BAB 4 AUDIT SISTEM INFORMASI TERHADAP SISTEM APLIKASI PENILAIAN KARYA PADA KELOMPOK KOMPAS GRAMEDIA Bab ini menjelaskan mengenai pelaksanaan audit terhadap Sistem Aplikasi Penilaian Karya KKG. Temuan audit diperoleh dari informasi temuan prosedur dan kebijakan, wawancara dengan Kepala Bagian Teknologi Informasi dan staf bagian Pengembangan Manajemen pada Direktorat PSDM sesuai dengan check list yang disusun sebelumnya serta pengamatan dan pengujian. 4.1 Uraian Persiapan Audit 4.1.1 Tujuan Audit 1. Tujuan pelaksanaan audit dari pengendalian manajemen keamanan adalah: a. Untuk memastikan keamanan aset perusahaan. b. Untuk mengindentifikasi ancaman-ancaman yang mungkin timbul dalam perusahaan. c. Untuk memberikan rekomendasi terhadap ancaman-ancaman yang mungkin timbul pada penerapan pengendalian manajemen keamanan oleh perusahaan. d. Untuk mendeteksi apakah pengendalian manajemen keamanan yang terdapat di KKG telah berjalan secara efektif dan efisien. 95
96 2. Tujuan pelaksanaan audit dari pengendalian manajemen operasi adalah: a. Untuk memastikan bahwa sistem komputer berjalan sesuai dengan ketentuan perusahaan. b. Untuk memastikan adanya penyimpanan, penggunaan, pemeliharaan, dan lokasi media penyimpanan pada perusahaan. c. Memastikan adanya dokumentasi sistem. d. Untuk memastikan adanya technical support untuk mendukung sistem yang berjalan. 3. Tujuan pelaksanaan audit dari pengendalian batasan (boundary) adalah: a. Untuk memastikan bahwa user adalah orang yang memiliki wewenang. b. Untuk memastikan bahwa identitas yang diberikan oleh user adalah benar. c. Untuk membatasi tindakan yang dapat dilakukan oleh user dalam penggunaan SAPK. 4. Tujuan pelaksanaan audit dari pengendalian masukan (input) adalah: a. Untuk memastikan validasi yang dilakukan pada saat input telah tepat dan akurat. b. Untuk mengurangi terjadinya kesalahan yang terjadi pada saat peng-input-an.
97 c. Untuk menganalisis sistem pengkodean yang digunakan pada database PK. 5. Tujuan pelaksanaan audit pada pengendalian proses (processing) adalah: a. Untuk mengurangi terjadinya kesalahan dalam pemrograman. b. Untuk mendeteksi kecurangan maupun kesalahan dalam sistem operasi. 6. Tujuan pelaksanaan audit pada pengendalian keluaran (output) adalah: a. Untuk memastikan laporan berisi data yang lengkap dan akurat. b. Untuk memastikan laporan disajikan kepada user yang tepat. c. Untuk memastikan persiapan dan pengirman laporan kepada user dilakukan secara tepat waktu. 4.1.2 Prosedur Audit yang Dilaksanakan Pelaksanaan prosedur selama proses audit pada SAPK KKG adalah sebagai berikut: 1. Melakukan wawancara awal pimpinan bagian yang akan menjadi auditee (pihak yang akan diaudit), dan jelaskan apa saja yang akan menjadi obyek audit. 2. Mengumpulkan permanen file perusahaan seperti latar belakang perusahaan, visi dan misi, struktur organisasi, fungsi, tugas, dan tanggung jawab masing-masing bagian. 3. Mempelajari dan memahami prosedur manual yang digunakan dalam SPK.
98 4. Melakukan pengamatan terhadap cara kerja sistem aplikasi. 5. Melakukan pengujian terhadap SAPK dengan menggunakan tekhnik audit through the computer. 6. Menyampaikan check list pertanyaan pada Kepala Bagian TI dan staf PM yang berhubungan langsung dengan aplikasi PK. 7. Melakukan pengumpulan data dan informasi yang berhubungan dengan SAPK. 8. Melakukan analisa hasil check list dan pengamatan cara kerja sistem terhadap prosedur manual mutu yang ada di perusahaan. 9. Melakukan identifikasi kelebihan dan kelemahan SAPK yang berjalan. 10. Membuat laporan hasil audit. 4.2 Pengendalian Manajemen (Management Controls) 4.2.1 Pengendalian Manajemen Keamanan 4.2.1.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian manajemen keamanan secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut:
99 Tabel 4.1 Check List Pengendalian Manajemen Keamanan No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah perusahaan Media penyimpanan yang memiliki media digunakan dalam bentuk penyimpanan dokumen? Jika ya, media penyimpanan dokumen apa yang database yang disimpan di server serta arsip laporan. digunakan? 2. Apakah sudah dilakukan backup secara rutin? 3. Apakah backup data ditempatkan pada tempat yang terpisah? 4. Apakah setiap komputer terhubung dengan server? Satu hari sekali tiap malam dalam bentuk tape Di kantor Gajah Mada dan Graha Bentara Budaya 5. Apakah ada penanganan Tindakan preventive terhadap sistem jika terjadi dilakukan dengan masalah? Jika ya, apakah dilakukan secara: a. Preventive control? b. Detective control? menginstal anti virus, melakukan update secara rutin, dan memasang firewall. Tindakan corrective
100 No PERTANYAAN YA TIDAK KETERANGAN c. Corrective control? dilakukan bila terjadi masalah atau terdapat keluhan (complain) dari user. 6. Terhadap ruangan server SAPK apakah terdapat pengamanan untuk: a. Kebakaran? b. Air? c. Listrik? d. Suhu? 7 Apakah dilakukan pemeriksaan dan pemeliharaan: a. Alat pemadam kebakaran? b. AC? 8. Apakah ada prosedur darurat Dilakukan oleh bagian untuk penanganan bencana keamanan. Pelatihan alam dan keadaan darurat? evakuasi dilakukan pada saat terdapat ± 30 orang karyawan baru.
101 No PERTANYAAN YA TIDAK KETERANGAN 9. Apakah terdapat pintu/ tangga darurat yang diberi tanda dengan jelas sehingga karyawan dapat dengan mudah menggunakannya? 10. Apakah terdapat kamera pengawas di dalam ruangan server? 11. Apakah semua aset perangkat komputer dan hardware pendukung pada KKG sudah di-cover dengan asuransi? 12. Apakah ada pengamanan untuk mengantisipasi virus? 13. Apakah setiap komputer menggunakan program anti virus? Jika ya, program anti virus apa yang digunakan? Dengan lisensi Trend Micro. 14. Apakah anti virus di-update secara periodik? On-line setiap hari.
102 No PERTANYAAN YA TIDAK KETERANGAN 15. Apakah ada pengamanan untuk mengantisipasi hacking? Jika ya, menggunakan apa? a. Password? b. Petugas administrator keamanan? c. Firewall? 4.2.1.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian sistem keamanan pada SAPK KKG yang berjalan adalah bahwa perusahaan telah memiliki media penyimpanan dokumen dalam bentuk database yang disimpan dalam server serta arsip laporan yang disimpan dalam file cabinet. KKG sudah melakukan backup secara rutin yaitu satu hari sekali tiap malam dalam bentuk tape yang disimpan di dua tempat berbeda, yaitu Graha Bentara Budaya dan kantor di Gajah Mada. Penanganan masalah terhadap SAPK pada KKG ditangani secara preventive dan corrective. Tindakan preventive dilakukan dengan menginstall antivirus, melakukan update
103 secara rutin dan memasang firewall. Sedangkan tindakan corrective dilakukan bila terjadi masalah atau terdapat keluhan (complain) dari user. Di dalam ruangan server SAPK KKG telah terdapat pengamanan terhadap kebakaran, air, listrik, dan suhu. Pengamanan terhadap kebakaran dengan menggunakan detektor asap, alarm, sprinkler, serta penempatan tabung pemadam kebakaran di tempat strategis. Pengamanan terhadap air dilakukan dengan menempatkan server di lantai empat dimana atapnya terbuat dari beton sehingga mencegah terjadinya kebocoran serta banjir. Pengamanan terhadap listrik dilakukan dengan menggunakan UPS untuk mengatasi masalah tegangan listrik. Penanganan terhadap suhu dilakukan dengan menggunakan Air Conditioner (AC). KKG telah mempunyai prosedur darurat untuk penanganan bencana alam dan keadaan darurat, mempunyai pintu/tangga darurat yang diberi tanda dengan jelas sehingga karyawan dengan mudah menggunakannya, serta mempunyai kamera pengawas di dalam ruangan server. Semua aset perangkat komputer dan hardware pendukung yang terdapat pada KKG belum di-cover oleh asuransi. Perusahaan telah melakukan pengamanan untuk mengantisipasi virus pada komputer server dengan
104 menggunakan antivirus Trend Micro berlisensi yang di-update secara on-line setiap harinya, sedangkan pada komputer client antivirus di-update setiap satu minggu sekali pada hari Jumat. Pengamanan juga dilakukan terhadap hacking yaitu dengan penggunaan password serta firewall. 4.2.1.3 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.2 Matriks Pengendalian Manajemen Keamanan NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Masih ditemukannya Dapat mengakibatkan: Menggunakan anti Bagian TI melakukan Satu User dan virus, terutama virus a. Kerusakan hard disk. virus yang dapat penginstallan antivirus yang minggu. bagian TI. lokal, yang dapat b. Kehilangan data. mendeteksi adanya dapat mendeteksi virus lokal, masuk ke dalam sistem c. Kinerja sistem yang virus lokal misalnya seperti antivirus Norman yang disebabkan oleh menurun. seperti antivirus yang dapat di-download flash disk atau disket, d. Terganggunya Norman dari melalui dikarenakan aktivitas user. www.vaksin.com. www.norman.com/download/ ketidakmampuan anti trial_versions/end-us virus yang digunakan saat ini (Trend Micro) untuk mendeteksi adanya virus lokal. 105
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 2. Aset perangkat Bila terjadi kerusakan Semua aset perangkat Pihak manajemen Satu bulan Pihak komputer dan fatal atau kehilangan komputer dan menghubungi pihak asuransi manajeme hardware pendukung perangkat komputer, hardware pendukung dan melakukan negosiasi n pada KKG tidak di- maka menyebabkan pada KKG di-cover untuk menggunakan asuransi cover dengan asuransi. pengeluaran biaya dengan asuransi. mereka untuk meng-cover untuk pembelian semua aset perangkat kembali perangkat komputer dan hardware tersebut. pendukung yang ada di KKG 106
107 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian manajemen keamanan adalah low. 4.2.2 Pengendalian Manajemen Operasi (Operation Management Controls) 4.2.2.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian manajemen operasi secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut: Tabel 4.3 Check List Pengendalian Manajemen Operasi No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah pihak yang menggunakan SAPK diberi pelatihan terlebih dahulu? Jika ya, berapa lama? Satu hari. 2. Apakah perusahaan memiliki teknisi sendiri yang dapat memperbaiki sistem (hardware dan software) jika terjadi kerusakan? 3. Apakah terdapat batasan waktu operasional Dalam satu periode pelaksanaan SPK? pelaksanaan.
108 No PERTANYAAN YA TIDAK KETERANGAN 4. Apakah SAPK dikelola secara: a. Sentralisasi? b. Desentralisasi? 5. Apakah perusahaan Pengecekan dan melakukan pengecekan dan perawatan terhadap perawatan terhadap hardware dan software hardware dan software secara periodik? dilakukan setiap tiga bulan sekali. 6. Apakah perusahaan senantiasa perbaikan pengembangan melakukan dan terhadap Dilakukan review tiap tahun oleh bagian PM dan SAPK secara berkala? TI 7. Apakah perusahaan menyimpan data-data perusahaan dalam jangka waktu yang lama? 8. Apakah terdapat help desk untuk SAPK?
109 4.2.2.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian manajemen operasi pada SAPK KKG yang berjalan adalah bahwa pihak yang akan menggunakan SAPK akan diberi pelatihan selama satu hari. Perusahaan telah melakukan pemeliharaan, pengecekan perawatan, dan perbaikan terhadap hardware dan software yang dilakukan secara periodik oleh teknisi-teknisi dari bagian TI yang kurang lebih berjumlah dua orang. Perusahaan juga melakukan perbaikan dan pengembangan terhadap SAPK secara berkala yaitu dengan melakukan review setiap tahun oleh bagian PM dan TI. Perusahaan menetapkan batasan waktu operasional pelaksanaan SPK yaitu dalam satu periode pelaksanaan yang dikelola secara sentralisasi. 4.2.2.3 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.4 Matriks Pengendalian Manajemen Operasi NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Pelatihan yang Masih terdapatnya Memberikan Bagian TI dan bagian PM Satu bulan. Bagian diberikan untuk karyawan yang belum pelatihan tentang memberikan pelatihan PM dan aplikasi PK hanya mengerti dan SAPK kurang lebih kepada karyawan yang Kepala dilakukan selama satu menguasai SAPK, tiga hari. berhubungan dengan SAPK Bagian TI. hari. sehingga dapat selama kurang lebih tiga hari. menyebabkan resiko kesalahan yang lebih besar. 110
111 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian manajemen operasi adalah low. 4.3 Pengendalian Aplikasi (Application Controls) 4.3.1 Pengendalian Batasan (Boundary Controls) 4.3.1.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian batasan secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut: Tabel 4.5 Check List Pengendalian Batasan (Boundary Controls) No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah perusahaan telah memiliki kebijakan pemberian akses terhadap user, modifikasi akses dan penghapusan akses? 2. Apakah ditetapkan syarat tertentu untuk dapat diberikan hak akses ke sistem? 3. Apakah terdapat pembatasan akses terhadap sistem dan Orang yang ditugaskan manager PSDM di setiap unit untuk melakukan input.
112 No PERTANYAAN YA TIDAK KETERANGAN program PK? 4. Apakah hanya karyawan bagian tertentu saja yang dapat mengakses intranet? 5. Apakah diperlukan identifikasi akses terhadap SAPK? Jika ya, metode apa yang digunakan? a. Username? b. Sidik jari? c. Suara? d. Pola retina? e. Password? 6. Apakah terdapat jangka waktu validasi untuk password? 7. Apakah terdapat batasan maksimum untuk kesalahan memasukkan password? 8. Apakah terdapat ketentuan panjang minimum untuk
113 No PERTANYAAN YA TIDAK KETERANGAN password? Enam digit 9. Apakah password yang diketikkan tidak terlihat (invisible)? Dalam bentuk bullet (bulatan) 10. Apakah sistem melakukan enkripsi atas password user? Jika ya, a. Tehnik cryptographic apa yang digunakan? Transposition ciphers Substitution ciphers Product ciphers b. Siapa saja yang memiliki Kepala Bagian TI kemampuan untuk mendeskripsi? 11. Apakah ada history password yang telah digunakan? 12. Apakah dalam penggunaan password dilakukan dengan kombinasi? Jika ya, metode apa yang digunakan:
114 No PERTANYAAN YA TIDAK KETERANGAN a. Alphabet, digit, tanda baca? b. Karakter campuran lainnya? 13. Apakah ada program khusus yang mendeteksi adanya kata-kata sederhana atau Campuran alphabet dan numeric berhubungan dengan data user yang bersangkutan, dengan data yang di-entry ke password? 14. Apakah terdapat error message bila username dan password yang dientry tidak valid? 15. Apakah dilakukan penghapusan username bagi pegawai yang telah resign? 16. Apakah terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama menggunakan aplikasi?
115 No PERTANYAAN YA TIDAK KETERANGAN 17. Apakah terdapat program untuk merekam kegiatan dalam sistem? Sistem hanya akan merekam perubahan data yang dibuat, user yang menggunakan, tanggal, serta waktu peng-entryan. Jika ya, siapa saja yang Kepala Bagian TI. Akan mengetahui program tetapi data dapat tersebut? dikeluarkan dibutuhkan. apabila 4.3.1.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian batasan pada SAPK KKG yang berjalan adalah bahwa perusahaan telah memiliki kebijakan pemberian akses terhadap user, modifikasi akses dan penghapusan akses dengan menetapkan syarat tertentu yaitu orang yang ditugaskan manager PSDM di setiap unit untuk melakukan input. Proses pengidentifikasian SAPK, perusahaan telah menggunakan username dan password. Password yang digunakan memiliki panjang minimum enam digit dengan menggunakan kombinasi alphabet dan numeric yang diketikkan
116 invisible dalam bentuk bullet. Sistem melakukan enkripsi atas password user dengan tehnik transposition ciphers dan pihak yang dapat mendeskripsinya adalah Kepala Bagian TI. Perusahaan juga telah melakukan penghapusan username bagi pegawai yang telah resign. 4.3.1.3 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.6 Matriks Pengendalian Batasan (Boundary Controls) NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Tidak terdapat jangka Pihak yang tidak a. Dilakukan Bagian TI mengupdate Satu Kepala waktu validasi untuk berwenang dapat penggantian sistem sehingga sistem dapat minggu. bagian TI. password. mengakses sistem password setiap menampilkan warning untuk sehingga dapat tiga bulan sekali penggantian password setiap menggunakan data dengan 3 bulan yang harus dilakukan secara tidak menampilkan oleh user. bertanggung jawab. peringatan melakukan penggantian password. untuk b. Tidak boleh menggunakan 117
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek password sama sebelumnya yang yang seperti atau pernah dipakai. 2. Tidak terdapat batasan Akan terbuka Membuat batasan Bagian TI melakukan update Satu Kepala maksimum untuk kesempatan bagi pihak- maksimum untuk sistem sehingga sistem dapat minggu. Bagian TI. kesalahan memasukkan pihak yang ingin kesalahan membatasi kesalahan password. mengakses sistem memasukkan pemasukkan password dengan mencoba-coba password sebanyak sebanyak tiga kali serta memasukkan password tiga kali. menambahkan secondary berulang kali sehingga a. Bila untuk ketiga password. memungkinkan pihak kalinya password 118
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek yang tidak berwenang tersebut salah, dapat mengakses sistem akan sistem aplikasi tersebut. terkunci dan meminta secondary password. b. Setelah user memasukkan secondary password dengan benar, sistem akan meminta primary password 119
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek yang baru. c. Apabila user salah memasukkan secondary password, maka sistem akan terkunci dan user harus mengkonfirmasika nnya ke bagian TI. 3. Tidak terdapat kick off Ada pihak lain yang Menjadikan sistem Bagian TI meng-update Satu Kepala user bila tidak ada dapat menggunakan agar dapat sistem sehingga dapat minggu. bagian TI. kegiatan (transaksi) SAPK tanpa melakukan melakukan kick off dalam 120
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek selama menggunakan sepengetahuan user kick off dalam waktu waktu tiga menit. aplikasi. yang berwenang pada saat user tersebut tiga menit. meninggalkan SAPK tanpa terlebih dahulu melakukan log out. 4. Tidak ada history Pihak yang tidak Merekam semua Bagian TI membuat suatu Tiga bulan. Kepala password yang telah berwenang dan telah password yang record dari semua password Bagian TI digunakan. mengetahui password pernah digunakan yang digunakan user. sebelumnya, dapat oleh user. Bila terjadi pergantian mengakses sistem password, maka password sehingga dapat yang sudah pernah menggunakan data digunakan tidak dapat 121
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek secara tidak digunakan lagi. Sistem akan bertanggung jawab. memunculkan warning box untuk tidak menggunakan password yang sudah pernah digunakan dan menggantinya dengan password yang baru. 5. Tidak terdapat program Pihak yang tidak Membuat program Bagian TI merancang suatu Tiga bulan. Kepala khusus yang berwenang dapat khusus untuk program khusus untuk Bagian TI. mendeteksi adanya dengan mudah mendeteksi adanya mendeteksi kata-kata kata-kata sederhana menembus sistem dan kata-kata sederhana sederhana yang berhubungan atau berhubungan menggunakannya yang berhubungan dengan user untuk password, dengan data user yang dengan sewenang- dengan user yang dan kemudian dienkripsi. bersangkutan, dengan wenang. digunakan untuk 122
SARAN TINDAK MONITOR NO TEMUAN DAMPAK REKOMENDASI LANJUT Jk. Waktu Subjek data yang di-entry ke password. password 6. SAPK dapat diakses Kebocoran kerahasiaan Membatasi akses Bagian TI meng-update Dua bulan. Kepala oleh dua komputer data PK penggunaan SAPK sistem dengan hanya Bagian TI. yang berbeda dengan pada komputer mengijinkan satu username satu username pada dengan satu digunakan hanya untuk satu saat bersamaan. username, satu komputer. komputer. 123
124 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian batasan (boundary) adalah high. 4.3.2 Pengendalian Masukan (Input Controls) 4.3.2.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian masukan secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut: Tabel 4.7 Check List Pengendalian Masukan (Input Controls) No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode data input yang digunakan untuk pengisian aplikasi PK menggunakan: a. Key boarding? b. Direct reading? c. Direct entry? 2. Apakah untuk pengisian aplikasi PK membutuhkan dokumen sumber? Berupa form PK yang sudah terisi.
125 No PERTANYAAN YA TIDAK KETERANGAN 3. Apakah dokumen sumber yang di-input mendapat otorisasi terlebih dahulu? 4. Apakah suatu pengkodean khusus digunakan untuk mengidentifikasikan masingmasing database PK PSDM unit? Jika ya, sistem pengkodean yang digunakan: a. Serial codes? b. Block sequence codes? c. Hierarchical codes? d. Association codes? 5. Apakah hasil form yang dihasilkan di-input secara manual? 6. Apakah pengorganisasian layar telah berjalan dengan baik? Diotorisasi oleh penilai, atasan penilai dan karyawan yang dinilai.
126 No PERTANYAAN YA TIDAK KETERANGAN 7. Apakah tampilan warna membantu membedakan setiap icon dan tampilan layar? 8. Apakah tampilan warna pada layar input dapat melelahkan user? 9. Apakah tampilan warna pada layar input dapat menarik perhatian user? 10. Apakah waktu respon yang diberikan sistem: a. Cepat? b. Lambat? 11. Apakah input data dilakukan oleh orang tertentu saja? Oleh bagian PSDM 12. Apakah terdapat tenggang waktu pada saat form aplikasi PK yang telah terisi di-input dalam SAPK?
127 No PERTANYAAN YA TIDAK KETERANGAN 13. Validasi input data yang digunakan pada NIK di initial screen: Field check File check Batch check Record check 14. Apakah SAPK akan memberikan respon jika terjadi kesalahan dalam validasi input? 15. Apabila terjadi kesalahan dalam peng-input-an, apakah kesalahan tersebut dapat dideteksi dengan cepat? 16. Apakah terdapat error message jika terjadi kesalahan input pada field BOBOT atau SCORE? Jika ya, apakah error message tertera dengan jelas? Muncul warning box Muncul warning box Misalnya jika bobot atau skor diisi dengan alphabet, bukan numeric.
128 No PERTANYAAN YA TIDAK KETERANGAN 17. Apakah menu yang ada pada tampilan aplikasi telah digunakan seluruhnya? Jika ya, apa yang memegang peran penting dalam NIK (Nomor Induk Karyawan) pengisisan aplikasi PK? 4.3.2.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian masukan pada SAPK KKG yang berjalan adalah bahwa metode data input yang digunakan untuk pengisian aplikasi PK menggunakan key boarding. Dalam pengisian aplikasi PK membutuhkan dokumen sumber berupa form PK yang sudah terisi. Dokumen sumber yang di-input harus diotorisasi terlebih dahulu oleh penilai masing-masing karyawan. KKG menggunakan suatu pengkodean khusus untuk mengidentifikasi masing-masing database PK PSDM unit yaitu dengan menggunakan sistem pengkodean serial codes.
129 Dalam pengorganisasian layar pada SAPK telah berjalan dengan baik dengan tampilan warna yang dapat membantu membedakan setiap icon pada layar. Peng-input-an data dilakukan hanya oleh orang-orang di bagian PSDM. Terdapat tenggang waktu pada saat form aplikasi PK yang telah terisi di-input dalam SAPK. Validasi input data yang digunakan pada NIK pada initial screen adalah menggunakan field check dan bila terjadi kesalahan dalam validasi input, maka sistem akan merespon dengan menampilkan warning box. Kesalahan dalam peng-input-an dapat dideteksi dengan cepat dengan menampilkan warning box. 4.3.2.3 Tampilan Menu Tampilan layar input (initial screen) pada SAPK adalah sebagai berikut:
130 Gambar 4.1 Tampilan Aplikasi Penilaian Karya Sumber: Direktorat PSDM
131 Gambar 4.2 Tampilan Field Untuk Penilaian Sumber: Direktorat PSDM
132 Gambar 4.3 Tampilan Field Periode Sumber: Direktorat PSDM
133 a. Pemasukan data pada aplikasi input SAPK menggunakan dokumen sumber yang berupa form PK. b. Metode input yang digunakan pada aplikasi input SAPK adalah keyboarding. c. Layout yang digunakan pada aplikasi ini menggunakan model horizontal. d. Pada menu perancangan form SAPK, instruksi input yang digunakan berupa menu driven language. e. Sistem pengkodean yang digunakan pada field NIK adalah serial codes. 4.3.2.4 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.8 Matriks Pengendalian Masukan (Input Controls) NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Pada awal peng-input- Tingkat terjadinya Sistem secara Bagian TI meng-update Tiga bulan. Bagiam an, NIK penilai dan kesalahan dalam peng- otomatis database karyawan dengan PSDM NIK atasan penilai input-an lebih besar menampilkan NIK menambahkan NIK serta Unit dan harus di-input secara sehingga tidak penilai dan NIK nama penilai dan atasan Kepala manual dan jika terjadi terjaminnya kebenaran atasan penilai beserta penilai sehingga ketika NIK Bagian TI kesalahan dalam peng- informasi. namanya ketika NIK pegawai dimasukkan NIK input-an, tidak karyawan di-input. serta nama penilai dan atasan terdeteksi dan tidak memunculkan warning penilai dapat secara otomatis muncul. box atau error message. 134
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 2. Sistem menerima dua Informasi yang Membuat sistem Bagian TI meng-update Dua bulan. Kepala input-an yang sama disimpan tidak hanya menerima satu sistem agar sistem tidak bagian TI pada waktu bersamaan. terjamin kevalidannya. hasil input untuk NIK dapat menerima bila terjadi yang sama dalam peng-input-an NIK yang waktu bersamaan. sama dalam waktu bersamaan dengan memunculkan warning box. 135
136 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian masukan (input) adalah medium. 4.3.3 Pengendalian Pemrosesan (Processing Controls) 4.3.3.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian pemrosesan secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut: Tabel 4.9 Check List Pengendalian Pemrosesan (Processing Controls) No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat deteksi error apabila terjadi kesalahan dalam pemrograman? a. Jika ya, apakah terdapat error message yang jelas? b. Jika tidak, apakah sistem masih dapat berjalan dengan baik? 2. Apakah terdapat deteksi error apabila terjadi kesalahan dalam Total Bobot maupun Total Nilai Akhir?
No PERTANYAAN YA TIDAK KETERANGAN 137 a. Jika ya, apakah terdapat error message yang jelas? b. Jika tidak, apakah akan berpengaruh pada perhitungan selanjutnya? 3. Apakah terdapat replika Dilakukan secara komponen (component manual. Masih replication) prosesor untuk dibutuhkan bagian TI melanjutkan pemrosesan jika terjadi kegagalan? 4. Apakah terdapat timing untuk data. me-restore control pada sistem aplikasi PK? 5. Apakah sistem aplikasi PK menggunakan: a. Real memory? b. Virtual memory? 6. Apakah sistem operasi aplikasi PK telah berjalan dengan baik? 7. Apakah terdapat error message jika terjadi
No PERTANYAAN YA TIDAK KETERANGAN kecurangan maupun kesalahan 138 dalam sistem operasi aplikasi PK? 8. Apakah sistem aplikasi PK menggunakan monitor acuan (Reference monitor) untuk memastikan keamanannya? 9. Apakah terdapat pengecekan dalam pemrosesan: a. Field Jika ya, dilakukan dengan: Overflow? Range? b. Record Jika ya, dilakukan dengan: Reasonableness? Sign? c. File Jika ya, dilakukan dengan: Crossfooting? Control totals?
No PERTANYAAN YA TIDAK KETERANGAN 10. Apakah terdapat gaya 139 pemrograman khusus yang digunakan pada pembuatan sistem aplikasi PK? Jika ya, menggunakan gaya pemrograman: a. Handle rounding correctly? b. Print run-to-run control totals? c. Understand hardware / software / numerical hazzard? d. Minimize human intervention? e. Use redundant calculation? f. Avoid closed routines?
140 4.3.3.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian pemrosesan pada SAPK KKG yang berjalan adalah bahwa terdapat deteksi error apabila terjadi kesalahan dalam pemrograman dan terdapat error message yang jelas. Sistem juga mampu mendeteksi kecurangan maupun kesalahan dalam sistem operasi dengan memunculkan error message. Sistem aplikasi PK pada KKG menggunakan real memory serta virtual memory. Untuk pengecekan pemrosesan pada Field dilakukan dengan tipe pengecekan overflow untuk membatasi jumlah agar tidak lebih dari limit dan range yang digunakan untuk memberikan batasan pada pemrosesan. Sedangkan untuk Record dilakukan dengan tipe pengecekan reasonableness dan untuk File dilakukan dengan tipe pengecekan control totals. Terdapat gaya pemrograman khusus yang digunakan pada pembuatan sistem aplikasi PK yaitu dengan Print run-torun control totals.
141 4.3.3.3 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.10 Matriks Pengendalian Pemrosesan (Processing Controls) NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Tidak terdapatnya Dapat menyebabkan Menggunakan replika Bagian TI memasang replika Dua bulan. Kepala replika komponen kehilangan data dan komponen komponen (component Bagian TI. (component kerusakan sistem. (component replication) pada komputer replication) prosesor replication) sebagai server, baik dengan untuk melanjutkan tindakan preventive multicomputer arsitektur pemrosesan jika terjadi untuk melanjutkan maupun multiprocesor kegagalan. jika terjadi kegagalan dalam sistem. arsitektur. 142
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 2. Tidak terdapat timing Program akan menahan Menggunakan timing Bagian TI membuat setting Satu bulan. Kepala control pada sistem pemakaian procesor dan control pada SAPK. untuk timing control. Bagian TI aplikasi PK. mencegah program lain yang akan menjalankan kegiatannya (hang) 143
144 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian pemrosesan (processing) adalah low. 4.3.4 Pengendalian Keluaran (Output Controls) 4.3.4.1 Pemahaman Struktur Pengendalian Untuk mendapatkan pemahaman dalam struktur pengendalian keluaran secara umum, maka dilakukan pengisian check list pertanyaan sebagai berikut: Tabel 4.11 Check List Pengendalian Keluaran (Output Controls) No PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat prosedur laporan? 2. Apakah setiap laporan yang dihasilkan selalu mencantumkan tanggal dan waktu pencetakan? 3. Apakah terdapat kop surat dan logo perusahaan dalam laporan yang dicetak? 4. Apakah terdapat judul laporan yang jelas di setiap laporan yang dihasilkan? User harus memindahkan laporan yang dihasilkan oleh SAPK ke dalam
145 No PERTANYAAN YA TIDAK KETERANGAN Microsoft Excel untuk dapat memodifikasi. Misalnya menambahkan judul dan pengotorisasi. 5. Apakah terdapat tanda End of File atau yang dapat dipersamakan pada akhir laporan? 6. Apakah terdapat tanggal, user, dan IP compare yang digunakan saat input data pada aplikasi tercetak dalam laporan? 7. Apakah ada copy laporan yang diberikan pada pihak yang berwenang? Jika ya, berapa banyak copy Satu buah laporan yang diberikan? 8. Apakah pada setiap halaman laporan PK tercantum nomor halaman?
146 No PERTANYAAN YA TIDAK KETERANGAN 9. Apakah personil yang Dalam soft copy hanya bertanggungjawab atas berupa foot note dikeluarkannya laporan dicantumkan pada masingmasing laporan? 10. Apakah pada setiap laporan PK disediakan kolom tanda tangan untuk yang membuat laporan? 11. Apakah pada setiap laporan PK disediakan kolom tanda tangan untuk pihak yang menyetujui laporan? 12. Apakah pendistribusian laporan PK dilakukan tepat waktu? Siapa sajakah yang mendapatkan laporan PK tersebut? 13. Apakah ada Pihak yang menyetujui laporan adalah Direktur Kelompok. Masing-masing Direktur Kelompok dan Direktur PSDM. pendokumentasian laporan Disimpan di file cabinet. PK yang dihasilkan?
147 No PERTANYAAN YA TIDAK KETERANGAN 14. Apakah terdapat cadangan salinan laporan PK? 4.3.4.2 Analisis Resiko Pengendalian Dari hasil analisis yang kami lakukan berdasarkan check list yang telah diisi, maka diketahui bahwa pengendalian keluaran SAPK KKG yang berjalan adalah bahwa terdapat prosedur laporan yang dimana setiap laporan yang dihasilkan selalu mencantumkan nomor halaman. Namun tidak terdapat tanggal dan waktu pencetakan, kop surat dan logo perusahaan, judul laporan yang dihasilkan, serta end of file atau yang dapat dipersamakan pada akhir laporan. User harus memindahkan laporan yang dihasilkan oleh SAPK ke dalam Microsoft Excel untuk dapat dimodifikasi. KKG juga tidak mencetak tanggal, user, dan IP compare yang digunakan saat input data pada aplikasi dalam laporan. Pendistribusian laporan PK dilakukan tepat waktu yang diberikan pada masing-masing Direktur Kelompok dan Direktur PSDM. Perusahaan juga membuat copy laporan yang diberikan pada pihak yang berwenang sebanyak satu buah sebagai cadangan salinan laporan PK.
148 4.3.4.3 Hasil Audit Setelah melakukan pengumpulan dan pengevaluasian bukti terhadap SAPK pada KKG, maka diperoleh hasil audit dalam matriks sebagai berikut:
Tabel 4.12 Matriks Pengendalian Keluaran (Output Controls) NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek 1. Tidak dicetaknya judul Identitas laporan Membuat judul Bagian TI menambahkan Satu minggu Bagian laporan pada setiap menjadi tidak jelas laporan pada setiap format laporan baku pada Direktorat laporan yang dihasilkan sehingga dapat laporan yang akan menu dalam SAPK. PSDM oleh SAPK. disalahgunakan. dicetak. 2. Tidak dicetaknya Laporan dapat dicetak Mencantumkan Bagian TI menambahkan Satu minggu Bagian tanggal dan waktu berkali-kali tanpa tanggal dan waktu pada format laporan baku Direktorat pencetakan pada diketahui kapan dan pencetakan setiap untuk menampilkan tanggal PSDM laporan. untuk apa laporan laporan dibuat. dan waktu pencetakan tersebut dicetak. laporan. 3. Tidak dicetaknya Perusahaan tidak tahu Dicantumkannya Bagian TI menambahkan Satu minggu Bagian tanggal, user, dan IP kapan kesalahan tanggal, user, dan IP pencantuman pencetakan PM dan compare yang terjadi dan siapa yang compare yang tanggal, user, dan IP Kepala 149
NO TEMUAN DAMPAK REKOMENDASI SARAN TINDAK MONITOR LANJUT Jk. Waktu Subjek digunakan saat input bertanggung jawab digunakan saat input compare saat peng-input-an bagian TI data pada aplikasi di apabila terjadi data pada aplikasi pada format layout laporan. laporan. kesalahan. dalam laporan yang dicetak. 4. Tidak terdapatnya Dapat terjadi Membuat tanda End Bagian TI merancang format Satu minggu Bagian tanda End of File atau kehilangan halaman of File atau tanda laporan tanda End of File Direktorat tanda yang dapat yang tidak diketahui. yang dapat yang secara otomatis muncul PSDM dipersamakan pada dipersamakan pada pada saat pembuatan laporan. akhir laporan. akhir laporan seperti: format penulisan Page X of Y, End of Report. 150
151 Dari hasil yang didapat, maka dapat disimpulkan bahwa tingkat resiko terhadap pengendalian keluaran (output) adalah medium. 4.3 Laporan Audit Adapun laporan audit atas SAPK pada KKG adalah sebagai berikut: