115
BAB 4 EVALUASI TERHADAP APLIKASI IMPOR PADA KANTOR PELAYANAN BEA DAN CUKAI JAKARTA
4.1
Tujuan Evaluasi terhadap Sistem Aplikasi Impor Tujuan Evaluasi terhadap Sistem Aplikasi Impor bertujuan untuk: 1. Mengevaluasi dan memastikan apakah pengendalian umum dan pengendalian aplikasi sudah berjalan dengan efektif 2. Mengetahui seberapa efektif Sistem Aplikasi Impor 3. Mengetahui apakah Sistem Aplikasi Impor sudah memenuhi kebijakan yang ditetapkan dalam kep 07/KMK/2003 4. Memberi
rekomendasi
atas
resiko-resiko
yang
diperoleh,
untuk
meningkatkan keefektifan Sistem Aplikasi Impor
4.2
Program Audit 4.2.1 Perencanaan Audit Tahap perencanaan audit dilakukan dengan menentukan persiapanpersiapan dan informasi apa saja yang diperlukan dalam rangka melakukan audit terhadap Sistem Aplikasi Impor, termasuk didalamnya persiapan evaluasi lapangan terhadap objek audit. 4.2.1.1
Informasi Yang Diperlukan Informasi yang diperlukan dalam rangka audit Sistem Aplikasi Impor adalah
116 1. Sejarah Direktorat Jenderal Bea dan Cukai (DJBC) Dapatkan informasi tentang sejarah DJBC 2. Struktur Organisasi Dapatkan informasi tentang struktur organisasi DJBC dan substruktur organisasi yang terkait 3. Ketentuan-ketentuan yang terkait dengan Sistem Aplikasi Impor Dapatkan informasi tentang aplikasi dan ketentuanketentuan atau kebijakan yang terkait dengan Sistem Aplikasi Impor 4. Pengendalian Umum dan Pengendalian Aplikasi Dapatkan informasi mengenai pengendalian umum dan pengendalian aplikasi yang ada.
4.2.1.2
Persiapan Evaluasi Lapangan Rencana evaluasi lapangan dalam rangka audit terhadap Sistem Aplikasi Impor adalah sebagai berikut: 1. Waktu audit ditargetkan minimal 15 kali dalam kurun waktu 5 bulan, berturut-turut dari bulan Agustus 2005 sampai dengan Desember 2005 2. Tim evaluasi selaku auditor terdiri dari 2 orang 3. Objek audit Sistem Aplikasi Impor dilakukan di kantor Pusat DJBC dan disalah satu Kantor Pelayanan Bea Cukai, yaitu di
117 Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma, Jakarta 4. Sebelum evaluasi, mengajukan Surat Permohonan Survei ke Sub Direktorat Informasi Kepabeanan dan Cukai 5. Evaluasi berupa wawancara, kuesioner, observasi, review dokumentasi dan Testing dilakukan di Sub Direktorat Informasi Kepabeanan dan Cukai, yang terletak di Gedung A lantai 1, Direktorat Jenderal Bea dan Cukai Pusat, Jalan Ahmad Yani By Pass, Jakarta Timur. 6. Evaluasi berupa wawancara, kuesioner, observasi, dan review dokumentasi dilakukan di Kantor Pelayanan Bea Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma
4.2.2
Prosedur Audit Atas Pengendalian Umum dan Aplikasi 4.2.2.1
Prosedur Audit Atas Pengendalian Umum 1. Dapatkan informasi sekilas tentang System Development Life
Cycle
(SDLC)
pada
DJBC
yang
mendasari
pengembangan sistem 2. Dapatkan Informasi tentang tugas DA (Data Administrator) dan DBA (Database Administrator) 3. Dapatkan ketentuan/prosedur khusus mengenai pengaksesan Sistem Aplikasi Impor 4. Dapatkan
informasi
metode
pengaksesan
(Descreatory atau Mandatory Access)
database
118 5. Dapatkan informasi mengenai keberadaan Quality Control atas database 6. Dapatkan bukti atas Quality Control yang dilakukan 7. Dapatkan informasi mengenai pengendalian keamanan yang diterapkan 8. Dapatkan informasi tentang apa saja komponen-komponen keamanannya (software dan hardware) 9. Dapatkan informasi lokasi ruang pemrosesan data 10. Dapatkan informasi mengenai pembatasan akses fisik ke ruang komputer 11. Dapatkan informasi mengenai pembatasan akses ke dalam sistem komputer 12. Dapatkan
informasi
tentang
sistem
aplikasi
untuk
mendukung keamanan jaringan 13. Dapatkan informasi apakah DJBC melakukan inventarisasi dan mengcover aset sistem komputer dengan asuransi 14. Dapatkan informasi tentang jadwal operasi sistem aplikasi Impor 15. Dapatkan informasi tentang maintenance hardware dan software secara periodik 16. Dapatkan informasi mengenai histori operasional sistem 17. Dapatkan informasi tentang kebijakan yang digunakan untuk memonitor sistem (koneksi atau jaringan)
119 18. Dapatkan
sekilas
informasi
tentang
hardware
yang
digunakan
4.2.2.2
Prosedur Audit Atas Pengendalian Aplikasi A. Boundary Control 1. Dapatkan informasi metode akses yang digunakan 2. Dapatkan informasi mengenai tingkatan level user dan batasan-batasan aksesnya 3. Lakukan pengecekan apakah bila login tidak valid sistem menampilkan pesan tidak valid 4. Lakukan pengecekan berapa kali kegagalan penginputan login access dapat dilakukan 5. Dapatkan informasi mengenai pembatasan umur password 6. Dapatkan informasi apakah login access pada setiap subsistem aplikasi tersebut di-encryption
B. Communication Control 1. Dapatkan informasi tentang firewall yang digunakan pada Sistem Aplikasi Impor 2. Dapatkan informasi mengenai software dan hardware yang digunakan, khususnya mengenai jaringan 3. Dapatkan informasi mengenai communication lines yang digunakan
120 4. Dapatkan informasi mengenai keberadaan encryption pada Sistem Aplikasi Impor 5. Dapatkan informasi mengenai keberadaan backup hardware internetworking 6. Dapatkan
informasi
tentang
topologi
jaringan
yang
digunakan 7. Evaluasi terhadap private/public network dan protokol yang digunakan
C. Input Control 1. Dapatkan metode input yang digunakan 2. Dapatkan informasi otorisasi transaksi sebelum inputan 3. Dapatkan informasi mengenai rancangan tampilan data entry 4. Dapatkan informasi apakah bila inputan salah ada pesan error atau tidak 5. Dapatkan informasi mengenai audit trail terhadap input 6. Dapatkan informasi mengenai completeness check atas inputan
D. Process Control 1. Dapatkan informasi mengenai system requirement dari aplikasi
121 2. Dapatkan kebijakan mengenai software dan hardware yang digunakan 3. Dapatkan informasi mengenai kebijakan update data 4. Dapatkan informasi mengenai apakah transaksi yang terotorisasi telah diproses secara akurat 5. Dapatkan informasi mengenai audit trail terhadap proses 6. Dapatkan informasi apakah bila ada proses yang salah atau gagal ada pesan error atau tidak 7. Dapatkan informasi mengenai apakah ada recovery setelah ada proses yang gagal. 8. Dapatkan informasi apakah ada prosedur untuk menjamin tidak ada proses yang duplikasi
E. Database control 1. Dapatkan informasi mengenai hubungan tiap-tiap entity yang ada 2. Dapatkan informasi tentang pembatasan akses database 3. Dapatkan informasi tentang audit trail database 4. Dapatkan informasi mengenai ketersediaan audit terhadap database 5. Dapatkan informasi apakah backup terhadap database dilakukan secara rutin atau tidak
122 6. Dapatkan informasi mengenai kegagalan apa saja yang pernah terjadi pada database 7. Dapatkan informasi mengenai perubahan transaksi pada database
F. Output Control 1. Dapatkan informasi mengenai prosedur review laporan oleh manajemen 2. Dapatkan informasi mengenai kelengkapan laporan 3. Dapatkan informasi mengenai pendistribusian laporan 4. Dapatkan informasi mengenai otorisasi pencetakan laporan 5. Dapatkan informasi mengenai waktu pencetakan laporan
4.2.3
Pengumpulan Bukti Audit 1. Kuesioner Kuesioner yang digunakan sebagai metode untuk mengumpulkan bukti audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan Kuesioner Pengendalian Aplikasi Dimana kuesioner ini terdiri dari: a. Kolom nomor pertanyaan b. Kolom pertanyaan, berisi aspek-aspek data yang ingin diketahui oleh auditor
123 c. Kolom ya dan tidak, merupakan jawaban terhadap pertanyaan responden d. Kolom
keterangan,
merupakan
penjelasan
responden
terhadap pertanyaan dan jawaban yang diberikan 2. Wawancara Wawancara dilakukan
secara tidak terstruktur, dimana design
pertanyaannya disesuaikan dengan informasi/data yang ingin diketahui oleh auditor. Dimana respondennya dibatasi hanya untuk manajemen terkait 3. Observasi Observasi dilakukan dengan melakukan survei langsung ke lapangan untuk melihat secara langsung pengendalian umum dan aplikasi secara langsung untuk mendapatkan informasi lapangan yang lebih akurat. Dimana observasi dilakukan di Direktorat Informasi Kepabeanan dan Cukai pada Kantor Pusat Direktorat Jenderal Bea dan Cukai dan di Divisi Operasional Komputer dan Distribusi Dokumen pada Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma 4. Testing Testing dilakukan untuk mendapatkan informasi yang lebih jelas mengenai pengendalian aplikasi. Dimana auditor secara langsung menguji Aplikasi Impor yang ada
124 5. Review Dokumentasi Review dokumentasi dilakukan dengan menelusuri dokumendokumen dan laporan yang dihasilkan guna mendapatkan informasi terhadap pengendalian yang ada.
125
4.3
Hasil Pengumpulan Data Atas Pengendalian Umum 4.3.1
Hasil Kuesioner Pengendalian Umum
No
Pertanyaan
1
Apakah terdapat struktur organisasi formal yang mencakup bagian pengolahan data?
Ya
Tidak
Keterangan Ada, lihat Gambar 3.1 (Struktur Organisasi
√
DJBC
Kantor
Pusat)
Pada
divisi
DIKC
(Direktorat Informasi Kepabenan dan Cukai) dan pada Gambar 3.3 (Struktur Organisasi Kantor Pelayanan Tipe A) Pada divisi OKDD (Operasional
Komputer
dan
Distribusi
Dokumen). 2
Apakah manajemen melakukan review periodik
Dilakukan oleh manajemen terkait, Untuk
terhadap skedul pengolahan data dan pencetakan
Kantor Pelayanan seperti Kepala Kantor,
laporan? 3
√
OKDD, untuk Kantor Pusat Direktorat Jenderal.
Apakah terhadap fungsi-fungsi yang ada di
Ada tertulis pada Nota Dinas, dimana Nota
bagian pengolahan data telah terdapat uraian dan
Dinas berisikan Job Description untuk masing-
126
tanggung jawab yang jelas dan tertulis? 4
√
Apakah terdapat fungsi DBA yang terpisah dari Data/Programmer
Librarian
maupun
Apakah
Ada ruang yang terpisah.
dari √
Programmer? 5
masing fungsi. (Lihat Lampiran 51)
terdapat
ketetapan
tertulis
tentang
Tidak tertulis, background pendidikannya tidak
persyaratan ketrampilan bagi setiap posisi yang
dinyatakan secara tertulis. Adanya training bagi
ada dibagian pengolahan data?
√
staf
yang
akan
ditempatkan
ke
bagian
pengolahan data. 6
Apakah ada program latihan (training) untuk
Ada training pada periode tertentu yang sudah
meningkatkan
ditetapkan dan dijadwalkan oleh manajemen
kemampuan
personil
bagian
Pengolahan Data? 7
√
Apakah terdapat evaluasi periodik berdasarkan kriteria yang ada terhadap kinerja para personil?
Ada, hal ini terlihat dalam Aplikasi Impor, √
dimana terdapat laporan yang berupa evaluasi terhadap kinerja para personil yang terlibat dalam aplikasi tersebut (Lihat Lampiran 80
127
pada Gambar 57 dan Lampiran 84 pada Gambar 65) 8
Apakah terhadap seluruh operasi komputer telah
Jadwalnya tidak secara rinci diatur dan hanya
dilakukan
mengikuti
jam
kerja
pegawai.
Absensi,
insert
kurs
(Mingguan).
penjadwalan
sehingga
dapat
diselesaikan tepat waktu dan efisien?
√
Misalnya: (Lihat
Lampiran 80 pada Gambar 58) 9
Apakah telah ditetapkan staf yang bertanggung
Ada, pada Kantor Pelayanan diatur oleh seksi
jawab untuk mengelola media komputer (misal:
OKDD (Operasional Komputer dan Distribusi
tape, disket, dll)?
√
Dokumen). Pada Kantor Pusat datur oleh DIKC (Direktorat Informasi Kepabeanan dan Cukai).
10
Apakah telah terdapat prosedur pengolahan media
Ada, secara umum adanya pem-backup-an data
komputer dalam rangka melindungi data dari
dan prosedurnya dinyatakan dalam bentuk user
penyalahgunaan atau kerusakan? 11
√
manual.
Apakah terdapat standar penggunaan identifikasi
Ada, terdapat disetiap inventaris (Seperti
(eksternal dan internal label) terhadap seluruh
komputer, aksesoris komputer, dll) untuk media
128
media magnetis yang dipergunakan?
√
magnetis seperti disket, CD, dll) jarang digunakan karena semua data berada di server dan backup data berada diserver.
12
Apakah dilakukan evaluasi terhadap kinerja dari sistem yang digunakan?
Dari pihak intern dievaluasi oleh manajemen, √
untuk external pernah dilakukan audit sistem informasi. Ada, bentuknya dalam laporan
Jika ya, apakah terdapat dokumentasi mengenai kinerja aplikasi? 13
√
Apakah lokasi ruang server/database terpisah dengan bagian lainnya?
Bagian Database terpisah dengan bagian √
lainnya, dimana Database ditempatkan di Ruang Console pada Kantor Pelayanan berada di lantai dasar dan pada Kantor Pusat berada di lantai 2 dan hanya yang memiliki otoritas yang boleh masuk
14
Apakah terdapat metode pembatasan akses
Ada dengan menggunakan ID Card.
129
terhadap ruang fasilitas library yang ada? 15
√
Apakah terhadap instalasi komputer yang kritis
Ada misalnya pada pengamanan server
dipakai metode pengawasan yang lebih ketat mengenai pembatasan akses fisik? 16
√
Apakah terhadap terminal yang berada di luar lokasi
Bagian
Pengolahan
Data,
telah
ditempatkan di lokasi yang aman? 17
Apakah
kepada
setiap
√
pegawai
yang
User ID diberikan sesuai dengan otoritas yang
berkepentingan telah diberikan User ID yang unik? 18
√
Apakah tiap User ID (Log On ID) dialokasikan
access
previllege
yang
telah
Diberikan sesuai dengan otoritas dan tanggung
sesuai
dengan tugas dan tanggung jawabnya? 19
diberikan kepadanya
jawabnya √
Apakah prosedur Log In pegawai diharuskan memberikan User ID & Password?
√
130
20
Apakah Password terdapat dalam bentuk file komputer yang telah dienkripsi?
Semua bagian tidak dapat mengetahui password √
user, termasuk DBA sendiri, karena password disamarkan. Bila ada user yang lupa dengan passwordnya, maka akan dibuatkan password baru.
21
Apakah peraturan pemakaian password dapat
Peraturan yang ada sudah jelas. Dalam praktek
menjamin bahwa tidak terdapat kemungkinan
tidak menutup kemungkinan adanya pihak yang
suatu password diketahui oleh pihak lain? 22
√
Apakah terdapat keharusan untuk mengubah
mengetahui password orang lain Ada, tiga bulan sekali harus diganti
password apabila telah melewati batas umur tertentu? 23
√
Apakah terdapat prosedur yang secara periodik
Ada, dari log file yang ada dan dilakukan oleh
mengharuskan dilakukan evaluasi dalam rangka
DBA (Lihat Lampiran 85 pada Gambar 68,
mengidentifikasi dan mengatasi adanya aktivitas
Lampiran 86 pada Gambar 70, Lampiran 87
yang tidak terotorisasi?
√
pada Gambar 72)
131
24
Apakah lokasi instalasi komputer telah cukup
Di Kantor Pelayanan lokasi instalasi komputer
aman dari kemungkinan gangguan maupun
sebagian besar terletak dilantai dasar, karena
bencana dari luar gangguan?
√
didukung oleh letak geografisnya. Di Kantor Pusat lokasi instalasi komputer sebagian besar berada di lantai 1 dan 2.
25
Apakah konstruksi bangunan instalasi komputer
Konstruksi bangunan instalasi komputer sudah
terbuat dari bahan-bahan yang tidak rawan akan
menggunakan standar.
api atau mudah dirusak? 26
Apakah
setiap
√
komputer
memiliki
sistem
antivirus yang selalu update?
Ada, update dilakukan per-client dan update √
dilakukan
secara
terhubung ke jaringan 27
Apakah
perusahaan
telah
menerapkan
pengamanan untuk melindungi asetnya yang berhubungan dengan sistem informasi terhadap gangguan:
online
saat
komputer
132
a. Banjir?
√
Letak geografis yang mendukung, sehingga sever berada di lantai dasar (Pada Kantor Pelayanan Halim) dan Server berada di lantai 2 (Kantor Pusat)
b. Kebakaran?
√
Adanya tabung pemadam kebakaran di sudut ruangan
28
c. Listrik?
√
Adanya UPS dan Stabilizer
d. Suhu?
√
Adanya AC
e. Lainnya?
√
Apakah ada prosedur tertulis mengenai tata cara
Jika hardware rusak langsung diserahkan ke
penanganan ancaman yang berhubungan dengan
vendor bila masih dalam masa garansi, bila di
sistem informasi?
√
luar garansi diserahkan ke IKC atau PDDT (Pengolahan Data dan Dukungan Teknis)
29
Apakah ruang komputer telah dilengkapi dengan alat pendingin dan pengatur kelembaban?
Dengan menggunakan AC √
133
30
Apakah telah terdapat prosedur backup yang memadai terhadap data/aplikasi kritis?
31
Prosedur backup data dilakukan secara rutin √
Apakah terdapat prosedur untuk penanganan bila ada hardware yang rusak?
oleh DBA Bila ada hardware yang rusak langsung
√
diserahkan ke vendor, bila dalam masa garansi, dan bila diluar garansi diserahkan ke IKC atau PDDT
(Pengolahan
Data
dan
Dukungan
Teknis) 32
Apakah terdapat prosedur tertulis yang dipakai
Pengembangan
dalam
menggunakan metode Waterfall dan untuk
melakukan
pengembangan
dan
pemeliharaan sistem?
√
sistem
secara
garis
besar
pemeliharaan sistem dilakukan oleh DIKC, dimana
tahapnya
pengumpulan
data,
terdiri
dari
tahap
analisis,
perancangan,
implementasi, uji coba. 33
Apakah
terdapat
keterlibatan
pengembangan sistem?
user
dalam
Adanya Tim Analis; Tim Pendamping yang √
terdiri dari kantor pelayanan, Direktorat IKC,
134
Direktorat Pengolahan Data dan Dukungan Teknis; dan Programmer. 34
Apakah untuk setiap perubahan program telah
Setiap perubahan program harus berdasarkan
mendapat otorisasi tertulis dari pejabat yang
wewenang yang diberikan manajemen
berwenang? 35
Apakah terdapat dokumentasi yang cukup untuk setiap aplikasi yang ada?
36
√ Ada, seperti user manual dan dokumentasi √
Apakah SPI telah dilibatkan dalam setiap pengembangan sistem?
pengembangan sistem Ada, dimana SPI telah diterapkan dalam setiap
√
pengembangan sistem yang dilakukan oleh Tim Analis; Tim Pendamping yang terdiri dari kantor pelayanan, Direktorat IKC, Direktorat Pengolahan Data dan Dukungan Teknis; dan Programmer
37
Apakah pengembangan sistem telah berdasarkan metodologi yang efektif dan efisien?
Secara √
garis
besar
menggunakan
metode
Waterfall dimana tahapnya terdiri dari tahap
135
pengumpulan
data,
analisis,
perancangan,
implementasi, uji coba. 38
Apakah
sebelum
sistem
diimplementasikan
dilakukan pengujian terlebih dahulu? 39
√
Apakah hardware yang dipergunakan dalam operasi
telah
memiliki
pengendalian-
pengendalian yang memadai untuk mendeteksi adanya kerusakan hardware? 40
√
Apakah Operating System yang digunakan telah
Operating System (OS) yang dipakai pada
memiliki pengendalian-pengendalian yang cukup
Client yaitu Microsoft Windows XP dan pada
untuk mendeteksi ketidakwajaran yang timbul
Server AIX yang didalamnya terdapat fitur
dalam
untuk mendeteksi ketidakwajaran penggunaan
penggunaan
resources
komputer
(hardware, software, telekomunikasi)? 41
√
Apakah terdapat jaminan dari vendor atas hardware maupun software yang baru dibeli?
resources komputer Jaminan yang diberikan berupa garansi
√
136
42
Apakah terdapat asuransi terhadap hardware yang memiliki tingkat resiko yang tinggi atas kerusakan?
√
Tabel 4.1 : Hasil Kuesioner Pengendalian Umum
137 4.3.2
Hasil Wawancara Pengendalian Umum 1. Standar SDLC (System Development Life Cylce) yang diterapkan secara garis besar menggunakan metode Waterfall, dimana terdiri dari tahap pengumpulan data, analisis, perancangan, implementasi, uji coba. 2. Tugas DA dan DBA terpisah, dimana tugas DA sebagai Administrator Aplikasi yang bertugas untuk memonitor pelaksanaan aplikasi sesuai dengan otoritas user, dan DBA tugasnya menangani dan memaintain error, kesalahan pada Database, dan Backup data. Dalam pelaksanaannya tugas DA dan DBA saling meng-cover satu sama lainnya (Dimana jika ada salah satunya tidak dapat melakukan tanggung jawabnya, maka akan digantikan oleh rekan yang lain sementara waktu) 3. Adanya access policies dan concurency access pada Database, dimana user hanya boleh masuk ke menu aplikasi untuk mengakses Database sesuai dengan otoritasnya. 4. Tidak terdapat departemen yang secara langsung menangani Quality Control, tetapi ada monitoring langsung dari manajemen. 5. Sistem yang berjalan sudah 75% efektif, dimana masih terdapat kelemahan-kelemahan pada pelaporan, masih terdapat pemalsuan pembayaran oleh pihak ketiga yang ditunjuk oleh importir 6. Prosedur keamanan yang ada, untuk aplikasi dengan menggunakan Username dan Password, tetapi untuk pengendalian umum secara khusus tidak ada. (Lihat Lampiran 52)
138 7. Server pada Kantor Pelayanan Halim berada dilantai dasar karena letak geografisnya yang tidak rawan banjir. Untuk Kantor Pusat, Server berada di lantai 2 8. Server difasilitasi dengan Firewall, dan terdapat Antivirus yang terupdate pada Server dan Client. 9. Untuk Disaster Recovery Plan secara khusus tertulis tidak ada, secara umum, misal adanya Backup data ke Kantor Pusat setiap tiga bulan sekali secara Batch – Online. Bila Server down, maka Kantor Pelayanan akan menggunakan Note Book dan Aplikasi cadangan. 10. Antivirus ter-Update pada setiap Client, tetapi ada kesulitan untuk mengupdate antivirus karena keterbatasan Bandwith 11. Cadangan data di Backup ke Note Book, dan Kantor Pusat, secara Batch – Online 12. Adanya Inventarisir pada setiap aset yang ada, dimana tiap-tiap aset diberikan label inventarisir dan nomor tersebut terdaftar. 13. Tidak adanya penjadwalan khusus terhadap operasional (Hanya mengikuti jam kerja pegawai (absensi) dan proses transaksi hanya berjalan apabila adanya PIB dari Importir), untuk monitoring operasional sistem ada, berupa Log File (Lihat Lampiran 85 pada Gambar 68) yang ada pada aplikasi. 14. Secara khusus tidak ada perawatan secara periodik pada software dan
hardware,
bila
ada
aplikasi
dan
software
yang
rusak/bermasalah akan di-remote dari Kantor Pusat DIKC untuk
139 dibenarkan, dan bila ada Hardware yang bermasalah akan ditangani oleh PDDT (Pengolahan Data dan Dukungan Teknis). 15. Secara umum Interface dari aplikasi cukup familiar bagi user yang menggunakan 16. Waktu yang digunakan untuk memproses satu siklus transaksi empat jam dan maksimal 2 X 24 jam.. 17. Secara khusus tidak ada standar mengenai hardware yang digunakan, kebutuhan untuk software dan hardware ditentukan oleh manajemen DJBC Pusat, untuk penyedia hardware dan software dilakukan secara tender. 18. Network Control Terminal sudah ada, tetapi belum sempurna, masih dalam tahap pengembangan.
4.3.3
Hasil Observasi Pengendalian Umum 1. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan DA terpisah, tetapi ruangannya menjadi satu, dan mereka saling cover satu sama lainnya (Dimana jika ada salah satunya tidak dapat melakukan tanggung jawabnya, maka akan digantikan oleh rekan yang lain sementara waktu) 2. Secara umum terdapat kebijakan Access Policies, seperti dimana user tidak dapat mengakses Database secara langsung, tetapi harus melalui aplikasi, yang dapat mengakses langsung ke Database hanya bagian pengolahan data (DIKC).
140 3. Secara khusus tidak terdapat bagian yang menangani Quality Control, tetapi ada review secara periodik dari manajemen 4. Sistem keamanan yang ada: a. Kebakaran: Adanya tabung pemadam kebakaran disudut-sudut ruangan, tidak ada alat pendeteksi untuk kebakaran untuk Kantor Pelayanan Bea dan Cukai Jakarta.. b. Banjir: Karena letak geografis yang tidak rawan banjir, maka tidak ada resiko atas banjir pada Kantor Pelayanan Halim Server berada di lantai dasar. Pada Kantor Pusat Server berada di lantai 2 c. Suhu: Adanya AC pada tiap ruang komputer d. Listrik: Adanya penggunaan AC dan Stabilizer e. Lainnya: Adanya petugas keamanan, dan Access Card untuk keruang Server, ruang server dilengkapi dengan kamera 5. Server pada Kantor Pelayanan Bea dan Cukai Halim berada di lantai dasar, yang terpisah dari ruangan operasional lainnya. Server pada Direktorat Jenderal Bea dan Cukai Pusat berada di lantai 2. 6. Adanya antivirus yang terupdate pada komputer Client dan Server. Pada Server adanya firewall 7. Tidak adanya asuransi untuk aset sistem komputer, hanya ada garansi dari vendor, tetapi ada inventarisir untuk tiap peralatan yang ada
141 8. Adanya Backup data, pada Kantor Pelayanan Backupdata menggunakan notebook dan setiap tiga bulan sekali data dikirimkan ke Kantor Pusat dengan cara Batch – Online, tetapi backup hanya di internal DJBC saja, tidak ada backup di tempat lain. 9. Adanya Log File untuk memonitor operasional sistem (Lihat Lampiran 85 pada Gambar 68)
4.3.4
Hasil Review Dokumentasi Pengendalian Umum 1. Tidak ditemukannya dokumentasi mengenai System Development Life Cycle 2. Ada user manual untuk pengoperasian aplikasi Impor (Lihat Lampiran 92 pada Gambar 81) 3. Ada user manual untuk pengoperasian aplikasi Inhouse Impor sebagai aplikasi pendukung (Lihat Lampiran 92 pada Gambar 82) 4. Tidak ditemukannya prosedur tertulis mengenai Disaster Recovery Plan 5. Ada struktur organisasi yang jelas dalam bentuk Keputusan Mentri Keuangan (Lihat Gambar 3.1 dan Gambar 3.3) 6. Ada Nota Dinas yang mengatur Job Description untuk bagian OKDD (Lihat Lampiran 51) 7. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja Penyelesaian Barang Impor Dengan Pemberitahuan Impor Barang (PIB) 8. Adanya kebijakan dalam pemisahan tugas dan pembatasan akses untuk sistem aplikasi impor yang diadaptasi dari Kep-07/BC/2003
142
4.4
Hasil Pengumpulan Data Atas Pengendalian Aplikasi 4.4.1
Boundary Control
4.4.1.1
Hasil Kuesioner Pengendalian Akses
No
Pertanyaan
Ya
1
Apakah ada tingkatan level user yang spesifik dalam aplikasi Impor?
2
Metode
apakah
yang
Tidak
Tingkatan level user yang ada didasarkan √
digunakan
Keterangan
pada Kep-07/BC/2003
dalam
Lihat Lampiran 52
pengendalian akses dalam Aplikasi Impor: a. User name?
√
b. Sidik jari?
X
c. Pola Retina?
X
d. Finger Print?
X
e. Password? 3
Jika
Password:
√ Apakah
user
name
dan
password pada Aplikasi Impor di-encryption?
User Name dan Password berada di Server, √
dimana User Name dan Password Invincible
143
sehingga semua orang tidak bisa mengetahui Passwordnya 4
Apakah terdapat jangka waktu validasi untuk √
password? 5
Jangka waktu untuk Password adalah tiga bulan sekali
Apakah jika jangka waktu validasi password
Password lama yang bisa digunakan kembali
lama berakhir atau saat user mengganti
sebagai Password baru (Lihat Lampiran 83
password,
password
lama
tersebut
bisa
pada Gambar 63)
digunakan kembali sebagai password yang baru? 6
√
Apakah terdapat ketentuan panjang minimum untuk password?
7
Apakah dalam penggunaan password dilakukan dengan kombinasi (huruf dan angka)?
8
√
√
Apakah terdapat batasan minimum untuk kesalahan memasukkan password?
√
144
9
Apakah ada pengiriman report ke bagian terkait
Bila ada User yang bermasalah dengan
jika ada user yang bermasalah dengan entri
Passwordnya, langsung menghubungi konsul
user name dan password? 10
Apakah
sistem
√
menampilkan
verifikasi login tidak valid?
pesan
jika
Lihat Lampiran 53 pada Gambar 2 dan 3 √
Tabel 4.2 : Hasil Kuesioner Pengendalian Akses
145 4.4.1.2
Hasil Wawancara Pengendalian Akses 1. Pembagian
tingkatan
level
user
berdasarkan
Kep-
07/BC/2003, termasuk otoritas yang dimilikinya Kaitannya
dengan
Kep-07/BC/2003
adalah
aplikasi
diterjemahkan dan diadaptasi sebagai otoritas dari user 2. Kebijakan khusus mengenai batasan akses dituangkan dalam Kep-07/BC/2003, dimana pengembangan sistem tersebut berdasarkan Kep-07/BC/2003 3. Metode yang dilakukan untuk membatasi akses adalah Username dan Password (Lihat Lampiran 52) 4. Ada metode enkripsi terhadap Password, dimana Password disamarkan dan tidak ada pihak yang mengetahui Password tersebut, dimana Password user akan dirandom dengan characer lain 5. Batas waktu penggunaan Password adalah 3 bulan sekali, setelah 3 bulan, Password diganti 6. Bila ada user yang bermasalah dengan aksesnya, User dapat langsung menghubungi konsul/OKDD dan akan dibuatkan Password baru.
4.4.1.3
Hasil Observasi Dan Testing Pengendalian Akses 1. Terdapat pembagian level user didalam aplikasi sesuai dengan otoritasnya
146 2. Tugas dan wewenang yang ada didasarkan pada Kep07/BC/2003 3. Batasan akses yang digunakan adalah Username dan Password (Lihat Lampiran 52) 4. Password yang di-input disamarkan oleh aplikasi 5. Ada jangka waktu untuk umur Password 6. Bila Password salah atau Username tidak terdaftar ada pesan error (Lihat Lampiran 53 pada Gambar 2 dan 3) 7. Panjang Password tidak dibatasi dan dilakukan kombinasi 8. Tidak terdapat batasan minimum pada kesalahan memasukkan Password 9. Tidak ada pengiriman Report, bila ada user yang bermasalah dengan Password langsung menghubungi konsul/OKDD
147
4.4.2
Communication Control
4.4.2.1
Hasil Kuesioner Pengendalian Komunikasi
No
Pertanyaan
Ya
1
Apakah jaringan Sistem Aplikasi Impor dilengkapi dengan firewall?
2
3
Keterangan Firewall yang digunakan berada di
√
Apakah sistem aplikasi Impor difasilitasi dengan saluran transmisi atau saluran link?
Tidak
Sever Menggunakan VSAT, VPN dan Leased
√
Apakah media transmisi yang digunakan berjenis
Lines Menggunakan UTP Cable
Bounded Media (seperti twisted pair, coaxial cable, atau optical fiber)? 4
√
Apakah media transmisi tersebut berjenis unbounded
Menggunakan VSAT (Lihat Lampiran
Media (seperti satellite, microwave, radio frequency,
89 pada Gambar 75) √
atau infrared)? 5
Apakah
jaringan
sistem
Aplikasi
Impor
Menggunakan hardware yang umum
menggunakan communication lines (Modem, Port
digunakan dalam Communication Lines,
148
Protection Devices, Multiplexor dan Consentrators)? 6
√
Apakah jaringan sistem aplikasi Impor menggunakan
seperti Hub, Switch, Multiplexor, dll Digunakan VSAT dan VPN
communication lines jenis Private communication lines? 7
√
Apakah jaringan sistem aplikasi Impor menggunakan
Menggunakan Leased Lines Telkom
communication lines jenis Public communication lines? 8
√
Apakah sistem aplikasi Impor difasilitasi dengan pendeteksian error pada communication lines?
Ada program diluar aplikasi untuk √
mendeteksi error, aplikasi tidak dapat langsung mendeteksi.
9
Apakah jaringan koneksi sistem Aplikasi Impor (misal: WAN, LAN) didukung oleh hardware dan software yang memadai?
10
√
Apakah sistem aplikasi Impor dilengkapi dengan remote terminal yang memonitor status jaringan?
Bagian Pengolahan Data dan Dukungan √
Teknis yang berwenang dalam hal ini
149
11
Apakah sistem aplikasi Impor bersifat “Platform Less” sehingga memberikan kemudahan operasional dari segi jaringan?
√
Tabel 4.3 : Hasil Kuesioner Pengendalian Komunikasi
150 4.4.2.2
Hasil Wawancara Pengendalian Komunikasi 1. Transmisi jaringan yang digunakan Leased Lines, VSAT, VPN dan untuk internal memakai LAN (Lihat Lampiran 89 pada Gambar 75 dan 76) 2. Tidak semua komputer terhubung ke jaringan, ada yang Stand Alone, tergantung fungsi dari komputer tersebut 3. Tidak ada standar yang secara khusus mengatur Software dan Hardware yang digunakan, hanya berdasarkan kebijakan dari manajemen. 4. Kesalahan jaringan yang paling sering terjadi adalah jaringan yang terputus 5. Topologi yang digunakan saat ini adalah Star (Lihat Lampiran 89 pada Gambar 75 dan 76)
4.4.2.3
Hasil Observasi Dan Testing Pengendalian Komunikasi 1. Adanya Firewall dan Antivirus yang terupdate 2. Media transmisi yang digunakan berjenis Bounded Media 3. Untuk transmisi jaringan menggunakan Leased Lines, VSAT, dan VPN 4. Jaringan komunikasi berjenis Private dan Public Dimana Private Lines menggunakan VSAT dan VPN Dimana Public Lines menggunakan Leased Line Telkom
151
4.4.3
Input Control
4.4.3.1
Hasil Kuesioner Pengendalian Input
No
Pertanyaan
Ya
1
Apakah terdapat prosedur penyiapan data yang
PIB Disket yang di-load, jika pada saat
harus dipatuhi oleh user, termasuk perubahan
validasi terdapat kesalahan, user (Kantor
permanen, semi permanen, maupun koreksi
Pelayanan)
data untuk menjamin seluruh transaksi telah
melakukan pembetulan, sehingga transaksi
direkam?
√
Tidak
Keterangan
dapat
membantu
importir
selanjutnya dapat dilakukan. Untuk input-an di dalam aplikasi tidak dapat dikoreksi oleh user.
2
Apakah
transaksi
mestinya komputer?
sebelum
diotorisasi diinput
sebagaimana ke
Sebelum diinput, dokumen sumber akan diperiksa dahulu oleh pejabat yang berwenang
terminal √
dan
aplikasi
sendiri
akan
melakukan
pengecekan atas PIB yang di load (Lihat Lampiran 55 pada Gambar 7, Lampiran 62 pada Gambar 20 dan Lampiran 65 pada
152
Gambar 28) 3
Apakah
Interface
dari
aplikasi
dapat
memudahkan user melakukan Input data? 4
√
Jika ya, apakah pesan error tersebut mudah dimengerti oleh user?
6
√
Apakah bila terjadi kesalahan input akan muncul pesan error?
5
Selama ini belum terdapat keluhan dari user
Apakah
data
yang
Pesan yang ditampilkan singkat dan jelas √
diinput
ke
terminal
Tidak harus dokumen manual, dokumen
komputer harus berdasarkan atas dokumen
manual/fisik hanya sebagai pembanding dan
manual/fisik? 7
√
pendukung
Apakah bila terjadi salah inputan dan sudah
Edit hanya bisa dilakukan melalui Database,
dilakukan penyimpanan, aplikasi mempunyai
tidak dapat langsung melalui aplikasi. Update
fitur untuk meng-update transaksi yang salah?
√
hanya dapat dilakukan untuk data yang tidak berhubungan dengan transaksi, misal update dokumen SSPCP, dll.
153
8
Metode inputan apa yang digunakan untuk mengisi data pada aplikasi Impor ? a. Keyboarding
√
b.Direct Reading
√
Dengan menggunakan keyboard Membaca langsung data yang ada pada disket X
c. Direct Entry 9
(Lihat Lampiran 55 pada Gambar 6)
Apakah terdapat metode Completeness Check
Bila field-field yang dibutuhkan dalam proses
untuk memastikan field/data telah diinput ke
tidak terisi semua, maka data tidak dapat
terminal komputer?
√
disimpan/diproses
Tabel 4.4 : Hasil Kuesioner Pengendalian Input
154 4.4.3.2
Hasil Wawancara Pengendalian Input 1. Yang melakukan otorisasi adalah User yang ditunjuk sebagai otorisator 2. Kesalahan Inputan yang paling sering terjadi adalah faktor Human Error, misal: Salah Input 3. Data-data hasil inputan tidak di-enkripsi 4. Secara global interface aplikasi sudah memudahkan user dalam melakukan Inputan
4.4.3.3
Hasil Observasi Dan Testing Pengendalian Input 1. Adanya otorisasi transaksi sebelum di input ke komputer, berupa pemeriksaan dokumen sumber secara manual dan Aplikasi akan melakukan pengecekan terhadap hasil inputan 2. Tidak adanya pesan error bila terjadi kesalahan inputan, seperti jika kita memasukkan karakter pada inputan yang harusnya diisi field numerik, data hasil input-an tidak dapat disimpan 3. Bila ada Inputan yang salah sistem tidak mempunyai fitur untuk meng-update transaksi yang salah, tetapi harus dari database, kecuali untuk update SSBC 4. Metode Inputan yang digunakan: a. Keyboarding: Dengan menggunakan keyboard b. Direct Reading: Dengan membaca langsung pada disket
155 5. Ada metode Completeness Check berupa bila field-field yang dibutuhkan dalam proses tidak terisi semua, maka data tidak dapat disimpan/diproses
4.4.3.4
Hasil Review Dokumentasi Pengendalian Input 1. Data-data impor di input oleh Importir dengan menggunakan aplikasi PIB. Importir akan menyerahkan data-data PIB (dalam media disket), dimana disertai dengan hasil cetakan berupa PIB dan dokumen-dokumen pendukung (Lihat Lampiran 43).
156
4.4.4
Process Control
4.4.4.1
Hasil Kuesioner Pengendalian Proses
No
Pertanyaan
Ya
1
Apakah terdapat prosedur yang dapat menjamin
Tidak
Keterangan
bahwa seluruh transaksi yang telah terotorisasi telah diproses secara akurat? 2
√
Apakah ada prosedur yang menjamin bahwa
File dan tabel yang ada sudah dirancang
selama proses digunakan file dan tabel yang
secara khusus
pantas? 3
√
Apakah source dokument asli telah disimpan
Setelah satu siklus transaksi selesai, dokumen
untuk
tersebut disimpan di gudang OKDD
jangka
waktu
tertentu
sehingga
memungkinkan dilakukannya rekonstruksi data? 4
Apakah terdapat history atas setiap proses yang dilakukan oleh user?
5
√
Apakah sistem aplikasi Impor menyediakan
Adanya Log File atas proses yang dilakukan √
(Lihat Lampiran 85 pada Gambar 68)
157
error message bila ada proses yang gagal? 6
√
Apakah sistem aplikasi Impor menyediakan
Salah satunya dari menu Pembetulan Proses
prosedur
(Lihat Lampiran 87 pada Gambar 71)
untuk
recovery
setelah
terjadi
kegagalan? 7
√
Apakah terdapat prosedur yang menjamin
Ada, dilakukan oleh DA dan DBA
bahwa file telah dimaintain dengan benar dan terintegrasi? 8
√
Apakah terdapat prosedur yang menjamin tidak terdapat duplikasi proses?
Ada, berupa: Pengecekan no aju importir dan √
Pengecekan Primary Key pada Database (Lihat Lampiran 87 pada Gambar 72)
9
Apakah terdapat prosedur yang menyertakan kebijakan update file?
Ada, penanganannya oleh DA dan DBA √
Tabel 4.5 : Hasil Kuesioner Pengendalian Proses
158 4.4.4.2
Hasil Wawancara Pengendalian Proses 1. Spesifikasi dari komputer yang ada tergantung kebutuhan dari aplikasi dan tergantung dari manajemen, sekarang ini: Pentium 4, RAM 128 MB, Internet Explorer 5.0 atau lebih, Java Initiator 1.0 atau lebih, LAN Card 2. Operating System yang digunakan a. Client menggunakan Windows XP b. Server menggunakan AIX 3. Sistem Aplikasi Impor dibuat dengan programming Oracle dan Database Oracle 4. Bila terjadi gangguan pada komputer, penanganan diserahkan pada Vendor, bila masih dalam masa garansi, bila diluar garansi penganganan oleh PDDT (Pengolahan Data dan Dukungan Teknis) 5. Metode pemrosesan transaksi secara Real Time ke server Kantor Pelayanan Halim 6. Seminggu sekali secara Batch – Online dilakukan Backup data ke Kantor Pusat (Bila media transfernya disket). Dan secara Online Real Time (Bila media transfernya EDI). Untuk Kantor Pusat sendiri di backup ke server cadangan secara Real Time
4.4.4.3
Hasil Observasi Dan Testing Pengendalian Proses 1. Dokumen sumber dan pendukung disimpan oleh seksi OKDD setelah satu siklus transaksi selesai (Lihat Lampiran 42-47)
159 2. Ada Log File mengenai proses yang dilakukan User (Lihat Lampiran 85 pada Gambar 68) 3. Bila ada proses yang gagal ada pesan error (Lihat Lampiran 86 pada Gambar 69) 4. Adanya Recovery setelah terjadinya kegagalan. Salah satunya dari menu Pembetulan Proses (Lihat Lampiran 87 pada Gambar 71) 5. Adanya prosedur yang menjamin tidak terdapat duplikasi proses.
160
4.4.5
Database Control
4.4.5.1
Hasil Kuesioner Pengendalian Basis Data
No
Pertanyaan
1
Apakah hubungan entity dalam database telah
Sudah tersusun atas ERD dan terbagi atas File
diatur dengan menggunakan ERD (Entity
Master dan File Transaksi
Relationship Diagram)? 2
Tidak
Keterangan
√
Apakah terdapat pembatasan akses untuk melakukan aksi terhadap database?
3
Ya
Sesuai dengan otoritas yang dimiliki √
Apakah individu yang bertanggung jawab terhadap database memiliki standar dan prosedur tertentu?
4
Apakah bila ada akses yang tidak sah dilakukan tracking terhadap database?
5
√ Dengan melihat Log File yang ada (Lihat √
Apakah prosedur back-up database dilakukan secara teratur dan rutin?
Lampiran 87 pada Gambar 72) Pada Kantor Pelayanan Halim dilakukan dengan
√
Batch – Online, selama 1 minggu sekali di-
161
backup ke Kantor Pusat. Untuk Kantor Pusat dibackup ke Server cadangan secara Real Time 6
Apakah terdapat log file mengenai kapan aksi dilakukan
database
dan
siapa
yang
melakukannya? 7
√
Apakah ada penanganan terhadap concurency √
access? 8
Lihat Lampiran 87 pada Gambar 72
Apakah transaksi yang telah diinput oleh user lain dapat dilakukan pengubahan oleh user yang lain?
9
√
Selama
server
program
khusus
diaktifkan, yang
apakah
digunakan
mengawasi even-even pada database?
ada
Lihat Lampiran 88 pada Gambar 73
untuk √
Tabel 4.6 : Hasil Kuesioner Pengendalian Basis Data
162 4.4.5.2
Hasil Wawancara Pengendalian Basis Data 1. Hanya individu yang diberikan otoritas yang boleh mengakses Database 2. Database disusun atas File Master dan File Transaksi, dimana File Master seperti tabel referensi dan File Transaksi seperti tabel proses. Dimana File Masternya adalah Tabel yang diawali dengan TID (Tabel Impor Dasar) dan File Transaksi TIR (Tabel Impor Referensi), TIP (Tabel Impor Proses), TIA (Tabel Impor Administrasi), TIT (Tabel Impor Temporary), TIH (Tabel Impor History). 3. Ada monitor secara periodik terhadap Database (Lihat Lampiran 88 pada Gambar 73) dan dilakukan oleh DBA 4. Pemberian nama dalam Database dirancang secara khusus agar memudahkan bagi yang berwenang 5. Ada Database Warehousing 6. Kantor Pusat menggunakan banyak Database, Kantor Pelayanan sebagian besar memiliki satu Database
4.4.5.3
Hasil Observasi Dan Testing Pengendalian Basis Data 1. Hubungan tabel dalam Database tersusun atas ERD dan terbagi atas File Master dan File Transaksi 2. Terdapat
pembatasan
akses
Database
sesuai
dengan
otoritasnya, dimana pengguna aplikasi tidak dapat mengakses
163 dan mengubah Database secara langsung, tetapi harus melalui aplikasi, hanya yang berwenang yang dapat mengakses Database. 3. Ada Log File pada Database, sehingga memudahkan untuk Tracking pada Database (Lihat Lampiran 87 pada Gambar 72) 4. Adanya prosedur Backup Database 5. Transaksi yang telah diinput user, tidak dapat dirubah oleh user lain
164
4.4.6
Output Control
4.4.6.1
Hasil Kuesioner Pengendalian Output
No
Pertanyaan
1
Apakah terdapat prosedur yang dapat menjamin
Ya
manajemen untuk menentukan kelengkapan,
2
Keterangan Adanya review periodik dari manajemen
bahwa laporan yang ada selalu direview oleh
akurasi, dan konsistensinya?
Tidak
√
Apakah laporan yang dihasilkan memuat: a. Nama Laporan?
√
b. Kepala laporan?
√
c. Waktu dan tanggal pencetakan?
√
d. No halaman?
√
e. Jenis laporan?
√
f. Jumlah copy?
√
165
g. Nama/bagian yang melakukan pencetakan laporan? 3
√
Apakah output yang diterima oleh entitas adalah lengkap, tepat dan terklasifikasi?
Sebelum laporan dipublikasikan kepada pihak √
tertentu, laporan di review dahulu oleh manajemen
4
Apakah output didistribusikan ke personel yang berotorisasi?
5
Apakah dilakukan
√
pencetakan oleh
laporan
karyawan
hanya yang
dapat
memiliki
otoritas? 6
Dilakukan oleh pejabat/seksi yang khusus sesuai dengan kewenangannya √
Apakah laporan dapat dicetak kapan saja? (tidak harus menunggu pada periode tertentu)
Laporan dapat dicetak secara Accidental dan √
periodik
Tabel 4.7 : Hasil Kuesioner Pengendalian Output
166 4.4.6.2
Hasil Wawancara Pengendalian Output 1. Secara khusus tidak ada yang mengatur laporan, laporan dirancang sesuai dengan kebijakan dan kebutuhan dari manajemen yang ada 2. Pihak yang membutuhkan laporan adalah pihak intern perusahaan dan pihak ekstern perusahaan. Intern misalnya: Kepala Kantor, OKDD, Direktur Jendral. Ekstern misalnya: Departemen keuangan, Dirjen Pajak 3. Laporan yang ada dapat dicetak secara accidental dan periodik (Bulanan, mingguan) 4. Laporan didistribusikan secara softcopy dan hardcopy, tetapi kebanyakan dengan softcopy 5. Review laporan dilakukan secara periodik oleh manajemen terkait. Misalnya: Kepala Kantor, OKDD, Direktur Jendral.
4.4.6.3
Hasil Observasi Dan Testing Pengendalian Output 1. Adanya review laporan secara periodik dari manajemen 2. Pencetakan laporan hanya dapat dilakukan oleh karyawan yang memiliki otoritas 3. Laporan dapat dicetak secara accidental dan periodik 4. Laporan yang dihasilkan sebagian besar belum memuat Jenis Laporan, Jumlah Copy dan Nama/bagian yang melakukan pencetakan
167 4.4.6.4
Hasil Review Dokumentasi Pengendalian Output 1. Laporan yang dihasilkan antara lain: a. P2: i. Laporan PIB Jalur Merah ii. Laporan Daftar PIB yang sudah/Belum SPPB iii. Laporan Data Pembatalan PIB iv. Laporan Data Impor PIB Dengan Fasilitas v. Laporan Data Importir vi. Laporan NI b. Kepala Kantor (Lihat Lampiran 27-41) i. Laporan Pencapaian Target Penerimaan ii. Laporan Distribusi Dokumen PFPD iii. Laporan Distribusi Dokumen PFPB iv. Laporan Distribusi Dokumen Pejabat Analyzing Point v. Laporan Waktu rata-rata Penyelesaian PIB vi. Laporan PIB Jalur Prioritas Perimportir vii. Laporan Komoditi dengan BM Terbesar viii. Laporan Importir Dengan BM Terbesar ix. Laporan Importir Dengan Jumlah PIB Terbanyak x. Laporan PIB Non Prioritas Dengan Nilai BM Terbesar xi. PIB yang belum diselesaikan xii. Pembatalan PIB
168 xiii. Laporan NI dan Penyelesaian xiv. Laporan SPKPBM Per Importir xv. Laporan SPKPBM Per PFPD c. Operasional Komputer dan Distribusi Dokumen i. Laporan I •
Laporan Statistik PIB
•
PIB Status Gate
•
PIB Status Barang Keluar
•
Jumlah Container Keluar
•
Laporan Impor Harian
•
Laporan Harian PFPD
•
Importasi Berdasarkan HS
•
Importasi Bahan Pokok
ii. Laporan II •
Laporan Performance Analyzing Point
•
Laporan Performance Analyzing Point Per NIP
•
Laporan Kebenaran Nota Informasi
•
Laporan Status Importir
•
Laporan Status Dokumen
•
Laporan PIB Per HS Sudah SPPB
•
Laporan PIB Per HS Belum SPPB
•
Laporan PIB Per PPJK Sudah SPPB
169 •
Laporan PIB Per PPJK Belum SPPB
•
Laporan PIB Fasilitas CEPT
•
Laporan PIB Fasilitas CEPT Per HS
•
Laporan Daftar Pelanggaran
•
Laporan Performance Kantor
•
Laporan Penyelesaian PIB Oleh Kantor
•
Laporan Performance Pegawai
•
Laporan Penyerahan Berkas PIB Lewat Waktu
•
Laporan Importasi Mobil Built Up
•
Laporan Pelunasan SPKPBM
•
Laporan Devisa
2. Laporan yang dihasilkan sebagian besar belum memuat Jenis Laporan, Jumlah Copy dan Nama/bagian yang melakukan pencetakan
4.5
Laporan Audit Adapun Laporan Audit atas Sistem Aplikasi Impor pada Direktorat Jenderal Bea dan Cukai adalah sebagai berikut:
170
LAPORAN AUDIT SISTEM APLIKASI IMPOR PADA KANTOR PELAYANAN BEA DAN CUKAI JAKARTA (DIREKTORAT JENDERAL BEA DAN CUKAI)
PERIODE AGUSTUS 2005 - DESEMBER 2005
Tim Auditor:
Irwin Wijaya Hendera
171
I. Tujuan Audit Tujuan dilakukannya evaluasi terhadap Sistem Aplikasi Impor adalah: 1. Memastikan pengendalian-pengendalian sistem yang diterapkan, baik pengendalian umum maupun pengendalian aplikasi dapat meminimalisir resiko-resiko yang ada 2. Memastikan bahwa Sistem Aplikasi Impor yang digunakan apakah sudah sesuai dengan Kep-07/BC/2003, sebagai standar khusus yang ada 3. Memberikan saran dan rekomendasi untuk penyempurnaan Sistem Aplikasi Impor di masa mendatang
II. Ruang Lingkup Ruang lingkup Audit Sistem Informasi dibatasi pada: 1. Audit Sistem Aplikasi Impor dilakukan pada Divisi DIKC (Direktorat Informasi Kepabeanan Dan Cukai) pada Kantor Pusat Direktorat Jenderal Bea dan Cukai, dan divisi OKDD (Operasional Komputer dan Distribusi Dokumen) Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma. 2. Audit Sistem Aplikasi Impor ini dibatasi pada penggunaan media transfer data berupa disket 3. Metode Audit yang dilakukan adalah Through The Computer.
172
III. Metode Pengumpulan Temuan Audit Metode yang digunakan dalam mengumpulkan temuan audit adalah: 1. Kuesioner Kuesioner yang digunakan sebagai metode untuk mengumpulkan bukti audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan Kuesioner Pengendalian Aplikasi 2. Wawancara Wawancara dilakukan
secara tidak terstruktur, dimana design
pertanyaannya disesuaikan dengan informasi/data yang ingin diketahui oleh auditor. Dimana respondennya dibatasi hanya untuk manajemen terkait 3. Observasi Observasi dilakukan dengan melakukan survei langsung ke lapangan untuk melihat secara langsung pengendalian umum dan aplikasi secara langsung untuk mendapatkan informasi lapangan yang lebih akurat. Dimana observasi dilakukan di Direktorat Informasi Kepabeanan dan Cukai pada Kantor Pusat Direktorat Jenderal Bea dan Cukai dan di Divisi Operasional Komputer dan Distribusi Dokumen pada Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma 4. Testing Testing dilakukan untuk mendapatkan informasi yang lebih jelas mengenai pengendalian aplikasi. Dimana auditor secara langsung menguji Aplikasi Impor yang ada
173 5. Review Dokumentasi Review dokumentasi dilakukan dengan menelusuri dokumen-dokumen dan laporan yang dihasilkan guna mendapatkan informasi terhadap pengendalian yang ada.
IV. Temuan Audit 1. Temuan Audit Pengendalian Umum: a. Temuan Audit Hasil Kuesioner Pengendalian Umum i. Adanya struktur organisasi formal. (Lihat Gambar 3.1 dan Gambar 3.3) ii. Adanya review periodik terhadap laporan dan kinerja para personil iii. Adanya nota dinas yang berisikan Job Description untuk fungsi pengolahan data dan fungsi lainnya (Lihat Lampiran 51) iv. Adanya pemisahan fungsi yang jelas v. Tidak adanya persyaratan ketrampilan khusus yang jelas bagi staf pengolahan data vi. Adanya
prosedur
untuk
melindungi
data
penyalahgunaan atau kerusakan vii. Adanya inventarisir terhadap aset DJBC viii. Adanya evaluasi kinerja sistem ix. Ruang server/database terpisah dengan ruang lainnya
dari
174 x. Penggunaan ID Card dalam pembatasan akses fisik xi. Password yang digunakan di-encryption xii.
Adanya kebijakan untuk mengubah password bila melewati umur tertentu
xiii. Adanya Antivirus yang terupdate xiv. Sistem keamanan yang diterapkan adalah: a.
Kebakaran: Adanya tabung pemadam kebakaran disudut-sudut ruangan, tidak ada alat pendeteksi untuk kebakaran, di Kantor Pelayanan Bea dan Cukai Jakarta.
b. Banjir: Karena letak geografis yang tidak rawan banjir, maka tidak ada resiko atas banjir pada Kantor Pelayanan Halim Server berada di lantai dasar. Pada Kantor Pusat Server berada di lantai 2 c. Suhu: Adanya AC pada tiap ruang komputer d. Listrik: Adanya penggunaan AC dan Stabilizer e. Lainnya: Adanya petugas keamanan, dan Access Card untuk keruang Server. xv. Penanganan ancaman yang berhubungan dengan sistem informasi ditangani oleh DIKC dan PDDT xvi. Adanya prosedur tertulis dalam melakukan pengembangan sistem xvii. User terlibat dalam pengembangan sistem yang terdiri dari Tim analis, Tim pendamping dan Programmer
175 xviii. Adanya dokumentasi tertulis mengenai aplikasi xix. Setiap pengembangan sistem sudah melibatkan SPI xx. Adanya
testing
terhadap
aplikasi
sebelum
diimplementasikan xxi. Adanya jaminan dari vendor berupa garansi xxii. Tidak ada asuransi terhadap aset-aset DJBC (Hardware yang memiliki tingkat resiko tinggi atas kerusakan)
b. Temuan Audit Hasil Wawancara Pengendalian Umum i. Adanya SDLC yang terdiri dari tahap pengumpulan data, analisis, perancangan, implementasi, uji coba ii. Tugas DA dan DBA terpisah, dimana tugas DA sebagai Administrator Aplikasi yang bertugas untuk memonitor pelaksanaan aplikasi sesuai dengan otoritas user, dan DBA tugasnya menangani dan memaintain error, kesalahan pada Database, dan Backup data. iii. Adanya Access Policy dan Concurency Access pada Database iv. Tidak ada departemen yang secara langsung menangani Quality Control, tapi ada monitoring dari manajemen v. Prosedur
keamanan
yang
ada,
untuk
aplikasi
menggunakan username dan password, tetapi untuk manajemen yang khusus tidak ada
176 vi.
Server pada Kantor Pelayanan Bea dan Cukai Jakarta (Halim) berada di lantai dasar karena letak geografis yang tidak rawan banjir. Untuk Kantor Pusat, server berada di lantai 2
vii. Adanya Firewall pada Server, dan terdapat antivirus yang terupdate pada server dan client viii. Adanya Antivirus yang terupdate ix. Adanya kesulitan dalam mengupdate Antivirus karena keterbatasan bandwith x. Adanya inventarisir terhadap aset-aset DJBC xi. Adanya Log File untuk memonitoring operasional sistem (Lihat Lampiran 85 pada Gambar 68) xii. Tidak adanya perawatan secara periodik pada Software dan Hardware yang digunakan xiii. Kebutuhan Software dan Hardware ditentukan oleh manajemen
c. Temuan Audit Hasil Observasi Pengendalian Umum i. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan DA terpisah, tetapi ruangannya menjadi satu, dan mereka saling cover satu sama lainnya (Dimana jika ada salah satunya tidak dapat melakukan tanggung jawabnya, maka akan digantikan oleh rekan yang lain sementara waktu)
177 ii. Secara umum terdapat kebijakan Access Policies, seperti dimana user tidak dapat mengakses Database secara langsung, tetapi harus melalui aplikasi, yang dapat mengakses
langsung
ke
Database
hanya
bagian
pengolahan data (DIKC). iii. Secara khusus tidak terdapat bagian yang menangani Quality Control, tetapi ada review secara periodik dari manajemen iv. Sistem keamanan yang ada: a. Kebakaran: Adanya tabung pemadam kebakaran disudut-sudut ruangan, tidak ada alat pendeteksi untuk kebakaran, di Kantor Pelayanan Bea dan Cukai Jakarta. b. Banjir: Karena letak geografis yang tidak rawan banjir, maka tidak ada resiko atas banjir pada Kantor Pelayanan Halim Server berada di lantai dasar. Pada Kantor Pusat Server berada di lantai 2 c. Suhu: Adanya AC pada tiap ruang komputer d. Listrik: Adanya penggunaan AC dan Stabilizer e. Lainnya: Adanya petugas keamanan, dan Access Card
untuk
keruang
Server,
ruang
server
dilengkapi kamera v. Server pada Kantor Pelayanan Bea dan Cukai Halim berada di lantai dasar, yang terpisah dari ruangan
178 operasional lainnya. Server pada Direktorat Jenderal Bea dan Cukai Pusat berada di lantai 2. vi. Adanya antivirus yang ter-update pada komputer Client dan Server. Pada Server adanya firewall vii. Tidak adanya asuransi untuk aset sistem komputer, hanya ada garansi dari vendor, tetapi ada inventarisir untuk tiap peralatan yang ada viii. Adanya Backup data, pada Kantor Pelayanan Backupdata menggunakan notebook dan setiap tiga bulan sekali data dikirimkan ke Kantor Pusat dengan cara Batch – Online, tetapi backup data hanya di internal DJBC saja, tidak ada backup di tempat lain ix. Adanya Log File untuk memonitor operasional sistem (Lihat Lampiran 85 pada Gambar 68)
d. Temuan Audit Hasil Review Dokumentasi Pengendalian Umum i. Tidak ditemukannya dokumentasi mengenai System Development Life Cycle ii. Ada user manual untuk pengoperasian aplikasi Impor (Lihat Lampiran 92 pada Gambar 81)
179 iii. Ada user manual untuk pengoperasian aplikasi Inhouse Impor sebagai aplikasi pendukung (Lihat Lampiran 92 pada Gambar 82) iv. Tidak ditemukannya prosedur tertulis mengenai Disaster Recovery Plan v. Ada struktur organisasi yang jelas dalam bentuk Keputusan Mentri Keuangan (Lihat Gambar 3.1 dan Gambar 3.3) vi. Ada Nota Dinas yang mengatur Job Description untuk bagian OKDD (Lihat Lampiran 51) vii. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja Penyelesaian Barang Impor Dengan Pemberitahuan Impor Barang (PIB) viii. Adanya kebijakan dalam pemisahan tugas dan pembatasan akses untuk sistem aplikasi impor yang diadaptasi dari Kep-07/BC/2003
2. Temuan Audit Pengendalian Aplikasi a. Boundary Control I. Temuan Audit Hasil Kuesioner Pengendalian Akses i. Adanya tingkatan level user ii. Metode
untuk
menggunakan Lampiran 52)
pengendalian
username
dan
akses
dengan
password
(Lihat
180 iii. Adanya encryption untuk password iv. Adanya jangka waktu validasi untuk Password yaitu 3 bulan sekali v. Password yang lama bisa digunakan kembali sebagai password yang baru vi. Tidak ada ketentuan untuk panjang minimum password vii. Tidak ada batasan kesalahan untuk memasukkan password viii. Tidak ada pengiriman report jika ada yang bermasalah dengan entri username dan password ix. Adanya pesan kesalahan apabila login tidak valid (Lihat Lampiran 53 pada Gambar 2 dan 3)
II. Temuan Audit Hasil Wawancara Pengendalian Akses i. Adanya pembagian level user berdasarkan Kep07/BC/2003 ii. Metode pembatasan akses yang digunakan adalah username dan password (Lihat Lampiran 52) iii. Adanya metode encryption terhadap password iv. Batas waktu penggunaan password adalah 3 bulan sekali v. User yang bermasalah dengan password dapat langsung menghubungi konsul
181 III. Temuan
Audit
Hasil
Observasi
dan
Testing
Pengendalian Akses i. Terdapat pembagian level user didalam aplikasi sesuai dengan otoritasnya ii. Tugas dan wewenang yang ada didasarkan pada Kep-07/BC/2003 iii. Batasan akses yang digunakan adalah Username dan Password (Lihat Lampiran 52) iv. Password yang di-input disamarkan oleh aplikasi v. Ada jangka waktu untuk umur Password vi. Bila Password salah atau Username tidak terdaftar ada pesan error (Lihat Lampiran 53 pada Gambar 2 dan 3) vii. Panjang Password tidak dibatasi dan dilakukan kombinasi viii. Tidak terdapat batasan minimum pada kesalahan memasukkan Password ix. Tidak ada pengiriman Report, bila ada user yang bermasalah
dengan
menghubungi konsul/OKDD
Password
langsung
182 b. Communication Control I. Temuan
Audit
Hasil
Kuesioner
Pengendalian
Komunikasi i. Di Server terdapat firewall ii. Saluran transmisi yang digunakan V-Sat, VPN dan Leased Line (Lihat Lampiran 89 pada Gambar 75) iii. Media transmisi yang digunakan berjenis bounded media, menggunakan UTP Cable dan unbounded media yaitu VSAT iv. Jaringan Communication Lines berjenis private (VSAT dan VPN) dan public (Leased Lines Telkom) v. Pendeteksian error pada Communication Lines dilakukan dengan program yang ada di luar dari program aplikasi vi. Ada Remote Terminal untuk memonitor status jaringan
II. Temuan
Audit
Hasil
Wawancara
Pengendalian
Komunikasi i. Transmisi jaringan yang digunakan Leased Lines, VSAT, VPN dan untuk internal memakai LAN (Lihat Lampiran 89 pada Gambar 75 dan 76)
183 ii. Tidak ada standar yang secara khusus mengatur Software dan Hardware yang digunakan, hanya berdasarkan kebijakan dari manajemen. iii. Kesalahan jaringan yang paling sering terjadi adalah jaringan yang terputus iv. Topologi yang digunakan saat ini adalah Star (Lihat Lampiran 89 pada Gambar 75)
III. Temuan
Audit
Hasil
Observasi
Pengendalian
Komunikasi i.
Adanya Firewall dan Antivirus yang terupdate
ii.
Media transmisi yang digunakan berjenis Bounded Media
iii.
Untuk transmisi jaringan menggunakan Leased Lines, VSAT, dan VPN
iv.
Jaringan komunikasi berjenis Private dan Public Dimana Private Lines menggunakan VSAT dan VPN Dimana Public Lines menggunakan Leased Line Telkom
184 c. Input Control I.
Temuan Audit Hasil Kuesioner Pengendalian Input i.
Adanya prosedur penyiapan data yang harus dipatuhi user, dimana PIB Disket yang di-load, jika pada saat validasi terdapat kesalahan, user (Kantor Pelayanan) dapat membantu importir melakukan pembetulan, sehingga transaksi selanjutnya dapat dilakukan. Untuk input-an di dalam aplikasi tidak dapat dikoreksi oleh user.
ii.
Adanya otorisasi transaksi sebelum diinput kedalam komputer (Lihat Lampiran 55 pada Gambar 7, Lampiran 62 pada Gambar 20, Lampiran 65 pada Gambar 28)
iii.
Adanya pesan error bila ada kesalahan input
iv.
Input-an tidak harus berdasarkan dokumen manual, dokumen fisik/manual hanya sebagai pembanding dan pendukung
v.
Transaksi yang sudah di-input tidak bisa di-update kecuali update SSBC. Edit hanya bisa dilakukan melalui database.
vi.
Metode inputan yang digunakan adalah keyboarding dan direct reading
vii. Ada metode untuk completeness Check (Lihat Lampiran 55 pada Gambar 7)
185 II.
III.
Temuan Audit Hasil Wawancara Pengendalian Input i.
Otorisasi dilakukan oleh user yang ditunjuk
ii.
Data-data hasil input-an tidak di encryption
Temuan
Audit
Hasil
Observasi
dan
Testing
Pengendalian Input i. Adanya otorisasi transaksi sebelum di input ke komputer, berupa pemeriksaan dokumen sumber secara
manual
dan
Aplikasi
akan
melakukan
pengecekan terhadap hasil inputan ii. Tidak adanya pesan error bila terjadi kesalahan inputan, seperti jika kita memasukkan karakter pada input-an yang harusnya diisi field numerik, data hasil input-an tidak dapat disimpan iii. Bila ada Input-an yang salah sistem tidak mempunyai fitur untuk meng-update transaksi yang salah, tetapi harus dari database. iv. Metode Input-an yang digunakan: i. Keyboarding: Dengan menggunakan keyboard ii. Direct Reading: Dengan membaca langsung pada disket (Lihat Lampiran 55 pada Gambar 6)
186 v. Ada metode Completeness Check berupa bila fieldfield yang dibutuhkan dalam proses tidak terisi semua, maka data tidak dapat disimpan/diproses
IV.
Temuan
Audit
Hasil
Review
Dokumentasi
Pengendalian Input i. Data-data impor di input oleh Importir dengan menggunakan
aplikasi
PIB.
Importir
akan
menyerahkan data-data PIB (dalam media disket), dimana disertai dengan hasil cetakan berupa PIB dan dokumen-dokumen pendukung.
V.
Konfirmasi Perbedaan Temuan Audit Input Control Berdasarkan hasil analisa Temuan Audit, terjadi perbedaan antara Hasil kuesioner dan observasi dan testing atas pengendalian Input, dimana: 1. Hasil kuesioner menyatakan adanya pesan error bila ada kesalahan input 2. Hasil observasi dan testing menyatakan tidak adanya pesan error bila terjadi kesalahan inputan, seperti jika kita memasukkan karakter pada input-an yang harusnya diisi field numerik, data hasil input-an tidak dapat disimpan
187 Dari hasil analisa dan konfirmasi lebih lanjut, maka Temuan Audit yang diperoleh untuk masalah diatas adalah bahwa tidak adanya pesan error bila terjadi kesalahan inputan, seperti jika kita memasukkan karakter pada inputan yang harusnya diisi field numerik, data hasil input-an tidak dapat disimpan
d. Process Control I.
Temuan Audit Hasil Kuesioner Pengendalian Proses i. File dan Tabel yang digunakan sudah dirancang secara khusus untuk memenuhi kebutuhan ii. Arsip terhadap Source dokumen dan dokumen pendukung dilakukan oleh OKDD iii. Ada Log File atas proses yang dilakukan user (Lihat Lampiran 85 pada Gambar 68) iv. Ada pesan error jika ada proses yang gagal (Lihat Lampiran 86 pada Gambar 69) v. Adanya prosedur untuk recovery berupa menu untuk pembetulan proses bila terjadi kegagalan proses (Lihat Lampiran 87 pada Gambar 71) vi. Ada prosedur yang menjamin bahwa file telah dimaintain dengan benar dan terintegrasi dengan benar, dimana ini merupakan tugas DA dan DBA
188 vii. Adanya prosedur yang menjamin tidak terdapat duplikasi proses
II.
Temuan Audit Hasil Wawancara Pengendalian Proses i. Bila terjadi gangguan pada komputer, penanganan diserahkan pada Vendor, bila masih dalam masa garansi, bila diluar garansi penganganan oleh PDDT (Pengolahan Data dan Dukungan Teknis) ii. Metode pemrosesan transaksi secara Real Time ke server Kantor Pelayanan Halim iii. Seminggu sekali secara Batch – Online dilakukan Backup data ke Kantor Pusat (Bila media transfernya disket). Dan secara Online Real Time (Bila media transfernya EDI). Untuk Kantor Pusat sendiri di backup ke server cadangan secara Real Time
III.
Temuan
Audit
Hasil
Observasi
dan
Testing
Pengendalian Proses i. Dokumen sumber dan pendukung disimpan oleh seksi OKDD setelah satu siklus transaksi selesai (Lihat Lampiran 42-47) ii. Ada Log File mengenai proses yang dilakukan User (Lihat Lampiran 85 pada Gambar 68)
189 iii. Bila ada proses yang gagal ada pesan error (Lihat Lampiran 86 pada Gambar 69) iv. Adanya Recovery setelah terjadinya kegagalan. Salah satunya dari menu Pembetulan Proses (Lihat Lampiran 87 pada Gambar 71) v. Adanya prosedur yang menjamin tidak terdapat duplikasi proses.
e. Database Control I.
Temuan Audit Hasil Kuesioner Pengendalian Basis Data i. Database sudah tersusun dalam ERD dan terdiri atas File Master dan File Transaction ii. Akses terhadap database dibatasi sesuai dengan kewenangannya iii. Adanya Log File untuk melakukan tracking terhadap database (Lihat Lampiran 87 pada Gambar 72) iv. Adanya prosedur backup terhadap database v. Transaksi yang telah di input tidak dapat diubah oleh user lain
190 II.
Temuan Audit Hasil Wawancara Pengendalian Basis Data i. Hanya individu yang diberikan otoritas yang boleh mengakses Database ii. Database disusun atas File Master dan File Transaksi, dimana File Master seperti tabel referensi dan File Transaksi seperti tabel proses. iii. Dimana File Masternya adalah Tabel yang diawali dengan TID (Tabel Impor Dasar) dan File Transaksi TIR (Tabel Impor Referensi), TIP (Tabel Impor Proses), TIA (Tabel Impor Administrasi), TIT (Tabel Impor Temporary), TIH (Tabel Impor History). iv. Ada monitor secara periodik terhadap Database (Lihat Lampiran 88 pada Gambar 73) dan dilakukan oleh DBA v. Pemberian nama dalam Database dirancang secara khusus agar memudahkan bagi yang berwenang vi. Ada Database Warehousing
III.
Temuan Audit Hasil Observasi Pengendalian Basis Data i. Hubungan tabel dalam Database tersusun atas ERD dan terbagi atas File Master dan File Transaksi
191 ii. Terdapat pembatasan akses Database sesuai dengan otoritasnya, dimana pengguna aplikasi tidak dapat mengakses
dan
mengubah
Database
secara
langsung, tetapi harus melalui aplikasi, hanya yang berwenang yang dapat mengakses Database. iii. Ada Log File pada Database, sehingga memudahkan untuk Tracking pada Database (Lihat Lampiran 87 pada Gambar 72) iv. Adanya prosedur Backup Database v. Transaksi yang telah diinput user, tidak dapat dirubah oleh user lain vi. Tidak adanya Backup data di tempat lain, backup data hanya di internal DJBC sendiri
f. Output Control I.
Temuan Audit Hasil Kuesioner Pengendalian Output i. Adanya review periodik oleh manajemen terhadap laporan ii. Laporan yang dihasilkan sudah memuat: Nama Laporan, Kepala Laporan, Waktu dan tanggal pencetakan, no halaman, jenis laporan, jumlah copy, nama/bagian yang melakukan pencetakan iii. Laporan hanya dapat dicetak oleh karyawan yang memiliki otoritas
192 iv. Laporan dapat dicetak secara accidental dan Periodik
II.
Temuan Audit Hasil Wawancara Pengendalian Output i. laporan dirancang sesuai dengan kebijakan dan kebutuhan dari manajemen yang ada ii. Pihak yang membutuhkan laporan adalah pihak intern perusahaan dan pihak ekstern perusahaan. Intern misalnya: Kepala Kantor, OKDD, Direktur Jendral. Ekstern misalnya: Departemen keuangan, Dirjen Pajak iii. Laporan yang ada dapat dicetak secara accidental dan periodik (Bulanan, mingguan) iv. Laporan didistribusikan secara soft copy dan hard copy, tetapi kebanyakan dengan softcopy v. Review laporan dilakukan secara periodik oleh manajemen
terkait.
Misalnya:
Kepala
Kantor,
dan
Testing
OKDD, Direktur Jendral.
III.
Temuan
Audit
Hasil
Observasi
Pengendalian Output i. Adanya
review
laporan
secara
periodik
dari
manajemen ii. Pencetakan laporan hanya dapat dilakukan oleh karyawan yang memiliki otoritas
193 iii. Laporan dapat dicetak secara accidental dan periodik iv. Laporan yang dihasilkan sebagian besar belum memuat
Jenis
Laporan,
Jumlah
Copy
dan
Nama/bagian yang melakukan pencetakan (Lihat Lampiran 27-41)
IV.
Temuan
Audit
Hasil
Review
Dokumentasi
Pengendalian Output i. Laporan yang dihasilkan antara lain: a. P2: i. Laporan PIB Jalur Merah ii. Laporan Daftar PIB yang sudah/Belum SPPB iii. Laporan Data Pembatalan PIB iv. Laporan
Data
Impor
PIB
Dengan
Fasilitas v. Laporan Data Importir vi. Laporan NI b. Kepala Kantor (Lihat Lampiran 27-41): i. Laporan Pencapaian Target Penerimaan ii. Laporan Distribusi Dokumen PFPD iii. Laporan Distribusi Dokumen PFPB iv. Laporan Distribusi Dokumen Pejabat Analyzing Point
194 v. Laporan Waktu rata-rata Penyelesaian PIB vi. Laporan PIB Jalur Prioritas Perimportir vii. Laporan Komoditi dengan BM Terbesar viii. Laporan Importir Dengan BM Terbesar ix. Laporan Importir Dengan Jumlah PIB Terbanyak x. Laporan PIB Non Prioritas Dengan Nilai BM Terbesar xi. PIB yang belum diselesaikan xii. Pembatalan PIB xiii. Laporan NI dan Penyelesaian xiv. Laporan SPKPBM Per Importir xv. Laporan SPKPBM Per PFPD c. Operasional
Komputer
dan
Dokumen i. Laporan I •
Laporan Statistik PIB
•
PIB Status Gate
•
PIB Status Barang Keluar
•
Jumlah Container Keluar
•
Laporan Impor Harian
•
Laporan Harian PFPD
Distribusi
195 •
Importasi Berdasarkan HS
•
Importasi Bahan Pokok
ii. Laporan II •
Laporan
Performance
Analyzing
Performance
Analyzing
Point •
Laporan
Point Per NIP •
Laporan Kebenaran Nota Informasi
•
Laporan Status Importir
•
Laporan Status Dokumen
•
Laporan PIB Per HS Sudah SPPB
•
Laporan PIB Per HS Belum SPPB
•
Laporan PIB Per PPJK Sudah SPPB
•
Laporan PIB Per PPJK Belum SPPB
•
Laporan PIB Fasilitas CEPT
•
Laporan PIB Fasilitas CEPT Per HS
•
Laporan Daftar Pelanggaran
•
Laporan Performance Kantor
•
Laporan Penyelesaian PIB Oleh Kantor
•
Laporan Performance Pegawai
196 •
Laporan Penyerahan Berkas PIB Lewat Waktu
•
Laporan Importasi Mobil Built Up
•
Laporan Pelunasan SPKPBM
•
Laporan Devisa
ii. Laporan yang dihasilkan sebagian besar belum memuat
Jenis
Laporan,
Jumlah
Copy
dan
Nama/bagian yang melakukan pencetakan
V.
Konfirmasi Perbedaan Temuan Audit Process Control Berdasarkan hasil analisa Temuan Audit, terjadi perbedaan antara Hasil kuesioner, observasi dan testing, serta review dokumentasi atas pengendalian output, dimana: 1. Hasil
kuesioner
menyatakan
Laporan
yang
dihasilkan sudah memuat: Nama Laporan, Kepala Laporan, Waktu dan tanggal pencetakan, no halaman, jenis laporan, jumlah copy, nama/bagian yang melakukan pencetakan 2. Hasil observasi dan testing serta review dokumentasi menyatakan Laporan yang dihasilkan sebagian besar belum memuat Jenis Laporan, Jumlah Copy dan Nama/bagian yang melakukan pencetakan
197 Dari hasil analisa dan konfirmasi lebih lanjut, maka Temuan Audit yang diperoleh untuk masalah diatas adalah bahwa memang Laporan yang dihasilkan sebagian besar belum memuat Jenis Laporan, Jumlah Copy dan Nama/bagian yang melakukan pencetakan
198
V. Evaluasi Resiko Potensial Dan Rekomendasi Atas Pengendalian Umum Dan Pengendalian Aplikasi 1. Evaluasi Resiko Potensial Pengendalian Umum Instrumen Kuesioner
Auditee
Temuan Audit
Staf DIKC dan Staf 1. OKDD
Tidak
Kriteria
adanya Adanya
persyaratan
yang dalam
khusus bagi setiap pegawai, posisi
persyaratan Kemungkinan
ketrampilan
ketrampilan
yang
dibagian
ada bagian
Resiko Potensial
khusus yang
staf Membuat
ditempatkan persyaratan
merekrut tidak sesuai dengan ketrampilan khususnya ketrampilan
yang merekrut
pengolahan dimilikinya dan tidak atau
data
dapat
pengolahan data
Tidak
asuransi
adanya Menurut terhadap (1999,
untuk
pegawai adanya
memenuhi training
yang
tuntutan tugas yang intensif
bagi
diberikan kepadanya. 2.
Rekomendasi
Weber Apabila p266-272), bencana,
pegawai
terjadi Semua
aset
atau
kerugian perangkat komputer
aset-aset yang ada, bila bencana terjadi, yang diderita lebih yang ada harus di tetapi hanya ada
masih terdapat
besar
cover dengan
199
Instrumen
Auditee
Temuan Audit garansi dari vendor
Kriteria kemungkinan
Resiko Potensial untuk
mengurangi kerugian dan
me-recover
operasional
dengan
melakukan: 1. Disaster Recovery Plan a. Emergency Plan b. Backup Plan c. Recovery Plan d. Test Plan 2. Asuransi
Rekomendasi asuransi.
200
Instrumen Wawancara
Auditee
Temuan Audit
Kriteria
Kepala DIKC dan 1. Adanya kesulitan Menurut Kepala OKD
Resiko Potensial Weber Kemungkinan
Rekomendasi Harus
ada
untuk meng-update (1999, p263) untuk ancaman dari virus petugas Pada mencegah
Antivirus
besar.
Kantor
Pelayanan terjangkitnya
Halim
pada administrator
Cliennya
ditunjuk
yang untuk
melakukan update,
virus,
dimana
hendaknya melakukan
satu
petugas
tersebut melakukan control:
download dan Virus
Preventive, Detective,
definition dishare
dan Corrective 2. Perawatan
Menurut
terhadap Software
(1999,
dan hardware tidak
Maintenace ada tiga dan hardware dapat perawatan
atas
selalu dilakukan
jenis:
dan
secara periodik
Weber Kemungkinan p177-178) kerusakan
Lakukan
Software monitoring
sering terjadi yang Software menyebabkan
dan
Hardware minimal
201
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Maintencance
Maintenance 3. Perfective
departeman
adanya yang
menangani Quality Control
secara
Assurance informasi
manajemen,
manajemen
besar diminimalisir.
lebih
Quality
hanya
dari
yang
p336-337) mutu
monitoring
Software biaya Hardware
(1999,
khusus (Monitoring
sehingga sehingga kerusakan
pengeluaran
a. Menurut Weber Penilaian
Memiliki
sekali,
dan dapat
untuk perbaikan
Maintenance Tidak
terganggu,
menimbulkan
2. Adaptive
3.
sistem sebulan
aktivitas
1. Repair
Rekomendasi
terhadap Seharusnya pengolahan divisi
ada yang
dan membantu
peran informasi
yang manajemen
dalam
bagi dihasilkan
menjadi memonitor
mutu
untuk kurang maksimal
memastikan bahwa: 1. Tujuan kualitas
kinerja aplikasi dan informasi dihasilkannya
yang
202
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
produk telah ada dan dimengerti jelas
secara
oleh
para
stakeholder 2.
Pembanding
antara
produk
dengan standar yang telah
ditetapkan
sudah
dilakukan
untuk
mencapai
kualitas
sistem
informasi b. Penentuan secara terus menerus
Rekomendasi
203
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
mengenai
memadai
atau
tidaknya
perangkat dalam
Rekomendasi
lunak memenuhi
kebutuhan pemakai. SPAP (2001, seksi 343.10 ayat 41) Observasi
Divisi DIKC dan 1. OKDD
Tidak
alat
pendeteksi (1999,
kebakaran Kantor Bea Jakarta
adanya Menurut
Pada cara
Pelayanan terhadap dan
Weber Jika
terjadi Adanya
p257-258) kebakaran,
kebijakan
tidak manajemen
penanganan dapat dideteksi secara menempatkan kebakaran dini, sehingga tidak pendeteksi
Cukai adalah dengan:
dapat
diminimalisir kebakaran
1. Alarm kebakaran kerusakannya baik yang manual,
untuk alat
204
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
maupun
yang
otomatis
diletakkan
di
tempat
yang
strategis. 2.
Pemadam
kebakaran diletakkan di
tempat
yang
strategis. 3. Bangunan tempat diletakkannya sistem
aset
informasi
dibangun
dengan
kontruksi
spesial
yang tahan panas
Rekomendasi
205
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
4. Tempat diletakkan nya
pemadam
kebakaran dan arah keluar diberi tanda yang jelas sehingga memudahkan
untuk
melihat tanda tersebut 5.Prosedur kebersihan yang baik dapat
memastikan
bahwa barang-barang yang
mudah
menyebabkan kebakaran minimal
Rekomendasi
206
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
sekali keberadaannya di
ruang
sistem
informasi 2.
Tidak
Backup
adanya Dilakukannya backup Bila terjadi bencana/ Lakukan data
di data secara periodik kerusakan hardware data ke tempat lain
tempat lain, Backup dan
disimpan
di maka akan kesulitan juga,
data hanya di dalam lokasi yang jauh dari untuk DJBC sendiri
Review Dokumentasi
DIKC dan OKDD
Backup
agar
me-recovery terjadi
bila
bencana,
kegiatan operasional. data
kesulitan recovery
SPAP (2001, seksi
data
343.8 ayat 32)
diminimalisir
1. Tidak
Adanya dokumentasi Tahap-tahap
Dokumentasikan
ditemukannya
tertulis
setiap
dokumentasi
aplikasi
mengenai System
dipergunakan,
tentang pengembangan yang aplikasi
dapat
tidak pengembangan
diketahui dengan
sistem agar
207
Instrumen
Auditee
Temuan Audit Development
Kriteria
Resiko Potensial
Rekomendasi
Life dokumentasi meliputi jelas, tidak adanya mempermudah
Cycle
instruksi tahap demi sumber tahap,
penjelasan yang
mengenai
informasi pengembangan mendukung sistem selanjutnya.
pengembangan
penggunaan aplikasi, sistem selanjutnya. sumber
data
yang
diolah dan spesifikasi yang
lain.
SPAP
(2001,
seksi
343.7
ayat 30). 2. Tidak
Adanya dokumentasi Bila terjadi bencana, Dokumentasikan
ditemukannya
tertulis
prosedur tertulis
aplikasi
mengenai Disaster
dipergunakan,
tentang prosedur
untuk prosedur
tertulis
yang penanganannya tidak mengenai Disaster jelas, dan mungkin
Recovery Plan
208
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Recovery Plan
dokumentasi meliputi
tidak dimengerti atau
instruksi tahap demi
tidak diketahui oleh
tahap, penjelasan
sebagian karyawan
mengenai penggunaan aplikasi, sumber data yang diolah dan spesifikasi yang lain. SPAP (2001, seksi 343.7 ayat 30).
Rekomendasi
209
2. Evaluasi Resiko Potensial Pengendalian Aplikasi a. Boundary Control Instrumen Kuesioner
Auditee
Temuan Audit
Staf DIKC dan Staf 1. OKDD
Tidak
batasan kegagalan
Kriteria
adanya Menurut mengenai (1999,
Resiko Potensial
Weber Kemungkinan adanya Lakukan p382) pihak
login Mekanisme
akses
pengendalian
Rekomendasi
yang
dapat pembatasan
mencoba melakukan terhadap kegagalan akses Login
dengan Login Access.
membatasi user untuk Password secara acak memasukkan Password yang salah 2.
Bila
umur Menurut
Weber Adanya kemungkinan Adanya
kebijakan
Password berakhir, (1999, p382) User Password yang lama dalam pengendalian Password lama bisa tidak
boleh diketahui oleh pihak Password, dimana
digunakan kembali menggunakan sebagai password
kembali password
lain
Password
lama
harus dibedakan
210
Instrumen
Auditee
Temuan Audit baru
Kriteria
Resiko Potensial
Rekomendasi
yang usianya lebih
dengan
dari 12 bulan
baru.
3. Panjang
Menurut
minimum karakter
(1999,
Password tidak
Mekanisme
dibatasi
pengendalian tidak
Weber Pegawai
Batasi
p382) menggunakan
panjang
minimum karakter yang Password
Password akses pendek
sehingga
menyetujui mudah
diingat,
apabila
password
panjang sehingga
mudah
Password kurang dari diketahui oleh pihak minimum Wawancara
Kepala DIKC dan Tidak ada temuan Kepala OKDD
yang mempengaruhi aplikasi
lain -
-
-
211
Instrumen Observasi Testing
Auditee
dan DIKC dan OKDD
Temuan Audit 1.
Tidak
batasan
Kriteria
adanya Menurut
p382) pihak
login Mekanisme
akses
Rekomendasi
Weber Kemungkinan adanya Lakukan
mengenai (1999,
kegagalan
Resiko Potensial
pengendalian
yang
dapat pembatasan
mencoba melakukan terhadap kegagalan akses Login
dengan Login Access.
membatasi user untuk Password secara acak memasukkan Password yang salah Weber Pegawai
2. Panjang
Menurut
minimum karakter
(1999,
Password tidak
Mekanisme
dibatasi
pengendalian tidak apabila
Batasi
p382) menggunakan Password
minimum karakter yang Password
akses pendek
sehingga
menyetujui mudah
diingat,
panjang sehingga
panjang
mudah
Password kurang dari diketahui oleh pihak
212
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
minimum
Rekomendasi
lain
b. Communication Control Instrumen Kuesioner
Auditee
Temuan Audit
Kriteria
Staf DIKC dan Staf Tidak ada temuan OKDD
Resiko Potensial
Rekomendasi
-
-
-
yang mempengaruhi aplikasi
Wawancara
Weber Operasional
Kepala DIKC dan Gangguan jaringan Menurut Kepala OKDD
yang sering terjadi (1999,p477-503) adalah terputusnya Pengendalian jaringan
dalam terhambat
Communication Control
aplikasi
(berkaitan
dengan kesalahan
sistem Mendeteksi
dan
menjadi memonitoring jaringan
secara
periodik, sehingga ditemukan penyebab gangguan
213
Instrumen
Auditee
Temuan Audit
Kriteria jaringan
Resiko Potensial
tersebut)
Rekomendasi jaringan
terdiri dari: 1.Physical Component Controls 2. Line Error Control 3. Flow Controls 4. Link Controls 5. Internet Working Controls 6. Existence Control Observasi
DIKC dan OKDD
Tidak ada temuan yang mempengaruhi aplikasi
-
-
-
214
c. Input Control Instrumen Kuesioner
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
-
-
-
Staf DIKC dan Staf Tidak ada temuan OKDD
yang mempengaruhi aplikasi
Wawancara
Kepala DIKC dan Tidak Kepala OKDD
adanya Transaksi
tidak Data
yang
Enkripsi
terhadap hilang,
digandakan, kemungkinan
data-data
hasil atau
tidak dilihat
inputan
dirubah
SPAP langsung
(2001,
314.5 orang
jika
yang
menembus
ayat 08)
Enkripsi
dapat terhadap data-data secara hasil inputan
semestinya. seksi
ada Lakukan
ada dapat sistem
keamanan Observasi Testing
dan DIKC dan OKDD
Tidak adanya pesan Menurut error bila terjadi
Weber User
(1999, p446) apabila
mengetahui
tidak Harusnya ada pesan error pada saat
215
Instrumen
Auditee
Temuan Audit kesalahan input-an
Kriteria
Rekomendasi
melakukan kesalahan apa yang input-an salah
user kesalahan input
Resiko Potensial
dalam terjadi
data,
maka
sebaiknya
sistem
menampilkan
pesan
kesalahan
yang
bersifat ringkas, jelas dan
memberikan
solusi bagi user untuk memperbaiki kesalahan Review Dokumentasi
DIKC dan OKDD
Tidak ada temuan yang mempengaruhi
-
-
-
216
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
Kriteria
Resiko Potensial
Rekomendasi
-
-
-
-
-
-
-
-
-
aplikasi
d. Process Control Instrumen Kuesioner
Auditee
Temuan Audit
Staf DIKC dan Staf Tidak OKDD
adanya
temuan
yang
mempengaruhi aplikasi Wawancara
Kepala DIKC dan Tidak Kepala OKDD
adanya
temuan
yang
mempengaruhi aplikasi Observasi testing
dan DIKC dan OKDD
Tidak temuan yang
adanya
217
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
Kriteria
Resiko Potensial
Rekomendasi
-
-
-
-
-
-
mempengaruhi aplikasi
e. Database Control Instrumen Kuesioner
Auditee
Temuan Audit
Staf DIKC dan Staf Tidak OKDD
adanya
temuan
yang
mempengaruhi aplikasi Wawancara
Kepala DIKC dan Tidak Kepala OKDD
adanya
temuan mempengaruhi aplikasi
yang
218
Instrumen Observasi
Auditee
Temuan Audit
Divisi DIKC dan Tidak OKDD
Backup
Kriteria
adanya data
di
Resiko Potensial
Dilakukan back up Bila
terjadi Lakukan
data secara periodik bencana/kerusakan disimpan
Rekomendasi
di hardware
Backup
data ke tempat lain
tempat lain, Backup
dan
maka juga,
agar
data hanya di dalam
lokasi yang jauh dari akan
DJBC sendiri
kegiatan operasional. untuk me-recovery kesulitan recovery
kesulitan terjadi
bila
bencana,
SPAP (2001, seksi data
data
dapat
343.8 ayat 32)
diminimalisir
f. Output Control Instrumen Kuesioner
Auditee
Temuan Audit
Staf DIKC dan staf Tidak ada temuan OKDD
yang mempengaruhi aplikasi
Kriteria
Resiko Potensial
Rekomendasi
-
-
-
219
Instrumen Wawancara
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
-
-
-
Kepala DIKC dan Tidak ada temuan Kepala OKDD
yang mempengaruhi aplikasi
Observasi
DIKC dan OKDD
Laporan
Menurut
Weber Kehandalan
dihasilkan sebagian
(1999,
p.635) laporan yang ada dari
besar
terdapat
memiliki laporan, copy nama/bagian
yang
belum
beberapa tidak terjamin
dari Adanya
agar
kebijakan manajemen komponen-
jenis
control information
komponen laporan
jumlah
yang harus terdapat
direalisasikan
dan
pada format laporan
yang
yang tercetak yaitu
melakukan
sebagai
pencetakan
Nama
berikut: Laporan,
Waktu dan tanggal
220
Instrumen
Auditee
Temuan Audit
Kriteria pencetakan,
Resiko Potensial Daftar
Distribusi (termasuk jumlah
salinan),
periode proses yang tercakup,
Nama
program
yang
mencetak (termasuk versi), Nama user yang
bertanggung
jawab atas laporan tercetak, Klasifikasi keamanan,
Kepala
laporan,
Nomor
halaman, tanda
Rekomendasi
221
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
Rekomendasi
akhir dari laporan Review Dokumentasi
DIKC dan OKDD
Laporan
yang
Menurut
Weber Kehandalan
dihasilkan sebagian
(1999,
p.635) laporan yang ada dari
besar
terdapat
memiliki laporan, copy nama/bagian
belum
beberapa tidak terjamin
dari Adanya
agar
kebijakan manajemen komponen-
jenis
control information
komponen laporan
jumlah
yang harus terdapat
direalisasikan
dan
pada format laporan
yang
yang tercetak yaitu
melakukan
sebagai
pencetakan
Nama
berikut: Laporan,
Waktu dan tanggal pencetakan,
Daftar
Distribusi (termasuk jumlah salinan),
222
Instrumen
Auditee
Temuan Audit
Kriteria
Resiko Potensial
periode proses yang tercakup,
Nama
program
yang
mencetak (termasuk versi), Nama user yang
bertanggung
jawab atas laporan tercetak, Klasifikasi keamanan,
Kepala
laporan,
Nomor
halaman,
Tanda
akhir dari laporan
Rekomendasi
223
VI. Kesimpulan Sistem Aplikasi Impor pada DJBC menurut hasil analisa dan review dari auditor, adalah baik, tidak ditemukan resiko potensial yang dapat mempengaruhi jalannya Sistem Aplikasi Impor
Jakarta, 10 Februari 2006
Tim Auditor