Jumat, 22 Juni 2018

Dokumentasi Hash dalam Penerimaan Data Digital berupa File dalam Pelaksanaan Pemeriksaan

https://2.bp.blogspot.com/-kvSP_ox30I4/Wyxu3xqdLzI/AAAAAAAAChM/IXxin48toiwIRrbl5IEPl-_82_Aaaw8-wCKgBGAs/s320/Bola%2BDigital.jpg
Pada tulisan sebelumnya, telah diuraikan cara manual menyimpan bukti pemeriksaan berupa data digital atau file atau softcopy, yaitu dengan menyimpan data dalam kepingan CD/DVD lalu ditandatangai oleh pejabat pemilik data yang diterima tersebut. Pada tulisan kali ini, Saya akan menguraikan cara pendokumentasian serah terima data dijital dengan membuat dokumentasi berupa berita acara serah terima yang mencantumkan hash atau checksum file yang diterima.
Hash atau Checksum?
Kedua istilah ini biasanya digunakan secara bergantian dengan anggapan memiliki arti yang sama. Padahal tidak. Bisa dikatakan bahwa checksum adalah salah satu fungsi hash. Hash/checksum merupakan barisan kode komputer yang berfungsi sebagai identitas suatu file dalam suatu waktu dan kondisi tertentu, sehingga jika file mengalami perubahan sedikit saja (dengan kata lain: integritas data berubah), maka kode hash/checksum akan ikut berubah. Checksum biasanya digunakan built-in dalam bit-bit komunikasi program untuk mendeteksi secara seketika (real time/online), error atau perubahan yang tidak diinginkan dalam pertukaran data elektronik. Hitungan checksum biasanya sederhana dan kurang cocok digunakan untuk tujuan pengamanan data digital. Jika mau tahu penjelasan lebih lanjut mengenai hash/checksum, silahkan di-klik artikel berikut ini yang Saya pikir cukup baik penjelasannya. Seterusnya kita gunakan istilah hash saja yaa.
Apakah kode hash benar-benar aman, tidak mungkin dua file dengan hash yang sama?
Banyak artikel di internet yang membahas bahwa secara teori, dapat terjadi hash collision, yaitu dua file yang berbeda namun memiliki hash yang sama. Misalnya, artikel ini yang membahas kelemahan hash MD5. Syukurnya, aplikasi penghitungan hash yang akan kita gunakan telah mendukung beberapa jenis hash, termasuk jenis yang terbaru SHA2 dan SHA3, yang akan kita pakai secara bersamaan, sehingga Saya pikir mengubah beberapa hash untuk satu file adalah suatu upaya yang mendekati mustahil.
Apa saja yang diperlukan?
Karena terbiasa bekerja menggunakan sistem operasi Windows 10, tools yang Saya gunakan tentu saja yang under Windows. Namun Saya pikir, tools alternatif untuk Mac dan Linux bahkan Android tersedia dan dapat di-Google atau di-Bing.
1.
Komputer, tentu saja. Saya pakai Windows 10 Professional bawaan laptop pinjaman dari kantor.
2.
USB flasdisk, digunakan untuk meng-copy file-file dari auditee.
3.
Aplikasi file archiver/compressor/joiner untuk menggabungkan beberapa file menjadi satu file. Saya pakai 7-Zip versi 18.05 (free). Alternatif lain, bisa pakai WinZip (pay/trial), WinRar (pay/trial), IZArc (free), dll.
4.
Aplikasi menghitung hash code suatu file. Saya pakai HashCheck Shell Extension for Windows versi 2.4 yang telah mendukung hitungan hash jenis SHA2 dan SHA3.
5.
Aplikasi pengolah kata untuk membuat form berita acara. Saya pakai Microsoft Word yang sudah ada di laptop. Alternatifnya, bisa pakai LibreOffice, dll.
Lalu bagaimana?
Langkah-langkah sejak menerima file hingga pembuatan berita acara diuraikan sebagai berikut:
1.
Meminta file yang dibutuhkan.
Umumnya permintaan file yang Saya lakukan cukup dengan lisan kepada Kepala Unit Kerja terkait, misalnya meminta file database PBB secara lisan kepada Kepala Badan Pendapatan Daerah (Bapenda). Tindak lanjut permintaan tersebut, salah seorang staf Bapenda (biasanya seorang operator komputer, administrator database, atau administrator aplikasi) akan mengantarkan flashdisk USB yang berisi file-file sesuai yang diminta.
Permintaan file kepada pihak di luar entitas yang diperiksa umumnya dengan surat permintaan resmi. Misalnya permintaan data perhitungan Pajak Penerangan Jalan dari PLN, data penyaluran bantuan rehabilitas dan rekonstruksi dari NGO/LSM, dan lain-lain. Format surat permintaan data tentunya dapat disesuaikan dengan surat keluar yang biasa dikeluarkan oleh Ketua Tim Pemeriksa.
Pada langkah selanjutnya, Saya mengasumsikan komputer Anda telah terpasang aplikasi 7-Zip, HashCheck Shell Extension for Windows, dan Microsoft Word.
2.
Jika hanya menerima satu file, abaikan langkah ini langsung ke langkah berikutnya. Jika menerima banyak file, gabungkan file-file tersebut menjadi satu file archive.
Buka flashdisknya dengan aplikasi 7-Zip File Manager, lalu arahkan ke lokasi dimana file-file tersimpan. Setelah file-file kelihatan di tampilan 7-Zip File Manager, pilih file-file (dan folder-folder, jika ada) yang akan di-archive. Lalu klik Add (Tambah), kemudian arahkan lokasi penyimpanan file archive (misal ke folder Document), lalu ubah nama file hasil sesuai yang diinginkan, kemudian klik OK. Tunggu hingga proses archive selesai.
Tampilan 7-Zip File Manager saat memilih file dan folder yang akan di-archive
Oh ya, untuk settingan-settingan yang tersedia sebelum klik OK, bisa dipelajari sendiri nanti dengan membaca manual (klik tombol Help di aplikasi). Namun sebagai rekomendasi Saya saja supaya proses archive dapat selesai dengan cepat, pilihan Archive format di-set ke zip dan Compression level di-set ke Store.
Tampilan settingan di 7-Zip
3.
Dapatkan hash filenya. Jika hanya terima satu file, maka ambil hash satu file tersebut, namun jika terima beberapa file maka ambil hash file hasil archive di langkah sebelumnya.
Caranya, buka lokasi file yang telah disimpan di hardisk kita dengan Windows Explorer, baik satu file yang telah di-copy ataupun satu file archive dari langkah sebelumnya. Pada satu file tersebut, lakukan klik kanan dan pilih Properties. Lalu pilih tab Checksums. Kemungkinan saat pertama kali menjalankan Checksums ini, perhitungan hash yang muncul hanya untuk jenis CRC-32, SHA-1, SHA-256, dan SHA-512. Anda bisa memunculkan hash untuk MD5, SHA3-256, dan SHA3-512 dengan klik Options lalu mencentang kotak hash terkait.
Jendela hash akan menampilkan perhitungan hash file yang kita minta. Pilih seluruh hitungan hash tersebut lalu lalukan klik kanan kemudian klik Copy.
Mengambil Informasi Kode Hash di File's Properties

4.
Buatkan berita acara serah terima (BAST) file/data dijital.
Contoh BAST yang pernah Saya buat ada dalam gambar di bawah ini.
Contoh BAST File Komputer
Bagian “Diserahkan oleh” ditandatangani oleh staf Bapenda yang mengantar file, dan bagian “Diketahui oleh” ditandatangani oleh Kepala Bapenda sebagai pemilik data yang kita terima.
5.
Menyimpan dan mengamankan file asli, gunakan file tersendiri untuk analisis data.
Satu file awal, yang telah didokumentasikan hash-nya dalam BAST tidak boleh diubah dengan cara apapun juga, karena file tersebut plus BAST-nya merupakan satu paket kertas kerja audit (working paper) yang membuktikan file yang kita terima adalah benar-benar yang diberikan oleh entitas pemilik data, dan berdasarkan file awal tersebut, langkah analisis yang dijalankan oleh Pemeriksa akan menghasilkan analisis dan kesimpulan yang benar-benar sama dengan yang diungkap dalam temuan pemeriksaan.
Silahkan copy satu file yang diterima atau ekstrak satu file arcive ke suatu folder khusus untuk dilakukan analisis, namun satu file yang hash-nya telah di-BAST-kan, tidak boleh diutak-atik.

logoblog

Rabu, 13 Juni 2018

Pengangkatan Pegawai Honorer Melanggar Aturan mengenai Keuangan Daerah dan Aparatur Sipil Negara


Bisa ada banyak kemungkinan alasan, baik yang sifatnya positif maupun negatif - entah itu benar atau tidak benar, sehingga beberapa pemerintah daerah/pusat mengangkat tenaga honorer di lingkungannya, antara lain:
  1. Menutupi kekurangan sumber daya manusia di instansinya, sehubungan dengan pembatasan penerimaan PNS oleh pemerintah pusat.
  2. Memenuhi kebutuhan kualifikasi atau kompetensi personel di bidang tertentu, misalnya kebutuhan sarjana akuntansi untuk personel di bagian keuangan atau sarjana komputer/informatika di bagian pengolahan data elektronik, dan lain-lain.
  3. Titipan dari pihak lain, bisa dari anggota legislatif (DPR/DPRD), instansi vertikal, atau bahkan titipan dari saudara/teman dekat muspida.
  4. Memberdayakan saudara atau teman dekatnya.
Alasan nomor 3 dan 4 tentu saja merupakan alasan bersifat negatif, yang mudah-mudahan tidak terjadi di bumi Indonesia. Namun jika menggunakan alasan nomor 1 dan 2, apakah tepat dari aturan perundang-undangan? Dari pertanyaan dan jawaban di lapor.go.id, dapat diketahui bahwa ternyata pengangkatan tenaga honorer untuk kebutuhan pendidikan pun dianggap pihak Kemendagri tidak sesuai dengan ketentuan.

Saya pernah melihat di suatu daerah kabupaten, adanya pengangkatan tenaga honorer yang sangat banyak, sehingga pengeluaran untuk membayar gaji/honor mereka lumayan menguras APBD hingga Rp79 milyar, yang kebetulan direalisasikan pada Belanja Pegawai. Sudut pandang permasalahan yang diangkat, dapat dibaca pada temuan berikut (tanpa Lampiran terkait):
logoblog

Sabtu, 09 Juni 2018

Makna Opini Laporan Keuangan Pemerintah yang Diberikan oleh BPK


Terdapat tiga jenis laporan keuangan (LK) pemerintah yang diberikan opini oleh BPK, yaitu ❶LK Pemerintah Daerah (LKPD), ❷LK Kementerian/Lembaga (LKKL), dan ❸LK Pemerintah Pusat (LKPP). Penggabungan atau konsolidasian LKKL menghasilkan LKPP. Opini atas LKPP merupakan cerminan opini atas LKKL secara keseluruhan.

Dalam periode akhir bulan April hingga awal bulan Mei setiap tahunnya, Badan Pemeriksa Keuangan (BPK), melakukan rentetan acara penyerahan Laporan Hasil Pemeriksaan (LHP) atas Laporan Keuangan (LK) Kementerian/Lembaga/Satuan Kerja Perangkat Daerah/Instansi Lainnya (K/L/D/I), baik di level Pemerintah Pusat maupun Pemerintah Daerah. Rentetan tersebut muncul karena adanya kewajiban setiap instansi pemerintah menyerahkan LK ke BPK untuk diperiksa paling lambat tiga bulan setelah tahun anggaran berakhir (atau tanggal 31 Maret) serta adanya kewajiban BPK untuk menyerahkan LHP atas LK yang diserahkan selambat-lambatnya 60 hari setelah laporan keuangan diterima (atau tanggal 31 Mei). Tentu ada kemungkinan satu-dua instansi yang terlambat menyerahkan laporan keuangannya, yang hingga saat ini sepengetahuan Saya, belum pernah ada pengenaan sanksi apapun dari BPK karena memang tidak ada aturan yang mendasari pemberian sanksi seperti itu.

Dimana Opini BPK akan dinyatakan?
logoblog

Senin, 04 Juni 2018

Pengadaan Barang Pemerintah melalui e-Katalog adalah suatu Keharusan?

Mengutip penjelasan Kepala Dinas Lingkungan Hidup DKI di detik.com, pembelian tong sampah merek Weber made in Germany ukuran 660 liter oleh Pemprov DKI Jakarta merupakan bagian dari modernisasi pengumpulan sampah di Jakarta agar sejajar dengan kota-kota maju. Tertulis bahwa pengadaan tong sampah sebanyak 2.640 buah dengan harga satuan USD253.62 atau Rp3.599.375,04 plus ongkos kirim sebesar USD5,581 atau Rp79.205.552,00; sehingga disimpulkan total nilai paket pengadaan tong sampah plus ongkir sebesar Rp9.581.555.657,60 atau 9,58 milyar rupiah. Rute-rute jalan yang akan dilalui truk press sampah (compactor) nantinya akan ditempatkan tong sampah-tong sampah 600 liter ini. Bahan tong sampah tersebut dari HDPE (sejenis plastik keras), sehingga tentunya tong sampah ini tetap digunakan sebagai penampung sampah, bukan ikut dalam proses press sampah, karena jika ikut di-press dengan sampahnya maka bahan HDPE bakal pecah.

Saya tidak akan mengomentari mengenai pemilihan tong sampahnya, karena tidak menguasai mengenai aspek tersebut. Namun Saya tertarik metode pengadaannya. Adanya pernyataan Kadis LH bahwa pembelian dilakukan melalui e-katalog Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP), yang diyakini merupakan harga terbaik dibandingkan dengan harga barang serupa di toko online, yang menurut Kadis LH DKI harga produk sejenis di toko-toko online rata-rata lebih mahal dari harga beli melalui e-catalogue LKPP.

logoblog

Sabtu, 02 Juni 2018

Cara Manual Menyimpan Bukti Audit berupa Data Digital


Untuk menilai keidentikan antara dua file (softcopy), cara yang paling praktis dan meyakinkan adalah dengan membandingkan checksum atau hash code kedua file. Dalam menyusun kertas kerja pemeriksaan, metode hash checksum dapat digunakan sebagai bukti bahwa file yang diterima (dan selanjutnya dianalisis) oleh Pemeriksa adalah benar-benar file yang diserahkan oleh Auditee, bukan file yang dimodifikasi tanpa sepengetahuan Auditee.

Segera saat file diterima, hash checksum dari file yang diterima dari Auditee dituangkan dalam suatu berita acara serah terima yang ditandatangani Pemeriksa dan Auditee. Apabila jumlah file lumayan banyak, daripada membuat daftar hash checksum file-file yang ada, kita bisa meng-archive-nya menjadi satu file tunggal untuk diambil hash code-nya. Proses archive ini dapat menggunakan aplikasi kompresi seperti WinZip, WinRar, IZarc, 7zip,dll. Prosedur dan dokumentasi serah-terima data dijital menggunakan metode hash code, suatu saat akan diuraikan lebih lanjut dalam tulisan tersendiri.

Karena kegiatan hash-hash-an ini bukan sesuai yang lazim, maka usaha ekstra mungkin perlu dilakukan untuk menjelaskan kepada pihak auditee penandatangan berita acara serah terima file. Bayangkan saja dalam situasi di depan pengadilan, sang penanda tangan menyatakan tidak mengerti dengan apa yang dulu telah ditandatanganinya dengan alasan terlalu teknis (…dan hakim-pun berpendapat yang sama), bukan tidak mungkin bukti pemeriksaan yang telah kita berita acarakan, diabaikan oleh Pak Hakim. Karena sesuai Pasal 1320 Kitab Undang Undang Hukum Perdata, sahnya perjanjian harus memenuhi empat syarat, yaitu adanya kesepakatan, kecakapan para pihak, pokok persoalan tertentu, dan suatu yang tidak terlarang. Kecakapan berhubungan dengan kemampuan para pihak membuat dan mengerti tentang isi perjanjian. Suatu pokok persoalan tertentu artinya bahwa yang diperjanjikan haruslah suatu hal atau barang yang cukup jelas. Selanjutnya di Pasal 1321 dinyatakan bahwa suatu persetujuan tidak mempunyai kekuatan jika diberikan karena kekhilafan atau diperoleh dengan paksaan atau penipuan.

Lalu, apa ada alternatif cara yang lain?

logoblog