BAB 4 AUDIT SISTEM INFORMASI PENGGAJIAN. menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data

Transkripsi

1 BAB 4 AUDIT SISTEM INFORMASI PENGGAJIAN Pengendalian terhadap sistem informasi yang ada sangat penting dalam menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data yang tidak terkontrol akan menimbulkan resiko yang berdampak luas bagi perusahaan. Dengan melakukan proses audit dapat ditemukan kelemahan-kelemahan dari sistem atau penyelewengan yang terjadi sehingga dapat memberikan suatu rekomendasi perbaikan bagi perusahaan dalam menjalankan kegiatan di masa mendatang. Pada bab ini akan dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penggajian. Bukti-bukti diperoleh dari dokumentasi, wawancara dengan karyawan serta pengamatan secara langsung di PT. AQUARIUS MUSIKINDO. 4.1 Perencanaan Audit Dengan perencanaan audit, maka auditor dapat memperoleh bahan bukti yang cukup dan memadai. Tahap perencanaan audit dilakukan dengan menentukan ruang lingkup, tujuan dan pelaksanaan audit, persiapan penelitian lapangan dan pengumpulan bukti-bukti. a. Penentuan ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian yang sedang berjalan. Pengendalian manajemen difokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. Sedangkan pengendalian aplikasi 64

2 65 difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan dan pengendalian keluaran. b. Tujuan pelaksanaan audit Tujuan dan pelaksanaan audit adalah untuk: 1. Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan. 2. Memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian. 3. Menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO. c. Persiapan penelitian lapangan Untuk melakukan penelitian lapangan, maka auditor membuat program kerja audit sebagai berikut: 1. Mengatur jadwal untuk dapat bertemu dengan Manajer Personalia pada PT. AQUARIUS MUSIKINDO. 2. Bertemu dengan Manajer Personalia perusahaan dan meminta izin untuk melaksanakan audit serta mengajukan proposal pelaksanaan audit. 3. Mengumpulkan data perusahaan, seperti latar belakang perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, peraturan-peraturan perusahaan, serta tugas, tanggung jawab dan wewenang jabatan-jabatan dalam struktur organisasi perusahaan. 4. Melakukan wawancara dengan Bagian Personalia yang berhubungan dengan sistem informasi penggajian berdasarkan atas check-list yang telah dibuat dan melakukan pengumpulan data-data yang berhubungan dengan audit yang sedang dilakukan.

3 66 5. Melakukan wawancara dengan Bagian IT Development yang bertanggung jawab terhadap pemeliharaan dan pengendalian sistem aplikasi penggajian berdasarkan atas check-list yang telah dibuat. 6. Melakukan analisa terhadap hasil wawancara untuk dapat mengetahui kelebihan dan kekurangan dari sistem yang sedang digunakan oleh perusahaan. 7. Membuat laporan audit berdasarkan analisa yang telah dilakukan. d. Pengumpulan bukti-bukti Pengumpulan bukti-bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit seperti pada Bagian Personalia dan Bagian IT. Bukti-bukti dikumpulkan dengan berbagai cara, antara lain : 1. Observasi Auditor melakukan observasi dengan mengunjungi PT. AQUARIUS MUSIKINDO untuk mendapatkan gambaran umum mengenai perusahaan tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh Bagian Personalia dapat diketahui apakah prosedur dan sistem pengendalian internal sudah diterapkan oleh karyawan yang berwenang. Observasi yang dilakukan oleh auditor ditekankan pada penggajian. 2. Wawancara Auditor melakukan wawancara secara lisan dengan menggunakan bantuan check-list terhadap staf yang bersangkutan untuk memperoleh gambaran secara rinci mengenai siklus penggajian yang ada. Pertanyaan yang ditanyakan seputar prosedur dan tata laksana sistem informasi penggajian

4 67 yang dijalankan. Dari jawaban-jawaban tersebut dapat dikumpulkan untuk mengambil suatu kesimpulan dan memberikan rekomendasi. 4.2 Pengevaluasian Bukti Audit pada Pengendalian Manajemen Dalam melakukan pengevaluasian terhadap pengendalian manajemen, auditor hanya memfokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional Pengendalian Manajemen Keamanan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: Check-List Pengendalian Manajemen Keamanan Tabel 4.1 Hasil Wawancara Pengendalian Manajemen Keamanan No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat alarm kebakaran Perusahaan hanya memiliki baik yang otomatis ataupun yang alarm kebakaran manual. manual yang diletakkan di lokasi yang strategis untuk melindungi aset perusahaan? 2. Apakah terdapat alat pemadam kebakaran otomatis di setiap ruangan? 3. Apakah terdapat alat pemadam kebakaran manual yang diletakkan pada posisi yang mudah dijangkau? 4. Apakah dilakukan pengecekan alat Alat pemadam kebakaran pemadam kebakaran secara dicek setiap setahun sekali. periodik? 5. Apakah terdapat hydrant sebagai Satpam diberikan pelatihan alat tambahan untuk mengantisipasi kebakaran? hydrant tersebut. untuk menggunakan 6. Apakah perusahaan memiliki pintu dan tangga darurat untuk tindakan evakuasi jika terjadi kebakaran?

5 7. Apakah ruangan penyimpanan data dan sistem informasi terletak pada ruangan yang aman dari ancaman banjir? 8. Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber listrik? 9. Apakah perusahaan menggunakan UPSs sebagai alat penyimpan arus listrik sementara jika terjadi gangguan terhadap arus listrik dan sebagai salah satu media untuk melindungi perangkat komputer? 10. Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik? 68 Ruang penyimpanan data dan sistem informasi terletak di lantai 3. Perusahaan memiliki 2 generator untuk mengatasi gangguan sumber listrik. Tidak semua komputer perusahaan menggunakan UPSs, hanya komputer di bagian tertentu seperti Kepala Bagian dari tiap divisi yang dilengkapi UPSs dan sesuai kebutuhan. Komputer perusahaan tidak menggunakan stabilizer karena tegangan listrik untuk lokasi perusahaan stabil. 11. Apakah terdapat AC dalam ruangan komputer? 12. Apakah temperatur atau suhu AC Temperatur AC diatur di ruangan Personalia diatur antara derajat Celcius. sehingga mendukung penggunaan komputer untuk jangka waktu yang lama? 13. Apakah AC dibersihkan secara AC dibersihkan setiap periodik sehingga suhu ruangan sebulan sekali. tetap stabil? 14. Apakah setiap ruangan dijaga Ruangan dibersihkan oleh kebersihannya sehingga terbebas cleaning service sebelum dari polusi dan bakteri yang dapat jam kerja. membawa dampak buruk pada peralatan komputer? 15. Apakah perusahaan menggunakan sarung penutup komputer untuk melindungi komputer dari debu? 16. Apakah aset perusahaan sudah Aset perusahaan sudah diasuransikan? diasuransikan seperti gedung, mobil, gudang kaset rekaman, studio dan peralatan musik. 17. Apakah perusahaan menggunakan firewall untuk menjaga keamanan data?

6 Apakah perusahaan membatasi akses masuk ke ruangan data (penggajian) hanya pada karyawan tertentu? Hanya karyawan Bagian Personalia yang mendapat akses untuk masuk ke ruangan data (penggajian). 19. Apakah komputer difasilitasi dengan anti virus? Komputer sudah difasilitasi dengan Norton Anti Virus Apakah anti virus diupdate secara periodik? Anti virus diupdate secara otomatis menggunakan live update Norton Anti Virus. 21. Apakah selalu dilakukan scanning Scanning terhadap virus virus terhadap komputer? dilakukan setiap seminggu sekali EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Perusahaan tidak menggunakan firewall untuk menjaga keamanan data. 2) Perusahaan tidak memasang alarm kebakaran otomatis dan hanya menggunakan alarm kebakaran manual. 3) Tidak terdapat alat pemadam kebakaran otomatis dalam perusahaan. 4) Komputer perusahaan tidak dilengkapi dengan stabilizer dan UPSs hanya dilengkapi pada bagian-bagian tertentu sesuai dengan kebutuhannya. 5) Peralatan komputer tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan.

7 70 Resiko: 1) Tingkat keamanan lebih rendah jika tidak dilengkapi dengan firewall dan adanya kemungkinan hacker mengakses data. 2) Keterlambatan dalam membunyikan alarm manual dapat menyebabkan kebakaran yang lebih besar dan adanya kemungkinan korban jiwa yang semakin banyak. 3) Penggunaan alat pemadam kebakaran manual hanya mengatasi sebagian kecil lokasi kebakaran sehingga api dapat menyebar secara cepat ke lokasi lainnya. 4) Tegangan listrik yang tidak stabil dapat merusak komputer. 5) Komputer lebih rawan terhadap debu yang dapat membawa dampak buruk pada peralatan komputer. Rekomendasi: 1) Sebaiknya komputer dilengkapi dengan firewall untuk menjaga keamanan data perusahaan. 2) Sebaiknya perusahaan juga menyediakan alarm kebakaran yang otomatis di setiap ruangan sehingga lebih cepat dalam mendeteksi kebakaran. 3) Selain menggunakan alat pemadam kebakaran manual, sebaiknya perusahaan juga menggunakan alat pemadam kebakaran otomatis di setiap ruangan. 4) Sebaiknya setiap komputer dilengkapi dengan UPSs dan sebagai tindakan pencegahan terhadap kemungkinan tegangan listrik yang

8 71 tidak stabil sebaiknya perusahaan melengkapi komputernya dengan stabilizer. 5) Komputer yang tidak digunakan sebaiknya ditutup dengan sarung penutup komputer untuk melindungi komputer dari debu Pengendalian Manajemen Operasional Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: Check-List Pengendalian Manajemen Operasional Tabel 4.2 Hasil Wawancara Pengendalian Manajemen Operasional No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat kamera pengawas Tidak terdapat kamera di lingkungan perusahaan? pengawas karena memerlukan biaya yang besar. 2. Apakah terdapat mesin absensi Mesin absensi digunakan untuk pengabsenan karyawan? saat jam masuk dan keluar kantor. Kepala bagian hanya 3. Apakah terdapat pengawasan terhadap pengabsenan yang dilakukan oleh karyawan 4. Apakah terdapat pengawasan terhadap penggunaan fasilitas kantor yang dilakukan oleh karyawan? 5. Apakah terdapat pelatihan untuk karyawan baru yang berhubungan langsung dengan sistem? melakukan pengawasan terhadap karyawan yang hadir dalam ruangan tetapi tidak mengecek kebenaran absensi pada kartu absensi. Untuk pelatihan yang berhubungan dengan sistem dilatih oleh Bagian IT Development. 6. Apakah dalam periode tertentu Evaluasi terhadap kinerja dilakukan evaluasi terhadap karyawan dilakukan setiap

9 72 kinerja karyawan? 7. Apakah ruangan server telah ditempatkan pada tempat yang strategis? 8. Apakah perusahaan sudah menggunakan hardware dan software yang sesuai dan dapat dihandalkan untuk mendukung sistem informasi? 9. Apakah hardware dan software yang ada sudah dikelola dengan efektif dan efisien sesuai dengan kebutuhan perusahaan? 10. Apakah perusahaan melakukan perawatan terhadap hardware dan software secara periodik? 11. Apakah perusahaan sudah memiliki jaringan komunikasi? Jika ya, jaringan apa yang digunakan? a. LAN b. WAN 12. Apakah terdapat pengawasan terhadap keamanan jaringan? Jika ya, siapa yang bertanggungjawab terhadap keamanan jaringan? 13. Apakah terdapat penjadwalan kerja dalam pemakaian komputer yang terdapat di dalam perusahaan? 14. Apakah perusahaan sudah memberikan gaji sesuai dengan standar UMP (Upah Minimum Propinsi)? 3 bulan sekali. Ruangan server terletak di lantai dua. Hardware dan software telah dikelola dengan efektif dan efisien. Sebagai contoh: perusahaan menggunakan Pentium III karena masih dapat mendukung kegiatan operasional. Perusahaan melakukan perawatan hardware dan software setiap 1 tahun sekali dan pada saat kondisi accidental. Perawatannya dilakukan oleh Bagian Technical Support. Manajer IT yang bertanggungjawab terhadap keamanan jaringan. Setiap bagian mengoperasikan komputernya masing-masing Perusahaan memberikan gaji di atas standar UMP (Jakarta = Rp ) dimana gaji minimum yang berlaku di perusahaan adalah Rp per bulan.

10 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Tidak memasang kamera pengawas di lingkungan perusahaan tetapi terdapat satpam yang menjaga keamanan perusahaan secara bergiliran. 2) Tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri. 3) Pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya. Resiko: 1) Pengamanan terhadap lingkungan perusahaan belum sepenuhnya terkontrol dengan baik karena adanya kemungkinan ancaman datang dari dalam perusahaan misalnya: pencurian yang dilakukan oleh karyawan. 2) Menimbulkan biaya tambahan yang merugikan perusahaan. 3) Menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Rekomendasi: 1) Selain pengamanan yang dilakukan oleh satpam, sebaiknya perusahaan menggunakan kamera pengawas pada ruangan-

11 74 ruangan yang menyimpan aset perusahaan yang penting seperti peralatan menggandakan kaset. 2) Perusahaan membuat kebijakan mengenai penggunaan fasilitas kantor dan mengenakan sanksi yang tegas bagi karyawan yang melakukan pelanggaran. 3) Sebaiknya pada jam masuk dan keluar kantor, terdapat staf Bagian Personalia yang mengawasi jalannya pengisian absensi. 4.3 Pengevaluasian Bukti Audit pada Pengendalian Aplikasi Dalam melakukan pengevaluasian terhadap pengendalian aplikasi, auditor berfokus pada pengendalian batasan sistem aplikasi, pengendalian masukan, pengendalian keluaran Pengendalian Batasan Sistem Aplikasi Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: Check-List Pengendalian Batasan Sistem Aplikasi Tabel 4.3 Hasil Wawancara Pengendalian Batasan Sistem Aplikasi No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat identifikasi akses Perusahaan menggunakan terhadap sistem penggajian? metode password untuk Jika ya, metode apakah yang digunakan dan sejauh mana metode terhadap sistem penggajian. mengidentifikasi akses tersebut diimplementasikan? a. Username b. Sidik jari c. Suara d. Password?

12 2. Apakah terdapat ketentuan panjang minimum untuk password? 3. Apakah password yang diinput boleh kurang dari digit yang disediakan? 75 Panjang password telah ditentukan sebanyak 7 digit. Password yang diinput harus sesuai dengan jumlah digit yang telah disediakan yaitu 7 digit. 4. Apakah password yang diketikkan tidak terlihat/ invisible? disembunyikan dalam ben- Password yang diketikkan tuk. 5. Apakah dalam penggunaan password dilakukan dengan kombinasi? Jika ya, metode apa yang digunakan? a. Alfabet, angka, tanda baca? b. Karakter campuran lainnya? 6. Apakah sistem melakukan enkripsi atas password user? Jika ya, teknik cryptographic apa yang digunakan? a. Transposition ciphers b. Substitution ciphers c. Product ciphers 7. Apakah terdapat batasan maksimum untuk kesalahan memasukkan password? Jika ya, berapa kali kesempatan yang diberikan untuk memasukkan password? 8. Apakah perusahaan melakukan perubahan password secara berkala? 9. Apakah perusahaan melakukan pergantian password secepatnya apabila ada karyawan yang mengoperasikan sistem penggajian berhenti bekerja? 10. Apakah perusahaan memiliki kebijakan terhadap pembatasan akses terhadap data? Jika ya, kebijakan pengendalian akses apa yang digunakan? Password dibuat dengan kombinasi alfabet dan angka. Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem. Perubahan password dilakukan secara berkala, yaitu setiap akhir tahun. Perusahaan membatasi akses dengan menggunakan kebijakan Mandatory Access Control karena hanya karyawan personalia yang -

13 76 a. Discretionary access control b. Mandatory access control 11. Apakah perusahaan membatasi hak akses bagi karyawan tertentu? Dan jika ya, sejauh mana tindakan yang dapat dilakukan oleh karyawan tersebut terhadap data yang ada dalam sistem? a. Read b. Add c. Modify 12. Apakah setiap akses yang dilakukan terhadap sistem direkam secara otomatis untuk memudahkan audit trail? mendapat hak untuk mengakes data penggajian yang bersifat confidential. Yang berhak mengakses data dalam sistem pengajian hanya karyawan personalia dimana karyawan tersebut dapat melakukan read, add dan modify terhadap data tersebut Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dalam pengidentifikasian akses terhadap sistem penggajian, perusahaan hanya menggunakan password. 2) Pergantian password dilakukan setahun sekali sehingga tingkat keamanan terhadap akses yang tidak terotorisasi lebih rendah. 3) Perusahaan tidak melakukan sistem enkripsi terhadap password user. 4) Setiap akses yang dilakukan terhadap sistem tidak direkam. 5) Tidak terdapat batasan maksimum untuk kesalahan password. Kesempatan untuk memasukkan password hanya sekali. Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem.

14 77 Resiko: 1) Apabila identifikasi hanya menggunakan password maka lebih mudah ditebak sehingga tingkat pengendaliannya lebih rendah. 2) Tingkat keamanan lebih rendah sehingga memudahkan pihak yang tidak memiliki otorisasi untuk mengakses sistem. 3) Tanpa sistem enkripsi maka password lebih mudah dipecahkan oleh hacker. 4) Lebih sulit untuk melakukan audit trail apabila setiap akses terhadap sistem tidak direkam. 5) Membutuhkan waktu yang lebih lama untuk masuk ke dalam sistem informasi penggajian dan memperlambat pekerjaan. Rekomendasi: 1) Untuk pengidentifikasian akses terhadap sistem penggajian akan lebih baik jika menggunakan username dan password. Dengan menggunakan username maka pihak yang tidak berwenang harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam sistem sehingga tingkat keamanannya lebih tinggi. 2) Sebaiknya password diganti sesering mungkin sesuai dengan kebutuhan user dan perusahaan. 3) Password sebaiknya dienkripsi untuk mempersulit pihak-pihak yang ingin mendapatkan password secara ilegal dengan menggunakan teknik substitution ciphers karena sudah bisa memenuhi kebutuhan perusahaan.

15 78 4) Akan lebih baik jika perusahaan menggunakan alat perekam otomatis, contohnya key logger untuk memudahkan proses audit trail. 5) Sistem penggajian sebaiknya memberikan kesempatan untuk memasukkan password maksimal tiga kali karena adanya kemungkinan terjadi kesalahan penginputan password Pengendalian Masukan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: Check-List Pengendalian Masukan Tabel 4.4 Hasil Wawancara Pengendalian Masukan No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode input data yang Perusahaan menggunakan digunakan oleh perusahaan? metode keyboarding untuk a. Keyboarding menginput data. b. Direct Reading c. Direct Entry 2. Apakah perusahaan menggunakan dokumen-dokumen tertentu untuk menginput data penggajian? Jika ya, dokumen apa yang digunakan oleh Bagian Personalia dalam menginput data penggajian? Dokumen yang digunakan adalah keterangan lembur dan keterangan kasbon yang sudah direkap menjadi daftar lembur dan daftar kasbon. Dokumen pendukung yang digunakan adalah perubahan peraturan persentase ASTEK, perubahan UU Pajak Penghasilan, keputusan kenaikan gaji, dan keputusan promosi/demosi.

16 3. Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang? 4. Apakah terdapat ketentuan perhitungan jam lembur karyawan? Jika ya, bagaimana cara perhitungannya? 79 Keterangan lembur diotorisasi oleh Kepala Bagian dari masing-masing karyawan dan kas bon diotorisasi oleh Bagian Accounting. Kemudian keterangan lembur dan kasbon tersebut direkap oleh Bagian Personalia menjadi Daftar Lembur dan Kasbon. Perhitungan lembur: 1/173 x gaji netto x jam lembur Tidak terdapat perhitungan kelipatan pada jam lembur berikutnya. 5. Apakah terdapat jumlah maksimal Tidak terdapat ketentuan jam lembur karyawan? maksimal jam lembur, tergantung pada pekerjaan yang harus diselesaikan oleh karyawan. 6. Apakah terdapat pengawasan terhadap pelaksanaan lembur? Jika ada, siapakah yang mengawasi pelaksanaan lembur? 7. Apakah terdapat kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon? Jika ada, bagaimana kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon dan bagaimana cara pelunasannya? 8. Apakah perusahaan menggunakan nomor urut tercetak pada setiap dokumen? 9. Dokumen dalam sistem penggajian diinput dengan metode apa? Kepala Bagian mengawasi pelaksanaan lembur karyawan dan pelaksanaan lembur dapat dilihat dari absensi serta hasil pekerjaannya. Maksimum peminjaman kas bon adalah: 1 x gaji karyawan x 6 bulan 2 Contoh : gaji karyawan adalah Rp maka peminjaman maksimum adalah Rp Kas bon harus dibayar dengan memotong langsung dari gaji karyawan tanpa dikenai bunga. Dokumen dalam sistem penggajian diinput dengan metode batch. Setiap tanggal

17 80 a. Batch b. Real time Jika batch, berapa lama periode batch data yang diperlukan untuk penginputan sistem penggajian? 10. Apakah dokumen diarsip? Jika ya berapa lama dokumen untuk penginputan data diarsip oleh perusahaan? 11. Apakah setiap penghancuran dokumen sumber akan dibuat berita acara penghancuran dokumen? 12. Apakah perusahaan memiliki alat penghancur kertas untuk mendukung proses penghancuran dokumen sumber? 13. Apakah sistem penggajian dilengkapi help facility untuk membantu user dalam penginputan data? 14. Pendekatan apa yang digunakan dalam layar penginputan data? a. Fill in area b. Multiple choice c. Tick marks atau indikasi nilai untuk menentukan ukuran field d. Combination instruction dengan pertanyaan 15. Apakah interval waktu untuk melakukan penginputan data dari screen yang satu ke screen yang berikutnya membutuhkan waktu yang lama? 16. Apakah warna pada tampilan layar mengganggu pandangan mata pada saat penginputan data? 17. Apakah menu penginputan sudah tersusun secara sistematis dan berurut sehingga memudahkan proses penginputan data? 20 semua dokumen akan dibatch untuk diproses. Dokumen diarsip sampai 10 tahun. Perusahaan memiliki alat penghancur kertas tetapi tidak digunakan menghancurkan dokumen. Perusahaan memilih cara dengan membakar dokumen yang sudah tidak digunakan. Sistem penggajian tidak dilengkapi dengan help facility. Karyawan Bagian Personalia menginput data dengan memasukkan data ke dalam kolom yang disediakan (fill in area). Menu penginputan sudah tersusun secara sistematis dan berurutan yaitu: Biodata Honor Proses Display Print Set

18 Apakah tampilan input bersifat user friendly? Tanggal Quit. 19. Apakah data yang diinput bersifat case sensitive (berpengaruh terhadap huruf besar/kecil)? 20. Apakah penginputan data boleh kurang dari digit angka yang disediakan pada tampilan layar? 21. Apakah penginputan data penggajian hanya dilakukan oleh karyawan yang berwenang? 22. Tipe pengkodean apa yang digunakan dalam penginputan data? a. Serial Codes b. Block Sequence Codes c. Hierarhical Codes d. Association Codes 23. Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data? 24. Apabila terjadi kesalahan dalam penginputan data, apakah program aplikasi akan menampilkan error message dengan tindakan yang harus dilakukan? 25. Jika terjadi error, apakah user dapat melakukan koreksi terhadap kesalahan yang terjadi atau langsung keluar dari sistem? Data yang diinput bersifat case sensitive dimana penginputan harus menggunakan huruf besar. Penginputan data hanya dilakukan oleh karyawan personalia. Tipe pengkodean yang digunakan adalah Association Codes. Sebagai contoh kode AKN diasosiasikan dengan Bagian Akuntansi. KAN diasosiasikan dengan Bagian Kantor. Setiap data yang dimasukkan dicek kembali sekurangkurangnya tiga kali. Program aplikasi menampilkan error message apabila data yang diinput salah. Contoh apabila nomor karyawan yang diinput salah maka akan muncul message Karyawan tidak terdaftar. User dapat melakukan koreksi terhadap kesalahan yang dibuatnya dan tidak keluar dari sistem Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dokumen-dokumen yang digunakan untuk penginputan tidak menggunakan nomor urut tercetak.

19 82 2) Perusahaan menggunakan metode keyboarding untuk menginput data. 3) Perusahaan tidak membuat berita acara untuk penghancuran dokumen. 4) Perusahaan memiliki alat penghancur kertas tetapi tidak menggunakannya dalam menghancurkan dokumen tetapi memilih cara dengan membakar dokumen yang sudah tidak digunakan. 5) Sistem penggajian tidak dilengkapi dengan help facility. Resiko: 1) Dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang. 2) Dapat terjadi kesalahan dalam penginputan data (human error). 3) Tidak mengetahui dokumen apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan. 4) Dapat menimbulkan polusi dan adanya kemungkinan dokumen tidak terbakar secara total sehingga disalahgunakan oleh orang lain. 5) Karyawan baru memerlukan waktu yang lama untuk mempelajari sistem jika tanpa disertai dengan help facility. Rekomendasi: 1) Sebaiknya dokumen-dokumen yang akan diinput memiliki nomor urut tercetak. 2) Perusahaan tetap menggunakan metode keyboarding dan karyawan yang melakukan penginputan harus bekerja lebih teliti

20 83 serta melakukan pengecekan ulang terhadap data yang telah diinput. 3) Perusahaan harus membuat berita acara untuk penghancuran dokumen. 4) Sebaiknya perusahaan menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman dalam proses penghancuran dokumen. 5) Sistem penggajian didukung oleh help facility sehingga dapat membantu karyawan dalam mempelajari sistem lebih mudah Pengendalian Keluaran Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: Check-List Pengendalian Keluaran Tabel 4.5 Hasil Wawancara Pengendalian Keluaran No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah setiap laporan yang Tidak semua laporan mencantumkan tanggal, bulan, dihasilkan selalu mencantumkan tanggal, bulan, tahun dan waktu pencetakan? tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun 2. Apakah pada setiap laporan dicantumkan: a. nomor halaman dan tanda akhir halaman b. nomor halaman c. tanda akhir halaman dan waktu pencetakan. Setiap laporan yang dihasilkan mencantumkan nomor halaman dan tanda akhir halaman. Contoh: 1/3 yang berarti halaman 1 dari 3 halaman.

21 84 3. Apakah laporan diserahkan Laporan diserahkan kepada kepada pihak yang berwenang? Manajer Personalia dan Direktur. 4. Apakah laporan-laporan yang dihasilkan didistribusikan tepat pada awal periode? 5. Apakah laporan yang dihasilkan mendapat otorisasi dari pihak yang berwenang? 6. Apakah disediakan kolom tanda tangan untuk pembuat laporan? Laporan didistribusikan hanya pada saat dibutuhkan oleh Manajer Personalia dan Direktur. 7. Apakah diberlakukan klasifikasi Setiap laporan diklasifikasikan berdasarkan nama pada setiap laporan? laporan. 8. Apakah setiap laporan disimpan pada tempat yang mudah dijangkau dan tersusun rapi sehingga bila dibutuhkan maka mudah ditemukan? 9. Apakah terdapat kebijakan waktu yang untuk menyimpan suatu laporan? 10. Apakah terdapat berita acara dalam menghancurkan laporan yang tidak diperlukan? Laporan disimpan pada tempat yang mudah dijangkau. Susunan laporan cukup rapi dan mudah ditemukan. Kebijakan yang ditetapkan perusahaan untuk menyimpan laporan selama 10 tahun. 11. Apakah posisi printer sebagai Posisi printer terletak pada sumber output cukup strategis? posisi yang strategis yaitu berada tepat disebelah komputer. 12. Apakah printer Bagian Personalia juga digunakan oleh bagian lainnya? Jika ya, apakah terjadi sistem antrian untuk mencetak? Printer khusus digunakan oleh karyawan Bagian Personalia sehingga tidak terjadi sistem antrian untuk menghasilkan output Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Laporan tidak diotorisasi oleh Manajer Personalia.

22 85 2) Tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan. 4) Tidak tersedia kolom tanda tangan dan nama pembuat laporan. 5) Perusahaan tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi. 6) Perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia pada saat proses penghancuran laporan tetapi dengan cara membakar laporan-laporan tersebut. Resiko: 1) Tidak adanya pengendalian internal yang baik dan adanya kemungkinan laporan tersebut merupakan hasil rekayasa dari karyawan. 2) Tidak diketahui secara tepat kapan waktu laporan tersebut dihasilkan. 3) Kurangnya pengawasan dari Manajer Personalia dan Direktur perusahaan sehingga memungkinkan terjadinya kecurangan. 4) Sulit mengetahui siapa yang bertanggungjawab atas laporan yang dibuat. 5) Tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan.

23 86 6) Dapat menimbulkan polusi dan adanya kemungkinan laporan tidak terbakar secara total sehingga disalahgunakan oleh orang lain. Rekomendasi: 1) Laporan harus mendapat otorisasi dari Manajer Personalia sehingga terdapat pengendalian internal yang baik. 2) Semua laporan harus mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Setiap laporan yang dihasilkan didistribusikan kepada Manajer Personalia dan Direktur tepat pada awal periode. 4) Harus disediakan kolom tanda tangan dan nama pembuat laporan sehingga diketahui siapa yang bertanggungjawab atas laporan tersebut. 5) Perusahaan harus membuat berita acara untuk penghancuran laporan. 6) Sebaiknya perusahaan menggunakan alat penghancur kertas yang sehingga lebih efektif dan aman dalam proses penghancuran laporan.

24 Tabel 4.6 MATRIKS TEMUAN MASALAH, RESIKO, REKOMENDASI DAN PERSON IN CHARGE TEMUAN MASALAH RESIKO REKOMENDASI PERSON IN CHARGE 1. Pengendalian Manajemen Keamanan a. Perusahaan tidak meng- a. Tingkat keamanan lebih a. Sebaiknya komputer di- Technical Support. gunakan firewall untuk rendah jika tidak dilengkapi lengkapi dengan firewall menjaga keamanan data. dengan firewall dan adanya untuk menjaga keamanan kemungkinan hacker meng- data perusahaan. akses data. b. Perusahaan tidak mema- b. Keterlambatan dalam mem- b. Sebaiknya perusahaan juga Bagian Keamanan. sang alarm kebakaran bunyikan alarm manual da- menyediakan alarm keba- otomatis dan hanya pat menyebabkan kebakaran karan yang otomatis di menggunakan alarm yang lebih besar dan adanya setiap ruangan sehingga kebakaran manual. kemungkinan korban jiwa lebih cepat dalam men- yang semakin banyak. deteksi kebakaran. 87

25 c. Tidak terdapat alat pema- c. Penggunaan alat pemadam c. Selain menggunakan alat Bagian Keamanan. dam kebakaran otomatis kebakaran manual hanya pemadam kebakaran ma- dalam perusahaan. mengatasi sebagian kecil nual, sebaiknya perusaha- lokasi kebakaran sehingga an juga menggunakan alat api dapat menyebar secara pemadam kebakaran cepat ke lokasi lainnya. otomatis di setiap ruangan. d. Komputer perusahaan tidak d. Tegangan listrik yang tidak d. Sebaiknya setiap komputer Technical Support. dilengkapi dengan stabil dapat merusak dilengkapi dengan UPSs stabilizer dan UPSs hanya dilengkapi pada bagianbagian tertentu sesuai dengan kebutuhannya. komputer. dan sebagai tindakan pencegahan terhadap kemungkinan tegangan listrik yang tidak stabil sebaiknya perusahaan komputernya melengkapi dengan stabilizer. 88

26 e. Peralatan komputer tidak e. Komputer lebih rawan e. Komputer yang tidak Bagian Pemeliharaan ditutup dengan sarung terhadap debu yang dapat digunakan sebaiknya ditu- Kantor. penutup selama komputer membawa dampak buruk tup dengan sarung penutup tersebut tidak digunakan. pada peralatan komputer. komputer untuk melindungi komputer dari debu. 2. Pengendalian Manajemen Operasional a. Tidak memasang kamera a. Pengamanan terhadap ling- a. Selain pengamanan yang Bagian Keamanan pengawas di lingkungan kungan perusahaan belum dilakukan oleh satpam, perusahaan tetapi terdapat sepenuhnya terkontrol de- sebaiknya perusahaan satpam yang menjaga ngan baik karena adanya menggunakan kamera keamanan perusahaan kemungkinan ancaman da- pengawas pada ruangan- secara bergiliran. tang dari dalam perusahaan ruangan yang menyimpan misalnya: pencurian yang aset perusahaan yang dilakukan oleh karyawan. penting seperti peralatan 89

27 menggandakan kaset. b. Tidak terdapat pengawasan b. Menimbulkan biaya b. Perusahaan membuat Bagian Kantor. terhadap fasilitas kantor tambahan yang merugikan kebijakan mengenai peng- sehingga karyawan dapat perusahaan. gunaan fasilitas kantor dan menggunakan fasilitas kan- mengenakan sanksi yang tor untuk kepentingan diri tegas bagi karyawan yang sendiri. melakukan pelanggaran. c. Pengawasan yang dilakukan c. Menimbulkan pelanggaran c. Sebaiknya pada jam masuk Staf Bagian Personalia. terhadap absensi karyawan terhadap jam kerja dan dan keluar kantor, terdapat masih belum optimal karena mempengaruhi kinerja Staf Bagian Personalia terdapat kejadian dimana karyawan. yang mengawasi jalannya karyawan dapat mengabsen pengisian absensi. kehadiran temannya. 90

28 3. Pengendalian Batasan Sistem Aplikasi a. Dalam pengidentifikasian a. Apabila identifikasi hanya a. Untuk pengidentifikasian IT Development. akses terhadap sistem menggunakan password akses terhadap sistem penggajian, perusahaan maka lebih mudah ditebak penggajian akan lebih baik hanya menggunakan sehingga tingkat pengen- jika menggunakan user- password. daliannya lebih rendah. name dan password. Dengan menggunakan username maka pihak yang tidak berwenang harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam sistem sehingga tingkat keamanannya lebih 91

29 tinggi. b. Pergantian password di- b. Tingkat keamanan lebih b. Sebaiknya password di- IT Development. lakukan setahun sekali. rendah sehingga memudah- ganti sesering mungkin kan pihak yang tidak sesuai dengan kebutuhan memiliki otorisasi untuk user dan perusahaan. mengakses sistem. c. Perusahaan tidak melaku- c. Tanpa sistem enkripsi maka c. Password sebaiknya IT Development. kan sistem enkripsi ter- password lebih mudah dienkripsi untuk mem- hadap password user. dipecahkan oleh hacker. persulit pihak-pihak yang ingin mendapatkan password secara ilegal dengan menggunakan teknik substitution ciphers yang sudah dapat memenuhi kebutuhan 92

30 perusahaan. d. Setiap akses yang d. Lebih sulit untuk d. Akan lebih baik jika Technical Support. dilakukan terhadap sistem melakukan audit trail perusahaan menggunakan tidak direkam. apabila setiap akses alat perekam otomatis, terhadap sistem tidak contohnya key logger direkam. untuk memudahkan proses audit trail. e. Tidak terdapat batasan e. Membutuhkan waktu yang e. Sistem penggajian IT Development. maksimum untuk ke- lebih lama untuk masuk ke sebaiknya memberikan salahan password. Kesem- dalam sistem penggajian kesempatan untuk me- patan untuk memasukkan dan memperlambat pe- masukkan password password hanya sekali. kerjaan. maksimal tiga kali karena Apabila terjadi kesalahan adanya kemungkinan pengisian password, maka otomatis akan keluar dari terjadi kesalahan penginputan password. 93

31 sistem. 4. Pengendalian Masukan a. Setiap dokumen yang a. Dokumen tidak terkontrol a. Sebaiknya setiap dokumen Bagian Personalia. digunakan untuk peng- dengan baik dan sulit yang akan diinput memi- inputan tidak mengguna- mendeteksi dokumen yang liki nomor urut tercetak. kan nomor urut tercetak. hilang. b. Perusahaan menggunakan b. Dapat terjadi kesalahan b. Perusahaan tetap meng- Bagian Personalia. metode keyboarding untuk dalam penginputan data gunakan metode key- menginput data. (human error). boarding dan karyawan yang melakukan penginputan harus bekerja lebih teliti serta melakukan pengecekan ulang terhadap data yang telah diinput. 94

32 c. Perusahaan tidak membuat c. Tidak mengetahui dokumen c. Perusahaan harus membuat Bagian Personalia. berita acara untuk peng- apa saja yang telah di- berita acara untuk peng- hancuran dokumen. hancurkan dan kapan proses hancuran dokumen. penghancuran tersebut dilakukan. d. Perusahaan memiliki alat d. Dapat menimbulkan polusi d. Sebaiknya perusahaan Bagian Personalia. penghancur kertas tetapi ti- dan adanya kemungkinan menggunakan alat peng- dak menggunakannya da- dokumen tidak terbakar hancur kertas yang telah lam menghancurkan doku- secara total sehingga tersedia sehingga lebih men tetapi memilih cara disalahgunakan oleh orang efektif dan aman dalam dengan membakar doku- lain. proses penghancuran men yang sudah tidak dokumen. digunakan. e. Sistem penggajian tidak e. Karyawan baru memerlukan e. Sistem penggajian didu- IT Development. dilengkapi dengan help waktu yang lama untuk kung oleh help facility 95

33 facility. mempelajari sistem jika tanpa disertai dengan help facility. sehingga dapat membantu karyawan dalam mempelajari sistem lebih mudah. 5. Pengendalian Keluaran a. Laporan tidak diotorisasi a. Tidak adanya pengendalian a. Laporan harus mendapat Manajer Personalia. oleh Manajer Personalia. internal yang baik dan otorisasi dari Manajer Per- adanya kemungkinan lapo- sonalia sehingga terdapat ran tersebut merupakan hasil pengendalian internal yang rekayasa dari karyawan. baik. b. Tidak semua laporan b. Tidak diketahui secara tepat b. Semua laporan sebaiknya Bagian Personalia. mencantumkan tanggal, waktu laporan tersebut mencantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, dihasilkan. bulan, tahun dan waktu pencetakan. 96

34 Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. c. Laporan didistribusikan c. Kurangnya pengawasan dari c. Setiap laporan yang Bagian Personalia. kepada Manajer Personalia manajer personalia dan dihasilkan didistribusikan dan Direktur hanya pada direktur perusahaan sehing- kepada Manajer Personalia saat dibutuhkan. ga memungkinkan terjadi- dan Direktur tepat pada nya kecurangan. awal periode. d. Tidak tersedia kolom tanda d. Sulit mengetahui siapa yang d. Harus disediakan kolom Bagian Personalia. tangan dan nama pembuat bertanggungjawab atas la- tanda tangan dan nama laporan. poran yang dibuat. pembuat laporan sehingga diketahui siapa yang bertanggungjawab atas laporan tersebut. 97

35 e. Perusahaan tidak meng- e. Tidak mengetahui laporan e. Perusahaan harus membuat Bagian Personalia. gunakan berita acara untuk apa saja yang telah dihan- berita acara untuk peng- menghancurkan laporan curkan dan kapan proses hancuran laporan. yang tidak diperlukan lagi. penghancuran dilakukan. tersebut f. Perusahaan tidak meng- f. Dapat menimbulkan polusi f. Sebaiknya perusahaan Bagian Personalia. gunakan alat penghancur dan adanya kemungkinan menggunakan alat peng- kertas yang telah tersedia laporan tidak terbakar secara hancur kertas yang telah pada saat proses peng- total sehingga disalah- tersedia sehingga lebih hancuran laporan tetapi gunakan oleh orang lain. efektif dan aman dalam dengan cara membakar laporan-laporan tersebut. proses laporan. penghancuran 98

36 LAPORAN AUDIT Kepada Perihal : PT. AQUARIUS MUSIKINDO : Laporan Hasil Audit Sistem Informasi Penggajian Periode : Januari 2006 LAPORAN AUDIT SISTEM INFORMASI PENGGAJIAN PT. AQUARIUS MUSIKINDO I. Tujuan Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan, memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian, menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO. II. Ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian. Pengendalian manajemen difokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. Sedangkan pengendalian aplikasi difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan, dan pengendalian keluaran. III. Metode Audit Metode audit yang digunakan adalah metode audit around the computer dengan melakukan studi pustaka, observasi, dan wawancara berdasarkan check-list yang telah disusun sebelumnya.

37 100 IV. Hasil Audit Berdasarkan pemeriksaan dan pengamatan yang dilakukan, kami selaku tim auditor memberikan laporan hasil audit sebagai berikut: Pengendalian Manajemen Keamanan Terdapat beberapa kelemahan pada pengendalian manajemen keamanan antara lain yaitu perusahaan belum melengkapi komputer dengan firewall untuk menjaga keamanan datanya sehingga tingkat keamanan lebih rendah dan adanya kemungkinan hacker mengakses data; perusahaan tidak memasang alarm kebakaran otomatis dan alat pemadam kebakaran otomatis untuk mengantisipasi terjadinya kebakaran sehingga dapat menyebabkan kebakaran yang lebih besar dan kemungkinan korban jiwa yang semakin banyak; komputer-komputer perusahaan tidak dilengkapi dengan stabilizer sedangkan UPSs hanya dilengkapi pada komputer di bagian-bagian tertentu sehingga apabila tegangan listrik tidak stabil dapat merusak komputer; serta peralatan komputer yang tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan sehingga komputer lebih rawan terhadap debu. Dari hasil temuan tersebut, maka auditor menyarankan perusahaan melengkapi komputer dengan firewall; menyediakan alarm kebakaran otomatis dan alat pemadam kebakaran otomatis; melengkapi setiap komputer dengan stabilizer dan UPSs; serta menggunakan sarung penutup komputer selama komputer tidak digunakan.

38 101 Pengendalian Manajemen Operasional Pengendalian manajemen operasional masih memiliki beberapa kelemahan seperti tidak terdapatnya kamera pengawas di lingkungan perusahaan sehingga keamanan perusahaan belum sepenuhnya terkontrol dengan baik dan adanya kemungkinan ancaman datang dari dalam perusahaan; tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri yang mengakibatkan biaya tambahan yang merugikan perusahaan; serta pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya sehingga menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Dari hasil temuan diatas, maka auditor menyarankan pengamanan terhadap lingkungan perusahaan tidak hanya menggunakan satpam tetapi juga memasang kamera pengawas pada ruangan-ruangan yang menyimpan aset berharga; membuat kebijakan mengenai penggunaan fasilitas kantor dan memberikan sanksi yang tegas bagi karyawan yang melakukan pelanggaran; serta terdapat Staf Bagian Personalia yang mengawasi jalannya pengisian absensi pada saat jam masuk dan keluar kantor. Pengendalian Batasan Sistem Aplikasi Pengendalian batasan sistem aplikasi memiliki beberapa kelemahan sebagai berikut: perusahaan hanya menggunakan password dalam pengidentifikasian akses terhadap sistem penggajian sehingga password lebih mudah ditebak; pergantian password dilakukan setahun sekali sehingga tingkat keamanan

39 102 terhadap akses yang tidak terotorisasi lebih rendah; perusahaan tidak melakukan sistem enkripsi terhadap password user sehingga password lebih mudah dipecahkan oleh hacker; setiap akses yang dilakukan terhadap sistem tidak direkam sehingga sulit melakukan audit trail; serta tidak terdapat batasan maksimum untuk kesalahan password sehingga apabila terjadi kesalahan pengisian password maka secara otomatis akan keluar dari sistem yang mengakibatkan dibutuhkan waktu yang lebih lama untuk masuk ke dalam sistem dan memperlambat pekerjaan. Dari hasil temuan diatas, maka auditor menyarankan identifikasi akses terhadap sistem menggunakan username dan password; password diganti sesering mungkin sesuai kebutuhan user dan perusahaan; password dienkripsi dengan teknik substitution ciphers; menggunakan alat perekam otomatis seperti key logger untuk memudahkan proses audit trail; serta memberikan kesempatan untuk memasukkan password maksimal tiga kali. Pengendalian Masukan Dalam pengendalian masukan masih terdapat kelemahan-kelemahan seperti dokumen yang diinput tidak menggunakan nomor urut tercetak sehingga dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang; penggunaan metode keyboarding dalam menginput data sehingga memungkinkan terjadinya human error; tidak membuat berita acara untuk penghancuran dokumen sehingga tidak mengetahui dokumen apa saja yang dihancurkan dan kapan proses tersebut dilakukan; tidak menggunakan alat penghancur kertas yang tersedia tetapi dengan cara membakar dokumen pada

40 103 saat proses penghancuran dokumen sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain; serta sistem penggajian yang tidak dilengkapi dengan help facility sehingga memerlukan waktu yang lebih lama untuk mempelajari sistem. Dari hasil temuan diatas, maka auditor menyarankan setiap dokumen memiliki nomor urut tercetak; perusahaan tetap menggunakan metode keyboarding tetapi karyawan harus melakukan pengecekan ulang dan bekerja lebih teliti dalam menginput data; membuat berita acara untuk penghancuran dokumen; menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman; serta menggunakan help facility untuk memudahkan karyawan mempelajari sistem informasi penggajian. Pengendalian Keluaran Kelemahan-kelemahan yang terdapat pada pengendalian keluaran antara lain: laporan-laporan yang dihasilkan tidak diotorisasi terlebih dahulu oleh Manajer Personalia sehingga adanya kemungkinan laporan merupakan hasil rekayasa karyawan; tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan sehingga tidak mengetahui secara tepat waktu laporan dihasilkan; laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan sehingga kurangnya pengawasan dan memungkinkan terjadinya kecurangan; tidak tersedia kolom tanda tangan dan nama pembuat laporan sebagai bukti tanggungjawab atas laporan yang dihasilkan; tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi sehingga tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan

41 104 proses tersebut dilakukan; serta perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia melainkan menggunakan cara membakar laporanlaporan tersebut ketika melakukan proses penghancuran laporan sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain. Dari hasil temuan tersebut, maka auditor menyarankan laporan-laporan yang dihasilkan harus mendapat otorisasi terlebih dahulu dari Manajer Personalia; semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan; setiap laporan yang dihasilkan harus didistribusikan kepada Manajer Personalia dan Direktur secara tepat waktu; setiap laporan harus disediakan kolom tanda tangan dan nama pembuat laporan; membuat berita acara untuk penghancuran laporan; serta menggunakan alat penghancur kertas yang telah tersedia sehingga proses penghancuran lebih efektif dan aman.