L1 Lampiran Check List Pengendalian Manajemen Operasional No. Pertanyaan Y T Keterangan Standart 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan efisien? DS13.2 2 Apakah telah ditetapkan staf yang bertanggung jawab untuk mengelola media komputer? 3 Apakah telah terdapat prosedur pengelolaan media komputer dalam rangka melindungi data dari penyalahgunaan atau kerusakan? 4 Apakah perawatan terhadap hardware telah dilakukan dengan baik? 5 Apakah dilakukan monitoring terhadap hardware dan software yang ada? DS13.2 DS13.3 DS13.5 DS13.3
L2 No. Pertanyaan Y T Keterangan Standart 6 Apakah dilakukan maintenance DS13.3 kontrol terhadap hardware sewaktu pertama kali beli? 7 Apakah dilakukan monitoring terhadap jaringan komunikasi secara berkala? DS13.3
L3 Lampiran Check List Pengendalian Aplikasi Batasan No. Pertanyaan Y T Keterangan Standart 1 Apakah terdapat pengendalian Didalam aplikasi akses terhadap sistem aplikasi sistem tidak AI 2.4, General Ledger yang digunakan? a. Jika ya, apakah dilakukan otentifikasi atas sarana akses tersebut? b. Jika ya, dalam bentuk apakah otentifikasi tersebut? 1. Password 2. Kartu menggunakan password sehingga beresiko setiap orang dapat melihat data yang ada AI 3.2.5 3. Sidik jari 4. Lainnya
L4 No. Pertanyaan Y T Keterangan Standart 2 Apakah terdapat ketentuan berapa digit panjang password? AI 2.4, AI 3.2.5 3 Apakah terdapat batas pengisian password bila terjadi kesalahan? 4 Apakah terdapat peringatan bila pengguna salah mengisi password? AI 2.4, AI 3.2.5 AI 2.4, AI 3.2.5 5 Apakah tampilan password di layar berubah menjadi simbol? AI 2.4, AI 3.2.5 6 Apakah database password dienkripsi? AI 2.4, AI 3.2.5
L5 7 Apakah setiap karyawan memiliki password untuk akses ke dalam sistem perusahaan? AI 2.4, AI 3.2.5
L6 Lampiran Check List Pengendalian Aplikasi Input No. Pertanyaan Y T Keterangan Standart 1 Pada saat melakukan input apakah dokumen sumber dibutuhkan? 2 Hanya dokumen sumber yang telah diotorisasi saja yang bisa diinput ke dalam komputer 3 Apakah dokumen sumber dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? Jika ya, berapa lama dokumen yang dikumpulkan? PO 2.4 DS 10.4 PO 2.4 DS 10.4 PO 2.4 DS 10.4 Per hari Per minggu Per bulan
L7 No. Pertanyaan Y T Keterangan Standart 4 Apakah layar input mudah dimengerti oleh pengguna? PO 2.4 5 Input yang dilakukan salah, tetapi penyimpanan data sudah dilakukan. Apakah sistem aplikasi memberikan otorisasi atau menu untuk edit data? DS 10.4 PO 2.4 DS 10.4 Jika ya, apakah data yang di edit? Mulai dari awal, secara keseluruhan Hanya bagian yang salah input 6 Apakah pesan peringatan yang muncul mudah dimengerti oleh pengguna? PO 2.4 7 Apakah teknik pengkodean pada input mudah dipahami? PO 2.4
L8 Lampiran Check List Pengendalian Aplikasi Output No. Pertanyaan Y T Keterangan Standart 1 Apakah tanggal pencetakan selalu dicantumkan pada setiap laporan yang dihasilkan? 2 Apakah setiap laporan yang dihasilkan, dicantumkan nama personil yang bertanggung jawab atas dikeluarkannya laporan? DS 13.4 DS 5.11 DS 13.4 DS 5.11 3 Apakah jumlah copy laporan dicantumkan pada setiap laporan yang dihasilkan? DS 13.4 DS 5.11 4 Apakah hanya karyawan yang memiliki otoritas saja yang dapat melakukan pencetakan laporan? DS 13.4 DS 5.11
L9 No. Pertanyaan Y T Keterangan Standart 5 Apakah laporan-laporan yang didistribusikan departemen dihasilkan ke pemakai DS 13.4 DS 5.11 tepat pada waktunya? Jika ya, apakah didistribusikan: Per hari Per bulan Per tahun 6 Apakah laporan yang dihasilkan disampaikan sudah kepada DS 13.4 pihak yang berwenang DS 5.11 terhadap laporan tersebut? 7 Apakah setiap laporan dicantumkan juga masa berlaku laporan tersebut? DS 13.4 DS 5.11
L10 No. Pertanyaan Y T Keterangan Standart 8 Apakah dilakukan pengecekan terlebih DS 13.4 dahulu sebelum laporan tersebut diserahkan DS 5.11 kepada pihak yang berwenang?
L11 Lampiran Check List Pengendalian Manajemen Keamanan No. Pertanyaan Y T Keterangan Standart 1 Apakah di ruang komputer memiliki alarm kebakaran otomatis? DS 12.4 Apakah dilakukan pemeriksaan secara DS 12.4 periodik,untuk mengecek apakah alatalat tersebut masih berfungsi dengan baik. 2 Apakah ada pemisahan antara ruang komputer DS 12.4 dengan tempat penyimpanan dokumen? Jika ya, apakah ada pengawasan terhadap rutin sistem DS 12.4 perlindungan kebakaran yang memastikan bahwa ruangan dokumen terawat baik?
L12 3 Apakah semua aset sistem informasi DS 12.4 diletakkan ditempat yang tinggi untuk mengatasi banjir? 4 Apakah setiap komputer yang dilengkapi digunakan dengan DS 12.4 fasilitas berupa stabilizer atau UPS? 5 Apakah ada penempatan penjaga dan penggunaan DS 12.3 alarm mengantisipasi untuk adanya penyusup?
L13 No. Pertanyaan Y T Keterangan Standart 6 Apakah dilakukan penginstallan antivirus DS 5.9 dan update secara rutin? 7 Jika ya, apakah dilakukan scan file secara rutin? DS 5.9 8 Apakah ada dilakukan backup data? Jika ya, apakah backup data tersebut dipastikan bebas virus? DS 5.9 DS 5.9
L14 Lampiran Check List Pengendalian Internal Secara Umum No. Pertanyaan Y T Keterangan Standar 1 Apakah terdapat struktur organisasi formal yang PO 7.2 mencakup bagian pengolahan data? 2 Apakah kedudukan bagian pengolahan data dalam struktur organisasi bersifat independen atau terpisah dari bagian yang lain? 3 Apakah fungsi-fungsi yang ada di bagian pengolahan data telah ditetapkan tugas dan tanggung jawab secara jelas dan tertulis? PO 7.2 PO 7.2 4 Apakah terdapat pemisahan fungsi antara PO 7.2 sistem manajer, programmer, dan operator?
L15 No. Pertanyaan Y T Keterangan Standar 5 Apakah ada standard kualifikasi mengatur yang tentang PO 7.2 keterampilan pegawai? 6 Apakah dilakukan PO evaluasi periodik 7.7 terhadap kriteria para pegawai? 7 Apakah dilakukan pemeriksaan mendadak terhadap jadwal yang tidak teratur? 8 Apakah dilakukan PO 7.7 perputaran secara rutin? jabatan PO 7.8
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Operasional No. Temuan Resiko/Ancaman I L Nilai Resiko Control D E Nilai Control Total Nilai 1 Tidak adanya Apabila tidak ada standar -2-2 -4 Sebaiknya 1 1 1-3 standar kualifikasi yang mengatur tentang keterampilan pegawai kualifikasi maka kemungkinan besar pegawai yang bekerja kurang kompeten di bidangnya sewaktu perekrutan pegawai, bagian HRD menetapkan standar kualifikasi ketrampilan pegawai 2 Tidak dilakukannya evaluasi periodik terhadap kinerja para pegawai Apabila tidak dilakukan evaluasi secara periodik maka pihak perusahaan tidak akan mengetahui bagaimana kinerja para pegawainya -2-2 -4 Sebaiknya melakukan evaluasi kinerja pegawai secara periodik untuk mengetahui bagaimana kinerja para pegawainya 2 1 2-2
3 Tidak dilakukannya Apabila perusahaan tidak -2-2 -4 Perlu dilakukan 2 2 4 0 perputaran jabatan melakukan perputaran perputaran secara rutin jabatan secara rutin maka jabatan secara lebih mudah terjadi rutin untuk kecurangan karena mencegah pegawai yang terjadinya bersangkutan telah penyelewengan mengetahui seluk-beluk ataupun dan celah di bagiannya kecurangan
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Batasan No. Temuan Resiko/Ancaman I L Nilai Resiko Control D E Nilai Control Total Nilai 1 Sistem tidak Sistem yang tidak -3-3 -9 Sebaiknya 0 1 0-9 menggunakan menggunakan password sistem password memiliki tingkat resiko menggunakan yang tinggi dan berbahaya password bagi sistem karena data sehingga tidak akan lebih mudah sembarangan dipakai/digunakan oleh orang dapat orang-orang yang tidak melihat dan berkepentingan mengutak-atik data yang ada.
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Input No. Temuan Resiko/Ancaman I L Nilai Resiko Control D E Nilai Control Total Nilai 1 Penginputan data Dapat terjadinya -2-3 -6 Sebaiknya untuk 1 1 1-5 yang salah dapat kecurangan dengan melakukan diedit mengganti angka/nominal edit/perbaikan yang tidak dapat dilacak kesalahan dengan menggunakan password yang diketahui dan dapat dilakukan oleh manager saja.
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Output No. Temuan Resiko/Ancaman I L Nilai Resiko Control D E Nilai Control Total Nilai 1 Banyaknya copy Apabila banyaknya copy -3-3 -9 Sebaiknya 2 2 4-5 laporan tidak laporan tidak dicantumkan mencantumkan dicantumkan pada pada laporan maka Pihak banyaknya copy laporan yang tidak berwenang bisa laporan dalam saja mendapatkan laporan laporan tersebut dan perusahaan menyelewengkannya 2 Tidak adanya masa Laporan yang masih -3-3 -9 Mencantumkan 1 1 1-8 berlaku laporan diperlukan tidak tersimpan masa berlaku pada file perusahaan laporan agar karena mungkin telah dapat dibuang oleh perusahaan mengetahui kadarluarsa laporan tersebut.
Lampiran Matriks Penilaian Resiko (Risk) dan Pengendalian (Control) Pada Pengendalian Keamanan No. Temuan Resiko/Ancaman I L Nilai Resiko Control D E Nilai Control Total Nilai 1 Walaupun diruangan Apabila tidak ada -3-1 -3 Sebaiknya 2 1 2-1 komputer memiliki pemeriksaan secara dilakukan alat-alat penanganan periodik apakah alat-alat pemeriksaan kebakaran, namun tersebut masih berfungsi secara periodic tidak dilakukan dengan baik atau tidak, terhadap alat- pemeriksaan secara maka kebakaran tidak alat penanganan periodik apakah alat- akan dapat ditangani kebakaran alat tersebut masih secara cepat dan dapat apakah masih berfungsi dengan menyebabkan kerugian berfungsi atau baik atau tidak. perusahaan yang lebih tidaknya alat- besar. alat tersebut.
2 Setiap komputer yang Tidak adanya stabilizer -3-3 -9 Sebaiknya setiap 1 1 1-8 digunakan tidak ataupun UPS akan komputer yang dilengkapi dengan menyebabkan kerusakan digunakan fasilitas berupa pada komputer karena dilengkapi stabilizer ataupun pengaruh tegangan listrik dengan fasilitas UPS yang tidak stabil. Selain berupa stabilizer itu, juga memberikan ataupun UPS resiko kehilangan data yang belum sempat disimpan jika terjadi pemadaman listrik 3 Tidak adanya Kemungkinan resiko -3-3 -9 Sebaiknya 1 1 1-8 penempatan penjaga terjadinya penyusupan ditempatkan dan penggunaan dan pencurian terhadap minimal 2 orang alarm untuk aset milik perusahaan penjaga yang mengantisipasi menjadi lebih besar bertugas untuk adanya penyusup menjaga keamanan perusahaan
4 Ada dilakukan Apabila scan tidak -2-2 -4 Sebaiknya 2 2 4 0 penginstalan antivirus dilakukan secara rutin, perusahaan dan mengupdatenya maka kemungkinan menggunakan secara rutin, namun virus-virus akan masuk antivirus yang scan tidak dilakukan ke dalam sistem dan mendeteksi secara rutin merusak file-file secara otomatis perusahaan setiap saat Keterangan : I : Impact (dampak dari resiko yang ada) L : Likelihood (tingkat kemungkinan terjadinya resiko yang ada) D : Design (seberapa baik desain pengendalian yang ada) E : Effectiveness (tingkat pelaksanaan dalam menjalankan control)
Tampilan Form Menu Utama L 24
Tampilan Form Menu Ke Dua L 25
L 26 Tampilan Form Modul Entry Contoh Tampilan Menu Entry Piutang
Tampilan Form Modul Laporan L 27
Tampilan Form Modul Utility L 28
Contoh Interim Valuation Certificate L29
Contoh Surat Perintah Kerja L30
Contoh Faktur Pajak L31
Contoh Form Permintaan Pembelian L32
Contoh Kwitansi Penagihan L33
Contoh Form Payment Voucher L34
L35 Lampiran Laporan Hasil Evaluasi Kepada Perihal : PT. Karya Mandiri Persada : Laporan Hasil Evaluasi Sistem Informasi General Ledger Periode : Juni 2008 LAPORAN HASIL EVALUASI SISTEM INFORMASI GENERAL LEDGER PADA PT. KARYA MANDIRI PERSADA I. Tujuan Tujuan hasil pelaksanaan evaluasi system informasi General Ledger PT. KMP adalah sebagai berikut : 1. Untuk mengevaluasi apakah sistem informasi General Ledger yang sedang berjalan pada PT. KMP telah sesuai dengan standart dan kebijakan perusahaan. 2. Untuk menganalisa dan mendeteksi kelemahan yang terdapat pada sistem informasi General Ledger PT.KMP. 3. Untuk mengevaluasi apakah pengendalian manajemen dan pengendalian aplikasi yang telah diterapkan mampu menekan resiko seminimal mungkin hingga pada tingkat yang dapat diterima oleh perusahaan. 4. Untuk mengevaluasi sejauh mana sistem informasi General Ledger yang sedang berjalan mampu memberikan perlindungan terhadap asset-aset perusahaan.
L36 5. Untuk mengevaluasi sejauh mana tingkat keamanan, efektifitas dan efisiensi kerja sistem informasi penjualan pada PT. KMP. II. Ruang Lingkup Batasan ruang lingkup evaluasi sistem informasi adalah sebagai berikut : 1. Evaluasi dilakukan pada system informasi General Ledger PT. KMP yang dimulai dari Buku Besar, Jurnal, hingga laporan Rugi Laba. 2. Pengendalian terhadap prosedur dan pelaksanaan sistem informasi terfokus pada dua bagian yaitu : a. Pengendalian manajemen ( management control ) b. Pengendalian aplikasi ( application control ) 3. Pengendalian manajemen yang dibahas hanya dua bagian yaitu : a. Pengendalian manajemen operasional ( operation management controls ) b. Pengendalian manajemen keamanan ( security administration management control ) 4. Pengendalian aplikasi yang dibahas hanya tiga bagian yaitu : a. Pengedalian input ( input control ) b. Pengendalian output ( output control ) c. Pengendalian batasan ( boundary control )
L37 III. Metode Audit Metode audit yang digunakan adalah metode around the computer, yaitu pendekatan dan pengujian yang hanya berfokus pada input dan output dari sistem komputer. IV. Hasil Evaluasi Berikut adalah hasil evaluasi sistem informasi PT. KMP : Pengendalian Manajemen Operasional Pengendalian manajemen operasional yang diterapkan oleh perusahaan sudah dilakukan dengan baik. Tetapi meskipun demikian, pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah tidak terdapat standar kualifikasi yang mengatur tentang keterampilan pegawai di perusahaan, tidak melakukan evaluasi periodik terhadap para pegawainya, tidak melakukan evaluasi periodic terhadap kinerja kpara pegawai, dan tidak melakukan perputaran jabatan secara rutin. Pengendalian Manajemen Keamanan Pengendalian manajemen keamanan yang diterapkan oleh perusahaan sudah dilakukan dengan baik. Tetapi meskipun demikian, pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah tidak adanya pemeriksaan secara periodik alat-alat penanganan kebakaran, setiap komputer yang digunakan tidak dilengkapi dengan fasilitas berupa stabilizer
L38 ataupun UPS, tidak adanya penempatan penjaga dan penggunaan alarm untuk mengantisipasi adanya penyusup, dan scan virus tidak dilakukan secara rutin. Pengendalian Aplikasi Batasan Pengendalian aplikasi batasan yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah penggunaan sitem yang tidak dilengkapi dengan password sehingga memudahkan orang yang tidak berkepentingan dapat menggunakan dan melihat-lihat data yang ada dalam sistem. Pengendalian Aplikasi Input Pengendalian aplikasi input yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa kelemahan yang ditemukan adalah dalam penginputan data yang salah dapat dengan mudahnya dilakukan edit. Pengendalian Aplikasi Output Pengendalian aplikasi output yang diterapkan oleh perusahaan tidak dilakukan dengan baik. Pihak manajemen perusahaan masih perlu memperbaiki kelemahan-kelemahan yang ada supaya pengendalian dapat lebih baik. Beberapa
L39 kelemahan yang ditemukan adalah banyaknya copy laporan tidak dicantumkan pada laporan, dan pada laporan tidak dicantumkan masa berlaku laporan. Demikianlah hasil laporan evaluasi system informasi General Ledger pada PT. Karya Mandiri Persada. Jakarta, 03 Juni 2008 TIM AUDIT