bab 4 audit sistem informasi penggajian - …thesis.binus.ac.id/doc/bab4/2006-2-00828-ka-bab...
TRANSCRIPT
64
BAB 4
AUDIT SISTEM INFORMASI PENGGAJIAN
Pengendalian terhadap sistem informasi yang ada sangat penting dalam
menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data
yang tidak terkontrol akan menimbulkan resiko yang berdampak luas bagi perusahaan.
Dengan melakukan proses audit dapat ditemukan kelemahan-kelemahan dari sistem atau
penyelewengan yang terjadi sehingga dapat memberikan suatu rekomendasi perbaikan
bagi perusahaan dalam menjalankan kegiatan di masa mendatang.
Pada bab ini akan dijelaskan mengenai pelaksanaan audit terhadap sistem
informasi penggajian. Bukti-bukti diperoleh dari dokumentasi, wawancara dengan
karyawan serta pengamatan secara langsung di PT. AQUARIUS MUSIKINDO.
4.1 Perencanaan Audit
Dengan perencanaan audit, maka auditor dapat memperoleh bahan bukti
yang cukup dan memadai. Tahap perencanaan audit dilakukan dengan menentukan
ruang lingkup, tujuan dan pelaksanaan audit, persiapan penelitian lapangan dan
pengumpulan bukti-bukti.
a. Penentuan ruang lingkup
Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS
MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi
terhadap sistem informasi penggajian yang sedang berjalan. Pengendalian
manajemen difokuskan pada pengendalian manajemen keamanan dan
pengendalian manajemen operasional. Sedangkan pengendalian aplikasi
65
difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian
masukan dan pengendalian keluaran.
b. Tujuan pelaksanaan audit
Tujuan dan pelaksanaan audit adalah untuk:
1. Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian
yang sedang berjalan.
2. Memberikan rekomendasi untuk mengurangi resiko dari permasalahan
yang muncul dalam sistem informasi penggajian.
3. Menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO.
c. Persiapan penelitian lapangan
Untuk melakukan penelitian lapangan, maka auditor membuat program kerja
audit sebagai berikut:
1. Mengatur jadwal untuk dapat bertemu dengan Manajer Personalia pada PT.
AQUARIUS MUSIKINDO.
2. Bertemu dengan Manajer Personalia perusahaan dan meminta izin untuk
melaksanakan audit serta mengajukan proposal pelaksanaan audit.
3. Mengumpulkan data perusahaan, seperti latar belakang perusahaan, visi dan
misi perusahaan, struktur organisasi perusahaan, peraturan-peraturan
perusahaan, serta tugas, tanggung jawab dan wewenang jabatan-jabatan
dalam struktur organisasi perusahaan.
4. Melakukan wawancara dengan Bagian Personalia yang berhubungan dengan
sistem informasi penggajian berdasarkan atas check-list yang telah dibuat dan
melakukan pengumpulan data-data yang berhubungan dengan audit yang
sedang dilakukan.
66
5. Melakukan wawancara dengan Bagian IT Development yang bertanggung
jawab terhadap pemeliharaan dan pengendalian sistem aplikasi penggajian
berdasarkan atas check-list yang telah dibuat.
6. Melakukan analisa terhadap hasil wawancara untuk dapat mengetahui
kelebihan dan kekurangan dari sistem yang sedang digunakan oleh
perusahaan.
7. Membuat laporan audit berdasarkan analisa yang telah dilakukan.
d. Pengumpulan bukti-bukti
Pengumpulan bukti-bukti diperoleh dari pihak-pihak yang berkaitan dengan
materi audit seperti pada Bagian Personalia dan Bagian IT. Bukti-bukti
dikumpulkan dengan berbagai cara, antara lain :
1. Observasi
Auditor melakukan observasi dengan mengunjungi PT. AQUARIUS
MUSIKINDO untuk mendapatkan gambaran umum mengenai perusahaan
tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh Bagian
Personalia dapat diketahui apakah prosedur dan sistem pengendalian internal
sudah diterapkan oleh karyawan yang berwenang. Observasi yang dilakukan
oleh auditor ditekankan pada penggajian.
2. Wawancara
Auditor melakukan wawancara secara lisan dengan menggunakan bantuan
check-list terhadap staf yang bersangkutan untuk memperoleh gambaran
secara rinci mengenai siklus penggajian yang ada. Pertanyaan yang
ditanyakan seputar prosedur dan tata laksana sistem informasi penggajian
67
yang dijalankan. Dari jawaban-jawaban tersebut dapat dikumpulkan untuk
mengambil suatu kesimpulan dan memberikan rekomendasi.
4.2 Pengevaluasian Bukti Audit pada Pengendalian Manajemen
Dalam melakukan pengevaluasian terhadap pengendalian manajemen, auditor
hanya memfokuskan pada pengendalian manajemen keamanan dan pengendalian
manajemen operasional.
4.2.1 Pengendalian Manajemen Keamanan
Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian
Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut:
4.2.1.1 Check-List Pengendalian Manajemen Keamanan
Tabel 4.1 Hasil Wawancara Pengendalian Manajemen Keamanan
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat alarm kebakaran
baik yang otomatis ataupun yang manual yang diletakkan di lokasi yang strategis untuk melindungi aset perusahaan?
Perusahaan hanya memiliki alarm kebakaran manual.
2. Apakah terdapat alat pemadam kebakaran otomatis di setiap ruangan?
3. Apakah terdapat alat pemadam kebakaran manual yang diletakkan pada posisi yang mudah dijangkau?
4. Apakah dilakukan pengecekan alat pemadam kebakaran secara periodik?
Alat pemadam kebakaran dicek setiap setahun sekali.
5. Apakah terdapat hydrant sebagai alat tambahan untuk mengan-tisipasi kebakaran?
Satpam diberikan pelatihan untuk menggunakan hydrant tersebut.
6. Apakah perusahaan memiliki pintu dan tangga darurat untuk tindakan evakuasi jika terjadi kebakaran?
68
7. Apakah ruangan penyimpanan data dan sistem informasi terletak pada ruangan yang aman dari ancaman banjir?
Ruang penyimpanan data dan sistem informasi terletak di lantai 3.
8. Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber listrik?
Perusahaan memiliki 2 generator untuk mengatasi gangguan sumber listrik.
9. Apakah perusahaan menggunakan UPSs sebagai alat penyimpan arus listrik sementara jika terjadi gangguan terhadap arus listrik dan sebagai salah satu media untuk melindungi perangkat komputer?
Tidak semua komputer perusahaan menggunakan UPSs, hanya komputer di bagian tertentu seperti Kepala Bagian dari tiap divisi yang dilengkapi UPSs dan sesuai kebutuhan.
10. Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik?
Komputer perusahaan tidak menggunakan stabilizer karena tegangan listrik untuk lokasi perusahaan stabil.
11. Apakah terdapat AC dalam ruangan komputer?
12. Apakah temperatur atau suhu AC di ruangan Personalia diatur sehingga mendukung penggunaan komputer untuk jangka waktu yang lama?
Temperatur AC diatur antara 24-25 derajat Cel-cius.
13. Apakah AC dibersihkan secara periodik sehingga suhu ruangan tetap stabil?
AC dibersihkan setiap sebulan sekali.
14. Apakah setiap ruangan dijaga kebersihannya sehingga terbebas dari polusi dan bakteri yang dapat membawa dampak buruk pada peralatan komputer?
Ruangan dibersihkan oleh cleaning service sebelum jam kerja.
15. Apakah perusahaan menggunakan sarung penutup komputer untuk melindungi komputer dari debu?
16. Apakah aset perusahaan sudah diasuransikan? Aset perusahaan sudah
diasuransikan seperti ge-dung, mobil, gudang kaset rekaman, studio dan per-alatan musik.
17. Apakah perusahaan menggunakan firewall untuk menjaga keamanan data?
69
18. Apakah perusahaan membatasi akses masuk ke ruangan data (penggajian) hanya pada karyawan tertentu?
Hanya karyawan Bagian Personalia yang mendapat akses untuk masuk ke ruangan data (penggajian).
19. Apakah komputer difasilitasi dengan anti virus? Komputer sudah difasilitasi
dengan Norton Anti Virus 2004.
20. Apakah anti virus diupdate secara periodik? Anti virus diupdate secara
otomatis menggunakan live update Norton Anti Virus.
21. Apakah selalu dilakukan scanning virus terhadap komputer? Scanning terhadap virus
dilakukan setiap seminggu sekali.
4.2.1.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN
REKOMENDASI
Temuan Audit:
1) Perusahaan tidak menggunakan firewall untuk menjaga keamanan
data.
2) Perusahaan tidak memasang alarm kebakaran otomatis dan hanya
menggunakan alarm kebakaran manual.
3) Tidak terdapat alat pemadam kebakaran otomatis dalam
perusahaan.
4) Komputer perusahaan tidak dilengkapi dengan stabilizer dan
UPSs hanya dilengkapi pada bagian-bagian tertentu sesuai dengan
kebutuhannya.
5) Peralatan komputer tidak ditutup dengan sarung penutup selama
komputer tersebut tidak digunakan.
70
Resiko:
1) Tingkat keamanan lebih rendah jika tidak dilengkapi dengan
firewall dan adanya kemungkinan hacker mengakses data.
2) Keterlambatan dalam membunyikan alarm manual dapat
menyebabkan kebakaran yang lebih besar dan adanya
kemungkinan korban jiwa yang semakin banyak.
3) Penggunaan alat pemadam kebakaran manual hanya mengatasi
sebagian kecil lokasi kebakaran sehingga api dapat menyebar
secara cepat ke lokasi lainnya.
4) Tegangan listrik yang tidak stabil dapat merusak komputer.
5) Komputer lebih rawan terhadap debu yang dapat membawa
dampak buruk pada peralatan komputer.
Rekomendasi:
1) Sebaiknya komputer dilengkapi dengan firewall untuk menjaga
keamanan data perusahaan.
2) Sebaiknya perusahaan juga menyediakan alarm kebakaran yang
otomatis di setiap ruangan sehingga lebih cepat dalam mendeteksi
kebakaran.
3) Selain menggunakan alat pemadam kebakaran manual, sebaiknya
perusahaan juga menggunakan alat pemadam kebakaran otomatis
di setiap ruangan.
4) Sebaiknya setiap komputer dilengkapi dengan UPSs dan sebagai
tindakan pencegahan terhadap kemungkinan tegangan listrik yang
71
tidak stabil sebaiknya perusahaan melengkapi komputernya
dengan stabilizer.
5) Komputer yang tidak digunakan sebaiknya ditutup dengan sarung
penutup komputer untuk melindungi komputer dari debu.
4.2.2 Pengendalian Manajemen Operasional
Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian
Personalia dan Bagian IT Development, maka hasil wawancara tersebut
ditampilkan sebagai berikut:
4.2.2.1 Check-List Pengendalian Manajemen Operasional
Tabel 4.2 Hasil Wawancara Pengendalian Manajemen
Operasional
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat kamera pengawas
di lingkungan perusahaan? Tidak terdapat kamera pengawas karena memerlukan biaya yang besar.
2. Apakah terdapat mesin absensi untuk pengabsenan karyawan? Mesin absensi digunakan
saat jam masuk dan keluar kantor.
3. Apakah terdapat pengawasan terhadap pengabsenan yang dilakukan oleh karyawan
Kepala bagian hanya melakukan pengawasan terhadap karyawan yang hadir dalam ruangan tetapi tidak mengecek kebenaran absensi pada kartu absensi.
4. Apakah terdapat pengawasan terhadap penggunaan fasilitas kantor yang dilakukan oleh karyawan?
5. Apakah terdapat pelatihan untuk karyawan baru yang berhubungan langsung dengan sistem?
Untuk pelatihan yang berhubungan dengan sistem dilatih oleh Bagian IT Development.
6. Apakah dalam periode tertentu dilakukan evaluasi terhadap Evaluasi terhadap kinerja
karyawan dilakukan setiap
72
kinerja karyawan? 3 bulan sekali. 7. Apakah ruangan server telah
ditempatkan pada tempat yang strategis?
Ruangan server terletak di lantai dua.
8. Apakah perusahaan sudah menggunakan hardware dan software yang sesuai dan dapat dihandalkan untuk mendukung sistem informasi?
9. Apakah hardware dan software yang ada sudah dikelola dengan efektif dan efisien sesuai dengan kebutuhan perusahaan?
Hardware dan software telah dikelola dengan efektif dan efisien. Sebagai contoh: perusahaan meng-gunakan Pentium III karena masih dapat mendukung kegiatan operasional.
10. Apakah perusahaan melakukan perawatan terhadap hardware dan software secara periodik?
Perusahaan melakukan perawatan hardware dan software setiap 1 tahun sekali dan pada saat kondisi accidental. Perawatannya dilakukan oleh Bagian Technical Support.
11. Apakah perusahaan sudah memiliki jaringan komunikasi? Jika ya, jaringan apa yang digunakan?
a. LAN b. WAN
12. Apakah terdapat pengawasan terhadap keamanan jaringan? Jika ya, siapa yang bertanggungjawab terhadap keamanan jaringan?
Manajer IT yang bertang-gungjawab terhadap ke-amanan jaringan.
13. Apakah terdapat penjadwalan kerja dalam pemakaian komputer yang terdapat di dalam perusahaan?
Setiap bagian meng-operasikan komputernya masing-masing
14. Apakah perusahaan sudah memberikan gaji sesuai dengan standar UMP (Upah Minimum Propinsi)?
Perusahaan memberikan gaji di atas standar UMP (Jakarta = Rp.711.843) dimana gaji minimum yang berlaku di perusahaan adalah Rp. 826.000 per bulan.
73
4.2.2.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN
REKOMENDASI
Temuan Audit:
1) Tidak memasang kamera pengawas di lingkungan perusahaan
tetapi terdapat satpam yang menjaga keamanan perusahaan
secara bergiliran.
2) Tidak terdapat pengawasan terhadap fasilitas kantor sehingga
karyawan dapat menggunakan fasilitas kantor untuk kepentingan
diri sendiri.
3) Pengawasan yang dilakukan terhadap absensi karyawan masih
belum optimal karena terdapat kejadian dimana karyawan dapat
mengabsen kehadiran temannya.
Resiko:
1) Pengamanan terhadap lingkungan perusahaan belum sepenuhnya
terkontrol dengan baik karena adanya kemungkinan ancaman
datang dari dalam perusahaan misalnya: pencurian yang dilakukan
oleh karyawan.
2) Menimbulkan biaya tambahan yang merugikan perusahaan.
3) Menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi
kinerja karyawan.
Rekomendasi:
1) Selain pengamanan yang dilakukan oleh satpam, sebaiknya
perusahaan menggunakan kamera pengawas pada ruangan-
74
ruangan yang menyimpan aset perusahaan yang penting seperti
peralatan menggandakan kaset.
2) Perusahaan membuat kebijakan mengenai penggunaan fasilitas
kantor dan mengenakan sanksi yang tegas bagi karyawan yang
melakukan pelanggaran.
3) Sebaiknya pada jam masuk dan keluar kantor, terdapat staf
Bagian Personalia yang mengawasi jalannya pengisian absensi.
4.3 Pengevaluasian Bukti Audit pada Pengendalian Aplikasi
Dalam melakukan pengevaluasian terhadap pengendalian aplikasi, auditor
berfokus pada pengendalian batasan sistem aplikasi, pengendalian masukan,
pengendalian keluaran.
4.3.1 Pengendalian Batasan Sistem Aplikasi
Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian IT
Development, maka hasil wawancara tersebut ditampilkan sebagai berikut:
4.3.1.1 Check-List Pengendalian Batasan Sistem Aplikasi
Tabel 4.3 Hasil Wawancara Pengendalian Batasan Sistem
Aplikasi
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat identifikasi akses
terhadap sistem penggajian? Jika ya, metode apakah yang di-gunakan dan sejauh mana metode tersebut diimplementasikan?
a. Username b. Sidik jari c. Suara d. Password?
Perusahaan menggunakan metode password untuk mengidentifikasi akses terhadap sistem penggajian.
75
2. Apakah terdapat ketentuan pan-jang minimum untuk password?
Panjang password telah ditentukan sebanyak 7 digit.
3. Apakah password yang diinput boleh kurang dari digit yang disediakan?
Password yang diinput harus sesuai dengan jumlah digit yang telah disediakan yaitu 7 digit.
4. Apakah password yang diketik-kan tidak terlihat/ invisible? Password yang diketikkan
disembunyikan dalam ben-tuk .
5. Apakah dalam penggunaan password dilakukan dengan kom-binasi? Jika ya, metode apa yang digu-nakan?
a. Alfabet, angka, tanda baca?
b. Karakter campuran lainnya?
Password dibuat dengan kombinasi alfabet dan angka.
6. Apakah sistem melakukan enkrip-si atas password user? Jika ya, teknik cryptographic apa yang digunakan?
a. Transposition ciphers b. Substitution ciphers c. Product ciphers
7. Apakah terdapat batasan maksimum untuk kesalahan me-masukkan password? Jika ya, berapa kali kesempatan yang diberikan untuk mema-sukkan password?
Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem.
8. Apakah perusahaan melakukan perubahan password secara berkala?
Perubahan password dilaku-kan secara berkala, yaitu setiap akhir tahun.
9. Apakah perusahaan melakukan pergantian password secepatnya apabila ada karyawan yang mengoperasikan sistem peng-gajian berhenti bekerja?
10. Apakah perusahaan memiliki kebijakan terhadap pembatasan akses terhadap data? Jika ya, kebijakan pengendalian akses apa yang digunakan?
Perusahaan membatasi akses dengan menggunakan kebi-jakan Mandatory Access Control karena hanya karyawan personalia yang -
76
a. Discretionary access control
b. Mandatory access control
mendapat hak untuk mengakes data penggajian yang bersifat confidential.
11. Apakah perusahaan membatasi hak akses bagi karyawan tertentu? Dan jika ya, sejauh mana tindakan yang dapat dilakukan oleh karyawan tersebut terhadap data yang ada dalam sistem?
a. Read b. Add c. Modify
Yang berhak mengakses data dalam sistem pengajian hanya karyawan personalia dimana karyawan tersebut dapat melakukan read, add dan modify terhadap data tersebut.
12. Apakah setiap akses yang dila-kukan terhadap sistem direkam secara otomatis untuk me-mudahkan audit trail?
4.3.1.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi
Temuan Audit:
1) Dalam pengidentifikasian akses terhadap sistem penggajian,
perusahaan hanya menggunakan password.
2) Pergantian password dilakukan setahun sekali sehingga tingkat
keamanan terhadap akses yang tidak terotorisasi lebih rendah.
3) Perusahaan tidak melakukan sistem enkripsi terhadap password
user.
4) Setiap akses yang dilakukan terhadap sistem tidak direkam.
5) Tidak terdapat batasan maksimum untuk kesalahan password.
Kesempatan untuk memasukkan password hanya sekali. Apabila
terjadi kesalahan pengisian password, maka otomatis akan keluar
dari sistem.
77
Resiko:
1) Apabila identifikasi hanya menggunakan password maka lebih
mudah ditebak sehingga tingkat pengendaliannya lebih rendah.
2) Tingkat keamanan lebih rendah sehingga memudahkan pihak
yang tidak memiliki otorisasi untuk mengakses sistem.
3) Tanpa sistem enkripsi maka password lebih mudah dipecahkan
oleh hacker.
4) Lebih sulit untuk melakukan audit trail apabila setiap akses
terhadap sistem tidak direkam.
5) Membutuhkan waktu yang lebih lama untuk masuk ke dalam
sistem informasi penggajian dan memperlambat pekerjaan.
Rekomendasi:
1) Untuk pengidentifikasian akses terhadap sistem penggajian akan
lebih baik jika menggunakan username dan password. Dengan
menggunakan username maka pihak yang tidak berwenang harus
mengisi username dan password yang tepat untuk dapat
mengakses ke dalam sistem sehingga tingkat keamanannya lebih
tinggi.
2) Sebaiknya password diganti sesering mungkin sesuai dengan
kebutuhan user dan perusahaan.
3) Password sebaiknya dienkripsi untuk mempersulit pihak-pihak
yang ingin mendapatkan password secara ilegal dengan
menggunakan teknik substitution ciphers karena sudah bisa
memenuhi kebutuhan perusahaan.
78
4) Akan lebih baik jika perusahaan menggunakan alat perekam
otomatis, contohnya key logger untuk memudahkan proses audit
trail.
5) Sistem penggajian sebaiknya memberikan kesempatan untuk
memasukkan password maksimal tiga kali karena adanya
kemungkinan terjadi kesalahan penginputan password.
4.3.2 Pengendalian Masukan
Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian
Personalia dan Bagian IT Development, maka hasil wawancara tersebut
ditampilkan sebagai berikut:
4.3.2.1 Check-List Pengendalian Masukan
Tabel 4.4 Hasil Wawancara Pengendalian Masukan
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode input data yang
digunakan oleh perusahaan? a. Keyboarding b. Direct Reading c. Direct Entry
Perusahaan menggunakan metode keyboarding untuk menginput data.
2. Apakah perusahaan menggunakan dokumen-dokumen tertentu untuk menginput data penggajian? Jika ya, dokumen apa yang digunakan oleh Bagian Personalia dalam menginput data peng-gajian?
Dokumen yang digunakan adalah keterangan lembur dan keterangan kasbon yang sudah direkap menjadi daftar lembur dan daftar kasbon. Dokumen pendukung yang digunakan adalah perubahan peraturan persentase ASTEK, perubahan UU Pajak Penghasilan, keputusan kenaikan gaji, dan keputusan promosi/demosi.
79
3. Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang?
Keterangan lembur diotori-sasi oleh Kepala Bagian dari masing-masing karyawan dan kas bon diotorisasi oleh Bagian Accounting. Kemudian keterangan lembur dan kasbon tersebut direkap oleh Bagian Personalia menjadi Daftar Lembur dan Kasbon.
4. Apakah terdapat ketentuan perhitungan jam lembur karyawan? Jika ya, bagaimana cara perhitungannya?
Perhitungan lembur: 1/173 x gaji netto x jam lembur Tidak terdapat perhitungan kelipatan pada jam lembur berikutnya.
5. Apakah terdapat jumlah maksimal jam lembur karyawan? Tidak terdapat ketentuan
maksimal jam lembur, tergantung pada pekerjaan yang harus diselesaikan oleh karyawan.
6. Apakah terdapat pengawasan terhadap pelaksanaan lembur? Jika ada, siapakah yang mengawasi pelaksanaan lembur?
Kepala Bagian mengawasi pelaksanaan lembur karyawan dan pelaksanaan lembur dapat dilihat dari absensi serta hasil pekerjaan-nya.
7. Apakah terdapat kebijakan yang diberlakukan perusahaan ber-kaitan dengan Kasbon? Jika ada, bagaimana kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon dan bagaimana cara pelunasannya?
Maksimum peminjaman kas bon adalah: 1 x gaji karyawan x 6 bulan 2 Contoh : gaji karyawan adalah Rp. 1.000.000 maka peminjaman maksimum adalah Rp 3.000.000. Kas bon harus dibayar dengan memotong langsung dari gaji karyawan tanpa dikenai bunga.
8. Apakah perusahaan menggunakan nomor urut tercetak pada setiap dokumen?
9. Dokumen dalam sistem penggajian diinput dengan metode apa?
Dokumen dalam sistem penggajian diinput dengan metode batch. Setiap tanggal
80
a. Batch b. Real time
Jika batch, berapa lama periode batch data yang diperlukan untuk penginputan sistem penggajian?
20 semua dokumen akan dibatch untuk diproses.
10. Apakah dokumen diarsip? Jika ya berapa lama dokumen untuk penginputan data diarsip oleh perusahaan?
Dokumen diarsip sampai 10 tahun.
11. Apakah setiap penghancuran dokumen sumber akan dibuat berita acara penghancuran dokumen?
12. Apakah perusahaan memiliki alat penghancur kertas untuk men-dukung proses penghancuran dokumen sumber?
Perusahaan memiliki alat penghancur kertas tetapi tidak digunakan meng-hancurkan dokumen. Perusahaan memilih cara dengan membakar dokumen yang sudah tidak digunakan.
13. Apakah sistem penggajian dileng-kapi help facility untuk membantu user dalam penginputan data?
Sistem penggajian tidak dilengkapi dengan help facility.
14. Pendekatan apa yang digunakan dalam layar penginputan data?
a. Fill in area b. Multiple choice c. Tick marks atau indikasi
nilai untuk menentukan ukuran field
d. Combination instruction dengan pertanyaan
Karyawan Bagian Personalia
menginput data dengan memasukkan data ke dalam kolom yang disediakan (fill in area).
15. Apakah interval waktu untuk melakukan penginputan data dari screen yang satu ke screen yang berikutnya membutuhkan waktu yang lama?
16. Apakah warna pada tampilan layar mengganggu pandangan mata pada saat penginputan data?
17. Apakah menu penginputan sudah tersusun secara sistematis dan berurut sehingga memudahkan proses penginputan data?
Menu penginputan sudah tersusun secara sistematis dan berurutan yaitu: Biodata Honor Proses
Display Print Set
81
Tanggal Quit . 18. Apakah tampilan input bersifat
user friendly?
19. Apakah data yang diinput bersifat case sensitive (berpengaruh terhadap huruf besar/kecil)?
Data yang diinput bersifat case sensitive dimana penginputan harus meng-gunakan huruf besar.
20. Apakah penginputan data boleh kurang dari digit angka yang disediakan pada tampilan layar?
21. Apakah penginputan data penggajian hanya dilakukan oleh karyawan yang berwenang?
Penginputan data hanya dilakukan oleh karyawan personalia.
22. Tipe pengkodean apa yang digunakan dalam penginputan data?
a. Serial Codes b. Block Sequence Codes c. Hierarhical Codes d. Association Codes
Tipe pengkodean yang digunakan adalah Association Codes. Sebagai contoh kode AKN diasosiasikan dengan Bagian Akuntansi. KAN diasosiasi-kan dengan Bagian Kantor.
23. Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data?
Setiap data yang dimasukkan dicek kembali sekurang-kurangnya tiga kali.
24. Apabila terjadi kesalahan dalam penginputan data, apakah program aplikasi akan menampilkan error message dengan tindakan yang harus dilakukan?
Program aplikasi menampil-kan error message apabila data yang diinput salah. Contoh apabila nomor karyawan yang diinput salah maka akan muncul message “Karyawan tidak terdaftar”.
25. Jika terjadi error, apakah user dapat melakukan koreksi terhadap kesalahan yang terjadi atau langsung keluar dari sistem?
User dapat melakukan koreksi terhadap kesalahan yang dibuatnya dan tidak keluar dari sistem.
4.3.2.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi
Temuan Audit:
1) Dokumen-dokumen yang digunakan untuk penginputan tidak
menggunakan nomor urut tercetak.
82
2) Perusahaan menggunakan metode keyboarding untuk menginput
data.
3) Perusahaan tidak membuat berita acara untuk penghancuran
dokumen.
4) Perusahaan memiliki alat penghancur kertas tetapi tidak
menggunakannya dalam menghancurkan dokumen tetapi memilih
cara dengan membakar dokumen yang sudah tidak digunakan.
5) Sistem penggajian tidak dilengkapi dengan help facility.
Resiko:
1) Dokumen tidak terkontrol dengan baik dan sulit mendeteksi
dokumen yang hilang.
2) Dapat terjadi kesalahan dalam penginputan data (human error).
3) Tidak mengetahui dokumen apa saja yang telah dihancurkan dan
kapan proses penghancuran tersebut dilakukan.
4) Dapat menimbulkan polusi dan adanya kemungkinan dokumen
tidak terbakar secara total sehingga disalahgunakan oleh orang
lain.
5) Karyawan baru memerlukan waktu yang lama untuk mempelajari
sistem jika tanpa disertai dengan help facility.
Rekomendasi:
1) Sebaiknya dokumen-dokumen yang akan diinput memiliki nomor
urut tercetak.
2) Perusahaan tetap menggunakan metode keyboarding dan
karyawan yang melakukan penginputan harus bekerja lebih teliti
83
serta melakukan pengecekan ulang terhadap data yang telah
diinput.
3) Perusahaan harus membuat berita acara untuk penghancuran
dokumen.
4) Sebaiknya perusahaan menggunakan alat penghancur kertas yang
telah tersedia sehingga lebih efektif dan aman dalam proses
penghancuran dokumen.
5) Sistem penggajian didukung oleh help facility sehingga dapat
membantu karyawan dalam mempelajari sistem lebih mudah.
4.3.3 Pengendalian Keluaran
Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian
Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut:
4.3.3.1 Check-List Pengendalian Keluaran
Tabel 4.5 Hasil Wawancara Pengendalian Keluaran
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah setiap laporan yang
dihasilkan selalu mencantumkan tanggal, bulan, tahun dan waktu pencetakan?
Tidak semua laporan men-cantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perin-cian Astek, Daftar Rekapi-tulasi Transfer yang mencan-tumkan tanggal, bulan, tahun dan waktu pencetakan.
2. Apakah pada setiap laporan dicantumkan:
a. nomor halaman dan tanda akhir halaman
b. nomor halaman c. tanda akhir halaman
Setiap laporan yang dihasilkan mencantumkan nomor halaman dan tanda akhir halaman. Contoh: 1/3 yang berarti halaman 1 dari 3 halaman.
84
3. Apakah laporan diserahkan kepada pihak yang berwenang? Laporan diserahkan kepada
Manajer Personalia dan Direktur.
4. Apakah laporan-laporan yang dihasilkan didistribusikan tepat pada awal periode?
Laporan didistribusikan hanya pada saat dibutuhkan oleh Manajer Personalia dan Direktur.
5. Apakah laporan yang dihasilkan mendapat otorisasi dari pihak yang berwenang?
6. Apakah disediakan kolom tanda tangan untuk pembuat laporan?
7. Apakah diberlakukan klasifikasi pada setiap laporan? Setiap laporan diklasifikasi-
kan berdasarkan nama laporan.
8. Apakah setiap laporan disimpan pada tempat yang mudah dijangkau dan tersusun rapi sehingga bila dibutuhkan maka mudah ditemukan?
Laporan disimpan pada tempat yang mudah dijangkau. Susunan laporan cukup rapi dan mudah ditemukan.
9. Apakah terdapat kebijakan waktu yang untuk menyimpan suatu laporan?
Kebijakan yang ditetapkan perusahaan untuk me-nyimpan laporan selama 10 tahun.
10. Apakah terdapat berita acara dalam menghancurkan laporan yang tidak diperlukan?
11. Apakah posisi printer sebagai sumber output cukup strategis? Posisi printer terletak pada
posisi yang strategis yaitu berada tepat disebelah komputer.
12. Apakah printer Bagian Personalia juga digunakan oleh bagian lainnya? Jika ya, apakah terjadi sistem antrian untuk mencetak?
Printer khusus digunakan oleh karyawan Bagian Personalia sehingga tidak terjadi sistem antrian untuk menghasilkan output.
4.3.3.2 Evaluasi Resiko Potensial Pengendalian dan Rekomendasi
Temuan Audit:
1) Laporan tidak diotorisasi oleh Manajer Personalia.
85
2) Tidak semua laporan mencantumkan tanggal, bulan, tahun dan
waktu pencetakan. Hanya laporan Daftar Honor Karyawan
Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang
mencantumkan tanggal, bulan, tahun dan waktu pencetakan.
3) Laporan didistribusikan kepada Manajer Personalia dan Direktur
hanya pada saat dibutuhkan.
4) Tidak tersedia kolom tanda tangan dan nama pembuat laporan.
5) Perusahaan tidak menggunakan berita acara untuk menghancur-
kan laporan-laporan yang tidak diperlukan lagi.
6) Perusahaan tidak menggunakan alat penghancur kertas yang telah
tersedia pada saat proses penghancuran laporan tetapi dengan cara
membakar laporan-laporan tersebut.
Resiko:
1) Tidak adanya pengendalian internal yang baik dan adanya
kemungkinan laporan tersebut merupakan hasil rekayasa dari
karyawan.
2) Tidak diketahui secara tepat kapan waktu laporan tersebut
dihasilkan.
3) Kurangnya pengawasan dari Manajer Personalia dan Direktur
perusahaan sehingga memungkinkan terjadinya kecurangan.
4) Sulit mengetahui siapa yang bertanggungjawab atas laporan yang
dibuat.
5) Tidak mengetahui laporan apa saja yang telah dihancurkan dan
kapan proses penghancuran tersebut dilakukan.
86
6) Dapat menimbulkan polusi dan adanya kemungkinan laporan
tidak terbakar secara total sehingga disalahgunakan oleh orang
lain.
Rekomendasi:
1) Laporan harus mendapat otorisasi dari Manajer Personalia
sehingga terdapat pengendalian internal yang baik.
2) Semua laporan harus mencantumkan tanggal, bulan, tahun dan
waktu pencetakan.
3) Setiap laporan yang dihasilkan didistribusikan kepada Manajer
Personalia dan Direktur tepat pada awal periode.
4) Harus disediakan kolom tanda tangan dan nama pembuat laporan
sehingga diketahui siapa yang bertanggungjawab atas laporan
tersebut.
5) Perusahaan harus membuat berita acara untuk penghancuran
laporan.
6) Sebaiknya perusahaan menggunakan alat penghancur kertas yang
sehingga lebih efektif dan aman dalam proses penghancuran
laporan.
87
Tabel 4.6 MATRIKS TEMUAN MASALAH, RESIKO, REKOMENDASI DAN PERSON IN CHARGE
TEMUAN MASALAH RESIKO REKOMENDASI PERSON IN CHARGE 1. Pengendalian Manajemen
Keamanan
a. Perusahaan tidak meng-
gunakan firewall untuk
menjaga keamanan data.
b. Perusahaan tidak mema-
sang alarm kebakaran
otomatis dan hanya
menggunakan alarm
kebakaran manual.
a. Tingkat keamanan lebih
rendah jika tidak dilengkapi
dengan firewall dan adanya
kemungkinan hacker meng-
akses data.
b. Keterlambatan dalam mem-
bunyikan alarm manual da-
pat menyebabkan kebakaran
yang lebih besar dan adanya
kemungkinan korban jiwa
yang semakin banyak.
a. Sebaiknya komputer di-
lengkapi dengan firewall
untuk menjaga keamanan
data perusahaan.
b. Sebaiknya perusahaan juga
menyediakan alarm keba-
karan yang otomatis di
setiap ruangan sehingga
lebih cepat dalam men-
deteksi kebakaran.
Technical Support.
Bagian Keamanan.
88
c. Tidak terdapat alat pema-
dam kebakaran otomatis
dalam perusahaan.
d. Komputer perusahaan tidak
dilengkapi dengan
stabilizer dan UPSs hanya
dilengkapi pada bagian-
bagian tertentu sesuai
dengan kebutuhannya.
c. Penggunaan alat pemadam
kebakaran manual hanya
mengatasi sebagian kecil
lokasi kebakaran sehingga
api dapat menyebar secara
cepat ke lokasi lainnya.
d. Tegangan listrik yang tidak
stabil dapat merusak
komputer.
c. Selain menggunakan alat
pemadam kebakaran ma-
nual, sebaiknya perusaha-
an juga menggunakan alat
pemadam kebakaran
otomatis di setiap ruangan.
d. Sebaiknya setiap komputer
dilengkapi dengan UPSs
dan sebagai tindakan
pencegahan terhadap ke-
mungkinan tegangan listrik
yang tidak stabil sebaiknya
perusahaan melengkapi
komputernya dengan
stabilizer.
Bagian Keamanan. Technical Support.
89
e. Peralatan komputer tidak
ditutup dengan sarung
penutup selama komputer
tersebut tidak digunakan.
e. Komputer lebih rawan
terhadap debu yang dapat
membawa dampak buruk
pada peralatan komputer.
e. Komputer yang tidak
digunakan sebaiknya ditu-
tup dengan sarung penutup
komputer untuk melin-
dungi komputer dari debu.
Bagian Pemeliharaan
Kantor.
2. Pengendalian Manajemen
Operasional
a. Tidak memasang kamera
pengawas di lingkungan
perusahaan tetapi terdapat
satpam yang menjaga
keamanan perusahaan
secara bergiliran.
a. Pengamanan terhadap ling-
kungan perusahaan belum
sepenuhnya terkontrol de-
ngan baik karena adanya
kemungkinan ancaman da-
tang dari dalam perusahaan
misalnya: pencurian yang
dilakukan oleh karyawan.
a. Selain pengamanan yang
dilakukan oleh satpam,
sebaiknya perusahaan
menggunakan kamera
pengawas pada ruangan-
ruangan yang menyimpan
aset perusahaan yang
penting seperti peralatan
Bagian Keamanan
90
b. Tidak terdapat pengawasan
terhadap fasilitas kantor
sehingga karyawan dapat
menggunakan fasilitas kan-
tor untuk kepentingan diri
sendiri.
c. Pengawasan yang dilakukan
terhadap absensi karyawan
masih belum optimal karena
terdapat kejadian dimana
karyawan dapat mengabsen
kehadiran temannya.
b. Menimbulkan biaya
tambahan yang merugikan
perusahaan.
c. Menimbulkan pelanggaran
terhadap jam kerja dan
mempengaruhi kinerja
karyawan.
menggandakan kaset.
b. Perusahaan membuat
kebijakan mengenai peng-
gunaan fasilitas kantor dan
mengenakan sanksi yang
tegas bagi karyawan yang
melakukan pelanggaran.
c. Sebaiknya pada jam masuk
dan keluar kantor, terdapat
Staf Bagian Personalia
yang mengawasi jalannya
pengisian absensi.
Bagian Kantor.
Staf Bagian Personalia.
91
3. Pengendalian Batasan Sistem
Aplikasi
a. Dalam pengidentifikasian
akses terhadap sistem
penggajian, perusahaan
hanya menggunakan
password.
a. Apabila identifikasi hanya
menggunakan password
maka lebih mudah ditebak
sehingga tingkat pengen-
daliannya lebih rendah.
a. Untuk pengidentifikasian
akses terhadap sistem
penggajian akan lebih baik
jika menggunakan user-
name dan password.
Dengan menggunakan
username maka pihak
yang tidak berwenang
harus mengisi username
dan password yang tepat
untuk dapat mengakses ke
dalam sistem sehingga
tingkat keamanannya lebih
IT Development.
92
b. Pergantian password di-
lakukan setahun sekali.
c. Perusahaan tidak melaku-
kan sistem enkripsi ter-
hadap password user.
b. Tingkat keamanan lebih
rendah sehingga memudah-
kan pihak yang tidak
memiliki otorisasi untuk
mengakses sistem.
c. Tanpa sistem enkripsi maka
password lebih mudah
dipecahkan oleh hacker.
tinggi.
b. Sebaiknya password di-
ganti sesering mungkin
sesuai dengan kebutuhan
user dan perusahaan.
c. Password sebaiknya
dienkripsi untuk mem-
persulit pihak-pihak yang
ingin mendapatkan
password secara ilegal
dengan menggunakan tek-
nik substitution ciphers
yang sudah dapat
memenuhi kebutuhan
IT Development.
IT Development.
93
d. Setiap akses yang
dilakukan terhadap sistem
tidak direkam.
e. Tidak terdapat batasan
maksimum untuk ke-
salahan password. Kesem-
patan untuk memasukkan
password hanya sekali.
Apabila terjadi kesalahan
pengisian password, maka
otomatis akan keluar dari
d. Lebih sulit untuk
melakukan audit trail
apabila setiap akses
terhadap sistem tidak
direkam.
e. Membutuhkan waktu yang
lebih lama untuk masuk ke
dalam sistem penggajian
dan memperlambat pe-
kerjaan.
perusahaan.
d. Akan lebih baik jika
perusahaan menggunakan
alat perekam otomatis,
contohnya key logger
untuk memudahkan proses
audit trail.
e. Sistem penggajian
sebaiknya memberikan
kesempatan untuk me-
masukkan password
maksimal tiga kali karena
adanya kemungkinan
terjadi kesalahan peng-
inputan password.
Technical Support.
IT Development.
94
sistem.
4. Pengendalian Masukan
a. Setiap dokumen yang
digunakan untuk peng-
inputan tidak mengguna-
kan nomor urut tercetak.
b. Perusahaan menggunakan
metode keyboarding untuk
menginput data.
a. Dokumen tidak terkontrol
dengan baik dan sulit
mendeteksi dokumen yang
hilang.
b. Dapat terjadi kesalahan
dalam penginputan data
(human error).
a. Sebaiknya setiap dokumen
yang akan diinput memi-
liki nomor urut tercetak.
b. Perusahaan tetap meng-
gunakan metode key-
boarding dan karyawan
yang melakukan peng-
inputan harus bekerja lebih
teliti serta melakukan
pengecekan ulang terhadap
data yang telah diinput.
Bagian Personalia.
Bagian Personalia.
95
c. Perusahaan tidak membuat
berita acara untuk peng-
hancuran dokumen.
d. Perusahaan memiliki alat
penghancur kertas tetapi ti-
dak menggunakannya da-
lam menghancurkan doku-
men tetapi memilih cara
dengan membakar doku-
men yang sudah tidak
digunakan.
e. Sistem penggajian tidak
dilengkapi dengan help
c. Tidak mengetahui dokumen
apa saja yang telah di-
hancurkan dan kapan proses
penghancuran tersebut
dilakukan.
d. Dapat menimbulkan polusi
dan adanya kemungkinan
dokumen tidak terbakar
secara total sehingga
disalahgunakan oleh orang
lain.
e. Karyawan baru memerlukan
waktu yang lama untuk
c. Perusahaan harus membuat
berita acara untuk peng-
hancuran dokumen.
d. Sebaiknya perusahaan
menggunakan alat peng-
hancur kertas yang telah
tersedia sehingga lebih
efektif dan aman dalam
proses penghancuran
dokumen.
e. Sistem penggajian didu-
kung oleh help facility
Bagian Personalia.
Bagian Personalia.
IT Development.
96
facility. mempelajari sistem jika
tanpa disertai dengan help
facility.
sehingga dapat membantu
karyawan dalam mempela-
jari sistem lebih mudah.
5. Pengendalian Keluaran
a. Laporan tidak diotorisasi
oleh Manajer Personalia.
b. Tidak semua laporan
mencantumkan tanggal,
bulan, tahun dan waktu
pencetakan. Hanya laporan
Daftar Honor Karyawan
Bulanan, Perincian Astek,
a. Tidak adanya pengendalian
internal yang baik dan
adanya kemungkinan lapo-
ran tersebut merupakan hasil
rekayasa dari karyawan.
b. Tidak diketahui secara tepat
waktu laporan tersebut
dihasilkan.
a. Laporan harus mendapat
otorisasi dari Manajer Per-
sonalia sehingga terdapat
pengendalian internal yang
baik.
b. Semua laporan sebaiknya
mencantumkan tanggal,
bulan, tahun dan waktu
pencetakan.
Manajer Personalia.
Bagian Personalia.
97
Daftar Rekapitulasi Trans-
fer yang mencantumkan
tanggal, bulan, tahun dan
waktu pencetakan.
c. Laporan didistribusikan
kepada Manajer Personalia
dan Direktur hanya pada
saat dibutuhkan.
d. Tidak tersedia kolom tanda
tangan dan nama pembuat
laporan.
c. Kurangnya pengawasan dari
manajer personalia dan
direktur perusahaan sehing-
ga memungkinkan terjadi-
nya kecurangan.
d. Sulit mengetahui siapa yang
bertanggungjawab atas la-
poran yang dibuat.
c. Setiap laporan yang
dihasilkan didistribusikan
kepada Manajer Personalia
dan Direktur tepat pada
awal periode.
d. Harus disediakan kolom
tanda tangan dan nama
pembuat laporan sehingga
diketahui siapa yang ber-
tanggungjawab atas
laporan tersebut.
Bagian Personalia.
Bagian Personalia.
98
e. Perusahaan tidak meng-
gunakan berita acara untuk
menghancurkan laporan
yang tidak diperlukan lagi.
f. Perusahaan tidak meng-
gunakan alat penghancur
kertas yang telah tersedia
pada saat proses peng-
hancuran laporan tetapi
dengan cara membakar
laporan-laporan tersebut.
e. Tidak mengetahui laporan
apa saja yang telah dihan-
curkan dan kapan proses
penghancuran tersebut
dilakukan.
f. Dapat menimbulkan polusi
dan adanya kemungkinan
laporan tidak terbakar secara
total sehingga disalah-
gunakan oleh orang lain.
e. Perusahaan harus membuat
berita acara untuk peng-
hancuran laporan.
f. Sebaiknya perusahaan
menggunakan alat peng-
hancur kertas yang telah
tersedia sehingga lebih
efektif dan aman dalam
proses penghancuran
laporan.
Bagian Personalia.
Bagian Personalia.
99
4.4 LAPORAN AUDIT
Kepada : PT. AQUARIUS MUSIKINDO
Perihal : Laporan Hasil Audit Sistem Informasi Penggajian
Periode : Januari 2006
LAPORAN AUDIT SISTEM INFORMASI PENGGAJIAN
PT. AQUARIUS MUSIKINDO
I. Tujuan
Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang
sedang berjalan, memberikan rekomendasi untuk mengurangi resiko dari
permasalahan yang muncul dalam sistem informasi penggajian, menghasilkan
laporan audit bagi PT. AQUARIUS MUSIKINDO.
II. Ruang lingkup
Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS
MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi
terhadap sistem informasi penggajian. Pengendalian manajemen difokuskan pada
pengendalian manajemen keamanan dan pengendalian manajemen operasional.
Sedangkan pengendalian aplikasi difokuskan terhadap pengendalian batasan
sistem aplikasi, pengendalian masukan, dan pengendalian keluaran.
III. Metode Audit
Metode audit yang digunakan adalah metode audit around the computer dengan
melakukan studi pustaka, observasi, dan wawancara berdasarkan check-list yang
telah disusun sebelumnya.
100
IV. Hasil Audit
Berdasarkan pemeriksaan dan pengamatan yang dilakukan, kami selaku tim
auditor memberikan laporan hasil audit sebagai berikut:
Pengendalian Manajemen Keamanan
Terdapat beberapa kelemahan pada pengendalian manajemen keamanan antara
lain yaitu perusahaan belum melengkapi komputer dengan firewall untuk
menjaga keamanan datanya sehingga tingkat keamanan lebih rendah dan adanya
kemungkinan hacker mengakses data; perusahaan tidak memasang alarm
kebakaran otomatis dan alat pemadam kebakaran otomatis untuk mengantisipasi
terjadinya kebakaran sehingga dapat menyebabkan kebakaran yang lebih besar
dan kemungkinan korban jiwa yang semakin banyak; komputer-komputer
perusahaan tidak dilengkapi dengan stabilizer sedangkan UPSs hanya dilengkapi
pada komputer di bagian-bagian tertentu sehingga apabila tegangan listrik tidak
stabil dapat merusak komputer; serta peralatan komputer yang tidak ditutup
dengan sarung penutup selama komputer tersebut tidak digunakan sehingga
komputer lebih rawan terhadap debu.
Dari hasil temuan tersebut, maka auditor menyarankan perusahaan melengkapi
komputer dengan firewall; menyediakan alarm kebakaran otomatis dan alat
pemadam kebakaran otomatis; melengkapi setiap komputer dengan stabilizer dan
UPSs; serta menggunakan sarung penutup komputer selama komputer tidak
digunakan.
101
Pengendalian Manajemen Operasional
Pengendalian manajemen operasional masih memiliki beberapa kelemahan
seperti tidak terdapatnya kamera pengawas di lingkungan perusahaan sehingga
keamanan perusahaan belum sepenuhnya terkontrol dengan baik dan adanya
kemungkinan ancaman datang dari dalam perusahaan; tidak terdapat pengawasan
terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor
untuk kepentingan diri sendiri yang mengakibatkan biaya tambahan yang
merugikan perusahaan; serta pengawasan yang dilakukan terhadap absensi
karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat
mengabsen kehadiran temannya sehingga menimbulkan pelanggaran terhadap
jam kerja dan mempengaruhi kinerja karyawan.
Dari hasil temuan diatas, maka auditor menyarankan pengamanan terhadap
lingkungan perusahaan tidak hanya menggunakan satpam tetapi juga memasang
kamera pengawas pada ruangan-ruangan yang menyimpan aset berharga;
membuat kebijakan mengenai penggunaan fasilitas kantor dan memberikan
sanksi yang tegas bagi karyawan yang melakukan pelanggaran; serta terdapat
Staf Bagian Personalia yang mengawasi jalannya pengisian absensi pada saat
jam masuk dan keluar kantor.
Pengendalian Batasan Sistem Aplikasi
Pengendalian batasan sistem aplikasi memiliki beberapa kelemahan sebagai
berikut: perusahaan hanya menggunakan password dalam pengidentifikasian
akses terhadap sistem penggajian sehingga password lebih mudah ditebak;
pergantian password dilakukan setahun sekali sehingga tingkat keamanan
102
terhadap akses yang tidak terotorisasi lebih rendah; perusahaan tidak melakukan
sistem enkripsi terhadap password user sehingga password lebih mudah
dipecahkan oleh hacker; setiap akses yang dilakukan terhadap sistem tidak
direkam sehingga sulit melakukan audit trail; serta tidak terdapat batasan
maksimum untuk kesalahan password sehingga apabila terjadi kesalahan
pengisian password maka secara otomatis akan keluar dari sistem yang
mengakibatkan dibutuhkan waktu yang lebih lama untuk masuk ke dalam sistem
dan memperlambat pekerjaan.
Dari hasil temuan diatas, maka auditor menyarankan identifikasi akses terhadap
sistem menggunakan username dan password; password diganti sesering
mungkin sesuai kebutuhan user dan perusahaan; password dienkripsi dengan
teknik substitution ciphers; menggunakan alat perekam otomatis seperti key
logger untuk memudahkan proses audit trail; serta memberikan kesempatan
untuk memasukkan password maksimal tiga kali.
Pengendalian Masukan
Dalam pengendalian masukan masih terdapat kelemahan-kelemahan seperti
dokumen yang diinput tidak menggunakan nomor urut tercetak sehingga
dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang
hilang; penggunaan metode keyboarding dalam menginput data sehingga
memungkinkan terjadinya human error; tidak membuat berita acara untuk
penghancuran dokumen sehingga tidak mengetahui dokumen apa saja yang
dihancurkan dan kapan proses tersebut dilakukan; tidak menggunakan alat
penghancur kertas yang tersedia tetapi dengan cara membakar dokumen pada
103
saat proses penghancuran dokumen sehingga dapat menimbulkan polusi dan
laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain;
serta sistem penggajian yang tidak dilengkapi dengan help facility sehingga
memerlukan waktu yang lebih lama untuk mempelajari sistem.
Dari hasil temuan diatas, maka auditor menyarankan setiap dokumen memiliki
nomor urut tercetak; perusahaan tetap menggunakan metode keyboarding tetapi
karyawan harus melakukan pengecekan ulang dan bekerja lebih teliti dalam
menginput data; membuat berita acara untuk penghancuran dokumen;
menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif
dan aman; serta menggunakan help facility untuk memudahkan karyawan
mempelajari sistem informasi penggajian.
Pengendalian Keluaran
Kelemahan-kelemahan yang terdapat pada pengendalian keluaran antara lain:
laporan-laporan yang dihasilkan tidak diotorisasi terlebih dahulu oleh Manajer
Personalia sehingga adanya kemungkinan laporan merupakan hasil rekayasa
karyawan; tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu
pencetakan sehingga tidak mengetahui secara tepat waktu laporan dihasilkan;
laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat
dibutuhkan sehingga kurangnya pengawasan dan memungkinkan terjadinya
kecurangan; tidak tersedia kolom tanda tangan dan nama pembuat laporan
sebagai bukti tanggungjawab atas laporan yang dihasilkan; tidak menggunakan
berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi
sehingga tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan
104
proses tersebut dilakukan; serta perusahaan tidak menggunakan alat penghancur
kertas yang telah tersedia melainkan menggunakan cara membakar laporan-
laporan tersebut ketika melakukan proses penghancuran laporan sehingga dapat
menimbulkan polusi dan laporan yang tidak terbakar secara total dapat
disalahgunakan oleh orang lain.
Dari hasil temuan tersebut, maka auditor menyarankan laporan-laporan yang
dihasilkan harus mendapat otorisasi terlebih dahulu dari Manajer Personalia;
semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan;
setiap laporan yang dihasilkan harus didistribusikan kepada Manajer Personalia
dan Direktur secara tepat waktu; setiap laporan harus disediakan kolom tanda
tangan dan nama pembuat laporan; membuat berita acara untuk penghancuran
laporan; serta menggunakan alat penghancur kertas yang telah tersedia sehingga
proses penghancuran lebih efektif dan aman.