BAB 4 EVALUAS I S IS TEM INFORMAS I S UMBER DAYA MAN US IA PADA PT. ANTAM Tbk. Pada bab ini akan dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi sumber daya manusia PT. ANTAM Tbk. Hasil temuan yang diperoleh berasal dari sumber prosedur dan kebijakan, hasil audit check list yang berdasarkan hasil analisa, pengamatan dan pengujian serta wawancara dengan M anager HRD beserta staff atau karyawan pada divisi yang terkait. 4.1
Perencanaan Audit Tahap ini merupakan tahapan awal dalam proses evaluasi. Untuk dapat melaksanakan evaluasi diperlukan sebuah perencanaan yang baik sehingga pelaksanaan evaluasi dapat berjalan efektif dan efisien. Perencanaan evaluasi ini terdiri dari : 1.
Persiapan audit Audit dimulai dengan pencarian informasi mengenai sejarah perusahaan dan latar belakang perusahaan serta mencari bahan bacaan/buku yang berhubungan dengan teori audit sistem informasi sumber daya manusia sehingga mempunyai tahap dasar persiapan audit yang baik untuk dapat memulai ke proses berikutnya.
2.
Penentuan ruang lingkup dan sasaran Penentuan ruang lingkup bermanfaat agar audit dapat dilaksanakan berdasarkan perencanaan yang baik sehingga dapat menghindari kekacauan atau ketidakaturan selama dalam proses pelaksanaan audit. Juga perlunya menentukan sasaran yang ingin dicapai sehingga proses yang dilaksanakan 82
83 selalu mempunyai sasaran dan tidak keluar dari jalur sasaran yang telah ditetapkan. Sehingga proses audit lebih terstruktur dan terkendali dengan adanya ruang lingkup dan sasaran yang jelas. a.
Ruang lingkup dari sistem informasi sumber daya manusia PT. ANTAM Tbk. adalah pengendalian (control) terhadap prosedur dan kebijakan yang berlaku, proses pelaksanaan sistem informasi sumber daya manusia dengan
melakukan
evaluasi
terhadap
pengendalian
umum
dan
pengendalian aplikasi yang berjalan dalam perusahaan. b.
Sasaran yang ingin dicapai dari audit sistem informasi sumber daya manusia PT. ANTAM Tbk. adalah pengumpulan bukti-bukti audit yang terkait dengan audit dalam menentukan : 1.
Reliabilitas (dapat dipercaya) dan integritas (kesatuan) dalam sistem yang berjalan.
2. c.
Kebijaksanaan, pengendalian, perencanaan dan pengaturan.
M etode yang digunakan dalam pelaksanaan audit adalah metode audit around the computer yang pembahasannya mencakup pembahasan input dan output sistem informasi sumber daya manusia yang dimulai dari permintaan karyawan baru oleh divisi yang terkait sampai dengan pemutusan hubungan kerja oleh manager HRD. Hasil evaluasi ini diperoleh setelah mengadakan observasi di tempat kerja perusahaan.
84 3.
Tujuan pelaksanaan evaluasi Tujuan dilakukannya evaluasi terhadap sistem informasi sumber daya manusia yang berjalan pada PT. ANTAM Tbk. antara lain : a.
M endeteksi,
mengumpulkan
dan
mengevaluasi
kelemahan
dan
kekurangan dalam penerapan sistem pengendalian internal yang ada. b.
M emberikan rekomendasi atas hasil temuan sebagai masukan bagi manajemen perusahaan.
c.
Untuk mengetahui apakah pelaksanaan kegiatan sistem informasi sumber daya manusia yang berjalan lancar, sesuai dengan prosedur dan kebijakan yang berlaku serta sesuai dengan tanggung jawab yang telah diberikan untuk dijalankan dengan baik.
d.
Untuk mengetahui kehandalan sistem informasi sumber daya manusia yang sedang berjalan pada PT ANTAM Tbk.
4.
Instrumen Pengumpulan Bukti Audit Pengumpulan bukti diperoleh dari fungsi-fungsi yang terkait dengan sistem informasi sumber daya manusia. Adapun cara yang digunakan untuk pengumpulan bukti antara lain : 1.
Check List Check list berisi daftar pertanyaan yang berhubungan dengan sistem informasi sumber daya manusia PT. ANTAM Tbk. Terdapat 5 sistematika check list yang digunakan, yaitu : a.
Pengendalian
manajemen
operasional,
berisikan
pengendalian
terhadap aktivitas manajemen operasi untuk mengetahui apakah
85 operasi sistem informasi sumber daya manusia pada PT. ANTAM Tbk. sudah dilakukan dengan prosedur yang ada. b.
Pengendalian manajemen keamanan, berisikan tentang pengendalian keamanan terhadap aset-aset perusahaan baik secara fisik maupun nonfisik. Adapun aset fisiknya berupa perangkat keras dan fasilitas pendukungnya. Sedangkan aset nonfisiknya berupa data atau informasi dan program aplikasi komputer.
c.
Pengendalian boundary, berisikan pengendalian aplikasi terhadap pembatasan akses ke dalam sistem informasi untuk menjamin bahwa sistem hanya dapat diakses oleh user yang terotorisasi.
d.
Pengendalian input, berisikan pengendalian
aplikasi terhadap
pemasukan data ke dalam sistem informasi untuk memberikan keyakinan yang memadai bahwa data yang dimasukkan benar dan telah terotorisasi serta tidak disalah gunakan. e.
Pengendalian output, berisikan pengendalian aplikasi terhadap hasil laporan atau ouput yang dihasilkan oleh sistem untuk memastikan bahwa output laporan tersebut akurat.
2.
Wawancara Proses wawancara merupakan suatu proses atau tindakan yang diambil oleh para auditor untuk mendapatkan informasi yang diperlukan dengan mengajukan pertanyaan untuk dijawab oleh personil yang bersangkutan. Wawancara ini dilakukan secara lisan dengan manager HRD, para karyawan dalam departemen atau devisi yang berkaitan. Wawancara dilakukan untuk mengetahui tentang gambaran umum
86 perusahaan,
pengendalian
internal
perusahaan
dan
tahap-tahap
penggunaan aplikasi. Dalam wawancara ini juga diajukan beberapa pertanyaan yang berhubungan dengan prosedur atau tata laksana sistem informasi sumber daya manusia yang berjalan. Sehingga dapat diperoleh kesimpulan apakah sistem informasi tersebut sudah dijalankan sesuai dengan prosedur yang ada. 3.
Pengamatan (Observasi) Pengamatan langsung dilakukan dengan mengunjungi perusahaan untuk memperoleh gambaran umum mengenai keadaan atau kondisi perusahaan serta tentang sistem informasi sumber daya manusiannya. Selain itu, pengamatan juga ditujukan untuk mengetahui apakah karyawan telah melaksanakan tugasnya dengan baik sesuai dengan tanggung jawab yang diberikan, terutama pada ruang lingkup yang diaudit, yaitu bagian HRD (Human Resources Departement).
4.
Studi Dokumentasi M elakukan studi terhadap dokumen perusahaan yang berkaitan dengan sistem informasi sumber daya manusia.
87 4.2
Pelaksanaan Audit
4.2.1 Daftar Pertanyaan Audit 4.2.1.1 Pengendalian Umum Pengendalian umum yang terdapat di dalam PT. Antam Tbk. dilakukan terhadap manajemen operasi dan manajemen keamanan. Pada pengendalian umum ini, ditemui beberapa temuan yang telah penulis evaluasi dibawah ini : 4.2.1.1.1
Pengendalian Atas Manajemen Operasional Setelah dilakukan audit pengendalian manajemen operasi pada PT. Antam Tbk., adapun hasilnya adalah sebagai berikut : a. Daftar pertanyaan check list pada pengendalian operasional (Operation Management Control)
No 1
2
3 4 5.
6. 7.
Pertanyaan Apakah terdapat prosedur tentang pengguna komputer pada PT. Antam Tbk.? Apakah PT. Antam Tbk. M elakukan perawatan terhadap hardware secara berkala? Apakah komputer pegawai langsung tersambung dengan server? Apakah perusahaan memiliki peralatan absensi pegawai? Apakah terdapat pengawasan terhadap jam hadir dan jam kerja? Apakah proses pencatatan daftar tamu masih menggunakan manual? Apakah jaringan yang
Ya √
√
√ √ √
√ √
Tidak
Keterangan Perusahaan memiliki prosedur dalam penggunaan komputer Perusahaan perawatan berkala
tidak melakukan hardware secara
Komputer pegawai tersambung ke server
langsung
supaya tidak terjadi kecurangan dalam absensi Pengawasan setiap karyawan dapat diliat dari alat absensi Dalam pencatatan kehadiran tamu masih menggunakan manual Perusahaan menggunakan
88 digunakan sudah dilengkapi dengan firewall? Apakah terdapat technical support?
firewall
8.
√
9.
Apakah tata letak ruang tiaptiap bagian telah disusun dengan strategis? √
10 11. 12.
13.
Apakah seorang pegawai diberikan pelatihan selain dibidangnya? Apakah PT. Antam Tbk. M empunyai job description? Apakah terdapat prosedur terhadap perekrutan pegawai baru? Apakah PT. Antam Tbk. Terdapat prosedur pelatihan terhadap pegawai baru?
√
yang Technical support digunakan user untuk menyelesaikan masalah yang berhubungan dengan hardware, software, dan database. Setiap Devisi berada lantai yang berbeda, misalnya untuk Devisi Akuntansi berada dilantai 4 dan untuk Devisi SDM berada dilantai 5 Untuk mengantisipasi penyalahgunaan data
√
Perusahaan sudah memiliki job description Perusahaan memiliki prosedur perekrutan pegawai baru
√
Perusahaan memiliki prosedur pelatihan pegawai baru
√
Tabel 4.1 check list pengendalian manajemen operasional
89 b. Daftar Pertanyaan Wawancara Pada Pengendalian Manajemen Operasional (Operation Management Controls) No 1
2
3
4
5
6
Pertanyaan Apakah terdapat pembagian tugas, wewenang dan tanggung jawab yang jelas dalam struktur organisasi pada PT. Antam Tbk? Apakah pengoperasian komputer sesuai dengan prosedur yang telah ditetapkan pada PT. Antam Tbk?
Jawaban Ya. Karena dalam perusahaan terdapat pembagian tugas, wewenang dan tanggung jawab yang jelas pada setiap bagian dalam perusahaan. Ya. Setiap pegawai diberikan pelatihan dalam pegoperasian komputer sesuai dengan prosedur yang ditetapkan perusahaan. Apakah PT. Antam Tbk. Ya. Setiap karyawan diberikan pelatihan M engadakan pelatihan terhadap sesuai dengan bagiannya. sistem aplikasi SDM yang sedang berjalan ? Apakah terdapat technical support Ya. Karena perusahaan ini terdapat yang membantu user technical support untuk membantu user menyelesaikan masalah yang dalam menyelesaikan masalah. berhubungan dengan hardware, software, dan database ? Apakah dilakukan perawatan Ya, dilakukan perawatan (maintenance) (maintenance) terhadap hardware, terhadap hardware, software, dan database. software dan database ? Jenis network apa yang digunakan Ya, dilakukan perawatan (maintenance) untuk komputer disetiap PT. Antam terhadap hardware, software, dan database. Tbk. ? Tabel 4.2 wawancara pengendalian manajeemen operasional
90 4.2.1.1.2
Pengendalian Atas Manajemen Keamanan Setelah dilakukan evaluasi pengendalian manajemen keamanan pada PT. Antam Tbk., adapun hasilnya adalah sebagai berikut : a. Daftar pertanyaan Check List Pada Pengendalian Manajemen Keamanan (Security Management Control)
No 1
2
3
4
5
6
7
8.
Pertanyaan Apakah terdapat alarm pemadam kebakaran sebagai tanda terjadinya bahaya? Apakah alat pemadam kebakaran diletakan pada tempat yang strategis? Apakah terdapat prosedur pengecekan terhadap alat pemadam kebakaran secara berkala? terdapat prosedur Apakah penanganan apabila terjadi kebakaran? Apakah ada penanganan jika terjadi ketegangan listrik yang tidak stabil? Apakah setiap pengunjung perusahaan diwajibkan melapor kepada petugas keamanan?
Apakah komputer sudah menggunakan program anti virus? Sebagai tindakan preventif, apakah setiap komputer telah melakukan scan virus secara rutin?
Ya √
√
√
√
√
√
√
√
Tidak
Keterangan Perusahaan memiliki alarm otomatis jika terjadi tanda bahaya Untuk memudahkan dalam menangulangi kebakaran Terdapat prosedur pengecekan terhadap alat pemadam kebakaran (satu bulan sekali) Perusahaan memiliki prosedur apabila terjadi kebakakaran. Perusahaan mempunyai penanganan ketegangan listrik mengunakan genator listrik Untuk menjaga keamanan data pada perusahaan. M aka setiap tamu datang diberikan tanda pengenal tamu. Anti virus yang digunakan perusahaan adalah kaspersky 6.0 Scan virus dilakukan secara otomatis.
91
9 10
11
12
13
Apakah anti virus diupdate secara periodik? Apakah ruang server sudah dilengkapi alat pendingin atau air conditioner? Apakah perusahaan melakukan tindakan untuk mencegah hacking? Apakah terdapat kamera pengawas (CCTV) di ruang kantor? Apakah perusahaan menggunakan software asli?
√ √
√
√
√
anti virus di update secara periodik Ruangan memiliki alat pendingin atau air conditioner Perusahaan tidak memiliki software dan prosedur dalam penanganan hacking Perusahaan memilki kamera pengawas (CCTV) Ya, PT ANTAM Tbk. M enggunakan software yang asli pada setiap komputer
Tabel 4.3 check list pengendalian manajemen keamanan
b. Daftar Pertanyaan Wawancara Pada pengendalian Manajemen Keamanan (security Management Control) No 1.
2.
3.
4.
Pertanyaan Siapakah yang bertanggung jawab atas keamanan dalam perusahaan seperti mengindentifikasi keluar masuknya orang? Apakah disediakan kartu identitas atau tanda pengenal untuk membedakan antara karyawan perusahaan dengan tamu yang berkunjung di PT. Antam Tbk? Apakah tersedia pencatatan terhadap pengguna yang melakukan akses ke dalam sistem? Bagaimana penanganan yang dilakukan pada PT. Antam Tbk. Jika ada user dari bagian SDM yang lupa akan password nya?
Jawaban Petugas security pintu masuk perusahaan dan pengawasi keluar masuknya pengunjung perusahaan Ya, para tamu diberikan kartu tanda pengenal oleh petugas keamanan sedangkan karyawan memiliki tanda pengenal yang diberikan oleh perusahaan Ada, terdapat record pada server terhadap user yang memakai sistem aplikasi SDM User melapor ke bagian IT dengan membawa ID card pegawai
92
5.
Bagaimana PT. Antam Tbk. Kombinasi yang di pakai adalah menetapkan kombinasi password agar kombinasi huruf dan angka tidak diketahui oleh pihak lain? Tabe4.4 wawancara pengendalian manajemen keamanan
4.2.1.2 Pengendalian Aplikasi Pengendalian aplikasi yang terdapat di dalam PT. ANTAM Tbk. dilakukan terhadap sistem operasi. Pada pengendalian aplikasi ini, ditemui beberapa temuan yang telah penulis evaluasi dibawah ini : 4.2.1.2.1
Pengendalian atas Aplikasi Batasan (Boundary Controls) Tujuan evaluasi terhadap pengendalian boundary : 1) Untuk memastikan bahwa informasi hanya dapat di akses oleh orang yang berwenang. 2) Untuk memastikan bahwa sistem aplikasi telah memberikan mekanisme atas akses sistem. a. Daftar Pertanyaan Check list Pada Pengendalian Aplikasi Batasan (Boundary Controls)
No 1
2
3
Pertanyaan Apakah setiap user memiliki ID dan password berbeda untuk akses ke sistem aplikasi? Apakah tampilan password di layar aplikasi PT. Antam Tbk. simbol? Apakah ada peringatan error massege apabila user salam dalam meng input password?
Ya √
√
√
Tidak
Keterangan ID user berdasarkan (Nomor nduk Karyawan)
NIK
Iya, demi kerahasan user maka tampilan password berupa simbol bintang Ada peringatan error jika user salah dalam meng input password
93
4
5
6
7
8
9
Apakah ada batas pengulangan dalam kesalahan meng input password ? Apakah ada ketentuan mengenai beberapa digit panjang password pada sistem aplikasi ? Apakah terdapat permintaan perubahan atau peremajaan password secara berkala? Apakah user password pegawai SDM dihapus jika user tidak lagi bekerja di PT. Antam Tbk? Apakah terdapat keamanan aplikasi jika user tidak melakukan log out ? Apakah sistem dapat menampilkan record yang menunjukan siapa saja yang telah mengakses apalikas i SDM pada PT. Antam Tbk?
√
√
Sistem aplikasi tidak memiliki batas pengulangan dalam kesalahan password Sistim aplikasi tidak membatasi berapa digit panjang password
Perusahaan menetapkan peremajaan password secara berkala (satu bulan sekali) Untuk keamanan data perusahaan
√
√
Tidak ada log out otomatis √
√
Dengan logbook pada server, dapat terlihat record siapa saja yan memakai aplikasi
Tabel 4.5 check list pengendalian aplikasi batasan (Boundary Control)
b. Daftar Pertanyaan Check List Pada Pengendalian Aplikasi Batasan (Boundary Controls) No 1
Pertanyaan Bagaimana bentuk kewenangan user dalam mengakses aplikasi sistem informasi SDM pada PT. Antam Tbk?
Keterangan Kewenangan user dalam hal aplikasi inil adalah hanya pada proses perubahan data, proses input serta proses pencetakan report - report.
94
2
3
4
5
6
Bagaimana cara mengetahui mengenai siapa saja yang sedang atau telah melakukan akses ke dalam aplikasi SDM pada PT. Antam Tbk?
Terdapat logbook yang mencatat secara otomatis atas user - user yang menggunakan aplikasi tersebut serta hal -hal yang dilakukan user dalam penggunaan aplikasi
Bagaimana penanganan yang dilakukan PT. Antam Tbk. jika ada user dari bagian SDM yang lupa akan password nya Bagaimana penanganan PT. Antam Tbk. apabila user dari sistem SDM melewati batas maksimum salah dalam meng-input password ?
User melapor ke bagian IT dengan menyertakan Kartu Pegawai ANTAM
Tidak adanya prosedur maksimum salah password
ketentuan
Bagaimana PT. Antam Tbk. Kombinasi yang dipakai menetapkan kombinasi password kombinasi huruf dan angka agar tidak diketahui oleh pihak lain?
adalah
Apakah sistem aplikasi dilengkapi Iya, umur password hanya berlaku 1 dengan pembatasan sistem umur (satu) bulan saja password ? Tabel 4.6 Wawancara Pengendalian Batasan (Bondary Controls)
4.2.1.2.2
Pengendalian Aplikasi Masukan (Input Controls) Tujuan evaluasi terhadap pengendalian aplikasi input : 1) Untuk memastikan bahwa transaksi telah di otorisasi sebelum diolah dengan komputer. 2) Untuk memastikan bahwa semua data transaksi telah lengkap terkumpul dan bebas dari kesalahan sebelum dilakukan proses pengolahannya.
95 a.
Daftar Pertanyaan Check list Pada Pengendalian Aplikasi Masukkan ( input control)
No 1
2
3
4
5
6
7
8
9
Pertanyaan Apakah ada pemisahan tugas antara pihak yang melakukan input data yang mengeluarkan laporannya? Apakah terdapat fasilitas menu HELP untuk memberikan informasi kepada user, apabila kesulitan dalam meng-entry data ke komputer? Apakah entry data dilakukan oleh orang memiliki wewenang? Apakah delete atau update hanya dapat dilakukan oleh user tertentu yang diberikan otoritas? Apakah kesalahan yang telah terlanjur di input dapat di delete? Apakah terdapat fungsi peringatan dari sistem aplikasi jika data belum di back up maka prosesnya tidak dilanjutkan? Apakah data yang dimasukan ke dalam program aplikasi selalu berdasarkan dokumen sumber? Apakah terdapat menu konfirmasi terhadap data sebelum disimpan? Apakah terdapat tombol perintah save, delete, dan cancel pada tampilan yang memudahkan cara kerja user?
Ya
Tidak √
√
√
√
Keterangan Setiap pegawai memiliki otoritas meng input data dan pengeluaran laporan Karena menu help dapat membatu mengatasi user yang mengalami kesulitan dalam meng entry data ke dalam komputer. Karena telah mengunakan user management dalam hak mengakses entry data Sistem aplikasi dilakukakan oleh user yang memiliki otoritas
√
Kesalahan yang terlajur di input dapat di delete
√
Sistem aplikasi menyediakan peringatan jika data belum di back up
√
√
√
Setiap data yang dimasukkan ke dalam sistem aplikasi berdasarkan dokumen sumber yang terotorisasi Sistem aplikasi memiliki menu konfirmasi jika data belum disimpan Sistem aplikasi memiliki perintah save, delete, dan cancel untuk memudahkan cara kerja user
96
10
Apakah penggunaan bahasa, design warna dan tampilan layar Sistem Aplikasi sudah baik dan mudah dimengerti, yang mana akan mengurangi kesalahan peng-input-an data?
Sistem aplikasi sudah dilengkapi fitur-fitur yang user friendly. √
Tabel 4.7 check list pengendalian aplikasi masukan (input control)
b.
Daftar Pertanyaan Wawancara Pada Pengendalian Aplikasi Masukan (input control)
No 1
2
3
4 5
6
Pertanyaan Jawaban Apakah terdapat prosedur operasi Ada prosedur dalam meng-input data. tetap untuk memasukan data Sebelum memakai aplikasi SDM , maka rekrutmen? user akan mendapatkan pelatihan prosedur dalam input data. Apakah terdapat pemisahan tugas Tidak ada pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan laporan? Apakah didalam peng-input an data Iya, sebelum di-input, dokumen sumber ke dalam sistem harus sesuaikan harus diotorisasi oleh pihak dengan dokumen sumber? yangmemiliki wewenang Apakah dokumen sumber diarsip?
Iya, setelah di-input, dokumen sumber akan di arsip dan disimpan. Apakah tampilan layar peng-input Tampilan layar peng-input-an user an sudah baik dan user friendly friendly. dalam peng-input an? Apakah dokumen sumber diproses Iya, sebelum proses pen-input-an dokumen sumber harus diotorisasi oleh harus diotorisasi? pihak yang memiliki wewenang
Tabel 4.8 Wawancara Pengendalian Aplikasi Masukan (Input Control)
97 4.2.1.2.3
Pengendalian Aplikasi Keluaran (Output Control) Tujuan evaluasi terhadap pengendalian output : 1) Untuk memastikan bahwa hasil laporan diberikan pada orang yang tepat. 2) Untuk memastikan bahwa hasil pengelolaan laporan akurat. a. Daftar Pertanyaan Check List Pada Pengendalian Aplikasi Keluaran (output control)
No 1
Pertanyaan Ya apakah sistem aplikasi dapat menghasilkan laporan yang √ dibutuhkan?
2
Apakah terdapat sistem pengawasan terhadap catatan untuk setiap laporan yang terjadi?
3
Apakah laporan dari sistem aplikasi dapat dicetak kembali jika ditemukan kesalahan?
4
Apakah laporan yang dihasilkan oleh sistem aplikasi di distribusikan kepada pihak yang berkepentingan?
5
Apakah telah dilakukan pemeriksaan ulang setelah laporan tersebut dicetak?
6
Apakah laporan yang dihasilkan oleh sistem aplikasi di distribusikan secara tepat waktu dan tepat sasaran
√
Tidak
Keterangan Karena sistem aplikasi menyediakan laporan yang dibutuhkan Pengawasan dilakukan dengan pengecekan ulang laporan.
√
Jika laporan terdapat kesalahan dapat dicetak kembali
√
Laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan.
√
√
Dengan pengecekkan manual.
melakukan ulang secara
Laporan yang dihasilkan berdasarkan waktu yang telah ditentukan.
Tabel 4.9 check list pengendalian aplikasi keluaran (input control)
98 b.
Daftar
Pertanyaan Wawancara Pada Pengendalian Aplikasi
Keluaran (output control). No 1
Pertanyaan Jawaban Apakah laporan hanya bisa dibuat Ya, setiap laporan hanya dibuat karyawan tertentu saja? berdasarkan tugasnya setiap karyawan.
2
Apakah sebelum laporan dikirim Ya, karena dapat memperkecil kesalahan kepada pemakai dilakukan dalam pembukuan. pengecekan terlebih dahulu?
3
Apakah laporan yang dihasilkan Ya, laporan harus dihasilkan dengan tepat didistribusikan tepat waktu? waktu.
4
Apakah setiap laporan yang Ya, agar dapat dipertanggung jawabkan. dihasilkan dicantumkan personil yang mencetak
5
Apakah setiap laporan selalu Ya, setiap membuat laporan harus dicocokan dengan dokumen dicocokkan atau disamakan dengan sumber? dokumen sumber.
6
Apakah karyawan yang membuat Ya, karyawan harus bertanggung jawab laporan tersebut harus bertanggung penuh dalam membuat laporan tersebut. jawab penuh atas hal-hal yang dicantumkan pada laporan tersebut?
Tabel 4.10 Wawancara Pengendalian Aplikasi Keluaran (Output Controls)
4.2.1.3 Evidensi Dari hasil audit yang telah dilakukan oleh auditor, auditor mendapatkan beberapa bukti untuk memperkuat hasil temuan audit, adapun bukti-bukti audit tersebut adalah sebagai berikut : 1.
Pencegahan hacking
2.
Prosedur pengunjung
3.
Password error message
4.
Kewewenangan Tugas
-2
Polusi
Kebakaran
Energy Variation
2
3
4
-3
-3
Unauthorized -3 Intrusion
Dampak
1.
Resiko
-1
-1
-1
-1
‐3
‐3
‐2
‐3
Resiko
Keterjadian Nilai
Efektivitas
UPS dan stabilizer
Sistem dry pipe automatic sprinkler, alarm dan tabung kebakaran, prosedur kebersihan
2
3
Melarang membawa 1 makan dan minuman dari luar, dan penutup hardware yang tahan air
Login akses (password) 3 dan username), kartu identitas karyawan yang disertai foto, dan pnempatan penjaga
Pengendalian
3
2
3
1
Desain
6
6
3
3
3
3
1
0
Skor Nilai Pengendalian
4.3
No
1. Pengendalian Manajemen Keamanan (security Management Controls
MATRIKS PENILAIAN RESIKO DAN PENGENDALIAN
99
Hasil Audit
4.3.1 Matrix Penilaian Resiko
-2
Jumlah
-2
-1
Keterjadian
-19
-6
-2
Nilai Resiko
Efektivitas
Jumlah
Program Anti 2 virus, scan rutin, firewall dan anti spyware
Power utama, 3 pembersihan saluran air secara rutin dan semua material aset sIstem informasi diletakan di tempat yang tinggi
Pengendalian
3
2
Desain
24
6
6
Nilai Pengendalia
Tabel 4.11 Matriks Pengendalian Manaemen Keamanan (Security Controls)
Dampak
Virus, -3 Malware, Spyware, dan adware
Kerusakan Karena air
5.
6.
Resiko
No
11
0
4
Skor
100
-3
Dampak
-1
Keterjadian
-3
-3
Nilai Resiko
jumlah
Login akses, encription, invisible password, otorisasi dan management user
3
Pengendalian Efektivitas
Tabel 4.12 Matriks Pengendalian Batasan (Boundary Controls)
Unauthorized Intrusion
1
jumlah
Resiko
No
2. Penilaian Resiko atas Pengendalian Batasan (Boundary Controls)
1
Desain
3
3
Nilai pengendalian
0
0
Skor
101
-1
-3
Penginputan berulang kali
Kehilangan -3 dokumen sumber
4
5
Jumlah
-2
-3
Kesalahan yang terlewatkan
3
-24
-3
-6
-9
-3
-3
Nilai Resiko
Jumlah
3
3
3
Memberi tanda 3 check (√) Mengarsip dokumen sumber
3
3
2
Desain
3
Error message dan menu konfirmasi
Otorisasi dari 3 prosedur persetujuan penginputan data Desain user 3 interface dengan baik (user friendly)
Pengendalian Efektivitas
Tabel 4.13 Matriks Pengendalian Masukan (Input Cotrols)
-3
-1
-3
Kesalahan entry data
2
-1
Keterjadian
-3
Dampak
Unauthorized Intrusion
Resiko
1
No
3. Penilaian resiko atas Pengendalian Masukan (Input Controls)
6
18
40
3
0
6
3
Skor
9
9
9
9
6
Nilai Pengendalian
102
Pengeluaran -3 laporan yang salah
3
Jumlah
Laporan yang -2 tidak jelas
2
-1
-2
-1
Keterjadian
-10
-3
-4
-3
Nilai Resiko
Jumlah
Sistem pengawasan laporan
Mempunyai judul, nomor urut, halaman, tanggal, waktu dan periode
Otorisasi, dan contact person pada laporan
Pengendalian
3
3
3
Efektivitas
Tabel 4.14 Matriks Pengendalian keluaran (Output Controls)
-3
Unauthorized Intrusion
1
Dampak
Resiko
No
4. Pengendalian atas pengendalian keluran (Output controls)
3
3
3
Desain
27
9
9
9
Keterangan : 1 -2 : Low 3-4 : Medium 5 - 6: High (-) : Buruk (+) : Baik
Nilai Pengendalian
17
6
5
6
skor
103
104 4.3.2 Temuan, Resiko dan Rekomendasi 4.3.2.1 Pengendalian Umum Pengendalian umum yang terdapat di dalam PT. ANTAM Tbk. dilakukan terhadap manajemen operasional dan manajemen keamanan. Pada pengendalian umum ini, ditemui beberapa temuan yang telah penulis evaluasi dibawah ini : 4.3.2.1.1
Pengendalian Atas Manajemen Operasional Setelah dilakukan evaluasi pengendalian manajemen operasi pada PT. ANTAM Tbk. adapun hasilnya adalah sebagai berikut: Daftar Temuan S tandard dan Rekomendasi Pada Pengendalian Manajemen Operasi (Operations Management Controls) Temuan evaluasi terhadap pengendalian manajemen operasional yang diperoleh dari hasil check list dan wawancara yang telah penulis lakukan pada PT. ANTAM Tbk. adalah : A. Temuan Positif 1.
Perusahaan memiliki prosedur tentang penggunaan komputer
2.
PT. ANTAM Tbk. melakukan perawatan terhadap hardware secara berkala
3.
Komputer pegaawai langsung terhubung ke dalam server
4.
PT. ANTAM Tbk. memiliki mesin absensi karyawan
5.
Perusahaan memiliki pengawasan terhadap jam hadir dan jam kerja
6.
Jaringan pada perusahan memilki firewall
7.
Terdapat technical support yang digunakan user untuk menyelesaikan maslah.
105 8.
Tata letak ruang pada PT ANTAM Tbk. telah disusun dengan strategis.
9.
Seorang pegawa juga mendapatkan pelatihan selain dibidangnya
10. PT ANTAM Tbk. memiliki job description. 11. Perusahaan memilki prosedur dalam perekrutan peagawai baru. 12. Perusahaan juga memilki pelatihan pada pegawai baru B. Temuan Negatif Temuan
Resiko
Rekomendasi
Perusahaan masih Data yang ditulis tidak sesuai dengan Perusahaan menggunakan daftar manual
keadaan
yang
sebenarnya
dan menggunakan
sebaiknya kamera
tamu memungkinkan terjadinya pencurian untuk mengidentifikasi data
yang
dapat
merugikan tamu.
perusahaan.
Tabel 4.15 Temuan Negatif Pengendalian Manajemen Operasional (Operating Management Control)
4.3.2.1.2
Pengendalian atas Manajemen Keamanan Setelah dilakukan evaluasi pengendalian manajemen operasi pada PT. ANTAM Tbk. adapun hasilnya adalah sebagai berikut: Daftar Temuan S tandard dan Rekomendasi Pada Pengendalian Manajemen Keamanan (Security Management Controls) Temuan evaluasi terhadap pengendalian manajemen operasional yang diperoleh dari hasil check list dan wawancara yang telah penulis lakukan pada PT. Antam Tbk adalah :
106 A. Temuan Positif 1. M emiliki alarm bila terjadinya bahaya 2. Perusahaan memiliki alat pemadam kebakaran yang diletakan secara strategis. 3. M emiliki prosedur pengecekan terhadap alat peadam kebakaran secara berkala 4. Perusahaan juga mempunyai prosedur bila terjadi bencana kebakaran. 5. M empunyai prosedur penanganan jika terjadi ketegangan listrik yang tidak stabil 6. Setiap pengunjung diwajibkan lapor pada pihak keamanan yang bertugas. 7. Setiap komputer sudah dilengkapi dengan anti virus Kaspersky 6.0 8. Scan virus dilakukan secara rutin sebagai tindakan prefentif pada virus. 9. Anti virus di update secara periodik. 10. Ruangan server sudah
dilengkapi alat pendingin
conditioner. 11. Terdapat kamera pengawas (CCTV) di ruang kantor 12. Perusahaan menggunakan software asli.
atau air
107 B. Temuan Negatif Temuan Tidak
Resiko
adanya PT
ANTAM
tindakan prefentif software
tidak
ataupun
Rekomendasi menggunakan PT ANTAM Tbk. harus tidak
adanya membuat prosedur dan
atau prosedur bila prosedur tentang hacking, sehingga menggunakan software terjadi hacking
dapat
dengan
mudah
terjadinya untuk mencegah adanya
pencurian data dari pihak luar
aktivitas hacking
Tabel 4.16 Temuan Negatif Pengendalian Manajemen Keamanan (Security Management Control) 4.3.2.2 Pengendalian Aplikasi Pengendalian aplikasi yang terdapat di dalam PT. ANTAM Tbk dilakukan terhadap pengendalian aplikasi batasan, pengendalian masukkan dan pengendalian keluaran. Pada pengendalian aplikasi ini, ditemui beberapa temuan yang telah penulis evaluasi dibawah ini 4.3.2.2.1
Pengendalian Aplikasi Batasan Setelah dilakukan evaluasi pengendalian aplikasi batasan pada PT. ANTAM Tbk. adapun hasilnya adalah sebagai berikut: Daftar Temuan S tandard dan Rekomendasi Pada Pengendalian Aplikasi Batasan (Boundary Applications Controls) Temuan evaluasi terhadap pengendalian aplikasi batasan yang diperoleh dari hasil check list dan wawancara yang telah penulis lakukan pada PT. ANTAM Tbk. adalah :
108 A. Temuan Postif 1.
Sistem aplikasi dilengkapi dengan username dan password sehingga tidak semua orang dapat mengakses aplikasi yang terdapat di perusahaan
2.
Tampilan password di layar aplikasi PT. Antam Tbk. symbol (******).
3.
Aplikasi mempunyai peringatan error massege apabila user salam dalam meng-input password.
4.
M empunyai prosedur permintaan perubahan atau peremajaan password secara berkala (sebulan sekali).
5.
User password pegawai SDM dihapus jika user tidak lagi bekerja di PT. ANTAM Tbk.
6.
Sistem dapat menampilkan record yang menunjukan siapa saja yang telah mengakses apalikasi SDM pada PT. Antam Tbk.
109 B. Temuan Negatif Temuan 1. Tidak
Resiko
ada
pengulangan
Rekomendasi
batas 1. Hal ini dapat menyebabkan 1. PT ANTAM Tbk. dalam
terjadinya pencurian data
harus
membuat
kesalahan meng input
prosedur
dalam
password.
maksimum
input
password. 2. Tidak ada ketentuan 2. Tidak adanya pembatasan 2. Perusahaan mengenai
juga
beberapa
jumlah karakter password,
harus
panjang
hal ini akan mengakibatkan
prosedur
password pada sistem
user akan mengakibatkan
panjang password
aplikasi
lupa akan
digit
membuat digit
password-nya
sendiri. 3. Tidak
terdapat 3. Ini dapat
keamanan jika
user
mengakibatkan 3. PT ANTAM Tbk.
aplikasi
user yang tidak memiliki
harus
tidak
wewenang dapat memakai
prosedur ini, apabila
aplikasi tersebut dan juga
user lupa atau tidak
dapat terjadi pencurian data
melakukan log out
melakukan log out ?
membuat
Tabel 4.17 Temuan Negatif Pengendalian Aplikasi Batasan 4.3.2.2.2
Pengendalian Aplikasi Masukkan Setelah dilakukan evaluasi pengendalian aplikasi masukkan pada PT. ANTAM Tbk. ,adapun hasilnya adalah sebagai berikut: Daftar Temuan S tandard dan Rekomendasi Pada Pengendalian Aplikasi Masukkan (Input Applications Controls). Temuan evaluasi terhadap pengendalian aplikasi masukkan yang diperoleh dari hasil check list dan wawancara yang telah penulis lakukan pada PT. ANTAM Tbk. adalah :
110 A. Temuan Positif 1.
Terdapat fasilitas menu HELP untuk memberikan informasi kepada user, apabila kesulitan dalam meng-entry data ke komputer.
2.
Entry data dilakukan oleh orang memiliki wewenang.
3.
Delete atau update hanya dapat dilakukan oleh user tertentu yang diberikan otoritas.
4.
Proses kesalahan yang telah terlanjur di input dapat di delete.
5.
Terdapat fungsi peringatan dari sistem aplikasi jika data belum di back up maka prosesnya tidak dilanjutkan.
6.
Data yang dimasukan ke dalam program aplikasi selalu berdasarkan dokumen sumber.
7.
Terdapat menu konfirmasi terhadap data sebelum disimpan.
8.
Terdapat tombol perintah save, delete, dan cancel pada tampilan yang memudahkan cara kerja user.
9.
Penggunaan bahasa, design warna dan tampilan layar Sistem Aplikasi sudah baik dan mudah dimengerti, yang mana akan mengurangi kesalahan peng-input-an data.
B. Temuan Negatif Temuan
Resiko
Rekomendasi
Tidak ada pemisahan tugas Tidak adanya pertanggung Perlu antara pihak yang melakukan jawaban input
data
dengan
mengeluarkan output
yang atas
dan
kerahasiaan desk
laporan
dihasilkan.
adanya antara
job input
yang data dengan output data
Tabel 4.18 Temuan Negatif Pengendalian Aplikasi Masukan (Input Cotrols)
111 4.4
Laporan Hasil Audit Kepada : PT. Antam Tbk. Perihal : Laporan Hasil Evaluasi Sistem Informasi Sumber Daya M anusia Periode : September 2009 – Desember 2009
LAPORAN EVALUASI SISTEM INFORM ASI SUM BER DAYA M ANUSIA PADA PT. ANTAM Tbk.
Tim Evaluator :
Arif Kurniawan (0800773133) Herry Sadikin (0800779843)
112 I.
Tujuan Evaluasi Tujuan dari Evaluasi Sistem Informasi Sumber Daya M anusia Pada PT. ANTAM Tbk. meliputi adalah sebagai berikut : a.
M engidentifikasi masalah-masalah yang terjadi pada PT. ANTAM Tbk. mengenai sistem penjualan.
b.
M emeriksa apakah pengendalian internal sudah diterapkan dengan baik atau belum.
c.
M emeriksa apakah pengendalian aplikasi dan manajemen sudah diterapkan dengan baik atau belum.
II.
Ruang Lingkup Ruang Lingkup Evaluasi Sistem Informasi Sumber Daya M anusia Pada PT. ANTAM Tbk. meliputi : 1. Pengendalian umum : a.
Pengendalian
M anajemen
Operasi
M anajemen
Keamanan
(Operation
Management
(Security
Management
Controls) b.
Pengendalian Controls)
2.
3.
Pengendalian aplikasi terdiri dari tiga bagian, yaitu : a.
Pengendalian Batasan (Boundary Controls)
b.
Pengendalian M asukkan (Input Controls)
c.
Pengendalian Keluaran (Output Controls)
M engevaluasi sistem informasi Sumber Daya M anusia pada PT. ANTAM Tbk. yang berhubungan dengan kegiatan recruitment and learning.
113 III.
Metode Evaluasi M etode Evaluasi yang akan digunakan penulis adalah : 1.
Penelitian Kepustakaan M engumpulkan informasi yang berkaitan dengan topik skripsi dari bukubuku literature dan karya ilmiah lainnya.
2.
Penelitian Lapangan a. Wawancara Wawancara dilakukan terhadap karyawan HRD pada PT. ANTAM Tbk. yang terkait dengan sistem informasi sumber daya manusia. b. Kuesioner berupa check list M elakukan kuesioner terhadap staf SDM pada PT. ANTAM tentang sistem informasi sumber daya manusia.
IV.
Hasil Evaluasi a.
Temuan Manajemen Operasional Temuan Negatif
Temuan
Resiko
Rekomendasi
Perusahaan masih Data yang ditulis tidak sesuai dengan Perusahaan menggunakan daftar manual
keadaan
yang
sebenarnya
dan menggunakan
tamu memungkinkan terjadinya pencurian untuk data
yang
dapat
sebaiknya kamera
mengidentifikasi
merugikan tamu.
perusahaan.
Tabel 4.19 Hasil Evaluasi Temuan Manajemen Operasional
114 b. Temuan Manajemen Keamanan Temuan Negatif Temuan Tidak
Resiko
Rekomendasi
adanya PT. ANTAM Tbk. tidak menggunakan PT. ANTAM Tbk. harus
tindakan
software ataupun tidak adanya prosedur membuat prosedur dan
prefentif
atau tentang hacking, sehingga dapat dengan menggunakan
prosedur
bila mudah terjadinya pencurian data dari untuk mencegah adanya
terjadi hacking
pihak luar
software
aktivitas hacking
Tabel 4.20 Hasil Evaluasi Temuan Manajemen Keamanan c.
Temuan Pengendalian Boundary Temuan Negatif
Temuan
Resiko
Rekomendasi
1. Tidak ada batas 1. Hal ini dapat menyebabkan 1. PT ANTAM Tbk. harus membuat terjadinya pencurian data pengulangan dalam prosedur dalam kesalahan meng maksimum input input password. password. 2. Tidak ada ketentuan 2. Tidak adanya pembatasan 2. Perusahaan juga harus membuat prosedur digit jumlah karakter password, hal mengenai beberapa panjang password ini akan mengakibatkan user digit panjang akan mengakibatkan lupa akan password pada password-nya sendiri. sistem aplikasi 3. Tidak terdapat 3. Ini dapat mengakibatkan user 3. PT ANTAM Tbk. harus membuat yang tidak memiliki keamanan aplikasi prosedur ini, apabila wewenang dapat memakai jika user tidak user lupa atau tidak aplikasi tersebut dan juga melakukan log out ? melakukan log out dapat terjadi pencurian data Tabel 4.21 Hasil Evaluasi Temuan Pengendalian Boundary
115 d.
Temuan Pengendalian Input Temuan Negatif Temuan
Resiko
Rekomendasi
Tidak ada pemisahan tugas Tidak adanya pertanggung Perlu adanya job desk antara pihak yang melakukan jawaban dan kerahasiaan antara input
data
dengan
mengeluarkan output
yang atas
laporan
input
data
yang dengan output data
dihasilkan.
Tabel 4.22 Hasil Evaluasi Temuan Pengendalian Input