106
BAB 4 EVALUASI SISTEM INFORMASI FRONT OFFICE PADA HOTEL ISTANA NELAYAN 4.1
Persiapan dan Perencanaan Audit Pada bab ini akan dibahas mengenai proses pelaksanaan Audit Sistem Informasi Front Office pada Hotel Istana Nelayan. Proses audit terdiri dalam beberapa bagian, yaitu: perencanaan dan program audit, instrumen pengumpulan bukti audit yang digunakan untuk setiap pengendalian, matriks penilaian resiko dan pengendalian dari temuan yang ada, dan laporan audit. Tujuan dari audit terhadap sistem informasi front office ini adalah: 1. Untuk menganalisis prosedur dan arus bisnis sistem informasi front office pada Hotel Istana Nelayan. 2. Untuk mengetahui kelebihan dan kelemahan dalam penerapan sistem infoemasi front office pada Hotel Istana Nelayan. 3. Memberikan rekomendasi untuk kelemahan-kelemahan yang ditemukan. 4. Menghasilkan laporan audit bagi Hotel Istana Nelayan. Bukti-bukti diperoleh dari dokumentasi Hotel Istana Nelayan adalah wawancara dengan manager front office, check list berupa questioner dengan tiga staff front office, manager front office, dan manager IT serta pengamatan secara langsung di Hotel Istana Nelayan. 4.1.1
Perencanaan Audit
107
Perencanaan audit merupakan fase awal audit yang dilakukan untuk lebih mempermudah dan mengarahkan proses kerja audit sehingga lebih efektif, efisien, dan ekonomis. Dalam tahap perencanaan ini auditor akan menentukan ruang lingkup audit, tujuan pelaksanaan audit, dan persiapan audit. 4.1.1.1 Ruang Lingkup Audit Auditor membatasi ruang lingkup auditnya sebagai berikut : 1. Audit akan dilakukan pada sistem informasi persediaan front office Hotel Istana Nelayan yang dimulai dari proses pemesanan, check-in, check-out dan juga pembayaran. 2. Jenis pengendalian yang menjadi topik bahasan penulis yakni Pengendalian
Manajemen
(Management
Controls)
dan
Pengendalian Aplikasi (Application Controls). 3.
Pada Pengendalian Manajemen (Management Controls), penulis akan membahas mengenai Pengendalian Manajemen Keamanan (Security Management Controls).
4. Pada Pengendalian Aplikasi (Application Controls), penulis akan memfokuskan pembahasannya pada : a. Pengendalian Batasan (Boundary Controls) b. Pengendalian Masukan (Input Controls) c. Pengendalian Keluaran (Output Controls)
108
4.1.1.2 Tujuan Pelaksanaan Audit Tujuan pelaksanaan audit antara lain adalah: 1. Untuk menganalisis prosedur dan arus bisnis sistem informasi front office pada Hotel Istana Nelayan. 2. Mengidentifikasi
serta
menemukan
kelemahan
dalam
penerapan sistem informasi front office pada Hotel Istana Nelayan. 3. Untuk
mengevaluasi
apakah
pengendalian-pengendalian
(pengendalian management dan pengendalian aplikasi) yang diterapkan mampu menekan resiko seminimal mungkin hingga pada tingkat yang dapat diterima oleh management. 4. Untuk mengevaluasi sejauh mana tingkat keamanan efektifitas dan efisiensi kinerja sistem informasi front office pada Hotel Istana Nelayan. 5. Menghasilkan laporan hasil evaluasi sistem front office pada Hotel Istana Nelayan. 4.1.1.3 Persiapan Audit Lapangan Menetapkan langkah-langkah persiapan audit di lapangan, yang meliputi kegiatan sebagai berikut: a. Kedatangan untuk observasi dan wawancara dilakukan dalam kurun waktu tiga bulan berturut-turut. b. Tim audit selaku auditor terdiri dari tiga orang. c. Penetapan metode kerja secara professional dan independent.
109
d. Sebelum pelaksanaan audit, dilakukan pengajuan surat pengantar untuk melakukan studi lapangan di Hotel Istana Nelayan. Setelah surat pengantar disetujui Hotel Istana Nelayan, kami melakukan studi lapangan. e. Audit berupa wawancara dan kuisioner yang dilakukan di departemen IT dan departemen Front Office. Audit berupa observasi dengan melakukan penelitian fisik terhadap sistem aplikasi, analisa prosedur yang berjalan, serta melakukan pengujian langsung terhadap sistem informasi front office. 4.1.2
Instrumen Pengumpulan Bukti Audit Pengumpulan bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit. Bukti-bukti dikumpulkan dengan berbagai cara antara lain : 1. Pengamatan atau observasi Penulis melakukan pengamatan dengan mengunjungi Hotel Istana Nelayan untuk mendapatkan gambaran umum mengenai perusahaan tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh karyawan Hotel Istana Nelayan, dari sini penulis dapat mengetahui prosedur yang sedang berjalan dan sistem pengendalian intern yang diterapkan telah dijalankan dengan baik. Pengamatan yang dilakukan penulis ditekankan pada kegiatan front office dari reservasi atau pemesanan, check in, check out, sampai dengan pembayaran.
110
2. Wawancara Penulis melakukan wawancara secara lisan dengan manager yang bersangkutan untuk memperoleh gambaran secara rinci mengenai kegiatan front office yang ada di Hotel Istana Nelayan. Pertanyaan yang ditanyakan seputar prosedur terjadinya reservasi, check in, check out serta pembayaran yang dijalankan oleh Hotel Istana Nelayan. Jawabanjawaban tersebut dikumpulkan untuk mengambil kesimpulan dan diberikan rekomendasi. 3. Kuisioner Kuisioner merupakan daftar pertanyaan yang diberikan kepada responden yang berhubungan dengan sistem informasi front office untuk mempermudah dalam pengumpulan data yang meliputi pengendalian manajemen keamanan dan pengendalian aplikasi. 4. Testing Aplikasi Adalah teknik pengujian secara langsung terhadap sistem informasi front office untuk mengetahui apakah sistem informasi yang sedang berjalan telah memenuhi standart perusahaan. Teknik ini memiliki keandalan bukti audit lebih baik bila dibandingkan dengan metode pengumpulan bukti lainnya.
4.1.3
Penetapan Penilaian resiko Penetapan penilaian resiko sistem informasi front office pada Hotel Istana Nelayan, menggunakan level penilaian resiko. Level penilaian resiko
111
merupakan suatu cara untuk menganalisa seberapa besar kemungkinan terjadi ancaman (likelihood) terhadap akibat yang ditimbulkan (impact) (www.nist.gov). Penilaian resiko ini tidak dipengaruhi dari berapa banyak temuan, tetapi dari berapa besar dampak kerugian pada perusahaan.
Likelihood Level High
Likelihood Definition Sumber ancaman dianggap sangat mungkin terjadi, dan kontrol untuk mencegah vulnerabilitas dianggap tidak efektif.
Medium
Sumber ancaman dapat terjadi, tetapi dilakukan control di tempat kemungkinan terjadinya ancaman tersebut.
Low
Sumber ancaman kecil kemungkinan terjadi, atau control diterapkan untuk mencegah dan setidaknya menghalangi ancaman tersebut. Table 4.1 Likelihood Rating (Kemungkinan terjadinya ancaman) Sumber: www.nist.gov
112
Magnitude of Impact Definition Impact High
1.
Memberikan kerugian yang besar secara biaya pada asset atau sumber sistem informasi.
2.
Penyimpangan dan pelanggaran yang sangat mempengaruhi misi, reputasi dan pendapatan perusahaan.
3.
Dapat menyebabkan korban jiwa ataupun kecelakaan yang serius.
Medium
1.
Dapat menyebabkan kerugian secara biaya pada asset atau sumber sistem informasi.
2.
Penyimpangan dan pelanggaran yang dapat mempengaruhi misi, reputasi dan pendapatan perusahaan.
Low
3.
Dapat menyebabkan kecelakaan.
1.
Dapat menyebabkan kerugian yang tidak terlalu besar pada asset atau sumber sistem informasi.
2.
Hampir tidak mempengaruhi misi, reputasi dan pendapatan perusahaan. Table 4.2 Level Dampak Sumber: www.nist.gov
113
Risk Level High
Risk Description and Necessary Actions Jika sebuah temuan dievaluasi sebagai High Risk, maka penting untuk mempertimbangkan tindakan perbaikan.
Medium
Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan perbaikan diperlukan dan sebuah rencana perbaikan harus ditetapkan.
Low
Jika sebuah temuan ditentukan sebagai Low Risk, dipertimbangkan apakah diperlukan tindakan perbaikan atau memutuskan untuk menerima resiko yang ada. Table 4.3 Risk Scale (Skala Resiko) Sumber: www.nist.gov
Besarnya nilai kemungkinan terjadi ancaman (Likelihood): a) High (H) nilainya 1 b) Medium (M) nilainya 0,5 c) Low (L) nilainya 0,1 Besarnya nilai akibat atau dampak yang ditimbulkan ancaman bagi perusahaan (Impact) : a) High (H) nilainya 100 b) Medium (M) nilainya 50 c) Low (L) nilainya 10 Keterangan: Ancaman yang akan dijadikan resiko dan diberikan rekomendasi hanya kategori High dan Medium.
114
Likelihood
Impact High (H)=100
Medium (M)=50
Low (L)=10
High (H)=1
1 x 100 = 100
1 x 50 = 50
1 x 10 = 10
Medium (M)=0.5
0.5 x 100 = 50
0.5 x 50 = 25
0.5 x 10 = 5
Low (L)=0.1
0.1 x 100 = 10
0.1 x 50 = 5
0.1 x 10 = 1
Tabel 4.4 Matrix Penilaian Resiko
High (H)
Medium (M)
Low (L)
Risk Scale
>50-100
>10-50
1-10
Kriteria
Kurang Baik
Cukup Baik
Baik
Tabel 4.5 Matrix Hasil Penilaian resiko
4.2
Evaluasi Terhadap Bukti Audit atas Pengendalian Umum 4.2.1
Evaluasi Bukti Audit atas Pengendalian Manajemen Keamanan 4.2.1.1 Tujuan
Dilakukan Audit atas Pengendalian Manajemen
Keamanan (Security Management Controls) Tujuan dilakukannya audit atas Pengendalian Manajemen keamanan adalah: a. Untuk memastikan pengendalian manajemen keamanan yang ada pada sistem informasi front office telah berjalan dengan baik. b. Untuk memastikan setiap kegiatan yang terjadi dibuat back up data.
115
c. Untuk memastikan asset sistem informasi aman, dengan adanya antivirus dan scan virus secara rutin , serta kamera pengawas dan sebagainya. 4.2.1.2 Instrumen yang digunakan atas pengendalian keamanan a. Kuisioner
Pertanyaan N o
1.
2.
3.
4.
5.
6.
7.
8. 9.
Pengendalian Manajemen Keamanan (Security) Apakah terdapat alarm kebakaran di Hotel Istana Nelayan? Jika ya, Apakah alarm tersebut diletakkan pada tempat dimana sistem informasi berada? Apakah terdapat tabung kebakaran di dalam Hotel Istana nelayan? Jika ya, Apakah tabung tersebut diletakkan pada lokasi yang mudah diambil dimana sistem informasi berada? Apakah computer/system informasi diletakkan pada lokasi yang aman dari banjir? Apakah dgunakan Uninterruptable Power Supply (UPS) yang mampu mensuply tenaga apa bila mati listrik? Apakah ada kamera pengawas untuk mengantisipasi penyusup? Jika ya, apakah diletakkan dilokasi yang tidak teridentifikasi oleh penyusup? Untuk tindakan preventif,
Ya
Tidak
√
√
√
√
√
√
√
√ √
116
apakah telah diinstall program anti virus? Jika ya, Apakah dilakukan 10. update pada antivirus yang telah di install? Apakah setiap kali terjadi 11. transaksi, dilakukan backup data? Apakah dilakukan maintenance terhadap aset 12. system informasi seperti hardware? 13.
√
√
√
Apakah dilakukan scan virus secara rutin?
Apakah dilakukan maintenance terhadap 14. document-document yang berhubungan dengan kegiatan bisnis di perusahaan?
√
√
Table 4.6 Kuisioner Pengendalian Manajemen Keamanan b. Wawancara 1. Apakah scan virus dilakukan secara rutin? Jawaban: scan virus tidak dilakukan secara rutin. 2. Apakah terdapat alarm kebakaran diletakkan dimana sistem informasi berada? Jawaban: alarm kebakaran diletakkan dimana sistem informasi berada. 3. Dimanakah letak tabung pemadam kebakaran? Jawaban: Tabung pemadam kebakaran diletakkan di setiap lorong, dapur, gudang, ruang IT, dan ruang front office.
117
4. Apakah setiap transaksi terjadi setiap hari memiliki back up data? Jawaban: Setiap terjadi transaksi selalu dibuatkan back up datanya. c.
Pengamatan 1. Setiap transaksi yang terjadi setiap harinya selalu dibuatkan backup datanya. 2. Pengamanan dilakukan dengan tindakan preventive. 3. Tidak semua komputer yang ada pada Hotel Istana Nelayan menggunakan UPS, hanya diruangan front office dan IT. Sedangkan komputer user lain tidak dilengkapi dengan UPS 4. Asset sistem informasi diletakan di tempat yang tidak aman dari banjir. 5. Terdapat alarm dan tabung pemadam kebakaran pada setiap lorong, ruangan, dan kantor.
d.
Testing Aplikasi Sistem yang dilakukan pada Hotel Istana Nelayan sudah sesuai dengan prosedur.
e. Subtantive Test Program komputer telah memproses transaksi dengan benar.
4.2.1.3 Penilaian Resiko Keamanan
No
Temuan
Kemungkinan
Dampak
Bobot
118
Pengendalian Keamanan 1
2
3
terjadi ancaman
Beberapa komputer atau aset sistem informasi diletakkan di lokasi yang tidak aman dari banjir Tidak selalu dilakukan maintenance terhadap asset sistem informasi (Hardware) Tidak selalu dilakukan scan virus secara rutin.
terhadap nilai Perusahaan
Level resiko
0.5
10
5
L
0.5
50
25
M
0.5
100
50
M
80:3= 26.7
M
Risk Scale
Tabel 4.7 Penilaian resiko atas Pengendalian Manajemen Keamanan Hotel Istana Nelayan Berdasarkan penilaian resiko di tabel 4.7, maka penulis menyimpulkan bahwa tingkat efektifitas manajemen keamanan sistem informasi front office Hotel Istana Nelayan adalah cukup baik. Artinya terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja perusahaan.
119
4.2.1.4 Temuan Audit dan Rekomendasi atas Pengedalian Keamanan
No
Temuan Pengendalian Keamanan
Rekomendasi untuk perusahaan
Sebaiknya agar asset sistem informasi diletakkan di lantai 2 yang aman dari banjir Sebaiknya agar dilakukan M maintenance selama 6 bulan sekali 2 untuk mencegah kerusakan asset sistem informasi (hardware) Tidak selalu dilakukan scan Sebaiknya dilakukan scan virus 3 virus secara rutin. M secara rutin minimal 1 kali dalam seminggu. Tabel 4.8 Temuan dan Rekomendasi Pengendalian Managemen Keamanan 1
Komputer atau sistem informasi diletakkan dilokasi yang tidak aman dari banjir Tidak selalu dilakukan maintenance terhadap asset sistem informasi (Hardware)
Tingkat Resiko L
4.3 Evaluasi Terhadap Bukti Audit atas Pengendalian Aplikasi 4.3.1
Evaluasi Bukti Audit atas Pengendalian Batasan (Boundary controls) 4.3.1.1 Tujuan Dilakukan Audit atas Pengendalian Batasan (Boundary controls) Tujuan dilakukannya audit atas Pengendalian Batasan (Boundary controls) adalah : a. Untuk memastikan pengendalian batasan yang ada pada Sistem Informasi Front Office sudah berjalan dengan baik. b. Untuk memastikan bahwa hak akses ke Sistem Informasi hanya dimiliki oleh orang-orang yang terotorisasi. c. Untuk memastikan adanya error message jika terjadi kesalahan dalam peng-input-an data, password maupun user name. d. Untuk memastikan adanya batasan kewenangan akses dalam Sistem.
120
4.3.1.2
Instrumen yang Digunakan untuk Evaluasi Pengendalian Batasan (Boundary Controls) a. Kuisioner
Pertanyaan No Pengendalian Batasan (Boundary) 1.
2.
3.
4.
5.
6.
7.
Apakah sistem informasi front office dilengkapi dengan pengendalian akses (misalnya identitas dan password)? Apakah sistem menampilkan error message bila user salah memasukkan password? Apakah terdapat batasan jumlah minimum karakter pada saat penginputan password? Apakah sistem membatasi berapa kali batas kesalahan untuk user dalam memasukkan password? Apakah sistem akan menampilkan error message bila user salah mengentry data? Adakah batasan-batasan pengelompokan user tertentu yang dapat mengakses sistem informasi front office? Apakah password pada sistem dilakukan enkripsi?
Ya
Tidak
√
√
√
√
√
√
√
Tabel 4.9 Kuisioner Pengendalian Batasan (Boundary) b. Wawancara, dilakukan dengan Manager Front Office dan IT Hotel Istana Nelayan:
121
1. Apakah terdapat pengendalian dalam login akses pada Sistem Informasi Front Ofice yang digunakan? Jawaban : Dalam sistem Maxial terdapat menu login, dimana user harus memasukan usename dan password. 2. Apakah terdapat batasan jumlah minimum karakter dalam password dan username? Jawaban : Tidak ada batasan jumlah minimum karakter pada saat peng-input-an password. Jadi dalam penginput-an
password
bebas
menentukan
jumlah
karakternya. 3. Apakah terdapat batasan kesalahan dalam peng-input-an password? Jawaban : Tidak ada batasan kesalahan dalam penginput-an password. Jadi dalam peng-input-an password dapat terjadi kesalahan berkali-kali dan tidak akan mempegaruhi apa-apa. 4. Apakah sistem manampilkan error message apa bila terjadi kesalahan memsaukkan password atau kesalahan mengentry data? Jawaban : Jawaban : Ya, error message terdapat dibawah layar dan tulisannya berwarna. 5. Apakah password pada sistem dilakukan enkripsi? Jawaban : Ya, password dilakukan enkripsi oleh sistem.
122
c. Pengamatan atau Observasi Berikut ini adalah hasil pengamatan yang berhubungan dengan Boundary Control : 1. Tidak ada batas jumlah karakter pada saat penginputan password. 2. Tidak ada sistem yang membatasi berapa kali kesalahan untuk user dalam memasukkan password. d. Testing Aplikasi Sistem yang dilakukan pada Hotel Istana Nelayan sudah sesuai dengan prosedur. e. Subtantive Test Program komputer telah memproses transaksi dengan benar.
4.3.1.3 Penilaian Resiko Pengendalian Boundary
No 1
2
Temuan Pengendalian Boundary
Bobot Kemungkinan Dampak terjadi terhadap Level ancaman Perusahaan nilai resiko
Tidak ada batasan panjang jumlah minimum karakter pada password Tidak ada batasan sistem tentang berapa kali kesalahan dalam memasukkan password Risk Scale
1
100
100
H
1
100
100
H
200:2 = 100
H
Tabel 4.10 Penilaian Resiko Pengendalian Boundary Berdasarkan penilaian resiko di tabel 4.10, maka penulis menyimpulkan bahwa tingkat pengendalian batasan (boundary)
123
sistem informasi front office Hotel Istana Nelayan adalah kurang baik. Artinya terdapat pengendalian yang kurang baik ketika terjadi ancaman sehingga dampak yang ditimbulkan dapat menghambat kinerja perusahaan bahkan mengakibatkan kerugian material yang besar. 4.3.1.4 Temuan Audit dan Rekomendasi atas pengendalian batasan (Boundary Control) Dari hasil analisis bukti-bukti audit atas Boundary Controls yang ada di Hotel Istana Nelayan, ditemukan beberapa kelemahan, antara lain :
No
1
2
4.3.2
Temuan Pengendalian Batasan
Tidak ada batasan panjang jumlah minimum karakter pada password
Tingkat Resiko
Rekomendasi untuk perusahaan
H
Sebaiknya jumlah karakter password diberi batasan minimal 6 (enam) karakter dengan kombinasi huruf dan angka agar tidak mudah diketahui, kemudian sosialisasikan kepada pemakai dan selanjut nya diimplementasikan sesegera mungkin (1 bulan).
Sebaiknya sistem membatasi maksimal 3 kali Tidak ada batasan sistem kesalahan saja, apa bila tentang berapa kali H lebih maka akan secara kesalahan dalam otomatis keluar dari sistem memasukkan password dan mengeluarkan suara peringatan. Tabel 4.11 Temuan dan Rekomendasi Pengendalian Batasan
Evaluasi Bukti Audit atas Pengendalian Masukan (Input Control)
124
4.3.2.1 Tujuan Dilakukan Audit atas Pengendalian Masukan (Input Control) Tujuan dilakukannya audit atas Pengendalian Masukan (Input Controls) meliputi: a. Untuk memastikan pengendalian masukan yang ada berjalan dengan baik. b. Untuk mengetahui apakah terdapat pemisah tugas user yang terotorisasi. c. Untuk mengecek tampilan, design warna, dan penggunaan bahasa pada layar aplikasi telah baik dan mudah dimengerti, termasuk adanya menu help, error message, menu konfirmasi, waktu respon yang cepat, dan metode input. d. Untuk mengecek apakah aplikasi dilengkapi dengan fasilitas penanganan kesalahan. e. Untuk mendapatkan informasi mengenai prosedur persetujuan peng-input-an data ke dalam aplikasi. f.
Untuk mengecek apakah fasilitas menu dalam aplikasi memenuhi kebutuhan user dan efektif dalam penggunaannya.
125
4.3.2.2 Instrumen yang Digunakan untuk Evaluasi Pengendalian masukan (Input Controls) a. Kuisioner
No
1.
2.
3.
4.
5.
6.
7. 8.
Pertanyaan Pengendalian Masukan (Input Controls) Apakah entry data selalu dilakukan oleh karyawan yang diotorisasi ? Apakah delete pada aplikasi front office hanya dapat dilakukan oleh user yang diberi otoritas? Apakah update pada current hotel status hanya dapat dilakukan oleh user yang diberi otoritas? Apakah sistem dapat menampilkan pesan kesalahan atau error message yang mudah dimengerti jika terjadi kesalahan pada saat penginputan data? Apakah sistem informasi front office dilengkapi dengan fasilitas penanganan kesalahan atau menu help? Apakah penggunaan bahasa pada sistem informasi front office mudah dimengerti? Apakah penggunaan desain warna sistem informasi front office sesuai dengan selera user? Apakah penggunaan
Ya
Tidak
9
9
9
9
9
9
9 9
126
tampilan layar sistem informasi front office mudah dimengerti? Apakah tabbing sudah 9 9. benar sesuai urutan pengisian textbox? 9 Apakah terdapat fungsi peringatan dari sistem 10. informasi front office jika data belum di backup? Apakah data yang dimasukkan ke dalam 9 11. program aplikasi selalu berdasarkan dokumen sumber yang baku? Apakah dilakukan penyimpanan atau 9 12. pengarsipan terhadap dokumen sumber yang telah digunakan? Apakah waktu respon di setiap penginputan data di 9 13. dalam sistem informasi front office cepat? Tabel 4.12 Kuisioner Pengendalian Masukan(input control) b. Wawancara 1. Apakah terdapat menu help pada aplikasi? Jawaban: tidak ada menu help. 2. Apakah data yang dimasukkan kedalam sistem selalu berdasarkan dokumen sumber? Jawaban: benar, sesuai dengan dokumen sumber. 3. Apakah sistem akan memberikan peringatan ketika data belum di back-up? Jawaban: tidak ada peringatan ketika data belum di backup.
127
4. Apakah dilakukan perngarsipan untuk dokumen-dokumen sumber yang digunakan? Jawaban: Semua dokumen sumber yang telah digunakan langsung diarsipkan dan disimpan ke dalam lemari dokumen. c. Pengamatan 1. Entry data selalu dilakukan oleh petugas yang ditetapkan dan berwenang. 2. Delete dan Update hanya dilakukan oleh user tertentu yang diberi otoritas. 3. Data yang dimasukkan ke dalam program aplikasi selalu berdasarkan dokumen sumber. 4. Sistem Informasi Persediaan tidak dilengkapi dengan fasilitas pengangan kesalahan (menu help). Jika terjadi error pada sistem yang digunakan user langsung meminta bantuan ke bagian operasional TI. 5. Ketika petugas entry melakukan kesalahan input, aplikasi menampilkan error message hanya dalam bentuk tulisan yang berwarna merah pada bagian bawah layar. d. Testing Aplikasi Sistem yang dilakukan pada Hotel Istana Nelayan sudah sesuai dengan prosedur. e. Subtantive Test Program komputer telah memproses transaksi dengan benar.
128
4.3.2.3 Penilaian Resiko Pengendalian Masukan
No
1
2
3
4
Temuan Pengendalian Masukan
Bobot Kemungkinan Dampak terjadi terhadap Level ancaman Perusahaan nilai resiko
Sistem menampilkan error message yang kurang terlihat ketika terjadi kesalahan penginputan data Sistem informasi front office tidak dilengkapi dengan fasilitas penanganan kesalahan atau menu help. Tidak ada peringatan dari sistem informasi front office ketika data belum di backup. Tanggal yang tercantum dapat melampaui tanggal akses. Hasil resiko
0.5
50
25
M
0.5
10
5
L
1
100
100
H
0,5
10
5
L
135:4 = 33.8
M
Tabel 4.13 Penilaian Resiko Pengendalian Masukan Berdasarkan penilaian resiko di tabel 4.13, maka penulis menyimpulkan bahwa tingkat pengendalian masukan (input controls) sistem informasi front office Hotel Istana Nelayan adalah cukup baik.
129
4.3.2.4 Temuan Audit dan Rekomendasi atas Pengedalian Masukan (Input Controls)
Temuan Pengendalian Masukan
No
1
2
3
4
Tingkat Resiko
Rekomendasi untuk perusahaan
Sistem menampilkan error message yang kurang terlihat ketika terjadi kesalahan penginputan data
Sebaiknya error message diberikan M dengan cara pop-up pada windows atau dengan tulisan yang lebih besar dengan warna terang pada bagian tengah layar. Sistem informasi front office Sebaiknya ditambahkan menu help tidak dilengkapi dengan L agar dapat mengefisiensi kan fasilitas penanganan kesalahan waktu dan efektifitas dalam atau menu help. melakukan pekerjaan. Tidak ada peringatan dari Sebaiknya diberikan sistem informasi front office H peringatan/warning pada saat data ketika data belum di backup. belum di back-up dengan cara pop-up ataupun tulisan terang dan besar pada bagian tengah layar. Sebaiknya tanggal yang ada pada Tanggal yang tercantum dapat L sistem tidak melebihi dari tanggal melampaui tanggal akses. akses. Tabel 4.14 Temuan dan Rekomendasi Pengendalian Masukan
4.3.3
Evaluasi Bukti Audit atas Pengendalian Keluaran (Output controls) 4.3.3.1 Tujuan Dilakukan Audit atas Pengendalian Keluaran (Output controls) a. Untuk memastikan pengendalian keluaran yang sudah ada berjalan dengan baik. b. Untuk memastikan bahwa aplikasi sistem informasi front office dapat menghasilkan laporan sesuai dengan kebutuhan c. Untuk memastikan setiap laporan yang dihasilkan sudah lengkap tercantum kop surat perusahaan, halaman, tanggal, periode, nomor urut dan jam laporan tersebut.
judul,
130
4.3.3.2 Instrumen yang Digunakan untuk Evaluasi Pengendalian keluaran (Output Controls) a. Kuisioner
No
1.
2.
3.
4.
5.
6.
7.
8.
Pertanyaan Pengendalian Keluaran (Output)
Ya
Tidak
Apakah akses data dibagi 9 berdasarkan jabatan tertentu yang berhak? Apakah sistem informasi front office dapat 9 menghasilkan laporan yang dibutuhkan? Apakah ada staff yang dipercaya untuk bagian 9 penyimpanan atau pengarsipan laporan yang dihasilkan? Apakah dilakukan review 9 untuk mengecek kebenaran laporan yang telah dicetak? Apakah hasil dari laporan/ 9 output akurat sesuai dengan input? Apakah ada penghancuran laporan /output dalam 9 batas waktu 2 tahun terakhir? Apakah dibuat laporan untuk penghancuran 9 document-document tersebut? Apakah informasi yang ada 9 digunakan oleh orang yang tepat? Tabel 4.15 Kuisioner Pengendalian Keluaran
131
b.
Wawancara 1.
Apakah dilakukan pemeriksaan ulang untuk setiap laporan yang akan dicetak? Jawaban: setiap laporan akan diperiksa ulang.
2.
Apakah semua laporan yang dihasilkan akan diarsip oleh perusahaan? Jawaban: semua laporan yang dihasilkan diarsip oeh perusahaan.
3.
Apakah setiap laporan yang dihasilkan sudah lengkap tercantum tanggal, judul, tanda tangan dan sebagainya? Jawaban: setiap laoran yang dihasilkan sudah lengkap tercantum tanggal, judul, halaman, periode, no urut, tanda tangan dan jam laporan.
4.
Apakah
sistem
informasi
front
office
dapat
menghasilkan laporan yang dibutuhkan? Jawaban: sistem informasi front office menghasilkan laporan yang dibutuhkan. c.
Pegamatan atau Observasi 1.
Hotel Istana Nelayan menghasilkan laporan front office yang dibutuhkan.
2.
Setiap laporan yang dihasilkan dicantumkan nama staff yang bertanggungjawab.
132
3.
Laporan yang dihasilkan Hotel Istana Nelayan diarsip secara tersusun dan ada staff yang dipercaya dalam penyimpanan laporan tersebut.
d. Testing Aplikasi Sistem yang dilakukan pada Hotel Istana Nelayan sudah sesuai dengan prosedur. e. Subtantive Test Program komputer telah memproses transaksi dengan benar.
4.3.3.3 Penilaian Resiko Pengendalian Keluaran
No
1
Temuan Pengendalian Keluaran
Bobot Kemungkinan Dampak terjadi terhadap Level ancaman Perusahaan nilai resiko
Tidak ada laporan atas penghancuran document0.5 10 5 document. 5:1= 5 Hasil resiko Tabel 4.16 Penilaian Resiko Pengendalian Keluaran
L L
Berdasarkan penilaian resiko di tabel 4.16, maka penulis menyimpulkan bahwa tingkat pengendalian masukan (output controls) sistem informasi front office Hotel Istana Nelayan adalah sudah baik.
133
4.3.3.4 Temuan Audit dan Rekomendasi atas Pengedalian Keluaran (Output Controls)
No 1
Temuan Pengendalian Masukan Tidak ada laporan atas penghancuran documentdocument.
Tingkat Resiko
Rekomendasi untuk perusahaan
Sebaiknya dibuat pelaporan atas L penghancuran documentdocument secara detil atau per periode. Tabel 4.17 Temuan dan Rekomendasi Pengendalian Keluaran
134
4.4
Laporan Audit
Laporan Hasil Audit Sistem Informasi Front Office Pada Hotel Istana Nelayan
Laporan Audit Sistem Informasi Pada Hotel Istana Nelayan Kepada : Hotel Istana Nelayan Perihal : Laporan Hasil Audit Sistem Informasi Front Office Periode : September 2008 – Januari 2009
Oleh Ellen Normalasari 0900792341 Siska Oktavia 0900821865 Martinus Livino 0900827824 Kelas / Kelompok : 07 PFA /06
Januari 2009
135
I.
Tujuan a. Adapun tujuan dari audit ini adalah : 1. Untuk menganalisis prosedur dan arus bisnis sistem informasi front office pada Hotel Istana Nelayan. 2. Mengidentifikasi serta menemukan kelemahan dalam penerapan sistem informasi front office pada Hotel Istana Nelayan. 3. Untuk
mengevaluasi
apakah
pengendalian-pengendalian
(pengendalian management dan pengendalian aplikasi) yang diterapkan mampu menekan resiko seminimal mungkin hingga pada tingkat yang dapat diterima oleh management. 4. Untuk mengevaluasi sejauh mana tingkat keamanan efektifitas dan efisiensi kinerja sistem informasi front office pada Hotel Istana Nelayan. 5. Menghasilkan laporan hasil evaluasi sistem front office pada Hotel Istana Nelayan.
b. Tujuan dari setiap pengendalian yang digunakan adalah : 1. Tujuan dari Pengendalian Keamanan (security): a. Untuk memastikan pengendalian manajemen keamanan yang ada pada sistem informasi front office telah berjalan dengan baik. b. Untuk memastikan setiap kegiatan yang terjadi dibuat back up data.
136
c. Untuk memastikan asset sistem informasi aman, dengan adanya antivirus dan scan antivirus secara rutin , serta kamera pengawas dan sebagainya. 2. Tujuan dari Pengendalian Batasan (Boundary controls) a. Untuk memastikan pengendalian batasan yang ada pada Sistem Informasi Front Office sudah berjalan dengan baik. b. Untuk memastikan bahwa hak akses ke Sistem Informasi hanya dimiliki oleh orang-orang yang terotorisasi. c. Untuk memastikan adanya error message jika terjadi kesalahan dalam peng-input-an data, password maupun user name. d.
Untuk memastikan adanya batasan kewenangan akses dalam Sistem.
3.
Tujuan dari Pengendalian Masukan (Input controls) a. Untuk memastikan pengendalian masukan yang ada berjalan dengan baik. b. Untuk mengetahui apakah terdapat pemisah tugas user yang terotorisasi. c. Untuk mengecek tampilan, design warna, dan penggunaan bahasa pada layar aplikasi telah baik dan mudah dimengerti, termasuk adanya menu help, error message, menu konfirmasi, waktu respon yang cepat, dan metode input. d. Untuk mengecek apakah aplikasi dilengkapi dengan fasilitas penanganan kesalahan.
137
e. Untuk mendapatkan informasi mengenai prosedur persetujuan peng-input-an data ke dalam aplikasi. f. Untuk mengecek apakah fasilitas menu dalam aplikasi memenuhi kebutuhan user dan efektif dalam penggunaannya 4. Tujuan dari Pengendalian Keluaran (Output controls) a. Untuk memastikan pengendalian keluaran yang sudah ada berjalan dengan baik. b. Untuk memastikan bahwa aplikasi sistem informasi front office dapat menghasilkan laporan sesuai dengan kebutuhan c. Untuk memastikan setiap laporan yang dihasilkan sudah lengkap tercantum kop surat perusahaan, halaman, judul, tanggal, periode, nomor urut dan jam laporan tersebut. II.
Ruang Lingkup Ruang lingkup yang dibatasi pada pengendalian terhadap prosedur dan proses pelaksanaan sistem front office. Pengendalian terhadap posedur dalam proses ini difokuskan pada : a.
Pengendalian umum, yaitu pengendalian manajemen keamanan.
b.
Pengendalian aplikasi, yaitu pengendalian boundary, input dan output.
III.
Metode Pengumpulan Data Metode pengumpulan data yang digunakan adalah melalui studi pustaka, wawancara, observasi, kuisioner, testing aplikasi berdasarkan pertanyaan yang telah disusun sebelumnya.
138
IV.
Metode Audit Metode audit yang digunakan adalah audit around the computer yang memeriksa input dan output. Tanpa menguji langkah-langkah proses secara langsung tetapi hanya berfokus pada masukan dan keluaran dari sistem informasi aplikasi front office yang ada.
V.
Hasil Audit 1. Pengendalian atas Manajemen Keamanan Pengendalian manajemen keamanan front office pada Hotel Istana Nelayan memiliki tingkat keamanan yang cukup baik namun belum optimal. Adapun rekomendasi dari auditor adalah asset sistem informasi sebaiknya diletakkan di lantai 2 yang aman dari banjir, dilakukan maintenance selama 6 bulan sekali untuk mencegah kerusakan asset sistem informasi (hardware), dan dilakukan scan virus secara rutin minimal 1 kali dalam seminggu. 2. Pengendalian atas Batasan (Boundary) Pengendalian batasan (boundary) pada front office Hotel Istana Nelayan memiliki tingkat pengendalian batasan (boundary) yang kurang baik. Adapun rekomendasi dari auditor adalah jumlah karakter password diberi batasan minimal 6 (enam) karakter dengan kombinasi huruf dan angka agar tidak mudah diketahui, kemudian sosialisasikan kepada pemakai dan selanjutnya diimplementasikan sesegera mungkin (1 bulan), dan sistem membatasi maksimal 3 kali kesalahan saja, apa bila lebih maka account tersebut akan di blokir.
139
3. Pengendalian atas Masukan (Input) Pengendalian masukan (input) pada front office Hotel Istana Nelayan memiliki tingkat pengendalian masukan (input) yang cukup baik namun belum optimal. Adapun rekomendasi dari auditor adalah error message diberikan dengan cara pop-up pada windows atau dengan tulisan yang lebih besar dengan warna terang pada bagian tengah layar, ditambahkan menu help agar dapat mengefisiensikan waktu dan efektifitas
dalam
melakukan
pekerjaan,
dan
diberikan
peringatan/warning pada saat data belum di back-up dengan cara popup ataupun tulisan terang dan besar pada bagian tengah layar. f. Pengendalian atas Keluaran (Output) Pengendalian keluaran (output) pada front office Hotel Istana Nelayan sudah baik. Adapun rekomendasi dari auditor adalah Sebaiknya dibuat pelaporan atas penghancuran dokumen-dokumen secara detil atau per periode.