151 METRIK DAFTAR TEMUAN AUDIT 1. Manajemen Keamanan TEMUAN
RESIKO
REKOMENDASI
Tidak adanya alat deteksi panas dan asap pada setiap ruangan.
Jika terjadi kebakaran maka tidak terdeteksi dengan cepat, sehingga menyebabkan kerugian materi pada perusahaan.
Pengadaan alat pendeteksi panas dan asap pada tiap ruangan terutama ruangan yang menyimpan datadata dan peralatan penting.
Stasiun pengendalian tidak dijaga oleh staf.
Tidak ada Sebaiknya terdapat Pengadaan petugas yang petugas yang stasiun siaga jika selalu siaga di pengendalian terjadi bahaya stasiun yang oleh staf kebakaran. pengendalian. selalu siaga
Back up data tidak dilakukan secara rutin. Serta tidak adanya back up offsite.
Apabila terjadi kehilangan data induk, maka tidak ada data cadangan dan itu akan menyebabkan kehilangan data.
Harus ada back up data secara periodik. Dan harus ada back up offsite yang ditujukan untuk penyelamatan dan keamanan data penting.
Kertas printer tidak diletakan di ruang terpisah.
Kertas merupakan material yang mudah terbakar sehingga dapat mengakibatkan api menjalar.
Sebaiknya material yang mudah terbakar seperti kertas diletakan pada ruangan yang terpisah dari ruang printer.
TINDAK LANJUT Dipasang alat pendeteksi panas dan asap pada ruanganruangan yang rentan akan terjadinya kebakaran
Back up setiap hari atau setiap ada pembaharuan atau penambahan data dan diadakannya back up offsite minimal dengan ruangan yang terpisah dari ruangan inti. Kertas diletakkan di tempat khusus yang tidak rentan akan kebakaran
TINGKAT RESIKO High
High
High
High
152 Dokumendokumen yang berkaitan dengan penggajian hanya disimpan pada lemari kayu Semua hardware tidak ditutup dengan bahan tahan air sewaktu tidak digunakan Karyawan diperbolehka n makan dan minum didekat peralatan komputer. Tidak ada anti virus pada komputer.
Tidak ada antisipasi apabila salah satu komputer terkena virus
Lemari kayu dapat terbakar, apabila terjadi kebakaran, maka dokumendokumen tersebut juga akan ikut terbakar
Sebaiknya dokumen disimpan pada lemari besi sehingga tidak dapat terbakar dan lebih aman.
Menyimpan dokumendokumen tersebut pada lemari besi.
High
Air dapat Semua hardware merusak ditutup dengan hardware. bahan tahan air sewaktu tidak digunakan.
Menutup semua hardware dengan bahan tahan air agar tidak rusak.
High
Tidak makan dan Karyawan minum didekat diwajibkan komputer. untuk makan dan minum pada tempat yang disediakan. Meng-install anti Setiap virus pada setiap komputer di komputer install anti virus agar terhindar dari virus.
High
Melakukan antisipasi apabila ada virus seperti dengan meng-scan komputer yang terkena virus
High
Jika terjadi kelalaian, maka dapat merusak komputer
Tidak adanya anti virus dan pelaksanaan update anti virus secara periodik dapat membahayakan keamanan data dan merusak jaringan sistem yang ada pada masing-masing PC. Virus dari satu komputer dapat menyebar ke komputer lainnya.
Menyiapkan antisipasi apa yang akan dilakukan apabila salah satu komputer terkena virus.
High
153 Administrator tidak memeriksa dengan teliti pembelian hardware dan software serta bukti penggunaan sistem informasi Petugas keamanan tidak mengontrol aset-aset keamanan secara rutin
Dapat terjadi kerancuan akan kepastian mengenai ketepatan hardware atau software yang dibeli dan penggunaanya tidak efisien
Setiap pembelian hardware dan software sebaiknya memiliki bukti pembelian dan penggunaanya sesuai dengan kebutuhan
Memeriksa dengan teliti bukti-bukti pembelian dari setiap hardware dan software yang digunakan.
High
Jika terjadi halhal yang tidak diinginkan maka tidak dapat ditanggulangi dengan baik dan bahkan dapat terjadi kesalahan fatal.
Sebaiknya Meningkatkan dilakukan kontrol pemeriksaaan terhadap asetsecara rutin dan aset keamanan. membuat laporan pemeriksaanya.
High
154 2. PENGENDALIAN BOUNDARY TEMUAN
RESIKO
Penggantian password tidak harus dilakukan secara rutin.
Memungkinkan pihak yang tidak berotorisasi untuk mengakses data dalam komputer yang bersifat rahasia dan pribadi. Tidak ada Menyebabkan batasan pihak yang tidak maksimal mempunyai hak untuk akses dan tidak kesalahan input bertanggungjawa b dapat berpassword eksperimen terhadap password tersebut.
Perusahaan tidak menerapkan pengendalian cryptographic
Tanpa pengendalian cryptographic, maka password dapat dicuri oleh orangorang yang ahli dalam bidang IT.
REKOMENDASI
Dilakukan penggantian password sesering mungkin minimal sebulan sekali sehingga data yang ada dapat terjamin kerahasiaanya. Sebaiknya ditetapkan batasan maksimal untuk password.
TINDAK LANJUT Pergantian password secara rutin sesuai kebutuhan.
Menetapkan batasan maksimal dalam sistem untuk pembatasan maksimal kesalahan input password (misalnya 3 kali) Pengendalian Menerapkan pengendalian cryptographic ditetapkan agar cryptographic password tidak dalam sistem. dapat dicuri dan dipergunakan oleh pihak-pihak yang tidak bertangungjawab. Selain itu, perusahaan juga dapat menggunakan enscript data
TINGKAT RESIKO High
High
High
155 3. PENGENDALIAN INPUT TEMUAN
RESIKO
Tiap Menyebabkan transaksi manipulasi data input yang terjadi tidak diotorisasi.
Tidak terdapat Menyebabkan validity test kesalahan data untuk menjamin keabsahan transaksi.
REKOMENDASI
TINDAK TINGKAT LANJUT RESIKO Sebaiknya setiap Pengadaan High transaksi harus ada otorasisai otorisasi agar tidak dalam setiap disalahgunakan. transaksi (nama-nya dicetak juga) Harus ada validity Menerapka High test. n validity test dalam sistem
4. PENGENDALIAN OUTPUT TEMUAN
RESIKO
REKOMENDASI
Tiap hasil output tidak diotorisasi terlebih dahulu.
Pertanggungjawab an dan keabsahan hasil output diragukan.
Setiap hasil output harus diotorisasi terlebih dahulu sehingga jelas dan dapat dipertanggungjawa ban.
Laporan Menyebabkan yang manipulasi data. dihasilkan tidak akurat dan tidak sesuai dengan kebutuhan.
Setiap laporan yang dihasilkan harus akurat dan sesuai dengan kebutuhan.
TINDAK LANJUT Penetapan otorisasi secara manual ataupun secara otomatisasi
TINGKAT RESIKO High
Laporan harus lengkap dengan adanya tanggal, waktu pencetakan dan paraf pemberian persetujuan.
High
156 5. PENGENDALIAN PROSES TEMUAN
RESIKO
Belum pernah ada prosedur audit trail pada sistem aplikasi penggajian
Audit trail diperlukan untuk mengecek dan memeriksa apakah sistem berkerja dengan proses yang benar dan bekerja dengan seefisien mungkin Waktu yang Pemrosesan data digunakan terlalu menyita untuk waktu sehingga pemrosesan tidak efisien. data tidak lah efisien karena tidak semua sistem telah terotomatisa si.
REKOMENDASI Diadakan audit trail dengan membentuk tim audit yang melakukan inspeksi secara rutin
Sebaiknya pemrosesan data dilakukan dengan efisien dengan cara mengotomatisasi sistem-sistem yang ada.
TINDAK TINGKAT LANJUT RESIKO Membentuk High audit trail sehingga dapat dilakukan inspeksi secara rutin
Mengotoma tisasi sistem yang ada.
High
6. PENGENDALIAN DATABASE TEMUAN
RESIKO
Back up data dilakukan setiap 2 minggu sekali
Jika back up data dilakukan2 minggu sekali, maka sangat memungkinkan untuk melakukan manipulasi data atau tidak akuratnya data
REKOMENDASI Back up data setiap hari atau kalau perlu setiap ada data baru atau perubahan data terjadi
TINDAK TINGKAT LANJUT RESIKO Back up High data dilakukan setiap ada perubahan dan pembahar uan data.
157 Database tidak disajikan dalam bentuk userinterface yang user friendly.
Ketika hendak melakukan terhadap database akan memusingkan user yang menggunakan
Merubah format database.
Database dibuat lebih user friendly disesuaikan dengan kebutuhan user.
High
7. PENGENDALIAN APLIKASI KOMUNIKASI TEMUAN Beberapa komputer memiliki hardware dan software yang sudah out-of-date
RESIKO Memperlambat proses dan kinerja dari para pegawai serta menimbulkan resiko kerusakan yang lebih tinggi
REKOMENDASI
TINDAK TINGKAT LANJUT RESIKO Mengusahakan PengecekHigh penggantian baik kan rutin hardware maupun untuk software yang hardware bersangkutan dan software dan penggatian atau pembaharuan software dan hardware yang sudah out of date.
158 BLANKO KUESIONER
Pengendalian Umum Terhadap Manajemen Keamanan No
Pertanyaan
Jawaban Ya
1.
2.
3.
4.
5. 6.
7.
8.
9.
KEBAKARAN Apakah terdapat alat pendeteksi panas dan asap api pada setiap ruangan? Apakah tabung pemadam api mudah dijangkau? Apakah terdapat tombol saklar untuk mengendalikan listrik di seluruh gedung? Apakah gedung dibangun dari bahan tahan api? Apakah terdapat pintu atau tangga darurat? Apakah signal peringatan kebakaran akan langsung dikirim ke semua ruangan ketika alarm berbunyi? Apakah terdapat stasiun pengendalian yang selalu dijaga oleh staf? Apakah terdapat prosedur atau jadwal pemeliharaan gedung baik dan teratur? Apakah tiap komputer di departemen menggunakan Uninterruptible Power Supply (UPS) dan stabilizer ?
Tidak
Keterangan
Tingkat Resiko
159 10. Apakah ruang komputer dibersihkan secara teratur?
11. Apakah back up datadata penting sering dilakukan? Dan apakah ada backup offsite? 12. Apakah kertas printer diletakan di ruang terpisah? 13. Apakah terdapat pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? 14. Apakah setiap ruangan memiliki pemadam kebakaran otomatis? 15. Apakah dokumen yang berhubungan dengan sistem penggajian disimpan di tempat yang aman dari kebakaran? BANJIR 16. Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air? 17. Apakah terdapat alarm pada lokasi strategis? 18. Apakah semua aset sistem diletakan pada tempat yang tinggi? 19. Apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan?
160
20.
21.
22.
23.
24.
25.
26.
KERUSAKAN STRUKTURAL Apakah lokasi perusahaan sudah terletak di daerah yang aman terhadap kerusakan struktural? Apakah aset disimpan pada tempat yang aman? POLUSI Apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer? Apakah pada setiap lantai terdapat tempat sampah yang memadai? Apakah tempat sampah dibersihkan secara rutin? PENYUSUP Apakah perusahaan sudah menggunakan alarm? Apakah perusahaan memiliki petugas keamanan yang bertugas menjaga gedung 24 jam?
27. Apakah kartu identitas karyawan telah digunakan sebagai mana mestinya? VIRUS 28. Apakah semua komputer telah di-install anti virus? 29. Apakah ada antisipasi apabila komputer terkena virus? 30. Apakah setiap data transaksi dibuatkan back up datanya?
161
31.
32.
33.
34.
35.
36.
PENYALAHGUNAAN SOFTWARE, DATA DAN LAYANAN Apakah software dilindungi dengan hak cipta? Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi? Apakah ada hukuman jika terjadi penyalahgunaan? HACKER Apakah semua sistem menggunakan password? Apakah password hanya diketahui oleh orang yang bersangkutan? Apakah petugas keamanan mengontrol sistem dan aset-aset yang ada secara rutin?
162 Pengendalian Batasan No
Pertanyaan
Jawaban Ya
1.
2.
3.
4.
5.
6.
7.
Apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user? Apakah tampilan password ketika diketik invisible (tidak terbaca)? Apakah pergantian password dilakukan dengan rutin? Apakah terdapat ketentuan dalam penggunaan password? (seperti panjang password maximal 6 digit, huruf dan angka). Apakah sistem menerapkan pengendalian cryptographic dengan mengacak data yang ada? Apakah terdapat batasan maximal untuk kesalahan input password? (Jika ya, berapa kali dan apakah terdapat tampilan error message jika terjadi kesalahan?) Apakah setiap user dibatasi mekanisme pengaksesan sistem?
Tidak
Keterangan
Tingkat Resiko
163 Pengendalian Input No
Pertanyaan
Jawaban Ya
1.
2.
3.
4.
5.
6.
Apakah tiap transaksi input yang terjadi telah diotorisasi ? Apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? Apakah telah dilakukan validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size? Bahasa pemrograman yang digunakan: a. Office b. ASP c. VB d. Oracle e. Foxpro Sistem pemrosesan data : a. Batch System b. On-line real time Apakah user dan operator diberikan pelatihan terlebih dahulu mengenai cara input data?
Tidak
Keterangan
Tingkat Resiko
164 Pengendalian Output No
Pertanyaan
Jawaban Ya
1.
2.
3. 4.
5.
Apakah tiap hasil output telah diotorisasi terlebih dahulu? Apakah laporan yang dihasilkan akurat dan sesuai dengan kebutuhan (setiap laporan telah tercantum tanggal, waktu pencetakan dan paraf pemberian persetujuan)? Apakah hasil diperoleh dengan tepat waktu? Apakah output yang dihasilkan dapat dipercaya? Apakah output yang dihasilkan lengkap?
Tidak
Keterangan
Tingkat Resiko
165 Pengendalian Process No
Pertanyaan
Jawaban Ya
1.
2.
3.
4.
Apakah perbaikan terhadap kesalahan pemasukkan data sudah dapat dilakukan dengan mudah? Apakah sudah terdapat prosedur audit trail pada sistem aplikasi penggajian? Apakah waktu yang dibutuhkan dalam pemrosesan data sudah se-efisien mungkin ? Apakah perusahaan sudah menyimpan dokumen pendukung sebagai bukti-bukti pencatatan ?
Tidak
Keterangan
Tingkat Resiko
166 Pengendalian Database No
Pertanyaan
Jawaban Ya
1.
2.
3.
4.
5.
6.
Apakah sudah terdapat langkah pem-backup-an data secara rutin ? Apakah file backup telah disimpan ditempat yang aman dari resiko/semua kejadian yang diperkirakan akan terjadi? Apakah user interface dari database sudah user friendly ? Apakah proses query data dapat dilakukan dengan mudah ? Apakah dalam database sudah terdapat fungsi create, add, read, delete? Apakah sudah terdapat pemisahan akses bagi masing-masing bagian?
Tidak
Keterangan
Tingkat Resiko
167 Pengendalian Application Communication No
Pertanyaan
Jawaban Ya
1.
2.
3
4
5
Apakah sistem informasi di perusahaan sudah menggunakan jaringan LAN ? Apakah sistem penggajian pada komputer yang digunakan sudah terproteksi agar tidak dapat diakses oleh divisi lain? Apakah sistem LAN yang digunakan sudah beroperasi dengan baik? Apakah hardware dan sofware yang digunakan masih dapat mendukung operasional perusahaan dengan baik ? Apakah sisfo penggajian sudah dapat berjalan dengan baik, sesuai dengan prosedur yang ditetapkan oleh kepala bagian personalia dan direktur.
Tidak
Keterangan
Tingkat Resiko
168 LAMPIRAN
169
Laporan Absensi
170
Laporan data karyawan
171
Formulir Daftar Lembur
172
Bukti permohonan permintaan dana
173
Laporan Gaji
174
Rekap Upah Harian
175
Tanda Terima Upah Inspecting
176
Slip Gaji
177 RANCANGAN LAYAR
Software pengambilan data absensi dari mesin Cardnetic
178
Untuk mengakses utility software pengambilan data absensi
179
Data mentah absensi dari mesin Cardnetic
180
Transfer data absensi dari File CARDAT.TXT ke CARDAT.SDF proses absensi
181
Selesai proses transfer data absensi. Kemudian ketik QUIT untuk keluar foxprol.
182
Proses pengiriman data absensi hasil loading dari mesin ke jaringan (pengolah absensi berbasis DOS)
183
Kalau Yes, Persetujuan untuk melanjutkan proses, jika No. kembali ke prompt H:
184
Program pengolahan absensi.
185
Input password untuk pengambilan data karyawan
Tampilan absensi untuk pengambilan data karyawan harian
186
Tampilan layar pengambilan kartu absensi
Tampilan layar untuk mengedit kartu absensi per tanggal
187
Tampilan layar absensi karyawan
Login untuk pengeditan absensi karyawan
188
Tampilan proses pengentrian absensi untuk total jam kerja
Pengambilan data per periode
189
Tampilan pengentrian penghitungan potongan gaji karyawan
Tampilan untuk melihat data gaji karyawan
190
Tampilan gaji karyawan
Tampilan untuk pengambilan laporan dengan menginput password terlebih dahulu
191
Tampilan untuk print slip upah
Tampilan untuk pencetakan slip gaji per karyawan
192
Modul menu gaji bulanan
Modul menu File Master Karyawan
193
Menu untuk tambah, edit, lihat, hapus, clean data.
Menu lihat data gaji karyawan
194
Menu edit data gaji karyawan
Menu penyiapan data absensi per periode penggajian.
195
Menu untuk memeriksa data jam kerja karyawan
Menu tampilan Daftar Jam kerja karyawan.
196
Menu Daftar Kode Bagian
Menu proses gaji staff.
197
Menu pembuatan laporan.
Laporan Daftar karyawan
198
Menu print daftar karyawan per NIP
Menu print daftar karyawan per BAGIAN
199
Menu print daftar karyawan per Shift
Menu print daftar karyawan berdasarkan pendidikan
200
Print daftar karyawan berdasarkan masa kerja.
Print daftar karyawan berdasarkan Nomor Induk (NIP)
201
Menu Print daftar potongan
Menu pengolahan absensi.
202
Menu pengambilan data absensi dari CARDAT.SDF
Menu edit absensi karyawan.
203
Menu edit absensi per tanggal
Menu edit karyawan per NIP
204
Menu proses perhitungan absensi.
Menu edit keterangan absensi (status -> Ijin, mangkir, Sakit, Cuti, dll)
