BAB 4 AUDIT SISTEM INFORMASI TERHADAP APLIKASI …thesis.binus.ac.id/doc/Bab4/2006-2-00829-KA Bab...
Transcript of BAB 4 AUDIT SISTEM INFORMASI TERHADAP APLIKASI …thesis.binus.ac.id/doc/Bab4/2006-2-00829-KA Bab...
77
BAB 4
AUDIT SISTEM INFORMASI TERHADAP APLIKASI
PEMBELIAN OBAT-OBATAN
4.1 Rencana Audit
Sebelum dilakukannya audit, terlebih dahulu dibuat suatu perencanaan audit.
Dalam perencanaan audit, akan dilakukan pencarian informasi mengenai latar belakang
perusahaan, informasi-informasi yang berkaitan dengan pengendalian manajemen
(pengendalian umum) dan pengendalian aplikasi, ruang lingkup dan sasaran audit,
instrumen-instrumen penelitian yang akan digunakan selama proses audit berjalan,
tujuan dari pelaksanaan audit dan pengamatan di perusahaan yang bersangkutan.
Adapun rencana-rencana audit yang dipersiapkan adalah sebagai berikut :
1. Persiapan Audit
Mencari informasi mengenai latar belakang perusahaan, prosedur sistem informasi
pembelian perusahaan, membaca literature dan mencari informasi mengenai sistem
informasi pembelian dan hal-hal yang berkaitan dengan audit sistem informasi
pembelian.
2. Penetapan Sasaran dan Ruang Lingkup Audit
Sasaran yang hendak dicapai dengan dilakukannya audit terhadap RSU Mary
Cileungsi Hijau adalah untuk mengumpulkan bukti-bukti yang relevan terhadap
proses audit sistem informasi pembelian dalam kaitannya dengan :
Untuk memahami sistem informasi pembelian yang sedang berjalan.
78
Memastikan pengendalian keamanan, komunikasi, boundary, input, dan output
dari sistem yang berjalan telah memadai.
Merekomendasikan usulan perbaikan jika terdapat kelemahan-kelemahan yang
ada pada aplikasi pembelian Rumah Sakit Umum Mary Cileungsi Hijau.
Perlindungan terhadap aset sistem informasi.
Ruang lingkup dibatasi pada audit sistem informasi terhadap aplikasi pembelian
obat-obatan RSU Mary Cileungsi yang mencakup evaluasi pengendalian umum yaitu
pengendalian keamanan dan pengendalian aplikasi yang ditekankan pada
pengendalian input, output, boundary, serta pengendalian komunikasi. Pelaksanaan
audit dilakukan dengan menggunakan metode Audit Around the Computer.
3. Prosedur Audit yang Dilakukan
Pengendalian Keamanan
Mengetahui ancaman-ancaman yang mungkin terjadi terhadap sistem
informasi pembelian yang ada di RSU Mary Cileungsi Hijau.
Mendapatkan informasi mengenai pengendalian keamanan yang telah
diterapkan.
Mencari tahu apakah prosedur pada pengendalian keamanan yang telah
ditetapkan telah dijalankan dengan baik.
Melakukan observasi secara langsung untuk mengetahui penerapan
pengendalian keamanan.
Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif
yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,
resiko menengah, resiko tinggi.
79
Pengendalian Input
Mendapatkan informasi mengenai prosedur pengendalian input yang
ditetapkan.
Mencari tahu apakah prosedur pada pengendalian input yang telah ditetapkan
telah dijalankan dengan baik.
Mendapatkan informasi mengenai metode input yang digunakan.
Mendapatkan informasi mengenai rancangan tampilan input data.
Mendapatkan informasi mengenai otorisasi transaksi pada dokumen sumber.
Melakukan uji penggunaan terhadap sistem aplikasi pembelian untuk
mengetahui seberapa baik pengendalian input pada sistem tersebut.
Melakukan observasi secara langsung untuk mengetahui penerapan
pengendalian input.
Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif
yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,
resiko menengah, resiko tinggi.
Pengendalian Output
Mendapatkan informasi mengenai prosedur pengendalian output yang
ditetapkan.
Mencari tahu apakah prosedur pada pengendalian output yang ditetapkan
telah dijalankan dengan baik.
Mendapatkan informasi mengenai laporan-laporan yang berkaitan dengan
pembelian yang dikeluarkan.
Mendapatkan informasi mengenai otorisasi terhadap laporan yang berkaitan
dengan pembelian yang dikeluarkan.
80
Mendapatkan informasi mengenai pengendalian pada prosedur distribusi
laporan yang berkaitan dengan pembelian.
Melakukan uji penggunaan terhadap sistem aplikasi pembelian untuk
mengetahui seberapa baik pengendalian output pada sistem tersebut.
Melakukan observasi secara langsung untuk mengetahui penerapan
pengendalian output.
Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif
yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,
resiko menengah, resiko tinggi.
Pengendalian Boundary
Mendapatkan informasi mengenai prosedur pengendalian boundary yang
ditetapkan.
Mencari tahu apakah setiap pengendalian boundary telah diterapkan dengan
baik.
Mendapatkan informasi mengenai metode akses yang digunakan.
Mendapatkan informasi mengenai level user dan batasan-batasan aksesnya.
Mendapatkan informasi mengenai hal-hal yang berhubungan dengan
password.
Melakukan uji penggunaan terhadap sistem aplikasi pembelian untuk
mengetahui seberapa baik pengendalian boundary pada sistem tersebut.
Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif
yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,
resiko menengah, resiko tinggi.
81
Pengendalian Komunikasi
Mendapatkan informasi mengenai prosedur pengendalian komunikasi yang
ditetapkan.
Mendapatkan informasi mengenai kendala-kendala yang sering terjadi
berkaitan dengan pengendalian komunikasi.
Mendapatkan informasi mengenai topologi jaringan yang digunakan.
Mendapatkan informasi mengenai jalur komunikasi yang digunakan.
Melakukan observasi pada secara langsung untuk mengetahui penerapan
pengendalian komunikasi.
Melakukan penilaian mengenai tingkat resiko pada temuan-temuan negatif
yang ditemukan, dimana tingkat resiko ini dibagi menjadi resiko rendah,
resiko menengah, resiko tinggi.
4. Persiapan Penelitian Lapangan
Instrumen-instrumen penelitian yang akan digunakan pada audit sistem informasi
terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau adalah
observasi, uji penggunaan aplikasi, kuesioner, dan wawancara.
5. Pembuatan Laporan Audit
Berdasarkan bukti-bukti dan temuan-temuan audit yang didapat dan evaluasi yang
dilakukan maka akan dibuat laporan audit.
4.2 Pelaksanaan Audit
Instrumen-instrumen penelitian yang akan digunakan pada audit sistem
informasi terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau
82
adalah :
Observasi
Melakukan observasi (pengamatan) dengan cara mengunjungi RSU Mary Cileungsi
Hijau untuk memperoleh gambaran umum mengenai rumah sakit tersebut. Dalam
kunjungan yang dilakukan, dilakukan observasi (pengamatan) kegiatan-kegiatan apa
saja yang dilakukan dalam rumah sakit tersebut, keadaan yang ada dalam rumah
sakit, serta transaksi pembelian yang ada pada rumah sakit tersebut khususnya
bagian logistik untuk dapat mengetahui apakah semua pihak telah menjalankan tugas
dan tanggung jawab sesuai dengan yang sudah ditentukan. Selain itu, dalam
observasi juga dilihat mengenai keadaan yang ada di sekitar RSU Mary Cileungsi
Hijau.
Uji penggunaan aplikasi
Uji aplikasi merupakan suatu bentuk instrumen penelitian di mana dilakukan
pengujian secara langsung terhadap penggunaan aplikasi sistem yang bersangkutan,
dalam hal ini aplikasi pembelian RSU Mary Cileungsi Hijau. Uji penggunaan
aplikasi dilakukan untuk memperoleh pemahaman dan kepastian mengenai kerja
sistem secara nyata.
Kuesioner
Kuesioner berisi daftar-daftar pertanyaan yang akan ditanyakan kepada pihak yang
berwenang sehubungan dengan bidang masing-masing, dalam hal ini bagian logistik
dan bagian EDP. Kuesioner bertujuan untuk mendapatkan bukti kompeten dan
mendukung kesimpulan yang akan diambil. Adapun kuesioner yang disusun adalah :
1. Kuesioner pengendalian input.
2. Kuesioner pengendalian output.
83
Wawancara
Wawancara dilakukan dalam bentuk tanya jawab dengan pihak-pihak yang terkait
untuk mendapatkan informasi yang diperlukan serta berkaitan dengan pembelian.
Wawancara ini dilakukan dengan bagian EDP dan bagian logistik. Adapun
pertanyaan yang diajukan adalah prosedur dan tata laksana sistem informasi
pembelian untuk mendapatkan gambaran kegiatan yang terjadi setiap harinya. Hal
ini dilakukan untuk mendapatkan pemahaman apakah masing-masing pihak telah
menjalankan tugas dan tanggung jawab sesuai dengan yang diterimanya. Adapun
pertanyaan yang telah dipersiapkan dalam melakukan wawancara adalah sebagai
berikut :
Rancangan daftar pertanyaan wawancara untuk pengendalian keamanan :
− Apakah digunakan antivirus untuk melindungi sistem informasi?
− Jika menggunakan antivirus, apakah antivirus tersebut selalu di-update?
− Apakah selalu dilakukan scanning terhadap sistem?
− Apakah ada prosedur untuk mengantisipasi kerusakan / permasalahan terhadap
komputer (server, komputer terminal, dan komputer klien)?
− Apakah terdapat prosedur backup?
− Apakah terdapat alat-alat untuk melindungi aset sistem informasi secara fisik?
− Pengamanan apa saja yang dilakukan untuk menjaga ruang server dan ruang
EDP?
− Usaha apa saja yang dilakukan untuk mengantisipasi hacking pada sistem?
− Apakah dilakukan proses recovery terhadap sistem?
84
− Apakah terdapat alat yang digunakan untuk mengantisipasi agar sistem dapat
tetap berjalan jika terjadi pemadaman listrik?
− Apakah yang dilakukan oleh bagian logistik untuk mengantisipasi kejadian
pemadaman listrik?
− Apakah terdapat alat pemadam kebakaran pada ruang server dan ruang EDP?
Rancangan daftar pertanyaan wawancara untuk pengendalian input :
− Bagaimana sistem yang digunakan dalam pengkodean obat-obatan?
− Apakah setiap terjadi kesalahan input terdapat catatannya?
− Apakah sering terjadi kesalahan peng-input-an oleh staf pembelian?
− Bagaimana proses perbaikan kesalahan input pada data-data pembelian yang
telah di-submit?
− Pada saat obat-obatan yang dipesan tiba, siapa yang meng-input / menambah
data stok obat?
− Fitur-fitur apa saja yang ada dalam aplikasi input yang dirasa masih kurang
memadai pada bagian logistik?
Rancangan daftar pertanyaan wawancara untuk pengendalian output :
− Laporan apa sajakah yang berkaitan dengan pembelian yang dikeluarkan oleh
bagian logistik?
− Bagaimana prosedur pencetakan laporan yang berkaitan dengan pembelian?
− Bagian mana saja yang menerima laporan yang berkaitan dengan pembelian dari
bagian logistik?
− Kapan saja laporan-laporan yang berkaitan dengan pembelian akan dihasilkan?
85
− Apakah terdapat tanda tangan dan pencantuman nama dari supervisor dan
pembuat laporan yang berkaitan dengan pembelian pada laporan yang dibuat?
− Apakah terdapat prosedur tertentu pada saat pendistribusian obat-obatan?
− Apakah semua laporan yang berkaitan dengan pembelian yang dibuat telah
seluruhnya dihasilkan oleh program ICRAM?
− Fitur-fitur apa saja dalam aplikasi output yang dirasa masih kurang memadai
bagi bagian logistik?
Rancangan daftar pertanyaan wawancara untuk pengendalian boundary :
− Apakah dalam mengakses aplikasi pembelian perlu memasukkan user ID dan
password?
− Apakah ada minimum dan maksimum karakter untuk user ID dan password?
− Apakah user ID dan password memakai kombinasi angka dan huruf?
− Bagaimana user ID dan password diperoleh user?
− Bagaimana prosedur user dalam mengganti password?
− Apakah diharuskan mengganti password secara berkala?
− Apakah saat user memasukkan password, password tersebut disamarkan
(misalnya dalam bentuk bintang, bulatan atau pagar)?
− Apakah ada hal-hal khusus yang terjadi bila user salah dalam memasukkan user
ID dan password?
− Apakah ada fasilitas pengingat password ?
− Apakah terdapat pengendalian dalam pengaksesan yang berbeda antar tiap
bagian, misalnya ada user yang hanya dapat membaca saja atau bisa menambah
tetapi tidak bisa mengubah?
86
− Bagaimana prosedur dalam pengendalian boundary terhadap pengaksesan pada
aplikasi pembelian?
− Apakah kebijakan pengendalian boundary terhadap pengaksesan dilakukan
dengan cara :
a) Discretionary access control policies
b) Mandatory access control policies
− Apakah user perlu mendapat otorisasi / tindakan khusus terlebih dahulu bila
mengakses data yang khusus?
− Apakah prosedur dalam mengakses aplikasi sudah ditetapkan oleh manajemen
atau user dapat meminta hak akses terhadap aplikasi pembelian tersebut?
− Apakah diberlakukan pengendalian boundary dengan pengenkripsian data?
− Jika diberlakukan proses enkripsi data, pada saat kapan saja proses enkripsi
tersebut dilakukan?
− Apakah ada ketentuan dalam membuat enkripsi?
− Dalam membuat enkripsi, teknik apa yang digunakan?
− Apakah terdapat kesulitan dalam pengelolaan kunci cryptographic?
− Apakah mekanisme kontrol akses melakukan pembandingan antara level akses
user dengan identifikasi level dari sumber daya data yang diakses?
Rancangan daftar pertanyaan wawancara untuk pengendalian komunikasi :
− Apakah pernah terjadi masalah pada jaringan komunikasi / jalur komunikasi?
− Apakah pernah terjadi masalah pada perangkat keras komunikasi?
− Apakah pernah terjadi gangguan terhadap jaringan komunikasi yang diakibatkan
oleh penyusup atau orang yang tidak berhak?
87
− Komponen fisik apa saja yang dipakai pada jaringan komunikasi?
− Apa yang terjadi bila terjadi error saat pengiriman data?
− Topologi apa yang digunakan pada jaringan komunikasi lokal?
− Apakah terdapat pemakaian VPN (Virtual Private Network) untuk pengiriman
dan penerimaan data?
− Apakah melakukan enkripsi pada saat melakukan pengiriman data?
− Apakah yang terjadi pada data yang akan disimpan bila pada saat yang
bersamaan terjadi mati lampu?
Adapun pihak-pihak (auditee) yang berkaitan dengan audit sistem informasi
terhadap aplikasi pembelian obat-obatan pada RSU Mary Cileungsi Hijau adalah sebagai
berikut :
Bagian EDP,
Bagian Logistik (Supervisor), dan
Program ICRAM untuk aplikasi pembelian.
4.3 Evaluasi Pengendalian
4.3.1 Evaluasi Pengendalian Manajemen : Keamanan
4.3.1.1 Evaluasi Hasil Wawancara Pengendalian Keamanan
Temuan pada saat wawancara :
Sudah terdapat antivirus pada sistem, hanya saja pada saat sekarang ini update
antivirus tidak dilaksanakan karena adanya peralihan (transisi) dari sistem Windows
ke sistem Linux. Pada awalnya dilakukan scanning terhadap sistem, akan tetapi
88
karena update antivirus tidak dilaksanakan maka scanning pun otomatis tidak
dilakukan lagi.
Ada prosedur untuk mengantisipasi kerusakan / permasalahan terhadap komputer
(server, komputer terminal, dan komputer klien) dengan selalu menyiagakan staf
EDP untuk memperbaiki permasalahan dengan komputer, selain itu disediakan CPU
dan monitor cadangan khusus untuk mengantisipasi kerusakan pada komputer
terminal dan komputer klien.
Terdapat prosedur backup dilakukan hanya satu kali seminggu.
Tidak terdapat alat pendeteksi kebakaran pada ruang server program dan ruang EDP.
Terdapat empat server, yaitu :
o 2 server data : 1 server induk dan 1 server cadangan (untuk mirroring server).
o 2 server program : 1 server induk dan 1 server cadangan (untuk mirroring
server).
Bagian sarana memiliki kunci duplikat ruang server.
Tidak terdapat kamera pengawas pada ruang server.
Terdapat firewall berlapis untuk mengantisipasi kemungkinan hacking oleh pihak
yang tidak berkepentingan terhadap sistem.
Dilakukan proses recovery terhadap sistem bila terjadi gangguan seperti virus. Selain
itu juga dilakukan recovery data bila data yang disimpan ke server melalui komputer
klien mengalami gangguan seperti mati lampu dengan melakukan penyimpanan
ulang data, dimana data yang tidak secara penuh tersimpan ke server akan otomatis
tersimpan secara temporary ke dalam harddisk komputer klien sampai dilakukan
recovery maka data tersebut akan terhapus secara otomatis dari harddisk.
Terdapat UPS dan generator untuk antisipasi terjadinya mati lampu.
89
Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.
4.3.1.2 Evaluasi Hasil Observasi Pengendalian Keamanan
Temuan pada saat observasi :
Ruang server terletak di lantai 3.
Tidak terdapat alat pendeteksi kebakaran pada ruang server program dan ruang EDP.
Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.
Terdapat antivirus pada aplikasi pembelian tapi tidak dipergunakan.
Terdapat UPS dan generator.
Bagian sarana memiliki kunci duplikat untuk masuk ke ruang server.
Tidak terdapat kamera pengawas pada ruang server.
Terdapat monitor dan CPU cadangan di ruang EDP untuk mengantisipasi jika terjadi
kerusakan.
4.3.2 Evaluasi Pengendalian Aplikasi : Input
4.3.2.1 Evaluasi Hasil Kuesioner Pengendalian Input
Kuesioner untuk pengendalian input ini diberikan kepada delapan orang pada
bagian logistik. Berikut ini hasil kuesioner pengendalian input yang telah dikembalikan :
Tabel 1. Kuesioner Input
No. Pertanyaan Ya Tidak Keterangan
1. Apakah metode input data pembelian yang
digunakan untuk pengisian aplikasi
transaksi menggunakan :
a. Keyboard
√
90
b. Direct Reading (dengan OCR)
c. Direct Entry
8 orang
2. Apakah warna (colours) pada tampilan
layar tidak mengganggu pandangan pada
saat peng-input-an data pembelian?
√
8 orang
3. Apakah sistem aplikasi telah dilengkapi
dengan help facility untuk membantu user
dalam peng-input-an data pembelian?
√
6 orang
2 orang
4. Apakah tampilan input pembelian pada
layar (desain) baik, jelas, mudah dimengerti,
dan mudah digunakan oleh user?
√
8 orang
5. Apakah peng-input-an data pembelian dapat
dilakukan dengan mudah / tidak sulit?
√
8 orang
6. Apakah peng-input-an data pembelian
dilakukan setelah menerima permintaan
pembelian dari bagian lain?
√
8 orang
Proses
pembelian
dilakukan
oleh bagian
logistik
setelah
menerima
permintaan
pembelian
obat-obatan
(defecta
obat) dari
bagian
farmasi dan
91
apotek.
7. Apakah peng-input-an data pembelian
dilakukan oleh orang tertentu saja?
√
8 orang
8. Apakah terdapat peringatan jika user salah
dalam meng-input data pembelian?
√
8 orang
9. Apakah orang yang meng-input data
pembelian diketahui identitasnya?
√
8 orang
10. Apakah dokumen sumber yang akan di-
input ke dalam aplikasi pembelian
mendapatkan otorisasi terlebih dahulu?
√
6 orang
2 orang
Dokumen
sumber
harus
diotorisasi
oleh
supervisor
11. Apakah tanggal dilakukannya peng-input-an
data pembelian sesuai dengan tanggal pada
dokumen sumber input?
√
5 orang
3 orang
12. Apakah tanggal pada aplikasi input
pembelian sudah ada secara otomatis?
√
7 orang
1 orang
13. Apakah dokumen sumber untuk peng-input-
an pada bagian pembelian diberikan oleh
orang yang berhak / bertanggung jawab atas
hal tersebut ?
√
8 orang
14. Apakah selama ini tidak pernah terjadi
proses memanipulasi data pembelian oleh
orang yang tidak memiliki wewenang ?
√
8 orang
92
15. Apakah peng-update-an data pembelian
hanya dapat dilakukan oleh orang yang
berwenang ?
√
8 orang
16. Apakah detail dari setiap dokumen sumber,
di-input ke dalam aplikasi pembelian?
√
6 orang
2 orang
17. Apakah dokumentasi pembelian selama ini
telah terhindar dari proses kehilangan ?
√
7 orang
1 orang
18. Apakah terdapat backup terhadap data
untuk setiap dokumentasi pembelian yang
telah di-input ?
√
8 orang
19. Apakah jika ada peng-input-an data
pembelian yang salah tetapi telah di-submit
bisa langsung di-edit ?
√
8 orang
Peng-input-
an data
pembelian
yang salah
hanya bisa
di-edit oleh
user yang
meng-input
20. Apakah ada prosedur peng-input-an data
pembelian yang sudah ditetapkan oleh
manajemen ?
√
8 orang
21. Apakah aplikasi pembelian sudah menjawab
semua kebutuhan tentang peng-input-an
data pembelian pada bagian logistik ?
2 orang
√
6 orang
93
Temuan dari hasil kuesioner :
Metode peng-input-an data pembelian dilakukan dengan menggunakan keyboard.
Warna tampilan pada interface aplikasi pembelian tidak mengganggu pandangan
user dalam menggunakan aplikasi.
Sistem aplikasi pembelian telah dilengkapi dengan help facility.
Tampilan input pada interface aplikasi pembelian mudah dimengerti dan digunakan
oleh user dalam melakukan peng-input-an data.
Peng-input-an data pembelian dapat dilakukan dengan mudah oleh user.
Proses pembelian dilakukan oleh bagian logistik setelah menerima permintaan
pembelian obat-obatan (defecta obat) dari bagian farmasi dan apotek.
Peng-input-an data pembelian hanya dilakukan oleh orang tertentu saja (orang yang
berwenang).
Terdapat peringatan bila terjadi kesalahan dalam peng-input-an data pembelian oleh
user.
Orang yang melakukan peng-input-an data pembelian diketahui identitasnya.
Dokumen sumber untuk bagian pembelian yang akan di-input harus mendapat
otorisasi terlebih dahulu dari supervisor.
Tanggal dilakukan peng-input-an data pembelian sesuai dengan tanggal yang tertera
pada dokumen sumber.
Tanggal pada aplikasi pembelian saat melakukan peng-input-an sudah ada secara
otomatis.
Dokumen sumber untuk bagian pembelian diberikan oleh orang yang berhak /
bertanggung jawab.
94
Tidak pernah terjadi proses manipulasi data pembelian oleh orang yang tidak
memiliki wewenang.
Peng-update-an data pembelian hanya dapat dilakukan oleh orang yang berwenang.
Detail dari setiap dokumen sumber di-input ke dalam aplikasi pembelian.
Dokumentasi pembelian selama ini terhindar dari proses kehilangan.
Terdapat backup untuk setiap data pembelian yang telah di-input.
Peng-input-an data pembelian yang salah tetapi telah di-submit bisa langsung di-edit
hanya oleh user yang melakukan peng-input-an.
Terdapat prosedur peng-input-an data pembelian yang sudah ditetapkan oleh
manajemen.
Sistem aplikasi belum menjawab semua kebutuhan tentang peng-input-an data
pembelian pada bagian logistik seperti pembuatan laporan pembelian bulanan.
4.3.2.2 Evaluasi Hasil Wawancara Pengendalian Input
Temuan pada saat wawancara :
Sistem yang digunakan dalam pengkodean obat-obatan adalah serial codes.
Setiap kesalahan peng-input-an data pembelian yang membutuhkan perubahan pada
data yang telah di-submit akan dicatat dalam server.
Terjadi kesalahan peng-input-an pembelian yang disebabkan karena human error.
Data pembelian yang telah terlanjur di-submit hanya dapat diubah oleh pihak yang
bertanggungjawab dalam peng-input-an data pembelian tersebut.
Yang melakukan peng-input-an terhadap data stok obat bila obat-obatan datang ialah
bagian logistik yang bertugas dalam hal peng-update-an data obat.
95
Fitur yang dirasa masih kurang memadai pada bagian logistik adalah fitur laporan
pembelian bulanan.
4.3.2.3 Evaluasi Hasil Observasi Pengendalian Input
Temuan pada saat observasi :
Warna pada tampilan layar input pembelian tidak mengganggu pandangan saat
melakukan peng-input-an data pembelian.
Peng-input-an data pembelian menggunakan keyboard.
Peng-input-an data pembelian dilakukan sesuai dengan dokumen sumber.
Pemberian kode obat-obatan menggunakan sistem serial codes.
Untuk meng-input data obat, cukup diketikkan beberapa huruf depan saja dan semua
data obat yang berkaitan dengan huruf tersebut akan ditampilkan.
Response time pada sistem aplikasi pembelian RSU Mary Cileungsi Hijau secara
keseluruhan telah baik, karena response time-nya sudah cepat.
Terdapat pembagian tugas pada bagian logistik.
Setiap kesalahan dalam peng-input-an dicatat pada server.
Terdapat help facility.
Tanggal pada peng-input-an data pembelian sesuai dengan tanggal pada dokumen
sumber.
96
4.3.2.4 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Input
Gambar 4.1 Layar Menu –menu Transaksi
Gambar 4.2 Layar Defecta
97
Gambar 4.3 Layar Defecta Invalid
Gambar 4.4 Layar Surat Pemesanan
98
Gambar 4.5 Layar Purchase Order
Gambar 4.6 Layar Surat Mutasi
User (bagian logistik) menggunakan aplikasi / program ICRAM untuk
memasukkan transaksi pembelian dengan langkah-langkah sebagai berikut :
99
Pada saat staf pembelian menerima Defecta Obat dari bagian farmasi atau bagian
apotek, staf pembelian akan membuka menu Defecta Obat (Gambar 4.2) pada
tampilan menu Transaksi (Gambar 4.1). Bila terdapat data yang salah, bagian
logistik tidak dapat meng-edit defecta tersebut. Defecta obat akan dikembalikan ke
bagian yang mengirim, kemudian akan diubah oleh orang yang melakukan input-an
tersebut. Setelah itu baru dikirim kembali ke bagian logistik.
Pada tampilan Defecta Obat, staf pembelian akan meng-input nomor defecta yang
sudah di-input oleh bagian yang meminta pembelian obat sesuai dengan Nomor
Defecta yang tertera pada dokumen Defecta Obat yang sudah diotorisasi oleh
supervisor dari bagian yang meminta tersebut pada bagian Nomor Defecta (Gambar
4.2). Input-an pada aplikasi pembelian mudah dilakukan.
Setelah Nomor Defecta didapatkan, maka data-data obat yang dipesan oleh bagian
yang memesan akan tampil tanpa perlu memasukkan Kode Supplier, karena aplikasi
pembelian ICRAM secara langsung memunculkan Kode Supplier berdasarkan obat
yang diminta (Gambar 4.2). Data obat yang dipesan yang telah ditampilkan pada
layar akan dicocokkan dengan dokumen / surat Defecta Obat yang telah diotorisasi
oleh bagian yang meminta. Jika Nomor Defecta yang dimasukkan tidak sesuai, maka
pada tampilan akan muncul suatu peringatan “Nomor Defecta Belum Terdaftar”
(Gambar 4.3).
Lalu staf pembelian akan membuka tampilan Surat Pesanan Obat dan Alkes untuk
melakukan pemesanan kepada supplier. Ketika tampilan surat pesanan dibuka maka
No Surat Pesanan dan Tanggal Pesan akan secara otomatis terisi. Staf pembelian
akan men-scroll down Kode Supplier dan secara otomatis detail obat yang dipesan
akan muncul ketika salah satu supplier tersebut dipilih (Gambar 4.4).
100
Ketika barang yang dipesan dari supplier sudah diterima oleh staf pembelian maka
staf pembelian akan membuat Purchase Order dengan terlebih dahulu membuka
menu Purchase Order. Pada pembuatan Purchase Order ini, staf pembelian akan
meng-input No Faktur. Nomor PO akan muncul secara otomatis setelah No Faktur
tersebut di-input. Lalu staf pembelian tersebut akan memasukkan Kode Supplier,
Cara Pembayaran, Tempo Pembayaran, Kode Barang, Satuan, Total Harga,
Quantity, Harga Satuan Beli, selain itu juga staf juga harus memilih jenis PPN yang
akan dikenakan dan discount yang diterima pada Purchae Order. Rincian-rincian
dari input-an yang telah dimasukkan tersebut akan muncul pada bagian bawah
tampilan Purchase Order, dimana akan ditampilkan pula Total sebelum PPN, Total
Discount, PPN 10%, dan Total (Gambar 4.5).
Pembuatan Surat Mutasi dilakukan ketika barang yang diterima staf pembelian akan
didistribusikan ke bagian yang meminta, dimana staf pembelian akan membuka
menu Mutasi Barang Ke Ruangan. Nomor Bukti pada Surat Mutasi dimasukkan
secara manual oleh staf pembelian, disertai dengan pengisian Tanggal dan Ruangan.
Lalu staf pembelian akan menginput Kode Obat, Satuan, Harga Beli, Harga Satuan,
Keterangan, Jumlah, Expired Date pada Rincian Pengeluaran Obat (Gambar 4.6).
Temuan masalah pada saat proses peng-input-an pembelian :
Nomor Bukti pada layar Surat Mutasi dimasukkan secara manual oleh staf
pembelian, sedangkan pada dokumen pembelian yang lainnya Nomor Bukti akan
muncul secara otomatis.
101
4.3.3 Evaluasi Pengendalian Aplikasi : Output
4.3.3.1 Evaluasi Hasil Kuesioner Pengendalian Output
Kuesioner untuk pengendalian output ini diberikan kepada delapan orang pada
bagian logistik. Berikut ini hasil kuesioner pengendalian output yang telah
dikembalikan:
Tabel.2 Kuesioner Output
No. Pertanyaan Ya Tidak Keterangan
1. Apakah setiap laporan yang berkaitan
dengan pembelian yang dihasilkan oleh
bagian logistik selalu mencantumkan :
a. Tanggal, bulan, tahun, dan waktu
pencetakan
b. Tanggal, bulan, dan tahun
c. Waktu pencetakan
√
8 orang
2. Apakah pada setiap laporan yang
berkaitan dengan pembelian yang
dihasilkan oleh bagian logistik tersebut
dicantumkan :
a. Nomor halaman dan tanda akhir
halaman
b. Nomor halaman
c. Tanda akhir halaman
√
5 orang
3 orang
3. Apakah dengan menggunakan program
ICRAM, setiap dokumen yang berkaitan
dengan pembelian (Surat Pesanan,
Purchase Order, dan Surat Mutasi) dapat
disajikan dengan cepat?
√
8 orang
4. Apakah dengan menggunakan program
102
ICRAM, laporan pembelian harian yang
dihasilkan oleh bagian logistik dapat
disajikan secara tepat waktu?
√
8 orang
5. Apakah laporan-laporan pembelian yang
dihasilkan oleh bagian logistik
didistribusikan tepat pada awal periode?
3 orang
√
5 orang
Laporan
pembelian
bulanan yang
dihasilkan
didistribusikan
terkadang tidak
tepat waktu
karena
pembuatannya
dilakukan
secara manual
yang cukup
memakan
waktu
(pembuatan
laporan tersebut
tidak terdapat
dalam program
ICRAM).
6. Apakah selalu terdapat tembusan laporan
pembelian bulanan untuk diberikan pada
pihak yang berwenang?
√
8 orang
7. Bila jawaban di atas adalah “Ya”, apakah
banyaknya tembusan serta nama / bagian
yang menerima tembusan-tembusan
laporan tersebut dicantumkan pada setiap
103
laporan pembelian bulanan yang
diberikan pada pihak yang berwenang?
√
8 orang
8. Apakah karyawan yang membuat laporan
dan dokumen / surat yang berkaitan
dengan pembelian tersebut harus
bertanggung jawab penuh atas hal-hal
yang dicantumkan pada laporan tersebut?
√
8 orang
9. Apakah terdapat pencantuman nama
karyawan yang membuat laporan yang
berkaitan dengan pembelian yang
dihasilkan tersebut?
1 orang
√
7 orang
Laporan yang
tidak
mencantumkan
nama pembuat
laporan hanya
laporan
pembelian
bulanan.
Sebelum
laporan
pembelian
bulanan dicetak,
terlebih dahulu
data tentang
laporan
pembelian
bulanan tersebut
sudah di-share
ke bagian
keuangan.
Sehingga,
pencantuman
104
nama karyawan
yang membuat
laporan
dianggap tidak
perlu.
10. Apakah terdapat pencantuman nama
karyawan yang membuat dokumen
pembelian yang dihasilkan tersebut?
√
8 orang
11. Apakah yang dapat mencetak laporan dan
dokumen / surat yang berkaitan dengan
pembelian hanya orang yang berwenang
saja?
√
8 orang
12. Apakah hasil output (dokumen atau
laporan) yang berkaitan dengan
pembelian selalu cocok dengan dokumen
sumber?
3 orang
√
5 orang
13. Jika jawaban di atas “Tidak”, apakah
kesalahan disebabkan oleh :
a. Human Error
b. System Error
√
5 orang
14. Apakah terdapat larangan untuk
pencetakan laporan yang berkaitan
dengan pembelian secara berulang?
√
8 orang
15. Apakah ada prosedur yang mengatur
pencetakan laporan yang berkaitan
dengan pembelian yang sudah ditetapkan
oleh manajemen?
√
8 orang
105
Temuan dari hasil kuesioner :
Setiap laporan yang berkaitan dengan pembelian yang dihasilkan selalu
mencantumkan tanggal, bulan dan tahun.
Nomor halaman dicantumkan pada setiap laporan yang berkaitan dengan pembelian.
Dengan menggunakan program ICRAM, setiap dokumen yang berkaitan dengan
pembelian (Surat Pemesanan, Purchase Order, dan Surat Mutasi) dapat disajikan
dengan cepat, sehingga dapat meningkatkan efisiensi kinerja bagian logistik.
Dengan menggunakan program ICRAM, laporan pembelian harian yang dihasilkan
oleh bagian logistik dapat disajikan secara tepat waktu.
Laporan-laporan pembelian yang dihasilkan didistribusikan terkadang tidak tepat
waktu hanya pada laporan pembelian bulanan karena pembuatan laporan pembelian
bulanan dilakukan secara manual yang cukup memakan waktu (pembuatan laporan
tersebut tidak terdapat dalam program ICRAM).
Selalu terdapat tembusan laporan pembelian bulanan untuk diberikan kepada pihak
yang berwenang.
Banyaknya tembusan laporan tidak dicantumkan pada setiap laporan pembelian
bulanan yang diberikan kepada pihak yang berwenang.
Karyawan yang membuat laporan yang berkaitan dengan pembelian harus
bertanggung jawab penuh atas hal-hal yang dicantumkan pada laporan tersebut.
Tidak dicantumkan nama karyawan yang membuat laporan yang berkaitan dengan
pembelian hanya pada laporan pembelian bulanan. Akan tetapi, sebelum laporan
pembelian bulanan dicetak, terlebih dahulu data tentang laporan pembelian bulanan
tersebut sudah di-share ke bagian keuangan. Sehingga, pencantuman nama karyawan
yang membuat laporan dianggap tidak perlu.
106
Terdapat pencantuman nama karyawan yang membuat dokumen / surat pembelian.
Hanya orang yang berwenang saja yang dapat mencetak laporan yang berkaitan
dengan pembelian.
Pernah terjadi ketidakcocokan antara data pembelian pada dokumen sumber dengan
hasil output yang disebabkan karena human error.
Laporan yang berkaitan dengan pembelian yang sudah pernah dicetak, dapat dicetak
ulang.
Terdapat prosedur yang mengatur pencetakan laporan yang berkaitan dengan
pembelian yang sudah ditetapkan oleh manajemen.
4.3.3.2 Evaluasi Hasil Wawancara Pengendalian Output
Temuan pada saat wawancara :
Laporan-laporan yang dibuat oleh bagian logistik adalah laporan pembelian harian,
laporan pembelian bulanan, laporan stok barang.
Laporan pembelian bulanan yang dihasilkan oleh bagian logistik akan diberikan
kepada bagian keuangan.
Laporan yang berkaitan dengan pembelian yang dihasilkan untuk bagian yang lain
didistribusikan pada tiap bulan.
Tidak terdapat tanda tangan dan pencantuman nama pihak yang berwenang
(supervisor) dan pembuat laporan pada laporan pembelian bulanan yang dicetak.
Sebelum laporan tersebut dicetak, laporan tersebut diberikan kepada bagian
keuangan secara langsung melalui sharing data.
107
Pada saat pendistribusian stok (obat-obatan), bagian logistik akan mencetak surat
mutasi (bukti keluar barang gudang) barang sebagai bukti telah diterimanya obat-
obatan yang dipesan oleh bagian yang meminta.
Tidak semua laporan yang berkaitan dengan pembelian dihasilkan oleh program
ICRAM.
Masih terdapat pembuatan laporan yang berkaitan dengan pembelian secara manual.
4.3.3.3 Evaluasi Hasil Observasi Pengendalian Output
Temuan pada saat observasi :
Terdapat laporan pembelian harian, laporan pembelian bulanan, laporan stok barang.
Laporan pembelian selalu mencantumkan tanggal, bulan, dan tahun.
Terdapat nomor halaman pada laporan pembelian.
Terdapat tembusan laporan pembelian bulanan, tetapi tembusan tersebut tidak
dicantumkan pada laporan pembelian bulanan untuk diberikan kepada pihak siapa
saja.
Pada laporan pembelian harian dan laporan stok obat terdapat nama pembuat
laporan.
Laporan pembelian bulanan dibuat secara manual diluar program ICRAM dengan
menggunakan Microsoft Excel.
Pada laporan pembelian bulanan tidak terdapat nama maupun tanda tangan
supervisor yang bertanggung jawab terhadap laporan tersebut.
Pada dokumen / surat yang berkaitan dengan pembelian terdapat nama karyawan.
Terdapat pengarsipan dokumen / surat yang berkaitan dengan pembelian.
108
Terdapat dokumen share untuk pengecekan laporan pembelian bulanan oleh bagian
keuangan.
Laporan yang berkaitan dengan pembelian dapat dicetak ulang.
4.3.3.4 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Output
Gambar 4.7 Layar Menu Laporan
Gambar 4.8 Layar Laporan Purchase Order 1
109
Gambar 4.9 Layar Laporan Purchase Order 2
Gambar 4.10 Layar Laporan Purchase Order 3
Dalam penggunaan menu laporan pada aplikasi pembelian, bagian logistik
hanya menggunakan menu Laporan Purchase Order (laporan pembelian harian), dimana
110
laporan tersebut akan ditransfer ke Microsoft Excel. Adapun langkah-langkah yang
digunakan dalam pembuatan laporan tersebut adalah sebagai berikut :
Bagian logistik yang ingin membuat laporan Purchase Order (laporan pembelian
harian) akan membuka menu Laporan Purchase Order pada menu laporan (Gambar
4.7).
Ketika tampilan Laporan Purchase Order telah terbuka, bagian logistik akan
melakukan transfer data Purchase Order untuk periode tertentu, dengan terlebih
dahulu memilih empat pilihan yang terdapat pada tampilan tersebut dan kemudian
memilih icon “Transfer Excel” untuk memulai pemrosesan (Gambar 4.8).
Setelah icon tersebut dipilih maka sistem aplikasi akan mulai memproses transfer
data Purchase Order ke Microsoft Excel dengan ditandai munculnya suatu
pemberitahuan (Gambar 4.9).
Setelah data berhasil diproses, pada tampilan akan muncul suatu pemberitahuan yang
menyatakan bahwa data berhasil disimpan ke dalam Microsoft Excel (Gambar 4.10).
Temuan masalah pada proses pembuatan laporan :
Tidak semua menu laporan dalam aplikasi pembelian dimanfaatkan oleh staf
pembelian karena menu-menu laporan lainnya masih belum diperlukan oleh bagian
logistik.
Tidak terdapat menu pembuatan laporan pembelian bulanan.
4.3.4 Evaluasi Pengendalian Aplikasi : Boundary
4.3.4.1 Evaluasi Hasil Wawancara Pengendalian Boundary
Temuan pada saat dilakukan wawancara adalah :
111
Harus memasukkan User ID dan Password bila ingin mengakses aplikasi pembelian.
Tidak adanya batasan minimum karakter dalam password.
Karakter dalam password tidak harus gabungan antara huruf dan angka.
Untuk merubah password, user diharuskan untuk mengisi form permintaan
password terlebih dahulu agar dapat diproses oleh supervisor. Password tersebut
ditentukan oleh user itu sendiri.
Tidak adanya keharusan penggantian password secara berkala.
Saat user memasukkan password, password tersebut disamarkan dalam bentuk tanda
pagar (“#”).
Hal khusus yang terjadi bila user salah dalam memasukkan user ID dan password
ialah akan muncul pesan peringatan yang menyatakan “Username Atau Password
Salah. Ulangi lagi”, dan setiap user yang melakukan kesalahan input password
dicatat dalam server serta terdapat fasilitas lock (tertutupnya layar aplikasi secara
otomatis dan kembali ke Windows) jika terjadi kesalahan input password sebanyak
tiga kali, tetapi user dapat mengakses kembali program tersebut.
Tidak adanya fasilitas pengingat password.
Terdapat pengendalian dalam pengaksesan terhadap aplikasi yang berbeda antar tiap
bagian, dimana user hanya dapat mengakses modul-modul / menu-menu tertentu
dalam aplikasi pembelian sesuai dengan hak yang dimiliki.
Kebijakan pengendalian akses dilakukan dengan cara Discretionary access control
policies dan Mandatory access control policies.
User perlu mendapat otorisasi / tindakan khusus terlebih dahulu bila mengakses data
yang khusus dimana kepala bagian berhak menambah dan mengurangi hak seorang
user dalam mengakses aplikasi dengan terlebih dahulu meminta kepada bagian EDP.
112
Terdapat prosedur yang telah ditentukan oleh manajemen mengenai hak akses
aplikasi pembelian.
Diberlakukan pengendalian dengan pengenkripsian data pembelian dan password.
Diberlakukan proses enkripsi data pembelian pada saat data tersebut disimpan pada
server dan pada saat terjadi pengiriman data maupun penerimaan data melalui VPN.
Ketentuan dalam membuat enkripsi dan teknik dalam membuat enkripsi tersebut
hanya diketahui oleh bagian EDP.
Tidak ada kesulitan dalam mengelola kunci cryptographic karena kunci dalam
membuka data enkripsi dibuat dan hanya diketahui oleh bagian EDP
Mekanisme pengendalian boundary terhadap pengaksesan aplikasi secara otomatis
melakukan pembandingan antara level akses user dengan identifikasi level dari
sumber daya data yang diakses sehingga seorang user dapat terkendali dalam
penggunaan program ICRAM tanpa melanggar hak-hak aksesnya.
4.3.4.2 Evaluasi Hasil Uji Penggunaan Aplikasi Pengendalian Boundary
Gambar 4.11 Layar Login
113
Gambar 4.12 Layar Input Login
Gambar 4.13 Layar Penolakan Akses Login
114
Gambar 4.14 Layar Penolakan Akses
Pada saat user ingin menggunakan aplikasi pembelian, user harus melakukan
login terlebih dahulu. Adapun hal-hal yang berkaitan dengan login adalah sebagai
berikut :
Field user ID diisi dengan menggunakan nama dari user (Gambar 4.11).
Field password diisi dengan password dari masing-masing user. Pada tampilan
layar, password yang dimasukkan ditampilkan dalam bentuk pagar (“#”) (Gambar
4.12).
Setelah user ID dan password dimasukkan, user menekan tombol ENTER pada
keyboard. Jika user ID dan password yang dimasukkan oleh user sesuai, maka user
dapat menggunakan aplikasi pembelian tersebut.
Jika user ID dan password yang dimasukkan tidak sesuai, maka pada tampilan akan
muncul suatu peringatan bahwa user ID dan password yang dimasukkan salah dan
user tidak dapat menggunakan aplikasi pembelian tersebut (Gambar 4.13).
115
Pada proses login, kesalahan dalam memasukkan user ID dan password hanya
dibatasi sebanyak tiga kali dan aplikasi akan tertutup secara otomatis.
Setelah user berhasil masuk kedalam aplikasi setelah melalui proses login, maka
user dapat menggunakan aplikasi sesuai dengan kebutuhannya. Akan tetapi dalam
mengakses menu-menu yang terdapat didalam aplikasi tersebut terbatas sesuai
dengan hak akses user yang melakukan login tersebut, dalam hal ini bagian logistik
yang melakukan login hanya akan dapat menggunakan menu-menu pada aplikasi
terbatas pada kebutuhan bagian logistik (Gambar 4.14).
Temuan masalah pada saat proses login :
Bila user salah dalam melakukan input sebanyak tiga kali maka aplikasi akan
tertutup secara otomatis. Akan tetapi, user dapat mengaktifkan kembali aplikasi
tersebut dan memulai untuk melakukan input terhadap user ID dan password
(fasilitas lock yang masih lemah).
Tidak adanya fasilitas pengingat password untuk user yang lupa.
Icon ”Shut Down” pada layar login tidak dapat digunakan, sehingga user tidak dapat
keluar dari aplikasi sebelum benar-benar memasuki aplikasi.
4.3.5 Evaluasi Pengendalian Aplikasi : Komunikasi
4.3.5.1 Evaluasi Hasil Wawancara Pengendalian Komunikasi
Temuan pada saat wawancara :
Terkadang ada masalah koneksi dari komputer klien ke server, pada umumnya
disebabkan karena kabel yang kendor.
116
Tidak pernah ada masalah terhadap jaringan maupun hardware jaringan akibat
penyusup.
Terdapat switch dan router yang dipakai untuk koneksi dan terhubung dengan
memakai kabel UTP.
Bila pengiriman data error maka ada peringatan (warning) yang merupakan tanda
bahwa ada masalah dalam jaringan.
Topologi yang digunakan adalah topologi star.
Terdapat pemakaian VPN (Virtual Private Network) untuk pengiriman data ke luar
jaringan lokal.
Data yang dikirim melalui VPN akan dienkripsi terlebih dahulu.
Bila saat penyimpanan data pembelian ke server sedang berlangsung dan pada saat
yang bersamaan terjadi mati lampu maka data akan tersimpan pada temporary data
storage pada hardisk komputer klien. Dan setelah sistem kembali normal maka data
yang ada pada temporary data storage tersebut akan disimpan ke server secara
otomatis dan data pada temporary data storage akan terhapus secara otomatis.
4.3.5.2 Evaluasi Hasil Observasi Pengendalian Komunikasi
Penemuan pada saat observasi :
Topologi LAN yang digunakan berbentuk star.
Memakai switch, router, kabel UTP pada jaringan.
Terdapat peringatan atau warning yang merupakan tanda bahwa ada masalah dalam
jaringan.
117
4.4 Laporan Audit
Tabel 3. Laporan Audit
NO Pengendalian Instrumen Auditee Temuan Masalah
Standar / Kebijakan
Dampak Rekomendasi
1a. Keamanan Wawancara EDP Antivirus tidak di-update dan otomatis Scanning sistem tidak dilakukan lagi.
Secara berkala menjalankan antivirus untuk mendeteksi infeksi
Dengan tidak di update-nya antivirus maka semakin memungkinkan masuknya virus-virus yang bisa membahayakan sistem
Sebaiknya tetap dilakukan update antivirus untuk mencegah masuknya virus yang bisa merusak sistem dan tetap menjalankannya/ melakukan Scanning.
Keamanan Wawancara EDP Backup dilakukan hanya 1 kali seminggu
Backup harus ter-update secara berkelanjutan setiap terjadi perubahan.
Karena prosedur backup hanya satu kali dalam seminggu, maka jika terjadi kerusakan sebelum data di backup maka bisa terjadi kehilangan data
Bila memungkinkan dilakukannya prosedur backup setiap hari, misalnya pada akhir jam kerja
118
NO Pengendalian Instrumen Auditee Temuan
Masalah Standar /
Kebijakan Dampak Rekomendasi
Keamanan Wawancara EDP Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.
Tipe alat pemadam kebakaran yang tepat berada pada lokasi yang strategis dimana aset sistem informasi berada dan dapat diakses dengan mudah oleh staf.
Tidaka adanya alat pemadam kebekaran diruangan server program dan ruang EDP bisa mengakibatkan kebakaran yang bisa terjadi semakin membesar karena tidak adanya alat yang bisa memadamkan jika sewaktu-waktu terjadi kebakaran.
Dipasangnya alat pemadam kebakaran pada ruang server program dan ruang EDP.
Keamanan Wawancara EDP Tidak ada alat pendeteksi pada ruang server program dan ruang EDP.
Alarm kebakaran manual dan automatic ditempatkan pada lokasi strategis dimana aset sistem informasi ditempatkan..
Jika ada api penyebab kebakaran tidak bisa dideteksi sedini mungkin hingga bisa menyebabkan rusaknya dan hancurnya server dan peralatan diruang EDP seperti komputer, laptop, printer.
Dipasangnya alat pendeteksi kebakaran pada ruang server program dan ruang EDP.
-"
ta
&~
id
a~
rd
aP
;1
t / P
rogr
am y
ang
1 men
u be
rkua
litas
pe
mbu
atan
tin
ggi b
arus
la
pora
n m
enja
lank
an
pem
belia
n fil
llgsi
ny a
bula
nim
. dc
ngan
tepa
t
P
+G
~G
-=
I pe
nyaj
ian
lapo
ran
yang
ber
kaita
n de
ngan
pem
belia
n tid
ak
tern
~anf
aatk
an
seca
ra m
aksi
mal
.
I St
af o
einb
elia
n ba
rus
~ne
mbu
at
lapo
ran
pern
belia
n bu
lana
nl s
ecar
e m
anua
l yan
g cu
kup
I mem
akac
~ wak
lu.
I---. --.
.- Se
baik
nya
dala
rn
pem
buat
nn a
plilr
asi
peu~
~bel
ian han
~s
dise
suai
kan
deng
an
kebu
tuha
n ba
gian
lo
gist
ik, s
ehin
gga
sern
ua m
enu
yang
ad
a da
pat
digu
nakm
scc
ara
mak
sim
al u
ntuk
la
nerj
a ba
gian
lo
gist
ik.
-l-m
h=a&
$
men
u un
tuk
pem
buat
an la
porm
pe
mbe
lian
bula
nan
pada
men
u la
pora
n pa
da p
rogr
am
ICR
AM
unl
uk
rnem
bant
u ef
isie
nsi
I da
n ef
elti
v~ta
s 1
kerj
a ba
gian
! logi
stik
.
143
4.5 Analisis Tingkat Resiko
Tabel 4. Analisa Tingkat Resiko Pengendalian
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
1. Keamanan Antivirus tidak di-update dan otomatis scanning sistem tidak dilakukan lagi.
Tinggi. Memungkinkan masuknya virus-virus yang bisa membahayakan sistem yang sedang berjalan sekarang ini dan membuat scanning sistem yang pada awalnya dilakukan tidak difungsikan lagi.
Tinggi. Tinggi. Tinggi.
Keamanan Backup dilakukan 1 kali seminggu.
Rendah. Prosedur backup hanya satu kali dalam seminggu, maka jika terjadi kerusakan sebelum data di-backup maka bisa terjadi kehilangan data.
Tinggi. Sedang.
144
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Keamanan Tidak terdapat alat pemadam kebakaran pada ruang server program dan ruang EDP.
Tinggi. Tidak adanya alat pemadam kebakaran di ruangan server program dan ruang EDP bisa mengakibatkan kebakaran yang bisa terjadi semakin membesar karena tidak adanya alat yang bisa memadamkan jika sewaktu-waktu terjadi kebakaran.
Tinggi. Tinggi.
Keamanan Tidak ada alat pendeteksi kebakaran pada ruang server program dan ruang EDP.
Tinggi. Api penyebab kebakaran tidak bisa dideteksi sedini mungkin sehingga bisa menyebabkan rusaknya dan hancurnya server dan peralatan di ruang EDP.
Tinggi. Tinggi.
145
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Keamanan Bagian sarana memiliki kunci duplikat ruang server.
Rendah.
Bisa adanya penyusup yang masuk ke ruang server dengan menyamar sebagai petugas sarana (cleaning service).
Tinggi. Sedang.
Keamanan Tidak terdapat kamera pengawas pada ruang server.
Tinggi.
Bila ada penyusup yang berhasil masuk ke ruang server maka akan sulit dideteksi dan diketahui gerak-geriknya serta siapa penyusup itu karena tidak adanya kamera pengawas pada ruang server.
Tinggi. Tinggi.
146
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
2. Input Aplikasi belum menjawab semua kebutuhan peng-input-an data pembelian seperti pembuatan laporan pembelian bulanan.
Rendah. Masih adanya transaksi yang harus dikerjakan secara manual. Dengan demikian aplikasi belum mengintegrasikan semua kebutuhan peng-input-an sehingga pekerjaan yang dilakukan belum cukup efektif dan efisien.
Rendah. Rendah. Rendah.
Input Terjadi kesalahan peng-input-an pembelian yang disebabkan karena human error.
Rendah.
Bila terjadi kesalahan peng-input-an data pembelian khususnya dalam pembuatan defecta obat akan berdampak terhadap terjadinya kesalahan dalam pemesanan obat.
Tinggi. Sedang.
147
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Input Nomor Bukti pada layar Surat Mutasi di-input secara manual oleh staff pembelian, sedangkan dokumen pembelian yang lain muncul secara otomatis.
Rendah. Dengan dimasukkannya Nomor Bukti pada layar Surat Mutasi secara manual, memungkinkan terjadinya kesalahan yang disebabkan human error, misalnya saja lupa Nomor Bukti yang terakhir di-input atau salah format Nomor Bukti.
Rendah. Rendah.
148
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
3. Output Laporan pembelian bulanan yang dihasilkan didistribusikan terkadang tidak tepat waktu hanya pada laporan pembelian bulanan karena adanya pembuatan laporan secara manual yang cukup memakan waktu (pembuatan laporan tersebut tidak terdapat dalam program ICRAM).
Tinggi. Dengan adanya laporan pembelian bulanan yang didistribusikan tidak tepat waktu maka akan menghambat bagian yang memerlukan laporan tersebut dalam membuat suatu keputusan yang mungkin saja penting.
Tinggi. Tinggi. Tinggi.
149
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Output Pada laporan pembelian bulanan tidak terdapat nama maupun tanda tangan supervisor yang bertanggung jawab terhadap laporan tersebut.
Tinggi. Keabsahan dari laporan pembelian bulanan tidak sepenuhnya terpenuhi, walaupun data laporan pembelian bulanan sudah di-share-kan melalui jaringan untuk diperiksa oleh bagian keuangan. Bila terjadi permasalahan akibat laporan tersebut maka bisa saja supervisor tersebut tidak mau bertanggung jawab karena tidak adanya bukti yang otentik.
Tinggi. Tinggi.
150
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Output Banyaknya tembusan laporan tidak dicantumkan pada setiap laporan pembelian bulanan yang diberikan kepada pihak yang berwenang.
Tinggi. Tidak diketahuinya dengan jelas jumlah dan kemana saja laporan pemebelian bulanan tersebut didistribusikan sehingga dapat menyebabkan kesalahpaham an antar pihak yang berwenang serta tidak terkendalinya pencetakan terhadap laporan.
Tinggi. Tinggi.
151
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Output Pernah terjadi ketidakcocok-an antara data pembelian dalam dokumen sumber dengan hasil output yang disebabkan karena human error.
Rendah.
Dapat menyebabkan terjadinya kesalahan pada pengambilan keputusan bila keputusan yang diambil dengan menggunakan hasil output tersebut dan juga akan dimungkinkan terjadinya kesalahan-kesalahan pada transaksi yang akan dilakukan bila hasil output tersebut dipakai dalam transaksi yang dilakukan.
Tinggi. Sedang.
152
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Output Laporan yang berkaitan dengan pembelian yang sudah pernah dicetak, dapat dicetak ulang.
Tinggi. Laporan yang dicetak ulang bisa saja tersebar ke orang yang seharusnya tidak berwenang untuk membaca laporan tersebut.
Tinggi Tinggi.
Output Tidak semua laporan dihasilkan oleh program ICRAM.
Rendah. Efektifitas dan efisiensi dalam melakukan pekerjaan tidak tercapai.
Tinggi. Sedang.
Output Tidak semua menu laporan dalam aplikasi pembelian dimanfaatkan oleh staf pembelian.
Rendah. Menu-menu penyajian laporan yang berkaitan dengan pembelian tidak termanfaatkan secara maksimal.
Rendah. Rendah.
153
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
4. Boundary Tidak adanya batasan minimum karakter dalam password.
Rendah. Jika karakter yang digunakan terlalu sedikit, kemungkinan orang lain mengetahui password tersebut akan semakin besar.
Rendah. Sedang. Rendah.
Boundary Karakter dalam password tidak harus gabungan antara huruf dan angka.
Rendah. Bisa semakin mudah seseorang mengetahui password orang yang lain karena bisa dengan mudah dicoba-coba.
Rendah. Sedang.
Boundary Tidak adanya keharusan penggantian password secara berkala.
Rendah. Jika password digunakan dalam jangka waktu yang relatif lama, maka orang lain akan bisa tahu password yang digunakan.
Rendah. Rendah.
154
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Boundary Tidak adanya fasilitas pengingat password
Rendah. Tidak adanya fasilitas pengingat password bisa menyulitkan pihak yang berkepentingan jika suatu saat ia lupa password.
Rendah. Rendah.
Boundary Bila user salah dalam melakukan input sebanyak tiga kali, aplikasi tertutup secara otomatis. Akan tetapi, user dapat mengaktifkan kembali aplikasi tersebut (fasilitas lock yang masih lemah).
Tinggi. Dengan fasilitas lock yang lemah, maka user dapat sering melakukan kesalahan.
Tinggi. Tinggi.
155
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
Boundary Icon ”Shut Down” pada layar login tidak berfungsi, sehingga user tidak dapat keluar sebelum memasuki aplikasi.
Rendah. User tidak dapat menggunakan fasilitas “Shut Down” tersebut.
Rendah. Rendah.
NO Pengendalian Temuan Masalah /
Vulnerability
Tingkat Vulnerability
Dampak / Ancaman Tingkat Ancaman
Tingkat Resiko Tingkat Resiko Pada Pengendalian
5. Komunikasi Terkadang ada masalah koneksi dari komputer klien ke server, pada umumnya disebabkan karena kabel yang kendor.
Rendah. Mengganggu aktivitas / transaksi pada Rumah Sakit khususnya pada bagian pembelian.
Rendah. Rendah. Rendah.
156
Keterangan:
Tabel 5. Tingkat Pengendalian
No Tingkat Resiko Pada Pengendalian Tingkat Pengendalian 1. Tinggi Kurang 2. Sedang Sedang 3. Rendah Baik