BAB 4 EVALUASI SISTEM INFORMASI SURETY BOND PADA PT. ASURANSI JASA RAHARJA PUTERA

Transkripsi

1 BAB 4 EVALUASI SISTEM INFORMASI SURETY BOND PADA PT. ASURANSI JASA RAHARJA PUTERA Dalam bab ini dibahas mengenai pelaksanaan evaluasi sistem informasi Surety Bond pada PT. Asuransi Jasaraharja Putera. Penggunaan sistem informasi memerlukan pengendalian agar dapat mendukung kegiatan bisnis. Untuk mengetahui sejauh mana pengendalian terhadap penggunaan sistem informasi Surety Bond maka perlu dilakukannya kegiatan evaluasi dengan mengumpulkan bukti-bukti evaluasi. Pengumpulan temuan atau bukti evaluasi diperoleh dari dokumentasi kebijakan dan prosedur, wawancara, check list yang telah disusun, serta pengamatan dan pengujian. Dalam pelaksanaan evaluasi ini melibatkan Kadiv, Kabag, Kasi, pelaksana, pada divisi Surety Bond, Staff IT pada divisi, Security serta pihak yang terkait. 4.1 Perencanaan Evaluasi Pada tahap perencanaan evaluasi ditetapkan penentuan ruang lingkup, tujuan dari pelaksanaan audit dan persiapan penelitian lapangan. a. Penentuan ruang lingkup Ruang lingkup dalam melakukan evaluasi dibatasi pada sistem informasi Surety Bond yaitu dimulai dari permohonan menjadi nasabah Surety Bond sampai dengan pengarsipan bordero. Pelaksanaan evaluasi

2 menggunakan metode audit around the computer dimana pembahasan dibatasi pada input, boundary dan output controls. b. Tujuan pelaksanaan evaluasi Tujuan pelaksanaan evaluasi adalah untuk memastikan sistem informasi berjalan sesuai dengan prosedur dan kebijakan yang ditetapkan PT. Asuransi Jasaraharja Putera serta mengetahui kelebihan dan kelemahan sistem pengendalian intern pada divisi Surety Bond. c. Persiapan penelitian lapangan Pengumpulan bukti evaluasi dilakukan dengan cara mengajukan beberapa pertanyaan melalui check list, wawancara dan observasi. 1. Check list Check list yang digunakan dibagi menjadi dua bagian, yaitu: 1). Pengendalian umum a. Check list pengendalian manajemen operasi b. Check list pengendalian manajemen keamanan 2). Pengendalian aplikasi a. Check list pengendalian input b. Check list pengendalian boundary c. Check list pengendalian output 2. Observasi d. Pemeriksaan bukti-bukti dokumen

3 Pemeriksaan bukti-bukti dokumen dilakukan terlebih dahulu mengumpulkan bukti-bukti yang mendukung, akurat dan otentik. Buktibukti tersebut selanjutnya dievaluasi. e. Pemeriksaan Aplikasi Aplikasi yang tertera dalam monitor komputer disesuaikan dengan seluruh data yang ada atau informasi yang diterima dan dilakukan pengecekan ulang sebelum closing. f. Pemeriksaan internal kantor Pengevaluasian ini dilakukan terhadap seluruh aktivitas atau kegiatan operasional kantor, termasuk pengawasan terhadap pemberdayaan sumber daya manusia yang dimiliki perusahaan. 4.2 Program Evaluasi Untuk mengetahui sistem informasi yang ada sesuai dengan standar yang berlaku, maka dibuat program evaluasi sebagai berikut : 1. Persiapan kerja evaluasi. a. Membaca buku buku sebagai referensi mengenai evaluasi dan audit sistem informasi. b. Membaca buku buku sebagai referensi mengenai Surety Bond. 2. Memahami struktur pengendalian intern perusahaan. a Melakukan wawancara dengan pihak terkait pada perusahaan. b Melakukan observasi terhadap kegiatan yang berlangsung dalam PT. Asuransi Jasaraharja Putera. c Mengumpulkan dan mempelajari dokumen dokumen terkait, seperti

4 formulir permohononan mendapatkan Surety Bond, lembar penetapan plafond jaminan, lembar akseptasi dan approval permohonan Bond, kartu resiko, laporan penjualan dan bordero. 3. Melakukan pengujian pada pengendalian umum dan aplikasi. a Mengamati dan menganalisa kegiatan kegiatan yang berkaitan berhubungan dengan sistem informasi Surety Bond perusahaan apakah telah sesuai dengan tata laksana perusahaan. b Memberikan daftar pertanyaan untuk dijawab dan check list untuk diisi kepada pihak-pihak yang terkait dengan sistem informasi Surety Bond untuk mengetahui hasil bentuk pengendalian manajemen operasi dan aplikasi yang telah berjalan dalam PT. Asuransi Jasaraharja Putera. c Menyimpulkan daftar pertanyaan yang telah dijawab dan check list yang telah diisi oleh pihak-pihak yang terkait dalam sistem informasi Surety Bond. d Menilai dan mengevaluasi check list, hasil wawancara dan pengamatan langsung untuk mengidentifikasi apakah terjadi masalah, resiko yang mungkin ditimbulkan jika terjadi masalah dan memberikan saran rekomendasi untuk membantu menghindari dampak negatif dari resiko. 4. Membuat laporan hasil evaluasi. Penulis membuat laporan hasil evaluasi yang telah dilakukan pada PT. Asuransi Jasaraharja Putera. Dimana mencakup evaluasi hasil temuan masalah dan saran rekomendasi.

5 Tabel 4.1 Rencana Kerja Audit Oktober November Desember Januari No Action Plan Auditor Auditee I II III IV I II III IV I II III IV I II 1. Permohonan survey Razif, Fira, Sandra SDM 2. Maksud dan tujuan auditor ke Razif, Fira, perusahaan Sandra Kadiv SB 3. Pengenalan terhadap sistem Razif, Fira, yang berjalan Sandra Pelaksana 4. Prosuder kerja staff Surety Bond Fira SDM 5. Keamanan Gedung Sandra Security 6. Keamanan Asset Razif 7. Keamanan IT Fira Pelaksana 8. Kesesuain SOP Kerja Sandra Kabag. Akseptasi 9. HRD / SDM Sandra SDM Kesesuaian JOB Description Kabag. 10. Razif dengan yang berjalan Akseptasi Percobaan dan penggambaran Kabag. 11. Fira terhadap sistem aplikasi Akseptasi 12. Pengecekan kelemahan sistem Razif, Fira, Sandra 13. Penyusunan Laporan Razif, Fira, Sandra -

6 Table 4.1 Audit Plan Untuk Pengendalian Manajemen Operasi No. Rencana Kerja Instrumen Auditee 1. Mencari tahu apakah perusahaan telah mempunyai standar prosedur dalam pengoperasian sistem Surety Bond. 2. Mencari tahu apakah terdapat anggaran yang dialokasikan untuk perawatan dan pengembangan hardware. 3. Mencari tahu dan mengamati penggunaan komputer. 4. Mencari tahu dan mengamati pengendalian keamanan pada saat terjadi transaksi. 5. Mencari tahu apakah terdapat prosedur dalam konfirmasi transaksi. Observasi dan Kabag. Akseptasi Staff IT Staff IT Staff IT Kabag. Akseptasi 6. Mengamati media penyimpanan dokumen. Observasi Pelaksana

7 Table 4.2 Audit Plan Untuk Pengendalian Manajemen Keamanan No. Rencana Kerja Instrumen Auditee 1. Mencari tahu dan mengamati pengendalian terhadap ancaman kebakaran. 2. Mencari tahu dan mengamati apakah tersedia UPS pada setiap komputer. 3. Mengamati keamanan lingkungan perusahaan. 4. Mencari tahu sistem sistem keamanan komputer. 5. Mencari tahu apakah ada penjadwalan pemeriksaan terhadap workstasion dan server. 6. Mencari tahu dan mengamati networking perusahaan. 7. Mencari tahu apakah terdapat pembatasan hak akses untuk ruang server. 8. Mencari tahu apakah asset perusahaan telah di-cover asuransi jika terjadi bencana. Observasi dan Observasi dan Observasi Observasi dan Security Staff IT Security Staff IT Staff IT Staff IT Staff IT Kabag. Aksptasi

8 Table 4.3 Audit Plan Untuk Pengendalian Input No. Rencana Kerja Instrumen Auditee 1. Mencari tahu apakah ada prosedur untuk Control terhadap Register Form Bond. 2. Mencari tahu dokumen yang digunakan pada penginputan. 3. Mencari tahu data-data yang diberikan nasabah (Principle) pada saat memberikan berkas permohonan menjadi Principle Surety Bond dilakukan analisa dan survey terlebih dahulu. 4. Mengamati apakah formulir peng-inputan mudah dimengerti oleh user. 5. Mengamati apakah tampilan layar dan letak komputer sudah user friendly. 6. Mencari tahu apakah terdapat pengendalian untuk mencegah pemrosesan data pada waktu yang sama. 7. Mencari tahu apakah ada pengkodean khusus yang digunakan untuk indentifikasi masing-masing transaksi Surety Bond. 8. Mencari tahu dan mengamati apakah sudah terdapat panduan dalam penginputan data. Observasi dan Observasi dan Observasi dan Kabag. Akseptasi Pelaksana Pelaksana Pelaksana Pelaksana Staff IT Staff IT Pelaksana

9 Tabel 4.4 Audit Plan Untuk Pengendalian Boundary No. Rencana Kerja Instrumen Auditee 1. Mencari tahu akses login dilengkapi dengan username dan password. 2. Mencari tahu pengendalian terhadap penggunaan password. 3. Mencari tahu apakah terdapat fungsi yang mengolah pemberian user-id berikut password serta access previllege. 4. Mengamati apakah setiap karyawan telah menggunakan password yang sudah diberikan. Observasi Observasi dan Pelaksana Pelaksana Staff IT Staff IT

10 Tabel 4.5 Audit Plan Untuk Pengendalian Output No. Rencana Kerja Instrumen Auditee 1. Mencari tahu dan mengamati laporan yang dihasilkan. 2. Mencari tahu pendistribusian dari hasil output. 3. Mencari tahu dan mengamati control terhadap output. 4. Mengamati dan mencari tahu media penyimpanan output. dan Observasi Observasi dan Observasi dan Kabag. Aksptasi Pelaksana Pelaksana Pelaksana 5. Mengamati penggunaan terhadap asset IT. Observasi dan Pelaksana

11 4.3 Pengumpulan Bukti-Bukti Evaluasi Untuk lebih memahami dan mengetahui pengendalian umum yang mencakup pengendalian manajemen operasi dan pengendalian manajemen keamanan serta pengendalian aplikasi yang mencakup pengendalian input, pengendalian boundary dan pengendalian output digunakan check list, observasi dan wawancara untuk membantu pengumpulan bukti atas kegiatan evaluasi yang dilakukan. Berikut ini beberapa check list yang dapat membantu menjelaskan hasil temuan evaluasi antara lain:

12 Tabel 4.7 Pengendalian Manajemen Operasi No. Ref. Auditee Pertanyaan Y T Keterangan 1. DS7.2 Kabag Akseptasi Apakah telah dilakukan pelatihan terhadap pengentrian data? Dilakukan pelatihan terlebih dahulu untuk staff yang bertugas meng-entry data pada aplikasi Surety Bond 2. AI3.2 Kabag Akseptasi Apakah terdapat anggaran untuk perawatan hardware? Perusahaan telah mengalokasikan anggaran dalan perawatan hardware 3. Staff IT Apakah ada perawatan terhadap hardware? perawatan tiap akhir minggu dengan pembersihan 4. DS13.1 Kabag Akseptasi Apakah terdapat buku prosedur sistem dan petunjuk operasi? Perusahaan memiliki user manual guide untuk pengoperasian aplikasi Surety Bond 5. PO2.3 Staff IT Apakah ada pembedaan tampilan untuk tiap Terdapat pembedaan tampilan aplikasi Surety bagian? Bond berdasarkan hak akses penggunaan aplikasi.

13 No. Ref. Auditee Pertanyaan Y T Keterangan 6. Staff IT Apakah ada penjadwalan kerja dalam pemakaian hardware/software? Scan file dilakukan pada saat jam makan siang, pengupdat-an software dilakukan secara otomatis jam 10 malam. 7. Staff IT Apakah perusahaan menggunakan jaringan LAN? Sistem informasi perusahaan menggunakan LAN. 8. DS5.11 Kabag Apakah terdapat prosedur dalam konfirmasi Perusahaan belum memiliki dokumentasi Akseptasi I transaksi penerbitan Bond? prosedur dalam melakukan transaksi yang dilakukan melalui telefon atau fax

14 Tabel 4.8 Pengendalian Manajemen Keamanan No. Ref. Auditee Pertanyaaan Y T Keterangan 1. DS12.4 Security Apakah dalam gedung kantor terpasang alarm kebakaran otomatis untuk melindungi asetaset informasi dari ancaman kebakaran? 2. DS12.4 Security Apakah tersedia alat pemadam kebakaran dimana ditempatkan pada lokasi yang sesuai? Gedung kantor telah terpasang alarm kebakaran yang secara otomatis mendeteksi adanya asap. Telah tersedia alat pemadam kebakaran di setiap lantai gedung untuk mengatisipasi jika terjadi kebakaran. 3. DS12.4 Pelaksana Apakah perusahaan menggunakan UPS untuk Perusahaan telah mnggunaka UPS namun ( Bpk Bani ) mengantisipasi perubahan tegangan sumber tidak semua komputer pada divisi Surety Bond energi listrik? di-cover dengan UPS. Jika ya, apakah setiap komputer untuk pembuatan Bond pada divisi Surety Bond telah dilengkapi dengan UPS?

15 No. Ref. Auditee Pertanyaaan Y T Keterangan 4. DS5.5 Staff IT 5. DS5.9 Staff IT 6. AI3.2 Staff IT 7. DS5.10 Staff IT Apakah dilakukan perubahan password secara berkala? Apakah dalam sistem komputer diinstall anti virus serta melakukan update dan scan file secara rutin? Apakah terdapat perawatan terhadap workstation dan server? Apakah ada penggunaan firewall untuk keamanan sistem perusahaan? Adanya penggunaan password pada komputer, namun perubahan password tidak dilakukan secara berkala. Sistem dilengkapi dengan anti virus Symantec Corporation, dimana pelaksanaan update dan scan file dilakukan secara otomatis pada saat jam makan siang. Perawatan terhadap workstation dilakukan setiap minggu dan pemeriksaan terhadap server dilakukan setahun sekali. Untuk firewall perusahaan menggunakan software e-trust

16 No. Ref. Auditee Pertanyaaan Y T Keterangan 8. Weber Staff IT 9. Weber Kabag Akseptasi 10. Kabag Akseptasi Apakah akses dalam memasuki ruang server telah dibatasi? Apakah terdapat asuransi untuk menanggung segala kerugian apabila terjadi bencana yang merusak peralatan, fasilitas, media penyimpanan, dokumen berharga dan lainlain? Apakah terdapat prosedur untuk penempatan formulir pendukung penerbitan Bond? (lampiran L 5) Hanya staff IT yang bisa memasuki ruang server dimana akses kunci dipegang oleh Staff IT. Untuk melindungi aset fisik dari kerugian akibat bencana, perusahaan mengasuransikan asetnya pada Andika Insurance. Prosedur penempatan formulir pendukung penerbitan Bond telah ditata dengan jelas

17 No. Ref. Auditee Pertanyaaan Y T Keterangan 11. Weber Kabag Akseptasi Apakah terdapat peralatan komputer dan peralatan lainnya sebagai cadangan? Jika terjadi masalah pada perangkat komputer dan pendukung lainnya, maka perusahaan memiliki cadangan perangkat komputer untuk mendukung kegiatan operasional.

18 Tabel 4.9 Pengendalian Aplikasi Input No. Ref. Auditee Pertanyaan Y T Keterangan 1. DS11.1 Pelaksana (Bpk Bani) Apakah dalam melakukan penginputan mengunakan Formulir Permohonan Surety Bond dan dokumen pendukung? Dalam melakukan penginputan membutuhkan Formulir Permohonan Surety Bond dan dokumen pendukungnya, jika Formulir Permohonan menggunakan fax maka pada pengambilan diberikan aslinya. 2. DS11.4 Pelaksana (Bpk. Bani) Apakah formulir permohonan surety bond yang akan di input mendapat otorisasi terlebih dahulu? Sebelum Formulir Permohonan Surety Bond di entry diberikan nomor marketing, yang menyatakan data dapat diproses. 3. AI2.2 Pelaksana (Bpk. Bani) Apakah formulir penginputan mudah dimengerti oleh operator? Formulir penginputan data didisain secara user-friendly. 4. AI2.2 Pelaksana (Bpk. Bani) Apakah tampilan layar mudah untuk dimengerti oleh operator? Tampilan layar didisain secara user-friendly.

19 No. Ref. Auditee Pertanyaan Y T Keterangan 5. DS11.1 Apakah data-data yang diberikan nasabah (principle) pada saat memberikan berkas permohonan menjadi Principle Surety Bond Dilakukan survey dan analisis data untuk mengecek kebenaran data yang diberikan Principle. Pelaksana (Bpk. Bani) merupakan data yang benar adanya Jika ya, 1. Apakah dilakukan analisa terhadap data yang diberikan? 2. Apakah perusahaan melakukan survey terlebih dahulu sebelum data yang diberikan di input kedalam komputer? 6. A12.2 Pelaksana (Bpk. Bani) Apakah tampilan layar telah dirancang dengan rapi dan seimbang? Layar tampilan komputer telah dirancang dengan rapi dan seimbang serta menggunakan pilihan warna yang tepat.

20 No. Ref. Auditee Pertanyaan Y T Keterangan 7. Staff IT Apakah terdapat pengendalian untuk mencegah pemrosesan data pada waktu yang sama? Telah dilakukan penguncian dalam database sehingga satu data tidak dapat dimanipulasi pada waktu yang sama. 8. Staff IT Apakah ada pengkodean khusus yang digunakan untuk indentifikasi masingmasing transaksi Surety Bond? Indentifikasi transaksi Surety Bond telah menggunakan pengkodean khusus. (B = B adalah Bond, 11 kode Bond, kode cabang, 2006 tahun produksi, 0001 no urut) 9. DS13.4 Kabag Akseptasi I Apakah ada prosedur untuk mengontrol no. registrasi pada formulir permohonan Bond Tidak ada prosedur untuk mengontrol terhadap registrasi formulir Bond. 10. Staff IT Apakah dilakukan pengarsipan terhadap data yang di-input? Data yang telah digunakan diarsip bersama dengan rangkap arsip Bond.

21 No. Ref. Auditee Pertanyaan Y T Keterangan 11. Staff IT Apakah disiapkan buku panduan/pendoman kerja untuk cara-cara memasukan data ke file komputer? Telah terdapat buku panduan untuk mebantu operator memasukan data ke file komputer.

22 Tabel 4.10 Pengendalian Aplikasi Boundary No. Ref. Auditee Pertanyaan Y T Keterangan 1. DS5.4 Pelaksana (Bpk. Bani) 2. DS5.4 Pelaksana (Bpk. Bani) 3. DS5.4 Pelaksana (Bpk. Bani) 4. DS5.4 Pelaksana (Bpk. Bani) 5. DS5.4 Pelaksana (Bpk. Bani) Apakah akses log-in aplikasi Surety Bond dilengkapi dengan username dan password? Apakah password aplikasi Surety Bond dapat dirubah? Apakah terdapat ketentuan berapa digit panjang password? Apakah terdapat peringatan (message box) apabila user memberikan password yang salah? Apakah pengisian password berubah menjadi simbol? Username dan password diperlukan untuk masuk pada aplikasi Surety Bond. Account administrator pada aplikasi Surety Bond dapat merubah password yang digunakan Ketentuan panjang digit password adalah 4-6 character. Massage box peringatan akan tampil bila password yang dimasukan salah. Dalam pengentrian password, character berubah menjadi *

23 No. Ref. Auditee Pertanyaan Y T Keterangan 6. DS5.5 Staff IT 7. Staff IT Apakah terdapat fungsi yang mengolah pemberian user-id berikut password serta access previllege. Apakah penggunaan password terindentifikasi kedalam program? Akses dalam penggunaan aplikasi Surety Bond diberikan oleh kadiv selaku pemegang account administrator, ketika pemakai yang bersangkutan menjadi staff Surety Bond Penggunaan password terindentifikasi kedalam program Surety Bond 8. Staff IT Apakah database telah di enskripsi? Dengan menggunakan software SQL, server database dienskripsi secara langsung.

24 Tabel 4.11 Pengendalian Aplikasi Output No. Ref. Auditee Pertanyaan Y T Keterangan 1. Kabag Akseptasi Apakah laporan yang dihasilkan telah sesuai dengan SOP? Laporan yang dihasilkan sesuai dengan SOP 2. Kabag Akseptasi Apakah terdapat prosedur yang dapat menjamin bahwa Bond yang dihasilkan selalu direview oleh pihak yang berwenang Bond yang dihasilkan dirivew terlebih dahulu oleh pihak yang berwenag. 3. Pelaksana (Ibu. Syalbi) Apakah pada Bond yang dihasilkan tercantum nama dan tanda tangan pembuat Bond? Bond yang dihasilkan tidak terdapat tanda tangan pembuat Bond, karena bond yang dihasilkan berupa perjanjian yang membutuhkan otorisasi pihak yang berwenang, pembuat Bond dapat dilihat dalam buku nomor marketing.

25 No. Ref. Auditee Pertanyaan Y T Keterangan 4. Pelaksana (Ibu. Syalbi) Apakah setiap laporan penjualan harian selalu dicantumkan tanggal pencetakan? Setiap laporan penjualan harian yang dihasilkan dicantumkan tanggal. 5. Pelaksana (Ibu. Syalbi) Apakah Bond yang dihasilkan dijaga agar tidak hilang dan tercecer? (Lampiran L 6) Bond yang dihasilkan dtempatkan pada box arsip, sedangkan data yang tidak diperlukan dihancurkan. 6. DS11.2 Pelaksana (Ibu. Syalbi) Apakah Bond yang dihasilkan disimpan ditempat yang mudah dijangkau? Bond yang dihasilkan telah disimpan pada tempat yang mudah dijangkau. 7. DS11.3 Pelaksana (Ibu. Syalbi) Apakah terdapat Prosedur dalam pengarsipan Bond Bond yang masih dalam jaminan perusahaan disimpan didalam lemari arsip bila lebih dari 1 tahun maka Bond tersebut diletakan digudang perusahaan di daerah cibubur dan setelah lebih dari 3 tahun dihancurkan.

26 No. Ref. Auditee Pertanyaan Y T Keterangan 8. Pelaksana Apakah printer bisa digunakan untuk semua Printer pada divisi Surety Bond dapat (Ibu. Syalbi) orang digunakan oleh semua staff tetapi belum Jika ya, apakah terdapat pengelompokan fungsi dalam penggunaan printer? adanya pengelompokan fungsi pada saat pencetakan Bond.

27 4.4 Penjelasan Hasil Temuan Evaluasi Berdasarkan bukti-bukti evaluasi yang telah diperoleh pada PT. Asuransi Jasaraharja Putera, kesimpulan dari hasil check list, wawancara dan observasi adalah: Hasil Pengamatan (Observasi), atas Manajemen Operasi a. Sistem aplikasi Surety Bond yang kurang flexible b. Pendistribusian revisi dari SOP (Standard Operating Procedures) Surety Bond tidak menyeluruh. c. Dokumen yang ada telah disimpan ditempat yang rapi dan aman tetapi belum terdapat tempat khusus bagi Bond yang outstanding in prosess Hasil Pengamatan (Observasi), atas Manajemen Keamanan a. Tamu atau orang asing diharuskan meninggalkan KTP atau kartu indentitas lainnya sebagai tanda pengenal. b. Penjaga ditempatkan di setiap lantai perusahaan, setiap tamu yang berkepentingan melewati penjaga terlebih dahulu serta dilengkapi dengan CCTV pada setiap lantai perusahaan untuk mengantisipasi adanya penyusup. c. Penempatan SWITCH yang kurang baik. (Lampiran Penempatan Switch, L4)

28 4.4.3 Hasil Pengamatan (Observasi), atas Aplikasi Input a. Sistem tidak dilengkapi dengan help facility untuk membantu user dalam penginputan data Hasil Pengamatan (Observasi), Wawancara dan Check list atas Aplikasi Boundary a. Masing-masing karyawan telah diberikan password dalam penggunaan aplikasi Surety Bond tetapi tetap menggunakan satu password yaitu password administrator Hasil Pengamatan (Observasi), Wawancara dan Check list atas Aplikasi Output a. Batch output disimpan secara aman dan dihancurkan bila tidak diperlukan. (Lampiran Penempatan Penataan Arsip Bond, L 8) b. Pengarsipan terhadap dokumen-dokumen yang berhubungan dengan aktifitas Surety Bond telah dilakukan dengan rapi dan aman. (Lampiran Penempatan Penataan Arsip Bond, L 5) c. Data penjualan Surety Bond tidak terhubung langsung dengan divisi keuangan perusahaan. d. Pengujian secara subtantif dilakukan pada laporan bulanan produksi surety bond pada bulan januari yang menunjukan kesesuaian terhadap saldo yang tertera. Lampiran laporan produksi surety bond.

29 4.5 Evaluasi Hasil Temuan Audit Temuan Audit pada Pengendalian Manajemen Operasi Temuan masalah pertama : Pendistribusian revisi dari SOP (Standard Operating Procedures) Surety Bond tidak menyeluruh ke seluruh divisi Surety Bond. Standar : CoBIT DS13.1 (Operations Prosedures and Instruction) Resiko : Terdapat kerancuan dalam prosedur kerja. Kegagalan pembentukan keseragaman sikap dan tindakan petugas. Rekomendasi yang disarankan : SOP yang telah direvisi didistribusikan merata dan dan diadakan pemberitahuan ke keseluruh divisi Surety Bond terhadap perubahan SOP yang ada.. Pengukuran resiko : High, karena jika revisi yang dihasilkan tidak didistribusikan merata keseluruh divisi Surety Bond maka akan terjadi ketidakseragaman dalam pekerjaan yang akan berdampak pada operasional perusahaan dan juga pada pengendalian intern. Temuan Masalah Kedua : Sistem aplikasi Surety Bond yang kurang flexible dimana terdapat beberapa permintaan fomat Surety Bond oleh Principle yang tidak sesuai dengan standar perusahaan yang membutuhkan perhatian khusus dari support IT untuk merubah format standar tersebut. Standar : CoBIT PO2.1 (Enterprise the Information Model) Resiko : Keterlambatan waktu dalam penyelesaian pembuatan Bond.

30 Rekomendasi yang Disarankan : Dilakukan pengembangan sistem pada aplikasi Surety Bond. Pengukuran resiko : Medium, karena sistem yang kurang flexible akan memperlambat waktu pengerjaan Bond dan juga salah cetak Bond sehingga akan berdampak pada kegiatan operasional divisi Surety Bond Temuan masalah ketiga : Belum terdapatnya tempat khusus bagi Bond yang outstanding in prosess ketika jam kerja kantor berakhir. Standar : CoBIT DS11.6 (Security requirements for data management) Resiko : Dokumen bisa hilang dan terjadi pengulangan kerja yang sama karena harus dimulai dari awal lagi. Rekomendasi :. Disediakan media untuk pemrosesan dokumen Surety Bond, diikuti dengan pelatihan disiplin kerja karyawan. Pengukuran resiko : Medium, dengan tidak terdapatnya tempat khusus untuk Bond yang outstanding maka akan menyebabkan Bond tercecer dan hilang serta akan terjadi pengulangan kerja yang sama sehingga akan berdampak pada kegiatan operasional pada divisi Surety Bond. Temuan masalah keempat : Tidak terdapat prosedur dalam konfirmasi transaksi penerbitan Bond. Standar : CoBIT DS5.11 (Exchange of Sensitive Data) Resiko : Kesalahan pecatatan informasi yang diperoleh. Rekomendasi : Untuk konfirmasi penerbitan Bond via telepon dan fax diengkapi dengan mesin record transaksi.

31 Pengukuran resiko : Medium, karena dengan tidak tersediannya prosedur dalam konfirmasi transaksi penerbitan Bond maka akan mengakibatkan kesalahan pencatatan informasi yang diperoleh sehingga akan berdampak pada kegiatan operasional pada divisi Surety Bond Temuan Audit pada Pengendalian Manajemen Keamanan Temuan masalah pertama : Penempatan SWITCH yang tidak aman. Standar : CoBIT DS12.4 (Protection against environmental factors) dan CoBIT DS5.10 ( Network Security) Resiko : Gangguan terhadap jaringan sistem. Rekomendasi yang disarankan : Ditingkatkannya pengendalian dan monitor terhadap keamanan jaringan. Pengukuran resiko : Medium, penempatan switch yang tidak aman mengakibatkan gangguan terhadap jaringan sehingga akan berpengaruh pada kegiatan operasional pada divisi Surety Bond. Temuan masalah kedua : Tidak semua komputer yang digunakan untuk pembuatan Bond pada divisi Surety Bond dilengkapi UPS. Standar : CoBIT DS12.4 (Protection against environmental factors) dan Teori Weber pada pengendalian keamanan Resiko : Gangguan terhadap kerja operasi hardware yang berdampak pada kinerja sistem operasional perusahaan. Rekomendasi yang disarankan : Setiap komputer yang digunakan untuk pembuatan Bond harus dilengkapi dengan UPS.

32 Pengukuran resiko : Medium, dengan tidak terdapatnya UPS pada beberapa komputer untuk pembuatan Bond maka akan mengakibatkan gangguan terhadap kerja operasi hardware sehingga akan berdampak pada kegiatan operasional divisi Surety Bond. Temuan masalah ketiga : Perubahan password tidak dilakukan secara berkala. Standar : CoBIT DS5.4 (User Account Management) Resiko : Terjadinya pengaksesan oleh orang yang tidak berwenang. Rekomendasi yang disarankan : Penjadwalan perubahan Password secara berkala. Pengukuran resiko : Medium, perubahan password tidak dilakukan secara berkala mengakibatkan pengaksesan oleh pihak yang tidak berwenang sehingga akan berdampak pada kegiatan operasional divisi Surety Bond. Temuan positif pertama : Tersedianya cadangan perangkat komputer dan pendukungnya pada divisi Surety Bond. Standar : CoBIT DS4.8 (Service Recovery and Resumption) Rekomendasi yang disarankan : Cadangan perangkat komputer dan pendukungnya tetap dipertahankan dan dilakukan pengetesan agar siap pakai.

33 Temuan positif kedua : Sistem telah dilengkapi dengan anti virus symantec corporation, pelaksanaan update dilakukan 2 hari sekali serta scan file dilakukan setiap hari pada waktu istirahat secara otomatis. Standar : CoBIT DS5.9 (Malicious software prevention, detection and cerrection) dan Teori Weber pada pengendalian keamanan Rekomendasi yang disarankan : Penggunaan dan update anti virus yang ada tetap dipertahankan, Temuan Audit pada Pengendalian Input Temuan masalah pertama : Sistem tidak dilengkapi dengan help facility untuk membantu operator dalam penginputan data. Standar : CoBIT AI4.3 (Knowledge transfer to end-users) Resiko : Memperlambat kinerja operator dalam input data ke sistem aplikasi Surety Bond. Rekomendasi : Menyertakan help facility pada sistem aplikasi. Pengukuran resiko : Low, dengan tidak terdapatnya help facility pada sistem aplikasi Surety Bond maka akan memperlambat kinerja operator dalam input data yang tidak berpengaruh pada kegiatan operasional dan pengendalian intern pada divisi Surety Bond. Temuan masalah kedua :Tidak ada prosedur untuk kontrol no. formulir permohonan Bond. Standar : CoBIT DS13.4 (Sensitive Documnets and Output Devices)

34 Resiko : Terjadi duplikasi dalam no. formulir permohonan bond yang dapat menyebabkan kerancuan dalam pengambilan Bond. Rekomendasi : Diadakan kontrol terhadap no formulir permohonan Bond. Pengukuran Resiko : Low, dengan tidak terdapatnya prosedur untuk kontrol nomor formulir maka menyebabkan duplikasi dalam formulir dimana tidak akan berpengaruh pada kegiatan operasional dan pengendalian intern pada divisi Surety Bond Temuan Audit pada Pengendalian Boundary Temuan masalah pertama : Password yang diberikan tidak digunakan oleh setiap karyawan. Standar : CoBIT DS5.4 (User Account Management) Resiko : User dapat memodifikasi password, dan menjadikan tidak adanya batasan akses. Rekomendasi : Password administrator diubah dan karyawan diwajibkan menggunakan password yang diberikan. Penilaian resiko : High, dengan tidak digunakannya password yang diberikan maka akan menyebabkan modifikasi password oleh user dan menyebabkan tidak adanya batasan akses sehingga akan berpengaruh pada kegiatan operasional dan pengendalian intern pada divisi Surety Bond.

35 4.5.5 Temuan Audit pada Pengendalian Output Temuan masalah pertama : Belum adanya pengelompokan fungsi printer pada divisi Surety Bond. Standar : Teori Weber pada pengendalian output Resiko : - Memperlambat waktu pencetakan Bond dan salah cetak Bond - Mencegah pihak yang tidak berwenang melihat data sensitif yang terkandung dalam Bond. Rekomendasi : Dilakukan pengelompokkan printer pada divisi surety bond, khususnya setiap komputer yang digunakan untuk pencetakan bond disediakan printer tersendiri (satu komputer satu printer). Pengukuran resiko : Medium, dengan tidak adanya pengelompokkan fungsi printer pada divisi Surety Bond maka akan memperlambat waktu pencetakan Bond sehingga akan berdampak pada kegiatan operasional pada divisi Surety Bond. Temuan masalah kedua : Data penjualan kasir Surety Bond tidak terhubung langsung dengan divisi keuangan perusahaan. Standar : Teori Weber pada pengendalian output Resiko : Orang yang tidak berwenang dapat melihat laporan. Kurangnya proteksi terhadap laporan. Terjadinya manipulasi lewat pengkopian laporan. Rekomendasi : Membuat online output production lewat EDI. Pengukuran resiko : Medium, data penjualan kasir Surety Bond yang tidak terhubung langsung dengan divisi keuangan perusahaan

36 mengakibatkan orang yang tidak berwenang dapat melihat isi dari laporan yang dihasilkan sehingga akan berpengaruh pada kegiatan operasional divisi Surety Bond. 4.6 Risk Measurement Risk Measurement pada Pengendalian Manajemen Operasi 1. Pendistribusian revisi SOP Objek Dampak Aplication Data Infrastructure Kesesuaian Keamanan Kontrol Tabel 4.12 Penilaian Temuan 1 Penilaian = High 2. Sistem Aplikasi yang tidak Flexible Objek Dampak People Aplication Data Kesalahan Keterlambatan ketersediaan Tabel 4.13 Penilaian Temuan 2 Penilaian = Medium

37 3. Tempat khusus untuk Bond yang out standing in Process Objek Dampak People Data Infrastructure Lambat Kinerja Kehilangan Tabel 4.14 Penilaian Temuan 3 Penilaian = Medium 4. Prosedur Konfirmasi Transaksi Objek Dampak People Data Infrastructure Lambat Kinerja Kesalahan Tabel 4.15 Penilaian Temuan 4 Penilaian = medium Risk Measurement pada Pengendalian Manajemen Keamanan 5. Penempatan Switch Objek Dampak Aplication Data Infrastructure Ketersediaan Kehilangan Kerusakan Tabel 4.16 Penilaian Temuan 5 Penilaian = Medium

38 6. Penggunaan UPS Objek Dampak Aplication Data Infrastructure Kerusakan Terhambat Ketersediaan Tabel 4.17 Penilaian Temuan 6 Penilaian = Medium 7. Perubahan Password secara berkala Objek Dampak People Aplication Data Kerahasian Kehilangan Akses Tabel 4.18 Penilaian Temuan 7 Penilaian = Medium Risk Measurement pada Pengendalian Input 8. Help Facility Objek Dampak People Aplication Data Kinerja Kesalahan Kelengkapan Tabel 4.19 Penilaian Temuan 8 Penilaian = Low

39 9. Prosedur control No. Formulir permohonan Surety Bond Objek Dampak People Data Infrastructure Kinerja Kesalahan Keterlambatan Table 4.20 Penilaian Temuan 9 Penilaian = Low Risk Measurement pada Pengendalian Boundary 10. Penggunaan Password Administrator Objek Dampak People Aplication Data Keamana Otoritas Manipulasi Tabel 4.21 Penilaian Temuan 10 Penilaian = High Risk Measurement pada Pengendalian Output 11. Pengelompokan fungsi printer Objek Dampak People Data Infrastructure Kesalahan Keterlambatan Kinerja Tabel 4.22 Penilaian Temuan 11 Penilaian = Medium

40 12. Data laporan keuangan yang tidak terhubung secara langsung Objek Dampak People Data Infrastructure Ketersediaan Keamanan Kesalahan Tabel 4.23 Penilaian Temuan 12 Penilaian = Medium Risk Measurement berdasarkan dari dampak yang mungkin terjadi terhadap objek yang ada. Penilaian untuk : Low : 1 3 Medium : 4 6 High : 7 9

41 4.6 Pelaporan Evaluasi Adapun laporan evaluasi sistem informasi pada sistem informasi Surety Bond pada PT. Asuransi Jasaraharja Putera adalah sebagai berikut : Kepada : PT. Asuransi Jasaraharja Putera Perihal : Lampiran Periode : September 2006 sampai dengan Januari 2007 LAPORAN HASIL EVALUASI SISTEM INFORMASI SURETY BOND PADA PT. ASURANSI JASARAHARJA PUTERA I. Tujuan Tujuan dari evaluasi ini adalah : 1. Untuk memastikan apakah sistem informasi Surety Bond PT. Asuransi Jasaraharja Putera yang berjalan sesuai dengan prosedur atau standard dan kebijakan yang ditetapkan perusahaan. 2. Untuk mengetahui kelebihan dan kelemahan penerapan pengendalian internal pada divisi Surety Bond PT. Asuransi Jasaraharja Putera. II. Ruang lingkup Ruang lingkup dibatasi pada evaluasi sistem informasi Surety Bond dari prosedur permohonan menjadi nasabah Surety Bond oleh principle sampai dengan pengarsipan bordero / penerimaan Surety Bond ke

42 principle. Tahap audit hanya dibatasi dari tahap perencanaan sampai dengan tahap evaluasi pengendalian intern yang difokuskan pada : 1. Pengendalian umum, yang terdiri dari Pengendalian manajemen operasi dan pengendalian keamanan. 2. Pengendalian aplikasi, yang terdiri dari pengendalian input, pengendalian boundary dan pengendalian output. III. Instrumen audit yang digunakan dalam evaluasi ini Instrumen audit yang digunakan adalah melakukan observasi, wawancara check list audit dan studi dokumentasi serta pengujian aplikasi. IV. Hasil evaluasi A. Pengendalian Umum (General Control) Temuan Audit pada Pengendalian Manajemen Operasi : Temuan masalah pertama : Pendistribusian revisi dari SOP (Standard Operating Procedures) Surety Bond tidak menyeluruh ke seluruh divisi Surety Bond. Resiko : Terdapat kerancuan dalam prosedur kerja. Kegagalan pembentukan keseragaman sikap dan tindakan petugas. Rekomendasi yang disarankan : SOP yang telah direvisi didistribusikan merata dan dan diadakan pemberitahuan ke keseluruh divisi Surety Bond terhadap perubahan SOP yang ada..

43 Temuan Masalah Kedua: Sistem aplikasi Surety Bond yang kurang flexible dimana terdapat beberapa permintaan fomat Surety Bond oleh Principle yang tidak sesuai dengan standar perusahaan yang membutuhkan perhatian khusus dari support IT untuk merubah format standar tersebut. Resiko: Keterlambatan waktu dalam penyelesaian pembuatan Bond. Rekomendasi yang Disarankan : Dilakukan pengembangan sistem pada aplikasi Surety Bond. Temuan masalah ketiga : Belum terdapatnya tempat khusus bagi Bond yang outstanding in prosess ketika jam kerja kantor berakhir. Resiko : Dokumen bisa hilang dan terjadi pengulangan kerja yang sama karena harus dimulai dari awal lagi. Rekomendasi :. Disediakan media untuk pemrosesan dokumen Surety Bond, diikuti dengan pelatihan disiplin kerja karyawan. Temuan masalah keempat : Tidak terdapat prosedur dalam konfirmasi transaksi penerbitan Bond. Resiko : Kesalahan pecatatan informasi yang diperoleh. Rekomendasi :.untuk konfirmasi penerbitan Bond via telepon dan fax diengkapi dengan mesin record transaksi.

44 Temuan Audit pada Pengendalian Manajemen Keamanan: Temuan masalah pertama : Penempatan SWITCH yang tidak aman. Resiko : Gangguan terhadap jaringan sistem. Rekomendasi yang disarankan : Ditingkatkannya pengendalian dan monitor terhadap keamanan jaringan Temuan masalah kedua : Tidak semua komputer yang digunakan untuk pembuatan Bond pada divisi Surety Bond dilengkapi UPS. Resiko : Gangguan terhadap kerja operasi hardware yang berdampak pada kinerja sistem operasional perusahaan. Rekomendasi yang disarankan : Setiap komputer yang digunakan untuk pembuatan Bond harus dilengkapi dengan UPS. Temuan masalah ketiga : Perubahan password tidak dilakukan secara berkala. Resiko : Terjadinya pengaksesan oleh orang yang tidak berwenang. Rekomendasi yang disarankan : Penjadwalan perubahan Password secara berkala. Temuan positif pertama : Tersedianya cadangan perangkat komputer dan pendukungnya pada divisi Surety Bond.

45 Rekomendasi yang disarankan : Cadangan perangkat komputer dan pendukungnya tetap dipertahankan dan dilakukan pengetesan agar siap pakai. Temuan positif kedua : Sistem telah dilengkapi dengan anti virus symantec corporation, pelaksanaan update dilakukan 2 hari sekali serta scan file dilakukan setiap hari pada waktu istirahat secara otomatis. Rekomendasi yang disarankan : Penggunaan dan update anti virus yang ada tetap dipertahankan. B. Pengendalian Aplikasi (Aplication Control) Temuan Audit pada Pengendali Input : Temuan masalah pertama : Sistem tidak dilengkapi dengan help facility untuk membantu operator dalam penginputan data. Resiko : Memperlambat kinerja operator dalam input data ke sistem aplikasi Surety Bond. Rekomendasi : Menyertakan help facility pada sistem aplikasi. Temuan masalah kedua :Tidak ada prosedur untuk kontrol no. formulir permohonan Bond. Resiko : Terjadi duplikasi dalam no. formulir permohonan bond yang dapat menyebabkan kerancuan dalam pengambilan Bond.

46 Rekomendasi : Diadakan kontrol terhadap no formulir permohonan Bond. Temuan Audit pada Pengendalian Boundary: Temuan masalah pertama : Password yang diberikan tidak digunakan oleh setiap karyawan. Resiko : User dapat memodifikasi password, dan menjadikan tidak adanya batasan akses. Rekomendasi : Password administrator diubah dan karyawan diwajibkan menggunakan password yang diberikan. Temuan Audit pada Pengendalian Output : Temuan masalah pertama : Belum adanya pengelompokan fungsi printer pada divisi Surety Bond. Resiko : Memperlambat waktu pencetakan Bond dan salah cetak Bond, Mencegah pihak yang tidak berwenang melihat data sensitif yang terkandung dalam Bond. Rekomendasi : Dilakukan pengelompokkan printer pada divisi surety bond, khususnya setiap komputer yang digunakan untuk pencetakan bond disediakan printer tersendiri (satu komputer satu printer) Temuan masalah kedua : Data penjualan kasir Surety Bond tidak terhubung langsung dengan divisi keuangan perusahaan.

47 Resiko : Orang yang tidak berwenang dapat melihat laporan. Kurangnya proteksi terhadap laporan. Terjadinya manipulasi lewat pengkopian laporan. Rekomendasi : Membuat online output production lewat EDI. V. Simpulan Berdasarkan evaluasi sistem informasi atas Surety Bond pada PT. Asuransi Jasa Raharja Putera, maka dapat disimpulkan Pengendalian Umum yang di bahas terdiri dari : 1. Pengendalian manajemen operasi Hasil dari pengendalian manajemen operasi yang dievaluasi masih terdapat kekurangan yang dapat mengakibatkan lambatnya kegiatan operasional perusahaan. Pengendalian manajemen operasi yang perlu mendapat perhatian khusus, antara lain : a. Sisten yang kurang flexible b. Pendistribusian revisi dari SOP yang tidak menyeluruh c. Belum adanya media untuk Bond yang out standing in process d. Tidak Terdapat Prosedur dalam konfirmasi transaksi 2. Pengendalian Keamanan

48 Hasil pengendalian keamanan yang dievaluasi mendapatkan temuan negatif yang tidak memberikan dampak resiko yang besar, dan juga mendapatkan hasil evaluasi yang bersifat positif. Pengendalian manajemen operasi yang perlu mendapat perhatian khusus, antara lain : a. Penempatan SWITCH yang kurang baik b. Tidak semua komputer yang digunakan untuk pembuatan Bond dilengkapi UPS c. Perubahan password tidak dilakukan secara berkala Pengendalian manajemen operasi yang positif antara lain : a. Telah tersedia cadangan perangkat komputer dan pendukungnyaapabila terjadi masalah pada peralatan yang dioperasikan b. Sistem dilengkapi dengan anti virus symantec corporation, pelaksanaan update dilakukan 2 hari sekali serta scan file dilakukan pada saat jam makan siang secara otomatis Pengendalian Aplikasi yang di bahas terdiri dari : 1. Pengedalian Masukan Pengendalian masukan yang dievaluasi mendapatkan temuan negatif yang tidak terlalu beresiko pada perusahaan. Pengendalian masukan yang perlu mendapat perhatian :

49 a. Sistem tidak dilengkapi dengan help facility untuk membantu user dalam penginputan data b. Tidak adanya prosedur untuk pengendalian No. Formulir permohonan Bond c. Tidak terdapat dokumentasi prosedur dalam konfirmasi perubahan data. 2. Pengendalian Batasan Hasil dari pengendalian batasan yang dievaluasi memiliki resiko terhadap jalannya operasional perusahaan. Pengendalian batasan yang perlu mendapat perhatian khusus : a. Password yang diberikan tidak digunakan oleh setiap karyawan 3. Pengendalian Keluaran Hasil dari pengendalian keluaran yang dievaluasi masih memiliki resiko yang dapat mengakibatkan lambatnya kegiatan porses pencetakan Bond. Pengendalian keluaran yang perlu mendapat perhatian, antara lain : a. Belom adanya pengelompokan fungsi printer pada divisi Surety Bond b. Data penjualan Surety Bond tidak terhubung langsung dengan divisi keuangan perusahaan.