BAB 4 HASIL AUDIT SISTEM INFORMASI
4.1
Perencanaan Audit Perencanaan audit dimaksudkan agar dapat meringankan kerja audit dari segi biaya, waktu, dan penganalisaan atas bukti-bukti atau informasi yang memadai dan cukup dan agar menjadi lebih tajam dan tepat guna untuk menyimpulkan tingkat keefektifan pengendalian-pengendalian Sistem Informasi Aplikasi General Ledger. Tahap perencanaan audit meliputi: 1.
Penentuan ruang lingkup dan persiapan audit lapangan. Penentuan ruang lingkup Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen keamanan (security management controls). Sedangkan pengendalian aplikasi terbatas pada pengendalian batasan (boundary controls), pengendalian masukan (input controls), pengendalian keluaran (output controls), dan pengendalian basis data (database controls).
Persiapan audit lapangan Menetapkan langkah-langkah persiapan audit di lapangan, yang meliputi kegiatan sebagai berikut:
87
88 a. Survei dilakukan dalam kurun waktu 6 bulan berturut-turut, dari bulan Agustus 2006 sampai Januari 2007. b. Tim audit terdiri dari 3 (tiga) orang. c. Penetapan metode kerja secara profesional dan independent. d. Sebelum pelaksanaan audit, dilakukan pengajuan propasal ke PT. Volensa Indonesia, setelah disetujui PT. Volensa Indonesia memberikan surat keterangan survei sebagai surat sah bahwa tim audit selaku auditor diterima untuk melakukan survei di PT. Volensa Indonesia. e. Penelitian lapangan yang
meliputi observasi, wawancara,
kuesioner, testing aplikasi dan studi dokumentasi dilakukan di bagian akuntansi, keuangan, admin penjualan, dan admin pembelian di lantai 2, PT. Volensa Indonesia.
2. Tujuan audit Adapun maksud dan tujuan dari penulisan skripsi ini antara lain untuk: a. Memastikan pengendalian-pengendalian yang sudah ada mampu meningkatkan keamanan aset-aset perusahaan. b. Memastikan laporan keuangan telah disajikan dengan cepat, tepat dan akurat. c. Meningkatkan efesiensi dan efektifitas sistem dalam perusahaan.
89 4.2
Instrumen Pengumpulan Bukti Audit Pengumpulan bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit. Bukti-bukti dikumpulkan dengan berbagai cara antara lain: 1. Observasi Penulis melakukan pengamatan dengan mengunjungi bagian akuntansi untuk mendapatkan gambaran umum tentang sistem informasi akuntansi pada PT. Volensa Indenesia. Dengan mengamati setiap kegiatan yang dilakukan oleh fungsi-fungsi terkait, dapat diketahui bagaimana prosedur yang sedang berjalan dan sistem pengendalian intern, apakah sistem pengendalian intern telah diterapkan dengan baik oleh petugas yang berwenang atau tidak? 2. Wawancara Tim audit melakukan wawancara secara lisan dengan fungsi-fungsi yang terkait untuk memperoleh gambaran secara rinci mengenai kegiatan operasional sistem informasi aplikasi general ledger. Pertanyaan yang ditanyakan adalah seputar prosedur dan tata laksana sistem informasi aplikasi general ledger yang dijalankan. Selain itu, penulis juga melakukan wawancara dengan manajer operasional dan supervisor bagian akuntansi. Dari jawaban-jawaban yang diperoleh, penulis mengumpulkan bukti-bukti untuk membuat kesimpulan dan memberikan rekomendasi untuk tindakan perbaikan 3. Kuesioner Kuesioner yang dibagikan berupa kuesioner sederhana yang berisi pertanyaan untuk mengevaluasi dan menguji setiap segmentasi
90 pengendalian umum dan aplikasi terhadap sistem informasi aplikasi general ledger. Tabel kuesioner terdiri dari 4 (empat) kolom, yaitu : a. Kolom nomor urut pertanyaan. b. Kolom pertanyaan atas segmen pengendalian. c. Kolom jawaban ya. d. Kolom jawaban tidak. 4. Testing aplikasi Dengan melakukan pengujian langsung terhadap sistem informasi aplikasi general ledger. 5. Studi dokumentasi Studi dokumentasi dilakukan untuk mendukung dalam pengevaluasian pengendalian aplikasi untuk segmen pengendalian masukan (Input Controls) dan pengendalian keluaran (Output Controls).
91 4.3
Program Kerja Audit dan Pelaksanaan Audit
4.3.1 Pengendalian
Manajemen
Keamanan
(Management
Security
Controls)
PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi Pengendalian Manajemen keamanan No. 1.
2.
(Security Management Controls)
Objek Audit
Instrumen
Lakukan pengecekan user protection
Setiap komputer
Testing
dengan menggunakan password pada
pada PT. Volensa
Kuesioner
setiap komputer yang ada.
Indonesia.
Wawancara
Lakukan peninjauan terhadap
Setiap ruangan
Observasi
keberadaan alarm, dry-pipe automatic
pada PT. Volensa
Kuesioner
sprinkler, hydrant, dan tabung pemadam
Indonesia
Wawancara
Dapatkan informasi apakah pengecekan
PT. Volensa
Kuesioner
alat pemadam kebakaran dilakukan
Indonesia
Wawancara
Lakukan peninjauan terhadap ruangan
Ruang
Observasi
penyimpanan data dan sistem informasi.
penyimpanan data Kuesioner
kebakaran. 3.
secara periodik. 4.
dan sistem informasi PT.
Wawancara
92 Volensa Indonesia 5.
6.
Lakukan peninjauan apakah peralatan
Setiap ruangan
Observasi
hardware yang selesai digunakan
pada PT. Volensa
Kuesioner
ditutup dengan bahan yang tahan air.
Indonesia
Lakukan peninjauan apakah perusahaan
PT. Volensa
Observasi
menggunakan UPS dan generator untuk
Indonesia
Kuesioner
Lakukan peninjauan apakah perusahaan
PT. Volensa
Observasi
menggunakan stabilizer untuk
Indonesia.
Kuesioner
Ruang
Kuesioner
mengantisipasi gangguan arus listrik. 7.
mengantisipasi gangguan tegangan listrik. 8.
Dapatkan informasi apakah ada
pembatasan akses masuk keruangan data penyimpanan
9.
hanya pada karyawan tertentu.
data.
Dapatkan informasi apa terdapat
PT. Volensa
Observasi
penempatan penjaga pada PT. Volensa
Indonesia.
Kuesioner
Dapatkan informasi apakah setiap
Setiap komputer
Kuesioner
komputer telah dilakukan scan virus
pada PT. Volensa
Wawancara
secara rutin
Indonesia.
Indonesia. 10.
11.
Dapatkan informasi apakah kabel-kabel PT. Volensa dan penghantar listrik dilapisi dengan Indonesia.
Kuesioner
93 bahan yang tidak mudah terbakar.
Tabel 4.1 Program Kerja Audit Pengendalian Manajemen Keamanan
Tujuan Tujuan dilakukannya audit atas pengendalian manajemen keamanan (security management controls) adalah: 1. Memastkan aset sistem informasi aman, dengan pengadaan password, anti virus, scan virus, serta alat-alat pemadam kebakaran, penempatan penjaga, dan lain sebagainya.
Kriteria Standar Kriteria standar yang harus ada untuk pengendalian manajemen keamanan (security management controls), yaitu : 1. Perlengkapan kebakaran terdiri dari tabung pemadam kebakaran yang diletakkan di lokasi yang mudah diambil, alarm kebakaran yang mudah dilihat, dry-pipe automatic sprinkler dan hydrant yang dipasang disemua gedung. 2. Pencegahan kebakaran akibat tegangan listrik, maka kabel-kabel dan penghantar listrik dilapisi dengan bahan yang tidak mudah terbakar. 3. Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.
94 4. Untuk mencegah ancaman banjir dan kerusakan karena air, ruang aset sistem informasi ditempatkan di lantai yang atas dan memiliki suhu yang cukup kering. 5. Pelaksanaan pengaman untuk mengantisipasi perubahan tegangan sumber energi yaitu menggunakan stabilizer ataupun UPS yang memadai yang mampu mengcover tegangan listrik yang tiba-tiba turun. 6. Penggunaan generator sebagai alternatif alat pembangkit tenaga listrik. 7. Menempatkan penjaga untuk mengantisipasi adanya penyusup. 8. Menggunakan program anti virus dan mengupdatenya secara rutin, melakukan scan file yang akan digunakan, serta memastikan back-up data bebas virus, dan penggunaan anti virus terhadap file yang terinfeksi. 9. Mengunakan
password
yang
sulit
untuk
ditebak
untuk
mengantisipasi hacker. 10. Mengasuransikan
peralatan,
fasilitas,
dokumen dan kertas yang berharga.
media
penyimpanan,
95 PELAKSANAAN AUDIT Kuesioner Pengendalian Manajemen Keamanan No.
PERTANYAAN
YA
1.
Apakah terdapat user protection dengan
√
menggunakan
password
pada
TIDAK
setiap
komputer yang ada? 2.
√
Apakah terdapat alarm kebakaran di lokasi yang strategis?
3.
Apakah
terdapat
dry-pipe
√
automatic
sprinkler disetiap ruangan? 4.
Apakah
terdapat
kebarakaran
di
tabung
tempat
pemadam
yang
√
mudah
dijangkau? 5.
√
Apakah terdapat hydrant dilokasi yang yang strategis?
6.
alat
√
Apakah ruang penyimpanan data dan
√
Apakah
dilakukan
pengecekan
pemadam kebakaran secara periodik? 7.
sistem informasi terletak pada tempat yang aman dari ancaman banjir? 8.
Apakah peralatan hardware yang selesai digunakan ditutup dengan bahan yang tahan air?
√
96 9.
√
Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber daya listrik?
10.
Apakah perusahaan menggunakan UPS sebagai
alat
penyimpan
arus
√
lisrik
sementara? 11.
Apakah
perusahaan
menggunakan
√
stabilizer untuk mengantisipasi gangguan tegangan listrik? 12.
Apakah terdapat AC di setiap ruangan
√
komputer? 13.
Apakah dilakukan perawatan AC secara
√
periodik sehingga suhu ruangan tetap stabil? 14.
sudah
√
Apakah perusahaan membatasi akses
√
Apakah
aset
perusahaan
diasuransikan? 15.
masuk keruangan data (akuntansi) hanya pada karyawan tertentu? 16.
Apakah ada penempatan penjaga untuk
√
mengantisipasi adanya penyusup? 17.
Apakah
setiap
komputer
softaware anti virus?
memiliki
√
97 18.
Apakah
anti
virus
diupdate
secara
√
periodik? 19.
√
Apakah dilakukan scan komputer secara periodik?
20.
Apakah dilakukan back up data secara
√
periodik? 21.
Apakah kabel-kabel dan penghantar listrik
√
dilapisi dengan bahan yang tidak mudah terbakar.
Tabel 4.2 Kuesioner Pengendalian Manajemen Keamanan
Wawancara 1.
Apakah terdapat user protection dengan menggunakan password pada setiap komputer yang ada? Jawaban: Ya, setiap karyawan dibuatkan username dan password sesuai dengan unit fungsi kerjanya.
2.
Apakah terdapat dry-pipe automatic sprinkler, hydrant atau pun tabung pemadam kebakaran yang berada pada lokasi yang strategis untuk melindungi aset perusahaan?
98 Jawaban: PT. Volensa Indonesia hanya memiliki tabung pemadam kebakaran yang diletakan pada tempat mudah dijangkau. 3.
Tindakan apa yang dilakukan untuk memastikan alat pemadam kebakaran berfungsi dengan baik? Jawaban: Dilakukan pengecekan terhadap alat pemadam kebakaran secara periodik yaitu 3 bulan sekali.
4.
Bagaimana pengamanan atau proteksi dilakukan terhadap data dan sistem informasi dari ancaman banjir? Jawaban: Komputer yang digunakan untuk mengolah transaksi-transasksi bisnis dan data-data berada di lantai 2.
5.
Bagaimana pengamanan atau proteksi dilakukan terhadap data-data dari ancaman serangan virus dan ancaman kehilangan data? Jawaban: Setiap komputer di lengkapi dengan program Anti Virus Norton 2006 yang di update 2 minggu sekali dan back up data 2 jam sekali.
Obsevasi 1.
Dari hasil pengamatan yang dilakukan, kami menemukan penggunaan tabung pemadam kebakaran yang diletakkan pada tempat yang mudah dijangkau.
99 2.
Dari hasil pengamatan yang dilakukan, komputer-komputer yang digunakan untuk mengolah transaksi-transaksi bisnis dan arsip-arsip lainnya berada dilantai 2.
3.
Dari hasil pengamatan yang dilakukan, kami menemukan bahwa setiap hardware yang selesai digunakan tidak ditutupi dengan plastik atau bahan tahan air lainnya.
4.
Dari hasil pengamatan yang dilakukan, kami tidak menemukan adanya penggunaan generator tetapi hanya UPS saja yang digunakan sebagai alat penyimpan tenaga listrik sementara.
5.
Dari hasil pengamatan yang dilakukan, kami menemukan penggunaan stabilizer pada setiap komputer.
6.
Dari hasil pengamatan yang dilakukan terhadap, PT. Volensa Indonesia menempatkan penjaga di pintu masuk utama.
100 Testing Aplikasi
Gambar 4.1 Tampilan Layar Login Akses
Gambar 4.2 Tampilan Layar Mengubah Password
101 Temuan Audit 1. Temuan Audit Positif a. Terdapat user protection berupa password disetiap komputer yang ada. b. Terdapat alat pemadam kebakaran manual di tempat-tempat yang mudah dijangkau. c. Pengecekan untuk memastikan alat pemadam kebakaran berfungsi dengan baik, dilakukan 3 bulan sekali. d. Ruangan penyimpanan data dan sistem informasi berada di lantai 2, untuk mengantisipasi ancaman banjir. e. PT. Volensa Indonesia menggunakan Uninterruptible power Supply (UPS) sebagai alat penyimpan sementara arus listrik. f. PT. Volensa Indonesia menggunakan stabilizer untuk menjaga kestabilan tegangan listrik. g. PT. Volensa Indonesia memberi batas akses masuk ke ruang data akuntasi hanya pada karyawan tertentu, yang telah mendapat otorisasi h. Terdapat penempatan penjaga selama 24 jam, untuk mengantisipasi adanya penyusup. i. Setiap komputer dilengkapi dengan program anti virus Norton 2006, yang di update secara periodik dalam kurun waktu 2 minggu sekali. j. Back up data dilakukan secara periodik dalam kurun waktu 2 jam sekali. k. Kabel-kabel dan penghantar listrik dilapisi dengan bahan yang tidak mudah terbakar.
102 2. Temuan Audit Negatif a. Tidak terdapat alarm pendeteksi kebakaran. b. Tidak terdapat dry pipe automatic sprinkler, dan hydrant. c. Tidak menggunakan generator sebagai alternatif alat pembangkit tenaga listrik d. Hardware yang ada pada PT. Volensa Indonesia tidak ditutup dengan bahan tahan air. e. Tidak dilakukan scan virus secara rutin.
Metrik Penilaian Resiko dan Pengendalian Nilai No
Resiko
Dampak Keterjadian
Pengendalian
Efektivitas
Resiko 1.
Akses yang tidak
-3
-1
-3
berwenang
Login akses (Password
Nilai
Jumlah
Pengendalian
Penilaian
Desain
3
3
9
6
3
1
3
0
2
3
6
4
3
2
6
0
dan User name), dan penempatan penjaga
2.
Kebakaran
-3
-1
-3
Alarm, sistem dry-pipe automatic sprinkler, hydrant dan tabung pemadam kebakaran
3.
Kerusakan aset
-2
-1
-2
AC, asuransi, penutupan hardware dengan bahan tahan air, dan penempatan hardware pada lokasi yang aman
4.
Listrik tidak stabil
-2
-3
-6
Adanya generator, UPS, dan stabiliser
103
5.
Virus
-3
-2
-6
Penggunaan anti-virus
3
2
6
0
3
3
9
6
39
16
yang up to date dan scan virus
6.
Kehilangan data
Jumlah
-3
-1
-3
Back up data
-23
Jumlah
Tabel 4.3 Metrik Penilaian Resiko dan Pengendalian Manajemen Keamanan
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 16 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian manajemen keamanan (Security Management Controls) sistem informasi aplikasi general ledger adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resiko-resiko yang mungkin terjadi, baik resiko yang sering terjadi maupun yang jarang atau sama sekali tidak pernah terjadi.
104
Keterangan: Dampak -1
Dasar Estimasi Terhambatnya aktivitas rutin perusahaan kurang dari 24 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, penyalahgunan prosedur, dan lemahnya pengendalian intern.
-2
Terhambatnya aktivitas rutin perusahaan antara 24 – 48 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, kehilangan data, error pada software, penyalahgunan prosedur, dan lemahnya pengendalian intern.
-3
Terhentinya aktivitas rutin perusahaan lebih dari 48 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, kehilangan sumber daya manusia, kehilangan data, error pada software, penyalahgunaan prosedur, dan lemahnya pengendalian intern.
Tabel 4.4 Tabel Dasar Estimasi Dampak Resiko
105
Metrik Temuan Audit Pengendalian Manajemen Keamanan No.
Temuan Audit
Resiko
Rekomendasi
Pelaksana
Lama Pelaksanaan
1.
Tidak terdapat alarm,
Jika terjadi kebakaran tidak
Sebaiknya memasang alarm,
Bagian
dry pipe automatic
dapat segera diketahui, dan
dry pipe automatic sprinkler,
Operasional
sprinkler, dan hydrant.
pemadaman api memerlukan
dan hydrant sehingga dapat
waktu yang lama
mendeteksi kebakaran dan
3 bulan
menyebabkan penyebaran api memadamkan api
2.
meluas.
secepatnya.
Tidak menggunakan
Apabila terjadi pemadaman
Sebaiknya perusahaan
Bagian
generator sebagai
listrik secara mendadak
menggunakan generator
Operasional
alternatif alat
dalam jangka waktu yang
untuk mengantisipasi
pembangkit tenaga
lama maka perusahaan tidak
pemadaman listrik secara
listrik
dapat beroperasi.
mendadak, mengingat suplai
1 minggu
106
listrik Jakarta yang kurang. 3.
Hardware tidak ditutup
Kerusakan hardware
Sebaiknya menggunakan
Bagian
dengan bahan tahan air
menyebabkan data hilang
bahan tahan air untuk
operasional
terlebih jika kerusakan
menutupi hardware yang
terjadi pada harddisk dan
selesai digunakan misalnya
menambah pengeluaran
menggunakan plastik.
1 hari
biaya penggantian hardware yang cenderung tinggi. 4.
Tidak dilakukan scan
Kemungkinan komputer
Sebaiknya dilakukan scan
Bagian
virus secara rutin
terinfeksi virus tidak
virus secara rutin, misalnya
Operasional
terhadap komputer
diketahui sehingga kerusakan dengan melakukan setting data yang telah terjadi sulit
pada anti virus untuk
ditanggulangi.
melakukan scan 2 hari atau
1 hari
seminggu sekali. Tabel 4.5 Metrik Temuan Audit Pengendalian Manajemen Keamanan 107
108 4.3.2
Pengendalian Batasan (Boundary Controls)
PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi Pengendalian Batasan No. 1.
2.
Objek Audit
(Boundary Controls)
Instrumen
Lakukan pengecekan apakah sistem Sistem informasi
Testing
informasi aplikasi general ledger aplikasi general ledger
Kuesioner
dilengkapi dengan login akses.
Wawancara
Lakukan pengecekan apakah sistem Pada saat login ke
Testing
informasi aplikasi general ledger sistem informasi
Kuesioner
membatasi berapa digit panjang aplikasi general ledger
Wawancara
username dan password. 3.
Lakukan pengecekan apakah sistem Pada saat login ke
Testing
informasi aplikasi general ledger sistem informasi
Kuesioner
membatasi pengisian password bila aplikasi general ledger
Wawancara
terjadi kesalahan. 4.
Lakukan pengecekan apakah sistem Pada saat login ke
Testing
informasi aplikasi general ledger sistem informasi
Kuesioner
menampilkan error message bila aplikasi general ledger user salah mengisi password. 5.
Lakukan
pengecekan
apakah Pada saat login ke
password pada layar diganti menjadi sistem informasi
Testimg Kuesioner
109 simbol
(*)
atau
tidak
terlihat aplikasi general ledger
(invisible). 6.
Dapatkan informasi apakah dalam Pada saat login ke
Testing
penggunaan
Kuesioner
password
dilakukan sistem informasi
dengan kombinasi. 7.
8.
aplikasi general ledger
Wawancara
Dapatkan informasi apakah sistem Sistem informasi
Testing
informasi aplikasi general ledger aplikasi general ledger
Kuesioner
memiliki pembagian batasan akses.
Wawancara
Dapatkan
Kuesioner
informasi
apakah Sistem informasi
dilakukan penghapusan username aplikasi general ledger
Wawancara
dan password apabila ada karyawan yang
mengoperasikan
aplikasi
berhenti bekerja. 9.
Dapatkan informasi apakah sistem Sistem informasi
Testing
informasi aplikasi general ledger aplikasi general ledger
Kuesioner
merekam secara otomatis setiap
Wawancara
aktivitas yang dilakukan user untuk memudahkan audit trail. 10.
Dapatkan informasi tentang
Sistem informasi
enkripsi pada password dengan
aplikasi general ledger
cryptographic control
Tabel 4.6 Program Kerja Audit Pengendalian Batasan
Wawancara
110 Tujuan Tujuan dilakukannya audit atas pengendalian batasan (boundary controls) adalah: 1. Memastikan sistem informasi aplikasi general ledger diakses oleh orang-orang yang berwenang. 2. Memastikan adanya batasan-batasan terhadap kewenangan user dalam mengakses sistem informasi aplikasi general ledger. 3. Memastikan adanya error message jika terjadi kesalahan dalam penginputan data maupun dalam login awal. 4. Memastikan apakah sistem informasi aplikasi general ledger memiliki
ruang
lingkup
yang
jelas
(dokumen
inputnya,
sumbernya, tujuan pengelohan data, siapa penggunanya, dan siapa pemegang kewenangan).
Kriteria Standar Kriteria standar yang harus ada untuk pengendalian batasan (Boundary Controls), yaitu: 1. Menetapkan identitas dan kewenangan user sistem informasi aplikasi general ledger. 2. Membatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi.
111 3. Suatu sistem komputerisasi harus jelas ruang lingkupnya, apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa pemegang kewenangan.
PELAKSANAAN AUDIT Kuesioner Pengendalian Boundary No.
PERTANYAAN
YA
1.
Apakah terdapat login akses pada sistem
√
TIDAK
informasi aplikasi general ledger? 2.
√
Apakah terdapat ketentuan berapa digit panjang password?
3.
Apakah
terdapat
batas
√
pengisian
password bila terjadi kesalahan? 4.
Apakah terdapat error message bila user
√
salah mengisi password? 5.
Apakah tampilan password pada layar
√
diganti menjadi simbol (*) atau invisible 6.
Apakah dalam penggunaan password
√
dilakukan dengan kombinasi? 7.
Apakah perusahaan memiliki kebijakan
√
terhadap pembatasan akses data? 8.
Apakah
perusahaan
melakukan
penghapusan username dan password
√
112 secepatnya apabila ada karyawan yang mengoperasikan sistem aplikasi berhenti bekerja? 9.
Apakah setiap akses yang dilakukan
√
terhadap sistem direkam secara otomatis untuk memudahkan audit trail?
Tabel 4.7 Kuesioner Pengendalian Batasan
Wawancara 1. Apakah terdapat login akses sebelum masuk ke aplikasi general ledger? Jawaban: Ada, setiap user yang hendak menggunakan aplikasi general ledger harus mengisikan username dan password. 2. Bagaimana ketentuan yang diterapkan perusahaan mengenai penggunaan password dan login akses ? Jawaban: Aplikasi general ledger membatasi panjang username sebanyak 5 digit dan password sebanyak 10 digit tetapi perusahan tidak mengharuskan berapa digit username dan password yang diinput user. Tidak ada batasan pengisian password bila terjadi kesalahan penginputan. Aplikasi akan menampilan error message bila terjadi kesalahan penginputan password. Tampilan password yang di input diganti menjadi simbol (*) untuk menjaga kerahasiaan password. Penggunaan password juga bisa dilakukan dengan mengkombinasikan angka
113 atau huruf dan user bisa mengganti passwordnya kapan saja. Namun dalam aplikasi general ledger, password dalam database tidak dienkripsi. 3. Jika ada karyawan yang tidak bekerja lagi diperusahaan, apakah username dan passwordnya dihapus dari database? Jawaban: Ya, karyawan yang tidak bekerja lagi akan dihapus username dan passwordnya dari database sistem. 4. Apakah ada batasan akses pada setiap user? Jawaban: Ada, setiap user akan dibatasi aksesnya kedalam aplikasi oleh supervisor sesuai tugas dan tanggung jawaab. 5. Apakah aplikasi general ledger dapat merekam setiap aktivitas yang dilakukan user? Jawaban: Tidak, aplikasi general ledger tidak memiliki fasilitas yang dapat merekam aktivitas user. 6. Apakah password user dienkripsi (password user diacak otomatis oleh sistem)? Jika ya, teknik cryptographic (teknik mengacak password user) apa yang digunakan? a. Transposition Ciphers (misalnya ABC menjadi CBA) b. Substitution Ciphers (misalnya CDE menjadi ABC) c. Product Ciphers (misalnya FGH menjadi AHG) Jawaban: Tidak, sistem informasi aplikasi general ledger tidak melakukan enkripsi atas password yang ada di database.
114 Testing Aplikasi
Gambar 4.3 Tampilan Layar Konfirmasi Invalid Password
Gambar 4.4 Tampilan Layar Pembatasan Hak Akses
115 Temuan Audit 1. Temuan Audit Positif a. Sistem aplikasi General Ledger dilengkapi dengan login akses berupa user name dan password. b. Sistem aplikasi General Ledger membatasi panjang username dan password, masing-masing 5 digit dan 10 digit. c. Tampilan password di layar berupa simbol (*). d. Password yang digunakan dapat berupa kombinasi antara huruf dan angka. e. Jika user dalah memasukkan password atau username, maka akan keluar error message pada tampilan layar. f. Pengaksesan sistem aplikasi general ledger hanya dapat dilakukan oleh user yang berhak dan telah mendapat otorisasi, dimana otorisasi dan hak akses user ditentukan oleh supervisor sesuai dengan tugas dan tanggung jawab masing-masing. g. Sistem aplikasi Gerenal Ledger memiliki fitur user profile yang memungkinkan pengaturan privelleges user dalam mengakses sistem aplikasi. h. Setiap kali terjadi pemberhentian karyawan, maka secepatnya user name dan password karyawan akan dihapus dari database sistem aplikasi general ledger.
116 2. Temuan Audit Negatif a. Perusahaan tidak membatasi jumlah digit user name dan password yang digunakan. b. PT. Volensa Indonesia tidak memberikan batas kesalahan pengisian password atau user name dalam login akses. c. Sistem aplikasi general ledger tidak memiliki fasilitas untuk encryption untuk password pada database. d. Sistem aplikasi general ledger pada PT. Volensa Indonesia tidak memiliki fasilitas untuk merekam aktivitas user (audit trail).
Metrik Penilaian Resiko dan Pengendalian No
1.
Resiko
Akses
yang
Dampak Keterjadian
tidak
-3
-1
Nilai Resiko
-3
berwenang
Pengendalian
Login akses, password,
Efektivitas
3
Nilai
Jumlah
Pengendalian
Penilaian
3
0
3
0
Desain
1
dan management user
Jumlah
-3
Jumlah
Tabel 4.8 Metrik Penilaian Resiko dan Pengendalian Batasan
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 0 poin (standar), maka disimpulkan bahwa tingkat efektifitas pengendalian batasan (Boundary Controls) sistem informasi aplikasi general ledger adalah standar. Artinya, resiko yang ada dapat ditanggulangi secara optimal dengan pengendalian-pengendalian yang ada. Tidak terjadi kelebihan pengendalian ataupun kekurangan pengendalian.
117
Metrik Temuan Audit Pengendalian Batasan No.
Temuan Audit
Resiko
Rekomendasi
Pelaksana
Lamanya Pelaksanaan
1.
Tidak adanya batasan
Password yang terlalu pendek
Sebaiknya aplikasi
Developer
berapa digit panjang
memudahkan kode dipecahkan
menggunakan ketentuan 8 digit Aplikasi
password
dan password yang terlalu
untuk panjang password.
3 bulan
panjang akan sulit diingat. 2.
Tidak adanya batasan
Memberi peluang yang tidak
Sebaiknya sistem memberikan
Developer
jumlah penginputan
terbatas bagi pihak yang tidak
batas penginputan username
Aplikasi
username dan password
berkepentingan untuk mencoba dan password, misalnya mengakses sistem informasi
3 bulan
maksimal 3 kali.
aplikasi general ledger. 3.
Tidak adanya enkripsi
Memiliki tingkat resiko yang
Sebaiknya sistem database
Developer
terhadap password dalam
tinggi dan berbahaya bagi
yang digunakan dapat
Aplikasi
3 bulan
118
database
4.
sistem karena akan lebih
melakukan enkripsi terhadap
mudah dibobol oleh hacker.
password yang diinput.
Sistem tidak dapat
Apabila ada user melakukan
Sebaik perusahaan meminta
Developer
merekam aktivitas yang
kecurangan tidak dapat
tambahan modul program
Aplikasi
dilakukan user
diidentifikasi.
(audit trail) yang berfungsi
3 bulan
merekam aktivitas setiap user dari developer aplikasi general ledger tersebut.
Tabel 4.9 Metrik Temuan Audit Pengendalian Batasan
119
120 4.3.3
Pengendalian Masukan (Input Controls)
PROGRAM KERJA AUDIT Tahap Pengujian atas No.
Segmentasi
Objek Audit
Instrumen
Pengendalian Masukan (Input Controls) 1.
Dapatkan
informasi
mengenai Pada saat login ke Testing
otorisasi user yang melakukan sistem input.
aplikasi
informasi Kuesioner general Wawancara.
ledger. 2.
Dapatkan
informasi
mengenai Sistem informasi
metode input data.
aplikasi
Wawancara
general
ledger 3.
Dapatkan
informasi
tentang Staf PT. Volensa
Wawancara
dokumen apa saja yang digunakan Indonesia dalam penginputan. 3.
Dapatkan dokumen
informasi yang
memperoleh
akan
otorisasi
apakah Staf PT. Volensa
Kuesioner
diinput Indonesia
Studi
terlebih
dokumentasi
dahulu dari pihak yang berwenang. 4.
Dapatkan
informasi
dokumen
sumber,
mengenai Fungsi-fungsi yang apakah terkait.
Kuesioner Wawancara
121 dikumpulkan sebelum
terlebih
diinput
ke
dahulu dalam
komputer. 5.
Lakukan
pengecekan
apakah Sistem informasi
terdapat sistem validasi terhadap aplikasi input yang dimasukan. 6.
Lakukan
pengecekan
Testing
general Kuesioner
ledger terhadap Sistem informasi
sistem informasi aplikasi general aplikasi
Testing
general Wawancara
ledger, apakah dapat dilakukan ledger
Kuesioner
pengeditan, jika data terlanjur diupdate. 7.
8.
Lakukan tinjauan apakah fasilitas
Sistem informasi
menu cukup userfriendly bagi user
aplikasi
untuk melakukan penginputan.
ledger
Lakukan
pengecekan
general Kuesioner
terhadap Sistem informasi
sistem informasi aplikasi general aplikasi
Testing
Testing
general Kuesioner
ledger, apakah data yang diinput ledger bersifat case sensitive.
Tabel 4.10 Program Kerja Audit Pengendalian Masukan
122 Tujuan Tujuan dilakukannya audit atas pengendalian masukan (input controls) adalah: 1. Memastikan apakah terdapat pemisahan tugas user yang terotorisasi. 2. Mengecek tampilan, design warna, dan penggunaan bahasa pada layar sistem informasi aplikasi general ledger telah baik dan mudah dimengerti, termasuk adanya error message, menu konfirmasi, respon yang cepat, dan metode input. 3. Mendapatkan
informasi
mengenai
prosedur
persetujuan
penginputan data kedalam sistem informasi aplikasi general ledger. 4. Mengecek apakah fasilitas menu dalam sistem informasi aplikasi general ledger memenuhi kebutuhan user dan efektif dalam penggunaannya.
Kriteria Standar Adapun kriteria standar yang harus ada untuk Pengendalian Masukan (Input Controls ), yaitu : 1. Adanya pemisahan otoritas antar bagian. 2. Penggunaan bahasa, design warna, dan tampilan layar harus userfriendly. 3. Penyimpanan dokumen sumber berdasarkan periode dan jenis dokumen.
123 4. Efektivitas penggunaan menu-menu dalam sistem aplikasi. 5. Kontrol dokumen sumber (Source document controls). 6. Koreksi kesalahan input (Input error correction). 7. Kontrol Validasi (Validation controls).
PELAKSANAAN AUDIT Kuesioner Pengendalian Input No. 1.
PERTANYAAN Apakah
dokumen
yang
akan
YA diinput
TIDAK
√
memperoleh otorisasi terlebih dahulu dari pihak yang berwenang? 2.
√
Apakah dokumen sumber dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer?
3.
Apakah sistem melakukan validasi terhadap
√
input yang dimasukkan? Misalnya Kode Pelanggan. 4.
Apakah dapat dilakukan pengeditan, jika
√
terjadi kesalahan input tetapi update data telah dilakukan? 5.
Apakah
tampilan
input
bersifat
user
√
friendly? 6.
Apakah data yang diinput bersifat case
√
124 sensitive (berpengaruh terhadap huruf besar atau kecil)? 7.
Apakah penginputan data, hanya dilakukan
√
oleh karyawan yang berwenang? Misalnya data penjualan, pembelian. 8.
Apakah dilakukan pengecekan kembali
√
setelah melakukan pengentrian data?
Tabel 4.11 Kuesioner Pengendalian Masukan
Wawancara 1. Apakah metode input data yang dipakai perusahaan? Jawaban: PT. Volensa Indonesia menggunakan metode keyboarding dalam melakukan input data. 2. User menggunakan dokumen apa saja untuk menginput data kedalam sistem aplikasi? Jawaban: Dokumen yang digunakan adalah SO, PO, Payment voucher, dan summary of salary. 3. Siapa saja yang berhak melakukan input kedalam sistem informasi aplikasi general ledger?
125 Jawaban: Yang berhak melakukan input kedalam sistem informasi aplikasi general ledger adalah admin penjualan, admin pembelian, keuangan dan akuntansi. 4. Apakah dokumen sumber dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? Jawaban: Tidak, dokumen sumber diinput langsung begitu ada terjadinya transaksi. 5. Jika terjadi kesalaahan input tetapi update data telah dilakukan, apakah dapat dilakukan pengeditan? Jawaban: Bisa dilakukan pengeditan. Contoh bila terjadi transaksi penjualan maka bagian penjualan akan membuat SO dan setelah itu diupdate maka transaksi penjualan akan masuk ke batch file, kemudian melakukan posting yang berlanjut pada sales transasction. Apabila terjadi kesalahan pada SO maka sales transaction dan batch file harus dihapus terlebih dahulu, baru dapat dilakukan pengeditan pada SO yang sudah dibuat.
126 Testing Aplikasi
Gambar 4.5 Tampilan Layar Konfirmasi Penomoran Duplikasi Penomoran
Gambar 4.6 Tampilan Layar Sales Order
127 Temuan Audit 1. Temuan Positif a. Sistem aplikasi general ledger
membatasi user yang mendapat
otorisasi untuk melakukan input data, yaitu terbatas hanya bagian admin penjualan, admin pembelian, akuntansi dan keuangan. b. Metode input data yang digunakan pada sistem informasi aplikasi general ledger adalah metode keybording. c. Seluruh dokumen yang akan diinput telah mendapat otorisasi dari pihak yang berwenang. d. Penginputan data dilakukan ketika terjadi suatu transaksi. e. Dalam penginputan data, dokumen yang digunakan adalah sales order, purchase order, payment voucher dan summary of salary. f. Sistem informasi aplikasi general ledger akan melakukan validasi terhadap seluruh data yang diinput. g. Pada sistem informasi aplikasi general ledger dapat dilakukan pengeditan data kembali, meskipun data telah di update. h. Tampilan layar input pada sistem informasi aplikasi general ledger cukup userfriendly bagi user.
2. Temuan Negatif a. Pada sistem informasi aplikasi general ledger data tidak bersifat case sensitif atau tidak ada pengaruh terhadap besar kecil huruf.
Metrik Penilaian Resiko dan Pengendalian Nilai No
Resiko
Dampak
Keterjadian
Pengendalian
Efektivitas
Resiko 1
Input tidak
-3
-1
-3
terotorisasi
Otorisasi pensetujuan
dan
prosedur
Nilai
Jumlah
Pengendalian
Penilaian
Desain
3
3
9
6
3
2
6
3
penginputan
data 2
Kesalahan input data
-3
-1
-3
Mendesign tampilan layar dengan baik, keyboarding
3.
Duplikasi data
-3
-1
-3
Layar konfirmasi
3
3
9
6
4.
Kesalahan
-3
-1
-3
Layar konfirmasi
3
2
6
3
-12
Jumlah
30
18
terlewatkan Jumlah
Tabel 4.12 Metrik Penilaian Resiko dan Pengendalian masukan
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 18 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian masukan (Input Controls) sistem informasi aplikasi general ledger adalah baik. Artinya, 128
tigkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resiko-resiko yang mungkin terjadi.
Metrik Temuan Audit Pengendalian Masukan No.
Temuan Audit
Resiko
Rekomendasi
Pelaksana
Lama Pelaksanaan
1.
Data yang diinput tidak
Berakibat pada nomor
Sebaiknya ditetapkan
bersifat case sensitive
laporan/dokumen yang
ketentuan menggunakan
dihasilkan tidak teratur, dan
huruf besar atau huruf kecil
Developer Aplikasi
3 bulan
kemungkinan terjadi duplikasi saja dan akan lebih baik lagi nomor dokumen.
sistem aplikasi bersifat case sensitive.
Tabel 4.13 Metrik Temuan Audit Pengendalian Masukan 129
130 4.3.4
Pengendalian Keluaran (Output Control)
PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi No.
Pengendalian Keluaran
Objek Audit
Instrumen
(Output Controls) 1.
Lakukan
pengecekan
terhadap Dokumen yang
Kuesioner
laporan/dokumen apakah tercantum dihasilkan.
Studi
nama personil yang bertanggung
dokumentasi
jawab, judul, periode, tanggal, waktu pencetakan, dan batasan halaman. 2.
Dapatkan otorisasi
informasi user
yang
terhadap Fungsi-fungsi melakukan yang
pencetakan laporan/dokumen. 3.
Dapatkan
informasi
Kuesioner Wawancara
terkait.
mengenai Fungsi-fungsi
Kuesioner
permintaan laporan rutin dan laporan yang terkait. baru. 4.
Dapatkan
informasi
pendistribusian
apakah Fungsi-fungsi
laporan/dokumen yang
diterima oleh orang yang berhak dan terkait.
Kuesioner Studi dokumentasi
tepat waktu. 5.
Dapatkan informasi tentang control Kepala terhadap
penghancuran
laporan Operasional.
Kuesioner
131 /dokumen
yang
sudah
tidak
dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan 6.
Dapatkan informasi mengenai arsip Staf PT. Volensa laporan/dokumen.
7.
Dapatkan
Indonesia
informasi
penggunaan printer. 8.
Dapatkan
ulang.
mengenai Staf PT. Volensa Indonesia.
informasi
laporan/dokumen
Kuesioner
dapat
Kuesioner Wawancara
apakah Sistem informasi
Kuesioner
dicetak aplikasi general
Testing
ledger.
Tabel 4.14 Program Kerja Audit Pengendalian Keluaran
Tujuan Tujuan dilakukannya audit atas pengendalian keluaran (output controls) adalah: 1. Mengetahui apakah terdapat sistem pengawasan terhadap pencatatan untuk setiap laporan yang ada dan prosedur permintaan laporan rutin atau permintaan baru. 2. Memastikan bahwa sistem informasi aplikasi general ledger dapat menghasilkan laporan/dokumen sesuai dengan kebutuhan dan didistribusikan secara tepat waktu dan tepat sasaran, serta kepada pihak yang berkepentingan.
132 3. Memastikan setiap laporan/dokumen yang dihasilkan sudah tercantum batasan halaman, judul, tanggal, periode, personil yang bertanggung jawab, dan jam laporan dicetak. 4. Memastikan laporan/dokumen diarsip ditempat yang mudah dijangkau dan batas waktu lamanya laporan tersebut diarsip serta pengendalian terhadap proses penghancuran laporan yang sudah tidak diperlukan.
Kriteria Standar Kriteria standar yang harus ada untuk pengendalian keluaran (Output Controls), yaitu : 1. Menjaga akurasi, kelengkapan, dan kemuktahiran data keluaran, serta pendistribusikan keluaran kepada orang-orang yang berhak dan tepat waktu. 2. Adanya prosedur permintaan laporan rutin atau laporan baru. 3. Penghancuran arsip sesuai dengan prosedur.
PELAKSANAAN AUDIT Kuesioner Pengendalian Output No.
PERTANYAAN
YA
1.
Apakah setiap laporan/dokumen yang
√
dihasilkan selalu mencantumkan judul, periode, tanggal, dan waktu pencetakan?
TIDAK
133 2.
√
Apakah pada setiap laporan/dokumen dicantumkan nomor halaman dan tanda akhir halaman
3.
Apakah setiap laporan/dokumen yang
√
dihasilkan, dicantumkan nama personil yang
bertanggung
jawab
atas
dikeluarkannya laporan/dokumen? 4.
Apakah hanya karyawan yang memiliki
√
otoritas saja yang dapat melakukan pencetakan laporan/dokumen? 5.
Apakah
laporan/dokumen
yang
√
dihasilkan didistribusikan tepat pada waktunya? 6.
Apakah laporan/dokumen diserahkan
√
kepada pihak yang berwenang? 7.
Apakah terdapat permintaan laporan
√
rutin atau laporan baru? 8.
Apakah
terdapat
otorisasi
dalam
√
menghancurkan laporan/dokumen yang tidak diperlukan? 9.
Apakah
setiap
laporan/dokumen
disimpan pada tempat yang mudah dijangkau dan tersusun rapi, sehingga
√
134 bila
dibutuhkan
maka
mudah
ditemukan? 10.
Apakah printer sebagai media output
√
dishare? 11.
Apakah laporan/dokumen dapat dicetak
√
kembali?
Tabel 4.15 Kuesioner Pengendalian Keluaran
Wawancara 1. Apakah hanya karyawan yang memiliki otoritas saja yang dapat melakukan pencetakan laporan/dokumen? Jawaban: Dalam hal pencetakan laporan keuangan hanya bisa dicetak oleh Chief Finance & Accounting saja dan setelah diparaf yang menunjukkan kalau laporan keuangan tersebut telah diotorisasi. Dokumen-dokumen seperti Sales Invoice, Voucher Payment, dan lain-lain juga mendapat otorisasi dari bagian-bagian terkait. 2. Apakah printer digunakan oleh beberapa user (sharing)? Jawaban: Ya, printer yang ada diruangan akuntansi digunakan oleh bagian akuntansi dan keuangan.
135 Temuan Audit 1. Temuan Audit Positif a. Pada setiap laporan yang dihasilkan tercantum tanggal, judul, periode, dan nama personil yang bertanggung jawab atas laporan tersebut. b. Pencetakan laporan dapat dilakukan terbatas oleh user yang memiliki otorisasi saja. c. Setiap laporan yang dihasilkan selalu didistribusikan tepat waktu dan diterima oleh orang yang berhak. d. Penghancuran laporan yang tidak diperlukan dapat dilakukan setelah user mendapat otorisasi. e. Seluruh arsip laporan tersimpan di lemari arsip, dan disusun berdasarkan kriteria tertentu. f. Dapat dilakukan pencetakan ulang laporan.
2. Temuan Audit Negatif a. Laporan keuangan/dokumen yang dicetak tidak dicantumkan batasan halaman dan waktu pencetakan. b. Perusahaan tidak mencetak slip gaji atas pembayaran gaji untuk setiap karyawan dan tidak ada bukti penerimaan gaji yang ditandatangani oleh tiap-tiap karyawan. c. Terdapat printer sharing yang digunakan oleh bagian akuntansi dan keuangan.
Metrik Penilaian Resiko dan Pengendalian Nilai No
Resiko
Dampak Keterjadian
Pengendalian Resiko
1.
Kesalahan distribusi
-3
-1
-3
laporan 2.
Laporan yang tidak
Tembusan
laporan
Nilai
Jumlah
Pengendalian
Penilaian
Efektivitas Desain
berwarna
3
3
9
6
3
2
6
4
3
3
9
6
24
16
sesuai bagian masing-masing. -2
-1
-2
jelas
Judul,
batasan
tanggal,
personil
bertanggung
jawab,
pencetakan
dan
halaman, yang waktu periode
laporan. 3.
Kehilangan arsip
-3
-1
-3
Lemari arsip.
-8
Jumlah
dokumen Jumlah
Tabel 4.16 Metrik Resiko dan Pengendalian Keluaran
136
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 16 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian keluaran (Output Controls) Sistem Informasi Aplikasi General Ledger adalah baik. Artinya, tigkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resikoresiko yang mungkin terjadi, baik resiko yang sering terjadi maupun yang jarang atau sama sekali tidak pernah terjadi.
Metrik Temuan Audit Pengendalian Keluaran No.
Temuan Audit
Resiko
Rekomendasi
Pelaksana
Lama Pelaksanaan
1.
Tidak adanya nomor
Jika ada lembar laporan
Sebaiknya laporan keuangan
Developer
halaman dan tanda
keuangan yang hilang, tidak
dicantumkan batasan
Aplikasi
akhir laporan.
dapat diketahui sehingga
halaman dan waktu
informasi yang disampai
pencetakan.
3 bulan
tidak lengkap.
137
2.
Tidak dicetaknya slip
Tidak ada bukti bahwa
Sebaiknya dicetak slip gaji
Bagian Keuangan
gaji dan tidak adanya
pembayaran gaji sudah
untuk tiap-tiap karyawan dan
bukti penerimaan gaji
dibayarkan dan diterima oleh
karyawan menandatangani
yang ditandatangani
tiap-tiap karyawan.
bukti penerimaan gaji.
Terbatasnya jumlah
Menyebabkan keterlambatan
Sebaiknya bagian akuntansi
Bagian
printer di PT. Volensa
pencetakan dokumen dan
dan keuangan memiliki
operasional
Indonesia
laporan.
printer masing-masing.
1 bulan
karyawan. 3.
1 minggu
Tabel 4.17 Metrik Temuan Audit Pengendalian Keluaran
138
139 4.3.5
Pengendalian Basis Data (Database Control)
PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi No.
Objek Audit
Pengendalian Basisdata
Instrumen
(Database Controls) 1.
Dapatkan
informasi
tentang Supervisor
pengendalian terhadap akses ilegal. 2.
Database
Kuesioner Wawancara
Dapatkan informasi apakah tugas Supervisor
Kuesioner
Database
Wawancara
Administrator
dengan Database
Data Administrator terpisah. 3.
Dapatkan informasi mengenai file Supervisor handling control.
4.
Dapatkan
Database
informasi
mengenai Supervisor
permintaan data. 5.
Kuesioner
Database
Dapatkan informasi apakah sistem Supervisor manajemen
Kuesioner
database
Kuesioner
telah Database
melaksanakan integrity constraints pada sistem database 6.
Dapatkan informasi apakah privasi Supervisor data dapat terjaga dengan baik Database selama
proses
pemulihan dilakukan.
backup
dan
Kuesioner
140 7.
Dapatkan
informasi
mengenai Supervisor
Wawancara
ketentuan siapa saja yang boleh Database melakukan permintaan data.
Tabel 4.18 Program Kerja Audit Pengendalian Database
Tujuan Adapun tujuan dilakukannya audit atas pengendalian database (database controls) adalah: 1. Memastikan
terdapat
pemisahan
tugas
antara
database
adminstrator dengan data administrator. 2. Memastikan adanya pengendalian untuk mencegah akses ilegal. 3. Memastikan terdapatnya prosedur permintaan data. 4. Mengetahui telah dilakukannya file handling controls dan integrity contraints pada database.
Kriteria Standar 1. Terdapat pemisahan tugas antara database administrator dan data administrator. 2. Memastikan proses transaksi yang terjadi telah diproses dengan tidak benar 3. Terdapat pengendalian terhadap akses ilegal. 4. Hak akses dibatasi. 5. Database memiliki integrity constraints.
141 6. Terdapat file handling controls. 7. Permintaan data harus dilakukan dengan mengisi job request.
PELAKSANAAN AUDIT Kuesioner Pengendalian Database No.
PERTANYAAN
YA
1.
Apakah sudah terdapat pengendalian
TIDAK √
terhadap akses ilegal ? 2.
Apakah
tugas
Administrator
antara
√
Database
dengan
Data
Administrator terpisah 3.
Apakah sudah dilakukan file handling
√
controls ? 4.
Apakah dapat melakukan permintaan
√
data? 5.
Apakah sistem manajemen database
√
sudah melaksanakan integrity constraints pada sistem database ? 6.
Apakah privasi data dapat terjaga
√
dengan baik selama proses backup dan pemulihan dilakukan ?
Tabel 4.19 Kuesioner Pengendalian Database
142 Wawancara a. Apakah sudah terdapat pengendalian terhadap akses ilegal ? Jawaban: Tidak, database access yang terdiri dari tabel-tabel bisa dibuka dikomputer server tanpa harus melakukan login akses. b. Apakah tugas antara Database Administrator dengan Data Administrator terpisah? Jawaban: Tidak, supervisor bagian akuntansi merangkap fungsi sebagai database administrator dan data administrator. c. Bagaimana prosedur dalam melakukan permintaan data? Jawaban: Bagi user yang hendak meminta data, maka melakukan pengajuan permintaan data di bagian akuntansi.
Temuan Audit 1. Temuan Audit Positif a. Sudah dilakukan File Handling Control. b. Permintaan data dapat dilakuan oleh user yang membutuhkan. c. Kerahasiaan data dapat terjaga dengan baik selama proses back up dan pemulihan dilakukan. d. Permintaan data dapat dilakukan di bagian akuntansi.
143 2. Temuan Audit Negatif a. Tidak adanya pengendalian akses ilegal pada database di PT. Volensa Indonesia. b. Tugas Database Administrator dan Data Administrator tidak terpisah, melainkan dikontrol oleh supervisor bagian akuntansi
Metrik Penilaian Resiko dan Pengendalian Nilai No
Resiko
Dampak Keterjadian
Pengendalian
Efektivitas
Resiko 1.
Akses tidak berwenang
-3
-1
-3
Pemisahan tugas dan login
Nilai
Jumlah
Pengendalian
Penilaian
Desain
3
1
3
0
3
1
3
0
akses 2
Penyalahgunaan akses
-3
-1
-3
database 3
Management rule, security access, dan hak akses.
Database tidak lengkap,
-3
-1
-3
Integrity Constraints
3
1
3
0
-3
-1
-3
Back-up,
3
1
3
0
12
0
unik, dan akurat 4
Kerusakan data dalam media penyimpanan Jumlah
File
handling
control. -12
Jumlah
Tabel 4.20 Metrik Resiko dan Pengendalian Basis Data
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 0 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian basis data (Database Controls) Sistem Informasi Aplikasi General Ledger adalah standar. Artinya,
144
resiko yang ada dapat ditanggulangi secara optimal dengan pengendalian-pengendalian yang ada. Tidak terjadi kelebihan pengendalian ataupun kekurangan pengendalian.
Metrik Temuan Audit Pengendalian Basis data No.
Temuan Audit
Resiko
Rekomendasi
Pelaksana
Lama Pelaksana
1.
Tidak adanya
user yang tidak terotorisasi
Sebaiknya database juga
Developer
pengendalian akses ilegal
bisa dengan mudah masuk ke
dilengkapi login akses, agar
Aplikasi
pada database
database.
hanya user terotorisasi yang bisa
3 bulan
mengakses. 2.
Tugas Database
bisa mengakibatkan
Sebaiknya tugas Database
Manajer
Administrator dan Data
manipulasi data dan
Administrator dan Data
Operasional
Administrator tidak
penyalahgunaan wewenang.
Administrator terpisah.
1 minggu
terpisah
Tabel 4.21 Metrik Temuan Audit Pengendalian Basis data 145
146 4.4
Laporan Audit Sistem Informasi Laporan Audit Sistem Informasi Aplikasi General Ledger yang dibuat oleh Tim Audit Kelompok 10 adalah sebagai berikut: Kepada
: Manajemen PT. Volensa Indonesia
Perihal
: Laporan Hasil Audit Sistem Informasi General Ledger PT. Volensa Indonesia
Periode
: Januari 2007
LAPORAN AUDIT SISTEM INFORMASI APLIKASI GENERAL LEDGER PADA PT. VOLENSA INDONESIA ______________________________________________________________ I. Tujuan a. Memastikan pengendalian-pengendalian yang sudah ada mampu meningkatkan keamanan aset-aset perusahaan. b. Memastikan laporan keuangan telah disajikan dengan cepat, tepat, dan akurat. c. Meningkatkan efesiensi dan efektifitas sistem dalam perusahaan.
II. Ruang Lingkup Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen
keamanan
(security
management
controls).
Sedangkan
pengendalian aplikasi terbatas pada pengendalian batasan (boundary
147 controls), pengendalian masukan (input controls), pengendalian keluaran (output controls), dan pengendalian basis data (database controls).
III. Instrumen Audit Instrumen audit yang digunakan dalam mengumpulkan bukti-bukti audit adalah observasi, kuesioner, wawancara, testing aplikasi dan studi dokumentasi.
IV. Hasil Audit Berdasarkan temuan audit, kami selaku tim audit menyatakan bahwa pengendalian perusahaan secara umum telah dilakukan dengan baik. Adapun pengendalian-pengendaliannya adalah sebagai berikut: Pengendalian Manajemen Keamananan Pengendalian manajemen keamanan sudah dilakukan dengan baik oleh perusahaan, namun akan lebih baik lagi jika perusahaan juga menggunakan pemadam kebakaran yang otomatis dan melakukan scan anti-virus secara rutin. Pengendalian Batasan Pengendalian batasan yang diterapkan dalam perusahaan sudah standar, namun akan lebih baik lagi jika dilakukan pengenkripsian pada database password dan sistem aplikasi dilengkapi fungsi untuk merekam aktivitas user untuk memudahkan audit trail.
148 Pengendalian Masukan Pengendalian masukan sudah dilakukan dengan baik oleh perusahaan seperti penginputan dokumen sumber secara real time dan dokumen tersebut sudah diotorisasi terlebih dahulu. Pengendalian Keluaran Pengendalian keluaran pada perusahaan sudah baik, namun akan lebih baik lagi jika laporan keuangan dicantumkan batasan halaman, waktu pencetakan, dicetaknya slip gaji, bukti penerimaan gaji serta bagian akuntansi dan keuangan memiliki printer masing-masing. Pengendalian Basis Data Pengendalian basis data pada perusahaan sudah standar, namun akan lebih baik kalau ada penambahan login akses pada database untuk mengantisipasi akses ilegal oleh user yang tidak berhak dan pemisahan tugas Database Administrator dan Data Administrator.
Demikian hasil laporan audit atas sistem informasi aplikasi general ledger pada PT. Volensa Indonesia.
Jakarta, 18 Januari 2007
TIM AUDIT Kelompok 10
