Audit Sistem Informasi Atas Pengendalian Aplikasi (Studi Kasus … · 2013. 5. 24. · pengendalian...

19

I. PENDAHULUAN

Seiring dengan pesatnya kemajuan teknologi informasi membuat sejumlah

entitas mulai dari perusahaan, pemerintah, sampai organisasi pendidikan pelan-

pelan mulai mengandalkan teknologi komputer ke dalam aktifitasnya. Hal ini

disebabkan dengan semakin banyak dan kompleksnya aktivitas-aktivitas dalam

organisasi sehingga manajemen dalam organisasi harus dapat memiliki informasi

yang cepat, tepat dan akurat untuk mengambil sebuah keputusan. Dalam

kaitannya dengan transaksi keuangan, perkembangan teknologi komputer telah

mengakibatkan perubahan pencatatan, pengolahan dan pelaporan data dari sistem

manual menjadi sistem informasi berbasis komputer.

Meskipun sistem informasi sudah terkomputerisasi, penggunaan sistem

informasi yang terkomputerisasi ini tidak menyebabkan organisasi terlepas dari

kecurangan (fraud) dan resiko yang akan dihadapi. Kecurangan dan resiko

tersebut dapat berupa kesalahan proses dari program aplikasi, pencurian data,

kerusakan data, dll. Terlebih lagi sistem berbasis teknologi akan mempunyai

potensi resiko yang semakin besar (Gondodiyoto, 2007:476). Resiko yang

semakin besar mendorong perlunya pengendalian (kontrol) yang semakin

memadai, dan perlunya mengevaluasi apakah sistem cukup dilengkapi kontrol dan

apakah kalau sudah ada kontrol maka kontrol tersebut sudah dijalankan dengan

secara sungguh-sungguh (Gondodiyoto, 2007:476). Untuk memininalkan

terjadinya fraud dan resiko dalam sistem informasi maka kebutuhan audit sistem

informasi sebagai sarana mengevaluasi pengendalian internal semakin

dibutuhkan. Pengendalian Internal tersebut bertujuan untuk mewujudkan

20

efektivitas dan efisiensi operasi, keandalan laporan keuangan, kepatuhan terhadap

hukum dan peraturan yang berlaku.

Di dalam pengendalian internal menurut Committee of Sponsoring

Organizations (COSO) terdapat dua aktivitas pengendalian yang ditunjukan untuk

mendorong kehandalan proses informasi yaitu pengendalian umum dan

pengendalian aplikasi (Hall, 2011:21). Pengendalian umum berfokus pada semua

pengendalian yang tidak terkait langsung terhadap aplikasi komputer. Sedangkan

pengendalian aplikasi berfokus pada pengendalian aplikasi tertentu.

Pengendalian aplikasi merupakan salah satu pengendalian internal yang

cukup penting bagi entitas yang mengandalkan teknologi informasi ke dalam

aktivitas utamanya. Pengendalian aplikasi tidak terlepas dari resiko-resiko yang

ada. Salah satu resiko yang paling fatal adalah resiko kesalahan input data. Jika

terjadi kesalahan input data maka organisasi akan sangat dirugikan karena

informasi yang dihasilkan menjadi tidak dapat diandalkan dan malah menyesatkan

bagi organisasi.

Universitas Kristen Satya Wacana (UKSW) merupakan salah satu

organisasi yang bergerak dalam jasa pendidikan, telah menerapkan sistem

informasi akuntansi terkomputerisasi sejak tahun 2003. Dengan kata lain,

komputerisasi telah digunakan dalam segala aspek pencatatan, pemrosesan sampai

dengan pelaporan. Salah satu sistem informasi yang digunakan oleh UKSW untuk

pemrosesan transaksi keuangan adalah Sistem Keuangan dan Akuntansi Satya

Wacana (SIKASA) UKSW.

21

SIKASA UKSW merupakan aplikasi keuangan dan akuntansi berbasis

web yang hanya dapat digunakan dalam lingkungan jaringan (network) UKSW.

Sehingga kebutuhan penggunaan teknologi informasi untuk menjalankan kegiatan

operasional dalam pemrosesan transaksi sangat diandalkan. Penggunaan sistem

informasi yang terkomputerisasi pada satu sisi dapat meningkatkan efisiensi

kegiatan operasional, kualitas dan kecepatan pelayanan. Sedangkan disisi lain

mengandung resiko potensial yang apabila tidak diantisipasi dengan baik akan

merugikan organisasi. Oleh karena itu penting bagi organisasi untuk melakukan

audit sistem informasi untuk menentukan apakah Sistem Keuangan dan Akuntansi

UKSW sudah dikelola dengan baik.

Persoalan dalam penelitian ini adalah bagaimana pengendalian aplikasi

pada sistem keuangan dan akuantansi UKSW yang berjalan sampai saat ini? Apa

saja kelemahan dan resiko yang terdapat pada SIKASA UKSW?

Berdasarkan uraian di atas, penulis tertarik untuk melakukan penelitian

tentang audit sistem informasi pada Sistem Keuangan dan Akuntansi Satya

Wacana. Ruang lingkup penelitian ini difokuskan pada audit sistem informasi atas

pengendalian aplikasi.

Tujuan yang akan dicapai dalam penelitian ini adalah untuk mengetahui

pengendalian yang diterapkan oleh universitas dalam pengendalian aplikasi pada

sistem keuangan dan akuntansi UKSW, melakukan penilaian terhadap resiko

berdasarkan kelemahan-kelemahan yang ditemukan, membuat rekomendasi

perbaikan berdasarkan kelemahan-kelemahan dan resiko yang ditemukan dari

proses audit tersebut. Hasil penelitian ini diharapkan dapat bermanfaat sebagai

22

masukan bagi pihak manajemen untuk meningkatkan pengendalian aplikasi pada

sistem informasi keuangan dan akuntansi UKSW.

II. TELAAH TEORITIS

2.1. Audit Sistem Informasi

Audit sistem informasi merupakan proses pengumpulan dan evaluasi

bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah

dapat melindungi aset milik organisasi, mampu menjaga integritas data,

memungkinkan tujuan organisasi untuk dicapai secara efektif, dan menggunakan

sumber daya yang efisien (Weber, 1999:10). Audit sistem informasi sendiri

merupakan gabungan dari beberapa ilmu, antara lain tradisional audit,

manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer dan ilmu

prilaku (Weber, 1999:18). Menurut Weber (1999:11-13) terdapat empat tujuan

audit sistem informasi yaitu meningkatkan keamanan aset-aset perusahaan,

meningkatkan integritas data, meningkatkan efektifitas sistem, meningkatkan

efisiensi sistem.

2.2. Perlunya Kontrol dan Audit Sistem Informasi

Menurut Weber (1999 : 5-10), faktor yang mendorong pentingnya kontrol

dan audit sistem informasi adalah :

1. Biaya perusahaan yang timbul karena kehilangan data (Organizational

costs of data loss).

2. Biaya yang timbul karena kesalahan dalam pengambilan keputusan

(Cost of incorrect decision making).

23

3. Biaya yang timbul karena penyalahgunaan komputer (Cost of

computer abuse).

4. Nilai dari hardware, software dan personel (Value of hardware,

software, personel).

5. Biaya yang besar akibat kerusakan komputer (High cost of computer

error).

6. Menjaga kerahasiaan (Maintenance of privacy).

7. Meningkatkan pengendalian evolusi (penggunaan) penggunaan

komputer (Controlled evolution of computer abuse).

2.3. Tahapan Audit Sistem Informasi

Menurut Hall (2011 : 10-11) terdapat tiga fase/tahapan dalam audit sistem

informasi diantara lain ( seperti dalam gambar 2.1):

1. Perencanaan audit (audit planning phase)

Sebelum auditor dapat menentukan pengujian yang harus dilakukan,

auditor harus memperoleh pemahaman menyeluruh terhadap bisnis

klien. Tujuannya adalah untuk mendapatkan informasi yang cukup

tentang perusahaan untuk merencanakan tahap audit selanjutnya. Pada

tahap ini, auditor harus memahami kebijakan, praktek dan struktur

perusahaan. Selanjutnya, auditor harus memahami pengendalian umum

dan pengendalian aplikasi yang ada dalam perusahaan. Selama proses

ini berlangsung auditor harus mengidentifikasi ancaman yang paling

penting dan pengedalian untuk mengurangi ancaman tersebut.

24

2. Pengujian pengendalian (test of controls phase)

Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian

internal sudah memadai dan dijalankan dengan baik. Untuk mencapai

hal ini, auditor melakukan berbagai tes kontrol. Bukti pengumpulan-

teknik yang digunakan dalam tahap ini mencakup teknik manual dan

teknik komputer khusus audit. Pada akhir dari tahap pengujian

pengendalian, auditor harus menilai kualitas dari pengendalian internal

dengan menetapkan tingkat risiko kontrol. Tingkat kepercayaan

auditor terhadap pengendalian internal menentukan pengujian

substantif yang akan dilakukan.

3. Pengujian substabtive (substantive testing phase)

Tahap ini menekankan pada data keuangan, yang melibatkan

pemeriksaan terhadap saldo account atau transaksi tertentu. Auditor

harus mengevaluasi kelemahan dari kebijakan dan prosedur yang ada

untuk menentukan dampaknya terhadap perusahaan kemudian

melaporkan hasil tersebut.

Gambar 2.1. Tahapan audit sistem informasi

25

2.4. Metode Audit

Menurut Gondodiyoto (2007 :451-459) pendekatan yang dapat dipakai

dalam melakukan audit sistem informasi ada 3 (tiga) antara lain :

1) Auditing around the computer

Untuk menerapkan metode ini, auditor pertama kali harus menelusuri

dan menguji pengendalian masukan, kemudian menghitung hasil yang

diperkirakan dari proses transaksi lalu auditor membandingkan hasil

sesungguhnya dengan hasil yang dihitung secara manual.

2) Auditing through the computer

Pada metode ini, auditor tidak hanya melakukan pengujian pada input

dan output melainkan juga pemeriksaan secara langsung terhadap

pemrosesan komputer melalui pemeriksaan logika dan akurasi program

meliputi koding program, desain aplikasi, serta hal lain yang berkaitan

dengan program aplikasinya.

3) Auditing with computer

Pada metode ini audit dilakukan dengan menggunakan komputer dan

software untuk mengotomatisasi prosedur pelaksanaan audit. Metode

ini sangat bermanfaat dalam pengujian subtantif atas file dan record

perusahaan. Salah satu software audit yang dapat digunakan adalah

GAS (Generalized Audit Software) dan SAS (Specialized Audit

Software).

26

2.5. Program Audit

Menurut Moeller (2010:127) program audit merupakan prosedur yang

menjelaskan langkah-langkah dan serangkaian tes yang akan dilakukan oleh

seorang auditor TI pada saat meninjau sebuah fasilitas operasional TI,

mengevaluasi aplikasi, atau melakukan beberapa proses audit lainnya. Bentuk

program audit sangat beragam tergantung pada kondisi audit, praktik, serta

kebijakan kantor akuntan tersebut (Boynton et all,2003:246).

2.6. Pengendalian Internal

Menurut Committee of Sponsoring Organizations (COSO) yang dikutip

oleh Champlain (2003:216) dalam bukunya yang berjudul Auditing Information

System, pengendalian internal didefinisikan sebagai :

“A process, affected by an entity’s board of directors, management and

other personnel, designed to provide reasonable assurance regarding the

achievement of objectives in (1) the effectiveness and efficiency of operations, (2)

the reability of financial reporting, and (3) the compliance of applicable laws anf

regulations.”

Untuk mencapai tujuan tersebut, terdapat lima komponen pokok sistem

pengendalian internal yang dapat diterapkan secara efektif, yang mencakup

lingkungan pengendalian, penaksiran risiko, aktivitas pengendalian, informasi &

komunikasi, serta pengawasan.

Didalam pengendalian internal menurut COSO terdapat dua aktivitas

pengendalian yang ditunjukan untuk mendorong kehandalan proses informasi

yaitu pengendalian umum dan pengendalian aplikasi (Hall, 2011:21).

27

2.6.1. Pengendalian Umum

Menurut Gondodiyoto (2007 : 301) pengendalian umum adalah sistem

pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan

komputerisasi sebuah organisasi secara menyeluruh. Ruang-lingkup yang

termasuk dalam pengendalian umum adalah sebagai berikut (Gondodiyoto, 2007 :

301) :

1. Pengendalian top manajemen (top management controls), dalam lingkup

ini termasuk pengendalian manajemen sistem informasi (information

system management controls).

2. Pengendalian manajemen pengembangan sistem (system development

management controls), termasuk manajemen program (programing

management controls).

3. Pengendalian manajemen sumber data (data resource management

controls).

4. Pengendalian manajemen operasi (operation management controls).

5. Pengendalian manajemen keamanan (security administration management

controls).

6. Pengendalian manajemen jaminan kualitas (quality assurance

management controls).

2.6.2. Pengendalian Aplikasi

Pengendalian khusus atau pengendalian aplikasi ialah kontrol internal

komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu

28

organisasi (Gondodiyoto, 2007:371). Pengendalian aplikasi terdiri dari 6 (enam)

pengendalian yaitu:

2.6.2.1. Pengendalian Batasan (Boundary Control)

Pengendalian batasan merupakan jenis pengendalian yang didesain untuk

mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar

sumberdaya sistem informasi digunakan oleh user dengan cara yang ditetapkan.

Yang dimaksud dengan batasan (boundary) adalah interface antara para pengguna

(users) dengan sistem berbasis teknologi informasi (Gondodiyoto, 2007: 374).

Terdapat beberapa kontrol yang diimplementasikan dalam pengendalian batasan

yaitu chryptograpic contol, acces control, audit trail, dan existance control.

2.6.2.2. Pengendalian Masukan (Input)

Input merupakan salah satu tahap dalam sistem komputerisasi yang

paling penting dan mengandung resiko. Pengendalian masukan (input control)

dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input

adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan

(Gondodiyoto, 2007: 377).

2.6.2.3. Pengendalian Proses

Pengendalian proses (processing controls) ialah pengendalian internal

untuk mendeteksi jangan sampai data menjadi error karena adanya kesalahan

proses. Tujuan pengendalian pengolahan adalah untuk mencegah agar tidak terjadi

kesalahan-kesalahan selama proses pengolahan data (Gondodiyoto, 2007: 401).

29

2.6.2.4. Pengendalian Keluaran (Output)

Menurut Gondodiyoto (2007:401) pengendalian keluaran merupakan

pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap

dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls)

ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan

didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat

waktu. Jenis-jenis pengendalian keluaran meliputi pengendalian rekonsiliasi

keluaran, penelaahan dan pengujian hasil pengolahan, pengendalian distribusi

keluaran dan pengendalian terhadap catatan (record retention).

2.6.2.5. Pengendalian Database

Pengendalian database merupakan jenis pengendalian intern yang

didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data

tersebut.

2.6.2.6. Pengendalian Komunikasi Aplikasi

Pengendalian komunikasi aplikasi merupakan jenis pengendalian intern

yang didesain untuk menangani kesalahan selama proses trasmisi data dan untuk

menjaga keamanan dari data selama pengiriman informasi tersebut (Gondodiyoto,

2007:429).

2.7. Instrumen Pemeriksaan

Menurut Gondodiyoto (2007 : 596) terdapat berbagai teknik pemeriksaan

yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik tersebut antara

lain ialah observasi, wawancara atau tanya jawab, kuesioner, konfirmasi, inspeksi,

analisis, perbandingan, pemeriksaan bukti-bukti tertulis atau studi dokumentasi,

30

rekonsiliasi, trasir, perhitungan ulang dan scanning. Dalam audit sistem informasi

juga dapat dilakukan teknik-teknik audit dengan metoda code reivew, test data,

code comparison, dengan dukungan audit software, dilakukan perfomance

management tools lainnya dan monitor information system usage.

2.8. Temuan Audit

Menurut Gondodiyoto (2007 : 663-664) temuan audit dibagi menjadi dua

yaitu temuan negatif dan temuan positif. Temuan negatif adalah temuan

berdasarkan bahan bukti audit bahwa ternyata terdapat ketidaktaatan terhadap

ketentuan/ peraturan, pengeluaran uang tidak sepatutnya, ketidakhematan,

ketidakefisienan dan ketidakefektifan yang dapat berakibat adanya

kemungkinan/resiko/dampak yang merugikan perusahaan. Sedangkan temuan

positif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat hal-

hal yang bersifat positif dan perlu dikemukakan sebagai penghargaan atau

apresiasi terhadap auditan, berikan pujian dan tonjolkan kelebihan-kelebihan

untuk hal-hal yang pantas dikemukakan.

2.9. Teknik Penaksiran Resiko

Menurut Gondodiyoto (2007 : 489) ada beberapa metode untuk

melakukan penilaian resiko, yaitu :

1. Pendekatan penaksiran dengan sistem scoring.

Pendekatan ini digunakan dengan mengutamakan audit berdasarkan pada

evaluasi faktor-faktor resiko.

31

2. Penilaian resiko secara judgemental.

Yaitu keputusan dibuat berdasarkan pengetahuan bisnis, intruksi

manajemen eksekutif, sejarah lingkungan, tujuan bisnis dan faktor-faktor

lingkungan.

3. Teknik kombinasi.

III. METODE PENELITIAN

3.1. Metode dan Teknik Pengumpulan Data

Metode dalam audit sistem informasi yang dipakai menggunakan

pendekatan audit through the computer (terbatas). Yang dimaksudkan audit

through the computer (terbatas) disini ialah penulis melaksanakan program audit

pengendalian proses namun terdapat batasan-batasan yang diberikan auditte.

Sumber data yang digunakan dalam penelitian ini adalah sumber data primer dan

sumber data sekunder. Data primer diperoleh dari hasil observasi, penelaahan

dokumentasi dan wawancara kepada pihak-pihak yang berkepentingan dalam

aplikasi Sistem Keuangan dan Akuntansi UKSW (SIKASA UKSW). Data

sekunder berupa struktur organisasi, job description, buku manual program

aplikasi Sistem Keuangan dan Akuntansi UKSW, Standart Operation Procedure

(SOP) penerimaan dan pengeluaran kas.

Data tersebut diperoleh dari sumber internal. Sumber internal itu ialah

organisasi dimana penelitian ini dilakukan mencangkup pengelola SIKASA

UKSW yaitu staff di lingkungan kantor Pembantu Rektor I, Pembantu Rektor II,

programmer, Biro Teknologi dan Sistem Informasi, dan operator unit

32

(staff/pegawai) terpilih yang berhubungan langsung dengan aplikasi Sistem

Keuangan dan Akuntansi UKSW.

3.2. Tahapan Audit Yang Dilaksanakan

Tahapan audit dalam pekerjaan lapangan ini mengikuti tahapan yang

terdapat dalam teori dan mengalami modifikasi untuk menyesuaikan dengan

keadaan lapangan dan keterbatasan yang ada. Adapun tahapan tersebut adalah

sebagai berikut :

3.2.1. Tahap Perencanaan

Salah satu tahap audit ialah perencanaan (audit planning). Perencanaan

audit dimaksudkan untuk meringankan kerja audit dari segi biaya, waktu dan

penganalisaan atas bukti-bukti dan informasi yang telah diperoleh. Terdapat tiga

tahap yang terdapat dalam tahap perencanaan, yaitu :

1) Melakukan pemahaman atas sistem pengendalian yang ada secara umum,

berupa mengajukan pertanyaan atau melakukan perbincangan kepada

pengelola dan (staff/pegawai) terpilih yang berhubungan langsung dengan

SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam

gambaran objek penelitian.

2) Melakukan pemahaman atas aplikasi secara khusus, berupa mengajukan

pertanyaan atau melakukan perbincangan kepada pengelola dan

(staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA

UKSW dan mendokumentasikan pemahaman tersebut ke dalam survei

pendahuluan.

3) Menentukan perencanaan pengujian pengendalian.

33

3.2.2. Tahap Pengujian Pengendalian

Langkah kedua dalam audit ini adalah tahap pengujian pengendalian.

Pengujian pengendalian bertujuan untuk mengetahui apakah pengendalian yang

ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan, dengan

melakukan pemeriksaan, wawancara, observasi. Terdapat tiga tahap yang terdapat

dalam tahap pengujian pengendalian, yaitu :

1) Melaksanakan pengujian pengendalian, berupa pengumpulan bukti audit

berdasarkan program audit yang telah dibuat dengan sejumlah instrument

audit seperti wawancara dan observasi.

2) Melakukan evaluasi terhadap bukti audit, berupa menganalisis bukti audit

untuk mencari temuan-temuan yang terdapat pada SIKASA UKSW.

3) Menentukan penilaian resiko, menggunakan Level Penilaian Resiko

National Institute of Standard and Technology (NIST) melalui publikasi

khusus 800-30 tentang Risk Management Guide for Information

Technology System. Level penilaian resiko merupakan suatu cara untuk

menganalisa seberapa besar pengaruh kemungkinan terjadinya ancaman

(Threat Likelihood) terhadap akibat yang ditimbulkan (Impact).

Tabel 3.1 Definisi likelihoood level (level kemungkinan terjadi)

Likelihood

Level Likelihood Definition

High Sumber ancaman dianggap sangat mungkin terjadi dan kontrol

untuk mencegah vulnerabilitas terjadi dianggap tidak efektif.

Medium Sumber ancaman mungkin terjadi, tetapi kontrol ditetapkan di

tempat yang dapat menggangu keberhasilan pencegahan

vulnerabilitas.

Low Sumber ancaman kecil kemungkinan terjadi atau kontrol ditetapkan

untuk mencegah atau setidaknya menghalau vulnerabilitas.

34

Tabel 3.2 Definisi magnitude of impact (besar dampak resiko)

Risk

Level Risk Description and Necessary Actions

High Jika sebuah temuan dievaluasi sebagai High Risk, maka penting

untuk mempertimbangkan tindakan perbaikan.

Medium Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan

perbaikan diperlukan dan sebuah rencana harus diterapkan.

Low Jika sebuah temuan ditentukan sebagai Low Risk, dipertimbangakn

apakah diperlukan tindakan perbaikan atau memutuskan untuk

menerima resiko.

Besarnya nilai Threat Likelihood dinyatakan dengan :

High (H) diberi nilai 1,0

Medium (M) diberi nilai 0,5

Low (L) diberi nilai 0,1

Sedangkan besarnya nilai Impact dinyatakan dengan :

High (H) diberi nilai 100

Medium (M) diberi nilai 50

Low (L) diberi nilai 10

Teknik perhitungan dalam Level penilaian resiko menggunakan

fungsi perkalian antara Threat Likelihood dengan Impact. Caranya yaitu :

1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood)

berdasarkan nilai yang ada, apakah High, Medium, atau Low.

2. Tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai

yang ada, apakah High, Medium atau Low.

3. Setelah itu kalikan antara Threat Likelihood dengan Impact.

35

4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah

pertanyaan.

5. Hasil pembagian tersebut dinilai dengan menggunakan Risk Scale

apakah termasuk kategori High, Medium atau Low pada Tabel.

6. Ancaman yang dijadikan resiko dan diberikan rekomendasi hanya

kategori Medium dan High.

Tabel 3.3 Risk Scale

Low Medium High

Risk Scale 1 to 10 > 10 to 50 > 50 to 100

3.2.3. Tahap Pengujian Subtantive

Tahap ketiga dari proses audit berfokus pada data keuangan. Namun,

dikarenakan adanya batasan audit yang ditetapkan organisasi mengenai data

keuangan maka dalam penelitian ini penulis tidak pelaksanakan pengujian

subtantive data keuangan. Terdapat dua tahap yang terdapat dalam tahap

pengujian subtantive, yaitu :

1) Mengevaluasi hasil, berupa memberikan rekomendasi dari resiko-

resiko yang ada.

2) Membuat laporan audit. Pelaporan tidak dilaporkan ke dalam format

resmi seperti yang ada dalam laporan auditor independen pada

umumnya. Pelaporan dalam karya ini berupa kesimpulan dari analisis

temuan yang diperoleh dari analisis pengendalian aplikasi.

36

IV. ANALISIS DATA

4.1. Gambaran Umum Objek Penelitian

Universitas Kristen Satya Wacana (UKSW) semula lahir dengan nama

Perguruan Tinggi Pendidikan Guru Kristen Indonesia (PTPG-KI). Diresmikan

pada tanggal 30 November 1956 dengan lima jurusan, yaitu Pendidikan, Sejarah,

Bahasa Inggris, Hukum, dan Ekonomi. PTPG-KI Satya Wacana berubah menjadi

FKIP-KI pada tanggal 17 Juli 1959. Kemudian pada tanggal 5 Desember 1959

diresmikan menjadi Universitas Kristen Satya Wacana dengan kehadiran Fakultas

Ekonomi dan Fakultas Hukum yang kemudian diikuti dengan pembukaan

beberapa Fakultas dan Program Studi baru. Pada saat ini UKSW memiliki 51

Program Studi yang terdiri dari 7 Program Studi Diploma 3, 31 Program Studi

Program Sarjana (S1), 10 Program Studi Program Magister (S2), dan 3 Program

Studi Program Doktoral (S3).

UKSW dipimpin oleh seorang rektor dan terdapat lima pembantu rektor.

Dalam penelitian ini penulis akan melaksanakan program audit pada lingkungan

Pembantu Rektor I Bidang Akademik dan Pembantu Rektor II Bidang

Administrasi dan Keuangan. Struktur organisasi pada lingkungan Pembantu

Rektor I dan Pembantu Rektor II terlihat pada gambar 4.1 dan 4.2. Budaya UKSW

tercermin dalam penjabaran visi, misi universitas dan motto pelayananan masing-

masing unit.

37

Gambar 4.1 Stuktur Organisasi Pembantu Rektor I

Bidang Akademik dipimpin oleh seorang Pembantu Rektor I (PR I) dan

dibantu oleh seorang sekertaris. Untuk menunjang aktifitas dalam bidang

akademik, PR I memiliki beberapa unit penunjang seperti Perpustakaan

Universitas (PU), Biro Teknologi dan Sistem Informasi (BTSI), Pusat Penjaminan

Mutu Akademik (PPMA), Biro Administrasi Akademik (BAA), Pusat

Bahasa/LTC. Dalam penelitian ini objek audit yang berada di dalam lingkungan

Pembantu Rektor I adalah Biro Teknologi dan Sistem Informasi.

Biro teknologi dan Sistem Informasi (BTSI) dipimpin oleh seorang

manajer dan dibantu oleh seorang sekertaris. Terdapat dua bagian penting dalam

BTSI yaitu bagian teknologi informasi dan bagian sistem informasi. Bagian

teknologi informasi membawahi bagian audio visual, bagian jaringan komunikasi

& internet dan bagian komputer. Sedangkan bagian sistem informasi membawahi

bagian software, bagian sistem informasi manajemen, bagian flexibel learning &

web dan bagian dokumentasi & pelatihan.

38

Gambar 4.2 Stuktur Organisasi Pembantu Rektor II

Bidang Administrasi dan Keuangan dipimpin oleh seorang Pembantu

Rektor II (PR II) dan seorang sekertaris. Untuk menunjang aktifitas dalam bidang

akademik, PR II memiliki beberapa unit penunjang seperti Biro Akuntansi dan

Keuangan (BAK), Biro Manajemen Kampus, Biro HRD. Dalam penelitian ini

objek audit yang berada di dalam lingkungan Pembantu Rektor II adalah Biro

Akuntansi dan Keuangan.

Biro Akuntansi dan Keuangan dipimpin oleh seorang manajer dan dibantu

oleh seorang sekertaris. Terdapat dua bagian penting dalam struktur Biro

Akuntansi dan Keuangan (BAK) yaitu bagian akuntansi dan bagian keuangan.

4.2. Survei Pendahuluan

Sejak tahun 2003 UKSW mulai menggunakan Sistem Keuangan dan

Akuntansi Satya Wacana (SIKASA). Sebelum tahun 2003 pemrosesan transaksi

39

penerimaan dan pengeluaran di UKSW masih secara manual. Pada tahun 2003

sampai 2005 SIKASA dikelola oleh Salatiga Camp. Pada saat itu SIKASA hanya

digunakan untuk memproses transaksi pengeluaran kas saja. Mulai tahun 2006

sampai sekarang SIKASA dikelola oleh BTSI dan mengalami banyak

perkembangan dan perbaikan. Sampai saat ini aplikasi yang digunakan adalah

SIKASA versi 2.0.

SIKASA merupakan aplikasi berbasis web yang digunakan untuk

mengelola data keuangan dan akuntansi. Berdasarkan kebijakan pembukuan dan

pencatatan yang berbeda maka SIKASA di UKSW dibedakan menjadi lima jenis

yaitu SIKASA UKSW, SIKASA B, SIKASA PHKI, SIKASA Mandiri, dan

SIKASA Sekolah Lab. Dari kelima jenis SIKASA tersebut kemudian

dikonsolidasikan menjadi satu laporan. Pengguna SIKASA adalah semua unit

kerja yang ada di lingkungan UKSW. Pengguna hanya bisa mengakses SIKASA

di dalam area jaringan UKSW melalui alamat http://sikasa.uksw.edu

Model arsitektur SIKASA menggunakan model two tier. Dari sisi

hardware untuk server menggunakan IBM System X3400, processor Core 2 Duo

dengan memori 2 GB dan hardisk yang digunakan berkapasitas 500 GB.

Sedangkan hardware untuk client yang berskala universitas menggunakan

komputer branded dengan spesifikasi mayoritas generasi processor Pentium IV

dengan memori minimal 512 MB. Sebagai alat komunikasi jaringan universitas

menggunakan mikrotik sebagai router, beberapa buah swicth. Software-software

pendukung lainnya yang digunakan seperti Windows Server, Windows Xp,

Windows 7, Linux, Apache, PostgreSQL, PHP, Browser, dan Acrobat Reader.

http://sikasa.uksw.edu/

40

Untuk melindungi sistem jaringan internal dari serangan hack (Hack

Attack) secara keamanan jaringan server SIKASA sudah dilindungi oleh DMZ

(Demilitarized Zone). Sedangkan untuk perlindungan dalam aplikasi SIKASA,

sudah terdapat prosedur untuk login terlebih dahulu sebelum masuk ke aplikasi.

Sumber daya utama yang digunakan berasal dari Perusahaan Listrik Negara

(PLN) dan untuk mengantisipasi adanya pemadaman listrik universitas sudah

memiliki beberapa Generator Set (Genset). Genset yang dimiliki belum dapat

untuk mencakup semua unit namun sudah diletakkan pada lokasi-lokasi yang

vital.

4.2.1. Prosedur Transaksi Penerimaan Kas

Penerimaan kas dibedakan menjadi dua macam, yaitu penerimaan rutin dan

penerimaan tidak rutin. Yang termasuk dalam penerimaan rutin adalah

penerimaan uang kuliah, penerimaan sewa balairung, sewa cafe, dan sebagainya.

Yang termasuk dalam penerimaan tidak rutin adalah uang wisuda, uang kursus,

uang ijasah, dan sebagainya. Penerimaan uang kuliah berasal dari dua macam

tagihan, yaitu tagihan pembayaran registrasi dan tagihan pembayaran pelunasan.

Tagihan pembayaran registrasi merupakan tagihan yang harus dibayar oleh

mahasiswa sebelum melakukan registrasi, sedangkan tagihan pembayaran

pelunasan merupakan tagihan yang harus dibayar oleh mahasiswa.

Proses penerimaan transaksi penerimaan kas di UKSW saat ini telah

dikelola secara on-line. Dengan diterapkannya jaringan on-line tersebut, maka

para mahasiswa UKSW diharuskan membayarkan beban akademisnya melalui

bank-bank yang memiliki jaringan on-line dengan UKSW.

41

Proses ini di awali oleh bagian Akademik dengan mengeluarkan tagihan

biaya kuliah untuk setiap mahasiswa. Mahasiswa diwajibkan untuk melakukan

pembayaran sesuai tagihan tersebut melalui Bank yang ditunjuk atau lewat loket

di Gedung Administrasi Pusat (GAP). Bank memproses tagihan tersebut dan

mengirimkan laporan pembayaran yang sudah dilakukan oleh mahasiswa secara

on-line melalui aplikasi SIASAT dan rekenig koran. Aplikasi SIASAT akan

melakukan pengiriman data pada aplikasi SIKASA. Pihak pengelola SIKASA

dalam hal ini BAK kemudian akan mencocokan data yang ada dikirim oleh

aplikasi SIASAT dengan rekening koran yang dikirim oleh Bank.

4.2.2. Prosedur Transaksi Pengeluaran Kas

Transaksi pengeluaran dilakukan oleh Bagian Penggajian dan semua unit-

unit pendukung. Transaksi pengeluaran dilakuakan berdasarkan anggaran yang

sidah ditetapkan dan disetujui oleh Komite Anggaran. Pengeluaran kas dibagi

menjadi dua, yaitu pengeluaran kas secara tunai dan pengeluaran kas melalui

transfer bank. Pengeluaran kas secara tunai dibagi menjadi tiga menurut sumber

dokumennya, yaitu pengeluaran kas melalui Surat Permintaan Bon Sementara

(SPBS), pengeluaran kas melalui Surat Permintaan Realisasi Anggaran (SPRA),

dan pengeluaran kas melalui transaksi mutasi kas/bank. Dokumen yang sudah

dicetak harus diotorisasi oleh Unit Anggaran dan Pimpinan Unit. Setelah

diotorisasi, dokumen tersebut diserahkan ke Bagian Keuangan untuk diotorisasi.

Jika dokumen pengeluaran tersebut telah diotorisasi oleh Bagian Keuangan, maka

transaksi tersebut dianggap sah dan dapat anggaran tersebut dapat direalisasikan.

42

4.3. Perencanaan Pengujian Pengendalian Aplikasi

Perencanaan pengujian pengendalian aplikasi diawali dengan menentukan

ruang lingkup audit sistem informasi. Dalam penelitian ini ruang lingkup audit

sistem informasi yang dilakukan hanya pengendalian aplikasi. Hal tersebut

dikarenakan lingkungan organisasi yang sangat luas dan kurangnya pengetahuan

penulis mengenai pengendalian umum.

Ruang lingkup audit sistem informasi atas pengendalian aplikasi dibatasi

dengan tidak melakukan pengujian substantive terhadap data akuntansi dan

keuangan ataupun melihat format laporan keuangan. Hal tersebut dikarenakan

adanya batasan lingkup audit sistem informasi dari auditee, mengingat dokumen

tersebut sangat rahasia bagi organisasi.

Dengan adanya pengetahuan mengenai proses bisnis organisasi serta

pemahaman atas pengendalian yang ada dan ruang lingkup yang ada, maka

penulis menentukan program audit. Program audit yang dipakai dalam penelitian

ini mengacu pada buku Sanyoto Gondodiyoto yang berjudul “Audit Sistem

Informasi + Pendekatan CobIT)” dan mengalami modifikasi untuk menyesuaikan

dengan keadaan lapangan dan keterbatasan yang ada. Program audit ini sangat

penting dalam menjadi pegangan atau panduan bagi penulis untuk memahami

lebih lanjut dan mengindentifikasi berbagai temuan yang penting. Program audit

pengendalian aplikasi yang digunakan dibagi menjadi beberapa program audit

yaitu program audit pengendalian batasan, program audit pengendalian masukan,

program audit pengendalian proses, program audit pengendalian keluaran,

43

program audit pengendalian basis data (database) dan program audit pengendalian

komunikasi aplikasi.

4.4. Pengujian Pengendalian Aplikasi

4.4.1. Pengujian Program Audit atas Pengendalian Batasan

Pengendalian batasan (boundary) ini didesain untuk mengenal identitas

dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem

informasi digunakan oleh user dengan kriteria standar yang ditetapkan seperti:

1. Menetapkan identitas dan kewenangan pengguna, dalam arti sistem harus

memastikan user yang dapat melakukan pengaksesan adalah user yang

mempunyai hak akses.

2. Sistem dapat menampilkan pesan error atau menutup aplikasi secara

langsung pada saat user salah memasukkan password pada jumlah

kesalahan maksimum yang telah ditetapkan.

3. Dapat membatasi tingkat pengaksesan user sesuai level yang dimiliki.

Adapun hasil pengujian pengendalian batasan terdapat pada tabel dibawah

ini.

Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan

No. Tahap Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Batasan

1 Lakukan

pengecekan

apakah aplikasi

dilengkapi dengan

login akses seperti

username dan

password?

Aplikasi

SIKASA

UKSW

Ya. Aplikasi sudah dilengkapi

dengan login akses. Terdapat

level sub-unit, username dan

password. (lampiran 19)

O-I-PB-01

44

Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)

No.

Tahap Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Batasan

2 Lakukan

pengecekan

apakah aplikasi

menampilkan

pesan (error

message) jika

verifikasi login

tidak valid?

Aplikasi

SIKASA

UKSW

Ya. Sistem akan memberitahu

bahwa username atau password

yang anda masukan salah atau

tidak sesuai dengan sub-unitnya.

Aplikasi SIKASA dapat

menampilkan pesan (error

message) jika verifikasi login

tidak valid. (lampiran 20)

O-I-PB-02

3 Lakukan

pengecekan

apakah aplikasi

membatasi ukuran

filed (panjang

maksimal)

terhadap login

akses (username

dan password).

Aplikasi

SIKASA

UKSW

Tidak. Tidak ada kebijakan untuk

membatasi ukuran filed (panjang

maksimal) terhadap login akses

(username dan password).

O-I-PB-03

4 Lakukan

pengecekan

apakah password

yang diketik tidak

terlihat (invisible).

Aplikasi

SIKASA

UKSW

Ya. Password yang dimasukan

invisible.

O-I-PB-04

5 Dapatkan

informasi siapa

saja yang menjadi

user aplikasi?

Ka bag.

Akuntansi

Admin, Bag Akuntansi, Operator,

Keuangan, Anggaran, Unit. Untuk

User secara keseluruhan ada di

softwarenya.

W-II-PB-01

6 Dapatkan

informasi apakah

hanya password

yang membatasi

akses ke dalam

aplikasi.

Ka bag.

Akuntansi

Tidak. Untuk mengakses

SIKASA diperlukan password,

username, dan sub-unit.

W-II-PB-02

7 Apakah login

akses seperti

username dan

password

diencryption?

Admin

SIKASA

UKSW

Ya. Username dan password

pastinya diencryption.

W-I-PB-01

8 Lakukan

pengecekan

apakah sistem

aplikasi hanya

dapat diakses oleh

orang-orang yang

terotorisasi.

Aplikasi

SIKASA

UKSW

Ya. Setiap karyawan yang

berhubungan dengan SIKASA

UKSW telah diberi username

masing-masing.

O-I-PB-08

45


No.


Audit Keterangan

WP

Ref. Pengendalian

Batasan

9 Lakukan

pengecekan

beberapa kali

kegagalan

penginputan login

akses dapat

dilakukan.

Aplikasi

SIKASA

UKSW

Tidak ada batasan penginputan

login akses. Sistem akan tetap

menampilkan pesan yang berisi

informasi kesalahan pada saat

login. (lampiran 20)

O-I-PB-05

10 Lakukan

pengecekan

apakah sistem

memberikan

respon dengan

menutup secara

otomatis sistem

aplikasi tersebut

(otomatis keluar

dari sistem

aplikasi) bila

terjadi beberapa

kali kegagalan

login akses.

Aplikasi

SIKASA

UKSW

Tidak. Sistem aplikasi tidak dapat

memberikan respon dengan

menutup secara otomatis sistem

aplikasi ketika terjadi kegagalan

login akses.

O-I-PB-06

11 Dapatkan

informasi

mengenai

batasan-batasan

terhadap

kewenangan user

dalam mengakses

aplikasi.

Admin

SIKASA

UKSW

Ada beberapa tingkatan level

aksesnya. (lampiran 22)

Aplikasi memiliki management

user.

W-I-PB-02

12 Dapatkan

informasi tentang

adanya kebijakan

yang mengatur

umur password.

Admin

SIKASA

UKSW

Tidak ada kebijakan yang

mengatur umur password.

W-I-PB-03

13 Jika ya, apakah

apalikasi

SIKASA

menampilan

pesan jika

password tersebut

telah berakhir

(expired?)

Admin

SIKASA

UKSW

Tidak ada kebijakan yang

mengatur umur password.

W-I-PB-04

46


No.


Audit Keterangan

WP

Ref. Pengendalian

Batasan

14 Apakah ada

kebijakan yang

mengatur kriteria

password?

Admin

SIKASA

UKSW

Tidak ada kebijakan yang mengatur

kriteria password.

W-I-PB-05

15 Dapatkan

informasi apabila user lupa

username dan

password.

Admin

SIKASA

UKSW

Karena yang bisa mereset

administrator, user biasanya

langsung ke administrator.

Biasanya untuk yang sudah bisa

dijalankan lewat sistem, itu

dilakukan di Bag. Akuntansi

mereka yang mereset passwordnya.

Karena mereka (Bag. Akuntansi)

levelnya sejajar dengan admin.

Untuk user yang pindah unit atau

ganti orang penggantian password

tidak bisa lewat sistem (harus hard

coding).

W-I-PB-06

16 Lakukan

pengecekan

apakah sistem

aplikasi jelas ruang

lingkupnya (apa

dokumen inputnya,

dari mana

sumbernya, tujuan

pengolahan data,

siapa para

penggunanya dan

siapa pemegan

kewenangan)?

Aplikasi

SIKASA

UKSW

Sistem aplikasi telah sesuai dengan

standart operation prosedure

(SOP) yang telah ditetapkan.

O-I-PB-09

17 Apakah terdapat

kick off user bila

tidak terjadi

kegiatan (aktivitas)

selama

menggunakan

aplikasi.

Aplikasi

SIKASA

UKSW

Setiap pengguna yang masuk ke

dalam aplikasi SIKASA

mempunyai sesi yang jika tidak

digunakan selama 10 menit, maka

sesi tersebut akan habis, sehingga

pengguna harus melakukan login

lagi.

O-I-PB-07

18 Apakah ada

kebijakan yang

mengatur jam

akses untuk

SIKASA?

Admin

SIKASA

UKSW

Tidak. Untuk jam akses SIKASA

tidak ada pembatasan waktu. Tetapi

untuk waktu operasionalnya

biasanya jam 8 sampai jam 4 sore.

Selama masih intranet SIKASA

bisa dilakukan kapan saja. Pada

saat lembur, jadi kita tidak mungkin

membatasi akses.

W-I-PB-07

47

Berdasarkan tabel pengujian program audit atas pengendalian batasan,

pada umumnya sudah memenuhi kriteria standar seperti terdapat tingkat

pengaksesan user sesuai level yang dimiliki.

4.4.2. Pengujian Program Audit atas Pengendalian Masukan

Pengendalian masukan (input) ini dirancang dengan tujuan untuk

mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas

dari kesalahan dan penyalahgunaan dengan kriteria standar yang ditetapkan

seperti:

1. Terdapat kontrol terhadap dokumen sumber yang akan diinput (source

document controls).

2. Terdapat otoritas bagi pihak yang melakukan delete atau update

(validation controls).

3. Terdapat pesan error apabila salah melakukan input data (input error

corection).

4. Fasilitas menu yang disajikan memenuhi kebutuhan user.

Adapun hasil pengujian pengendalian masukan terdapat pada tabel

dibawah ini.

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan

1 Apakah ada

pemisahan tugas

antara pihak yang

melakukan input

data dengan yang

mengeluarkan

output laporannya?

Ka bag.

Akuntansi

Tidak. Karena user yang terkait

punya wewenang untuk

menginput data dan

mengeluarkan laporan.

W-II-PM-03

48

Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan

2 Dapatkan informasi

apakah create, read,

update dan delete

terhadap data dan

transaksi hanya

dapat dilakukan

oleh user tentu yang

diberi otoritas.

Admin

SIKASA

UKSW

Ada beberapa tingkatan.

Misalnya untuk master data,

create, read, update dan delete

(CRUD) hanya bisa dilakukan

oleh admin. Untuk transaksi,

tergantung dengan proses

transaksinya.

W-I-PM-07


apakah kesalahan

tentang data dan

transaksi yang telah

terlanjur diinput

dan disave dapat di

edit atau didelete

oleh orang yang

menginput?

Admin

SIKASA

UKSW

Jika transaksi sudah fix yang

bisa menghapus hanya

administrator, dari operator

sudah tidak bisa menghapus.

Untuk mengubah atau mengedit

dari bagian akuntansi itu bisa,

namun harus melihat perlakuan

harus melihat kasus. Apakah

transaksi ini harus di hapus dan

dibuat transaksi baru atau cuma

dirubah.

W-I-PM-08

4 Apakah terdapat

menu konfirmasi

terhadap data

sebelum disimpan?

Admin

SIKASA

UKSW

Konfirmasinya ada. Jadi ketika

data akan diproses sistem akan

memunculkan dialog untuk

mengkonfirmasi apakah proses

ini akan dilajutkan atau

dikembalikan ke awal.

W-I-PM-09

5 Lakukan

pengecekan

terhadap

penggunaan bahasa

pada layar Sistem

Aplikasi.

Aplikasi

SIKASA

UKSW

Sistem Aplikasi menggunakan

bahasa yang mudah dimengerti.

Secara keseluruhan bahasa yang

digunakan sistem adalah bahasa

indonesia. Namun ada beberapa

bahasa asing yang digunakan

seperti : username, password

dan login.

O-I-PM-09

6 Lakukan

pengecekan, apakah

terdapat pesan

kesalahan (error

message) pada

sistem aplikasi

sewaktu terjadi

kesalahan

penginputan?

Aplikasi

SIKASA

UKSW

Ada. Jika nilai debit/kredit tidak

balance sistem akan

menampilkan konfirmasi

“Jumlah = Tidak Seimbang”.

(lampiran 21)

O-I-PM-10

49


No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan

7 Lakukan

pengecekan

mengenai tombol

perintah save,

delete, dan cancel

pada tampilan.

Aplikasi

SIKASA

UKSW

Ketika user akan menginput

transaksi, terdapat beberapa

tombol perintah seperti :

- tombol ubah untuk mengubah

debit/kredit atau nama dan

keterangan,

- tombol hapus untuk

menghapus transaksi,

- tombol cetak untuk mencetak

transaksi,

- tombol proses untuk

memproses transaksi.

(lampiran 21)

Penggunaan icon (button) dan

warna sudah userfriendly.

O-I-PM-14


tentang fasilitas

peringatan dari

Sistem Aplikasi jika

data belum di back-

up maka prosesnya

tidak dapat

dilanjutkan.

Admin

SIKASA

UKSW

Proses back-up secara otomatis

(online). Sistem hanya akan

memunculkan dialog untuk

mengkonfirmasi apakah proses

ini akan dilajutkan atau


W-I-PM-10

9 Lakukan

pengecekan apakah

petugas entri data

selalu

membubuhkan

tanda check ( √ )

setelah dokumen

selesai di input.

Dokumen

Input

Terdapat tanda check setelah

Dokumenselesai diinput.

O-II-PM-01

10 Lakukan tinjauan

apakah fasilitas

menu pada sistem

aplikasi telah

memenuhi

kebutuhan user.

Aplikasi

SIKASA

UKSW

Secara keseluruhan fasilitas

menu pada sistem aplikasi telah

memenuhi kebutuhan user.

Aplikasi SIKASA dilengkapi

dengan tools kecil tambahan

untuk mempermudah

penggunaan SIKASA.

O-I-PM-12

11 Lakukan

pengecekan apakah

dokumen sumber

telah memiliki

nomor urut.

Dokumen

Input

Dokumen sudah memiliki

nomor urut. (lampiran 31 dan

lampiran 32)

O-II-PM-02

50


No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan

12 Lakukan

pengecekan apakah

nomor urut di

dokumen sumber

telah tercetak secara

otomatis.

Dokumen

Input

Dokumen sumber telah tercetak

secara otomatis dari aplikasi.

(lampiran 31 dan lampiran 32)

O-II-PM-03

13 Apakah

penyimpanan atau

pengarsipan

terhadap dokumen

sumber yang telah

digunakan?

Ka bag.

Akuntansi

Dokumen diarsip berdasarkan

periode dan jenis dokumen.

W-II-PM-06

14 Lakukan

pengecekan apakah

terdapat petugas

yang melakukan

pengawasan

terhadap keakuratan

input data dengan

data pada dokumen

sumber?

Dokumen

Input

Dari penelahan dokumen SPRA,

terdapat kolom otorisasi yang

disi petugas sebagai pengawasan

terhadap akurasi perhitungan,

kelengkapan dan keabsahan

bukti transaksi telah diperiksa.

O-II-PM-04

15 Apakah terdapat

prosedur

persetujuan

penginputan data ke

dalam sistem

aplikasi?

Ka bag.

Akuntansi

Ya. Sebelum dokumen diinput

ada persetujuan dari kabag

Akuntansi atau keuangan.

W-II-PM-04

16 Lakukan

pengecekan apakah

data yang diisikan

pada filed sesuai

dengan ketentuan

jenis tipe datanya

(numeric/alfabetic)?

Aplikasi

SIKASA

UKSW

Ya. Untuk pengisian debit/kredit

hanya bisa menggunakan

numeric.

O-I-PM-13

17 Lakukan

pengecekan apakah

terdapat transaction

log dalam aplikasi?

Aplikasi

SIKASA

UKSW

Ya. Terdapat transaction log

dalam aplikasi yang bisa

disearch dan disort berdasarkan

waktu, sub-unit, username,

level, komputer, aksi dan

perintah SQL. (lampiran 23)

O-I-PM-15

51


No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan

18 Lakukan

pengecekan apakah

terdapat help

facilities dalam

aplikasi.

Admin

SIKASA

UKSW

Ada. Ada juga buku panduan,

namun masih versi yang lama

(belum update).

W-I-PM-11

19 Apakah metode

input data ke dalam

database dengan

menggunakan

realtime

processing?

Admin

SIKASA

UKSW

Ya.Input data ke dalam database

dengan menggunakan realtime

processing supaya data dapat

diupdate terus.

W-I-PM-12

20 Lakukan

pengecekan apakah

terdapat perubahan

warna pada

interface, jika

terjadi kesalahan

penginputan.

Aplikasi

SIKASA

UKSW

Ya. Misalnya ketika jumlah

transaksi tidak seimbang maka,

warna font akan berwarna

merah. Sebaliknya jika jumlah

transaki seimbang maka warna

font akan berwarna hijau.

(lampiran 21 dan lampiran 22)

O-I-PM-16

21 Lakukan

pengecekan apakah

waktu respon di

setiap penginputan

data di dalam

sistem aplikasi

cepat?

Aplikasi

SIKASA

UKSW

Ya. Komputer didukung memori

yang besar (client).

O-I-PM-17

52


No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Masukan


tentang prosedur

persetujuan

penginputan data.

Ka bag.

Akuntansi

Kita ada pengeluaran dan

penerimaan. Untuk pengeluaran

itu unit yang input sampai uang

cair. Kemudian ada jurnal

penerimaan untuk saat ini yang

menginput akuntansi. Ada lagi

jurnal memorial, jurnal

penyesuaian, koreksi, transfer

payment antar unit. Ada jurnal

yang sudah ada di SIASAT yang

otomatis link.

Untuk prosedur unit nanti minta

Surat Realisasi Anggaran

berdasarkan dari rapat-rapat atas

nama siapa kemudian diprint,

proses, kemudian muncul

printoutnya. Setelah itu

menyiapkan tanda tangan sesuai

level-levelnya sampai ke

keuangan. Jika sudah komplit

kemudian keuangan merilis

otorisator terakhir dari kas, visa

atau bank.

W-II-PM-05

Berdasarkan tabel pengujian program audit atas pengendalian masukan,

pada umumnya sudah memenuhi kriteria standar seperti terdapat kontrol terhadap

dokumen sumber yang akan diinput, terdapat otoritas bagi pihak yang melakukan

delete atau update, terdapat pesan error apabila salah melakukan input data,

fasilitas menu yang disajikan memenuhi kebutuhan user.

4.4.3. Pengujian Program Audit atas Pengendalian Proses

Pengendalian proses ini dirancang dengan tujuan untuk untuk mencegah

agar tidak terjadi kesalahan-kesalahan selama proses pengolahan data dengan

kriteria standar yang ditetapkan seperti:

53

1. Pengolahan data tidak dapat dilakukan dengan cara ilegal.

2. Sistem harus mencegah atau mendeteksi kehilangan data dan data yang

tidak valid selama proses dilakukan (error detection and corection).

3. Kesalahan yang dilakukan selama pemrosesan harus dapat segera

diperbaiki.

4. Setiap proses yang dilakukan harus terekam ke dalam database.

Adapun hasil pengujian pengendalian proses terdapat pada tabel dibawah

ini.

Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Proses

1 Lakukan

pengecekan apakah

data dapat diproses

dengan tidak benar.

Aplikasi

SIKASA

UKSW

Tidak. Sistem akan memberikan

konfirmasi terhadap kesalahan.

(lampiran 21)

O-I-PP-18

2 Lakukan

pengecekan apakah

data dapat

ditambahkan,

dihapus, dicopy,

dihilangkan atau

diubah dengan cara

yang ilegal.

Aplikasi

SIKASA

UKSW

Tidak. Masing-masing user

sudah ada levelnya.

O-I-PP-19

3 Lakukan

pengecekan apakah

sistem dapat

mencegah atau

mendeteksi data

masukan yang tidak

valid.

Aplikasi

SIKASA

UKSW

Ya. Dengan manajemen user

dan terdapat message pada

interface aplikasi jika data

masukan tidak valid.

O-I-PP-19


apakah sistem

mampu mencegah

atau mendeteksi

kehilangan data

selama pemrosesan.

Admin

SIKASA

UKSW

Ya. Sistemnya dengan rollback

dan flag. Misalnya tiba-tiba mati

lampu dan hidup kembali sistem

akan menampilkan kondisi

dimana user terakhir melakukan

input.

W-I-PP-12

54

Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses (lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Proses


apakah sistem

mampu untuk

mengecek

keseluruhan

pemrosesan.

Admin

SIKASA

UKSW

Ya. Sistem memiliki dua log.

Log server dan log program.

Log program mencatat semua

aksi yang dilakukan oleh user.

Log server semua aksi secara

keseluruhan.

W-I-PP-13

6 Lakukan

pengecekan apakah

proses yang

dilakukan dapat

terekam di dalam

sistem aplikasi.

Aplikasi

SIKASA

UKSW

Ya. Terdapat menu daftar log

untuk melihat historis dari

pemrosesan transaksi.

O-I-PP-21

7 Lakukan

pengecekan apakah

kesalahan dalam

pemrosesan data

dapat segera

diperbaiki dalam

waktu yang cepat.

Aplikasi

SIKASA

UKSW

Ya. Sistem aplikasi

menggunakan realtime

processing, namun harus level

admin.

O-I-PP-22


apakah sudah

terdapat prosedur

audit trail pada

sistem aplikasi?

Admin

SIKASA

UKSW

Audit trail dilakukan dari

manajemen log.

W-I-PP-14

9 Apakah semua

output laporan

keuangan diproses

melalui aplikasi

SIKASA?

Manajer

BAK

Tidak. Dari SIKASA nanti

mengunduh neraca saldo

kemudian digabungkan dengan

beberapa laporan keuangan dari

SIKASA yang lain. Saat ini

masih manual menggunakan Ms.

excel.

W-III-PP-01

Berdasarkan tabel pengujian program audit atas pengendalian proses, pada

umumnya sudah memenuhi kriteria standar seperti terdapat kontol pengolahan

data agar tidak dapat dilakukan dengan cara ilegal, kontrol terhadap error

detection and corection, kontrol terhadap kesalahan yang dilakukan selama

pemrosesan, kontrol pada pemrosesan data agar terekam ke dalam database.

55

4.4.4. Pengujian Program Audit atas Pengendalian Keluaran

Pengendalian keluaran ini didesain agar output/informasi disajikan secara

akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak

secara cepat waktu dan tepat waktu dengan kriteria standar yang ditetapkan

seperti:

1. Hasil output yang akurat, lengkap, up to date, dan didistribuskan

kepada pihak yang berhak serta tepat waktu.

2. Terdapat prosedur permintaan laporan rutin atau permintaan laporan

baru.

3. Terdapat control terhadap penghancuran laporan yang tidak

dibutuhkan.

Adapun hasil pengujian pengendalian keluaran terdapat pada tabel

dibawah ini :

Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Keluaran


tentang sistem

pengawasan

terhadap catatan

untuk setiap laporan

yang terjadi.

Ka bag.

Akuntansi

Laporan selesai itu finalisasi dari

kita. Kita nanti juga di audit dari

eksternal, kemungkinan ada

koreksi atau kesalahan atau

reklas, kemungkinan ada

perbaikan. Kemudian kita cek

kebenaranya, jika benar kita

ngikut saldonya mereka. Dari

kami (akuntansi) ada

pengecekan ulang (review

manual).

W-II-PK-07

56

Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Keluaran


apakah dilakukan

pemeriksaan ulang

setelah laporan

tersebut dicetak.

Ka bag.

Akuntansi

Dari kami (akuntansi) ada

pengecekan ulang (review

manual). Kalo yang hard itu

ada di akuntansi (arsip) dan

untuk yang soft itu kita back up.

Kita berkerjasama dengan BTSI

itu setiap tahun di back up.

W-II-PK-08

3 Apakah sistem

aplikasi dapat

menghasilkan

laporan yang

dibutuhkan.

Ka bag.

Akuntansi

Sejauh ini aplikasi menyediakan

laporan keuangan sampai proses

neraca saldo.

W-II-PK-09


apakah laporan

yang dihasilkan

didistribusikan

kepada pihak yang

berkepentingan.

Manajer

BAK

Ya. Pemimpin universitas, dan

pihak-pihak lain seperti yayasan,

auditor internal dan auditor

external.

W-III-PK-

03


tentang prosedur

permintaan laporan

rutin atau laporan

baru.

Manajer

BAK

Karena sistem berdasarkan

anggaran, masing-masing unit

membuat anggaran setelah jadi

unit akan membuat SPRA. Saat

ini sistem (SIKASA) hanya

sampai neraca saldo.

Dari neraca saldo dibuat manual

dengan menggunakan excel.

Karena sejak awal menggunakan

SIKASA tahun 2006, dipisahkan

menjadi dua yaitu operasional

biasa (perkuliahan) dan

SIKASA B untuk yang proyek-

proyek (hibah). Kedua jenis

SIKASA tersebut tidak

terintegrasi. Jadi untuk membuat

laporan yang komprehensif ada

penggabungan, konsolidasi dan

eliminasi dari beberapa jenis

SIKASA dan saat ini masih

dibuat manual.

W-III-PK-

02

57

Tabel 4.13 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Keluaran


apakah laporan

didistribusikan

secara tepat waktu

dan tepat sasaran.

Ka bag.

Akuntansi

Sebelumnya kita sudah ada

perbaikan. Beberapa tahun yang

lalu kita sampai mundur hampir

setengah tahun lebih. Jadi kita

terlambat. Tapi untuk tahun

kemarin kita lebih baik. Tahun

ini kita punya target agustus

sudah selesai. Yah memang ada

kelemahan-kelemahan dari

semua sistem jadi kita terlambat

(belum terintegrasi).

W-II-PK-11

7 Apakah laporan

keuangan yang

masih softcopy

dilengkapi dengan

password?

Ka bag.

Akuntansi

Kita tidak ada penggunaan

password pada dokumen laporan

keuangan yang masih softcopy.

W-II-PK-11

8 Dapatkan laporan

tentang laporan

yang diarsip.

Ka bag.

Akuntansi

Kita disediakan gudang. Tapi

jika di tahun-tahun berjalan kita

letakkan dikantor.

W-II-PK-12

9 Lakukan

pengecekan apakah

arsip telah disimpan

ditempat yang aman

dari semua resiko

atau semua kejadian

yang mungkin

terjadi.

Ka bag.

Akuntansi

Terdapat penumpukan dokumen

arsip dikantor dan arsip di

gudang tidak tertata dengan

baik.

O-I-PK-23


tentang control

terhadap

penghancuran

laporan yang sudah

tidak dibutuhkan

lagi dan batas

waktu lamanya

pengarsipan

laporan.

Ka bag.

Akuntansi

Untuk laporan keuangan kita

tidak bagikan kesemua orang.

Kita cuma pastikan laporan

tersebut ke PR II, Manajer,

Yayasan, dsb. Dan untuk kita

sendiri, kita simpan jadi tidak

mungkin laporan tersebut keluar.

Laporan juga ada diSIKASA

dan yang bisa melihat itu

misalnya admin, yayasan,

pimpinan bisa.

Kalo untuk laporan kita belum

penghancuran, itu juga masih

penting kecuali arsip-arsip

kayak bukti-bukti penerimaan

dari mahasiswa itu jika sudah

setahun kita rajang (hancurkan).

W-II-PK-13

58

Berdasarkan tabel pengujian program audit atas pengendalian keluaran,

pada umumnya sudah memenuhi kriteria standar seperti terdapat hasil kontrol

terhadap output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak

yang berhak serta tepat waktu, terdapat prosedur permintaan laporan rutin atau

permintaan laporan baru, terdapat control terhadap penghancuran laporan yang

tidak dibutuhkan.

4.4.5. Pengujian Program Audit atas Pengendalian Database

Pengendalian database ini didesain untuk menjaga akses ke dalam

database dan menjaga integritas dari data tersebut dengan kriteria standar yang

ditetapkan seperti:

1. Terdapat pemisahan tugas antara database administrator dan data

administrator.

2. Terdapat pengendalian terhadap akses ilegal

3. Database memliki integrity constrains.

4. Terdapat file handling control.

5. Permintaan data harus dilakukan dengan mengisi job requets.

Adapun hasil pengujian pengendalian database terdapat pada tabel

dibawah ini.

59

Tabel 4.5 Pengujian Program Audit Bukti Audit atas Pengendalian Database

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Database


mengenai file

handling control.

Admin

SIKASA

UKSW

Ada back-up data. Namun

model recovery belum tercluster.

Ketika recovery terjadi fail

(kegagalan) kita melakukan

back-up namun belum otomatis.

Sistem harus down dahulu lalu

kita masukan lagi data-datanya.

W-I-PD-15


apakah tugas

Database

Administrator

dengan Data

Administrator.

Admin

SIKASA

UKSW

Ya. Saya sebagai database

administrator dan bag.

Akuntansi sebagai data

administrator.

W-I- PD-16


tentang

pengendalian

terhadap akses

ilegal.

Admin

SIKASA

UKSW

Sistem database dilengkapi

login.

W-I- PD-17


mengenai

pengendalian

terhadap batasan

sistem hak akses.

Admin

SIKASA

UKSW

Security acces dengan single

user login.

W-I- PD-18


mengenai jumlah

preveleges atau hak

akses untuk login

database dibatasi.

Admin

SIKASA

UKSW

Banyak, setiap user PC yang

terhubung dengan intranet

UKSW. Tidak berdasarkan IP

addres.

W-I- PD-19


mengenai

permintaan data.

Admin

SIKASA

UKSW

Biasanya dari pihak PR II atau

dari Kabag. Akuntansi yang

langsung datang meminta data.

W-I-PKE-

20


apakah sistem

manajemen

database tekah

melaksanakan

integrity constraints

pada sistem

database.

Admin

SIKASA

UKSW

Ya. Sebagian besar sudah.

Karena masing-masing item ada

relasi dengan data yang lain.

W-I- PD-21

60

Tabel 4.5 Pengujian Program Audit atas Pengendalian Database (lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Database


mengenai ketentuan

siapa saja yang

boleh melakukan

permintan data.

Admin

SIKASA

UKSW

Auditor, Akuntansi dan PR II. W-I- PD-23


apakah sudah

terdapat langkah

backup data secara

rutin.

Admin

SIKASA

UKSW

Ya. Untuk backup datanya

dilakukan harian tengah hari dan

malam. Untuk masa

penyimpanannya setahun. Data

yang sudah lebih dari satu tahun

akan segera dihapus oleh server,

namun kita harus tarik data

sebelum dihapus dan di backup

lagi ditempat lain (storage

backup).

W-I- PD-24

11 Lakukan

pengecekan apakah

file backup telah

disimpan ditempat

yang aman dari

semua resiko atau

semua kejadian

yang mungkin terjd.

Ka. Bag.

Teknologi

Informasi

Database dan file backup

disimpan di ruang server

bersama server aplikasi yang

lain. Ruangan server dilengkapi

dengan pendingin (AC).

Peletakan server SIKASA

berada dibagian bawah rak dan

diganjal dengan kerdus.

O-III- PD-

01

Berdasarkan tabel pengujian program audit atas pengendalian database,

pada umumnya sudah memenuhi kriteria standar seperti terdapat pemisahan tugas

antara database administrator dan data administrator, terdapat pengendalian

terhadap akses ilegal, database memliki integrity constrains, dan terdapat file

handling control.

4.4.6. Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi

Pengendalian komunikasi aplikasi ini didesain untuk menangani kesalahan

selama proses trasmisi data dan untuk menjaga keamanan dari data selama

pengiriman informasi dengan kriteria standar yang ditetapkan seperti:

61

1. Menggunakan media transmisi, commucation line, arsitektur

komunikasi, dan topologi.

2. Harus terdapat line error controls.

Adapun hasil pengujian pengendalian komunikasi aplikasi terdapat pada

tabel dibawah ini.

Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Komunikasi

Aplikasi


mengenai hardware

dan software yang

dapat mendukung

transmisi atau

saluran link.

Ka. Bag.

Teknologi

Informasi

Untuk hardware banyak sekali.

Kita tidak punya datanya. Kalo

untuk Server yang digunakan

masih agak lama yaitu Core 2

duo, memori hanya 2 Giga,

Hardisknya 500 Giga. Untuk

Lan Card menggunakan

Gigabyte. Workgroup tidak

memakai. Platform yang dipakai

Linux, jadi open source

kemudian menggunakan PHP,

databasenya menggukan

PostgreSql. Untuk router

menggunakan Mikrotik, untuk

swich ada banyak. Setiap unit

terdapat swicth masing-masing,

karena kita menggunakan multi

domain.

Software yang dibutuhkan

browser dan acrobat reader.

W-IV-PKA-

01


tentang media-

media transmisi

yang digunakan

pada sistem

aplikasi.

Ka. Bag.

Teknologi

Informasi

UTP dan fiber optic.

W-IV-PKA-

02

62

Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi

(lanjutan)

No.

Tahap

Pengujian Objek

Audit Keterangan

WP

Ref. Pengendalian

Komunikasi


tentang

communication line

pada jaringan

(private atau

public) yang

digunakan aplikasi.

Ka. Bag.

Teknologi

Informasi

Private communication line.

Karena sistem aplikasi hanya

digunakan untuk kegiatan

internal kampus.

W-IV-PKA-

03


tentang error

detection dan error

correction pada

communication

line.

Ka. Bag.

Teknologi

Informasi

Dengan menggunakan

monitoring (system monitoring

on-line). (lampiran 25, 26, 27)

W-IV-PKA-

04


tentang topologi

jaringan pada

sistem aplikasi.

Ka. Bag.

Teknologi

Informasi

Pada tingkat keseluruhan

jaringan terdapat bermacam-

macam (gabungan) topologi

jaringan seperti topologi Star,

dan Ring. Jaringan dibangun

dengan sistem mesh network.

W-IV-PKA-

05


mengenai jenis

arsitektur

komunikasi yang

digunakan oleh

sistem aplikasi.

Ka. Bag.

Teknologi

Informasi

Menggunakan TCP/IP W-IV-PKA-

06

Berdasarkan tabel pengujian program audit atas pengendalian database,

pada umumnya sudah memenuhi kriteria standar seperti terdapat line error

controls.

4.5. Evaluasi Temuan Pengendalian Aplikasi

4.5.1. Evaluasi Temuan Pengendalian Batasan

Adapun temuan audit yang dihasilkan dari pengendalian batasan yaitu :

63

Tabel 4.7 Evaluasi Temuan Pengendalian Batasan

No. Temuan

Positif Negatif

1 Aplikasi yang terkait dengan sistem

informasi keuangan dan akuntansi

dilengkapi dengan login akses berupa

sub-unit, username dan password.

Tidak ada format khusus terhadap

password yang akan dimasukkan, yaitu

dapat berupa angka, huruf, atau

gabungan antara angka dengan huruf

(parameter password).

2 Password pada SIKASA diblok dengan

spot hitam/tidak terlihat (invisible).

Tidak ada kebijakan mengenai umur

password (automatically expired

password).

3 Tidak ada kebijakan untuk membatasi

ukuran filed (panjang maksimal)

terhadap login akses (username dan

password)

Sistem aplikasi tidak dapat memberikan

respon dengan menutup secara otomatis

sistem aplikasi tersebut (otomatis keluar

dari sistem aplikasi) bila terjadi beberapa

kali kegagalan login akses.

4 Aplikasi SIKASA akan menampilan

pesan jika verifikasi login tidak valid.

Tidak ada kebijakan pembatasan waktu

jam akses SIKASA.

5 Aplikasi SIKASA hanya dapat diakses

oleh orang-orang yang terotorisasi

(sub-unit).

6 Login akses pada sistem aplikasi seperti

password sudah diencryption.

7 Batasan-batasan terhadap kewenangan

user dalam mengakses aplikasi

dilakukan dengan menangement user

dan login akses.

8 Terdapat kick off user bila tidak terjadi

kegiatan (aktivitas) selama

menggunakan aplikasi.

9 Ya. Setiap karyawan yang berhubungan

dengan SIKASA UKSW telah diberi

username masing-masing.

Berdasarkan hasil temuan pengendalian batasan yang dilakukan, diperoleh

9 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan diukur

dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar

pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat

yang ditimbulkan (impact).

4.5.2. Evaluasi Temuan atas Pengendalian Masukan

Adapun temuan audit yang dihasilkan dari pengendalian masukan yaitu :

64

Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan

No. Temuan

Positif Negatif

1 Tidak terdapat pemisahan tugas antara

pihak yang melakukan input data

dengan yang mengeluarkan output

laporan keuangan.

Terdapat buku panduan, namun masih

versi yang lama (belum update).

2 Hapus, edit hanya dapat dilakukan

oleh user tertentu yang diberi otoritas.

3 Terdapat terdapat menu konfirmasi

terhadap data sebelum disimpan

(proses).

4 Penggunaan bahasa dan tampilan

layar untuk input data sudah baik,

jelas, dan mudah dimengerti serta

tampilan warna layar didesain agar

mata tidak cepat lelah dan dapat

mengurangi kesalah penginputan.

5 Ketika user melakukan kesalahan

input, aplikasi menampilan pesan

kesalahan (message error).

6 Terdapat tombol ubah, hapus, proses

dan cetak pada layar aplikasi.

7 Proses back-up secara otomatis (on-

line realtime)

8 Terdapat konfirmasi ketika data akan

diproses sistem dengan memunculkan

dialog untuk mengkonfirmasi apakah

proses ini akan dilajutkan atau


9 Aplikasi SIKASA dilengkapi dengan

tools kecil tambahan untuk

mempermudah penggunaan SIKASA

10 Dokumen sudah memiliki nomor urut.

11 Dokumen sumber telah tercetak

secara otomatis dari aplikasi.

12 Dokumen diarsip berdasarkan periode

dan jenis dokumen.

13 Terdapat petugas yang melakukan

pengawasan terhadap keakuratan data

terhadap dokumen sumber.

14 Terdapat persetujuan penginputan

data ke dalam sistem aplikasi.

15 Terdapat transaction log dalam

aplikasi yang bisa disearch dan disort

berdasarkan waktu, sub-unit,

username, level, komputer, aksi dan

perintah SQL.

65

Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan (lanjutan)

No. Temuan

Positif Negatif

16 Terdapat help facilities dalam

aplikasi.

17 Terdapat perubahan warna pada

interface, jika terjadi kesalahan

penginputan data.

18 Penggunaan filed sesuai dengan

ketentuan jenis tipe datanya

(numeric/alfabetic)?

19 Input data ke dalam database dengan

menggunakan realtime processing

20 Waktu respon di setiap penginputan

data di dalam sistem aplikasi cepat.

Berdasarkan hasil temuan pengendalian masukan yang dilakukan,

diperoleh 20 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan

diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa

besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap

akibat yang ditimbulkan (impact).

4.5.3. Evaluasi Temuan atas Pengendalian Proses

Adapun temuan audit yang dihasilkan dari pengendalian proses yaitu :

Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses

No. Temuan

Positif Negatif

1 Sistem akan memberikan konfirmasi

ketika data dapat dengan tidak benar.

Pemrosesan penyusunan laporan

keuangan yang komprehensif masih

manual dengan menggunakan Ms.

excel.

2 Data tidak dapat ditambahkan,

dihapus, dicopy, dihilangkan atau

diubah dengan cara yang ilegal,

karena ada masing-masing user ada

levelnya.

3 Sistem aplikasi dapat mencegah atau

mendeteksi data masukan yang tidak

valid dengan managemen user dan

terdapat message pada interface

aplikasi jika data masukan tidak valid.

66

Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses (lanjutan)

No. Temuan

Positif Negatif

4 Terdapat sistem roolback dan flag

terhadap data selama pemrosesan

untuk mencegah kehilangan data.

5 Terdapat manajemen log server dan

log aplikasi.

6 Terdapat menu daftar log agar proses

yang dilakukan dapat terekam di

dalam sistem aplikasi

7 Audit trail dilakukan dari manajemen

log.

Berdasarkan hasil temuan pengendalian proses yang dilakukan, diperoleh

7 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur

dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar

pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat

yang ditimbulkan (impact).

4.5.4. Evaluasi Temuan atas Pengendalian Keluaran

Adapun temuan audit yang dihasilkan dari pengendalian keluaran yaitu :

Tabel 4.10 Evaluasi Temuan atas Pengendalian Keluaran

No. Temuan

Positif Negatif

1 Terdapat pengawasan terhadap catatan

untuk setiap laporan yang terjadi.

Terdapat penumpukan dokumen arsip

dikantor dan arsip di gudang tidak tertata

dengan baik.

2 Sebelum catatan atau

dibagikan/disimpan ada pengecekan

ulang terhadap dokumen secara manual.

Tidak ada penggunaan password pada

dokumen laporan keuangan yang masih

softcopy.

3 Sistem aplikasi menyediakan laporan

keuangan sampai proses neraca saldo.

4 Laporan yang dihasilkan didistribusikan

kepada pihak yang berkepentingan.

5 Terdapat tempat khusus untuk

menyimpan arsip-arsip.

6 Terdapat kebijakan yang mengatur

penghancuran laporan yang sudah tidak

dibutuhkan lagi dan batas waktu

lamanya pengarsipan laporan.

67

Berdasarkan hasil temuan pengendalian keluaran yang dilakukan,





4.5.5. Evaluasi Temuan atas Pengendalian Database

Adapun temuan audit yang dihasilkan dari pengendalian database yaitu :

Tabel 4.11 Evaluasi Temuan atas Pengendalian Database

No. Temuan

Positif Negatif

1 Terdapat back-up planing untuk file

handling controls.

Model back-up planing belum

tercluster (mirror).

2 Terdapat pemisahan antara fungsi

database administrator dan data

administrator.

Tidak terdapat job request untuk

meminta data.

3 Terdapat pengendalian akses data

ilegal.

Peletakan server SIKASA berada di

bagian bawah rak dan diganjal dengan

kerdus.

4 Terdapat pengendalian terhadap

batasan sistem hak akses agar tidak

terjadi penyalahgunaan database yaitu

dengan security akses (single user

login.)

5 Hak akses untuk login database

dibatasi dengan single user login.

6 Sistem manajemen database telah

melaksanakan integrity constrains

pada sistem database untuk

meningkatkan keakuratan, keunikan

dan kelengkapan data.

7 Privasi data dapat terjaga dengan baik

selama proses backup dan pemulihan

dilakukan dengan single user (admin)

ke data back-upnya.

8 Terdapat kebijkan mengenai waktu

backup dan masa penyimpanan

Berdasarkan hasil temuan pengendalian database yang dilakukan,


68




4.5.6. Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi

Adapun temuan audit yang dihasilkan dari pengendalian komunikasi

aplikasi yaitu:

Tabel 4.12 Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi

No. Temuan

Positif Negatif

1 Sistem aplikasi hanya digunakan

untuk kegiatan internal kampus

(private communication line)

Tidak ada dokumentasi hardware dan

software yang dapat mendukung

transmisi atau saluran link.

2 Error detection dan error correction

pada communication line dilakukan

dengan system monitoring on-line.

3 Jaringan dibangun dengan sistem

mesh network.

Berdasarkan hasil temuan pengendalian komunikasi aplikasi yang

dilakukan, diperoleh 3 temuan positif dan 1 temuan negatif. Temuan negatif

tersebut akan diukur dengan menggunakan level penilaian resiko untuk

mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat

likelihood) terhadap akibat yang ditimbulkan (impact).

4.6. Penilaian Resiko atas Pengendalian Aplikasi

4.6.1. Penilaian Resiko atas Pengendalian Batasan

Adapun penilaian resiko atas pengendalian batasan yaitu :

69

Tabel 4.13 Penilaian Resiko atas Pengendalian Batasan

No. Temuan Likelihood

(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Tidak ada format khusus

terhadap password yang akan

dimasukkan, yaitu dapat berupa

angka, huruf, atau gabungan

antara angka dengan huruf

(parameter password).

0,5 50 25 M

2 Tidak ada kebijakan mengenai

umur password (automatically

expired password).

0,5 50 25 M

3 Sistem aplikasi tidak dapat

memberikan respon dengan

menutup secara otomatis sistem

aplikasi tersebut (otomatis keluar

dari sistem aplikasi) bila terjadi

beberapa kali kegagalan login

akses.

0,1 10 1 L

4 Tidak ada kebijakan pembatasan

waktu jam akses SIKASA. 0,5 50 25 M

Hasil (Jumlah Nilai : Jumlah Pertanyaan) 76 : 4 =

19

M

Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian

dengan hasil 19 yang menurut risk scale termasuk ketegori Medium (beresiko

sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem

Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat

pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang

ditimbulkan tidak terlalu menghambat kinerja universitas.

4.6.2. Penilaian Resiko atas Pengendalian Masukan

Adapun penilaian resiko atas pengendalian masukan yaitu :

70

Tabel 4.14 Penilaian Resiko atas Pengendalian Masukan


(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Terdapat buku panduan, namun

masih versi yang lama (belum

update).

0,5 50 25 M


25

M



sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian masukan

Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya,

terdapat pengendalian yang baik ketika terjadi ancaman sehingga dampak yang


4.6.3. Penilaian Resiko atas Pengendalian Proses

Adapun penilaian resiko atas pengendalian proses yaitu :

Tabel 4.15 Penilaian Resiko atas Pengendalian Proses


(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Pemrosesan penyusunan laporan

keuangan yang komprehensif

masih manual dengan

menggunakan Ms. excel.

0,5 50 25 M


25

M




71




4.6.4. Penilaian Resiko atas Pengendalian Keluaran

Adapun penilaian resiko pengendalian keluaran yaitu :

Tabel 4.16 Penilaian Resiko atas Pengendalia Keluaran


(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Terdapat penumpukan dokumen

arsip dikantor dan arsip di

gudang tidak tertata dengan baik.

0,5 10 5 L

2 Tidak ada penggunaan password

pada dokumen laporan keuangan

yang masih softcopy.

0,5 50 25 M


15

M







4.6.5. Penilaian Resiko atas Pengendalian Database

Adapun penilaian resiko atas pengendalian database yaitu :

72

Tabel 4.17 Penilaian Resiko atas Pengendalian Database


(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Model back-up planing belum

tercluster (mirror backup). 0,1 50 5 L

2 Tidak terdapat job request untuk

meminta data. 0,5 50 25 M

3 Peletakan server SIKASA berada

dibagian bawah rak dan diganjal

dengan kerdus.

0,5 100 50 M


26,67

M


dengan hasil 26,67 yang menurut risk scale termasuk ketegori Medium (beresiko

sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian database

Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya,

terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak

yang ditimbulkan tidak terlalu menghambat kinerja universitas.

4.6.6. Penilaian Resiko atas Pengendalian Komunikasi Aplikasi

Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu:

Tabel 4.18 Penilaian Resiko atas Pengendalian Komunikasi Aplikasi


(L)

Impact

(I)

Bobot

Nilai

(L x I)

Level

Resiko

1 Tidak ada dokumentasi hardware

dan software yang dapat

mendukung transmisi atau saluran

link.

0,5 50 25 M


25

M



73

sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian komunikasi

aplikasi Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik.

Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga

dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas.

4.7. Resiko dan Rekomendasi Pengendalian Aplikasi

4.7.1. Resiko dan Rekomendasi atas Pengendalian Batasan

Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu:

Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan

Temuan Audit Dampak Resiko Rekomendasi

Tidak ada format khusus


dimasukkan, yaitu dapat

berupa angka, huruf, atau

gabungan antara angka

dengan huruf (parameter

password).

Besarnya resiko

komputer (sistem)

untuk dibobol oleh

pihak yang tidak

bertanggung jawab.

Seringkali password tidak

dianggap penting. Orang

cenderung membuat password

dengan huruf tertentu,

misalnya nama panggilan,

tanggal lahir, nama

anak/suami/istri dan

sebagainya yang justru mudah

ditebak. Sebaiknya ada

kebijakan yang mengatur

tentang format khusus

(parameter password)


dimasukkan, yaitu dapat

berupa angka, huruf, atau

gabungan antara angka dengan

huruf.

Tidak ada kebijakan

mengenai umur password

(automatically expired

password).

Password akan dapat

ditebak/diketahui di

kemudian hari.

Kecurangan atau pencurian

data akan semakin besar

dengan tidak adanya

permintaan perubahan

password secara

berkala.Sebaiknya ada

kebijakan yang mengatur

umur password (automatically

expired password). Tidak

perlu terlalu sering, mungkin

tiap 6 bulan atau 1 tahun

sekali.

74

Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan (lanjutan)


Tidak ada kebijakan

pembatasan waktu jam akses

SIKASA.

Hack attack dari

internal network.

Sistem aplikasi dapat diakses

melalui jaringan internal baik

siang ataupun malam. Jaringan

internal yang cukup luas dan

banyaknya tools hacking gratis

(backtrack, whiteshark,dll)

dapat dimanfaatkan oleh orang

yang tidak bertanggunjawab

untuk melakukan Hack Attack.

Untuk meredam ataupun

menimalkan resiko tersebut,

sebaiknya terdapat kebijakan

mengenai batasan jam akses

SIKASA.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian batasan di

atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan

untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa kebijakan

yang mengatur tentang format khusus (parameter password), kebijakan mengenai

batasan jam akses SIKASA, dan kebijakan yang mengatur umur password

(automatically expired password).

4.7.2. Resiko dan Rekomendasi atas Pengendalian Masukan

Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu:

Tabel 4.8 Resiko dan Rekomendasi atas Pengendalian Masukan


Terdapat buku panduan,

namun masih versi yang lama

(belum update).

Terdapat miss

komunikasi antara user

dan sistem aplikasi

berupa kesalahan

penginputan data.

Untuk menghindari miss

komunikasi berupa kesalahan

penginputan data, sebaiknya

buku panduan diperbarui agar

user mengetahui

pembaharuan-pembaharuan

yang terjadi pada aplikasi.

75

Berdasarkan tabel resiko dan rekomendasi atas pengendalian masukan di


untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pembaharuan

buku panduan buku panduan agar user mengetahui pembaharuan-pembaharuan

aplikasi yang terjadi.

4.7.3. Resiko dan Rekomendasi atas Pengendalian Proses

Adapun resiko dan rekomendasi pengendalian proses yaitu

Tabel 4.12 Resiko dan Rekomendasi atas Pengendalian Proses


Pemrosesan penyusunan

laporan keuangan yang

komprehensif masih manual

dengan menggunakan Ms.

excel.

Terjadi kesalahan

pengetikan dan

aritmatika.

Pemrosesan penyusunan

laporan keuangan yang

komprehensif masih manual

bisanya membutuhkan banyak

waktu dan membutuhkan ekstra

ketelitian. Penggunaan SIKASA

sudah lebih dari 5 tahun dan

perbaikan-perbaikan memang

sudah dilakukan. Sebaiknya

pada SIKASA juga dilengkapi

dengan pemrosesan laporan

keuangan komprehensif untuk

meminimalkan terjadinya

kesalahan pengetikan dan

aritmatika.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian proses di


untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pemrosesan

laporan keuangan komprehensif secara otomatis pada SIKASA UKSW untuk

meminimalkan terjadinya kesalahan pengetikan dan aritmatika.

76

4.7.4. Resiko dan Rekomendasi atas Pengendalian Keluaran

Tabel 4.16 Resiko dan Rekomendasi atas Pengendalian Keluaran


Tidak ada penggunaan

password pada dokumen

laporan keuangan yang masih

softcopy.

Dokumen bisa

disalahgunakan.

File softcopy sangat rentan

terhadap penyalahgunaan dan

sangat mudah terinfeksi virus.

Sebaiknya laporan keuangan

yang softcopy dikompres

dengan WinRar (proteksi

password). Apa bila user

mudah lupa dengan password,

laporan keuangan (softcopy)

dapat disimpan disatu folder

yang terproteksi.

Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di


untuk meredam ataupun mencegah resiko. Hal dapat berupa proteksi pada laporan

keuangan (file softcopy) maupun pada folder penyimpanannya.

4.7.5. Resiko dan Rekomendasi atas Pengendalian Database

Adapun resiko dan rekomendasi atas pengendalian database yaitu :

Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database


Tidak terdapat job request

untuk meminta data.

Tidak ada

pertanggungjawaban

data yang jelas dan

mudah untuk disalah

gunakan.

Data merupakan komponen

informasi yang selanjutnya

digunakan untuk pengambilan

suatu keputusan. Apabila tidak

ada pertanggungjawaban data

yang jelas, maka data akan

sangat mudah disalahgunakan.

Oleh sebab itu sebaiknya ada

pertanggungjawaban data

yang jelas, seperti dibuatkan

suatu job request tertulis untuk

permintaan data.

77

Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database (lanjutan)

Peletakan server SIKASA

berada dibagian bawah rak

dan diganjal dengan kerdus.

Server akan mudah

cepat kotor terkena debu

lantai.

Database server merupakan

komponen yang sangat vital

dalam sebuah aplikasi berbasi

web dan rentan terhadap

kerusakan. Sebaiknya server

diletakkan ditempat yang agak

lebih tinggi untuk menghidari

debu dari lantai.



untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa job request

tertulis untuk permintaan data, serta peletakan server ditempat yang agak lebih

tinggi.

4.7.6. Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi

Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu:

Tabel. 4.24 Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi


Tidak ada dokumentasi

hardware dan software yang

dapat mendukung transmisi

atau saluran link.

Tidak ada

pertanggungjawaban

pemanfaatan atau

penggunaan software

dan hardware dapat

mendukung transmisi

atau saluran link.

Hardware dan software

merupakan komponen penting

dalam mendukung komunikasi

aplikasi. Penggunaan

hardware dan software dalam

mendukung transmisi atau

saluran link tidaklah sedikit.

Sehingga dapat berpotensi

tidak ada pertanggungjawaban

pemanfaatan atau penggunaan

software dan hardware

Sebaiknya perlu dibuatkan

suatu standar atau ketetapan

khusus tentang dokumentasi

penggunaan hardware atau

software yang mendukung

transmisi atau saluran link.

78



untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa suatu standar

atau ketetapan khusus tentang dokumentasi penggunaan hardware atau software

yang mendukung transmisi atau saluran link SIKASA.

4.8. Laporan Audit

4.8.1. Tujuan

Secara subjective, tujuan yang akan dicapai dalam penelitian ini adalah

untuk mengetahui pengendalian yang diterapkan oleh universitas dalam

pengendalian aplikasi pada sistem keuangan UKSW. Melakukan penilaian

terhadap resiko berdasarkan kelemahan-kelemahan yang ditemukan, membuat

rekomendasi perbaikan berdasarkan kelemahan-kelemahan dan resiko yang

ditemukan dari proses audit tersebut.

Secara objective audit sistem informasi bertujuan untuk meningkatkan

keamanan aset, meningkatkan integritas data, meningkatkan efisiensi sistem,

meningkatkan efektifitas sistem.

4.8.2. Ruang Lingkup

Rencana semula ruang lingkup audit sistem informasi yang akan dilakukan

meliputi pengendalian umum dan pengendalian aplikasi. Namun, karena sumber

daya yang terbatas maka audit sistem informasi hanya pada pengendalian aplikasi.

Audit sistem informasi pengendalian aplikasi SIKASA UKSW meliputi

pengendalian batasan (boundary), pengendalian masukan (input), pengendalian

79

proses, pengendalian keluaran (output), pengendalian basis data (database),

pengendalian komunikasi aplikasi.

Ruang lingkup audit sistem informasi dibatasi hanya pengendalian aplikasi

dengan tidak melakukan pengujian substantive terhadap data akuntansi dan

laporan keuangan UKSW.

4.8.3. Metode Audit

Metode audit yang digunakan adalah menggunakan pendekatan audit

trough the computer (terbatas) dengan melakukan studi pustaka serta studi

lapangan berupa wawancara dan observasi pada lingkungan Sistem Keuangan dan

Akuntansi UKSW yang sedang berjalan. Penetapan penilaian resiko SIKASA

UKSW, menggunakan Level Penilaian Resiko National Institute of Standard and

Technology (NIST) melalui publikasi khusus 800-30 tentang Risk Management

Guide for Information Technology System.

4.8.4. Hasil Audit

Hasil audit yang didapat merupakan temuan-temuan negatif dari program

audit yang dilaksanakan penulis. Temuan-temuan tersebut terdapat dalam tabel

seperti berikut:

80

Tabel. 4.25 Hasil Temuan Negatif

Jenis Pengendalian Temuan Negatif

Pengendalian Batasan Tidak ada format khusus terhadap

password yang akan dimasukkan, yaitu

dapat berupa angka, huruf, atau gabungan

antara angka dengan huruf (parameter

password).

Tidak ada kebijakan mengenai umur

password (automatically expired

password).

Sistem aplikasi tidak dapat memberikan

respon dengan menutup secara otomatis

sistem aplikasi tersebut (otomatis keluar

dari sistem aplikasi) bila terjadi beberapa

kali kegagalan login akses. Tidak ada

kebijakan pembatasan waktu jam akses

SIKASA.

Tidak ada kebijakan pembatasan waktu

jam akses SIKASA.

Pengendalian Masukan Terdapat buku panduan, namun masih

versi yang lama (belum update).

Pengendailan Proses Pemrosesan penyusunan laporan keuangan

yang komprehensif masih manual dengan

menggunakan Ms. excel.

Pengendalian Keluaran Terdapat penumpukan dokumen arsip

dikantor dan arsip di gudang tidak tertata

dengan baik.

Tidak ada penggunaan proteksi

(password) pada dokumen laporan

keuangan yang masih softcopy.

Pengendalian Database Model back-up planing belum tercluster

(mirror).

Tidak terdapat job request untuk meminta

data.

Peletakan server SIKASA berada di

bagian bawah rak dan diganjal dengan

kerdus.

Pengendalian Komunikasi Aplikasi Tidak ada dokumentasi hardware dan

software yang dapat mendukung transmisi

atau saluran link.

Berdasarkan program audit sistem informasi atas pengendalian aplikasi

yang dilaksanakan penulis, secara keseluruhan terdapat 12 temuan negatif yang

terdapat pada SIKASA UKSW.

81

4.8.5. Kesimpulan Laporan Audit

Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap

pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian

keluaran, pengendalian basis data (database) dan pengendalian komunikasi

aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan

pada SIKASA UKSW adalah :

Tabel. 4.26 Kesimpulan Audit

Jenis Pengendalian Nilai Bobot

Pengendalian Batasan 19 M

Pengendalian Masukan 25 M

Pengendalian Proses 25 M

Pengendalian Keluaran 15 M

Pengendalian Basis data 26,67 M

Pengendalian Komunikasi Aplikasi 25 M

Nilai Akhir 135,67 : 6 = 22,61 M

Jadi, dapat disimpulkan bahwa pengendalian aplikasi SIKASA UKSW

memiliki kategori resiko medium dalam arti pengendalian yang dilakukan sudah

cukup baik dalam mengatasi ancaman yang ada.

V. KESIMPULAN & SARAN

5.1. KESIMPULAN

Pengendalian batasan pada SIKASA UKSW sudah berjalan cukup baik.

Hal ini dapat dilihat dari temuan-temuan positif seperti adanya pembatasan akses

dengan menggunakan username, password, sub-unit. Password yang diinput

adalah invisible, yaitu hanya berupa blok hitam. Terdapat kick off user bila tidak

terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Dari pengendalian yang

cukup baik tersebut, masih terdapat beberapa kelemahan seperti tidak ada format

khusus terhadap password yang akan dimasukan berupa angka, huruf atau

82

gabungan angka atau huruf (parameter password) dan automatically expire

password.

Pengendalian masukan pada SIKASA UKSW sudah berjalan cukup baik.

Hal ini dapat dilihat dari temuan-temuan positif seperti adanya penggunaan

bahasa dan tampilan layar untuk input data sudah baik, jelas dan mudah

dimengerti serta tampilan wana layar didesain agar mata tidak cepat lelah dan

dapat mengurangi kesalahan input data. Dari pengendalian yang cukup baik

tersebut, masih terdapat beberapa kelemahan seperti terdapat buku panduan

SIKASA UKSW dengan versi yang lama.

Pengendalian proses pada SIKASA UKSW sudah berjalan cukup baik. Hal

ini dapat dilihat dari temuan-temuan positif seperti sistem akan memberikan

konfirmasi ketika dapat diproses dengan tidak benar. Terdapat manajemen log

server dan log aplikasi. Dari pengendalian yang cukup baik tersebut, masih

terdapat beberapa kelemahan seperti pemrosesan penyusunan laporan keuangan

yang komprehensif masih manual dengan menggunakan Ms. Excel.

Pengendalian keluaran pada SIKASA UKSW sudah berjalan cukup baik.

Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat kebijakan yang

mengatur penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas

waktu lamanya pengarsipan laporan. Dari pengendalian yang cukup baik tersebut,

masih terdapat beberapa kelemahan seperti terdapat penumpukan dokumen arsip

di kantor dan arsip di gudang tidak tertata dengan baik. Selain itu Tidak ada

penggunaan proteksi (password) pada dokumen laporan keuangan yang masih

softcopy.

83

Pengendalian database pada SIKASA UKSW sudah berjalan cukup baik.

Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat back-up planing

untuk file handling controls. Dari pengendalian yang cukup baik tersebut, masih

terdapat beberapa kelemahan seperti model back-up planing untuk file handling

control belum tercluster (mirror) dan peletakan server SIKASA berada di bagian

bawah rak dan diganjal dengan kerdus. Selain itu tidak terdapat job request untuk

meminta data.

Pengendalian komunikasi aplikasi SIKASA UKSW sudah berjalan cukup

baik. Hal ini dapat dilihat dari temuan-temuan positif seperti sistem aplikasi hanya

dapat digunakan dalam lingkungan kampus. Jaringan dibangun dengan sistem

mesh network. Dari pengendalian yang cukup baik tersebut, masih terdapat

beberapa kelemahan seperti tidak adanya dokumentasi hardware dan software

yang dapat mendukung transmisi atau saluran link.

Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap

pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian

keluaran, pengendalian basis data (database) dan pengendalian komunikasi

aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan

pada SIKASA UKSW memiliki kategori resiko medium dalam arti pengendalian

yang dilakukan sudah cukup baik dalam mengatasi ancaman yang ada. Tindakan

perencanaan dan perbaikan harus diterapkan untuk meredam ataupun mencegah

resiko.

84

5.2. SARAN

Berdasarkan simpulan yang didapat dari hasil pemeriksaan dan

pengamatan pada Sistem Informasi Keuangan dan Akuntansi UKSW, maka ada

beberapa saran yang dapat disampaikan, yaitu:

a) Seringkali password tidak dianggap penting. Orang cenderung membuat

password dengan huruf tertentu, misalnya nama panggilan, tanggal lahir,

nama anak/suami/istri dan sebagainya yang justru mudah ditebak.

Sebaiknya ada kebijakan yang mengatur tentang format khusus (parameter

password) terhadap password yang akan dimasukkan, yaitu dapat berupa

angka, huruf, atau gabungan antara angka dengan huruf. Dengan

penggantian password secara rutin diharapkan password menjadi sulit

diketahui oleh orang yang tidak berkepentingan, dan dapat menghindari

adanya kemungkinan terjadinya kecurangan.

b) Kecurangan atau pencurian data akan semakin besar dengan tidak adanya

permintaan perubahan password secara berkala.Sebaiknya ada kebijakan

yang mengatur umur password (automatically expired password). Tidak

perlu terlalu sering, mungkin tiap 6 bulan atau 1 tahun sekali.

c) Sistem aplikasi dapat diakses melalui jaringan internal baik siang ataupun

malam. Jaringan internal yang cukup luas dan banyaknya tools hacking

gratis (backtrack, whiteshark,dll) dapat dimanfaatkan oleh orang yang

tidak bertanggunjawab untuk melakukan hack attack. Untuk meredam

ataupun menimalkan resiko tersebut, sebaiknya terdapat kebijakan

mengenai batasan jam akses SIKASA.

85

d) Untuk menghindari miss komunikasi berupa kesalahan penginputan data,

sebaiknya buku panduan diperbarui agar user mengetahui pembaharuan-

pembaharuan yang terjadi pada aplikasi.

e) Pemrosesan penyusunan laporan keuangan yang komprehensif masih

manual bisanya membutuhkan banyak waktu dan membutuhkan ekstra

ketelitian. Penggunaan SIKASA sudah cukup lama (lebih dari 5 tahun)

dan perbaikan-perbaikan memang sudah dilakukan. Sebaiknya pada

SIKASA juga dilengkapi dengan pemrosesan laporan keuangan

komprehensif secara otomatis untuk meminimalkan terjadinya kesalahan

pengetikan dan aritmatika.

f) File softcopy sangat rentan terhadap penyalahgunaan dan sangat mudah

terinfeksi virus. Sebaiknya laporan keuangan yang softcopy dikompres

dengan WinRar (proteksi password). Apa bila user mudah lupa dengan

password, laporan keuangan (softcopy) dapat disimpan disatu folder yang

terproteksi.

g) Data merupakan komponen informasi yang selanjutnya digunakan untuk

pengambilan suatu keputusan. Apabila tidak ada pertanggunjawaban data

yang jelas, maka data akan sangat mudah disalahgunakan.Olehsebab itu

sebaiknya ada pertanggungjawaban data yang jelas, seperti dibuatkan

suatu job request tertulis untuk permintaan data.

h) Database server merupakan komponen yang sangat vital dalam sebuah

aplikasi berbasi web dan rentan terhadap kerusakan. Sebaiknya server

86

diletakkan ditempat yang agak lebih tinggi untuk menghidari debu dari

lantai.

i) Hardware dan software merupakan komponen penting dalam mendukung

komunikasi aplikasi. Penggunaan hardware dan software dalam

mendukung transmisi atau saluran link tidaklah sedikit. Sehingga dapat

berpotensi tidak ada pertanggungjawaban pemanfaatan atau penggunaan

software dan hardware. Sebaiknya perlu dibuatkan suatu standar atau

ketetapan khusus tentang dokumentasi penggunaan hardware atau

software yang mendukung transmisi atau saluran link.

DAFTAR PUSTAKA

Boynton, W. C., Raymond N. J, dan Walter G.K, 2003, Modern Auditing, Edisi

7, Jilid I. Erlangga, Jakarta.

Champlain, Jack J,. 2003, Auditing Information System, Second Edition, John

Wiley & Son, New York.

Gondodiyoto, Sanyoto, 2007, Audit Sistem Informasi + Pendekatan CobIT,

Edisi Revisi, Mitra Wacana Media, Jakarta.

Hall, James A., 2011, Information Technology Auditing and Assurance, Third

Edition, Cengage Learning, Inc

Moeller, Robert R., 2010, IT Audit, Control, and Security, John Wiley & Sons,

Inc

Weber, Ron., 1999, Information System Contol and Audit, Prentice Hall.

Stonerburner, G., Gougen, A., and Feringa, A. 2002. Risk Management Guide

for Information Technology Systems. National Institute of Standard

and Technology (NIST).

Audit Sistem Informasi Atas Pengendalian Aplikasi (Studi Kasus … · 2013. 5. 24. · pengendalian...

Documents

Transcript of Audit Sistem Informasi Atas Pengendalian Aplikasi (Studi Kasus … · 2013. 5. 24. · pengendalian...