86 BAB 4 PEMBAHASAN
4.1 Perencanaan Audit 4.1.1 Tujuan Audit atas sistem informasi persediaan dilakukan untuk menilai sejauh mana tingkat integritas, keamanan, efektifitas, dan efisiensi kinerja sistem informasi persediaan yang ada pada PT. Sumbertama Sejatikarsa.
4.1.2
Ruang Lingkup Audit Ruang lingkup audit dibatasi pada penilaian atas pengendalian manajemen
operasi dan keamanan; pengendalian batasan, masukan, dan keluaran.
4.2 Pelaksanaan Audit 4.2.1 Manajemen Keamanan 4.2.1.1 Program Audit Type of test Initial Procedures
Classification
Substantive Test Dapatkan informasi mengenai struktur organisasi Dapatkan informasi mengenai job description dari masing-masing bagian dalam struktur organisasi. Dapatkan pemahaman mengenai prosedur dan proses bisnis yang terkait dengan sistem informasi persediaan yang ada.
Audit Instrument W, O, SD W, O, SD W, O, SD
87 Pengendalian Threat Manajemen of Fire Keamanan
Threat of Water
Virus
Energy Variation
Intruder
Control of Last Resort
(Keterangan: Dokumentasi)
K-Kuesioner,
Tinjau keberadaan dan kondisi tabung K, W, O, T pemadam kebakaran, alarm kebakaran, detektor asap dan water sprinkler di setiap ruangan. Dapatkan informasi tentang K, W, SD pemeriksaan secara berkala atas tabung pemadam kebakaran. Lakukan peninjauan terhadap K, W, O keberadaan bahan-bahan yang mudah terbakar di sekitar aset-aset sistem informasi yang berharga. Lakukan pengecekan terhadap K, W, O penggunaan bahan pelindung tahan air pada perangkat keras yang tidak digunakan. Lakukan peninjauan terhadap lokasi K, W, O penempatan aset-aset sistem informasi. Cek penggunaan software anti virus K, W, O, di setiap komputer. SD Dapatkan informasi mengenai apakah K, W, O, T setiap file baru yang dijalankan selalu dicek oleh software anti virus. Dapatkan informasi tentang scanning K, W, SD virus secara berkala di tiap komputer. Lakukan pengecekan terhadap K, W, O, T penggunaan dan kondisi UPS di tiap komputer. Lakukan pengecekan terhadap K, W, O, T keberadaan dan kondisi generator. Tinjau keberadaan petugas keamanan. K, W, O Dapatkan informasi mengenai K, W, O penggunaan badge karyawan. Dapatkan informasi mengenai adanya K, W, O, pengisian buku kunjungan tamu. SD Dapatkan informasi tentang K, W, O penggunaan alarm keamanan. K,W,O, Dapatkan informasi mengenai SD, T disaster recovery plan perusahaan. Dapatkan informasi tentang penggunaan asuransi atas aset-aset K, W, SD perusahaan. W-Wawancara, O-Observasi, T-Testing, SD-Studi
88 4.2.1.2 Resume Bukti Audit [ Kuesioner, wawancara, dan observasi: lihat lampiran L.34, L.39, L.49 ]
Klasifikasi :Ancaman Api Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur mengenai dampak yang dapat ditimbulkan oleh api, diketahui bahwa:
Kebakaran dapat mengakibatkan perusahaan mengalami kerugian fatal berupa rusaknya semua aset-aset sistem informasi yang dimiliki.
Bahwa kebakaran merupakan ancaman paling serius yang dihadapi oleh semua perusahaan terhadap keamanan fisik atas aset-aset sistem informasi.
Oleh karena itu, impact dari api dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko kebakaran, diketahui bahwa:
Bangunan (e.g., dinding dan lantai) tidak terbuat dari bahan-bahan kayu.
Sebagian besar karyawan tidak memiliki kebiasaan merokok.
Tidak terdapat aktivitas perusahaan yang membutuhkan dinyalakannya api.
Oleh karena itu, tingkat probability masuk dalam kategori L.
89 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai bentuk-bentuk pengendalian yang diterapkan perusahaan saat ini dalam menghadapi resiko kebakaran, diketahui halhal sebagai berikut:
Adanya tabung pemadam kebakaran.
Tempat keberadaan aset sistem informasi terbebas dari material yang mudah terbakar.
Tidak terdapat alarm keamanan, detektor asap, dan water sprinkler.
Adanya kebijakan perusahaan yang menetapkan bahwa seluruh ruangan di gedung perusahaan merupakan daerah bebas rokok.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori M.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko kebakaran, diketahui bahwa:
Tabung pemadam kebakaran diletakkan di seluruh lokasi bangunan perusahaan yang strategis dan mudah dijangkau.
Seluruh tabung pemadam kebakaran berfungsi dengan baik, dan dilakukan pengecekan terhadap kondisi kelayakan, serta pengisian ulang oleh petugas dari pemadam kebakaran setiap satu tahun sekali.
90
Keberadaan semua aset-aset sistem informasi terletak jauh dari material yang mudah terbakar (e.g., arsip-arsip dan persediaan kertas untuk keperluan print diletakkan di ruangan yang terpisah).
Oleh karena itu, tingkat coverage masuk dalam kategori H.
Klasifikasi :Ancaman Kerusakan karena Air Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur mengenai dampak yang dapat ditimbulkan oleh air, diketahui bahwa aset-aset sistem informasi sangat rentan terhadap air. Terkenanya air pada aset sistem informasi dapat mengakibatkan komponen-komponen didalamnya berkarat, dan juga konslet sehingga aset-aset sistem informasi menjadi rusak. Oleh karena dampak yang begitu fatal, maka impact dari air dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko kerusakan karena air, diketahui bahwa:
Lokasi gedung perusahaan berada di daerah yang bebas banjir.
Minuman dan makanan biasanya diletakkan di ruangan kerja oleh para karyawan.
Oleh karena itu, tingkat probability masuk dalam kategori M.
91 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai bentuk-bentuk pengendalian yang diterapkan perusahaan saat ini dalam menghadapi resiko kerusakan karena air, diketahui bahwa:
Langit-langit bangunan dilapisi dengan bahan yang tahan air (waterproof).
Kebijakan untuk meletakkan aset-aset sistem informasi di tempat yang terbebas dari air
Kebijakan mengenai peletakkan minuman dan semua material yang berbentuk cairan harus jauh dari tempat aset-aset sistem informasi berada.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko kerusakan karena air, diketahui bahwa:
Langit-langit semua ruangan yang ada pada gedung perusahaan dilapisi dengan bahan yang tahan air (waterproof).
Semua karyawan mematuhi kebijakan tersebut dikarenakan adanya penekanan dari pimpinan perusahaan.
Oleh karena itu, tingkat coverage masuk dalam kategori H.
92 Klasifikasi :Virus Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur mengenai dampak yang diakibatkan oleh virus, diketahui bahwa virus dapat mengganggu kinerja sistem aplikasi yang ada sehingga aplikasi tidak dapat bekerja dengan maksimal (e.g., response time menjadi lambat), merusak integritas data, dan bahkan virus dapat menghancurkan seluruh isi hard drive. Oleh karenanya, impact dari virus dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko virus, diketahui hal-hal sebagai berikut:
Perusahaan jarang menggunakan data-data masukan yang berasal dari removable disk (e.g., flashdisk). Data masukan yang digunakan hampir selalu berupa dokumen-dokumen sumber.
Komputer-komputer perusahaan tidak terhubung dengan internet.
Oleh karena itu, tingkat probability tergolong dalam kategori L.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko virus, diketahui bahwa terdapat penggunaan
93 software anti virus baik pada server maupun client; adanya kebijakan perusahaan yang melarang para staf untuk menginstall software tambahan ke dalam komputer tanpa seijin dari pimpinan perusahaan; dan dilakukannya backup data secara berkala. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko virus, diketahui hal-hal sebagai berikut:
Tidak dilakukan full system scan secara berkala.
Semua komputer yang ada di perusahaan hanya memuat software-software aplikasi yang diijinkan oleh perusahaan saja.
Backup data hanya dilakukan ke drive d: server saja. Backup data tidak dilakukan ke media compact disk.
Dilakukan scanning anti virus terhadap file-file yang akan digunakan.
Oleh karena itu, tingkat coverage tergolong dalam kategori M.
Klasifikasi : Variasi Tegangan Listrik Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa variasi tegangan listrik tidak hanya mengganggu kinerja operasional, tetapi juga dapat berakibat pada rusaknya
94 peralatan komputer yang ada, e.g., terbakarnya circuit pada komponen komputer yang ada sehingga komputer menjadi rusak. Oleh karenanya, impact dari variasi tegangan listrik dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko variasi tegangan listrik, diketahui bahwa aliran listrik dari PLN seringkali tidak menentu. Karena ketersediaan (supply) listrik PLN sekarang ini terbatas menyebabkan seringnya terjadi variasi tegangan listrik, bahkan kadang terjadi pemadaman sementara secara tiba-tiba yang dilakukan oleh PLN. Oleh karena itu, tingkat probability masuk dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai bentuk-bentuk pengendalian yang diterapkan perusahaan saat ini dalam menghadapi resiko variasi tegangan listrik, diketahui hal-hal sebagai berikut:
Terdapat penggunaan UPS (Uninterruptible Power Supply).
Terdapat generator yang diletakkan di lt.3 gedung perusahaan.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
95 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko variasi tegangan listrik, diketahui hal-hal sebagai berikut:
Penggunaan UPS (Uninterruptible Power Supply) pada semua komputer yang ada.
Generator yang ada memiliki kemampuan untuk men-supply listrik yang dibutuhkan guna menunjang keseluruhan kegiatan operasional kantor dalam satu gedung, dan generator berada dalam keadaan yang terawat dan berfungsi dengan baik.
Oleh karena itu, tingkat coverage masuk dalam kategori H.
Klasifikasi : Gangguan dari Pihak Luar Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa pihak luar dapat memasuki perusahaan untuk melakukan pencurian, pengrusakan terhadap aset-aset sistem informasi, ataupun visual eavesdropping. Oleh karenanya, impact dari gangguan dari pihak luar dimasukkan dalam kategori H.
96 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko gangguan dari pihak luar, diketahui bahwa:
Gedung perusahaan adalah milik sendiri dan hanya digunakan untuk kegiatan operasional internal perusahaan.
Terdapat banyak karyawan bagian pengiriman yang berkeliaran untuk keperluan bongkar muat barang dari dan ke gudang.
Oleh karena itu, tingkat probability masuk dalam kategori M.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai bentuk-bentuk pengendalian yang diterapkan perusahaan saat ini dalam menghadapi resiko gangguan dari pihak luar, diketahui hal-hal sebagai berikut:
Penggunaan petugas keamanan.
Penguncian ruangan tempat aset sistem informasi berada ketika jam kantor telah selesai.
Tidak adanya penggunaan alarm keamanan, tanda pengenal diri (badge) karyawan, dan pengisian buku kunjungan tamu.
Dokumen penting mengenai aset sistem informasi diletakkan pada lemari yang dikunci.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori M.
97 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko gangguan dari pihak luar, diketahui bahwa:
Hanya terdapat satu jalur akses untuk memasuki gedung, yaitu pintu masuk yang dijaga oleh dua orang petugas keamanan.
Ruangan tempat semua aset sistem informasi berada, selalu dikunci ketika jam kantor telah berakhir.
Semua dokumen penting mengenai aset sistem informasi diletakkan pada lemari yang dikunci, dan hanya dapat diakses oleh staf yang berwenang.
Oleh karena itu, tingkat coverage masuk dalam kategori H.
Klasifikasi : Control of Last Resort Objective : 1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa bentuk-bentuk pengendalian yang diimplementasikan guna mencegah resiko yang ada memiliki kemungkinan untuk gagal. Apabila hal itu terjadi dan bencana menyerang, maka operasi perusahaan menjadi terhenti dan mengakibatkan kerugian-kerugian (losses) akibat terhentinya operasional perusahaan. Oleh karena itu, impact dari resiko ini dimasukkan dalam kategori H.
98 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas bencana, diketahui bahwa:
Gedung perusahaan (diantaranya dinding dan lantai) terbuat dari materialmaterial yang tidak rawan terhadap api.
Lokasi gedung berada di daerah yang tidak rawan banjir dan gempa bumi.
Oleh karena itu, tingkat probability masuk dalam kategori L.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai bentuk-bentuk pengendalian yang diterapkan perusahaan saat ini dalam menghadapi bencana yang mungkin terjadi, diketahui bahwa:
Perusahaan memiliki backup site.
Dilakukannya backup atas data-data perusahaan secara berkala.
Perusahaan mengikuti program asuransi.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi kemungkinan terjadinya bencana, diketahui hal-hal sebagai berikut:
99
Adanya fasilitas cold-site yang dilengkapi dengan generator.
Asuransi mencakup gedung beserta seluruh isinya.
Backup data yang dilakukan hanya ke drive d: server. Backup data tidak dilakukan ke media compact disk.
Oleh karena itu, tingkat coverage masuk dalam kategori M.
100
4.2.1.3 Matrik Penilaian Resiko dan Pengendalian No.
Risk
Impact
Probability
Risk value
Control
Reliability
Coverage
Control value
Total
1.
Kebakaran
H
L
-7
Adanya tabung pemadam kebakaran; tempat keberadaan aset SI terbebas dari bahan yang mudah terbakar; adanya kebijakan perusahaan yang menetapkan bahwa seluruh ruangan di gedung perusahaan merupakan daerah bebas rokok; tidak terdapat alarm keamanan, detektor asap, dan water sprinkler.
M
H
6
-1
2.
Kerusakan oleh karena air
H
M
-8
Langit-langit bangunan dilapisi waterproof, aset-aset SI diletakkan di tempat yang bebas air.
H
H
9
1
3.
Virus
H
L
-7
Penggunaan software anti virus; larangan menginstall software tambahan; dilakukan backup data secara berkala.
H
M
8
1
4.
Variasi tegangan listrik
H
H
-9
Penggunaan UPS dan generator
H
H
9
0
5.
Gangguan dari pihak luar
H
M
-8
Adanya petugas keamanan; ruangan tempat aset sistem informasi berada dikunci; dokumen penting mengenai aset sistem informasi diletakkan pada lemari yang dikunci; tidak adanya alarm keamanan, badge karyawan, dan pengisian buku kunjungan tamu.
M
H
6
-2
101 6.
Terhentinya perusahaan
operasi
H
Total :: * T otal value = Risk value – Control value
L
-7
Adanya fasilitas cold-site, asuransi, dilakukan backup data secara berkala.
-46
Total ::
H
M
8
1
46
0
[Keterangan: H - High, M - Medium, L – Low] Tabel 4.1 Matrik Penilaian Resiko dan Pengendalian – Security Management Control
Berdasarkan matrik penilaian resiko dan pengendalian diatas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar 0 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian manajemen keamanan yang memadai. Bahwa resiko-resiko manajemen keamanan yang ada seimbang dengan tingkat pengendalian yang saat ini diterapkan oleh perusahaan.
102 4.2.1.4 Temuan Audit 1. Tidak terdapat alarm kebakaran, detektor asap, dan water sprinkler Pada gedung perusahaan tidak ditemukan adanya penggunaan alarm kebakaran, detektor asap, dan juga water sprinkler di seluruh ruangan. Detektor asap hanya ditemukan pada ruangan gudang. Sistem perlindungan terhadap bahaya api yang baik mengharuskan adanya penggunaan detektor asap dan water sprinkler pada setiap ruangan yang ada pada gedung perusahaan, serta keberadaan alarm kebakaran di tempat yang strategis. Tidak adanya alarm kebakaran, detektor asap, dan water sprinkler disebabkan karena kurangnya perhatian dari pihak developer dan pemilik perusahaan ketika pembangunan gedung perusahaan dilakukan, sehingga pemasangan atas sistem pengaman kebakaran ini menjadi terlewatkan. Sampai saat ini tidak pernah terjadi kebakaran pada gedung perusahaan, namun demikian apabila suatu ketika terjadi kebakaran maka kebakaran tidak akan segera diketahui sehingga api menjadi lebih besar dibandingkan bila diketahui lebih cepat dengan adanya detektor asap, dan waktu pemadaman api pun menjadi lebih lama, serta evakuasi karyawan menjadi lebih sulit dilakukan karena tidak adanya sinyal standar atas kebakaran, berupa alarm kebakaran. Oleh karena itu, perusahaan sebaiknya melakukan perbaikan atas gedung dengan memasang detektor asap dan water sprinkler di seluruh ruangan, serta alarm kebakaran di lokasi yang strategis.
103 2. Tidak terdapat penggunaan bahan penutup yang tahan air pada peralatan komputer yang tidak digunakan Peralatan-peralatan komputer yang ada tidak ditutupi dengan penutup oleh para karyawan ketika selesai digunakan, yaitu pada waktu jam pulang kantor. Seharusnya peralatan komputer yang tidak digunakan ditutupi dengan bahan pelindung yang tahan air untuk mencegah kemungkinan rusaknya peralatan komputer karena terkena air. Tidak digunakan bahan penutup pada peralatan komputer ini dikarenakan kurangnya perhatian perusahaan mengenai masalah perawatan atas peralatan komputer yang dimiliki. Setelah dilakukan evaluasi, sampai saat ini memang belum pernah terjadi masalah kerusakan pada peralatan komputer dikarenakan tidak terlindungnya peralatan komputer yang tidak digunakan. Namun demikian, resiko tetap saja ada. Oleh karena itu, untuk menjamin terhindarnya kerusakan peralatan komputer yang ada, sebaiknya semua peralatan komputer ditutupi dengan penutup yang tahan air pada setiap akhir jam kerja kantor.
3. Tidak dilakukan full system scan secara berkala Para pegawai PT. Sumbertama Sejatikarsa tidak melakukan full system scan secara berkala atas komputer masing-masing yang digunakan. Begitu pula terhadap server, tidak dilakukan full system scan secara berkala oleh pemilik perusahaan. Sebagai langkah detective control, perlu dilakukan full system scan secara berkala untuk mendeteksi infeksi-infeksi virus yang ada.
104 Tidak dilakukannya full system scan secara berkala itu disebabkan oleh karena tidak adanya penekanan dari perusahaan mengenai pentingnya dilakukan scanning anti virus, dengan pertimbangan bahwa komputer perusahaan tidak terhubung dengan internet dan jarang digunakan data masukan selain berupa dokumen sumber. Setelah dilakukan evaluasi mengenai kondisi ini, ternyata memang tidak ditemukan adanya virus pada semua komputer perusahaan yang digunakan. Namun demikian, resiko tetap saja ada. Oleh karena itu, untuk mendapatkan jaminan bahwa komputer perusahaan terbebas dari virus maka pimpinan perusahaan sebaiknya membuat kebijakan yang mengharuskan para staf untuk melakukan full system scan secara berkala.
4. Backup data hanya dilakukan ke drive d: server saja Setiap bulan perusahaan backup data ke drive d: server. Backup data tidak dilakukan ke media compact disk. Seharusnya dilakukan pembackupan data ke media lainnya, seperti compact disk sehingga perusahaan memiliki cadangan data selain backup yang terdapat pada server. Kondisi di atas terjadi karena hal tersebut tidak terpikirkan oleh pimpinan perusahaan. Pimpinan perusahaan selama ini merasa dengan dilakukannya backup ke drive d: server sudah memadai. Sampai saat ini tidak pernah terjadi masalah atas data backup yang dilakukan ke drive d: server. Namun demikian, resiko tidak dapat dipakainya data backup yang tersimpan pada server tetap saja ada.
105 Oleh karena itu, perusahaan sebaiknya melakukan backup data ke compact disc (CD) selain pada drive d: server, untuk lebih memberikan jaminan kepastian atas ketersediaan data backup ketika dibutuhkan.
5. Tidak adanya alarm keamanan, tanda pengenal diri (badge), dan buku tamu Pada gedung perusahaan tidak terdapat penggunaan alarm keamanan, selain itu para karyawan tidak menggunakan tanda pengenal diri (badge) untuk membedakan antara karyawan dengan tamu perusahaan, serta tidak adanya buku tamu yang harus diisi oleh pihak asing yang melakukan kunjungan ke perusahaan. Seharusnya terdapat penggunaan alarm keamanan, badge karyawan, dan pengisian buku tamu dalam rangka pengendalian terhadap resiko adanya gangguan dari pihak luar yang melakukan pencurian ataupun pengrusakan atas aset-aset sistem informasi yang dimiliki perusahaan. Kondisi tersebut terjadi karena gedung beroperasi hanya diperuntukkan bagi kegiatan internal perusahaan saja. Jadi jarang terdapat pihak luar yang datang ke perusahaan. Selain itu, keamanan gedung dirasa sudah cukup oleh pemilik perusahaan dengan adanya penjaga gedung dan dikuncinya ruangan-ruangan setelah selesai digunakan. Dan sampai saat ini memang jarang sekali terdapat pihak asing yang datang ke perusahaan, semua orang yang ada di gedung adalah pihak internal atau karyawan perusahaan; dan tidak pernah terjadi pencurian atau penyusupan orang asing ke gedung perusahaan. Namun demikian, resiko tetap saja ada.
106 Oleh karena itu, untuk memaksimalkan pengendalian atas resiko adanya unauthorized intruders sebaiknya perusahaan memasang alarm keamanan, menetapkan kebijakan mengenai penggunaan badge karyawan, dan juga buku tamu yang harus diisi oleh setiap pihak luar yang berkunjung ke perusahaan.
107 4.2.1.5 Rekomendasi Audit No.
Temuan Audit
Resiko
Existing condition
Rekomendasi
1.
Tidak terdapat alarm kebakaran, detektor asap, dan water sprinkler.
Apabila terjadi kebakaran maka kebakaran tidak dapat segera diketahui sehingga menyebabkan api menjadi lebih besar dibandingkan bila diketahui lebih cepat dengan adanya detektor asap, dan waktu pemadaman api pun menjadi lebih lama, serta evakuasi karyawan menjadi lebih sulit dilakukan karena tidak adanya sinyal standar atas kebakaran, berupa alarm kebakaran.
Bahwa sampai saat ini belum pernah terjadi kebakaran pada gedung perusahaan.
Perusahaan sebaiknya melakukan perbaikan atas gedung dengan memasang detektor asap dan water sprinkler di seluruh ruangan, serta alarm kebakaran di lokasi yang strategis.
2.
Tidak terdapat penggunaan bahan penutup yang tahan air pada peralatan komputer yang tidak digunakan
Rusaknya peralatan komputer oleh karena terkena air.
Semua peralatan komputer ditutupi dengan penutup yang tahan air pada setiap akhir jam kerja kantor
Para staf perusahaan
3.
Tidak dilakukan full system scan secara berkala
Tidak terdeteksinya virus-virus yang terdapat pada komputer.
Bahwa sampai saat ini belum pernah terjadi masalah kerusakan pada peralatan komputer dikarenakan tidak terlindungnya peralatan komputer. Tidak ditemukan adanya virus pada semua komputer perusahaan yang digunakan.
Pimpinan perusahaan
4.
Backup data hanya dilakukan ke drive d: server saja
Rusaknya atau tidak dapat dipakainya data backup yang tersimpan pada server ketika dibutuhkan.
Menetapkan kebijakan yang mengharuskan para staf untuk melakukan full system scan secara berkala. Melakukan backup data ke compact disc (CD) selain pada drive d: server, untuk lebih memberikan jaminan kepastian atas ketersediaan data backup ketika dibutuhkan
Bahwa sampai saat ini tidak pernah terjadi masalah atas data backup yang dilakukan ke drive d: server.
Pihak Pelaksana Bag. Maintenance
Pimpinan perusahaan
108 5.
Tidak adanya alarm keamanan, tanda pengenal diri (badge), dan buku tamu
Terjadinya gangguan dari pihak luar yang melakukan pencurian ataupun pengrusakan atas aset-aset sistem informasi yang dimiliki perusahaan.
Bahwa jarang sekali terdapat pihak asing yang datang ke perusahaan, semua orang yang ada di gedung adalah pihak internal atau karyawan perusahaan; dan tidak pernah terjadi pencurian atau penyusupan orang asing ke gedung perusahaan.
Tabel 4.2 Rekomendasi Audit – Security Management Control
Menetapkan kebijakan mengenai penggunaan badge karyawan, dan juga pengisian buku tamu oleh setiap pihak luar yang berkunjung ke perusahaan; memasang alarm keamanan.
Pimpinan perusahaan dan Bag. Maintenance
109 4.2.2 Pengendalian Manajemen Operasi 4.2.2.1 Program Audit Type Of test Operation Management Control
Classification
Substantive Test
Lakukan peninjauan terhadap job description dari masing-masing bagian yang ada. Dapatkan informasi mengenai ketersediaan buku panduan (manua bookl). Dapatkan informasi mengenai adanya supervisi terhadap kegiatan operasional yang dilakukan. Dapatkan informasi tentang adanya pelatihan bagi karyawan baru dalam hal pengoperasian aplikasi. Lakukan peninjauan terhadap Maintenance intensitas penggunaan peralatan Control komputer yang ada. Dapatkan informasi mengenai dilakukannya perawatan terhadap peralatan komputer. Dapatkan informasi mengenai ketersediaan staf teknisi TI dalam perusahaan. Dapatkan informasi mengenai Data Entry kenyamanan dari peralatan kantor Environment (e.g.,meja dan kursi) yang digunakan. & Facilities Lakukan peninjauan mengenai penerangan ruangan yang ada. Lakukan peninjauan terhadap tingkat kebisingan daerah lokasi gedung perusahaan berada. Lakukan peninjauan mengenai sirkulasi udara dan penggunaan AC dalam ruangan kantor . Cek mengenai posisi layar komputer terhadap pantulan cahaya lampu. Lakukan peninjauan terhadap tata letak peralatan yang terdapat di atas meja. Documentation Dapatkan informasi mengenai lokasi penyimpanan dokumentasi yang Library berkaitan dengan aset sistem Operation Control
Audit Instrument W, O, SD K, W, O, SD K, W, O K, W, SD W, O, SD K, W, O, SD K, W, O, SD W, O, T K, W, O K, W, O K, W, O K, W, O K, W, O K,W, O
110
(Keterangan:
K-Kuesioner,
informasi. Dapatkan informasi pembatasan hak akses dokumentasi. Lakukan peninjauan penataan yang dilakukan arsip dokumentasi. W-Wawancara, O-Observasi,
mengenai terhadap
K, W, O
mengenai terhadap
W, O, T
T-Testing,
SD-Studi
Dokumentasi)
4.2.2.2 Resume Bukti Audit [ Kuesioner, wawancara, dan observasi: lihat Lampiran L.35 , L.41, L.50 ]
Klasifikasi : Operation Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak adanya pengendalian operasi berdampak pada meningkatnya kemungkinan terjadinya tindakan yang menyimpang diluar dari wewenang yang dimiliki; dan ketidakefektifan tindakan penanganan atas masalah operasional komputer, padahal teknologi informasi memegang peranan yang kritikal bagi perusahaan. Oleh karenanya, impact dari tidak adanya pengendalian operasi dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko tersebut, diketahui hal-hal sebagai berikut:
111
Terdapat job description yang jelas atas tugas dari masing-masing staf.
Adanya user manual atas aplikasi yang digunakan, dan buku panduan untuk pengoperasian peralatan komputer yang ada.
Oleh karena itu, tingkat probability tergolong dalam kategori M.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Adanya pengawasan atau supervisi
yang dilakukan untuk menjamin
kepatuhan terhadap tugas operasional yang telah ditetapkan.
Terdapat pemisahan tugas yang jelas antara bagian yang bertugas memberikan otorisasi; melakukan pengentrian data; dan penyimpanan (custody).
Adanya kebijakan pemberian pelatihan (training) bagi karyawan baru dalam hal mengoperasikan aplikasi yang ada.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
112
Supervisi dilakukan terhadap semua bagian atas pelaksanaan tugas operasional yang telah ditetapkan.
Pelatihan selalu dilakukan terhadap setiap karyawan baru mengenai aplikasiaplikasi yang akan digunakan dalam tugasnya sehari-hari.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Klasifikasi : Maintenance Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak adanya maintenance control memperbesar kemungkinan rusaknya perangkat keras. Kerusakan pada perangkat keras yang kritikal bagi operasional perusahaan dapat berakibat pada terhentinya aktivitas bisnis perusahaan. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa peralatan komputer yang ada digunakan secara aktif dalam kegiatan operasional perusahaan sehari-hari. Oleh karena itu, tingkat probability tergolong dalam kategori H.
113 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Adanya perawatan atau pembersihan terhadap peralatan komputer yang ada.
Atas kerusakan peralatan komputer yang terjadi, perusahaan memanggil teknisi dari luar perusahaan untuk melakukan perbaikan.
Adanya kebijakan (untuk maintenance terhadap CPU), bila memungkinkan, pemindahan atas data-data dan program penting dari mesin harus dilakukan sebelum diserahkan untuk diperbaiki oleh teknisi.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan pengendalian yang ada, didapatkan informasi sebagai berikut:
Setiap
terjadi
kerusakan
peralatan
komputer,
perusahaan
segera
menghubungi pihak teknisi dari luar untuk dilakukan service atau perbaikan pada hari yang sama.
Setiap staf bertanggung jawab atas kebersihan dan perawatan terhadap peralatan komputer yang digunakan dalam keseharian pekerjaannya.
Oleh karena itu, tingkat coverage tergolong dalam kategori M.
114 Klasifikasi : Data Entry Environment and Facilities :
Objective
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa lingkungan dan fasilitas yang tidak baik dalam menunjang keying tasks menyebabkan menurunnya kecepatan dari kinerja pengentrian data yang dilakukan oleh user, yang hal ini mengakibatkan ketidakefisienan dari operasional perusahaan. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori L.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui hal-hal sebagai berikut:
Penggunaan kursi yang empuk dan sesuai tingginya dengan meja kantor yang digunakan.
Adanya penerangan ruangan dengan intensitas cahaya yang memadai dan mendukung aktivitas pengentrian data.
Penggunaan AC pada ruangan, dan adanya sirkulasi udara dalam ruangan yang baik (ruangan tidak berbau apek).
Lokasi perusahaan yang tidak terletak di daerah yang ramai atau bising.
Oleh karena itu, tingkat probability tergolong dalam kategori L.
115 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Pengaturan terhadap intensitas cahaya dan posisi dari layar komputer.
Pengaturan layout atau tata letak dari peralatan yang terletak diatas meja untuk mendukung efektifitas kerja pengentrian data.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan pengendalian yang ada, diketahui hal-hal sebagai berikut:
Dilakukan pengaturan intensitas cahaya (brightness) atas seluruh komputer yang digunakan perusahaan agar tidak menyilaukan dan membuat mata lelah.
Posisi seluruh layar komputer terletak pada posisi yang baik dimana cahaya lampu tidak terpantul pada layar komputer.
Terdapat pengaturan atas tata letak dari perlengkapan kantor yang terdapat pada semua meja kerja staf, agar memberikan kenyamanan dan memberi ruang gerak yang leluasa dan kondusif dalam melakukan kegiatan pengentrian data.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
116 Klasifikasi : Documentation Library :
Objective
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa dokumentasi-dokumentasi yang berkaitan dengan aset sistem informasi apabila tidak terkelola dengan baik berakibat pada hilang atau dicurinya dokumen tersebut. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa semua dokumentasi yang berkaitan dengan aset-aset sistem informasi yang dimiliki perusahaan disimpan di ruangan kantor. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Dokumentasi yang terkait dengan aset sistem informasi diletakkan pada lemari yang dikunci.
Adanya pembatasan hak akses terhadap dokumentasi sistem informasi.
117
Tidak dilakukan penataan atas dokumentasi sistem informasi yang ada pada lemari penyimpanan.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori M.
Coverage: Dari hasil evaluasi mengenai cakupan pengendalian yang ada, diketahui bahwa:
Semua dokumentasi sistem informasi diletakkan pada lemari yang dikunci.
Terdapat staf yang bertanggung jawab atas dokumentasi sistem informasi yang ada, dimana akses ke dokumentasi harus melalui persetujuan dari staf tersebut.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
118
4.2.2.3 Matrik Penilaian Resiko dan Pengendalian Risk
No.
Impact
Probability
Risk
Control
Reliability
Coverage
value
1.
Penanganan atas masalah operasional yang buruk.
H
M
-8
2.
Tidak adanya maintenance control terhadap peralatan komputer
H
H
-9
3.
Lingkungan dan fasilitas yang tidak menunjang aktivitas pengentrian data. Dokumentasi yang berkaitan dengan aset sistem informasi tidak terkelola dengan baik.
L
L
-1
M
H
-6
4.
Total ::
- 24
Dilakukan supervisi (pengawasan), pemisahan tugas yang jelas, dan pemberian pelatihan bagi karyawan baru. Adanya dilakukan perawatan atas peralatan komputer; apabila terjadi kerusakan, perusahaan memanggil teknisi dari luar untuk melakukan perbaikan; adanya kebijakan (apabila memungkinkan) untuk memindahkan data dan program penting dari CPU sebelum diserahkan pada teknisi untuk dilakukan perbaikan. Pengaturan terhadap intensitas cahaya dan posisi dari layar komputer, pengaturan tata letak dari peralatan yang terletak di atas meja. Dokumentasi yang terkait dengan aset sistem informasi diletakkan pada lemari yang dikunci, adanya pembatasan hak akses, dan tidak dilakukannya penataan atas dokumentasi aset sistem informasi. Total ::
Control value
Total Value *
H
H
9
1
H
M
8
-1
H
H
9
8
M
H
6
0
32
8
* T otal value = Risk value – Control value
[Keterangan: H - High, M - Medium, L – Low] Tabel 4.3 Matrik Penilaian Resiko dan Pengendalian – Operation Management Control Berdasarkan matrik penilaian resiko dan pengendalian di atas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar 8 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian manajemen operasi yang baik. Bahwa resiko-resiko manajemen operasi yang ada lebih kecil dari tingkat pengendalian yang saat ini diterapkan oleh perusahaan.
119 4.2.2.4 Temuan Audit 1. Perusahaan tidak memiliki staf teknisi TI yang bertugas untuk maintenance atas aset sistem informasi yang ada. Perusahaan tidak memiliki staf khusus yang bertugas menangani persoalan teknis teknologi informasi yang terjadi di dalam perusahaan. Apabila terjadi kerusakan, maka perusahaan akan menghubungi jasa teknisi dari luar untuk melakukan perbaikan. Seharusnya perusahaan memiliki staf teknisi TI yang bertugas menangani mengenai segala persoalan dan maintenance atas teknologi informasi yang digunakan perusahaan. Kondisi ini terjadi karena kurangnya perhatian dari pimpinan perusahaan mengenai pentingnya masalah maintenance atas aset-aset sistem informasi yang dimiliki. Sampai saat ini, kerusakan atas aset-aset sistem informasi yang dimiliki perusahaan jarang terjadi, dan penggunaan jasa teknisi dari luar untuk perbaikan apabila diperlukan dirasa sudah cukup. Namun demikian, penggunaan jasa teknisi dari luar tidak efisien sebab terbuangnya waktu untuk memanggil teknisi dibandingkan dengan bila menggunakan staf teknisi internal yang selalu tersedia kapanpun dibutuhkan; dan juga kehandalan atas aset sistem informasi yang ada menjadi lebih terjamin dengan dilakukan maintenance secara berkala oleh staf internal yang memang kompeten di bidangnya. Oleh karena itu, perusahaan sebaiknya merekrut staf teknisi khusus untuk keperluan maintenance atas teknologi informasi yang digunakan perusahaan .
120 2. Perusahaan tidak melakukan penataan terhadap dokumentasi-dokumentasi yang berkaitan dengan aset sistem informasi. Perusahaan tidak melakukan penataan terhadap dokumentasi-dokumentasi yang berkaitan dengan aset sistem informasi yang dimilikinya. Semua dokumentasi tersebut disimpan pada lemari yang dikunci, tanpa dilakukannya penataan. Seharusnya perusahaan melakukan penataan terhadap dokumentasi sistem informasi yang ada, sehingga memudahkan dilakukannya pencarian dokumentasi ketika dibutuhkan. Kondisi ini terjadi karena perusahaan tidak menetapkan kebijakan mengenai perlunya dilakukan penataan atas dokumentasi-dokumentasi sistem informasi yang ada. Sebagai akibatnya, pencarian atas dokumentasi sistem informasi ketika dibutuhkan memakan waktu yang lama karena tidak dilakukannya penataan atau pengelompokan dokumentasi berdasarkan kategori. Oleh karena itu, perusahaan sebaiknya melakukan penataan terhadap semua dokumentasi yang berkaitan dengan aset sistem informasi yang dimilikinya.
121
4.2.2.5 Rekomendasi Audit No.
Temuan Audit
Resiko
Existing condition
Rekomendasi
1.
Perusahaan tidak memiliki staf teknisi TI yang bertugas untuk maintenance atas aset sistem informasi yang ada.
Menyebabkan ketidakefisienan sebab terbuangnya waktu untuk memanggil teknisi dibandingkan dengan apabila menggunakan staf teknisi internal yang selalu tersedia kapanpun dibutuhkan; dan juga kehandalan atas aset sistem informasi yang ada menjadi tidak terjamin.
Bahwa sampai saat ini kerusakan atas aset-aset sistem informasi yang dimiliki perusahaan jarang terjadi, dan penggunaan jasa teknisi dari luar untuk perbaikan apabila diperlukan dirasa sudah cukup.
Perusahaan sebaiknya merekrut staf teknisi khusus untuk keperluan maintenance atas teknologi informasi yang digunakan perusahaan.
2.
Perusahaan tidak melakukan penataan terhadap dokumentasidokumentasi yang berkaitan dengan aset sistem informasi.
Sulitnya dilakukan pencarian dokumen ketika dibutuhkan, dan pencarian dokumen menjadi memakan waktu yang lama.
Pencarian atas dokumentasi sistem informasi ketika dibutuhkan memakan waktu yang lama karena tidak dilakukannya penataan atau pengelompokan dokumentasi berdasarkan kategori.
Perusahaan sebaiknya melakukan penataan terhadap semua dokumentasi yang berkaitan dengan aset sistem informasi yang dimilikinya.
Tabel 4.4 Rekomendasi Audit – Operation Management Control
Pihak pelaksana Pimpinan perusahaan
Pimpinan perusahaan
122 4.2.3 Pengendalian Batasan 4.2.3.1 Program Audit Type Classification Substantive Test Audit of test Instrument Pengendalian Identification Dapatkan informasi mengenai K, W, O, SD Batasan keberadaan pengendalian terhadap & hak akses. Authentication Dapatkan informasi mengenai K, W, SD penggantian password secara berkala. K, W, O Dapatkan informasi mengenai keberadaan terminal time-out. K, W, O Lakukan peninjauan mengenai keberadaan pesan informasi yang ditampilkan aplikasi atas waktu akses terakhir yang dilakukan. Lakukan peninjauan mengenai K, W, O, T adanya penyamaran karakter terhadap password yang dientri. Lakukan pengecekan mengenai K,W, O, T keberadaan username dan password yang bersifat case sensitive Dapatkan informasi mengenai K, W, SD penggunaan karakter alpanumeric mix pada username dan password Dapatkan informasi mengenai adanya K, W, SD dilakukan penghapusan hak akses bagi karyawan yang sudah mengundurkan diri. Lakukan peninjauan mengenai K, W, SD adanya dilakukan perubahan level akses terhadap karyawan yang dipindahtugaskan ke bagian lain. Lakukan peninjauan mengenai W, O, SD Action keberadaan menu untuk mengatur Privilege action privilege pada aplikasi DBS. K, W,O, Dapatkan informasi mengenai SD keberadaan dan penggunaan audit trail. K, W, O Dapatkan informasi mengenai kebijakan perusahaan dalam menetapkan action privilege bagi setiap staf
123 Logs and Auditability (Keterangan:
K-Kuesioner,
Dapatkan informasi mengenai K, W, SD ketersediaan dan penggunaan fasilitas user logs pada aplikasi. W-Wawancara, O-Observasi, T-Testing, SD-Studi
Dokumentasi)
4.2.3.2 Resume Bukti Audit [ Kuesioner, wawancara, dan observasi: lihat Lampiran L.36 , L.43, L.51 ]
Klasifikasi : Identification & Authentication Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak adanya proses identifikasi dan authentikasi untuk mengakses sistem aplikasi mengakibatkan terjadinya aktivitasaktivitas yang tidak terotorisasi dalam penggunaan aplikasi oleh unauthorized user. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa para staf bekerja pada ruangan yang sama, dan tidak semua komputer terhubung dalam jaringan client-server untuk keperluan penggunaan aplikasi DBS. Oleh karena itu, tingkat probability tergolong dalam kategori M.
124 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Terdapat penggunaan username dan password pada aplikasi DBS.
Setiap karakter password yang dimasukkan, pada layar komputer ditampilkan dalam bentuk titik hitam tebal ( ● ).
Username dan password bersifat case-sensitive, dan karakter yang dimasukkan dapat berupa alphanumeric mix.
Adanya pembatasan usaha (limited trial) untuk melakukan log-in.
Aplikasi tidak melakukan log-out secara otomatis terhadap kekosongan aktivitas yang dilakukan oleh user pada aplikasi (terminated- log out).
Aplikasi tidak menampilkan pesan informasi mengenai waktu akses terakhir yang dilakukan user. Apabila user berhasil melakukan log-in, maka akan langsung masuk ke menu utama dari aplikasi DBS.
Adanya penekanan dari pihak pimpinan untuk tidak memberitahukan username dan password yang dimiliki oleh staf pengguna aplikasi DBS.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori M.
125
Gambar 4.1 Tampilan Menu Log - in
Gambar 4.2 Tampilan atas Invalid Password
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui hal-hal sebagai berikut:
Semua staf menggunakan password yang terdiri dari kombinasi huruf besar, huruf kecil dan juga karakter angka.
126
Adanya pembatasan usaha (limited trial) untuk melakukan login sebanyak 3 kali. Apabila telah 3 kali gagal, maka account user yang bersangkutan akan diblokir.
Jumlah digit minimal untuk karakter password yaitu sebanyak 3 (tiga) digit.
Tidak dilakukan penggantian password secara berkala.
Tidak dilakukan penghapusan username dan password bagi karyawan yang sudah tidak bekerja lagi di perusahaan.
Semua
staf
pengguna
aplikasi
DBS
tidak
diperbolehkan
untuk
memberitahukan username dan password yang dimilikinya. Oleh karena itu, tingkat coverage tergolong dalam kategori M.
Klasifikasi : Action Privilege Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak adanya penetapan action privilege dari setiap user atas suatu aplikasi mengakibatkan terjadinya unauthorized use dari sumber daya aplikasi yang ada karena tidak dibatasinya tindakan yang diperbolehkan untuk level jabatan dan wewenang yang dimiliki oleh staf terkait. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori H.
127 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa aplikasi DBS merupakan software dengan modul-modul yang terintegrasi, meliputi general ledger, cash and bank, account receivable, account payable, sales, purchases, dan inventory. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Terdapat menu ”User Setup” yang berfungsi untuk menetapkan level akses dari setiap user pengguna aplikasi DBS.
Penetapan action privilege terhadap masing-masing staf pengguna aplikasi hanya dapat dilakukan oleh pimpinan perusahaan.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa pimpinan perusahaan men-set semua staf pengguna aplikasi sebagai level administrator, yang berarti dapat melakukan read, add, update, dan delete terhadap
128 semua modul yang ada. Oleh karenanya, tingkat coverage tergolong dalam kategori L.
Gambar 4.3 Tampilan Menu ”User Setup”
Klasifikasi : Logs and Auditability 1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak adanya catatan (logs) atas aktivitas user di dalam aplikasi berakibat pada tidak dapat dilakukannya pelacakan atau penelusuran terhadap kemungkinan aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
129 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa aplikasi DBS merupakan software dengan modul-modul yang terintegrasi, dan semua staf pengguna aplikasi diset sebagai level administrator. Oleh karena itu,tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa terdapat menu ”Transactional Record Events” yang memuat informasi mengenai semua aktivitas dalam aplikasi yang dilakukan oleh user. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa tidak pernah dilakukan evaluasi atas informasi user logs yang tersedia pada menu ”Transactional Record Events”. Oleh karenanya, tingkat coverage tergolong dalam kategori L.
130
4.2.3.3 Matrik Penilaian Resiko dan Pengendalian Risk
No.
Impact
Probability
Control
Risk
Reliability
Coverage
value
1.
Tidak adanya identifikasi authentikasi.
proses dan
H
M
-8
2.
Tidak terdapat penetapan action privilege.
H
H
-9
3.
Tidak adanya catatan (logs) atas aktivitas user di dalam aplikasi. Total ::
M
H
-6
- 23
Penggunaan username & password; penyamaran karakter password; case-sensitive; alphanumeric mix; limited trial; penekanan dari pimpinan untuk tidak memberitahukan username & password yang dimiliki; tidak adanya terminated-log out dan informasi mengenai previous log-ins. Terdapat menu “User Setup”, dan penetapan action privilege yang hanya dapat dilakukan oleh pimpinan perusahaan. Terdapat menu ”Transactional Record Events” pada aplikasi.
Control value
Total Value *
M
M
5
-3
H
L
7
-2
H
L
7
1
19
-4
Total ::
* T otal value = Risk value – Control value
[Keterangan: H - High, M - Medium, L – Low] Tabel 4.5 Matrik Penilaian Resiko dan Pengendalian -- Boundary Control
Berdasarkan matrik penilaian resiko dan pengendalian di atas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar -4 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian batasan yang kurang baik. Bahwa resiko-resiko batasan yang ada lebih besar dari tingkat pengendalian yang saat ini diterapkan oleh perusahaan.
131 4.2.3.4 Temuan Audit 1. Tidak dilakukannya penggantian password secara berkala. Para staf perusahaan tidak melakukan penggantian terhadap password yang dimilikinya untuk keperluan mengakses aplikasi DBS secara berkala. Beberapa staf malah tidak pernah melakukan penggantian password. Seharusnya dilakukan penggantian password secara berkala untuk mencegah penjebolan password oleh unauthorized user. Kondisi ini terjadi karena tidak adanya kebijakan perusahaan yang mengharuskan para staf untuk melakukan penggantian password secara berkala. Dari hasil evaluasi diketahui bahwa sampai saat ini belum pernah terdapat laporan dari staf mengenai kebocoran atau diketahuinya password oleh pihak lain atas aplikasi DBS yang digunakan. Namun demikian, resiko tetap saja ada. Oleh karena itu, untuk menjamin keamanan dari password yang digunakan, perusahaan sebaiknya menetapkan kebijakan yang mengharuskan setiap staf untuk melakukan penggantian password secara berkala.
2. Tidak dihapusnya username dan password bagi karyawan yang sudah tidak bekerja lagi di perusahaan. Username dan password dari staf pengguna aplikasi DBS yang telah mengundurkan diri tidak pernah dihapus. Jadi, semua username dan password tersebut masih aktif dan dapat digunakan untuk mengakses aplikasi DBS. Seharusnya dilakukan penghapusan username dan password terhadap semua staf yang sudah tidak bekerja lagi di perusahaan.
132 Kondisi ini terjadi karena kurangnya perhatian dari pimpinan perusahaan mengenai resiko di aksesnya aplikasi DBS oleh unauthorized user dengan menggunakan username dan password staf yang sudah tidak bekerja di perusahaan. Dari hasil evaluasi atas ”Transactional Record Events” yang ada, diketahui bahwa sampai saat ini tidak pernah terjadi pengaksesan aplikasi DBS dengan menggunakan username dan password dari staf yang sudah tidak bekerja di perusahaan. Namun demikian, resiko tetap saja ada. Oleh karena itu, pimpinan perusahaan sebaiknya melakukan penghapusan terhadap username dan password bagi setiap staf yang sudah berhenti bekerja untuk lebih menjamin keamanan pengaksesan ke aplikasi DBS.
Gambar 4.4 Tampilan Menu Transactional Record Events
3. Jumlah minimal digit untuk karakter password yaitu sebanyak 3 (tiga) digit. Untuk keperluan login, jumlah minimal digit yang diperlukan pada aplikasi DBS Solutions yang digunakan perusahaan adalah sebanyak 3 (tiga) digit.
133 Seharusnya untuk keperluan password digunakan jumlah minimal digit enam buah untuk memberikan jaminan keamanan password yang lebih tinggi. Kondisi ini terjadi karena pada saat pembelian aplikasi, pimpinan perusahaan tidak mempermasalahkan mengenai hal tersebut kepada pihak software developer. Sebagian dari para staf untuk keperluan password hanya menggunakan jumlah digit karakter kurang dari enam buah, yang hal ini menyebabkan kerentanan terhadap penjebolan password yang digunakan. Oleh karena itu, perusahaan sebaiknya menghubungi pihak software developer untuk melakukan perbaikan atas aplikasi DBS yang digunakan, yaitu dengan menambahkan jumlah minimal digit karakter password yang disyaratkan.
4. Semua staf pengguna aplikasi DBS di-set sebagai level administrator. Pimpinan perusahaan menetapkan semua staf pengguna aplikasi DBS sebagai level administrator, yang berarti dapat melakukan read, add, update, dan delete terhadap semua modul yang terdapat pada aplikasi. Seharusnya diberikan action privilege yang berbeda tergantung dari tingkatan jabatan dan kebutuhan dari setiap staf pengguna aplikasi DBS. Kondisi ini terjadi karena pertimbangan dari pimpinan perusahaan untuk mengantisipasi apabila staf yang berwenang untuk mengakses modul tertentu sedang tidak berada di tempat, maka modul tersebut dapat diakses oleh staf lain apabila benarbenar dibutuhkan pada kondisi yang mendesak. Dari hasil evaluasi, sampai saat ini tidak pernah terjadi pengaksesan modul di luar modul yang menjadi tugas dan wewenang dari masing-masing staf pengguna
134 aplikasi DBS. Namun demikian, kemungkinan terjadinya unauthorized action tetap saja ada. Oleh karena itu, untuk menjamin authorized action dari setiap staf sebaiknya action privilege untuk level administrator hanya diberikan kepada staf tertentu yang dipercaya, sedangkan untuk staf pengguna aplikasi DBS lainnya cukup ditetapkan sebagai level user.
5. Tidak dilakukannya evaluasi secara berkala atas user logs yang tersedia. Pimpinan perusahaan tidak pernah melakukan evaluasi atas user logs yang tersedia pada aplikasi DBS, yaitu pada menu ”Transactional Record Events”. Menu tersebut selama ini tidak pernah digunakan. Seharusnya dilakukan evaluasi secara berkala atas user logs dalam rangka untuk melakukan pelacakan atau penelusuran terhadap kemungkinan aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi. Kondisi ini terjadi karena kurangnya perhatian dari pimpinan perusahaan mengenai pentingnya untuk dilakukan evaluasi atas user logs yang tersedia. Dari hasil evaluasi, sampai saat ini tidak pernah terdapat aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi. Namun demikian, kemungkinan terjadinya aktivitas user yang tidak terotorisasi tetap saja ada. Oleh karena itu, pimpinan perusahaan sebaiknya melakukan evaluasi secara berkala atas user logs yang tersedia.
135 4.2.3.5 Rekomendasi Audit No.
Temuan Audit
Resiko
Existing condition
Rekomendasi
1.
Tidak dilakukannya penggantian password secara berkala.
Diketahuinya atau berhasil dijebolnya password oleh unauthorized user.
Menetapkan kebijakan yang mengharuskan setiap staf untuk melakukan penggantian password secara berkala.
2.
Tidak dihapusnya username dan password bagi karyawan yang sudah tidak bekerja lagi di perusahaan.
3.
Jumlah minimal digit untuk karakter password yaitu sebanyak 3 (tiga) digit.
Terjadinya pengaksesan aplikasi DBS oleh unauthorized user dengan menggunakan username dan password staf yang sudah tidak bekerja di perusahaan. Diketahuinya atau berhasil dijebolnya password oleh unauthorized user.
Bahwa sampai saat ini belum pernah terdapat laporan dari staf mengenai kebocoran atau diketahuinya password oleh pihak lain atas aplikasi DBS yang digunakan. Bahwa sampai saat ini tidak pernah terjadi pengaksesan aplikasi DBS dengan menggunakan username dan password dari staf yang sudah tidak bekerja di perusahaan.
4.
Semua staf pengguna aplikasi DBS di-set sebagai level administrator.
5.
Tidak dilakukannya evaluasi secara berkala atas user logs yang tersedia.
Terjadinya unauthorized use dari sumber daya aplikasi yang ada karena tidak dibatasinya tindakan yang diperbolehkan untuk level jabatan dan wewenang yang dimiliki oleh staf terkait. Tidak diketahuinya aktivitasaktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi.
Sebagian dari para staf untuk keperluan password hanya menggunakan jumlah digit karakter kurang dari enam buah Bahwa sampai saat ini tidak pernah terjadi pengaksesan modul di luar modul yang menjadi tugas dan wewenang dari masing-masing staf pengguna aplikasi DBS. Bahwa sampai saat ini tidak pernah terdapat aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi.
Tabel 4.6 Rekomendasi Audit -- Boundary Control
Pihak pelaksana Pimpinan perusahaan
Melakukan penghapusan terhadap username dan password bagi setiap staf yang sudah berhenti bekerja di perusahaan.
Pimpinan perusahaan
Melakukan perbaikan atas aplikasi DBS yang digunakan, yaitu dengan menambahkan jumlah minimal digit karakter password yang disyaratkan. Action privilege untuk level administrator hanya diberikan kepada staf tertentu yang dipercaya saja, sedangkan untuk staf pengguna aplikasi DBS lainnya cukup ditetapkan sebagai level user. Melakukan evaluasi secara berkala atas user logs yang tersedia.
Software developer
Pimpinan perusahaan
Pimpinan perusahaan
136 4.2.4 Pengendalian Masukan 4.2.4.1 Program Audit Type Classification Substantive Test of test Pengendalian Data Input Lakukan peninjauan mengenai Masukan metode input yang digunakan. Method Dapatkan informasi mengenai apakah penginputan selalu dilakukan dengan menggunakan dokumen sumber. Dapatkan informasi mengenai apakah dilakukan rechecking terhadap dokumen sumber atas data yang diinput sebelum dilakukan pensavean. Source Document Design
Data Entry Screen Design
Data code control
Audit Instrument K, W, O K, W, O K, W, O
Dapatkan informasi mengenai layout dan style dari dokumen-dokumen sumber yang digunakan. Dapatkan informasi mengenai penggunaan form template khusus untuk setiap jenis transaksi.
K, W, O, SD
Lakukan peninjauan terhadap screen organization yang ada. Lakukan peninjauan terhadap design caption yang digunakan. Lakukan peninjauan terhadap dataentry field design. Dapatkan informasi tentang adanya penggunaan tabbing/skipping untuk perpindahan antar field pada form. Dapatkan informasi mengenai penggunaan warna yang menunjang efektifitas user dalam menjalankan aplikasi. Cek keberadaan prompting dan help facilities.
K, O, SD
Lakukan peninjauan mengenai penggunaan alphabet/numeric mix. Dapatkan informasi tentang penggunaan kombinasi antara huruf besar dan kecil pada kode. Cek mengenai predictability of character sequence pada kode-kode yang digunakan.
K, W, O, SD
K, O, SD K, O, SD W, O, T K, W, O
K, O, SD, T K, W, O, SD K, W, O, SD W, O, SD
137 Dapatkan informasi tentang jenis sistem pengkodean yang digunakan. Batch control Cek keberadaan control total atas logical batch yang ada. Validation of Dapatkan informasi mengenai adanya pengecekan data inputan yang data input dilakukan oleh aplikasi terhadap kriteria: o alphanumeric field o limit o validity o missing data/blank o sequence Dapatkan informasi mengenai Instruction instruction input approach yang Input digunakan. (Keterangan:
K-Kuesioner,
W-Wawancara,
O-Observasi,
T-Testing,
W, O, SD W, O, SD
W, O, T W, O, T W, O, T W, O, T W, O, T K, W, O, SD, T SD-Studi
Dokumentasi)
4.2.4.2 Resume Bukti Audit [ Kuesioner, wawancara, dan observasi : lihat lampiran L.37, L.45, L.52 ]
Klasifikasi : Data Input Method Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa keyboarding (medium-based input method) merupakan metode penginputan data yang paling rawan terhadap terjadinya error ataupun irregularities dibandingkan dengan metode-metode lainnya (direct reading dan direct entry method). Dengan keyboarding, kesalahan dapat terjadi
138 ketika keying dilakukan. Oleh karenanya, impact dari metode penginputan data dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko metode penginputan yang digunakan, diketahui bahwa:
Seluruh transaksi perusahaan yang terjadi diinput berdasarkan dokumen sumber.
Penginputan data yang dilakukan oleh seluruh staf menggunakan metode keyboarding.
Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko atas metode penginputan data yang digunakan, diketahui hal-hal sebagai berikut:
terdapat pemeriksaan kembali (checking) atas data-data yang diinput terhadap dokumen sumber, sebelum save dilakukan.
Adanya pembagian tugas dan tanggung jawab yang jelas atas kebenaran data yang termuat pada dokumen sumber.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
139 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko metode penginputan data yang digunakan, diketahui hal-hal sebagai berikut:
Atas seluruh data yang diinput, selalu dilakukan pemeriksaan kembali oleh staf admin stock sebelum save dilakukan.
Terdapat line of responsibility yang jelas atas keabsahan dokumen sumber, sebelum akhirnya dokumen sumber diberikan kepada staf admin untuk dientri.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Klasifikasi : Source Document Design Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa layout dan style dokumen sumber yang buruk, terutama berakibat pada menurunnya kecepatan user dalam melakukan penginputan data dan menghambat kinerja user dalam melakukan subsequent reference checking. Oleh karenanya, impact dari rancangan dokumen sumber dimasukkan dalam kategori L.
140 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko rancangan dokumen sumber yang buruk, diketahui bahwa untuk keperluan penginputan pada sistem informasi persediaan, beberapa jenis transaksi menggunakan dokumen sumber berupa nota serba guna, diantaranya yaitu dokumen sumber yang digunakan untuk kepentingan pencatatan barang rusak, barang renovasi, dan koreksi stok. Oleh karena itu, tingkat probability tergolong dalam kategori M.
2. Assessment of Control Reliability: Dari hasil evaluasi atas dokumen sumber yang digunakan perusahaan, diketahui mengenai adanya:
Pencantuman judul yang jelas pada dokumen sumber.
Pencetakan (preprint) semua informasi yang konstan.
Penggunaan teknik untuk memberikan penekanan atas perbedaan yang ada, e.g., penggunaan jenis huruf yang berbeda ( italic, bold)
Pengaturan field yang mudah digunakan, diantaranya alur data yang berlaku umum (dari kiri ke kanan, dan dari atas ke bawah); mengelompokkan datadata yang berkaitan.
Penggunaan caption yang diletakkan sebelum data field.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
141 Coverage: Dari hasil evaluasi mengenai cakupan pengendalian atas dokumen-dokumen sumber yang digunakan, diketahui hal-hal sebagai berikut: About Form
Title & heading
Preprint
Technique to emphasis
Easy-to-use field
Caption
Surat jalan pergudangan Sample out Sample in Surat jalan konsinyasi Retur konsinyasi Renovasi Rusak Lain-lain Lap. penjualan konsinyasi
[ lihat lampiran L.21, L.22, L.23, L.24, L.25, L.26, L.29] Tabel 4.7 Cakupan Pengendalian atas Dokumen Sumber Keterangan:
: fully -covered : partially-covered : not-covered
Oleh karena itu, tingkat coverage secara keseluruhan tergolong dalam kategori M.
Klasifikasi : Data - Entry Screen Design Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa kualitas rancangan layar yang buruk berakibat pada meningkatnya frekuensi input errors dan menjadi penyebab ketidakefektif dan efisienan dari kegiatan penginputan data yang dilakukan. Oleh
142 karenanya, impact dari kualitas rancangan layar yang buruk dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko kualitas rancangan layar yang buruk, diketahui bahwa aplikasi DBS merupakan paket aplikasi terstandarisasi untuk kebutuhan perusahaan menengah, yang dibeli dari software developer (bukan built-in-house). Oleh karena itu, tingkat probability tergolong dalam kategori M.
2. Assessment of Control Reliability: Dari hasil evaluasi atas rancangan layar penginputan data, diketahui mengenai adanya:
Screen organization yang baik, berupa keseimbangan jumlah elemen yang ada pada ke dua sisi layar, elemen-elemen yang tersusun dengan rapi, dan adanya konsistensi bentuk rancangan pada semua form yang ada.
Caption yang secara jelas dapat dibedakan dari data-entry field terkait (e.g., dengan penggunaan warna atau display intensities yang berbeda).
Data entry field yang selalu didahului oleh caption terkait, dan penggunaan caption yang secara jelas mengidentifikasikan maksudnya.
Penggunaan tabbing untuk pindah ke data-entry field berikutnya.
Penggunaan warna secara konsisten dan tidak menyilaukan mata.
143
Fasilitas prompting dan help yang memberikan deskripsi pesan atau informasi secara jelas.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan pengendalian yang ada atas rancangan layar penginputan data, diketahui bahwa semua data-entry screen yang ada pada sistem informasi persediaan memenuhi kriteria-kriteria diatas, kecuali pada form query laporan. Rancangan layar form query laporan memiliki kekurangan yaitu adanya data entry field yang tidak didahului oleh caption yang jelas. Oleh karena itu, tingkat coverage tergolong dalam kategori M.
Gambar 4.5 Kekurangan dari Rancangan Form Query Laporan
144 Klasifikasi : Data Code Controls :
Objective
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa rancangan kode yang buruk menyebabkan keying process menjadi tidak efisien dan juga rawan kesalahan. Oleh karenanya, impact dari rancangan kode yang buruk dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko rancangan kode yang buruk, diketahui bahwa untuk keperluan pengkodean atas produk, perusahaan secara langsung menggunakan kode produk dari supplier; sedangkan untuk keperluan pengkodean lainnya di-customized sendiri oleh staf admin stock. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi atas rancangan kode-kode yang digunakan, diketahui hal-hal sebagai berikut:
Penggunaan sistem block sequence codes dan association codes secara konsisten.
145
Terhadap alphanumeric mix characters, dilakukan pengelompokan atas masing-masing jenis karakter (e.g., CHY-0030)
Hanya digunakan uppercase font saja untuk keperluan pengkodean.
Penggunaan character sequence yang mudah diprediksi.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan pengendalian atas rancangan kode-kode yang digunakan, diketahui hal-hal sebagai berikut:
Semua kode barang yang ada menggunakan jenis sistem pengkodean berupa block sequence codes.
Semua kode-kode transaksi lainnya (selain kode barang) menggunakan association codes. About
Consistency
Code
Alphanumeric mix
Uppercase only
Character sequence
Produk Surat jalan pergudangan Sample out Sample in Surat jalan konsinyasi Retur konsinyasi Renovasi Rusak Lain-lain
[ lihat lampiran L.31, L.33 ] Tabel 4.8 Cakupan Pengendalian atas Rancangan Kode Keterangan:
:
fully-covered
: partially-covered Oleh karena itu, tingkat coverage tergolong dalam kategori M.
146 Klasifikasi : Batch Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tanpa adanya batch control menyebabkan tidak diketahuinya total keseluruhan (grand total) atas batch terkait, sehingga tidak dapat dilakukan analisa perbandingan. Hal ini memicu terjadinya irregularities dan juga eror yang tidak terdeteksi. Oleh karenanya, impact dari tidak adanya batch control dimasukkan dalam kategori H.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko tidak adanya batch control, diketahui bahwa terdapat perhitungan secara manual terhadap total nilai dari transaksi yang ada pada setiap batch. Oleh karena itu, tingkat probability tergolong dalam kategori L.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian dalam menghadapi resiko yang ada, diketahui bahwa terdapat control total atas batch yang dientry ke dalam form aplikasi. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
147 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian dalam menghadapi resiko yang ada, diketahui bahwa control total terdapat pada semua form transaksi yang ada. Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Gambar 4.6 Control Total atas Batch Transaksi
Klasifikasi : Validation of Data Input Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak terdeteksinya kesalahan atas data yang diinput berakibat fatal, yaitu berupa rentetan korelasi kesalahan pengupdatean pada data-data terkait lainnya. Oleh karenanya, impact dari tidak adanya validasi atas data inputan dimasukkan dalam kategori H.
148 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko tidak adanya validasi atas data inputan, diketahui bahwa penginputan dilakukan dengan metode keyboarding sehingga rawan akan kesalahan (karena faktor kelalaian manusia). Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian dalam menghadapi resiko yang ada, diketahui bahwa terdapat validasi data inputan terhadap alphanumeric field, limit, validity, missing data/blanks atas kode form, dan sequence. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian dalam menghadapi resiko yang ada, diketahui bahwa jenis validasi atas data inputan yang disebutkan diatas berlaku pada semua form yang ada pada aplikasi. Oleh karena itu, tingkat coverage tergolong dalam kategori H.
149
Gambar 4.7 Validation of Data Input
Gambar 4.8 Referensi ke Kode Barang Terdekat atas Inputan Kode Barang yang Tidak Valid
Klasifikasi : Instruction Input Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa
bentuk instruksi masukan yang
digunakan pada aplikasi berpengaruh terhadap tingkat efisiensi dari user dalam
150 rangka mengkomunikasikan tindakan (action) yang user inginkan untuk dijalankan oleh sistem. Bentuk instruksi masukan yang tidak sesuai bagi user memperlambat kinerja user dalam menjalankan aplikasi terkait. Oleh karenanya, impact dari bentuk instruksi masukan dimasukkan dalam kategori L.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko ketidaksesuaian bentuk instruksi masukan, diketahui bahwa adanya kebijakan perusahaan dalam hal perekrutan karyawan, yaitu untuk posisi jabatan staf admin harus memiliki latar belakang sistem informasi. Oleh karena itu, tingkat probability tergolong dalam kategori L.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian dalam menghadapi resiko yang ada, diketahui bahwa aplikasi DBS Solutions menggunakan menudriven language, yang merupakan cara yang paling mudah dan sederhana bagi user dalam memberikan insruksi untuk dijalankan oleh sistem aplikasi. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian dalam menghadapi resiko yang ada, diketahui bahwa:
151
Adanya pengelompokkan yang baik dan mudah dimengerti (berdasarkan kategori) atas menu-menu item yang ada.
Penggunaan icon-icon pada menu yang mudah dimengerti oleh user.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Gambar 4.9 Menu-driven Language
152
4.2.4.3 Matrik Penilaian Resiko dan Pengendalian No.
Risk
Impact
Probability
Risk
Control
Reliability
Coverage
value
1.
Penggunaan keyboarding.
metode
H
H
-9
2.
Rancangan dokumen sumber yang buruk.
L
M
-2
3.
Data-entry screen design yang buruk.
M
M
-5
4.
Sistem pengkodean data yang buruk.
H
H
-9
5.
Tidak adanya batch control. Tidak adanya validasi atas data inputan.
H
L
-7
H
H
-9
6.
Dilakukan pemeriksaan kembali (checking) atas data yang diinput sebelum save dilakukan, terdapat line of responsibility yang jelas atas keabsahan dokumen sumber. Pencantuman judul, preprint information, technique to emphasis, easy-to-use field, dan caption. Adanya screen organization yang baik, data entry field yang selalu didahului oleh caption terkait, tabbing, warna yang konsisten, fasilitas prompting dan help. Penggunaan sistem block sequence codes dan association codes secara konsisten; pengelompokan terhadap karakter alphanumeric mix; uppercase font only; dan character sequence yang mudah diprediksi Terdapat control total atas batch yang dientri pada setiap form transaksi. Terdapat validasi data inputan terhadap alphanumeric field, limit, validity, missing data/blanks atas kode form, dan sequence.
Control value
Total Value *
H
H
9
0
H
M
8
6
H
M
8
3
H
M
8
-1
H
H
9
2
H
H
9
0
153
7.
Penggunaan bentuk instruksi masukan yang tidak sesuai
L
L
Total ::
-1
- 42
Aplikasi DBS menggunakan language yang user-friendly.
menu-driven
H
H
Total ::
9
60
* T otal value = Risk value – Control value
[Keterangan: H - High, M - Medium, L – Low] Tabel 4.9 Matrik Penilaian Resiko dan Pengendalian -- Input Control
Berdasarkan matrik penilaian resiko dan pengendalian di atas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar 18 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian masukan yang baik. Bahwa resiko-resiko masukan yang ada lebih kecil dari tingkat pengendalian yang saat ini diterapkan oleh perusahaan.
8
18
154 4.2.4.4 Temuan Audit 1. Design dokumen sumber surat jalan konsinyasi yang kurang tertata dengan baik. Surat jalan konsinyasi yang digunakan sebagai salah satu dokumen sumber untuk keperluan penginputan pada sistem informasi persediaan memiliki design yang kurang baik, yaitu dalam hal penempatan kolom field kuantitas, nama, dan kode produk yang kurang sesuai. Seharusnya dilakukan pengaturan field yang mudah digunakan, yaitu dengan mengikuti natural sequence yang berlaku umum (dengan cara menempatkan field kode produk yang diikuti dengan field nama produk dan field kuantitas). Kondisi tersebut terjadi karena khusus untuk design dokumen sumber surat jalan konsinyasi dibuat oleh kepala gudang, sedangkan untuk template dokumen sumber lainnya mengikuti format yang telah ditetapkan perusahaan. Oleh karena itulah terjadi perbedaan bentuk format dokumen sumber. Hal ini menyebabkan penurunan kinerja dari staf admin dalam melakukan pengentrian data sebab urutan kolom field yang ada pada dokumen sumber surat jalan konsinyasi berbeda dari dokumen-dokumen sumber inputan lainnya. Oleh karena itu, sebaiknya design dari surat jalan konsinyasi direvisi, yaitu dengan menempatkan field kode produk sebelum field nama produk dan field kuantitas.
155 2. Dokumen sumber untuk barang renovasi, barang rusak, dan koreksi stok tidak mencantumkan mengenai judul dokumen. Untuk keperluan pencatatan barang renovasi, barang rusak, dan koreksi stok digunakan dokumen sumber berupa nota serba guna yang tidak mencantumkan mengenai judul spesifik dari tiap dokumen. Seharusnya terdapat pencantuman judul secara jelas pada setiap dokumen sumber yang digunakan. Kondisi tersebut terjadi karena perusahaan tidak memiliki format template khusus untuk ketiga jenis transaksi tersebut, sehingga diambil jalan pintas dengan menggunakan nota serba guna. Sampai saat ini hal tersebut tidak menjadi masalah bagi para staf dalam penggunaan dokumen sumber tersebut. Namun demikian, adanya pencantuman judul pada tiap dokumen membantu dalam melakukan pengidentifikasian dokumen secara cepat. Oleh karena itu, sebaiknya perusahaan membuat format template khusus untuk masing-masing jenis transaksi tersebut.
3. Design dokumen sumber sample-out dan sample-in tidak menggunakan technique to emphasis. Pada dokumen sumber sample-out dan sample-in tidak terdapat penggunaan teknik untuk memberikan penekanan atas perbedaan isi dokumen yang ada. Seharusnya digunakan teknik untuk memberikan penekanan atas perbedaan yang ada, e.g., penggunaan jenis huruf yang berbeda (italic, bold).
156 Kondisi tersebut terjadi karena kurangnya perhatian mengenai masalah design ketika template dokumen sumber sample-out dan sample-in dibuat. Sampai saat ini hal tersebut tidak menjadi masalah bagi para staf dalam penggunaan dokumen sumber tersebut. Namun demikian, adanya penggunaan technique to emphasis membantu kinerja staf admin dalam melakukan penginputan data. Oleh karena itu, sebaiknya dilakukan revisi atas design dokumen sumber sample-out dan sample-in, yaitu dengan menggunakan huruf tebal (bold) dan huruf besar (uppercase) pada bagian-bagian tertentu dari dokumen.
4. Penggunaan association codes yang kurang konsisten. Association codes yang digunakan pada kode-kode transaksi (selain kode barang) memiliki format kode yang kurang konsisten, diantaranya yaitu pada kode renovasi, barang rusak, lain-lain, retur, surat jalan pergudangan, dan konsinyasi. Format kode yang saat ini diterapkan beragam [Lihat lampiran L.33]. Seharusnya pada association codes digunakan susunan atribut secara konsisten sehingga mudah diingat dan tidak rawan kesalahan. Kondisi tersebut terjadi karena tidak adanya standar yang ditetapkan perusahaan mengenai format pengkodean atas transaksi-transaksi yang terjadi. Perusahaan memberikan kewenangan kepada staf admin untuk menentukan sendiri format kode transaksi yang diperlukan. Dari hasil evaluasi, diketahui bahwa sampai saat ini tidak pernah terjadi kesalahan penginputan kode yang disebabkan format kode yang kurang konsisten. Hal ini didukung dengan adanya fasilitas input validation
pada aplikasi, yang berupa
157 ”sequence”, dimana aplikasi secara langsung menghasilkan nomor urut form selanjutnya dari transaksi terkait. Meskipun demikian, konsistensi format kode tetap dibutuhkan untuk memudahkan dalam melakukan pencarian (searching) atas kode transaksi. Oleh karena itu, sebaiknya perusahaan menetapkan kebijakan mengenai satu standar format pengkodean yang berlaku untuk semua jenis transaksi yang ada. Format kode yang dapat diimplementasikan yaitu: Tipe Transaksi – Thn / Bln –No.urut keterjadian dalam bulan terkait (e.g., RNV-08/02-011)
5. Tidak dilakukan pengelompokan atas karakter alphanumeric mix yang digunakan pada beberapa kode produk. Dari 13 (tiga belas) kategori produk yang dimiliki perusahaan, terdapat 5 (lima) kategori produk yang menggunakan karakter alphanumeric mix pada kode produknya, antara lain pada kategori ”Golden”, ”Kawa”, ”Andersen”, ”Zhen Xing”, dan ”Apple”. Pada kode-kode produk tersebut, tidak dilakukan pengelompokan atas karakter alphabetic dan numeric yang digunakan. Seharusnya terhadap kode produk yang menggunakan karakter alphanumeric mix dilakukan pengelompokkan antar karakter-karakter yang sejenis, yaitu antara karakter huruf dan karakter angka. Kondisi tersebut terjadi karena perusahaan menetapkan kebijakan untuk menggunakan secara langsung kode produk supplier sebagai kode produk perusahaan. Dari hasil evaluasi, diketahui bahwa kesalahan dalam hal pengentrian kode produk atas 13 jenis kategori tersebut jarang sekali terjadi. Hal ini dikarenakan masing-
158 masing kategori mempunyai keunikan susunannya tersendiri, dan memiliki format kode yang konsisten dalam tiap jenis kategori. Namun demikian, kemungkinan kesalahan dalam melakukan pengentrian kode produk masih tetap ada. Oleh karena itu, perusahaan sebaiknya melakukan revisi terhadap format kode produk pada kategori-kategori tersebut untuk meminimalkan resiko kesalahan dalam melakukan pengentrian data dikarenakan adanya rhytmic keyboard user yang terganggu.
6. Penggunaan caption yang kurang jelas pada form query laporan. Pada form-form query laporan, terdapat penggunaan caption yang kurang jelas dalam mengidentifikasikan range dari data entry field yang harus diisi, yaitu pada caption ”Kode barang”, ”Lokasi”, dan ”Tanggal”. Seharusnya data entry field selalu didahului oleh caption terkait yang secara jelas mengidentifikasikan maksudnya. Kondisi tersebut terjadi karena menurut pihak software developer, rancangan form query laporan yang terdapat pada aplikasi sudah baik dan mudah untuk dimengerti. Walaupun sampai saat ini tidak pernah terdapat keluhan dari staf mengenai kesulitan dalam melakukan query terhadap laporan (oleh karena selalu dilakukannya pelatihan atas pengoperasian aplikasi bagi karyawan baru). Namun demikian, kesalahan dalam melakukan query dapat saja terjadi karena rancangan form yang kurang baik. Oleh karena itu, perusahaan sebaiknya menghubungi pihak software developer untuk memperbaiki rancangan form-form query laporan yang terdapat pada aplikasi.
159
4.2.4.5 Rekomendasi Audit No.
Temuan Audit
Resiko
Existing condition
Rekomendasi
1.
Design dokumen sumber surat jalan konsinyasi yang kurang tertata dengan baik.
Penurunan kinerja user dalam melakukan penginputan data.
Melakukan revisi atas design surat jalan konsinyasi, yaitu dengan menempatkan field kode produk sebelum field nama produk dan field kuantitas.
2.
Dokumen sumber untuk barang renovasi, barang rusak, dan koreksi stok tidak mencantumkan mengenai judul dokumen. Design dokumen sumber sample-out dan sample-in tidak menggunakan technique to emphasis.
Pengidentifikasian atas dokumen sumber tidak dapat dilakukan secara cepat.
Menurunnya kecepatan dari staf admin dalam melakukan pengentrian data sebab urutan kolom field yang ada pada dokumen sumber surat jalan konsinyasi berbeda dari dokumendokumen sumber inputan lainnya Bahwa sampai saat ini hal tersebut tidak menjadi masalah bagi para staf dalam penggunaan dokumen sumber tersebut.
Perusahaan sebaiknya membuat format template khusus untuk masing-masing jenis transaksi tersebut.
Pimpinan perusahaan
Penurunan kinerja user dalam melakukan penginputan data.
Bahwa sampai saat ini hal tersebut tidak menjadi masalah bagi para staf dalam penggunaan dokumen sumber tersebut.
Pimpinan perusahaan
Penggunaan association codes yang kurang konsisten.
Keying process menjadi tidak efisien dan juga rawan akan kesalahan.
Bahwa sampai saat ini tidak pernah terjadi kesalahan penginputan kode yang disebabkan format kode yang kurang konsisten. Hal ini didukung dengan adanya fasilitas input validation pada aplikasi, yang berupa ”sequence”.
Melakukan revisi atas design dokumen sumber sample-out dan sample-in, yaitu dengan menggunakan huruf tebal (bold) dan huruf besar (uppercase) pada bagian-bagian tertentu dari dokumen. Perusahaan sebaiknya menetapkan kebijakan mengenai satu standar format pengkodean yang berlaku untuk semua jenis transaksi yang ada.
3.
4.
Pihak pelaksana Pimpinan perusahaan
Pimpinan perusahaan
160 5.
Tidak dilakukan pengelompokan atas karakter alphanumeric mix yang digunakan pada beberapa kode produk.
Terjadinya melakukan produk.
kesalahan dalam pengentrian kode
6.
Penggunaan caption yang kurang jelas pada form query laporan.
Terjadinya kesalahan melakukan query.
dalam
Bahwa kesalahan dalam hal pengentrian kode produk jarang sekali terjadi, karena tiap kategori mempunyai keunikan susunannya tersendiri dan memiliki format kode yang konsisten. Bahwa sampai saat ini tidak pernah terdapat keluhan dari staf mengenai kesulitan dalam melakukan query terhadap laporan.
Tabel 4.10 Rekomendasi Audit -- Input Control
Melakukan revisi terhadap format kode produk pada kategori-kategori tersebut.
Pimpinan perusahaan
Perusahaan sebaiknya menghubungi pihak software developer untuk memperbaiki rancangan form-form query laporan yang terdapat pada aplikasi.
Software developer
161 4.2.5 Pengendalian Keluaran 4.2.5.1 Program Audit Type of test Output Control
Classification Report Design Control
Printing Control
Report Distribution Control User Output Control
Storage Control
Report Collection Control Retention Control
Substantive Test
Audit Instrument K, W, O, SD
Lakukan peninjauan terhadap elemen-elemen informasi yang termuat pada form-form laporan yang dihasilkan. Dapatkan informasi mengenai K, W, O pembedaan printer untuk keperluan pencetakan laporan yang berbeda. Lakukan peninjauan terhadap K, W, O keberadaan lokasi printer. Dapatkan informasi mengenai tata K,W, O cara pendistribusian laporan yang dilakukan. Dapatkan informasi mengenai K, W, O dilakukannya pengecekan atas kebenaran informasi oleh pengguna laporan. Dapatkan informasi mengenai K,W, SD dilakukannya perbandingan sisa stok antara data yang tercatat pada DBS dengan hasil opname fisik. Lakukan pengecekan terhadap K, W, AP, keakuratan control total yang ada. SD Lakukan peninjauan mengenai W, AP, SD kesesuaian antara data input dengan output yang dihasilkan. Dapatkan informasi mengenai lokasi K,W, O penyimpanan laporan yang diarsipkan. Dapatkan informasi mengenai K, W, O pembatasan hak akses terhadap laporan arsip. Lakukan peninjauan mengenai K, W, O penataan yang dilakukan terhadap laporan arsip. Dapatkan informasi mengenai adanya K, W, O kebijakan perusahaan untuk mengumpulkan laporan yang dicetak secara seketika. Dapatkan informasi mengenai jangka K, W, SD waktu penyimpanan atas laporan.
162 Destruction Control
(Keterangan:
K-Kuesioner,
Dapatkan informasi mengenai kebijakan perusahaan terhadap laporan-laporan yang sudah tidak dibutuhkan. Lakukan peninjauan mengenai keberadaan dan penggunaan paper shredder. W-Wawancara, O-Observasi, T-Testing,
K, W, O, SD K, W, O SD-Studi
Dokumentasi)
4.2.5.2 Resume Bukti Audit [ Kuesioner, wawancara, dan observasi: lihat lampiran L.38, L.47, L.53 ]
Klasifikasi : Report Design Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa rancangan laporan yang buruk menyebabkan ketidakefisienan dalam penggunaan laporan, dan juga meningkatkan kemungkinan terjadinya unauthorized removal dari halaman laporan yang dicetak untuk menutupi tindakan penyelewengan yang dilakukan. Oleh karenanya, impact dari rancangan laporan yang buruk dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko rancangan laporan yang buruk, diketahui bahwa aplikasi DBS merupakan paket aplikasi terstandarisasi menurut kebutuhan perusahaan menengah,
163 yang dibeli dari software developer (bukan built-in-house). Oleh karena itu, tingkat probability tergolong dalam kategori L.
2. Assessment of Control Reliability: Dari hasil evaluasi atas rancangan laporan yang terdapat pada aplikasi, didapatkan informasi mengenai adanya pencantuman:
Nama laporan yang secara jelas mengidentifikasikan laporan terkait.
Waktu dan tanggal laporan dicetak (time stamping).
Cakupan periode atas laporan.
Staf yang mencetak laporan terkait.
Nomor halaman dari laporan.
Total halaman dari laporan yang dicetak.
Penanda akhir atas detail laporan yang dicetak.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
164 About Report
Report name
Time stamping
Period covered
Responsible staff
Page number
End of page number
End-ofjob marker
Daftar inventory Sample-out Sample-in Antar lokasi Daftar harga Nilai inventory Qty variance Saldo qty per lokasi Kartu stock
[ Lihat Lampiran L.12 , L.13 , L.14 , L.15, L.16, L.17, L.18, L.19, L.20 ] Tabel 4.11 Cakupan Pengendalian atas Rancangan Laporan Keterangan:
: covered. : not- covered.
Oleh karena itu, tingkat coverage tergolong dalam kategori M.
Klasifikasi : Printing Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa pencetakan laporan yang tidak dilakukan pada correct printer berdampak terhadap dilihatnya secara sekilas (scanning) datadata sensitif yang tercetak pada laporan oleh staf yang tidak berwenang. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa para staf bekerja pada ruangan yang sama dan karyawan sering melakukan perpindahan fisik dalam ruangan kantor sehingga
165 memperbesar kemungkinan scanning atas data-data laporan yang tercetak. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa terdapat pembedaan printer untuk keperluan pencetakan laporan, diantaranya yaitu untuk keperluan pencetakan laporan transaksi biasa atau reguler menggunakan printer yang terletak di area publik (di tengah ruangan kantor), sedangkan untuk keperluan pencetakan laporan sensitif digunakan printer yang terletak di lokasi yang terpisah (tidak terletak di area publik). Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Semua laporan yang sensitif selalu dicetak menggunakan secured printer yang tidak terletak di area publik.
Adanya kebijakan perusahaan yang menekankan untuk selalu dilakukan pengecekan atas correct printer yang dipilih sebelum menekan tombol ”print”.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
166
Klasifikasi : Report Distribution Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa pendistribusian laporan yang tidak serahkan langsung kepada user yang dituju menyebabkan terjadinya kehilangan ataupun dibacanya laporan oleh unauthorized user. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa para staf bekerja pada ruangan yang sama dan staf tidak selalu berada di meja kerjanya. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa terdapat kebijakan perusahaan untuk mendistribusikan laporan secara langsung kepada user yang dituju. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
167
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa kebijakan tersebut tidak selalu dipatuhi oleh para karyawan. Apabila user yang dituju sedang tidak berada di tempat, maka biasanya laporan diletakkan langsung di atas meja kerja user yang dituju dan hanya ditempeli dengan memo. Oleh karena itu, tingkat coverage tergolong dalam kategori L.
Klasifikasi : User Output Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak dilakukannya review atas kebenaran isi dari laporan berdampak terhadap tidak terdeteksinya error ataupun irregularities yang terdapat pada laporan. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa laporan yang dicetak biasanya langsung digunakan oleh user yang berkepentingan, tanpa melakukan pengecekan atas kebenaran isi laporan. Oleh karena itu, tingkat probability tergolong dalam kategori H.
168 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Dilakukan perbandingan sisa stok antara data yang tercatat pada DBS dengan hasil opname fisik.
Pada awal pembelian aplikasi, dilakukan review secara mendalam untuk menjamin kehandalan dari aplikasi, yang meliputi uji kesesuaian antara data inputan dengan output yang dihasilkan, dan juga dilakukan tes perhitungan untuk mengecek akurasi dari control total yang ada.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui hal-hal sebagai berikut:
Perbandingan antara sisa stok fisik dengan data DBS dilakukan secara berkala, yaitu pada setiap awal bulan.
Semua laporan output yang dihasilkan memuat data-data yang sesuai dengan data inputan atas transaksi terkait. [ lihat lampiran L.54 ]
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
169 Klasifikasi : Storage Control :
Objective
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa penyimpanan laporan yang tidak terkelola dengan baik berakibat pada kerusakan, kehilangan, dan juga ter-expose nya laporan oleh unauthorized user. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa para staf bekerja pada ruangan yang sama dan dalam kegiatan operasional perusahaan sehari-hari dihasilkan banyak dokumen (report) atas transaksi-transaksi bisnis yang terjadi. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Terdapat lemari loker yang digunakan sebagai tempat menyimpan laporan yang diarsipkan.
170
Adanya staf yang bertanggung jawab terhadap penyimpanan arsip dan kunci loker dipegang olehnya.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa:
Semua laporan yang sudah selesai digunakan dan dibutuhkan sebagai arsip disimpan pada lemari loker.
Arsip-arsip yang disimpan ditata dengan baik menurut kategori yang telah ditetapkan dalam rangka memudahkan pencarian ketika dibutuhkan.
Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Klasifikasi : Report Collection Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak dikumpulkannya laporan yang dicetak secara seketika berdampak terhadap terjadinya kehilangan ataupun unauthorized removal atas laporan yang dihasilkan. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
171 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui hal-hal sebagai berikut:
Lokasi printer untuk keperluan pencetakan laporan transaksi biasa atau reguler terletak di tengah ruangan, yang dapat diakses oleh semua staf.
Untuk secured printer, walau ditempatkan pada lokasi yang terpisah, tetapi tidak terletak pada ruangan yang terkunci.
Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Terdapat kebijakan untuk tidak membiarkan laporan yang dicetak tergeletak pada printer. Laporan harus langsung dikumpulkan dan disimpan pada tempat yang aman.
Terdapat staf yang bertanggung jawab untuk mengumpulkan dan mengamankan laporan output yang tertinggal pada printer.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
172 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa kebijakan tersebut berlaku bagi semua staf yang melakukan pencetakan laporan dan Chief Accounting bertanggung jawab untuk mengamankan semua laporan yang tertinggal pada printer. Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Klasifikasi : Retention Control Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak ditetapkannya jangka waktu atas penyimpanan arsip mengakibatkan arsip yang sebenarnya sudah tidak diperlukan masih mendapatkan maintenance, yang hal ini menyebabkan ketidakefisienan dalam operasional perusahaan. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori L.
Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa dalam kegiatan operasional perusahaan sehari-hari, dihasilkan banyak dokumen (report) atas transaksi-transaksi bisnis yang terjadi. Oleh karena itu, tingkat probability tergolong dalam kategori H.
173 2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa terdapat kebijakan perusahaan yang menetapkan mengenai jangka waktu penyimpanan arsip (retention date expires). Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa perusahaan menetapkan jangka waktu penyimpanan terhadap semua jenis laporan output yang dihasilkan selama 5 tahun. Oleh karena itu, tingkat coverage tergolong dalam kategori H.
Klasifikasi : Destruction Controls Objective
:
1. Assessment of Risk Impact: Dari hasil studi literatur, diketahui bahwa tidak dihancurkannya laporan yang sudah tidak butuhkan berdampak terhadap terjadinya unauthorized use atas laporan tersebut. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.
174 Probability: Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa dalam kegiatan operasional perusahaan sehari-hari dihasilkan banyak dokumen (report) atas transaksi-transaksi bisnis yang terjadi dan juga laporan analisa untuk keperluan adhoc yang tidak perlu untuk diarsipkan. Oleh karena itu, tingkat probability tergolong dalam kategori H.
2. Assessment of Control Reliability: Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:
Terdapat penggunaan paper shredder untuk menghancurkan dokumendokumen yang sudah tidak dibutuhkan.
Adanya kebijakan perusahaan yang menetapkan bahwa untuk arsip-arsip dokumen output yang sudah berumur lebih dari 5 tahun yang akan dihancurkan, perlu dibuat dokumen yang memuat list arsip yang akan dishredding dan dokumen tersebut harus ditandatangani baik oleh yang memberikan otorisasi maupun yang melakukan penghancuran arsip-arsip tersebut.
Adanya kebijakan perusahaan untuk men-shredding semua laporan yang sudah tidak dibutuhkan.
Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.
175 Coverage: Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa tidak semua dokumen yang sudah tidak dibutuhkan di-shredding. Para staf terkadang memotong laporan
yang tidak dibutuhkan menjadi beberapa bagian
untuk dijadikan kertas memo. Oleh karena itu, tingkat coverage tergolong dalam kategori M.
176
4.2.5.3 Matrik Penilaian Resiko dan Pengendalian No.
Risk
Impact
Probability
Risk
Control
Reliability
Coverage
value
1.
Rancangan laporan yang buruk
M
L
-4
2.
Scanning data sensitif yang tercetak pada laporan oleh staf yang tidak berwenang Pendistribusian laporan secara tidak langsung
M
H
-6
M
H
-6
4.
Tidak dilakukan review atas kebenaran isi laporan
M
H
-6
5.
Laporan tidak dengan baik
disimpan
M
H
-6
6.
Laporan yang dicetak tidak dikumpulkan secara seketika
M
H
-6
3.
Pencantuman nama laporan, time stamping, cakupan periode, responsible staff, nomor halaman, total halaman dan end-of-job marker Penggunaan printer yang berbeda untuk keperluan pencetakan laporan reguler dan laporan sensitif Kebijakan perusahaan untuk mendistribusikan laporan secara langsung kepada user yang dituju Dilakukan perbandingan data stok antara DBS dengan stok fisik; pada awal pembelian aplikasi dilakukan uji coba atas kehandalan aplikasi. Penggunaan lemari loker; terdapat staf yang bertanggung jawab terhadap penyimpanan arsip Adanya kebijakan untuk tidak membiarkan laporan yang dicetak tergeletak pada printer; terdapat staf yang bertanggung jawab untuk mengumpulkan dan mengamankan laporan yang tertinggal pada printer
Control value
Total Value *
H
M
8
4
H
H
9
3
H
L
7
1
H
H
9
3
H
H
9
3
H
H
9
3
177 7.
Tidak ditetapkannya jangka waktu atas penyimpanan arsip
L
H
-3
8.
Tidak dihancurkannya laporan yang sudah tidak dibutuhkan
M
H
-6
Total ::
43
Adanya kebijakan perusahaan yang menetapkan mengenai jangka waktu atas penyimpanan arsip Penggunaan paper shredder, terdapat kebijakan untuk men-shredding semua laporan yang sudah tidak dibutuhkan
H
H
9
6
H
M
8
2
68
25
Total ::
* T otal value = Risk value – Control value
[Keterangan: H - High, M - Medium, L – Low] Tabel 4.12 Matrik Penilaian Resiko dan Pengendalian -- Output Control
Berdasarkan matrik penilaian resiko dan pengendalian di atas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar 25 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian keluaran yang baik. Bahwa resiko-resiko keluaran yang ada lebih kecil dari tingkat pengendalian yang saat ini diterapkan oleh perusahaan.
178 4.2.5.4 Temuan Audit 1. Tidak semua laporan memuat informasi mengenai total dari lembar halaman yang dicetak. Pada laporan daftar inventory, sample out, sample in, antar lokasi, daftar harga, perakitan, dan varians kuantitas tidak termuat informasi mengenai total halaman dari laporan yang dicetak. Seharusnya, pada setiap halaman dari lembar laporan yang dicetak memuat informasi mengenai total halaman keseluruhan. Kondisi tersebut terjadi karena pihak perusahaan tidak melakukan pengaturan terhadap ”Page properties” yang terdapat pada aplikasi DBS. Sebagai akibatnya, staf yang berkepentingan tidak dapat mengetahui dengan segera mengenai lembar halaman yang hilang dari total halaman laporan yang seharusnya. Oleh karena itu, perusahaan sebaiknya melakukan pengaturan pada menu ”Page properties” untuk memunculkan informasi mengenai total halaman pada setiap lembar laporan yang dicetak.
2. Laporan terkadang tidak diserahkan secara langsung kepada user yang dituju. Apabila user yang dituju sedang tidak berada di tempat maka laporan biasanya diletakkan langsung (secara terbuka) di atas meja kerja user yang dituju, tanpa dimasukkan di dalam amplop; dan hanya ditempeli dengan memo oleh si pemberi laporan.
179 Seharusnya pendistribusian atas laporan dilakukan secara langsung kepada user yang dituju atau jika tidak, dapat diletakkan di atas meja kerja user dengan terlebih dahulu memasukkan laporan tersebut ke dalam amplop yang disegel. Kondisi tersebut terjadi karena tidak adanya kesadaran dari setiap staf mengenai resiko terjadinya kehilangan ataupun dibacanya laporan oleh unauthorized user. Dari hasil evaluasi, diketahui bahwa laporan-laporan yang diletakkan di atas meja staf yang berkepentingan tidak pernah hilang dan dibaca oleh staf lainnya. Meskipun demikian, kemungkinan terjadinya kehilangan ataupun dibacanya laporan oleh unauthorized user tetap saja ada. Oleh karena itu, pimpinan perusahaan sebaiknya memberikan penekanan kepada para staf untuk selalu mendistribusikan laporan secara langsung kepada user yang dituju atau jika tidak, dapat diletakkan di atas meja kerja user dengan terlebih dahulu memasukkan laporan tersebut ke dalam amplop yang disegel.
3. Laporan yang sudah tidak dibutuhkan tidak selalu di-shredding. Laporan-laporan yang sudah tidak dibutuhkan tidak selalu dihancurkan dengan menggunakan paper shredder. Para staf terkadang memotong laporan tersebut menjadi beberapa bagian untuk dijadikan kertas memo. Seharusnya, semua laporan yang sudah tidak dibutuhkan selalu dihancurkan dengan menggunakan paper shredder. Kondisi tersebut terjadi oleh karena tidak adanya kesadaran dari setiap staf mengenai resiko terjadinya unauthorized use atas laporan, terutama laporan yang memuat data-data sensitif.
180 Sebagai akibatnya, unauthorized user dapat memperoleh informasi dari lembar belakang kertas memo yang merupakan potongan dari laporan-laporan tersebut, apalagi oleh karena potongan kertas yang dibuat sering kali berukuran cukup besar. Oleh karena itu, pimpinan perusahaan sebaiknya memberikan penekanan kepada para staf untuk selalu menghancurkan laporan yang sudah tidak dibutuhkan dengan menggunakan paper shredder.
181 4.2.5.5 Rekomendasi Audit No.
Temuan Audit
Resiko
Existing condition
Rekomendasi
1.
Tidak semua laporan memuat informasi mengenai total dari lembar halaman yang dicetak.
Tidak terdeteksinya kekurangan dari halaman laporan yang dicetak.
Staf yang berkepentingan tidak dapat mengetahui dengan segera mengenai lembar halaman yang hilang dari total halaman laporan yang seharusnya.
Melakukan pengaturan pada menu ”Page properties” untuk memunculkan informasi mengenai total halaman pada setiap lembar laporan yang dicetak.
2.
Laporan terkadang tidak diserahkan secara langsung kepada user yang dituju.
Terjadinya kehilangan ataupun dibacanya laporan oleh unauthorized user.
Laporan-laporan yang diletakkan di atas meja staf yang berkepentingan tidak pernah hilang ataupun dibaca oleh staf lainnya.
3.
Laporan yang sudah tidak dibutuhkan tidak selalu di-shredding.
Terjadinya unauthorized use atas laporan, terutama laporan yang memuat data-data sensitif.
Unauthorized user dapat memperoleh informasi dari lembar belakang kertas memo yang merupakan potongan dari laporan yang sudah tidak dibutuhkan, apalagi oleh karena potongan kertas yang dibuat sering kali berukuran cukup besar.
Memberikan penekanan kepada para staf untuk selalu mendistribusikan laporan secara langsung kepada user yang dituju atau jika tidak, dapat diletakkan di atas meja kerja user dengan terlebih dahulu memasukkan laporan tersebut ke dalam amplop yang disegel. Memberikan penekanan kepada para staf untuk selalu menghancurkan laporan yang sudah tidak dibutuhkan dengan menggunakan paper shredder.
Tabel 4.13 Rekomendasi Audit -- Output Control
Pihak pelaksana Pimpinan perusahaan
Pimpinan perusahaan
Pimpinan perusahaan