BAB 4
AUDIT SISTEM INFORMASI
Pada bab ini dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penjualan delivery fax pada PT Orindo Alam Ayu. Dalam pengumpulan temuan bukti audit dari wawancara dengan manajer yang terkait dan bagian – bagian yang berhubungan dengan penjualan, daftar pertanyaan yang telah disusun sebelumnya serta pengamatan langsung pengujian sistem informasi penjualan yang berjalan secara langsung pada PT Orindo Alam Ayu.
4.1 Program Kerja Audit 4.1.1 Ruang Lingkup Audit Melakukan audit sistem informasi penjualan pada PT Orindo Alam Ayu di kantor pusat.
4.1.2 Tujuan Audit Tujuan audit pada sistem informasi penjualan pada PT Orindo Alam Ayu yaitu:
• Melakukan audit sistem informasi penjualan. • Memastikan integritas sistem informasi penjualan. • Memastikan keamanan asset sistem informasi. • Memastikan perusahaan memiliki sistem backup dan recovery.
104
105
4.1.3 Tahapan Audit 4.1.3.1 Perencanaan Audit Pada tahap perencanaan audit dilakukan dengan menentukan ruang lingkup, tujuan pelaksanaan audit, dan persiapan penelitian lapangan. 1. Bertemu dengan manajemen perusahaan Melakukan wawancara dan memberikan quisioner untuk mengetahui apakah sistem informasi yang berjalan telah sesuai dengan prosedur dan standar yang ada. 2. Memahami tugas audit yang harus dilakukan Adapun tugas audit yang harus dilakukan dalam audit sistem informasi penjualan pada PT Orindo Alam Ayu terdiri dari pengamatan langsung, daftar pertanyaan, dan wawancara. 3. Memahami risiko yang ada pada bisnis tersebut 4. Membuat program audit yang terperinci
4.1.4 Program Audit 4.1.4.1 Program Audit Security Control 4.1.4.1.1 Program Audit Physical Control Tahap
Pengujian
Physical
Security Auditee
Instrumen
Control Lakukan pengecekan UPS pada setiap Bagian IT
Quisioner
komputer pada bagian penjualan untuk
Wawancara
mengantisipasi jika terjadi listrik padam.
Observasi
106
Dapatkan informasi tentang jaminan dari Bagian Personalia
Quisioner
vendor atas hardware atau software yang Bagian IT
Wawancara
baru dibeli pada sistem informasi penjualan
Bagian Accounting Observasi
Lakukan pengecekan keamanaan asset-asset Bagian Personalia
Quisioner
kantor pada sistem informasi penjualan
Wawancara Observasi
Lakukan pengecekan tentang jaminan dari Bagian IT
Quisioner
keamanan ruangan pada sistem informasi Bagian Personalia
Wawancara
penjualan
Observasi Tabel 4.1 Program Audit Physical Control
4.1.4.1.2 Program Audit Logical Control Tahap Pengujian Logical Security Control
Auditee
Dapatkan informasi tentang user protection Bagian yang ada pada sistem informasi penjualan
Instrumen Wawancara
Penjualan
Dapatkan informasi tentang antivirus pada Bagian IT
Quisioner
sistem informasi penjualan
Wawancara
Dapatkan informasi tentang jaringan yang Bagian IT
Quisioner
digunakan pada sistem informasi penjualan
Wawancara Observasi
Lakukan pengecekan tentang pembatasan Bagian IT
Quisioner
akses tiap bagian pada sistem informasi
Wawancara
penjualan
Observasi
107
Dapatkan
informasi
tentang
prosedur Bagian IT
penggunaan sistem informasi penjualan
SCS
Quisioner Wawancara
Dapatkan informasi tentang dokumentasi Bagian IT
Quisioner
aplikasi sistem informasi penjualan
Wawancara
Tabel 4.2 Program Audit Logical Control
4.1.4.2 Program Audit Information Control 4.1.4.2.1
Program Audit Input Control
Tahap Pengujian Input Control
Auditee
Instrumen
Lakukan pengecekan tentang tampilan Bagian IT
Quisioner
message error jika terjadi kesalahan Cashier Staff
Wawancara
input pada sistem informasi penjualan
Observasi
Dapatkan informasi tentang konsistensi Bagian IT
Quisioner
kode pada sistem informasi penjualan
Wawancara
Lakukan pengecekan tentang pencatatan Bagian IT
Quisioner
data masukan yang salah pada sistem Cashier Staff
Wawancara
informasi penjualan
Observasi
Dapatkan informasi tentang kesengajaan Cashier Staff
Quisioner
dalam menginput data yang salah pada
Wawancara
sistem informasi penjualan Lakukan pengecekan tentang orang yang Bagian IT
Quisioner
berwenang dalam melakukan input pada Cashier Staff
Wawancara
sistem informasi penjualan
Observasi
Tabel 4.3 Program Audit Input Control
108
4.1.4.2.2
Program Audit Output Control
Tahap Pengujian Output Control
Auditee
Instrumen
Dapatkan informasi tentang standarisasi Bagian Personalia
Quisioner
laporan
Wawancara
pada
sistem
informasi
penjualan Dapatkan informasi tentang distribusi Bagian Personalia
Quisioner
dan klasifikasi laporan pada sistem
Wawancara
informasi penjualan Dapatkan informasi tentang pengujian Bagian IT
Quisioner
hasil perhitungan dan laporan output
Wawancara
pada sistem informasi penjualan Table 4.4 Program Audit Output Control
4.1.4.3 Program Audit Continuity Control 4.1.4.3.1
Program Audit Backup Control
4.1.4.3.1.1 Data Backup Tahap Pengujian Data Backup
Auditee
Instrumen
Lakukan pengecekan tentang backup data Bagian IT
Quisioner
sudah berjalan dengan baik sesuai standard
Wawancara
yang ada pada sistem informasi penjualan
Observasi
Dapatkan
informasi
Quisioner
keamanan
backup
tentang data
pada
jaminan Bagian IT sistem
informasi penjualan Tabel 4.5 Data Backup
Wawancara
109
4.1.4.3.2
Program Audit Hardware Backup
Tahap Pengujian Output Control
Auditee
Instrumen
Lakukan pengecekan tentang pengganti Bagian IT
Quisioner
jika ada hardware yang rusak pada
Wawancara
sistem informasi penjualan
Observasi
Dapatkan informasi tentang cadangan Bagian IT
Quisioner
hardware dapat digunakan dengan baik
Wawancara
atau
tidak
pada
sistem
informasi
penjualan Tabel 4.6 Program Audit Hardware Backup
4.1.4.3.3
Program Audit Recovery Control
Tahap Pengujian Output Control
Auditee
Instrumen
Dapatkan informasi tentang prosedur Bagian IT
Quisioner
recovery
Wawancara
pada
sistem
informasi
penjualan Dapatkan informasi tentang sistem dapat Bagian IT
Quisioner
berjalan atau tidak jika terjadi bencana
Wawancara
pada sistem informasi penjualan Table 4.7 Program Audit Recovery Control
110
4.2
Daftar Pertanyaan Quisioner dan Wawancara 4.2.1 Quisioner Security Control 4.2.1.1
Quisioner Physical Security
NO
PERTANYAAN
1
Apakah
YA
perusahaan
(Uninterruptible
Power
TIDAK
memiliki Supply
atau
UPS) pada setiap komputer pada bagian penjualan
untuk
mengantisipasi
jika
terjadi listrik padam. 2
Apakah komputer pada sistem informasi penjualan
telah
diasuransikan
pada
sistem informasi penjualan? 3
Apakah tiap ruangan kerja memiliki kamera pengaman untuk memastikan keamanan asset pada sistem informasi penjualan?
4
Apakah terdapat jaminan dari vendor atas hardware atau software yang baru dibeli pada sistem informasi penjualan?
5
Apakah gedung memiliki penangkal petir pada sistem informasi penjualan?
6
Apakah terjamin
keamanan pada
ruangan sistem
server
informasi
penjualan? Tabel 4.8 Quisioner Physical Security
N/A
111
4.2.1.2
Quisioner Logical security
PERTANYAAN 1
YA
Apakah sistem komputer pada bagian penjualan dilengkapi antivirus ? Jika ya, apakah
antivirus
tersebut
di-update
secara periodik? 2
Apakah setiap komputer pada sistem informasi penjualan sudah menggunakan user protection yaitu password untuk login? Jika
ya,
apakah
password
tersebut
dilakukan perubahan secara berkala? 3
Apakah penjualan
setiap
karyawan
memiliki
username
bagian dan
password? 4
Perusahaan menggunakan jaringan pada sistem informasi penjualan? a. Star b. Bus c. Ring d. Hybrid
5
Topologi digunakan
jaringan
apakah
perusahaan
yang untuk
TIDAK
N/A
112
menghubungkan antar komputer pada sistem informasi penjualan? a. LAN b. WAN 6
Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem pada aplikasi penjualan?
7
Apakah
terdapat
dokumentasi
yang
cukup untuk setiap aplikasi penjualan yang ada? 8
Apakah karyawan
terdapat baru
pelatihan yang
untuk bertugas
menggunakan sistem aplikasi penjualan? 9
Apakah ada yang bertanggung jawab terhadap
data
yang
telah
didokumentasikan pada sistem informasi penjualan? 10
Apakah ada pemeriksaan terhadap server pada sistem informasi penjualan? Table 4.9 Quisioner Logical security
113
4.2.2 Wawancara Security Control •
Adakah penomoran terhadap asset pada sistem informasi penjualan?
•
Adakah pencatatan secara komputerisasi terhadap asset sehingga menimalisir kecurangan-kecurangan yang dapat terjadi pada sistem informasi penjualan?
•
Apakah
sistem
fax
pada
sistem
informasi
penjualan sudah terkomputerisasi? •
Apakah terdapat pemisahan line penerimaan fax untuk tiap bagian pada sistem informasi penjualan? Jika tidak mengapa?
•
Adakah bagian yang khusus untuk membagikan fax yang masuk kebagian-bagiannya?
•
Apakah dalam melakukan login pada sistem informasi penjualan menggunakan password?
•
Apakah login pada sistem informasi penjualan dapat dilakukan oleh sembarang id?
•
Apakah ada penggantian password secara berkala pada sistem informasi penjualan?
•
Apakah ada pemblokiran id jika terjadi kesalahan penginputan password pada sistem informasi penjualan? Jika ada berapa kali kesempatan untuk memperbaiki input password?
•
Apakah pada sistem informasi penjualan yang digunakan menentukan umur password secara berkala?
114
•
Apakah password pada sistem informasi penjualan memiliki digit minimal?
•
Apakah input password pada sistem informasi penjualan terenkripsi oleh sistem (menggunakan karakter lain ketika diketik)?
•
Siapakah yang bertanggung jawab atas penambahan dan pengurangan user login pada sistem informasi penjualan?
•
Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem penjualan pada aplikasi?
•
Apakah komputer pada sistem informasi penjualan diasuransikan?
•
Apakah koneksi jaringan yang digunakan perusahaan pada sistem informasi penjualan? Berapa speednya?
•
Berapa kemungkinan networking mengalami down pada sistem informasi penjualan?
•
Berapa kemungkinan terjadi kesalahan pengiriman data pada sistem informasi penjualan?
•
Apakah data yang di upload dan download utuh pada sistem informasi penjualan?
115
4.2.3 Quisioner Information control 4.2.3.1 Quisioner Input control NO
PERTANYAAN
1
Apakah
dalam
penjualan
YA memasukkan
data
pemakai
perlu
pihak
menggunakan dokumen sumber terlebih dahulu ? 2
Apakah dokumen sumber yang di-input mendapat otorisasi dahulu?
3
Apakah terdapat tampilan message error jika data yang di-input tidak sesuai dengan ketentuan yang berlaku pada sistem penjualan?
4
Apakah sistem aplikasi sudah menjawab semua kebutuhan tentang pemasukan data, khususnya bagian penjualan?
5
Pemasukkan
data
penjualan
pada
dokumen masukan berdasarkan kode?
6
Apakah
pemberian
kode
sudah
konsisten? 7
Apakah
ada
prosedur
tetap
untuk
pemasukkan data ke dalam aplikasi
TIDAK
N/A
116
khususnya
pada
sistem
informasi
penjualan? 8
Apakah terdapat validasi
input dalam
field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? 9
Apakah terdapat menu ‘help’ dalam setiap form input pada sistem informasi penjualan?
10
Apakah terdapat pencatatan mengenai kesalahan
yang
terjadi
pada
data
masukan penjualan? 11
Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan
dilakukan
dengan
faktor
kesengajaan oleh petugas? 12
Apakah orang berwenang saja yang dapat melakukan input penjualan? Tabel 4.10 Quisioner Input control
117
4.2.3.2 Quisioner Output control PERTANYAAN 1
YA
TIDAK
Apakah terdapat standarisasi laporan yang dihasilkan pada sistem informasi penjualan? Apakah penyajian laporan telah sesuai dengan standard tersebut?
2
Apakah
laporan
dihasilkan
pada
–
laporan
sistem
yang
informasi
penjualan sudah didistribusikan tepat pada waktunya? 3
Apakah setiap laporan yang dihasilkan sudah diklasifikasikan sesuai dengan bagiannya?
4
Apakah
pernah
dilakukan
pengujian
terhadap hasil perhitungan yang tertera pada laporan penjualan? 5
Apakah ada pengujian output yang dihasilkan
pada
sistem
informasi
penjualan? Tabel 4.11 Quisioner Output control
N/A
118
4.2.4 Wawancara Information Control • Apakah terdapat tampilan message error jika data yang di input tidak sesuai dengan ketentuan yang berlaku pada sistem? • Apakah terdapat tampilan message jika data barang yang di input telah kosong? • Apakah terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? • Adakah pengendalian terhadap pengkodean pada sistem informasi penjualan? • Apakah terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan? • Apakah orang yang bertugas menginput data dapat melakukan perubahan pada master file tanpa otorisasi yang berwenang? • Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan dilakukan dengan faktor kesengajaan oleh petugas? • Apakah orang berwenang saja yang dapat melakukan input penjualan? • Apakah laporan penjualan yang dibuat sudah sesuai dengan standar yang ada?
4.2.5
Quisioner Continuity Control 4.2.5.1 Quisioner Backup Control 4.2.5.1.1
Quisioner Data Backup
PERTANYAAN 1
Apakah terdapat backup data untuk mencegah kehilangan data pada sistem informasi penjualan ?
YA
TIDAK
N/A
119
2
Apakah perusahaan melakukan backup data pada sistem informasi penjualan? Jika ya, apakah backup data dilakukan secara periodik?
3
Apakah keamanan backup data tersebut terjamin ?
4
Siapakah yang bertanggung jawab dalam melakukan backup data pada sistem informasi penjualan?
5
Apakah proses backup data dilakukan secara rutin? Table 4.12 Quisioner Data Backup
4.2.5.2 Quisioner Hardware Backup NO 1
PERTANYAAN YA Apakah terdapat cadangan hardware yang
memadai
untuk
TIDAK
menjalankan
aplikasi yang kritis apabila hardware yang ada tidak dapat dipergunakan pada sistem informasi penjualan? 2
Apakah hardware yang tersedia pada sistem
informasi
penjualan
dapat
langsung digunakan ? Table 4.13 Quisioner Hardware Backup
N/A
120
4.2.5.3 Quisioner Recovery Control NO
PERTANYAAN
YA
1
Apakah ada prosedur recovery pada
TIDAK
N/A
sistem informasi penjualan? 2
Jika
ada
bencana
apakah
sistem
informasi penjualan dapat berjalan ? 3
Apakah prosedur recovery pada sistem informasi
penjualan
telah
berjalan
dengan baik ? 4
Apakah recovery terhadap asset logical dan physic sudah sesuai dengan prosedur yang
ada
pada
sistem
informasi
penjualan? Table 4.14 Quisioner Recovery Control
4.2.6 Wawancara Continuity Control •
Jenis backup apa saja yang digunakan pada sistem informasi penjualan ?
•
Menggunakan media apakah dalam melakukan backup pada sistem informasi penjualan?
•
Berapa lama periode yang dilakukan perusahaan dalam melakukan backup pada sistem informasi penjualan?
•
Dimanakah backup data sistem informasi penjualan disimpan?
121
•
Apakah keamanan data backup sistem informasi penjualan yang disimpan sudah terjamin?
•
Apakah data backup sistem informasi penjualan sudah disimpan di tempat yang beradius minimum 20 Km dari perusahaan?
•
Jika ada bencana apakah sistem informasi penjualan dapat berjalan (disaster recovery planing)?
•
Apakah terdapat recovery terhadap asset physical dan logical seperti asuransi pada sistem informasi penjualan?
•
Apakah recovery backup data dan sistem dapat berjalan dengan baik?
•
Berapa lama downtime jika terjadi data corrupt?
•
Apakah perusahaan melakukan testing terhadap Data Backup pada sistem informasi penjualan?
4.3
Hasil Quisioner, Wawancara, dan Observasi 4.3.1 Hasil Quisioner, Wawancara, dan Observasi Security Control 4.3.1.1
Hasil Quisioner Security Control Hasil dari quisioner dari security control secara umum dapat dilihat berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut : 1.
Audit findings
: Tidak adanya kamera pengaman.
Audit Risk
: Kemungkinan
terjadi
kehilangan
asset perusahaan. Rekomendasi
: Memasang kamera pengaman.
122
4.3.1.2
Hasil Wawancara Security Control •
Adakah
penomoran terhadap asset pada sistem informasi
penjualan? Audit Findings •
: Terdapat penomoran terhadap asset.
Adakah pencatatan secara komputerisasi terhadap asset sehingga menimalisir kecurangan-kecurangan yang dapat terjadi pada sistem informasi penjualan? Audit Findings
:
Tidak
ada
pencatatan
yang
terkomputerisasi terhadap asset. Audit risk
: Dapat terjadi kecurangan dari pencatatan tersebut.
Rekomendasi
:
Melakukan
pencatatan
asset
secara
terkomputerisasi, sehingga meminimalisir terjadinya
kecurangan-kecurangan
yang
dapat terjadi. •
Apakah
sistem
fax
pada
sistem
informasi
penjualan sudah terkomputerisasi? Audit findings
: Sistem fax belum terkomputerisasi.
Audit risk
: Adanya kemungkinan fax yang tidak masuk atau tidak terproses.
Rekomendasi
: Agar menimimalisir fax yang hilang atau tidak terproses dalam penerimaan
123
fax
penjualan
perusahaan
dapat
melakukan : -
Membuat
sistem
fax
yang
terkomputerisasi. -
Menggunakan email order untuk menghemat biaya.
-
Mengganti
fax
manual
menjadi
terkomputerisasi
dan
menggabungkan dengan email •
Apakah terdapat pemisahan line penerimaan fax untuk tiap bagian pada sistem informasi penjualan? Jika tidak mengapa? Audit findings
: Tidak
adanya
pemisahan
line
penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada masing-masing bagian. Audit risk
: Fax yang masuk tidak langsung diberikan
pada
bagian
yang
bersangkutan. Rekomendasi
: Membuat policy tentang fax seperti : -
Membuat pemisahan line pada tiaptiap bagian.
124
-
Memisahkan
fax
order
dengan
consultant. -
Maintance secara berkala.
-
Downtime untuk perbaikan fax yang rusak
•
Membuat sistem komputerisasi fax.
Adakah bagian yang khusus untuk membagikan fax yang masuk kebagian-bagiannya ? Audit findings
: Adanya bagian khusus yang membagikan fax yang masuk pada bagian-bagian yang bersangkutan.
•
Apakah dalam melakukan login pada sistem informasi penjualan menggunakan password? Audit findings
: Dalam melakukan login menggunakan password.
•
Apakah login pada sistem informasi penjualan dapat dilakukan oleh sembarang id? Audit findings
:
Tidak
dapat
melakukan login jika
menggunakan sembarangan id. •
Apakah ada penggantian password secara berkala pada sistem informasi penjualan? Audit findings
: Melakukan penggantian password setiap 3 (tiga) bulan sekali.
125
•
Apakah ada pemblokiran id jika terjadi kesalahan penginputan password pada sistem informasi penjualan? Jika ada berapa kali kesempatan untuk memperbaiki input password? Audit findings
: Tidak ada pemblokiran, hanya tidak dapat mengakses program (tidak dapat login sampai
mendapatkan
password
yang
benar). Audit risk
: Perusahaan tidak dapat mengetahui kinerja para karyawan dalam menginput id dan password dan adanya kemungkinan sistem dapat dibuka oleh orang yang tidak berwenang.
Rekomendasi
: Perusahaan membuat sistem pemblokiran apabila terjadi kesalahan input id dan password dalam jumlah maksimal yg ditentukan
perusahaan,
serta
membuat
otorisasi, mereset password yang diblokir oleh
pihak
perusahaan
yang dapat
berwenang mengetahui
agar siapa
karyawan yang kinerjanya kurang baik dalam
mendukung
perusahaan.
proses
bisnis
126
•
Apakah pada sistem informasi penjualan yang digunakan menentukan umur password secara berkala? Audit findings
: sistem membuat expired password dalam jangka waktu tiga bulan.
•
Apakah password pada sistem informasi penjualan memiliki digit minimal? Audit findings
•
: password harus 8 (delapan) digit.
Apakah input password pada sistem informasi penjualan terenkripsi oleh sistem (menggunakan karakter lain ketika diketik)? Audit findings
: password berdasarkan 8 (delapan) digit yang terdiri dari 5 (lima) digit awal huruf dan 3 (tiga) digit akhir angka.
•
Siapakah yang bertanggung jawab atas penambahan dan penggurangan user login pada sistem informasi penjualan? Auding findings : bagian IT yang bertanggung jawab dalam penambahan dan pengurangan user login.
•
Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem penjualan pada aplikasi? Audit Findings
: Terdapat pembatasan akses tiap bagian terhadap penggunaan sistem pada aplikasi.
127
•
Apakah
komputer
pada
sistem
informasi
penjualan
diasuransikan? Audit findings
: Terdapat asuransi pada asset perusahaan, seperti komputer.
•
Apakah koneksi jaringan yang digunakan perusahaan pada sistem informasi penjualan? Berapa speednya? Audit findings
: Perusahan menggunakan koneksi list line sendiri pada Telkom dengan speed 2Mb
•
Berapa kemungkinan networking mengalami down pada sistem informasi penjualan? Audit findings
: Networking jarang mengalami down kecuali terjadi masalah listrik.
•
Berapa kemungkinan terjadi kesalahan pengiriman data pada sistem informasi penjualan? Auding findings : Jarang terjadi kesalahan pengiriman data karena
pengiriman
data
sudah
terkomputerisasi. •
Apakah data yang di upload dan download utuh pada sistem informasi penjualan? Audit findings
: Jarang terjadi kesalahan keutuhan dalam data
yang
di
upload
dan
download
pengiriman data kecuali adanya jaringannya terputus karena bencana.
128
4.3.1.3
Hasil Observasi Security Control
Hasil dari observasi terhadap physical dan logical security control adalah sebagai berikut : 1. Dalam melakukan login sistem menggunakan id dan password di mana password terdiri dari 8 (delapan) digit, yaitu 5 (lima) digit huruf dan 3 (tiga) digit angka, dengan masa expire 3 (tiga) bulan. 2. Perusahaan tidak melakukan pemblokiran jika terjadi kesalahan penginputan password. Rekomendasi
: Melakukan pemblokiran terhadap kesalahan menginput id dan password agar perusahaan dapat mengetahui
kinerja
karyawan
dengan
menambahkan proses otorisasi oleh pihak yang berwenang. 3. Perusahaan membatasi akses antar tiap bagian terhadap penggunaan sistem pada aplikasi. 4. Perusahaan sudah mengasuransikan assetnya. 5. Perusahaan belum melakukan pencatatan yang terkomputerisasi terhadap asset, sehingga dapat terjadi kecurangan dari pencatatan tersebut. Rekomendasi
:
Melakukan
terkomputerisasi, terjadinya terjadi.
pencatatan
asset
sehingga
kecurangan-kecurangan
secara
meminimalisir yang
dapat
129
6.
Perusahaan belum menggunakan sistem fax sudah terkomputerisasi Rekomendasi
: Membuat sistem fax yang terkomputerisasi agar menimimalisir fax yang hilang atau tidak terproses dalam penerimaan fax penjualan.
7. Tidak adanya pemisahan line penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada bagian masing-masing. Rekomendasi
: Membuat pemisahan line untuk tiap bagian atau dengan membuat sistem komputerisasi fax.
8. Adanya bagian khusus yang membagikan fax yang masuk pada bagian-bagian yang bersangkutan. 9. Perusahan menggunakan koneksi list line sendiri pada Telkom dengan speed 2Mb. 10. Networking jarang mengalami down kecuali terjadi masalah listrik. 11. Jarangnya terjadi kesalahan pengiriman data karena pengiriman data sudah terkomputerisasi. 12. Jarang terjadi kesalahan keutuhan dalam data yang di upload dan download pengiriman data kecuali adanya jaringannya terputus karena bencana.
130
4.3.2 Hasil Quisioner, Wawancara, dan Observasi Information Control 4.3.2.1
Hasil Quisioner Information Control Hasil dari quisioner dari information control secara umum dapat
dilihat berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut: 1. Audit Findings
: Tidak adanya pencatatan mengenai kesalahan pada data masukan.
Audit Risk
: Tidak dapat mengetahui seberapa sering user melakukan kesalahan input.
Rekomendasi
:
Melakukan
mengetahui
pencatatan
seberapa
agar
dapat
seringnya
terjadi
kesalahan input sehingga perusahaan dapat meningkatkan kinerja lebih maksimal. 2. Audit Findings
: Tidak adanya pengujian terhadap hasil perhitungan yang tertera
pada laporan
penjualan. Audit Risk
: Adanya kemungkinan terjadi kesalahan perhitungan pada laporan penjualan.
Rekomendasi
: Melakukan pengujian terhadap validasi perhitungan pada laporan penjualan.
3. Audit Findings
: Tidak ada pengujian output pada sistem penjualan.
131
Audit Risk
: Adanya kemungkinan terjadi kesalahan output pada sistem penjualan.
Rekomendasi
: Melakukan pengujian terhadap output pada sistem penjualan.
4.3.2.2 •
Hasil Wawancara Information Control
Apakah terdapat tampilan message error jika data yang di input tidak sesuai dengan ketentuan yang berlaku pada sistem? Audit Findings
: Sistem akan menampilkan tampilan error, apabila
data yang diinput tidak sesuai dengan ketentuan yang berlaku pada sistem. •
Apakah terdapat tampilan message jika data barang yang di input telah kosong? Audit Findings
: Sistem tidak menampilkan tampilan message, apabila data barang yang diinput telah kosong.
Audit Risk
: Tidak dapat mengetahui jika barang kosong.
Rekomendasi
: Membuat lampilan message jika data barang yang di input telah kosong
•
Apakah terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? Audit Findings
: Terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan.
132
•
Adakah pengendalian terhadap pengkodean pada sistem informasi penjualan? Audit Findings
•
: Ada, seperti kode barang dan kode invoice.
Apakah terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan? Audit Findings
: Tidak terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan.
Audit Risk
: Tidak dapat mengetahui seberapa banyak user melakukan kesalahan input.
Rekomendasi
: Melakukan pencatatan agar dapat mengetahui mengapa
seringnya
terjadi
kesalahan
input
sehingga perusahaan dapat segera memperbaikinya dan kinerja perusahaan lebih maksimal. •
Apakah orang yang bertugas menginput data dapat melakukan perubahan pada master file tanpa otorisasi yang berwenang? Audit Findings
: Orang yang bertugas tidak dapat melakukan perubahan pada master file tanpa otorisasi.
•
Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan dilakukan dengan faktor kesengajaan oleh petugas? Audit Findings
: Tidak terdapat kesengajaan oleh petugas dalam melakukan input.
133
•
Apakah orang berwenang saja yang dapat melakukan input penjualan? Audit Findings
: Hanya orang yang berwenang saja yang dapat melakukan input penjualan.
•
Apakah laporan penjualan yang dibuat sudah sesuai dengan standar yang ada? Audit Findings
: Laporan penjualan dibuat sudah sesuai dengan standar yang ada.
4.3.2.3
Hasil Observasi Information Control
Hasil dari observasi terhadap information control adalah sebagai berikut: 1. Sistem menggunakan metode data input dalam memasukan data penjualan. 2. Sistem menggunakan data sumber yang telah diotorisasi sebagai data inputan. 3. Sistem yang diberikan mudah untuk digunakan user (friendly). 4. Saat data yang diinput tidak sesuai maka akan ada tampilan error pada sistem penjualan. 5. Sistem aplikasi sesuai dengan kebutuhan pemasukan data khususnya penjualan. 6. Pemasukan data dokumen berdasarkan kode dengan pemberian kode yang sudah konsisten. 7. Adanya pengendalian dalam pengkodean. 8. Adanya prosedur tetap dalam pemasukan data ke aplikasi penjualan.
134
9.
Adanya validasi input dalam field yang digunakan pada sistem aplikasi penjualan.
10. Adanya menu help dalam form input. 11. Adanya validity test untuk mengecek bahwa data yang berisi kode, character, dan field size yang sah. 12. Tidak ada pencatatan mengenai kesalahan pada data masukan. Rekomendasi : Melakukan pencatatan agar dapat mengetahui mengapa seringnya terjadi kesalahan input sehingga perusahaan dapat segera memperbaikinya dan kinerja perusahaan lebih maksimal. 13. Tidak ada unsur kesengajaan dalam penginputan data dan hanya orang yang berwenang saja yang dapat melakukan input. 14. Unit komputer sudah dikelola dengan efektif, efisien, dan ekonomis. 15. Adanya uraian tugas dan wewenang yang jelas tertulis dalam fungsi di setiap bagian. 16. Adanya ketetapan tertulis tentang persyaratan keterampilan bagi setiap posisi di setiap bagian. 17. Sistem upload dan download data antar bagian sudah berjalan dengan baik. 18. Network sering mengalami down. Rekomendasi : Melakukan backup network. 19. Sistem tidak dapat berjalan saat terjadi offline. Rekomendasi : Membuat server cadangan agar proses bisnis tetap dapat berjalan dan kerugian dapat diminimalisir.
135
20. Orang yang bertugas tidak dapat melakukan perubahan pada master file tanpa otorisasi. 21. Laporan yang dibuat harus sesuai dengan standar yang ada. 22. Tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan. Rekomendasi : Melakukan pengujian terhadap validasi perhitungan pada laporan penjualan. 23. Tidak ada pengujian output pada sistem penjualan. Rekomendasi : Melakukan pengujian terhadap output pada sistem penjualan.
4.3.3 Hasil Quisioner, Wawancara, dan Observasi Continuity Control 4.3.3.1
Hasil Quisioner Continuity Control
Hasil quisioner dari Continuity
Control secara umum dapat dilihat
berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut: Audit Findings
: Jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis.
Audit Risk
: Menghambat proses bisnis, sehingga perusahaan dapatsmengalami kerugian.
Rekomendasi
: Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.
136
4.3.3.2 •
Hasil Wawancara Continuity Control Jenis
backup apa saja
yang digunakan pada sistem informasi
penjualan? Audit Findings
: Perusahaan menggunakan backup data dengan Storage dan Tape.
•
Menggunakan media apakah dalam melakukan backup pada sistem informasi penjualan? Audit Findings
:
Perusahaan
mengbackup
menggunakan data
dengan
media Orico,
dalam E-Mail,
Accounting, dan User. •
Berapa lama periode yang dilakukan perusahaan dalam melakukan backup pada sistem informasi penjualan? Audit Findings
: Perusahaan mengbackup data dengan Orico dan E-Mail dilakukan setiap harinya yang disimpan pada Storage dan Tape serta backup data pada Accounting dan User dilakukan setiap minggunya yang disimpan pada Storage dan Tape.
•
Dimanakah backup data sistem informasi penjualan disimpan ? Audit Findings
: Perusahaan menyimpan backup data di ruangan IT pada perusahaan dan di rumah Direktur.
•
Apakah keamanan data backup sistem informasi penjualan yang disimpan sudah terjamin? Audit Findings
: Sudah, karena ruangan selalu terkunci bila tidak ada yang menjaga dan menggunakannya.
137
•
Apakah data backup sistem informasi penjualan sudah disimpan di tempat yang beradius minimum 20 Km dari perusahaan? Audit Findings
: Perusahaan belum menyimpan backup data dalam radius minimum 20 Km.
Audit Risk
: Jika perusahaan mengalami bencana maka backup data yang ada di perusahaan dapat mengalami kerusakan dan jika backup yang ada di Direktur tidak mencapai radius minimum 20 Km backup tersebut juga dapat mengalami kerusakan karena bencana tersebut.
Rekomendasi
: Menyimpan data backup pada radius minimum 20 Km dari perusahaan, supaya keamanan backup data terjamin bila suatu saat terjadi bencana.
•
Jika ada bencana apakah sistem informasi penjualan dapat berjalan (disaster recovery planing)? Audit Findings
: Sistem penjualan tidak dapat berjalan jika terjadi bencana.
Audit Risk
: Perusahaan dapat mengalami kerugian dan menghambat proses bisnis.
Rekomendasi
: Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.
138
•
Apakah terdapat recovery terhadap asset physical dan logical seperti asuransi pada sistem informasi penjualan? Audit Findings
: Terdapat recovery terhadap asset physical dan logical seperti asuransi.
•
Apakah recovery backup data dan sistem dapat berjalan dengan baik? Audit Findings
: Recovery backup data dan sistem dapat berjalan dengan baik.
•
Berapa lama downtime jika terjadi data corrupt? Audit Findings
: Waktu yang dibutuhkan saat terjadi data corrupt adalah 5-7jam.
•
Apakah perusahaan melakukan testing terhadap Data Backup pada sistem informasi penjualan? Audit Findings
: Perusahaan belum melakukan testing terhadap Data Backup.
Audit Risk
: Data Backup tidak dapat digunakan saat Recovery karena data tidak terbackup dengan baik atau data backup rusak (corrupt).
Rekomendasi
: Melakukan testing terhadap Data Backup secara acak dalam periode yang ditentukan.
139
4.3.3.3
Hasil Observasi Continuity Control Hasil dari observasi terhadap continuity control adalah sebagai
berikut : 1. Perusahaan melakukan backup data internal. 2. Perusahaan menggunakan backup data dengan Storage dan Tape. 3. Perusahaan menggunakan media dalam mengbackup data dengan Orico, E-Mail, Accounting, dan User. 4. Perusahaan mengbackup data dengan Orico dan E-Mail dilakukan setiap harinya yang disimpan pada Storage dan Tape serta backup data pada Accounting dan User dilakukan setiap minggunya yang disimpan pada Storage dan Tape. 5. Perusahaan menyimpan backup data di ruangan IT pada perusahaan dan di rumah Direktur. 6. Data backup sudah aman, karena ruangan selalu terkunci bila tidak ada yang menjaga dan menggunakannya. 7. Perusahaan belum menyimpan backup data dalam radius minimum 20 Km. Rekomendasi
: Menyimpan data backup pada radius minimum 20 Km dari perusahaan agar keamanan backup data terjamin bila terjadi bencana.
8. Sistem penjualan tidak dapat berjalan jika terjadi bencana. Rekomendasi
: Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.
140
9. Terdapat recovery terhadap asset physical dan logical seperti asuransi. 10. Recovery backup data dan sistem dapat berjalan dengan baik. 11. Waktu yang dibutuhkan perusahaan saat terjadi data corrupt adalah 57 jam. 12. Perusahaan belum melakukan testing terhadap Data Backup. Rekomendasi
: Melakukan testing terhadap Data Backup secara acak dalam periode yang ditentukan.
4.4
Simpulan dan Pelaporan Hasil Audit 4.4.1 Simpulan Simpulan yang diperoleh adalah belum maksimalnya tingkat keamanan asset perusahaan pada sistem informasi penjualan, sistem telah berjalan sesuai dengan prosedur yang ada secara maksimal, hardware yang digunakan belum memadai terutama mesin fax yang ada, keamanan dalam akses login belum dimaksimalkan, belum adanya pencatatan kesalahan masukan data sehingga perusahaan tidak dapat mengetahui tingkat kinerja karyawan, tidak tampilkan tampilan message apabila data barang yang diinput telah kosong, tidak adanya pengujian terhadap hasil perhitungan yang tertera
pada laporan penjualan
sehingga ada kemungkinan hasil data laporan tidak sesuai , tidak ada pengujian output pada sistem penjualan sehingga memungkinkan output yang dihasilkan tidak sesuai, jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis mengakibatkan kerugian perusahaan, penyimpanan data backup
141
masih dalam radius kurang dari 20Km sehingga jika terjadi bencana memungkinkan data backup tersebut juga rusak/hilang serta belum dilakukan testing terhadap backup dan recovery. Karena itu, sangat penting bagi PT Orindo Alam Ayu untuk melakukan audit sistem informasi penjualan secara berkala agar sistem informasi dapat lebih dioptimalkan lagi. Demikian hasil laporan audit atas sistem informasi penjualan pada PT Orindo Alam Ayu.
142
4.4.2 Laporan Audit Sistem Informasi Penjualan pada PT Orindo Alam Ayu berdasarkan dengan pedoman dari ISACA 070.010.010
AUDIT REPORT
Tanggal
:
21 Desember 2009
Hal
:
Laporan hasil audit sistem informasi penjualan pada PT Orindo Alam Ayu
Kepada
:
Finance Manager PT Orindo Alam Ayu
Periode
:
September tahun 2009 hinga bulan Januari tahun 2010
Oleh : Tri Priska Aprilianti Stephanie Nova Nidya
2010
143
LATAR BELAKANG
Scope
: Melakukan audit sistem informasi penjualan pada PT Orindo Alam Ayu di kantor pusat.
Tujuan Audit
: - Melakukan audit sistem informasi penjualan.
- Memastikan integritas sistem informasi penjualan. - Memastikan keamanan asset sistem informasi. - Memastikan perusahaan memiliki sistem backup dan recovery.
Metodologi
: Penulis melakukan peninjauan pada PT Orindo Alam Ayu untuk mengumpulkan data-data, informasi, dan materi-materi lainnya yang dibutuhkan selama proses audit
dalam
rangka
mendapatkan
gambaran
nyata
mengenai keadaan dari sistem informasi penjualan yang sedang berjalan pada perusahaan tersebut. Pengumpulan fakta dilakukan dengan metode: a. Quisioner b. Wawancara c. Observasi d. Studi Dokumentasi e. Testing
144
TEMUAN
1. Audit Findings Audit Risk
: Tidak adanya kamera pengaman. :
Kemungkinan
terjadinya
kehilangan
asset
perusahaan. Rekomendasi 2. Audit Findings
: Memasang kamera pengaman. : Tidak ada pencatatan yang terkomputerisasi terhadap asset.
Audit Risk
: Dapat terjadi kecurangan dari pencatatan tersebut.
Rekomendasi
:
Melakukan
terkomputerisasi, terjadinya
pencatatan
asset
sehingga
secara
meminimalisir
kecurangan-kecurangan
yang
dapat
terjadi. 3. Audit Finding Audit Risk
: Sistem fax belum terkomputerisasi. : Adanya kemungkinan fax yang tidak masuk atau tidak terproses.
Rekomendasi
: Agar meminimalisir fax yang hilang atau tidak terproses
dalam
penerimaan
fax
penjualan
perusahaan dapat melakukan : - Membuat sistem fax yang terkomputerisasi. - Menggunakan e-mail order untuk menghemat biaya. - Mengganti fax manual menjadi terkomputerisasi dan menggabungkan dengan e-mail.
145
4. Audit Findings
: Tidak adanya pemisahan line penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada masingmasing bagian.
Audit Risk
: Fax yang masuk tidak langsung diberikan pada bagian yang bersangkutan.
Rekomendasi
: Membuat policy tentang fax, seperti : - Membuat pemisahan line untuk tiap bagian - Memisahkan fax order dengan consultant - Maintance secara berkala - Downtime untuk perbaikan fax yang rusak - Membuat sistem komputerisasi fax
5. Audit Finding
: Tidak ada pemblokiran, hanya tidak dapat mengakses program (tidak dapat login sampai mendapatkan password yang benar).
Audit Risk
: Perusahaan tidak dapat mengetahui kinerja para karyawan dalam menginput id dan password dan adanya kemungkinan sistem dapat dibuka oleh orang yang tidak berwenang
Rekomendasi
: Perusahaan membuat sistem pemblokiran apabila terjadi kesalahan input id dan password dalam jumlah maksimal yang ditentukan perusahaan, serta membuat otorisasi, me-reset password yang
146
diblokir
oleh
pihak
yang
berwenang
agar
perusahaan dapat mengetahui siapa karyawan yang kinerjanya kurang baik dalam mendukung proses bisnis perusahaan. 6. Audit Findings
: Tidak adanya p encatatan mengenai kesalahan pada data masukan.
Audit Risk
: Tidak dapat mengetahui seberapa sering user melakukan kesalahan input.
Rekomendasi
: Melakukan pencatatan agar dapat mengetahui seberapa
seringnya
terjadi
kesalahan
input
sehingga perusahaan dapat meningkatkan kinerja lebih maksimal. 7. Audit Findings
: Sistem tidak menampilkan tampilan message, apabila data barang yang diinput telah kosong.
Audit Risk
: Tidak dapat mengetahui jika barang kosong.
Rekomendasi
: Membuat lampilan message jika data barang yang di input telah kosong
8. Audit Findings
: Tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan.
Audit Risk
:
Adanya
kemungkinan
terjadi
kesalahan
perhitungan pada laporan penjualan Rekomendasi
:
Melakukan
pengujian
terhadap
perhitungan pada laporan penjualan.
validasi
147
9. Audit Findings
: Tidak ada pengujian output pada sistem penjualan.
Audit Risk
: Adanya kemungkinan terjadi kesalahan output pada sistem penjualan.
Rekomendasi
: Melakukan pengujian terhadap output pada sistem penjualan.
10. Audit Findings
: Jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis.
Audit Risk
: Menghambat proses bisnis, sehingga perusahaan dapat mengalami kerugian.
Rekomendasi
: Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.
11. Audit Findings
: Perusahaan belum menyimpan backup data dalam radius minimum 20 Km.
Audit Risk
: Jika perusahaan mengalami bencana maka backup data yang ada diperusahaan dapat mengalami kerusakan dan jika backup yang ada di Direktur tidak mencapai radius minimum 20 Km backup tersebut juga dapat mengalami kerusakan karena bencana tersebut.
Rekomendasi
: Menyimpan data backup pada radius minimum 20 Km dari perusahaan agar keamanan backup data terjamin bila terjadi bencana.
148
SIMPULAN
Simpulan yang diperoleh adalah belum maksimalnya tingkat keamanan asset perusahaan pada sistem informasi penjualan, sistem telah berjalan sesuai dengan prosedur yang ada secara maksimal, hardware yang digunakan belum memadai terutama mesin fax yang ada, keamanan dalam akses login belum dimaksimalkan, belum adanya pencatatan kesalahan masukan data sehingga perusahaan tidak dapat mengetahui tingkat kinerja karyawan, tidak tampilkan tampilan message apabila data barang yang diinput telah kosong, tidak adanya pengujian terhadap hasil perhitungan yang tertera
pada laporan penjualan
sehingga ada kemungkinan hasil data laporan tidak sesuai , tidak ada pengujian output pada sistem penjualan sehingga memungkinkan output yang dihasilkan tidak sesuai, jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis mengakibatkan kerugian perusahaan, penyimpanan data backup masih dalam radius kurang dari 20Km sehingga jika terjadi bencana memungkinkan data backup tersebut juga rusak/hilang serta belum dilakukan testing terhadap backup dan recovery. Karena itu, sangat penting bagi PT Orindo Alam Ayu untuk melakukan audit sistem informasi penjualan secara berkala agar sistem informasi dapat lebih dioptimalkan lagi. Demikian hasil laporan audit atas sistem informasi penjualan pada PT Orindo Alam Ayu.