BAB 4 EVALUASI TERHADAP PENGENDALIAN SISTEM INFORMASI PELAYANAN PADA BENGKEL GAC AUTO SERVICE
Pada bab ini akan dibahas mengenai temuan yang didapat setelah melakukan wawancara dan observasi, yang hasilnya berupa check list (Lihat Lampiran I Tabel Check List) pada bengkel GAC Auto Service, serta melakukan penilaian risiko dan pengendalian terhadap temuan tersebut. Penulis juga menulis laporan audit sebagai laporan hasil evaluasi dan melakukan pengujian substantif untuk memastikan apakah perhitungan di dalam dokumen telah benar. Dalam melakukan analisa terhadap pengendalian umum dan pengendalian aplikasi, penulis melakukan perbandingan antara sistem yang sedang berjalan pada bengkel GAC Auto Service dengan standar CoBIT yang telah dimodifikasi oleh NC State University dan Standard Information Technology Audit Program yang dibuat oleh NC State University (www.nscu.edu).
4.1 Temuan Audit pada Pengendalian Umum dan Pengendalian Aplikasi Berdasarkan analisa yang telah dilakukan terhadap sistem informasi pelayanan bengkel GAC Auto Service, penulis menemukan beberapa temuan (Lihat Lampiran II Matriks Temuan Audit) yaitu sebagai berikut : 4.1.1 Pengendalian Umum 4.1.1.1 Pengendalian Manajemen Operasional 81
82 Berdasarkan hasil wawancara dan observasi terhadap kepala bengkel dan staff IT, beberapa temuan yang diperoleh penulis adalah tidak adanya pengawasan terhadap penggunaan komputer dan pengaksesan sistem dalam ruangan komputer. Setiap karyawan dapat masuk ke dalam ruangan komputer. Akibatnya, orang yang tidak memiliki wewenang dan otorisasi dapat masuk ke dalam ruang komputer, menggunakan komputer dan sistem tanpa diketahui. Sistem, server dan komputer dapat dirusak dan dimodifikasi, serta data dapat dilihat atau dicuri oleh pihak yang tidak berwenang. Sehingga kegiatan operasional bengkel dapat terganggu, kerahasiaan data diketahui dan dapat dimanfaatkan oleh pihak yang tidak berwenang, yang akan mengakibatkan kerugian bagi pihak bengkel. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa pemberian hak akses, perubahan hak akses dan pemindahan hak akses seorang karyawan harus di otorisasi oleh sistem dan prosedur yang tepat, serta harus disesuaikan dengan tingkatan kebutuhan akses, tugas, wewenang dan jabatan karyawan tersebut. Oleh karena itu, penulis merekomendasikan agar melakukan pembatasan terhadap orang-orang yang dapat masuk ke dalam ruang komputer. Pihak yang tidak berkepentingan dilarang masuk ke dalam ruang komputer dan ruang komputer harus terkunci jika ditinggalkan tanpa adanya pengawasan. Komputer server dengan komputer lain dalam bengkel diletakkan terpisah, dimana komputer server hanya dapat diakses oleh orang yang memiliki wewenang. Selain itu, komputer yang dapat digunakan bersama-sama oleh seluruh karyawan dipisahkan dengan komputer yang terbatas hak aksesnya
83 (komputer yang digunakan oleh kepala bengkel, service advisor, kasir dan staff spare parts). Temuan kedua yang diperoleh penulis yaitu, maintenance terhadap hardware tidak dilakukan secara berkala. Staff IT akan melakukan maintenance terhadap hardware jika ada karyawan yang memberikan keluhan tentang
hardware
yang
rusak
atau
bermasalah.
Akibatnya,
adanya
kemungkinan kehilangan data atau kerusakan sistem, software, hardware jika terjadi kerusakan pada hardware. Sehingga kegiatan operasional bengkel menjadi terganggu dan terhambat karena data pelanggan, data transaksi dan data lainnya dibuat dan disimpan dalam sistem komputer bengkel, serta bengkel akan mengalami kerugian. Hal ini tidak sesuai dengan standar CoBIT, seharusnya terdapat kebijakan rencana pemeliharaan dan pencegahan untuk memastikan seluruh komponen hardware yang penting dapat berfungsi dengan baik sehingga tidak menggangu kinerja komputer. Oleh karena itu, penulis merekomendasikan agar membuat prosedur dan kebijakan untuk melakukan maintenance secara rutin minimal enam bulan sekali. Sehingga jika terdapat kerusakan ringan pada hardware dapat segera diatasi dan kegiatan operasional bengkel dapat berjalan dengan baik. Temuan ketiga yang diperoleh penulis, yaitu tidak terdapat pemeriksaan secara berkala terhadap server dan jaringan. Hanya dilakukan jika sistem mengalami gangguan atau error. Akibatnya, kerusakan terhadap server dan jaringan dapat mengakibatkan komputer menjadi lambat (server down), server akan mengalami gangguan atau kerusakan dan transfer data antar
84 komputer di dalam bengkel akan terganggu, sehingga kegiatan operasional bengkel akan terganggu dan dapat menyebabkan kerugian. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa seharusnya terdapat kebijakan rencana pemeliharaan dan pencegahan untuk memastikan seluruh komponen hardware yang penting dapat berfungsi dengan baik sehingga tidak menggangu kinerja komputer. Oleh karena itu, penulis merekomendasikan agar pemilik bengkel membuat prosedur dan kebijakan mengenai pemeriksaan terhadap server dan jaringan yang dilakukan secara berkala minimal sebulan sekali oleh staff IT untuk mencegah gangguan atau kerusakan pada server dan jaringan.
4.1.1.2 Pengendalian Manajemen Keamanan Berdasarkan hasil wawancara dan observasi terhadap direktur PT GSAC, staff IT, dan kepala bengkel, beberapa temuan yang diperoleh penulis adalah tidak terdapat antivirus dan update antivirus. Akibatnya, sistem aplikasi dan data yang ada dapat mengalami gangguan, rusak ataupun hilang akibat virus. Sehingga proses pada sistem komputer pun akan terganggu dan dapat mempengaruhi kegiatan operasional bengkel. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa perlindungan terhadap virus harus aktif dan virus definition files harus selalu up-to-date. Oleh karena itu, penulis merekomendasikan agar setiap komputer bengkel menggunakan antivirus dan melakukan update antivirus secara rutin minimal dua minggu sekali.
85 Temuan kedua yang diperoleh penulis, yaitu tidak terdapat alat pemadam kebakaran otomatis dan alat pendekteksi asap. Alat pemadam kebakaran yang tersedia di bengkel hanya berupa alat pemadam kebakaran manual (hand-held fire extinguisher). Akibatnya, jika terjadi kebakaran pada bengkel tidak dapat diketahui dengan cepat, akan sulit bagi karyawan untuk memadamkan api jika hanya menggunakan alat pemadam kebakaran manual (hand-held fire extinguisher). Aset-aset yang dimiliki oleh bengkel pun mengandung risiko yang cukup besar dan umumnya mudah terbakar, seperti oli, bensin, dll. Hal ini tidak sesuai dengan standar information technology audit program yang dibuat oleh NC State University (www.nscu.edu) mengenai physical security yang menyatakan bahwa pengoperasian komputer harus terjamin aman dari ancaman yang tidak terduga dan adanya pencegahan dari api, air, masalah listrik dan pengrusakan. Oleh karena itu, penulis merekomendasikan agar pihak bengkel menyediakan alat pemadam kebakaran otomatis, memasang alat pendeteksi asap, dan alat pemadam kebakaran manual (hand-held fire extinguisher) untuk menjaga aset bengkel. Selain itu, diberikan pencantuman peringatan “dilarang merokok” pada tempat strategis dalam bengkel karena di dalam bengkel banyak barang yang mudah terbakar. Temuan ketiga yang diperoleh penulis, yaitu tidak terdapat asuransi terhadap semua aset bengkel. Akibatnya, jika terjadi kebakaran, pencurian atau tindakan lain yang menyebabkan rusak atau hilangnya aset bengkel, maka pemilik bengkel tidak akan mendapatkan ganti rugi dan adanya kemungkinan bengkel akan bangkrut.
86 Hal ini tidak sesuai dengan standar information technology audit program yang dibuat oleh NC State University (www.nscu.edu) mengenai physical security yang menyatakan pengoperasian komputer harus terjamin aman dari ancaman yang tidak terduga dan adanya pencegahan dari api, air, masalah listrik dan pengrusakan. Oleh karena itu, penulis merekomendasikan agar pemilik bengkel mengasuransikan semua aset yang ada di bengkel untuk berjaga-jaga terhadap kejadian yang tidak diinginkan, seperti kebakaran, banjir, konsleting, ataupun pengrusakan aset bengkel.
4.1.2
Pengendalian Aplikasi
4.1.2.1 Pengendalian Input Berdasarkan hasil wawancara dan observasi terhadap staff IT dan semua karyawan yang menggunakan sistem, beberapa temuan yang diperoleh penulis adalah tidak terdapat update secara periodik pada database bengkel. Data-data yang sudah tidak digunakan tetap disimpan dalam database bengkel. Akibatnya, hardisk akan penuh (overload) dengan data-data yang sudah tidak terpakai dan sistem dapat menjadi lambat, sehingga pencarian data akan memerlukan waktu yang lama. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa definisi kebutuhan input harus memperhatikan keseluruhan sumber data, termasuk penyimpanan sebelumnya dan komputasi data. Oleh karena itu, penulis merekomendasikan agar peng-update-an pada database bengkel langsung dilakukan jika terdapat perubahan data. Setiap data yang tidak
87 digunakan dapat dipindahkan ke dalam floppy disk atau CD-R sebagai arsip atau back up. Temuan kedua yang diperoleh penulis, yaitu tidak terdapat help facility untuk membantu user dalam menginput data. Help facility dianggap tidak perlu ada dalam sistem Flex Accounting Software karena pada saat pertama kali menggunakan sistem, user sudah mendapatkan pelatihan. Akibatnya, user akan mengalami kesulitan dalam melakukan penginputan data, terutama bagi karyawan baru yang kurang menguasai sistem. Selain itu, staff IT tidak setiap saat berada di bengkel untuk membantu kesulitan setiap karyawan dalam penginputan data, sehingga kinerja karyawan dapat menjadi lambat. Hal ini tidak sesuai dengan standard information technology audit program yang dibuat oleh NC State University (www.nscu.edu), yang menyatakan bahwa mengharuskan pengaturan dan tersedianya fungsi Help Desk Support. Oleh karena itu, penulis merekomendasikan agar menambahkan help facility pada Flex Accounting Software agar pengerjaan input data menjadi lebih mudah dan cepat.
4.1.2.2 Pengendalian Output Berdasarkan hasil wawancara dan observasi terhadap kasir, temuan yang diperoleh penulis adalah adanya informasi yang tidak akurat, masih terdapat perbedaan antara hasil perhitungan output dari sistem dengan perhitungan manual. Informasi yang tidak akurat dapat mengakibatkan
88 pengambilan keputusan menjadi lambat, kesalahan dalam pengambilan keputusan sehigga mengakibatkan kerugian pada bengkel. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa penerimaan pengesahan output ditentukan dari keakuratan dan kelengkapan yang telah diuji. Oleh karena itu, penulis merekomendasikan untuk memperbaiki sistem agar perbedaan antara perhitungan sistem dengan manual tidak terjadi lagi, memastikan user menginput data dengan benar, melakukan pemeriksaan (audit) untuk mengetahui apakah ada manipulasi transaksi oleh karyawan.
4.1.2.3 Pengendalian Boundary Berdasarkan hasil wawancara dan observasi terhadap staff IT dan semua karyawan, beberapa temuan yang diperoleh penulis adalah tidak terdapat peringatan secara otomatis jika ada pengguna sistem yang sah tetapi mencoba mendapatkan sumber daya sistem yang berada di luar lingkup kerjanya. Akibatnya, pihak yang tidak berwenang dapat melakukan modifikasi, merusak, dan mencuri data yang ada pada sistem. Sehingga sulit untuk melacak jika terjadi kerusakan, modifikasi dan pencurian data pada sistem. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa hak akses diperiksa secara berkala untuk memastikan orang yang menggunakan sistem adalah orang yang memiliki hak akses dan disesuaikan dengan kebutuhan user dan organisasi. Manajemen juga harus diberitahukan mengenai
seluruh
pelanggaran
keamanan.
Oleh
karena
itu,
penulis
merekomendasikan untuk memperbaiki sistem agar dapat memberikan
89 peringatan jika ada pengguna sistem yang sah tetapi mencoba mendapatkan sumber daya sistem yang berada di luar lingkup kerjanya dan menggunakan log akses terhadap sistem. Temuan kedua yang diperoleh penulis, yaitu tidak terdapat batasan maksimal kesalahan dalam pengisian password. Sistem akan terus meminta user untuk mengisi password sampai benar. Akibatnya, user yang tidak berwenang dapat terus mencoba untuk login ke dalam sistem sampai ditemukan password sebenarnya. Jika password berhasil diketahui, maka keamanan data dan sistem akan terancam oleh pihak yang tidak bewenang dan dapat merugikan pihak bengkel. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa hak akses diperiksa secara berkala untuk memastikan orang yang menggunakan sistem adalah orang yang memiliki hak akses dan disesuaikan dengan
kebutuhan
user
dan
organisasi.
Oleh
karena
itu,
penulis
merekomendasikan untuk memperbaiki sistem agar pengisian password maksimal enam kali kesalahan. Jika pengisian dilakukan lebih dari enam kali kesalahan, maka password user akan di block dan harus meminta otorisasi dari staff IT agar dapat login kembali. Temuan ketiga yang diperoleh penulis, yaitu tidak terdapat peringatan dari sistem untuk selalu mengingatkan user mengubah passwordnya secara berkala. Akibatnya, ada kemungkinan password telah diketahui oleh pihak yang tidak berwenang. Sehingga terjadinya penyalahgunaan password oleh pihak yang tidak berwenang.
90 Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa hak akses diperiksa secara berkala untuk memastikan orang yang menggunakan sistem adalah orang yang memiliki hak akses dan disesuaikan dengan kebutuhan user dan organisasi. Dalam manajemen password atau kebijakan pengendalian akses menyebutkan adanya perubahan password secara berkala. Oleh karena itu, penulis merekomendasikan agar melakukan perbaikan pada sistem, dimana sistem harus selalu mengingatkan user untuk selalu mengubah password minimal setiap dua bulan sekali agar keamanan data dapat terjaga. Membuat prosedur dan kebijakan secara tertulis mengenai perubahan password secara rutin. Temuan keempat yang diperoleh penulis, yaitu adanya share password antar karyawan. Misalnya kasir dapat mengakses dan memodifikasi data pengeluaran spare parts service, yang seharusnya merupakan wewenang staff spare parts. Akibatnya, karyawan yang tidak memiliki hak akses atau wewenang terhadap sistem, dapat menggunakan sistem di luar wewenangnya. Sehingga adanya kemungkinan data dicuri atau dimanfaatkan dan dimodifikasi oleh pihak yang tidak berwenang, serta sulit untuk melacak hal tersebut. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa validitas identitas user terhadap sistem ditetapkan. Memastikan adanya prosedur yang tidak mengenal adanya share ID. Oleh karena itu, penulis merekomendasikan agar adanya kebijakan atau prosedur secara tertulis tentang pentingnya kerahasiaan password. Adanya pemahaman dan peringatan yang jelas kepada karyawan agar dapat menjaga kerahasiaan password dan tidak
91 memberitahukannya kepada orang lain, serta melakukan perubahan password secara berkala. Temuan kelima yang diperoleh penulis, yaitu tidak terdapat sistem log out secara otomatis (session) jika sistem tidak digunakan selama beberapa waktu. Sistem akan terus stand by jika user tidak me-log out sistem. Dan pada saat
penulis
melakukan
observasi
pada
bengkel,
karyawan
sering
meninggalkan komputer yang belum ter-log out tanpa pengawasan. Akibatnya, orang yang tidak memiliki hak akses dapat mengakses data, melihat data, melakukan modifikasi ataupun mencuri data. Sehingga adanya kemungkinan terjadinya manipulasi data dan kecurangan. Tindakan tersebut dapat menyebabkan kerugian bagi pihak bengkel. Hal ini tidak sesuai dengan standar CoBIT yang menyatakan bahwa hak akses harus diperiksa secara berkala untuk memastikan orang yang menggunakan sistem adalah orang yang memiliki hak akses dan disesuaikan dengan kebutuhan user dan organisasi. Dalam manajemen password atau kebijakan pengendalian akses menyebutkan adanya sistem log out terhadap sistem yang tidak digunakan beberapa waktu. Oleh karena itu, penulis merekomendasikan agar melakukan perubahan pada sistem Flex Accounting Software, dengan membuat sistem yang dapat melakukan sistem log out secara otomatis. Jika sistem tidak digunakan dalam waktu 10 menit, maka user harus mengulang prosedur login.
92 4.2
Penilaian Risiko dan Pengendalian pada Pengendalian Umum dan Pengendalian Aplikasi Berdasarkan hasil dari matriks penilaian risiko dan pengendalian, dapat diketahui bahwa temuan-tenuan yang ada masih memiliki risiko-risiko yang tinggi dan rendah, walaupun telah ada pengendalian dari pihak bengkel untuk mengatasi masalah-masalah yang mungkin timbul pada lingkungan bengkel. Metode penetapan penilaian risiko dan pengendalian ini didasari oleh teori Pickett yang dinyatakan dalam bukunya yang berjudul The Essential Handbook of Internal Auditor yang sebagian dari essensi buku ini juga diperkuat oleh Thomas R. Peltier dalam bukunya yang berjudul Information Security Risk Analysis. Untuk lebih jelasnya, dapat dilihat pada Bab 2 Landasan Teori (Teori Penetapan Resiko) dan Lampiran III Matriks Penilaian Risiko dan Pengendalian.
4.2.2
Penilaian Risiko dan Pengendalian pada Pengendalian Umum
4.2.2.1 Pengendalian Manajemen Operasional Pada temuan pertama, yaitu tidak terdapat pengawasan terhadap penggunaan komputer dan pengaksesan sistem dalam ruangan komputer, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -2, maka nilai risiko adalah 6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Pengendalian terhadap temuan, yaitu adanya proses identifikasi dan autentifikasi untuk login ke dalam sistem, serta disediakan sebuah komputer yang dapat digunakan oleh seluruh karyawan bengkel, memiliki nilai design 2 dan effectiveness 2, maka nilai control adalah 4. Artinya nilai pengendalian dari efektivitas dan desain adalah sedang. Hasil akumulasi antara risiko dan pengendalian adalah -2, maka
93 pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Pada temuan kedua, yaitu maintenance terhadap hardware tidak dilakukan secara berkala, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu maintenance akan dilakukan oleh staff IT jika ada keluhan dari karyawan bahwa hardware bermasalah atau rusak, memiliki nilai design 1 dan effectiveness 1, maka nilai control adalah 1. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -2, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Pada temuan ketiga, tidak terdapat pemeriksaan secara berkala terhadap server dan jaringan, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu pemeriksaan terhadap server dan jaringan akan dilakukan jika adanya keluhan dari karyawan, memiliki nilai design 1 dan effectiveness 1, maka nilai control adalah 1. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -2, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Dari hasil penilaian risiko dan pengendalian terhadap temuan pada pengendalian manajemen operasional, dapat disimpulkan bahwa pengendalian yang ada tidak dapat sepenuhnya mengatasi risiko yang ada namun tingkat risiko
94 berada pada level yang masih dapat diterima. Oleh karena itu, perlu dilakukan pengawasan secara berkelanjutan terhadap pengendalian dan risiko agar tingkat risiko tidak meningkat.
4.2.2.2 Pengendalian Manajemen Keamanan Pada temuan pertama, tidak terdapat antivirus dan update antivirus, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1 maka nilai risiko adalah -3 Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu komputer yang ada di bengkel hanya dapat menggunakan floppy disk untuk menyimpan data, tidak ada CD-R dan tidak dapat menggunakan USB, memiliki nilai design 2 dan effectiveness 2, maka nilai control adalah 4. Artinya nilai pengendalian dari efektivitas dan desain adalah sedang. Hasil akumulasi antara risiko dan pengendalian adalah 1, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah baik. Pada temuan kedua, tidak terdapat alat pemadam kebakaran otomatis dan alat pendekteksi asap, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu tersedianya alat pemadam kebakaran manual (hand-held fire extinguisher), memiliki nilai design 1 dan effectiveness 1, maka nilai control adalah 1. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -2, maka tingkat risiko dan pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah.
95 Pada temuan ketiga, tidak terdapat asuransi terhadap semua aset bengkel, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu adanya petugas security, penggunaan kamera pada pintu masuk gedung, alat pemadam kebakaran manual (hand-held fire extinguisher), alarm kebakaran, dan penguncian pintu tempat penyimpanan aset bengkel, memiliki nilai design 1 dan effectiveness 2, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -1, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Dari hasil penilaian risiko dan pengendalian terhadap temuan pada pengendalian manajemen keamanan, dapat disimpulkan bahwa pengendalian yang ada tidak dapat sepenuhnya mengatasi risiko yang ada namun tingkat risiko berada pada level yang masih dapat diterima. Oleh karena itu, perlu dilakukan pengawasan secara berkelanjutan terhadap pengendalian dan risiko agar tingkat risiko tidak meningkat, terutama pada temuan kedua.
4.2.3
Penilaian Risiko dan Pengendalian pada Pengendalian Aplikasi
4.2.3.1 Pengendalian Input Pada temuan pertama, tidak terdapat update secara periodik pada database bengkel, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) 1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu tersedianya hardisk dalam capacity yang besar dan back up data berupa hardcopy terdapat pada gudang arsip,
96 memiliki nilai design 1 dan effectiveness 2, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -1, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Pada temuan kedua, tidak terdapat help facility untuk membantu user dalam menginput data, memiliki nilai impact (dampak) -2 dan likelihood (keterjadian) -1, maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah rendah. Pengendalian terhadap temuan, yaitu terdapat buku user manual dan pelatihan penggunaan sistem sesuai dengan tugas dan wewenangnya pada saat karyawan diterima bekerja di bengkel, memiliki nilai design 2 dan effectiveness 2, maka nilai control adalah 4. Artinya nilai pengendalian dari efektivitas dan desain adalah sedang. Hasil akumulasi antara risiko dan pengendalian adalah 2, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah baik. Dari hasil penilaian risiko dan pengendalian terhadap temuan pada pengendalian input, dapat disimpulkan bahwa pengendalian yang ada dapat sepenuhnya diandalkan untuk mengatasi risiko yang ada.
4.2.3.2 Pengendalian Output Pada temuan, adanya informasi dan laporan yang tidak akurat, masih terdapat perbedaan hasil perhitungan output dari sistem dengan perhitungan manual, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -3, maka nilai risiko adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Pengendalian terhadap temuan, yaitu adanya rekonsiliasi terhadap hasil
97 perhitungan output dari sistem dengan perhitungan manual oleh kasir dan bagian akuntansi pada saat akan membuat laporan., memiliki nilai design 2 dan effectiveness 2, maka nilai control adalah 4. Artinya nilai pengendalian dari efektivitas dan desain adalah sedang. Hasil akumulasi antara risiko dan pengendalian adalah -5, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko sedang. Dari hasil penilaian risiko dan pengendalian terhadap temuan pada pengendalian output, dapat disimpulkan bahwa tingkat risiko cukup signifikan sehingga sebaiknya perlu dilakukan peningkatan pengendalian.
4.2.3.3 Pengendalian Boundary Pada temuan pertama, tidak terdapat peringatan secara otomatis jika ada pengguna sistem yang sah tetapi mencoba mendapatkan sumber daya sistem yang berada di luar lingkup kerjanya, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu karyawan hanya dapat mengakses sistem sesuai dengan tugas dan wewenangnya, memiliki nilai design 2 dan effectiveness 2, maka nilai control adalah 4. Artinya nilai pengendalian dari efektivitas dan desain adalah sedang. Hasil akumulasi antara risiko dan pengendalian adalah 1, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah baik. Pada temuan kedua, tidak terdapat batasan maksimal kesalahan dalam pengisian password, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -1, maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan
98 keterjadian adalah sedang. Pengendalian terhadap temuan, yaitu sistem akan terus meminta user untuk mengisi password sampai benar, memiliki nilai design 1 dan effectiveness 2, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -1, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko rendah. Pada temuan ketiga, tidak terdapat peringatan dari sistem untuk selalu mengingatkan user mengubah passwordnya secara berkala, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -2, maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Pengendalian terhadap temuan, yaitu user dapat mengubah password sesuai keinginan kapan saja dan perubahan tersebut akan diketahui oleh staff IT, memiliki nilai design 2 dan effectiveness 1, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -4, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko sedang. Pada temuan keempat, adanya share password antar karyawan, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -3, maka nilai risiko adalah 9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Pengendalian terhadap temuan, yaitu setiap staff yang memiliki pekerjaan yang saling berhubungan, bekerja pada ruangan yang berbeda dan letaknya tidak berdekatan, memiliki nilai design 2 dan effectiveness 1, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi
99 antara risiko dan pengendalian adalah -7, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko tinggi. Pada temuan kelima, tidak terdapat sistem log out secara otomatis (session) jika sistem tidak digunakan selama beberapa waktu. Sistem akan terus stand by jika user tidak me-log out sistem, memiliki nilai impact (dampak) -3 dan likelihood (keterjadian) -2, maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. Pengendalian terhadap temuan, yaitu pada saat meninggalkan komputer karyawan akan me-log out sistem terlebih dahulu, memiliki nilai design 1 dan effectiveness 2, maka nilai control adalah 2. Artinya nilai pengendalian dari efektivitas dan desain adalah rendah. Hasil akumulasi antara risiko dan pengendalian adalah -4, maka pengendalian yang telah dilakukan oleh pihak bengkel adalah buruk, dengan tingkat risiko sedang. Dari hasil penilaian risiko dan pengendalian terhadap temuan pada pengendalian boundary, dapat disimpulkan bahwa pengendalian yang ada tidak dapat sepenuhnya mengatasi risiko yang ada. Oleh karena itu, perlu dilakukan pengawasan secara berkelanjutan terhadap pengendalian dan risiko agar tingkat risiko tidak meningkat. Terutama pada temuan keempat, pengendalian harus segera ditingkatkan atau dirubah untuk mengendalikan dan mencegah terjadinya risiko yang lebih besar.
4.3
Pengujian Substantif Pengujian substantif dimaksudkan untuk menguji kesalahan atau ketidakberesan dalam nilai kuantitas yang secara langsung mempengaruhi kebenaran saldo-saldo dalam laporan keuangan. Penulis melakukan pengujian substantif untuk
100 memastikan apakah perhitungan di dalam dokumen telah benar. Dokumen tersebut dapat dilihat di lampiran IV Invoice dan Pemakaian Suku Cadang. No
Qty
Price
Disc %
Pada Dokumen Invoice 1. 1 40.000 20 2.
1
100.000
20
Total Hitung
Total pada Dokumen
Hasil Uji
32.000
32.000
80.000
80.000
Benar, tidak ada kesalahan hitung Benar, tidak ada kesalahan hitung
Pada Dokumen Pemakaian Suku Cadang 3. 4 44.000 176.000
176.000
4.
3
15.000
-
45.000
45.000
5.
4
30.000
-
120.000
120.000
Total Yang Harus Dibayar
453.000
453.000
Benar, tidak ada kesalahan hitung Benar, tidak ada kesalahan hitung Benar, tidak ada kesalahan hitung Benar, tidak ada kesalahan hitung pada dokumen.
Tabel 4.1 Pengujian Perhitungan Dokumen
Berdasarkan hasil perhitungan antara dokumen yang dihasilkan dari sistem dengan perhitungan manual, maka diperoleh hasil bahwa tidak terdapat perbedaan hasil perhitungan. Penulis melakukan pengujian substantif untuk lebih memastikan lagi bahwa tidak ada kesalahan dalam perhitungan. Pengujian substantif dilakukan dengan cara : Qty
x
Price
x
Disc (%)
=
Total Hitung. Hasil
penjumlahan tersebut kemudian dicocokkan dengan jumlah yang tercantum pada dokumen. Jika hasil perhitungan sama, berarti tidak ada kesalahan dalam perhitungan. Jika hasil perhitungan tidak sama, berarti masih terdapat kesalahan dalam perhitungan. Dari hasil pengujian substantif yang telah dilakukan oleh penulis diperoleh hasil sebesar 453.000, yang berarti bahwa tidak ada kesalahan hitung pada dokumen. Jumlah yang diinput sama dengan jumlah output yang dihasilkan. Karena adanya keterbatasan ruang lingkup evaluasi yang diberikan oleh pihak bengkel,
101 maka penulis tidak dapat melakukan pengujian subtantif pada laporan pendapatan bengkel dan berbagai laporan keuangan bengkel.
4.4
Laporan Audit Laporan hasil evaluasi pada pengendalian sistem informasi pelayanan
Bengkel GAC Auto Service adalah sebagai berikut : Kepada
: PT Graha Star Auto Center (GSAC)
Perihal
: Laporan hasil evaluasi terhadap pengendalian sistem informasi pelayanan bengkel GAC Auto Service
Periode
: September 2006 sampai dengan Januari 2007
Laporan Hasil Evaluasi Terhadap Pengendalian Sistem Informasi Pelayanan Bengkel GAC Auto Service
Oleh : Erina Melani
Januari 2007
102 I . Tujuan Tujuan dari kegiatan evaluasi ini adalah : 1. Mengidentifikasi sistem informasi pelayanan yang sedang berjalan pada bengkel GAC Auto Service. 2. Memastikan sistem yang sedang berjalan memiliki sistem pengendalian yang baik, terutama pada pengendalian umum dan pengendalian aplikasi, yang menunjang pelaksanaan kegiatan operasional bengkel GAC Auto Service untuk memperkecil risiko kesalahan operasional, khususnya pengendalian yang berhubungan dengan sistem informasi pelayanan. 3. Memberikan rekomendasi untuk kelemahan-kelemahan yang mungkin ditemukan kepada direktur PT GSAC selaku pemilik bengkel GAC Auto Service untuk memperbaiki pengendalian sistem informasi yang sedang berjalan.
II. Ruang Lingkup Ruang lingkup kegiatan evaluasi ini di fokuskan pada : -
Pelaksanaan evaluasi dilakukan pada pelayanan jasa perawatan dan perbaikan untuk mobil umum pada bengkel GAC Auto Service cabang Kelapa Gading.
-
Evaluasi dilakukan terhadap sistem informasi pelayanan kepada pelanggan. Dimulai dari masuknya mobil pelanggan ke bengkel, dibuatnya form Work Order, penginputan Pengeluaran Spare Parts Service sampai pada selesainya perbaikan mobil pelanggan dengan melakukan penutupan Work Order Service, pencetakan Invoice dan Pemakaian Suku Cadang.
103 -
Evaluasi terfokus pada pengendalian manajemen umum (General Control) yang mencakup pengendalian manajemen operasional dan pengendalian manajemen keamanan, serta pengendalian aplikasi (Application Control) yang mencakup pengendalian boundary, pengendalian input, dan pengendalian output.
III. Metode Penelitian Metode penelitian yang di gunakan adalah : 1. Studi Kepustakaan (Library Research) 2. Studi Lapangan (Field Research) a.
Pengamatan (Observasi )
b.
Wawancara (Interview)
IV. Hasil Evaluasi A.
Pengendalian Umum (General Control) 1. Temuan dan rekomendasi terhadap Pengendalian Manajemen Operasional Temuan : Tidak terdapat pengawasan terhadap penggunaan komputer dan pengaksesan sistem dalam ruangan komputer. Rekomendasi : Sebaiknya orang-orang yang dapat masuk ke dalam ruang komputer dibatasi. Pihak yang tidak berkepentingan dilarang masuk ke dalam ruang komputer dan ruang komputer harus dikunci. Komputer server dengan komputer lain dalam bengkel diletakkan terpisah, dimana komputer server hanya dapat diakses oleh orang yang memiliki wewenang. Selain itu, komputer yang dapat digunakan
104 bersama-sama oleh seluruh karyawan dipisahkan dengan komputer yang terbatas hak aksesnya (komputer yang digunakan oleh kepala bengkel, service advisor, kasir dan staff spare parts). Temuan : Maintenance terhadap hardware tidak dilakukan secara berkala. Maintenance akan dilakukan jika hardware tersebut rusak atau bermasalah. Rekomendasi : Membuat prosedur dan kebijakan untuk melakukan maintenance secara rutin minimal enam bulan sekali. Sehingga jika terdapat kerusakan ringan pada hardware dapat segera diatasi dan kegiatan operasional bengkel dapat berjalan dengan baik. Temuan : Tidak terdapat pemeriksaan secara berkala terhadap server dan jaringan. Rekomendasi : Adanya prosedur dan kebijakan untuk melakukan pemeriksaan terhadap server dan jaringan secara berkala minimal sebulan sekali oleh staff IT untuk mencegah gangguan atau kerusakan pada server dan jaringan.
2. Temuan dan rekomendasi terhadap Pengendalian Manajemen Keamanan Temuan : Tidak terdapat antivirus dan update antivirus. Rekomendasi : Menggunakan antivirus dan melakukan update antivirus secara rutin minimal dua minggu sekali.
105 Temuan : Tidak terdapat alat pemadam kebakaran otomatis dan alat pendekteksi asap. Alat pemadam kebakaran yang tersedia di bengkel hanya berupa alat pemadam kebakaran manual (hand-held fire extinguisher). Rekomendasi : Selain tersedianya alat pemadam kebakaran manual (hand-held fire extinguisher), bengkel juga perlu memasang alat pendeteksi asap dan alat pemadam kebakaran otomatis untuk menjaga aset bengkel. Selain itu, diberikan pencantuman peringatan “dilarang merokok” pada tempat strategis dalam bengkel, karena di dalam bengkel banyak barang yang mudah terbakar. Temuan : Tidak terdapat asuransi terhadap semua aset bengkel. Rekomendasi : Sebaiknya pemilik bengkel mengasuransikan semua aset yang ada di bengkel untuk berjaga-jaga terhadap kejadian yang tidak diinginkan.
B.
Pengendalian Aplikasi (Application Control) 1. Temuan dan rekomendasi terhadap Pengendalian Input Temuan : Tidak terdapat update secara periodik pada database bengkel. Rekomendasi : Adanya peng-update-an pada database bengkel secara rutin minimal sebulan sekali. Setiap data yang tidak digunakan dapat dipindahkan ke dalam floppy disk atau CD-R sebagai arsip atau back up.
106 Temuan : Tidak terdapat help facility untuk membantu user dalam menginput data. Rekomendasi : Adanya help facility pada Flex Accounting Software agar pengerjaan input data menjadi lebih mudah dan cepat.
2. Temuan dan rekomendasi terhadap Pengendalian Output Temuan : Adanya informasi yang tidak akurat, masih terdapat perbedaan antara hasil perhitungan output dari sistem dengan perhitungan manual. Rekomendasi : Memperbaiki sistem agar perbedaan antara perhitungan sistem dengan manual tidak terjadi lagi, memastikan user menginput data dengan benar, melakukan pemeriksaan (audit) untuk mengetahui apakah ada manipulasi transaksi oleh karyawan.
3. Temuan dan rekomendasi terhadap Pengendalian Boundary Temuan : Tidak terdapat peringatan secara otomatis jika ada pengguna sistem yang sah tetapi mencoba mendapatkan sumber daya sistem yang berada di luar lingkup kerjanya. Rekomendasi : Memperbaiki sistem server agar dapat memberikan peringatan jika ada pengguna sistem yang sah tetapi mencoba mendapatkan sumber daya sistem
107 yang berada di luar lingkup kerjanya. Dan menggunakan log akses terhadap sistem. Temuan : Tidak terdapat batasan maksimal kesalahan dalam pengisian password. Rekomendasi : Memperbaiki sistem agar pengisian password maksimal enam kali kesalahan. Jika pengisian dilakukan lebih dari enam kali kesalahan, maka password user akan di block dan harus meminta otorisasi dari staff IT agar dapat login kembali. Temuan : Tidak terdapat peringatan dari sistem untuk selalu mengingatkan user mengubah passwordnya secara berkala. Rekomendasi : Melakukan perbaikan pada sistem, dimana sistem harus selalu mengingatkan user untuk selalu mengubah password minimal setiap dua bulan sekali agar keamanan data dapat terjaga. Membuat prosedur dan kebijakan secara tertulis mengenai perubahan password secara rutin. Temuan : Adanya share password antar karyawan. Rekomendasi : Adanya kebijakan atau prosedur secara tertulis tentang pentingnya kerahasiaan password, serta adanya perubahan password secara berkala. Temuan :
108 Tidak terdapat sistem log out secara otomatis (session) jika sistem tidak digunakan selama beberapa waktu. Sistem akan terus stand by jika user tidak me-log out sistem. Rekomendasi : Melakukan perubahan pada sistem, membuat sistem yang dapat melakukan sistem log out secara otomatis jika sistem tidak digunakan dalam waktu 10 menit, maka user harus mengulang prosedur login.
V. Simpulan Berdasarkan analisa terhadap pengendalian sistem informasi pelayanan pada bengkel GAC Auto Service, maka dapat disimpulkan bahwa pengendalian yang sedang berjalan terutama pengendalian yang telah di evaluasi oleh penulis yaitu Pengendalian Manajemen Operasional, Pengendalian Manajemen Keamanan, Pengendalian Input, Pengendalian Output dan Pengendalian Boundary telah berjalan dengan baik. Namun, masih terdapat beberapa temuan audit atau risiko pada beberapa pengendalian yang perlu lebih diperhatikan terutama pada Pengendalian Manajemen Operasional, Pengendalian Output dan Pengendalian Boundary.