Daftar Lampiran
Lampiran 1. Simbol-simbol Flowchart
Simbol Arti
Input/output Merepresentasikan input data atau output data yang diproses atau informasi
Proses Merepresentasikan operasi
Penghubung Keluar ke atau masuk dari bagian lain flowchart khususnya halaman yang sama
Anak panah Merepresentasikan alur kerja
Penjelasan Digunakan untuk komentar tambahan
Predefined process Rincian operasi berada di tempat lain
Preparation Pemberian harga awal
Terminal points Awal/akhir flowchart
Punched card Input/output yang menggunakan kartu berlubang
Dokumen I/O dalam format yang dicetak
Magnetic tape I/O yang menggunakan pita magnetik
Magnetic disk I/O yang menggunakan disk magnetik
Lampiran 3. Tabel Keterangan Aktivitas
No Aktivitas Auditee Instrument
1 Mengecek lokasi perusahaan dan meminta izin untuk survey
Direktur Keuangan
Observasi
2 Meminta informasi mengenai gambaran umum perusahaan dan proses billing Direktur Keuangan, Manajer TI, Manajer Billing Wawancara
3 Melakukan studi pustaka untuk mencari teori yang dibutuhkan dan relevan dengan perusahaan
- Studi Pustaka
4 Meminta dokumen mengenai struktur organisasi dan kebijakan yang berlaku di perusahaan
Direktur Keuangan
Studi Dokumentasi
5 Mengumpulkan informasi mengenai dokumen – dokumen pendukung yang digunakan dan laporan akhir dalam proses billing
Manajer Billing Studi Dokumentasi
6 Melakukan pengamatan terhadap ruang tempat proses billing berlangsung
Manajer Billing Observasi
7 Melakukan wawancara mengenai penanganan risiko yang sudah
Manajer Billing, Manajer TI
berjalan dan keefektifannya 8 Mengumpulkan informasi
mengenai pelanggan credit limit dan prosedur pengiriman overdue invoice
Direktur Keuangan
Studi Dokumentasi
Melakukan penilaian dan analisis risiko dari data-data yang sudah didapatkan
- ISO 31000 & SWIFT
9 Mencari informasi / dokumen / data yang masih belum lengkap
- -
10 Melakukan presentasi atas hasil yang dibuat ke kelas
- -
11 Melaporkan hasil temuan beserta solusi dan rekomendasi ke perusahaan
Direktur Keuangan
Lampiran 5. Contoh Laporan Keuntungan Berdasarkan Pelanggan (Bukan angka asli)
In million IDR
NO CUSTOMER COMBINED PREMIER SILVER LOUNGE CARGO
Revenue % To Total Revenue Revenue % To Total Airline Revenue Revenue % To Total Airline Revenue Revenue % To Total Airline Revenue Revenue % To Total Airline Revenue 1 Cust.A 560 28% 212 32% 44 7% 399 61% 2 Cust.B 293 13% 77 26% 0.8 3% 207 71% 3 Cust.C 165 7% 46 28% 0.3 1% 114 71% 4 Cust.D 139 6% 43 31% 0.2 1% 93 68% 5 Cust.E 81 3% 18 21% 0.2 2% 63 77%
6 Cust.F 81 3% 14 17% 2.4 3% 65 80% 7 Cust.G 72 3% - 71 100% 0.05 0% 8 Cust.H 64 3% 12 18% 0.03 0% 52 82% 9 Cust.I 55 2% 14 25% 0.4 7% 38 69% 10 Cust.J 52 2% - 47 94% 0.4 6% 0% 11 Cust.K 45 2% 17 36% 0.04 1% 29 63% 12 Cust.L 43 2% 961 23% 0.1 2% 32 75% 13 Cust.M 38 2% 20 51% 0.1 2% 18 46% 14 Cust.N 36 2% - 0% 34 94% 0.08 2% 0.5 4% 15 Cust.O 34 1% 26 77% 0.02 0% 0.8 23% Others 481 21% 18 35% 77 16% 63 13% 175 36% TOTAL 2239 100% 1478 29% 229 10% 112.1 6% 1286.35 56%
Lampiran 7. Structured What-If Analysis Technique Form Table Dept : Billing Dept. Description of Operation: Invoicing By: Alexander Date: 15/12/2012
No What If? Answer Likelihood Severity Recommendations
A Bagaimana jika data belum dinput ke sistem?
Data Price Master tidak up to date membuat proses terhambat
Sangat Jarang
Sedang Membuat kontrak perjanjian yang dapat diotorisasi secara online (digital signature) B Bagaimana jika dokumen
pendukung untuk penagihan belum lengkap?
Terjadi keterlambatan pembayaran dan
menyulitkan rekonsiliasi tagihan
Jarang Besar Membuat perjanjian pengecualian pengiriman tagihan dengan dokumen pendukung yang menyusul C Bagaimana jika target waktu
closing billing tidak tercapai?
Pekerjaan untuk staff billing pada periode berikutnya semakin bertambah
Sangat Jarang
Kecil Meningkatkan pembuatan jadwal kerja dan proses follow up yang lebih baik
D Bagaimana jika terjadi ketidaklengkapan data pada saat transfer data oleh aplikasi?
Closing menjadi tidak tepat pada waktunya
Jarang Kecil Follow up dan koreksi invoice yang lebih baik
E Bagaimana jika terjadi keterlambatan pada waktu pengiriman invoice ke pelanggan?
Terlambat mendapatkan pembayaran dari pelanggan
Jarang Kecil Membuat sistem online invoicing yang bisa langsung dibayar oleh pelanggan menggunakan paypal, dll F Bagaimana jika hutang
pelanggan terus bertambah?
Terjadi kerugian financial Jarang Kecil Melakukan penanganan yang lebih tegas saat hutang pelanggan mendekati jumlah yang ditolerir.
G Bagaimana jika terjadi penyalahgunaan data
Terjadi kebocoran data-data penting perusahaan
Sangat Jarang
Kecil Menegaskan kesepakatan kerahasiaan data antara
perusahaan oleh staff? karyawan dengan perusahaan. H Bagaimana jika terjadi
kesalahan penginputan data dalam proses billing?
Terjadi kesalahan pada invoice
Jarang Kecil Meningkatkan pengecekan invoice saat proses otorisasi dan mempermudah sistem pengkoreksian.
I Bagaimana jika terjadi bencana yang dapat mengancam data-data penting perusahaan?
Data-data yang ada diperusahaan hilang dan aktifitas bisnis terhenti
Jarang Besar Melakukan perencanaan DRP dan backup plan di lokasi yang berbeda.
J Bagaimana jika terjadi ancaman malware terhadap data perusahaan?
Terjadi kerusakan sistem, kehilangan serta kebocoran data-data perusahaan
Jarang Kecil Mematikan fungsi pembacaan flash drive di komputer area operasional.
K Bagaimana jika terjadi malfungsional pada aplikasi billing?
Proses menjadi lebih lambat karena dilakukan secara manual
Sering Kecil Melakukan pemeliharaan aplikasi secara berkala dan menegaskan prosedur penggunaan aplikasi dengan lebih teratur.
L Bagaimana jika terjadi saling meminjam password?
Data dapat diakses oleh karyawan lain yang tidak mempunyai otoritas terhadap data tersebut
Sering Sedang Menggunakan sistem otorisasi dengan sistem biometrik atau menegaskan mengenai larangan
Lampiran 8. Tabel Penilaian Risiko Risk # Risk Likelihood (L) Severity (S) Risk Score (LxS) A Data belum diinput kedalam
sistem (update)
1 3 3
B Dokumen pendukung untuk penagihan belum lengkap
2 4 8
C Target waktu closing billing tidak tercapai
1 2 2
D Ketidaklengkapan data pada saat transfer data oleh aplikasi
2 2 4
E Keterlambatan waktu pengiriman invoice ke pelanggan
2 2 4
F Hutang pelanggan terus bertambah
2 2 4
G Penyalahgunaan data perusahaan oleh staff
1 2 2
H Kesalahan penginputan data dalam proses billing
2 2 4
I Terjadi bencana yang dapat mengancam data-data penting
perusahaan
J Ancaman malware terhadap data perusahaan
2 2 4
K Aplikasi billing yang malfungsional
3 2 6
L Saling meminjam password antar user
Lampiran 9. Tabel Efektifitas Pengendalian Risiko
No Temuan Risiko Pengendalian Internal Efektifitas Pengendalian A Data belum
diinput ke sistem
Masuk ke daftar transaksi pending, Proses follow up dengan cepat Cukup B Dokumen pendukung untuk penagihan belum lengkap
Mencari sumber permasalahan dan mengkomunikasikan dengan PIC dan klien yang bersangkutan
Cukup
C Target waktu closing billing tidak tercapai
Mengirim reminder dan daftar transaksi yang pending, Tim TI yang selalu siap siaga,
Memasukkan tagihan yang terlambat ke periode berikutnya
Cukup
D Ketidaklengkapan data saat transfer data
Proses transfer data dari aplikasi ke jurnal dilengkapi dengan Summary Invoice, Melakukan rekonsiliasi atas nomor dan jumlah invoice secara manual
Cukup
E Keterlambatan pada waktu pengiriman
Menyesuaikan skedul kerja (Bag. Komersial, Operasi, TI, Pajak & Penagihan) terkait
invoice dokumen penagihan dengan target closing billing, Mengirim invoice oleh staff penagihan (area bandara) atau kurir (diluar area bandara)
F Hutang pelanggan terus bertambah
Mengirim Overdue Invoice setiap bulannya, Permintaan Cash Handling untuk
mengurangi jumlah tunggakan yang berlebihan
Cukup
G Penyalahgunaan data perusahaan oleh staff
Akses terbatas di setiap aplikasi, Pemberian hak akses yang terbatas untuk setiap user sesuai dengan fungsi yang dilakukan kesehariannya Cukup H Kesalahan penginputan data dalam proses penagihan
Pembagian kerja dengan bagian penginputan dan bagian
pengesahan / otorisasi, Membuat Credit Note (CN) dengan bukti yang mendukung koreksi atas kesalahan
penagihan oleh pelanggan
Cukup
I Terjadi bencana yang mengancam
Membeli asuransi kerusakan properti dan interupsi bisnis,
data penting perusahaan
backup data secara berkala (di lingkungan operasional juga) dan menggunakan tape backup yang disimpan di bank (Cross Backup Location), memiliki UPS untuk setiap client dan server yang dapat bertahan hingga 30 menit.
J Ancaman
malware terhadap data perusahaan
Instalasi Anti Virus disetiap komputer yang selalu up to date dan firewall yang selalu aktif
Cukup
K Malfungsional pada aplikasi penagihan
Melakukan perubahan proses ke manual hingga masalah
terselesaikan, konsultan aplikasi dan tim TI selalu siap dalam melakukan perbaikan aplikasi
Cukup
L Saling meminjam password antar user
Kebijakan larangan aktivitas pinjam meminjam password
Lampiran 10. Daftar Pertanyaan Wawancara Pertanyaan :
1. Jika terjadi masalah sistem transaksi billing yang pending, tindakan apa yang biasa di lakukan dan seberapa tingkat keparahan dari risiko ini?
2. Bila target dalam proses billing tidak terpenuhi apa yang bisa dilakukan untuk mengatasinya dan seberapa tingkat keparahan dari risiko ini? 3. Jika credit/invoice overdue pelanggan terus bertambah, tindakan apa yang
sudah di jalankan untuk mengatasinya dan seberapa tingkat keparahan dari risiko ini?
4. Apabila ada kejadian seseorang yang menyalahgunakan data penting perusahaan, tindakan apa yang sudah dilakukan agar memproteksi data-data penting perusahaan dan seberapa tingkat keparahan dari risiko ini?
5. Bila terjadi kesalahan penginputan data dalam proses billing apa yang sudah dilakukan perusahaan untuk mengatasinya dan seberapa tingkat keparahan masalah yang terjadi?
6. Bila terjadi bencana alam atau sejenis nya yang mengancam data-data penting perusahaan, tindakan apa yang sudah dipersiapkan perusahaan untuk
mengatasinya dan seberapa tingkat keparahan dari risiko ini?
7. Dalam resiko keamanan data, apa tindakan perusahaan dalam mengatasi resiko seperti terkena virus dan lain-lain dan seberapa tingkat keparahan dari risiko ini?
8. Jika fungsi aplikasi tidak dapat berjalan secara maksimal, tindakan apa yang akan dilakukan untuk mengatasinya dan seberapa tingkat keparahan dari risiko ini?
Lampiran 11. Jawaban Hasil Wawancara:
1. Transaksi Billing yang pending pada umumnya ada beberapa kategori: A. Pending karena ada data yang belum diinput di sistem atau master
data belum dicreate : diantisipasi dengan melakukan Proses Pending List Transaction. List transaksi yang pending kemudian di komunikasikan ke PIC modul transaksi terkait untuk di follow up dan diselesaikan secepatnya . Proses pending list ini sesuai SOP dilakukan seminggu sekali. Pada kenyataannya, saat mendekati closing dilakukan sehari sekali atau lebih. Tingkat risikonya kecil karena jumlah transaksi yang pending sangat kecil dibanding nilai keseluruhan transaksi dan transaksi yg benar-benar belum bisa dibilled akan dibilled pada periode berikutnya secara otomatis.
B. Pending karena menunggu kelengkapan supporting documents : Dalam hal ini jasa sudah dilakukan tetapi tagihan belum bisa dikirimkan karena dokumen pendukung belum lengkap/ Agreement belum ada. Resiko nya adalah keterlambatan pembayaran /tunggakan di Ageing Receivables dan menyulitkan rekonsiliasi tagihan. Kadang2 terjadi penolakan pembayaran untuk transaksi yang sudah meliwati tahun buku. Resiko ini dapat diatasi dengan mencari sumber permasalahannya dan mencari solusi yang tepat dengan PIC terkait dan klien ybs.
2. Target proses billing antara lain adalah : A. Target waktu closing :
Internal Control untuk meminimalkan risiko tidak tercapainya target waktu closing adalah sbb :
a. Reminder kepada PIC data dengan mengirimkan Pending List Transaction seminggu sekali;
b. Sesuai SOP,deadline closing data Operation adalah 2 hari sebelum closing billing. Penyimpangan dieskalasi kepada Manajemen (GM masing-masing, GM Finance dan GM IT. Laporan di cc ke Direktur Keuangan dan Direktur Operasi. Mitigasi risiko keterlambatan closing kemudian akan dilakukan oleh GM tsb, GM Finance & GM IT.
c. Skedul kerja PIC terkait billing ( Commercial, Operation, IT & Billing ) disesuaikan dengan target closing. Tim IT standby untuk melakukan mitigasi jika ada masalah terkait Aplikasi Billing.
d. Dilakukan audit secara teratur baik oleh bagian internal audit maupun external audit dari grup untuk menjamin tidak terjadi underbilling.
Tingkat risiko keterlambatan closing billing tidak signifikan karena proses sudah stabil dan risiko yang mungkin terjadi telah diidentifikasi dan dibuat rencana mitigasinya. Selain itu keterlambatan Billing di satu bulan masih dapat di perbaiki dibulan berikutnya ( timing difference only)
B. Target kelengkapan dan keakuratan transfer data dari Aplikasi Billing ke A/R Sub Ledger :
Internal Control untuk meminimalkan risiko kelengkapan dan keakuratan transfer data dari Aplikasi Billing ke A/R Sub Ledger adalah sbb :
a. Proses transfer data dari Aplikasi Billing ke A/R Sub Ledger dilengkapi dengan laporan summary invoice yang berhasil di-transfer dan yang di reject oleh system. Laporan tersebut adalah bersifat Auto Invoice Execution Report. Laporan tsb dikirimkan kepada pihak terkait antara lain Commercial, Accounting dan IT untuk mengidentifikasi dan melakukan follow up atas invoice yang rejected saat di-transfer. Setelah dikoreksi, maka proses transfer diulangi sampai semua invoice ter-transfer.
b. Secara manual dilakukan rekonsiliasi atas nomor dan amount invoice di Aplikasi Billing dan di A/R Sub Ledger.
Tingkat risikonya tidak signifikan.
C. Target waktu pengiriman invoice kepada pelanggan :
Internal Control untuk meminimalkan risiko atas target waktu pengiriman invoice kepada pelanggan adalah sbb :
a. Sesuai SOP, deadline penyerahan supporting docs Operation adalah pada hari closing billing. Penyimpangan dieskalasi kepada GM masing-masing dan GM Finance. Laporan di cc ke Direktur Keuangan dan Direktur Operasi. Mitigasi risiko atas
keterlambatan penyerahan supporting docs kemudian akan dilakukan oleh GM ybs dan GM Finance.
b. Skedul kerja PIC terkait dokumen billing ( Commercial, Operation, IT, Tax & Billing ) disesuaikan dengan target closing. Tim IT standby untuk melakukan mitigasi jika ada masalah terkait Aplikasi Billing.
c. Dilakukan prioritas pengiriman invoice berdasarkan prinsip pareto, invoice untuk pelanggan terbesar diprioritaskan. Metode pengiriman invoice disesuaikan dengan lokasi pengiriman : dikirim langsung oleh staff billing sedangkan untuk invoice yang diserahkan ke kantor pelanggan di bandara dan sekitarnya, dikirim melalui kurir untuk invoice di luar area bandara.
3. Risiko kredit dimitigasi dengan internal control yang diatur dalam SOP Credit antara lain sbb :
a. Setiap bulan dikirimkan Statement of Account kepada pelanggan yang berisi informasi tentang nomor invoice, jumlah invoice, tanggal jatuh tempo dan hari overdue-nya.
b. Jika overdue melebihi jumlah dan/atau waktu tertentu dikirimkan Reminder Letter secara progresif. Reminder letter ditandatangani oleh GM Finance, Direktur Keuangan (CFO) atau Direktur Operasi (COO) tergantung klasifikasi overdue-nya.
c. Jika memenuhi syarat tertentu, atas keterlambatan pembayaran dimungkinkan adanya ancaman penalty sebesar x% per bulan dari overdue invoice ( Tergantung Agreeement dengan Klien)
d. Dilakukan Collection Meeting setiap bulan yang dihadiri team dari Commercial dan Keuangan ( Bagian Penagihan dan Collection)
e. Permintaan Cash handling ( bisa 100%, 150%, 200%) untuk pelayanan selanjutnya dengan tujuan bisa mengurangi jumlah tunggakan atau melakukan penahanan atas pembayarann outstanding tagihan Klien ke JAS ( Untuk Klien2 tertentu, JAS membantu menjualkan tiket, excess bagage dll dimana uang masuk ke KAS JAS dahulu baru disetorkan ke Klien ybs)
f. Untuk Klien2 tertentu yang kurang bonafid atau baru, JAS biasanya meminta pelanggan deposit , garansi bank dll yang dapat di ofset dengan tagihan JAS ke klien bila ada masalah collection di kemudian hari.
4. Resiko tersebut sudah diminimalkan dengan akses yang terbatas ke masing2 aplikasi, dimana untuk menjalankan aplikasi terkait, harus menggunakan USER ID yang diberikan oleh Dept IT, dengan password yang harus selalu diubah secara regular.
Jadi proteksi yang ada adalah dengan menggunakan USER ID + Password untuk orang2 yang diberi akses (tidak semua orang bisa mengakses aplikasi / data terkait). Dan orang2 yang diberi akses tsb, juga memiki akses yang terbatas, sesuai dengan fungsi sehari-harinya.
Resiko yang ada: minimal dengan pembatasan akses lewat USER ID dan Akses yang dibatasi.
5. Untuk meminimalkan kesalahan penginputan dilakukan segregation of duties antara bagian yang melakukan penginputan data, otorisasi data & approval transaksi, misal : Transaksi GSE diinput oleh Staff Admin Apron, approvalnya dilakukan oleh Manajer Apron setelah melakukan cek dan review atas dokumen. Manual invoice kemudian dibuat dan diinput oleh Staff Billing, approvalnya dilakukan oleh Manajer Billing setelah melakukan cek dan review dokumen. Setelah tagihan di kirim ke klien, pembayaran dari klien dicatat oleh staff collection/ bagian penagihan yang akan memberikan masukan ke bagian billing bisa ada tolakan pembayaran karena ke tidak akuratan billing. Jadi Jika kesalahan tidak terdeteksi oleh proses review dan approval, maka pada akhirnya akan terdeteksi oleh pelanggan melalui mekanisme Credit Note (CN). CN dilakukan melalui dokumen CN Form yang dilampiri bukti-bukti yg mendukung koreksi atas kesalahan penagihan. Review dan approval dilakukan secara bertingkat sesuai jumlah yg dikoreksi. Approval diberikan oleh GM Finance, Direktur Keuangan (CFO), Direktur Operasi ( COO ) atau Presiden Direktur ( CEO ).
Tingkat risiko kesalahan penginputan data tidak signifikan dan bisa dimitigasi dengan internal control yang sudah berjalan.
6. Resiko: medium – jikalau terjadi bencana alam. Jika terjadi bencana alam, kegiatan perusahaan otomatis juga akan terhenti, dikarenakan lokasi data centre dengan lokasi operasional perusahaan berada dalam satu lokasi yang sama. Kerugian yang terjadi untuk hal ini dimitigasi dengan membeli asuransi Property Damage dan Business Interuption. Data-data historical
penting dapat diamankan karena ada backup secara regular dimana saat ini PT JAS sudah melakukan backup secara regular yang disimpan ke dalam Tape Backup. Dan secara berkala, Tape hasil backup tsb disimpan di lokasi yang terpisah (cross backup location). Dalam waktu dekat, tape hasil backup tsb akan disimpan di dalam Safe Deposit Box di bank untuk meningkatkan keamanan
7. Program Anti Virus telah terpasang di seluruh computer yang ada dan juga ditambah dengan Anti Virus yang dipasang di sisi Firewall. Sehingga seluruh serangan virus baik dari sisi user (workstation / computer) dan via network (lewat internet / intranet) telah dijaga dengan ketat. Anti virus yang ada selalu di update secara rutin, sehingga selalu menggunakan database anti virus terbaru.
Resiko: minimal, karena telah terproteksi dengan ketat lewat anti virus yang ada.
8. Jikalau fungsi aplikasi tidak dapat berjalan sama sekali, dapat dilakukan tindakan switch ke proses manual.
Dan jikalau kerusakan terjadi karena error di aplikasi, dapat dilakukan restore ulang dari backup aplikasi yang ada ataupun dengan menghubungi consultant aplikasi. Consultant aplikasi selalu siap untuk mengatasi ini dikarenakan perusahaan memiliki kontrak maintenance dengan consultant, dimana consultant wajib segera memperbaiki jikalau ada error di aplikasi terkait.