19
I. PENDAHULUAN
Seiring dengan pesatnya kemajuan teknologi informasi membuat sejumlah entitas mulai dari perusahaan, pemerintah, sampai organisasi pendidikan pelan-pelan mulai mengandalkan teknologi komputer ke dalam aktifitasnya. Hal ini disebabkan dengan semakin banyak dan kompleksnya aktivitas-aktivitas dalam organisasi sehingga manajemen dalam organisasi harus dapat memiliki informasi yang cepat, tepat dan akurat untuk mengambil sebuah keputusan. Dalam kaitannya dengan transaksi keuangan, perkembangan teknologi komputer telah mengakibatkan perubahan pencatatan, pengolahan dan pelaporan data dari sistem manual menjadi sistem informasi berbasis komputer.
20 efektivitas dan efisiensi operasi, keandalan laporan keuangan, kepatuhan terhadap hukum dan peraturan yang berlaku.
Di dalam pengendalian internal menurut Committee of Sponsoring Organizations (COSO) terdapat dua aktivitas pengendalian yang ditunjukan untuk mendorong kehandalan proses informasi yaitu pengendalian umum dan pengendalian aplikasi (Hall, 2011:21). Pengendalian umum berfokus pada semua pengendalian yang tidak terkait langsung terhadap aplikasi komputer. Sedangkan pengendalian aplikasi berfokus pada pengendalian aplikasi tertentu.
Pengendalian aplikasi merupakan salah satu pengendalian internal yang cukup penting bagi entitas yang mengandalkan teknologi informasi ke dalam aktivitas utamanya. Pengendalian aplikasi tidak terlepas dari resiko-resiko yang ada. Salah satu resiko yang paling fatal adalah resiko kesalahan input data. Jika terjadi kesalahan input data maka organisasi akan sangat dirugikan karena informasi yang dihasilkan menjadi tidak dapat diandalkan dan malah menyesatkan bagi organisasi.
21 SIKASA UKSW merupakan aplikasi keuangan dan akuntansi berbasis web yang hanya dapat digunakan dalam lingkungan jaringan (network) UKSW. Sehingga kebutuhan penggunaan teknologi informasi untuk menjalankan kegiatan operasional dalam pemrosesan transaksi sangat diandalkan. Penggunaan sistem informasi yang terkomputerisasi pada satu sisi dapat meningkatkan efisiensi kegiatan operasional, kualitas dan kecepatan pelayanan. Sedangkan disisi lain mengandung resiko potensial yang apabila tidak diantisipasi dengan baik akan merugikan organisasi. Oleh karena itu penting bagi organisasi untuk melakukan audit sistem informasi untuk menentukan apakah Sistem Keuangan dan Akuntansi UKSW sudah dikelola dengan baik.
Persoalan dalam penelitian ini adalah bagaimana pengendalian aplikasi pada sistem keuangan dan akuantansi UKSW yang berjalan sampai saat ini? Apa saja kelemahan dan resiko yang terdapat pada SIKASA UKSW?
Berdasarkan uraian di atas, penulis tertarik untuk melakukan penelitian tentang audit sistem informasi pada Sistem Keuangan dan Akuntansi Satya Wacana. Ruang lingkup penelitian ini difokuskan pada audit sistem informasi atas pengendalian aplikasi.
22 masukan bagi pihak manajemen untuk meningkatkan pengendalian aplikasi pada sistem informasi keuangan dan akuntansi UKSW.
II. TELAAH TEORITIS
2.1. Audit Sistem Informasi
Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, memungkinkan tujuan organisasi untuk dicapai secara efektif, dan menggunakan sumber daya yang efisien (Weber, 1999:10). Audit sistem informasi sendiri merupakan gabungan dari beberapa ilmu, antara lain tradisional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer dan ilmu prilaku (Weber, 1999:18). Menurut Weber (1999:11-13) terdapat empat tujuan audit sistem informasi yaitu meningkatkan keamanan aset-aset perusahaan, meningkatkan integritas data, meningkatkan efektifitas sistem, meningkatkan efisiensi sistem.
2.2. Perlunya Kontrol dan Audit Sistem Informasi
Menurut Weber (1999 : 5-10), faktor yang mendorong pentingnya kontrol dan audit sistem informasi adalah :
1. Biaya perusahaan yang timbul karena kehilangan data (Organizational costs of data loss).
23 3. Biaya yang timbul karena penyalahgunaan komputer (Cost of
computer abuse).
4. Nilai dari hardware, software dan personel (Value of hardware, software, personel).
5. Biaya yang besar akibat kerusakan komputer (High cost of computer error).
6. Menjaga kerahasiaan (Maintenance of privacy).
7. Meningkatkan pengendalian evolusi (penggunaan) penggunaan komputer (Controlled evolution of computer abuse).
2.3. Tahapan Audit Sistem Informasi
Menurut Hall (2011 : 10-11) terdapat tiga fase/tahapan dalam audit sistem informasi diantara lain ( seperti dalam gambar 2.1):
1. Perencanaan audit (audit planning phase)
24 2. Pengujian pengendalian (test of controls phase)
Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian internal sudah memadai dan dijalankan dengan baik. Untuk mencapai hal ini, auditor melakukan berbagai tes kontrol. Bukti pengumpulan-teknik yang digunakan dalam tahap ini mencakup pengumpulan-teknik manual dan teknik komputer khusus audit. Pada akhir dari tahap pengujian pengendalian, auditor harus menilai kualitas dari pengendalian internal dengan menetapkan tingkat risiko kontrol. Tingkat kepercayaan auditor terhadap pengendalian internal menentukan pengujian substantif yang akan dilakukan.
3. Pengujian substabtive (substantive testing phase)
Tahap ini menekankan pada data keuangan, yang melibatkan pemeriksaan terhadap saldo account atau transaksi tertentu. Auditor harus mengevaluasi kelemahan dari kebijakan dan prosedur yang ada untuk menentukan dampaknya terhadap perusahaan kemudian melaporkan hasil tersebut.
25
2.4. Metode Audit
Menurut Gondodiyoto (2007 :451-459) pendekatan yang dapat dipakai dalam melakukan audit sistem informasi ada 3 (tiga) antara lain :
1) Auditing around the computer
Untuk menerapkan metode ini, auditor pertama kali harus menelusuri dan menguji pengendalian masukan, kemudian menghitung hasil yang diperkirakan dari proses transaksi lalu auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual.
2) Auditing through the computer
Pada metode ini, auditor tidak hanya melakukan pengujian pada input dan output melainkan juga pemeriksaan secara langsung terhadap pemrosesan komputer melalui pemeriksaan logika dan akurasi program meliputi koding program, desain aplikasi, serta hal lain yang berkaitan dengan program aplikasinya.
3) Auditing with computer
26
2.5. Program Audit
Menurut Moeller (2010:127) program audit merupakan prosedur yang menjelaskan langkah-langkah dan serangkaian tes yang akan dilakukan oleh seorang auditor TI pada saat meninjau sebuah fasilitas operasional TI, mengevaluasi aplikasi, atau melakukan beberapa proses audit lainnya. Bentuk program audit sangat beragam tergantung pada kondisi audit, praktik, serta kebijakan kantor akuntan tersebut (Boynton et all,2003:246).
2.6. Pengendalian Internal
Menurut Committee of Sponsoring Organizations (COSO) yang dikutip oleh Champlain (2003:216) dalam bukunya yang berjudul Auditing Information System, pengendalian internal didefinisikan sebagai :
“A process, affected by an entity’s board of directors, management and
other personnel, designed to provide reasonable assurance regarding the
achievement of objectives in (1) the effectiveness and efficiency of operations, (2)
the reability of financial reporting, and (3) the compliance of applicable laws anf
regulations.”
Untuk mencapai tujuan tersebut, terdapat lima komponen pokok sistem pengendalian internal yang dapat diterapkan secara efektif, yang mencakup lingkungan pengendalian, penaksiran risiko, aktivitas pengendalian, informasi & komunikasi, serta pengawasan.
27
2.6.1. Pengendalian Umum
Menurut Gondodiyoto (2007 : 301) pengendalian umum adalah sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Ruang-lingkup yang termasuk dalam pengendalian umum adalah sebagai berikut (Gondodiyoto, 2007 : 301) :
1. Pengendalian top manajemen (top management controls), dalam lingkup ini termasuk pengendalian manajemen sistem informasi (information system management controls).
2. Pengendalian manajemen pengembangan sistem (system development management controls), termasuk manajemen program (programing management controls).
3. Pengendalian manajemen sumber data (data resource management controls).
4. Pengendalian manajemen operasi (operation management controls). 5. Pengendalian manajemen keamanan (security administration management
controls).
6. Pengendalian manajemen jaminan kualitas (quality assurance management controls).
2.6.2. Pengendalian Aplikasi
28 organisasi (Gondodiyoto, 2007:371). Pengendalian aplikasi terdiri dari 6 (enam) pengendalian yaitu:
2.6.2.1. Pengendalian Batasan (Boundary Control)
Pengendalian batasan merupakan jenis pengendalian yang didesain untuk mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem informasi digunakan oleh user dengan cara yang ditetapkan. Yang dimaksud dengan batasan (boundary) adalah interface antara para pengguna (users) dengan sistem berbasis teknologi informasi (Gondodiyoto, 2007: 374). Terdapat beberapa kontrol yang diimplementasikan dalam pengendalian batasan yaitu chryptograpic contol, acces control, audit trail, dan existance control. 2.6.2.2. Pengendalian Masukan (Input)
Input merupakan salah satu tahap dalam sistem komputerisasi yang paling penting dan mengandung resiko. Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan (Gondodiyoto, 2007: 377).
2.6.2.3. Pengendalian Proses
29
2.6.2.4. Pengendalian Keluaran (Output)
Menurut Gondodiyoto (2007:401) pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu. Jenis-jenis pengendalian keluaran meliputi pengendalian rekonsiliasi keluaran, penelaahan dan pengujian hasil pengolahan, pengendalian distribusi keluaran dan pengendalian terhadap catatan (record retention).
2.6.2.5. Pengendalian Database
Pengendalian database merupakan jenis pengendalian intern yang didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data tersebut.
2.6.2.6. Pengendalian Komunikasi Aplikasi
Pengendalian komunikasi aplikasi merupakan jenis pengendalian intern yang didesain untuk menangani kesalahan selama proses trasmisi data dan untuk menjaga keamanan dari data selama pengiriman informasi tersebut (Gondodiyoto, 2007:429).
2.7. Instrumen Pemeriksaan
30 rekonsiliasi, trasir, perhitungan ulang dan scanning. Dalam audit sistem informasi juga dapat dilakukan teknik-teknik audit dengan metoda code reivew, test data, code comparison, dengan dukungan audit software, dilakukan perfomance management tools lainnya dan monitor information system usage.
2.8. Temuan Audit
Menurut Gondodiyoto (2007 : 663-664) temuan audit dibagi menjadi dua yaitu temuan negatif dan temuan positif. Temuan negatif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat ketidaktaatan terhadap ketentuan/ peraturan, pengeluaran uang tidak sepatutnya, ketidakhematan, ketidakefisienan dan ketidakefektifan yang dapat berakibat adanya kemungkinan/resiko/dampak yang merugikan perusahaan. Sedangkan temuan positif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat hal-hal yang bersifat positif dan perlu dikemukakan sebagai penghargaan atau apresiasi terhadap auditan, berikan pujian dan tonjolkan kelebihan-kelebihan untuk hal-hal yang pantas dikemukakan.
2.9. Teknik Penaksiran Resiko
Menurut Gondodiyoto (2007 : 489) ada beberapa metode untuk melakukan penilaian resiko, yaitu :
1. Pendekatan penaksiran dengan sistem scoring.
31 2. Penilaian resiko secara judgemental.
Yaitu keputusan dibuat berdasarkan pengetahuan bisnis, intruksi manajemen eksekutif, sejarah lingkungan, tujuan bisnis dan faktor-faktor lingkungan.
3. Teknik kombinasi.
III. METODE PENELITIAN
3.1. Metode dan Teknik Pengumpulan Data
Metode dalam audit sistem informasi yang dipakai menggunakan pendekatan audit through the computer (terbatas). Yang dimaksudkan audit through the computer (terbatas) disini ialah penulis melaksanakan program audit pengendalian proses namun terdapat batasan-batasan yang diberikan auditte. Sumber data yang digunakan dalam penelitian ini adalah sumber data primer dan sumber data sekunder. Data primer diperoleh dari hasil observasi, penelaahan dokumentasi dan wawancara kepada pihak-pihak yang berkepentingan dalam aplikasi Sistem Keuangan dan Akuntansi UKSW (SIKASA UKSW). Data sekunder berupa struktur organisasi, job description, buku manual program aplikasi Sistem Keuangan dan Akuntansi UKSW, Standart Operation Procedure (SOP) penerimaan dan pengeluaran kas.
32 (staff/pegawai) terpilih yang berhubungan langsung dengan aplikasi Sistem Keuangan dan Akuntansi UKSW.
3.2. Tahapan Audit Yang Dilaksanakan
Tahapan audit dalam pekerjaan lapangan ini mengikuti tahapan yang terdapat dalam teori dan mengalami modifikasi untuk menyesuaikan dengan keadaan lapangan dan keterbatasan yang ada. Adapun tahapan tersebut adalah sebagai berikut :
3.2.1. Tahap Perencanaan
Salah satu tahap audit ialah perencanaan (audit planning). Perencanaan audit dimaksudkan untuk meringankan kerja audit dari segi biaya, waktu dan penganalisaan atas bukti-bukti dan informasi yang telah diperoleh. Terdapat tiga tahap yang terdapat dalam tahap perencanaan, yaitu :
1) Melakukan pemahaman atas sistem pengendalian yang ada secara umum, berupa mengajukan pertanyaan atau melakukan perbincangan kepada pengelola dan (staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam gambaran objek penelitian.
2) Melakukan pemahaman atas aplikasi secara khusus, berupa mengajukan pertanyaan atau melakukan perbincangan kepada pengelola dan (staff/pegawai) terpilih yang berhubungan langsung dengan SIKASA UKSW dan mendokumentasikan pemahaman tersebut ke dalam survei pendahuluan.
33
3.2.2. Tahap Pengujian Pengendalian
Langkah kedua dalam audit ini adalah tahap pengujian pengendalian. Pengujian pengendalian bertujuan untuk mengetahui apakah pengendalian yang ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan, dengan melakukan pemeriksaan, wawancara, observasi. Terdapat tiga tahap yang terdapat dalam tahap pengujian pengendalian, yaitu :
1) Melaksanakan pengujian pengendalian, berupa pengumpulan bukti audit berdasarkan program audit yang telah dibuat dengan sejumlah instrument audit seperti wawancara dan observasi.
2) Melakukan evaluasi terhadap bukti audit, berupa menganalisis bukti audit untuk mencari temuan-temuan yang terdapat pada SIKASA UKSW. 3) Menentukan penilaian resiko, menggunakan Level Penilaian Resiko
National Institute of Standard and Technology (NIST) melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System. Level penilaian resiko merupakan suatu cara untuk menganalisa seberapa besar pengaruh kemungkinan terjadinya ancaman (Threat Likelihood) terhadap akibat yang ditimbulkan (Impact).
Tabel 3.1 Definisi likelihoood level (level kemungkinan terjadi)
Likelihood
Level Likelihood Definition
High Sumber ancaman dianggap sangat mungkin terjadi dan kontrol untuk mencegah vulnerabilitas terjadi dianggap tidak efektif.
Medium Sumber ancaman mungkin terjadi, tetapi kontrol ditetapkan di tempat yang dapat menggangu keberhasilan pencegahan vulnerabilitas.
34
Tabel 3.2 Definisi magnitude of impact (besar dampak resiko)
Risk
Level Risk Description and Necessary Actions
High Jika sebuah temuan dievaluasi sebagai High Risk, maka penting untuk mempertimbangkan tindakan perbaikan.
Medium Jika sebuah temuan ditentukan sebagai Medium Risk, tindakan perbaikan diperlukan dan sebuah rencana harus diterapkan.
Low Jika sebuah temuan ditentukan sebagai Low Risk, dipertimbangakn apakah diperlukan tindakan perbaikan atau memutuskan untuk menerima resiko.
Besarnya nilai Threat Likelihood dinyatakan dengan :
High (H) diberi nilai 1,0 Medium (M) diberi nilai 0,5
Low (L) diberi nilai 0,1
Sedangkan besarnya nilai Impact dinyatakan dengan :
High (H) diberi nilai 100
Medium (M) diberi nilai 50
Low (L) diberi nilai 10
Teknik perhitungan dalam Level penilaian resiko menggunakan fungsi perkalian antara Threat Likelihood dengan Impact. Caranya yaitu :
1. Tentukan kemungkinan terjadinya ancaman (Threat Likelihood) berdasarkan nilai yang ada, apakah High, Medium, atau Low.
2. Tentukan dampak yang mungkin terjadi (Impact) berdasarkan nilai yang ada, apakah High, Medium atau Low.
35 4. Hasil perkalian tersebut dijumlahkan dan dibagi dengan jumlah
pertanyaan.
5. Hasil pembagian tersebut dinilai dengan menggunakan Risk Scale apakah termasuk kategori High, Medium atau Low pada Tabel.
6. Ancaman yang dijadikan resiko dan diberikan rekomendasi hanya kategori Medium dan High.
Tabel 3.3 Risk Scale
Low Medium High
Risk Scale 1 to 10 > 10 to 50 > 50 to 100
3.2.3. Tahap Pengujian Subtantive
Tahap ketiga dari proses audit berfokus pada data keuangan. Namun, dikarenakan adanya batasan audit yang ditetapkan organisasi mengenai data keuangan maka dalam penelitian ini penulis tidak pelaksanakan pengujian subtantive data keuangan. Terdapat dua tahap yang terdapat dalam tahap pengujian subtantive, yaitu :
1) Mengevaluasi hasil, berupa memberikan rekomendasi dari resiko-resiko yang ada.
36
IV. ANALISIS DATA
4.1. Gambaran Umum Objek Penelitian
Universitas Kristen Satya Wacana (UKSW) semula lahir dengan nama Perguruan Tinggi Pendidikan Guru Kristen Indonesia (PTPG-KI). Diresmikan pada tanggal 30 November 1956 dengan lima jurusan, yaitu Pendidikan, Sejarah, Bahasa Inggris, Hukum, dan Ekonomi. PTPG-KI Satya Wacana berubah menjadi FKIP-KI pada tanggal 17 Juli 1959. Kemudian pada tanggal 5 Desember 1959 diresmikan menjadi Universitas Kristen Satya Wacana dengan kehadiran Fakultas Ekonomi dan Fakultas Hukum yang kemudian diikuti dengan pembukaan beberapa Fakultas dan Program Studi baru. Pada saat ini UKSW memiliki 51 Program Studi yang terdiri dari 7 Program Studi Diploma 3, 31 Program Studi Program Sarjana (S1), 10 Program Studi Program Magister (S2), dan 3 Program Studi Program Doktoral (S3).
37
Gambar 4.1 Stuktur Organisasi Pembantu Rektor I
Bidang Akademik dipimpin oleh seorang Pembantu Rektor I (PR I) dan dibantu oleh seorang sekertaris. Untuk menunjang aktifitas dalam bidang akademik, PR I memiliki beberapa unit penunjang seperti Perpustakaan Universitas (PU), Biro Teknologi dan Sistem Informasi (BTSI), Pusat Penjaminan Mutu Akademik (PPMA), Biro Administrasi Akademik (BAA), Pusat Bahasa/LTC. Dalam penelitian ini objek audit yang berada di dalam lingkungan Pembantu Rektor I adalah Biro Teknologi dan Sistem Informasi.
38
Gambar 4.2 Stuktur Organisasi Pembantu Rektor II
Bidang Administrasi dan Keuangan dipimpin oleh seorang Pembantu Rektor II (PR II) dan seorang sekertaris. Untuk menunjang aktifitas dalam bidang akademik, PR II memiliki beberapa unit penunjang seperti Biro Akuntansi dan Keuangan (BAK), Biro Manajemen Kampus, Biro HRD. Dalam penelitian ini objek audit yang berada di dalam lingkungan Pembantu Rektor II adalah Biro Akuntansi dan Keuangan.
Biro Akuntansi dan Keuangan dipimpin oleh seorang manajer dan dibantu oleh seorang sekertaris. Terdapat dua bagian penting dalam struktur Biro Akuntansi dan Keuangan (BAK) yaitu bagian akuntansi dan bagian keuangan. 4.2. Survei Pendahuluan
39 penerimaan dan pengeluaran di UKSW masih secara manual. Pada tahun 2003 sampai 2005 SIKASA dikelola oleh Salatiga Camp. Pada saat itu SIKASA hanya digunakan untuk memproses transaksi pengeluaran kas saja. Mulai tahun 2006 sampai sekarang SIKASA dikelola oleh BTSI dan mengalami banyak perkembangan dan perbaikan. Sampai saat ini aplikasi yang digunakan adalah SIKASA versi 2.0.
SIKASA merupakan aplikasi berbasis web yang digunakan untuk mengelola data keuangan dan akuntansi. Berdasarkan kebijakan pembukuan dan pencatatan yang berbeda maka SIKASA di UKSW dibedakan menjadi lima jenis yaitu SIKASA UKSW, SIKASA B, SIKASA PHKI, SIKASA Mandiri, dan SIKASA Sekolah Lab. Dari kelima jenis SIKASA tersebut kemudian dikonsolidasikan menjadi satu laporan. Pengguna SIKASA adalah semua unit kerja yang ada di lingkungan UKSW. Pengguna hanya bisa mengakses SIKASA di dalam area jaringan UKSW melalui alamat http://sikasa.uksw.edu
40 Untuk melindungi sistem jaringan internal dari serangan hack (Hack Attack) secara keamanan jaringan server SIKASA sudah dilindungi oleh DMZ (Demilitarized Zone). Sedangkan untuk perlindungan dalam aplikasi SIKASA, sudah terdapat prosedur untuk login terlebih dahulu sebelum masuk ke aplikasi.
Sumber daya utama yang digunakan berasal dari Perusahaan Listrik Negara (PLN) dan untuk mengantisipasi adanya pemadaman listrik universitas sudah memiliki beberapa Generator Set (Genset). Genset yang dimiliki belum dapat untuk mencakup semua unit namun sudah diletakkan pada lokasi-lokasi yang vital.
4.2.1. Prosedur Transaksi Penerimaan Kas
Penerimaan kas dibedakan menjadi dua macam, yaitu penerimaan rutin dan penerimaan tidak rutin. Yang termasuk dalam penerimaan rutin adalah penerimaan uang kuliah, penerimaan sewa balairung, sewa cafe, dan sebagainya. Yang termasuk dalam penerimaan tidak rutin adalah uang wisuda, uang kursus, uang ijasah, dan sebagainya. Penerimaan uang kuliah berasal dari dua macam tagihan, yaitu tagihan pembayaran registrasi dan tagihan pembayaran pelunasan. Tagihan pembayaran registrasi merupakan tagihan yang harus dibayar oleh mahasiswa sebelum melakukan registrasi, sedangkan tagihan pembayaran pelunasan merupakan tagihan yang harus dibayar oleh mahasiswa.
41 Proses ini di awali oleh bagian Akademik dengan mengeluarkan tagihan biaya kuliah untuk setiap mahasiswa. Mahasiswa diwajibkan untuk melakukan pembayaran sesuai tagihan tersebut melalui Bank yang ditunjuk atau lewat loket di Gedung Administrasi Pusat (GAP). Bank memproses tagihan tersebut dan mengirimkan laporan pembayaran yang sudah dilakukan oleh mahasiswa secara on-line melalui aplikasi SIASAT dan rekenig koran. Aplikasi SIASAT akan melakukan pengiriman data pada aplikasi SIKASA. Pihak pengelola SIKASA dalam hal ini BAK kemudian akan mencocokan data yang ada dikirim oleh aplikasi SIASAT dengan rekening koran yang dikirim oleh Bank.
4.2.2. Prosedur Transaksi Pengeluaran Kas
42
4.3. Perencanaan Pengujian Pengendalian Aplikasi
Perencanaan pengujian pengendalian aplikasi diawali dengan menentukan ruang lingkup audit sistem informasi. Dalam penelitian ini ruang lingkup audit sistem informasi yang dilakukan hanya pengendalian aplikasi. Hal tersebut dikarenakan lingkungan organisasi yang sangat luas dan kurangnya pengetahuan penulis mengenai pengendalian umum.
Ruang lingkup audit sistem informasi atas pengendalian aplikasi dibatasi dengan tidak melakukan pengujian substantive terhadap data akuntansi dan keuangan ataupun melihat format laporan keuangan. Hal tersebut dikarenakan adanya batasan lingkup audit sistem informasi dari auditee, mengingat dokumen tersebut sangat rahasia bagi organisasi.
Dengan adanya pengetahuan mengenai proses bisnis organisasi serta pemahaman atas pengendalian yang ada dan ruang lingkup yang ada, maka penulis menentukan program audit. Program audit yang dipakai dalam penelitian ini mengacu pada buku Sanyoto Gondodiyoto yang berjudul “Audit Sistem
43 program audit pengendalian basis data (database) dan program audit pengendalian komunikasi aplikasi.
4.4. Pengujian Pengendalian Aplikasi
4.4.1. Pengujian Program Audit atas Pengendalian Batasan
Pengendalian batasan (boundary) ini didesain untuk mengenal identitas dan otentik tidaknya user sistem dan untuk menjaga agar sumberdaya sistem informasi digunakan oleh user dengan kriteria standar yang ditetapkan seperti:
1. Menetapkan identitas dan kewenangan pengguna, dalam arti sistem harus memastikan user yang dapat melakukan pengaksesan adalah user yang mempunyai hak akses.
2. Sistem dapat menampilkan pesan error atau menutup aplikasi secara langsung pada saat user salah memasukkan password pada jumlah kesalahan maksimum yang telah ditetapkan.
3. Dapat membatasi tingkat pengaksesan user sesuai level yang dimiliki.
Adapun hasil pengujian pengendalian batasan terdapat pada tabel dibawah ini.
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan
No. Tahap Pengujian
Objek
Audit Keterangan
WP Ref. Pengendalian
Batasan
1 Lakukan
pengecekan apakah aplikasi dilengkapi dengan login akses seperti username dan password?
Aplikasi SIKASA UKSW
Ya. Aplikasi sudah dilengkapi dengan login akses. Terdapat level sub-unit, username dan password. (lampiran 19)
44
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian
Objek
Audit Keterangan
WP Ref. Pengendalian
Batasan
2 Lakukan
pengecekan apakah aplikasi menampilkan pesan (error message) jika verifikasi login tidak valid? Aplikasi SIKASA UKSW
Ya. Sistem akan memberitahu bahwa username atau password yang anda masukan salah atau tidak sesuai dengan sub-unitnya. Aplikasi SIKASA dapat
menampilkan pesan (error message) jika verifikasi login tidak valid. (lampiran 20)
O-I-PB-02
3 Lakukan
pengecekan apakah aplikasi membatasi ukuran filed (panjang maksimal) terhadap login akses (username dan password). Aplikasi SIKASA UKSW
Tidak. Tidak ada kebijakan untuk membatasi ukuran filed (panjang maksimal) terhadap login akses (username dan password).
O-I-PB-03
4 Lakukan
pengecekan apakah password yang diketik tidak terlihat (invisible).
Aplikasi SIKASA UKSW
Ya. Password yang dimasukan invisible.
O-I-PB-04
5 Dapatkan
informasi siapa saja yang menjadi user aplikasi?
Ka bag. Akuntansi
Admin, Bag Akuntansi, Operator, Keuangan, Anggaran, Unit. Untuk User secara keseluruhan ada di softwarenya.
W-II-PB-01
6 Dapatkan
informasi apakah hanya password yang membatasi akses ke dalam aplikasi.
Ka bag. Akuntansi
Tidak. Untuk mengakses SIKASA diperlukan password, username, dan sub-unit.
W-II-PB-02
7 Apakah login
akses seperti username dan password diencryption? Admin SIKASA UKSW
Ya. Username dan password pastinya diencryption.
W-I-PB-01
8 Lakukan
pengecekan apakah sistem aplikasi hanya dapat diakses oleh orang-orang yang terotorisasi.
Aplikasi SIKASA UKSW
Ya. Setiap karyawan yang berhubungan dengan SIKASA UKSW telah diberi username masing-masing.
45
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian
Objek
Audit Keterangan
WP Ref. Pengendalian
Batasan
9 Lakukan
pengecekan beberapa kali kegagalan penginputan login akses dapat dilakukan. Aplikasi SIKASA UKSW
Tidak ada batasan penginputan login akses. Sistem akan tetap menampilkan pesan yang berisi informasi kesalahan pada saat login. (lampiran 20)
O-I-PB-05
10 Lakukan
pengecekan apakah sistem memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses. Aplikasi SIKASA UKSW
Tidak. Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi ketika terjadi kegagalan login akses.
O-I-PB-06
11 Dapatkan informasi mengenai batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. Admin SIKASA UKSW
Ada beberapa tingkatan level aksesnya. (lampiran 22) Aplikasi memiliki management user.
W-I-PB-02
12 Dapatkan
informasi tentang adanya kebijakan yang mengatur umur password. Admin SIKASA UKSW
Tidak ada kebijakan yang mengatur umur password.
W-I-PB-03
13 Jika ya, apakah apalikasi SIKASA menampilan pesan jika password tersebut telah berakhir (expired?) Admin SIKASA UKSW
Tidak ada kebijakan yang mengatur umur password.
46
Tabel 4.1 Pengujian Program Audit atas Pengendalian Batasan (lanjutan)
No.
Tahap Pengujian
Objek
Audit Keterangan
WP Ref. Pengendalian
Batasan 14 Apakah ada
kebijakan yang mengatur kriteria password? Admin SIKASA UKSW
Tidak ada kebijakan yang mengatur kriteria password.
W-I-PB-05
15 Dapatkan informasi apabila user lupa username dan password. Admin SIKASA UKSW
Karena yang bisa mereset administrator, user biasanya langsung ke administrator. Biasanya untuk yang sudah bisa dijalankan lewat sistem, itu dilakukan di Bag. Akuntansi mereka yang mereset passwordnya. Karena mereka (Bag. Akuntansi) levelnya sejajar dengan admin. Untuk user yang pindah unit atau ganti orang penggantian password tidak bisa lewat sistem (harus hard coding).
W-I-PB-06
16 Lakukan
pengecekan apakah sistem aplikasi jelas ruang lingkupnya (apa dokumen inputnya, dari mana sumbernya, tujuan pengolahan data, siapa para penggunanya dan siapa pemegan kewenangan)? Aplikasi SIKASA UKSW
Sistem aplikasi telah sesuai dengan standart operation prosedure (SOP) yang telah ditetapkan.
O-I-PB-09
17 Apakah terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama menggunakan aplikasi. Aplikasi SIKASA UKSW
Setiap pengguna yang masuk ke dalam aplikasi SIKASA
mempunyai sesi yang jika tidak digunakan selama 10 menit, maka sesi tersebut akan habis, sehingga pengguna harus melakukan login lagi.
O-I-PB-07
18 Apakah ada kebijakan yang mengatur jam akses untuk SIKASA? Admin SIKASA UKSW
Tidak. Untuk jam akses SIKASA tidak ada pembatasan waktu. Tetapi untuk waktu operasionalnya biasanya jam 8 sampai jam 4 sore. Selama masih intranet SIKASA bisa dilakukan kapan saja. Pada saat lembur, jadi kita tidak mungkin membatasi akses.
47 Berdasarkan tabel pengujian program audit atas pengendalian batasan, pada umumnya sudah memenuhi kriteria standar seperti terdapat tingkat pengaksesan user sesuai level yang dimiliki.
4.4.2. Pengujian Program Audit atas Pengendalian Masukan
Pengendalian masukan (input) ini dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan dengan kriteria standar yang ditetapkan seperti:
1. Terdapat kontrol terhadap dokumen sumber yang akan diinput (source document controls).
2. Terdapat otoritas bagi pihak yang melakukan delete atau update (validation controls).
3. Terdapat pesan error apabila salah melakukan input data (input error corection).
4. Fasilitas menu yang disajikan memenuhi kebutuhan user.
Adapun hasil pengujian pengendalian masukan terdapat pada tabel dibawah ini.
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan
1 Apakah ada
pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporannya?
Ka bag. Akuntansi
Tidak. Karena user yang terkait punya wewenang untuk
menginput data dan mengeluarkan laporan.
48
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan 2 Dapatkan informasi
apakah create, read, update dan delete terhadap data dan transaksi hanya dapat dilakukan oleh user tentu yang diberi otoritas.
Admin SIKASA UKSW
Ada beberapa tingkatan. Misalnya untuk master data, create, read, update dan delete (CRUD) hanya bisa dilakukan oleh admin. Untuk transaksi, tergantung dengan proses transaksinya.
W-I-PM-07
3 Dapatkan informasi apakah kesalahan tentang data dan transaksi yang telah terlanjur diinput dan disave dapat di edit atau didelete oleh orang yang menginput?
Admin SIKASA UKSW
Jika transaksi sudah fix yang bisa menghapus hanya administrator, dari operator sudah tidak bisa menghapus. Untuk mengubah atau mengedit dari bagian akuntansi itu bisa, namun harus melihat perlakuan harus melihat kasus. Apakah transaksi ini harus di hapus dan dibuat transaksi baru atau cuma dirubah.
W-I-PM-08
4 Apakah terdapat menu konfirmasi terhadap data sebelum disimpan? Admin SIKASA UKSW
Konfirmasinya ada. Jadi ketika data akan diproses sistem akan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau
dikembalikan ke awal.
W-I-PM-09
5 Lakukan
pengecekan terhadap
penggunaan bahasa pada layar Sistem Aplikasi.
Aplikasi SIKASA UKSW
Sistem Aplikasi menggunakan bahasa yang mudah dimengerti. Secara keseluruhan bahasa yang digunakan sistem adalah bahasa indonesia. Namun ada beberapa bahasa asing yang digunakan seperti : username, password dan login.
O-I-PM-09
6 Lakukan
pengecekan, apakah terdapat pesan kesalahan (error message) pada sistem aplikasi sewaktu terjadi kesalahan penginputan? Aplikasi SIKASA UKSW
Ada. Jika nilai debit/kredit tidak balance sistem akan
menampilkan konfirmasi “Jumlah = Tidak Seimbang”. (lampiran 21)
49
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan
7 Lakukan
pengecekan mengenai tombol perintah save, delete, dan cancel pada tampilan.
Aplikasi SIKASA UKSW
Ketika user akan menginput transaksi, terdapat beberapa tombol perintah seperti : - tombol ubah untuk mengubah debit/kredit atau nama dan keterangan,
- tombol hapus untuk menghapus transaksi,
- tombol cetak untuk mencetak transaksi,
- tombol proses untuk memproses transaksi. (lampiran 21)
Penggunaan icon (button) dan warna sudah userfriendly.
O-I-PM-14
8 Dapatkan informasi tentang fasilitas peringatan dari Sistem Aplikasi jika data belum di back-up maka prosesnya tidak dapat
dilanjutkan.
Admin SIKASA UKSW
Proses back-up secara otomatis (online). Sistem hanya akan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau
dikembalikan ke awal.
W-I-PM-10
9 Lakukan
pengecekan apakah petugas entri data selalu
membubuhkan tanda check ( √ ) setelah dokumen selesai di input.
Dokumen Input
Terdapat tanda check setelah Dokumenselesai diinput.
O-II-PM-01
10 Lakukan tinjauan apakah fasilitas menu pada sistem aplikasi telah memenuhi kebutuhan user. Aplikasi SIKASA UKSW
Secara keseluruhan fasilitas menu pada sistem aplikasi telah memenuhi kebutuhan user. Aplikasi SIKASA dilengkapi dengan tools kecil tambahan untuk mempermudah penggunaan SIKASA.
O-I-PM-12
11 Lakukan
pengecekan apakah dokumen sumber telah memiliki nomor urut. Dokumen Input
Dokumen sudah memiliki nomor urut. (lampiran 31 dan lampiran 32)
50
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan
12 Lakukan
pengecekan apakah nomor urut di dokumen sumber telah tercetak secara otomatis.
Dokumen Input
Dokumen sumber telah tercetak secara otomatis dari aplikasi. (lampiran 31 dan lampiran 32)
O-II-PM-03
13 Apakah
penyimpanan atau pengarsipan terhadap dokumen sumber yang telah digunakan?
Ka bag. Akuntansi
Dokumen diarsip berdasarkan periode dan jenis dokumen.
W-II-PM-06
14 Lakukan
pengecekan apakah terdapat petugas yang melakukan pengawasan
terhadap keakuratan input data dengan data pada dokumen sumber?
Dokumen Input
Dari penelahan dokumen SPRA, terdapat kolom otorisasi yang disi petugas sebagai pengawasan terhadap akurasi perhitungan, kelengkapan dan keabsahan bukti transaksi telah diperiksa.
O-II-PM-04
15 Apakah terdapat prosedur
persetujuan
penginputan data ke dalam sistem aplikasi?
Ka bag. Akuntansi
Ya. Sebelum dokumen diinput ada persetujuan dari kabag Akuntansi atau keuangan.
W-II-PM-04
16 Lakukan
pengecekan apakah data yang diisikan pada filed sesuai dengan ketentuan jenis tipe datanya (numeric/alfabetic)?
Aplikasi SIKASA UKSW
Ya. Untuk pengisian debit/kredit hanya bisa menggunakan numeric.
O-I-PM-13
17 Lakukan
pengecekan apakah terdapat transaction log dalam aplikasi?
Aplikasi SIKASA UKSW
Ya. Terdapat transaction log dalam aplikasi yang bisa disearch dan disort berdasarkan waktu, sub-unit, username, level, komputer, aksi dan perintah SQL. (lampiran 23)
51
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan
18 Lakukan
pengecekan apakah terdapat help facilities dalam aplikasi. Admin SIKASA UKSW
Ada. Ada juga buku panduan, namun masih versi yang lama (belum update).
W-I-PM-11
19 Apakah metode
input data ke dalam database dengan menggunakan realtime processing? Admin SIKASA UKSW
Ya.Input data ke dalam database dengan menggunakan realtime processing supaya data dapat diupdate terus.
W-I-PM-12
20 Lakukan
pengecekan apakah terdapat perubahan warna pada interface, jika terjadi kesalahan penginputan. Aplikasi SIKASA UKSW
Ya. Misalnya ketika jumlah transaksi tidak seimbang maka, warna font akan berwarna merah. Sebaliknya jika jumlah transaki seimbang maka warna font akan berwarna hijau. (lampiran 21 dan lampiran 22)
O-I-PM-16
21 Lakukan
pengecekan apakah waktu respon di setiap penginputan data di dalam sistem aplikasi cepat?
Aplikasi SIKASA UKSW
Ya. Komputer didukung memori yang besar (client).
52
Tabel 4.2 Pengujian Program Audit atas Pengendalian Masukan (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Masukan 22 Dapatkan informasi
tentang prosedur persetujuan penginputan data.
Ka bag. Akuntansi
Kita ada pengeluaran dan penerimaan. Untuk pengeluaran itu unit yang input sampai uang cair. Kemudian ada jurnal penerimaan untuk saat ini yang menginput akuntansi. Ada lagi jurnal memorial, jurnal penyesuaian, koreksi, transfer payment antar unit. Ada jurnal yang sudah ada di SIASAT yang otomatis link.
Untuk prosedur unit nanti minta Surat Realisasi Anggaran berdasarkan dari rapat-rapat atas nama siapa kemudian diprint, proses, kemudian muncul printoutnya. Setelah itu
menyiapkan tanda tangan sesuai level-levelnya sampai ke keuangan. Jika sudah komplit kemudian keuangan merilis otorisator terakhir dari kas, visa atau bank.
W-II-PM-05
Berdasarkan tabel pengujian program audit atas pengendalian masukan, pada umumnya sudah memenuhi kriteria standar seperti terdapat kontrol terhadap dokumen sumber yang akan diinput, terdapat otoritas bagi pihak yang melakukan delete atau update, terdapat pesan error apabila salah melakukan input data, fasilitas menu yang disajikan memenuhi kebutuhan user.
4.4.3. Pengujian Program Audit atas Pengendalian Proses
53 1. Pengolahan data tidak dapat dilakukan dengan cara ilegal.
2. Sistem harus mencegah atau mendeteksi kehilangan data dan data yang tidak valid selama proses dilakukan (error detection and corection). 3. Kesalahan yang dilakukan selama pemrosesan harus dapat segera
diperbaiki.
4. Setiap proses yang dilakukan harus terekam ke dalam database.
[image:35.595.103.516.106.775.2]Adapun hasil pengujian pengendalian proses terdapat pada tabel dibawah ini.
Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Proses
1 Lakukan
pengecekan apakah data dapat diproses dengan tidak benar.
Aplikasi SIKASA UKSW
Tidak. Sistem akan memberikan konfirmasi terhadap kesalahan. (lampiran 21)
O-I-PP-18
2 Lakukan
pengecekan apakah data dapat
ditambahkan, dihapus, dicopy, dihilangkan atau diubah dengan cara yang ilegal.
Aplikasi SIKASA UKSW
Tidak. Masing-masing user sudah ada levelnya.
O-I-PP-19
3 Lakukan
pengecekan apakah sistem dapat mencegah atau mendeteksi data masukan yang tidak valid.
Aplikasi SIKASA UKSW
Ya. Dengan manajemen user dan terdapat message pada interface aplikasi jika data masukan tidak valid.
O-I-PP-19
4 Dapatkan informasi apakah sistem mampu mencegah atau mendeteksi kehilangan data selama pemrosesan. Admin SIKASA UKSW
Ya. Sistemnya dengan rollback dan flag. Misalnya tiba-tiba mati lampu dan hidup kembali sistem akan menampilkan kondisi dimana user terakhir melakukan input.
54
Tabel 4.3 Pengujian Program Audit atas Pengendalian Proses (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Proses 5 Dapatkan informasi
apakah sistem mampu untuk mengecek keseluruhan pemrosesan. Admin SIKASA UKSW
Ya. Sistem memiliki dua log. Log server dan log program. Log program mencatat semua aksi yang dilakukan oleh user. Log server semua aksi secara keseluruhan.
W-I-PP-13
6 Lakukan
pengecekan apakah proses yang
dilakukan dapat terekam di dalam sistem aplikasi.
Aplikasi SIKASA UKSW
Ya. Terdapat menu daftar log untuk melihat historis dari pemrosesan transaksi.
O-I-PP-21
7 Lakukan
pengecekan apakah kesalahan dalam pemrosesan data dapat segera diperbaiki dalam waktu yang cepat.
Aplikasi SIKASA UKSW
Ya. Sistem aplikasi menggunakan realtime
processing, namun harus level admin.
O-I-PP-22
8 Dapatkan informasi apakah sudah terdapat prosedur audit trail pada sistem aplikasi?
Admin SIKASA UKSW
Audit trail dilakukan dari manajemen log.
W-I-PP-14
9 Apakah semua
output laporan keuangan diproses melalui aplikasi SIKASA? Manajer BAK
Tidak. Dari SIKASA nanti mengunduh neraca saldo kemudian digabungkan dengan beberapa laporan keuangan dari SIKASA yang lain. Saat ini masih manual menggunakan Ms. excel.
W-III-PP-01
55
4.4.4. Pengujian Program Audit atas Pengendalian Keluaran
Pengendalian keluaran ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu dengan kriteria standar yang ditetapkan seperti:
1. Hasil output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak yang berhak serta tepat waktu.
2. Terdapat prosedur permintaan laporan rutin atau permintaan laporan baru.
3. Terdapat control terhadap penghancuran laporan yang tidak dibutuhkan.
[image:37.595.103.514.215.712.2]Adapun hasil pengujian pengendalian keluaran terdapat pada tabel dibawah ini :
Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Keluaran 1 Dapatkan informasi
tentang sistem pengawasan terhadap catatan untuk setiap laporan yang terjadi.
Ka bag. Akuntansi
Laporan selesai itu finalisasi dari kita. Kita nanti juga di audit dari eksternal, kemungkinan ada koreksi atau kesalahan atau reklas, kemungkinan ada perbaikan. Kemudian kita cek kebenaranya, jika benar kita ngikut saldonya mereka. Dari kami (akuntansi) ada
pengecekan ulang (review manual).
56
Tabel 4.4 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Keluaran 2 Dapatkan informasi
apakah dilakukan pemeriksaan ulang setelah laporan tersebut dicetak. Ka bag. Akuntansi
Dari kami (akuntansi) ada pengecekan ulang (review manual). Kalo yang hard itu ada di akuntansi (arsip) dan untuk yang soft itu kita back up. Kita berkerjasama dengan BTSI itu setiap tahun di back up.
W-II-PK-08
3 Apakah sistem
aplikasi dapat menghasilkan laporan yang dibutuhkan. Ka bag. Akuntansi
Sejauh ini aplikasi menyediakan laporan keuangan sampai proses neraca saldo.
W-II-PK-09
4 Dapatkan informasi apakah laporan yang dihasilkan didistribusikan kepada pihak yang berkepentingan.
Manajer BAK
Ya. Pemimpin universitas, dan pihak-pihak lain seperti yayasan, auditor internal dan auditor external.
W-III-PK-03
5 Dapatkan informasi tentang prosedur permintaan laporan rutin atau laporan baru.
Manajer BAK
Karena sistem berdasarkan anggaran, masing-masing unit membuat anggaran setelah jadi unit akan membuat SPRA. Saat ini sistem (SIKASA) hanya sampai neraca saldo.
Dari neraca saldo dibuat manual dengan menggunakan excel. Karena sejak awal menggunakan SIKASA tahun 2006, dipisahkan menjadi dua yaitu operasional biasa (perkuliahan) dan SIKASA B untuk yang proyek-proyek (hibah). Kedua jenis SIKASA tersebut tidak
terintegrasi. Jadi untuk membuat laporan yang komprehensif ada penggabungan, konsolidasi dan eliminasi dari beberapa jenis SIKASA dan saat ini masih dibuat manual.
57
Tabel 4.13 Pengujian Program Audit atas Pengendalian Keluaran (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Keluaran 6 Dapatkan informasi
apakah laporan didistribusikan secara tepat waktu dan tepat sasaran.
Ka bag. Akuntansi
Sebelumnya kita sudah ada perbaikan. Beberapa tahun yang lalu kita sampai mundur hampir setengah tahun lebih. Jadi kita terlambat. Tapi untuk tahun kemarin kita lebih baik. Tahun ini kita punya target agustus sudah selesai. Yah memang ada kelemahan-kelemahan dari semua sistem jadi kita terlambat (belum terintegrasi).
W-II-PK-11
7 Apakah laporan
keuangan yang masih softcopy dilengkapi dengan password? Ka bag. Akuntansi
Kita tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.
W-II-PK-11
8 Dapatkan laporan tentang laporan yang diarsip.
Ka bag. Akuntansi
Kita disediakan gudang. Tapi jika di tahun-tahun berjalan kita letakkan dikantor.
W-II-PK-12
9 Lakukan
pengecekan apakah arsip telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang mungkin terjadi.
Ka bag. Akuntansi
Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik.
O-I-PK-23
10 Dapatkan informasi tentang control terhadap penghancuran laporan yang sudah tidak dibutuhkan lagi dan batas waktu lamanya pengarsipan laporan.
Ka bag. Akuntansi
Untuk laporan keuangan kita tidak bagikan kesemua orang. Kita cuma pastikan laporan tersebut ke PR II, Manajer, Yayasan, dsb. Dan untuk kita sendiri, kita simpan jadi tidak mungkin laporan tersebut keluar. Laporan juga ada diSIKASA dan yang bisa melihat itu misalnya admin, yayasan, pimpinan bisa.
Kalo untuk laporan kita belum penghancuran, itu juga masih penting kecuali arsip-arsip kayak bukti-bukti penerimaan dari mahasiswa itu jika sudah setahun kita rajang (hancurkan).
58 Berdasarkan tabel pengujian program audit atas pengendalian keluaran, pada umumnya sudah memenuhi kriteria standar seperti terdapat hasil kontrol terhadap output yang akurat, lengkap, up to date, dan didistribuskan kepada pihak yang berhak serta tepat waktu, terdapat prosedur permintaan laporan rutin atau permintaan laporan baru, terdapat control terhadap penghancuran laporan yang tidak dibutuhkan.
4.4.5. Pengujian Program Audit atas Pengendalian Database
Pengendalian database ini didesain untuk menjaga akses ke dalam database dan menjaga integritas dari data tersebut dengan kriteria standar yang ditetapkan seperti:
1. Terdapat pemisahan tugas antara database administrator dan data administrator.
2. Terdapat pengendalian terhadap akses ilegal 3. Database memliki integrity constrains. 4. Terdapat file handling control.
5. Permintaan data harus dilakukan dengan mengisi job requets.
59
Tabel 4.5 Pengujian Program Audit Bukti Audit atas Pengendalian Database
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Database 1 Dapatkan informasi
mengenai file handling control.
Admin SIKASA UKSW
Ada back-up data. Namun model recovery belum tercluster. Ketika recovery terjadi fail (kegagalan) kita melakukan back-up namun belum otomatis. Sistem harus down dahulu lalu kita masukan lagi data-datanya.
W-I-PD-15
2 Dapatkan informasi apakah tugas Database Administrator dengan Data Administrator. Admin SIKASA UKSW
Ya. Saya sebagai database administrator dan bag. Akuntansi sebagai data administrator.
W-I- PD-16
3 Dapatkan informasi tentang pengendalian terhadap akses ilegal. Admin SIKASA UKSW
Sistem database dilengkapi login.
W-I- PD-17
4 Dapatkan informasi mengenai
pengendalian terhadap batasan sistem hak akses.
Admin SIKASA UKSW
Security acces dengan single user login.
W-I- PD-18
5 Dapatkan informasi mengenai jumlah preveleges atau hak akses untuk login database dibatasi.
Admin SIKASA UKSW
Banyak, setiap user PC yang terhubung dengan intranet UKSW. Tidak berdasarkan IP addres.
W-I- PD-19
6 Dapatkan informasi mengenai
permintaan data.
Admin SIKASA UKSW
Biasanya dari pihak PR II atau dari Kabag. Akuntansi yang langsung datang meminta data.
W-I-PKE-20
7 Dapatkan informasi apakah sistem manajemen database tekah melaksanakan integrity constraints pada sistem database. Admin SIKASA UKSW
Ya. Sebagian besar sudah. Karena masing-masing item ada relasi dengan data yang lain.
60
Tabel 4.5 Pengujian Program Audit atas Pengendalian Database (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Database 9 Dapatkan informasi
mengenai ketentuan siapa saja yang boleh melakukan permintan data.
Admin SIKASA UKSW
Auditor, Akuntansi dan PR II. W-I- PD-23
10 Dapatkan informasi apakah sudah terdapat langkah backup data secara rutin.
Admin SIKASA UKSW
Ya. Untuk backup datanya dilakukan harian tengah hari dan malam. Untuk masa
penyimpanannya setahun. Data yang sudah lebih dari satu tahun akan segera dihapus oleh server, namun kita harus tarik data sebelum dihapus dan di backup lagi ditempat lain (storage backup).
W-I- PD-24
11 Lakukan
pengecekan apakah file backup telah disimpan ditempat yang aman dari semua resiko atau semua kejadian yang mungkin terjd.
Ka. Bag. Teknologi Informasi
Database dan file backup disimpan di ruang server bersama server aplikasi yang lain. Ruangan server dilengkapi dengan pendingin (AC). Peletakan server SIKASA berada dibagian bawah rak dan diganjal dengan kerdus.
O-III- PD-01
Berdasarkan tabel pengujian program audit atas pengendalian database, pada umumnya sudah memenuhi kriteria standar seperti terdapat pemisahan tugas antara database administrator dan data administrator, terdapat pengendalian terhadap akses ilegal, database memliki integrity constrains, dan terdapat file handling control.
61 1. Menggunakan media transmisi, commucation line, arsitektur
komunikasi, dan topologi.
2. Harus terdapat line error controls.
[image:43.595.99.517.200.680.2]Adapun hasil pengujian pengendalian komunikasi aplikasi terdapat pada tabel dibawah ini.
Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi
No.
Tahap Pengujian
Objek
Audit Keterangan
WP Ref. Pengendalian
Komunikasi Aplikasi 1 Dapatkan informasi
mengenai hardware dan software yang dapat mendukung transmisi atau saluran link.
Ka. Bag. Teknologi Informasi
Untuk hardware banyak sekali. Kita tidak punya datanya. Kalo untuk Server yang digunakan masih agak lama yaitu Core 2 duo, memori hanya 2 Giga, Hardisknya 500 Giga. Untuk Lan Card menggunakan Gigabyte. Workgroup tidak memakai. Platform yang dipakai Linux, jadi open source
kemudian menggunakan PHP, databasenya menggukan PostgreSql. Untuk router menggunakan Mikrotik, untuk swich ada banyak. Setiap unit terdapat swicth masing-masing, karena kita menggunakan multi domain.
Software yang dibutuhkan browser dan acrobat reader.
W-IV-PKA-01
2 Dapatkan informasi tentang media-media transmisi yang digunakan pada sistem aplikasi.
Ka. Bag. Teknologi Informasi
UTP dan fiber optic.
62
Tabel 4.6 Pengujian Program Audit atas Pengendalian Komunikasi Aplikasi (lanjutan)
No.
Tahap
Pengujian Objek
Audit Keterangan
WP Ref. Pengendalian
Komunikasi 3 Dapatkan informasi
tentang communication line pada jaringan (private atau public) yang digunakan aplikasi. Ka. Bag. Teknologi Informasi
Private communication line. Karena sistem aplikasi hanya digunakan untuk kegiatan internal kampus.
W-IV-PKA-03
4 Dapatkan informasi tentang error detection dan error correction pada communication line. Ka. Bag. Teknologi Informasi Dengan menggunakan
monitoring (system monitoring on-line). (lampiran 25, 26, 27)
W-IV-PKA-04
5 Dapatkan informasi tentang topologi jaringan pada sistem aplikasi. Ka. Bag. Teknologi Informasi
Pada tingkat keseluruhan jaringan terdapat bermacam-macam (gabungan) topologi jaringan seperti topologi Star, dan Ring. Jaringan dibangun dengan sistem mesh network.
W-IV-PKA-05
6 Dapatkan informasi mengenai jenis arsitektur komunikasi yang digunakan oleh sistem aplikasi. Ka. Bag. Teknologi Informasi
Menggunakan TCP/IP
W-IV-PKA-06
Berdasarkan tabel pengujian program audit atas pengendalian database, pada umumnya sudah memenuhi kriteria standar seperti terdapat line error controls.
4.5. Evaluasi Temuan Pengendalian Aplikasi
4.5.1. Evaluasi Temuan Pengendalian Batasan
63
Tabel 4.7 Evaluasi Temuan Pengendalian Batasan
No. Temuan
Positif Negatif
1 Aplikasi yang terkait dengan sistem informasi keuangan dan akuntansi dilengkapi dengan login akses berupa sub-unit, username dan password.
Tidak ada format khusus terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau
gabungan antara angka dengan huruf (parameter password).
2 Password pada SIKASA diblok dengan
spot hitam/tidak terlihat (invisible).
Tidak ada kebijakan mengenai umur password (automatically expired password).
3 Tidak ada kebijakan untuk membatasi ukuran filed (panjang maksimal) terhadap login akses (username dan password)
Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses.
4 Aplikasi SIKASA akan menampilan
pesan jika verifikasi login tidak valid.
Tidak ada kebijakan pembatasan waktu jam akses SIKASA.
5 Aplikasi SIKASA hanya dapat diakses oleh orang-orang yang terotorisasi (sub-unit).
6 Login akses pada sistem aplikasi seperti password sudah diencryption.
7 Batasan-batasan terhadap kewenangan user dalam mengakses aplikasi dilakukan dengan menangement user dan login akses.
8 Terdapat kick off user bila tidak terjadi kegiatan (aktivitas) selama
menggunakan aplikasi.
9 Ya. Setiap karyawan yang berhubungan dengan SIKASA UKSW telah diberi username masing-masing.
Berdasarkan hasil temuan pengendalian batasan yang dilakukan, diperoleh 9 temuan positif dan 4 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.5.2. Evaluasi Temuan atas Pengendalian Masukan
64
Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan
No. Temuan
Positif Negatif
1 Tidak terdapat pemisahan tugas antara pihak yang melakukan input data dengan yang mengeluarkan output laporan keuangan.
Terdapat buku panduan, namun masih versi yang lama (belum update).
2 Hapus, edit hanya dapat dilakukan oleh user tertentu yang diberi otoritas. 3 Terdapat terdapat menu konfirmasi
terhadap data sebelum disimpan (proses).
4 Penggunaan bahasa dan tampilan layar untuk input data sudah baik, jelas, dan mudah dimengerti serta tampilan warna layar didesain agar mata tidak cepat lelah dan dapat mengurangi kesalah penginputan. 5 Ketika user melakukan kesalahan input, aplikasi menampilan pesan kesalahan (message error).
6 Terdapat tombol ubah, hapus, proses dan cetak pada layar aplikasi. 7 Proses back-up secara otomatis
(on-line realtime)
8 Terdapat konfirmasi ketika data akan diproses sistem dengan memunculkan dialog untuk mengkonfirmasi apakah proses ini akan dilajutkan atau dikembalikan ke awal.
9 Aplikasi SIKASA dilengkapi dengan tools kecil tambahan untuk
mempermudah penggunaan SIKASA 10 Dokumen sudah memiliki nomor urut. 11 Dokumen sumber telah tercetak
secara otomatis dari aplikasi.
12 Dokumen diarsip berdasarkan periode dan jenis dokumen.
13 Terdapat petugas yang melakukan pengawasan terhadap keakuratan data terhadap dokumen sumber.
14 Terdapat persetujuan penginputan data ke dalam sistem aplikasi. 15 Terdapat transaction log dalam
aplikasi yang bisa disearch dan disort berdasarkan waktu, sub-unit,
65
Tabel 4.8 Evaluasi Temuan atas Pengendalian Masukan (lanjutan)
No. Temuan
Positif Negatif
16 Terdapat help facilities dalam aplikasi.
17 Terdapat perubahan warna pada interface, jika terjadi kesalahan penginputan data.
18 Penggunaan filed sesuai dengan ketentuan jenis tipe datanya (numeric/alfabetic)?
19 Input data ke dalam database dengan menggunakan realtime processing 20 Waktu respon di setiap penginputan
data di dalam sistem aplikasi cepat.
Berdasarkan hasil temuan pengendalian masukan yang dilakukan, diperoleh 20 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.5.3. Evaluasi Temuan atas Pengendalian Proses
Adapun temuan audit yang dihasilkan dari pengendalian proses yaitu : Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses
No. Temuan
Positif Negatif
1 Sistem akan memberikan konfirmasi ketika data dapat dengan tidak benar.
Pemrosesan penyusunan laporan keuangan yang komprehensif masih manual dengan menggunakan Ms. excel.
2 Data tidak dapat ditambahkan, dihapus, dicopy, dihilangkan atau diubah dengan cara yang ilegal, karena ada masing-masing user ada levelnya.
66
Tabel 4.9 Evaluasi Temuan atas Pengendalian Proses (lanjutan)
No. Temuan
Positif Negatif
4 Terdapat sistem roolback dan flag terhadap data selama pemrosesan untuk mencegah kehilangan data. 5 Terdapat manajemen log server dan
log aplikasi.
6 Terdapat menu daftar log agar proses yang dilakukan dapat terekam di dalam sistem aplikasi
7 Audit trail dilakukan dari manajemen log.
Berdasarkan hasil temuan pengendalian proses yang dilakukan, diperoleh 7 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.5.4. Evaluasi Temuan atas Pengendalian Keluaran
Adapun temuan audit yang dihasilkan dari pengendalian keluaran yaitu : Tabel 4.10 Evaluasi Temuan atas Pengendalian Keluaran
No. Temuan
Positif Negatif
1
Terdapat pengawasan terhadap catatan untuk setiap laporan yang terjadi.
Terdapat penumpukan dokumen arsip dikantor dan arsip di gudang tidak tertata dengan baik.
2 Sebelum catatan atau
dibagikan/disimpan ada pengecekan ulang terhadap dokumen secara manual.
Tidak ada penggunaan password pada dokumen laporan keuangan yang masih softcopy.
3 Sistem aplikasi menyediakan laporan keuangan sampai proses neraca saldo. 4 Laporan yang dihasilkan didistribusikan
kepada pihak yang berkepentingan. 5 Terdapat tempat khusus untuk
menyimpan arsip-arsip.
67 Berdasarkan hasil temuan pengendalian keluaran yang dilakukan, diperoleh 6 temuan positif dan 2 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.5.5. Evaluasi Temuan atas Pengendalian Database
[image:49.595.101.505.204.693.2]Adapun temuan audit yang dihasilkan dari pengendalian database yaitu : Tabel 4.11 Evaluasi Temuan atas Pengendalian Database
No. Temuan
Positif Negatif
1 Terdapat back-up planing untuk file handling controls.
Model back-up planing belum tercluster (mirror).
2 Terdapat pemisahan antara fungsi database administrator dan data administrator.
Tidak terdapat job request untuk meminta data.
3 Terdapat pengendalian akses data ilegal.
Peletakan server SIKASA berada di bagian bawah rak dan diganjal dengan kerdus.
4 Terdapat pengendalian terhadap batasan sistem hak akses agar tidak terjadi penyalahgunaan database yaitu dengan security akses (single user login.)
5 Hak akses untuk login database dibatasi dengan single user login. 6 Sistem manajemen database telah melaksanakan integrity constrains pada sistem database untuk
meningkatkan keakuratan, keunikan dan kelengkapan data.
7 Privasi data dapat terjaga dengan baik selama proses backup dan pemulihan dilakukan dengan single user (admin) ke data back-upnya.
8 Terdapat kebijkan mengenai waktu backup dan masa penyimpanan
68 diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.5.6. Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi
[image:50.595.100.512.215.567.2]Adapun temuan audit yang dihasilkan dari pengendalian komunikasi aplikasi yaitu:
Tabel 4.12 Evaluasi Temuan atas Pengendalian Komunikasi Aplikasi
No. Temuan
Positif Negatif
1 Sistem aplikasi hanya digunakan untuk kegiatan internal kampus (private communication line)
Tidak ada dokumentasi hardware dan software yang dapat mendukung transmisi atau saluran link. 2 Error detection dan error correction
pada communication line dilakukan dengan system monitoring on-line. 3 Jaringan dibangun dengan sistem
mesh network.
Berdasarkan hasil temuan pengendalian komunikasi aplikasi yang dilakukan, diperoleh 3 temuan positif dan 1 temuan negatif. Temuan negatif tersebut akan diukur dengan menggunakan level penilaian resiko untuk mengetahui seberapa besar pengaruh kemungkinan terjadinya ancaman (threat likelihood) terhadap akibat yang ditimbulkan (impact).
4.6. Penilaian Resiko atas Pengendalian Aplikasi
4.6.1. Penilaian Resiko atas Pengendalian Batasan
69
Tabel 4.13 Penilaian Resiko atas Pengendalian Batasan
No. Temuan Likelihood
(L)
Impact (I)
Bobot Nilai (L x I)
Level Resiko 1 Tidak ada format khusus
terhadap password yang akan dimasukkan, yaitu dapat berupa angka, huruf, atau gabungan antara angka dengan huruf (parameter password).
0,5 50 25 M
2 Tidak ada kebijakan mengenai umur password (automatically expired password).
0,5 50 25 M
3 Sistem aplikasi tidak dapat memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi) bila terjadi beberapa kali kegagalan login akses.
0,1 10 1 L
4 Tidak ada kebijakan pembatasan
waktu jam akses SIKASA. 0,5 50 25 M
Hasil (Jumlah Nilai : Jumlah Pertanyaan) 76 : 4 = 19
M
Berdasarkan penilaian resiko yang telah dilakukan, diperoleh penilaian dengan hasil 19 yang menurut risk scale termasuk ketegori Medium (beresiko sedang). Dari penilaian ini dapat disimpulkan bahwa pengendalian batasan Sistem Informasi Keuangan dan Akuntansi UKSW adalah cukup baik. Artinya, terdapat pengendalian yang cukup baik ketika terjadi ancaman sehingga dampak yang ditimbulkan tidak terlalu menghambat kinerja universitas.
4.6.2. Penilaian Resiko atas Pengendalian Masukan
70
Tabel 4.14 Penilaian Resiko atas Pengendalian Masukan
No. Temuan Likelihood
(L)
