BAB V EVALUASI DAN PEMBAHASAN 61
5.1.1. Pengendalian Organisasi
Tujuan secara Keseluruhan : Untuk memastikan bahwa Pemisahan tugas yang memadai untuk mencegah adanya ketidakcocokan fungsi personil IT dalam divisi dan antara divisi IT dengan pemakai, Pencegahan akses tidak sah terhadap peralatan komputer, program, dan file data oleh karyawan IT maupun pemakai.
1. Perusahaan memiliki bagan dan struktur organisasi divisi IT. Kondisi yang ada pada PT. AIR:
PT. AIR telah memiliki bagan dan struktur organisasi secara tertulis, dan sudah terdapat pembagian tugas (Job Description) pada masing-masing divisi yang sesuai dengan organisasi. Untuk Struktur Organisasi, lihat lampiran II.
Divisi IT berdiri sebagai suatu divisi yang independen, dan karena itu divisi tersebut tidak akan terlibat dengan transaksi dan tidak ada kegiatannya yang menyangkut kepemilikan asset perusahaan.
Struktur organisasi telah sesuai, dimana Manajer IT memberikan laporan secara langsung ke Direktur. Jumlah staf IT sesuai dengan kebutuhan bisnis. Jumlah staf IT tidak berubah sejak tahun lalu. Pemisahan tugas dalam divisi IT sesuai dengan ukuran organisasi. Pengawasan telah memadai untuk memonitor operasional IT.
Divisi IT dibagi menjadi 3 sub divisi, yaitu:
a. Unit Pengembangan Aplikasi (Application Development Unit); b. Unit Engineering Jaringan (Network Engineering Unit);
c. Unit Operasional (Operation Unit):
- Implementasi Sistem (System Implementation); - Pendukung Teknik (Technical Support).
2. Terdapat pengendalian yang menjamin bahwa analis sistem (system analyst) / pemrogram (programmer) tidak dapat akses terhadap file berjalan (Current
file).
Kondisi yang ada pada PT. AIR:
PT. AIR sudah menjalankan sistem pengendalian untuk keamanan data dengan menggunakan sistem Password, sehingga akses user disesuaikan dengan level password yang dimilikinya.
Sistem Analis dan Pemrogram memiliki akses kedalam file berjalan, tapi akses tersebut hanya mencakup areal divisi IT saja. Untuk Data keuangan (yang di awasi langsung oleh Kepala Bagian Keuangan) tidak mengijinkan sistem analis dan pemrogram untuk dapat mencapai akses tersebut, karena itu dibuat pembatasan secara Files Sharing Policy. Begitu pun sebaliknya.
Selain protokol file sharing, Divisi IT bersifat sebagai divisi yang independen, sehingga tidak terlibat dalam kegiatan transaksi perusahaan. 3. Terdapat pengendalian yang menjamin bahwa terdapat pemisahan fungsi
yang jelas, ada program rotasi tugas secara periodik, staff yang bertanggung jawab menyiapkan Input berbeda dengan staff yang memasukkan Input, semua fungsi atas data Input dilakukan oleh personil yang berbeda dari
programmer, bahwa Output diperiksa karyawan yang lain dari yang
melaksanakan Input.
Kondisi yang ada pada PT. AIR:
PT. AIR sudah melaksanakan pemisahan fungsi untuk menghindari adanya penggunaan data yang tidak terotorisasi. Masing-masing divisi juga mengadakan operator khusus untuk meng-input data dan operator tersebut bukanlah bagian dari divisi IT. Data masukan (Input) serta hasil keluaran (Output) akan melalui proses validasi sebelum di update kedalam server induk. Staff IT tidak diperkenankan untuk mengakses data dan software di lingkungan produksi kecuali membantu user dalam mengembangkan program aplikasi, mengatasi masalah sistem, instalasi software, memberikan
training kepada user dan System support serta perawatan hardware.
PT. AIR tidak melakukan program rotasi tugas secara periodik dengan alasan pertama bahwa masing-masing staff yang ditempatkan sudah pada posisi yang dinilai manajemen (manajer IT) sudah optimal dan kedua
program rotasi tugas secara periodik membutuhkan banyak biaya pelatihan (training cost) serta waktu penyesuaian kembali dari pegawai yang bila diukur secara keseluruhan akan menurunkan performa divisi bersangkutan. Secara umum, rotasi tugas tidaklah efektif, high economic cost dan tidak dapat diterapkan pada perusahaan.
PT. AIR menerapkan sistem On-Line Batch system dengan proses selanjutnya, maksudnya adalah setiap data Input dan Output akan melalui tahapan validasi sebelum di update ke server induk. Bila data tidak di validasi atau tidak di approved, maka data itu akan di reject secara otomatis, tidak di update ke server induk dan menunggu adanya approval selanjutnya atau dengan cara menarik kembali data tersebut untuk di koreksi dan dikirimkan kembali untuk otorisasi. Dalam kebanyakan kasus memasukkan data ditemukan minor failure yang dapat diatasi secara langsung oleh masing-masing kepala divisi yang melakukan fungsi pengawasan dan melakukan otorisasi. Hal yang menyebabkan kejadian ini biasanya Human
Error karena kurangnya ketelitian dan sebagian adalah masalah dokumentasi
karena kurang jelasnya informasi yang tertera pada dokumen (contoh: hasil
Efek Negatif: Pihak manajemen akan membutuhkan waktu lebih lama untuk memeriksa karena kesalahan minor yang diperbuat karyawan akan semakin susah untuk dilacak kembali. Bila kesalahan nya cukup besar dan terlihat, maka manajemen akan lebih mudah untuk mengkoreksi kesalahan tersebut. Salah satu Kesalahan minor yang dapat langsung diperbaiki oleh manajemen adalah sliding, yaitu penginputan angka yang berdempetan dan ditulis secara bergeser/terbalik. Contoh: seharusnya 63.000.000, tapi ditulis 36.000.000, angka ini akan membuat saldo akhir menjadi tidak seimbang. Selisih saldo tersebut akan habis di bagi dengan angka 9 (sembilan), dengan mengetahui hal ini, pegecekan ulang data lebih cepat karena mereka sudah mengidentifikasi lebih awal adanya data yang di input sliding (angka yang bergeser).
Rekomendasi: Manajemen diharapkan dapat memperketat pengawasan dan menganjurkan karyawan untuk meningkatkan kompetensi mereka serta ketelitian dalam memasukkan data.
4. Ada pengawasan terhadap staff yang karena tugasnya mempunyai hak akses yang tidak terbatas (unlimited access) terhadap sistem.
Kondisi yang ada pada PT. AIR:
Secara prosedur kepada setiap karyawan diberikan hak akses data berdasarkan posisi dan fungsi mereka dalam melaksanakan tugas sehari-
harinya. Menurut posisinya, level keleluasaan akses dan otorisasi di bagi menjadi:
- Level 1: Owner, Direktur, Manajer IT & System Admin (Semua program standar dan program tambahan, Data entry, Confirmation, Verification/Validation, Data Modification untuk Direktur, System Reset
untuk Admin)
- Level 2: Manajer IT & Staff Program Development, Manajer F&A, Staff IT untuk Jaringan (Semua program standar sesuai keperluan divisi dan program-program tambahan lainnya, Data entry, Confirmation &
Verification / Validation)
- Level 3: Staff F&A (Semua program standar untuk divisi F&A serta program akuntansi AbiPro, Data entry & Confirmation)
- Level 4: Operator staff (Outlook express dan khusus untuk Data Entry saja) dan Staff Interior Design (Program standar dan program multimedia, Outlook
- Level 5: Resepsionist (untuk korespondensi ke Klien, penerimaan telepon, akses terbatas pada address book serta program aplikasi lainnya,
outlook express, dan tidak ada data keuangan yang dapat ditampilkan
dan/atau di print out disini)
- Level 6: End User (Calon/Klien untuk lihat demo produk dalam basis
Tidak ada staff dari PT. AIR yang memiliki akses tidak terbatas (Unlimited
Access) kecuali level Direktur.
Dalam praktek nya, Manajer Keuangan juga memiliki akses tidak terbatas dengan delegasi langsung dari Direktur Keuangan, jadi hanya posisi manajer keuangan saja yang memiliki 2 macam password. (selain Manajer IT) Diakui oleh manajer keuangan itu sendiri bahwa pendelegasian password level direktur terhadapnya disebabkan oleh rasa kepercayaan direktur (sebagai tangan kanannya) dan karena direktur sering pergi dinas keluar negeri. Hal ini juga dapat mendukung pengambilan keputusan yang dianggap cukup kritis. Disini terjadi suatu pendelegasian password sekaligus pendelegasian wewenang pada sektor keuangan perusahaan.
Efek Negatif: Hal mengkhawatirkan yang perlu diperhatikan adalah dengan memberikan wewenang yang terlalu lebar ke Manajer Keuangan adalah Perusahaan akan menjadi tergantung pada manajer keuangan tersebut. Belum lagi mempertimbangkan kemungkinan perubahan perilaku manajer keuangan serta kemungkinan penyalahgunaan yang dapat berdampak signifikan bagi perusahaan.
Hasil Review: Ditemukan bahwa tidak ada penyalahgunaan akses oleh manajer keuangan, dan persentase resiko akibat pendelegasian password tersebut adalah minim mengingat sikap manajer keuangan yang bertanggung jawab dan selalu mengikuti prosedur yang berlaku. Dari sudut pandang lain, secara operasional pendelegasian wewenang tersebut tidak berpengaruh terhadap kinerja perusahaan dan operasional perusahaan khususnya sektor akuntansi dan keuangan berjalan dengan lancar. Dan bila di pandang dengan prinsip utilitarian, manfaat dari pendelegasian wewenang tersebut lebih besar dari resiko yang diperkirakan dapat merugikan perusahaan secara keseluruhan. Maka disimpulkan bahwa pengawasan terhadap pegawai yang memiliki akses tidak terbatas pada PT. AIR telah memadai.
5. Fungsi dan kewajiban operator berbeda dan terpisah dari fungsi
programmer, dan tugas karyawan IT terpisah dari semua tugas yang
berhubungan dengan inisiasi transaksi dan perubahan master file. Kondisi yang ada pada PT. AIR:
Pada PT. AIR Fungsi dan kewajiban operator memang berbeda dan sudah terpisah dari programmer. Tugas karyawan IT sudah terpisah dari kegiatan yang berhubungan dengan inisiasi transaksi dan perubahan master file. Apabila terdapat kemungkinan kondisi dimana programmer dapat
mengakses current file, peristiwa ini hanya terjadi pada saat maintenance
server dan Proses penindakan virus komputer (System support Activity).
Current file di akses untuk di lakukan anti virus dan tidak dapat di lakukan
perubahan atas current file tersebut karena ada pembatasan akses sesuai dengan level password yang dimiliki programmer.
5.1.2. Pengendalian Administratif.