audit sistem informasi atas pengendalian aplikasi (studi...
TRANSCRIPT
19
I. PENDAHULUAN
Seiring dengan pesatnya kemajuan teknologi informasi membuat sejumlah
entitas mulai dari perusahaan, pemerintah, sampai organisasi pendidikan pelan-
pelan mulai mengandalkan teknologi komputer ke dalam aktifitasnya. Hal ini
disebabkan dengan semakin banyak dan kompleksnya aktivitas-aktivitas dalam
organisasi sehingga manajemen dalam organisasi harus dapat memiliki informasi
yang cepat, tepat dan akurat untuk mengambil sebuah keputusan. Dalam
kaitannya dengan transaksi keuangan, perkembangan teknologi komputer telah
mengakibatkan perubahan pencatatan, pengolahan dan pelaporan data dari sistem
manual menjadi sistem informasi berbasis komputer.
Meskipun sistem informasi sudah terkomputerisasi, penggunaan sistem
informasi yang terkomputerisasi ini tidak menyebabkan organisasi terlepas dari
kecurangan (fraud) dan resiko yang akan dihadapi. Kecurangan dan resiko
tersebut dapat berupa kesalahan proses dari program aplikasi, pencurian data,
kerusakan data, dll. Terlebih lagi sistem berbasis teknologi akan mempunyai
potensi resiko yang semakin besar (Gondodiyoto, 2007:476). Resiko yang
semakin besar mendorong perlunya pengendalian (kontrol) yang semakin
memadai, dan perlunya mengevaluasi apakah sistem cukup dilengkapi kontrol dan
apakah kalau sudah ada kontrol maka kontrol tersebut sudah dijalankan dengan
secara sungguh-sungguh (Gondodiyoto, 2007:476). Untuk memininalkan
terjadinya fraud dan resiko dalam sistem informasi maka kebutuhan audit sistem
informasi sebagai sarana mengevaluasi pengendalian internal semakin
dibutuhkan. Pengendalian Internal tersebut bertujuan untuk mewujudkan
20
efektivitas dan efisiensi operasi, keandalan laporan keuangan, kepatuhan terhadap
hukum dan peraturan yang berlaku.
Di dalam pengendalian internal menurut Committee of Sponsoring
Organizations (COSO) terdapat dua aktivitas pengendalian yang ditunjukan untuk
mendorong kehandalan proses informasi yaitu pengendalian umum dan
pengendalian aplikasi (Hall, 2011:21). Pengendalian umum berfokus pada semua
pengendalian yang tidak terkait langsung terhadap aplikasi komputer. Sedangkan
pengendalian aplikasi berfokus pada pengendalian aplikasi tertentu.
Pengendalian aplikasi merupakan salah satu pengendalian internal yang
cukup penting bagi entitas yang mengandalkan teknologi informasi ke dalam
aktivitas utamanya. Pengendalian aplikasi tidak terlepas dari resiko-resiko yang
ada. Salah satu resiko yang paling fatal adalah resiko kesalahan input data. Jika
terjadi kesalahan input data maka organisasi akan sangat dirugikan karena
informasi yang dihasilkan menjadi tidak dapat diandalkan dan malah menyesatkan
bagi organisasi.
Universitas Kristen Satya Wacana (UKSW) merupakan salah satu
organisasi yang bergerak dalam jasa pendidikan, telah menerapkan sistem
informasi akuntansi terkomputerisasi sejak tahun 2003. Dengan kata lain,
komputerisasi telah digunakan dalam segala aspek pencatatan, pemrosesan sampai
dengan pelaporan. Salah satu sistem informasi yang digunakan oleh UKSW untuk
pemrosesan transaksi keuangan adalah Sistem Keuangan dan Akuntansi Satya
Wacana (SIKASA) UKSW.
21
SIKASA UKSW merupakan aplikasi keuangan dan akuntansi berbasis
web yang hanya dapat digunakan dalam lingkungan jaringan (network) UKSW.
Sehingga kebutuhan penggunaan teknologi informasi untuk menjalankan kegiatan
operasional dalam pemrosesan transaksi sangat diandalkan. Penggunaan sistem
informasi yang terkomputerisasi pada satu sisi dapat meningkatkan efisiensi
kegiatan operasional, kualitas dan kecepatan pelayanan. Sedangkan disisi lain
mengandung resiko potensial yang apabila tidak diantisipasi dengan baik akan
merugikan organisasi. Oleh karena itu penting bagi organisasi untuk melakukan
audit sistem informasi untuk menentukan apakah Sistem Keuangan dan Akuntansi
UKSW sudah dikelola dengan baik.
Persoalan dalam penelitian ini adalah bagaimana pengendalian aplikasi
pada sistem keuangan dan akuantansi UKSW yang berjalan sampai saat ini? Apa
saja kelemahan dan resiko yang terdapat pada SIKASA UKSW?
Berdasarkan uraian di atas, penulis tertarik untuk melakukan penelitian
tentang audit sistem informasi pada Sistem Keuangan dan Akuntansi Satya
Wacana. Ruang lingkup penelitian ini difokuskan pada audit sistem informasi atas
pengendalian aplikasi.
Tujuan yang akan dicapai dalam penelitian ini adalah untuk mengetahui
pengendalian yang diterapkan oleh universitas dalam pengendalian aplikasi pada
sistem keuangan dan akuntansi UKSW, melakukan penilaian terhadap resiko
berdasarkan kelemahan-kelemahan yang ditemukan, membuat rekomendasi
perbaikan berdasarkan kelemahan-kelemahan dan resiko yang ditemukan dari
proses audit tersebut. Hasil penelitian ini diharapkan dapat bermanfaat sebagai
22
masukan bagi pihak manajemen untuk meningkatkan pengendalian aplikasi pada
sistem informasi keuangan dan akuntansi UKSW.
II. TELAAH TEORITIS
2.1. Audit Sistem Informasi
Audit sistem informasi merupakan proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah
dapat melindungi aset milik organisasi, mampu menjaga integritas data,
memungkinkan tujuan organisasi untuk dicapai secara efektif, dan menggunakan
sumber daya yang efisien (Weber, 1999:10). Audit sistem informasi sendiri
merupakan gabungan dari beberapa ilmu, antara lain tradisional audit,
manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer dan ilmu
prilaku (Weber, 1999:18). Menurut Weber (1999:11-13) terdapat empat tujuan
audit sistem informasi yaitu meningkatkan keamanan aset-aset perusahaan,
meningkatkan integritas data, meningkatkan efektifitas sistem, meningkatkan
efisiensi sistem.
2.2. Perlunya Kontrol dan Audit Sistem Informasi
Menurut Weber (1999 : 5-10), faktor yang mendorong pentingnya kontrol
dan audit sistem informasi adalah :
1. Biaya perusahaan yang timbul karena kehilangan data (Organizational
costs of data loss).
2. Biaya yang timbul karena kesalahan dalam pengambilan keputusan
(Cost of incorrect decision making).
23
3. Biaya yang timbul karena penyalahgunaan komputer (Cost of
computer abuse).
4. Nilai dari hardware, software dan personel (Value of hardware,
software, personel).
5. Biaya yang besar akibat kerusakan komputer (High cost of computer
error).
6. Menjaga kerahasiaan (Maintenance of privacy).
7. Meningkatkan pengendalian evolusi (penggunaan) penggunaan
komputer (Controlled evolution of computer abuse).
2.3. Tahapan Audit Sistem Informasi
Menurut Hall (2011 : 10-11) terdapat tiga fase/tahapan dalam audit sistem
informasi diantara lain ( seperti dalam gambar 2.1):
1. Perencanaan audit (audit planning phase)
Sebelum auditor dapat menentukan pengujian yang harus dilakukan,
auditor harus memperoleh pemahaman menyeluruh terhadap bisnis
klien. Tujuannya adalah untuk mendapatkan informasi yang cukup
tentang perusahaan untuk merencanakan tahap audit selanjutnya. Pada
tahap ini, auditor harus memahami kebijakan, praktek dan struktur
perusahaan. Selanjutnya, auditor harus memahami pengendalian umum
dan pengendalian aplikasi yang ada dalam perusahaan. Selama proses
ini berlangsung auditor harus mengidentifikasi ancaman yang paling
penting dan pengedalian untuk mengurangi ancaman tersebut.
24
2. Pengujian pengendalian (test of controls phase)
Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian
internal sudah memadai dan dijalankan dengan baik. Untuk mencapai
hal ini, auditor melakukan berbagai tes kontrol. Bukti pengumpulan-
teknik yang digunakan dalam tahap ini mencakup teknik manual dan
teknik komputer khusus audit. Pada akhir dari tahap pengujian
pengendalian, auditor harus menilai kualitas dari pengendalian internal
dengan menetapkan tingkat risiko kontrol. Tingkat kepercayaan
auditor terhadap pengendalian internal menentukan pengujian
substantif yang akan dilakukan.
3. Pengujian substabtive (substantive testing phase)
Tahap ini menekankan pada data keuangan, yang melibatkan
pemeriksaan terhadap saldo account atau transaksi tertentu. Auditor
harus mengevaluasi kelemahan dari kebijakan dan prosedur yang ada
untuk menentukan dampaknya terhadap perusahaan kemudian
melaporkan hasil tersebut.
Gambar 2.1. Tahapan audit sistem informasi
25
2.4. Metode Audit
Menurut Gondodiyoto (2007 :451-459) pendekatan yang dapat dipakai
dalam melakukan audit sistem informasi ada 3 (tiga) antara lain :
1) Auditing around the computer
Untuk menerapkan metode ini, auditor pertama kali harus menelusuri
dan menguji pengendalian masukan, kemudian menghitung hasil yang
diperkirakan dari proses transaksi lalu auditor membandingkan hasil
sesungguhnya dengan hasil yang dihitung secara manual.
2) Auditing through the computer
Pada metode ini, auditor tidak hanya melakukan pengujian pada input
dan output melainkan juga pemeriksaan secara langsung terhadap
pemrosesan komputer melalui pemeriksaan logika dan akurasi program
meliputi koding program, desain aplikasi, serta hal lain yang berkaitan
dengan program aplikasinya.
3) Auditing with computer
Pada metode ini audit dilakukan dengan menggunakan komputer dan
software untuk mengotomatisasi prosedur pelaksanaan audit. Metode
ini sangat bermanfaat dalam pengujian subtantif atas file dan record
perusahaan. Salah satu software audit yang dapat digunakan adalah
GAS (Generalized Audit Software) dan SAS (Specialized Audit
Software).
26
2.5. Program Audit
Menurut Moeller (2010:127) program audit merupakan prosedur yang
menjelaskan langkah-langkah dan serangkaian tes yang akan dilakukan oleh
seorang auditor TI pada saat meninjau sebuah fasilitas operasional TI,
mengevaluasi aplikasi, atau melakukan beberapa proses audit lainnya. Bentuk
program audit sangat beragam tergantung pada kondisi audit, praktik, serta
kebijakan kantor akuntan tersebut (Boynton et all,2003:246).
2.6. Pengendalian Internal
Menurut Committee of Sponsoring Organizations (COSO) yang dikutip
oleh Champlain (2003:216) dalam bukunya yang berjudul Auditing Information
System, pengendalian internal didefinisikan sebagai :
“A process, affected by an entity’s board of directors, management and
other personnel, designed to provide reasonable assurance regarding the
achievement of objectives in (1) the effectiveness and efficiency of operations, (2)
the reability of financial reporting, and (3) the compliance of applicable laws anf
regulations.”
Untuk mencapai tujuan tersebut, terdapat lima komponen pokok sistem
pengendalian internal yang dapat diterapkan secara efektif, yang mencakup
lingkungan pengendalian, penaksiran risiko, aktivitas pengendalian, informasi &
komunikasi, serta pengawasan.
Didalam pengendalian internal menurut COSO terdapat dua aktivitas
pengendalian yang ditunjukan untuk mendorong kehandalan proses informasi
yaitu pengendalian umum dan pengendalian aplikasi (Hall, 2011:21).
27
2.6.1. Pengendalian Umum
Menurut Gondodiyoto (2007 : 301) pengendalian umum adalah sistem
pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan
komputerisasi sebuah organisasi secara menyeluruh. Ruang-lingkup yang
termasuk dalam pengendalian umum adalah sebagai berikut (Gondodiyoto, 2007 :
301) :
1. Pengendalian top manajemen (top management controls), dalam lingkup
ini termasuk pengendalian manajemen sistem informasi (information
system management controls).
2. Pengendalian manajemen pengembangan sistem (system development
management controls), termasuk manajemen program (programing
management controls).
3. Pengendalian manajemen sumber data (data resource management
controls).
4. Pengendalian manajemen operasi (operation management controls).
5. Pengendalian manajemen keamanan (security administration management
controls).
6. Pengendalian manajemen jaminan kualitas (quality assurance
management controls).
2.6.2. Pengendalian Aplikasi
Pengendalian khusus atau pengendalian aplikasi ialah kontrol internal
komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu
28
organisasi (Gondodiyoto, 2007:371). Pengendalian aplikasi terdiri dari 6 (enam)
pengendalian yaitu:
2.6.2.1. Pengendalian Batasan (Boundary Control)
Pengendalian batasan merupakan jenis pengendalian yang didesain untuk
mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar
sumberdaya sistem informasi digunakan oleh user dengan cara yang ditetapkan.
Yang dimaksud dengan batasan (boundary) adalah interface antara para pengguna
(users) dengan sistem berbasis teknologi informasi (Gondodiyoto, 2007: 374).
Terdapat beberapa kontrol yang diimplementasikan dalam pengendalian batasan
yaitu chryptograpic contol, acces control, audit trail, dan existance control.
2.6.2.2. Pengendalian Masukan (Input)
Input merupakan salah satu tahap dalam sistem komputerisasi yang
paling penting dan mengandung resiko. Pengendalian masukan (input control)
dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input
adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan
(Gondodiyoto, 2007: 377).
2.6.2.3. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian internal
untuk mendeteksi jangan sampai data menjadi error karena adanya kesalahan
proses. Tujuan pengendalian pengolahan adalah untuk mencegah agar tidak terjadi
kesalahan-kesalahan selama proses pengolahan data (Gondodiyoto, 2007: 401).
29
2.6.2.4. Pengendalian Keluaran (Output)
Menurut Gondodiyoto (2007:401) pengendalian keluaran merupakan
pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap
dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls)
ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan
didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat
waktu. Jenis-jenis pengendalian keluaran meliputi pengendalian rekonsiliasi
keluaran, penelaahan dan pengujian hasil pengolahan, pengendalian distribusi
keluaran dan pengendalian terhadap catatan (record retention).
2.6.2.5. Pengendalian Database
Pengendalian database merupakan jenis pengendalian intern yang
didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data
tersebut.
2.6.2.6. Pengendalian Komunikasi Aplikasi
Pengendalian komunikasi aplikasi merupakan jenis pengendalian intern
yang didesain untuk menangani kesalahan selama proses trasmisi data dan untuk
menjaga keamanan dari data selama pengiriman informasi tersebut (Gondodiyoto,
2007:429).
2.7. Instrumen Pemeriksaan
Menurut Gondodiyoto (2007 : 596) terdapat berbagai teknik pemeriksaan
yang bisa diterapkan dalam melaksanakan audit. Teknik-teknik tersebut antara
lain ialah observasi, wawancara atau tanya jawab, kuesioner, konfirmasi, inspeksi,
analisis, perbandingan, pemeriksaan bukti-bukti tertulis atau studi dokumentasi,
30
rekonsiliasi, trasir, perhitungan ulang dan scanning. Dalam audit sistem informasi
juga dapat dilakukan teknik-teknik audit dengan metoda code reivew, test data,
code comparison, dengan dukungan audit software, dilakukan perfomance
management tools lainnya dan monitor information system usage.
2.8. Temuan Audit
Menurut Gondodiyoto (2007 : 663-664) temuan audit dibagi menjadi dua
yaitu temuan negatif dan temuan positif. Temuan negatif adalah temuan
berdasarkan bahan bukti audit bahwa ternyata terdapat ketidaktaatan terhadap
ketentuan/ peraturan, pengeluaran uang tidak sepatutnya, ketidakhematan,
ketidakefisienan dan ketidakefektifan yang dapat berakibat adanya
kemungkinan/resiko/dampak yang merugikan perusahaan. Sedangkan temuan
positif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat hal-
hal yang bersifat positif dan perlu dikemukakan sebagai penghargaan atau
apresiasi terhadap auditan, berikan pujian dan tonjolkan kelebihan-kelebihan
untuk hal-hal yang pantas dikemukakan.
2.9. Teknik Penaksiran Resiko
Menurut Gondodiyoto (2007 : 489) ada beberapa metode untuk
melakukan penilaian resiko, yaitu :
1. Pendekatan penaksiran dengan sistem scoring.
Pendekatan ini digunakan dengan mengutamakan audit berdasarkan pada
evaluasi faktor-faktor resiko.
31
2. Penilaian resiko secara judgemental.
Yaitu keputusan dibuat berdasarkan pengetahuan bisnis, intruksi
manajemen eksekutif, sejarah lingkungan, tujuan bisnis dan faktor-faktor
lingkungan.
3. Teknik kombinasi.
III. METODE PENELITIAN
3.1. Metode dan Teknik Pengumpulan Data
Metode dalam audit sistem informasi yang dipakai menggunakan
pendekatan audit through the computer (terbatas). Yang dimaksudkan audit
through the computer (terbatas) disini ialah penulis melaksanakan program audit
pengendalian proses namun terdapat batasan-batasan yang diberikan auditte.
Sumber data yang digunakan dalam penelitian ini adalah sumber data primer dan
sumber data sekunder. Data primer diperoleh dari hasil observasi, penelaahan
dokumentasi dan wawancara kepada pihak-pihak yang berkepentingan dalam
aplikasi Sistem Keuangan dan Akuntansi UKSW (SIKASA UKSW). Data
sekunder berupa struktur organisasi, job description, buku manual program
aplikasi Sistem Keuangan dan Akuntansi UKSW, Standart Operation Procedure
(SOP) penerimaan dan pengeluaran kas.
Data tersebut diperoleh dari sumber internal. Sumber internal itu ialah
organisasi dimana penelitian ini dilakukan mencangkup pengelola SIKASA
UKSW yaitu staff di lingkungan kantor Pembantu Rektor I, Pembantu Rektor II,
programmer, Biro Teknologi dan Sistem Informasi, dan operator unit
32
(staff/pegawai) terpilih yang berhubungan langsung dengan aplikasi Sistem
Keuangan dan Akuntansi UKSW.
3.2. Tahapan Audit Yang Dilaksanakan
Tahapan audit dalam pekerjaan lapangan ini mengikuti tahapan yang
terdapat dalam teori dan mengalami modifikasi untuk menyesuaikan dengan
keadaan lapangan dan keterbatasan yang ada. Adapun tahapan tersebut adalah
sebagai berikut :
3.2.1. Tahap Perencanaan
Salah satu tahap audit ialah perencanaan (audit planning). Perencanaan
audit dimaksudkan untuk meringankan kerja audit dari segi biaya, waktu dan
penganalisaan atas bukti-bukti dan informasi yang telah diperoleh. Terdapat tiga
tahap yang terdapat dalam tahap perencanaan, yaitu :
1) Melakukan pemahaman atas sistem pengendalian yang ada secara umum,
berupa mengajukan pertanyaan atau melakukan perbincangan kepada
pengelola dan (staff/pegawai) terpilih yang berhubungan langsung dengan
SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam
gambaran objek penelitian.
2) Melakukan pemahaman atas aplikasi secara khusus, berupa mengajukan
pertanyaan atau melakukan perbincangan kepada pengelola dan
(staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA
UKSW dan mendokumentasikan pemahaman tersebut ke dalam survei
pendahuluan.
3) Menentukan perencanaan pengujian pengendalian.
33
3.2.2. Tahap Pengujian Pengendalian
Langkah kedua dalam audit ini adalah tahap pengujian pengendalian.
Pengujian pengendalian bertujuan untuk mengetahui apakah pengendalian yang
ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan, dengan
melakukan pemeriksaan, wawancara, observasi. Terdapat tiga tahap yang terdapat
dalam tahap pengujian pengendalian, yaitu :
1) Melaksanakan pengujian pengendalian, berupa pengumpulan bukti audit
berdasarkan program audit yang telah dibuat dengan sejumlah instrument
audit seperti wawancara dan observasi.
2) Melakukan evaluasi terhadap bukti audit, berupa menganalisis bukti audit
untuk mencari temuan-temuan yang terdapat pada SIKASA UKSW.
3) Menentukan penilaian resiko, menggunakan Level Penilaian Resiko
National Institute of Standard and Technology (NIST) melalui publikasi
khusus 800-30 tentang Risk Management Guide for Information
Technology System. Level penilaian resiko merupakan suatu cara untuk
menganalisa seberapa besar pengaruh kemungkinan terjadinya ancaman
(Threat Likelihood) terhadap akibat yang ditimbulkan (Impact).
Tabel 3.1 Definisi likelihoood level (level kemungkinan terjadi)
Likelihood
Level Likelihood Definition
High Sumber ancaman dianggap sangat mungkin terjadi dan kontrol
untuk mencegah vulnerabilitas terjadi dianggap tidak efektif.
Medium Sumber ancaman mungkin terjadi, tetapi kontrol ditetapkan di
tempat yang dapat menggangu keberhasilan pencegahan
vulnerabilitas.
Low Sumber ancaman kecil kemungkinan terjadi atau kontrol ditetapkan
untuk mencegah atau setidaknya menghalau vulnerabilitas.
34
Tabel 3.2 Definisi magnitude of impact (besar dampak resiko)
Risk
Level Risk Description and Necessary Actions
High Jika sebuah temuan dievaluasi sebagai High Risk, maka penting
untuk mempertimbangkan tindakan perbaikan.
Medium Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan
perbaikan diperlukan dan sebuah rencana harus diterapkan.
Low Jika sebuah temuan ditentukan sebagai Low Risk, dipertimbangakn
apakah diperlukan tindakan perbaikan atau memutuskan untuk
menerima resiko.
Besarnya nilai Threat Likelihood dinyatakan dengan :
High (H) diberi nilai 1,0
Medium (M) diberi nilai 0,5
Low (L) diberi nilai 0,1
Sedangkan besarnya nilai Impact dinyatakan dengan :
High (H) diberi nilai 100
Medium (M) diberi nilai 50
Low (L) diberi nilai 10
Teknik perhitungan dalam Level penilaian resiko menggunakan
fungsi perkalian antara Threat Likelihood dengan Impact. Caranya yaitu :
1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood)
berdasarkan nilai yang ada, apakah High, Medium, atau Low.
2. Tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai
yang ada, apakah High, Medium atau Low.
3. Setelah itu kalikan antara Threat Likelihood dengan Impact.
35
4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah
pertanyaan.
5. Hasil pembagian tersebut dinilai dengan menggunakan Risk Scale
apakah termasuk kategori High, Medium atau Low pada Tabel.
6. Ancaman yang dijadikan resiko dan diberikan rekomendasi hanya
kategori Medium dan High.
Tabel 3.3 Risk Scale
Low Medium High
Risk Scale 1 to 10 > 10 to 50 > 50 to 100
3.2.3. Tahap Pengujian Subtantive
Tahap ketiga dari proses audit berfokus pada data keuangan. Namun,
dikarenakan adanya batasan audit yang ditetapkan organisasi mengenai data
keuangan maka dalam penelitian ini penulis tidak pelaksanakan pengujian
subtantive data keuangan. Terdapat dua tahap yang terdapat dalam tahap
pengujian subtantive, yaitu :
1) Mengevaluasi hasil, berupa memberikan rekomendasi dari resiko-
resiko yang ada.
2) Membuat laporan audit. Pelaporan tidak dilaporkan ke dalam format
resmi seperti yang ada dalam laporan auditor independen pada
umumnya. Pelaporan dalam karya ini berupa kesimpulan dari analisis
temuan yang diperoleh dari analisis pengendalian aplikasi.
36
IV. ANALISIS DATA
4.1. Gambaran Umum Objek Penelitian
Universitas Kristen Satya Wacana (UKSW) semula lahir dengan nama
Perguruan Tinggi Pendidikan Guru Kristen Indonesia (PTPG-KI). Diresmikan
pada tanggal 30 November 1956 dengan lima jurusan, yaitu Pendidikan, Sejarah,
Bahasa Inggris, Hukum, dan Ekonomi. PTPG-KI Satya Wacana berubah menjadi
FKIP-KI pada tanggal 17 Juli 1959. Kemudian pada tanggal 5 Desember 1959
diresmikan menjadi Universitas Kristen Satya Wacana dengan kehadiran Fakultas
Ekonomi dan Fakultas Hukum yang kemudian diikuti dengan pembukaan
beberapa Fakultas dan Program Studi baru. Pada saat ini UKSW memiliki 51
Program Studi yang terdiri dari 7 Program Studi Diploma 3, 31 Program Studi
Program Sarjana (S1), 10 Program Studi Program Magister (S2), dan 3 Program
Studi Program Doktoral (S3).
UKSW dipimpin oleh seorang rektor dan terdapat lima pembantu rektor.
Dalam penelitian ini penulis akan melaksanakan program audit pada lingkungan
Pembantu Rektor I Bidang Akademik dan Pembantu Rektor II Bidang
Administrasi dan Keuangan. Struktur organisasi pada lingkungan Pembantu
Rektor I dan Pembantu Rektor II terlihat pada gambar 4.1 dan 4.2. Budaya UKSW
tercermin dalam penjabaran visi, misi universitas dan motto pelayananan masing-
masing unit.
37
Gambar 4.1 Stuktur Organisasi Pembantu Rektor I
Bidang Akademik dipimpin oleh seorang Pembantu Rektor I (PR I) dan
dibantu oleh seorang sekertaris. Untuk menunjang aktifitas dalam bidang
akademik, PR I memiliki beberapa unit penunjang seperti Perpustakaan
Universitas (PU), Biro Teknologi dan Sistem Informasi (BTSI), Pusat Penjaminan
Mutu Akademik (PPMA), Biro Administrasi Akademik (BAA), Pusat
Bahasa/LTC. Dalam penelitian ini objek audit yang berada di dalam lingkungan
Pembantu Rektor I adalah Biro Teknologi dan Sistem Informasi.
Biro teknologi dan Sistem Informasi (BTSI) dipimpin oleh seorang
manajer dan dibantu oleh seorang sekertaris. Terdapat dua bagian penting dalam
BTSI yaitu bagian teknologi informasi dan bagian sistem informasi. Bagian
teknologi informasi membawahi bagian audio visual, bagian jaringan komunikasi
& internet dan bagian komputer. Sedangkan bagian sistem informasi membawahi
bagian software, bagian sistem informasi manajemen, bagian flexibel learning &
web dan bagian dokumentasi & pelatihan.
38
Gambar 4.2 Stuktur Organisasi Pembantu Rektor II
Bidang Administrasi dan Keuangan dipimpin oleh seorang Pembantu
Rektor II (PR II) dan seorang sekertaris. Untuk menunjang aktifitas dalam bidang
akademik, PR II memiliki beberapa unit penunjang seperti Biro Akuntansi dan
Keuangan (BAK), Biro Manajemen Kampus, Biro HRD. Dalam penelitian ini
objek audit yang berada di dalam lingkungan Pembantu Rektor II adalah Biro
Akuntansi dan Keuangan.
Biro Akuntansi dan Keuangan dipimpin oleh seorang manajer dan dibantu
oleh seorang sekertaris. Terdapat dua bagian penting dalam struktur Biro
Akuntansi dan Keuangan (BAK) yaitu bagian akuntansi dan bagian keuangan.
4.2. Survei Pendahuluan
Sejak tahun 2003 UKSW mulai menggunakan Sistem Keuangan dan
Akuntansi Satya Wacana (SIKASA). Sebelum tahun 2003 pemrosesan transaksi
39
penerimaan dan pengeluaran di UKSW masih secara manual. Pada tahun 2003
sampai 2005 SIKASA dikelola oleh Salatiga Camp. Pada saat itu SIKASA hanya
digunakan untuk memproses transaksi pengeluaran kas saja. Mulai tahun 2006
sampai sekarang SIKASA dikelola oleh BTSI dan mengalami banyak
perkembangan dan perbaikan. Sampai saat ini aplikasi yang digunakan adalah
SIKASA versi 2.0.
SIKASA merupakan aplikasi berbasis web yang digunakan untuk
mengelola data keuangan dan akuntansi. Berdasarkan kebijakan pembukuan dan
pencatatan yang berbeda maka SIKASA di UKSW dibedakan menjadi lima jenis
yaitu SIKASA UKSW, SIKASA B, SIKASA PHKI, SIKASA Mandiri, dan
SIKASA Sekolah Lab. Dari kelima jenis SIKASA tersebut kemudian
dikonsolidasikan menjadi satu laporan. Pengguna SIKASA adalah semua unit
kerja yang ada di lingkungan UKSW. Pengguna hanya bisa mengakses SIKASA
di dalam area jaringan UKSW melalui alamat http://sikasa.uksw.edu
Model arsitektur SIKASA menggunakan model two tier. Dari sisi
hardware untuk server menggunakan IBM System X3400, processor Core 2 Duo
dengan memori 2 GB dan hardisk yang digunakan berkapasitas 500 GB.
Sedangkan hardware untuk client yang berskala universitas menggunakan
komputer branded dengan spesifikasi mayoritas generasi processor Pentium IV
dengan memori minimal 512 MB. Sebagai alat komunikasi jaringan universitas
menggunakan mikrotik sebagai router, beberapa buah swicth. Software-software
pendukung lainnya yang digunakan seperti Windows Server, Windows Xp,
Windows 7, Linux, Apache, PostgreSQL, PHP, Browser, dan Acrobat Reader.
40
Untuk melindungi sistem jaringan internal dari serangan hack (Hack
Attack) secara keamanan jaringan server SIKASA sudah dilindungi oleh DMZ
(Demilitarized Zone). Sedangkan untuk perlindungan dalam aplikasi SIKASA,
sudah terdapat prosedur untuk login terlebih dahulu sebelum masuk ke aplikasi.
Sumber daya utama yang digunakan berasal dari Perusahaan Listrik Negara
(PLN) dan untuk mengantisipasi adanya pemadaman listrik universitas sudah
memiliki beberapa Generator Set (Genset). Genset yang dimiliki belum dapat
untuk mencakup semua unit namun sudah diletakkan pada lokasi-lokasi yang
vital.
4.2.1. Prosedur Transaksi Penerimaan Kas
Penerimaan kas dibedakan menjadi dua macam, yaitu penerimaan rutin dan
penerimaan tidak rutin. Yang termasuk dalam penerimaan rutin adalah
penerimaan uang kuliah, penerimaan sewa balairung, sewa cafe, dan sebagainya.
Yang termasuk dalam penerimaan tidak rutin adalah uang wisuda, uang kursus,
uang ijasah, dan sebagainya. Penerimaan uang kuliah berasal dari dua macam
tagihan, yaitu tagihan pembayaran registrasi dan tagihan pembayaran pelunasan.
Tagihan pembayaran registrasi merupakan tagihan yang harus dibayar oleh
mahasiswa sebelum melakukan registrasi, sedangkan tagihan pembayaran
pelunasan merupakan tagihan yang harus dibayar oleh mahasiswa.
Proses penerimaan transaksi penerimaan kas di UKSW saat ini telah
dikelola secara on-line. Dengan diterapkannya jaringan on-line tersebut, maka
para mahasiswa UKSW diharuskan membayarkan beban akademisnya melalui
bank-bank yang memiliki jaringan on-line dengan UKSW.
41
Proses ini di awali oleh bagian Akademik dengan mengeluarkan tagihan
biaya kuliah untuk setiap mahasiswa. Mahasiswa diwajibkan untuk melakukan
pembayaran sesuai tagihan tersebut melalui Bank yang ditunjuk atau lewat loket
di Gedung Administrasi Pusat (GAP). Bank memproses tagihan tersebut dan
mengirimkan laporan pembayaran yang sudah dilakukan oleh mahasiswa secara
on-line melalui aplikasi SIASAT dan rekenig koran. Aplikasi SIASAT akan
melakukan pengiriman data pada aplikasi SIKASA. Pihak pengelola SIKASA
dalam hal ini BAK kemudian akan mencocokan data yang ada dikirim oleh
aplikasi SIASAT dengan rekening koran yang dikirim oleh Bank.
4.2.2. Prosedur Transaksi Pengeluaran Kas
Transaksi pengeluaran dilakukan oleh Bagian Penggajian dan semua unit-
unit pendukung. Transaksi pengeluaran dilakuakan berdasarkan anggaran yang
sidah ditetapkan dan disetujui oleh Komite Anggaran. Pengeluaran kas dibagi
menjadi dua, yaitu pengeluaran kas secara tunai dan pengeluaran kas melalui
transfer bank. Pengeluaran kas secara tunai dibagi menjadi tiga menurut sumber
dokumennya, yaitu pengeluaran kas melalui Surat Permintaan Bon Sementara
(SPBS), pengeluaran kas melalui Surat Permintaan Realisasi Anggaran (SPRA),
dan pengeluaran kas melalui transaksi mutasi kas/bank. Dokumen yang sudah
dicetak harus diotorisasi oleh Unit Anggaran dan Pimpinan Unit. Setelah
diotorisasi, dokumen tersebut diserahkan ke Bagian Keuangan untuk diotorisasi.
Jika dokumen pengeluaran tersebut telah diotorisasi oleh Bagian Keuangan, maka
transaksi tersebut dianggap sah dan dapat anggaran tersebut dapat direalisasikan.
42
4.3. Perencanaan Pengujian Pengendalian Aplikasi
Perencanaan pengujian pengendalian aplikasi diawali dengan menentukan
ruang lingkup audit sistem informasi. Dalam penelitian ini ruang lingkup audit
sistem informasi yang dilakukan hanya pengendalian aplikasi. Hal tersebut
dikarenakan lingkungan organisasi yang sangat luas dan kurangnya pengetahuan
penulis mengenai pengendalian umum.
Ruang lingkup audit sistem informasi atas pengendalian aplikasi dibatasi
dengan tidak melakukan pengujian substantive terhadap data akuntansi dan
keuangan ataupun melihat format laporan keuangan. Hal tersebut dikarenakan
adanya batasan lingkup audit sistem informasi dari auditee, mengingat dokumen
tersebut sangat rahasia bagi organisasi.
Dengan adanya pengetahuan mengenai proses bisnis organisasi serta
pemahaman atas pengendalian yang ada dan ruang lingkup yang ada, maka
penulis menentukan program audit. Program audit yang dipakai dalam penelitian
ini mengacu pada buku Sanyoto Gondodiyoto yang berjudul “Audit Sistem
Informasi + Pendekatan CobIT)” dan mengalami modifikasi untuk menyesuaikan
dengan keadaan lapangan dan keterbatasan yang ada. Program audit ini sangat
penting dalam menjadi pegangan atau panduan bagi penulis untuk memahami
lebih lanjut dan mengindentifikasi berbagai temuan yang penting. Program audit
pengendalian aplikasi yang digunakan dibagi menjadi beberapa program audit
yaitu program audit pengendalian batasan, program audit pengendalian masukan,
program audit pengendalian proses, program audit pengendalian keluaran,
43
program audit pengendalian basis data (database) dan program audit pengendalian
komunikasi aplikasi.
4.4. Pengujian Pengendalian Aplikasi
4.4.1. Pengujian Program Audit atas Pengendalian Batasan
Pengendalian batasan (boundary) ini didesain untuk mengenal identitas
dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem
informasi digunakan oleh user dengan kriteria standar yang ditetapkan seperti:
1. Menetapkan identitas dan kewenangan pengguna, dalam arti sistem harus
memastikan user yang dapat melakukan pengaksesan adalah user yang
mempunyai hak akses.
2. Sistem dapat menampilkan pesan error atau menutup aplikasi secara
langsung pada saat user salah memasukkan password pada jumlah
kesalahan maksimum yang telah ditetapkan.
3. Dapat membatasi tingkat pengaksesan user sesuai level yang dimiliki.
Adapun hasil pengujian pengendalian batasan terdapat pada tabel dibawah
ini.
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan
No. Tahap Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Batasan
1 Lakukan
pengecekan
apakah aplikasi
dilengkapi dengan
login akses seperti
username dan
password?
Aplikasi
SIKASA
UKSW
Ya. Aplikasi sudah dilengkapi
dengan login akses. Terdapat
level sub-unit, username dan
password. (lampiran 19)
O-I-PB-01
44
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Batasan
2 Lakukan
pengecekan
apakah aplikasi
menampilkan
pesan (error
message) jika
verifikasi login
tidak valid?
Aplikasi
SIKASA
UKSW
Ya. Sistem akan memberitahu
bahwa username atau password
yang anda masukan salah atau
tidak sesuai dengan sub-unitnya.
Aplikasi SIKASA dapat
menampilkan pesan (error
message) jika verifikasi login
tidak valid. (lampiran 20)
O-I-PB-02
3 Lakukan
pengecekan
apakah aplikasi
membatasi ukuran
filed (panjang
maksimal)
terhadap login
akses (username
dan password).
Aplikasi
SIKASA
UKSW
Tidak. Tidak ada kebijakan untuk
membatasi ukuran filed (panjang
maksimal) terhadap login akses
(username dan password).
O-I-PB-03
4 Lakukan
pengecekan
apakah password
yang diketik tidak
terlihat (invisible).
Aplikasi
SIKASA
UKSW
Ya. Password yang dimasukan
invisible.
O-I-PB-04
5 Dapatkan
informasi siapa
saja yang menjadi
user aplikasi?
Ka bag.
Akuntansi
Admin, Bag Akuntansi, Operator,
Keuangan, Anggaran, Unit. Untuk
User secara keseluruhan ada di
softwarenya.
W-II-PB-01
6 Dapatkan
informasi apakah
hanya password
yang membatasi
akses ke dalam
aplikasi.
Ka bag.
Akuntansi
Tidak. Untuk mengakses
SIKASA diperlukan password,
username, dan sub-unit.
W-II-PB-02
7 Apakah login
akses seperti
username dan
password
diencryption?
Admin
SIKASA
UKSW
Ya. Username dan password
pastinya diencryption.
W-I-PB-01
8 Lakukan
pengecekan
apakah sistem
aplikasi hanya
dapat diakses oleh
orang-orang yang
terotorisasi.
Aplikasi
SIKASA
UKSW
Ya. Setiap karyawan yang
berhubungan dengan SIKASA
UKSW telah diberi username
masing-masing.
O-I-PB-08
45
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Batasan
9 Lakukan
pengecekan
beberapa kali
kegagalan
penginputan login
akses dapat
dilakukan.
Aplikasi
SIKASA
UKSW
Tidak ada batasan penginputan
login akses. Sistem akan tetap
menampilkan pesan yang berisi
informasi kesalahan pada saat
login. (lampiran 20)
O-I-PB-05
10 Lakukan
pengecekan
apakah sistem
memberikan
respon dengan
menutup secara
otomatis sistem
aplikasi tersebut
(otomatis keluar
dari sistem
aplikasi) bila
terjadi beberapa
kali kegagalan
login akses.
Aplikasi
SIKASA
UKSW
Tidak. Sistem aplikasi tidak dapat
memberikan respon dengan
menutup secara otomatis sistem
aplikasi ketika terjadi kegagalan
login akses.
O-I-PB-06
11 Dapatkan
informasi
mengenai
batasan-batasan
terhadap
kewenangan user
dalam mengakses
aplikasi.
Admin
SIKASA
UKSW
Ada beberapa tingkatan level
aksesnya. (lampiran 22)
Aplikasi memiliki management
user.
W-I-PB-02
12 Dapatkan
informasi tentang
adanya kebijakan
yang mengatur
umur password.
Admin
SIKASA
UKSW
Tidak ada kebijakan yang
mengatur umur password.
W-I-PB-03
13 Jika ya, apakah
apalikasi
SIKASA
menampilan
pesan jika
password tersebut
telah berakhir
(expired?)
Admin
SIKASA
UKSW
Tidak ada kebijakan yang
mengatur umur password.
W-I-PB-04
46
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Batasan
14 Apakah ada
kebijakan yang
mengatur kriteria
password?
Admin
SIKASA
UKSW
Tidak ada kebijakan yang mengatur
kriteria password.
W-I-PB-05
15 Dapatkan
informasi apabila user lupa
username dan
password.
Admin
SIKASA
UKSW
Karena yang bisa mereset
administrator, user biasanya
langsung ke administrator.
Biasanya untuk yang sudah bisa
dijalankan lewat sistem, itu
dilakukan di Bag. Akuntansi
mereka yang mereset passwordnya.
Karena mereka (Bag. Akuntansi)
levelnya sejajar dengan admin.
Untuk user yang pindah unit atau
ganti orang penggantian password
tidak bisa lewat sistem (harus hard
coding).
W-I-PB-06
16 Lakukan
pengecekan
apakah sistem
aplikasi jelas ruang
lingkupnya (apa
dokumen inputnya,
dari mana
sumbernya, tujuan
pengolahan data,
siapa para
penggunanya dan
siapa pemegan
kewenangan)?
Aplikasi
SIKASA
UKSW
Sistem aplikasi telah sesuai dengan
standart operation prosedure
(SOP) yang telah ditetapkan.
O-I-PB-09
17 Apakah terdapat
kick off user bila
tidak terjadi
kegiatan (aktivitas)
selama
menggunakan
aplikasi.
Aplikasi
SIKASA
UKSW
Setiap pengguna yang masuk ke
dalam aplikasi SIKASA
mempunyai sesi yang jika tidak
digunakan selama 10 menit, maka
sesi tersebut akan habis, sehingga
pengguna harus melakukan login
lagi.
O-I-PB-07
18 Apakah ada
kebijakan yang
mengatur jam
akses untuk
SIKASA?
Admin
SIKASA
UKSW
Tidak. Untuk jam akses SIKASA
tidak ada pembatasan waktu. Tetapi
untuk waktu operasionalnya
biasanya jam 8 sampai jam 4 sore.
Selama masih intranet SIKASA
bisa dilakukan kapan saja. Pada
saat lembur, jadi kita tidak mungkin
membatasi akses.
W-I-PB-07
47
Berdasarkan tabel pengujian program audit atas pengendalian batasan,
pada umumnya sudah memenuhi kriteria standar seperti terdapat tingkat
pengaksesan user sesuai level yang dimiliki.
4.4.2. Pengujian Program Audit atas Pengendalian Masukan
Pengendalian masukan (input) ini dirancang dengan tujuan untuk
mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas
dari kesalahan dan penyalahgunaan dengan kriteria standar yang ditetapkan
seperti:
1. Terdapat kontrol terhadap dokumen sumber yang akan diinput (source
document controls).
2. Terdapat otoritas bagi pihak yang melakukan delete atau update
(validation controls).
3. Terdapat pesan error apabila salah melakukan input data (input error
corection).
4. Fasilitas menu yang disajikan memenuhi kebutuhan user.
Adapun hasil pengujian pengendalian masukan terdapat pada tabel
dibawah ini.
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
1 Apakah ada
pemisahan tugas
antara pihak yang
melakukan input
data dengan yang
mengeluarkan
output laporannya?
Ka bag.
Akuntansi
Tidak. Karena user yang terkait
punya wewenang untuk
menginput data dan
mengeluarkan laporan.
W-II-PM-03
48
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
2 Dapatkan informasi
apakah create, read,
update dan delete
terhadap data dan
transaksi hanya
dapat dilakukan
oleh user tentu yang
diberi otoritas.
Admin
SIKASA
UKSW
Ada beberapa tingkatan.
Misalnya untuk master data,
create, read, update dan delete
(CRUD) hanya bisa dilakukan
oleh admin. Untuk transaksi,
tergantung dengan proses
transaksinya.
W-I-PM-07
3 Dapatkan informasi
apakah kesalahan
tentang data dan
transaksi yang telah
terlanjur diinput
dan disave dapat di
edit atau didelete
oleh orang yang
menginput?
Admin
SIKASA
UKSW
Jika transaksi sudah fix yang
bisa menghapus hanya
administrator, dari operator
sudah tidak bisa menghapus.
Untuk mengubah atau mengedit
dari bagian akuntansi itu bisa,
namun harus melihat perlakuan
harus melihat kasus. Apakah
transaksi ini harus di hapus dan
dibuat transaksi baru atau cuma
dirubah.
W-I-PM-08
4 Apakah terdapat
menu konfirmasi
terhadap data
sebelum disimpan?
Admin
SIKASA
UKSW
Konfirmasinya ada. Jadi ketika
data akan diproses sistem akan
memunculkan dialog untuk
mengkonfirmasi apakah proses
ini akan dilajutkan atau
dikembalikan ke awal.
W-I-PM-09
5 Lakukan
pengecekan
terhadap
penggunaan bahasa
pada layar Sistem
Aplikasi.
Aplikasi
SIKASA
UKSW
Sistem Aplikasi menggunakan
bahasa yang mudah dimengerti.
Secara keseluruhan bahasa yang
digunakan sistem adalah bahasa
indonesia. Namun ada beberapa
bahasa asing yang digunakan
seperti : username, password
dan login.
O-I-PM-09
6 Lakukan
pengecekan, apakah
terdapat pesan
kesalahan (error
message) pada
sistem aplikasi
sewaktu terjadi
kesalahan
penginputan?
Aplikasi
SIKASA
UKSW
Ada. Jika nilai debit/kredit tidak
balance sistem akan
menampilkan konfirmasi
“Jumlah = Tidak Seimbang”.
(lampiran 21)
O-I-PM-10
49
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
7 Lakukan
pengecekan
mengenai tombol
perintah save,
delete, dan cancel
pada tampilan.
Aplikasi
SIKASA
UKSW
Ketika user akan menginput
transaksi, terdapat beberapa
tombol perintah seperti :
- tombol ubah untuk mengubah
debit/kredit atau nama dan
keterangan,
- tombol hapus untuk
menghapus transaksi,
- tombol cetak untuk mencetak
transaksi,
- tombol proses untuk
memproses transaksi.
(lampiran 21)
Penggunaan icon (button) dan
warna sudah userfriendly.
O-I-PM-14
8 Dapatkan informasi
tentang fasilitas
peringatan dari
Sistem Aplikasi jika
data belum di back-
up maka prosesnya
tidak dapat
dilanjutkan.
Admin
SIKASA
UKSW
Proses back-up secara otomatis
(online). Sistem hanya akan
memunculkan dialog untuk
mengkonfirmasi apakah proses
ini akan dilajutkan atau
dikembalikan ke awal.
W-I-PM-10
9 Lakukan
pengecekan apakah
petugas entri data
selalu
membubuhkan
tanda check ( √ )
setelah dokumen
selesai di input.
Dokumen
Input
Terdapat tanda check setelah
Dokumenselesai diinput.
O-II-PM-01
10 Lakukan tinjauan
apakah fasilitas
menu pada sistem
aplikasi telah
memenuhi
kebutuhan user.
Aplikasi
SIKASA
UKSW
Secara keseluruhan fasilitas
menu pada sistem aplikasi telah
memenuhi kebutuhan user.
Aplikasi SIKASA dilengkapi
dengan tools kecil tambahan
untuk mempermudah
penggunaan SIKASA.
O-I-PM-12
11 Lakukan
pengecekan apakah
dokumen sumber
telah memiliki
nomor urut.
Dokumen
Input
Dokumen sudah memiliki
nomor urut. (lampiran 31 dan
lampiran 32)
O-II-PM-02
50
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
12 Lakukan
pengecekan apakah
nomor urut di
dokumen sumber
telah tercetak secara
otomatis.
Dokumen
Input
Dokumen sumber telah tercetak
secara otomatis dari aplikasi.
(lampiran 31 dan lampiran 32)
O-II-PM-03
13 Apakah
penyimpanan atau
pengarsipan
terhadap dokumen
sumber yang telah
digunakan?
Ka bag.
Akuntansi
Dokumen diarsip berdasarkan
periode dan jenis dokumen.
W-II-PM-06
14 Lakukan
pengecekan apakah
terdapat petugas
yang melakukan
pengawasan
terhadap keakuratan
input data dengan
data pada dokumen
sumber?
Dokumen
Input
Dari penelahan dokumen SPRA,
terdapat kolom otorisasi yang
disi petugas sebagai pengawasan
terhadap akurasi perhitungan,
kelengkapan dan keabsahan
bukti transaksi telah diperiksa.
O-II-PM-04
15 Apakah terdapat
prosedur
persetujuan
penginputan data ke
dalam sistem
aplikasi?
Ka bag.
Akuntansi
Ya. Sebelum dokumen diinput
ada persetujuan dari kabag
Akuntansi atau keuangan.
W-II-PM-04
16 Lakukan
pengecekan apakah
data yang diisikan
pada filed sesuai
dengan ketentuan
jenis tipe datanya
(numeric/alfabetic)?
Aplikasi
SIKASA
UKSW
Ya. Untuk pengisian debit/kredit
hanya bisa menggunakan
numeric.
O-I-PM-13
17 Lakukan
pengecekan apakah
terdapat transaction
log dalam aplikasi?
Aplikasi
SIKASA
UKSW
Ya. Terdapat transaction log
dalam aplikasi yang bisa
disearch dan disort berdasarkan
waktu, sub-unit, username,
level, komputer, aksi dan
perintah SQL. (lampiran 23)
O-I-PM-15
51
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
18 Lakukan
pengecekan apakah
terdapat help
facilities dalam
aplikasi.
Admin
SIKASA
UKSW
Ada. Ada juga buku panduan,
namun masih versi yang lama
(belum update).
W-I-PM-11
19 Apakah metode
input data ke dalam
database dengan
menggunakan
realtime
processing?
Admin
SIKASA
UKSW
Ya.Input data ke dalam database
dengan menggunakan realtime
processing supaya data dapat
diupdate terus.
W-I-PM-12
20 Lakukan
pengecekan apakah
terdapat perubahan
warna pada
interface, jika
terjadi kesalahan
penginputan.
Aplikasi
SIKASA
UKSW
Ya. Misalnya ketika jumlah
transaksi tidak seimbang maka,
warna font akan berwarna
merah. Sebaliknya jika jumlah
transaki seimbang maka warna
font akan berwarna hijau.
(lampiran 21 dan lampiran 22)
O-I-PM-16
21 Lakukan
pengecekan apakah
waktu respon di
setiap penginputan
data di dalam
sistem aplikasi
cepat?
Aplikasi
SIKASA
UKSW
Ya. Komputer didukung memori
yang besar (client).
O-I-PM-17
52
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Masukan
22 Dapatkan informasi
tentang prosedur
persetujuan
penginputan data.
Ka bag.
Akuntansi
Kita ada pengeluaran dan
penerimaan. Untuk pengeluaran
itu unit yang input sampai uang
cair. Kemudian ada jurnal
penerimaan untuk saat ini yang
menginput akuntansi. Ada lagi
jurnal memorial, jurnal
penyesuaian, koreksi, transfer
payment antar unit. Ada jurnal
yang sudah ada di SIASAT yang
otomatis link.
Untuk prosedur unit nanti minta
Surat Realisasi Anggaran
berdasarkan dari rapat-rapat atas
nama siapa kemudian diprint,
proses, kemudian muncul
printoutnya. Setelah itu
menyiapkan tanda tangan sesuai
level-levelnya sampai ke
keuangan. Jika sudah komplit
kemudian keuangan merilis
otorisator terakhir dari kas, visa
atau bank.
W-II-PM-05
Berdasarkan tabel pengujian program audit atas pengendalian masukan,
pada umumnya sudah memenuhi kriteria standar seperti terdapat kontrol terhadap
dokumen sumber yang akan diinput, terdapat otoritas bagi pihak yang melakukan
delete atau update, terdapat pesan error apabila salah melakukan input data,
fasilitas menu yang disajikan memenuhi kebutuhan user.
4.4.3. Pengujian Program Audit atas Pengendalian Proses
Pengendalian proses ini dirancang dengan tujuan untuk untuk mencegah
agar tidak terjadi kesalahan-kesalahan selama proses pengolahan data dengan
kriteria standar yang ditetapkan seperti:
53
1. Pengolahan data tidak dapat dilakukan dengan cara ilegal.
2. Sistem harus mencegah atau mendeteksi kehilangan data dan data yang
tidak valid selama proses dilakukan (error detection and corection).
3. Kesalahan yang dilakukan selama pemrosesan harus dapat segera
diperbaiki.
4. Setiap proses yang dilakukan harus terekam ke dalam database.
Adapun hasil pengujian pengendalian proses terdapat pada tabel dibawah
ini.
Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Proses
1 Lakukan
pengecekan apakah
data dapat diproses
dengan tidak benar.
Aplikasi
SIKASA
UKSW
Tidak. Sistem akan memberikan
konfirmasi terhadap kesalahan.
(lampiran 21)
O-I-PP-18
2 Lakukan
pengecekan apakah
data dapat
ditambahkan,
dihapus, dicopy,
dihilangkan atau
diubah dengan cara
yang ilegal.
Aplikasi
SIKASA
UKSW
Tidak. Masing-masing user
sudah ada levelnya.
O-I-PP-19
3 Lakukan
pengecekan apakah
sistem dapat
mencegah atau
mendeteksi data
masukan yang tidak
valid.
Aplikasi
SIKASA
UKSW
Ya. Dengan manajemen user
dan terdapat message pada
interface aplikasi jika data
masukan tidak valid.
O-I-PP-19
4 Dapatkan informasi
apakah sistem
mampu mencegah
atau mendeteksi
kehilangan data
selama pemrosesan.
Admin
SIKASA
UKSW
Ya. Sistemnya dengan rollback
dan flag. Misalnya tiba-tiba mati
lampu dan hidup kembali sistem
akan menampilkan kondisi
dimana user terakhir melakukan
input.
W-I-PP-12
54
Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Proses
5 Dapatkan informasi
apakah sistem
mampu untuk
mengecek
keseluruhan
pemrosesan.
Admin
SIKASA
UKSW
Ya. Sistem memiliki dua log.
Log server dan log program.
Log program mencatat semua
aksi yang dilakukan oleh user.
Log server semua aksi secara
keseluruhan.
W-I-PP-13
6 Lakukan
pengecekan apakah
proses yang
dilakukan dapat
terekam di dalam
sistem aplikasi.
Aplikasi
SIKASA
UKSW
Ya. Terdapat menu daftar log
untuk melihat historis dari
pemrosesan transaksi.
O-I-PP-21
7 Lakukan
pengecekan apakah
kesalahan dalam
pemrosesan data
dapat segera
diperbaiki dalam
waktu yang cepat.
Aplikasi
SIKASA
UKSW
Ya. Sistem aplikasi
menggunakan realtime
processing, namun harus level
admin.
O-I-PP-22
8 Dapatkan informasi
apakah sudah
terdapat prosedur
audit trail pada
sistem aplikasi?
Admin
SIKASA
UKSW
Audit trail dilakukan dari
manajemen log.
W-I-PP-14
9 Apakah semua
output laporan
keuangan diproses
melalui aplikasi
SIKASA?
Manajer
BAK
Tidak. Dari SIKASA nanti
mengunduh neraca saldo
kemudian digabungkan dengan
beberapa laporan keuangan dari
SIKASA yang lain. Saat ini
masih manual menggunakan Ms.
excel.
W-III-PP-01
Berdasarkan tabel pengujian program audit atas pengendalian proses, pada
umumnya sudah memenuhi kriteria standar seperti terdapat kontol pengolahan
data agar tidak dapat dilakukan dengan cara ilegal, kontrol terhadap error
detection and corection, kontrol terhadap kesalahan yang dilakukan selama
pemrosesan, kontrol pada pemrosesan data agar terekam ke dalam database.
55
4.4.4. Pengujian Program Audit atas Pengendalian Keluaran
Pengendalian keluaran ini didesain agar output/informasi disajikan secara
akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak
secara cepat waktu dan tepat waktu dengan kriteria standar yang ditetapkan
seperti:
1. Hasil output yang akurat, lengkap, up to date, dan didistribuskan
kepada pihak yang berhak serta tepat waktu.
2. Terdapat prosedur permintaan laporan rutin atau permintaan laporan
baru.
3. Terdapat control terhadap penghancuran laporan yang tidak
dibutuhkan.
Adapun hasil pengujian pengendalian keluaran terdapat pada tabel
dibawah ini :
Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Keluaran
1 Dapatkan informasi
tentang sistem
pengawasan
terhadap catatan
untuk setiap laporan
yang terjadi.
Ka bag.
Akuntansi
Laporan selesai itu finalisasi dari
kita. Kita nanti juga di audit dari
eksternal, kemungkinan ada
koreksi atau kesalahan atau
reklas, kemungkinan ada
perbaikan. Kemudian kita cek
kebenaranya, jika benar kita
ngikut saldonya mereka. Dari
kami (akuntansi) ada
pengecekan ulang (review
manual).
W-II-PK-07
56
Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Keluaran
2 Dapatkan informasi
apakah dilakukan
pemeriksaan ulang
setelah laporan
tersebut dicetak.
Ka bag.
Akuntansi
Dari kami (akuntansi) ada
pengecekan ulang (review
manual). Kalo yang hard itu
ada di akuntansi (arsip) dan
untuk yang soft itu kita back up.
Kita berkerjasama dengan BTSI
itu setiap tahun di back up.
W-II-PK-08
3 Apakah sistem
aplikasi dapat
menghasilkan
laporan yang
dibutuhkan.
Ka bag.
Akuntansi
Sejauh ini aplikasi menyediakan
laporan keuangan sampai proses
neraca saldo.
W-II-PK-09
4 Dapatkan informasi
apakah laporan
yang dihasilkan
didistribusikan
kepada pihak yang
berkepentingan.
Manajer
BAK
Ya. Pemimpin universitas, dan
pihak-pihak lain seperti yayasan,
auditor internal dan auditor
external.
W-III-PK-
03
5 Dapatkan informasi
tentang prosedur
permintaan laporan
rutin atau laporan
baru.
Manajer
BAK
Karena sistem berdasarkan
anggaran, masing-masing unit
membuat anggaran setelah jadi
unit akan membuat SPRA. Saat
ini sistem (SIKASA) hanya
sampai neraca saldo.
Dari neraca saldo dibuat manual
dengan menggunakan excel.
Karena sejak awal menggunakan
SIKASA tahun 2006, dipisahkan
menjadi dua yaitu operasional
biasa (perkuliahan) dan
SIKASA B untuk yang proyek-
proyek (hibah). Kedua jenis
SIKASA tersebut tidak
terintegrasi. Jadi untuk membuat
laporan yang komprehensif ada
penggabungan, konsolidasi dan
eliminasi dari beberapa jenis
SIKASA dan saat ini masih
dibuat manual.
W-III-PK-
02
57
Tabel 4.13 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Keluaran
6 Dapatkan informasi
apakah laporan
didistribusikan
secara tepat waktu
dan tepat sasaran.
Ka bag.
Akuntansi
Sebelumnya kita sudah ada
perbaikan. Beberapa tahun yang
lalu kita sampai mundur hampir
setengah tahun lebih. Jadi kita
terlambat. Tapi untuk tahun
kemarin kita lebih baik. Tahun
ini kita punya target agustus
sudah selesai. Yah memang ada
kelemahan-kelemahan dari
semua sistem jadi kita terlambat
(belum terintegrasi).
W-II-PK-11
7 Apakah laporan
keuangan yang
masih softcopy
dilengkapi dengan
password?
Ka bag.
Akuntansi
Kita tidak ada penggunaan
password pada dokumen laporan
keuangan yang masih softcopy.
W-II-PK-11
8 Dapatkan laporan
tentang laporan
yang diarsip.
Ka bag.
Akuntansi
Kita disediakan gudang. Tapi
jika di tahun-tahun berjalan kita
letakkan dikantor.
W-II-PK-12
9 Lakukan
pengecekan apakah
arsip telah disimpan
ditempat yang aman
dari semua resiko
atau semua kejadian
yang mungkin
terjadi.
Ka bag.
Akuntansi
Terdapat penumpukan dokumen
arsip dikantor dan arsip di
gudang tidak tertata dengan
baik.
O-I-PK-23
10 Dapatkan informasi
tentang control
terhadap
penghancuran
laporan yang sudah
tidak dibutuhkan
lagi dan batas
waktu lamanya
pengarsipan
laporan.
Ka bag.
Akuntansi
Untuk laporan keuangan kita
tidak bagikan kesemua orang.
Kita cuma pastikan laporan
tersebut ke PR II, Manajer,
Yayasan, dsb. Dan untuk kita
sendiri, kita simpan jadi tidak
mungkin laporan tersebut keluar.
Laporan juga ada diSIKASA
dan yang bisa melihat itu
misalnya admin, yayasan,
pimpinan bisa.
Kalo untuk laporan kita belum
penghancuran, itu juga masih
penting kecuali arsip-arsip
kayak bukti-bukti penerimaan
dari mahasiswa itu jika sudah
setahun kita rajang (hancurkan).
W-II-PK-13
58
Berdasarkan tabel pengujian program audit atas pengendalian keluaran,
pada umumnya sudah memenuhi kriteria standar seperti terdapat hasil kontrol
terhadap output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak
yang berhak serta tepat waktu, terdapat prosedur permintaan laporan rutin atau
permintaan laporan baru, terdapat control terhadap penghancuran laporan yang
tidak dibutuhkan.
4.4.5. Pengujian Program Audit atas Pengendalian Database
Pengendalian database ini didesain untuk menjaga akses ke dalam
database dan menjaga integritas dari data tersebut dengan kriteria standar yang
ditetapkan seperti:
1. Terdapat pemisahan tugas antara database administrator dan data
administrator.
2. Terdapat pengendalian terhadap akses ilegal
3. Database memliki integrity constrains.
4. Terdapat file handling control.
5. Permintaan data harus dilakukan dengan mengisi job requets.
Adapun hasil pengujian pengendalian database terdapat pada tabel
dibawah ini.
59
Tabel 4.5 Pengujian Program Audit Bukti Audit atas Pengendalian Database
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Database
1 Dapatkan informasi
mengenai file
handling control.
Admin
SIKASA
UKSW
Ada back-up data. Namun
model recovery belum tercluster.
Ketika recovery terjadi fail
(kegagalan) kita melakukan
back-up namun belum otomatis.
Sistem harus down dahulu lalu
kita masukan lagi data-datanya.
W-I-PD-15
2 Dapatkan informasi
apakah tugas
Database
Administrator
dengan Data
Administrator.
Admin
SIKASA
UKSW
Ya. Saya sebagai database
administrator dan bag.
Akuntansi sebagai data
administrator.
W-I- PD-16
3 Dapatkan informasi
tentang
pengendalian
terhadap akses
ilegal.
Admin
SIKASA
UKSW
Sistem database dilengkapi
login.
W-I- PD-17
4 Dapatkan informasi
mengenai
pengendalian
terhadap batasan
sistem hak akses.
Admin
SIKASA
UKSW
Security acces dengan single
user login.
W-I- PD-18
5 Dapatkan informasi
mengenai jumlah
preveleges atau hak
akses untuk login
database dibatasi.
Admin
SIKASA
UKSW
Banyak, setiap user PC yang
terhubung dengan intranet
UKSW. Tidak berdasarkan IP
addres.
W-I- PD-19
6 Dapatkan informasi
mengenai
permintaan data.
Admin
SIKASA
UKSW
Biasanya dari pihak PR II atau
dari Kabag. Akuntansi yang
langsung datang meminta data.
W-I-PKE-
20
7 Dapatkan informasi
apakah sistem
manajemen
database tekah
melaksanakan
integrity constraints
pada sistem
database.
Admin
SIKASA
UKSW
Ya. Sebagian besar sudah.
Karena masing-masing item ada
relasi dengan data yang lain.
W-I- PD-21
60
Tabel 4.5 Pengujian Program Audit atas Pengendalian Database (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Database
9 Dapatkan informasi
mengenai ketentuan
siapa saja yang
boleh melakukan
permintan data.
Admin
SIKASA
UKSW
Auditor, Akuntansi dan PR II. W-I- PD-23
10 Dapatkan informasi
apakah sudah
terdapat langkah
backup data secara
rutin.
Admin
SIKASA
UKSW
Ya. Untuk backup datanya
dilakukan harian tengah hari dan
malam. Untuk masa
penyimpanannya setahun. Data
yang sudah lebih dari satu tahun
akan segera dihapus oleh server,
namun kita harus tarik data
sebelum dihapus dan di backup
lagi ditempat lain (storage
backup).
W-I- PD-24
11 Lakukan
pengecekan apakah
file backup telah
disimpan ditempat
yang aman dari
semua resiko atau
semua kejadian
yang mungkin terjd.
Ka. Bag.
Teknologi
Informasi
Database dan file backup
disimpan di ruang server
bersama server aplikasi yang
lain. Ruangan server dilengkapi
dengan pendingin (AC).
Peletakan server SIKASA
berada dibagian bawah rak dan
diganjal dengan kerdus.
O-III- PD-
01
Berdasarkan tabel pengujian program audit atas pengendalian database,
pada umumnya sudah memenuhi kriteria standar seperti terdapat pemisahan tugas
antara database administrator dan data administrator, terdapat pengendalian
terhadap akses ilegal, database memliki integrity constrains, dan terdapat file
handling control.
4.4.6. Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi
Pengendalian komunikasi aplikasi ini didesain untuk menangani kesalahan
selama proses trasmisi data dan untuk menjaga keamanan dari data selama
pengiriman informasi dengan kriteria standar yang ditetapkan seperti:
61
1. Menggunakan media transmisi, commucation line, arsitektur
komunikasi, dan topologi.
2. Harus terdapat line error controls.
Adapun hasil pengujian pengendalian komunikasi aplikasi terdapat pada
tabel dibawah ini.
Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Komunikasi
Aplikasi
1 Dapatkan informasi
mengenai hardware
dan software yang
dapat mendukung
transmisi atau
saluran link.
Ka. Bag.
Teknologi
Informasi
Untuk hardware banyak sekali.
Kita tidak punya datanya. Kalo
untuk Server yang digunakan
masih agak lama yaitu Core 2
duo, memori hanya 2 Giga,
Hardisknya 500 Giga. Untuk
Lan Card menggunakan
Gigabyte. Workgroup tidak
memakai. Platform yang dipakai
Linux, jadi open source
kemudian menggunakan PHP,
databasenya menggukan
PostgreSql. Untuk router
menggunakan Mikrotik, untuk
swich ada banyak. Setiap unit
terdapat swicth masing-masing,
karena kita menggunakan multi
domain.
Software yang dibutuhkan
browser dan acrobat reader.
W-IV-PKA-
01
2 Dapatkan informasi
tentang media-
media transmisi
yang digunakan
pada sistem
aplikasi.
Ka. Bag.
Teknologi
Informasi
UTP dan fiber optic.
W-IV-PKA-
02
62
Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi
(lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP
Ref. Pengendalian
Komunikasi
3 Dapatkan informasi
tentang
communication line
pada jaringan
(private atau
public) yang
digunakan aplikasi.
Ka. Bag.
Teknologi
Informasi
Private communication line.
Karena sistem aplikasi hanya
digunakan untuk kegiatan
internal kampus.
W-IV-PKA-
03
4 Dapatkan informasi
tentang error
detection dan error
correction pada
communication
line.
Ka. Bag.
Teknologi
Informasi
Dengan menggunakan
monitoring (system monitoring
on-line). (lampiran 25, 26, 27)
W-IV-PKA-
04
5 Dapatkan informasi
tentang topologi
jaringan pada
sistem aplikasi.
Ka. Bag.
Teknologi
Informasi
Pada tingkat keseluruhan
jaringan terdapat bermacam-
macam (gabungan) topologi
jaringan seperti topologi Star,
dan Ring. Jaringan dibangun
dengan sistem mesh network.
W-IV-PKA-
05
6 Dapatkan informasi
mengenai jenis
arsitektur
komunikasi yang
digunakan oleh
sistem aplikasi.
Ka. Bag.
Teknologi
Informasi
Menggunakan TCP/IP W-IV-PKA-
06
Berdasarkan tabel pengujian program audit atas pengendalian database,
pada umumnya sudah memenuhi kriteria standar seperti terdapat line error
controls.
4.5. Evaluasi Temuan Pengendalian Aplikasi
4.5.1. Evaluasi Temuan Pengendalian Batasan
Adapun temuan audit yang dihasilkan dari pengendalian batasan yaitu :
63
Tabel 4.7 Evaluasi Temuan Pengendalian Batasan
No. Temuan
Positif Negatif
1 Aplikasi yang terkait dengan sistem
informasi keuangan dan akuntansi
dilengkapi dengan login akses berupa
sub-unit, username dan password.
Tidak ada format khusus terhadap
password yang akan dimasukkan, yaitu
dapat berupa angka, huruf, atau
gabungan antara angka dengan huruf
(parameter password).
2 Password pada SIKASA diblok dengan
spot hitam/tidak terlihat (invisible).
Tidak ada kebijakan mengenai umur
password (automatically expired
password).
3 Tidak ada kebijakan untuk membatasi
ukuran filed (panjang maksimal)
terhadap login akses (username dan
password)
Sistem aplikasi tidak dapat memberikan
respon dengan menutup secara otomatis
sistem aplikasi tersebut (otomatis keluar
dari sistem aplikasi) bila terjadi beberapa
kali kegagalan login akses.
4 Aplikasi SIKASA akan menampilan
pesan jika verifikasi login tidak valid.
Tidak ada kebijakan pembatasan waktu
jam akses SIKASA.
5 Aplikasi SIKASA hanya dapat diakses
oleh orang-orang yang terotorisasi
(sub-unit).
6 Login akses pada sistem aplikasi seperti
password sudah diencryption.
7 Batasan-batasan terhadap kewenangan
user dalam mengakses aplikasi
dilakukan dengan menangement user
dan login akses.
8 Terdapat kick off user bila tidak terjadi
kegiatan (aktivitas) selama
menggunakan aplikasi.
9 Ya. Setiap karyawan yang berhubungan
dengan SIKASA UKSW telah diberi
username masing-masing.
Berdasarkan hasil temuan pengendalian batasan yang dilakukan, diperoleh
9 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan diukur
dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar
pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat
yang ditimbulkan (impact).
4.5.2. Evaluasi Temuan atas Pengendalian Masukan
Adapun temuan audit yang dihasilkan dari pengendalian masukan yaitu :
64
Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan
No. Temuan
Positif Negatif
1 Tidak terdapat pemisahan tugas antara
pihak yang melakukan input data
dengan yang mengeluarkan output
laporan keuangan.
Terdapat buku panduan, namun masih
versi yang lama (belum update).
2 Hapus, edit hanya dapat dilakukan
oleh user tertentu yang diberi otoritas.
3 Terdapat terdapat menu konfirmasi
terhadap data sebelum disimpan
(proses).
4 Penggunaan bahasa dan tampilan
layar untuk input data sudah baik,
jelas, dan mudah dimengerti serta
tampilan warna layar didesain agar
mata tidak cepat lelah dan dapat
mengurangi kesalah penginputan.
5 Ketika user melakukan kesalahan
input, aplikasi menampilan pesan
kesalahan (message error).
6 Terdapat tombol ubah, hapus, proses
dan cetak pada layar aplikasi.
7 Proses back-up secara otomatis (on-
line realtime)
8 Terdapat konfirmasi ketika data akan
diproses sistem dengan memunculkan
dialog untuk mengkonfirmasi apakah
proses ini akan dilajutkan atau
dikembalikan ke awal.
9 Aplikasi SIKASA dilengkapi dengan
tools kecil tambahan untuk
mempermudah penggunaan SIKASA
10 Dokumen sudah memiliki nomor urut.
11 Dokumen sumber telah tercetak
secara otomatis dari aplikasi.
12 Dokumen diarsip berdasarkan periode
dan jenis dokumen.
13 Terdapat petugas yang melakukan
pengawasan terhadap keakuratan data
terhadap dokumen sumber.
14 Terdapat persetujuan penginputan
data ke dalam sistem aplikasi.
15 Terdapat transaction log dalam
aplikasi yang bisa disearch dan disort
berdasarkan waktu, sub-unit,
username, level, komputer, aksi dan
perintah SQL.
65
Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan (lanjutan)
No. Temuan
Positif Negatif
16 Terdapat help facilities dalam
aplikasi.
17 Terdapat perubahan warna pada
interface, jika terjadi kesalahan
penginputan data.
18 Penggunaan filed sesuai dengan
ketentuan jenis tipe datanya
(numeric/alfabetic)?
19 Input data ke dalam database dengan
menggunakan realtime processing
20 Waktu respon di setiap penginputan
data di dalam sistem aplikasi cepat.
Berdasarkan hasil temuan pengendalian masukan yang dilakukan,
diperoleh 20 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan
diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa
besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap
akibat yang ditimbulkan (impact).
4.5.3. Evaluasi Temuan atas Pengendalian Proses
Adapun temuan audit yang dihasilkan dari pengendalian proses yaitu :
Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses
No. Temuan
Positif Negatif
1 Sistem akan memberikan konfirmasi
ketika data dapat dengan tidak benar.
Pemrosesan penyusunan laporan
keuangan yang komprehensif masih
manual dengan menggunakan Ms.
excel.
2 Data tidak dapat ditambahkan,
dihapus, dicopy, dihilangkan atau
diubah dengan cara yang ilegal,
karena ada masing-masing user ada
levelnya.
3 Sistem aplikasi dapat mencegah atau
mendeteksi data masukan yang tidak
valid dengan managemen user dan
terdapat message pada interface
aplikasi jika data masukan tidak valid.
66
Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses (lanjutan)
No. Temuan
Positif Negatif
4 Terdapat sistem roolback dan flag
terhadap data selama pemrosesan
untuk mencegah kehilangan data.
5 Terdapat manajemen log server dan
log aplikasi.
6 Terdapat menu daftar log agar proses
yang dilakukan dapat terekam di
dalam sistem aplikasi
7 Audit trail dilakukan dari manajemen
log.
Berdasarkan hasil temuan pengendalian proses yang dilakukan, diperoleh
7 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur
dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar
pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat
yang ditimbulkan (impact).
4.5.4. Evaluasi Temuan atas Pengendalian Keluaran
Adapun temuan audit yang dihasilkan dari pengendalian keluaran yaitu :
Tabel 4.10 Evaluasi Temuan atas Pengendalian Keluaran
No. Temuan
Positif Negatif
1 Terdapat pengawasan terhadap catatan
untuk setiap laporan yang terjadi.
Terdapat penumpukan dokumen arsip
dikantor dan arsip di gudang tidak tertata
dengan baik.
2 Sebelum catatan atau
dibagikan/disimpan ada pengecekan
ulang terhadap dokumen secara manual.
Tidak ada penggunaan password pada
dokumen laporan keuangan yang masih
softcopy.
3 Sistem aplikasi menyediakan laporan
keuangan sampai proses neraca saldo.
4 Laporan yang dihasilkan didistribusikan
kepada pihak yang berkepentingan.
5 Terdapat tempat khusus untuk
menyimpan arsip-arsip.
6 Terdapat kebijakan yang mengatur
penghancuran laporan yang sudah tidak
dibutuhkan lagi dan batas waktu
lamanya pengarsipan laporan.
67
Berdasarkan hasil temuan pengendalian keluaran yang dilakukan,
diperoleh 6 temuan positif dan 2 temuan negatif. Temuan negatif tersebut akan
diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa
besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap
akibat yang ditimbulkan (impact).
4.5.5. Evaluasi Temuan atas Pengendalian Database
Adapun temuan audit yang dihasilkan dari pengendalian database yaitu :
Tabel 4.11 Evaluasi Temuan atas Pengendalian Database
No. Temuan
Positif Negatif
1 Terdapat back-up planing untuk file
handling controls.
Model back-up planing belum
tercluster (mirror).
2 Terdapat pemisahan antara fungsi
database administrator dan data
administrator.
Tidak terdapat job request untuk
meminta data.
3 Terdapat pengendalian akses data
ilegal.
Peletakan server SIKASA berada di
bagian bawah rak dan diganjal dengan
kerdus.
4 Terdapat pengendalian terhadap
batasan sistem hak akses agar tidak
terjadi penyalahgunaan database yaitu
dengan security akses (single user
login.)
5 Hak akses untuk login database
dibatasi dengan single user login.
6 Sistem manajemen database telah
melaksanakan integrity constrains
pada sistem database untuk
meningkatkan keakuratan, keunikan
dan kelengkapan data.
7 Privasi data dapat terjaga dengan baik
selama proses backup dan pemulihan
dilakukan dengan single user (admin)
ke data back-upnya.
8 Terdapat kebijkan mengenai waktu
backup dan masa penyimpanan
Berdasarkan hasil temuan pengendalian database yang dilakukan,
diperoleh 8 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan
68
diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa
besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap
akibat yang ditimbulkan (impact).
4.5.6. Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi
Adapun temuan audit yang dihasilkan dari pengendalian komunikasi
aplikasi yaitu:
Tabel 4.12 Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi
No. Temuan
Positif Negatif
1 Sistem aplikasi hanya digunakan
untuk kegiatan internal kampus
(private communication line)
Tidak ada dokumentasi hardware dan
software yang dapat mendukung
transmisi atau saluran link.
2 Error detection dan error correction
pada communication line dilakukan
dengan system monitoring on-line.
3 Jaringan dibangun dengan sistem
mesh network.
Berdasarkan hasil temuan pengendalian komunikasi aplikasi yang
dilakukan, diperoleh 3 temuan positif dan 1 temuan negatif. Temuan negatif
tersebut akan diukur dengan menggunakan level penilaian resiko untuk
mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat
likelihood) terhadap akibat yang ditimbulkan (impact).
4.6. Penilaian Resiko atas Pengendalian Aplikasi
4.6.1. Penilaian Resiko atas Pengendalian Batasan
Adapun penilaian resiko atas pengendalian batasan yaitu :
69
Tabel 4.13 Penilaian Resiko atas Pengendalian Batasan
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Tidak ada format khusus
terhadap password yang akan
dimasukkan, yaitu dapat berupa
angka, huruf, atau gabungan
antara angka dengan huruf
(parameter password).
0,5 50 25 M
2 Tidak ada kebijakan mengenai
umur password (automatically
expired password).
0,5 50 25 M
3 Sistem aplikasi tidak dapat
memberikan respon dengan
menutup secara otomatis sistem
aplikasi tersebut (otomatis keluar
dari sistem aplikasi) bila terjadi
beberapa kali kegagalan login
akses.
0,1 10 1 L
4 Tidak ada kebijakan pembatasan
waktu jam akses SIKASA. 0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 76 : 4 =
19
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 19 yang menurut risk scale termasuk ketegori Medium (beresiko
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem
Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat
pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang
ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.2. Penilaian Resiko atas Pengendalian Masukan
Adapun penilaian resiko atas pengendalian masukan yaitu :
70
Tabel 4.14 Penilaian Resiko atas Pengendalian Masukan
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Terdapat buku panduan, namun
masih versi yang lama (belum
update).
0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 25 : 1 =
25
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian masukan
Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya,
terdapat pengendalian yang baik ketika terjadi ancaman sehingga dampak yang
ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.3. Penilaian Resiko atas Pengendalian Proses
Adapun penilaian resiko atas pengendalian proses yaitu :
Tabel 4.15 Penilaian Resiko atas Pengendalian Proses
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Pemrosesan penyusunan laporan
keuangan yang komprehensif
masih manual dengan
menggunakan Ms. excel.
0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 25 : 1 =
25
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem
71
Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat
pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang
ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.4. Penilaian Resiko atas Pengendalian Keluaran
Adapun penilaian resiko pengendalian keluaran yaitu :
Tabel 4.16 Penilaian Resiko atas Pengendalia Keluaran
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Terdapat penumpukan dokumen
arsip dikantor dan arsip di
gudang tidak tertata dengan baik.
0,5 10 5 L
2 Tidak ada penggunaan password
pada dokumen laporan keuangan
yang masih softcopy.
0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 30 : 2 =
15
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 15 yang menurut risk scale termasuk ketegori Medium (beresiko
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem
Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat
pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang
ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.5. Penilaian Resiko atas Pengendalian Database
Adapun penilaian resiko atas pengendalian database yaitu :
72
Tabel 4.17 Penilaian Resiko atas Pengendalian Database
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Model back-up planing belum
tercluster (mirror backup). 0,1 50 5 L
2 Tidak terdapat job request untuk
meminta data. 0,5 50 25 M
3 Peletakan server SIKASA berada
dibagian bawah rak dan diganjal
dengan kerdus.
0,5 100 50 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 80 : 3 =
26,67
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 26,67 yang menurut risk scale termasuk ketegori Medium (beresiko
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian database
Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya,
terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak
yang ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.6. Penilaian Resiko atas Pengendalian Komunikasi Aplikasi
Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu:
Tabel 4.18 Penilaian Resiko atas Pengendalian Komunikasi Aplikasi
No. Temuan Likelihood
(L)
Impact
(I)
Bobot
Nilai
(L x I)
Level
Resiko
1 Tidak ada dokumentasi hardware
dan software yang dapat
mendukung transmisi atau saluran
link.
0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 25 : 1 =
25
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian
dengan hasil 25 yang menurut risk scale termasuk ketegori Medium (beresiko
73
sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian komunikasi
aplikasi Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik.
Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga
dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas.
4.7. Resiko dan Rekomendasi Pengendalian Aplikasi
4.7.1. Resiko dan Rekomendasi atas Pengendalian Batasan
Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu:
Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan
Temuan Audit Dampak Resiko Rekomendasi
Tidak ada format khusus
terhadap password yang akan
dimasukkan, yaitu dapat
berupa angka, huruf, atau
gabungan antara angka
dengan huruf (parameter
password).
Besarnya resiko
komputer (sistem)
untuk dibobol oleh
pihak yang tidak
bertanggung jawab.
Seringkali password tidak
dianggap penting. Orang
cenderung membuat password
dengan huruf tertentu,
misalnya nama panggilan,
tanggal lahir, nama
anak/suami/istri dan
sebagainya yang justru mudah
ditebak. Sebaiknya ada
kebijakan yang mengatur
tentang format khusus
(parameter password)
terhadap password yang akan
dimasukkan, yaitu dapat
berupa angka, huruf, atau
gabungan antara angka dengan
huruf.
Tidak ada kebijakan
mengenai umur password
(automatically expired
password).
Password akan dapat
ditebak/diketahui di
kemudian hari.
Kecurangan atau pencurian
data akan semakin besar
dengan tidak adanya
permintaan perubahan
password secara
berkala.Sebaiknya ada
kebijakan yang mengatur
umur password (automatically
expired password). Tidak
perlu terlalu sering, mungkin
tiap 6 bulan atau 1 tahun
sekali.
74
Tabel 4.19 Resiko dan Rekomendasi atas Pengendalian Batasan (lanjutan)
Temuan Audit Dampak Resiko Rekomendasi
Tidak ada kebijakan
pembatasan waktu jam akses
SIKASA.
Hack attack dari
internal network.
Sistem aplikasi dapat diakses
melalui jaringan internal baik
siang ataupun malam. Jaringan
internal yang cukup luas dan
banyaknya tools hacking gratis
(backtrack, whiteshark,dll)
dapat dimanfaatkan oleh orang
yang tidak bertanggunjawab
untuk melakukan Hack Attack.
Untuk meredam ataupun
menimalkan resiko tersebut,
sebaiknya terdapat kebijakan
mengenai batasan jam akses
SIKASA.
Berdasarkan tabel resiko dan rekomendasi atas pengendalian batasan di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa kebijakan
yang mengatur tentang format khusus (parameter password), kebijakan mengenai
batasan jam akses SIKASA, dan kebijakan yang mengatur umur password
(automatically expired password).
4.7.2. Resiko dan Rekomendasi atas Pengendalian Masukan
Adapun penilaian resiko dan rekomendasi atas pengendalian batasan yaitu:
Tabel 4.8 Resiko dan Rekomendasi atas Pengendalian Masukan
Temuan Audit Dampak Resiko Rekomendasi
Terdapat buku panduan,
namun masih versi yang lama
(belum update).
Terdapat miss
komunikasi antara user
dan sistem aplikasi
berupa kesalahan
penginputan data.
Untuk menghindari miss
komunikasi berupa kesalahan
penginputan data, sebaiknya
buku panduan diperbarui agar
user mengetahui
pembaharuan-pembaharuan
yang terjadi pada aplikasi.
75
Berdasarkan tabel resiko dan rekomendasi atas pengendalian masukan di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pembaharuan
buku panduan buku panduan agar user mengetahui pembaharuan-pembaharuan
aplikasi yang terjadi.
4.7.3. Resiko dan Rekomendasi atas Pengendalian Proses
Adapun resiko dan rekomendasi pengendalian proses yaitu
Tabel 4.12 Resiko dan Rekomendasi atas Pengendalian Proses
Temuan Audit Dampak Resiko Rekomendasi
Pemrosesan penyusunan
laporan keuangan yang
komprehensif masih manual
dengan menggunakan Ms.
excel.
Terjadi kesalahan
pengetikan dan
aritmatika.
Pemrosesan penyusunan
laporan keuangan yang
komprehensif masih manual
bisanya membutuhkan banyak
waktu dan membutuhkan ekstra
ketelitian. Penggunaan SIKASA
sudah lebih dari 5 tahun dan
perbaikan-perbaikan memang
sudah dilakukan. Sebaiknya
pada SIKASA juga dilengkapi
dengan pemrosesan laporan
keuangan komprehensif untuk
meminimalkan terjadinya
kesalahan pengetikan dan
aritmatika.
Berdasarkan tabel resiko dan rekomendasi atas pengendalian proses di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa pemrosesan
laporan keuangan komprehensif secara otomatis pada SIKASA UKSW untuk
meminimalkan terjadinya kesalahan pengetikan dan aritmatika.
76
4.7.4. Resiko dan Rekomendasi atas Pengendalian Keluaran
Tabel 4.16 Resiko dan Rekomendasi atas Pengendalian Keluaran
Temuan Audit Dampak Resiko Rekomendasi
Tidak ada penggunaan
password pada dokumen
laporan keuangan yang masih
softcopy.
Dokumen bisa
disalahgunakan.
File softcopy sangat rentan
terhadap penyalahgunaan dan
sangat mudah terinfeksi virus.
Sebaiknya laporan keuangan
yang softcopy dikompres
dengan WinRar (proteksi
password). Apa bila user
mudah lupa dengan password,
laporan keuangan (softcopy)
dapat disimpan disatu folder
yang terproteksi.
Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal dapat berupa proteksi pada laporan
keuangan (file softcopy) maupun pada folder penyimpanannya.
4.7.5. Resiko dan Rekomendasi atas Pengendalian Database
Adapun resiko dan rekomendasi atas pengendalian database yaitu :
Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database
Temuan Audit Dampak Resiko Rekomendasi
Tidak terdapat job request
untuk meminta data.
Tidak ada
pertanggungjawaban
data yang jelas dan
mudah untuk disalah
gunakan.
Data merupakan komponen
informasi yang selanjutnya
digunakan untuk pengambilan
suatu keputusan. Apabila tidak
ada pertanggungjawaban data
yang jelas, maka data akan
sangat mudah disalahgunakan.
Oleh sebab itu sebaiknya ada
pertanggungjawaban data
yang jelas, seperti dibuatkan
suatu job request tertulis untuk
permintaan data.
77
Tabel 4.20 Resiko dan Rekomendasi atas Pengendalian database (lanjutan)
Peletakan server SIKASA
berada dibagian bawah rak
dan diganjal dengan kerdus.
Server akan mudah
cepat kotor terkena debu
lantai.
Database server merupakan
komponen yang sangat vital
dalam sebuah aplikasi berbasi
web dan rentan terhadap
kerusakan. Sebaiknya server
diletakkan ditempat yang agak
lebih tinggi untuk menghidari
debu dari lantai.
Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa job request
tertulis untuk permintaan data, serta peletakan server ditempat yang agak lebih
tinggi.
4.7.6. Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi
Adapun resiko atas pengendalian pengendalian komunikasi aplikasi yaitu:
Tabel. 4.24 Resiko dan Rekomendasi atas Pengendalian Komunikasi Aplikasi
Temuan Audit Dampak Resiko Rekomendasi
Tidak ada dokumentasi
hardware dan software yang
dapat mendukung transmisi
atau saluran link.
Tidak ada
pertanggungjawaban
pemanfaatan atau
penggunaan software
dan hardware dapat
mendukung transmisi
atau saluran link.
Hardware dan software
merupakan komponen penting
dalam mendukung komunikasi
aplikasi. Penggunaan
hardware dan software dalam
mendukung transmisi atau
saluran link tidaklah sedikit.
Sehingga dapat berpotensi
tidak ada pertanggungjawaban
pemanfaatan atau penggunaan
software dan hardware
Sebaiknya perlu dibuatkan
suatu standar atau ketetapan
khusus tentang dokumentasi
penggunaan hardware atau
software yang mendukung
transmisi atau saluran link.
78
Berdasarkan tabel resiko dan rekomendasi atas pengendalian keluaran di
atas, sebaiknya ada tindakan perencanaan dan perbaikan yang harus diterapkan
untuk meredam ataupun mencegah resiko. Hal tersebut dapat berupa suatu standar
atau ketetapan khusus tentang dokumentasi penggunaan hardware atau software
yang mendukung transmisi atau saluran link SIKASA.
4.8. Laporan Audit
4.8.1. Tujuan
Secara subjective, tujuan yang akan dicapai dalam penelitian ini adalah
untuk mengetahui pengendalian yang diterapkan oleh universitas dalam
pengendalian aplikasi pada sistem keuangan UKSW. Melakukan penilaian
terhadap resiko berdasarkan kelemahan-kelemahan yang ditemukan, membuat
rekomendasi perbaikan berdasarkan kelemahan-kelemahan dan resiko yang
ditemukan dari proses audit tersebut.
Secara objective audit sistem informasi bertujuan untuk meningkatkan
keamanan aset, meningkatkan integritas data, meningkatkan efisiensi sistem,
meningkatkan efektifitas sistem.
4.8.2. Ruang Lingkup
Rencana semula ruang lingkup audit sistem informasi yang akan dilakukan
meliputi pengendalian umum dan pengendalian aplikasi. Namun, karena sumber
daya yang terbatas maka audit sistem informasi hanya pada pengendalian aplikasi.
Audit sistem informasi pengendalian aplikasi SIKASA UKSW meliputi
pengendalian batasan (boundary), pengendalian masukan (input), pengendalian
79
proses, pengendalian keluaran (output), pengendalian basis data (database),
pengendalian komunikasi aplikasi.
Ruang lingkup audit sistem informasi dibatasi hanya pengendalian aplikasi
dengan tidak melakukan pengujian substantive terhadap data akuntansi dan
laporan keuangan UKSW.
4.8.3. Metode Audit
Metode audit yang digunakan adalah menggunakan pendekatan audit
trough the computer (terbatas) dengan melakukan studi pustaka serta studi
lapangan berupa wawancara dan observasi pada lingkungan Sistem Keuangan dan
Akuntansi UKSW yang sedang berjalan. Penetapan penilaian resiko SIKASA
UKSW, menggunakan Level Penilaian Resiko National Institute of Standard and
Technology (NIST) melalui publikasi khusus 800-30 tentang Risk Management
Guide for Information Technology System.
4.8.4. Hasil Audit
Hasil audit yang didapat merupakan temuan-temuan negatif dari program
audit yang dilaksanakan penulis. Temuan-temuan tersebut terdapat dalam tabel
seperti berikut:
80
Tabel. 4.25 Hasil Temuan Negatif
Jenis Pengendalian Temuan Negatif
Pengendalian Batasan Tidak ada format khusus terhadap
password yang akan dimasukkan, yaitu
dapat berupa angka, huruf, atau gabungan
antara angka dengan huruf (parameter
password).
Tidak ada kebijakan mengenai umur
password (automatically expired
password).
Sistem aplikasi tidak dapat memberikan
respon dengan menutup secara otomatis
sistem aplikasi tersebut (otomatis keluar
dari sistem aplikasi) bila terjadi beberapa
kali kegagalan login akses. Tidak ada
kebijakan pembatasan waktu jam akses
SIKASA.
Tidak ada kebijakan pembatasan waktu
jam akses SIKASA.
Pengendalian Masukan Terdapat buku panduan, namun masih
versi yang lama (belum update).
Pengendailan Proses Pemrosesan penyusunan laporan keuangan
yang komprehensif masih manual dengan
menggunakan Ms. excel.
Pengendalian Keluaran Terdapat penumpukan dokumen arsip
dikantor dan arsip di gudang tidak tertata
dengan baik.
Tidak ada penggunaan proteksi
(password) pada dokumen laporan
keuangan yang masih softcopy.
Pengendalian Database Model back-up planing belum tercluster
(mirror).
Tidak terdapat job request untuk meminta
data.
Peletakan server SIKASA berada di
bagian bawah rak dan diganjal dengan
kerdus.
Pengendalian Komunikasi Aplikasi Tidak ada dokumentasi hardware dan
software yang dapat mendukung transmisi
atau saluran link.
Berdasarkan program audit sistem informasi atas pengendalian aplikasi
yang dilaksanakan penulis, secara keseluruhan terdapat 12 temuan negatif yang
terdapat pada SIKASA UKSW.
81
4.8.5. Kesimpulan Laporan Audit
Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap
pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian
keluaran, pengendalian basis data (database) dan pengendalian komunikasi
aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan
pada SIKASA UKSW adalah :
Tabel. 4.26 Kesimpulan Audit
Jenis Pengendalian Nilai Bobot
Pengendalian Batasan 19 M
Pengendalian Masukan 25 M
Pengendalian Proses 25 M
Pengendalian Keluaran 15 M
Pengendalian Basis data 26,67 M
Pengendalian Komunikasi Aplikasi 25 M
Nilai Akhir 135,67 : 6 = 22,61 M
Jadi, dapat disimpulkan bahwa pengendalian aplikasi SIKASA UKSW
memiliki kategori resiko medium dalam arti pengendalian yang dilakukan sudah
cukup baik dalam mengatasi ancaman yang ada.
V. KESIMPULAN & SARAN
5.1. KESIMPULAN
Pengendalian batasan pada SIKASA UKSW sudah berjalan cukup baik.
Hal ini dapat dilihat dari temuan-temuan positif seperti adanya pembatasan akses
dengan menggunakan username, password, sub-unit. Password yang diinput
adalah invisible, yaitu hanya berupa blok hitam. Terdapat kick off user bila tidak
terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Dari pengendalian yang
cukup baik tersebut, masih terdapat beberapa kelemahan seperti tidak ada format
khusus terhadap password yang akan dimasukan berupa angka, huruf atau
82
gabungan angka atau huruf (parameter password) dan automatically expire
password.
Pengendalian masukan pada SIKASA UKSW sudah berjalan cukup baik.
Hal ini dapat dilihat dari temuan-temuan positif seperti adanya penggunaan
bahasa dan tampilan layar untuk input data sudah baik, jelas dan mudah
dimengerti serta tampilan wana layar didesain agar mata tidak cepat lelah dan
dapat mengurangi kesalahan input data. Dari pengendalian yang cukup baik
tersebut, masih terdapat beberapa kelemahan seperti terdapat buku panduan
SIKASA UKSW dengan versi yang lama.
Pengendalian proses pada SIKASA UKSW sudah berjalan cukup baik. Hal
ini dapat dilihat dari temuan-temuan positif seperti sistem akan memberikan
konfirmasi ketika dapat diproses dengan tidak benar. Terdapat manajemen log
server dan log aplikasi. Dari pengendalian yang cukup baik tersebut, masih
terdapat beberapa kelemahan seperti pemrosesan penyusunan laporan keuangan
yang komprehensif masih manual dengan menggunakan Ms. Excel.
Pengendalian keluaran pada SIKASA UKSW sudah berjalan cukup baik.
Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat kebijakan yang
mengatur penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas
waktu lamanya pengarsipan laporan. Dari pengendalian yang cukup baik tersebut,
masih terdapat beberapa kelemahan seperti terdapat penumpukan dokumen arsip
di kantor dan arsip di gudang tidak tertata dengan baik. Selain itu Tidak ada
penggunaan proteksi (password) pada dokumen laporan keuangan yang masih
softcopy.
83
Pengendalian database pada SIKASA UKSW sudah berjalan cukup baik.
Hal ini dapat dilihat dari temuan-temuan positif seperti terdapat back-up planing
untuk file handling controls. Dari pengendalian yang cukup baik tersebut, masih
terdapat beberapa kelemahan seperti model back-up planing untuk file handling
control belum tercluster (mirror) dan peletakan server SIKASA berada di bagian
bawah rak dan diganjal dengan kerdus. Selain itu tidak terdapat job request untuk
meminta data.
Pengendalian komunikasi aplikasi SIKASA UKSW sudah berjalan cukup
baik. Hal ini dapat dilihat dari temuan-temuan positif seperti sistem aplikasi hanya
dapat digunakan dalam lingkungan kampus. Jaringan dibangun dengan sistem
mesh network. Dari pengendalian yang cukup baik tersebut, masih terdapat
beberapa kelemahan seperti tidak adanya dokumentasi hardware dan software
yang dapat mendukung transmisi atau saluran link.
Berdasarkan hasil penilaian resiko yang telah dilakukan terhadap
pengendalian batasan, pengendalian masukan, pengendalian proses, pengendalian
keluaran, pengendalian basis data (database) dan pengendalian komunikasi
aplikasi, maka dapat disimpulkan bahwa pengendalian aplikasi yang diterapkan
pada SIKASA UKSW memiliki kategori resiko medium dalam arti pengendalian
yang dilakukan sudah cukup baik dalam mengatasi ancaman yang ada. Tindakan
perencanaan dan perbaikan harus diterapkan untuk meredam ataupun mencegah
resiko.
84
5.2. SARAN
Berdasarkan simpulan yang didapat dari hasil pemeriksaan dan
pengamatan pada Sistem Informasi Keuangan dan Akuntansi UKSW, maka ada
beberapa saran yang dapat disampaikan, yaitu:
a) Seringkali password tidak dianggap penting. Orang cenderung membuat
password dengan huruf tertentu, misalnya nama panggilan, tanggal lahir,
nama anak/suami/istri dan sebagainya yang justru mudah ditebak.
Sebaiknya ada kebijakan yang mengatur tentang format khusus (parameter
password) terhadap password yang akan dimasukkan, yaitu dapat berupa
angka, huruf, atau gabungan antara angka dengan huruf. Dengan
penggantian password secara rutin diharapkan password menjadi sulit
diketahui oleh orang yang tidak berkepentingan, dan dapat menghindari
adanya kemungkinan terjadinya kecurangan.
b) Kecurangan atau pencurian data akan semakin besar dengan tidak adanya
permintaan perubahan password secara berkala.Sebaiknya ada kebijakan
yang mengatur umur password (automatically expired password). Tidak
perlu terlalu sering, mungkin tiap 6 bulan atau 1 tahun sekali.
c) Sistem aplikasi dapat diakses melalui jaringan internal baik siang ataupun
malam. Jaringan internal yang cukup luas dan banyaknya tools hacking
gratis (backtrack, whiteshark,dll) dapat dimanfaatkan oleh orang yang
tidak bertanggunjawab untuk melakukan hack attack. Untuk meredam
ataupun menimalkan resiko tersebut, sebaiknya terdapat kebijakan
mengenai batasan jam akses SIKASA.
85
d) Untuk menghindari miss komunikasi berupa kesalahan penginputan data,
sebaiknya buku panduan diperbarui agar user mengetahui pembaharuan-
pembaharuan yang terjadi pada aplikasi.
e) Pemrosesan penyusunan laporan keuangan yang komprehensif masih
manual bisanya membutuhkan banyak waktu dan membutuhkan ekstra
ketelitian. Penggunaan SIKASA sudah cukup lama (lebih dari 5 tahun)
dan perbaikan-perbaikan memang sudah dilakukan. Sebaiknya pada
SIKASA juga dilengkapi dengan pemrosesan laporan keuangan
komprehensif secara otomatis untuk meminimalkan terjadinya kesalahan
pengetikan dan aritmatika.
f) File softcopy sangat rentan terhadap penyalahgunaan dan sangat mudah
terinfeksi virus. Sebaiknya laporan keuangan yang softcopy dikompres
dengan WinRar (proteksi password). Apa bila user mudah lupa dengan
password, laporan keuangan (softcopy) dapat disimpan disatu folder yang
terproteksi.
g) Data merupakan komponen informasi yang selanjutnya digunakan untuk
pengambilan suatu keputusan. Apabila tidak ada pertanggunjawaban data
yang jelas, maka data akan sangat mudah disalahgunakan.Olehsebab itu
sebaiknya ada pertanggungjawaban data yang jelas, seperti dibuatkan
suatu job request tertulis untuk permintaan data.
h) Database server merupakan komponen yang sangat vital dalam sebuah
aplikasi berbasi web dan rentan terhadap kerusakan. Sebaiknya server
86
diletakkan ditempat yang agak lebih tinggi untuk menghidari debu dari
lantai.
i) Hardware dan software merupakan komponen penting dalam mendukung
komunikasi aplikasi. Penggunaan hardware dan software dalam
mendukung transmisi atau saluran link tidaklah sedikit. Sehingga dapat
berpotensi tidak ada pertanggungjawaban pemanfaatan atau penggunaan
software dan hardware. Sebaiknya perlu dibuatkan suatu standar atau
ketetapan khusus tentang dokumentasi penggunaan hardware atau
software yang mendukung transmisi atau saluran link.
DAFTAR PUSTAKA
Boynton, W. C., Raymond N. J, dan Walter G.K, 2003, Modern Auditing, Edisi
7, Jilid I. Erlangga, Jakarta.
Champlain, Jack J,. 2003, Auditing Information System, Second Edition, John
Wiley & Son, New York.
Gondodiyoto, Sanyoto, 2007, Audit Sistem Informasi + Pendekatan CobIT,
Edisi Revisi, Mitra Wacana Media, Jakarta.
Hall, James A., 2011, Information Technology Auditing and Assurance, Third
Edition, Cengage Learning, Inc
Moeller, Robert R., 2010, IT Audit, Control, and Security, John Wiley & Sons,
Inc
Weber, Ron., 1999, Information System Contol and Audit, Prentice Hall.
Stonerburner, G., Gougen, A., and Feringa, A. 2002. Risk Management Guide
for Information Technology Systems. National Institute of Standard
and Technology (NIST).