BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA …thesis.binus.ac.id/Asli/Bab4/2008-1-00186-KA Bab 4.pdfAktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor

105

BAB 4

EVALUASI SISTEM INFORMASI AKTIVA TETAP

PADA PT. TRITEGUH MANUNGGAL SEJATI

Dalam bab ini dijelaskan mengenai pelaksanaan evaluasi terhadap sistem

informasi aktiva tetap pada PT. Triteguh Manunggal Sejati, yang terdiri dari :

perencanaan evaluasi, program audit, pengumpulan bukti audit untuk setiap

pengendalian, matriks penilaian resiko dan pengendaliannya, serta laporan audit.

4.1. Perencanaan Evaluasi

Perencanaan audit merupakan tahap awal audit yang dilakukan untuk

mempermudah proses audit. Tahap perencanaan ini dilakukan auditor untuk

menentukan ruang lingkup, tujuan pelaksanaan, dan persiapan evaluasi.

4.1.1 Ruang Lingkup Evaluasi

Ruang lingkup evaluasi dibatasi oleh auditor menjadi :

4. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL

SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran,

perbaikan (reparasi), penyusutan (depresiasi) sampai dengan penghapusan

(disposal) aktiva tetap tersebut.

5. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor.

6. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan

pada pengendalian umum (general control) dan pengendalian aplikasi

(application control). Pengendalian umum yang akan dibahas oleh penulis,

terdiri dari: Pengendalian Manajemen Keamanan (Security Management

106

Control) dan Pengendalian Manajemen Operasi (Operations Management

Control). Sedangkan Pengendalian aplikasi yang akan dibahas oleh penulis,

terdiri dari: Pengendalian Masukan (Input Control), Pengendalian Batasan

(Boundary Control) dan Pengendalian Keluaran (Output Control).

4.1.2 Tujuan Pelaksanaan Evaluasi

Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai

berikut :

a. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap

yang terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai

dengan standard dan business process.

b. Untuk mengidentifikasi permasalahan atau kelemahan, resiko yang mungkin

timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva

tetap PT. TRITEGUH MANUNGGAL SEJATI.

c. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT.

TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang

ada.

d. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah

diproses, sehingga output yang dihasilkan dapat dipercaya.

4.1.3 Persiapan Evaluasi

Persiapan evaluasi yang dilakukan auditor, antara lain :

- Mencari dan membaca buku – buku yang dapat digunakan sebagai referensi

untuk melakukan evaluasi.

- Mempersiapkan pertanyaan – pertanyaan yang akan diajukan pada saat

wawancara dan membagikan kuesioner pada bagian – bagian yang terkait.

107

- Mengumpulkan informasi tentang data umum perusahaan, seperti sejarah

perusahaan, struktur organisasi, dan pembagian tugas dan tanggung jawab.

- Mengumpulkan informasi tentang prosedur sistem informasi aktiva tetap

yang sedang berjalan dan digambarkan dalam bentuk DFD (Data Flow

Diagram).

- Melakukan evaluasi mulai dari bulan September 2007 sampai dengan

Desember 2007.

- Evaluasi dilakukan pada PT TRITEGUH MANUNGGAL SEJATI yang

berlokasi di Kawasan Griya Mentari, Jl Raya Serang Km 14,5

- Tim evaluasi terdiri dari 3 orang.

4.2. Program Audit

4.2.1 Program Audit Pada Pengendalian Umum

4.2.1.1 Program Audit Pada Security Management Control

No Tahap Pengujian

Security Management Controls

Auditee Instrumen

1. Melakukan pengecekan apakah terdapat user protection dengan menggunakan password pada setiap komputer.

Bagian Akuntansi dan Keuangan

Observasi, kuesioner dan wawancara

2. Mengecek apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam.



3. Melakukan pengecekan apakah sudah terdapat UPS (Uninterruptable Power Supply) pada setiap komputer untuk mengatasi permasalahan tegangan listrik.



4. Mendapatkan informasi mengenai software – software yang digunakan perusahaan seperti antivirus, sistem operasi, dan lain - lain

Bagian IT Observasi, kuesioner dan wawancara

5. Mendapatkan informasi mengenai jenis-jenis Bagian IT Kuesioner

108

pengendalian virus komputer yang diterapkan perusahaan

dan wawancara

6. Mendapatkan informasi apakah software – software tersebut sering di update

Bagian IT Kuesioner dan wawancara

7. Meninjau apakah terdapat alarm kebakaran otomatis dan tabung pemadam kebakaran yang diletakkan pada tempat yang mudah dijangkau dimana terdapat aset sistem informasi.


Observasi dan kuesioner

8. Mendapatkan informasi apakah perusahaan memiliki asuransi untuk aktiva tetap seperti gedung, kendaraan, mesin, dan lain – lain.


Kuesioner dan wawancara

9. Melakukan pengecekan apakah dilakukan backup data untuk mencegah terjadinya kehilangan data.


10. Memeriksa apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana.



11. Mengecek apakah setiap karyawan memiliki ID Card atau kartu identitas karyawan.



12. Mendapatkan informasi apakah setiap tamu atau pihak luar yang akan masuk harus melapor ke pihak keamanan (security).



13. Meninjau apakah karyawan diberikan larangan membawa makanan dan minuman di dekat peralatan komputer.



14. Memeriksa apakah terdapat prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi.



15. Meninjau apakah terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen.



Tabel 4.1 Program Audit Pada Security Management Controls

4.2.1.2 Program Audit Pada Operations Management Control

No Tahap Pengujian

Operations Management Control

Auditee Instrumen

1. Melakukan pengecekan apakah terdapat pemisahan tugas antara karyawan.



109

2. Mengamati untuk mengetahui apakah user menaati dan terdapat prosedur pengoperasian aplikasi sesuai dengan fungsinya.


Observasi dan Wawancara

3. Mendapatkan informasi apakah diberikan pelatihan secara khusus terhadap karyawan terutama karyawan baru dalam menggunakan sistem yang sedang berjalan di perusahaan.



4. Mendapatkan informasi mengenai maintenance atau perbaikan yang dilakukan terhadap hardware dan software.


5. Melakukan pengecekan apakah terdapat prosedur perawatan computer untuk menghindari terjadinya kerusakan pada hardware atau software.


6. Mendapatkan informasi apakah perusahaan menyediakan technical support untuk membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database.


7. Mendapatkan informasi apakah perusahaan menggunakan LAN (Local Area Network) atau WAN (Wide Area Network).

Bagian IT Observasi dan Wawancara

8. Mendapatkan informasi mengenai Standard Operating Procedures (SOP) yang ada pada perusahaan dan lakukan pengamatan ketaatan karyawan terhadap SOP tersebut.


Wawancara

9. Melakukan pengecekan dan pengamatan terhadap manajemen penyimpanan data (File Library) dan proses posting data.



10. Mendapatkan informasi apakah terdapat fasilitas menu help pada ACCPAC?



11. Mendapatkan informasi tentang metode yang digunakan perusahaan dalam penghitungan depresiasi dan kapan depresiasi aktiva tetap dilakukan.



12. Mendapatkan informasi bagaimana prosedur reparasi aktiva tetap.



Tabel 4.2 Program Audit Pada Operations Management Controls

110

4.2.2 Program Audit Pada Pengendalian Aplikasi

4.2.2.1 Program Audit Pada Input Control

No Tahap Pengujian

Input Control

Auditee Instrumen

1. Mendapatkan informasi tentang metode penginputan data yang digunakan (keyboarding, direct entry atau scanner).



2. Mengecek apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya.


Observasi, kuesioner dan Wawancara

3. Melakukan pengecekan dan peninjauan apakah data yang diinput telah berdasarkan dokumen sumbernya.



4. Mengecek apakah dilakukan pengarsipan atau pemberian tanda terhadap dokumen sumber yang telah diinput.



5. Melakukan pengecekan apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data.



6. Mengecek apakah kesalahan dalam penginputan dapat diubah.



7. Melakukan pengecekan apakah terdapat warning message apabila terjadi pemasukan data yang ganda



8. Mendapatkan informasi apakah yang mendelete atau mengupdate hanya dapat dilakukan oleh user tertentu yang diberi otorisasi.



9. Mendapatkan informasi mengenai menu peringatan jika data belum dibackup, maka proses tidak dilanjutkan.



10. Melakukan pengecekan apakah terdapat suatu pengkodean khusus untuk mengidentifikasi item barang, transaksi, dan lain – lain.



11. Meninjau apakah fasilitas menu memenuhi kebutuhan user



12. Melakukan pengecekan apakah dokumen yang diinput memiliki pre-printed-number.



111

13. Mendapatkan informasi apakah pernah terjadi human error dalam penginputan data.



14. Mendapatkan informasi apakah pernah terjadi manipulasi data oleh orang yang tidak berkepentingan.


Wawancara

15. Memeriksa apakah tampilan menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan



16. Memeriksa apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber.



17. Memeriksa apakah pada saat memasukkan kode barang, nama barang dan informasi yang berhubungan akan keluar secara otomatis.



18. Memeriksa kesesuaian pemakaian kode pada dokumen sumber dengan layar input.



Tabel 4.3 Program Audit Pada Input Controls

4.2.2.2 Program Audit Pada Boundary Control

No Tahap Pengujian

Boundary Control

Auditee Instrumen

1. Melakukan pengecekan apakah sistem menampilkan pesan jika verifikasi login tidak valid atau salah.



2. Mengecek apakah Sistem Informasi yang digunakan dilengkapi dengan akses login.


Observasi

3. Melakukan pengecekan apakah password yang ada menggunakan tehnik cryptography.



4. Mengecek apakah sistem membatasi ukuran/panjang password dan user name.



5. Mendapatkan informasi apakah password menggunakan variasi (angka & huruf) atau tidak.



6. Mendapatkan informasi mengenai fasilitas automatically warning jika user lupa

Bagian Akuntansi dan

Observasi, kuesioner

112

passwordnya. Keuangan dan Wawancara

7. Mendapatkan informasi mengenai prosedur perubahan dan penghapusan password (penghapusan terjadi jika pengguna sudah tidak ada lagi)



8. Mendapatkan informasi apakah terdapat hak akses dan pembatasannya yang dibagi berdasarkan jabatan pengguna.



9. Melakukan pengecekan setiap komputer apakah memiliki user protection untuk memastikan hanya orang berwenang yang mengakses komputer.



10. Mengecek apakah terdapat batasan kesalahan dalam penginputan akses login.



11. Mendapatkan juga informasi mengenai apakah terdapat batas waktu (time limit) dalam penggunaan ACCPAC jika user lupa atau tidak melakukan log off.



12. Memeriksa apakah pada ACCPAC terdapat audit trail.



Tabel 4.4 Program Audit Pada Boundary Control

4.2.2.3 Program Audit Pada Output Control

No Tahap Pengujian

Output Control

Auditee Instrumen

1. Mendapatkah informasi apakah laporan yang dihasilkan didistribusikan tepat waktu dan tepat sasaran.



2. Melakukan pengecekan apakah setiap laporan yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut, pihak yang berwenang menerimanya, dan otorisasi pihak yang membuat laporan.



3. Melakukan pengecekan apakah terdapat end of page jika laporan lebih dari 1 (satu) halaman



4. Mendapatkan informasi jenis laporan apa saja yang biasanya dicetak.

Bagian Akuntansi dan

Observasi dan

113

Keuangan Wawancara 5. Mendapatkan informasi apakah dilakukan

pemeriksaan ulang setelah laporan tersebut dicetak.



6. Melakukan pengecekan apakah Sistem Informasi Aktiva Tetap pada PT Triteguh Manunggal Sejati dapat menghasilkan laporan yang dibutuhkan.



7. Mendapatkan informasi apakah laporan dapat dicetak kembali jika ditemukan kesalahan.



8. Mendapatkan informasi tentang control terhadap penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan.



9. Mendapatkan informasi dan dokumentasi mengenai prosedur permintaan pencetakan laporan dan pendistribusiannya



10. Memeriksa apakah data yang diinput sama dengan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap



11. Mendapatkan informasi mengenai tampilan data dari database untuk setiap bagian


Observasi

12. Mendapatkan informasi apakah laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan



13. Mendapatkan informasi apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb).



14. Mendapatkan informasi apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala



Tabel 4.5 Program Audit Pada Output Controls

114

4.3. Pengumpulan Bukti Audit

4.3.1 Security Management Controls

Daftar Pertanyaan Kuesioner Pada Security Management Controls

No. Pertanyaan Y N Keterangan 1. Apakah terdapat user protection

dengan menggunakan password pada setiap komputer?

√ Perusahaan terbukti telah menerapkan penggunaan password dan user ID pada setiap komputer sebagai user protection

2. Apakah sering dilakukan penggantian password secara berkala atau rutin?

√ Penggantian password dilakukan satu bulan sekali secara rutin.

3. Apakah terdapat generator (genset) sebagai tindakan antisipasi jika listrik padam?

√ Genset diletakkan di ruang server

4. Apakah setiap komputer dilengkapi dengan UPS (Uninteruptable Power Supply) yang mampu menstabilkan tegangan listrik?

√

5. Apakah ada antivirus dalam perangkat komputer yang digunakan?

√ Setiap komputer menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat.

6. Apakah dilakukan scan virus secara rutin?

√ Karyawan tidak selalu melakukan scan virus pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk. Tetapi, Antivirus dilengkapi dengan fasilitas automatically clean ketika komputer dinyalakan sehingga virus dapat segera terdeteksi otomatis.

7. Apakah perusahaan memiliki alarm kebakaran otomatis?

√

8. Apakah perusahaan memiliki tabung pemadam kebakaran pada lokasi yang mudah diambil?

√ Perusahaan memiliki 3 buah tabung pemadam kebakaran yang terletak pada ruang komputer, ruang produksi, dan ruang formulasi.

115

9. Apakah perusahaan memiliki asuransi untuk aktiva tetap, seperti asuransi untuk gedung, kendaraan dan lain-lain?

√

10. Apakah dilakukan backup data untuk mencegah terjadinya kehilangan data?

√ Back up data dilakukan setiap hari oleh bagian IT.

11. Apakah ada prosedur recovery untuk perbaikan apabila telah terjadi bencana?

√

12. Apakah setiap karyawan memiliki ID Card atau kartu identitas karyawan?

√ Kartu identitas dilengkapi dengan foto karyawan dan barcode untuk absensi.

13. Apakah setiap tamu atau pihak luar yang akan masuk harus melapor ke pihak keamanan (security)?

√ Setiap tamu yang datang diwajibkan melapor kepada security terlebih dahulu dan menunggu di ruang tunggu.

14. Apakah karyawan diberikan larangan membawa makanan dan minuman di dekat peralatan komputer?

√

15. Apakah terdapat prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi?

√

16. Apakah terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen?

√ Pada bagian akuntansi tidak terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen. Namun, dokumen – dokumen yang sudah lewat satu tahun akan disimpan pada ruang arsip.

Tabel 4.6 Daftar Pertanyaan Kuesioner Pada Security Management Controls

Daftar Pertanyaan Wawancara pada Security Management Controls

No. Pertanyaan Jawaban 1. Bagaimana cara perusahaan

menerapkan user protection pada setiap komputer perusahaan?

Perusahaan menggunakan password dan user ID waktu hendak menggunakan komputer dan sebelum masuk ke dalam ACCPAC sebagai user protection.

2. Bagaimana perusahaan Perusahaan menggunakan genset yang akan

116

mengantisipasi jika listrik padam?

menyala otomatis ketika listrik terputus. Ketika pengukur menunjukkan genset sudah tidak stabil, maka secara otomatis UPS (Uninteruptable Power Supply) akan menggantikan genset untuk membuat server tetap menyala.

3. Bagaimana cara perusahaan untuk menstabilkan tegangan listrik?

Perusahaan menggunakan stabilizer dan UPS.

4. Bagaimana perusahaan mengantisipasi ancaman virus?

Perusahaan menggunakan antivirus yang terhubung dengan kantor pusat sehingga jika kantor pusat mengupdate antivirus, antivirus pada komputer-komputer akan terupdate secara otomatis.

5. Bagaimana mengantisipasi terjadinya kehilangan data – data penting perusahaan?

Perusahaan melakukan backup data secara otomatis dan rutin, 2 kali dalam sehari yaitu pada waktu istirahat dan sebelum pulang kerja. Selain itu, perusahaan juga mengbackup datanya pada CD atau external harddisk yang diberikan ke kantor pusat.

6. Bagaimana perusahaan mengantisipasi terjadinya bencana seperti kebakaran, banjir atau gempa?

Untuk mengantisipasi kebakaran, perusahaan memiliki tabung pemadam kebakaran dan memberikan larangan merokok di area kantor. Selain itu, pada setiap CPU komputer terdapat kerangka besi sebagai penopang untuk mengantisipasi terjadinya banjir.

7. Bagaimana prosedur recovery yang dilakukan untuk perbaikan setelah terjadi bencana?

Jika terjadi bencana, maka perusahaan akan menginstall ulang data-data dan software dari backup data yang dimiliki kantor pusat dan melakukan rencana pemulihan berikutnya.

8. Bagaimana prosedur yang diterapkan perusahaan jika ada pihak luar atau tamu?

Setiap tamu yang datang diwajibkan melapor kepada security dan menyebutkan nama karyawan yang akan ditemui, mencatat identitasnya di buku tamu, diberikan kartu identitas yang menunjukkan sebagai tamu dan menunggu di ruang tunggu.

9. Bagaimana sistem keamanan yang terdapat pada perusahaan untuk menghindari adanya penyusup?

Setiap karyawan menggunakan seragam dan memiliki kartu identitas karyawan sehingga security dapat membedakan antara karyawan dan yang bukan. Selain itu, tamu tidak diperkenankan masuk ke dalam tempat kerja.

117

10. Apakah perusahaan mengasuransikan aktiva tetapnya seperti gedung, kendaraan, mesin,dan lain-lain? Jika ya, mengapa perusahaan perlu mengasuransikan aktiva tetap?

Perusahaan telah mengasuransikan aktiva tetapnya. Sebagai contoh perusahaan asuransi yang digunakan perusahaan : asuransi ACA (untuk asuransi kendaraan), ISWARA (untuk finished good dan mesin). Hal itu untuk meminimalkan resiko jika terjadi bencana.

11. Bagaimana prosedur kebersihan aset dan ruangan yang menyimpan aset sistem informasi?

Prosedur kebersihan tergantung setiap departemen.

Tabel 4.7 Daftar Pertanyaan Wawancara Pada Security Management Controls

Temuan Evaluasi atas Pengendalian Manajemen Keamanan

a. Temuan Positif

- Terdapat user protection dengan menggunakan password dan user ID.

- Karyawan diharuskan melakukan penggantian password secara rutin.

- Terdapat generator (genset) sebagai tindakan antisipasi perusahaan jika listrik

padam.

- Komputer telah dilengkapi dengan UPS (Uninteruptable Power Supply) dan

stabilizer yang digunakan untuk menstabilkan tegangan listrik.

- Pengendalian preventif yang telah dilakukan perusahaan adalah dengan

menggunakan antivirus Symantec 2006 yang terhubung ke kantor pusat.

- Terdapat 3 buah tabung pemadam kebakaran yang terletak pada ruang

komputer, ruang produksi, dan ruang formulasi .

- Perusahaan telah mengantisipasi akibat terjadinya banjir dan gempa.

- Perusahaan telah mengasuransikan aktiva tetapnya

- Bagian IT melakukan backup data secara rutin setiap hari, yaitu pada waktu

istirahat dan sebelum pulang kerja.

- Terdapat prosedur recovery untuk perbaikan apabila telah terjadi bencana.

118

- Karyawan telah memiliki kartu identitas dilengkapi dengan foto dan barcode.

- Setiap tamu yang datang diwajibkan melapor kepada security.

b. Temuan Negatif

- Tidak dilakukan scan virus secara rutin.

- Tidak terdapat alarm kebakaran otomatis.

- Karyawan tidak diberikan larangan untuk membawa makanan di dekat

peralatan komputer.

- Tidak terdapat prosedur kebersihan aset sistem informasi.

- Tidak terdapat pemisahan antara ruang komputer dengan tempat

penyimpanan dokumen pada bagian akuntansi.

119

No. Temuan Penyebab Resiko atau Dampak Rekomendasi Tingkat Resiko

1. Tidak dilakukan scan virus secara rutin.

Kurangnya kesadaran karyawan akan resiko yang diakibatkan jika data terkena virus.

Menghambat proses kerja komputer perusahaan, data penting perusahaan dapat terkena virus, rusak, bahkan hilang. Selain itu, hardware yang digunakan pun dapat rusak. Jika hal ini tidak segera diatasi, maka dapat merusak data dan software serta mengganggu kegiatan operasional perusahaan. Kerugian finansial karena penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini.

Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau mengcopy file dari media eksternal seperti flashdisk.

Low

2. Tidak terdapat alarm kebakaran.

Karena perusahaan menganggap bahwa tabung pemadam kebakaran sudah tersedia untuk mengatasi kebakaran.

Tanpa adanya alarm, maka akan timbul kesulitan dan hambatan untuk pemberitahuan kepada seluruh karyawan dan sekitarnya bahwa terjadi kebakaran, sehingga tindakan penyelamatan terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat segera ditangani.

Meletakkan alarm kebakaran tempat yang strategis atau memberikan larangan merokok di area kantor karena dapat meminimalkan kerusakan dan kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada perusahaan berfungsi dengan baik.

Low

3. Karyawan tidak diberikan larangan untuk membawa makanan di dekat peralatan komputer.

Perusahaan kurang mempermasalahkan hal ini, karyawan dianggap mampu bertanggung-jawab atas setiap tindakannya.

Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak kabel-kabel, disk drive, harddisk, dll. Resiko lainnya adalah kinerja karyawan menjadi kurang

Memberikan larangan kepada karyawan untuk membawa makanan dan minuman ke dalam ruang atau peralatan komputer.

High

120

efektif dan efisien karena kurangnya konsentrasi dan disiplin.

4. Tidak terdapat prosedur kebersihan aset sistem informasi.

Kebersihan aset maupun ruangannya merupakan tanggung jawab masing-masing departemen.

Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll.

Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset perusahaan dapat beroperasi dengan baik. Menempelkan poster-poster atau kartu-kartu yang menarik mengenai kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat yang sering dilalui.

Low

5. Tidak terdapat pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi.

Untuk memudahkan bagian akuntansi dalam menggunakan dan mengarsip dokumen sumber.

Dapat terjadi kehilangan data akibat pencurian oleh pihak yang tidak berwenang dan terjadi manipulasi terhadap data, serta pengarsipan maupun penginputan data yang kurang efektif.

Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan dokumen pada bagian akuntansi.

Low

Tabel 4.8 Matriks Temuan, Resiko dan Rekomendasi pada Security Management Controls

121

4.3.2 Operations Management Controls

Daftar Pertanyaan Kuesioner Pada Operations Management Controls

No. Pertanyaan Y N Keterangan 1. Apakah ada pemisahan tugas dan

wewenang antara fungsi yang satu dengan yang lainnya dalam menggunakan ACCPAC?

√ Hal ini dapat terlihat pada ACCPAC, setiap bagian hanya dapat membuka aplikasi sesuai dengan tugas dan wewenangnya.

2. Apakah ada pelatihan secara khusus untuk setiap karyawan, khususnya karyawan baru?

√ Karyawan baru hanya diberikan arahan oleh manajer dalam menggunakan ACCPAC.

3. Apakah terdapat prosedur pengoperasian ACCPAC?

√ ACCPAC hanya digunakan pada jam kerja saja.

4. Apakah perusahaan telah memiliki Standard Operating Procedures (SOP)

√ Setiap bagian memiliki SOP yang membantu dalam melakukan tugas dan tanggung jawabnya, seperti Bagian Akuntansi yang memiliki SOP tentang penerimaan dan pembukuan barang umum

5. Apakah ada prosedur perawatan komputer untuk menghindari terjadinya kerusakan hardware atau software?

√

6. Apakah terdapat technical support yang membantu dalam menyelesaikan masalah yang berhubungan dengan hardware, software, dan database?

√ Technical support diberikan oleh Bagian IT.

7. Apakah absensi karyawan dikontrol menggunakan mesin absensi?

√ Alat absensi yang digunakan adalah mesin pencatat waktu kerja.

8. Apakah tampilan pada form input mudah dimengerti oleh user yang mengaksesnya?

√ Jika user mengalami masalah dalam proses input, manajer akan memberikan penjelasan dan arahan singkat.

9. Apakah ada manajemen pada penyimpanan data (File Library) dan proses posting data?

√

10. Apakah terdapat fasilitas menu help pada ACCPAC?

√

Tabel 4.9Daftar Pertanyaan Kuesioner Pada Operations Management Controls

122

Daftar Pertanyaan Wawancara Pada Operations Management Controls

No. Pertanyaan Jawaban 1. Bagaimana prosedur

pengoperasian ACCPAC? Untuk dapat terkoneksi ke jaringan, menggunakan password dan user ID sesuai dengan otorisasinya.

2. Pelatihan apa yang diberikan kepada karyawan terutama karyawan baru dalam pengoperasian ACCPAC?

Perusahaan memberikan pelatihan inhouse dengan diberikan arahan dalam penggunaan ACCPAC.

3. Apakah terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya? Jika ya, apakah karyawan sudah menjalankan tugas dan wewenangnya dengan baik?

Terdapat pemisahan tugas dan wewenang sesuai dengan fungsinya. Juga dilakukan penilaian terhadap kinerja karyawan setiap 6 bulan sekali untuk melihat apakah karyawan telah menjalankan tugas dan wewenangnya dengan baik.

4. Bagaimana prosedur perawatan untuk menghindari terjadinya kerusakan pada hardware dan software?

Perusahaan melakukan maintenance secara berkala sebulan sekali dan mengupgrade software – software, serta menghapus file – file sementara.

5. Jaringan atau networking apa yang digunakan perusahaan?

Perusahaan menggunakan LAN, sebagai jaringan yang digunakan untuk menghubungkan komputer internal perusahaan dan sharing folder dan data. Agar sharing data ke pusat lebih cepat, perusahaan menggunakan topologi star. Sedangkan WAN, sebagai penghubung antara perusahaan dengan kantor pusat dan cabang lain, menggunakan koneksi XL dengan kecepatan 128 Kbps.

6. Bagaimana perusahaan memanage penyimpanan data (File Library) dan proses posting data?

File-file yang sudah tidak terpakai akan disimpan pada ruang khusus. Untuk proses posting, hanya dapat dilakukan oleh manajer.

7. Metode apa yang digunakan perusahaan dalam penghitungan depresiasi? Kapan depresiasi aktiva tetap dilakukan?

Untuk depresiasi, perusahaan menggunakan Straight-line method (metode garis lurus). Depresiasi aktiva tetap dilakukan setelah 5 tahun pembelian setiap bulannya.

8. Bagaimana prosedur reparasi aktiva tetap?

Jika terdapat aktiva tetap yang memerlukan reparasi, maka bagian GA akan menghubungi supplier. Kemudian supplier akan datang ke perusahaan untuk memperbaiki. Setelah itu, supplier akan memberikan faktur sebagai biaya reparasi dan bagian akuntansi akan membuat BBK.

Tabel 4.10 Daftar Pertanyaan Wawancara Pada Operations Management Controls

123

Temuan Evaluasi atas Pengendalian Manajemen Operasional

a. Temuan Positif

- Terdapat pemisahan tugas dan wewenang dan dilakukan penilaian terhadap

kinerja karyawan setiap 6 bulan sekali.

- ACCPAC hanya digunakan pada jam kerja saja.

- Setiap bagian telah memiliki SOP yang membantu dalam melakukan tugas

dan tanggung jawabnya.

- Terdapat prosedur perawatan komputer secara berkala.

- Bagian IT yang membantu dalam menyelesaikan masalah yang berhubungan

dengan hardware, software, dan database.

- Perusahaan menggunakan alat absensi mesin pencatat waktu kerja.

- Form input pada ACCPAC cukup mudah dimengerti oleh user pada

umumnya.

- File-file yang sudah tidak terpakai akan disimpan pada ruang khusus.

- Komputer perusahaan terhubung dengan LAN dan WAN, serta menggunakan

topologi star.

- Depresiasi menggunakan metode Straight-line dan dilakukan setiap bulannya

setelah 5 tahun pembelian.

- Terdapat prosedur reparasi aktiva tetap.

b. Temuan Negatif

- Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan

ACCPAC.

- Tidak terdapat fasilitas menu help pada ACCPAC.

124

- Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam

transaksi maupun proses bisnis perusahaan (Gambar 4.1).

Gambar 4.1 – Tampilan Menu A/M

125


1. Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan ACCPAC.

Perusahaan telah memberikan pengarahan secara pribadi kepada karyawan baru dalam penggunaan ACCPAC.

Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan akan mengganggu kegiatan operasional perusahaan.

Berikan pelatihan secara khusus dan panduan kepada karyawan terutama karyawan baru yang akan menggunakan aplikasi tentang penggunaan ACCPAC.

Low

2. Tidak terdapat fasilitas menu help pada ACCPAC.

Perusahaan telah melakukan pemeriksaan secara manual untuk memastikan tidak terdapat kesalahan.

Dengan tidak adanya menu help maka dapat terjadi human error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan, kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak benar.

Menyediakan menu help pada ACCPAC karena dapat memberikan informasi kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke komputer dan mempermudah manajer dalam melakukan pemeriksaan.

Medium

3. Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam transaksi maupun proses bisnis perusahaan

Menu – menu tersebut sudah merupakan satu kesatuan dalam ACCPAC.

Menu – menu tersebut dapat membingungkan bagi karyawan yang baru menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat menimbulkan kesalahan dalam penginputan data.

Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung dalam proses bisnis perusahaan dan karyawan diberikan buku panduan tentang ACCPAC.

Low

Tabel 4.11 Matriks Temuan, Resiko dan Rekomendasi Pada Operations Management Controls

126

4.3.3 Input Controls

Daftar Pertanyaan Kuesioner Pada Input Controls

No. Pertanyaan Y N Keterangan 1. Apakah data yang diinput telah

berdasarkan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar?

√ Semua data yang diinput berdasarkan semua dokumen sumber.

2. Apakah terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya?

√ Hal ini dapat terlihat pada ACCPAC, bagian yang menginput data tidak dapat menggunakan menu cetak laporan (print).

3. Apakah karyawan yang melakukan entry data memiliki otorisasi?

√ Otorisasi telah diberikan kepada setiap karyawan untuk mencegah terjadinya manipulasi data

4. Apakah terdapat pesan kesalahan atau error message pada saat terjadi kesalahan dalam penginputan data?

√

5. Apakah kesalahan dalam penginputan dapat diubah?

√ Selama data belum diproses atau diposting maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang.

6. Apakah terdapat warning message apabila terjadi pemasukan data yang ganda?

√ Tidak terdapat warning message apabila terjadi pemasukan data yang ganda. Tetapi kode PO, BBM, BBK, Proposal Pengajuan yang sudah ada tidak dapat dimasukkan kembali.

7. Apakah dilakukan pengarsipan atau pemberian tanda terhadap Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput?

√ Pada Proposal Pengajuan Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput akan diberikan tanda dan akan disimpan sebagai arsip.

127

8. Apakah terdapat pengkodean untuk mengidentifikasi barang atau transaksi tertentu?

√ Pengkodean yang unik digunakan untuk mengidentifikasi barang atau transaksi tertentu.

9. Apakah ada kombinasi warna pada layar ACCPAC apabila user melakukan kesalahan dalam penginputan?

√

10. Apakah terdapat menu peringatan jika data belum dibackup?

√

11. Apakah fasilitas menu pada ACCPAC telah memenuhi kebutuhan user?

√

12. Apakah Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang di-input memiliki pre-printed-number?

√ Tidak terdapat pre-printed-number pada Bukti Bank Keluar.

13. Apakah terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber?

√ Manajer yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber

14. Apakah tampilan menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan?

√ Banyak kolom yang tidak diperlukan dalam tampilan input pada ACCPAC.

15. Apakah human error dalam penginputan data dapat diantisipasi dan dikendalikan?

√

16. Apakah pengendalian yang ada dapat mencegah manipulasi data oleh orang yang tidak berkepentingan?

√

Tabel 4.12 Daftar Pertanyaan Kuesioner Pada Input Controls

Daftar Pertanyaan Wawancara Pada Input Controls

No. Pertanyaan Jawaban 1. Bagaimana prosedur

penginputan pada ACCPAC? Melakukan seperti yang terdapat pada SOP.

2. Bagaimana proses pemisahan tugas antara pihak yang melakukan input data dengan

Terdapat pemisahan tugas antara yang melakukan input dan output. Yang melakukan input data adalah staf dan

128

yang mengeluarkan output Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap?

mengeluarkan outputnya adalah manajer.

3. Metode apa yang digunakan dalam penginputan data? Mengapa menggunakan metode tersebut?

Perusahaan masih menggunakan metode keyboarding karena untuk menginput kode dan angka belum memungkinkan menggunakan metode yang lain.

4. Bagaimana prosedur pengarsipan Proposal Pengajuan Investasi Aktiva Tetap, PO (Purchase Order), Bukti Barang Masuk, Bukti Bank Keluar yang telah diinput?

Seluruh dokumen yang ada akan disimpan sampai kurang lebih 10 tahun.

5. Bagaimana jika terjadi kesalahan dalam proses penginputan data?

Jika karyawan melakukan salah input kode, maka data akan ditolak. Tetapi jika salah input angka, maka pengendaliannya adalah koreksi oleh manajer. Lalu karyawan yang menginput memperbaikinya dan akan diperiksa kembali oleh manajer sebelum membuat laporan.

6. Apakah terdapat pengkodean khusus untuk mengidentifikasi item barang dan transaksi yang terjadi?

Setiap aset memiliki penomoran yang unik dan setiap dokumen terdapat nomor khusus berdasarkan nomor dokumen yang digunakan.

7. Apakah pernah terjadi human error dalam penginputan data? Jika pernah, apa yang dilakukan?

Pasti pernah terjadi human error dalam penginputan data. Untuk mengantisipasinya dilakukan pengecekan ulang letak kesalahannya oleh manajer.

8. Apakah pernah terjadi manipulasi data oleh orang yang tidak berkepentingan? Jika pernah, apa yang dilakukan?

Belum pernah terjadi, karena adanya pembatasan hak akses.

9. Apakah pada saat memasukkan kode barang, nama barang dan informasi yang berhubungan akan keluar secara otomatis?

Iya, karena di dalam database terdapat master barang sehingga pada saat input kode barang secara otomatis, nama barang akan muncul.

Tabel 4.13Daftar Pertanyaan Wawancara Pada Input Controls

129

Temuan Evaluasi atas Pengendalian Input

a. Temuan Positif

- Semua data yang diinput berdasarkan semua dokumen sumber.

- Terdapat pemisahan tugas antara pihak yang melakukan input data dengan

yang mengeluarkan output laporannya.

- Karyawan yang melakukan entry data telah memiliki otorisasi untuk

mencegah terjadinya manipulasi data

- Data masih dapat diubah dan diinput ulang. Selama data belum diproses atau

diposting

- Terdapat pengarsipan atau pemberian tanda terhadap Proposal Pengajuan

Investasi Aktiva Tetap, Purchase Order, Bukti Barang Masuk, Bukti Bank

Keluar yang telah diinput.

- Terdapat pengkodean yang unik untuk mengidentifikasi barang atau transaksi

tertentu.

- Fasilitas menu pada ACCPAC telah memenuhi kebutuhan user

- Manajer yang melakukan pengawasan terhadap keakuratan input data dengan

data pada dokumen sumber.

- Human error dalam penginputan data dapat diantisipasi dengan pengecekan

ulang yang dilakukan oleh manajer.

- Belum pernah terjadi manipulasi data oleh orang yang tidak berkepentingan

- Dalam penginputan data, perusahaan menggunakan metode keyboarding.

- Pada saat input kode barang, secara otomatis nama barang akan muncul.

130

b. Temuan Negatif

- Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan

data.

- Tidak terdapat preprinted-number pada Bukti Bank Keluar (Lampiran 32,

L30).

- Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.

- Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan

kesalahan dalam penginputan.

- Tampilan menu input kurang efektif dalam proses penginputan karena ada

kolom - kolom yang tidak terpakai. Contoh :

Gambar 4.2– Tampilan PO Entry

- Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi

ACCPAC.

- Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.

131


1. Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan data.

Data dalam ACCPAC tidak dapat diproses jika ada kesalahan.

Jika terjadi kesalahan dalam penginputan data maka akan menghabiskan waktu untuk melakukan pemeriksaan ulang letak kesalahannya.

Pada ACCPAC terdapat error message jika terjadi kesalahan dalam penginputan agar karyawan dapat segera memperbaikinya dan dilakukan verifikasi independent.

Low

2. Tidak terdapat preprinted-number pada Bukti Bank Keluar.

Yang bertanggung-jawab atas BBK hanya satu orang saja.

Pengeluaran tidak dapat dikendalikan dengan baik, memungkinkan penggunaan kas untuk hal pribadi atau kurang penting.

Bukti Bank Keluar sebaiknya memiliki preprinted-number dan dilakukan otorisasi serta pemisahan tugas dan fungsi. Selain untuk mencegah resiko-resiko, hal ini juga dapat memudahkan proses audit dan mendeteksi kesalahan maupun penyalahgunaan dana lebih cepat.

Medium

3. Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.

Perusahaan telah melakukan pemeriksaan secara manual.

Dapat terjadi redudansi data. Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih dari satu (pemeriksaan data).

Medium

4. Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan kesalahan dalam penginputan.

Pada ACCPAC tidak dilengkapi dengan kombinasi warna.

Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna pada tampilan dan dapat menghambat pekerjaan karyawan.

Menggunakan kombinasi warna yang membuat proses entry data dapat dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah (menggunakan warna – warna yang soft).

Medium

132

5. Tampilan menu input kurang efektif dalam proses penginputan.

Menu yang ada sudah diprogram pada saat pembuatan aplikasi.

Menu input yang tidak efektif dapat menghambat dalam proses penginputan data.

Perusahaan menggunakan sistem yang memiliki menu input cukup efektif untuk mempermudah dan mempercepat proses penginputan.

Low

6. Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi ACCPAC

Backup data hanya dapat dilakukan oleh manajer dan bagian IT saja.

Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting perusahaan.

Karyawan sebaiknya melakukan backup data setiap hari dan terdapat menu peringatan untuk mengingatkan user.

Low

7. Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.

Perusahaan telah menetapkan kode yang baru untuk PO dan BBM pada ACCPAC.

Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan dan mengalami kesulitan dalam penginputan data.

Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen sumber dan pada layar input.

Medium

Tabel 4.14

Matriks Temuan, Resiko dan Rekomendasi Pada Input Controls

133

4.3.4 Boundary Control

Daftar Pertanyaan Kuesioner Pada Boundary Controls

No. Pertanyaan Y N Keterangan 1. Apakah pada ACCPAC

menampilkan pesan jika verifikasi login tidak valid atau salah?

√ Jika password yang dimasukkan salah maka akan keluar peringatan atau invalid password.

2. Apakah pada ACCPAC dilengkapi dengan akses login?

√ ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.

3. Apakah password yang ada menggunakan teknik cryptography?

√

4. Apakah pada ACCPAC dibatasi ukuran/panjang password dan user name?

√ Panjang password yang digunakan tergantung dari user.

5. Apakah password menggunakan variasi (angka & huruf)?

√

6. Apakah terdapat prosedur penghapusan atau penggantian password?

√

7. Apakah terdapat prosedur bantuan jika user lupa passwordnya?

√

8. Apakah terdapat pembatasan hak akses yang dibagi berdasarkan jabatan pengguna?

√ Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang dimiliki karyawan.

9.

Apakah terdapat fasilitas automatically warning?

√

10.

Apakah pada ACCPAC dibatasi kesalahan dalam penginputan login akses?

√

11. Apakah terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off?

√

12 Apakah pada ACCPAC terdapat audit trail?

√

Tabel 4.15 Daftar Pertanyaan Kuesioner Pada Boundary Controls

134

Daftar Pertanyaan Wawancara Pada Boundary Controls

No. Pertanyaan Jawaban 1. Bagaimana respon dari

ACCPAC jika terjadi kesalahan login?

ACCPAC akan langsung menolak dan menu lain pada ACCPAC tidak dapat dibuka. Namun, tidak dibatasi kesalahan saat login.

2. Bagaimana prosedur penghapusan atau penggantian password?

Pada menu login terdapat menu change password untuk memudahkan karyawan melakukan perubahan password.

3. Bagaimana prosedur bantuan jika user lupa passwordnya?

Tidak terdapat prosedur bantuan jika user lupa passwordnya.

4. Apakah terdapat fasilitas automatically warning?

Tidak terdapat fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala.

5. Apakah ada kebijakan yang mengharuskan user mengubah passwordnya secara berkala?

Perusahaan membuat kebijakan agar user mengganti passwordnya sebulan sekali.

6. Apa respon ACCPAC apabila user tidak melakukan log off dan bagaimana sistem pengamanannya?

Perusahaan hanya menghimbau karyawan agar tidak lupa log off apabila menggunakan ACCPAC.

Tabel 4.16 Daftar Pertanyaan Wawancara Pada Boundary Controls

Temuan Evaluasi atas Pengendalian Boundary

a. Temuan Positif

- Terdapat peringatan invalid password jika password yang dimasukkan salah

(Lampiran 3, L2).

- Password yang diinput pada menu login ACCPAC menggunakan teknik

cryptography.

- ACCPAC dilengkapi dengan akses login yang berupa password dan user ID.

- Password telah menggunakan variasi angka dan huruf agar tidak mudah

diketahui oleh orang lain.

- Pada menu login terdapat menu change password untuk memudahkan

karyawan melakukan perubahan password (Lampiran 2, L2).

135

- Hak akses telah dibagi berdasarkan jabatan pengguna dan user ID yang

dimiliki karyawan.

b. Temuan Negatif

- Panjang password yang digunakan tidak dibatasi oleh ACCPAC.

- Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi

ACCPAC.

- Tidak terdapat pembatasan umur password beserta fasilitas automatically

warning yang mengingatkan user untuk mengganti passwordnya secara

berkala.

- Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC

jika user lupa atau tidak log off.

- Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC.

- ACCPAC tidak memiliki audit trail.

136


1. Panjang password yang digunakan tidak dibatasi oleh ACCPAC.

Aplikasi tidak dilengkapi dengan fasilitas tersebut.

Setiap user dapat memiliki panjang password yang berbeda – beda dan password yang digunakan dapat mudah ditebak.

Batasi panjang password sebanyak 6 karakter dan dilakukan invisible password.

Low

2. Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi ACCPAC.

Tidak tersedia prosedur bantuan pada ACCPAC jika user lupa passwordnya.

Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC dan harus menghubungi bagian IT di kantor pusat.

Pada ACCPAC disediakan menu help dan diberikan buku panduan jika karyawan lupa akan passwordnya.

Low

3. Tidak terdapat pembatasan umur password beserta fasilitas automatically warning yang mengingatkan user untuk mengganti passwordnya secara berkala.

Karyawan di perusahaan pada setiap bagian tidak terlalu banyak, sehingga ada anggapan bahwa karyawan dapat diperingatkan secara langsung.

Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang.

Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh memberitahukan password kepada orang lain dan selalu mengganti password secara rutin.

High

4. Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC

Jumlah karyawan yang tidak terlalu banyak dan saling kenal, menimbulkan anggapan bahwa hal tersebut tidak menjadi persoalan.

Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang untuk dapat mengakses ACCPAC.

Melakukan enkripsi dan invisible password, dengan menentukan batasan kesalahan dalam menginput password sebanyak 3 kali dan jika

High

137

melewati batas tersebut maka ACCPAC akan tertutup secara otomatis.

5. Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC jika user lupa atau tidak log off.

Selain aplikasi tidak dilengkapi dengan fasilitas tersebut, perusahaan telah menggunakan time limit (batas waktu login) pada saat komputer tidak digunakan.

Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan memodifikasi aset perusahaan pada saat komputer baru ditinggalkan beberapa saat.

Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup sehingga user harus memasukkan user ID dan password kembali.

High

6. ACCPAC tidak memiliki audit trail.

Sistem Informasi perusahaan belum pernah diaudit oleh auditor eksternal.

Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk mengetahui aktivitas user mulai dari login, proses selama penggunaan aplikasi, hingga log off .

Sebaiknya dibuat audit trail pada ACCPAC.

Medium

Tabel 4.17

Matriks Temuan, Resiko dan Rekomendasi Pada Boundary Controls

138

4.3.5 Output Control

Daftar Pertanyaan Kuesioner Pada Output Controls

No. Pertanyaan Y N Keterangan 1. Apakah Laporan Keuangan,

Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan didistribusikan secara tepat waktu?

√ Karyawan telah diberikan deadline, kapan laporan-laporan tersebut harus dibuat dan didistribusikan.

2. Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak?

√

3. Apakah ACCPAC yang digunakan pada PT Triteguh Manunggal Sejati dpt menghasilkan laporan yg dibutuhkan?

√

4. Apakah terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC?

√

5. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi disimpan dengan baik (tidak akan dihancurkan)?

√

6. Apakah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang berkepentingan?

√

7. Apakah setiap Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang dihasilkan sudah tercantum control page, control copy, judul, tanggal, periode, nomor urut,

√ Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan

139

pihak yang berwenang menerimanya, otorisasi pihak yang membuat laporan?

Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.

8. Apakah terdapat end of page jika Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap lebih dari 1 (satu) halaman?

√ Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan, setiap halaman pada laporan terdapat page number.

9. Apakah terdapat pengklasifikasian laporan (rahasia, umum, dsb).

√

10. Apakah dilakukan control terhadap jumlah kertas yang digunakan secara berkala?

√

Tabel 4.18 Daftar Pertanyaan Kuesioner Pada Output Controls

Daftar Pertanyaan Wawancara Pada Output Controls

No. Pertanyaan Jawaban 1. Bagaimana prosedur permintaan

pencetakan Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dan pendistribusiannya?

Laporan dibuat setiap bulannya. Prosedur pencetakan mulai dari orang yang berwewenang mencetak laporan memberikan kepada manajer, lalu manajer memberikan kepada kantor pusat dalam bentuk softcopy, tidak dalam bentuk dokumen (hardcopy).

2. Jenis laporan apa saja yang biasanya dicetak?

Perusahaan jarang melakukan pencetakan terhadap laporan karena biasanya laporan diberikan ke kantor pusat dalam bentuk softcopy.

3. Apakah dilakukan pemeriksaan ulang setelah Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap tersebut dicetak? Jika ya, bagaimana prosedur pemeriksaannya?

Laporan tersebut semua akan diperiksa oleh manajer pada departemen yang terkait dan kemudian dikirimkan kepada kantor pusat.

4. Bagaimana jika ditemukan kesalahan pada Laporan Keuangan, Laporan Pembelian

Jika ditemukan kesalahan pada Laporan, maka laporan tersebut akan diperbaiki. Laporan tersebut dapat dicetak lagi dan

140

dan Penerimaan Barang dan Laporan Aktiva tetap yang telah dicetak? Apakah laporan tersebut dapat dicetak lagi?

tidak ada ketentuan sampai berapa kali laporan tersebut boleh dicetak.

5. Apakah terdapat control terhadap penghancuran Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan?

Seperti telah disebutkan di atas, laporan yang sudah tidak dibutuhkan tidak boleh dihancurkan dan disimpan sampai kurang lebih sampai waktu 10 tahun agar memudahkan dalam proses audit.

Tabel 4.19 Daftar Pertanyaan Wawancara Pada Output Control

Temuan Evaluasi atas Pengendalian Output

a. Temuan Positif

- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan

Aktiva tetap telah didistribusikan tepat waktu.

- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan

Laporan Aktiva tetap akan diperiksa ulang oleh manajer pada departemen

yang terkait.

- ACCPAC yang digunakan telah dapat menghasilkan laporan yang

dibutuhkan.

- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang, dan

Laporan Aktiva tetap yang sudah tidak dibutuhkan tidak boleh dihancurkan.

- Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan

Aktiva tetap yang dihasilkan telah didistribusikan kepada pihak yang

berkepentingan.

- Untuk memudahkan pemeriksaan laporan dan mengurangi resiko kesalahan,

setiap halaman pada laporan terdapat page number (Lampiran 23, L21).

141

- Terdapat pengklasifikasian laporan (rahasia, umum, dsb).

b. Temuan Negatif

- Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan

Pembelian dan Penerimaan Barang, dan Laporan Aktiva tetap dapat dicetak

pada ACCPAC.

- Kode PO dan BBM pada layar input tidak sama dengan format Laporan

Pembelian dan Penerimaan Barang.

- Pada semua laporan tidak terdapat keterangan pihak yang berwenang

menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada

Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak

tercantum control page, control copy, judul, tanggal, periode dan nomor urut.

- Tidak dilakukan control terhadap jumlah kertas yang digunakan secara

berkala.

142


1. Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak pada ACCPAC.

Agar pencetakan laporan lebih praktis dan mudah dicetak ketika dibutuhkan.

Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat menimbulkan resiko laporan akan kehilangan kerahasiaannya.

Diberikan batasan dalam pencetakan laporan jika ditemukan kesalahan dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan serta pemisahan tugas dan fungsi.

Medium

2. Kode PO dan BBM pada layar input tidak sama dengan format Laporan Pembelian dan Penerimaan Barang

Laporan Pembelian dan Penerimaan Barang tidak dicetak melalui ACCPAC

Membingungkan karyawan yang melakukan input data, sehingga memungkinkan terjadinya kesalahan dalam pembuatan laporan.

Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan format Laporan Pembelian dan Penerimaan Barang.

Medium

3. Pada semua laporan tidak terdapat keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak tercantum control page, control copy, judul, tanggal, periode dan nomor urut.

Laporan sudah dibuat setiap bulannya dan diberikan dalam bentuk softcopy.

Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah

Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang harus tercantum control page, control copy, judul, tanggal, periode, nomor urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak yang membuat laporan.

High

143

4. Tidak dilakukan control terhadap jumlah kertas yang digunakan secara berkala

Penggunaan kertas pada perusahaan kurang diperhatikan dan perusahaan jarang melakukan pencetakan laporan.

Inefektif dan inefisien dalam penggunaan kertas dan dapat mengakibatkan kerugian finansial pada perusahaan.

Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap bulannya.

Medium

Tabel 4.20 Matriks Temuan, Resiko dan Rekomendasi Pada Output Control

4.4. Matriks Penilaian Resiko dan Pengendalian

4.4.1 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control

No. Resiko I L Nilai Resiko

Pengendalian D E Nilai Pengendalian

Jumlah Penilaian

1. Rusaknya data, hardware dan software karena virus.

-2 -2 -4 Perusahaan melakukan upgrade software – software dan backup data secara otomatis dan rutin, 2 kali dalam sehari serta memiliki antivirus dengan fasilitas automatically clean sehingga virus dapat segera terdeteksi secara otomatis.

2 2 4 0

2. Terhambat dalam pemberitahuan

-3 -1 -3 Terdapat 3 buah tabung pemadam kebakaran yang

1 3 3 0

144

kebakaran dan tindakan penyelamatan terhadap aset ataupun karyawan.

terletak pada ruang komputer, ruang produksi, dan ruang formulasi serta diberikan larangan merokok di area kantor.

3. Makanan ataupun minuman yang tumpah dapat mengakibatkan polusi yang dapat merusak disk drive, harddisk, dll.

-3 -2 -6 0 0 0

-6

4. Kerusakan aset sistem informasi.

-3 -1 -3 Perusahaan telah melakukan perawatan secara rutin dan mengasuransikan aktiva tetapnya.

1 3 3 0

5. Pencurian aset dan manipulasi data.

-3 -1 -3 Terdapat petugas keamanan untuk mengantisipasi pencurian aset.

2 1 2 -1

Tabel 4.21 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Security Management Control

4.4.2 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control



Jumlah Penilaian

1. Karyawan kesulitan dalam penggunaan ACCPAC.

-3 -1 -3 Manajer memberikan pengarahan dalam penggunaan ACCPAC dan karyawan dapat

1 2 2 -1

145

bertanya kepada manajer jika mengalami kesulitan.

2. Human error -3 -2 -6 Manajer melakukan pemeriksaan ulang data yang diinput. Adanya penolakan penyimpanan data jika karyawan melakukan salah input kode.

3 1 3 -3

3. Menu pada ACCPAC membingungkan dan menghambat kinerja karyawan.

-2 -1 -2 Diberikan pengarahan oleh manajer untuk karyawan baru dalam penggunaan ACCPAC.

1 2 2 0

Tabel 4.22 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Operations Management Control

4.4.3 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control



Jumlah Penilaian

1. Waktu banyak terbuang karena memeriksa letak kesalahan dalam penginputan.

-3 -1 -3 Perusahaan menghimbau agar karyawan tidak melakukan kesalahan dalam penginputan data.

1 2 2 -1

2. Penggunaan kas untuk keperluan pribadi

-3 -2 -6 Terdapat pemisahan tugas dan fungsi. Selain itu, pengeluaran kas diotorisasi oleh satu orang saja.

1 2 2 -4

3. Redudansi data -3 -1 -3 0 0 0 -3 4. Kesalahan dalam entry -3 -2 -6 Selama data belum diproses 1 3 3 -3

146

data. atau diposting ke dalam database permanen, maka data tersebut masih dapat diubah dengan menyeimbangkan input yang salah, dan kemudian melakukan input ulang.

5. Menghambat dalam proses penginputan data.

-2 -1 -2 Menu sudah diprogram sejak awal implementasi ACCPAC.

1 2 2 0

6. Lupa melakukan backup data sehingga informasi tidak up to date dan kehilangan data – data penting perusahaan

-3

-2

-6 Perusahaan telah melakukan backup data secara rutin.

2

2 4

-2

7. Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data antara dokumen sumber dan layar input.

-3 -2 -6 Dokumen sumber disimpan dan dikelompokkan berdasarkan tanggal transaksi.

3 1 3 -3

4.4.4 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control



Jumlah Penilaian

1. Password yang digunakan dapat mudah ditebak

-2 -2 -4 Dilakukan enkripsi dan invisible password.

2 1 2 -2

Tabel 4.23 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Input Control

147

2. Karyawan tidak dapat menggunakan ACCPAC karena lupa password.

-3 -1 -3 Meminta bantuan kepada bagian IT.

1 3 3 0

3. Penyalahgunaan wewenang (mengakses, membuka dan mengcopy tanpa wewenang).

-3 -3 -9 Terdapat kebijakan yang tidak memperbolehkan karyawan memberitahukan password kepada orang lain, mengharuskan user melakukan log off ketika komputer tidak digunakan/ditinggal, mengganti password secara rutin, serta terdapat enkripsi dan invisible password

3 1 3 -6

4. Proses audit dapat terhambat

-3 -2 -6 Dokumentasi dokumen – dokumen penting perusahaan dan backup data – data perusahaan secara rutin.

1 2 2 -4

Tabel 4.24 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Boundary Control

4.4.5 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control



Jumlah Penilaian

1. Laporan dimodifikasi oleh pihak tidak berwenang.

-3 -2 -6 Otorisasi dalam pembuatan laporan.

1 2 2 -4

148

2. Pencurian laporan -3 -2 -6 Pembatasan dan pengawasan dalam pencetakan laporan dan diberikan otorisasi serta pemisahan tugas dan fungsi.

3 2 6 0

3.

Kesalahan dalam pembuatan laporan.

-3 -2 -6 Perbaikan kesalahan untuk laporan yang salah. Laporan tersebut dapat dicetak lagi dan tidak ada pembatasan berapa kali laporan tersebut boleh dicetak.

1 2 2 -4

4.

Penyalahgunaan laporan -3 -3 -9 Dilakukan otorisasi serta pemisahan tugas dan fungsi dalam pembuatan laporan. Selain itu, perusahaan juga jarang dalam melakukan pencetakan laporan.

3 1 3 -6

5.

Inefektif dan inefisiensi dalam penggunaan kertas (kerugian finansial).

-2 -2 -4 0 0 0 -4

Tabel 4.25 Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Output Control

Keterangan : I : Impact (Dampak dari resiko yang ada). D : Design (Seberapa baik desain pengendalian yang ada).

L : Likelihood (Tingkat keterjadian resiko yang ada) E : Effectiveness (Tingkat pelaksanaan dalam menjalankan control). Jumlah Penilaian Tingkat Resiko : - High : Antara -6 sampai -9 - Low : Antara -2 sampai 0 - Medium : Antara -3 sampai -5

149

4.5. Laporan Audit

LAPORAN HASIL EVALUASI SISTEM INFORMASI AKTIVA TETAP

PADA PT.TRITEGUH MANUNGGAL SEJATI

Berikut ini merupakan hasil laporan evaluasi sistem informasi aktiva tetap pada

PT TRITEGUH MANUNGGAL SEJATI yang terdiri dari pengendalian umum dan

pengendalian aplikasi. Evaluasi dilakukan mulai dari bulan September 2007 sampai

dengan Desember 2007.

A. Ruang Lingkup Evaluasi

Ruang lingkup evaluasi dibatasi oleh auditor menjadi :

1. Evaluasi sistem informasi aktiva tetap pada PT. TRITEGUH MANUNGGAL

SEJATI, mulai dari pembelian aktiva tetap secara kredit, pembayaran, perbaikan

(reparasi), penyusutan (depresiasi) sampai dengan penghapusan (disposal) aktiva

tetap tersebut.

2. Aktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor.

3. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi dilakukan

pada pengendalian umum (general control) dan pengendalian aplikasi

(application control).

• Pengendalian umum yang akan dibahas oleh penulis, yaitu :

a. Pengendalian Manajemen Keamanan (Security Management Control).

b. Pengendalian Manajemen Operasi (Operations Management Control).

• Pengendalian aplikasi yang akan dibahas oleh penulis, yaitu:

150

d. Pengendalian Masukan (Input Control)

e. Pengendalian Keluaran (Output Control)

f. Pengendalian Batasan (Boundary Control)

B. Tujuan Pelaksanaan Evaluasi

Tujuan dari pelaksanaan evaluasi sistem informasi aktiva tetap adalah sebagai

berikut:

1. Untuk mengetahui dan mengevaluasi apakah sistem informasi aktiva tetap yang

terdapat pada PT. TRITEGUH MANUNGGAL SEJATI sudah sesuai dengan

standard dan business process.

2. Untuk mengidentifikasi permasalahan atau kelemahan, risiko yang mungkin

timbul, dan bahkan kelebihan yang terdapat pada sistem informasi aktiva tetap

PT. TRITEGUH MANUNGGAL SEJATI.

3. Untuk mengevaluasi apakah pengendalian-pengendalian yang diterapkan PT.

TRITEGUH MANUNGGAL SEJATI mampu meminimalisasi resiko yang ada.

4. Memastikan output yang dihasilkan sesuai dengan hasil input yang telah diproses

sehingga output yang dihasilkan dapat dipercaya.

C. Metode Audit

Metode audit yang digunakan oleh auditor adalah :

1. Studi Pustaka

Mempelajari dan membaca buku – buku yang berhubungan dengan audit sistem

informasi aktiva tetap sebagai landasan teori dalam pelaksanaan audit.

2. Wawancara

151

Melakukan wawancara secara langsung dengan Manajer Akuntansi dan

Keuangan untuk mengetahui sistem informasi aktiva tetap yang telah digunakan

PT. TRITEGUH MANUNGGAL SEJATI.

3. Observasi

Melakukan pengamatan secara langsung pada PT. TRITEGUH MANUNGGAL

SEJATI untuk mengetahui keadaan perusahaan dan untuk melakukan

pembuktian atas informasi yang diperoleh melalui metode audit lain seperti

kuesioner.

4. Kuesioner

Membuat daftar pertanyaan – pertanyaan dan menyebarkannya ke bagian yang

terkait untuk mendapatkan informasi yang mendukung dalam proses audit.

D. Hasil Audit

Hasil Audit Pada Pengendalian Umum

I. Security Management Controls

1. Temuan audit :

Tidak dilakukan scan virus secara rutin.

Resiko:

Selain dapat menghambat proses kerja komputer perusahaan, data penting

perusahaan pun dapat terkena virus, rusak, dan bahkan hilang. Jika hal ini

tidak segera diatasi, maka dapat merusak data dan software serta

mengganggu kegiatan operasional perusahaan. Kerugian finansial karena

penggantian perangkat terus-menerus juga dapat disebabkan oleh hal ini.

Rekomendasi:

152

Scanning virus secara otomatis di seluruh komputer setiap hari secara rutin

pada saat komputer dinyalakan. Selain itu, juga pada saat membuka atau

mengcopy file dari media eksternal seperti flashdisk.

2. Temuan audit :

Tidak terdapat alarm kebakaran.

Resiko:

Kesulitan dan hambatan untuk memberitahukan kepada seluruh karyawan

dan sekitarnya akan terjadinya kebakaran, sehingga tindakan penyelamatan

terhadap aset ataupun karyawan menjadi lama dan kebakaran tidak dapat

segera ditangani. Hal ini dapat menyebabkan kerugian yang cukup besar dan

berpengaruh bagi kegiatan bisnis maupun keuangan perusahaan.

Rekomendasi:

Meletakkan alarm kebakaran tempat yang strategis atau memberikan

larangan merokok di area kantor karena dapat meminimalkan kerusakan dan

kerugian akibat kebakaran. Serta memastikan alat pemadam kebakaran pada

perusahaan berfungsi dengan baik.

3. Temuan audit :

Karyawan tidak diberikan larangan membawa makanan di dekat peralatan

komputer.

Resiko:

Makanan ataupun minuman yang tumpah dapat mengakibatkan ruangan

menjadi kotor dan mendatangkan serangga ataupun tikus yang dapat merusak

kabel-kabel, yang dapat merusak disk drive, harddisk, dll. Resiko lainnya

153

adalah kinerja karyawan menjadi kurang efektif dan efisien karena kurangnya

konsentrasi dan disiplin.

Rekomendasi:

Memberikan larangan kepada karyawan untuk tidak membawa makanan dan

minuman ke dalam ruang atau peralatan komputer. Perusahaan juga perlu

mensosialisasikan prosedur kebersihan kepada seluruh karyawan.

4. Temuan audit :

Tidak terdapat prosedur kebersihan aset sistem informasi.

Resiko:

Karyawan tidak memiliki awareness terhadap resiko keamanan aset sistem

informasi dan akibat yang ditimbulkan dari kecerobohan ini. Hal ini juga

dapat mengakibatkan kerusakan pada aset seperti debu, kebakaran, dll.

Rekomendasi:

Lakukan prosedur kebersihan aset sistem informasi dengan baik agar aset

perusahaan dapat beroperasi dengan baik. Agar prosedur kebersihan

dilakukan dengan baik oleh seluruh karyawan, perusahaan dapat

menempelkan poster-poster atau kartu-kartu yang menarik mengenai

kebersihan, hal-hal yang perlu dan tidak boleh dilakukan, di tempat-tempat

yang sering dilalui.

5. Temuan audit :

Tidak terdapat pemisahan antara ruang komputer dengan tempat

penyimpanan dokumen pada bagian akuntansi.

Resiko:

154

Dapat terjadi kehilangan data akibat pencurian oleh pihak yang tidak

berwenang dan terjadi manipulasi terhadap data, serta pengarsipan maupun

penginputan data yang kurang efektif.

Rekomendasi:

Dilakukan pemisahan antara ruang komputer dengan tempat penyimpanan

dokumen pada bagian akuntansi.

II. Operations Management Controls

1. Temuan audit :

Tidak terdapat pelatihan khusus untuk karyawan baru dalam menggunakan

ACCPAC.

Resiko:

Karyawan dapat mengalami kesulitan dalam menggunakan ACCPAC dan

akan mengganggu kegiatan operasional perusahaan.

Rekomendasi:

Berikan pelatihan secara khusus dan panduan kepada karyawan terutama

karyawan baru yang akan menggunakan aplikasi tentang penggunaan

ACCPAC.

2. Temuan audit :

Tidak terdapat fasilitas menu help pada ACCPAC.

Resiko:

Dengan tidak adanya menu help maka ada kemungkinan terjadinya human

error, karyawan tidak dapat mengetahui letak kesalahan yang dilakukan dan

tidak dapat dengan segera memperbaikinya. Apabila terlalu lama dibiarkan,

155

kesalahan mungkin tidak diperbaiki, sehingga laporan yang dihasilkan tidak

benar.

Rekomendasi:

Menyediakan menu help pada ACCPAC karena dapat memberikan informasi

kepada karyawan apa yang harus dilakukan ketika melakukan entry data ke

komputer dan mempermudah manajer dalam melakukan pemeriksaan.

3. Temuan audit :

Terdapat beberapa menu pada ACCPAC yang tidak digunakan dalam

transaksi maupun proses bisnis perusahaan.

Resiko:

Menu – menu tersebut dapat membingungkan bagi karyawan yang baru

menggunakan ACCPAC dan menghambat kinerja karyawan serta dapat

menimbulkan kesalahan dalam penginputan data

Rekomendasi:

Sebaiknya menu – menu pada ACCPAC dapat digunakan dan mendukung

dalam proses bisnis perusahaan. Dan yang terpenting adalah karyawan

diberikan buku panduan ataupun penjelasan lisan yang terperinci tentang

ACCPAC.

III. Input Control

1. Temuan audit :

Tidak terdapat error message pada saat terjadi kesalahan dalam penginputan

data.

Resiko:

156

Jika terjadi kesalahan dalam penginputan data, waktu yang dibutuhkan untuk

menemukan letak kesalahan lebih lama dibandingkan dengan adanya error

message.

Rekomendasi:

Pada ACCPAC ditambahkan fungsi error message, sehingga karyawan dapat

segera memperbaiki jika terjadi kesalahan dalam penginputan. Selain itu,

verifikasi independent juga dapat dilakukan untuk mengatasi hal ini.

2. Temuan audit :

Tidak terdapat pre-printed-number pada Bukti Bank Keluar.

Resiko:

Pengeluaran tidak dapat dikendalikan dengan baik, memungkinkan

penggunaan kas untuk hal pribadi atau kurang penting. Dalam jangka

panjang, hal ini dapat mempengaruhi efektifitas dan efisiensi penggunaan kas

dan membawa dampak negatif bagi keuangan perusahaan.

Rekomendasi:

Bukti Bank Keluar sebaiknya memiliki pre-printed-number dan dilakukan

otorisasi serta pemisahan tugas dan fungsi. Selain untuk mencegah resiko-

resiko, hal ini juga dapat memudahkan proses audit dan mendeteksi

kesalahan maupun penyalahgunaan dana lebih cepat.

3. Temuan audit :

Tidak terdapat warning message apabila terjadi pemasukan data yang ganda.

Resiko:

Dapat terjadi redudansi data, yang juga memungkinkan kesalahan pembuatan

laporan dan evaluasi laporan yang salah.

157

Rekomendasi:

Perusahaan memiliki mekanisme untuk mencegah input transaksi yang lebih

dari satu (pemeriksaan data). Hal ini juga sebagai upaya untuk menghindari

terjadinya manipulasi data yang ilegal.

4. Temuan audit :

Tidak ada kombinasi warna dalam aplikasi ACCPAC apabila user melakukan

kesalahan dalam penginputan.

Resiko:

Dapat terjadi kesalahan dalam entry data karena tidak ada perbedaan warna

pada tampilan dan dapat menghambat pekerjaan karyawan.

Rekomendasi:

Menggunakan kombinasi warna yang membuat proses entry data dapat

dilakukan dengan cepat, tepat dan tidak membuat operator cepat lelah

(menggunakan warna – warna yang soft).

5. Temuan audit :

Tampilan menu input kurang efektif dalam proses penginputan karena ada

kolom-kolom yang tidak terpakai.

Resiko:

Menghambat proses penginputan data, menimbulkan kesalahan dalam

penginputan dari dokumen sumber.

Rekomendasi:

Perusahaan menggunakan sistem yang memiliki menu input cukup efektif

untuk mempermudah dan mempercepat proses penginputan. Untuk sistem

yang sudah berjalan, untuk setiap karyawan yang belum dapat menggunakan

158

ACCPAC dengan baik, sebaiknya diberikan pelatihan dan pendalaman

khusus terhadap ACCPAC. Kesalahan-kesalahan seperti ini meskipun

bersifat tidak material, akan tetapi dapat menghambat proses bisnis

perusahaan jika dibiarkan terlalu lama terjadi.

6. Temuan audit :

Tidak terdapat menu peringatan jika data belum dibackup pada aplikasi

ACCPAC

Resiko:

Karyawan dapat lupa melakukan backup data sehingga informasi tidak up to

date. Jika terjadi bencana, maka dapat terjadi kehilangan data – data penting

perusahaan

Rekomendasi:

Karyawan sebaiknya melakukan backup data setiap hari dan disediakan menu

peringatan untuk mengingatkan user. Hal lain yang bisa dilakukan adalah

dengan membuat peringatan-peringatan tertulis untuk melakukan backup

data, seperti membuat screensaver pada komputer yang bertuliskan untuk

backup data, membuat catatan pengingat pada setiap komputer, dan

sebagainya.

7. Temuan audit :

Kode PO dan BBM pada dokumen sumber tidak sama dengan layar input.

Resiko:

Dapat mengalami kesulitan dan hambatan jika dilakukan pemeriksaan data

antara dokumen sumber dan layar input. Hal ini juga berakibat kesalahan

159

dalam membuat laporan. Selain itu, karyawan dapat melakukan kesalahan

dan mengalami kesulitan dalam penginputan data.

Rekomendasi:

Perusahaan menggunakan kode PO dan BBM yang sama pada dokumen

sumber dan pada layar input.

IV. Boundary Control

1. Temuan audit :

Panjang password yang digunakan tidak dibatasi oleh ACCPAC.

Resiko:

Setiap user dapat memiliki panjang password yang berbeda – beda dan

password yang digunakan dapat mudah ditebak.

Rekomendasi:

Batasi panjang password sebanyak 6 karakter dan dilakukan invisible

password.

2. Temuan audit :

Tidak terdapat prosedur bantuan jika user lupa passwordnya dalam aplikasi

ACCPAC.

Resiko:

Hal ini dapat memperlambat karyawan dalam mengakses ACCPAC. Selain

itu, ada kemungkinan karyawan juga tidak dapat menggunakan ACCPAC

dan harus menghubungi bagian IT di kantor pusat

Rekomendasi:

Pada ACCPAC disediakan menu help dan diberikan fasilitas pertanyaan

keamanan pada sistem jika karyawan lupa akan passwordnya. Alternatif lain

160

adalah dengan membuat prosedur penggantian password yang mudah

dimengerti oleh user.

3. Temuan audit :

Tidak terdapat pembatasan umur password beserta fasilitas automatically

warning yang mengingatkan user untuk mengganti passwordnya secara

berkala.

Resiko:

Password dapat diketahui oleh pihak lain dan dapat terjadi penyalahgunaan

wewenang yaitu mengakses, membuka dan mengcopy tanpa wewenang

Rekomendasi:

Dibuat pembatasan umur password (kadaluarsa password). Tidak boleh

memberitahukan password kepada orang lain dan selalu mengganti password

secara rutin. Sebaiknya diberikan kebijakan dalam penjadwalan untuk

melakukan perubahan password yang dilakukan tiga bulan satu kali dengan

menentukan tanggal perubahan. Jadi perubahan password dilakukan secara

serentak oleh setiap karyawan. Misalnya, dari tanggal 23 sampai dengan

tanggal 30 Desember adalah jangka waktu untuk merubah password.

Karyawan yang terlambat harus menerima konsekuensinya, yaitu user tidak

dapat menggunakan ACCPAC.

4. Temuan audit :

Tidak dibatasi kesalahan dalam penginputan login akses pada ACCPAC

Resiko:

Memberikan peluang tidak terbatas kepada pihak yang tidak berwenang

untuk dapat mengakses ACCPAC.

161

Rekomendasi:

Melakukan enkripsi dan invisible password, dengan menentukan batasan

kesalahan dalam menginput password sebanyak 3 kali dan jika melewati

batas tersebut maka ACCPAC akan tertutup secara otomatis.

5. Temuan audit :

Tidak terdapat batas waktu (time limit) dalam penggunaan aplikasi ACCPAC

jika user lupa atau tidak log off.

Resiko:

Pihak yang tidak berwenang (unauthorized user) dapat mencuri dan

memodifikasi aset perusahaan pada saat komputer baru ditinggalkan

beberapa saat.

Rekomendasi:

Pada ACCPAC diberikan batas waktu sehingga jika user lupa log off dan

melakukan kontrol akses sehingga ACCPAC secara otomatis akan tertutup

sehingga user harus memasukkan user ID dan password kembali. Sebagai

tambahan, setiap komputer juga dapat diberikan screensaver (dengan jangka

waktu yang tidak terlalu lama) dan password, sehingga kemungkinan

komputer digunakan oleh orang yang tidak berkepentingan dapat

diminimalisasi.

6. Temuan audit :

ACCPAC tidak memiliki audit trail.

Resiko:

Jika ACCPAC tidak memiliki audit trail maka proses audit dapat terhambat

karena auditor akan mengalami kesulitan saat mengevaluasi sistem untuk

162

mengetahui aktivitas user mulai dari login, proses selama penggunaan

aplikasi, hingga log off .

Rekomendasi:

Sebaiknya dibuat audit trail pada ACCPAC.

V. Output Control

1. Temuan audit :

Tidak terdapat pembatasan berapa kali Laporan Keuangan, Laporan

Pembelian dan Penerimaan Barang dan Laporan Aktiva tetap dapat dicetak

pada ACCPAC.

Resiko:

Laporan dapat dimodifikasi oleh pihak yang tidak berwenang. Pencetakan

laporan yang berulang-ulang dan tidak sesuai kebutuhan juga dapat

menimbulkan resiko laporan kehilangan kerahasiaannya.

Rekomendasi:

Diberikan batasan dalam pencetakan laporan jika ditemukan kesalahan

dalam pembuatan laporan dilakukan pengawasan terhadap proses pencetakan

laporan. Selain itu, juga memberikan otorisasi dalam pencetakan laporan

serta pemisahan tugas dan fungsi.

2. Temuan audit :

Kode PO dan BBM pada layar input tidak sama dengan kode pada format

Laporan Pembelian dan Penerimaan Barang.

Resiko:

Membingungkan karyawan yang melakukan input data, sehingga

memungkinkan terjadinya kesalahan dalam pembuatan laporan.

163

Rekomendasi:

Kode PO dan BBM pada layar input seharusnya tidak dibedakan dengan

format Laporan Pembelian dan Penerimaan Barang.

3. Temuan audit :

Pada semua laporan tidak terdapat keterangan pihak yang berwenang

menerimanya dan otorisasi pihak yang membuat laporan. Selain itu, pada

Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang tidak

tercantum control page, control copy, judul, tanggal, periode dan nomor urut.

Resiko:

Dapat terjadi penyalahgunaan laporan dan pemberian laporan yang salah

Rekomendasi:

Pada Laporan Keuangan dan Laporan Pembelian dan Penerimaan Barang

harus tercantum control page, control copy, judul, tanggal, periode, nomor

urut, keterangan pihak yang berwenang menerimanya dan otorisasi pihak

yang membuat laporan.

4. Temuan audit :

Tidak dilakukan control terhadap jumlah kertas yang digunakan secara

berkala.

Resiko:

Inefektif dan inefisiensi dalam penggunaan kertas dan dapat mengakibatkan

kerugian finansial pada perusahaan.

Rekomendasi:

Dilakukan perhitungan atau memperkirakan berapa penggunaan kertas setiap

bulannya.

Documents

BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA …thesis.binus.ac.id/Asli/Bab4/2008-1-00186-KA Bab 4.pdfAktiva tetap yang dievaluasi hanya berupa peralatan dan inventaris kantor