AUDIT SISTEM INFORMASI

AUDITING ERP SYSTEM

Dibuat Oleh:
Wayan Lia Warningsih

PROGRAM STUDI SISTEM INFORMASI

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
PERGURUAN TINGGI T E K N O K R A T
BANDAR LAMPUNG
2014

AUDITING ERP SYSTEM

1. Definisi Enterprise Resource Planing (ERP)

Enterprise Resource Planing (ERP) merupakan merupakan Sistem Informasi untuk
mengidentifikasi dan merencanakan sisi sumber daya yang dibutuhkan perusahaan
untuk digunakan, dibuat, dikirim dan dihitung secara efisien dan dapat merespom
kebutuhan pelanggan dengan lebih baik.
Secara umum Enterprise Resource Planing (ERP) sering diartikan dengan sebuah
sistem informasi yang mengintegrasikan proses bisnis yang melibatkan empat bidang
fungsional utama. Empat bidang fungsional utama tersebut adalah:
a. Pemasaran dan Penjualan (M / S)
Pemasaran dan Penjualan meliputi:
1. pengembangan produk,
2. penetapan harga,
3. mempromosikan produk kepada pelanggan,
4. menerima pesanan pelanggan.
Pemasaran dan Penjualan juga membantu membuat perkiraan penjualan untuk
memastikan keberhasilan operasi organisasi.

b. Supply Chain Management (SCM)

Sistem perusahaan lintas fungsi yang menggunakan teknologi informasi untuk
membantu mendukung dan mengelola hubungan antara beberapa proses bisnis
utama perusahaan, pemasok, pelanggan, dan mitra bisnis.
Fungsi dalam SCM termasuk :
1. mengembangkan rencana produksi,
2. pemesanan bahan baku dari pemasok,
3. menerima bahan baku, dan
4. pengiriman produk kepada pelanggan.
c. Akuntansi dan Keuangan (A / F)

Digunakan untuk menyediakan fasilitas menjalankan fungsi manajemen

keuangan. Selain itu digunakan untuk mendukung analisis berbagai lokasi bisnis,
baik yang tersebar maupun tidak dalam suatu daerah, negara.
d. Sumber Daya Manusia (HRM)
Karyawan sebuah perusahaan adalah sumber daya yang paling berharga, yang
berarti bahwa sumber daya manusia (SDM) departemen memainkan peran penting
dalam sebuah organisasi. Departemen sumber daya manusia bertanggung jawab
menarik, mempekerjakan karyawan dan keputusan yang diambil di departemen
sumber daya manusia dapat mempengaruhi setiap departemen dalam perusahaan.

Sistem ERP Seperangkat infrastruktur dan software yang tidak dapat dilepaskan dari
aspek best practices. Artinya, mencerminkan cara terbaik dalam mengelola bisnis
berdasarkan pengalaman para pelaku bisnis. Tujuan utama dari sistem ini adalah untuk
meningkatkan kerja sama dan integrasi atarsemua departemen atau fungsi bisnis
dalam organisasi.

Contoh Vendor ERP :

a.
b.
c.
d.
e.
f.

SAP
Oracle
Baan
QAD
JDEdward
DLL.

Contoh: Pemenuhan Pesanan sebelum menggunakan sistem ERP dan Sesudah

menggunakan sistem ERP:
Sebelum menggunakan ERP

 Sesudah menggunakan ERP

Sebagai sebuah teknologi yang memfasilitasi keterkaitan antara TI dan bisnis ERP
dapat digunakan sebagai alat bantu manajemen yang efektif dan memungkinkan
perusahaan untuk berintegrasi pada semua tingkatan serta memanfaatkan modulmodul ERP yang penting bagi perusahaan seperti material planning, keuangan dan
akuntansi, HRD, dll.

Kriteria evaluasi sistem ERP

a. Kesesuaian Fungsionalitas
Langkah yang dilakukan adalah dengan mengukur berapa jumlah perubahan pada
database yang akan diimplementasikan.
b. Fleksibilitas
Kostumisasi
Sistem harus dapat menyediakan berbagai tingkatan kostumisasi yang

berbeda-beda.
Upgrade fleksibel
Dapat melakukan upgrade tanpa menganggu kostumisasi.
Internasionalisasi
Sistem harus dapat mendukung berbagai bahasa, skema akuntansi dan
biaya yang beragam

Kemudahan penggunaan.
Antarmuka harus dirancang dengan memperhatikan kebutuhan informasi

dalam menyelesaikan tugas

Arsitektur
Memperhatikan model arsitektur yang tepat dan sesuai dengan layanan

yang akan diberikan system.

Skalabilitas
Mendukung volum transaksi dalam jumlah besar dengan waktu tanggap

yang konstan
Keamanan
Mendukung diterapkannya mekanisme keamanan dari berbagai tingkat

akses yang berbeda

Antarmuka
Kemudahan sistem untuk berhubungan dengan sistem lain atau untuk

bertukar data.
Kebebasan sistem operasi
Memungkinkan dijalankan diberbagai flatform
Database independence
Adanya tingkat kebebasan terhadap database yang akan digunakan
Bahasa pemrograman
Mengadopsi beberapa jenis bahasa pemrograman sehingga mudah dalam
melakukan kostumisasi.

c. Dukungan
Dukungan akan membantu memperpendek waktu implementasi
Infrastruktur
Tersedianya forum komunikasi untuk publik sebagai tempat bertukar

pengalaman dan berdiskusi

Pelatihan
Menyediakan program pelatihan baik secara teknis maupun konseptual

bagi konsumen
Dokumentasi
Perlunya dokumentasi yang lengkap dan terbaru yang sangat diperlukan

pengguna dan pengembang sistem

d. Kontinuitas
Adanya pertanggung jawaban terhadap anggaran yang dikeluarkan
Memperhatikan risiko yang mungkin ada pada proses pengembangan dan
implementasi dilakukan

Perlunya

dukungan

dari

vendor

pengembang

atau

penyedia

jasa

pengembangan sistem, yang meliputi:

a. Struktur proyek
b. Aktivitas komunitas
c. Transparansi
d. Frekuensi update
e. Kematangan
Status pengembangan
Perlunya pemilihan paket yang sudah stabil atau tidak memilih paket yang

masih dalam tahap test (alpha & beta)

Situs referensi
Mendiskusikan isu implementasi dan operasional dengan konsumen yang

sudah mengetahui dan menerapkan sistem

Perlunya situs referensi yang bisa digunakan sebagai referensi bagi
pengguna dalam mendapatkan kasus-kasus bisnis yang relevan dengan
kebutuhan.

2. Pengauditan ERP
Sistem ERP sumber

daya

perusahaan

memungkinkan

organisasi

untuk

mengotomatisasi organisasi arus informasi. ERP harus efektif, ia harus memiliki

kontrol yang diperlukan dan diterapkan untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Beberapa daerah bisnis umum yang didukung ERP termasuk
pasokan, pemasaran dan penjualan, akuntansi dan keuangan, dan sumber daya
manusia. Masing-masing bidang ini adalah fungsional berbeda, tetapi dapat
mempengaruhi satu sama lain. Terutama kasus dimana pemasaran dan penjualan
memiliki pengaruh atas rantai pasokan dan dampak Akuntansi dan keuangan. Sistem
ERP memungkinkan suatu organisasi untuk mengelola berbagai bidang elemen data
suatu usaha untuk mencapai konsistensi dan efisiensi dalam proses. Setiap aspek
sistem ERP ini dilaksanakan untuk menambah dan meningkatkan kompleksitas
keseluruhan yang berpotensi kelemahan. Kustomisasi yang memperluas aplikasi asli
harus diteliti untuk mereka sesuai dengan persyaratan keamanan.

Melakukan audit sistem yang kompleks dapat tampak seperti tugas yang menakutkan.
Cara terbaik pendekatan masalah adalah untuk memecah itu ke dalam potongan lebih
kecil, potongan yang dikelola mendukung tujuan audit secara keseluruhan. Salah satu
cara untuk merumuskan audit strategi adalah untuk mempertimbangkan aspek-aspek
dari sistem evaluasi. Idealnya, keamanan audit berfokus pada langkah-langkah
penanggulangan keamanan untuk melindungi sistem. Penanggulangan keamanan dapat
dikategorikan menggunakan kerangka kerja seperti model informasi jaminan (IA). IA
Model penanggulangan mengidentifikasi tiga keamanan biasanya diterapkan untuk
melindungi informasi sistem.
Penanggulangan tersebut meliputi:
a. People
Ini adalah keseluruhan individu siapa yang bertanggung jawab untuk
menggunakan, operasi, pemeliharaan dan perlindungan sistem, dan pelatihan.
Pengguna biasa serta administrator dan staf yang pendukung aspek integral
keamanan sistem. People juga mencakup aspek manajerial informasi dan sistem.
b. Operations
ini mencakup semua kebijakan, standar dan prosedur yang diimplementasikan
untuk melindungi sistem dan informasi di dalamnya. Standar dapat digunakan
untuk menentukan pengaturan, konfigurasi atau tindakan yang mengaktifkan
konsistensi di seluruh sistem. Rincian prosedur yang didokumentasikan membantu
orang-orang yang melakukan tindakan mengenai penggunaan sistem dan
manajemen.
c. Technology
Ini meliputi hardware dan perangkat lunak dari sistem. Item yang melindungi
sistem mencakup sistem operasi, database, aplikasi, firewall, router dan switch.
Beberapa hal yang menjadi bahan pertimbangan audit:
a. People

Interaksi antara pengguna dan sistem bisa menyebabkan dampak keamanan

sistem ERP. Auditor mungkin ingin untuk mempertimbangkan bagaimana
interaksi ini mempengaruhi keamanan informasi dan sistem.
b. Functionality Requirements
Sistem ERP digunakan untuk mengotomatisasi proses manual dan memberikan
standardisasi proses dan data. Alur kerja dalam sebuah organisasi harus
didokumentasikan. Demikian juga, aspek-aspek dari sistem ERP yang
mendukung alur kerja ini perlu diidentifikasi juga. Jika sistem tidak
sepenuhnya mendukung Workflow, maka auditor perlu menentukan apakah
fungsi persyaratan belum dipenuhi. Sistem ERP yang tidak memenuhi fungsi
persyaratan akan dapat menyebabkan pengendalian internal yang lemah.
c. Operations
Kebijakan dan praktek-praktek yang berkaitan dengan elemen penting sistem
ERP dari pemerintahan. Selain itu, kurangnya aspek operasional sistem ERP
dapat menimbulkan pertanyaan mengenai efektivitas atau adanya jaminan
informasi kontrol mengklaim untuk diimplementasikan. Tinjauan auditor
terhadap aspek operasional dari sebuah ERP sistem dapat mengidentifikasi
kekurangan signifikan keamanan yang tidak dipertimbangkan sebelumnya.
d. Documentation
Sebuah sistem dengan kurangnya dokumentasi sulit untuk menilai.
Dokumentasi untuk menjalani sistem perubahan yang cepat ini cenderung
menjadi usang dengan cepat. Dokumentasi yang rinci, akurat dan indikator
sistem yang lengkap dikelola dengan baik.
Ulasan dokumentasi harus mempertimbangkan apakah mengandung cukup:
Depth
Dokumentasi harus memberikan kedalaman yang cukup detail sehingga
unsur-unsur implementasi ERP sistem dapat digandakan atau dievaluasi
oleh mereka yang tidak akrab dengan sistem. Menggunakan sistem
terbuka interkoneksi Model (OSI) sebagai dasar untuk evaluasi,
misalnya, Audit dapat dilakukan setiap jumlah lapisan OSI seperti

aplikasi, sistem operasi dan jaringan perangkat. Auditor perlu

memahami kedalaman kontrol yang dilaksanakan untuk menentukan
apakah ERP memiliki cukup kontrol untuk mencegah dan/atau

mendeteksi keamanan pelanggaran

Breadth
Untuk setiap topik yang diberikan dalam dokumentasi itu harus jelas
sejauh kontrol atau aspek sistem diimplementasikan. Batas untuk suatu
elemen sistem harus jelas dalam dokumentasi. Sebagai contoh, sistem
dapat terkandung dalam satu bangunan atau rentang dunia. Mengetahui
tingkat sistem elemen penting ketika merancang suatu pendekatan

untuk melakukan audit sistem.

e. Security Requirements
Undang-undang, peraturan, kebijakan

dan

standar

membentuk

dasar

persyaratan keamanan sistem. Aplikasi ERP harus mendukung persyaratan

keamanan yang ada. Auditor harus menentukan apakah sistem cukup
mendukung semua keamanan persyaratan. Ketidak mampuan sistem ERP untuk
mendukung persyaratan tertentu harus menetral dengan setidaknya salah satu
langkah berikut:
Compensating controls
Kontrol lain harus berada di tempat untuk mencegah atau mendeteksi

penyalahgunaan sistem.
Acceptance of risk
Dalam beberapa kasus, mungkin terlalu mahal atau tidak praktis untuk
sepenuhnya memenuhi persyaratan keamanan. Manajemen dapat
memilih untuk menerima risiko ketika keamanan persyaratan sulit atau
mustahil.

f. Change Management
Organisasi yang menyesuaikan sistem ERP perlu menjaga proses manajemen
perubahan

efektif.

Perubahan

yang

tidak

benar

dikontrol

dapat

memperkenalkan kelemahan ke postur keamanan sistem ERP. Mungkin juga

bahwa aplikasi akan memerlukan pembaruan berkala terhadap modul yang

digunakan. Konsekuensi dari perubahan manajemen dapat memperkenalkan
kelemahan baru ketika mereka tidak benar dikontrol atau mengizinkan
kelemahan dikenal untuk bertahan ketika mereka tidak diimplementasikan
secara tepat waktu. Auditor dapat melihat ke dalam perubahan terbaru untuk
menentukan apakah mereka adalah:
Authorized
Perubahan yang disepakati sebelum penyebaran dan diizinkan oleh

manajemen.
Controlled
Proses mengubah aspek sistem didokumentasikan dan diikuti dan

memberikan pemisahan tugas.

Validated
Tindak lanjut berkenaan dengan perubahan ini dilakukan oleh orangorang yang tidak bertanggung jawab untuk mengimplementasikan
perubahan. Validasi perubahan menyediakan jaminan bahwa hanya
ditargetkan perubahan pada aspek yang terpengaruh, sementara bagianbagian lain dari sistem tidak diubah.

g. Configurations
Sistem ERP mungkin berisi ribuan individu item konfigurasi. Item ini
mempengaruhi alur kerja dan penanganan informasi melalui sistem.
Misconfigurations

dapat

mempengaruhi

kerahasiaan,

integritas

atau

ketersediaan informasi. Bagian-bagian penunjang lain sistem, termasuk sistem

operasi, Jaringan perangkat dan database, juga memerlukan konfigurasi yang
eksplisit untuk mendukung keamanan dalam sistem ERP. Konfigurasi harus
didokumentasikan dan divalidasi secara berkala. Auditor dapat menilai ERP
konfigurasi dengan pencocokan konfigurasi Dokumentasi dengan pengaturan
yang sebenarnya dalam sistem. Kurangnya dokumentasi untuk pengaturan yang
lain dalam sudut pandang auditor harus mempertimbangkan.

h. Technology
Sistem ERP seringkali sangat kompleks dan dapat berisi komponen dari
beberapa vendor. Selain itu, sebuah ERP sistem sering bergantung pada sistem
operasi komoditi dan database yang meningkatkan keseluruhan kompleksitas.
Sejauh teknologi komponen mengintegrasikan atau bekerja erat bersama-sama
dapat mempengaruhi keamanan secara keseluruhan dari sistem ERP.
i. Access Control
Mekanisme yang memungkinkan atau menolak akses sesuai kebijakan adalah
inti komponen keamanan. Mekanisme kontrol akses harus mendukung
kebijakan keamanan untuk ERP sistem. Sering kali, akses mekanisme dari
berbeda vendor tidak mengintegrasikan dengan mudah. Kontrol akses
mekanisme untuk sistem operasi, database dan aplikasi ERP tidak dapat
terintegrasikan dengan baik. Kebutuhan auditor meninjau pelaksanaan setiap
mekanisme kontrol akses untuk menentukan apakah ada kelemahan. Hal itu
mungkin untuk pengguna mem-bypass kontrol dalam aplikasi ERP baik
melalui database atau sistem operasi jika ada ketidakcocokan dalam akses
kontrol implementasi dalam kedua kasus.
j. Audit Logs
Mendeteksi penyalahgunaan ERP adalah aktivitas penting manajemen
keamanan. Penyalahgunaan terdeteksi melalui analisis log audit. Auditor harus
meninjau audit pengaturan dan implementasi untuk menilai jika memiliki
kemampuan log audit atau kemampuan untuk menangkap peristiwa yang dapat
dianalisis untuk mendeteksi penyalahgunaan ERP. Korelasi kegiatan audit
dalam sistem ERP dengan peristiwa-peristiwa audit eksternal melalui sistem
operasi atau peralatan jaringan juga harus diteliti untuk menentukan jika rincian

yang cukup dikumpulkan untuk mendeteksi penyalahgunaan dan dukungan

pengguna akuntabilitas.

k. Automated Workflows
Kemampuan sistem ERP untuk mengotomatisasi proses manual adalah tujuan
inti dari sistem. Ketika alur kerja yang otomatis melalui ERP, ada kemungkinan
bahwa proses tertentu mungkin menjadi Orphan. Proses Orphan dapat serius
mempengaruhi kemampuan sistem ERP dalam menyediakan informasi tepat
waktu atau akurat. Auditor harus meninjau proses otomatis untuk memastikan
bahwa semua alur kerja dimaksudkan untuk otomatis benar-benar dilaksanakan
atau memiliki cukup dokumentasi menunjukkan tambahan proses manual. Di
sisi ekstrem lain, otomatis proses dapat memperkenalkan kelemahan yang
mempengaruhi kontrol lain seperti pemisahan tugas. Selanjutnya, tanpa proses
cukup Check and Balance dapat memungkinkan pengguna untuk melakukan
penipuan. Audit Workflow ERP harus mencakup penentuan Apakah proses
otomatis melanggar pemisahan tugas atau memperkenalkan kemampuan
pekerja untuk melakukan penipuan, yang berarti sistem tidak menegakkan
pemisahan tugas.
l. Identities
Pengguna ERP memiliki identitas yang melekat dari aplikasi atau yang berasal
dari operasi dasar sistem. Identitas ditambah dengan authenticators harus benar
ditangani oleh sistem:
Inherent
Menyediakan pengguna dengan account lain memerlukan pengawasan
yang sesuai ketika saatnya untuk deprovision pengguna. Selain itu, akan
diperlukan untuk menentukan apakah mendukung mekanisme identitas

diperlukan atribut otentikasi keamanan, seperti sandi seumur hidup,

kompleksitas, panjang dan enkripsi.

Integrated
Sistem ERP yang mengintegrasikan dengan host sistem operasi untuk
identitas pengguna dan kontrol akses membantu mengurangi overhead
manajerial. Namun, mengintegrasikan identitas harus ditangani dengan
hati-hati sebagai pemisahan tugas atau hak .

m. Summary
Implementasi ERP bisa menjadi sangat kompleks dan Investasi IT kritis.
Besarnya kompleksitas sistem dapat ditangani oleh auditor, keamanan
operasional dan teknis penanggulangan. Dengan cara ini, auditor dapat
mengurangi kompleksitas ke tugas-tugas yang diatur untuk mencapai tujuan
audit.