AUDIT SISTEM INFORMASI PADA PERUSAHAAN …lib.ui.ac.id/file?file=digital/20350976-TA-Sugeng...
Transcript of AUDIT SISTEM INFORMASI PADA PERUSAHAAN …lib.ui.ac.id/file?file=digital/20350976-TA-Sugeng...
UNIVERSITAS INDONESIA
AUDIT SISTEM INFORMASI PADA PERUSAHAAN
PENGELOLA JALAN TOL PT JKLM
LAPORAN MAGANG
SUGENG IVAN LESTARIANTO
0906525812
FAKULTAS EKONOMI
PROGRAM STUDI AKUNTANSI
DEPOK
JULI 2013
Audit sistem..., Sugeng Ivan, FE UI, 2013
UNIVERSITAS INDONESIA
AUDIT SISTEM INFORMASI PADA PERUSAHAAN
PENGELOLA JALAN TOL PT JKLM
LAPORAN MAGANG
Diajukan sebagai salah satu syarat untuk memperoleh gelar
Sarjana Ekonomi
SUGENG IVAN LESTARIANTO
0906525812
FAKULTAS EKONOMI
PROGRAM STUDI AKUNTANSI
DEPOK
JULI 2013
Audit sistem..., Sugeng Ivan, FE UI, 2013
ii
Universitas Indonesia
Audit sistem..., Sugeng Ivan, FE UI, 2013
iii
Universitas Indonesia
Audit sistem..., Sugeng Ivan, FE UI, 2013
iv
Universitas Indonesia
KATA PENGANTAR
Puji syukur saya panjatkan kepada Allah SWT karena atas rahmat-Nya saya dapat
menyelesaikan laporan magang ini. Penulisan laporan magang ini dilakukan
dalam rangka memenuhi salah satu syarat untuk mendapatkan gelar Sarjana
Ekonomi Jurusan Akuntansi pada Fakultas Ekonomi Universitas Indonesia. Saya
menyadari tanpa bantuan dan dukungan dari berbagai pihak dalam bentuk apapun,
sangatlah sulit untuk menyelesaikan laporan magang ini. Oleh karena itu pada
kesempatan ini saya ingin mengucapkan terima kasih kepada:
1. Tuhan Yang Maha Esa, tanpa rahmat dan karunia-NYA saya tidak akan
bisa menyelesaikan kuliah di Fakultas Ekonomi Universitas Indonesia ini;
2. Ibu dan adik-adik saya yang senantiasa mendoakan dan mendukung saya
selama kuliah dan memberikan saya ketentraman dikala kesusahan;
3. Bapak Machmudi Eka Prasetya selaku dosen pembimbing yang bersedia
membantu saya dalam hal waktu dan pikirannya untuk menyelesaikan
tugas akhir ini;
4. Bapak / Ibu selaku dosen penguji yang telah meluluskan dan memberi
banyak masukan pada saya;
5. Dosen, pengajar dan karyawan Fakultas Ekonomi Universitas Indonesia;
6. Yayasan Daya Bhakti Pendidikan Universitas Indonesia (YDBP UI) yang
telah memberikan saya bantuan baik dana maupun ilmu untuk membantu
saya menyelesaikan kuliah saya selama ini.
7. KAP RSM AAJ, khususnya kepada divisi white yaitu Mbak Angela,
Mas Raki, Mas Vicky, Erlyn, Iqbal dan Megat atas ilmu dan kesempatan
magang yag diberikan;
8. Ispon Asep Yurano dan Danang Heru Utomo sebagai kawan dalam usaha,
hobi, dan passion. Dan Teman-teman seperjuangan selama magang yang
senantiasa saling membantu dan bertukar cerita;
9. Seluruh penghuni kosan Pondok Tody yang memberi warna keceriaan
selama kuliah;
iv
Audit sistem..., Sugeng Ivan, FE UI, 2013
v
Universitas Indonesia
10. Teman-teman di BEM FEUI, dan CEDS UI yang memberikan ilmu dan
persahabatan yang tak terlupakan;
11. Teman-teman FEUI 2009 yang pernah meminjami saya dana, tanpa
bantuan mereka saya tidak akan bisa survive selama kuliah;
12. Semua pihak yang telah membantu saya dalam bentuk apapun, yang
mohon maaf tidak tercantum dalam ucapan ini namun pasti tercatat amal
baiknya.
Akhir kata, saya berharap Allah SWT membalas segala kebaikan dari semua pihak
yang terlibat dalam penulisan laporan magang ini. Semoga laporan magang ini
membawa manfaat bagi pengembangan ilmu.
Depok, 8 Juli 2013
Penulis
v
Audit sistem..., Sugeng Ivan, FE UI, 2013
vi
Universitas Indonesia
Audit sistem..., Sugeng Ivan, FE UI, 2013
vii
Universitas Indonesia
ABSTRAK
Nama : Sugeng Ivan Lestarianto
Program Studi : Akuntansi
Judul : Audit Sistem Informasi Pada Perusahaan Pengelola Jalan Tol
PT JKLM
Sistem informasi sekarang menjadi bagian yang tidak terpisahkan dalam operasi
bisnis perusahaan. Sistem informasi ini membawa kemudahan dan efisiensi dalam
operasi perusahaan namun juga membawa berbagai macam resiko baru. Sehingga
dibutuhkan berbagai macam pengendalian untuk mengelola resiko tersebut. Audit
sistem informasi dibutuhkan juga untuk mengkaji dan menguji efektifitas
pengendalian-pengendalian yang ada di sebuah perusahaan. Laporan ini
menjelaskan tentang audit sistem informasi yang dilaksanakan penulis selama
menjalani program magang.
Kata Kunci :
Audit, Sistem Informasi, pengendalian, pengendalian umum, pengendalian
aplikasi, Badan Usaha Milik Negara, BUMN.
vii
Audit sistem..., Sugeng Ivan, FE UI, 2013
viii
Universitas Indonesia
ABSTRACT
Name : Sugeng Ivan Lestarianto
Program : Accounting
Title : Information System Audit on Indonesia Highway Corporation
PT JKLM
Information system nowadays become an integrated part in company operations.
This system information brings ease and efficiency on company operations but
also bring a whole new kind of risks. An information system controls is needed to
manage these risks. And information system audit is also needed to review and
test the effectivity of these controls. This reports explains about information
system audit that had been done by the writer in the duration of his internship
program.
Keywords :
Audit, Information System, Control, General Control, Application Control, Badan
Usaha Milik Negara, BUMN.
viii
Audit sistem..., Sugeng Ivan, FE UI, 2013
ix
Universitas Indonesia
DAFTAR ISI
HALAMAN JUDUL ..................................................................................... i
HALAMAN PERNYATAAN ORISINALITAS ............................................ ii
HALAMAN PENGESAHAN ....................................................................... iii
KATA PENGANTAR .................................................................................... iv
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI ..................... vi
ABSTRAK .................................................................................................... vii
DAFTAR ISI ................................................................................................. ix
DAFTAR GAMBAR .................................................................................... xi
DAFTAR LAMPIRAN ................................................................................. xii
BAB 1: PENDAHULUAN 1.1 Latar Belakang Tema .............................................................................. 1
1.2 Latar Belakang Kegiatan Magang ........................................................... 3
1.3 Tujuan Kegiatan Magang ........................................................................ 4
1.4 Tempat Dan Waktu Kegiatan Magang .................................................... 5
1.5 Pelaksanaan Program Magang ................................................................ 5
1.6 Ruang Lingkup Penulisan Laporan Magang ........................................... 6
1.7 Rumusan Masalah ................................................................................... 7
1.8 Sistematika Penulisan ............................................................................. 7
BAB 2: LANDASAN TEORI 2.1 Teknologi Informasi ................................................................................ 9
2.2 Sistem Informasi ..................................................................................... 9
2.3 Resiko Sistem Informasi ......................................................................... 11
2.4 Audit Sistem Informasi ........................................................................... 11
2.4.1 Pengertian Audit Sistem Informasi ............................................... 12
2.4.2 Ruang Lingkup Pekerjaan Audit Sistem Informasi ....................... 12
2.4.3 Tujuan Audit Sistem Informasi ..................................................... 14
2.4.4 Audit Sistem Informasi Berbasiskan Resiko ................................. 15
2.4.4.1 Resiko Yang Dipertimbangkan ........................................... 16
2.4.4.2 Siklus Audit Sistem Informasi Berbasiskan Resiko ............ 17
2.5 Pengendalian Sistem Informasi ............................................................... 19
2.5.1 Pengendalian Umum Sistem Informasi (IT General Control) ....... 20
2.5.2 Pengendalian Aplikasi Sistem Informasi (IT Application Control) 21
2.6 Peran Auditor Sistem Informasi Di Audit Keuangan .............................. 22
BAB 3: PROFIL PERUSAHAAN
3.1 Profil Kantor Akuntan Publik RSM AAJ Associates .............................. 24
3.1.1 Bidang Jasa yang Disediakan KAP RSM AAJ Associates ........... 24
3.1.2 Struktur Organisasi KAP RSM AAJ Associates ........................... 26
3.2 Profil PT JKLM ....................................................................................... 27
3.2.1 Bidang Usaha PT JKLM ............................................................... 29
3.2.2 Struktur Organisasi PT JKLM ...................................................... 31
ix
Audit sistem..., Sugeng Ivan, FE UI, 2013
x
Universitas Indonesia
BAB 4: PEMBAHASAN
4.1 Perencanaan Audit Sistem Informasi ...................................................... 33
4.1.2 Tujuan Penugasan ......................................................................... 35
4.1.3 Ruang Lingkup Pemeriksaan ........................................................ 35
4.2 Prosedur Umum Pelaksanaan Audit Sistem Informasi ........................... 36
4.3 Pelaksanaan Audit Sistem Informasi ....................................................... 37
4.3.1 Kajian Teknologi Informasi .......................................................... 37
4.3.1.1 Struktur Jaringan PT JKLM .................................................. 37
4.3.1.2 Aplikasi, Sistem Operasi, & Database PT JKLM ................. 40
4.3.2 Kajian Pengendalian Umum Sistem Informasi ............................. 44
4.3.2.1 Logical Security ..................................................................... 44
4.3.2.2 Change Management ............................................................. 50
4.3.2.3 Computer Operation ............................................................. 51
4.3.3 Kajian Pengendalian Aplikasi Sistem Informasi ........................... 55
4.3.3.1 Obyektif Pengujian Pengendalian Aplikasi ........................... 56
4.3.3.2 Ruang Lingkup Pengujian Pengendalian Aplikasi ................ 56
4.3.3.3 Prosedur Pengujian Pengendalian Aplikasi ........................... 57
4.3.3.4 Hasil Pengujian Pengendalian Aplikasi ................................. 57
4.3.3.4.1 Pemahaman Alur Proses Pengadaan, Pengelolaan,
Pengakuan, & Pencatatan di PT JKLM ..................... 57
4.3.3.4.2 Hasil Observasi Alur Proses Pengadaan, Pengelolaan,
Pengakuan, & Pencatatan Aset Tetap Di Aplikasi
Sistem ERP PT JKLM ............................................... 63
4.4 Analisis Dan Kesimpual Audit Sistem Informasi ................................... 76
4.4.1 Analisis Dan Kesimpulan Hasil Kajian Pengendalian Umum ...... 77
4.4.2 Analisis dan Kesimpulan Hasil Kajian Pengendalian Aplikasi ..... 78
BAB 5: KESIMPULAN & SARAN
5.1 Kesimpulan ............................................................................................. 82
5.2 Saran ........................................................................................................ 84
5.2.1 Saran Untuk Klien ......................................................................... 84
5.2.2 Saran Untuk Kantor Akuntan Publik ............................................ 86
5.2.3 Saran Untuk Departemen Akuntansi FEUI ................................... 87
DAFTAR PUSTAKA ................................................................................... 88
LAMPIRAN ................................................................................................. 89
x
Audit sistem..., Sugeng Ivan, FE UI, 2013
xi
Universitas Indonesia
DAFTAR GAMBAR
Gambar 2.1 Siklus Audit Sistem Informasi ............................................... 17
Gambar 3.1 Struktruk Organisasi Kantor Akuntan Publik RSM AAJ
Associates .............................................................................. 27
Gambar 3.2 Sejarah Pengoperasian Jalan Tol PT JKLM .......................... 28
Gambar 3.3 Struktur Organisasi PT JKLM ............................................... 31
Gambar 3.4 Sturktur Organisasi Biro Teknologi Informasi Perusahaan PT
JKLM ..................................................................................... 32
Gambar 4.1 Diagram Keseluruhan Jaringan Perusahaan .......................... 38
Gambar 4.2 Diagram jaringan collocation PT JKLM ............................... 39
Gambar 4.3 Diagram jaringan antara Kantor Pusat, Cabang, dan DRC PT
JKLM ..................................................................................... 40
Gambar 4.4 Diagram Sistem Aplikasi ERP Perusahaan ........................... 44
Gambar 4.5 Diagram Alur Pembukaan Hak Akses Karyawan Baru ......... 46
Gambar 4.6 Diagram Alur Pembukaan Hak Akses Karyawan Non
Struktural dan Management Trainee ...................................... 46
Gambar 4.7 Diagram Alur Pembukaan Hak Akses Karyawan Struktural .. 47
Gambar 4.8 Diagram Alur Pembukaan Hak Akses Karyawan Atas Mutasi
Jabatan ................................................................................... 48
Gambar 4.9 Diagram Alur Penutupan Hak Akses Karyawan ................... 49
Gambar 4.10 Diagram Alur Pengubahan Aplikasi Perangkat Lunak .......... 54
Gambar 4.11 Diagram hubungan antar modul pada proses pengadaan aset
Tetap ...................................................................................... 55
Gambar 4.12 Bagan Alur Prosedur Pengadaan Aset Tetap ......................... 58
Gambar 4.13 Bagan Alur Prosedur Pembuatan PPA ................................... 59
Gambar 4.14 Bagan Alur Prosedur Pembuatan PO ..................................... 60
Gambar 4.15 Bagan Alur Prosedur Penerimaan Barang/Jasa ..................... 61
Gambar 4.16 Bagan Alur Prosedur Pembuatan Invoice .............................. 62
Gambar 4.17 Bagan Alur Prosedur Kapitalisasi Aset Project ..................... 62
Gambar 4.18 Bagan Alur Proses Login Di Aplikasi ERP PT JKLM .......... 64
Gambar 4.19 Bagan Alur Proses Pembuatan PPA Aplikasi ERP PT JKLM 65
Gambar 4.20 Bagan Alur Proses Pembuatan PO Pada Aplikasi ERP ......... 66
Gambar 4.21 Bagan Alur Proses Pembuatan Receipt-PO Pada
Aplikasi ERP ......................................................................... 66
Gambar 4.22 Bagan Alur Proses Pembuatan Invoice Pada Aplikasi ERP .. 67
Gambar 4.23 Bagan Alur Proses Validasi Invoice Pada Aplikasi ERP ....... 68
Gambar 4.24 Bagan Alur Proses Kapitalisasi Aset Project pada
aplikasi ERP .......................................................................... 68
Gambar 4.25 Perintah Menjalankan Depresiasi pada Modul
Asset Management ................................................................. 71
Gambar 4.26 Input New Batch dari Jurnal Manual ..................................... 73
Gambar 4.27 Header dari Jurnal Manual .................................................... 75
Gambar 4.28 Detail Jurnal Manual ............................................................. 75
Gambar 4.29 Jurnal Manual yang Siap Diposting ...................................... 76
xi
Audit sistem..., Sugeng Ivan, FE UI, 2013
xii
Universitas Indonesia
DAFTAR LAMPIRAN
Lampiran 1 Server Physical Security Checklist .......................................... 87
Lampiran 2 Information System Risk Control Matrix ................................. 88
xii
Audit sistem..., Sugeng Ivan, FE UI, 2013
1 Universitas Indonesia
BAB 1
PENDAHULUAN
1.1 Latar Belakang Tema
Dalam menjalankan kegiatan bisnisnya sehari-hari, setiap perusahaan
sangat mengandalkan sistem informasi perusahaan yang mereka miliki. Mereka
mengelola, menyimpan, dan memanfaatkan informasi yang mereka miliki dengan
menggunakan sistem informasi perusahaan tersebut. Sistem informasi perusahaan
ini meliputi seluruh perangkat keras, perangkat lunak, basis data, jaringan,
prosedur dan manusia yang dimiliki oleh perusahaan. Baik buruknya sebuah
perusahaan juga sangat tergantung dengan bagaimana sistem informasi
perusahaan mereka. Dengan sistem informasi yang bagus dan sesuai, perusahaan
bisa beroperasi lebih cepat, efektif, dan menguntungkan. Oleh karena itu
perusahaan menghabiskan sumber daya yang tidak sedikit untuk merancang,
membuat, dan mengelola sistem informasi yang mereka miliki.
Perusahaan seiring dengan berkembangnya teknologi informasi menjadi
semakin tergantung dengan teknologi informasi. Teknologi informasi merubah
bagaimana cara perusahaan melakukan kegiatan bisnisnya. Seluruh proses dan
aktivitas transaksi di perusahaan menjadi sangat tergantung dengan komputer.
Semua data dan informasi perusahaan disimpan dalam bentuk data binari di hard
disk komputer. Sistem informasi perusahaan menjadi lebih kompleks, terdiri dari
beberapa sistem terpisah yang terintegrasi menjadi satu dalam sebuah jaringan.
Infrastruktur dan sumber daya teknologi informasi perusahaan menjadi sebuah
aset penting yang perlu dikelola dengan baik. Di lain pihak ketergantungan
perusahaan terhadap teknologi informasi ini juga membawa resiko-resiko baru.
Data dan informasi perusahaan menjadi lebih rawan keamanannya karena bentuk
data binari mudah untuk rusak, hilang, dimanipulasi, maupun dicuri. Disisi
finansial, untuk membangun sistem informasi yang sesuai dengan proses bisnis
perusahaan diperlukan biaya atau investasi yang besar. Dan dibutuhkannya
sumber daya manusia yang mumpuni untuk membangun dan mengelola sistem
Audit sistem..., Sugeng Ivan, FE UI, 2013
2
Universitas Indonesia
informasi tersebut. Dan yang tidak kalah penting adalah dibutuhkannya
manajemen sistem informasi (Management Information System atau MIS) dan tata
kelola sistem informasi (IT Governance) yang baik dan efektif untuk mengelola
dan mengatur infrastruktur teknologi informasi dan sistem informasi perusahaan.
Meningkatnya ketergantungan perusahaan terhadap teknologi informasi
juga membawa perubahan pada proses audit laporan keuangan sebuah perusahaan.
Audit laporan keuangan memiliki tujuan untuk memberikan keyakinan bahwa
laporan keuangan yang dibuat benar apa adanya dan sesuai dengan standard
akuntansi yang berlaku saat itu. Dikarenakan proses transaksi, penyimpanan data,
dan pelaporan keuangan menjadi terkomputerisasi, auditor menjadi sulit untuk
tidak memperhatikan IT perusahaan dan harus mempertimbangkannya dalam
proses audit mereka. Lingkungan sistem informasi perusahaan yang sangat
kompleks dan terintegrasi seperti sekarang menjadikan audit atas sistem informasi
perusahaan menjadi bagian dari audit laporan keuangan perusahaan. Oleh karena
itu muncullah Audit Sistem Informasi atau Audit Sistem Informasi yang berfungsi
untuk memberikan assessment dan assurance atas sistem informasi perusahaan.
Audit sistem informasi atau Audit Sistem Informasi ini dilakukan oleh
Auditor Sistem Informasi. Pada proses audit sistem informasi ini Auditor Sistem
Informasi akan memberikan assessment dan evaluasi atas IT Governance
perusahaan, kontrol-kontrol IT yang ada, dan prosedur serta keamanan dari sistem
informasi perusahaan. Audit sistem informasi ini tidak hanya memberikan
keyakinan bahwa auditor telah mempertimbangkan semua resiko dan kontrol yang
ada namun juga dapat mengurangi cangkupan audit laporan keuangan (Scope of
The Audit).
Beberapa standard dan peraturan juga telah mengakui kepentingan dari
audit sistem informasi dalam pelaksanaan audit keuangan. SPAP Nomor SA 314
(PSA 60) Penentuan risiko dan pengendalian intern-Pertimbangan dan intern-
Karakteristik Pengolahan Data Elektronik, SA 327 (PSA 59) Teknik Audit
Berbantuan Komputer, dan SA 335 (PSA 57) Auditing dalam Lingkungan
Pengolahan Data Elektronik, serta SAS No 47, 48 dan 55. Sarbane-Oaxley Act
(SOX) pada tahun 2002 juga memperkuat kepentingan audit sistem informasi
Audit sistem..., Sugeng Ivan, FE UI, 2013
3
Universitas Indonesia
pada audit keuangan. SOX dibuat untuk membantun kembali kredibilitas dari
laporan keuangan dengan mewajibkan manajemen memberikan assessment dan
representasi atas internal control. Auditor keuangan harus memeriksa semua
pengendalian internal tersebut. Karena kebanyakan pengendalian internal saat ini
melibatkan teknologi informasi, maka Auditor Sistem Informasi harus dilibatkan
dalam proses audit keuangan.
Semakin pentingnya audit sistem dalam proses audit keuangan menjadi
alasan mengapa penulis memilih tema audit sistem informasi dalam laporan
magang ini. Alasan lainnya adalah Penulis juga mendapati betapa pentingnya
audit sistem informasi secara langsung. Penulis selama magang mendapatkan
penugasan untuk melakukan audit sistem informasi pada perusahaan PT JKLM.
Audit sistem informasi yang dilakukan ini berfungsi sebagai support dari audit
keuangan yang tengah berlangsung. Dalam penugasan ini penulis terlibat pada
seluruh proses audit sistem informasi.
1.2 Latar Belakang Kegiatan Magang
Dalam era globalisasi dan inovasi sekarang ini dibutuhkan adanya tenaga
kerja yang memiliki kompetensi yang tinggi. Hal ini menimbulkan adanya
persaingan yang semakin ketat dalam dunia kerja. Lulusan sarjana tidak akan
cukup jika hanya bermodalkan ijazah semata. Universitas sebagai salah satu
penyedia pendidikan tinggi di Indonesia dituntut untuk memberikan kurikulum
yang nantinya akan menghasilkan lulusan sarjanan yang kompeten dibidangnya.
Kurikulum yang disusun harus yang paling sesuai dengan kondisi dan
permintaaan yang ada sekarang ini. Sehingga lulusan yang ada tidak hanya
kompeten di bidangnnya tapi juga bisa bersaing dengan tenaga kerja lainnya
dalam mendapatkan lapangan pekerjaan yang sesuai dengan bidangnya.
Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia
menyadari hal tersebut sehingga memberikan alternatif dalam penyusunan tugas
akhir sebagai syarat kelulusan S1 yaitu dengan mengikuti program magang.
Program magang ini bertujuan supaya mahasiswa yang mengikuti bisa langsung
Audit sistem..., Sugeng Ivan, FE UI, 2013
4
Universitas Indonesia
terjun ke lapangan untuk mendapatkan gambaran yang sesungguhnya di dunia
kerja dan menerapkan ilmu-ilmu akuntansi yang telah mereka pelajari serta
merasakan bagaimana lingkungan dan tuntutan kerja itu seperti apa. Hal lain yang
diharapkan didapat oleh mahasiswa dalam program magang ini adalah supaya
mendapatkan pengalaman dan pembelajaran yang tidak didapat di kelas-kelas
perkuliahan. Karena ketika magang mahasiswa akan berinteraksi dengan banyak
pihak baik sesama pekerja, atasan, maupun klien.
Selama magang mahasiswa juga dituntut untuk bisa beradaptasi dengan
lingkungan kerja. Manajemen waktu dan profesionalitas mahasiswa dalam
mengerjakan tugas yang didapat selama melakukan program magang juga
menjadi kunci penting dalam program magang ini. Kemampuan nalar, analisis,
dan problem solving mahasiswa juga semakin diasah di program magang ini.
Sehingga ketika menyelesaikan program magang ini mahasiswa memiliki
kompetensi yang dibutuhkan untuk langsung terjun ke dunia kerja. Dan ketika
lulus menjadi sarjana bisa bersaing dengan tenaga kerja lainnya dan memberikan
kontribusi terhadap bidang ekonomi terutama akuntansi.
1.3 Tujuan Kegiatan Magang
Tujuan dari program magang ini adalah supaya mahasiswa bisa terjun
langsung dan menerapkan ilmu yang mereka dapatkan selama kelas-kelas
perkuliahan di dunia kerja. Program magang juda dimaksudkan untuk
meningkatkan kemampuan teknikal mahasiswa. Selain itu program magang ini
juga bertujuan untuk melatih dan meningkatkan kemampuan intepersonal
mahasiswa, profesionalitas mahasiswa, dan kemampuan bekerja secara tim untuk
menyelesaikan tugas dan memecahkan masalah yang dihadapi di dunia kerja.
Program magang ini juga bisa dikatakan bertujuan untuk menciptakan hubungan
timbal balik antara mahasiswa yang magang dengan perusahaan tempat magang.
Dimana mahasiswa yang magang mendapatkan ilmu dari perusahaan tempat
magang dan perusahaan tempat magang juga mendapatkan manfaat dari
mahasiswa yang magang.
Audit sistem..., Sugeng Ivan, FE UI, 2013
5
Universitas Indonesia
1.4 Tempat Dan Waktu Kegiatan Magang
Penulis melaksanakan kegiatan magang di Kantor Akuntan Publik
Aryanto, Amir Jusuf, Mawar & Saptoto (RSM AAJ Associates) yang memiliki
afiliasi dengan firma internasional RSM. RSM AAJ Associates beralamat di
Gedung Plaza ABDA lantai 10-11, Jl. Jenderal Sudirman Kav. 59 Jakarta. Waktu
pelaksanakan program magang dilaksanakan sesuai dengan kontrak yang penulis
tandatangani, yaitu dimulai pada tanggal 3 Januari 2013 sampai dengan 5 April
2013. Di RSM AAJ Associates, penulis ditempatkan dalam divisi White yang
menyediakan jasa Risk & Advisory, Internal Audit, dan Information System Audit
& Advisory. Jam kerja normal sesuai aturan kantor adalah hari Senin sampai
Jumat, dimulai dari pukul 08.30 WIB hingga pukul 17.30 WIB.
1.5 Pelaksanaan Program Magang
Ketika melakukan magang di RSM AAJ Associates, penulis ditempatkan
pada divisi White dengan posisi junior Auditor Sistem Informasi. Selama program
magang ini, penulis terlibat pada beberapa proyek Audit Sistem Informasi yang
memberikan support bagi audit laporan keuangan yang dilakukan oleh divisi lain
di RSM AAJ Associates dan bertanggung jawab melakukan prosedur Audit Sistem
Informasi dan Audit Sistem Informasi program yang telah ditetapkan untuk
mencapai obyektif Audit Sistem Informasi yang telah dibutuhkan oleh tim Audit
Laporan keuangan. Selama melakukan tugas Audit Sistem Informasi ini penulis
diberikan ruang lingkup tugas dan tanggung jawab yang terdiri dari :
a) Persiapan, permintaan dan pengumpulan data yang diperlukan.
b) Periksa kelengkapan data yang telah diberikan.
c) Melakukan wawancara terhadap pihak-pihak yang terkait di klien.
d) Melakukan review dan pengujian atas data dan hasil wawancara.
e) Menyusun laporan atas hasil review dan mengidentifikasi resiko yang ada
atas IT perusahaan klien.
Audit sistem..., Sugeng Ivan, FE UI, 2013
6
Universitas Indonesia
1.6 Ruang Lingkup Penulisan Laporan Magang
Pada laporan magang ini penulis akan membahas mengenai Audit Sistem
Informasi yang dilaksanakan oleh divisi white dari RSM AAJ Associates terhadap
perusahaan penyedia dan pengelola jalan tol PT. JKLM. Audit sistem informasi ini
dilakukan atas permintaan dari divisi blue selaku tim Audit Laporan Keuangan
PT. JKLM.
PT. JKLM sebagai perusahaan Badan Usaha Milik Negara (BUMN)
penyedia dan pengelola jalan tol di Indonesia telah mulai menerapkan Enterprise
Resource Planning (ERP) pada pertengahan tahun 2010 yang lalu. Penggunakan
sistem ERP bertujuan untuk mengintegrasikan seluruh proses bisnis perusahaan
yang dulunya terpisah dan menggunakan aplikasi-aplikasi yang berbeda. Dengan
adanya integrasi ini diharapkan proses bisnis perusahaan semakin cepat, tepat, dan
efisien. Penyimpanan data, pengelolaan, dan penggunaannya lebih mudah serta
perusahaan bisa lebih mudah dalam melakukan pelaporan. Selain itu bisa
membuat perusahaan lebih profesional dan kompeten dalam memberikan
layanannya.
Dalam proses audit laporan keuangan PT. JKLM tim audit keuangan
menemukan resiko yang tinggi di akun aset tetap perusahaan. Hal ini menuntut
tim audit keuangan untuk melakukan test of control terhadap akun aset tetap ini.
Dikarenakan perusahaan menerapkan sistem ERP, seluruh transaksi aset tetap
perusahaan mulai dari pengadaan, pengelolaan, dan depresiasi dilakukan oleh
aplikasi perusahaan. Sehingga untuk melakukan test of control tim audit keuangan
meminta divisi white untuk memberikan Audit Sistem Informasi Support atau
audit sistem informasi terhadap PT. JKLM untuk memberikan assessment, review,
dan evaluasi atas sistem informasi perusahaan dengan melakukan pengujian
pengendalian umum (IT General Control) dan melakukan pengujian pengendalian
aplikasi (IT Application Control) pada proses pengadaan, pengelolaan, dan
depresiasi aset tetap perusahaan. Audit sistem informasi yang dilakukan
dilandaskan pada teori-teori akuntansi dan audit sistem informasi serta best
practice yang ada.
Audit sistem..., Sugeng Ivan, FE UI, 2013
7
Universitas Indonesia
1.7 Rumusan Masalah
Dengan menggunakan pelaksanaan Audit Sistem Informasi yang dijalani
penulis selama melakukan kegiatan magang, laporan magang ini mencoba untuk
memberi gambaran dan menjawab hal-hal berikut ini :
1. Pelaksanaan Audit Sistem Informasi pada PT JKLM.
2. Apa saja aspek dari sistem informasi perusahaan yang dikaji dan diuji
dalam pelaksanaan Audit Sistem Informasi di PT JKLM?
3. Efektifitas dari pengendalian umum (IT General Control) PT JKLM.
4. Efektifitas dari pengendalian aplikasi (IT Application Control) PT JKLM.
1.8 Sistematika Penulisan
Laporan magang ini dibagi menjadi 5 bagian (bab) disertai lampiran
sebagai pendukung laporan dengan sistematika sebagai berikut:
a) BAB 1. PENDAHULUAN
Bab ini menjelaskan latar belakang tema, latar belakang program magang,
tujuan kegiatan magang, tempat, waktu, dan pelaksanaan magang, ruang
lingkup dan sistematika penulisan laporan magang.
b) BAB 2. LANDASAN TEORI
Bab ini akan memaparkan teori-teori yang dijadikan landasan pembahasan
dan analisis atas permasalahan yang diangkat dalam laporan ini. Teori-
teori yang dimaksud mencakup pengertian sistem informasi, teori audit
sistem informasi, dan teori tentang pengendalian-pengendalian yang ada
dan diuji pada audit sistem informasi.
c) BAB 3. PROFIL PERUSAHAAN
Bab ini berisi penjelasan mengenai gambaran umum, bidang kegiatan
perusahaan, dan susunan organisasi perusahaan baik perusahaan tempat
magang maupun perusahaan klien. Bab ini terbagi menjadi dua bagian
besar yang pertama menjelaskan gambaran umum tempat magang yaitu
Kantor Akuntan Publik RSM AAJ Associates dan yang kedua menjelaskan
Audit sistem..., Sugeng Ivan, FE UI, 2013
8
Universitas Indonesia
PT. JKLM sebagai pihak klien.
d) BAB 4. PEMBAHASAN
Bab ini membahas aspek-aspek yang menjadi bagian audit sistem
informasi dan metodologi yang digunakan oleh Kantor Akuntan Publik
RSM AAJ Associates dalam melakukan audit sistem informasi, prosedur
pelaksanaan audit sistem informasi, dan review serta evaluasi atas hasil
audit sistem informasi tersebut.
e) BAB 5. KESIMPULAN & SARAN
Bab ini berisi kesimpulan dari analisis terhadap perusahaan dan aktivitas
magang. Saran berisi usulan dan masukan yang menjadi fokus perhatian
penulis kepada klien, kantor akuntan publik, dan departemen akuntansi
FEUI.
Audit sistem..., Sugeng Ivan, FE UI, 2013
9 Universitas Indonesia
BAB II
LANDASAN TEORI
2.1 Teknologi Informasi
Teknologi Informasi (TI) menurut Sawyer (2007) adalah teknologi apa pun
yang membantu manusia dalam membuat, mengubah, menyimpan,
mengomunikasikan dan/atau menyebarkan informasi. TI menyatukan komputasi
dan komunikasi berkecepatan tinggi untuk data, suara, dan video. Sedangkan
dalam konteks bisnis menurut “Information Technology Association of America”,
seperti yang dikutip oleh Dennis & Michael (1985), teknologi informasi adalah
pengolahan, penyimpanan dan penyebaran vokal, informasi bergambar, teks dan
numerik oleh mikroelektronika berbasis kombinasi komputasi dan
telekomunikasi. Jadi bisa disimpulkan bahwa teknologi informasi adalah
kombinasi teknologi komputer dan telekomunikasi yang digunakan untuk
mengolah informasi. Informasi sendiri mengandung suatu arti yaitu data yang
telah diolah ke dalam suatu bentuk yang lebih memiliki arti dan dapat digunakan
(Turban, Rainer, & Porter, 2005).
Peranan dan kegunaan Teknologi dalam dunia bisnis adalah untuk
melakukan otomatisasi proses bisnis yang dilakukan perusahaan, pengolahan data
dan informasi untuk pengambilan keputusan, menghubungkan antara perusahaan
dengan konsumen serta supplier, dan menggunakannya sebagai alat untuk
meningkatkan efektifitas perusahaan. Semakin berkembangnya teknologi
komputer dan telekomunikasi menyebabkan Teknologi Informasi menjadi bagian
yang tidak terpisahkan bagi perusahaan sekarang ini.
2.2 Sistem Informasi
Sistem menurut McLeod dan Schell (2001) adalah sekumpulan elemen,
baik itu proses, teknologi, atau aktivitas manusia, yang terintegrasi dan berkerja
bersama-sama untuk mencapai tujuan atau obyektif yang sama. Sementara itu
Audit sistem..., Sugeng Ivan, FE UI, 2013
10
Universitas Indonesia
informasi adalah data yang telah diolah ke dalam suatu bentuk yang lebih
memiliki arti dan dapat digunakan (Turban, Rainer, & Porter, 2005). Sehingga
secara umum bisa dikatakan bahwa sistem informasi adalah sekumpulan teknologi
informasi, proses, dan aktivitas manusia yang berkerja atau digunakan secara
bersama-sama untuk mengolah data menjadi suatu bentuk yang lebih memilik arti
dan dapat digunakan. Dalam konteks bisnis, sistem informasi mengalami
perluasan definisi dimana tidak hanya merujuk pada penggunaan organisasi
teknologi informasi namun juga merujuk pada bagaimana cara orang
memanfaatkan dan menggunakannya untuk mendukung proses bisnis perusahaan
(Kroenke, 2008).
Sistem Informasi sendiri menurut Turban, Rainer, & Porter (2005) terdiri
dari beberapa komponen, yaitu :
f) Perangkat keras (hardware) adalah serangkaian peralatan nyata/keras
seperti prosesor, komputer, server, router, hard disk, monitor, keyboard
dan printer. Peralatan-peralatan ini berfungsi sebagai perangkat yang
membuat, menyimpan, mengubah, menyebarkan, dan menampilkan
informasi.
g) Perangkat lunak (software) adalah sekumpulan program komputer yang
digunakan pada perangkat keras untuk mengolah data dan informasi.
h) Basis data (database) adalah sekumpulan arsip (file), tabel, dan relasi yang
saling berkaitan dan menyimpan data serta berbagai hubungan di
antaranya.
i) Jaringan (network) adalah sistem koneksi (dengan kabel atau tanpa kabel)
yang menghubungkan antara komputer satu dengan komputer yang lain
dan sistem yang satu dengan sistem yang lain.
j) Prosedur adalah serangkaian langkah dan instruksi mengenai bagaimana
menggabungkan berbagai komponen di atas agar dapat memproses
informasi dan menciptakan hasil yang diinginkan.
k) Manusia adalah berbagai individu yang bekerja dengan sistem informasi,
berinteraksi dengannya atau menggunakan hasilnya.
Audit sistem..., Sugeng Ivan, FE UI, 2013
11
Universitas Indonesia
2.3 Resiko Teknologi Informasi
Resiko adalah kemungkinan adanya peluang untuk sebuah hasil yang
negatif atau buruk. Resiko bisa dibilang kebalikan dari sebuah peluang. Setiap
perusahaan pasti akan memiliki resiko. Tidak terkecuali teknologi informasi yang
dimiliki perusahaan. Resiko teknologi informasi adalah resiko yang ada yang
timbul karena teknologi informasi yang digunakan pada sebuah perusahaan.
Resiko teknologi informasi sangatlah nyata dan menjadi penting untuk
dipertimbangkan karena besarnya investasi yang dikeluarkan untuk membuat dan
mengelolanya.
Resiko teknologi informasi biasanya ada karena adanya ancaman / threat
dan kerawanan atau vulnerability. Ancaman atau threat menurut National Institute
of Standards and Technology adalah potensi sebuah sumber ancaman untuk
mengeksekusi atau memanfaatkan kerawanan atau vunerability dari teknologi
informasi perusahaan. Sumber ancaman atau threat source disini bisa dari
berbagai macam sumber bisa eksternal seperti peretas atau internal seperti
pegawai sendiri. Sedangkan kerawanan atau vulnerability menurut National
Institute of Standards and Technology adalah kesalahan atau kelemahan pada
prosedur keamanan sistem, desain sistem, implementasi sistem, atau pengendalian
internal teknolog informasi perusahaan yang bisa digunakan untuk
mengeksploitasi teknologi informasi perusahaan. Mengingat banyaknya resiko
teknologi informasi yang ada saat ini, sangatlah penting bagi perusahaan untuk
melakukan pengelolaan resiko atau risk management dan menerapkan kontrol
atau pengendalian sistem informasi dan audit sistem informasi untuk memitigasi
resiko yang ada.
2.4 Audit Sistem Informasi
Saat ini sistem informasi perusahaan semakin besar, kompleks, dan
terintegrasi. Perusahaan juga semakin tergantungnya terhadap teknologi
informasi untuk mengelola informasi dan menjalankan proses bisnis. Kedua hal
itu mengakibatkan besarnya investasi IT dan munculnya berbagai macam resiko
Audit sistem..., Sugeng Ivan, FE UI, 2013
12
Universitas Indonesia
baru karena ketergantungan perusahaan tersebut. Sehingga menyebabkan
dibutuhkannya kontrol atas sistem informasi perusahaan dalam rangka mengelola
sumber daya dan resiko dari IT tersebut. Untuk mengevaluasi kontrol tersebut
apakah sudah efektif atau tidak harus dilakukan audit sistem informasi. Audit
sistem informasi ini juga bermanfaat bagi audit keuangan perusahan dimana audit
sistem informasi dapat mencangkup seluruh resiko dan kontrol dari IT sehingga
bisa memperkecil cangkupan audit dari Audit keuangan perusahaan.
Bagian ini akan menjelaskan pengertian audit sistem informasi, ruang
lingkup audit sistem informasi, tujuan audit sistem informasi, dan jenis-jenis
pengendalian yang ada di audit sistem informasi.
2.4.1 Pengeritan Audit Sistem Informasi
Audit adalah pengakumulasian dan pengevaluasian bukti atas suatu
informasi untuk menyimpulkan dan melaporkan tingkat korespondensi antara
informasi tersebut dengan kriteria yang telah ditentukan (Arens, Beasley, Elder,
2008). Sederhananya audit sistem informasi adalah audit atas sistem informasi
perusahaan. Namun secara lebih mendetail, Audit sistem informasi adalah sebuah
proses pengumpulan bukti dan pengevaluasiannya yang memungkinkan untuk
memutuskan apakah sebuah sistem informasi telah memiliki kontrol yang
memadai, menjamin keamanan aset-aset, integritas data, dan juga menjamin
penggunaan sumber daya yang rasional serta secara efektif membantu pencapaian
tujuan organisasi perusahaan (Weber, 1999).
2.4.2 Ruang Lingkup Pekerjaan Audit Sistem Informasi
Orang yang melakukan Audit Sistem Informasi disebut dengan Auditor
Sistem Informasi. Sebelum melakukan audit sistem informasi, Auditor Sistem
Informasi harus mengetahui dan paham atas IT Governance dari perusahaan yang
akan diaudit. Karena Auditor Sistem Informasi memiliki lingkup kerja untuk
menjamin IT Governance dan untuk melakukannya mereka melakukan
assessment terhadap resiko IT yang ada dan mengimplementasi atau memonitor
Audit sistem..., Sugeng Ivan, FE UI, 2013
13
Universitas Indonesia
kontrol-kontrol atas resiko tersebut (Bagranof, Briyant, Hunton, 2003).
Weber (1999) dan Bagranof, Briyant, Hunton (2003) menyimpulkan
bahwa audit sistem informasi bisa menjadi bagian dari audit eksternal seperti
audit keuangan atau menjadi bagian dari audit internal seperti audit operasional.
Ketika menjadi bagian dari audit eksternal seperti audit keuangan, audit sistem
informasi mengidentifikasi resiko dan kontrol atas sistem keuangan perusahaan
dan sistem lain yang berkaitan erat dengan sistem keuangan perusahaan lalu
melakukan test of control atas kontrol-kontrol yang ada pada sistem tersebut. Jika
audit sistem informasi menjadi bagian dari audit internal seperti audit operasional,
maka audit sistem informasi akan melakukan review dan evaluasi atas sistem
informasi perusahan dalam konteks ekonomis, efisiensi, dan efektifitasnya.
Sedangkan hal-hal apa saja yang dilakukan oleh Auditor Sistem Informasi
ketika melakukan audit sistem informasi, Bagranof, Briyant, & Hunton (2003)
mengatakan bahwa Auditor Sistem Informasi dalam melakukan audit sistem
informasi menerapkan hal-hal berikut ini :
f) Mengevaluasi dan menilai pengendalian suatu aplikasi khusus. Misalnya
aplikasi seperti e-business, perencanaan sumber daya perusahaan, atau
perangkat lunak lain.
g) Memberikan keyakinan atas proses tertentu. Contohnya berupa agreed
upon procedure, di mana klien dan auditor TI menentukan cakupan audit
sistem informasi yang diinginkan dan tingkat keyakinan yang dapat
diberikan.
h) Memberikan keyakinan kepada pihak ketiga. Auditor TI mengevaluasi
risiko dan kontrol atas sistem informasi pihak klien dan memberikan
keyakinan kepada pihak lain yang membutuhkan informasi tersebut.
i) Pengujian akan adanya risiko pembobolan data. Pekerjaan ini melibatkan
proses untuk mencoba mendapatkan akses ke sumber daya informasi
untuk menemukan kelemahan dari sistem keamanan.
j) Pendukung audit keuangan. Pekerjaan ini mencakup evaluasi mengenai
risiko dan pengendalian teknologi informasi yang dapat mempengaruhi
Audit sistem..., Sugeng Ivan, FE UI, 2013
14
Universitas Indonesia
keandalan sistem pelaporan keuangan.
k) Menyelidiki penipuan dalam bidang teknologi informasi. Auditor TI dapat
membantu untuk melakukan investigasi dalam penyelidikan penipuan
yang menggunakan teknologi informasi.
2.4.3 Tujuan Audit Sistem Informasi
Audit sistem informasi, baik yang menjadi bagian dari audit eksternal atau
audit internal, memiliki tujuan untuk memberikan assurance atau ketenangan
bahwa sistem informasi perusahaan yang ada sudah sejalan dengan IT
Governance yang telah dibuat. Namun secara spesifik Weber (1999) mengatakan
bahwa tujuan dari audit sistem informasi ada empat, yaitu :
1. Mengamankan Aset
Aset yang dimaksud disini adalah aset sistem informasi perusahaan yang
berupa perangkat keras, perangkat lunak, fasilitas pendukung, sumber
daya, data, perlengkapan, dan peralatan teknologi informasi lainnya.
Semakin besar ketergantungan perusahaan terhadap sistem informasinya,
pengendalian atas berbagai aset sistem informasi tersebut menjadi semakin
penting.
2. Memelihara Integritas Data
Integritas data adalah keandalan, kelengkapan, kebenaran, dan keakuratan
data. Integritas data yang buruk atau bahkan tidak ada bisa merugikan
perusahaan dikarenakan data mudah hilang, rusak, atau dimanipulasi
sehingga bisa merugikan perusahaan secara finansial dan mengurangi
kompentensi perusahaan. Audit sistem informasi bertujuan untuk menjaga
integritas data ini.
3. Meningkatkan Efektivitas
Audit sistem informasi memiliki salah satu tujuan untuk memastikan
bahwa sistem informasi yang sudah ada telah efektif implementasinya.
Apakah sudah bisa secara efektif mendukung proses bisnis perusahaan
dalam mencapai tujuannya.
Audit sistem..., Sugeng Ivan, FE UI, 2013
15
Universitas Indonesia
4. Meningkatkan Efisiensi
Penggunaan sumber daya sistem informasi dalam kegiatan bisnis
perusahaan untuk tujuannya dapat menjadi tolak ukur keberhasilan suatu
sistem informasi dalam kegiatan operasional perusahaan. Sistem informasi
dikatakan efisien jika dengan penggunaan sumber daya yang minimal bisa
memberikan hasil atau output yang dibutuhkan oleh perusahaan dalam
melakukan kegaitan bisnisnya untuk mencapai tujuan perusahaan.
2.4.4 Audit Sistem Informasi Berbasiskan Resiko (Risk Based Information
System Audit)
Salah satu tantangan yang dihadapai oleh auditor sekarang adalah apa yang
harus diaudit. Semakin terintegrasinya sistem informasi dan proses bisnis dan
semakin kompleksnya sistem yang digunakan, lalu digabung dengan terbatasnya
sumber daya auditor serta semakin cepatnya fase bisnis, membuat melakukan
audit keseluruhan proses mustahil untuk dilakukan. Salah satu teknik yang
digunakan auditor untuk mengalokasikan sumber daya yang terbatas yang mereka
miliki adalah dengan menggukan pendekatan audit sistem informasi berbasiskan
resiko.
Audit sistem informasi berbasiskan resiko ini pada dasarnya adalah
menentukan apa yang harus diaudit berdasarkan resiko material misstatement atau
error yang ada dari tiap area sistem informasi perusahaan dimana area yang
memiliki resiko tinggi akan menjadi prioritas audit sementara yang memiliki
resiko rendah akan memiliki prioritas yang lebih rendah atau bahkan tidak perlu
untuk diaudit. Menurut Frasser (2011) dengan audit berbasiskan resiko audit yang
dilaksanakan bisa secara efektif dan efisien fokus pada area yang memiliki resiko-
resiko yang tinggi. Sumber daya audit bisa dialokasikan secara efektif.
Audit sistem..., Sugeng Ivan, FE UI, 2013
16
Universitas Indonesia
2.4.4.1 Resiko Yang Dipertimbangkan
Dalam melakukan audit sistem informasi berbasiskan resiko ada tiga jenis
resiko yang harus diperhitungkan :
1. Inherent Risk
Inherent Risk menurut Bagranof, Briyant, & Hunton (2003) adalah resiko
yang ada karena sifat dan kondisi dari aktivitas dan lingkungan operasi
perusahaan. Resiko ini sudah pasti ada dan tidak bisa dihindari. Cascarino
(2007) menyatakan dalam mengevaluasi inherent risk, auditor harus
mempertimbangkan tipe dan sifat resiko serta faktor apa yang
mengindikasikan resiko itu ada. Untuk mencapai ini Cascarino (2007)
berpendapat bahwa auditor harus paham dan familiar akan lingkungan
dimana perusahaan beroperasi.
2. Control Risk
Menurut Bagranof, Briyant, & Hunton (2003), Control Risk adalah
kemungkinan pengendalian internal sebuah perusahaan akan gagal dan
tidak efektif. Secara umum Cascarino (2007) mengatakan bahwa semakin
efektif sebuah pengendalian disebuah perusahaan control risk akan
semakin kecil dan secara langsung akan membantu dalam memitigasi
Inherent risk perusahaan. Jadi yang menjadi kunci di sini adalah
bagiamana auditor mengidentifikasi pengendalian yang ada di perusahaan
dan mengukur keefektifan dari pengendalian tersebut.
3. Audit Risk
Audit Risk adalah resiko dimana audit yang tidak dilakukan gagal untuk
menemukan adanya material error, fraud, atau material misstatement yang
ada. Resiko ini adalah gabungan dari tiga jenis resiko, Inherent Risk,
Control Risk, dan Detection Risk. Audit Risk selalu ada dalam setiap jenis
audit.
Audit sistem..., Sugeng Ivan, FE UI, 2013
17
Universitas Indonesia
2.4.4.2 Siklus Audit Sistem Informasi Berbasiskan Resiko
Siklus Audit sistem informasi berbasiskan resiko sama dengan audit sistem
informasi pada umumnya. Bedanya, menurut Bagranof, Briyant, & Hunton
(2003), adalah adanya proses penilaian resiko atau risk assessment. Pada gambar
2.1 bisa dilihat bagaimana siklus audit sistem informasi berbasiskan resiko.
Gambar 2.1 Siklus Audit Sistem Informasi
Sumber: “Core Concepts of Information System Auditing” oleh Bagranof,
Briyant, & Hunton (2003)
1. Planning
Pada tahap planning auditor akan mencoba memahami klien, proses bisnis
klien, industry klien, lingkungan tempat klien beroperasi, dan juga
membuat rencana atas audit. Termasuk bagaimana perencanaan staff dan
bagaimana secara umum audit dilakukan. Pada tahap ini cangkupan audit
dan juga obyektif dari audit juga ditentukan di sini termasuk tingkat
materialitas
2. Risk Assessment
Dalam audit sistem informasi berbasiskan resiko, auditor harus bisa
mengidentifikasi dan menilai resiko dari tiap-tiap area sistem informasi
Audit sistem..., Sugeng Ivan, FE UI, 2013
18
Universitas Indonesia
perusahaan. Auditor harus melakukan sebuah Risk Assessment dan
menentukan batasan resiko itu bisa diterima atau tidak. Di risk assessment
ini auditor mencoba menjawab “hal apa saja yang bisa salah?” atau “what
can go wrong?” (Bagranof, Briyant, & Hunton (2003). Hasil dari risk
assessment ini nantinya akan dijadikan dasar dalam pembuatan program
audit (Audit Program). Sehingga sangatlah penting bagi auditor untuk tahu
dan paham atas auditee, lingkungan dimana perusahaan beroperasi dan
sifat dan kondiri dari bisnis yang digeluti perusahaan.
3. Prepare Audit Program
Tidak ada program adit yang standard untuk audit sistem informasi
dikarenakan audit sistem informasi harus disesuaikan dengan kondisi
infrastruktur teknologi informasi, perangkat keras, perangkat lunak,
struktur jaringan, dan kondisi spesifik lainnya dari klien. Tapi secara
umum menurut Bagranof, Briyant, & Hunton (2003), audit program
mencantumkan beberapa komponen berikut :
Scope of the Audit
Audit Objectives
Audit Procedures
Dan detail lain seperti dokumentasi dan pelaporan
4. Gathering Evidence
Ini adalah proses audit field work dimana auditor akan terjun ke lapangan
dan mengumpulkan bukti baik itu hasil wawancara, observasi,
pemeriksaan, dan hasil analisis data. Tujuan dari proses ini adalah untuk
mengumpulkan bukti yang cukup, handal, dan relevan untuk mencapai
obyektif dari audit. Pada audit sistem informasi ini, metode pengumpulan
bukti tergantung pada jenis pengujian yang dilakukan selama proses audit
sistem informasi.
5. Forming Conclusions
Setelah melakukan field work dan menyelesaikan semua kajian dan
pengujian dan mendapatkan bukti yang cukup. Maka langkah berikutnya
Audit sistem..., Sugeng Ivan, FE UI, 2013
19
Universitas Indonesia
auditor akan menganalisis bukti dan menyimpulkan atau membentuk
kesimpulan apakah obyektif audit sudah tercapai dan prosedur yang
dilakukan sudah cukup untuk membuat opini audit.
6. Deliver Audit Opinion
Sama seperti program audit. TIdak ada juga standard dalam bagaimana
bentuk opini dari audit sistem informasi. Namun pada umumnya apabila
audit sistem informasi merupakan bagian dari audit laporan keuangan,
maka bentuk opininya adalah dalam bentuk Management Letter.
7. Follow Up
Ini adalah fase terakhir dimana setelah auditor memberikan hasil dan opini
dari audit sistem informasi, auditor akan mem-follow up apakah isu-isu
yang ditemukan sudah dibetulkan dan saran-saran dari auditor sudah
dilakukan.
2.5 Pengendalian Sistem Informasi
Weber (1999) menyatakan bahwa obyek dalam proses audit/review sistem
informasi adalah kontrol atau pengendalian. Pengendalian sendiri ia definisikan
sebagai sebuah sistem yang digunakan untuk mencegah (prevents), mendeteksi
(detects), atau mengkoreksi kejadian yang tidak dibenarkan (unlawful events).
Pengendalian juga merupakan salah satu bentuk pengelolaan resiko sistem
informasi yang ada di perusahaan. Pengendalian sistem informasi dibagi menjadi
dua juga, yaitu :
1. Pengendalian umum IT (IT General Control)
2. Pengendalian aplikasi (Application Control).
Pengendalian sistem informasi ini berfungsi untuk mengendalikan, dan mengelola
resiko yang ada pada suatu sistem informasi sehingga sistem informasi bisa
berfungsi secara efektif dalam menjalankan proses bisnis perusahaan.
Audit sistem..., Sugeng Ivan, FE UI, 2013
20
Universitas Indonesia
2.5.1 Pengendalian Umum Sistem Informasi (IT General Control)
Pengendalian Umum Sistem Inforamsi atau IT General Control (ITGC)
adalah sebuah pengendalian menyeluruh yang mengendalikan pada level
lingkungan dimana sistem informasi perusahaan dikembangkan, dikelola, dan
dioperasikan, sehingga berlaku untuk seluruh aplikasi dan komponen dari sistem
informasi tersebut (ISACA, 2012). Tujuan dari pengendalian umum adalah untuk
memastikan pengembangan aplikasi yang tepat dan implementasinya, serta
integritas program, file data, dan operasi komputer.
Review atas pengendalian umum sistem informasi memiliki tujuan untuk
mendapatkan kesan keseluruhan kontrol yang ada di lingkungan tempat sistem
informasi berada, hal ini meliputi :
1. Struktur administratif dan organisasi dari fungsi-fungsi sistem informasi.
2. Keberadaan kebijakan dan prosedur dalam operasi sehari-hari
3. Ketersediaan staff dan kemampuannya.
4. Lingkungan pengendalian (Control Environment) secara keseluruhan.
Hal ini penting untuk dipahami oleh Auditor Sistem Informasi karena lingungan
pengendalian menjadi basis pengendalian-pengendalian lain yang ada di
dalamnya. Sedangkan pengendalian umum sistem informasi bisa dibagi menjadi
tiga bagian :
1. IT Operation
Adalah kebijakan, standard aturan, dan prosedur yang mengatur operasi
dan administrasi sistem informasi perusahaan seperti kebijakan pemisahan
fungsi- fungsi dalam unit pengolahan data dan aplikasi serta kebijakan
terhadap proses back-up dan recovery.
2. Physical Security
Adalah pengendalian akses ke perangkat secara fisik, seperti adanya
sistem access code pintu masuk data center, pemasangan kunci untuk
ruang komputer, dan sebagainya.
3. Logical Security
Audit sistem..., Sugeng Ivan, FE UI, 2013
21
Universitas Indonesia
Mencakup pengendalin terhadap akses logis ke perangkat, dengan cara
seperti penggunaan kata kunci (password), enkripsi (encryption) dan
lainnya.
4. Change Management
Adalah semua kebijakan, standard peraturan, dan prosedur tentang
bagaimana perubahan dan penambahan komponen-komponen sistem
informasi dilakukan.
2.5.2 Pengendalian Aplikasi Sistem Informasi (IT Application Control)
Pengendalian aplikasi adalah pengendalian yang ditujukan pada suatu
aplikasi yang bertujuan supaya aplikasi tersebut bisa menjaga aset, integritas data,
memproses data secara akurat, dan dapat diandalkan sehingga bisa mencapai
obyektif yang ditentukan. Pengendalian ini bersifat spesifik yang berarti suatu
aplikasi bisa memiliki pengendalian yang berbeda dengan aplikasi lainnya
tergantung pada pengguna aplikasi (user) dan kondisi dimana tiap aplikasi
digunakan. Pengendalian aplikasi bisa dibagi menjadi beberapa bagian, yaitu :
1. Input Control
Pengendalian input adalah pengendalian yang mencangkup langkah-
langkah pemrosesan mulai dari asal data, pencatatan dan pemasukan data
ke dalam aplikasi. Pengendalian input memiliki resiko paling besar
sehingga menjadi pengendalian yang paling penting. Tujuan pengendalian
input ialah untuk menjamin data yang dimasukan ke dalam aplikasi berasal
dari user yang tepat, telah lengkap, akurat, dan sah.
2. Processing Control
Pengendalian proses memastikan kehandalan dari setiap mekanisme
pemrosesan data. Pengendalian ini menjamin bahwa seluruh data yang
telah dimasukan telah diproses secara benar dan akurat. Keyakinan yang
dihasilkan dari pengendalian proses haruslah sesuai dengan tujuan aplikasi
yang dimaksud.
3. Output Control
Pengendalian keluaran adalah pengendalian terakhir dalam pengendalian aplikasi.
Audit sistem..., Sugeng Ivan, FE UI, 2013
22
Universitas Indonesia
Pengendalian ini bertujuan untuk menjamin bahwa keluaran sudah memiliki
intergritas tinggi, keluaran telah tepat waktu, dan hanya digunakan oleh pihak
yang berwenang.
2.6 Peran Auditor Sistem Informasi Di Audit Keuangan
Bagranof, Briyant, & Hunton (2003) mengatakan bahwa Auditor Sistem
Informasi harus berkerja bersama-sama dengan auditor keuangan jika audit sistem
informasi dibutuhkan dalam pelaksanaan audit keuangan. Lebih lanjut lagi
Bagranof, Briyant, & Hunton (2003) mengidentifikasi dan merekomendasikan
aktivitas-aktivitas dari Auditor Sistem Informasi pada setiap fase audit. Aktivitas-
aktivitas ini adalah :
1. Pada fase awal, understanding client business, Auditor Sistem Informasi
disarankan untuk mengevaluasi kompleksitas dari sistem informasi klien.
2. Pada saat membuat program audit, Auditor Sistem Informasi berkerja
sama dengan auditor keuangan untuk membuat program audit.
3. Ketika sedang melakukan test of control sistem informasi dari klien,
Auditor Sistem Informasi dan auditor keuangan bergabung dan
mengevaluasi bersama.
4. Pada saat memastikan tingkat keandalan dari pengendalian internal,
Auditor Sistem Informasi dan auditor keuangan harus bekerja bersama-
sama.
5. Apabila dilakukan substantive testing, maka Auditor Sistem Informasi
mungkin perlu untuk melakukan data analisis atau Computer Aided Audit
Technique untuk membantu auditor keuangan.
6. Ketika Auditor keuangan melakukan review kerja dan membuat laporan
audit, Auditor Sistem Informasi melakukan review lalu membuat laporan
ke manajemen dengan rekomendasi yang berkaitan dengan sistem
informasi klien.
7. Ketika melakukan follow-up Auditor Sistem Informasi berkerja bersama
dengan manajemen dan auditor keuangan.
Audit sistem..., Sugeng Ivan, FE UI, 2013
23
Universitas Indonesia
Dari rekomendasi diatas bisa disimpulkan bahwa ketika membutuhan dukungan
audit sistem informasi, Auditor Sistem Informasi bisa harus berkerja bersama-
sama dengan auditor keuangan dalam setiap fase audit. Namun seberapa besar
keterlibatan Auditor Sistem Informasi tergantung dari seberapa besar kebutuhan
audit sistem informasi yang diminta oleh auditor keuangan.
Audit sistem..., Sugeng Ivan, FE UI, 2013
24 Universitas Indonesia
BAB III
PROFIL PERUSAHAAN
3.1 Profil Kantor Akuntan Publik RSM AAJ Associates
Amir Abadi Jusuf mendirikan RSM AAJ Associates di Jakarta pada tahun
1985 dan mulai dari tahun 1992 kantor akuntan publik ini telah berafiliasi dengan
RSM International. RSM AAJ Associates didirikan dengan izin usaha sebagai
kantor akuntan publik dari Menteri Keuangan Republik Indonesia Nomor: KEP-
269/KM.6/2004.
RSM AAJ Associates merupakan firma internasional yang menyediakan
berbagai layanan jasa dengan kelas terbaik. Tujuan utama dari RSM AAJ
Associates adalah memberikan jasa berkualitas terbaik dan dapat memberikan
nilai tambah kepada seluruh klien. Saaat ini RSM AAJ Associates memiliki kantor
yang berlokasi di Jakarta dan Surabaya.
RSM International merupakan sebuah jaringan firma audit dan konsultasi
yang menempati posisi keenam terbesar di dunia. Didukung oleh lebih dari 32.000
profesional di 736 kantor yang tersebar di lebih dari 76 negara. Dengan bekerja
sama dengan RSM International, RSM AAJ Associates ingin terus memberikan
jasa professional terbaik yang mencakup berbagai area.
3.1.1 Bidang Jasa yang Disediakan KAP RSM AAJ Associates
RSM AAJ Associates menyediakan beberapa jenis jasa (service line) yang
dapat membantu proses bisnis perusahaan. Jasa yang disediakan oleh RSM AAJ
antara lain adalah sebagai berikut:
1. Audit & Assurance Service
Jasa ini merupakan jasa utama yang diberikan oleh KAP. Beberapa jenis
jasa yang diberikan dalam kategori Audit & Assurace Service antara lain:
General Audit
Special Audit
Review & Compilation
Audit sistem..., Sugeng Ivan, FE UI, 2013
25
Universitas Indonesia
Attestation Engagement
Financial Due Diligence
2. Tax Advisory Service
Jasa ini mencakup jasa konsultasi perpajakan serta kepatuhan terhadap
peraturan perpajakan. Jasa yang termasuk dalam Tax Advisory Service
antara lain :
Tax Consulting & Compliance
Accounting, Payroll, & Administration Services
Business Establishment Service & Corporate Secretarial
3. Transaction Support & Capital Market Services
Jasa ini mencakup jasa solusi bisnis, pre-IPO advisory, valuation capital
market, dan jasa lainnya. Jasa yang termasuk dalam kategori ini adalah :
Transaction Analysis
Business Solutions
Divestment, Merger, & Acquisition
Business Turnaround
Fund Arranger & Valuation
4. Risk & Internal Audit Advisory Services
Jasa kategori ini adalah jasa konsultasi perusahaan dan assurance yang
diluar dari jasa keuangan. Jasa yang masuk dalam kategori ini adalah :
Corporate Governance
Internal Audit
Risk Management
Information System Audit
Performance Improvement / Operational Audit
System & Procedures Development
5. International Financial Reporting Standards (IFRS) Services
Adalah jasa yang berkaitan dengan implementasi IFRS di sebuah
perusahaan. Jasa yang termasuk dalam kategori ini adalah :
IFRS Conversion Project & Due Diligence in IFRS Environment
Audit sistem..., Sugeng Ivan, FE UI, 2013
26
Universitas Indonesia
Valuations Relating to Purchase Price Allocation Process
Shared-Based Payments
Audit on IFRS Financial Statement
3.1.2 Struktur Organisasi KAP RSM AAJ Associates
Board of Partners merupakan organ yang memimpin RSM AAJ
Associates. Board of Partner dipimpin oleh Chief Executive Partner (CEP) yang
memiliki peran dan tanggung jawab untuk menentukan tujuan dan strategi
perusahaan, mengarahkan semua sumber daya untuk pencapaian tujuan, dan
memantau pelaksanaan rencana dan program perusahaan.
RSM AAJ Associates memiliki delapan divisi. Setiap divisi merupakan
unit operasional yang menawarkan bidang jasa tertentu. Setiap divisi dipimpin
oleh Division Chief Operating Officer (DCOO) dan bertanggungjawab kepada
Managing Partner yang sesuai dengan bidang jasanya. Divisi yang ada di KAP
RSM AAJ Associates adalah :
1. Divisi Blue yang menyediakan jasa Audit & Assurance dan IFRS
2. Divisi Green yang menyediakan jasa Audit & Assurance dan IFRS
3. Divisi Red yang menyediakan jasa Audit & Assurance dan IFRS
4. Divisi Tosca yang menyediakan jasa Audit & Assurance dan IFRS
5. Divisi White yang memberikan jasa Risk & Internal Audit
6. Divisi Orange yang memberikan jasa Transaction Support & Capital
Market
7. Divisi Purple yang memberikan jasa Tax Corporate Service
8. Dan Divisi Brown yang ada di Surabaya yang memberikan semua jenis
jasa yang ditawarkan oleh KAP.
Selain divisi, RSM AAJ Associates juga memiliki unit-unit pendukung
lainnnya dalam mendukung perusahaan melakukan kegiatan operasionalnya. Unit-
unit tersebut antara lain Finance & Administration Director, Marketing Director,
dan Technical & Training Function yang bertanggung jawab kepada Chief
Executive Partner serta Controller, IT Admin Officer, Chief Admin Officer, dan
Human Asset Development Officer yang bertanggungjawab kepada Finance and
Audit sistem..., Sugeng Ivan, FE UI, 2013
27
Universitas Indonesia
Administration Director.
RSM AAJ Associates dalam memastikan bahwa kebijakan-kebijakan RSM
telah dipatuhi, dibantu oleh Partner in Charge yang menangani tiga area penting
yaitu Ethics & Independence, Continuing Professional Development (CPD), dan
Personnel. Keseluruhan Struktur organisasi RSM AAJ Associates dapat dilihat
pada gambar 3.1.
Gambar 3.1 : Struktruk Organisasi Kantor Akuntan Publik RSM AAJ Associates
Sumber : RSM AAJ Associates Employee Handbook 2012
3.2 Profil PT. JKLM
Untuk mendukung gerak pertumbuhan ekonomi, Indonesia membutuhkan
jaringan jalan yang handal. Melalui Peraturan Pemerintah No. 04 Tahun 1978,
pada tanggal 01 Maret 1978 Pemerintah mendirikan PT JKLM. Tugas utama PT
JKLM adalah merencanakan, membangun, mengoperasikan dan memelihara jalan
tol serta sarana kelengkapannya agar jalan tol dapat berfungsi sebagai jalan bebas
hambatan yang memberikan manfaat lebih tinggi daripada jalan umum bukan tol.
Pada awal berdirinya, Perseroan berperan tidak hanya sebagai operator tetapi
memikul tanggung jawab sebagai otoritas jalan tol di Indonesia. Hingga tahun
1987 PT JKLM adalah satu-satunya penyelenggara jalan tol di Indonesia yang
pengembangannya dibiayai Pemerintah dengan dana berasal dari pinjaman luar
negeri serta penerbitan obligasi PT JKLM dan sebagai jalan tol pertama di
Audit sistem..., Sugeng Ivan, FE UI, 2013
28
Universitas Indonesia
Indonesia yang dioperasikan oleh Perseroan, sebagaimana terlihat pada gambar
3.2, Jalan Tol Jagorawi (Jakarta-Bogor-Ciawi) merupakan tonggak sejarah bagi
perkembangan industri jalan tol di Tanah Air yang mulai dioperasikan sejak tahun
1978.
Gambar 3.2 Sejarah Pengoperasian Jalan Tol PT JKLM
Sumber : Website PT JKLM
Pada akhir dasawarsa tahun 80-an Pemerintah Indonesia mulai
mengikutsertakan pihak swasta untuk berpartisipasi dalam pembangunan jalan tol
melalui mekanisme Build, Operate and Transfer (BOT). Pada dasawarsa tahun
1990-an Perseroan lebih berperan sebagai lembaga otoritas yang memfasilitasi
investor-investor swasta yang sebagian besar ternyata gagal mewujudkan
proyeknya. Beberapa jalan tol yang diambil alih Perseroan antara lain adalah
JORR dan Cipularang.
Dengan terbitnya Undang Undang No. 38 tahun 2004 tentang Jalan yang
menggantikan Undang Undang No. 13 tahun 1980 serta terbitnya Peraturan
Pemerintah No. 15 yang mengatur lebih spesifik tentang jalan tol terjadi
perubahan mekanisme bisnis jalan tol diantaranya adalah dibentuknya Badan
Pengatur Jalan Tol (BPJT) sebagai regulator industri jalan tol di Indonesia, serta
penetapan tarif tol oleh Menteri Pekerjaan Umum dengan penyesuaian setiap dua
Audit sistem..., Sugeng Ivan, FE UI, 2013
29
Universitas Indonesia
tahun. Dengan demikian peran otorisator dikembalikan dari Perseroan kepada
Pemerintah. Sebagai konsekuensinya, Perseroan menjalankan fungsi sepenuhnya
sebagai sebuah perusahaan pengembang dan operator jalan tol yang akan
mendapatkan ijin penyelenggaraan tol dari Pemerintah. Sebagai perusahaan
infrastruktur penyediaan jalan tol keberadaan PT JKLM sangat dibutuhkan oleh
masyarakat luas. Pertumbuhan penjualan kendaraan yang tinggi serta dibijakan
otoritas pengatur jalan tol yang semakin kondusif akan membuat posisi PT JKLM
semakin kuat dalam industi jalan tol di Indonesia.
3.2.1 Bidang Usaha PT. JKLM
Pendapatan utama perusahaan berasal dari volume lalu lintas yang
melewati Jalan Tol yang dioperasikan. 48 % jalan tol yang dimiliki PT JKLM
berlokasi didaerah Jabotabek yang mempunyai volume lalu lintas yang tinggi dan
dikota-kota besar di daerah Jawa dan Sumatra yang mempunyai populasi
penduduk yang padat. Trafic volume akan terus bertambah seiring dengan
terselesaikanya proyek-proyek baru yang terkoneksi dengan jalan tol yang
dioperasikan perusahaan dengan volume lalu lintas yang telah terbentuk.
Bidang usaha PT JKLM dibagi menjadi dua, bidang usaha jalan tol dan
bidang usaha non jalan tol. Usaha PT JKLM di bidang usaha jalan tol adalah
membangun dan menyediakan jasa pelayanan jalan tol. Untuk itu PT JKLM
melakukan aktifitas usaha sebagai berikut :
Melakukan investasi dengan membangun jalan tol baru.
Mengoperasikan dan memelihara jalan tol.
Mengembangkan usaha lain, seperti tempat istirahat, iklan, jaringan serat
optik dan lain-lain, untuk meningkatkan pelayanan kepada pemakai jalan
dan meningkatkan hasil usaha perusahaan.
Mengembangkan usaha lain dalam koridor jalan tol.
Saat ini PT JKLM mengelola dan mengoperasikan 13 hak pengusahaan (konsesi)
jalan tol melalui sembilan kantor cabang dan satu anak perusahaan yaitu :
1. Jalan tol Jagorawi
2. Jalan Tol Jakarta-Tangerang
Audit sistem..., Sugeng Ivan, FE UI, 2013
30
Universitas Indonesia
3. Jalan Tol Jakarta- Cikampek
4. Jalan Tol Dalam Kota Jakarta
5. Jalan Tol Prof. Dr.Ir. Sedyatmo
6. Jalan Tol Serpong-Pondok Aren (dioperasikan oleh JLJ)
7. Jalan Tol Cikampek -Purwakarta-Cileunyi
8. Jalan Tol Padalarang –Cileunyi
9. Jalan Tol Palimanan-Kanci
10. Jalan Tol Semarang
11. Jalan Tol Surabaya Gempol
12. Jalan Tol Belawan-Medan-Tanjung Morawa
13. Jalan Tol Lingkar Luar Jakarta (dioperasikan oleh JLJ)
Di bidang usaha non jalan tol, Selain dari menambah jalan tol PT JKLM juga
mengembangkan usaha lain dengan mengkapitalisasi berbagai aset-aset yang
dimiliki perusahaan diantaranya adalah :
1. Penyewaan lahan dan Utilitas, saat ini PT JKLM tengah menggarap jalur
Serat Optik dari Bandung hingga Jakarta
2. Pengembangan rest area, serta properti. Sampai akhir 2009, Perseroan
telah membangun enam tempat istirahat (rest area), empat di antaranya
berada di ruas Jakarta-Cikampek, satu di Bandung dan satu di Tangerang.
Rencananya 2010 ini Perseroan akan membangun 14 tempat istirahat lagi
di lokasi berbeda.
3. Pemasangan iklan,
4. Berbagai Jasa termasuk Jasa pengoperasian jalan tol pihak lain. Termasuk
mengelola Jembatan Tol Suramadu yang menjadi kebanggan nasional.
Selain itu PT JKLM melalui anak perusahaan Sarana Marga Bhakti Utama
telah melebarkan sayap ke berbagai bidang Jasa Lainnya seperti
trnasportasi, pembangunan dan pemeliharaan jalan umum.Tahun 2009 lalu
usaha lain-lain ini menyumbang pendapatan sebesar Rp 42,01 miliar, naik
dari Rp 31,76 milar pada tahun sebelumnya.
Khusus pengelolaan Jembatan Suramadu, Terpilihnya PT JKLM sebagai
pengelola Jembatan sepanjang 5,4 km tersebut, menambah nilai tersendiri, yaitu
Audit sistem..., Sugeng Ivan, FE UI, 2013
31
Universitas Indonesia
kepercayaan dari Pemerintah terhadap pengalaman dan kemampuan yang dimiliki
oleh perusahaan.
3.2.2 Struktur Organisasi PT. JKLM
PT JKLM adalah sebuah perusahaan milik negara yang mayoritas
kepemilikannya dimiliki oleh negara dan sisanya dimiliki oleh masyarakat umum.
Struktur organisasi PT JKLM bisa dilihat di gambar 3.3. Sedangkan seluruh
sistem informasi perusahaan dikelola oleh Biro Teknologi Informasi Perusahaan.
Struktur organisasi Biro Teknologi Informasi Perusahaan PT JKLM bisa dilihat
pada gambar 3.4.
Gambar 3.3 : Struktur Organisasi PT JKLM
Sumber : Website PT JKLM, diambil pada tahun 2013
Audit sistem..., Sugeng Ivan, FE UI, 2013
32
Universitas Indonesia
Gambar 3.4: Sturktur Organisasi Biro Teknologi Informasi Perusahaan PT JKLM
Sumber : Dokumen Internal Biru Teknologi Informasi Perusahaan PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
33 Universitas Indonesia
BAB IV
PEMBAHASAN
Pada bagian ini penulis akan menjelaskan tentang audit sistem informasi
pada PT JKLM secara lebih mendetail. Gambaran umum dari audit sistem
informasi akan dijelaskan lalu diikuti dengan penjelasan yang mendetail atas
kajian dan pengujian yang dilakukan selama audit sistem informasi berlangsung.
Untuk gambaran umum audit sistem informasi yang dilakukan penulis akan
menjelaskan beberapa hal berikut ini :
1. Fase perencanaan audit atau audit planning dari audit sistem informasi.
2. Tujuan dari audit sistem informasi
3. Ruang lingkup pemeriksaan
4. Prosedur umum audit sistem informasi
5. Pelaksanaan audit sistem informasi. Pada bagian ini akan dibahas secara
mendetail kajian dan pengujian yang dilakukan, antara lain :
a. Kajian atas infrastruktur teknologi informasi perusahaan.
b. Kajian dan pengujian atas pengendalian umum sistem informasi (IT
General Control)
c. Kajian dan pengujian atas pengendalian aplikasi sistem informasi
(IT Application Control)
Setiap bagian dari kajian dan pengujian akan dibahas tiap-tiap prosedur yang
dilakukan, hasil atas kajian dan pengujian, serta kesimpulan dan analisis atas hasil
kajian dan pengujian audit sistem informasi yang dilakukan.
4.1 Perencanaan Audit Sistem Informasi
Audit Sistem Informasi atas PT JKLM dimulai ketika tim Audit keuangan
membutuhkan Auditor Sistem Informasi untuk melakukan test of control atas
sistem informasi perusahaan. Alasan kenapa tim audit keuangan membutuhkan
adanya audit sistem informasi atas PT JKLM adalah karena sejak menerapkan
Audit sistem..., Sugeng Ivan, FE UI, 2013
34
Universitas Indonesia
sistem ERP, proses bisnis PT JKLM menjadi sepenuhnya terintegrasi dengan
sistem informasi perusahaan dan teknologi informasi perusahaan. Terutama pada
proses pengadaan, pengelolaan, dan pencatatan aset tetap yang sudah sepenuhnya
terintegrasi dengan IT perusahaan dan memiliki resiko paling besar. Ketika
permintaan Audit Sistem Informasi Support diterima, tim Auditor Sistem
Informasi dan dan Audit keuangan bersama-sama menentukan tujuan dan ruang
lingkup dari Audit sistem informasi yang akan dilakukan. Namun terdapat satu
kekurangan yaitu pada saat pelaksanaan audit sistem informasi, tim audit
keuangan tidak mendampingi serta komunikasinya sangatlah minimal.
KAP RSM AAJ Associates dalam melakukan Audit Sistem Informasi
sudah memiliki pedoman dalam melaksanakan Audit Sistem Informasi. Pedoman
tersebut adalah sebuah “RSM Form” yang digunakan oleh seluruh jaringan RSM
International. “RSM Form” dibuat berdasarkan COBIT 4.1 dan pedoman best
practice yang ada. Di dalam “RSM Form” ini sudah terdapat obyektif yang harus
dicapai dalam sebuah Audit Sistem Informasi dan kriteria pengujiannya. “RSM
Form” ini nantinya akan diisi di akhir setiap pelaksanaan Audit Sistem Informasi.
Penulis melampirkan “RSM Form” hasil dari Audit Sistem Informasi PT JKLM di
karya tulis ini.
Sedangkan untuk output dari audit sistem informasi di PT JKLM ini ada
dua, yaitu :
1. Control Review Memo (CRM), yang merupakan rangkuman atas seluruh
analisa dan kajian yang dilakukan selama audit sistem informasi
berlangsung beserta dengan hasilnya secara mendetail. CRM ini nantinya
akan digunakan oleh tim audit keuangan untuk membantu mereka
melakukan audit atas laporan keuangan PT JKLM
2. Management Letter, yang merupakan surat yang mencantupkan seluruh
hasil kajian dan temuan dari audit sistem informasi, sebab dan kondisi
kenapa temuan tersebut ada yang mencantumkan sumber
permasalahannya, dan saran untuk memperbaiki temuan dari audit sistem
informasi tersebut. Management Letter ini diperuntukan bagi PT JKLM
sehingga mereka juga mendapatkan manfaat atas audit sistem informasi
Audit sistem..., Sugeng Ivan, FE UI, 2013
35
Universitas Indonesia
yang dilakukan dan supaya PT JKLM bisa memperbaiki dan
meningkatkan kualitas sistem informasi dan teknologi informasi
perusahaan yang mereka miliki.
4.1.2 Tujuan Penugasan
Tujuan dari Audit Sistem Informasi dalam Penugasan Audit Sistem
Informasi Support per 31 Desember 2012 pada PT JKLM adalah untuk melakukan
kajian pengendalian internal yang telah diterapkan oleh Perusahaan khususnya
yang terkait dengan pengendalian dalam bidang teknologi informasi dalam rangka
mendukung general audit team melakukan penilaian atas kewajaran laporan
keuangan.
4.1.3 Ruang Lingkup Pemeriksaan
Ruang lingkup pemeriksaan yang dilakukan terdiri dari pemeriksaaan atas
penerapan Pengendalian Umum Teknologi Informasi (IT General Control) dan
Pengendalian Aplikasi (Application Control). Berikut adalah rincian dari ruang
lingkup pemeriksaan:
1. Pengendalian Umum Teknologi Informasi (IT General Control)
Kajian atas pengendalian umum yang terkait dengan pengelolaan
teknologi informasi yang digunakan oleh Perusahaan untuk memperoleh
keyakinan bahwa pengendalian umum TI tersebut telah di desain serta
beroperasi secara efektif dan memadai. Kajian yang dilakukan meliputi
beberapa area berikut:
a. IT Operation
b. Logical Access
c. Change Management
2. Pengendalian Aplikasi (Application Control)
Kajian atas pengendalian aplikasi yang dilakukan terkait dengan area
pengadaan dan pengelolaan aset tetap (Fixed Asset Procurement &
Management) yang terdapat di Perusahaan. Pengendalian aplikasi
Audit sistem..., Sugeng Ivan, FE UI, 2013
36
Universitas Indonesia
dilakukan untuk memperoleh keyakinan bahwa pengendalian aplikasi
tersebut telah didesain, beroperasi secara efektif, dan memadai. Kajian
yang dilakukan meliputi pengendalian terhadap sistem aplikasi ERP
(Oracle) dengan ruang lingkup modul sebagai berikut:
a. Purchasing Module
b. Invoicing pada Account Payable Module
c. Project Costing Module
d. Asset Management Module
e. General Ledger Module
4.2 Prosedur Umum Pelaksanaan Audit Sistem Informasi
Prosedur yang telah Tim Audit Sistem Informasi lakukan dalam
melakukan pemeriksaan adalah:
1. Melakukan wawancara untuk mendapatkan pemahaman mengenai
penggunaan TI pada aktivitas operasional Perusahaan dengan beberapa
pihak terkait, yaitu:
a. Biro Teknologi Informasi Perusahaan:
i. Kepala Analisis Pengembangan Teknologi.
ii. Kepala Pengelolaan Sistem Informasi Teknologi.
b. Biro Manajemen Sumber Daya Manusia:
i. Bagian Pengelolaan Data dan Remunerasi.
c. Biro Umum:
i. Staff Pratama Satu Bagian Logistik.
ii. Staff Pratama Satu Bagian Administrasi.
d. Biro Keuangan dan Akuntansi:
i. Kepala Sub Bagian Akuntansi Proyek.
ii. Kepala Sub Bagian Data Akun dan Aktiva Tetap.
2. Melakukan kajian atas kebijakan, prosedur, serta dokumentasi yang
terkait dengan ruang lingkup pemeriksaan.
3. Observasi terhadap proses bisnis dan keamanan teknologi informasi
Perusahaan untuk memastikan kebijakan Perusahaan telah diterapkan
Audit sistem..., Sugeng Ivan, FE UI, 2013
37
Universitas Indonesia
dengan sesuai.
4. Observasi terhadap integritas data perhitungan serta pencatatan
pengadaan dan pengelolaan (logistik) aset tetap.
4.3 Pelaksanaan Audit Sistem Informasi
Dalam melaksanakan audit sistem informasi tim Audit Sistem Informasi
melakukan 3 jenis kajian, yaitu :
1. Kajian Teknologi Informasi
2. Kajian Pengendalian Umum Sistem Informasi
3. Kajian Pengendalian Aplikasi Sistem Informasi
Di bagian selanjutnya akan membahas tentang masing-masing kajian yang
dilakukan.
4.3.1 Kajian Teknologi Informasi
Dalam kajian ini tim Audit Sistem Informasi melakukan analisis atas
struktur jaringan perusahaan, serta aplikasi yang digunakan perusahaan terutama
aplikasi utama untuk proses bisnis perusahaan, berikut ulasannya.
4.3.1.1 Struktur Jaringan PT JKLM
Jaringan sistem informasi pada Perusahaan secara keseluruhan merupakan
gabungan dari model jaringan LAN (Local Area Network) dan WAN (Wide Area
Network). Gambar 4.1 menggambarkan struktur jaringan yang dimiliki oleh PT
JKLM.
Audit sistem..., Sugeng Ivan, FE UI, 2013
38
Universitas Indonesia
Gambar 4.1 : Diagram Keseluruhan Jaringan Perusahaan
Sumber : Dokumen Internal Biru Teknologi Informasi Perusahaan PT JKLM
Dari gambar 4.1 terlihat bahwa PT JKLM memiliki beberapa jaringan LAN yang
dipergunakan di level kantor pusat dan kantor cabang. Antara kantor pusat dan
kantor cabang terkoneksi via VPN (Virtual Private Network) didalam sebuah
jaringan WAN. Firewall di set up dengan jaringan yang terkoneksi langsung
dengan internet. Dengan struktur seperti ini jaringan dari PT JKLM sudah
termasuk cukup aman.
Selain memiliki data center sendiri di kantor pusat, PT JKLM juga
memiliki sebuah jaringan collocation yang ada di vendor CBN. Jaringan
collocation adalah jaringan yang ditempatkan dan menyewa tempat di data center
perusahaan lain. Jadi PT JKLM memiliki beberapa server yang ingin
dikoneksikan dengan internet. Lalu PT JKLM menaruh server tersebut di data
center yang dimiliki oleh perusahaan lain. Jaringan collocation memberikan
keuntungan biaya dimana PT JKLM hanya perlu membayar biaya sewa tempat di
data center secara bulanan atau tahunan tidak perlu melakukan maintenance atas
data center secara keseluruhan. Jaringan collocation ini terletak di Gedung Cyber
Kuningan, Jakarta. Pada jaringan collocation ini dipasang berbagai macam
Audit sistem..., Sugeng Ivan, FE UI, 2013
39
Universitas Indonesia
aplikasi portal internal maupun eksternal yang bisa diakses via internet. Portal
internal terdiri dari berbagai aplikasi yang berfungsi untuk help desk dan
sosialisasi berita internal. Sedangkan portal eksternal berfungsi sebagai media
informasi bagi public umum. Struktur jaringan collocation tersebut bisa dilihat
pada gambar 4.2.
Gambar 4.2 : Diagram jaringan collocation PT JKLM
Sumber : Dokumen Internal Biru Teknologi Informasi Perusahaan PT JKLM
Selain itu PT JKLM memiliki Disaster Recovery Center (DRC) yang
digunakan sebagai fail over jaringan utama dan selain untuk kepentingan network
redundancy, DRC ini berfungsi juga sebagai back up data dari jaringan utama.
Dengan adanya DRC ini meskipun jaringan utama tidak bekerja, operasi bisnis
tidak terganggu kerena jaringan di DRC langsung bertindak sebagai pengganti.
Gambar 4.3 menampilkan struktur jaringan antara Kantor Pusat, Kantor Cabang,
dan DRC dari PT JKLM.
Audit sistem..., Sugeng Ivan, FE UI, 2013
40
Universitas Indonesia
Gambar 4.3: Diagram jaringan antara Kantor Pusat, Cabang, dan DRC PT JKLM
Sumber : Dokumen Internal Biru Teknologi Informasi Perusahaan PT JKLM
Secara keseluruhan struktur jaringan dari PT JKLM tidak ada masalah. Firewall di
setup di tempat yang tepat dan antara kantor cabang dengan kantor pusat
terkoneksi secara aman melalui VPN perusahaan serta juga handal dan stabil
dengan adanya DRC yang berfungsi sebagai back up dan fail over dari jaringan
utama.
4.3.1.2 Aplikasi, Sistem Operasi, & Database PT. JKLM
PT JKLM menggunakan berbagai macam aplikasi dalam mendukung
proses bisnisnya. Aplikasi – aplikasi tersebut berasal dari vendor (konsultan)
maupun hasil pengembangan internal pada modul-modulnya. Berikut adalah
daftar aplikasi, operating system dan database yang digunakan :
Tabel 4.1 Daftar Aplikasi, Sistem Operasi, Database, & Kegunaannya di PT
JKLM
No. Nama Aplikasi Sistem Operasi Database Used
1 Oracle EBS: Enterprise Resource Planning (ERP) 12.0.6
Solaris 10 Oracle 10.2.0.3.0
Untuk mengintegrasi proses bisnis (keuangan, logistik, dan SDM) di PT. Jasa Marga.
Audit sistem..., Sugeng Ivan, FE UI, 2013
41
Universitas Indonesia
No. Nama Aplikasi Sistem Operasi Database Used
2 Hyperion Planning 11.1.1.1
Solaris 10
Essbase 11.1.1.1
Untuk aplikasi anggaran yang terintegrasi dengan aplikasi ERP.
3 Portal Internal (www.jasamarga.co.id)
Linux CentOS 5.5.16
MySQL 5.0.8
Mengintegrasi aplikasi-aplikasi yang ada di Jasa Marga sehingga aplikasi-aplikasi tersebut dapat diakses melalui satu pintu.
4 Portal Support ERP Linux CentOS 5.5.16
MySQL 5.0.8
Untuk forum komunikasi para pengguna ERP dengan berbagai permasalahannya.
5 Aplikasi KPI Windows Server 2008
MySQL Server
Untuk membantu Biro Perencanaan Perusahaan dalam melakukan penghitungan KPI.
6 Aplikasi Biro Manajemen Mutu dan Risiko
Linux CentOS 5.5.16
MySQL 5.0.8
Media informasi mengenai mutu dan risiko.
7 Aplikasi Pendapatan Tol
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk melihat dan memonitor pendapatan tol tiap cabang.
8 Aplikasi Volume Lalulintas
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk melihat dan memonitor volume lalu lintas tiap cabang.
9 Aplikasi Informasi Kondisi Lalulintas
Linux CentOS 5.5.16
MySQL 5.0.8
Memudahkan pengguna jalan tol untuk mendapatkan informasi kondisi lalu lintas di jalan tol.
10 Sistem Informasi Manajemen Proyek
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk memonitor kinerja dan progress proyek yang ada di Jasa Marga.
11 Portal Biro Hukum Linux CentOS 5.5.16
MySQL 5.0.8
Untuk memudahkan mengakses dokumen
(Tabel 4.1 – Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
42
Universitas Indonesia
No. Nama Aplikasi Sistem Operasi Database Used
yang terkait dengan Biro Hukum seperti misalnya SK, dll.
12 Portal Jasamarga Award
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk mengakses informasi mengenai Jasa Marga Award.
13 Portal Lampiran Elektronik
Linux CentOS 5.5.16
MySQL 5.0.8
Media untuk mengirimkan lampiran surat dalam bentuk file elektronik.
14 Aplikasi Laporan Keuangan
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk memudahkan anak perusahaan dalam mengirimkan laporan keuangannya ke pusat.
15 Sistem PKBL Linux CentOS 5.5.16
MySQL 5.0.8
Untuk menyimpan informasi mengenai PKBL baik cabang maupun pusat.
16 Sistem Informasi Laporan Manajemen
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk mengakses informasi mengenai laporan manajemen tiap cabang di Jasa Marga.
17 Info Tol Online Linux CentOS 5.5.16
MySQL 5.0.8
Untuk mengakses buletin info tol secara online.
18 Sistem Dokumentasi Tata Kelola Teknologi Informasi
Windows Server 2008
SQL Server Express
Untuk mengakses informasi mengenai tata kelola teknologi informasi di Jasa Marga.
19 Portal JMDC Windows Server 2008
MySQL Server
Untuk mengakses informasi mengenai JMDC, pelatihan yang diselenggarakan, dll.
20
Aplikasi e-OPA (Electronic Operational Performance Appraisal)
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk melakukan penilaian karyawan operasional secara harian.
(Tabel 4.1 – Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
43
Universitas Indonesia
No. Nama Aplikasi Sistem Operasi Database Used
21 Microsoft Exchange Server 2007
Windows Server 2003
Exchange Server 2007
E-mail karyawan Jasa Marga.
22 Portal Cabang Jagorawi
Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Jagorawi.
23 Portal Cabang CTC Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang CTC.
24 Portal Cabang Jakpek Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Jakarta Cikampek.
25 Portal Cabang Janger Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Janger.
26 Portal Cabang Purbaleunyi
Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Purbaleunyi.
27 Portal Cabang Palikanci
Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Palikanci.
28 Portal Cabang Semarang
Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Semarang.
29 Portal Cabang Surgem Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Surgem.
30 Portal Cabang Belmera
Windows Server 2008
MySQL 5.0.8
Informasi mengenai cabang Belmera.
31 Sistem Aplikasi Pusat Arsip Terpadu
Linux CentOS 5.5.16
MySQL 5.0.8
Untuk menyimpan informasi dan arsip secara terpadu.
Tabel 4.1 : Daftar Aplikasi, Sistem Operasi, dan Database
Dan dari hasil wawancara dan observasi dengan berbagai pihak terkait,
diperoleh pemahaman bahwa Perusahaan menggunakan sistem aplikasi utama
ERP (Oracle) dalam melakukan aktivitas operasionalnya. Perusahaan
menggunakan 10 modul dalam sistem aplikasi ERP (Oracle), yang dapat dilihat
pada Gambar 4.4.
(Tabel 4.1 – Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
44
Universitas Indonesia
Gambar 4.4 : Diagram Sistem Aplikasi ERP Perusahaan
Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
4.3.2 Kajian Pengendalian Umum Sistem Informasi
Tim Audit Sistem Informasi telah melakukan kajian atas Pengendalian
Umum Teknologi Informasi (IT General Control) terhadap sistem aplikasi ERP
yang digunakan Perusahaan. Berikut adalah prosedur pemeriksaaan dan hasil dari
pemeriksaan untuk setiap area.
4.3.2.1 Logical Security
Kajian atas area logical security secara umum bertujuan untuk memastikan
bahwa akses terhadap sistem aplikasi Perusahaan telah dibatasi dengan
menerapkan konfigurasi keamanan yang tepat dan efektif, serta pemberian hak
akses kepada pengguna aplikasi telah sesuai dengan posisi, tanggung jawab, dan
telah mendapatkan otorisasi dari pihak yang berwenang.
Audit sistem..., Sugeng Ivan, FE UI, 2013
45
Universitas Indonesia
a) Prosedur
Melakukan gain understanding atas area logical security terhadap
sistem aplikasi ERP.
Melakukan kajian atas dokumentasi kebijakan dan prosedur terkait
logical security, user access, dan user role pada aplikasi.
Melakukan pengujian atas penerapan kesesuaian user access
responsibility dengan user position terhadap sistem aplikasi
Perusahaan.
b) Hasil Kajian
Sistem aplikasi ERP dikelola oleh Biro Teknologi Informasi
Perusahaan (BTIP) yang merupakan bagian dari unit kerja Perusahaan.
Saat ini BTIP sudah memiliki prosedur terkait dengan permohonan,
pengubahan serta penutupan user access, tetapi belum terdapat kebijakan
yang mengatur tentang konfigurasi password.
Berdasarkan review dokumen “Prosedur Pembukaan dan Pengubahan
Hak Akses Pengguna ERP” yang telah disahkan pada tanggal 24 Mei 2011
serta disetujui oleh Kepala Biro TIP Bapak Bambang Sulistyo, terdapat :
1. Prosedur pembukaan hak akses sistem aplikasi ERP
Berdasarkan kebijakan, terdapat prosedur pembukaan hak akses
karyawan pada sistem aplikasi ERP. Prosedur pembukaan ini terdiri
dari 3 jenis prosedur yang ditujukan untuk setiap kondisi karyawan,
yaitu:
a. Prosedur pembukaan hak akses sistem aplikasi ERP untuk
karyawan baru yang ditampilkan oleh gambar 4.5.
b. Prosedur pembukaan hak akses sistem aplikasi ERP untuk
Karyawan Non Struktural dan Management Trainee yang
ditampilkan oleh gambar 4.6.
c. Prosedur pembukaan hak akses sistem aplikasi ERP untuk
Karyawan Struktural yang ditampilkan oleh gambar 4.7.
Audit sistem..., Sugeng Ivan, FE UI, 2013
46
Universitas Indonesia
Gambar 4.5 Diagram Alur Pembukaan Hak Akses Karyawan Baru
Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
Gambar 4.6 Diagram Alur Pembukaan Hak Akses Karyawan Non Struktural dan
Audit sistem..., Sugeng Ivan, FE UI, 2013
47
Universitas Indonesia
Management Trainee
Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
Gambar 4.7 Diagram Alur Pembukaan Hak Akses Karyawan Struktural
Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
48
Universitas Indonesia
2. Prosedur pengubahan hak akses sistem aplikasi ERP
Berdasarkan kebijakan, terdapat prosedur pengubahan hak akses
karyawan karena mutasi jabatan pada sistem aplikasi ERP. Gambar 4.8
menggambarkan alur pengubahan hak akses tersebut.
Gambar 4.8 Diagram Alur Pembukaan Hak Akses Karyawan Atas Mutasi Jabatan
Sumber : Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
3. Prosedur penutupan hak akses sistem aplikasi ERP
Berdasarkan kebijakan, terdapat prosedur penutupan hak akses pada
sistem aplikasi ERP. Gambar 4.9 menggambarkan alur prosedur
penutupan hak akses tersebut.
Audit sistem..., Sugeng Ivan, FE UI, 2013
49
Universitas Indonesia
Gambar 4.9 Diagram Alur Penutupan Hak Akses Karyawan Sumber : Control
Review Memo KAP RSM AAJ Associates untuk PT JKLM
Tim Audit Sistem Informasi juga memperoleh daftar seluruh user
ID aplikasi ERP perusahaan dan juga daftar seluruh pegawai dari bagian
Human Resource PT JKLM. Tim Audit Sistem Informasi melakukan
pengolahan atas kedua data tersebut. Berdasarkan observasi, user ID
sistem aplikasi ERP dibuat berdasarkan Nomor Pegawai PT JKLM.
Namun dari hasil analisis terhadap 5.701 user ID sistem ERP yang masih
berstatus aktif, terdapat 731 user ID sistem ERP yang tidak ada pada daftar
karyawan PT JKLM per 31 Desember 2012 dan 16 user ID yang dibuat
tidak berdasarkan nomor pegawai.
Berdasarkan informasi yang diberikan oleh Biro Teknologi
Informasi Perusahaan (TIP) PT JKLM bahwa penutupan akses user sistem
ERP belum dilakukan untuk karyawan yang sudah pensiun dan tidak
bekerja di PT JKLM serta konsultan yang sudah selesai menyelesaikan
kontrak dengan PT JKLM.
Berdasarkan hasil wawancara, Biro TIP belum memiliki
middleware identity management sehingga user identity masih dibuat pada
masing-masing aplikasi. Untuk sistem aplikasi ERP, Perusahaan
Audit sistem..., Sugeng Ivan, FE UI, 2013
50
Universitas Indonesia
menerapkan kompleksitas minimum atas password yang digunakan di
dalam Perusahaan sebagai berikut:
Panjang minimum: 6 karakter.
Password history: tidak dapat menggunakan 1 password
sebelumnya.
Password expiration: tidak ada, tetapi selama default password
(“12345”) diberikan oleh Biro TIP, sistem akan secara otomatis
(langsung) memaksa pengguna untuk mengganti default password.
Akses terkunci setelah percobaan password yang salah 3 kali.
Password harus merupakan kombinasi huruf dan angka.
Perusahaan juga telah memiliki catatan aktivitas atas akses system
administrator dan seluruh pengguna pada sistem aplikasi ERP namun
belum dilakukan proses review dan monitoring terhadap akses yang
dilakukan oleh system administrator. Selain itu Perusahaan belum
memiliki kebijakan dan prosedur yang mengatur mengenai proses review
dan monitoring akses administrator dan pengguna.
4.3.2.2 Change Management
Kajian atas area manajemen perubahan secara umum bertujuan untuk
memastikan setiap penambahan dan perubahan yang terjadi terhadap sistem
aplikasi ERP telah mendapatkan otorisasi dari pihak yang berwenang, sesuai
dengan kebutuhan user dan Perusahaan, serta telah melalui tahapan
pengembangan, testing, dan implementasi sehingga tidak memiliki dampak yang
negatif terhadap proses bisnis yang telah berjalan.
a) Prosedur
Melakukan gain understanding terkait manajemen perubahan sistem
aplikasi ERP.
Melakukan kajian atas kebijakan dan prosedur yang terkait dengan
manajemen perubahan sistem aplikasi ERP.
Audit sistem..., Sugeng Ivan, FE UI, 2013
51
Universitas Indonesia
Melakukan pengujian atas penerapan kebijakan dan prosedur yang
terkait dengan manajemen perubahan sistem informasi Perusahaan.
b) Hasil Kajian
Sistem aplikasi ERP sudah memiliki kebijakan dan prosedur terkait area
manajemen perubahan, tetapi tidak terdapat kebijakan dan prosedur terkait
emergency changes area. Berdasarkan hasil wawancara dan observasi
diketahui bahwa seluruh perubahan konfigurasi yang terjadi pada sistem
aplikasi ERP dilakukan oleh Biro TIP sesuai dengan kebutuhan. Namun,
Tim Audit Sistem Informasi tidak memperoleh informasi dan dokumentasi
terkait perubahan yang terjadi selama periode audit. Gambar 4.10
menampilkan alur prosedur pengubahan aplikasi perangkat lunk
berdasarkan review dokumen “Prosedur Pengubahan Aplikasi Perangkat
Lunak” yang telah disahkan oleh Bapak Bambang Sulistyo (Kepala Biro
TIP) pada Juni 2011.
4.3.2.3 Computer Operation
Kajian atas area computer operation secara umum bertujuan untuk
memastikan bahwa aktivitas backup, maintenance, dan problem management
terhadap sistem aplikasi ERP telah sesuai dengan best practice dan prosedur yang
ditetapkan.
a) Prosedur
Melakukan gain understanding atas area computer operation (backup,
maintenance, problem management) terkait sistem aplikasi ERP.
Melakukan kajian atas kebijakan dan prosedur yang terkait dengan
computer operation (backup, maintenance, problem management).
Melakukan pengujian atas penerapan kebijakan dan prosedur yang
terkait dengan computer operation (backup, maintenance, problem
management) dengan melakukan sampling terhadap dokumentasi
pelaksanaannya.
Audit sistem..., Sugeng Ivan, FE UI, 2013
52
Universitas Indonesia
b) Hasil Kajian
Berdasarkan hasil wawancara dan review dokumen, Tim Audit Sistem
Informasi mengetahui bahwa sistem aplikasi ERP belum memiliki
kebijakan dan prosedur terkait area computer operation dalam hal
pelaksanaan problem handling, selain itu Tim Audit Sistem Informasi juga
memperoleh pemahaman terhadap beberapa hal berikut:
Backup
Perusahaan memiliki kebijakan yang mengatur tata cara backup
pada sistem ERP dalam dokumen “Prosedur Backup Aplikasi dan
Database Portal Internal dan ERP” yang telah disahkan dan
disetujui oleh Kepala Biro TIP Bapak Bambang Sulistyo pada
tanggal 31 Mei 2011. Berdasarkan wawancara, untuk sistem ERP
dilakukan backup lokal dengan menggunakan symantec net
backup untuk harian dan bulanan. Untuk backup harian tidak
dikeluarkan, tetapi untuk backup bulanan dikeluarkan kemudian
disimpan oleh administrator. Sedangkan untuk backup online
perusahaan menggunakan DRC.
Maintenance
Berdasarkan wawancara, secara keseluruhan maintenance
terhadap perangkat keras dan perangkat lunak perusahaan
dilakukan oleh Biro TIP perusahaan. Namun untuk aplikasi-
aplikasi yang tidak dimiliki source code nya seperti aplikasi ERP,
Biru TIP juga meminta bantuan dari Vendor/Konsultan untuk
melakukan maintenance.
Problem handling
Berdasarkan wawancara, jika terdapat masalah, terdapat Helpdesk
yang memiliki 2 tier, yaitu Biro TIP sebagai tier 1 dan vendor
sebagai tier 2. Masalah yang diajukan oleh user akan diajukan
kepada tier 1, jika dapat diatasi oleh tier 1, maka masalah akan
diselesaikan dan diserahkan kembali kepada end user. Tetapi jika
masalah tidak dapat diatasi oleh tier 1, maka masalah diteruskan
Audit sistem..., Sugeng Ivan, FE UI, 2013
53
Universitas Indonesia
kepada tier 2. Pencatatan insiden/masalah di Helpdesk masih
dilakukan secara manual, tetapi untuk Helpdesk khusus sistem
ERP, terdapat portal khusus untuk segala masalah serta solusinya
sebagai informasi bagi user jika mengalami masalah yang sama.
Sistem aplikasi ERP sudah memiliki kebijakan terkait Disaster
Recovery Plan (DRP). Dokumen tersebut digunakan sebagai
landasan utama terhadap proses yang harus dilakukan jika terjadi
gangguan akibat bencana, sehingga kegiatan Perusahaan dapat
tetap berlangsung.
Audit sistem..., Sugeng Ivan, FE UI, 2013
54
Universitas Indonesia
Gambar 4.10 Diagram Alur Pengubahan Aplikasi Perangkat Lunak Sumber :
Control Review Memo KAP RSM AAJ Associates untuk PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
55
Universitas Indonesia
4.3.3 Kajian Pengendalian Aplikasi Sistem Informasi
Tim Audit Sistem Informasi melakukan kajian atas Pengendalian Aplikasi
pada Perusahaan. Tim Audit Sistem Informasi mendapatkan permintaan untuk
menguji pengendalian aplikasi pada sistem ERP perusahaan terkait pada proses
pengadaan dan pengelolaan asset tetap. pengadaan dan pengelolaan aset tetap di
ERP perusahaan dibagi menjadi 2 alur sesuai dengan jenis aset tetap nya. Dalam
alur ini ada 4 modul aplikasi ERP perusahaan yang terlibat, yaitu :
1. Modul Purchasing
2. Modul Project Costing
3. Modul Asset Management
4. Modul General Ledger
Gambar 4.11 mengambarkan bagaimana alur data aset tetap pada modul-modul ini
saling berkaitan.
Gambar 4.11 Diagram hubungan antar modul pada proses pengadaan aset tetap.
Sumber : Olahan Penulis
Aset Clearing berpindah ke modul Asset Management dari modul
PO/Receipt dengan mentransfer informasi detil aset dan biaya yang dikeluarkan
untuk memperoleh aset tersebut. Sedangkan Aset Proyek berpindah ke modul
Asset Management dari modul Porject Costing dengan cara mengkapitalisasikan
seluruh biaya yang terjadi untuk proyek tersebut. Aset Clearing adalah aset tetap
yang tidak disusutkan sedangkan Aset Proyek adalah aset tetap yang disusutkan.
Setelah semua aset dipindahkan ke modul Asset Management, maka Asset
Management akan mengolahnya dan melakukan pengakuan, penambahan,
Audit sistem..., Sugeng Ivan, FE UI, 2013
56
Universitas Indonesia
pengurangan, dan depresiasi lalu melakukan pencatatan General Ledger.
Kajian pengendalian aplikasi atas proses pengadaan dan pengelolaan aset
tetap bertujuan untuk memperoleh keyakinan atas integritas data terkait
pencatatan aset tetap mulai dari pengadaan aset tetap yang terdiri dari pembuatan
PO, Receipt PO, Invoice, pengakuan calon aset menjadi aset tetap, perhitungan
depresiasi, sampai pada pencatatan jurnal terkait aset tetap di General Ledger.
4.3.3.1 Obyektif Pengujian Pengendalian Aplikasi
Obyektif dari pengujian pengendalian aplikasi pada PT JKLM meliputi :
1. Melakukan penelaahan atas efektivitas pengendalian aplikasi pada proses
pengadaan, pengelolaan, dan pencatatan aset tetap.
2. Memastikan bahwa proses pengadaan, pengelolaan, dan pencatatan aset
tetap telah dilakukan oleh officer yang tepat, di-review dan diotorisasi oleh
level yang tepat.
3. Memastikan bahwa proses pengadaan, pengelolaan, dan pencatatan aset
tetap telah dilakukan dengan tepat.
4.3.3.2 Ruang Lingkup Pengujian Pengendalian Aplikasi
Cakupan dari pengujian pengendalian aplikasi pada PT JKLM meliputi :
1. Memahami proses pembuatan Purchase Order atas transaksi pengadaan
aset tetap pada sistem ERP (Modul Purchasing)
2. Memahami proses create Invoice atas transaksi pengadaan Aset Tetap pada
sistem ERP (Modul Account Payable) Perusahaan.
3. Memahami proses validasi Invoice atas transaksi pengadaan Aset Tetap
pada system ERP (Modul Project Costing) Perusahaan.
4. Memahami proses pengakuan calon aset (aset clearing dan aset proyek)
sampai menjadi Aset Tetap pada sistem ERP (Modul Purchasing, Project
Costing, dan Asset Management).
5. Memahami proses depresiasi Aset Tetap pada sistem ERP (Modul Asset
Management).
Audit sistem..., Sugeng Ivan, FE UI, 2013
57
Universitas Indonesia
6. Memahami proses pembentukan jurnal manual terkait dengan Aset Tetap
(aset proyek) pada sistem ERP (Modul General Ledger)
4.3.3.3 Prosedur Pengujian Pengendalian Aplikasi
Prosedur yang dilakukan pada pengujian aplikasi ini adalah sebagai berikut:
1. Melakukan gain understanding awal melalui pengkajian dokumen terkait
proses pengadaan, pengelolaan, dan pencatatan aset tetap.
2. Melakukan kajian atas kebijakan dan prosedur yang terkait proses
pengadaan, pengelolaan, dan pencatatan aset tetap.
3. Melakukan application walkthrough pada modul-modul yang terkait
dengan proses pengadaan, pengelolaan, dan pencatatan aset tetap pada
sistem ERP yaitu modul purchasing, modul account payable, modul
project costing, modul asset management, dan modul general ledger.
4. Menguji penerapan pengendalian dengan cara melakukan observasi dan
tanya jawab mengenai proses pengadaan, pengelolaan, dan pencatatan aset
tetap pada sistem ERP.
4.3.3.4 Hasil Pengujian Pengendalian Aplikasi
Pemahaman tentang alur proses bisnis dan alur proses aplikasi lalu
pengujian atas control yang ada di aplikasi utama ERP perusahaan akan dijelaskan
pada bagian ini. Dan juga akan dijelaskan pula hasil dari pengujian aplikasi yang
dilakukan selama proses audit sistem informasi berlangsung.
4.3.3.4.1 Pemahaman Alur Proses Pengadaan, Pengelolaan, Pengakuan, &
Pencatatan di PT JKLM
Alur proses pengadaan aset tetap hasil kajian dokumen dan kebijakan PT
JKLM digambarkan pada gambar 4.12. Dari Gambar 4.12, bisa diketahui bahwa
proses pengadaan aset tetap dimulai dengan pembuatan “Permohonan Penggunaan
Anggaran” atau PPA. Pembuatan PPA dilakukan oleh unit kerja yang
membutuhkan penggunaan anggaran. Jika anggaran digunakan untuk aset project,
maka pada PPA harus diberikan ID Project atas aset proyek yang akan dilakukan
Audit sistem..., Sugeng Ivan, FE UI, 2013
58
Universitas Indonesia
pengadaannya. PPA lantas harus disetujui supaya bisa dikerjakan dan dibuat
Purchase Ordernya. Alur proses pembuatan PPA pada PT JKLM digambarkan
pada gambar 4.13.
Gambar 4.12 Bagan Alur Prosedur Pengadaan Aset Tetap
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
59
Universitas Indonesia
Gambar 4.13 Bagan Alur Prosedur Pembuatan PPA
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Setelah PPA dibuat dan disetujui, untuk mengeksekusi PPA harus dibuat
purchase order (PO). PO diajukan oleh unit kerja yang membutuhkan. Unit kerja
tersebut lantas menyerahkan ke biro umum yaitu bagian logistik untuk disiapkan
PO-nya. PO pada PT JKLM dibuat berdasarkan PPA yang telah ada dan untuk PO
atas sebuat aset project harus disertai dengan “ID Project” yang ada di PPA.
Setiap PO yang sudah disiapkan haruslah disetujui oleh kepala bagian logistik
untuk supaya PO tersebut bisa digunakan. Alur dari pembuatan PO pada PT
JKLM digambarkan pada gambar 4.14.
Audit sistem..., Sugeng Ivan, FE UI, 2013
60
Universitas Indonesia
Gambar 4.14 Bagan Alur Prosedur Pembuatan PO
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
PO yang telah selesai dibuat akan diserahkan ke Vendor yang ditunjuk supaya bisa
mulai untuk dikerjakan. PO untuk aset clearing pengerjaannya adalah dengan
melakukan pembelian secara langsung. Sedangkan PO untuk aset project
pengerjaannya adalah dengan melalui tender dan pembangunannya terbagi
menjadi beberapa tahapan konstruksi.
Setelah pengerjaan aset tetap selesai, maka proses penerimaan aset tetap
akan dimulai. Proses penerimaan (receiving) untuk setiap jenis aset berbeda.
Untuk aset clearing, proses penerimaan sama dengan proses penerimaan pada
umumnya diperusahaan. Yaitu dengan menciptakan Receipt atau Receipt-PO yang
nantinya akan diserahkan ke bagian akuntansi. Untuk aset project, karena
dikerjakan dengan metode tahapan atau stage, aset project tidak diterima dengan
langsung atau tidak dibuat receipt. Melainkan dengan cara mengkapitalisasi biaya-
biaya yang telah terjadi (telah dibuat invoice-nya) melalui modul Project Costing
setelah Berita Acara Serah Terima (BAST) ditanda tangani oleh PT JKLM dan
vendor. Gambar 4.15 menggambarkan alur proses penerimaan aset clearing.
Audit sistem..., Sugeng Ivan, FE UI, 2013
61
Universitas Indonesia
Gambar 4.15 Bagan Alur Prosedur Penerimaan Barang/Jasa
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Pada aset tetap berjenis aset clearing setelah barang diterima, data detail
aset clearing (DFF) dari aset clearing akan ditarik secara otomatis oleh sistem ke
modul asset management untuk diproses datanya lalu di-posting ke modul
general Ledger. Sedangkan untuk aset tetap berjenis aset project datanya
terakumulasi di modul Project Costing berdasarkan ID Project sebagai persiapan
untuk dikapitalisasi. Hal ini karena aset project memiliki banyak komponen dan
tiap komponen diterima dan ditagih dalam waktu yang berbeda-beda. Proses
berlanjut ke pembuatan tagihan atau invoice yang dilakukan oleh bagian
administrasi dari Biro Umum PT JKLM. Invoice yang selesai dibuat akan
divalidasi oleh bagian akuntansi. Setelah divalidasi invoice akan diserahkan ke
bendahara untuk dilakukan pembayarannya sebagaimana yang dijelaskan pada
gambar 4.16.
Alur proses aset tetap berjenis aset clearing berhenti setelah dibuat
invoice-nya. Karena sudah diakui dan dicatat oleh sistem ERP. Namun untuk aset
tetap berjenis aset project, alurnya belum selesai. Aset project setelah selesai
Audit sistem..., Sugeng Ivan, FE UI, 2013
62
Universitas Indonesia
pembuatan invoice seluruh bagian dan komponennya, maka akan siap untuk
dikompilasi dan dikapitalisasi di modul project costing. Gambar 4.17 menjelaskan
alur proses dari kompilasi dan kapitalisasi aset project. Setelah dikapitalisasi, aset
project akan ditransfer ke modul asset management untuk dilengkapi detailnya,
dijalankan depresiasinya, dan diposting ke modul General Ledger untuk diakui
dan dicatat nilainya.
Gambar 4.16 Bagan Alur Prosedur Pembuatan Invoice
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Gambar 4.17 Bagan Alur Prosedur Kapitalisasi Aset Project
Sumber : Olahan Penulis
Audit sistem..., Sugeng Ivan, FE UI, 2013
63
Universitas Indonesia
4.3.3.4.2 Observasi Alur Proses Pengadaan, Pengelolaan, Pengakuan, &
Pencatatan Aset Tetap di Aplikasi Sistem ERP PT JKLM
Tim Audit Sistem Informasi melakukan application walkthrough,
observasi, dan wawancara terhadap bagaimana para user aplikasi di tiap-tiap
modul pengadaan, pengelolaan, pengakuan, dan pencatatan aset tetap
menggunakan aplikasi-aplikasi tersebut. Tim Audit Sistem Informasi menguji
proses login, pembuatan PO, Pembuatan Receipt PO, pembuatan invoice, proses
kapitalisasi, proses pengelolaan aset tetap, proses depresiasi aset tetap, dan proses
pencatatan ke modul general ledger.
Proses pertama adalah melakukan kajian atas proses login di aplikasi ERP
PT JKLM. Gambar 4.18 menggambarkan proses login di aplikasi ERP tersebut.
Pada proses login ini didapati bahwa user ID yang digunakan adalah Nomor
Pegawai dari tiap-tiap pegawai. Hal ini membawa kemudahan dalam melakukan
monitor terhadap penggunaan aplikasi oleh pegawai. Beberapa pengendalian
umum logical access diterapkan di proses ini. Namun beberapa kelemahan
pengendalian yang ditemukan di proses login adalah sebagai berikut :
Saat Tim Audit Sistem Informasi mencoba melakukan perubahan
password dari default password “12345” menjadi 5 karakter pada
sistem ERP perusahaan, sistem menerima perubahan tersebut,
kemudian kombinasi password dapat berupa angka saja atau huruf
saja, bukan berupa kombinasi angka dan huruf.
Akun user yang memiliki tanggung jawab melakukan approval dapat
dibuka dan dioperasikan oleh bawahannya. Hal ini didapat di bagian
pembuatan PO dan invoice. Dimana akun kepala bagian yang memiliki
wewenang untuk melakukan approval bisa diakses dan dioperasikan
oleh bawahannya, staff pratama satu. Dari hasil wawancara diketahui
bahwa para kepala bagian tahu akan bisa diaksesnya kaun mereka ini.
Dan mereka memang sengaja memberikan akses sehingga supaya
proses pembuatan PO dan Invoice bisa berjalan meskipun saat kepala
bagian sedang tidak ada.
Kedua kelemahan pengendalian tersebut menjadi perhatian Tim Audit Sistem
Audit sistem..., Sugeng Ivan, FE UI, 2013
64
Universitas Indonesia
Informasi karena memiliki resiko yang cukup besar. Terutama dalam hal akun
kepala bagian bisa diakses oleh bawahannya.
Gambar 4.18 Bagan Alur Proses Login Di Aplikasi ERP PT JKLM
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Proses selanjutnya adalah pembuatan PPA di sistem aplikasi ERP. Gambar
4.19 menggambarkan proses pembuatan PPA di aplikasi ERP. Tim Audit Sistem
Informasi mendapati bahwa Pada proses pembuatan PPA ini di aplikasi ERP telah
terdapat control yang cukup dan terbukti efektif. Telah ada dialog warning dan
confirmation dialog pada proses-proses krusial dan penentuan keputusan. Setiap
proses telah dilakukan oleh orang yang tepat dengan wewenang yang tepat.
Pada proses pembuatan purchase order di aplikasi ERP tepatnya modul
purchasing, Gambar 4.20 menggambarkan proses pembuatan purchase order yang
terjadi di sistem aplikasi ERP PT JKLM. Pada proses pembuatan PPA ini di
aplikasi ERP telah terdapat control yang cukup dan terbukti efektif. Setiap proses
telah dilakukan oleh orang yang tepat dengan wewenang yang tepat serta
mendapat persetujuan dari orang yang tepat. Sumber data PO didapat dari
dokumen hard copy PPA dan setiap PO bisa dilacak siapa saja yang membuatnya.
Terdapat juga dialog warning dan confirmation warning yang memadai.
Sedangkan pada proses penerimaan aset tetap, proses pembuatan receipt-
PO di aplikasi ERP PT JKLM dijelaskan oleh gambar 4.21. Proses penerimaan ini
termasuk proses yang krusial, karena pada proses ini kategori dari aset tetap
ditentukan. Apakah aset tetap tersebut termasuk aset clearing atau aset project
Audit sistem..., Sugeng Ivan, FE UI, 2013
65
Universitas Indonesia
ditentukan di proses ini. Bila aset clearing maka akan dilakukan pengisian DFF
(Detail Aset) yang digunakan untuk keperluan kategori dan pengelompokan aset
clearing. Pada proses ini kontrolnya sudah termasuk bagus dan cukup efektif.
Fungsi audit trail berjalan, window dialog terdapat pada proses-proses yang tepat
untuk mengkonfirmasi dan menannyakan akan kepastian tindakan user.
Gambar 4.19 Bagan Alur Proses Pembuatan PPA Aplikasi ERP PT JKLM
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
66
Universitas Indonesia
Gambar 4.20 Bagan Alur Proses Pembuatan PO Pada Aplikasi ERP
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Gambar 4.21 Bagan Alur Proses Pembuatan Receipt-PO Pada Aplikasi ERP
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
67
Universitas Indonesia
Untuk proses pembuatan Invoice, proses di dalam aplikasi ERP nya
dijelaskan pada gambar 4.22. Pada proses ini terdapat beberapa pengendalian
penting seperti Invoice Batch yang berfungsi sebagai audit trail, lalu terdapat
fungsi Match Invoice with PO yang meminimalisir terjadinya kesalahan atas
Invoice yang dibuat. Pembuatan invoice dibuat berdasarkan PO dan Receipt yang
telah ada dan di-approve Terdapat juga fungsi cancel invoice-nya sehingga
tagihan yang salah bisa dihapus. Invoice sebelum diberikan ke bagian akuntansi
harus disetujui terlebih dahulu oleh kepala bidang. Setelah ini akan divalidasi oleh
bagian keuangan. Proses validasi di sistem ERP ini dijelaskan di gambar 4.23.
Tidak ada kelemahan control pada proses validasi akun sehingga control sudah
diterapkan secara efektif.
Gambar 4.22 Bagan Alur Proses Pembuatan Invoice Pada Aplikasi ERP
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
68
Universitas Indonesia
Gambar 4.23 Bagan Alur Proses Validasi Invoice Pada Aplikasi ERP
Sumber : Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM
Pada proses transfer data aset tetap jenis aset clearing ke modul asset
management dilakukan secara otomatis oleh sistem setiap pagi jam 01.00 WIB.
Tidak adanya campur tangan pada proses ini menyebabkan resiko integritas data
hilang kecil meskipun tidak ada monitor hasil transfer data aset clearing ini. Pada
aset tetap jenis aset project, berlanjut ke proses kapitalisasi. Proses ini
berlangsung di modul project costing dan dilakukan oleh sub bagian akuntansi
proyek. Alur proses kapitalisasi aset project pada sistem aplikasi ERP
digambarkan pada gambar 4.24.
Gambar 4.24 Bagan Alur Proses Kapitalisasi Aset Project pada aplikasi ERP
Sumber : Olahan Penulis
Audit sistem..., Sugeng Ivan, FE UI, 2013
69
Universitas Indonesia
Semua fase pada proses kapitalisasi project dijalankan dengan mengeksekusi
request pada aplikasi. Fase manual hanyalah pada fase mengisi aset detail tapi
detail aset ini tidak mencangkup nilai dari aset. Dan juga nanti di modul asset
management diperiksa lagi sebelum diposting di ledger. Penentuan depresiasi dari
aset project juga dimulai di sini. Namun sudah disetting di aplikasi penentuan
depresiasinya berdasarkan kategori dari aset sebagaimana ada dalam pedoman
perusahaan pada table 4.1.
Selain itu juga ada proses penutupan ID Project hal ini mencegah project yang
sudah dikapitalisasi dan ditransfer untuk diubah-ubah kembali. User dari aplikasi
project costing ini hanyalah dua orang. Dan akunnya tidak bisa diakses oleh orang
lain. Sehingga bisa dibilang pengendalian di aplikasi kapitalisasi project di modul
project costing cukuplah efektif dan dilain pihak user dari aplikasi ini
menerapkannya dengan benar.
Ketika aset clearing dan aset project sudah ditransfer ke modul asset
management, disini proses pengelolaan dan pengakuan aset tetap terjadi. Disini
aset tetap diakui dengan cara menjalankan proses penambahan aset. Penambahan
aset ini terdiri dari tiga langkah, yaitu memanggil calon aset baru, memperlengkap
detail aset, melakukan pencatatan ke modul General Ledger. Di proses ini aset
tetap baru dipanggil daftarnya lalu diperlengkap detailnya satu persatu. Setelah
melengkapinya melakukan pencatatan ke modul general ledger untuk pengakuan
aset. Di sini setiap aset tetap mendapatkan ID Asset.
Depresiasi aset tetap juga dijalankan di modul asset management. Seluruh
aset tetap di PT JKLM bisa diketahui kapan saja berapa total depresiasi yang
terjadi dengan cara mengeksekui perintah depresiasi dan memilih buku mana
yang akan didepresiasi di aplikasi asset management seperti pada 4.25.
Audit sistem..., Sugeng Ivan, FE UI, 2013
70
Universitas Indonesia
Tabel 4.2 Tabel Standard Batasan Kapitalisasi Aset Tetap
Kelompok Aset Tetap Umur Ek.
(Tahun)
Pengadaan (Rp)
Penggantian / Rehabilitasi
/ Penambahan
Kapasitas (Rp)
Metode Penyusutan
5.4
Peralatan dan Kelengkapan pengumpulan Tol
Inventaris Gardu Tol 5 10,000,000 10,000,000 Garis Lurus
Perangkat Peralatan Pengumpul Tol 5 200,000,000 200,000,000 Garis Lurus
Peralatan Komunikasi Gardu Tol 5 10,000,000 10,000,000 Garis Lurus
Peralatan dan kelengkapan Pengumpulan Tol Lainnya 5 200,000,000 200,000,000 Garis Lurus
5.5
Instalasi dan Kelengkapan Gedung Kantor
Instalasi pembangkit listrik dan jaringan listrik 5 100,000,000 100,000,000 Garis Lurus
Instalasi AC Gedung Kantor 5 100,000,000 100,000,000 Garis Lurus
Instalasi Alat Mekanik Air dan Gas 5 100,000,000 100,000,000 Garis Lurus
Instalasi kelengkapan Gedung Kantor Lainnya 5 100,000,000 100,000,000 Garis Lurus
5.6 Inventaris Kantor Peralatan Sistem Informasi 5 20,000,000 20,000,000 Garis Lurus
Peralatan Audio, Visual dan Alat Perekam 5 20,000,000 20,000,000 Garis Lurus
Peralatan Telepon dan Fasilitas Sejenis 5 20,000,000 20,000,000 Garis Lurus
Perabotan dan Kelengkapan Ruangan Kantor 5 10,000,000 10,000,000 Garis Lurus
Peralatan Pembersih dan Penyegar Udara Ruangan 5 10,000,000 10,000,000 Garis Lurus
Peralatan Keamanan Lingkungan 5 10,000,000 10,000,000 Garis Lurus
Peralatan dan kelengkapan Klinik Kesehatan 5 10,000,000 10,000,000 Garis Lurus
Peralatan Rumah Tangga 5 10,000,000 10,000,000 Garis Lurus Inventaris Kantor lainnya 5 10,000,000 10,000,000 Garis Lurus
5.7
Kendaraan Bermotor/Alat Transportasi
Sepeda Motor 5 10,000,000 10,000,000 Garis Lurus Mobil 5 50,000,000 30,000,000 Garis Lurus
Kendaraan Rescue & Ambulance 5 50,000,000 30,000,000 Garis Lurus
Alat Transportasi Lainnya 5 50,000,000 30,000,000 Garis Lurus
Audit sistem..., Sugeng Ivan, FE UI, 2013
71
Universitas Indonesia
Gambar 4.25 Perintah Menjalankan Depresiasi pada Modul Asset Management
Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM
AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM
Langkah berikutnya adalah proses create accounting yang dilakukan secara
otomatis oleh sistem ERP setiap jam 11 malam. Dan yang mengontrol apakah
create accounting yang dibuat sistem sudah benar atau tidak adalah masing-
masing pemegang sub ledger. Apabila terdapat ketidakcocokan atau kesalahan,
maka harus di-cancel, tetapi jika pembayaran atas transaksi sudah dilakukan,
maka jurnal harus di-reclass.
Proses selanjutnya adalah proses di modul GL. Modul GL ini bersifat
pasif, yaitu hanya menerima dan memeriksa jurnal dari berbagai modul yang
dibuat oleh berbagai bagian di dalam perusahaan. Khusus untuk fixed asset,
seringkali perlu dibuat jurnal manual yang bersifat auto reverse pada sistem. Hal
ini dilakukan oleh Kepala Sub Bagian Akuntansi Proyek beserta dengan bagian
GL, yang dilakukan untuk kepentingan pelaporan, dimana closing AP/AR adalah
tanggal 3-5 (maksimal) dan GL adalah tanggal 10-15 (maksimal). Apabila modul
AP/AR harus menunggu, maka tidak akan ada lagi waktu untuk melakukan
analisis atas GL yang dapat berakibat tidak ditutup-tutupnya modul sehingga tidak
Audit sistem..., Sugeng Ivan, FE UI, 2013
72
Universitas Indonesia
dapat melaporkan laporan keuangan, sementara perusahaan harus menyerahkan
laporan manajemen terhadap Bapepam-LK pada tanggal yang telah ditentukan.
Jurnal Manual untuk pelaporan Akuntansi Proyek dibuat karena modul AP yang
diperlukan untuk kompilasi di Modul PC telah ditutup terlebih dahulu sedangkan
terdapat Proyek yang sudah serah terima dan berita acaranya sudah ditandatangani
(aset proyek sudah dapat diakui pada saat berita acara sudah ditandatangani).
Sehingga didapatkan pelaporan Aset-aset proyek yang lebih up-to-date yang harus
dilaporkan.
Jurnal manual umumnya dilakukan untuk 3 kasus :
1. Treatment accounting, contohnya untuk jurnal EIR atas obligasi.
2. Correction, yang mana jurnal atas correction ini merupakan jurnal
permanen (jurnal yang tidak akan di-reverse).
3. Rekonsiliasi Bank.
Semua jurnal manual bersifat self-review. Pembuat jurnal manual juga
yang melakukan review atas jurnal manual. Bagian GL & Pelaporan hanya
melakukan review secara umum melalui Trial Balance, jika didapati adanya
angka-angka yang tidak wajar, maka Bagian GL & Pelaporan baru melakukan
konfirmasi ke pemegang sub ledger terkait.
Staff Bagian GL & Pelaporan melakukan login ke modul GL dan
menggunakan fungsi GL Journal Entry, kemudian mengisi Batch Journal untuk
keperluan identifikasi Staff Pembuat jurnal manual dan mengisi periode kapan
jurnal manual dibuat. Hal ini digunakan untuk pelacakan jurnal apabila terjadi
error di subledger/trial balance.
Gambar 4.26 adalah tampilan ketika sebuah Batch Jurnal Baru dibuka.
Staff Bagian GL & Pelaporan lalu melakukan input jurnal manual dengan meng-
klik “Journals”. Jurnal manual selalu diidentifikasikan dengan nomor batch
“Manual NPP dan Tanggal”. Periode dimana jurnal manual dibuat wajib diisi.
Audit sistem..., Sugeng Ivan, FE UI, 2013
73
Universitas Indonesia
Gambar 4.26 Input New Batch dari Jurnal Manual
Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM
AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM
Dalam membuat jurnal manual ada beberapa parameter yang harus wajib diisi :
a. Field “Journal” adalah nomor jurnal manual untuk keperluan identifikasi
jurnal manual.
b. Field “Ledger” untuk memilih di buku besar mana jurnal manual akan
dicatat.
c. Field “Category” untuk menentukan jenis/kategori dari jurnal manual. Jurnal
manual selalu menggunakan kategori “Adjustment” dan “AutoReverse”.
Kategori jurnal sebenarnya ada banyak jenisnya, namun pihak Jasamarga
hanya menggunakan 3 kategori, “Adjustment”, “AutoReverse”, dan
“NotReverse”.
d. Lalu Box ”Reverse” diisi untuk menentukan di periode mana jurnal manual
akan di auto-reverse. Dan menggunakan metode apa serta statusnya saat ini
seperti apa.
Pada gambar 4.27, jurnal manual yang bersifat temporary (untuk keperluan
pelaporan) akan di-reverse di periode yang berikutnya secara otomatis. Sedangkan
Audit sistem..., Sugeng Ivan, FE UI, 2013
74
Universitas Indonesia
jurnal manual yang merupakan corrections sifatnya permanen dan tidak di-
reverse.
Dalam membuat jurnal manual wajib mengisi detail jurnal manual yang
dibuat. Semua field bersifat wajib. Dan yang paling penting adalah field “Kode
Aktivitas” dimana, berdasarkan hasil wawancara, apabila tidak diisi maka ketika
jurnal di-post input yang bersifat beban tidak akan ter-update. Kode Aktivitas
untuk jurnal manual adalah “99” yang merupakan kode untuk penyesuaian /
adjustments. Tampilan pengisian kode aktivitas ada di gambar 4.28.
Jurnal di-review oleh Staff pembuat jurnal lalu di Save (Siap untuk di-
posting oleh Kepala Bagian Sub GL & Pelaporan). Gambar 4.29 menampikan
tampilan aplikasi jurnal yang siap untuk di-posting. Setelah di-review jurnal akan
di-posting. Jurnal manual yang di-posting akan dilakukan auto reversal oleh
sistem setelah tiba waktunya sesuai dengan setting-an reversal ketika jurnal
dibuat. Auto Reverse bisa berjalan jika sistem ERP telah di-close semua modulnya
terutama GL. Jika tetap dibuka, Auto Reverse tidak akan berjalan. Akan tetapi ada
suatu kendala di sistem ERP, dimana Modul “Budgeting” yang sangat berkaitan
dengan Modul “GL” harus dibuka selama satu tahun kedepan untuk
menyesuaikan dengan SOP Jasa Marga. Hal ini mengakibatkan GL juga harus
dibuka selama satu tahun kedepan. Trigger dalam sistem ERP perusahaan untuk
menjalankan autoreverse adalah Open Period baru di GL, karena GL dibuka satu
tahun kedepan atau hingga akhir tahun, fungsi autoreverse sistem yang sudah
diset tidak bisa berjalan. Hal ini membuat bagian akuntansi harus melakukan
reversal/pembalikan secara manual di sistem. Hal ini terjadi sejak pertengahan
tahun 2012 sampai tahun 2013 (saat ini).
Jurnal Manual yang belum di-reverse dapat dilihat statusnya di Box
Reverse sebagai “Reversed”. Setelah dilakukan reverse manual, status akan
berubah menjadi “NotReversed” (sama seperti kondisi pada saat jurnal memang
tidak perlu dilakukan reversed/ jurnal permanen). Proses jurnal manual ini
awalnya dianggap tidak ada masalah oleh Tim Audit Sistem Informasi, namun
ketika menggali lebih dalam ditemukan adanya resiko yang cukup tinggi dari
tidak berjalannya fungsi auto reverse.
Audit sistem..., Sugeng Ivan, FE UI, 2013
75
Universitas Indonesia
Gambar 4.27 Header dari Jurnal Manual
Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM
AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM
Gambar 4.28 Detail Jurnal Manual
Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM
AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM
Audit sistem..., Sugeng Ivan, FE UI, 2013
76
Universitas Indonesia
Gambar 4.29 Jurnal Manual yang Siap Diposting
Sumber : Hasil Application Walkthrough Tim Audit Sistem Informasi KAP RSM
AAJ pada pelaksanaan Audit Sistem Informasi di PT JKLM
4.4 Analisis Dan Kesimpulan Audit Sistem Informasi
Setelah melakukan prosedur audit dan mengumpulkan berbagai macam
bukti hasil kajian dan pengujian. Tim audit sistem informasi melakukan analisis
atas hasil tersebut untuk mencapai sebuah kesimpulan. Berikut ini adalah analisis
atas hasil dan kesimpulan dari setiap kajian dan pengujian pengendalian umum
dan pengendalian aplikasi sistem informasi perusahaan.
Audit sistem..., Sugeng Ivan, FE UI, 2013
77
Universitas Indonesia
4.4.1 Analisis dan Kesimpulan Hasil Kajian Pengendalian Umum
Pada pengkajian dan pengujian pengendalian umum, tim audit sistem
informasi menemukan beberapa kelemahan pengendalian yang terdapat pada tiap
area yang diuji, yaitu :
Tabel 4.3 Analisis Hasil Kajian dan Pengujian Pengendalian Umum
No. Area Pengendalian
Umum
Kelemahan yang Menyebabkan Pengendalian
Tidak Efektif
1 Logical Security
Tidak terdapat kebijakan tentang keamanan
sistem informasi untuk sistem aplikasi ERP.
Disini termasuk kebijakan dan prosedur untuk
beberapa kontrol Logical Access perusahaan.
Beberapa prosedur pengelolaan pengguna seperti
penutupan Hak Akses Pengguna tidak diterapkan
secara benar. Hal ini bisa dilihat dari banyaknya
user ID yang tidak dimiliki oleh pegawai aktif.
Konfigurasi keamanan password tidak efektif.
Hal ini terbukti ketika Tim Audit Sistem
Informasi berusaha menguji parameter yang ada,
ternyata parameter-parameter tersebut tidak
bekerja sepenuhnya.
Tidak terdapat prosedur dan kebijakan
monitoring atas sistem administrator aplikasi
ERP.
2 Change Management
Tidak adanya kebijakan dan prosedur mengenai
pengelolaan emergency changes untuk sistem
aplikasi ERP.
3 Computer Operation Tidak adanya kebijakan mengenai pengelolaan
masalah dan insiden untuk sistem aplikasi ERP.
Dari kelemahan-kelemahan pengendalian diatas tim audit sistem informasi
menyimpulkan bahwa pengendalian umum perusahaan masihlah buruk. Hal ini
Audit sistem..., Sugeng Ivan, FE UI, 2013
78
Universitas Indonesia
dikarenakan karena perusahaan belum memiliki kebijakan dan standard umum
yang mengatur sistem informasi perusahaan. Dan apabila terdapat sebuah
kebijakan dan standard, hal tersebut tidak diterapkan dengan maksimal.
4.4.2 Analisis dan Kesimpulan Hasil Kajian Pengendalian Aplikasi
Berdasarkan hasil observasi yang Tim Audit Sistem Informasi lakukan atas
proses create Invoice di Biro Umum sampai dengan proses pembuatan jurnal
manual di Biro Akuntansi, terdapat beberapa pengendalian/kontrol yang ada di
sistem aplikasi pada proses tersebut. Namun masih terdapat isu/kelemahan yang
terdeteksi yang menyebabkan pengendalian aplikasi yang ada tidak efektif. Tabel
dibawah ini akan menjelaskan pengendalian yang ada dan kelemahan yang
menyebabkan pengendalian menjadi tidak efektif:
Tabel 4.4 Analisis Hasil Kajian dan Pengujian Pengendalian Aplikasi
No. Pengendalian (Control) Kelemahan yang Menyebabkan
Pengendalian Tidak Efektif
1
Setiap user di aplikasi ERP telah
diberi responsibility yang
menentukan modul apa di sistem
ERP yang bisa diakses oleh user
tersebut.
Akun (username dan password) dari
Kepala Bagian Tata Usaha selaku
atasan, yang diketahui oleh beberapa
Juru Tata Usaha Inventarisasi Barang
(pada biro dan bagian yang sama).
Hal ini dapat menimbulkan risiko
approval atas PO dan Receipt PO
yang tidak tepat.
Akun (username dan password) dari
Kepala Bagian Administrasi selaku
atasan, yang diketahui oleh beberapa
Staff pembuat Invoice atau Staff
Pratama 1 (pada biro dan bagian yang
sama). Hal ini dapat menimbulkan
risiko approval atas Invoice yang
tidak tepat.
Audit sistem..., Sugeng Ivan, FE UI, 2013
79
Universitas Indonesia
No. Pengendalian (Control) Kelemahan yang Menyebabkan
Pengendalian Tidak Efektif
2
Pembuatan PO di sistem aplikasi
berdasarkan pada PPA yang telah
ada/dibuat, jika tidak berdasarkan
pada PPA tertentu, PO tidak akan
dapat dibuat.
-
3
Terdapat penomoran dan
penanggalan PO otomatis oleh
sistem.
-
4
Terdapat Records/ Logs yang
menampilkan status dari tiap PO
yang dibuat untuk dilakukan
monitor.
-
5
Terdapat Records/ Logs yang
menampilkan kondisi dari tiap
jurnal akuntansi yang dibuat pada
saat penerimaan Receipt barang.
6
Pembuatan Receipt PO
berdasarkan pada PO yang telah
ada.
-
7
Terdapat penomoran dan
penanggalan Receipt otomatis
oleh sistem.
-
(Tabel 4.3 - Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
80
Universitas Indonesia
No. Pengendalian (Control)
Kelemahan yang Menyebabkan
Pengendalian Tidak Efektif
8
Terdapat fungsi transfer data Aset
Clearing secara otomatis dan
terjadwal dari Modul Purchasing
ke Modul Asset Management
sehingga mengurangi resiko
terjadinya kesalahan selama
proses transfer.
Di module Asset Management, untuk
jenis aset clearing tidak dilakukan
pengecekan apakah semua aset
clearing yang masuk sudah ditransfer
atau tidak dari module Purchasing ke
module Asset Management. Serta
tidak terdapat monitoring atas proses
penarikan data aset yang dilakukan
secara otomatis dari Purchasing
Module ke Asset Management.
9
Pada proses Create Invoice
terdapat fungsi matching yang
memeriksa kesamaan antara
Invoice yang akan dibuat dengan
Receipt sehingga jumlah atas
Invoice yang dibuat akan sesuai
dengan Receipt-nya.
-
10
Terdapat Records/ Logs atas tiap
Invoice yang dibuat yang memuat
status dari Invoice tersebut untuk
dilakukan monitor.
-
11
Proses persetujuan atas Invoice
dibuat dengan 2 tingkatan
approval (approval hierarchy),
yaitu dari Biro Umum Bagian
Administrasi dan Biro Keuangan
& Akuntansi Bagian Akuntansi
Proyek/Utang & Piutang.
-
(Tabel 4.3 - Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
81
Universitas Indonesia
No. Pengendalian (Control) Kelemahan yang Menyebabkan
Pengendalian Tidak Efektif
12
Terdapat fitur warning dari sistem
atas dokumen yang tidak match
dan kesalahan yang akan dibuat
oleh user seperti Invoice yang
telah dibayar akan dibayar lagi
sudah cukup memadai.
-
13
Terdapat pengendalian otomatis
dalam sistem agar ID Project
yang sudah di-closed tidak dapat
dikapitalisasi lagi.
-
14
Sistem Batch untuk
pengidentifikasian user dalam
membuat/ mem-posting Invoice
dan Jurnal Manual yang
mempermudah pelacakan apabila
ada kesalahan.
Adanya jurnal manual yang tidak ter-
autoreverse secara otomatis di dalam
sistem dan harus dilakukan manual.
Hal ini akan meningkatkan risiko
adanya jurnal manual yang tidak ter-
reverse di dalam sistem.
Sesuai hasil pengujian yang Tim Audit Sistem Informasi lakukan, Tim Audit
Sistem Informasi menyimpulkan bahwa pengendalian yang ada di sistem aplikasi
sudah cukup baik. Karena semua isu/kelemahan diatas tidak disebabkan oleh
sistem, melainkan disebabkan oleh faktor user atau manusia yang meng-override
sistem/pengendalian aplikasi yang telah ada. Hal ini menjadi praktek yang kurang
baik di operasi perusahaan dan harus diperbaiki secepat mungkin.
(Tabel 4.3 - Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
82 Universitas Indonesia
BAB V
KESIMPULAN & SARAN
5.1 Kesimpulan
Dari hasil review dan pengujian atas sistem informasi perusahaan dalam
pelaksanaan audit sistem informasi, penulis menyimpulkan bahwa terjadi banyak
ketiadaan control atau ketidak efektifan control baik itu pengendalian umum
sistem informasi maupun pengendalian aplikasi sistem informasi. Sehingga bisa
dikatakan bahwa pengendalian umum dan pengendalian aplikasi sistem informasi
pada PT JKLM tidak efektif. Ketiadaaan dan ketidakefektifan control itu berakibat
pada tingginya resiko sistem informasi yang ada pada perusahaan yang secara
tidak langsung berimbas pada laporan keuangan perusahaan. Berikut ini adalah
ketiadaan, ketidakefektifan, dan kelemahan pengendalian yang ada pada sistem
informasi PT JKLM :
1. Pengelolaan keamanan sistem informasi Perusahaan saat ini telah
dilakukan, namun belum terdapat acuan baku berupa kebijakan dan
prosedur untuk dapat memastikan pengelolaan tersebut sesuai dengan
kebutuhan Perusahaan.
2. Berdasarkan observasi atas proses Create PO & Receipt PO pada sistem
aplikasi Oracle E-business Suite pada Bagian Logistik, terdapat Staf Tata
Usaha Inventarisasi Barang yang dapat melakukan proses approval pada
sistem aplikasi atas aktivitas create/reject PO yang menjadi wewenang
Kepala Bagian Logistik. Hal ini dikarenakan Staf tersebut menggunakan
user ID dan password milik Kepala Bagian Logistik.
3. Selain itu, berdasarkan observasi atas proses Create Invoice sistem aplikasi
Oracle E-business Suite pada Bagian Administrasi, terdapat Staf Pratama
Satu Bidang Penatausahaan dapat melakukan approval pada sistem
aplikasi aktivitas atas create/reject invoice yang menjadi wewenang
Kepala Bagian Administrasi. Hal ini dikarenakan Staf tersebut
menggunakan user ID dan password milik Kepala Bagian Administrasi.
Audit sistem..., Sugeng Ivan, FE UI, 2013
83
Universitas Indonesia
4. Perusahaan telah memiliki catatan aktivitas atas akses system
administrator dan seluruh pengguna pada sistem aplikasi Oracle E-
business Suite namun belum dilakukan proses review dan monitoring
terhadap akses yang dilakukan oleh system administrator. Selain itu
Perusahaan belum memiliki kebijakan dan prosedur yang mengatur
mengenai proses review dan monitoring akses administrator dan pengguna.
5. Biro Teknologi Informasi Perusahaan telah melakukan aktivitas penutupan
hak akses user sistem aplikasi Oracle E-business Suite untuk karyawan
yang telah pensiun/mengundurkan diri berdasarkan informasi yang
diperoleh dari Biro Sumber Daya Manusia. Akan tetapi, tidak terdapat
dokumentasi atas aktivitas penutupan hak akses user sistem yang telah
dilakukan oleh Biro Teknologi Informasi Perusahaan.
6. Berdasarkan observasi, user ID sistem aplikasi Oracle E-business Suite
dibuat berdasarkan Nomor Pegawai Perusahaan. Namun dari hasil analisis
terhadap 5.701 user ID yang masih berstatus aktif, terdapat 731 user ID
yang tidak ada pada daftar karyawan per 31 Desember 2012 dan 16 user
ID yang dibuat tidak berdasarkan nomor pegawai.
7. Berdasarkan informasi yang diberikan oleh Biro Teknologi Informasi
Perusahaan (TIP) bahwa penutupan akses user belum dilakukan untuk
karyawan yang sudah pensiun dan tidak bekerja di Perusahaan serta
konsultan yang sudah menyelesaikan kontrak dengan Perusahaan.
8. Dalam pembuatan proses jurnal manual pada sistem aplikasi Oracle E-
business Suite, pengguna dari Biro Akuntansi dapat memilih opsi
automatic reverse journal untuk jurnal yang siaftnya sementara dan
membutuhkan reversal sehingga pada awal periode berikutnya, jurnal
manual tersebut dapat secara otomatis membentuk jurnal reversal. Namun
fasilitas automatic reverse journal tersebut tidak dapat berfungsi dengan
baik; Dikarenakan tidak berfungsinya fasilitas automatic reverse journal,
pada awal bulan pembukuan, jurnal reversal harus dibuat secara manual.
Audit sistem..., Sugeng Ivan, FE UI, 2013
84
Universitas Indonesia
5.2 Saran
Saran adalah usulan dan masukan yang menjadi fokus perhatian penulis kepada
pihak-pihak yang terkait laporan magang ini. Pihak-pihak tersebut adalah klien,
kantor akuntan publik, dan departemen akuntansi FEUI.
5.2.1 Saran Untuk Klien
Berdasarkan review yang telah dilakukan, maka saran yang dapat diberikan pada
PT JKLM adalah sebagai berikut:
1. Mengesahkan kebijakan dan prosedur keamanan sistem informasi agar
dapat menjadi landasan dan acuan yang jelas.
2. Melakukan review secara periodik atas kebijakan dan prosedur keamanan
sistem informasi agar dapat menunjang strategi IT dan perubahan proses
bisnis Perusahaan.
3. Melakukan sosialisasi atas kebijakan dan prosedur keamanan sistem
informasi kepada seluruh karyawan dan mendokumentasikan hasil
sosialisasi tersebut. Adapun pendokumentasian termasuk diantaranya
materi sosialisasi maupun daftar kehadiran untuk dapat memastikan
kecukupan sosialisasi yang telah dilakukan dalam memastikan bahwa
kebijakan dan prosedur keamanan sistem informasi telah diinformasikan
kepada seluruh pengguna sistem informasi.
4. Mengimplementasikan kebijakan dan prosedur keamanan terkait
management password yang mencakup namun tidak terbatas pada
pengaturan minimal keamanan password, seperti:
a. Password minimal terdiri dari 6 karakter.
b. Pengaturan password history, yaitu: tidak dapat menggunakan
password yang sama dengan sebelumnya minimal sebanyak 3 kali.
c. Masa kadaluarsa password minimal selama 90 hari.
d. Akses harus terkunci setelah minimal 5 kesalahan input password.
e. Password harus menggunakan alpha numeric, yaitu kombinasi
antara angka dan huruf.
Audit sistem..., Sugeng Ivan, FE UI, 2013
85
Universitas Indonesia
f. Audit Internal melakukan pengecekan atas penerapan kebijakan
dan prosedur keamanan password secara periodik.
5. Mengidentifikasi tren dan sumber-sumber yang berpotensi menjadi suatu
masalah dikemudian hari dengan cara mengkaji ulang penelitian incident
dan problem yang pernah dilakukan sebelumnya dan mengambil langkah-
langkah pencegahan serta mendokumentasikan langkah-langkah
penyelesaiannya, serta dilaporkan secara berkala.
6. Mendokumentasikan aktivitas program changes maupun emergency
program changes dan melaporkannya kepada manajemen.
7. Perusahaan sebaiknya melakukan sosialisasi mengenai pentingnya
menjaga kerahasiaan user ID dan password serta risiko atas penggunaan
user ID secara bersama-sama.
8. Perusahaan diharapkan membuat kebijakan dan prosedur terkait proses
review dan monitoring terhadap akses user sebagai acuan dalam
menjalankan aktivitas proses review dan monitoring atas akses user.
9. Perusahaan sebaiknya melakukan review dan monitoring atas akses user
secara berkala untuk mengawasi dan mencegah atas tindakan dan
pelanggaran sistem informasi, dan memastikan bahwa akses yang
dilakukan oleh pengguna sistem informasi sesuai dengan wewenangnya.
Adapun aktivitas review dan monitoring yang dilakukan oleh Perusahaan
harus didokumentasikan dan dilaporkan secara berkala.
10. Audit Intern secara berkala melakukan pengecekan atas proses review dan
monitoring akses user guna memastikan proses tersebut telah dilaksanakan
oleh Perusahaan.
11. Perusahaan sebaiknya mendokumentasikan form penutupan hak akses user
yang dilengkapi dengan Surat Tugas dan Surat Keputusan untuk karyawan
yang akan pensiun/mengundurkan diri dan mendapatkan persetujuan dari
Kepala Biro Teknologi Informasi Perusahaan. Selain itu, proses penutupan
hak akses user harus segera dilakukan paling lambat dalam waktu 1
Audit sistem..., Sugeng Ivan, FE UI, 2013
86
Universitas Indonesia
minggu setelah karyawan pensiun/mengundurkan diri untuk menghindari
penggunaan user ID oleh pihak yang tidak berwenang.
12. Perusahaan sebaiknya melakukan penutupan hak akses user sistem sesuai
dengan prosedur yang berlaku untuk karyawan/pihak yang sudah tidak
memerlukan akses.
13. Perusahaan sebaiknya melakukan review dan monitoring atas akses user
secara berkala untuk memastikan bahwa hak akses yang diberikan telah
sesuai dengan wewenangnya serta untuk mengawasi dan mencegah atas
tindakan dan pelanggaran sistem informasi. Adapun aktivitas review dan
monitoring yang dilakukan oleh Perusahaan harus didokumentasikan dan
dilaporkan secara berkala.
14. Perusahaan diharapkan untuk melakukan kajian untuk dapat menemukan
solusi agar permasalahan mengenai fungsi automatic reverse journal yang
tidak dapat berfungsi dengan baik dapat terselesaikan. Hal ini
membutuhkan koordinasi dan komunikasi antara Biro Akuntansi dan Biro
Teknologi Informasi Perusahaan agar dapat menemukan solusi yang tepat
dan efisien atas permasalahan ini.
5.2.2 Saran Untuk Kantor Akuntan Publik
Dari pengalaman magang penulis di KAP RSM AAJ selama 3 bulan, ada beberapa
saran yang dapat penulis berikan:
1. Sebaiknya KAP mengadakan pelatihan yang sesuai terlebih dahulu untuk
mahasiswa yang melaksanakan magang agar peserta magang yang
bertindak sebagai junior auditor telah dianggap klien mempunyai
kemampuan yang sama dengan auditor yang menjadi pegawai tetap.
Selama magang pelatihan diberikan waktu pertama kali dan itu tidak
sesuai dengan apa yang dikerjakan ketika penugasan. Penulis jadi cukup
kesulitan diwaktu awal untuk melakukan adaptasi dan pemahaman.
2. Sebaiknya pada waktu penugasan Audit sistem informasi, tim audit
keuangan ikut mendampingi tim Audit Sistem Informasi. Sehingga tim
Audit sistem..., Sugeng Ivan, FE UI, 2013
87
Universitas Indonesia
Audit Sistem Informasi bisa mendapatkan pemahaman alur prosedur yang
lebih cepat dan tidak harus mencari dulu sendiri terlebih dahulu.
3. Komunikasi antara tim Audit Sistem Informasi dan tim audit keuangan
harus ditingkatkan kembali jika ada penugasan audit yang membutuhkan
kedua tim tersebut. Dalam selama magang, tim audit keuangan
menganggap tim Audit Sistem Informasi seperti konsultan luar yang
disewa tim audit keuangan bukan rekan kerja internal KAP sehingga
komunikasinya sangatlah minim.
4. Dalam penugasan Audit Sistem Informasi sebaiknya jangan menugaskan
tenaga yang terlalu sedikit. Sebagai contoh Audit Sistem Informasi PT
JKLM ini yang hanya dikerjakan oleh dua orang, seorang senior auditor
dan penulis sendiri. Dan hanya dibantu satu manajer yang sangat jarang
bergerak dilapangan.
5.2.3 Saran untuk Departemen Akuntansi FEUI
Saran yang dapat penulis berikan pada Departemen Akuntansi Fakultas Ekonomi
Universitas Indonesia untuk perbaikan program magang selanjutnya adalah
sebagai berikut:
1. Departemen akuntansi FEUI sebaiknya mencantumkan dalam kontrak
dengan perusahaan tempat magang sebuah jaminan bahwa mahasiswa
yang melakukan kegiatan magang akan diberikan supervisi dan training
yang memadai sesuai dengan pekerjaannya.
2. Memperbanyak kerjasama dengan perusahaan-perusahaan untuk
pelaksanaan program magang sehingga pilihan peserta magang lebih
variatif, karena program magang ini sangat berguna bagi para mahasiswa
untuk memperoleh pengalaman dalam menghadapi dunia pekerjaan.
Audit sistem..., Sugeng Ivan, FE UI, 2013
88
Universitas Indonesia
DAFTAR REFERENSI
Arens, A., Beasley, M., & Elder. (2008). Principal Of Auditing. New Jersey:
Pearson Prentice Hall.
Bagranof, N., Briyant, S., & Hunton. (2003). Core Concepts of Information
Technology Audit. New York: John Wiley & Sons.Inc.
Cascarino, Richard. (2007). Guide to Information Systems Auditing. New York:
John Wiley & Sons.Inc.
Kroenke, D M. (2008). Experiencing Management Information Systems. New
Jersey: Pearson Prentice Hall
Longley, Dennis, & Michael Shain. (1985). Dictionary of Information
Technology. New York: Macmillan Press.
McLeod, Raymon, & George Schell. (2008). Management Information Systems.
New Jersey: Pearson Prentice Hall.
PT JKLM. (2012). Pedoman Akuntansi Perusahaan.
PT JKLM (2012). Standard Prosedur Procure to Pay ERP Biro TIP PT JKLM.
RSM AAJ Associates. (2012). Employee Handbook.
Romney, Marshal, & Paul Steinbart. (2009). Accounting Information System. New
Jersey: Pearson Prentice Hall.
Sawyer, Williams. (2007). Using Information Technology Terjemahan Indonesia.
Jakarta: Penerbit ANDI.
Turban, E., Rainer, K., & Potter. (2005). Introduction to Information Technology.
New York: John Wiley & Sons.Inc.
Weber, Ron. (1999). Information System Control and Audit. New Jersey: Pearson
Prentice Hall.
Website PT JKLM. 04 Juni 2013.
Audit sistem..., Sugeng Ivan, FE UI, 2013
89
Universitas Indonesia
Lampiran I : Server Physical Security Checklist
Server Physical Security Checklist Version : Server Physical Security Checklist 1.1
Client : PT JKLM. Prepared by : BHOBHOBHO BHO
IQB Date : 11/02/2013
Engagement : Audit Sistem Informasi Support
Reviewed by
: Date :
The following physical security checklist is applied to the following server(s):
No
. Server Name Description
1. SUN Oracle SPARC M4000 ERP
2. SUN Oracle SPARC M5000 ERP Database
Based on the observation, we have found the servers are:
No. Criteria 1 2 3 4 5
1. Located in a separated room. √
2. Located in a locked room. √
3. Located in a restricted room with access logs. √
4. Located in a room with a smoke detector. √
5. Located in a room with a fire extinguisher. √
6. Located in a room without water pipes. √
7. Located in a room with a thermometer. √
8. Located in a temperature between 18,3 – 20,5 oC. - 22
oC
9. Located in a room with a hygrometer (humidity
measurement).
√
10. Located in 45% - 50% humidity. - 42%
11. Located in a room with raised floor. √
12. Having main buttons (e.g. power and reset)
protection.
√
13. Using password-protected screensaver. √
14. Not located near an open window. √
15. Located on a stable platform. √
16. Not close to a heater. √
17. Not close to a water source. √
18. Marked for inventory. -
19. Using updated and anti-virus software. √
20. Arranged properly with tidy cables. √
21. Supported by UPS √
Audit sistem..., Sugeng Ivan, FE UI, 2013
90
Universitas Indonesia
Lampiran II : Information System Risk Control Matrix
Client name: PT. JKLM Tbk.
Sign-off: Initials Date
Prepared: ERL 10/12/2012
Reviewed:
This form is completed to identify if the IS controls that address potential risks are designed effectively. If we are planning to rely on the IS General Control process all controls must be designed effectively. Key issues identified should be carried forward to form Key Issues Identified 0740.MPQ.
Step 1: Determine if the entity has each control in place. Step 2: If the entity has the control in place, describe other specific information relating to that control. Step 3: Perform a walkthrough of each control and detail any document numbers and any other pertinent details. Step 4: Determine if the control is designed effectively.
No. Audit Procedure Y or N Comment and/or Ref.
1. Is the entity a publicly listed entity? Y -
If Yes then, Consider contacting an IS Specialist to test IS General Controls or to discuss design ineffectiveness with management.
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
A
Does the entity ensure that policies and procedures exist to ensure effective IS management and IS staff supervision?
- - - - - -
A1
There is a formal IS security policy which is approved by the appropriate
N The company has the IS Security Policy (“Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi”), but it has not
Interview & Document review
1. Tata Kelola Teknologi Informasi Kebijakan dan Pedoman (draft)
N Y
Audit sistem..., Sugeng Ivan, FE UI, 2013
91
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
level of management and communicated to new employees. ○i
been formalized by the authorities and is still in a draft form, which includes: - Section 1 Objectives
and Scope - Section 2 Definition - Section 3 Reference - Section 4 General
Provisions - Section 5 IT Security
Planning and Organization
- Section 6 Management Responsibility
- Section 7 IT Asset Management
- Section 8 Personnel Security
- Section 9 Physical Security and Environmental Management
- Section 10 IT Security Management Tools
- Section 11 Identity and Access Control
- Section 12 Password Management
- Section 13 Networking Security
- Section 14 IT Security Assessment
- Section 15 Printed Documents Security
- Section 16 Exchange of Information
- Section 17 Encryption (Cryptographic) Techniques Usage
- Section 18 Finale
A2 An information systems security policy
N Since the IS Security Policy is still in a draft form, it has not been
Interview & Docu
1. Tata Kelola Teknologi Informasi
N Y
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
92
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
is reviewed periodically. ○i
reviewed periodically.
ment review
Kebijakan dan Pedoman (draft)
B
Does the entity ensures that access to programs, data and IS assets or services are authorized?
- - - - - -
B1
A formal approval is received for new access (or modifications to access) to information systems due to the transfer of employees to a new department.○i
Y Based on the review of “Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP” document which has been legalized on May 24th, 2011 and approved by Head of TIP Bureau (Mr. Bambang Sulistyo), there is procedure to open the access rights for employees: new employees, non-structural employees and management trainees, as well as structural employees. New employees (permanent worker) will be given a standard access right, which is right to access Self Service Module that consists of Payslip application, CV and Performance Appraisal. Standard access right is not given to the Management Trainee.
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP
Y N
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
93
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
A. New Employees: 1. MSDM Bureau
requests to ERP Admin (TIP Bureau) to open the standard access rights through hiring decree (Surat Keputusan Penerimaan Pegawai).
2. ERP Admin (TIP Bureau) opens the standard access rights for the employee and then confirms the execution to the MSDM Bureau.
3. MSDM Bureau instructs the employee to change the password.
B. Non-structural, MT and
Structural Employees: 1. MSDM Bureau
does the employee placement on the unit of work. Employee will need ERP access rights, therefore Requester (Work Unit/Branch Office/Project Leader/Subsidiary) will propose to open the ERP access rights by preparing Form 01/ERP/HA (for Non-structural & MT employees) or Form 02/ERP/HA (for Structural employees) to be given to ERP Module Owner.
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
94
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
2. ERP Module Owner reviews the request and makes decisions. If approved, ERP Module Owner will assign ERP Admin to open ERP access rights; if not, ERP Module Owner will inform the rejection reason to applicant.
3. ERP Admin (TIP Bureau) then opens the ERP access rights according to the responsibility on the form; sign in the form and handed the copied form to HRM Bureau.
4. HRM Bureau receives the copy of the form while the Requester receives the ERP access rights opening process result. If Requester is objected with the given responsibility, Requester can discuss it with the ERP Module Owner.
Moreover, the detail approval procedure is also explained in the IT System Access Rights Opening Form (Form Pembukaan Hak Akses Sistem ERP).
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
95
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
B2
Access to information systems is revoked on a timely basis when employees are terminated. ○i
Y Based on the review of "Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP” document which was legalized on May 24th, 2011 and approved by the Head of TIP Bureau (Mr. Bambang Sulistyo), employees whose ERP access rights is about to be closed, are employees who are about to resign, layoff-ed, retire, or dead. The ERP access rights closing procedures are:
1. HRM Bureau assigns ERP Admin to close the ERP access rights by providing a letter of assignment attached with decree.
2. ERP Admin will conduct the ERP access rights closure for those employees. Then report the ERP access rights closure to the HRM Bureau by providing Form 05/ERP/HA.
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Prosedur Pembukaan dan Pengubahan Hak Akses Pengguna ERP
N Y
B3
Access to application source codes and production data is restricted. ○i
Y Based on interviews, TIP Bureau is the only party who has the authorization to access the application source codes and production data. For the ERP (Oracle)
Interview
1. MoM_JM_ITGC_05122012
Y N
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
96
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
system, the source code is not given to the TIP Bureau, instead, it is just held by the vendor, but for the application which was made upon company’s request, the source code is given at the same time when the deployment to production is executed. The source code is managed by TIP Bureau (IT Management System Division) Sub Division of Application Management & Database and Sub Division of Web Management.
B4
Adequate password policy is established. ○i
N Based on interviews, TIP Bureau hasn’t had the middleware identity management so the user identity is made by each application. For ERP application system, company applies the minimum password complexity as follows:
Minimum length: 6 characters
Password history: cannot re-use 1 previous password
Password expiration: no, but as soon as default password is given from Biro TIP, the system will automatically insists user to change the password.
Access locked after 3 invalid attempts
Password should be
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Tata Kelola Teknologi Informasi Kebijakan dan Pedoman (draft)
N Y
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
97
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
alpha-numeric characters.
Based on the review “Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi”, there is password management policy which consists: password organizing policy, password storage, password validity, password protection, password recovery, and also job and responsibility functional system management.
B5
Administrator accounts are restricted to authorized personnel and their access is monitored. ○i
Y Based on interviews, the rights as System Administrator is hold by 2 persons: TIP Bureau of Information Technology System Management and Vendor. Log of the System Administrator activities is not monitored.
Interview
1. MoM_JM_ITGC_05122012
N Y
B6
User access is periodically reviewed by IS managers. ○i
N Based on interviews, user access has not been monitored by the IS Manager. Whenever there is employee mutation, resignation, or retirement, the employee’s old responsibility will be closed. This deactivation is considered as the control because automatically, the user access rights are monitored.
Interview
1. MoM_JM_ITGC_05122012
N Y
B7 Adequate Y Based on interviews, the Intervi 1. MoM_JM_I Y N
(Lanjutan) (Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
98
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
physical access is established to restrict access to authorized personnel. ○i
company has two servers: server for ERP system at JKLM Head Office and collocation server for application system which requires internet access at Cyber 2 Kuningan Building. To enter the data center room, guests must have the letter of assignment, fill in the guest book and then they will be companied by PIC who has the ID card to get the access to enter the data center room. Based on the review of “Tata Kelola Teknologi Informasi Kebijakan dan Pedoman” on chapter “Pengelolaan Keamanan Teknologi Informasi” and “Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja (Standar Ruang Data Center)” document, it is written that:
- Either in/ out access is equipped with the access card which authorization is done locally.
- Data Center access should be closed and locked (only opens when used for passing).
- Access to enter the data center must use the dual authorization factor (example: access card + pin, access card + biometric,
ew & document review
TGC_05122012
2. Tata Kelola Teknologi Informasi Pedoman Pengelolaan dan Keamanan Teknologi Informasi (draft)
Audit sistem..., Sugeng Ivan, FE UI, 2013
99
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
etc). - Every activity that
has been done in data center must be recorded in the log book.
- Only personnel who have authority from the PIC may enter the data center.
- Every visitor must be accompanied/ monitored by their PIC/host, sign the visitor’s term and condition and put on the visitor ID card.
- It is not allowed to leave the visitor in the data center room alone.
C
Does the entity ensure that there are policies in place to prevent destruction of data, improper changes, unauthorized transactions or inaccurate recording of transactions?
- - - - - -
Audit sistem..., Sugeng Ivan, FE UI, 2013
100
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
C1
A formal process is established for changes to applications, interfaces and scheduled batch jobs (i.e. initiation, approval and revision). ○i
Y Based on interviews, the change request procedures for ERP application system is: user fills the Change Request Form, handed the form to the TIP Bureau to be forwarded to the consultant. Consultant analyzes what should be done with the change request and how much it would cost; explained the result to the end user (about the change consequences, the cost, etc). If end user and Head of Unit agree, they will sign the Change Request Form, and the change is permitted to be executed. The changes can be a technical change or a functional change. For application system other than ERP, the change request procedure is similar; it only differs in its documents in which it uses the Official Memorandum instead of Change Request Form. Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized and approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on June 2011, these are software application change procedures:
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Prosedur Pengubahan Aplikasi Perangkat Lunak
Y N
Audit sistem..., Sugeng Ivan, FE UI, 2013
101
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
1. Application owner (working unit that is responsible for the application and taking charge on it) proposes the application change request to TIP Bureau with Change Request Form (CRF).
2. TIP Bureau coordinates with the vendor regarding the application change request.
3. Vendor identifies the work scope and costs needed, and submit it to the TIP Bureau to send it to the Application owner.
4. Application owner evaluates the work and the cost that is needed by Vendor. If the application is not approved, then the process will be discontinued, but if it is approved, then the evaluation will be submitted to the IT Bureau for further evaluation.
5. If TIP Bureau approves the evaluation, then Application owner will conduct the goods and services procurement process according to the “SOP Pelaksanaan Pengadaan Barang/Jasa di Lingkungan Perusahaan”.
Audit sistem..., Sugeng Ivan, FE UI, 2013
102
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
6. Vendor modifies the application according to CRF which has been signed by the Application owner; deploy the application to UAT Server to do the testing; and prepare the test script and application user guide in order to fulfill the UAT process requirement.
7. Application owner conducts the UAT process. If the application is conformed to the Application owner’s requirement, then “Berita Acara UAT” will be signed by the Application owner.
8. Therefore, Vendor must revise the documentation related to the changed application and submitted to the Application owner. Afterwards, Vendor must deploy the application to the Production Server so that the application will be ready for the user.
C2
Changes to interfaces and scheduled batch jobs (including backups) are tested before implementatio
Y Based on interviews, after the change is done, a test is conducted. After the test is being conducted, the application will be deployed to the production server.
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Prosedur Pengubahan Aplikasi Perangka
Y N
Audit sistem..., Sugeng Ivan, FE UI, 2013
103
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
n to ensure they conform to specified requirements and meet business/user needs. ○i
Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized by Mr. Bambang Sulistyo (Head of TIP Bureau) on June 2011, Vendor will execute the change; prepare test script for UAT which will be done by Application Tutor (only), before the application is deployed on the production server.
t Lunak
C3
The transfer of programs into the production environment is separated from the developer/programmer. ○i
Y Based on interviews, when development is being executed in the development environment (usually developer is the vendor), TIP Bureau will give vendor the responsibility as System Administrator. When the programming is done, developer will discuss about the method which will be used to do the deployment to the production server, with TIP Bureau of IT System Management Division (Sub Division Application Management and Database). If the Sub thinks that they need to be accompanied by the developer, they will be accompanied. But because of the activity related to ERP systems in production server is running on and if terminated would disrupt the company's operations,
Interview & document review
1. MoM_JM_ITGC_05122012
2. Prosedur Pengubahan Aplikasi Perangkat Lunak
Y N
Audit sistem..., Sugeng Ivan, FE UI, 2013
104
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
the Sub Division will ask for the script, and then run them one-on-one on the production server. Based on the review of “Prosedur Pengubahan Aplikasi Perangkat Lunak” document which has been legalized and approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on June 2011, Vendor as the developer/programmer will do the change, deploy the application at UAT Server for testing (written in the document: “This process should be accompanied by IT Tutor Work Unit”) and after the UAT is finished, vendor will also deploy the application to production server (written in the document: “This process should be accompanied by IT Tutor Work Unit”) so it can be used by user.
C4
Emergency program change process is established (i.e. approval, testing, documentation, monitoring). ○i
N Based on interviews, the situation for emergency program changes never happens; also there is no procedure for emergency program changes process. Based on review of “Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja” document which has not been legalized, for an emergency program changes (for both major/minor categories), there should be additional
Interview & Document review
1. MoM_JM_ITGC_0512201
N Y
Audit sistem..., Sugeng Ivan, FE UI, 2013
105
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
legalization other than Change Authority and/or CAB: it is Emergency Cab (ECAB). (Look C1).
C5
Formal process is established to access/modify production data and data structures (i.e. approval, testing, documentation and monitoring). ○i
Y Based on interviews, to access/modify production data and data structures, TIP Bureau will contact the vendor and consult with them if they really need to access/modify the production data and data structures. However the PIC who has the access key to the database is TIP Bureau of IT Management System Division (Sub Division Application & Basis Data Management and Sub Division Web Management).
Interview
1. MoM_JM_ITGC_0512201
Y N
D
Does the entity ensure that there are policies in place to prevent reliance on systems/programs that inaccurately process data or process inaccurate data?
- - - - - -
Audit sistem..., Sugeng Ivan, FE UI, 2013
106
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
D1
Formal procedures are established for reporting, managing and resolving problems/incidents. ○i
Y Based on interviews, if there is a problem, there will be a Helpdesk which has 2 tiers: Company TIP Bureau as tier 1 and vendor as tier 2. Problem proposed by the user will be forwarded to tier 1. If it can be solved by tier 1, then the problem will be fixed and given back to the end user. However, if the problem cannot be solved by tier 1, then the problem will be forwarded to tier 2. Incident/problem is recorded manually in Helpdesk, however for Helpdesk specified for ERP system; there is a portal named “Portal Support ERP” which displays every problem that has been occurred with its solution, as user’s guidance to handle any similar problems. Based on review of “Tata Kelola TI Pedoman Pengelolaan Keamanan TI” document draft, there are two types of problem management: incident management and problem management.
Interview & Document review
1. MoM_JM_ITGC_05122012
2. Tata Kelola Teknologi Informasi Kebijakan dan Pedoman (draft)
3. Tata Kelola Teknologi Informasi Prosedur dan Instruksi Kerja (draft)
N Y
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
107
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
D2
Scheduled jobs are monitored to identify problems or incidents for timely resolution. ○i
Y Based on interviews, scheduled jobs, such as backup, are monitored by using the application management at least once a week. But there is no monitoring report. While the antivirus update is also monitored by using appliance proxy supports.
Interview
1. MoM_JM_ITGC_05122012
Y N
D3
Backup policy and procedures are established (i.e. frequency, review, storage, retention, testing and documentation). ○i
Y Based on interviews, ERP system is backed up locally by using Symantec net backup for daily backup and monthly backup. Daily backup is not recorded to the tape, however monthly backup is recorded to the tape and kept by the administrator. On the other hand, for online backup the company uses DRC. Based on the document review, the company has “Prosedur Backup Aplikasi dan Database Portal Internal dan ERP” which was approved by Head of TIP Bureau (Mr. Bambang Sulistyo) on May 31st, 2011. The document consists of: I. Authority, Purpose,
Scope, Definition; II. Backup Application
Procedure and Company Internal Database Portal;
III. Backup Application Procedure and ERP Database
Document review
1. Prosedur Backup Aplikasi dan Database Portal Internal dan ERP
Y N
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
108
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
D4
Disaster recovery plan is established. ○i
Y The company has a Disaster Recovery Plan SOP which was prepared by PT. Sigma Solusi Integrasi (consultant), reviewed and approved by both PT. JKLM Tbk. And PT. Sigma Solusi Integrasi (consultant) on March 13th, 2012. The document consists of: I. DRP Arrangement
Guidelines; II. DRP Supportive Data
Collection; III. Risk Assessment; IV. Continuing Process
and Operation Priority Arrangement;
V. SOP Disaster Recovery Center: 1. PT. JKLM , Tbk
DRC Policy. 2. Physical Access
Procedure. 3. Monitoring and
Maintenance Procedure.
4. Hardware and Equipment Transfer Procedure.
5. JKLM Disaster Recovery Center Activation Procedure.
6. PT. JKLM , Tbk. Disaster Recovery Center Rollback/Deactivation Procedure.
7. Change Management Procedure.
Document review
1. SOP DRC PT. JKLM Tbk.
Y N
(Lanjutan) (Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013
109
Universitas Indonesia
Control #
Description of Control
In Place? Y or
N
Additional control description
Walkthroug
h Performed
Document # and Pertinent
Details
Effective?
Y or N
Key Issues
Identified 740.MPQ
Y or N
8. Problem Reporting Procedure.
9. Monthly Performance Reporting Performance.
10. CCTV Recording Request Procedure.
VI. Technical Guidelines for DRC Activation when Disaster and DRC Deactivation.
People interviewed:
No. Name Position
1. Dadan Waradia Kepala Bagian Analisis Pengembangan Teknologi (Biro TI
Perusahaan)
2. Agus Gunawan Kepala Bagian Pengelolaan Sistem Informasi Teknologi (Biro TI
Perusahaan)
Conclusion:
No. Audit Procedure Y or N Comment and/or Ref.
1. Are all controls in place and are they all effective?
If Yes, then IS General Controls are operating effectively. As part of your audit strategy, do you intend to rely on IS General Controls? (Y/N)
If No, then IS General Controls are not operating effectively and ensure:
Ensure management letter is sent to client outlining weaknesses identified.
Ensure audit strategy does not contemplate the reliance on IS General Controls.
(Lanjutan)
Audit sistem..., Sugeng Ivan, FE UI, 2013