Auditing Erp Sistem
23
AUDIT SISTEM INFORMASI AUDITING ERP SYSTEM Dibuat Oleh: Wayan Lia Warningsih PROGRAM STUDI SISTEM INFORMASI SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER PERGURUAN TINGGI T E K N O K R A T BANDAR LAMPUNG 2014
-
Upload
lia-mahayatra -
Category
Documents
-
view
23 -
download
5
description
Auditing Erp System
Transcript of Auditing Erp Sistem
AUDIT SISTEM INFORMASI
AUDITING ERP SYSTEM
Dibuat Oleh:Wayan Lia Warningsih
PROGRAM STUDI SISTEM INFORMASISEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER PERGURUAN TINGGI T E K N O K R A TBANDAR LAMPUNG2014
AUDITING ERP SYSTEM
1. Definisi Enterprise Resource Planing (ERP)Enterprise Resource Planing (ERP) merupakan merupakan Sistem Informasi untuk mengidentifikasi dan merencanakan sisi sumber daya yang dibutuhkan perusahaan untuk digunakan, dibuat, dikirim dan dihitung secara efisien dan dapat merespom kebutuhan pelanggan dengan lebih baik.
Secara umum Enterprise Resource Planing (ERP) sering diartikan dengan sebuah sistem informasi yang mengintegrasikan proses bisnis yang melibatkan empat bidang fungsional utama. Empat bidang fungsional utama tersebut adalah:a. Pemasaran dan Penjualan (M / S)Pemasaran dan Penjualan meliputi:1. pengembangan produk, 2. penetapan harga, 3. mempromosikan produk kepada pelanggan, 4. menerima pesanan pelanggan.
Pemasaran dan Penjualan juga membantu membuat perkiraan penjualan untuk memastikan keberhasilan operasi organisasi.
b. Supply Chain Management (SCM)Sistem perusahaan lintas fungsi yang menggunakan teknologi informasi untuk membantu mendukung dan mengelola hubungan antara beberapa proses bisnis utama perusahaan, pemasok, pelanggan, dan mitra bisnis.
Fungsi dalam SCM termasuk : 1. mengembangkan rencana produksi, 2. pemesanan bahan baku dari pemasok, 3. menerima bahan baku, dan 4. pengiriman produk kepada pelanggan.
c. Akuntansi dan Keuangan (A / F)Digunakan untuk menyediakan fasilitas menjalankan fungsi manajemen keuangan. Selain itu digunakan untuk mendukung analisis berbagai lokasi bisnis, baik yang tersebar maupun tidak dalam suatu daerah, negara.
d. Sumber Daya Manusia (HRM)Karyawan sebuah perusahaan adalah sumber daya yang paling berharga, yang berarti bahwa sumber daya manusia (SDM) departemen memainkan peran penting dalam sebuah organisasi. Departemen sumber daya manusia bertanggung jawab menarik, mempekerjakan karyawan dan keputusan yang diambil di departemen sumber daya manusia dapat mempengaruhi setiap departemen dalam perusahaan.
Sistem ERP Seperangkat infrastruktur dan software yang tidak dapat dilepaskan dari aspek best practices. Artinya, mencerminkan cara terbaik dalam mengelola bisnis berdasarkan pengalaman para pelaku bisnis. Tujuan utama dari sistem ini adalah untuk meningkatkan kerja sama dan integrasi atarsemua departemen atau fungsi bisnis dalam organisasi.
Contoh Vendor ERP :a. SAPb. Oraclec. Baand. QADe. JDEdwardf. DLL.
Contoh: Pemenuhan Pesanan sebelum menggunakan sistem ERP dan Sesudah menggunakan sistem ERP: Sebelum menggunakan ERP
Sesudah menggunakan ERP
Sebagai sebuah teknologi yang memfasilitasi keterkaitan antara TI dan bisnis ERP dapat digunakan sebagai alat bantu manajemen yang efektif dan memungkinkan perusahaan untuk berintegrasi pada semua tingkatan serta memanfaatkan modul-modul ERP yang penting bagi perusahaan seperti material planning, keuangan dan akuntansi, HRD, dll.
Kriteria evaluasi sistem ERPa. Kesesuaian Fungsionalitas Langkah yang dilakukan adalah dengan mengukur berapa jumlah perubahan pada database yang akan diimplementasikan.b. Fleksibilitas Kostumisasi Sistem harus dapat menyediakan berbagai tingkatan kostumisasi yang berbeda-beda. Upgrade fleksibel Dapat melakukan upgrade tanpa menganggu kostumisasi. Internasionalisasi Sistem harus dapat mendukung berbagai bahasa, skema akuntansi dan biaya yang beragam Kemudahan penggunaan.Antarmuka harus dirancang dengan memperhatikan kebutuhan informasi dalam menyelesaikan tugas ArsitekturMemperhatikan model arsitektur yang tepat dan sesuai dengan layanan yang akan diberikan system. SkalabilitasMendukung volum transaksi dalam jumlah besar dengan waktu tanggap yang konstan KeamananMendukung diterapkannya mekanisme keamanan dari berbagai tingkat akses yang berbeda AntarmukaKemudahan sistem untuk berhubungan dengan sistem lain atau untuk bertukar data. Kebebasan sistem operasiMemungkinkan dijalankan diberbagai flatform Database independenceAdanya tingkat kebebasan terhadap database yang akan digunakan Bahasa pemrogramanMengadopsi beberapa jenis bahasa pemrograman sehingga mudah dalam melakukan kostumisasi.
c. DukunganDukungan akan membantu memperpendek waktu implementasi Infrastruktur Tersedianya forum komunikasi untuk publik sebagai tempat bertukar pengalaman dan berdiskusi Pelatihan Menyediakan program pelatihan baik secara teknis maupun konseptual bagi konsumen Dokumentasi Perlunya dokumentasi yang lengkap dan terbaru yang sangat diperlukan pengguna dan pengembang sistem d. Kontinuitas Adanya pertanggung jawaban terhadap anggaran yang dikeluarkan Memperhatikan risiko yang mungkin ada pada proses pengembangan dan implementasi dilakukan Perlunya dukungan dari vendor pengembang atau penyedia jasa pengembangan sistem, yang meliputi:a. Struktur proyek b. Aktivitas komunitas c. Transparansid. Frekuensi update
e. Kematangan Status pengembangan Perlunya pemilihan paket yang sudah stabil atau tidak memilih paket yang masih dalam tahap test (alpha & beta) Situs referensi Mendiskusikan isu implementasi dan operasional dengan konsumen yang sudah mengetahui dan menerapkan sistem Perlunya situs referensi yang bisa digunakan sebagai referensi bagi pengguna dalam mendapatkan kasus-kasus bisnis yang relevan dengan kebutuhan.
2. Pengauditan ERPSistem ERP sumber daya perusahaan memungkinkan organisasi untuk mengotomatisasi organisasi arus informasi. ERP harus efektif, ia harus memiliki kontrol yang diperlukan dan diterapkan untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Beberapa daerah bisnis umum yang didukung ERP termasuk pasokan, pemasaran dan penjualan, akuntansi dan keuangan, dan sumber daya manusia. Masing-masing bidang ini adalah fungsional berbeda, tetapi dapat mempengaruhi satu sama lain. Terutama kasus dimana pemasaran dan penjualan memiliki pengaruh atas rantai pasokan dan dampak Akuntansi dan keuangan. Sistem ERP memungkinkan suatu organisasi untuk mengelola berbagai bidang elemen data suatu usaha untuk mencapai konsistensi dan efisiensi dalam proses. Setiap aspek sistem ERP ini dilaksanakan untuk menambah dan meningkatkan kompleksitas keseluruhan yang berpotensi kelemahan. Kustomisasi yang memperluas aplikasi asli harus diteliti untuk mereka sesuai dengan persyaratan keamanan. Melakukan audit sistem yang kompleks dapat tampak seperti tugas yang menakutkan. Cara terbaik pendekatan masalah adalah untuk memecah itu ke dalam potongan lebih kecil, potongan yang dikelola mendukung tujuan audit secara keseluruhan. Salah satu cara untuk merumuskan audit strategi adalah untuk mempertimbangkan aspek-aspek dari sistem evaluasi. Idealnya, keamanan audit berfokus pada langkah-langkah penanggulangan keamanan untuk melindungi sistem. Penanggulangan keamanan dapat dikategorikan menggunakan kerangka kerja seperti model informasi jaminan (IA). IA Model penanggulangan mengidentifikasi tiga keamanan biasanya diterapkan untuk melindungi informasi sistem. Penanggulangan tersebut meliputi:a. PeopleIni adalah keseluruhan individu siapa yang bertanggung jawab untuk menggunakan, operasi, pemeliharaan dan perlindungan sistem, dan pelatihan. Pengguna biasa serta administrator dan staf yang pendukung aspek integral keamanan sistem. People juga mencakup aspek manajerial informasi dan sistem.b. Operationsini mencakup semua kebijakan, standar dan prosedur yang diimplementasikan untuk melindungi sistem dan informasi di dalamnya. Standar dapat digunakan untuk menentukan pengaturan, konfigurasi atau tindakan yang mengaktifkan konsistensi di seluruh sistem. Rincian prosedur yang didokumentasikan membantu orang-orang yang melakukan tindakan mengenai penggunaan sistem dan manajemen. c. TechnologyIni meliputi hardware dan perangkat lunak dari sistem. Item yang melindungi sistem mencakup sistem operasi, database, aplikasi, firewall, router dan switch.
Beberapa hal yang menjadi bahan pertimbangan audit:
a. People Interaksi antara pengguna dan sistem bisa menyebabkan dampak keamanan sistem ERP. Auditor mungkin ingin untuk mempertimbangkan bagaimana interaksi ini mempengaruhi keamanan informasi dan sistem.b. Functionality RequirementsSistem ERP digunakan untuk mengotomatisasi proses manual dan memberikan standardisasi proses dan data. Alur kerja dalam sebuah organisasi harus didokumentasikan. Demikian juga, aspek-aspek dari sistem ERP yang mendukung alur kerja ini perlu diidentifikasi juga. Jika sistem tidak sepenuhnya mendukung Workflow, maka auditor perlu menentukan apakah fungsi persyaratan belum dipenuhi. Sistem ERP yang tidak memenuhi fungsi persyaratan akan dapat menyebabkan pengendalian internal yang lemah.c. OperationsKebijakan dan praktek-praktek yang berkaitan dengan elemen penting sistem ERP dari pemerintahan. Selain itu, kurangnya aspek operasional sistem ERP dapat menimbulkan pertanyaan mengenai efektivitas atau adanya jaminan informasi kontrol mengklaim untuk diimplementasikan. Tinjauan auditor terhadap aspek operasional dari sebuah ERP sistem dapat mengidentifikasi kekurangan signifikan keamanan yang tidak dipertimbangkan sebelumnya.d. DocumentationSebuah sistem dengan kurangnya dokumentasi sulit untuk menilai. Dokumentasi untuk menjalani sistem perubahan yang cepat ini cenderung menjadi usang dengan cepat. Dokumentasi yang rinci, akurat dan indikator sistem yang lengkap dikelola dengan baik. Ulasan dokumentasi harus mempertimbangkan apakah mengandung cukup: DepthDokumentasi harus memberikan kedalaman yang cukup detail sehingga unsur-unsur implementasi ERP sistem dapat digandakan atau dievaluasi oleh mereka yang tidak akrab dengan sistem. Menggunakan sistem terbuka interkoneksi Model (OSI) sebagai dasar untuk evaluasi, misalnya, Audit dapat dilakukan setiap jumlah lapisan OSI seperti aplikasi, sistem operasi dan jaringan perangkat. Auditor perlu memahami kedalaman kontrol yang dilaksanakan untuk menentukan apakah ERP memiliki cukup kontrol untuk mencegah dan/atau mendeteksi keamanan pelanggaran BreadthUntuk setiap topik yang diberikan dalam dokumentasi itu harus jelas sejauh kontrol atau aspek sistem diimplementasikan. Batas untuk suatu elemen sistem harus jelas dalam dokumentasi. Sebagai contoh, sistem dapat terkandung dalam satu bangunan atau rentang dunia. Mengetahui tingkat sistem elemen penting ketika merancang suatu pendekatan untuk melakukan audit sistem.e. Security RequirementsUndang-undang, peraturan, kebijakan dan standar membentuk dasar persyaratan keamanan sistem. Aplikasi ERP harus mendukung persyaratan keamanan yang ada. Auditor harus menentukan apakah sistem cukup mendukung semua keamanan persyaratan. Ketidak mampuan sistem ERP untuk mendukung persyaratan tertentu harus menetral dengan setidaknya salah satu langkah berikut: Compensating controlsKontrol lain harus berada di tempat untuk mencegah atau mendeteksi penyalahgunaan sistem. Acceptance of riskDalam beberapa kasus, mungkin terlalu mahal atau tidak praktis untuk sepenuhnya memenuhi persyaratan keamanan. Manajemen dapat memilih untuk menerima risiko ketika keamanan persyaratan sulit atau mustahil.
f. Change ManagementOrganisasi yang menyesuaikan sistem ERP perlu menjaga proses manajemen perubahan efektif. Perubahan yang tidak benar dikontrol dapat memperkenalkan kelemahan ke postur keamanan sistem ERP. Mungkin juga bahwa aplikasi akan memerlukan pembaruan berkala terhadap modul yang digunakan. Konsekuensi dari perubahan manajemen dapat memperkenalkan kelemahan baru ketika mereka tidak benar dikontrol atau mengizinkan kelemahan dikenal untuk bertahan ketika mereka tidak diimplementasikan secara tepat waktu. Auditor dapat melihat ke dalam perubahan terbaru untuk menentukan apakah mereka adalah: AuthorizedPerubahan yang disepakati sebelum penyebaran dan diizinkan oleh manajemen. ControlledProses mengubah aspek sistem didokumentasikan dan diikuti dan memberikan pemisahan tugas. ValidatedTindak lanjut berkenaan dengan perubahan ini dilakukan oleh orang-orang yang tidak bertanggung jawab untuk mengimplementasikan perubahan. Validasi perubahan menyediakan jaminan bahwa hanya ditargetkan perubahan pada aspek yang terpengaruh, sementara bagian-bagian lain dari sistem tidak diubah.
g. ConfigurationsSistem ERP mungkin berisi ribuan individu item konfigurasi. Item ini mempengaruhi alur kerja dan penanganan informasi melalui sistem. Misconfigurations dapat mempengaruhi kerahasiaan, integritas atau ketersediaan informasi. Bagian-bagian penunjang lain sistem, termasuk sistem operasi, Jaringan perangkat dan database, juga memerlukan konfigurasi yang eksplisit untuk mendukung keamanan dalam sistem ERP. Konfigurasi harus didokumentasikan dan divalidasi secara berkala. Auditor dapat menilai ERP konfigurasi dengan pencocokan konfigurasi Dokumentasi dengan pengaturan yang sebenarnya dalam sistem. Kurangnya dokumentasi untuk pengaturan yang lain dalam sudut pandang auditor harus mempertimbangkan.
h. TechnologySistem ERP seringkali sangat kompleks dan dapat berisi komponen dari beberapa vendor. Selain itu, sebuah ERP sistem sering bergantung pada sistem operasi komoditi dan database yang meningkatkan keseluruhan kompleksitas. Sejauh teknologi komponen mengintegrasikan atau bekerja erat bersama-sama dapat mempengaruhi keamanan secara keseluruhan dari sistem ERP.
i. Access ControlMekanisme yang memungkinkan atau menolak akses sesuai kebijakan adalah inti komponen keamanan. Mekanisme kontrol akses harus mendukung kebijakan keamanan untuk ERP sistem. Sering kali, akses mekanisme dari berbeda vendor tidak mengintegrasikan dengan mudah. Kontrol akses mekanisme untuk sistem operasi, database dan aplikasi ERP tidak dapat terintegrasikan dengan baik. Kebutuhan auditor meninjau pelaksanaan setiap mekanisme kontrol akses untuk menentukan apakah ada kelemahan. Hal itu mungkin untuk pengguna mem-bypass kontrol dalam aplikasi ERP baik melalui database atau sistem operasi jika ada ketidakcocokan dalam akses kontrol implementasi dalam kedua kasus.
j. Audit LogsMendeteksi penyalahgunaan ERP adalah aktivitas penting manajemen keamanan. Penyalahgunaan terdeteksi melalui analisis log audit. Auditor harus meninjau audit pengaturan dan implementasi untuk menilai jika memiliki kemampuan log audit atau kemampuan untuk menangkap peristiwa yang dapat dianalisis untuk mendeteksi penyalahgunaan ERP. Korelasi kegiatan audit dalam sistem ERP dengan peristiwa-peristiwa audit eksternal melalui sistem operasi atau peralatan jaringan juga harus diteliti untuk menentukan jika rincian yang cukup dikumpulkan untuk mendeteksi penyalahgunaan dan dukungan pengguna akuntabilitas.
k. Automated WorkflowsKemampuan sistem ERP untuk mengotomatisasi proses manual adalah tujuan inti dari sistem. Ketika alur kerja yang otomatis melalui ERP, ada kemungkinan bahwa proses tertentu mungkin menjadi Orphan. Proses Orphan dapat serius mempengaruhi kemampuan sistem ERP dalam menyediakan informasi tepat waktu atau akurat. Auditor harus meninjau proses otomatis untuk memastikan bahwa semua alur kerja dimaksudkan untuk otomatis benar-benar dilaksanakan atau memiliki cukup dokumentasi menunjukkan tambahan proses manual. Di sisi ekstrem lain, otomatis proses dapat memperkenalkan kelemahan yang mempengaruhi kontrol lain seperti pemisahan tugas. Selanjutnya, tanpa proses cukup Check and Balance dapat memungkinkan pengguna untuk melakukan penipuan. Audit Workflow ERP harus mencakup penentuan Apakah proses otomatis melanggar pemisahan tugas atau memperkenalkan kemampuan pekerja untuk melakukan penipuan, yang berarti sistem tidak menegakkan pemisahan tugas.
l. IdentitiesPengguna ERP memiliki identitas yang melekat dari aplikasi atau yang berasal dari operasi dasar sistem. Identitas ditambah dengan authenticators harus benar ditangani oleh sistem: InherentMenyediakan pengguna dengan account lain memerlukan pengawasan yang sesuai ketika saatnya untuk deprovision pengguna. Selain itu, akan diperlukan untuk menentukan apakah mendukung mekanisme identitas diperlukan atribut otentikasi keamanan, seperti sandi seumur hidup, kompleksitas, panjang dan enkripsi. IntegratedSistem ERP yang mengintegrasikan dengan host sistem operasi untuk identitas pengguna dan kontrol akses membantu mengurangi overhead manajerial. Namun, mengintegrasikan identitas harus ditangani dengan hati-hati sebagai pemisahan tugas atau hak .
m. SummaryImplementasi ERP bisa menjadi sangat kompleks dan Investasi IT kritis. Besarnya kompleksitas sistem dapat ditangani oleh auditor, keamanan operasional dan teknis penanggulangan. Dengan cara ini, auditor dapat mengurangi kompleksitas ke tugas-tugas yang diatur untuk mencapai tujuan audit.
![SISTEM INFORMASI ERP (ENTERPRISE RESOURCES PLANNING …€¦ · berbasis ERP [5] yang terpadu sangat mendukung fungsi kegiatan bisnis yang berdampak pada berkurangnya pengeluaran](https://static.fdokumen.com/doc/165x107/60826eb6e63f79234d683b51/sistem-informasi-erp-enterprise-resources-planning-berbasis-erp-5-yang-terpadu.jpg)
![ERP (Enterprise Resource Planning)€ŸLeary [OLS 2004] Sistem ERP adalah sistem berbasis komputer yang dirancang untuk memproses transaksi organisasi dan memfasilitasi perencanaan](https://static.fdokumen.com/doc/165x107/5b31319c7f8b9a55208e70de/erp-enterprise-resource-planning-leary-ols-2004-sistem-erp-adalah-sistem-berbasis.jpg)
