Upload
nguyencong
View
215
Download
0
Embed Size (px)
Citation preview
105
BAB 4
EVALUASI SISTEM INFORMASI AKTIVA TETAP
PADA PT. TRITEGUH MANUNGGAL SEJATI
Dalam bab ini dijelaskan mengenai pelaksanaan evaluasi terhadap sistem
informasi aktiva tetap pada PT. Triteguh Manunggal Sejati, yang terdiri dari :
perencanaan evaluasi, program audit, pengumpulan bukti audit untuk setiap
pengendalian, matriks penilaian resiko dan pengendaliannya, serta laporan audit.
4.1. Perencanaan Evaluasi
Perencanaan audit merupakan tahap awal audit yang dilakukan untuk
mempermudah proses audit. Tahap perencanaan ini dilakukan auditor untuk
menentukan ruang lingkup, tujuan pelaksanaan, dan persiapan evaluasi.
4.1.1 Ruang Lingkup Evaluasi
Ruang lingkup evaluasi dibatasi oleh auditor menjadi :
4. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL
SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran,
perbaikan (reparasi), penyusutan (depresiasi) sampai dengan penghapusan
(disposal) aktiva tetap tersebut.
5. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor.
6. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan
pada pengendalian umum (general control) dan pengendalian aplikasi
(application control). Pengendalian umum yang akan dibahas oleh penulis,
terdiri dari: Pengendalian Manajemen Keamanan (Security Management
106
Control) dan Pengendalian Manajemen Operasi (Operations Management
Control). Sedangkan Pengendalian aplikasi yang akan dibahas oleh penulis,
terdiri dari: Pengendalian Masukan (Input Control), Pengendalian Batasan
(Boundary Control) dan Pengendalian Keluaran (Output Control).
4.1.2 Tujuan Pelaksanaan Evaluasi
Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai
berikut :
a. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap
yang terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai
dengan standard dan business process.
b. Untuk mengidentifikasi permasalahan atau kelemahan, resiko yang mungkin
timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva
tetap PT. TRITEGUH MANUNGGAL SEJATI.
c. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT.
TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang
ada.
d. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah
diproses, sehingga output yang dihasilkan dapat dipercaya.
4.1.3 Persiapan Evaluasi
Persiapan evaluasi yang dilakukan auditor, antara lain :
- Mencari dan membaca buku – buku yang dapat digunakan sebagai referensi
untuk melakukan evaluasi.
- Mempersiapkan pertanyaan – pertanyaan yang akan diajukan pada saat
wawancara dan membagikan kuesioner pada bagian – bagian yang terkait.
107
- Mengumpulkan informasi tentang data umum perusahaan, seperti sejarah
perusahaan, struktur organisasi, dan pembagian tugas dan tanggung jawab.
- Mengumpulkan informasi tentang prosedur sistem informasi aktiva tetap
yang sedang berjalan dan digambarkan dalam bentuk DFD (Data Flow
Diagram).
- Melakukan evaluasi mulai dari bulan September 2007 sampai dengan
Desember 2007.
- Evaluasi dilakukan pada PT TRITEGUH MANUNGGAL SEJATI yang
berlokasi di Kawasan Griya Mentari, Jl Raya Serang Km 14,5
- Tim evaluasi terdiri dari 3 orang.
4.2. Program Audit
4.2.1 Program Audit Pada Pengendalian Umum
4.2.1.1 Program Audit Pada Security Management Control
No Tahap Pengujian
Security Management Controls
Auditee Instrumen
1. Melakukan pengecekan apakah terdapat user protection dengan menggunakan password pada setiap komputer.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
2. Mengecek apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
3. Melakukan pengecekan apakah sudah terdapat UPS (Uninterruptable Power Supply) pada setiap komputer untuk mengatasi permasalahan tegangan listrik.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
4. Mendapatkan informasi mengenai software – software yang digunakan perusahaan seperti antivirus, sistem operasi, dan lain - lain
Bagian IT Observasi, kuesioner dan wawancara
5. Mendapatkan informasi mengenai jenis-jenis Bagian IT Kuesioner
108
pengendalian virus komputer yang diterapkan perusahaan
dan wawancara
6. Mendapatkan informasi apakah software – software tersebut sering di update
Bagian IT Kuesioner dan wawancara
7. Meninjau apakah terdapat alarm kebakaran otomatis dan tabung pemadam kebakaran yang diletakkan pada tempat yang mudah dijangkau dimana terdapat aset sistem informasi.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
8. Mendapatkan informasi apakah perusahaan memiliki asuransi untuk aktiva tetap seperti gedung, kendaraan, mesin, dan lain – lain.
Bagian Akuntansi dan Keuangan
Kuesioner dan wawancara
9. Melakukan pengecekan apakah dilakukan backup data untuk mencegah terjadinya kehilangan data.
Bagian IT Kuesioner dan wawancara
10. Memeriksa apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana.
Bagian Akuntansi dan Keuangan
Kuesioner dan wawancara
11. Mengecek apakah setiap karyawan memiliki ID Card atau kartu identitas karyawan.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
12. Mendapatkan informasi apakah setiap tamu atau pihak luar yang akan masuk harus melapor ke pihak keamanan (security).
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
13. Meninjau apakah karyawan diberikan larangan membawa makanan dan minuman di dekat peralatan komputer.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
14. Memeriksa apakah terdapat prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
15. Meninjau apakah terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
Tabel 4.1 Program Audit Pada Security Management Controls
4.2.1.2 Program Audit Pada Operations Management Control
No Tahap Pengujian
Operations Management Control
Auditee Instrumen
1. Melakukan pengecekan apakah terdapat pemisahan tugas antara karyawan.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
109
2. Mengamati untuk mengetahui apakah user menaati dan terdapat prosedur pengoperasian aplikasi sesuai dengan fungsinya.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
3. Mendapatkan informasi apakah diberikan pelatihan secara khusus terhadap karyawan terutama karyawan baru dalam menggunakan sistem yang sedang berjalan di perusahaan.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan wawancara
4. Mendapatkan informasi mengenai maintenance atau perbaikan yang dilakukan terhadap hardware dan software.
Bagian IT Kuesioner dan wawancara
5. Melakukan pengecekan apakah terdapat prosedur perawatan computer untuk menghindari terjadinya kerusakan pada hardware atau software.
Bagian IT Kuesioner dan wawancara
6. Mendapatkan informasi apakah perusahaan menyediakan technical support untuk membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database.
Bagian IT Kuesioner dan wawancara
7. Mendapatkan informasi apakah perusahaan menggunakan LAN (Local Area Network) atau WAN (Wide Area Network).
Bagian IT Observasi dan Wawancara
8. Mendapatkan informasi mengenai Standard Operating Procedures (SOP) yang ada pada perusahaan dan lakukan pengamatan ketaatan karyawan terhadap SOP tersebut.
Bagian Akuntansi dan Keuangan
Wawancara
9. Melakukan pengecekan dan pengamatan terhadap manajemen penyimpanan data (File Library) dan proses posting data.
Bagian Akuntansi dan Keuangan
Kuesioner dan wawancara
10. Mendapatkan informasi apakah terdapat fasilitas menu help pada ACCPAC?
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
11. Mendapatkan informasi tentang metode yang digunakan perusahaan dalam penghitungan depresiasi dan kapan depresiasi aktiva tetap dilakukan.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
12. Mendapatkan informasi bagaimana prosedur reparasi aktiva tetap.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
Tabel 4.2 Program Audit Pada Operations Management Controls
110
4.2.2 Program Audit Pada Pengendalian Aplikasi
4.2.2.1 Program Audit Pada Input Control
No Tahap Pengujian
Input Control
Auditee Instrumen
1. Mendapatkan informasi tentang metode penginputan data yang digunakan (keyboarding, direct entry atau scanner).
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
2. Mengecek apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
3. Melakukan pengecekan dan peninjauan apakah data yang diinput telah berdasarkan dokumen sumbernya.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
4. Mengecek apakah dilakukan pengarsipan atau pemberian tanda terhadap dokumen sumber yang telah diinput.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
5. Melakukan pengecekan apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
6. Mengecek apakah kesalahan dalam penginputan dapat diubah.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
7. Melakukan pengecekan apakah terdapat warning message apabila terjadi pemasukan data yang ganda
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
8. Mendapatkan informasi apakah yang mendelete atau mengupdate hanya dapat dilakukan oleh user tertentu yang diberi otorisasi.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
9. Mendapatkan informasi mengenai menu peringatan jika data belum dibackup, maka proses tidak dilanjutkan.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
10. Melakukan pengecekan apakah terdapat suatu pengkodean khusus untuk mengidentifikasi item barang, transaksi, dan lain – lain.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
11. Meninjau apakah fasilitas menu memenuhi kebutuhan user
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
12. Melakukan pengecekan apakah dokumen yang diinput memiliki pre-printed-number.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
111
13. Mendapatkan informasi apakah pernah terjadi human error dalam penginputan data.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
14. Mendapatkan informasi apakah pernah terjadi manipulasi data oleh orang yang tidak berkepentingan.
Bagian Akuntansi dan Keuangan
Wawancara
15. Memeriksa apakah tampilan menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
16. Memeriksa apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
17. Memeriksa apakah pada saat memasukkan kode barang, nama barang dan informasi yang berhubungan akan keluar secara otomatis.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
18. Memeriksa kesesuaian pemakaian kode pada dokumen sumber dengan layar input.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
Tabel 4.3 Program Audit Pada Input Controls
4.2.2.2 Program Audit Pada Boundary Control
No Tahap Pengujian
Boundary Control
Auditee Instrumen
1. Melakukan pengecekan apakah sistem menampilkan pesan jika verifikasi login tidak valid atau salah.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
2. Mengecek apakah Sistem Informasi yang digunakan dilengkapi dengan akses login.
Bagian Akuntansi dan Keuangan
Observasi
3. Melakukan pengecekan apakah password yang ada menggunakan tehnik cryptography.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
4. Mengecek apakah sistem membatasi ukuran/panjang password dan user name.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
5. Mendapatkan informasi apakah password menggunakan variasi (angka & huruf) atau tidak.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
6. Mendapatkan informasi mengenai fasilitas automatically warning jika user lupa
Bagian Akuntansi dan
Observasi, kuesioner
112
passwordnya. Keuangan dan Wawancara
7. Mendapatkan informasi mengenai prosedur perubahan dan penghapusan password (penghapusan terjadi jika pengguna sudah tidak ada lagi)
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
8. Mendapatkan informasi apakah terdapat hak akses dan pembatasannya yang dibagi berdasarkan jabatan pengguna.
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
9. Melakukan pengecekan setiap komputer apakah memiliki user protection untuk memastikan hanya orang berwenang yang mengakses komputer.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
10. Mengecek apakah terdapat batasan kesalahan dalam penginputan akses login.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
11. Mendapatkan juga informasi mengenai apakah terdapat batas waktu (time limit) dalam penggunaan ACCPAC jika user lupa atau tidak melakukan log off.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
12. Memeriksa apakah pada ACCPAC terdapat audit trail.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
Tabel 4.4 Program Audit Pada Boundary Control
4.2.2.3 Program Audit Pada Output Control
No Tahap Pengujian
Output Control
Auditee Instrumen
1. Mendapatkah informasi apakah laporan yang dihasilkan didistribusikan tepat waktu dan tepat sasaran.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
2. Melakukan pengecekan apakah setiap laporan yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut, pihak yang berwenang menerimanya, dan otorisasi pihak yang membuat laporan.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
3. Melakukan pengecekan apakah terdapat end of page jika laporan lebih dari 1 (satu) halaman
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
4. Mendapatkan informasi jenis laporan apa saja yang biasanya dicetak.
Bagian Akuntansi dan
Observasi dan
113
Keuangan Wawancara 5. Mendapatkan informasi apakah dilakukan
pemeriksaan ulang setelah laporan tersebut dicetak.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
6. Melakukan pengecekan apakah Sistem Informasi Aktiva Tetap pada PT Triteguh Manunggal Sejati dapat menghasilkan laporan yang dibutuhkan.
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
7. Mendapatkan informasi apakah laporan dapat dicetak kembali jika ditemukan kesalahan.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
8. Mendapatkan informasi tentang control terhadap penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan.
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
9. Mendapatkan informasi dan dokumentasi mengenai prosedur permintaan pencetakan laporan dan pendistribusiannya
Bagian Akuntansi dan Keuangan
Observasi dan Wawancara
10. Memeriksa apakah data yang diinput sama dengan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
11. Mendapatkan informasi mengenai tampilan data dari database untuk setiap bagian
Bagian Akuntansi dan Keuangan
Observasi
12. Mendapatkan informasi apakah laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan
Bagian Akuntansi dan Keuangan
Observasi, kuesioner dan Wawancara
13. Mendapatkan informasi apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb).
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
14. Mendapatkan informasi apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala
Bagian Akuntansi dan Keuangan
Observasi dan kuesioner
Tabel 4.5 Program Audit Pada Output Controls
114
4.3. Pengumpulan Bukti Audit
4.3.1 Security Management Controls
Daftar Pertanyaan Kuesioner Pada Security Management Controls
No. Pertanyaan Y N Keterangan 1. Apakah terdapat user protection
dengan menggunakan password pada setiap komputer?
√ Perusahaan terbukti telah menerapkan penggunaan password dan user ID pada setiap komputer sebagai user protection
2. Apakah sering dilakukan penggantian password secara berkala atau rutin?
√ Penggantian password dilakukan satu bulan sekali secara rutin.
3. Apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam?
√ Genset diletakkan di ruang server
4. Apakah setiap komputer dilengkapi dengan UPS (Uninteruptable Power Supply) yang mampu menstabilkan tegangan listrik?
√
5. Apakah ada antivirus dalam perangkat komputer yang digunakan?
√ Setiap komputer menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat.
6. Apakah dilakukan scan virus secara rutin?
√ Karyawan tidak selalu melakukan scan virus pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk. Tetapi, Antivirus dilengkapi dengan fasilitas automatically clean ketika komputer dinyalakan sehingga virus dapat segera terdeteksi otomatis.
7. Apakah perusahaan memiliki alarm kebakaran otomatis?
√
8. Apakah perusahaan memiliki tabung pemadam kebakaran pada lokasi yang mudah diambil?
√ Perusahaan memiliki 3 buah tabung pemadam kebakaran yang terletak pada ruang komputer, ruang produksi, dan ruang formulasi.
115
9. Apakah perusahaan memiliki asuransi untuk aktiva tetap, seperti asuransi untuk gedung, kendaraan dan lain-lain?
√
10. Apakah dilakukan backup data untuk mencegah terjadinya kehilangan data?
√ Back up data dilakukan setiap hari oleh bagian IT.
11. Apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana?
√
12. Apakah setiap karyawan memiliki ID Card atau kartu identitas karyawan?
√ Kartu identitas dilengkapi dengan foto karyawan dan barcode untuk absensi.
13. Apakah setiap tamu atau pihak luar yang akan masuk harus melapor ke pihak keamanan (security)?
√ Setiap tamu yang datang diwajibkan melapor kepada security terlebih dahulu dan menunggu di ruang tunggu.
14. Apakah karyawan diberikan larangan membawa makanan dan minuman di dekat peralatan komputer?
√
15. Apakah terdapat prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi?
√
16. Apakah terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen?
√ Pada bagian akuntansi tidak terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen. Namun, dokumen – dokumen yang sudah lewat satu tahun akan disimpan pada ruang arsip.
Tabel 4.6 Daftar Pertanyaan Kuesioner Pada Security Management Controls
Daftar Pertanyaan Wawancara pada Security Management Controls
No. Pertanyaan Jawaban 1. Bagaimana cara perusahaan
menerapkan user protection pada setiap komputer perusahaan?
Perusahaan menggunakan password dan user ID waktu hendak menggunakan komputer dan sebelum masuk ke dalam ACCPAC sebagai user protection.
2. Bagaimana perusahaan Perusahaan menggunakan genset yang akan
116
mengantisipasi jika listrik padam?
menyala otomatis ketika listrik terputus. Ketika pengukur menunjukkan genset sudah tidak stabil, maka secara otomatis UPS (Uninteruptable Power Supply) akan menggantikan genset untuk membuat server tetap menyala.
3. Bagaimana cara perusahaan untuk menstabilkan tegangan listrik?
Perusahaan menggunakan stabilizer dan UPS.
4. Bagaimana perusahaan mengantisipasi ancaman virus?
Perusahaan menggunakan antivirus yang terhubung dengan kantor pusat sehingga jika kantor pusat mengupdate antivirus, antivirus pada komputer-komputer akan terupdate secara otomatis.
5. Bagaimana mengantisipasi terjadinya kehilangan data – data penting perusahaan?
Perusahaan melakukan backup data secara otomatis dan rutin, 2 kali dalam sehari yaitu pada waktu istirahat dan sebelum pulang kerja. Selain itu, perusahaan juga mengbackup datanya pada CD atau external harddisk yang diberikan ke kantor pusat.
6. Bagaimana perusahaan mengantisipasi terjadinya bencana seperti kebakaran, banjir atau gempa?
Untuk mengantisipasi kebakaran, perusahaan memiliki tabung pemadam kebakaran dan memberikan larangan merokok di area kantor. Selain itu, pada setiap CPU komputer terdapat kerangka besi sebagai penopang untuk mengantisipasi terjadinya banjir.
7. Bagaimana prosedur recovery yang dilakukan untuk perbaikan setelah terjadi bencana?
Jika terjadi bencana, maka perusahaan akan menginstall ulang data-data dan software dari backup data yang dimiliki kantor pusat dan melakukan rencana pemulihan berikutnya.
8. Bagaimana prosedur yang diterapkan perusahaan jika ada pihak luar atau tamu?
Setiap tamu yang datang diwajibkan melapor kepada security dan menyebutkan nama karyawan yang akan ditemui, mencatat identitasnya di buku tamu, diberikan kartu identitas yang menunjukkan sebagai tamu dan menunggu di ruang tunggu.
9. Bagaimana sistem keamanan yang terdapat pada perusahaan untuk menghindari adanya penyusup?
Setiap karyawan menggunakan seragam dan memiliki kartu identitas karyawan sehingga security dapat membedakan antara karyawan dan yang bukan. Selain itu, tamu tidak diperkenankan masuk ke dalam tempat kerja.
117
10. Apakah perusahaan mengasuransikan aktiva tetapnya seperti gedung, kendaraan, mesin,dan lain-lain? Jika ya, mengapa perusahaan perlu mengasuransikan aktiva tetap?
Perusahaan telah mengasuransikan aktiva tetapnya. Sebagai contoh perusahaan asuransi yang digunakan perusahaan : asuransi ACA (untuk asuransi kendaraan), ISWARA (untuk finished good dan mesin). Hal itu untuk meminimalkan resiko jika terjadi bencana.
11. Bagaimana prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi?
Prosedur kebersihan tergantung setiap departemen.
Tabel 4.7 Daftar Pertanyaan Wawancara Pada Security Management Controls
Temuan Evaluasi atas Pengendalian Manajemen Keamanan
a. Temuan Positif
- Terdapat user protection dengan menggunakan password dan user ID.
- Karyawan diharuskan melakukan penggantian password secara rutin.
- Terdapat generator (genset) sebagai tindakan antisipasi perusahaan jika listrik
padam.
- Komputer telah dilengkapi dengan UPS (Uninteruptable Power Supply) dan
stabilizer yang digunakan untuk menstabilkan tegangan listrik.
- Pengendalian preventif yang telah dilakukan perusahaan adalah dengan
menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat.
- Terdapat 3 buah tabung pemadam kebakaran yang terletak pada ruang
komputer, ruang produksi, dan ruang formulasi .
- Perusahaan telah mengantisipasi akibat terjadinya banjir dan gempa.
- Perusahaan telah mengasuransikan aktiva tetapnya
- Bagian IT melakukan backup data secara rutin setiap hari, yaitu pada waktu
istirahat dan sebelum pulang kerja.
- Terdapat prosedur recovery untuk perbaikan apabila telah terjadi bencana.
118
- Karyawan telah memiliki kartu identitas dilengkapi dengan foto dan barcode.
- Setiap tamu yang datang diwajibkan melapor kepada security.
b. Temuan Negatif
- Tidak dilakukan scan virus secara rutin.
- Tidak terdapat alarm kebakaran otomatis.
- Karyawan tidak diberikan larangan untuk membawa makanan di dekat
peralatan komputer.
- Tidak terdapat prosedur kebersihan aset sistem informasi.
- Tidak terdapat pemisahan antara ruang komputer dengan tempat
penyimpanan dokumen pada bagian akuntansi.
119
No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko
1. Tidak dilakukan scan virus secara rutin.
Kurangnya kesadaran karyawan akan resiko yang diakibatkan jika data terkena virus.
Menghambat proses kerja komputer perusahaan, data penting perusahaan dapat terkena virus, rusak, bahkan hilang. Selain itu, hardware yang digunakan pun dapat rusak. Jika hal ini tidak segera diatasi, maka dapat merusak data dan software serta mengganggu kegiatan operasional perusahaan. Kerugian finansial karena penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini.
Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk.
Low
2. Tidak terdapat alarm kebakaran.
Karena perusahaan menganggap bahwa tabung pemadam kebakaran sudah tersedia untuk mengatasi kebakaran.
Tanpa adanya alarm, maka akan timbul kesulitan dan hambatan untuk pemberitahuan kepada seluruh karyawan dan sekitarnya bahwa terjadi kebakaran, sehingga tindakan penyelamatan terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat segera ditangani.
Meletakkan alarm kebakaran tempat yang strategis atau memberikan larangan merokok di area kantor karena dapat meminimalkan kerusakan dan kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada perusahaan berfungsi dengan baik.
Low
3. Karyawan tidak diberikan larangan untuk membawa makanan di dekat peralatan komputer.
Perusahaan kurang mempermasalahkan hal ini, karyawan dianggap mampu bertanggung-jawab atas setiap tindakannya.
Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak kabel-kabel, disk drive, harddisk, dll. Resiko lainnya adalah kinerja karyawan menjadi kurang
Memberikan larangan kepada karyawan untuk membawa makanan dan minuman ke dalam ruang atau peralatan komputer.
High
120
efektif dan efisien karena kurangnya konsentrasi dan disiplin.
4. Tidak terdapat prosedur kebersihan aset sistem informasi.
Kebersihan aset maupun ruangannya merupakan tanggung jawab masing-masing departemen.
Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll.
Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset perusahaan dapat beroperasi dengan baik. Menempelkan poster-poster atau kartu-kartu yang menarik mengenai kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat yang sering dilalui.
Low
5. Tidak terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi.
Untuk memudahkan bagian akuntansi dalam menggunakan dan mengarsip dokumen sumber.
Dapat terjadi kehilangan data akibat pencurian oleh pihak yang tidak berwenang dan terjadi manipulasi terhadap data, serta pengarsipan maupun penginputan data yang kurang efektif.
Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi.
Low
Tabel 4.8 Matriks Temuan, Resiko dan Rekomendasi pada Security Management Controls
121
4.3.2 Operations Management Controls
Daftar Pertanyaan Kuesioner Pada Operations Management Controls
No. Pertanyaan Y N Keterangan 1. Apakah ada pemisahan tugas dan
wewenang antara fungsi yang satu dengan yang lainnya dalam menggunakan ACCPAC?
√ Hal ini dapat terlihat pada ACCPAC, setiap bagian hanya dapat membuka aplikasi sesuai dengan tugas dan wewenangnya.
2. Apakah ada pelatihan secara khusus untuk setiap karyawan, khususnya karyawan baru?
√ Karyawan baru hanya diberikan arahan oleh manajer dalam menggunakan ACCPAC.
3. Apakah terdapat prosedur pengoperasian ACCPAC?
√ ACCPAC hanya digunakan pada jam kerja saja.
4. Apakah perusahaan telah memiliki Standard Operating Procedures (SOP)
√ Setiap bagian memiliki SOP yang membantu dalam melakukan tugas dan tanggung jawabnya, seperti Bagian Akuntansi yang memiliki SOP tentang penerimaan dan pembukuan barang umum
5. Apakah ada prosedur perawatan komputer untuk menghindari terjadinya kerusakan hardware atau software?
√
6. Apakah terdapat technical support yang membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database?
√ Technical support diberikan oleh Bagian IT.
7. Apakah absensi karyawan dikontrol menggunakan mesin absensi?
√ Alat absensi yang digunakan adalah mesin pencatat waktu kerja.
8. Apakah tampilan pada form input mudah dimengerti oleh user yang mengaksesnya?
√ Jika user mengalami masalah dalam proses input, manajer akan memberikan penjelasan dan arahan singkat.
9. Apakah ada manajemen pada penyimpanan data (File Library) dan proses posting data?
√
10. Apakah terdapat fasilitas menu help pada ACCPAC?
√
Tabel 4.9Daftar Pertanyaan Kuesioner Pada Operations Management Controls
122
Daftar Pertanyaan Wawancara Pada Operations Management Controls
No. Pertanyaan Jawaban 1. Bagaimana prosedur
pengoperasian ACCPAC? Untuk dapat terkoneksi ke jaringan, menggunakan password dan user ID sesuai dengan otorisasinya.
2. Pelatihan apa yang diberikan kepada karyawan terutama karyawan baru dalam pengoperasian ACCPAC?
Perusahaan memberikan pelatihan inhouse dengan diberikan arahan dalam penggunaan ACCPAC.
3. Apakah terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya? Jika ya, apakah karyawan sudah menjalankan tugas dan wewenangnya dengan baik?
Terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya. Juga dilakukan penilaian terhadap kinerja karyawan setiap 6 bulan sekali untuk melihat apakah karyawan telah menjalankan tugas dan wewenangnya dengan baik.
4. Bagaimana prosedur perawatan untuk menghindari terjadinya kerusakan pada hardware dan software?
Perusahaan melakukan maintenance secara berkala sebulan sekali dan mengupgrade software – software, serta menghapus file – file sementara.
5. Jaringan atau networking apa yang digunakan perusahaan?
Perusahaan menggunakan LAN, sebagai jaringan yang digunakan untuk menghubungkan komputer internal perusahaan dan sharing folder dan data. Agar sharing data ke pusat lebih cepat, perusahaan menggunakan topologi star. Sedangkan WAN, sebagai penghubung antara perusahaan dengan kantor pusat dan cabang lain, menggunakan koneksi XL dengan kecepatan 128 Kbps.
6. Bagaimana perusahaan memanage penyimpanan data (File Library) dan proses posting data?
File-file yang sudah tidak terpakai akan disimpan pada ruang khusus. Untuk proses posting, hanya dapat dilakukan oleh manajer.
7. Metode apa yang digunakan perusahaan dalam penghitungan depresiasi? Kapan depresiasi aktiva tetap dilakukan?
Untuk depresiasi, perusahaan menggunakan Straight-line method (metode garis lurus). Depresiasi aktiva tetap dilakukan setelah 5 tahun pembelian setiap bulannya.
8. Bagaimana prosedur reparasi aktiva tetap?
Jika terdapat aktiva tetap yang memerlukan reparasi, maka bagian GA akan menghubungi supplier. Kemudian supplier akan datang ke perusahaan untuk memperbaiki. Setelah itu, supplier akan memberikan faktur sebagai biaya reparasi dan bagian akuntansi akan membuat BBK.
Tabel 4.10 Daftar Pertanyaan Wawancara Pada Operations Management Controls
123
Temuan Evaluasi atas Pengendalian Manajemen Operasional
a. Temuan Positif
- Terdapat pemisahan tugas dan wewenang dan dilakukan penilaian terhadap
kinerja karyawan setiap 6 bulan sekali.
- ACCPAC hanya digunakan pada jam kerja saja.
- Setiap bagian telah memiliki SOP yang membantu dalam melakukan tugas
dan tanggung jawabnya.
- Terdapat prosedur perawatan komputer secara berkala.
- Bagian IT yang membantu dalam menyelesaikan masalah yang berhubungan
dengan hardware, software, dan database.
- Perusahaan menggunakan alat absensi mesin pencatat waktu kerja.
- Form input pada ACCPAC cukup mudah dimengerti oleh user pada
umumnya.
- File-file yang sudah tidak terpakai akan disimpan pada ruang khusus.
- Komputer perusahaan terhubung dengan LAN dan WAN, serta menggunakan
topologi star.
- Depresiasi menggunakan metode Straight-line dan dilakukan setiap bulannya
setelah 5 tahun pembelian.
- Terdapat prosedur reparasi aktiva tetap.
b. Temuan Negatif
- Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan
ACCPAC.
- Tidak terdapat fasilitas menu help pada ACCPAC.
124
- Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam
transaksi maupun proses bisnis perusahaan (Gambar 4.1).
Gambar 4.1 – Tampilan Menu A/M
125
No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko
1. Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan ACCPAC.
Perusahaan telah memberikan pengarahan secara pribadi kepada karyawan baru dalam penggunaan ACCPAC.
Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan akan mengganggu kegiatan operasional perusahaan.
Berikan pelatihan secara khusus dan panduan kepada karyawan terutama karyawan baru yang akan menggunakan aplikasi tentang penggunaan ACCPAC.
Low
2. Tidak terdapat fasilitas menu help pada ACCPAC.
Perusahaan telah melakukan pemeriksaan secara manual untuk memastikan tidak terdapat kesalahan.
Dengan tidak adanya menu help maka dapat terjadi human error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan, kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak benar.
Menyediakan menu help pada ACCPAC karena dapat memberikan informasi kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke komputer dan mempermudah manajer dalam melakukan pemeriksaan.
Medium
3. Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam transaksi maupun proses bisnis perusahaan
Menu – menu tersebut sudah merupakan satu kesatuan dalam ACCPAC.
Menu – menu tersebut dapat membingungkan bagi karyawan yang baru menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat menimbulkan kesalahan dalam penginputan data.
Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung dalam proses bisnis perusahaan dan karyawan diberikan buku panduan tentang ACCPAC.
Low
Tabel 4.11 Matriks Temuan, Resiko dan Rekomendasi Pada Operations Management Controls
126
4.3.3 Input Controls
Daftar Pertanyaan Kuesioner Pada Input Controls
No. Pertanyaan Y N Keterangan 1. Apakah data yang diinput telah
berdasarkan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar?
√ Semua data yang diinput berdasarkan semua dokumen sumber.
2. Apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya?
√ Hal ini dapat terlihat pada ACCPAC, bagian yang menginput data tidak dapat menggunakan menu cetak laporan (print).
3. Apakah karyawan yang melakukan entry data memiliki otorisasi?
√ Otorisasi telah diberikan kepada setiap karyawan untuk mencegah terjadinya manipulasi data
4. Apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data?
√
5. Apakah kesalahan dalam penginputan dapat diubah?
√ Selama data belum diproses atau diposting maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang.
6. Apakah terdapat warning message apabila terjadi pemasukan data yang ganda?
√ Tidak terdapat warning message apabila terjadi pemasukan data yang ganda. Tetapi kode PO, BBM, BBK, Proposal Pengajuan yang sudah ada tidak dapat dimasukkan kembali.
7. Apakah dilakukan pengarsipan atau pemberian tanda terhadap Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput?
√ Pada Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput akan diberikan tanda dan akan disimpan sebagai arsip.
127
8. Apakah terdapat pengkodean untuk mengidentifikasi barang atau transaksi tertentu?
√ Pengkodean yang unik digunakan untuk mengidentifikasi barang atau transaksi tertentu.
9. Apakah ada kombinasi warna pada layar ACCPAC apabila user melakukan kesalahan dalam penginputan?
√
10. Apakah terdapat menu peringatan jika data belum dibackup?
√
11. Apakah fasilitas menu pada ACCPAC telah memenuhi kebutuhan user?
√
12. Apakah Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang di-input memiliki pre-printed-number?
√ Tidak terdapat pre-printed-number pada Bukti Bank Keluar.
13. Apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber?
√ Manajer yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber
14. Apakah tampilan menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan?
√ Banyak kolom yang tidak diperlukan dalam tampilan input pada ACCPAC.
15. Apakah human error dalam penginputan data dapat diantisipasi dan dikendalikan?
√
16. Apakah pengendalian yang ada dapat mencegah manipulasi data oleh orang yang tidak berkepentingan?
√
Tabel 4.12 Daftar Pertanyaan Kuesioner Pada Input Controls
Daftar Pertanyaan Wawancara Pada Input Controls
No. Pertanyaan Jawaban 1. Bagaimana prosedur
penginputan pada ACCPAC? Melakukan seperti yang terdapat pada SOP.
2. Bagaimana proses pemisahan tugas antara pihak yang melakukan input data dengan
Terdapat pemisahan tugas antara yang melakukan input dan output. Yang melakukan input data adalah staf dan
128
yang mengeluarkan output Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap?
mengeluarkan outputnya adalah manajer.
3. Metode apa yang digunakan dalam penginputan data? Mengapa menggunakan metode tersebut?
Perusahaan masih menggunakan metode keyboarding karena untuk menginput kode dan angka belum memungkinkan menggunakan metode yang lain.
4. Bagaimana prosedur pengarsipan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput?
Seluruh dokumen yang ada akan disimpan sampai kurang lebih 10 tahun.
5. Bagaimana jika terjadi kesalahan dalam proses penginputan data?
Jika karyawan melakukan salah input kode, maka data akan ditolak. Tetapi jika salah input angka, maka pengendaliannya adalah koreksi oleh manajer. Lalu karyawan yang menginput memperbaikinya dan akan diperiksa kembali oleh manajer sebelum membuat laporan.
6. Apakah terdapat pengkodean khusus untuk mengidentifikasi item barang dan transaksi yang terjadi?
Setiap aset memiliki penomoran yang unik dan setiap dokumen terdapat nomor khusus berdasarkan nomor dokumen yang digunakan.
7. Apakah pernah terjadi human error dalam penginputan data? Jika pernah, apa yang dilakukan?
Pasti pernah terjadi human error dalam penginputan data. Untuk mengantisipasinya dilakukan pengecekan ulang letak kesalahannya oleh manajer.
8. Apakah pernah terjadi manipulasi data oleh orang yang tidak berkepentingan? Jika pernah, apa yang dilakukan?
Belum pernah terjadi, karena adanya pembatasan hak akses.
9. Apakah pada saat memasukkan kode barang, nama barang dan informasi yang berhubungan akan keluar secara otomatis?
Iya, karena di dalam database terdapat master barang sehingga pada saat input kode barang secara otomatis, nama barang akan muncul.
Tabel 4.13Daftar Pertanyaan Wawancara Pada Input Controls
129
Temuan Evaluasi atas Pengendalian Input
a. Temuan Positif
- Semua data yang diinput berdasarkan semua dokumen sumber.
- Terdapat pemisahan tugas antara pihak yang melakukan input data dengan
yang mengeluarkan output laporannya.
- Karyawan yang melakukan entry data telah memiliki otorisasi untuk
mencegah terjadinya manipulasi data
- Data masih dapat diubah dan diinput ulang. Selama data belum diproses atau
diposting
- Terdapat pengarsipan atau pemberian tanda terhadap Proposal Pengajuan
Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank
Keluar yang telah diinput.
- Terdapat pengkodean yang unik untuk mengidentifikasi barang atau transaksi
tertentu.
- Fasilitas menu pada ACCPAC telah memenuhi kebutuhan user
- Manajer yang melakukan pengawasan terhadap keakuratan input data dengan
data pada dokumen sumber.
- Human error dalam penginputan data dapat diantisipasi dengan pengecekan
ulang yang dilakukan oleh manajer.
- Belum pernah terjadi manipulasi data oleh orang yang tidak berkepentingan
- Dalam penginputan data, perusahaan menggunakan metode keyboarding.
- Pada saat input kode barang, secara otomatis nama barang akan muncul.
130
b. Temuan Negatif
- Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan
data.
- Tidak terdapat preprinted-number pada Bukti Bank Keluar (Lampiran 32,
L30).
- Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.
- Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan
kesalahan dalam penginputan.
- Tampilan menu input kurang efektif dalam proses penginputan karena ada
kolom - kolom yang tidak terpakai. Contoh :
Gambar 4.2– Tampilan PO Entry
- Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi
ACCPAC.
- Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.
131
No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko
1. Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan data.
Data dalam ACCPAC tidak dapat diproses jika ada kesalahan.
Jika terjadi kesalahan dalam penginputan data maka akan menghabiskan waktu untuk melakukan pemeriksaan ulang letak kesalahannya.
Pada ACCPAC terdapat error message jika terjadi kesalahan dalam penginputan agar karyawan dapat segera memperbaikinya dan dilakukan verifikasi independent.
Low
2. Tidak terdapat preprinted-number pada Bukti Bank Keluar.
Yang bertanggung-jawab atas BBK hanya satu orang saja.
Pengeluaran tidak dapat dikendalikan dengan baik, memungkinkan penggunaan kas untuk hal pribadi atau kurang penting.
Bukti Bank Keluar sebaiknya memiliki preprinted-number dan dilakukan otorisasi serta pemisahan tugas dan fungsi. Selain untuk mencegah resiko-resiko, hal ini juga dapat memudahkan proses audit dan mendeteksi kesalahan maupun penyalahgunaan dana lebih cepat.
Medium
3. Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.
Perusahaan telah melakukan pemeriksaan secara manual.
Dapat terjadi redudansi data. Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih dari satu (pemeriksaan data).
Medium
4. Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan kesalahan dalam penginputan.
Pada ACCPAC tidak dilengkapi dengan kombinasi warna.
Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna pada tampilan dan dapat menghambat pekerjaan karyawan.
Menggunakan kombinasi warna yang membuat proses entry data dapat dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah (menggunakan warna – warna yang soft).
Medium
132
5. Tampilan menu input kurang efektif dalam proses penginputan.
Menu yang ada sudah diprogram pada saat pembuatan aplikasi.
Menu input yang tidak efektif dapat menghambat dalam proses penginputan data.
Perusahaan menggunakan sistem yang memiliki menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan.
Low
6. Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi ACCPAC
Backup data hanya dapat dilakukan oleh manajer dan bagian IT saja.
Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting perusahaan.
Karyawan sebaiknya melakukan backup data setiap hari dan terdapat menu peringatan untuk mengingatkan user.
Low
7. Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.
Perusahaan telah menetapkan kode yang baru untuk PO dan BBM pada ACCPAC.
Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan dan mengalami kesulitan dalam penginputan data.
Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen sumber dan pada layar input.
Medium
Tabel 4.14
Matriks Temuan, Resiko dan Rekomendasi Pada Input Controls
133
4.3.4 Boundary Control
Daftar Pertanyaan Kuesioner Pada Boundary Controls
No. Pertanyaan Y N Keterangan 1. Apakah pada ACCPAC
menampilkan pesan jika verifikasi login tidak valid atau salah?
√ Jika password yang dimasukkan salah maka akan keluar peringatan atau invalid password.
2. Apakah pada ACCPAC dilengkapi dengan akses login?
√ ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.
3. Apakah password yang ada menggunakan teknik cryptography?
√
4. Apakah pada ACCPAC dibatasi ukuran/panjang password dan user name?
√ Panjang password yang digunakan tergantung dari user.
5. Apakah password menggunakan variasi (angka & huruf)?
√
6. Apakah terdapat prosedur penghapusan atau penggantian password?
√
7. Apakah terdapat prosedur bantuan jika user lupa passwordnya?
√
8. Apakah terdapat pembatasan hak akses yang dibagi berdasarkan jabatan pengguna?
√ Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang dimiliki karyawan.
9.
Apakah terdapat fasilitas automatically warning?
√
10.
Apakah pada ACCPAC dibatasi kesalahan dalam penginputan login akses?
√
11. Apakah terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off?
√
12 Apakah pada ACCPAC terdapat audit trail?
√
Tabel 4.15 Daftar Pertanyaan Kuesioner Pada Boundary Controls
134
Daftar Pertanyaan Wawancara Pada Boundary Controls
No. Pertanyaan Jawaban 1. Bagaimana respon dari
ACCPAC jika terjadi kesalahan login?
ACCPAC akan langsung menolak dan menu lain pada ACCPAC tidak dapat dibuka. Namun, tidak dibatasi kesalahan saat login.
2. Bagaimana prosedur penghapusan atau penggantian password?
Pada menu login terdapat menu change password untuk memudahkan karyawan melakukan perubahan password.
3. Bagaimana prosedur bantuan jika user lupa passwordnya?
Tidak terdapat prosedur bantuan jika user lupa passwordnya.
4. Apakah terdapat fasilitas automatically warning?
Tidak terdapat fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala.
5. Apakah ada kebijakan yang mengharuskan user mengubah passwordnya secara berkala?
Perusahaan membuat kebijakan agar user mengganti passwordnya sebulan sekali.
6. Apa respon ACCPAC apabila user tidak melakukan log off dan bagaimana sistem pengamanannya?
Perusahaan hanya menghimbau karyawan agar tidak lupa log off apabila menggunakan ACCPAC.
Tabel 4.16 Daftar Pertanyaan Wawancara Pada Boundary Controls
Temuan Evaluasi atas Pengendalian Boundary
a. Temuan Positif
- Terdapat peringatan invalid password jika password yang dimasukkan salah
(Lampiran 3, L2).
- Password yang diinput pada menu login ACCPAC menggunakan teknik
cryptography.
- ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.
- Password telah menggunakan variasi angka dan huruf agar tidak mudah
diketahui oleh orang lain.
- Pada menu login terdapat menu change password untuk memudahkan
karyawan melakukan perubahan password (Lampiran 2, L2).
135
- Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang
dimiliki karyawan.
b. Temuan Negatif
- Panjang password yang digunakan tidak dibatasi oleh ACCPAC.
- Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi
ACCPAC.
- Tidak terdapat pembatasan umur password beserta fasilitas automatically
warning yang mengingatkan user untuk mengganti passwordnya secara
berkala.
- Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC
jika user lupa atau tidak log off.
- Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC.
- ACCPAC tidak memiliki audit trail.
136
No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko
1. Panjang password yang digunakan tidak dibatasi oleh ACCPAC.
Aplikasi tidak dilengkapi dengan fasilitas tersebut.
Setiap user dapat memiliki panjang password yang berbeda – beda dan password yang digunakan dapat mudah ditebak.
Batasi panjang password sebanyak 6 karakter dan dilakukan invisible password.
Low
2. Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi ACCPAC.
Tidak tersedia prosedur bantuan pada ACCPAC jika user lupa passwordnya.
Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC dan harus menghubungi bagian IT di kantor pusat.
Pada ACCPAC disediakan menu help dan diberikan buku panduan jika karyawan lupa akan passwordnya.
Low
3. Tidak terdapat pembatasan umur password beserta fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala.
Karyawan di perusahaan pada setiap bagian tidak terlalu banyak, sehingga ada anggapan bahwa karyawan dapat diperingatkan secara langsung.
Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang.
Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh memberitahukan password kepada orang lain dan selalu mengganti password secara rutin.
High
4. Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC
Jumlah karyawan yang tidak terlalu banyak dan saling kenal, menimbulkan anggapan bahwa hal tersebut tidak menjadi persoalan.
Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang untuk dapat mengakses ACCPAC.
Melakukan enkripsi dan invisible password, dengan menentukan batasan kesalahan dalam menginput password sebanyak 3 kali dan jika
High
137
melewati batas tersebut maka ACCPAC akan tertutup secara otomatis.
5. Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off.
Selain aplikasi tidak dilengkapi dengan fasilitas tersebut, perusahaan telah menggunakan time limit (batas waktu login) pada saat komputer tidak digunakan.
Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan memodifikasi aset perusahaan pada saat komputer baru ditinggalkan beberapa saat.
Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup sehingga user harus memasukkan user ID dan password kembali.
High
6. ACCPAC tidak memiliki audit trail.
Sistem Informasi perusahaan belum pernah diaudit oleh auditor eksternal.
Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk mengetahui aktivitas user mulai dari login, proses selama penggunaan aplikasi, hingga log off .
Sebaiknya dibuat audit trail pada ACCPAC.
Medium
Tabel 4.17
Matriks Temuan, Resiko dan Rekomendasi Pada Boundary Controls
138
4.3.5 Output Control
Daftar Pertanyaan Kuesioner Pada Output Controls
No. Pertanyaan Y N Keterangan 1. Apakah Laporan Keuangan,
Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan didistribusikan secara tepat waktu?
√ Karyawan telah diberikan deadline, kapan laporan-laporan tersebut harus dibuat dan didistribusikan.
2. Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak?
√
3. Apakah ACCPAC yang digunakan pada PT Triteguh Manunggal Sejati dpt menghasilkan laporan yg dibutuhkan?
√
4. Apakah terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC?
√
5. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi disimpan dengan baik (tidak akan dihancurkan)?
√
6. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang berkepentingan?
√
7. Apakah setiap Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut,
√ Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan
139
pihak yang berwenang menerimanya, otorisasi pihak yang membuat laporan?
Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
8. Apakah terdapat end of page jika Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap lebih dari 1 (satu) halaman?
√ Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan, setiap halaman pada laporan terdapat page number.
9. Apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb).
√
10. Apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala?
√
Tabel 4.18 Daftar Pertanyaan Kuesioner Pada Output Controls
Daftar Pertanyaan Wawancara Pada Output Controls
No. Pertanyaan Jawaban 1. Bagaimana prosedur permintaan
pencetakan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dan pendistribusiannya?
Laporan dibuat setiap bulannya. Prosedur pencetakan mulai dari orang yang berwewenang mencetak laporan memberikan kepada manajer, lalu manajer memberikan kepada kantor pusat dalam bentuk softcopy, tidak dalam bentuk dokumen (hardcopy).
2. Jenis laporan apa saja yang biasanya dicetak?
Perusahaan jarang melakukan pencetakan terhadap laporan karena biasanya laporan diberikan ke kantor pusat dalam bentuk softcopy.
3. Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak? Jika ya, bagaimana prosedur pemeriksaannya?
Laporan tersebut semua akan diperiksa oleh manajer pada departemen yang terkait dan kemudian dikirimkan kepada kantor pusat.
4. Bagaimana jika ditemukan kesalahan pada Laporan Keuangan, Laporan Pembelian
Jika ditemukan kesalahan pada Laporan, maka laporan tersebut akan diperbaiki. Laporan tersebut dapat dicetak lagi dan
140
dan Penerimaan Barang dan Laporan Aktiva tetap yang telah dicetak? Apakah laporan tersebut dapat dicetak lagi?
tidak ada ketentuan sampai berapa kali laporan tersebut boleh dicetak.
5. Apakah terdapat control terhadap penghancuran Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan?
Seperti telah disebutkan di atas, laporan yang sudah tidak dibutuhkan tidak boleh dihancurkan dan disimpan sampai kurang lebih sampai waktu 10 tahun agar memudahkan dalam proses audit.
Tabel 4.19 Daftar Pertanyaan Wawancara Pada Output Control
Temuan Evaluasi atas Pengendalian Output
a. Temuan Positif
- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan
Aktiva tetap telah didistribusikan tepat waktu.
- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan
Laporan Aktiva tetap akan diperiksa ulang oleh manajer pada departemen
yang terkait.
- ACCPAC yang digunakan telah dapat menghasilkan laporan yang
dibutuhkan.
- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan
Laporan Aktiva tetap yang sudah tidak dibutuhkan tidak boleh dihancurkan.
- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan
Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang
berkepentingan.
- Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan,
setiap halaman pada laporan terdapat page number (Lampiran 23, L21).
141
- Terdapat pengklasifikasian laporan (rahasia, umum, dsb).
b. Temuan Negatif
- Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan
Pembelian dan Penerimaan Barang, dan Laporan Aktiva tetap dapat dicetak
pada ACCPAC.
- Kode PO dan BBM pada layar input tidak sama dengan format Laporan
Pembelian dan Penerimaan Barang.
- Pada semua laporan tidak terdapat keterangan pihak yang berwenang
menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada
Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak
tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
- Tidak dilakukan control terhadap jumlah kertas yang digunakan secara
berkala.
142
No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko
1. Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC.
Agar pencetakan laporan lebih praktis dan mudah dicetak ketika dibutuhkan.
Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat menimbulkan resiko laporan akan kehilangan kerahasiaannya.
Diberikan batasan dalam pencetakan laporan jika ditemukan kesalahan dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan serta pemisahan tugas dan fungsi.
Medium
2. Kode PO dan BBM pada layar input tidak sama dengan format Laporan Pembelian dan Penerimaan Barang
Laporan Pembelian dan Penerimaan Barang tidak dicetak melalui ACCPAC
Membingungkan karyawan yang melakukan input data, sehingga memungkinkan terjadinya kesalahan dalam pembuatan laporan.
Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan format Laporan Pembelian dan Penerimaan Barang.
Medium
3. Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
Laporan sudah dibuat setiap bulannya dan diberikan dalam bentuk softcopy.
Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah
Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang harus tercantum control page, control copy, judul, tanggal, periode, nomor urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan.
High
143
4. Tidak dilakukan control terhadap jumlah kertas yang digunakan secara berkala
Penggunaan kertas pada perusahaan kurang diperhatikan dan perusahaan jarang melakukan pencetakan laporan.
Inefektif dan inefisien dalam penggunaan kertas dan dapat mengakibatkan kerugian finansial pada perusahaan.
Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap bulannya.
Medium
Tabel 4.20 Matriks Temuan, Resiko dan Rekomendasi Pada Output Control
4.4. Matriks Penilaian Resiko dan Pengendalian
4.4.1 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control
No. Resiko I L Nilai Resiko
Pengendalian D E Nilai Pengendalian
Jumlah Penilaian
1. Rusaknya data, hardware dan software karena virus.
-2 -2 -4 Perusahaan melakukan upgrade software – software dan backup data secara otomatis dan rutin, 2 kali dalam sehari serta memiliki antivirus dengan fasilitas automatically clean sehingga virus dapat segera terdeteksi secara otomatis.
2 2 4 0
2. Terhambat dalam pemberitahuan
-3 -1 -3 Terdapat 3 buah tabung pemadam kebakaran yang
1 3 3 0
144
kebakaran dan tindakan penyelamatan terhadap aset ataupun karyawan.
terletak pada ruang komputer, ruang produksi, dan ruang formulasi serta diberikan larangan merokok di area kantor.
3. Makanan ataupun minuman yang tumpah dapat mengakibatkan polusi yang dapat merusak disk drive, harddisk, dll.
-3 -2 -6 0 0 0
-6
4. Kerusakan aset sistem informasi.
-3 -1 -3 Perusahaan telah melakukan perawatan secara rutin dan mengasuransikan aktiva tetapnya.
1 3 3 0
5. Pencurian aset dan manipulasi data.
-3 -1 -3 Terdapat petugas keamanan untuk mengantisipasi pencurian aset.
2 1 2 -1
Tabel 4.21 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control
4.4.2 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control
No. Resiko I L Nilai Resiko
Pengendalian D E Nilai Pengendalian
Jumlah Penilaian
1. Karyawan kesulitan dalam penggunaan ACCPAC.
-3 -1 -3 Manajer memberikan pengarahan dalam penggunaan ACCPAC dan karyawan dapat
1 2 2 -1
145
bertanya kepada manajer jika mengalami kesulitan.
2. Human error -3 -2 -6 Manajer melakukan pemeriksaan ulang data yang diinput. Adanya penolakan penyimpanan data jika karyawan melakukan salah input kode.
3 1 3 -3
3. Menu pada ACCPAC membingungkan dan menghambat kinerja karyawan.
-2 -1 -2 Diberikan pengarahan oleh manajer untuk karyawan baru dalam penggunaan ACCPAC.
1 2 2 0
Tabel 4.22 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control
4.4.3 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control
No. Resiko I L Nilai Resiko
Pengendalian D E Nilai Pengendalian
Jumlah Penilaian
1. Waktu banyak terbuang karena memeriksa letak kesalahan dalam penginputan.
-3 -1 -3 Perusahaan menghimbau agar karyawan tidak melakukan kesalahan dalam penginputan data.
1 2 2 -1
2. Penggunaan kas untuk keperluan pribadi
-3 -2 -6 Terdapat pemisahan tugas dan fungsi. Selain itu, pengeluaran kas diotorisasi oleh satu orang saja.
1 2 2 -4
3. Redudansi data -3 -1 -3 0 0 0 -3 4. Kesalahan dalam entry -3 -2 -6 Selama data belum diproses 1 3 3 -3
146
data. atau diposting ke dalam database permanen, maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang.
5. Menghambat dalam proses penginputan data.
-2 -1 -2 Menu sudah diprogram sejak awal implementasi ACCPAC.
1 2 2 0
6. Lupa melakukan backup data sehingga informasi tidak up to date dan kehilangan data – data penting perusahaan
-3
-2
-6 Perusahaan telah melakukan backup data secara rutin.
2
2 4
-2
7. Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input.
-3 -2 -6 Dokumen sumber disimpan dan dikelompokkan berdasarkan tanggal transaksi.
3 1 3 -3
4.4.4 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control
No. Resiko I L Nilai Resiko
Pengendalian D E Nilai Pengendalian
Jumlah Penilaian
1. Password yang digunakan dapat mudah ditebak
-2 -2 -4 Dilakukan enkripsi dan invisible password.
2 1 2 -2
Tabel 4.23 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control
147
2. Karyawan tidak dapat menggunakan ACCPAC karena lupa password.
-3 -1 -3 Meminta bantuan kepada bagian IT.
1 3 3 0
3. Penyalahgunaan wewenang (mengakses, membuka dan mengcopy tanpa wewenang).
-3 -3 -9 Terdapat kebijakan yang tidak memperbolehkan karyawan memberitahukan password kepada orang lain, mengharuskan user melakukan log off ketika komputer tidak digunakan/ditinggal, mengganti password secara rutin, serta terdapat enkripsi dan invisible password
3 1 3 -6
4. Proses audit dapat terhambat
-3 -2 -6 Dokumentasi dokumen – dokumen penting perusahaan dan backup data – data perusahaan secara rutin.
1 2 2 -4
Tabel 4.24 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control
4.4.5 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control
No. Resiko I L Nilai Resiko
Pengendalian D E Nilai Pengendalian
Jumlah Penilaian
1. Laporan dimodifikasi oleh pihak tidak berwenang.
-3 -2 -6 Otorisasi dalam pembuatan laporan.
1 2 2 -4
148
2. Pencurian laporan -3 -2 -6 Pembatasan dan pengawasan dalam pencetakan laporan dan diberikan otorisasi serta pemisahan tugas dan fungsi.
3 2 6 0
3.
Kesalahan dalam pembuatan laporan.
-3 -2 -6 Perbaikan kesalahan untuk laporan yang salah. Laporan tersebut dapat dicetak lagi dan tidak ada pembatasan berapa kali laporan tersebut boleh dicetak.
1 2 2 -4
4.
Penyalahgunaan laporan -3 -3 -9 Dilakukan otorisasi serta pemisahan tugas dan fungsi dalam pembuatan laporan. Selain itu, perusahaan juga jarang dalam melakukan pencetakan laporan.
3 1 3 -6
5.
Inefektif dan inefisiensi dalam penggunaan kertas (kerugian finansial).
-2 -2 -4 0 0 0 -4
Tabel 4.25 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control
Keterangan : I : Impact (Dampak dari resiko yang ada). D : Design (Seberapa baik desain pengendalian yang ada).
L : Likelihood (Tingkat keterjadian resiko yang ada) E : Effectiveness (Tingkat pelaksanaan dalam menjalankan control). Jumlah Penilaian Tingkat Resiko : - High : Antara -6 sampai -9 - Low : Antara -2 sampai 0 - Medium : Antara -3 sampai -5
149
4.5. Laporan Audit
LAPORAN HASIL EVALUASI SISTEM INFORMASI AKTIVA TETAP
PADA PT.TRITEGUH MANUNGGAL SEJATI
Berikut ini merupakan hasil laporan evaluasi sistem informasi aktiva tetap pada
PT TRITEGUH MANUNGGAL SEJATI yang terdiri dari pengendalian umum dan
pengendalian aplikasi. Evaluasi dilakukan mulai dari bulan September 2007 sampai
dengan Desember 2007.
A. Ruang Lingkup Evaluasi
Ruang lingkup evaluasi dibatasi oleh auditor menjadi :
1. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL
SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran, perbaikan
(reparasi), penyusutan (depresiasi) sampai dengan penghapusan (disposal) aktiva
tetap tersebut.
2. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor.
3. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan
pada pengendalian umum (general control) dan pengendalian aplikasi
(application control).
• Pengendalian umum yang akan dibahas oleh penulis, yaitu :
a. Pengendalian Manajemen Keamanan (Security Management Control).
b. Pengendalian Manajemen Operasi (Operations Management Control).
• Pengendalian aplikasi yang akan dibahas oleh penulis, yaitu:
150
d. Pengendalian Masukan (Input Control)
e. Pengendalian Keluaran (Output Control)
f. Pengendalian Batasan (Boundary Control)
B. Tujuan Pelaksanaan Evaluasi
Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai
berikut:
1. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap yang
terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai dengan
standard dan business process.
2. Untuk mengidentifikasi permasalahan atau kelemahan, risiko yang mungkin
timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva tetap
PT. TRITEGUH MANUNGGAL SEJATI.
3. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT.
TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang ada.
4. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah diproses
sehingga output yang dihasilkan dapat dipercaya.
C. Metode Audit
Metode audit yang digunakan oleh auditor adalah :
1. Studi Pustaka
Mempelajari dan membaca buku – buku yang berhubungan dengan audit sistem
informasi aktiva tetap sebagai landasan teori dalam pelaksanaan audit.
2. Wawancara
151
Melakukan wawancara secara langsung dengan Manajer Akuntansi dan
Keuangan untuk mengetahui sistem informasi aktiva tetap yang telah digunakan
PT. TRITEGUH MANUNGGAL SEJATI.
3. Observasi
Melakukan pengamatan secara langsung pada PT. TRITEGUH MANUNGGAL
SEJATI untuk mengetahui keadaan perusahaan dan untuk melakukan
pembuktian atas informasi yang diperoleh melalui metode audit lain seperti
kuesioner.
4. Kuesioner
Membuat daftar pertanyaan – pertanyaan dan menyebarkannya ke bagian yang
terkait untuk mendapatkan informasi yang mendukung dalam proses audit.
D. Hasil Audit
Hasil Audit Pada Pengendalian Umum
I. Security Management Controls
1. Temuan audit :
Tidak dilakukan scan virus secara rutin.
Resiko:
Selain dapat menghambat proses kerja komputer perusahaan, data penting
perusahaan pun dapat terkena virus, rusak, dan bahkan hilang. Jika hal ini
tidak segera diatasi, maka dapat merusak data dan software serta
mengganggu kegiatan operasional perusahaan. Kerugian finansial karena
penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini.
Rekomendasi:
152
Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin
pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau
mengcopy file dari media eksternal seperti flashdisk.
2. Temuan audit :
Tidak terdapat alarm kebakaran.
Resiko:
Kesulitan dan hambatan untuk memberitahukan kepada seluruh karyawan
dan sekitarnya akan terjadinya kebakaran, sehingga tindakan penyelamatan
terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat
segera ditangani. Hal ini dapat menyebabkan kerugian yang cukup besar dan
berpengaruh bagi kegiatan bisnis maupun keuangan perusahaan.
Rekomendasi:
Meletakkan alarm kebakaran tempat yang strategis atau memberikan
larangan merokok di area kantor karena dapat meminimalkan kerusakan dan
kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada
perusahaan berfungsi dengan baik.
3. Temuan audit :
Karyawan tidak diberikan larangan membawa makanan di dekat peralatan
komputer.
Resiko:
Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan
menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak
kabel-kabel, yang dapat merusak disk drive, harddisk, dll. Resiko lainnya
153
adalah kinerja karyawan menjadi kurang efektif dan efisien karena kurangnya
konsentrasi dan disiplin.
Rekomendasi:
Memberikan larangan kepada karyawan untuk tidak membawa makanan dan
minuman ke dalam ruang atau peralatan komputer. Perusahaan juga perlu
mensosialisasikan prosedur kebersihan kepada seluruh karyawan.
4. Temuan audit :
Tidak terdapat prosedur kebersihan aset sistem informasi.
Resiko:
Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem
informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga
dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll.
Rekomendasi:
Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset
perusahaan dapat beroperasi dengan baik. Agar prosedur kebersihan
dilakukan dengan baik oleh seluruh karyawan, perusahaan dapat
menempelkan poster-poster atau kartu-kartu yang menarik mengenai
kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat-tempat
yang sering dilalui.
5. Temuan audit :
Tidak terdapat pemisahan antara ruang komputer dengan tempat
penyimpanan dokumen pada bagian akuntansi.
Resiko:
154
Dapat terjadi kehilangan data akibat pencurian oleh pihak yang tidak
berwenang dan terjadi manipulasi terhadap data, serta pengarsipan maupun
penginputan data yang kurang efektif.
Rekomendasi:
Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan
dokumen pada bagian akuntansi.
II. Operations Management Controls
1. Temuan audit :
Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan
ACCPAC.
Resiko:
Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan
akan mengganggu kegiatan operasional perusahaan.
Rekomendasi:
Berikan pelatihan secara khusus dan panduan kepada karyawan terutama
karyawan baru yang akan menggunakan aplikasi tentang penggunaan
ACCPAC.
2. Temuan audit :
Tidak terdapat fasilitas menu help pada ACCPAC.
Resiko:
Dengan tidak adanya menu help maka ada kemungkinan terjadinya human
error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan
tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan,
155
kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak
benar.
Rekomendasi:
Menyediakan menu help pada ACCPAC karena dapat memberikan informasi
kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke
komputer dan mempermudah manajer dalam melakukan pemeriksaan.
3. Temuan audit :
Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam
transaksi maupun proses bisnis perusahaan.
Resiko:
Menu – menu tersebut dapat membingungkan bagi karyawan yang baru
menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat
menimbulkan kesalahan dalam penginputan data
Rekomendasi:
Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung
dalam proses bisnis perusahaan. Dan yang terpenting adalah karyawan
diberikan buku panduan ataupun penjelasan lisan yang terperinci tentang
ACCPAC.
III. Input Control
1. Temuan audit :
Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan
data.
Resiko:
156
Jika terjadi kesalahan dalam penginputan data, waktu yang dibutuhkan untuk
menemukan letak kesalahan lebih lama dibandingkan dengan adanya error
message.
Rekomendasi:
Pada ACCPAC ditambahkan fungsi error message, sehingga karyawan dapat
segera memperbaiki jika terjadi kesalahan dalam penginputan. Selain itu,
verifikasi independent juga dapat dilakukan untuk mengatasi hal ini.
2. Temuan audit :
Tidak terdapat pre-printed-number pada Bukti Bank Keluar.
Resiko:
Pengeluaran tidak dapat dikendalikan dengan baik, memungkinkan
penggunaan kas untuk hal pribadi atau kurang penting. Dalam jangka
panjang, hal ini dapat mempengaruhi efektifitas dan efisiensi penggunaan kas
dan membawa dampak negatif bagi keuangan perusahaan.
Rekomendasi:
Bukti Bank Keluar sebaiknya memiliki pre-printed-number dan dilakukan
otorisasi serta pemisahan tugas dan fungsi. Selain untuk mencegah resiko-
resiko, hal ini juga dapat memudahkan proses audit dan mendeteksi
kesalahan maupun penyalahgunaan dana lebih cepat.
3. Temuan audit :
Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.
Resiko:
Dapat terjadi redudansi data, yang juga memungkinkan kesalahan pembuatan
laporan dan evaluasi laporan yang salah.
157
Rekomendasi:
Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih
dari satu (pemeriksaan data). Hal ini juga sebagai upaya untuk menghindari
terjadinya manipulasi data yang ilegal.
4. Temuan audit :
Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan
kesalahan dalam penginputan.
Resiko:
Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna
pada tampilan dan dapat menghambat pekerjaan karyawan.
Rekomendasi:
Menggunakan kombinasi warna yang membuat proses entry data dapat
dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah
(menggunakan warna – warna yang soft).
5. Temuan audit :
Tampilan menu input kurang efektif dalam proses penginputan karena ada
kolom-kolom yang tidak terpakai.
Resiko:
Menghambat proses penginputan data, menimbulkan kesalahan dalam
penginputan dari dokumen sumber.
Rekomendasi:
Perusahaan menggunakan sistem yang memiliki menu input cukup efektif
untuk mempermudah dan mempercepat proses penginputan. Untuk sistem
yang sudah berjalan, untuk setiap karyawan yang belum dapat menggunakan
158
ACCPAC dengan baik, sebaiknya diberikan pelatihan dan pendalaman
khusus terhadap ACCPAC. Kesalahan-kesalahan seperti ini meskipun
bersifat tidak material, akan tetapi dapat menghambat proses bisnis
perusahaan jika dibiarkan terlalu lama terjadi.
6. Temuan audit :
Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi
ACCPAC
Resiko:
Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to
date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting
perusahaan
Rekomendasi:
Karyawan sebaiknya melakukan backup data setiap hari dan disediakan menu
peringatan untuk mengingatkan user. Hal lain yang bisa dilakukan adalah
dengan membuat peringatan-peringatan tertulis untuk melakukan backup
data, seperti membuat screensaver pada komputer yang bertuliskan untuk
backup data, membuat catatan pengingat pada setiap komputer, dan
sebagainya.
7. Temuan audit :
Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.
Resiko:
Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data
antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan
159
dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan
dan mengalami kesulitan dalam penginputan data.
Rekomendasi:
Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen
sumber dan pada layar input.
IV. Boundary Control
1. Temuan audit :
Panjang password yang digunakan tidak dibatasi oleh ACCPAC.
Resiko:
Setiap user dapat memiliki panjang password yang berbeda – beda dan
password yang digunakan dapat mudah ditebak.
Rekomendasi:
Batasi panjang password sebanyak 6 karakter dan dilakukan invisible
password.
2. Temuan audit :
Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi
ACCPAC.
Resiko:
Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain
itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC
dan harus menghubungi bagian IT di kantor pusat
Rekomendasi:
Pada ACCPAC disediakan menu help dan diberikan fasilitas pertanyaan
keamanan pada sistem jika karyawan lupa akan passwordnya. Alternatif lain
160
adalah dengan membuat prosedur penggantian password yang mudah
dimengerti oleh user.
3. Temuan audit :
Tidak terdapat pembatasan umur password beserta fasilitas automatically
warning yang mengingatkan user untuk mengganti passwordnya secara
berkala.
Resiko:
Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan
wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang
Rekomendasi:
Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh
memberitahukan password kepada orang lain dan selalu mengganti password
secara rutin. Sebaiknya diberikan kebijakan dalam penjadwalan untuk
melakukan perubahan password yang dilakukan tiga bulan satu kali dengan
menentukan tanggal perubahan. Jadi perubahan password dilakukan secara
serentak oleh setiap karyawan. Misalnya, dari tanggal 23 sampai dengan
tanggal 30 Desember adalah jangka waktu untuk merubah password.
Karyawan yang terlambat harus menerima konsekuensinya, yaitu user tidak
dapat menggunakan ACCPAC.
4. Temuan audit :
Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC
Resiko:
Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang
untuk dapat mengakses ACCPAC.
161
Rekomendasi:
Melakukan enkripsi dan invisible password, dengan menentukan batasan
kesalahan dalam menginput password sebanyak 3 kali dan jika melewati
batas tersebut maka ACCPAC akan tertutup secara otomatis.
5. Temuan audit :
Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC
jika user lupa atau tidak log off.
Resiko:
Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan
memodifikasi aset perusahaan pada saat komputer baru ditinggalkan
beberapa saat.
Rekomendasi:
Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan
melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup
sehingga user harus memasukkan user ID dan password kembali. Sebagai
tambahan, setiap komputer juga dapat diberikan screensaver (dengan jangka
waktu yang tidak terlalu lama) dan password, sehingga kemungkinan
komputer digunakan oleh orang yang tidak berkepentingan dapat
diminimalisasi.
6. Temuan audit :
ACCPAC tidak memiliki audit trail.
Resiko:
Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat
karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk
162
mengetahui aktivitas user mulai dari login, proses selama penggunaan
aplikasi, hingga log off .
Rekomendasi:
Sebaiknya dibuat audit trail pada ACCPAC.
V. Output Control
1. Temuan audit :
Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan
Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak
pada ACCPAC.
Resiko:
Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan
laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat
menimbulkan resiko laporan kehilangan kerahasiaannya.
Rekomendasi:
Diberikan batasan dalam pencetakan laporan jika ditemukan kesalahan
dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan
laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan
serta pemisahan tugas dan fungsi.
2. Temuan audit :
Kode PO dan BBM pada layar input tidak sama dengan kode pada format
Laporan Pembelian dan Penerimaan Barang.
Resiko:
Membingungkan karyawan yang melakukan input data, sehingga
memungkinkan terjadinya kesalahan dalam pembuatan laporan.
163
Rekomendasi:
Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan
format Laporan Pembelian dan Penerimaan Barang.
3. Temuan audit :
Pada semua laporan tidak terdapat keterangan pihak yang berwenang
menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada
Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak
tercantum control page, control copy, judul, tanggal, periode dan nomor urut.
Resiko:
Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah
Rekomendasi:
Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang
harus tercantum control page, control copy, judul, tanggal, periode, nomor
urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak
yang membuat laporan.
4. Temuan audit :
Tidak dilakukan control terhadap jumlah kertas yang digunakan secara
berkala.
Resiko:
Inefektif dan inefisiensi dalam penggunaan kertas dan dapat mengakibatkan
kerugian finansial pada perusahaan.
Rekomendasi:
Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap
bulannya.