audit sistem informasi pada perusahaan …lib.ui.ac.id/file?file=digital/20350976-ta-sugeng...

UNIVERSITAS INDONESIA

AUDIT SISTEM INFORMASI PADA PERUSAHAAN

PENGELOLA JALAN TOL PT JKLM

LAPORAN MAGANG

SUGENG IVAN LESTARIANTO

0906525812

FAKULTAS EKONOMI

PROGRAM STUDI AKUNTANSI

DEPOK

JULI 2013

Audit sistem..., Sugeng Ivan, FE UI, 2013

UNIVERSITAS INDONESIA

AUDIT SISTEM INFORMASI PADA PERUSAHAAN

PENGELOLA JALAN TOL PT JKLM

LAPORAN MAGANG

Diajukan sebagai salah satu syarat untuk memperoleh gelar

Sarjana Ekonomi

SUGENG IVAN LESTARIANTO

0906525812

FAKULTAS EKONOMI

PROGRAM STUDI AKUNTANSI

DEPOK

JULI 2013


ii

Universitas Indonesia


iii



iv


KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT karena atas rahmat-Nya saya dapat

menyelesaikan laporan magang ini. Penulisan laporan magang ini dilakukan

dalam rangka memenuhi salah satu syarat untuk mendapatkan gelar Sarjana

Ekonomi Jurusan Akuntansi pada Fakultas Ekonomi Universitas Indonesia. Saya

menyadari tanpa bantuan dan dukungan dari berbagai pihak dalam bentuk apapun,

sangatlah sulit untuk menyelesaikan laporan magang ini. Oleh karena itu pada

kesempatan ini saya ingin mengucapkan terima kasih kepada:

1. Tuhan Yang Maha Esa, tanpa rahmat dan karunia-NYA saya tidak akan

bisa menyelesaikan kuliah di Fakultas Ekonomi Universitas Indonesia ini;

2. Ibu dan adik-adik saya yang senantiasa mendoakan dan mendukung saya

selama kuliah dan memberikan saya ketentraman dikala kesusahan;

3. Bapak Machmudi Eka Prasetya selaku dosen pembimbing yang bersedia

membantu saya dalam hal waktu dan pikirannya untuk menyelesaikan

tugas akhir ini;

4. Bapak / Ibu selaku dosen penguji yang telah meluluskan dan memberi

banyak masukan pada saya;

5. Dosen, pengajar dan karyawan Fakultas Ekonomi Universitas Indonesia;

6. Yayasan Daya Bhakti Pendidikan Universitas Indonesia (YDBP UI) yang

telah memberikan saya bantuan baik dana maupun ilmu untuk membantu

saya menyelesaikan kuliah saya selama ini.

7. KAP RSM AAJ, khususnya kepada divisi white yaitu Mbak Angela,

Mas Raki, Mas Vicky, Erlyn, Iqbal dan Megat atas ilmu dan kesempatan

magang yag diberikan;

8. Ispon Asep Yurano dan Danang Heru Utomo sebagai kawan dalam usaha,

hobi, dan passion. Dan Teman-teman seperjuangan selama magang yang

senantiasa saling membantu dan bertukar cerita;

9. Seluruh penghuni kosan Pondok Tody yang memberi warna keceriaan

selama kuliah;

iv


v


10. Teman-teman di BEM FEUI, dan CEDS UI yang memberikan ilmu dan

persahabatan yang tak terlupakan;

11. Teman-teman FEUI 2009 yang pernah meminjami saya dana, tanpa

bantuan mereka saya tidak akan bisa survive selama kuliah;

12. Semua pihak yang telah membantu saya dalam bentuk apapun, yang

mohon maaf tidak tercantum dalam ucapan ini namun pasti tercatat amal

baiknya.

Akhir kata, saya berharap Allah SWT membalas segala kebaikan dari semua pihak

yang terlibat dalam penulisan laporan magang ini. Semoga laporan magang ini

membawa manfaat bagi pengembangan ilmu.

Depok, 8 Juli 2013

Penulis

v


vi



vii


ABSTRAK

Nama : Sugeng Ivan Lestarianto

Program Studi : Akuntansi

Judul : Audit Sistem Informasi Pada Perusahaan Pengelola Jalan Tol

PT JKLM

Sistem informasi sekarang menjadi bagian yang tidak terpisahkan dalam operasi

bisnis perusahaan. Sistem informasi ini membawa kemudahan dan efisiensi dalam

operasi perusahaan namun juga membawa berbagai macam resiko baru. Sehingga

dibutuhkan berbagai macam pengendalian untuk mengelola resiko tersebut. Audit

sistem informasi dibutuhkan juga untuk mengkaji dan menguji efektifitas

pengendalian-pengendalian yang ada di sebuah perusahaan. Laporan ini

menjelaskan tentang audit sistem informasi yang dilaksanakan penulis selama

menjalani program magang.

Kata Kunci :

Audit, Sistem Informasi, pengendalian, pengendalian umum, pengendalian

aplikasi, Badan Usaha Milik Negara, BUMN.

vii


viii


ABSTRACT

Name : Sugeng Ivan Lestarianto

Program : Accounting

Title : Information System Audit on Indonesia Highway Corporation

PT JKLM

Information system nowadays become an integrated part in company operations.

This system information brings ease and efficiency on company operations but

also bring a whole new kind of risks. An information system controls is needed to

manage these risks. And information system audit is also needed to review and

test the effectivity of these controls. This reports explains about information

system audit that had been done by the writer in the duration of his internship

program.

Keywords :

Audit, Information System, Control, General Control, Application Control, Badan

Usaha Milik Negara, BUMN.

viii


ix


DAFTAR ISI

HALAMAN JUDUL ..................................................................................... i

HALAMAN PERNYATAAN ORISINALITAS ............................................ ii

HALAMAN PENGESAHAN ....................................................................... iii

KATA PENGANTAR .................................................................................... iv

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI ..................... vi

ABSTRAK .................................................................................................... vii

DAFTAR ISI ................................................................................................. ix

DAFTAR GAMBAR .................................................................................... xi

DAFTAR LAMPIRAN ................................................................................. xii

BAB 1: PENDAHULUAN 1.1 Latar Belakang Tema .............................................................................. 1

1.2 Latar Belakang Kegiatan Magang ........................................................... 3

1.3 Tujuan Kegiatan Magang ........................................................................ 4

1.4 Tempat Dan Waktu Kegiatan Magang .................................................... 5

1.5 Pelaksanaan Program Magang ................................................................ 5

1.6 Ruang Lingkup Penulisan Laporan Magang ........................................... 6

1.7 Rumusan Masalah ................................................................................... 7

1.8 Sistematika Penulisan ............................................................................. 7

BAB 2: LANDASAN TEORI 2.1 Teknologi Informasi ................................................................................ 9

2.2 Sistem Informasi ..................................................................................... 9

2.3 Resiko Sistem Informasi ......................................................................... 11

2.4 Audit Sistem Informasi ........................................................................... 11

2.4.1 Pengertian Audit Sistem Informasi ............................................... 12

2.4.2 Ruang Lingkup Pekerjaan Audit Sistem Informasi ....................... 12

2.4.3 Tujuan Audit Sistem Informasi ..................................................... 14

2.4.4 Audit Sistem Informasi Berbasiskan Resiko ................................. 15

2.4.4.1 Resiko Yang Dipertimbangkan ........................................... 16

2.4.4.2 Siklus Audit Sistem Informasi Berbasiskan Resiko ............ 17

2.5 Pengendalian Sistem Informasi ............................................................... 19

2.5.1 Pengendalian Umum Sistem Informasi (IT General Control) ....... 20

2.5.2 Pengendalian Aplikasi Sistem Informasi (IT Application Control) 21

2.6 Peran Auditor Sistem Informasi Di Audit Keuangan .............................. 22

BAB 3: PROFIL PERUSAHAAN

3.1 Profil Kantor Akuntan Publik RSM AAJ Associates .............................. 24

3.1.1 Bidang Jasa yang Disediakan KAP RSM AAJ Associates ........... 24

3.1.2 Struktur Organisasi KAP RSM AAJ Associates ........................... 26

3.2 Profil PT JKLM ....................................................................................... 27

3.2.1 Bidang Usaha PT JKLM ............................................................... 29

3.2.2 Struktur Organisasi PT JKLM ...................................................... 31

ix


x


BAB 4: PEMBAHASAN

4.1 Perencanaan Audit Sistem Informasi ...................................................... 33

4.1.2 Tujuan Penugasan ......................................................................... 35

4.1.3 Ruang Lingkup Pemeriksaan ........................................................ 35

4.2 Prosedur Umum Pelaksanaan Audit Sistem Informasi ........................... 36

4.3 Pelaksanaan Audit Sistem Informasi ....................................................... 37

4.3.1 Kajian Teknologi Informasi .......................................................... 37

4.3.1.1 Struktur Jaringan PT JKLM .................................................. 37

4.3.1.2 Aplikasi, Sistem Operasi, & Database PT JKLM ................. 40

4.3.2 Kajian Pengendalian Umum Sistem Informasi ............................. 44

4.3.2.1 Logical Security ..................................................................... 44

4.3.2.2 Change Management ............................................................. 50

4.3.2.3 Computer Operation ............................................................. 51

4.3.3 Kajian Pengendalian Aplikasi Sistem Informasi ........................... 55

4.3.3.1 Obyektif Pengujian Pengendalian Aplikasi ........................... 56

4.3.3.2 Ruang Lingkup Pengujian Pengendalian Aplikasi ................ 56

4.3.3.3 Prosedur Pengujian Pengendalian Aplikasi ........................... 57

4.3.3.4 Hasil Pengujian Pengendalian Aplikasi ................................. 57

4.3.3.4.1 Pemahaman Alur Proses Pengadaan, Pengelolaan,

Pengakuan, & Pencatatan di PT JKLM ..................... 57

4.3.3.4.2 Hasil Observasi Alur Proses Pengadaan, Pengelolaan,

Pengakuan, & Pencatatan Aset Tetap Di Aplikasi

Sistem ERP PT JKLM ............................................... 63

4.4 Analisis Dan Kesimpual Audit Sistem Informasi ................................... 76

4.4.1 Analisis Dan Kesimpulan Hasil Kajian Pengendalian Umum ...... 77

4.4.2 Analisis dan Kesimpulan Hasil Kajian Pengendalian Aplikasi ..... 78

BAB 5: KESIMPULAN & SARAN

5.1 Kesimpulan ............................................................................................. 82

5.2 Saran ........................................................................................................ 84

5.2.1 Saran Untuk Klien ......................................................................... 84

5.2.2 Saran Untuk Kantor Akuntan Publik ............................................ 86

5.2.3 Saran Untuk Departemen Akuntansi FEUI ................................... 87

DAFTAR PUSTAKA ................................................................................... 88

LAMPIRAN ................................................................................................. 89

x


xi


DAFTAR GAMBAR

Gambar 2.1 Siklus Audit Sistem Informasi ............................................... 17

Gambar 3.1 Struktruk Organisasi Kantor Akuntan Publik RSM AAJ

Associates .............................................................................. 27

Gambar 3.2 Sejarah Pengoperasian Jalan Tol PT JKLM .......................... 28

Gambar 3.3 Struktur Organisasi PT JKLM ............................................... 31

Gambar 3.4 Sturktur Organisasi Biro Teknologi Informasi Perusahaan PT

JKLM ..................................................................................... 32

Gambar 4.1 Diagram Keseluruhan Jaringan Perusahaan .......................... 38

Gambar 4.2 Diagram jaringan collocation PT JKLM ............................... 39

Gambar 4.3 Diagram jaringan antara Kantor Pusat, Cabang, dan DRC PT

JKLM ..................................................................................... 40

Gambar 4.4 Diagram Sistem Aplikasi ERP Perusahaan ........................... 44

Gambar 4.5 Diagram Alur Pembukaan Hak Akses Karyawan Baru ......... 46

Gambar 4.6 Diagram Alur Pembukaan Hak Akses Karyawan Non

Struktural dan Management Trainee ...................................... 46

Gambar 4.7 Diagram Alur Pembukaan Hak Akses Karyawan Struktural .. 47

Gambar 4.8 Diagram Alur Pembukaan Hak Akses Karyawan Atas Mutasi

Jabatan ................................................................................... 48

Gambar 4.9 Diagram Alur Penutupan Hak Akses Karyawan ................... 49

Gambar 4.10 Diagram Alur Pengubahan Aplikasi Perangkat Lunak .......... 54

Gambar 4.11 Diagram hubungan antar modul pada proses pengadaan aset

Tetap ...................................................................................... 55

Gambar 4.12 Bagan Alur Prosedur Pengadaan Aset Tetap ......................... 58

Gambar 4.13 Bagan Alur Prosedur Pembuatan PPA ................................... 59

Gambar 4.14 Bagan Alur Prosedur Pembuatan PO ..................................... 60

Gambar 4.15 Bagan Alur Prosedur Penerimaan Barang/Jasa ..................... 61

Gambar 4.16 Bagan Alur Prosedur Pembuatan Invoice .............................. 62

Gambar 4.17 Bagan Alur Prosedur Kapitalisasi Aset Project ..................... 62

Gambar 4.18 Bagan Alur Proses Login Di Aplikasi ERP PT JKLM .......... 64

Gambar 4.19 Bagan Alur Proses Pembuatan PPA Aplikasi ERP PT JKLM 65

Gambar 4.20 Bagan Alur Proses Pembuatan PO Pada Aplikasi ERP ......... 66

Gambar 4.21 Bagan Alur Proses Pembuatan Receipt-PO Pada

Aplikasi ERP ......................................................................... 66

Gambar 4.22 Bagan Alur Proses Pembuatan Invoice Pada Aplikasi ERP .. 67

Gambar 4.23 Bagan Alur Proses Validasi Invoice Pada Aplikasi ERP ....... 68

Gambar 4.24 Bagan Alur Proses Kapitalisasi Aset Project pada

aplikasi ERP .......................................................................... 68

Gambar 4.25 Perintah Menjalankan Depresiasi pada Modul

Asset Management ................................................................. 71

Gambar 4.26 Input New Batch dari Jurnal Manual ..................................... 73

Gambar 4.27 Header dari Jurnal Manual .................................................... 75

Gambar 4.28 Detail Jurnal Manual ............................................................. 75

Gambar 4.29 Jurnal Manual yang Siap Diposting ...................................... 76

xi


xii


DAFTAR LAMPIRAN

Lampiran 1 Server Physical Security Checklist .......................................... 87

Lampiran 2 Information System Risk Control Matrix ................................. 88

xii


1 Universitas Indonesia

BAB 1

PENDAHULUAN

1.1 Latar Belakang Tema

Dalam menjalankan kegiatan bisnisnya sehari-hari, setiap perusahaan

sangat mengandalkan sistem informasi perusahaan yang mereka miliki. Mereka

mengelola, menyimpan, dan memanfaatkan informasi yang mereka miliki dengan

menggunakan sistem informasi perusahaan tersebut. Sistem informasi perusahaan

ini meliputi seluruh perangkat keras, perangkat lunak, basis data, jaringan,

prosedur dan manusia yang dimiliki oleh perusahaan. Baik buruknya sebuah

perusahaan juga sangat tergantung dengan bagaimana sistem informasi

perusahaan mereka. Dengan sistem informasi yang bagus dan sesuai, perusahaan

bisa beroperasi lebih cepat, efektif, dan menguntungkan. Oleh karena itu

perusahaan menghabiskan sumber daya yang tidak sedikit untuk merancang,

membuat, dan mengelola sistem informasi yang mereka miliki.

Perusahaan seiring dengan berkembangnya teknologi informasi menjadi

semakin tergantung dengan teknologi informasi. Teknologi informasi merubah

bagaimana cara perusahaan melakukan kegiatan bisnisnya. Seluruh proses dan

aktivitas transaksi di perusahaan menjadi sangat tergantung dengan komputer.

Semua data dan informasi perusahaan disimpan dalam bentuk data binari di hard

disk komputer. Sistem informasi perusahaan menjadi lebih kompleks, terdiri dari

beberapa sistem terpisah yang terintegrasi menjadi satu dalam sebuah jaringan.

Infrastruktur dan sumber daya teknologi informasi perusahaan menjadi sebuah

aset penting yang perlu dikelola dengan baik. Di lain pihak ketergantungan

perusahaan terhadap teknologi informasi ini juga membawa resiko-resiko baru.

Data dan informasi perusahaan menjadi lebih rawan keamanannya karena bentuk

data binari mudah untuk rusak, hilang, dimanipulasi, maupun dicuri. Disisi

finansial, untuk membangun sistem informasi yang sesuai dengan proses bisnis

perusahaan diperlukan biaya atau investasi yang besar. Dan dibutuhkannya

sumber daya manusia yang mumpuni untuk membangun dan mengelola sistem


2


informasi tersebut. Dan yang tidak kalah penting adalah dibutuhkannya

manajemen sistem informasi (Management Information System atau MIS) dan tata

kelola sistem informasi (IT Governance) yang baik dan efektif untuk mengelola

dan mengatur infrastruktur teknologi informasi dan sistem informasi perusahaan.

Meningkatnya ketergantungan perusahaan terhadap teknologi informasi

juga membawa perubahan pada proses audit laporan keuangan sebuah perusahaan.

Audit laporan keuangan memiliki tujuan untuk memberikan keyakinan bahwa

laporan keuangan yang dibuat benar apa adanya dan sesuai dengan standard

akuntansi yang berlaku saat itu. Dikarenakan proses transaksi, penyimpanan data,

dan pelaporan keuangan menjadi terkomputerisasi, auditor menjadi sulit untuk

tidak memperhatikan IT perusahaan dan harus mempertimbangkannya dalam

proses audit mereka. Lingkungan sistem informasi perusahaan yang sangat

kompleks dan terintegrasi seperti sekarang menjadikan audit atas sistem informasi

perusahaan menjadi bagian dari audit laporan keuangan perusahaan. Oleh karena

itu muncullah Audit Sistem Informasi atau Audit Sistem Informasi yang berfungsi

untuk memberikan assessment dan assurance atas sistem informasi perusahaan.

Audit sistem informasi atau Audit Sistem Informasi ini dilakukan oleh

Auditor Sistem Informasi. Pada proses audit sistem informasi ini Auditor Sistem

Informasi akan memberikan assessment dan evaluasi atas IT Governance

perusahaan, kontrol-kontrol IT yang ada, dan prosedur serta keamanan dari sistem

informasi perusahaan. Audit sistem informasi ini tidak hanya memberikan

keyakinan bahwa auditor telah mempertimbangkan semua resiko dan kontrol yang

ada namun juga dapat mengurangi cangkupan audit laporan keuangan (Scope of

The Audit).

Beberapa standard dan peraturan juga telah mengakui kepentingan dari

audit sistem informasi dalam pelaksanaan audit keuangan. SPAP Nomor SA 314

(PSA 60) Penentuan risiko dan pengendalian intern-Pertimbangan dan intern-

Karakteristik Pengolahan Data Elektronik, SA 327 (PSA 59) Teknik Audit

Berbantuan Komputer, dan SA 335 (PSA 57) Auditing dalam Lingkungan

Pengolahan Data Elektronik, serta SAS No 47, 48 dan 55. Sarbane-Oaxley Act

(SOX) pada tahun 2002 juga memperkuat kepentingan audit sistem informasi


3


pada audit keuangan. SOX dibuat untuk membantun kembali kredibilitas dari

laporan keuangan dengan mewajibkan manajemen memberikan assessment dan

representasi atas internal control. Auditor keuangan harus memeriksa semua

pengendalian internal tersebut. Karena kebanyakan pengendalian internal saat ini

melibatkan teknologi informasi, maka Auditor Sistem Informasi harus dilibatkan

dalam proses audit keuangan.

Semakin pentingnya audit sistem dalam proses audit keuangan menjadi

alasan mengapa penulis memilih tema audit sistem informasi dalam laporan

magang ini. Alasan lainnya adalah Penulis juga mendapati betapa pentingnya

audit sistem informasi secara langsung. Penulis selama magang mendapatkan

penugasan untuk melakukan audit sistem informasi pada perusahaan PT JKLM.

Audit sistem informasi yang dilakukan ini berfungsi sebagai support dari audit

keuangan yang tengah berlangsung. Dalam penugasan ini penulis terlibat pada

seluruh proses audit sistem informasi.

1.2 Latar Belakang Kegiatan Magang

Dalam era globalisasi dan inovasi sekarang ini dibutuhkan adanya tenaga

kerja yang memiliki kompetensi yang tinggi. Hal ini menimbulkan adanya

persaingan yang semakin ketat dalam dunia kerja. Lulusan sarjana tidak akan

cukup jika hanya bermodalkan ijazah semata. Universitas sebagai salah satu

penyedia pendidikan tinggi di Indonesia dituntut untuk memberikan kurikulum

yang nantinya akan menghasilkan lulusan sarjanan yang kompeten dibidangnya.

Kurikulum yang disusun harus yang paling sesuai dengan kondisi dan

permintaaan yang ada sekarang ini. Sehingga lulusan yang ada tidak hanya

kompeten di bidangnnya tapi juga bisa bersaing dengan tenaga kerja lainnya

dalam mendapatkan lapangan pekerjaan yang sesuai dengan bidangnya.

Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia

menyadari hal tersebut sehingga memberikan alternatif dalam penyusunan tugas

akhir sebagai syarat kelulusan S1 yaitu dengan mengikuti program magang.

Program magang ini bertujuan supaya mahasiswa yang mengikuti bisa langsung


4


terjun ke lapangan untuk mendapatkan gambaran yang sesungguhnya di dunia

kerja dan menerapkan ilmu-ilmu akuntansi yang telah mereka pelajari serta

merasakan bagaimana lingkungan dan tuntutan kerja itu seperti apa. Hal lain yang

diharapkan didapat oleh mahasiswa dalam program magang ini adalah supaya

mendapatkan pengalaman dan pembelajaran yang tidak didapat di kelas-kelas

perkuliahan. Karena ketika magang mahasiswa akan berinteraksi dengan banyak

pihak baik sesama pekerja, atasan, maupun klien.

Selama magang mahasiswa juga dituntut untuk bisa beradaptasi dengan

lingkungan kerja. Manajemen waktu dan profesionalitas mahasiswa dalam

mengerjakan tugas yang didapat selama melakukan program magang juga

menjadi kunci penting dalam program magang ini. Kemampuan nalar, analisis,

dan problem solving mahasiswa juga semakin diasah di program magang ini.

Sehingga ketika menyelesaikan program magang ini mahasiswa memiliki

kompetensi yang dibutuhkan untuk langsung terjun ke dunia kerja. Dan ketika

lulus menjadi sarjana bisa bersaing dengan tenaga kerja lainnya dan memberikan

kontribusi terhadap bidang ekonomi terutama akuntansi.

1.3 Tujuan Kegiatan Magang

Tujuan dari program magang ini adalah supaya mahasiswa bisa terjun

langsung dan menerapkan ilmu yang mereka dapatkan selama kelas-kelas

perkuliahan di dunia kerja. Program magang juda dimaksudkan untuk

meningkatkan kemampuan teknikal mahasiswa. Selain itu program magang ini

juga bertujuan untuk melatih dan meningkatkan kemampuan intepersonal

mahasiswa, profesionalitas mahasiswa, dan kemampuan bekerja secara tim untuk

menyelesaikan tugas dan memecahkan masalah yang dihadapi di dunia kerja.

Program magang ini juga bisa dikatakan bertujuan untuk menciptakan hubungan

timbal balik antara mahasiswa yang magang dengan perusahaan tempat magang.

Dimana mahasiswa yang magang mendapatkan ilmu dari perusahaan tempat

magang dan perusahaan tempat magang juga mendapatkan manfaat dari

mahasiswa yang magang.


5


1.4 Tempat Dan Waktu Kegiatan Magang

Penulis melaksanakan kegiatan magang di Kantor Akuntan Publik

Aryanto, Amir Jusuf, Mawar & Saptoto (RSM AAJ Associates) yang memiliki

afiliasi dengan firma internasional RSM. RSM AAJ Associates beralamat di

Gedung Plaza ABDA lantai 10-11, Jl. Jenderal Sudirman Kav. 59 Jakarta. Waktu

pelaksanakan program magang dilaksanakan sesuai dengan kontrak yang penulis

tandatangani, yaitu dimulai pada tanggal 3 Januari 2013 sampai dengan 5 April

2013. Di RSM AAJ Associates, penulis ditempatkan dalam divisi White yang

menyediakan jasa Risk & Advisory, Internal Audit, dan Information System Audit

& Advisory. Jam kerja normal sesuai aturan kantor adalah hari Senin sampai

Jumat, dimulai dari pukul 08.30 WIB hingga pukul 17.30 WIB.

1.5 Pelaksanaan Program Magang

Ketika melakukan magang di RSM AAJ Associates, penulis ditempatkan

pada divisi White dengan posisi junior Auditor Sistem Informasi. Selama program

magang ini, penulis terlibat pada beberapa proyek Audit Sistem Informasi yang

memberikan support bagi audit laporan keuangan yang dilakukan oleh divisi lain

di RSM AAJ Associates dan bertanggung jawab melakukan prosedur Audit Sistem

Informasi dan Audit Sistem Informasi program yang telah ditetapkan untuk

mencapai obyektif Audit Sistem Informasi yang telah dibutuhkan oleh tim Audit

Laporan keuangan. Selama melakukan tugas Audit Sistem Informasi ini penulis

diberikan ruang lingkup tugas dan tanggung jawab yang terdiri dari :

a) Persiapan, permintaan dan pengumpulan data yang diperlukan.

b) Periksa kelengkapan data yang telah diberikan.

c) Melakukan wawancara terhadap pihak-pihak yang terkait di klien.

d) Melakukan review dan pengujian atas data dan hasil wawancara.

e) Menyusun laporan atas hasil review dan mengidentifikasi resiko yang ada

atas IT perusahaan klien.


6


1.6 Ruang Lingkup Penulisan Laporan Magang

Pada laporan magang ini penulis akan membahas mengenai Audit Sistem

Informasi yang dilaksanakan oleh divisi white dari RSM AAJ Associates terhadap

perusahaan penyedia dan pengelola jalan tol PT. JKLM. Audit sistem informasi ini

dilakukan atas permintaan dari divisi blue selaku tim Audit Laporan Keuangan

PT. JKLM.

PT. JKLM sebagai perusahaan Badan Usaha Milik Negara (BUMN)

penyedia dan pengelola jalan tol di Indonesia telah mulai menerapkan Enterprise

Resource Planning (ERP) pada pertengahan tahun 2010 yang lalu. Penggunakan

sistem ERP bertujuan untuk mengintegrasikan seluruh proses bisnis perusahaan

yang dulunya terpisah dan menggunakan aplikasi-aplikasi yang berbeda. Dengan

adanya integrasi ini diharapkan proses bisnis perusahaan semakin cepat, tepat, dan

efisien. Penyimpanan data, pengelolaan, dan penggunaannya lebih mudah serta

perusahaan bisa lebih mudah dalam melakukan pelaporan. Selain itu bisa

membuat perusahaan lebih profesional dan kompeten dalam memberikan

layanannya.

Dalam proses audit laporan keuangan PT. JKLM tim audit keuangan

menemukan resiko yang tinggi di akun aset tetap perusahaan. Hal ini menuntut

tim audit keuangan untuk melakukan test of control terhadap akun aset tetap ini.

Dikarenakan perusahaan menerapkan sistem ERP, seluruh transaksi aset tetap

perusahaan mulai dari pengadaan, pengelolaan, dan depresiasi dilakukan oleh

aplikasi perusahaan. Sehingga untuk melakukan test of control tim audit keuangan

meminta divisi white untuk memberikan Audit Sistem Informasi Support atau

audit sistem informasi terhadap PT. JKLM untuk memberikan assessment, review,

dan evaluasi atas sistem informasi perusahaan dengan melakukan pengujian

pengendalian umum (IT General Control) dan melakukan pengujian pengendalian

aplikasi (IT Application Control) pada proses pengadaan, pengelolaan, dan

depresiasi aset tetap perusahaan. Audit sistem informasi yang dilakukan

dilandaskan pada teori-teori akuntansi dan audit sistem informasi serta best

practice yang ada.


7


1.7 Rumusan Masalah

Dengan menggunakan pelaksanaan Audit Sistem Informasi yang dijalani

penulis selama melakukan kegiatan magang, laporan magang ini mencoba untuk

memberi gambaran dan menjawab hal-hal berikut ini :

1. Pelaksanaan Audit Sistem Informasi pada PT JKLM.

2. Apa saja aspek dari sistem informasi perusahaan yang dikaji dan diuji

dalam pelaksanaan Audit Sistem Informasi di PT JKLM?

3. Efektifitas dari pengendalian umum (IT General Control) PT JKLM.

4. Efektifitas dari pengendalian aplikasi (IT Application Control) PT JKLM.

1.8 Sistematika Penulisan

Laporan magang ini dibagi menjadi 5 bagian (bab) disertai lampiran

sebagai pendukung laporan dengan sistematika sebagai berikut:

a) BAB 1. PENDAHULUAN

Bab ini menjelaskan latar belakang tema, latar belakang program magang,

tujuan kegiatan magang, tempat, waktu, dan pelaksanaan magang, ruang

lingkup dan sistematika penulisan laporan magang.

b) BAB 2. LANDASAN TEORI

Bab ini akan memaparkan teori-teori yang dijadikan landasan pembahasan

dan analisis atas permasalahan yang diangkat dalam laporan ini. Teori-

teori yang dimaksud mencakup pengertian sistem informasi, teori audit

sistem informasi, dan teori tentang pengendalian-pengendalian yang ada

dan diuji pada audit sistem informasi.

c) BAB 3. PROFIL PERUSAHAAN

Bab ini berisi penjelasan mengenai gambaran umum, bidang kegiatan

perusahaan, dan susunan organisasi perusahaan baik perusahaan tempat

magang maupun perusahaan klien. Bab ini terbagi menjadi dua bagian

besar yang pertama menjelaskan gambaran umum tempat magang yaitu

Kantor Akuntan Publik RSM AAJ Associates dan yang kedua menjelaskan


8


PT. JKLM sebagai pihak klien.

d) BAB 4. PEMBAHASAN

Bab ini membahas aspek-aspek yang menjadi bagian audit sistem

informasi dan metodologi yang digunakan oleh Kantor Akuntan Publik

RSM AAJ Associates dalam melakukan audit sistem informasi, prosedur

pelaksanaan audit sistem informasi, dan review serta evaluasi atas hasil

audit sistem informasi tersebut.

e) BAB 5. KESIMPULAN & SARAN

Bab ini berisi kesimpulan dari analisis terhadap perusahaan dan aktivitas

magang. Saran berisi usulan dan masukan yang menjadi fokus perhatian

penulis kepada klien, kantor akuntan publik, dan departemen akuntansi

FEUI.



BAB II

LANDASAN TEORI

2.1 Teknologi Informasi

Teknologi Informasi (TI) menurut Sawyer (2007) adalah teknologi apa pun

yang membantu manusia dalam membuat, mengubah, menyimpan,

mengomunikasikan dan/atau menyebarkan informasi. TI menyatukan komputasi

dan komunikasi berkecepatan tinggi untuk data, suara, dan video. Sedangkan

dalam konteks bisnis menurut “Information Technology Association of America”,

seperti yang dikutip oleh Dennis & Michael (1985), teknologi informasi adalah

pengolahan, penyimpanan dan penyebaran vokal, informasi bergambar, teks dan

numerik oleh mikroelektronika berbasis kombinasi komputasi dan

telekomunikasi. Jadi bisa disimpulkan bahwa teknologi informasi adalah

kombinasi teknologi komputer dan telekomunikasi yang digunakan untuk

mengolah informasi. Informasi sendiri mengandung suatu arti yaitu data yang

telah diolah ke dalam suatu bentuk yang lebih memiliki arti dan dapat digunakan

(Turban, Rainer, & Porter, 2005).

Peranan dan kegunaan Teknologi dalam dunia bisnis adalah untuk

melakukan otomatisasi proses bisnis yang dilakukan perusahaan, pengolahan data

dan informasi untuk pengambilan keputusan, menghubungkan antara perusahaan

dengan konsumen serta supplier, dan menggunakannya sebagai alat untuk

meningkatkan efektifitas perusahaan. Semakin berkembangnya teknologi

komputer dan telekomunikasi menyebabkan Teknologi Informasi menjadi bagian

yang tidak terpisahkan bagi perusahaan sekarang ini.

2.2 Sistem Informasi

Sistem menurut McLeod dan Schell (2001) adalah sekumpulan elemen,

baik itu proses, teknologi, atau aktivitas manusia, yang terintegrasi dan berkerja

bersama-sama untuk mencapai tujuan atau obyektif yang sama. Sementara itu


10


informasi adalah data yang telah diolah ke dalam suatu bentuk yang lebih

memiliki arti dan dapat digunakan (Turban, Rainer, & Porter, 2005). Sehingga

secara umum bisa dikatakan bahwa sistem informasi adalah sekumpulan teknologi

informasi, proses, dan aktivitas manusia yang berkerja atau digunakan secara

bersama-sama untuk mengolah data menjadi suatu bentuk yang lebih memilik arti

dan dapat digunakan. Dalam konteks bisnis, sistem informasi mengalami

perluasan definisi dimana tidak hanya merujuk pada penggunaan organisasi

teknologi informasi namun juga merujuk pada bagaimana cara orang

memanfaatkan dan menggunakannya untuk mendukung proses bisnis perusahaan

(Kroenke, 2008).

Sistem Informasi sendiri menurut Turban, Rainer, & Porter (2005) terdiri

dari beberapa komponen, yaitu :

f) Perangkat keras (hardware) adalah serangkaian peralatan nyata/keras

seperti prosesor, komputer, server, router, hard disk, monitor, keyboard

dan printer. Peralatan-peralatan ini berfungsi sebagai perangkat yang

membuat, menyimpan, mengubah, menyebarkan, dan menampilkan

informasi.

g) Perangkat lunak (software) adalah sekumpulan program komputer yang

digunakan pada perangkat keras untuk mengolah data dan informasi.

h) Basis data (database) adalah sekumpulan arsip (file), tabel, dan relasi yang

saling berkaitan dan menyimpan data serta berbagai hubungan di

antaranya.

i) Jaringan (network) adalah sistem koneksi (dengan kabel atau tanpa kabel)

yang menghubungkan antara komputer satu dengan komputer yang lain

dan sistem yang satu dengan sistem yang lain.

j) Prosedur adalah serangkaian langkah dan instruksi mengenai bagaimana

menggabungkan berbagai komponen di atas agar dapat memproses

informasi dan menciptakan hasil yang diinginkan.

k) Manusia adalah berbagai individu yang bekerja dengan sistem informasi,

berinteraksi dengannya atau menggunakan hasilnya.


11


2.3 Resiko Teknologi Informasi

Resiko adalah kemungkinan adanya peluang untuk sebuah hasil yang

negatif atau buruk. Resiko bisa dibilang kebalikan dari sebuah peluang. Setiap

perusahaan pasti akan memiliki resiko. Tidak terkecuali teknologi informasi yang

dimiliki perusahaan. Resiko teknologi informasi adalah resiko yang ada yang

timbul karena teknologi informasi yang digunakan pada sebuah perusahaan.

Resiko teknologi informasi sangatlah nyata dan menjadi penting untuk

dipertimbangkan karena besarnya investasi yang dikeluarkan untuk membuat dan

mengelolanya.

Resiko teknologi informasi biasanya ada karena adanya ancaman / threat

dan kerawanan atau vulnerability. Ancaman atau threat menurut National Institute

of Standards and Technology adalah potensi sebuah sumber ancaman untuk

mengeksekusi atau memanfaatkan kerawanan atau vunerability dari teknologi

informasi perusahaan. Sumber ancaman atau threat source disini bisa dari

berbagai macam sumber bisa eksternal seperti peretas atau internal seperti

pegawai sendiri. Sedangkan kerawanan atau vulnerability menurut National

Institute of Standards and Technology adalah kesalahan atau kelemahan pada

prosedur keamanan sistem, desain sistem, implementasi sistem, atau pengendalian

internal teknolog informasi perusahaan yang bisa digunakan untuk

mengeksploitasi teknologi informasi perusahaan. Mengingat banyaknya resiko

teknologi informasi yang ada saat ini, sangatlah penting bagi perusahaan untuk

melakukan pengelolaan resiko atau risk management dan menerapkan kontrol

atau pengendalian sistem informasi dan audit sistem informasi untuk memitigasi

resiko yang ada.

2.4 Audit Sistem Informasi

Saat ini sistem informasi perusahaan semakin besar, kompleks, dan

terintegrasi. Perusahaan juga semakin tergantungnya terhadap teknologi

informasi untuk mengelola informasi dan menjalankan proses bisnis. Kedua hal

itu mengakibatkan besarnya investasi IT dan munculnya berbagai macam resiko


12


baru karena ketergantungan perusahaan tersebut. Sehingga menyebabkan

dibutuhkannya kontrol atas sistem informasi perusahaan dalam rangka mengelola

sumber daya dan resiko dari IT tersebut. Untuk mengevaluasi kontrol tersebut

apakah sudah efektif atau tidak harus dilakukan audit sistem informasi. Audit

sistem informasi ini juga bermanfaat bagi audit keuangan perusahan dimana audit

sistem informasi dapat mencangkup seluruh resiko dan kontrol dari IT sehingga

bisa memperkecil cangkupan audit dari Audit keuangan perusahaan.

Bagian ini akan menjelaskan pengertian audit sistem informasi, ruang

lingkup audit sistem informasi, tujuan audit sistem informasi, dan jenis-jenis

pengendalian yang ada di audit sistem informasi.

2.4.1 Pengeritan Audit Sistem Informasi

Audit adalah pengakumulasian dan pengevaluasian bukti atas suatu

informasi untuk menyimpulkan dan melaporkan tingkat korespondensi antara

informasi tersebut dengan kriteria yang telah ditentukan (Arens, Beasley, Elder,

2008). Sederhananya audit sistem informasi adalah audit atas sistem informasi

perusahaan. Namun secara lebih mendetail, Audit sistem informasi adalah sebuah

proses pengumpulan bukti dan pengevaluasiannya yang memungkinkan untuk

memutuskan apakah sebuah sistem informasi telah memiliki kontrol yang

memadai, menjamin keamanan aset-aset, integritas data, dan juga menjamin

penggunaan sumber daya yang rasional serta secara efektif membantu pencapaian

tujuan organisasi perusahaan (Weber, 1999).

2.4.2 Ruang Lingkup Pekerjaan Audit Sistem Informasi

Orang yang melakukan Audit Sistem Informasi disebut dengan Auditor

Sistem Informasi. Sebelum melakukan audit sistem informasi, Auditor Sistem

Informasi harus mengetahui dan paham atas IT Governance dari perusahaan yang

akan diaudit. Karena Auditor Sistem Informasi memiliki lingkup kerja untuk

menjamin IT Governance dan untuk melakukannya mereka melakukan

assessment terhadap resiko IT yang ada dan mengimplementasi atau memonitor


13


kontrol-kontrol atas resiko tersebut (Bagranof, Briyant, Hunton, 2003).

Weber (1999) dan Bagranof, Briyant, Hunton (2003) menyimpulkan

bahwa audit sistem informasi bisa menjadi bagian dari audit eksternal seperti

audit keuangan atau menjadi bagian dari audit internal seperti audit operasional.

Ketika menjadi bagian dari audit eksternal seperti audit keuangan, audit sistem

informasi mengidentifikasi resiko dan kontrol atas sistem keuangan perusahaan

dan sistem lain yang berkaitan erat dengan sistem keuangan perusahaan lalu

melakukan test of control atas kontrol-kontrol yang ada pada sistem tersebut. Jika

audit sistem informasi menjadi bagian dari audit internal seperti audit operasional,

maka audit sistem informasi akan melakukan review dan evaluasi atas sistem

informasi perusahan dalam konteks ekonomis, efisiensi, dan efektifitasnya.

Sedangkan hal-hal apa saja yang dilakukan oleh Auditor Sistem Informasi

ketika melakukan audit sistem informasi, Bagranof, Briyant, & Hunton (2003)

mengatakan bahwa Auditor Sistem Informasi dalam melakukan audit sistem

informasi menerapkan hal-hal berikut ini :

f) Mengevaluasi dan menilai pengendalian suatu aplikasi khusus. Misalnya

aplikasi seperti e-business, perencanaan sumber daya perusahaan, atau

perangkat lunak lain.

g) Memberikan keyakinan atas proses tertentu. Contohnya berupa agreed

upon procedure, di mana klien dan auditor TI menentukan cakupan audit

sistem informasi yang diinginkan dan tingkat keyakinan yang dapat

diberikan.

h) Memberikan keyakinan kepada pihak ketiga. Auditor TI mengevaluasi

risiko dan kontrol atas sistem informasi pihak klien dan memberikan

keyakinan kepada pihak lain yang membutuhkan informasi tersebut.

i) Pengujian akan adanya risiko pembobolan data. Pekerjaan ini melibatkan

proses untuk mencoba mendapatkan akses ke sumber daya informasi

untuk menemukan kelemahan dari sistem keamanan.

j) Pendukung audit keuangan. Pekerjaan ini mencakup evaluasi mengenai

risiko dan pengendalian teknologi informasi yang dapat mempengaruhi


14


keandalan sistem pelaporan keuangan.

k) Menyelidiki penipuan dalam bidang teknologi informasi. Auditor TI dapat

membantu untuk melakukan investigasi dalam penyelidikan penipuan

yang menggunakan teknologi informasi.

2.4.3 Tujuan Audit Sistem Informasi

Audit sistem informasi, baik yang menjadi bagian dari audit eksternal atau

audit internal, memiliki tujuan untuk memberikan assurance atau ketenangan

bahwa sistem informasi perusahaan yang ada sudah sejalan dengan IT

Governance yang telah dibuat. Namun secara spesifik Weber (1999) mengatakan

bahwa tujuan dari audit sistem informasi ada empat, yaitu :

1. Mengamankan Aset

Aset yang dimaksud disini adalah aset sistem informasi perusahaan yang

berupa perangkat keras, perangkat lunak, fasilitas pendukung, sumber

daya, data, perlengkapan, dan peralatan teknologi informasi lainnya.

Semakin besar ketergantungan perusahaan terhadap sistem informasinya,

pengendalian atas berbagai aset sistem informasi tersebut menjadi semakin

penting.

2. Memelihara Integritas Data

Integritas data adalah keandalan, kelengkapan, kebenaran, dan keakuratan

data. Integritas data yang buruk atau bahkan tidak ada bisa merugikan

perusahaan dikarenakan data mudah hilang, rusak, atau dimanipulasi

sehingga bisa merugikan perusahaan secara finansial dan mengurangi

kompentensi perusahaan. Audit sistem informasi bertujuan untuk menjaga

integritas data ini.

3. Meningkatkan Efektivitas

Audit sistem informasi memiliki salah satu tujuan untuk memastikan

bahwa sistem informasi yang sudah ada telah efektif implementasinya.

Apakah sudah bisa secara efektif mendukung proses bisnis perusahaan

dalam mencapai tujuannya.


15


4. Meningkatkan Efisiensi

Penggunaan sumber daya sistem informasi dalam kegiatan bisnis

perusahaan untuk tujuannya dapat menjadi tolak ukur keberhasilan suatu

sistem informasi dalam kegiatan operasional perusahaan. Sistem informasi

dikatakan efisien jika dengan penggunaan sumber daya yang minimal bisa

memberikan hasil atau output yang dibutuhkan oleh perusahaan dalam

melakukan kegaitan bisnisnya untuk mencapai tujuan perusahaan.

2.4.4 Audit Sistem Informasi Berbasiskan Resiko (Risk Based Information

System Audit)

Salah satu tantangan yang dihadapai oleh auditor sekarang adalah apa yang

harus diaudit. Semakin terintegrasinya sistem informasi dan proses bisnis dan

semakin kompleksnya sistem yang digunakan, lalu digabung dengan terbatasnya

sumber daya auditor serta semakin cepatnya fase bisnis, membuat melakukan

audit keseluruhan proses mustahil untuk dilakukan. Salah satu teknik yang

digunakan auditor untuk mengalokasikan sumber daya yang terbatas yang mereka

miliki adalah dengan menggukan pendekatan audit sistem informasi berbasiskan

resiko.

Audit sistem informasi berbasiskan resiko ini pada dasarnya adalah

menentukan apa yang harus diaudit berdasarkan resiko material misstatement atau

error yang ada dari tiap area sistem informasi perusahaan dimana area yang

memiliki resiko tinggi akan menjadi prioritas audit sementara yang memiliki

resiko rendah akan memiliki prioritas yang lebih rendah atau bahkan tidak perlu

untuk diaudit. Menurut Frasser (2011) dengan audit berbasiskan resiko audit yang

dilaksanakan bisa secara efektif dan efisien fokus pada area yang memiliki resiko-

resiko yang tinggi. Sumber daya audit bisa dialokasikan secara efektif.


16


2.4.4.1 Resiko Yang Dipertimbangkan

Dalam melakukan audit sistem informasi berbasiskan resiko ada tiga jenis

resiko yang harus diperhitungkan :

1. Inherent Risk

Inherent Risk menurut Bagranof, Briyant, & Hunton (2003) adalah resiko

yang ada karena sifat dan kondisi dari aktivitas dan lingkungan operasi

perusahaan. Resiko ini sudah pasti ada dan tidak bisa dihindari. Cascarino

(2007) menyatakan dalam mengevaluasi inherent risk, auditor harus

mempertimbangkan tipe dan sifat resiko serta faktor apa yang

mengindikasikan resiko itu ada. Untuk mencapai ini Cascarino (2007)

berpendapat bahwa auditor harus paham dan familiar akan lingkungan

dimana perusahaan beroperasi.

2. Control Risk

Menurut Bagranof, Briyant, & Hunton (2003), Control Risk adalah

kemungkinan pengendalian internal sebuah perusahaan akan gagal dan

tidak efektif. Secara umum Cascarino (2007) mengatakan bahwa semakin

efektif sebuah pengendalian disebuah perusahaan control risk akan

semakin kecil dan secara langsung akan membantu dalam memitigasi

Inherent risk perusahaan. Jadi yang menjadi kunci di sini adalah

bagiamana auditor mengidentifikasi pengendalian yang ada di perusahaan

dan mengukur keefektifan dari pengendalian tersebut.

3. Audit Risk

Audit Risk adalah resiko dimana audit yang tidak dilakukan gagal untuk

menemukan adanya material error, fraud, atau material misstatement yang

ada. Resiko ini adalah gabungan dari tiga jenis resiko, Inherent Risk,

Control Risk, dan Detection Risk. Audit Risk selalu ada dalam setiap jenis

audit.


17


2.4.4.2 Siklus Audit Sistem Informasi Berbasiskan Resiko

Siklus Audit sistem informasi berbasiskan resiko sama dengan audit sistem

informasi pada umumnya. Bedanya, menurut Bagranof, Briyant, & Hunton

(2003), adalah adanya proses penilaian resiko atau risk assessment. Pada gambar

2.1 bisa dilihat bagaimana siklus audit sistem informasi berbasiskan resiko.

Gambar 2.1 Siklus Audit Sistem Informasi

Sumber: “Core Concepts of Information System Auditing” oleh Bagranof,

Briyant, & Hunton (2003)

1. Planning

Pada tahap planning auditor akan mencoba memahami klien, proses bisnis

klien, industry klien, lingkungan tempat klien beroperasi, dan juga

membuat rencana atas audit. Termasuk bagaimana perencanaan staff dan

bagaimana secara umum audit dilakukan. Pada tahap ini cangkupan audit

dan juga obyektif dari audit juga ditentukan di sini termasuk tingkat

materialitas

2. Risk Assessment

Dalam audit sistem informasi berbasiskan resiko, auditor harus bisa

mengidentifikasi dan menilai resiko dari tiap-tiap area sistem informasi


18


perusahaan. Auditor harus melakukan sebuah Risk Assessment dan

menentukan batasan resiko itu bisa diterima atau tidak. Di risk assessment

ini auditor mencoba menjawab “hal apa saja yang bisa salah?” atau “what

can go wrong?” (Bagranof, Briyant, & Hunton (2003). Hasil dari risk

assessment ini nantinya akan dijadikan dasar dalam pembuatan program

audit (Audit Program). Sehingga sangatlah penting bagi auditor untuk tahu

dan paham atas auditee, lingkungan dimana perusahaan beroperasi dan

sifat dan kondiri dari bisnis yang digeluti perusahaan.

3. Prepare Audit Program

Tidak ada program adit yang standard untuk audit sistem informasi

dikarenakan audit sistem informasi harus disesuaikan dengan kondisi

infrastruktur teknologi informasi, perangkat keras, perangkat lunak,

struktur jaringan, dan kondisi spesifik lainnya dari klien. Tapi secara

umum menurut Bagranof, Briyant, & Hunton (2003), audit program

mencantumkan beberapa komponen berikut :

Scope of the Audit

Audit Objectives

Audit Procedures

Dan detail lain seperti dokumentasi dan pelaporan

4. Gathering Evidence

Ini adalah proses audit field work dimana auditor akan terjun ke lapangan

dan mengumpulkan bukti baik itu hasil wawancara, observasi,

pemeriksaan, dan hasil analisis data. Tujuan dari proses ini adalah untuk

mengumpulkan bukti yang cukup, handal, dan relevan untuk mencapai

obyektif dari audit. Pada audit sistem informasi ini, metode pengumpulan

bukti tergantung pada jenis pengujian yang dilakukan selama proses audit

sistem informasi.

5. Forming Conclusions

Setelah melakukan field work dan menyelesaikan semua kajian dan

pengujian dan mendapatkan bukti yang cukup. Maka langkah berikutnya


19


auditor akan menganalisis bukti dan menyimpulkan atau membentuk

kesimpulan apakah obyektif audit sudah tercapai dan prosedur yang

dilakukan sudah cukup untuk membuat opini audit.

6. Deliver Audit Opinion

Sama seperti program audit. TIdak ada juga standard dalam bagaimana

bentuk opini dari audit sistem informasi. Namun pada umumnya apabila

audit sistem informasi merupakan bagian dari audit laporan keuangan,

maka bentuk opininya adalah dalam bentuk Management Letter.

7. Follow Up

Ini adalah fase terakhir dimana setelah auditor memberikan hasil dan opini

dari audit sistem informasi, auditor akan mem-follow up apakah isu-isu

yang ditemukan sudah dibetulkan dan saran-saran dari auditor sudah

dilakukan.

2.5 Pengendalian Sistem Informasi

Weber (1999) menyatakan bahwa obyek dalam proses audit/review sistem

informasi adalah kontrol atau pengendalian. Pengendalian sendiri ia definisikan

sebagai sebuah sistem yang digunakan untuk mencegah (prevents), mendeteksi

(detects), atau mengkoreksi kejadian yang tidak dibenarkan (unlawful events).

Pengendalian juga merupakan salah satu bentuk pengelolaan resiko sistem

informasi yang ada di perusahaan. Pengendalian sistem informasi dibagi menjadi

dua juga, yaitu :

1. Pengendalian umum IT (IT General Control)

2. Pengendalian aplikasi (Application Control).

Pengendalian sistem informasi ini berfungsi untuk mengendalikan, dan mengelola

resiko yang ada pada suatu sistem informasi sehingga sistem informasi bisa

berfungsi secara efektif dalam menjalankan proses bisnis perusahaan.


20


2.5.1 Pengendalian Umum Sistem Informasi (IT General Control)

Pengendalian Umum Sistem Inforamsi atau IT General Control (ITGC)

adalah sebuah pengendalian menyeluruh yang mengendalikan pada level

lingkungan dimana sistem informasi perusahaan dikembangkan, dikelola, dan

dioperasikan, sehingga berlaku untuk seluruh aplikasi dan komponen dari sistem

informasi tersebut (ISACA, 2012). Tujuan dari pengendalian umum adalah untuk

memastikan pengembangan aplikasi yang tepat dan implementasinya, serta

integritas program, file data, dan operasi komputer.

Review atas pengendalian umum sistem informasi memiliki tujuan untuk

mendapatkan kesan keseluruhan kontrol yang ada di lingkungan tempat sistem

informasi berada, hal ini meliputi :

1. Struktur administratif dan organisasi dari fungsi-fungsi sistem informasi.

2. Keberadaan kebijakan dan prosedur dalam operasi sehari-hari

3. Ketersediaan staff dan kemampuannya.

4. Lingkungan pengendalian (Control Environment) secara keseluruhan.

Hal ini penting untuk dipahami oleh Auditor Sistem Informasi karena lingungan

pengendalian menjadi basis pengendalian-pengendalian lain yang ada di

dalamnya. Sedangkan pengendalian umum sistem informasi bisa dibagi menjadi

tiga bagian :

1. IT Operation

Adalah kebijakan, standard aturan, dan prosedur yang mengatur operasi

dan administrasi sistem informasi perusahaan seperti kebijakan pemisahan

fungsi- fungsi dalam unit pengolahan data dan aplikasi serta kebijakan

terhadap proses back-up dan recovery.

2. Physical Security

Adalah pengendalian akses ke perangkat secara fisik, seperti adanya

sistem access code pintu masuk data center, pemasangan kunci untuk

ruang komputer, dan sebagainya.

3. Logical Security


21


Mencakup pengendalin terhadap akses logis ke perangkat, dengan cara

seperti penggunaan kata kunci (password), enkripsi (encryption) dan

lainnya.

4. Change Management

Adalah semua kebijakan, standard peraturan, dan prosedur tentang

bagaimana perubahan dan penambahan komponen-komponen sistem

informasi dilakukan.

2.5.2 Pengendalian Aplikasi Sistem Informasi (IT Application Control)

Pengendalian aplikasi adalah pengendalian yang ditujukan pada suatu

aplikasi yang bertujuan supaya aplikasi tersebut bisa menjaga aset, integritas data,

memproses data secara akurat, dan dapat diandalkan sehingga bisa mencapai

obyektif yang ditentukan. Pengendalian ini bersifat spesifik yang berarti suatu

aplikasi bisa memiliki pengendalian yang berbeda dengan aplikasi lainnya

tergantung pada pengguna aplikasi (user) dan kondisi dimana tiap aplikasi

digunakan. Pengendalian aplikasi bisa dibagi menjadi beberapa bagian, yaitu :

1. Input Control

Pengendalian input adalah pengendalian yang mencangkup langkah-

langkah pemrosesan mulai dari asal data, pencatatan dan pemasukan data

ke dalam aplikasi. Pengendalian input memiliki resiko paling besar

sehingga menjadi pengendalian yang paling penting. Tujuan pengendalian

input ialah untuk menjamin data yang dimasukan ke dalam aplikasi berasal

dari user yang tepat, telah lengkap, akurat, dan sah.

2. Processing Control

Pengendalian proses memastikan kehandalan dari setiap mekanisme

pemrosesan data. Pengendalian ini menjamin bahwa seluruh data yang

telah dimasukan telah diproses secara benar dan akurat. Keyakinan yang

dihasilkan dari pengendalian proses haruslah sesuai dengan tujuan aplikasi

yang dimaksud.

3. Output Control

Pengendalian keluaran adalah pengendalian terakhir dalam pengendalian aplikasi.


22


Pengendalian ini bertujuan untuk menjamin bahwa keluaran sudah memiliki

intergritas tinggi, keluaran telah tepat waktu, dan hanya digunakan oleh pihak

yang berwenang.

2.6 Peran Auditor Sistem Informasi Di Audit Keuangan

Bagranof, Briyant, & Hunton (2003) mengatakan bahwa Auditor Sistem

Informasi harus berkerja bersama-sama dengan auditor keuangan jika audit sistem

informasi dibutuhkan dalam pelaksanaan audit keuangan. Lebih lanjut lagi

Bagranof, Briyant, & Hunton (2003) mengidentifikasi dan merekomendasikan

aktivitas-aktivitas dari Auditor Sistem Informasi pada setiap fase audit. Aktivitas-

aktivitas ini adalah :

1. Pada fase awal, understanding client business, Auditor Sistem Informasi

disarankan untuk mengevaluasi kompleksitas dari sistem informasi klien.

2. Pada saat membuat program audit, Auditor Sistem Informasi berkerja

sama dengan auditor keuangan untuk membuat program audit.

3. Ketika sedang melakukan test of control sistem informasi dari klien,

Auditor Sistem Informasi dan auditor keuangan bergabung dan

mengevaluasi bersama.

4. Pada saat memastikan tingkat keandalan dari pengendalian internal,

Auditor Sistem Informasi dan auditor keuangan harus bekerja bersama-

sama.

5. Apabila dilakukan substantive testing, maka Auditor Sistem Informasi

mungkin perlu untuk melakukan data analisis atau Computer Aided Audit

Technique untuk membantu auditor keuangan.

6. Ketika Auditor keuangan melakukan review kerja dan membuat laporan

audit, Auditor Sistem Informasi melakukan review lalu membuat laporan

ke manajemen dengan rekomendasi yang berkaitan dengan sistem

informasi klien.

7. Ketika melakukan follow-up Auditor Sistem Informasi berkerja bersama

dengan manajemen dan auditor keuangan.


23


Dari rekomendasi diatas bisa disimpulkan bahwa ketika membutuhan dukungan

audit sistem informasi, Auditor Sistem Informasi bisa harus berkerja bersama-

sama dengan auditor keuangan dalam setiap fase audit. Namun seberapa besar

keterlibatan Auditor Sistem Informasi tergantung dari seberapa besar kebutuhan

audit sistem informasi yang diminta oleh auditor keuangan.



BAB III

PROFIL PERUSAHAAN

3.1 Profil Kantor Akuntan Publik RSM AAJ Associates

Amir Abadi Jusuf mendirikan RSM AAJ Associates di Jakarta pada tahun

1985 dan mulai dari tahun 1992 kantor akuntan publik ini telah berafiliasi dengan

RSM International. RSM AAJ Associates didirikan dengan izin usaha sebagai

kantor akuntan publik dari Menteri Keuangan Republik Indonesia Nomor: KEP-

269/KM.6/2004.

RSM AAJ Associates merupakan firma internasional yang menyediakan

berbagai layanan jasa dengan kelas terbaik. Tujuan utama dari RSM AAJ

Associates adalah memberikan jasa berkualitas terbaik dan dapat memberikan

nilai tambah kepada seluruh klien. Saaat ini RSM AAJ Associates memiliki kantor

yang berlokasi di Jakarta dan Surabaya.

RSM International merupakan sebuah jaringan firma audit dan konsultasi

yang menempati posisi keenam terbesar di dunia. Didukung oleh lebih dari 32.000

profesional di 736 kantor yang tersebar di lebih dari 76 negara. Dengan bekerja

sama dengan RSM International, RSM AAJ Associates ingin terus memberikan

jasa professional terbaik yang mencakup berbagai area.

3.1.1 Bidang Jasa yang Disediakan KAP RSM AAJ Associates

RSM AAJ Associates menyediakan beberapa jenis jasa (service line) yang

dapat membantu proses bisnis perusahaan. Jasa yang disediakan oleh RSM AAJ

antara lain adalah sebagai berikut:

1. Audit & Assurance Service

Jasa ini merupakan jasa utama yang diberikan oleh KAP. Beberapa jenis

jasa yang diberikan dalam kategori Audit & Assurace Service antara lain:

General Audit

Special Audit

Review & Compilation


25


Attestation Engagement

Financial Due Diligence

2. Tax Advisory Service

Jasa ini mencakup jasa konsultasi perpajakan serta kepatuhan terhadap

peraturan perpajakan. Jasa yang termasuk dalam Tax Advisory Service

antara lain :

Tax Consulting & Compliance

Accounting, Payroll, & Administration Services

Business Establishment Service & Corporate Secretarial

3. Transaction Support & Capital Market Services

Jasa ini mencakup jasa solusi bisnis, pre-IPO advisory, valuation capital

market, dan jasa lainnya. Jasa yang termasuk dalam kategori ini adalah :

Transaction Analysis

Business Solutions

Divestment, Merger, & Acquisition

Business Turnaround

Fund Arranger & Valuation

4. Risk & Internal Audit Advisory Services

Jasa kategori ini adalah jasa konsultasi perusahaan dan assurance yang

diluar dari jasa keuangan. Jasa yang masuk dalam kategori ini adalah :

Corporate Governance

Internal Audit

Risk Management

Information System Audit

Performance Improvement / Operational Audit

System & Procedures Development

5. International Financial Reporting Standards (IFRS) Services

Adalah jasa yang berkaitan dengan implementasi IFRS di sebuah

perusahaan. Jasa yang termasuk dalam kategori ini adalah :

IFRS Conversion Project & Due Diligence in IFRS Environment


26


Valuations Relating to Purchase Price Allocation Process

Shared-Based Payments

Audit on IFRS Financial Statement

3.1.2 Struktur Organisasi KAP RSM AAJ Associates

Board of Partners merupakan organ yang memimpin RSM AAJ

Associates. Board of Partner dipimpin oleh Chief Executive Partner (CEP) yang

memiliki peran dan tanggung jawab untuk menentukan tujuan dan strategi

perusahaan, mengarahkan semua sumber daya untuk pencapaian tujuan, dan

memantau pelaksanaan rencana dan program perusahaan.

RSM AAJ Associates memiliki delapan divisi. Setiap divisi merupakan

unit operasional yang menawarkan bidang jasa tertentu. Setiap divisi dipimpin

oleh Division Chief Operating Officer (DCOO) dan bertanggungjawab kepada

Managing Partner yang sesuai dengan bidang jasanya. Divisi yang ada di KAP

RSM AAJ Associates adalah :

1. Divisi Blue yang menyediakan jasa Audit & Assurance dan IFRS

2. Divisi Green yang menyediakan jasa Audit & Assurance dan IFRS

3. Divisi Red yang menyediakan jasa Audit & Assurance dan IFRS

4. Divisi Tosca yang menyediakan jasa Audit & Assurance dan IFRS

5. Divisi White yang memberikan jasa Risk & Internal Audit

6. Divisi Orange yang memberikan jasa Transaction Support & Capital

Market

7. Divisi Purple yang memberikan jasa Tax Corporate Service

8. Dan Divisi Brown yang ada di Surabaya yang memberikan semua jenis

jasa yang ditawarkan oleh KAP.

Selain divisi, RSM AAJ Associates juga memiliki unit-unit pendukung

lainnnya dalam mendukung perusahaan melakukan kegiatan operasionalnya. Unit-

unit tersebut antara lain Finance & Administration Director, Marketing Director,

dan Technical & Training Function yang bertanggung jawab kepada Chief

Executive Partner serta Controller, IT Admin Officer, Chief Admin Officer, dan

Human Asset Development Officer yang bertanggungjawab kepada Finance and


27


Administration Director.

RSM AAJ Associates dalam memastikan bahwa kebijakan-kebijakan RSM

telah dipatuhi, dibantu oleh Partner in Charge yang menangani tiga area penting

yaitu Ethics & Independence, Continuing Professional Development (CPD), dan

Personnel. Keseluruhan Struktur organisasi RSM AAJ Associates dapat dilihat

pada gambar 3.1.

Gambar 3.1 : Struktruk Organisasi Kantor Akuntan Publik RSM AAJ Associates

Sumber : RSM AAJ Associates Employee Handbook 2012

3.2 Profil PT. JKLM

Untuk mendukung gerak pertumbuhan ekonomi, Indonesia membutuhkan

jaringan jalan yang handal. Melalui Peraturan Pemerintah No. 04 Tahun 1978,

pada tanggal 01 Maret 1978 Pemerintah mendirikan PT JKLM. Tugas utama PT

JKLM adalah merencanakan, membangun, mengoperasikan dan memelihara jalan

tol serta sarana kelengkapannya agar jalan tol dapat berfungsi sebagai jalan bebas

hambatan yang memberikan manfaat lebih tinggi daripada jalan umum bukan tol.

Pada awal berdirinya, Perseroan berperan tidak hanya sebagai operator tetapi

memikul tanggung jawab sebagai otoritas jalan tol di Indonesia. Hingga tahun

1987 PT JKLM adalah satu-satunya penyelenggara jalan tol di Indonesia yang

pengembangannya dibiayai Pemerintah dengan dana berasal dari pinjaman luar

negeri serta penerbitan obligasi PT JKLM dan sebagai jalan tol pertama di


28


Indonesia yang dioperasikan oleh Perseroan, sebagaimana terlihat pada gambar

3.2, Jalan Tol Jagorawi (Jakarta-Bogor-Ciawi) merupakan tonggak sejarah bagi

perkembangan industri jalan tol di Tanah Air yang mulai dioperasikan sejak tahun

1978.

Gambar 3.2 Sejarah Pengoperasian Jalan Tol PT JKLM

Sumber : Website PT JKLM

Pada akhir dasawarsa tahun 80-an Pemerintah Indonesia mulai

mengikutsertakan pihak swasta untuk berpartisipasi dalam pembangunan jalan tol

melalui mekanisme Build, Operate and Transfer (BOT). Pada dasawarsa tahun

1990-an Perseroan lebih berperan sebagai lembaga otoritas yang memfasilitasi

investor-investor swasta yang sebagian besar ternyata gagal mewujudkan

proyeknya. Beberapa jalan tol yang diambil alih Perseroan antara lain adalah

JORR dan Cipularang.

Dengan terbitnya Undang Undang No. 38 tahun 2004 tentang Jalan yang

menggantikan Undang Undang No. 13 tahun 1980 serta terbitnya Peraturan

Pemerintah No. 15 yang mengatur lebih spesifik tentang jalan tol terjadi

perubahan mekanisme bisnis jalan tol diantaranya adalah dibentuknya Badan

Pengatur Jalan Tol (BPJT) sebagai regulator industri jalan tol di Indonesia, serta

penetapan tarif tol oleh Menteri Pekerjaan Umum dengan penyesuaian setiap dua


29


tahun. Dengan demikian peran otorisator dikembalikan dari Perseroan kepada

Pemerintah. Sebagai konsekuensinya, Perseroan menjalankan fungsi sepenuhnya

sebagai sebuah perusahaan pengembang dan operator jalan tol yang akan

mendapatkan ijin penyelenggaraan tol dari Pemerintah. Sebagai perusahaan

infrastruktur penyediaan jalan tol keberadaan PT JKLM sangat dibutuhkan oleh

masyarakat luas. Pertumbuhan penjualan kendaraan yang tinggi serta dibijakan

otoritas pengatur jalan tol yang semakin kondusif akan membuat posisi PT JKLM

semakin kuat dalam industi jalan tol di Indonesia.

3.2.1 Bidang Usaha PT. JKLM

Pendapatan utama perusahaan berasal dari volume lalu lintas yang

melewati Jalan Tol yang dioperasikan. 48 % jalan tol yang dimiliki PT JKLM

berlokasi didaerah Jabotabek yang mempunyai volume lalu lintas yang tinggi dan

dikota-kota besar di daerah Jawa dan Sumatra yang mempunyai populasi

penduduk yang padat. Trafic volume akan terus bertambah seiring dengan

terselesaikanya proyek-proyek baru yang terkoneksi dengan jalan tol yang

dioperasikan perusahaan dengan volume lalu lintas yang telah terbentuk.

Bidang usaha PT JKLM dibagi menjadi dua, bidang usaha jalan tol dan

bidang usaha non jalan tol. Usaha PT JKLM di bidang usaha jalan tol adalah

membangun dan menyediakan jasa pelayanan jalan tol. Untuk itu PT JKLM

melakukan aktifitas usaha sebagai berikut :

Melakukan investasi dengan membangun jalan tol baru.

Mengoperasikan dan memelihara jalan tol.

Mengembangkan usaha lain, seperti tempat istirahat, iklan, jaringan serat

optik dan lain-lain, untuk meningkatkan pelayanan kepada pemakai jalan

dan meningkatkan hasil usaha perusahaan.

Mengembangkan usaha lain dalam koridor jalan tol.

Saat ini PT JKLM mengelola dan mengoperasikan 13 hak pengusahaan (konsesi)

jalan tol melalui sembilan kantor cabang dan satu anak perusahaan yaitu :

1. Jalan tol Jagorawi

2. Jalan Tol Jakarta-Tangerang


30


3. Jalan Tol Jakarta- Cikampek

4. Jalan Tol Dalam Kota Jakarta

5. Jalan Tol Prof. Dr.Ir. Sedyatmo

6. Jalan Tol Serpong-Pondok Aren (dioperasikan oleh JLJ)

7. Jalan Tol Cikampek -Purwakarta-Cileunyi

8. Jalan Tol Padalarang –Cileunyi

9. Jalan Tol Palimanan-Kanci

10. Jalan Tol Semarang

11. Jalan Tol Surabaya Gempol

12. Jalan Tol Belawan-Medan-Tanjung Morawa

13. Jalan Tol Lingkar Luar Jakarta (dioperasikan oleh JLJ)

Di bidang usaha non jalan tol, Selain dari menambah jalan tol PT JKLM juga

mengembangkan usaha lain dengan mengkapitalisasi berbagai aset-aset yang

dimiliki perusahaan diantaranya adalah :

1. Penyewaan lahan dan Utilitas, saat ini PT JKLM tengah menggarap jalur

Serat Optik dari Bandung hingga Jakarta

2. Pengembangan rest area, serta properti. Sampai akhir 2009, Perseroan

telah membangun enam tempat istirahat (rest area), empat di antaranya

berada di ruas Jakarta-Cikampek, satu di Bandung dan satu di Tangerang.

Rencananya 2010 ini Perseroan akan membangun 14 tempat istirahat lagi

di lokasi berbeda.

3. Pemasangan iklan,

4. Berbagai Jasa termasuk Jasa pengoperasian jalan tol pihak lain. Termasuk

mengelola Jembatan Tol Suramadu yang menjadi kebanggan nasional.

Selain itu PT JKLM melalui anak perusahaan Sarana Marga Bhakti Utama

telah melebarkan sayap ke berbagai bidang Jasa Lainnya seperti

trnasportasi, pembangunan dan pemeliharaan jalan umum.Tahun 2009 lalu

usaha lain-lain ini menyumbang pendapatan sebesar Rp 42,01 miliar, naik

dari Rp 31,76 milar pada tahun sebelumnya.

Khusus pengelolaan Jembatan Suramadu, Terpilihnya PT JKLM sebagai

pengelola Jembatan sepanjang 5,4 km tersebut, menambah nilai tersendiri, yaitu


31


kepercayaan dari Pemerintah terhadap pengalaman dan kemampuan yang dimiliki

oleh perusahaan.

3.2.2 Struktur Organisasi PT. JKLM

PT JKLM adalah sebuah perusahaan milik negara yang mayoritas

kepemilikannya dimiliki oleh negara dan sisanya dimiliki oleh masyarakat umum.

Struktur organisasi PT JKLM bisa dilihat di gambar 3.3. Sedangkan seluruh

sistem informasi perusahaan dikelola oleh Biro Teknologi Informasi Perusahaan.

Struktur organisasi Biro Teknologi Informasi Perusahaan PT JKLM bisa dilihat

pada gambar 3.4.

Gambar 3.3 : Struktur Organisasi PT JKLM

Sumber : Website PT JKLM, diambil pada tahun 2013


32


Gambar 3.4: Sturktur Organisasi Biro Teknologi Informasi Perusahaan PT JKLM

Sumber : Dokumen Internal Biru Teknologi Informasi Perusahaan PT JKLM



BAB IV

PEMBAHASAN

Pada bagian ini penulis akan menjelaskan tentang audit sistem informasi

pada PT JKLM secara lebih mendetail. Gambaran umum dari audit sistem

informasi akan dijelaskan lalu diikuti dengan penjelasan yang mendetail atas

kajian dan pengujian yang dilakukan selama audit sistem informasi berlangsung.

Untuk gambaran umum audit sistem informasi yang dilakukan penulis akan

menjelaskan beberapa hal berikut ini :

1. Fase perencanaan audit atau audit planning dari audit sistem informasi.

2. Tujuan dari audit sistem informasi

3. Ruang lingkup pemeriksaan

4. Prosedur umum audit sistem informasi

5. Pelaksanaan audit sistem informasi. Pada bagian ini akan dibahas secara

mendetail kajian dan pengujian yang dilakukan, antara lain :

a. Kajian atas infrastruktur teknologi informasi perusahaan.

b. Kajian dan pengujian atas pengendalian umum sistem informasi (IT

General Control)

c. Kajian dan pengujian atas pengendalian aplikasi sistem informasi

(IT Application Control)

Setiap bagian dari kajian dan pengujian akan dibahas tiap-tiap prosedur yang

dilakukan, hasil atas kajian dan pengujian, serta kesimpulan dan analisis atas hasil

kajian dan pengujian audit sistem informasi yang dilakukan.

4.1 Perencanaan Audit Sistem Informasi

Audit Sistem Informasi atas PT JKLM dimulai ketika tim Audit keuangan

membutuhkan Auditor Sistem Informasi untuk melakukan test of control atas

sistem informasi perusahaan. Alasan kenapa tim audit keuangan membutuhkan

adanya audit sistem informasi atas PT JKLM adalah karena sejak menerapkan


34


sistem ERP, proses bisnis PT JKLM menjadi sepenuhnya terintegrasi dengan

sistem informasi perusahaan dan teknologi informasi perusahaan. Terutama pada

proses pengadaan, pengelolaan, dan pencatatan aset tetap yang sudah sepenuhnya

terintegrasi dengan IT perusahaan dan memiliki resiko paling besar. Ketika

permintaan Audit Sistem Informasi Support diterima, tim Auditor Sistem

Informasi dan dan Audit keuangan bersama-sama menentukan tujuan dan ruang

lingkup dari Audit sistem informasi yang akan dilakukan. Namun terdapat satu

kekurangan yaitu pada saat pelaksanaan audit sistem informasi, tim audit

keuangan tidak mendampingi serta komunikasinya sangatlah minimal.

KAP RSM AAJ Associates dalam melakukan Audit Sistem Informasi

sudah memiliki pedoman dalam melaksanakan Audit Sistem Informasi. Pedoman

tersebut adalah sebuah “RSM Form” yang digunakan oleh seluruh jaringan RSM

International. “RSM Form” dibuat berdasarkan COBIT 4.1 dan pedoman best

practice yang ada. Di dalam “RSM Form” ini sudah terdapat obyektif yang harus

dicapai dalam sebuah Audit Sistem Informasi dan kriteria pengujiannya. “RSM

Form” ini nantinya akan diisi di akhir setiap pelaksanaan Audit Sistem Informasi.

Penulis melampirkan “RSM Form” hasil dari Audit Sistem Informasi PT JKLM di

karya tulis ini.

Sedangkan untuk output dari audit sistem informasi di PT JKLM ini ada

dua, yaitu :

1. Control Review Memo (CRM), yang merupakan rangkuman atas seluruh

analisa dan kajian yang dilakukan selama audit sistem informasi

berlangsung beserta dengan hasilnya secara mendetail. CRM ini nantinya

akan digunakan oleh tim audit keuangan untuk membantu mereka

melakukan audit atas laporan keuangan PT JKLM

2. Management Letter, yang merupakan surat yang mencantupkan seluruh

hasil kajian dan temuan dari audit sistem informasi, sebab dan kondisi

kenapa temuan tersebut ada yang mencantumkan sumber

permasalahannya, dan saran untuk memperbaiki temuan dari audit sistem

informasi tersebut. Management Letter ini diperuntukan bagi PT JKLM

sehingga mereka juga mendapatkan manfaat atas audit sistem informasi


35


yang dilakukan dan supaya PT JKLM bisa memperbaiki dan

meningkatkan kualitas sistem informasi dan teknologi informasi

perusahaan yang mereka miliki.

4.1.2 Tujuan Penugasan

Tujuan dari Audit Sistem Informasi dalam Penugasan Audit Sistem

Informasi Support per 31 Desember 2012 pada PT JKLM adalah untuk melakukan

kajian pengendalian internal yang telah diterapkan oleh Perusahaan khususnya

yang terkait dengan pengendalian dalam bidang teknologi informasi dalam rangka

mendukung general audit team melakukan penilaian atas kewajaran laporan

keuangan.

4.1.3 Ruang Lingkup Pemeriksaan

Ruang lingkup pemeriksaan yang dilakukan terdiri dari pemeriksaaan atas

penerapan Pengendalian Umum Teknologi Informasi (IT General Control) dan

Pengendalian Aplikasi (Application Control). Berikut adalah rincian dari ruang

lingkup pemeriksaan:

1. Pengendalian Umum Teknologi Informasi (IT General Control)

Kajian atas pengendalian umum yang terkait dengan pengelolaan

teknologi informasi yang digunakan oleh Perusahaan untuk memperoleh

keyakinan bahwa pengendalian umum TI tersebut telah di desain serta

beroperasi secara efektif dan memadai. Kajian yang dilakukan meliputi

beberapa area berikut:

a. IT Operation

b. Logical Access

c. Change Management

2. Pengendalian Aplikasi (Application Control)

Kajian atas pengendalian aplikasi yang dilakukan terkait dengan area

pengadaan dan pengelolaan aset tetap (Fixed Asset Procurement &

Management) yang terdapat di Perusahaan. Pengendalian aplikasi


36


dilakukan untuk memperoleh keyakinan bahwa pengendalian aplikasi

tersebut telah didesain, beroperasi secara efektif, dan memadai. Kajian

yang dilakukan meliputi pengendalian terhadap sistem aplikasi ERP

(Oracle) dengan ruang lingkup modul sebagai berikut:

a. Purchasing Module

b. Invoicing pada Account Payable Module

c. Project Costing Module

d. Asset Management Module

e. General Ledger Module

4.2 Prosedur Umum Pelaksanaan Audit Sistem Informasi

Prosedur yang telah Tim Audit Sistem Informasi lakukan dalam

melakukan pemeriksaan adalah:

1. Melakukan wawancara untuk mendapatkan pemahaman mengenai

penggunaan TI pada aktivitas operasional Perusahaan dengan beberapa

pihak terkait, yaitu:

a. Biro Teknologi Informasi Perusahaan:

i. Kepala Analisis Pengembangan Teknologi.

ii. Kepala Pengelolaan Sistem Informasi Teknologi.

b. Biro Manajemen Sumber Daya Manusia:

i. Bagian Pengelolaan Data dan Remunerasi.

c. Biro Umum:

i. Staff Pratama Satu Bagian Logistik.

ii. Staff Pratama Satu Bagian Administrasi.

d. Biro Keuangan dan Akuntansi:

i. Kepala Sub Bagian Akuntansi Proyek.

ii. Kepala Sub Bagian Data Akun dan Aktiva Tetap.

2. Melakukan kajian atas kebijakan, prosedur, serta dokumentasi yang

terkait dengan ruang lingkup pemeriksaan.

3. Observasi terhadap proses bisnis dan keamanan teknologi informasi

Perusahaan untuk memastikan kebijakan Perusahaan telah diterapkan


37


dengan sesuai.

4. Observasi terhadap integritas data perhitungan serta pencatatan

pengadaan dan pengelolaan (logistik) aset tetap.

4.3 Pelaksanaan Audit Sistem Informasi

Dalam melaksanakan audit sistem informasi tim Audit Sistem Informasi

melakukan 3 jenis kajian, yaitu :

1. Kajian Teknologi Informasi

2. Kajian Pengendalian Umum Sistem Informasi

3. Kajian Pengendalian Aplikasi Sistem Informasi

Di bagian selanjutnya akan membahas tentang masing-masing kajian yang

dilakukan.

4.3.1 Kajian Teknologi Informasi

Dalam kajian ini tim Audit Sistem Informasi melakukan analisis atas

struktur jaringan perusahaan, serta aplikasi yang digunakan perusahaan terutama

aplikasi utama untuk proses bisnis perusahaan, berikut ulasannya.

4.3.1.1 Struktur Jaringan PT JKLM

Jaringan sistem informasi pada Perusahaan secara keseluruhan merupakan

gabungan dari model jaringan LAN (Local Area Network) dan WAN (Wide Area

Network). Gambar 4.1 menggambarkan struktur jaringan yang dimiliki oleh PT

JKLM.


38


Gambar 4.1 : Diagram Keseluruhan Jaringan Perusahaan


Dari gambar 4.1 terlihat bahwa PT JKLM memiliki beberapa jaringan LAN yang

dipergunakan di level kantor pusat dan kantor cabang. Antara kantor pusat dan

kantor cabang terkoneksi via VPN (Virtual Private Network) didalam sebuah

jaringan WAN. Firewall di set up dengan jaringan yang terkoneksi langsung

dengan internet. Dengan struktur seperti ini jaringan dari PT JKLM sudah

termasuk cukup aman.

Selain memiliki data center sendiri di kantor pusat, PT JKLM juga

memiliki sebuah jaringan collocation yang ada di vendor CBN. Jaringan

collocation adalah jaringan yang ditempatkan dan menyewa tempat di data center

perusahaan lain. Jadi PT JKLM memiliki beberapa server yang ingin

dikoneksikan dengan internet. Lalu PT JKLM menaruh server tersebut di data

center yang dimiliki oleh perusahaan lain. Jaringan collocation memberikan

keuntungan biaya dimana PT JKLM hanya perlu membayar biaya sewa tempat di

data center secara bulanan atau tahunan tidak perlu melakukan maintenance atas

data center secara keseluruhan. Jaringan collocation ini terletak di Gedung Cyber

Kuningan, Jakarta. Pada jaringan collocation ini dipasang berbagai macam


39


aplikasi portal internal maupun eksternal yang bisa diakses via internet. Portal

internal terdiri dari berbagai aplikasi yang berfungsi untuk help desk dan

sosialisasi berita internal. Sedangkan portal eksternal berfungsi sebagai media

informasi bagi public umum. Struktur jaringan collocation tersebut bisa dilihat

pada gambar 4.2.

Gambar 4.2 : Diagram jaringan collocation PT JKLM


Selain itu PT JKLM memiliki Disaster Recovery Center (DRC) yang

digunakan sebagai fail over jaringan utama dan selain untuk kepentingan network

redundancy, DRC ini berfungsi juga sebagai back up data dari jaringan utama.

Dengan adanya DRC ini meskipun jaringan utama tidak bekerja, operasi bisnis

tidak terganggu kerena jaringan di DRC langsung bertindak sebagai pengganti.

Gambar 4.3 menampilkan struktur jaringan antara Kantor Pusat, Kantor Cabang,

dan DRC dari PT JKLM.


40


Gambar 4.3: Diagram jaringan antara Kantor Pusat, Cabang, dan DRC PT JKLM


Secara keseluruhan struktur jaringan dari PT JKLM tidak ada masalah. Firewall di

setup di tempat yang tepat dan antara kantor cabang dengan kantor pusat

terkoneksi secara aman melalui VPN perusahaan serta juga handal dan stabil

dengan adanya DRC yang berfungsi sebagai back up dan fail over dari jaringan

utama.

4.3.1.2 Aplikasi, Sistem Operasi, & Database PT. JKLM

PT JKLM menggunakan berbagai macam aplikasi dalam mendukung

proses bisnisnya. Aplikasi – aplikasi tersebut berasal dari vendor (konsultan)

maupun hasil pengembangan internal pada modul-modulnya. Berikut adalah

daftar aplikasi, operating system dan database yang digunakan :

Tabel 4.1 Daftar Aplikasi, Sistem Operasi, Database, & Kegunaannya di PT

JKLM

No. Nama Aplikasi Sistem Operasi Database Used

1 Oracle EBS: Enterprise Resource Planning (ERP) 12.0.6

Solaris 10 Oracle 10.2.0.3.0

Untuk mengintegrasi proses bisnis (keuangan, logistik, dan SDM) di PT. Jasa Marga.


41



2 Hyperion Planning 11.1.1.1

Solaris 10

Essbase 11.1.1.1

Untuk aplikasi anggaran yang terintegrasi dengan aplikasi ERP.

3 Portal Internal (www.jasamarga.co.id)

Linux CentOS 5.5.16

MySQL 5.0.8

Mengintegrasi aplikasi-aplikasi yang ada di Jasa Marga sehingga aplikasi-aplikasi tersebut dapat diakses melalui satu pintu.

4 Portal Support ERP Linux CentOS 5.5.16

MySQL 5.0.8

Untuk forum komunikasi para pengguna ERP dengan berbagai permasalahannya.

5 Aplikasi KPI Windows Server 2008

MySQL Server

Untuk membantu Biro Perencanaan Perusahaan dalam melakukan penghitungan KPI.

6 Aplikasi Biro Manajemen Mutu dan Risiko

Linux CentOS 5.5.16

MySQL 5.0.8

Media informasi mengenai mutu dan risiko.

7 Aplikasi Pendapatan Tol

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk melihat dan memonitor pendapatan tol tiap cabang.

8 Aplikasi Volume Lalulintas

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk melihat dan memonitor volume lalu lintas tiap cabang.

9 Aplikasi Informasi Kondisi Lalulintas

Linux CentOS 5.5.16

MySQL 5.0.8

Memudahkan pengguna jalan tol untuk mendapatkan informasi kondisi lalu lintas di jalan tol.

10 Sistem Informasi Manajemen Proyek

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk memonitor kinerja dan progress proyek yang ada di Jasa Marga.

11 Portal Biro Hukum Linux CentOS 5.5.16

MySQL 5.0.8

Untuk memudahkan mengakses dokumen

(Tabel 4.1 – Lanjutan)


42



yang terkait dengan Biro Hukum seperti misalnya SK, dll.

12 Portal Jasamarga Award

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk mengakses informasi mengenai Jasa Marga Award.

13 Portal Lampiran Elektronik

Linux CentOS 5.5.16

MySQL 5.0.8

Media untuk mengirimkan lampiran surat dalam bentuk file elektronik.

14 Aplikasi Laporan Keuangan

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk memudahkan anak perusahaan dalam mengirimkan laporan keuangannya ke pusat.

15 Sistem PKBL Linux CentOS 5.5.16

MySQL 5.0.8

Untuk menyimpan informasi mengenai PKBL baik cabang maupun pusat.

16 Sistem Informasi Laporan Manajemen

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk mengakses informasi mengenai laporan manajemen tiap cabang di Jasa Marga.

17 Info Tol Online Linux CentOS 5.5.16

MySQL 5.0.8

Untuk mengakses buletin info tol secara online.

18 Sistem Dokumentasi Tata Kelola Teknologi Informasi

Windows Server 2008

SQL Server Express

Untuk mengakses informasi mengenai tata kelola teknologi informasi di Jasa Marga.

19 Portal JMDC Windows Server 2008

MySQL Server

Untuk mengakses informasi mengenai JMDC, pelatihan yang diselenggarakan, dll.

20

Aplikasi e-OPA (Electronic Operational Performance Appraisal)

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk melakukan penilaian karyawan operasional secara harian.



43



21 Microsoft Exchange Server 2007

Windows Server 2003

Exchange Server 2007

E-mail karyawan Jasa Marga.

22 Portal Cabang Jagorawi

Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Jagorawi.

23 Portal Cabang CTC Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang CTC.

24 Portal Cabang Jakpek Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Jakarta Cikampek.

25 Portal Cabang Janger Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Janger.

26 Portal Cabang Purbaleunyi

Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Purbaleunyi.

27 Portal Cabang Palikanci

Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Palikanci.

28 Portal Cabang Semarang

Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Semarang.

29 Portal Cabang Surgem Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Surgem.

30 Portal Cabang Belmera

Windows Server 2008

MySQL 5.0.8

Informasi mengenai cabang Belmera.

31 Sistem Aplikasi Pusat Arsip Terpadu

Linux CentOS 5.5.16

MySQL 5.0.8

Untuk menyimpan informasi dan arsip secara terpadu.

Tabel 4.1 : Daftar Aplikasi, Sistem Operasi, dan Database

Dan dari hasil wawancara dan observasi dengan berbagai pihak terkait,

diperoleh pemahaman bahwa Perusahaan menggunakan sistem aplikasi utama

ERP (Oracle) dalam melakukan aktivitas operasionalnya. Perusahaan

menggunakan 10 modul dalam sistem aplikasi ERP (Oracle), yang dapat dilihat

pada Gambar 4.4.



44


Gambar 4.4 : Diagram Sistem Aplikasi ERP Perusahaan

Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM

4.3.2 Kajian Pengendalian Umum Sistem Informasi

Tim Audit Sistem Informasi telah melakukan kajian atas Pengendalian

Umum Teknologi Informasi (IT General Control) terhadap sistem aplikasi ERP

yang digunakan Perusahaan. Berikut adalah prosedur pemeriksaaan dan hasil dari

pemeriksaan untuk setiap area.

4.3.2.1 Logical Security

Kajian atas area logical security secara umum bertujuan untuk memastikan

bahwa akses terhadap sistem aplikasi Perusahaan telah dibatasi dengan

menerapkan konfigurasi keamanan yang tepat dan efektif, serta pemberian hak

akses kepada pengguna aplikasi telah sesuai dengan posisi, tanggung jawab, dan

telah mendapatkan otorisasi dari pihak yang berwenang.


45


a) Prosedur

Melakukan gain understanding atas area logical security terhadap

sistem aplikasi ERP.

Melakukan kajian atas dokumentasi kebijakan dan prosedur terkait

logical security, user access, dan user role pada aplikasi.

Melakukan pengujian atas penerapan kesesuaian user access

responsibility dengan user position terhadap sistem aplikasi

Perusahaan.

b) Hasil Kajian

Sistem aplikasi ERP dikelola oleh Biro Teknologi Informasi

Perusahaan (BTIP) yang merupakan bagian dari unit kerja Perusahaan.

Saat ini BTIP sudah memiliki prosedur terkait dengan permohonan,

pengubahan serta penutupan user access, tetapi belum terdapat kebijakan

yang mengatur tentang konfigurasi password.

Berdasarkan review dokumen “Prosedur Pembukaan dan Pengubahan

Hak Akses Pengguna ERP” yang telah disahkan pada tanggal 24 Mei 2011

serta disetujui oleh Kepala Biro TIP Bapak Bambang Sulistyo, terdapat :

1. Prosedur pembukaan hak akses sistem aplikasi ERP

Berdasarkan kebijakan, terdapat prosedur pembukaan hak akses

karyawan pada sistem aplikasi ERP. Prosedur pembukaan ini terdiri

dari 3 jenis prosedur yang ditujukan untuk setiap kondisi karyawan,

yaitu:

a. Prosedur pembukaan hak akses sistem aplikasi ERP untuk

karyawan baru yang ditampilkan oleh gambar 4.5.

b. Prosedur pembukaan hak akses sistem aplikasi ERP untuk

Karyawan Non Struktural dan Management Trainee yang

ditampilkan oleh gambar 4.6.

c. Prosedur pembukaan hak akses sistem aplikasi ERP untuk

Karyawan Struktural yang ditampilkan oleh gambar 4.7.


46


Gambar 4.5 Diagram Alur Pembukaan Hak Akses Karyawan Baru


Gambar 4.6 Diagram Alur Pembukaan Hak Akses Karyawan Non Struktural dan


47


Management Trainee


Gambar 4.7 Diagram Alur Pembukaan Hak Akses Karyawan Struktural



48


2. Prosedur pengubahan hak akses sistem aplikasi ERP

Berdasarkan kebijakan, terdapat prosedur pengubahan hak akses

karyawan karena mutasi jabatan pada sistem aplikasi ERP. Gambar 4.8

menggambarkan alur pengubahan hak akses tersebut.

Gambar 4.8 Diagram Alur Pembukaan Hak Akses Karyawan Atas Mutasi Jabatan


3. Prosedur penutupan hak akses sistem aplikasi ERP

Berdasarkan kebijakan, terdapat prosedur penutupan hak akses pada

sistem aplikasi ERP. Gambar 4.9 menggambarkan alur prosedur

penutupan hak akses tersebut.


49


Gambar 4.9 Diagram Alur Penutupan Hak Akses Karyawan Sumber : Control

Review Memo KAP RSM AAJ Associates untuk PT JKLM

Tim Audit Sistem Informasi juga memperoleh daftar seluruh user

ID aplikasi ERP perusahaan dan juga daftar seluruh pegawai dari bagian

Human Resource PT JKLM. Tim Audit Sistem Informasi melakukan

pengolahan atas kedua data tersebut. Berdasarkan observasi, user ID

sistem aplikasi ERP dibuat berdasarkan Nomor Pegawai PT JKLM.

Namun dari hasil analisis terhadap 5.701 user ID sistem ERP yang masih

berstatus aktif, terdapat 731 user ID sistem ERP yang tidak ada pada daftar

karyawan PT JKLM per 31 Desember 2012 dan 16 user ID yang dibuat

tidak berdasarkan nomor pegawai.

Berdasarkan informasi yang diberikan oleh Biro Teknologi

Informasi Perusahaan (TIP) PT JKLM bahwa penutupan akses user sistem

ERP belum dilakukan untuk karyawan yang sudah pensiun dan tidak

bekerja di PT JKLM serta konsultan yang sudah selesai menyelesaikan

kontrak dengan PT JKLM.

Berdasarkan hasil wawancara, Biro TIP belum memiliki

middleware identity management sehingga user identity masih dibuat pada

masing-masing aplikasi. Untuk sistem aplikasi ERP, Perusahaan


50


menerapkan kompleksitas minimum atas password yang digunakan di

dalam Perusahaan sebagai berikut:

Panjang minimum: 6 karakter.

Password history: tidak dapat menggunakan 1 password

sebelumnya.

Password expiration: tidak ada, tetapi selama default password

(“12345”) diberikan oleh Biro TIP, sistem akan secara otomatis

(langsung) memaksa pengguna untuk mengganti default password.

Akses terkunci setelah percobaan password yang salah 3 kali.

Password harus merupakan kombinasi huruf dan angka.

Perusahaan juga telah memiliki catatan aktivitas atas akses system

administrator dan seluruh pengguna pada sistem aplikasi ERP namun

belum dilakukan proses review dan monitoring terhadap akses yang

dilakukan oleh system administrator. Selain itu Perusahaan belum

memiliki kebijakan dan prosedur yang mengatur mengenai proses review

dan monitoring akses administrator dan pengguna.

4.3.2.2 Change Management

Kajian atas area manajemen perubahan secara umum bertujuan untuk

memastikan setiap penambahan dan perubahan yang terjadi terhadap sistem

aplikasi ERP telah mendapatkan otorisasi dari pihak yang berwenang, sesuai

dengan kebutuhan user dan Perusahaan, serta telah melalui tahapan

pengembangan, testing, dan implementasi sehingga tidak memiliki dampak yang

negatif terhadap proses bisnis yang telah berjalan.

a) Prosedur

Melakukan gain understanding terkait manajemen perubahan sistem

aplikasi ERP.

Melakukan kajian atas kebijakan dan prosedur yang terkait dengan

manajemen perubahan sistem aplikasi ERP.


51


Melakukan pengujian atas penerapan kebijakan dan prosedur yang

terkait dengan manajemen perubahan sistem informasi Perusahaan.

b) Hasil Kajian

Sistem aplikasi ERP sudah memiliki kebijakan dan prosedur terkait area

manajemen perubahan, tetapi tidak terdapat kebijakan dan prosedur terkait

emergency changes area. Berdasarkan hasil wawancara dan observasi

diketahui bahwa seluruh perubahan konfigurasi yang terjadi pada sistem

aplikasi ERP dilakukan oleh Biro TIP sesuai dengan kebutuhan. Namun,

Tim Audit Sistem Informasi tidak memperoleh informasi dan dokumentasi

terkait perubahan yang terjadi selama periode audit. Gambar 4.10

menampilkan alur prosedur pengubahan aplikasi perangkat lunk

berdasarkan review dokumen “Prosedur Pengubahan Aplikasi Perangkat

Lunak” yang telah disahkan oleh Bapak Bambang Sulistyo (Kepala Biro

TIP) pada Juni 2011.

4.3.2.3 Computer Operation

Kajian atas area computer operation secara umum bertujuan untuk

memastikan bahwa aktivitas backup, maintenance, dan problem management

terhadap sistem aplikasi ERP telah sesuai dengan best practice dan prosedur yang

ditetapkan.

a) Prosedur

Melakukan gain understanding atas area computer operation (backup,

maintenance, problem management) terkait sistem aplikasi ERP.

Melakukan kajian atas kebijakan dan prosedur yang terkait dengan

computer operation (backup, maintenance, problem management).

Melakukan pengujian atas penerapan kebijakan dan prosedur yang

terkait dengan computer operation (backup, maintenance, problem

management) dengan melakukan sampling terhadap dokumentasi

pelaksanaannya.


52


b) Hasil Kajian

Berdasarkan hasil wawancara dan review dokumen, Tim Audit Sistem

Informasi mengetahui bahwa sistem aplikasi ERP belum memiliki

kebijakan dan prosedur terkait area computer operation dalam hal

pelaksanaan problem handling, selain itu Tim Audit Sistem Informasi juga

memperoleh pemahaman terhadap beberapa hal berikut:

Backup

Perusahaan memiliki kebijakan yang mengatur tata cara backup

pada sistem ERP dalam dokumen “Prosedur Backup Aplikasi dan

Database Portal Internal dan ERP” yang telah disahkan dan

disetujui oleh Kepala Biro TIP Bapak Bambang Sulistyo pada

tanggal 31 Mei 2011. Berdasarkan wawancara, untuk sistem ERP

dilakukan backup lokal dengan menggunakan symantec net

backup untuk harian dan bulanan. Untuk backup harian tidak

dikeluarkan, tetapi untuk backup bulanan dikeluarkan kemudian

disimpan oleh administrator. Sedangkan untuk backup online

perusahaan menggunakan DRC.

Maintenance

Berdasarkan wawancara, secara keseluruhan maintenance

terhadap perangkat keras dan perangkat lunak perusahaan

dilakukan oleh Biro TIP perusahaan. Namun untuk aplikasi-

aplikasi yang tidak dimiliki source code nya seperti aplikasi ERP,

Biru TIP juga meminta bantuan dari Vendor/Konsultan untuk

melakukan maintenance.

Problem handling

Berdasarkan wawancara, jika terdapat masalah, terdapat Helpdesk

yang memiliki 2 tier, yaitu Biro TIP sebagai tier 1 dan vendor

sebagai tier 2. Masalah yang diajukan oleh user akan diajukan

kepada tier 1, jika dapat diatasi oleh tier 1, maka masalah akan

diselesaikan dan diserahkan kembali kepada end user. Tetapi jika

masalah tidak dapat diatasi oleh tier 1, maka masalah diteruskan


53


kepada tier 2. Pencatatan insiden/masalah di Helpdesk masih

dilakukan secara manual, tetapi untuk Helpdesk khusus sistem

ERP, terdapat portal khusus untuk segala masalah serta solusinya

sebagai informasi bagi user jika mengalami masalah yang sama.

Sistem aplikasi ERP sudah memiliki kebijakan terkait Disaster

Recovery Plan (DRP). Dokumen tersebut digunakan sebagai

landasan utama terhadap proses yang harus dilakukan jika terjadi

gangguan akibat bencana, sehingga kegiatan Perusahaan dapat

tetap berlangsung.


54


Gambar 4.10 Diagram Alur Pengubahan Aplikasi Perangkat Lunak Sumber :

Control Review Memo KAP RSM AAJ Associates untuk PT JKLM


55


4.3.3 Kajian Pengendalian Aplikasi Sistem Informasi

Tim Audit Sistem Informasi melakukan kajian atas Pengendalian Aplikasi

pada Perusahaan. Tim Audit Sistem Informasi mendapatkan permintaan untuk

menguji pengendalian aplikasi pada sistem ERP perusahaan terkait pada proses

pengadaan dan pengelolaan asset tetap. pengadaan dan pengelolaan aset tetap di

ERP perusahaan dibagi menjadi 2 alur sesuai dengan jenis aset tetap nya. Dalam

alur ini ada 4 modul aplikasi ERP perusahaan yang terlibat, yaitu :

1. Modul Purchasing

2. Modul Project Costing

3. Modul Asset Management

4. Modul General Ledger

Gambar 4.11 mengambarkan bagaimana alur data aset tetap pada modul-modul ini

saling berkaitan.

Gambar 4.11 Diagram hubungan antar modul pada proses pengadaan aset tetap.

Sumber : Olahan Penulis

Aset Clearing berpindah ke modul Asset Management dari modul

PO/Receipt dengan mentransfer informasi detil aset dan biaya yang dikeluarkan

untuk memperoleh aset tersebut. Sedangkan Aset Proyek berpindah ke modul

Asset Management dari modul Porject Costing dengan cara mengkapitalisasikan

seluruh biaya yang terjadi untuk proyek tersebut. Aset Clearing adalah aset tetap

yang tidak disusutkan sedangkan Aset Proyek adalah aset tetap yang disusutkan.

Setelah semua aset dipindahkan ke modul Asset Management, maka Asset

Management akan mengolahnya dan melakukan pengakuan, penambahan,


56


pengurangan, dan depresiasi lalu melakukan pencatatan General Ledger.

Kajian pengendalian aplikasi atas proses pengadaan dan pengelolaan aset

tetap bertujuan untuk memperoleh keyakinan atas integritas data terkait

pencatatan aset tetap mulai dari pengadaan aset tetap yang terdiri dari pembuatan

PO, Receipt PO, Invoice, pengakuan calon aset menjadi aset tetap, perhitungan

depresiasi, sampai pada pencatatan jurnal terkait aset tetap di General Ledger.

4.3.3.1 Obyektif Pengujian Pengendalian Aplikasi

Obyektif dari pengujian pengendalian aplikasi pada PT JKLM meliputi :

1. Melakukan penelaahan atas efektivitas pengendalian aplikasi pada proses

pengadaan, pengelolaan, dan pencatatan aset tetap.

2. Memastikan bahwa proses pengadaan, pengelolaan, dan pencatatan aset

tetap telah dilakukan oleh officer yang tepat, di-review dan diotorisasi oleh

level yang tepat.

3. Memastikan bahwa proses pengadaan, pengelolaan, dan pencatatan aset

tetap telah dilakukan dengan tepat.

4.3.3.2 Ruang Lingkup Pengujian Pengendalian Aplikasi

Cakupan dari pengujian pengendalian aplikasi pada PT JKLM meliputi :

1. Memahami proses pembuatan Purchase Order atas transaksi pengadaan

aset tetap pada sistem ERP (Modul Purchasing)

2. Memahami proses create Invoice atas transaksi pengadaan Aset Tetap pada

sistem ERP (Modul Account Payable) Perusahaan.

3. Memahami proses validasi Invoice atas transaksi pengadaan Aset Tetap

pada system ERP (Modul Project Costing) Perusahaan.

4. Memahami proses pengakuan calon aset (aset clearing dan aset proyek)

sampai menjadi Aset Tetap pada sistem ERP (Modul Purchasing, Project

Costing, dan Asset Management).

5. Memahami proses depresiasi Aset Tetap pada sistem ERP (Modul Asset

Management).


57


6. Memahami proses pembentukan jurnal manual terkait dengan Aset Tetap

(aset proyek) pada sistem ERP (Modul General Ledger)

4.3.3.3 Prosedur Pengujian Pengendalian Aplikasi

Prosedur yang dilakukan pada pengujian aplikasi ini adalah sebagai berikut:

1. Melakukan gain understanding awal melalui pengkajian dokumen terkait

proses pengadaan, pengelolaan, dan pencatatan aset tetap.

2. Melakukan kajian atas kebijakan dan prosedur yang terkait proses

pengadaan, pengelolaan, dan pencatatan aset tetap.

3. Melakukan application walkthrough pada modul-modul yang terkait

dengan proses pengadaan, pengelolaan, dan pencatatan aset tetap pada

sistem ERP yaitu modul purchasing, modul account payable, modul

project costing, modul asset management, dan modul general ledger.

4. Menguji penerapan pengendalian dengan cara melakukan observasi dan

tanya jawab mengenai proses pengadaan, pengelolaan, dan pencatatan aset

tetap pada sistem ERP.

4.3.3.4 Hasil Pengujian Pengendalian Aplikasi

Pemahaman tentang alur proses bisnis dan alur proses aplikasi lalu

pengujian atas control yang ada di aplikasi utama ERP perusahaan akan dijelaskan

pada bagian ini. Dan juga akan dijelaskan pula hasil dari pengujian aplikasi yang

dilakukan selama proses audit sistem informasi berlangsung.

4.3.3.4.1 Pemahaman Alur Proses Pengadaan, Pengelolaan, Pengakuan, &

Pencatatan di PT JKLM

Alur proses pengadaan aset tetap hasil kajian dokumen dan kebijakan PT

JKLM digambarkan pada gambar 4.12. Dari Gambar 4.12, bisa diketahui bahwa

proses pengadaan aset tetap dimulai dengan pembuatan “Permohonan Penggunaan

Anggaran” atau PPA. Pembuatan PPA dilakukan oleh unit kerja yang

membutuhkan penggunaan anggaran. Jika anggaran digunakan untuk aset project,

maka pada PPA harus diberikan ID Project atas aset proyek yang akan dilakukan


58


pengadaannya. PPA lantas harus disetujui supaya bisa dikerjakan dan dibuat

Purchase Ordernya. Alur proses pembuatan PPA pada PT JKLM digambarkan

pada gambar 4.13.

Gambar 4.12 Bagan Alur Prosedur Pengadaan Aset Tetap

Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM


59


Gambar 4.13 Bagan Alur Prosedur Pembuatan PPA


Setelah PPA dibuat dan disetujui, untuk mengeksekusi PPA harus dibuat

purchase order (PO). PO diajukan oleh unit kerja yang membutuhkan. Unit kerja

tersebut lantas menyerahkan ke biro umum yaitu bagian logistik untuk disiapkan

PO-nya. PO pada PT JKLM dibuat berdasarkan PPA yang telah ada dan untuk PO

atas sebuat aset project harus disertai dengan “ID Project” yang ada di PPA.

Setiap PO yang sudah disiapkan haruslah disetujui oleh kepala bagian logistik

untuk supaya PO tersebut bisa digunakan. Alur dari pembuatan PO pada PT

JKLM digambarkan pada gambar 4.14.


60


Gambar 4.14 Bagan Alur Prosedur Pembuatan PO


PO yang telah selesai dibuat akan diserahkan ke Vendor yang ditunjuk supaya bisa

mulai untuk dikerjakan. PO untuk aset clearing pengerjaannya adalah dengan

melakukan pembelian secara langsung. Sedangkan PO untuk aset project

pengerjaannya adalah dengan melalui tender dan pembangunannya terbagi

menjadi beberapa tahapan konstruksi.

Setelah pengerjaan aset tetap selesai, maka proses penerimaan aset tetap

akan dimulai. Proses penerimaan (receiving) untuk setiap jenis aset berbeda.

Untuk aset clearing, proses penerimaan sama dengan proses penerimaan pada

umumnya diperusahaan. Yaitu dengan menciptakan Receipt atau Receipt-PO yang

nantinya akan diserahkan ke bagian akuntansi. Untuk aset project, karena

dikerjakan dengan metode tahapan atau stage, aset project tidak diterima dengan

langsung atau tidak dibuat receipt. Melainkan dengan cara mengkapitalisasi biaya-

biaya yang telah terjadi (telah dibuat invoice-nya) melalui modul Project Costing

setelah Berita Acara Serah Terima (BAST) ditanda tangani oleh PT JKLM dan

vendor. Gambar 4.15 menggambarkan alur proses penerimaan aset clearing.


61


Gambar 4.15 Bagan Alur Prosedur Penerimaan Barang/Jasa


Pada aset tetap berjenis aset clearing setelah barang diterima, data detail

aset clearing (DFF) dari aset clearing akan ditarik secara otomatis oleh sistem ke

modul asset management untuk diproses datanya lalu di-posting ke modul

general Ledger. Sedangkan untuk aset tetap berjenis aset project datanya

terakumulasi di modul Project Costing berdasarkan ID Project sebagai persiapan

untuk dikapitalisasi. Hal ini karena aset project memiliki banyak komponen dan

tiap komponen diterima dan ditagih dalam waktu yang berbeda-beda. Proses

berlanjut ke pembuatan tagihan atau invoice yang dilakukan oleh bagian

administrasi dari Biro Umum PT JKLM. Invoice yang selesai dibuat akan

divalidasi oleh bagian akuntansi. Setelah divalidasi invoice akan diserahkan ke

bendahara untuk dilakukan pembayarannya sebagaimana yang dijelaskan pada

gambar 4.16.

Alur proses aset tetap berjenis aset clearing berhenti setelah dibuat

invoice-nya. Karena sudah diakui dan dicatat oleh sistem ERP. Namun untuk aset

tetap berjenis aset project, alurnya belum selesai. Aset project setelah selesai


62


pembuatan invoice seluruh bagian dan komponennya, maka akan siap untuk

dikompilasi dan dikapitalisasi di modul project costing. Gambar 4.17 menjelaskan

alur proses dari kompilasi dan kapitalisasi aset project. Setelah dikapitalisasi, aset

project akan ditransfer ke modul asset management untuk dilengkapi detailnya,

dijalankan depresiasinya, dan diposting ke modul General Ledger untuk diakui

dan dicatat nilainya.

Gambar 4.16 Bagan Alur Prosedur Pembuatan Invoice


Gambar 4.17 Bagan Alur Prosedur Kapitalisasi Aset Project



63


4.3.3.4.2 Observasi Alur Proses Pengadaan, Pengelolaan, Pengakuan, &

Pencatatan Aset Tetap di Aplikasi Sistem ERP PT JKLM

Tim Audit Sistem Informasi melakukan application walkthrough,

observasi, dan wawancara terhadap bagaimana para user aplikasi di tiap-tiap

modul pengadaan, pengelolaan, pengakuan, dan pencatatan aset tetap

menggunakan aplikasi-aplikasi tersebut. Tim Audit Sistem Informasi menguji

proses login, pembuatan PO, Pembuatan Receipt PO, pembuatan invoice, proses

kapitalisasi, proses pengelolaan aset tetap, proses depresiasi aset tetap, dan proses

pencatatan ke modul general ledger.

Proses pertama adalah melakukan kajian atas proses login di aplikasi ERP

PT JKLM. Gambar 4.18 menggambarkan proses login di aplikasi ERP tersebut.

Pada proses login ini didapati bahwa user ID yang digunakan adalah Nomor

Pegawai dari tiap-tiap pegawai. Hal ini membawa kemudahan dalam melakukan

monitor terhadap penggunaan aplikasi oleh pegawai. Beberapa pengendalian

umum logical access diterapkan di proses ini. Namun beberapa kelemahan

pengendalian yang ditemukan di proses login adalah sebagai berikut :

Saat Tim Audit Sistem Informasi mencoba melakukan perubahan

password dari default password “12345” menjadi 5 karakter pada

sistem ERP perusahaan, sistem menerima perubahan tersebut,

kemudian kombinasi password dapat berupa angka saja atau huruf

saja, bukan berupa kombinasi angka dan huruf.

Akun user yang memiliki tanggung jawab melakukan approval dapat

dibuka dan dioperasikan oleh bawahannya. Hal ini didapat di bagian

pembuatan PO dan invoice. Dimana akun kepala bagian yang memiliki

wewenang untuk melakukan approval bisa diakses dan dioperasikan

oleh bawahannya, staff pratama satu. Dari hasil wawancara diketahui

bahwa para kepala bagian tahu akan bisa diaksesnya kaun mereka ini.

Dan mereka memang sengaja memberikan akses sehingga supaya

proses pembuatan PO dan Invoice bisa berjalan meskipun saat kepala

bagian sedang tidak ada.

Kedua kelemahan pengendalian tersebut menjadi perhatian Tim Audit Sistem


64


Informasi karena memiliki resiko yang cukup besar. Terutama dalam hal akun

kepala bagian bisa diakses oleh bawahannya.

Gambar 4.18 Bagan Alur Proses Login Di Aplikasi ERP PT JKLM


Proses selanjutnya adalah pembuatan PPA di sistem aplikasi ERP. Gambar

4.19 menggambarkan proses pembuatan PPA di aplikasi ERP. Tim Audit Sistem

Informasi mendapati bahwa Pada proses pembuatan PPA ini di aplikasi ERP telah

terdapat control yang cukup dan terbukti efektif. Telah ada dialog warning dan

confirmation dialog pada proses-proses krusial dan penentuan keputusan. Setiap

proses telah dilakukan oleh orang yang tepat dengan wewenang yang tepat.

Pada proses pembuatan purchase order di aplikasi ERP tepatnya modul

purchasing, Gambar 4.20 menggambarkan proses pembuatan purchase order yang

terjadi di sistem aplikasi ERP PT JKLM. Pada proses pembuatan PPA ini di

aplikasi ERP telah terdapat control yang cukup dan terbukti efektif. Setiap proses

telah dilakukan oleh orang yang tepat dengan wewenang yang tepat serta

mendapat persetujuan dari orang yang tepat. Sumber data PO didapat dari

dokumen hard copy PPA dan setiap PO bisa dilacak siapa saja yang membuatnya.

Terdapat juga dialog warning dan confirmation warning yang memadai.

Sedangkan pada proses penerimaan aset tetap, proses pembuatan receipt-

PO di aplikasi ERP PT JKLM dijelaskan oleh gambar 4.21. Proses penerimaan ini

termasuk proses yang krusial, karena pada proses ini kategori dari aset tetap

ditentukan. Apakah aset tetap tersebut termasuk aset clearing atau aset project


65


ditentukan di proses ini. Bila aset clearing maka akan dilakukan pengisian DFF

(Detail Aset) yang digunakan untuk keperluan kategori dan pengelompokan aset

clearing. Pada proses ini kontrolnya sudah termasuk bagus dan cukup efektif.

Fungsi audit trail berjalan, window dialog terdapat pada proses-proses yang tepat

untuk mengkonfirmasi dan menannyakan akan kepastian tindakan user.

Gambar 4.19 Bagan Alur Proses Pembuatan PPA Aplikasi ERP PT JKLM



66


Gambar 4.20 Bagan Alur Proses Pembuatan PO Pada Aplikasi ERP


Gambar 4.21 Bagan Alur Proses Pembuatan Receipt-PO Pada Aplikasi ERP



67


Untuk proses pembuatan Invoice, proses di dalam aplikasi ERP nya

dijelaskan pada gambar 4.22. Pada proses ini terdapat beberapa pengendalian

penting seperti Invoice Batch yang berfungsi sebagai audit trail, lalu terdapat

fungsi Match Invoice with PO yang meminimalisir terjadinya kesalahan atas

Invoice yang dibuat. Pembuatan invoice dibuat berdasarkan PO dan Receipt yang

telah ada dan di-approve Terdapat juga fungsi cancel invoice-nya sehingga

tagihan yang salah bisa dihapus. Invoice sebelum diberikan ke bagian akuntansi

harus disetujui terlebih dahulu oleh kepala bidang. Setelah ini akan divalidasi oleh

bagian keuangan. Proses validasi di sistem ERP ini dijelaskan di gambar 4.23.

Tidak ada kelemahan control pada proses validasi akun sehingga control sudah

diterapkan secara efektif.

Gambar 4.22 Bagan Alur Proses Pembuatan Invoice Pada Aplikasi ERP



68


Gambar 4.23 Bagan Alur Proses Validasi Invoice Pada Aplikasi ERP


Pada proses transfer data aset tetap jenis aset clearing ke modul asset

management dilakukan secara otomatis oleh sistem setiap pagi jam 01.00 WIB.

Tidak adanya campur tangan pada proses ini menyebabkan resiko integritas data

hilang kecil meskipun tidak ada monitor hasil transfer data aset clearing ini. Pada

aset tetap jenis aset project, berlanjut ke proses kapitalisasi. Proses ini

berlangsung di modul project costing dan dilakukan oleh sub bagian akuntansi

proyek. Alur proses kapitalisasi aset project pada sistem aplikasi ERP

digambarkan pada gambar 4.24.

Gambar 4.24 Bagan Alur Proses Kapitalisasi Aset Project pada aplikasi ERP



69


Semua fase pada proses kapitalisasi project dijalankan dengan mengeksekusi

request pada aplikasi. Fase manual hanyalah pada fase mengisi aset detail tapi

detail aset ini tidak mencangkup nilai dari aset. Dan juga nanti di modul asset

management diperiksa lagi sebelum diposting di ledger. Penentuan depresiasi dari

aset project juga dimulai di sini. Namun sudah disetting di aplikasi penentuan

depresiasinya berdasarkan kategori dari aset sebagaimana ada dalam pedoman

perusahaan pada table 4.1.

Selain itu juga ada proses penutupan ID Project hal ini mencegah project yang

sudah dikapitalisasi dan ditransfer untuk diubah-ubah kembali. User dari aplikasi

project costing ini hanyalah dua orang. Dan akunnya tidak bisa diakses oleh orang

lain. Sehingga bisa dibilang pengendalian di aplikasi kapitalisasi project di modul

project costing cukuplah efektif dan dilain pihak user dari aplikasi ini

menerapkannya dengan benar.

Ketika aset clearing dan aset project sudah ditransfer ke modul asset

management, disini proses pengelolaan dan pengakuan aset tetap terjadi. Disini

aset tetap diakui dengan cara menjalankan proses penambahan aset. Penambahan

aset ini terdiri dari tiga langkah, yaitu memanggil calon aset baru, memperlengkap

detail aset, melakukan pencatatan ke modul General Ledger. Di proses ini aset

tetap baru dipanggil daftarnya lalu diperlengkap detailnya satu persatu. Setelah

melengkapinya melakukan pencatatan ke modul general ledger untuk pengakuan

aset. Di sini setiap aset tetap mendapatkan ID Asset.

Depresiasi aset tetap juga dijalankan di modul asset management. Seluruh

aset tetap di PT JKLM bisa diketahui kapan saja berapa total depresiasi yang

terjadi dengan cara mengeksekui perintah depresiasi dan memilih buku mana

yang akan didepresiasi di aplikasi asset management seperti pada 4.25.


70


Tabel 4.2 Tabel Standard Batasan Kapitalisasi Aset Tetap

Kelompok Aset Tetap Umur Ek.

(Tahun)

Pengadaan (Rp)

Penggantian / Rehabilitasi

/ Penambahan

Kapasitas (Rp)

Metode Penyusutan

5.4

Peralatan dan Kelengkapan pengumpulan Tol

Inventaris Gardu Tol 5 10,000,000 10,000,000 Garis Lurus

Perangkat Peralatan Pengumpul Tol 5 200,000,000 200,000,000 Garis Lurus

Peralatan Komunikasi Gardu Tol 5 10,000,000 10,000,000 Garis Lurus

Peralatan dan kelengkapan Pengumpulan Tol Lainnya 5 200,000,000 200,000,000 Garis Lurus

5.5

Instalasi dan Kelengkapan Gedung Kantor

Instalasi pembangkit listrik dan jaringan listrik 5 100,000,000 100,000,000 Garis Lurus

Instalasi AC Gedung Kantor 5 100,000,000 100,000,000 Garis Lurus

Instalasi Alat Mekanik Air dan Gas 5 100,000,000 100,000,000 Garis Lurus

Instalasi kelengkapan Gedung Kantor Lainnya 5 100,000,000 100,000,000 Garis Lurus

5.6 Inventaris Kantor Peralatan Sistem Informasi 5 20,000,000 20,000,000 Garis Lurus

Peralatan Audio, Visual dan Alat Perekam 5 20,000,000 20,000,000 Garis Lurus

Peralatan Telepon dan Fasilitas Sejenis 5 20,000,000 20,000,000 Garis Lurus

Perabotan dan Kelengkapan Ruangan Kantor 5 10,000,000 10,000,000 Garis Lurus

Peralatan Pembersih dan Penyegar Udara Ruangan 5 10,000,000 10,000,000 Garis Lurus

Peralatan Keamanan Lingkungan 5 10,000,000 10,000,000 Garis Lurus

Peralatan dan kelengkapan Klinik Kesehatan 5 10,000,000 10,000,000 Garis Lurus

Peralatan Rumah Tangga 5 10,000,000 10,000,000 Garis Lurus Inventaris Kantor lainnya 5 10,000,000 10,000,000 Garis Lurus

5.7

Kendaraan Bermotor/Alat Transportasi

Sepeda Motor 5 10,000,000 10,000,000 Garis Lurus Mobil 5 50,000,000 30,000,000 Garis Lurus

Kendaraan Rescue & Ambulance 5 50,000,000 30,000,000 Garis Lurus

Alat Transportasi Lainnya 5 50,000,000 30,000,000 Garis Lurus


71


Gambar 4.25 Perintah Menjalankan Depresiasi pada Modul Asset Management

Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM

AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM

Langkah berikutnya adalah proses create accounting yang dilakukan secara

otomatis oleh sistem ERP setiap jam 11 malam. Dan yang mengontrol apakah

create accounting yang dibuat sistem sudah benar atau tidak adalah masing-

masing pemegang sub ledger. Apabila terdapat ketidakcocokan atau kesalahan,

maka harus di-cancel, tetapi jika pembayaran atas transaksi sudah dilakukan,

maka jurnal harus di-reclass.

Proses selanjutnya adalah proses di modul GL. Modul GL ini bersifat

pasif, yaitu hanya menerima dan memeriksa jurnal dari berbagai modul yang

dibuat oleh berbagai bagian di dalam perusahaan. Khusus untuk fixed asset,

seringkali perlu dibuat jurnal manual yang bersifat auto reverse pada sistem. Hal

ini dilakukan oleh Kepala Sub Bagian Akuntansi Proyek beserta dengan bagian

GL, yang dilakukan untuk kepentingan pelaporan, dimana closing AP/AR adalah

tanggal 3-5 (maksimal) dan GL adalah tanggal 10-15 (maksimal). Apabila modul

AP/AR harus menunggu, maka tidak akan ada lagi waktu untuk melakukan

analisis atas GL yang dapat berakibat tidak ditutup-tutupnya modul sehingga tidak


72


dapat melaporkan laporan keuangan, sementara perusahaan harus menyerahkan

laporan manajemen terhadap Bapepam-LK pada tanggal yang telah ditentukan.

Jurnal Manual untuk pelaporan Akuntansi Proyek dibuat karena modul AP yang

diperlukan untuk kompilasi di Modul PC telah ditutup terlebih dahulu sedangkan

terdapat Proyek yang sudah serah terima dan berita acaranya sudah ditandatangani

(aset proyek sudah dapat diakui pada saat berita acara sudah ditandatangani).

Sehingga didapatkan pelaporan Aset-aset proyek yang lebih up-to-date yang harus

dilaporkan.

Jurnal manual umumnya dilakukan untuk 3 kasus :

1. Treatment accounting, contohnya untuk jurnal EIR atas obligasi.

2. Correction, yang mana jurnal atas correction ini merupakan jurnal

permanen (jurnal yang tidak akan di-reverse).

3. Rekonsiliasi Bank.

Semua jurnal manual bersifat self-review. Pembuat jurnal manual juga

yang melakukan review atas jurnal manual. Bagian GL & Pelaporan hanya

melakukan review secara umum melalui Trial Balance, jika didapati adanya

angka-angka yang tidak wajar, maka Bagian GL & Pelaporan baru melakukan

konfirmasi ke pemegang sub ledger terkait.

Staff Bagian GL & Pelaporan melakukan login ke modul GL dan

menggunakan fungsi GL Journal Entry, kemudian mengisi Batch Journal untuk

keperluan identifikasi Staff Pembuat jurnal manual dan mengisi periode kapan

jurnal manual dibuat. Hal ini digunakan untuk pelacakan jurnal apabila terjadi

error di subledger/trial balance.

Gambar 4.26 adalah tampilan ketika sebuah Batch Jurnal Baru dibuka.

Staff Bagian GL & Pelaporan lalu melakukan input jurnal manual dengan meng-

klik “Journals”. Jurnal manual selalu diidentifikasikan dengan nomor batch

“Manual NPP dan Tanggal”. Periode dimana jurnal manual dibuat wajib diisi.


73


Gambar 4.26 Input New Batch dari Jurnal Manual



Dalam membuat jurnal manual ada beberapa parameter yang harus wajib diisi :

a. Field “Journal” adalah nomor jurnal manual untuk keperluan identifikasi

jurnal manual.

b. Field “Ledger” untuk memilih di buku besar mana jurnal manual akan

dicatat.

c. Field “Category” untuk menentukan jenis/kategori dari jurnal manual. Jurnal

manual selalu menggunakan kategori “Adjustment” dan “AutoReverse”.

Kategori jurnal sebenarnya ada banyak jenisnya, namun pihak Jasamarga

hanya menggunakan 3 kategori, “Adjustment”, “AutoReverse”, dan

“NotReverse”.

d. Lalu Box ”Reverse” diisi untuk menentukan di periode mana jurnal manual

akan di auto-reverse. Dan menggunakan metode apa serta statusnya saat ini

seperti apa.

Pada gambar 4.27, jurnal manual yang bersifat temporary (untuk keperluan

pelaporan) akan di-reverse di periode yang berikutnya secara otomatis. Sedangkan


74


jurnal manual yang merupakan corrections sifatnya permanen dan tidak di-

reverse.

Dalam membuat jurnal manual wajib mengisi detail jurnal manual yang

dibuat. Semua field bersifat wajib. Dan yang paling penting adalah field “Kode

Aktivitas” dimana, berdasarkan hasil wawancara, apabila tidak diisi maka ketika

jurnal di-post input yang bersifat beban tidak akan ter-update. Kode Aktivitas

untuk jurnal manual adalah “99” yang merupakan kode untuk penyesuaian /

adjustments. Tampilan pengisian kode aktivitas ada di gambar 4.28.

Jurnal di-review oleh Staff pembuat jurnal lalu di Save (Siap untuk di-

posting oleh Kepala Bagian Sub GL & Pelaporan). Gambar 4.29 menampikan

tampilan aplikasi jurnal yang siap untuk di-posting. Setelah di-review jurnal akan

di-posting. Jurnal manual yang di-posting akan dilakukan auto reversal oleh

sistem setelah tiba waktunya sesuai dengan setting-an reversal ketika jurnal

dibuat. Auto Reverse bisa berjalan jika sistem ERP telah di-close semua modulnya

terutama GL. Jika tetap dibuka, Auto Reverse tidak akan berjalan. Akan tetapi ada

suatu kendala di sistem ERP, dimana Modul “Budgeting” yang sangat berkaitan

dengan Modul “GL” harus dibuka selama satu tahun kedepan untuk

menyesuaikan dengan SOP Jasa Marga. Hal ini mengakibatkan GL juga harus

dibuka selama satu tahun kedepan. Trigger dalam sistem ERP perusahaan untuk

menjalankan autoreverse adalah Open Period baru di GL, karena GL dibuka satu

tahun kedepan atau hingga akhir tahun, fungsi autoreverse sistem yang sudah

diset tidak bisa berjalan. Hal ini membuat bagian akuntansi harus melakukan

reversal/pembalikan secara manual di sistem. Hal ini terjadi sejak pertengahan

tahun 2012 sampai tahun 2013 (saat ini).

Jurnal Manual yang belum di-reverse dapat dilihat statusnya di Box

Reverse sebagai “Reversed”. Setelah dilakukan reverse manual, status akan

berubah menjadi “NotReversed” (sama seperti kondisi pada saat jurnal memang

tidak perlu dilakukan reversed/ jurnal permanen). Proses jurnal manual ini

awalnya dianggap tidak ada masalah oleh Tim Audit Sistem Informasi, namun

ketika menggali lebih dalam ditemukan adanya resiko yang cukup tinggi dari

tidak berjalannya fungsi auto reverse.


75


Gambar 4.27 Header dari Jurnal Manual



Gambar 4.28 Detail Jurnal Manual




76


Gambar 4.29 Jurnal Manual yang Siap Diposting



4.4 Analisis Dan Kesimpulan Audit Sistem Informasi

Setelah melakukan prosedur audit dan mengumpulkan berbagai macam

bukti hasil kajian dan pengujian. Tim audit sistem informasi melakukan analisis

atas hasil tersebut untuk mencapai sebuah kesimpulan. Berikut ini adalah analisis

atas hasil dan kesimpulan dari setiap kajian dan pengujian pengendalian umum

dan pengendalian aplikasi sistem informasi perusahaan.


77


4.4.1 Analisis dan Kesimpulan Hasil Kajian Pengendalian Umum

Pada pengkajian dan pengujian pengendalian umum, tim audit sistem

informasi menemukan beberapa kelemahan pengendalian yang terdapat pada tiap

area yang diuji, yaitu :

Tabel 4.3 Analisis Hasil Kajian dan Pengujian Pengendalian Umum

No. Area Pengendalian

Umum

Kelemahan yang Menyebabkan Pengendalian

Tidak Efektif

1 Logical Security

Tidak terdapat kebijakan tentang keamanan

sistem informasi untuk sistem aplikasi ERP.

Disini termasuk kebijakan dan prosedur untuk

beberapa kontrol Logical Access perusahaan.

Beberapa prosedur pengelolaan pengguna seperti

penutupan Hak Akses Pengguna tidak diterapkan

secara benar. Hal ini bisa dilihat dari banyaknya

user ID yang tidak dimiliki oleh pegawai aktif.

Konfigurasi keamanan password tidak efektif.

Hal ini terbukti ketika Tim Audit Sistem

Informasi berusaha menguji parameter yang ada,

ternyata parameter-parameter tersebut tidak

bekerja sepenuhnya.

Tidak terdapat prosedur dan kebijakan

monitoring atas sistem administrator aplikasi

ERP.

2 Change Management

Tidak adanya kebijakan dan prosedur mengenai

pengelolaan emergency changes untuk sistem

aplikasi ERP.

3 Computer Operation Tidak adanya kebijakan mengenai pengelolaan

masalah dan insiden untuk sistem aplikasi ERP.

Dari kelemahan-kelemahan pengendalian diatas tim audit sistem informasi

menyimpulkan bahwa pengendalian umum perusahaan masihlah buruk. Hal ini


78


dikarenakan karena perusahaan belum memiliki kebijakan dan standard umum

yang mengatur sistem informasi perusahaan. Dan apabila terdapat sebuah

kebijakan dan standard, hal tersebut tidak diterapkan dengan maksimal.

4.4.2 Analisis dan Kesimpulan Hasil Kajian Pengendalian Aplikasi

Berdasarkan hasil observasi yang Tim Audit Sistem Informasi lakukan atas

proses create Invoice di Biro Umum sampai dengan proses pembuatan jurnal

manual di Biro Akuntansi, terdapat beberapa pengendalian/kontrol yang ada di

sistem aplikasi pada proses tersebut. Namun masih terdapat isu/kelemahan yang

terdeteksi yang menyebabkan pengendalian aplikasi yang ada tidak efektif. Tabel

dibawah ini akan menjelaskan pengendalian yang ada dan kelemahan yang

menyebabkan pengendalian menjadi tidak efektif:

Tabel 4.4 Analisis Hasil Kajian dan Pengujian Pengendalian Aplikasi

No. Pengendalian (Control) Kelemahan yang Menyebabkan

Pengendalian Tidak Efektif

1

Setiap user di aplikasi ERP telah

diberi responsibility yang

menentukan modul apa di sistem

ERP yang bisa diakses oleh user

tersebut.

Akun (username dan password) dari

Kepala Bagian Tata Usaha selaku

atasan, yang diketahui oleh beberapa

Juru Tata Usaha Inventarisasi Barang

(pada biro dan bagian yang sama).

Hal ini dapat menimbulkan risiko

approval atas PO dan Receipt PO

yang tidak tepat.

Akun (username dan password) dari

Kepala Bagian Administrasi selaku

atasan, yang diketahui oleh beberapa

Staff pembuat Invoice atau Staff

Pratama 1 (pada biro dan bagian yang

sama). Hal ini dapat menimbulkan

risiko approval atas Invoice yang

tidak tepat.


79




2

Pembuatan PO di sistem aplikasi

berdasarkan pada PPA yang telah

ada/dibuat, jika tidak berdasarkan

pada PPA tertentu, PO tidak akan

dapat dibuat.

-

3

Terdapat penomoran dan

penanggalan PO otomatis oleh

sistem.

-

4

Terdapat Records/ Logs yang

menampilkan status dari tiap PO

yang dibuat untuk dilakukan

monitor.

-

5

Terdapat Records/ Logs yang

menampilkan kondisi dari tiap

jurnal akuntansi yang dibuat pada

saat penerimaan Receipt barang.

6

Pembuatan Receipt PO

berdasarkan pada PO yang telah

ada.

-

7

Terdapat penomoran dan

penanggalan Receipt otomatis

oleh sistem.

-

(Tabel 4.3 - Lanjutan)


80


No. Pengendalian (Control)

Kelemahan yang Menyebabkan


8

Terdapat fungsi transfer data Aset

Clearing secara otomatis dan

terjadwal dari Modul Purchasing

ke Modul Asset Management

sehingga mengurangi resiko

terjadinya kesalahan selama

proses transfer.

Di module Asset Management, untuk

jenis aset clearing tidak dilakukan

pengecekan apakah semua aset

clearing yang masuk sudah ditransfer

atau tidak dari module Purchasing ke

module Asset Management. Serta

tidak terdapat monitoring atas proses

penarikan data aset yang dilakukan

secara otomatis dari Purchasing

Module ke Asset Management.

9

Pada proses Create Invoice

terdapat fungsi matching yang

memeriksa kesamaan antara

Invoice yang akan dibuat dengan

Receipt sehingga jumlah atas

Invoice yang dibuat akan sesuai

dengan Receipt-nya.

-

10

Terdapat Records/ Logs atas tiap

Invoice yang dibuat yang memuat

status dari Invoice tersebut untuk

dilakukan monitor.

-

11

Proses persetujuan atas Invoice

dibuat dengan 2 tingkatan

approval (approval hierarchy),

yaitu dari Biro Umum Bagian

Administrasi dan Biro Keuangan

& Akuntansi Bagian Akuntansi

Proyek/Utang & Piutang.

-



81




12

Terdapat fitur warning dari sistem

atas dokumen yang tidak match

dan kesalahan yang akan dibuat

oleh user seperti Invoice yang

telah dibayar akan dibayar lagi

sudah cukup memadai.

-

13

Terdapat pengendalian otomatis

dalam sistem agar ID Project

yang sudah di-closed tidak dapat

dikapitalisasi lagi.

-

14

Sistem Batch untuk

pengidentifikasian user dalam

membuat/ mem-posting Invoice

dan Jurnal Manual yang

mempermudah pelacakan apabila

ada kesalahan.

Adanya jurnal manual yang tidak ter-

autoreverse secara otomatis di dalam

sistem dan harus dilakukan manual.

Hal ini akan meningkatkan risiko

adanya jurnal manual yang tidak ter-

reverse di dalam sistem.

Sesuai hasil pengujian yang Tim Audit Sistem Informasi lakukan, Tim Audit

Sistem Informasi menyimpulkan bahwa pengendalian yang ada di sistem aplikasi

sudah cukup baik. Karena semua isu/kelemahan diatas tidak disebabkan oleh

sistem, melainkan disebabkan oleh faktor user atau manusia yang meng-override

sistem/pengendalian aplikasi yang telah ada. Hal ini menjadi praktek yang kurang

baik di operasi perusahaan dan harus diperbaiki secepat mungkin.




BAB V

KESIMPULAN & SARAN

5.1 Kesimpulan

Dari hasil review dan pengujian atas sistem informasi perusahaan dalam

pelaksanaan audit sistem informasi, penulis menyimpulkan bahwa terjadi banyak

ketiadaan control atau ketidak efektifan control baik itu pengendalian umum

sistem informasi maupun pengendalian aplikasi sistem informasi. Sehingga bisa

dikatakan bahwa pengendalian umum dan pengendalian aplikasi sistem informasi

pada PT JKLM tidak efektif. Ketiadaaan dan ketidakefektifan control itu berakibat

pada tingginya resiko sistem informasi yang ada pada perusahaan yang secara

tidak langsung berimbas pada laporan keuangan perusahaan. Berikut ini adalah

ketiadaan, ketidakefektifan, dan kelemahan pengendalian yang ada pada sistem

informasi PT JKLM :

1. Pengelolaan keamanan sistem informasi Perusahaan saat ini telah

dilakukan, namun belum terdapat acuan baku berupa kebijakan dan

prosedur untuk dapat memastikan pengelolaan tersebut sesuai dengan

kebutuhan Perusahaan.

2. Berdasarkan observasi atas proses Create PO & Receipt PO pada sistem

aplikasi Oracle E-business Suite pada Bagian Logistik, terdapat Staf Tata

Usaha Inventarisasi Barang yang dapat melakukan proses approval pada

sistem aplikasi atas aktivitas create/reject PO yang menjadi wewenang

Kepala Bagian Logistik. Hal ini dikarenakan Staf tersebut menggunakan

user ID dan password milik Kepala Bagian Logistik.

3. Selain itu, berdasarkan observasi atas proses Create Invoice sistem aplikasi

Oracle E-business Suite pada Bagian Administrasi, terdapat Staf Pratama

Satu Bidang Penatausahaan dapat melakukan approval pada sistem

aplikasi aktivitas atas create/reject invoice yang menjadi wewenang

Kepala Bagian Administrasi. Hal ini dikarenakan Staf tersebut

menggunakan user ID dan password milik Kepala Bagian Administrasi.


83


4. Perusahaan telah memiliki catatan aktivitas atas akses system

administrator dan seluruh pengguna pada sistem aplikasi Oracle E-

business Suite namun belum dilakukan proses review dan monitoring

terhadap akses yang dilakukan oleh system administrator. Selain itu

Perusahaan belum memiliki kebijakan dan prosedur yang mengatur

mengenai proses review dan monitoring akses administrator dan pengguna.

5. Biro Teknologi Informasi Perusahaan telah melakukan aktivitas penutupan

hak akses user sistem aplikasi Oracle E-business Suite untuk karyawan

yang telah pensiun/mengundurkan diri berdasarkan informasi yang

diperoleh dari Biro Sumber Daya Manusia. Akan tetapi, tidak terdapat

dokumentasi atas aktivitas penutupan hak akses user sistem yang telah

dilakukan oleh Biro Teknologi Informasi Perusahaan.

6. Berdasarkan observasi, user ID sistem aplikasi Oracle E-business Suite

dibuat berdasarkan Nomor Pegawai Perusahaan. Namun dari hasil analisis

terhadap 5.701 user ID yang masih berstatus aktif, terdapat 731 user ID

yang tidak ada pada daftar karyawan per 31 Desember 2012 dan 16 user

ID yang dibuat tidak berdasarkan nomor pegawai.

7. Berdasarkan informasi yang diberikan oleh Biro Teknologi Informasi

Perusahaan (TIP) bahwa penutupan akses user belum dilakukan untuk

karyawan yang sudah pensiun dan tidak bekerja di Perusahaan serta

konsultan yang sudah menyelesaikan kontrak dengan Perusahaan.

8. Dalam pembuatan proses jurnal manual pada sistem aplikasi Oracle E-

business Suite, pengguna dari Biro Akuntansi dapat memilih opsi

automatic reverse journal untuk jurnal yang siaftnya sementara dan

membutuhkan reversal sehingga pada awal periode berikutnya, jurnal

manual tersebut dapat secara otomatis membentuk jurnal reversal. Namun

fasilitas automatic reverse journal tersebut tidak dapat berfungsi dengan

baik; Dikarenakan tidak berfungsinya fasilitas automatic reverse journal,

pada awal bulan pembukuan, jurnal reversal harus dibuat secara manual.


84


5.2 Saran

Saran adalah usulan dan masukan yang menjadi fokus perhatian penulis kepada

pihak-pihak yang terkait laporan magang ini. Pihak-pihak tersebut adalah klien,

kantor akuntan publik, dan departemen akuntansi FEUI.

5.2.1 Saran Untuk Klien

Berdasarkan review yang telah dilakukan, maka saran yang dapat diberikan pada

PT JKLM adalah sebagai berikut:

1. Mengesahkan kebijakan dan prosedur keamanan sistem informasi agar

dapat menjadi landasan dan acuan yang jelas.

2. Melakukan review secara periodik atas kebijakan dan prosedur keamanan

sistem informasi agar dapat menunjang strategi IT dan perubahan proses

bisnis Perusahaan.

3. Melakukan sosialisasi atas kebijakan dan prosedur keamanan sistem

informasi kepada seluruh karyawan dan mendokumentasikan hasil

sosialisasi tersebut. Adapun pendokumentasian termasuk diantaranya

materi sosialisasi maupun daftar kehadiran untuk dapat memastikan

kecukupan sosialisasi yang telah dilakukan dalam memastikan bahwa

kebijakan dan prosedur keamanan sistem informasi telah diinformasikan

kepada seluruh pengguna sistem informasi.

4. Mengimplementasikan kebijakan dan prosedur keamanan terkait

management password yang mencakup namun tidak terbatas pada

pengaturan minimal keamanan password, seperti:

a. Password minimal terdiri dari 6 karakter.

b. Pengaturan password history, yaitu: tidak dapat menggunakan

password yang sama dengan sebelumnya minimal sebanyak 3 kali.

c. Masa kadaluarsa password minimal selama 90 hari.

d. Akses harus terkunci setelah minimal 5 kesalahan input password.

e. Password harus menggunakan alpha numeric, yaitu kombinasi

antara angka dan huruf.


85


f. Audit Internal melakukan pengecekan atas penerapan kebijakan

dan prosedur keamanan password secara periodik.

5. Mengidentifikasi tren dan sumber-sumber yang berpotensi menjadi suatu

masalah dikemudian hari dengan cara mengkaji ulang penelitian incident

dan problem yang pernah dilakukan sebelumnya dan mengambil langkah-

langkah pencegahan serta mendokumentasikan langkah-langkah

penyelesaiannya, serta dilaporkan secara berkala.

6. Mendokumentasikan aktivitas program changes maupun emergency

program changes dan melaporkannya kepada manajemen.

7. Perusahaan sebaiknya melakukan sosialisasi mengenai pentingnya

menjaga kerahasiaan user ID dan password serta risiko atas penggunaan

user ID secara bersama-sama.

8. Perusahaan diharapkan membuat kebijakan dan prosedur terkait proses

review dan monitoring terhadap akses user sebagai acuan dalam

menjalankan aktivitas proses review dan monitoring atas akses user.

9. Perusahaan sebaiknya melakukan review dan monitoring atas akses user

secara berkala untuk mengawasi dan mencegah atas tindakan dan

pelanggaran sistem informasi, dan memastikan bahwa akses yang

dilakukan oleh pengguna sistem informasi sesuai dengan wewenangnya.

Adapun aktivitas review dan monitoring yang dilakukan oleh Perusahaan

harus didokumentasikan dan dilaporkan secara berkala.

10. Audit Intern secara berkala melakukan pengecekan atas proses review dan

monitoring akses user guna memastikan proses tersebut telah dilaksanakan

oleh Perusahaan.

11. Perusahaan sebaiknya mendokumentasikan form penutupan hak akses user

yang dilengkapi dengan Surat Tugas dan Surat Keputusan untuk karyawan

yang akan pensiun/mengundurkan diri dan mendapatkan persetujuan dari

Kepala Biro Teknologi Informasi Perusahaan. Selain itu, proses penutupan

hak akses user harus segera dilakukan paling lambat dalam waktu 1


86


minggu setelah karyawan pensiun/mengundurkan diri untuk menghindari

penggunaan user ID oleh pihak yang tidak berwenang.

12. Perusahaan sebaiknya melakukan penutupan hak akses user sistem sesuai

dengan prosedur yang berlaku untuk karyawan/pihak yang sudah tidak

memerlukan akses.

13. Perusahaan sebaiknya melakukan review dan monitoring atas akses user

secara berkala untuk memastikan bahwa hak akses yang diberikan telah

sesuai dengan wewenangnya serta untuk mengawasi dan mencegah atas

tindakan dan pelanggaran sistem informasi. Adapun aktivitas review dan

monitoring yang dilakukan oleh Perusahaan harus didokumentasikan dan

dilaporkan secara berkala.

14. Perusahaan diharapkan untuk melakukan kajian untuk dapat menemukan

solusi agar permasalahan mengenai fungsi automatic reverse journal yang

tidak dapat berfungsi dengan baik dapat terselesaikan. Hal ini

membutuhkan koordinasi dan komunikasi antara Biro Akuntansi dan Biro

Teknologi Informasi Perusahaan agar dapat menemukan solusi yang tepat

dan efisien atas permasalahan ini.

5.2.2 Saran Untuk Kantor Akuntan Publik

Dari pengalaman magang penulis di KAP RSM AAJ selama 3 bulan, ada beberapa

saran yang dapat penulis berikan:

1. Sebaiknya KAP mengadakan pelatihan yang sesuai terlebih dahulu untuk

mahasiswa yang melaksanakan magang agar peserta magang yang

bertindak sebagai junior auditor telah dianggap klien mempunyai

kemampuan yang sama dengan auditor yang menjadi pegawai tetap.

Selama magang pelatihan diberikan waktu pertama kali dan itu tidak

sesuai dengan apa yang dikerjakan ketika penugasan. Penulis jadi cukup

kesulitan diwaktu awal untuk melakukan adaptasi dan pemahaman.

2. Sebaiknya pada waktu penugasan Audit sistem informasi, tim audit

keuangan ikut mendampingi tim Audit Sistem Informasi. Sehingga tim


87


Audit Sistem Informasi bisa mendapatkan pemahaman alur prosedur yang

lebih cepat dan tidak harus mencari dulu sendiri terlebih dahulu.

3. Komunikasi antara tim Audit Sistem Informasi dan tim audit keuangan

harus ditingkatkan kembali jika ada penugasan audit yang membutuhkan

kedua tim tersebut. Dalam selama magang, tim audit keuangan

menganggap tim Audit Sistem Informasi seperti konsultan luar yang

disewa tim audit keuangan bukan rekan kerja internal KAP sehingga

komunikasinya sangatlah minim.

4. Dalam penugasan Audit Sistem Informasi sebaiknya jangan menugaskan

tenaga yang terlalu sedikit. Sebagai contoh Audit Sistem Informasi PT

JKLM ini yang hanya dikerjakan oleh dua orang, seorang senior auditor

dan penulis sendiri. Dan hanya dibantu satu manajer yang sangat jarang

bergerak dilapangan.

5.2.3 Saran untuk Departemen Akuntansi FEUI

Saran yang dapat penulis berikan pada Departemen Akuntansi Fakultas Ekonomi

Universitas Indonesia untuk perbaikan program magang selanjutnya adalah

sebagai berikut:

1. Departemen akuntansi FEUI sebaiknya mencantumkan dalam kontrak

dengan perusahaan tempat magang sebuah jaminan bahwa mahasiswa

yang melakukan kegiatan magang akan diberikan supervisi dan training

yang memadai sesuai dengan pekerjaannya.

2. Memperbanyak kerjasama dengan perusahaan-perusahaan untuk

pelaksanaan program magang sehingga pilihan peserta magang lebih

variatif, karena program magang ini sangat berguna bagi para mahasiswa

untuk memperoleh pengalaman dalam menghadapi dunia pekerjaan.


88


DAFTAR REFERENSI

Arens, A., Beasley, M., & Elder. (2008). Principal Of Auditing. New Jersey:

Pearson Prentice Hall.

Bagranof, N., Briyant, S., & Hunton. (2003). Core Concepts of Information

Technology Audit. New York: John Wiley & Sons.Inc.

Cascarino, Richard. (2007). Guide to Information Systems Auditing. New York:

John Wiley & Sons.Inc.

Kroenke, D M. (2008). Experiencing Management Information Systems. New

Jersey: Pearson Prentice Hall

Longley, Dennis, & Michael Shain. (1985). Dictionary of Information

Technology. New York: Macmillan Press.

McLeod, Raymon, & George Schell. (2008). Management Information Systems.

New Jersey: Pearson Prentice Hall.

PT JKLM. (2012). Pedoman Akuntansi Perusahaan.

PT JKLM (2012). Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM.

RSM AAJ Associates. (2012). Employee Handbook.

Romney, Marshal, & Paul Steinbart. (2009). Accounting Information System. New

Jersey: Pearson Prentice Hall.

Sawyer, Williams. (2007). Using Information Technology Terjemahan Indonesia.

Jakarta: Penerbit ANDI.

Turban, E., Rainer, K., & Potter. (2005). Introduction to Information Technology.

New York: John Wiley & Sons.Inc.

Weber, Ron. (1999). Information System Control and Audit. New Jersey: Pearson

Prentice Hall.

Website PT JKLM. 04 Juni 2013.


89


Lampiran I : Server Physical Security Checklist

Server Physical Security Checklist Version : Server Physical Security Checklist 1.1

Client : PT JKLM. Prepared by : BHOBHOBHO BHO

IQB Date : 11/02/2013

Engagement : Audit Sistem Informasi Support

Reviewed by

: Date :

The following physical security checklist is applied to the following server(s):

No

. Server Name Description

1. SUN Oracle SPARC M4000 ERP

2. SUN Oracle SPARC M5000 ERP Database

Based on the observation, we have found the servers are:

No. Criteria 1 2 3 4 5

1. Located in a separated room. √

2. Located in a locked room. √

3. Located in a restricted room with access logs. √

4. Located in a room with a smoke detector. √

5. Located in a room with a fire extinguisher. √

6. Located in a room without water pipes. √

7. Located in a room with a thermometer. √

8. Located in a temperature between 18,3 – 20,5 oC. - 22

oC

9. Located in a room with a hygrometer (humidity

measurement).

√

10. Located in 45% - 50% humidity. - 42%

11. Located in a room with raised floor. √

12. Having main buttons (e.g. power and reset)

protection.

√

13. Using password-protected screensaver. √

14. Not located near an open window. √

15. Located on a stable platform. √

16. Not close to a heater. √

17. Not close to a water source. √

18. Marked for inventory. -

19. Using updated and anti-virus software. √

20. Arranged properly with tidy cables. √

21. Supported by UPS √


90


Lampiran II : Information System Risk Control Matrix

Client name: PT. JKLM Tbk.

Sign-off: Initials Date

Prepared: ERL 10/12/2012

Reviewed:

This form is completed to identify if the IS controls that address potential risks are designed effectively. If we are planning to rely on the IS General Control process all controls must be designed effectively. Key issues identified should be carried forward to form Key Issues Identified 0740.MPQ.

Step 1: Determine if the entity has each control in place. Step 2: If the entity has the control in place, describe other specific information relating to that control. Step 3: Perform a walkthrough of each control and detail any document numbers and any other pertinent details. Step 4: Determine if the control is designed effectively.

No. Audit Procedure Y or N Comment and/or Ref.

1. Is the entity a publicly listed entity? Y -

If Yes then, Consider contacting an IS Specialist to test IS General Controls or to discuss design ineffectiveness with management.

Control #

Description of Control

In Place? Y or

N

Additional control description

Walkthroug

h Performed

Document # and Pertinent

Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

A

Does the entity ensure that policies and procedures exist to ensure effective IS management and IS staff supervision?

- - - - - -

A1

There is a formal IS security policy which is approved by the appropriate

N The company has the IS Security Policy (“Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi”), but it has not

Interview & Document review

1. Tata Kelola Teknologi Informasi Kebijakan dan Pedoman (draft)

N Y


91


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

level of management and communicated to new employees. ○i

been formalized by the authorities and is still in a draft form, which includes: - Section 1 Objectives

and Scope - Section 2 Definition - Section 3 Reference - Section 4 General

Provisions - Section 5 IT Security

Planning and Organization

- Section 6 Management Responsibility

- Section 7 IT Asset Management

- Section 8 Personnel Security

- Section 9 Physical Security and Environmental Management

- Section 10 IT Security Management Tools

- Section 11 Identity and Access Control

- Section 12 Password Management

- Section 13 Networking Security

- Section 14 IT Security Assessment

- Section 15 Printed Documents Security

- Section 16 Exchange of Information

- Section 17 Encryption (Cryptographic) Techniques Usage

- Section 18 Finale

A2 An information systems security policy

N Since the IS Security Policy is still in a draft form, it has not been

Interview & Docu

1. Tata Kelola Teknologi Informasi

N Y

(Lanjutan)


92


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

is reviewed periodically. ○i

reviewed periodically.

ment review

Kebijakan dan Pedoman (draft)

B

Does the entity ensures that access to programs, data and IS assets or services are authorized?

- - - - - -

B1

A formal approval is received for new access (or modifications to access) to information systems due to the transfer of employees to a new department.○i

Y Based on the review of “Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP” document which has been legalized on May 24th, 2011 and approved by Head of TIP Bureau (Mr. Bambang Sulistyo), there is procedure to open the access rights for employees: new employees, non-structural employees and management trainees, as well as structural employees. New employees (permanent worker) will be given a standard access right, which is right to access Self Service Module that consists of Payslip application, CV and Performance Appraisal. Standard access right is not given to the Management Trainee.


1. MoM_JM_ITGC_05122012

2. Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP

Y N

(Lanjutan)


93


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

A. New Employees: 1. MSDM Bureau

requests to ERP Admin (TIP Bureau) to open the standard access rights through hiring decree (Surat Keputusan Penerimaan Pegawai).

2. ERP Admin (TIP Bureau) opens the standard access rights for the employee and then confirms the execution to the MSDM Bureau.

3. MSDM Bureau instructs the employee to change the password.

B. Non-structural, MT and

Structural Employees: 1. MSDM Bureau

does the employee placement on the unit of work. Employee will need ERP access rights, therefore Requester (Work Unit/Branch Office/Project Leader/Subsidiary) will propose to open the ERP access rights by preparing Form 01/ERP/HA (for Non-structural & MT employees) or Form 02/ERP/HA (for Structural employees) to be given to ERP Module Owner.

(Lanjutan)


94


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

2. ERP Module Owner reviews the request and makes decisions. If approved, ERP Module Owner will assign ERP Admin to open ERP access rights; if not, ERP Module Owner will inform the rejection reason to applicant.

3. ERP Admin (TIP Bureau) then opens the ERP access rights according to the responsibility on the form; sign in the form and handed the copied form to HRM Bureau.

4. HRM Bureau receives the copy of the form while the Requester receives the ERP access rights opening process result. If Requester is objected with the given responsibility, Requester can discuss it with the ERP Module Owner.

Moreover, the detail approval procedure is also explained in the IT System Access Rights Opening Form (Form Pembukaan Hak Akses Sistem ERP).

(Lanjutan)


95


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

B2

Access to information systems is revoked on a timely basis when employees are terminated. ○i

Y Based on the review of "Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP” document which was legalized on May 24th, 2011 and approved by the Head of TIP Bureau (Mr. Bambang Sulistyo), employees whose ERP access rights is about to be closed, are employees who are about to resign, layoff-ed, retire, or dead. The ERP access rights closing procedures are:

1. HRM Bureau assigns ERP Admin to close the ERP access rights by providing a letter of assignment attached with decree.

2. ERP Admin will conduct the ERP access rights closure for those employees. Then report the ERP access rights closure to the HRM Bureau by providing Form 05/ERP/HA.


1. MoM_JM_ITGC_05122012

2. Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP

N Y

B3

Access to application source codes and production data is restricted. ○i

Y Based on interviews, TIP Bureau is the only party who has the authorization to access the application source codes and production data. For the ERP (Oracle)

Interview

1. MoM_JM_ITGC_05122012

Y N

(Lanjutan)


96


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

system, the source code is not given to the TIP Bureau, instead, it is just held by the vendor, but for the application which was made upon company’s request, the source code is given at the same time when the deployment to production is executed. The source code is managed by TIP Bureau (IT Management System Division) Sub Division of Application Management & Database and Sub Division of Web Management.

B4

Adequate password policy is established. ○i

N Based on interviews, TIP Bureau hasn’t had the middleware identity management so the user identity is made by each application. For ERP application system, company applies the minimum password complexity as follows:

Minimum length: 6 characters

Password history: cannot re-use 1 previous password

Password expiration: no, but as soon as default password is given from Biro TIP, the system will automatically insists user to change the password.

Access locked after 3 invalid attempts

Password should be


1. MoM_JM_ITGC_05122012


N Y

(Lanjutan)


97


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

alpha-numeric characters.

Based on the review “Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi”, there is password management policy which consists: password organizing policy, password storage, password validity, password protection, password recovery, and also job and responsibility functional system management.

B5

Administrator accounts are restricted to authorized personnel and their access is monitored. ○i

Y Based on interviews, the rights as System Administrator is hold by 2 persons: TIP Bureau of Information Technology System Management and Vendor. Log of the System Administrator activities is not monitored.

Interview

1. MoM_JM_ITGC_05122012

N Y

B6

User access is periodically reviewed by IS managers. ○i

N Based on interviews, user access has not been monitored by the IS Manager. Whenever there is employee mutation, resignation, or retirement, the employee’s old responsibility will be closed. This deactivation is considered as the control because automatically, the user access rights are monitored.

Interview

1. MoM_JM_ITGC_05122012

N Y

B7 Adequate Y Based on interviews, the Intervi 1. MoM_JM_I Y N

(Lanjutan) (Lanjutan)


98


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

physical access is established to restrict access to authorized personnel. ○i

company has two servers: server for ERP system at JKLM Head Office and collocation server for application system which requires internet access at Cyber 2 Kuningan Building. To enter the data center room, guests must have the letter of assignment, fill in the guest book and then they will be companied by PIC who has the ID card to get the access to enter the data center room. Based on the review of “Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi” and “Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja (Standar Ruang Data Center)” document, it is written that:

- Either in/ out access is equipped with the access card which authorization is done locally.

- Data Center access should be closed and locked (only opens when used for passing).

- Access to enter the data center must use the dual authorization factor (example: access card + pin, access card + biometric,

ew & document review

TGC_05122012

2. Tata Kelola Teknologi Informasi Pedoman Pengelolaan dan Keamanan Teknologi Informasi (draft)


99


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

etc). - Every activity that

has been done in data center must be recorded in the log book.

- Only personnel who have authority from the PIC may enter the data center.

- Every visitor must be accompanied/ monitored by their PIC/host, sign the visitor’s term and condition and put on the visitor ID card.

- It is not allowed to leave the visitor in the data center room alone.

C

Does the entity ensure that there are policies in place to prevent destruction of data, improper changes, unauthorized transactions or inaccurate recording of transactions?

- - - - - -


100


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

C1

A formal process is established for changes to applications, interfaces and scheduled batch jobs (i.e. initiation, approval and revision). ○i

Y Based on interviews, the change request procedures for ERP application system is: user fills the Change Request Form, handed the form to the TIP Bureau to be forwarded to the consultant. Consultant analyzes what should be done with the change request and how much it would cost; explained the result to the end user (about the change consequences, the cost, etc). If end user and Head of Unit agree, they will sign the Change Request Form, and the change is permitted to be executed. The changes can be a technical change or a functional change. For application system other than ERP, the change request procedure is similar; it only differs in its documents in which it uses the Official Memorandum instead of Change Request Form. Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized and approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on June 2011, these are software application change procedures:


1. MoM_JM_ITGC_05122012

2. Prosedur Pengubahan Aplikasi Perangkat Lunak

Y N


101


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

1. Application owner (working unit that is responsible for the application and taking charge on it) proposes the application change request to TIP Bureau with Change Request Form (CRF).

2. TIP Bureau coordinates with the vendor regarding the application change request.

3. Vendor identifies the work scope and costs needed, and submit it to the TIP Bureau to send it to the Application owner.

4. Application owner evaluates the work and the cost that is needed by Vendor. If the application is not approved, then the process will be discontinued, but if it is approved, then the evaluation will be submitted to the IT Bureau for further evaluation.

5. If TIP Bureau approves the evaluation, then Application owner will conduct the goods and services procurement process according to the “SOP Pelaksanaan Pengadaan Barang/Jasa di Lingkungan Perusahaan”.


102


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

6. Vendor modifies the application according to CRF which has been signed by the Application owner; deploy the application to UAT Server to do the testing; and prepare the test script and application user guide in order to fulfill the UAT process requirement.

7. Application owner conducts the UAT process. If the application is conformed to the Application owner’s requirement, then “Berita Acara UAT” will be signed by the Application owner.

8. Therefore, Vendor must revise the documentation related to the changed application and submitted to the Application owner. Afterwards, Vendor must deploy the application to the Production Server so that the application will be ready for the user.

C2

Changes to interfaces and scheduled batch jobs (including backups) are tested before implementatio

Y Based on interviews, after the change is done, a test is conducted. After the test is being conducted, the application will be deployed to the production server.


1. MoM_JM_ITGC_05122012

2. Prosedur Pengubahan Aplikasi Perangka

Y N


103


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

n to ensure they conform to specified requirements and meet business/user needs. ○i

Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized by Mr. Bambang Sulistyo (Head of TIP Bureau) on June 2011, Vendor will execute the change; prepare test script for UAT which will be done by Application Tutor (only), before the application is deployed on the production server.

t Lunak

C3

The transfer of programs into the production environment is separated from the developer/programmer. ○i

Y Based on interviews, when development is being executed in the development environment (usually developer is the vendor), TIP Bureau will give vendor the responsibility as System Administrator. When the programming is done, developer will discuss about the method which will be used to do the deployment to the production server, with TIP Bureau of IT System Management Division (Sub Division Application Management and Database). If the Sub thinks that they need to be accompanied by the developer, they will be accompanied. But because of the activity related to ERP systems in production server is running on and if terminated would disrupt the company's operations,

Interview & document review

1. MoM_JM_ITGC_05122012

2. Prosedur Pengubahan Aplikasi Perangkat Lunak

Y N


104


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

the Sub Division will ask for the script, and then run them one-on-one on the production server. Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized and approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on June 2011, Vendor as the developer/programmer will do the change, deploy the application at UAT Server for testing (written in the document: “This process should be accompanied by IT Tutor Work Unit”) and after the UAT is finished, vendor will also deploy the application to production server (written in the document: “This process should be accompanied by IT Tutor Work Unit”) so it can be used by user.

C4

Emergency program change process is established (i.e. approval, testing, documentation, monitoring). ○i

N Based on interviews, the situation for emergency program changes never happens; also there is no procedure for emergency program changes process. Based on review of “Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja” document which has not been legalized, for an emergency program changes (for both major/minor categories), there should be additional


1. MoM_JM_ITGC_0512201

N Y


105


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

legalization other than Change Authority and/or CAB: it is Emergency Cab (ECAB). (Look C1).

C5

Formal process is established to access/modify production data and data structures (i.e. approval, testing, documentation and monitoring). ○i

Y Based on interviews, to access/modify production data and data structures, TIP Bureau will contact the vendor and consult with them if they really need to access/modify the production data and data structures. However the PIC who has the access key to the database is TIP Bureau of IT Management System Division (Sub Division Application & Basis Data Management and Sub Division Web Management).

Interview

1. MoM_JM_ITGC_0512201

Y N

D

Does the entity ensure that there are policies in place to prevent reliance on systems/programs that inaccurately process data or process inaccurate data?

- - - - - -


106


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

D1

Formal procedures are established for reporting, managing and resolving problems/incidents. ○i

Y Based on interviews, if there is a problem, there will be a Helpdesk which has 2 tiers: Company TIP Bureau as tier 1 and vendor as tier 2. Problem proposed by the user will be forwarded to tier 1. If it can be solved by tier 1, then the problem will be fixed and given back to the end user. However, if the problem cannot be solved by tier 1, then the problem will be forwarded to tier 2. Incident/problem is recorded manually in Helpdesk, however for Helpdesk specified for ERP system; there is a portal named “Portal Support ERP” which displays every problem that has been occurred with its solution, as user’s guidance to handle any similar problems. Based on review of “Tata Kelola TI Pedoman Pengelolaan Keamanan TI” document draft, there are two types of problem management: incident management and problem management.


1. MoM_JM_ITGC_05122012


3. Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja (draft)

N Y

(Lanjutan)


107


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

D2

Scheduled jobs are monitored to identify problems or incidents for timely resolution. ○i

Y Based on interviews, scheduled jobs, such as backup, are monitored by using the application management at least once a week. But there is no monitoring report. While the antivirus update is also monitored by using appliance proxy supports.

Interview

1. MoM_JM_ITGC_05122012

Y N

D3

Backup policy and procedures are established (i.e. frequency, review, storage, retention, testing and documentation). ○i

Y Based on interviews, ERP system is backed up locally by using Symantec net backup for daily backup and monthly backup. Daily backup is not recorded to the tape, however monthly backup is recorded to the tape and kept by the administrator. On the other hand, for online backup the company uses DRC. Based on the document review, the company has “Prosedur Backup Aplikasi dan Database Portal Internal dan ERP” which was approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on May 31st, 2011. The document consists of: I. Authority, Purpose,

Scope, Definition; II. Backup Application

Procedure and Company Internal Database Portal;

III. Backup Application Procedure and ERP Database

Document review

1. Prosedur Backup Aplikasi dan Database Portal Internal dan ERP

Y N

(Lanjutan)


108


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

D4

Disaster recovery plan is established. ○i

Y The company has a Disaster Recovery Plan SOP which was prepared by PT. Sigma Solusi Integrasi (consultant), reviewed and approved by both PT. JKLM Tbk. And PT. Sigma Solusi Integrasi (consultant) on March 13th, 2012. The document consists of: I. DRP Arrangement

Guidelines; II. DRP Supportive Data

Collection; III. Risk Assessment; IV. Continuing Process

and Operation Priority Arrangement;

V. SOP Disaster Recovery Center: 1. PT. JKLM , Tbk

DRC Policy. 2. Physical Access

Procedure. 3. Monitoring and

Maintenance Procedure.

4. Hardware and Equipment Transfer Procedure.

5. JKLM Disaster Recovery Center Activation Procedure.

6. PT. JKLM , Tbk. Disaster Recovery Center Rollback/Deactivation Procedure.

7. Change Management Procedure.

Document review

1. SOP DRC PT. JKLM Tbk.

Y N

(Lanjutan) (Lanjutan)


109


Control #


In Place? Y or

N


Walkthroug

h Performed


Details

Effective?

Y or N

Key Issues

Identified 740.MPQ

Y or N

8. Problem Reporting Procedure.

9. Monthly Performance Reporting Performance.

10. CCTV Recording Request Procedure.

VI. Technical Guidelines for DRC Activation when Disaster and DRC Deactivation.

People interviewed:

No. Name Position

1. Dadan Waradia Kepala Bagian Analisis Pengembangan Teknologi (Biro TI

Perusahaan)

2. Agus Gunawan Kepala Bagian Pengelolaan Sistem Informasi Teknologi (Biro TI

Perusahaan)

Conclusion:

No. Audit Procedure Y or N Comment and/or Ref.

1. Are all controls in place and are they all effective?

If Yes, then IS General Controls are operating effectively. As part of your audit strategy, do you intend to rely on IS General Controls? (Y/N)

If No, then IS General Controls are not operating effectively and ensure:

Ensure management letter is sent to client outlining weaknesses identified.

Ensure audit strategy does not contemplate the reliance on IS General Controls.

(Lanjutan)
