BAB 4 HASIL AUDIT SISTEM INFORMASI 4.1 Perencanaan Audit Perencanaan audit dimaksudkan agar dapat meringankan kerja audit dari segi biaya, waktu, dan penganalisaan atas bukti-bukti atau informasi yang memadai dan cukup dan agar menjadi lebih tajam dan tepat guna untuk menyimpulkan tingkat keefektifan pengendalian-pengendalian Sistem Informasi Aplikasi General Ledger. Tahap perencanaan audit meliputi: 1. Penentuan ruang lingkup dan persiapan audit lapangan. Penentuan ruang lingkup Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen keamanan (security management controls). Sedangkan pengendalian aplikasi terbatas pada pengendalian batasan (boundary controls), pengendalian masukan (input controls), pengendalian keluaran (output controls), dan pengendalian basis data (database controls). Persiapan audit lapangan Menetapkan langkah-langkah persiapan audit di lapangan, yang meliputi kegiatan sebagai berikut: 87
88 a. Survei dilakukan dalam kurun waktu 6 bulan berturut-turut, dari bulan Agustus 2006 sampai Januari 2007. b. Tim audit terdiri dari 3 (tiga) orang. c. Penetapan metode kerja secara profesional dan independent. d. Sebelum pelaksanaan audit, dilakukan pengajuan propasal ke PT. Volensa Indonesia, setelah disetujui PT. Volensa Indonesia memberikan surat keterangan survei sebagai surat sah bahwa tim audit selaku auditor diterima untuk melakukan survei di PT. Volensa Indonesia. e. Penelitian lapangan yang meliputi observasi, wawancara, kuesioner, testing aplikasi dan studi dokumentasi dilakukan di bagian akuntansi, keuangan, admin penjualan, dan admin pembelian di lantai 2, PT. Volensa Indonesia. 2. Tujuan audit Adapun maksud dan tujuan dari penulisan skripsi ini antara lain untuk: a. Memastikan pengendalian-pengendalian yang sudah ada mampu meningkatkan keamanan aset-aset perusahaan. b. Memastikan laporan keuangan telah disajikan dengan cepat, tepat dan akurat. c. Meningkatkan efesiensi dan efektifitas sistem dalam perusahaan.
89 4.2 Instrumen Pengumpulan Bukti Audit Pengumpulan bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit. Bukti-bukti dikumpulkan dengan berbagai cara antara lain: 1. Observasi Penulis melakukan pengamatan dengan mengunjungi bagian akuntansi untuk mendapatkan gambaran umum tentang sistem informasi akuntansi pada PT. Volensa Indenesia. Dengan mengamati setiap kegiatan yang dilakukan oleh fungsi-fungsi terkait, dapat diketahui bagaimana prosedur yang sedang berjalan dan sistem pengendalian intern, apakah sistem pengendalian intern telah diterapkan dengan baik oleh petugas yang berwenang atau tidak? 2. Wawancara Tim audit melakukan wawancara secara lisan dengan fungsi-fungsi yang terkait untuk memperoleh gambaran secara rinci mengenai kegiatan operasional sistem informasi aplikasi general ledger. Pertanyaan yang ditanyakan adalah seputar prosedur dan tata laksana sistem informasi aplikasi general ledger yang dijalankan. Selain itu, penulis juga melakukan wawancara dengan manajer operasional dan supervisor bagian akuntansi. Dari jawaban-jawaban yang diperoleh, penulis mengumpulkan bukti-bukti untuk membuat kesimpulan dan memberikan rekomendasi untuk tindakan perbaikan 3. yang dibagikan berupa kuesioner sederhana yang berisi pertanyaan untuk mengevaluasi dan menguji setiap segmentasi
90 pengendalian umum dan aplikasi terhadap sistem informasi aplikasi general ledger. Tabel kuesioner terdiri dari 4 (empat) kolom, yaitu : a. Kolom nomor urut pertanyaan. b. Kolom pertanyaan atas segmen pengendalian. c. Kolom jawaban ya. d. Kolom jawaban tidak. 4. Testing aplikasi Dengan melakukan pengujian langsung terhadap sistem informasi aplikasi general ledger. 5. Studi dokumentasi Studi dokumentasi dilakukan untuk mendukung dalam pengevaluasian pengendalian aplikasi untuk segmen pengendalian masukan (Input Controls) dan pengendalian keluaran (Output Controls).
91 4.3 Program Kerja Audit dan Pelaksanaan Audit 4.3.1 Pengendalian Manajemen Keamanan (Management Security Controls) PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi No. Pengendalian Manajemen keamanan (Security Management Controls) Objek Audit Instrumen 1. Lakukan pengecekan user protection dengan menggunakan password pada setiap komputer yang ada. 2. Lakukan peninjauan terhadap keberadaan alarm, dry-pipe automatic sprinkler, hydrant, dan tabung pemadam kebakaran. 3. Dapatkan informasi apakah pengecekan alat pemadam kebakaran dilakukan secara periodik. 4. Lakukan peninjauan terhadap ruangan penyimpanan data dan sistem informasi. Setiap komputer pada PT. Volensa Indonesia. Setiap ruangan pada PT. Volensa Indonesia PT. Volensa Indonesia Ruang penyimpanan data dan sistem informasi PT. Testing Wawancara Observasi Wawancara Wawancara Observasi Wawancara
92 5. Lakukan peninjauan apakah peralatan hardware yang selesai digunakan ditutup dengan bahan yang tahan air. 6. Lakukan peninjauan apakah perusahaan menggunakan UPS dan generator untuk mengantisipasi gangguan arus listrik. 7. Lakukan peninjauan apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik. 8. Dapatkan informasi apakah ada pembatasan akses masuk keruangan data hanya pada karyawan tertentu. 9. Dapatkan informasi apa terdapat penempatan penjaga pada PT. Volensa Indonesia. 10. Dapatkan informasi apakah setiap komputer telah dilakukan scan virus secara rutin 11. Dapatkan informasi apakah kabel-kabel dan penghantar listrik dilapisi dengan Volensa Indonesia Setiap ruangan pada PT. Volensa Indonesia PT. Volensa Indonesia PT. Volensa Indonesia. Ruang penyimpanan data. PT. Volensa Indonesia. Setiap komputer pada PT. Volensa Indonesia. PT. Volensa Indonesia. Observasi Observasi Observasi Observasi Wawancara
93 bahan yang tidak mudah terbakar. Tabel 4.1 Program Kerja Audit Pengendalian Manajemen Keamanan Tujuan Tujuan dilakukannya audit atas pengendalian manajemen keamanan (security management controls) adalah: 1. Memastkan aset sistem informasi aman, dengan pengadaan password, anti virus, scan virus, serta alat-alat pemadam kebakaran, penempatan penjaga, dan lain sebagainya. Kriteria Standar Kriteria standar yang harus ada untuk pengendalian manajemen keamanan (security management controls), yaitu : 1. Perlengkapan kebakaran terdiri dari tabung pemadam kebakaran yang diletakkan di lokasi yang mudah diambil, alarm kebakaran yang mudah dilihat, dry-pipe automatic sprinkler dan hydrant yang dipasang disemua gedung. 2. Pencegahan kebakaran akibat tegangan listrik, maka kabel-kabel dan penghantar listrik dilapisi dengan bahan yang tidak mudah terbakar. 3. Menutup peralatan hardware dengan bahan yang tahan air sewaktu tidak digunakan.
94 4. Untuk mencegah ancaman banjir dan kerusakan karena air, ruang aset sistem informasi ditempatkan di lantai yang atas dan memiliki suhu yang cukup kering. 5. Pelaksanaan pengaman untuk mengantisipasi perubahan tegangan sumber energi yaitu menggunakan stabilizer ataupun UPS yang memadai yang mampu mengcover tegangan listrik yang tiba-tiba turun. 6. Penggunaan generator sebagai alternatif alat pembangkit tenaga listrik. 7. Menempatkan penjaga untuk mengantisipasi adanya penyusup. 8. Menggunakan program anti virus dan mengupdatenya secara rutin, melakukan scan file yang akan digunakan, serta memastikan back-up data bebas virus, dan penggunaan anti virus terhadap file yang terinfeksi. 9. Mengunakan password yang sulit untuk ditebak untuk mengantisipasi hacker. 10. Mengasuransikan peralatan, fasilitas, media penyimpanan, dokumen dan kertas yang berharga.
95 PELAKSANAAN AUDIT Pengendalian Manajemen Keamanan No. PERTANYAAN YA TIDAK 1. Apakah terdapat user protection dengan menggunakan password pada setiap komputer yang ada? 2. Apakah terdapat alarm kebakaran di lokasi yang strategis? 3. Apakah terdapat dry-pipe automatic sprinkler disetiap ruangan? 4. Apakah terdapat tabung pemadam kebarakaran di tempat yang mudah dijangkau? 5. Apakah terdapat hydrant dilokasi yang yang strategis? 6. Apakah dilakukan pengecekan alat pemadam kebakaran secara periodik? 7. Apakah ruang penyimpanan data dan sistem informasi terletak pada tempat yang aman dari ancaman banjir? 8. Apakah peralatan hardware yang selesai digunakan ditutup dengan bahan yang tahan air?
96 9. Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber daya listrik? 10. Apakah perusahaan menggunakan UPS sebagai alat penyimpan arus lisrik sementara? 11. Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik? 12. Apakah terdapat AC di setiap ruangan komputer? 13. Apakah dilakukan perawatan AC secara periodik sehingga suhu ruangan tetap stabil? 14. Apakah aset perusahaan sudah diasuransikan? 15. Apakah perusahaan membatasi akses masuk keruangan data (akuntansi) hanya pada karyawan tertentu? 16. Apakah ada penempatan penjaga untuk mengantisipasi adanya penyusup? 17. Apakah setiap komputer memiliki softaware anti virus?
97 18. Apakah anti virus diupdate secara periodik? 19. Apakah dilakukan scan komputer secara periodik? 20. Apakah dilakukan back up data secara periodik? 21. Apakah kabel-kabel dan penghantar listrik dilapisi dengan bahan yang tidak mudah terbakar. Tabel 4.2 Pengendalian Manajemen Keamanan Wawancara 1. Apakah terdapat user protection dengan menggunakan password pada setiap komputer yang ada? Jawaban: Ya, setiap karyawan dibuatkan username dan password sesuai dengan unit fungsi kerjanya. 2. Apakah terdapat dry-pipe automatic sprinkler, hydrant atau pun tabung pemadam kebakaran yang berada pada lokasi yang strategis untuk melindungi aset perusahaan?
98 Jawaban: PT. Volensa Indonesia hanya memiliki tabung pemadam kebakaran yang diletakan pada tempat mudah dijangkau. 3. Tindakan apa yang dilakukan untuk memastikan alat pemadam kebakaran berfungsi dengan baik? Jawaban: Dilakukan pengecekan terhadap alat pemadam kebakaran secara periodik yaitu 3 bulan sekali. 4. Bagaimana pengamanan atau proteksi dilakukan terhadap data dan sistem informasi dari ancaman banjir? Jawaban: Komputer yang digunakan untuk mengolah transaksi-transasksi bisnis dan data-data berada di lantai 2. 5. Bagaimana pengamanan atau proteksi dilakukan terhadap data-data dari ancaman serangan virus dan ancaman kehilangan data? Jawaban: Setiap komputer di lengkapi dengan program Anti Virus Norton 2006 yang di update 2 minggu sekali dan back up data 2 jam sekali. Obsevasi 1. Dari hasil pengamatan yang dilakukan, kami menemukan penggunaan tabung pemadam kebakaran yang diletakkan pada tempat yang mudah dijangkau.
99 2. Dari hasil pengamatan yang dilakukan, komputer-komputer yang digunakan untuk mengolah transaksi-transaksi bisnis dan arsip-arsip lainnya berada dilantai 2. 3. Dari hasil pengamatan yang dilakukan, kami menemukan bahwa setiap hardware yang selesai digunakan tidak ditutupi dengan plastik atau bahan tahan air lainnya. 4. Dari hasil pengamatan yang dilakukan, kami tidak menemukan adanya penggunaan generator tetapi hanya UPS saja yang digunakan sebagai alat penyimpan tenaga listrik sementara. 5. Dari hasil pengamatan yang dilakukan, kami menemukan penggunaan stabilizer pada setiap komputer. 6. Dari hasil pengamatan yang dilakukan terhadap, PT. Volensa Indonesia menempatkan penjaga di pintu masuk utama.
100 Testing Aplikasi Gambar 4.1 Tampilan Layar Login Akses Gambar 4.2 Tampilan Layar Mengubah Password
101 Temuan Audit 1. Temuan Audit Positif a. Terdapat user protection berupa password disetiap komputer yang ada. b. Terdapat alat pemadam kebakaran manual di tempat-tempat yang mudah dijangkau. c. Pengecekan untuk memastikan alat pemadam kebakaran berfungsi dengan baik, dilakukan 3 bulan sekali. d. Ruangan penyimpanan data dan sistem informasi berada di lantai 2, untuk mengantisipasi ancaman banjir. e. PT. Volensa Indonesia menggunakan Uninterruptible power Supply (UPS) sebagai alat penyimpan sementara arus listrik. f. PT. Volensa Indonesia menggunakan stabilizer untuk menjaga kestabilan tegangan listrik. g. PT. Volensa Indonesia memberi batas akses masuk ke ruang data akuntasi hanya pada karyawan tertentu, yang telah mendapat otorisasi h. Terdapat penempatan penjaga selama 24 jam, untuk mengantisipasi adanya penyusup. i. Setiap komputer dilengkapi dengan program anti virus Norton 2006, yang di update secara periodik dalam kurun waktu 2 minggu sekali. j. Back up data dilakukan secara periodik dalam kurun waktu 2 jam sekali. k. Kabel-kabel dan penghantar listrik dilapisi dengan bahan yang tidak mudah terbakar.
102 2. Temuan Audit Negatif a. Tidak terdapat alarm pendeteksi kebakaran. b. Tidak terdapat dry pipe automatic sprinkler, dan hydrant. c. Tidak menggunakan generator sebagai alternatif alat pembangkit tenaga listrik d. Hardware yang ada pada PT. Volensa Indonesia tidak ditutup dengan bahan tahan air. e. Tidak dilakukan scan virus secara rutin.
Metrik Penilaian Resiko dan Pengendalian No Resiko Dampak Keterjadian Nilai Resiko Pengendalian Efektivitas Desain Nilai Pengendalian Jumlah Penilaian 1. Akses yang tidak berwenang -3-1 -3 Login akses (Password dan User name), dan penempatan penjaga 3 3 9 6 2. Kebakaran -3-1 -3 Alarm, sistem dry-pipe 3 1 3 0 automatic sprinkler, hydrant dan tabung pemadam kebakaran 3. Kerusakan aset -2-1 -2 AC, asuransi, penutupan 2 3 6 4 hardware dengan bahan tahan air, dan penempatan hardware pada lokasi yang aman 4. Listrik tidak stabil -2-3 -6 Adanya generator, UPS, 3 2 6 0 dan stabiliser 103
5. Virus -3-2 -6 Penggunaan anti-virus 3 2 6 0 yang up to date dan scan virus 6. Kehilangan data -3-1 -3 Back up data 3 3 9 6 Jumlah -23 Jumlah 39 16 Tabel 4.3 Metrik Penilaian Resiko dan Pengendalian Manajemen Keamanan Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 16 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian manajemen keamanan (Security Management Controls) sistem informasi aplikasi general ledger adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resiko-resiko yang mungkin terjadi, baik resiko yang sering terjadi maupun yang jarang atau sama sekali tidak pernah terjadi. 104
Keterangan: Dampak Dasar Estimasi -1 Terhambatnya aktivitas rutin perusahaan kurang dari 24 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, penyalahgunan prosedur, dan lemahnya pengendalian intern. -2 Terhambatnya aktivitas rutin perusahaan antara 24 48 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, kehilangan data, error pada software, penyalahgunan prosedur, dan lemahnya pengendalian intern. -3 Terhentinya aktivitas rutin perusahaan lebih dari 48 jam, yang disebabkan kerusakan infrastruktur teknologi informasi, kehilangan sumber daya manusia, kehilangan data, error pada software, penyalahgunaan prosedur, dan lemahnya pengendalian intern. Tabel 4.4 Tabel Dasar Estimasi Dampak Resiko 105
Metrik Temuan Audit Pengendalian Manajemen Keamanan No. Temuan Audit Resiko Rekomendasi Pelaksana Lama Pelaksanaan 1. Tidak terdapat alarm, Jika terjadi kebakaran tidak Sebaiknya memasang alarm, Bagian 3 bulan dry pipe automatic dapat segera diketahui, dan dry pipe automatic sprinkler, Operasional sprinkler, dan hydrant. pemadaman api memerlukan dan hydrant sehingga dapat waktu yang lama mendeteksi kebakaran dan menyebabkan penyebaran api memadamkan api meluas. secepatnya. 2. Tidak menggunakan Apabila terjadi pemadaman Sebaiknya perusahaan Bagian 1 minggu generator sebagai listrik secara mendadak menggunakan generator Operasional alternatif alat dalam jangka waktu yang untuk mengantisipasi pembangkit tenaga lama maka perusahaan tidak pemadaman listrik secara listrik dapat beroperasi. mendadak, mengingat suplai 106
listrik Jakarta yang kurang. 3. Hardware tidak ditutup Kerusakan hardware Sebaiknya menggunakan Bagian 1 hari dengan bahan tahan air menyebabkan data hilang bahan tahan air untuk operasional terlebih jika kerusakan menutupi hardware yang terjadi pada harddisk dan selesai digunakan misalnya menambah pengeluaran menggunakan plastik. biaya penggantian hardware yang cenderung tinggi. 4. Tidak dilakukan scan Kemungkinan komputer Sebaiknya dilakukan scan Bagian 1 hari virus secara rutin terinfeksi virus tidak virus secara rutin, misalnya Operasional terhadap komputer diketahui sehingga kerusakan dengan melakukan setting data yang telah terjadi sulit pada anti virus untuk ditanggulangi. melakukan scan 2 hari atau seminggu sekali. Tabel 4.5 Metrik Temuan Audit Pengendalian Manajemen Keamanan 107
108 4.3.2 Pengendalian Batasan (Boundary Controls) PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi Pengendalian Batasan No. (Boundary Controls) Objek Audit Instrumen 1. Lakukan pengecekan apakah sistem informasi aplikasi general ledger dilengkapi dengan login akses. 2. Lakukan pengecekan apakah sistem informasi aplikasi general ledger membatasi berapa digit panjang username dan password. 3. Lakukan pengecekan apakah sistem informasi aplikasi general ledger membatasi pengisian password bila terjadi kesalahan. 4. Lakukan pengecekan apakah sistem informasi aplikasi general ledger menampilkan error message bila user salah mengisi password. 5. Lakukan pengecekan apakah password pada layar diganti menjadi Sistem informasi aplikasi general ledger Pada saat login ke sistem informasi aplikasi general ledger Pada saat login ke sistem informasi aplikasi general ledger Pada saat login ke sistem informasi aplikasi general ledger Pada saat login ke sistem informasi Testing Wawancara Testing Wawancara Testing Wawancara Testing Testimg
109 simbol (*) atau tidak terlihat aplikasi general ledger (invisible). 6. Dapatkan informasi apakah dalam penggunaan password dilakukan dengan kombinasi. 7. Dapatkan informasi apakah sistem informasi aplikasi general ledger memiliki pembagian batasan akses. 8. Dapatkan informasi apakah dilakukan penghapusan username dan password apabila ada karyawan yang mengoperasikan aplikasi berhenti bekerja. 9. Dapatkan informasi apakah sistem informasi aplikasi general ledger merekam secara otomatis setiap aktivitas yang dilakukan user untuk memudahkan audit trail. 10. Dapatkan informasi tentang enkripsi pada password dengan cryptographic control Pada saat login ke sistem informasi aplikasi general ledger Sistem informasi aplikasi general ledger Sistem informasi aplikasi general ledger Sistem informasi aplikasi general ledger Sistem informasi aplikasi general ledger Testing Wawancara Testing Wawancara Wawancara Testing Wawancara Wawancara Tabel 4.6 Program Kerja Audit Pengendalian Batasan
110 Tujuan Tujuan dilakukannya audit atas pengendalian batasan (boundary controls) adalah: 1. Memastikan sistem informasi aplikasi general ledger diakses oleh orang-orang yang berwenang. 2. Memastikan adanya batasan-batasan terhadap kewenangan user dalam mengakses sistem informasi aplikasi general ledger. 3. Memastikan adanya error message jika terjadi kesalahan dalam penginputan data maupun dalam login awal. 4. Memastikan apakah sistem informasi aplikasi general ledger memiliki ruang lingkup yang jelas (dokumen inputnya, sumbernya, tujuan pengelohan data, siapa penggunanya, dan siapa pemegang kewenangan). Kriteria Standar Kriteria standar yang harus ada untuk pengendalian batasan (Boundary Controls), yaitu: 1. Menetapkan identitas dan kewenangan user sistem informasi aplikasi general ledger. 2. Membatasi tindakan-tindakan yang dilakukan oleh user yang menggunakan sumber daya komputer terhadap tindakan-tindakan yang terotorisasi.
111 3. Suatu sistem komputerisasi harus jelas ruang lingkupnya, apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya, siapa pemegang kewenangan. PELAKSANAAN AUDIT Pengendalian Boundary No. PERTANYAAN YA TIDAK 1. Apakah terdapat login akses pada sistem informasi aplikasi general ledger? 2. Apakah terdapat ketentuan berapa digit panjang password? 3. Apakah terdapat batas pengisian password bila terjadi kesalahan? 4. Apakah terdapat error message bila user salah mengisi password? 5. Apakah tampilan password pada layar diganti menjadi simbol (*) atau invisible 6. Apakah dalam penggunaan password dilakukan dengan kombinasi? 7. Apakah perusahaan memiliki kebijakan terhadap pembatasan akses data? 8. Apakah perusahaan melakukan penghapusan username dan password
112 secepatnya apabila ada karyawan yang mengoperasikan sistem aplikasi berhenti bekerja? 9. Apakah setiap akses yang dilakukan terhadap sistem direkam secara otomatis untuk memudahkan audit trail? Tabel 4.7 Pengendalian Batasan Wawancara 1. Apakah terdapat login akses sebelum masuk ke aplikasi general ledger? Jawaban: Ada, setiap user yang hendak menggunakan aplikasi general ledger harus mengisikan username dan password. 2. Bagaimana ketentuan yang diterapkan perusahaan mengenai penggunaan password dan login akses? Jawaban: Aplikasi general ledger membatasi panjang username sebanyak 5 digit dan password sebanyak 10 digit tetapi perusahan tidak mengharuskan berapa digit username dan password yang diinput user. Tidak ada batasan pengisian password bila terjadi kesalahan penginputan. Aplikasi akan menampilan error message bila terjadi kesalahan penginputan password. Tampilan password yang di input diganti menjadi simbol (*) untuk menjaga kerahasiaan password. Penggunaan password juga bisa dilakukan dengan mengkombinasikan angka
113 atau huruf dan user bisa mengganti passwordnya kapan saja. Namun dalam aplikasi general ledger, password dalam database tidak dienkripsi. 3. Jika ada karyawan yang tidak bekerja lagi diperusahaan, apakah username dan passwordnya dihapus dari database? Jawaban: Ya, karyawan yang tidak bekerja lagi akan dihapus username dan passwordnya dari database sistem. 4. Apakah ada batasan akses pada setiap user? Jawaban: Ada, setiap user akan dibatasi aksesnya kedalam aplikasi oleh supervisor sesuai tugas dan tanggung jawaab. 5. Apakah aplikasi general ledger dapat merekam setiap aktivitas yang dilakukan user? Jawaban: Tidak, aplikasi general ledger tidak memiliki fasilitas yang dapat merekam aktivitas user. 6. Apakah password user dienkripsi (password user diacak otomatis oleh sistem)? Jika ya, teknik cryptographic (teknik mengacak password user) apa yang digunakan? a. Transposition Ciphers (misalnya ABC menjadi CBA) b. Substitution Ciphers (misalnya CDE menjadi ABC) c. Product Ciphers (misalnya FGH menjadi AHG) Jawaban: Tidak, sistem informasi aplikasi general ledger tidak melakukan enkripsi atas password yang ada di database.
114 Testing Aplikasi Gambar 4.3 Tampilan Layar Konfirmasi Invalid Password Gambar 4.4 Tampilan Layar Pembatasan Hak Akses
115 Temuan Audit 1. Temuan Audit Positif a. Sistem aplikasi General Ledger dilengkapi dengan login akses berupa user name dan password. b. Sistem aplikasi General Ledger membatasi panjang username dan password, masing-masing 5 digit dan 10 digit. c. Tampilan password di layar berupa simbol (*). d. Password yang digunakan dapat berupa kombinasi antara huruf dan angka. e. Jika user dalah memasukkan password atau username, maka akan keluar error message pada tampilan layar. f. Pengaksesan sistem aplikasi general ledger hanya dapat dilakukan oleh user yang berhak dan telah mendapat otorisasi, dimana otorisasi dan hak akses user ditentukan oleh supervisor sesuai dengan tugas dan tanggung jawab masing-masing. g. Sistem aplikasi Gerenal Ledger memiliki fitur user profile yang memungkinkan pengaturan privelleges user dalam mengakses sistem aplikasi. h. Setiap kali terjadi pemberhentian karyawan, maka secepatnya user name dan password karyawan akan dihapus dari database sistem aplikasi general ledger.
116 2. Temuan Audit Negatif a. Perusahaan tidak membatasi jumlah digit user name dan password yang digunakan. b. PT. Volensa Indonesia tidak memberikan batas kesalahan pengisian password atau user name dalam login akses. c. Sistem aplikasi general ledger tidak memiliki fasilitas untuk encryption untuk password pada database. d. Sistem aplikasi general ledger pada PT. Volensa Indonesia tidak memiliki fasilitas untuk merekam aktivitas user (audit trail).
Metrik Penilaian Resiko dan Pengendalian No Resiko Dampak Keterjadian Nilai Resiko Pengendalian Efektivitas Desain Nilai Pengendalian Jumlah Penilaian 1. Akses yang tidak berwenang -3-1 -3 Login akses, password, dan management user 3 1 3 0 Jumlah -3 Jumlah 3 0 Tabel 4.8 Metrik Penilaian Resiko dan Pengendalian Batasan Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 0 poin (standar), maka disimpulkan bahwa tingkat efektifitas pengendalian batasan (Boundary Controls) sistem informasi aplikasi general ledger adalah standar. Artinya, resiko yang ada dapat ditanggulangi secara optimal dengan pengendalian-pengendalian yang ada. Tidak terjadi kelebihan pengendalian ataupun kekurangan pengendalian. 117
Metrik Temuan Audit Pengendalian Batasan No. Temuan Audit Resiko Rekomendasi Pelaksana Lamanya Pelaksanaan 1. Tidak adanya batasan Password yang terlalu pendek Sebaiknya aplikasi Developer 3 bulan berapa digit panjang memudahkan kode dipecahkan menggunakan ketentuan 8 digit Aplikasi password dan password yang terlalu untuk panjang password. panjang akan sulit diingat. 2. Tidak adanya batasan Memberi peluang yang tidak Sebaiknya sistem memberikan Developer 3 bulan jumlah penginputan terbatas bagi pihak yang tidak batas penginputan username Aplikasi username dan password berkepentingan untuk mencoba dan password, misalnya mengakses sistem informasi maksimal 3 kali. aplikasi general ledger. 3. Tidak adanya enkripsi Memiliki tingkat resiko yang Sebaiknya sistem database Developer 3 bulan terhadap password dalam tinggi dan berbahaya bagi yang digunakan dapat Aplikasi 118
database sistem karena akan lebih melakukan enkripsi terhadap mudah dibobol oleh hacker. password yang diinput. 4. Sistem tidak dapat Apabila ada user melakukan Sebaik perusahaan meminta Developer 3 bulan merekam aktivitas yang kecurangan tidak dapat tambahan modul program Aplikasi dilakukan user diidentifikasi. (audit trail) yang berfungsi merekam aktivitas setiap user dari developer aplikasi general ledger tersebut. Tabel 4.9 Metrik Temuan Audit Pengendalian Batasan 119
120 4.3.3 Pengendalian Masukan (Input Controls) PROGRAM KERJA AUDIT Tahap Pengujian atas No. Segmentasi Objek Audit Instrumen Pengendalian Masukan (Input Controls) 1. Dapatkan informasi mengenai Pada saat login ke Testing otorisasi user yang melakukan sistem informasi input. aplikasi general Wawancara. ledger. 2. Dapatkan informasi mengenai Sistem informasi Wawancara metode input data. aplikasi ledger general 3. Dapatkan informasi tentang dokumen apa saja yang digunakan dalam penginputan. 3. Dapatkan informasi apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang. 4. Dapatkan informasi mengenai dokumen sumber, apakah Staf PT. Volensa Indonesia Staf PT. Volensa Indonesia Fungsi-fungsi yang terkait. Wawancara Studi dokumentasi Wawancara
121 dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer. 5. Lakukan pengecekan apakah Sistem informasi Testing terdapat sistem validasi terhadap aplikasi general input yang dimasukan. ledger 6. Lakukan pengecekan terhadap Sistem informasi Testing sistem informasi aplikasi general aplikasi general Wawancara ledger, apakah dapat dilakukan ledger pengeditan, jika data terlanjur diupdate. 7. Lakukan tinjauan apakah fasilitas Sistem informasi Testing menu cukup userfriendly bagi user aplikasi general untuk melakukan penginputan. ledger 8. Lakukan pengecekan terhadap Sistem informasi Testing sistem informasi aplikasi general aplikasi general ledger, apakah data yang diinput ledger bersifat case sensitive. Tabel 4.10 Program Kerja Audit Pengendalian Masukan
122 Tujuan Tujuan dilakukannya audit atas pengendalian masukan (input controls) adalah: 1. Memastikan apakah terdapat pemisahan tugas user yang terotorisasi. 2. Mengecek tampilan, design warna, dan penggunaan bahasa pada layar sistem informasi aplikasi general ledger telah baik dan mudah dimengerti, termasuk adanya error message, menu konfirmasi, respon yang cepat, dan metode input. 3. Mendapatkan informasi mengenai prosedur persetujuan penginputan data kedalam sistem informasi aplikasi general ledger. 4. Mengecek apakah fasilitas menu dalam sistem informasi aplikasi general ledger memenuhi kebutuhan user dan efektif dalam penggunaannya. Kriteria Standar Adapun kriteria standar yang harus ada untuk Pengendalian Masukan (Input Controls ), yaitu : 1. Adanya pemisahan otoritas antar bagian. 2. Penggunaan bahasa, design warna, dan tampilan layar harus userfriendly. 3. Penyimpanan dokumen sumber berdasarkan periode dan jenis dokumen.
123 4. Efektivitas penggunaan menu-menu dalam sistem aplikasi. 5. Kontrol dokumen sumber (Source document controls). 6. Koreksi kesalahan input (Input error correction). 7. Kontrol Validasi (Validation controls). PELAKSANAAN AUDIT Pengendalian Input No. PERTANYAAN YA TIDAK 1. Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang? 2. Apakah dokumen sumber dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? 3. Apakah sistem melakukan validasi terhadap input yang dimasukkan? Misalnya Kode Pelanggan. 4. Apakah dapat dilakukan pengeditan, jika terjadi kesalahan input tetapi update data telah dilakukan? 5. Apakah tampilan input bersifat user friendly? 6. Apakah data yang diinput bersifat case
124 sensitive (berpengaruh terhadap huruf besar atau kecil)? 7. Apakah penginputan data, hanya dilakukan oleh karyawan yang berwenang? Misalnya data penjualan, pembelian. 8. Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data? Tabel 4.11 Pengendalian Masukan Wawancara 1. Apakah metode input data yang dipakai perusahaan? Jawaban: PT. Volensa Indonesia menggunakan metode keyboarding dalam melakukan input data. 2. User menggunakan dokumen apa saja untuk menginput data kedalam sistem aplikasi? Jawaban: Dokumen yang digunakan adalah SO, PO, Payment voucher, dan summary of salary. 3. Siapa saja yang berhak melakukan input kedalam sistem informasi aplikasi general ledger?
125 Jawaban: Yang berhak melakukan input kedalam sistem informasi aplikasi general ledger adalah admin penjualan, admin pembelian, keuangan dan akuntansi. 4. Apakah dokumen sumber dikumpulkan terlebih dahulu sebelum diinput ke dalam komputer? Jawaban: Tidak, dokumen sumber diinput langsung begitu ada terjadinya transaksi. 5. Jika terjadi kesalaahan input tetapi update data telah dilakukan, apakah dapat dilakukan pengeditan? Jawaban: Bisa dilakukan pengeditan. Contoh bila terjadi transaksi penjualan maka bagian penjualan akan membuat SO dan setelah itu diupdate maka transaksi penjualan akan masuk ke batch file, kemudian melakukan posting yang berlanjut pada sales transasction. Apabila terjadi kesalahan pada SO maka sales transaction dan batch file harus dihapus terlebih dahulu, baru dapat dilakukan pengeditan pada SO yang sudah dibuat.
126 Testing Aplikasi Gambar 4.5 Tampilan Layar Konfirmasi Penomoran Duplikasi Penomoran Gambar 4.6 Tampilan Layar Sales Order
127 Temuan Audit 1. Temuan Positif a. Sistem aplikasi general ledger membatasi user yang mendapat otorisasi untuk melakukan input data, yaitu terbatas hanya bagian admin penjualan, admin pembelian, akuntansi dan keuangan. b. Metode input data yang digunakan pada sistem informasi aplikasi general ledger adalah metode keybording. c. Seluruh dokumen yang akan diinput telah mendapat otorisasi dari pihak yang berwenang. d. Penginputan data dilakukan ketika terjadi suatu transaksi. e. Dalam penginputan data, dokumen yang digunakan adalah sales order, purchase order, payment voucher dan summary of salary. f. Sistem informasi aplikasi general ledger akan melakukan validasi terhadap seluruh data yang diinput. g. Pada sistem informasi aplikasi general ledger dapat dilakukan pengeditan data kembali, meskipun data telah di update. h. Tampilan layar input pada sistem informasi aplikasi general ledger cukup userfriendly bagi user. 2. Temuan Negatif a. Pada sistem informasi aplikasi general ledger data tidak bersifat case sensitif atau tidak ada pengaruh terhadap besar kecil huruf.
Metrik Penilaian Resiko dan Pengendalian No Resiko Dampak Keterjadian Nilai Resiko Pengendalian Efektivitas Desain Nilai Pengendalian Jumlah Penilaian 1 Input tidak -3-1 -3 Otorisasi dan prosedur 3 3 9 6 terotorisasi pensetujuan data penginputan 2 Kesalahan input data -3-1 -3 Mendesign tampilan layar 3 2 6 3 dengan baik, keyboarding 3. Duplikasi data -3-1 -3 Layar konfirmasi 3 3 9 6 4. Kesalahan -3-1 -3 Layar konfirmasi 3 2 6 3 terlewatkan Jumlah -12 Jumlah 30 18 Tabel 4.12 Metrik Penilaian Resiko dan Pengendalian masukan Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 18 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian masukan (Input Controls) sistem informasi aplikasi general ledger adalah baik. Artinya, 128
tigkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resiko-resiko yang mungkin terjadi. Metrik Temuan Audit Pengendalian Masukan No. Temuan Audit Resiko Rekomendasi Pelaksana Lama Pelaksanaan 1. Data yang diinput tidak Berakibat pada nomor Sebaiknya ditetapkan Developer Aplikasi 3 bulan bersifat case sensitive laporan/dokumen yang ketentuan menggunakan dihasilkan tidak teratur, dan huruf besar atau huruf kecil kemungkinan terjadi duplikasi saja dan akan lebih baik lagi nomor dokumen. sistem aplikasi bersifat case sensitive. Tabel 4.13 Metrik Temuan Audit Pengendalian Masukan 129
130 4.3.4 Pengendalian Keluaran (Output Control) PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi No. Pengendalian Keluaran Objek Audit Instrumen (Output Controls) 1. Lakukan pengecekan terhadap laporan/dokumen apakah tercantum nama personil yang bertanggung jawab, judul, periode, tanggal, waktu pencetakan, dan batasan halaman. 2. Dapatkan informasi terhadap otorisasi user yang melakukan pencetakan laporan/dokumen. 3. Dapatkan informasi mengenai permintaan laporan rutin dan laporan baru. 4. Dapatkan informasi apakah Dokumen yang dihasilkan. Fungsi-fungsi yang terkait. Fungsi-fungsi yang terkait. Fungsi-fungsi Studi dokumentasi Wawancara pendistribusian laporan/dokumen yang Studi diterima oleh orang yang berhak dan tepat waktu. 5. Dapatkan informasi tentang control terhadap penghancuran laporan terkait. Kepala Operasional. dokumentasi
131 /dokumen yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan 6. Dapatkan informasi mengenai arsip laporan/dokumen. 7. Dapatkan informasi mengenai penggunaan printer. 8. Dapatkan informasi apakah laporan/dokumen dapat dicetak ulang. Staf PT. Volensa Indonesia Staf PT. Volensa Indonesia. Sistem informasi aplikasi general ledger. Wawancara Testing Tabel 4.14 Program Kerja Audit Pengendalian Keluaran Tujuan Tujuan dilakukannya audit atas pengendalian keluaran (output controls) adalah: 1. Mengetahui apakah terdapat sistem pengawasan terhadap pencatatan untuk setiap laporan yang ada dan prosedur permintaan laporan rutin atau permintaan baru. 2. Memastikan bahwa sistem informasi aplikasi general ledger dapat menghasilkan laporan/dokumen sesuai dengan kebutuhan dan didistribusikan secara tepat waktu dan tepat sasaran, serta kepada pihak yang berkepentingan.
132 3. Memastikan setiap laporan/dokumen yang dihasilkan sudah tercantum batasan halaman, judul, tanggal, periode, personil yang bertanggung jawab, dan jam laporan dicetak. 4. Memastikan laporan/dokumen diarsip ditempat yang mudah dijangkau dan batas waktu lamanya laporan tersebut diarsip serta pengendalian terhadap proses penghancuran laporan yang sudah tidak diperlukan. Kriteria Standar Kriteria standar yang harus ada untuk pengendalian keluaran (Output Controls), yaitu : 1. Menjaga akurasi, kelengkapan, dan kemuktahiran data keluaran, serta pendistribusikan keluaran kepada orang-orang yang berhak dan tepat waktu. 2. Adanya prosedur permintaan laporan rutin atau laporan baru. 3. Penghancuran arsip sesuai dengan prosedur. PELAKSANAAN AUDIT Pengendalian Output No. PERTANYAAN YA TIDAK 1. Apakah setiap laporan/dokumen yang dihasilkan selalu mencantumkan judul, periode, tanggal, dan waktu pencetakan?
133 2. Apakah pada setiap laporan/dokumen dicantumkan nomor halaman dan tanda akhir halaman 3. Apakah setiap laporan/dokumen yang dihasilkan, dicantumkan nama personil yang bertanggung jawab atas dikeluarkannya laporan/dokumen? 4. Apakah hanya karyawan yang memiliki otoritas saja yang dapat melakukan pencetakan laporan/dokumen? 5. Apakah laporan/dokumen yang dihasilkan didistribusikan tepat pada waktunya? 6. Apakah laporan/dokumen diserahkan kepada pihak yang berwenang? 7. Apakah terdapat permintaan laporan rutin atau laporan baru? 8. Apakah terdapat otorisasi dalam menghancurkan laporan/dokumen yang tidak diperlukan? 9. Apakah setiap laporan/dokumen disimpan pada tempat yang mudah dijangkau dan tersusun rapi, sehingga
134 bila dibutuhkan maka mudah ditemukan? 10. Apakah printer sebagai media output dishare? 11. Apakah laporan/dokumen dapat dicetak kembali? Tabel 4.15 Pengendalian Keluaran Wawancara 1. Apakah hanya karyawan yang memiliki otoritas saja yang dapat melakukan pencetakan laporan/dokumen? Jawaban: Dalam hal pencetakan laporan keuangan hanya bisa dicetak oleh Chief Finance & Accounting saja dan setelah diparaf yang menunjukkan kalau laporan keuangan tersebut telah diotorisasi. Dokumen-dokumen seperti Sales Invoice, Voucher Payment, dan lain-lain juga mendapat otorisasi dari bagian-bagian terkait. 2. Apakah printer digunakan oleh beberapa user (sharing)? Jawaban: Ya, printer yang ada diruangan akuntansi digunakan oleh bagian akuntansi dan keuangan.
135 Temuan Audit 1. Temuan Audit Positif a. Pada setiap laporan yang dihasilkan tercantum tanggal, judul, periode, dan nama personil yang bertanggung jawab atas laporan tersebut. b. Pencetakan laporan dapat dilakukan terbatas oleh user yang memiliki otorisasi saja. c. Setiap laporan yang dihasilkan selalu didistribusikan tepat waktu dan diterima oleh orang yang berhak. d. Penghancuran laporan yang tidak diperlukan dapat dilakukan setelah user mendapat otorisasi. e. Seluruh arsip laporan tersimpan di lemari arsip, dan disusun berdasarkan kriteria tertentu. f. Dapat dilakukan pencetakan ulang laporan. 2. Temuan Audit Negatif a. Laporan keuangan/dokumen yang dicetak tidak dicantumkan batasan halaman dan waktu pencetakan. b. Perusahaan tidak mencetak slip gaji atas pembayaran gaji untuk setiap karyawan dan tidak ada bukti penerimaan gaji yang ditandatangani oleh tiap-tiap karyawan. c. Terdapat printer sharing yang digunakan oleh bagian akuntansi dan keuangan.
Metrik Penilaian Resiko dan Pengendalian No Resiko Dampak Keterjadian Nilai Resiko Pengendalian Efektivitas Desain Nilai Pengendalian Jumlah Penilaian 1. Kesalahan distribusi laporan 2. Laporan yang tidak jelas -3-1 -3 Tembusan laporan berwarna sesuai bagian masing-masing. -2-1 -2 Judul, batasan halaman, tanggal, personil yang bertanggung jawab, waktu pencetakan dan periode laporan. 3 3 9 6 3 2 6 4 3. Kehilangan arsip -3-1 -3 Lemari arsip. 3 3 9 6 dokumen Jumlah -8 Jumlah 24 16 Tabel 4.16 Metrik Resiko dan Pengendalian Keluaran 136
Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 16 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian keluaran (Output Controls) Sistem Informasi Aplikasi General Ledger adalah baik. Artinya, tigkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Meskipun terjadi kelebihan pengendalian, tetapi setiap pengendalian tersebut dirancang untuk mengantisipasi resikoresiko yang mungkin terjadi, baik resiko yang sering terjadi maupun yang jarang atau sama sekali tidak pernah terjadi. Metrik Temuan Audit Pengendalian Keluaran No. Temuan Audit Resiko Rekomendasi Pelaksana Lama Pelaksanaan 1. Tidak adanya nomor Jika ada lembar laporan Sebaiknya laporan keuangan Developer 3 bulan halaman dan tanda keuangan yang hilang, tidak dicantumkan batasan Aplikasi akhir laporan. dapat diketahui sehingga halaman dan waktu informasi yang disampai pencetakan. tidak lengkap. 137
2. Tidak dicetaknya slip Tidak ada bukti bahwa Sebaiknya dicetak slip gaji Bagian Keuangan 1 bulan gaji dan tidak adanya pembayaran gaji sudah untuk tiap-tiap karyawan dan bukti penerimaan gaji dibayarkan dan diterima oleh karyawan menandatangani yang ditandatangani tiap-tiap karyawan. bukti penerimaan gaji. karyawan. 3. Terbatasnya jumlah Menyebabkan keterlambatan Sebaiknya bagian akuntansi Bagian 1 minggu printer di PT. Volensa pencetakan dokumen dan dan keuangan memiliki operasional Indonesia laporan. printer masing-masing. Tabel 4.17 Metrik Temuan Audit Pengendalian Keluaran 138
139 4.3.5 Pengendalian Basis Data (Database Control) PROGRAM KERJA AUDIT Tahap Pengujian atas Segmentasi No. Pengendalian Basisdata Objek Audit Instrumen (Database Controls) 1. Dapatkan informasi tentang pengendalian terhadap akses ilegal. 2. Dapatkan informasi apakah tugas Database Administrator dengan Data Administrator terpisah. 3. Dapatkan informasi mengenai file handling control. 4. Dapatkan informasi mengenai permintaan data. 5. Dapatkan informasi apakah sistem manajemen database telah melaksanakan integrity constraints pada sistem database 6. Dapatkan informasi apakah privasi data dapat terjaga dengan baik selama proses backup dan pemulihan dilakukan. Supervisor Database Supervisor Database Supervisor Database Supervisor Database Supervisor Database Supervisor Database Wawancara Wawancara
140 7. Dapatkan informasi mengenai ketentuan siapa saja yang boleh melakukan permintaan data. Supervisor Database Wawancara Tabel 4.18 Program Kerja Audit Pengendalian Database Tujuan Adapun tujuan dilakukannya audit atas pengendalian database (database controls) adalah: 1. Memastikan terdapat pemisahan tugas antara database adminstrator dengan data administrator. 2. Memastikan adanya pengendalian untuk mencegah akses ilegal. 3. Memastikan terdapatnya prosedur permintaan data. 4. Mengetahui telah dilakukannya file handling controls dan integrity contraints pada database. Kriteria Standar 1. Terdapat pemisahan tugas antara database administrator dan data administrator. 2. Memastikan proses transaksi yang terjadi telah diproses dengan tidak benar 3. Terdapat pengendalian terhadap akses ilegal. 4. Hak akses dibatasi. 5. Database memiliki integrity constraints.
141 6. Terdapat file handling controls. 7. Permintaan data harus dilakukan dengan mengisi job request. PELAKSANAAN AUDIT Pengendalian Database No. PERTANYAAN YA TIDAK 1. Apakah sudah terdapat pengendalian terhadap akses ilegal? 2. Apakah tugas antara Database Administrator dengan Data Administrator terpisah 3. Apakah sudah dilakukan file handling controls? 4. Apakah dapat melakukan permintaan data? 5. Apakah sistem manajemen database sudah melaksanakan integrity constraints pada sistem database? 6. Apakah privasi data dapat terjaga dengan baik selama proses backup dan pemulihan dilakukan? Tabel 4.19 Pengendalian Database
142 Wawancara a. Apakah sudah terdapat pengendalian terhadap akses ilegal? Jawaban: Tidak, database access yang terdiri dari tabel-tabel bisa dibuka dikomputer server tanpa harus melakukan login akses. b. Apakah tugas antara Database Administrator dengan Data Administrator terpisah? Jawaban: Tidak, supervisor bagian akuntansi merangkap fungsi sebagai database administrator dan data administrator. c. Bagaimana prosedur dalam melakukan permintaan data? Jawaban: Bagi user yang hendak meminta data, maka melakukan pengajuan permintaan data di bagian akuntansi. Temuan Audit 1. Temuan Audit Positif a. Sudah dilakukan File Handling Control. b. Permintaan data dapat dilakuan oleh user yang membutuhkan. c. Kerahasiaan data dapat terjaga dengan baik selama proses back up dan pemulihan dilakukan. d. Permintaan data dapat dilakukan di bagian akuntansi.
143 2. Temuan Audit Negatif a. Tidak adanya pengendalian akses ilegal pada database di PT. Volensa Indonesia. b. Tugas Database Administrator dan Data Administrator tidak terpisah, melainkan dikontrol oleh supervisor bagian akuntansi
Metrik Penilaian Resiko dan Pengendalian No Resiko Dampak Keterjadian Nilai Resiko Pengendalian Efektivitas Desain Nilai Pengendalian Jumlah Penilaian 1. Akses tidak berwenang -3-1 -3 Pemisahan tugas dan login 3 1 3 0 2 Penyalahgunaan akses database akses -3-1 -3 Management rule, security access, dan hak akses. 3 1 3 0 3 Database tidak lengkap, -3-1 -3 Integrity Constraints 3 1 3 0 unik, dan akurat 4 Kerusakan data dalam media penyimpanan -3-1 -3 Back-up, File handling control. 3 1 3 0 Jumlah -12 Jumlah 12 0 Tabel 4.20 Metrik Resiko dan Pengendalian Basis Data Berdasarkan penilaian resiko dan pengendalian yang ada, diperoleh jumlah penilaian 0 poin (positif), maka disimpulkan bahwa tingkat efektifitas pengendalian basis data (Database Controls) Sistem Informasi Aplikasi General Ledger adalah standar. Artinya, 144
resiko yang ada dapat ditanggulangi secara optimal dengan pengendalian-pengendalian yang ada. Tidak terjadi kelebihan pengendalian ataupun kekurangan pengendalian. Metrik Temuan Audit Pengendalian Basis data No. Temuan Audit Resiko Rekomendasi Pelaksana Lama Pelaksana 1. Tidak adanya user yang tidak terotorisasi Sebaiknya database juga Developer 3 bulan pengendalian akses ilegal bisa dengan mudah masuk ke dilengkapi login akses, agar Aplikasi pada database database. hanya user terotorisasi yang bisa mengakses. 2. Tugas Database bisa mengakibatkan Sebaiknya tugas Database Manajer 1 minggu Administrator dan Data manipulasi data dan Administrator dan Data Operasional Administrator tidak penyalahgunaan wewenang. Administrator terpisah. terpisah Tabel 4.21 Metrik Temuan Audit Pengendalian Basis data 145
146 4.4 Laporan Audit Sistem Informasi Laporan Audit Sistem Informasi Aplikasi General Ledger yang dibuat oleh Tim Audit Kelompok 10 adalah sebagai berikut: Kepada Perihal : Manajemen PT. Volensa Indonesia : Laporan Hasil Audit Sistem Informasi General Ledger PT. Volensa Indonesia Periode : Januari 2007 LAPORAN AUDIT SISTEM INFORMASI APLIKASI GENERAL LEDGER PADA PT. VOLENSA INDONESIA I. Tujuan a. Memastikan pengendalian-pengendalian yang sudah ada mampu meningkatkan keamanan aset-aset perusahaan. b. Memastikan laporan keuangan telah disajikan dengan cepat, tepat, dan akurat. c. Meningkatkan efesiensi dan efektifitas sistem dalam perusahaan. II. Ruang Lingkup Ruang lingkup evaluasi dibatasi oleh pengendalian umum dan pengendalian aplikasi. Pengendalian umum terbatas pada pengendalian manajemen keamanan (security management controls). Sedangkan pengendalian aplikasi terbatas pada pengendalian batasan (boundary
147 controls), pengendalian masukan (input controls), pengendalian keluaran (output controls), dan pengendalian basis data (database controls). III. Instrumen Audit Instrumen audit yang digunakan dalam mengumpulkan bukti-bukti audit adalah observasi, kuesioner, wawancara, testing aplikasi dan studi dokumentasi. IV. Hasil Audit Berdasarkan temuan audit, kami selaku tim audit menyatakan bahwa pengendalian perusahaan secara umum telah dilakukan dengan baik. Adapun pengendalian-pengendaliannya adalah sebagai berikut: Pengendalian Manajemen Keamananan Pengendalian manajemen keamanan sudah dilakukan dengan baik oleh perusahaan, namun akan lebih baik lagi jika perusahaan juga menggunakan pemadam kebakaran yang otomatis dan melakukan scan anti-virus secara rutin. Pengendalian Batasan Pengendalian batasan yang diterapkan dalam perusahaan sudah standar, namun akan lebih baik lagi jika dilakukan pengenkripsian pada database password dan sistem aplikasi dilengkapi fungsi untuk merekam aktivitas user untuk memudahkan audit trail.
148 Pengendalian Masukan Pengendalian masukan sudah dilakukan dengan baik oleh perusahaan seperti penginputan dokumen sumber secara real time dan dokumen tersebut sudah diotorisasi terlebih dahulu. Pengendalian Keluaran Pengendalian keluaran pada perusahaan sudah baik, namun akan lebih baik lagi jika laporan keuangan dicantumkan batasan halaman, waktu pencetakan, dicetaknya slip gaji, bukti penerimaan gaji serta bagian akuntansi dan keuangan memiliki printer masing-masing. Pengendalian Basis Data Pengendalian basis data pada perusahaan sudah standar, namun akan lebih baik kalau ada penambahan login akses pada database untuk mengantisipasi akses ilegal oleh user yang tidak berhak dan pemisahan tugas Database Administrator dan Data Administrator. Demikian hasil laporan audit atas sistem informasi aplikasi general ledger pada PT. Volensa Indonesia. Jakarta, 18 Januari 2007 TIM AUDIT Kelompok 10