Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian
yang sedang berjalan. 2. Memberikan rekomendasi untuk mengurangi resiko
dari ...
BAB 4 AUDIT SISTEM INFORMASI PENGGAJIAN
Pengendalian terhadap sistem informasi yang ada sangat penting dalam menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data yang tidak terkontrol akan menimbulkan resiko yang berdampak luas bagi perusahaan. Dengan melakukan proses audit dapat ditemukan kelemahan-kelemahan dari sistem atau penyelewengan yang terjadi sehingga dapat memberikan suatu rekomendasi perbaikan bagi perusahaan dalam menjalankan kegiatan di masa mendatang. Pada bab ini akan dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penggajian. Bukti-bukti diperoleh dari dokumentasi, wawancara dengan karyawan serta pengamatan secara langsung di PT. AQUARIUS MUSIKINDO.
4.1 Perencanaan Audit Dengan perencanaan audit, maka auditor dapat memperoleh bahan bukti yang cukup dan memadai. Tahap perencanaan audit dilakukan dengan menentukan ruang lingkup, tujuan dan pelaksanaan audit, persiapan penelitian lapangan dan pengumpulan bukti-bukti. a. Penentuan ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian yang sedang berjalan. Pengendalian manajemen
difokuskan
pada
pengendalian
manajemen
keamanan
pengendalian manajemen operasional. Sedangkan pengendalian aplikasi 64
dan
65 difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan dan pengendalian keluaran. b. Tujuan pelaksanaan audit Tujuan dan pelaksanaan audit adalah untuk: 1. Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan. 2. Memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian. 3. Menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO. c. Persiapan penelitian lapangan Untuk melakukan penelitian lapangan, maka auditor membuat program kerja audit sebagai berikut: 1. Mengatur jadwal untuk dapat bertemu dengan Manajer Personalia pada PT. AQUARIUS MUSIKINDO. 2. Bertemu dengan Manajer Personalia perusahaan dan meminta izin untuk melaksanakan audit serta mengajukan proposal pelaksanaan audit. 3. Mengumpulkan data perusahaan, seperti latar belakang perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, peraturan-peraturan perusahaan, serta tugas, tanggung jawab dan wewenang jabatan-jabatan dalam struktur organisasi perusahaan. 4. Melakukan wawancara dengan Bagian Personalia yang berhubungan dengan sistem informasi penggajian berdasarkan atas check-list yang telah dibuat dan melakukan pengumpulan data-data yang berhubungan dengan audit yang sedang dilakukan.
66 5. Melakukan wawancara dengan Bagian IT Development yang bertanggung jawab terhadap pemeliharaan dan pengendalian sistem aplikasi penggajian berdasarkan atas check-list yang telah dibuat. 6. Melakukan analisa terhadap hasil wawancara untuk dapat mengetahui kelebihan dan kekurangan dari sistem yang sedang digunakan oleh perusahaan. 7. Membuat laporan audit berdasarkan analisa yang telah dilakukan. d. Pengumpulan bukti-bukti Pengumpulan bukti-bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit seperti pada Bagian Personalia dan Bagian IT. Bukti-bukti dikumpulkan dengan berbagai cara, antara lain : 1. Observasi Auditor melakukan observasi dengan mengunjungi PT. AQUARIUS MUSIKINDO untuk mendapatkan gambaran umum mengenai perusahaan tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh Bagian Personalia dapat diketahui apakah prosedur dan sistem pengendalian internal sudah diterapkan oleh karyawan yang berwenang. Observasi yang dilakukan oleh auditor ditekankan pada penggajian. 2. Wawancara Auditor melakukan wawancara secara lisan dengan menggunakan bantuan check-list terhadap staf yang bersangkutan untuk memperoleh gambaran secara rinci mengenai siklus penggajian yang ada. Pertanyaan yang ditanyakan seputar prosedur dan tata laksana sistem informasi penggajian
67 yang dijalankan. Dari jawaban-jawaban tersebut dapat dikumpulkan untuk mengambil suatu kesimpulan dan memberikan rekomendasi.
4.2 Pengevaluasian Bukti Audit pada Pengendalian Manajemen Dalam melakukan pengevaluasian terhadap pengendalian manajemen, auditor hanya memfokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. 4.2.1 Pengendalian Manajemen Keamanan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.2.1.1
Check-List Pengendalian Manajemen Keamanan Tabel 4.1 Hasil Wawancara Pengendalian Manajemen Keamanan
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat alarm kebakaran Perusahaan hanya memiliki baik yang otomatis ataupun yang alarm kebakaran manual. manual yang diletakkan di lokasi yang strategis untuk melindungi aset perusahaan? 2. Apakah terdapat alat pemadam kebakaran otomatis di setiap ruangan? 3. Apakah terdapat alat pemadam kebakaran manual yang diletakkan pada posisi yang mudah dijangkau? 4. Apakah dilakukan pengecekan alat Alat pemadam kebakaran pemadam kebakaran secara dicek setiap setahun sekali. periodik? 5. Apakah terdapat hydrant sebagai Satpam diberikan pelatihan alat tambahan untuk menganuntuk menggunakan tisipasi kebakaran? hydrant tersebut. 6. Apakah perusahaan memiliki pintu dan tangga darurat untuk tindakan evakuasi jika terjadi kebakaran?
3
3
3 3 3 3
68 7.
8. 9.
Apakah ruangan penyimpanan data dan sistem informasi terletak pada ruangan yang aman dari ancaman banjir? Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber listrik? Apakah perusahaan menggunakan UPSs sebagai alat penyimpan arus listrik sementara jika terjadi gangguan terhadap arus listrik dan sebagai salah satu media untuk melindungi perangkat komputer?
10.
Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik?
11.
Apakah terdapat AC dalam ruangan komputer? Apakah temperatur atau suhu AC di ruangan Personalia diatur sehingga mendukung penggunaan komputer untuk jangka waktu yang lama? Apakah AC dibersihkan secara periodik sehingga suhu ruangan tetap stabil? Apakah setiap ruangan dijaga kebersihannya sehingga terbebas dari polusi dan bakteri yang dapat membawa dampak buruk pada peralatan komputer? Apakah perusahaan menggunakan sarung penutup komputer untuk melindungi komputer dari debu? Apakah aset perusahaan sudah diasuransikan?
12.
13. 14.
15. 16.
17.
Apakah perusahaan menggunakan firewall untuk menjaga keamanan data?
3
Ruang penyimpanan data dan sistem informasi terletak di lantai 3.
3
Perusahaan memiliki 2 generator untuk mengatasi gangguan sumber listrik. Tidak semua komputer perusahaan menggunakan UPSs, hanya komputer di bagian tertentu seperti Kepala Bagian dari tiap divisi yang dilengkapi UPSs dan sesuai kebutuhan. Komputer perusahaan tidak menggunakan stabilizer karena tegangan listrik untuk lokasi perusahaan stabil.
3
3 3 3
Temperatur AC diatur antara 24-25 derajat Celcius.
3
AC dibersihkan sebulan sekali.
3
Ruangan dibersihkan oleh cleaning service sebelum jam kerja.
setiap
3 3
Aset perusahaan sudah diasuransikan seperti gedung, mobil, gudang kaset rekaman, studio dan peralatan musik.
3
69 Apakah perusahaan membatasi akses masuk ke ruangan data (penggajian) hanya pada karyawan tertentu? Apakah komputer difasilitasi dengan anti virus?
3
20.
Apakah anti virus diupdate secara periodik?
3
21.
Apakah selalu dilakukan scanning virus terhadap komputer?
3
18.
19.
3
Hanya karyawan Bagian Personalia yang mendapat akses untuk masuk ke ruangan data (penggajian). Komputer sudah difasilitasi dengan Norton Anti Virus 2004. Anti virus diupdate secara otomatis menggunakan live update Norton Anti Virus. Scanning terhadap virus dilakukan setiap seminggu sekali.
4.2.1.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Perusahaan tidak menggunakan firewall untuk menjaga keamanan data. 2) Perusahaan tidak memasang alarm kebakaran otomatis dan hanya menggunakan alarm kebakaran manual. 3) Tidak terdapat alat pemadam kebakaran otomatis dalam perusahaan. 4) Komputer perusahaan tidak dilengkapi dengan stabilizer dan UPSs hanya dilengkapi pada bagian-bagian tertentu sesuai dengan kebutuhannya. 5) Peralatan komputer tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan.
70 Resiko: 1) Tingkat keamanan lebih rendah jika tidak dilengkapi dengan firewall dan adanya kemungkinan hacker mengakses data. 2) Keterlambatan menyebabkan
dalam
membunyikan
kebakaran
yang
lebih
alarm besar
manual dan
dapat adanya
kemungkinan korban jiwa yang semakin banyak. 3) Penggunaan alat pemadam kebakaran manual hanya mengatasi sebagian kecil lokasi kebakaran sehingga api dapat menyebar secara cepat ke lokasi lainnya. 4) Tegangan listrik yang tidak stabil dapat merusak komputer. 5) Komputer lebih rawan terhadap debu yang dapat membawa dampak buruk pada peralatan komputer. Rekomendasi: 1) Sebaiknya komputer dilengkapi dengan firewall untuk menjaga keamanan data perusahaan. 2) Sebaiknya perusahaan juga menyediakan alarm kebakaran yang otomatis di setiap ruangan sehingga lebih cepat dalam mendeteksi kebakaran. 3) Selain menggunakan alat pemadam kebakaran manual, sebaiknya perusahaan juga menggunakan alat pemadam kebakaran otomatis di setiap ruangan. 4) Sebaiknya setiap komputer dilengkapi dengan UPSs dan sebagai tindakan pencegahan terhadap kemungkinan tegangan listrik yang
71 tidak stabil sebaiknya perusahaan melengkapi komputernya dengan stabilizer. 5) Komputer yang tidak digunakan sebaiknya ditutup dengan sarung penutup komputer untuk melindungi komputer dari debu. 4.2.2 Pengendalian Manajemen Operasional Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development,
maka hasil wawancara tersebut
ditampilkan sebagai berikut: 4.2.2.1
Check-List Pengendalian Manajemen Operasional Tabel
4.2
Hasil
Wawancara
Pengendalian
Manajemen
Operasional No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat kamera pengawas Tidak terdapat kamera di lingkungan perusahaan? pengawas karena memerlukan biaya yang besar. 2. Apakah terdapat mesin absensi Mesin absensi digunakan untuk pengabsenan karyawan? saat jam masuk dan keluar kantor. 3. Apakah terdapat pengawasan Kepala bagian hanya terhadap pengabsenan yang melakukan pengawasan dilakukan oleh karyawan terhadap karyawan yang hadir dalam ruangan tetapi tidak mengecek kebenaran absensi pada kartu absensi. 4. Apakah terdapat pengawasan terhadap penggunaan fasilitas kantor yang dilakukan oleh karyawan? 5. Apakah terdapat pelatihan untuk Untuk pelatihan yang karyawan baru yang berhubungan berhubungan dengan sistem langsung dengan sistem? dilatih oleh Bagian IT Development. 6. Apakah dalam periode tertentu Evaluasi terhadap kinerja dilakukan evaluasi terhadap karyawan dilakukan setiap
3
3 3
3
3 3
72
7. 8.
9.
kinerja karyawan? Apakah ruangan server telah ditempatkan pada tempat yang strategis? Apakah perusahaan sudah menggunakan hardware dan software yang sesuai dan dapat dihandalkan untuk mendukung sistem informasi? Apakah hardware dan software yang ada sudah dikelola dengan efektif dan efisien sesuai dengan kebutuhan perusahaan?
10.
Apakah perusahaan melakukan perawatan terhadap hardware dan software secara periodik?
11.
Apakah perusahaan sudah memiliki jaringan komunikasi? Jika ya, jaringan apa yang digunakan? a. LAN b. WAN
12.
13. 14.
Apakah terdapat pengawasan terhadap keamanan jaringan? Jika ya, siapa yang bertanggungjawab terhadap keamanan jaringan? Apakah terdapat penjadwalan kerja dalam pemakaian komputer yang terdapat di dalam perusahaan? Apakah perusahaan sudah memberikan gaji sesuai dengan standar UMP (Upah Minimum Propinsi)?
3 bulan sekali. Ruangan server terletak di lantai dua.
3 3 3
Hardware dan software telah dikelola dengan efektif dan efisien. Sebagai contoh: perusahaan menggunakan Pentium III karena masih dapat mendukung kegiatan operasional. Perusahaan melakukan perawatan hardware dan software setiap 1 tahun sekali dan pada saat kondisi accidental. Perawatannya dilakukan oleh Bagian Technical Support.
3
3 3 3
Manajer IT yang bertanggungjawab terhadap keamanan jaringan.
3 3
Setiap bagian mengoperasikan komputernya masing-masing Perusahaan memberikan gaji di atas standar UMP (Jakarta = Rp.711.843) dimana gaji minimum yang berlaku di perusahaan adalah Rp. 826.000 per bulan.
73 4.2.2.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Tidak memasang kamera pengawas di lingkungan perusahaan tetapi terdapat
satpam yang menjaga
keamanan perusahaan
secara bergiliran. 2) Tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri. 3) Pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya. Resiko: 1) Pengamanan terhadap lingkungan perusahaan belum sepenuhnya terkontrol dengan baik karena adanya kemungkinan ancaman datang dari dalam perusahaan misalnya: pencurian yang dilakukan oleh karyawan. 2) Menimbulkan biaya tambahan yang merugikan perusahaan. 3) Menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Rekomendasi: 1) Selain pengamanan yang dilakukan oleh satpam, sebaiknya perusahaan menggunakan kamera pengawas pada ruangan-
74 ruangan yang menyimpan aset perusahaan yang penting seperti peralatan menggandakan kaset. 2) Perusahaan membuat kebijakan mengenai penggunaan fasilitas kantor dan mengenakan sanksi yang tegas bagi karyawan yang melakukan pelanggaran. 3) Sebaiknya pada jam masuk dan keluar kantor, terdapat staf Bagian Personalia yang mengawasi jalannya pengisian absensi.
4.3 Pengevaluasian Bukti Audit pada Pengendalian Aplikasi Dalam melakukan pengevaluasian terhadap pengendalian aplikasi, auditor berfokus pada pengendalian batasan sistem aplikasi, pengendalian masukan, pengendalian keluaran. 4.3.1 Pengendalian Batasan Sistem Aplikasi Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.1.1
Check-List Pengendalian Batasan Sistem Aplikasi Tabel 4.3 Hasil Wawancara Pengendalian Batasan Sistem Aplikasi
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat identifikasi akses Perusahaan menggunakan terhadap sistem penggajian? metode password untuk Jika ya, metode apakah yang dimengidentifikasi akses gunakan dan sejauh mana metode terhadap sistem penggajian. tersebut diimplementasikan? a. Username b. Sidik jari c. Suara d. Password?
3
75 Apakah terdapat ketentuan panjang minimum untuk password? Apakah password yang diinput boleh kurang dari digit yang disediakan?
3
4.
Apakah password yang diketikkan tidak terlihat/ invisible?
3
5.
Apakah dalam penggunaan password dilakukan dengan kombinasi? Jika ya, metode apa yang digunakan? a. Alfabet, angka, tanda baca? b. Karakter campuran lainnya? Apakah sistem melakukan enkripsi atas password user? Jika ya, teknik cryptographic apa yang digunakan? a. Transposition ciphers b. Substitution ciphers c. Product ciphers Apakah terdapat batasan maksimum untuk kesalahan memasukkan password? Jika ya, berapa kali kesempatan yang diberikan untuk memasukkan password? Apakah perusahaan melakukan perubahan password secara berkala? Apakah perusahaan melakukan pergantian password secepatnya apabila ada karyawan yang mengoperasikan sistem penggajian berhenti bekerja? Apakah perusahaan memiliki kebijakan terhadap pembatasan akses terhadap data? Jika ya, kebijakan pengendalian akses apa yang digunakan?
2. 3.
6.
7.
8. 9.
10.
3
Panjang password telah ditentukan sebanyak 7 digit. Password yang diinput harus sesuai dengan jumlah digit yang telah disediakan yaitu 7 digit. Password yang diketikkan disembunyikan dalam bentuk . Password dibuat dengan kombinasi alfabet dan angka.
3 3
3
3
Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem. Perubahan password dilakukan secara berkala, yaitu setiap akhir tahun.
3 Perusahaan membatasi akses dengan menggunakan kebijakan Mandatory Access Control karena hanya karyawan personalia yang -
76
11.
12.
a. Discretionary access control b. Mandatory access control Apakah perusahaan membatasi hak akses bagi karyawan tertentu? Dan jika ya, sejauh mana tindakan yang dapat dilakukan oleh karyawan tersebut terhadap data yang ada dalam sistem? a. Read b. Add c. Modify Apakah setiap akses yang dilakukan terhadap sistem direkam secara otomatis untuk memudahkan audit trail? 4.3.1.2
3
mendapat hak untuk mengakes data penggajian yang bersifat confidential. Yang berhak mengakses data dalam sistem pengajian hanya karyawan personalia dimana karyawan tersebut dapat melakukan read, add dan modify terhadap data tersebut.
3 3 3
3
Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dalam pengidentifikasian akses terhadap sistem penggajian, perusahaan hanya menggunakan password. 2) Pergantian password dilakukan setahun sekali sehingga tingkat keamanan terhadap akses yang tidak terotorisasi lebih rendah. 3) Perusahaan tidak melakukan sistem enkripsi terhadap password user. 4) Setiap akses yang dilakukan terhadap sistem tidak direkam. 5) Tidak terdapat batasan maksimum untuk kesalahan password. Kesempatan untuk memasukkan password hanya sekali. Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem.
77 Resiko: 1) Apabila identifikasi hanya menggunakan password maka lebih mudah ditebak sehingga tingkat pengendaliannya lebih rendah. 2) Tingkat keamanan lebih rendah sehingga memudahkan pihak yang tidak memiliki otorisasi untuk mengakses sistem. 3) Tanpa sistem enkripsi maka password lebih mudah dipecahkan oleh hacker. 4) Lebih sulit untuk melakukan audit trail apabila setiap akses terhadap sistem tidak direkam. 5) Membutuhkan waktu yang lebih lama untuk masuk ke dalam sistem informasi penggajian dan memperlambat pekerjaan. Rekomendasi: 1) Untuk pengidentifikasian akses terhadap sistem penggajian akan lebih baik jika menggunakan username dan password. Dengan menggunakan username maka pihak yang tidak berwenang harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam sistem sehingga tingkat keamanannya lebih tinggi. 2) Sebaiknya password diganti sesering mungkin sesuai dengan kebutuhan user dan perusahaan. 3) Password sebaiknya dienkripsi untuk mempersulit pihak-pihak yang ingin mendapatkan password secara ilegal dengan menggunakan teknik substitution ciphers karena sudah bisa memenuhi kebutuhan perusahaan.
78 4) Akan lebih baik jika perusahaan menggunakan alat perekam otomatis, contohnya key logger untuk memudahkan proses audit trail. 5) Sistem penggajian sebaiknya memberikan kesempatan untuk memasukkan password maksimal tiga kali karena adanya kemungkinan terjadi kesalahan penginputan password.
4.3.2 Pengendalian Masukan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.2.1
Check-List Pengendalian Masukan Tabel 4.4 Hasil Wawancara Pengendalian Masukan
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode input data yang Perusahaan menggunakan digunakan oleh perusahaan? metode keyboarding untuk menginput data. a. Keyboarding b. Direct Reading c. Direct Entry 2. Apakah perusahaan menggunakan Dokumen yang digunakan adalah keterangan lembur dokumen-dokumen tertentu untuk menginput data penggajian? dan keterangan kasbon yang Jika ya, dokumen apa yang sudah direkap menjadi daftar digunakan oleh Bagian Personalia lembur dan daftar kasbon. dalam menginput data pengDokumen pendukung yang gajian? digunakan adalah perubahan peraturan persentase ASTEK, perubahan UU Pajak Penghasilan, keputusan kenaikan gaji, dan keputusan promosi/demosi.
3 3
79 3.
Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang?
3
4.
Apakah terdapat ketentuan perhitungan jam lembur karyawan? Jika ya, bagaimana cara perhitungannya?
3
5.
Apakah terdapat jumlah maksimal jam lembur karyawan?
6.
Apakah terdapat pengawasan terhadap pelaksanaan lembur? Jika ada, siapakah yang mengawasi pelaksanaan lembur?
3
7.
Apakah terdapat kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon? Jika ada, bagaimana kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon dan bagaimana cara pelunasannya?
3
8. 9.
Apakah perusahaan menggunakan nomor urut tercetak pada setiap dokumen? Dokumen dalam sistem penggajian diinput dengan metode apa?
3
Keterangan lembur diotorisasi oleh Kepala Bagian dari masing-masing karyawan dan kas bon diotorisasi oleh Bagian Accounting. Kemudian keterangan lembur dan kasbon tersebut direkap oleh Bagian Personalia menjadi Daftar Lembur dan Kasbon. Perhitungan lembur: 1/173 x gaji netto x jam lembur Tidak terdapat perhitungan kelipatan pada jam lembur berikutnya. Tidak terdapat ketentuan maksimal jam lembur, tergantung pada pekerjaan yang harus diselesaikan oleh karyawan. Kepala Bagian mengawasi pelaksanaan lembur karyawan dan pelaksanaan lembur dapat dilihat dari absensi serta hasil pekerjaannya. Maksimum peminjaman kas bon adalah: 1 x gaji karyawan x 6 bulan 2 Contoh : gaji karyawan adalah Rp. 1.000.000 maka peminjaman maksimum adalah Rp 3.000.000. Kas bon harus dibayar dengan memotong langsung dari gaji karyawan tanpa dikenai bunga.
3 3
Dokumen dalam sistem penggajian diinput dengan metode batch. Setiap tanggal
80
10.
11.
12.
13. 14.
15.
16.
17.
a. Batch b. Real time Jika batch, berapa lama periode batch data yang diperlukan untuk penginputan sistem penggajian? Apakah dokumen diarsip? Jika ya berapa lama dokumen untuk penginputan data diarsip oleh perusahaan? Apakah setiap penghancuran dokumen sumber akan dibuat berita acara penghancuran dokumen? Apakah perusahaan memiliki alat penghancur kertas untuk mendukung proses penghancuran dokumen sumber?
Apakah sistem penggajian dilengkapi help facility untuk membantu user dalam penginputan data? Pendekatan apa yang digunakan dalam layar penginputan data? a. Fill in area b. Multiple choice c. Tick marks atau indikasi nilai untuk menentukan ukuran field d. Combination instruction dengan pertanyaan Apakah interval waktu untuk melakukan penginputan data dari screen yang satu ke screen yang berikutnya membutuhkan waktu yang lama? Apakah warna pada tampilan layar mengganggu pandangan mata pada saat penginputan data? Apakah menu penginputan sudah tersusun secara sistematis dan berurut sehingga memudahkan proses penginputan data?
20 semua dokumen akan dibatch untuk diproses.
3
Dokumen diarsip sampai 10 tahun.
3 3
3 3
Perusahaan memiliki alat penghancur kertas tetapi tidak digunakan menghancurkan dokumen. Perusahaan memilih cara dengan membakar dokumen yang sudah tidak digunakan. Sistem penggajian tidak dilengkapi dengan help facility. Karyawan Bagian Personalia menginput data dengan memasukkan data ke dalam kolom yang disediakan (fill in area).
3 3 3
Menu penginputan sudah tersusun secara sistematis dan berurutan yaitu: Biodata Æ Honor Æ Proses Æ Display Print Æ Set
81 Tanggal Æ Quit . 18.
Apakah tampilan input bersifat user friendly?
3
19.
Apakah data yang diinput bersifat case sensitive (berpengaruh terhadap huruf besar/kecil)?
3
20.
Apakah penginputan data boleh kurang dari digit angka yang disediakan pada tampilan layar? Apakah penginputan data penggajian hanya dilakukan oleh karyawan yang berwenang? Tipe pengkodean apa yang digunakan dalam penginputan data? a. Serial Codes b. Block Sequence Codes c. Hierarhical Codes d. Association Codes Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data? Apabila terjadi kesalahan dalam penginputan data, apakah program aplikasi akan menampilkan error message dengan tindakan yang harus dilakukan?
3
Jika terjadi error, apakah user dapat melakukan koreksi terhadap kesalahan yang terjadi atau langsung keluar dari sistem?
3
21. 22.
23. 24.
25.
4.3.2.2
3
3 3 3
Data yang diinput bersifat case sensitive dimana penginputan harus menggunakan huruf besar.
Penginputan data hanya dilakukan oleh karyawan personalia. Tipe pengkodean yang digunakan adalah Association Codes. Sebagai contoh kode AKN diasosiasikan dengan Bagian Akuntansi. KAN diasosiasikan dengan Bagian Kantor. Setiap data yang dimasukkan dicek kembali sekurangkurangnya tiga kali. Program aplikasi menampilkan error message apabila data yang diinput salah. Contoh apabila nomor karyawan yang diinput salah maka akan muncul message “Karyawan tidak terdaftar”. User dapat melakukan koreksi terhadap kesalahan yang dibuatnya dan tidak keluar dari sistem.
Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dokumen-dokumen yang digunakan untuk penginputan tidak menggunakan nomor urut tercetak.
82 2) Perusahaan menggunakan metode keyboarding untuk menginput data. 3) Perusahaan tidak membuat berita acara untuk penghancuran dokumen. 4) Perusahaan memiliki alat penghancur kertas tetapi tidak menggunakannya dalam menghancurkan dokumen tetapi memilih cara dengan membakar dokumen yang sudah tidak digunakan. 5) Sistem penggajian tidak dilengkapi dengan help facility. Resiko: 1) Dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang. 2) Dapat terjadi kesalahan dalam penginputan data (human error). 3) Tidak mengetahui dokumen apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan. 4) Dapat menimbulkan polusi dan adanya kemungkinan dokumen tidak terbakar secara total sehingga disalahgunakan oleh orang lain. 5) Karyawan baru memerlukan waktu yang lama untuk mempelajari sistem jika tanpa disertai dengan help facility. Rekomendasi: 1) Sebaiknya dokumen-dokumen yang akan diinput memiliki nomor urut tercetak. 2) Perusahaan
tetap
menggunakan
metode
keyboarding
dan
karyawan yang melakukan penginputan harus bekerja lebih teliti
83 serta melakukan pengecekan ulang terhadap data yang telah diinput. 3) Perusahaan harus membuat berita acara untuk penghancuran dokumen. 4) Sebaiknya perusahaan menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman dalam proses penghancuran dokumen. 5) Sistem penggajian didukung oleh help facility sehingga dapat membantu karyawan dalam mempelajari sistem lebih mudah.
4.3.3 Pengendalian Keluaran Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.3.1
Check-List Pengendalian Keluaran Tabel 4.5 Hasil Wawancara Pengendalian Keluaran
No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah setiap laporan yang Tidak semua laporan mendihasilkan selalu mencantumkan cantumkan tanggal, bulan, tanggal, bulan, tahun dan waktu tahun dan waktu pencetakan. pencetakan? Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 2. Apakah pada setiap laporan Setiap laporan yang dicantumkan: dihasilkan mencantumkan a. nomor halaman dan tanda nomor halaman dan tanda akhir halaman akhir halaman. Contoh: 1/3 b. nomor halaman yang berarti halaman 1 dari c. tanda akhir halaman 3 halaman.
3
3
84
3
3.
Apakah laporan diserahkan kepada pihak yang berwenang?
4.
Apakah laporan-laporan yang dihasilkan didistribusikan tepat pada awal periode?
3
5.
Apakah laporan yang dihasilkan mendapat otorisasi dari pihak yang berwenang? Apakah disediakan kolom tanda tangan untuk pembuat laporan?
3
6.
3
7.
Apakah diberlakukan klasifikasi pada setiap laporan?
3
8.
Apakah setiap laporan disimpan pada tempat yang mudah dijangkau dan tersusun rapi sehingga bila dibutuhkan maka mudah ditemukan? Apakah terdapat kebijakan waktu yang untuk menyimpan suatu laporan?
3
9.
10. 11.
12.
Apakah terdapat berita acara dalam menghancurkan laporan yang tidak diperlukan? Apakah posisi printer sebagai sumber output cukup strategis? Apakah printer Bagian Personalia juga digunakan oleh bagian lainnya? Jika ya, apakah terjadi sistem antrian untuk mencetak?
4.3.3.2
Laporan diserahkan kepada Manajer Personalia dan Direktur. Laporan didistribusikan hanya pada saat dibutuhkan oleh Manajer Personalia dan Direktur.
Setiap laporan diklasifikasikan berdasarkan nama laporan. Laporan disimpan pada tempat yang mudah dijangkau. Susunan laporan cukup rapi dan mudah ditemukan. Kebijakan yang ditetapkan perusahaan untuk menyimpan laporan selama 10 tahun.
3 3 3 3
Posisi printer terletak pada posisi yang strategis yaitu berada tepat disebelah komputer. Printer khusus digunakan oleh karyawan Bagian Personalia sehingga tidak terjadi sistem antrian untuk menghasilkan output.
Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Laporan tidak diotorisasi oleh Manajer Personalia.
85 2) Tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan. 4) Tidak tersedia kolom tanda tangan dan nama pembuat laporan. 5) Perusahaan tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi. 6) Perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia pada saat proses penghancuran laporan tetapi dengan cara membakar laporan-laporan tersebut. Resiko: 1) Tidak adanya pengendalian internal yang baik dan adanya kemungkinan laporan tersebut merupakan hasil rekayasa dari karyawan. 2) Tidak diketahui secara tepat kapan waktu laporan tersebut dihasilkan. 3) Kurangnya pengawasan dari Manajer Personalia dan Direktur perusahaan sehingga memungkinkan terjadinya kecurangan. 4) Sulit mengetahui siapa yang bertanggungjawab atas laporan yang dibuat. 5) Tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan.
86 6) Dapat menimbulkan polusi dan adanya kemungkinan laporan tidak terbakar secara total sehingga disalahgunakan oleh orang lain. Rekomendasi: 1) Laporan harus mendapat otorisasi dari Manajer Personalia sehingga terdapat pengendalian internal yang baik. 2) Semua laporan harus mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Setiap laporan yang dihasilkan didistribusikan kepada Manajer Personalia dan Direktur tepat pada awal periode. 4) Harus disediakan kolom tanda tangan dan nama pembuat laporan sehingga diketahui siapa yang bertanggungjawab atas laporan tersebut. 5) Perusahaan harus membuat berita acara untuk penghancuran laporan. 6) Sebaiknya perusahaan menggunakan alat penghancur kertas yang sehingga lebih efektif dan aman dalam proses penghancuran laporan.
Tabel 4.6 MATRIKS TEMUAN MASALAH, RESIKO, REKOMENDASI DAN PERSON IN CHARGE TEMUAN MASALAH 1. Pengendalian Manajemen
RESIKO
REKOMENDASI
PERSON IN CHARGE
Keamanan a. Perusahaan tidak menggunakan
firewall
untuk
menjaga keamanan data.
a. Tingkat
keamanan
lebih
a. Sebaiknya komputer di- Technical Support.
rendah jika tidak dilengkapi
lengkapi dengan firewall
dengan firewall dan adanya
untuk menjaga keamanan
kemungkinan hacker meng-
data perusahaan.
akses data. b. Perusahaan tidak memasang
alarm
otomatis
b. Keterlambatan dalam mem-
b. Sebaiknya perusahaan juga Bagian Keamanan.
kebakaran
bunyikan alarm manual da-
menyediakan alarm keba-
hanya
pat menyebabkan kebakaran
karan yang otomatis di
alarm
yang lebih besar dan adanya
setiap ruangan sehingga
kemungkinan korban jiwa
lebih cepat dalam men-
yang semakin banyak.
deteksi kebakaran.
dan
menggunakan kebakaran manual.
87
c. Tidak terdapat alat pema-
c. Penggunaan alat pemadam
c. Selain menggunakan alat Bagian Keamanan.
dam kebakaran otomatis
kebakaran
manual
hanya
pemadam kebakaran ma-
dalam perusahaan.
mengatasi
sebagian
kecil
nual, sebaiknya perusaha-
lokasi kebakaran sehingga
an juga menggunakan alat
api dapat menyebar secara
pemadam
cepat ke lokasi lainnya.
otomatis di setiap ruangan.
d. Komputer perusahaan tidak dilengkapi
dengan
stabilizer dan UPSs hanya
stabil komputer.
dapat
merusak
d. Sebaiknya setiap komputer Technical Support. dilengkapi dengan UPSs dan
sebagai
tindakan
pada
bagian-
pencegahan terhadap ke-
tertentu
sesuai
mungkinan tegangan listrik
dilengkapi bagian
d. Tegangan listrik yang tidak
kebakaran
dengan kebutuhannya.
yang tidak stabil sebaiknya perusahaan komputernya
melengkapi dengan
stabilizer.
88
e. Peralatan komputer tidak ditutup
dengan
e. Komputer
lebih
rawan
e. Komputer
yang
tidak Bagian
sarung
terhadap debu yang dapat
digunakan sebaiknya ditu- Kantor.
penutup selama komputer
membawa dampak buruk
tup dengan sarung penutup
tersebut tidak digunakan.
pada peralatan komputer.
komputer
untuk
Pemeliharaan
melin-
dungi komputer dari debu. 2. Pengendalian
Manajemen
Operasional a. Tidak memasang kamera pengawas
di
a. Pengamanan terhadap ling-
a. Selain pengamanan yang Bagian Keamanan
lingkungan
kungan perusahaan belum
dilakukan
perusahaan tetapi terdapat
sepenuhnya terkontrol de-
sebaiknya
satpam
menjaga
ngan baik karena adanya
menggunakan
perusahaan
kemungkinan ancaman da-
pengawas pada ruangan-
tang dari dalam perusahaan
ruangan yang menyimpan
misalnya: pencurian yang
aset
dilakukan oleh karyawan.
penting seperti peralatan
yang
keamanan secara bergiliran.
oleh
satpam,
perusahaan
perusahaan
kamera
yang
89
menggandakan kaset. b. Tidak terdapat pengawasan terhadap
fasilitas
kantor
sehingga karyawan dapat
b. Menimbulkan
biaya
b. Perusahaan
membuat Bagian Kantor.
tambahan yang merugikan
kebijakan mengenai peng-
perusahaan.
gunaan fasilitas kantor dan
menggunakan fasilitas kan-
mengenakan sanksi yang
tor untuk kepentingan diri
tegas bagi karyawan yang
sendiri.
melakukan pelanggaran.
c. Pengawasan yang dilakukan
c. Menimbulkan pelanggaran
terhadap absensi karyawan
terhadap jam kerja dan
dan keluar kantor, terdapat
masih belum optimal karena
mempengaruhi
Staf
terdapat kejadian dimana
karyawan.
karyawan dapat mengabsen
kinerja
c. Sebaiknya pada jam masuk Staf Bagian Personalia.
Bagian
Personalia
yang mengawasi jalannya pengisian absensi.
kehadiran temannya.
90
3. Pengendalian Batasan Sistem Aplikasi a. Dalam akses
pengidentifikasian terhadap
penggajian, hanya password.
sistem
a. Apabila identifikasi hanya menggunakan
password
a. Untuk akses
pengidentifikasian IT Development. terhadap
sistem
perusahaan
maka lebih mudah ditebak
penggajian akan lebih baik
menggunakan
sehingga tingkat pengen-
jika menggunakan
daliannya lebih rendah.
name
dan
user-
password.
Dengan
menggunakan
username
maka
yang
tidak
pihak
berwenang
harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam
sistem
sehingga
tingkat keamanannya lebih
91
tinggi. b. Pergantian password dilakukan setahun sekali.
b. Tingkat
keamanan
lebih
b. Sebaiknya password di- IT Development.
rendah sehingga memudah-
ganti
kan
pihak
memiliki
sesering
mungkin
yang
tidak
sesuai dengan kebutuhan
otorisasi
untuk
user dan perusahaan.
mengakses sistem. c. Perusahaan tidak melaku-
c. Tanpa sistem enkripsi maka
kan sistem enkripsi ter-
password
lebih
mudah
hadap password user.
dipecahkan oleh hacker.
sebaiknya IT Development.
c. Password dienkripsi
untuk
mem-
persulit pihak-pihak yang ingin
mendapatkan
password
secara
ilegal
dengan menggunakan teknik yang
substitution sudah
memenuhi
ciphers dapat
kebutuhan
92
perusahaan. d. Setiap
akses
yang
d. Lebih
sulit
untuk
audit
trail
d. Akan
lebih
dilakukan terhadap sistem
melakukan
tidak direkam.
apabila
setiap
akses
alat
terhadap
sistem
tidak
contohnya
direkam.
baik
jika Technical Support.
perusahaan menggunakan perekam
otomatis,
key
logger
untuk memudahkan proses audit trail.
e. Tidak
terdapat
batasan
e. Membutuhkan waktu yang
penggajian IT Development.
e. Sistem
lebih lama untuk masuk ke
sebaiknya
memberikan
salahan password. Kesem-
dalam
kesempatan
untuk
patan untuk memasukkan
dan
password
kerjaan.
maksimum
untuk
hanya
ke-
sekali.
sistem
penggajian
memperlambat
pe-
masukkan
me-
password
maksimal tiga kali karena
Apabila terjadi kesalahan
adanya
kemungkinan
pengisian password, maka
terjadi
otomatis akan keluar dari
inputan password.
kesalahan
peng-
93
sistem. 4. Pengendalian Masukan a. Setiap
dokumen
digunakan
untuk
yang peng-
a. Dokumen tidak terkontrol dengan
baik
dan
sulit
inputan tidak mengguna-
mendeteksi dokumen yang
kan nomor urut tercetak.
hilang.
b. Perusahaan menggunakan
b. Dapat
metode keyboarding untuk
dalam
menginput data.
(human error).
terjadi
kesalahan
penginputan
data
a. Sebaiknya setiap dokumen Bagian Personalia. yang akan diinput memiliki nomor urut tercetak.
b. Perusahaan tetap meng- Bagian Personalia. gunakan
metode
key-
boarding dan karyawan yang
melakukan
peng-
inputan harus bekerja lebih teliti
serta
melakukan
pengecekan ulang terhadap data yang telah diinput.
94
c. Perusahaan harus membuat Bagian Personalia.
c. Perusahaan tidak membuat
c. Tidak mengetahui dokumen
berita acara untuk peng-
apa saja yang telah di-
berita acara untuk peng-
hancuran dokumen.
hancurkan dan kapan proses
hancuran dokumen.
penghancuran
tersebut
dilakukan. d. Sebaiknya
perusahaan Bagian Personalia.
d. Perusahaan memiliki alat
d. Dapat menimbulkan polusi
penghancur kertas tetapi ti-
dan adanya kemungkinan
menggunakan alat peng-
dak menggunakannya da-
dokumen
terbakar
hancur kertas yang telah
lam menghancurkan doku-
secara
sehingga
tersedia
men tetapi memilih
disalahgunakan oleh orang
efektif dan aman dalam
lain.
proses
cara
dengan membakar dokumen
yang
sudah
tidak total
sehingga
lebih
penghancuran
dokumen.
tidak
digunakan. e. Sistem penggajian tidak dilengkapi
dengan
help
e. Karyawan baru memerlukan waktu yang lama untuk
e. Sistem penggajian didu- IT Development. kung oleh help facility
95
facility.
mempelajari
sistem
jika
sehingga dapat membantu
tanpa disertai dengan help
karyawan dalam mempela-
facility.
jari sistem lebih mudah.
5. Pengendalian Keluaran a. Laporan tidak diotorisasi oleh Manajer Personalia.
b. Tidak
semua
mencantumkan
laporan tanggal,
bulan, tahun dan waktu pencetakan. Hanya laporan
a. Tidak adanya pengendalian internal
yang
baik
a. Laporan harus mendapat Manajer Personalia.
dan
otorisasi dari Manajer Per-
adanya kemungkinan lapo-
sonalia sehingga terdapat
ran tersebut merupakan hasil
pengendalian internal yang
rekayasa dari karyawan.
baik.
b. Tidak diketahui secara tepat waktu
laporan
dihasilkan.
tersebut
b. Semua laporan sebaiknya Bagian Personalia. mencantumkan
tanggal,
bulan, tahun dan waktu pencetakan.
Daftar Honor Karyawan Bulanan, Perincian Astek,
96
Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. c. Laporan
didistribusikan
c. Kurangnya pengawasan dari
c. Setiap
laporan
yang Bagian Personalia.
kepada Manajer Personalia
manajer
dan
dihasilkan didistribusikan
dan Direktur hanya pada
direktur perusahaan sehing-
kepada Manajer Personalia
saat dibutuhkan.
ga memungkinkan terjadi-
dan Direktur tepat pada
nya kecurangan.
awal periode.
personalia
d. Harus disediakan kolom Bagian Personalia.
d. Tidak tersedia kolom tanda
d. Sulit mengetahui siapa yang
tangan dan nama pembuat
bertanggungjawab atas la-
tanda tangan dan nama
laporan.
poran yang dibuat.
pembuat laporan sehingga diketahui siapa yang bertanggungjawab
atas
laporan tersebut.
97
e. Perusahaan tidak meng-
e. Tidak mengetahui laporan
gunakan berita acara untuk
apa saja yang telah dihan-
berita acara untuk peng-
menghancurkan
curkan dan kapan proses
hancuran laporan.
laporan
yang tidak diperlukan lagi.
penghancuran
e. Perusahaan harus membuat Bagian Personalia.
tersebut
dilakukan. f. Perusahaan tidak meng-
f. Dapat menimbulkan polusi
gunakan alat penghancur
dan adanya kemungkinan
menggunakan alat peng-
kertas yang telah tersedia
laporan tidak terbakar secara
hancur kertas yang telah
pada saat proses peng-
total
tersedia
hancuran
gunakan oleh orang lain.
dengan
laporan cara
tetapi
membakar
laporan-laporan tersebut.
sehingga
disalah-
f. Sebaiknya
perusahaan Bagian Personalia.
sehingga
lebih
efektif dan aman dalam proses
penghancuran
laporan.
98
99 4.4 LAPORAN AUDIT Kepada
: PT. AQUARIUS MUSIKINDO
Perihal
: Laporan Hasil Audit Sistem Informasi Penggajian
Periode
: Januari 2006
LAPORAN AUDIT SISTEM INFORMASI PENGGAJIAN PT. AQUARIUS MUSIKINDO
I.
Tujuan Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan, memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian, menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO.
II. Ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian. Pengendalian manajemen difokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. Sedangkan pengendalian aplikasi difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan, dan pengendalian keluaran. III. Metode Audit Metode audit yang digunakan adalah metode audit around the computer dengan melakukan studi pustaka, observasi, dan wawancara berdasarkan check-list yang telah disusun sebelumnya.
100 IV. Hasil Audit Berdasarkan pemeriksaan dan pengamatan yang dilakukan, kami selaku tim auditor memberikan laporan hasil audit sebagai berikut:
Pengendalian Manajemen Keamanan Terdapat beberapa kelemahan pada pengendalian manajemen keamanan antara lain yaitu perusahaan belum melengkapi komputer dengan
firewall untuk
menjaga keamanan datanya sehingga tingkat keamanan lebih rendah dan adanya kemungkinan hacker mengakses data; perusahaan tidak memasang alarm kebakaran otomatis dan alat pemadam kebakaran otomatis untuk mengantisipasi terjadinya kebakaran sehingga dapat menyebabkan kebakaran yang lebih besar dan kemungkinan korban jiwa yang semakin banyak; komputer-komputer perusahaan tidak dilengkapi dengan stabilizer sedangkan UPSs hanya dilengkapi pada komputer di bagian-bagian tertentu sehingga apabila tegangan listrik tidak stabil dapat merusak komputer; serta peralatan komputer yang tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan sehingga komputer lebih rawan terhadap debu. Dari hasil temuan tersebut, maka auditor menyarankan perusahaan melengkapi komputer dengan firewall; menyediakan alarm kebakaran otomatis dan alat pemadam kebakaran otomatis; melengkapi setiap komputer dengan stabilizer dan UPSs; serta menggunakan sarung penutup komputer selama komputer tidak digunakan.
101 Pengendalian Manajemen Operasional Pengendalian manajemen operasional masih memiliki beberapa kelemahan seperti tidak terdapatnya kamera pengawas di lingkungan perusahaan sehingga keamanan perusahaan belum sepenuhnya terkontrol dengan baik dan adanya kemungkinan ancaman datang dari dalam perusahaan; tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri yang mengakibatkan biaya tambahan yang merugikan perusahaan; serta pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya sehingga menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Dari hasil temuan diatas, maka auditor menyarankan pengamanan terhadap lingkungan perusahaan tidak hanya menggunakan satpam tetapi juga memasang kamera pengawas pada ruangan-ruangan yang menyimpan aset berharga; membuat kebijakan mengenai penggunaan fasilitas kantor dan memberikan sanksi yang tegas bagi karyawan yang melakukan pelanggaran; serta terdapat Staf Bagian Personalia yang mengawasi jalannya pengisian absensi pada saat jam masuk dan keluar kantor.
Pengendalian Batasan Sistem Aplikasi Pengendalian batasan sistem aplikasi memiliki beberapa kelemahan sebagai berikut: perusahaan hanya menggunakan password dalam pengidentifikasian akses terhadap sistem penggajian sehingga password lebih mudah ditebak; pergantian password dilakukan setahun sekali sehingga tingkat keamanan
102 terhadap akses yang tidak terotorisasi lebih rendah; perusahaan tidak melakukan sistem enkripsi terhadap password user sehingga password lebih mudah dipecahkan oleh hacker; setiap akses yang dilakukan terhadap sistem tidak direkam sehingga sulit melakukan audit trail; serta tidak terdapat batasan maksimum untuk kesalahan password sehingga apabila terjadi kesalahan pengisian password maka secara otomatis akan keluar dari sistem yang mengakibatkan dibutuhkan waktu yang lebih lama untuk masuk ke dalam sistem dan memperlambat pekerjaan. Dari hasil temuan diatas, maka auditor menyarankan identifikasi akses terhadap sistem menggunakan username dan password; password diganti sesering mungkin sesuai kebutuhan user dan perusahaan; password dienkripsi dengan teknik substitution ciphers; menggunakan alat perekam otomatis seperti key logger untuk memudahkan proses audit trail; serta memberikan kesempatan untuk memasukkan password maksimal tiga kali.
Pengendalian Masukan Dalam pengendalian masukan masih terdapat kelemahan-kelemahan seperti dokumen yang diinput tidak menggunakan nomor urut tercetak sehingga dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang; penggunaan metode keyboarding dalam menginput data sehingga memungkinkan terjadinya human error; tidak membuat berita acara untuk penghancuran dokumen sehingga tidak mengetahui dokumen apa saja yang dihancurkan dan kapan proses tersebut dilakukan; tidak menggunakan alat penghancur kertas yang tersedia tetapi dengan cara membakar dokumen pada
103 saat proses penghancuran dokumen sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain; serta sistem penggajian yang tidak dilengkapi dengan help facility sehingga memerlukan waktu yang lebih lama untuk mempelajari sistem. Dari hasil temuan diatas, maka auditor menyarankan setiap dokumen memiliki nomor urut tercetak; perusahaan tetap menggunakan metode keyboarding tetapi karyawan harus melakukan pengecekan ulang dan bekerja lebih teliti dalam menginput data; membuat berita acara untuk penghancuran dokumen; menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman; serta menggunakan help facility untuk memudahkan karyawan mempelajari sistem informasi penggajian.
Pengendalian Keluaran Kelemahan-kelemahan yang terdapat pada pengendalian keluaran antara lain: laporan-laporan yang dihasilkan tidak diotorisasi terlebih dahulu oleh Manajer Personalia sehingga adanya kemungkinan laporan merupakan hasil rekayasa karyawan; tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan sehingga tidak mengetahui secara tepat waktu laporan dihasilkan; laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan sehingga kurangnya pengawasan dan memungkinkan terjadinya kecurangan; tidak tersedia kolom tanda tangan dan nama pembuat laporan sebagai bukti tanggungjawab atas laporan yang dihasilkan; tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi sehingga tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan
104 proses tersebut dilakukan; serta perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia melainkan menggunakan cara membakar laporanlaporan tersebut ketika melakukan proses penghancuran laporan sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain. Dari hasil temuan tersebut, maka auditor menyarankan laporan-laporan yang dihasilkan harus mendapat otorisasi terlebih dahulu dari Manajer Personalia; semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan; setiap laporan yang dihasilkan harus didistribusikan kepada Manajer Personalia dan Direktur secara tepat waktu; setiap laporan harus disediakan kolom tanda tangan dan nama pembuat laporan; membuat berita acara untuk penghancuran laporan; serta menggunakan alat penghancur kertas yang telah tersedia sehingga proses penghancuran lebih efektif dan aman.
