BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

Transkripsi

1 BAB 4 AUDIT SISTEM INFORMASI Pada bab ini dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penjualan delivery fax pada PT Orindo Alam Ayu. Dalam pengumpulan temuan bukti audit dari wawancara dengan manajer yang terkait dan bagian bagian yang berhubungan dengan penjualan, daftar pertanyaan yang telah disusun sebelumnya serta pengamatan langsung pengujian sistem informasi penjualan yang berjalan secara langsung pada PT Orindo Alam Ayu. 4.1 Program Kerja Audit Ruang Lingkup Audit Melakukan audit sistem informasi penjualan pada PT Orindo Alam Ayu di kantor pusat Tujuan Audit Tujuan audit pada sistem informasi penjualan pada PT Orindo Alam Ayu yaitu: Melakukan audit sistem informasi penjualan. Memastikan integritas sistem informasi penjualan. Memastikan keamanan asset sistem informasi. Memastikan perusahaan memiliki sistem backup dan recovery. 104

2 Tahapan Audit Perencanaan Audit Pada tahap perencanaan audit dilakukan dengan menentukan ruang lingkup, tujuan pelaksanaan audit, dan persiapan penelitian lapangan. 1. Bertemu dengan manajemen perusahaan Melakukan wawancara dan memberikan quisioner untuk mengetahui apakah sistem informasi yang berjalan telah sesuai dengan prosedur dan standar yang ada. 2. Memahami tugas audit yang harus dilakukan Adapun tugas audit yang harus dilakukan dalam audit sistem informasi penjualan pada PT Orindo Alam Ayu terdiri dari pengamatan langsung, daftar pertanyaan, dan wawancara. 3. Memahami risiko yang ada pada bisnis tersebut 4. Membuat program audit yang terperinci Program Audit Program Audit Security Control Program Audit Physical Control Tahap Pengujian Physical Security Control Lakukan pengecekan UPS pada setiap komputer pada bagian penjualan untuk mengantisipasi jika terjadi listrik padam. Auditee Bagian IT Instrumen Observasi

3 106 Dapatkan informasi tentang jaminan dari vendor atas hardware atau software yang baru dibeli pada sistem informasi penjualan Lakukan pengecekan keamanaan asset-asset kantor pada sistem informasi penjualan Lakukan pengecekan tentang jaminan dari keamanan ruangan pada sistem informasi penjualan Bagian Personalia Bagian IT Bagian Accounting Bagian Personalia Bagian IT Bagian Personalia Observasi Observasi Observasi Tabel 4.1 Program Audit Physical Control Program Audit Logical Control Tahap Pengujian Logical Security Control Auditee Instrumen Dapatkan informasi tentang user protection yang ada pada sistem informasi penjualan Dapatkan informasi tentang antivirus pada sistem informasi penjualan Dapatkan informasi tentang jaringan yang digunakan pada sistem informasi penjualan Lakukan pengecekan tentang pembatasan akses tiap bagian pada sistem informasi penjualan Bagian Penjualan Bagian IT Bagian IT Bagian IT Observasi Observasi

4 107 Dapatkan informasi tentang prosedur penggunaan sistem informasi penjualan Dapatkan informasi tentang dokumentasi aplikasi sistem informasi penjualan Bagian IT SCS Bagian IT Tabel 4.2 Program Audit Logical Control Program Audit Information Control Program Audit Input Control Tahap Pengujian Input Control Auditee Instrumen Lakukan pengecekan tentang tampilan message error jika terjadi kesalahan input pada sistem informasi penjualan Dapatkan informasi tentang konsistensi kode pada sistem informasi penjualan Lakukan pengecekan tentang pencatatan data masukan yang salah pada sistem informasi penjualan Dapatkan informasi tentang kesengajaan dalam menginput data yang salah pada sistem informasi penjualan Lakukan pengecekan tentang orang yang berwenang dalam melakukan input pada sistem informasi penjualan Bagian IT Cashier Staff Bagian IT Bagian IT Cashier Staff Cashier Staff Bagian IT Cashier Staff Observasi Observasi Observasi Tabel 4.3 Program Audit Input Control

5 Program Audit Output Control Tahap Pengujian Output Control Auditee Instrumen Dapatkan informasi tentang standarisasi laporan pada sistem informasi penjualan Dapatkan informasi tentang distribusi dan klasifikasi laporan pada sistem informasi penjualan Dapatkan informasi tentang pengujian hasil perhitungan dan laporan output pada sistem informasi penjualan Bagian Personalia Bagian Personalia Bagian IT Table 4.4 Program Audit Output Control Program Audit Continuity Control Program Audit Backup Control Data Backup Tahap Pengujian Data Backup Auditee Instrumen Lakukan pengecekan tentang backup data sudah berjalan dengan baik sesuai standard yang ada pada sistem informasi penjualan Dapatkan informasi tentang jaminan keamanan backup data pada sistem informasi penjualan Bagian IT Bagian IT Observasi Tabel 4.5 Data Backup

6 Program Audit Hardware Backup Tahap Pengujian Output Control Auditee Instrumen Lakukan pengecekan tentang pengganti jika ada hardware yang rusak pada sistem informasi penjualan Dapatkan informasi tentang cadangan hardware dapat digunakan dengan baik atau tidak pada sistem informasi penjualan Bagian IT Bagian IT Observasi Tabel 4.6 Program Audit Hardware Backup Program Audit Recovery Control Tahap Pengujian Output Control Auditee Instrumen Dapatkan informasi tentang prosedur recovery pada sistem informasi penjualan Dapatkan informasi tentang sistem dapat berjalan atau tidak jika terjadi bencana pada sistem informasi penjualan Bagian IT Bagian IT Table 4.7 Program Audit Recovery Control

7 Daftar Pertanyaan dan Security Control Physical Security NO PERTANYAAN YA TIDAK N/A 1 Apakah perusahaan memiliki (Uninterruptible Power Supply atau UPS) pada setiap komputer pada bagian penjualan untuk mengantisipasi jika terjadi listrik padam. 2 Apakah komputer pada sistem informasi penjualan telah diasuransikan pada sistem informasi penjualan? 3 Apakah tiap ruangan kerja memiliki kamera pengaman untuk memastikan keamanan asset pada sistem informasi penjualan? 4 Apakah terdapat jaminan dari vendor atas hardware atau software yang baru dibeli pada sistem informasi penjualan? 5 Apakah gedung memiliki penangkal petir pada sistem informasi penjualan? 6 Apakah keamanan ruangan server terjamin pada sistem informasi penjualan? Tabel 4.8 Physical Security

8 Logical security PERTANYAAN YA TIDAK N/A 1 Apakah sistem komputer pada bagian penjualan dilengkapi antivirus? Jika ya, apakah antivirus tersebut di-update secara periodik? 2 Apakah setiap komputer pada sistem informasi penjualan sudah menggunakan user protection yaitu password untuk login? Jika ya, apakah password tersebut dilakukan perubahan secara berkala? 3 Apakah setiap karyawan bagian penjualan memiliki username dan password? 4 Perusahaan menggunakan jaringan pada sistem informasi penjualan? a. Star b. Bus c. Ring d. Hybrid 5 Topologi jaringan apakah yang digunakan perusahaan untuk

9 112 menghubungkan antar komputer pada sistem informasi penjualan? a. LAN b. WAN 6 Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem pada aplikasi penjualan? 7 Apakah terdapat dokumentasi yang cukup untuk setiap aplikasi penjualan yang ada? 8 Apakah terdapat pelatihan untuk karyawan baru yang bertugas menggunakan sistem aplikasi penjualan? 9 Apakah ada yang bertanggung jawab terhadap data yang telah didokumentasikan pada sistem informasi penjualan? 10 Apakah ada pemeriksaan terhadap server pada sistem informasi penjualan? Table 4.9 Logical security

10 Security Control Adakah penomoran terhadap asset pada sistem informasi penjualan? Adakah pencatatan secara komputerisasi terhadap asset sehingga menimalisir kecurangan-kecurangan yang dapat terjadi pada sistem informasi penjualan? Apakah sistem fax pada sistem informasi penjualan sudah terkomputerisasi? Apakah terdapat pemisahan line penerimaan fax untuk tiap bagian pada sistem informasi penjualan? Jika tidak mengapa? Adakah bagian yang khusus untuk membagikan fax yang masuk kebagian-bagiannya? Apakah dalam melakukan login pada sistem informasi penjualan menggunakan password? Apakah login pada sistem informasi penjualan dapat dilakukan oleh sembarang id? Apakah ada penggantian password secara berkala pada sistem informasi penjualan? Apakah ada pemblokiran id jika terjadi kesalahan penginputan password pada sistem informasi penjualan? Jika ada berapa kali kesempatan untuk memperbaiki input password? Apakah pada sistem informasi penjualan yang digunakan menentukan umur password secara berkala?

11 114 Apakah password pada sistem informasi penjualan memiliki digit minimal? Apakah input password pada sistem informasi penjualan terenkripsi oleh sistem (menggunakan karakter lain ketika diketik)? Siapakah yang bertanggung jawab atas penambahan dan pengurangan user login pada sistem informasi penjualan? Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem penjualan pada aplikasi? Apakah komputer pada sistem informasi penjualan diasuransikan? Apakah koneksi jaringan yang digunakan perusahaan pada sistem informasi penjualan? Berapa speednya? Berapa kemungkinan networking mengalami down pada sistem informasi penjualan? Berapa kemungkinan terjadi kesalahan pengiriman data pada sistem informasi penjualan? Apakah data yang di upload dan download utuh pada sistem informasi penjualan?

12 Information control Input control NO PERTANYAAN YA TIDAK N/A 1 Apakah dalam memasukkan data penjualan pihak pemakai perlu menggunakan dokumen sumber terlebih dahulu? 2 Apakah dokumen sumber yang di-input mendapat otorisasi dahulu? 3 Apakah terdapat tampilan message error jika data yang di-input tidak sesuai dengan ketentuan yang berlaku pada sistem penjualan? 4 Apakah sistem aplikasi sudah menjawab semua kebutuhan tentang pemasukan data, khususnya bagian penjualan? 5 Pemasukkan data penjualan pada dokumen masukan berdasarkan kode? 6 Apakah pemberian kode sudah konsisten? 7 Apakah ada prosedur tetap untuk pemasukkan data ke dalam aplikasi

13 116 khususnya pada sistem informasi penjualan? 8 Apakah terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? 9 Apakah terdapat menu help dalam setiap form input pada sistem informasi penjualan? 10 Apakah terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan penjualan? 11 Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan dilakukan dengan faktor kesengajaan oleh petugas? 12 Apakah orang berwenang saja yang dapat melakukan input penjualan? Tabel 4.10 Input control

14 Output control PERTANYAAN YA TIDAK N/A 1 Apakah terdapat standarisasi laporan yang dihasilkan pada sistem informasi penjualan? Apakah penyajian laporan telah sesuai dengan standard tersebut? 2 Apakah laporan laporan yang dihasilkan pada sistem informasi penjualan sudah didistribusikan tepat pada waktunya? 3 Apakah setiap laporan yang dihasilkan sudah diklasifikasikan sesuai dengan bagiannya? 4 Apakah pernah dilakukan pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan? 5 Apakah ada pengujian output yang dihasilkan pada sistem informasi penjualan? Tabel 4.11 Output control

15 Information Control Apakah terdapat tampilan message error jika data yang di input tidak sesuai dengan ketentuan yang berlaku pada sistem? Apakah terdapat tampilan message jika data barang yang di input telah kosong? Apakah terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? Adakah pengendalian terhadap pengkodean pada sistem informasi penjualan? Apakah terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan? Apakah orang yang bertugas menginput data dapat melakukan perubahan pada master file tanpa otorisasi yang berwenang? Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan dilakukan dengan faktor kesengajaan oleh petugas? Apakah orang berwenang saja yang dapat melakukan input penjualan? Apakah laporan penjualan yang dibuat sudah sesuai dengan standar yang ada? Continuity Control Backup Control Data Backup PERTANYAAN YA TIDAK N/A 1 Apakah terdapat backup data untuk mencegah kehilangan data pada sistem informasi penjualan?

16 119 2 Apakah perusahaan melakukan backup data pada sistem informasi penjualan? Jika ya, apakah backup data dilakukan secara periodik? 3 Apakah keamanan backup data tersebut terjamin? 4 Siapakah yang bertanggung jawab dalam melakukan backup data pada sistem informasi penjualan? 5 Apakah proses backup data dilakukan secara rutin? Table 4.12 Data Backup Hardware Backup NO PERTANYAAN YA TIDAK N/A 1 Apakah terdapat cadangan hardware yang memadai untuk menjalankan aplikasi yang kritis apabila hardware yang ada tidak dapat dipergunakan pada sistem informasi penjualan? 2 Apakah hardware yang tersedia pada sistem informasi penjualan dapat langsung digunakan? Table 4.13 Hardware Backup

17 Recovery Control NO PERTANYAAN YA TIDAK N/A 1 Apakah ada prosedur recovery pada sistem informasi penjualan? 2 Jika ada bencana apakah sistem informasi penjualan dapat berjalan? 3 Apakah prosedur recovery pada sistem informasi penjualan telah berjalan dengan baik? 4 Apakah recovery terhadap asset logical dan physic sudah sesuai dengan prosedur yang ada pada sistem informasi penjualan? Table 4.14 Recovery Control Continuity Control Jenis backup apa saja yang digunakan pada sistem informasi penjualan? Menggunakan media apakah dalam melakukan backup pada sistem informasi penjualan? Berapa lama periode yang dilakukan perusahaan dalam melakukan backup pada sistem informasi penjualan? Dimanakah backup data sistem informasi penjualan disimpan?

18 121 Apakah keamanan data backup sistem informasi penjualan yang disimpan sudah terjamin? Apakah data backup sistem informasi penjualan sudah disimpan di tempat yang beradius minimum 20 Km dari perusahaan? Jika ada bencana apakah sistem informasi penjualan dapat berjalan (disaster recovery planing)? Apakah terdapat recovery terhadap asset physical dan logical seperti asuransi pada sistem informasi penjualan? Apakah recovery backup data dan sistem dapat berjalan dengan baik? Berapa lama downtime jika terjadi data corrupt? Apakah perusahaan melakukan testing terhadap Data Backup pada sistem informasi penjualan? 4.3 Hasil,, dan Observasi Hasil,, dan Observasi Security Control Hasil Security Control Hasil dari quisioner dari security control secara umum dapat dilihat berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut : 1. Audit findings : Tidak adanya kamera pengaman. Audit Risk : Kemungkinan terjadi kehilangan asset perusahaan. Rekomendasi : Memasang kamera pengaman.

19 Hasil Security Control Adakah penomoran terhadap asset pada sistem informasi penjualan? Audit Findings : Terdapat penomoran terhadap asset. Adakah pencatatan secara komputerisasi terhadap asset sehingga menimalisir kecurangan-kecurangan yang dapat terjadi pada sistem informasi penjualan? Audit Findings : Tidak ada pencatatan yang terkomputerisasi terhadap asset. Audit risk : Dapat terjadi kecurangan dari pencatatan tersebut. Rekomendasi : Melakukan pencatatan asset secara terkomputerisasi, sehingga meminimalisir terjadinya kecurangan-kecurangan yang dapat terjadi. Apakah sistem fax pada sistem informasi penjualan sudah terkomputerisasi? Audit findings Audit risk : Sistem fax belum terkomputerisasi. : Adanya kemungkinan fax yang tidak masuk atau tidak terproses. Rekomendasi : Agar menimimalisir fax yang hilang atau tidak terproses dalam penerimaan

20 123 fax penjualan perusahaan dapat melakukan : - Membuat sistem fax yang terkomputerisasi. - Menggunakan order untuk menghemat biaya. - Mengganti fax manual menjadi terkomputerisasi dan menggabungkan dengan Apakah terdapat pemisahan line penerimaan fax untuk tiap bagian pada sistem informasi penjualan? Jika tidak mengapa? Audit findings : Tidak adanya pemisahan line penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada masing-masing bagian. Audit risk : Fax yang masuk tidak langsung diberikan pada bagian yang bersangkutan. Rekomendasi : Membuat policy tentang fax seperti : - Membuat pemisahan line pada tiaptiap bagian.

21 124 - Memisahkan fax order dengan consultant. - Maintance secara berkala. - Downtime untuk perbaikan fax yang rusak - Membuat sistem komputerisasi fax. Adakah bagian yang khusus untuk membagikan fax yang masuk kebagian-bagiannya? Audit findings : Adanya bagian khusus yang membagikan fax yang masuk pada bagian-bagian yang bersangkutan. Apakah dalam melakukan login pada sistem informasi penjualan menggunakan password? Audit findings : Dalam melakukan login menggunakan password. Apakah login pada sistem informasi penjualan dapat dilakukan oleh sembarang id? Audit findings : Tidak dapat melakukan login jika menggunakan sembarangan id. Apakah ada penggantian password secara berkala pada sistem informasi penjualan? Audit findings : Melakukan penggantian password setiap 3 (tiga) bulan sekali.

22 125 Apakah ada pemblokiran id jika terjadi kesalahan penginputan password pada sistem informasi penjualan? Jika ada berapa kali kesempatan untuk memperbaiki input password? Audit findings : Tidak ada pemblokiran, hanya tidak dapat mengakses program (tidak dapat login sampai mendapatkan password yang benar). Audit risk : Perusahaan tidak dapat mengetahui kinerja para karyawan dalam menginput id dan password dan adanya kemungkinan sistem dapat dibuka oleh orang yang tidak berwenang. Rekomendasi : Perusahaan membuat sistem pemblokiran apabila terjadi kesalahan input id dan password dalam jumlah maksimal yg ditentukan perusahaan, serta membuat otorisasi, mereset password yang diblokir oleh pihak yang berwenang agar perusahaan dapat mengetahui siapa karyawan yang kinerjanya kurang baik dalam mendukung proses bisnis perusahaan.

23 126 Apakah pada sistem informasi penjualan yang digunakan menentukan umur password secara berkala? Audit findings : sistem membuat expired password dalam jangka waktu tiga bulan. Apakah password pada sistem informasi penjualan memiliki digit minimal? Audit findings : password harus 8 (delapan) digit. Apakah input password pada sistem informasi penjualan terenkripsi oleh sistem (menggunakan karakter lain ketika diketik)? Audit findings : password berdasarkan 8 (delapan) digit yang terdiri dari 5 (lima) digit awal huruf dan 3 (tiga) digit akhir angka. Siapakah yang bertanggung jawab atas penambahan dan penggurangan user login pada sistem informasi penjualan? Auding findings : bagian IT yang bertanggung jawab dalam penambahan dan pengurangan user login. Apakah terdapat pembatasan akses antar tiap bagian terhadap penggunaan sistem penjualan pada aplikasi? Audit Findings : Terdapat pembatasan akses tiap bagian terhadap penggunaan sistem pada aplikasi.

24 127 Apakah komputer pada sistem informasi penjualan diasuransikan? Audit findings : Terdapat asuransi pada asset perusahaan, seperti komputer. Apakah koneksi jaringan yang digunakan perusahaan pada sistem informasi penjualan? Berapa speednya? Audit findings : Perusahan menggunakan koneksi list line sendiri pada Telkom dengan speed 2Mb Berapa kemungkinan networking mengalami down pada sistem informasi penjualan? Audit findings : Networking jarang mengalami down kecuali terjadi masalah listrik. Berapa kemungkinan terjadi kesalahan pengiriman data pada sistem informasi penjualan? Auding findings : Jarang terjadi kesalahan pengiriman data karena pengiriman data sudah terkomputerisasi. Apakah data yang di upload dan download utuh pada sistem informasi penjualan? Audit findings : Jarang terjadi kesalahan keutuhan dalam data yang di upload dan download pengiriman data kecuali adanya jaringannya terputus karena bencana.

25 Hasil Observasi Security Control Hasil dari observasi terhadap physical dan logical security control adalah sebagai berikut : 1. Dalam melakukan login sistem menggunakan id dan password di mana password terdiri dari 8 (delapan) digit, yaitu 5 (lima) digit huruf dan 3 (tiga) digit angka, dengan masa expire 3 (tiga) bulan. 2. Perusahaan tidak melakukan pemblokiran jika terjadi kesalahan penginputan password. Rekomendasi : Melakukan pemblokiran terhadap kesalahan menginput id dan password agar perusahaan dapat mengetahui kinerja karyawan dengan menambahkan proses otorisasi oleh pihak yang berwenang. 3. Perusahaan membatasi akses antar tiap bagian terhadap penggunaan sistem pada aplikasi. 4. Perusahaan sudah mengasuransikan assetnya. 5. Perusahaan belum melakukan pencatatan yang terkomputerisasi terhadap asset, sehingga dapat terjadi kecurangan dari pencatatan tersebut. Rekomendasi : Melakukan pencatatan asset secara terkomputerisasi, sehingga meminimalisir terjadinya kecurangan-kecurangan yang dapat terjadi.

26 Perusahaan belum menggunakan sistem fax sudah terkomputerisasi Rekomendasi : Membuat sistem fax yang terkomputerisasi agar menimimalisir fax yang hilang atau tidak terproses dalam penerimaan fax penjualan. 7. Tidak adanya pemisahan line penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada bagian masing-masing. Rekomendasi : Membuat pemisahan line untuk tiap bagian atau dengan membuat sistem komputerisasi fax. 8. Adanya bagian khusus yang membagikan fax yang masuk pada bagian-bagian yang bersangkutan. 9. Perusahan menggunakan koneksi list line sendiri pada Telkom dengan speed 2Mb. 10. Networking jarang mengalami down kecuali terjadi masalah listrik. 11. Jarangnya terjadi kesalahan pengiriman data karena pengiriman data sudah terkomputerisasi. 12. Jarang terjadi kesalahan keutuhan dalam data yang di upload dan download pengiriman data kecuali adanya jaringannya terputus karena bencana.

27 Hasil,, dan Observasi Information Control Hasil Information Control Hasil dari quisioner dari information control secara umum dapat dilihat berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut: 1. Audit Findings : Tidak adanya pencatatan mengenai kesalahan pada data masukan. Audit Risk : Tidak dapat mengetahui seberapa sering user melakukan kesalahan input. Rekomendasi : Melakukan pencatatan agar dapat mengetahui seberapa seringnya terjadi kesalahan input sehingga perusahaan dapat meningkatkan kinerja lebih maksimal. 2. Audit Findings : Tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan. Audit Risk : Adanya kemungkinan terjadi kesalahan perhitungan pada laporan penjualan. Rekomendasi : Melakukan pengujian terhadap validasi perhitungan pada laporan penjualan. 3. Audit Findings : Tidak ada pengujian output pada sistem penjualan.

28 131 Audit Risk : Adanya kemungkinan terjadi kesalahan output pada sistem penjualan. Rekomendasi : Melakukan pengujian terhadap output pada sistem penjualan Hasil Information Control Apakah terdapat tampilan message error jika data yang di input tidak sesuai dengan ketentuan yang berlaku pada sistem? Audit Findings : Sistem akan menampilkan tampilan error, apabila data yang diinput tidak sesuai dengan ketentuan yang berlaku pada sistem. Apakah terdapat tampilan message jika data barang yang di input telah kosong? Audit Findings : Sistem tidak menampilkan tampilan message, apabila data barang yang diinput telah kosong. Audit Risk Rekomendasi : Tidak dapat mengetahui jika barang kosong. : Membuat lampilan message jika data barang yang di input telah kosong Apakah terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan (seperti tanggal, nama barang, angka nominal)? Audit Findings : Terdapat validasi input dalam field yang digunakan pada aplikasi sistem penjualan.

29 132 Adakah pengendalian terhadap pengkodean pada sistem informasi penjualan? Audit Findings : Ada, seperti kode barang dan kode invoice. Apakah terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan? Audit Findings : Tidak terdapat pencatatan mengenai kesalahan yang terjadi pada data masukan. Audit Risk : Tidak dapat mengetahui seberapa banyak user melakukan kesalahan input. Rekomendasi : Melakukan pencatatan agar dapat mengetahui mengapa seringnya terjadi kesalahan input sehingga perusahaan dapat segera memperbaikinya dan kinerja perusahaan lebih maksimal. Apakah orang yang bertugas menginput data dapat melakukan perubahan pada master file tanpa otorisasi yang berwenang? Audit Findings : Orang yang bertugas tidak dapat melakukan perubahan pada master file tanpa otorisasi. Apakah terdapat kemungkinan bahwa kesalahan input pada sistem informasi penjualan dilakukan dengan faktor kesengajaan oleh petugas? Audit Findings : Tidak terdapat kesengajaan oleh petugas dalam melakukan input.

30 133 Apakah orang berwenang saja yang dapat melakukan input penjualan? Audit Findings : Hanya orang yang berwenang saja yang dapat melakukan input penjualan. Apakah laporan penjualan yang dibuat sudah sesuai dengan standar yang ada? Audit Findings : Laporan penjualan dibuat sudah sesuai dengan standar yang ada Hasil Observasi Information Control Hasil dari observasi terhadap information control adalah sebagai berikut: 1. Sistem menggunakan metode data input dalam memasukan data penjualan. 2. Sistem menggunakan data sumber yang telah diotorisasi sebagai data inputan. 3. Sistem yang diberikan mudah untuk digunakan user (friendly). 4. Saat data yang diinput tidak sesuai maka akan ada tampilan error pada sistem penjualan. 5. Sistem aplikasi sesuai dengan kebutuhan pemasukan data khususnya penjualan. 6. Pemasukan data dokumen berdasarkan kode dengan pemberian kode yang sudah konsisten. 7. Adanya pengendalian dalam pengkodean. 8. Adanya prosedur tetap dalam pemasukan data ke aplikasi penjualan.

31 Adanya validasi input dalam field yang digunakan pada sistem aplikasi penjualan. 10. Adanya menu help dalam form input. 11. Adanya validity test untuk mengecek bahwa data yang berisi kode, character, dan field size yang sah. 12. Tidak ada pencatatan mengenai kesalahan pada data masukan. Rekomendasi : Melakukan pencatatan agar dapat mengetahui mengapa seringnya terjadi kesalahan input sehingga perusahaan dapat segera memperbaikinya dan kinerja perusahaan lebih maksimal. 13. Tidak ada unsur kesengajaan dalam penginputan data dan hanya orang yang berwenang saja yang dapat melakukan input. 14. Unit komputer sudah dikelola dengan efektif, efisien, dan ekonomis. 15. Adanya uraian tugas dan wewenang yang jelas tertulis dalam fungsi di setiap bagian. 16. Adanya ketetapan tertulis tentang persyaratan keterampilan bagi setiap posisi di setiap bagian. 17. Sistem upload dan download data antar bagian sudah berjalan dengan baik. 18. Network sering mengalami down. Rekomendasi : Melakukan backup network. 19. Sistem tidak dapat berjalan saat terjadi offline. Rekomendasi : Membuat server cadangan agar proses bisnis tetap dapat berjalan dan kerugian dapat diminimalisir.

32 Orang yang bertugas tidak dapat melakukan perubahan pada master file tanpa otorisasi. 21. Laporan yang dibuat harus sesuai dengan standar yang ada. 22. Tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan. Rekomendasi : Melakukan pengujian terhadap validasi perhitungan pada laporan penjualan. 23. Tidak ada pengujian output pada sistem penjualan. Rekomendasi : Melakukan pengujian terhadap output pada sistem penjualan Hasil,, dan Observasi Continuity Control Hasil Continuity Control Hasil quisioner dari Continuity Control secara umum dapat dilihat berdasarkan audit findings, audit risk, dan rekomendasi sebagai berikut: Audit Findings : Jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis. Audit Risk : Menghambat proses bisnis, sehingga perusahaan dapatsmengalami kerugian. Rekomendasi : Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.

33 Hasil Continuity Control Jenis backup apa saja yang digunakan pada sistem informasi penjualan? Audit Findings : Perusahaan menggunakan backup data dengan Storage dan Tape. Menggunakan media apakah dalam melakukan backup pada sistem informasi penjualan? Audit Findings : Perusahaan menggunakan media dalam mengbackup data dengan Orico, , Accounting, dan User. Berapa lama periode yang dilakukan perusahaan dalam melakukan backup pada sistem informasi penjualan? Audit Findings : Perusahaan mengbackup data dengan Orico dan dilakukan setiap harinya yang disimpan pada Storage dan Tape serta backup data pada Accounting dan User dilakukan setiap minggunya yang disimpan pada Storage dan Tape. Dimanakah backup data sistem informasi penjualan disimpan? Audit Findings : Perusahaan menyimpan backup data di ruangan IT pada perusahaan dan di rumah Direktur. Apakah keamanan data backup sistem informasi penjualan yang disimpan sudah terjamin? Audit Findings : Sudah, karena ruangan selalu terkunci bila tidak ada yang menjaga dan menggunakannya.

34 137 Apakah data backup sistem informasi penjualan sudah disimpan di tempat yang beradius minimum 20 Km dari perusahaan? Audit Findings : Perusahaan belum menyimpan backup data dalam radius minimum 20 Km. Audit Risk : Jika perusahaan mengalami bencana maka backup data yang ada di perusahaan dapat mengalami kerusakan dan jika backup yang ada di Direktur tidak mencapai radius minimum 20 Km backup tersebut juga dapat mengalami kerusakan karena bencana tersebut. Rekomendasi : Menyimpan data backup pada radius minimum 20 Km dari perusahaan, supaya keamanan backup data terjamin bila suatu saat terjadi bencana. Jika ada bencana apakah sistem informasi penjualan dapat berjalan (disaster recovery planing)? Audit Findings : Sistem penjualan tidak dapat berjalan jika terjadi bencana. Audit Risk : Perusahaan dapat mengalami kerugian dan menghambat proses bisnis. Rekomendasi : Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.

35 138 Apakah terdapat recovery terhadap asset physical dan logical seperti asuransi pada sistem informasi penjualan? Audit Findings : Terdapat recovery terhadap asset physical dan logical seperti asuransi. Apakah recovery backup data dan sistem dapat berjalan dengan baik? Audit Findings : Recovery backup data dan sistem dapat berjalan dengan baik. Berapa lama downtime jika terjadi data corrupt? Audit Findings : Waktu yang dibutuhkan saat terjadi data corrupt adalah 5-7jam. Apakah perusahaan melakukan testing terhadap Data Backup pada sistem informasi penjualan? Audit Findings : Perusahaan belum melakukan testing terhadap Data Backup. Audit Risk : Data Backup tidak dapat digunakan saat Recovery karena data tidak terbackup dengan baik atau data backup rusak (corrupt). Rekomendasi : Melakukan testing terhadap Data Backup secara acak dalam periode yang ditentukan.

36 Hasil Observasi Continuity Control Hasil dari observasi terhadap continuity control adalah sebagai berikut : 1. Perusahaan melakukan backup data internal. 2. Perusahaan menggunakan backup data dengan Storage dan Tape. 3. Perusahaan menggunakan media dalam mengbackup data dengan Orico, , Accounting, dan User. 4. Perusahaan mengbackup data dengan Orico dan dilakukan setiap harinya yang disimpan pada Storage dan Tape serta backup data pada Accounting dan User dilakukan setiap minggunya yang disimpan pada Storage dan Tape. 5. Perusahaan menyimpan backup data di ruangan IT pada perusahaan dan di rumah Direktur. 6. Data backup sudah aman, karena ruangan selalu terkunci bila tidak ada yang menjaga dan menggunakannya. 7. Perusahaan belum menyimpan backup data dalam radius minimum 20 Km. Rekomendasi : Menyimpan data backup pada radius minimum 20 Km dari perusahaan agar keamanan backup data terjamin bila terjadi bencana. 8. Sistem penjualan tidak dapat berjalan jika terjadi bencana. Rekomendasi : Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan.

37 Terdapat recovery terhadap asset physical dan logical seperti asuransi. 10. Recovery backup data dan sistem dapat berjalan dengan baik. 11. Waktu yang dibutuhkan perusahaan saat terjadi data corrupt adalah 5-7 jam. 12. Perusahaan belum melakukan testing terhadap Data Backup. Rekomendasi : Melakukan testing terhadap Data Backup secara acak dalam periode yang ditentukan. 4.4 Simpulan dan Pelaporan Hasil Audit Simpulan Simpulan yang diperoleh adalah belum maksimalnya tingkat keamanan asset perusahaan pada sistem informasi penjualan, sistem telah berjalan sesuai dengan prosedur yang ada secara maksimal, hardware yang digunakan belum memadai terutama mesin fax yang ada, keamanan dalam akses login belum dimaksimalkan, belum adanya pencatatan kesalahan masukan data sehingga perusahaan tidak dapat mengetahui tingkat kinerja karyawan, tidak tampilkan tampilan message apabila data barang yang diinput telah kosong, tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan sehingga ada kemungkinan hasil data laporan tidak sesuai, tidak ada pengujian output pada sistem penjualan sehingga memungkinkan output yang dihasilkan tidak sesuai, jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis mengakibatkan kerugian perusahaan, penyimpanan data backup

38 141 masih dalam radius kurang dari 20Km sehingga jika terjadi bencana memungkinkan data backup tersebut juga rusak/hilang serta belum dilakukan testing terhadap backup dan recovery. Karena itu, sangat penting bagi PT Orindo Alam Ayu untuk melakukan audit sistem informasi penjualan secara berkala agar sistem informasi dapat lebih dioptimalkan lagi. Demikian hasil laporan audit atas sistem informasi penjualan pada PT Orindo Alam Ayu.

39 Laporan Audit Sistem Informasi Penjualan pada PT Orindo Alam Ayu berdasarkan dengan pedoman dari ISACA AUDIT REPORT Tanggal : 21 Desember 2009 Hal : Laporan hasil audit sistem informasi penjualan pada PT Orindo Alam Ayu Kepada : Finance Manager PT Orindo Alam Ayu Periode : September tahun 2009 hinga bulan Januari tahun 2010 Oleh : Tri Priska Aprilianti Stephanie Nova Nidya 2010

40 143 LATAR BELAKANG Scope : Melakukan audit sistem informasi penjualan pada PT Orindo Alam Ayu di kantor pusat. Tujuan Audit : - Melakukan audit sistem informasi penjualan. - Memastikan integritas sistem informasi penjualan. - Memastikan keamanan asset sistem informasi. - Memastikan perusahaan memiliki sistem backup dan recovery. Metodologi : Penulis melakukan peninjauan pada PT Orindo Alam Ayu untuk mengumpulkan data-data, informasi, dan materi-materi lainnya yang dibutuhkan selama proses audit dalam rangka mendapatkan gambaran nyata mengenai keadaan dari sistem informasi penjualan yang sedang berjalan pada perusahaan tersebut. Pengumpulan fakta dilakukan dengan metode: a. b. c. Observasi d. Studi Dokumentasi e. Testing

41 144 TEMUAN 1. Audit Findings : Tidak adanya kamera pengaman. Audit Risk : Kemungkinan terjadinya kehilangan asset perusahaan. Rekomendasi : Memasang kamera pengaman. 2. Audit Findings : Tidak ada pencatatan yang terkomputerisasi terhadap asset. Audit Risk : Dapat terjadi kecurangan dari pencatatan tersebut. Rekomendasi : Melakukan pencatatan asset secara terkomputerisasi, sehingga meminimalisir terjadinya kecurangan-kecurangan yang dapat terjadi. 3. Audit Finding : Sistem fax belum terkomputerisasi. Audit Risk : Adanya kemungkinan fax yang tidak masuk atau tidak terproses. Rekomendasi : Agar meminimalisir fax yang hilang atau tidak terproses dalam penerimaan fax penjualan perusahaan dapat melakukan : - Membuat sistem fax yang terkomputerisasi. - Menggunakan order untuk menghemat biaya. - Mengganti fax manual menjadi terkomputerisasi dan menggabungkan dengan .

42 Audit Findings : Tidak adanya pemisahan line penerima fax untuk tiap bagian, karena sudah ada bagian yang bertugas untuk memisahkan fax yang masuk pada masingmasing bagian. Audit Risk : Fax yang masuk tidak langsung diberikan pada bagian yang bersangkutan. Rekomendasi : Membuat policy tentang fax, seperti : - Membuat pemisahan line untuk tiap bagian - Memisahkan fax order dengan consultant - Maintance secara berkala - Downtime untuk perbaikan fax yang rusak - Membuat sistem komputerisasi fax 5. Audit Finding : Tidak ada pemblokiran, hanya tidak dapat mengakses program (tidak dapat login sampai mendapatkan password yang benar). Audit Risk : Perusahaan tidak dapat mengetahui kinerja para karyawan dalam menginput id dan password dan adanya kemungkinan sistem dapat dibuka oleh orang yang tidak berwenang Rekomendasi : Perusahaan membuat sistem pemblokiran apabila terjadi kesalahan input id dan password dalam jumlah maksimal yang ditentukan perusahaan, serta membuat otorisasi, me-reset password yang

43 146 diblokir oleh pihak yang berwenang agar perusahaan dapat mengetahui siapa karyawan yang kinerjanya kurang baik dalam mendukung proses bisnis perusahaan. 6. Audit Findings : Tidak adanya p encatatan mengenai kesalahan pada data masukan. Audit Risk : Tidak dapat mengetahui seberapa sering user melakukan kesalahan input. Rekomendasi : Melakukan pencatatan agar dapat mengetahui seberapa seringnya terjadi kesalahan input sehingga perusahaan dapat meningkatkan kinerja lebih maksimal. 7. Audit Findings : Sistem tidak menampilkan tampilan message, apabila data barang yang diinput telah kosong. Audit Risk Rekomendasi : Tidak dapat mengetahui jika barang kosong. : Membuat lampilan message jika data barang yang di input telah kosong 8. Audit Findings : Tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan. Audit Risk : Adanya kemungkinan terjadi kesalahan perhitungan pada laporan penjualan Rekomendasi : Melakukan pengujian terhadap validasi perhitungan pada laporan penjualan.

44 Audit Findings : Tidak ada pengujian output pada sistem penjualan. Audit Risk : Adanya kemungkinan terjadi kesalahan output pada sistem penjualan. Rekomendasi : Melakukan pengujian terhadap output pada sistem penjualan. 10. Audit Findings : Jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis. Audit Risk : Menghambat proses bisnis, sehingga perusahaan dapat mengalami kerugian. Rekomendasi : Membuat sistem cadangan jika terjadi bencana sehingga proses bisnis dapat berjalan. 11. Audit Findings : Perusahaan belum menyimpan backup data dalam radius minimum 20 Km. Audit Risk : Jika perusahaan mengalami bencana maka backup data yang ada diperusahaan dapat mengalami kerusakan dan jika backup yang ada di Direktur tidak mencapai radius minimum 20 Km backup tersebut juga dapat mengalami kerusakan karena bencana tersebut. Rekomendasi : Menyimpan data backup pada radius minimum 20 Km dari perusahaan agar keamanan backup data terjamin bila terjadi bencana.

45 148 SIMPULAN Simpulan yang diperoleh adalah belum maksimalnya tingkat keamanan asset perusahaan pada sistem informasi penjualan, sistem telah berjalan sesuai dengan prosedur yang ada secara maksimal, hardware yang digunakan belum memadai terutama mesin fax yang ada, keamanan dalam akses login belum dimaksimalkan, belum adanya pencatatan kesalahan masukan data sehingga perusahaan tidak dapat mengetahui tingkat kinerja karyawan, tidak tampilkan tampilan message apabila data barang yang diinput telah kosong, tidak adanya pengujian terhadap hasil perhitungan yang tertera pada laporan penjualan sehingga ada kemungkinan hasil data laporan tidak sesuai, tidak ada pengujian output pada sistem penjualan sehingga memungkinkan output yang dihasilkan tidak sesuai, jika terjadi bencana, sistem tidak dapat berjalan untuk mendukung proses bisnis mengakibatkan kerugian perusahaan, penyimpanan data backup masih dalam radius kurang dari 20Km sehingga jika terjadi bencana memungkinkan data backup tersebut juga rusak/hilang serta belum dilakukan testing terhadap backup dan recovery. Karena itu, sangat penting bagi PT Orindo Alam Ayu untuk melakukan audit sistem informasi penjualan secara berkala agar sistem informasi dapat lebih dioptimalkan lagi. Demikian hasil laporan audit atas sistem informasi penjualan pada PT Orindo Alam Ayu.