manual menjadi sistem informasi berbasis komputer. kecurangan (fraud) dan resiko yang akan dihadapi. Kecurangan dan resiko

I.

PENDAHULUAN Seiring dengan pesatnya kemajuan teknologi informasi membuat sejumlah entitas mulai dari perusahaan, pemerintah, sampai organisasi pendidikan pelanpelan mulai mengandalkan teknologi komputer ke dalam aktifitasnya. Hal ini disebabkan dengan semakin banyak dan kompleksnya aktivitas-aktivitas dalam organisasi sehingga manajemen dalam organisasi harus dapat memiliki informasi yang cepat, tepat dan akurat untuk mengambil sebuah keputusan. Dalam kaitannya dengan transaksi keuangan, perkembangan teknologi komputer telah mengakibatkan perubahan pencatatan, pengolahan dan pelaporan data dari sistem manual menjadi sistem informasi berbasis komputer. Meskipun sistem informasi sudah terkomputerisasi, penggunaan sistem informasi yang terkomputerisasi ini tidak menyebabkan organisasi terlepas dari kecurangan (fraud) dan resiko yang akan dihadapi. Kecurangan dan resiko tersebut dapat berupa kesalahan proses dari program aplikasi, pencurian data, kerusakan data, dll. Terlebih lagi sistem berbasis teknologi akan mempunyai potensi resiko yang semakin besar (Gondodiyoto, 2007:476). Resiko yang

semakin besar mendorong perlunya pengendalian (kontrol) yang semakin memadai, dan perlunya mengevaluasi apakah sistem cukup dilengkapi kontrol dan apakah kalau sudah ada kontrol maka kontrol tersebut sudah dijalankan dengan secara sungguh-sungguh (Gondodiyoto,

2007:476). Untuk memininalkan

terjadinya fraud dan resiko dalam sistem informasi maka kebutuhan audit sistem informasi

sebagai

sarana

mengevaluasi

pengendalian

internal

semakin

dibutuhkan. Pengendalian Internal tersebut bertujuan untuk mewujudkan

19

efektivitas dan efisiensi operasi, keandalan laporan keuangan, kepatuhan terhadap hukum dan peraturan yang berlaku. Di dalam pengendalian internal menurut Committee of Sponsoring Organizations (COSO) terdapat dua aktivitas pengendalian yang ditunjukan untuk mendorong kehandalan proses informasi yaitu pengendalian umum dan pengendalian aplikasi (Hall, 2011:21). Pengendalian umum berfokus pada semua pengendalian yang tidak terkait langsung terhadap aplikasi komputer. Sedangkan pengendalian aplikasi berfokus pada pengendalian aplikasi tertentu. Pengendalian aplikasi merupakan salah satu pengendalian internal yang cukup penting bagi entitas yang mengandalkan teknologi informasi ke dalam aktivitas utamanya. Pengendalian aplikasi tidak terlepas dari resiko-resiko yang ada. Salah satu resiko yang paling fatal adalah resiko kesalahan input data. Jika terjadi kesalahan input data maka organisasi akan sangat dirugikan karena informasi yang dihasilkan menjadi tidak dapat diandalkan dan malah menyesatkan bagi organisasi. Universitas Kristen Satya Wacana (UKSW) merupakan salah satu organisasi yang bergerak dalam jasa pendidikan, telah menerapkan sistem informasi akuntansi terkomputerisasi sejak tahun 2003. Dengan kata lain, komputerisasi telah digunakan dalam segala aspek pencatatan, pemrosesan sampai dengan pelaporan. Salah satu sistem informasi yang digunakan oleh UKSW untuk pemrosesan transaksi keuangan adalah Sistem Keuangan dan Akuntansi Satya Wacana (SIKASA) UKSW.

20

SIKASA UKSW merupakan aplikasi keuangan dan akuntansi berbasis web yang hanya dapat digunakan dalam lingkungan jaringan (network) UKSW. Sehingga kebutuhan penggunaan teknologi informasi untuk menjalankan kegiatan operasional dalam pemrosesan transaksi sangat diandalkan. Penggunaan sistem informasi yang terkomputerisasi pada satu sisi dapat meningkatkan efisiensi kegiatan operasional, kualitas dan kecepatan pelayanan. Sedangkan disisi lain mengandung resiko potensial yang apabila tidak diantisipasi dengan baik akan merugikan organisasi. Oleh karena itu penting bagi organisasi untuk melakukan audit sistem informasi untuk menentukan apakah Sistem Keuangan dan Akuntansi UKSW sudah dikelola dengan baik. Persoalan dalam penelitian ini adalah bagaimana pengendalian aplikasi pada sistem keuangan dan akuantansi UKSW yang berjalan sampai saat ini? Apa saja kelemahan dan resiko yang terdapat pada SIKASA UKSW? Berdasarkan uraian di atas, penulis tertarik untuk melakukan penelitian tentang audit sistem informasi pada Sistem Keuangan dan Akuntansi Satya Wacana. Ruang lingkup penelitian ini difokuskan pada audit sistem informasi atas pengendalian aplikasi. Tujuan yang akan dicapai dalam penelitian ini adalah untuk mengetahui pengendalian yang diterapkan oleh universitas dalam pengendalian aplikasi pada sistem keuangan dan akuntansi UKSW, melakukan penilaian terhadap resiko berdasarkan kelemahan-kelemahan yang ditemukan, membuat rekomendasi perbaikan berdasarkan kelemahan-kelemahan dan resiko yang ditemukan dari proses audit tersebut. Hasil penelitian ini diharapkan dapat bermanfaat sebagai 21

masukan bagi pihak manajemen untuk meningkatkan pengendalian aplikasi pada sistem informasi keuangan dan akuntansi UKSW. II.

TELAAH TEORITIS 2.1.

Audit Sistem Informasi Audit sistem informasi merupakan proses pengumpulan dan evaluasi

bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif, dan menggunakan sumber daya yang efisien (Weber, 1999:10). Audit sistem informasi sendiri merupakan gabungan dari beberapa ilmu, antara lain

tradisional audit,

manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer dan ilmu prilaku (Weber, 1999:18). Menurut Weber (1999:11-13) terdapat empat tujuan audit sistem informasi yaitu meningkatkan keamanan aset-aset perusahaan, meningkatkan integritas data, meningkatkan efektifitas sistem, meningkatkan efisiensi sistem. 2.2.

Perlunya Kontrol dan Audit Sistem Informasi Menurut Weber (1999 : 5-10), faktor yang mendorong pentingnya kontrol

dan audit sistem informasi adalah : 1. Biaya perusahaan yang timbul karena kehilangan data (Organizational costs of data loss). 2. Biaya yang timbul karena kesalahan dalam pengambilan keputusan (Cost of incorrect decision making).

22

3. Biaya yang timbul karena penyalahgunaan komputer (Cost of computer abuse). 4. Nilai dari hardware, software dan personel (Value of hardware, software, personel). 5. Biaya yang besar akibat kerusakan komputer (High cost of computer error). 6. Menjaga kerahasiaan (Maintenance of privacy). 7. Meningkatkan

pengendalian

evolusi

(penggunaan)

penggunaan

komputer (Controlled evolution of computer abuse). 2.3.

Tahapan Audit Sistem Informasi Menurut Hall (2011 : 10-11) terdapat tiga fase/tahapan dalam audit sistem

informasi diantara lain ( seperti dalam gambar 2.1): 1. Perencanaan audit (audit planning phase) Sebelum auditor dapat menentukan pengujian yang harus dilakukan, auditor harus memperoleh pemahaman menyeluruh terhadap bisnis klien. Tujuannya adalah untuk mendapatkan informasi yang cukup tentang perusahaan untuk merencanakan tahap audit selanjutnya. Pada tahap ini, auditor harus memahami kebijakan, praktek dan struktur perusahaan. Selanjutnya, auditor harus memahami pengendalian umum dan pengendalian aplikasi yang ada dalam perusahaan. Selama proses ini berlangsung auditor harus mengidentifikasi ancaman yang paling penting dan pengedalian untuk mengurangi ancaman tersebut.

23

2. Pengujian pengendalian (test of controls phase) Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian internal sudah memadai dan dijalankan dengan baik. Untuk mencapai hal ini, auditor melakukan berbagai tes kontrol. Bukti pengumpulanteknik yang digunakan dalam tahap ini mencakup teknik manual dan teknik komputer khusus audit. Pada akhir dari tahap pengujian pengendalian, auditor harus menilai kualitas dari pengendalian internal dengan menetapkan tingkat risiko kontrol. Tingkat kepercayaan auditor

terhadap

pengendalian

internal

menentukan

pengujian

substantif yang akan dilakukan. 3. Pengujian substabtive (substantive testing phase) Tahap ini menekankan pada data keuangan, yang melibatkan pemeriksaan terhadap saldo account atau transaksi tertentu. Auditor harus mengevaluasi kelemahan dari kebijakan dan prosedur yang ada untuk menentukan dampaknya terhadap perusahaan kemudian melaporkan hasil tersebut.

Gambar 2.1. Tahapan audit sistem informasi

24

2.4.

Metode Audit Menurut Gondodiyoto (2007 :451-459) pendekatan yang dapat dipakai

dalam melakukan audit sistem informasi ada 3 (tiga) antara lain : 1) Auditing around the computer Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan menguji pengendalian masukan, kemudian menghitung hasil yang diperkirakan dari proses transaksi lalu auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual. 2) Auditing through the computer Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan output melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui pemeriksaan logika dan akurasi program meliputi koding program, desain aplikasi, serta hal lain yang berkaitan dengan program aplikasinya. 3) Auditing with computer Pada metode ini audit dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini sangat bermanfaat dalam pengujian subtantif atas file dan record perusahaan. Salah satu software audit yang dapat digunakan adalah GAS (Generalized Audit Software) dan SAS (Specialized Audit Software).

25

2.5.

Program Audit Menurut Moeller (2010:127) program audit merupakan prosedur yang

menjelaskan langkah-langkah dan serangkaian tes yang akan dilakukan oleh seorang auditor TI pada saat meninjau sebuah fasilitas operasional TI, mengevaluasi aplikasi, atau melakukan beberapa proses audit lainnya. Bentuk program audit sangat beragam tergantung pada kondisi audit, praktik, serta kebijakan kantor akuntan tersebut (Boynton et all,2003:246). 2.6.

Pengendalian Internal Menurut Committee of Sponsoring Organizations (COSO) yang dikutip

oleh Champlain (2003:216) dalam bukunya yang berjudul Auditing Information System, pengendalian internal didefinisikan sebagai : “A process, affected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in (1) the effectiveness and efficiency of operations, (2) the reability of financial reporting, and (3) the compliance of applicable laws anf regulations.” Untuk mencapai tujuan tersebut, terdapat lima komponen pokok sistem pengendalian internal yang dapat diterapkan secara efektif, yang mencakup lingkungan pengendalian, penaksiran risiko, aktivitas pengendalian, informasi & komunikasi, serta pengawasan. Didalam pengendalian internal menurut COSO terdapat dua aktivitas pengendalian yang ditunjukan untuk mendorong kehandalan proses informasi yaitu pengendalian umum dan pengendalian aplikasi (Hall, 2011:21).

26

2.6.1.

Pengendalian Umum Menurut Gondodiyoto (2007 : 301) pengendalian umum adalah sistem

pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Ruang-lingkup yang termasuk dalam pengendalian umum adalah sebagai berikut (Gondodiyoto, 2007 : 301) : 1. Pengendalian top manajemen (top management controls), dalam lingkup ini termasuk pengendalian manajemen sistem informasi (information system management controls). 2. Pengendalian manajemen pengembangan sistem (system development management controls), termasuk manajemen program (programing management controls). 3. Pengendalian manajemen sumber data (data resource management controls). 4. Pengendalian manajemen operasi (operation management controls). 5. Pengendalian manajemen keamanan (security administration management controls). 6. Pengendalian

manajemen

jaminan

kualitas

(quality

assurance

management controls). 2.6.2.

Pengendalian Aplikasi Pengendalian khusus atau pengendalian aplikasi ialah kontrol internal

komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu

27

organisasi (Gondodiyoto, 2007:371). Pengendalian aplikasi terdiri dari 6 (enam) pengendalian yaitu: 2.6.2.1. Pengendalian Batasan (Boundary Control) Pengendalian batasan merupakan jenis pengendalian yang didesain untuk mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem informasi digunakan oleh user dengan cara yang ditetapkan. Yang dimaksud dengan batasan (boundary) adalah interface antara para pengguna (users) dengan sistem berbasis teknologi informasi (Gondodiyoto, 2007: 374). Terdapat beberapa kontrol yang diimplementasikan dalam pengendalian batasan yaitu chryptograpic contol, acces control, audit trail, dan existance control. 2.6.2.2. Pengendalian Masukan (Input) Input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting dan mengandung resiko. Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan (Gondodiyoto, 2007: 377). 2.6.2.3. Pengendalian Proses Pengendalian proses (processing controls) ialah pengendalian internal untuk mendeteksi jangan sampai data menjadi error karena adanya kesalahan proses. Tujuan pengendalian pengolahan adalah untuk mencegah agar tidak terjadi kesalahan-kesalahan selama proses pengolahan data (Gondodiyoto, 2007: 401).

28

2.6.2.4. Pengendalian Keluaran (Output) Menurut Gondodiyoto (2007:401) pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu. Jenis-jenis pengendalian keluaran meliputi pengendalian rekonsiliasi keluaran, penelaahan dan pengujian hasil pengolahan, pengendalian distribusi keluaran dan pengendalian terhadap catatan (record retention). 2.6.2.5. Pengendalian Database Pengendalian database merupakan jenis pengendalian intern yang didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data tersebut. 2.6.2.6. Pengendalian Komunikasi Aplikasi Pengendalian komunikasi aplikasi merupakan jenis pengendalian intern yang didesain untuk menangani kesalahan selama proses trasmisi data dan untuk menjaga keamanan dari data selama pengiriman informasi tersebut (Gondodiyoto, 2007:429). 2.7.

Instrumen Pemeriksaan Menurut Gondodiyoto (2007 : 596) terdapat berbagai teknik pemeriksaan

yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik tersebut antara lain ialah observasi, wawancara atau tanya jawab, kuesioner, konfirmasi, inspeksi, analisis, perbandingan, pemeriksaan bukti-bukti tertulis atau studi dokumentasi,

29

rekonsiliasi, trasir, perhitungan ulang dan scanning. Dalam audit sistem informasi juga dapat dilakukan teknik-teknik audit dengan metoda code reivew, test data, code comparison, dengan dukungan audit software, dilakukan perfomance management tools lainnya dan monitor information system usage. 2.8.

Temuan Audit Menurut Gondodiyoto (2007 : 663-664) temuan audit dibagi menjadi dua

yaitu temuan negatif dan temuan positif. Temuan negatif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat ketidaktaatan terhadap ketentuan/ peraturan, pengeluaran uang tidak sepatutnya, ketidakhematan, ketidakefisienan

dan

ketidakefektifan

yang

dapat

berakibat

adanya

kemungkinan/resiko/dampak yang merugikan perusahaan. Sedangkan temuan positif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat halhal yang bersifat positif dan perlu dikemukakan sebagai penghargaan atau apresiasi terhadap auditan, berikan pujian dan tonjolkan kelebihan-kelebihan untuk hal-hal yang pantas dikemukakan. 2.9.

Teknik Penaksiran Resiko Menurut Gondodiyoto (2007 : 489)

ada beberapa metode untuk

melakukan penilaian resiko, yaitu : 1. Pendekatan penaksiran dengan sistem scoring. Pendekatan ini digunakan dengan mengutamakan audit berdasarkan pada evaluasi faktor-faktor resiko.

30

2. Penilaian resiko secara judgemental. Yaitu keputusan dibuat berdasarkan pengetahuan bisnis, intruksi manajemen eksekutif, sejarah lingkungan, tujuan bisnis dan faktor-faktor lingkungan. 3. Teknik kombinasi. III. 3.1.

METODE PENELITIAN Metode dan Teknik Pengumpulan Data Metode dalam audit sistem informasi yang dipakai menggunakan

pendekatan audit through the computer (terbatas). Yang dimaksudkan audit through the computer (terbatas) disini ialah penulis melaksanakan program audit pengendalian proses namun terdapat batasan-batasan yang diberikan auditte. Sumber data yang digunakan dalam penelitian ini adalah sumber data primer dan sumber data sekunder. Data primer diperoleh dari hasil observasi, penelaahan dokumentasi dan wawancara kepada pihak-pihak yang berkepentingan dalam aplikasi Sistem Keuangan dan Akuntansi UKSW (SIKASA UKSW). Data sekunder berupa struktur organisasi, job description, buku manual program aplikasi Sistem Keuangan dan Akuntansi UKSW, Standart Operation Procedure (SOP) penerimaan dan pengeluaran kas. Data tersebut diperoleh dari sumber internal. Sumber internal itu ialah organisasi dimana penelitian ini dilakukan mencangkup pengelola SIKASA UKSW yaitu staff di lingkungan kantor Pembantu Rektor I, Pembantu Rektor II, programmer, Biro Teknologi dan Sistem Informasi, dan operator unit

31

(staff/pegawai) terpilih yang berhubungan langsung dengan aplikasi Sistem Keuangan dan Akuntansi UKSW. Tahapan Audit Yang Dilaksanakan

3.2.

Tahapan audit dalam pekerjaan lapangan ini mengikuti tahapan yang terdapat dalam teori dan mengalami modifikasi untuk menyesuaikan dengan keadaan lapangan dan keterbatasan yang ada. Adapun tahapan tersebut adalah sebagai berikut : 3.2.1. Tahap Perencanaan Salah satu tahap audit ialah perencanaan (audit planning). Perencanaan audit dimaksudkan untuk meringankan kerja audit dari segi biaya, waktu dan penganalisaan atas bukti-bukti dan informasi yang telah diperoleh. Terdapat tiga tahap yang terdapat dalam tahap perencanaan, yaitu : 1) Melakukan pemahaman atas sistem pengendalian yang ada secara umum, berupa mengajukan pertanyaan atau melakukan perbincangan kepada pengelola dan (staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam gambaran objek penelitian. 2) Melakukan pemahaman atas aplikasi secara khusus, berupa mengajukan pertanyaan

atau

melakukan

perbincangan

kepada

pengelola

dan

(staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam survei pendahuluan. 3) Menentukan perencanaan pengujian pengendalian.

32

3.2.2. Tahap Pengujian Pengendalian Langkah kedua dalam audit ini adalah tahap pengujian pengendalian. Pengujian pengendalian bertujuan untuk mengetahui apakah pengendalian yang ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan, dengan melakukan pemeriksaan, wawancara, observasi. Terdapat tiga tahap yang terdapat dalam tahap pengujian pengendalian, yaitu : 1) Melaksanakan pengujian pengendalian, berupa pengumpulan bukti audit berdasarkan program audit yang telah dibuat dengan sejumlah instrument audit seperti wawancara dan observasi. 2) Melakukan evaluasi terhadap bukti audit, berupa menganalisis bukti audit untuk mencari temuan-temuan yang terdapat pada SIKASA UKSW. 3) Menentukan penilaian resiko, menggunakan Level Penilaian Resiko National Institute of Standard and Technology (NIST) melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System. Level penilaian resiko merupakan suatu cara untuk menganalisa seberapa besar pengaruh kemungkinan terjadinya ancaman (Threat Likelihood) terhadap akibat yang ditimbulkan (Impact). Tabel 3.1 Definisi likelihoood level (level kemungkinan terjadi) Likelihood Level High Medium

Low

Likelihood Definition Sumber ancaman dianggap sangat mungkin terjadi dan kontrol untuk mencegah vulnerabilitas terjadi dianggap tidak efektif. Sumber ancaman mungkin terjadi, tetapi kontrol ditetapkan di tempat yang dapat menggangu keberhasilan pencegahan vulnerabilitas. Sumber ancaman kecil kemungkinan terjadi atau kontrol ditetapkan untuk mencegah atau setidaknya menghalau vulnerabilitas.

33

Tabel 3.2 Definisi magnitude of impact (besar dampak resiko) Risk Level High Medium Low

Risk Description and Necessary Actions Jika sebuah temuan dievaluasi sebagai High Risk, maka penting untuk mempertimbangkan tindakan perbaikan. Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan perbaikan diperlukan dan sebuah rencana harus diterapkan. Jika sebuah temuan ditentukan sebagai Low Risk, dipertimbangakn apakah diperlukan tindakan perbaikan atau memutuskan untuk menerima resiko.

Besarnya nilai Threat Likelihood dinyatakan dengan : 

High (H) diberi nilai 1,0



Medium (M) diberi nilai 0,5



Low (L) diberi nilai 0,1

Sedangkan besarnya nilai Impact dinyatakan dengan : 

High (H) diberi nilai 100



Medium (M) diberi nilai 50



Low (L) diberi nilai 10 Teknik perhitungan dalam Level penilaian resiko menggunakan

fungsi perkalian antara Threat Likelihood dengan Impact. Caranya yaitu : 1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood) berdasarkan nilai yang ada, apakah High, Medium, atau Low. 2. Tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai yang ada, apakah High, Medium atau Low. 3. Setelah itu kalikan antara Threat Likelihood dengan Impact. 34

4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah pertanyaan. 5. Hasil pembagian tersebut dinilai dengan menggunakan Risk Scale apakah termasuk kategori High, Medium atau Low pada Tabel. 6. Ancaman yang dijadikan resiko dan diberikan rekomendasi hanya kategori Medium dan High. Tabel 3.3 Risk Scale

Risk Scale

Low

Medium

High

1 to 10

> 10 to 50

> 50 to 100

3.2.3. Tahap Pengujian Subtantive Tahap ketiga dari proses audit berfokus pada data keuangan. Namun, dikarenakan adanya batasan audit yang ditetapkan organisasi mengenai data keuangan maka dalam penelitian ini penulis tidak pelaksanakan pengujian subtantive data keuangan. Terdapat dua tahap yang terdapat dalam tahap pengujian subtantive, yaitu : 1) Mengevaluasi hasil, berupa memberikan rekomendasi dari resikoresiko yang ada. 2) Membuat laporan audit. Pelaporan tidak dilaporkan ke dalam format resmi seperti yang ada dalam laporan auditor independen pada umumnya. Pelaporan dalam karya ini berupa kesimpulan dari analisis temuan yang diperoleh dari analisis pengendalian aplikasi.

35

IV. 4.1.

ANALISIS DATA Gambaran Umum Objek Penelitian Universitas Kristen Satya Wacana (UKSW) semula lahir dengan nama

Perguruan Tinggi Pendidikan Guru Kristen Indonesia (PTPG-KI). Diresmikan pada tanggal 30 November 1956 dengan lima jurusan, yaitu Pendidikan, Sejarah, Bahasa Inggris, Hukum, dan Ekonomi. PTPG-KI Satya Wacana berubah menjadi FKIP-KI pada tanggal 17 Juli 1959. Kemudian pada tanggal 5 Desember 1959 diresmikan menjadi Universitas Kristen Satya Wacana dengan kehadiran Fakultas Ekonomi dan Fakultas Hukum yang kemudian diikuti dengan pembukaan beberapa Fakultas dan Program Studi baru. Pada saat ini UKSW memiliki 51 Program Studi yang terdiri dari 7 Program Studi Diploma 3, 31 Program Studi Program Sarjana (S1), 10 Program Studi Program Magister (S2), dan 3 Program Studi Program Doktoral (S3). UKSW dipimpin oleh seorang rektor dan terdapat lima pembantu rektor. Dalam penelitian ini penulis akan melaksanakan program audit pada lingkungan Pembantu Rektor I Bidang Akademik dan Pembantu Rektor II Bidang Administrasi dan Keuangan. Struktur organisasi pada lingkungan Pembantu Rektor I dan Pembantu Rektor II terlihat pada gambar 4.1 dan 4.2. Budaya UKSW tercermin dalam penjabaran visi, misi universitas dan motto pelayananan masingmasing unit.

36

Gambar 4.1 Stuktur Organisasi Pembantu Rektor I Bidang Akademik dipimpin oleh seorang Pembantu Rektor I (PR I) dan dibantu oleh seorang sekertaris. Untuk menunjang aktifitas dalam bidang akademik, PR I memiliki beberapa unit penunjang seperti Perpustakaan Universitas (PU), Biro Teknologi dan Sistem Informasi (BTSI), Pusat Penjaminan Mutu Akademik (PPMA), Biro Administrasi Akademik (BAA), Pusat Bahasa/LTC. Dalam penelitian ini objek audit yang berada di dalam lingkungan Pembantu Rektor I adalah Biro Teknologi dan Sistem Informasi. Biro teknologi dan Sistem Informasi (BTSI) dipimpin oleh seorang manajer dan dibantu oleh seorang sekertaris. Terdapat dua bagian penting dalam BTSI yaitu bagian teknologi informasi dan bagian sistem informasi. Bagian teknologi informasi membawahi bagian audio visual, bagian jaringan komunikasi & internet dan bagian komputer. Sedangkan bagian sistem informasi membawahi bagian software, bagian sistem informasi manajemen, bagian flexibel learning & web dan bagian dokumentasi & pelatihan.

37

Gambar 4.2 Stuktur Organisasi Pembantu Rektor II Bidang Administrasi dan Keuangan dipimpin oleh seorang Pembantu Rektor II (PR II) dan seorang sekertaris. Untuk menunjang aktifitas dalam bidang akademik, PR II memiliki beberapa unit penunjang seperti Biro Akuntansi dan Keuangan (BAK), Biro Manajemen Kampus, Biro HRD. Dalam penelitian ini objek audit yang berada di dalam lingkungan Pembantu Rektor II adalah Biro Akuntansi dan Keuangan. Biro Akuntansi dan Keuangan dipimpin oleh seorang manajer dan dibantu oleh seorang sekertaris. Terdapat dua bagian penting dalam struktur Biro Akuntansi dan Keuangan (BAK) yaitu bagian akuntansi dan bagian keuangan. 4.2.

Survei Pendahuluan Sejak tahun 2003 UKSW mulai menggunakan Sistem Keuangan dan

Akuntansi Satya Wacana (SIKASA). Sebelum tahun 2003 pemrosesan transaksi

38

penerimaan dan pengeluaran di UKSW masih secara manual. Pada tahun 2003 sampai 2005 SIKASA dikelola oleh Salatiga Camp. Pada saat itu SIKASA hanya digunakan untuk memproses transaksi pengeluaran kas saja. Mulai tahun 2006 sampai sekarang SIKASA dikelola oleh BTSI dan mengalami banyak perkembangan dan perbaikan. Sampai saat ini aplikasi yang digunakan adalah SIKASA versi 2.0. SIKASA merupakan aplikasi berbasis web yang digunakan untuk mengelola data keuangan dan akuntansi. Berdasarkan kebijakan pembukuan dan pencatatan yang berbeda maka SIKASA di UKSW dibedakan menjadi lima jenis yaitu SIKASA UKSW, SIKASA B, SIKASA PHKI, SIKASA Mandiri, dan SIKASA Sekolah Lab. Dari kelima jenis SIKASA tersebut kemudian dikonsolidasikan menjadi satu laporan. Pengguna SIKASA adalah semua unit kerja yang ada di lingkungan UKSW. Pengguna hanya bisa mengakses SIKASA di dalam area jaringan UKSW melalui alamat http://sikasa.uksw.edu Model arsitektur SIKASA menggunakan model two tier. Dari sisi hardware untuk server menggunakan IBM System X3400, processor Core 2 Duo dengan memori 2 GB dan hardisk yang digunakan berkapasitas 500 GB. Sedangkan hardware untuk client yang berskala universitas menggunakan komputer branded dengan spesifikasi mayoritas generasi processor Pentium IV dengan memori minimal 512 MB. Sebagai alat komunikasi jaringan universitas menggunakan mikrotik sebagai router, beberapa buah swicth. Software-software pendukung lainnya yang digunakan seperti Windows Server, Windows Xp, Windows 7, Linux, Apache, PostgreSQL, PHP, Browser, dan Acrobat Reader.

39

Untuk melindungi sistem jaringan internal dari serangan hack (Hack Attack) secara keamanan jaringan server SIKASA sudah dilindungi oleh DMZ (Demilitarized Zone). Sedangkan untuk perlindungan dalam aplikasi SIKASA, sudah terdapat prosedur untuk login terlebih dahulu sebelum masuk ke aplikasi. Sumber daya utama yang digunakan berasal dari Perusahaan Listrik Negara (PLN) dan untuk mengantisipasi adanya pemadaman listrik universitas sudah memiliki beberapa Generator Set (Genset). Genset yang dimiliki belum dapat untuk mencakup semua unit namun sudah diletakkan pada lokasi-lokasi yang vital. 4.2.1. Prosedur Transaksi Penerimaan Kas Penerimaan kas dibedakan menjadi dua macam, yaitu penerimaan rutin dan penerimaan tidak rutin. Yang termasuk dalam penerimaan rutin adalah penerimaan uang kuliah, penerimaan sewa balairung, sewa cafe, dan sebagainya. Yang termasuk dalam penerimaan tidak rutin adalah uang wisuda, uang kursus, uang ijasah, dan sebagainya. Penerimaan uang kuliah berasal dari dua macam tagihan, yaitu tagihan pembayaran registrasi dan tagihan pembayaran pelunasan. Tagihan pembayaran registrasi merupakan tagihan yang harus dibayar oleh mahasiswa sebelum melakukan registrasi, sedangkan tagihan pembayaran pelunasan merupakan tagihan yang harus dibayar oleh mahasiswa. Proses penerimaan transaksi penerimaan kas di UKSW saat ini telah dikelola secara on-line. Dengan diterapkannya jaringan on-line tersebut, maka para mahasiswa UKSW diharuskan membayarkan beban akademisnya melalui bank-bank yang memiliki jaringan on-line dengan UKSW.

40

Proses ini di awali oleh bagian Akademik dengan mengeluarkan tagihan biaya kuliah untuk setiap mahasiswa. Mahasiswa diwajibkan untuk melakukan pembayaran sesuai tagihan tersebut melalui Bank yang ditunjuk atau lewat loket di Gedung Administrasi Pusat (GAP). Bank memproses tagihan tersebut dan mengirimkan laporan pembayaran yang sudah dilakukan oleh mahasiswa secara on-line melalui aplikasi SIASAT dan rekenig koran. Aplikasi SIASAT akan melakukan pengiriman data pada aplikasi SIKASA. Pihak pengelola SIKASA dalam hal ini BAK kemudian akan mencocokan data yang ada dikirim oleh aplikasi SIASAT dengan rekening koran yang dikirim oleh Bank. 4.2.2. Prosedur Transaksi Pengeluaran Kas Transaksi pengeluaran dilakukan oleh Bagian Penggajian dan semua unitunit pendukung. Transaksi pengeluaran dilakuakan berdasarkan anggaran yang sidah ditetapkan dan disetujui oleh Komite Anggaran. Pengeluaran kas dibagi menjadi dua, yaitu pengeluaran kas secara tunai dan pengeluaran kas melalui transfer bank. Pengeluaran kas secara tunai dibagi menjadi tiga menurut sumber dokumennya, yaitu pengeluaran kas melalui Surat Permintaan Bon Sementara (SPBS), pengeluaran kas melalui Surat Permintaan Realisasi Anggaran (SPRA), dan pengeluaran kas melalui transaksi mutasi kas/bank. Dokumen yang sudah dicetak harus diotorisasi oleh Unit Anggaran dan Pimpinan Unit. Setelah diotorisasi, dokumen tersebut diserahkan ke Bagian Keuangan untuk diotorisasi. Jika dokumen pengeluaran tersebut telah diotorisasi oleh Bagian Keuangan, maka transaksi tersebut dianggap sah dan dapat anggaran tersebut dapat direalisasikan.

41

4.3.

Perencanaan Pengujian Pengendalian Aplikasi Perencanaan pengujian pengendalian aplikasi diawali dengan menentukan

ruang lingkup audit sistem informasi. Dalam penelitian ini ruang lingkup audit sistem informasi yang dilakukan hanya pengendalian aplikasi. Hal tersebut dikarenakan lingkungan organisasi yang sangat luas dan kurangnya pengetahuan penulis mengenai pengendalian umum. Ruang lingkup audit sistem informasi atas pengendalian aplikasi dibatasi dengan tidak melakukan pengujian substantive terhadap data akuntansi dan keuangan ataupun melihat format laporan keuangan. Hal tersebut dikarenakan adanya batasan lingkup audit sistem informasi dari auditee, mengingat dokumen tersebut sangat rahasia bagi organisasi. Dengan adanya pengetahuan mengenai proses bisnis organisasi serta pemahaman atas pengendalian yang ada dan ruang lingkup yang ada, maka penulis menentukan program audit. Program audit yang dipakai dalam penelitian ini

mengacu pada buku Sanyoto Gondodiyoto yang berjudul “Audit Sistem

Informasi + Pendekatan CobIT)” dan mengalami modifikasi untuk menyesuaikan dengan keadaan lapangan dan keterbatasan yang ada. Program audit ini sangat penting dalam menjadi pegangan atau panduan bagi penulis untuk memahami lebih lanjut dan mengindentifikasi berbagai temuan yang penting. Program audit pengendalian aplikasi yang digunakan dibagi menjadi beberapa program audit yaitu program audit pengendalian batasan, program audit pengendalian masukan, program audit pengendalian proses, program audit pengendalian keluaran,

42

program audit pengendalian basis data (database) dan program audit pengendalian komunikasi aplikasi. Pengujian Pengendalian Aplikasi

4.4.

4.4.1. Pengujian Program Audit atas Pengendalian Batasan Pengendalian batasan (boundary) ini didesain untuk mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem informasi digunakan oleh user dengan kriteria standar yang ditetapkan seperti: 1. Menetapkan identitas dan kewenangan pengguna, dalam arti sistem harus memastikan user yang dapat melakukan pengaksesan adalah user yang mempunyai hak akses. 2. Sistem dapat menampilkan pesan error atau menutup aplikasi secara langsung pada saat user salah memasukkan password pada jumlah kesalahan maksimum yang telah ditetapkan. 3. Dapat membatasi tingkat pengaksesan user sesuai level yang dimiliki. Adapun hasil pengujian pengendalian batasan terdapat pada tabel dibawah ini. Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan No.

1

Tahap Pengujian Pengendalian Batasan Lakukan pengecekan apakah aplikasi dilengkapi dengan login akses seperti username dan password?

Objek Audit Aplikasi SIKASA UKSW

Keterangan Ya. Aplikasi sudah dilengkapi dengan login akses. Terdapat level sub-unit, username dan password. (lampiran 19)

WP Ref. O-I-PB-01

43

Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan) Tahap Pengujian No. Pengendalian Batasan 2 Lakukan pengecekan apakah aplikasi menampilkan pesan (error message) jika verifikasi login tidak valid? 3 Lakukan pengecekan apakah aplikasi membatasi ukuran filed (panjang maksimal) terhadap login akses (username dan password). 4 Lakukan pengecekan apakah password yang diketik tidak terlihat (invisible). 5 Dapatkan informasi siapa saja yang menjadi user aplikasi? 6 Dapatkan informasi apakah hanya password yang membatasi akses ke dalam aplikasi. 7 Apakah login akses seperti username dan password diencryption? 8 Lakukan pengecekan apakah sistem aplikasi hanya dapat diakses oleh orang-orang yang terotorisasi.


Aplikasi SIKASA UKSW


Keterangan

WP Ref.

Ya. Sistem akan memberitahu bahwa username atau password yang anda masukan salah atau tidak sesuai dengan sub-unitnya. Aplikasi SIKASA dapat menampilkan pesan (error message) jika verifikasi login tidak valid. (lampiran 20) Tidak. Tidak ada kebijakan untuk membatasi ukuran filed (panjang maksimal) terhadap login akses (username dan password).

O-I-PB-02

Ya. Password yang dimasukan invisible.

O-I-PB-04

O-I-PB-03

Ka bag. Admin, Bag Akuntansi, Operator, Akuntansi Keuangan, Anggaran, Unit. Untuk User secara keseluruhan ada di softwarenya. Ka bag. Tidak. Untuk mengakses Akuntansi SIKASA diperlukan password, username, dan sub-unit.

W-II-PB-01

Admin SIKASA UKSW

Ya. Username dan password pastinya diencryption.

W-I-PB-01


Ya. Setiap karyawan yang berhubungan dengan SIKASA UKSW telah diberi username masing-masing.

O-I-PB-08

W-II-PB-02

44

Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan) No. 9

10

11

12

13

Tahap Pengujian Pengendalian Batasan Lakukan pengecekan beberapa kali kegagalan penginputan login akses dapat dilakukan. Lakukan pengecekan apakah sistem memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses. Dapatkan informasi mengenai batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. Dapatkan informasi tentang adanya kebijakan yang mengatur umur password. Jika ya, apakah apalikasi SIKASA menampilan pesan jika password tersebut telah berakhir (expired?)

Objek Audit

Keterangan

WP Ref.


Tidak ada batasan penginputan login akses. Sistem akan tetap menampilkan pesan yang berisi informasi kesalahan pada saat login. (lampiran 20)

O-I-PB-05


Tidak. Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi ketika terjadi kegagalan login akses.

O-I-PB-06

Admin SIKASA UKSW

Ada beberapa tingkatan level aksesnya. (lampiran 22) Aplikasi memiliki management user.

W-I-PB-02

Admin SIKASA UKSW

Tidak ada kebijakan yang mengatur umur password.

W-I-PB-03

Admin SIKASA UKSW

Tidak ada kebijakan yang mengatur umur password.

W-I-PB-04

45

Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan) No. 14

15

16

17

18

Tahap Pengujian Pengendalian Batasan Apakah ada kebijakan yang mengatur kriteria password? Dapatkan informasi apabila user lupa username dan password.

Lakukan pengecekan apakah sistem aplikasi jelas ruang lingkupnya (apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, siapa para penggunanya dan siapa pemegan kewenangan)? Apakah terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Apakah ada kebijakan yang mengatur jam akses untuk SIKASA?

Objek Audit

Keterangan

WP Ref.

Admin SIKASA UKSW

Tidak ada kebijakan yang mengatur kriteria password.

W-I-PB-05

Admin SIKASA UKSW

Karena yang bisa mereset administrator, user biasanya langsung ke administrator. Biasanya untuk yang sudah bisa dijalankan lewat sistem, itu dilakukan di Bag. Akuntansi mereka yang mereset passwordnya. Karena mereka (Bag. Akuntansi) levelnya sejajar dengan admin. Untuk user yang pindah unit atau ganti orang penggantian password tidak bisa lewat sistem (harus hard coding). Sistem aplikasi telah sesuai dengan standart operation prosedure (SOP) yang telah ditetapkan.

W-I-PB-06

Setiap pengguna yang masuk ke dalam aplikasi SIKASA mempunyai sesi yang jika tidak digunakan selama 10 menit, maka sesi tersebut akan habis, sehingga pengguna harus melakukan login lagi. Tidak. Untuk jam akses SIKASA tidak ada pembatasan waktu. Tetapi untuk waktu operasionalnya biasanya jam 8 sampai jam 4 sore. Selama masih intranet SIKASA bisa dilakukan kapan saja. Pada saat lembur, jadi kita tidak mungkin membatasi akses.

O-I-PB-07



Admin SIKASA UKSW

O-I-PB-09

W-I-PB-07

46

Berdasarkan tabel pengujian program audit atas pengendalian batasan, pada umumnya sudah memenuhi kriteria standar seperti terdapat tingkat pengaksesan user sesuai level yang dimiliki. 4.4.2. Pengujian Program Audit atas Pengendalian Masukan Pengendalian masukan (input) ini dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan dengan kriteria standar

yang ditetapkan

seperti: 1. Terdapat kontrol terhadap dokumen sumber yang akan diinput (source document controls). 2. Terdapat otoritas bagi pihak yang melakukan delete atau update (validation controls). 3. Terdapat pesan error apabila salah melakukan input data (input error corection). 4. Fasilitas menu yang disajikan memenuhi kebutuhan user. Adapun hasil pengujian pengendalian masukan terdapat pada tabel dibawah ini. Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan Tahap Pengujian No. Pengendalian Masukan 1 Apakah ada pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya?

Objek Audit Ka bag. Akuntansi

Keterangan Tidak. Karena user yang terkait punya wewenang untuk menginput data dan mengeluarkan laporan.

WP Ref. W-II-PM-03

47

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan) Tahap Pengujian No. Pengendalian Masukan 2 Dapatkan informasi apakah create, read, update dan delete terhadap data dan transaksi hanya dapat dilakukan oleh user tentu yang diberi otoritas. 3 Dapatkan informasi apakah kesalahan tentang data dan transaksi yang telah terlanjur diinput dan disave dapat di edit atau didelete oleh orang yang menginput?

Objek Audit

Keterangan

WP Ref.

Admin SIKASA UKSW

Ada beberapa tingkatan. Misalnya untuk master data, create, read, update dan delete (CRUD) hanya bisa dilakukan oleh admin. Untuk transaksi, tergantung dengan proses transaksinya.

W-I-PM-07

Admin SIKASA UKSW

Jika transaksi sudah fix yang bisa menghapus hanya administrator, dari operator sudah tidak bisa menghapus. Untuk mengubah atau mengedit dari bagian akuntansi itu bisa, namun harus melihat perlakuan harus melihat kasus. Apakah transaksi ini harus di hapus dan dibuat transaksi baru atau cuma dirubah. Konfirmasinya ada. Jadi ketika data akan diproses sistem akan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau dikembalikan ke awal. Sistem Aplikasi menggunakan bahasa yang mudah dimengerti. Secara keseluruhan bahasa yang digunakan sistem adalah bahasa indonesia. Namun ada beberapa bahasa asing yang digunakan seperti : username, password dan login. Ada. Jika nilai debit/kredit tidak balance sistem akan menampilkan konfirmasi “Jumlah = Tidak Seimbang”. (lampiran 21)

W-I-PM-08

4

Apakah terdapat menu konfirmasi terhadap data sebelum disimpan?

Admin SIKASA UKSW

5

Lakukan pengecekan terhadap penggunaan bahasa pada layar Sistem Aplikasi.


6

Lakukan pengecekan, apakah terdapat pesan kesalahan (error message) pada sistem aplikasi sewaktu terjadi kesalahan penginputan?


W-I-PM-09

O-I-PM-09

O-I-PM-10

48

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan) Tahap Pengujian No. Pengendalian Masukan 7 Lakukan pengecekan mengenai tombol perintah save, delete, dan cancel pada tampilan.

8

9

10

11


Dapatkan informasi tentang fasilitas peringatan dari Sistem Aplikasi jika data belum di backup maka prosesnya tidak dapat dilanjutkan. Lakukan pengecekan apakah petugas entri data selalu membubuhkan tanda check ( √ ) setelah dokumen selesai di input. Lakukan tinjauan apakah fasilitas menu pada sistem aplikasi telah memenuhi kebutuhan user.

Admin SIKASA UKSW

Lakukan pengecekan apakah dokumen sumber telah memiliki nomor urut.

Dokumen Input

Keterangan Ketika user akan menginput transaksi, terdapat beberapa tombol perintah seperti : - tombol ubah untuk mengubah debit/kredit atau nama dan keterangan, - tombol hapus untuk menghapus transaksi, - tombol cetak untuk mencetak transaksi, - tombol proses untuk memproses transaksi. (lampiran 21) Penggunaan icon (button) dan warna sudah userfriendly. Proses back-up secara otomatis (online). Sistem hanya akan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau dikembalikan ke awal.

WP Ref. O-I-PM-14

W-I-PM-10

Dokumen Input

Terdapat tanda check setelah Dokumenselesai diinput.

O-II-PM-01


Secara keseluruhan fasilitas menu pada sistem aplikasi telah memenuhi kebutuhan user. Aplikasi SIKASA dilengkapi dengan tools kecil tambahan untuk mempermudah penggunaan SIKASA. Dokumen sudah memiliki nomor urut. (lampiran 31 dan lampiran 32)

O-I-PM-12

O-II-PM-02

49

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan) Tahap Pengujian No. Pengendalian Masukan 12 Lakukan pengecekan apakah nomor urut di dokumen sumber telah tercetak secara otomatis. 13 Apakah penyimpanan atau pengarsipan terhadap dokumen sumber yang telah digunakan? 14 Lakukan pengecekan apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber? 15 Apakah terdapat prosedur persetujuan penginputan data ke dalam sistem aplikasi? 16 Lakukan pengecekan apakah data yang diisikan pada filed sesuai dengan ketentuan jenis tipe datanya (numeric/alfabetic)? 17 Lakukan pengecekan apakah terdapat transaction log dalam aplikasi?

Objek Audit

Keterangan

WP Ref.

Dokumen Input

Dokumen sumber telah tercetak secara otomatis dari aplikasi. (lampiran 31 dan lampiran 32)

O-II-PM-03

Ka bag. Akuntansi

Dokumen diarsip berdasarkan periode dan jenis dokumen.

W-II-PM-06

Dokumen Input

Dari penelahan dokumen SPRA, terdapat kolom otorisasi yang disi petugas sebagai pengawasan terhadap akurasi perhitungan, kelengkapan dan keabsahan bukti transaksi telah diperiksa.

O-II-PM-04

Ka bag. Akuntansi

Ya. Sebelum dokumen diinput ada persetujuan dari kabag Akuntansi atau keuangan.

W-II-PM-04


Ya. Untuk pengisian debit/kredit hanya bisa menggunakan numeric.

O-I-PM-13


Ya. Terdapat transaction log dalam aplikasi yang bisa disearch dan disort berdasarkan waktu, sub-unit, username, level, komputer, aksi dan perintah SQL. (lampiran 23)

O-I-PM-15

50

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan) Tahap Pengujian No. Pengendalian Masukan 18 Lakukan pengecekan apakah terdapat help facilities dalam aplikasi. 19 Apakah metode input data ke dalam database dengan menggunakan realtime processing? 20 Lakukan pengecekan apakah terdapat perubahan warna pada interface, jika terjadi kesalahan penginputan. 21 Lakukan pengecekan apakah waktu respon di setiap penginputan data di dalam sistem aplikasi cepat?

Objek Audit

Keterangan

WP Ref.

Admin SIKASA UKSW

Ada. Ada juga buku panduan, namun masih versi yang lama (belum update).

W-I-PM-11

Admin SIKASA UKSW

Ya.Input data ke dalam database dengan menggunakan realtime processing supaya data dapat diupdate terus.

W-I-PM-12


Ya. Misalnya ketika jumlah transaksi tidak seimbang maka, warna font akan berwarna merah. Sebaliknya jika jumlah transaki seimbang maka warna font akan berwarna hijau. (lampiran 21 dan lampiran 22) Ya. Komputer didukung memori yang besar (client).

O-I-PM-16


O-I-PM-17

51

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan) Tahap Pengujian No. Pengendalian Masukan 22 Dapatkan informasi tentang prosedur persetujuan penginputan data.


Keterangan Kita ada pengeluaran dan penerimaan. Untuk pengeluaran itu unit yang input sampai uang cair. Kemudian ada jurnal penerimaan untuk saat ini yang menginput akuntansi. Ada lagi jurnal memorial, jurnal penyesuaian, koreksi, transfer payment antar unit. Ada jurnal yang sudah ada di SIASAT yang otomatis link. Untuk prosedur unit nanti minta Surat Realisasi Anggaran berdasarkan dari rapat-rapat atas nama siapa kemudian diprint, proses, kemudian muncul printoutnya. Setelah itu menyiapkan tanda tangan sesuai level-levelnya sampai ke keuangan. Jika sudah komplit kemudian keuangan merilis otorisator terakhir dari kas, visa atau bank.

WP Ref. W-II-PM-05

Berdasarkan tabel pengujian program audit atas pengendalian masukan, pada umumnya sudah memenuhi kriteria standar seperti terdapat kontrol terhadap dokumen sumber yang akan diinput, terdapat otoritas bagi pihak yang melakukan delete atau update, terdapat pesan error apabila salah melakukan input data, fasilitas menu yang disajikan memenuhi kebutuhan user. 4.4.3. Pengujian Program Audit atas Pengendalian Proses Pengendalian proses ini dirancang dengan tujuan untuk untuk mencegah agar tidak terjadi kesalahan-kesalahan selama proses pengolahan data dengan kriteria standar yang ditetapkan seperti:

52

1. Pengolahan data tidak dapat dilakukan dengan cara ilegal. 2. Sistem harus mencegah atau mendeteksi kehilangan data dan data yang tidak valid selama proses dilakukan (error detection and corection). 3. Kesalahan yang dilakukan selama pemrosesan harus dapat segera diperbaiki. 4. Setiap proses yang dilakukan harus terekam ke dalam database. Adapun hasil pengujian pengendalian proses terdapat pada tabel dibawah ini. Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses Tahap Pengujian No. Pengendalian Proses 1 Lakukan pengecekan apakah data dapat diproses dengan tidak benar. 2 Lakukan pengecekan apakah data dapat ditambahkan, dihapus, dicopy, dihilangkan atau diubah dengan cara yang ilegal. 3 Lakukan pengecekan apakah sistem dapat mencegah atau mendeteksi data masukan yang tidak valid. 4 Dapatkan informasi apakah sistem mampu mencegah atau mendeteksi kehilangan data selama pemrosesan.

Objek Audit

Keterangan

WP Ref.


Tidak. Sistem akan memberikan konfirmasi terhadap kesalahan. (lampiran 21)

O-I-PP-18


Tidak. Masing-masing user sudah ada levelnya.

O-I-PP-19


Ya. Dengan manajemen user dan terdapat message pada interface aplikasi jika data masukan tidak valid.

O-I-PP-19

Admin SIKASA UKSW

Ya. Sistemnya dengan rollback dan flag. Misalnya tiba-tiba mati lampu dan hidup kembali sistem akan menampilkan kondisi dimana user terakhir melakukan input.

W-I-PP-12

53

Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses (lanjutan) Tahap Pengujian No. Pengendalian Proses 5 Dapatkan informasi apakah sistem mampu untuk mengecek keseluruhan pemrosesan. 6 Lakukan pengecekan apakah proses yang dilakukan dapat terekam di dalam sistem aplikasi. 7 Lakukan pengecekan apakah kesalahan dalam pemrosesan data dapat segera diperbaiki dalam waktu yang cepat. 8 Dapatkan informasi apakah sudah terdapat prosedur audit trail pada sistem aplikasi? 9 Apakah semua output laporan keuangan diproses melalui aplikasi SIKASA?

Objek Audit Admin SIKASA UKSW

Keterangan

WP Ref.

Ya. Sistem memiliki dua log. Log server dan log program. Log program mencatat semua aksi yang dilakukan oleh user. Log server semua aksi secara keseluruhan. Ya. Terdapat menu daftar log untuk melihat historis dari pemrosesan transaksi.

W-I-PP-13


Ya. Sistem aplikasi menggunakan realtime processing, namun harus level admin.

O-I-PP-22

Admin SIKASA UKSW

Audit trail dilakukan dari manajemen log.

W-I-PP-14

Manajer BAK

Tidak. Dari SIKASA nanti W-III-PP-01 mengunduh neraca saldo kemudian digabungkan dengan beberapa laporan keuangan dari SIKASA yang lain. Saat ini masih manual menggunakan Ms. excel.


O-I-PP-21

Berdasarkan tabel pengujian program audit atas pengendalian proses, pada umumnya sudah memenuhi kriteria standar seperti terdapat kontol pengolahan data agar tidak dapat dilakukan dengan cara ilegal, kontrol terhadap error detection and corection, kontrol terhadap kesalahan yang dilakukan selama pemrosesan, kontrol pada pemrosesan data agar terekam ke dalam database.

54

4.4.4. Pengujian Program Audit atas Pengendalian Keluaran Pengendalian keluaran ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu dengan kriteria standar yang ditetapkan seperti: 1. Hasil output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak yang berhak serta tepat waktu. 2. Terdapat prosedur permintaan laporan rutin atau permintaan laporan baru. 3. Terdapat control terhadap penghancuran laporan yang tidak dibutuhkan. Adapun hasil pengujian pengendalian keluaran terdapat pada tabel dibawah ini : Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran Tahap Pengujian No. Pengendalian Keluaran 1 Dapatkan informasi tentang sistem pengawasan terhadap catatan untuk setiap laporan yang terjadi.


Keterangan Laporan selesai itu finalisasi dari kita. Kita nanti juga di audit dari eksternal, kemungkinan ada koreksi atau kesalahan atau reklas, kemungkinan ada perbaikan. Kemudian kita cek kebenaranya, jika benar kita ngikut saldonya mereka. Dari kami (akuntansi) ada pengecekan ulang (review manual).

WP Ref. W-II-PK-07

55

Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan) Tahap Pengujian No. Pengendalian Keluaran 2 Dapatkan informasi apakah dilakukan pemeriksaan ulang setelah laporan tersebut dicetak.

3

4

5

Apakah sistem aplikasi dapat menghasilkan laporan yang dibutuhkan. Dapatkan informasi apakah laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan. Dapatkan informasi tentang prosedur permintaan laporan rutin atau laporan baru.


Keterangan

WP Ref.

Dari kami (akuntansi) ada pengecekan ulang (review manual). Kalo yang hard itu ada di akuntansi (arsip) dan untuk yang soft itu kita back up. Kita berkerjasama dengan BTSI itu setiap tahun di back up. Sejauh ini aplikasi menyediakan laporan keuangan sampai proses neraca saldo.

W-II-PK-08

Manajer BAK

Ya. Pemimpin universitas, dan pihak-pihak lain seperti yayasan, auditor internal dan auditor external.

W-III-PK03

Manajer BAK

Karena sistem berdasarkan anggaran, masing-masing unit membuat anggaran setelah jadi unit akan membuat SPRA. Saat ini sistem (SIKASA) hanya sampai neraca saldo. Dari neraca saldo dibuat manual dengan menggunakan excel. Karena sejak awal menggunakan SIKASA tahun 2006, dipisahkan menjadi dua yaitu operasional biasa (perkuliahan) dan SIKASA B untuk yang proyekproyek (hibah). Kedua jenis SIKASA tersebut tidak terintegrasi. Jadi untuk membuat laporan yang komprehensif ada penggabungan, konsolidasi dan eliminasi dari beberapa jenis SIKASA dan saat ini masih dibuat manual.

W-III-PK02

Ka bag. Akuntansi

W-II-PK-09

56

Tabel 4.13 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan) Tahap Pengujian No. Pengendalian Keluaran 6 Dapatkan informasi apakah laporan didistribusikan secara tepat waktu dan tepat sasaran.

7

8

9

10

Apakah laporan keuangan yang masih softcopy dilengkapi dengan password? Dapatkan laporan tentang laporan yang diarsip. Lakukan pengecekan apakah arsip telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang mungkin terjadi. Dapatkan informasi tentang control terhadap penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan.


Ka bag. Akuntansi

Ka bag. Akuntansi Ka bag. Akuntansi

Ka bag. Akuntansi

Keterangan

WP Ref.

Sebelumnya kita sudah ada perbaikan. Beberapa tahun yang lalu kita sampai mundur hampir setengah tahun lebih. Jadi kita terlambat. Tapi untuk tahun kemarin kita lebih baik. Tahun ini kita punya target agustus sudah selesai. Yah memang ada kelemahan-kelemahan dari semua sistem jadi kita terlambat (belum terintegrasi). Kita tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.

W-II-PK-11

Kita disediakan gudang. Tapi jika di tahun-tahun berjalan kita letakkan dikantor. Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik.

W-II-PK-12

Untuk laporan keuangan kita tidak bagikan kesemua orang. Kita cuma pastikan laporan tersebut ke PR II, Manajer, Yayasan, dsb. Dan untuk kita sendiri, kita simpan jadi tidak mungkin laporan tersebut keluar. Laporan juga ada diSIKASA dan yang bisa melihat itu misalnya admin, yayasan, pimpinan bisa. Kalo untuk laporan kita belum penghancuran, itu juga masih penting kecuali arsip-arsip kayak bukti-bukti penerimaan dari mahasiswa itu jika sudah setahun kita rajang (hancurkan).

W-II-PK-13

W-II-PK-11

O-I-PK-23

57

Berdasarkan tabel pengujian program audit atas pengendalian keluaran, pada umumnya sudah memenuhi kriteria standar seperti terdapat hasil kontrol terhadap output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak yang berhak serta tepat waktu, terdapat prosedur permintaan laporan rutin atau permintaan laporan baru, terdapat control terhadap penghancuran laporan yang tidak dibutuhkan. 4.4.5. Pengujian Program Audit atas Pengendalian Database Pengendalian database ini didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data tersebut dengan kriteria standar yang ditetapkan seperti: 1. Terdapat pemisahan tugas antara database administrator dan data administrator. 2. Terdapat pengendalian terhadap akses ilegal 3. Database memliki integrity constrains. 4. Terdapat file handling control. 5. Permintaan data harus dilakukan dengan mengisi job requets. Adapun hasil pengujian pengendalian database terdapat pada tabel dibawah ini.

58

Tabel 4.5 Pengujian Program Audit Bukti Audit atas Pengendalian Database Tahap Pengujian No. Pengendalian Database 1 Dapatkan informasi mengenai file handling control.

2

3

4

5

6

7

Dapatkan informasi apakah tugas Database Administrator dengan Data Administrator. Dapatkan informasi tentang pengendalian terhadap akses ilegal. Dapatkan informasi mengenai pengendalian terhadap batasan sistem hak akses. Dapatkan informasi mengenai jumlah preveleges atau hak akses untuk login database dibatasi. Dapatkan informasi mengenai permintaan data. Dapatkan informasi apakah sistem manajemen database tekah melaksanakan integrity constraints pada sistem database.

Objek Audit Admin SIKASA UKSW

Admin SIKASA UKSW

Keterangan Ada back-up data. Namun model recovery belum tercluster. Ketika recovery terjadi fail (kegagalan) kita melakukan back-up namun belum otomatis. Sistem harus down dahulu lalu kita masukan lagi data-datanya. Ya. Saya sebagai database administrator dan bag. Akuntansi sebagai data administrator.

WP Ref. W-I-PD-15

W-I- PD-16

Admin SIKASA UKSW

Sistem database dilengkapi login.

W-I- PD-17

Admin SIKASA UKSW

Security acces dengan single user login.

W-I- PD-18

Admin SIKASA UKSW

Banyak, setiap user PC yang terhubung dengan intranet UKSW. Tidak berdasarkan IP addres.

W-I- PD-19

Admin SIKASA UKSW Admin SIKASA UKSW

Biasanya dari pihak PR II atau dari Kabag. Akuntansi yang langsung datang meminta data. Ya. Sebagian besar sudah. Karena masing-masing item ada relasi dengan data yang lain.

W-I-PKE20 W-I- PD-21

59

Tabel 4.5 Pengujian Program Audit atas Pengendalian Database (lanjutan) Tahap Pengujian No. Pengendalian Database 9 Dapatkan informasi mengenai ketentuan siapa saja yang boleh melakukan permintan data. 10 Dapatkan informasi apakah sudah terdapat langkah backup data secara rutin.

11

Lakukan pengecekan apakah file backup telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang mungkin terjd.

Objek Audit

Keterangan

WP Ref.

Admin SIKASA UKSW

Auditor, Akuntansi dan PR II.

W-I- PD-23

Admin SIKASA UKSW

Ya. Untuk backup datanya dilakukan harian tengah hari dan malam. Untuk masa penyimpanannya setahun. Data yang sudah lebih dari satu tahun akan segera dihapus oleh server, namun kita harus tarik data sebelum dihapus dan di backup lagi ditempat lain (storage backup). Database dan file backup disimpan di ruang server bersama server aplikasi yang lain. Ruangan server dilengkapi dengan pendingin (AC). Peletakan server SIKASA berada dibagian bawah rak dan diganjal dengan kerdus.

W-I- PD-24

Ka. Bag. Teknologi Informasi

O-III- PD01

Berdasarkan tabel pengujian program audit atas pengendalian database, pada umumnya sudah memenuhi kriteria standar seperti terdapat pemisahan tugas antara database administrator dan data administrator, terdapat pengendalian terhadap akses ilegal, database memliki integrity constrains, dan terdapat file handling control. 4.4.6. Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi Pengendalian komunikasi aplikasi ini didesain untuk menangani kesalahan selama proses trasmisi data dan untuk menjaga keamanan dari data selama pengiriman informasi dengan kriteria standar yang ditetapkan seperti:

60

1. Menggunakan

media

transmisi,

commucation

line,

arsitektur

komunikasi, dan topologi. 2. Harus terdapat line error controls. Adapun hasil pengujian pengendalian komunikasi aplikasi terdapat pada tabel dibawah ini. Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi Tahap Pengujian No. Pengendalian Komunikasi Aplikasi 1 Dapatkan informasi mengenai hardware dan software yang dapat mendukung transmisi atau saluran link.

2

Dapatkan informasi tentang mediamedia transmisi yang digunakan pada sistem aplikasi.

Objek Audit Ka. Bag. Teknologi Informasi


Keterangan

Untuk hardware banyak sekali. Kita tidak punya datanya. Kalo untuk Server yang digunakan masih agak lama yaitu Core 2 duo, memori hanya 2 Giga, Hardisknya 500 Giga. Untuk Lan Card menggunakan Gigabyte. Workgroup tidak memakai. Platform yang dipakai Linux, jadi open source kemudian menggunakan PHP, databasenya menggukan PostgreSql. Untuk router menggunakan Mikrotik, untuk swich ada banyak. Setiap unit terdapat swicth masing-masing, karena kita menggunakan multi domain. Software yang dibutuhkan browser dan acrobat reader. UTP dan fiber optic.

WP Ref. W-IV-PKA01

W-IV-PKA02

61

Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi (lanjutan) Tahap Pengujian No. Pengendalian Komunikasi 3 Dapatkan informasi tentang communication line pada jaringan (private atau public) yang digunakan aplikasi. 4 Dapatkan informasi tentang error detection dan error correction pada communication line. 5 Dapatkan informasi tentang topologi jaringan pada sistem aplikasi.

6

Dapatkan informasi mengenai jenis arsitektur komunikasi yang digunakan oleh sistem aplikasi.

Objek Audit

Keterangan

WP Ref.


Private communication line. Karena sistem aplikasi hanya digunakan untuk kegiatan internal kampus.

W-IV-PKA03


Dengan menggunakan monitoring (system monitoring on-line). (lampiran 25, 26, 27)

W-IV-PKA04


Pada tingkat keseluruhan jaringan terdapat bermacammacam (gabungan) topologi jaringan seperti topologi Star, dan Ring. Jaringan dibangun dengan sistem mesh network. Menggunakan TCP/IP

W-IV-PKA05


W-IV-PKA06

Berdasarkan tabel pengujian program audit atas pengendalian database, pada umumnya sudah memenuhi kriteria standar seperti terdapat line error controls. 4.5.

Evaluasi Temuan Pengendalian Aplikasi

4.5.1. Evaluasi Temuan Pengendalian Batasan Adapun temuan audit yang dihasilkan dari pengendalian batasan yaitu :

62

Tabel 4.7 Evaluasi Temuan Pengendalian Batasan No. 1

2

3

4 5

6 7

8

9

Temuan Positif Negatif Aplikasi yang terkait dengan sistem Tidak ada format khusus terhadap informasi keuangan dan akuntansi password yang akan dimasukkan, yaitu dilengkapi dengan login akses berupa dapat berupa angka, huruf, atau sub-unit, username dan password. gabungan antara angka dengan huruf (parameter password). Password pada SIKASA diblok dengan Tidak ada kebijakan mengenai umur spot hitam/tidak terlihat (invisible). password (automatically expired password). Tidak ada kebijakan untuk membatasi Sistem aplikasi tidak dapat memberikan ukuran filed (panjang maksimal) respon dengan menutup secara otomatis terhadap login akses (username dan sistem aplikasi tersebut (otomatis keluar password) dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses. Aplikasi SIKASA akan menampilan Tidak ada kebijakan pembatasan waktu pesan jika verifikasi login tidak valid. jam akses SIKASA. Aplikasi SIKASA hanya dapat diakses oleh orang-orang yang terotorisasi (sub-unit). Login akses pada sistem aplikasi seperti password sudah diencryption. Batasan-batasan terhadap kewenangan user dalam mengakses aplikasi dilakukan dengan menangement user dan login akses. Terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Ya. Setiap karyawan yang berhubungan dengan SIKASA UKSW telah diberi username masing-masing.

Berdasarkan hasil temuan pengendalian batasan yang dilakukan, diperoleh 9 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). 4.5.2. Evaluasi Temuan atas Pengendalian Masukan Adapun temuan audit yang dihasilkan dari pengendalian masukan yaitu :

63

Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan No. 1

2 3

4

5

6 7 8

9

10 11 12 13

14 15

Temuan Positif Negatif Tidak terdapat pemisahan tugas antara Terdapat buku panduan, namun masih pihak yang melakukan input data versi yang lama (belum update). dengan yang mengeluarkan output laporan keuangan. Hapus, edit hanya dapat dilakukan oleh user tertentu yang diberi otoritas. Terdapat terdapat menu konfirmasi terhadap data sebelum disimpan (proses). Penggunaan bahasa dan tampilan layar untuk input data sudah baik, jelas, dan mudah dimengerti serta tampilan warna layar didesain agar mata tidak cepat lelah dan dapat mengurangi kesalah penginputan. Ketika user melakukan kesalahan input, aplikasi menampilan pesan kesalahan (message error). Terdapat tombol ubah, hapus, proses dan cetak pada layar aplikasi. Proses back-up secara otomatis (online realtime) Terdapat konfirmasi ketika data akan diproses sistem dengan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau dikembalikan ke awal. Aplikasi SIKASA dilengkapi dengan tools kecil tambahan untuk mempermudah penggunaan SIKASA Dokumen sudah memiliki nomor urut. Dokumen sumber telah tercetak secara otomatis dari aplikasi. Dokumen diarsip berdasarkan periode dan jenis dokumen. Terdapat petugas yang melakukan pengawasan terhadap keakuratan data terhadap dokumen sumber. Terdapat persetujuan penginputan data ke dalam sistem aplikasi. Terdapat transaction log dalam aplikasi yang bisa disearch dan disort berdasarkan waktu, sub-unit, username, level, komputer, aksi dan perintah SQL.

64

Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan (lanjutan) No. 16 17

18

19 20

Temuan Positif Terdapat help facilities dalam aplikasi. Terdapat perubahan warna pada interface, jika terjadi kesalahan penginputan data. Penggunaan filed sesuai dengan ketentuan jenis tipe datanya (numeric/alfabetic)? Input data ke dalam database dengan menggunakan realtime processing Waktu respon di setiap penginputan data di dalam sistem aplikasi cepat.

Negatif

Berdasarkan hasil temuan pengendalian masukan yang dilakukan, diperoleh 20 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). 4.5.3. Evaluasi Temuan atas Pengendalian Proses Adapun temuan audit yang dihasilkan dari pengendalian proses yaitu : Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses No. 1

2

3

Temuan Positif Negatif Sistem akan memberikan konfirmasi Pemrosesan penyusunan laporan ketika data dapat dengan tidak benar. keuangan yang komprehensif masih manual dengan menggunakan Ms. excel. Data tidak dapat ditambahkan, dihapus, dicopy, dihilangkan atau diubah dengan cara yang ilegal, karena ada masing-masing user ada levelnya. Sistem aplikasi dapat mencegah atau mendeteksi data masukan yang tidak valid dengan managemen user dan terdapat message pada interface aplikasi jika data masukan tidak valid.

65

Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses (lanjutan) No. 4

5 6

7

Temuan Positif Terdapat sistem roolback dan flag terhadap data selama pemrosesan untuk mencegah kehilangan data. Terdapat manajemen log server dan log aplikasi. Terdapat menu daftar log agar proses yang dilakukan dapat terekam di dalam sistem aplikasi Audit trail dilakukan dari manajemen log.

Negatif

Berdasarkan hasil temuan pengendalian proses yang dilakukan, diperoleh 7 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). 4.5.4. Evaluasi Temuan atas Pengendalian Keluaran Adapun temuan audit yang dihasilkan dari pengendalian keluaran yaitu : Tabel 4.10 Evaluasi Temuan atas Pengendalian Keluaran No. 1

2

3 4 5 6

Temuan Positif Terdapat pengawasan terhadap catatan untuk setiap laporan yang terjadi. Sebelum catatan atau dibagikan/disimpan ada pengecekan ulang terhadap dokumen secara manual. Sistem aplikasi menyediakan laporan keuangan sampai proses neraca saldo. Laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan. Terdapat tempat khusus untuk menyimpan arsip-arsip. Terdapat kebijakan yang mengatur penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan.

Negatif Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik. Tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.

66

Berdasarkan hasil temuan pengendalian keluaran yang dilakukan, diperoleh 6 temuan positif dan 2 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). 4.5.5. Evaluasi Temuan atas Pengendalian Database Adapun temuan audit yang dihasilkan dari pengendalian database yaitu : Tabel 4.11 Evaluasi Temuan atas Pengendalian Database No. 1 2

3

4

5 6

7

8

Temuan Positif Negatif Terdapat back-up planing untuk file Model back-up planing belum handling controls. tercluster (mirror). Terdapat pemisahan antara fungsi Tidak terdapat job request untuk database administrator dan data meminta data. administrator. Terdapat pengendalian akses data Peletakan server SIKASA berada di ilegal. bagian bawah rak dan diganjal dengan kerdus. Terdapat pengendalian terhadap batasan sistem hak akses agar tidak terjadi penyalahgunaan database yaitu dengan security akses (single user login.) Hak akses untuk login database dibatasi dengan single user login. Sistem manajemen database telah melaksanakan integrity constrains pada sistem database untuk meningkatkan keakuratan, keunikan dan kelengkapan data. Privasi data dapat terjaga dengan baik selama proses backup dan pemulihan dilakukan dengan single user (admin) ke data back-upnya. Terdapat kebijkan mengenai waktu backup dan masa penyimpanan

Berdasarkan hasil temuan pengendalian database yang dilakukan, diperoleh 8 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan 67

diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). 4.5.6. Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi Adapun temuan audit yang dihasilkan dari pengendalian komunikasi aplikasi yaitu: Tabel 4.12 Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi Temuan Positif Negatif Sistem aplikasi hanya digunakan Tidak ada dokumentasi hardware dan untuk kegiatan internal kampus software yang dapat mendukung (private communication line) transmisi atau saluran link. Error detection dan error correction pada communication line dilakukan dengan system monitoring on-line. Jaringan dibangun dengan sistem mesh network.

No. 1

2

3

Berdasarkan hasil temuan pengendalian komunikasi aplikasi yang dilakukan, diperoleh 3 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact). Penilaian Resiko atas Pengendalian Aplikasi

4.6.

4.6.1. Penilaian Resiko atas Pengendalian Batasan Adapun penilaian resiko atas pengendalian batasan yaitu :

68

Tabel 4.13 Penilaian Resiko atas Pengendalian Batasan

No.

Temuan

1

Tidak ada format khusus terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf (parameter password). Tidak ada kebijakan mengenai umur password (automatically expired password). Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses. Tidak ada kebijakan pembatasan waktu jam akses SIKASA.

2

3

4

Bobot Nilai Level (L x I) Resiko

Likelihood (L)

Impact (I)

0,5

50

25

M

0,5

50

25

M

0,1

10

1

L

0,5

50

25

M

76 : 4 = 19

M

Hasil (Jumlah Nilai : Jumlah Pertanyaan)

Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 19 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.6.2. Penilaian Resiko atas Pengendalian Masukan Adapun penilaian resiko atas pengendalian masukan yaitu :

69

Tabel 4.14 Penilaian Resiko atas Pengendalian Masukan

No. 1

Temuan Terdapat buku panduan, namun masih versi yang lama (belum update).

Likelihood (L)

Impact (I)

0,5

50


Bobot Nilai Level (L x I) Resiko 25

M

25 : 1 = 25

M

Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian masukan Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.6.3. Penilaian Resiko atas Pengendalian Proses Adapun penilaian resiko atas pengendalian proses yaitu : Tabel 4.15 Penilaian Resiko atas Pengendalian Proses

No.

Temuan

Likelihood (L)

1

Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual dengan menggunakan Ms. excel.

0,5


Impact (I)

50


M

25 : 1 = 25

M

Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem

70

Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.6.4. Penilaian Resiko atas Pengendalian Keluaran Adapun penilaian resiko pengendalian keluaran yaitu : Tabel 4.16 Penilaian Resiko atas Pengendalia Keluaran

No.

Temuan

1

Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik. Tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.

2


Likelihood (L)

Impact (I)

0,5

10

5

L

0,5

50

25

M

30 : 2 = 15

M


Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 15 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.6.5. Penilaian Resiko atas Pengendalian Database Adapun penilaian resiko atas pengendalian database yaitu :

71

Tabel 4.17 Penilaian Resiko atas Pengendalian Database

No.

Temuan

1

Model back-up planing belum tercluster (mirror backup). Tidak terdapat job request untuk meminta data. Peletakan server SIKASA berada dibagian bawah rak dan diganjal dengan kerdus.

2 3


Likelihood (L)

Impact (I)

0,1

50

5

L

0,5

50

25

M

0,5

100

50

M

80 : 3 = 26,67

M


Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 26,67 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian database Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.6.6. Penilaian Resiko atas Pengendalian Komunikasi Aplikasi Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu: Tabel 4.18 Penilaian Resiko atas Pengendalian Komunikasi Aplikasi

No.

Temuan

Likelihood (L)

Impact (I)

1

Tidak ada dokumentasi hardware dan software yang dapat mendukung transmisi atau saluran link.

0,5

50



M

25 : 1 = 25

M

Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko

72

sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian komunikasi aplikasi Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas. 4.7.

Resiko dan Rekomendasi Pengendalian Aplikasi

4.7.1. Resiko dan Rekomendasi atas Pengendalian Batasan Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu: Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan Temuan Audit

Dampak Resiko

Tidak ada format khusus terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf (parameter password).

Besarnya resiko komputer (sistem) untuk dibobol oleh pihak yang tidak bertanggung jawab.

Tidak ada kebijakan mengenai umur password (automatically expired password).

Password akan dapat ditebak/diketahui di kemudian hari.

Rekomendasi Seringkali password tidak dianggap penting. Orang cenderung membuat password dengan huruf tertentu, misalnya nama panggilan, tanggal lahir, nama anak/suami/istri dan sebagainya yang justru mudah ditebak. Sebaiknya ada kebijakan yang mengatur tentang format khusus (parameter password) terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf. Kecurangan atau pencurian data akan semakin besar dengan tidak adanya permintaan perubahan password secara berkala.Sebaiknya ada kebijakan yang mengatur umur password (automatically expired password). Tidak perlu terlalu sering, mungkin tiap 6 bulan atau 1 tahun sekali.

73

Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan (lanjutan) Temuan Audit Tidak ada kebijakan pembatasan waktu jam akses SIKASA.

Dampak Resiko Hack attack dari internal network.

Rekomendasi Sistem aplikasi dapat diakses melalui jaringan internal baik siang ataupun malam. Jaringan internal yang cukup luas dan banyaknya tools hacking gratis (backtrack, whiteshark,dll) dapat dimanfaatkan oleh orang yang tidak bertanggunjawab untuk melakukan Hack Attack. Untuk meredam ataupun menimalkan resiko tersebut, sebaiknya terdapat kebijakan mengenai batasan jam akses SIKASA.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian batasan di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa kebijakan yang mengatur tentang format khusus (parameter password), kebijakan mengenai batasan jam akses SIKASA, dan kebijakan yang mengatur umur password (automatically expired password). 4.7.2. Resiko dan Rekomendasi atas Pengendalian Masukan Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu: Tabel 4.8 Resiko dan Rekomendasi atas Pengendalian Masukan Temuan Audit Terdapat buku panduan, namun masih versi yang lama (belum update).

Dampak Resiko Terdapat miss komunikasi antara user dan sistem aplikasi berupa kesalahan penginputan data.

Rekomendasi Untuk menghindari miss komunikasi berupa kesalahan penginputan data, sebaiknya buku panduan diperbarui agar user mengetahui pembaharuan-pembaharuan yang terjadi pada aplikasi.

74

Berdasarkan tabel resiko dan rekomendasi atas pengendalian masukan di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pembaharuan buku panduan buku panduan agar user mengetahui pembaharuan-pembaharuan aplikasi yang terjadi. 4.7.3. Resiko dan Rekomendasi atas Pengendalian Proses Adapun resiko dan rekomendasi pengendalian proses yaitu Tabel 4.12 Resiko dan Rekomendasi atas Pengendalian Proses Temuan Audit Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual dengan menggunakan Ms. excel.

Dampak Resiko Terjadi kesalahan pengetikan dan aritmatika.

Rekomendasi Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual bisanya membutuhkan banyak waktu dan membutuhkan ekstra ketelitian. Penggunaan SIKASA sudah lebih dari 5 tahun dan perbaikan-perbaikan memang sudah dilakukan. Sebaiknya pada SIKASA juga dilengkapi dengan pemrosesan laporan keuangan komprehensif untuk meminimalkan terjadinya kesalahan pengetikan dan aritmatika.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian proses di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pemrosesan laporan keuangan komprehensif secara otomatis pada SIKASA UKSW untuk meminimalkan terjadinya kesalahan pengetikan dan aritmatika.

75

4.7.4. Resiko dan Rekomendasi atas Pengendalian Keluaran Tabel 4.16 Resiko dan Rekomendasi atas Pengendalian Keluaran Temuan Audit Tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.

Dampak Resiko Dokumen bisa disalahgunakan.

Rekomendasi File softcopy sangat rentan terhadap penyalahgunaan dan sangat mudah terinfeksi virus. Sebaiknya laporan keuangan yang softcopy dikompres dengan WinRar (proteksi password). Apa bila user mudah lupa dengan password, laporan keuangan (softcopy) dapat disimpan disatu folder yang terproteksi.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal dapat berupa proteksi pada laporan keuangan (file softcopy) maupun pada folder penyimpanannya. 4.7.5. Resiko dan Rekomendasi atas Pengendalian Database Adapun resiko dan rekomendasi atas pengendalian database yaitu : Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database Temuan Audit Tidak terdapat job request untuk meminta data.

Dampak Resiko Tidak ada pertanggungjawaban data yang jelas dan mudah untuk disalah gunakan.

Rekomendasi Data merupakan komponen informasi yang selanjutnya digunakan untuk pengambilan suatu keputusan. Apabila tidak ada pertanggungjawaban data yang jelas, maka data akan sangat mudah disalahgunakan. Oleh sebab itu sebaiknya ada pertanggungjawaban data yang jelas, seperti dibuatkan suatu job request tertulis untuk permintaan data.

76

Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database (lanjutan) Peletakan server SIKASA berada dibagian bawah rak dan diganjal dengan kerdus.

Server akan mudah cepat kotor terkena debu lantai.

Database server merupakan komponen yang sangat vital dalam sebuah aplikasi berbasi web dan rentan terhadap kerusakan. Sebaiknya server diletakkan ditempat yang agak lebih tinggi untuk menghidari debu dari lantai.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa job request tertulis untuk permintaan data, serta peletakan server ditempat yang agak lebih tinggi. 4.7.6. Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu: Tabel. 4.24 Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi Temuan Audit Tidak ada dokumentasi hardware dan software yang dapat mendukung transmisi atau saluran link.

Dampak Resiko Tidak ada pertanggungjawaban pemanfaatan atau penggunaan software dan hardware dapat mendukung transmisi atau saluran link.

Rekomendasi Hardware dan software merupakan komponen penting dalam mendukung komunikasi aplikasi. Penggunaan hardware dan software dalam mendukung transmisi atau saluran link tidaklah sedikit. Sehingga dapat berpotensi tidak ada pertanggungjawaban pemanfaatan atau penggunaan software dan hardware Sebaiknya perlu dibuatkan suatu standar atau ketetapan khusus tentang dokumentasi penggunaan hardware atau software yang mendukung transmisi atau saluran link.

77

Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa suatu standar atau ketetapan khusus tentang dokumentasi penggunaan hardware atau software yang mendukung transmisi atau saluran link SIKASA. 4.8.

Laporan Audit

4.8.1. Tujuan Secara subjective, tujuan yang akan dicapai dalam penelitian ini adalah untuk mengetahui pengendalian yang diterapkan oleh universitas dalam pengendalian aplikasi pada sistem keuangan UKSW. Melakukan penilaian terhadap resiko berdasarkan kelemahan-kelemahan yang ditemukan, membuat rekomendasi perbaikan berdasarkan kelemahan-kelemahan dan resiko yang ditemukan dari proses audit tersebut. Secara objective audit sistem informasi bertujuan untuk meningkatkan keamanan aset, meningkatkan integritas data, meningkatkan efisiensi sistem, meningkatkan efektifitas sistem. 4.8.2. Ruang Lingkup Rencana semula ruang lingkup audit sistem informasi yang akan dilakukan meliputi pengendalian umum dan pengendalian aplikasi. Namun, karena sumber daya yang terbatas maka audit sistem informasi hanya pada pengendalian aplikasi. Audit sistem informasi pengendalian aplikasi SIKASA UKSW meliputi pengendalian batasan (boundary), pengendalian masukan (input), pengendalian

78

proses, pengendalian keluaran (output), pengendalian basis data (database), pengendalian komunikasi aplikasi. Ruang lingkup audit sistem informasi dibatasi hanya pengendalian aplikasi dengan tidak melakukan pengujian substantive terhadap data akuntansi dan laporan keuangan UKSW. 4.8.3. Metode Audit Metode audit yang digunakan adalah menggunakan pendekatan audit trough the computer (terbatas) dengan melakukan studi pustaka serta studi lapangan berupa wawancara dan observasi pada lingkungan Sistem Keuangan dan Akuntansi UKSW yang sedang berjalan. Penetapan penilaian resiko SIKASA UKSW, menggunakan Level Penilaian Resiko National Institute of Standard and Technology (NIST) melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System. 4.8.4. Hasil Audit Hasil audit yang didapat merupakan temuan-temuan negatif dari program audit yang dilaksanakan penulis. Temuan-temuan tersebut terdapat dalam tabel seperti berikut:

79

Tabel. 4.25 Hasil Temuan Negatif Jenis Pengendalian Pengendalian Batasan



 

 Pengendalian Masukan



Pengendailan Proses



Pengendalian Keluaran

 

Pengendalian Database

  

Pengendalian Komunikasi Aplikasi



Temuan Negatif Tidak ada format khusus terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf (parameter password). Tidak ada kebijakan mengenai umur password (automatically expired password). Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses. Tidak ada kebijakan pembatasan waktu jam akses SIKASA. Tidak ada kebijakan pembatasan waktu jam akses SIKASA. Terdapat buku panduan, namun masih versi yang lama (belum update). Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual dengan menggunakan Ms. excel. Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik. Tidak ada penggunaan proteksi (password) pada dokumen laporan keuangan yang masih softcopy. Model back-up planing belum tercluster (mirror). Tidak terdapat job request untuk meminta data. Peletakan server SIKASA berada di bagian bawah rak dan diganjal dengan kerdus. Tidak ada dokumentasi hardware dan software yang dapat mendukung transmisi atau saluran link.

Berdasarkan program audit sistem informasi atas pengendalian aplikasi yang dilaksanakan penulis, secara keseluruhan terdapat 12 temuan negatif yang terdapat pada SIKASA UKSW.

80

4.8.5. Kesimpulan Laporan Audit Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian keluaran, pengendalian basis data (database) dan pengendalian komunikasi aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan pada SIKASA UKSW adalah : Tabel. 4.26 Kesimpulan Audit Jenis Pengendalian Pengendalian Batasan Pengendalian Masukan Pengendalian Proses Pengendalian Keluaran Pengendalian Basis data Pengendalian Komunikasi Aplikasi Nilai Akhir

Nilai 19 25 25 15 26,67 25 135,67 : 6 = 22,61

Bobot M M M M M M M

Jadi, dapat disimpulkan bahwa pengendalian aplikasi SIKASA UKSW memiliki kategori resiko medium dalam arti pengendalian yang dilakukan sudah cukup baik dalam mengatasi ancaman yang ada. V.

KESIMPULAN & SARAN

5.1.

KESIMPULAN Pengendalian batasan pada SIKASA UKSW sudah berjalan cukup baik.

Hal ini dapat dilihat dari temuan-temuan positif seperti adanya pembatasan akses dengan menggunakan username, password, sub-unit. Password yang diinput adalah invisible, yaitu hanya berupa blok hitam. Terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti tidak ada format khusus terhadap password yang akan dimasukan berupa angka, huruf atau

81

gabungan angka atau huruf (parameter password) dan automatically expire password. Pengendalian masukan pada SIKASA UKSW sudah berjalan cukup baik. Hal ini dapat dilihat dari temuan-temuan positif seperti adanya penggunaan bahasa dan tampilan layar untuk input data sudah baik, jelas dan mudah dimengerti serta tampilan wana layar didesain agar mata tidak cepat lelah dan dapat mengurangi kesalahan input data. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti terdapat buku panduan SIKASA UKSW dengan versi yang lama. Pengendalian proses pada SIKASA UKSW sudah berjalan cukup baik. Hal ini dapat dilihat dari temuan-temuan positif seperti sistem akan memberikan konfirmasi ketika dapat diproses dengan tidak benar. Terdapat manajemen log server dan log aplikasi. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti pemrosesan penyusunan laporan keuangan yang komprehensif masih manual dengan menggunakan Ms. Excel. Pengendalian keluaran pada SIKASA UKSW sudah berjalan cukup baik. Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat kebijakan yang mengatur penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti terdapat penumpukan dokumen arsip di kantor dan arsip di gudang tidak tertata dengan baik. Selain itu Tidak ada penggunaan proteksi (password) pada dokumen laporan keuangan yang masih softcopy.

82

Pengendalian database pada SIKASA UKSW sudah berjalan cukup baik. Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat back-up planing untuk file handling controls. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti model back-up planing untuk file handling control belum tercluster (mirror) dan peletakan server SIKASA berada di bagian bawah rak dan diganjal dengan kerdus. Selain itu tidak terdapat job request untuk meminta data. Pengendalian komunikasi aplikasi SIKASA UKSW sudah berjalan cukup baik. Hal ini dapat dilihat dari temuan-temuan positif seperti sistem aplikasi hanya dapat digunakan dalam lingkungan kampus. Jaringan dibangun dengan sistem mesh network. Dari pengendalian yang cukup baik tersebut, masih terdapat beberapa kelemahan seperti tidak adanya dokumentasi hardware dan software yang dapat mendukung transmisi atau saluran link. Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian keluaran, pengendalian basis data (database) dan pengendalian komunikasi aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan pada SIKASA UKSW memiliki kategori resiko medium dalam arti pengendalian yang dilakukan sudah cukup baik dalam mengatasi ancaman yang ada. Tindakan perencanaan dan perbaikan harus diterapkan untuk meredam ataupun mencegah resiko.

83

5.2.

SARAN Berdasarkan simpulan yang didapat dari hasil pemeriksaan dan

pengamatan pada Sistem Informasi Keuangan dan Akuntansi UKSW, maka ada beberapa saran yang dapat disampaikan, yaitu: a) Seringkali password tidak dianggap penting. Orang cenderung membuat password dengan huruf tertentu, misalnya nama panggilan, tanggal lahir, nama anak/suami/istri dan sebagainya yang justru mudah ditebak. Sebaiknya ada kebijakan yang mengatur tentang format khusus (parameter password) terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf. Dengan penggantian password secara rutin diharapkan password menjadi sulit diketahui oleh orang yang tidak berkepentingan, dan dapat menghindari adanya kemungkinan terjadinya kecurangan. b) Kecurangan atau pencurian data akan semakin besar dengan tidak adanya permintaan perubahan password secara berkala.Sebaiknya ada kebijakan yang mengatur umur password (automatically expired password). Tidak perlu terlalu sering, mungkin tiap 6 bulan atau 1 tahun sekali. c) Sistem aplikasi dapat diakses melalui jaringan internal baik siang ataupun malam. Jaringan internal yang cukup luas dan banyaknya tools hacking gratis (backtrack, whiteshark,dll) dapat dimanfaatkan oleh orang yang tidak bertanggunjawab untuk melakukan hack attack. Untuk meredam ataupun menimalkan resiko tersebut, sebaiknya terdapat kebijakan mengenai batasan jam akses SIKASA.

84

d) Untuk menghindari miss komunikasi berupa kesalahan penginputan data, sebaiknya buku panduan diperbarui agar user mengetahui pembaharuanpembaharuan yang terjadi pada aplikasi. e) Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual bisanya membutuhkan banyak waktu dan membutuhkan ekstra ketelitian. Penggunaan SIKASA sudah cukup lama (lebih dari 5 tahun) dan perbaikan-perbaikan memang sudah dilakukan. Sebaiknya pada SIKASA

juga

dilengkapi

dengan

pemrosesan

laporan

keuangan

komprehensif secara otomatis untuk meminimalkan terjadinya kesalahan pengetikan dan aritmatika. f) File softcopy sangat rentan terhadap penyalahgunaan dan sangat mudah terinfeksi virus. Sebaiknya laporan keuangan yang softcopy dikompres dengan WinRar (proteksi password). Apa bila user mudah lupa dengan password, laporan keuangan (softcopy) dapat disimpan disatu folder yang terproteksi. g) Data merupakan komponen informasi yang selanjutnya digunakan untuk pengambilan suatu keputusan. Apabila tidak ada pertanggunjawaban data yang jelas, maka data akan sangat mudah disalahgunakan.Olehsebab itu sebaiknya ada pertanggungjawaban data yang jelas, seperti dibuatkan suatu job request tertulis untuk permintaan data. h) Database server merupakan komponen yang sangat vital dalam sebuah aplikasi berbasi web dan rentan terhadap kerusakan. Sebaiknya server

85

diletakkan ditempat yang agak lebih tinggi untuk menghidari debu dari lantai. i) Hardware dan software merupakan komponen penting dalam mendukung komunikasi aplikasi.

Penggunaan hardware dan software dalam

mendukung transmisi atau saluran link tidaklah sedikit. Sehingga dapat berpotensi tidak ada pertanggungjawaban pemanfaatan atau penggunaan software dan hardware. Sebaiknya perlu dibuatkan suatu standar atau ketetapan khusus tentang dokumentasi penggunaan hardware atau software yang mendukung transmisi atau saluran link.

86

DAFTAR PUSTAKA

Boynton, W. C., Raymond N. J, dan Walter G.K, 2003, Modern Auditing, Edisi 7, Jilid I. Erlangga, Jakarta. Champlain, Jack J,. 2003, Auditing Information System, Second Edition, John Wiley & Son, New York. Gondodiyoto, Sanyoto, 2007, Audit Sistem Informasi + Pendekatan CobIT, Edisi Revisi, Mitra Wacana Media, Jakarta. Hall, James A., 2011, Information Technology Auditing and Assurance, Third Edition, Cengage Learning, Inc Moeller, Robert R., 2010, IT Audit, Control, and Security, John Wiley & Sons, Inc Weber, Ron., 1999, Information System Contol and Audit, Prentice Hall. Stonerburner, G., Gougen, A., and Feringa, A. 2002. Risk Management Guide for Information Technology Systems. National Institute of Standard and Technology (NIST).

manual menjadi sistem informasi berbasis komputer. kecurangan (fraud) dan resiko yang akan dihadapi. Kecurangan dan resiko

Recommend Documents