BAB 4 EVALUASI SISTEM INFORMASI APLIKASI PENGGAJIAN Penentuan ruang lingkup dan sasaran. melakukan berbagai pengamatan dan pengujian.

Transkripsi

1 81 BAB 4 EVALUASI SISTEM INFORMASI APLIKASI PENGGAJIAN 4.1 Persiapan dan Program Audit Rinci Penentuan ruang lingkup dan sasaran Pada bab ini akan dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi penggajian PT. Nagasakti Kurnia Textile Mills. Dalam pengumpulan temuan evaluasi diperoleh dari dokumentasi kebijaksanaan, prosedur dan wawancara dengan bagian personalia, bagian penggajian serta karyawan dengan kuesioner yang telah disusun dan dengan melakukan berbagai pengamatan dan pengujian. Pada tahap perencanaan ditetapkan persiapan evaluasi, ruang lingkup dan sasaran, tujuan dari pelaksanaan evaluasi dan persiapan penelitian lapangan. Guna mendapatkan perencanaan evaluasi yang baik serta menghindari kerancuan dalam proses pelaksanaan, terlebih dahulu harus menentukan ruang lingkup, sasaran dan tujuan yang ingin dicapai. Ruang lingkup dari sistem informasi pada PT. Nagasakti Kurnia Textile Mills adalah pengendalian terhadap prosedur yang berlaku, proses pelaksanaan sistem informasi penggajian karyawan serta evaluasi terhadap pengendalian umum dan pengendalian aplikasi. Sasaran yang hendak dicapai dari evaluasi sistem informasi pada PT. Nagasakti Kurnia Textile Mills adalah mengumpulkan bukti-bukti yang berkaitan atau relevan terhadap evaluasi dalam menentukan : 1) Reliabilitas dan integritas sistem informasi

2 82 2) Kebijakan, perencanaan dan peraturan. Pelaksanaan evaluasi menggunakan metode audit through the computer yang dibatasi pada pembahasan input dan output sistem informasi penggajian Tujuan pelaksanaan evaluasi Tujuan dari evaluasi atas proses transaksi yang berjalan pada PT. Nagasakti Kurnia Textile Mills adalah dengan melihat apakah pelaksanaan kegiatan penggajian telah berjalan lancar dan sesuai dengan prosedur yang berlaku untuk setiap divisi, sesuai dengan tanggungjawab yang telah diberikan untuk dijalankan dengan baik serta memberikan rekomendasi atas hasil temuan agar memudahkan manajemen perusahaan untuk memperbaikinya. Tahap perencanaan audit dilakukan dengan menentukan ruang lingkup dan persiapan audit lapangan. 1) Penentuan ruang lingkup evaluasi Sistem Informasi penggajian Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen keamanan (security management controls). Sedangkan pengendalian aplikasi terbatas pada pengendalian batasan (boundary controls), pengendalian input (input controls), pengendalian output (output controls), pengendalian proses (process controls), pengendalian basis data (database controls), dan pengendalian komunikasi aplikasi (application communication controls).

3 83 2) Persiapan audit lapangan Menetapkan langkah-langkah persiapan audit di lapangan yang meliputi kegiatan sebagai berikut : a) Kedatangan untuk observasi dan wawancara ditargetkan maksimal 15 kali dalam kurun waktu 5 bulan berturut-turut, dari bulan September 2005 sampai Januari b) Tim audit selaku auditor terdiri dari 3 (tiga) orang. c) Penetapan metode kerja secara profesional dan independen. d) Sebelum pelaksanaan audit, dilakukan pengajuan surat pengantar skripsi ke Bagian Personalia PT. Nagasakti Kurnia Textile Mills, setelah disetujui, Direktur PT. Nagasakti Kurnia Textile Mills memberikan surat keterangan survei sebagai surat sah bahwa tim audit selaku auditor diterima untuk melakukan survei di PT. Nagasakti Kurnia Textile Mills. e) Audit berupa wawancara dilakukan di ruang Bagian Personalia PT. Nagasakti Kurnia Textile Mills. f) Audit berupa observasi dengan melakukan penelitian fisik terhadap sistem aplikasi, analisa prosedur yang berjalan, serta melakukan pengujian langsung terhadap Sistem Informasi Penggajian yang dilakukan pada bagian Penggajian pada PT. Nagasakti Kurnia Textile Mills Metode Audit yang digunakan Audit dilakukan terlebih dahulu dengan mengadakan observasi lapangan mengenai sistem yang sedang berjalan. Kemudian melakukan

4 84 pengisian kuesioner yang merupakan check list dari peneliti itu sendiri kepada pihak manajemen, dan bagian yang terkait dengan sistem aplikasi penggajian yaitu bagian personalia dan HRD, bagian keuangan dan akuntansi berdasarkan infromasi yang diberikan. Keseluruhan hasil temuan audit kemudian dijadikan dasar untuk melakukan penilaian baik atau buruknya sistem informasi penggajian yang dimiliki oleh perusahaan. Metode audit yang digunakan yaitu audit through the computer Instrumen Audit Adapun instrumen audit yang digunakan dalam audit sistem informasi penggajian pada PT. Nagasakti Kurnia Textile Mills terdiri dari: kuesioner, pengamatan (observation), wawancara, review dokumentasi, tes/pengujian, pemeriksaan fisik, dan analisis prosedur. Adapun instrumen penelitian yang digunakan terdiri dari check list, pengamatan, dokumentasi, dan wawancara. 1) Kuesioner (check list) Kuesioner yaitu membuat daftar pertanyaan yang ditujukan kepada pihak manajemen perusahaan untuk mengetahui kondisi sebenarnya. Selain itu, daftar pertanyaan ini dibuat untuk mempermudah auditor untuk mengumpulkan data yang dibuat supaya data yang dibuat sesuai dengan keadaan lapangan. 2) Pengamatan (observation) Auditor melakukan evaluasi ini berdasarkan pengamatan langsung dengan mengunjungi perusahaan untuk memperoleh gambaran umum mengenai keadaan perusahaan. Selain itu, penelitian ini ditujukan untuk

5 85 mengetahui apakah orang yang diberikan tanggungjawab untuk melaksanakan tugasnya dapat melakukannya dngan baik, terutama pada ruang lingkup yang dievaluasi yaitu bagian HRD dan bagian penggajian. 3) Dokumentasi Auditor melakukan pengecekan terhadap dokumen-dokumen dan catatancatatan perusahaan untuk mendukung informasi yang sudah ada. Pemeriksaaan pada PT. Nagasakti Kurnia Textile Mills dilakukan dengan mengumpulkan formulir-formulir yang berkaitan dengan penggajian. 4) Wawancara Wawancara dilakukan tanya jawab secara langsung ataupun lisan dengan Kepala Bagian Personalia yang juga merangkap sebagai IT pada PT. Nagasakti Kurnia Textile Mills untuk mendapatkan gambaran umum perusahaan dan masalah yang berkaitan dengan pembahasan skripsi ini. Adapun yang ditanyakan adalah prosedur sistem informasi pada bagian tersebut untuk mendapatkan gambaran aktivitas dan kegiatan mereka untuk setiap harinya. Dengan demikian dapat diketahui apakah mereka sudah melaksanakan tugasnya sesuai dengan tanggung jawab yang telah diterima. Kuesioner yang dibuat harus dapat menanyakan secara detil agar tujuan dari pengumpulan bukti yang kompeten guna mendukung kesimpulan yang akan diambil Penaksiran resiko Penetapan Penilaian Resiko dan Pengendalian Sistem Informasi penggajian di PT. Nagasakti textile mills menggunakan matriks penilaian resiko yaitu suatu cara untuk menganalisa seberapa besar pengaruh dan

6 86 hubungan antara tingkat resiko (dampak) keterjadian dari resiko tersebut. Berikut ini metrik penilaian resiko : Tingkat Kejadian Tingkat Resiko Dampak Bermakna Jarang Rendah Tidak berbahaya / Low tidak berpengaruh pada sistem dan operasional Sering Rendah Tidak berbahaya / Medium tidak berpengaruh pada sistem dan operasional Jarang Tinggi Berbahaya bagi High sistem dan akan mempengaruhi jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan. Sering Tinggi Berbahaya bagi sistem dan akan mempengaruhi jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan. High Keterangan : 1. Low Tingkat kejadian jarang terjadi dan mempunyai dampak yang kecil atau tidak berbahaya serta tidak berpengaruh terhadap sistem dan kegiatan operasional atau dampak negatif lainnya kepada perusahaan.

7 87 2. Medium Tingkat kejadian sering terjadi dan mempunyai dampak yang kurang berpengaruh terhadap sistem dan kegiatan operasional atau dampak negatif lainnya kepada perusahaan. 3. High Tingkat kejadian sering terjadi dan menimbulkan dampak yang berbahaya bagi perusahaan sehingga bisa menghambat jalannya kegiatan operasional dan sistem yang mengakibatkan kerugian perusahaan. Tingkat kejadian jarang tetapi bisa menimbulkan dampak yang berbahaya bagi perusahaan sehingga bisa menghambat jalannya kegiatan operasional dan sistem yang bisa mengakibatkan kerugian bagi perusahaan Program Audit Rinci Prosedur Audit Rinci atas Pengendalian Umum (General Controls) Prosedur yang akan dilakukan selama audit atas pengendalian umum (General Controls), dapat dilihat pada tabel Tabel 4.1 No 1. Tahap Pengujian atas Segmentasi Pengendalian Manajemen Keamanan (Security Management Controls) KEBAKARAN Lakukan pengecekan apakah tersedianya alat pendeteksi panas dan asap api pada setiap ruangan Objek Audit Ruangan Personalia dan ruangan perkantoran PT. Nagasakti Kurnia Textile Mills serta pabriknya. Instrumen Audit Observasi, Wawancara dan Kuesioner

8 88 2. Melakukan pengecekan apakah dokumen-dokumen yang berhubungan dengan sistem penggajian disimpan ditempat yang aman? (misalnya lemari besi) 3. Lakukan pengecekan apakah tabung pemadam api mudah dijangkau 4. Mencari informasi informasi apakah tombol saklar berfungsi dengan baik. 5. Lakukan pengecekan apakah gedung dibangun dari bahan tahan api 6. Lakukan tinjauan tentang keberadaan pintu atau tangga darurat 7. Mencari informasi informasi tentang signal peringatan kebakaran apakah langsung dikirim ke stasiun pengendalian 8. Lakukan tinjauan tentang keberadaan staff di stasiun pengendalian 9. Mencari informasi tentang prosedur atau jadwal pemeliharaan gedung 10. Mencari informasi apakah digunakan Stabilizer menstabilkan tegangan listrik 11. Lakukan pengecekkan apakah ruang komputer dibersihkan secara teratur 12. Lakukan pengecekkan apakah back up data penting sering dilakukan secara teratur dan periodik 13. Lakukan pengecekkan apakah kertas printer diletakkan secara terpisah 14. Mencari informasi apakah ada pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran Ruangan Personalia dan ruangan perkantoran PT. Kurnia Textille milss Ruangan Personalia dan Pabrik. Personalia PT. Nagasakti Kurnia Textile Mills PT. Nagasakti Kurnia Textile Mills Pos Jaga Observasi kuesioner dan Observasi, Wawancara dan Kuesioner Kuesioner Observasi, Wawancara dan Kuesioner Observasi, Wawancara dan Kuesioner Observasi, Wawancara dan Kuesioner Pos Jaga Observasi dan Kuesioner Personalia Kuesioner dan Review Dokumentasi Personalia Kuesioner Personalia Kuesioner dan Observasi Personalia Kuesioner, Wawancara dan Review Dokumentasi Personalia Kuesioner dan Observasi Personalia Kuesioner dan Wawancara

9 Mencari informasi apakah di setiap ruangan ada pemadam kebakaran otomatis BANJIR 16. Lakukan pengecekan apakah semua material gedung (atap, dinding, dan lantai gedung) terbuat dari bahan tahan air 17. Lakukan tinjauan apakah alarm sudah diletakkan pada lokasi yang strategis 18. Lakukan pengecekkan apakah semua aset sistem (seperti komputer) diletakkan pada tempat yang tinggi 19. Lakukan pengecekkan apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan KERUSAKAN STRUKTURAL 20. Mencari informasi apakah lokasi perusahaan terletak pada tempat yang aman 21. Lakukan pengecekkan apakah aset disimpan pada tempat yang aman 22. POLUSI Lakukan pengecekkan apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer 23. Lakukan pengecekkan apakah tempat sampah sudah memadai 24. Mencari informasi apakah tempat sampah telah dibersihkan secara rutin 25. PENYUSUP Mencari informasi apakah sudah ada alarm di perusahaan untuk mendeteksi jika ada penyusup 26. Mencari informasi apakah ada petugas keamanan yang bertugas menjaga gedung 24 jam Personalia Kuesioner dan Observasi Personalia dan Pabrik Observasi, wawancara dan Kuesioner Personalia dan Pabrik Observasi Kuesioner dan Personalia Observasi dan Kuesioner Personalia Observasi, wawancara dan Kuesioner Personalia Kuesioner dan Wawancara Personalia Kuesioner dan Wawancara Personalia Kuesioner, Observasi Wawancara dan Personalia Kuesioner dan Observasi Personalia Kuesioner Personalia Personalia & Petugas di Pos Jaga Kuesioner Kuesioner Observasi dan

10 Lakukan tinjauan apakah Kartu Identitas pegawai sudah digunakkan dengan semestinya (sebagai kartu pengenal dan kartu untuk absen) VIRUS 28. Mencari informasi apakah komputer ada di-install anti virus 29. Mencari informasi apakah terdapat antisipasi jika komputer terkena virus? 30. Mencari informasi apakah setiap data transaksi (absen) dibuatkan data back up nya 31. PENYALAHGUNAAN, SOFTWARE DATA, DAN LAYANAN Mencari informasi apakah software dilindungi dengan hak cipta 32. Mencari informasi tentang adanya administrator keamanan dan apakah sudah memeriksa dengan teliti tentang pembelian hardware dan software serta bukti penggunaan sistem informasi 33. Mencari informasi apakah ada hukuman bagi terjadi penyalahgunaan HACKER 34. Lakukan pengecekan tentang penggunaan password dan apakah ada di setiap sistem 35. Mencari informasi apakah password hanya diketahui oleh orang yang bersangkutan 36. Lakukan pengecekkan apakah petugas keamanan mengontrol sistem dan aset-aset secara rutin Karyawan Personalia Personalia Personalia dan Kuesioner, Review Dokumentasi dan Wawancara Kuesioner, Wawancara dan Observasi Kuesioner Personalia Kuesioner, Review Dokumentasi dan Wawancara Personalia Kuesioner dan Wawancara Personalia Kuesioner dan Wawancara Personalia Personalia Personalia Kuesioner Kuesioner, Wawancara dan Observasi Kuesioner Personalia Kuesioner dan Wawancara Tabel 4.1 Prosedur Audit Rinci atas Pengendalian umum (General Controls) Sumber: Analisa Penulis selaku Auditor

11 Prosedur Audit Rinci atas Pengendalian Batasan (Boundary Controls) Prosedur yang akan dilakukan selama audit atas Pengendalian Batasan (Boundary Controls), dapat dilihat pada tabel Tabel 4.2 No. Tahap Pengujian atas Segmentasi Pengendalian Batasan (Boundary Controls) 1. Mencari informasi apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user 2. Lakukan pengecekan apakah tampilan password ketika diketik invisible 3. Lakukan pengecekan apakah ada pergantian password secara rutin 4. Lakukan pengecekan apakah ada ketentuan dalam penggunaan password (seperti panjang password maximal 6 digit, huruf dan angka) 5. Lakukan pengecekan apakah sistem menerapkan pengendalian cryptographic dengan mengacak data yang ada 6. Lakukan pengecekan apakah sistem memberikan batasan maximal untuk kesalahan input password? 7. Mencari informasi apakah setiap user dibatasi mekanisme pengaksesan sistem Objek Audit Personalia Pada saat login ke Sistem Informasi Aplikasi Penggajian Personalia Pada saat login ke Sistem Informasi Aplikasi Penggajian Instrument Audit Kuesioner dan Wawancara Kuesioner Observasi Kuesioner dan wawancara Kuesioner dan Observasi dan Pada saat login ke Kuesioner dan Sistem Informasi Observasi Aplikasi Penggajian Pada saat login ke Kuesioner dan Sistem Informasi Observasi Aplikasi Penggajian Personalia Kuesioner dan Wawancara Tabel 4.2 Prosedur Audit Rinci atas Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor

12 Prosedur Audit Rinci atas Pengendalian Masukan (Input Controls) Prosedur yang akan dilakukan selama audit atas pengendalian Masukan (Input Controls), dapat dilihat pada Tabel 4.3 No. Tahap Pengujian atas Segmentasi Pengendalian Masukan (Input Controls) 1. Lakukan pengecekan apakah Sistem Informasi Penggajian pada saat input telah terjadi otorisasi 2. Mencari informasi apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang diinput 3. Mencari informasi apakah ada validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size 5. Lakukan pengecekan tentang bahasa pemograman yang digunakan 6. Lakukan pengecekkan tentang sistem pemrosesan data apakah batch system atau on-line system 7. Mencari informasi apakah ada pelatihan terlebih dahulu mengenai cara input data Objek Audit Sistem Informasi Aplikasi Penggajian & Personalia Pada saat terjadinya kesalahan input pada Sistem Aplikasi Penggajian Sistem Aplikasi Penggajian PT. Nagasakti Kurnia Textile Mills Personalia dan Sistem Informasi Aplikasi Penggajian Sistem Penggajian & Personalia Instrument Audit Kuesioner, Wawancara dan Observasi Kuesioner, Observasi dan Wawancara Kuesioner Observasi Kuesioner Observasi Kuesioner dan dan Personalia Kuesioner dan Wawancara Tabel 4.3 Prosedur Audit Rinci atas Pengendalian Masukan (Input Controls) Sumber: Analisa Penulis selaku Auditor

13 Prosedur Audit Rinci atas Pengendalian Proses (Proses Controls) Prosedur yang akan dilakukan selama audit atas pengendalian proses (Process Controls), dapat dilihat pada Tabel 4.4 No. Tahap Pengujian atas Segmentasi Pengendalian Proses (Process Controls) 1. Lakukan pengecekan apakah ada perbaikan terhadap kesalahan pemasukan data sudah dapat dilakukan dengan mudah 2. Mencari informasi apakah sudah terdapat prosedur audit trail pada sistem aplikasi penggajian 3. Lakukan pengecekan apakah waktu yang dibutuhkan dalam pemrosesan data sudah seefisien mungkin 4. Lakukan pengecekan apakah perusahaan sudah menyimpan dokumen pendukung sebagai bukti pencatatan Objek Audit Kepala Personalia dan Sistem Informasi Aplikasi Penggajian Kepala Personalia Kepala Personalia dan Sistem Informasi Aplikasi Penggajian dan Personalia Kepala Personalia dan Tempat penyimpanan dokumen Instrument Audit Kuesioner dan wawancara Kuesioner Kuesioner & Wawancara Kuesioner dan Wawancara Tabel 4.4 Prosedur Audit Rinci atas Pengendalian Proses (Process Controls) Sumber: Analisa Penulis selaku Auditor

14 Prosedur Audit Rinci atas Pengendalian Keluaran (Output Controls) Prosedur yang akan dilakukan selama audit atas pengendalian keluaran (Output Controls), dapat dilihat pada Tabel 4.5 No. Tahap Pengujian atas Segmentasi Pengendalian Keluaran (Output Controls) 1. Lakukan pengecekan apakah tiap hasil output ada pengotorisasian terlebih dahulu 2. Lakukan pengecekan apakah laporan yang dihasilkan akurat dan sesuai dengan kebutuhan (setiap laporan telah tercantum tanggal, waktu pencetakkan dan paraf pemberian persetujuan) 3. Lakukan pengecekan apakah hasil yang diperoleh sudah dengan tepat waktu 4. Lakukan pengecekkan apakah output yang dihasilkan dapat dipercaya 5. Lakukan pengecekan apakah output yang dihasilkan lengkap Objek Audit Dokumen output Dokumen output Kepala Personalia Instrument Audit Kuesioner, Wawancara dan Observasi Kuesioner, Wawancara dan Observasi Kuesioner Dokumen output Kuesioner, dan Kepala Wawancara dan Personalia Observasi Dokumen output & Kuesioner dan Kepala Personalia Observasi Tabel 4.5 Prosedur Audit Rinci atas Pengendalian Keluaran (Output Controls) Sumber: Analisa Penulis selaku Auditor

15 Prosedur Audit Rinci atas Pengendalian Basis Data (Data Base Controls) Prosedur yang akan dilakukan selama audit atas pengendalian basis data (Data Base Controls), dapat dilihat pada Tabel 4.6 No. Tahap Pengujian atas Segmentasi Pengendalian Basis Data (Data Base Controls) 1. Mencari informasi apakah sudah terdapat langkah pembackup-an data secara rutin 2. Lakukan pengecekan apakah file backup telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang diperkirakan akan terjadi 3. Lakukan pengecekan apakah user interface dari database sudah user friendly 4. Mencari informasi apakah proses query data sudah terdapat pada sistem 5. Lakukan pengecekan apakah dalam suatu sistem sudah terdapat fungsi create, add, read, delete 6. Mencari informasi apakah sudah terdapat pemisahan akses bagi masing-masing bagian 7. Mencari informasi apakah terdapat confidentiality pada sistem penggajian Objek Audit Kepala personalia Kepala Personalia Kepala Personalia Kepala Personalia Instrument Audit Kuesioner dan Wawancara Kuesioner Kuesioner, Wawancara dan Observasi Kuesioner Database Sistem Kuesioner dan Aplikasi Penggajian Observasi dan Kepala Personalia Kepala Personalia Kuesioner dan Wawancara Kepala Personalia Kuesioner Tabel 4.6 Prosedur Audit Rinci atas Pengendalian Basis Data (Data Base Controls) Sumber: Analisa Penulis selaku Auditor

16 Prosedur Audit Rinci atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Prosedur yang akan dilakukan selama audit atas pengendalian komunikasi aplikasi (Application Communication Controls), dapat dilihat pada Tabel 4.7 No. Tahap Pengujian atas Segmentasi Pengendalian Komunikasi Aplikasi (Application Communication Controls) 1. Mencari informasi apakah sistem informasi di perusahaan sudah menggunakan jaringan LAN 2. Mencari informasi apakah sistem penggajian pada komputer yang digunakan sudah terproteksi agar tidak dapat diakses oleh divisi lain? 3. Mencari informasi apakah sistem LAN yang digunakan sudah beroperasi dengan baik 4. Lakukan pengecekan apakah hardware dan software yang digunakan masih dapat mendukung operasional perusahaan dengan baik 5. Mencari informasi apakah sisfo penggajian sudah dapat berjalan dengan baik, sesuai dengan prosedur yang ditetapkan oleh kepala bagian personalia dan direktur. Objek Audit Kepala Personalia Instrument Audit Kuesioner dan Wawancara Kepala Personalia Kuesioner dan wawancara Kepala Personalia Kuesioner dan Wawancara Kepala Personalia Kepala Personalia Kuesioner, Wawancara dan Observasi Kuesioner dan Observasi Tabel 4.7 Prosedur Audit Rinci atas Pengendalian Komunikasi Aplikasi (Application Communication Controls) Sumber: Analisa Penulis selaku Auditor

17 Pengevaluasian Terhadap Bukti Audit atas Pengendalian Umum Pengendalian Manajemen Keamanan (Security Management Controls) Tujuan Dilakukan Audit atas Pengendalian Manajemen Keamanan (Security Management Controls) Tujuan dilakukannya audit atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah: 1) Untuk mengetahui seberapa tinggi tingkat pengendalian keamanan pada perusahaan PT. Nagasakti Textille mills. 2) Untuk memastikan bahwa harta-harta atau aset-aset yang ada dalam PT. Nagasakti Textille Mills telah ditempatkan pada tempat yang aman. 3) Untuk memastikan bahwa pengendalian-pengendalian sistem yang ditetapkan baik pengendalian umum maupun pengendalian sistem aplikasi penggajian dapat diminimalisasikan mengenai resiko-resiko kesalahan operasional atau kinerja, khususnya resiko pengendalian. 4) Untuk memastikan bahwa sistem aplikasi penggajian telah memberikan mekanisme pengendalian atas akses sistem. 5) Untuk memastikkan bahwa hanya user yang terotorisasi yang dapat login ke dalam sistem aplikasi penggajian Objek yang diaudit atas Pengendalian Manajemen keamanan (Security Controls) Adapun objek yang diaudit atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah : 1) Setiap komputer di ruang Personalia terutama penggajian

18 98 2) Di pabrik dan kantor PT. Nagasakti Kurnia Textile Mils 3) Karyawan PT. Nagasakti Kurnia Textile Mills Kriteria Standar atas Pengendalian Manajemen Keamanan (security Manajemen Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Manajemen Keamanan (Security Management Controls), yaitu : 1) Perlengkapan untuk pencegahan kebakaran yang terdiri dari tabung pemadam kebakaran, tabung CO2 harus terletak ditempat yang mudah dijangkau serta alarm kebakaran otomatis harus mudah dilihat dan adanya dry pipe disetiap ruangan atau gedung 2) Memiliki tombol utama (termasuk AC) 3) Gedung tempat penyimpanan aset harus terbuat dari bahan yang tahan api serta untuk bahan atap, dinding dan lantai harus tahan air. 4) Memiliki pintu atau tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya. 5) Harus terdapat stasiun pengendalian yang selalu dijaga oleh staf. 6) Prosedur pemeliharaan gedung yang baik menjamin tingkat polusi rendah disekitar aset sistem informasi yang bernilai tinggi. 7) Diperlukan pengawasan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan bahwa segala sesuatunya telah terawat baik dalam mengantisipasi ancaman kebakaran 8) Menutup peralatan hardware dengan bahan yang tahan air sewaktuwaktu tidak digunakan

19 99 9) Pelaksanaan pengamanan untuk mengatisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun uninteruptable power supply (UPS) yang memadai yang mampu meng-cover tegangan listrik jika tiba-tiba turun. 10) Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya adalah memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut. 11) Pelaksanaan untuk mengatasi polusi misalnya, tong sampah selalu dibersihkan, situasi kantor yang bebas debu dan tidak memperbolehkan karyawan membawa makanan dan minuman didekat peralatan komputer. 12) Pelaksanaan pengamanan untuk mengantisipasi penyusup dapat dilakukan dengan penempatan penjaga dan penggunaan alarm. 13) Meng-install antivirus dan meng-update secara rutin, men-scan file yang akan di gunakan. 14) Memonitor sistem yang digunakan dan menggunakan kontrol logika seperti penggunaan password yang sulit ditebak Instrumen Audit yang dilakukan Instrumen yang digunakan atas Pengendalian Manajemen Keamanan (Security Management Controls) adalah :

20 100 1) Kuesioner di isi oleh Kepala bagian Personalia Pengendalian Umum Terhadap Manajemen Keamanan No 1. Pertanyaan KEBAKARAN Apakah terdapat alat pendeteksi panas dan asap api pada setiap ruangan? 2. Apakah tabung pemadam api mudah dijangkau? 3. Apakah terdapat tombol saklar untuk mengendalikan listrik di seluruh gedung? 4. Apakah gedung dibangun dari bahan tahan api? 5. Apakah terdapat pintu atau tangga darurat? Ya Jawaban Tidak Keterangan Terdapat tabung pemadam kebakaran dan pemadam CO2 di setiap ruangan dan di pabrik. Ada pipa hidran disetiap bangunan Tabung pemadam api terdapat dan disetiap ruangan dan mudah dijangkau Di panel utama ada saklar untuk memastikan listrik semua gedung dan di setiap ruangan ada panel kecil untuk mematikan listrik di ruangan tersebut. Menggunakan batako, sehingga tahan api. Tidak terdapat pintu atau tangga darurat, dgn kondisi pabrik yang luas dan tidak bertingkat, beberapa pintu didalam satu ruangan dianggap cukup membantu apabila terjadi kebakaran. Tingkat Resiko High Low Low Low Low

21 Apakah signal peringatan kebakaran akan langsung dikirim ke semua ruangan ketika alarm berbunyi? 7. Apakah terdapat stasiun pengendalian yang selalu dijaga oleh staf? 8. Apakah terdapat prosedur atau jadwal pemeliharaan gedung baik dan teratur? 9. Apakah tiap komputer di departemen menggunakan Uninterruptible Power Supply (UPS) dan stabilizer? 10. Apakah ruang komputer dibersihkan secara teratur? Alarm langsung Low terhubung dengan semuanya, jadi tidak perlu stasiun pengendalian. Area pabrik juga terbuka dan memudahkan untuk melakukan antisipasi jika terjadi kebakaran. Tidak terdapat High stasiun pengendalian yang selalu dijaga oleh staf. Prosedur atau Low jadwal pemeliharaan gedung sudah baik dan teratur. Karena ada bagian umum khusus perawatan gedung dan sarananya yang dilakukan dilakukan pengecekkan rutin setiap hari Hanya stabilizer Medium Dibersihkan secara rutin setiap masuk dan setiap bagian bertanggung jawab terhadap ruang komputernya masing-masing dan juga ada staf kebersihan. Low

22 Apakah back up datadata penting sering dilakukan?dan apakah ada back up offsite? 12. Apakah kertas printer diletakan di ruang terpisah? 13. Apakah terdapat pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? 14. Apakah setiap ruangan memiliki pemadam kebakaran otomatis? 15. Apakah dokumen yang berhubungan dengan sistem penggajian disimpan di tempat yang aman dari kebakaran? BANJIR 16. Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air? 17. Apakah terdapat alarm pada lokasi strategis? Back up data dilakukan 2 minggu sekali pada saat pemrosesan gaji. Serta tidak ada back up off site Kertas printer diletakkan di atas meja kerja dekat komputer agar mudah dalam pengambilan Ada pengawasan tetapi tidak rutin hanya jika ada kasus. Hanya terdapat tabung pemadam kebakaran CO2, Tabung pemadam kebakaran busa serta lampu sirene merah yang akan menyala bila terjadi kebakaran. Hanya disimpan didalam rak kayu di ruangan yang terpisah Semua menggunakan bahan tahan air Alarm ditempatkan di setiap ruangan dan dibantu dengan lampu alarm di ruang mesin. High High Medium Low High Low Low

23 Apakah semua aset sistem diletakan pada tempat yang tinggi? 19. Apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan? 20. KERUSAKAN STRUKTURAL Apakah lokasi perusahaan sudah terletak di daerah yang aman terhadap kerusakan struktural? 21. Apakah aset disimpan pada tempat yang aman? Ruangan kantor telah ditinggikan dari sebelumnya. Hanya printer menggunakan penutup plastik. Dan untuk yang lainnya hanya ditutup dengan kain agar tidak berdebu dan kena kotoran. Perusahaan terletak di kawasan industri dan dijaga 24 jam oleh petugas keamanan tetapi rawan banjir. Semua ruangan jika tidak digunakan, akan dikunci dan kuncinya dipegang oleh orang yang ditunjuk (kepala bagian masingmasing) dan satu set seluruh kunci dipegang oleh Pak Wangit orang yang dituakan dan tinggal di perusahaan. Dan untuk menghindari asetaset dari kerusakan struktural contohnya banjir, aset-aset penting diletakan ditempat yang tinggi. Low High Medium Low

24 POLUSI Apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer? 23. Apakah pada setiap lantai terdapat tempat sampah yang memadai? 24. Apakah tempat sampah dibersihkan secara rutin? 25. PENYUSUP Apakah perusahaan sudah menggunakan alarm? 26. Apakah perusahaan memiliki petugas keamanan yang bertugas menjaga gedung 24 jam? Peraturan tersebut dilanggar oleh karyawan dan tidak ada sanksi. Setiap lantai dan di setiap ruangan Setiap hari dan setiap tempat sampah sudah penuh. Alarm kebakaran dapat digunakan sebagai alaram tanda bahaya lainnya. Dan ada pemberitahuan atau informasi jika ada bahaya. Ya, dengan pos penjaganya tetapi bukan stasiun pengendalian High Low Low Low Low 27. Apakah kartu identitas karyawan telah digunakan sebagai mana mestinya? 28. VIRUS Apakah semua komputer telah di-install anti virus? Kartu identitas pegawai digunakan sebagai kartu tanda pengenal dan kartu absen. Kartu sudah digunakan dengan semestinya dan kartu tidak dapat digunakan oleh pihak lain karena untuk melakukan absen juga dilakukan scan sidik jari. Tidak menggunakan anti virus. Low High

25 Apakah ada antisipasi apabila komputer terkena virus? 30. Apakah setiap data transaksi dibuatkan back up datanya? PENYALAHGUNAAN SOFTWARE, DATA DAN LAYANAN 31. Apakah software dilindungi dengan hak cipta? 32. Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi? 33. Apakah ada hukuman jika terjadi penyalahgunaan? 34. HACKER Apakah semua sistem menggunakan password? 35. Apakah password hanya diketahui oleh orang yang bersangkutan? Tidak ada antisipasinya data transaksi di back up di CD setiap 2 minggu sekali. Tidak ada hak cipta Tidak ada administrator yang bertanggung jawab terhadap pemeriksaan hardware dan software pada saat pembelian. Terdapat hukuman sesuai dengan kesalahan yang diperbuat. Tidak semua sistem menggunakan password. Hanya sistem-sistem yang penting saja dan yang memiliki batasan hak akses. Hanya authorized person yang boleh mengetahui password. High High Medium High Low Medium Low

26 Apakah petugas keamanan mengontrol sistem dan aset-aset yang ada secara rutin? Setahun sekali pada saat stock ocnam High Tabel 4.8 Kuesioner terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian Personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Manajemen Keamanan (Security Management Controls) PERTANYAAN JAWABAN Apakah tersedianya alat pendeteksi Terdapat tabung pemadam kebakaran panas,asap dan api pada setiap ruangan dan pemadam CO2 di setiap ruangan dan apakah tabung pamadam kebakaran dan di pabrik. Ada pipa hidran di setiap mudah dijangkau? bangunan, sedangkan tabung pemadam kebakaran terdapat disetiap ruangan dan mudah dijangkau. Apakah gedung dibangun dari bahan Gedung dibangun dari bahan yang tahan tahan api? Apakah terdapat pintu dan tangga darurat dan apakah keberadaannya mudah diketahui dan mudah dijangkau? api, yakni batako. Tidak terdapat pintu dan tangga darurat, kantor dan pabrik hanya terdiri dari satu lantai dan disetiap ruangan terdapat banyak pintu yang terhubung keruangan lain dan luar kantor / pabrik Apakah terdapat stasiun pengendalian dan bagaimana cara kerjanya? Apakah back up data penting sering dilakukan secara teratur dan periodik? Dan apakah ada back up offsite? Apakah ada pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? BANJIR Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air? Tidak terdapat stasiun pengendali. Alarm langsung terhubung dengan semuanya, jadi tidak perlu stasiun pengendalian. Area pabrik juga terbuka dan memudahkan untuk melakukan antisipasi jika terjadi kebakaran Back up data dilakukan 2 minggu sekali pada saat pemrosesan gaji. Serta tidak ada back up off site. Tidak ada pemeriksaan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran hanya ditangani per kasus. Semua menggunakan bahan tahan air.

27 107 Apakah alarm dan aset-aset sistem (komputer, printer, mesin absen, dll) sudah diletakan ditempat yang baik (tinggi dan dapat terhindar dari banjir)? Apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan? KERUSAKAN STRUKTURAL Apakah lokasi perusahaan terletak pada tempat yang aman? POLUSI Apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer? PENYUSUP Apakah ada petugas keamanan yang bertugas menjaga gedung 24 jam? Apakah Kartu Identitas pegawai sudah digunakkan dengan semestinya (sebagai kartu pengenal dan kartu untuk absen)? VIRUS Apakah komputer ada di-install anti virus, dan apakah sering di update serta bagaimana penerapannya? Apakah setiap data transaksi (absen) dibuatkan data back up nya? Kantor telah ditinggikan dari yang sebelumnya untuk menghindari banjir yang telah terjadi terdahulu. Dan pada saat ini semua asset sistem telah terletak di tempat yang tinggi. Hanya printer menggunakan penutup plastik. Dan untuk yang lainnya hanya ditutup dengan kain agar tidak berdebu dan kena kotoran Perusahaan terletak di kawasan industri dan dijaga 24 jam oleh petugas keamanan tetapi rawan banjir. Peraturan tersebut dilanggar oleh karyawan dan tidak ada sanksi. Ya, dan pos pengamanannya terletak didepan pintu masuk kantor Kartu identitas pegawai digunakan sebagai kartu tanda pengenal dan kartu absen. Kartu sudah digunakan dengan semestinya. Tidak ada antivirus Ya, data transaksi di back up di CD setiap 2 minggu sekali. PENYALAHGUNAAN, SOFTWARE DATA, DAN LAYANAN Apakah software dilindungi dengan hak cipta, dan apakah ada sanksi atau hukuman bagi mereka yang telah menyalahgunakan software data, dan layanan? Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi? Tidak ada hak cipta dan diberlakukan hukuman atau sanksi bagi yang menyalahgunakan software data dan layanan Tidak ada administrator yang bertanggung jawab terhadap pemeriksaan hardware dan software pada saat pembelian.

28 108 HACKER Apakah terdapat password pada setiap penggunaan sistem dan bagaimana tindak lanjut terhadap password tersebut? Apakah petugas keamanan mengontrol sistem dan aset-aset secara rutin? Tidak semua sistem menggunakan password. Hanya sistem-sistem yang penting saja dan yang memiliki batasan hak akses. Dan password hanya boleh diketahui oleh authorized person saja. Setahun sekali pada saat stock ocnam Tabel 4.9 Wawancara terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor Temuan, Resiko dan Rekomendasi atas Pengendalian Manajemen Keamanan (Security Management Controls) TEMUAN RESIKO REKOMENDASI Jika terjadi kebakaran maka tidak terdeteksi dengan cepat, sehingga Tidak adanya alat deteksi panas dan asap pada setiap ruangan. menyebabkan kerugian materi pada perusahaan. Pengadaan alat pendeteksi panas dan asap pada tiap ruangan terutama ruangan yang menyimpan data-data dan peralatan penting. Stasiun pengendalian tidak dijaga oleh staf. Back up data tidak dilakukan secara rutin. Serta tidak adanya back up offsite. Kertas printer tidak diletakan di ruang terpisah. Dokumen-dokumen yang berkaitan dengan penggajian hanya disimpan pada lemari kayu Tidak ada petugas yang siaga jika terjadi bahaya kebakaran. Apabila terjadi kehilangan data induk, maka tidak ada data cadangan dan itu akan menyebabkan kehilangan data. Kertas merupakan material yang mudah terbakar sehingga dapat mengakibatkan api menjalar. Lemari kayu dapat terbakar, apabila terjadi kebakaran, maka dokumen-dokumen tersebut juga akan ikut terbakar Sebaiknya terdapat petugas yang selalu siaga di stasiun pengendalian. Harus ada back up data secara periodik. Dan harus ada back up offsite yang ditujukan untuk penyelamatan dan keamanan data penting. Sebaiknya material yang mudah terbakar seperti kertas diletakan pada ruangan yang terpisah dari ruang printer. Sebaiknya dokumen disimpan pada lemari besi sehingga tidak dapat terbakar dan lebih aman.

29 109 Semua hardware tidak ditutup dengan bahan tahan air sewaktu tidak digunakan Karyawan diperbolehkan makan dan minum didekat peralatan komputer. Air dapat merusak hardware. Jika terjadi kelalaian, maka dapat merusak komputer Semua hadrware ditutup dengan bahan tahan air sewaktu tidak digunakan. Tidak makan dan minum didekat komputer. Tidak ada anti virus pada komputer. Tidak ada antisipasi apabila salah satu komputer terkena virus Administrator tidak memeriksa dengan teliti pembelian hardware dan software serta bukti penggunaan sistem informasi Petugas keamanan tidak mengontrol asetaset keamanan secara rutin Tidak adanya anti virus dan pelaksanaan update anti virus secara periodik dapat membahayakan keamanan data dan merusak jaringan sistem yang ada pada masingmasing PC. Virus dari satu komputer dapat menyebar ke komputer lainnya. Dapat terjadi kerancuan akan kepastian mengenai ketepatan hardware atau software yang dibeli dan penggunaanya tidak efisien Jika terjadi hal-hal yang tidak diinginkan maka tidak dapat ditanggulangi dengan baik dan bahkan dapat terjadi kesalahan fatal. Meng-install anti virus pada setiap komputer Melakukan antisipasi apabila ada virus seperti dengan meng-scan komputer yang terkena virus Setiap pembelian hardware dan software sebaiknya memiliki bukti pembelian dan penggunaanya sesuai dengan kebutuhan Sebaiknya dilakukan pemeriksaaan secara rutin dan membuat laporan pemeriksaanya. Tabel 4.10 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Manajemen Keamanan (Security Management Controls) Sumber: Analisa Penulis selaku Auditor

30 Pengevaluasian Terhadap Bukti Audit atas Pengendalian Aplikasi Pengendalian Batasan (Boundary Controls) Tujuan Dilakukan Audit Pengendalian Batasan (Boundary Controls) Tujuan dilakukannya audit Pengendalian Batasan (Boundary Controls) adalah: 1) Untuk memastikan pengendalian batasan yang ada pada Sistem Aplikasi Penggajian berjalan dengan baik. 2) Untuk memastikan hak akses ke sistem aplikasi dimiliki oleh orangorang yang telah terotorisasi. 3) Untuk memastikan telah terdapatnya batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. 4) Untuk memastikan adanya error message jika terjadi kesalahan dalam peng-input-an data maupun dalam login awal. 5) Untuk memastikan apakah sistem informasi penggajian jelas ruang lingkupnya (apa dokumen input-nya, dari mana sumbernya, tujuan pengolahan data, siapa para penggunanya, dan siapa pemegang kewenangan) Objek yang diaudit atas Pengendalian Batasan (Boundary Controls) Adapun objek yang diaudit atas Pengendalian Batasan (Boundary Controls) adalah : 1) Sistem Informasi Penggajian pada PT. Nagasakti Kurnia Textile Mills

31 111 2) Pada saat login ke Sistem Informasi Penggajian PT. Nagasakti Kurnia Textile Mills 3) Bagian Personalia khususnya penggajian dan pengabsenan Kriteria Standar atas Pengendalian Batasan (Boundary Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Batasan (Boundary Controls), yaitu : 1) Menetapkan identitas dan kewenangan pengguna dari sistem komputer (sistem harus memastikan orang tersebut adalah orang yang berhak). 2) Menetapkan identitas dan kewenangan dari sumber daya yang digunakan (pengguna harus memastikan bahwa mereka memberikan kewenangan dari sumber daya). 3) Membatasi tindakan-tindakan yang dilakukan oleh pengguna yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi (pengguna diperbolehkan menggunakan sumber daya pada batasan-batasan tertentu). 4) Suatu sistem komputerisasi harus jelas ruang lingkupnya: apa dokumen input-nya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa sponsornya (pemegang kewenangan) Instrumen yang Digunakan atas Pengendalian Batasan (Boundary Controls) Instrumen yang digunakan atas Pengendalian Batasan (Boundary Controls) adalah :

32 112 1) Kuesioner diisi oleh kepala bagian personalia dan staf bagian absensi. Pengendalian Batasan No Pertanyaan 1. Apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user? 2. Apakah tampilan password ketika diketik invisible (tidak terbaca)? 3. Apakah pergantian password dilakukan dengan rutin? 4. Apakah terdapat ketentuan dalam penggunaan password? (seperti panjang password maximal 6 digit, huruf dan angka). 5. Apakah sistem menerapkan pengendalian cryptographic dengan mengacak data yang ada? 6. Apakah terdapat batasan maximal untuk kesalahan input password? (Jika ya, berapa kali dan apakah terdapat tampilan error message jika terjadi kesalahan?) Ya Jawaban Tidak Keterangan PIN hanya boleh diketahui oleh orang-orang yang bersangkutan. Berbentuk invisible, bentuknya kotakkotak. Tidak pernah diganti passwordnya Tidak terdapat ketentuan dalam penggunaan password. Tidak mengacak data. Jika terjadi kesalahan password, akan terjadi pengulangan untuk memasukkan password lagi. Tingkat Resiko Low Low High High High High 7. Apakah setiap user dibatasi Ya, sesuai dengan Low mekanisme pengaksesan bagiannya masingmasing. sistem? Tabel 4.11 Kuesioner terhadap Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor

33 113 2) Wawancara dengan kepala bagian personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Batasan (Boundary Controls) PERTANYAAN JAWABAN apakah setiap user diberikan PIN PIN hanya boleh diketahui oleh orangorang yang bersangkutan. Tampilan untuk mencegah pengaksesan data oleh unauthorized user dan apakah password ketika diketik berbentuk tampilan password ketika diketik invisible, bentuknya kotak-kotak invisible apakah ada pergantian password Tidak pernah diganti password-nya secara rutin apakah setiap user dibatasi mekanisme Ya, sesuai dengan bagiannya masingmasing. pengaksesan sistem Tabel 4.12 Wawancara terhadap Pengendalian Batasan (Boundary Controls) Sumber: Analisa Penulis selaku Auditor Temuan, Resiko dan Rekomendasi untuk Pengendalian Batasan (Boundary Controls) TEMUAN RESIKO REKOMENDASI Penggantian password tidak harus Memungkinkan pihak yang tidak berotorisasi untuk Dilakukan penggantian password sesering mungkin dilakukan secara mengakses data dalam minimal sebulan sekali rutin. komputer yang bersifat rahasia dan pribadi sehingga data yang ada dapat terjamin kerahasiaanya. Tidak ada batasan Menyebabkan pihak yang Sebaiknya ditetapkan maksimal untuk tidak mempunyai hak akses batasan maksimal untuk kesalahan input password dan tidak bertanggungjawab dapat ber-eksperimen terhadap password tersebut password. Perusahaan tidak Tanpa pengendalian Pengendalian cryptographic menerapkan cryptographic, maka ditetapkan agar password pengendalian password dapat dicuri oleh tidak dapat dicuri dan cryptographic orang-orang yang ahli dipergunakan oleh pihakpihak dalam bidang IT. yang tidak bertangungjawab. Selain itu, perusahaan juga dapat menggunakan enscript data Tabel 4.13 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Batasan Sumber: Analisa Penulis selaku Auditor

34 Pengendalian Masukan (Input Controls) Tujuan Dilakukan Audit atas Pengendalian Masukan (Input Controls) Tujuan dilakukannya audit Pengendalian Masukan (Input Controls) meliputi : 1) Untuk memastikan pengendalian masukan yang ada berjalan dengan baik. 2) Untuk mengetahui apakah terdapat pemisahan tugas user yang terotorisasi. 3) Untuk mengecek tampilan, design warna, dan penggunaan bahasa pada layar Sistem Informasi penggajian telah baik dan mudah dimengerti, termasuk adanya menu help, error message, menu konfirmasi, waktu respon yang cepat, dan metode input. 4) Untuk mengecek apakah Sistem Informasi penggajian dilengkapi dengan fasilitas penanganan kesalahan. 5) Untuk mengecek keakuratan input data dengan dokumen sumber dan pembubuhan tanda check () pada dokumen sumber yang telah di-input, serta pengarsipan dokumen sumber. 6) Untuk mendapatkan informasi mengenai prosedur persetujuan penginput-an data ke dalam Sistem Informasi penggajian. 7) Untuk mengecek apakah fasilitas menu dalam Sistem Informasi penggajian apakah telah memenuhi kebutuhan user dan efektif dalam penggunaannya.

35 Objek yang Diaudit atas Pengendalian Masukan (Input Controls) Adapun objek yang diaudit atas Pengendalian Masukkan (Boundary Controls) adalah : 1) Sistem Informasi penggajian pada PT. Nagasakti Kurnia Textile Mills 2) Pada saat login ke Sistem Informasi penggajian pada PT. Nagasakti Kurnia Textille Mills. 3) Interface Sistem Informasi Penggajian pada PT. Nagasakti Kurnia Textille Mills 4) Dokumen input. 5) Dokumen output. 6) Tempat Pengarsipan. 7) Memori komputer. 8) Kepala Bagian personalia 9) Staf absensi dan penggajian 10) Pada menu inquery dan dokumen input Kriteria Standar atas Pengendalian Masukan (Input Controls ) Adapun kriteria standar yang harus ada untuk Pengendalian Masukan (Input Controls ), yaitu : 1) Source document controls. 2) Validation controls. 3) Input error correction. 4) Terdapat pemisahan otoritas antar bagian.

36 116 5) Penggunaan bahasa, desain warna, dan tampilan layar harus mudah dimengerti oleh user. 6) Penyimpanan dokumen sumber berdasarkan periode dan jenis dokumen. 7) Menu-menu dalam sistem aplikasi harus efektif penggunaannya Instrumen yang Digunakan atas Pengendalian Masukan (Input Controls) Instrumen yang digunakan atas Pengendalian Masukan (Input Controls) adalah : 1) Kuesioner di isi oleh Kepala bagian Personalia dan staf absensi Pengendalian Input No Pertanyaan Jawaban Ya Tidak Keterangan Tingkat Resiko 1. Apakah tiap transaksi input yang terjadi telah diotorisasi? 2. Apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? 3. Apakah telah dilakukan validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size? Karena penginputan data sudah ditunjuk jelas orang yang berhak melakukan input data. Misalnya untuk absen hanya boleh oleh Ibu Yanti. Ada dan langsung ditangani per kasus. Tidak ada, karena keabsahan transaksi ditanggung jawab oleh bagian tersebut. High Low High

37 Bahasa pemrograman yang digunakan: a. Office b. ASP c. VB d. Oracle e. Foxpro 5. Sistem pemrosesan data : a. Batch System b. On-line real time Windows XP & 98 Foxpro 2.6 Perusahaan memakai duaduanya tergantung kasus. Low 6. Apakah user dan operator diberikan pelatihan terlebih dahulu mengenai cara input data? Pada saat masuk kerja dan dilatih oleh kepala bagian masing-masing. Low Tabel 4.14 Pengendalian Aplikasi Terhadap input Sumber: Analisa Penulis selaku Auditor 2) Wawancara dengan Kepala Bagian Personalia PT. Nagasakti Kurnia Textile Mills Pengendalian Masukan (Input Controls) PERTANYAAN JAWABAN Apakah Sistem Informasi Karena peng-input-an data sudah ditunjuk Penggajian pada saat input telah jelas orang yang berhak melakukan input terjadi otorisasi? data. Misalnya untuk absen hanya boleh Apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? Apakah ada pelatihan terlebih dahulu mengenai cara input data? Apakah perusahaan menyediakan buku pedoman kerja atau prosedur tertulis mengenai cara input data? oleh Ibu Yanti. Ada dan langsung ditangani per kasus Pada saat masuk kerja dan dilatih oleh kepala bagian masing-masing Melalui pemberitahuan langsung atau tatap muka.

38 118 Apakah data yang di-input sesuai Ya dengan output yang dihasilkan? Tabel 4.15 Wawancara terhadap Pengendalian Masukkan (Input Controls) Sumber: Analisa Penulis selaku Auditor Temuan, Resiko dan Rekomendasi atas Pengendalian Masukan (Input Controls) TEMUAN RESIKO REKOMENDASI Tiap transaksi Menyebabkan manipulasi Sebaiknya setiap transaksi input yang terjadi tidak diotorisasi. data harus ada otorisasi agar tidak disalahgunakan. Tidak terdapat Menyebabkan kesalahan Harus ada validity test. validity test untuk data menjamin keabsahan transaksi. Tabel 4.16 Temuan, Resiko dan Rekomendasi terhadap Pengendalian Masukkan Sumber: Analisa Penulis selaku Auditor Pengendalian Keluaran (Output Controls) Tujuan Dilakukan Audit atas Pengendalian Keluaran (Output Controls) Tujuan dilakukannya audit atas pengendalian keluaran (Output Controls) meliputi : 1) Untuk memastikan pengendalian keluaran yang ada berjalan dengan baik. 2) Untuk mengetahui apakah terdapat sistem pengawasan terhadap catatan untuk setiap laporan yang ada dan prosedur permintaan laporan rutin atau permintaan baru.

39 119 3) Untuk memastikan bahwa Sistem Informasi penggajian dapat menghasilkan laporan sesuai dengan kebutuhan dan didistribusikan secara tepat waktu dan tepat sasaran, serta kepada pihak yang berkepentingan. 4) Untuk memastikan setiap laporan yang dihasilkan sudah tercantum halaman, judul, tanggal, periode, nomor urut, jam laporan dicetak, contact person, dan end of page. 5) Untuk memastikan laporan diarsip ditempat yang mudah dijangkau dan batas waktu lamanya laporan tersebut diarsip, serta control terhadap proses penghancuran laporan yang sudah tidak diperlukan Objek yang Diaudit atas Pengendalian Keluaran (Output Controls) Adapun objek yang diaudit atas pengendalian keluaran (Output Controls) adalah : 1) Sistem Informasi penggajian PT. Nagasakti Kurnia Textile Mills 2) Kepala Bagian personalia 3) Staf absensi dan penggajian 4) Dokumen output Kriteria Standar yang harus ada atas Pengendalian Keluaran (Output Controls) Adapun kriteria standar yang harus ada untuk Pengendalian Keluaran (Output Controls), yaitu : 1) Menjaga suatu keluaran yang disajikan akurat, lengkap, dan mutakhir datanya, dan juga didistribusikan kepada orang-orang yang berhak dan tepat waktu.