BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA
4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen 4.1.1 Evaluasi Terhadap Pengendalian Manajemen Operasional Pengendalian manajemen operasional merupakan tindakan pencegahan terhadap terhambatnya atau kurang efektif dan efisiennya operasional bisnis yang berjalan pada perusahaan, karena jika suatu operasional perusahaan kurang efektif dan efisien maka hal tersebut dapat berdampak pada citra perusahaan itu sendiri serta juga dapat mengurangi kepercayaan pelanggan. Pada pengendalian manajemen operasional PT Catra Nusantara Bersama masih terdapat beberapa kelemahan, yaitu: 1. Resiko kerusakan media komputer yang tidak terkontrol tinggi. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Operasional, total nilai terukur -6 (data selengkapnya terlampir), artinya ditemukan bahwa tidak ada staf yang bertanggung jawab untuk mengelola media komputer. Apabila tidak ada staf yang mengelola media komputer maka kemungkinan terjadi kerusakan media komputer yang tidak terkontrol. Resiko ini bersifat tinggi, karena temuan ini memiliki dampak dan kemungkinan terjadi
59
60 dalam taraf yang tinggi. Perusahaan disarankan untuk memiliki staf yang bertanggung jawab untuk mengelola media komputer. 2. Resiko penyalahgunaan data pada media komputer tinggi. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Operasional, total nilai terukur -6 (data selengkapnya terlampir), artinya ditemukan bahwa tidak ada prosedur pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan. Apabila tidak ada prosedur pengelolaan
media
komputer
maka
kemungkinan
terjadi
penyalahgunaan data pada media komputer. Resiko ini bersifat tinggi, karena temuan ini memiliki dampak dan kemungkinan terjadi dalam taraf yang tinggi. Perusahaan disarankan untuk memiliki prosedur pengelolaan pada media komputer. 3. Resiko perusahaan tidak mengetahui bagaimana kinerja para karyawannya sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Operasional, total nilai terukur -4 (data selengkapnya terlampir), artinya ditemukan bahwa perusahaan tidak melakukan evaluasi periodik terhadap para karyawannya. Apabila tidak dilakukan evaluasi secara periodik maka pihak perusahaan tidak akan mengetahui bagaimana kinerja para karyawannya. Resiko ini bersifat
sedang,
karena
temuan
ini
memiliki
dampak
dan
61 kemungkinan terjadi dalam taraf yang sedang. Perusahaan disarankan untuk melakukan evaluasi terhadap karyawan secara periodik oleh pihak manajemen dengan tujuan untuk mengetahui bagaimana kinerja para karyawannya. 4. Resiko karyawan tidak melakukan pekerjaan/tugasnya sesuai dengan aturan yang ditetapkan sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Operasional, total nilai terukur -4 (data selengkapnya terlampir), artinya ditemukan bahwa perusahaan tidak melakukan pemeriksaan mendadak tanpa pemberitahuan terlebih dahulu dengan jadwal yang tidak teratur. Apabila tidak dilakukan pemeriksaan mendadak maka akan mendorong karyawan untuk tidak melakukan pekerjaan/tugasnya sesuai dengan aturan yang ditetapkan dan
bahkan
melakukan
kecurangan
yang
dapat
merugikan
perusahaan. Resiko ini bersifat sedang, karena temuan ini memiliki dampak dan kemungkinan terjadi dalam taraf yang sedang. Perusahaan disarankan untuk selain melakukan audit secara berkala juga perlu melakukan pemeriksaan mendadak untuk mengontrol kinerja karyawan dan memeriksa apakah ada kecurangan yang terjadi. 5. Resiko karyawan melakukan kecurangan yang dapat merugikan perusahaan sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada
62 Pengendalian Manajemen Operasional, total nilai terukur -4 (data selengkapnya terlampir), artinya ditemukan bahwa perusahaan tidak melakukan perputaran karyawan antar cabang secara rutin. Apabila perusahaan tidak melakukan perputaran karyawan antar cabang secara rutin maka lebih mudah terjadi kecurangan karena karyawan yang bersangkutan telah benar-benar mengetahui seluk-beluk dan celah di bagiannya. Resiko ini bersifat sedang, karena temuan ini memiliki dampak dan kemungkinan terjadi dalam taraf yang sedang. Perusahaan disarankan untuk melakukan perputaran karyawan antar cabang secara rutin untuk mencegah terjadinya penyelewengan ataupun kecurangan.
4.1.2 Evaluasi Terhadap Pengendalian Manajemen Keamanan Keamanan sistem informasi merupakan faktor penting yang perlu diperhatikan dalam pengendalian manajemen keamanan untuk menjaga keamanan terhadap perangkat keras (hardware), perangkat lunak (software) dan manusia di dalam perusahaan. Pada pengendalian manajemen keamanan PT Catra Nusantara Bersama masih terdapat beberapa kelemahan, yaitu: 1. Resiko kebakaran tidak akan dapat ditangani secara cepat oleh perusahaan sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Keamanan, total nilai terukur -3 (data selengkapnya terlampir), artinya ditemukan bahwa di ruangan
63 komputer tidak ada alarm kebakaran, pendeteksi asap, dan springkle. Apabila tidak ada alarm kebakaran, pendeteksi asap, dan springkle, maka apabila terjadi kebakaran tidak akan dapat ditangani secara cepat dan bisa menyebabkan kerugian perusahaan yang lebih besar. Resiko ini bersifat sedang, karena walaupun temuan ini memiliki dampak yang tinggi, namun kemungkinan terjadi berada pada taraf yang rendah. Disarankan agar perusahaan memiliki alarm kebakaran, pendeteksi asap, dan springkle, dan alat-alat penanganan kebakaran diperiksa secara periodik sehingga kebakaran dapat ditangani secara cepat. 2. Resiko kehilangan seluruh data di komputer maupun pada arsip fisik dokumen sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Keamanan, total nilai terukur -3 (data selengkapnya terlampir), artinya ditemukan bahwa ruang komputer dengan tempat penyimpanan dokumen tidak dipisah. Apabila tidak ada pemisahan antara tempat penyimpanan komputer dengan ruang komputer, maka sewaktu terjadi bencana seperti kebakaran dan kebanjiran, seluruh data baik yang terdapat di komputer maupun dalam bentuk dokumen fisik bisa rusak atau hilang. Resiko ini bersifat sedang, karena temuan ini memiliki dampak yang tinggi, dan kemungkinan terjadi dalam taraf yang rendah. Disarankan agar ada
64 pemisahan antara tempat penyimpanan dokumen dengan ruangan komputer. 3. Resiko peralatan hardware yang mengalami kerusakan sewaktu terjadi kebanjiran sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Keamanan, total nilai terukur -3 (data selengkapnya
terlampir),
artinya
ditemukan
bahwa
peralatan
hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air. Apabila peralatan hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air maka sewaktu terjadi kebanjiran, peralatan hardware akan mengalami kerusakan. Resiko ini bersifat sedang, karena temuan ini memiliki dampak dan kemungkinan terjadi dalam taraf yang sedang. Disarankan agar peralatan hardware yang sementara tidak digunakan ditutup dengan bahan yang tahan air sebagai tindakan pencegahan. 4. Resiko kehilangan data yang belum sempat disimpan jika terjadi pemadaman listrik tinggi. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Keamanan, total nilai terukur -6 (data selengkapnya terlampir), artinya ditemukan bahwa setiap komputer yang digunakan tidak dilengkapi dengan fasilitas berupa stabilizer ataupun
UPS.
Tidak
adanya
stabilizer
ataupun
UPS
akan
65 menyebabkan kerusakan pada komputer karena pengaruh tegangan listrik yang tidak stabil. Selain itu, juga memberikan resiko kehilangan data yang belum sempat disimpan jika terjadi pemadaman listrik. Resiko ini bersifat tinggi, karena temuan ini memiliki dampak yang tinggi dan kemungkinan terjadi dalam taraf yang sedang. Disarankan agar setiap komputer yang digunakan dilengkapi dengan fasilitas berupa stabilizer ataupun UPS. 5. Resiko terjadinya penyusupan dan pencurian terhadap aset milik perusahaan sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Manajemen Keamanan, total nilai terukur -3 (data selengkapnya terlampir), artinya ditemukan bahwa tidak adanya penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup. Kemungkinan resiko terjadinya penyusupan dan pencurian terhadap aset milik perusahaan menjadi lebih besar. Resiko ini bersifat tinggi, karena temuan ini memiliki dampak yang tinggi dan kemungkinan terjadi dalam taraf yang rendah. Disarankan agar ditempatkan minimal 2 orang penjaga yang bertugas untuk menjaga keamanan perusahaan.
66 4.2 Hasil Evaluasi Terhadap Pengendalian Aplikasi 4.2.1 Evaluasi Terhadap Pengendalian Aplikasi Batasan Pengendalian
aplikasi
batasan
(boundary)
merupakan
tindakan
pencegahan terhadap keamanan data, yang berfungsi untuk mengendalikan kegiatan dan akses user terhadap suatu sistem agar dapat menjaga integritas dan keamanan data yang tersimpan supaya tidak hilang, rusak, dan diakses oleh orang yang tidak berhak. Pada pengendalian aplikasi batasan (boundary) PT Catra Nusantara Bersama masih terdapat beberapa kelemahan, yaitu: 1. Resiko sistem diakses oleh orang yang tidak berkepentingan sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Aplikasi Batasan, total nilai terukur -3 (data selengkapnya terlampir), artinya ditemukan bahwa sistem tidak mengharuskan pengguna memperbaharui password secara berkala. Dengan tidak adanya keharusan memperbaharui password ini, maka ada kemungkinan terjadi kebocoran password yang menyebabkan sistem diakses oleh orang yang tidak berkepentingan atas sistem. Resiko ini bersifat sedang, karena walaupun temuan ini memiliki dampak yang tinggi tapi kemungkinan terjadi dalam taraf yang rendah. Disarankan agar pengguna sistem diharuskan memperbaharui password secara berkala.
67 2. Resiko pembobolan sistem oleh orang yang berniat jahat sedang. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Aplikasi Batasan, total nilai terukur -3 (data selengkapnya terlampir), artinya ditemukan bahwa sistem tidak ada batasan pengisian password yang salah. Dengan tidak adanya batasan pengisian password, maka ada kemungkinan terjadi percobaan pembobolan sistem oleh orang yang berniat jahat. Resiko ini bersifat sedang, karena walaupun temuan ini memiliki dampak yang tinggi tapi kemungkinan terjadi dalam taraf yang rendah. Disarankan agar sistem memiliki batasan pengisian password yang salah.
4.2.2 Evaluasi Terhadap Pengendalian Aplikasi Input Pengendalian terhadap sistem aplikasi input merupakan salah satu bagian penting yang harus dilakukan oleh perusahaan yang memiliki sistem terkomputerisasi. Karena proses memasukan data merupakan tahap awal untuk menghasilkan laporan yang berisi informasi penting yang dibutuhkan perusahaan. Berdasarkan hasil survei, tidak ditemukan kelemahan pada pengendalian aplikasi input PT Catra Nusantara Bersama.
4.2.3 Evaluasi Terhadap Pengendalian Aplikasi Output Pengendalian terhadap laporan yang dicetak perlu diperhatikan agar informasi yang disajikan bermanfaat khususnya bagi user, dan perusahaan serta
68 departemen yang terkait pada umumnya. Pada pengendalian aplikasi output PT Catra Nusantara Bersama masih terdapat beberapa kelemahan, yaitu: 1. Resiko penyelewengan laporan oleh pihak yang tidak berwenang rendah. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian
Aplikasi
Output,
total
nilai
terukur
-2
(data
selengkapnya terlampir), artinya ditemukan bahwa banyaknya copy laporan tidak dicantumkan pada laporan. Apabila banyaknya copy laporan tidak dicantumkan pada laporan maka pihak yang tidak berwenang
bisa
saja
mendapatkan
laporan
tersebut
dan
menyelewengkannya. Resiko ini bersifat rendah, karena temuan ini memiliki dampak yang sedang dan kemungkinan terjadi dalam taraf yang rendah. Disarankan agar mencantumkan banyaknya copy laporan dalam laporan perusahaan. 2. Resiko perusahaan tidak mengetahui program yang digunakan untuk pembuatan laporan ketika hendak mengganti bentuk laporan rendah. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian
Aplikasi
Output,
total
nilai
terukur
-3
(data
selengkapnya terlampir), artinya ditemukan bahwa tidak terdapat nama program yang dicantumkan pada laporan. Bila perusahaan ingin mengganti bentuk laporan, maka tidak diketahui program yang
69 digunakan untuk pembuatan laporan. Resiko ini bersifat rendah, karena temuan ini memiliki dampak yang rendah dan kemungkinan terjadi dalam taraf yang sedang. Disarankan agar mencantumkan nama program pada laporan. 3. Resiko laporan yang masih diperlukan tidak tersimpan pada file perusahaan rendah. Berdasarkan hasil checklist dan wawancara yang telah dilakukan, dan Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian
Aplikasi
Output,
total
nilai
terukur
-3
(data
selengkapnya terlampir), artinya ditemukan bahwa tidak terdapat masa berlaku laporan. Laporan yang masih diperlukan tidak tersimpan pada file perusahaan karena mungkin telah dibuang oleh perusahaan. Resiko ini bersifat rendah, karena temuan ini memiliki dampak yang sedang dan kemungkinan terjadi dalam taraf yang rendah. Disarankan agar mencantumkan masa berlaku laporan.
