L1 Lampiran Check List Pengendalian Manajemen Operasional No. 1
Pertanyaan Apakah
terhadap
operasi
komputer
Y seluruh
T √
telah
Keterangan
Standart COBIT DS13.2
dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan efisien ? 2
Apakah telah ditetapkan staf
√
yang bertanggung jawab untuk
COBIT DS13.2
mengelola media komputer ? 3
Apakah telah terdapat prosedur
√
pengelolaan media komputer
COBIT DS13.3
dalam rangka melindungi data dari
penyalahgunaan
atau
kerusakan ? 4
Apakah hardware
perawatan
terhadap
telah
dilakukan
√
COBIT DS13.5
dengan baik ? 5
Apakah dilakukan monitoring terhadap hardware dan software yang ada ?
√
COBIT DS13.3
L2 No. Pertanyaan 6 Apakah dilakukan maintenance kontrol
terhadap
Y √
T
Keterangan
Standart COBIT DS13.3
hardware
sewaktu pertama kali beli ? 7
Apakah dilakukan monitoring terhadap jaringan komunikasi secara berkala ?
√
COBIT DS13.3
L3 Lampiran Check List Pengendalian Aplikasi Batasan No. Pertanyaan Y T Keterangan 1
Apakah terdapat pengendalian
√
Standart
Didalam aplikasi COBIT
akses terhadap sistem aplikasi
sistem
tidak AI
General Ledger yang digunakan
menggunakan
COBIT
?
password
AI 3.2.5
sehingga beresiko setiap orang dapat melihat data yang ada a. Jika ya, apakah dilakukan otentifikasi atas sarana akses tersebut ? b. Jika ya, dalam bentuk apakah otentifikasi tersebut ? 1. Password 2. Kartu 3. Sidik jari 4. Lainnya
2.4,
L4 No. Pertanyaan 2 Apakah terdapat ketentuan
Y
T √
Keterangan
Standart COBIT AI
berapa digit panjang
2.4,
COBIT
password ?
AI 3.2.5 3
Apakah terdapat batas pengisian
√
password bila terjadi kesalahan ?
COBIT AI
2.4,
COBIT AI 3.2.5 4
Apakah terdapat peringatan bila pengguna
salah
√
mengisi
COBIT AI
password ?
2.4,
COBIT AI 3.2.5
5
Apakah tampilan password di
√
layar berubah menjadi simbol ?
COBIT AI
2.4,
COBIT AI 3.2.5 6
Apakah
database
dienkripsi ?
password
√
COBIT AI
2.4,
COBIT AI 3.2.5
L5 7
Apakah
setiap
karyawan
√
COBIT
memiliki password untuk akses
AI
2.4,
ke dalam sistem perusahaan ?
COBIT AI 3.2.5
L6 Lampiran Check List Pengendalian Aplikasi Input No. Pertanyaan Y T Keterangan
Standart
1
COBIT
Pada
saat
apakah
melakukan dokumen
input
√
sumber
PO 2.4
dibutuhkan ?
COBIT DS 10.4
2
Hanya dokumen sumber yang
√
COBIT
telah diotorisasi saja yang bisa
PO 2.4
diinput ke dalam komputer
COBIT DS 10.4
3
Apakah
dokumen
dikumpulkan sebelum
terlebih
diinput
ke
sumber √
COBIT
dahulu
PO 2.4
dalam
COBIT
komputer ?
DS 10.4
Jika ya, berapa lama dokumen yang dikumpulkan ?
Per hari Per minggu Per bulan
√
L7 No. 4
Pertanyaan Apakah layar input
mudah
Y √
dimengerti oleh pengguna ?
T
Keterangan
Standart COBIT PO 2.4 COBIT DS 10.4
5
Input yang dilakukan salah,
√
COBIT
tetapi penyimpanan data sudah
PO 2.4
dilakukan.
sistem
COBIT
aplikasi memberikan otorisasi
DS 10.4
Apakah
atau menu untuk edit data ? Jika ya, apakah data yang di edit ? Mulai
dari
awal,
secara
keseluruhan
6
Hanya bagian yang salah input
√
Apakah pesan peringatan yang
√
COBIT PO 2.4
√
COBIT PO 2.4
muncul mudah dimengerti oleh pengguna ?
7
Apakah
teknik
pengkodean
pada input mudah dipahami ?
L8 Lampiran Check List Pengendalian Aplikasi Output No. Pertanyaan Y T Keterangan
Standart
1
COBIT
Apakah
tanggal
pencetakan
√
selalu dicantumkan pada setiap
DS 13.4
laporan yang dihasilkan ?
COBIT DS 5.11
2
3
Apakah
setiap
laporan
yang
√
COBIT
dihasilkan, dicantumkan nama
DS 13.4
personil yang bertanggung jawab
COBIT
atas dikeluarkannya laporan ?
DS 5.11
Apakah jumlah copy laporan
√
COBIT
dicantumkan pada setiap laporan
DS 13.4
yang dihasilkan ?
COBIT DS 5.11
4
Apakah hanya karyawan yang
√
COBIT
memiliki otoritas saja yang dapat
DS 13.4
melakukan pencetakan laporan ?
COBIT DS 5.11
L9 No. Pertanyaan 5 Apakah laporan-laporan yang
Y √
T
Keterangan
Standart COBIT
dihasilkan
DS 13.4
ke
COBIT
didistribusikan departemen
pemakai
DS 5.11
tepat pada waktunya ? Jika
ya,
apakah
didistribusikan: Per hari Per bulan
√
Per tahun 6
Apakah
laporan
dihasilkan disampaikan
yang
√
COBIT
sudah
DS 13.4
kepada
COBIT
pihak yang berwenang
DS 5.11
terhadap laporan tersebut ? 7
Apakah setiap laporan
√
COBIT
dicantumkan juga masa
DS 13.4
berlaku laporan tersebut
COBIT
?
DS 5.11
L10 No. Pertanyaan 8 Apakah dilakukan pengecekan
Y √
T
Keterangan
Standart COBIT
terlebih
DS 13.4
dahulu sebelum laporan
COBIT
tersebut
DS 5.11
kepada
diserahkan pihak
berwenang ?
yang
L11 Lampiran Check List Pengendalian Manajemen Keamanan No. 1
Pertanyaan Apakah
Y
di
ruang
T
√
Keterangan
Standart COBIT
komputer memiliki alarm
DS 12.4
kebakaran otomatis ? Apakah
dilakukan
pemeriksaan
secara
periodik
,untuk
√
COBIT DS 12.4
mengecek apakah alatalat
tersebut
masih
berfungsi dengan baik. 2
Apakah ada pemisahan
√
antara ruang komputer dengan
COBIT DS 12.4
tempat
penyimpanan dokumen ? Jika
ya,
apakah
pengawasan terhadap
ada rutin
sistem
perlindungan kebakaran yang memastikan bahwa ruangan terawat baik ?
dokumen
√
COBIT DS 12.4
L12 3
Apakah
semua
sistem
aset
√
COBIT
informasi
DS 12.4
diletakkan ditempat yang tinggi untuk mengatasi banjir ? 4
Apakah setiap komputer yang dilengkapi
√
digunakan
COBIT DS 12.4
dengan
fasilitas berupa stabilizer atau UPS ? 5
Apakah ada penempatan penjaga dan penggunaan alarm mengantisipasi penyusup ?
untuk adanya
√
COBIT DS 12.3
L13 No. Pertanyaan 6 Apakah dilakukan penginstallan
Y √
T
antivirus
Keterangan
Standart COBIT DS 5.9
dan update secara rutin ? 7
Jika
ya,
dilakukan
apakah scan
√
file
COBIT DS 5.9
secara rutin ? 8
Apakah ada dilakukan
√
backup data ? Jika ya, apakah backup data tersebut dipastikan bebas virus ?
COBIT DS 5.9
√
COBIT DS 5.9
L14 Lampiran Check List Pengendalian Internal Secara Umum No. Pertanyaan Y T Keterangan 1
Apakah terdapat struktur
√
organisasi formal yang mencakup
Standar COBIT PO 7.2
bagian
pengolahan data ? 2
Apakah
kedudukan
√
bagian pengolahan data
COBIT PO 7.2
dalam struktur organisasi bersifat independen atau terpisah dari bagian yang lain ? 3
Apakah yang
fungsi-fungsi
ada
di
√
bagian
COBIT PO 7.2
pengolahan data telah ditetapkan
tugas
dan
tanggung jawab secara jelas dan tertulis ? 4
Apakah
terdapat
pemisahan fungsi antara sistem manajer, programmer, operator ?
dan
√
COBIT PO 7.2
L15 No. Pertanyaan 5 Apakah ada standard kualifikasi
Y
T √
yang
mengatur
Keterangan
Standar COBIT PO 7.2
tentang
keterampilan pegawai ?
6
Apakah
dilakukan
evaluasi
periodik
terhadap
kriteria
√
COBIT PO 7.7
para
pegawai ? 7
Apakah
dilakukan
√
pemeriksaan mendadak terhadap
jadwal
COBIT PO 7.7
yang
tidak teratur ? 8
Apakah perputaran secara rutin ?
dilakukan jabatan
√
COBIT PO 7.8
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Operasional No. Temuan Resiko/Ancaman I L Nilai Control D E Nilai Resiko Control 1 Tidak adanya Apabila tidak ada standar -2 -2 -4 Sebaiknya 1 1 1 standar kualifikasi
kualifikasi maka
sewaktu
yang mengatur
kemungkinan besar
perekrutan
tentang keterampilan pegawai yang bekerja
pegawai, bagian
pegawai
kurang kompeten di
HRD menetapkan
bidangnya
standar
Total Nilai -3
kualifikasi ketrampilan pegawai 2
Tidak dilakukannya
Apabila tidak dilakukan
evaluasi periodik
evaluasi secara periodik
-2
-2
-4
Sebaiknya melakukan
terhadap kinerja para maka pihak perusahaan
evaluasi kinerja
pegawai
tidak akan mengetahui
pegawai secara
bagaimana kinerja para
periodik untuk
pegawainya
mengetahui bagaimana kinerja para pegawainya
2
1
2
-2
3
Tidak dilakukannya
Apabila perusahaan tidak
-2
-2
-4
Perlu dilakukan
perputaran jabatan
melakukan perputaran
perputaran
secara rutin
jabatan secara rutin maka
jabatan secara
lebih mudah terjadi
rutin untuk
kecurangan karena
mencegah
pegawai yang
terjadinya
bersangkutan telah
penyelewengan
mengetahui seluk-beluk
ataupun
dan celah di bagiannya
kecurangan
2
2
4
0
No.
1
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Batasan Temuan Resiko/Ancaman I L Nilai Control D E Nilai Resiko Control
Sistem tidak
Sistem yang tidak
-3
-3
-9
Sebaiknya
menggunakan
menggunakan password
sistem
password
memiliki tingkat resiko
menggunakan
yang tinggi dan berbahaya
password
bagi sistem karena data
sehingga tidak
akan lebih mudah
sembarangan
dipakai/digunakan oleh
orang dapat
orang-orang yang tidak
melihat dan
berkepentingan
mengutak-atik data yang ada.
0
1
0
Total Nilai
-9
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Input Temuan Resiko/Ancaman I L Nilai Control D E Nilai Resiko Control
No.
1
Penginputan data
Dapat terjadinya
-2
-3
-6
Sebaiknya untuk
yang salah dapat
kecurangan dengan
melakukan
diedit
mengganti angka/nominal
edit/perbaikan
yang tidak dapat dilacak
kesalahan dengan menggunakan password yang diketahui dan dapat dilakukan oleh manager saja.
1
1
1
Total Nilai
-5
No.
1
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Output Temuan Resiko/Ancaman I L Nilai Control D E Nilai Resiko Control
Banyaknya copy
Apabila banyaknya copy
-3
-3
-9
Sebaiknya
laporan tidak
laporan tidak dicantumkan
mencantumkan
dicantumkan pada
pada laporan maka Pihak
banyaknya copy
laporan
yang tidak berwenang bisa
laporan dalam
saja mendapatkan laporan
laporan
tersebut dan
perusahaan
Total Nilai
2
2
4
-5
1
1
1
-8
menyelewengkannya 2
Tidak adanya masa
Laporan yang masih
-3
-3
-9
Mencantumkan
berlaku laporan
diperlukan tidak tersimpan
masa berlaku
pada file perusahaan
laporan agar
karena mungkin telah
dapat
dibuang oleh perusahaan
mengetahui kadarluarsa laporan tersebut.
No.
1
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Keamanan Temuan Resiko/Ancaman I L Nilai Control D E Nilai Resiko Control
Walaupun diruangan
Apabila tidak ada
-3
-1
-3
Sebaiknya
komputer memiliki
pemeriksaan secara
dilakukan
alat-alat penanganan
periodik apakah alat-alat
pemeriksaan
kebakaran, namun
tersebut masih berfungsi
secara periodic
tidak dilakukan
dengan baik atau tidak,
terhadap alat-
pemeriksaan secara
maka kebakaran tidak
alat penanganan
periodik apakah alat-
akan dapat ditangani
kebakaran
alat tersebut masih
secara cepat dan dapat
apakah masih
berfungsi dengan
menyebabkan kerugian
berfungsi atau
baik atau tidak.
perusahaan yang lebih
tidaknya alat-
besar.
alat tersebut.
2
1
2
Total Nilai
-1
2
Setiap komputer yang Tidak adanya stabilizer
-3
-3
-9
Sebaiknya setiap
digunakan tidak
ataupun UPS akan
komputer yang
dilengkapi dengan
menyebabkan kerusakan
digunakan
fasilitas berupa
pada komputer karena
dilengkapi
stabilizer ataupun
pengaruh tegangan listrik
dengan fasilitas
UPS
yang tidak stabil. Selain
berupa stabilizer
itu, juga memberikan
ataupun UPS
1
1
1
-8
1
1
1
-8
resiko kehilangan data yang belum sempat disimpan jika terjadi pemadaman listrik 3
Tidak adanya
Kemungkinan resiko
penempatan penjaga
terjadinya penyusupan
ditempatkan
dan penggunaan
dan pencurian terhadap
minimal 2 orang
alarm untuk
aset milik perusahaan
penjaga yang
mengantisipasi
menjadi lebih besar
bertugas untuk
adanya penyusup
-3
-3
-9
Sebaiknya
menjaga keamanan perusahaan
4
Ada dilakukan
Apabila scan tidak
-2
-2
-4
Sebaiknya
penginstalan antivirus dilakukan secara rutin,
perusahaan
dan mengupdatenya
maka kemungkinan
menggunakan
secara rutin, namun
virus-virus akan masuk
antivirus yang
scan tidak dilakukan
ke dalam sistem dan
mendeteksi
secara rutin
merusak file-file
secara otomatis
perusahaan
setiap saat
Keterangan : I : Impact (dampak dari resiko yang ada) L : Likelihood (tingkat kemungkinan terjadinya resiko yang ada) D : Design (seberapa baik desain pengendalian yang ada) E : Effectiveness (tingkat pelaksanaan dalam menjalankan control)
2
2
4
0
L 24
Tampilan Form Menu Utama
L 25 Tampilan Form Menu Ke Dua
L 26 Tampilan Form Modul Entry
Contoh Tampilan Menu Entry Piutang
L 27
Tampilan Form Modul Laporan
L 28
Tampilan Form Modul Utility
L29 Contoh Interim Valuation Certificate
L30 Contoh Surat Perintah Kerja
L31 Contoh Faktur Pajak
L32 Contoh Form Permintaan Pembelian
L33
Contoh Kwitansi Penagihan
L34 Contoh Form Payment Voucher
L35 Lampiran Laporan Hasil Evaluasi
Kepada
: PT. Karya Mandiri Persada
Perihal
: Laporan Hasil Evaluasi Sistem Informasi General Ledger
Periode
: Juni 2008
LAPORAN HASIL EVALUASI SISTEM INFORMASI GENERAL LEDGER PADA PT. KARYA MANDIRI PERSADA
I. Tujuan
Tujuan hasil pelaksanaan evaluasi system informasi General Ledger PT. KMP adalah sebagai berikut : 1. Untuk mengevaluasi apakah sistem informasi General Ledger yang sedang berjalan pada PT. KMP telah sesuai dengan standart dan kebijakan perusahaan. 2. Untuk menganalisa dan mendeteksi kelemahan yang terdapat pada sistem informasi General Ledger PT.KMP. 3. Untuk mengevaluasi apakah pengendalian manajemen dan pengendalian aplikasi yang telah diterapkan mampu menekan resiko seminimal mungkin hingga pada tingkat yang dapat diterima oleh perusahaan. 4. Untuk mengevaluasi sejauh mana sistem informasi General Ledger yang sedang berjalan mampu memberikan perlindungan terhadap asset-aset perusahaan.
L36 5. Untuk mengevaluasi sejauh mana tingkat keamanan, efektifitas dan efisiensi kerja sistem informasi penjualan pada PT. KMP.
II. Ruang Lingkup Batasan ruang lingkup evaluasi sistem informasi adalah sebagai berikut : 1. Evaluasi dilakukan pada system informasi General Ledger PT. KMP yang dimulai dari Buku Besar, Jurnal, hingga laporan Rugi Laba. 2. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi terfokus pada dua bagian yaitu : a. Pengendalian manajemen ( management control ) b. Pengendalian aplikasi ( application control ) 3. Pengendalian manajemen yang dibahas hanya dua bagian yaitu : a. Pengendalian manajemen operasional ( operation management controls ) b. Pengendalian manajemen keamanan ( security administration management control ) 4. Pengendalian aplikasi yang dibahas hanya tiga bagian yaitu : a. Pengedalian input ( input control ) b. Pengendalian output ( output control ) c. Pengendalian batasan ( boundary control )
L37 III.
Metode Audit Metode audit yang digunakan adalah metode around the computer, yaitu pendekatan dan pengujian yang hanya berfokus pada input dan output dari sistem komputer.
IV. Hasil Evaluasi Berikut adalah hasil evaluasi sIstem informasi PT. KMP : Pengendalian Manajemen Operasional Pengendalian manajemen operasional yang diterapkan oleh perusahaan sudah dilakukan dengan baik. Tetapi meskipun demikian, pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah tidak terdapat standar kualifikasi yang mengatur tentang keterampilan pegawai di perusahaan, tidak melakukan evaluasi periodik terhadap para pegawainya, tidak melakukan evaluasi periodic terhadap kinerja kpara pegawai, dan tidak melakukan perputaran jabatan secara rutin. Pengendalian Manajemen Keamanan Pengendalian manajemen keamanan yang diterapkan oleh perusahaan sudah dilakukan dengan baik. Tetapi meskipun demikian, pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah tidak adanya pemeriksaan secara periodik alat-alat penanganan kebakaran, setiap komputer yang digunakan tidak dilengkapi dengan fasilitas berupa stabilizer
L38 ataupun UPS, tidak adanya penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup, dan scan virus tidak dilakukan secara rutin. Pengendalian Aplikasi Batasan Pengendalian aplikasi batasan yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah penggunaan sitem yang tidak dilengkapi dengan password sehingga memudahkan orang yang tidak berkepentingan dapat menggunakan dan melihat-lihat data yang ada dalam sistem. Pengendalian Aplikasi Input Pengendalian aplikasi input yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah dalam penginputan data yang salah dapat dengan mudahnya dilakukan edit. Pengendalian Aplikasi Output Pengendalian aplikasi output yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa
L39 kelemahan yang ditemukan adalah banyaknya copy laporan tidak dicantumkan pada laporan, dan pada laporan tidak dicantumkan masa berlaku laporan.
Demikianlah hasil laporan evaluasi system informasi General Ledger pada PT. Karya Mandiri Persada. Jakarta, 03 Juni 2008
TIM AUDIT
