumen. Tabel 4.1 Program Audit Pada Security Management Controls
4.2.1.2 Program Audit Pada Operations Management Control No 1.
Tahap Pengujian Operations Management Control Melakukan pengecekan apakah terdapat pemisahan tugas antara karyawan.
Auditee
Instrumen
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
109 2. 3.
4. 5.
6.
7. 8.
9. 10. 11.
12.
Mengamati untuk mengetahui apakah user menaati dan terdapat prosedur pengoperasian aplikasi sesuai dengan fungsinya. Mendapatkan informasi apakah diberikan pelatihan secara khusus terhadap karyawan terutama karyawan baru dalam menggunakan sistem yang sedang berjalan di perusahaan.
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
Observasi dan Wawancara Observasi, kuesioner dan wawancara
Mendapatkan informasi mengenai maintenance atau perbaikan yang dilakukan terhadap hardware dan software. Melakukan pengecekan apakah terdapat prosedur perawatan computer untuk menghindari terjadinya kerusakan pada hardware atau software. Mendapatkan informasi apakah perusahaan menyediakan technical support untuk membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database. Mendapatkan informasi apakah perusahaan menggunakan LAN (Local Area Network) atau WAN (Wide Area Network). Mendapatkan informasi mengenai Standard Operating Procedures (SOP) yang ada pada perusahaan dan lakukan pengamatan ketaatan karyawan terhadap SOP tersebut. Melakukan pengecekan dan pengamatan terhadap manajemen penyimpanan data (File Library) dan proses posting data. Mendapatkan informasi apakah terdapat fasilitas menu help pada ACCPAC?
Bagian IT
Kuesioner dan wawancara Kuesioner dan wawancara
Mendapatkan informasi tentang metode yang digunakan perusahaan dalam penghitungan depresiasi dan kapan depresiasi aktiva tetap dilakukan. Mendapatkan informasi bagaimana prosedur reparasi aktiva tetap.
Bagian IT
Bagian IT
Kuesioner dan wawancara
Bagian IT
Observasi dan Wawancara Wawancara
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
Kuesioner dan wawancara Observasi dan kuesioner Observasi dan Wawancara
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
Tabel 4.2 Program Audit Pada Operations Management Controls
110 4.2.2
Program Audit Pada Pengendalian Aplikasi
4.2.2.1 Program Audit Pada Input Control No 1. 2.
3.
Tahap Pengujian
Auditee
Instrumen
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
Observasi dan Wawancara Observasi, kuesioner dan Wawancara Observasi, kuesioner dan Wawancara Observasi, kuesioner dan Wawancara Observasi dan kuesioner Observasi dan kuesioner Observasi dan kuesioner Observasi dan Wawancara
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Melakukan pengecekan apakah dokumen Bagian yang diinput memiliki pre-printed-number. Akuntansi dan Keuangan
Observasi dan kuesioner Observasi dan Wawancara Observasi dan kuesioner Observasi dan kuesioner
Input Control Mendapatkan informasi tentang metode penginputan data yang digunakan (keyboarding, direct entry atau scanner). Mengecek apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya. Melakukan pengecekan dan peninjauan apakah data yang diinput telah berdasarkan dokumen sumbernya.
Bagian Akuntansi dan Keuangan
4.
Mengecek apakah dilakukan pengarsipan atau Bagian Akuntansi dan pemberian tanda terhadap dokumen sumber Keuangan yang telah diinput.
5.
Melakukan pengecekan apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data. Mengecek apakah kesalahan dalam penginputan dapat diubah.
6. 7. 8.
9. 10. 11. 12.
Melakukan pengecekan apakah terdapat warning message apabila terjadi pemasukan data yang ganda Mendapatkan informasi apakah yang mendelete atau mengupdate hanya dapat dilakukan oleh user tertentu yang diberi otorisasi. Mendapatkan informasi mengenai menu peringatan jika data belum dibackup, maka proses tidak dilanjutkan. Melakukan pengecekan apakah terdapat suatu pengkodean khusus untuk mengidentifikasi item barang, transaksi, dan lain – lain. Meninjau apakah fasilitas menu memenuhi kebutuhan user
111 13. 14. 15. 16.
17.
18.
Mendapatkan informasi apakah pernah terjadi Bagian human error dalam penginputan data. Akuntansi dan Keuangan Mendapatkan informasi apakah pernah terjadi Bagian manipulasi data oleh orang yang tidak Akuntansi dan Keuangan berkepentingan. Bagian Memeriksa apakah tampilan menu input Akuntansi dan cukup efektif untuk mempermudah dan Keuangan mempercepat proses penginputan Memeriksa apakah terdapat petugas yang Bagian melakukan pengawasan terhadap keakuratan Akuntansi dan input data dengan data pada dokumen Keuangan sumber. Memeriksa apakah pada saat memasukkan Bagian kode barang, nama barang dan informasi Akuntansi dan yang berhubungan akan keluar secara Keuangan otomatis. Memeriksa kesesuaian pemakaian kode pada Bagian dokumen sumber dengan layar input. Akuntansi dan Keuangan
Observasi dan Wawancara Wawancara Observasi dan kuesioner Observasi dan kuesioner Observasi dan Wawancara Observasi dan Wawancara
Tabel 4.3 Program Audit Pada Input Controls
4.2.2.2 Program Audit Pada Boundary Control No 1.
Tahap Pengujian
Auditee
Instrumen
Boundary Control Melakukan pengecekan apakah sistem menampilkan pesan jika verifikasi login tidak valid atau salah.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara Observasi
2.
Mengecek apakah Sistem Informasi yang digunakan dilengkapi dengan akses login.
3.
Melakukan pengecekan apakah password yang ada menggunakan tehnik cryptography.
4.
Mengecek apakah sistem membatasi ukuran/panjang password dan user name.
5.
Mendapatkan informasi apakah password menggunakan variasi (angka & huruf) atau tidak. Mendapatkan informasi mengenai fasilitas automatically warning jika user lupa
6.
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan
Observasi dan kuesioner Observasi dan kuesioner Observasi dan kuesioner Observasi, kuesioner
112
7.
8. 9.
10. 11.
12.
passwordnya.
Keuangan
Mendapatkan informasi mengenai prosedur perubahan dan penghapusan password (penghapusan terjadi jika pengguna sudah tidak ada lagi) Mendapatkan informasi apakah terdapat hak akses dan pembatasannya yang dibagi berdasarkan jabatan pengguna. Melakukan pengecekan setiap komputer apakah memiliki user protection untuk memastikan hanya orang berwenang yang mengakses komputer. Mengecek apakah terdapat batasan kesalahan dalam penginputan akses login.
Bagian Akuntansi dan Keuangan
Mendapatkan juga informasi mengenai apakah terdapat batas waktu (time limit) dalam penggunaan ACCPAC jika user lupa atau tidak melakukan log off. Memeriksa apakah pada ACCPAC terdapat audit trail.
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
dan Wawancara Observasi, kuesioner dan Wawancara Observasi dan Wawancara Observasi dan kuesioner Observasi dan kuesioner Observasi, kuesioner dan Wawancara Observasi dan kuesioner
Tabel 4.4 Program Audit Pada Boundary Control 4.2.2.3 Program Audit Pada Output Control No 1.
2.
3. 4.
Tahap Pengujian
Auditee
Instrumen
Output Control Mendapatkah informasi apakah laporan yang dihasilkan didistribusikan tepat waktu dan tepat sasaran.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara Observasi, kuesioner dan Wawancara
Melakukan pengecekan apakah setiap laporan yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut, pihak yang berwenang menerimanya, dan otorisasi pihak yang membuat laporan. Melakukan pengecekan apakah terdapat end of page jika laporan lebih dari 1 (satu) halaman Mendapatkan informasi jenis laporan apa saja yang biasanya dicetak.
Bagian Akuntansi dan Keuangan
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan
Observasi dan kuesioner Observasi dan
113 Keuangan Bagian Akuntansi dan Keuangan
5.
Mendapatkan informasi apakah dilakukan pemeriksaan ulang setelah laporan tersebut dicetak.
6.
Melakukan pengecekan apakah Sistem Informasi Aktiva Tetap pada PT Triteguh Manunggal Sejati dapat menghasilkan laporan yang dibutuhkan. Mendapatkan informasi apakah laporan dapat dicetak kembali jika ditemukan kesalahan.
Bagian Akuntansi dan Keuangan
Mendapatkan informasi tentang control terhadap penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan. Mendapatkan informasi dan dokumentasi mengenai prosedur permintaan pencetakan laporan dan pendistribusiannya Memeriksa apakah data yang diinput sama dengan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap Mendapatkan informasi mengenai tampilan data dari database untuk setiap bagian
Bagian Akuntansi dan Keuangan
7.
8.
9. 10.
11.
Bagian Akuntansi dan Keuangan
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
12.
Mendapatkan informasi apakah laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
13.
Mendapatkan informasi apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb). Mendapatkan informasi apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala
Bagian Akuntansi dan Keuangan Bagian Akuntansi dan Keuangan
14.
Tabel 4.5 Program Audit Pada Output Controls
Wawancara Observasi, kuesioner dan Wawancara Observasi dan kuesioner Observasi, kuesioner dan Wawancara Observasi, kuesioner dan Wawancara Observasi dan Wawancara Observasi dan kuesioner Observasi Observasi, kuesioner dan Wawancara Observasi dan kuesioner Observasi dan kuesioner
114 4.3.
Pengumpulan Bukti Audit
4.3.1
Security Management Controls
Daftar Pertanyaan Kuesioner Pada Security Management Controls No. Pertanyaan 1. Apakah terdapat user protection dengan menggunakan password pada setiap komputer?
Y √
2.
√
3. 4.
5.
Apakah sering dilakukan penggantian password secara berkala atau rutin? Apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam? Apakah setiap komputer dilengkapi dengan UPS (Uninteruptable Power Supply) yang mampu menstabilkan tegangan listrik? Apakah ada antivirus dalam perangkat komputer yang digunakan?
N
√ √
√
6.
Apakah dilakukan scan virus secara rutin?
√
7.
Apakah perusahaan memiliki alarm kebakaran otomatis? Apakah perusahaan memiliki tabung pemadam kebakaran pada lokasi yang mudah diambil?
√
8.
Keterangan Perusahaan terbukti telah menerapkan penggunaan password dan user ID pada setiap komputer sebagai user protection Penggantian password dilakukan satu bulan sekali secara rutin. Genset diletakkan di ruang server
√
Setiap komputer menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat. Karyawan tidak selalu melakukan scan virus pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk. Tetapi, Antivirus dilengkapi dengan fasilitas automatically clean ketika komputer dinyalakan sehingga virus dapat segera terdeteksi otomatis. Perusahaan memiliki 3 buah tabung pemadam kebakaran yang terletak pada ruang komputer, ruang produksi, dan ruang formulasi.
115 9.
10. 11. 12. 13.
14.
15.
16.
Apakah perusahaan memiliki asuransi untuk aktiva tetap, seperti asuransi untuk gedung, kendaraan dan lain-lain? Apakah dilakukan backup data untuk mencegah terjadinya kehilangan data? Apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana? Apakah setiap karyawan memiliki ID Card atau kartu identitas karyawan? Apakah setiap tamu atau pihak luar yang akan masuk harus melapor ke pihak keamanan (security)? Apakah karyawan diberikan larangan membawa makanan dan minuman di dekat peralatan komputer? Apakah terdapat prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi? Apakah terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen?
√
√
Back up data dilakukan setiap hari oleh bagian IT.
√ √
Kartu identitas dilengkapi dengan foto karyawan dan barcode untuk absensi. Setiap tamu yang datang diwajibkan melapor kepada security terlebih dahulu dan menunggu di ruang tunggu.
√
√
√
√
Pada bagian akuntansi tidak terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen. Namun, dokumen – dokumen yang sudah lewat satu tahun akan disimpan pada ruang arsip.
Tabel 4.6 Daftar Pertanyaan Kuesioner Pada Security Management Controls Daftar Pertanyaan Wawancara pada Security Management Controls No. Pertanyaan 1. Bagaimana cara perusahaan menerapkan user protection pada setiap komputer perusahaan? 2. Bagaimana perusahaan
Jawaban Perusahaan menggunakan password dan user ID waktu hendak menggunakan komputer dan sebelum masuk ke dalam ACCPAC sebagai user protection. Perusahaan menggunakan genset yang akan
116 mengantisipasi jika listrik padam?
3. 4.
Bagaimana cara perusahaan untuk menstabilkan tegangan listrik? Bagaimana perusahaan mengantisipasi ancaman virus?
5.
Bagaimana mengantisipasi terjadinya kehilangan data – data penting perusahaan?
6.
Bagaimana perusahaan mengantisipasi terjadinya bencana seperti kebakaran, banjir atau gempa?
7.
Bagaimana prosedur recovery yang dilakukan untuk perbaikan setelah terjadi bencana?
8.
Bagaimana prosedur yang diterapkan perusahaan jika ada pihak luar atau tamu?
9.
Bagaimana sistem keamanan yang terdapat pada perusahaan untuk menghindari adanya penyusup?
menyala otomatis ketika listrik terputus. Ketika pengukur menunjukkan genset sudah tidak stabil, maka secara otomatis UPS (Uninteruptable Power Supply) akan menggantikan genset untuk membuat server tetap menyala. Perusahaan menggunakan stabilizer dan UPS. Perusahaan menggunakan antivirus yang terhubung dengan kantor pusat sehingga jika kantor pusat mengupdate antivirus, antivirus pada komputer-komputer akan terupdate secara otomatis. Perusahaan melakukan backup data secara otomatis dan rutin, 2 kali dalam sehari yaitu pada waktu istirahat dan sebelum pulang kerja. Selain itu, perusahaan juga mengbackup datanya pada CD atau external harddisk yang diberikan ke kantor pusat. Untuk mengantisipasi kebakaran, perusahaan memiliki tabung pemadam kebakaran dan memberikan larangan merokok di area kantor. Selain itu, pada setiap CPU komputer terdapat kerangka besi sebagai penopang untuk mengantisipasi terjadinya banjir. Jika terjadi bencana, maka perusahaan akan menginstall ulang data-data dan software dari backup data yang dimiliki kantor pusat dan melakukan rencana pemulihan berikutnya. Setiap tamu yang datang diwajibkan melapor kepada security dan menyebutkan nama karyawan yang akan ditemui, mencatat identitasnya di buku tamu, diberikan kartu identitas yang menunjukkan sebagai tamu dan menunggu di ruang tunggu. Setiap karyawan menggunakan seragam dan memiliki kartu identitas karyawan sehingga security dapat membedakan antara karyawan dan yang bukan. Selain itu, tamu tidak diperkenankan masuk ke dalam tempat kerja.
117 10.
Apakah perusahaan Perusahaan telah mengasuransikan aktiva mengasuransikan aktiva tetapnya. Sebagai contoh perusahaan tetapnya seperti gedung, asuransi yang digunakan perusahaan : kendaraan, mesin,dan lain-lain? asuransi ACA (untuk asuransi kendaraan), Jika ya, mengapa perusahaan ISWARA (untuk finished good dan mesin). perlu mengasuransikan aktiva Hal itu untuk meminimalkan resiko jika tetap? terjadi bencana. 11. Bagaimana prosedur kebersihan Prosedur kebersihan tergantung setiap aset dan ruangan yang departemen. menyimpan aset sistem informasi? Tabel 4.7 Daftar Pertanyaan Wawancara Pada Security Management Controls Temuan Evaluasi atas Pengendalian Manajemen Keamanan a. Temuan Positif -
Terdapat user protection dengan menggunakan password dan user ID.
-
Karyawan diharuskan melakukan penggantian password secara rutin.
-
Terdapat generator (genset) sebagai tindakan antisipasi perusahaan jika listrik padam.
-
Komputer telah dilengkapi dengan UPS (Uninteruptable Power Supply) dan stabilizer yang digunakan untuk menstabilkan tegangan listrik.
-
Pengendalian preventif yang telah dilakukan perusahaan adalah dengan menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat.
-
Terdapat 3 buah tabung pemadam kebakaran yang terletak pada ruang komputer, ruang produksi, dan ruang formulasi .
-
Perusahaan telah mengantisipasi akibat terjadinya banjir dan gempa.
-
Perusahaan telah mengasuransikan aktiva tetapnya
-
Bagian IT melakukan backup data secara rutin setiap hari, yaitu pada waktu istirahat dan sebelum pulang kerja.
-
Terdapat prosedur recovery untuk perbaikan apabila telah terjadi bencana.
118 -
Karyawan telah memiliki kartu identitas dilengkapi dengan foto dan barcode.
-
Setiap tamu yang datang diwajibkan melapor kepada security.
b. Temuan Negatif -
Tidak dilakukan scan virus secara rutin.
-
Tidak terdapat alarm kebakaran otomatis.
-
Karyawan tidak diberikan larangan untuk membawa makanan di dekat peralatan komputer.
-
Tidak terdapat prosedur kebersihan aset sistem informasi.
-
Tidak
terdapat pemisahan
antara
ruang
penyimpanan dokumen pada bagian akuntansi.
komputer
dengan
tempat
119
No.
Temuan
Penyebab
1.
Tidak dilakukan Kurangnya kesadaran karyawan akan resiko scan virus yang diakibatkan jika secara rutin. data terkena virus.
2.
Tidak terdapat Karena perusahaan menganggap bahwa alarm tabung pemadam kebakaran. kebakaran sudah tersedia untuk mengatasi kebakaran.
3.
Karyawan tidak diberikan larangan untuk membawa makanan di dekat peralatan komputer.
Perusahaan kurang mempermasalahkan hal ini, karyawan dianggap mampu bertanggung-jawab atas setiap tindakannya.
Resiko atau Dampak
Rekomendasi
Menghambat proses kerja komputer perusahaan, data penting perusahaan dapat terkena virus, rusak, bahkan hilang. Selain itu, hardware yang digunakan pun dapat rusak. Jika hal ini tidak segera diatasi, maka dapat merusak data dan software serta mengganggu kegiatan operasional perusahaan. Kerugian finansial karena penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini. Tanpa adanya alarm, maka akan timbul kesulitan dan hambatan untuk pemberitahuan kepada seluruh karyawan dan sekitarnya bahwa terjadi kebakaran, sehingga tindakan penyelamatan terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat segera ditangani.
Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk.
Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak kabel-kabel, disk drive, harddisk, dll. Resiko lainnya adalah kinerja karyawan menjadi kurang
Meletakkan alarm kebakaran tempat yang strategis atau memberikan larangan merokok di area kantor karena dapat meminimalkan kerusakan dan kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada perusahaan berfungsi dengan baik. Memberikan larangan kepada karyawan untuk membawa makanan dan minuman ke dalam ruang atau peralatan komputer.
Tingkat Resiko Low
Low
High
120
Kebersihan aset maupun ruangannya merupakan tanggung jawab masing-masing departemen.
efektif dan efisien karena kurangnya konsentrasi dan disiplin. Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll.
Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset perusahaan dapat beroperasi dengan baik. Menempelkan poster-poster atau kartu-kartu yang menarik mengenai kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat yang sering dilalui. Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi.
4.
Tidak terdapat prosedur kebersihan aset sistem informasi.
5.
Dapat terjadi kehilangan data akibat Untuk memudahkan Tidak terdapat pencurian oleh pihak yang tidak bagian akuntansi pemisahan berwenang dan terjadi manipulasi dalam menggunakan antara ruang terhadap data, serta pengarsipan dan mengarsip komputer maupun penginputan data yang kurang dokumen sumber. dengan tempat efektif. penyimpanan dokumen pada bagian akuntansi. Tabel 4.8 Matriks Temuan, Resiko dan Rekomendasi pada Security Management Controls
Low
Low
121 4.3.2
Operations Management Controls
Daftar Pertanyaan Kuesioner Pada Operations Management Controls No. Pertanyaan 1. Apakah ada pemisahan tugas dan wewenang antara fungsi yang satu dengan yang lainnya dalam menggunakan ACCPAC? 2.
Apakah ada pelatihan secara khusus untuk setiap karyawan, khususnya karyawan baru?
3.
Apakah terdapat prosedur pengoperasian ACCPAC? Apakah perusahaan telah memiliki Standard Operating Procedures (SOP)
4.
5.
6.
7. 8.
9. 10.
Apakah ada prosedur perawatan komputer untuk menghindari terjadinya kerusakan hardware atau software? Apakah terdapat technical support yang membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database? Apakah absensi karyawan dikontrol menggunakan mesin absensi? Apakah tampilan pada form input mudah dimengerti oleh user yang mengaksesnya?
Y √
N
√
√ √
Keterangan Hal ini dapat terlihat pada ACCPAC, setiap bagian hanya dapat membuka aplikasi sesuai dengan tugas dan wewenangnya. Karyawan baru hanya diberikan arahan oleh manajer dalam menggunakan ACCPAC. ACCPAC hanya digunakan pada jam kerja saja. Setiap bagian memiliki SOP yang membantu dalam melakukan tugas dan tanggung jawabnya, seperti Bagian Akuntansi yang memiliki SOP tentang penerimaan dan pembukuan barang umum
√
√
Technical support diberikan oleh Bagian IT.
√
Alat absensi yang digunakan adalah mesin pencatat waktu kerja. Jika user mengalami masalah dalam proses input, manajer akan memberikan penjelasan dan arahan singkat.
√
Apakah ada manajemen pada √ penyimpanan data (File Library) dan proses posting data? Apakah terdapat fasilitas menu √ help pada ACCPAC? Tabel 4.9 Daftar Pertanyaan Kuesioner Pada Operations Management Controls
122 Daftar Pertanyaan Wawancara Pada Operations Management Controls No. Pertanyaan 1. Bagaimana prosedur pengoperasian ACCPAC? 2.
3.
4.
5.
6.
7.
8.
Pelatihan apa yang diberikan kepada karyawan terutama karyawan baru dalam pengoperasian ACCPAC? Apakah terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya? Jika ya, apakah karyawan sudah menjalankan tugas dan wewenangnya dengan baik? Bagaimana prosedur perawatan untuk menghindari terjadinya kerusakan pada hardware dan software? Jaringan atau networking apa yang digunakan perusahaan?
Jawaban Untuk dapat terkoneksi ke jaringan, menggunakan password dan user ID sesuai dengan otorisasinya. Perusahaan memberikan pelatihan inhouse dengan diberikan arahan dalam penggunaan ACCPAC.
Terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya. Juga dilakukan penilaian terhadap kinerja karyawan setiap 6 bulan sekali untuk melihat apakah karyawan telah menjalankan tugas dan wewenangnya dengan baik. Perusahaan melakukan maintenance secara berkala sebulan sekali dan mengupgrade software – software, serta menghapus file – file sementara. Perusahaan menggunakan LAN, sebagai jaringan yang digunakan untuk menghubungkan komputer internal perusahaan dan sharing folder dan data. Agar sharing data ke pusat lebih cepat, perusahaan menggunakan topologi star. Sedangkan WAN, sebagai penghubung antara perusahaan dengan kantor pusat dan cabang lain, menggunakan koneksi XL dengan kecepatan 128 Kbps. File-file yang sudah tidak terpakai akan Bagaimana perusahaan disimpan pada ruang khusus. Untuk proses memanage penyimpanan data posting, hanya dapat dilakukan oleh (File Library) dan proses manajer. posting data? Metode apa yang digunakan Untuk depresiasi, perusahaan perusahaan dalam penghitungan menggunakan Straight-line method depresiasi? (metode garis lurus). Depresiasi aktiva Kapan depresiasi aktiva tetap tetap dilakukan setelah 5 tahun pembelian dilakukan? setiap bulannya. Bagaimana prosedur reparasi Jika terdapat aktiva tetap yang memerlukan aktiva tetap? reparasi, maka bagian GA akan menghubungi supplier. Kemudian supplier akan datang ke perusahaan untuk memperbaiki. Setelah itu, supplier akan memberikan faktur sebagai biaya reparasi dan bagian akuntansi akan membuat BBK. Tabel 4.10 Daftar Pertanyaan Wawancara Pada Operations Management Controls
123 Temuan Evaluasi atas Pengendalian Manajemen Operasional a. Temuan Positif -
Terdapat pemisahan tugas dan wewenang dan dilakukan penilaian terhadap kinerja karyawan setiap 6 bulan sekali.
-
ACCPAC hanya digunakan pada jam kerja saja.
-
Setiap bagian telah memiliki SOP yang membantu dalam melakukan tugas dan tanggung jawabnya.
-
Terdapat prosedur perawatan komputer secara berkala.
-
Bagian IT yang membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database.
-
Perusahaan menggunakan alat absensi mesin pencatat waktu kerja.
-
Form input pada ACCPAC cukup mudah dimengerti oleh user pada umumnya.
-
File-file yang sudah tidak terpakai akan disimpan pada ruang khusus.
-
Komputer perusahaan terhubung dengan LAN dan WAN, serta menggunakan topologi star.
-
Depresiasi menggunakan metode Straight-line dan dilakukan setiap bulannya setelah 5 tahun pembelian.
-
Terdapat prosedur reparasi aktiva tetap.
b. Temuan Negatif -
Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan ACCPAC.
-
Tidak terdapat fasilitas menu help pada ACCPAC.
124 -
Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam transaksi maupun proses bisnis perusahaan (Gambar 4.1).
Gambar 4.1 – Tampilan Menu A/M
125
No. 1.
2.
3.
Temuan
Penyebab
Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan ACCPAC. Tidak terdapat fasilitas menu help pada ACCPAC.
Perusahaan telah memberikan pengarahan secara pribadi kepada karyawan baru dalam penggunaan ACCPAC. Perusahaan telah melakukan pemeriksaan secara manual untuk memastikan tidak terdapat kesalahan.
Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam transaksi maupun proses bisnis perusahaan
Menu – menu tersebut sudah merupakan satu kesatuan dalam ACCPAC.
Resiko atau Dampak
Rekomendasi
Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan akan mengganggu kegiatan operasional perusahaan.
Berikan pelatihan secara khusus dan panduan kepada karyawan terutama karyawan baru yang akan menggunakan aplikasi tentang penggunaan ACCPAC.
Dengan tidak adanya menu help maka dapat terjadi human error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan, kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak benar. Menu – menu tersebut dapat membingungkan bagi karyawan yang baru menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat menimbulkan kesalahan dalam penginputan data.
Menyediakan menu help pada ACCPAC karena dapat memberikan informasi kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke komputer dan mempermudah manajer dalam melakukan pemeriksaan. Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung dalam proses bisnis perusahaan dan karyawan diberikan buku panduan tentang ACCPAC.
Tabel 4.11 Matriks Temuan, Resiko dan Rekomendasi Pada Operations Management Controls
Tingkat Resiko Low
Medium
Low
126 4.3.3
Input Controls
Daftar Pertanyaan Kuesioner Pada Input Controls No. Pertanyaan 1. Apakah data yang diinput telah berdasarkan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar? 2. Apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya? 3. Apakah karyawan yang melakukan entry data memiliki otorisasi? 4.
5.
Apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data? Apakah kesalahan dalam penginputan dapat diubah?
6.
Apakah terdapat warning message apabila terjadi pemasukan data yang ganda?
7.
Apakah dilakukan pengarsipan atau pemberian tanda terhadap Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput?
Y √
N
√
Keterangan Semua data yang diinput berdasarkan semua dokumen sumber. Hal ini dapat terlihat pada ACCPAC, bagian yang menginput data tidak dapat menggunakan menu cetak laporan (print). Otorisasi telah diberikan kepada setiap karyawan untuk mencegah terjadinya manipulasi data
√
√
√
√
√
Selama data belum diproses atau diposting maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang. Tidak terdapat warning message apabila terjadi pemasukan data yang ganda. Tetapi kode PO, BBM, BBK, Proposal Pengajuan yang sudah ada tidak dapat dimasukkan kembali. Pada Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput akan diberikan tanda dan akan disimpan sebagai arsip.
127 8.
Apakah terdapat pengkodean untuk mengidentifikasi barang atau transaksi tertentu?
9.
Apakah ada kombinasi warna pada layar ACCPAC apabila user melakukan kesalahan dalam penginputan? Apakah terdapat menu peringatan jika data belum dibackup? Apakah fasilitas menu pada ACCPAC telah memenuhi kebutuhan user? Apakah Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang di-input memiliki pre-printednumber? Apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber?
10. 11. 12.
13.
14.
15. 16.
√
Pengkodean yang unik digunakan untuk mengidentifikasi barang atau transaksi tertentu. √
√ √ √
√
Tidak terdapat preprinted-number pada Bukti Bank Keluar.
Manajer yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber Banyak kolom yang tidak diperlukan dalam tampilan input pada ACCPAC.
√ Apakah tampilan menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan? √ Apakah human error dalam penginputan data dapat diantisipasi dan dikendalikan? Apakah pengendalian yang ada √ dapat mencegah manipulasi data oleh orang yang tidak berkepentingan? Tabel 4.12 Daftar Pertanyaan Kuesioner Pada Input Controls
Daftar Pertanyaan Wawancara Pada Input Controls No. Pertanyaan 1. Bagaimana prosedur penginputan pada ACCPAC? 2. Bagaimana proses pemisahan tugas antara pihak yang melakukan input data dengan
Jawaban Melakukan seperti yang terdapat pada SOP. Terdapat pemisahan tugas antara yang melakukan input dan output. Yang melakukan input data adalah staf dan
128
3.
4.
5.
6.
7.
8.
9.
yang mengeluarkan output Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap? Metode apa yang digunakan dalam penginputan data? Mengapa menggunakan metode tersebut? Bagaimana prosedur pengarsipan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput? Bagaimana jika terjadi kesalahan dalam proses penginputan data?
mengeluarkan outputnya adalah manajer.
Perusahaan masih menggunakan metode keyboarding karena untuk menginput kode dan angka belum memungkinkan menggunakan metode yang lain. Seluruh dokumen yang ada akan disimpan sampai kurang lebih 10 tahun.
Jika karyawan melakukan salah input kode, maka data akan ditolak. Tetapi jika salah input angka, maka pengendaliannya adalah koreksi oleh manajer. Lalu karyawan yang menginput memperbaikinya dan akan diperiksa kembali oleh manajer sebelum membuat laporan. Setiap aset memiliki penomoran yang unik Apakah terdapat pengkodean dan setiap dokumen terdapat nomor khusus khusus untuk mengidentifikasi berdasarkan nomor dokumen yang item barang dan transaksi yang digunakan. terjadi? Pasti pernah terjadi human error dalam Apakah pernah terjadi human penginputan data. Untuk mengantisipasinya error dalam penginputan data? dilakukan pengecekan ulang letak Jika pernah, apa yang kesalahannya oleh manajer. dilakukan? Belum pernah terjadi, karena adanya Apakah pernah terjadi manipulasi data oleh orang yang pembatasan hak akses. tidak berkepentingan? Jika pernah, apa yang dilakukan? Apakah pada saat memasukkan Iya, karena di dalam database terdapat kode barang, nama barang dan master barang sehingga pada saat input informasi yang berhubungan kode barang secara otomatis, nama barang akan keluar secara otomatis? akan muncul. Tabel 4.13 Daftar Pertanyaan Wawancara Pada Input Controls
129 Temuan Evaluasi atas Pengendalian Input a. Temuan Positif -
Semua data yang diinput berdasarkan semua dokumen sumber.
-
Terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya.
-
Karyawan yang melakukan entry data telah memiliki otorisasi untuk mencegah terjadinya manipulasi data
-
Data masih dapat diubah dan diinput ulang. Selama data belum diproses atau diposting
-
Terdapat pengarsipan atau pemberian tanda terhadap Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput.
-
Terdapat pengkodean yang unik untuk mengidentifikasi barang atau transaksi tertentu.
-
Fasilitas menu pada ACCPAC telah memenuhi kebutuhan user
-
Manajer yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber.
-
Human error dalam penginputan data dapat diantisipasi dengan pengecekan ulang yang dilakukan oleh manajer.
-
Belum pernah terjadi manipulasi data oleh orang yang tidak berkepentingan
-
Dalam penginputan data, perusahaan menggunakan metode keyboarding.
-
Pada saat input kode barang, secara otomatis nama barang akan muncul.
130 b. Temuan Negatif -
Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan data.
-
Tidak terdapat preprinted-number pada Bukti Bank Keluar (Lampiran 32, L30).
-
Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.
-
Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan kesalahan dalam penginputan.
-
Tampilan menu input kurang efektif dalam proses penginputan karena ada kolom - kolom yang tidak terpakai. Contoh :
Gambar 4.2– Tampilan PO Entry -
Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi ACCPAC.
-
Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.
131
No.
Temuan
Penyebab
1.
Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan data.
Data dalam ACCPAC tidak dapat diproses jika ada kesalahan.
2.
Tidak terdapat preprintednumber pada Bukti Bank Keluar.
Yang bertanggungjawab atas BBK hanya satu orang saja.
3.
Tidak terdapat warning message apabila terjadi pemasukan data yang ganda. Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan kesalahan dalam penginputan.
Perusahaan telah melakukan pemeriksaan secara manual.
4.
Pada ACCPAC tidak dilengkapi dengan kombinasi warna.
Resiko atau Dampak
Rekomendasi
Pada ACCPAC terdapat error message jika terjadi kesalahan dalam penginputan agar karyawan dapat segera memperbaikinya dan dilakukan verifikasi independent. Pengeluaran tidak dapat dikendalikan Bukti Bank Keluar sebaiknya memiliki preprinted-number dengan baik, memungkinkan dan dilakukan otorisasi serta penggunaan kas untuk hal pribadi pemisahan tugas dan fungsi. atau kurang penting. Selain untuk mencegah resikoresiko, hal ini juga dapat memudahkan proses audit dan mendeteksi kesalahan maupun penyalahgunaan dana lebih cepat. Dapat terjadi redudansi data. Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih dari satu (pemeriksaan data). Jika terjadi kesalahan dalam penginputan data maka akan menghabiskan waktu untuk melakukan pemeriksaan ulang letak kesalahannya.
Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna pada tampilan dan dapat menghambat pekerjaan karyawan.
Menggunakan kombinasi warna yang membuat proses entry data dapat dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah (menggunakan warna – warna yang soft).
Tingkat Resiko Low
Medium
Medium
Medium
132
5.
Tampilan menu input kurang efektif dalam proses penginputan.
Menu yang ada sudah diprogram pada saat pembuatan aplikasi.
Menu input yang tidak efektif dapat menghambat dalam proses penginputan data.
6.
Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi ACCPAC Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.
Backup data hanya dapat dilakukan oleh manajer dan bagian IT saja.
Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting perusahaan. Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan dan mengalami kesulitan dalam penginputan data.
7.
Perusahaan telah menetapkan kode yang baru untuk PO dan BBM pada ACCPAC.
Perusahaan menggunakan sistem yang memiliki menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan. Karyawan sebaiknya melakukan backup data setiap hari dan terdapat menu peringatan untuk mengingatkan user.
Low
Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen sumber dan pada layar input.
Medium
Tabel 4.14 Matriks Temuan, Resiko dan Rekomendasi Pada Input Controls
Low
133 4.3.4
Boundary Control
Daftar Pertanyaan Kuesioner Pada Boundary Controls No. Pertanyaan 1. Apakah pada ACCPAC menampilkan pesan jika verifikasi login tidak valid atau salah? 2. Apakah pada ACCPAC dilengkapi dengan akses login?
Y √
3.
√
4. 5. 6. 7. 8.
9. 10. 11.
12
Apakah password yang ada menggunakan teknik cryptography? Apakah pada ACCPAC dibatasi ukuran/panjang password dan user name? Apakah password menggunakan variasi (angka & huruf)? Apakah terdapat prosedur penghapusan atau penggantian password? Apakah terdapat prosedur bantuan jika user lupa passwordnya? Apakah terdapat pembatasan hak akses yang dibagi berdasarkan jabatan pengguna?
N
Keterangan Jika password yang dimasukkan salah maka akan keluar peringatan atau invalid password. ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.
√
Panjang password yang digunakan tergantung dari user.
√
√ √ √ √
Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang dimiliki karyawan.
Apakah terdapat fasilitas √ automatically warning? Apakah pada ACCPAC dibatasi √ kesalahan dalam penginputan login akses? Apakah terdapat batas waktu √ (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off? Apakah pada ACCPAC terdapat √ audit trail? Tabel 4.15 Daftar Pertanyaan Kuesioner Pada Boundary Controls
134 Daftar Pertanyaan Wawancara Pada Boundary Controls No. Pertanyaan 1. Bagaimana respon dari ACCPAC jika terjadi kesalahan login?
Jawaban ACCPAC akan langsung menolak dan menu lain pada ACCPAC tidak dapat dibuka. Namun, tidak dibatasi kesalahan saat login. Bagaimana prosedur Pada menu login terdapat menu change penghapusan atau penggantian password untuk memudahkan karyawan password? melakukan perubahan password. Bagaimana prosedur bantuan Tidak terdapat prosedur bantuan jika user jika user lupa passwordnya? lupa passwordnya. Apakah terdapat fasilitas Tidak terdapat fasilitas automatically automatically warning? warning yang mengingatkan user untuk mengganti passwordnya secara berkala. Apakah ada kebijakan yang Perusahaan membuat kebijakan agar user mengharuskan user mengubah mengganti passwordnya sebulan sekali. passwordnya secara berkala? Apa respon ACCPAC apabila Perusahaan hanya menghimbau karyawan user tidak melakukan log off agar tidak lupa log off apabila dan bagaimana sistem menggunakan ACCPAC. pengamanannya? Tabel 4.16 Daftar Pertanyaan Wawancara Pada Boundary Controls
2. 3. 4. 5. 6.
Temuan Evaluasi atas Pengendalian Boundary a. Temuan Positif -
Terdapat peringatan invalid password jika password yang dimasukkan salah (Lampiran 3, L2).
-
Password yang diinput pada menu login ACCPAC menggunakan teknik cryptography.
-
ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.
-
Password telah menggunakan variasi angka dan huruf agar tidak mudah diketahui oleh orang lain.
-
Pada menu login terdapat menu change password untuk memudahkan karyawan melakukan perubahan password (Lampiran 2, L2).
135 -
Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang dimiliki karyawan.
b. Temuan Negatif -
Panjang password yang digunakan tidak dibatasi oleh ACCPAC.
-
Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi ACCPAC.
-
Tidak terdapat pembatasan umur password beserta fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala.
-
Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off.
-
Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC.
-
ACCPAC tidak memiliki audit trail.
136
No. 1.
2.
3.
4.
Temuan
Penyebab
Panjang password yang digunakan tidak dibatasi oleh ACCPAC. Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi ACCPAC.
Aplikasi tidak dilengkapi dengan fasilitas tersebut.
Tidak terdapat pembatasan umur password beserta fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala. Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC
Karyawan di perusahaan pada setiap bagian tidak terlalu banyak, sehingga ada anggapan bahwa karyawan dapat diperingatkan secara langsung.
Tidak tersedia prosedur bantuan pada ACCPAC jika user lupa passwordnya.
Jumlah karyawan yang tidak terlalu banyak dan saling kenal, menimbulkan anggapan bahwa hal tersebut tidak menjadi persoalan.
Resiko atau Dampak Setiap user dapat memiliki panjang password yang berbeda – beda dan password yang digunakan dapat mudah ditebak. Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC dan harus menghubungi bagian IT di kantor pusat. Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang.
Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang untuk dapat mengakses ACCPAC.
Rekomendasi Batasi panjang password sebanyak 6 karakter dan dilakukan invisible password.
Tingkat Resiko Low
Pada ACCPAC disediakan menu help dan diberikan buku panduan jika karyawan lupa akan passwordnya.
Low
Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh memberitahukan password kepada orang lain dan selalu mengganti password secara rutin.
High
Melakukan enkripsi dan invisible password, dengan menentukan batasan kesalahan dalam menginput password sebanyak 3 kali dan jika
High
137
5.
Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off.
Selain aplikasi tidak dilengkapi dengan fasilitas tersebut, perusahaan telah menggunakan time limit (batas waktu login) pada saat komputer tidak digunakan.
Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan memodifikasi aset perusahaan pada saat komputer baru ditinggalkan beberapa saat.
6.
ACCPAC tidak memiliki audit trail.
Sistem Informasi perusahaan belum pernah diaudit oleh auditor eksternal.
Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk mengetahui aktivitas user mulai dari login, proses selama penggunaan aplikasi, hingga log off .
melewati batas tersebut maka ACCPAC akan tertutup secara otomatis. Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup sehingga user harus memasukkan user ID dan password kembali. Sebaiknya dibuat audit trail pada ACCPAC.
Tabel 4.17 Matriks Temuan, Resiko dan Rekomendasi Pada Boundary Controls
High
Medium
138 4.3.5
Output Control
Daftar Pertanyaan Kuesioner Pada Output Controls No. Pertanyaan 1. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan didistribusikan secara tepat waktu? 2. Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak? 3. Apakah ACCPAC yang digunakan pada PT Triteguh Manunggal Sejati dpt menghasilkan laporan yg dibutuhkan? 4. Apakah terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC? 5. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi disimpan dengan baik (tidak akan dihancurkan)? 6. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang berkepentingan? 7. Apakah setiap Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut,
Y √
N
Keterangan Karyawan telah diberikan deadline, kapan laporanlaporan tersebut harus dibuat dan didistribusikan.
√
√
√
√
√
√
Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan
139 pihak yang berwenang menerimanya, otorisasi pihak yang membuat laporan?
√
Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut. Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan, setiap halaman pada laporan terdapat page number.
8.
Apakah terdapat end of page jika Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap lebih dari 1 (satu) halaman?
9.
√ Apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb). √ Apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala? Tabel 4.18 Daftar Pertanyaan Kuesioner Pada Output Controls
10.
Daftar Pertanyaan Wawancara Pada Output Controls No. Pertanyaan 1. Bagaimana prosedur permintaan pencetakan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dan pendistribusiannya? 2.
Jenis laporan apa saja yang biasanya dicetak?
3.
Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak? Jika ya, bagaimana prosedur pemeriksaannya? Bagaimana jika ditemukan kesalahan pada Laporan Keuangan, Laporan Pembelian
4.
Jawaban Laporan dibuat setiap bulannya. Prosedur pencetakan mulai dari orang yang berwewenang mencetak laporan memberikan kepada manajer, lalu manajer memberikan kepada kantor pusat dalam bentuk softcopy, tidak dalam bentuk dokumen (hardcopy). Perusahaan jarang melakukan pencetakan terhadap laporan karena biasanya laporan diberikan ke kantor pusat dalam bentuk softcopy. Laporan tersebut semua akan diperiksa oleh manajer pada departemen yang terkait dan kemudian dikirimkan kepada kantor pusat.
Jika ditemukan kesalahan pada Laporan, maka laporan tersebut akan diperbaiki. Laporan tersebut dapat dicetak lagi dan
140 tidak ada ketentuan sampai berapa kali dan Penerimaan Barang dan Laporan Aktiva tetap yang telah laporan tersebut boleh dicetak. dicetak? Apakah laporan tersebut dapat dicetak lagi? Seperti telah disebutkan di atas, laporan Apakah terdapat control terhadap penghancuran Laporan yang sudah tidak dibutuhkan tidak boleh dihancurkan dan disimpan sampai kurang Keuangan, Laporan Pembelian lebih sampai waktu 10 tahun agar dan Penerimaan Barang dan memudahkan dalam proses audit. Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan? Tabel 4.19 Daftar Pertanyaan Wawancara Pada Output Control
5.
Temuan Evaluasi atas Pengendalian Output a. Temuan Positif -
Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap telah didistribusikan tepat waktu.
-
Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan Laporan Aktiva tetap akan diperiksa ulang oleh manajer pada departemen yang terkait.
-
ACCPAC yang digunakan telah dapat menghasilkan laporan yang dibutuhkan.
-
Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan Laporan Aktiva tetap yang sudah tidak dibutuhkan tidak boleh dihancurkan.
-
Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang berkepentingan.
-
Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan, setiap halaman pada laporan terdapat page number (Lampiran 23, L21).
141 -
Terdapat pengklasifikasian laporan (rahasia, umum, dsb).
b. Temuan Negatif -
Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan Laporan Aktiva tetap dapat dicetak pada ACCPAC.
-
Kode PO dan BBM pada layar input tidak sama dengan format Laporan Pembelian dan Penerimaan Barang.
-
Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
-
Tidak dilakukan control terhadap jumlah kertas yang digunakan secara berkala.
142
No.
Temuan
Penyebab
Resiko atau Dampak
Rekomendasi
1.
Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC.
Agar pencetakan laporan lebih praktis dan mudah dicetak ketika dibutuhkan.
Diberikan batasan dalam pencetakan laporan jika ditemukan kesalahan dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan serta pemisahan tugas dan fungsi.
2.
Kode PO dan BBM pada layar input tidak sama dengan format Laporan Pembelian dan Penerimaan Barang
Laporan Pembelian dan Penerimaan Barang tidak dicetak melalui ACCPAC
3.
Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
Laporan sudah dibuat setiap bulannya dan diberikan dalam bentuk softcopy.
Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat menimbulkan resiko laporan akan kehilangan kerahasiaannya. Membingungkan karyawan yang melakukan input data, sehingga memungkinkan terjadinya kesalahan dalam pembuatan laporan. Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah
Tingkat Resiko Medium
Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan format Laporan Pembelian dan Penerimaan Barang.
Medium
Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang harus tercantum control page, control copy, judul, tanggal, periode, nomor urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan.
High
143
4.
Penggunaan kertas pada perusahaan kurang diperhatikan dan perusahaan jarang melakukan pencetakan laporan.
Tidak dilakukan control terhadap jumlah kertas yang digunakan secara berkala
Inefektif dan inefisien dalam penggunaan kertas dan dapat mengakibatkan kerugian finansial pada perusahaan.
Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap bulannya.
Medium
Tabel 4.20 Matriks Temuan, Resiko dan Rekomendasi Pada Output Control 4.4.
Matriks Penilaian Resiko dan Pengendalian
4.4.1 No.
Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control Resiko
I
L
1.
Rusaknya data, hardware dan software karena virus.
-2
-2
Nilai Resiko -4
2.
Terhambat dalam pemberitahuan
-3
-1
-3
Pengendalian Perusahaan melakukan upgrade software – software dan backup data secara otomatis dan rutin, 2 kali dalam sehari serta memiliki antivirus dengan fasilitas automatically clean sehingga virus dapat segera terdeteksi secara otomatis. Terdapat 3 buah tabung pemadam kebakaran yang
D
E 2
Nilai Pengendalian 4
Jumlah Penilaian 0
2
1
3
3
0
144
terletak pada ruang komputer, ruang produksi, dan ruang formulasi serta diberikan larangan merokok di area kantor.
kebakaran dan tindakan penyelamatan terhadap aset ataupun karyawan. 3.
4.
5.
Makanan ataupun minuman yang tumpah dapat mengakibatkan polusi yang dapat merusak disk drive, harddisk, dll. Kerusakan aset sistem informasi.
-3
-2
-6
-3
-1
-3
Pencurian aset dan manipulasi data.
-3
-1
-3
Perusahaan telah melakukan perawatan secara rutin dan mengasuransikan aktiva tetapnya. Terdapat petugas keamanan untuk mengantisipasi pencurian aset.
0
0
0
-6
1
3
3
0
2
1
2
-1
Tabel 4.21 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control
4.4.2 No. 1.
Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control Resiko
Karyawan kesulitan dalam penggunaan ACCPAC.
I
L
-3
-1
Nilai Resiko -3
Pengendalian
D
E
Manajer memberikan pengarahan dalam penggunaan ACCPAC dan karyawan dapat
1
2
Nilai Pengendalian 2
Jumlah Penilaian -1
145
2.
Human error
-3
-2
-6
3.
Menu pada ACCPAC membingungkan dan menghambat kinerja karyawan.
-2
-1
-2
bertanya kepada manajer jika mengalami kesulitan. Manajer melakukan pemeriksaan ulang data yang diinput. Adanya penolakan penyimpanan data jika karyawan melakukan salah input kode. Diberikan pengarahan oleh manajer untuk karyawan baru dalam penggunaan ACCPAC.
3
1
3
-3
1
2
2
0
Tabel 4.22 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control
4.4.3 No. 1.
2.
3. 4.
Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control Resiko
I
L
Waktu banyak terbuang karena memeriksa letak kesalahan dalam penginputan. Penggunaan kas untuk keperluan pribadi
-3
-1
Nilai Resiko -3
-3
-2
-6
-3 -3
-1 -2
-3 -6
Redudansi data Kesalahan dalam entry
Pengendalian
D
E
Perusahaan menghimbau agar karyawan tidak melakukan kesalahan dalam penginputan data. Terdapat pemisahan tugas dan fungsi. Selain itu, pengeluaran kas diotorisasi oleh satu orang saja.
1
Selama data belum diproses
2
Nilai Pengendalian 2
Jumlah Penilaian -1
1
2
2
-4
0 1
0 3
0 3
-3 -3
146
data.
5. 6.
7.
Menghambat dalam proses penginputan data. Lupa melakukan backup data sehingga informasi tidak up to date dan kehilangan data – data penting perusahaan Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input.
-2
-1
-2
-3
-2
-6
-3
-2
-6
atau diposting ke dalam database permanen, maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang. Menu sudah diprogram sejak awal implementasi ACCPAC. Perusahaan telah melakukan backup data secara rutin.
Dokumen sumber disimpan dan dikelompokkan berdasarkan tanggal transaksi.
1
2
2
0
2
2
4
-2
3
1
3
-3
Tabel 4.23 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control
4.4.4 No. 1.
Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control Resiko
I
L
Password yang digunakan dapat mudah ditebak
-2
-2
Nilai Resiko -4
Pengendalian
D
E
Dilakukan enkripsi dan invisible password.
2
1
Nilai Pengendalian 2
Jumlah Penilaian -2
147
2. 3.
4.
Karyawan tidak dapat menggunakan ACCPAC karena lupa password. Penyalahgunaan wewenang (mengakses, membuka dan mengcopy tanpa wewenang).
-3
-1
-3
Meminta bantuan kepada bagian IT.
1
3
3
0
-3
-3
-9
3
1
3
-6
Proses audit dapat terhambat
-3
-2
-6
Terdapat kebijakan yang tidak memperbolehkan karyawan memberitahukan password kepada orang lain, mengharuskan user melakukan log off ketika komputer tidak digunakan/ditinggal, mengganti password secara rutin, serta terdapat enkripsi dan invisible password Dokumentasi dokumen – dokumen penting perusahaan dan backup data – data perusahaan secara rutin.
1
2
2
-4
Tabel 4.24 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control
4.4.5 No. 1.
Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control Resiko
Laporan dimodifikasi oleh pihak tidak berwenang.
I
L
-3
-2
Nilai Resiko -6
Pengendalian Otorisasi dalam pembuatan laporan.
D
E
1
2
Nilai Pengendalian 2
Jumlah Penilaian -4
148
2.
Pencurian laporan
-3
-2
-6
3.
Kesalahan dalam pembuatan laporan.
-3
-2
-6
4.
Penyalahgunaan laporan
-3
-3
-9
5.
Inefektif dan inefisiensi dalam penggunaan kertas (kerugian finansial).
-2
-2
-4
Pembatasan dan pengawasan dalam pencetakan laporan dan diberikan otorisasi serta pemisahan tugas dan fungsi. Perbaikan kesalahan untuk laporan yang salah. Laporan tersebut dapat dicetak lagi dan tidak ada pembatasan berapa kali laporan tersebut boleh dicetak. Dilakukan otorisasi serta pemisahan tugas dan fungsi dalam pembuatan laporan. Selain itu, perusahaan juga jarang dalam melakukan pencetakan laporan.
3
2
6
0
1
2
2
-4
3
1
3
-6
0
0
0
-4
Tabel 4.25 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control Keterangan : I : Impact (Dampak dari resiko yang ada). D : Design (Seberapa baik desain pengendalian yang ada). L : Likelihood (Tingkat keterjadian resiko yang ada) E : Effectiveness (Tingkat pelaksanaan dalam menjalankan control). Jumlah Penilaian Tingkat Resiko : - High : Antara -6 sampai -9 - Medium : Antara -3 sampai -5
-
Low
: Antara -2 sampai 0
149 4.5.
Laporan Audit
LAPORAN HASIL EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT.TRITEGUH MANUNGGAL SEJATI
Berikut ini merupakan hasil laporan evaluasi sistem informasi aktiva tetap pada PT TRITEGUH MANUNGGAL SEJATI yang terdiri dari pengendalian umum dan pengendalian aplikasi. Evaluasi dilakukan mulai dari bulan September 2007 sampai dengan Desember 2007.
A. Ruang Lingkup Evaluasi Ruang lingkup evaluasi dibatasi oleh auditor menjadi : 1. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran, perbaikan (reparasi), penyusutan (depresiasi) sampai dengan penghapusan (disposal) aktiva tetap tersebut. 2. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor. 3. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan pada pengendalian umum (general control) dan pengendalian aplikasi (application control). •
Pengendalian umum yang akan dibahas oleh penulis, yaitu : a. Pengendalian Manajemen Keamanan (Security Management Control). b. Pengendalian Manajemen Operasi (Operations Management Control).
•
Pengendalian aplikasi yang akan dibahas oleh penulis, yaitu:
150 d. Pengendalian Masukan (Input Control) e. Pengendalian Keluaran (Output Control) f. Pengendalian Batasan (Boundary Control)
B. Tujuan Pelaksanaan Evaluasi Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai berikut: 1. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap yang terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai dengan standard dan business process. 2. Untuk mengidentifikasi permasalahan atau kelemahan, risiko yang mungkin timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva tetap PT. TRITEGUH MANUNGGAL SEJATI. 3. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT. TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang ada. 4. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah diproses sehingga output yang dihasilkan dapat dipercaya.
C. Metode Audit Metode audit yang digunakan oleh auditor adalah : 1. Studi Pustaka Mempelajari dan membaca buku – buku yang berhubungan dengan audit sistem informasi aktiva tetap sebagai landasan teori dalam pelaksanaan audit. 2. Wawancara
151 Melakukan wawancara secara langsung dengan Manajer Akuntansi dan Keuangan untuk mengetahui sistem informasi aktiva tetap yang telah digunakan PT. TRITEGUH MANUNGGAL SEJATI. 3. Observasi Melakukan pengamatan secara langsung pada PT. TRITEGUH MANUNGGAL SEJATI untuk mengetahui keadaan perusahaan dan untuk melakukan pembuktian atas informasi yang diperoleh melalui metode audit lain seperti kuesioner. 4. Kuesioner Membuat daftar pertanyaan – pertanyaan dan menyebarkannya ke bagian yang terkait untuk mendapatkan informasi yang mendukung dalam proses audit.
D. Hasil Audit Hasil Audit Pada Pengendalian Umum I. Security Management Controls 1. Temuan audit : Tidak dilakukan scan virus secara rutin. Resiko: Selain dapat menghambat proses kerja komputer perusahaan, data penting perusahaan pun dapat terkena virus, rusak, dan bahkan hilang. Jika hal ini tidak segera diatasi, maka dapat merusak data dan software serta mengganggu kegiatan operasional perusahaan. Kerugian finansial karena penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini. Rekomendasi:
152 Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk. 2. Temuan audit : Tidak terdapat alarm kebakaran. Resiko: Kesulitan dan hambatan untuk memberitahukan kepada seluruh karyawan dan sekitarnya akan terjadinya kebakaran, sehingga tindakan penyelamatan terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat segera ditangani. Hal ini dapat menyebabkan kerugian yang cukup besar dan berpengaruh bagi kegiatan bisnis maupun keuangan perusahaan. Rekomendasi: Meletakkan alarm kebakaran tempat yang strategis atau memberikan larangan merokok di area kantor karena dapat meminimalkan kerusakan dan kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada perusahaan berfungsi dengan baik. 3. Temuan audit : Karyawan tidak diberikan larangan membawa makanan di dekat peralatan komputer. Resiko: Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak kabel-kabel, yang dapat merusak disk drive, harddisk, dll. Resiko lainnya
153 adalah kinerja karyawan menjadi kurang efektif dan efisien karena kurangnya konsentrasi dan disiplin. Rekomendasi: Memberikan larangan kepada karyawan untuk tidak membawa makanan dan minuman ke dalam ruang atau peralatan komputer. Perusahaan juga perlu mensosialisasikan prosedur kebersihan kepada seluruh karyawan. 4. Temuan audit : Tidak terdapat prosedur kebersihan aset sistem informasi. Resiko: Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll. Rekomendasi: Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset perusahaan dapat beroperasi dengan baik. Agar prosedur kebersihan dilakukan
dengan
baik
oleh
seluruh
karyawan,
perusahaan
dapat
menempelkan poster-poster atau kartu-kartu yang menarik mengenai kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat-tempat yang sering dilalui. 5. Temuan audit : Tidak
terdapat pemisahan
antara
ruang
penyimpanan dokumen pada bagian akuntansi. Resiko:
komputer
dengan
tempat
154 Dapat terjadi kehilangan data akibat pencurian oleh pihak yang tidak berwenang dan terjadi manipulasi terhadap data, serta pengarsipan maupun penginputan data yang kurang efektif. Rekomendasi: Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi. II. Operations Management Controls 1. Temuan audit : Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan ACCPAC. Resiko: Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan akan mengganggu kegiatan operasional perusahaan. Rekomendasi: Berikan pelatihan secara khusus dan panduan kepada karyawan terutama karyawan baru yang akan menggunakan aplikasi tentang penggunaan ACCPAC. 2. Temuan audit : Tidak terdapat fasilitas menu help pada ACCPAC. Resiko: Dengan tidak adanya menu help maka ada kemungkinan terjadinya human error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan,
155 kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak benar. Rekomendasi: Menyediakan menu help pada ACCPAC karena dapat memberikan informasi kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke komputer dan mempermudah manajer dalam melakukan pemeriksaan. 3.
Temuan audit : Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam transaksi maupun proses bisnis perusahaan. Resiko: Menu – menu tersebut dapat membingungkan bagi karyawan yang baru menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat menimbulkan kesalahan dalam penginputan data Rekomendasi: Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung dalam proses bisnis perusahaan. Dan yang terpenting adalah karyawan diberikan buku panduan ataupun penjelasan lisan yang terperinci tentang ACCPAC.
III. Input Control 1. Temuan audit : Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan data. Resiko:
156 Jika terjadi kesalahan dalam penginputan data, waktu yang dibutuhkan untuk menemukan letak kesalahan lebih lama dibandingkan dengan adanya error message. Rekomendasi: Pada ACCPAC ditambahkan fungsi error message, sehingga karyawan dapat segera memperbaiki jika terjadi kesalahan dalam penginputan. Selain itu, verifikasi independent juga dapat dilakukan untuk mengatasi hal ini. 2. Temuan audit : Tidak terdapat pre-printed-number pada Bukti Bank Keluar. Resiko: Pengeluaran tidak dapat dikendalikan dengan baik, memungkinkan penggunaan kas untuk hal pribadi atau kurang penting. Dalam jangka panjang, hal ini dapat mempengaruhi efektifitas dan efisiensi penggunaan kas dan membawa dampak negatif bagi keuangan perusahaan. Rekomendasi: Bukti Bank Keluar sebaiknya memiliki pre-printed-number dan dilakukan otorisasi serta pemisahan tugas dan fungsi. Selain untuk mencegah resikoresiko, hal ini juga dapat memudahkan proses audit dan mendeteksi kesalahan maupun penyalahgunaan dana lebih cepat. 3. Temuan audit : Tidak terdapat warning message apabila terjadi pemasukan data yang ganda. Resiko: Dapat terjadi redudansi data, yang juga memungkinkan kesalahan pembuatan laporan dan evaluasi laporan yang salah.
157 Rekomendasi: Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih dari satu (pemeriksaan data). Hal ini juga sebagai upaya untuk menghindari terjadinya manipulasi data yang ilegal. 4. Temuan audit : Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan kesalahan dalam penginputan. Resiko: Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna pada tampilan dan dapat menghambat pekerjaan karyawan. Rekomendasi: Menggunakan kombinasi warna yang membuat proses entry data dapat dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah (menggunakan warna – warna yang soft). 5. Temuan audit : Tampilan menu input kurang efektif dalam proses penginputan karena ada kolom-kolom yang tidak terpakai. Resiko: Menghambat proses penginputan data, menimbulkan kesalahan dalam penginputan dari dokumen sumber. Rekomendasi: Perusahaan menggunakan sistem yang memiliki menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan. Untuk sistem yang sudah berjalan, untuk setiap karyawan yang belum dapat menggunakan
158 ACCPAC dengan baik, sebaiknya diberikan pelatihan dan pendalaman khusus terhadap ACCPAC. Kesalahan-kesalahan seperti ini meskipun bersifat tidak material, akan tetapi dapat menghambat proses bisnis perusahaan jika dibiarkan terlalu lama terjadi. 6. Temuan audit : Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi ACCPAC Resiko: Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting perusahaan Rekomendasi: Karyawan sebaiknya melakukan backup data setiap hari dan disediakan menu peringatan untuk mengingatkan user. Hal lain yang bisa dilakukan adalah dengan membuat peringatan-peringatan tertulis untuk melakukan backup data, seperti membuat screensaver pada komputer yang bertuliskan untuk backup data, membuat catatan pengingat pada setiap komputer, dan sebagainya. 7. Temuan audit : Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input. Resiko: Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan
159 dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan dan mengalami kesulitan dalam penginputan data. Rekomendasi: Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen sumber dan pada layar input. IV. Boundary Control 1. Temuan audit : Panjang password yang digunakan tidak dibatasi oleh ACCPAC. Resiko: Setiap user dapat memiliki panjang password yang berbeda – beda dan password yang digunakan dapat mudah ditebak. Rekomendasi: Batasi panjang password sebanyak 6 karakter dan dilakukan invisible password. 2. Temuan audit : Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi ACCPAC. Resiko: Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC dan harus menghubungi bagian IT di kantor pusat Rekomendasi: Pada ACCPAC disediakan menu help dan diberikan fasilitas pertanyaan keamanan pada sistem jika karyawan lupa akan passwordnya. Alternatif lain
160 adalah dengan membuat prosedur penggantian password yang mudah dimengerti oleh user. 3. Temuan audit : Tidak terdapat pembatasan umur password beserta fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala. Resiko: Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang Rekomendasi: Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh memberitahukan password kepada orang lain dan selalu mengganti password secara rutin. Sebaiknya diberikan kebijakan dalam penjadwalan untuk melakukan perubahan password yang dilakukan tiga bulan satu kali dengan menentukan tanggal perubahan. Jadi perubahan password dilakukan secara serentak oleh setiap karyawan. Misalnya, dari tanggal 23 sampai dengan tanggal 30 Desember adalah jangka waktu untuk merubah password. Karyawan yang terlambat harus menerima konsekuensinya, yaitu user tidak dapat menggunakan ACCPAC. 4. Temuan audit : Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC Resiko: Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang untuk dapat mengakses ACCPAC.
161 Rekomendasi: Melakukan enkripsi dan invisible password, dengan menentukan batasan kesalahan dalam menginput password sebanyak 3 kali dan jika melewati batas tersebut maka ACCPAC akan tertutup secara otomatis. 5. Temuan audit : Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off. Resiko: Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan memodifikasi aset perusahaan pada saat komputer baru ditinggalkan beberapa saat. Rekomendasi: Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup sehingga user harus memasukkan user ID dan password kembali. Sebagai tambahan, setiap komputer juga dapat diberikan screensaver (dengan jangka waktu yang tidak terlalu lama) dan password, sehingga kemungkinan komputer digunakan oleh
orang yang tidak berkepentingan dapat
diminimalisasi. 6. Temuan audit : ACCPAC tidak memiliki audit trail. Resiko: Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk
162 mengetahui aktivitas user mulai dari login, proses selama penggunaan aplikasi, hingga log off . Rekomendasi: Sebaiknya dibuat audit trail pada ACCPAC. V. Output Control 1. Temuan audit : Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC. Resiko: Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat menimbulkan resiko laporan kehilangan kerahasiaannya. Rekomendasi: Diberikan batasan dalam pencetakan laporan
jika ditemukan kesalahan
dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan serta pemisahan tugas dan fungsi. 2. Temuan audit : Kode PO dan BBM pada layar input tidak sama dengan kode pada format Laporan Pembelian dan Penerimaan Barang. Resiko: Membingungkan
karyawan
yang
melakukan
input
data,
memungkinkan terjadinya kesalahan dalam pembuatan laporan.
sehingga
163 Rekomendasi: Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan format Laporan Pembelian dan Penerimaan Barang. 3. Temuan audit : Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut. Resiko: Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah Rekomendasi: Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang harus tercantum control page, control copy, judul, tanggal, periode, nomor urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. 4. Temuan audit : Tidak dilakukan control terhadap jumlah kertas yang digunakan secara berkala. Resiko: Inefektif dan inefisiensi dalam penggunaan kertas dan dapat mengakibatkan kerugian finansial pada perusahaan. Rekomendasi: Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap bulannya.
