BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA

Transkripsi

1 BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA Dengan terus berkembangnya teknologi di jaman sekarang ini, peranan sistem informasi terhadap perkembangan dunia usaha sangat penting. Dalam menjalani proses audit terhadap sistem informasi harus terlebih dahulu mengetahui latar belakang dan kegiatan yang dijalankan perusahaan. Pada bab ini dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi sumber daya manusia PT. Pertamina Tongkang. Hasil temuan yang diperoleh berasal dari sumber prosedur dan kebijakan, hasil audit check list berdasarkan hasil analisa, pengamatan dan pengujian juga adanya wawancara dengan GM HRD beserta staf/karyawan pada divisi yang terkait. 4.1 Perencanaan Audit Tahap ini merupakan tahap awal dalam proses audit yang penetapan persiapan audit, ruang lingkup, dan persiapan penelitian lapangan. 1. Persiapan audit Audit dimulai dengan pencarian informasi mengenai sejarah perusahaan baik yang berhubungan dengan teori audit sistem informasi sumber daya manusia sehingga mempunyai tahap dasar persiapan audit yang baik untuk dapat memulai ke proses berikutnya. 74

2 75 2. Penentuan ruang lingkup dan sasaran Penentuan ruang lingkup bermanfaat agar audit dapat dilaksanakan berdasarkan perencanaan yang baik sehingga dapat menghindari kekacauan atau ketidakteraturan selama dalam proses pelaksanaan audit. Juga perlunya menentukan sasaran yang ingin dicapai sehingga proses yang dilaksanakan selalu mempunyai sasaran dan tidak keluar dari jalur sasaran yang telah ditetapkan. Sehingga proses audit lebih terstruktur dan terkendali dengan adanya ruang lingkup dan sasaran yang telah ditetapkan. a) Ruang lingkup dari sistem informasi sumber daya manusia PT. Pertamina Tongkang adalah pengendalian (control) terhadap prosedur dan kebijakan yang berlaku, proses pelaksanaan sistem informasi sumber daya manusia dengan melakukan evaluasi terhadap pengendalian umum dan pengendalian aplikasi yang berjalan dalam perusahaan. b) Sasaran yang hendak dicapai dari audit sistem informasi sumber daya manusia PT. Pertamina Tongkang adalah pengumpulan bukti-bukti audit yang terkait dengan tujuan audit dalam menentukan: 1. Reabilitas (dapat dipercaya) dan integritas (kesatuan) dalam sistem yang berjalan. 2. Kebijaksanaan, pengendalian, perencanaan dan pengaturan. c) Metode yang digunakan dalam pelaksanaan audit adalah metode audit around the computer yang pembahasannya mencakup pembahasan input dan output sistem informasi sumber daya manusia yang dimulai

3 76 dari permintaan karyawan baru oleh divisi yang terkait sampai dengan penilaian kinerja karyawan oleh GM HRD. 3. Persiapan penelitian lapangan Dalam melakukan penelitian lapangan, para auditor memerlukan persiapan dengan mempunyai instrument penelitian yang dapat digunakan dalam audit sistem informasi sumber daya manusia seperti audit check list, wawancara, dan pengamatan. Pengumpulan bukti audit dapat dilakukan dengan cara audit check list, wawancara dan pengamatan dalam proses audit sumber daya manusia. 4. Metodologi Penelitian Berikut ini merupakan metodologi yang digunakan oleh penulis dalam melakukan penelitian: a) Audit Check List Berupa daftar pertanyaan yang akan ditanyakan kepada narasumber dan juga daftar pertanyaan dapat digunakan pada saat melakukan observasi. b) Pengamatan (Observation) Evaluasi sumber daya perusahaan PT. Pertamina Tongkang dilakukan melalui penelitian yang berdasarkan pengamatan langsung dengan mengunjungi perusahaan untuk memperoleh gambaran umum mengenai keadaan atau kondisi perusahaan. Selain itu, penelitian ditujukan untuk mengetahui apakah karyawan telah melaksanakan

4 77 tugasnya dengan baik sesuai dengan tanggung jawab yang diberikan, terutama pada ruang lingkup yang diaudit. Pengamatan (observation) ini dilakukan pada bagian : 1. Aplikasi yang tertera pada monitor komputer harus disesuaikan dengan seluruh informasi yang diterima dan senantiasa dilakukan pengecekan ulang sebelum dilakukan closing. 2. Internal kantor Pengawasan ini dilakukan terhadap seluruh aktivitas atau kegiatan operasional kantor, termasuk pengawasan terhadap pemberdayaan sumber daya manusia yang dimiliki perusahaan. 3. Pemeriksaan bukti-bukti dokumen Dilakukan dengan cara pengumpulan dan pengevaluasian dokumen-dokumen yang ada misalnya dengan memeriksa kelengkapan dokumen pada sistem informasi sumber daya manusia. c) Wawancara (Interview) Proses wawancara merupakan suatu proses atau tindakan yang diambil oleh para auditor untuk mendapatkan informasi yang diperlukan dengan mengajukan pertanyaan untuk dijawab oleh personil yang bersangkutan. Penelitian ini dapat dilakukan dengan cara lisan maupun tertulis dengan manajer HRD, para karyawan dalam departemen atau divisi yang berkaitan.

5 Daftar pengendalian Pengendalian Operasional (Operational Control) No Pertanyaan Ya Tidak Keterangan 1. Apakah tata letak ruang kerja tiaptiap bagian sudah disusun dengan strategis? 2. Apakah terdapat mesin absensi sebelum masuk ke dalam kantor? (Cobit) DS 13.2 Job scheduling 3. Apakah PT. Pertamina Tongkang dalam periode tertentu melakukan evaluasi kinerja terhadap karyawan? (Cobit) PO7.7 Employee job performance evaluation. 4. Apakah perusahaan melakukan pelatihan terhadap karyawan Ada, berupa finger print Evaluasi dilakukan 1 tahun sekali Pelatihan dilakukan jika ada kebutuhan secara berkala? (Cobit) AI7.1 Training pada setiap bagian

6 79 5. Apakah setiap karyawan yang berhubungan dengan sistem SDM sudah memiliki unit komputer sendiri? 6. Apakah dilakukan perawatan terhadap hardware secara berkala? (Weber, p295) Maintenance control 7. Apakah terminal pengendalian menggunakan : a. LAN b. WAN (Weber, p297) Network operation Tabel Audit Checklist Pengendalian Operasional (Operational Control) Pengendalian Keamanan (Security Control) No Pertanyaan Ya Tidak Keterangan 1. Apakah setiap komputer yang ada aplikasi sistem SDM memakai password?

7 80 2. Apakah setiap komputer yang ada sudah dilengkapi dengan Memakai anti virus AVG 75 program anti virus? (Cobit) DS5.9 Malicious Software Prevention, Detection and Correction. 3. Apakah setiap komputer telah melakukan scan virus secara rutin? (Cobit) DS5.9 Malicious Software Prevention, Detection and Correction. 4. Apakah setiap karyawan sudah memiliki kartu identitas yang disertai dengan foto? (Cobit) AI3.3 Infrastructure Maintenance 5. Apakah setiap pengunjung perusahaan diwajibkan melapor kepada petugas keamanan?

8 81 6. Apakah anti virus di update secara periodik? (Cobit) DS5.9 Malicious Software Prevention, Detection and Correction. 7. Apakah ruang server sudah dilengkapi dengan alat pendingin ruangan (Air Conditioner), dan alat pengukur suhu? 8. Apakah ruang server bisa dimasuki oleh siapa saja? 9. Apakah perusahaan memiliki server cadangan untuk back up data? 10. Apakah ada pemeriksaan terhadap hardware dan software secara rutin? (Weber, p295) Maintenance control Pemeriksaan dilakukan selama 3 bulan sekali

9 Apakah ada penanggulangan khusus jika terjadi tegangan listrik yang tidak stabil? (Weber, p258) Energy variations 12. Apakah PT. Pertamina Tongkang memiliki system drypipe automatic sprinkler untuk Perusahaan memakai Uninteruptable Power Supply (UPS) mengantisipasi kebakaran? (Weber, p258) Water damage 13. Apakah perusahaan memiliki tabung pemadam kebakaran? (Weber, p257) Fire damage 14. Apakah tabung pemadam kebakaran diletakkan pada setiap ruangan? (Weber, p257) Fire damage 15. Apakah dilakukan pengecekkan secara rutin terhadap tabung pemadam kebakaran? 16. Apakah ada detector asap dalam ruangan kerja?

10 Jika terjadi bencana apakah PT. Pertamina Tongkang mempunyai perencanaan pemulihan terhadap adanya bencana? (Weber, p266) Disaster recovery plan 18. Apakah terdapat asuransi untuk menanggung segala kerugian apabila terjadi bencana yang dapat merusak peralatan dan fasilitas? (Weber, p271) insurance Tabel Audit Checklist Pengendalian Keamanan (Security Control) Pengendalian Boundary (Boundary Control) No Pertanyaan Ya Tidak Keterangan 1. Apakah setiap karyawan/user dapat melakukan login di komputer mana saja? 2. Apakah aplikasi SDM hanya dapat di akses oleh orang-orang yang terotorisasi? (Weber, p378) Access control

11 84 3. Apakah ada ketentuan mengenai berapa digit panjang password? (Weber, p382) Password management principles 4. Apakah terdapat peringatan (ErrorBox) bila user mengisi password yang salah? 5. Apakah ada pembatasan berapa kali user boleh salah dalam meng entry user name atau password? (Weber, p382) Password management principles 6. Apakah setiap user berhak sepenuhnya untuk langsung melakukan perubahan password? 7. Pada saat penginputan password, tampilan di layar akan menampilkan : a. Kosong b. Bintang (Weber, p382) Password management principles

12 85 8. Apakah dalam penggunaan password dilakukan kombinasi (huruf dan angka)? 9. Apakah dalam aplikasi oracle ada fungsi otentifikasi untuk Ya, dalam bentuk password pembatasan akses user? (Weber, p380)identification and authentication 10. Apakah dalam aplikasi oracle ada fungsi identifikasi untuk Ya, dalam bentuk user name pembatasan akses user? (Weber, p380)identification and authentication 11. Apakah ada penghapusan user name untuk karyawan yang sudah tidak bekerja lagi di perusahaan? 12. Apakah karyawan dapat mengakses hasil pelatihan yang diperoleh karyawan lainnya?

13 Apakah departemen lain selain departemen terkait dapat mengakses tampilan jenis pelatihan yang disediakan oleh perusahaan? 14. Apakah karyawan dapat mengakses hasil penerimaan tes calon tenaga kerja yang diterima? 15. Apakah calon tenaga kerja dapat melihat hasil penerimaan tes? Tabel Audit Checklist Pengendalian Boundary (Boundary Control) Pengendalian Input (Input Control) No Pertanyaan Ya Tidak Keterangan 1. Apakah ada program yang digunakan pada bagian SDM pada khususnya? Bagian SDM menggunakan program Oracle

14 87 2. Apakah ada metode input device dalam sistem aplikasi yang digunakan perusahaan? Jika Ya menggunakan: a. Keyboarding b. Direct Reading c. Direct Entry (Weber, p421) Data input methods 3. Apakah ada pengecekan sistem secara otomatis pada saat terjadi error dalam meng-entry? 4. Apakah dalam meng-entry data hanya dapat dilakukan oleh orangorang tertentu saja? 5. Apakah dokumen sumber yang di input mendapat otorisasi terlebih dahulu? 6. Apakah peng-input-an data hasil penyeleksian karyawan dilakukan oleh orang tertentu?

15 88 7. Jika terjadi perubahan data manual apakah segera dilakukan penyesuaian dengan data di komputer? (Weber, p423) Source dokument design 8. Apakah selama ini pernah terjadi proses memanipulasi data oleh orang yang tidak memiliki wewenang? 9. Apakah kesalahan yang terlanjur di input dapat di delete oleh user? 10. Jika Ya apakah delete dan update hanya dapat dilakukan oleh user tertentu yang diberi otorisasi? 11. Apakah terdapat fungsi peringatan dari sistem informasi SDM jika data belum di back up.

16 Peng-input-an data pada dokumen input berdasarkan dari : a. Kode calon pegawai b. Nama calon pegawai Tabel Audit Checklist Pengendalian Input (Input Control) Pengendalian Output (Output Control) No Pertanyaan Ya Tidak Keterangan 1. Apakah terdapat prosedur dalam pembuatan laporan? (Weber, p627) Report program execution controls 2. Apakah setiap laporan yang dihasilkan sesuai dengan input yang dimasukkan? 3. Apakah setiap laporan yang dihasilkan selalu dicantumkan tanggal dan waktu pencetakan?

17 90 4. Apakah laporan-laporan yang dihasilkan didistribusikan tepat waktu? (Weber, p631) Report distribution controls 5. Apakah personil yang bertanggung jawab atas dikeluarkannya laporan dicantumkan pada masing-masing laporan? (Weber, p631) User/client services review controls 6. Apakah setiap laporan selalu dicocokkan dengan dokumen sumber? 7. Apakah terdapat pemisahan tugas antara pihak yang melakukan input dan output? 8. Apakah terdapat control terhadap proses penghancuran laporan yang sudah tidak dibutuhkan lagi? (Weber, p644) Deletion controls

18 91 9. Apakah terdapat batas waktu lamanya laporan diarsip? 10. Apakah laporan yang diarsip disimpan pada tempat yang mudah dijangkau? Tabel Audit Checklist Pengendalian Output (Output Control) 4.3 Temuan Audit Berdasarkan hasil penelitian yang telah diperoleh pada PT. Pertamina Tongkang, diketahui bahwa PT. Pertamina Tongkang telah memiliki sistem manajemen perusahaan yang cukup baik. Tetapi ada beberapa faktor dalam sistem informasi sumber daya manusia yang masih memiliki beberapa kelemahan. Berikut ini adalah hasil audit check list yang dapat membantu menjelaskan hasil temuan audit, antara lain : Hasil Pengamatan dan Wawancara terhadap Pengendalian Operasional a) Terdapat mesin absensi berupa finger print sebelum masuk kedalam kantor. b) Dilakukan evaluasi kinerja terhadap karyawan secara berkala, yaitu 1 tahun 1 kali. c) Perusahaan tidak melakukan pelatihan terhadap karyawan secara berkala. Pelatihan dilakukan jika ada kebutuhan pada setiap bagian.

19 92 d) Karyawan yang terhubung dengan sistem SDM tidak memiliki unit komputer masing-masing. e) Dilakukan perawatan terhadap hardware secara berkala. f) Setiap komputer yang ada satu dengan yang lain dihubungkan dengan LAN Hasil Pengamatan dan Wawancara terhadap Pengendalian Keamanan a) Setiap unit komputer yang ada sudah dilengkapi dengan program anti virus. b) Ruang server sudah dilengkapi dengan pendingin ruangan (air conditioner), dan alat pengukur suhu ruangan. c) Dilakukan pemeriksaan terhadap hardware dan software secara rutin, yaitu setiap 3 bulan. d) PT. Pertamina Tongkang tidak memiliki automatic sprinkler. e) Perusahaan memiliki tabung pemadam kebakaran yang diletakkan pada posisis yang strategis, dan dilakukan pemeriksaan yang rutin terhadap tabung pemadam kebakaran. f) PT. Pertamina Tongkang memiliki asuransi untuk menangulangi jika terjadi bencana yang dapat merusak aset perusahaan. g) Setiap pengunjung perusahaan dijawibkan melapor terlebih dahulu kepada petugas keamanan dan meninggalkan kartu identitas.

20 Hasil Pengamatan dan Wawancara terhadap Pengendalian Boundary a) Dalam aplikasi SDM terdapat fungsi otentifikasi untuk pembatasan akses user. b) Dalam sistem aplikasi SDM terdapat fungsi identifikasi untuk pembatasan akses user. c) Terdapat fungsi penghapusan atas user name untuk karyawan yang sudah tidak bekerja lagi di perusahaan. d) Tidak ada pembatasan dalam berapa kali user boleh meng-input user name dan password. e) Aplikasi SDM hanya dapat di akses oleh orang-orang terotorisasi. f) Dalam penggunaan password tidak ada kombinasi antara huruf dan angka. g) Karyawan tidak dapat mengakses hasil pelatihan yang diperoleh oleh karyawan lain. h) Karyawan tidak dapat mengakses hasil tes penerimaan calon pegawai Hasil Pengamatan dan Wawancara terhadap Pengendalian Input a) PT. Pertamina Tongkang memakai program oracle pada bagian SDM. b) Metode input yang digunakan dalam aplikasi menggunakan keyboard. c) Terdapat pengecekan secara otomatis jika terjadi error dalam mengentry.

21 94 d) Peng-input-an data pada dokumen input berdasarkan kode calon pegawai. e) Tidak terdapat fungsi peringatan pada sistem informasi SDM jika data belum di back up Hasil Pengamatan dan Wawancara terhadap Pengendalian Output a) Perusahaan memiliki prosedur dalam pembuatan laporan tetapi prosedur tidak tertulis. b) Setiap laporan yang dihasilkan selalu dicantumkan tanggal dan waktu pencetakan laporan. c) Laporan-laporan yang dihasilkan didistribusikan secara tepat waktu. d) Pada laporan yang dihasilkan tidak dicantumkan personil yang bertanggung jawab atas dikeluarkannya laporan. e) Terdapat kontrol terhadap proses penghancuran laporan yang sudah tidak dibutuhkan lagi. 4.4 Evaluasi terhadap Hasil Temuan Audit Evaluasi terhadap Temuan Pengendalian Operasional 1. Temuan : Karyawan yang terhubung langsung dengan sistem SDM tidak memiliki Unit komputer masing-masing. Kriteria : Personal yang terkait dengan sistem seharusnya memiliki unit komputer sendiri, hal ini bertujuan

22 95 agar tidak terhambatnya pekerjaan yang berhubungan dengan sistem tersebut. Sebab : karyawan tidak memiliki unit komputer masingmasing dikarenakan pertimbangan terhadap siapa saja yang paling membutuhkan komputer pada setiap personal yang terkait dengan sistem. Akibat : Adanya pinjam-meminjam komputer. Rekomendasi : Sebaiknya karyawan yang terhubung langsung dengan sistem SDM memiliki unit komputer masingmasing supaya menghindari terhambatnya pekerjaan. 2. Temuan : Pelatihan bagi karyawan tidak dilakukan secara periodik. Kriteria : Menurut Hariandja (2005, pp ) terdapat beberapa alasan mengapa pelatihan harus dilakukan secara periodik dan sangat penting: a) Pegawai baru direkrut seringkali belum memahami secara benar bagaimana melakukan pekerjaan. b) Perubahan-perubahan dalam bidang teknologi atau munculnya metode kerja yang baru, dimana perusahaan secara proaktif menyesuaikan keterampilan pegawainya untuk dapat menggunakan teknologi tersebut.

23 96 c) Meningkatkan daya saing perusahaan dan memperbaiki produktivitas. Sebab : Pelatihan dilakukan jika ada kebutuhan dari tiap-tiap bagian. Akibat : Ketrampilan dan pengetahuan karyawan tidak meningkat. Rekomendasi : Sebaiknya perusahaan memberikan pelatihan secara periodik untuk setiap karyawan yang ada baik karyawan lama maupun karyawan baru, dengan tujuan untuk dapat mengembangkan pengetahuan dan ketrampilan dari setiap karyawan Evaluasi terhadap Temuan Pengendalian Keamanan 1. Temuan : Tidak terdapat system dry-pipe automatic sprinkler pada PT. Pertamina Tongkang. Kriteria : Menurut Weber (1999, pp ), cara penanganan terhadap kebakaran adalah dengan cara : a) Alarm kebakaran baik yang manual maupun yang otomatis diletakkan di tempat yang strategis. b) Bangunan tempat diletakkannya aset sistem informasi dibangun dengan konstruksi spesial yang tahan panas.

24 97 c) Tempat diletakkannya alat pemadam kebakaran dan arah keluar diberi tanda yang jelas sehingga memudahkan untuk melihat tanda tersebut. d) Prosedur kebersihan yang baik dapat memastikan bahwa barang-barang yang mudah menyebabkan kebakaran minimal sekali keberadaannya diruangan sistem informasi. Sebab Akibat : Kendala pada dana dan anggaran. : Jika terjadi kebakaran tidak dapat ditanggulangi secara otomatis dan cepat. Rekomendasi : Sebaiknya PT. Pertamina Tongkang menggunakan system dry-pipe automatic sprinkler yang dapat memadamkan api dengan cepat sebelum api menyebar Evaluasi terhadap Temuan Pengendalian Boundary 1. Temuan : Tidak terdapat pembatasan terhadap berapa kali password dapat diinput oleh user. Kriteria : Menurut Weber (1999, p382) Mekanisme pengendalian akses membatasi user untuk memasukkan password yang salah.

25 98 Sebab : Pemikiran bahwa tidak ada orang yang tidak berkepentingan untuk melihat data-data yang ada. Akibat : Kemungkinan adanya pihak yang dapat mencoba melakukan login dengan password secara acak. Rekomendasi : Sebaiknya lakukan pembatasan terhadap kegagalan login akses sebanyak 3-5 kali. 2. Temuan : Dalam penggunaan password tidak dilakukan kombinasi huruf dan angka. Kriteria : Penggunaan password sebaiknya mengkombinasikan antara huruf dan angka. Sebab : Password yang sudah ada tidak mungkin dapat diketahui oleh karyawan lain. Akibat : Password yang tidak memiliki kombinasi huruf dan angka akan lebih mudah untuk dijebol oleh pihak yang tidak terotorisasi karena password tidak memiliki kombinasi yang rumit. Rekomendasi : Sebaiknya pembuatan password menggunakan kombinasi angka dan huruf untuk mencegah penjebolan password oleh pihak yang tidak terotorisasi, karena semakin banyak kombinasi maka semakin sulit password untuk dilacak dan ditebak.

26 Evaluasi terhadap Temuan Pengendalian Input 1. Temuan : Tidak terdapat fungsi peringatan pada sistem informasi SDM jika data belum di back up. Kriteria : Sistem informasi SDM seharusnya memberikan fungsi peringatan jika data belum di back up. Sebab : Karyawan diperkirakan sudah mengingat proses back up data yang dilakukan 1 bulan sekali. Akibat : Karyawan tidak melakukan proses back up secara rutin. Rekomendasi : Sebaiknya sistem informasi SDM memiliki fungsi peringatan kepada user untuk melakukan back up data secara rutin Evaluasi terhadap Temuan Pengendalian Output 1. Temuan : Saat laporan dikeluarkan tidak terdapat nama personil yang bertanggung jawab atas dikeluarkannya laporan tersebut. Kriteria : Menurut Weber (1999, p653) terdapat beberapa kontrol informasi yang harus terdapat pada format laporan yang tercetak yaitu sebagai berikut: nama laporan, waktu dan tanggal pencetakan, daftar distribusi (termasuk jumlah salinan), periode proses yang tercakup, nama user yang bertanggung jawab

27 100 atas laporan tercetak, klasifikasi keamanan, kepala laporan, nomor halaman, tanda akhir dari laporan. Sebab : Pencantuman nama personil dianggap tidak terlalu penting untuk dicantumkan. Akibat : Kehandalan dari laporan yang ada tidak terjamin. Rekomendasi : Sebaiknya sewaktu laporan dikeluarkan akan lebih baik jika nama personil yang bertanggung jawab terhadap pencetakan laporan yang dikeluarkan dicantumkan didalam laporan, hal ini bertujuan untuk dapat meminta pertanggung-jawaban jika terjadi kesalahan pada laporan. 2. Temuan : Terdapat prosedur dalam pembuatan laporan tetapi prosedur pembuatan laporan tidak tertulis hanya diketahui secara turun-temurun. Kriteria : Adanya dokumen tertulis tentang aplikasi yang dipergunakan, dokumen meliputi instruksi tahap demi tahap, penjelasan penggunaan aplikasi, sumber data yang diolah dan spesifikasi yang lain. SPAP (2001, seksi ayat 30). Sebab : Prosedur mengenai pembuatan laporan dianggap sudah hal yang tidak asing lagi untuk diketahui prosesnya.

28 101 Akibat : Jika ada karyawan baru atau karyawan yang dimutasi ke bagian SDM, maka karyawan tersebut tidak mendapat panduan/instruksi yang jelas dalam membuat laporan. Rekomendasi : Sebaiknya perusahaan membuat prosedur tertulis mengenai pelaporan sehingga prosedur pelaporan menjadi jelas, dan dapat dimengerti oleh pihak-pihak yang berkepentingan. 4.5 Penilaian Resiko terhadap Hasil Temuan Audit Check List Penilaian Resiko terhadap Pengendalian Operasional 1. Temuan : Karyawan yang terhubung langsung dengan sistem SDM tidak memiliki Unit komputer masing-masing. Resiko Keterangan : Pekerjaan yang ada dapat terbengkalai (Medium). : Unit komputer yang belum dikelola secara tepat dapat mengakibatkan kemungkinan pekerjaan yang terbengkalai dan ini menghambat kinerja karyawan. 2. Temuan : Pelatihan bagi karyawan tidak dilakukan secara periodik tetapi dilakukan jika ada kebutuhan pada tiap-tiap bagian. Resiko : Karyawan tidak mendapatkan pengembangan ketrampilan kinerja dan tidak ada peningkatan kemampuan melakukan pekerjaan yang spesifik pada saat ini (Medium).

29 102 Keterangan : Pelatihan pada karyawan tidak dilakukan secara periodik tetapi dilakukan hanya jika ada kebutuhan dari setiap bagian Penilaian Resiko terhadap Pengendalian Keamanan 1. Temuan : Tidak terdapat sistem dry-pipe automatic sprinkler pada PT. Pertamina Tongkang. Resiko : Tidak terdapat dry-pipe automatic sprinkler sehingga pemadaman api tidak dapat dilakukan secara cepat (Medium). Keterangan : Perusahaan tidak memiliki system dry-pipe automatic sprinkler tetapi perusahaan memiliki tabung pemadam kebakaran yang diletakkan pada posisi yang strategis Penilaian Resiko terhadap Pengendalian Boundary 1. Temuan : Tidak terdapat pembatasan terhadap berapa kali password dapat diinput oleh user. Resiko : Tidak adanya batasan terhadap input password dapat berakibat terjadinya pengaksesan oleh orang yang tidak terotorisasi (High). Keterangan : Tidak adanya pembatasan input password beresiko tinggi karena jika password dapat diakses oleh orang

30 103 yang tidak terotorisasi maka bisa saja terjadi kecurian terhadap data perusahaan Penilaian Resiko terhadap Pengendalian Input 1. Temuan : Tidak terdapat fungsi peringatan pada sistem informasi SDM jika data belum di back up. Resiko : Jika karyawan lupa melakukan back up data maka kemungkinan data hilang dan data tidak lengkap benar (High). Keterangan : Kehilangan data akibat tidak dilakukannya back up data oleh karyawan mengakibatkan data yang ada tidak akurat Penilaian Resiko terhadap Pengendalian Output 1. Temuan : Tidak terdapat nama personil yang bertanggung jawab atas pencetakan dikeluarkannya laporan. Resiko : Dengan tidak dicantumkannya nama personil yang bertanggung jawab atas dikeluarkannya laporan, kemungkinan sulit meminta pertanggung jawaban jika terjadi kesalahan terhadap laporan (High). Keterangan : Nama personil yang bertanggung jawab atas dikeluarkannya laporan sangat penting untuk dicantumkan, karena jika nama personil tidak

31 104 dicantumkan maka pertanggung jawaban tehadap laporan yang dikeluarkan akan menemui kendala jika terjadi kesalahan yang fatal. 2. Temuan : Terdapat prosedur dalam pembuatan laporan tetapi prosedur pembuatan laporan tidak tertulis hanya diketahui secara turun-temurun. Resiko : Jika ada karyawan baru atau karyawan yang dimutasi ke bagian SDM, maka karyawan tersebut tidak mendapat panduan/instruksi yang jelas dalam membuat laporan (Medium). Keterangan : Perusahaan memiliki prosedur dalam pelaporan tetapi prosedur tersebut tidak tertulis.

32 4.6 Matrix Temuan Audit Audit Pengendalian Operasional (Operational Control) Operational Control No. Temuan Resiko Rekomendasi 1. Unit komputer belum dikelola Pekerjaan yang ada dapat Sebaiknya unit komputer dikelola dengan baik secara tepat, dilihat dari setiap unit personal yang terkait dengan sistem belum memiliki unit komputer masing-masing. 2. Pelatihan bagi karyawan tidak terbengkalai (Medium) Karyawan tidak mendapatkan dengan memberikan fasilitas komputer pada setiap pihak yang membutuhkan. Sebaiknya perusahaan memberikan pelatihan secara dilakukan secara periodik pengembangan ketrampilan periodik untuk setiap karyawan yang ada baik kinerja dan tidak ada karyawan lama maupun karyawan baru, dengan peningkatan kemampuan tujuan untuk dapat mengembangkan pengetahuan melakukan pekerjaan yang dan ketrampilan dari setiap karyawan. spesifik pada saat ini. (Medium) Tabel Audit Pengendalian Operasional (Operational Control) 105

33 4.6.2 Audit Pengendalian Keamanan (Security Control) Security Control No. Temuan Resiko Rekomendasi 1. PT. Pertamina Tongkang tidak Tidak terdapat dry-pipe automatic Sebaiknya PT. Pertamina Tongkang terdapat sistem dry-pipe automatic sprinkler. sprinkler sehingga pemadaman api tidak dapat dilakukan secara cepat (Medium) menggunakan system dry-pipe automatic sprinkler yang dapat memadamkan api dengan cepat sebelum api menyebar. Tabel Audit Pengendalian Keamanan (Security Control) Audit Pengendalian Boundary (Boundary Control) Boundary Control No. Temuan Resiko Rekomendasi 1. Tidak terdapat pembatasan Tidak adanya batasan terhadap input password Sebaiknya lakukan pembatasan terhadap berapa kali password dapat diinput oleh user dapat berakibat terjadinya pengaksesan oleh orang yang tidak terotorisasi (High) terhadap kegagalan login akses sebanyak 3-5 kali. Tabel Audit Pengendalian Boundary (Boundary Control) 106

34 4.6.4 Audit Pengendalian Input (Input Control) Input Control No. Temuan Resiko Rekomendasi 1. Tidak terdapat fungsi peringatan Jika karyawan lupa melakukan back up Sebaiknya sistem informasi SDM memiliki pada sistem informasi SDM jika data belum di back up. data maka kemungkinan data hilang dan data tidak lengkap benar (High). fungsi peringatan kepada user untuk melakukan back up data secara rutin. Tabel Audit Pengendalian Input (Input Control) 107

35 4.6.5 Audit Pengendalian Output (Output Control) Output Control No. Temuan Resiko Rekomendasi 1. Saat laporan dikeluarkan tidak Dengan tidak dicantumkannya nama Sebaiknya sewaktu laporan dikeluarkan akan terdapat nama personil yang bertanggung jawab atas dikeluarkannya laporan tersebut. 2. Terdapat prosedur dalam pembuatan laporan tetapi prosedur pembuatan laporan tidak tertulis hanya diketahui secara turun-temurun personil yang bertanggung jawab atas dikeluarkannya laporan, kemungkinan sulit meminta pertanggung jawaban jika terjadi kesalahan terhadap laporan (High) Jika ada karyawan baru atau karyawan yang dimutasi ke bagian SDM, maka karyawan tersebut tidak mendapat panduan/instruksi yang jelas dalam membuat laporan (Medium) lebih baik jika nama personil yang bertanggung jawab terhadap pencetakan laporan yang dikeluarkan dicantumkan didalam laporan, hal ini bertujuan untuk dapat meminta pertanggung jawaban jika terjadi kesalahan pada laporan. Sebaiknya perusahaan membuat prosedur mengenai pelaporan sehingga prosedur pelaporan menjadi jelas, dan dapat dimengerti oleh pihak-pihak yang berkepentingan Tabel Audit Pengendalian Output (Output Control) 108

36 Laporan Audit Kepada : PT. Pertamina Tongkang Alamat : Jl. Kramat Raya No. 29 Jakarta Perihal : Laporan Evaluasi Sistem Informasi Sumber Daya Manusia Periode : September 2006 s/d Januari 2007 Laporan Evaluasi Sistem Informasi Sumber Daya Manusia PT. Pertamina Tongkang Penulis : Anita Efratama Pony Salim

37 110 I. Tujuan 1. Melalui penelitian penyusunan skripsi ini, penulis dapat mengetahui perbedaan antara pengetahuan theorical yang telah diajarkan selama masa perkuliahan dengan kondisi perusahaan secara nyata. 2. Dapat mengerti prosedur dan sistem informasi sumber daya manujsia pada PT. Pertamina Tongkang. 3. Mengetahui kelebihan dan kelemahan sistem yang ada dalam perusahaan khususnya pada sistem informasi sumber daya manusia di dalam perusahaan tersebut. 4. Mengidentifikasi masalah-masalah yang terdapat selama dilakukan pengujian sistem sumber daya manusia. 5. Memberikan rekomendasi perbaikan atas masalah-masalah yang ditemukan demi meningkatkan mutu dan kualitas perusahaan. II. Ruang Lingkup Ruang lingkup dari evaluasi sistem sumber daya manusia PT. Pertamina Tongkang meliputi perekrutan dan penyeleksian calon karyawan, pelatihan karyawan, dan penilaian karyawan.

38 111 III. Metode Evaluasi 1. Metode Penelitian Kepustakaan (Library research) Metodologi penelitian dengan mempelajari buku-buku maupun bahan-bahan tertulis lainnya yang membahas tentang audit sistem informasi. 2. Metode Penelitian Lapangan (field research) Metode penelitian ini dilakukan dengan maksud untuk mendapatkan data secara langsung dari obyek penelitian. Hal ini dapat dilakukan dengan cara : 1. Wawancara (Interview) Merupakan teknik yang sering digunakan dan yang paling berguna. Wawancara dilakukan langsung berhadapan secara individual. Beberapa tujuan dari wawancara adalah pencarian fakta, memeriksa fakta, menjelaskan fakta, menghasilkan antusiasme, mengikutsertakan end user, mengidentifikasi keperluan, dan mengumpulkan ide serta opini. 2. Penelitian operasional perusahaan (observing the enterprise in operation) Pengamatan merupakan cara yang paling efektif diantara teknikteknik fact finding untuk mengetahui dan mengerti secara jelas tentang sistem. Teknik ini sering digunakan pada saat data asli dikumpulkan melalui metode-metode yang lain.

39 Audit Check List Berupa daftar pertanyaan yang akan ditanyakan kepada narasumber dan juga daftar pertanyaan dapat digunakan pada saat melakukan observasi. IV. Hasil Evaluasi 1. Temuan Evaluasi Pengendalian Umum a. Pengendalian Operasional (Operasional Control) Hasil audit check list, wawancara, dan pengamatan : 1. Terdapat mesin absensi berupa finger print sebelum masuk kedalam kantor. 2. Dilakukan evaluasi kinerja terhadap karyawan secara berkala, yaitu 1 tahun 1 kali. 3. Perusahaan tidak melakukan pelatihan terhadap karyawan secara berkala. Pelatihan dilakukan jika ada kebutuhan pada setiap bagian. 4. Karyawan yang terhubung langsung dengan sistem SDM tidak memiliki unit komputer masing-masing. 5. Dilakukan perawatan terhadap hardware secara berkala. 6. Setiap komputer yang ada satu dengan yang lain dihubungkan dengan LAN.

40 113 b. Pengendalian Keamanan (Security Control) Hasil audit check list, wawancara, dan pengamatan : 1. Setiap unit komputer yang ada sudah dilengkapi dengan program anti virus. 2. Ruang server sudah dilengkapi dengan pendingin ruangan (air conditioner), dan alat pengukur suhu ruangan. 3. PT. Pertamina Tongkang tidak memiliki automatic sprinkler. 4. Perusahaan memiliki tabung pemadam kebakaran yang diletakkan pada posisis yang strategis, dan dilakukan pemeriksaan yang rutin terhadap tabung pemadam kebakaran. 5. PT. Pertamina Tongkang memiliki asuransi untuk menangulangi jika terjadi bencana yang dapat merusak aset perusahaan. 6. Setiap pengunjung perusahaan dijawibkan melapor terlebih dahulu kepada petugas keamanan dan meninggalkan kartu identitas.

41 Temuan Evaluasi Pengendalian Aplikasi a. Pengendalian Boundary (Boundary Control) Hasil audit check list, wawancara, dan pengamatan : 1. Dalam aplikasi SDM terdapat fungsi otentifikasi untuk pembatasan akses user. 2. Dalam sistem aplikasi SDM terdapat fungsi identifikasi untuk pembatasan akses user. 3. Terdapat fungsi penghapusan atas user name untuk karyawan yang sudah tidak bekerja lagi di perusahaan. 4. Tidak ada pembatasan dalam berapa kali user boleh menginput user name dan password. 5. Aplikasi SDM hanya dapat di akses oleh orang-orang terotorisasi. 6. Dalam penggunaan password tidak ada kombinasi antara huruf dan angka. 7. Karwayan tidak dapat mengakses hasil pelatihan yang diperoleh oleh karwayan lain. 8. Karyawan tidak dapat mengakses hasil tes penerimaan calon pegawai.

42 115 b. Pengendalian Input (Input Control) Hasil audit check list, wawancara, dan pengamatan : 1. PT. Pertamina Tongkang memakai program oracle pada bagian SDM. 2. Metode input yang digunakan dalam aplikasi menggunakan keyboard. 3. Terdapat pengecekan secara otomatis jika terjadi error dalam meng-entry. 4. Peng-input-an data pada dokumen input berdasarkan kode calon pegawai. 5. Tidak terdapat fungsi peringatan pada sistem informasi SDM jika data belum di back up. c. Pengendalian Output (Output Control) Hasil audit check list, wawancara, dan pengamatan : 1. Perusahaan memiliki prosedur dalam pembuatan laporan tetapi prosedur tidak tertulis. 2. Setiap laporan yang dihasilkan selalu dicantumkan tanggal dan waktu pencetakan laporan. 3. Laporan-laporan yang dihasilkan didistribusikan secara tepat waktu. 4. Pada laporan yang dihasilkan tidak dicantumkan personil yang bertanggung jawab atas dikeluarkannya laporan.

43 Terdapat kontrol terhadap proses penghancuran laporan yang sudah tidak dibutuhkan lagi. V. Kesimpulan Kesimpulan yang diperoleh berdasarkan hasil audit check list, wawancara, dan pengamatan terhadap perusahaan sudah cukup baik, dan juga kami telah memberikan rekomendasi dari kelemahan-kelemahan sistem yang ada dan diharapkan meningkatkan kinerja perusahaan. Karena itu sangat penting bagi perusahaan untuk melakukan audit terhadap pengendalian umum dan pengendalian aplikasi secara berkala supaya dapat selalu meningkatkan mutu dan kualitas perusahaan.