Pengendalian Batasan .1 Program Audit - BAB 4 PEMBAHASAN. tingkat integritas, keamanan, efekti

Type of test

Classification Substantive Test Audit

Instrument Identification

& Authentication

Dapatkan informasi mengenai keberadaan pengendalian terhadap hak akses.

Dapatkan informasi mengenai penggantian password secara berkala. Dapatkan informasi mengenai

keberadaan terminal time-out.

Lakukan peninjauan mengenai keberadaan pesan informasi yang ditampilkan aplikasi atas waktu akses terakhir yang dilakukan.

Lakukan peninjauan mengenai adanya penyamaran karakter terhadap password yang dientri.

Lakukan pengecekan mengenai keberadaan username dan password yang bersifat case sensitive

Dapatkan informasi mengenai penggunaan karakter alpanumeric mix pada username dan password Dapatkan informasi mengenai adanya

dilakukan penghapusan hak akses bagi karyawan yang sudah mengundurkan diri.

Lakukan peninjauan mengenai adanya dilakukan perubahan level akses terhadap karyawan yang dipindahtugaskan ke bagian lain.

K, W, O, SD K, W, SD K, W, O K, W, O K, W, O, T K,W, O, T K, W, SD K, W, SD K, W, SD Pengendalian Batasan Action Privilege

Lakukan peninjauan mengenai keberadaan menu untuk mengatur action privilege pada aplikasi DBS. Dapatkan informasi mengenai

keberadaan dan penggunaan audit trail.

Dapatkan informasi mengenai kebijakan perusahaan dalam menetapkan action privilege bagi setiap staf

W, O, SD

K, W,O, SD K, W, O

(Keterangan: K-Kuesioner, W-Wawancara, O-Observasi, T-Testing, SD-Studi Dokumentasi)

4.2.3.2 Resume Bukti Audit

[ Kuesioner, wawancara, dan observasi: lihat Lampiran L.36 , L.43, L.51 ]

Klasifikasi : Identification & Authentication

Objective :

1. Assessment of Risk Impact:

Dari hasil studi literatur, diketahui bahwa tidak adanya proses identifikasi dan authentikasi untuk mengakses sistem aplikasi mengakibatkan terjadinya aktivitas-aktivitas yang tidak terotorisasi dalam penggunaan aplikasi oleh unauthorized user. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori H.

Probability:

Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa para staf bekerja pada ruangan yang sama, dan tidak semua komputer terhubung dalam jaringan client-server untuk keperluan penggunaan aplikasi DBS. Oleh karena itu, tingkat probability tergolong dalam kategori M.

Logs and Auditability

Dapatkan informasi mengenai ketersediaan dan penggunaan fasilitas user logs pada aplikasi.

2. Assessment of Control Reliability:

Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:

 Terdapat penggunaan username dan password pada aplikasi DBS.

 Setiap karakter password yang dimasukkan, pada layar komputer ditampilkan dalam bentuk titik hitam tebal ( ● ).

 Username dan password bersifat case-sensitive, dan karakter yang dimasukkan dapat berupa alphanumeric mix.

 Adanya pembatasan usaha (limited trial) untuk melakukan log-in.

 Aplikasi tidak melakukan log-out secara otomatis terhadap kekosongan aktivitas yang dilakukan oleh user pada aplikasi (terminated- log out).

Aplikasi tidak menampilkan pesan informasi mengenai waktu akses terakhir yang dilakukan user. Apabila user berhasil melakukan log-in, maka akan langsung masuk ke menu utama dari aplikasi DBS.

Adanya penekanan dari pihak pimpinan untuk tidak memberitahukan username dan password yang dimiliki oleh staf pengguna aplikasi DBS. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori M.

Gambar 4.1 Tampilan Menu Log - in

Gambar 4.2 Tampilan atas Invalid Password

Coverage:

Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui hal-hal sebagai berikut:

 Semua staf menggunakan password yang terdiri dari kombinasi huruf besar, huruf kecil dan juga karakter angka.

 Adanya pembatasan usaha (limited trial) untuk melakukan login sebanyak 3 kali. Apabila telah 3 kali gagal, maka account user yang bersangkutan akan diblokir.

 Jumlah digit minimal untuk karakter password yaitu sebanyak 3 (tiga) digit.  Tidak dilakukan penggantian password secara berkala.

 Tidak dilakukan penghapusan username dan password bagi karyawan yang sudah tidak bekerja lagi di perusahaan.

Semua staf pengguna aplikasi DBS tidak diperbolehkan untuk memberitahukan username dan password yang dimilikinya.

Oleh karena itu, tingkat coverage tergolong dalam kategori M.

Klasifikasi : Action Privilege

Objective :

1. Assessment of Risk Impact:

Dari hasil studi literatur, diketahui bahwa tidak adanya penetapan action privilege dari setiap user atas suatu aplikasi mengakibatkan terjadinya unauthorized use dari sumber daya aplikasi yang ada karena tidak dibatasinya tindakan yang diperbolehkan untuk level jabatan dan wewenang yang dimiliki oleh staf terkait. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori H.

Probability:

Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa aplikasi DBS merupakan software dengan modul-modul yang terintegrasi, meliputi general ledger, cash and bank, account receivable, account payable, sales, purchases, dan inventory. Oleh karena itu, tingkat probability tergolong dalam kategori H.

2. Assessment of Control Reliability:

Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa:

 Terdapat menu ”User Setup” yang berfungsi untuk menetapkan level akses dari setiap user pengguna aplikasi DBS.

 Penetapan action privilege terhadap masing-masing staf pengguna aplikasi hanya dapat dilakukan oleh pimpinan perusahaan.

Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.

Coverage:

Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa pimpinan perusahaan men-set semua staf pengguna aplikasi sebagai level administrator, yang berarti dapat melakukan read, add, update, dan delete terhadap

semua modul yang ada. Oleh karenanya, tingkat coverage tergolong dalam kategori L.

Gambar 4.3 Tampilan Menu ”User Setup”

Klasifikasi : Logs and Auditability

1. Assessment of Risk Impact:

Dari hasil studi literatur, diketahui bahwa tidak adanya catatan (logs) atas aktivitas user di dalam aplikasi berakibat pada tidak dapat dilakukannya pelacakan atau penelusuran terhadap kemungkinan aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi. Oleh karenanya, impact dari resiko ini dimasukkan dalam kategori M.

Probability:

Dari hasil evaluasi yang dilakukan untuk menilai tingkat probabilitas keterjadian atas resiko yang ada, diketahui bahwa aplikasi DBS merupakan software dengan modul-modul yang terintegrasi, dan semua staf pengguna aplikasi diset sebagai level administrator. Oleh karena itu,tingkat probability tergolong dalam kategori H.

2. Assessment of Control Reliability:

Dari hasil evaluasi yang dilakukan untuk menilai pengendalian yang diterapkan perusahaan dalam menghadapi resiko yang ada, diketahui bahwa terdapat menu ”Transactional Record Events” yang memuat informasi mengenai semua aktivitas dalam aplikasi yang dilakukan oleh user. Oleh karena itu, tingkat reliability dari pengendalian yang ada dimasukkan dalam kategori H.

Coverage:

Dari hasil evaluasi mengenai cakupan atas pengendalian yang ada, diketahui bahwa tidak pernah dilakukan evaluasi atas informasi user logs yang tersedia pada menu ”Transactional Record Events”. Oleh karenanya, tingkat coverage tergolong dalam kategori L.

4.2.3.3 Matrik Penilaian Resiko dan Pengendalian

No. Risk Impact Probability Risk

value

Control Reliability Coverage Control

value

Total Value *

1. Tidak adanya proses identifikasi dan authentikasi.

H M -8 Penggunaan username & password; penyamaran karakter password; case-sensitive; alphanumeric

mix; limited trial; penekanan dari pimpinan untuk

tidak memberitahukan username & password yang dimiliki; tidak adanya terminated-log out dan informasi mengenai previous log-ins.

M M 5 -3

2. Tidak terdapat penetapan

action privilege.

H H -9 Terdapat menu “User Setup”, dan penetapan

action privilege yang hanya dapat dilakukan oleh

pimpinan perusahaan.

H L 7 -2

3. Tidak adanya catatan (logs) atas aktivitas user di dalam aplikasi.

M H -6 Terdapat menu ”Transactional Record Events”

pada aplikasi. ^H ^L ^{7 1}

Total :: - 23 Total :: 19 -4

* T otal value = Risk value – Control value

[Keterangan: H - High, M - Medium, L – Low]

Tabel 4.5 Matrik Penilaian Resiko dan Pengendalian -- Boundary Control

Berdasarkan matrik penilaian resiko dan pengendalian di atas, diperoleh total gabungan nilai antara resiko dan pengendalian sebesar -4 poin, yang berarti secara keseluruhan perusahaan memiliki tingkat pengendalian batasan yang kurang baik. Bahwa resiko-resiko batasan yang ada lebih besar dari tingkat pengendalian yang saat ini diterapkan oleh perusahaan.

4.2.3.4 Temuan Audit

1. Tidak dilakukannya penggantian password secara berkala.

Para staf perusahaan tidak melakukan penggantian terhadap password yang dimilikinya untuk keperluan mengakses aplikasi DBS secara berkala. Beberapa staf malah tidak pernah melakukan penggantian password.

Seharusnya dilakukan penggantian password secara berkala untuk mencegah penjebolan password oleh unauthorized user.

Kondisi ini terjadi karena tidak adanya kebijakan perusahaan yang mengharuskan para staf untuk melakukan penggantian password secara berkala.

Dari hasil evaluasi diketahui bahwa sampai saat ini belum pernah terdapat laporan dari staf mengenai kebocoran atau diketahuinya password oleh pihak lain atas aplikasi DBS yang digunakan. Namun demikian, resiko tetap saja ada.

Oleh karena itu, untuk menjamin keamanan dari password yang digunakan, perusahaan sebaiknya menetapkan kebijakan yang mengharuskan setiap staf untuk melakukan penggantian password secara berkala.

2. Tidak dihapusnya username dan password bagi karyawan yang sudah tidak bekerja lagi di perusahaan.

Username dan password dari staf pengguna aplikasi DBS yang telah mengundurkan diri tidak pernah dihapus. Jadi, semua username dan password tersebut masih aktif dan dapat digunakan untuk mengakses aplikasi DBS.

Seharusnya dilakukan penghapusan username dan password terhadap semua staf yang sudah tidak bekerja lagi di perusahaan.

Kondisi ini terjadi karena kurangnya perhatian dari pimpinan perusahaan mengenai resiko di aksesnya aplikasi DBS oleh unauthorized user dengan menggunakan username dan password staf yang sudah tidak bekerja di perusahaan.

Dari hasil evaluasi atas ”Transactional Record Events” yang ada, diketahui bahwa sampai saat ini tidak pernah terjadi pengaksesan aplikasi DBS dengan menggunakan username dan password dari staf yang sudah tidak bekerja di perusahaan. Namun demikian, resiko tetap saja ada.

Oleh karena itu, pimpinan perusahaan sebaiknya melakukan penghapusan terhadap username dan password bagi setiap staf yang sudah berhenti bekerja untuk lebih menjamin keamanan pengaksesan ke aplikasi DBS.

Gambar 4.4 Tampilan Menu Transactional Record Events

3. Jumlah minimal digit untuk karakter password yaitu sebanyak 3 (tiga) digit.

Untuk keperluan login, jumlah minimal digit yang diperlukan pada aplikasi DBS Solutions yang digunakan perusahaan adalah sebanyak 3 (tiga) digit.

Seharusnya untuk keperluan password digunakan jumlah minimal digit enam buah untuk memberikan jaminan keamanan password yang lebih tinggi.

Kondisi ini terjadi karena pada saat pembelian aplikasi, pimpinan perusahaan tidak mempermasalahkan mengenai hal tersebut kepada pihak software developer.

Sebagian dari para staf untuk keperluan password hanya menggunakan jumlah digit karakter kurang dari enam buah, yang hal ini menyebabkan kerentanan terhadap penjebolan password yang digunakan.

Oleh karena itu, perusahaan sebaiknya menghubungi pihak software developer untuk melakukan perbaikan atas aplikasi DBS yang digunakan, yaitu dengan menambahkan jumlah minimal digit karakter password yang disyaratkan.

4. Semua staf pengguna aplikasi DBS di-set sebagai level administrator.

Pimpinan perusahaan menetapkan semua staf pengguna aplikasi DBS sebagai level administrator, yang berarti dapat melakukan read, add, update, dan delete terhadap semua modul yang terdapat pada aplikasi.

Seharusnya diberikan action privilege yang berbeda tergantung dari tingkatan jabatan dan kebutuhan dari setiap staf pengguna aplikasi DBS.

Kondisi ini terjadi karena pertimbangan dari pimpinan perusahaan untuk mengantisipasi apabila staf yang berwenang untuk mengakses modul tertentu sedang tidak berada di tempat, maka modul tersebut dapat diakses oleh staf lain apabila benar-benar dibutuhkan pada kondisi yang mendesak.

Dari hasil evaluasi, sampai saat ini tidak pernah terjadi pengaksesan modul di luar modul yang menjadi tugas dan wewenang dari masing-masing staf pengguna

aplikasi DBS. Namun demikian, kemungkinan terjadinya unauthorized action tetap saja ada.

Oleh karena itu, untuk menjamin authorized action dari setiap staf sebaiknya action privilege untuk level administrator hanya diberikan kepada staf tertentu yang dipercaya, sedangkan untuk staf pengguna aplikasi DBS lainnya cukup ditetapkan sebagai level user.

5. Tidak dilakukannya evaluasi secara berkala atas user logs yang tersedia.

Pimpinan perusahaan tidak pernah melakukan evaluasi atas user logs yang tersedia pada aplikasi DBS, yaitu pada menu ”Transactional Record Events”. Menu tersebut selama ini tidak pernah digunakan.

Seharusnya dilakukan evaluasi secara berkala atas user logs dalam rangka untuk melakukan pelacakan atau penelusuran terhadap kemungkinan aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi.

Kondisi ini terjadi karena kurangnya perhatian dari pimpinan perusahaan mengenai pentingnya untuk dilakukan evaluasi atas user logs yang tersedia.

Dari hasil evaluasi, sampai saat ini tidak pernah terdapat aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi. Namun demikian, kemungkinan terjadinya aktivitas user yang tidak terotorisasi tetap saja ada.

Oleh karena itu, pimpinan perusahaan sebaiknya melakukan evaluasi secara berkala atas user logs yang tersedia.

4.2.3.5 Rekomendasi Audit

No. Temuan Audit Resiko Existing condition Rekomendasi Pihak

pelaksana 1. Tidak dilakukannya

penggantian password

secara berkala.

Diketahuinya atau berhasil dijebolnya password oleh

unauthorized user.

Bahwa sampai saat ini belum pernah terdapat laporan dari staf mengenai kebocoran atau diketahuinya password oleh pihak lain atas aplikasi DBS yang digunakan.

Menetapkan kebijakan yang mengharuskan setiap staf untuk

melakukan penggantian

password secara berkala.

Pimpinan perusahaan

2. Tidak dihapusnya username

dan password bagi

karyawan yang sudah tidak bekerja lagi di perusahaan.

Terjadinya pengaksesan aplikasi DBS oleh

unauthorized user dengan

menggunakan username dan

password staf yang sudah

tidak bekerja di perusahaan.

Bahwa sampai saat ini tidak pernah terjadi pengaksesan aplikasi DBS dengan menggunakan username dan password dari staf yang sudah tidak bekerja di perusahaan.

Melakukan penghapusan terhadap username dan password bagi setiap staf yang

sudah berhenti bekerja di perusahaan.

Pimpinan perusahaan

3. Jumlah minimal digit untuk karakter password yaitu sebanyak 3 (tiga) digit.

Diketahuinya atau berhasil dijebolnya password oleh

unauthorized user.

Sebagian dari para staf untuk keperluan password hanya

menggunakan jumlah digit karakter kurang dari enam buah

Melakukan perbaikan atas aplikasi DBS yang digunakan, yaitu dengan menambahkan jumlah minimal digit karakter

password yang disyaratkan.

Software developer

4. Semua staf pengguna aplikasi DBS di-set sebagai level administrator.

Terjadinya unauthorized use dari sumber daya aplikasi yang ada karena tidak dibatasinya tindakan yang diperbolehkan untuk level jabatan dan wewenang yang dimiliki oleh staf terkait.

Bahwa sampai saat ini tidak pernah terjadi pengaksesan modul di luar modul yang menjadi tugas dan wewenang dari masing-masing staf pengguna aplikasi DBS.

Action privilege untuk level

administrator hanya diberikan kepada staf tertentu yang dipercaya saja, sedangkan untuk staf pengguna aplikasi DBS lainnya cukup ditetapkan sebagai level user.

Pimpinan perusahaan

5. Tidak dilakukannya evaluasi secara berkala atas user logs yang tersedia.

Tidak diketahuinya aktivitas-aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi.

Bahwa sampai saat ini tidak pernah terdapat aktivitas user yang tidak terotorisasi di dalam penggunaan aplikasi.

Melakukan evaluasi secara berkala atas user logs yang tersedia.

Pimpinan perusahaan

4.2.4 Pengendalian Masukan

Dalam dokumen BAB 4 PEMBAHASAN. tingkat integritas, keamanan, efektifitas, dan efisiensi kinerja sistem informasi (Halaman 37-51)