64

BAB 4

AUDIT SISTEM INFORMASI PENGGAJIAN

Pengendalian terhadap sistem informasi yang ada sangat penting dalam

menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data

yang tidak terkontrol akan menimbulkan resiko yang berdampak luas bagi perusahaan.

Dengan melakukan proses audit dapat ditemukan kelemahan-kelemahan dari sistem atau

penyelewengan yang terjadi sehingga dapat memberikan suatu rekomendasi perbaikan

bagi perusahaan dalam menjalankan kegiatan di masa mendatang.

Pada bab ini akan dijelaskan mengenai pelaksanaan audit terhadap sistem

informasi penggajian. Bukti-bukti diperoleh dari dokumentasi, wawancara dengan

karyawan serta pengamatan secara langsung di PT. AQUARIUS MUSIKINDO.

4.1 Perencanaan Audit

Dengan perencanaan audit, maka auditor dapat memperoleh bahan bukti

yang cukup dan memadai. Tahap perencanaan audit dilakukan dengan menentukan

ruang lingkup, tujuan dan pelaksanaan audit, persiapan penelitian lapangan dan

pengumpulan bukti-bukti.

a. Penentuan ruang lingkup

Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS

MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi

terhadap sistem informasi penggajian yang sedang berjalan. Pengendalian

manajemen difokuskan pada pengendalian manajemen keamanan dan

pengendalian manajemen operasional. Sedangkan pengendalian aplikasi

65

difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian

masukan dan pengendalian keluaran.

b. Tujuan pelaksanaan audit

Tujuan dan pelaksanaan audit adalah untuk:

1. Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian

yang sedang berjalan.

2. Memberikan rekomendasi untuk mengurangi resiko dari permasalahan

yang muncul dalam sistem informasi penggajian.

3. Menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO.

c. Persiapan penelitian lapangan

Untuk melakukan penelitian lapangan, maka auditor membuat program kerja

audit sebagai berikut:

1. Mengatur jadwal untuk dapat bertemu dengan Manajer Personalia pada PT.

AQUARIUS MUSIKINDO.

2. Bertemu dengan Manajer Personalia perusahaan dan meminta izin untuk

melaksanakan audit serta mengajukan proposal pelaksanaan audit.

3. Mengumpulkan data perusahaan, seperti latar belakang perusahaan, visi dan

misi perusahaan, struktur organisasi perusahaan, peraturan-peraturan

perusahaan, serta tugas, tanggung jawab dan wewenang jabatan-jabatan

dalam struktur organisasi perusahaan.

4. Melakukan wawancara dengan Bagian Personalia yang berhubungan dengan

sistem informasi penggajian berdasarkan atas check-list yang telah dibuat dan

melakukan pengumpulan data-data yang berhubungan dengan audit yang

sedang dilakukan.

66

5. Melakukan wawancara dengan Bagian IT Development yang bertanggung

jawab terhadap pemeliharaan dan pengendalian sistem aplikasi penggajian

berdasarkan atas check-list yang telah dibuat.

6. Melakukan analisa terhadap hasil wawancara untuk dapat mengetahui

kelebihan dan kekurangan dari sistem yang sedang digunakan oleh

perusahaan.

7. Membuat laporan audit berdasarkan analisa yang telah dilakukan.

d. Pengumpulan bukti-bukti

Pengumpulan bukti-bukti diperoleh dari pihak-pihak yang berkaitan dengan

materi audit seperti pada Bagian Personalia dan Bagian IT. Bukti-bukti

dikumpulkan dengan berbagai cara, antara lain :

1. Observasi

Auditor melakukan observasi dengan mengunjungi PT. AQUARIUS

MUSIKINDO untuk mendapatkan gambaran umum mengenai perusahaan

tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh Bagian

Personalia dapat diketahui apakah prosedur dan sistem pengendalian internal

sudah diterapkan oleh karyawan yang berwenang. Observasi yang dilakukan

oleh auditor ditekankan pada penggajian.

2. Wawancara

Auditor melakukan wawancara secara lisan dengan menggunakan bantuan

check-list terhadap staf yang bersangkutan untuk memperoleh gambaran

secara rinci mengenai siklus penggajian yang ada. Pertanyaan yang

ditanyakan seputar prosedur dan tata laksana sistem informasi penggajian

67

yang dijalankan. Dari jawaban-jawaban tersebut dapat dikumpulkan untuk

mengambil suatu kesimpulan dan memberikan rekomendasi.

4.2 Pengevaluasian Bukti Audit pada Pengendalian Manajemen

Dalam melakukan pengevaluasian terhadap pengendalian manajemen, auditor

hanya memfokuskan pada pengendalian manajemen keamanan dan pengendalian

manajemen operasional.

4.2.1 Pengendalian Manajemen Keamanan

Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian

Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut:

4.2.1.1 Check-List Pengendalian Manajemen Keamanan

Tabel 4.1 Hasil Wawancara Pengendalian Manajemen Keamanan

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat alarm kebakaran

baik yang otomatis ataupun yang manual yang diletakkan di lokasi yang strategis untuk melindungi aset perusahaan?

Perusahaan hanya memiliki alarm kebakaran manual.

2. Apakah terdapat alat pemadam kebakaran otomatis di setiap ruangan?

3. Apakah terdapat alat pemadam kebakaran manual yang diletakkan pada posisi yang mudah dijangkau?

4. Apakah dilakukan pengecekan alat pemadam kebakaran secara periodik?

Alat pemadam kebakaran dicek setiap setahun sekali.

5. Apakah terdapat hydrant sebagai alat tambahan untuk mengan-tisipasi kebakaran?

Satpam diberikan pelatihan untuk menggunakan hydrant tersebut.

6. Apakah perusahaan memiliki pintu dan tangga darurat untuk tindakan evakuasi jika terjadi kebakaran?

68

7. Apakah ruangan penyimpanan data dan sistem informasi terletak pada ruangan yang aman dari ancaman banjir?

Ruang penyimpanan data dan sistem informasi terletak di lantai 3.

8. Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber listrik?

Perusahaan memiliki 2 generator untuk mengatasi gangguan sumber listrik.

9. Apakah perusahaan menggunakan UPSs sebagai alat penyimpan arus listrik sementara jika terjadi gangguan terhadap arus listrik dan sebagai salah satu media untuk melindungi perangkat komputer?

Tidak semua komputer perusahaan menggunakan UPSs, hanya komputer di bagian tertentu seperti Kepala Bagian dari tiap divisi yang dilengkapi UPSs dan sesuai kebutuhan.

10. Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik?

Komputer perusahaan tidak menggunakan stabilizer karena tegangan listrik untuk lokasi perusahaan stabil.

11. Apakah terdapat AC dalam ruangan komputer?

12. Apakah temperatur atau suhu AC di ruangan Personalia diatur sehingga mendukung penggunaan komputer untuk jangka waktu yang lama?

Temperatur AC diatur antara 24-25 derajat Cel-cius.

13. Apakah AC dibersihkan secara periodik sehingga suhu ruangan tetap stabil?

AC dibersihkan setiap sebulan sekali.

14. Apakah setiap ruangan dijaga kebersihannya sehingga terbebas dari polusi dan bakteri yang dapat membawa dampak buruk pada peralatan komputer?

Ruangan dibersihkan oleh cleaning service sebelum jam kerja.

15. Apakah perusahaan menggunakan sarung penutup komputer untuk melindungi komputer dari debu?

16. Apakah aset perusahaan sudah diasuransikan? Aset perusahaan sudah

diasuransikan seperti ge-dung, mobil, gudang kaset rekaman, studio dan per-alatan musik.

17. Apakah perusahaan menggunakan firewall untuk menjaga keamanan data?

69

18. Apakah perusahaan membatasi akses masuk ke ruangan data (penggajian) hanya pada karyawan tertentu?

Hanya karyawan Bagian Personalia yang mendapat akses untuk masuk ke ruangan data (penggajian).

19. Apakah komputer difasilitasi dengan anti virus? Komputer sudah difasilitasi

dengan Norton Anti Virus 2004.

20. Apakah anti virus diupdate secara periodik? Anti virus diupdate secara

otomatis menggunakan live update Norton Anti Virus.

21. Apakah selalu dilakukan scanning virus terhadap komputer? Scanning terhadap virus

dilakukan setiap seminggu sekali.

4.2.1.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN

REKOMENDASI

Temuan Audit:

1) Perusahaan tidak menggunakan firewall untuk menjaga keamanan

data.

2) Perusahaan tidak memasang alarm kebakaran otomatis dan hanya

menggunakan alarm kebakaran manual.

3) Tidak terdapat alat pemadam kebakaran otomatis dalam

perusahaan.

4) Komputer perusahaan tidak dilengkapi dengan stabilizer dan

UPSs hanya dilengkapi pada bagian-bagian tertentu sesuai dengan

kebutuhannya.

5) Peralatan komputer tidak ditutup dengan sarung penutup selama

komputer tersebut tidak digunakan.

70

Resiko:

1) Tingkat keamanan lebih rendah jika tidak dilengkapi dengan

firewall dan adanya kemungkinan hacker mengakses data.

2) Keterlambatan dalam membunyikan alarm manual dapat

menyebabkan kebakaran yang lebih besar dan adanya

kemungkinan korban jiwa yang semakin banyak.

3) Penggunaan alat pemadam kebakaran manual hanya mengatasi

sebagian kecil lokasi kebakaran sehingga api dapat menyebar

secara cepat ke lokasi lainnya.

4) Tegangan listrik yang tidak stabil dapat merusak komputer.

5) Komputer lebih rawan terhadap debu yang dapat membawa

dampak buruk pada peralatan komputer.

Rekomendasi:

1) Sebaiknya komputer dilengkapi dengan firewall untuk menjaga

keamanan data perusahaan.

2) Sebaiknya perusahaan juga menyediakan alarm kebakaran yang

otomatis di setiap ruangan sehingga lebih cepat dalam mendeteksi

kebakaran.

3) Selain menggunakan alat pemadam kebakaran manual, sebaiknya

perusahaan juga menggunakan alat pemadam kebakaran otomatis

di setiap ruangan.

4) Sebaiknya setiap komputer dilengkapi dengan UPSs dan sebagai

tindakan pencegahan terhadap kemungkinan tegangan listrik yang

71

tidak stabil sebaiknya perusahaan melengkapi komputernya

dengan stabilizer.

5) Komputer yang tidak digunakan sebaiknya ditutup dengan sarung

penutup komputer untuk melindungi komputer dari debu.

4.2.2 Pengendalian Manajemen Operasional

Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian

Personalia dan Bagian IT Development, maka hasil wawancara tersebut

ditampilkan sebagai berikut:

4.2.2.1 Check-List Pengendalian Manajemen Operasional

Tabel 4.2 Hasil Wawancara Pengendalian Manajemen

Operasional

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat kamera pengawas

di lingkungan perusahaan? Tidak terdapat kamera pengawas karena memerlukan biaya yang besar.

2. Apakah terdapat mesin absensi untuk pengabsenan karyawan? Mesin absensi digunakan

saat jam masuk dan keluar kantor.

3. Apakah terdapat pengawasan terhadap pengabsenan yang dilakukan oleh karyawan

Kepala bagian hanya melakukan pengawasan terhadap karyawan yang hadir dalam ruangan tetapi tidak mengecek kebenaran absensi pada kartu absensi.

4. Apakah terdapat pengawasan terhadap penggunaan fasilitas kantor yang dilakukan oleh karyawan?

5. Apakah terdapat pelatihan untuk karyawan baru yang berhubungan langsung dengan sistem?

Untuk pelatihan yang berhubungan dengan sistem dilatih oleh Bagian IT Development.

6. Apakah dalam periode tertentu dilakukan evaluasi terhadap Evaluasi terhadap kinerja

karyawan dilakukan setiap

72

kinerja karyawan? 3 bulan sekali. 7. Apakah ruangan server telah

ditempatkan pada tempat yang strategis?

Ruangan server terletak di lantai dua.

8. Apakah perusahaan sudah menggunakan hardware dan software yang sesuai dan dapat dihandalkan untuk mendukung sistem informasi?

9. Apakah hardware dan software yang ada sudah dikelola dengan efektif dan efisien sesuai dengan kebutuhan perusahaan?

Hardware dan software telah dikelola dengan efektif dan efisien. Sebagai contoh: perusahaan meng-gunakan Pentium III karena masih dapat mendukung kegiatan operasional.

10. Apakah perusahaan melakukan perawatan terhadap hardware dan software secara periodik?

Perusahaan melakukan perawatan hardware dan software setiap 1 tahun sekali dan pada saat kondisi accidental. Perawatannya dilakukan oleh Bagian Technical Support.

11. Apakah perusahaan sudah memiliki jaringan komunikasi? Jika ya, jaringan apa yang digunakan?

a. LAN b. WAN

12. Apakah terdapat pengawasan terhadap keamanan jaringan? Jika ya, siapa yang bertanggungjawab terhadap keamanan jaringan?

Manajer IT yang bertang-gungjawab terhadap ke-amanan jaringan.

13. Apakah terdapat penjadwalan kerja dalam pemakaian komputer yang terdapat di dalam perusahaan?

Setiap bagian meng-operasikan komputernya masing-masing

14. Apakah perusahaan sudah memberikan gaji sesuai dengan standar UMP (Upah Minimum Propinsi)?

Perusahaan memberikan gaji di atas standar UMP (Jakarta = Rp.711.843) dimana gaji minimum yang berlaku di perusahaan adalah Rp. 826.000 per bulan.

73

4.2.2.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN

REKOMENDASI

Temuan Audit:

1) Tidak memasang kamera pengawas di lingkungan perusahaan

tetapi terdapat satpam yang menjaga keamanan perusahaan

secara bergiliran.

2) Tidak terdapat pengawasan terhadap fasilitas kantor sehingga

karyawan dapat menggunakan fasilitas kantor untuk kepentingan

diri sendiri.

3) Pengawasan yang dilakukan terhadap absensi karyawan masih

belum optimal karena terdapat kejadian dimana karyawan dapat

mengabsen kehadiran temannya.

Resiko:

1) Pengamanan terhadap lingkungan perusahaan belum sepenuhnya

terkontrol dengan baik karena adanya kemungkinan ancaman

datang dari dalam perusahaan misalnya: pencurian yang dilakukan

oleh karyawan.

2) Menimbulkan biaya tambahan yang merugikan perusahaan.

3) Menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi

kinerja karyawan.

Rekomendasi:

1) Selain pengamanan yang dilakukan oleh satpam, sebaiknya

perusahaan menggunakan kamera pengawas pada ruangan-

74

ruangan yang menyimpan aset perusahaan yang penting seperti

peralatan menggandakan kaset.

2) Perusahaan membuat kebijakan mengenai penggunaan fasilitas

kantor dan mengenakan sanksi yang tegas bagi karyawan yang

melakukan pelanggaran.

3) Sebaiknya pada jam masuk dan keluar kantor, terdapat staf

Bagian Personalia yang mengawasi jalannya pengisian absensi.

4.3 Pengevaluasian Bukti Audit pada Pengendalian Aplikasi

Dalam melakukan pengevaluasian terhadap pengendalian aplikasi, auditor

berfokus pada pengendalian batasan sistem aplikasi, pengendalian masukan,

pengendalian keluaran.

4.3.1 Pengendalian Batasan Sistem Aplikasi

Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian IT

Development, maka hasil wawancara tersebut ditampilkan sebagai berikut:

4.3.1.1 Check-List Pengendalian Batasan Sistem Aplikasi

Tabel 4.3 Hasil Wawancara Pengendalian Batasan Sistem

Aplikasi

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat identifikasi akses

terhadap sistem penggajian? Jika ya, metode apakah yang di-gunakan dan sejauh mana metode tersebut diimplementasikan?

a. Username b. Sidik jari c. Suara d. Password?

Perusahaan menggunakan metode password untuk mengidentifikasi akses terhadap sistem penggajian.

75

2. Apakah terdapat ketentuan pan-jang minimum untuk password?

Panjang password telah ditentukan sebanyak 7 digit.

3. Apakah password yang diinput boleh kurang dari digit yang disediakan?

Password yang diinput harus sesuai dengan jumlah digit yang telah disediakan yaitu 7 digit.

4. Apakah password yang diketik-kan tidak terlihat/ invisible? Password yang diketikkan

disembunyikan dalam ben-tuk .

5. Apakah dalam penggunaan password dilakukan dengan kom-binasi? Jika ya, metode apa yang digu-nakan?

a. Alfabet, angka, tanda baca?

b. Karakter campuran lainnya?

Password dibuat dengan kombinasi alfabet dan angka.

6. Apakah sistem melakukan enkrip-si atas password user? Jika ya, teknik cryptographic apa yang digunakan?

a. Transposition ciphers b. Substitution ciphers c. Product ciphers

7. Apakah terdapat batasan maksimum untuk kesalahan me-masukkan password? Jika ya, berapa kali kesempatan yang diberikan untuk mema-sukkan password?

Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem.

8. Apakah perusahaan melakukan perubahan password secara berkala?

Perubahan password dilaku-kan secara berkala, yaitu setiap akhir tahun.

9. Apakah perusahaan melakukan pergantian password secepatnya apabila ada karyawan yang mengoperasikan sistem peng-gajian berhenti bekerja?

10. Apakah perusahaan memiliki kebijakan terhadap pembatasan akses terhadap data? Jika ya, kebijakan pengendalian akses apa yang digunakan?

Perusahaan membatasi akses dengan menggunakan kebi-jakan Mandatory Access Control karena hanya karyawan personalia yang -

76

a. Discretionary access control

b. Mandatory access control

mendapat hak untuk mengakes data penggajian yang bersifat confidential.

11. Apakah perusahaan membatasi hak akses bagi karyawan tertentu? Dan jika ya, sejauh mana tindakan yang dapat dilakukan oleh karyawan tersebut terhadap data yang ada dalam sistem?

a. Read b. Add c. Modify

Yang berhak mengakses data dalam sistem pengajian hanya karyawan personalia dimana karyawan tersebut dapat melakukan read, add dan modify terhadap data tersebut.

12. Apakah setiap akses yang dila-kukan terhadap sistem direkam secara otomatis untuk me-mudahkan audit trail?

4.3.1.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi

Temuan Audit:

1) Dalam pengidentifikasian akses terhadap sistem penggajian,

perusahaan hanya menggunakan password.

2) Pergantian password dilakukan setahun sekali sehingga tingkat

keamanan terhadap akses yang tidak terotorisasi lebih rendah.

3) Perusahaan tidak melakukan sistem enkripsi terhadap password

user.

4) Setiap akses yang dilakukan terhadap sistem tidak direkam.

5) Tidak terdapat batasan maksimum untuk kesalahan password.

Kesempatan untuk memasukkan password hanya sekali. Apabila

terjadi kesalahan pengisian password, maka otomatis akan keluar

dari sistem.

77

Resiko:

1) Apabila identifikasi hanya menggunakan password maka lebih

mudah ditebak sehingga tingkat pengendaliannya lebih rendah.

2) Tingkat keamanan lebih rendah sehingga memudahkan pihak

yang tidak memiliki otorisasi untuk mengakses sistem.

3) Tanpa sistem enkripsi maka password lebih mudah dipecahkan

oleh hacker.

4) Lebih sulit untuk melakukan audit trail apabila setiap akses

terhadap sistem tidak direkam.

5) Membutuhkan waktu yang lebih lama untuk masuk ke dalam

sistem informasi penggajian dan memperlambat pekerjaan.

Rekomendasi:

1) Untuk pengidentifikasian akses terhadap sistem penggajian akan

lebih baik jika menggunakan username dan password. Dengan

menggunakan username maka pihak yang tidak berwenang harus

mengisi username dan password yang tepat untuk dapat

mengakses ke dalam sistem sehingga tingkat keamanannya lebih

tinggi.

2) Sebaiknya password diganti sesering mungkin sesuai dengan

kebutuhan user dan perusahaan.

3) Password sebaiknya dienkripsi untuk mempersulit pihak-pihak

yang ingin mendapatkan password secara ilegal dengan

menggunakan teknik substitution ciphers karena sudah bisa

memenuhi kebutuhan perusahaan.

78

4) Akan lebih baik jika perusahaan menggunakan alat perekam

otomatis, contohnya key logger untuk memudahkan proses audit

trail.

5) Sistem penggajian sebaiknya memberikan kesempatan untuk

memasukkan password maksimal tiga kali karena adanya

kemungkinan terjadi kesalahan penginputan password.

4.3.2 Pengendalian Masukan

Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian

Personalia dan Bagian IT Development, maka hasil wawancara tersebut

ditampilkan sebagai berikut:

4.3.2.1 Check-List Pengendalian Masukan

Tabel 4.4 Hasil Wawancara Pengendalian Masukan

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode input data yang

digunakan oleh perusahaan? a. Keyboarding b. Direct Reading c. Direct Entry

Perusahaan menggunakan metode keyboarding untuk menginput data.

2. Apakah perusahaan menggunakan dokumen-dokumen tertentu untuk menginput data penggajian? Jika ya, dokumen apa yang digunakan oleh Bagian Personalia dalam menginput data peng-gajian?

Dokumen yang digunakan adalah keterangan lembur dan keterangan kasbon yang sudah direkap menjadi daftar lembur dan daftar kasbon. Dokumen pendukung yang digunakan adalah perubahan peraturan persentase ASTEK, perubahan UU Pajak Penghasilan, keputusan kenaikan gaji, dan keputusan promosi/demosi.

79

3. Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang?

Keterangan lembur diotori-sasi oleh Kepala Bagian dari masing-masing karyawan dan kas bon diotorisasi oleh Bagian Accounting. Kemudian keterangan lembur dan kasbon tersebut direkap oleh Bagian Personalia menjadi Daftar Lembur dan Kasbon.

4. Apakah terdapat ketentuan perhitungan jam lembur karyawan? Jika ya, bagaimana cara perhitungannya?

Perhitungan lembur: 1/173 x gaji netto x jam lembur Tidak terdapat perhitungan kelipatan pada jam lembur berikutnya.

5. Apakah terdapat jumlah maksimal jam lembur karyawan? Tidak terdapat ketentuan

maksimal jam lembur, tergantung pada pekerjaan yang harus diselesaikan oleh karyawan.

6. Apakah terdapat pengawasan terhadap pelaksanaan lembur? Jika ada, siapakah yang mengawasi pelaksanaan lembur?

Kepala Bagian mengawasi pelaksanaan lembur karyawan dan pelaksanaan lembur dapat dilihat dari absensi serta hasil pekerjaan-nya.

7. Apakah terdapat kebijakan yang diberlakukan perusahaan ber-kaitan dengan Kasbon? Jika ada, bagaimana kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon dan bagaimana cara pelunasannya?

Maksimum peminjaman kas bon adalah: 1 x gaji karyawan x 6 bulan 2 Contoh : gaji karyawan adalah Rp. 1.000.000 maka peminjaman maksimum adalah Rp 3.000.000. Kas bon harus dibayar dengan memotong langsung dari gaji karyawan tanpa dikenai bunga.

8. Apakah perusahaan menggunakan nomor urut tercetak pada setiap dokumen?

9. Dokumen dalam sistem penggajian diinput dengan metode apa?

Dokumen dalam sistem penggajian diinput dengan metode batch. Setiap tanggal

80

a. Batch b. Real time

Jika batch, berapa lama periode batch data yang diperlukan untuk penginputan sistem penggajian?

20 semua dokumen akan dibatch untuk diproses.

10. Apakah dokumen diarsip? Jika ya berapa lama dokumen untuk penginputan data diarsip oleh perusahaan?

Dokumen diarsip sampai 10 tahun.

11. Apakah setiap penghancuran dokumen sumber akan dibuat berita acara penghancuran dokumen?

12. Apakah perusahaan memiliki alat penghancur kertas untuk men-dukung proses penghancuran dokumen sumber?

Perusahaan memiliki alat penghancur kertas tetapi tidak digunakan meng-hancurkan dokumen. Perusahaan memilih cara dengan membakar dokumen yang sudah tidak digunakan.

13. Apakah sistem penggajian dileng-kapi help facility untuk membantu user dalam penginputan data?

Sistem penggajian tidak dilengkapi dengan help facility.

14. Pendekatan apa yang digunakan dalam layar penginputan data?

a. Fill in area b. Multiple choice c. Tick marks atau indikasi

nilai untuk menentukan ukuran field

d. Combination instruction dengan pertanyaan

Karyawan Bagian Personalia

menginput data dengan memasukkan data ke dalam kolom yang disediakan (fill in area).

15. Apakah interval waktu untuk melakukan penginputan data dari screen yang satu ke screen yang berikutnya membutuhkan waktu yang lama?

16. Apakah warna pada tampilan layar mengganggu pandangan mata pada saat penginputan data?

17. Apakah menu penginputan sudah tersusun secara sistematis dan berurut sehingga memudahkan proses penginputan data?

Menu penginputan sudah tersusun secara sistematis dan berurutan yaitu: Biodata Honor Proses

Display Print Set

81

Tanggal Quit . 18. Apakah tampilan input bersifat

user friendly?

19. Apakah data yang diinput bersifat case sensitive (berpengaruh terhadap huruf besar/kecil)?

Data yang diinput bersifat case sensitive dimana penginputan harus meng-gunakan huruf besar.

20. Apakah penginputan data boleh kurang dari digit angka yang disediakan pada tampilan layar?

21. Apakah penginputan data penggajian hanya dilakukan oleh karyawan yang berwenang?

Penginputan data hanya dilakukan oleh karyawan personalia.

22. Tipe pengkodean apa yang digunakan dalam penginputan data?

a. Serial Codes b. Block Sequence Codes c. Hierarhical Codes d. Association Codes

Tipe pengkodean yang digunakan adalah Association Codes. Sebagai contoh kode AKN diasosiasikan dengan Bagian Akuntansi. KAN diasosiasi-kan dengan Bagian Kantor.

23. Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data?

Setiap data yang dimasukkan dicek kembali sekurang-kurangnya tiga kali.

24. Apabila terjadi kesalahan dalam penginputan data, apakah program aplikasi akan menampilkan error message dengan tindakan yang harus dilakukan?

Program aplikasi menampil-kan error message apabila data yang diinput salah. Contoh apabila nomor karyawan yang diinput salah maka akan muncul message “Karyawan tidak terdaftar”.

25. Jika terjadi error, apakah user dapat melakukan koreksi terhadap kesalahan yang terjadi atau langsung keluar dari sistem?

User dapat melakukan koreksi terhadap kesalahan yang dibuatnya dan tidak keluar dari sistem.

4.3.2.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi

Temuan Audit:

1) Dokumen-dokumen yang digunakan untuk penginputan tidak

menggunakan nomor urut tercetak.

82

2) Perusahaan menggunakan metode keyboarding untuk menginput

data.

3) Perusahaan tidak membuat berita acara untuk penghancuran

dokumen.

4) Perusahaan memiliki alat penghancur kertas tetapi tidak

menggunakannya dalam menghancurkan dokumen tetapi memilih

cara dengan membakar dokumen yang sudah tidak digunakan.

5) Sistem penggajian tidak dilengkapi dengan help facility.

Resiko:

1) Dokumen tidak terkontrol dengan baik dan sulit mendeteksi

dokumen yang hilang.

2) Dapat terjadi kesalahan dalam penginputan data (human error).

3) Tidak mengetahui dokumen apa saja yang telah dihancurkan dan

kapan proses penghancuran tersebut dilakukan.

4) Dapat menimbulkan polusi dan adanya kemungkinan dokumen

tidak terbakar secara total sehingga disalahgunakan oleh orang

lain.

5) Karyawan baru memerlukan waktu yang lama untuk mempelajari

sistem jika tanpa disertai dengan help facility.

Rekomendasi:

1) Sebaiknya dokumen-dokumen yang akan diinput memiliki nomor

urut tercetak.

2) Perusahaan tetap menggunakan metode keyboarding dan

karyawan yang melakukan penginputan harus bekerja lebih teliti

83

serta melakukan pengecekan ulang terhadap data yang telah

diinput.

3) Perusahaan harus membuat berita acara untuk penghancuran

dokumen.

4) Sebaiknya perusahaan menggunakan alat penghancur kertas yang

telah tersedia sehingga lebih efektif dan aman dalam proses

penghancuran dokumen.

5) Sistem penggajian didukung oleh help facility sehingga dapat

membantu karyawan dalam mempelajari sistem lebih mudah.

4.3.3 Pengendalian Keluaran

Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian

Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut:

4.3.3.1 Check-List Pengendalian Keluaran

Tabel 4.5 Hasil Wawancara Pengendalian Keluaran

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah setiap laporan yang

dihasilkan selalu mencantumkan tanggal, bulan, tahun dan waktu pencetakan?

Tidak semua laporan men-cantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perin-cian Astek, Daftar Rekapi-tulasi Transfer yang mencan-tumkan tanggal, bulan, tahun dan waktu pencetakan.

2. Apakah pada setiap laporan dicantumkan:

a. nomor halaman dan tanda akhir halaman

b. nomor halaman c. tanda akhir halaman

Setiap laporan yang dihasilkan mencantumkan nomor halaman dan tanda akhir halaman. Contoh: 1/3 yang berarti halaman 1 dari 3 halaman.

84

3. Apakah laporan diserahkan kepada pihak yang berwenang? Laporan diserahkan kepada

Manajer Personalia dan Direktur.

4. Apakah laporan-laporan yang dihasilkan didistribusikan tepat pada awal periode?

Laporan didistribusikan hanya pada saat dibutuhkan oleh Manajer Personalia dan Direktur.

5. Apakah laporan yang dihasilkan mendapat otorisasi dari pihak yang berwenang?

6. Apakah disediakan kolom tanda tangan untuk pembuat laporan?

7. Apakah diberlakukan klasifikasi pada setiap laporan? Setiap laporan diklasifikasi-

kan berdasarkan nama laporan.

8. Apakah setiap laporan disimpan pada tempat yang mudah dijangkau dan tersusun rapi sehingga bila dibutuhkan maka mudah ditemukan?

Laporan disimpan pada tempat yang mudah dijangkau. Susunan laporan cukup rapi dan mudah ditemukan.

9. Apakah terdapat kebijakan waktu yang untuk menyimpan suatu laporan?

Kebijakan yang ditetapkan perusahaan untuk me-nyimpan laporan selama 10 tahun.

10. Apakah terdapat berita acara dalam menghancurkan laporan yang tidak diperlukan?

11. Apakah posisi printer sebagai sumber output cukup strategis? Posisi printer terletak pada

posisi yang strategis yaitu berada tepat disebelah komputer.

12. Apakah printer Bagian Personalia juga digunakan oleh bagian lainnya? Jika ya, apakah terjadi sistem antrian untuk mencetak?

Printer khusus digunakan oleh karyawan Bagian Personalia sehingga tidak terjadi sistem antrian untuk menghasilkan output.

4.3.3.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi

Temuan Audit:

1) Laporan tidak diotorisasi oleh Manajer Personalia.

85

2) Tidak semua laporan mencantumkan tanggal, bulan, tahun dan

waktu pencetakan. Hanya laporan Daftar Honor Karyawan

Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang

mencantumkan tanggal, bulan, tahun dan waktu pencetakan.

3) Laporan didistribusikan kepada Manajer Personalia dan Direktur

hanya pada saat dibutuhkan.

4) Tidak tersedia kolom tanda tangan dan nama pembuat laporan.

5) Perusahaan tidak menggunakan berita acara untuk menghancur-

kan laporan-laporan yang tidak diperlukan lagi.

6) Perusahaan tidak menggunakan alat penghancur kertas yang telah

tersedia pada saat proses penghancuran laporan tetapi dengan cara

membakar laporan-laporan tersebut.

Resiko:

1) Tidak adanya pengendalian internal yang baik dan adanya

kemungkinan laporan tersebut merupakan hasil rekayasa dari

karyawan.

2) Tidak diketahui secara tepat kapan waktu laporan tersebut

dihasilkan.

3) Kurangnya pengawasan dari Manajer Personalia dan Direktur

perusahaan sehingga memungkinkan terjadinya kecurangan.

4) Sulit mengetahui siapa yang bertanggungjawab atas laporan yang

dibuat.

5) Tidak mengetahui laporan apa saja yang telah dihancurkan dan

kapan proses penghancuran tersebut dilakukan.

86

6) Dapat menimbulkan polusi dan adanya kemungkinan laporan

tidak terbakar secara total sehingga disalahgunakan oleh orang

lain.

Rekomendasi:

1) Laporan harus mendapat otorisasi dari Manajer Personalia

sehingga terdapat pengendalian internal yang baik.

2) Semua laporan harus mencantumkan tanggal, bulan, tahun dan

waktu pencetakan.

3) Setiap laporan yang dihasilkan didistribusikan kepada Manajer

Personalia dan Direktur tepat pada awal periode.

4) Harus disediakan kolom tanda tangan dan nama pembuat laporan

sehingga diketahui siapa yang bertanggungjawab atas laporan

tersebut.

5) Perusahaan harus membuat berita acara untuk penghancuran

laporan.

6) Sebaiknya perusahaan menggunakan alat penghancur kertas yang

sehingga lebih efektif dan aman dalam proses penghancuran

laporan.

87

Tabel 4.6 MATRIKS TEMUAN MASALAH, RESIKO, REKOMENDASI DAN PERSON IN CHARGE

TEMUAN MASALAH RESIKO REKOMENDASI PERSON IN CHARGE 1. Pengendalian Manajemen

Keamanan

a. Perusahaan tidak meng-

gunakan firewall untuk

menjaga keamanan data.

b. Perusahaan tidak mema-

sang alarm kebakaran

otomatis dan hanya

menggunakan alarm

kebakaran manual.

a. Tingkat keamanan lebih

rendah jika tidak dilengkapi

dengan firewall dan adanya

kemungkinan hacker meng-

akses data.

b. Keterlambatan dalam mem-

bunyikan alarm manual da-

pat menyebabkan kebakaran

yang lebih besar dan adanya

kemungkinan korban jiwa

yang semakin banyak.

a. Sebaiknya komputer di-

lengkapi dengan firewall

untuk menjaga keamanan

data perusahaan.

b. Sebaiknya perusahaan juga

menyediakan alarm keba-

karan yang otomatis di

setiap ruangan sehingga

lebih cepat dalam men-

deteksi kebakaran.

Technical Support.

Bagian Keamanan.

88

c. Tidak terdapat alat pema-

dam kebakaran otomatis

dalam perusahaan.

d. Komputer perusahaan tidak

dilengkapi dengan

stabilizer dan UPSs hanya

dilengkapi pada bagian-

bagian tertentu sesuai

dengan kebutuhannya.

c. Penggunaan alat pemadam

kebakaran manual hanya

mengatasi sebagian kecil

lokasi kebakaran sehingga

api dapat menyebar secara

cepat ke lokasi lainnya.

d. Tegangan listrik yang tidak

stabil dapat merusak

komputer.

c. Selain menggunakan alat

pemadam kebakaran ma-

nual, sebaiknya perusaha-

an juga menggunakan alat

pemadam kebakaran

otomatis di setiap ruangan.

d. Sebaiknya setiap komputer

dilengkapi dengan UPSs

dan sebagai tindakan

pencegahan terhadap ke-

mungkinan tegangan listrik

yang tidak stabil sebaiknya

perusahaan melengkapi

komputernya dengan

stabilizer.

Bagian Keamanan. Technical Support.

89

e. Peralatan komputer tidak

ditutup dengan sarung

penutup selama komputer

tersebut tidak digunakan.

e. Komputer lebih rawan

terhadap debu yang dapat

membawa dampak buruk

pada peralatan komputer.

e. Komputer yang tidak

digunakan sebaiknya ditu-

tup dengan sarung penutup

komputer untuk melin-

dungi komputer dari debu.

Bagian Pemeliharaan

Kantor.

2. Pengendalian Manajemen

Operasional

a. Tidak memasang kamera

pengawas di lingkungan

perusahaan tetapi terdapat

satpam yang menjaga

keamanan perusahaan

secara bergiliran.

a. Pengamanan terhadap ling-

kungan perusahaan belum

sepenuhnya terkontrol de-

ngan baik karena adanya

kemungkinan ancaman da-

tang dari dalam perusahaan

misalnya: pencurian yang

dilakukan oleh karyawan.

a. Selain pengamanan yang

dilakukan oleh satpam,

sebaiknya perusahaan

menggunakan kamera

pengawas pada ruangan-

ruangan yang menyimpan

aset perusahaan yang

penting seperti peralatan

Bagian Keamanan

90

b. Tidak terdapat pengawasan

terhadap fasilitas kantor

sehingga karyawan dapat

menggunakan fasilitas kan-

tor untuk kepentingan diri

sendiri.

c. Pengawasan yang dilakukan

terhadap absensi karyawan

masih belum optimal karena

terdapat kejadian dimana

karyawan dapat mengabsen

kehadiran temannya.

b. Menimbulkan biaya

tambahan yang merugikan

perusahaan.

c. Menimbulkan pelanggaran

terhadap jam kerja dan

mempengaruhi kinerja

karyawan.

menggandakan kaset.

b. Perusahaan membuat

kebijakan mengenai peng-

gunaan fasilitas kantor dan

mengenakan sanksi yang

tegas bagi karyawan yang

melakukan pelanggaran.

c. Sebaiknya pada jam masuk

dan keluar kantor, terdapat

Staf Bagian Personalia

yang mengawasi jalannya

pengisian absensi.

Bagian Kantor.

Staf Bagian Personalia.

91

3. Pengendalian Batasan Sistem

Aplikasi

a. Dalam pengidentifikasian

akses terhadap sistem

penggajian, perusahaan

hanya menggunakan

password.

a. Apabila identifikasi hanya

menggunakan password

maka lebih mudah ditebak

sehingga tingkat pengen-

daliannya lebih rendah.

a. Untuk pengidentifikasian

akses terhadap sistem

penggajian akan lebih baik

jika menggunakan user-

name dan password.

Dengan menggunakan

username maka pihak

yang tidak berwenang

harus mengisi username

dan password yang tepat

untuk dapat mengakses ke

dalam sistem sehingga

tingkat keamanannya lebih

IT Development.

92

b. Pergantian password di-

lakukan setahun sekali.

c. Perusahaan tidak melaku-

kan sistem enkripsi ter-

hadap password user.

b. Tingkat keamanan lebih

rendah sehingga memudah-

kan pihak yang tidak

memiliki otorisasi untuk

mengakses sistem.

c. Tanpa sistem enkripsi maka

password lebih mudah

dipecahkan oleh hacker.

tinggi.

b. Sebaiknya password di-

ganti sesering mungkin

sesuai dengan kebutuhan

user dan perusahaan.

c. Password sebaiknya

dienkripsi untuk mem-

persulit pihak-pihak yang

ingin mendapatkan

password secara ilegal

dengan menggunakan tek-

nik substitution ciphers

yang sudah dapat

memenuhi kebutuhan

IT Development.

IT Development.

93

d. Setiap akses yang

dilakukan terhadap sistem

tidak direkam.

e. Tidak terdapat batasan

maksimum untuk ke-

salahan password. Kesem-

patan untuk memasukkan

password hanya sekali.

Apabila terjadi kesalahan

pengisian password, maka

otomatis akan keluar dari

d. Lebih sulit untuk

melakukan audit trail

apabila setiap akses

terhadap sistem tidak

direkam.

e. Membutuhkan waktu yang

lebih lama untuk masuk ke

dalam sistem penggajian

dan memperlambat pe-

kerjaan.

perusahaan.

d. Akan lebih baik jika

perusahaan menggunakan

alat perekam otomatis,

contohnya key logger

untuk memudahkan proses

audit trail.

e. Sistem penggajian

sebaiknya memberikan

kesempatan untuk me-

masukkan password

maksimal tiga kali karena

adanya kemungkinan

terjadi kesalahan peng-

inputan password.

Technical Support.

IT Development.

94

sistem.

4. Pengendalian Masukan

a. Setiap dokumen yang

digunakan untuk peng-

inputan tidak mengguna-

kan nomor urut tercetak.

b. Perusahaan menggunakan

metode keyboarding untuk

menginput data.

a. Dokumen tidak terkontrol

dengan baik dan sulit

mendeteksi dokumen yang

hilang.

b. Dapat terjadi kesalahan

dalam penginputan data

(human error).

a. Sebaiknya setiap dokumen

yang akan diinput memi-

liki nomor urut tercetak.

b. Perusahaan tetap meng-

gunakan metode key-

boarding dan karyawan

yang melakukan peng-

inputan harus bekerja lebih

teliti serta melakukan

pengecekan ulang terhadap

data yang telah diinput.

Bagian Personalia.

Bagian Personalia.

95

c. Perusahaan tidak membuat

berita acara untuk peng-

hancuran dokumen.

d. Perusahaan memiliki alat

penghancur kertas tetapi ti-

dak menggunakannya da-

lam menghancurkan doku-

men tetapi memilih cara

dengan membakar doku-

men yang sudah tidak

digunakan.

e. Sistem penggajian tidak

dilengkapi dengan help

c. Tidak mengetahui dokumen

apa saja yang telah di-

hancurkan dan kapan proses

penghancuran tersebut

dilakukan.

d. Dapat menimbulkan polusi

dan adanya kemungkinan

dokumen tidak terbakar

secara total sehingga

disalahgunakan oleh orang

lain.

e. Karyawan baru memerlukan

waktu yang lama untuk

c. Perusahaan harus membuat

berita acara untuk peng-

hancuran dokumen.

d. Sebaiknya perusahaan

menggunakan alat peng-

hancur kertas yang telah

tersedia sehingga lebih

efektif dan aman dalam

proses penghancuran

dokumen.

e. Sistem penggajian didu-

kung oleh help facility

Bagian Personalia.

Bagian Personalia.

IT Development.

96

facility. mempelajari sistem jika

tanpa disertai dengan help

facility.

sehingga dapat membantu

karyawan dalam mempela-

jari sistem lebih mudah.

5. Pengendalian Keluaran

a. Laporan tidak diotorisasi

oleh Manajer Personalia.

b. Tidak semua laporan

mencantumkan tanggal,

bulan, tahun dan waktu

pencetakan. Hanya laporan

Daftar Honor Karyawan

Bulanan, Perincian Astek,

a. Tidak adanya pengendalian

internal yang baik dan

adanya kemungkinan lapo-

ran tersebut merupakan hasil

rekayasa dari karyawan.

b. Tidak diketahui secara tepat

waktu laporan tersebut

dihasilkan.

a. Laporan harus mendapat

otorisasi dari Manajer Per-

sonalia sehingga terdapat

pengendalian internal yang

baik.

b. Semua laporan sebaiknya

mencantumkan tanggal,

bulan, tahun dan waktu

pencetakan.

Manajer Personalia.

Bagian Personalia.

97

Daftar Rekapitulasi Trans-

fer yang mencantumkan

tanggal, bulan, tahun dan

waktu pencetakan.

c. Laporan didistribusikan

kepada Manajer Personalia

dan Direktur hanya pada

saat dibutuhkan.

d. Tidak tersedia kolom tanda

tangan dan nama pembuat

laporan.

c. Kurangnya pengawasan dari

manajer personalia dan

direktur perusahaan sehing-

ga memungkinkan terjadi-

nya kecurangan.

d. Sulit mengetahui siapa yang

bertanggungjawab atas la-

poran yang dibuat.

c. Setiap laporan yang

dihasilkan didistribusikan

kepada Manajer Personalia

dan Direktur tepat pada

awal periode.

d. Harus disediakan kolom

tanda tangan dan nama

pembuat laporan sehingga

diketahui siapa yang ber-

tanggungjawab atas

laporan tersebut.

Bagian Personalia.

Bagian Personalia.

98

e. Perusahaan tidak meng-

gunakan berita acara untuk

menghancurkan laporan

yang tidak diperlukan lagi.

f. Perusahaan tidak meng-

gunakan alat penghancur

kertas yang telah tersedia

pada saat proses peng-

hancuran laporan tetapi

dengan cara membakar

laporan-laporan tersebut.

e. Tidak mengetahui laporan

apa saja yang telah dihan-

curkan dan kapan proses

penghancuran tersebut

dilakukan.

f. Dapat menimbulkan polusi

dan adanya kemungkinan

laporan tidak terbakar secara

total sehingga disalah-

gunakan oleh orang lain.

e. Perusahaan harus membuat

berita acara untuk peng-

hancuran laporan.

f. Sebaiknya perusahaan

menggunakan alat peng-

hancur kertas yang telah

tersedia sehingga lebih

efektif dan aman dalam

proses penghancuran

laporan.

Bagian Personalia.

Bagian Personalia.

99

4.4 LAPORAN AUDIT

Kepada : PT. AQUARIUS MUSIKINDO

Perihal : Laporan Hasil Audit Sistem Informasi Penggajian

Periode : Januari 2006

LAPORAN AUDIT SISTEM INFORMASI PENGGAJIAN

PT. AQUARIUS MUSIKINDO

I. Tujuan

Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang

sedang berjalan, memberikan rekomendasi untuk mengurangi resiko dari

permasalahan yang muncul dalam sistem informasi penggajian, menghasilkan

laporan audit bagi PT. AQUARIUS MUSIKINDO.

II. Ruang lingkup

Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS

MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi

terhadap sistem informasi penggajian. Pengendalian manajemen difokuskan pada

pengendalian manajemen keamanan dan pengendalian manajemen operasional.

Sedangkan pengendalian aplikasi difokuskan terhadap pengendalian batasan

sistem aplikasi, pengendalian masukan, dan pengendalian keluaran.

III. Metode Audit

Metode audit yang digunakan adalah metode audit around the computer dengan

melakukan studi pustaka, observasi, dan wawancara berdasarkan check-list yang

telah disusun sebelumnya.

100

IV. Hasil Audit

Berdasarkan pemeriksaan dan pengamatan yang dilakukan, kami selaku tim

auditor memberikan laporan hasil audit sebagai berikut:

Pengendalian Manajemen Keamanan

Terdapat beberapa kelemahan pada pengendalian manajemen keamanan antara

lain yaitu perusahaan belum melengkapi komputer dengan firewall untuk

menjaga keamanan datanya sehingga tingkat keamanan lebih rendah dan adanya

kemungkinan hacker mengakses data; perusahaan tidak memasang alarm

kebakaran otomatis dan alat pemadam kebakaran otomatis untuk mengantisipasi

terjadinya kebakaran sehingga dapat menyebabkan kebakaran yang lebih besar

dan kemungkinan korban jiwa yang semakin banyak; komputer-komputer

perusahaan tidak dilengkapi dengan stabilizer sedangkan UPSs hanya dilengkapi

pada komputer di bagian-bagian tertentu sehingga apabila tegangan listrik tidak

stabil dapat merusak komputer; serta peralatan komputer yang tidak ditutup

dengan sarung penutup selama komputer tersebut tidak digunakan sehingga

komputer lebih rawan terhadap debu.

Dari hasil temuan tersebut, maka auditor menyarankan perusahaan melengkapi

komputer dengan firewall; menyediakan alarm kebakaran otomatis dan alat

pemadam kebakaran otomatis; melengkapi setiap komputer dengan stabilizer dan

UPSs; serta menggunakan sarung penutup komputer selama komputer tidak

digunakan.

101

Pengendalian Manajemen Operasional

Pengendalian manajemen operasional masih memiliki beberapa kelemahan

seperti tidak terdapatnya kamera pengawas di lingkungan perusahaan sehingga

keamanan perusahaan belum sepenuhnya terkontrol dengan baik dan adanya

kemungkinan ancaman datang dari dalam perusahaan; tidak terdapat pengawasan

terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor

untuk kepentingan diri sendiri yang mengakibatkan biaya tambahan yang

merugikan perusahaan; serta pengawasan yang dilakukan terhadap absensi

karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat

mengabsen kehadiran temannya sehingga menimbulkan pelanggaran terhadap

jam kerja dan mempengaruhi kinerja karyawan.

Dari hasil temuan diatas, maka auditor menyarankan pengamanan terhadap

lingkungan perusahaan tidak hanya menggunakan satpam tetapi juga memasang

kamera pengawas pada ruangan-ruangan yang menyimpan aset berharga;

membuat kebijakan mengenai penggunaan fasilitas kantor dan memberikan

sanksi yang tegas bagi karyawan yang melakukan pelanggaran; serta terdapat

Staf Bagian Personalia yang mengawasi jalannya pengisian absensi pada saat

jam masuk dan keluar kantor.

Pengendalian Batasan Sistem Aplikasi

Pengendalian batasan sistem aplikasi memiliki beberapa kelemahan sebagai

berikut: perusahaan hanya menggunakan password dalam pengidentifikasian

akses terhadap sistem penggajian sehingga password lebih mudah ditebak;

pergantian password dilakukan setahun sekali sehingga tingkat keamanan

102

terhadap akses yang tidak terotorisasi lebih rendah; perusahaan tidak melakukan

sistem enkripsi terhadap password user sehingga password lebih mudah

dipecahkan oleh hacker; setiap akses yang dilakukan terhadap sistem tidak

direkam sehingga sulit melakukan audit trail; serta tidak terdapat batasan

maksimum untuk kesalahan password sehingga apabila terjadi kesalahan

pengisian password maka secara otomatis akan keluar dari sistem yang

mengakibatkan dibutuhkan waktu yang lebih lama untuk masuk ke dalam sistem

dan memperlambat pekerjaan.

Dari hasil temuan diatas, maka auditor menyarankan identifikasi akses terhadap

sistem menggunakan username dan password; password diganti sesering

mungkin sesuai kebutuhan user dan perusahaan; password dienkripsi dengan

teknik substitution ciphers; menggunakan alat perekam otomatis seperti key

logger untuk memudahkan proses audit trail; serta memberikan kesempatan

untuk memasukkan password maksimal tiga kali.

Pengendalian Masukan

Dalam pengendalian masukan masih terdapat kelemahan-kelemahan seperti

dokumen yang diinput tidak menggunakan nomor urut tercetak sehingga

dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang

hilang; penggunaan metode keyboarding dalam menginput data sehingga

memungkinkan terjadinya human error; tidak membuat berita acara untuk

penghancuran dokumen sehingga tidak mengetahui dokumen apa saja yang

dihancurkan dan kapan proses tersebut dilakukan; tidak menggunakan alat

penghancur kertas yang tersedia tetapi dengan cara membakar dokumen pada

103

saat proses penghancuran dokumen sehingga dapat menimbulkan polusi dan

laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain;

serta sistem penggajian yang tidak dilengkapi dengan help facility sehingga

memerlukan waktu yang lebih lama untuk mempelajari sistem.

Dari hasil temuan diatas, maka auditor menyarankan setiap dokumen memiliki

nomor urut tercetak; perusahaan tetap menggunakan metode keyboarding tetapi

karyawan harus melakukan pengecekan ulang dan bekerja lebih teliti dalam

menginput data; membuat berita acara untuk penghancuran dokumen;

menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif

dan aman; serta menggunakan help facility untuk memudahkan karyawan

mempelajari sistem informasi penggajian.

Pengendalian Keluaran

Kelemahan-kelemahan yang terdapat pada pengendalian keluaran antara lain:

laporan-laporan yang dihasilkan tidak diotorisasi terlebih dahulu oleh Manajer

Personalia sehingga adanya kemungkinan laporan merupakan hasil rekayasa

karyawan; tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu

pencetakan sehingga tidak mengetahui secara tepat waktu laporan dihasilkan;

laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat

dibutuhkan sehingga kurangnya pengawasan dan memungkinkan terjadinya

kecurangan; tidak tersedia kolom tanda tangan dan nama pembuat laporan

sebagai bukti tanggungjawab atas laporan yang dihasilkan; tidak menggunakan

berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi

sehingga tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan

104

proses tersebut dilakukan; serta perusahaan tidak menggunakan alat penghancur

kertas yang telah tersedia melainkan menggunakan cara membakar laporan-

laporan tersebut ketika melakukan proses penghancuran laporan sehingga dapat

menimbulkan polusi dan laporan yang tidak terbakar secara total dapat

disalahgunakan oleh orang lain.

Dari hasil temuan tersebut, maka auditor menyarankan laporan-laporan yang

dihasilkan harus mendapat otorisasi terlebih dahulu dari Manajer Personalia;

semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan;

setiap laporan yang dihasilkan harus didistribusikan kepada Manajer Personalia

dan Direktur secara tepat waktu; setiap laporan harus disediakan kolom tanda

tangan dan nama pembuat laporan; membuat berita acara untuk penghancuran

laporan; serta menggunakan alat penghancur kertas yang telah tersedia sehingga

proses penghancuran lebih efektif dan aman.