4. analisa data dan pembahasan 4.1. gambaran umum … · 2013. 3. 11. · struktur organisasi...

31 Universitas Kristen Petra

4. ANALISA DATA DAN PEMBAHASAN

Pada bab ini akan dikemukakan tentang temuan lapangan yang telah

didapatkan oleh peneliti selama melakukan penelitian. Setelah akan dilakukan

analisis terhadap temuan lapangan yang telah didapatkan tersebut.

Pembahasannya adalah sebagai berikut.

4.1. Gambaran Umum Perusahaan

Objek dalam penelitian ini adalah CV. Semesta Jaya Surabaya, sebuah

perusahaan yang bergerak dalam bidang distribusi. Untuk mendukung aktivitas

bisnisnya yang terus mengalami perkembangan, CV. Semesta Jaya Surabaya

mengaplikasikan Sistem Informasi Terkomputerisasi untuk mendukung aktivitas

transaksinya. Terdapat empat bagian utama yang menggunakan sistem informasi

terkomputerisasi pada perusahaan ini, yaitu bagian penjualan barang, user pada

bagian gudang, user pada bagian administrasi dan IT manager Meskipun

mengunakan sistem informasi terkomputerisasi, akan tetapi pihak perusahan tidak

mempunyai divisi yang mempunyai tanggung jawab untuk untuk mengurusi

masalah sistem informasi dan komputer yang ada di perusahaan.

Untuk mendapatkan gambaran yang lebih jelas tentang bagian-bagian

yang ada di perusahaan, pada bagian berikut ini ditampilkan struktur organisasi

perusahaan beserta dengan dekripsi kerja serta tanggung jawab dari masing-

masing bagian tersebut. Struktur organisasi perusahaan dapat dilihat pada Gambar

Tugas dan tanggung jawab masing-masing bagian adalah sebagai berikut:

A. Direktur

Adapun tugas dan tanggung jawab dari seorang direktur adalah sebagai

berikut:

1. Memimpin dan mengkoordinasikan seluruh kegiatan perusahaan.

2. Merencanakan aktifitas perusahaan dalam arti menyeluruh.

3. Mengatur dan mengawasi pelaksanaan tugas dari bawahan.

4. Meneteapkan staf pada jabatan yang sesuai.

5. Memimpin dan mengurus terlaksananya rencana perusahaan.

6. Mewakili perusahaan kedalam dan keluar.

http://www.petra.ac.id/

http://dewey.petra.ac.id/dgt_directory.php?display=classification

http://digilib.petra.ac.id/help.html


Gambar 4.1. Struktur organisasi IT

Sumber: Data internal perusahaan

B. Manajer Operasional

Adapun tugas dan tanggung jawab dari manajer operasional adalah sebagai

berikut:

1. Bertanggung jawab atas kegiatan operasional perusahaan

2. Melakukan pemantauan, pengarahan dan pegawasan kerja karyawan

3. Membuat perencanaan kerja untuk kegiatan operasional

4. Bertanggung jawab kepada Direktur

C. Kepala Bagian Administrasi

Adapun tugas dan tanggung jawab kepala administrasi adalah sebagai berikut:

1. Bertanggung jawa atas kegiatan administrasi di perusahan

2. Bertanggung jawab semua aktivitas transaksi yang ada di perusahaan

3. Bertanggung jawab kepada Direktur.

4. Membuat laporan pertanggung jawaban tentang penggunaan kas.

Direktur

Manajer

Operasional

Kepala bagian

Administrasi

IT Manager Bagian gudang

Bagian

penjualan

Bagian

Administrasi

Bagian

keuangan

Operator SI

Bagian

Administrasi

Operator SI

Bagian

Penjualan

Operator SI

Bagian

Gudang

Database

administrator

Data Librarian

(Outsource)

Maintenance

(Outsource)

Programmer

(Outsource)

Sistem Analysis

(Outsource)


D. Administrasi

Adapun tugas dan tanggung jawab dari administrasi adalah sebagai:

1. Bertanggung jawab dalam menginput data pelanggan, pemesan,

pembayaran serta pembuatan laporan keuangan

2. Bertanggung jawab terhadap ketersedian informasi stock accounting (stok

barang siap jual) dan memberikan informasi pemesanan ke gudang

3. Memberikan informasi ke gudang bila ditemukan suatu kejadian yang

memiliki pengaruh pada perhitungan inventory

4. Mengontrol pengiriman barang dari gudang dengan melakukan cross

check dokumen pengiriman barang (DO) setiap hari.

E. Bagian Gudang

Uraian tugas dan tanggung jawab Kepala Gudang adalah sebagai berikut.

1. Mengatur setiap barang yang yang akan disimpan ataupun dikeluarkan

2. Mencatat laporan data barang

3. Penyetujuan pengambilan barang yang akan dikeluarkan

4. Mengecek kualitas dan kuantitas barang yang ada di gudang

F. Bagian Penjualan

Uraian tugas dan tanggung jawab Bagian Penjualan adalah sebagai berikut.

1. Mempromosikan barang yang dijual perusahaan kepada para pelanggan

2. Memberikan pelayanan dimulai dari proses pra penjualan sampai dengan

barang terjual

3. Melakukan kegiatan administrasi penjualan sesuai dengan ketentuan yang

dilakukan perusahaan

4. Bertanggung jawab menagih pembayaran nota bon

5. Membuat laporan penjualan kepada database.

G. IT Manager

Adapun tugas dan tanggung jawab IT manager adalah sebagai berikut:

1. Melakukan perencanaan serta pengotorisasian dalam pengembangan serta

perawatan sistem yang terjadi di dalam perusahaan

2. Menyusun prosedur dan kebijakan pemeliharaan dan perbaikan sistem

3. Bertanggung jawab terhadap segala aktivitas perubahan yang terjadi dalam

sistem yang ada di dalam perusahaan


4. Menentukan kebijakan user id dan password serta pemberian batas

otorisasi atas username tersebut.

4.2. Temuan Lapangan

Pada sub bab temuan lapangan ini akan dikemukan kondisi general

control yang selama ini telah diterapkan di perusahaan.


4.2.1. Pengendalian atas Struktur Fungsi Organisasi Teknologi Informasi

Bagian pertama dalam pengendalian umum adalah pengendalian atas struktur fungsi organisasi teknologi

informasi. Tujuan dari pengendalian ini adalah untuk memastikan bahwa setiap individu yang terlibat dalam

organisasi IT perusahaan melakukan dan mengerjakan tugasnya masing-masing dan tidak ada perangkapan

fungsi sehingga tidak ada penyalahgunaan atas otoritas yang telah diberikan.

Tabel 4.1. Audit pengendalian atas Struktur Fungsi Organisasi Teknologi Informasi

Pertanyaan

Ada Bukti audit

Y

a Tdk Wawancara

Observas

i Uji Coba Dokumentasi

1. Adanya struktur

organisasi pembagian

fungsi tugas yang

diterjemahkan dalam

organisasi secara tertulis

Ada pembagian

fungsi tugas

secara tertulis

Struktur

organisasi hal 33

2. Adanya deskripsi tugas

dari masing masing

fungsi yang

diimplementasikan

Terdapat

pembagian tugas

dari masing-

Job description

hal 34


Pertanyaan

Ada Bukti audit

Ya

Tdk Wawancara Observas


dalam organisasi masing fungsi

organisasi

3. Apakah terdapat

pemisahan antara

fungsi pengembang

sistem dengan fungsi

operator komputer?

Terdapat

pemisahan antara

fungsi

pengembang

sistem dengan

fungsi operator

komputer

4. Apakah

administrator database

terpisah dari fungsi

yang lain?

Administrator

database

dipegang oleh IT

manager


Pertanyaan

Ada Bukti audit

Ya

Tdk Wawancara Observas


5. Terdapat pemisahan

antara pengembang

sistem baru dan fungsi

maintenance

(perawatan)

Perusahaan tidak

mempunyai

fungsi

pengembang

sistem baru

6. Apakah terdapat

pemisahan antara data

library (pengumpul

data manual) dengan

fungsi lainnya

Data Library

dipegang oleh

pihak outsource

Dari hasil audit yang telah dilakukan untuk mengetahui pengendalian umum yang dilakukan terkait

dengan struktur fungsi organisai teknologi informasi, dapat disampaikan deskripsinya sebagai berikut:


1. Adanya pembagian fungsi dan deskripsi tugas dalam organisasi didalam perusahaan. Kebijakan yang terkait

struktur fungsi organisasi yang dimiliki oleh perusahaan dibuat secara tertulis, akan tetapi kebijakan tersebut

masih sederhana, misalnya tentang tugas dan tanggung jawab masing-masing bagian seperti operator, teknisi

ataupun bagian data. Terdapat uraian tertulis tentang tugas serta tanggung jawab masing-masing bagian

tersebut, akan tetapi uraian tugas tersebut tidak lengkap, banyak uraian yang tidak tertera dalam draft, tetapi

disampaikan langsung oleh atasan.

2. Pihak perusahaan menggunakan jasa pihak luar (pihak outsourching) sebagai Programer, Sistem Analysis,

Maintenance dan Data library. Sementara itu operator komputer ditunjuk dari beberapa karyawan yang ada

di perusahaan yang kompeten untuk mengoperasikan komputer (sistem informasi) yang ada di perusahaan.

3. Administrator database adalah orang yang bertanggung jawab untuk mengurusi database pada sistem

informasi perusahaan. Administrator database dilakukan oleh IT manager yang juga bertugas untuk

melakukan maintenance hardware dan software komputer. IT Manager tidak melakukan maintenance

terhadap sistem informasi komputer karena maintenance sistem informasi dilakukan oleh pihak luar

(outsourching).


4. Perusahaan tidak memiliki bagian khusus untuk melakukan fungsi pengembangan sistem informasi yang

baru, begitu juga perusahaan tidak mempunyai bagian yang melaksanakan fungsi untuk melakukan fungsi

perawatan atau maintenance komputer. Kedua fungsi tersebut, yaitu pengembangan sistem baru serta

maintenance atau perawatan sistem informasi yang lama dilakukan oleh pihak luar, yaitu pihak outsource.

5. Pihak perusahaan tidak mempunyai bagian/ karyawan yang bertugas menjadi library atau pengumpul data

manual. Saat ini fungsi library dilakukan oleh pihak outsource.

4.2.2. Pengendalian atas Pusat Komputer

Bagian kedua dalam pengendalian umum adalah pengendalian atas pusat komputer. Tujuan dari

pengendalian adalah untuk melindungi pusat komputer beserta asset-asetnya serta mencegah dan mendeteksi

berbagai ancaman secara fisik dari pihak maupun program yang tidak terotorisasi yang dapat merusak sistem.

Tabel 4.2. Audit pengendalian atas Pusat Komputer

Pertanyaan

Ada Bukti audit

Y

a Tdk Wawancara Observasi Uji Coba Dokumentasi

1. Apakah lokasi server Lokasi server


Pertanyaan

Ada Bukti audit

Ya

Tdk Wawancara Observasi Uji Coba Dokumentasi

berada jauh dari jendela

luar

berada

bersebelahan

dengan ruangan

direktur, yaitu di

bagian belakang

dalam.

2. Apakah lokasi server

terletak pada lantai atas

atau lantai dua sehingga

bebas dari banjir

Lokasi server

berada di lantai 1,

hanya saja berada

di atas rak server

3. Apakah ruang server

tidak terletak di dekat

lorong yang sering

dipakai lalu lalang orang

Ruang server

tidak berada dekat

lorong yang


Pertanyaan

Ada Bukti audit

Ya


sering dipakai

lalu lalang orang


komputer tidak

menyolok tempatnya

Penampilan ruang

server dari luar

seperti ruang

yang lain


tidak menunjukkan

tanda-tanda sebagai

ruang komputer

Ruang server

seperti ruang

yang lain, tidak

menunjukkan

tanda-tanda ruang

komputer

6. Apakah ruang server Konstruksi Kontruksi ruang


Pertanyaan

Ada Bukti audit

Ya


(dinding, langit-langit,

lantai) terbuat dari

konstruksi yang tahan

api

bangunan

perusahaan

terbuat dari

beton.

server sama

seperti ruang

lainnya.

7. Apakah kabel listrik dan

komunikasi berada di

bawah lantai sehingga

tidak akan terjadi

konsleting

Tidak

semua

kabel listrik

dan

komunikasi

di bawah

lantai tetapi

sudah rapi

ditempel di

Kabel listrik

tertempel rapi di

dinding ruangan.


Pertanyaan

Ada Bukti audit

Ya


dinding dan

resiko

korsleting

lebih kecil.


dijaga oleh satpam dan

dilengkapi dengan

kamera CCTV

Ruang server

tidak dijaga

satpam dan juga

tidak dilengkapi

kamera CCTV

9. Apakah server

dilengkapi dengan Air

conditioning untuk

mengurangi error pada

computer

Ruang server

dilengkapi dengan

AC (hal 74)


Pertanyaan

Ada Bukti audit

Ya



dilengkapi dengan alat

pemadam kebakaran

Ruang server

tidak dilengkapi

dengan alat

pemadam

kebakaran


dilengkapi dengan alarm

kebakaran

Ruang server

tidak dilengkapi

dengan alarm

kebakaran


dilengkapi dengan

Uninterruptible Power

Supply (UPS)

Ruang server

tidak dilengkapi

dengan UPS



dengan Pusat komputer, dapat disampaikan deskripsinya sebagai berikut:

1. Lokasi server berada di sebelah ruangan direktur perusahaan. Lokasi ruangan server ini terletak di sebelah

dalam ruangan sehingga ruangan server sehingga berada jauh dari jendela luar.

2. Lokasi server tidak berada pada lantai dua, akan tetapi lokasi server berada pada lantai 1 karena ruangan

server berada pada lantai 1. Server ditempatkan pada tempat khusus (lemari server) sehingga letak server

lebih tinggi dari lantai. Selama ini belum pernah terjadi kasus ruangan server terkena banjir.

3. Ruangan server berada di sebelah ruangan perusahaan. Ruangan pimpinan terletak di bagian dalam (bagian

belakang) sehingga lorong di dekat ruangan pimpinan tidak sering dipakai untuk lalu lalang orang. Hanya

orang-orang tertentu yang mempunyai kepentingan dengan pimpinan perusahaan saja yang menggunakan

lorong di dekat ruangan server untuk berlalu lalang.

4. Ruang server berada di sebelah ruang pimpinan perusahaan. Ruang server tidak diberi keterangan/ tulisan

bahwa ruang tersebut adalah ruang server sehingga orang-orang luar jarang tahu bahwa ruangan tersebut

adalah ruang server.


5. Ruang server dindingnya terbuat dari dinding semen dan lantainya terbuat dari keramik. Sementara itu

langit-langit ruangan server terbuat dari asbes. Di dalam ruangan server juga terdapat bahan-bahan yang

mudah terbakar seperti kertas.

6. Kabel untuk instalasi listrik yang selama ini digunakan oleh perusahaan di bawah lantai. Hanya

perpanjangan instalasi, misalnya kabel yang menghubungkan antara komputer dan stop kontak tidak di

bawah lantai. Sebagian kabel jaringan/ kabel telepon ditutup menggunakan siku logam.

7. Satpam perusahaan berjaga di luar perusahaan, yaitu bagian depan, di bagian pintu masuk dan terkadang di

ruangan depan. Untuk ruangan pimpinan (ruangan server) tidak ada petugas/ satpam khusus yang bertugas

untuk menjaga ruangan server. Ruangan server juga tidak dilengkapi dengan kamera CCTV.

8. Ruang server dilengkapi dengan AC (Air Conditioning).

9. Ruang server tidak dilengkapi dengan alat pemadam kebakaran. Alat pemadam kebakaran terletak di luar (di

depan) ruangan server, yaitu di lorong depan ruang server perusahaan.

10. Dalam ruang server tidak dilengkapi dengan alarm kebakaran. Tombol untuk alarm kebakaran terletak di

dekat alat pemadam kebakaran, yaitu terletak di lorong di depan ruang server perusahaan.

11. Ruang server yang ada tidak dilengkapi dengan UPS.


4.2.3. Pengendalian atas Manajemen Data

Bagian keempat dalam pengendalian umum adalah pengendalian atas manajemen data. Tujuan dari

pengendalian ini adalah untuk mencegah individu yang tidak memiliki otorisasi untuk memeriksa, mengambil,

merusak, atau mengorupsi data organisasi serta memastikan bahwa hilangnya data akibat akses yang tidak sah,

kegagalan peralatan, atau bencana fisik dapat dipulihkan kembali.

Tabel 4.3. Audit pengendalian atas Manajemen Data

Pertanyaan

Ada Bukti audit

Y

a Tdk Wawancara Observasi Uji Coba Dokumentasi

1. Apakah terdapat

pengendalian untuk

akses ke dalam sistem

perusahaan

Terdapat

prosedur log

on untuk

masuk ke

dalam sistem

2. Apakah User hanya User hanya


Pertanyaan

Ada Bukti audit

Ya


dapat membuka data

yang diotorisasi?

dapat

membuka

data yang

diotorisasi

3. Apakah adanya suatu

aktivitas back up secara

periodik?

Back up

dilakukan

sesuai

dengan

kebutuhan,

maksimal 1

bulan sekali.

4. Apakah file back up

yang dimiliki oleh File back up

data


Pertanyaan

Ada Bukti audit

Ya


perusahaan terpisah dari

file aslinya?

perusahaan

terpisah dari

file aslinya.

5. Apakah terdapat of-

premises storage

(bangunan tempat

penyimpanan yang

terpisah dari bangunan

lainnya) dari back up file

dan program

Perusahaan

tidak

mempunyai

bangunan

terpisah yang

digunakan

untuk

menyimpan

back up file

dan program



dengan pengendalian manajemen data, dapat disampaikan deskripsinya sebagai berikut:

1. Seorang user ketika akan masuk ke dalam sistem harus mengikuti prosedur log on, yaitu memasukkan ID

dan password yang telah ditentukan.

2. Seorang user tidak akan dapat membuka semua data, akan tetapi seorang user hanya akan dapat membuka

data yang sesuai dengan hak aksesnya, sesuai dengan otoritasnya masing-masing.

3. Pihak perusahaan tidak mempunyai prosedur yang jelas dalam melakukan back up data. Back up data

dilakukan ketika dirasa perlu untuk melakukan back up data dan proses back up data ini dilakukan oleh IT

manager.

4. File back up data disimpan terpisah dari file aslinya. File asli tersimpan di server sedangkan file back up

dipegang pihak outsource.

4.2.4. Pengendalian atas Sistem Operasi

Bagian ini mendeskripsikan tentang hasil audit atas sistem operasi. Tujuan pengendalian atas sistem

operasi adalah untuk memastikan bahwa hak akses untuk mengakses diberikan secara konsisten dengan


kebutuhan untuk memisahkan fungsi-fungsi berbeda yang ada dalam perusahaan, memastikan bahwa

perusahaan memiliki password policy yang memadai dan efektif untuk mengendalikan akses ke sistem operasi

perusahaan, memastikan IT security yang efektif untuk mencegah masuk dan menyebarnya program yang

bersifat merusak (virus), memastikan bahwa terdapat review yang cukup memadai untuk mencegah dan

mendeteksi penyalahgunaan sistem, dan memastikan bahwa perusahaan menerapkan fault tolerance yang tepat.

Tabel 4.4. Audit pengendalian atas Sistem operasi

Pertanyaan Bukti audit

Y

a Tdk

Wawancara Observ

asi

Uji Coba Dokumentasi

1. Apakah untuk masuk

sistem pengguna harus

memasukkan ID dan

Password

Terdapat log on

untuk masuk ke

dalam sistem

Ketika masuk

sistem harus

memasukkan ID

dan Password (hal

74)

2. Apakah ketika ID dan Ketika ID dan



Y

a Tdk

Wawancara Observ

asi


Password salah akan

muncul kotak pesan

kalau terjadi kesalahan

ketika memasukkan ID

dan Password dan ada

pembatasan pemasukan

ID dan password

Password yang

dimasukkan salah,

muncul kotak

pesan bahwa

terjadi kesalahan

input, akan tetapi

tidak terdapat

pembatasan

pemasukan

password

3. Apakah Password yang

ada diubah secara Tidak ada

pengubahan



Y

a Tdk

Wawancara Observ

asi


berkala oleh user password secara

berkala

4. Apakah user mengetahui

pentingnya keamanan

password dan

mengetahui prosedur

untuk menentukan

password

User mengetahui

pentingnya

keamanan

password

5. Apakah sistem

dilengkapi dengan anti

virus yang memadai dan

memastikan semua

program telah bebas

virus.

Setiap komputer

yang ada

dilengkapi dengan

antivirus gratis.



Y

a Tdk

Wawancara Observ

asi


6. Apakah Anti virus yang

ada selalu mengalami up

date

Anti virus update

otomatis, akan

tetapi karena gratis

sehingga up date

tidak lengkap

7. Apakah Sistem dapat

mendeteksi akses yang

tidak diotorisasi

Sistem tidak dapat

mendeteksi akses

yang tidak

terotorisasi

8. Apakah sistem dapat

melakukan rekontruksi

peristiwa seperti

peristiwa kegagalan

Tidak terdapat

audit log dalam

sistem



Y

a Tdk

Wawancara Observ

asi


sistem (audit log)

9. Apakah ada

prosedur untuk

menanggulangi

pemadaman listrik

Tidak ada genset

untuk

menanggulangi

pemadaman listrik

dan juga

perusahaan tidak

ada UPS


dengan sistem operasi, dapat disampaikan deskripsinya sebagai berikut:


1. Ketika user mengakses sistem informasi perusahaan, akan muncul kotak dialog dimana user diminta untuk

memasukkan ID dan Password. Masing-masing user diberikan ID dan Password yang berbeda-beda.

2. Setelah user atau pengguna memasukkan ID dan Password, kemudian sistem akan melakukan pemeriksaan

terhadap ID dan Password yang telah dimasukkan, apakah betul ataukah salah. Ketika ID dan Password

yang dimasukkan betul, user kemudian akan masuk ke dalam sistem, akan tetapi ketika ID dan Password

yang dimasukkan salah, maka sistem akan memberitahukan bahwa ID ataupun Password yang dimasukkan

salah dan user diminta untuk memasukkan kembali ID dan Password yang baru.

3. User mempunyai hak untuk mengubah password yang dimilikinya. Akan tetapi tidak semua user merubah

password yang ada secara berkala. Pihak perusahaan juga mempunyai akses untuk membuat ID dan

Password, akan tetapi pihak perusahaan tidak melakukan penggantian password secara berkala.

4. User mengetahui pentingnya keamanan password sehingga user tidak memberitahukan password yang

dimiliki kepada orang lain. User juga mengetahui prosedur untuk menentukan password dan menggantinya.

Akan tetapi jarang user yang melakukan penggantian passwordnya.


5. Masing-masing komputer yang ada di perusahaan dilengkapi dengan anti virus. Akan tetapi anti virus yang

digunakan oleh perusahaan adalah anti virus gratis, yang tentunya kemampuan untuk melindungi data,

program ataupun sistem komputer mempunyai keterbatasan.

6. Anti virus yang dimiliki oleh perusahaan adalah anti virus gratis, sehingga ketika terjadi up date secara

otomatis, up date yang terjadi tidak selengkap anti virus yang dibeli melalui licensi sehingga kemampuan

anti virus yang ada masih terbatas.

7. Sistem informasi yang ada di perusahaan tidak dilengkapi dengan fasilitas untuk mendeteksi akses yang

tidak terotorisasi.

8. Sistem informasi yang ada di perusahaan tidak dilengkapi dengan fasilitas audit log, yaitu rekonstruksi atas

peristiwa ataupun aktivitas yang telah terjadi di dalam sistem.

9. Perusahaan tidak mempunyai prosedur untuk menanggulangi pemadaman listrik (tidak ada genset dan UPS)

4.2.5. Pengendalian atas Pemeliharaan Sistem

Bagian ini akan mendeskripsikan tentang hasil audit pengendalian atas pemeliharaan sistem. Tujuan

pengendalian atas pemeliharaan sistem adalah mendeteksi pemeliharaan program yang tidak terotorisasi (yang


mungkin menghasilkan kecurangan atau error dalam pemrosesan) dan untuk memastikan bahwa prosedur

pemeliharaan melindungi aplikasi dari perubahan yang tidak terotorisasi, aplikasi bebas dari kesalahan

material, dan program library terlindungi dari akses yang tidak terotorisasi.

Tabel 4.5. Audit pengendalian atas pemeliharaan sistem


Y

a Tdk

Wawancara Observasi Uji Coba Dokumentasi

1. Apakah pihak

perusahaan

menjadwalkan aktivitas

perawatan sistem

Tidak

terdapat

jadwal

perawatan

sistem

2. Apakah adanya

kepastian bahwa Aktivitas

perawatan



Y

a Tdk


aktivitas perawatan

sistem merupakan

aktivitas yang

terotorisasi.

dilakukan

oleh pihak

outsourching

dan

terotorisasi

3. Apakah adanya

pengkajian ulang

sebelum dilakukan

perawatan ataupun

perubahan atas sistem

Tidak ada

pengkajian

ulang

sebelum

perawatan

ataupun

perubahan



Y

a Tdk


atas sistem

4. Apakah setiap perubahan

program harus disetujui

sebelum diterapkan

untuk meyakinkan

bahwa perubahan

tersebut sudah

diotorisasi, diuji, dan

didokumentasikan

Setiap

perubahan

program

disetujui oleh

manager

sebelum

diterapkan

5. Apakah adanya

pengkajian ulang secara

berkala atas kebijakan

pengendalian

pemeliharaan sistem

Tidak ada

pengkajian

ulang secara

berkala



dengan pemeliharaan/ perawatan sistem, dapat disampaikan deskripsinya sebagai berikut:

1. Pihak perusahaan tidak mengembangkan sistem informasi sendiri, akan tetapi menggunakan jasa pihak luar

(pihak outsourching) sehingga pihak perusahaan tidak mengetahui seluk beluk sistem informasi yang

dimilikinya. Untuk perawatannya, pihak perusahaan tidak mempunyai aktivitas perawatan sistem secara

rutin, akan tetapi perawatan dilakukan ketika pihak perusahaan mengalami masalah dengan sistem. Pada saat

seperti ini, pihak perusahaan akan memanggil dan menggunakan jasa pihak pengembang untuk melakukan

perawatan. Jadi perawatan hanya dilakukan ketika perlu saja.

2. Ketika melakukan aktivitas perawatan, pihak perusahaan akan memberikan perintah kerja kepada pihak

outsourching untuk melakukan perawatan. Dalam hal ini pihak pengembang telah mendapatkan otorisasi

dari pihak manajemen perusahaan.

3. Pihak perusahaan tidak melakukan pengkajian ulang sebelum dilakukan perawatan ataupun sebelum

perubahan atas sistem. Pihak perusahaan melakukan perawatan ataupun perubahan terhadap sistem ketika

pihak perusahaan merasakan ada suatu masalah atau kesulitan dengan sistem ataupun merasakan bahwa

sistem tidak mampu lagi memenuhi kebutuhan mereka.


4. Setiap kali terjadi perubahan dalam sistem, pihak pengembang akan memberikan laporan kepada pihak

manajemen perusahaan, apakah disetujui oleh pihak manajemen atau tidak disetujui oleh pihak manajemen.

Apabila disetujui, maka dapat diterapkan, akan tetapi kalau tidak disetujui, maka perubahan program yang

dilakukan tidak dapat dilakukan.

5. Pihak perusahaan tidak pernah melakukan pengkajian ulang terhadap kebijakan pengendalian atas

pemeliharaan sistem sehingga dari awal berdiri sampai sekarang kebijakannya tidak mengalami perubahan

ataupun perbaikan.

4.2.6. Pengendalian atas Jaringan dan Internet

Bagian ini mendeskripsikan tentang hasil audit atas pengendalian jaringan dan internet. Tujuan

pengendalian ini adalah untuk memverifikasi keamanan dan jaringan, juga mencegah dan mendeteksi akses

tidak sah dari pengggunaan internet.


Tabel 4.6. Audit pengendalian jaringan dan internet


Y

a Tdk


1. Apakah terdapat

prosedur log on untuk

masuk jaringan internet

Tidak ada

prosedur log

on

Prosedur log

on hanya

untuk masuk

sistem

informasi,

untuk akses

jaringan dan

internet tidak

diperlukan

log on

2. Apakah terdapat Antivirus



Y

a Tdk


antivirus yang mampu

menangkal infeksi virus

dari internet

tidak dapat

menangkal

semua virus

dari internet

3. Apakah terdapat

deteksi terhadap

unauthorized

access terhadap

sistem

Sistem yang

ada belum

dapat

melakukan

deteksi

terhadap

unauthorized

access yang



Y

a Tdk


dilakukan

terhadap

sistem.


dengan sistem operasi, dapat disampaikan deskripsinya sebagai berikut:

1. Untuk dapat mengakses internet lewat komputer perusahaan, tidak diperlukan prosedur untuk log on. Semua

komputer yang terkoneksi dengan jaringan internet dapat langsung mengakses internet dengan langsung

membuka browser untuk internet.

2. Sebagian besar komputer yang ada di kantor terhubungan dengan jaringan LAN dan dapat mengakses

internet.


3. Anti virus yang digunakan oleh perusahaan adalah anti virus gratis, sehingga kemampuan untuk menangkal

infeksi virus dari internet juga terbatas dan tidak dapat menangkal semua virus yang berasal dari internet

4. Sistem yang ada tidak dapat melakukan deteksi terhadap adanya unauthorized access yang dilakukan

terhadap sistem.

Universitas Kristen Petra

67

4.3. Analisa dan Pembahasan

Dari hasil deskripsi tentang temuan lapangan yang telah dilakukan pada

bab sebelumnya, dapat diketahui bahwa perusahaan memiliki kebijakan general

control atas sistem yang ada. Pembahasan tentang audit general control yang

telah dilakukan adalah sebagai berikut.

4.2.1. Pengendalian atas Struktur Fungsi Organisasi Teknologi Informasi

Kebijakan pengendalian atas strukturisasi fungsi organisasi yang

diterapkan oleh perusahaan secara umum Cukup Memadai (CM). disebabkan dari

6 pernyataan yang digunakan untuk melakukan audit pengendalian atas

strukturisasi fungsi organisasi, terdapat 3 pernyataan yang masuk dalam kategori

memadai, sementara 3 pernyataan yang lain masuk dalam kategori tidak memadai.

Indikator yang mempunyai nilai memadai yaitu terdapat pemisahan antara fungsi

pengembang sistem dengan fungsi operator komputer dan Database administrator

sudah terpisah dari fungsi yang lain.

Analisa penulis untuk kebijakan pengendalian atas struktur organisasi IT

perusahaan, yaitu tujuan audit untuk pengendalian atas struktur organisasi adalah

memastikan bahwa setiap individu yang terlibat dalam organisasi IT perusahaan

melakukan dan mengerjakan tugasnya masing-masing dan untuk memastikan

bahwa tidak ada perangkapan fungsi. Akan tetapi deskripsi dan struktur organisasi

yang kurang lengkap dan juga karena masih ada fungsi yang masih dirangkap,

yaitu pihak outsource (programmer, sistem analysis, maintenance) yang

merangkap fungsi sebagai data library. Resiko yang ditimbulkan dari

perangkapan fungsi tersebut dinilai cukup besar sehingga pihak perusahaan perlu

untuk melakukan pemisahan fungsi-fungsi di atas tersebut. Untuk itu ke depannya

pihak perusahaan perlu adanya pembagian tugas sehingga tidak ada perangkapan

fungsi di dalam organisai IT.

4.2.2. Pengendalian atas Pusat Komputer

Kebijakan untuk pengendalian atas pusat komputer yang diterapkan oleh

perusahaan secara umum Memadai (M) disebabkan dari 12 indikator yang

digunakan untuk melakukan audit pengendalian pusat komputer. hanya terdapat 5


68

indikator yang masuk dalam kategori Tidak memadai (TM), sementara sisanya

masuk dalam kategori memadai (M) yang berarti bahwa indikator yang mencapai

nilai cukup memadai masih kurang dari 50 %. Hal ini berarti pengendalian atas

pusat komputer untuk mencegah dan mendeteksi berbagai ancaman secara fisik

dari pihak maupun program yang tidak terotorisasi yang dapat merusak sistem

sudah cukup tercapai.

Indikator-indikator yang masuk dalam kategori memadai tersebut adalah:

1. Lokasi server berada jauh dari jendela, dimana di perusahaan ruangan server

berada bersebelahan dengan ruangan direktur, yaitu di bagian belakang dalam

sehingga kemungkinan akan adanya gangguan dari pihak luar bisa

diminimalkan.

2. Ruang server tidak berada dekat lorong yang sering dipakai lalu lalang orang,

dengan kemungkinan adanya orang yang berlalu lalang yang akan

mengganggu keamanan ruang server semakin kecil.

3. Penampilan ruang server tidak mencolok apabila dilihat dari luar, akan tetapi

ruang server seperti ruang yang lain. Dengan penampilan yang tidak mencolok

akan mengurangi ketertarikan orang yang lewat untuk melakukan tindakan

yang tidak diinginkan terhadap ruang server.

4. Ruang server seperti ruang yang lain, tidak menunjukkan tanda-tanda ruang

komputer. Sebagaimana pada point sebelumnya, dengan tidak ada tanda-tanda

ruangan sebagai ruangan komputer tingkat ketertarikan orang yang lewat

untuk melakukan tindakan yang tidak diinginkan terhadap ruang server akan

semakin kecil.

5. Ruang server dilengkapi dengan AC sehingga suhu ruangan dapat dijaga

dalam keadaan dingin yang akan dapat mengurangi tingkat error pada

komputer server.

Disamping beberapa hal yang mempunyai nilai memadai (M), point-point

yang dinilai masih kurang adalah:

1. Ruang pusat komputer tidak dilengkapi dengan alat pemadam kebakaran,

alarm ataupun alat pendeteksi kebakaran. Kondisi ini akan beresiko ketika

terjadi kebakaran di ruang server akan lambat dalam proses pemadaman


69

kebakaran yang pada akhirnya akan dapat membahayakan keberadaan server

serta data-data yang ada di dalamnya.

2. Tidak ada CCTV ataupun petugas keamanan yang bertugas untuk menjaga

ruang server. Kondisi ini tentunya akan beresiko ada pencuri ataupun perusak

yang dapat mencuri ataupun merusak server. ( Pengendalian dapat disesuaikan

dengan kondisi perusahaan)

3. Ruang server tidak dilengkapi dengan UPS sehingga dengan tidak adanya

UPS ini maka terdapat resiko hilang atau rusaknya data akibat gangguan pada

listrik.

Analisa penulis untuk kebijakan pengendalian atas pusat komputer adalah

agar pihak perusahaan: Melengkapi ruangan server dengan alat pemadam

kebakaran ataupun dengan alarm kebakaran sehingga ketika terjadi kebakaran di

ruangan server akan dapat segera ditangani, Melengkapi ruangan server dengan

UPS sehingga resiko hilang atau rusaknya data akibat gangguan pada listrik dapat

diminimalisasi.

4.3.3. Pengendalian atas Manajemen Data

Kebijakan untuk pengendalian atas manajemen yang diterapkan oleh

perusahaan secara umum memadai (M) disebabkan dari 5 indikator yang

digunakan untuk melakukan audit terhadap pengendalian atas manajemen data,

terdapat 4 indikator yang masuk dalam kategori memadai (M), sementara sisanya

masuk dalam kategori tidak memadai (TM) yang berarti bahwa indikator yang

mencapai nilai cukup memadai lebih dari 50 %.

Beberapa hal dalam pengendalian atas manajemen data yang dinilai cukup

memadai adalah:

1. Terdapat prosedur log on untuk masuk ke dalam sistem aplikasi. Dengan

adanya prosedur log on ini, maka tidak semua orang dapat mengakses data-

data yang ada di dalam sistem sehingga data bisa aman.

2. Data yang dimasukkan oleh user akan langsung disimpan di server. Dengan

langsung disimpannya data di dalam server maka ada akan tersimpan dan

sewaktu-waktu dapat dibuka jika dibutuhkan.


70

3. User hanya dapat membuka data yang diotorisasi. Dengan adanya ketentuan

ini, maka data akan aman dari orang-orang yang tidak mempunyai

kepentingan dengan data.

Sementara itu untuk indikator pengendalian manajemen data yang masih

dinilai belum memadai adalah:

1. Belum adanya jadwal back up data secara tetap, dimana di perusahaan back up

dilakukan sesuai dengan kebutuhan, maksimal 1 bulan sekali. Kondisi ini

tentunya beresiko, meskipun pihak perusahaan melakukan back up data

maksimal sebulan sekali, akan tetapi ketika terjadi masalah, maka data yang

diinput dalam rentang satu bulan atau kurang terancam hilang ataupun rusak.

2. Pihak perusahaan tidak mempunyai of-premises storage (bangunan tempat

penyimpanan yang terpisah dari bangunan lainnya) dari back up file dan

program. Kondisi ini akan memunculkan resiko ketika terjadi bencana di

perusahaan, baik itu kebakaran, banjir ataupun bencana yang lain yang

merusakkan data-data perusahaan, maka perusahaan tidak mempunyai data

cadangan. (Tetapi hal ini juga melihat kondisi perusahaan)

4.3.4. Pengendalian atas Sistem Operasi

Kebijakan untuk pengendalian atas sistem operasi yang diterapkan oleh

perusahaan secara umum Tidak memadai (TM) disebabkan dari 9 indikator yang

digunakan untuk melakukan audit terhadap pengendalian atas sistem operasi,

hanya terdapat 4 indikator yang masuk dalam kategori memadai (M), sementara

sisanya masuk dalam kategori tidak memadai (TM) yang berarti bahwa indikator

yang mencapai nilai cukup memadai kurang dari 50 %. Hal ini berarti tujuan

pengendalian atas sistem operasi belum bisa tercapai, dimana tujuannya adalah

adalah untuk memastikan bahwa hak akses untuk mengakses diberikan secara

konsisten dengan kebutuhan untuk memisahkan fungsi-fungsi berbeda yang ada

dalam perusahaan, memastikan bahwa perusahaan memiliki password policy yang

memadai dan efektif untuk mengendalikan akses ke sistem operasi perusahaan,

memastikan IT security yang efektif untuk mencegah masuk dan menyebarnya

program yang bersifat merusak (virus), memastikan bahwa terdapat review yang


71

cukup memadai untuk mencegah dan mendeteksi penyalahgunaan sistem, dan

memastikan bahwa perusahaan menerapkan fault tolerance yang tepat.

Beberapa hal dalam pengendalian atas sistem operasi yang dinilai telah

telah cukup memadai adalah:

1. Ketika masuk sistem harus memasukkan ID dan Password. Dengan adanya

ketentuan pemasukan ID dan Password, maka tidak semua orang dapat masuk

ke dalam sistem sehingga data bisa lebih aman.

2. User mengetahui pentingnya keamanan password. Dengan user mengetahui

pentingnya keamanan password, maka user akan berusaha untuk merahasiakan

password yang dimiliki sehingga tidak disalahgunakan oleh orang lain.

Selain beberapa hal yang dinilai sudah cukup, ada beberapa hal lain yang

dinilai belum memadai, yaitu:

1. Ketika ID dan Password yang dimasukkan salah, muncul kotak pesan bahwa

terjadi kesalahan input, akan tetapi tidak terdapat pembatasan pemasukan

password. Tidak adanya pembatasan password ini memunculkan resiko yaitu

orang yang tidak mempunyai hak akses dapat memasukkan ID dan password

sampai betul dan akhirnya bisa mengakses sistem.

2. Tidak ada pengubahan password secara berkala. Dengan tidak adanya

perubahan password secara berkala ini dimungkinkan ada password yang telah

diketahui oleh orang yang tidak mempunyai hak akses terhadap sistem dan

menggunakan password tersebut untuk masuk ke dalam sistem.

3. Setiap komputer yang ada dilengkapi dengan antivirus gratis. Karena antivirus

yang ada adalah antivirus gratis, kemampuannya terbatas sehingga tidak dapat

untuk mengamankan sistem dari bahaya virus.

4. Anti virus update otomatis, akan tetapi karena gratis sehingga up date tidak

lengkap dan akhirnya memunculkan adanya resiko terinfeksi virus.

5. Sistem tidak dapat mendeteksi akses yang tidak terotorisasi. Dengan tidak

dapat diketahui akses yang tidak terotorisasi, maka sistem terancam diakses

oleh orang-orang yang tidak punya kewenangan.

6. Tidak terdapat audit log dalam sistem. Dengan tidak adanya audit log, maka

tidak dapat dilakukan rekontruksi atas peristiwa yang telah terjadi di dalam

sistem.


72

7. Tidak terdapat prosedur untuk menanggulangi pemadaman listrik.

Melihat beberapa kelemahan yang ada pada pengendalian sistem operasi,

maka analisa penulis adalah:

1. Perlu dilakukan pembatasan terhadap pemasukan ID dan Password. Untuk

mendapatkan hal ini tentunya pihak perusahaan harus menghubungi pihak

pengembang sistem, yaitu pihak outsourcing untuk menambah ketentuan

dalam pembatasan pemasukan ID dan Password.

2. Pihak perusahaan perlu melakukan perubahan password secara berkala, atau

kalau tidak memberikan perintah kepada setiap karyawan untuk melakukan

perubahan password secara berkala. Dengan demikian sistem akan lebih aman

dari adanya akses orang-orang yang tidak bertanggung jawab.

3. Pihak perusahaan perlu untuk melengkapi komputernya dengan antivirus yang

didapatkan dari membeli karena tentunya antivirus seperti mempunyai

kemampuan yang lebih kuat dalam mengatasi serangan virus. Untuk tahap

awal, komputer yang digunakan sebagai server yang harus dilengkapi dengan

antivirus terlebih dahulu, kemudian menyusul dengan komputer-komputer

yang lain sesuai dengan kemampuan perusahaan.

4. Pihak perusahaan perlu meminta kepada pihak outsourcing untuk

menambahkan fitur yang dapat mendeteksi adanya akses yang tidak

terotorisasi sehingga tingkat keamanan sistem dan data akan lebih meningkat.

Begitu juga dengan audit log, pihak perusahaan perlu meminta kepada pihak

outsourcing untuk menambahkan fitur audit log yang tentunya disesuaikan

juga dengan kemampuan dana perusahaan.

4.3.5. Pengendalian atas Pemeliharaan Sistem

Kebijakan untuk pengendalian atas pemeliharaan sistem yang diterapkan

oleh perusahaan Tidak memadai (TM) disebabkan dari 5 indikator yang

digunakan untuk melakukan audit terhadap pengendalian atas pemeliharaan

sistem, hanya terdapat 2 indikator yang masuk dalam kategori memadai (M),

sementara sisanya masuk dalam kategori tidak memadai (TM) yang berarti bahwa

indikator yang mencapai nilai cukup memadai kurang dari 50 %. Kondisi ini

menunjukkan bahwa tujuan pengendalian atas pemeliharaan sistem, yaitu


73

menghasilkan kepastian yang dapat diterima bahwa sistem informasi

terkomputerisasi dikembangkan dan dipelihara dalam prosedur yang telah

terotorisasi.

Indikator-indikator yang masuk dalam kategori cukup memadai adalah

sebagai berikut:

1. Aktivitas perawatan dilakukan oleh pihak outsourching dan terotorisasi.

Aktivitas perawatan sistem dilakukan oleh pihak luar dan sebelum melakukan

perawatan sistem, terlebih dahulu pihak outsourcing meminta ijin kepada

pihak manajemen sehingga aktivitas perawatan ini adalah aktivitas yang

mendapatkan otorisasi dari pihak manajemen.

2. Setiap perubahan program disetujui sebelum diterapkan. Sebelum menerapkan

sebuah perubahan, terlebih dahulu pihak pengembang meminta ijin dari pihak

manajemen dan sebelum diterapkan dilakukan uji coba terlebih dahulu untuk

memastikan bahwa sistem yang baru sudah stabil.

Disamping beberapa indikator yang menunjukkan penilaian cukup

memadai, ada juga indikator yang menunjukan nilai tidak memadai atau bahkan

tidak ada sama sekali, yaitu:

1. Tidak terdapat jadwal perawatan sistem. Selama ini perawatan sistem

dilakukan hanya ketika adalah masalah dengan sistem, baru pihak perusahaan

memanggil pihak pengembang (outsourcing) untuk melakukan perawatan

ataupun perbaikan terhadap sistem.

2. Tidak ada pengkajian ulang sebelum perawatan ataupun perubahan atas

sistem. Kegiatan pengkajian ulang ini tidak pernah dilakukan, baik itu oleh

perusahaan ataupun oleh pengembang sistem itu sendiri.

3. Tidak ada pengkajian ulang atas kebijakan pengendalian perawatan sistem.

Pihak perusahaan tidak pernah melakukan pengkajian ulang terhadap

pengendalian perawatan sistem sehingga tidak diketahui kelemahan-

kelemahan yang masih ada serta tidak dilakukan terhadap pengendalian yang

ada tersebut.

Melihat beberapa kelemahan yang ada pada pengendalian atas perawatan

sistem, maka analisa penulis adalah:


74

1. Pihak perusahan perlu melakukan penjadwalan perawatan sistem. Dengan

adanya jadwal ini, maka permasalahan ataupun kerusakan yang ada pada

sistem akan dapat diketahui dengan cepat sehingga sistem dapat berjalan

dengan lebih lancar.

2. Sebelum melakukan perawatan dan perubahan terhadap sistem, sebelumnya

perlu dilakukan pengkajian ulang sehingga kegiatan perawatan ataupun

perubahan yang dilakukan terhadap sistem dapat dilakukan secara

menyeluruh, tidak hanya per bagian-bagian saja.

3. Memperkecil terjadinya security exposure dengan cara melakukan

pendampingan terhadap pihak pengembang ketika melakukan perawatan

ataupun perubahan terhadap sistem.

4. Pihak perusahaan hendaknya melakukan pengkajian ulang terhadap kebijakan

atas pengendalian perawatan sistem sehingga jika ada kekurangan-kekurangan

dapat dilakukan perbaikan.

4.3.6. Pengendalian atas jaringan dan internet

Kebijakan untuk pengendalian atas jaringan dan internet yang diterapkan

oleh perusahaan tidak memadai (TM) disebabkan dari 3 indikator yang digunakan

untuk melakukan audit terhadap pengendalian atas jaringan dan internet tidak

terdapat satupun indikator yang masuk dalam kategori memadai ataupun cukup

memadai. Tiga indikator menunjukan nilai tidak memadai (TM) Kondisi ini

menunjukkan bahwa tujuan pengendalian atas jaringan dan internet, yaitu untuk

memverifikasi keamanan dan jaringan, juga mencegah dan mendeteksi akses tidak

sah dari pengggunaan internet tidak tercapai.

Melihat kondisi ini, maka usulan yang dapat diberikan oleh penulis untuk

meningkatkan pengendalian atas jaringan dan internet adalah:

1. Menerapkan prosedur log on untuk masuk ke jaringan ataupun internet.

Dengan cara ini maka tidak semua orang dapat masuk ke jaringan dan internet

sehingga resiko yang bersumber dari jaringan dan internet dapat

diminimalkan.


75

2. Pihak perusahaan hendaknya menginstal antivirus yang kompeten, yang

mampu menangkal gangguan-gangguan virus yang berasal dari jaringan dan

internet.

3. Pihak perusahaan hendaknya melengkapi sistemnya untuk dapat mendeteksi

adanya akses-akses ilegal terhadap sistem yang dilakukan melalui jaringan

dan internet.

4.3.7. Kesimpulan dari semua area general control

Dari hasil audit atas general control pada perusahaan dapat disimpulkan

pengendalian yang berjalan di perusahaan secara umum tidak memadai.. Hal ini

didasarkan dari 6 area pengendalian yang di audit, hanya terdapat 2 area

pengendalian yang mempunyai nilai memadai, yaitu pengendalian atas pusat

komputer dan pengendalian atas manajemen data, sementara 1 area pengendalian

cukup memadai dan 4 area pengendalian yang lain mempunyai nilai tidak

memadai.

4. analisa data dan pembahasan 4.1. gambaran umum … · 2013. 3. 11. · struktur organisasi...

Documents