70
BAB 4
AUDIT SISTEM INFORMASI PENJUALAN
4.1 Rencana Audit
Rencana audit yang dilakukan selama proses audit pada Sistem Informasi
Penjualan PT. PERDANA BANGUN PUSAKA. Tbk adalah sebagai berikut :
a. Lakukan wawancara dengan pimpinan Bagian Penjualan yang akan
menjadi auditee (pihak yang akan diaudit), dan jelaskan apa saja yang
menjadi objek audit.
b. Lakukan pengumpulan data dan pahami permanent file perusahaan seperti
data tentang latar belakang perusahaan, struktur organisasi, tugas dan
wewenang masing-masing departemen, dan lain-lain.
c. Lakukan pengumpulan data dan pahami tentang peraturan-peraturan dan
prosedur-prosedur yang menjadi dasar dalam menggunakan Sistem
Informasi Penjualan.
d. Siapkan check list pemeriksaan atau kuesioner yang diberikan kepada staff
IT dan User.
e. Lakukan pengamatan terhadap cara kerja Sistem Informasi Penjualan yang
digunakan.
f. Lakukan uji coba terhadap Sistem Informasi Penjualan yang digunakan.
g. Lakukan wawancara dengan bagian IT dan bagian Penjualan untuk
mendapatkan informasi tentang Sistem Informasi Penjualan.
h. Lakukan analisa terhadap cara kerja Sistem Informasi Penjualan.
i. Lakukan analisa hasil survei secara keseluruhan.
71
j. Lakukan review dokumentasi terhadap Surat Pesanan yang akan diproses
menjadi Order Penjualan, Faktur Penjualan, Faktur Pajak, Retur
Penjualan, dan Laporan Penjualan Bulanan agar data yang dihasilkan
terjaga kevaliditasannya.
k. Lakukan identifikasi terhadap kelebihan dan kelemahan Sistem Informasi
Penjualan yang digunakan.
l. Siapkan hasil audit.
4.2 Pengendalian Internal Secara Umum
4.2.1 Pemahaman Terhadap Pengendalian Internal Secara Umum
Untuk mendapatkan pemahaman terhadap pengendalian internal secara
umum, maka dibuat kuesioner pengendalian internal secara umum (Tabel 4.1)
yang diberikan kepada bagian manajemen dan melakukan evaluasi terhadap
kuesioner.
4.2.1.1 Kuesioner Pengendalian Internal Secara Umum
Tabel 4.1 Kuesioner Pengendalian Internal Secara Umum
KUESIONER PENGENDALIAN INTERNAL SECARA UMUM
NO PERTANYAAN Y T KETERANGAN
1 Apakah terdapat struktur
organisasi formal yang
mencakup bagian pengolahan
data?
√
72
NO PERTANYAAN Y T KETERANGAN
2 Apakah kedudukan bagian
pengolahan data dalam
struktur organisasi bersifat
independent (terpisah) dari
bagian yang lain?
√
3 Apakah fungsi-fungsi yang
ada di bagian pengolahan data
telah ditetapkan tugas dan
tanggungjawab secara jelas
dan tertulis?
√
4 Apakah terdapat pemisahan
fungsi antara sistem manajer,
programmer, dan operator?
√
5 Apakah ada standar kualifikasi
yang mengatur tentang
keterampilan pegawai?
√
6 Apakah dilakukan evaluasi
periodik terhadap kriteria para
pegawai?
√
7 Apakah digunakan formulir
benomor urut tercetak?
√
8 Apakah dilakukan
pemeriksaan mendadak
(surprised audit) tanpa
pemberitahuan terlebih dahulu
dengan jadwal yang tidak
teratur?
√
73
NO PERTANYAAN Y T KETERANGAN
9 Apakah dilakukan perputaran
jabatan (job rotation) secara
rutin?
√
10 Apakah dilakukan pencocokan
fisik persediaan dengan
catatannya (stock opname)
secara periodik?
√
Keterangan :
Y = Ya
T = Tidak
4.2.1.2 Evaluasi Untuk Pengendalian Internal Secara Umum
Hasil dari evaluasi pengendalian internal secara umum dapat dilihat
berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Tidak adanya standar kualifikasi yang mengatur tentang
keterampilan pegawai (Medium Risk)
Audit risk : Apabila tidak ada standar kualifikasi maka kemungkinan
besar pegawai yang bekerja kurang kompeten di
bidangnya.
Rekomendasi : Sebaiknya sewaktu perekrutan pegawai, bagian HRD
menetapkan standar kualifikasi ketrampilan pegawai.
2. Audit findings : Tidak dilakukannya evaluasi periodik terhadap kriteria
para pegawai (Medium Risk)
74
Audit risk : Apabila tidak dilakukan evaluasi secara periodik maka
pihak perusahaan tidak akan mengetahui bagaimana
kinerja para pegawainya.
Rekomendasi : Sebaiknya pihak manajemen melakukan evaluasi
terhadap kriteria pegawai secara periodik dengan tujuan
untuk mengetahui bagaimana kinerja para pegawainya.
3. Audit findings : Tidak dilakukannya pemeriksaan mendadak (surprised
audit) tanpa pemberitahuan terlebih dahulu dengan jadwal
yang tidak teratur (High Risk)
Audit risk : Apabila tidak dilakukan pemeriksaan mendadak
(surprised audit) maka akan mendorong pegawai untuk
tidak melakukan pekerjaan/tugasnya sesuai dengan aturan
yang ditetapkan dan bahkan melakukan kecurangan yang
dapat merugikan perusahaan.
Selain itu, tingkat kecurangan yang akan terjadi lebih
tinggi, karena dengan sering dilakukannya surprised audit
maka para pegawai pun akan berpikir 2 (dua) kali jika
ingin melakukan kecurangan.
Rekomendasi : Sebaiknya perusahaan selain melakukan audit secara
berkala juga perlu melakukan pemeriksaan mendadak
(surprised audit) untuk mengontrol kinerja pegawai dan
mengecek apakah terjadi kecurangan atau tidak.
4. Audit findings : Tidak dilakukannya perputaran jabatan (job rotation)
secara rutin (Medium Risk)
75
Audit risk : Apabila perusahaan tidak melakukan job rotation secara
rutin maka lebih mudah terjadi kecurangan karena
pegawai yang bersangkutan telah benar-benar mengetahui
seluk-beluk dan celah di bagiannya.
Rekomendasi : Perlu dilakukan job rotation secara rutin untuk mencegah
terjadinya penyelewengan ataupun kecurangan.
5. Audit findings atas evaluasi pengendalian internal secara umum yang baik
yaitu:
Dalam pengendalian internal secara umum, Perusahaan mempunyai
struktur organisasi formal yang mencakup bagian pengolahan data,
dimana bagian ini bersifat independent (terpisah) dari bagian yang lain.
Selain itu, fungsi-fungsi yang ada di bagian pengolahan data telah
ditetapkan tugas dan tanggungjawab secara jelas dan tertulis.
Perusahaan juga menetapkan pemisahan fungsi yang jelas antara sistem
manajer, programmer, dan operator sehingga setiap fungsi tersebut
mempunyai tanggungjawabnya masing-masing.
Dalam hal penggunaan formulir, perusahaan menggunakan formulir
bernomor urut tercetak dengan tujuan untuk pengendalian internal yang
baik sehingga formulir-formulir transaksi tidak dapat diselewengkan
ataupun disalahgunakan oleh pegawai yang berniat melakukan
kecurangan.
Setiap minggu, Bagian Gudang akan melakukan pencocokan fisik
persediaan dengan catatannya (stock opname). Hal ini dilakukan untuk
76
memastikan bahwa persediaan yang ada di gudang pasti sesuai dengan
catatannya.
4.3 Pengendalian Boundary
4.3.1 Pemahaman Terhadap Pengendalian Boundary
Untuk mendapatkan pemahaman terhadap pengendalian boundary, maka
dibuat kuesioner pengendalian boundary (tabel 4.2) yang diberikan kepada
manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar
boundary yang digunakan.
4.3.1.1 Kuesioner Pengendalian Boundary
Tabel 4.2 Kuesioner Pengendalian Boundary
KUESIONER PENGENDALIAN BOUNDARY
NO PERTANYAAN Y T KETERANGAN
Apakah terdapat pengendalian
akses terhadap sistem aplikasi
penjualan yang digunakan ?
a. Jika ya, apakah dilakukan
otentifikasi atas sarana akses
tersebut ?
√
√
b. Jika ya, dalam bentuk
apakah otentifikasi tersebut?
1. Password
√
2. Kartu
3. Sidik jari
1
4. Lainnya
77
NO PERTANYAAN Y T KETERANGAN
c. Jika ya dalam bentuk
password apakah sistem
mengharuskan pembaharuan
secara berkala ?
√
d. Jika ya, berapa lamakah
pembaharuan harus
dilakukan ?
√
40 hari
2 Apakah terdapat ketentuan
berapa digit panjang
password?
√
3 Apakah terdapat batas
pengisian password bila terjadi
kesalahan ?
√
4 Apakah terdapat peringatan
(error message) bila User
salah mengisi password?
√
5 Apakah tampilan password
dilayar berubah menjadi
simbol ?
√
6 Apakah database password
dienkripsi ?
√
7 Apakah User dapat mengganti
password-nya sewaktu-waktu?
√
8 Apakah setiap karyawan
memiliki password untuk
akses ke dalam sistem
perusahaan ?
√
78
Keterangan :
Y = Ya
T = Tidak
4.3.1.2 Tampilan Password
Gambar 4.1 Tampilan Password
4.3.1.3 Evaluasi Untuk Pengendalian Boundary
Hasil dari evaluasi pengendalian boundary dapat dilihat berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Database password tidak dienkripsi (Medium Risk)
Audit risk : Database password yang tidak dienkripsi memiliki
tingkat resiko yang tinggi dan berbahaya bagi sistem
karena akan lebih mudah dibobol oleh hacker.
Rekomendasi : Sebaiknya database password dienkripsi terlebih dahulu
oleh sistem sehingga hacker ataupun User yang tidak
79
bertanggungjawab tidak dapat mengetahui password
dengan mudah.
2. Audit findings : User tidak dapat mengganti password sewaktu-waktu
(Low Risk)
Audit risk : Apabila User tidak dapat mengganti password sewaktu-
waktu maka akan timbul masalah seandainya ada keadaan
tertentu yang mengharuskan User melakukan
pembaharuan ataupun penggantian password namun
belum mencapai 40 hari. Misalnya : keadaan dimana
password yang sangat penting diketahui oleh pegawai
yang tidak berkepentingan sehingga harus dilakukan
penggantian password karena mungkin saja pegawai
tersebut mengakses data dan informasi perusahaan yang
bersifat rahasia untuk kepentingan pribadinya.
Rekomendasi : Sebaiknya sistem yang dibuat harus bersifat fleksibel,
selain adanya setting oleh sistem untuk pembaharuan dan
penggantian password secara berkala yaitu setiap 40 hari,
User juga dapat melakukannya sewaktu-waktu,
disesuaikan dengan kebutuhan dan atas otoritas dari pihak
yang bertanggungjawab.
3. Audit findings :Sistem mengharuskan/men-setting adanya pembaharuan
password secara berkala yaitu setiap 40 hari sekali.
80
Audit risk : Hal ini tidak efektif karena terlalu sering mengganti
password akan menyebabkan kerahasiaan password tidak
terjamin dan User bisa lupa.
Rekomendasi : Sebaiknya password diganti setiap 12 bulan sekali.
3. Audit findings atas evaluasi pengendalian boundary yang baik yaitu:
Terdapat pengendalian akses terhadap sistem aplikasi penjualan yang
digunakan dan juga dilakukan otentifikasi atas sarana akses tersebut.
Bentuk otentifikasi yang digunakan adalah password.
Dalam penggunaan password, ada terdapat ketentuan mengenai digit
panjang password dan batas pengisian password apabila terjadi
kesalahan.
Juga terdapat peringatan (error message) apabila User salah mengisi
password.
Sewaktu password diisi, tampilan password di layar akan berubah
menjadi simbol.
Setiap karyawan yang berkepentingan atas sistem aplikasi penjualan
akan memiliki password untuk mengaksesnya.
4.4 Pengendalian Input
4.4.1 Pemahaman Terhadap Pengendalian Input
Untuk mendapatkan pemahaman terhadap pengendalian input, maka
dibuat kuesioner pengendalian input (tabel 4.3) yang diberikan kepada manajer
IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar input yang
digunakan.
81
4.4.1.1 Kuesioner Pengendalian Input
Tabel 4.3 Kuesioner Pengendalian Input
KUESIONER PENGENDALIAN INPUT
NO PERTANYAAN Y T KETERANGAN
1 Pada waktu melakukan input
apakah dokumen sumber
dibutuhkan?
√ Form Order Pesanan, nomor
seri produk, faktur, dan lain-
lain.
2 Hanya dokumen sumber yang
telah diotorisasi saja yang bisa
di-input ke dalam komputer
√
Apakah dokumen sumber
(surat pesanan) dikumpulkan
terlebih dahulu sebelum di-
input ke dalam komputer?
√
Jika ya, berapa lama dokumen
dikumpulkan? Apakah :
• Per hari
• Per minggu
3
• Per bulan
4 Apakah layar input mudah
dimengerti oleh User?
√
5 Apakah sistem melakukan
validasi saat proses input
sedang berjalan? Misal :
menolak transaksi yang keliru.
√
82
NO PERTANYAAN Y T KETERANGAN
Input yang dilakukan salah,
tetapi penyimpanan data sudah
dilakukan. Apakah sistem
aplikasi memberikan otorisasi /
menu-menu untuk meng-edit
data?
√
Jika ya, apakah data yang di-
edit:
• Mulai dari awal, secara
keseluruhan
6
• Hanya bagian yang
salah input
√
7 Apakah error message yang
muncul mudah dimengerti oleh
User ?
√
8 Apakah digunakan suatu
bentuk pengkodean untuk
mengidentifikasikan produk-
produk perusahaan?
√
9 Apakah teknik pengkodean
pada input mudah dipahami?
√
Keterangan :
Y = Ya
T = Tidak
83
4.4.1.2 Tampilan Menu
4.4.1.2.1 Pengendalian Input Pada Aplikasi Layar Utama
Gambar 4.2 Tampilan Aplikasi Layar Utama
84
4.4.1.2.2 Pengendalian Input Pada Form Order Pesanan
Gambar 4.3 Form Order Pesanan
85
4.4.1.2.3 Pengendalian Input Pada Aplikasi Order Penjualan
Gambar 4.4 Tampilan Aplikasi Order Penjualan
86
Gambar 4.5 Isi Detail (1)
Gambar 4.6 Isi Detail (2)
87
Gambar 4.7 Isi Detail (3)
4.4.1.3 Evaluasi Untuk Pengendalian Input
Hasil dari evaluasi pengendalian input dapat dilihat berdasarkan audit
findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Limit kredit pelanggan yang ada hanya sebatas informasi saja
(Medium Risk)
Audit risk : Pelanggan akan mempunyai limit kredit dalam jumlah yang
besar karena tidak adanya batasan.
88
Rekomendasi : Sebaiknya limit kredit pelanggan yang ada tidak hanya sebatas
informasi saja, melainkan benar-benar diterapkan untuk
menentukan valid tidaknya suatu order pesanan.
2. Audit findings atas evaluasi pengendalian input yang baik yaitu:
Pada waktu melakukan input data penjualan pegawai membutuhkan
dokumen sumber seperti : form order pesanan, nomor seri produk, faktur
dan lain-lain.
Dokumen sumber yang di-input ke dalam komputer hanyalah dokumen
sumber yang telah diotorisasi oleh manager dan kepala admin.
Dokumen sumber di-input secara real time yaitu pada saat terjadinya
transaksi. Jadi, dokumen sumber tersebut tidak perlu dikumpulkan
terlebih dahulu sebelum di-input ke dalam komputer.
Sistem aplikasi memiliki layar input yang mudah dimengerti oleh User,
dan juga melakukan validasi saat proses input sedang berjalan sehingga
transaksi yang keliru akan ditolak dan User diminta mengisi ulang.
Sistem aplikasi akan memberikan otorisasi/menu-menu untuk meng-edit
data apabila input yang dilakukan salah, namun penyimpanan data sudah
dilakukan. Dan data yang di-edit hanyalah bagian yang salah input.
Selain itu, sistem aplikasi menampilkan error message yang mudah
dimengerti oleh User.
Perusahaan dalam mengidentifikasi produk-produknya menggunakan
bentuk pengkodean, yang mana teknik pengkodean ini dapat mudah
dipahami oleh User.
89
4.5 Pengendalian Output
4.5.1 Pemahaman Terhadap Pengendalian Output
Untuk mendapatkan pemahaman terhadap pengendalian output, maka
dibuat kuesioner pengendalian output (tabel 4.4) yang diberikan kepada
manajer IT dan melakukan evaluasi terhadap kuesioner serta tampilan layar
output yang berupa Laporan Penjualan Bulanan. Selain laporan utama yang
berupa Laporan Penjualan Bulanan, terdapat laporan pendukung yaitu Laporan
Retur Penjualan.
4.5.1.1 Kuesioner Pengendalian Output
Tabel 4.4 Kuesioner Pengendalian Output
KUESIONER PENGENDALIAN OUTPUT
NO PERTANYAAN Y T KETERANGAN
1 Apakah tanggal pencetakan
selalu dicantumkan pada setiap
laporan yang dihasilkan ?
√
2 Apakah setiap laporan yang
dihasilkan, dicantumkan nama
personil yang bertanggung
jawab atas dikeluarkannya
laporan?
√
3 Apakah banyaknya copy
laporan dicantumkan pada
setiap laporan yang
dihasilkan?
√
90
NO PERTANYAAN Y T KETERANGAN
4 Apakah hanya karyawan yang
memiliki otoritas saja yang
dapat melakukan pencetakan
laporan?
√
Apakah laporan-laporan yang
dihasilkan didistribusikan ke
departemen pemakai tepat
pada waktunya ?
√
Jika ya, apakah
didistribusikan:
a. per hari
Per minggu
b. per bulan
5
c. per tahun
6 Apakah laporan yang
dihasilkan sudah disampaikan
kepada pihak yang berwenang
terhadap laporan tersebut?
√
7 Apakah setiap laporan
dicantumkan juga masa
berlaku laporan tersebut?
√
8 Apakah nama program untuk
pembuatan laporan
dicantumkan pada laporan?
√
9 Apalah dilakukan pengecekan
terlebih dahulu sebelum
laporan tersebut diserahkan
kepada pihak yang
berwenang?
√
91
Keterangan :
Y = Ya
T = Tidak
4.5.1.2. Pengendalian Output Pada Tampilan Laporan Penjualan Bulanan
Gambar 4.8 Laporan Penjualan Bulanan
4.5.1.3 Evaluasi Untuk Pengendalian Output
Hasil dari evaluasi pengendalian output dapat dilihat berdasarkan audit
findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Banyaknya copy laporan tidak dicantumkan pada laporan
(High Risk).
92
Audit risk : Apabila banyaknya copy laporan tidak dicantumkan pada
laporan maka Pihak yang tidak berwenang bisa saja
mendapatkan laporan tersebut dan menyelewengkannya.
Rekomendasi : Sebaiknya mencantumkan banyaknya copy laporan
dalam laporan perusahaan.
2. Audit findings : Tidak adanya nama program yang dicantumkan pada
laporan (Low Risk).
Audit risk : Bila perusahaan ingin mengganti bentuk laporan, maka
tidak diketahui program yang digunakan untuk pembuatan
laporan.
Rekomendasi : Mencantumkan nama program pada laporan.
3. Audit findings : Tidak adanya masa berlaku laporan (Low Risk)
Audit risk : Laporan yang masih diperlukan tidak tersimpan pada file
perusahaan karena mungkin telah dibuang oleh
perusahaan.
Rekomendasi : Mencantumkan masa berlaku laporan.
5. Audit findings atas evaluasi pengendalian output yang baik yaitu:
Pencetakan laporan hanya boleh dilakukan oleh karyawan yang memiliki
otoritas saja. Hal ini ditetapkan supaya laporan tidak dapat diselewengkan
oleh pihak-pihak yang tidak berkepentingan.
Selain itu, laporan-laporan yang dihasilkan juga harus didistribusikan ke
departemen pemakai tepat waktu yaitu per minggu dan laporan tersebut
93
dipastikan telah benar-benar disampaikan kepada pihak yang
berkepentingan atas laporan yang dihasilkan.
Adanya pengecekan terlebih dahulu sebelum laporan tersebut diserahkan
kepada pihak yang berwenang.
4.6 Pengendalian Security
4.6.1 Pemahaman Terhadap Pengendalian Security
Untuk mendapatkan pemahaman terhadap pengendalian security, maka
dibuat kuesioner pengendalian security (tabel 4.5) yang diberikan kepada
bagian manajemen dan melakukan evaluasi terhadap kuesioner.
4.6.1.1 Kuesioner Pengendalian Security
Tabel 4.5 Kuesioner Pengendalian Security
KUESIONER PENGENDALIAN SECURITY
NO PERTANYAAN Y T KETERANGAN
Apakah di ruang komputer
memiliki alarm kebakaran
otomatis ?
√ 1
Jika ya, ketika alarm berbunyi,
apakah signal langsung dikirim
ke stasiun pengendalian yang
selalu dijaga oleh staf ?
√
94
NO PERTANYAAN Y T KETERANGAN
Apakah ada pemisahaan antara
ruang komputer dengan tempat
penyimpanan dokumen?
√ 2
Jika ya, apakah ada
pengawasan rutin terhadap
sistem perlindungan kebakaran
yang memastikan bahwa
ruangan dokumen terawat
baik?
√
3 Apakah semua aset sistem
informasi diletakkan ditempat
yang tinggi untuk mengatasi
banjir ?
√
4 Apakah peralatan hardware
yang sementara tidak
digunakan ditutup dengan
bahan yang tahan air ?
√
5 Apakah setiap komputer yang
digunakan dilengkapi dengan
fasilitas berupa stabilizer
ataupun UPS ?
√
6 Apakah ada penempatan
penjaga dan penggunaan alarm
untuk mengantisipasi adanya
penyusup?
√
95
NO PERTANYAAN Y T KETERANGAN
Apakah dilakukan
penginstalan anti virus dan
mengupdatenya secara rutin?
√ 7
Jika ya, apakah dilakukan scan
file secara rutin?
√
Apakah ada dilakukan back up
data ?
√ 8
Jika ya, apakah back up data
tersebut sudah dipastikan
bebas virus?
√ Dipastikan bebas virus
9 Apakah perusahaan memiliki
asuransi atas aset, dokumen
dan kertas berharga dan media
transportasi yang dimiliki?
√
Apakah ada penggunaan
password untuk mengatasi
hacking?
√ 10
Jika ya, apakah password
tersebut diganti secara berkala?
√
Keterangan :
Y = Ya
T = Tidak
96
4.6.1.2 Evaluasi Untuk Pengendalian Security
Hasil dari evaluasi pengendalian security dapat dilihat berdasarkan audit
findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Walaupun, di ruang komputer memiliki alarm kebakaran
otomatis, namun ketika alarm berbunyi, signalnya tidak
dikirim langsung ke stasiun pengendalian (Medium Risk)
Audit risk : Apabila tidak ada pengiriman signal secara langsung
pada saat alarm kebakaran berbunyi, maka kebakaran
tidak akan dapat ditangani secara cepat dan bisa
menyebabkan kerugian perusahaan yang lebih besar.
Rekomendasi : Alarm kebakaran otomatis sebaiknya dilengkapi juga
dengan sistem yang dapat mengirim signal langsung ke
stasiun pengendali yang dijaga oleh staf sehingga
kebakaran dapat ditangani secara cepat.
2. Audit findings : Peralatan hardware yang sementara tidak digunakan
tidak ditutup dengan bahan yang tahan air (Low Risk).
Audit Risk : Apabila. peralatan hardware yang sementara tidak
digunakan tidak ditutup dengan bahan yang tahan air maka
sewaktu terjadi kebanjiran, peralatan hardware akan
mengalami kerusakan.
Rekomendasi : Sebaiknya peralatan hardware yang sementara tidak
digunakan ditutup dengan bahan yang tahan air sebagai
tindakan pencegahan.
97
3. Audit findings : Setiap komputer yang digunakan tidak dilengkapi dengan
fasilitas berupa stabilizer ataupun UPS (High Risk).
Audit Risk : Tidak adanya stabilizer ataupun UPS akan menyebabkan
kerusakan pada komputer karena pengaruh tegangan listrik
yang tidak stabil. Selain itu, juga memberikan resiko
kehilangan data yang belum sempat disimpan (save) jika
terjadi pemadaman listrik.
Rekomendasi : Sebaiknya setiap komputer yang digunakan dilengkapi
dengan fasilitas berupa stabilizer ataupun UPS
4. Audit findings : Tidak adanya penempatan penjaga dan penggunaan
alarm untuk mengantisipasi adanya penyusup (High Risk).
Audit Risk : Kemungkinan resiko terjadinya penyusupan dan
pencurian terhadap aset milik perusahaan menjadi lebih
besar.
Rekomendasi : Sebaiknya ditempatkan minimal 2 orang penjaga yang
bertugas untuk menjaga keamanan perusahaan.
5. Audit findings : Ada dilakukan penginstalan anti virus dan
mengupdatenya secara rutin, namun scan file tidak
dilakukan secara rutin (Medium Risk)
Audit risk : Apabila scan file tidak dilakukan secara rutin, maka
kemungkinan virus-virus akan masuk ke dalam sistem dan
merusak file-file perusahaan.
Rekomendasi : Sebaiknya scan file dilakukan secara rutin minimal
seminggu sekali.
98
6. Audit findings atas evaluasi pengendalian security yang baik yaitu:
Untuk menerapkan pengendalian security yang baik, Perusahaan
melengkapi ruang komputer dengan alarm kebakaran otomatis. Dan
antara ruang komputer dengan tempat penyimpanan dokumen
dipisahkan.
Adanya pengawasan yang rutin terhadap sistem perlindungan
kebakaran yang memastikan bahwa ruangan dokumen terawat baik.
Semua aset sistem informasi diletakkan di tempat yang tinggi untuk
mengatasi banjir.
Untuk menjaga agar file bebas dari virus, maka dilakukan penginstalan
anti virus serta mengupdatenya secara rutin.
Selain itu, juga dilakukan back up data dan dipastikan bebas virus.
Perusahaan memiliki asuransi atas aset, dokumen dan kertas berharga
dan media transportasi yang dimiliki.
Adanya penggunaan password untuk mengatasi hacking dan password
tersebut diganti secara berkala.
4.7 Pengendalian Operasional
4.7.1 Pemahaman Terhadap Pengendalian Operasional
Untuk mendapatkan pemahaman terhadap pengendalian operasional,
maka dibuat kuesioner pengendalian operasional (tabel 4.6) yang diberikan
kepada bagian manajemen dan melakukan evaluasi terhadap kuesioner.
99
4.7.1.1 Kuesioner Pengendalian Operasional
Tabel 4.6 Kuesioner Pengendalian Operasional
KUESIONER PENGENDALIAN OPERASIONAL
NO PERTANYAAN Y T KETERANGAN
1 Apakah terhadap seluruh
operasi komputer telah
dilakukan penjadwalan
sehingga dapat diselesaikan
tepat waktu dan efisien?
√ Setiap bagian
mengoperasikan
komputernya masing-masing
2 Apakah telah ditetapkan staf
yang bertanggung jawab untuk
mengelola media komputer
(disket, CD, dll) ?
√
3 Apakah telah terdapat prosedur
pengelolaan media komputer
dalam rangka melindungi data
dari penyalahgunaan atau
kerusakan?
√
4 Apakah perawatan terhadap
hardware telah dilakukan
dengan baik?
√ Setiap User
bertanggungjawab penuh
atas penggunaan komputer
100
NO PERTANYAAN Y T KETERANGAN
Apakah menggunakan fasilitas
seperti barcode reader ataupun
scanner dalam pengentrian
data?
√ 5
Jika ya, apakah fasilitas
tersebut memiliki kecepatan
dan keakuratan dalam
pengentrian data?
6 Apakah dilakukan monitor
terhadap hardware dan
software yang ada?
√
7 Apakah dilakukan
maintenance kontrol terhadap
hardware sewaktu pertama
kali dibeli?
√
8 Apakah dilakukan monitoring
terhadap jaringan komunikasi
secara berkala?
√
Keterangan :
Y = Ya
T = Tidak
4.7.1.2 Evaluasi Untuk Pengendalian Operasional
Hasil dari evaluasi pengendalian operasional dapat dilihat berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Pengentrian nomor seri produk dilakukan dengan cara
mengetik kode produk satu per satu (High Risk).
101
Audit risk : Hal ini tidak efisien karena memboros waktu dan
kemungkinan kesalahan pengentrian juga besar (human
error) karena biasanya perusahaan menjual dalam partai
besar sehingga banyak nomor seri produk yang harus
dientri.
Rekomendasi : Perusahaan sebaiknya menggunakan fasilitas barcode
reader untuk pengentrian nomor seri produk.
2. Audit findings atas evaluasi pengendalian operasional yang baik yaitu:
Setiap bagian memiliki komputer masing-masing dalam melakukan
tugas mereka.
Adanya penetapan staf yang bertanggungjawab untuk mengelola media
komputer (disket, CD, dll) yaitu staf pengolahan data dan divisi IT.
Terdapat prosedur yang jelas mengenai pengelolaan media komputer
dalam rangka melindungi data dari penyalahgunaan atau kerusakan.
Perawatan terhadap hardware dilakukan dengan baik. Dan juga adanya
monitor terhadap hardware dan software yang ada
Maintenance kontrol terhadap hardware sewaktu dibeli juga dilakukan
oleh divisi IT.
Adanya monitoring terhadap jaringan komunikasi secara berkala.
102
4.8 Pengendalian Software Aplication
4.8.1 Pemahaman Terhadap Pengendalian Software Aplication
Untuk mendapatkan pemahaman terhadap pengendalian software
aplication, maka dibuat kuesioner pengendalian software aplication (tabel 4.7)
yang diberikan kepada manajer IT dan melakukan evaluasi terhadap kuesioner.
4.8.1.1 Kuesioner Pengendalian Software Aplication
Tabel 4.7 Kuesioner Pengendalian Software Aplication
KUESIONER PENGENDALIAN SOFTWARE APLICATION
NO PERTANYAAN Y T KETERANGAN
1 Apakah aplikasi software yang
digunakan User Friendly?
√
2 Apakah warna layar dalam
aplikasi digunakan secara
konsisten?
√
3 Apakah warna yang digunakan
terlalu mencolok sehingga
dapat menyilaukan mata?
√
4 Apakah waktu respon dan
tampilan rata-rata untuk layar
cepat?
√
5 Apakah dalam sistem aplikasi
dilengkapi dengan fasilitas
Help?
√
6 Apakah menu dan field-field
dalam aplikasi dirancang
sesuai dengan kebutuhan
User?
√
103
NO PERTANYAAN Y T KETERANGAN
7 Apakah output yang dihasilkan
sudah sesuai dengan
kebutuhan manajemen?
√
8 Apakah ada pesan error untuk
kesalahan dalam penggunaan
software aplikasi?
√
Keterangan :
Y = Ya
T = Tidak
4.8.1.2 Evaluasi Untuk Pengendalian Software Application
Hasil dari evaluasi pengendalian software application dapat dilihat
berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut :
1. Audit findings : Sistem aplikasi tidak dilengkapi dengan fasilitas Help
(Low Risk)
Audit Risk : Apabila sistem aplikasi tidak dilengkapi dengan fasilitas
Help maka User akan mengalami kesulitan dalam
mengoperasikan aplikasi tersebut.
Rekomendasi : Sebaiknya sistem aplikasi yang dirancang perlu
dilengkapi dengan fasilitas Help untuk memudahkan
pengoperasian aplikasi.
104
2. Audit findings atas evaluasi pengendalian software application yang baik
yaitu:
Secara umum, aplikasi software yang digunakan User Friendly dengan
warna layar yang konsisten dan warna yang digunakan tidak terlalu
mencolok sehingga tidak akan menyilaukan mata.
Waktu respon dan tampilan rata-rata untuk layar relatif cepat.
Menu dan field-field dalam aplikasi dirancang sesuai dengan kebutuhan
User.
Output yang dihasilkan sudah sesuai dengan kebutuhan manajemen.
Adanya pesan error untuk kesalahan dalam penggunaan software
aplikasi.
4.9 Hasil Wawancara dan Pengamatan
4.9.1 Pengendalian Internal Secara Umum
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian internal secara umum yang dirumuskan
berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut :
1. Bagaimana cara mengevaluasi kriteria dan kinerja para pegawai ?
Audit findings
Evaluasi periodik terhadap kriteria para pegawai dilakukan dan dikontrol
oleh Supervisor. Hasil evaluasi ini akan disampaikan kepada Manajer
pada setiap bagian. Dan selanjutnya akan dibicarakan dalam rapat.
Evaluasi terhadap kriteria para pegawai dilakukan tidak secara periodik.
105
Kalau ada waktu sisa dalam rapat baru dibicarakan mengenai kriteria
pegawai (Low Risk)
Audit risk
Evaluasi yang hanya dilakukan oleh Supervisor kurang maksimal karena
mungkin lebih bersifat subjektif. Dan karena tidak dilakukan evaluasi
secara rutin, maka kinerja pegawai pun kurang terkontrol.
Rekomendasi
Evaluasi periodik tidak hanya dilakukan oleh Supervisor, sebaiknya juga
dilakukan oleh bagian HRD karena bagian ini yang biasanya
berhubungan erat dan yang menangani masalah kepegawaian. Bagian
HRD tidak hanya melakukan evaluasi terhadap kinerja para pegawai,
tetapi juga menyelenggarakan program training yang bisa meningkatkan
kinerja para pegawai. Hasil evaluasi dan penyelenggaraan program
training akan dilaporkan kepada Manager pada masing-masing bagian.
Dan evaluasi terhadap kinerja pegawai perlu dilakukan secara periodik
misal : 2 (dua) bulan sekali atau 1 (satu) minggu setelah training.
2. Apakah setiap formulir terdapat nomor urut tercetak ?
Audit findings
Tidak semua formulir mempunyai nomor urut tercetak. Contohnya :
Formulir Permintaan Barang, karena formulir ini dibuat hanya dalam
internal perusahaan saja antara sales dan bagian penjualan (Low Risk).
106
Audit risk
Formulir yang tidak mempunyai nomor urut tercetak akan menyebabkan
terjadinya tindakan kecurangan dalam perusahaan karena kemungkinan
formulir-formulir tersebut disalahgunakan oleh pegawai.
Rekomendasi
Sebaiknya semua formulir harus bernomor urut tercetak baik internal
maupun external perusahaan. Hal ini dimaksudkan untuk
penyelenggaraan pengendalian internal yang baik dalam perusahaan.
Karena dengan adanya penggunaan formulir bernomor urut tercetak,
maka formulir-formulir tersebut tidak akan dapat diselewengkan ataupun
disalahgunakan oleh para pegawai.
3. Apakah Perusahaan mencetak form surat jalan?
Audit findings
Perusahaan hanya menggunakan form faktur dan tidak mencetak form
surat jalan (High Risk)
Audit risk
Memperbesar timbulnya penyelewengan oleh staf pengiriman karena dia
dapat mengetahui dengan benar harga masing-masing produk dari faktur
tersebut.
Rekomendasi
Sebaiknya Perusahaan memisahkan antara faktur dan surat jalan sehingga
staf pengiriman tidak dapat mengetahui harga produk.
107
4.9.2 Pengendalian Boundary
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian boundary yang dirumuskan berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1. Berapa digit password yang digunakan?
Audit findings
Password yang digunakan terdiri dari 6 (enam) digit (Low Risk).
Audit risk
Password dengan 6 (enam) digit lebih mudah dipecahkan karena waktu
yang diperlukan untuk memecahkan kode tersebut relatif singkat. Apalagi
dengan adanya program untuk pemecahan password yang bisa dilakukan
dalam hitungan menit.
Rekomendasi
Dalam pengendalian akses terhadap sistem aplikasi penjualan,
perusahaan menggunakan bentuk otentifikasi berupa password.
Perusahaan biasanya mempunyai ketentuan mengenai berapa digit
panjang password. Pada kondisi yang ideal, password seharusnya
minimal terdiri dari 8 digit.
2. Apakah terdapat metode pembatasan akses terhadap ruang fasilitas
library yang ada?
Audit findings
Memiliki pembatasan akses dalam melakukan CRUD terhadap data.
108
3. Bagaimana pembatasan akses terhadap sistem dilakukan?
Audit findings
Setiap pegawai yang berkepentingan diberikan USER-ID.
4. Bagaimana pengamanan terhadap sistem apabila User lupa untuk
melakukan LOG-OFF?
Audit findings
Pengamanan terhadap sistem masih kurang karena apabila User lupa
untuk melakukan Log-Off, sistem tidak bisa melakukan automatic Log-
Off (Low Risk).
Audit risk
Apabila sistem tidak bisa melakukan automatic Log-Off, kemungkinan
resikonya adalah adanya orang lain yang tidak memiliki otoritas dapat
mengakses sistem tersebut sewaktu sistem lupa dimatikan oleh User yang
bersangkutan.
Rekomendasi
Sebaiknya sistem di-set untuk melakukan automatic Log-Off sewaktu
komputer dalam kondisi idle (kondisi dimana komputer tidak melakukan
operasi apa-apa selama tenggang waktu tertentu).
5. Bagaimana perusahaan merekam semua kejadian yang terjadi dalam
sistem?
Audit findings
Sistem dalam perusahaan tidak memiliki audit trail (High Risk).
109
Audit risk
Apabila dalam sistem tidak memiliki audit trail maka akan kesulitan pada
saat melakukan review sistem aplikasi untuk mengetahui aktivitas User
mulai dari Log-In, proses selama penggunaan sistem sampai pada saat
Log-Off.
Rekomendasi
Sebaiknya, sistem perusahaan memiliki audit trail.
4.9.3 Pengendalian Input
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian input yang dirumuskan berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1. Perangkat apa yang digunakan untuk mengentri data?
Audit findings
Menggunakan keyborad, touch secreen, mouse atau disimpan dalam
dokumen sumber.
2. Bagaimana pengentrian data penjualan ke dalam sistem?
Audit findings
Pengentrian data penjualan langsung dilakukan pada saat terjadinya transaksi.
3. Bagaimana isi pesan pada saat terjadinya error?
Audit findings
Isi pesan pada saat terjadinya error jelas, singkat dan mudah dimengerti.
110
4. Bagaimana penanganan terhadap terjadinya kesalahan inputan?
Audit findings
Staf yang bersangkutan langsung memperbaiki kesalahan inputan dengan
cara mengedit tanpa adanya otorisasi dari Manager (Low Risk).
Audit risk
Apabila terlalu mempercayakan kepada staf untuk mengedit data penjualan
kemungkinan kepercayaan itu akan disalahgunakan.
Rekomendasi
Perlu dilakukan identifikasi sebab-sebab kesalahan dan kemudian meminta
otorisasi/persetujuan untuk perbaikan dari Manager. Dan pemrosesan
kembali ke dalam sistem baru dilakukan.
4.9.4 Pengendalian Output
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian output yang dirumuskan berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1.Apakah dilakukan rekonsiliasi antara input dan output untuk menjamin
bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar?
Audit findings
Tidak dilakukan rekonsiliasi antara input dan output (Medium Risk)
Audit risk
Apabila tidak ada rekonsiliasi antara input dan output maka tidak dapat diketahui
apakah output yang dihasilkan sudah sesuai dengan input.
111
Rekomendasi
Perlu dilakukan rekonsiliasi antara input dan output supaya dapat menjamin
bahwa inputan telah diproses dengan benar sehingga hasilnya pun benar.
2. Apakah terdapat prosedur yang dapat menjamin bahwa output dari
sistem informasi selalu direview oleh User management untuk menentukan
kelengkapan, akurasi dan konsistensinya?
Audit findings
Tidak ada prosedur untuk pelaksanaan review atas output dari sistem informasi
oleh user management (Medium Risk).
Audit risk
Apabila tidak dilakukan review atas output dari sistem informasi maka output
yang dihasilkan tidak akan sesuai dengan kebutuhan manajemen dalam
pengambilan keputusan karena kebutuhan informasi oleh manajemen semakin
bertambah dari periode ke periode yang baru.
Rekomendasi
Perlunya dilakukan review atas output dari sistem informasi oleh User
management untuk menentukan kelengkapan, akurasi dan konsistensinya
sehingga output yang dihasilkan sesuai dengan kebutuhan manajemen.
3. Bagaimana ketersediaan data output untuk memenuhi kebutuhan User?
Audit findings
Data output yang dihasilkan tepat waktu dan akurat.
112
4. Kapankah perusahaan perlu menghancurkan dokumen-dokumen yang
sudah tidak dipergunakan lagi?
Audit findings
Dokumen-dokumen yang sudah tidak dipergunakan lagi dihancurkan 5 (lima)
tahun sekali.
5. Dalam bentuk apakah laporan dihasilkan?
Audit findings
Laporan dihasilkan dalam bentuk print-out.
6. Apakah laporan yang dihasilkan mencantumkan page heading?
Audit findings
Setiap halaman laporan tidak tercantum page heading (Low Risk).
Audit risk
Halaman laporan kemungkinan besar akan tertukar dan akan sulit diketahui
apabila ada halaman laporan yang hilang.
Rekomendasi
Sebaiknya setiap halaman laporan dicantumkan page heading untuk
memudahkan penyusunan halaman laporan.
7. Bagaimana kondisi tempat penyimpanan peralatan output?
Audit findings
Kondisi tempat penyimpanan peralatan output cukup bagus karena semua
peralatan disimpan dalam ruangan yang dingin dan bebas debu.
113
8. Apakah laporan-laporan yang dihasilkan sudah cukup dalam membantu
pengambilan keputusan oleh pihak manajemen?
Audit findings
Laporan yang dihasilkan belum dapat membantu manajemen dalam pengambilan
keputusan. (Medium Risk)
Audit risk
Tanpa adanya laporan-laporan pendukung akan mempersulit pihak manajemen
dalam pengambilan keputusan.
Rekomendasi
Perlu dibuatnya laporan pendukung untuk pengambilan keputusan pihak
manajemen seperti : Laporan Barang yang banyak terjual, Laporan Barang yang
banyak diretur (rusak) dan Laporan Top Ten Customer.
4.9.5 Pengendalian Security
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian security yang dirumuskan berdasarkan audit
findings, audit risk dan rekomendasi sebagai berikut :
1. Apakah terdapat prosedur tertulis mengenai tata cara penanganan
kebakaran khusus untuk lingkungan informasi?
Audit findings
Perusahaan tidak mempunyai prosedur tertulis mengenai tata cara penanganan
kebakaran khusus untuk lingkungan informasi (Low Risk).
114
Audit risk
Apabila tidak ada prosedur tertulis mengenai penanganan kebakaran maka
kemungkinan apabila terjadi kebakaran, staf tidak akan dapat menanggulangi
kebakaran dengan cepat.
Rekomendasi
Perlu adanya prosedur tertulis mengenai tata cara penanganan kebakaran khusus
untuk lingkungan informasi. Dan tata cara tersebut seharusnya diletakkan di
lokasi yang mudah dilihat.
2. Apakah telah terdapat pelatihan dalam rangka menghadapi bahaya
kebakaran?
Audit findings
Perusahaan tidak memberikan pelatihan kepada karyawannya dalam rangka
menghadapi bahaya kebakaran (Medium Risk).
Audit risk
Apabila tidak ada pelatihan untuk menghadapi bahaya kebakaran, maka
karyawan akan mengalami kepanikan dan takut pada saat terjadi kebakaran
sehingga keadaan akan menjadi semakin tidak terkendali.
Rekomendasi
Perlu adanya training dalam menghadapi bahaya kebakaran supaya karyawan
memperoleh pengetahuan mengenai bagaimana cara menangani kebakaran.
115
3. Bagaimana kondisi di ruang komputer?
Audit findings
Ruang komputer mempunyai alat pendingin dan pengatur kelembapan.
4. Bagaimana pemeliharaan gedung?
Audit findings
Gedung dibersihkan seminggu dua kali secara teratur.
5. Bagaimana pengamanan terhadap ruang komputer?
Audit findings
Ruang komputer selalu terkunci apabila tidak digunakan.
6. Dimanakah letak tabung kebakaran?
Audit findings
Tabung kebakaran berada pada lokasi yang mudah terlihat dan terjangkau.
4.9.6 Pengendalian Operasional
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian operasional yang dirumuskan berdasarkan
audit findings, audit risk dan rekomendasi sebagai berikut :
1. Bagaimana monitoring jaringan komunikasi dilakukan ?
Audit findings
Monitoring jaringan komunikasi dilakukan oleh divisi IT , bagian technical
support, namun tidak secara berkala. Apabila jaringan komunikasi mengalami
masalah, baru dilakukan monitoring tersebut (Medium Risk).
116
Audit risk
Apabila monitoring jaringan komunikasi tidak secara berkala, maka kerusakan
mungkin tidak terdeteksi. Dan setelah terdeteksi,akan berdampak buruk pada
sistem sehingga dibutuhkan waktu yang lebih lama untuk pemulihan kembali
(recovery)
Rekomendasi
Divisi IT perlu melakukan monitoring jaringan komunikasi secara berkala untuk
tindakan preventif terhadap jaringan komunikasi.
2. Apakah semua staf dapat mengakses data dan informasi yang sama
melalui jaringan LAN ?
Audit findings
Tidak semua staf dapat mengakses dengan menggunakan LAN. Hanya jajaran
Manager yang memiliki otoritas saja yang dapat menggunakan fasilitas LAN.
4.9.7 Pengendalian Software Application
Dari hasil interview dengan pihak manajemen, dapat diperoleh
pemahaman mengenai pengendalian sofware application yang dirumuskan
berdasarkan audit findings, audit risk dan rekomendasi sebagai berikut :
1. Apakah sofware application yang diterapkan telah didokumentasikan?
Audit findings
Software application yang ada telah didokumentasikan oleh divisi IT supaya
membantu manajemen dalam mendapatkan petunjuk atau informasi sehubungan
dengan aplikasi yang digunakan.
117
2. Berapakah waktu respon rata-rata antara pemasukan data dengan sistem
Audit findings
Waktu respon antara pemasukan data dengan sistem kira-kira 4-5 detik.
3. Bagaimana tingkat display untuk menampilkan karakter atau image?
Audit findings
Tingkat display cukup cepat untuk menampilkan karakter atau image.
4.10 Matriks Mengenai Pembahasan Untuk Pengendalian Manajemen dan
Aplikasi
Point Audit findings Audit risk Rekomendasi PIC (Orang yang
bertanggungjawab)
Surprised Audit
(pemeriksaan
mendadak)
Tidak
dilakukannya
surprised
audit
Tingkat kecurangan
yang akan terjadi
lebih tinggi
Perlu
dilakukannya
surprised audit.
Divisi Audit
118
Pencetakan surat
jalan
Hanya
menggunakan
faktur dan tidak
menggunakan
form surat jalan
Bisa terjadi
penyelewengan oleh
staf pengiriman
Sebaiknya
faktur dan form
surat jalan
dicetak terpisah
Manajemen
Operasional
Enkripsi Password Database
password tidak
dienkripsi
Mudah dibobol oleh
hacker
Perlu adanya
enkripsi
password
Divisi IT
Penggantian
password oleh User
User tidak
dapat
mengganti
password
sewaktu-waktu
Kerahasiaan
password tidak dapat
dipertahankan
Sistem
password harus
fleksibel.
Divisi IT
Automatic Log-Off Sistem tidak
bisa melakukan
automatic Log-
Off
Orang yang tidak
berotoritas dapat
mengakses sistem
Sebaiknya
sistem
memiliki
automatic Log-
Off
Divisi IT
119
Audit trail Sistem dalam
perusahaan
tidak memiliki
audit trail
Review sistem
aplikasi akan sulit
dilakukan
Sistem
perusahaan
sebaiknya
dilengkapi
audit trail.
Divisi IT
Pencantuman copy
laporan
Banyaknya
copy laporan
tidak
dicantumkan
pada laporan
Pihak yang tidak
berwenang bisa saja
mendapatkan laporan
tersebut dan
menyelewengkannya.
Seharusnya
mencantumkan
copy laporan
Manajemen
Operasional
Rekonsiliasi antara
input dan output
Tidak dilakukan
rekonsiliasi
antara input dan
output
Tidak dapat
diketahui apakah
output yang
dihasilkan sudah
sesuai dengan
inputan.
Sebaiknya
dilakukan
rekonsiliasi
antara input
dan output
Manajemen
Operasional
Review atas output
dari sistem
informasi
Tidak
dilakukannya
review atas
output dari
sistem
Output yang
dihasilkan tidak akan
sesuai dengan
kebutuhan
manajemen
Perlu
dilaksanakan
review atas
output dari
sistem
Manajemen
Operasional
120
informasi.
informasi
Penggunaan
fasilitas stabilizer
ataupun UPS
Setiap
komputer yang
digunakan tidak
dilengkapi
dengan fasilitas
berupa
stabilizer
ataupun UPS
Kerusakan pada
hardware dan
hilangnya data.
Komputer
perlu
dilengkapi
stabilizer
ataupun UPS
Manajemen
Operasional
Penempatan
penjaga dan
penggunaan alarm
Tidak adanya
penempatan
penjaga dan
penggunaan
alarm untuk
mengantisipasi
adanya
penyusup
Tidak terdeteksi
adanya penyusup
Perlu adanya
penempatan
penjaga dan
penggunaan
alarm.
Manajemen
keamanan
Dilakukannya scan
file
Ada dilakukan
penginstalan
anti virus dan
mengupdatenya
Virus-virus akan
masuk ke dalam
sistem dan merusak
file perusahaan
Sebaiknya scan
file dilakukan
secara rutin
minimal
Divisi IT
121
secara rutin,
namun scan file
tidak dilakukan
secara rutin
seminggu
sekali
Pengentrian kode
produk
Pengentrian
dilakukan
dengan cara
mengetik kode
produk satu per
satu
Terjadinya kesalahan
input dan memakan
waktu yang lama
Sebaiknya
menggunakan
fasilitas
barcode reader
Manajemen
Operasional
Monitoring jaringan
komunikasi
Monitoring
jaringan
komunikasi
dilakukan tidak
secara berkala.
Kerusakan ataupun
permasalahan pada
jaringan komunikasi
tidak terdeteksi
Monitoring
sebaiknya
dilakukan
secara berkala
Divisi IT
Tabel 4.8 Matriks Pembahasan Pengendalian Manajemen dan Aplikasi
4.11 Laporan Audit
Laporan Audit Sistem Informasi Penjualan yang dibuat oleh Tim Audit
Kelompok 6 adalah sebagai berikut :
122
Kepada : Manajemen Penjualan PT. Perdana Bangun Pusaka. Tbk
Perihal : Laporan Hasil Audit Sistem Informasi Penjualan
Periode : Desember 2005
LAPORAN AUDIT SISTEM INFORMASI PENJUALAN PT. PERDANA
BANGUN PUSAKA. TBK
I. Tujuan
Memastikan keluaran (output) yang dihasilkan tepat waktu sesuai dengan hasil
masukan (input), membandingkan apakah sistem sudah sesuai dengan standar
yang ada dan memberikan rekomendasi untuk kelemahan-kelemahan yang
mungkin ditemukan dan menghasilkan laporan audit bagi PT. Perdana Bangun
Pusaka. Tbk.
II. Ruang Lingkup
Pengendalian terhadap prosedur dan proses pelaksanaan sistem informasi
khususnya mengenai penjualan. Pengendalian terhadap prosedur dan
pelaksanaan sistem informasi terfokus pada 2 (dua) bagian umum yaitu
pengendalian manajemen dan pengendalian aplikasi. Pengendalian manajemen
berupa pengendalian keamanan dan pengendalian operasional sedangkan
pengendalian aplikasi berupa pengendalian boundary, input dan output.
III. Metode Audit
Metode Audit yang digunakan adalah dengan melakukan wawancara,
pengamatan, kuesioner, pengujian,analisis dan testing aplikasi.
123
IV. Hasil Audit
Berdasarkan audit findings yang ditemukan, kami selaku Tim Audit menyatakan
bahwa pengendalian dalam perusahaan secara umum telah dilakukan dengan
baik.
Adapun pengendalian-pengendaliannya sebagai berikut :
Pengendalian Internal secara Umum
Pengendalian Internal secara umum pada PT. Perdana Bangun Pusaka.
Tbk sudah dilakukan dengan baik, hanya saja sesekali pihak manajemen perlu
menyelenggarakan pemeriksaan mendadak (surprised audit) untuk
meminimalkan kecurangan yang mungkin terjadi.
Pengendalian Boundary
Pengendalian boundary sudah cukup baik diterapkan dalam perusahaan.
Namun akan lebih baik lagi jika dilakukan pengenkripsian pada database
password dan sistem aplikasi dilengkapi dengan audit trail.
Pengendalian Input
Pengendalian input sudah dilakukan cukup baik contohnya : dokumen
sumber di-input secara real time, dokumen sumber yang di-input ke dalam
komputer hanyalah dokumen sumber yang telah diotorisasi dan sistem aplikasi
dapat menampilkan error message yang mudah dimengerti oleh User.
Pengendalian Output
Pengendalian output umumnya sudah dilakukan dengan baik. Namun
kami menemukan bahwa tidak dicantumkannya banyaknya copy laporan, nama
program dan masa berlaku laporan. Kami menyarankan untuk mencantumkan
ketiga hal tersebut dalam laporan yang dihasilkan.
124
Pengendalian Security
Pengendalian security telah diterapkan cukup baik kalau dilihat dari segi
pengamanan terhadap resiko yang berasal dari lingkungan (bencana kebakaran
dan banjir) namun dari segi pengamanan terhadap aset sistem informasi masih
kurang karena perusahaan belum melengkapi komputer dengan fasilitas
stabilizer ataupun UPS dan kurang penjagaan yang ketat terhadap penyusup.
Pengendalian Operasional
Pengendalian operasional juga sudah bagus diterapkan hanya saja dalam
pengentrian nomor seri produk masih diketik satu per satu. Hal ini sangat
membuang waktu dan kemungkinan kesalahan pengentrian juga sangat besar.
Pengendalian Software Application
Pengendalian software application sudah sangat bagus, ini terlihat pada
aplikasi software yang cukup user friendly, waktu respon dan tampilan rata-rata
untuk layar relatif cepat, menu dan field-field aplikasi dirancang sesuai
kebutuhan User, serta adanya pesan error untuk kesalahan dalam penggunaan
aplikasi.
Demikianlah hasil laporan audit atas sistem informasi penjualan pada PT.
Perdana Bangun Pusaka. Tbk.
Jakarta, 10 Desember 2005
TIM AUDIT
Kelompok 6