bab 4 evaluasi terhadap aplikasi impor pada …thesis.binus.ac.id/asli/bab4/2006-2-00831-ka-bab...

115

BAB 4

EVALUASI TERHADAP APLIKASI IMPOR PADA KANTOR

PELAYANAN BEA DAN CUKAI JAKARTA

4.1 Tujuan Evaluasi terhadap Sistem Aplikasi Impor

Tujuan Evaluasi terhadap Sistem Aplikasi Impor bertujuan untuk:

1. Mengevaluasi dan memastikan apakah pengendalian umum dan pengendalian

aplikasi sudah berjalan dengan efektif

2. Mengetahui seberapa efektif Sistem Aplikasi Impor

3. Mengetahui apakah Sistem Aplikasi Impor sudah memenuhi kebijakan yang

ditetapkan dalam kep 07/KMK/2003

4. Memberi rekomendasi atas resiko-resiko yang diperoleh, untuk

meningkatkan keefektifan Sistem Aplikasi Impor

4.2 Program Audit

4.2.1 Perencanaan Audit

Tahap perencanaan audit dilakukan dengan menentukan persiapan-

persiapan dan informasi apa saja yang diperlukan dalam rangka melakukan

audit terhadap Sistem Aplikasi Impor, termasuk didalamnya persiapan

evaluasi lapangan terhadap objek audit.

4.2.1.1 Informasi Yang Diperlukan

Informasi yang diperlukan dalam rangka audit Sistem Aplikasi

Impor adalah

116

1. Sejarah Direktorat Jenderal Bea dan Cukai (DJBC)

Dapatkan informasi tentang sejarah DJBC

2. Struktur Organisasi

Dapatkan informasi tentang struktur organisasi DJBC dan

substruktur organisasi yang terkait

3. Ketentuan-ketentuan yang terkait dengan Sistem Aplikasi

Impor

Dapatkan informasi tentang aplikasi dan ketentuan-

ketentuan atau kebijakan yang terkait dengan Sistem Aplikasi

Impor

4. Pengendalian Umum dan Pengendalian Aplikasi

Dapatkan informasi mengenai pengendalian umum dan

pengendalian aplikasi yang ada.

4.2.1.2 Persiapan Evaluasi Lapangan

Rencana evaluasi lapangan dalam rangka audit terhadap

Sistem Aplikasi Impor adalah sebagai berikut:

1. Waktu audit ditargetkan minimal 15 kali dalam kurun waktu 5

bulan, berturut-turut dari bulan Agustus 2005 sampai dengan

Desember 2005

2. Tim evaluasi selaku auditor terdiri dari 2 orang

3. Objek audit Sistem Aplikasi Impor dilakukan di kantor Pusat

DJBC dan disalah satu Kantor Pelayanan Bea Cukai, yaitu di

117

Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara

Halim Perdana Kusuma, Jakarta

4. Sebelum evaluasi, mengajukan Surat Permohonan Survei ke

Sub Direktorat Informasi Kepabeanan dan Cukai

5. Evaluasi berupa wawancara, kuesioner, observasi, review

dokumentasi dan Testing dilakukan di Sub Direktorat

Informasi Kepabeanan dan Cukai, yang terletak di Gedung A

lantai 1, Direktorat Jenderal Bea dan Cukai Pusat, Jalan

Ahmad Yani By Pass, Jakarta Timur.

6. Evaluasi berupa wawancara, kuesioner, observasi, dan review

dokumentasi dilakukan di Kantor Pelayanan Bea Cukai

Jakarta, Jalan Bandara Halim Perdana Kusuma

4.2.2 Prosedur Audit Atas Pengendalian Umum dan Aplikasi

4.2.2.1 Prosedur Audit Atas Pengendalian Umum

1. Dapatkan informasi sekilas tentang System Development

Life Cycle (SDLC) pada DJBC yang mendasari

pengembangan sistem

2. Dapatkan Informasi tentang tugas DA (Data Administrator)

dan DBA (Database Administrator)

3. Dapatkan ketentuan/prosedur khusus mengenai pengaksesan

Sistem Aplikasi Impor

4. Dapatkan informasi metode pengaksesan database

(Descreatory atau Mandatory Access)

118

5. Dapatkan informasi mengenai keberadaan Quality Control

atas database

6. Dapatkan bukti atas Quality Control yang dilakukan

7. Dapatkan informasi mengenai pengendalian keamanan yang

diterapkan

8. Dapatkan informasi tentang apa saja komponen-komponen

keamanannya (software dan hardware)

9. Dapatkan informasi lokasi ruang pemrosesan data

10. Dapatkan informasi mengenai pembatasan akses fisik ke

ruang komputer

11. Dapatkan informasi mengenai pembatasan akses ke dalam

sistem komputer

12. Dapatkan informasi tentang sistem aplikasi untuk

mendukung keamanan jaringan

13. Dapatkan informasi apakah DJBC melakukan inventarisasi

dan mengcover aset sistem komputer dengan asuransi

14. Dapatkan informasi tentang jadwal operasi sistem aplikasi

Impor

15. Dapatkan informasi tentang maintenance hardware dan

software secara periodik

16. Dapatkan informasi mengenai histori operasional sistem

17. Dapatkan informasi tentang kebijakan yang digunakan untuk

memonitor sistem (koneksi atau jaringan)

119

18. Dapatkan sekilas informasi tentang hardware yang

digunakan

4.2.2.2 Prosedur Audit Atas Pengendalian Aplikasi

A. Boundary Control

1. Dapatkan informasi metode akses yang digunakan

2. Dapatkan informasi mengenai tingkatan level user dan

batasan-batasan aksesnya

3. Lakukan pengecekan apakah bila login tidak valid sistem

menampilkan pesan tidak valid

4. Lakukan pengecekan berapa kali kegagalan penginputan

login access dapat dilakukan

5. Dapatkan informasi mengenai pembatasan umur password

6. Dapatkan informasi apakah login access pada setiap

subsistem aplikasi tersebut di-encryption

B. Communication Control

1. Dapatkan informasi tentang firewall yang digunakan pada


2. Dapatkan informasi mengenai software dan hardware yang

digunakan, khususnya mengenai jaringan

3. Dapatkan informasi mengenai communication lines yang

digunakan

120

4. Dapatkan informasi mengenai keberadaan encryption pada


5. Dapatkan informasi mengenai keberadaan backup hardware

internetworking

6. Dapatkan informasi tentang topologi jaringan yang

digunakan

7. Evaluasi terhadap private/public network dan protokol yang

digunakan

C. Input Control

1. Dapatkan metode input yang digunakan

2. Dapatkan informasi otorisasi transaksi sebelum inputan

3. Dapatkan informasi mengenai rancangan tampilan data

entry

4. Dapatkan informasi apakah bila inputan salah ada pesan

error atau tidak

5. Dapatkan informasi mengenai audit trail terhadap input

6. Dapatkan informasi mengenai completeness check atas

inputan

D. Process Control

1. Dapatkan informasi mengenai system requirement dari

aplikasi

121

2. Dapatkan kebijakan mengenai software dan hardware yang

digunakan

3. Dapatkan informasi mengenai kebijakan update data

4. Dapatkan informasi mengenai apakah transaksi yang

terotorisasi telah diproses secara akurat

5. Dapatkan informasi mengenai audit trail terhadap proses

6. Dapatkan informasi apakah bila ada proses yang salah atau

gagal ada pesan error atau tidak

7. Dapatkan informasi mengenai apakah ada recovery setelah

ada proses yang gagal.

8. Dapatkan informasi apakah ada prosedur untuk menjamin

tidak ada proses yang duplikasi

E. Database control

1. Dapatkan informasi mengenai hubungan tiap-tiap entity

yang ada

2. Dapatkan informasi tentang pembatasan akses database

3. Dapatkan informasi tentang audit trail database

4. Dapatkan informasi mengenai ketersediaan audit terhadap

database

5. Dapatkan informasi apakah backup terhadap database

dilakukan secara rutin atau tidak

122

6. Dapatkan informasi mengenai kegagalan apa saja yang

pernah terjadi pada database

7. Dapatkan informasi mengenai perubahan transaksi pada

database

F. Output Control

1. Dapatkan informasi mengenai prosedur review laporan oleh

manajemen

2. Dapatkan informasi mengenai kelengkapan laporan

3. Dapatkan informasi mengenai pendistribusian laporan

4. Dapatkan informasi mengenai otorisasi pencetakan laporan

5. Dapatkan informasi mengenai waktu pencetakan laporan

4.2.3 Pengumpulan Bukti Audit

1. Kuesioner

Kuesioner yang digunakan sebagai metode untuk mengumpulkan

bukti audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan

Kuesioner Pengendalian Aplikasi

Dimana kuesioner ini terdiri dari:

a. Kolom nomor pertanyaan

b. Kolom pertanyaan, berisi aspek-aspek data yang ingin

diketahui oleh auditor

123

c. Kolom ya dan tidak, merupakan jawaban terhadap

pertanyaan responden

d. Kolom keterangan, merupakan penjelasan responden

terhadap pertanyaan dan jawaban yang diberikan

2. Wawancara

Wawancara dilakukan secara tidak terstruktur, dimana design

pertanyaannya disesuaikan dengan informasi/data yang ingin

diketahui oleh auditor. Dimana respondennya dibatasi hanya untuk

manajemen terkait

3. Observasi

Observasi dilakukan dengan melakukan survei langsung ke

lapangan untuk melihat secara langsung pengendalian umum dan

aplikasi secara langsung untuk mendapatkan informasi lapangan

yang lebih akurat. Dimana observasi dilakukan di Direktorat

Informasi Kepabeanan dan Cukai pada Kantor Pusat Direktorat

Jenderal Bea dan Cukai dan di Divisi Operasional Komputer dan

Distribusi Dokumen pada Kantor Pelayanan Bea dan Cukai Jakarta,

Jalan Bandara Halim Perdana Kusuma

4. Testing

Testing dilakukan untuk mendapatkan informasi yang lebih jelas

mengenai pengendalian aplikasi. Dimana auditor secara langsung

menguji Aplikasi Impor yang ada

124

5. Review Dokumentasi

Review dokumentasi dilakukan dengan menelusuri dokumen-

dokumen dan laporan yang dihasilkan guna mendapatkan informasi

terhadap pengendalian yang ada.

125

4.3 Hasil Pengumpulan Data Atas Pengendalian Umum

4.3.1 Hasil Kuesioner Pengendalian Umum

No Pertanyaan Ya Tidak Keterangan

1 Apakah terdapat struktur organisasi formal yang

mencakup bagian pengolahan data?

√

Ada, lihat Gambar 3.1 (Struktur Organisasi

DJBC Kantor Pusat) Pada divisi DIKC

(Direktorat Informasi Kepabenan dan Cukai)

dan pada Gambar 3.3 (Struktur Organisasi

Kantor Pelayanan Tipe A) Pada divisi OKDD

(Operasional Komputer dan Distribusi

Dokumen).

2 Apakah manajemen melakukan review periodik

terhadap skedul pengolahan data dan pencetakan

laporan?

√

Dilakukan oleh manajemen terkait, Untuk

Kantor Pelayanan seperti Kepala Kantor,

OKDD, untuk Kantor Pusat Direktorat Jenderal.

3 Apakah terhadap fungsi-fungsi yang ada di

bagian pengolahan data telah terdapat uraian dan

Ada tertulis pada Nota Dinas, dimana Nota

Dinas berisikan Job Description untuk masing-

126

tanggung jawab yang jelas dan tertulis? √ masing fungsi. (Lihat Lampiran 51)

4 Apakah terdapat fungsi DBA yang terpisah dari

Data/Programmer Librarian maupun dari

Programmer?

√

Ada ruang yang terpisah.

5 Apakah terdapat ketetapan tertulis tentang

persyaratan ketrampilan bagi setiap posisi yang

ada dibagian pengolahan data?

√

Tidak tertulis, background pendidikannya tidak

dinyatakan secara tertulis. Adanya training bagi

staf yang akan ditempatkan ke bagian

pengolahan data.

6 Apakah ada program latihan (training) untuk

meningkatkan kemampuan personil bagian

Pengolahan Data?

√

Ada training pada periode tertentu yang sudah

ditetapkan dan dijadwalkan oleh manajemen

7 Apakah terdapat evaluasi periodik berdasarkan

kriteria yang ada terhadap kinerja para personil?

√

Ada, hal ini terlihat dalam Aplikasi Impor,

dimana terdapat laporan yang berupa evaluasi

terhadap kinerja para personil yang terlibat

dalam aplikasi tersebut (Lihat Lampiran 80

127

pada Gambar 57 dan Lampiran 84 pada

Gambar 65)

8 Apakah terhadap seluruh operasi komputer telah

dilakukan penjadwalan sehingga dapat

diselesaikan tepat waktu dan efisien?

√

Jadwalnya tidak secara rinci diatur dan hanya

mengikuti jam kerja pegawai. Misalnya:

Absensi, insert kurs (Mingguan). (Lihat

Lampiran 80 pada Gambar 58)

9 Apakah telah ditetapkan staf yang bertanggung

jawab untuk mengelola media komputer (misal:

tape, disket, dll)?

√

Ada, pada Kantor Pelayanan diatur oleh seksi

OKDD (Operasional Komputer dan Distribusi

Dokumen). Pada Kantor Pusat datur oleh DIKC

(Direktorat Informasi Kepabeanan dan Cukai).

10 Apakah telah terdapat prosedur pengolahan media

komputer dalam rangka melindungi data dari

penyalahgunaan atau kerusakan?

√

Ada, secara umum adanya pem-backup-an data

dan prosedurnya dinyatakan dalam bentuk user

manual.

11 Apakah terdapat standar penggunaan identifikasi

(eksternal dan internal label) terhadap seluruh

Ada, terdapat disetiap inventaris (Seperti

komputer, aksesoris komputer, dll) untuk media

128

media magnetis yang dipergunakan? √ magnetis seperti disket, CD, dll) jarang

digunakan karena semua data berada di server

dan backup data berada diserver.

Apakah dilakukan evaluasi terhadap kinerja dari

sistem yang digunakan?

√

Dari pihak intern dievaluasi oleh manajemen,

untuk external pernah dilakukan audit sistem

informasi.

12

Jika ya, apakah terdapat dokumentasi mengenai

kinerja aplikasi?

√

Ada, bentuknya dalam laporan

13 Apakah lokasi ruang server/database terpisah

dengan bagian lainnya?

√

Bagian Database terpisah dengan bagian

lainnya, dimana Database ditempatkan di

Ruang Console pada Kantor Pelayanan berada

di lantai dasar dan pada Kantor Pusat berada di

lantai 2 dan hanya yang memiliki otoritas yang

boleh masuk

14 Apakah terdapat metode pembatasan akses Ada dengan menggunakan ID Card.

129

terhadap ruang fasilitas library yang ada? √

15 Apakah terhadap instalasi komputer yang kritis

dipakai metode pengawasan yang lebih ketat

mengenai pembatasan akses fisik?

√

Ada misalnya pada pengamanan server

16 Apakah terhadap terminal yang berada di luar

lokasi Bagian Pengolahan Data, telah

ditempatkan di lokasi yang aman?

√

17 Apakah kepada setiap pegawai yang

berkepentingan telah diberikan User ID yang

unik?

√

User ID diberikan sesuai dengan otoritas yang

diberikan kepadanya

18 Apakah tiap User ID (Log On ID) telah

dialokasikan access previllege yang sesuai

dengan tugas dan tanggung jawabnya?

√

Diberikan sesuai dengan otoritas dan tanggung

jawabnya

19 Apakah prosedur Log In pegawai diharuskan

memberikan User ID & Password?

√

130

20 Apakah Password terdapat dalam bentuk file

komputer yang telah dienkripsi?

√

Semua bagian tidak dapat mengetahui password

user, termasuk DBA sendiri, karena password

disamarkan. Bila ada user yang lupa dengan

passwordnya, maka akan dibuatkan password

baru.

21 Apakah peraturan pemakaian password dapat

menjamin bahwa tidak terdapat kemungkinan

suatu password diketahui oleh pihak lain?

√

Peraturan yang ada sudah jelas. Dalam praktek

tidak menutup kemungkinan adanya pihak yang

mengetahui password orang lain

22 Apakah terdapat keharusan untuk mengubah

password apabila telah melewati batas umur

tertentu?

√

Ada, tiga bulan sekali harus diganti

23 Apakah terdapat prosedur yang secara periodik

mengharuskan dilakukan evaluasi dalam rangka

mengidentifikasi dan mengatasi adanya aktivitas

yang tidak terotorisasi?

√

Ada, dari log file yang ada dan dilakukan oleh

DBA (Lihat Lampiran 85 pada Gambar 68,

Lampiran 86 pada Gambar 70, Lampiran 87

pada Gambar 72)

131

24 Apakah lokasi instalasi komputer telah cukup

aman dari kemungkinan gangguan maupun

bencana dari luar gangguan?

√

Di Kantor Pelayanan lokasi instalasi komputer

sebagian besar terletak dilantai dasar, karena

didukung oleh letak geografisnya. Di Kantor

Pusat lokasi instalasi komputer sebagian besar

berada di lantai 1 dan 2.

25 Apakah konstruksi bangunan instalasi komputer

terbuat dari bahan-bahan yang tidak rawan akan

api atau mudah dirusak?

√

Konstruksi bangunan instalasi komputer sudah

menggunakan standar.

26 Apakah setiap komputer memiliki sistem

antivirus yang selalu update?

√

Ada, update dilakukan per-client dan update

dilakukan secara online saat komputer

terhubung ke jaringan

27 Apakah perusahaan telah menerapkan

pengamanan untuk melindungi asetnya yang

berhubungan dengan sistem informasi terhadap

gangguan:

132

a. Banjir?

b. Kebakaran?

c. Listrik?

d. Suhu?

e. Lainnya?

√

√

√

√

√

Letak geografis yang mendukung, sehingga

sever berada di lantai dasar (Pada Kantor

Pelayanan Halim) dan Server berada di lantai 2

(Kantor Pusat)

Adanya tabung pemadam kebakaran di sudut

ruangan

Adanya UPS dan Stabilizer

Adanya AC

28 Apakah ada prosedur tertulis mengenai tata cara

penanganan ancaman yang berhubungan dengan

sistem informasi?

√

Jika hardware rusak langsung diserahkan ke

vendor bila masih dalam masa garansi, bila di

luar garansi diserahkan ke IKC atau PDDT

(Pengolahan Data dan Dukungan Teknis)

29 Apakah ruang komputer telah dilengkapi dengan

alat pendingin dan pengatur kelembaban?

√

Dengan menggunakan AC

133

30 Apakah telah terdapat prosedur backup yang

memadai terhadap data/aplikasi kritis?

√

Prosedur backup data dilakukan secara rutin

oleh DBA

31 Apakah terdapat prosedur untuk penanganan bila

ada hardware yang rusak?

√

Bila ada hardware yang rusak langsung

diserahkan ke vendor, bila dalam masa garansi,

dan bila diluar garansi diserahkan ke IKC atau

PDDT (Pengolahan Data dan Dukungan

Teknis)

32 Apakah terdapat prosedur tertulis yang dipakai

dalam melakukan pengembangan dan

pemeliharaan sistem?

√

Pengembangan sistem secara garis besar

menggunakan metode Waterfall dan untuk

pemeliharaan sistem dilakukan oleh DIKC,

dimana tahapnya terdiri dari tahap

pengumpulan data, analisis, perancangan,

implementasi, uji coba.

33 Apakah terdapat keterlibatan user dalam

pengembangan sistem?

√

Adanya Tim Analis; Tim Pendamping yang

terdiri dari kantor pelayanan, Direktorat IKC,

134

Direktorat Pengolahan Data dan Dukungan

Teknis; dan Programmer.

34 Apakah untuk setiap perubahan program telah

mendapat otorisasi tertulis dari pejabat yang

berwenang?

√

Setiap perubahan program harus berdasarkan

wewenang yang diberikan manajemen

35 Apakah terdapat dokumentasi yang cukup untuk

setiap aplikasi yang ada?

√

Ada, seperti user manual dan dokumentasi

pengembangan sistem

36 Apakah SPI telah dilibatkan dalam setiap

pengembangan sistem?

√

Ada, dimana SPI telah diterapkan dalam setiap

pengembangan sistem yang dilakukan oleh Tim

Analis; Tim Pendamping yang terdiri dari

kantor pelayanan, Direktorat IKC, Direktorat

Pengolahan Data dan Dukungan Teknis; dan

Programmer

37 Apakah pengembangan sistem telah berdasarkan

metodologi yang efektif dan efisien?

√

Secara garis besar menggunakan metode

Waterfall dimana tahapnya terdiri dari tahap

135

pengumpulan data, analisis, perancangan,

implementasi, uji coba.

38 Apakah sebelum sistem diimplementasikan

dilakukan pengujian terlebih dahulu?

√

39 Apakah hardware yang dipergunakan dalam

operasi telah memiliki pengendalian-

pengendalian yang memadai untuk mendeteksi

adanya kerusakan hardware?

√

40 Apakah Operating System yang digunakan telah

memiliki pengendalian-pengendalian yang cukup

untuk mendeteksi ketidakwajaran yang timbul

dalam penggunaan resources komputer

(hardware, software, telekomunikasi)?

√

Operating System (OS) yang dipakai pada

Client yaitu Microsoft Windows XP dan pada

Server AIX yang didalamnya terdapat fitur

untuk mendeteksi ketidakwajaran penggunaan

resources komputer

41 Apakah terdapat jaminan dari vendor atas

hardware maupun software yang baru dibeli?

√

Jaminan yang diberikan berupa garansi

136

42 Apakah terdapat asuransi terhadap hardware

yang memiliki tingkat resiko yang tinggi atas

kerusakan?

√

Tabel 4.1 : Hasil Kuesioner Pengendalian Umum

137

4.3.2 Hasil Wawancara Pengendalian Umum

1. Standar SDLC (System Development Life Cylce) yang diterapkan

secara garis besar menggunakan metode Waterfall, dimana terdiri

dari tahap pengumpulan data, analisis, perancangan, implementasi,

uji coba.

2. Tugas DA dan DBA terpisah, dimana tugas DA sebagai

Administrator Aplikasi yang bertugas untuk memonitor pelaksanaan

aplikasi sesuai dengan otoritas user, dan DBA tugasnya menangani

dan memaintain error, kesalahan pada Database, dan Backup data.

Dalam pelaksanaannya tugas DA dan DBA saling meng-cover satu

sama lainnya (Dimana jika ada salah satunya tidak dapat melakukan

tanggung jawabnya, maka akan digantikan oleh rekan yang lain

sementara waktu)

3. Adanya access policies dan concurency access pada Database,

dimana user hanya boleh masuk ke menu aplikasi untuk mengakses

Database sesuai dengan otoritasnya.

4. Tidak terdapat departemen yang secara langsung menangani

Quality Control, tetapi ada monitoring langsung dari manajemen.

5. Sistem yang berjalan sudah 75% efektif, dimana masih terdapat

kelemahan-kelemahan pada pelaporan, masih terdapat pemalsuan

pembayaran oleh pihak ketiga yang ditunjuk oleh importir

6. Prosedur keamanan yang ada, untuk aplikasi dengan menggunakan

Username dan Password, tetapi untuk pengendalian umum secara

khusus tidak ada. (Lihat Lampiran 52)

138

7. Server pada Kantor Pelayanan Halim berada dilantai dasar karena

letak geografisnya yang tidak rawan banjir. Untuk Kantor Pusat,

Server berada di lantai 2

8. Server difasilitasi dengan Firewall, dan terdapat Antivirus yang

terupdate pada Server dan Client.

9. Untuk Disaster Recovery Plan secara khusus tertulis tidak ada,

secara umum, misal adanya Backup data ke Kantor Pusat setiap tiga

bulan sekali secara Batch – Online. Bila Server down, maka Kantor

Pelayanan akan menggunakan Note Book dan Aplikasi cadangan.

10. Antivirus ter-Update pada setiap Client, tetapi ada kesulitan untuk

mengupdate antivirus karena keterbatasan Bandwith

11. Cadangan data di Backup ke Note Book, dan Kantor Pusat, secara

Batch – Online

12. Adanya Inventarisir pada setiap aset yang ada, dimana tiap-tiap aset

diberikan label inventarisir dan nomor tersebut terdaftar.

13. Tidak adanya penjadwalan khusus terhadap operasional (Hanya

mengikuti jam kerja pegawai (absensi) dan proses transaksi hanya

berjalan apabila adanya PIB dari Importir), untuk monitoring

operasional sistem ada, berupa Log File (Lihat Lampiran 85 pada

Gambar 68) yang ada pada aplikasi.

14. Secara khusus tidak ada perawatan secara periodik pada software

dan hardware, bila ada aplikasi dan software yang

rusak/bermasalah akan di-remote dari Kantor Pusat DIKC untuk

139

dibenarkan, dan bila ada Hardware yang bermasalah akan ditangani

oleh PDDT (Pengolahan Data dan Dukungan Teknis).

15. Secara umum Interface dari aplikasi cukup familiar bagi user yang

menggunakan

16. Waktu yang digunakan untuk memproses satu siklus transaksi

empat jam dan maksimal 2 X 24 jam..

17. Secara khusus tidak ada standar mengenai hardware yang

digunakan, kebutuhan untuk software dan hardware ditentukan oleh

manajemen DJBC Pusat, untuk penyedia hardware dan software

dilakukan secara tender.

18. Network Control Terminal sudah ada, tetapi belum sempurna, masih

dalam tahap pengembangan.

4.3.3 Hasil Observasi Pengendalian Umum

1. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan DA

terpisah, tetapi ruangannya menjadi satu, dan mereka saling cover

satu sama lainnya (Dimana jika ada salah satunya tidak dapat

melakukan tanggung jawabnya, maka akan digantikan oleh rekan

yang lain sementara waktu)

2. Secara umum terdapat kebijakan Access Policies, seperti dimana

user tidak dapat mengakses Database secara langsung, tetapi harus

melalui aplikasi, yang dapat mengakses langsung ke Database

hanya bagian pengolahan data (DIKC).

140

3. Secara khusus tidak terdapat bagian yang menangani Quality

Control, tetapi ada review secara periodik dari manajemen

4. Sistem keamanan yang ada:

a. Kebakaran: Adanya tabung pemadam kebakaran disudut-sudut

ruangan, tidak ada alat pendeteksi untuk kebakaran untuk

Kantor Pelayanan Bea dan Cukai Jakarta..

b. Banjir: Karena letak geografis yang tidak rawan banjir, maka

tidak ada resiko atas banjir pada Kantor Pelayanan Halim

Server berada di lantai dasar. Pada Kantor Pusat Server berada

di lantai 2

c. Suhu: Adanya AC pada tiap ruang komputer

d. Listrik: Adanya penggunaan AC dan Stabilizer

e. Lainnya: Adanya petugas keamanan, dan Access Card untuk

keruang Server, ruang server dilengkapi dengan kamera

5. Server pada Kantor Pelayanan Bea dan Cukai Halim berada di

lantai dasar, yang terpisah dari ruangan operasional lainnya.

Server pada Direktorat Jenderal Bea dan Cukai Pusat berada di

lantai 2.

6. Adanya antivirus yang terupdate pada komputer Client dan Server.

Pada Server adanya firewall

7. Tidak adanya asuransi untuk aset sistem komputer, hanya ada

garansi dari vendor, tetapi ada inventarisir untuk tiap peralatan yang

ada

141

8. Adanya Backup data, pada Kantor Pelayanan Backupdata

menggunakan notebook dan setiap tiga bulan sekali data dikirimkan

ke Kantor Pusat dengan cara Batch – Online, tetapi backup hanya di

internal DJBC saja, tidak ada backup di tempat lain.

9. Adanya Log File untuk memonitor operasional sistem (Lihat


4.3.4 Hasil Review Dokumentasi Pengendalian Umum

1. Tidak ditemukannya dokumentasi mengenai System Development

Life Cycle

2. Ada user manual untuk pengoperasian aplikasi Impor (Lihat


3. Ada user manual untuk pengoperasian aplikasi Inhouse Impor

sebagai aplikasi pendukung (Lihat Lampiran 92 pada Gambar 82)

4. Tidak ditemukannya prosedur tertulis mengenai Disaster Recovery

Plan

5. Ada struktur organisasi yang jelas dalam bentuk Keputusan Mentri

Keuangan (Lihat Gambar 3.1 dan Gambar 3.3)

6. Ada Nota Dinas yang mengatur Job Description untuk bagian

OKDD (Lihat Lampiran 51)

7. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja Penyelesaian

Barang Impor Dengan Pemberitahuan Impor Barang (PIB)

8. Adanya kebijakan dalam pemisahan tugas dan pembatasan akses

untuk sistem aplikasi impor yang diadaptasi dari Kep-07/BC/2003

142

4.4 Hasil Pengumpulan Data Atas Pengendalian Aplikasi

4.4.1 Boundary Control

4.4.1.1 Hasil Kuesioner Pengendalian Akses


1 Apakah ada tingkatan level user yang spesifik

dalam aplikasi Impor?

√

Tingkatan level user yang ada didasarkan

pada Kep-07/BC/2003

2 Metode apakah yang digunakan dalam

pengendalian akses dalam Aplikasi Impor:

a. User name?

b. Sidik jari?

c. Pola Retina?

d. Finger Print?

e. Password?

√

√

X

X

X

Lihat Lampiran 52

3 Jika Password: Apakah user name dan

password pada Aplikasi Impor di-encryption?

√

User Name dan Password berada di Server,

dimana User Name dan Password Invincible

143

sehingga semua orang tidak bisa mengetahui

Passwordnya

4 Apakah terdapat jangka waktu validasi untuk

password?

√

Jangka waktu untuk Password adalah tiga

bulan sekali

5 Apakah jika jangka waktu validasi password

lama berakhir atau saat user mengganti

password, password lama tersebut bisa

digunakan kembali sebagai password yang

baru?

√

Password lama yang bisa digunakan kembali

sebagai Password baru (Lihat Lampiran 83

pada Gambar 63)

6 Apakah terdapat ketentuan panjang minimum

untuk password?

√

7 Apakah dalam penggunaan password dilakukan

dengan kombinasi (huruf dan angka)?

√

8 Apakah terdapat batasan minimum untuk

kesalahan memasukkan password?

√

144

9 Apakah ada pengiriman report ke bagian terkait

jika ada user yang bermasalah dengan entri

user name dan password?

√

Bila ada User yang bermasalah dengan

Passwordnya, langsung menghubungi konsul

10 Apakah sistem menampilkan pesan jika

verifikasi login tidak valid?

√

Lihat Lampiran 53 pada Gambar 2 dan 3

Tabel 4.2 : Hasil Kuesioner Pengendalian Akses

145

4.4.1.2 Hasil Wawancara Pengendalian Akses

1. Pembagian tingkatan level user berdasarkan Kep-

07/BC/2003, termasuk otoritas yang dimilikinya

Kaitannya dengan Kep-07/BC/2003 adalah aplikasi

diterjemahkan dan diadaptasi sebagai otoritas dari user

2. Kebijakan khusus mengenai batasan akses dituangkan dalam

Kep-07/BC/2003, dimana pengembangan sistem tersebut

berdasarkan Kep-07/BC/2003

3. Metode yang dilakukan untuk membatasi akses adalah

Username dan Password (Lihat Lampiran 52)

4. Ada metode enkripsi terhadap Password, dimana Password

disamarkan dan tidak ada pihak yang mengetahui Password

tersebut, dimana Password user akan dirandom dengan

characer lain

5. Batas waktu penggunaan Password adalah 3 bulan sekali,

setelah 3 bulan, Password diganti

6. Bila ada user yang bermasalah dengan aksesnya, User dapat

langsung menghubungi konsul/OKDD dan akan dibuatkan

Password baru.

4.4.1.3 Hasil Observasi Dan Testing Pengendalian Akses

1. Terdapat pembagian level user didalam aplikasi sesuai dengan

otoritasnya

146

2. Tugas dan wewenang yang ada didasarkan pada Kep-

07/BC/2003

3. Batasan akses yang digunakan adalah Username dan

Password (Lihat Lampiran 52)

4. Password yang di-input disamarkan oleh aplikasi

5. Ada jangka waktu untuk umur Password

6. Bila Password salah atau Username tidak terdaftar ada pesan

error (Lihat Lampiran 53 pada Gambar 2 dan 3)

7. Panjang Password tidak dibatasi dan dilakukan kombinasi

8. Tidak terdapat batasan minimum pada kesalahan memasukkan

Password

9. Tidak ada pengiriman Report, bila ada user yang bermasalah

dengan Password langsung menghubungi konsul/OKDD

147

4.4.2 Communication Control

4.4.2.1 Hasil Kuesioner Pengendalian Komunikasi


1 Apakah jaringan Sistem Aplikasi Impor dilengkapi

dengan firewall?

√

Firewall yang digunakan berada di

Sever

2 Apakah sistem aplikasi Impor difasilitasi dengan

saluran transmisi atau saluran link?

√

Menggunakan VSAT, VPN dan Leased

Lines

3 Apakah media transmisi yang digunakan berjenis

Bounded Media (seperti twisted pair, coaxial cable,

atau optical fiber)?

√

Menggunakan UTP Cable

4 Apakah media transmisi tersebut berjenis unbounded

Media (seperti satellite, microwave, radio frequency,

atau infrared)?

√

Menggunakan VSAT (Lihat Lampiran

89 pada Gambar 75)

5 Apakah jaringan sistem Aplikasi Impor

menggunakan communication lines (Modem, Port

Menggunakan hardware yang umum

digunakan dalam Communication Lines,

148

Protection Devices, Multiplexor dan Consentrators)? √ seperti Hub, Switch, Multiplexor, dll

6 Apakah jaringan sistem aplikasi Impor menggunakan

communication lines jenis Private communication

lines?

√

Digunakan VSAT dan VPN

7 Apakah jaringan sistem aplikasi Impor menggunakan

communication lines jenis Public communication

lines?

√

Menggunakan Leased Lines Telkom

8

Apakah sistem aplikasi Impor difasilitasi dengan

pendeteksian error pada communication lines?

√

Ada program diluar aplikasi untuk

mendeteksi error, aplikasi tidak dapat

langsung mendeteksi.

9 Apakah jaringan koneksi sistem Aplikasi Impor

(misal: WAN, LAN) didukung oleh hardware dan

software yang memadai?

√

10 Apakah sistem aplikasi Impor dilengkapi dengan

remote terminal yang memonitor status jaringan?

√

Bagian Pengolahan Data dan Dukungan

Teknis yang berwenang dalam hal ini

149

11 Apakah sistem aplikasi Impor bersifat “Platform

Less” sehingga memberikan kemudahan operasional

dari segi jaringan?

√

Tabel 4.3 : Hasil Kuesioner Pengendalian Komunikasi

150

4.4.2.2 Hasil Wawancara Pengendalian Komunikasi

1. Transmisi jaringan yang digunakan Leased Lines, VSAT,

VPN dan untuk internal memakai LAN (Lihat Lampiran 89

pada Gambar 75 dan 76)

2. Tidak semua komputer terhubung ke jaringan, ada yang Stand

Alone, tergantung fungsi dari komputer tersebut

3. Tidak ada standar yang secara khusus mengatur Software dan

Hardware yang digunakan, hanya berdasarkan kebijakan dari

manajemen.

4. Kesalahan jaringan yang paling sering terjadi adalah jaringan

yang terputus

5. Topologi yang digunakan saat ini adalah Star (Lihat

Lampiran 89 pada Gambar 75 dan 76)

4.4.2.3 Hasil Observasi Dan Testing Pengendalian Komunikasi

1. Adanya Firewall dan Antivirus yang terupdate

2. Media transmisi yang digunakan berjenis Bounded Media

3. Untuk transmisi jaringan menggunakan Leased Lines, VSAT,

dan VPN

4. Jaringan komunikasi berjenis Private dan Public

Dimana Private Lines menggunakan VSAT dan VPN

Dimana Public Lines menggunakan Leased Line Telkom

151

4.4.3 Input Control

4.4.3.1 Hasil Kuesioner Pengendalian Input


1 Apakah terdapat prosedur penyiapan data yang

harus dipatuhi oleh user, termasuk perubahan

permanen, semi permanen, maupun koreksi

data untuk menjamin seluruh transaksi telah

direkam?

√

PIB Disket yang di-load, jika pada saat

validasi terdapat kesalahan, user (Kantor

Pelayanan) dapat membantu importir

melakukan pembetulan, sehingga transaksi

selanjutnya dapat dilakukan. Untuk input-an di

dalam aplikasi tidak dapat dikoreksi oleh user.

2 Apakah transaksi diotorisasi sebagaimana

mestinya sebelum diinput ke terminal

komputer?

√

Sebelum diinput, dokumen sumber akan

diperiksa dahulu oleh pejabat yang berwenang

dan aplikasi sendiri akan melakukan

pengecekan atas PIB yang di load (Lihat


pada Gambar 20 dan Lampiran 65 pada

152

Gambar 28)

3 Apakah Interface dari aplikasi dapat

memudahkan user melakukan Input data?

√

Selama ini belum terdapat keluhan dari user

4 Apakah bila terjadi kesalahan input akan

muncul pesan error?

√

5 Jika ya, apakah pesan error tersebut mudah

dimengerti oleh user?

√

Pesan yang ditampilkan singkat dan jelas

6 Apakah data yang diinput ke terminal

komputer harus berdasarkan atas dokumen

manual/fisik?

√

Tidak harus dokumen manual, dokumen

manual/fisik hanya sebagai pembanding dan

pendukung

7 Apakah bila terjadi salah inputan dan sudah

dilakukan penyimpanan, aplikasi mempunyai

fitur untuk meng-update transaksi yang salah?

√

Edit hanya bisa dilakukan melalui Database,

tidak dapat langsung melalui aplikasi. Update

hanya dapat dilakukan untuk data yang tidak

berhubungan dengan transaksi, misal update

dokumen SSPCP, dll.

153

8 Metode inputan apa yang digunakan untuk

mengisi data pada aplikasi Impor ?

a. Keyboarding

b.Direct Reading

c. Direct Entry

√

√

X

Dengan menggunakan keyboard

Membaca langsung data yang ada pada disket

(Lihat Lampiran 55 pada Gambar 6)

9 Apakah terdapat metode Completeness Check

untuk memastikan field/data telah diinput ke

terminal komputer?

√

Bila field-field yang dibutuhkan dalam proses

tidak terisi semua, maka data tidak dapat

disimpan/diproses

Tabel 4.4 : Hasil Kuesioner Pengendalian Input

154

4.4.3.2 Hasil Wawancara Pengendalian Input

1. Yang melakukan otorisasi adalah User yang ditunjuk sebagai

otorisator

2. Kesalahan Inputan yang paling sering terjadi adalah faktor

Human Error, misal: Salah Input

3. Data-data hasil inputan tidak di-enkripsi

4. Secara global interface aplikasi sudah memudahkan user

dalam melakukan Inputan

4.4.3.3 Hasil Observasi Dan Testing Pengendalian Input

1. Adanya otorisasi transaksi sebelum di input ke komputer,

berupa pemeriksaan dokumen sumber secara manual dan

Aplikasi akan melakukan pengecekan terhadap hasil inputan

2. Tidak adanya pesan error bila terjadi kesalahan inputan,

seperti jika kita memasukkan karakter pada inputan yang

harusnya diisi field numerik, data hasil input-an tidak dapat

disimpan

3. Bila ada Inputan yang salah sistem tidak mempunyai fitur

untuk meng-update transaksi yang salah, tetapi harus dari

database, kecuali untuk update SSBC

4. Metode Inputan yang digunakan:

a. Keyboarding: Dengan menggunakan keyboard

b. Direct Reading: Dengan membaca langsung pada disket

155

5. Ada metode Completeness Check berupa bila field-field yang

dibutuhkan dalam proses tidak terisi semua, maka data tidak

dapat disimpan/diproses

4.4.3.4 Hasil Review Dokumentasi Pengendalian Input

1. Data-data impor di input oleh Importir dengan menggunakan

aplikasi PIB. Importir akan menyerahkan data-data PIB

(dalam media disket), dimana disertai dengan hasil cetakan

berupa PIB dan dokumen-dokumen pendukung (Lihat

Lampiran 43).

156

4.4.4 Process Control

4.4.4.1 Hasil Kuesioner Pengendalian Proses


1 Apakah terdapat prosedur yang dapat menjamin

bahwa seluruh transaksi yang telah terotorisasi

telah diproses secara akurat?

√

2 Apakah ada prosedur yang menjamin bahwa

selama proses digunakan file dan tabel yang

pantas?

√

File dan tabel yang ada sudah dirancang

secara khusus

3 Apakah source dokument asli telah disimpan

untuk jangka waktu tertentu sehingga

memungkinkan dilakukannya rekonstruksi data?

√

Setelah satu siklus transaksi selesai, dokumen

tersebut disimpan di gudang OKDD

4 Apakah terdapat history atas setiap proses yang

dilakukan oleh user?

√

Adanya Log File atas proses yang dilakukan


5 Apakah sistem aplikasi Impor menyediakan

157

error message bila ada proses yang gagal? √

6 Apakah sistem aplikasi Impor menyediakan

prosedur untuk recovery setelah terjadi

kegagalan?

√

Salah satunya dari menu Pembetulan Proses


7 Apakah terdapat prosedur yang menjamin

bahwa file telah dimaintain dengan benar dan

terintegrasi?

√

Ada, dilakukan oleh DA dan DBA

8 Apakah terdapat prosedur yang menjamin tidak

terdapat duplikasi proses?

√

Ada, berupa: Pengecekan no aju importir dan

Pengecekan Primary Key pada Database


9 Apakah terdapat prosedur yang menyertakan

kebijakan update file?

√

Ada, penanganannya oleh DA dan DBA

Tabel 4.5 : Hasil Kuesioner Pengendalian Proses

158

4.4.4.2 Hasil Wawancara Pengendalian Proses

1. Spesifikasi dari komputer yang ada tergantung kebutuhan dari

aplikasi dan tergantung dari manajemen, sekarang ini:

Pentium 4, RAM 128 MB, Internet Explorer 5.0 atau lebih,

Java Initiator 1.0 atau lebih, LAN Card

2. Operating System yang digunakan

a. Client menggunakan Windows XP

b. Server menggunakan AIX

3. Sistem Aplikasi Impor dibuat dengan programming Oracle

dan Database Oracle

4. Bila terjadi gangguan pada komputer, penanganan diserahkan

pada Vendor, bila masih dalam masa garansi, bila diluar

garansi penganganan oleh PDDT (Pengolahan Data dan

Dukungan Teknis)

5. Metode pemrosesan transaksi secara Real Time ke server

Kantor Pelayanan Halim

6. Seminggu sekali secara Batch – Online dilakukan Backup data

ke Kantor Pusat (Bila media transfernya disket). Dan secara

Online Real Time (Bila media transfernya EDI). Untuk Kantor

Pusat sendiri di backup ke server cadangan secara Real Time

4.4.4.3 Hasil Observasi Dan Testing Pengendalian Proses

1. Dokumen sumber dan pendukung disimpan oleh seksi OKDD

setelah satu siklus transaksi selesai (Lihat Lampiran 42-47)

159

2. Ada Log File mengenai proses yang dilakukan User (Lihat


3. Bila ada proses yang gagal ada pesan error (Lihat Lampiran

86 pada Gambar 69)

4. Adanya Recovery setelah terjadinya kegagalan. Salah satunya

dari menu Pembetulan Proses (Lihat Lampiran 87 pada

Gambar 71)

5. Adanya prosedur yang menjamin tidak terdapat duplikasi

proses.

160

4.4.5 Database Control

4.4.5.1 Hasil Kuesioner Pengendalian Basis Data


1 Apakah hubungan entity dalam database telah

diatur dengan menggunakan ERD (Entity

Relationship Diagram)?

√

Sudah tersusun atas ERD dan terbagi atas File

Master dan File Transaksi

2 Apakah terdapat pembatasan akses untuk

melakukan aksi terhadap database?

√

Sesuai dengan otoritas yang dimiliki

3 Apakah individu yang bertanggung jawab

terhadap database memiliki standar dan

prosedur tertentu?

√

4 Apakah bila ada akses yang tidak sah

dilakukan tracking terhadap database?

√

Dengan melihat Log File yang ada (Lihat


5 Apakah prosedur back-up database dilakukan

secara teratur dan rutin?

√

Pada Kantor Pelayanan Halim dilakukan dengan

Batch – Online, selama 1 minggu sekali di-

161

backup ke Kantor Pusat. Untuk Kantor Pusat di-

backup ke Server cadangan secara Real Time

6 Apakah terdapat log file mengenai kapan aksi

database dilakukan dan siapa yang

melakukannya?

√

Lihat Lampiran 87 pada Gambar 72

7 Apakah ada penanganan terhadap concurency

access?

√

8 Apakah transaksi yang telah diinput oleh user

lain dapat dilakukan pengubahan oleh user

yang lain?

√

9 Selama server diaktifkan, apakah ada

program khusus yang digunakan untuk

mengawasi even-even pada database?

√

Lihat Lampiran 88 pada Gambar 73

Tabel 4.6 : Hasil Kuesioner Pengendalian Basis Data

162

4.4.5.2 Hasil Wawancara Pengendalian Basis Data

1. Hanya individu yang diberikan otoritas yang boleh mengakses

Database

2. Database disusun atas File Master dan File Transaksi, dimana

File Master seperti tabel referensi dan File Transaksi seperti

tabel proses.

Dimana File Masternya adalah Tabel yang diawali dengan

TID (Tabel Impor Dasar) dan File Transaksi TIR (Tabel

Impor Referensi), TIP (Tabel Impor Proses), TIA (Tabel

Impor Administrasi), TIT (Tabel Impor Temporary), TIH

(Tabel Impor History).

3. Ada monitor secara periodik terhadap Database (Lihat

Lampiran 88 pada Gambar 73) dan dilakukan oleh DBA

4. Pemberian nama dalam Database dirancang secara khusus

agar memudahkan bagi yang berwenang

5. Ada Database Warehousing

6. Kantor Pusat menggunakan banyak Database, Kantor

Pelayanan sebagian besar memiliki satu Database

4.4.5.3 Hasil Observasi Dan Testing Pengendalian Basis Data

1. Hubungan tabel dalam Database tersusun atas ERD dan

terbagi atas File Master dan File Transaksi

2. Terdapat pembatasan akses Database sesuai dengan

otoritasnya, dimana pengguna aplikasi tidak dapat mengakses

163

dan mengubah Database secara langsung, tetapi harus melalui

aplikasi, hanya yang berwenang yang dapat mengakses

Database.

3. Ada Log File pada Database, sehingga memudahkan untuk

Tracking pada Database (Lihat Lampiran 87 pada Gambar

72)

4. Adanya prosedur Backup Database

5. Transaksi yang telah diinput user, tidak dapat dirubah oleh

user lain

164

4.4.6 Output Control

4.4.6.1 Hasil Kuesioner Pengendalian Output


1 Apakah terdapat prosedur yang dapat menjamin

bahwa laporan yang ada selalu direview oleh

manajemen untuk menentukan kelengkapan,

akurasi, dan konsistensinya?

√

Adanya review periodik dari manajemen

Apakah laporan yang dihasilkan memuat:

a. Nama Laporan? √

b. Kepala laporan? √

c. Waktu dan tanggal pencetakan? √

d. No halaman? √

e. Jenis laporan? √

2

f. Jumlah copy? √

165

g. Nama/bagian yang melakukan pencetakan

laporan?

√

3 Apakah output yang diterima oleh entitas

adalah lengkap, tepat dan terklasifikasi?

√

Sebelum laporan dipublikasikan kepada pihak

tertentu, laporan di review dahulu oleh

manajemen

4 Apakah output didistribusikan ke personel yang

berotorisasi?

√

5 Apakah pencetakan laporan hanya dapat

dilakukan oleh karyawan yang memiliki

otoritas?

√

Dilakukan oleh pejabat/seksi yang khusus

sesuai dengan kewenangannya

6 Apakah laporan dapat dicetak kapan saja?

(tidak harus menunggu pada periode tertentu)

√

Laporan dapat dicetak secara Accidental dan

periodik

Tabel 4.7 : Hasil Kuesioner Pengendalian Output

166

4.4.6.2 Hasil Wawancara Pengendalian Output

1. Secara khusus tidak ada yang mengatur laporan, laporan

dirancang sesuai dengan kebijakan dan kebutuhan dari

manajemen yang ada

2. Pihak yang membutuhkan laporan adalah pihak intern

perusahaan dan pihak ekstern perusahaan. Intern misalnya:

Kepala Kantor, OKDD, Direktur Jendral. Ekstern misalnya:

Departemen keuangan, Dirjen Pajak

3. Laporan yang ada dapat dicetak secara accidental dan

periodik (Bulanan, mingguan)

4. Laporan didistribusikan secara softcopy dan hardcopy, tetapi

kebanyakan dengan softcopy

5. Review laporan dilakukan secara periodik oleh manajemen

terkait. Misalnya: Kepala Kantor, OKDD, Direktur Jendral.

4.4.6.3 Hasil Observasi Dan Testing Pengendalian Output

1. Adanya review laporan secara periodik dari manajemen

2. Pencetakan laporan hanya dapat dilakukan oleh karyawan

yang memiliki otoritas

3. Laporan dapat dicetak secara accidental dan periodik

4. Laporan yang dihasilkan sebagian besar belum memuat Jenis

Laporan, Jumlah Copy dan Nama/bagian yang melakukan

pencetakan

167

4.4.6.4 Hasil Review Dokumentasi Pengendalian Output

1. Laporan yang dihasilkan antara lain:

a. P2:

i. Laporan PIB Jalur Merah

ii. Laporan Daftar PIB yang sudah/Belum SPPB

iii. Laporan Data Pembatalan PIB

iv. Laporan Data Impor PIB Dengan Fasilitas

v. Laporan Data Importir

vi. Laporan NI

b. Kepala Kantor (Lihat Lampiran 27-41)

i. Laporan Pencapaian Target Penerimaan

ii. Laporan Distribusi Dokumen PFPD

iii. Laporan Distribusi Dokumen PFPB

iv. Laporan Distribusi Dokumen Pejabat Analyzing

Point

v. Laporan Waktu rata-rata Penyelesaian PIB

vi. Laporan PIB Jalur Prioritas Perimportir

vii. Laporan Komoditi dengan BM Terbesar

viii. Laporan Importir Dengan BM Terbesar

ix. Laporan Importir Dengan Jumlah PIB Terbanyak

x. Laporan PIB Non Prioritas Dengan Nilai BM

Terbesar

xi. PIB yang belum diselesaikan

xii. Pembatalan PIB

168

xiii. Laporan NI dan Penyelesaian

xiv. Laporan SPKPBM Per Importir

xv. Laporan SPKPBM Per PFPD

c. Operasional Komputer dan Distribusi Dokumen

i. Laporan I

• Laporan Statistik PIB

• PIB Status Gate

• PIB Status Barang Keluar

• Jumlah Container Keluar

• Laporan Impor Harian

• Laporan Harian PFPD

• Importasi Berdasarkan HS

• Importasi Bahan Pokok

ii. Laporan II

• Laporan Performance Analyzing Point

• Laporan Performance Analyzing Point Per

NIP

• Laporan Kebenaran Nota Informasi

• Laporan Status Importir

• Laporan Status Dokumen

• Laporan PIB Per HS Sudah SPPB

• Laporan PIB Per HS Belum SPPB

• Laporan PIB Per PPJK Sudah SPPB

169

• Laporan PIB Per PPJK Belum SPPB

• Laporan PIB Fasilitas CEPT

• Laporan PIB Fasilitas CEPT Per HS

• Laporan Daftar Pelanggaran

• Laporan Performance Kantor

• Laporan Penyelesaian PIB Oleh Kantor

• Laporan Performance Pegawai

• Laporan Penyerahan Berkas PIB Lewat

Waktu

• Laporan Importasi Mobil Built Up

• Laporan Pelunasan SPKPBM

• Laporan Devisa

2. Laporan yang dihasilkan sebagian besar belum memuat Jenis

Laporan, Jumlah Copy dan Nama/bagian yang melakukan

pencetakan

4.5 Laporan Audit

Adapun Laporan Audit atas Sistem Aplikasi Impor pada Direktorat Jenderal Bea

dan Cukai adalah sebagai berikut:

170

LAPORAN AUDIT SISTEM APLIKASI IMPOR PADA KANTOR

PELAYANAN BEA DAN CUKAI JAKARTA (DIREKTORAT

JENDERAL BEA DAN CUKAI)

PERIODE AGUSTUS 2005 - DESEMBER 2005

Tim Auditor:

Irwin Wijaya

Hendera

171

I. Tujuan Audit

Tujuan dilakukannya evaluasi terhadap Sistem Aplikasi Impor adalah:

1. Memastikan pengendalian-pengendalian sistem yang diterapkan, baik

pengendalian umum maupun pengendalian aplikasi dapat meminimalisir

resiko-resiko yang ada

2. Memastikan bahwa Sistem Aplikasi Impor yang digunakan apakah sudah

sesuai dengan Kep-07/BC/2003, sebagai standar khusus yang ada

3. Memberikan saran dan rekomendasi untuk penyempurnaan Sistem

Aplikasi Impor di masa mendatang

II. Ruang Lingkup

Ruang lingkup Audit Sistem Informasi dibatasi pada:

1. Audit Sistem Aplikasi Impor dilakukan pada Divisi DIKC (Direktorat

Informasi Kepabeanan Dan Cukai) pada Kantor Pusat Direktorat Jenderal

Bea dan Cukai, dan divisi OKDD (Operasional Komputer dan Distribusi

Dokumen) Kantor Pelayanan Bea dan Cukai Jakarta, Jalan Bandara

Halim Perdana Kusuma.

2. Audit Sistem Aplikasi Impor ini dibatasi pada penggunaan media transfer

data berupa disket

3. Metode Audit yang dilakukan adalah Through The Computer.

172

III. Metode Pengumpulan Temuan Audit

Metode yang digunakan dalam mengumpulkan temuan audit adalah:

1. Kuesioner

Kuesioner yang digunakan sebagai metode untuk mengumpulkan bukti

audit ada dua jenis, yaitu Kuesioner Pengendalian Umum dan Kuesioner

Pengendalian Aplikasi

2. Wawancara

Wawancara dilakukan secara tidak terstruktur, dimana design

pertanyaannya disesuaikan dengan informasi/data yang ingin diketahui

oleh auditor. Dimana respondennya dibatasi hanya untuk manajemen

terkait

3. Observasi

Observasi dilakukan dengan melakukan survei langsung ke lapangan

untuk melihat secara langsung pengendalian umum dan aplikasi secara

langsung untuk mendapatkan informasi lapangan yang lebih akurat.

Dimana observasi dilakukan di Direktorat Informasi Kepabeanan dan

Cukai pada Kantor Pusat Direktorat Jenderal Bea dan Cukai dan di Divisi

Operasional Komputer dan Distribusi Dokumen pada Kantor Pelayanan

Bea dan Cukai Jakarta, Jalan Bandara Halim Perdana Kusuma

4. Testing

Testing dilakukan untuk mendapatkan informasi yang lebih jelas

mengenai pengendalian aplikasi. Dimana auditor secara langsung

menguji Aplikasi Impor yang ada

173

5. Review Dokumentasi

Review dokumentasi dilakukan dengan menelusuri dokumen-dokumen

dan laporan yang dihasilkan guna mendapatkan informasi terhadap

pengendalian yang ada.

IV. Temuan Audit

1. Temuan Audit Pengendalian Umum:

a. Temuan Audit Hasil Kuesioner Pengendalian Umum

i. Adanya struktur organisasi formal. (Lihat Gambar 3.1

dan Gambar 3.3)

ii. Adanya review periodik terhadap laporan dan kinerja para

personil

iii. Adanya nota dinas yang berisikan Job Description untuk

fungsi pengolahan data dan fungsi lainnya (Lihat

Lampiran 51)

iv. Adanya pemisahan fungsi yang jelas

v. Tidak adanya persyaratan ketrampilan khusus yang jelas

bagi staf pengolahan data

vi. Adanya prosedur untuk melindungi data dari

penyalahgunaan atau kerusakan

vii. Adanya inventarisir terhadap aset DJBC

viii. Adanya evaluasi kinerja sistem

ix. Ruang server/database terpisah dengan ruang lainnya

174

x. Penggunaan ID Card dalam pembatasan akses fisik

xi. Password yang digunakan di-encryption

xii. Adanya kebijakan untuk mengubah password bila

melewati umur tertentu

xiii. Adanya Antivirus yang terupdate

xiv. Sistem keamanan yang diterapkan adalah:

a. Kebakaran: Adanya tabung pemadam kebakaran

disudut-sudut ruangan, tidak ada alat pendeteksi

untuk kebakaran, di Kantor Pelayanan Bea dan

Cukai Jakarta.

b. Banjir: Karena letak geografis yang tidak rawan

banjir, maka tidak ada resiko atas banjir pada

Kantor Pelayanan Halim Server berada di lantai

dasar. Pada Kantor Pusat Server berada di lantai 2



e. Lainnya: Adanya petugas keamanan, dan Access

Card untuk keruang Server.

xv. Penanganan ancaman yang berhubungan dengan sistem

informasi ditangani oleh DIKC dan PDDT

xvi. Adanya prosedur tertulis dalam melakukan pengembangan

sistem

xvii. User terlibat dalam pengembangan sistem yang terdiri dari

Tim analis, Tim pendamping dan Programmer

175

xviii. Adanya dokumentasi tertulis mengenai aplikasi

xix. Setiap pengembangan sistem sudah melibatkan SPI

xx. Adanya testing terhadap aplikasi sebelum

diimplementasikan

xxi. Adanya jaminan dari vendor berupa garansi

xxii. Tidak ada asuransi terhadap aset-aset DJBC (Hardware

yang memiliki tingkat resiko tinggi atas kerusakan)

b. Temuan Audit Hasil Wawancara Pengendalian Umum

i. Adanya SDLC yang terdiri dari tahap pengumpulan data,

analisis, perancangan, implementasi, uji coba

ii. Tugas DA dan DBA terpisah, dimana tugas DA sebagai

Administrator Aplikasi yang bertugas untuk memonitor

pelaksanaan aplikasi sesuai dengan otoritas user, dan DBA

tugasnya menangani dan memaintain error, kesalahan

pada Database, dan Backup data.

iii. Adanya Access Policy dan Concurency Access pada

Database

iv. Tidak ada departemen yang secara langsung menangani

Quality Control, tapi ada monitoring dari manajemen

v. Prosedur keamanan yang ada, untuk aplikasi

menggunakan username dan password, tetapi untuk

manajemen yang khusus tidak ada

176

vi. Server pada Kantor Pelayanan Bea dan Cukai Jakarta

(Halim) berada di lantai dasar karena letak geografis yang

tidak rawan banjir. Untuk Kantor Pusat, server berada di

lantai 2

vii. Adanya Firewall pada Server, dan terdapat antivirus yang

terupdate pada server dan client

viii. Adanya Antivirus yang terupdate

ix. Adanya kesulitan dalam mengupdate Antivirus karena

keterbatasan bandwith

x. Adanya inventarisir terhadap aset-aset DJBC

xi. Adanya Log File untuk memonitoring operasional sistem


xii. Tidak adanya perawatan secara periodik pada Software

dan Hardware yang digunakan

xiii. Kebutuhan Software dan Hardware ditentukan oleh

manajemen

c. Temuan Audit Hasil Observasi Pengendalian Umum

i. Di Kantor Pelayanan dan Kantor Pusat ada tugas DBA dan

DA terpisah, tetapi ruangannya menjadi satu, dan mereka

saling cover satu sama lainnya (Dimana jika ada salah

satunya tidak dapat melakukan tanggung jawabnya, maka

akan digantikan oleh rekan yang lain sementara waktu)

177

ii. Secara umum terdapat kebijakan Access Policies, seperti

dimana user tidak dapat mengakses Database secara

langsung, tetapi harus melalui aplikasi, yang dapat

mengakses langsung ke Database hanya bagian

pengolahan data (DIKC).

iii. Secara khusus tidak terdapat bagian yang menangani

Quality Control, tetapi ada review secara periodik dari

manajemen

iv. Sistem keamanan yang ada:

a. Kebakaran: Adanya tabung pemadam kebakaran

disudut-sudut ruangan, tidak ada alat pendeteksi

untuk kebakaran, di Kantor Pelayanan Bea dan

Cukai Jakarta.

b. Banjir: Karena letak geografis yang tidak rawan

banjir, maka tidak ada resiko atas banjir pada

Kantor Pelayanan Halim Server berada di lantai

dasar. Pada Kantor Pusat Server berada di lantai 2



e. Lainnya: Adanya petugas keamanan, dan Access

Card untuk keruang Server, ruang server

dilengkapi kamera

v. Server pada Kantor Pelayanan Bea dan Cukai Halim

berada di lantai dasar, yang terpisah dari ruangan

178

operasional lainnya. Server pada Direktorat Jenderal Bea

dan Cukai Pusat berada di lantai 2.

vi. Adanya antivirus yang ter-update pada komputer Client

dan Server. Pada Server adanya firewall

vii. Tidak adanya asuransi untuk aset sistem komputer, hanya

ada garansi dari vendor, tetapi ada inventarisir untuk tiap

peralatan yang ada

viii. Adanya Backup data, pada Kantor Pelayanan Backupdata

menggunakan notebook dan setiap tiga bulan sekali data

dikirimkan ke Kantor Pusat dengan cara Batch – Online,

tetapi backup data hanya di internal DJBC saja, tidak ada

backup di tempat lain

ix. Adanya Log File untuk memonitor operasional sistem


d. Temuan Audit Hasil Review Dokumentasi Pengendalian

Umum

i. Tidak ditemukannya dokumentasi mengenai System

Development Life Cycle

ii. Ada user manual untuk pengoperasian aplikasi Impor


179

iii. Ada user manual untuk pengoperasian aplikasi Inhouse

Impor sebagai aplikasi pendukung (Lihat Lampiran 92

pada Gambar 82)

iv. Tidak ditemukannya prosedur tertulis mengenai Disaster

Recovery Plan

v. Ada struktur organisasi yang jelas dalam bentuk

Keputusan Mentri Keuangan (Lihat Gambar 3.1 dan

Gambar 3.3)

vi. Ada Nota Dinas yang mengatur Job Description untuk

bagian OKDD (Lihat Lampiran 51)

vii. Adanya Kep-07/BC/2003 yang mengatur Tata Kerja

Penyelesaian Barang Impor Dengan Pemberitahuan Impor

Barang (PIB)

viii. Adanya kebijakan dalam pemisahan tugas dan pembatasan

akses untuk sistem aplikasi impor yang diadaptasi dari

Kep-07/BC/2003

2. Temuan Audit Pengendalian Aplikasi

a. Boundary Control

I. Temuan Audit Hasil Kuesioner Pengendalian Akses

i. Adanya tingkatan level user

ii. Metode untuk pengendalian akses dengan

menggunakan username dan password (Lihat

Lampiran 52)

180

iii. Adanya encryption untuk password

iv. Adanya jangka waktu validasi untuk Password yaitu

3 bulan sekali

v. Password yang lama bisa digunakan kembali sebagai

password yang baru

vi. Tidak ada ketentuan untuk panjang minimum

password

vii. Tidak ada batasan kesalahan untuk memasukkan

password

viii. Tidak ada pengiriman report jika ada yang

bermasalah dengan entri username dan password

ix. Adanya pesan kesalahan apabila login tidak valid

(Lihat Lampiran 53 pada Gambar 2 dan 3)

II. Temuan Audit Hasil Wawancara Pengendalian Akses

i. Adanya pembagian level user berdasarkan Kep-

07/BC/2003

ii. Metode pembatasan akses yang digunakan adalah

username dan password (Lihat Lampiran 52)

iii. Adanya metode encryption terhadap password

iv. Batas waktu penggunaan password adalah 3 bulan

sekali

v. User yang bermasalah dengan password dapat

langsung menghubungi konsul

181

III. Temuan Audit Hasil Observasi dan Testing

Pengendalian Akses

i. Terdapat pembagian level user didalam aplikasi

sesuai dengan otoritasnya

ii. Tugas dan wewenang yang ada didasarkan pada

Kep-07/BC/2003

iii. Batasan akses yang digunakan adalah Username dan

Password (Lihat Lampiran 52)

iv. Password yang di-input disamarkan oleh aplikasi

v. Ada jangka waktu untuk umur Password

vi. Bila Password salah atau Username tidak terdaftar

ada pesan error (Lihat Lampiran 53 pada Gambar

2 dan 3)

vii. Panjang Password tidak dibatasi dan dilakukan

kombinasi

viii. Tidak terdapat batasan minimum pada kesalahan

memasukkan Password

ix. Tidak ada pengiriman Report, bila ada user yang

bermasalah dengan Password langsung

menghubungi konsul/OKDD

182

b. Communication Control

I. Temuan Audit Hasil Kuesioner Pengendalian

Komunikasi

i. Di Server terdapat firewall

ii. Saluran transmisi yang digunakan V-Sat, VPN dan

Leased Line (Lihat Lampiran 89 pada Gambar

75)

iii. Media transmisi yang digunakan berjenis bounded

media, menggunakan UTP Cable dan unbounded

media yaitu VSAT

iv. Jaringan Communication Lines berjenis private

(VSAT dan VPN) dan public (Leased Lines Telkom)

v. Pendeteksian error pada Communication Lines

dilakukan dengan program yang ada di luar dari

program aplikasi

vi. Ada Remote Terminal untuk memonitor status

jaringan

II. Temuan Audit Hasil Wawancara Pengendalian

Komunikasi

i. Transmisi jaringan yang digunakan Leased Lines,

VSAT, VPN dan untuk internal memakai LAN

(Lihat Lampiran 89 pada Gambar 75 dan 76)

183

ii. Tidak ada standar yang secara khusus mengatur

Software dan Hardware yang digunakan, hanya

berdasarkan kebijakan dari manajemen.

iii. Kesalahan jaringan yang paling sering terjadi adalah

jaringan yang terputus

iv. Topologi yang digunakan saat ini adalah Star (Lihat


III. Temuan Audit Hasil Observasi Pengendalian

Komunikasi

i. Adanya Firewall dan Antivirus yang terupdate

ii. Media transmisi yang digunakan berjenis Bounded

Media

iii. Untuk transmisi jaringan menggunakan Leased

Lines, VSAT, dan VPN

iv. Jaringan komunikasi berjenis Private dan Public

Dimana Private Lines menggunakan VSAT dan

VPN

Dimana Public Lines menggunakan Leased Line

Telkom

184

c. Input Control

I. Temuan Audit Hasil Kuesioner Pengendalian Input

i. Adanya prosedur penyiapan data yang harus dipatuhi

user, dimana PIB Disket yang di-load, jika pada saat

validasi terdapat kesalahan, user (Kantor Pelayanan)

dapat membantu importir melakukan pembetulan,

sehingga transaksi selanjutnya dapat dilakukan.

Untuk input-an di dalam aplikasi tidak dapat

dikoreksi oleh user.

ii. Adanya otorisasi transaksi sebelum diinput kedalam

komputer (Lihat Lampiran 55 pada Gambar 7,


pada Gambar 28)

iii. Adanya pesan error bila ada kesalahan input

iv. Input-an tidak harus berdasarkan dokumen manual,

dokumen fisik/manual hanya sebagai pembanding

dan pendukung

v. Transaksi yang sudah di-input tidak bisa di-update

kecuali update SSBC. Edit hanya bisa dilakukan

melalui database.

vi. Metode inputan yang digunakan adalah keyboarding

dan direct reading

vii. Ada metode untuk completeness Check (Lihat


185

II. Temuan Audit Hasil Wawancara Pengendalian Input

i. Otorisasi dilakukan oleh user yang ditunjuk

ii. Data-data hasil input-an tidak di encryption


Pengendalian Input

i. Adanya otorisasi transaksi sebelum di input ke

komputer, berupa pemeriksaan dokumen sumber

secara manual dan Aplikasi akan melakukan

pengecekan terhadap hasil inputan

ii. Tidak adanya pesan error bila terjadi kesalahan

inputan, seperti jika kita memasukkan karakter pada

input-an yang harusnya diisi field numerik, data hasil

input-an tidak dapat disimpan

iii. Bila ada Input-an yang salah sistem tidak mempunyai

fitur untuk meng-update transaksi yang salah, tetapi

harus dari database.

iv. Metode Input-an yang digunakan:

i. Keyboarding: Dengan menggunakan keyboard

ii. Direct Reading: Dengan membaca langsung

pada disket (Lihat Lampiran 55 pada

Gambar 6)

186

v. Ada metode Completeness Check berupa bila field-

field yang dibutuhkan dalam proses tidak terisi semua,

maka data tidak dapat disimpan/diproses

IV. Temuan Audit Hasil Review Dokumentasi

Pengendalian Input

i. Data-data impor di input oleh Importir dengan

menggunakan aplikasi PIB. Importir akan

menyerahkan data-data PIB (dalam media disket),

dimana disertai dengan hasil cetakan berupa PIB dan

dokumen-dokumen pendukung.

V. Konfirmasi Perbedaan Temuan Audit Input Control

Berdasarkan hasil analisa Temuan Audit, terjadi

perbedaan antara Hasil kuesioner dan observasi dan testing

atas pengendalian Input, dimana:

1. Hasil kuesioner menyatakan adanya pesan error bila

ada kesalahan input

2. Hasil observasi dan testing menyatakan tidak adanya

pesan error bila terjadi kesalahan inputan, seperti

jika kita memasukkan karakter pada input-an yang

harusnya diisi field numerik, data hasil input-an tidak

dapat disimpan

187

Dari hasil analisa dan konfirmasi lebih lanjut, maka

Temuan Audit yang diperoleh untuk masalah diatas adalah

bahwa tidak adanya pesan error bila terjadi kesalahan

inputan, seperti jika kita memasukkan karakter pada input-

an yang harusnya diisi field numerik, data hasil input-an

tidak dapat disimpan

d. Process Control

I. Temuan Audit Hasil Kuesioner Pengendalian Proses

i. File dan Tabel yang digunakan sudah dirancang

secara khusus untuk memenuhi kebutuhan

ii. Arsip terhadap Source dokumen dan dokumen

pendukung dilakukan oleh OKDD

iii. Ada Log File atas proses yang dilakukan user (Lihat


iv. Ada pesan error jika ada proses yang gagal (Lihat


v. Adanya prosedur untuk recovery berupa menu untuk

pembetulan proses bila terjadi kegagalan proses


vi. Ada prosedur yang menjamin bahwa file telah

dimaintain dengan benar dan terintegrasi dengan

benar, dimana ini merupakan tugas DA dan DBA

188

vii. Adanya prosedur yang menjamin tidak terdapat

duplikasi proses

II. Temuan Audit Hasil Wawancara Pengendalian Proses

i. Bila terjadi gangguan pada komputer, penanganan

diserahkan pada Vendor, bila masih dalam masa

garansi, bila diluar garansi penganganan oleh PDDT

(Pengolahan Data dan Dukungan Teknis)

ii. Metode pemrosesan transaksi secara Real Time ke

server Kantor Pelayanan Halim

iii. Seminggu sekali secara Batch – Online dilakukan

Backup data ke Kantor Pusat (Bila media transfernya

disket). Dan secara Online Real Time (Bila media

transfernya EDI). Untuk Kantor Pusat sendiri di

backup ke server cadangan secara Real Time


Pengendalian Proses

i. Dokumen sumber dan pendukung disimpan oleh

seksi OKDD setelah satu siklus transaksi selesai

(Lihat Lampiran 42-47)

ii. Ada Log File mengenai proses yang dilakukan User


189

iii. Bila ada proses yang gagal ada pesan error (Lihat


iv. Adanya Recovery setelah terjadinya kegagalan. Salah

satunya dari menu Pembetulan Proses (Lihat


v. Adanya prosedur yang menjamin tidak terdapat

duplikasi proses.

e. Database Control

I. Temuan Audit Hasil Kuesioner Pengendalian Basis

Data

i. Database sudah tersusun dalam ERD dan terdiri atas

File Master dan File Transaction

ii. Akses terhadap database dibatasi sesuai dengan

kewenangannya

iii. Adanya Log File untuk melakukan tracking terhadap

database (Lihat Lampiran 87 pada Gambar 72)

iv. Adanya prosedur backup terhadap database

v. Transaksi yang telah di input tidak dapat diubah oleh

user lain

190

II. Temuan Audit Hasil Wawancara Pengendalian Basis

Data

i. Hanya individu yang diberikan otoritas yang boleh

mengakses Database

ii. Database disusun atas File Master dan File

Transaksi, dimana File Master seperti tabel referensi

dan File Transaksi seperti tabel proses.

iii. Dimana File Masternya adalah Tabel yang diawali

dengan TID (Tabel Impor Dasar) dan File Transaksi

TIR (Tabel Impor Referensi), TIP (Tabel Impor

Proses), TIA (Tabel Impor Administrasi), TIT (Tabel

Impor Temporary), TIH (Tabel Impor History).

iv. Ada monitor secara periodik terhadap Database

(Lihat Lampiran 88 pada Gambar 73) dan

dilakukan oleh DBA

v. Pemberian nama dalam Database dirancang secara

khusus agar memudahkan bagi yang berwenang

vi. Ada Database Warehousing

III. Temuan Audit Hasil Observasi Pengendalian Basis

Data

i. Hubungan tabel dalam Database tersusun atas ERD

dan terbagi atas File Master dan File Transaksi

191

ii. Terdapat pembatasan akses Database sesuai dengan

otoritasnya, dimana pengguna aplikasi tidak dapat

mengakses dan mengubah Database secara

langsung, tetapi harus melalui aplikasi, hanya yang

berwenang yang dapat mengakses Database.

iii. Ada Log File pada Database, sehingga memudahkan

untuk Tracking pada Database (Lihat Lampiran 87

pada Gambar 72)

iv. Adanya prosedur Backup Database

v. Transaksi yang telah diinput user, tidak dapat

dirubah oleh user lain

vi. Tidak adanya Backup data di tempat lain, backup

data hanya di internal DJBC sendiri

f. Output Control

I. Temuan Audit Hasil Kuesioner Pengendalian Output

i. Adanya review periodik oleh manajemen terhadap

laporan

ii. Laporan yang dihasilkan sudah memuat: Nama

Laporan, Kepala Laporan, Waktu dan tanggal

pencetakan, no halaman, jenis laporan, jumlah copy,

nama/bagian yang melakukan pencetakan

iii. Laporan hanya dapat dicetak oleh karyawan yang

memiliki otoritas

192

iv. Laporan dapat dicetak secara accidental dan Periodik

II. Temuan Audit Hasil Wawancara Pengendalian Output

i. laporan dirancang sesuai dengan kebijakan dan

kebutuhan dari manajemen yang ada

ii. Pihak yang membutuhkan laporan adalah pihak

intern perusahaan dan pihak ekstern perusahaan.

Intern misalnya: Kepala Kantor, OKDD, Direktur

Jendral. Ekstern misalnya: Departemen keuangan,

Dirjen Pajak

iii. Laporan yang ada dapat dicetak secara accidental

dan periodik (Bulanan, mingguan)

iv. Laporan didistribusikan secara soft copy dan hard

copy, tetapi kebanyakan dengan softcopy

v. Review laporan dilakukan secara periodik oleh

manajemen terkait. Misalnya: Kepala Kantor,

OKDD, Direktur Jendral.


Pengendalian Output

i. Adanya review laporan secara periodik dari

manajemen

ii. Pencetakan laporan hanya dapat dilakukan oleh

karyawan yang memiliki otoritas

193

iii. Laporan dapat dicetak secara accidental dan periodik

iv. Laporan yang dihasilkan sebagian besar belum

memuat Jenis Laporan, Jumlah Copy dan

Nama/bagian yang melakukan pencetakan (Lihat

Lampiran 27-41)

IV. Temuan Audit Hasil Review Dokumentasi

Pengendalian Output

i. Laporan yang dihasilkan antara lain:

a. P2:

i. Laporan PIB Jalur Merah

ii. Laporan Daftar PIB yang sudah/Belum

SPPB

iii. Laporan Data Pembatalan PIB

iv. Laporan Data Impor PIB Dengan

Fasilitas

v. Laporan Data Importir

vi. Laporan NI

b. Kepala Kantor (Lihat Lampiran 27-41):

i. Laporan Pencapaian Target Penerimaan

ii. Laporan Distribusi Dokumen PFPD

iii. Laporan Distribusi Dokumen PFPB

iv. Laporan Distribusi Dokumen Pejabat

Analyzing Point

194

v. Laporan Waktu rata-rata Penyelesaian

PIB

vi. Laporan PIB Jalur Prioritas Perimportir

vii. Laporan Komoditi dengan BM Terbesar

viii. Laporan Importir Dengan BM Terbesar

ix. Laporan Importir Dengan Jumlah PIB

Terbanyak

x. Laporan PIB Non Prioritas Dengan Nilai

BM Terbesar

xi. PIB yang belum diselesaikan

xii. Pembatalan PIB

xiii. Laporan NI dan Penyelesaian

xiv. Laporan SPKPBM Per Importir

xv. Laporan SPKPBM Per PFPD

c. Operasional Komputer dan Distribusi

Dokumen

i. Laporan I

• Laporan Statistik PIB

• PIB Status Gate

• PIB Status Barang Keluar

• Jumlah Container Keluar

• Laporan Impor Harian

• Laporan Harian PFPD

195

• Importasi Berdasarkan HS

• Importasi Bahan Pokok

ii. Laporan II

• Laporan Performance Analyzing

Point

• Laporan Performance Analyzing

Point Per NIP

• Laporan Kebenaran Nota Informasi

• Laporan Status Importir

• Laporan Status Dokumen

• Laporan PIB Per HS Sudah SPPB

• Laporan PIB Per HS Belum SPPB

• Laporan PIB Per PPJK Sudah SPPB

• Laporan PIB Per PPJK Belum

SPPB

• Laporan PIB Fasilitas CEPT

• Laporan PIB Fasilitas CEPT Per HS

• Laporan Daftar Pelanggaran

• Laporan Performance Kantor

• Laporan Penyelesaian PIB Oleh

Kantor

• Laporan Performance Pegawai

196

• Laporan Penyerahan Berkas PIB

Lewat Waktu

• Laporan Importasi Mobil Built Up

• Laporan Pelunasan SPKPBM

• Laporan Devisa

ii. Laporan yang dihasilkan sebagian besar belum

memuat Jenis Laporan, Jumlah Copy dan

Nama/bagian yang melakukan pencetakan

V. Konfirmasi Perbedaan Temuan Audit Process Control

Berdasarkan hasil analisa Temuan Audit, terjadi

perbedaan antara Hasil kuesioner, observasi dan testing,

serta review dokumentasi atas pengendalian output,

dimana:

1. Hasil kuesioner menyatakan Laporan yang

dihasilkan sudah memuat: Nama Laporan, Kepala

Laporan, Waktu dan tanggal pencetakan, no

halaman, jenis laporan, jumlah copy, nama/bagian

yang melakukan pencetakan

2. Hasil observasi dan testing serta review dokumentasi

menyatakan Laporan yang dihasilkan sebagian besar

belum memuat Jenis Laporan, Jumlah Copy dan


197

Dari hasil analisa dan konfirmasi lebih lanjut, maka

Temuan Audit yang diperoleh untuk masalah diatas adalah

bahwa memang Laporan yang dihasilkan sebagian besar

belum memuat Jenis Laporan, Jumlah Copy dan


198

V. Evaluasi Resiko Potensial Dan Rekomendasi Atas Pengendalian Umum Dan Pengendalian Aplikasi

1. Evaluasi Resiko Potensial Pengendalian Umum

Instrumen Auditee Temuan Audit Kriteria Resiko Potensial Rekomendasi

Kuesioner

Staf DIKC dan Staf

OKDD

1. Tidak adanya

persyaratan

ketrampilan yang

khusus bagi setiap

posisi yang ada

dibagian

pengolahan data

Adanya persyaratan

ketrampilan khusus

dalam merekrut

pegawai, khususnya

bagian pengolahan

data

Kemungkinan staf

yang ditempatkan

tidak sesuai dengan

ketrampilan yang

dimilikinya dan tidak

dapat memenuhi

tuntutan tugas yang

diberikan kepadanya.

Membuat

persyaratan

ketrampilan untuk

merekrut pegawai

atau adanya

training yang

intensif bagi

pegawai

2. Tidak adanya

asuransi terhadap

aset-aset yang ada,

tetapi hanya ada

Menurut Weber

(1999, p266-272),

bila bencana terjadi,

masih terdapat

Apabila terjadi

bencana, kerugian

yang diderita lebih

besar

Semua aset atau

perangkat komputer

yang ada harus di

cover dengan

199


garansi dari vendor

kemungkinan untuk

mengurangi kerugian

dan me-recover

operasional dengan

melakukan:

1. Disaster Recovery

Plan

a. Emergency

Plan

b. Backup Plan

c. Recovery

Plan

d. Test Plan

2. Asuransi

asuransi.

200


Wawancara Kepala DIKC dan

Kepala OKD

1. Adanya kesulitan

untuk meng-update

Antivirus Pada

Kantor Pelayanan

Halim pada

Cliennya

Menurut Weber

(1999, p263) untuk

mencegah

terjangkitnya virus,

administrator

hendaknya

melakukan control:

Preventive, Detective,

dan Corrective

Kemungkinan

ancaman dari virus

besar.

Harus ada satu

petugas yang

ditunjuk untuk

melakukan update,

dimana petugas

tersebut melakukan

download dan Virus

definition dishare

2. Perawatan

terhadap Software

dan hardware tidak

selalu dilakukan

secara periodik

Menurut Weber

(1999, p177-178)

Maintenace ada tiga

jenis:

Kemungkinan

kerusakan Software

dan hardware dapat

sering terjadi yang

menyebabkan

Lakukan

monitoring dan

perawatan atas

Software dan

Hardware minimal

201


1. Repair

Maintencance

2. Adaptive

Maintenance

3. Perfective

Maintenance

aktivitas sistem

terganggu, sehingga

menimbulkan

pengeluaran biaya

yang lebih besar

untuk perbaikan

sebulan sekali,

sehingga kerusakan

Software dan

Hardware dapat

diminimalisir.

3. Tidak adanya

departeman yang

menangani Quality

Control secara

khusus (Monitoring

hanya dari

manajemen

a. Menurut Weber

(1999, p336-337)

Quality Assurance

Memiliki peran

monitoring bagi

manajemen, untuk

memastikan bahwa:

1. Tujuan kualitas

Penilaian terhadap

mutu pengolahan

informasi dan

informasi yang

dihasilkan menjadi

kurang maksimal

Seharusnya ada

divisi yang

membantu

manajemen dalam

memonitor mutu

kinerja aplikasi dan

informasi yang

dihasilkannya

202


produk telah ada dan

dimengerti secara

jelas oleh para

stakeholder

2. Pembanding

antara produk

dengan standar yang

telah ditetapkan

sudah dilakukan

untuk mencapai

kualitas sistem

informasi

b. Penentuan secara

terus menerus

203


mengenai memadai

atau tidaknya

perangkat lunak

dalam memenuhi

kebutuhan pemakai.

SPAP (2001, seksi

343.10 ayat 41)

Observasi Divisi DIKC dan

OKDD

1. Tidak adanya

alat pendeteksi

kebakaran Pada

Kantor Pelayanan

Bea dan Cukai

Jakarta

Menurut Weber

(1999, p257-258)

cara penanganan

terhadap kebakaran

adalah dengan:

1. Alarm kebakaran

baik yang manual,

Jika terjadi

kebakaran, tidak

dapat dideteksi secara

dini, sehingga tidak

dapat diminimalisir

kerusakannya

Adanya kebijakan

manajemen untuk

menempatkan alat

pendeteksi

kebakaran

204


maupun yang

otomatis diletakkan

di tempat yang

strategis.

2. Pemadam

kebakaran diletakkan

di tempat yang

strategis.

3. Bangunan tempat

diletakkannya aset

sistem informasi

dibangun dengan

kontruksi spesial

yang tahan panas

205


4. Tempat diletakkan

nya pemadam

kebakaran dan arah

keluar diberi tanda

yang jelas sehingga

memudahkan untuk

melihat tanda tersebut

5.Prosedur

kebersihan yang baik

dapat memastikan

bahwa barang-barang

yang mudah

menyebabkan

kebakaran minimal

206


sekali keberadaannya

di ruang sistem

informasi

2. Tidak adanya

Backup data di

tempat lain, Backup

data hanya di dalam

DJBC sendiri

Dilakukannya backup

data secara periodik

dan disimpan di

lokasi yang jauh dari

kegiatan operasional.

SPAP (2001, seksi

343.8 ayat 32)

Bila terjadi bencana/

kerusakan hardware

maka akan kesulitan

untuk me-recovery

data

Lakukan Backup

data ke tempat lain

juga, agar bila

terjadi bencana,

kesulitan recovery

data dapat

diminimalisir

Review

Dokumentasi

DIKC dan OKDD

1. Tidak

ditemukannya

dokumentasi

mengenai System

Adanya dokumentasi

tertulis tentang

aplikasi yang

dipergunakan,

Tahap-tahap

pengembangan

aplikasi tidak

diketahui dengan

Dokumentasikan

setiap

pengembangan

sistem agar

207


Development Life

Cycle

dokumentasi meliputi

instruksi tahap demi

tahap, penjelasan

mengenai

penggunaan aplikasi,

sumber data yang

diolah dan spesifikasi

yang lain. SPAP

(2001, seksi 343.7

ayat 30).

jelas, tidak adanya

sumber informasi

yang mendukung

pengembangan

sistem selanjutnya.

mempermudah

pengembangan

sistem selanjutnya.

2. Tidak

ditemukannya

prosedur tertulis

mengenai Disaster

Adanya dokumentasi

tertulis tentang

aplikasi yang

dipergunakan,

Bila terjadi bencana,

prosedur untuk

penanganannya tidak

jelas, dan mungkin

Dokumentasikan

prosedur tertulis

mengenai Disaster

Recovery Plan

208


Recovery Plan dokumentasi meliputi

instruksi tahap demi

tahap, penjelasan

mengenai

penggunaan aplikasi,

sumber data yang

diolah dan spesifikasi

yang lain. SPAP

(2001, seksi 343.7

ayat 30).

tidak dimengerti atau

tidak diketahui oleh

sebagian karyawan

209

2. Evaluasi Resiko Potensial Pengendalian Aplikasi

a. Boundary Control


Kuesioner Staf DIKC dan Staf

OKDD

1. Tidak adanya

batasan mengenai

kegagalan login

akses

Menurut Weber

(1999, p382)

Mekanisme

pengendalian akses

membatasi user untuk

memasukkan

Password yang salah

Kemungkinan adanya

pihak yang dapat

mencoba melakukan

Login dengan

Password secara acak

Lakukan

pembatasan

terhadap kegagalan

Login Access.

2. Bila umur

Password berakhir,

Password lama bisa

digunakan kembali

sebagai password

Menurut Weber

(1999, p382) User

tidak boleh

menggunakan

kembali password

Adanya kemungkinan

Password yang lama

diketahui oleh pihak

lain

Adanya kebijakan

dalam pengendalian

Password, dimana

Password lama

harus dibedakan

210


baru yang usianya lebih

dari 12 bulan

dengan password

baru.

3. Panjang

minimum karakter

Password tidak

dibatasi

Menurut Weber

(1999, p382)

Mekanisme

pengendalian akses

tidak menyetujui

apabila panjang

Password kurang dari

minimum

Pegawai

menggunakan

Password yang

pendek sehingga

mudah diingat,

sehingga mudah


lain

Batasi panjang

minimum karakter

Password

Wawancara

Kepala DIKC dan

Kepala OKDD

Tidak ada temuan

yang

mempengaruhi

aplikasi

-

-

-

211


Observasi dan

Testing

DIKC dan OKDD 1. Tidak adanya

batasan mengenai

kegagalan login

akses

Menurut Weber

(1999, p382)

Mekanisme

pengendalian akses

membatasi user untuk

memasukkan

Password yang salah

Kemungkinan adanya

pihak yang dapat

mencoba melakukan

Login dengan

Password secara acak

Lakukan

pembatasan

terhadap kegagalan

Login Access.

2. Panjang

minimum karakter

Password tidak

dibatasi

Menurut Weber

(1999, p382)

Mekanisme

pengendalian akses

tidak menyetujui

apabila panjang

Password kurang dari

Pegawai

menggunakan

Password yang

pendek sehingga

mudah diingat,

sehingga mudah


Batasi panjang

minimum karakter

Password

212


minimum lain

b. Communication Control



OKDD

Tidak ada temuan

yang

mempengaruhi

aplikasi

- - -

Wawancara

Kepala DIKC dan

Kepala OKDD

Gangguan jaringan

yang sering terjadi

adalah terputusnya

jaringan

Menurut Weber

(1999,p477-503)

Pengendalian dalam

Communication

Control (berkaitan

dengan kesalahan

Operasional sistem

aplikasi menjadi

terhambat

Mendeteksi dan

memonitoring

jaringan secara

periodik, sehingga

ditemukan

penyebab gangguan

213


jaringan tersebut)

terdiri dari:

1.Physical

Component Controls

2. Line Error Control

3. Flow Controls

4. Link Controls

5. Internet Working

Controls

6. Existence Control

jaringan

Observasi DIKC dan OKDD Tidak ada temuan

yang

mempengaruhi

aplikasi

- - -

214

c. Input Control



OKDD

Tidak ada temuan

yang

mempengaruhi

aplikasi

- - -

Wawancara

Kepala DIKC dan

Kepala OKDD

Tidak adanya

Enkripsi terhadap

data-data hasil

inputan

Transaksi tidak

hilang, digandakan,

atau dirubah tidak

semestinya. SPAP

(2001, seksi 314.5

ayat 08)

Data yang ada

kemungkinan dapat

dilihat secara

langsung jika ada

orang yang dapat

menembus sistem

keamanan

Lakukan Enkripsi

terhadap data-data

hasil inputan

Observasi dan

Testing

DIKC dan OKDD

Tidak adanya pesan

error bila terjadi

Menurut Weber

(1999, p446) apabila

User tidak

mengetahui

Harusnya ada pesan

error pada saat

215


kesalahan input-an user melakukan

kesalahan dalam

input data, maka

sebaiknya sistem

menampilkan pesan

kesalahan yang

bersifat ringkas, jelas

dan memberikan

solusi bagi user untuk

memperbaiki

kesalahan

kesalahan apa yang

terjadi

input-an salah

Review

Dokumentasi

DIKC dan OKDD Tidak ada temuan

yang

mempengaruhi

- - -

216


aplikasi

d. Process Control



OKDD

Tidak adanya

temuan yang

mempengaruhi

aplikasi

- - -


Kepala OKDD

Tidak adanya

temuan yang

mempengaruhi

aplikasi

- - -

Observasi dan

testing

DIKC dan OKDD Tidak adanya

temuan yang

- - -

217


mempengaruhi

aplikasi

e. Database Control



OKDD

Tidak adanya

temuan yang

mempengaruhi

aplikasi

- - -


Kepala OKDD

Tidak adanya

temuan yang

mempengaruhi

aplikasi

- - -

218


Observasi

Divisi DIKC dan

OKDD

Tidak adanya

Backup data di

tempat lain, Backup

data hanya di dalam

DJBC sendiri

Dilakukan back up

data secara periodik

dan disimpan di

lokasi yang jauh dari

kegiatan operasional.

SPAP (2001, seksi

343.8 ayat 32)

Bila terjadi

bencana/kerusakan

hardware maka

akan kesulitan

untuk me-recovery

data

Lakukan Backup

data ke tempat lain

juga, agar bila

terjadi bencana,

kesulitan recovery

data dapat

diminimalisir

f. Output Control


Kuesioner Staf DIKC dan staf

OKDD

Tidak ada temuan

yang

mempengaruhi

aplikasi

- - -

219


Wawancara

Kepala DIKC dan

Kepala OKDD

Tidak ada temuan

yang

mempengaruhi

aplikasi

-

-

-

Observasi

DIKC dan OKDD

Laporan yang

dihasilkan sebagian

besar belum

memiliki jenis

laporan, jumlah

copy dan

nama/bagian yang

melakukan

pencetakan

Menurut Weber

(1999, p.635)

terdapat beberapa

control information

yang harus terdapat

pada format laporan

yang tercetak yaitu

sebagai berikut:

Nama Laporan,

Waktu dan tanggal

Kehandalan dari

laporan yang ada

tidak terjamin

Adanya kebijakan

dari manajemen

agar komponen-

komponen laporan

direalisasikan

220


pencetakan, Daftar

Distribusi (termasuk

jumlah salinan),

periode proses yang

tercakup, Nama

program yang

mencetak (termasuk

versi), Nama user

yang bertanggung

jawab atas laporan

tercetak, Klasifikasi

keamanan, Kepala

laporan, Nomor

halaman, tanda

221


akhir dari laporan

Review

Dokumentasi

DIKC dan OKDD

Laporan yang

dihasilkan sebagian

besar belum

memiliki jenis

laporan, jumlah

copy dan

nama/bagian yang

melakukan

pencetakan

Menurut Weber

(1999, p.635)

terdapat beberapa

control information

yang harus terdapat

pada format laporan

yang tercetak yaitu

sebagai berikut:

Nama Laporan,

Waktu dan tanggal

pencetakan, Daftar

Distribusi (termasuk

jumlah salinan),

Kehandalan dari

laporan yang ada

tidak terjamin

Adanya kebijakan

dari manajemen

agar komponen-

komponen laporan

direalisasikan

222


periode proses yang

tercakup, Nama

program yang

mencetak (termasuk

versi), Nama user

yang bertanggung

jawab atas laporan

tercetak, Klasifikasi

keamanan, Kepala

laporan, Nomor

halaman, Tanda

akhir dari laporan

223

VI. Kesimpulan

Sistem Aplikasi Impor pada DJBC menurut hasil analisa dan review dari auditor,

adalah baik, tidak ditemukan resiko potensial yang dapat mempengaruhi jalannya


Jakarta, 10 Februari 2006

Tim Auditor

bab 4 evaluasi terhadap aplikasi impor pada …thesis.binus.ac.id/asli/bab4/2006-2-00831-ka-bab...

Documents