IS Quality Assurance & Control Case Study

Posted by depegabe on

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

 

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

 

Answer :

 

  1. Berdasarkan kasus diatas, risiko yang dapat muncul antara lain :
  • Sistem informasi existing saat ini dikatakan sudah terintegrasi, namun antara program aplikasi payroll dan akuntansi berbeda bahasa pemograman, dan belum menggunakan Enterprise resource planning. Enterprise resource planning merupakan sistem terintegrasi yang mempunyai tujuan merangkum proses bisnis yang ada sehingga menjadi satu kolaborasi yang efisien dan efektif. Tanpa adanya ERP sistem yang ada saat ini belum dapat dipastikan terintegrasi dengan baik.
  • Data untuk perhitungan insentif dan bonus team marketing, dikerjakan oleh team IT, seharusnya data ini bersifat confidential, hanya HR Department yang mengetahuinya dan Accounting department yang membayarkannya. Perlu kita kaji kembali apakah sudah sesuai dengan company policy?
  • Tidak ada server di cabang, harus menggunakan WAN yang dikoneksikan melalui satelit, bagaimana proses otorisasinya, tingkat penyalahgunaan computer juga harus kita kaji.
  • Perusahaan belum menyusun BCP, BCP atau Business Continuity Plan merupakan keadaan dimana kondisi bisnis harus dapat terus berjalan pasca terjadinya suatu Business Continuity Plan merupakan antisipasi langkah-langkah yang perlu dilakukan guna menyelamatkan perusahaan dari hal-hal yg tidak diinginkan seperti: gempa bumi, tsunami, banjir, Angin puting beliung, kebakaran dan lain-lain yang dapat menimbulkan kerusakan dan mengancam fasilitas-fasilitas bisnis.
  • Perusahaan tidak menggunakan audit log. Auditlog sangat diperlukan untuk memastikan adanya siapa, apa dan kapan perubahan suatu data dilakukan.

 

  1. Tahap – tahap audit yang dilakukan adalah :
  1. Menentukan periode audit, kemudian melakukan pengecekan terhadap perubahan – perubahan yang terjadi semenjak periode awal audit hingga tanggal audit dilaksanakan, setiap perubahan yang ada dikaji kembali apakah sudah melewati proses otorisasi yang benar atau belum
  2. Pengujian pada logical access, bertujuan untuk memastikan control yang efektif untuk menambahkan, memperbaharui, dan meghapus akses pengguna kedalam aplikasi yang ada saat ini, mengecek apakah logical access selalu terupdate atau tidak.
  • Melihat apakah pengaturan password sudah sesuai

Memastikan apakah sudah terdapat konfigurasi minimum yang ditetapkan seperti: jumlah karakter minimum pada password, komposisi password (apakah perlu ada alpha dan numeric), jumlah maksimal yang diberikan jika terjadi kesalahan password sebelum di lock-out untuk mengurangi resiko pembobolan, idle session timeout.

  • Adanya Roles terhadap akses kedalam sistem sesuai privilege masing-masing individu

Mendapatkan daftar hak akses yang diberikan, apakah sudah sesuai dengan company policy, memastikan bahwa daftar tersebut lengkap, dan meninjau user dengan privilege yang istimewa didalam sistem tersebut apakah sudah sesuai dengan deskripsi pekerjaan mereka.

  • Memastikan user access terotorisasi dan berfungsi dengan baik

Melihat daftar keseluruhan user di periode audit tersebut, dan melakukan random sample untuk melihat apakah beberapa user sudah tervalidasi dengan baik, Melihat daftar pengguna baru yang ditambahkan pada periode audit tersebut, memilih sample yang tepat untuk melakukan pengecekan apakah user baru tersebut mendapatkan privilege akses yang tepat atau tidak, dan melihat siapa yang memberi persetujuan akses tersebut. Memperhatikan apakah ada upaya pelanggaran hak akses yang dilakukan, namun hal ini akan sulit dilakukan karena perusahaan ini tidak menggunakan audit log.

  1. Melakukan pengecekan terhadap aplikasi sistem tersebut baik sistem payroll maupun sistem accounting, pengecekan terhadap operating sistem, database sistem, network dan internet / remote access. Perangkat keras juga perlu dikaji apakah masih mumpuni untuk dipergunakan atau tidak.
  2. Melakukan pengecekan terhadap ruang server di kantor pusat, bagaimana tingkat keamanannya seperti suhu, tingkat kelembaban di ruang server. Bagaimana sistem back-up server berjalan, apakah ada Alat Pemadam Api Ringan (APAR) dalam radius beberapa meter di dekat server?
  3. Melakukan audit atas perhitungan bonus dan insentif terhadap team marketing, meminta rumus yang digunakan oleh aplikasi tersebut, lakukan sampling apakah sudah sesuai dengan perhitungan manual atau dengan excel.
  4. Melakukan penilaian secara umum terhadap hasil pengujian yang kita lakukan diatas, hasil penilaian tersebut akan menjadi dasar bagi kita untuk menyiapkan pendapat di laporan hasil audit.

 

  1.  Rekomendasi atau usulan untuk perbaikan PT.  BPR Maju bersama adalah :
  1. Perlunya Penerapan ERP dalam perusahaan tersebut, sebab dengan adanya penerapan ERP perusahaan akan mendapatkan banyak benefit seperti :
  2. Mempermudah pengendalian proses bisnis

Sistem ERP akan menyajikan beragam data dari unit bisnis yang berbeda-beda secara sistematis, komprehensif, real-time, dan mudah dalam aksesnya. Hal ini akan memudahkan perusahaan dalam melakukan pemantauan dan pengendalian atas proses bisnis mereka. Disamping itu, sistem ERP juga akan memberikan wawasan yang luas kepada seorang decision-maker sehingga dapat melakukan berbagai prediksi dan pengambilan keputusan yang akurat.

  1. 2. Menyederhanakan proses bisnis

ERP membantu sebuah perusahaan merampingkan proses bisnis mereka. Hal ini akan memastikan alur kerja dapat berjalan secara halus dan komunikasi antar departemen menjadi lebih baik. Fungsi otomatisasi dalam sistem ERP menjamin aliran informasi tersampaikan dengan jelas dan bebas dari kesalahan, sehingga proses bisnis menjadi lebih sederhana dan responsif. Best-practise yang terorganisir dalam sistem ini dapat memberikan dukungan operasional yang lebih baik dan kustomisasi yang lebih mudah.

  1. Meningkatkan efisiensi karyawan

Sistem ERP akan menyalurkan kepada karyawan informasi-informasi akurat yang dibutuhkan langsung kepada mereka. Sehingga karyawan tidak perlu lagi membuang-buang waktu untuk mencari-cari informasi sendiri. Mereka dapat fokus pada tugas utama sehingga kualitas dan produktifitas kerja akan meningkat. Meningkatnya kemampuan dalam pengambilan keputusan dan kemudahan untuk mendapatkan data-data yang dibutuhkan akan meningkatkan kreatifitas karyawan dan memperbaiki pola kerja mereka.

  1. 4. Ekosistem perusahaan yang terintegrasi

Sebuah perusahaan dapat berjalan dengan padu apabila kinerja seluruh stakeholder dapat diselaraskan antara satu dengan yang lain sesuai kebutuhan masing-masing demi mencapai tujuan yang sama. Sistem ERP dapat menyatukan semua unit dalam ekosistem perusahaan : mitra bisnis, fungsi-fungsi pendukung, nasabah. Dan kemampuan yang baik dalam menselaraskan beragam unit-unit dalam ekosistem tersebut dapat meningkatkan kinerja perusahaan.

 

  1. 5. Siap menghadapi masa depan

Sistem ERP menjadikan perusahaan yang sedang berkembang memiliki fleksibilitas untuk beradaptasi dengan kebutuhan-kebutuhan di masa depan. Integrasi, kinerja, dan alur informasi yang berjalan dengan lebih baik dapat meningkatkan kemampuan perusahaan dalam melakukan perencanaan dan pengendalian sehingga mereka siap menghadapi tantangan di masa yang akan datang.

 

  1. Penghitungan bonus dan insentif team marketing, sebaiknya dikerjakan oleh Team HR yang diberikan hak akses kedalam sistem. Sebab data tersebut bersifat confidential, dan dapat menimbulkan kesenjangan apabila terjadi kebocoran informasi
  2. Perlunya disusun Business Continuity Plan untuk kelangsungan usaha perusahaan, BCP akan memungkinkan perusahaan melakukan hal-hal sebagai berikut :
  • Mengurangi ancaman-ancaman yang akan terjadi (Reduce)
  • Merespon suatu peristiwa dengan baik (Respond)
  • Memulihkan dari dampak suatu peristiwa (Recover)
  • Mengembalikan ke kondisi semula (Restore)

 

Sebelum melakukan perancangan, perlu dilakukan pengamatan pada semua area pengolahan informasi kritis perusahaan, area tersebut meliputi :

  • LAN, WAN, Server, Workstation
  • Telekomunikasi dan link komunikasi data
  • Perangkat keras, perangkat lunak dan data
  • Media dan penyimpanan arsip
  • Tugas-tugas staf dan proses produksi

 

Melakukan proses inisiasi lingkup dan rencana dengan cara menentukan parameter-parameter bencana, membuat proses business impact assessment yaitu suatu proses yang dilaksanakan untuk membantu unit-unit bisnis memahami dampak suatu peristiwa yang mengganggu yang meliputi pelaksanaan vulnerability assessment. Kemudian membuat proses persetujuan rencana dan implementasi pada proses ini melibatkan pengambilan keputusan akhir manajemen senior,menciptakan kesadaran terhadap rencana tersebut ke seluruh personil perusahaan, dan menerapkan suatu prosedur pemeliharaan untuk membaharui rencana jika dibutuhkan. Yang terakhir adalah proses pengembangan BCP Proses ini meliputi area dari implementasi rencana, pengujian rencana, dan pemeliharaan rencana berkelanjutan.

 

  1. Perlunya diterapkan audit log, agar lebih memudahkan proses kontroling terhadap akses dan perubahan terhadap data. Agar tidak memberatkan server, dapat dilakukan pemindahan audit log secara berkala ke memori external secara periodik.

 

 

 

 

Referensi :

Leon A. 2005. Enterprise Resource Planning, McGraw-Hill New Delhi

Virgiana & Michael Cerullo. 2006. Business Continuity Planning: A Comprehensive Approach

Haryono Setiade 2012 (online) https://erpsinus.files.wordpress.com/2012/10/pertemuan-1-konsep-erp.pdf (diakses maret 2017)

Anjaruntor 2013 (online) https://anjaruntoro.wordpress.com/2013/01/24/tahap-tahap-dalam-audit-teknologi-sistem-informasi/ (diakses maret 2017)

Leave a comment