Sistem ERP Seperangkat infrastruktur dan software yang tidak dapat dilepaskan dari
aspek best practices. Artinya, mencerminkan cara terbaik dalam mengelola bisnis
berdasarkan pengalaman para pelaku bisnis. Tujuan utama dari sistem ini adalah untuk
meningkatkan kerja sama dan integrasi atarsemua departemen atau fungsi bisnis
dalam organisasi.
SAP
Oracle
Baan
QAD
JDEdward
DLL.
Sebagai sebuah teknologi yang memfasilitasi keterkaitan antara TI dan bisnis ERP
dapat digunakan sebagai alat bantu manajemen yang efektif dan memungkinkan
perusahaan untuk berintegrasi pada semua tingkatan serta memanfaatkan modulmodul ERP yang penting bagi perusahaan seperti material planning, keuangan dan
akuntansi, HRD, dll.
berbeda-beda.
Upgrade fleksibel
Dapat melakukan upgrade tanpa menganggu kostumisasi.
Internasionalisasi
Sistem harus dapat mendukung berbagai bahasa, skema akuntansi dan
biaya yang beragam
Kemudahan penggunaan.
Antarmuka harus dirancang dengan memperhatikan kebutuhan informasi
yang konstan
Keamanan
Mendukung diterapkannya mekanisme keamanan dari berbagai tingkat
bertukar data.
Kebebasan sistem operasi
Memungkinkan dijalankan diberbagai flatform
Database independence
Adanya tingkat kebebasan terhadap database yang akan digunakan
Bahasa pemrograman
Mengadopsi beberapa jenis bahasa pemrograman sehingga mudah dalam
melakukan kostumisasi.
c. Dukungan
Dukungan akan membantu memperpendek waktu implementasi
Infrastruktur
Tersedianya forum komunikasi untuk publik sebagai tempat bertukar
bagi konsumen
Dokumentasi
Perlunya dokumentasi yang lengkap dan terbaru yang sangat diperlukan
Perlunya
dukungan
dari
vendor
pengembang
atau
penyedia
jasa
2. Pengauditan ERP
Sistem ERP sumber
daya
perusahaan
memungkinkan
organisasi
untuk
Melakukan audit sistem yang kompleks dapat tampak seperti tugas yang menakutkan.
Cara terbaik pendekatan masalah adalah untuk memecah itu ke dalam potongan lebih
kecil, potongan yang dikelola mendukung tujuan audit secara keseluruhan. Salah satu
cara untuk merumuskan audit strategi adalah untuk mempertimbangkan aspek-aspek
dari sistem evaluasi. Idealnya, keamanan audit berfokus pada langkah-langkah
penanggulangan keamanan untuk melindungi sistem. Penanggulangan keamanan dapat
dikategorikan menggunakan kerangka kerja seperti model informasi jaminan (IA). IA
Model penanggulangan mengidentifikasi tiga keamanan biasanya diterapkan untuk
melindungi informasi sistem.
Penanggulangan tersebut meliputi:
a. People
Ini adalah keseluruhan individu siapa yang bertanggung jawab untuk
menggunakan, operasi, pemeliharaan dan perlindungan sistem, dan pelatihan.
Pengguna biasa serta administrator dan staf yang pendukung aspek integral
keamanan sistem. People juga mencakup aspek manajerial informasi dan sistem.
b. Operations
ini mencakup semua kebijakan, standar dan prosedur yang diimplementasikan
untuk melindungi sistem dan informasi di dalamnya. Standar dapat digunakan
untuk menentukan pengaturan, konfigurasi atau tindakan yang mengaktifkan
konsistensi di seluruh sistem. Rincian prosedur yang didokumentasikan membantu
orang-orang yang melakukan tindakan mengenai penggunaan sistem dan
manajemen.
c. Technology
Ini meliputi hardware dan perangkat lunak dari sistem. Item yang melindungi
sistem mencakup sistem operasi, database, aplikasi, firewall, router dan switch.
Beberapa hal yang menjadi bahan pertimbangan audit:
a. People
dan
standar
membentuk
dasar
penyalahgunaan sistem.
Acceptance of risk
Dalam beberapa kasus, mungkin terlalu mahal atau tidak praktis untuk
sepenuhnya memenuhi persyaratan keamanan. Manajemen dapat
memilih untuk menerima risiko ketika keamanan persyaratan sulit atau
mustahil.
f. Change Management
Organisasi yang menyesuaikan sistem ERP perlu menjaga proses manajemen
perubahan
efektif.
Perubahan
yang
tidak
benar
dikontrol
dapat
manajemen.
Controlled
Proses mengubah aspek sistem didokumentasikan dan diikuti dan
g. Configurations
Sistem ERP mungkin berisi ribuan individu item konfigurasi. Item ini
mempengaruhi alur kerja dan penanganan informasi melalui sistem.
Misconfigurations
dapat
mempengaruhi
kerahasiaan,
integritas
atau
h. Technology
Sistem ERP seringkali sangat kompleks dan dapat berisi komponen dari
beberapa vendor. Selain itu, sebuah ERP sistem sering bergantung pada sistem
operasi komoditi dan database yang meningkatkan keseluruhan kompleksitas.
Sejauh teknologi komponen mengintegrasikan atau bekerja erat bersama-sama
dapat mempengaruhi keamanan secara keseluruhan dari sistem ERP.
i. Access Control
Mekanisme yang memungkinkan atau menolak akses sesuai kebijakan adalah
inti komponen keamanan. Mekanisme kontrol akses harus mendukung
kebijakan keamanan untuk ERP sistem. Sering kali, akses mekanisme dari
berbeda vendor tidak mengintegrasikan dengan mudah. Kontrol akses
mekanisme untuk sistem operasi, database dan aplikasi ERP tidak dapat
terintegrasikan dengan baik. Kebutuhan auditor meninjau pelaksanaan setiap
mekanisme kontrol akses untuk menentukan apakah ada kelemahan. Hal itu
mungkin untuk pengguna mem-bypass kontrol dalam aplikasi ERP baik
melalui database atau sistem operasi jika ada ketidakcocokan dalam akses
kontrol implementasi dalam kedua kasus.
j. Audit Logs
Mendeteksi penyalahgunaan ERP adalah aktivitas penting manajemen
keamanan. Penyalahgunaan terdeteksi melalui analisis log audit. Auditor harus
meninjau audit pengaturan dan implementasi untuk menilai jika memiliki
kemampuan log audit atau kemampuan untuk menangkap peristiwa yang dapat
dianalisis untuk mendeteksi penyalahgunaan ERP. Korelasi kegiatan audit
dalam sistem ERP dengan peristiwa-peristiwa audit eksternal melalui sistem
operasi atau peralatan jaringan juga harus diteliti untuk menentukan jika rincian
k. Automated Workflows
Kemampuan sistem ERP untuk mengotomatisasi proses manual adalah tujuan
inti dari sistem. Ketika alur kerja yang otomatis melalui ERP, ada kemungkinan
bahwa proses tertentu mungkin menjadi Orphan. Proses Orphan dapat serius
mempengaruhi kemampuan sistem ERP dalam menyediakan informasi tepat
waktu atau akurat. Auditor harus meninjau proses otomatis untuk memastikan
bahwa semua alur kerja dimaksudkan untuk otomatis benar-benar dilaksanakan
atau memiliki cukup dokumentasi menunjukkan tambahan proses manual. Di
sisi ekstrem lain, otomatis proses dapat memperkenalkan kelemahan yang
mempengaruhi kontrol lain seperti pemisahan tugas. Selanjutnya, tanpa proses
cukup Check and Balance dapat memungkinkan pengguna untuk melakukan
penipuan. Audit Workflow ERP harus mencakup penentuan Apakah proses
otomatis melanggar pemisahan tugas atau memperkenalkan kemampuan
pekerja untuk melakukan penipuan, yang berarti sistem tidak menegakkan
pemisahan tugas.
l. Identities
Pengguna ERP memiliki identitas yang melekat dari aplikasi atau yang berasal
dari operasi dasar sistem. Identitas ditambah dengan authenticators harus benar
ditangani oleh sistem:
Inherent
Menyediakan pengguna dengan account lain memerlukan pengawasan
yang sesuai ketika saatnya untuk deprovision pengguna. Selain itu, akan
diperlukan untuk menentukan apakah mendukung mekanisme identitas
m. Summary
Implementasi ERP bisa menjadi sangat kompleks dan Investasi IT kritis.
Besarnya kompleksitas sistem dapat ditangani oleh auditor, keamanan
operasional dan teknis penanggulangan. Dengan cara ini, auditor dapat
mengurangi kompleksitas ke tugas-tugas yang diatur untuk mencapai tujuan
audit.