81 BAB 4 EVALUASI SISTEM INFORMASI APLIKASI PENGGAJIAN
4.1 Persiapan dan Program Audit Rinci 4.1.1
Penentuan ruang lingkup dan sasaran Pada bab ini akan dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi penggajian PT. Nagasakti Kurnia Textile Mills. Dalam
pengumpulan
temuan
evaluasi
diperoleh
dari
dokumentasi
kebijaksanaan, prosedur dan wawancara dengan bagian personalia, bagian penggajian serta karyawan dengan kuesioner yang telah disusun dan dengan melakukan berbagai pengamatan dan pengujian. Pada tahap perencanaan ditetapkan persiapan evaluasi, ruang lingkup dan sasaran, tujuan dari pelaksanaan evaluasi dan persiapan penelitian lapangan. Guna mendapatkan perencanaan evaluasi yang baik serta menghindari kerancuan dalam proses pelaksanaan, terlebih dahulu harus menentukan ruang lingkup, sasaran dan tujuan yang ingin dicapai. Ruang lingkup dari sistem informasi pada PT. Nagasakti Kurnia Textile Mills adalah pengendalian terhadap prosedur yang berlaku, proses pelaksanaan sistem informasi penggajian karyawan serta evaluasi terhadap pengendalian umum dan pengendalian aplikasi. Sasaran yang hendak dicapai dari evaluasi sistem informasi pada PT. Nagasakti Kurnia Textile Mills adalah mengumpulkan bukti-bukti yang berkaitan atau relevan terhadap evaluasi dalam menentukan : 1) Reliabilitas dan integritas sistem informasi
82 2) Kebijakan, perencanaan dan peraturan. Pelaksanaan evaluasi menggunakan metode audit through the computer yang dibatasi pada pembahasan input dan output sistem informasi penggajian. 4.1.2
Tujuan pelaksanaan evaluasi Tujuan dari evaluasi atas proses transaksi yang berjalan pada PT. Nagasakti Kurnia Textile Mills adalah dengan melihat apakah pelaksanaan kegiatan penggajian telah berjalan lancar dan sesuai dengan prosedur yang berlaku untuk setiap divisi, sesuai dengan tanggungjawab yang telah diberikan untuk dijalankan dengan baik serta memberikan rekomendasi atas hasil
temuan
agar
memudahkan
manajemen
perusahaan
untuk
memperbaikinya. Tahap perencanaan audit dilakukan dengan menentukan ruang lingkup dan persiapan audit lapangan. 1) Penentuan ruang lingkup evaluasi Sistem Informasi penggajian Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen keamanan (security management controls). Sedangkan pengendalian aplikasi terbatas pada pengendalian batasan (boundary controls), pengendalian input (input controls), pengendalian output (output controls), pengendalian proses (process controls), pengendalian basis data (database controls), dan pengendalian komunikasi aplikasi (application communication controls).
83 2) Persiapan audit lapangan Menetapkan langkah-langkah persiapan audit di lapangan yang meliputi kegiatan sebagai berikut : a) Kedatangan untuk observasi dan wawancara ditargetkan maksimal 15 kali dalam kurun waktu 5 bulan berturut-turut, dari bulan September 2005 sampai Januari 2006. b) Tim audit selaku auditor terdiri dari 3 (tiga) orang. c) Penetapan metode kerja secara profesional dan independen. d) Sebelum pelaksanaan audit, dilakukan pengajuan surat pengantar skripsi ke Bagian Personalia PT. Nagasakti Kurnia Textile Mills, setelah disetujui, Direktur PT. Nagasakti Kurnia Textile Mills memberikan surat keterangan survei sebagai surat sah bahwa tim audit selaku auditor diterima untuk melakukan survei di PT. Nagasakti Kurnia Textile Mills. e) Audit berupa wawancara dilakukan di ruang Bagian Personalia PT. Nagasakti Kurnia Textile Mills. f) Audit berupa observasi dengan melakukan penelitian fisik terhadap sistem aplikasi, analisa prosedur yang berjalan, serta melakukan pengujian langsung terhadap Sistem Informasi Penggajian yang dilakukan pada bagian Penggajian pada PT. Nagasakti Kurnia Textile Mills. 4.1.3
Metode Audit yang digunakan Audit dilakukan terlebih dahulu dengan mengadakan observasi lapangan mengenai sistem yang sedang berjalan. Kemudian melakukan
84 pengisian kuesioner yang merupakan check list dari peneliti itu sendiri kepada pihak manajemen, dan bagian yang terkait dengan sistem aplikasi penggajian yaitu bagian personalia dan HRD, bagian keuangan dan akuntansi berdasarkan infromasi yang diberikan. Keseluruhan hasil temuan audit kemudian dijadikan dasar untuk melakukan penilaian baik atau buruknya sistem informasi penggajian yang dimiliki oleh perusahaan. Metode audit yang digunakan yaitu audit through the computer. 4.1.4
Instrumen Audit Adapun instrumen audit yang digunakan dalam audit sistem informasi penggajian pada PT. Nagasakti Kurnia Textile Mills terdiri dari: kuesioner, pengamatan (observation), wawancara, review dokumentasi, tes/pengujian, pemeriksaan fisik, dan analisis prosedur. Adapun instrumen penelitian yang digunakan terdiri dari check list, pengamatan, dokumentasi, dan wawancara. 1) Kuesioner (check list) Kuesioner yaitu membuat daftar pertanyaan yang ditujukan kepada pihak manajemen perusahaan untuk mengetahui kondisi sebenarnya. Selain itu, daftar pertanyaan ini dibuat untuk mempermudah auditor untuk mengumpulkan data yang dibuat supaya data yang dibuat sesuai dengan keadaan lapangan. 2) Pengamatan (observation) Auditor melakukan evaluasi ini berdasarkan pengamatan langsung dengan mengunjungi perusahaan untuk memperoleh gambaran umum mengenai keadaan perusahaan. Selain itu, penelitian ini ditujukan untuk
85 mengetahui apakah orang yang diberikan tanggungjawab untuk melaksanakan tugasnya dapat melakukannya dngan baik, terutama pada ruang lingkup yang dievaluasi yaitu bagian HRD dan bagian penggajian. 3) Dokumentasi Auditor melakukan pengecekan terhadap dokumen-dokumen dan catatancatatan perusahaan untuk mendukung informasi yang sudah ada. Pemeriksaaan pada PT. Nagasakti Kurnia Textile Mills dilakukan dengan mengumpulkan formulir-formulir yang berkaitan dengan penggajian. 4) Wawancara Wawancara dilakukan tanya jawab secara langsung ataupun lisan dengan Kepala Bagian Personalia yang juga merangkap sebagai IT pada PT. Nagasakti Kurnia Textile Mills untuk mendapatkan gambaran umum perusahaan dan masalah yang berkaitan dengan pembahasan skripsi ini. Adapun yang ditanyakan adalah prosedur sistem informasi pada bagian tersebut untuk mendapatkan gambaran aktivitas dan kegiatan mereka untuk setiap harinya. Dengan demikian dapat diketahui apakah mereka sudah melaksanakan tugasnya sesuai dengan tanggung jawab yang telah diterima. Kuesioner yang dibuat harus dapat menanyakan secara detil agar tujuan dari pengumpulan bukti yang kompeten guna mendukung kesimpulan yang akan diambil. 4.1.5
Penaksiran resiko Penetapan Penilaian Resiko dan Pengendalian Sistem Informasi penggajian di PT. Nagasakti textile mills menggunakan matriks penilaian resiko yaitu suatu cara untuk menganalisa seberapa besar pengaruh dan
86 hubungan antara tingkat resiko (dampak) keterjadian dari resiko tersebut. Berikut ini metrik penilaian resiko : Tingkat Kejadian Jarang
Tingkat Resiko Rendah
Sering
Rendah
Jarang
Tinggi
Sering
Tinggi
Dampak Tidak berbahaya / tidak berpengaruh pada sistem dan operasional Tidak berbahaya / tidak berpengaruh pada sistem dan operasional Berbahaya bagi sistem dan akan mempengaruhi jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan. Berbahaya bagi sistem dan akan mempengaruhi jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan.
Bermakna Low
Medium
High
High
Keterangan : 1.
Low Tingkat kejadian jarang terjadi dan mempunyai dampak yang kecil atau tidak berbahaya serta tidak berpengaruh terhadap sistem dan kegiatan operasional atau dampak negatif lainnya kepada perusahaan.
87 2.
Medium Tingkat kejadian sering terjadi dan mempunyai dampak yang kurang berpengaruh terhadap sistem dan kegiatan operasional atau dampak negatif lainnya kepada perusahaan.
3.
High •
Tingkat kejadian sering terjadi dan menimbulkan dampak yang berbahaya bagi perusahaan sehingga bisa menghambat jalannya kegiatan operasional dan sistem yang mengakibatkan kerugian perusahaan.
•
Tingkat kejadian jarang tetapi bisa menimbulkan dampak yang berbahaya bagi perusahaan sehingga bisa menghambat jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan.
4.1.6
Program Audit Rinci
4.1.6.1
Prosedur Audit Rinci atas Pengendalian Umum (General Controls) Prosedur yang akan dilakukan selama audit atas pengendalian umum (General Controls), dapat dilihat pada tabel Tabel 4.1
No
1.
Tahap Pengujian atas Segmentasi Pengendalian Manajemen Keamanan (Security Management Controls) KEBAKARAN Lakukan pengecekan apakah tersedianya alat pendeteksi panas dan asap api pada setiap ruangan
Objek Audit
Instrumen Audit
Ruangan Personalia dan ruangan Observasi, perkantoran PT. Wawancara dan Nagasakti Kurnia Kuesioner Textile Mills serta pabriknya.
88 2.
3. 4. 5. 6. 7.
8.
9. 10. 11. 12.
13. 14.
Melakukan pengecekan apakah dokumen-dokumen yang berhubungan dengan sistem penggajian disimpan ditempat yang aman? (misalnya lemari besi) Lakukan pengecekan apakah tabung pemadam api mudah dijangkau Mencari informasi informasi apakah tombol saklar berfungsi dengan baik. Lakukan pengecekan apakah gedung dibangun dari bahan tahan api Lakukan tinjauan tentang keberadaan pintu atau tangga darurat Mencari informasi informasi tentang signal peringatan kebakaran apakah langsung dikirim ke stasiun pengendalian Lakukan tinjauan tentang keberadaan staff di stasiun pengendalian
Ruangan Personalia Observasi dan ruangan kuesioner perkantoran PT. Kurnia Textille milss
dan
Pos Jaga
Observasi Kuesioner
Mencari informasi tentang prosedur atau jadwal pemeliharaan gedung Mencari informasi apakah digunakan Stabilizer menstabilkan tegangan listrik Lakukan pengecekkan apakah ruang komputer dibersihkan secara teratur Lakukan pengecekkan apakah back up data penting sering dilakukan secara teratur dan periodik Lakukan pengecekkan apakah kertas printer diletakkan secara terpisah Mencari informasi apakah ada pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran
Personalia
Kuesioner dan Review Dokumentasi Kuesioner
Ruangan Personalia Observasi, dan Pabrik. Wawancara dan Kuesioner Personalia Kuesioner PT. Nagasakti Kurnia Observasi, Textile Mills Wawancara dan Kuesioner PT. Nagasakti Kurnia Observasi, Textile Mills Wawancara dan Kuesioner Pos Jaga Observasi, Wawancara dan Kuesioner
Personalia
dan
Personalia
Kuesioner Observasi
Personalia
Kuesioner, Wawancara dan Review Dokumentasi Kuesioner dan Observasi
Personalia Personalia
dan
Kuesioner dan Wawancara
89 15. Mencari informasi apakah di setiap ruangan ada pemadam kebakaran otomatis BANJIR 16. Lakukan pengecekan apakah semua material gedung (atap, dinding, dan lantai gedung) terbuat dari bahan tahan air 17. Lakukan tinjauan apakah alarm sudah diletakkan pada lokasi yang strategis 18. Lakukan pengecekkan apakah semua aset sistem (seperti komputer) diletakkan pada tempat yang tinggi 19. Lakukan pengecekkan apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan KERUSAKAN STRUKTURAL 20. Mencari informasi apakah lokasi perusahaan terletak pada tempat yang aman 21. Lakukan pengecekkan apakah aset disimpan pada tempat yang aman POLUSI 22. Lakukan pengecekkan apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer 23. Lakukan pengecekkan apakah tempat sampah sudah memadai 24. Mencari informasi apakah tempat sampah telah dibersihkan secara rutin PENYUSUP 25. Mencari informasi apakah sudah ada alarm di perusahaan untuk mendeteksi jika ada penyusup 26. Mencari informasi apakah ada petugas keamanan yang bertugas menjaga gedung 24 jam
Personalia
Kuesioner Observasi
dan
Personalia dan Pabrik Observasi, wawancara dan Kuesioner Personalia dan Pabrik Observasi Kuesioner
dan
Personalia
Observasi Kuesioner
dan
Personalia
Observasi, wawancara dan Kuesioner
Personalia
Kuesioner dan Wawancara
Personalia
Kuesioner dan Wawancara
Personalia
Kuesioner, Observasi dan Wawancara
Personalia Personalia
Kuesioner Observasi Kuesioner
Personalia
Kuesioner
Personalia & Petugas Kuesioner di Pos Jaga Observasi
dan
dan
90 27. Lakukan tinjauan apakah Kartu Identitas pegawai sudah digunakkan dengan semestinya (sebagai kartu pengenal dan kartu untuk absen) VIRUS 28. Mencari informasi apakah komputer ada di-install anti virus 29. Mencari informasi apakah terdapat antisipasi jika komputer terkena virus? 30. Mencari informasi apakah setiap data transaksi (absen) dibuatkan data back up nya
Karyawan Personalia
dan Kuesioner, Review Dokumentasi dan Wawancara
Personalia
Kuesioner, Wawancara dan Observasi Kuesioner
Personalia Personalia
Kuesioner, Review Dokumentasi dan Wawancara Kuesioner dan Wawancara
31. PENYALAHGUNAAN, Personalia SOFTWARE DATA, DAN LAYANAN Mencari informasi apakah software dilindungi dengan hak cipta 32. Mencari informasi tentang Personalia Kuesioner dan adanya administrator keamanan Wawancara dan apakah sudah memeriksa dengan teliti tentang pembelian hardware dan software serta bukti penggunaan sistem informasi 33. Mencari informasi apakah ada Personalia Kuesioner hukuman bagi terjadi penyalahgunaan HACKER 34. Lakukan pengecekan tentang Personalia Kuesioner, penggunaan password dan Wawancara dan apakah ada di setiap sistem Observasi 35. Mencari informasi apakah Personalia Kuesioner password hanya diketahui oleh orang yang bersangkutan 36. Lakukan pengecekkan apakah Personalia Kuesioner dan petugas keamanan mengontrol Wawancara sistem dan aset-aset secara rutin Tabel 4.1 Prosedur Audit Rinci atas Pengendalian umum (General Controls) Sumber: Analisa Penulis selaku Auditor
91 4.1.6.2
Prosedur Audit Rinci atas Pengendalian Batasan (Boundary Controls) Prosedur yang akan dilakukan selama audit atas Pengendalian Batasan (Boundary Controls), dapat dilihat pada tabel Tabel 4.2
No.
1.
2.
3.
Tahap Pengujian atas Segmentasi Pengendalian Batasan (Boundary Controls) Mencari informasi apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user Lakukan pengecekan apakah tampilan password ketika diketik invisible
Objek Audit
Instrument Audit
Personalia
Kuesioner dan Wawancara
Pada saat login ke Sistem Informasi Aplikasi Penggajian Personalia
Kuesioner Observasi
dan
Lakukan pengecekan apakah Kuesioner dan ada pergantian password secara wawancara rutin 4. Lakukan pengecekan apakah Pada saat login ke Kuesioner dan ada ketentuan dalam Sistem Informasi Observasi penggunaan password (seperti Aplikasi panjang password maximal 6 Penggajian digit, huruf dan angka) 5. Lakukan pengecekan apakah Pada saat login ke Kuesioner dan sistem menerapkan Sistem Informasi Observasi pengendalian cryptographic Aplikasi dengan mengacak data yang ada Penggajian 6. Lakukan pengecekan apakah Pada saat login ke Kuesioner dan sistem memberikan batasan Sistem Informasi Observasi maximal untuk kesalahan input Aplikasi password ? Penggajian 7. Mencari informasi apakah Personalia Kuesioner dan setiap user dibatasi mekanisme Wawancara pengaksesan sistem Tabel 4.2 Prosedur Audit Rinci atas Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor
92 4.1.6.3
Prosedur Audit Rinci atas Pengendalian Masukan (Input Controls) Prosedur yang akan dilakukan selama audit atas pengendalian Masukan (Input Controls), dapat dilihat pada Tabel 4.3
No.
1.
2.
3.
5.
6.
Tahap Pengujian atas Segmentasi Pengendalian Masukan (Input Controls) Lakukan pengecekan apakah Sistem Informasi Penggajian pada saat input telah terjadi otorisasi Mencari informasi apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang diinput Mencari informasi apakah ada validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size Lakukan pengecekan tentang bahasa pemograman yang digunakan Lakukan pengecekkan tentang sistem pemrosesan data apakah batch system atau on-line system
Objek Audit
Instrument Audit
Sistem Informasi Kuesioner, Aplikasi Wawancara dan Penggajian & Observasi Personalia Pada saat Kuesioner, terjadinya Observasi dan kesalahan input Wawancara pada Sistem Aplikasi Penggajian Sistem Aplikasi Kuesioner dan Penggajian PT. Observasi Nagasakti Kurnia Textile Mills Personalia dan Kuesioner dan Sistem Informasi Observasi Aplikasi Penggajian Sistem Penggajian Kuesioner & Personalia
7.
Mencari informasi apakah ada Personalia Kuesioner dan pelatihan terlebih dahulu Wawancara mengenai cara input data Tabel 4.3 Prosedur Audit Rinci atas Pengendalian Masukan (Input Controls) Sumber: Analisa Penulis selaku Auditor
93 4.1.6.4
Prosedur Audit Rinci atas Pengendalian Proses (Proses Controls) Prosedur yang akan dilakukan selama audit atas pengendalian proses (Process Controls), dapat dilihat pada Tabel 4.4
No.
1.
2.
3.
Tahap Pengujian atas Segmentasi Pengendalian Proses (Process Controls) Lakukan pengecekan apakah ada perbaikan terhadap kesalahan pemasukan data sudah dapat dilakukan dengan mudah Mencari informasi apakah sudah terdapat prosedur audit trail pada sistem aplikasi penggajian
Objek Audit
Instrument Audit
Kepala Personalia dan Sistem Informasi Aplikasi Penggajian
Kuesioner dan wawancara
Kepala Personalia
Kuesioner
Kepala Personalia Kuesioner & dan Sistem Wawancara Informasi Aplikasi Penggajian dan Personalia 4. Lakukan pengecekan apakah Kepala Personalia Kuesioner dan perusahaan sudah menyimpan dan Tempat Wawancara dokumen pendukung sebagai penyimpanan bukti pencatatan dokumen Tabel 4.4 Prosedur Audit Rinci atas Pengendalian Proses (Process Controls) Lakukan pengecekan apakah waktu yang dibutuhkan dalam pemrosesan data sudah seefisien mungkin
Sumber: Analisa Penulis selaku Auditor
94 4.1.6.5
Prosedur Audit Rinci atas Pengendalian Keluaran (Output Controls) Prosedur yang akan dilakukan selama audit atas pengendalian keluaran (Output Controls), dapat dilihat pada Tabel 4.5
No.
Tahap Pengujian atas Segmentasi Instrument Objek Audit Audit Pengendalian Keluaran (Output Controls) 1. Lakukan pengecekan apakah Dokumen output Kuesioner, tiap hasil output ada pengWawancara dan otorisasian terlebih dahulu Observasi 2. Lakukan pengecekan apakah Dokumen output Kuesioner, laporan yang dihasilkan akurat Wawancara dan dan sesuai dengan kebutuhan Observasi (setiap laporan telah tercantum tanggal, waktu pencetakkan dan paraf pemberian persetujuan) 3. Lakukan pengecekan apakah Kepala Personalia Kuesioner hasil yang diperoleh sudah dengan tepat waktu 4. Lakukan pengecekkan apakah Dokumen output Kuesioner, output yang dihasilkan dapat dan Kepala Wawancara dan dipercaya Personalia Observasi 5. Lakukan pengecekan apakah Dokumen output & Kuesioner dan output yang dihasilkan lengkap Kepala Personalia Observasi Tabel 4.5 Prosedur Audit Rinci atas Pengendalian Keluaran (Output Controls) Sumber: Analisa Penulis selaku Auditor
95 4.1.6.6
Prosedur Audit Rinci atas Pengendalian Basis Data (Data Base Controls) Prosedur yang akan dilakukan selama audit atas pengendalian basis data (Data Base Controls), dapat dilihat pada Tabel 4.6
No.
Tahap Pengujian atas Segmentasi Instrument Objek Audit Audit Pengendalian Basis Data (Data Base Controls) 1. Mencari informasi apakah Kepala personalia Kuesioner dan sudah terdapat langkah pemWawancara backup-an data secara rutin 2. Lakukan pengecekan apakah Kepala Personalia Kuesioner file backup telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang diperkirakan akan terjadi 3. Lakukan pengecekan apakah Kepala Personalia Kuesioner, user interface dari database Wawancara dan sudah user friendly Observasi 4. Mencari informasi apakah Kepala Personalia Kuesioner proses query data sudah terdapat pada sistem 5. Lakukan pengecekan apakah Database Sistem Kuesioner dan dalam suatu sistem sudah Aplikasi Penggajian Observasi terdapat fungsi create, add, dan Kepala Personalia read, delete 6. Mencari informasi apakah Kepala Personalia Kuesioner dan sudah terdapat pemisahan akses Wawancara bagi masing-masing bagian 7. Mencari informasi apakah Kepala Personalia Kuesioner terdapat confidentiality pada sistem penggajian Tabel 4.6 Prosedur Audit Rinci atas Pengendalian Basis Data (Data Base Controls) Sumber: Analisa Penulis selaku Auditor
96 4.1.6.7
Prosedur Audit Rinci atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Prosedur yang akan dilakukan selama audit atas pengendalian komunikasi aplikasi (Application Communication Controls), dapat dilihat pada Tabel 4.7
No.
1.
2.
3. 4.
5.
Tahap Pengujian atas Segmentasi Instrument Pengendalian Komunikasi Objek Audit Audit Aplikasi (Application Communication Controls) Mencari informasi apakah Kepala Personalia Kuesioner dan sistem informasi di perusahaan Wawancara sudah menggunakan jaringan LAN Mencari informasi apakah Kepala Personalia Kuesioner dan sistem penggajian pada wawancara komputer yang digunakan sudah terproteksi agar tidak dapat diakses oleh divisi lain? Mencari informasi apakah Kepala Personalia Kuesioner dan sistem LAN yang digunakan Wawancara sudah beroperasi dengan baik Lakukan pengecekan apakah Kepala Personalia Kuesioner, hardware dan software yang Wawancara dan digunakan masih dapat Observasi mendukung operasional perusahaan dengan baik Mencari informasi apakah sisfo Kepala Personalia Kuesioner dan penggajian sudah dapat berjalan Observasi dengan baik, sesuai dengan prosedur yang ditetapkan oleh kepala bagian personalia dan direktur. Tabel 4.7 Prosedur Audit Rinci atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Sumber: Analisa Penulis selaku Auditor
97 4.2 Pengevaluasian Terhadap Bukti Audit atas Pengendalian Umum 4.2.1
Pengendalian Manajemen Keamanan (Security Management Controls)
4.2.1.1
Tujuan
Dilakukan
Audit
atas
Pengendalian
Manajemen
Keamanan (Security Management Controls) Tujuan dilakukannya audit atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah: 1) Untuk mengetahui seberapa tinggi tingkat pengendalian keamanan pada perusahaan PT. Nagasakti Textille mills. 2) Untuk memastikan bahwa harta-harta atau aset-aset yang ada dalam PT . Nagasakti Textille Mills telah ditempatkan pada tempat yang aman. 3) Untuk memastikan bahwa pengendalian-pengendalian sistem yang ditetapkan baik pengendalian umum maupun pengendalian sistem aplikasi penggajian dapat diminimalisasikan mengenai resiko-resiko kesalahan operasional atau kinerja, khususnya resiko pengendalian. 4) Untuk memastikan bahwa sistem aplikasi penggajian telah memberikan mekanisme pengendalian atas akses sistem. 5) Untuk memastikkan bahwa hanya user yang terotorisasi yang dapat login ke dalam sistem aplikasi penggajian. 4.2.1.2
Objek yang diaudit atas Pengendalian Manajemen keamanan (Security Controls) Adapun objek yang diaudit atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah : 1) Setiap komputer di ruang Personalia terutama penggajian
98 2) Di pabrik dan kantor PT. Nagasakti Kurnia Textile Mils 3) Karyawan PT. Nagasakti Kurnia Textile Mills 4.2.1.3
Kriteria Standar atas Pengendalian Manajemen Keamanan (security Manajemen Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Manajemen Keamanan (Security Management Controls), yaitu : 1) Perlengkapan untuk pencegahan kebakaran yang terdiri dari tabung pemadam kebakaran, tabung CO2 harus terletak ditempat yang mudah dijangkau serta alarm kebakaran otomatis harus mudah dilihat dan adanya dry pipe disetiap ruangan atau gedung 2) Memiliki tombol utama (termasuk AC) 3) Gedung tempat penyimpanan aset harus terbuat dari bahan yang tahan api serta untuk bahan atap, dinding dan lantai harus tahan air. 4) Memiliki pintu atau tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya. 5) Harus terdapat stasiun pengendalian yang selalu dijaga oleh staf. 6) Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset sistem informasi yang bernilai tinggi. 7) Diperlukan pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah terawat baik dalam mengantisipasi ancaman kebakaran 8) Menutup peralatan hardware dengan bahan yang tahan air sewaktuwaktu tidak digunakan
99 9) Pelaksanaan pengamanan untuk mengatisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun uninteruptable power supply (UPS) yang memadai yang mampu meng-cover tegangan listrik jika tiba-tiba turun. 10) Pelaksanaan
pengamanan
untuk
mengantisipasi
kerusakan
struktural misalnya adalah memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut. 11) Pelaksanaan untuk mengatasi polusi misalnya, tong sampah selalu dibersihkan,
situasi
kantor
yang
bebas
debu
dan
tidak
memperbolehkan karyawan membawa makanan dan minuman didekat peralatan komputer. 12) Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. 13) Meng-install antivirus dan meng-update secara rutin, men-scan file yang akan di gunakan. 14) Memonitor sistem yang digunakan dan menggunakan kontrol logika seperti penggunaan password yang sulit ditebak 4.2.1.4
Instrumen Audit yang dilakukan Instrumen yang digunakan atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah :
100 1) Kuesioner di isi oleh Kepala bagian Personalia Pengendalian Umum Terhadap Manajemen Keamanan No
Pertanyaan
Jawaban Ya
1.
2.
KEBAKARAN Apakah terdapat alat pendeteksi panas dan asap api pada setiap ruangan?
Apakah pemadam api dijangkau?
tabung mudah
√
Apakah terdapat tombol saklar untuk mengendalikan listrik di seluruh gedung?
√
4.
Apakah gedung dibangun dari bahan tahan api? Apakah terdapat pintu atau tangga darurat?
√
5.
Tingkat Resiko
Tidak
√
3.
Keterangan
√
Terdapat tabung pemadam kebakaran dan pemadam CO2 di setiap ruangan dan di pabrik. Ada pipa hidran disetiap bangunan Tabung pemadam api terdapat dan disetiap ruangan dan mudah dijangkau Di panel utama ada saklar untuk memastikan listrik semua gedung dan di setiap ruangan ada panel kecil untuk mematikan listrik di ruangan tersebut. Menggunakan batako, sehingga tahan api. Tidak terdapat pintu atau tangga darurat, dgn kondisi pabrik yang luas dan tidak bertingkat, beberapa pintu didalam satu ruangan dianggap cukup membantu apabila terjadi kebakaran.
High
Low
Low
Low
Low
101 6.
Apakah signal peringatan kebakaran √ akan langsung dikirim ke semua ruangan ketika alarm berbunyi?
7.
Apakah terdapat stasiun pengendalian yang selalu dijaga oleh staf?
8.
9.
Apakah terdapat prosedur atau jadwal pemeliharaan gedung baik dan teratur?
√
√
Apakah tiap komputer di departemen menggunakan
√
Alarm langsung terhubung dengan semuanya, jadi tidak perlu stasiun pengendalian. Area pabrik juga terbuka dan memudahkan untuk melakukan antisipasi jika terjadi kebakaran. Tidak terdapat stasiun pengendalian yang selalu dijaga oleh staf. Prosedur atau jadwal pemeliharaan gedung sudah baik dan teratur. Karena ada bagian umum khusus perawatan gedung dan sarananya yang dilakukan dilakukan pengecekkan rutin setiap hari Hanya stabilizer
Low
High
Low
Medium
Uninterruptible Power Supply (UPS) dan stabilizer ?
10. Apakah ruang komputer dibersihkan secara teratur?
√
Dibersihkan secara rutin setiap masuk dan setiap bagian bertanggung jawab terhadap ruang komputernya masing-masing dan juga ada staf kebersihan.
Low
102 11. Apakah back up datadata penting sering dilakukan?Dan apakah ada back up offsite?
√
12. Apakah kertas printer diletakan di ruang terpisah?
√
13. Apakah terdapat pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? 14. Apakah setiap ruangan memiliki pemadam kebakaran otomatis?
√
15. Apakah dokumen yang berhubungan dengan sistem penggajian disimpan di tempat yang aman dari kebakaran? BANJIR 16. Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air? 17. Apakah terdapat alarm pada lokasi strategis?
√
√
√ √
Back up data High dilakukan 2 minggu sekali pada saat pemrosesan gaji. Serta tidak ada back up off site Kertas printer High diletakkan di atas meja kerja dekat komputer agar mudah dalam pengambilan Ada pengawasan Medium tetapi tidak rutin hanya jika ada kasus. Hanya terdapat Low tabung pemadam kebakaran CO2, Tabung pemadam kebakaran busa serta lampu sirene merah yang akan menyala bila terjadi kebakaran. Hanya disimpan High didalam rak kayu di ruangan yang terpisah Semua menggunakan bahan tahan air
Low
Alarm Low ditempatkan di setiap ruangan dan dibantu dengan lampu alarm di ruang mesin.
103 18. Apakah semua aset sistem diletakan pada tempat yang tinggi? 19. Apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan?
√ √
KERUSAKAN STRUKTURAL 20. Apakah lokasi perusahaan sudah terletak di daerah yang aman terhadap kerusakan struktural? 21. Apakah aset disimpan pada tempat yang aman?
√
√
Ruangan kantor Low telah ditinggikan dari sebelumnya. Hanya printer High menggunakan penutup plastik. Dan untuk yang lainnya hanya ditutup dengan kain agar tidak berdebu dan kena kotoran. Perusahaan Medium terletak di kawasan industri dan dijaga 24 jam oleh petugas keamanan tetapi rawan banjir. Semua ruangan Low jika tidak digunakan, akan dikunci dan kuncinya dipegang oleh orang yang ditunjuk (kepala bagian masingmasing) dan satu set seluruh kunci dipegang oleh Pak Wangit orang yang dituakan dan tinggal di perusahaan. Dan untuk menghindari asetaset dari kerusakan struktural contohnya banjir, aset-aset penting diletakan ditempat yang tinggi.
104 POLUSI 22. Apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer? 23. Apakah pada setiap lantai terdapat tempat sampah yang memadai? 24. Apakah tempat sampah dibersihkan secara rutin?
PENYUSUP 25. Apakah perusahaan sudah menggunakan alarm?
26. Apakah perusahaan memiliki petugas keamanan yang bertugas menjaga gedung 24 jam?
√
√
Setiap hari dan Low setiap tempat sampah sudah penuh.
√
√
Alarm kebakaran Low dapat digunakan sebagai alaram tanda bahaya lainnya. Dan ada pemberitahuan atau informasi jika ada bahaya. Ya, dengan pos Low penjaganya tetapi bukan stasiun pengendalian
√
27. Apakah kartu identitas √ karyawan telah digunakan sebagai mana mestinya?
VIRUS 28. Apakah semua komputer telah di-install anti virus?
Peraturan tersebut High dilanggar oleh karyawan dan tidak ada sanksi. Setiap lantai dan Low di setiap ruangan
Kartu identitas Low pegawai digunakan sebagai kartu tanda pengenal dan kartu absen. Kartu sudah digunakan dengan semestinya dan kartu tidak dapat digunakan oleh pihak lain karena untuk melakukan absen juga dilakukan scan sidik jari. √
Tidak High menggunakan anti virus.
105 29. Apakah ada antisipasi apabila komputer terkena virus? 30. Apakah setiap data transaksi dibuatkan back up datanya?
√ √
PENYALAHGUNAAN SOFTWARE, DATA DAN LAYANAN 31. Apakah software dilindungi dengan hak cipta? 32. Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi? 33. Apakah ada hukuman jika terjadi penyalahgunaan? HACKER 34. Apakah semua sistem menggunakan password?
35. Apakah password hanya diketahui oleh orang yang bersangkutan?
data transaksi di High back up di CD setiap 2 minggu sekali.
√
√
√
√
√
Tidak ada High antisipasinya
Tidak cipta
ada
hak Medium
Tidak ada High administrator yang bertanggung jawab terhadap pemeriksaan hardware dan software pada saat pembelian. Terdapat Low hukuman sesuai dengan kesalahan yang diperbuat. Tidak semua Medium sistem menggunakan password. Hanya sistem-sistem yang penting saja dan yang memiliki batasan hak akses. Hanya authorized Low person yang boleh mengetahui password.
106 36. Apakah petugas keamanan mengontrol sistem dan aset-aset yang ada secara rutin?
√
Setahun sekali High pada saat stock ocnam
Tabel 4.8 Kuesioner terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian Personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Manajemen Keamanan (Security Management Controls) PERTANYAAN JAWABAN Apakah tersedianya alat pendeteksi Terdapat tabung pemadam kebakaran panas,asap dan api pada setiap ruangan dan pemadam CO2 di setiap ruangan dan apakah tabung pamadam kebakaran dan di pabrik. Ada pipa hidran di setiap mudah dijangkau? bangunan, sedangkan tabung pemadam kebakaran terdapat disetiap ruangan dan mudah dijangkau. Apakah gedung dibangun dari bahan Gedung dibangun dari bahan yang tahan tahan api? api, yakni batako. Apakah terdapat pintu dan tangga Tidak terdapat pintu dan tangga darurat, darurat dan apakah keberadaannya kantor dan pabrik hanya terdiri dari satu mudah diketahui dan mudah dijangkau? lantai dan disetiap ruangan terdapat banyak pintu yang terhubung keruangan lain dan luar kantor / pabrik Apakah terdapat stasiun pengendalian dan bagaimana cara kerjanya?
Apakah back up data penting sering dilakukan secara teratur dan periodik? Dan apakah ada back up offsite? Apakah ada pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? BANJIR Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air?
Tidak terdapat stasiun pengendali. Alarm langsung terhubung dengan semuanya, jadi tidak perlu stasiun pengendalian. Area pabrik juga terbuka dan memudahkan untuk melakukan antisipasi jika terjadi kebakaran Back up data dilakukan 2 minggu sekali pada saat pemrosesan gaji. Serta tidak ada back up off site. Tidak ada pemeriksaan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran hanya ditangani per kasus. Semua menggunakan bahan tahan air.
107 Apakah alarm dan aset-aset sistem (komputer, printer, mesin absen, dll) sudah diletakan ditempat yang baik (tinggi dan dapat terhindar dari banjir)?
Kantor telah ditinggikan dari yang sebelumnya untuk menghindari banjir yang telah terjadi terdahulu. Dan pada saat ini semua asset sistem telah terletak di tempat yang tinggi. Apakah semua hardware ditutup dengan Hanya printer menggunakan penutup bahan tahan air sewaktu tidak plastik. Dan untuk yang lainnya hanya digunakan? ditutup dengan kain agar tidak berdebu dan kena kotoran KERUSAKAN STRUKTURAL Apakah lokasi perusahaan terletak pada Perusahaan terletak di kawasan industri tempat yang aman? dan dijaga 24 jam oleh petugas keamanan tetapi rawan banjir. POLUSI Apakah karyawan diperbolehkan makan Peraturan tersebut dilanggar oleh dan minum di dekat peralatan karyawan dan tidak ada sanksi. komputer? PENYUSUP Apakah ada petugas keamanan yang Ya, dan pos pengamanannya terletak bertugas menjaga gedung 24 jam? didepan pintu masuk kantor Apakah Kartu Identitas pegawai sudah Kartu identitas pegawai digunakan digunakkan dengan semestinya (sebagai sebagai kartu tanda pengenal dan kartu kartu pengenal dan kartu untuk absen)? absen. Kartu sudah digunakan dengan semestinya. VIRUS Apakah komputer ada di-install anti Tidak ada antivirus virus, dan apakah sering di update serta bagaimana penerapannya? Apakah setiap data transaksi (absen) Ya, data transaksi di back up di CD dibuatkan data back up nya? setiap 2 minggu sekali.
PENYALAHGUNAAN, SOFTWARE DATA, DAN LAYANAN Apakah software dilindungi dengan hak cipta, dan apakah ada sanksi atau hukuman bagi mereka yang telah menyalahgunakan software data, dan layanan? Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi?
Tidak ada hak cipta dan diberlakukan hukuman atau sanksi bagi yang menyalahgunakan software data dan layanan Tidak ada administrator yang bertanggung jawab terhadap pemeriksaan hardware dan software pada saat pembelian.
108 Tidak semua sistem menggunakan HACKER Apakah terdapat password pada setiap password. Hanya sistem-sistem yang penggunaan sistem dan bagaimana penting saja dan yang memiliki batasan tindak lanjut terhadap password hak akses. Dan password hanya boleh tersebut? diketahui oleh authorized person saja. Apakah petugas keamanan mengontrol Setahun sekali pada saat stock ocnam sistem dan aset-aset secara rutin? Tabel 4.9 Wawancara terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor 4.2.1.5
Temuan, Resiko dan Rekomendasi atas Pengendalian Manajemen Keamanan (Security Management Controls)
TEMUAN Tidak adanya alat deteksi panas dan asap pada setiap ruangan.
RESIKO Jika terjadi kebakaran maka tidak terdeteksi dengan cepat, sehingga menyebabkan kerugian materi pada perusahaan.
Stasiun pengendalian tidak dijaga oleh staf.
Tidak ada petugas yang Sebaiknya terdapat petugas siaga jika terjadi bahaya yang selalu siaga di stasiun kebakaran. pengendalian.
Back up data tidak dilakukan secara rutin. Serta tidak adanya back up offsite.
Apabila terjadi kehilangan data induk, maka tidak ada data cadangan dan itu akan menyebabkan kehilangan data.
Kertas printer tidak diletakan di ruang terpisah.
Kertas merupakan material yang mudah terbakar sehingga dapat mengakibatkan api menjalar. Lemari kayu dapat terbakar, apabila terjadi kebakaran, maka dokumen-dokumen tersebut juga akan ikut terbakar
Dokumen-dokumen yang berkaitan dengan penggajian hanya disimpan pada lemari kayu
REKOMENDASI Pengadaan alat pendeteksi panas dan asap pada tiap ruangan terutama ruangan yang menyimpan data-data dan peralatan penting.
Harus ada back up data secara periodik. Dan harus ada back up offsite yang ditujukan untuk penyelamatan dan keamanan data penting. Sebaiknya material yang mudah terbakar seperti kertas diletakan pada ruangan yang terpisah dari ruang printer. Sebaiknya dokumen disimpan pada lemari besi sehingga tidak dapat terbakar dan lebih aman.
109 Semua hardware tidak ditutup dengan bahan tahan air sewaktu tidak digunakan Karyawan diperbolehkan makan dan minum didekat peralatan komputer. Tidak ada anti virus pada komputer.
Tidak ada antisipasi apabila salah satu komputer terkena virus Administrator tidak memeriksa dengan teliti pembelian hardware dan software serta bukti penggunaan sistem informasi Petugas keamanan tidak mengontrol asetaset keamanan secara rutin
Air dapat hardware.
merusak
Semua hadrware ditutup dengan bahan tahan air sewaktu tidak digunakan.
Jika terjadi kelalaian, maka dapat merusak komputer
Tidak makan dan minum didekat komputer.
Tidak adanya anti virus dan pelaksanaan update anti virus secara periodik dapat membahayakan keamanan data dan merusak jaringan sistem yang ada pada masingmasing PC. Virus dari satu komputer dapat menyebar ke komputer lainnya.
Meng-install anti virus pada setiap komputer
Melakukan antisipasi apabila ada virus seperti dengan meng-scan komputer yang terkena virus Setiap pembelian hardware dan software sebaiknya memiliki bukti pembelian dan penggunaanya sesuai dengan kebutuhan
Dapat terjadi kerancuan akan kepastian mengenai ketepatan hardware atau software yang dibeli dan penggunaanya tidak efisien Jika terjadi hal-hal yang Sebaiknya dilakukan tidak diinginkan maka pemeriksaaan secara rutin tidak dapat ditanggulangi dan membuat laporan dengan baik dan bahkan pemeriksaanya. dapat terjadi kesalahan fatal. Tabel 4.10 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor
110 4.3 Pengevaluasian Terhadap Bukti Audit atas Pengendalian Aplikasi 4.3.1
Pengendalian Batasan (Boundary Controls)
4.3.1.1
Tujuan
Dilakukan
Audit
Pengendalian
Batasan
(Boundary
Controls) Tujuan dilakukannya audit Pengendalian Batasan (Boundary Controls) adalah: 1) Untuk memastikan pengendalian batasan yang ada pada Sistem Aplikasi Penggajian berjalan dengan baik. 2) Untuk memastikan hak akses ke sistem aplikasi dimiliki oleh orangorang yang telah terotorisasi. 3) Untuk memastikan telah terdapatnya batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. 4) Untuk memastikan adanya error message jika terjadi kesalahan dalam peng-input-an data maupun dalam login awal. 5) Untuk memastikan apakah sistem informasi penggajian jelas ruang lingkupnya (apa dokumen input-nya, dari mana sumbernya, tujuan pengolahan data, siapa para penggunanya, dan siapa pemegang kewenangan). 4.3.1.2
Objek yang diaudit atas Pengendalian Batasan (Boundary Controls) Adapun objek yang diaudit atas Pengendalian Batasan (Boundary Controls) adalah : 1) Sistem Informasi Penggajian pada PT. Nagasakti Kurnia Textile Mills
111 2) Pada saat login ke Sistem Informasi Penggajian PT. Nagasakti Kurnia Textile Mills 3) Bagian Personalia khususnya penggajian dan pengabsenan 4.3.1.3
Kriteria Standar atas Pengendalian Batasan (Boundary Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Batasan (Boundary Controls), yaitu : 1) Menetapkan identitas dan kewenangan pengguna dari sistem komputer (sistem harus memastikan orang tersebut adalah orang yang berhak). 2) Menetapkan identitas dan kewenangan dari sumber daya yang digunakan
(pengguna
harus
memastikan
bahwa
mereka
memberikan kewenangan dari sumber daya). 3) Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi (pengguna diperbolehkan menggunakan sumber daya pada batasan-batasan tertentu). 4) Suatu sistem komputerisasi harus jelas ruang lingkupnya: apa dokumen input-nya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa sponsornya (pemegang kewenangan) 4.3.1.4
Instrumen yang Digunakan atas Pengendalian Batasan (Boundary Controls) Instrumen yang digunakan atas Pengendalian Batasan (Boundary Controls) adalah :
112 1) Kuesioner diisi oleh kepala bagian personalia dan staf bagian absensi. Pengendalian Batasan No
Pertanyaan
Jawaban Ya
1.
2. 3. 4.
5.
6.
7.
Apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user? Apakah tampilan password ketika diketik invisible (tidak terbaca)? Apakah pergantian password dilakukan dengan rutin? Apakah terdapat ketentuan dalam penggunaan password? (seperti panjang password maximal 6 digit, huruf dan angka). Apakah sistem menerapkan pengendalian cryptographic dengan mengacak data yang ada? Apakah terdapat batasan maximal untuk kesalahan input password? (Jika ya, berapa kali dan apakah terdapat tampilan error message jika terjadi kesalahan?)
Keterangan
Tidak
Tingkat Resiko
PIN hanya boleh Low diketahui oleh orang-orang yang bersangkutan.
√
√ √ √
Berbentuk invisible, Low bentuknya kotakkotak. Tidak pernah High diganti passwordnya Tidak terdapat High ketentuan dalam penggunaan password. High
√
√
Tidak data.
mengacak
Jika terjadi High kesalahan password, akan terjadi pengulangan untuk memasukkan password lagi.
Apakah setiap user dibatasi Ya, sesuai dengan Low mekanisme pengaksesan √ bagiannya masingsistem? masing. Tabel 4.11 Kuesioner terhadap Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor
113 2) Wawancara dengan kepala bagian personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Batasan (Boundary Controls) PERTANYAAN JAWABAN apakah setiap user diberikan PIN PIN hanya boleh diketahui oleh oranguntuk mencegah pengaksesan data orang yang bersangkutan. Tampilan oleh unauthorized user dan apakah password ketika diketik berbentuk tampilan password ketika diketik invisible, bentuknya kotak-kotak invisible apakah ada pergantian password Tidak pernah diganti password-nya secara rutin apakah setiap user dibatasi mekanisme Ya, sesuai dengan bagiannya masingpengaksesan sistem masing. Tabel 4.12 Wawancara terhadap Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor 4.3.1.5 Temuan, Resiko dan Rekomendasi untuk Pengendalian Batasan (Boundary Controls) TEMUAN Penggantian password tidak harus dilakukan secara rutin. Tidak ada batasan maksimal untuk kesalahan input password Perusahaan tidak menerapkan pengendalian cryptographic
RESIKO Memungkinkan pihak yang tidak berotorisasi untuk mengakses data dalam komputer yang bersifat rahasia dan pribadi Menyebabkan pihak yang tidak mempunyai hak akses dan tidak bertanggungjawab dapat ber-eksperimen terhadap password tersebut Tanpa pengendalian cryptographic, maka password dapat dicuri oleh orang-orang yang ahli dalam bidang IT.
REKOMENDASI Dilakukan penggantian password sesering mungkin minimal sebulan sekali sehingga data yang ada dapat terjamin kerahasiaanya. Sebaiknya ditetapkan batasan maksimal untuk password.
Pengendalian cryptographic ditetapkan agar password tidak dapat dicuri dan dipergunakan oleh pihakpihak yang tidak bertangungjawab. Selain itu, perusahaan juga dapat menggunakan enscript data Tabel 4.13 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Batasan Sumber: Analisa Penulis selaku Auditor
114 4.3.2
Pengendalian Masukan (Input Controls)
4.3.2.1
Tujuan Dilakukan Audit atas Pengendalian Masukan (Input Controls) Tujuan dilakukannya audit Pengendalian Masukan (Input Controls) meliputi : 1) Untuk memastikan pengendalian masukan yang ada berjalan dengan baik. 2) Untuk mengetahui apakah terdapat pemisahan tugas user yang terotorisasi. 3) Untuk mengecek tampilan, design warna, dan penggunaan bahasa pada layar Sistem Informasi penggajian telah baik dan mudah dimengerti, termasuk adanya menu help, error message, menu konfirmasi, waktu respon yang cepat, dan metode input. 4) Untuk mengecek apakah Sistem Informasi penggajian dilengkapi dengan fasilitas penanganan kesalahan. 5) Untuk mengecek keakuratan input data dengan dokumen sumber dan pembubuhan tanda check (√) pada dokumen sumber yang telah di-input, serta pengarsipan dokumen sumber. 6) Untuk mendapatkan informasi mengenai prosedur persetujuan penginput-an data ke dalam Sistem Informasi penggajian. 7) Untuk mengecek apakah fasilitas menu dalam Sistem Informasi penggajian apakah telah memenuhi kebutuhan user dan efektif dalam penggunaannya.
115 4.3.2.2
Objek yang Diaudit atas Pengendalian Masukan (Input Controls) Adapun objek yang diaudit atas Pengendalian Masukkan (Boundary Controls) adalah : 1) Sistem Informasi penggajian pada PT. Nagasakti Kurnia Textile Mills 2) Pada saat login ke Sistem Informasi penggajian pada PT. Nagasakti Kurnia Textille Mills. 3) Interface Sistem Informasi Penggajian pada PT. Nagasakti Kurnia Textille Mills 4) Dokumen input. 5) Dokumen output. 6) Tempat Pengarsipan. 7) Memori komputer. 8) Kepala Bagian personalia 9) Staf absensi dan penggajian 10) Pada menu inquery dan dokumen input.
4.3.2.3
Kriteria Standar atas Pengendalian Masukan (Input Controls ) Adapun kriteria standar yang harus ada untuk Pengendalian Masukan (Input Controls ), yaitu : 1) Source document controls. 2) Validation controls. 3) Input error correction. 4) Terdapat pemisahan otoritas antar bagian.
116 5) Penggunaan bahasa, desain warna, dan tampilan layar harus mudah dimengerti oleh user. 6) Penyimpanan dokumen sumber berdasarkan periode dan jenis dokumen. 7) Menu-menu dalam sistem aplikasi harus efektif penggunaannya 4.3.2.4
Instrumen yang Digunakan atas Pengendalian Masukan (Input Controls) Instrumen yang digunakan atas Pengendalian Masukan (Input Controls) adalah : 1) Kuesioner di isi oleh Kepala bagian Personalia dan staf absensi
Pengendalian Input No
Pertanyaan
Jawaban Ya
Tidak
1. Apakah tiap transaksi input yang terjadi telah diotorisasi ?
2.
3.
Apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? Apakah telah dilakukan validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size?
Keterangan
√
Tingkat Resiko
Karena peng- High inputan data sudah ditunjuk jelas orang yang berhak melakukan input data. Misalnya untuk absen hanya boleh oleh Ibu Yanti. Low Ada dan langsung ditangani per kasus.
√
√
Tidak ada, karena keabsahan transaksi ditanggung jawab oleh bagian tersebut.
High
117 4.
5.
6.
Bahasa pemrograman yang digunakan: a. Office b. ASP c. VB d. Oracle e. Foxpro Sistem pemrosesan data : a. Batch System b. On-line real time Apakah user dan operator diberikan pelatihan terlebih dahulu mengenai cara input data?
√ √ √ √ √ √ √ √
Windows XP & 98 Foxpro 2.6 Perusahaan Low memakai duaduanya tergantung kasus. Pada saat masuk Low kerja dan dilatih oleh kepala bagian masing-masing.
Tabel 4.14 Pengendalian Aplikasi Terhadap input Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian Personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Masukan (Input Controls) PERTANYAAN JAWABAN Apakah Sistem Informasi Karena peng-input-an data sudah ditunjuk Penggajian pada saat input telah jelas orang yang berhak melakukan input terjadi otorisasi? data. Misalnya untuk absen hanya boleh oleh Ibu Yanti. Apakah perusahaan telah Ada dan langsung ditangani per kasus melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? Apakah ada pelatihan terlebih Pada saat masuk kerja dan dilatih oleh dahulu mengenai cara input data? kepala bagian masing-masing Apakah perusahaan menyediakan Melalui pemberitahuan langsung atau tatap buku pedoman kerja atau prosedur muka. tertulis mengenai cara input data?
118 Apakah data yang di-input sesuai Ya dengan output yang dihasilkan? Tabel 4.15 Wawancara terhadap Pengendalian Masukkan (Input Controls) Sumber: Analisa Penulis selaku Auditor 4.3.2.3
Temuan, Resiko dan Rekomendasi atas Pengendalian Masukan (Input Controls)
TEMUAN RESIKO Tiap transaksi Menyebabkan input yang terjadi data tidak diotorisasi.
REKOMENDASI manipulasi Sebaiknya setiap transaksi harus ada otorisasi agar tidak disalahgunakan.
Tidak terdapat Menyebabkan kesalahan Harus ada validity test. validity test untuk data menjamin keabsahan transaksi. Tabel 4.16 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Masukkan Sumber: Analisa Penulis selaku Auditor
4.3.3
Pengendalian Keluaran (Output Controls)
4.3.3.1
Tujuan Dilakukan Audit atas Pengendalian Keluaran (Output Controls) Tujuan dilakukannya audit atas pengendalian keluaran (Output Controls) meliputi : 1) Untuk memastikan pengendalian keluaran yang ada berjalan dengan baik. 2) Untuk mengetahui apakah terdapat sistem pengawasan terhadap catatan untuk setiap laporan yang ada dan prosedur permintaan laporan rutin atau permintaan baru.
119 3) Untuk memastikan bahwa Sistem Informasi penggajian dapat menghasilkan laporan sesuai dengan kebutuhan dan didistribusikan secara tepat waktu dan tepat sasaran, serta kepada pihak yang berkepentingan. 4) Untuk memastikan setiap laporan yang dihasilkan sudah tercantum halaman, judul, tanggal, periode, nomor urut, jam laporan dicetak, contact person, dan end of page. 5) Untuk memastikan laporan diarsip ditempat yang mudah dijangkau dan batas waktu lamanya laporan tersebut diarsip, serta control terhadap proses penghancuran laporan yang sudah tidak diperlukan. 4.3.3.2
Objek yang Diaudit atas Pengendalian Keluaran (Output Controls) Adapun objek yang diaudit atas pengendalian keluaran (Output Controls) adalah : 1) Sistem Informasi penggajian PT. Nagasakti Kurnia Textile Mills 2) Kepala Bagian personalia 3) Staf absensi dan penggajian 4) Dokumen output.
4.3.3.3
Kriteria Standar yang harus ada atas Pengendalian Keluaran (Output Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Keluaran (Output Controls), yaitu : 1) Menjaga suatu keluaran yang disajikan akurat, lengkap, dan mutakhir datanya, dan juga didistribusikan kepada orang-orang yang berhak dan tepat waktu.
120 2) Terdapat prosedur permintaan laporan rutin atau permintaan laporan baru. 3) Penghancuran arsip sesuai dengan prosedur 4.3.3.4
Instrumen yang Digunakan atas Pengendalian Keluaran (Output Controls) Instrumen yang digunakan atas pengendalian keluaran (Output Controls) adalah : 1) Kuesioner di isi oleh Kepala personalia dan staf absensi
Pengendalian Output No
Pertanyaan
Jawaban Ya
Tidak
1.
Apakah tiap hasil output telah diotorisasi terlebih dahulu?
√
2.
Apakah laporan yang dihasilkan akurat dan sesuai dengan kebutuhan (setiap laporan telah tercantum tanggal, waktu pencetakan dan paraf pemberian persetujuan)? Apakah hasil diperoleh dengan tepat waktu? Apakah output yang dihasilkan dapat dipercaya?
√
3. 4.
Keterangan
Tingkat Resiko
Hasil output tidak High diotorisasi secara tertulis Karena sudah jelas siapa yang bertanggung jawab maka dianggap otorisasi secara tidak langsung. Laporan akurat High tetapi kurang sesuai dengan kebutuhan dan hanya tanggal saja yang ada.
√
Harus.
Low
√
Bisa. Karena bisa dibuktikan
Low
121 5.
Apakah output dihasilkan lengkap?
yang
√
Lengkap sesuai Low dengan yang dibutuhkan datanya. Tabel 4.17 Pengendalian Aplikasi Terhadap Pengendalian Output Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian personalia
Pengendalian Keluaran (Output Controls) PERTANYAAN JAWABAN Apakah tiap hasil output ada pengHasil output tidak diotorisasi secara otorisasian terlebih dahulu? tertulis Karena sudah jelas siapa yang bertanggung jawab maka dianggap otorisasi secara tidak langsung. Apakah laporan yang dihasilkan Laporan akurat tetapi kurang sesuai akurat dan sesuai dengan kebutuhan dengan kebutuhan dan hanya tanggal saja (setiap laporan telah tercantum yang ada. tanggal, waktu pencetakkan dan paraf pemberian persetujuan)? Apakah output yang dihasilkan dapat Ya, laporan yang dihasil bisa dipercaya dipercaya dan lengkap? dan bisa dijuji kelengkapannya Tabel 4.18 Wawancara terhadap Pengendalian Keluaran (output Controls) Sumber: Analisa Penulis selaku Auditor 4.3.3.5
Temuan, Resiko dan Rekomendasi atas pengendalian Keluaran (Output Controls)
TEMUAN RESIKO REKOMENDASI Tiap hasil output Pertanggungjawaban dan Setiap hasil output harus tidak diotorisasi keabsahan hasil output diotorisasi terlebih dahulu terlebih dahulu. diragukan. sehingga jelas dan dapat dipertanggungjawabkan. Laporan yang Menyebabkan manipulasi Setiap laporan yang dihasilkan tidak data. dihasilkan harus akurat dan akurat dan tidak sesuai dengan kebutuhan. sesuai dengan kebutuhan. Tabel 4.19 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Keluaran Sumber: Analisa Penulis selaku Auditor
122 4.3.4
Pengendalian Proses (Process Controls)
4.3.4.1
Tujuan Dilakukan Audit atas Pengendalian Proses (Process Controls) Tujuan dilakukannya audit Pengendalian Proses (Process Controls) meliputi : 1) Untuk memastikan pengendalian proses yang ada berjalan dengan baik. 2) Untuk memastikan data tidak diproses dengan cara yang ilegal. 3) Untuk mengetahui apakah sistem informasi penggajian dapat mencegah atau mendeteksi data masukan yang tidak valid dan mendeteksi kehilangan data selama pemrosesan. 4) Untuk mengetahui apakah kesalahan pemrosesan data dapat segera diperbaiki dalam waktu yang cepat. 5) Untuk mengetahui proses yang dilakukan terekam dengan baik.
4.3.4.2
Objek yang Diaudit Atas Pengendalian Proses (Process Controls) Adapun objek yang diaudit atas pengendalian proses (Process Controls) adalah : 1) Sistem Informasi penggajian PT. Nagasakti Kurnia Textile Mills 2) Pada bagian penggajian (pemrosesan gaji)
4.3.4.3
Kriteria Standar atas Pengendalian Proses (Process Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Proses (Process Controls), yaitu :
123 1) Sistem harus mampu mencegah atau mendeteksi kehilangan data dan data yang tidak valid selama proses dilakukan (Error detection and correction). 2) Kesalahan yang dilakukan selama pemrosesan harus dapat segera diperbaiki. 3) Setiap proses yang dilakukan harus terekam ke dalam database. 4.3.4.4
Instrumen yang Digunakan untuk Pengendalian Proses (Process Controls) Instrumen yang digunakan atas Pengendalian Proses (Process Controls) adalah : 1) Kuesioner di isi oleh Kepala bagian personalia dan staf absensi
Pengendalian Process No
Pertanyaan
Jawaban Ya
1.
2.
3.
Apakah perbaikan terhadap kesalahan pemasukkan data sudah dapat dilakukan dengan mudah? Apakah sudah terdapat prosedur audit trail pada sistem aplikasi penggajian? Apakah waktu yang dibutuhkan dalam pemrosesan data sudah se-efisien mungkin ?
Keterangan
Tidak
Tingkat Resiko
Langsung Low diperbaiki pada saat terjadi kasus.
√ √
Tidak pernah ada.
√
Karena tidak semua High sistem terotomatisasi , maka dalam pemrosesan data masih dianggap belum efisien.
High
124 4.
Apakah sudah dokumen sebagai pencatatan ?
perusahaan menyimpan pendukung bukti-bukti
√
Ada disimpan di Low tempat pengarsipan pada masingmasing ruangan divisi. Untuk dokumen internal misalnya daftar gaji yang sudah satu tahun akan dimusnahkan, sedangkan untuk pajak akan diarsip selama 10 tahun mendatang. Tabel 4.20 Kuesioner Terhadap Pengendalian proses (Process Control) Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian Personalia PT. Nagasakti Kurnia Textile Mills
Pengendalian Proses (Process Controls) PERTANYAAN JAWABAN Apakah ada perbaikan terhadap Ya, dan langsung diperbaiki pada saat kesalahan pemasukan data sudah terjadi kasus. dapat dilakukan dengan mudah? Apakah waktu yang dibutuhkan dalam Karena tidak semua sistem terpemrosesan data sudah seefisien otomatisasi, maka dalam pemrosesan data mungkin? masih dianggap belum efisien. Apakah perusahaan sudah menyimpan Ada disimpan di tempat pengarsipan pada dokumen pendukung sebagai bukti masing-masing ruangan divisi. Untuk pencatatan? dokumen internal misalnya daftar gaji yang sudah satu tahun akan dimusnahkan, sedangkan untuk pajak akan diarsip selama 10 tahun mendatang. Tabel 4.21 Wawancara terhadap Pengendalian Proses (Process Controls) Sumber: Analisa Penulis selaku Auditor
125 4.3.4.5
Temuan, Resiko, Rekomendasi atas pengendalian Proses (Process Controls)
TEMUAN RESIKO REKOMENDASI Belum pernah ada Audit trail diperlukan Diadakan audit trail dengan prosedur audit trail untuk mengecek dan membentuk tim audit yang pada sistem aplikasi memeriksa apakah sistem melakukan inspeksi secara penggajian berkerja dengan proses rutin yang benar dan bekerja dengan se-efisien mungkin Waktu yang Pemrosesan data terlalu Sebaiknya pemrosesan data digunakan untuk menyita waktu sehingga dilakukan dengan efisien pemrosesan data tidak efisien. dengan cara tidak lah efisien mengotomatisasi sistemkarena tidak semua sistem yang ada. sistem telah terotomatisasi Tabel 4.22 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Proses Sumber: Analisa Penulis selaku Auditor 4.3.5
Pengendalian Basis data (Database Controls)
4.3.5.1
Tujuan Dilakukan Audit atas Pengendalian Basis data (Database Controls) Tujuan dilakukannya audit atas Pengendalian Basis Data (Database Controls) meliputi : 1) Untuk memastikan pengendalian basis data yang ada berjalan dengan baik. 2)
Untuk memastikan terdapat pemisahan tugas antara database administrator dengan data administrator.
3) Untuk memastikan adanya pengendalian untuk mencegah akses ilegal. 4) Untuk memastikan terdapatnya prosedur permintaan data.
126 5) Untuk mengetahui telah dilakukannya file handling controls dan integrity constraints pada database. 4.3.5.2
Objek yang Diaudit atas Pengendalian Basis data (Database Controls) Adapun objek yang diaudit atas pengendalian basis data (Database Controls) adalah : 1) Bagian penggajian PT. Nagasakti Kurnia Textile Mills 2) Dokumen atau data yang dihasilkan
4.3.5.3
Kriteria Standar atas Pengendalian Basis data (Database Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Basis data (Database Controls), yaitu : 1) Terdapat pemisahan tugas antara database administrator dan data administrator. 2) Memastikan proses transaksi yang terjadi telah diproses dengan tidak benar 3) Terdapat pengendalian terhadap akses ilegal. 4) Terdapat jumlah previleges atau hak akses yang dibatasi. 5) Database memiliki integrity constrains. 6) Terdapat file handling controls. 7) Permintaan data harus dilakukan dengan mengisi job request.
4.3.5.4
Instrumen yang Digunakan atas Pengendalian Basis data (Database Controls) Instrumen yang digunakan atas pengendalian basis data (Database Controls) adalah :
127 1) Kuesioner di isi oleh kepala departemen personalia Pengendalian Database No
Pertanyaan
Jawaban Ya
1. 2.
Apakah sudah terdapat langkah pem-backup-an data secara rutin ? Apakah file backup telah disimpan ditempat yang aman dari resiko/semua kejadian yang diperkirakan akan terjadi?
3.
Apakah user interface dari database sudah user friendly ?
4.
Apakah proses query data dapat dilakukan dengan mudah ? Apakah dalam database sudah terdapat fungsi create, add, read, delete?
5.
Keterangan
Tidak
Tingkat Resiko
√
2 minggu sekali
√
√
CD backup Low disimpan di perusahaan di tempat penyimpanan data yaitu di ruangan setiap divisi dan berada ditempat yang tinggi untuk menghindari banjir, serta CD selalu dimasukan kedalam CD cover agar terhindar dari debu dan kotoran lainnya yang bisa menyebabkan rusaknya CD tersebut. Tampilan dari High database sulit untuk dibaca. Untuk orang terlatih saja. Sudah diotomatisasi Low
√
Sudah ter-program
√
High
Low
128 6.
Apakah sudah terdapat pemisahan akses bagi masing-masing bagian?
√
Sudah di password Low dan hanya diketahui oleh bagian yang bersangkutan dan dibatasi oleh management network-nya. Tabel 4.23 Kuesioner Terhadap Pengendalian Database Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian personalia dan bagian absensi PT. Nagasakti Kurnia Textile Mills
Pengendalian Basis Data (Data Base Controls) PERTANYAAN JAWABAN Apakah sudah terdapat langkah pem- 2 minggu sekali, dan dicoy ke dalam CD backup-an data secara rutin? backup yang disimpan di perusahaan di tempat penyimpanan data yaitu di ruangan setiap divisi dan berada ditempat yang tinggi untuk menghindari banjir, serta CD selalu dimasukan kedalam CD cover agar terhindar dari debu dan kotoran lainnya yang bisa menyebabkan rusaknya CD tersebut. Apakah user interface dari database Tampilan dari database sulit untuk sudah user friendly? dibaca. Untuk orang terlatih saja. Apakah sudah terdapat pemisahan akses Sudah di password dan hanya diketahui bagi masing-masing bagian? oleh bagian yang bersangkutan dan dibatasi oleh management network-nya. Tabel 4.24 Wawancara terhadap Pengendalian Basis Data(Database Controls) Sumber: Analisa Penulis selaku Auditor 4.3.5.5
Temuan, Resiko, dan Rekomendasi atas Pengendalian Basis Data (Database Controls)
TEMUAN Back up data dilakukan setiap 2 minggu sekali
RESIKO Jika back up data dilakukan2 minggu sekali, maka sangat memungkinkan untuk melakukan manioulasi data atau tidak akuratnya data
REKOMENDASI Back up data setiap hari atau kalau perlu setiap ada data baru atau perubahan data terjadi
129 Database tidak Ketika hendak melakukan Merubah format database disajikan dalam terhadap database akan yang hendak disajikan saja bentuk user- memusingkan user yang kedalam format excel. interface yang user menggunakan friendly. Tabel 4.25 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Basis Data Sumber: Analisa Penulis selaku Auditor
4.3.6
Pengendalian
Komunikasi
Aplikasi
(Application
Communication
Controls) 4.3.6.1
Tujuan Dilakukan Audit atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Tujuan dilakukannya audit atas pengendalian komunikasi aplikasi (Application Communication Controls) meliputi : 1) Untuk memastikan pengendalian komunikasi aplikasi yang ada berjalan dengan baik. 2) Untuk memastikan hardware dan software yang digunakan cukup memadai untuk mendukung transmisi atau saluran link. 3) Untuk memastikan bahwa jaringan pada Sistem Informasi penggajian telah menggunakan media transmisi, communication line, topologi jaringan, dan arsitektur komunikasi yang baik. 4) Untuk
memastikan
adanya
fasilitas
error
detection
pada
communication line dan error correction pada peng-input-an data..
130 4.3.6.2
Objek yang Diaudit atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Adapun objek yang diaudit atas pengendalian komunikasi aplikasi (Application Communication Controls) adalah : 1) Bagian personalia 2) Bagian IT
4.3.6.3
Kriteria
Standar
atas
Pengendalian
Komunikasi
Aplikasi
(Application Communication Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Komunikasi Aplikasi (Application Communication Controls), yaitu : 1) Menggunakan media transmisi, communication line, arsitektur komunikasi, dan topologi. 2) Harus terdapat line error controls. 4.3.6.4
Instrumen yang Digunakan atas Komunikasi Aplikasi (Application Communication Controls) Instrumen yang digunakan atas pengendalian aplikasi komunikasi (Application Communication Controls) adalah:
131 1) Kuesioner di isi oleh Kepala bagian personalia dan staf absensi Pengendalian Application Communication No
Pertanyaan
Jawaban Ya
1.
Apakah sistem informasi di perusahaan sudah menggunakan jaringan LAN ?
2.
Apakah sistem penggajian pada komputer yang digunakan sudah terproteksi agar tidak dapat diakses oleh divisi lain? Apakah sistem LAN yang digunakan sudah beroperasi dengan baik?
3
4
5
√
√
√
Keterangan
Tingkat Resiko
Hanya ada satu divisi yang tidak bisa ter-connect karena jauh jaraknya 400 meter. Tapi sekarang sedang diusahakan. Ya, dengan cara pemakaian password.
Medium
Ya sesuai dengan kebutuhan sistem misalnya pertukaran informasi tiap divisi. Hardware dan software yang digunakan sudah harus di-update.
Low
Tidak
Low
Apakah hardware dan √ High sofware yang digunakan masih dapat mendukung operasional perusahaan dengan baik ? Apakah sisfo penggajian √ Program bisa Low sudah dapat berjalan dipakai banyak user dengan baik, sesuai dengan prosedur yang ditetapkan oleh kepala bagian personalia dan direktur. Tabel 4.26 Kuesioner Terhadap Pengendalian Aplikasi Komunikasi Sumber: Analisa Penulis selaku Auditor
132 2) Wawancara dengan Kepala Bagian Personalia, bagian absensi PT. Nagasakti Kurnia textile Mills Pengendalian Komunikasi Aplikasi (Application Communication Controls) PERTANYAAN JAWABAN Apakah sistem informasi di perusahaan Hanya ada satu divisi yang tidak sudah menggunakan jaringan LAN? bisa ter-connect karena jauh jaraknya 400 meter. Tapi sekarang sedang diusahakan Apakah sistem penggajian pada komputer Ya, dengan cara pemakaian yang digunakan sudah terproteksi agar tidak password. dapat diakses oleh divisi lain? Apakah sistem LAN yang digunakan sudah Ya sesuai dengan kebutuhan sistem beroperasi dengan baik? misalnya pertukaran informasi tiap divisi. Apakah hardware dan software yang Hardware dan software yang digunakan masih dapat mendukung digunakan sudah harus di-update operasional perusahaan dengan baik? Tabel 4.27 Wawancara terhadap Pengendalian Aplikasi Komunikasi Sumber: Analisa Penulis selaku Auditor 4.3.6.5
Temuan,
Resiko
dan
Rekomendasi
Aplikasi
Komunikasi
(Application Communication Controls) TEMUAN Beberapa komputer memiliki hardware dan software yang sudah out-of-date
RESIKO Memperlambat proses dan kinerja dari para pegawai serta menimbulkan resiko kerusakan yang lebih tinggi
REKOMENDASI Mengusahakan penggantian baik hardware maupun software yang bersangkutan
Tabel 4.28 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Aplikasi Komunikasi (Communication Aplication Controls) Sumber: Analisa Penulis selaku Auditor
133 4.4 Laporan Evaluasi Adapun laporan evaluasi atas Sistem Informasi pada Aplikasi Penggajian pada PT. Nagasakti Kurnia Textile Mills adalah sebagai berikut :
134 Kepada
: PT. Nagasakti Kurnia Textile Mills
Perihal
: Laporan Hasil Evaluasi terhadap Sistem Informasi pada Aplikasi Penggajian
Periode
: September 2005 sampai dengan Januari 2006
LAPORAN HASIL EVALUASI SISTEM INFORMASI APLIKASI PENGGAJIAN PT. NAGASAKTI KURNIATEXTILE MILLS
Oleh : Cynthia Ariestika Jean Komala Dewi Wenny
Januari 2006
135 I.
Tujuan Tujuan dari evaluasi ini adalah : 1) Menganalisis dan mengevaluasi pengendalian keamanan dan pengendalian aplikasi pada sistem penggajian pada PT. Nagasakti Kurnia Textile Mills 2) Memastikan
kegiatan
operasional
khususnya
pengoperasian
sistem
penggajian pada PT. Nagasakti Kurnia Textille mills telah berjalan dengan baik dan sesuai dengan prosedur yang telah ditetapkan oleh kepala personalia dan direktur. 3) Mengidentifikasikan masalah yang berkaitan dengan penggajian perusahaan. 4) Merumuskan
rekomendasi
kepada
manajemen
untuk
memperbaiki
kelemahan yang terdapat dalam sistem informasi penggajian dan prosedur operasional perusahaan guna meningkatkan efisiensi dan efektivitas dari kegiatan operasional perusahaan. II.
Ruang Lingkup Ruang lingkup dibatasi pada evaluasi sistem pada aplikasi penggajian dari prosedur pencatatan waktu hadir, penghitungan gaji, pembuatan daftar gaji, pembayaran gaji dan dokumen yang digunakan. Tahap audit hanya dibatasi dari tahap perencanaan sampai dengan tahap evaluasi pengendalian intern yang difokuskan pada : 1) Pengendalian umum yaitu pengendalian manajemen keamanan. 2) Pengendalian aplikasi yaitu pengendalian boundary, input, output dan proses, database dan aplikasi komunikasi.
136 III.
Instrumen Audit yang digunakan dalam evaluasi ini Instrumen Audit yang digunakan adalah melakukan studi pustaka, studi lapangan yang terdiri dari kuesioner, pengamatan (observasi), wawancara, review dokumentasi, tes/pengujian, pemeriksaan fisik dan analisis prosedur.
IV.
Hasil Evaluasi A. Pengendalian Umum (General Controls) 1) Temuan,
Resiko
dan
rekomendasi
terhadap
pengendalian
manajemen keamanan TEMUAN Tidak adanya alat deteksi panas dan asap pada setiap ruangan.
RESIKO Jika terjadi kebakaran maka tidak terdeteksi dengan cepat, sehingga menyebabkan kerugian materi pada perusahaan.
REKOMENDASI Pengadaan alat pendeteksi panas dan asap pada tiap ruangan terutama ruangan yang menyimpan data-data dan peralatan penting.
Stasiun pengendalian tidak dijaga oleh staf.
Tidak ada petugas yang Sebaiknya terdapat petugas siaga jika terjadi bahaya yang selalu siaga di stasiun kebakaran. pengendalian.
Back up data tidak Apabila terjadi kehilangan Harus ada back up data dilakukan secara rutin. data induk, maka tidak ada secara periodik data cadangan dan itu akan menyebabkan kehilangan data. Kertas printer tidak diletakan di ruang terpisah. Dokumen-dokumen yang berkaitan dengan penggajian hanya disimpan pada lemari kayu
Kertas merupakan material yang mudah terbakar sehingga dapat mengakibatkan api menjalar. Lemari kayu dapat terbakar, apabila terjadi kebakaran, maka dokumen-dokumen tersebut juga akan ikut terbakar
Sebaiknya material yang mudah terbakar seperti kertas diletakan pada ruangan yang terpisah dari ruang printer. Sebaiknya dokumen disimpan pada lemari besi sehingga tidak dapat terbakar dan lebih aman.
137 Semua hardware tidak ditutup dengan bahan tahan air sewaktu tidak digunakan Karyawan diperbolehkan makan dan minum didekat peralatan komputer. Tidak ada anti virus pada komputer.
Tidak ada antisipasi apabila salah satu komputer terkena virus Administrator tidak memeriksa dengan teliti pembelian hardware dan software serta bukti penggunaan sistem informasi Petugas keamanan tidak mengontrol asetaset keamanan secara rutin
Air dapat hardware.
merusak
Semua hadrware ditutup dengan bahan tahan air sewaktu tidak digunakan.
Jika terjadi kelalaian, maka dapat merusak komputer
Tidak makan dan minum didekat komputer.
Tidak adanya anti virus dan pelaksanaan update anti virus secara periodik dapat membahayakan keamanan data dan merusak jaringan sistem yang ada pada masingmasing PC. Virus dari satu komputer dapat menyebar ke komputer lainnya.
Meng-install anti virus pada setiap komputer
Dapat terjadi kerancuan akan kepastian mengenai ketepatan hardware atau software yang dibeli dan penggunaanya tidak efisien Jika terjadi hal-hal yang tidak diinginkan maka tidak dapat ditanggulangi dengan baik dan bahkan dapat terjadi kesalahan fatal.
Melakukan antisipasi apabila ada virus seperti dengan meng-scan komputer yang terkena virus Setiap pembelian hardware dan software sebaiknya memiliki bukti pembelian dan penggunaanya sesuai dengan kebutuhan
138 B. Pengendalian Aplikasi (Application Controls) 1) Temuan, Resiko dan rekomendasi terhadap pengendalian boundary TEMUAN Penggantian password tidak harus dilakukan secara rutin. Tidak ada batasan maksimal untuk kesalahan input password Perusahaan tidak menerapkan pengendalian cryptographic
RESIKO Memungkinkan pihak yang tidak berotorisasi untuk mengakses data dalam komputer yang bersifat rahasia dan pribadi Menyebabkan pihak yang tidak mempunyai hak akses dan tidak bertanggungjawab dapat ber-eksperimen terhadap password tersebut Tanpa pengendalian cryptographic, maka password dapat dicuri oleh orang-orang yang ahli dalam bidang IT.
REKOMENDASI Dilakukan penggantian password sesering mungkin minimal sebulan sekali sehingga data yang ada dapat terjamin kerahasiaanya. Sebaiknya ditetapkan batasan maksimal untuk password.
Pengendalian cryptographic ditetapkan agar password tidak dapat dicuri dan dipergunakan oleh pihakpihak yang tidak bertangungjawab. Selain itu, perusahaan juga dapat menggunakan enscript data
2) Temuan, Resiko dan rekomendasi terhadap pengendalian input TEMUAN RESIKO Tiap transaksi Menyebabkan input yang terjadi data tidak diotorisasi. Tidak terdapat Menyebabkan validity test untuk data menjamin keabsahan transaksi.
REKOMENDASI manipulasi Sebaiknya setiap transaksi harus ada otorisasi agar tidak disalahgunakan. kesalahan
Harus
ada
validity
test.
3) Temuan, Resiko dan Rekomendasi atas pengendalian output TEMUAN RESIKO REKOMENDASI Tiap hasil output Pertanggungjawaban dan Setiap hasil output harus tidak diotorisasi keabsahan hasil output diotorisasi terlebih dahulu terlebih dahulu. diragukan. sehingga jelas dan dapat dipertanggungjawabkan.
139 Laporan yang Menyebabkan dihasilkan tidak data. akurat dan tidak sesuai dengan kebutuhan.
manipulasi
Setiap laporan yang dihasilkan harus akurat dan sesuai dengan kebutuhan.
4) Temuan, Resiko, Rekomendasi atas pengendalian Proses TEMUAN RESIKO REKOMENDASI Belum pernah ada Audit trail diperlukan Diadakan audit trail dengan prosedur audit trail untuk mengecek dan membentuk tim audit yang pada sistem aplikasi memeriksa apakah sistem melakukan inspeksi secara penggajian berkerja dengan proses rutin yang benar dan bekerja dengan se-efisien mungkin Waktu yang Pemrosesan data terlalu Sebaiknya pemrosesan data digunakan untuk menyita waktu sehingga dilakukan dengan efisien pemrosesan data tidak efisien. dengan cara tidak lah efisien mengotomatisasi sistemkarena tidak semua sistem yang ada. sistem telah
5) Temuan, Resiko, dan Rekomendasi atas Pengendalian Basis Data TEMUAN Back up data dilakukan setiap 2 minggu sekali
Database tidak disajikan dalam bentuk userinterface yang user friendly.
RESIKO Jika back up data dilakukan2 minggu sekali, maka sangat memungkinkan untuk melakukan manioulasi data atau tidak akuratnya data Ketika hendak melakukan terhadap database akan memusingkan user yang menggunakan
REKOMENDASI Back up data setiap hari atau kalau perlu setiap ada data baru atau perubahan data terjadi Merubah format database yang hendak disajikan saja kedalam format excel.
140 6) Temuan, Resiko dan Rekomendasi Aplikasi Komunikasi TEMUAN Beberapa komputer memiliki hardware dan software yang sudah out-of-date
V.
RESIKO Memperlambat proses dan kinerja dari para pegawai serta menimbulkan resiko kerusakan yang lebih tinggi
REKOMENDASI Mengusahakan penggantian baik hardware maupun software yang bersangkutan
Simpulan Berdasarkan analisa pengendalian internal atas sistem penggajian pada PT. Nagasakti Kurnia Textille Mills pada bab sebelumnya, maka dapat disimpulkan bahwa pengendalian internal atas sistem penggajian pada PT. Nagasakti Kurnia Textille Mills yang terdiri dari 7 pengendalian yang dievaluasi oleh penulis yakni Pengendalian Manajemen Keamanan, Pengendalian Batasan, Pengendalian Input dan Output, Pengendalian Proses, Pengendalian Basis Data dan Pengendalian Komunikasi Aplikasi masih harus diperbaiki.