BAB 4 AUDIT SISTEM INFORMASI TERHADAP APLIKASI …thesis.binus.ac.id/doc/Bab4/2006-2-00829-KA Bab...

77

BAB 4

AUDIT SISTEM INFORMASI TERHADAP APLIKASI

PEMBELIAN OBAT-OBATAN

4.1 Rencana Audit

Sebelum dilakukannya audit, terlebih dahulu dibuat suatu perencanaan audit.

Dalam perencanaan audit, akan dilakukan pencarian informasi mengenai latar belakang

perusahaan, informasi-informasi yang berkaitan dengan pengendalian manajemen

(pengendalian umum) dan pengendalian aplikasi, ruang lingkup dan sasaran audit,

instrumen-instrumen penelitian yang akan digunakan selama proses audit berjalan,

tujuan dari pelaksanaan audit dan pengamatan di perusahaan yang bersangkutan.

Adapun rencana-rencana audit yang dipersiapkan adalah sebagai berikut :

1. Persiapan Audit

Mencari informasi mengenai latar belakang perusahaan, prosedur sistem informasi

pembelian perusahaan, membaca literature dan mencari informasi mengenai sistem

informasi pembelian dan hal-hal yang berkaitan dengan audit sistem informasi

pembelian.

2. Penetapan Sasaran dan Ruang Lingkup Audit

Sasaran yang hendak dicapai dengan dilakukannya audit terhadap RSU Mary

Cileungsi Hijau adalah untuk mengumpulkan bukti-bukti yang relevan terhadap

proses audit sistem informasi pembelian dalam kaitannya dengan :

Untuk memahami sistem informasi pembelian yang sedang berjalan.

78

Memastikan pengendalian keamanan, komunikasi, boundary, input, dan output

dari sistem yang berjalan telah memadai.

Merekomendasikan usulan perbaikan jika terdapat kelemahan-kelemahan yang

ada pada aplikasi pembelian Rumah Sakit Umum Mary Cileungsi Hijau.

Perlindungan terhadap aset sistem informasi.

Ruang lingkup dibatasi pada audit sistem informasi terhadap aplikasi pembelian

obat-obatan RSU Mary Cileungsi yang mencakup evaluasi pengendalian umum yaitu

pengendalian keamanan dan pengendalian aplikasi yang ditekankan pada

pengendalian input, output, boundary, serta pengendalian komunikasi. Pelaksanaan

audit dilakukan dengan menggunakan metode Audit Around the Computer.

3. Prosedur Audit yang Dilakukan

Pengendalian Keamanan

Mengetahui ancaman-ancaman yang mungkin terjadi terhadap sistem

informasi pembelian yang ada di RSU Mary Cileungsi Hijau.

Mendapatkan informasi mengenai pengendalian keamanan yang telah

diterapkan.

Mencari tahu apakah prosedur pada pengendalian keamanan yang telah

ditetapkan telah dijalankan dengan baik.

Melakukan observasi secara langsung untuk mengetahui penerapan

pengendalian keamanan.

Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif

yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,

resiko menengah, resiko tinggi.

79

Pengendalian Input

Mendapatkan informasi mengenai prosedur pengendalian input yang

ditetapkan.

Mencari tahu apakah prosedur pada pengendalian input yang telah ditetapkan

telah dijalankan dengan baik.

Mendapatkan informasi mengenai metode input yang digunakan.

Mendapatkan informasi mengenai rancangan tampilan input data.

Mendapatkan informasi mengenai otorisasi transaksi pada dokumen sumber.

Melakukan uji penggunaan terhadap sistem aplikasi pembelian untuk

mengetahui seberapa baik pengendalian input pada sistem tersebut.


pengendalian input.




Pengendalian Output

Mendapatkan informasi mengenai prosedur pengendalian output yang

ditetapkan.

Mencari tahu apakah prosedur pada pengendalian output yang ditetapkan

telah dijalankan dengan baik.

Mendapatkan informasi mengenai laporan-laporan yang berkaitan dengan

pembelian yang dikeluarkan.

Mendapatkan informasi mengenai otorisasi terhadap laporan yang berkaitan

dengan pembelian yang dikeluarkan.

80

Mendapatkan informasi mengenai pengendalian pada prosedur distribusi

laporan yang berkaitan dengan pembelian.


mengetahui seberapa baik pengendalian output pada sistem tersebut.


pengendalian output.




Pengendalian Boundary

Mendapatkan informasi mengenai prosedur pengendalian boundary yang

ditetapkan.

Mencari tahu apakah setiap pengendalian boundary telah diterapkan dengan

baik.

Mendapatkan informasi mengenai metode akses yang digunakan.

Mendapatkan informasi mengenai level user dan batasan-batasan aksesnya.

Mendapatkan informasi mengenai hal-hal yang berhubungan dengan

password.


mengetahui seberapa baik pengendalian boundary pada sistem tersebut.




81

Pengendalian Komunikasi

Mendapatkan informasi mengenai prosedur pengendalian komunikasi yang

ditetapkan.

Mendapatkan informasi mengenai kendala-kendala yang sering terjadi

berkaitan dengan pengendalian komunikasi.

Mendapatkan informasi mengenai topologi jaringan yang digunakan.

Mendapatkan informasi mengenai jalur komunikasi yang digunakan.

Melakukan observasi pada secara langsung untuk mengetahui penerapan

pengendalian komunikasi.




4. Persiapan Penelitian Lapangan

Instrumen-instrumen penelitian yang akan digunakan pada audit sistem informasi

terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau adalah

observasi, uji penggunaan aplikasi, kuesioner, dan wawancara.

5. Pembuatan Laporan Audit

Berdasarkan bukti-bukti dan temuan-temuan audit yang didapat dan evaluasi yang

dilakukan maka akan dibuat laporan audit.

4.2 Pelaksanaan Audit

Instrumen-instrumen penelitian yang akan digunakan pada audit sistem

informasi terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau

82

adalah :

Observasi

Melakukan observasi (pengamatan) dengan cara mengunjungi RSU Mary Cileungsi

Hijau untuk memperoleh gambaran umum mengenai rumah sakit tersebut. Dalam

kunjungan yang dilakukan, dilakukan observasi (pengamatan) kegiatan-kegiatan apa

saja yang dilakukan dalam rumah sakit tersebut, keadaan yang ada dalam rumah

sakit, serta transaksi pembelian yang ada pada rumah sakit tersebut khususnya

bagian logistik untuk dapat mengetahui apakah semua pihak telah menjalankan tugas

dan tanggung jawab sesuai dengan yang sudah ditentukan. Selain itu, dalam

observasi juga dilihat mengenai keadaan yang ada di sekitar RSU Mary Cileungsi

Hijau.

Uji penggunaan aplikasi

Uji aplikasi merupakan suatu bentuk instrumen penelitian di mana dilakukan

pengujian secara langsung terhadap penggunaan aplikasi sistem yang bersangkutan,

dalam hal ini aplikasi pembelian RSU Mary Cileungsi Hijau. Uji penggunaan

aplikasi dilakukan untuk memperoleh pemahaman dan kepastian mengenai kerja

sistem secara nyata.

Kuesioner

Kuesioner berisi daftar-daftar pertanyaan yang akan ditanyakan kepada pihak yang

berwenang sehubungan dengan bidang masing-masing, dalam hal ini bagian logistik

dan bagian EDP. Kuesioner bertujuan untuk mendapatkan bukti kompeten dan

mendukung kesimpulan yang akan diambil. Adapun kuesioner yang disusun adalah :

1. Kuesioner pengendalian input.

2. Kuesioner pengendalian output.

83

Wawancara

Wawancara dilakukan dalam bentuk tanya jawab dengan pihak-pihak yang terkait

untuk mendapatkan informasi yang diperlukan serta berkaitan dengan pembelian.

Wawancara ini dilakukan dengan bagian EDP dan bagian logistik. Adapun

pertanyaan yang diajukan adalah prosedur dan tata laksana sistem informasi

pembelian untuk mendapatkan gambaran kegiatan yang terjadi setiap harinya. Hal

ini dilakukan untuk mendapatkan pemahaman apakah masing-masing pihak telah

menjalankan tugas dan tanggung jawab sesuai dengan yang diterimanya. Adapun

pertanyaan yang telah dipersiapkan dalam melakukan wawancara adalah sebagai

berikut :

Rancangan daftar pertanyaan wawancara untuk pengendalian keamanan :

− Apakah digunakan antivirus untuk melindungi sistem informasi?

− Jika menggunakan antivirus, apakah antivirus tersebut selalu di-update?

− Apakah selalu dilakukan scanning terhadap sistem?

− Apakah ada prosedur untuk mengantisipasi kerusakan / permasalahan terhadap

komputer (server, komputer terminal, dan komputer klien)?

− Apakah terdapat prosedur backup?

− Apakah terdapat alat-alat untuk melindungi aset sistem informasi secara fisik?

− Pengamanan apa saja yang dilakukan untuk menjaga ruang server dan ruang

EDP?

− Usaha apa saja yang dilakukan untuk mengantisipasi hacking pada sistem?

− Apakah dilakukan proses recovery terhadap sistem?

84

− Apakah terdapat alat yang digunakan untuk mengantisipasi agar sistem dapat

tetap berjalan jika terjadi pemadaman listrik?

− Apakah yang dilakukan oleh bagian logistik untuk mengantisipasi kejadian

pemadaman listrik?

− Apakah terdapat alat pemadam kebakaran pada ruang server dan ruang EDP?

Rancangan daftar pertanyaan wawancara untuk pengendalian input :

− Bagaimana sistem yang digunakan dalam pengkodean obat-obatan?

− Apakah setiap terjadi kesalahan input terdapat catatannya?

− Apakah sering terjadi kesalahan peng-input-an oleh staf pembelian?

− Bagaimana proses perbaikan kesalahan input pada data-data pembelian yang

telah di-submit?

− Pada saat obat-obatan yang dipesan tiba, siapa yang meng-input / menambah

data stok obat?

− Fitur-fitur apa saja yang ada dalam aplikasi input yang dirasa masih kurang

memadai pada bagian logistik?

Rancangan daftar pertanyaan wawancara untuk pengendalian output :

− Laporan apa sajakah yang berkaitan dengan pembelian yang dikeluarkan oleh

bagian logistik?

− Bagaimana prosedur pencetakan laporan yang berkaitan dengan pembelian?

− Bagian mana saja yang menerima laporan yang berkaitan dengan pembelian dari

bagian logistik?

− Kapan saja laporan-laporan yang berkaitan dengan pembelian akan dihasilkan?

85

− Apakah terdapat tanda tangan dan pencantuman nama dari supervisor dan

pembuat laporan yang berkaitan dengan pembelian pada laporan yang dibuat?

− Apakah terdapat prosedur tertentu pada saat pendistribusian obat-obatan?

− Apakah semua laporan yang berkaitan dengan pembelian yang dibuat telah

seluruhnya dihasilkan oleh program ICRAM?

− Fitur-fitur apa saja dalam aplikasi output yang dirasa masih kurang memadai

bagi bagian logistik?

Rancangan daftar pertanyaan wawancara untuk pengendalian boundary :

− Apakah dalam mengakses aplikasi pembelian perlu memasukkan user ID dan

password?

− Apakah ada minimum dan maksimum karakter untuk user ID dan password?

− Apakah user ID dan password memakai kombinasi angka dan huruf?

− Bagaimana user ID dan password diperoleh user?

− Bagaimana prosedur user dalam mengganti password?

− Apakah diharuskan mengganti password secara berkala?

− Apakah saat user memasukkan password, password tersebut disamarkan

(misalnya dalam bentuk bintang, bulatan atau pagar)?

− Apakah ada hal-hal khusus yang terjadi bila user salah dalam memasukkan user

ID dan password?

− Apakah ada fasilitas pengingat password ?

− Apakah terdapat pengendalian dalam pengaksesan yang berbeda antar tiap

bagian, misalnya ada user yang hanya dapat membaca saja atau bisa menambah

tetapi tidak bisa mengubah?

86

− Bagaimana prosedur dalam pengendalian boundary terhadap pengaksesan pada

aplikasi pembelian?

− Apakah kebijakan pengendalian boundary terhadap pengaksesan dilakukan

dengan cara :

a) Discretionary access control policies

b) Mandatory access control policies

− Apakah user perlu mendapat otorisasi / tindakan khusus terlebih dahulu bila

mengakses data yang khusus?

− Apakah prosedur dalam mengakses aplikasi sudah ditetapkan oleh manajemen

atau user dapat meminta hak akses terhadap aplikasi pembelian tersebut?

− Apakah diberlakukan pengendalian boundary dengan pengenkripsian data?

− Jika diberlakukan proses enkripsi data, pada saat kapan saja proses enkripsi

tersebut dilakukan?

− Apakah ada ketentuan dalam membuat enkripsi?

− Dalam membuat enkripsi, teknik apa yang digunakan?

− Apakah terdapat kesulitan dalam pengelolaan kunci cryptographic?

− Apakah mekanisme kontrol akses melakukan pembandingan antara level akses

user dengan identifikasi level dari sumber daya data yang diakses?

Rancangan daftar pertanyaan wawancara untuk pengendalian komunikasi :

− Apakah pernah terjadi masalah pada jaringan komunikasi / jalur komunikasi?

− Apakah pernah terjadi masalah pada perangkat keras komunikasi?

− Apakah pernah terjadi gangguan terhadap jaringan komunikasi yang diakibatkan

oleh penyusup atau orang yang tidak berhak?

87

− Komponen fisik apa saja yang dipakai pada jaringan komunikasi?

− Apa yang terjadi bila terjadi error saat pengiriman data?

− Topologi apa yang digunakan pada jaringan komunikasi lokal?

− Apakah terdapat pemakaian VPN (Virtual Private Network) untuk pengiriman

dan penerimaan data?

− Apakah melakukan enkripsi pada saat melakukan pengiriman data?

− Apakah yang terjadi pada data yang akan disimpan bila pada saat yang

bersamaan terjadi mati lampu?

Adapun pihak-pihak (auditee) yang berkaitan dengan audit sistem informasi

terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau adalah sebagai

berikut :

Bagian EDP,

Bagian Logistik (Supervisor), dan

Program ICRAM untuk aplikasi pembelian.

4.3 Evaluasi Pengendalian

4.3.1 Evaluasi Pengendalian Manajemen : Keamanan

4.3.1.1 Evaluasi Hasil Wawancara Pengendalian Keamanan

Temuan pada saat wawancara :

Sudah terdapat antivirus pada sistem, hanya saja pada saat sekarang ini update

antivirus tidak dilaksanakan karena adanya peralihan (transisi) dari sistem Windows

ke sistem Linux. Pada awalnya dilakukan scanning terhadap sistem, akan tetapi

88

karena update antivirus tidak dilaksanakan maka scanning pun otomatis tidak

dilakukan lagi.

Ada prosedur untuk mengantisipasi kerusakan / permasalahan terhadap komputer

(server, komputer terminal, dan komputer klien) dengan selalu menyiagakan staf

EDP untuk memperbaiki permasalahan dengan komputer, selain itu disediakan CPU

dan monitor cadangan khusus untuk mengantisipasi kerusakan pada komputer

terminal dan komputer klien.

Terdapat prosedur backup dilakukan hanya satu kali seminggu.

Tidak terdapat alat pendeteksi kebakaran pada ruang server program dan ruang EDP.

Terdapat empat server, yaitu :

o 2 server data : 1 server induk dan 1 server cadangan (untuk mirroring server).

o 2 server program : 1 server induk dan 1 server cadangan (untuk mirroring

server).

Bagian sarana memiliki kunci duplikat ruang server.

Tidak terdapat kamera pengawas pada ruang server.

Terdapat firewall berlapis untuk mengantisipasi kemungkinan hacking oleh pihak

yang tidak berkepentingan terhadap sistem.

Dilakukan proses recovery terhadap sistem bila terjadi gangguan seperti virus. Selain

itu juga dilakukan recovery data bila data yang disimpan ke server melalui komputer

klien mengalami gangguan seperti mati lampu dengan melakukan penyimpanan

ulang data, dimana data yang tidak secara penuh tersimpan ke server akan otomatis

tersimpan secara temporary ke dalam harddisk komputer klien sampai dilakukan

recovery maka data tersebut akan terhapus secara otomatis dari harddisk.

Terdapat UPS dan generator untuk antisipasi terjadinya mati lampu.

89

Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.

4.3.1.2 Evaluasi Hasil Observasi Pengendalian Keamanan

Temuan pada saat observasi :

Ruang server terletak di lantai 3.

Tidak terdapat alat pendeteksi kebakaran pada ruang server program dan ruang EDP.

Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.

Terdapat antivirus pada aplikasi pembelian tapi tidak dipergunakan.

Terdapat UPS dan generator.

Bagian sarana memiliki kunci duplikat untuk masuk ke ruang server.

Tidak terdapat kamera pengawas pada ruang server.

Terdapat monitor dan CPU cadangan di ruang EDP untuk mengantisipasi jika terjadi

kerusakan.

4.3.2 Evaluasi Pengendalian Aplikasi : Input

4.3.2.1 Evaluasi Hasil Kuesioner Pengendalian Input

Kuesioner untuk pengendalian input ini diberikan kepada delapan orang pada

bagian logistik. Berikut ini hasil kuesioner pengendalian input yang telah dikembalikan :

Tabel 1. Kuesioner Input

No. Pertanyaan Ya Tidak Keterangan

1. Apakah metode input data pembelian yang

digunakan untuk pengisian aplikasi

transaksi menggunakan :

a. Keyboard

√

90

b. Direct Reading (dengan OCR)

c. Direct Entry

8 orang

2. Apakah warna (colours) pada tampilan

layar tidak mengganggu pandangan pada

saat peng-input-an data pembelian?

√

8 orang

3. Apakah sistem aplikasi telah dilengkapi

dengan help facility untuk membantu user

dalam peng-input-an data pembelian?

√

6 orang

2 orang

4. Apakah tampilan input pembelian pada

layar (desain) baik, jelas, mudah dimengerti,

dan mudah digunakan oleh user?

√

8 orang

5. Apakah peng-input-an data pembelian dapat

dilakukan dengan mudah / tidak sulit?

√

8 orang

6. Apakah peng-input-an data pembelian

dilakukan setelah menerima permintaan

pembelian dari bagian lain?

√

8 orang

Proses

pembelian

dilakukan

oleh bagian

logistik

setelah

menerima

permintaan

pembelian

obat-obatan

(defecta

obat) dari

bagian

farmasi dan

91

apotek.

7. Apakah peng-input-an data pembelian

dilakukan oleh orang tertentu saja?

√

8 orang

8. Apakah terdapat peringatan jika user salah

dalam meng-input data pembelian?

√

8 orang

9. Apakah orang yang meng-input data

pembelian diketahui identitasnya?

√

8 orang

10. Apakah dokumen sumber yang akan di-

input ke dalam aplikasi pembelian

mendapatkan otorisasi terlebih dahulu?

√

6 orang

2 orang

Dokumen

sumber

harus

diotorisasi

oleh

supervisor

11. Apakah tanggal dilakukannya peng-input-an

data pembelian sesuai dengan tanggal pada

dokumen sumber input?

√

5 orang

3 orang

12. Apakah tanggal pada aplikasi input

pembelian sudah ada secara otomatis?

√

7 orang

1 orang

13. Apakah dokumen sumber untuk peng-input-

an pada bagian pembelian diberikan oleh

orang yang berhak / bertanggung jawab atas

hal tersebut ?

√

8 orang

14. Apakah selama ini tidak pernah terjadi

proses memanipulasi data pembelian oleh

orang yang tidak memiliki wewenang ?

√

8 orang

92

15. Apakah peng-update-an data pembelian

hanya dapat dilakukan oleh orang yang

berwenang ?

√

8 orang

16. Apakah detail dari setiap dokumen sumber,

di-input ke dalam aplikasi pembelian?

√

6 orang

2 orang

17. Apakah dokumentasi pembelian selama ini

telah terhindar dari proses kehilangan ?

√

7 orang

1 orang

18. Apakah terdapat backup terhadap data

untuk setiap dokumentasi pembelian yang

telah di-input ?

√

8 orang

19. Apakah jika ada peng-input-an data

pembelian yang salah tetapi telah di-submit

bisa langsung di-edit ?

√

8 orang

Peng-input-

an data

pembelian

yang salah

hanya bisa

di-edit oleh

user yang

meng-input

20. Apakah ada prosedur peng-input-an data

pembelian yang sudah ditetapkan oleh

manajemen ?

√

8 orang

21. Apakah aplikasi pembelian sudah menjawab

semua kebutuhan tentang peng-input-an

data pembelian pada bagian logistik ?

2 orang

√

6 orang

93

Temuan dari hasil kuesioner :

Metode peng-input-an data pembelian dilakukan dengan menggunakan keyboard.

Warna tampilan pada interface aplikasi pembelian tidak mengganggu pandangan

user dalam menggunakan aplikasi.

Sistem aplikasi pembelian telah dilengkapi dengan help facility.

Tampilan input pada interface aplikasi pembelian mudah dimengerti dan digunakan

oleh user dalam melakukan peng-input-an data.

Peng-input-an data pembelian dapat dilakukan dengan mudah oleh user.

Proses pembelian dilakukan oleh bagian logistik setelah menerima permintaan

pembelian obat-obatan (defecta obat) dari bagian farmasi dan apotek.

Peng-input-an data pembelian hanya dilakukan oleh orang tertentu saja (orang yang

berwenang).

Terdapat peringatan bila terjadi kesalahan dalam peng-input-an data pembelian oleh

user.

Orang yang melakukan peng-input-an data pembelian diketahui identitasnya.

Dokumen sumber untuk bagian pembelian yang akan di-input harus mendapat

otorisasi terlebih dahulu dari supervisor.

Tanggal dilakukan peng-input-an data pembelian sesuai dengan tanggal yang tertera

pada dokumen sumber.

Tanggal pada aplikasi pembelian saat melakukan peng-input-an sudah ada secara

otomatis.

Dokumen sumber untuk bagian pembelian diberikan oleh orang yang berhak /

bertanggung jawab.

94

Tidak pernah terjadi proses manipulasi data pembelian oleh orang yang tidak

memiliki wewenang.

Peng-update-an data pembelian hanya dapat dilakukan oleh orang yang berwenang.

Detail dari setiap dokumen sumber di-input ke dalam aplikasi pembelian.

Dokumentasi pembelian selama ini terhindar dari proses kehilangan.

Terdapat backup untuk setiap data pembelian yang telah di-input.

Peng-input-an data pembelian yang salah tetapi telah di-submit bisa langsung di-edit

hanya oleh user yang melakukan peng-input-an.

Terdapat prosedur peng-input-an data pembelian yang sudah ditetapkan oleh

manajemen.

Sistem aplikasi belum menjawab semua kebutuhan tentang peng-input-an data

pembelian pada bagian logistik seperti pembuatan laporan pembelian bulanan.

4.3.2.2 Evaluasi Hasil Wawancara Pengendalian Input


Sistem yang digunakan dalam pengkodean obat-obatan adalah serial codes.

Setiap kesalahan peng-input-an data pembelian yang membutuhkan perubahan pada

data yang telah di-submit akan dicatat dalam server.

Terjadi kesalahan peng-input-an pembelian yang disebabkan karena human error.

Data pembelian yang telah terlanjur di-submit hanya dapat diubah oleh pihak yang

bertanggungjawab dalam peng-input-an data pembelian tersebut.

Yang melakukan peng-input-an terhadap data stok obat bila obat-obatan datang ialah

bagian logistik yang bertugas dalam hal peng-update-an data obat.

95

Fitur yang dirasa masih kurang memadai pada bagian logistik adalah fitur laporan

pembelian bulanan.

4.3.2.3 Evaluasi Hasil Observasi Pengendalian Input


Warna pada tampilan layar input pembelian tidak mengganggu pandangan saat

melakukan peng-input-an data pembelian.

Peng-input-an data pembelian menggunakan keyboard.

Peng-input-an data pembelian dilakukan sesuai dengan dokumen sumber.

Pemberian kode obat-obatan menggunakan sistem serial codes.

Untuk meng-input data obat, cukup diketikkan beberapa huruf depan saja dan semua

data obat yang berkaitan dengan huruf tersebut akan ditampilkan.

Response time pada sistem aplikasi pembelian RSU Mary Cileungsi Hijau secara

keseluruhan telah baik, karena response time-nya sudah cepat.

Terdapat pembagian tugas pada bagian logistik.

Setiap kesalahan dalam peng-input-an dicatat pada server.

Terdapat help facility.

Tanggal pada peng-input-an data pembelian sesuai dengan tanggal pada dokumen

sumber.

96

4.3.2.4 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Input

Gambar 4.1 Layar Menu –menu Transaksi

Gambar 4.2 Layar Defecta

97

Gambar 4.3 Layar Defecta Invalid

Gambar 4.4 Layar Surat Pemesanan

98

Gambar 4.5 Layar Purchase Order

Gambar 4.6 Layar Surat Mutasi

User (bagian logistik) menggunakan aplikasi / program ICRAM untuk

memasukkan transaksi pembelian dengan langkah-langkah sebagai berikut :

99

Pada saat staf pembelian menerima Defecta Obat dari bagian farmasi atau bagian

apotek, staf pembelian akan membuka menu Defecta Obat (Gambar 4.2) pada

tampilan menu Transaksi (Gambar 4.1). Bila terdapat data yang salah, bagian

logistik tidak dapat meng-edit defecta tersebut. Defecta obat akan dikembalikan ke

bagian yang mengirim, kemudian akan diubah oleh orang yang melakukan input-an

tersebut. Setelah itu baru dikirim kembali ke bagian logistik.

Pada tampilan Defecta Obat, staf pembelian akan meng-input nomor defecta yang

sudah di-input oleh bagian yang meminta pembelian obat sesuai dengan Nomor

Defecta yang tertera pada dokumen Defecta Obat yang sudah diotorisasi oleh

supervisor dari bagian yang meminta tersebut pada bagian Nomor Defecta (Gambar

4.2). Input-an pada aplikasi pembelian mudah dilakukan.

Setelah Nomor Defecta didapatkan, maka data-data obat yang dipesan oleh bagian

yang memesan akan tampil tanpa perlu memasukkan Kode Supplier, karena aplikasi

pembelian ICRAM secara langsung memunculkan Kode Supplier berdasarkan obat

yang diminta (Gambar 4.2). Data obat yang dipesan yang telah ditampilkan pada

layar akan dicocokkan dengan dokumen / surat Defecta Obat yang telah diotorisasi

oleh bagian yang meminta. Jika Nomor Defecta yang dimasukkan tidak sesuai, maka

pada tampilan akan muncul suatu peringatan “Nomor Defecta Belum Terdaftar”

(Gambar 4.3).

Lalu staf pembelian akan membuka tampilan Surat Pesanan Obat dan Alkes untuk

melakukan pemesanan kepada supplier. Ketika tampilan surat pesanan dibuka maka

No Surat Pesanan dan Tanggal Pesan akan secara otomatis terisi. Staf pembelian

akan men-scroll down Kode Supplier dan secara otomatis detail obat yang dipesan

akan muncul ketika salah satu supplier tersebut dipilih (Gambar 4.4).

100

Ketika barang yang dipesan dari supplier sudah diterima oleh staf pembelian maka

staf pembelian akan membuat Purchase Order dengan terlebih dahulu membuka

menu Purchase Order. Pada pembuatan Purchase Order ini, staf pembelian akan

meng-input No Faktur. Nomor PO akan muncul secara otomatis setelah No Faktur

tersebut di-input. Lalu staf pembelian tersebut akan memasukkan Kode Supplier,

Cara Pembayaran, Tempo Pembayaran, Kode Barang, Satuan, Total Harga,

Quantity, Harga Satuan Beli, selain itu juga staf juga harus memilih jenis PPN yang

akan dikenakan dan discount yang diterima pada Purchae Order. Rincian-rincian

dari input-an yang telah dimasukkan tersebut akan muncul pada bagian bawah

tampilan Purchase Order, dimana akan ditampilkan pula Total sebelum PPN, Total

Discount, PPN 10%, dan Total (Gambar 4.5).

Pembuatan Surat Mutasi dilakukan ketika barang yang diterima staf pembelian akan

didistribusikan ke bagian yang meminta, dimana staf pembelian akan membuka

menu Mutasi Barang Ke Ruangan. Nomor Bukti pada Surat Mutasi dimasukkan

secara manual oleh staf pembelian, disertai dengan pengisian Tanggal dan Ruangan.

Lalu staf pembelian akan menginput Kode Obat, Satuan, Harga Beli, Harga Satuan,

Keterangan, Jumlah, Expired Date pada Rincian Pengeluaran Obat (Gambar 4.6).

Temuan masalah pada saat proses peng-input-an pembelian :

Nomor Bukti pada layar Surat Mutasi dimasukkan secara manual oleh staf

pembelian, sedangkan pada dokumen pembelian yang lainnya Nomor Bukti akan

muncul secara otomatis.

101

4.3.3 Evaluasi Pengendalian Aplikasi : Output

4.3.3.1 Evaluasi Hasil Kuesioner Pengendalian Output

Kuesioner untuk pengendalian output ini diberikan kepada delapan orang pada

bagian logistik. Berikut ini hasil kuesioner pengendalian output yang telah

dikembalikan:

Tabel.2 Kuesioner Output

No. Pertanyaan Ya Tidak Keterangan

1. Apakah setiap laporan yang berkaitan

dengan pembelian yang dihasilkan oleh

bagian logistik selalu mencantumkan :

a. Tanggal, bulan, tahun, dan waktu

pencetakan

b. Tanggal, bulan, dan tahun

c. Waktu pencetakan

√

8 orang

2. Apakah pada setiap laporan yang

berkaitan dengan pembelian yang

dihasilkan oleh bagian logistik tersebut

dicantumkan :

a. Nomor halaman dan tanda akhir

halaman

b. Nomor halaman

c. Tanda akhir halaman

√

5 orang

3 orang

3. Apakah dengan menggunakan program

ICRAM, setiap dokumen yang berkaitan

dengan pembelian (Surat Pesanan,

Purchase Order, dan Surat Mutasi) dapat

disajikan dengan cepat?

√

8 orang

4. Apakah dengan menggunakan program

102

ICRAM, laporan pembelian harian yang

dihasilkan oleh bagian logistik dapat

disajikan secara tepat waktu?

√

8 orang

5. Apakah laporan-laporan pembelian yang

dihasilkan oleh bagian logistik

didistribusikan tepat pada awal periode?

3 orang

√

5 orang

Laporan

pembelian

bulanan yang

dihasilkan

didistribusikan

terkadang tidak

tepat waktu

karena

pembuatannya

dilakukan

secara manual

yang cukup

memakan

waktu

(pembuatan

laporan tersebut

tidak terdapat

dalam program

ICRAM).

6. Apakah selalu terdapat tembusan laporan

pembelian bulanan untuk diberikan pada

pihak yang berwenang?

√

8 orang

7. Bila jawaban di atas adalah “Ya”, apakah

banyaknya tembusan serta nama / bagian

yang menerima tembusan-tembusan

laporan tersebut dicantumkan pada setiap

103

laporan pembelian bulanan yang

diberikan pada pihak yang berwenang?

√

8 orang

8. Apakah karyawan yang membuat laporan

dan dokumen / surat yang berkaitan

dengan pembelian tersebut harus

bertanggung jawab penuh atas hal-hal

yang dicantumkan pada laporan tersebut?

√

8 orang

9. Apakah terdapat pencantuman nama

karyawan yang membuat laporan yang

berkaitan dengan pembelian yang

dihasilkan tersebut?

1 orang

√

7 orang

Laporan yang

tidak

mencantumkan

nama pembuat

laporan hanya

laporan

pembelian

bulanan.

Sebelum

laporan

pembelian

bulanan dicetak,

terlebih dahulu

data tentang

laporan

pembelian

bulanan tersebut

sudah di-share

ke bagian

keuangan.

Sehingga,

pencantuman

104

nama karyawan

yang membuat

laporan

dianggap tidak

perlu.

10. Apakah terdapat pencantuman nama

karyawan yang membuat dokumen

pembelian yang dihasilkan tersebut?

√

8 orang

11. Apakah yang dapat mencetak laporan dan

dokumen / surat yang berkaitan dengan

pembelian hanya orang yang berwenang

saja?

√

8 orang

12. Apakah hasil output (dokumen atau

laporan) yang berkaitan dengan

pembelian selalu cocok dengan dokumen

sumber?

3 orang

√

5 orang

13. Jika jawaban di atas “Tidak”, apakah

kesalahan disebabkan oleh :

a. Human Error

b. System Error

√

5 orang

14. Apakah terdapat larangan untuk

pencetakan laporan yang berkaitan

dengan pembelian secara berulang?

√

8 orang

15. Apakah ada prosedur yang mengatur

pencetakan laporan yang berkaitan

dengan pembelian yang sudah ditetapkan

oleh manajemen?

√

8 orang

105

Temuan dari hasil kuesioner :

Setiap laporan yang berkaitan dengan pembelian yang dihasilkan selalu

mencantumkan tanggal, bulan dan tahun.

Nomor halaman dicantumkan pada setiap laporan yang berkaitan dengan pembelian.

Dengan menggunakan program ICRAM, setiap dokumen yang berkaitan dengan

pembelian (Surat Pemesanan, Purchase Order, dan Surat Mutasi) dapat disajikan

dengan cepat, sehingga dapat meningkatkan efisiensi kinerja bagian logistik.

Dengan menggunakan program ICRAM, laporan pembelian harian yang dihasilkan

oleh bagian logistik dapat disajikan secara tepat waktu.

Laporan-laporan pembelian yang dihasilkan didistribusikan terkadang tidak tepat

waktu hanya pada laporan pembelian bulanan karena pembuatan laporan pembelian

bulanan dilakukan secara manual yang cukup memakan waktu (pembuatan laporan

tersebut tidak terdapat dalam program ICRAM).

Selalu terdapat tembusan laporan pembelian bulanan untuk diberikan kepada pihak

yang berwenang.

Banyaknya tembusan laporan tidak dicantumkan pada setiap laporan pembelian

bulanan yang diberikan kepada pihak yang berwenang.

Karyawan yang membuat laporan yang berkaitan dengan pembelian harus

bertanggung jawab penuh atas hal-hal yang dicantumkan pada laporan tersebut.

Tidak dicantumkan nama karyawan yang membuat laporan yang berkaitan dengan

pembelian hanya pada laporan pembelian bulanan. Akan tetapi, sebelum laporan

pembelian bulanan dicetak, terlebih dahulu data tentang laporan pembelian bulanan

tersebut sudah di-share ke bagian keuangan. Sehingga, pencantuman nama karyawan

yang membuat laporan dianggap tidak perlu.

106

Terdapat pencantuman nama karyawan yang membuat dokumen / surat pembelian.

Hanya orang yang berwenang saja yang dapat mencetak laporan yang berkaitan

dengan pembelian.

Pernah terjadi ketidakcocokan antara data pembelian pada dokumen sumber dengan

hasil output yang disebabkan karena human error.

Laporan yang berkaitan dengan pembelian yang sudah pernah dicetak, dapat dicetak

ulang.

Terdapat prosedur yang mengatur pencetakan laporan yang berkaitan dengan

pembelian yang sudah ditetapkan oleh manajemen.

4.3.3.2 Evaluasi Hasil Wawancara Pengendalian Output


Laporan-laporan yang dibuat oleh bagian logistik adalah laporan pembelian harian,

laporan pembelian bulanan, laporan stok barang.

Laporan pembelian bulanan yang dihasilkan oleh bagian logistik akan diberikan

kepada bagian keuangan.

Laporan yang berkaitan dengan pembelian yang dihasilkan untuk bagian yang lain

didistribusikan pada tiap bulan.

Tidak terdapat tanda tangan dan pencantuman nama pihak yang berwenang

(supervisor) dan pembuat laporan pada laporan pembelian bulanan yang dicetak.

Sebelum laporan tersebut dicetak, laporan tersebut diberikan kepada bagian

keuangan secara langsung melalui sharing data.

107

Pada saat pendistribusian stok (obat-obatan), bagian logistik akan mencetak surat

mutasi (bukti keluar barang gudang) barang sebagai bukti telah diterimanya obat-

obatan yang dipesan oleh bagian yang meminta.

Tidak semua laporan yang berkaitan dengan pembelian dihasilkan oleh program

ICRAM.

Masih terdapat pembuatan laporan yang berkaitan dengan pembelian secara manual.

4.3.3.3 Evaluasi Hasil Observasi Pengendalian Output


Terdapat laporan pembelian harian, laporan pembelian bulanan, laporan stok barang.

Laporan pembelian selalu mencantumkan tanggal, bulan, dan tahun.

Terdapat nomor halaman pada laporan pembelian.

Terdapat tembusan laporan pembelian bulanan, tetapi tembusan tersebut tidak

dicantumkan pada laporan pembelian bulanan untuk diberikan kepada pihak siapa

saja.

Pada laporan pembelian harian dan laporan stok obat terdapat nama pembuat

laporan.

Laporan pembelian bulanan dibuat secara manual diluar program ICRAM dengan

menggunakan Microsoft Excel.

Pada laporan pembelian bulanan tidak terdapat nama maupun tanda tangan

supervisor yang bertanggung jawab terhadap laporan tersebut.

Pada dokumen / surat yang berkaitan dengan pembelian terdapat nama karyawan.

Terdapat pengarsipan dokumen / surat yang berkaitan dengan pembelian.

108

Terdapat dokumen share untuk pengecekan laporan pembelian bulanan oleh bagian

keuangan.

Laporan yang berkaitan dengan pembelian dapat dicetak ulang.

4.3.3.4 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Output

Gambar 4.7 Layar Menu Laporan

Gambar 4.8 Layar Laporan Purchase Order 1

109



Dalam penggunaan menu laporan pada aplikasi pembelian, bagian logistik

hanya menggunakan menu Laporan Purchase Order (laporan pembelian harian), dimana

110

laporan tersebut akan ditransfer ke Microsoft Excel. Adapun langkah-langkah yang

digunakan dalam pembuatan laporan tersebut adalah sebagai berikut :

Bagian logistik yang ingin membuat laporan Purchase Order (laporan pembelian

harian) akan membuka menu Laporan Purchase Order pada menu laporan (Gambar

4.7).

Ketika tampilan Laporan Purchase Order telah terbuka, bagian logistik akan

melakukan transfer data Purchase Order untuk periode tertentu, dengan terlebih

dahulu memilih empat pilihan yang terdapat pada tampilan tersebut dan kemudian

memilih icon “Transfer Excel” untuk memulai pemrosesan (Gambar 4.8).

Setelah icon tersebut dipilih maka sistem aplikasi akan mulai memproses transfer

data Purchase Order ke Microsoft Excel dengan ditandai munculnya suatu

pemberitahuan (Gambar 4.9).

Setelah data berhasil diproses, pada tampilan akan muncul suatu pemberitahuan yang

menyatakan bahwa data berhasil disimpan ke dalam Microsoft Excel (Gambar 4.10).

Temuan masalah pada proses pembuatan laporan :

Tidak semua menu laporan dalam aplikasi pembelian dimanfaatkan oleh staf

pembelian karena menu-menu laporan lainnya masih belum diperlukan oleh bagian

logistik.

Tidak terdapat menu pembuatan laporan pembelian bulanan.

4.3.4 Evaluasi Pengendalian Aplikasi : Boundary

4.3.4.1 Evaluasi Hasil Wawancara Pengendalian Boundary

Temuan pada saat dilakukan wawancara adalah :

111

Harus memasukkan User ID dan Password bila ingin mengakses aplikasi pembelian.

Tidak adanya batasan minimum karakter dalam password.

Karakter dalam password tidak harus gabungan antara huruf dan angka.

Untuk merubah password, user diharuskan untuk mengisi form permintaan

password terlebih dahulu agar dapat diproses oleh supervisor. Password tersebut

ditentukan oleh user itu sendiri.

Tidak adanya keharusan penggantian password secara berkala.

Saat user memasukkan password, password tersebut disamarkan dalam bentuk tanda

pagar (“#”).

Hal khusus yang terjadi bila user salah dalam memasukkan user ID dan password

ialah akan muncul pesan peringatan yang menyatakan “Username Atau Password

Salah. Ulangi lagi”, dan setiap user yang melakukan kesalahan input password

dicatat dalam server serta terdapat fasilitas lock (tertutupnya layar aplikasi secara

otomatis dan kembali ke Windows) jika terjadi kesalahan input password sebanyak

tiga kali, tetapi user dapat mengakses kembali program tersebut.

Tidak adanya fasilitas pengingat password.

Terdapat pengendalian dalam pengaksesan terhadap aplikasi yang berbeda antar tiap

bagian, dimana user hanya dapat mengakses modul-modul / menu-menu tertentu

dalam aplikasi pembelian sesuai dengan hak yang dimiliki.

Kebijakan pengendalian akses dilakukan dengan cara Discretionary access control

policies dan Mandatory access control policies.

User perlu mendapat otorisasi / tindakan khusus terlebih dahulu bila mengakses data

yang khusus dimana kepala bagian berhak menambah dan mengurangi hak seorang

user dalam mengakses aplikasi dengan terlebih dahulu meminta kepada bagian EDP.

112

Terdapat prosedur yang telah ditentukan oleh manajemen mengenai hak akses

aplikasi pembelian.

Diberlakukan pengendalian dengan pengenkripsian data pembelian dan password.

Diberlakukan proses enkripsi data pembelian pada saat data tersebut disimpan pada

server dan pada saat terjadi pengiriman data maupun penerimaan data melalui VPN.

Ketentuan dalam membuat enkripsi dan teknik dalam membuat enkripsi tersebut

hanya diketahui oleh bagian EDP.

Tidak ada kesulitan dalam mengelola kunci cryptographic karena kunci dalam

membuka data enkripsi dibuat dan hanya diketahui oleh bagian EDP

Mekanisme pengendalian boundary terhadap pengaksesan aplikasi secara otomatis

melakukan pembandingan antara level akses user dengan identifikasi level dari

sumber daya data yang diakses sehingga seorang user dapat terkendali dalam

penggunaan program ICRAM tanpa melanggar hak-hak aksesnya.

4.3.4.2 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Boundary

Gambar 4.11 Layar Login

113

Gambar 4.12 Layar Input Login

Gambar 4.13 Layar Penolakan Akses Login

114

Gambar 4.14 Layar Penolakan Akses

Pada saat user ingin menggunakan aplikasi pembelian, user harus melakukan

login terlebih dahulu. Adapun hal-hal yang berkaitan dengan login adalah sebagai

berikut :

Field user ID diisi dengan menggunakan nama dari user (Gambar 4.11).

Field password diisi dengan password dari masing-masing user. Pada tampilan

layar, password yang dimasukkan ditampilkan dalam bentuk pagar (“#”) (Gambar

4.12).

Setelah user ID dan password dimasukkan, user menekan tombol ENTER pada

keyboard. Jika user ID dan password yang dimasukkan oleh user sesuai, maka user

dapat menggunakan aplikasi pembelian tersebut.

Jika user ID dan password yang dimasukkan tidak sesuai, maka pada tampilan akan

muncul suatu peringatan bahwa user ID dan password yang dimasukkan salah dan

user tidak dapat menggunakan aplikasi pembelian tersebut (Gambar 4.13).

115

Pada proses login, kesalahan dalam memasukkan user ID dan password hanya

dibatasi sebanyak tiga kali dan aplikasi akan tertutup secara otomatis.

Setelah user berhasil masuk kedalam aplikasi setelah melalui proses login, maka

user dapat menggunakan aplikasi sesuai dengan kebutuhannya. Akan tetapi dalam

mengakses menu-menu yang terdapat didalam aplikasi tersebut terbatas sesuai

dengan hak akses user yang melakukan login tersebut, dalam hal ini bagian logistik

yang melakukan login hanya akan dapat menggunakan menu-menu pada aplikasi

terbatas pada kebutuhan bagian logistik (Gambar 4.14).

Temuan masalah pada saat proses login :

Bila user salah dalam melakukan input sebanyak tiga kali maka aplikasi akan

tertutup secara otomatis. Akan tetapi, user dapat mengaktifkan kembali aplikasi

tersebut dan memulai untuk melakukan input terhadap user ID dan password

(fasilitas lock yang masih lemah).

Tidak adanya fasilitas pengingat password untuk user yang lupa.

Icon ”Shut Down” pada layar login tidak dapat digunakan, sehingga user tidak dapat

keluar dari aplikasi sebelum benar-benar memasuki aplikasi.

4.3.5 Evaluasi Pengendalian Aplikasi : Komunikasi

4.3.5.1 Evaluasi Hasil Wawancara Pengendalian Komunikasi


Terkadang ada masalah koneksi dari komputer klien ke server, pada umumnya

disebabkan karena kabel yang kendor.

116

Tidak pernah ada masalah terhadap jaringan maupun hardware jaringan akibat

penyusup.

Terdapat switch dan router yang dipakai untuk koneksi dan terhubung dengan

memakai kabel UTP.

Bila pengiriman data error maka ada peringatan (warning) yang merupakan tanda

bahwa ada masalah dalam jaringan.

Topologi yang digunakan adalah topologi star.

Terdapat pemakaian VPN (Virtual Private Network) untuk pengiriman data ke luar

jaringan lokal.

Data yang dikirim melalui VPN akan dienkripsi terlebih dahulu.

Bila saat penyimpanan data pembelian ke server sedang berlangsung dan pada saat

yang bersamaan terjadi mati lampu maka data akan tersimpan pada temporary data

storage pada hardisk komputer klien. Dan setelah sistem kembali normal maka data

yang ada pada temporary data storage tersebut akan disimpan ke server secara

otomatis dan data pada temporary data storage akan terhapus secara otomatis.

4.3.5.2 Evaluasi Hasil Observasi Pengendalian Komunikasi

Penemuan pada saat observasi :

Topologi LAN yang digunakan berbentuk star.

Memakai switch, router, kabel UTP pada jaringan.

Terdapat peringatan atau warning yang merupakan tanda bahwa ada masalah dalam

jaringan.

117

4.4 Laporan Audit

Tabel 3. Laporan Audit

NO Pengendalian Instrumen Auditee Temuan Masalah

Standar / Kebijakan

Dampak Rekomendasi

1a. Keamanan Wawancara EDP Antivirus tidak di-update dan otomatis Scanning sistem tidak dilakukan lagi.

Secara berkala menjalankan antivirus untuk mendeteksi infeksi

Dengan tidak di update-nya antivirus maka semakin memungkinkan masuknya virus-virus yang bisa membahayakan sistem

Sebaiknya tetap dilakukan update antivirus untuk mencegah masuknya virus yang bisa merusak sistem dan tetap menjalankannya/ melakukan Scanning.

Keamanan Wawancara EDP Backup dilakukan hanya 1 kali seminggu

Backup harus ter-update secara berkelanjutan setiap terjadi perubahan.

Karena prosedur backup hanya satu kali dalam seminggu, maka jika terjadi kerusakan sebelum data di backup maka bisa terjadi kehilangan data

Bila memungkinkan dilakukannya prosedur backup setiap hari, misalnya pada akhir jam kerja

118

NO Pengendalian Instrumen Auditee Temuan

Masalah Standar /

Kebijakan Dampak Rekomendasi

Keamanan Wawancara EDP Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.

Tipe alat pemadam kebakaran yang tepat berada pada lokasi yang strategis dimana aset sistem informasi berada dan dapat diakses dengan mudah oleh staf.

Tidaka adanya alat pemadam kebekaran diruangan server program dan ruang EDP bisa mengakibatkan kebakaran yang bisa terjadi semakin membesar karena tidak adanya alat yang bisa memadamkan jika sewaktu-waktu terjadi kebakaran.

Dipasangnya alat pemadam kebakaran pada ruang server program dan ruang EDP.

Keamanan Wawancara EDP Tidak ada alat pendeteksi pada ruang server program dan ruang EDP.

Alarm kebakaran manual dan automatic ditempatkan pada lokasi strategis dimana aset sistem informasi ditempatkan..

Jika ada api penyebab kebakaran tidak bisa dideteksi sedini mungkin hingga bisa menyebabkan rusaknya dan hancurnya server dan peralatan diruang EDP seperti komputer, laptop, printer.

Dipasangnya alat pendeteksi kebakaran pada ruang server program dan ruang EDP.

-"

ta

&~

id

a~

rd

aP

;1

t / P

rogr

am y

ang

1 men

u be

rkua

litas

pe

mbu

atan

tin

ggi b

arus

la

pora

n m

enja

lank

an

pem

belia

n fil

llgsi

ny a

bula

nim

. dc

ngan

tepa

t

P

+G

~G

-=

I pe

nyaj

ian

lapo

ran

yang

ber

kaita

n de

ngan

pem

belia

n tid

ak

tern

~anf

aatk

an

seca

ra m

aksi

mal

.

I St

af o

einb

elia

n ba

rus

~ne

mbu

at

lapo

ran

pern

belia

n bu

lana

nl s

ecar

e m

anua

l yan

g cu

kup

I mem

akac

~ wak

lu.

I---. --.

.- Se

baik

nya

dala

rn

pem

buat

nn a

plilr

asi

peu~

~bel

ian han

~s

dise

suai

kan

deng

an

kebu

tuha

n ba

gian

lo

gist

ik, s

ehin

gga

sern

ua m

enu

yang

ad

a da

pat

digu

nakm

scc

ara

mak

sim

al u

ntuk

la

nerj

a ba

gian

lo

gist

ik.

-l-m

h=a&

$

men

u un

tuk

pem

buat

an la

porm

pe

mbe

lian

bula

nan

pada

men

u la

pora

n pa

da p

rogr

am

ICR

AM

unl

uk

rnem

bant

u ef

isie

nsi

I da

n ef

elti

v~ta

s 1

kerj

a ba

gian

! logi

stik

.

143

4.5 Analisis Tingkat Resiko

Tabel 4. Analisa Tingkat Resiko Pengendalian

NO Pengendalian Temuan Masalah /

Vulnerability

Tingkat Vulnerability

Dampak / Ancaman Tingkat Ancaman

Tingkat Resiko Tingkat Resiko Pada Pengendalian

1. Keamanan Antivirus tidak di-update dan otomatis scanning sistem tidak dilakukan lagi.

Tinggi. Memungkinkan masuknya virus-virus yang bisa membahayakan sistem yang sedang berjalan sekarang ini dan membuat scanning sistem yang pada awalnya dilakukan tidak difungsikan lagi.

Tinggi. Tinggi. Tinggi.

Keamanan Backup dilakukan 1 kali seminggu.

Rendah. Prosedur backup hanya satu kali dalam seminggu, maka jika terjadi kerusakan sebelum data di-backup maka bisa terjadi kehilangan data.

Tinggi. Sedang.

144


Vulnerability




Keamanan Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.

Tinggi. Tidak adanya alat pemadam kebakaran di ruangan server program dan ruang EDP bisa mengakibatkan kebakaran yang bisa terjadi semakin membesar karena tidak adanya alat yang bisa memadamkan jika sewaktu-waktu terjadi kebakaran.

Tinggi. Tinggi.

Keamanan Tidak ada alat pendeteksi kebakaran pada ruang server program dan ruang EDP.

Tinggi. Api penyebab kebakaran tidak bisa dideteksi sedini mungkin sehingga bisa menyebabkan rusaknya dan hancurnya server dan peralatan di ruang EDP.

Tinggi. Tinggi.

145


Vulnerability




Keamanan Bagian sarana memiliki kunci duplikat ruang server.

Rendah.

Bisa adanya penyusup yang masuk ke ruang server dengan menyamar sebagai petugas sarana (cleaning service).

Tinggi. Sedang.

Keamanan Tidak terdapat kamera pengawas pada ruang server.

Tinggi.

Bila ada penyusup yang berhasil masuk ke ruang server maka akan sulit dideteksi dan diketahui gerak-geriknya serta siapa penyusup itu karena tidak adanya kamera pengawas pada ruang server.

Tinggi. Tinggi.

146


Vulnerability




2. Input Aplikasi belum menjawab semua kebutuhan peng-input-an data pembelian seperti pembuatan laporan pembelian bulanan.

Rendah. Masih adanya transaksi yang harus dikerjakan secara manual. Dengan demikian aplikasi belum mengintegrasikan semua kebutuhan peng-input-an sehingga pekerjaan yang dilakukan belum cukup efektif dan efisien.

Rendah. Rendah. Rendah.

Input Terjadi kesalahan peng-input-an pembelian yang disebabkan karena human error.

Rendah.

Bila terjadi kesalahan peng-input-an data pembelian khususnya dalam pembuatan defecta obat akan berdampak terhadap terjadinya kesalahan dalam pemesanan obat.

Tinggi. Sedang.

147


Vulnerability




Input Nomor Bukti pada layar Surat Mutasi di-input secara manual oleh staff pembelian, sedangkan dokumen pembelian yang lain muncul secara otomatis.

Rendah. Dengan dimasukkannya Nomor Bukti pada layar Surat Mutasi secara manual, memungkinkan terjadinya kesalahan yang disebabkan human error, misalnya saja lupa Nomor Bukti yang terakhir di-input atau salah format Nomor Bukti.

Rendah. Rendah.

148


Vulnerability




3. Output Laporan pembelian bulanan yang dihasilkan didistribusikan terkadang tidak tepat waktu hanya pada laporan pembelian bulanan karena adanya pembuatan laporan secara manual yang cukup memakan waktu (pembuatan laporan tersebut tidak terdapat dalam program ICRAM).

Tinggi. Dengan adanya laporan pembelian bulanan yang didistribusikan tidak tepat waktu maka akan menghambat bagian yang memerlukan laporan tersebut dalam membuat suatu keputusan yang mungkin saja penting.

Tinggi. Tinggi. Tinggi.

149


Vulnerability




Output Pada laporan pembelian bulanan tidak terdapat nama maupun tanda tangan supervisor yang bertanggung jawab terhadap laporan tersebut.

Tinggi. Keabsahan dari laporan pembelian bulanan tidak sepenuhnya terpenuhi, walaupun data laporan pembelian bulanan sudah di-share-kan melalui jaringan untuk diperiksa oleh bagian keuangan. Bila terjadi permasalahan akibat laporan tersebut maka bisa saja supervisor tersebut tidak mau bertanggung jawab karena tidak adanya bukti yang otentik.

Tinggi. Tinggi.

150


Vulnerability




Output Banyaknya tembusan laporan tidak dicantumkan pada setiap laporan pembelian bulanan yang diberikan kepada pihak yang berwenang.

Tinggi. Tidak diketahuinya dengan jelas jumlah dan kemana saja laporan pemebelian bulanan tersebut didistribusikan sehingga dapat menyebabkan kesalahpaham an antar pihak yang berwenang serta tidak terkendalinya pencetakan terhadap laporan.

Tinggi. Tinggi.

151


Vulnerability




Output Pernah terjadi ketidakcocok-an antara data pembelian dalam dokumen sumber dengan hasil output yang disebabkan karena human error.

Rendah.

Dapat menyebabkan terjadinya kesalahan pada pengambilan keputusan bila keputusan yang diambil dengan menggunakan hasil output tersebut dan juga akan dimungkinkan terjadinya kesalahan-kesalahan pada transaksi yang akan dilakukan bila hasil output tersebut dipakai dalam transaksi yang dilakukan.

Tinggi. Sedang.

152


Vulnerability




Output Laporan yang berkaitan dengan pembelian yang sudah pernah dicetak, dapat dicetak ulang.

Tinggi. Laporan yang dicetak ulang bisa saja tersebar ke orang yang seharusnya tidak berwenang untuk membaca laporan tersebut.

Tinggi Tinggi.

Output Tidak semua laporan dihasilkan oleh program ICRAM.

Rendah. Efektifitas dan efisiensi dalam melakukan pekerjaan tidak tercapai.

Tinggi. Sedang.

Output Tidak semua menu laporan dalam aplikasi pembelian dimanfaatkan oleh staf pembelian.

Rendah. Menu-menu penyajian laporan yang berkaitan dengan pembelian tidak termanfaatkan secara maksimal.

Rendah. Rendah.

153


Vulnerability




4. Boundary Tidak adanya batasan minimum karakter dalam password.

Rendah. Jika karakter yang digunakan terlalu sedikit, kemungkinan orang lain mengetahui password tersebut akan semakin besar.

Rendah. Sedang. Rendah.

Boundary Karakter dalam password tidak harus gabungan antara huruf dan angka.

Rendah. Bisa semakin mudah seseorang mengetahui password orang yang lain karena bisa dengan mudah dicoba-coba.

Rendah. Sedang.

Boundary Tidak adanya keharusan penggantian password secara berkala.

Rendah. Jika password digunakan dalam jangka waktu yang relatif lama, maka orang lain akan bisa tahu password yang digunakan.

Rendah. Rendah.

154


Vulnerability




Boundary Tidak adanya fasilitas pengingat password

Rendah. Tidak adanya fasilitas pengingat password bisa menyulitkan pihak yang berkepentingan jika suatu saat ia lupa password.

Rendah. Rendah.

Boundary Bila user salah dalam melakukan input sebanyak tiga kali, aplikasi tertutup secara otomatis. Akan tetapi, user dapat mengaktifkan kembali aplikasi tersebut (fasilitas lock yang masih lemah).

Tinggi. Dengan fasilitas lock yang lemah, maka user dapat sering melakukan kesalahan.

Tinggi. Tinggi.

155


Vulnerability




Boundary Icon ”Shut Down” pada layar login tidak berfungsi, sehingga user tidak dapat keluar sebelum memasuki aplikasi.

Rendah. User tidak dapat menggunakan fasilitas “Shut Down” tersebut.

Rendah. Rendah.


Vulnerability




5. Komunikasi Terkadang ada masalah koneksi dari komputer klien ke server, pada umumnya disebabkan karena kabel yang kendor.

Rendah. Mengganggu aktivitas / transaksi pada Rumah Sakit khususnya pada bagian pembelian.

Rendah. Rendah. Rendah.

156

Keterangan:

Tabel 5. Tingkat Pengendalian

No Tingkat Resiko Pada Pengendalian Tingkat Pengendalian 1. Tinggi Kurang 2. Sedang Sedang 3. Rendah Baik

BAB 4 AUDIT SISTEM INFORMASI TERHADAP APLIKASI …thesis.binus.ac.id/doc/Bab4/2006-2-00829-KA Bab...

Documents

Transcript of BAB 4 AUDIT SISTEM INFORMASI TERHADAP APLIKASI …thesis.binus.ac.id/doc/Bab4/2006-2-00829-KA Bab...