bab 4 evaluasi terhadap aplikasi impor pada …thesis.binus.ac.id/asli/bab4/2006-2-00831-ka-bab...
TRANSCRIPT
115
BAB 4
EVALUASI TERHADAP APLIKASI IMPOR PADA KANTOR
PELAYANAN BEA DAN CUKAI JAKARTA
4.1 Tujuan Evaluasi terhadap Sistem Aplikasi Impor
Tujuan Evaluasi terhadap Sistem Aplikasi Impor bertujuan untuk:
1. Mengevaluasi dan memastikan apakah pengendalian umum dan pengendalian
aplikasi sudah berjalan dengan efektif
2. Mengetahui seberapa efektif Sistem Aplikasi Impor
3. Mengetahui apakah Sistem Aplikasi Impor sudah memenuhi kebijakan yang
ditetapkan dalam kep 07/KMK/2003
4. Memberi rekomendasi atas resiko-resiko yang diperoleh, untuk
meningkatkan keefektifan Sistem Aplikasi Impor
4.2 Program Audit
4.2.1 Perencanaan Audit
Tahap perencanaan audit dilakukan dengan menentukan persiapan-
persiapan dan informasi apa saja yang diperlukan dalam rangka melakukan
audit terhadap Sistem Aplikasi Impor, termasuk didalamnya persiapan
evaluasi lapangan terhadap objek audit.
4.2.1.1 Informasi Yang Diperlukan
Informasi yang diperlukan dalam rangka audit Sistem Aplikasi
Impor adalah
116
1. Sejarah Direktorat Jenderal Bea dan Cukai (DJBC)
Dapatkan informasi tentang sejarah DJBC
2. Struktur Organisasi
Dapatkan informasi tentang struktur organisasi DJBC dan
substruktur organisasi yang terkait
3. Ketentuan-ketentuan yang terkait dengan Sistem Aplikasi
Impor
Dapatkan informasi tentang aplikasi dan ketentuan-
ketentuan atau kebijakan yang terkait dengan Sistem Aplikasi
Impor
4. Pengendalian Umum dan Pengendalian Aplikasi
Dapatkan informasi mengenai pengendalian umum dan
pengendalian aplikasi yang ada.
4.2.1.2 Persiapan Evaluasi Lapangan
Rencana evaluasi lapangan dalam rangka audit terhadap
Sistem Aplikasi Impor adalah sebagai berikut:
1. Waktu audit ditargetkan minimal 15 kali dalam kurun waktu 5
bulan, berturut-turut dari bulan Agustus 2005 sampai dengan
Desember 2005
2. Tim evaluasi selaku auditor terdiri dari 2 orang
3. Objek audit Sistem Aplikasi Impor dilakukan di kantor Pusat
DJBC dan disalah satu Kantor Pelayanan Bea Cukai, yaitu di
117
Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara
Halim Perdana Kusuma, Jakarta
4. Sebelum evaluasi, mengajukan Surat Permohonan Survei ke
Sub Direktorat Informasi Kepabeanan dan Cukai
5. Evaluasi berupa wawancara, kuesioner, observasi, review
dokumentasi dan Testing dilakukan di Sub Direktorat
Informasi Kepabeanan dan Cukai, yang terletak di Gedung A
lantai 1, Direktorat Jenderal Bea dan Cukai Pusat, Jalan
Ahmad Yani By Pass, Jakarta Timur.
6. Evaluasi berupa wawancara, kuesioner, observasi, dan review
dokumentasi dilakukan di Kantor Pelayanan Bea Cukai
Jakarta, Jalan Bandara Halim Perdana Kusuma
4.2.2 Prosedur Audit Atas Pengendalian Umum dan Aplikasi
4.2.2.1 Prosedur Audit Atas Pengendalian Umum
1. Dapatkan informasi sekilas tentang System Development
Life Cycle (SDLC) pada DJBC yang mendasari
pengembangan sistem
2. Dapatkan Informasi tentang tugas DA (Data Administrator)
dan DBA (Database Administrator)
3. Dapatkan ketentuan/prosedur khusus mengenai pengaksesan
Sistem Aplikasi Impor
4. Dapatkan informasi metode pengaksesan database
(Descreatory atau Mandatory Access)
118
5. Dapatkan informasi mengenai keberadaan Quality Control
atas database
6. Dapatkan bukti atas Quality Control yang dilakukan
7. Dapatkan informasi mengenai pengendalian keamanan yang
diterapkan
8. Dapatkan informasi tentang apa saja komponen-komponen
keamanannya (software dan hardware)
9. Dapatkan informasi lokasi ruang pemrosesan data
10. Dapatkan informasi mengenai pembatasan akses fisik ke
ruang komputer
11. Dapatkan informasi mengenai pembatasan akses ke dalam
sistem komputer
12. Dapatkan informasi tentang sistem aplikasi untuk
mendukung keamanan jaringan
13. Dapatkan informasi apakah DJBC melakukan inventarisasi
dan mengcover aset sistem komputer dengan asuransi
14. Dapatkan informasi tentang jadwal operasi sistem aplikasi
Impor
15. Dapatkan informasi tentang maintenance hardware dan
software secara periodik
16. Dapatkan informasi mengenai histori operasional sistem
17. Dapatkan informasi tentang kebijakan yang digunakan untuk
memonitor sistem (koneksi atau jaringan)
119
18. Dapatkan sekilas informasi tentang hardware yang
digunakan
4.2.2.2 Prosedur Audit Atas Pengendalian Aplikasi
A. Boundary Control
1. Dapatkan informasi metode akses yang digunakan
2. Dapatkan informasi mengenai tingkatan level user dan
batasan-batasan aksesnya
3. Lakukan pengecekan apakah bila login tidak valid sistem
menampilkan pesan tidak valid
4. Lakukan pengecekan berapa kali kegagalan penginputan
login access dapat dilakukan
5. Dapatkan informasi mengenai pembatasan umur password
6. Dapatkan informasi apakah login access pada setiap
subsistem aplikasi tersebut di-encryption
B. Communication Control
1. Dapatkan informasi tentang firewall yang digunakan pada
Sistem Aplikasi Impor
2. Dapatkan informasi mengenai software dan hardware yang
digunakan, khususnya mengenai jaringan
3. Dapatkan informasi mengenai communication lines yang
digunakan
120
4. Dapatkan informasi mengenai keberadaan encryption pada
Sistem Aplikasi Impor
5. Dapatkan informasi mengenai keberadaan backup hardware
internetworking
6. Dapatkan informasi tentang topologi jaringan yang
digunakan
7. Evaluasi terhadap private/public network dan protokol yang
digunakan
C. Input Control
1. Dapatkan metode input yang digunakan
2. Dapatkan informasi otorisasi transaksi sebelum inputan
3. Dapatkan informasi mengenai rancangan tampilan data
entry
4. Dapatkan informasi apakah bila inputan salah ada pesan
error atau tidak
5. Dapatkan informasi mengenai audit trail terhadap input
6. Dapatkan informasi mengenai completeness check atas
inputan
D. Process Control
1. Dapatkan informasi mengenai system requirement dari
aplikasi
121
2. Dapatkan kebijakan mengenai software dan hardware yang
digunakan
3. Dapatkan informasi mengenai kebijakan update data
4. Dapatkan informasi mengenai apakah transaksi yang
terotorisasi telah diproses secara akurat
5. Dapatkan informasi mengenai audit trail terhadap proses
6. Dapatkan informasi apakah bila ada proses yang salah atau
gagal ada pesan error atau tidak
7. Dapatkan informasi mengenai apakah ada recovery setelah
ada proses yang gagal.
8. Dapatkan informasi apakah ada prosedur untuk menjamin
tidak ada proses yang duplikasi
E. Database control
1. Dapatkan informasi mengenai hubungan tiap-tiap entity
yang ada
2. Dapatkan informasi tentang pembatasan akses database
3. Dapatkan informasi tentang audit trail database
4. Dapatkan informasi mengenai ketersediaan audit terhadap
database
5. Dapatkan informasi apakah backup terhadap database
dilakukan secara rutin atau tidak
122
6. Dapatkan informasi mengenai kegagalan apa saja yang
pernah terjadi pada database
7. Dapatkan informasi mengenai perubahan transaksi pada
database
F. Output Control
1. Dapatkan informasi mengenai prosedur review laporan oleh
manajemen
2. Dapatkan informasi mengenai kelengkapan laporan
3. Dapatkan informasi mengenai pendistribusian laporan
4. Dapatkan informasi mengenai otorisasi pencetakan laporan
5. Dapatkan informasi mengenai waktu pencetakan laporan
4.2.3 Pengumpulan Bukti Audit
1. Kuesioner
Kuesioner yang digunakan sebagai metode untuk mengumpulkan
bukti audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan
Kuesioner Pengendalian Aplikasi
Dimana kuesioner ini terdiri dari:
a. Kolom nomor pertanyaan
b. Kolom pertanyaan, berisi aspek-aspek data yang ingin
diketahui oleh auditor
123
c. Kolom ya dan tidak, merupakan jawaban terhadap
pertanyaan responden
d. Kolom keterangan, merupakan penjelasan responden
terhadap pertanyaan dan jawaban yang diberikan
2. Wawancara
Wawancara dilakukan secara tidak terstruktur, dimana design
pertanyaannya disesuaikan dengan informasi/data yang ingin
diketahui oleh auditor. Dimana respondennya dibatasi hanya untuk
manajemen terkait
3. Observasi
Observasi dilakukan dengan melakukan survei langsung ke
lapangan untuk melihat secara langsung pengendalian umum dan
aplikasi secara langsung untuk mendapatkan informasi lapangan
yang lebih akurat. Dimana observasi dilakukan di Direktorat
Informasi Kepabeanan dan Cukai pada Kantor Pusat Direktorat
Jenderal Bea dan Cukai dan di Divisi Operasional Komputer dan
Distribusi Dokumen pada Kantor Pelayanan Bea dan Cukai Jakarta,
Jalan Bandara Halim Perdana Kusuma
4. Testing
Testing dilakukan untuk mendapatkan informasi yang lebih jelas
mengenai pengendalian aplikasi. Dimana auditor secara langsung
menguji Aplikasi Impor yang ada
124
5. Review Dokumentasi
Review dokumentasi dilakukan dengan menelusuri dokumen-
dokumen dan laporan yang dihasilkan guna mendapatkan informasi
terhadap pengendalian yang ada.
125
4.3 Hasil Pengumpulan Data Atas Pengendalian Umum
4.3.1 Hasil Kuesioner Pengendalian Umum
No Pertanyaan Ya Tidak Keterangan
1 Apakah terdapat struktur organisasi formal yang
mencakup bagian pengolahan data?
√
Ada, lihat Gambar 3.1 (Struktur Organisasi
DJBC Kantor Pusat) Pada divisi DIKC
(Direktorat Informasi Kepabenan dan Cukai)
dan pada Gambar 3.3 (Struktur Organisasi
Kantor Pelayanan Tipe A) Pada divisi OKDD
(Operasional Komputer dan Distribusi
Dokumen).
2 Apakah manajemen melakukan review periodik
terhadap skedul pengolahan data dan pencetakan
laporan?
√
Dilakukan oleh manajemen terkait, Untuk
Kantor Pelayanan seperti Kepala Kantor,
OKDD, untuk Kantor Pusat Direktorat Jenderal.
3 Apakah terhadap fungsi-fungsi yang ada di
bagian pengolahan data telah terdapat uraian dan
Ada tertulis pada Nota Dinas, dimana Nota
Dinas berisikan Job Description untuk masing-
126
tanggung jawab yang jelas dan tertulis? √ masing fungsi. (Lihat Lampiran 51)
4 Apakah terdapat fungsi DBA yang terpisah dari
Data/Programmer Librarian maupun dari
Programmer?
√
Ada ruang yang terpisah.
5 Apakah terdapat ketetapan tertulis tentang
persyaratan ketrampilan bagi setiap posisi yang
ada dibagian pengolahan data?
√
Tidak tertulis, background pendidikannya tidak
dinyatakan secara tertulis. Adanya training bagi
staf yang akan ditempatkan ke bagian
pengolahan data.
6 Apakah ada program latihan (training) untuk
meningkatkan kemampuan personil bagian
Pengolahan Data?
√
Ada training pada periode tertentu yang sudah
ditetapkan dan dijadwalkan oleh manajemen
7 Apakah terdapat evaluasi periodik berdasarkan
kriteria yang ada terhadap kinerja para personil?
√
Ada, hal ini terlihat dalam Aplikasi Impor,
dimana terdapat laporan yang berupa evaluasi
terhadap kinerja para personil yang terlibat
dalam aplikasi tersebut (Lihat Lampiran 80
127
pada Gambar 57 dan Lampiran 84 pada
Gambar 65)
8 Apakah terhadap seluruh operasi komputer telah
dilakukan penjadwalan sehingga dapat
diselesaikan tepat waktu dan efisien?
√
Jadwalnya tidak secara rinci diatur dan hanya
mengikuti jam kerja pegawai. Misalnya:
Absensi, insert kurs (Mingguan). (Lihat
Lampiran 80 pada Gambar 58)
9 Apakah telah ditetapkan staf yang bertanggung
jawab untuk mengelola media komputer (misal:
tape, disket, dll)?
√
Ada, pada Kantor Pelayanan diatur oleh seksi
OKDD (Operasional Komputer dan Distribusi
Dokumen). Pada Kantor Pusat datur oleh DIKC
(Direktorat Informasi Kepabeanan dan Cukai).
10 Apakah telah terdapat prosedur pengolahan media
komputer dalam rangka melindungi data dari
penyalahgunaan atau kerusakan?
√
Ada, secara umum adanya pem-backup-an data
dan prosedurnya dinyatakan dalam bentuk user
manual.
11 Apakah terdapat standar penggunaan identifikasi
(eksternal dan internal label) terhadap seluruh
Ada, terdapat disetiap inventaris (Seperti
komputer, aksesoris komputer, dll) untuk media
128
media magnetis yang dipergunakan? √ magnetis seperti disket, CD, dll) jarang
digunakan karena semua data berada di server
dan backup data berada diserver.
Apakah dilakukan evaluasi terhadap kinerja dari
sistem yang digunakan?
√
Dari pihak intern dievaluasi oleh manajemen,
untuk external pernah dilakukan audit sistem
informasi.
12
Jika ya, apakah terdapat dokumentasi mengenai
kinerja aplikasi?
√
Ada, bentuknya dalam laporan
13 Apakah lokasi ruang server/database terpisah
dengan bagian lainnya?
√
Bagian Database terpisah dengan bagian
lainnya, dimana Database ditempatkan di
Ruang Console pada Kantor Pelayanan berada
di lantai dasar dan pada Kantor Pusat berada di
lantai 2 dan hanya yang memiliki otoritas yang
boleh masuk
14 Apakah terdapat metode pembatasan akses Ada dengan menggunakan ID Card.
129
terhadap ruang fasilitas library yang ada? √
15 Apakah terhadap instalasi komputer yang kritis
dipakai metode pengawasan yang lebih ketat
mengenai pembatasan akses fisik?
√
Ada misalnya pada pengamanan server
16 Apakah terhadap terminal yang berada di luar
lokasi Bagian Pengolahan Data, telah
ditempatkan di lokasi yang aman?
√
17 Apakah kepada setiap pegawai yang
berkepentingan telah diberikan User ID yang
unik?
√
User ID diberikan sesuai dengan otoritas yang
diberikan kepadanya
18 Apakah tiap User ID (Log On ID) telah
dialokasikan access previllege yang sesuai
dengan tugas dan tanggung jawabnya?
√
Diberikan sesuai dengan otoritas dan tanggung
jawabnya
19 Apakah prosedur Log In pegawai diharuskan
memberikan User ID & Password?
√
130
20 Apakah Password terdapat dalam bentuk file
komputer yang telah dienkripsi?
√
Semua bagian tidak dapat mengetahui password
user, termasuk DBA sendiri, karena password
disamarkan. Bila ada user yang lupa dengan
passwordnya, maka akan dibuatkan password
baru.
21 Apakah peraturan pemakaian password dapat
menjamin bahwa tidak terdapat kemungkinan
suatu password diketahui oleh pihak lain?
√
Peraturan yang ada sudah jelas. Dalam praktek
tidak menutup kemungkinan adanya pihak yang
mengetahui password orang lain
22 Apakah terdapat keharusan untuk mengubah
password apabila telah melewati batas umur
tertentu?
√
Ada, tiga bulan sekali harus diganti
23 Apakah terdapat prosedur yang secara periodik
mengharuskan dilakukan evaluasi dalam rangka
mengidentifikasi dan mengatasi adanya aktivitas
yang tidak terotorisasi?
√
Ada, dari log file yang ada dan dilakukan oleh
DBA (Lihat Lampiran 85 pada Gambar 68,
Lampiran 86 pada Gambar 70, Lampiran 87
pada Gambar 72)
131
24 Apakah lokasi instalasi komputer telah cukup
aman dari kemungkinan gangguan maupun
bencana dari luar gangguan?
√
Di Kantor Pelayanan lokasi instalasi komputer
sebagian besar terletak dilantai dasar, karena
didukung oleh letak geografisnya. Di Kantor
Pusat lokasi instalasi komputer sebagian besar
berada di lantai 1 dan 2.
25 Apakah konstruksi bangunan instalasi komputer
terbuat dari bahan-bahan yang tidak rawan akan
api atau mudah dirusak?
√
Konstruksi bangunan instalasi komputer sudah
menggunakan standar.
26 Apakah setiap komputer memiliki sistem
antivirus yang selalu update?
√
Ada, update dilakukan per-client dan update
dilakukan secara online saat komputer
terhubung ke jaringan
27 Apakah perusahaan telah menerapkan
pengamanan untuk melindungi asetnya yang
berhubungan dengan sistem informasi terhadap
gangguan:
132
a. Banjir?
b. Kebakaran?
c. Listrik?
d. Suhu?
e. Lainnya?
√
√
√
√
√
Letak geografis yang mendukung, sehingga
sever berada di lantai dasar (Pada Kantor
Pelayanan Halim) dan Server berada di lantai 2
(Kantor Pusat)
Adanya tabung pemadam kebakaran di sudut
ruangan
Adanya UPS dan Stabilizer
Adanya AC
28 Apakah ada prosedur tertulis mengenai tata cara
penanganan ancaman yang berhubungan dengan
sistem informasi?
√
Jika hardware rusak langsung diserahkan ke
vendor bila masih dalam masa garansi, bila di
luar garansi diserahkan ke IKC atau PDDT
(Pengolahan Data dan Dukungan Teknis)
29 Apakah ruang komputer telah dilengkapi dengan
alat pendingin dan pengatur kelembaban?
√
Dengan menggunakan AC
133
30 Apakah telah terdapat prosedur backup yang
memadai terhadap data/aplikasi kritis?
√
Prosedur backup data dilakukan secara rutin
oleh DBA
31 Apakah terdapat prosedur untuk penanganan bila
ada hardware yang rusak?
√
Bila ada hardware yang rusak langsung
diserahkan ke vendor, bila dalam masa garansi,
dan bila diluar garansi diserahkan ke IKC atau
PDDT (Pengolahan Data dan Dukungan
Teknis)
32 Apakah terdapat prosedur tertulis yang dipakai
dalam melakukan pengembangan dan
pemeliharaan sistem?
√
Pengembangan sistem secara garis besar
menggunakan metode Waterfall dan untuk
pemeliharaan sistem dilakukan oleh DIKC,
dimana tahapnya terdiri dari tahap
pengumpulan data, analisis, perancangan,
implementasi, uji coba.
33 Apakah terdapat keterlibatan user dalam
pengembangan sistem?
√
Adanya Tim Analis; Tim Pendamping yang
terdiri dari kantor pelayanan, Direktorat IKC,
134
Direktorat Pengolahan Data dan Dukungan
Teknis; dan Programmer.
34 Apakah untuk setiap perubahan program telah
mendapat otorisasi tertulis dari pejabat yang
berwenang?
√
Setiap perubahan program harus berdasarkan
wewenang yang diberikan manajemen
35 Apakah terdapat dokumentasi yang cukup untuk
setiap aplikasi yang ada?
√
Ada, seperti user manual dan dokumentasi
pengembangan sistem
36 Apakah SPI telah dilibatkan dalam setiap
pengembangan sistem?
√
Ada, dimana SPI telah diterapkan dalam setiap
pengembangan sistem yang dilakukan oleh Tim
Analis; Tim Pendamping yang terdiri dari
kantor pelayanan, Direktorat IKC, Direktorat
Pengolahan Data dan Dukungan Teknis; dan
Programmer
37 Apakah pengembangan sistem telah berdasarkan
metodologi yang efektif dan efisien?
√
Secara garis besar menggunakan metode
Waterfall dimana tahapnya terdiri dari tahap
135
pengumpulan data, analisis, perancangan,
implementasi, uji coba.
38 Apakah sebelum sistem diimplementasikan
dilakukan pengujian terlebih dahulu?
√
39 Apakah hardware yang dipergunakan dalam
operasi telah memiliki pengendalian-
pengendalian yang memadai untuk mendeteksi
adanya kerusakan hardware?
√
40 Apakah Operating System yang digunakan telah
memiliki pengendalian-pengendalian yang cukup
untuk mendeteksi ketidakwajaran yang timbul
dalam penggunaan resources komputer
(hardware, software, telekomunikasi)?
√
Operating System (OS) yang dipakai pada
Client yaitu Microsoft Windows XP dan pada
Server AIX yang didalamnya terdapat fitur
untuk mendeteksi ketidakwajaran penggunaan
resources komputer
41 Apakah terdapat jaminan dari vendor atas
hardware maupun software yang baru dibeli?
√
Jaminan yang diberikan berupa garansi
136
42 Apakah terdapat asuransi terhadap hardware
yang memiliki tingkat resiko yang tinggi atas
kerusakan?
√
Tabel 4.1 : Hasil Kuesioner Pengendalian Umum
137
4.3.2 Hasil Wawancara Pengendalian Umum
1. Standar SDLC (System Development Life Cylce) yang diterapkan
secara garis besar menggunakan metode Waterfall, dimana terdiri
dari tahap pengumpulan data, analisis, perancangan, implementasi,
uji coba.
2. Tugas DA dan DBA terpisah, dimana tugas DA sebagai
Administrator Aplikasi yang bertugas untuk memonitor pelaksanaan
aplikasi sesuai dengan otoritas user, dan DBA tugasnya menangani
dan memaintain error, kesalahan pada Database, dan Backup data.
Dalam pelaksanaannya tugas DA dan DBA saling meng-cover satu
sama lainnya (Dimana jika ada salah satunya tidak dapat melakukan
tanggung jawabnya, maka akan digantikan oleh rekan yang lain
sementara waktu)
3. Adanya access policies dan concurency access pada Database,
dimana user hanya boleh masuk ke menu aplikasi untuk mengakses
Database sesuai dengan otoritasnya.
4. Tidak terdapat departemen yang secara langsung menangani
Quality Control, tetapi ada monitoring langsung dari manajemen.
5. Sistem yang berjalan sudah 75% efektif, dimana masih terdapat
kelemahan-kelemahan pada pelaporan, masih terdapat pemalsuan
pembayaran oleh pihak ketiga yang ditunjuk oleh importir
6. Prosedur keamanan yang ada, untuk aplikasi dengan menggunakan
Username dan Password, tetapi untuk pengendalian umum secara
khusus tidak ada. (Lihat Lampiran 52)
138
7. Server pada Kantor Pelayanan Halim berada dilantai dasar karena
letak geografisnya yang tidak rawan banjir. Untuk Kantor Pusat,
Server berada di lantai 2
8. Server difasilitasi dengan Firewall, dan terdapat Antivirus yang
terupdate pada Server dan Client.
9. Untuk Disaster Recovery Plan secara khusus tertulis tidak ada,
secara umum, misal adanya Backup data ke Kantor Pusat setiap tiga
bulan sekali secara Batch – Online. Bila Server down, maka Kantor
Pelayanan akan menggunakan Note Book dan Aplikasi cadangan.
10. Antivirus ter-Update pada setiap Client, tetapi ada kesulitan untuk
mengupdate antivirus karena keterbatasan Bandwith
11. Cadangan data di Backup ke Note Book, dan Kantor Pusat, secara
Batch – Online
12. Adanya Inventarisir pada setiap aset yang ada, dimana tiap-tiap aset
diberikan label inventarisir dan nomor tersebut terdaftar.
13. Tidak adanya penjadwalan khusus terhadap operasional (Hanya
mengikuti jam kerja pegawai (absensi) dan proses transaksi hanya
berjalan apabila adanya PIB dari Importir), untuk monitoring
operasional sistem ada, berupa Log File (Lihat Lampiran 85 pada
Gambar 68) yang ada pada aplikasi.
14. Secara khusus tidak ada perawatan secara periodik pada software
dan hardware, bila ada aplikasi dan software yang
rusak/bermasalah akan di-remote dari Kantor Pusat DIKC untuk
139
dibenarkan, dan bila ada Hardware yang bermasalah akan ditangani
oleh PDDT (Pengolahan Data dan Dukungan Teknis).
15. Secara umum Interface dari aplikasi cukup familiar bagi user yang
menggunakan
16. Waktu yang digunakan untuk memproses satu siklus transaksi
empat jam dan maksimal 2 X 24 jam..
17. Secara khusus tidak ada standar mengenai hardware yang
digunakan, kebutuhan untuk software dan hardware ditentukan oleh
manajemen DJBC Pusat, untuk penyedia hardware dan software
dilakukan secara tender.
18. Network Control Terminal sudah ada, tetapi belum sempurna, masih
dalam tahap pengembangan.
4.3.3 Hasil Observasi Pengendalian Umum
1. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan DA
terpisah, tetapi ruangannya menjadi satu, dan mereka saling cover
satu sama lainnya (Dimana jika ada salah satunya tidak dapat
melakukan tanggung jawabnya, maka akan digantikan oleh rekan
yang lain sementara waktu)
2. Secara umum terdapat kebijakan Access Policies, seperti dimana
user tidak dapat mengakses Database secara langsung, tetapi harus
melalui aplikasi, yang dapat mengakses langsung ke Database
hanya bagian pengolahan data (DIKC).
140
3. Secara khusus tidak terdapat bagian yang menangani Quality
Control, tetapi ada review secara periodik dari manajemen
4. Sistem keamanan yang ada:
a. Kebakaran: Adanya tabung pemadam kebakaran disudut-sudut
ruangan, tidak ada alat pendeteksi untuk kebakaran untuk
Kantor Pelayanan Bea dan Cukai Jakarta..
b. Banjir: Karena letak geografis yang tidak rawan banjir, maka
tidak ada resiko atas banjir pada Kantor Pelayanan Halim
Server berada di lantai dasar. Pada Kantor Pusat Server berada
di lantai 2
c. Suhu: Adanya AC pada tiap ruang komputer
d. Listrik: Adanya penggunaan AC dan Stabilizer
e. Lainnya: Adanya petugas keamanan, dan Access Card untuk
keruang Server, ruang server dilengkapi dengan kamera
5. Server pada Kantor Pelayanan Bea dan Cukai Halim berada di
lantai dasar, yang terpisah dari ruangan operasional lainnya.
Server pada Direktorat Jenderal Bea dan Cukai Pusat berada di
lantai 2.
6. Adanya antivirus yang terupdate pada komputer Client dan Server.
Pada Server adanya firewall
7. Tidak adanya asuransi untuk aset sistem komputer, hanya ada
garansi dari vendor, tetapi ada inventarisir untuk tiap peralatan yang
ada
141
8. Adanya Backup data, pada Kantor Pelayanan Backupdata
menggunakan notebook dan setiap tiga bulan sekali data dikirimkan
ke Kantor Pusat dengan cara Batch – Online, tetapi backup hanya di
internal DJBC saja, tidak ada backup di tempat lain.
9. Adanya Log File untuk memonitor operasional sistem (Lihat
Lampiran 85 pada Gambar 68)
4.3.4 Hasil Review Dokumentasi Pengendalian Umum
1. Tidak ditemukannya dokumentasi mengenai System Development
Life Cycle
2. Ada user manual untuk pengoperasian aplikasi Impor (Lihat
Lampiran 92 pada Gambar 81)
3. Ada user manual untuk pengoperasian aplikasi Inhouse Impor
sebagai aplikasi pendukung (Lihat Lampiran 92 pada Gambar 82)
4. Tidak ditemukannya prosedur tertulis mengenai Disaster Recovery
Plan
5. Ada struktur organisasi yang jelas dalam bentuk Keputusan Mentri
Keuangan (Lihat Gambar 3.1 dan Gambar 3.3)
6. Ada Nota Dinas yang mengatur Job Description untuk bagian
OKDD (Lihat Lampiran 51)
7. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja Penyelesaian
Barang Impor Dengan Pemberitahuan Impor Barang (PIB)
8. Adanya kebijakan dalam pemisahan tugas dan pembatasan akses
untuk sistem aplikasi impor yang diadaptasi dari Kep-07/BC/2003
142
4.4 Hasil Pengumpulan Data Atas Pengendalian Aplikasi
4.4.1 Boundary Control
4.4.1.1 Hasil Kuesioner Pengendalian Akses
No Pertanyaan Ya Tidak Keterangan
1 Apakah ada tingkatan level user yang spesifik
dalam aplikasi Impor?
√
Tingkatan level user yang ada didasarkan
pada Kep-07/BC/2003
2 Metode apakah yang digunakan dalam
pengendalian akses dalam Aplikasi Impor:
a. User name?
b. Sidik jari?
c. Pola Retina?
d. Finger Print?
e. Password?
√
√
X
X
X
Lihat Lampiran 52
3 Jika Password: Apakah user name dan
password pada Aplikasi Impor di-encryption?
√
User Name dan Password berada di Server,
dimana User Name dan Password Invincible
143
sehingga semua orang tidak bisa mengetahui
Passwordnya
4 Apakah terdapat jangka waktu validasi untuk
password?
√
Jangka waktu untuk Password adalah tiga
bulan sekali
5 Apakah jika jangka waktu validasi password
lama berakhir atau saat user mengganti
password, password lama tersebut bisa
digunakan kembali sebagai password yang
baru?
√
Password lama yang bisa digunakan kembali
sebagai Password baru (Lihat Lampiran 83
pada Gambar 63)
6 Apakah terdapat ketentuan panjang minimum
untuk password?
√
7 Apakah dalam penggunaan password dilakukan
dengan kombinasi (huruf dan angka)?
√
8 Apakah terdapat batasan minimum untuk
kesalahan memasukkan password?
√
144
9 Apakah ada pengiriman report ke bagian terkait
jika ada user yang bermasalah dengan entri
user name dan password?
√
Bila ada User yang bermasalah dengan
Passwordnya, langsung menghubungi konsul
10 Apakah sistem menampilkan pesan jika
verifikasi login tidak valid?
√
Lihat Lampiran 53 pada Gambar 2 dan 3
Tabel 4.2 : Hasil Kuesioner Pengendalian Akses
145
4.4.1.2 Hasil Wawancara Pengendalian Akses
1. Pembagian tingkatan level user berdasarkan Kep-
07/BC/2003, termasuk otoritas yang dimilikinya
Kaitannya dengan Kep-07/BC/2003 adalah aplikasi
diterjemahkan dan diadaptasi sebagai otoritas dari user
2. Kebijakan khusus mengenai batasan akses dituangkan dalam
Kep-07/BC/2003, dimana pengembangan sistem tersebut
berdasarkan Kep-07/BC/2003
3. Metode yang dilakukan untuk membatasi akses adalah
Username dan Password (Lihat Lampiran 52)
4. Ada metode enkripsi terhadap Password, dimana Password
disamarkan dan tidak ada pihak yang mengetahui Password
tersebut, dimana Password user akan dirandom dengan
characer lain
5. Batas waktu penggunaan Password adalah 3 bulan sekali,
setelah 3 bulan, Password diganti
6. Bila ada user yang bermasalah dengan aksesnya, User dapat
langsung menghubungi konsul/OKDD dan akan dibuatkan
Password baru.
4.4.1.3 Hasil Observasi Dan Testing Pengendalian Akses
1. Terdapat pembagian level user didalam aplikasi sesuai dengan
otoritasnya
146
2. Tugas dan wewenang yang ada didasarkan pada Kep-
07/BC/2003
3. Batasan akses yang digunakan adalah Username dan
Password (Lihat Lampiran 52)
4. Password yang di-input disamarkan oleh aplikasi
5. Ada jangka waktu untuk umur Password
6. Bila Password salah atau Username tidak terdaftar ada pesan
error (Lihat Lampiran 53 pada Gambar 2 dan 3)
7. Panjang Password tidak dibatasi dan dilakukan kombinasi
8. Tidak terdapat batasan minimum pada kesalahan memasukkan
Password
9. Tidak ada pengiriman Report, bila ada user yang bermasalah
dengan Password langsung menghubungi konsul/OKDD
147
4.4.2 Communication Control
4.4.2.1 Hasil Kuesioner Pengendalian Komunikasi
No Pertanyaan Ya Tidak Keterangan
1 Apakah jaringan Sistem Aplikasi Impor dilengkapi
dengan firewall?
√
Firewall yang digunakan berada di
Sever
2 Apakah sistem aplikasi Impor difasilitasi dengan
saluran transmisi atau saluran link?
√
Menggunakan VSAT, VPN dan Leased
Lines
3 Apakah media transmisi yang digunakan berjenis
Bounded Media (seperti twisted pair, coaxial cable,
atau optical fiber)?
√
Menggunakan UTP Cable
4 Apakah media transmisi tersebut berjenis unbounded
Media (seperti satellite, microwave, radio frequency,
atau infrared)?
√
Menggunakan VSAT (Lihat Lampiran
89 pada Gambar 75)
5 Apakah jaringan sistem Aplikasi Impor
menggunakan communication lines (Modem, Port
Menggunakan hardware yang umum
digunakan dalam Communication Lines,
148
Protection Devices, Multiplexor dan Consentrators)? √ seperti Hub, Switch, Multiplexor, dll
6 Apakah jaringan sistem aplikasi Impor menggunakan
communication lines jenis Private communication
lines?
√
Digunakan VSAT dan VPN
7 Apakah jaringan sistem aplikasi Impor menggunakan
communication lines jenis Public communication
lines?
√
Menggunakan Leased Lines Telkom
8
Apakah sistem aplikasi Impor difasilitasi dengan
pendeteksian error pada communication lines?
√
Ada program diluar aplikasi untuk
mendeteksi error, aplikasi tidak dapat
langsung mendeteksi.
9 Apakah jaringan koneksi sistem Aplikasi Impor
(misal: WAN, LAN) didukung oleh hardware dan
software yang memadai?
√
10 Apakah sistem aplikasi Impor dilengkapi dengan
remote terminal yang memonitor status jaringan?
√
Bagian Pengolahan Data dan Dukungan
Teknis yang berwenang dalam hal ini
149
11 Apakah sistem aplikasi Impor bersifat “Platform
Less” sehingga memberikan kemudahan operasional
dari segi jaringan?
√
Tabel 4.3 : Hasil Kuesioner Pengendalian Komunikasi
150
4.4.2.2 Hasil Wawancara Pengendalian Komunikasi
1. Transmisi jaringan yang digunakan Leased Lines, VSAT,
VPN dan untuk internal memakai LAN (Lihat Lampiran 89
pada Gambar 75 dan 76)
2. Tidak semua komputer terhubung ke jaringan, ada yang Stand
Alone, tergantung fungsi dari komputer tersebut
3. Tidak ada standar yang secara khusus mengatur Software dan
Hardware yang digunakan, hanya berdasarkan kebijakan dari
manajemen.
4. Kesalahan jaringan yang paling sering terjadi adalah jaringan
yang terputus
5. Topologi yang digunakan saat ini adalah Star (Lihat
Lampiran 89 pada Gambar 75 dan 76)
4.4.2.3 Hasil Observasi Dan Testing Pengendalian Komunikasi
1. Adanya Firewall dan Antivirus yang terupdate
2. Media transmisi yang digunakan berjenis Bounded Media
3. Untuk transmisi jaringan menggunakan Leased Lines, VSAT,
dan VPN
4. Jaringan komunikasi berjenis Private dan Public
Dimana Private Lines menggunakan VSAT dan VPN
Dimana Public Lines menggunakan Leased Line Telkom
151
4.4.3 Input Control
4.4.3.1 Hasil Kuesioner Pengendalian Input
No Pertanyaan Ya Tidak Keterangan
1 Apakah terdapat prosedur penyiapan data yang
harus dipatuhi oleh user, termasuk perubahan
permanen, semi permanen, maupun koreksi
data untuk menjamin seluruh transaksi telah
direkam?
√
PIB Disket yang di-load, jika pada saat
validasi terdapat kesalahan, user (Kantor
Pelayanan) dapat membantu importir
melakukan pembetulan, sehingga transaksi
selanjutnya dapat dilakukan. Untuk input-an di
dalam aplikasi tidak dapat dikoreksi oleh user.
2 Apakah transaksi diotorisasi sebagaimana
mestinya sebelum diinput ke terminal
komputer?
√
Sebelum diinput, dokumen sumber akan
diperiksa dahulu oleh pejabat yang berwenang
dan aplikasi sendiri akan melakukan
pengecekan atas PIB yang di load (Lihat
Lampiran 55 pada Gambar 7, Lampiran 62
pada Gambar 20 dan Lampiran 65 pada
152
Gambar 28)
3 Apakah Interface dari aplikasi dapat
memudahkan user melakukan Input data?
√
Selama ini belum terdapat keluhan dari user
4 Apakah bila terjadi kesalahan input akan
muncul pesan error?
√
5 Jika ya, apakah pesan error tersebut mudah
dimengerti oleh user?
√
Pesan yang ditampilkan singkat dan jelas
6 Apakah data yang diinput ke terminal
komputer harus berdasarkan atas dokumen
manual/fisik?
√
Tidak harus dokumen manual, dokumen
manual/fisik hanya sebagai pembanding dan
pendukung
7 Apakah bila terjadi salah inputan dan sudah
dilakukan penyimpanan, aplikasi mempunyai
fitur untuk meng-update transaksi yang salah?
√
Edit hanya bisa dilakukan melalui Database,
tidak dapat langsung melalui aplikasi. Update
hanya dapat dilakukan untuk data yang tidak
berhubungan dengan transaksi, misal update
dokumen SSPCP, dll.
153
8 Metode inputan apa yang digunakan untuk
mengisi data pada aplikasi Impor ?
a. Keyboarding
b.Direct Reading
c. Direct Entry
√
√
X
Dengan menggunakan keyboard
Membaca langsung data yang ada pada disket
(Lihat Lampiran 55 pada Gambar 6)
9 Apakah terdapat metode Completeness Check
untuk memastikan field/data telah diinput ke
terminal komputer?
√
Bila field-field yang dibutuhkan dalam proses
tidak terisi semua, maka data tidak dapat
disimpan/diproses
Tabel 4.4 : Hasil Kuesioner Pengendalian Input
154
4.4.3.2 Hasil Wawancara Pengendalian Input
1. Yang melakukan otorisasi adalah User yang ditunjuk sebagai
otorisator
2. Kesalahan Inputan yang paling sering terjadi adalah faktor
Human Error, misal: Salah Input
3. Data-data hasil inputan tidak di-enkripsi
4. Secara global interface aplikasi sudah memudahkan user
dalam melakukan Inputan
4.4.3.3 Hasil Observasi Dan Testing Pengendalian Input
1. Adanya otorisasi transaksi sebelum di input ke komputer,
berupa pemeriksaan dokumen sumber secara manual dan
Aplikasi akan melakukan pengecekan terhadap hasil inputan
2. Tidak adanya pesan error bila terjadi kesalahan inputan,
seperti jika kita memasukkan karakter pada inputan yang
harusnya diisi field numerik, data hasil input-an tidak dapat
disimpan
3. Bila ada Inputan yang salah sistem tidak mempunyai fitur
untuk meng-update transaksi yang salah, tetapi harus dari
database, kecuali untuk update SSBC
4. Metode Inputan yang digunakan:
a. Keyboarding: Dengan menggunakan keyboard
b. Direct Reading: Dengan membaca langsung pada disket
155
5. Ada metode Completeness Check berupa bila field-field yang
dibutuhkan dalam proses tidak terisi semua, maka data tidak
dapat disimpan/diproses
4.4.3.4 Hasil Review Dokumentasi Pengendalian Input
1. Data-data impor di input oleh Importir dengan menggunakan
aplikasi PIB. Importir akan menyerahkan data-data PIB
(dalam media disket), dimana disertai dengan hasil cetakan
berupa PIB dan dokumen-dokumen pendukung (Lihat
Lampiran 43).
156
4.4.4 Process Control
4.4.4.1 Hasil Kuesioner Pengendalian Proses
No Pertanyaan Ya Tidak Keterangan
1 Apakah terdapat prosedur yang dapat menjamin
bahwa seluruh transaksi yang telah terotorisasi
telah diproses secara akurat?
√
2 Apakah ada prosedur yang menjamin bahwa
selama proses digunakan file dan tabel yang
pantas?
√
File dan tabel yang ada sudah dirancang
secara khusus
3 Apakah source dokument asli telah disimpan
untuk jangka waktu tertentu sehingga
memungkinkan dilakukannya rekonstruksi data?
√
Setelah satu siklus transaksi selesai, dokumen
tersebut disimpan di gudang OKDD
4 Apakah terdapat history atas setiap proses yang
dilakukan oleh user?
√
Adanya Log File atas proses yang dilakukan
(Lihat Lampiran 85 pada Gambar 68)
5 Apakah sistem aplikasi Impor menyediakan
157
error message bila ada proses yang gagal? √
6 Apakah sistem aplikasi Impor menyediakan
prosedur untuk recovery setelah terjadi
kegagalan?
√
Salah satunya dari menu Pembetulan Proses
(Lihat Lampiran 87 pada Gambar 71)
7 Apakah terdapat prosedur yang menjamin
bahwa file telah dimaintain dengan benar dan
terintegrasi?
√
Ada, dilakukan oleh DA dan DBA
8 Apakah terdapat prosedur yang menjamin tidak
terdapat duplikasi proses?
√
Ada, berupa: Pengecekan no aju importir dan
Pengecekan Primary Key pada Database
(Lihat Lampiran 87 pada Gambar 72)
9 Apakah terdapat prosedur yang menyertakan
kebijakan update file?
√
Ada, penanganannya oleh DA dan DBA
Tabel 4.5 : Hasil Kuesioner Pengendalian Proses
158
4.4.4.2 Hasil Wawancara Pengendalian Proses
1. Spesifikasi dari komputer yang ada tergantung kebutuhan dari
aplikasi dan tergantung dari manajemen, sekarang ini:
Pentium 4, RAM 128 MB, Internet Explorer 5.0 atau lebih,
Java Initiator 1.0 atau lebih, LAN Card
2. Operating System yang digunakan
a. Client menggunakan Windows XP
b. Server menggunakan AIX
3. Sistem Aplikasi Impor dibuat dengan programming Oracle
dan Database Oracle
4. Bila terjadi gangguan pada komputer, penanganan diserahkan
pada Vendor, bila masih dalam masa garansi, bila diluar
garansi penganganan oleh PDDT (Pengolahan Data dan
Dukungan Teknis)
5. Metode pemrosesan transaksi secara Real Time ke server
Kantor Pelayanan Halim
6. Seminggu sekali secara Batch – Online dilakukan Backup data
ke Kantor Pusat (Bila media transfernya disket). Dan secara
Online Real Time (Bila media transfernya EDI). Untuk Kantor
Pusat sendiri di backup ke server cadangan secara Real Time
4.4.4.3 Hasil Observasi Dan Testing Pengendalian Proses
1. Dokumen sumber dan pendukung disimpan oleh seksi OKDD
setelah satu siklus transaksi selesai (Lihat Lampiran 42-47)
159
2. Ada Log File mengenai proses yang dilakukan User (Lihat
Lampiran 85 pada Gambar 68)
3. Bila ada proses yang gagal ada pesan error (Lihat Lampiran
86 pada Gambar 69)
4. Adanya Recovery setelah terjadinya kegagalan. Salah satunya
dari menu Pembetulan Proses (Lihat Lampiran 87 pada
Gambar 71)
5. Adanya prosedur yang menjamin tidak terdapat duplikasi
proses.
160
4.4.5 Database Control
4.4.5.1 Hasil Kuesioner Pengendalian Basis Data
No Pertanyaan Ya Tidak Keterangan
1 Apakah hubungan entity dalam database telah
diatur dengan menggunakan ERD (Entity
Relationship Diagram)?
√
Sudah tersusun atas ERD dan terbagi atas File
Master dan File Transaksi
2 Apakah terdapat pembatasan akses untuk
melakukan aksi terhadap database?
√
Sesuai dengan otoritas yang dimiliki
3 Apakah individu yang bertanggung jawab
terhadap database memiliki standar dan
prosedur tertentu?
√
4 Apakah bila ada akses yang tidak sah
dilakukan tracking terhadap database?
√
Dengan melihat Log File yang ada (Lihat
Lampiran 87 pada Gambar 72)
5 Apakah prosedur back-up database dilakukan
secara teratur dan rutin?
√
Pada Kantor Pelayanan Halim dilakukan dengan
Batch – Online, selama 1 minggu sekali di-
161
backup ke Kantor Pusat. Untuk Kantor Pusat di-
backup ke Server cadangan secara Real Time
6 Apakah terdapat log file mengenai kapan aksi
database dilakukan dan siapa yang
melakukannya?
√
Lihat Lampiran 87 pada Gambar 72
7 Apakah ada penanganan terhadap concurency
access?
√
8 Apakah transaksi yang telah diinput oleh user
lain dapat dilakukan pengubahan oleh user
yang lain?
√
9 Selama server diaktifkan, apakah ada
program khusus yang digunakan untuk
mengawasi even-even pada database?
√
Lihat Lampiran 88 pada Gambar 73
Tabel 4.6 : Hasil Kuesioner Pengendalian Basis Data
162
4.4.5.2 Hasil Wawancara Pengendalian Basis Data
1. Hanya individu yang diberikan otoritas yang boleh mengakses
Database
2. Database disusun atas File Master dan File Transaksi, dimana
File Master seperti tabel referensi dan File Transaksi seperti
tabel proses.
Dimana File Masternya adalah Tabel yang diawali dengan
TID (Tabel Impor Dasar) dan File Transaksi TIR (Tabel
Impor Referensi), TIP (Tabel Impor Proses), TIA (Tabel
Impor Administrasi), TIT (Tabel Impor Temporary), TIH
(Tabel Impor History).
3. Ada monitor secara periodik terhadap Database (Lihat
Lampiran 88 pada Gambar 73) dan dilakukan oleh DBA
4. Pemberian nama dalam Database dirancang secara khusus
agar memudahkan bagi yang berwenang
5. Ada Database Warehousing
6. Kantor Pusat menggunakan banyak Database, Kantor
Pelayanan sebagian besar memiliki satu Database
4.4.5.3 Hasil Observasi Dan Testing Pengendalian Basis Data
1. Hubungan tabel dalam Database tersusun atas ERD dan
terbagi atas File Master dan File Transaksi
2. Terdapat pembatasan akses Database sesuai dengan
otoritasnya, dimana pengguna aplikasi tidak dapat mengakses
163
dan mengubah Database secara langsung, tetapi harus melalui
aplikasi, hanya yang berwenang yang dapat mengakses
Database.
3. Ada Log File pada Database, sehingga memudahkan untuk
Tracking pada Database (Lihat Lampiran 87 pada Gambar
72)
4. Adanya prosedur Backup Database
5. Transaksi yang telah diinput user, tidak dapat dirubah oleh
user lain
164
4.4.6 Output Control
4.4.6.1 Hasil Kuesioner Pengendalian Output
No Pertanyaan Ya Tidak Keterangan
1 Apakah terdapat prosedur yang dapat menjamin
bahwa laporan yang ada selalu direview oleh
manajemen untuk menentukan kelengkapan,
akurasi, dan konsistensinya?
√
Adanya review periodik dari manajemen
Apakah laporan yang dihasilkan memuat:
a. Nama Laporan? √
b. Kepala laporan? √
c. Waktu dan tanggal pencetakan? √
d. No halaman? √
e. Jenis laporan? √
2
f. Jumlah copy? √
165
g. Nama/bagian yang melakukan pencetakan
laporan?
√
3 Apakah output yang diterima oleh entitas
adalah lengkap, tepat dan terklasifikasi?
√
Sebelum laporan dipublikasikan kepada pihak
tertentu, laporan di review dahulu oleh
manajemen
4 Apakah output didistribusikan ke personel yang
berotorisasi?
√
5 Apakah pencetakan laporan hanya dapat
dilakukan oleh karyawan yang memiliki
otoritas?
√
Dilakukan oleh pejabat/seksi yang khusus
sesuai dengan kewenangannya
6 Apakah laporan dapat dicetak kapan saja?
(tidak harus menunggu pada periode tertentu)
√
Laporan dapat dicetak secara Accidental dan
periodik
Tabel 4.7 : Hasil Kuesioner Pengendalian Output
166
4.4.6.2 Hasil Wawancara Pengendalian Output
1. Secara khusus tidak ada yang mengatur laporan, laporan
dirancang sesuai dengan kebijakan dan kebutuhan dari
manajemen yang ada
2. Pihak yang membutuhkan laporan adalah pihak intern
perusahaan dan pihak ekstern perusahaan. Intern misalnya:
Kepala Kantor, OKDD, Direktur Jendral. Ekstern misalnya:
Departemen keuangan, Dirjen Pajak
3. Laporan yang ada dapat dicetak secara accidental dan
periodik (Bulanan, mingguan)
4. Laporan didistribusikan secara softcopy dan hardcopy, tetapi
kebanyakan dengan softcopy
5. Review laporan dilakukan secara periodik oleh manajemen
terkait. Misalnya: Kepala Kantor, OKDD, Direktur Jendral.
4.4.6.3 Hasil Observasi Dan Testing Pengendalian Output
1. Adanya review laporan secara periodik dari manajemen
2. Pencetakan laporan hanya dapat dilakukan oleh karyawan
yang memiliki otoritas
3. Laporan dapat dicetak secara accidental dan periodik
4. Laporan yang dihasilkan sebagian besar belum memuat Jenis
Laporan, Jumlah Copy dan Nama/bagian yang melakukan
pencetakan
167
4.4.6.4 Hasil Review Dokumentasi Pengendalian Output
1. Laporan yang dihasilkan antara lain:
a. P2:
i. Laporan PIB Jalur Merah
ii. Laporan Daftar PIB yang sudah/Belum SPPB
iii. Laporan Data Pembatalan PIB
iv. Laporan Data Impor PIB Dengan Fasilitas
v. Laporan Data Importir
vi. Laporan NI
b. Kepala Kantor (Lihat Lampiran 27-41)
i. Laporan Pencapaian Target Penerimaan
ii. Laporan Distribusi Dokumen PFPD
iii. Laporan Distribusi Dokumen PFPB
iv. Laporan Distribusi Dokumen Pejabat Analyzing
Point
v. Laporan Waktu rata-rata Penyelesaian PIB
vi. Laporan PIB Jalur Prioritas Perimportir
vii. Laporan Komoditi dengan BM Terbesar
viii. Laporan Importir Dengan BM Terbesar
ix. Laporan Importir Dengan Jumlah PIB Terbanyak
x. Laporan PIB Non Prioritas Dengan Nilai BM
Terbesar
xi. PIB yang belum diselesaikan
xii. Pembatalan PIB
168
xiii. Laporan NI dan Penyelesaian
xiv. Laporan SPKPBM Per Importir
xv. Laporan SPKPBM Per PFPD
c. Operasional Komputer dan Distribusi Dokumen
i. Laporan I
• Laporan Statistik PIB
• PIB Status Gate
• PIB Status Barang Keluar
• Jumlah Container Keluar
• Laporan Impor Harian
• Laporan Harian PFPD
• Importasi Berdasarkan HS
• Importasi Bahan Pokok
ii. Laporan II
• Laporan Performance Analyzing Point
• Laporan Performance Analyzing Point Per
NIP
• Laporan Kebenaran Nota Informasi
• Laporan Status Importir
• Laporan Status Dokumen
• Laporan PIB Per HS Sudah SPPB
• Laporan PIB Per HS Belum SPPB
• Laporan PIB Per PPJK Sudah SPPB
169
• Laporan PIB Per PPJK Belum SPPB
• Laporan PIB Fasilitas CEPT
• Laporan PIB Fasilitas CEPT Per HS
• Laporan Daftar Pelanggaran
• Laporan Performance Kantor
• Laporan Penyelesaian PIB Oleh Kantor
• Laporan Performance Pegawai
• Laporan Penyerahan Berkas PIB Lewat
Waktu
• Laporan Importasi Mobil Built Up
• Laporan Pelunasan SPKPBM
• Laporan Devisa
2. Laporan yang dihasilkan sebagian besar belum memuat Jenis
Laporan, Jumlah Copy dan Nama/bagian yang melakukan
pencetakan
4.5 Laporan Audit
Adapun Laporan Audit atas Sistem Aplikasi Impor pada Direktorat Jenderal Bea
dan Cukai adalah sebagai berikut:
170
LAPORAN AUDIT SISTEM APLIKASI IMPOR PADA KANTOR
PELAYANAN BEA DAN CUKAI JAKARTA (DIREKTORAT
JENDERAL BEA DAN CUKAI)
PERIODE AGUSTUS 2005 - DESEMBER 2005
Tim Auditor:
Irwin Wijaya
Hendera
171
I. Tujuan Audit
Tujuan dilakukannya evaluasi terhadap Sistem Aplikasi Impor adalah:
1. Memastikan pengendalian-pengendalian sistem yang diterapkan, baik
pengendalian umum maupun pengendalian aplikasi dapat meminimalisir
resiko-resiko yang ada
2. Memastikan bahwa Sistem Aplikasi Impor yang digunakan apakah sudah
sesuai dengan Kep-07/BC/2003, sebagai standar khusus yang ada
3. Memberikan saran dan rekomendasi untuk penyempurnaan Sistem
Aplikasi Impor di masa mendatang
II. Ruang Lingkup
Ruang lingkup Audit Sistem Informasi dibatasi pada:
1. Audit Sistem Aplikasi Impor dilakukan pada Divisi DIKC (Direktorat
Informasi Kepabeanan Dan Cukai) pada Kantor Pusat Direktorat Jenderal
Bea dan Cukai, dan divisi OKDD (Operasional Komputer dan Distribusi
Dokumen) Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara
Halim Perdana Kusuma.
2. Audit Sistem Aplikasi Impor ini dibatasi pada penggunaan media transfer
data berupa disket
3. Metode Audit yang dilakukan adalah Through The Computer.
172
III. Metode Pengumpulan Temuan Audit
Metode yang digunakan dalam mengumpulkan temuan audit adalah:
1. Kuesioner
Kuesioner yang digunakan sebagai metode untuk mengumpulkan bukti
audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan Kuesioner
Pengendalian Aplikasi
2. Wawancara
Wawancara dilakukan secara tidak terstruktur, dimana design
pertanyaannya disesuaikan dengan informasi/data yang ingin diketahui
oleh auditor. Dimana respondennya dibatasi hanya untuk manajemen
terkait
3. Observasi
Observasi dilakukan dengan melakukan survei langsung ke lapangan
untuk melihat secara langsung pengendalian umum dan aplikasi secara
langsung untuk mendapatkan informasi lapangan yang lebih akurat.
Dimana observasi dilakukan di Direktorat Informasi Kepabeanan dan
Cukai pada Kantor Pusat Direktorat Jenderal Bea dan Cukai dan di Divisi
Operasional Komputer dan Distribusi Dokumen pada Kantor Pelayanan
Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma
4. Testing
Testing dilakukan untuk mendapatkan informasi yang lebih jelas
mengenai pengendalian aplikasi. Dimana auditor secara langsung
menguji Aplikasi Impor yang ada
173
5. Review Dokumentasi
Review dokumentasi dilakukan dengan menelusuri dokumen-dokumen
dan laporan yang dihasilkan guna mendapatkan informasi terhadap
pengendalian yang ada.
IV. Temuan Audit
1. Temuan Audit Pengendalian Umum:
a. Temuan Audit Hasil Kuesioner Pengendalian Umum
i. Adanya struktur organisasi formal. (Lihat Gambar 3.1
dan Gambar 3.3)
ii. Adanya review periodik terhadap laporan dan kinerja para
personil
iii. Adanya nota dinas yang berisikan Job Description untuk
fungsi pengolahan data dan fungsi lainnya (Lihat
Lampiran 51)
iv. Adanya pemisahan fungsi yang jelas
v. Tidak adanya persyaratan ketrampilan khusus yang jelas
bagi staf pengolahan data
vi. Adanya prosedur untuk melindungi data dari
penyalahgunaan atau kerusakan
vii. Adanya inventarisir terhadap aset DJBC
viii. Adanya evaluasi kinerja sistem
ix. Ruang server/database terpisah dengan ruang lainnya
174
x. Penggunaan ID Card dalam pembatasan akses fisik
xi. Password yang digunakan di-encryption
xii. Adanya kebijakan untuk mengubah password bila
melewati umur tertentu
xiii. Adanya Antivirus yang terupdate
xiv. Sistem keamanan yang diterapkan adalah:
a. Kebakaran: Adanya tabung pemadam kebakaran
disudut-sudut ruangan, tidak ada alat pendeteksi
untuk kebakaran, di Kantor Pelayanan Bea dan
Cukai Jakarta.
b. Banjir: Karena letak geografis yang tidak rawan
banjir, maka tidak ada resiko atas banjir pada
Kantor Pelayanan Halim Server berada di lantai
dasar. Pada Kantor Pusat Server berada di lantai 2
c. Suhu: Adanya AC pada tiap ruang komputer
d. Listrik: Adanya penggunaan AC dan Stabilizer
e. Lainnya: Adanya petugas keamanan, dan Access
Card untuk keruang Server.
xv. Penanganan ancaman yang berhubungan dengan sistem
informasi ditangani oleh DIKC dan PDDT
xvi. Adanya prosedur tertulis dalam melakukan pengembangan
sistem
xvii. User terlibat dalam pengembangan sistem yang terdiri dari
Tim analis, Tim pendamping dan Programmer
175
xviii. Adanya dokumentasi tertulis mengenai aplikasi
xix. Setiap pengembangan sistem sudah melibatkan SPI
xx. Adanya testing terhadap aplikasi sebelum
diimplementasikan
xxi. Adanya jaminan dari vendor berupa garansi
xxii. Tidak ada asuransi terhadap aset-aset DJBC (Hardware
yang memiliki tingkat resiko tinggi atas kerusakan)
b. Temuan Audit Hasil Wawancara Pengendalian Umum
i. Adanya SDLC yang terdiri dari tahap pengumpulan data,
analisis, perancangan, implementasi, uji coba
ii. Tugas DA dan DBA terpisah, dimana tugas DA sebagai
Administrator Aplikasi yang bertugas untuk memonitor
pelaksanaan aplikasi sesuai dengan otoritas user, dan DBA
tugasnya menangani dan memaintain error, kesalahan
pada Database, dan Backup data.
iii. Adanya Access Policy dan Concurency Access pada
Database
iv. Tidak ada departemen yang secara langsung menangani
Quality Control, tapi ada monitoring dari manajemen
v. Prosedur keamanan yang ada, untuk aplikasi
menggunakan username dan password, tetapi untuk
manajemen yang khusus tidak ada
176
vi. Server pada Kantor Pelayanan Bea dan Cukai Jakarta
(Halim) berada di lantai dasar karena letak geografis yang
tidak rawan banjir. Untuk Kantor Pusat, server berada di
lantai 2
vii. Adanya Firewall pada Server, dan terdapat antivirus yang
terupdate pada server dan client
viii. Adanya Antivirus yang terupdate
ix. Adanya kesulitan dalam mengupdate Antivirus karena
keterbatasan bandwith
x. Adanya inventarisir terhadap aset-aset DJBC
xi. Adanya Log File untuk memonitoring operasional sistem
(Lihat Lampiran 85 pada Gambar 68)
xii. Tidak adanya perawatan secara periodik pada Software
dan Hardware yang digunakan
xiii. Kebutuhan Software dan Hardware ditentukan oleh
manajemen
c. Temuan Audit Hasil Observasi Pengendalian Umum
i. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan
DA terpisah, tetapi ruangannya menjadi satu, dan mereka
saling cover satu sama lainnya (Dimana jika ada salah
satunya tidak dapat melakukan tanggung jawabnya, maka
akan digantikan oleh rekan yang lain sementara waktu)
177
ii. Secara umum terdapat kebijakan Access Policies, seperti
dimana user tidak dapat mengakses Database secara
langsung, tetapi harus melalui aplikasi, yang dapat
mengakses langsung ke Database hanya bagian
pengolahan data (DIKC).
iii. Secara khusus tidak terdapat bagian yang menangani
Quality Control, tetapi ada review secara periodik dari
manajemen
iv. Sistem keamanan yang ada:
a. Kebakaran: Adanya tabung pemadam kebakaran
disudut-sudut ruangan, tidak ada alat pendeteksi
untuk kebakaran, di Kantor Pelayanan Bea dan
Cukai Jakarta.
b. Banjir: Karena letak geografis yang tidak rawan
banjir, maka tidak ada resiko atas banjir pada
Kantor Pelayanan Halim Server berada di lantai
dasar. Pada Kantor Pusat Server berada di lantai 2
c. Suhu: Adanya AC pada tiap ruang komputer
d. Listrik: Adanya penggunaan AC dan Stabilizer
e. Lainnya: Adanya petugas keamanan, dan Access
Card untuk keruang Server, ruang server
dilengkapi kamera
v. Server pada Kantor Pelayanan Bea dan Cukai Halim
berada di lantai dasar, yang terpisah dari ruangan
178
operasional lainnya. Server pada Direktorat Jenderal Bea
dan Cukai Pusat berada di lantai 2.
vi. Adanya antivirus yang ter-update pada komputer Client
dan Server. Pada Server adanya firewall
vii. Tidak adanya asuransi untuk aset sistem komputer, hanya
ada garansi dari vendor, tetapi ada inventarisir untuk tiap
peralatan yang ada
viii. Adanya Backup data, pada Kantor Pelayanan Backupdata
menggunakan notebook dan setiap tiga bulan sekali data
dikirimkan ke Kantor Pusat dengan cara Batch – Online,
tetapi backup data hanya di internal DJBC saja, tidak ada
backup di tempat lain
ix. Adanya Log File untuk memonitor operasional sistem
(Lihat Lampiran 85 pada Gambar 68)
d. Temuan Audit Hasil Review Dokumentasi Pengendalian
Umum
i. Tidak ditemukannya dokumentasi mengenai System
Development Life Cycle
ii. Ada user manual untuk pengoperasian aplikasi Impor
(Lihat Lampiran 92 pada Gambar 81)
179
iii. Ada user manual untuk pengoperasian aplikasi Inhouse
Impor sebagai aplikasi pendukung (Lihat Lampiran 92
pada Gambar 82)
iv. Tidak ditemukannya prosedur tertulis mengenai Disaster
Recovery Plan
v. Ada struktur organisasi yang jelas dalam bentuk
Keputusan Mentri Keuangan (Lihat Gambar 3.1 dan
Gambar 3.3)
vi. Ada Nota Dinas yang mengatur Job Description untuk
bagian OKDD (Lihat Lampiran 51)
vii. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja
Penyelesaian Barang Impor Dengan Pemberitahuan Impor
Barang (PIB)
viii. Adanya kebijakan dalam pemisahan tugas dan pembatasan
akses untuk sistem aplikasi impor yang diadaptasi dari
Kep-07/BC/2003
2. Temuan Audit Pengendalian Aplikasi
a. Boundary Control
I. Temuan Audit Hasil Kuesioner Pengendalian Akses
i. Adanya tingkatan level user
ii. Metode untuk pengendalian akses dengan
menggunakan username dan password (Lihat
Lampiran 52)
180
iii. Adanya encryption untuk password
iv. Adanya jangka waktu validasi untuk Password yaitu
3 bulan sekali
v. Password yang lama bisa digunakan kembali sebagai
password yang baru
vi. Tidak ada ketentuan untuk panjang minimum
password
vii. Tidak ada batasan kesalahan untuk memasukkan
password
viii. Tidak ada pengiriman report jika ada yang
bermasalah dengan entri username dan password
ix. Adanya pesan kesalahan apabila login tidak valid
(Lihat Lampiran 53 pada Gambar 2 dan 3)
II. Temuan Audit Hasil Wawancara Pengendalian Akses
i. Adanya pembagian level user berdasarkan Kep-
07/BC/2003
ii. Metode pembatasan akses yang digunakan adalah
username dan password (Lihat Lampiran 52)
iii. Adanya metode encryption terhadap password
iv. Batas waktu penggunaan password adalah 3 bulan
sekali
v. User yang bermasalah dengan password dapat
langsung menghubungi konsul
181
III. Temuan Audit Hasil Observasi dan Testing
Pengendalian Akses
i. Terdapat pembagian level user didalam aplikasi
sesuai dengan otoritasnya
ii. Tugas dan wewenang yang ada didasarkan pada
Kep-07/BC/2003
iii. Batasan akses yang digunakan adalah Username dan
Password (Lihat Lampiran 52)
iv. Password yang di-input disamarkan oleh aplikasi
v. Ada jangka waktu untuk umur Password
vi. Bila Password salah atau Username tidak terdaftar
ada pesan error (Lihat Lampiran 53 pada Gambar
2 dan 3)
vii. Panjang Password tidak dibatasi dan dilakukan
kombinasi
viii. Tidak terdapat batasan minimum pada kesalahan
memasukkan Password
ix. Tidak ada pengiriman Report, bila ada user yang
bermasalah dengan Password langsung
menghubungi konsul/OKDD
182
b. Communication Control
I. Temuan Audit Hasil Kuesioner Pengendalian
Komunikasi
i. Di Server terdapat firewall
ii. Saluran transmisi yang digunakan V-Sat, VPN dan
Leased Line (Lihat Lampiran 89 pada Gambar
75)
iii. Media transmisi yang digunakan berjenis bounded
media, menggunakan UTP Cable dan unbounded
media yaitu VSAT
iv. Jaringan Communication Lines berjenis private
(VSAT dan VPN) dan public (Leased Lines Telkom)
v. Pendeteksian error pada Communication Lines
dilakukan dengan program yang ada di luar dari
program aplikasi
vi. Ada Remote Terminal untuk memonitor status
jaringan
II. Temuan Audit Hasil Wawancara Pengendalian
Komunikasi
i. Transmisi jaringan yang digunakan Leased Lines,
VSAT, VPN dan untuk internal memakai LAN
(Lihat Lampiran 89 pada Gambar 75 dan 76)
183
ii. Tidak ada standar yang secara khusus mengatur
Software dan Hardware yang digunakan, hanya
berdasarkan kebijakan dari manajemen.
iii. Kesalahan jaringan yang paling sering terjadi adalah
jaringan yang terputus
iv. Topologi yang digunakan saat ini adalah Star (Lihat
Lampiran 89 pada Gambar 75)
III. Temuan Audit Hasil Observasi Pengendalian
Komunikasi
i. Adanya Firewall dan Antivirus yang terupdate
ii. Media transmisi yang digunakan berjenis Bounded
Media
iii. Untuk transmisi jaringan menggunakan Leased
Lines, VSAT, dan VPN
iv. Jaringan komunikasi berjenis Private dan Public
Dimana Private Lines menggunakan VSAT dan
VPN
Dimana Public Lines menggunakan Leased Line
Telkom
184
c. Input Control
I. Temuan Audit Hasil Kuesioner Pengendalian Input
i. Adanya prosedur penyiapan data yang harus dipatuhi
user, dimana PIB Disket yang di-load, jika pada saat
validasi terdapat kesalahan, user (Kantor Pelayanan)
dapat membantu importir melakukan pembetulan,
sehingga transaksi selanjutnya dapat dilakukan.
Untuk input-an di dalam aplikasi tidak dapat
dikoreksi oleh user.
ii. Adanya otorisasi transaksi sebelum diinput kedalam
komputer (Lihat Lampiran 55 pada Gambar 7,
Lampiran 62 pada Gambar 20, Lampiran 65
pada Gambar 28)
iii. Adanya pesan error bila ada kesalahan input
iv. Input-an tidak harus berdasarkan dokumen manual,
dokumen fisik/manual hanya sebagai pembanding
dan pendukung
v. Transaksi yang sudah di-input tidak bisa di-update
kecuali update SSBC. Edit hanya bisa dilakukan
melalui database.
vi. Metode inputan yang digunakan adalah keyboarding
dan direct reading
vii. Ada metode untuk completeness Check (Lihat
Lampiran 55 pada Gambar 7)
185
II. Temuan Audit Hasil Wawancara Pengendalian Input
i. Otorisasi dilakukan oleh user yang ditunjuk
ii. Data-data hasil input-an tidak di encryption
III. Temuan Audit Hasil Observasi dan Testing
Pengendalian Input
i. Adanya otorisasi transaksi sebelum di input ke
komputer, berupa pemeriksaan dokumen sumber
secara manual dan Aplikasi akan melakukan
pengecekan terhadap hasil inputan
ii. Tidak adanya pesan error bila terjadi kesalahan
inputan, seperti jika kita memasukkan karakter pada
input-an yang harusnya diisi field numerik, data hasil
input-an tidak dapat disimpan
iii. Bila ada Input-an yang salah sistem tidak mempunyai
fitur untuk meng-update transaksi yang salah, tetapi
harus dari database.
iv. Metode Input-an yang digunakan:
i. Keyboarding: Dengan menggunakan keyboard
ii. Direct Reading: Dengan membaca langsung
pada disket (Lihat Lampiran 55 pada
Gambar 6)
186
v. Ada metode Completeness Check berupa bila field-
field yang dibutuhkan dalam proses tidak terisi semua,
maka data tidak dapat disimpan/diproses
IV. Temuan Audit Hasil Review Dokumentasi
Pengendalian Input
i. Data-data impor di input oleh Importir dengan
menggunakan aplikasi PIB. Importir akan
menyerahkan data-data PIB (dalam media disket),
dimana disertai dengan hasil cetakan berupa PIB dan
dokumen-dokumen pendukung.
V. Konfirmasi Perbedaan Temuan Audit Input Control
Berdasarkan hasil analisa Temuan Audit, terjadi
perbedaan antara Hasil kuesioner dan observasi dan testing
atas pengendalian Input, dimana:
1. Hasil kuesioner menyatakan adanya pesan error bila
ada kesalahan input
2. Hasil observasi dan testing menyatakan tidak adanya
pesan error bila terjadi kesalahan inputan, seperti
jika kita memasukkan karakter pada input-an yang
harusnya diisi field numerik, data hasil input-an tidak
dapat disimpan
187
Dari hasil analisa dan konfirmasi lebih lanjut, maka
Temuan Audit yang diperoleh untuk masalah diatas adalah
bahwa tidak adanya pesan error bila terjadi kesalahan
inputan, seperti jika kita memasukkan karakter pada input-
an yang harusnya diisi field numerik, data hasil input-an
tidak dapat disimpan
d. Process Control
I. Temuan Audit Hasil Kuesioner Pengendalian Proses
i. File dan Tabel yang digunakan sudah dirancang
secara khusus untuk memenuhi kebutuhan
ii. Arsip terhadap Source dokumen dan dokumen
pendukung dilakukan oleh OKDD
iii. Ada Log File atas proses yang dilakukan user (Lihat
Lampiran 85 pada Gambar 68)
iv. Ada pesan error jika ada proses yang gagal (Lihat
Lampiran 86 pada Gambar 69)
v. Adanya prosedur untuk recovery berupa menu untuk
pembetulan proses bila terjadi kegagalan proses
(Lihat Lampiran 87 pada Gambar 71)
vi. Ada prosedur yang menjamin bahwa file telah
dimaintain dengan benar dan terintegrasi dengan
benar, dimana ini merupakan tugas DA dan DBA
188
vii. Adanya prosedur yang menjamin tidak terdapat
duplikasi proses
II. Temuan Audit Hasil Wawancara Pengendalian Proses
i. Bila terjadi gangguan pada komputer, penanganan
diserahkan pada Vendor, bila masih dalam masa
garansi, bila diluar garansi penganganan oleh PDDT
(Pengolahan Data dan Dukungan Teknis)
ii. Metode pemrosesan transaksi secara Real Time ke
server Kantor Pelayanan Halim
iii. Seminggu sekali secara Batch – Online dilakukan
Backup data ke Kantor Pusat (Bila media transfernya
disket). Dan secara Online Real Time (Bila media
transfernya EDI). Untuk Kantor Pusat sendiri di
backup ke server cadangan secara Real Time
III. Temuan Audit Hasil Observasi dan Testing
Pengendalian Proses
i. Dokumen sumber dan pendukung disimpan oleh
seksi OKDD setelah satu siklus transaksi selesai
(Lihat Lampiran 42-47)
ii. Ada Log File mengenai proses yang dilakukan User
(Lihat Lampiran 85 pada Gambar 68)
189
iii. Bila ada proses yang gagal ada pesan error (Lihat
Lampiran 86 pada Gambar 69)
iv. Adanya Recovery setelah terjadinya kegagalan. Salah
satunya dari menu Pembetulan Proses (Lihat
Lampiran 87 pada Gambar 71)
v. Adanya prosedur yang menjamin tidak terdapat
duplikasi proses.
e. Database Control
I. Temuan Audit Hasil Kuesioner Pengendalian Basis
Data
i. Database sudah tersusun dalam ERD dan terdiri atas
File Master dan File Transaction
ii. Akses terhadap database dibatasi sesuai dengan
kewenangannya
iii. Adanya Log File untuk melakukan tracking terhadap
database (Lihat Lampiran 87 pada Gambar 72)
iv. Adanya prosedur backup terhadap database
v. Transaksi yang telah di input tidak dapat diubah oleh
user lain
190
II. Temuan Audit Hasil Wawancara Pengendalian Basis
Data
i. Hanya individu yang diberikan otoritas yang boleh
mengakses Database
ii. Database disusun atas File Master dan File
Transaksi, dimana File Master seperti tabel referensi
dan File Transaksi seperti tabel proses.
iii. Dimana File Masternya adalah Tabel yang diawali
dengan TID (Tabel Impor Dasar) dan File Transaksi
TIR (Tabel Impor Referensi), TIP (Tabel Impor
Proses), TIA (Tabel Impor Administrasi), TIT (Tabel
Impor Temporary), TIH (Tabel Impor History).
iv. Ada monitor secara periodik terhadap Database
(Lihat Lampiran 88 pada Gambar 73) dan
dilakukan oleh DBA
v. Pemberian nama dalam Database dirancang secara
khusus agar memudahkan bagi yang berwenang
vi. Ada Database Warehousing
III. Temuan Audit Hasil Observasi Pengendalian Basis
Data
i. Hubungan tabel dalam Database tersusun atas ERD
dan terbagi atas File Master dan File Transaksi
191
ii. Terdapat pembatasan akses Database sesuai dengan
otoritasnya, dimana pengguna aplikasi tidak dapat
mengakses dan mengubah Database secara
langsung, tetapi harus melalui aplikasi, hanya yang
berwenang yang dapat mengakses Database.
iii. Ada Log File pada Database, sehingga memudahkan
untuk Tracking pada Database (Lihat Lampiran 87
pada Gambar 72)
iv. Adanya prosedur Backup Database
v. Transaksi yang telah diinput user, tidak dapat
dirubah oleh user lain
vi. Tidak adanya Backup data di tempat lain, backup
data hanya di internal DJBC sendiri
f. Output Control
I. Temuan Audit Hasil Kuesioner Pengendalian Output
i. Adanya review periodik oleh manajemen terhadap
laporan
ii. Laporan yang dihasilkan sudah memuat: Nama
Laporan, Kepala Laporan, Waktu dan tanggal
pencetakan, no halaman, jenis laporan, jumlah copy,
nama/bagian yang melakukan pencetakan
iii. Laporan hanya dapat dicetak oleh karyawan yang
memiliki otoritas
192
iv. Laporan dapat dicetak secara accidental dan Periodik
II. Temuan Audit Hasil Wawancara Pengendalian Output
i. laporan dirancang sesuai dengan kebijakan dan
kebutuhan dari manajemen yang ada
ii. Pihak yang membutuhkan laporan adalah pihak
intern perusahaan dan pihak ekstern perusahaan.
Intern misalnya: Kepala Kantor, OKDD, Direktur
Jendral. Ekstern misalnya: Departemen keuangan,
Dirjen Pajak
iii. Laporan yang ada dapat dicetak secara accidental
dan periodik (Bulanan, mingguan)
iv. Laporan didistribusikan secara soft copy dan hard
copy, tetapi kebanyakan dengan softcopy
v. Review laporan dilakukan secara periodik oleh
manajemen terkait. Misalnya: Kepala Kantor,
OKDD, Direktur Jendral.
III. Temuan Audit Hasil Observasi dan Testing
Pengendalian Output
i. Adanya review laporan secara periodik dari
manajemen
ii. Pencetakan laporan hanya dapat dilakukan oleh
karyawan yang memiliki otoritas
193
iii. Laporan dapat dicetak secara accidental dan periodik
iv. Laporan yang dihasilkan sebagian besar belum
memuat Jenis Laporan, Jumlah Copy dan
Nama/bagian yang melakukan pencetakan (Lihat
Lampiran 27-41)
IV. Temuan Audit Hasil Review Dokumentasi
Pengendalian Output
i. Laporan yang dihasilkan antara lain:
a. P2:
i. Laporan PIB Jalur Merah
ii. Laporan Daftar PIB yang sudah/Belum
SPPB
iii. Laporan Data Pembatalan PIB
iv. Laporan Data Impor PIB Dengan
Fasilitas
v. Laporan Data Importir
vi. Laporan NI
b. Kepala Kantor (Lihat Lampiran 27-41):
i. Laporan Pencapaian Target Penerimaan
ii. Laporan Distribusi Dokumen PFPD
iii. Laporan Distribusi Dokumen PFPB
iv. Laporan Distribusi Dokumen Pejabat
Analyzing Point
194
v. Laporan Waktu rata-rata Penyelesaian
PIB
vi. Laporan PIB Jalur Prioritas Perimportir
vii. Laporan Komoditi dengan BM Terbesar
viii. Laporan Importir Dengan BM Terbesar
ix. Laporan Importir Dengan Jumlah PIB
Terbanyak
x. Laporan PIB Non Prioritas Dengan Nilai
BM Terbesar
xi. PIB yang belum diselesaikan
xii. Pembatalan PIB
xiii. Laporan NI dan Penyelesaian
xiv. Laporan SPKPBM Per Importir
xv. Laporan SPKPBM Per PFPD
c. Operasional Komputer dan Distribusi
Dokumen
i. Laporan I
• Laporan Statistik PIB
• PIB Status Gate
• PIB Status Barang Keluar
• Jumlah Container Keluar
• Laporan Impor Harian
• Laporan Harian PFPD
195
• Importasi Berdasarkan HS
• Importasi Bahan Pokok
ii. Laporan II
• Laporan Performance Analyzing
Point
• Laporan Performance Analyzing
Point Per NIP
• Laporan Kebenaran Nota Informasi
• Laporan Status Importir
• Laporan Status Dokumen
• Laporan PIB Per HS Sudah SPPB
• Laporan PIB Per HS Belum SPPB
• Laporan PIB Per PPJK Sudah SPPB
• Laporan PIB Per PPJK Belum
SPPB
• Laporan PIB Fasilitas CEPT
• Laporan PIB Fasilitas CEPT Per HS
• Laporan Daftar Pelanggaran
• Laporan Performance Kantor
• Laporan Penyelesaian PIB Oleh
Kantor
• Laporan Performance Pegawai
196
• Laporan Penyerahan Berkas PIB
Lewat Waktu
• Laporan Importasi Mobil Built Up
• Laporan Pelunasan SPKPBM
• Laporan Devisa
ii. Laporan yang dihasilkan sebagian besar belum
memuat Jenis Laporan, Jumlah Copy dan
Nama/bagian yang melakukan pencetakan
V. Konfirmasi Perbedaan Temuan Audit Process Control
Berdasarkan hasil analisa Temuan Audit, terjadi
perbedaan antara Hasil kuesioner, observasi dan testing,
serta review dokumentasi atas pengendalian output,
dimana:
1. Hasil kuesioner menyatakan Laporan yang
dihasilkan sudah memuat: Nama Laporan, Kepala
Laporan, Waktu dan tanggal pencetakan, no
halaman, jenis laporan, jumlah copy, nama/bagian
yang melakukan pencetakan
2. Hasil observasi dan testing serta review dokumentasi
menyatakan Laporan yang dihasilkan sebagian besar
belum memuat Jenis Laporan, Jumlah Copy dan
Nama/bagian yang melakukan pencetakan
197
Dari hasil analisa dan konfirmasi lebih lanjut, maka
Temuan Audit yang diperoleh untuk masalah diatas adalah
bahwa memang Laporan yang dihasilkan sebagian besar
belum memuat Jenis Laporan, Jumlah Copy dan
Nama/bagian yang melakukan pencetakan
198
V. Evaluasi Resiko Potensial Dan Rekomendasi Atas Pengendalian Umum Dan Pengendalian Aplikasi
1. Evaluasi Resiko Potensial Pengendalian Umum
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner
Staf DIKC dan Staf
OKDD
1. Tidak adanya
persyaratan
ketrampilan yang
khusus bagi setiap
posisi yang ada
dibagian
pengolahan data
Adanya persyaratan
ketrampilan khusus
dalam merekrut
pegawai, khususnya
bagian pengolahan
data
Kemungkinan staf
yang ditempatkan
tidak sesuai dengan
ketrampilan yang
dimilikinya dan tidak
dapat memenuhi
tuntutan tugas yang
diberikan kepadanya.
Membuat
persyaratan
ketrampilan untuk
merekrut pegawai
atau adanya
training yang
intensif bagi
pegawai
2. Tidak adanya
asuransi terhadap
aset-aset yang ada,
tetapi hanya ada
Menurut Weber
(1999, p266-272),
bila bencana terjadi,
masih terdapat
Apabila terjadi
bencana, kerugian
yang diderita lebih
besar
Semua aset atau
perangkat komputer
yang ada harus di
cover dengan
199
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
garansi dari vendor
kemungkinan untuk
mengurangi kerugian
dan me-recover
operasional dengan
melakukan:
1. Disaster Recovery
Plan
a. Emergency
Plan
b. Backup Plan
c. Recovery
Plan
d. Test Plan
2. Asuransi
asuransi.
200
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Wawancara Kepala DIKC dan
Kepala OKD
1. Adanya kesulitan
untuk meng-update
Antivirus Pada
Kantor Pelayanan
Halim pada
Cliennya
Menurut Weber
(1999, p263) untuk
mencegah
terjangkitnya virus,
administrator
hendaknya
melakukan control:
Preventive, Detective,
dan Corrective
Kemungkinan
ancaman dari virus
besar.
Harus ada satu
petugas yang
ditunjuk untuk
melakukan update,
dimana petugas
tersebut melakukan
download dan Virus
definition dishare
2. Perawatan
terhadap Software
dan hardware tidak
selalu dilakukan
secara periodik
Menurut Weber
(1999, p177-178)
Maintenace ada tiga
jenis:
Kemungkinan
kerusakan Software
dan hardware dapat
sering terjadi yang
menyebabkan
Lakukan
monitoring dan
perawatan atas
Software dan
Hardware minimal
201
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
1. Repair
Maintencance
2. Adaptive
Maintenance
3. Perfective
Maintenance
aktivitas sistem
terganggu, sehingga
menimbulkan
pengeluaran biaya
yang lebih besar
untuk perbaikan
sebulan sekali,
sehingga kerusakan
Software dan
Hardware dapat
diminimalisir.
3. Tidak adanya
departeman yang
menangani Quality
Control secara
khusus (Monitoring
hanya dari
manajemen
a. Menurut Weber
(1999, p336-337)
Quality Assurance
Memiliki peran
monitoring bagi
manajemen, untuk
memastikan bahwa:
1. Tujuan kualitas
Penilaian terhadap
mutu pengolahan
informasi dan
informasi yang
dihasilkan menjadi
kurang maksimal
Seharusnya ada
divisi yang
membantu
manajemen dalam
memonitor mutu
kinerja aplikasi dan
informasi yang
dihasilkannya
202
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
produk telah ada dan
dimengerti secara
jelas oleh para
stakeholder
2. Pembanding
antara produk
dengan standar yang
telah ditetapkan
sudah dilakukan
untuk mencapai
kualitas sistem
informasi
b. Penentuan secara
terus menerus
203
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
mengenai memadai
atau tidaknya
perangkat lunak
dalam memenuhi
kebutuhan pemakai.
SPAP (2001, seksi
343.10 ayat 41)
Observasi Divisi DIKC dan
OKDD
1. Tidak adanya
alat pendeteksi
kebakaran Pada
Kantor Pelayanan
Bea dan Cukai
Jakarta
Menurut Weber
(1999, p257-258)
cara penanganan
terhadap kebakaran
adalah dengan:
1. Alarm kebakaran
baik yang manual,
Jika terjadi
kebakaran, tidak
dapat dideteksi secara
dini, sehingga tidak
dapat diminimalisir
kerusakannya
Adanya kebijakan
manajemen untuk
menempatkan alat
pendeteksi
kebakaran
204
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
maupun yang
otomatis diletakkan
di tempat yang
strategis.
2. Pemadam
kebakaran diletakkan
di tempat yang
strategis.
3. Bangunan tempat
diletakkannya aset
sistem informasi
dibangun dengan
kontruksi spesial
yang tahan panas
205
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
4. Tempat diletakkan
nya pemadam
kebakaran dan arah
keluar diberi tanda
yang jelas sehingga
memudahkan untuk
melihat tanda tersebut
5.Prosedur
kebersihan yang baik
dapat memastikan
bahwa barang-barang
yang mudah
menyebabkan
kebakaran minimal
206
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
sekali keberadaannya
di ruang sistem
informasi
2. Tidak adanya
Backup data di
tempat lain, Backup
data hanya di dalam
DJBC sendiri
Dilakukannya backup
data secara periodik
dan disimpan di
lokasi yang jauh dari
kegiatan operasional.
SPAP (2001, seksi
343.8 ayat 32)
Bila terjadi bencana/
kerusakan hardware
maka akan kesulitan
untuk me-recovery
data
Lakukan Backup
data ke tempat lain
juga, agar bila
terjadi bencana,
kesulitan recovery
data dapat
diminimalisir
Review
Dokumentasi
DIKC dan OKDD
1. Tidak
ditemukannya
dokumentasi
mengenai System
Adanya dokumentasi
tertulis tentang
aplikasi yang
dipergunakan,
Tahap-tahap
pengembangan
aplikasi tidak
diketahui dengan
Dokumentasikan
setiap
pengembangan
sistem agar
207
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Development Life
Cycle
dokumentasi meliputi
instruksi tahap demi
tahap, penjelasan
mengenai
penggunaan aplikasi,
sumber data yang
diolah dan spesifikasi
yang lain. SPAP
(2001, seksi 343.7
ayat 30).
jelas, tidak adanya
sumber informasi
yang mendukung
pengembangan
sistem selanjutnya.
mempermudah
pengembangan
sistem selanjutnya.
2. Tidak
ditemukannya
prosedur tertulis
mengenai Disaster
Adanya dokumentasi
tertulis tentang
aplikasi yang
dipergunakan,
Bila terjadi bencana,
prosedur untuk
penanganannya tidak
jelas, dan mungkin
Dokumentasikan
prosedur tertulis
mengenai Disaster
Recovery Plan
208
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Recovery Plan dokumentasi meliputi
instruksi tahap demi
tahap, penjelasan
mengenai
penggunaan aplikasi,
sumber data yang
diolah dan spesifikasi
yang lain. SPAP
(2001, seksi 343.7
ayat 30).
tidak dimengerti atau
tidak diketahui oleh
sebagian karyawan
209
2. Evaluasi Resiko Potensial Pengendalian Aplikasi
a. Boundary Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan Staf
OKDD
1. Tidak adanya
batasan mengenai
kegagalan login
akses
Menurut Weber
(1999, p382)
Mekanisme
pengendalian akses
membatasi user untuk
memasukkan
Password yang salah
Kemungkinan adanya
pihak yang dapat
mencoba melakukan
Login dengan
Password secara acak
Lakukan
pembatasan
terhadap kegagalan
Login Access.
2. Bila umur
Password berakhir,
Password lama bisa
digunakan kembali
sebagai password
Menurut Weber
(1999, p382) User
tidak boleh
menggunakan
kembali password
Adanya kemungkinan
Password yang lama
diketahui oleh pihak
lain
Adanya kebijakan
dalam pengendalian
Password, dimana
Password lama
harus dibedakan
210
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
baru yang usianya lebih
dari 12 bulan
dengan password
baru.
3. Panjang
minimum karakter
Password tidak
dibatasi
Menurut Weber
(1999, p382)
Mekanisme
pengendalian akses
tidak menyetujui
apabila panjang
Password kurang dari
minimum
Pegawai
menggunakan
Password yang
pendek sehingga
mudah diingat,
sehingga mudah
diketahui oleh pihak
lain
Batasi panjang
minimum karakter
Password
Wawancara
Kepala DIKC dan
Kepala OKDD
Tidak ada temuan
yang
mempengaruhi
aplikasi
-
-
-
211
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Observasi dan
Testing
DIKC dan OKDD 1. Tidak adanya
batasan mengenai
kegagalan login
akses
Menurut Weber
(1999, p382)
Mekanisme
pengendalian akses
membatasi user untuk
memasukkan
Password yang salah
Kemungkinan adanya
pihak yang dapat
mencoba melakukan
Login dengan
Password secara acak
Lakukan
pembatasan
terhadap kegagalan
Login Access.
2. Panjang
minimum karakter
Password tidak
dibatasi
Menurut Weber
(1999, p382)
Mekanisme
pengendalian akses
tidak menyetujui
apabila panjang
Password kurang dari
Pegawai
menggunakan
Password yang
pendek sehingga
mudah diingat,
sehingga mudah
diketahui oleh pihak
Batasi panjang
minimum karakter
Password
212
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
minimum lain
b. Communication Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan Staf
OKDD
Tidak ada temuan
yang
mempengaruhi
aplikasi
- - -
Wawancara
Kepala DIKC dan
Kepala OKDD
Gangguan jaringan
yang sering terjadi
adalah terputusnya
jaringan
Menurut Weber
(1999,p477-503)
Pengendalian dalam
Communication
Control (berkaitan
dengan kesalahan
Operasional sistem
aplikasi menjadi
terhambat
Mendeteksi dan
memonitoring
jaringan secara
periodik, sehingga
ditemukan
penyebab gangguan
213
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
jaringan tersebut)
terdiri dari:
1.Physical
Component Controls
2. Line Error Control
3. Flow Controls
4. Link Controls
5. Internet Working
Controls
6. Existence Control
jaringan
Observasi DIKC dan OKDD Tidak ada temuan
yang
mempengaruhi
aplikasi
- - -
214
c. Input Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan Staf
OKDD
Tidak ada temuan
yang
mempengaruhi
aplikasi
- - -
Wawancara
Kepala DIKC dan
Kepala OKDD
Tidak adanya
Enkripsi terhadap
data-data hasil
inputan
Transaksi tidak
hilang, digandakan,
atau dirubah tidak
semestinya. SPAP
(2001, seksi 314.5
ayat 08)
Data yang ada
kemungkinan dapat
dilihat secara
langsung jika ada
orang yang dapat
menembus sistem
keamanan
Lakukan Enkripsi
terhadap data-data
hasil inputan
Observasi dan
Testing
DIKC dan OKDD
Tidak adanya pesan
error bila terjadi
Menurut Weber
(1999, p446) apabila
User tidak
mengetahui
Harusnya ada pesan
error pada saat
215
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
kesalahan input-an user melakukan
kesalahan dalam
input data, maka
sebaiknya sistem
menampilkan pesan
kesalahan yang
bersifat ringkas, jelas
dan memberikan
solusi bagi user untuk
memperbaiki
kesalahan
kesalahan apa yang
terjadi
input-an salah
Review
Dokumentasi
DIKC dan OKDD Tidak ada temuan
yang
mempengaruhi
- - -
216
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
aplikasi
d. Process Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan Staf
OKDD
Tidak adanya
temuan yang
mempengaruhi
aplikasi
- - -
Wawancara Kepala DIKC dan
Kepala OKDD
Tidak adanya
temuan yang
mempengaruhi
aplikasi
- - -
Observasi dan
testing
DIKC dan OKDD Tidak adanya
temuan yang
- - -
217
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
mempengaruhi
aplikasi
e. Database Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan Staf
OKDD
Tidak adanya
temuan yang
mempengaruhi
aplikasi
- - -
Wawancara Kepala DIKC dan
Kepala OKDD
Tidak adanya
temuan yang
mempengaruhi
aplikasi
- - -
218
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Observasi
Divisi DIKC dan
OKDD
Tidak adanya
Backup data di
tempat lain, Backup
data hanya di dalam
DJBC sendiri
Dilakukan back up
data secara periodik
dan disimpan di
lokasi yang jauh dari
kegiatan operasional.
SPAP (2001, seksi
343.8 ayat 32)
Bila terjadi
bencana/kerusakan
hardware maka
akan kesulitan
untuk me-recovery
data
Lakukan Backup
data ke tempat lain
juga, agar bila
terjadi bencana,
kesulitan recovery
data dapat
diminimalisir
f. Output Control
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Kuesioner Staf DIKC dan staf
OKDD
Tidak ada temuan
yang
mempengaruhi
aplikasi
- - -
219
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
Wawancara
Kepala DIKC dan
Kepala OKDD
Tidak ada temuan
yang
mempengaruhi
aplikasi
-
-
-
Observasi
DIKC dan OKDD
Laporan yang
dihasilkan sebagian
besar belum
memiliki jenis
laporan, jumlah
copy dan
nama/bagian yang
melakukan
pencetakan
Menurut Weber
(1999, p.635)
terdapat beberapa
control information
yang harus terdapat
pada format laporan
yang tercetak yaitu
sebagai berikut:
Nama Laporan,
Waktu dan tanggal
Kehandalan dari
laporan yang ada
tidak terjamin
Adanya kebijakan
dari manajemen
agar komponen-
komponen laporan
direalisasikan
220
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
pencetakan, Daftar
Distribusi (termasuk
jumlah salinan),
periode proses yang
tercakup, Nama
program yang
mencetak (termasuk
versi), Nama user
yang bertanggung
jawab atas laporan
tercetak, Klasifikasi
keamanan, Kepala
laporan, Nomor
halaman, tanda
221
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
akhir dari laporan
Review
Dokumentasi
DIKC dan OKDD
Laporan yang
dihasilkan sebagian
besar belum
memiliki jenis
laporan, jumlah
copy dan
nama/bagian yang
melakukan
pencetakan
Menurut Weber
(1999, p.635)
terdapat beberapa
control information
yang harus terdapat
pada format laporan
yang tercetak yaitu
sebagai berikut:
Nama Laporan,
Waktu dan tanggal
pencetakan, Daftar
Distribusi (termasuk
jumlah salinan),
Kehandalan dari
laporan yang ada
tidak terjamin
Adanya kebijakan
dari manajemen
agar komponen-
komponen laporan
direalisasikan
222
Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi
periode proses yang
tercakup, Nama
program yang
mencetak (termasuk
versi), Nama user
yang bertanggung
jawab atas laporan
tercetak, Klasifikasi
keamanan, Kepala
laporan, Nomor
halaman, Tanda
akhir dari laporan
223
VI. Kesimpulan
Sistem Aplikasi Impor pada DJBC menurut hasil analisa dan review dari auditor,
adalah baik, tidak ditemukan resiko potensial yang dapat mempengaruhi jalannya
Sistem Aplikasi Impor
Jakarta, 10 Februari 2006
Tim Auditor