EVALUASI SISTEM INFORMASI PENGIRIMAN BARANG PADA PT. TIKI
JALUR NUGRAHA EKAKURIR
4.1 Persiapan dan Perencanaan Evaluasi 4.1.1 Perencanaan Evaluasi Dengan perencanaan evaluasi, maka penulis dapat meringankan kerja evaluasi dari segi biaya, waktu dan penganalisaan atas bukti-bukti atau informasi-informasi agar dapat menjadi lebih terarah dan bermanfaat bagi sistem informasi pengiriman barang. Tahap perencanaan evaluasi dilakukan dengan langkah-langkah sebagai berikut: 1. Menentukan Ruang Lingkup Evaluasi Ruang lingkup yang akan membatasi kegiatan evaluasi sistem informasi pengiriman barang pada PT. Tiki Jalur Nugraha Ekakurir yaitu : a. Sistem informasi pengiriman barang di PT. Tiki Jalur Nugraha Ekakurir khususnya sistem informasi pengiriman barang outbound melalui udara secara langsung ke tujuan kota utama yang costumernya non-reguler atau reguler yang kehabisan connote. b. Pengendalian umum yang terdiri dari pengendalian manajemen keamanan (Security Management Controls), dan pengendalian manajemen operasional (Operational Management Controls). 108 109 c. Pengendalian aplikasi yaitu pengendalian batasan (Boundary Controls), pengendalan masukan (Input Controls) dan pengendalian keluaran (Output Controls). 2. Tujuan Pelaksanaan Evaluasi a. Mengevaluasi bahwa Sistem Informasi Pengiriman Barang yang sedang berjalan sudah sesuai dengan prosedur. b. Mengidentifikasi dan menganalisa kelemahan dalam penerapan pengendalian internal yang mencakup pengendalian umum dan pengendalian aplikasi serta memberikan rekomendasi atas masalah tersebut. c. Menghasilkan laporan evaluasi bagi PT.Tiki Jalur Nugraha Ekakurir 3. Persiapan Evaluasi Lapangan Penulis menetapkan hal-hal sebagai persiapan evaluasi di lapangan sebagai berikut : a. Pelaksanaan untuk observasi dan wawancara dalam kurun waktu 5 bulan berturut-turut dari bulan Februari 2008 sampai dengan Juni 2008. b. Tim evaluasi terdiri dari 2 orang. c. Sebelum evaluasi mengajukan Surat Permohonan Survei kepada HRD Training Manager, setelah disetujui diterbitkan Internal Memo sebagai surat sah bahwa tim evaluasi selaku auditor diterima untuk melakukan survey di PT. Tiki Jalur Nugraha Ekakurir. d. Evaluasi berupa wawancara dilakukan di Divisi Outbound dan Teknologi Informasi.
110 e. Evaluasi berupa observasi dilakukan di Divisi Outbound dan Teknologi Informasi.
4.1.2 Pengumpulan Bukti Evaluasi Setelah melakukan identifikasi terhadap gambaran umum perusahaan khususnya pada bagian pengiriman barang pada PT. Tiki Jalur Nugraha Ekakurir maka dilakukan pengumpulan bukti audit yang dilakukan dengan cara sebagai berikut : a. Check list Check list merupakan daftar pertanyaan yang diberikan kepada beberapa responden yang berhubungan dengan sistem informasi pengiriman barang untuk mempermudah dalam pengumpulan data yang meliputi pengendalian manajemen dan pengendalian aplikasi. Terdapat 5 sistematika check list yang digunakan, yaitu : 1. Pengendalian Manajemen Keamanan berisikan pengendalian keamanan terhadap aset-aset baik fisik maupun nonfisik. Adapun aset fisiknya berupa perangkat keras dan fasilitas pendukungna. Sedangkan aset nonfisiknya berupa data atau informasi dan program aplikasi komputer. 2. Pengendalian Manajemen Operasi berisikan pengendalian terhadap aktifitas manajemen operasi untuk menjamin bahwa operasi pada sistem informasi pengiriman barang yang dilakukan berjalan sesuai dengan prosedur yang ada.
111 3. Pengendalian Aplikasi Input berisikan pengendalian aplikasi terhadap pemasukkan data kedalam sistem informasi untuk memberi keyakinan yang memadai bahwa data yang dimasukkan benar dan telah terotorisasi serta tidak salah digunakan. 4. Pengendalian Aplikasi Output berisikan pengendalian aplikasi terhadap laporan atau output yang dihasilkan oleh sistem untuk memastikan bahwa output atau laporan tersebut akurat, lengkap dan didistribusikan kepada pihak-pihak yang berhak. 5. Pengendalian Aplikasi Boundary berisikan pengendalian aplikasi terhadap pembatasan akses kedalam sistem informasi untuk menjamin bahwa sistem hanya diakses oleh user yang terotorisasi. b. Wawancara Dilakukan wawancara secara langsung kepada bagian-bagian yang bersangkutan sesuai dengan kebutuhan informasi yang sedang berjalan, termasuk didalamnya wawancara mengenai bagaimana sistem informasi yang sedang berjalan, prosedur-prosedur yang ada dan tanggung jawab masing-masing bagian yang berhubungan dengan sistem informasi pengiriman barang. c. Pengamatan (Observasi) Penelitian ini dilakukan untuk memperoleh gambaran umum perusahaan dengan mengunjungi PT. Tiki Jalur Nugraha Ekakurir dan mengamati secara langsung obyek-obyek yang berhubungan dengan sistem informasi pengiriman barang diperusahaan.
112 d. Studi Dokumentasi Mempelajari dokumen yang terkait dengan sistem informasi pengiriman barang pada PT. Tiki Jalur Nugraha Ekakurir. e. Analisa Data Analisa data dilakukan dengan membandingkan data-data atau informasi yang diperoleh dengan teori-teori yang ada berlaku umum.
4.2 Penetapan Potensial Penilaian Resiko Semakin rendah persentasi maka tingkat keyakinan pengendalian semakin lemah, sehingga potensi resiko yang dihadapi semakin besar, dan sebaliknya. Auditor melakukan penatapan resiko pada masing-masing elemen pengendalian umum dan pengendalian aplikasi dengan 3 kategori : 1. Low Resiko yang dinilai jarang terjadi dan tidak dapat mempengaruhi operasi perusahaan ataupun sistem internal kontrol dalam suatu organisasi. 2. Medium Resiko yang dinilai jarang/sering terjadi tetapi dapat memberikan dampak yang tidak terlalu mempengaruhi operasi perusahaan dan sistem internal kontrol dalam organisasi. 3. High Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi kegiatan operasi perusahaan dan mengancam sistem internal kontrol organisasi.
113 4.3 Evaluasi Pengendalian Umum (General Controls ) 4.3.1 Pengendalian Manajemen Keamanan 4.3.1.1 Check List Pengendalian Manajemen Keamanan Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) Jawaban No
Pertanyaan Ya Tidak
Keterangan 1 Apakah komputer telah ditempatkan pada posisi yang aman dan tepat?
2 Apakah terdapat tempat khusus untuk mengamankan asset berupa data/informasi pengiriman barang yang penting?
3 Apakah terdapat kamera pengawas (CCTV) di lokasi yang penting ?
Kamera pengawas hanya dipasang disebagian ruangan 4 Apakah terdapat tabung pemadam kebakaran untuk mengatasi ancaman kebakaran (fire damage)?
5 Apakah bangunan tempat diletakkannya asset sistem informasi dibangun dengan konstruksi tahan panas?
114 6 Apakah ada larangan karyawan diperbolehkan membawa makanan dan minuman di dekat komputer?
7 Apakah hardware mempunyai penutup berupa kain pengaman ketika tidak digunakan?
Server dilindungi oleh rak 8 Untuk menstabilkan tegangan listrik, apakah perusahaan telah menggunakan : a. UPS (Uninteruptable Power Suply) b. Stabilizer
9 Apakah perusahaan memiliki genset yang bekerja secara otomatis saat listrik padam?
10 Apakah terdapat anti-virus di setiap komputer yang ada?
11 Apakah user melakukan pengecekan dengan antivirus sebelum meng-install atau menggunakan program/file?
12 Apakah pen-update-an anti-virus dilakukan secara berkala?
13 Apakah perusahaan menggunakan software yang bersih dan asli?
14 Apakah data-data yang ada pada perusahaan
115 telah di back-up dengan memadai? 15 Apakah dilakukan pengecekan terhadap latar belakang calon user sebelum diterima bekerja (analisis exposure)?
16 Apakah user diharuskan meng-input username dan password ketika meng-akses data?
17 Apakah terdapat pengamanan secara fisik (berupa penjaga keamanan/security) terhadap gangguan dari orang yang tidak bertanggungjawab (unauthorized intrusion)?
18 Apakah setiap tamu yang berkunjung wajib mengisi buku pengunjung?
19 Apakah asset perusahaan diasuransikan terhadap kemungkinan timbulnya ancaman kerusakan struktur (stuctural damage) karena terjadinya gempa, angin ribut, tanah longsor, kebakaran dan kecelakaan?
20 Apakah terdapat rencana pemulihan (disaster recovery plan) terhadap kemungkinan timbulnya bencana?
Tabel 4.1 Check List Pengendalian Manajemen Keamanan
116 4.3.1.2 Hasil Wawancara Pengendalian Manajemen Keamanan Berikut ini adalah hasil wawancara yang berhubungan dengan Pengendalian Manajemen Keamanan : Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) 1. Apakah disetiap komputer terdapat stabilizer atau UPS untuk menstabilkan tegangan listrik? Jawaban : Terdapat stabilizer atau UPS tetapi tidak disemua komputer. 2. Apakah setiap komputer yang ada dilengkapi dengan anti-virus? Andaikan ada anti-virus apa yang digunakan? Jawaban : Ada, anti-virus yang paling banyak digunakan adalah AVG 7.5. 3. Apakah dilakukan pengecekan alat pemadam kebakaran secara berkala? Jawaban : Ya, dilakukan pengecekan secara berkala oleh security dan petugas pemadam kebakaran. 4. Apakah terdapat alarm kebakaran apabila terjadinya kebakaran? Jawaban : Tidak ada alarm kebakaran apabila terjadi kebakaran. 5. Apakah terdapat penjaga (security) dalam perusahaan untuk mencegah adanya pihak luar yang masuk? Jawaban : Terdapat penjaga (security) dalam perusahaan sebanyak tiga orang.
117 4.3.1.3 Hasil Pengamatan Pengendalian Manajemen Keamanan Berikut ini adalah hasil pengamatan dari Pengendalian Manajemen Keamanan yang dilakukan oleh auditor : 1. Memastikan adanya kamera pengawas (CCTV) disebagian ruangan. 2. Memastikan terdapat tabung pemadam kebakaran di gedung PT. Tiki JNE. 3. Masih adanya karyawan yang membawa makanan dan minuman didekat komputer. 4. Memastikan setiap tamu yang berkunjung wajib mengisi buku pengunjung.
4.3.1.4 Temuan Masalah Pengendalian Manajemen Keamanan 1. Tidak ditemukannya kamera pengawas di semua lokasi yang penting, hanya terdapat di beberapa ruangan. Kriteria : Menurut Weber (1999, p260) bahwa salah satu upaya untuk menghindari adanya penyusup yaitu terdapat kamera keamanan/CCTV di tempat yang strategis. Resiko : Perusahaan akan sulit dalam mendeteksi kegiatan- kegiatan yang dapat menimbulkan kerugian bagi perusahaan. Rekomendasi : Diruang kerja atau diruangan tempat penyimpanan asset perusahaan yang belum ada kamera pengawas diberi kamera pengawas minimal ada 1 kamera pengawas. Risk Level : High.
118 2. Bangunan tempat diletakkannya asset sistem informasi tidak tahan panas Kriteria : Menurut Weber (1999, p257) bahwa salah satu upaya pengamanan ancaman kebakaran yaitu bangunan terbuat dari bahan tahan api, khususnya di tempat aset sistem informasi berada. Resiko : Asset sistem informasi dapat mengalami kerusakan atau terbakar karena panas. Rekomendasi : Tempat diletakkannya asset sistem informasi sebaiknya dibangun dengan konstruksi tahan panas. Risk Level : High. 3. Karyawan diperbolehkan membawa makanan dan minuman didekat komputer Kriteria : Menurut Weber (1999, p260) bahwa salah satu upaya untuk mengatasi polusi yaitu melarang pegawai meletakkan makanan dan minuman di dekat perangkat keras. Resiko : Minuman yang tumpah dapat menyebabkan arus pendek pada peralatan komputer dan makanan yang jatuh pada peralatan komputer dapat menyebabkan datangnya serangga atau dapat merusak hardware/peralatan komputer. Rekomendasi : Sebaiknya karyawan tidak diperbolehkan membawa makanan atau minuman di dekat komputer dan juga perusahaan menyediakan fasilitas ruang kantin bagi karyawan. Risk Level : Medium.
119 4. Hardware ketika tidak digunakan tidak ditutup kain pengaman tetapi server hanya dilindungi oleh rak Kriteria : Menurut Weber (1999, p258) bahwa salah satu upaya pengamanan untuk ancaman air yaitu menutup perangkat keras dengan bahan tahan air apabila tidak digunakan. Resiko : Air dapat masuk sehingga dapat menyebabkan kerusakan pada perangkat keras/hardware. Rekomendasi : Hardware ditutup dengan penutup yang tahan air sewaktu komputer tidak digunakan. Risk Level : Medium. 5. Tidak terdapat alarm kebakaran di gedung PT. Tiki JNE. Kriteria : Menurut Weber (1999, p257) bahwa salah satu upaya pengamanan untuk ancaman kebakaran yaitu terdapat alarm kebakaran manual dan otomatis diletakkan di tempat yang strategis, khususnya di tempat aset sistem informasi berada. Resiko : Tidak adanya peringatan apabila terjadi kebakaran. Rekomendasi : Memasang alarm kebakaran di tempat yang strategis, khususnya di tempat aset sistem informasi berada. Risk Level : Low.
120 4.3.2 Pengendalian Manajemen Operasional 4.3.2.1 Check List Pengendalian Manajemen Operasional Koresponden : Iyus Rustandi (Supervisor Outbouund) Muhammad Rifai (Asisten IT Manajer) Jawaban No
Pertanyaan Ya Tidak
Keterangan 1 Apakah dilakukan pemeliharaan (maintenance) terhadap hardware?
6 bulan sekali 2 Apakah penggunaan hardware dan software mempunyai penjadwalan yang sistematis?
3 Apakah tersedia media khusus penyimpanan data?
4 Apakah media penyimpanan ditempatkan di lokasi yang aman?
5 Apakah dilakukan pemeliharaan (maintenance) terhadap software?
6 Apakah PT. TIKI JNE mempunyai jaringan (network) berupa : a. LAN (Local Area Network) b. WAN (Wide Area Network)
121 7 Apakah tinggi meja komputer, angle monitor, dan tinggi kursi telah disesuaikan dengan user/operator komputer sehingga memudahkan dalam peng-input-an data ke dalam sistem komputer?
8 Apakah terdapat pelatihan kepada setiap calon user yang akan meng-input data?
Tabel 4.2 Check List Pengendalian Manajemen Operasional
4.3.2.2 Hasil Wawancara Pengendalian Manajemen Operasional Berikut ini adalah hasil wawancara yang berhubungan dengan Pengendalian Manajemen Operasional : Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) 1. Bagaimana cara perusahaan memonitoring jaringan LAN/WAN? Jawaban : Dengan memakai aplikasi network monitoring system. 2. Apakah semua karyawan dapat mengakses data dan informasi melalui jaringan LAN/WAN? Jawaban : Tidak semua karyawan, hanya karyawan departemen IT dan user tertentu yang dapat mengakses data dan informasi melalui jaringan LAN/WAN. 3. Apakah setiap karyawan diwajibkan memakai kartu identitas pegawai apabila memasuki area gedung kantor?
122 Jawaban : Seharusnya iya, tetapi dalam kenyataannya hanya pegawai yang berhubungan dengan customer yang wajib memakai kartu identitas pegawai. 4. Apakah terdapat pemisahan tugas dan tanggung jawab disetiap bagian atau departemen dalam PT. Tiki Jalur Nugraha Ekakurir? Jawaban : Ya, terdapat pemisahan tugas dan tanggung jawab disetiap bagian departemen dalam PT. Tiki Jalur Nugraha Ekakurir. 5. Bagaimanakah kebijakan terhadap pembayaran kredit? Berapa lama jangka waktunya ? dan apakah dilakukan validasi pada aplikasi? Jawaban : Kebijakan terhadap pembayaran kredit dibayar satu minggu setelah invoice diterima oleh costumer, apabila tidak dibayar sampai tiga kali invoice keluar, maka pembayaran harus dilakukan secara cash dan account costumer tersebut akan dibekukan. Iya, dilakukan validasi pada aplikasi pembayaran kredit.
4.3.2.3 Hasil Pengamatan Pengendalian Manajemen Operasional Berikut ini adalah hasil pengamatan dari Pengendalian Manajemen Keamanan yang dilakukan oleh auditor : 1. Memastikan terdapat media khusus penyimpanan data. 2. Memastikan PT. Tiki JNE mempunyai jaringan LAN dan WAN.
123 3. Memastikan tinggi meja komputer, angle monitor, dan tinggi kursi telah disesuaikan dengan user/operator komputer sehingga memudahkan dalam peng-input-an data ke dalam sistem komputer.
4.3.2.4 Temuan Masalah Pengendalian Manajemen Operasional Tidak ditemukannya temuan masalah dalam evaluasi pengendalian manajemen operasional.
4.4 Evaluasi Pengendalian Aplikasi (Application Controls) 4.4.1 Pengendalian Batasan 4.4.1.1 Check List Pengendalian Batasan Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) Jawaban No
Pertanyaan Ya Tidak
Keterangan 1 Apakah terdapat batasan hak untuk mengakses aplikasi pengiriman barang?
Dengan cara memasukkan username dan password 2 Apakah aplikasi pengiriman barang dilengkapi dengan login akses ?
3 Apakah diharuskan ada otentifikasi terhadap user ? Jika ya, apakah dalam bentuk :
124 a. Password b. Sidik Jari c. PIN d. lainnya
4 Apakah ada peringatan dari sistem jika password yang dimasukkan salah ?
5 Apakah terdapat fasilitas lock jika password yang salah digunakan berulang kali ?
6 Apakah password sering diganti untuk keamanan data?
Apabila ada kecurigaan 7 Apakah sistem memiliki kemampuan log-off secara otomatis pada saat sistem tidak digunakan dalam waktu tertentu
8 Apakah user ID dan password akan dihapus? apabila karyawan yang bersangkutan telah keluar
Tabel 4.3 Check List Pengendalian Batasan
4.4.1.2 Hasil Wawancara Pengendalian Batasan Berikut ini adalah hasil wawancara yang berhubungan dengan Pengendalian Batasan : Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer)
125 1. Apakah password sering diganti secara berkala untuk keamanan data? Jawaban : Tidak secara berkala, password hanya akan diganti apabila ada kecurigaan password tersebut telah diketahui oleh orang yang tidak berhak. 2. Apakah password yang digunakan pada aplikasi sistem informasi pengiriman barang ditentukan oleh user atau oleh perusahaan? Jawaban : Karyawan yang baru masuk perusahaan akan diberikan password oleh perusahaan, tetapi orang yang sudah lama dalam perusahaan dapat menentukan password sendiri. 3. Apakah user harus menggunakan kombinasi angka dan huruf dalam menentukan password? Jawaban : Tidak ada keharusan user harus menggunakan kombinasi angka dan huruf dalam menentukan password. 4. Apakah terdapat ketentuan mengenai jumlah digit password? Jawaban : Ya, minimal 1 karakter, maksimal 15 karakter. 5. Apakah setiap user memiliki user id dan password yang berbeda dalam mengakses aplikasi sistem informasi pengiriman barang? Jawaban : Ya, setiap user memiliki user id dan password yang berbeda dalam mengakses aplikasi sistem informasi pengiriman barang.
126 4.4.1.3 Hasil Pengamatan Pengendalian Batasan Berikut ini adalah hasil pengamatan dari Pengendalian Batasan yang dilakukan oleh auditor : 1. Memastikan aplikasi pengiriman barang dilengkapi dengan login akses. 2. Menggunakan password dalam otentifikasi terhadap user. 3. Memastikan tidak ada keharusan user harus menggunakan kombinasi angka dan huruf dalam menentukan password.
4.4.1.4 Temuan Masalah Pengendalian Batasan 1. Tidak terdapat fasilitas lock jika password yang salah digunakan berulang kali. Kriteria : Menurut Weber (1999, p395), Pada saat PIN dimasukkan, biasanya pengguna diberikan sejumlah kesempatan sebelum kartu ditahan dan account diblokir apabila PIN yang dimasukkan salah. Resiko : User dapat memasukkan password berulang-ulang kali sehingga dapat terjadi penyalahgunaan atas akses dan orang yang tidak berkepentingan dapat mencoba berulang-ulang sampai mendapatkan nama dan password yang benar. Rekomendasi : Sebaiknya terdapat fasilitas lock minimal 3 kali kesalahan dalam memasukkan password. Risk Level : High.
127 2. Password tidak sering diganti untuk keamanan data. Kriteria : Menurut Weber (1999, p391), PIN adalah teknik yang digunakan secara luas untuk mengidentifikasi orang. Pengendalian terhadap PIN dapat dilakukan salah satunya dengan cara melakukan perubahan PIN secara berkala. Resiko : Password dapat diketahui oleh orang-orang yang tidak berkepentingan sehingga dapat terjadi penyalahgunaan atas akses. Rekomendasi : Sebaiknya password diganti secara berkala, minimal satu bulan sekali. Risk Level : Medium. 3. Sistem tidak memiliki kemampuan log-off secara otomatis pada saat sistem tidak digunakan dalam waktu tertentu. Kriteria : Menurut Weber (1999, p378), bahwa pengendalian akses membatasi penggunaan sistem informasi hanya kepada pengguna yang berwenang. Resiko : Sistem dapat digunakan oleh orang yang tidak berhak mengakses aplikasi tersebut sewaktu tidak digunakan, sehingga dapat terjadi penyalahgunaan atas akses. Rekomendasi : Sebaiknya sistem dilengkapi dengan fasilitas log- off sewaktu tidak digunakan. Log-off akan dijalankan apabila sistem tidak digunakan selama 10-15 menit. Risk Level : Medium.
128 4. Ketentuan minimal jumlah digit password hanya 1 karakter. Kriteria : Menurut Weber (1999, p392), bahwa apabila jumlah minimal digit PIN terlalu sedikit akan terdapat kemungkinan PIN tersebut diketahui oleh pihak yang tidak berwenang. Resiko : Password akan mudah diketahui oleh orang yang tidak berhak mengakses aplikasi sistem apabila user hanya menentukan password sebanyak 1 karakter. Rekomendasi : Ketentuan minimal jumlah digit password 4 karakter. Risk Level : Low.
4.4.2 Pengendalian Masukan 4.4.2.1 Check List Pengendalian Masukan Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer)
Jawaban No
Pertanyaan Ya Tidak
Keterangan 1 Apakah tampilan pada input sudah baik, jelas dan memudahkan proses peng-input-an?
2 Apakah peng-input-an dilakukan oleh karyawan yang telah ditunjuk oleh pimpinan perusahaan?
3 Apakah setiap user diberi pelatihan agar dapat
129 dengan mudah dalam meng-input data pengiriman barang?
4 Program yang digunakan : a. Visual Basic b. Borlan C c. Oracle 5 Metode peng-input-an data pengiriman barang yang digunakan :
a. Keyboarding
b. Direct Reading Image Reader
c. Touch screen
d. Barcode
6 Apakah terdapat menu konfirmasi sesaat sebelum data disimpan?
7 Apakah terdapat sebuah buzzer berupa error massage bila terjadi kesalahan dalam peng- input-an?
8 Apakah terdapat keterangan tanggal dan waktu disetiap kegiatan peng-input-an data pengiriman
130 barang? Apakah sistem dilengkapi dengan help facility yang membantu user dalam penginputan data? 9
10 Apakah ada backup disetiap dokumen yang telah diinput?
Tabel 4.4 Check List Pengendalian Masukan
4.4.2.2 Hasil Wawancara Pengendalian Masukan Berikut ini adalah hasil wawancara yang berhubungan dengan Pengendalian Masukan : Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) 1. Apakah user dapat mengakses sistem aplikasi untuk memasukkan data ketika server tidak aktif? Jawaban : User tidak bisa mengakses sistem aplikasi untuk memasukkan data ketika server tidak aktif. 2. Apakah data pengiriman barang yang diterima langsung dimasukkan kedalam database? Jawaban : Ya, data pengiriman barang yang diterima langsung dimasukkan kedalam database. 3. Apakah user diberikan pelatihan agar dapat dengan mudah meng- input data pengiriman barang kedalam komputer? Jawaban : Iya, user diberikan pelatihan tentang peng-input-an data oleh para senior atau tim implementasi selama satu-dua minggu.
131 4. Apakah terdapat sistem Autosave pada saat data dimasukkan? Jawaban : Ya, terdapat sistem Autosave pada saat data dimasukkan. 5. Bagaimana cara validasi input terhadap harga yang telah ditentukan? Jawaban : Pada saat pengisian consignment note, lalu kota tujuan dan berapa berat barang ditentukan, maka akan keluar harga yg akan dibayar secara otomatis pada kolom amount dimana harga tersebut diambil dari master price list.
4.4.2.3 Hasil Pengamatan Pengendalian Masukan Berikut ini adalah hasil pengamatan dari pengendalian masukan yang dilakukan oleh auditor : 1. Memastikan tampilan pada input sistem pengiriman barang sudah baik, jelas dan memudahkan proses peng-input-an. 2. Program Oracle digunakan dalam sistem informasi pengiriman barang pada PT. Tiki JNE. 3. Metode peng-input-an dilakukan dengan keyboarding dan barcode.
132
4.4.2.4 Temuan Masalah Pengendalian Masukan 1. Sistem tidak dilengkapi dengan Help Facility Kriteria : Menurut Weber (1999, p431), bahwa Help Facility dapat menyediakan saran atau informasi tindakan yang harus diambil saat memasukkan data. Resiko : Apabila user mengalami kesulitan dalam meng-input data, user tidak dapat diberi petunjuk untuk mengatasi kesulitan tersebut. Rekomendasi : Aplikasi dilengkapi dengan Help Facility agar dapat memudahkan user apabila mengalami kesulitan dalam meng-input data. Risk Level : Low.
4.4.3 Pengendalian Keluaran 4.4.3.1 Check List Pengendalian Keluaran Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer)
Jawaban No
Pertanyaan Ya Tidak
Keterangan 1 Apakah setiap output yang dihasilkan memiliki back-up data?
133 2 Apakah setiap output telah disimpan pada tempat yang aman dan mudah dijangkau?
3 Apakah terdapat otentifikasi user terhadap penggunaan output?
4 Apakah pendistribusian output kepada pihak yang berwenang sudah tepat waktu?
5 Apakah laporan yang dihasilkan dicantumkan nama laporan, waktu dan tanggal laporan tersebut dibuat?
6 Apakah laporan yang dihasilkan telah dicantumkan jumlah lembar laporan dan halaman laporan?
7 Apakah laporan yang dihasilkan dicantumkan user yang terkait dengan pencetakan laporan?
8 Apakah setiap output yang dihasilkan dapat langsung disimpan ke dalam server?
9 Apakah terdapat review terhadap output yang dihasilkan?
10 Apakah printer ditempatkan pada lokasi yang aman dan mudah terjangkau?
11 Apakah selalu dilakukan perawatan (maintenance) pada printer secara berkala?
12 Apakah laporan dapat di cetak kapan saja?
134 Tabel 4.5 Check List Pengendalian Keluaran 4.4.3.2 Hasil Wawancara Pengendalian Keluaran Berikut ini adalah hasil wawancara yang berhubungan dengan Pengendalian Keluaran : Koresponden : Iyus Rustandi (Supervisor Outbound) Muhammad Rifai (Asisten IT Manajer) 1. Apakah output pengiriman barang yang sudah tidak diperlukan akan dihancurkan? Jawaban : Output yang sudah tidak diperlukan akan dikirim ke gudang arsip di Pluit dan akan dihancurkan dalam jangka waktu satu tahun. 2. Apakah output didistribusikan pada user tepat waktu? Jawaban : Sebagian besar sudah tepat waktu, kira-kira 90%. 3. Apakah perusahaan menggunakan media penyimpanan khusus untuk menyimpan output? Jawaban : Perusahaan menggunakan media harddisk eksternal untuk menyimpan output. 4. Apakah terdapat sistem Autosave dalam aplikasi pengiriman barang untuk menyimpan hasil output? Jawaban : Tidak terdapat sistem Autosave dalam aplikasi pengiriman barang untuk menyimpan hasil output.
4.4.3.3 Hasil Pengamatan Pengendalian Keluaran
135 Berikut ini adalah hasil pengamatan dari Pengendalian Keluaran yang dilakukan oleh auditor : 1. Memastikan setiap output dihasilkan telah disimpan pada tempat yang aman dan mudah dijangkau. 2. Memastikan laporan yang dihasilkan tercantum nama laporan, waktu dan tanggal laporan tersebut dibuat. 3. Memastikan printer ditempatkan pada lokasi yang aman dan mudah terjangkau dari user.
4.4.3.4 Temuan Masalah Pengendalian Keluaran 1. Tidak dilakukan perawatan atau maintenance pada printer secara berkala. Kriteria : Menurut Weber (1999, p615), printer merupakan hardware yang penting untuk menghasilkan output yang dibutuhkan oleh perusahaan. Resiko : Printer akan cepat rusak dan tidak bekerja secara maksimal. Rekomendasi : Melakukan perawatan atau maintenance pada printer secara berkala. Risk Level : High.
136
4.5 Laporan Audit
LAPORAN HASIL AUDIT SISTEM INFORMASI PENGIRIMAN BARANG PADA PT. TIKI JALUR NUGRAHA EKAKURIR _______________________________________________________________________ Laporan Audit Sistem Informasi Pengiriman Barang pada PT. Tiki Jalur Nugraha Ekakurir Kepada : PT. Tiki Jalur Nugraha Ekakurir Perihal : Laporan Hasil Audit Sistem Informasi Pengiriman Barang Periode : Februari 2008 Juni 2008
Oleh :
Irfan Bahagia (0800752242) Jackson Carlos (0800743130)
Kelas/Kelompok : 08PAA / 05
137
I. Tujuan Tujuan dari pelaksanaan audit ini adalah sebagai berikut : 1. Mengevaluasi bahwa Sistem Informasi Pengiriman Barang yang sedang berjalan sudah sesuai dengan prosedur. 2. Mengidentifikasi dan menganalisa kelemahan dalam penerapan pengendalian internal yang mencangkup pengendalian umum dan pengendalian aplikasi serta memberikan rekomendasi atas masalah tersebut. 3. Menghasilkan laporan evaluasi bagi PT.Tiki Jalur Nugraha Ekakurir.
II. Ruang Lingkup Ruang lingkup dibatasi pada pengendalian terhadap prosedur dan proses pelaksanaan sistem pengiriman barang. Pengendalian terhadap prosedur dan proses ini difokuskan pada : 1. Sistem informasi pengiriman barang di PT. Tiki Jalur Nugraha Ekakurir khususnya sistem informasi pengiriman barang outbound melalui udara secara langsung ke tujuan kota utama yang costumernya non-reguler atau reguler yang kehabisan connote. 2. Pengendalian manajemen yaitu pengendalian manajemen operasional (Operational Management Control) dan pengendalian manajemen keamanan (Security Management Control).
138 3. Pengendalian aplikasi yaitu pengendalian batasan (Boundary Control), pengendalan masukan (Input Control) dan pengendalian keluaran (Output Control).
III. Metode Pengumpulan Data Metode pengumpulan data yang digunakan adalah : 1. Audit Check List Membuat daftar pertanyaan yang berhubungan dengan masalah yang dihadapi disertai dengan pilihan jawaban yang diajukan kepada karyawan yang bersangkutan untuk mengidentifikasi masalah. 2. Wawancara Merupakan teknik pengumpulan data dengan berkomunikasi secara langsung dengan pihak yang terkait untuk memperoleh informasi serta keterangan yang lebih mendetail mengenai sistem yang sedang berjalan 3. Pengamatan (Observasi). Merupakan teknik pengamatan secara langsung terhadap pola perilaku subject, object, atau kejadian yang berhubungan dengan kegiatan sistem yang sedang berjalan pada PT. Tiki Jalur Nugraha Ekakurir. 4. Studi Dokumentasi. Mempelajari dokumen yang terkait dengan sistem informasi pengiriman barang pada PT. Tiki Jalur Nugraha Ekakurir.
IV. Metode Audit
139 Metode audit yang digunakan adalah Audit Around The Computer yang tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem.
V. Hasil Audit 1. Evaluasi Hasil Temuan pada Pengendalian Umum Terhadap Manajemen Keamanan a) Tidak ditemukannya kamera pengawas di semua lokasi yang penting, hanya terdapat di beberapa ruangan. Resiko : Perusahaan akan sulit dalam mendeteksi kegiatan-kegiatan yang dapat menimbulkan kerugian bagi perusahaan. Rekomendasi : Diruang kerja atau diruangan tempat penyimpanan asset perusahaan yang belum ada kamera pengawas diberi kamera pengawas minimal ada 1 kamera pengawas. Risk Level : High. b) Bangunan tempat diletakkannya asset sistem informasi tidak tahan panas. Resiko : Asset sistem informasi dapat mengalami kerusakan atau terbakar karena panas. Rekomendasi : Tempat diletakkannya asset sistem informasi sebaiknya dibangun dengan konstruksi tahan panas. Risk Level : High. c) Karyawan diperbolehkan membawa makanan dan minuman didekat komputer.
140 Resiko : Minuman yang tumpah dapat menyebabkan arus pendek pada peralatan komputer dan makanan yang jatuh pada peralatan komputer dapat menyebabkan datangnya serangga atau dapat merusak hardware/peralatan komputer. Rekomendasi : Sebaiknya karyawan tidak diperbolehkan membawa makanan atau minuman di dekat komputer dan juga perusahaan menyediakan fasilitas ruang kantin bagi karyawan. Risk Level : Medium. d) Hardware ketika tidak digunakan tidak ditutup kain pengaman tetapi server hanya dilindungi oleh rak. Resiko : Air dapat masuk sehingga dapat menyebabkan kerusakan pada perangkat keras/hardware. Rekomendasi : Hardware ditutup dengan penutup yang tahan air sewaktu komputer tidak digunakan. Risk Level : Medium. e) Tidak terdapat alarm kebakaran di gedung PT. Tiki JNE. Resiko : Tidak adanya peringatan apabila terjadi kebakaran. Rekomendasi : Memasang alarm kebakaran di tempat yang strategis, khususnya di tempat aset sistem informasi berada. Risk Level : Low. 2. Evaluasi Hasil Temuan pada Pengendalian Umum Terhadap Manajemen Operasional Tidak ditemukannya temuan masalah dalam evaluasi pengendalian manajemen operasional.
141
3. Evaluasi Hasil Temuan pada Pengendalian Aplikasi Batasan a) Tidak terdapat fasilitas lock jika password yang salah digunakan berulang kali. Resiko : User dapat memasukkan password berulang-ulang kali sehingga dapat terjadi penyalahgunaan atas akses dan orang yang tidak berkepentingan dapat mencoba berulang-ulang sampai mendapatkan nama dan password yang benar. Rekomendasi : Sebaiknya terdapat fasilitas lock minimal 3 kali kesalahan dalam memasukkan password. Risk Level : High. b) Password tidak sering diganti untuk keamanan data Resiko : Password dapat diketahui oleh orang-orang yang tidak berkepentingan sehinga dapat terjadi penyalahgunaan atas akses. Rekomendasi : Sebaiknya password diganti secara berkala, minimal satu bulan sekali. Risk Level : Medium. c) Sistem tidak memiliki kemampuan log-off secara otomatis pada saat sistem tidak digunakan dalam waktu tertentu
142 Resiko : Sistem dapat digunakan oleh orang yang tidak berhak mengakses aplikasi tersebut sewaktu tidak digunakan, sehingga dapat terjadi penyalahgunaan atas akses. Rekomendasi : Sebaiknya sistem dilengkapi dengan fasilitas log-off sewaktu tidak digunakan. Log-off akan dijalankan apabila sistem tidak digunakan selama 10-15 menit. Risk Level : Medium. d) Ketentuan minimal jumlah digit password hanya 1 karakter. Resiko : Password akan mudah diketahui oleh orang yang tidak berhak mengakses aplikasi sistem apabila user hanya menentukan password sebanyak 1 karakter. Rekomendasi : Ketentuan minimal jumlah digit password 4 karakter. Risk Level : Low. 4. Evaluasi Hasil Temuan pada Pengendalian Aplikasi Masukan Sistem tidak dilengkapi dengan Help Facility. Resiko : Apabila user mengalami kesulitan dalam meng-input data, user tidak dapat diberi petunjuk untuk mengatasi kesulitan tersebut Rekomendasi : Aplikasi dilengkapi dengan Help Facility agar dapat memudahkan user apabila mengalami kesulitan dalam menginput data. Risk Level : Low. 5. Evaluasi Hasil Temuan pada Pengendalian Aplikasi Keluaran Tidak dilakukan perawatan atau maintenance pada printer secara berkala. Resiko : Printer akan cepat rusak dan tidak bekerja secara maksimal.
143 Rekomendasi : Melakukan perawatan atau maintenance pada printer secara berkala. Risk Level : Medium.