Pelaksanaan Pemeriksaan Sistem Informasi Pada PT Air

UNIVERSITAS TARUMANAGARA
PROGRAM PASCA SARJANA

PROGRAM STUDI MAGISTER MANAJEMEN
TESIS
PELAKSANAAN PEMERIKSAAN SISTEM

INFORMASI PADA PT AIR
DIAJUKAN OLEH:
ALFRED FEBIAN GANI
117.04.3001
UNTUK MEMENUHI SEBAGIAN DARI SYARAT-SYARAT

GUNA MENCAPAI GELAR MAGISTER MANAJEMEN
2005
TANDA PERSETUJUAN TESIS
NAMA
ALFRED FEBIAN GANI
NIM
117.04.3001
KONSENTRASI
MANAJEMEN KEUANGAN
JUDUL TESIS

Tanggal:
Pembimbing Tesis : Ibu Ir. Tufrida M. Hasyim, MM, MHSM
TANDA PERSETUJUAN TESIS
NAMA
ALFRED FEBIAN GANI
NIM
117.04.3001
KONSENTRASI
MANAJEMEN KEUANGAN
JUDUL TESIS

Tanggal:
Januari 2006
Ketua Panitia:
Dr. Suparman Ibrahim Abdullah, MSc
Tanggal:
Januari 2006
Anggota Panitia: Taridi, SE, MBA
Tanggal:
Januari 2006
Anggota Panitia: Ir. Tufrida M. Hasyim, MM, MHSM
DAFTAR ISI
Halaman
HALAMAN JUDUL i
HALAMAN PERSETUJUAN . ii
KATA PENGANTAR .. iii
RINGKASAN EKSEKUTIF . v
DAFTAR ISI . vi
DAFTAR LAMPIRAN . x
DAFTAR GAMBAR . xi
BAB I
PENDAHULUAN .. 1 - 10
1.1. Latar Belakang 1
1.2. Perumusan Permasalahan .. 6
1.3. Tujuan Penelitian .. 6
1.4. Manfaat Penelitian 7
1.5. Ruang Lingkup Penelitian . 8
1.6. Kerangka penulisan .. 9
BAB II
LANDASAN TEORI . 11 - 36
2.1. Pemeriksaan Akuntan 11
2.2. Pemeriksaan Sistem Informasi .. 14
2.3. Konsep-Konsep Pemeriksaan SIK 15
2.4. Pengendalian Intern dalam Lingkungan SIK
vi
secara On-Line .. 17
2.5. Pengendalian Intern Lingkungan SIK ... 18
2.6. Pengendalian Umum . 21
2.7. Desain Pengendalian Umum SIK . 25
2.8. Kecurangan dalam Organisasi PDE ... 27
2.9. Pengendalian Intern Dalam Lingkungan Database ... 28
2.10. Operasional Komputer .. 31
2.11. Kelangsungan Bisnis . 32
BAB III
METODE PENELITIAN ... 37 - 47

3.1. Pemilihan Obyek Penelitian .. 37
3.2. Metode dan Desain Penelitian ... 38
3.3. Jenis Data ... 38
3.4. Tehnik Pengumpulan Data 40
3.5. Rencana Persiapan Pengumpulan Data . 42
3.6. Tehnik Pengolahan Data 44
3.7. Elemen-elemen yang akan dievaluasi ... 46
BAB IV
GAMBARAN UMUM PERUSAHAAN ... 48 - 60

4.1. Sejarah Singkat Perusahaan .. 48
4.2. Lokasi dan Bidang Usaha Perusahaan .. 49
4.3. Struktur Organisasi dan Uraian Tugas .. 51
4.3.1. Struktur Organisasi 51
vii
4.3.2. Uraian Tugas . 51
BAB V
EVALUASI DAN PEMBAHASAN 61 - 115

5.1. Pengendalian Umum . 62
5.1.1. Pengendalian Organisasi ... 63
5.1.2. Pengendalian Administratif ... 71
5.1.3. Pengendalian Pengembangan dan
Pemeliharaan Sistem . 88
5.1.4. Pengendalian Hardware dan Software .. 91
5.1.5. Pengendalian Dokumentasi ... 92
5.1.6. Pengendalian Keamanan ... 94
5.2. Pengendalian Umum secara On-Line 101
5.2.1. Pendekatan Baku untuk untuk Pengembangan dan
Pemeliharaan Program Aplikasi 103
5.2.2. Kepemilikan Data .. 105
5.2.3. Akses ke Database 106
5.2.4. Pemisahan Tugas ... 107
5.3. Dukungan Operasional Lingkungan SIK terhadap
Kelangsungan Bisnis Perusahaan ... 108
5.3.1. Resiko Gangguan Bisnis 108
5.3.2. Kelangsungan Bisnis . 109
5.3.3. Frekuensi Back-up 109
5.3.4. Komposisi Back-up .. 111
viii
5.3.5. Lokasi Back-up . 113

5.3.6. Test Kemampuan Pemulihan . 113
BAB VI
KESIMPULAN DAN SARAN ... 116 - 123

6.1. Kesimpulan . 116
6.2. Saran ... 118
DAFTAR PUSTAKA. 124
ix
DAFTAR LAMPIRAN
LAMPIRAN LAMPIRAN . L i - xxiv

LAMPIRAN 1
METODOLOGI PENGEMBANGAN SISTEM L i
LAMPIRAN II
STRUKTUR ORGANISASI PT. AIR

(Sumber: PT. AIR) .. L ii
LAMPIRAN III
SISTEM AREAL NETWORK PADA PT. AIR

(Sumber: Fox AbiPro Software - Manual Book) . L iii
LAMPIRAN IV
DAFTAR LEVEL OTORISASI PASSWORD

(Sumber: PT. AIR System Admin, IT Div.) .. L iv
LAMPIRAN V
DAFTAR KUESIONER COMPLIANCE TEST

DIVISI IT L v
LAMPIRAN VI
DAFTAR KUESIONER COMPLIANCE TEST

DIVISI FINANCE & ACCOUNTING .. L xiv
LAMPIRAN VII
LOCAL SECURITY POLICY (Sumber: PT. AIR

System Admin, IT Div.) . L xxi
LAMPIRAN VIII
SKEDUL PEMERIKSAAN SIK PT.AIR ... L xxiv
DAFTAR GAMBAR
Gambar 1.
Contoh SPT Tahunan PPh psl.21, form 1721 A1 untuk Karyawan

dengan nama Alvin, staff F&A (data entry) Bab 5 halaman72.
xi
EXECUTIVE SUMMARY
The purpose of this research is to evaluate the process of information systems

auditing in PT. AIR. The research problems in this study are: 1) Is the computerized
information systems general control adequate in PT. AIR; 2) Is the computerized
information systems general control On-Line adequate in PT. AIR; 3) How far the
computerized information systems operational environment support the business
continuity.
The research used a survey technique using questionnaire, where the research
environment is a field setting and the ability researcher to influence the research
variables is ex post facto, with cross sectional time dimension.
The result of the research show as follows: 1) The computerized information
systems general control in PT. AIR is adequate; 2) The computerized information
systems general control On-Line in PT. AIR is also adequate; 3) The computerized
information systems operational environment is adequate to support the business
continuity.
To improve the general control in PT. AIR, the company need to do corrective actions
such as: control of delegation authority, build a structured documentation, employees
competencies, and scientific based for program development method.
Keywords: Auditing, Information System, General Control, Business Continuity.
RINGKASAN EKSEKUTIF
Tujuan penelitian ini adalah untuk mengevaluasi pelaksanaan pemeriksaan

sistem informasi pada PT. AIR. Perumusan masalah dalam penelitian ini adalah: 1)
Apakah Pengendalian Umum lingkungan sistem informasi komputerisasi (SIK) PT. AIR
telah memadai; 2) Apakah Pengendalian Umum SIK secara On-Line PT. AIR telah
memadai; 3) Sejauh mana Operasional lingkungan SIK PT. AIR telah mendukung
kelangsungan bisnis perusahaan.
Jenis penelitian yang digunakan dalam penelitian ini adalah survey dengan
menggunakan daftar pertanyaan penelitian (questionnaire), di mana lingkungan
penelitiannya adalah lapangan (a field setting) dan kemampuan peneliti untuk
mempengaruhi variabel dalam penelitian ini adalah ex post facto, dengan dimensi waktu
penelitian cross-sectional. Sumber data dalam penelitian ini adalah data primer dan data
sekunder, dan untuk analisis data mengunakan metode deskriptif analisis kualitatif.
Penelitian menunjukkan hasil sebagai berikut: 1) Pengendalian Umum (General
Control) lingkungan Sistem Informasi Komputerisasi (SIK) PT. AIR pada dasarnya telah
cukup memadai, namun untuk lebih meningkatkan pelaksanaan pengendalian umum
secara keseluruhan, perlu diadakan penyempurnaan terutama dalam bidang administrasi
komputerisasi yang meliputi: pendelegasian wewenang (otorisasi), dokumentasi
terstruktur, peningkatan kompetensi karyawan, dan pengendalian keamanan secara fisik;
2) Pengendalian Umum Sistem Iinformasi Komputerisasi (SIK) secara On-Line pada PT.
AIR pada dasarnya telah cukup memadai untuk pelaksanaan pengendalian intern sistem
manajemen database (DBMS). Hal-hal yang perlu diperhatikan untuk meningkatkan
pengendalian intern tersebut diantaranya adalah: perencanaan metode baku untuk
pengembangan program yang belum dimiliki oleh PT. AIR serta pengawasan
penggunaan password guna terselenggaranya sistem keamanan komputerisasi yang
optimal; 3) Operasional Lingkungan Sistem Informasi Komputerisasi PT. AIR secara
umum telah mendukung kelangsungan bisnis perusahaan secara keseluruhan. Dukungan
operasional lingkungan sistem informasi komputerisasi akan meningkat apabila
perusahaan melakukan langkah-langkah perbaikan sebagai berikut: melakukan uji coba
pemulihan terhadap backup yang telah dilakukan dan dokumentasi untuk rencana
kelangsungan bisnis secara memadai.
Kata Kunci:Pemeriksaan, Sistem Informasi, Pengendalian Umum, Kelangsungan Bisnis.
KATA PENGANTAR
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa yang telah
memimpin dan menyertai penulis sejak memulai kuliah hingga menyelesaikan tesis ini.
Tesis ini disusun untuk memenuhi salah satu persyaratan dalam menyelesaikan
pendidikan Strata II (S2) Program Studi Magister Manajemen, Jurusan Manajemen
Keuangan, Universitas Tarumanagara.
Tesis ini tidak akan selesai dengan baik tanpa bantuan semua pihak yang telah
turut serta membantu penulis dalam menyusun tesis ini. Oleh karena itu, pada
kesempatan ini, penulis ingin menyampaikan terima kasih dan penghargaan yang
sebesar-besarnya kepada berbagai pihak yang telah membantu dalam penyelesaian tesis
ini, yaitu kepada:
1. Ibu Ir. Tufrida M. Hasyim, MM, MHSM sebagai dosen pembimbing yang telah
membimbing penulisan tesis ini dengan penuh perhatian, kesabaran dan
memberikan semangat kepada penulis.
2. Bapak Prof. Dr. H. Arjatmo Tjokronegoro, Ph.D., selaku Direktur Program
Pasca Sarjana Universitas Tarumanagara.
3. Bapak Dr. Suparman Ibrahim Abdullah, MSc., selaku Ketua Program Studi
Magister Manajemen Universitas Tarumanagara.
4. Ibu Dra. Thea Herawati Rahardjo, MM, selaku Sekretaris Program Studi
Magister Manajemen Universitas Tarumanagara.
5. Para Dosen Magister Manajemen Universitas Tarumanagara yang telah
memberikan dan mengajarkan berbagai ilmu pengetahuan selama penulis
mengikuti perkuliahan.
iii
6. Manajer Keuangan dan Manajer IT PT. AIR beserta staff yag telah membantu
penulis dalam proses penelitian dengan memberikan data dan informasi yang
diperlukan.
7. Teman-teman seperjuangan Angkatan 26 MM UNTAR, yang selalu
memberikan dorongan dan konsultasi pada saat itu diperlukan.
8. Serta kepada semua pihak lainnya yang tidak dapat disebutkan satu persatu
yang baik secara langsung maupun tidak langsung telah turut memberikan
dukungan dalam penyusunan tesis ini.
Penulis juga tidak lupa mengucapkan terima kasih yang sebesar-besarnya

kepada Papa Dr. Heryanto S Gani, SE, MSi, Ak. dan Mama Maylani Sidhi serta
Keluarga lainnya yang selalu setia mendoakan, memberikan dorongan, dan bantuan baik
moril maupun materil.
Besar harapan penulis agar tesis ini dapat bermanfaat bagi para Civitas
Akademika untuk pengetahuan yang lebih lanjut atas tehnik pemeriksaan serta
pedoman-pedoman pemeriksaan atas lingkungan SIK.
Semoga tesis ini dapat bermanfaat bagi yang memerlukan.
Jakarta, 16 Desember 2005

Penulis,
Alfred Febian Gani
iv
BAB I
PENDAHULUAN
1.1. Latar Belakang

Pada setiap perusahaan, baik pada perusahaan dagang, manufaktur maupun
perusahaan jasa, pelaporan keuangan merupakan hal yang sangat penting karena
merupakan sumber informasi untuk pembuatan keputusan (decision making) bagi
manajemen. Sehubungan dengan itu maka atas aktivitas tersebut haruslah didukung
oleh administrasi yang baik untuk menghindari hal-hal yang tidak diinginkan /
merugikan perusahaan. Itulah sebabnya perusahaan-perusahaan besar pada
umumnya memiliki administrasi yang baik dan sudah terkomputerisasi. Apabila
perusahaan memiliki administrasi yang kurang baik maka informasi yang digunakan
untuk pembuatan keputusan oleh manajemen pun kurang handal, sehingga dapat
menyebabkan resiko terjadinya kekeliruan dalam pengambilan keputusan, yang
berakibat kinerja perusahaan akan terganggu dan akan berpengaruh pada
kelangsungan hidup perusahaan.
Untuk mencapai tujuan tersebut diperlukan manajemen atas administrasi
yang memadai dan akan lebih optimal lagi apabila didukung oleh teknologi
komputer (komputerisasi). Selain bertujuan memperoleh informasi yang akurat,
pencapaian efisiensi biaya dalam kegiatan operasional, umum dan administrasi
adalah merupakan salah satu sasaran utama pihak manajemen perusahaan.
Ketepatan waktu, kehandalan dan keakuratan informasi yang diterima manajemen
adalah hal-hal penting dalam perusahaan yang harus diperhatikan pengelolaannya.

Perusahaan harus merancang serta menyusun suatu sistem administrasi yang baik
dan terkomputerisasi, serta harus pula menyusun suatu sistem pengendalian atas
sistem komputerisasi tersebut dalam rangka pencapaian tujuan secara efektif dan
efisien.
Jika dicermati pada umumnya implementasi teknologi informasi selalu
dimulai dari fungsi akuntansi yang ada dalam perusahaan yang membutuhkan
kontrol dan audit yang efektif untuk menjamin bahwa data-data akuntansi diproses
secara valid, lengkap dan akurat.
Dengan semakin majunya teknologi informasi, maka penggunaan sistem
manual dalam pengolahan data semakin ditinggalkan dan mengarah pada
penggunaan sistem elektronik. Hal tersebut juga terjadi di dunia auditing, dengan
terlihatnya semakin banyak perusahaan yang menggunakan Sistem Informasi
Akuntansi (SIA) yang terkomputerisasi. Hal tersebut memberikan dampak bagi
dunia auditing (Hendang, 1999), yaitu:
1. Dengan digunakannya sistem pengolahan informasi timbul dampak signifikan
terhadap struktur pengendalian intern, dan pada akhirnya berpengaruh terhadap
pemahaman dan evaluasi Auditor terhadap struktur pengendalian intern; dan
2. Penyimpanan
informasi
keuangan
dalam
komputer
memungkinkan
digunakannya komputer dalam mengaudit informasi keuangan.

Administrasi yang diselenggarakan secara komputerisasi memerlukan
program-program aplikasi yang akan diterapkan dalam perusahaan sesuai dengan
kebutuhannya. Melihat perkembangan perangkat lunak (software) ini, pemakai
(user) program aplikasi dengan mudah dapat memilih program yang cocok
(suitable) dengan kebutuhan perusahaannya karena banyaknya variasi harga dan
variasi fungsi. Seperti halnya perusahaan dagang umumnya akan mengambil
software GL, A/P, A/R dan Inventory serta Cash Flow untuk mendukung
administrasi
perusahaannya
agar
menjadi
lebih
baik.
Tetapi
di
dalam
pelaksanaannya, tidak semua paket software dapat memenuhi kebutuhan setiap

perusahaan, sehingga untuk perusahaan-perusahaan tertentu yang tidak suitable
memakai paket software, terpaksa membangun sendiri software aplikasinya,
walaupun dengan biaya yang relatif lebih besar.
Ada beberapa perbedaan dalam pengolahan data secara manual dan
komputerisasi. Auditor harus memahami perbedaan ini dalam melakukan audit
dalam lingkungan komputer, yaitu:
1. Perbedaan dalam Pengolahan data dengan komputer.
Auditor mungkin tidak dapat mengamati arus data secara fisik, hal tersebut
disebabkan dapat terjadinya suatu transaksi tanpa menghasilkan bukti dokumen
tercetak mengenai timbulnya transaksi. Disamping itu, Auditor mungkin
mengalami kesulitan untuk mengamati apa yang dilakukan komputer pada
waktu mengolah transaksi, sebab komputer mampu mengolah transaksi dengan
cepat.
2. Perbedaan atas fasilitas yang diperlukan.
Sistem pengolahan data terkomputerisasi secara fisik memerlukan ruangan
komputer terpisah dengan kontrol lingkungan seperti suhu, kelembaban,
pelindung kebakaran, peralatan kunci, dan sebagainya.
3. Perbedaan dalam perihal pemisahan tugas.

Pengumpulan data terpusat pada sistem informasi. Hal ini menimbulkan
kelemahan terhadap pemisahan fungsi, karena fungsi yang sebelumnya
dilakukan oleh petugas yang terpisah dan independent, sekarang dilaksanakan
oleh komputer, yang memberikan akses bagi orang dalam fungsi sistem
informasi dari proses pencatatan; dan
4. Perbedaan untuk adanya pengolahan transaksi yang seragam.
Hal ini menyebabkan pada saat informasi dimasukkan ke dalam sistem
komputer, maka akan diproses sesuai dengan informasi.
Menurut Baridwan (1994), hal ini berarti jika pengolahannya dilakukan secara
benar, maka hasilnya akan benar secara konsisten, namun apabila ada kesalahan
dalam pengolahannya, maka hasilnya akan salah secara konsisten pula.
(Garbage In Garbage Out)
Dalam melakukan audit, seorang Auditor harus menfokuskan perhatian pada
penaksiran kemungkinan kesalahan atau ketidakbenaran material dalam laporan
keuangan. Pengolahan dengan komputer seperti juga pengolahan manual,
merupakan suatu arus pengolahan transaksi dari sumber transaksi sampai pencatatan
transaksi itu dalam laporan keuangan. Arus ini mengandung titik rawan yang bisa
mengandung risiko kesalahan dan ketidakberesan yang harus diperhatikan oleh
Auditor. Jadi, dalam sistem komputer terdapat lebih banyak titik rawan dimana
kesalahan dan ketidakberesan dapat terjadi.
Dengan ilustrasi tersebut, bagaimana Auditor mengantisipasi agar dapat
melaksanakan audit secara efisien dan efektif?. Dengan digunakannya komputer
dalam pengolahan sistem informasi akuntansi, maka paling tidak Auditor harus
memahami atau sedikitnya mempunyai pengetahuan tentang ruang lingkup
teknologi informasi dan aplikasi yang digunakan untuk pemrosesan transaksi dari
sistem tersebut. Hal ini membawa peluang terhadap suatu jenis audit baru yaitu
audit terhadap sistem informasi akuntansi yang berbasis komputer.
PT. AIR sebagai perusahaan yang telah menerapkan sistem informasi
akuntansi yang berbasis komputer telah menjalankan perusahaan dengan dukungan
sistem yang ada. Sebelum melakukan peralihan sistem akuntansi, PT. AIR awalnya
masih menggunakan metode pencatatan akuntansi secara manual (tradisional).
Tetapi seiring dengan waktu, kemajuan serta perkembangan teknologi dan frekuensi
transasksi yang kian bertambah, maka manajemen memutuskan untuk melakukan
alih teknologi dari pencatatan akuntansi secara manual menjadi sistem informasi
akuntansi dengan basis komputer.
Sampai saat ini PT. AIR terus berusaha untuk mengimplementasikan suatu
sistem perusahaan yang terintegrasi secara penuh, dan untuk kepentingan itu masih
dilakukan pengembangan serta penelitian lebih lanjut mengenai sistem informasi
manajemen yang memang cocok untuk kelangsungan bisnis PT. AIR. Semakin
tinggi tingkatan sistem yang akan diterapkan pada PT. AIR menunjukkan bahwa
sistem informasi tersebut menjadi satu kesatuan yang diharapkan dapat mendukung
Berdasarkan uraian diatas, penulis merasa perlu untuk melakukan penelitian
dalam rangka mengevaluasi pelaksanaan pemeriksaan sistem informasi pada PT.
AIR sebagai obyek penelitian dengan perumusan permasalahan sebagaimana akan

dibahas pada berikut ini.
Tidak dicantumkannya nama perusahaan secara lengkap adalah sesuai dengan
permintaan manajemen perusahaan, yaitu agar nama perusahaan dicantumkan
dengan initial: PT. AIR.
1.2. Perumusan Masalah

Berdasarkan hal-hal yang telah dibahas sebelumnya, maka permasalahan
sehubungan dengan pelaksanaan pemeriksaan sistem informasi pada PT. AIR
sebagai berikut:
1. Apakah Pengendalian Umum lingkungan sistem informasi komputerisasi (SIK)
PT. AIR telah memadai.
2. Apakah Pengendalian Umum SIK secara On-Line PT. AIR telah memadai.
3. Sejauh mana Operasional lingkungan SIK PT. AIR telah mendukung
1.3. Tujuan Penelitian

Tujuan yang diharapkan dapat dicapai melalui penelitian ini, adalah:
1. Untuk menyakinkan bahwa Pengendalian Umum telah memadai, dilakukan
evaluasi terhadap elemen-elemen sebagai berikut:
a. Pengendalian organisasi
b. Pengendalian administratif
c. Pengendalian pengembangan dan pemeliharaan sistem
d. Pengendalian hardware dan software

e. Pengendalian dokumentasi
f. Pengendalian keamanan.
2. Untuk menyakinkan bahwa Pengendalian Umum secara sistem On-Line PT
AIR telah memadai, dilakukan evaluasi terhadap Pengendalian umum Data
Base Management System (DBMS).
3. Untuk menyakinkan bahwa Operasional lingkungan EDP PT AIR telah
mendukung kelangsungan bisnis perusahaan, dilakukan evaluasi terhadap
kondisi yang direncanakan untuk memberikan jaminan yang cukup bahwa
Aplikasi telah berjalan sesuai Prosedur, sesuai dengan kebutuhan bisnis,
keandalan program untuk antisipasi kejadian yang baru, serta kelangsungan
bisnis perusahaan.
1.4. Manfaat Penelitian

Manfaat yang diharapkan dapat dicapai melalui penelitian ini, adalah:
1. Bagi PT AIR, yang dijadikan obyek penelitian, akan memperoleh saran dan
rekomendasi yang diharapkan bermanfaat untuk peningkatan efisiensi dan
efektivitas perusahaan atas penggunaan software serta dalam upaya pelaksanaan
fungsi pengendalian umum untuk sistem komputer perusahaan.
2. Bagi penulis adalah untuk menerapkan ilmu pengetahuan yang telah diperoleh
serta untuk memperluas wawasan penulis mengenai sistem informasi akuntansi
komputerisasi.
3. Hasil penelitian juga diharapkan dapat digunakan dan bermanfaat bagi

masyarakat luas khususnya civitas akademica yang mendalami bidang sistem
informasi akuntansi.
1.5. Ruang Lingkup Penelitian

Dalam penelitian ini terdapat pembatasan dengan keterangan sebagai berikut :
1. Pembatasan Topik
Berhubung sangat luasnya prosedur pemeriksaan atas sistem informasi
komputerisasi (SIK), maka penulis membatasi penelitian hanya pada
pengendalian umum lingkungan SIK perusahaan.
2. Keterbatasan Waktu Penelitian
Dalam penyusunan Tesis ini, penulis melakukan penelitian dalam kurun waktu
bulan Agustus September tahun 2005, sehingga setelah periode penelitian
tersebut kemungkinan terdapat perubahan-perubahan dalam penggunaan
program aplikasi dengan tujuan pemutakhiran program aplikasi yang digunakan.
3. Keterbatasan Materi
Berhubung sangat luasnya informasi atau data yang dapat dihasilkan oleh sistem
komputerisasi perusahaan, maka penulis membatasi penelitian hanya pada
penggunaan aplikasi komputer untuk penyusunan Laporan Keuangan dalam
Perusahaan, serta data umum yang diperoleh penulis dari IT Division selama
melakukan penelitian.
1.6. Kerangka Penulisan

Untuk memudahkan pemahaman dan pengertian atas isi tesis ini, penulis
membagi pembahasan menjadi lima bab yang dapat dijelaskan secara garis besar
sebagai berikut:
BAB I PENDAHULUAN
Dalam bab ini, diterangkan mengenai latar belakang penelitian,
perumusan permasalahan, tujuan penelitian, manfaat penelitian, ruang
lingkup penelitian dan kerangka penulisan yang dibuat agar dapat
memberikan gambaran singkat dari keseluruhan isi tesis.
BAB II LANDASAN TEORI

Dalam bab ini diuraikan landasan teori yang akan digunakan sebagai
dasar untuk mengevaluasi praktek seorang IS Auditor. Bab ini
menjelaskan pengertian pemeriksaan akuntan, pengertian pemeriksaan
sistem informasi, konsep-konsep pemeriksaan SIK, pengendalian intern
dalam lingkungan SIK secara On-Line, Pengendalian Intern lingkungan
SIK, pengendalian umum, desain pengendalian umum SIK, kecurangan
dalam organisasi PDE, pengendalian intern dalam lingkungan database,
operasional komputer, kelangsungan bisnis.
BAB III METODOLOGI PENELITIAN

Dalam bab ini diuraikan pemilihan obyek penelitian, metode penelitian,
rencana persiapan pengumpulan data, tehnik pengolahan data, elemenelemen yang akan dievaluasi.
BAB IV GAMBARAN UMUM PERUSAHAAN

Dalam Bab Tinjauan Umum Perusahaan, diuraikan mengenai sejarah
singkat perusahaan, lokasi dan bidang usaha, struktur organisasi dan
uraian tugas (job description) pada PT AIR.
BAB V ANALISIS DAN PEMBAHASAN

Dalam bab ini penulis membahas mengenai hasil penelitian dan
melakukan analisis mengenai pelaksanaan pemeriksaan sistem informasi
pada PT AIR dengan tujuan untuk menyakinkan bahwa Pengendalian
Umum dari PT AIR telah memadai.
BAB VI KESIMPULAN DAN SARAN

Pada bab ini penulis mencoba untuk mengambil kesimpulan dari uraianuraian yang telah dijelaskan dalam pembahasan sebelumnya dan sebagai
pelengkap diajukan saran-saran yang diharapkan dapat bermanfaat untuk
perusahaan berkaitan dengan hasil yang diperoleh dari penelitian
tersebut.
10
BAB II
LANDASAN TEORI
2.1.
Pemeriksaan Akuntan
Mulyadi di dalam bukunya Auditing mendefinisikan pengertian
auditing (pemeriksaan akuntan) secara umum sebagai berikut:
Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti
secara objektif, mengenai pernyataan-pernyataan tentang kegiatan dan
kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian
antara pernyataan-pernyataan tersebut dengan kriteria yang telah
ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang
berkepentingan. (Mulyadi, 2002)
Definisi auditing secara umum tersebut memiliki unsur-unsur penting
yang diuraikan sebagai berikut:
Suatu proses sistematik. Auditing adalah suatu proses sistematik, yaitu berupa
suatu rangkaian langkah dan prosedur yang logis, berkerangka dan
terorganisasi. Auditing dilaksanakan dengan suatu urutan langkah yang
direncanakan, terorganisasi dan bertujuan.
Untuk memperoleh dan mengevaluasi bukti secara objektif. Proses
sistematik tersebut ditujukan untuk memperoleh bukti yang mendasari
pernyataan yang dibuat oleh individu atau badan usaha, serta untuk
mengevaluasi tanpa memihak atau berprasangka terhadap bukti-bukti tersebut.
11
Pernyataan mengenai kegiatan dan kejadian ekonomi. Pernyataan mengenai

kegiatan dan kejadian ekonomi yang dimaksud dalam hal ini mencakup hasil
proses akuntansi. Akuntansi merupakan suatu proses pengindentifikasian,
pengukuran dan penyampaian informasi ekonomi yang dinyatakan dalam
satuan uang. Proses akuntansi ini menghasilkan suatu pernyataan yang disajikan
dalam laporan keuangan, yang umumnya terdiri dari empat laporan keuangan
pokok: neraca, laporan laba-rugi, laporan saldo laba (retained earnings), dan
laporan arus kas. Laporan keuangan juga dapat pula berupa laporan biaya pusat
pertanggungjawaban tertentu dalam perusahaan.
Menetapkan tingkat kesesuaian. Pengumpulan bukti mengenai pernyataan
dan evaluasi terhadap hasil pengumpulan bukti tersebut dimaksudkan untuk
menetapkan kesesuaian pernyataan tersebut dengan kriteria yang telah
ditetapkan.
Kriteria yang telah ditetapkan. Kriteria atau standar yang dipakai sebagai
dasar untuk menilai pernyataan (yang berupa hasil proses akuntansi) dapat
berupa:
a. Peraturan yang ditetapkan oleh suatu badan legislatif;
b. Anggaran atau ukuran prestasi lain yang ditetapkan oleh manajemen; dan
c. Prinsip akuntansi yang diterima umum (Generally Accepted Accounting
Principles/GAAP)
Penyampaian hasil. Penyampaian hasil auditing sering disebut juga atestasi.
Penyampaian hasil ini dilakukan secara tertulis dalam bentuk laporan audit.
12
Atestasi dalam bentuk laporan tertulis ini dapat menaikkan atau menurunkan
tingkat kepercayaan pemakai laporan keuangan atau asersi yang dibuat oleh
pihak yang diaudit.
Pemakai yang berkepentingan. Dalam dunia bisnis, pemakai yang
berkepentingan terhadap laporan audit, adalah para pemakai informasi laporan
keuangan, seperti pemegang saham, manajemen, kreditur, calon investor, dan
kreditur, organisasi buruh, dan Kantor Pelayanan Pajak.
Auditing ditinjau dari sudut profesi akuntan publik menurut Mulyadi dan
Kanaka dalam bukunya Auditing adalah:
Auditing adalah pemeriksaan (examination) secara objektif atas laporan
keuangan suatu perusahaan atau organisasi lain dengan tujuan untuk
menentukan apakah laporan keuangan tersebut menyajikan secara wajar,
dalam semua hal yang material, posisi keuangan dan hasil usaha
perusahaan dan organisasi tersebut.
(Mulyadi dan Kanaka, 1998)
Berdasarkan definisi umum auditing yang diuraikan diatas, pemeriksaan
yang dilaksanakan oleh auditor independen ditujukan terhadap pernyataan
mengenai kegiatan ekonomi, yang disajikan oleh suatu organisasi dalam
laporan keuangannya. Pemeriksaan ini dilakukan oleh auditor independen untuk
menilai kewajaran informasi yang tercantum dalam laporan keuangan. Auditor
yang melaksanakan audit atas laporan keuangan disebut dengan Auditor
independen.
13
2.2.
Pemeriksaan Sistem Informasi

Audit Sistem Informasi adalah suatu proses untuk mengumpulkan dan
mengevaluasi bukti untuk menentukan apakah suatu sistem komputer
menjaga asset, memelihara integritas data, mencapai tujuan organisasi
secara efektif, dan menggunakan sumber daya secara efisien. (Weber,
1998)
Jadi pemeriksaan sistem informasi adalah pemeriksaan yang bertujuan
untuk memberikan opini (pernyataan) terhadap sistem informasi yang
terkomputerisasi, dimana auditor harus menilai apakah sumber daya telah
digunakan secara efisien dan ekonomis, semua kekayaan aktiva dilindungi
dengan
baik,
terjaminnya
integritas
data,
serta
terdapatnya
struktur
pengendalian intern yang memadai. Dengan kata lain, auditor harus dapat
menyatakan apakah sistem informasi yang terkomputerisasi telah terselenggara
dengan efisien dan efektif.
Sehubungan dengan pemeriksaan atas sistem informasi, Standar
Professional Akuntan Publik (PSA No. 57, SA Seksi 335) menyatakan:
Auditor harus memiliki pengetahuan memadai tentang Sistem Informasi
Komputer (SIK) untuk merencanakan, mengarahkan, melakukan
supervisi, dan me-review pekerjaan yang dilakukan. Auditor harus
mempertimbangkan apakah keterampilan SIK khusus diperlukan dalam
suatu audit. Hal ini kemungkinan diperlukan untuk:
a. Memperoleh pemahaman tentang sistem akuntansi dan sistem
pengendalian intern yang dipengaruhi oleh lingkungan SIK.
b. Menentukan dampak lingkungan SIK terhadap penaksiran risiko
secara keseluruhan dan risiko pada tingkat saldo akun dan golongan
transaksi.
c. Mendesain dan melaksanakan pengujian pengendalian dan pengujian
substantif yang tepat.
Auditor harus pula memiliki pengetahuan sistem informasi komputer
(SIK) yang memadai untuk menerapkan prosedur audit, tergantung atas
14
pendekatan audit yang digunakan (audit around the computer atau audit
through the computer). (IAI, SPAP, 2001: 335.2)
2.3.
Konsep-Konsep Pemeriksaan SIK

Menurut Arens dan Loebbecke (2001), ada tiga metode pemeriksaan SIK yaitu:
2.3.1.
Audit Around The Computer

Auditing sekitar komputer dapat dilakukan jika dokumen sumber tesedia
dalam bahasa non mesin, dokumen-dokumen disimpan dengan cara yang
memungkinkan pengalokasiaannya untuk tujuan auditing, outputnya memuat
detail yang memadai, yang memungkinkan auditor menelusuri suatu transaksi
dari dokumen sumber ke output atau sebaliknya.
Dalam metode ini, pelaksanaan penelahan pengendalian intern dan
pengujian atas transaksi serta prosedur verifikasi saldo perkiraan sama dengan
yang dilaksanakan pada sistem pengolahan data biasa, tidak tidak ada penguji
efektivitas
pengendalian
pada
departemen
EDP
(meskipun
auditor
menggunakan komputer untuk melaksanakan prosedur auditing). Dalam hal ini

auditor memandang sistem dan program komputer sebagai kotak hitam dan
hanya menelah dokumen input-input. Data input diseleksi dan diuji,
dibandingkan dengan hasil outputnya, jika cocok, sah, dan akurat, maka
pengendalian intern dapat dikatakan berjalan dengan baik.
15
2.3.2.
Audit through The Computer

Auditing melalui komputer lebih ditekakan pada pengujian sistem
komputer daripada pengujian output komputer. Auditor menguji dan menilai
efektivitas prosedur pengendalian operasi dan program komputer serta
kecepatan proses didalam komputer. Hal ini dilakukan dengan menelah dan
mengesahkan sumber transaksi dan langsung menguji program logika serta
program pengendalian komputer.
Menurut Halim (2003), keungulan metode ini adalah bahwa auditor
memiliki kemampuan yang besar dan efektif dalam melakukan pengujian
terhadap sistem komputer. Hasil kerja lebih dapat dipercaya dan sistem
memiliki kemampuan untuk menghadapi perubahan lingkungan. Sedangkan
kelemahan sistem ini terletak pada biaya yang sangat besar dan memerlukan
tenaga ahli yang berpengalaman.
2.3.3.
Audit With The Computer

Dalam metode ini, audit dilakukan dengan menggunakan komputer dan
software untuk mengotomatiskan prosedur pelaksanaan audit.
Tentu metode ini lebih sulit dan kompleks dari kedua metode diatas, serta
biayanya paling besar. Akan tetapi jika kemampuan dan keahlian dimiliki,
hasilnya akan lebih tepat.
16
2.4.
Pengendalian Intern dalam Lingkungan SIK secara On-Line

Menurut SPAP (2001) dalam SA Seksi 344.5 No. 18, Pengendalian sistem
informasi komputer (SIK) umum tertentu sangat penting dalam pengolahan on-line.
Pengendalian Intern ini mencangkup:
a. Pengendalian aksesprosedur yang didesain untuk membatasi akses ke dalam
program dan data. Secara khusus, prosedur ini didesain untuk mencegah atau
mendekteksi:
(1) Akses yang tidak semestinya ke peralatan terminal on-line, program dan
data.
(2) Pemasukan transaksi tanpa otorisasi.
(3) Perubahan arsip data tanpa otorisasi.
(4) Pengunaan program komputer yang masih operasional oleh personel
yang tidak berwenang.
(5) Pengunaan program komputer yang belum mendapatkan otorisasi.
Prosedur pengunaan akses ini mencangkup penggunaan password dan perangkat
lunak pengendalian akses khusus seperti monitor on-line yang menyelengarakan
pengendalian terhadap menu, daftar otorisasi, password, asip dan program yang
diizinkan untuk diakses oleh pemakai. Prosedur ini juga mencangkup
pengendalian fisik seperti pengunaan kunci pengaman atas peralatan terminal.
b. Pengendalian terhadap passwordprosedur untuk pemberian dan pemeliharaan
password untuk membatasi akses hanya kepada pemakai yang sah.
17
c. Pengendalian atas pengembangan dan pemeliharaan sistemprosedur tambahan

untuk menjamin bahwa pengendalian yang sangat penting terhadap aplikasi online, seperti password,pengendalian akses, validasi dan prosedur pemulihan data
secara on-line, dimasukkan di dalam sistem selama pengembangan dan
pemeliharaan sistem.
d. Pengendalian pemrogramanprosedur yang didesain untuk mencegah atau
mendekteksi perubahan yang tidak semestinya terhadap program komputer yang
diakses melalui peralatan terminal on-line. Akses dapat dibatasi dengan
pengendalian seperti pengunaan keputusan yang diselengarakan terpisah antara
program yang sedang dikembangkan dengan program yang secara operasional
sedang digunakan dan dengan pengunaan perangkat lunak kepustakaan khusus.
Adalah penting untuk menyelengarakan dokumen memadai tentang perubahan
secara on-line terhadap program.
e. Transaction loglaporan yang didesain untuk membuat jejak audit untuk semua
transaksi on-line. Laporan ini seringkali mendokumentasikan sumber suatu
transaksi (terminal, waktu dan pemakai) serta rincian transaksi.
2.5.
Pengendalian Intern Lingkungan SIK.

Menurut SPAP (2001) dalam SA Seksi 314.4 No. 05 - 09 pengendalian
intern atas pengelolahan komputer, yang dapat membantu pencapaian tujuan intern
secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang di
desain dalam program komputer, terdiri dari:
18
a.
Pengendalian umum: pengendalian menyeluruh yang berdampak

terhadap lingkungan SIK yang terdiri atas:
1. Pengendalian organisasi dan manajemen.
2. Pengendalian terhadap pengembangan dan pemeliharaan sistem.
3. Pengendalian terhadap operasi sistem.
4. Pengendalian terhadap perangkat lunak sistem.
5. Pengendalian terhadap entri data dan program.
b.
Pengendalian aplikasi: pengendalian khusus atas aplikasi akuntansi

yang meliputi:
1. Pengendalian atas masukan.
2. pengendalian atas pengolahan dan file data komputer.
3. Pengendalian atas keluaran.
4. Pengendalian masukan, pengolahan, dan keluaran dalam sistem
on-line. (IAI, SPAP, 2001)
Pada pelaksanaan pengendalian intern untuk lingkungan SIK pada perusahaan,

pengendalian umum memegang peranan penting dalam pengendalian secara
keseluruhan. Tujuan pengendalian umum (general control) SIK adalah untuk
membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk
memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara
keseluruhan dapat tercapai. Pengendalian umum sebagai dasar untuk pengendalian
aplikasi, karena pada pengendalian aplikasi kita perlu memperhatikan faktor
karyawan yang berfungsi sebagai user sekaligus operator. Pengendalian aplikasi
dilakukan untuk melakukan pengawasan input, proses dan output. Prinsip garbage
in garbage out berlaku dalam pengendalian aplikasi. Contohnya; apabila dalam
penerimaan calon karyawan divisi IT yang diatur oleh pengendalian umum tidak
memadai (dalam arti karyawan yang diterima tidak memiliki kompetensi terhadap
bidang pekerjaannya), maka sudah pasti pengendalian aplikasi juga menjadi tidak
19
memadai (dalam arti melakukan banyak kesalahan dalam menginput data, tidak
melakukan proses otorisasi, saling bertukar password dengan teman sejawat yang
memiliki level otorisasi yang lebih rendah, dan lain-lain). Karena itulah untuk
menilai pelaksanaan pengendalian lingkungan SIK akan lebih diutamakan untuk
melakukan pemeriksaan terhadap pelaksanaan pengendalian umum lingkungan SIK
yang akan mewakili pengendalian SIK secara keseluruhan.
Pengendalian umum SIK dapat memiliki dampak luas atas pengolahan
transaksi dalam sistem aplikasi. Jika pengendalian ini tidak efektif, maka akan
terdapat risiko bahwa salah saji mungkin terjadi dan berlangsung tanpa dapat
didekteksi dalam sistem aplikasi. Jadi, kelemahan dalam pengendalian umum SIK
menghalangi pengujian pengendalian aplikasi SIK tertentu; namun, prosedur
manual yang dilaksanakan oleh pemakai dapat memberikan pengendalian efektif
pada tingkat aplikasi.
Auditor harus mempertimbangkan bagaimana pengendalian umum SIK yang
berdampak terhadap aplikasi SIK secara signifikan. Pengendalian umum SIK yang
berhubungan dengan beberapa atau seluruh aplikasi merupakan pengendalian yang
saling terkait yang operasinya sering kali merupakan hal yang menentukan
efektivitas pengendalian aplikasi SIK.
20
2.6.
Pengendalian Umum
2.6.1. Pengendalian Organisasi

Menurut Bodnar dan Hopwood (2004), pengendalian organisasi ini bertujuan untuk
memenuhi pengendalian intern berupa:
1. Pemisahan tugas yang memadai untuk mencegah adanya ketidakcocokan fungsi
personil IT dalam departemen dan antara departemen IT dengan pemakai.
2. Pencegahan akses tidak sah terhadap peralatan komputer, program, dan file data
oleh karyawan IT maupun pemakai.
Pengendalian ini juga menyangkut pemisahan fungsi dalam departemen IT dan
antara departemen IT dengan pemakai. Kelemahan dalam pengendalian ini biasanya
mempengaruhi semua aplikasi SIK.
Beberapa hal yang harus diperhatikan dalam pengendalian ini adalah :
a)
Pengabungan antara fungsi sistem analis, pemrogram, dan operasi dalam satu
orang akan menyebabkan mudahnya orang tersebut melakukan dan
menyembunyikan kesalahan.
b)
Departemen IT harus berdiri independen dari departemen pemakai, dengan

demikian manajer IT harus melapor pada orang/atasan yang tidak terlibat
langsung dalam otorisasi transaksi untuk pemrosesan komputer.
c)
Personil IT seharusnya tidak mengotorisasi atau menandatangani transaksi atau

mempunyai hak atas asset.
Jika perencanaan organisasi tidak menyediakan pemisahan tugas atas fungsi-fungsi

tersebut, auditor akan menghadapi masalah serius mengenai kebenaran dan
kewajaran dari hasil pemrosesan komputer.
21
2.6.2. Pengendalian Administratif

Manfaat dan tujuan pengendalian intern yang ingin dicapai dari pengendalian ini
adalah :
1. Memberikan kerangka untuk mencapai tujuan sistem informasi secara
keseluruhan,
memberikan
arah
pengembangan
sistem
informasi,
dan
menggambarkan sumber-sumber daya yang diperlukan melalui pembuatan

rencana induk (master plan).
2. Menyediakan seperangkat prosedur yang mengambarkan tindakan-tindakan
yang harus diambil dalam keadaan darurat, misalnya jika sistem komputer
gagal, rusak, atau bencana lainnya melalui pembuatan rencana tak terduga
(contingency plan).
3. Menyediakan pelatihan dan pengarahan bagi karyawan, penyaringan dan seleksi
karyawan sehingga menghasilkan personil yang andal dan kompeten.
4. Memberikan kesatuan standar dalam pengembangan, operasi dan pemeliharaan
sistem komputer sehingga kekacauan dan kegagalan dapat ditekan. Tanpa
adanya bentuk standar, departemen IT akan mengalami in-efisiensi operasi, inefektivitas pengembalian sistem dan ketidakmampuan untuk meneruskan sistem
dalam hal terjadi pengantian karyawan. Beberapa standar formal yang harus ada
meliputi prosedur pengembangan sistem, dokumentasi aplikasi, dokumentasi
operasi, serta skedul komputer.
22
2.6.3. Pengendalian Pengembangan dan Pemeliharaan Sistem.

Pengendalian pengembangan sistem berhubungan dengan:
1. Review, pengujian, dan pengesahan sistem baru.
2. Pengendalian atas perubahan program.
3. Prosedur dokumentasi.
Prosedur berikut ini akan membantu dalam memberikan pengendalian yang
memadai:
a.
Desain sistem harus melibatkan departemen pemakai, akuntansi dan internal

auditor.
b.
Setiap sistem harus tertulis secara spesifik serta direview dan disetujui oleh
mamajemen dan pemakai.
c.
Pengujian sistem harus dilakukan dengan kerja sama antara pemakai dan
personal EDP.
d.
Manajer EDP, data base administrator, pemakai, dan top management harus
memberikan persetujuan akhir atas sebuah sistem baru sebelum dioperasikan.
e.
Perubahan dan perbaikan program harus disetujui sebelum diimplementasikan

untuk menentukan apakah mereka telah diotorisasi, diuji dan didokumentasikan.
2.6.4. Pengendalian Hardware dan Software

Teknologi komputer modern telah mencapai tingkat kepercayaan yang tinggi dalam
peralatan komputer. Kategori dari pengendalian ini meliputi:
23
1. Pengendalian hardware dilakukan dengan melaksanakan pengawasan secara

fisik komputer dan menyangkut hal-hal untuk mempertahankan, menjaga dan
memelihara komputer dari kerusakan yang dapat mengganggu jalannya suatu
sistem.
2. Diatur juga mengenai penggunaan komputer (akses terhadap program) hanya
diijinkan bagi mereka yang berkepentingan (telah memiliki otorisasi) dan hanya
untuk menjalankan program yang sudah diotorisasi, dan komputer tidak boleh
digunakan oleh pihak yang tidak memiliki otorisasi tersebut.
3. Pengendalian software dilakukan dengan menerapkan kata sandi (password)
untuk setiap user yang menggunakan, serta terdapat pendeteksian lebih awal
atas suatu pengolahan dan kesalahan tersebut dapat dikoreksi.
2.6.5. Pengendalian Dokumentasi

Pengendalian dokumentasi berhubungan dengan dokumen dan catatan yang
dirancang oleh perusahaan dan untuk menggambarkan aktivitas pemrosesan
komputer.
Dokumen yang dimaksud meliputi :
1. Penjelasan dan flow chart dari sistem dan program.
2. Instruksi operasi untuk operator komputer.
3. Prosedur pengendalian yang harus diikuti oleh operator dan pemakai.
4. Uraian dan sample dari input dan output yang diminta.
24
2.6.6. Pengendalian keamanan

Pengendalian akses atas file dan program. Pengendalian akses seharusnya mencegah
penggunaan secara tidak sah dalam departemen EDP, data files, dan program
komputer, pengendalian spesifik meliputi penyelamatan fisik maupun prosedur.
2.7.
Desain Pengendalian Umum SIK.

Desain pemeriksaan untuk melaksanakan Pengendalian umum meliputi:
a.
Pengendalian organisasi dan manajemen didesain untuk menciptakan

kerangka organisasi aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan
transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi

didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan
dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi
semestinya.
Pengendalian ini juga didesain untuk menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumensasi sistem yang
direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
25
c.
Pengendalian terhadap operasi sistem didesain untuk mengendalikan

operasi sistem dan untuk memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah
mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat didektesi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem didesain untuk

memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau
dikembangkan dengan cara yang efisien dan melalui proses otorisasi
semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi
perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem
hanya bagi karyawan yang telah mendapatkan otorisasi.
e.
Pengendalian terhadap entry data dan program didesain untuk memberikan

keyakinan bahwa:
Struktur organisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam
sistem, yaitu: Akses ke data dan program dibatasi hanya bagi karyawan yang
telah mendapatkan otorisasi.
26
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi

terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau
penghancuran data baik yang disengaja maupun yang tidak disengaja.
Penyedian pengolahan di lokasi di luar perusahaan untuk mengantisipasi hal
terjadi bencana.
2.8.
Kecurangan dalam Organisasi PDE.

Kecurangan komputer adalah kecurangan yang berkaitan dengan segala kegiatan
dengan komputer, yang meliputi manipulasi data dan program serta perangkat keras.
Manipulasi data dan program dapat berupa pengrusakan, sabotase, penyadapan,
penyisipan (penambahan), pengubahan, penghapusan dan pemalsuan. Sedangkan
kejahatan terhadap perangkat keras lebih banyak pada pengrusakan dan pemalsuan.
Untuk mendeteksi adanya suatu kecurangan, pemeriksa wajib mengetahui
kemungkinan terjadinya suatu kecurangan, siapa yang mungkin melakukan dan
gejala-gejalanya. Tindakan berjaga-jaga untuk mencegah terjadinya suatu
kecurangan dapat dilaksanakan jika hal-hal diatas diketahui. Jika gejala telah
diketahui pemeriksa dapat merancang program pemeriksaan dan menelusuri semua
gejala kecurangan yang diamati. (Sukrisno Agoes, 2004: 268)
27
2.9.
Pengendalian Intern Dalam Lingkungan Database

Menurut SPAP dalam SA Seksi 345.4 No. 15 21, pada umumnya pengendalian
intern dalam lingkungan database memerlukan pengendalian efektif terhadap
database, DBMS dan aplikasi. Efektivitas pengendalian intern tergantung terutama
atas sifat tugas pengolahan database sebagaimana yang diuraikan, tergantung
bagaimana pelaksanaan tugas tersebut.
Oleh Karena adanya data sharing, independensi dan karakteristik lain sistem
database, pengendalian umum sistem informasi komputer (SIK) umumnya lebih
besar pengaruhnya terhadap sistem database dibandingkan dengan pengendalian
aplikasi. Pengendalian umum SIK terhadap database, DBMS, dan aktivitas fungsi
pengolahan databse berpengaruh pervasif atas pengolahan aplikasi. Pengendalian
umum SIK yang penting dalam lingkungan database dapat digolongkan ke dalam
kelompok berikut ini:
1. Pendekatan baku untuk untuk pengembangan dan pemeliharaan program
aplikasi.
2. Kepemilikan data.
3. Akses ke database.
4. Pemisahan tugas.
28
2.9.1. Pendekatan Baku Untuk Pengembangan dan Pemeliharan Program Aplikasi

Oleh karena data dibagi kebanyak pemakai (data sharing policy to other user),
pengendalian dapat ditingkatkan jika digunakan pendekatan baku didalam
pengembangan setiap program aplikasi dan modifikasi terhadap program aplikasi.
Pengendalian ini mencakup diikutinya pendekatan resmi dan tahap demi tahap yang
harus dipatuhi oleh individu yang mengembangkan atau mengubah program
aplikasi. Pengendalian ini juga mencakup dilaksanakannya analisis terhadap
dampak transaksi baru dan telah ada atas database setiap kali modifikasi diperlukan.
Hasil analisis akan menunjukan dampak perubahan tersebut atas keamanan dan
integritas database. Implementasi pendekatan baku dalam pengembangan dan
perubahan program aplikasi merupakan teknik yang dapat membantu meningkatkan
kecermatan integritas dan kelengkapan database.
2.9.2. Kepemilikan Data

Dalam lingkungan database, yang di dalamnya banyak individu dapat mengunakan
program untuk memasukan dan mengubah data, diperlukan pembebanan tanggung
jawab secara jelas dan tertentu batas-batasnya bagi pengolahan database tentang
kecermatan dan integritas setiap unsur data. Perlu ditunjukan seorang sebagai
pemilik data yang bertanggung jawab untuk menetapkan aturan akses dan integritas,
seperti siapa yang dapat menggunakan data (akses) dan untuk fungsi apa mereka
dapat melakukan (keamanan). Pembebanan tanggung jawab tertentu untuk
29
kepemilikan data membantu memberikan jaminan terhadap integritas database.

Sebagai contoh, manajer kredit dapat ditunjuk sebagai pemilik batas kredit
customer, dan oleh karena itu, ia bertanggung jawab untuk menentukan pemakai
yang berwenang untuk mengunakan informasi tersebut. Jika beberapa orang dapat
membuat keputusan yang berdampak terhadap integritas dan kecermatan data
tertentu, kemungkinan data akan dikorupsi atau yang disalah gunakan menjadi
meningkat.
2.9.3. Akses ke Database

Akses oleh pemakai ke database dapat dibatasi dengan mengunakan password.
Pembatasan ini dapat diterapkan kepada individu, peralatan terminal, dan program.
Agar password efektif, diperlukan prosedur memadai untuk mengubah password,
penjagaan kerahasiaan password dan pelaksanaan review dan penyelidikan terhadap
usaha untuk melanggar keamanan. Pengaitan password ke peralatan terminal,
program, dan data membantu menjamin bahwa hanya pemakai yang berwenang dan
program yang sah dapat mengakses, mengubah, atau menghapus data. Sebagai
contoh, manajer kredit dapat memberi wewenang kepada wiraniaga untuk mengacu
kebatas kredit customer, sedangkan karyawan fungsi gudang tidak memiliki
wewenang.
Akses pemakai ke berbagai unsur database dapat dikendalikan lebih lanjut melalui
penggunaan tabel otorisasi. Implementasi yang tidak semestinya prosedur akses
dapat berakibat akses yang tidak berizin (unauthorized access) ke dalam database.
30
2.9.4. Pemisahan Tugas

Tanggung Jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk
mendesain, mengimplementasikan, dan mengoperasikan database dibagi di antara
personel teknik, desain, pengelola, dan pemakai. Tugas mereka mencakup desain
sistem, desain database, pengelolaan, dan operasi. Pembagian tugas tersebut
diperlukan untuk menjamin kelengkapan, integritas, dan kecermatan database.
Sebagai contoh, orang yang bertanggung jawab dalam merubah program database
karyawan harus berbeda dengan orang yang berwenang untuk mengubah tarif upah
karyawan dalam database.
2.10.
Operasional Komputer (Computer Operations)

Tujuannya adalah untuk memastikan bahwa platforms pada sistem telah berjalan
sesuai, menjamin keberadaan data (data availability), dapat dipercaya (data
reliable), dan sistem yang berjalan pada setiap saat.
Sistem Informasi beroperasi dalam mengendalikan sistem informasi perangkat keras
(hardware) dan perangkat lunak (software) sehari-hari. Lingkungan sistem
informasi sangat bervariasi antara satu organisasi dengan organisasi lainnya
tergantung pada ukuran instalasi komputer dan beban kerja.
Operasional sistem informasi umumnya mencakup fungsi pada area berikut ini:
Manajemen sistem informasi secara operasional;
Operasional komputer (Computer operation);
Technical support/ help desk;
31
2.11.
Scheduling;
Pengendalian input dan output data (Controlling input/ output data);
Prosedur pengendalian perubahan program (change control procedure);
Librarian function; dan
Prosedur untuk mengawasi penggunaan komputer.
Kelangsungan Bisnis (Business Continuity)

Menurut ISAACA (2002), tujuan secara keseluruhan adalah untuk meminimalkan
kegagalan dan memastikan bahwa bisnis akan berjalan secara efektif (dalam waktu
yang dapat diterima acceptable recovery time) pada saat fasilitas sistem informasi
tidak tersedia. Area ini mencakupi pengetahuan bahwa IS Auditor mengevaluasi
proses untuk mengembangkan, mengkomunikasikan, dan melakukan tes yang
direncanakan untuk kelangsungan operasional bisnis perusahaan dan proses sistem
informasi apabila menghadapi masalah.
Ada tiga tujuan khusus dalam area ini, yaitu:
1. Mengevaluasi kecukupan dari backup dan pemulihan (recovery) guna
memastikan keberadaan data (data availability) jika terjadi kerusakan atau
gangguan (disaster) lainnya.
2. Mengevaluasi kemampuan perusahaan guna menyediakan proses sistem
informasi pada saat fasilitas pemrosesan informasi yang kritikal/utama tidak
tersedia.
32
3. Mengevaluasi kemampuan perusahaan untuk memastikan kelangsungan usaha

pada saat terjadi gangguan bisnis.
2.11.1. Rencana Kelangsungan Bisnis (Business Continuity Plan (BCP))

Penanggulangan sebagai kemampuan perusahaan untuk meneruskan operasinya
dalam hal terjadi gangguan (disaster) di sistem informasi dan supaya perusahaan
tetap bertahan ketika gangguan (disaster) itu berlangsung.
Senior manajemen bertanggungjawab atas rencana kelangsungan bisnis (Business
Continuity Plan BCP) yang memadai. Rencana ini harus melingkupi semua fungsi
dan asset yang dibutuhkan untuk meneruskan bisnis perusahaan. IT Disaster
Recovery Plan (DRP) harus konsisten dan mendukung jalannya bisnis di
perusahaan.
Senior
Sistem
Informasi
dan
user
manajemen
harus
menentukan
dan
memprioritaskan fungsi bisnis yang kritikal untuk dilindungi. Manajemen harus

berkomitmen bahwa BCP harus dapat menegaskan tanggung jawab baik untuk
rencana pengembangan BCP dan rencana implementasi dan menetapkan waktu
untuk melakukan pengujian BCP.
2.11.2. Waktu Pemulihan Kritis (Critical Recovery Time Period)

Lamanya waktu untuk menanggulangi apabila terjadi gangguan (disaster)
teergantung dari tipe bisnis masing-masing perusahaan, sebagai contoh, institusi
33
keuangan seperti bank atau perusahaan broker memerlukan waktu recovery yang
lebih pendek daripada perusahaan manufaktur.
2.11.3. Tempat penyimpanan cadangan data diluar perusahaan (Off-site)

Karena diperlukan untuk memastikan bahwa aktivitas bisnis (termasuk operasional
IS yang mensupport keseluruhan bisnis) tidak terganggu atas gangguan (disaster),
maka media penyimpanan kedua (biasanya tape cartridge, removable hard disks,
atau cassettes) digunakan untuk menyimpan program dan data untuk keperluan
backup. Tape back up atau media penyimpan kedua ini harus disimpan di suatu
tempat (disebut juga off-site library) untuk menjamin keberadaan data dari risiko
gangguan bisnis.
Adapun yang di simpan di off-site storage adalah:
a. Prosedur operasional (Standard Operating Procedure) seperti: manual
operating system, buku applikasi, prosedur khusus;
b. Sistem dan dokumentasi program seperti: flowchart, daftar program source
code, penjelasan logika program, kondisi error, user manual.
c. Dokumen input dan output, seperti: copy, summary yang dibutuhkan untuk
audit, klaim asuransi.
d. Business Continuity Plan, seperti copy BCP untuk referensi.
34
2.11.4. Fasilitas keamanan dan pengendalian Offsite (Security and Control of Off-site
Facilities)
Fasilitas pemrosesan informasi yang ada di offsite juga harus dilindungi dan diawasi
seperti site yang original. Hal ini termasuk pengendalian terhadap akses secara fisik
yang memadai seperti pintu yang terkunci, dan terlindungi dari pihak yang tidak
berkepentingan.
Data dan software seharusnya dibackup periodic basis. Adapun strategi backup
harus mengantisipasi kegagalan dari langkah backup. Data yang sensitive harus
disimpan offsite pada lemari penyimpanan tahan api.
2.11.5. Pengujian Rencana Kelangsungan Bisnis (Business Continuity Plan Testing)

Banyak test kelangsungan bisnis yang tidak berhasil sebagaimana mestinya. Oleh
karena itu, test untuk pemulihan kelangsungan bisnis harus dilakukan secara
periodik untuk meminimalkan gangguan pada operasional, guna menentukan
apakah rencana kelangsungan bisnis harus diperbarui. Akhir pekan atau hari libur
adalah saat yang tepat untuk melaksanakan test. Penting bagi anggota team
pemulihan (recovery team) untuk terlibat pada proses tes BCP tersebut.
Tugas IS Auditor dalam melakukan audit terhadap IT Disaster Recovery Plan (IT
DRP) dan Busines Continuity Plan (BCP) meliputi:
a. Mengevaluasi rencana kelangsungan perusahaan untuk menentukan kecukupan
dan keakuratan dengan cara mereview rencana dan membandingkan BCP
dengan standard yang memadai;
35
b. Menverifikasi rencana Kelangsungan Perusahaan (BCP) apakah telah efektif

untuk memastikan bahwa kemampuan pemrosesan informasi telah cukup dan
me-review hasil pengetesan terakhir oleh Departemen Sistem Informasi dan staf
yang terkait;
c. Melakukan evaluasi tempat offsite untuk memastikan kecukupannya, dengan
cara menginspeksi dan me-review isi offsite storage dan pengendalian
lingkungannya;
d. Melakukan evaluasi kemampuan sistem informasi dan staf terkait dalam
merespon secara efektif atas situasi yang gawat dengan cara mereview prosedur
emergensi, training karyawan dan hasil test BCP.
36
BAB III
METODE PENELITIAN
3.1.
Pemilihan Obyek Penelitian

Penelitian merupakan suatu kegiatan yang dilakukan dengan sistematis
dan praktis untuk mencari solusi terhadap suatu masalah. Untuk memilih obyek
penelitian harus dipastikan terdapat masalah di dalam obyek penelitian tersebut,
bukan akibat yang ada.
Obyek penelitian dalam penelitian ini adalah dukungan lingkungan Sistem
Informasi Komputerisasi (SIK) terhadap kelangsungan bisnis perusahaan. Unit
penelitian atau unit observasi dalam penelitian ini PT. AIR. Yang menjadi fokus
penelitian adalah pelaksanaan pengendalian umum lingkungan SIK untuk
mendukung kelangsungan bisnis perusahaan. Penelitian dilakukan untuk
menilai lingkungan SIK memadai dalam mendukung kelangsungan bisnis PT.
AIR.
PT. AIR merupakan perusahaan dagang (furniture dan veneer) yang
menerapkan sistem komputerisasi terintegrasi yang membutuhkan pengendalian
umum SIK. Pengendalian umum terhadap lingkungan SIK yang dilakukan oleh
perusahaan salah satunya bertujuan untuk memastikan lingkungan SIK-nya
dapat mendukung kelangsungan bisnis perusahaan secara memadai.
37
3.2.
Metode & Desain Penelitian

Jenis penelitian yang digunakan adalah survey dengan menggunakan
daftar pertanyaan penelitian (questionnaire). Karena sifat penelitian ini adalah
survey, maka lingkungan penelitiannya adalah lapangan (a field setting
research) dan kemampuan peneliti untuk mempengaruhi fakta (temuan) dalam
penelitian ini adalah ex post facto, yang berarti bahwa peneliti tidak dapat
mengendalikan fakta yang diteliti, karena fakta tersebut sudah ada dan tidak
dapat dimanipulasi. Karena penelitian ini hanya dilaksanakan satu kali, maka
dimensi waktu dalam penelitian ini adalah cross-sectional / one-shot studies
(Uma Sekaran, 2000).
Ditinjau dari tujuannya penelitian ini bersifat deskriptif dan terapan.
Deskriptif dalam arti penelitian ingin juga mengetahui deskripsi atau gambaran
pelaksanaan pemeriksaan atas pengendalian lingkungan sistem informasi
komputerisasi berdasarkan kuesioner yang diberikan kepada key manager saat
melakukan interview. Terapan dalam arti mempunyai tujuan dan memiliki
alasan praktis yaitu untuk mengetahui cara untuk mengimplementasikan
pengendalian umum lingkungan SIK secara lebih baik, efektif dan efisien.
3.3.
Jenis Data
3.3.1. Data Primer

Menurut
Supranto
(2003),
data
primer
yaitu
data
yang
dikumpulkan sendiri oleh peneliti langsung melalui obyeknya. Data
38
primer yang diperoleh: Hasil jawaban kuesioner dan penjelasan tambahan

yang diperoleh dari Manajer IT dan Manajer Keuangan.
Data Primer ini diperoleh pada saat dilakukan Penelitian
Lapangan (Field Research). Dalam teknik pengumpulan data secara
langsung kepada responden guna memperoleh gambaran yang objektif,
penulis mengadakan pengumpulan data dengan jalan mengadakan
penelitian atas obyek yang dibahas.
3.3.2. Data Sekunder

Data Sekunder yaitu data yang diperoleh dalam bentuk yang sudah
jadi atau berupa publikasi, atau data yang sudah dikumpulkan oleh pihak
instansi lain. Data sekunder yang diperoleh: Laporan Keuangan Audited
Tahun 2003 - 2004, Akte pendirian perusahaan dan ADP, Accounting
Software System Manual, Hardware and Network Manual.
Data
Sekunder
diperoleh
dengan
melakukan
Penelitian
Kepustakaan (Library Research). Teknik pengumpulan data ini bertujuan

untuk mengumpulkan data secara teoritis melalui buku-buku ilmiah atau
sumber data lainnya yang terdapat dalam perpustakaan atau sumber data
lain yang dimiliki perusahaan tapi bukan perusahaan yang membuatnya
dan berhubungan dengan penelitian yang dilaksanakan dalam proses
penyusunan tesis ini. Dengan demikian, dapat diketahui atau diperoleh
teori-teori yang mendasari masalah yang dibahas sehingga dapat
membantu dalam melakukan pengevaluasian lebih lanjut.
39
3.4.
3.4.1.
Tehnik Pengumpulan Data

Tehnik Pengumpulan Data Primer
Dalam melakukan Penelitian Lapangan, tehnik pengumpulan data
primer yang dilakukan adalah sebagai berikut:
1. Kuesioner (Questionaire).
Kuesioner adalah tehnik pengumpulan data dengan membuat
pertanyaan-pertanyaan yang jelas dan relevan dengan permasalahan
yang diteliti, kemudian memberikan sejumlah daftar pertanyaan
kepada responden atau perusahaan untuk diisi. Melalui Kuesioner akan
diperoleh data yang akan saling melengkapi hasil wawancara.
Keakuratan data yang diperoleh dari kuesioner sangat dipengaruhi
oleh
kemauan
dan
kemampuan
responden
dalam
menjawab
pertanyaan. Tehnik penyampaian kuesioner adalah dengan mendatangi

secara langsung perusahaan responden yang dianggap lebih efektif dan
praktis. Kuesioner diajukan kepada Key Manager yang memang
cukup berperan dalam kegiatan operasional lingkungan SIK dan
kegiatan bisnis perusahaan.
Kuesioner digunakan akan mengetahui lebih jauh informasi

mengenai pelaksanaan pengendalian umum terhadap lingkungan SIK
dan data yang sehubungan dengan masalah yang dapat mempengaruhi
lingkungan SIK terhadap kelangsungan bisnis perusahaan. Untuk
Kuesioner lihat pada lampiran V dan VI.
40
2. Wawancara (Interview)
Data primer yang diperoleh selama melakukan penelitian lapangan,
merupakan keterangan atau jawaban tambahan yang diperoleh pada
saat dilakukan wawancara langsung (face-to-face) dengan Key
Manager sebagai tanggapan atas kuesioner yang telah mereka terima.
Diperlukan waktu 2 minggu untuk pertemuan yang harus
direncanakan sebelumnya sebanyak 4 kali pertemuan mengingat
padatnya
skedul
manajer-manajer
tersebut.
Wawancara
yang
dilakukan secara terstruktur dan tidak terstruktur agar informasi yang

diperoleh dapat saling melengkapi dan bersifat relevan.
Terdapat penjelasan yang bersifat sangat rahasia, secara etika
penelitian sudah terdapat perjanjian tidak tertulis bahwa informasi
tersebut akan dimanfaatkan informasi ini dengan baik, bijaksana
sejauh hal itu untuk keperluan penelitian ilmiah semata.
Manajemen PT. AIR sangat mendukung penelitian ini mengingat
penelitian ini membawa positive feedback bagi perusahaan untuk
pelaksaanan pengendalian lingkungan SIK yang bertujuan mengetahui
serta menjelaskan Kemampuan Operasional lingkungan SIK PT. AIR
dalam mendukung kelangsungan bisnis perusahaan.
41
3. Pengamatan Langsung (Direct Observation)

Data dikumpulkan dengan melakukan pengamatan langsung atau
melakukan review terhadap obyek penelitian di lokasi penelitian.
Observasi dilakukan dengan tujuan untuk dapat melihat secara jelas
keadaan maupun kondisi yang berlangsung di dalam perusahan.
Diperolehnya data mengenai pelaksanaan pengendalian lingkungan
SIK PT. AIR membutuhkan waktu kurang lebih 2 bulan terhitung
sejak bulan Agustus 2005 sampai dengan September 2005. Untuk
skedul Observasi lihat lampiran VIII. Jadwal Pemeriksaan Lingkungan
SIK PT. AIR.
3.4.2.
Tehnik Pengumpulan Data Sekunder

Dalam melakukan Penelitian Kepustakaan, tehnik pengumpulan
data sekunder yang dilakukan adalah Dokumentasi Kepustakaan yaitu
tehnik pengumpulan data dengan mengambil data-data berbentuk teori,
serta informasi yang mendukung mengenai pelaksanaan pemeriksaan
lingkungan SIK pada PT. AIR. Data yang besifat landasan teori yang
menunjang penelitian ini dapat di lihat pada Bab 2 Telaah Kepustakaan.
3.5.
Rencana Persiapan Pengumpulan Data

Rencana persiapan pengumpulan data adalah langkah persiapan yang
dilakukan mulai dari awal penelitian sampai pengumpulan data sudah selesai.
Persiapan Pengumpulan Data terdiri dari langkah-langkah berikut:
42
1. Peninjauan Pendahuluan. Mempersiapkan pengetahuan umum mengenai

obyek penelitian dan unit penelitian. Obyek penelitian adalah Divisi IT dan
unit penelitian adalah PT. AIR. Dari data sekunder diperoleh informasi
mengenai sejarah perusahaan, bidang usaha (companys core business),
skala perusahaan, sistem informasi yang diterapkan, infrastruktur yang
dimiliki perusahaan, dan pengetahuan umum lainnya mengenai perusahan.
Seluruh informasi dasar ini akan menjadi bahan perbandingan dengan
jawaban kuesioner.
2. Melakukan persiapan untuk Wawancara, Kuesioner, serta Observasi.

Mempersiapkan kuesioner untuk memperoleh data selama observasi
langsung dengan skedul yang telah disepakati bersama dengan pihak
responden. Kuesioner di susun untuk mengetahui tingkat ketaatan
perusahaan dalam melaksanakan fungsi pengendalian umum. Kuesioner
ketaatan diberikan kepada divisi yang dapat mempengaruhi kelangsungan
bisnis perusahaan. Mengingat konsentrasi penelitian lebih terfokus terhadap
pelaksanaan pengendalian lingkungan SIK, maka seluruh pertanyaan
kuesioner dirancang untuk pengumpulan informasi lingkungan SIK saja.
3. Dokumentasi serta Pooling data untuk proses selanjutnya. Setelah

menerima lembar jawaban kuesioner yang telah dijawab, lalu tahap
berikutnya adalah mendokumentasikan jawaban tersebut, hasil wawancara
dengan manajer yang bersangkutan, dan mengedit ulang hasil observasi
43
langsung untuk melengkapi keterangan jawaban kuesioner. Seluruh jawaban

kuesioner yang ditulis tangan, hasil pengamatan langsung serta hasil
wawancara didokumentasikan dengan baik untuk proses selanjutnya. (lihat
point 3.4. Tehnik Pengolahan Data)
3.6.
Tehnik Pengolahan Data

Setelah data yang dibutuhkan telak dikumpulkan, tahap selanjutnya dalam
penelitian adalah tahap pengolahan data. Dalam tahap ini, data diolah melalui
suatu proses analisis sehingga memberikan hasil yang sesuai dengan tujuan
penelitian, yaitu memecahkan permasalahan yang sedang dihadapi. Proses
pengolahan data merupakan proses yang sangat penting karena merupakan
masukan yang menentukan bermutu atau tidaknya suatu penelitian.
Dalam melakukan pengolahan data, tehnik pengolahan data yang
dilakukan dalam pemeriksaan terhadap pengendalian lingkungan SIK pada PT.
AIR adalah sebagai berikut:
1. Editing
Pada tahap ini data yang diperoleh, diseleksi kembali untuk memperoleh
data yang benar-benar berhubungan dengan masalah yang sedang diteliti.
Biasanya editing dilakukan terhadap daftar-daftar pertanyaan untuk
mengetahui apakah terdapat kesalahan dalam pengisian daftar pertanyaan,
atau adanya ketidak-serasian antar data, serta menghilangkan data yang
tidak dibutuhkan. Melalui editing, diharapkan dapat meningkatkan
keandalan data yang akan dianalisis.
44
2. Verifying
Kegiatan yang dilakukan pada tahap ini adalah memeriksa apakah data yang
sudah terkumpul relevan dengan penelitian yang akan dilakukan dan untuk
mengetahui apakah hasil-hasil penelitian sesuai dengan teori yang ada
mengenai masalah yang bersangkutan.
Hasil-hasil yang diperoleh dari suatu penelitian diperiksa benar tidaknya
melalui 2 (dua) cara, yaitu:
a. Penyelidikan dari sumber-sumber kesalahan yang mungkin ada di
dalam penelitian.
b. Evaluasi tentang tingkat akseptabilitas hasil, baik atas dasar teoritis
maupun empiris.
3. Analyzing (Evaluating)
Kegiatan yang dilakukan pada tahap ini adalah menganalisis data yang
diperoleh dan menarik kesimpulan dari analisis yang dilakukan sehingga
dapat diperoleh suatu gambaran yang memadai mengenai obyek penelitian.
Metode yang digunakan untuk menganalisa data yang diperoleh adalah
Metode Deskriptif Analisis Kualitatif. Analitis kualitatif dilakukan dengan
membandingkan standar atau kriteria yang diperoleh dari studi kepustakaan
dengan data atau kinerja sebenarnya yang diperoleh dari hasil penelitian
langsung ke perusahaan. Analisis kualitatif ini membantu memperoleh
gambaran tertentu yang lebih jelas dan terperinci, mengenai suatu keadaan
berdasarkan informasi / data yang telah dikumpulkan, diklasifikasikan dan
45
diinterpratasikan sehingga diperoleh informasi yang diperlukan untuk

menganalisis masalah yang akan diteliti.
Tujuan digunakannya analisis kualitatif adalah untuk menemukan fakta
apakah data dan kinerja obyek penelitian telah sesuai dengan standar atau
kriteria dalam landasan teori yang diperoleh dari telaah kepustakaan.
Hasil evaluasi data akan menjelaskan dan menguraikan hal-hal sebagai berikut:
a. Landasan Teori atas Pelaksanaan pengendalian yang ideal (sesuai
dengan peraturan ketaatan yang berlaku umum)
b. Temuan Pelaksanaan yang terjadi dalam praktek (sesuai fakta
kondisi pada PT. AIR)
c. Efek Negatif yang dihasilkan kondisi tersebut jika tidak dilakukan
suatu perubahan.
d. Kesimpulan mengenai pelaksanaan pengendalian umum lingkungan
SIK PT. AIR
e. Rekomendasi terhadap suatu kondisi dan diharapkan atau sesuai
dengan teori dan dapat diimplementasikan pada perusahaan dengan
tujuan untuk mencapai kondisi yang lebih baik, efektif dan efisien.
3.7.
Elemen-Elemen yang akan dievaluasi

Elemen-elemen pengendalian umum yang dijelaskan, harus diklasifikasikan
untuk dapat menjawab pokok permasalahan dalam penelitian. Elemen-elemen
pengendalian umum tersebut mencakup:
46
a. Pengendalian organisasi.
b. Pengendalian administratif.
c. Pengendalian pengembangan dan pemeliharaan sistem.
d. Pengendalian hardware dan software.
e. Pengendalian dokumentasi.
Diharapkan pada akhir tahap pengevaluasian data, maka dapat menyelesaikan

Pokok permasalahan yang sedang diteliti, yaitu:
a. Bagaimana menyakinkan bahwa Pengendalian Umum lingkungan
sistem informasi komputerisasi (SIK) PT. AIR telah memadai?
b. Bagaimana menyakinkan bahwa Pengendalian Umum SIK secara
On-Line PT. AIR telah memadai?
c. Bagaimana menyakinkan bahwa Operasional lingkungan SIK PT.
AIR telah mendukung kelangsungan bisnis perusahaan?
47
BAB IV
GAMBARAN UMUM PERUSAHAAN
4.1.
Sejarah Singkat Perusahaan

PT AIR didirikan pada tahun 1987 dengan Akta Notaris Sri Nanning, SH
No. 2 tanggal 24 Oktober 1987. Akta Pendirian PT AIR tersebut telah
memperoleh persetujuan dari Menteri Kehakiman Republik Indonesia sesuai
Surat Keputusan No. C2-8109 HT.01.01 tahun 1988 tanggal 5 September
1988.
PT AIR pada awalnya berkedudukan di Semarang. Khusus untuk pembuatan
furniture, perusahaan membuat furniture di Jepara. Setelah beberapa tahun
melaksanakan operasi di Semarang, pada tahun 1991 PT AIR memindahkan
kegiatan operasionalnya dari Semarang ke Jakarta yang dijadikan sebagai
Kantor Pusat dan berlokasi di Jakarta Barat.
Dalam perkembangan selanjutnya, atas Akta Pendirian tersebut telah
diadakan perubahan-perubahan, tahun 1997 dengan Akta Notaris Sri
Nanning, SH No. 45 tanggal 16 Juni 1997, dan terakhir dengan Akta Notaris
Ny. Maria Lidwina Indriani Soepojo, SH, No. 13 tanggal 18 Februari 1998.
Perubahan tersebut, antara lain, meliputi perubahan dalam kepemilikan
saham, susunan anggota Dewan Komisaris dan Dewan Direksi. Persetujuan
dari Menteri Kehakiman Republik Indonesia atas perubahan Akta Pendirian
yang terakhir tersebut diatas diberikan dibawah No. C2 13.153 HT. 01.04.
Th. 1998 tanggal 7 September 1998.
48
Dewasa ini seluruh kegiatan PT AIR telah berlokasi di Jakarta seluruhnya.

Pusat kegiatan operasional dari Semarang pun telah di pindahkan ke Jakarta,
dan lokasi kegiatan pabrikasi furniture dipindahkan ke daerah Jakarta Barat.
Gudang yang berada di Jakarta Barat, selain berfungsi sebagai tempat untuk
penyimpanan barang, juga digunakan untuk memperluas kegiatan pabrikasi
dan sebagai tempat ruang kerja (work shop).
4.2.
Lokasi dan Bidang Usaha Perusahaan

Perseroan berdomisili di Jakarta, Indonesia. Kegiatan utama PT AIR
adalah dalam bidang perdagangan (trading), yaitu perdagangan Veneer,
Plywood & MDF dan Furniture. PT AIR sudah melakukan export trading
sejak berdomisili di Semarang dengan konsentrasi pasar Eropa (Inggris,
Perancis, Canada dan Amerika Serikat), pasar Asia (Jepang, Thailand dan
Malaysia) serta pasar domestik Indonesia. Disamping kegiatan bidang
perdagangan, PT AIR juga melaksanakan kegiatan di bidang Jasa
Laminating dan Interior Design, serta melaksanakan kegiatan proses
pabrikasi furniture. Dewasa ini perusahaan mempunyai 6 (enam) Divisi
bidang usaha, yaitu: Divisi Veneer, Divisi Furniture, Divisi Plywood &
MDF, Divisi Laminating, Divisi Interior Design, dan Divisi Marquetery.
Perkembangan Divisi-divisi bidang usaha perusahaan dari sejak awal
perusahaan berdiri, dapat diuraikan sebagai berikut:
1. Divisi Veneer, mulai melaksanakan kegiatan operasi pada tahun 1991.
Merupakan divisi trading pertama (setelah berdomisili di Jakarta).
49
2. Divisi Furniture, berdiri pada tahun 1992. Divisi ini berdiri setelah
perusahaan berhasil
mengembangkan Divisi Veneer. Divisi ini
melaksanakan kegiatan pabrikasi furniture dan melaksanakan kegiatan

trading secara lokal dan eksport.
3. Divisi Plywood & MDF, didirikan pada tahun 1995, yaitu divisi trading
secara retail.
4. Divisi Laminating, didirikan tahun 1996. Divisi tersebut berdiri untuk
sebagai pelengkap (penunjang) karena semakin banyaknya konsumen
yang membeli veneer maupun plywood & MDF.
5. Divisi Interior Design, berdiri tahun 1997. Divisi tersebut berdiri setelah
kelima divisi diatas berdiri. Divisi ini memberikan jasa interior design
untuk keperluan hotel, convention room, perumahan, sekolah/perguruan
tinggi, ruang tamu, kitchen set, bar pantry, dll.
6. Divisi Marquetery, divisi terakhir yang didirikan pada tahun 1999,
merupakan divisi yang termasuk dalam "mata rantai pelengkap
(penunjang)" kegiatan operasi perusahan. Divisi Marquetery tersebut
melaksanakan kegiatan pembuatan ornamen/hiasan pada kayu.
Yang dimaksud dengan istilah "mata rantai" adalah gabungan aktivitas

tiap-tiap divisi dan bersifat komplementer, seperti veneer, plywood & MDF,
laminating dan marquetery. Konsumen membeli veneer secara retail, tapi ia
harus menempelkan veneer tersebut pada plywood & MDF. Untuk
menempelkan veneer pada plywood/MDF membutuhkan jasa laminating.
50
Tetapi konsumen sekarang tidak hanya membeli kayu berlapis veneer tetapi
juga kayu yang memiliki hiasan/ornamen yang terpatri pada kayu lapis
tersebut. Proses pembuatan ornamen inilah merupakan jasa divisi
Marquetery, dan untuk tahap penyelesaian harus melalui proses laminating
kembali.
4.3.
Struktur Organisasi dan Uraian Tugas

4.3.1.
Struktur Organisasi
Susunan Dewan Komisaris terdiri dari Presiden Komisaris dan
Anggota Komisaris. Susunan Dewan Direksi terdiri dari Presiden
Direktur dan Anggota Direksi.
Adapun struktur organisasi PT AIR dapat dilihat pada lampiran II.
4.3.2.
Uraian Tugas (Job Description)

Dibawah ini adalah uraian tugas masing-masing fungsi dalam
struktur organisasi perusahaan PT AIR.
1. Dewan Komisaris
Dewan Komisaris mempunyai tugas dan tanggung jawab sebagai
berikut:
a.
Memberikan nasihat, mengarahkan serta mengawasi setiap

kebijakan dan tindakan yang dilakukan oleh Dewan Direksi
(Presiden Direktur dan anggota Direksi) agar tidak
51
menyimpang dari anggaran dasar dan peraturan lainnya

yang telah ditetapkan oleh perusahaan.
b.
Melaksanakan penilaian atas kinerja (performance) dari

Dewan Direksi.
c.
Melaksanakan tugas-tugas lainnya sesuai dengan anggaran

dasar perusahaan dan melaksanakan keputusan-keputusan
hasil Rapat Umum Pemegang Saham (RUPS).
2. Presiden Direktur
Tugas dan tanggung jawabnya sebagai berikut:
a.
Bertanggung jawab atas kelancaran jalannya perusahaan

kepada
Dewan
Komisaris
dengan
mengkoordinir,
mengarahkan dan mengawasi jalannya kegiatan perusahaan

agar sesuai dengan tujuan dan kebijakan perusahaan yang
telah ditetapkan.
b.
Memimpin
perusahaan
dengan
mengorganisir
serta
mengawasi pelaksanaan seluruh kegiatan perusahaan, baik

kegiatan operasional maupun kegiatan non operasional.
c.
Mengkoordinir
penyusunan
rencana
kerja
secara
keseluruhan, menetapkan arah kebijakan perusahaan dan

mengambil
keputusan
untuk
kelancaran
mekanisme
perusahaan.
d.
Melakukan Approval/Pengesahan dan Otorisasi.
52
e.
Mewakili
perusahaan
dalam
segala
kejadian
yang
berhubungan dengan perusahaan, baik yang bersifat

internal maupun eksternal.
f.
Wajib memberikan laporan yang diperlukan oleh dewan

komisaris.
3. Direktur Keuangan
a.
Bertanggung jawab dalam bidang keuangan perusahaan

kepada
Presiden
Direktur
dengan
mengkoordinir,
mengarahkan dan mengawasi jalannya kegiatan perusahaan

agar sesuai dengan tujuan dan kebijakan perusahaan yang
telah ditetapkan.
b.
Mengorganisir serta mengawasi pelaksanaan kegiatan

keuangan perusahaan.
c.
Mengambil keputusan sesuai dengan wewenangnya untuk

kelancaran mekanisme operasional perusahaan.
d.
e.
Mengkoordinir penyusunan rencana kerja dan anggaran

perusahaan, baik jangka pendek maupun jangka panjang.
f.
Mengevaluasi pelaksanaan tugas dan menilai kinerja

(performance) dari Manajer Akuntansi dan Keuangan
(Finance & Accounting Manager).
53
g.
Mewakili
perusahaan
dalam
segala
kejadian
yang
berhubungan dengan perusahaan, baik yang bersifat intern

maupun ekstern.
h.
Memberikan laporan yang diperlukan oleh Presiden

Direktur.
4. Manajer Keuangan & Akuntansi (Finance and Accounting

Manager)
Manajer Keuangan & Akuntansi membawahi bagian Piutang
Dagang, bagian Keuangan, bagian Akuntansi, bagian administrasi
Penjualan dan bagian administrasi Persediaan.
Tugas dan tanggung jawabnya adalah:
a.
Merencanakan, mengawasi dan mengkoordinasikan semua

kegiatan administrasi dan keuangan perusahaan.
b.
Mengawasi posisi likuiditas dan operasi perusahaan serta

mengatur aliran kas masuk dan aliran kas keluar.
c.
Menyediakan dana untuk anggaran yang diperlukan.
d.
Melaksanakan
proses
pembayaran
untuk
keperluan
operasional (rutin), pembayaran hutang, pembayaran pajak,

dsb.
54
4.1. Kepala Bagian Keuangan

Secara garis besar tugas dan tanggung jawab bagian
Keuangan adalah mengatur dan menganalisa arus kas
perusahaan,
mulai
dari
penagihan
sampai
dengan
pembayaran kepada pihak ketiga. Oleh karena itu dalam

melaksanakan tugasnya, kepala bagian keuangan dibantu
oleh bagian penagihan dan kasir. Bagian penagihan
mempunyai tanggung jawab melakukan penagihan atas
piutang usaha perusahaan dan melaporkan hasil penagihan
itu kepada kepala bagian keuangan, sedangkan kasir
mempunyai tugas menerima kas atau uang hasil penagihan
piutang usaha.
4.2. Kepala Bagian Akuntansi

Pengelolaan
administrasi
di
bagian
Akuntansi
dilaksanakan secara komputerisasi.

Tugas dan tanggung jawab Kepala Bagian Akuntansi secara
garis besar sebagai berikut:
(1) Menyiapkan laporan keuangan perusahaan seperti
neraca, laporan laba-rugi dan laporan arus kas dan
laporan lainnya.
55
(2) Membuat analisa atas laporan yang dibuatnya dan

memberikan rekomendasi penting kepada Manager
Keuangan & Akuntansi.
(3) Memeriksa semua bukti-bukti pembayaran sebelum
pembayaran dilakukan (fungsi verifikasi).
(4) Menyelenggarakan akuntansi umum dan biaya:
(a) Pengawasan data entry dari voucher Journal
(b) Review untuk data entry / transaksi dan Adjustment
(c) Perhitungan Persediaan setiap awal periode dan
akhir periode membuat adjustment atas persediaan
(d) Melakukan perhitungan HPP (Cost Accounting)
(e) Bertanggung jawab langsung dalam penyusunan
Arus Kas
(f) Menyiapkan laporan untuk disampaikan kepada
Direksi.
5. Direktur Operasional
a.
Bertanggung jawab atas kelancaran jalannya kegiatan

operasional perusahaan kepada Presiden Direktur dengan
mengkoordinir, mengarahkan dan mengawasi jalannya
kegiatan perusahaan agar sesuai dengan tujuan dan kebijakan
perusahaan yang telah ditetapkan.
56
b.
Mengorganisir
serta
mengawasi
pelaksanaan
seluruh
kegiatan operasional perusahaan.

c.
Mengambil keputusan sesuai dengan wewenangnya untuk

kelancaran mekanisme operasional perusahaan.
d.
Mengevaluasi pelaksanaan tugas dan menilai kinerja

(performance) dari para Manajer Operasional.
e.
f.
Menyusun perencanaan operasional jangka pendek dan

panjang.
g.
Mewakili
perusahaan
dalam
segala
kejadian
yang
berhubungan dengan perusahaan, baik yang bersifat internal

maupun eksternal.
h.
Memberikan laporan
yang diperlukan oleh Presiden
Direktur.
Dalam melaksanakan tugasnya, Direktur Operasional membawahi:

1) Manager Veneer
2) Manager Laminating
3) Manager Plywood & MDF
4) Manager Marquetry
5) Manager Furniture
6) Kepala Divisi Interior Design
7) Manajer Information Technology (IT)
57
5.1.
Manajer Information Technology (IT)

a. Memastikan bahwa semua sistem dapat berfungsi dengan baik.
b. Meminimalisasi downtime, maintain network performance.
c. Bertanggungjawab atas data dan file perusahaan.
d. Dapat mengembangkan sistem yang dibutuhkan perusahaan sesuai
dengan perkembangan teknologi.
e. Membuat suatu dokumentasi dan memastikan bahwa dokumentasi IT
tepat waktu, akurat dan lengkap.
f.
Mengembangkan dan mengimplementasikan kebijakan dan prosedur

untuk mendukung operasional server dan software sesuai dengan
kebutuhan perusahaan.
5.2. 3 Sub-Divisi IT.

Dalam menjalankan fungsinya, Manajer IT di bantu oleh sub-divisi yang
diharapkan dapat mendukung fungsi pelaksanaan pengendalian lingkungan
SIK secara menyeluruh. 3 Sub divisi IT itu terdiri dari:
Unit Pengembangan Aplikasi (Application Development Unit);

Unit ini adalah kelompok yang terdiri dari supervisor, system analyst,
programmer, serta system administrator. Unit pengembangan
aplikasi akan meneliti program yang akan dibangun untuk
mendukung kinerja server, serta melakukan pelatihan yang perlu
dilakukan. Pengawasan terhadap kestabilan sistem juga dilakukan
58
secara on-screen monitor pada server. Fungsi pengawasan lalu-lintas

data dari server (Data Base System Management/DBSM) melalui
jaringan dilakukan nya bersama dengan Unit engineering jaringan.
Unit Engineering Jaringan (Network Engineering Unit);

Unit Jaringan adalah tim yang mendukung pengadaan jaringan,
pengawasan jaringan serta maintenance jaringan. Selama melakukan
kegiatan pemeliharaan jaringan, bersama dengan System Support
Team untuk merawat infrastruktur jaringan di perusahaan. Dan
melakukan pengawasan bersama dengan Development unit untuk
mengembangkan program utilitas yang dapat mempermudah
pengawasan lalu-lintas data melalui server.
Unit Operasional (Operation Unit):

o
Implementasi Sistem (System Implementation);

Unit ini bertanggung jawab atas kelancaran program
aplikasi yang digunakan setiap komputer. Mereka juga
bertugas untuk melaksanakan pemberian anti virus dan
memperbaiki sistem yang crash (hanged),
menginstal
ulang program yang diperlukan.

o
Pendukung Teknik (Technical Support).

Unit ini bertanggung jawab atas kesehatan komputer secara
fisik serta masalah-masalah teknikal yang memerlukan
penanganan langsung, penginstalan devicess driver serta
pengawasan komputer secara fisik.
59
Unit Operasional juga sering disingkat menjadi System Support Team

dalam arti tim yang melakukan kegiatan System Implementation dan
Technical Support. Penggolongan ini dibuat berdasarkan fungsi Unit
Operasional tersebut.
Sedikit sejarah mengenai software Abi Pro, Pada awalnya software

AbiPro versi DOS ini merupakan customable paket software dengan
limited sharing system. Saat itu PT. AIR belum memiliki Divisi IT
sehingga ketergantugan terhadap programmer (software provider)
sangat tinggi. Setelah mempertimbangkan cost-benefit dari segala
aspek terutama masalah biaya konsultasi software, maka Manajer
Keuangan mengusulkan perusahaan untuk membentuk suatu kelompok
Pengembangan Program yang tujuannya untuk menyesuaikan paket
software
tersebut
dengan
kebutuhan
perusahaan.
Manajemen
merasakan pentingnya kelompok ini yang akhirnya di kukuhkan

sebagai kelompok Programmer dan Maintenance. Pengembangan terus
dilakukan sampai program tersebut dapat digunakan oleh seluruh staff
F&A sekaligus operator data entry (sebelumnya hanya terbatas pada
direktur, manajer F&A dan 1 orang operator saja). Sekarang dengan
berdirinya divisi IT sebagai divisi yang independen, mereka telah
menunjukkan dedikasi terhadap perkembangan perusahaan.
60
BAB V
ANALISIS DAN PEMBAHASAN
Pada bab ini, dilakukan analisis mengenai pelaksanaan pemeriksaan sistem informasi
pada PT AIR dengan tujuan untuk menyakinkan bahwa Pengendalian Umum
lingkungan SIK telah memadai, Pengendalian Umum lingkungan SIK secara On-Line
telah memadai, dan meyakinkan bahwa kegiatan operasional lingkungan SIK PT.
AIR telah mendukung kelangsungan bisnis perusahaan. Penelitian lapangan
dilakukan pada bulan Agustus September 2005. Dalam penelitian terhadap
pelaksanaan pemeriksaan sistem informasi pada PT AIR, penulis berperan sebagai IS
Auditor. Adapun rencana kerja pelaksanaan pemeriksaan sistem informasi pada PT
AIR dapat dilihat pada lampiran VIII.
Dalam proses perencanaan pemeriksaan, harus dipahami keseluruhan
lingkungan sistem informasi komputerisasi / SIK (IS environment) yang diReview,
meliputi pemahaman mengenai business practices, fungsi yang berkaitan dengan
obyek pemeriksaan (dalam arti obyek penelitian), dan tipe sistem informasi yang
mendukung aktivitas bisnis perusahaan.
Langkah-langkah yang dilakukan untuk mendapat pemahaman mengenai
business practices PT AIR antara lain:
Membaca bahan-bahan seperti: publikasi industri, laporan keuangan tahunan

(annual report);
61
Review rencana strategis jangka panjang (terdapat di dalam master plan);
Wawancara dengan Key Manager (Finance and Accounting Manager dan IT

Manager) untuk memahami business issues serta perubahan-perubahan
terencana yang akan diimplementasikan pada perusahaan dalam waktu 2-3
tahun mendatang.
Pembahasan pada Bab 5 terdiri dari 3 materi utama, yaitu:

1. Pengendalian Umum.
2. Pengendalian Umum SIK secara On-Line. (Pengendalian Intern DBMS)
3. Dukungan Kegiatan Operasional Lingkungan SIK bagi kelangsungan bisnis
perusahaan.
5.1.
Pengendalian Umum
Tujuan pengendalian umum (general control) sistem informasi komputer
(SIK) adalah untuk membuat kerangka dasar pengendalian menyeluruh atas
aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa
tujuan pengendalian intern secara keseluruhan dapat tercapai dan telah
memadai.
Dalam
Pengendalian
Umum
akan
diuraikan
mengenai:
Pengendalian Organisasi, Pengendalian Administratif, Pengembangan dan

Pemeliharaan Sistem, Pengendalian Hardware dan Software, Pengendalian
Dokumentasi, serta Pengendalian Keamanan.
62
5.1.1. Pengendalian Organisasi

Tujuan secara Keseluruhan : Untuk memastikan bahwa Pemisahan tugas
yang memadai untuk mencegah adanya ketidakcocokan fungsi personil IT
dalam divisi dan antara divisi IT dengan pemakai, Pencegahan akses tidak
sah terhadap peralatan komputer, program, dan file data oleh karyawan IT
maupun pemakai.
1. Perusahaan memiliki bagan dan struktur organisasi divisi IT.

Kondisi yang ada pada PT. AIR:
PT. AIR telah memiliki bagan dan struktur organisasi secara tertulis, dan
sudah terdapat pembagian tugas (Job Description) pada masing-masing
divisi yang sesuai dengan organisasi. Untuk Struktur Organisasi, lihat
lampiran II.
Divisi IT berdiri sebagai suatu divisi yang independen, dan karena itu divisi
tersebut tidak akan terlibat dengan transaksi dan tidak ada kegiatannya yang
menyangkut kepemilikan asset perusahaan.
Struktur organisasi telah sesuai, dimana Manajer IT memberikan laporan
secara langsung ke Direktur. Jumlah staf IT sesuai dengan kebutuhan bisnis.
Jumlah staf IT tidak berubah sejak tahun lalu. Pemisahan tugas dalam divisi
IT sesuai dengan ukuran organisasi. Pengawasan telah memadai untuk
memonitor operasional IT.
63
Divisi IT dibagi menjadi 3 sub divisi, yaitu:

a. Unit Pengembangan Aplikasi (Application Development Unit);
b. Unit Engineering Jaringan (Network Engineering Unit);
c. Unit Operasional (Operation Unit):
-
Implementasi Sistem (System Implementation);
Pendukung Teknik (Technical Support).
2. Terdapat pengendalian yang menjamin bahwa analis sistem (system analyst)

/ pemrogram (programmer) tidak dapat akses terhadap file berjalan (Current
file).
PT. AIR sudah menjalankan sistem pengendalian untuk keamanan data
dengan menggunakan sistem Password, sehingga akses user disesuaikan
dengan level password yang dimilikinya.
Sistem Analis dan Pemrogram memiliki akses kedalam file berjalan, tapi
akses tersebut hanya mencakup areal divisi IT saja. Untuk Data keuangan
(yang di awasi langsung oleh Kepala Bagian Keuangan) tidak mengijinkan
sistem analis dan pemrogram untuk dapat mencapai akses tersebut, karena
itu dibuat pembatasan secara Files Sharing Policy. Begitu pun sebaliknya.
64
Selain protokol file sharing, Divisi IT bersifat sebagai divisi yang

independen, sehingga tidak terlibat dalam kegiatan transaksi perusahaan.
3. Terdapat pengendalian yang menjamin bahwa terdapat pemisahan fungsi
yang jelas, ada program rotasi tugas secara periodik, staff yang bertanggung
jawab menyiapkan Input berbeda dengan staff yang memasukkan Input,
semua fungsi atas data Input dilakukan oleh personil yang berbeda dari
programmer, bahwa Output diperiksa karyawan yang lain dari yang
melaksanakan Input.
PT. AIR sudah melaksanakan pemisahan fungsi untuk menghindari adanya
penggunaan data yang tidak terotorisasi. Masing-masing divisi juga
mengadakan operator khusus untuk meng-input data dan operator tersebut
bukanlah bagian dari divisi IT. Data masukan (Input) serta hasil keluaran
(Output) akan melalui proses validasi sebelum di update kedalam server
induk. Staff IT tidak diperkenankan untuk mengakses data dan software di
lingkungan produksi kecuali membantu user dalam mengembangkan
program aplikasi, mengatasi masalah sistem, instalasi software, memberikan
training kepada user dan System support serta perawatan hardware.
PT. AIR tidak melakukan program rotasi tugas secara periodik dengan
alasan pertama bahwa masing-masing staff yang ditempatkan sudah pada
posisi yang dinilai manajemen (manajer IT) sudah optimal dan kedua
65
program rotasi tugas secara periodik membutuhkan banyak biaya pelatihan

(training cost) serta waktu penyesuaian kembali dari pegawai yang bila
diukur secara keseluruhan akan menurunkan performa divisi bersangkutan.
Secara umum, rotasi tugas tidaklah efektif, high economic cost dan tidak
dapat diterapkan pada perusahaan.
PT. AIR menerapkan sistem On-Line Batch system dengan proses

selanjutnya, maksudnya adalah setiap data Input dan Output akan melalui
tahapan validasi sebelum di update ke server induk. Bila data tidak di
validasi atau tidak di approved, maka data itu akan di reject secara otomatis,
tidak di update ke server induk dan menunggu adanya approval selanjutnya
atau dengan cara menarik kembali data tersebut untuk di koreksi dan
dikirimkan kembali untuk otorisasi. Dalam kebanyakan kasus memasukkan
data ditemukan minor failure yang dapat diatasi secara langsung oleh
masing-masing kepala divisi yang melakukan fungsi pengawasan dan
melakukan otorisasi. Hal yang menyebabkan kejadian ini biasanya Human
Error karena kurangnya ketelitian dan sebagian adalah masalah dokumentasi
karena kurang jelasnya informasi yang tertera pada dokumen (contoh: hasil
print out dengan tembusan karbon kurang nyata)
66
Efek Negatif: Pihak manajemen akan membutuhkan waktu lebih lama untuk
memeriksa karena kesalahan minor yang diperbuat karyawan akan semakin
susah untuk dilacak kembali. Bila kesalahan nya cukup besar dan terlihat,
maka manajemen akan lebih mudah untuk mengkoreksi kesalahan tersebut.
Salah satu Kesalahan minor yang dapat langsung diperbaiki oleh manajemen
adalah sliding, yaitu penginputan angka yang berdempetan dan ditulis secara
bergeser/terbalik. Contoh: seharusnya 63.000.000, tapi ditulis 36.000.000,
angka ini akan membuat saldo akhir menjadi tidak seimbang. Selisih saldo
tersebut akan habis di bagi dengan angka 9 (sembilan), dengan mengetahui
hal ini, pegecekan ulang data lebih cepat karena mereka sudah
mengidentifikasi lebih awal adanya data yang di input sliding (angka yang
bergeser).
Rekomendasi: Manajemen diharapkan dapat memperketat pengawasan dan
menganjurkan karyawan untuk meningkatkan kompetensi mereka serta
ketelitian dalam memasukkan data.
4. Ada pengawasan terhadap staff yang karena tugasnya mempunyai hak akses
yang tidak terbatas (unlimited access) terhadap sistem.
Secara prosedur kepada setiap karyawan diberikan hak akses data
berdasarkan posisi dan fungsi mereka dalam melaksanakan tugas sehari-
67
harinya. Menurut posisinya, level keleluasaan akses dan otorisasi di bagi

menjadi:
-
Level 1: Owner, Direktur, Manajer IT & System Admin (Semua program

standar
dan
program
tambahan,
Data
entry,
Confirmation,
Verification/Validation, Data Modification untuk Direktur, System Reset

untuk Admin)
-
Level 2: Manajer IT & Staff Program Development, Manajer F&A, Staff

IT untuk Jaringan (Semua program standar sesuai keperluan divisi dan
program-program tambahan lainnya, Data entry, Confirmation &
Verification / Validation)
Level 3: Staff F&A (Semua program standar untuk divisi F&A serta
program akuntansi AbiPro, Data entry & Confirmation)
Level 4: Operator staff (Outlook express dan khusus untuk Data Entry
saja) dan Staff Interior Design (Program standar dan program
multimedia, Outlook
Level 5: Resepsionist (untuk korespondensi ke Klien, penerimaan

telepon, akses terbatas pada address book serta program aplikasi lainnya,
outlook express, dan tidak ada data keuangan yang dapat ditampilkan
dan/atau di print out disini)
Level 6: End User (Calon/Klien untuk lihat demo produk dalam basis
web presentation, VCD, dan katalog produk elektronik)
68
Tidak ada staff dari PT. AIR yang memiliki akses tidak terbatas (Unlimited
Access) kecuali level Direktur.
Dalam praktek nya, Manajer Keuangan juga memiliki akses tidak terbatas
dengan delegasi langsung dari Direktur Keuangan, jadi hanya posisi manajer
keuangan saja yang memiliki 2 macam password. (selain Manajer IT)
Diakui oleh manajer keuangan itu sendiri bahwa pendelegasian password
level direktur terhadapnya disebabkan oleh rasa kepercayaan direktur
(sebagai tangan kanannya) dan karena direktur sering pergi dinas keluar
negeri. Hal ini juga dapat mendukung pengambilan keputusan yang
dianggap cukup kritis. Disini terjadi suatu pendelegasian password sekaligus
pendelegasian wewenang pada sektor keuangan perusahaan.
Efek Negatif: Hal mengkhawatirkan yang perlu diperhatikan adalah dengan

memberikan wewenang yang terlalu lebar ke Manajer Keuangan adalah
Perusahaan akan menjadi tergantung pada manajer keuangan tersebut.
Belum lagi mempertimbangkan kemungkinan perubahan perilaku manajer
keuangan serta kemungkinan penyalahgunaan yang dapat berdampak
signifikan bagi perusahaan.
69
Hasil Review: Ditemukan bahwa tidak ada penyalahgunaan akses oleh

manajer keuangan, dan persentase resiko akibat pendelegasian password
tersebut
adalah
minim
mengingat
sikap
manajer keuangan
yang
bertanggung jawab dan selalu mengikuti prosedur yang berlaku. Dari sudut
pandang lain, secara operasional pendelegasian wewenang tersebut tidak
berpengaruh terhadap kinerja perusahaan dan operasional perusahaan
khususnya sektor akuntansi dan keuangan berjalan dengan lancar. Dan bila
di pandang dengan prinsip utilitarian, manfaat dari pendelegasian
wewenang tersebut lebih besar dari resiko yang diperkirakan dapat
merugikan perusahaan secara keseluruhan. Maka disimpulkan bahwa
pengawasan terhadap pegawai yang memiliki akses tidak terbatas pada PT.
AIR telah memadai.
5. Fungsi dan kewajiban operator berbeda dan terpisah dari fungsi

programmer, dan tugas karyawan IT terpisah dari semua tugas yang
berhubungan dengan inisiasi transaksi dan perubahan master file.
Pada PT. AIR Fungsi dan kewajiban operator memang berbeda dan sudah
terpisah dari programmer. Tugas karyawan IT sudah terpisah dari kegiatan
yang berhubungan dengan inisiasi transaksi dan perubahan master file.
Apabila terdapat kemungkinan kondisi dimana programmer dapat
70
mengakses current file, peristiwa ini hanya terjadi pada saat maintenance
server dan Proses penindakan virus komputer (System support Activity).
Current file di akses untuk di lakukan anti virus dan tidak dapat di lakukan
perubahan atas current file tersebut karena ada pembatasan akses sesuai
dengan level password yang dimiliki programmer.
5.1.2. Pengendalian Administratif.

a. Rencana Induk (Master Plan) :
1. Divisi IT memiliki rencana induk yang berisi strategi jangka panjang,
proyek yang direncanakan, dana sumber daya yang diperlukan (proyek,
jadwal, dan sumber dayanya didefinisikan dengan baik), serta rencana induk
secara periodik diReview oleh manajer, controller, dan user.
Manajemen PT AIR memahami arti penting IT sebagai bagian dari bisnis,
dimana strategi IT yang formal telah dikembangkan. Kemudian, strategi IT
sebagai bagian dari strategi bisnis juga dikembangkan. Strategi IT
memberikan kontribusi terhadap tujuan bisnis. Manajer IT mengembangkan
strategi IT yang telah disetujui oleh Presiden Direktur.
Adapun hal-hal yang telah dicapai oleh divisi IT PT AIR yaitu telah
mengembangkan dan mengimplementasikan:
71
1) Sistem Payroll (Penggajian) dan terintegrasi dengan Program Pajak

Penghasilan pasal 21 karyawan dengan output nya dikonversi ke
Microsoft Excel untuk mencetak form 1721(A1).
Gambar 1. Contoh SPT Tahunan PPh psl.21, form 1721 A1 untuk Karyawan dengan nama Alvin,
staff F&A (data entry).
Program ini berjalan seiring dengan sistem absensi tangan (palm

scanner) yang akan menentukan berapa kali potongan gaji harus
dilakukan terhadap karyawan yang tidak masuk tanpa keterangan / tanpa
ijin, serta mengetahui ketaatan pegawai atas absensi itu sendiri. Jadi
dengan adanya program yang terintegrasi ini, perusahaan (manajemen)
dapat mengetahui persis ketaatan karyawan akan absensi (sebagai
72
internal control), jumlah potongan gaji untuk karyawan yang tanpa

keterangan absensi yang akan menyangkut jumlah bonus yang akan
diterima pada akhir tahun, serta estimasi beban pajak penghasilan pasal
21 karyawan yang terhutang (PPh psl.25 kurang bayar), dan jumlah gaji
yang akan dibayarkan pada akhir bulanan. Hal ini bermanfaat untuk
mempersingkat waktu menyiapkan detail slip pembayaran gaji
karyawan. Sistem pemberian uang gaji masih bersifat manual. Transfer
dilakukan bagi karyawan yang sudah memiliki rekening di bank tertentu
(perusahaan menganjurkan BCA), dan bila ada karyawan yang belum
memiliki rekening, mereka tetap dianjurkan untuk memiliki rekening
tabungan di BCA. Alasan BCA menjadi referensi untuk rekening adalah
efektivitas dan time saving. Hampir semua aktivitas transaksi perusahaan
menggunakan BCA termasuk pembayaran tagihan rekening listrik dan
telepon (termasuk handphone) serta credit card direktur.
2) Modul receivable (piutang) serta payable (utang) yang juga terintegrasi
dengan sistem BCA Card, dimana fasilitas banking tersebut juga
memberikan kenyamanan kepada pembeli yang melakukan pembayaran
dengan BCA Card baik debit card maupun credit card serta melakukan
penarikan uang untuk fasilitas debit card BCA. PT AIR kadang kala juga
melakukan pembayaran via mesin gesek untuk memenuhi tagihan dari
vendor (supplier). Contohnya; untuk pembelian furniture dan dilakukan
73
pembayaran via debit card, maka invoice (faktur) akan ter cetak dengan
keterangan telah dilunasi via debit card, dan akan langsung menambah
(atau mengurangi) jumlah kas perusahaan. BCA juga sudah menerapkan
security system untuk not sufficient fund yang akan di sinkron dengan
program saat mencetak faktur. Faktur akan tercetak apabila pembayaran
via card telah di-approved oleh BCA, atau bila ada masalah dengan
approval operator dapat mengubah kepilihan jenis pembayaran tunai.
Kedua program terintegrasi ini baru dilaksanakan pada akhir tahun 2003.
Manajemen telah melakukan Review terhadap kemajuan proyek IT dalam
hasil progress report meeting yang diadakan setiap bulan. Kemajuan proyek
IT juga dilaporkan dalam laporan kemajuan proyek ke Presiden Direktur.
Kebanyakan aplikasi dibuat oleh divisi IT dengan open source dari support
system Amano dan BCA. Perlu diketahui bahwa kendala yang muncul
pertama kali saat sistem ini diterapkan adalah masalah kompatibilitas system
dan hardware yang membuat perusahaan membeli hardware yang bisa
menunjang penerapan sistem ini. Pada akhirnya semua hardware ikut
diremajakan agar dapat mendukung sistem yang baru dan kemajuan
software-software baru yang membutuhkan kapasitas besar dan komputer
dengan kecepatan tinggi.
74
Berikut adalah strategi IT strategi yang akan dilaksanakan pada 3 tahun

mendatang (berdasarkan Strategi IT tahun 2004-2006):
a. Penggantian data field PTKP dasar Rp. 2.880.000,00 menjadi PTKP
dasar Rp. 12.000.000,00 yang diperkirakan akan rampung sebelum
pergantian tahun (Maret 2005). Hal ini dilakukan berdasarkan perubahan
UU N0.17 / 2000 menjadi Peraturan Menteri Keuangan No.
564/PMK.03/2004 mengenai Penyesuaian Besarnya Penghasilan Tidak
Kena Pajak (PTKP)
b. Management Information System (MIS) yang terintegrasi: sampai Juli
2006;
c. Data on-line secara realtime dari gudang besar (realtime warehouse),
Executive Information System: Maret 2006 sampai pertengahan 2007;
dan
d. Customer Relation Management dan Claim Handling Management:
mulai dari Januari 2004, Strategi ini harus dikoordinasi kembali dengan
Representative Office di Belgium dan Canada yang telah di buka pada
awal tahun 2004.
2. Terdapat
prosedur
penyusunan
budget
yang
digunakan
untuk
mengestimasi biaya sumber daya yang digunakan untuk pengembangan

sistem.
75

Rencana IT tahunan dan budget IT per proyek ditentukan oleh Manajer IT
dan disetujui oleh Presiden Direktur. Saat ini, Budget IT dibuat per proyek.
Pada tahun yang diaudit, hanya ada budget IT untuk infrastruktur guna
mendukung proyek SIM Terintegrasi (sekaligus peremajaan sebagian
hardware yang diangap belum dapat mendukung sistem yang sedang
berjalan) .
Manajer IT melaporkan secara langsung ke Presiden Direktur dengan
menyiapkan suatu laporan bulanan yang menunjukkan laporan kemajuan
proyek IT. Selain itu, terdapat rapat IT yang diselenggarakan secara
periodik yang menjelaskan kemajuan dan rencana kerja IT selanjutnya.
b. Rencana Tak Terduga (Supporting Plan) :

1. Terdapat prosedur tertulis untuk back-up data, aplikasi software dan
operating system secara lengkap dan teratur, tersedia file sumber
(Archives) untuk sistem komputer dan File sistem komputer dapat tersedia
dalam waktu singkat serta telah disiapkan rencana persetujuan resmi untuk
menggunakan file sistem tersebut.
76

Divisi IT memiliki archives yang cukup lengkap (sifatnya relatif), dan
mereka menyebutkan macam-macam archives yang harus mereka miliki
adalah:
a. Operating system (Windows 98SE, Windows 2000, Windows NT,
Windows XP dan Linux RedHat)
b. Driver for devices (Driver motherboard, VGA, CDRW, modem, LAN
Ethernet, Hubs, USB Devices, Camera Digital, Printer dan Scanner)
c. Basic Utilities Programs (Microsoft Office 2000, Office 2002, Office
XP 2003, Nero, Adobe Photoshop-untuk desain veneer)
d. Basic Networking (D-link Ethernet node configuration, Router, Hub,
flow data negotiator, validator, Firewall, DBSM)
e. AntiVirus Software (Mc.Afee Enterprise Edition)
f. Accounting Software (Fox AbiPro for Windows), khusus untuk
software ini, adalah hasil pengembangan divisi IT yang berawal dari
DOS version dikembangkan menjadi ke Windows compatible version
dan LAN/WAN Ready. Modul-modul yang tercakup didalam software
Fox Abi Pro adalah: Cash-Bank, Payable, Receivable, General
Ledger,
Sub-Ledger,
Financial
Reporting,
Financial
Ratios,
Inventory with multi warehouse (batch system) , Payroll yang

terintegrasi dengan PPh psl.21 dan mesin absensi.
77
g. Dan archives dalam bentuk kepustakaan, yaitu kumpulan manual

book dari setiap pembelian komputer ataupun devices.
Hasil Review: Semua sistem operasi perusahaan sudah melakukan

registrasi via Microsoft Indonesia. Hal ini dilakukan pada awal tahun 2004
saat pemerintah menganjurkan untuk setiap perusahaan layaknya membeli
produk Microsoft yang asli, bersertifikat dan bukan bajakan. Perusahaan
menggunakan partnership program by Microsoft Indonesia, yaitu hanya
membeli 1 (satu) master program untuk operating system tapi perusahaan
hanya membayar untuk 1 lisensi (serial number) per 1 komputer.
Divisi IT tidak hanya melakukan suatu formalitas tapi mereka telah
melaksanakan Ketaatan Hukum (Legal Compliance) dengan baik.
Salah satu staff Divisi IT dalam wawancara menceritakan suka duka

menjadi bagian dari System support, terbukti dengan kejadian yang pernah
melanda Indonesia saat terdapat virus worm dan trojan pertama kali masuk
di Indonesia, PT. AIR pun mengalami hal yang serupa dan kejadian itu
terpaksa membuat sistem harus shutdown (downtime) selama 4 jam dan
system support harus bisa membuat sistem perusahaan kembali On-line
dalam waktu yang relatif singkat. Karena kejadian tersebut terjadi di hari
jumat, maka manajemen pun mengambil kebijakan untuk memulangkan
78
karyawan lebih awal karena sistem down dan dalam rangka penghematan
idle capacity. Alhasil sistem baru berfungsi sabtu pagi setelah memeriksa
semua komputer yang tersebar di kantor dengan 3 lantai.
Penulis tidak menyaksikan bagaimana system support melakukan
pembenahan kompter perusahaan, tapi memang terdapat insiden yang
dilaporkan dalam Cleaning schedule. System cleaning biasanya dilakukan
dengan jarak 14 hari sekali dan dilakukan secara manual dengan tujuan
untuk memastikan bahwa masing-masing komputer terbebas dari segala
kemungkinan gangguan terhadap program yang dapat mempengaruhi
jaringan (network) sistem. Admin menemukan bahwa virus telah
ditularkan melalui email attachment dari salah satu komputer staff F&A,
dan hal tersebut dilaporkan ke Manajer F&A untuk diambil tindakan
selanjutnya terhadap karyawan bersangkutan. Untuk Admin, sekarang
mereka ada pekerjaan tambahan untuk men-sorting semua email yang
masuk ke perusahaan dan selalu meng-update Anti Virus Data Definitions
setiap saat untuk mencegah terjadinya disaster pada sistem.
Divisi IT sudah melakukan pengawasan keamanan dengan memadai.
2. Tersedia prosedur untuk penyimpanan data elektronik seperti; back-up

tapes dan disket disimpan secara aman, copy back-up data disimpan di luar
komputer (off-sites), prosedur back-up sistem ditest secara teratur,
79
prosedur-prosedur di atas ditugaskan pada individu yang khusus

menangani proses data back-up.

Manajer IT bertanggung jawab atas pelaksanaan dan proses penyimpanan
data cadangan (Data Back-up Processing) yang dilakukan setiap hari pada
saat menjelang selesainya jam kantor. Penyimpanan data cadangan hanya
dilakukan pada data keuangan yang bersifat last updated (last modified)
yang berarti seluruh data current pada hari bersangkutan yang telah di
update ke server induk. Maka dari itu Manajer Keuangan beserta Manajer
IT ikut mengawasi proses pem-backup-an data tersebut di bantu oleh Staff
IT. Proses ini dilakukan setiap hari. Walaupun server di setting untuk
memakai sistem grand-father, father dan son system, tapi untuk alasan
keamanan serta prinsip konservatif, Manajer Keuangan mengusulkan
untuk memakai USB External Drive Storage Devices sebesar 40 Gb dan
disetujui oleh Manajer IT. Lagipula ini juga sesuai prosedur untuk
penyimpanan data perusahaan secara offsite.
Hasil Review: Sistem keamanan yang diberikan (yang disetting oleh

Manajer IT) terhadap USB External Storage adalah Data keuangan
tersebut (yang berextension *.dbf = data base file) hanya bisa dibaca di
80
sistem yang berjalan dikantor. Bila di-running dengan komputer diluar

sistem perusahaan, maka program biasa tidak akan bisa membaca dengan
benar karena data secara otomatis akan ter-enkripsi, dan perlu program
untuk dekripsinya (encrypted decrpyted). Untuk alasan keamanan,
manajer IT menolak untuk memberitahukan program apa yang digunakan
untuk proses enkripsi dan dekripsi, tapi beliau hanya menjelaskan bahwa
hanya ini cara satu-satunya sebagai pengendalian untuk suatu data
convidential Off-site (yang berada di tempat yang terpisah dari sistem).
Hal ini sudah disetujui oleh Direktur, dan untuk tambahan Manajer IT
mengatakan juga bahwa sistem pengendalian untuk data banyak faktor
yang harus diperhatikan mengingat banyak resiko bawaan dengan
mempercayakan data dibawa keluar perusahaan. Tidak ditemukan suatu
dokementasi tertulis mengenai prosedur backup data perusahaan. Yang ada
hanya skedul backup harian, tapi tidak mengatur bagaimana seharusnya
prosedur backup data dengan lokasi off-site.
Tetapi karena semua usaha ini dilakukan sebagai upaya untuk dapat
mempertahankan data perusahaan yang mendukung kelangsungan bisnis,
maka sistem pem-backup-an data perusahaan sudah cukup memadai.
Untuk meningkatkan upaya pengawasan terhadap kelangsungan bisnis
perusahaan, maka di rekomendasikan untuk: Lakukan penempatan backup
81
data secara off-site dengan didukung oleh penyusunan dokumentasi

mengenai prosedur backup data yang baik.
3. Terdapat prosedur darurat untuk menangani kebanjiran, bencana alam, dan

lain-lain yang sifatnya force major.
Penanganan kondisi darurat sudah termasuk dalam prosedur untuk
pengendalian keamanan secara fisik, tetapi tidak ditemukan adanya
Standar Operating Prosedur Keamanan untuk Divisi IT secara tertulis.
Hasil Review: Manajer IT memberikan tanggapan bahwa walaupun tidak

terdapat SOP for IT security, tapi secara fisik sudah disiapkan tabung
pemadam kebakaran (fire extinghuister) dan untuk ruangan server, server
diletakkan pada alas dengan tinggi 20 cm untuk memberikan jaminan
bahwa bila terjadi genangan air, tidak akan terjadi hubungan pendek
(shorts circuit). Genangan air yang dimaksud bisa dimungkinkan akibat
smog detector mengaktifkan sistem pemadam air untuk kebakaran yang
terletak di areal ruang server. Ruang server itu sendiri berada di lantai 3,
sehingga untuk bahaya banjir sudah teratasi terlebih dahulu dengan
mengalokasikan server jauh dari tempat yang rawan akan banjir. Untuk
networking, seluruh hubs, router tersusun rapi dengan rak network terpisah
82
dari rak server tapi juga diletakkan di alas dengan tinggi yang sama.
Untaian kabel-kabel network tidak ada yang berceceran di tanah,
semuanya ditata dengan rapi. Tambahan Manajer IT adalah kabel memang
sudah di set lebih awal sebelum diadakan komputerisasi, makanya kadang
kala ada kabel dengan panjang yang berlebihan. Maka dari itu untaian
kabel yang panjangnya lebih di tarik kembali di plafon. (seluruh rangkaian
kabel di urut lewat plafon dan melalui jalur pipa khusus untuk network
yang menyatu dengan jalur pipa kabel telepon). Tapi Manajer IT berkata
bahwa bukan itu masalah utama kabel, untuk instalasi hanya tinggal
membeli kabel baru dan jalur pipa baru, tetapi bagaimana kondisi kabel di
plafon? Manajer IT sudah mempunyai solusi yaitu Bugs and Mice
Control. Ancaman pada kabel network adalah tikus yang disinyalir juga
merusak kabel dengan menggigiti kabel tersebut. Dan kecoa yang
memakan kertas dokumen pada ruangan server.
Kabel network yang ditempatkan dibalik plafon bukannya di rekatkan pada
tripleks plafon, Manajer IT menjelaskan bahwa selain untuk fungsi
jaringan ia juga memperhatikan masalah estetika secara keseluruhan.
Memperhatikan jumlah komputer yang digunakan perusahaan itu cukup
banyak memang tidak memungkinkan untuk mengurut seluruh kabel
network tersebut di bawah plafon karena akan menjadi pemandangan yang
tidak sedap untuk dilihat.
83
Divisi IT sudah melakukan prosedur darurat untuk menangani kebanjiran,

bencana alam, dan lain-lain yang sifatnya force major dengan baik. Tetapi
pelaksanaan dokumentasi atas prosedur belum terdokumentasi dengan
baik.
Rekomendasi: Untuk meningkatkan upaya pengawasan tersebut maka
lakukan penyusunan dokumentasi yang memadai mengenai standard
operating procedures (SOP).
c. Administrasi Karyawan :
1. Terdapat prosedur mengenai latar belakang calon karyawan di review
sebelum di terima, prestasi karyawan di review secara periodik, adanya
program training yang formal, karyawan diberi penjelasan tentang tujuan
perusahaan secara ringkas, serta adanya jenjang karir yang jelas bagi
karyawan.
Rekruitmen untuk staf IT dimulai dan diproses oleh divisi IT, tanpa
melibatkan divisi lainnya. Divisi IT menentukan persyaratan, termasuk
keahlian, kompetensi dan pengalaman yang dibutuhkan.
Hasil Review: Dalam hal pengalaman dan keahlian, Manajer IT percaya

bahwa keahlian staf IT yang dimiliki sekarang, telah sesuai dengan
84
kompleksitas dari lingkungan IT. Staf IT mempunyai kemampuan yang

sesuai dalam menjalankan pekerjaan mereka. Bagaimanapun, untuk
mendapatkan peningkatan keahlian IT masih dibutuhkan training bagi staf
IT. Manajer IT dan Presiden Direktur melakukan penilaian kinerja mereka
setiap tahun.
Rekomendasi: Lakukan peningkatan kompetensi karyawan melalui
training yang diperlukan karyawan untuk kepentingan perusahaan.
2. Ada kebijaksanaan tertulis yang melarang perseorangan melakukan akses

terhadap sistem kecuali administrator melalui proses validasi Manajer IT
atau Direktur, karyawan dipecat segera dikeluarkan dari area yang sensitif,
karyawan yang di transfer wajib mengembalikan semua kunci, buku
pedoman, file dan program yang di serahkan kepadanya.
Akses ke sistem operasi dan aplikasi dibatasi hanya ke User ID dan
password yang valid. Permintaan akan user baru yang dapat akses ke
server Windows 2000 melalui telepon dari manajer user.
Windows 2000 setting adalah sebagai berikut: (lampiran VII)
panjang password minimum: 4 karakter;
umur password maksimum: 30 hari;
umur password minimum: 0 hari;
85
keunikan password: menyimpan 3 password history;
Banyaknya masukan password yang salah yang diperbolehkan

adalah 3 kali logon;
lamanya suatu akun terkunci; 30 menit setelah terkunci (lock out)

dan 30 menit setelah reset komputer, total durasi 60 menit.
Hasil Review: Secara operasional pengawasan keamanan melalui

password sudah memadai. Tidak ditemukan prosedur pemberitahuan
formal ke divisi IT mengenai user yang keluar, tetapi pengawasan ini
dilakukan secara langsung dari Manajer masing-masing divisi dengan
Manajer IT, dan mereka segera melaporkan kepada Manajer IT mengenai
info pegawai yang telah keluar dan yang baru masuk.
User ID Sistem Admin Windows dipegang oleh Manajer IT. IT Supervisor
juga termasuk dalam Sistem Admin grup. Menurut Manajer IT, password
administrator tidak pernah diganti.
Rekomendasi: Lakukan dokumentasi untuk prosedur pemberitahuan
formal.
3. Terdapat pengawasan yang ketat terhadap akses bagian pemeliharaan ke

daerah yang sensitif, pengawasan terhadap peralatan komputer yang di
bawa keluar ruang komputer di periksa dan diawasi.
86

Manajemen telah mempertimbangkan bahwa semua aplikasi dan data yang
digunakan untuk mendukung operasional perusahaan adalah sangat kritis.
Akan tetapi, tidak ada prosedur formal yang mengidentifikasi data dan
aplikasi yang sensitif, dimana kebijakan keamanan komputer (computer
security policy) belum terdokumentasi dengan baik.
Rekomendasi: Lakukan dokumentasi untuk kebijakan keamanan komputer
untuk prosedur identifikasi areal sensitif.
d. Standar:
Terdapat Standard Operating Procedures (SOP) tertulis yang mengatur
mengenai teknik pemrograman (format, kode, dan flowchart ) serta dipakai
standar nama file data yang berlaku di seluruh organisasi, dan semua proyek
dimulai dan selesai sesuai dengan jadwal yang telah ditentukan, Semua
programmer diwajibkan mengikuti metode pengembangan program yang
telah diterapkan perusahaan.
Manajemen telah mempertimbangkan semua aspek pengendalian termasuk
tehnik pemrograman, standar nama file serta metodologi penyusunan
program.
87
Hasil Review: Ditemukan semua Prosedur tersebut belum didokumentasikan

dengan lengkap dan baik. Hanya ditemukan proposal mengenai proyek dan
dan rencana proyek yang akan dijalankan. Skedul proyek tersusun dengan
baik, walapun dalam pencapaian implementasi nya dirasakan masih kurang
cepat (cenderung lama karena keterbatasan jumlah staff divisi IT itu sendiri).
Rekomendasi:
Lakukan
dokumentasi
SOP
yang
baik
dan
mempertimbangkan untuk menambah staff IT apabila kondisi tersebut

diperlukan dan/atau meningkatkan kompetensi staff IT.
Disimpulkan bahwa, pengawasan administratif khususnya dokumentasi
masih belum memadai, dan perlu ditingkatkan untuk dapat mendukung
kegiatan operasional lingkungan SIK secara menyeluruh.
5.1.3. Pengembangan dan Pemeliharaan Sistem

1. Pemakai, manajemen, dan internal audit (controller) berpartisipasi dalam
pengembangan, pengawasan, Review akhir, dan pengujian aplikasi baru serta
modifikasi aplikasi yang ada, yang dilakukan secara periodik serta
spesifikasi sistem di Review dan disetujui oleh tingkat manajemen yang tepat
(Manajer EDP / Manajer IT Division).
Tidak ada metodologi spesifik yang diterapkan pada sistem yang
dikembangkan sendiri (in-house).
88
Untuk pengembangan sistem yang besar (contohnya proyek IT), divisi IT

membuat suatu user requirement.
Berdasarkan proyek IT, Manajer IT
menugaskan staff pengembangan untuk membuat sistem.

Berikut adalah daftar aplikasi yang diimplementasikan sejak tahun 2003:
a. Personnel System dan Payroll System (In house system) yang
dikembangkan untuk mengganti Payroll dan Personnel System (sistem
Paket dibawah DOS, versi lama). Sistem baru diimplementasikan pada
bulan Oktober 2003. Program payroll yang baru sudah terintegrasi
dengan program PPh pasal 21 dan dengan program absensi saat membeli
mesin absensi dengan scan tangan.
b. Cash Flow and Cash Management system yang diimplementasikan di
bulan September 2003. Sejak digunakan software akuntansi yang pada
awalnya dirasakan cukup oleh manajemen, pada pertengahan tahun 2003
pihak keuangan meminta untuk melengkapi software tersebut dengan
fungsi-fungsi tambahan seperti Cash Flow Program untuk mengetahui
Cash Receive dan Cash Disburstment secara real time. IT sudah
melakukan
pengembangan
Cash
Flow
Program
tersebut
dan
digabungkan dengan modul Financial Reporting pada software

akuntansi.
89
Manajemen me-review kemajuan proyek pada rapat kemajuan proyek

bulanan. Kemajuan proyek juga dilaporkan pada Laporan Kemajuan Proyek
kepada Presiden Direktur.
Selain itu, terdapat rapat IT yang dilaksanakan secara periodik. Jadi review
yang dilakukan oleh Manajer IT adalah berdasarkan kemajuan proyek dan
jika ada masalah yang timbul.
Kesimpulan: Pelaksanaan Review atas pengembangan di divisi IT telah
memadai dengan memperhatikan partisipasi dan Review yang telah
dilakukan Manajer IT.
2. Perusahaan memiliki metode pengembangan sistem, prosedur tertulis untuk

pemeliharaan program yang menyediakan Permohonan formal untuk
merubah program, Persetujuan oleh individu yang bertanggung jawab atas
perubahan program, serta Pengujian atas perubahan program sebelum
diterima.
Walaupun dari hasil interview dan hasil pengamatan divisi IT telah
melakukan semua hal dengan teratur, tetapi tidak ditemukan dokumentasi
lengkap mengenai semua prosedural tersebut. Untuk permohonan perubahan
program biasanya dilakukan perbincangan (via telepon) terlebih dulu
mengenai kelebihan dan kekurangan program yang sedang digunakan saat
90
ini, setiap keluhan-keluhan atas kekurangan program akan dikonfirm ulang

ke manajer divisi masing-masing dan ditanyakan mengenai keperluan
memodifikasi program agar sesuai dengan kehendak user.
Hasil Review: Dijelaskan oleh Manajer divisi bahwa perubahan itu belum
perlu dilakukan selama tidak berpengaruh secara signifikan terhadap
jalannya perusahaan. Manajer IT sering melakukan konfirmasi secara
pribadi saat makan siang dan manajer yang lain langsung memberi
tanggapan. Manajer IT pun mengakui bahwa kelemahan pada dokumentasi
inilah yang masih harus diperbaiki, khususnya dokumentasi mengenai SOP
IT. Kesimpulan: Pelaksanaan dokumentasi SOP IT belum memadai.
Rekomendasi: Lakukan dokumentasi untuk SOP IT secara tertulis dan
memadai.
5.1.4. Pengendalian Hardware dan Software:

Perusahaan memiliki kemampuan pengendalian deteksi serta pengendalian
koreksi atas hardware dan sistem software yang disediakan, jika software
diperoleh dari luar akan dimodifikasi sesuai dengan pilihan standar yang ada
dalam praktek.
Perusahaan sudah melaksanakan pengendalian deteksi walaupun prosedur
tersebut tidak didokumentasikan dengan baik dan tidak ada peraturan secara
91
formal bagaimana hal tersebut dilakukan. Tetapi selama praktek, Manajer IT

secara pribadi melakukan pengawasan dengan ketat untuk hal-hal sensitif yang
dapat berpengaruh langsung terhadap program, aktivitas, proses komputer serta
jaringan komunikasi.
(lihat point 5.1.6. Pengendalian Keamanan: hal.94)
5.1.5. Pengendalian Dokumentasi

1. Sudah ditetapkan prosedur dan standar untuk mendokumentasikan sistem
program, ada supervisor yang mereview kelengkapan dokumentasi yang
dibuat, Instruksi dan deskripsi operasi yang standar telah disiapkan dan
tersedia bagi operator komputer.
Perusahaan belum melaksanakan dokumentasi SOP dengan baik. Ditemukan
dokumentasi lengkap berupa Accounting User Manual yang menjelaskan
mengenai introduction, accounting system, flow of process chart, flow of
output documents chart, hardware specification untuk menjalankan sistem
tersebut, networking setup manual, source code dan language program yang
digunakan (compiler program), cara user untuk melakukan input serta daftar
lampiran on-screen view dari program tersebut.
Dokumentasi untuk accounting software dinilai sudah memadai tetapi secara
keseluruhan dianggap belum memadai karena dokumentasi compliance
92
(ketaatan) belum lengkap, maka hal ini menjadi signifikan bila tidak terdapat
dokumentasi SOP.
Hasil Review: Ditemukan bahwa Manajer IT akan mengalami kesulitan
untuk menentukan parameter keberhasilan pengendalian intern yang
dilakukannya karena tidak terdapat dokumentasi lengkap SOP yang akan
digunakan sebagai dasar penilaian.
Efek Negatif: Dengan tidak terdokumentasinya SOP, maka lemahnya
pengendalian dokumentasi ini akan berpengaruh terhadap lemahnya
efektivitas pengendalian aplikasi lingkungan SIK.
2. Ada dokumentasi untuk program komputer, yang berisi:

a.
Penjelasan narrative
b.
Flowchart & decision table
c.
Penjelasaan alat-alat yang membantu programming
d.
Kontrol yang digunakan
e.
Penjelasaan Input-Output
f.
Prosedur testing yang digunakan
g.
Lembaran persetujuan dan perubahan program
93

Lihat nomor 5.1.5. point 1 diatas mengenai dokumentasi. Dokumentasi
untuk accounting software manual sudah memadai tapi perlu dilakukan
penyelenggaraan dokumentasi SOP.
Kesimpulan: Pelaksanaan dokumentasi SOP IT belum memadai.
Rekomendasi: Lakukan dokumentasi untuk SOP IT secara tertulis dan
memadai.
5.1.6. Pengendalian Keamanan

a. Keamanan secara fisik
Keamanan secara fisik telah memadai terhadap peralatan komputer, data,
media, dan dokumentasi.
Seluruh fasilitas komputer termasuk tape back-up, server, peralatan
telekomunikasi dan peralatan komputer lainnya yang menjadi tanggung
jawab divisi IT diletakkan dalam suatu ruang komputer terpisah dengan
ruangan divisi yang lain. Ruang Manajer IT berhadapan dengan ruang
komputer (ruang server). Ruang komputer dipasang air-conditioner, smoke
detector, UPS dan foam type fire extinguisher.
Untuk komputer yang menjadi tanggung jawab divisi lain (seperti divisi
keuangan), komputer terletak dimeja kerja masing-masing staff. Posisi
94
tersebut sudah baku karena sudah disesuaikan dengan panjang kabel network
dari server pusat. Apabila ada pemindahan komputer walaupun hanya
berbeda ruangan, maka harus lapor terlebih dahulu ke divisi IT.
Untuk menghindari adanya kemungkinan pencurian data keuangan yang
dilakukan oleh staff perusahaan, maka setiap lalu lintas data keuangan akan
dimonitor dan di otorisasikan terlebih dahulu untuk memastikan bahwa data
tersebut di akses oleh pihak yang memiliki level otorisasi yang cukup.
Contoh: Data di backup secara otomatis oleh server, bila dilakukan backup
secara manual, hanya Manajer Keuangan dan Manajer IT saja yang punya
otorisasi akses yang memadai untuk melakukan prosedur tersebut.
Pengendalian lain yang menyangkut keamanan data adalah dari standarisasi
hardware. Untuk komputer direksi dan manajer, desktop CPU mereka
dirakit dengan standar komputer multimedia. Desktop CPU untuk staff
bukan standar multimedia dalam arti tidak memiliki CDROM, CDRW,
Floppy Disk atau alat-alat yang dapat melakukan aktivitas baca dan tulis dari
sumber eksternal. Hal ini dilakukan untuk menghindari karyawan mengcopy data ke external media devices lainnya seperti CD atau menginstal
program tambahan yang belum diotorisasi oleh divisi IT. Untuk pencegahan
peng-copy an data ke external storage devices seperti USB Thumbdrive,
maka seluruh USB port setiap komputer sudah di setting disable USB port
lewat BIOS. Printer terpusat dan di sharing dalam network. Apabila ada
95
staff yang berusaha untuk mengcopy data via email (electronic mail) dengan
cara memasukkan data kedalam file attachment dan dikirimkan ke alamat
email sendiri untuk dibuka di lokasi yang berbeda, maka hal tersebut akan
dipantau (di-filtering) oleh server dan secara otomatis file attachment
tersebut langsung di cancel oleh server. Email tetap terkirim tapi tidak
berikut attachment-nya.
Kesimpulan: Pengendalian Keamanan secara fisik sudah memadai.
b. Akses terhadap pengunjung

Pengendalian telah memadai untuk memastikan bahwa hanya staff yang
telah diotorisasi atau pengunjung yang diijinkan yang dapat memasuki area
perusahaan.
Manajemen mempercayakan keamanan pada security. Semua pengunjung
yang tidak memiliki kartu identifikasi harus lapor ke keamanan kantor pada
pintu masuk untuk mendapatkan kartu pengunjung. Prosedur pengambilan
kartu pengunjung dilakukan dengan cara mengisi daftar pengunjung dimeja
security, memberikan KTP/SIM atau kartu pengenal lainnya sebagai
jaminan, baru setelah itu pengunjung memperoleh kartu pengunjung
(Visitor). Bila pengunjung tersebut ada keperluan untuk keruangan server,
96
maka pengunjung boleh naik keruang server apabila sudah didampingi oleh
salah satu staff IT.
Kesimpulan: Pengendalian Keamanan atas akses terhadap pengunjung sudah
memadai.
c. Pengendalian atas perpindahan peralatan komputer

Adanya pengendalian untuk mengurangi resiko dari kecurian peralatan dan
media.
Perpindahan peralatan komputer harus diketahui oleh Manajer IT. Walaupun
masih dalam lantai yang sama dan ruangan berbeda tetap ada laporan yang
harus diberikan kepada Manajer IT.
Hasil Review: walaupun sudah terdapat pengendalian untuk perpindahan
aktiva tetap komputer, tapi perusahaan jarang sekali melakukan suatu
penghitungan ulang (stock op name) untuk aktiva tetap komputer.
Efek Negatif: Apabila stock op name tidak dilakukan maka akan terjadi
kemungkinan pencurian aktiva tetap komputer (dalam bentuk apapun) yang
dapat dilakukan oleh karyawan sendiri. Dengan kita melaksanakan stock op
name untuk aktiva tetap komputer kita bisa menekan kasus pencurian alatalat komputer yang berukuran kecil.
97
Rekomendasi: Lakukan penghitungan ulang aktiva tetap komputer secara

berkala, yang dilakukan oleh staff IT dan penghitungan tersebut diawasi
oleh supervisor dan manajer IT.
d. Akses ke ruangan komputer

Akses ke ruangan komputer dibatasi hanya untuk orang yang telah
diotorisasi.
Semua peralatan komputer dan telekomunikasi yang sensitif disimpan di
ruang komputer yang terkunci setiap saat. Pintu akses ke ruang komputer
dibatasi dengan menggunakan kunci manual. Akses ke ruang komputer
dibatasi hanya ke Manajer IT, Network engineer dan Direktur.
Hasil Review: Dukungan keamanan sudah cukup baik apabila dilihat dari
awal pengendalian keamanan, hanya saja akan lebih terjaga apabila terdapat
sistem finger scan atau mungkin sistem kunci pintu yang dapat dibuka
dengan kartu masuk dan kode pin. Dengan alat tersebut tidak diperlukan lagi
untuk mengunci pintu secara manual.
Rekomendasi: Untuk lebih praktis dan bila dimungkinkan, lakukan upgrade
kunci pintu otomatis.
Kesimpulan: Pengendalian Keamanan atas akses ke ruangan komputer sudah
cukup memadai, walaupun perlu untuk melakukan rekomendasi diatas.
98
e. Akses ke area yang sensitif lainnya

Akses ke area sensitive lainnya (seperti area telekomunikasi) telah dibatasi.
Fasilitas telekomunikasi untuk jaringan komputer diletakkan di ruang
komputer. Prosedur yang mengatur semua karyawan atau pengunjung area
sensitif diwajibkan memiliki identifikasi jelas dalam bentuk Badge (nama,
foto, jabatan, divisi), pemegang Badge diverifikasi secara periodik.
Pengaksesan data file dibatasi menurut :
a.
Klarifikasi file (top secret, convidential)
b.
Hanya boleh dibaca, ditulis, ditambah, copy, dll
c.
Kategori pemakai
Hasil Review: Dukungan keamanan sudah cukup baik dilihat dari

pembatasan akses terhadap data file pada database perusahaan. Setiap
karyawan memiliki otorisasi yang sesuai dengan password yang
dimilikinya. Dilakukan juga pengawasan secara pribadi oleh Manajer
masing-maisng
divisi
untuk
menghindari
kemungkinan
terjadinya
pertukaran password antar karyawan bahkan pinjam meminjam badge.

Karena itulah Admin sudah membuat suatu sistem penggantian password
karyawan secara reguler serta verifikasi badge secara berkala. Peraturan
penggantian password secara reguler sudah di bahas pada nomor 5.1.2.
point c nomor 2 mengenai pengendalian administratif: hal 87.
99
Kesimpulan: Pengendalian Keamanan atas akses area yang sensitif sudah

memadai dengan bantuan pengawasan pribadi secara langsung para manajer.
f. Akses terhadap pengunjung luar

Akses terhadap pengunjung luar telah dibatasi.
Pengunjung luar harus didampingi oleh staff IT jika ingin masuk ke ruang
komputer. Lihat pembahasan 5.6.1. point b mengenai keamanan akses
terhadap pengunjung.
Setelah melakukan analisis ditemukan bahwa pengendalian keamanan sudah

dilaksanakan sebagai berikut: Ruang Komputer sudah terlindung dari kebakaran,
asap, dan air secara memadai, paling sedikit ada 3 generasi file (grandfather, father
and son) dipelihara untuk rekontruksi data, paling sedikit ada satu generasi file yang
disimpan diluar komputer.
Prosedur yang mengatur semua karyawan atau pengunjung area sensitif diwajibkan
memiliki identifikasi jelas dalam bentuk Badge (nama, foto, jabatan, divisi),
pemegang Badge diverifikasi secara periodik.
Prosedur atas kemungkinan akses tidak sah ke sistem sudah di batasi, password
dijaga dengan ketat, password dirubah secara teratur dan didistribusikan secara
rahasia, terminal dilengkapi alat yang dapat mengidentifikasi orang yang akses ke
100
sistem, ada daftar yang menunjukkan usaha yang tidak berhasil masuk ke sistem
(Cracker dan hacker activities), semua pelanggaran akses dilaporkan dan diikuti
tindakan perbaikan.
Ada asuransi yang menutup kerugian akibat kebakaran, kebanjiran, dan bencana
alam lainnya.
Kesimpulan: Pengendalian Umum lingkungan SIK PT. AIR sudah cukup memadai
dalam mencapai tujuan pengendalian secara keseluruhan. Adapun untuk
meningkatkan fungsi pengendalian umum, perusahaan perlu melakukan langkahlangkah sebagai berikut:
Melakukan Dokumentasi Standard operating Procedures (SOP).
2.
Meningkatkan kompetensi karyawan melalui program in house training.
3.
Melakukan penghitungan aktiva tetap komputer secara berkala.
5.2.
1.
Pengendalian Umum SIK secara On-Line (Pengendalian Intern DBMS)

Setelah membahas semua unsur pendukung pengendalian umum SIK secara
keseluruhan, akan dibahas lebih detail mengenai pengendalian umum SIK
secara online, dalam arti melaksanakan pengendalian umum untuk sistem
informasi komputerisasi (SIK) yang berjalan dengan sistem On-Line Batch /
Memo update dengan Proses selanjutnya yang didukung oleh Data Base
101
Management System (DBMS). Sistem online batch dengan proses selanjutnya

adalah proses pengolahan data secara online (langsung dan terpadu dalam
network) yang membutuhkan suatu proses validasi atau verifikasi terhadap suatu
data sebelum data tersebut di-update ke server induk. Karena data tersebut harus
menunggu (batching process) untuk selanjutnya harus melalui suatu proses
validasi (memo update), maka proses pengolahan data ini disebut online batch /
memo update dengan proses selanjutnya.
Dengan menggunakan bantuan server sebagai mesin pendukung
kegiatan pada jaringan komputerisasi, maka diperlukan suatu manajemen untuk
mengatur sistem jaringan terpadu itu dengan nama Data Base Management
System. Pada DBMS terdapat hal-hal yang perlu diperhatikan seperti adanya
kebijakan untuk data sharing sesama pengguna jaringan, independensi IT secara
divisional dan fungsional dan karakteristik lain sistem database, yang
menjadikan pelaksanaan pengendalian umum sistem informasi komputer lebih
besar pengaruhnya terhadap sistem database dibandingkan dengan pengaruh
pelaksanaan pengendalian aplikasi. Kita mengetahui bahwa pengendalian umum
sangat berpengaruh terhadap pengendalian aplikasi, bila pengendalian umum
tidak efektif, maka akan diragukan kewajaran hasil pengendalian aplikasi yang
telah diterapkan.
Pengendalian umum SIK yang penting dalam lingkungan database dapat
digolongkan ke dalam kelompok berikut ini:
102
1. Pendekatan baku untuk untuk pengembangan dan pemeliharaan program

aplikasi.
4. Pemisahan tugas.
5.2.1. Pendekatan Baku Untuk Pengembangan Dan Pemeliharan Program

Aplikasi
Divisi IT belum memiliki suatu pendekatan baku untuk melakukan suatu
pengembangan program (Lihat nomor 5.1.3. Pengembangan dan Pemeliharaan
Sistem: 90).
Pendekatan yang mereka lakukan saat ini adalah User Requirement (IT Project
based Development). Metode inilah yang dianggap oleh Manajer IT akan lebih
efektif dibandingkan menggunakan suatu pendekatan baku yang akan
menjadikan pengembangan program adalah suatu kegiatan reguler, dimana
divisi IT terus melakukan suatu pengembangan tanpa ada suatu landasan asas
manfaat bagi divisi lainnya dan perusahaan secara keseluruhan. Didasari oleh
prinsip cost-benefit yang memang merupakan bahan pertimbangan untuk sema
divisi dan personnel sebelum mereka melakukan suatu tindakan (kegiatan)
dalam perusahaan yang akan menggunakan anggaran perusahaan.
103
Tanggapan tambahan dari manajer keuangan, dilihat dari keuangan perusahaan

adalah tidak setiap saat perusahaan memiliki cadangan dana yang cukup besar
untuk mendanai kegiatan pengembangan program secara reguler. Karena itu
mereka lebih memfokuskan atau memprioritaskan pengembangan program yang
memang dibutuhkan secara mendesak.
Hasil Review: Dengan memperhatikan pertimbangan-pertimbangan secara
menyeluruh, ternyata memang divisi IT dan divisi lainnya tetap dapat bekerja
dengan sistem yang ada dan kegiatan operasional berjalan baik dengan
pengembangan proram secara prioritas kebutuhan pemakai. Tindakan ini
membuat anggaran divisi akan disesuaikan dengan kepentingan perusahaan
secara keseluruhan, dalam arti apabila perlu dilakukan suatu pengembangan,
maka setiap perencanaan pengembangan akan disusun sebagai proposal oleh
Manajer IT langsung diajukan ke Direktur untuk di review dan bila di setujui,
maka proyek pengembangan itu akan dijalankan.
Untuk tahap pemeliharaan program aplikasi, divisi sudah memiliki skedul untuk
perawatan dan pemeliharaan secara reguler dan langkah-langkah untuk
menghadapi kejadian yang sifatnya tiba-tiba. Sesuai dengan rekomendasi
sebelumnya, divisi IT diharapkan dapat melakukan pembenahan atas
dokumentasi SOP yang akan diperlukan untuk bahan acuan penilaian keandalan
pelaksanaan pengendalian umum lingkungan SIK.
104
Rekomendasi: Lakukan dokumentasi terstruktur mengenai SOP IT, Perencanaan

Pengembangan dan Metode Pengembangan yang baku.
Untuk rekomendasi (usulan) metode pengembangan lihat lampiran I.
5.2.2. Kepemilikan Data

Dalam melakukan kegiatan sehari-hari, karyawan yang memiliki otorisasi yang
cukup untuk mengakses data memiliki tanggung jawab dengan data atau file
yang mereka akses berdasarkan password yang mereka miliki. Pemisahan fungsi
divisi IT yang independen terpisah dari fungsi divisi lainnya juga menentukan
tingkat efektivitas pengendalian umum lingkungan SIK. (Lihat nomor 5.1.1.
Pengendalian Organisasi: 64)
Bahkan untuk program tambahan saja harus diotorisasikan dulu dengan divisi
IT untuk menghindari adanya penyalahgunaan fasilitas yang telah disiapkan
oleh perusahaan. (Lihat nomor 5.1.6. Pengendalian Keamanan: 96)
Untuk melaksanakan fungsi ini telah ditunjuk seseorang yang berwenang untuk
menentukan level otorisasi bagi masing-masing karyawan serta bertanggung
jawab penuh atas data dan file perusahaan. (Lihat nomor 4.3.2.5.1. Tugas dan
wewenang Manajer IT: 59).
105
Semua hal ini diperhatikan dalam pelaksanaan pengendalian untuk mencegah

kemungkinan data akan dikorupsi atau yang disalah gunakan menjadi
meningkat.
5.2.3. Akses ke Database

Akses oleh pemakai ke database dapat dibatasi dengan mengunakan password.
Pembatasan ini dapat diterapkan kepada individu, peralatan terminal, dan
program. Agar password efektif, diperlukan prosedur memadai untuk mengubah
password, penjagaan kerahasiaan password dan pelaksanaan Review dan
penyelidikan terhadap usaha untuk melanggar keamanan. (Lihat nomor 5.1.1.
Pengendalian Organisasi: 64)
Pengaitan password ke peralatan terminal, program, dan data membantu
menjamin bahwa hanya pemakai yang berwenang dan program yang sah dapat
mengakses, mengubah, atau menghapus data. (Lihat nomor 5.1.2. Pengendalian
Administratif: 87)
Akses pemakai ke berbagai unsur database dapat dikendalikan lebih lanjut
melalui penggunaan tabel otorisasi. (Lihat nomor 5.1.1. nomor 4, Pengendalian
Organisasi, mengenai level otorisasi password: 69)
106
Semua hal ini diperhatikan dalam pelaksanaan pengendalian untuk mencegah

kemungkinan terjadi implementasi yang tidak semestinya yang dapat berakibat
akses yang tidak berizin (unauthorized access) ke dalam database.
5.2.4. Pemisahan Tugas

Divisi IT berdiri sebagai divisi yang independen, bebas dari tekanan / pengaruh,
serta bebas dari fungsi yang berpengaruh terhadap transaksi perusahaan.
Tanggung Jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk
mendesain, mengimplementasikan, dan mengoperasikan database dibagi di
antara personel teknik, desain, pengelola, dan pemakai. Tugas mereka
mencakup desain sistem, desain database, pengelolaan, dan operasi. (Lihat
nomor 4.3.2.5.2. mengenai 3 Sub-Divisi IT: 59).
Pembagian tugas tersebut diperlukan untuk menjamin kelengkapan, integritas,
dan kecermatan database. (Lihat nomor 5.1.1. Pengendalian Organisasi: 65-72)
Setelah memperhatikan hal-hal yang dapat mempengaruhi efektivitas pengendalian

umum SIK secara online dan penerpan nya dalam DBMS, maka disimpulkan bahwa
seluruh kegiatan pengawasan / pengendalian sudah dilaksanakan sudah cukup
memadai. Apabila perusahaan berkehendak untuk meningkatkan pengendalian intern
berbasis DMBS, diharapkan untuk dapat melaksanakan:
107
a. Dokumentasi SOP IT secara terstruktur.

b. Perancangan Metode Pengembangan sistem.
c. Memperketat pengawasan penggunaan password.
5.3. Dukungan Operasional Lingkungan SIK terhadap Kelangsungan Bisnis

Perusahaan.
Tujuan secara keseluruhan adalah: untuk meminimalkan adanya gagal sistem dan
memastikan bahwa bisnis dapat terus berjalan secara efektif (dalam waktu pemulihan
yang dapat diterima acceptable recovery time) pada saat fasilitas sistem informasi
tidak tersedia.
5.3.1. Resiko Gangguan Bisnis

Bisnis
yang kritikal,
fungsi bisnis, dan sistem
yang kritikal telah
diidentifikasikan.

Semua data, aplikasi dan sistem yang digunakan PT AIR diklasifikasikan
penting. Pada saat ini, Business Critical Processes belum dibuat secara formal.
Akan tetapi, untuk mengatasi kehilangan akses ke aplikasi/data/sistem.
manajemen melakukan backup secara harian, mingguan, bulanan dan tahunan.
108
5.3.2. Kelangsungan Bisnis (Business Continuity)

Rencana kelangsungan bisnis telah terdokumentasi.

Manajemen untuk Kelangsungan Bisnis yang terdiri dari Rencana Pemulihan
Bahaya (Disaster Recovery Plan - DRP) dan Rencana Kelangsungan Bisnis
(Business
Conitinuity
Plan
BCP)
sudah
disediakan
tapi
belum
didokumentasikan dengan baik. Kondisi dokumentasi ini dalam arti prosedur

tersebut belum di buat secara printed atau hard copy, walaupun sudah terdapat
skedul pendukung yang menyatakan hal tersebut sudah dilaksanakan dengan
teratur dan baik.
5.3.3. Frekuensi Back-up

Copy back-up dari file data dan program telah disimpan offsite secara periodik.

Manajemen mengantisipasi dampak hilangnya aplikasi yang kritikal dengan cara
melakukan backup harian, mingguan, bulanan dan tahunan. Manajemen IT
menggunakan 80 Gb HDD dan Manajer Keuangan menggunakan 40 Gb HDD.
Backup harian yang dilakukan Manajer Keuangan dibantu oleh staff IT dan
proses backup ini terpisah dari prosedur backup yang dilakukan divisi IT.
109
Backup harian divisi IT dimulai pada jam 9.00 malam, sedangkan backup harian
divisi Keuangan dilakukan pada setelah kegiatan kantor berakhir (jam 5.00
sore). Backup harian yang dilakukan divisi keuangan adalah backup data
transaksi terakhir yang telah di update ke server.
Ada beberapa HDD (Hard Disk Drive) yang akan di daur ulang untuk backup
harian, kecuali HDD milik divisi keuangan karena sifatnya USB external
storage devices.
Data keuangan relatif lebih kecil ukuranya karena berbentuk database file yang
memungkinkan untuk menyimpan data keuangan perbulan dengan ukuran file
hanya sebesar 1,38 Mb (ukuran 1 disket). Data keuangan yang disimpan terbagi
menjadi 2 jenis, data bulanan partial serta data berjalan.
Backup mingguan IT dilaksanakan pada hari terakhir setiap minggunya pada
jam 9.00 malam. Backup bulanan dilaksakanan pada hari terakhir tiap bulan.
Perusahaan melakukan backup data harian secara inkremental. Backup secara
penuh dilakukan pada backup mingguan, backup bulanan, dan backup tahunan.
Backup sistem dilakukan apabila ada perubahan (biasanya tahunan).
Untuk perubahan aplikasi, backup aplikasi telah ada dan dilaksanakan setiap
hari untuk menjaga perubahan aplikasi karena hampir semua aplikasi adalah in
house development yang dikembangkan apabila ada permintaan untuk
melakukan perubahan aplikasi tersebut.
110
5.3.4. Komposisi Back-up

Semua file yang kritikal telah dibackup secara memadai.

Seluruh file kritikal termasuk data, program, sistem dan sebagainya, dibackup
secara memadai dengan menggunakan program Nero Back It Up versi 1.2.0.15,
yang sudah dilengkapi dengan fasilitas untuk melakukan backup partial, seluruh
folder, seluruh hardisk berikut sistem dan fasilitas untuk memulihkan (restore)
sistem/data/aplikasi dari file backup dengan extension *.nbi. Kelebihan program
ini terletak pada special features yaitu:
1. Menu Preferences yang user friendly.
2. Pengaturan Backup File Compression sesuai kebutuhan, verifikasi data yang
telah dibackup, pengaturan Thread priority (dari Low priority sampai High
priority).
3. Saat melakukan system restore (via file yang telah di backup), mengijinkan
sistem untuk mengganti data/file curent yang lama bila file backup
mengandung data/file yang lebih baru.
4. Terdapat laporan Backup Log yang menampilkan semua informasi termasuk
nama dari semua file dan folder yang di backup maupun yang akan
direstore. Backup Log juga melaporkan apabila terjadi kegagalan backup
data/file dan akan mengulang prosedur tersebut secara otomatis.
111
5. Untuk proses backup, tentu saja tidak semua file akan kita backup apabila
menyangkut backup harian. Untuk itu program ini menyediakan File Filters
yang bertujuan untuk memisahkan file yang akan di backup berdasarkan
jenis nya. Setting filter secara standar dari program adalah images filter,
word documents filter, dan MS-Office documents filter. Sehingga untuk filefile yang tidak tercantum harus di setting filter nya sebelum melakukan
backup (add new filter).
6. Information files, menunjukkan keberadaan / lokasi file hasil dari Backup
Log. Informasi ini ditujukan bagi mereka yang menginginkan log file
tersebut di simpan dalam bentuk format yang lain. (file standar dalam format
text - *.txt)
7. Expert Features berupa Use data compression for drive backup, dan Do not
use temporary storage for compression (agar proses backup bisa lebih
cepat).
Suatu proses telah dijalankan untuk memastikan backup telah dijalankan dengan
baik. Log backup dicek di screen untuk memastikan bahwa backup telah
berhasil dilaksanakan.
112
5.3.5. Lokasi Back-up

Copy back-up ditempatkan pada lokasi yang berbeda dari ruang komputer.

Tape backup data disimpan pada safety box di ruang computer. Untuk backup
harian, Manajer Keuangan membawa pulang USB HDD sebagai offsite backup
dan membawanya kembali ke kantor untuk backup selanjutnya. Perlu di ingat
bahwa sistem pengamanan data tersebut dilakukan dengan program enkripsi
untuk data-data keuangan sehingga data keuangan tersebut tidak bisa disalah
gunakan oleh manajer keuangan. Backup tahunan disimpan pada safety box di
ruang computer. Sebagai tambahan, Manajer IT membawa pulang tape backup
tahunan sebagai offsite backup.
5.3.6. Test Kemampuan Pemulihan

Prosedur back-up dan pemulihan telah ditest.

Tidak ada test secara periodik untuk restore data backup. Backup direstore
berdasarkan permintaan pemakai. (Sebagai contoh, backup direstore, jika ada
permintaan dari Bagian Akunting dan Keuangan) Log file menunjukkan status
backup (berhasil atau gagal) dan menverifikasi apakah backup data bisa dibaca.
113
Secara keseluruhan, Dukungan Operasional Lingkungan EDP terhadap Kelangsungan

Bisnis PT AIR cukup telah dalam memenuhi tujuan keseluruhan.
Dari hasil analisis diatas, maka penulis menyarankan sebagai berikut:

1. Proses Dokumentasi
Hasil Review: Business Continuity Management (yang meliputi Business
Continuity Plan dan Disaster Recovery Planning) dan rencana mendetail serta
Standard Operating Procedures belum terdokumentasi dengan baik ada.
Efek
Negatif:
Ketidakberadaan
rencana
BCM
menyebabkan
kerusakan
operasional bisnis potensial jika kehilangan akses ke lingkungan produksi,

Ketidak jelasan SOP akan mengganggu kelancaran aktivitas staff IT yang baru.
Rekomendasi:
Untuk
sistem
IT
yang
kritikal,
manajemen
seharusnya
mendokumentasikan Document Recovery Plans (DRP) yang membantu mereka

untuk mengatasi proses dalam rangka menentukan prioritas dalam jangka waktu
yang ditentukan. Agar rencana tersebut dites secara berkala dan direvisi jika perlu.
Satu copy dari rencana tersebut harus disimpan secara terpisah, dan copy lainnya
disimpan di on-site pada tempat yang tahan api. Staff yang terlibat harus paham
akan tanggungjawab mereka pada rencana BCM.
114
2. Prosedur Backup (Backup procedures)

Berdasarkan hasil Review, penulis menemukan bahwa:
a. Backup data/ aplikasi disimpan on-site, dibanding disimpan secara off-site.
Saat ini hanya backup tahunan yang ditaruh secara off-site;
b. Kemampuan untuk membaca data pada media backup tidak ditest secara
periodik. Penulis memahami bahwa Supervisor IT melakukan restore data
backup berdasarkan permintaan user.
Efek Negatif:
a. Tanpa menggunakan lokasi off-site guna menaruh backup data, hal tersebut
dapat meningkatkan resiko bahwa data (termasuk sistem) tidak dapat
dipulihkan apabila kehilangan akses ke lingkungan produksi (production
environment).
b. Tanpa diadakannya testing secara periodik terhadap kemampuan untuk
membaca data pada media backup, mengurangi keyakinan bahwa data dapat
dipulihkan apabila kehilangan akses ke lingkungan produksi (production
environment).
Rekomendasi: Manajemen harus memastikan bahwa dilaksanakan:

a. Backup harus disimpan off-site (hal ini harus dinyatakan dalam Rencana
Pemulihan Bahaya (Disaster Recovery Plan - DRP)); dan
b. Backup ditest secara periodik guna memastikan bahwa data dapat dibaca.
115
BAB VI
KESIMPULAN DAN SARAN
6.1. Kesimpulan
Berdasarkan hasil analisis dan pembahasan yang telah dilakukan pada
bab-bab sebelumnya, dapat disimpulkan hal-hal sebagai berikut:
6.1.1
Pengendalian Umum (General Control) lingkungan Sistem Informasi

Komputerisasi (SIK) PT. AIR pada dasarnya telah cukup memadai, namun
untuk lebih meningkatkan pelaksanaan pengendalian umum secara
keseluruhan, perlu diadakan penyempurnaan terutama dalam bidang
administrasi komputerisasi yang meliputi:
a. Pengendalian Organisasi: Lakukan pengawasan atas pendelegasian
wewenang dan password (masalah otorisasi).
b. Pengendalian Administratif: Lakukan pelaksanaan dokumentasi secara
terstruktur serta meningkatkan kompetensi karyawan.
c. Pengembangan
&
Pemeliharaan
Sistem:
Lakukan
pelaksanaan
dokumentasi SOP secara tertulis dan memadai.

d. Pengendalian Hardware dan Software: Lakukan pengendalian keamanan
secara fisik serta pengelolaan penggunaan password.
e. Pengendalian Dokumentasi: Lakukan pelaksanaan dokumentasi SOP
secara tertulis dan memadai.
116
f. Pengendalian Keamanan : Secara umum sudah memadai, tapi harus

dilakukan penghitungan fisik aktiva tetap secara berkala.
6.1.2
Pengendalian Umum Sistem Iinformasi Komputerisasi (SIK) secara OnLine pada PT. AIR pada dasarnya telah cukup memadai untuk pelaksanaan
pengendalian intern sistem manajemen database (DBMS). Hal-hal yang
perlu diperhatikan untuk meningkatkan pengendalian intern tersebut
diantaranya adalah: perencanaan metode baku untuk pengembangan
program yang belum dimiliki oleh PT. AIR serta pengawasan penggunaan
password guna terselenggaranya sistem keamanan komputerisasi yang
optimal.
6.1.3
Operasional Lingkungan Sistem Informasi Komputerisasi PT. AIR secara

umum
telah
keseluruhan.
mendukung
Dukungan
kelangsungan
operasional
bisnis
lingkungan
perusahaan
sistem
secara
informasi
komputerisasi akan meningkat apabila perusahaan melakukan langkahlangkah perbaikan sebagai berikut: melakukan uji coba pemulihan terhadap
backup yang telah dilakukan dan dokumentasi untuk rencana kelangsungan
bisnis secara memadai.
117
6.2.
Saran-saran
Dari hasil penelitian yang telah dilakukan, maka beberapa saran yang
mungkin bermanfaat dan dapat menjadi perhatian bagi perusahaan dalam
meningkatkan kinerja Departemen Sistem Informasi PT. AIR adalah:
6.2.1. Pengendalian Umum

Saran-saran bagi perusahaan untuk meningkatkan Pengendalian Umum SIK
adalah sebagai berikut:
1. Manajemen IT harus yakin bahwa password administrator diganti secara
periodik. Hal ini dilakukan sebagai pengawasan yang diberikan kepada
karyawan yang mendapatkan akses tidak terbatas. Prosedur ini perlu
dilakukan sebagai pengawasan internal terhadap kegiatan akses data.
2. Prosedur operasional komputer yang formal harus dikembangkan dan
diimplementasikan serta dilakukan dokumentasi secara terstruktur
terhadap semua perencanaan, metode, sistem, dan seluruh Standar
Prosedur Operasi yang mendukung kegiatan divisi IT (Dokumentasi
Standard Operating Procedures SOP).
Dokumentasi atas seluruh prosedur kegiatan divisi IT minimal harus

mencakup 2 macam pelaksanaan pengendalian.
a. Standar Prosedur Operasi mengenai pengendalian umum untuk
keamanan yang komprehesif, minimal mencakup area sebagai
berikut:
118
i. Infrastruktur Keamanan.
ii. Klasifikasi dan pengawasan asset.
iii. Personnel Security.
iv. Keamanan secara fisik, dan lingkungan.
v. Komputer dan keamanan jaringan.
vi. Pengendali akses sistem informasi.
vii. Rencana Kelangsungan Bisnis.
b. Prosedur formal untuk mengendalikan perubahan aplikasi yang

dibuat dan diimplementasikan, yang meliputi area sebagai
berikut:
i. Prosedur permintaan user/persetujuan.
ii. Dokumentasi perubahan program.
iii. Procedur test.
iv. Prosedur penerimaan user setelah testing (user
acceptance testing) dan prosedur persetujuan.
v. Otorisasi manajemen, dan
vi. Prosedur migrasi ke lingkungan produksi.
3. Manajemen harus bekerjasama dengan seluruh divisi yang ada dalam

perusahaan untuk melakukan penghitungan ulang aktiva tetap komputer
secara berkala. Kegiatan ini dilakukan untuk mewujudkan pengendalian
119
keamanan secara fisik dan untuk menghindari kemungkinan pencurian

aktiva tetap komputer.
4. Lakukan pelatihan yang diperlukan untuk meningkatkan kemampuan

serta pengetahuan karyawan melalui pelatihan internal yang dapat
dilakukan oleh divisi yang bersangkutan. Apabila terdapat implementasi
program baru, maka pelatihan tersebut akan dilakukan oleh divisi IT.
Dampak pelatihan internal ini diharapkan para karyawan dapat bekerja
dengan efektif dan optimal di bidang pekerjaan yang mereka lakukan.
5. Manajemen harus mempertimbangkan untuk membuat suatu prosedur

yang sesuai untuk melakukan pemutakhiran data mengenai akses yang
diijinkan yang berkaitan dengan karyawan yang keluar.
6.2.2. Pengendalian Umum SIK secara On-Line (Pengendalian Intern DBMS)

Saran-saran untuk meningkatkan Pengendalian Umum SIK secara On-Line yang
memadai adalah sebagai berikut:
120
1. Perusahaan harus melakukan suatu perencanaan pengembangan dan

metode pendekatan yang baku untuk setiap kegiatan pengembangan serta
pemeliharaan program. (Lampiran I. Usulan Metode Pengembangan)
2. Perusahaan harus melakukan dokumentasi terstruktur atas perencanaan
serta metode pengembangan baku yang telah disusun guna melengkapi
dokumentasi divisi IT untuk keperluan kepustakaan dan bahan acuan
penilaian.
3. Perusahaan
harus
melakukan
perencanaan
metode
baku
untuk
pengembangan program yang belum dimiliki oleh PT. AIR serta

pengawasan penggunaan password guna terselenggaranya sistem
keamanan komputerisasi yang optimal.
6.2.3. Kegiatan Operasional untuk Kelangsungan Bisnis Perusahaan.

Saran-saran
untuk
mewujudkan
Kegiatan
Operasional
memadai
yang
mendukung kelangsungan bisnis perusahaan adalah sebagai berikut:

1. Perusahaan harus melakukan dokumentasi terstruktur untuk data
Manajemen Kelangsungan Bisnis, dalam arti segara perencanaan bisnis,
perencanaan pemulihan di buat dalam bentuk hard copy dan soft copy.
Kelengkapan dokumentasi dapat menjadi petunjuk bagi karyawan yang
baru masuk bekerja, dan bagi karyawan lainya untuk arahan prosedur
yang ideal untuk dilaksanakan.
121
2. Prosedur operasional komputer yang formal harus dikembangkan dan

diimplementasikan.
3. Mengadakan evaluasi terhadap efek bisnis untuk menentukan proses
bisnis yang kritikal dan lamanya waktu yang diterima untuk
mengatasinya.
4. Menentukan Perencanaan Kelangsungan Bisnis untuk setiap proses
bisnis yang kritikal termasuk membuat prosedur manajemen krisis yang
didokumentasikan dengan baik.
5. Untuk sistem IT yang kritikal, manajemen harus mendokumentasikan
Perencanaan Pemulihan Kegagalan Sistem (Disaster Recovery Plans)
dan Perencanaan Pemulihan Dokumen (Document Recovery Plans) yang
berguna untuk mengatasi proses pemulihan menentukan prioritas dalam
jangka waktu yang ditentukan.
6. Melakukan uji coba terhadap perencanaan yang telah disusun untuk
menguji kelayakan perencanaan dan di review secara berkala untuk
pemutakhiran data sesuai dengan kondisi terakhir perusahaan atau
dilakukan revisi apabila diperlukan.
7. Satu copy dari rencana tersebut harus disimpan secara terpisah, dan copy
lainnya disimpan di on-site pada tempat yang tahan api. Staff yang
terlibat harus memahami akan tanggungjawab mereka pada rencana
Manajemen Kelangsungan Bisnis Perusahaan.
122
8. Manajemen harus memastikan bahwa Backup harus disimpan off-site

(hal ini harus dinyatakan dalam Rencana Pemulihan Kegagalan Sistem
(Disaster Recovery Plan).
9. Backup harus di uji coba secara periodik untuk memastikan bahwa data
yang telah di backup tersebut dapat dibaca, dan dapat dipulihkan apabila
terjadi suatu kegagalan sistem secara global.
123
LAMPIRAN I
METODOLOGI PENGEMBANGAN SISTEM
Penentuan Kebutuhan (Requirements Definition)
Studi Kelayakan (Feasibility Study)
Pengembangan (Development)
Perolehan sistem (Software Acquisition)
Pemograman (Programming)
Modification
(Customization)
Testing
User Acceptance Test (Approval)
Implementasi (Implementation)
Review setelah implementasi (Post Implementation Review)
Li
LAMPIRAN II
L ii
LAMPIRAN II
L ii
LAMPIRAN III
SISTEM LOCAL AREAL NETWORK PADA PT AIR
Cabang-cabang
(Gudang Cileduk)
Gudang Pusat
Produksi
Modem
Bag. Pembelian
Accounting (Server)
Bag. Penjualan
System Support
Divisi IT (Main Server) &

Networking
Development
Direksi
L iii
LAMPIRAN IV
DAFTAR LEVEL OTORISASI PASSWORD

Level 1:
Owner, Direktur, Manajer IT & System Admin
Semua program
standar
dan program
tambahan, Data
entry,
Confirmation,
Verification/Validation, Data Modification untuk Direktur, System Reset untuk Admin

Level 2:
Manajer IT & Staff Program Development, Manajer F&A, Staff IT untuk Jaringan
Semua program standar sesuai keperluan divisi dan program-program tambahan lainnya,
Data entry, Confirmation & Verification / Validation
Level 3:
Staff Finance & Accounting
Semua program standar untuk divisi F&A serta program akuntansi AbiPro, Data entry &
Confirmation
Level 4:
Operator staff
Outlook express dan khusus untuk Data Entry saja)
Staff Interior Desain
Program standar dan program multimedia, Outlook
Level 5:
Resepsionist
untuk korespondensi ke Klien, penerimaan telepon, akses terbatas pada address book
serta program aplikasi lainnya, outlook express, dan tidak ada data keuangan yang dapat
ditampilkan dan/atau di print out disini
Level 6:
End User
Calon/Klien untuk lihat demo produk dalam basis web presentation, vcd, dan katalog
produk elektronik
L iv
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
Keterangan
Petunjuk cara pengisian Kuestioner Lingkungan Pengendalian SIK PT. AIR adalah sebagai berikut:
Pilihan jawaban terdiri dari kolom: Ya, Tidak, dan N/A = Not(yet) Applicable (Belum dapat di terapkan).
Pilihlah jawaban yang menurut anda sesuai dengan keadaan sebenarnya dengan memberikan tanda centang (Check mark = ) pada kolom jawaban
yang telah tersedia.
Bila anda beranggapan pertanyaan tidak relevan dengan kondisi perusahan, silahkan memberikan tanda minus (dash = -) pada kolom jawaban dan/atau
penjelasan tambahan pada kolom Keterangan.
Apabila terdapat keterangan tambahan atas pilihan jawaban silahkan untuk di sertakan pada kolom Keterangan.
Data ini akan digunakan untuk kepentingan penelitian semata dan hanya akan dimanfaatkan untuk kepentingan penelitian akademik saja.
I.
Pengendalian Umum
a.
Pengendalian Organisasi
1.
Apakah ada bagan organisasi departemen

EDP?
____
____
____
2.
Apakah ada pengendalian yang menjamin

bahwa analis sistem / pemrogram tidak
dapat akses terhadap file berjalan
(current)?
____
____
____
3.

bahwa staf yang bertanggung jawab
menyiapkan input berbeda dengan yang
memasukkan input ?
____
____
____
4.
Apakah semua fungsi atas data input

dilakukan oleh personil yang lain dari
pemrogram ?
____
____
____
5.

bahwa output diperiksa karyawan yang
lain dari yang melaksanakan input ?
____
____
____
6.
Apakah ada staf yang karena tugasnya

mempunyai hak akses yang tidak terbatas
terhadap sistem ?
____
____
____
7.
Apakah fungsi dan kewajiban operator

berbeda dan terpisah dari fungsi
pemrogram ?
____
____
____
8.
Apakah ada program rotasi tugas secara

periodik, misal: operator ditugaskan pada
aplikasi tertentu, lain dari yang biasa di
kerjakan ?
9.
Apakah karyawan dikenakan cuti wajib ?
____
____
____
____
____
Tidak
efektif,
perusahaan
sudah
menempatkan personil dengan posisinya
dan kapasitas yang optimal. Usaha lain
untuk meningkatkan kompetensi karyawan
adalah dengan cara in house training
____
Ada reimbursement untuk karyawan

yang tidak mengambil cuti tapi kalau
pemerintah meliburkan perusahaan
maka seluruh karyawan pasti
diliburkan
Lv
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
10.
Apakah tugas karyawan EDP terpisah

dari semua tugas yang berhubungan
dengan inisiasi transaksi dan perubahan
master file ?
b.
Pengendalian administratif.
Ya
Tidak N/A
____
____
____
Keterangan
Rencana induk :
1.
Apakah ada rencana induk ?
____
____
____
2.
Apakah rencana induk berisi trategi

jangka panjang, proyek yang
direncanakan, dana sumber daya yang
diperlukan ?
____
____
____
3.
Apakah proyek, jadwal, dan sumber

dayanya didefinisikan dengan baik ?
____
____
____
4.
Apakah rencana induk secara periodik

direview oleh manajer, controller, dan
user ?
____
____
____
5.
Apakah prosedur budget digunakan untuk

mengestimasi biaya sumber daya yang
digunakan untuk pengembangan sistem ?
____
____
____
Rencana Tak Terduga:

1.
Apakah tersedia file sumber sistem

komputer ?
____
____
____
2.
Apakah terdapat prosedur tetulis untuk

back-up data, aplikasi software dan
operating system secara lengkap dan
teratur ?
____
____
____
3.
Apakah file sistem komputer dapat

tersedia dalam waktu singkat ?
____
____
____
4.
Apakah sudah disiapkan rencana

persetujuan resmi untuk menggunakan
file sistem tersebut ?
____
____
____
5.
Apakah back-up tapes dan disket

disimpan secara aman ?
____
____
____
6.
Apakah copy back-up data disimpan di

luar komputer ?
____
____
____
7.
Apakah prosedur back-up sistem ditest

secara teratur ?
____
____
____
Support system sudah menyediakan system

backup (archives) dengan bantuan Zipdrive
external serta Program Zipped yang di rekam
dalam external storage. Untuk pemulihan
system (system restore) dengan aplikasi
standar berikut network setting per node (per
titik letak komputer) hanya membutuhkan
waktu dibawah 1 jam. Prosedur ini dilakukan
untuk secara individual langsung, dalam arti
staff IT menginstal langsung pada komputer
yang mengalami masalah dengan system
mereka. Bila terdapat 5 komputer atau lebih
yang mengalami hal serupa, support system
akan melakukan general scan (seluruh
network) untuk mengidentifikasi adanya
bahaya virus, lalu menginstal standalone
antivirus program, dan melakukan system
restore via Remote desktop system (langsung
dari sumber/server). Dengan langkah ini
admin dapat mendeteksi sumber masalah
dengan cepat.
Hasil backup di handle langsung oleh
manajer IT secara elektronik dalam external
devices dan/atau CD. Ada brankas khusus
untuk menyimpan hasil backup. Data backup
hanya dipakai bila terjadi system crash
(collapse). Dari pengalaman, selama ini
perusahaan baru mengalami crash 2 kali
(selama 5 tahun terakhir)
L vi
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
8.
Apakah prosedur-prosedur di atas

ditugaskan pada individu tertentu ?
____
____
____
9.
Apakah ada persediaan media untuk itemitem penting seperti file program ?
____
____
____
10.
Apakah ada prosedur darurat untuk

menangani kebanjiran, bencana alam,
dan lain-lain
____
____
____
Keterangan
Administrasi karyawan :
1.
Apakah latar belakang calon karyawan

direview sebelum di terima ?
____
____
____
2.
Apakah prestasi karyawan di review

secara periodic ?
____
____
____
3.
Apa ada program training yang formal ?
____
____
____
4.
Apakah karyawan diberi penjelasan

tentang tujuan perusahaan secara ringkas?
____
____
____
5.
Apakah ada jenjang karir yang jelas bagi

karyawan ?
____
____
____
6.
Apakah ada karyawan cadangan untuk

back-up karyawan pada posisi inti ?
____
____
____
7.
Apakah ada kebijaksanaan yang melarang

perseorangan melakukan akses terhadap
sistem?
____
____
____
8.
9.
Apakah karyawan dipecat segera

dikeluarkan dari area yang sensitif ?
Apakah karyawan yang di transfer wajib
mengembalikan semua kunci, buku
pedoman, file dan program yang di
serahakan kepadanya ?
____
____
____
____
____
____
10.
Apakah akses bagian pemeliharaan ke

daerah yang sensitif di awasi dengan
ketat ?
____
____
____
11.
Apakah peralata komputer yang di bawa

keluar ruang komputer di periksa dan
diawasi?
____
____
____
____
____
____
Bila dibutuhkan akan dilakukan.
Maklum ini perusahaan keluarga tapi

yang pasti ada jenjang untuk kenaikan gaji
karyawan.
Bila pihak tersebut bukan karyawan

atau pihak yang berkepentingan, Ya!
Ya, sekalian mengembalikan name tag
(badge) perusahaan. Dan bukan hanya itu,
perusahaan juga memfollow up informasi
tersebut ke resepsionis dan security
Kebetulan ruang server letaknya didepan

ruang manajer IT, jadi siapa yang keluar
masuk dan lewat akan terlihat jelas.
Ya, itu ada tanggung jawab per

masing-masing divisi.
Standar:
1.
Apakah monitor digunakan untuk

mengumpulkan statistik pemanfaatan
komputer ?
L vii
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
2.
Apakah programmer diwajibkan

mengikuti metode pengembangan
program yang telah diterapkan ?
____
____
____
3.
Apakah semua proyak dimulai dan selesai

sesuai dengan jadwal ?
____
____
____
4.
Apakah dipakai standar nama file data

yang berlaku di seluruh organisasi ?
____
____
____
5.
Apakah teknik pemrograman (format,

kode, dan flowchart ) sudah distandarisasi
dan diterjemahkan kebuku pedoman ?
____
____
____
1.
Apakah pemakai, manajemen, dan

internal audit berpartisipasi dalam
pengembangan, pengawasan, review
akhir, dan pengujian aplikasi baru serta
modifikasi aplikasi yang ada ?
____
____
____
2.
Apakah spesifikasi sistem di review dan

disetujui oleh tingkat manajemen yang
tepat ?
____
____
____
3.
Apakah semua perubahan program

disetujui oleh manajer EDP ?
____
____
____
4.
Apakah personil dari EDP Pusat

ditugaskan untuk mereview dan
mengevaluasi secara periodik sistemdan
operasi pemrograman pada departemen
lain ?
____
____
____
5.
Apakah ada metode pengembangan

sistem ?
____
____
____
6.
Apakah ada prosedur tertulis untuk

pemeliharaan program yang
menyediakan:
a. Permohonan formal untuk merubah
program?
c.
Belum terdokumentasi semuanya.
Pengembangan dan Pemeliharaan

Sistem
b.
c.
d.
Keterangan
Persetujuan oleh individu yang

bertanggung jawab atas perubahan
program ?
Pengujian atas perubahan program
sebelum diterima ?
____
____
____
Permohonan dilakukan lewat telpon

oleh kepala divisi bersangkutan baru
kemudian dituliskan kedalam form
permohonan. Belum ada prosedur
formal untuk permohonan.
Dilakukan oleh Manajer IT
____
____
____
____
____
____
Pengendalian Hardware dan Software:
L viii
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
1.
Apakah kemampuan deteksi dan koreksi

hardware dan sistem software yang
disediakan dari pabrik digunakan ?
____
____
____
2.
Apakah semua program menggunakan

pedoman software standar yang
disediakan oleh pabrik ?
____
____
____
3.
Jika pemrosesan lebih dari satu program

secara berkelanjutan, apakah setiap
program diproteksi dari hubungan dengan
program lain oleh standar
hardware/software yang ada ?
____
____
____
4.
Jika software diperoleh dari luar, apakah

ia dimodifikasi sesuai dengan pilihan
standar yang ada dalam praktik ?
____
____
____
5.
Apakah program untuk semua aplikasi

didaftarkan pada pustaka sistem operasi ?
____
____
____
6.
Apakah katalog program aplikasi tersebut

dicek secara periodik (dibandingkan
dengan program standar ) ?
____
____
____
7.
Apakah fungsi utility yang tersedia yang

dapat digunakan untuk mengelakan
pengendalian normal dan merubah data
atau program, dibatasi dan dikendalikan
secara memadai ?
____
____
____
e.
Pengendalian Dokumentasi
1.
Apakah sudah ditetapkan oleh prosedur

dan standar untuk mendokumentasikan
sistem progaram /
____
____
____
2.
Apakah ada supervisor yang mereview

kelengkapan dokumentasi yang dibuat ?
____
____
____
3.
Apakah intruksi dan deskripsi operasi

yang standar telah disiapkan dan tersedia
bagi operator komputer ?
____
____
____
4.
Apakah ada run book yang berisi

informasi sebagai berikut
a. Penjelasan mengenai tujuan dan
karakter tiap run ?
____
____
____
Identifikasi dari semua mesin yang

digunakan dan tujuan
pengunaannya?
____
____
____
Identifikasi semua formulir dan

media input-output ?
____
____
____
b.
c.
Keterangan
Tidak semua program aplikasi di

masukkan dalam pustaka (archives),
karena penginstallan program pada
masing-masing divisi berbeda keperluannya. Dan hanya program aplikasi
standar saja yang masuk kedalam archives
Sebenarnya oleh Manajer IT langsung, tapi sedang dilakukan usaha untuk melengkapi dokumenasi tersebut.
L ix
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
d.
Intruksi yang mendetail untuk

memulai dan mengakhiri suatu run
oleh operator ?
5.
Apakah ada dokumntasi untuk program

komputer, yang berisi :
a. Penjelasan narrative ?
b. Flowchart & decision table ?
c. Penjelasaan alat-alat yang membantu
programming ?
d. Kontrol yang digunakan ?
e. Penjelasaan input-output ?
f. Prosedur testing yang digunakan ?
g. Lembaran persetujuan dan perubahan
program ?
f.
Pengendalian Keamanan
Ya
____
Tidak N/A
____
Keterangan
____
____
____
____
____
____
____
Semua terdokumentasi dengan baik

kecuali point d, f, g. Fungsi
pengawasan dilakukan secara
langsung dengan ketat, prosedur
testing digabung dengan dalam
sekedul maintenance, persetujuan dan
perubahan program dilakukan
pertelepon dan akan langsung
diapproved oleh manager IT.
Formulir tertulis menyusul kemudian.
Keamanan atas file dan program :

1.
Apakah perusahaan mengunakan

database management system ?
2.
Apakah system DBMS mempunyai

prosedur untuk membatasi akses tidak sah
terhadap data ?
____
____
____
3.
Apakah ada tindakan pencegahan yang

memadai untuk mencegah akses oleh
operator dan yang tidak berhak, atas
perinciaan program, yang tidak perlu bagi
tugas mereka, yang dapat membantu
merekamelakukan penyelewengan ?
____
____
____
4.
Apakah ada pengawasan fhisik untuk

mencegah pengapusan disket yang
kurang hati-hati ?
____
____
____
5.
Apakah perpustakaan terlindung dari

kebakaran, asap, dan air secara memadai?
6.
Apakah paling sedikit ada 3 generasi file

(grandfather, father and son ) dipelihara
untuk rekontruksi data ?
____
____
____
____
Fungsi keamanan sudah terintregasi

dalam bentuk pengunaan password
untuk masing-masing user sesuai level
otorisasinya. Akses yang dimiliki
masing-masing user terpisah sesuai
divisinya.
____
Ruang perpustakaan dalam arti

seluruh kumpulan manual book (hard
copy), library archives, disimpan pada
lemari dan terletak diruang divisi IT
yang telah dilengkapi alat pemadam
kebakaran.
____
Untuk keperluan pajak, durasi penyimpanan data konkret max 10 tahun, tapi data
dalam server dan external storage
disimpan sampai terdapat keputusan untuk
memusnahkan data-data terserbut.
Lx
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
Keterangan
7.
Apakah paling sedikit ada satu generasi

file yang disimpan diluar komputer ?
____
____
____
8.
Apakah kode/nomor berurutan digunakan

untuk label luar ?
____
____
____
9.
Apakah labal utama intern disiapkan

untuk semua disket ?
____
____
____
10.
Apakah label utama intern diuji dengan

intruksi progaram untuk menentukan
bahwa data input yang dipakai sudah
benar ?
____
____
____
11.
Apakah label intern diuji dengan intruksi

program untuk menentukan bahwa semua
record sudah diproses?
____
____
____
12.
Apakah file yang diambil oleh operator

dari departemen distribusi segera
dikembalikan setelah selesai diproses ?
____
____
____
13.
Apakah kualitas disket file diperiksa

secara periodik ?
____
____
____
Back up menggunakan CD dan tersimpan

dalam CD pack cover. Back up besar
menggunakan external zipdrive / storage
Hanya Pengunjung yang berkepentingan saja

yang bisa masuk ruang server, itu harus
punya name tag perusahaan divisi IT. Bila
adapun akan dikawal security.
Keamanan atas peralatan :
1.
Apakah ada daftar tanda tangan

pengunjung yang masuk dan keluar ruang
komputer ?
____
____
____
2.
Apakah ada pengawasan yang memadai

atas material yang keluar dari area
pemprosesan data ?
____
____
____
Komputer yang dipindahkan harus lapor

ke manajer IT / manajer divisi bersangkutan
3.
Apakah laporan sensitif yang tidak

dipakai dihancurkan ?
____
____
____
Bila sudah terdapat konfirmasi utnuk

memusnahkan dokumen tersebut.
4.
Apakah ruang komputer mengunakan

a. Penjaga
b. Kartu-kartu
c. Badge
d. Monitor pusat
e. Alat deteksi
f. Alarm
g. Intercom
h. Pintu darurat
____
____
____
5.
Apakah AC-nya cukup dingin pada cuaca

yang paling terik ?
____
____
____
6.
Apakah terminal terletak pada area yang

cukup aman untuk mencegah akses oleh
pemakai yang tidak sah ?
____
____
____
Security hanya dilantai 1, server ada

dilantai 3. Sebelum masuk otomatis akan
disortir oleh security dan resepsionis.
Disini hanya ada name tag (badge), dan
absensi tangan di lantai 1. Belum ada
finger print scan khusus untuk ruangan IT
yang sebenarnya harus di terapkan sebagai
standar tapi akan dipertimbangkan untuk
sistem keamanan pada tahun berikutnya.
Kami bukan menilai itu tidak penting, tapi
secara cost-benefit kayaknya kurang tepat
untuk diterapkan disini. Sementara ini kita
masih memakai pengamanan manual yaitu
dengan mengunci pintu ruang IT. Tidak
ada pintu darurat untuk memudahkan
pengawasan, jadi siapa yang masuk dan
siapa yang keluar dari ruangan server
dapat di awasi.
L xi
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
7.
Apakah terminal dilengkapi dengan kunci

untuk mencegah penggunaan secara tidak
sah ?
____
____
____
8.
Apakah ruang komputer berada dalam

gedung yang tahan api ?
____
____
____
9.
Apakah semua materi dan peralatan di

dekat komputer berhubungan dengan
kegiatan pengelohan data ?
____
____
____
10.
Apakah semua prabot dalam area

komputer terbuat dari bahan yang mudah
terbakar ?
____
____
____
11.
Apakah kertas-kertas dan meteri lain

yang mudah terbakar, jumlahnya
melebihi minimum dan untuk efisiensi
operasi disimpan di luar ruang komputer
atau didalam kabinet ?
____
____
____
12.
Apakah alat pendektesi asap dan api

dipasang pada ruang komputer ?
____
____
____
13.
Apakah ada alat pendektesi asap dan api

pada peralatan komputer yang utama
(mini komputer) ?
____
____
____
14.
Apakah ruang komputer mempunyai alat

pemadam kebakaran otomatis untuk
melindungi perlalatan, supplies, dan
karyawan ?
____
____
____
15.
Apakah ruang komputer memiliki sistem

pengeringan otomatis untuk mengurangi
kerusakan komputer dan kabel akibat
genangan air ?
____
____
____
16.
Apakah ada pembuka saluran otomatis

yang dikendalikan oleh sistem
pengendalian api ?
____
____
____
17.
Apakah ruang komputer tersembunyi dari

jalan, lobby, atau tempat umum lainnya ?
____
____
____
18.
Apakah ada penutup peralatan komputer

dan digunakan ?
____
____
____
19.
Apakah top manajemen mendukung

sistem pengamanan yang sehat ?
____
____
____
Keterangan
Kategorinya gedung tahan api atau

tahan gempa?
Tidak
semua
dokumen
yang
menyangkut divisi IT akan disimpan
diluar ruang komputer, tergantung
sifat kerahasia-annya, dan kalo
dokumen sensitif akan di simpan di
tempat lain dan itu bukan di ruang IT.
Tidak ada sistem pengeringan, tapi

server sudah diletakkan di tempat
yang cukup tinggi untuk menghindari
terjadinya genangan air.
Ruang server diperkirakan bebas dari

debu karena tertutup rapat dan full AC
L xii
LAMPIRAN V
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
IT DIVISION
Ya
Tidak N/A
Keterangan
20.
Apakah akses data file dibatasi menurut :

a. Klarifikasi file (top secret,
convidential) ?
b. Hanya boleh dibaca, ditulis,
ditambah, copy, dll ?
c. Kategori pemakai ?
____
____
____
21.
Apakah semua karyawan atau

pengunjung area sensitif diwajibkan
memiliki identifikasi jelas dalam bentuk
badge (nama, foto, jabatan, departemen)?
____
____
____
22.
Apakah data prosedur penerbitan dan

pengembangan badge ?
____
____
____
Pegawai akan terima badge saat

masuk pertama kali bekerja
23.
Apakah pemegang badge diverifikasi

secara periodik ?
____
____
____
Bila pegawai bersangkutan keluar,

maka badge akan dikembalikan ke
perusahaan.
24.
Apakah kemungkinan akses tidak sah ke

sistem sudah di batasi ?
____
____
____
25.
Apakah password dijaga dengan ketat ?
____
____
____
26.
Apakah password dirubah secara teratur

dan didistribusikan secara rahasia ?
____
____
____
27.
Apakah terminal dilengkapi alat yang

dapat mengidentifikasi orang yang akses
ke sistem ?
____
____
____
28.
Apakah ada daftar usaha yang tidak

berhasil masuk ke sistem ?
____
____
____
Biasanya itu untuk pegawai yang salah

memasukkan password. Itu sering sekali
kejadian.
29.
Apakah semua pelanggaran akses

dilaporkan dan diikuti tindakan
perbaikan?
____
____
____
Tidak ada pelanggaran yang terjadi.

Semua diatur dengan baik dari sharing
file system policy.
30.
Apakah ada asuransi yang menutup

kerugian akibat kebakaran, kebanjiran,
dan bencana alam lainnya ?
____
____
____
Password diganti setiap bulanan

(teratur). Pendistribusian password
secara rahasia hanya untuk high level
authorization code untuk direksi saja.
System deteksi hanya terdapat pada
server tapi tidak pada workstation.
IT Division Manager
(notes: jawaban kuesioner di ketik ulang melalui editing tanpa mengubah arti dari
kalimat atau bentuk apapun dan sesuai dengan kuesioner aslinya)
L xiii
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
Ya
Tidak N/A
Keterangan
Petunjuk cara pengisian Kuestioner Lingkungan Pengendalian Umum untuk Sistem Akuntansi PT. AIR adalah sebagai berikut:
Pilihan jawaban terdiri dari kolom: Ya, Tidak, dan N/A = Not(yet) Applicable (Belum dapat di terapkan).
Pilihlah jawaban yang menurut anda sesuai dengan keadaan sebenarnya dengan memberikan tanda centang (Check mark = ) pada kolom
jawaban yang telah tersedia.
Bila anda beranggapan pertanyaan tidak relevan dengan kondisi perusahan, silahkan memberikan tanda minus (dash = -) pada kolom
jawaban dan/atau penjelasan tambahan pada kolom Keterangan.
Apabila terdapat keterangan tambahan atas pilihan jawaban silahkan untuk di sertakan pada kolom Keterangan.
Data ini akan digunakan untuk kepentingan penelitian semata dan hanya akan dimanfaatkan untuk kepentingan penelitian akademik saja.
1.
Apakah perusahaan melaksanakan

pembukuan dengan komputerisasi?
2.
Apakah digunakan sistem komputerisasi

atas penyusunan Laporan keuangan dan
laporan lainnya?
Apakah sudah dilakukan pengendalian

atas sistem komputerisasi diatas?
Apakah Divisi Internal Control sudah

melakukan pemeriksaan Audit berbasis
komputer?
____
____
____
____
____
____
____
Dengan sistem yang ada, pergerakan

operasional dapat dilihat secara langsung
(real time), termasuk laporan cash flow,
serta penjualan harian. Print out setiap
laporan akan dibubuhi tanggal saat di print
(berikut user name dan komputer mana
yang mem print laporan tersebut)
____
Pengendalian berupa leveling authorization code (password) bagi para User.

Terdapat identifikasi khusus pada setiap
report yang di print out dengan kode user
name, komputer yang mengakses adata
tersebut serta tanggal saat di print. Selain
itu, tanggal akses data terekam secara
otomatis untuk menjadi Audit Trail.
Password akan di ganti secara periodik.
User name yang sudah valid (kadaluarsa)
akan di delete setelah konfirmasi dengan
Manager IT.
Perusahaan belum memiliki Internal
Control Department. Fungsi Controller
untuk EDP Audit based dilakukan oleh
Manger IT secara langsung dan
memberikan Laporan kepada Direksi
secara periodik.
____
____
____
____
____
____
Apakah perusahaan menerbitkan laporan

keuangan periodik / tahun-an secara tepat
pada waktunya sesuai dengan
ketentuannya?
____
____
____
Apakah laporan keuangan pokok

meliputi: Neraca, perhitungan Laba/Rugi,
laporan Arus Kas, daftar Laba yang tidak
dibagi.
____
____
____
Apakah perusahaan membuat laporan

manajemen dan laporan keuangan secara
periodik?
-
____
L xiv
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
3.
Apakah perusahaan memiliki bagan organisasi

dan uraian tugas?
4.
Apakah dalam laporan keuangan pokok

dan informasi tambahan yang disajikan
manajemen tersebut telah mencakup
informasi yang diperlukan? (seperti
kebijakan akuntansi, catatan atas laporan
keuangan dan daftar yang mendukung,
serta informasi keuangan lainnya)
Apakah Bagan tersebut paling baik?
Apakah Uraian tugas didasarkan pada

bagan tersebut?
Ya
Tidak N/A
____
____
____
____
____
____
____
____
Keterangan
Laporan Keuangan sudah mengikuri SAK
untuk format serta bentuk laporan baku,
untuk catatan atas laporan keuangan hanya
bersifat list kebijakan akuntansi, daftar
aktiva tetap serta beberapa memorial
journal yang dianggap perlu di disclose
untuk keperluan intern manajemen.
Catatan atas laporan keuangan dari
program akan dilengkapi pada laporan
audit tahunan berikut catatan atas
kejadian-kejadian setelah tanggal neraca.
Lihat struktur organisasi.
____
Relatif, sesuai dengan keadaan dan

kebutuhan perusahaan. Sampai saat ini
manajemen beranggapan bahwa struktur
itulah yang sudah cocok dengan
mekanisme perusahaan. Bila ada yang
perubahan,
maka
tidak
tertutup
kemungkinan strutur organisasi itu pun
berubah.
Bagan serta Job description selalu
dikembangkan sesuai denagn kebutuhan.
Terlihat pada IT yang sekarang
mengembangan divisi (staff khusus) untuk
WEB based development (dengan
pertimbangan cost beneficial dibanding
outsource untuk web provider &
developer), tapi itu digolongkan menjadi
divisi program development.
____
____
____
Apakah perusahaan memiliki Pedomaan

Akuntansi dan prosedur operasi serta
pedoman lainnya?
____
____
____
Apakah telah sesuai dengan SAK?
____
____
____
Apakah pedoman tersebut selalu

dimutakhirkan
____
____
____
5.
Apakah bagian pengembangan sistem

melakukan pelatihan:
- Pemakai & Operator
____
____
____
6.
Apakah terdapat pemisahan fungsi dan

tanggung jawab yang jelas?
____
____
____
Selain standar akuntansi, kami juga

melakukan pemantauan terhadap perubahan dan perkembangan peraturan perpajakan agar sistem akuntansi yang kami
laksanakan sesuai dengan peraturan yang
berlaku di Indonesia.
Ya. Pihak IT, serta support system

mendorong kita (user lain) untuk melakukan pelatihan penggunaan komputer, salah
satunya saat peralihan system lama
menjadi Windows XP. Bagi mereka yang
biasa memakai komputer tentu perlaihan
system bukanlah masalah tapi sangat
bermanfaat bagi mereka yang baru
menggunakan komputer pertama kalinya.
L xv
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
Ya
Apakah fungsi akuntansi sepenuhnya

dipisahkan dari fungsi-fungsi lainnya?
____
____
____
Apakah semua pegawai mengambil hak

cutinya secara teratur dan tugas rutinnya
diserahkan kepada pegawai lainnya?
____
____
____
7.
Apakah tugas dibagian akuntansi digilir?
____
Keterangan
____
Terlalu riskan dan kurang efektif untuk

mengganti karyawan apalagi system shift
untuk pengolahan data yang sensitif.
Karyawan tidak digilir, tapi bila karyawan
berhalangan masuk maka ada karyawan
dalam divisi yang sama akan menggantikan sementara tugas nya itu.
Manager Akuntansi dan Keuangan
merangkap fungsi Controller pada divisi
bersangkutan. Begitupun kepala bagian /
manager untuk divisi lainnya.
Apakah perusahaan memiliki Sistem

Pengendalian Intern (SPI)?
____
____
____
Apakah dibuat laporan hasil pengawasan?
__-__
__-__
__-__
Apakah laporan tersebut disampaikan

kepada pejabat eksekutif tertinggi?
__-__
__-__
__-__
Apakah sudah ada tindak lanjut?
__-__
__-__
__-__
Apakah ia sudah melaksanakan tugasnya

dengan baik?
__-__
__-__
__-__
____
____
____
Ya. Dibuat ruang khusus untuk server

database. Dan workstation terdapat pada
setiap meja pegawai.
____
Masing-masing user/operator mempunyai

workstation sendiri sehingga Divisi F&A
dapat mengakses dan memproses data dari
workstation sendiri.
____
Berbeda lantai. Ruang server lantai 3, dan

ruang logistik serta operasional di lantai 2.
Ruang divisi F&A dilantai 3 sayap kiri,
dan Ruang Manajer F&A di sayap kanan,
ruang IT berada di tengah-tengah.
8.
Apakah lokasi dari ruang komputer telah

terpisah dengan bagian yang lain?
9.
Apakah komputer ditempatkan pada satu

ruangan khusus?
10.
____
Tidak N/A
Apakah terdapat pemisahan antara ruang

programming dengan ruang operasi?
____
____
____
____
11.
Apakah ruang komputer telah dilengkapi

dengan alat pendeteksi dan pencegahan
kebakaran?
____
____
____
12.
Apakah terdapat metode pembatasan akses

thdp ruang komputer serta fasilitas library?
__-__
__-__
__-__
Manager melaporkan langsung kepada

Direksi. Tidak ada skedul untuk
pembuatan laporan secara reguler, hal
yang dilaporkan adalah hal yang memang
membutuhkan penyelesaian lebih kritis.
Dilakukan tindak lanjut (follow up)
setelah ada keputusan langsung dari
Direksi. Bila Direksi berhalangan, maka
Manajer F&A dapat menggunakan
wewenangnya
untuk
pengambilan
keputusan.
Ya. Untuk sementara waktu, hanya pada

ruang server dan ruang direksi saja
terdapat smoke detector devices. Untuk
alat pemadam kebakaran bentuk tabung di
sediakan sebanyak 2 tabung tiap lantai (3
lantai untuk kantor, 1 lantai untuk front
desk dan ruang demo produk), total 8
(delapan) tabung pemadam kebakaran.
L xvi
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
13.
Apakah terhadap individu yang bukan staf IT

selalu didampingi bilamana mereka masuk ke
ruang komputer/storage/library?
14.
Apakah khusus untuk komputer dipergunakan

Stabilizer (alat penstabil tegangan listrik)?
Ya
____
____
Tidak N/A
____
____
Keterangan
____
Hal ini tidak perlu dilakukan karena tidak

sembarangan orang dapat masuk keruang
komputer/storage/library. Pegawai yang
bebas untuk masuk ke ruangan tersebut
hanyalah Manager dan Direksi saja. Hanya
Staff yang berkepentingan saja yang
diperbolehkan bebas keluar masuk.
____
UPS juga berfungsi sebagai Stabilizer dan

juga sebagai data protecting apabila terjadi
kepadaman listrik yang dapat mengganggu
proses komputer.
Ya. Setiap komputer memakai UPS
individual. UPS ini di persiapkan untuk
bekerja max 30 menit sekadar untuk
mengsave data yang diakses terakhir.
Perusahaan masih berencana untuk
membuat jaringan listrik di luar jaringan
listrik yang sudah ada dan di support oleh
mesin diesel yang cukup hanya untuk
mengoperasikan komputer serta listrik di
ruang server saja.
15.
Apakah komputer dilengkapi dengan UPS

/Uninterupted Power Supply (listrik
cadangan)?
____
____
____
16.
Apakah digunakan password pada setiap

komputer?
____
____
____
17.
Apakah sudah ditetapkan staff yang

bertanggung jawab untuk mengelola media
komputer (tape, disket, dll)?
____
____
____
18.
Apakah telah ditetapkan personil yang

bertanggung jawab mengenai masalah akses
fisik dan akses logika?
____
____
____
19.
Apakah data komputer memiliki back-up file?
____
____
____
Apakah dibackup pada disket?
____
____
____
External zipdrive. Notes: sudah tidak

memakai disket lagi
Apakah dibackup pada harddisk?
____
____
____
Auto generated DBMS di server
Apakah dibackup pada media simpan

lainnya?
____
____
____
20.
Apakah komputer menggunakan password?
____
____
____
Data accounting pada Departement

Accounting (Manager Accounting), data
perusahaan secara keseluruhan pada
Manajer IT.
Maintenance dilakukan oleh staff IT
bagian support & maintenance.
Compact Disc (CD), USB external storage
Ya. Kelebihan password ini terletak pada

kode leveling authorization nya.
Contoh; apabila Direksi mengakses data
perusahaan di komputer front desk, maka
Direksi harus logging denagn user name dan
password nya, dengan itu ia dapat mengakses
data confidential perusahaan. Karena itulah
dianjurkan untuk melog off komputer
setelah digunakan untuk menghindari hal-hal
yang tidak di inginkan saat kita sedang
meninggalkan komputer un-attended.
L xvii
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
21.
Jika Ya, Apakah dalam jangka waktu tertentu

diadakan perubahan password?
Ya
____
Tidak N/A
____
____
Ya, secara periodik. Biasanya di

beritahukan terlebih dahulu via phone atau
kadang speaker, bahwa akan ada
perubahan password..
____
User Name (USERID) langsung dihapus

setelah konfirmasi antar Manajer. Hal ini
dilakukan karena faktor keamanan secara
umum. Apabila dianggap mendesak,
proses penghapusan dapat dilakukan staff
IT yang berwenang setelah Manajer IT.
Ya. Leveling authorization dimulai dari
level 6 sampai dengan level 1. level 1
adalah level password untuk owner dan
direksi serta program developer.
22.
Apakah ada proteksi khusus yang dilakukan

bila ada pegawai yang keluar / mengundurkan
diri?
23.
Apakah ada otorisasi secara khusus dalam

penggunaan password untuk setiap
management level?
____
____
____
24.
Apakah pada prosedur Login pegawai harus

memberikan password?
____
____
____
25.
Apakah terdapat pembatasan kesalahan dalam

prosedur Login sebelum terjadi penolakan?
____
____
____
____
____
Ya. Salah password sampai dengan 3 kali,

maka sistem keamanan akan aktif secara
otomatis (sistem LAN akan putus, sistem
windows akan halt, user id akan lock out)
Kita harus lapor ke IT agar operator
bagian admin akan langsung menghampiri
workstation tersebut untuk mendeteksi
adanya tindakan yang tidak terotorisasi
atau hanya memang salah memasukkan
password.
Tergantung mental pegawai, karena itu
untuk operator diberikan otorisasi level
yang paling minimum (hanya untuk input).
Perlu diketahui bahwa password untuk
setiap user diharapkan untk menjaga
kerahasiaan password tersebut, termasuk
kepada keluarga atau relasi dari user.
26.
Apakah peraturan pemakaian password dapat

menjamin bahwa tidak terdapat kemungkinan
suatu password diketahui oleh pihak lain?
____
____
____
27.
Apakah terdapat prosedur yang secara

periodik mengharuskan dilakukan evaluasi
dalam rangka mengidentifikasikan dan
mengatasi adanya aktifitas yang tidak
diotorisasi?
____
____
____
28.
Apakah komputer yang digunakan

(workstation) sudah memenuhi spesifikasi
yang dibutuhkan untuk menjalankan program
AbiPro?
29.
Apakah Perusahaan pernah menggunakan

program lain sebelum menggunakan program
AbiPro?
____
____
____
____
Keterangan
____
Standar komputer untuk workstation sudah

di upgrade untuk mengikuti perkembangan
program. Upgrade terakhir dilakukan
tahun
2003
sekaligus
peremajaan
inventaris komputer. Standar terendah di
divisi adalah Pentium III 800, RAM 128.
____
AbiPro dikembangan secara in house, dan

sekarang sudah memakai versi 9.10
dengan ekspansi untuk LAN dan WAN,
serta suitable untuk windows XP. Pada
awalnya masih running under windows
dan sekarang sudah windows compatible.
L xviii
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
Ya
Tidak N/A
Keterangan
Ini setelah dilakukan pengembangan
program. Pada awal implementasi, dengan
basis AbiPro masih versi DOS dan belum
bisa dibuat sebagai shared program, kita
sempat kewalahan untuk update data yang
harus dilakukan dengan cara menyalin
data ke disket dan dibawa ke komputer
manajer F&A untuk di kompilasikan
dengan data terakhir.
30.
Apakah program AbiPro dapat digunakan

sebagai Shared Program (Single Computer,
Multi tasking and Multi user)?
____
____
____
31.
Apakah perusahaan menggunakan jaringan

komunikasi intern / lokal (Local Areal
Network-LAN)?
____
____
____
32.
Apakah perusahaan memiliki server sebagai

pusat database?
____
____
____
33.
Apakah perusahaan juga memiliki komputer

monitor yang digunakan selama operasional
DBMS?
____
____
____
34.
Apakah program AbiPro digunakan sebagai

shared program untuk beberapa workstation?
____
____
____
Semua komputer di divisi F&A di instal

dengan program standar dan AbiPro
termasuk didalamnya.
____
Hanya komputer pada Divisi F&A yang di

instal program AbiPro sebagai program
standar. Bila ada akses dengan password
otorisasi level tinggi dari luar komputer
divisi F&A untuk program tersebut, maka
akan
muncul
protokol
yang
memberitahukan agar menginstal program
terlebih dahulu, dalam arti akses tetap
dibatasi untuk menghindari akses tanpa
ijin di luar divisi F&A.
Program yang dapat digunakan bersama
adalah DBMS untuk file sharing serta
email (outlook), serta kepustakaan yang
sifatnya umum.
Off The Record: dalam email mereka
saling sharing lagu mp3 dan gambar.
Apabila melebihi batas (quota) streaming,
maka content email tersebut dapat di block
langsung oleh security DBMS.
LAN disusun dengan Bi-Directional
system. Dan semua lalu lintas program
(maupun data) diatur dengan protokol
sharing file yang diset berdasarkan
otorisasi user.
____
Up date data dilakukan secara manual,

yaitu:
Dial Up (modem)
Data backup procedures (via CD dan
external storage)
Untuk Gudang besar yang terletak di
Cileduk masih memakai cara manual yaitu
menyalin ke CD dan di kompilasi di
35.
Apakah selama penggunaan program, seluruh

divisi dapat mengakses program secara
bersamaan (simultant access)?
36.
Apakah Perusahaan juga menggunakan

jaringan komunikasi eksternal dalam rangka
berhubungan dengan Pabrik & workshop
untuk mengakses data (terutama up-dating
data)?
____
____
____
____
L xix
LAMPIRAN VI
DAFTAR KUESIONER
COMPLIANCE TEST
PT AIR
No.
FIN & ACC DIVISION
Ya
Tidak N/A
Keterangan
kantor pusat. Apabila terdapat keadaan
yang mendesak untuk up-date data
inventory, maka data akan di zip dan
dikirimkan via email (modem)
37.
Apakah hal ini juga berlaku dalam transfer

data?
____
____
____
Hal ini hanya berlaku untuk gudang di

Cileduk. Untuk sample warehouse (di
kantor pusat), sudah online karena sudah
terdapat fungsi pegawasan langsung.
38.
Jika Tidak, Apakah Pabrik & workshop juga

merupakan Server database?
____
____
____
Komputer di pabrik hanya untuk

melakukan perhitungan stok barang saja.
39.
Jika Tidak, Apakah yang dilakukan agar

perusahan tetap dapat meng"synchronize"
data antar wilayah untuk mencapai
keseragaman data?
____
Kontrol pemakaian bahan dilakukan oleh

supervisor untuk melihat efisiensi di
Pabrik/Workshop
Kontrol pemakaian data juga dengan cara
merekonsiliasi antara data yang diterima
(via dial up / CD) dengan hasil Stock
Counting (stock op name)
____
____
FIN & ACC Division Manager

(notes: jawaban kuesioner di ketik ulang melalui editing tanpa mengubah arti dari
kalimat atau bentuk apapun dan sesuai dengan kuesioner aslinya)
L xx
LAMPIRAN VII
LAMPIRAN LOCAL SECURITY POLICIES

1. ACCOUNT POLICY PASSWORD POLICY
2. ACCOUNT POLICY - ACCOUNT LOCKOUT POLICY
L xxi
LAMPIRAN VII
3. LOCAL POLICY AUDIT POLICY
4. LOCAL POLICY USER RIGHTS ASSIGMENT
L xxii
LAMPIRAN VII
5. LOCAL POLICY SECURITY OPTIONS
L xxiii
LAMPIRAN VIII
SKEDUL PEMERIKSAAN SIK PT. AIR
No.
1
Kegiatan
Duration
Start
Finish
Perencanaan Audit
5 hari
8 Agustus 2005
12 Agustus 2005
Membuat Surat Permintaan Dokumen
1 hari
8 Agustus 2005
8 Agustus 2005
Menyusun perencanaan audit (termasuk

menyusun jadwal interview)
5 hari
8 Agustus 2005
12 Agustus 2005
13 hari
15 Agustus 2005
31 Agustus 2005
Interview departemen IT untuk memahami

business issue
5 hari
15 Agustus 2005
19 Agustus 2005
Interview departemen F&A untuk

memahami business issue
3 hari
22 Agustus 2005
24 Agustus 2005
Mendapatkan dan review dokumentasi
5 hari
25 Agustus 2005
31 Agustus 2005
Pengolahan Data serta Findings
9 hari
1 September 2005
13 September 2005
Editing Data & Findings
2 hari
1 September 2005
2 September 2005
Verifying Data & Findings
2 hari
5 September 2005
6 September 2005
Analyzing (Evaluating) Data & Findings
5 hari
7 September 2005
13 September 2005
Pelaksanaan Audit
A. Elemen-elemen pada pengendalian umum yang di analisis mencakup:

a. Pengendalian organisasi.
b. Pengendalian administratif.
c. Pengendalian pengembangan dan pemeliharaan sistem.
d. Pengendalian hardware dan software.
e. Pengendalian dokumentasi.
B. Pengendalian umum SIK yang penting dalam lingkungan database dapat digolongkan ke dalam kelompok berikut:
1. Pendekatan baku untuk untuk pengembangan dan pemeliharaan program aplikasi.
4. Pemisahan tugas.
C. Tujuan secara keseluruhan BCP (Business Continuity Plans) adalah: untuk meminimalkan adanya gagal sistem dan
memastikan bahwa bisnis dapat terus berjalan secara efektif (dalam waktu pemulihan yang dapat diterima acceptable
recovery time) pada saat fasilitas sistem informasi tidak tersedia.
4
Penulisan Laporan Audit
11 hari
14 September 2005
28 September 2005
Membuat kertas kerja pemeriksaan
3 hari
14 September 2005
16 September 2005
Menyiapkan draft hasil temuan dan

rekomendasi
5 hari
19 September 2005
23 September 2005
Mengirimkan draft hasil temuan dan

rekomendasi
3 hari
26 September 2005
28 September 2005
L xxiv
IT
MANAGER
APPLICATION
DEVELOPMENT
UNIT
NETWORK
ENGINEERING
UNIT
OPERATING UNIT
(SUPPORTING)
SYSTEM
IMPLEMENTATION
SUPERVISOR
SYSTEM ANALYST
TECHNICAL
SUPPORT
PROGRAMMER
SYSTEM
ADMINISTRATOR
Unit pengembangan aplikasi

akan meneliti program yang
akan
dibangun
untuk
mendukung kinerja server,
serta melakukan pelatihan yang
perlu dilakukan. Pengawasan
terhadap kestabilan sistem juga
dilakukan secara on-screen
monitor pada server. Fungsi
pengawasan lalu-lintas data
dari server (Data Base System
Management/DBSM) melalui
jaringan
dilakukan
nya
bersama
dengan
Unit
engineering jaringan.
Unit Engineering Jaringan

(Network Engineering Unit);
Unit Jaringan adalah tim yang
mendukung
pengadaan
jaringan, pengawasan jaringan
serta maintenance jaringan.
Selama melakukan kegiatan
pemeliharaan
jaringan,
bersama
dengan
System
Support Team untuk merawat
infrastruktur
jaringan
di
perusahaan. Dan melakukan
pengawasan bersama dengan
Development
unit
untuk
mengembangkan
program
utilitas
yang
dapat
mempermudah
pengawasan
lalu-lintas data melalui server.
Unit Operasional (Operation

Unit):
Implementasi Sistem (System
Implementation);
Unit ini bertanggung jawab
atas
kelancaran
program
aplikasi yang digunakan setiap
komputer.
Mereka
juga
bertugas untuk melaksanakan
pemberian anti virus dan
memperbaiki sistem yang
crash (hanged), menginstal
ulang
program
yang
diperlukan.
Pendukung Teknik (Technical
Support).
Unit ini bertanggung jawab
atas kesehatan komputer secara
fisik serta masalah-masalah
teknikal yang memerlukan
penanganan
langsung,
penginstalan devicess driver
serta pengawasan komputer
secara fisik.
Unit Operasional juga sering
disingkat
menjadi
System
Support Team dalam arti tim
yang melakukan kegiatan
System Implementation dan
Technical
Support.
Penggolongan
ini
dibuat
berdasarkan
fungsi
Unit
Operasional tersebut.
STRUKTUR ORGANISASI PT AIR

DEWAN KOMISARIS
PRESIDEN DIREKTUR
DIREKTUR
KEUANGAN
MANAGER
FINANCE &
ACCOUNTING
DIREKTUR
OPERASIONAL
MANAGER
MANAGER
INFORMATION
TECHNOLOGY
SALES DIVISI
SEKRETARIS
KEPALA DIVISI PRODUKSI FURNITURE
KEPALA
DIVISI
LAMINATING
& INTERIOR DESIGN
VENEER &
MARQUETRY
PIUTANG
DAGANG
KAS &
BANK
ADMINISTRASI
PENJUALAN
ACCOUNTING
ADMINISTRASI
GUDANG
I.T CREW
QUALITY
CONTROL
PEMBELIAN
DRAFTER
KEPALA
PROYEK
FOR:
- DEVELOPM'T
EKSPEDISI
COLLECTOR
COST
ACCOUNTING
SALES
SALES
SALES
- NETWORKING
ASISTEN
PROYEK
KEPALA
GUDANG
SUPERVISOR
DESAIN
SETTING
AMPLELAS &
CREW
- SUPPORTING
GENERAL
ACCOUNTING
FUNGSI ACCOUNTING
FUNGSI OPERASIONAL
SEKRETA
DAFTAR KEPUSTAKAAN
Agoes, Sukrisno (2004). Auditing, Edisi Ketiga. Jakarta: Penerbit Lembaga Penerbit
Fakultas Ekonomi Universitas Indonesia.
Arens, Alvin A. dan James K. Loebbecke (2001). Auditing an Integrated Approach.

Eight edition. New Jersey: Prentice Hall International Inc.
Baridwan, Zaki (1994). Sistem Informasi Akuntansi. Edisi Kedua. Cetakan Kedua.
Yogyakarta: Penerbit BPFE.
Bodnar, George H. and William S. Hopwood (2004). Accounting Information

Systems. International Edition. Nineth Edition. New Jersey: Prentice Hall Inc.
Halim, Abdul (2003). Auditing I (Dasar-dasar Audit Laporan keuangan). Edisi

Kedua (Revisi). Cetakan Ketiga. Yogyakarta: Unit Penerbit Dan Percetakan
AMP YKPN.
Hendang, Tanusdjaja (1999). Dampak Pengolahan Data Elektronik Terhadap Audit.

Jurnal Publikasi FE Untar, Th II/03/99, hal 52-53.
Ikatan Akuntan Indonesia - Kompartemen Akuntan Publik/IAI - KAP (2001).

Standar Profesional Akuntan Publik (SPAP). Cetakan 1. Jakarta: Salemba
Empat.
Information System Audit And Control Association, The (2002). CISA Review
Technical Information Manual 2002. Published by: The Information System
Audit And Control Association.
Mulyadi, Kanaka Puradiredja (1998). Auditing. Jakarta: Salemba Empat.
Mulyadi (2002). Auditing Buku 1. Edisi 6. Jakarta: Salemba Empat.

124
Supranto, J. M.A. (2003). Metode Riset Aplikasinya dalam Pemasaran. Edisi

Ketujuh. Cetakan Kedua. Jakarta: PT Rineka Cipta.
Sekaran, Uma (2000) Research Methods For Business. A Skill-Building Approach.

Third Edition. New York: John Wiley & Sons, Inc.
Weber, Ron (1998). EDP Auditing Conceptual Foundation and Practice. Second
edition. New York: Mc Graw Hill.
125

Pelaksanaan Pemeriksaan Sistem Informasi Pada PT Air

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Pelaksanaan Pemeriksaan Sistem Informasi Pada PT Air

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSITAS TARUMANAGARA

PROGRAM PASCA SARJANA

PELAKSANAAN PEMERIKSAAN SISTEM

UNTUK MEMENUHI SEBAGIAN DARI SYARAT-SYARAT

TANDA PERSETUJUAN TESIS

ALFRED FEBIAN GANI

PELAKSANAAN PEMERIKSAAN SISTEM

Pembimbing Tesis : Ibu Ir. Tufrida M. Hasyim, MM, MHSM

TANDA PERSETUJUAN TESIS

ALFRED FEBIAN GANI

PELAKSANAAN PEMERIKSAAN SISTEM

Dr. Suparman Ibrahim Abdullah, MSc

Anggota Panitia: Taridi, SE, MBA

Anggota Panitia: Ir. Tufrida M. Hasyim, MM, MHSM

METODE PENELITIAN ... 37 - 47

GAMBARAN UMUM PERUSAHAAN ... 48 - 60

4.3.2. Uraian Tugas . 51

EVALUASI DAN PEMBAHASAN 61 - 115

5.3.5. Lokasi Back-up . 113

KESIMPULAN DAN SARAN ... 116 - 123

DAFTAR PUSTAKA. 124

LAMPIRAN LAMPIRAN . L i - xxiv

METODOLOGI PENGEMBANGAN SISTEM L i

STRUKTUR ORGANISASI PT. AIR

SISTEM AREAL NETWORK PADA PT. AIR

DAFTAR LEVEL OTORISASI PASSWORD

DAFTAR KUESIONER COMPLIANCE TEST

DAFTAR KUESIONER COMPLIANCE TEST

LOCAL SECURITY POLICY (Sumber: PT. AIR

SKEDUL PEMERIKSAAN SIK PT.AIR ... L xxiv

Contoh SPT Tahunan PPh psl.21, form 1721 A1 untuk Karyawan

The purpose of this research is to evaluate the process of information systems

Keywords: Auditing, Information System, General Control, Business Continuity.

Tujuan penelitian ini adalah untuk mengevaluasi pelaksanaan pemeriksaan

Kata Kunci:Pemeriksaan, Sistem Informasi, Pengendalian Umum, Kelangsungan Bisnis.

Penulis juga tidak lupa mengucapkan terima kasih yang sebesar-besarnya

Semoga tesis ini dapat bermanfaat bagi yang memerlukan.

Jakarta, 16 Desember 2005

Alfred Febian Gani

1.1. Latar Belakang

adalah hal-hal penting dalam perusahaan yang harus diperhatikan pengelolaannya.

digunakannya komputer dalam mengaudit informasi keuangan.

pelaksanaannya, tidak semua paket software dapat memenuhi kebutuhan setiap

3. Perbedaan dalam perihal pemisahan tugas.

AIR sebagai obyek penelitian dengan perumusan permasalahan sebagaimana akan

1.2. Perumusan Masalah

1.3. Tujuan Penelitian

d. Pengendalian hardware dan software

1.4. Manfaat Penelitian

3. Hasil penelitian juga diharapkan dapat digunakan dan bermanfaat bagi

1.5. Ruang Lingkup Penelitian

1.6. Kerangka Penulisan

BAB II LANDASAN TEORI

BAB III METODOLOGI PENELITIAN

BAB IV GAMBARAN UMUM PERUSAHAAN

BAB V ANALISIS DAN PEMBAHASAN

BAB VI KESIMPULAN DAN SARAN

Pernyataan mengenai kegiatan dan kejadian ekonomi. Pernyataan mengenai

Pemeriksaan Sistem Informasi

Konsep-Konsep Pemeriksaan SIK

Audit Around The Computer

menggunakan komputer untuk melaksanakan prosedur auditing). Dalam hal ini

Audit through The Computer