BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

Transkripsi

1 BAB 4 AUDIT SISTEM INFORMASI PENJUALAN 4.1 Rencana Audit Rencana audit yang dilakukan selama proses audit pada Sistem Informasi Penjualan PT. PERDANA BANGUN PUSAKA. Tbk adalah sebagai berikut : a. Lakukan wawancara dengan pimpinan Bagian Penjualan yang akan menjadi auditee (pihak yang akan diaudit), dan jelaskan apa saja yang menjadi objek audit. b. Lakukan pengumpulan data dan pahami permanent file perusahaan seperti data tentang latar belakang perusahaan, struktur organisasi, tugas dan wewenang masing-masing departemen, dan lain-lain. c. Lakukan pengumpulan data dan pahami tentang peraturan-peraturan dan prosedur-prosedur yang menjadi dasar dalam menggunakan Sistem Informasi Penjualan. d. Siapkan check list pemeriksaan atau kuesioner yang diberikan kepada staff IT dan User. e. Lakukan pengamatan terhadap cara kerja Sistem Informasi Penjualan yang digunakan. f. Lakukan uji coba terhadap Sistem Informasi Penjualan yang digunakan. g. Lakukan wawancara dengan bagian IT dan bagian Penjualan untuk mendapatkan informasi tentang Sistem Informasi Penjualan. h. Lakukan analisa terhadap cara kerja Sistem Informasi Penjualan. i. Lakukan analisa hasil survei secara keseluruhan. 70

2 71 j. Lakukan review dokumentasi terhadap Surat Pesanan yang akan diproses menjadi Order Penjualan, Faktur Penjualan, Faktur Pajak, Retur Penjualan, dan Laporan Penjualan Bulanan agar data yang dihasilkan terjaga kevaliditasannya. k. Lakukan identifikasi terhadap kelebihan dan kelemahan Sistem Informasi Penjualan yang digunakan. l. Siapkan hasil audit. 4.2 Pengendalian Internal Secara Umum Pemahaman Terhadap Pengendalian Internal Secara Umum Untuk mendapatkan pemahaman terhadap pengendalian internal secara umum, maka dibuat kuesioner pengendalian internal secara umum (Tabel 4.1) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner Kuesioner Pengendalian Internal Secara Umum Tabel 4.1 Kuesioner Pengendalian Internal Secara Umum KUESIONER PENGENDALIAN INTERNAL SECARA UMUM NO PERTANYAAN Y T KETERANGAN 1 Apakah terdapat struktur organisasi formal yang mencakup bagian pengolahan data?

3 72 NO PERTANYAAN Y T KETERANGAN 2 Apakah kedudukan bagian pengolahan data dalam struktur organisasi bersifat independent (terpisah) dari bagian yang lain? 3 Apakah fungsi-fungsi yang ada di bagian pengolahan data telah ditetapkan tugas dan tanggungjawab secara jelas dan tertulis? 4 Apakah terdapat pemisahan fungsi antara sistem manajer, programmer, dan operator? 5 Apakah ada standar kualifikasi yang mengatur tentang keterampilan pegawai? 6 Apakah dilakukan evaluasi periodik terhadap kriteria para pegawai? 7 Apakah digunakan formulir benomor urut tercetak? 8 Apakah dilakukan pemeriksaan mendadak (surprised audit) tanpa pemberitahuan terlebih dahulu dengan jadwal yang tidak teratur?

4 73 NO PERTANYAAN Y T KETERANGAN 9 Apakah dilakukan perputaran jabatan (job rotation) secara rutin? 10 Apakah dilakukan pencocokan fisik persediaan dengan catatannya (stock opname) secara periodik? Keterangan : Y = Ya T = Tidak Evaluasi Untuk Pengendalian Internal Secara Umum Hasil dari evaluasi pengendalian internal secara umum dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Tidak adanya standar kualifikasi yang mengatur tentang keterampilan pegawai (Medium Risk) : Apabila tidak ada standar kualifikasi maka kemungkinan besar pegawai yang bekerja kurang kompeten di bidangnya. : Sebaiknya sewaktu perekrutan pegawai, bagian HRD menetapkan standar kualifikasi ketrampilan pegawai. 2. : Tidak dilakukannya evaluasi periodik terhadap kriteria para pegawai (Medium Risk)

5 74 : Apabila tidak dilakukan evaluasi secara periodik maka pihak perusahaan tidak akan mengetahui bagaimana kinerja para pegawainya. : Sebaiknya pihak manajemen melakukan evaluasi terhadap kriteria pegawai secara periodik dengan tujuan untuk mengetahui bagaimana kinerja para pegawainya. 3. : Tidak dilakukannya pemeriksaan mendadak (surprised audit) tanpa pemberitahuan terlebih dahulu dengan jadwal yang tidak teratur (High Risk) : Apabila tidak dilakukan pemeriksaan mendadak (surprised audit) maka akan mendorong pegawai untuk tidak melakukan pekerjaan/tugasnya sesuai dengan aturan yang ditetapkan dan bahkan melakukan kecurangan yang dapat merugikan perusahaan. Selain itu, tingkat kecurangan yang akan terjadi lebih tinggi, karena dengan sering dilakukannya surprised audit maka para pegawai pun akan berpikir 2 (dua) kali jika ingin melakukan kecurangan. : Sebaiknya perusahaan selain melakukan audit secara berkala juga perlu melakukan pemeriksaan mendadak (surprised audit) untuk mengontrol kinerja pegawai dan mengecek apakah terjadi kecurangan atau tidak. 4. : Tidak dilakukannya perputaran jabatan (job rotation) secara rutin (Medium Risk)

6 75 : Apabila perusahaan tidak melakukan job rotation secara rutin maka lebih mudah terjadi kecurangan karena pegawai yang bersangkutan telah benar-benar mengetahui seluk-beluk dan celah di bagiannya. : Perlu dilakukan job rotation secara rutin untuk mencegah terjadinya penyelewengan ataupun kecurangan. 5. atas evaluasi pengendalian internal secara umum yang baik yaitu: Dalam pengendalian internal secara umum, Perusahaan mempunyai struktur organisasi formal yang mencakup bagian pengolahan data, dimana bagian ini bersifat independent (terpisah) dari bagian yang lain. Selain itu, fungsi-fungsi yang ada di bagian pengolahan data telah ditetapkan tugas dan tanggungjawab secara jelas dan tertulis. Perusahaan juga menetapkan pemisahan fungsi yang jelas antara sistem manajer, programmer, dan operator sehingga setiap fungsi tersebut mempunyai tanggungjawabnya masing-masing. Dalam hal penggunaan formulir, perusahaan menggunakan formulir bernomor urut tercetak dengan tujuan untuk pengendalian internal yang baik sehingga formulir-formulir transaksi tidak dapat diselewengkan ataupun disalahgunakan oleh pegawai yang berniat melakukan kecurangan. Setiap minggu, Bagian Gudang akan melakukan pencocokan fisik persediaan dengan catatannya (stock opname). Hal ini dilakukan untuk

7 76 memastikan bahwa persediaan yang ada di gudang pasti sesuai dengan catatannya. 4.3 Pengendalian Boundary Pemahaman Terhadap Pengendalian Boundary Untuk mendapatkan pemahaman terhadap pengendalian boundary, maka dibuat kuesioner pengendalian boundary (tabel 4.2) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar boundary yang digunakan Kuesioner Pengendalian Boundary Tabel 4.2 Kuesioner Pengendalian Boundary KUESIONER PENGENDALIAN BOUNDARY NO PERTANYAAN Y T KETERANGAN 1 Apakah terdapat pengendalian akses terhadap sistem aplikasi penjualan yang digunakan? a. Jika ya, apakah dilakukan otentifikasi atas sarana akses tersebut? b. Jika ya, dalam bentuk apakah otentifikasi tersebut? 1. Password 2. Kartu 3. Sidik jari 4. Lainnya

8 77 NO PERTANYAAN Y T KETERANGAN c. Jika ya dalam bentuk password apakah sistem mengharuskan pembaharuan secara berkala? d. Jika ya, berapa lamakah pembaharuan harus dilakukan? 2 Apakah terdapat ketentuan berapa digit panjang password? 3 Apakah terdapat batas pengisian password bila terjadi kesalahan? 4 Apakah terdapat peringatan (error message) bila User salah mengisi password? 5 Apakah tampilan password dilayar berubah menjadi simbol? 40 hari 6 Apakah database password dienkripsi? 7 Apakah User dapat mengganti password-nya sewaktu-waktu? 8 Apakah setiap karyawan memiliki password untuk akses ke dalam sistem perusahaan?

9 78 Keterangan : Y = Ya T = Tidak Tampilan Password Gambar 4.1 Tampilan Password Evaluasi Untuk Pengendalian Boundary Hasil dari evaluasi pengendalian boundary dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Database password tidak dienkripsi (Medium Risk) : Database password yang tidak dienkripsi memiliki tingkat resiko yang tinggi dan berbahaya bagi sistem karena akan lebih mudah dibobol oleh hacker. : Sebaiknya database password dienkripsi terlebih dahulu oleh sistem sehingga hacker ataupun User yang tidak

10 79 bertanggungjawab tidak dapat mengetahui password dengan mudah. 2. : User tidak dapat mengganti password sewaktu-waktu (Low Risk) : Apabila User tidak dapat mengganti password sewaktu- waktu maka akan timbul masalah seandainya ada keadaan tertentu yang mengharuskan User melakukan pembaharuan ataupun penggantian password namun belum mencapai 40 hari. Misalnya : keadaan dimana password yang sangat penting diketahui oleh pegawai yang tidak berkepentingan sehingga harus dilakukan penggantian password karena mungkin saja pegawai tersebut mengakses data dan informasi perusahaan yang bersifat rahasia untuk kepentingan pribadinya. : Sebaiknya sistem yang dibuat harus bersifat fleksibel, selain adanya setting oleh sistem untuk pembaharuan dan penggantian password secara berkala yaitu setiap 40 hari, User juga dapat melakukannya sewaktu-waktu, disesuaikan dengan kebutuhan dan atas otoritas dari pihak yang bertanggungjawab. 3. :Sistem mengharuskan/men-setting adanya pembaharuan password secara berkala yaitu setiap 40 hari sekali.

11 80 : Hal ini tidak efektif karena terlalu sering mengganti password akan menyebabkan kerahasiaan password tidak terjamin dan User bisa lupa. : Sebaiknya password diganti setiap 12 bulan sekali. 3. atas evaluasi pengendalian boundary yang baik yaitu: Terdapat pengendalian akses terhadap sistem aplikasi penjualan yang digunakan dan juga dilakukan otentifikasi atas sarana akses tersebut. Bentuk otentifikasi yang digunakan adalah password. Dalam penggunaan password, ada terdapat ketentuan mengenai digit panjang password dan batas pengisian password apabila terjadi kesalahan. Juga terdapat peringatan (error message) apabila User salah mengisi password. Sewaktu password diisi, tampilan password di layar akan berubah menjadi simbol. Setiap karyawan yang berkepentingan atas sistem aplikasi penjualan akan memiliki password untuk mengaksesnya. 4.4 Pengendalian Input Pemahaman Terhadap Pengendalian Input Untuk mendapatkan pemahaman terhadap pengendalian input, maka dibuat kuesioner pengendalian input (tabel 4.3) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar input yang digunakan.

12 Kuesioner Pengendalian Input Tabel 4.3 Kuesioner Pengendalian Input KUESIONER PENGENDALIAN INPUT NO PERTANYAAN Y T KETERANGAN 1 Pada waktu melakukan input apakah dokumen sumber dibutuhkan? Form Order Pesanan, nomor seri produk, faktur, dan lainlain. 2 Hanya dokumen sumber yang telah diotorisasi saja yang bisa di-input ke dalam komputer 3 Apakah dokumen sumber (surat pesanan) dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? Jika ya, berapa lama dokumen dikumpulkan? Apakah : Per hari Per minggu Per bulan 4 Apakah layar input mudah dimengerti oleh User? 5 Apakah sistem melakukan validasi saat proses input sedang berjalan? Misal : menolak transaksi yang keliru.

13 82 NO PERTANYAAN Y T KETERANGAN 6 Input yang dilakukan salah, tetapi penyimpanan data sudah dilakukan. Apakah sistem aplikasi memberikan otorisasi / menu-menu untuk meng-edit data? Jika ya, apakah data yang diedit: Mulai dari awal, secara keseluruhan Hanya bagian yang salah input 7 Apakah error message yang muncul mudah dimengerti oleh User? 8 Apakah digunakan suatu bentuk pengkodean untuk mengidentifikasikan produkproduk perusahaan? 9 Apakah teknik pengkodean pada input mudah dipahami? Keterangan : Y = Ya T = Tidak

14 Tampilan Menu Pengendalian Input Pada Aplikasi Layar Utama Gambar 4.2 Tampilan Aplikasi Layar Utama

15 Pengendalian Input Pada Form Order Pesanan Gambar 4.3 Form Order Pesanan

16 Pengendalian Input Pada Aplikasi Order Penjualan Gambar 4.4 Tampilan Aplikasi Order Penjualan

17 86 Gambar 4.5 Isi Detail (1) Gambar 4.6 Isi Detail (2)

18 87 Gambar 4.7 Isi Detail (3) Evaluasi Untuk Pengendalian Input Hasil dari evaluasi pengendalian input dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Limit kredit pelanggan yang ada hanya sebatas informasi saja (Medium Risk) : Pelanggan akan mempunyai limit kredit dalam jumlah yang besar karena tidak adanya batasan.

19 88 : Sebaiknya limit kredit pelanggan yang ada tidak hanya sebatas informasi saja, melainkan benar-benar diterapkan untuk menentukan valid tidaknya suatu order pesanan. 2. atas evaluasi pengendalian input yang baik yaitu: Pada waktu melakukan input data penjualan pegawai membutuhkan dokumen sumber seperti : form order pesanan, nomor seri produk, faktur dan lain-lain. Dokumen sumber yang di-input ke dalam komputer hanyalah dokumen sumber yang telah diotorisasi oleh manager dan kepala admin. Dokumen sumber di-input secara real time yaitu pada saat terjadinya transaksi. Jadi, dokumen sumber tersebut tidak perlu dikumpulkan terlebih dahulu sebelum di-input ke dalam komputer. Sistem aplikasi memiliki layar input yang mudah dimengerti oleh User, dan juga melakukan validasi saat proses input sedang berjalan sehingga transaksi yang keliru akan ditolak dan User diminta mengisi ulang. Sistem aplikasi akan memberikan otorisasi/menu-menu untuk meng-edit data apabila input yang dilakukan salah, namun penyimpanan data sudah dilakukan. Dan data yang di-edit hanyalah bagian yang salah input. Selain itu, sistem aplikasi menampilkan error message yang mudah dimengerti oleh User. Perusahaan dalam mengidentifikasi produk-produknya menggunakan bentuk pengkodean, yang mana teknik pengkodean ini dapat mudah dipahami oleh User.

20 Pengendalian Output Pemahaman Terhadap Pengendalian Output Untuk mendapatkan pemahaman terhadap pengendalian output, maka dibuat kuesioner pengendalian output (tabel 4.4) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar output yang berupa Laporan Penjualan Bulanan. Selain laporan utama yang berupa Laporan Penjualan Bulanan, terdapat laporan pendukung yaitu Laporan Retur Penjualan Kuesioner Pengendalian Output Tabel 4.4 Kuesioner Pengendalian Output KUESIONER PENGENDALIAN OUTPUT NO PERTANYAAN Y T KETERANGAN 1 Apakah tanggal pencetakan selalu dicantumkan pada setiap laporan yang dihasilkan? 2 Apakah setiap laporan yang dihasilkan, dicantumkan nama personil yang bertanggung jawab atas dikeluarkannya laporan? 3 Apakah banyaknya copy laporan dicantumkan pada setiap laporan yang dihasilkan?

21 90 NO PERTANYAAN Y T KETERANGAN 4 Apakah hanya karyawan yang memiliki otoritas saja yang dapat melakukan pencetakan laporan? 5 Apakah laporan-laporan yang dihasilkan didistribusikan ke departemen pemakai tepat pada waktunya? Jika ya, apakah didistribusikan: a. per hari Per minggu b. per bulan c. per tahun 6 Apakah laporan yang dihasilkan sudah disampaikan kepada pihak yang berwenang terhadap laporan tersebut? 7 Apakah setiap laporan dicantumkan juga masa berlaku laporan tersebut? 8 Apakah nama program untuk pembuatan laporan dicantumkan pada laporan? 9 Apalah dilakukan pengecekan terlebih dahulu sebelum laporan tersebut diserahkan kepada pihak yang berwenang?

22 91 Keterangan : Y = Ya T = Tidak Pengendalian Output Pada Tampilan Laporan Penjualan Bulanan Gambar 4.8 Laporan Penjualan Bulanan Evaluasi Untuk Pengendalian Output Hasil dari evaluasi pengendalian output dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Banyaknya copy laporan tidak dicantumkan pada laporan (High Risk).

23 92 : Apabila banyaknya copy laporan tidak dicantumkan pada laporan maka Pihak yang tidak berwenang bisa saja mendapatkan laporan tersebut dan menyelewengkannya. : Sebaiknya mencantumkan banyaknya copy laporan dalam laporan perusahaan. 2. : Tidak adanya nama program yang dicantumkan pada laporan (Low Risk). : Bila perusahaan ingin mengganti bentuk laporan, maka tidak diketahui program yang digunakan untuk pembuatan laporan. : Mencantumkan nama program pada laporan. 3. : Tidak adanya masa berlaku laporan (Low Risk) : Laporan yang masih diperlukan tidak tersimpan pada file perusahaan karena mungkin telah dibuang oleh perusahaan. : Mencantumkan masa berlaku laporan. 5. atas evaluasi pengendalian output yang baik yaitu: Pencetakan laporan hanya boleh dilakukan oleh karyawan yang memiliki otoritas saja. Hal ini ditetapkan supaya laporan tidak dapat diselewengkan oleh pihak-pihak yang tidak berkepentingan. Selain itu, laporan-laporan yang dihasilkan juga harus didistribusikan ke departemen pemakai tepat waktu yaitu per minggu dan laporan tersebut

24 93 dipastikan telah benar-benar disampaikan kepada pihak yang berkepentingan atas laporan yang dihasilkan. Adanya pengecekan terlebih dahulu sebelum laporan tersebut diserahkan kepada pihak yang berwenang. 4.6 Pengendalian Security Pemahaman Terhadap Pengendalian Security Untuk mendapatkan pemahaman terhadap pengendalian security, maka dibuat kuesioner pengendalian security (tabel 4.5) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner Kuesioner Pengendalian Security Tabel 4.5 Kuesioner Pengendalian Security KUESIONER PENGENDALIAN SECURITY NO PERTANYAAN Y T KETERANGAN 1 Apakah di ruang komputer memiliki alarm kebakaran otomatis? Jika ya, ketika alarm berbunyi, apakah signal langsung dikirim ke stasiun pengendalian yang selalu dijaga oleh staf?

25 94 NO PERTANYAAN Y T KETERANGAN 2 Apakah ada pemisahaan antara ruang komputer dengan tempat penyimpanan dokumen? Jika ya, apakah ada pengawasan rutin terhadap sistem perlindungan kebakaran yang memastikan bahwa ruangan dokumen terawat baik? 3 Apakah semua aset sistem informasi diletakkan ditempat yang tinggi untuk mengatasi banjir? 4 Apakah peralatan hardware yang sementara tidak digunakan ditutup dengan bahan yang tahan air? 5 Apakah setiap komputer yang digunakan dilengkapi dengan fasilitas berupa stabilizer ataupun UPS? 6 Apakah ada penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup?

26 95 NO PERTANYAAN Y T KETERANGAN 7 Apakah dilakukan penginstalan anti virus dan mengupdatenya secara rutin? Jika ya, apakah dilakukan scan file secara rutin? 8 Apakah ada dilakukan back up data? Jika ya, apakah back up data tersebut sudah dipastikan bebas virus? Dipastikan bebas virus 9 Apakah perusahaan memiliki asuransi atas aset, dokumen dan kertas berharga dan media transportasi yang dimiliki? 10 Apakah ada penggunaan password untuk mengatasi hacking? Jika ya, apakah password tersebut diganti secara berkala? Keterangan : Y = Ya T = Tidak

27 Evaluasi Untuk Pengendalian Security Hasil dari evaluasi pengendalian security dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Walaupun, di ruang komputer memiliki alarm kebakaran otomatis, namun ketika alarm berbunyi, signalnya tidak dikirim langsung ke stasiun pengendalian (Medium Risk) : Apabila tidak ada pengiriman signal secara langsung pada saat alarm kebakaran berbunyi, maka kebakaran tidak akan dapat ditangani secara cepat dan bisa menyebabkan kerugian perusahaan yang lebih besar. : Alarm kebakaran otomatis sebaiknya dilengkapi juga dengan sistem yang dapat mengirim signal langsung ke stasiun pengendali yang dijaga oleh staf sehingga kebakaran dapat ditangani secara cepat. 2. : Peralatan hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air (Low Risk). Audit Risk : Apabila. peralatan hardware yang sementara tidak digunakan tidak ditutup dengan bahan yang tahan air maka sewaktu terjadi kebanjiran, peralatan hardware akan mengalami kerusakan. : Sebaiknya peralatan hardware yang sementara tidak digunakan ditutup dengan bahan yang tahan air sebagai tindakan pencegahan.

28 97 3. : Setiap komputer yang digunakan tidak dilengkapi dengan fasilitas berupa stabilizer ataupun UPS (High Risk). Audit Risk : Tidak adanya stabilizer ataupun UPS akan menyebabkan kerusakan pada komputer karena pengaruh tegangan listrik yang tidak stabil. Selain itu, juga memberikan resiko kehilangan data yang belum sempat disimpan (save) jika terjadi pemadaman listrik. : Sebaiknya setiap komputer yang digunakan dilengkapi dengan fasilitas berupa stabilizer ataupun UPS 4. : Tidak adanya penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup (High Risk). Audit Risk : Kemungkinan resiko terjadinya penyusupan dan pencurian terhadap aset milik perusahaan menjadi lebih besar. : Sebaiknya ditempatkan minimal 2 orang penjaga yang bertugas untuk menjaga keamanan perusahaan. 5. : Ada dilakukan penginstalan anti virus dan mengupdatenya secara rutin, namun scan file tidak dilakukan secara rutin (Medium Risk) : Apabila scan file tidak dilakukan secara rutin, maka kemungkinan virus-virus akan masuk ke dalam sistem dan merusak file-file perusahaan. : Sebaiknya scan file dilakukan secara rutin minimal seminggu sekali.

29 98 6. atas evaluasi pengendalian security yang baik yaitu: Untuk menerapkan pengendalian security yang baik, Perusahaan melengkapi ruang komputer dengan alarm kebakaran otomatis. Dan antara ruang komputer dengan tempat penyimpanan dokumen dipisahkan. Adanya pengawasan yang rutin terhadap sistem perlindungan kebakaran yang memastikan bahwa ruangan dokumen terawat baik. Semua aset sistem informasi diletakkan di tempat yang tinggi untuk mengatasi banjir. Untuk menjaga agar file bebas dari virus, maka dilakukan penginstalan anti virus serta mengupdatenya secara rutin. Selain itu, juga dilakukan back up data dan dipastikan bebas virus. Perusahaan memiliki asuransi atas aset, dokumen dan kertas berharga dan media transportasi yang dimiliki. Adanya penggunaan password untuk mengatasi hacking dan password tersebut diganti secara berkala. 4.7 Pengendalian Operasional Pemahaman Terhadap Pengendalian Operasional Untuk mendapatkan pemahaman terhadap pengendalian operasional, maka dibuat kuesioner pengendalian operasional (tabel 4.6) yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner.

30 Kuesioner Pengendalian Operasional Tabel 4.6 Kuesioner Pengendalian Operasional KUESIONER PENGENDALIAN OPERASIONAL NO PERTANYAAN Y T KETERANGAN 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan efisien? Setiap bagian mengoperasikan komputernya masing-masing 2 Apakah telah ditetapkan staf yang bertanggung jawab untuk mengelola media komputer (disket, CD, dll)? 3 Apakah telah terdapat prosedur pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan? 4 Apakah perawatan terhadap hardware telah dilakukan dengan baik? Setiap User bertanggungjawab penuh atas penggunaan komputer

31 100 NO PERTANYAAN Y T KETERANGAN 5 Apakah menggunakan fasilitas seperti barcode reader ataupun scanner dalam pengentrian data? Jika ya, apakah fasilitas tersebut memiliki kecepatan dan keakuratan dalam pengentrian data? 6 Apakah dilakukan monitor terhadap hardware dan software yang ada? 7 Apakah dilakukan maintenance kontrol terhadap hardware sewaktu pertama kali dibeli? 8 Apakah dilakukan monitoring terhadap jaringan komunikasi secara berkala? Keterangan : Y = Ya T = Tidak Evaluasi Untuk Pengendalian Operasional Hasil dari evaluasi pengendalian operasional dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Pengentrian nomor seri produk dilakukan dengan cara mengetik kode produk satu per satu (High Risk).

32 101 : Hal ini tidak efisien karena memboros waktu dan kemungkinan kesalahan pengentrian juga besar (human error) karena biasanya perusahaan menjual dalam partai besar sehingga banyak nomor seri produk yang harus dientri. : Perusahaan sebaiknya menggunakan fasilitas barcode reader untuk pengentrian nomor seri produk. 2. atas evaluasi pengendalian operasional yang baik yaitu: Setiap bagian memiliki komputer masing-masing dalam melakukan tugas mereka. Adanya penetapan staf yang bertanggungjawab untuk mengelola media komputer (disket, CD, dll) yaitu staf pengolahan data dan divisi IT. Terdapat prosedur yang jelas mengenai pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan. Perawatan terhadap hardware dilakukan dengan baik. Dan juga adanya monitor terhadap hardware dan software yang ada Maintenance kontrol terhadap hardware sewaktu dibeli juga dilakukan oleh divisi IT. Adanya monitoring terhadap jaringan komunikasi secara berkala.

33 Pengendalian Software Aplication Pemahaman Terhadap Pengendalian Software Aplication Untuk mendapatkan pemahaman terhadap pengendalian software aplication, maka dibuat kuesioner pengendalian software aplication (tabel 4.7) yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner Kuesioner Pengendalian Software Aplication Tabel 4.7 Kuesioner Pengendalian Software Aplication KUESIONER PENGENDALIAN SOFTWARE APLICATION NO PERTANYAAN Y T KETERANGAN 1 Apakah aplikasi software yang digunakan User Friendly? 2 Apakah warna layar dalam aplikasi digunakan secara konsisten? 3 Apakah warna yang digunakan terlalu mencolok sehingga dapat menyilaukan mata? 4 Apakah waktu respon dan tampilan rata-rata untuk layar cepat? 5 Apakah dalam sistem aplikasi dilengkapi dengan fasilitas Help? 6 Apakah menu dan field-field dalam aplikasi dirancang sesuai dengan kebutuhan User?

34 103 NO PERTANYAAN Y T KETERANGAN 7 Apakah output yang dihasilkan sudah sesuai dengan kebutuhan manajemen? 8 Apakah ada pesan error untuk kesalahan dalam penggunaan software aplikasi? Keterangan : Y = Ya T = Tidak Evaluasi Untuk Pengendalian Software Application Hasil dari evaluasi pengendalian software application dapat dilihat berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. : Sistem aplikasi tidak dilengkapi dengan fasilitas Help (Low Risk) Audit Risk : Apabila sistem aplikasi tidak dilengkapi dengan fasilitas Help maka User akan mengalami kesulitan dalam mengoperasikan aplikasi tersebut. : Sebaiknya sistem aplikasi yang dirancang perlu dilengkapi dengan fasilitas Help untuk memudahkan pengoperasian aplikasi.

35 atas evaluasi pengendalian software application yang baik yaitu: Secara umum, aplikasi software yang digunakan User Friendly dengan warna layar yang konsisten dan warna yang digunakan tidak terlalu mencolok sehingga tidak akan menyilaukan mata. Waktu respon dan tampilan rata-rata untuk layar relatif cepat. Menu dan field-field dalam aplikasi dirancang sesuai dengan kebutuhan User. Output yang dihasilkan sudah sesuai dengan kebutuhan manajemen. Adanya pesan error untuk kesalahan dalam penggunaan software aplikasi. 4.9 Hasil Wawancara dan Pengamatan Pengendalian Internal Secara Umum Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian internal secara umum yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Bagaimana cara mengevaluasi kriteria dan kinerja para pegawai? Evaluasi periodik terhadap kriteria para pegawai dilakukan dan dikontrol oleh Supervisor. Hasil evaluasi ini akan disampaikan kepada Manajer pada setiap bagian. Dan selanjutnya akan dibicarakan dalam rapat. Evaluasi terhadap kriteria para pegawai dilakukan tidak secara periodik.

36 105 Kalau ada waktu sisa dalam rapat baru dibicarakan mengenai kriteria pegawai (Low Risk) Evaluasi yang hanya dilakukan oleh Supervisor kurang maksimal karena mungkin lebih bersifat subjektif. Dan karena tidak dilakukan evaluasi secara rutin, maka kinerja pegawai pun kurang terkontrol. Evaluasi periodik tidak hanya dilakukan oleh Supervisor, sebaiknya juga dilakukan oleh bagian HRD karena bagian ini yang biasanya berhubungan erat dan yang menangani masalah kepegawaian. Bagian HRD tidak hanya melakukan evaluasi terhadap kinerja para pegawai, tetapi juga menyelenggarakan program training yang bisa meningkatkan kinerja para pegawai. Hasil evaluasi dan penyelenggaraan program training akan dilaporkan kepada Manager pada masing-masing bagian. Dan evaluasi terhadap kinerja pegawai perlu dilakukan secara periodik misal : 2 (dua) bulan sekali atau 1 (satu) minggu setelah training. 2. Apakah setiap formulir terdapat nomor urut tercetak? Tidak semua formulir mempunyai nomor urut tercetak. Contohnya : Formulir Permintaan Barang, karena formulir ini dibuat hanya dalam internal perusahaan saja antara sales dan bagian penjualan (Low Risk).

37 106 Formulir yang tidak mempunyai nomor urut tercetak akan menyebabkan terjadinya tindakan kecurangan dalam perusahaan karena kemungkinan formulir-formulir tersebut disalahgunakan oleh pegawai. Sebaiknya semua formulir harus bernomor urut tercetak baik internal maupun external perusahaan. Hal ini dimaksudkan untuk penyelenggaraan pengendalian internal yang baik dalam perusahaan. Karena dengan adanya penggunaan formulir bernomor urut tercetak, maka formulir-formulir tersebut tidak akan dapat diselewengkan ataupun disalahgunakan oleh para pegawai. 3. Apakah Perusahaan mencetak form surat jalan? Perusahaan hanya menggunakan form faktur dan tidak mencetak form surat jalan (High Risk) Memperbesar timbulnya penyelewengan oleh staf pengiriman karena dia dapat mengetahui dengan benar harga masing-masing produk dari faktur tersebut. Sebaiknya Perusahaan memisahkan antara faktur dan surat jalan sehingga staf pengiriman tidak dapat mengetahui harga produk.

38 Pengendalian Boundary Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian boundary yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Berapa digit password yang digunakan? Password yang digunakan terdiri dari 6 (enam) digit (Low Risk). Password dengan 6 (enam) digit lebih mudah dipecahkan karena waktu yang diperlukan untuk memecahkan kode tersebut relatif singkat. Apalagi dengan adanya program untuk pemecahan password yang bisa dilakukan dalam hitungan menit. Dalam pengendalian akses terhadap sistem aplikasi penjualan, perusahaan menggunakan bentuk otentifikasi berupa password. Perusahaan biasanya mempunyai ketentuan mengenai berapa digit panjang password. Pada kondisi yang ideal, password seharusnya minimal terdiri dari 8 digit. 2. Apakah terdapat metode pembatasan akses terhadap ruang fasilitas library yang ada? Memiliki pembatasan akses dalam melakukan CRUD terhadap data.

39 Bagaimana pembatasan akses terhadap sistem dilakukan? Setiap pegawai yang berkepentingan diberikan USER-ID. 4. Bagaimana pengamanan terhadap sistem apabila User lupa untuk melakukan LOG-OFF? Pengamanan terhadap sistem masih kurang karena apabila User lupa untuk melakukan Log-Off, sistem tidak bisa melakukan automatic Log- Off (Low Risk). Apabila sistem tidak bisa melakukan automatic Log-Off, kemungkinan resikonya adalah adanya orang lain yang tidak memiliki otoritas dapat mengakses sistem tersebut sewaktu sistem lupa dimatikan oleh User yang bersangkutan. Sebaiknya sistem di-set untuk melakukan automatic Log-Off sewaktu komputer dalam kondisi idle (kondisi dimana komputer tidak melakukan operasi apa-apa selama tenggang waktu tertentu). 5. Bagaimana perusahaan merekam semua kejadian yang terjadi dalam sistem? Sistem dalam perusahaan tidak memiliki audit trail (High Risk).

40 109 Apabila dalam sistem tidak memiliki audit trail maka akan kesulitan pada saat melakukan review sistem aplikasi untuk mengetahui aktivitas User mulai dari Log-In, proses selama penggunaan sistem sampai pada saat Log-Off. Sebaiknya, sistem perusahaan memiliki audit trail Pengendalian Input Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian input yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Perangkat apa yang digunakan untuk mengentri data? Menggunakan keyborad, touch secreen, mouse atau disimpan dalam dokumen sumber. 2. Bagaimana pengentrian data penjualan ke dalam sistem? Pengentrian data penjualan langsung dilakukan pada saat terjadinya transaksi. 3. Bagaimana isi pesan pada saat terjadinya error? Isi pesan pada saat terjadinya error jelas, singkat dan mudah dimengerti.

41 Bagaimana penanganan terhadap terjadinya kesalahan inputan? Staf yang bersangkutan langsung memperbaiki kesalahan inputan dengan cara mengedit tanpa adanya otorisasi dari Manager (Low Risk). Apabila terlalu mempercayakan kepada staf untuk mengedit data penjualan kemungkinan kepercayaan itu akan disalahgunakan. Perlu dilakukan identifikasi sebab-sebab kesalahan dan kemudian meminta otorisasi/persetujuan untuk perbaikan dari Manager. Dan pemrosesan kembali ke dalam sistem baru dilakukan Pengendalian Output Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian output yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1.Apakah dilakukan rekonsiliasi antara input dan output untuk menjamin bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar? Tidak dilakukan rekonsiliasi antara input dan output (Medium Risk) Apabila tidak ada rekonsiliasi antara input dan output maka tidak dapat diketahui apakah output yang dihasilkan sudah sesuai dengan input.

42 111 Perlu dilakukan rekonsiliasi antara input dan output supaya dapat menjamin bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar. 2. Apakah terdapat prosedur yang dapat menjamin bahwa output dari sistem informasi selalu direview oleh User management untuk menentukan kelengkapan, akurasi dan konsistensinya? Tidak ada prosedur untuk pelaksanaan review atas output dari sistem informasi oleh user management (Medium Risk). Apabila tidak dilakukan review atas output dari sistem informasi maka output yang dihasilkan tidak akan sesuai dengan kebutuhan manajemen dalam pengambilan keputusan karena kebutuhan informasi oleh manajemen semakin bertambah dari periode ke periode yang baru. Perlunya dilakukan review atas output dari sistem informasi oleh User management untuk menentukan kelengkapan, akurasi dan konsistensinya sehingga output yang dihasilkan sesuai dengan kebutuhan manajemen. 3. Bagaimana ketersediaan data output untuk memenuhi kebutuhan User? Data output yang dihasilkan tepat waktu dan akurat.

43 Kapankah perusahaan perlu menghancurkan dokumen-dokumen yang sudah tidak dipergunakan lagi? Dokumen-dokumen yang sudah tidak dipergunakan lagi dihancurkan 5 (lima) tahun sekali. 5. Dalam bentuk apakah laporan dihasilkan? Laporan dihasilkan dalam bentuk print-out. 6. Apakah laporan yang dihasilkan mencantumkan page heading? Setiap halaman laporan tidak tercantum page heading (Low Risk). Halaman laporan kemungkinan besar akan tertukar dan akan sulit diketahui apabila ada halaman laporan yang hilang. Sebaiknya setiap halaman laporan dicantumkan page heading untuk memudahkan penyusunan halaman laporan. 7. Bagaimana kondisi tempat penyimpanan peralatan output? Kondisi tempat penyimpanan peralatan output cukup bagus karena semua peralatan disimpan dalam ruangan yang dingin dan bebas debu.

44 Apakah laporan-laporan yang dihasilkan sudah cukup dalam membantu pengambilan keputusan oleh pihak manajemen? Laporan yang dihasilkan belum dapat membantu manajemen dalam pengambilan keputusan. (Medium Risk) Tanpa adanya laporan-laporan pendukung akan mempersulit pihak manajemen dalam pengambilan keputusan. Perlu dibuatnya laporan pendukung untuk pengambilan keputusan pihak manajemen seperti : Laporan Barang yang banyak terjual, Laporan Barang yang banyak diretur (rusak) dan Laporan Top Ten Customer Pengendalian Security Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian security yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Apakah terdapat prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi? Perusahaan tidak mempunyai prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi (Low Risk).

45 114 Apabila tidak ada prosedur tertulis mengenai penanganan kebakaran maka kemungkinan apabila terjadi kebakaran, staf tidak akan dapat menanggulangi kebakaran dengan cepat. Perlu adanya prosedur tertulis mengenai tata cara penanganan kebakaran khusus untuk lingkungan informasi. Dan tata cara tersebut seharusnya diletakkan di lokasi yang mudah dilihat. 2. Apakah telah terdapat pelatihan dalam rangka menghadapi bahaya kebakaran? Perusahaan tidak memberikan pelatihan kepada karyawannya dalam rangka menghadapi bahaya kebakaran (Medium Risk). Apabila tidak ada pelatihan untuk menghadapi bahaya kebakaran, maka karyawan akan mengalami kepanikan dan takut pada saat terjadi kebakaran sehingga keadaan akan menjadi semakin tidak terkendali. Perlu adanya training dalam menghadapi bahaya kebakaran supaya karyawan memperoleh pengetahuan mengenai bagaimana cara menangani kebakaran.

46 Bagaimana kondisi di ruang komputer? Ruang komputer mempunyai alat pendingin dan pengatur kelembapan. 4. Bagaimana pemeliharaan gedung? Gedung dibersihkan seminggu dua kali secara teratur. 5. Bagaimana pengamanan terhadap ruang komputer? Ruang komputer selalu terkunci apabila tidak digunakan. 6. Dimanakah letak tabung kebakaran? Tabung kebakaran berada pada lokasi yang mudah terlihat dan terjangkau Pengendalian Operasional Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian operasional yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Bagaimana monitoring jaringan komunikasi dilakukan? Monitoring jaringan komunikasi dilakukan oleh divisi IT, bagian technical support, namun tidak secara berkala. Apabila jaringan komunikasi mengalami masalah, baru dilakukan monitoring tersebut (Medium Risk).

47 116 Apabila monitoring jaringan komunikasi tidak secara berkala, maka kerusakan mungkin tidak terdeteksi. Dan setelah terdeteksi,akan berdampak buruk pada sistem sehingga dibutuhkan waktu yang lebih lama untuk pemulihan kembali (recovery) Divisi IT perlu melakukan monitoring jaringan komunikasi secara berkala untuk tindakan preventif terhadap jaringan komunikasi. 2. Apakah semua staf dapat mengakses data dan informasi yang sama melalui jaringan LAN? Tidak semua staf dapat mengakses dengan menggunakan LAN. Hanya jajaran Manager yang memiliki otoritas saja yang dapat menggunakan fasilitas LAN Pengendalian Software Application Dari hasil interview dengan pihak manajemen, dapat diperoleh pemahaman mengenai pengendalian sofware application yang dirumuskan berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut : 1. Apakah sofware application yang diterapkan telah didokumentasikan? Software application yang ada telah didokumentasikan oleh divisi IT supaya membantu manajemen dalam mendapatkan petunjuk atau informasi sehubungan dengan aplikasi yang digunakan.

48 Berapakah waktu respon rata-rata antara pemasukan data dengan sistem Waktu respon antara pemasukan data dengan sistem kira-kira 4-5 detik. 3. Bagaimana tingkat display untuk menampilkan karakter atau image? Tingkat display cukup cepat untuk menampilkan karakter atau image Matriks Mengenai Pembahasan Untuk Pengendalian Manajemen dan Aplikasi Point PIC (Orang yang bertanggungjawab) Surprised Audit Tidak Tingkat kecurangan Perlu Divisi Audit (pemeriksaan dilakukannya yang akan terjadi dilakukannya mendadak) surprised lebih tinggi surprised audit. audit

49 118 Pencetakan surat Hanya Bisa terjadi Sebaiknya Manajemen jalan menggunakan penyelewengan oleh faktur dan form Operasional faktur dan tidak staf pengiriman surat jalan menggunakan dicetak terpisah form surat jalan Enkripsi Password Database Mudah dibobol oleh Perlu adanya Divisi IT password tidak hacker enkripsi dienkripsi password Penggantian User tidak Kerahasiaan Sistem Divisi IT password oleh User dapat password tidak dapat password harus mengganti dipertahankan fleksibel. password sewaktu-waktu Automatic Log-Off Sistem tidak Orang yang tidak Sebaiknya Divisi IT bisa melakukan berotoritas dapat sistem automatic Log- mengakses sistem memiliki Off automatic Log- Off

50 119 Audit trail Sistem dalam Review sistem Sistem Divisi IT perusahaan aplikasi akan sulit perusahaan tidak memiliki dilakukan sebaiknya audit trail dilengkapi audit trail. Pencantuman copy Banyaknya Pihak yang tidak Seharusnya Manajemen laporan copy laporan berwenang bisa saja mencantumkan Operasional tidak mendapatkan laporan copy laporan dicantumkan tersebut dan pada laporan menyelewengkannya. Rekonsiliasi antara Tidak dilakukan Tidak dapat Sebaiknya Manajemen input dan output rekonsiliasi diketahui apakah dilakukan Operasional antara input dan output yang rekonsiliasi output dihasilkan sudah antara input sesuai dengan dan output inputan. Review atas output Tidak Output yang Perlu Manajemen dari sistem dilakukannya dihasilkan tidak akan dilaksanakan Operasional informasi review atas sesuai dengan review atas output dari kebutuhan output dari sistem manajemen sistem

51 120 informasi. informasi Penggunaan Setiap Kerusakan pada Komputer Manajemen fasilitas stabilizer komputer yang hardware dan perlu Operasional ataupun UPS digunakan tidak hilangnya data. dilengkapi dilengkapi stabilizer dengan fasilitas ataupun UPS berupa stabilizer ataupun UPS Penempatan Tidak adanya Tidak terdeteksi Perlu adanya Manajemen penjaga dan penempatan adanya penyusup penempatan keamanan penggunaan alarm penjaga dan penjaga dan penggunaan penggunaan alarm untuk alarm. mengantisipasi adanya penyusup Dilakukannya scan Ada dilakukan Virus-virus akan Sebaiknya scan Divisi IT file penginstalan masuk ke dalam file dilakukan anti virus dan sistem dan merusak secara rutin mengupdatenya file perusahaan minimal

52 121 secara rutin, namun scan file seminggu sekali tidak dilakukan secara rutin Pengentrian kode Pengentrian Terjadinya kesalahan Sebaiknya Manajemen produk dilakukan input dan memakan menggunakan Operasional dengan cara waktu yang lama fasilitas mengetik kode barcode reader produk satu per satu Monitoring jaringan Monitoring Kerusakan ataupun Monitoring Divisi IT komunikasi jaringan permasalahan pada sebaiknya komunikasi jaringan komunikasi dilakukan dilakukan tidak tidak terdeteksi secara berkala secara berkala. Tabel 4.8 Matriks Pembahasan Pengendalian Manajemen dan Aplikasi 4.11 Laporan Audit Laporan Audit Sistem Informasi Penjualan yang dibuat oleh Tim Audit Kelompok 6 adalah sebagai berikut :

53 122 Kepada Perihal : Manajemen Penjualan PT. Perdana Bangun Pusaka. Tbk : Laporan Hasil Audit Sistem Informasi Penjualan Periode : Desember 2005 LAPORAN AUDIT SISTEM INFORMASI PENJUALAN PT. PERDANA BANGUN PUSAKA. TBK I. Tujuan Memastikan keluaran (output) yang dihasilkan tepat waktu sesuai dengan hasil masukan (input), membandingkan apakah sistem sudah sesuai dengan standar yang ada dan memberikan rekomendasi untuk kelemahan-kelemahan yang mungkin ditemukan dan menghasilkan laporan audit bagi PT. Perdana Bangun Pusaka. Tbk. II. Ruang Lingkup Pengendalian terhadap prosedur dan proses pelaksanaan sistem informasi khususnya mengenai penjualan. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi terfokus pada 2 (dua) bagian umum yaitu pengendalian manajemen dan pengendalian aplikasi. Pengendalian manajemen berupa pengendalian keamanan dan pengendalian operasional sedangkan pengendalian aplikasi berupa pengendalian boundary, input dan output. III. Metode Audit Metode Audit yang digunakan adalah dengan melakukan wawancara, pengamatan, kuesioner, pengujian,analisis dan testing aplikasi.

54 123 IV. Hasil Audit Berdasarkan audit findings yang ditemukan, kami selaku Tim Audit menyatakan bahwa pengendalian dalam perusahaan secara umum telah dilakukan dengan baik. Adapun pengendalian-pengendaliannya sebagai berikut : Pengendalian Internal secara Umum Pengendalian Internal secara umum pada PT. Perdana Bangun Pusaka. Tbk sudah dilakukan dengan baik, hanya saja sesekali pihak manajemen perlu menyelenggarakan pemeriksaan mendadak (surprised audit) untuk meminimalkan kecurangan yang mungkin terjadi. Pengendalian Boundary Pengendalian boundary sudah cukup baik diterapkan dalam perusahaan. Namun akan lebih baik lagi jika dilakukan pengenkripsian pada database password dan sistem aplikasi dilengkapi dengan audit trail. Pengendalian Input Pengendalian input sudah dilakukan cukup baik contohnya : dokumen sumber di-input secara real time, dokumen sumber yang di-input ke dalam komputer hanyalah dokumen sumber yang telah diotorisasi dan sistem aplikasi dapat menampilkan error message yang mudah dimengerti oleh User. Pengendalian Output Pengendalian output umumnya sudah dilakukan dengan baik. Namun kami menemukan bahwa tidak dicantumkannya banyaknya copy laporan, nama program dan masa berlaku laporan. Kami menyarankan untuk mencantumkan ketiga hal tersebut dalam laporan yang dihasilkan.

55 124 Pengendalian Security Pengendalian security telah diterapkan cukup baik kalau dilihat dari segi pengamanan terhadap resiko yang berasal dari lingkungan (bencana kebakaran dan banjir) namun dari segi pengamanan terhadap aset sistem informasi masih kurang karena perusahaan belum melengkapi komputer dengan fasilitas stabilizer ataupun UPS dan kurang penjagaan yang ketat terhadap penyusup. Pengendalian Operasional Pengendalian operasional juga sudah bagus diterapkan hanya saja dalam pengentrian nomor seri produk masih diketik satu per satu. Hal ini sangat membuang waktu dan kemungkinan kesalahan pengentrian juga sangat besar. Pengendalian Software Application Pengendalian software application sudah sangat bagus, ini terlihat pada aplikasi software yang cukup user friendly, waktu respon dan tampilan rata-rata untuk layar relatif cepat, menu dan field-field aplikasi dirancang sesuai kebutuhan User, serta adanya pesan error untuk kesalahan dalam penggunaan aplikasi. Demikianlah hasil laporan audit atas sistem informasi penjualan pada PT. Perdana Bangun Pusaka. Tbk. Jakarta, 10 Desember 2005 TIM AUDIT Kelompok 6