COBIT DAN ERP

Tugas Mata Kuliah

AUDITING EDP

Oleh:
Putri Agustin 150810301012
Shita Silvia S 150810301027
Septiyan Dwi Rahayu 150810301029
Rafi Deviana 150810301045

Program Studi S1 Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2017
 BAB I

PENDAHULUAN

A. Penjelasan Judul
B. Latar Belakang
 BAB II
PEMBAHASAN
(putrii)
I. COBIT FRAMEWORK

Misi adanya Cobit yaitu untuk meneliti, mengembangkan, mempublikasikan dan

mempromosikan otoritatif, up-to-date, kerangka IT pengendalian tata kelola yang
diterima secara internasional untuk diadopsi oleh perusahaan dan penggunaan sehari-
hari oleh perusahaan.

Kerangka kontrol untuk tata kelola TI mendefinisikan alasan mengapa tata kelola TI
dibutuhkan, siapa yang membutuhkan dan apa kegunaannya.

a. Mengapa

Semakin banyak, manajemen puncak menyadari dampak signifikan yang dapat dimiliki
informasi mengenai keberhasilan perusahaan. Manajemen mengharapkan pemahaman
yang tinggi tentang cara TI dioperasikan dan kemungkinan memanfaatkannya dengan
baik untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu mengetahui
apakah informasi dikelola oleh perusahaan sehingga:

 Kemungkinan untuk mencapai tujuannya

 Cukup langgeng untuk belajar dan beradaptasi
 Dengan bijaksana mengelola risiko yang dihadapinya
 Dengan tepat mengenali peluang dan bertindak atas mereka

Praktik bagus TI menjadi penting karena sejumlah faktor:

 Manajer bisnis dan dewan menuntut pengembalian investasi TI yang lebih baik,
yaitu, TI memberikan apa yang dibutuhkan bisnis untuk meningkatkan nilai
stakeholder.
 Perhatian pada tingkat pengeluaran TI yang meningkat secara umum
 Kebutuhan untuk memenuhi persyaratan peraturan untuk pengendalian TI di bidang-
bidang seperti pelaporan privasi dan keuangan (misalnya, Sarbanes-Oxley Act,
Basel II) dan sektor-sektor spesifik seperti keuangan, farmasi dan perawatan
kesehatan
 Pemilihan penyedia layanan dan pengelolaan jasa outsourcing dan akuisisi
 Risiko TI yang semakin kompleks, seperti keamanan jaringan
 Prakarsa tata kelola TI yang mencakup penerapan kerangka kerja pengendalian dan
praktik yang baik untuk membantu memantau dan memperbaiki aktivitas TI yang
penting untuk meningkatkan nilai bisnis dan mengurangi risiko bisnis.
 Kebutuhan untuk mengoptimalkan biaya dengan mengikuti, jika mungkin, standar,
dan bukan pendekatan yang dikembangkan secara khusus
 Kematangan yang tumbuh dan penerimaan konsekuen kerangka kerja yang
dianggap baik, seperti COBIT, IT Infrastructure Library (ITIL), seri ISO 27000 tentang
standar keamanan informasi, Sistem Manajemen Mutu ISO 9001: 2000, CMMI),
Proyek di lingkungan terkendali 2 (PRINCE2) dan Panduan untuk Badan
Pengetahuan Manajemen Proyek (PMBOK)
Kebutuhan perusahaan untuk menilai kinerjanya terhadap standar yang berlaku
umum dan rekan-rekan mereka (benchmarking)
b. Siapa

Kerangka tata kelola dan pengendalian perlu melayani berbagai pemangku kepentingan
internal dan eksternal, yang masing-masing memiliki kebutuhan khusus:

 Pemangku kepentingan dalam perusahaan yang berminat menghasilkan nilai dari

investasi TI.
 Pemangku kepentingan internal dan eksternal yang menyediakan layanan TI
Pemangku kepentingan internal dan eksternal yang memiliki tanggung jawab kontrol
/ tanggung jawab
c. Apa

Untuk memenuhi persyaratan yang tercantum di bagian sebelumnya, kerangka kerja

untuk tata kelola dan pengendalian TI harus:

 Menyediakan fokus bisnis untuk memungkinkan keselarasan antara tujuan bisnis

dan TI
 Menetapkan orientasi proses untuk menentukan cakupan dan jangkauan cakupan,
dengan struktur yang ditentukan yang memungkinkan navigasi konten yang mudah
 Secara umum dapat diterima dengan bersikap konsisten dengan praktik dan standar
IT yang baik dan independen dari teknologi tertentu
 Menyediakan bahasa yang sama dengan seperangkat istilah dan definisi yang
umumnya dapat dimengerti oleh semua pemangku kepentingan
Membantu memenuhi persyaratan peraturan dengan konsisten dengan standar tata
kelola perusahaan yang berlaku umum (misal COSO) dan kontrol TI yang diharapkan
oleh regulator dan auditor eksternal

A. CARA COBIT MEMENUHI KEBUTUHAN

a) BISNIS YANG BERFOKUS

orientasi bisnis adalah tema utama COBIT. Hal ini dirancang tidak hanya untuk
dipekerjakan oleh penyedia layanan TI, pengguna dan auditor, tetapi juga yang lebih
penting untuk memberikan bimbingan yang komprehensif untuk manajemen dan proses
bisnis pemilik. Untuk memberikan informasi bahwa perusahaan membutuhkan untuk
mencapai tujuannya, perusahaan perlu untuk berinvestasi dalam mengelola dan
mengendalikan sumber daya TI menggunakan satu set terstruktur proses untuk
memberikan layanan yang memberikan informasi perusahaan yang diperlukan.
Mengelola dan mengendalikan informasi adalah jantung dari COBIT dan membantu
memastikan keselarasan dengan kebutuhan bisnis.

 Kriteria Informasi Cobit

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria kontrol tertentu,
yang COBIT mengacu sebagai persyaratan bisnis untuk mendapatkan informasi.
Berdasarkan persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh kriteria
informasi yang berbeda, pasti tumpang tindih, didefinisikan sebagai berikut:

• Efektivitas penawaran dengan informasi yang relevan dan berkaitan dengan proses
bisnis serta yang disampaikan pada waktu yang tepat, benar, konsisten dan dapat
digunakan.
• Efisiensi menyangkut penyediaan informasi melalui optimal (paling produktif dan
ekonomis) penggunaan sumber daya.
• kerahasiaan menyangkut perlindungan informasi sensitif dari pengungkapan yang
tidak sah.
• Integritas berkaitan dengan akurasi dan kelengkapan informasi serta validitasnya
sesuai dengan nilai-nilai bisnis dan harapan.
• Tersedianya berkaitan dengan informasi yang tersedia ketika dibutuhkan oleh
proses bisnis sekarang dan di masa depan. Hal ini juga menyangkut pengamanan
sumber daya yang diperlukan dan kemampuan yang terkait.
• Pemenuhan penawaran dengan mematuhi undang-undang, peraturan dan
pengaturan kontrak yang proses bisnis tunduk, yaitu, dikenakan eksternal
kriteria bisnis serta kebijakan internal.
• Keandalan berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk
mengoperasikan entitas dan latihan fidusia dan pemerintahan tanggung jawabnya.
 Tujuan Bisnis Dan Tujuan It

Setiap perusahaan menggunakan TI untuk memungkinkan inisiatif bisnis, dan ini dapat
diwakili sebagai sasaran bisnis untuk TI. Jika TI berhasil memberikan layanan untuk
mendukung strategi perusahaan, harus ada kepemilikan dan arahan yang jelas
mengenai persyaratan oleh bisnis (pelanggan) dan pemahaman yang jelas tentang apa
yang perlu disampaikan, dan bagaimana, oleh IT (penyedia layanan ). Gambar 6
mengilustrasikan bagaimana strategi perusahaan harus diterjemahkan oleh bisnis ke
dalam tujuan yang terkait dengan inisiatif yang didukung TI (tujuan bisnis TI). Tujuan ini
harus mengarah pada definisi yang jelas tentang tujuan TI sendiri (sasaran TI), yang
pada gilirannya menentukan sumber daya dan kemampuan TI (arsitektur enterprise
untuk TI) yang dibutuhkan untuk berhasil melaksanakan bagian TI dari strategi
perusahaan. Begitu tujuan yang telah ditetapkan telah ditetapkan, mereka perlu dipantau
untuk memastikan bahwa pengiriman sebenarnya sesuai dengan harapan. Hal ini
dicapai dengan metrik yang berasal dari sasaran dan ditangkap dalam kartu skor TI.

 Sumber It

Sumber daya TI diidentifikasi di COBIT dapat didefinisikan sebagai berikut:

 • Aplikasi adalah sistem pengguna otomatis dan manual prosedur yang
memproses informasi.
• Informasi adalah data, dalam segala bentuknya, input, diproses dan output
oleh sistem informasi dalam bentuk apapun yang digunakan oleh bisnis.
• Infrastruktur adalah teknologi dan fasilitas (yaitu, hardware, sistem operasi,
sistem manajemen database, jaringan, multimedia, dan lingkungan yang
rumah dan mendukung mereka) yang memungkinkan pengolahan aplikasi.
• Orang-orang adalah personil yang dibutuhkan untuk merencanakan,
mengatur, memperoleh, melaksanakan, menyampaikan, dukungan,
memantau dan mengevaluasi sistem informasi dan layanan. Mereka mungkin
internal, outsourcing atau kontrak seperti yang diperlukan.
b) BERORIENTASI PROSES
Untuk mengatur TI secara efektif, penting untuk menghargai kegiatan dan risiko di dalam
TI yang perlu dikelola. Mereka biasanya diperintahkan ke dalam tanggung jawab domain
rencana, membangun, menjalankan dan memantau. Dalam kerangka COBIT, domain
ini, seperti yang ditunjukkan pada gambar 8, disebut:

 Merencanakan dan Mengatur (PO) -Memberikan arahan untuk pengiriman

solusi (AI) dan pemberian layanan (DS)
 Memperoleh dan Melaksanakan (AI) - Memberikan solusi dan
menyerahkannya untuk diubah menjadi layanan
  Memberikan dan dukungan (DS) — menerima solusi dan membuat mereka
dapat dipakai bagi pengguna akhir
 Memantau dan mengevaluasi (ME) memonitor semua proses untuk
memastikan bahwa arah disediakan diikuti

MERENCANAKAN DAN MENGATUR (PO)

Domain ini mencakup strategi dan taktik, dan berkenaan identifikasi dengan cara yang
terbaik dapat berkontribusi terhadap pencapaian tujuan bisnis. Realisasi visi strategis
perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda.
Organisasi yang tepat serta infrastruktur teknologi harus menempatkan di tempat.

MEMPEROLEH DAN MENERAPKAN (AI)

Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau

diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain
itu, perubahan dan pemeliharaan sistem yang ada ditutupi oleh domain ini untuk
memastikan solusi terus memenuhi tujuan bisnis.

MEMBERIKAN DAN DUKUNGAN (DS)

Domain ini berkaitan dengan pengiriman aktual dari layanan yang dibutuhkan, yang
meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan untuk
pengguna, dan pengelolaan data dan fasilitas operasional.

MONITOR DAN EVALUASI (ME)

Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan
kepatuhan mereka dengan persyaratan kontrol. domain ini membahas manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata
kelola.

c) BERBASIS KONTROL

PROSES MEMBUTUHKAN KONTROL

Kontrol didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi

yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan
tercapai dan peristiwa-peristiwa yang tidak diinginkan akan dicegah atau dideteksi
dan dikoreksi.
Tujuan pengendalian TI menyediakan satu set lengkap persyaratan tingkat tinggi yang
harus dipertimbangkan oleh manajemen untuk pengendalian efektif setiap proses TI.
Mereka:

 Apakah pernyataan tindakan manajerial meningkatkan nilai atau mengurangi

risiko
 Terdiri dari kebijakan, prosedur, praktik dan struktur organisasi
 Dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis akan
tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan
diperbaiki.

(Shitaa)

COBIT menyediakan model proses generik yang mewakili semua proses, biasanya
ditemukan dalam fungsi IT. Untuk mencapai pemerintahan yang efektif, kontrol harus
dilaksanakan oleh manajer operasional dalam kerangka kontrol ditetapkan untuk
semua proses IT.

Tujuan Proses PC1 dan Tujuan

Mendefinisikan dan berkomunikasi spesifik, terukur, dapat ditindaklanjuti, realistis,

berorientasi pada hasil yang tepat waktu tujuan (SMARRT) proses dan tujuan untuk
pelaksanaan yang efektif dari setiap proses TI dan memastikan bahwa mereka terkait
dengan tujuan bisnis dan didukung oleh metrik yang sesuai.

Kepemilikan Proses PC2

Menetapkan pemilik untuk setiap proses IT, dan mendefinisikan peran dan tanggung
jawab dari pemilik proses.

Proses PC3 Repeatability

Desain dan pembangunan setiap proses IT utama selalu berulang dan konsisten
menghasilkan hasil yang diharapkan.

Peran dan Tanggung Jawab PC4

Menetapkan dan mengkomunikasikan peran dan tanggung jawab untuk pelaksanaan

yang efektif dan efisien dari kegiatan utama dan dokumentasi mereka serta
akuntabilitas untuk kiriman proses akhir.

PC5 Kebijakan, Rencana dan Prosedur

Mendefinisikan dan mengkomunikasikan bagaimana semua kebijakan, rencana dan
prosedur yang mendorong proses IT didokumentasikan, dapat diulas, dipelihara,
disetujui, disimpan, dikomunikasikan dan digunakan untuk pelatihan. Menetapkan
tanggung jawab untuk setiap kegiatan dan, pada waktu yang tepat, meninjau apakah
mereka dieksekusi dengan benar. Memastikan bahwa kebijakan, rencana dan
prosedur dapat diakses, benar, dipahami dan up to date.

PC6 Peningkatan Kinerja Proses

Mengidentifikasi satu set metrik yang memberikan wawasan ke dalam hasil dan
kinerja proses. Menetapkan target yang mencerminkan pada tujuan proses dan
indikator kinerja yang memungkinkan pencapaian tujuan proses. Mendefinisikan
bagaimana data yang akan diperoleh. membandingkan pengukuran sebenarnya
untuk target ke depan dan mengambil tindakan atas penyimpangan, yang diperlukan.

Selain itu, COBIT memberikan contoh untuk setiap proses yang ilustratif, tapi tidak
preskriptif atau lengkap, dari:

 input dan output generik

 Kegiatan dan bimbingan pada peran dan tanggung jawab dalam, Akuntabel,
Dikonsultasikan dan Informed (RACI) grafik Bertanggung Jawab
 kegiatan utama tujuan (hal yang paling penting untuk dilakukan)
 metrik

BISNIS DAN IT KONTROL

Sistem perusahaan kontrol internal memiliki tiga tingkatan dampak pada TI:

 Pada tingkat manajemen eksekutif, menetapkan tujuan bisnis , menetapkan

kebijakan dan keputusan dibuat tentang bagaimana untuk menyebarkan dan
mengelola sumber daya perusahaan untuk menjalankan strategi perusahaan.
 Pada tingkat proses bisnis, kontrol diterapkan untuk kegiatan bisnis tertentu.
Kebanyakan proses bisnis yang otomatis dan terintegrasi dengan sistem aplikasi
IT, sehingga banyak dari kontrol pada tingkat ini yang otomatis juga. Kontrol ini
dikenal sebagai kontrol aplikasi. Namun, beberapa kontrol dalam proses bisnis
tetap sebagai prosedur manual, seperti otorisasi untuk transaksi, pemisahan tugas
dan rekonsiliasi manual.
 Untuk mendukung proses bisnis, TI menyediakan layanan TI, biasanya dalam
layanan bersama untuk banyak proses bisnis, karena banyak pembangunan dan
 operasional proses IT yang disediakan untuk seluruh perusahaan, dan banyak
dari infrastruktur TI disediakan sebagai layanan umum ( misalnya, jaringan,
database, sistem operasi dan penyimpanan). Yang diterapkan untuk semua
kegiatan layanan TI kontrol dikenal sebagai IT kontrol umum. Keandalan operasi
ini kontrol umum diperlukan untuk ketergantungan ditempatkan di kontrol aplikasi.

IT KONTROL UMUM DAN KONTROL APLIKASI

kontrol umum adalah kontrol tertanam dalam proses TI dan layanan. Contoh
termasuk:

 pengembangan sistem
 perubahan manajemen
 Keamanan
 operasi komputer

Kontrol tertanam dalam aplikasi proses bisnis yang sering disebut sebagai kontrol
aplikasi. Contoh termasuk:

 Kelengkapan
 Ketepatan
 Keabsahan
 Otorisasi
 Pemisahan tugas

AC1 Sumber Persiapan Data dan Otorisasi

Memastikan bahwa sumber dokumen yang disiapkan oleh petugas yang berwenang
dan berkualitas mengikuti prosedur yang ditetapkan, dengan memperhitungkan
pembagian tugas yang memadai mengenai originasi dan persetujuan dokumen-
dokumen ini.

Pengumpulan Data AC2 Sumber dan Masuk

Menetapkan bahwa input data dilakukan pada waktu yang tepat oleh staf yang
berwenang dan berkualitas. Koreksi dan resubmission data yang keliru masukan
harus dilakukan tanpa mengorbankan tingkat otorisasi transaksi asli. Apabila
diperlukan untuk rekonstruksi, mempertahankan dokumen sumber asli untuk jumlah
waktu yang tepat.

AC3 Akurasi, Kelengkapan dan Keaslian Cek

Memastikan bahwa transaksi yang akurat, lengkap dan valid. Memvalidasi data
masukan, dan mengedit atau mengirim kembali untuk koreksi sebagai dekat dengan
titik originasi.

AC4 Pengolahan Integritas dan Validitas

Menjaga integritas dan validitas data sepanjang siklus pengolahan. Deteksi transaksi
yang keliru tidak mengganggu proses transaksi yang sah.

AC5 Keluaran Ulasan, Rekonsiliasi dan Penanganan Kesalahan

Menetapkan prosedur dan tanggung jawab untuk memastikan output yang ditangani
dengan pejabar yang berwenang, dikirim ke penerima yang tepat, dan dilindungi
selama transmisi; verifikasi, deteksi dan koreksi akurasi output terjadi; dan bahwa
informasi yang diberikan dalam output digunakan.

AC6 Transaksi Otentikasi dan Integritas

Sebelum melewati data transaksi antara aplikasi internal dan bisnis / fungsi
operasional (di luar perusahaan), memeriksa agar tepat menangani, keaslian asal dan
integritas konten. Menjaga keaslian dan integritas selama transmisi atau transportasi.

d) PENGUKURAN-DRIVEN

Sebuah kebutuhan dasar bagi setiap perusahaan adalah untuk memahami status
sistem TI sendiri dan untuk memutuskan apa tingkat manajemen dan pengendalikan
perusahaan yang harus disediakan.

MODEL KEMATANGAN

manajer senior di perusahaan perusahaan dan masyarakat semakin diminta untuk

mempertimbangkan seberapa baik IT dikelola. Menanggapi ini, kasus bisnis
membutuhkan pengembangan untuk perbaikan dan mencapai tingkat yang tepat dari
manajemen dan kontrol atas infrastruktur informasi.

Tingkat kematangan dirancang sebagai profil dari proses TI bahwa perusahaan akan
mengakui sebagai deskripsi dari kemungkinan negara saat ini dan masa depan.

Menggunakan model jatuh tempo dikembangkan untuk masing-masing COBIT34

proses TI manajemen dapat mengidentifikasi:

 Kinerja aktual perusahaan-Dimana perusahaan hari ini

 Status saat ini industri-Perbandingan
 Target perusahaan itu untuk perbaikan- bagaimana perusahaan kedepannya
 jalur pertumbuhan yang diperlukan antara 'apa adanya' dan 'to-be'

Keuntungan dari pendekatan model jatuh tempo adalah hal mudah bagi manajemen
untuk menempatkan diri pada skala dan menghargai apa yang terlibat jika
ditingkatkan kinerja yang diperlukan.

(Rafiii)

COBIT Umum Akseptabilitas

COBIT didasarkan pada analisis dan harmonisasi standar TI yang ada dan praktek
yang baik dan sesuai dengan yang berlaku umum prinsip-prinsip tata kelola. Hal ini
didorong oleh kebutuhan bisnis, meliputi berbagai kegiatan TI, dan berkonsentrasi
pada apa yang harus dicapai bukan bagaimana untuk mencapai pemerintahan yang
efektif, manajemen dan kontrol. Oleh karena itu, bertindak sebagai integrator dari
praktik tata kelola TI dan menarik bagi manajemen eksekutif; bisnis dan manajemen
TI; pemerintahan, jaminan dan keamanan profesional; dan IT mengaudit dan kontrol
profesional. Hal ini dirancang untuk menjadi pelengkap, dan digunakan bersama-
sama dengan, standar lain dan praktik yang baik.

Untuk mencapai keselarasan dari praktik yang baik untuk kebutuhan bisnis,
disarankan bahwa COBIT digunakan pada tingkat tertinggi, menyediakan kerangka
kerja pengendalian secara keseluruhan berdasarkan model proses TI yang
seharusnya umum jas setiap perusahaan. praktik tertentu dan standar yang meliputi
daerah diskrit dapat dipetakan sampai ke COBIT kerangka, sehingga memberikan
hirarki bahan bimbingan.

COBIT menarik bagi pengguna yang berbeda:

 Manajemen eksekutif-Untuk mendapatkan nilai dari investasi TI dan risiko

keseimbangan dan investasi kontrol dalam lingkungan TI sering tak terduga
 Manajemen bisnis-Untuk memperoleh keyakinan pada manajemen dan
pengendalian layanan TI yang disediakan oleh pihak internal atau ketiga
 manajemen TI-Untuk menyediakan layanan TI bahwa bisnis memerlukan untuk
mendukung strategi bisnis dengan cara yang terkontrol dan dikelola
 auditor-Untuk mendukung pendapat mereka dan / atau memberikan saran kepada
manajemen tentang pengendalian internal.

CARA MENGGUNAKAN BUKU

COBIT Kerangka Navigasi

Untuk masing-masing COBIT proses TI, deskripsi disediakan, bersama-sama dengan

tujuan utama dan metrik dalam bentuk air terjun (gambar 25).

Penjelasan :

Ikhtisar Core COBIT Komponen

COBIT kerangka diisi dengan komponen inti berikut :

 Bagian 1 (gambar 25) berisi deskripsi proses meringkas tujuan proses, dengan
proses deskripsi diwakili di air terjun. Halaman ini juga menunjukkan pemetaan
proses untuk kriteria informasi, sumber daya TI dan TI area fokus pemerintahan
dengan cara P untuk menunjukkan hubungan primer dan S untuk menunjukkan
sekunder.
 Bagian 2 berisi tujuan pengendalian untuk proses ini.
 Bagian 3 berisi input proses dan output, RACI chart, tujuan dan metrik.
 Bagian 4 berisi model jatuh tempo untuk proses tersebut.

Ikhtisar Core COBIT

bagian cobit :

1. Bagian 1 (gambar 25) berisi deskripsi proses meringkas tujuan proses, dengan
proses deskripsi diwakili di air terjun. Halaman ini juga menunjukkan pemetaan
proses untuk kriteria informasi, sumber daya TI dan TI area fokus pemerintahan
dengan cara P untuk menunjukkan hubungan primer dan S untuk menunjukkan
sekunder.
2. Bagian 2 berisi tujuan pengendalian untuk proses ini.
3. Bagian 3 berisi input proses dan output, RACI chart, tujuan dan metrik.
4. Bagian 4 berisi model jatuh tempo untuk proses tersebut.

Pengguna dari COBITKomponen

Pengguna COBIT diantaranya yaitu :

 ITIL untuk pengiriman layanan

 CMM untuk pengiriman solusi
 ISO 17799 untuk keamanan informasi
 PMBOK atau PRINCE2 untuk manajemen proyek
II. ERP (Enterprise Resource Planning System)
A. Apa itu ERP?

Sistem ERP adalah paket perangkat lunak modul ganda yang berkembang terutama dari
sistem perencanaan sumber daya manufaktur tradisional (MRP II). Tujuan ERP adalah
untuk mengintegrasikan proses kunci organisasi seperti masuk pesanan, pembuatan,
pengadaan dan hutang dagang, penggajian dan penelitian manusia. Dengan demikian,
satu sistem yang melayani setiap orang dapat melayani kebutuhan unik area fungsional.
Merancang satu sistem yang melayani setiap orang adalah usaha yang proporsional. Di
bawah model tradisional, setiap area fungsional atau departemen memiliki sistem
komputer sendiri yang dioptimalkan sesuai dengan fungsinya dalam bisnis sehari-hari.
ERP menggabungkan semua ini menjadi satu kesatuan, mengintegrasikan sistem yang
mengakses database tunggal untuk memudahkan berbagi informasi dan memperbaiki
komunikasi di seluruh organisasi. Sebagai ilustrasi, pertimbangkan model tradisional
untuk perusahaan manufaktur yang diilustrasikan pada gambar 11.1. perusahaan ini
menggunakan arsitektur database tertutup, yang serupa konsepnya dengan model file
flat dasar. Dengan pendekatan ini, sistem manajemen basis data sedikit lebih banyak
daripada sistem file pribadi namun kuat. Seperti halnya database terpisah dan
independen ada. Seperti halnya dengan arsitektur file flat. Ada tingkat redundansi data
yang tinggi dalam lingkungan database yang dekat.

Kurangnya komunikasi yang efektif antara sistem dalam model tradisional seringkali
merupakan konsekuensi dari sistem terfragmentasi yang cenderung dirancang sebagai
solusi untuk masalah operasional spesifik daripada sebagai bagian dari keseluruhan
strategi.

Sistem ERP mendukung arus informasi yang lancar dan lancar di seluruh organisasi
dengan menyediakan lingkungan standar untuk proses bisnis perusahaan dan database
operasional umum yang mendukung komunikasi.

a. Aplikasi Inti (core Application) dari ERP

Berdasarkan fungsinya, ERP dibagi menjadi 2 kelompok umum yaitu core applications
and business analysis applications. Core applications adalah aplikasi yang mendukung
oprasional aktivitas sehari-hari pada bisnis. Core application tidak terbatas pada
penjualan dan distribusi, perencanaan bisnis, perencanaan produksi, pengendalian
dasar perusahaan dan logistik. core application juga dapat disebut aplikasi Online
transaction processing(OLTP).

 Fungsi sales dan distribution menangani order entry dan delivery scheduling. Ini
termasuk memeriksa ketersediaan produk untuk memastikan pengiriman tepat
waktu dan memverifikasi batas kredit pelanggan. Berbeda dengan contoh
sebelumnya, pesanan pelanggan masuk dalam sistem ERP.
 Perencanaan bisnis terdiri dari perkiraan permintaan, perencanaan produksi produk,
dan detail arah informasi yang menjelaskan rangkaian dan tahapan dari proses yang
sedang berlangsung.
 pengendalian dasar peusahaan menyangkut jadwal produksi yang detail,
pengiriman, dan kegiatan penetapan biaya pekerja dihubungkan dengan proses
produksi aktual.
 aplikasi logistik bertanggung jawab untuk memastikan pengiriman tepat waktu
kepada pelanggan. Ini terdiri dari persediaan dan manajemen gudang, serta
pengiriman. Sebagian besar ERP juga mencakup kegiatan pengadaan mereka
dalam fungsi logistic

b. Pengolahan Analitik Online

ERP lebih dari sekadar sistem pemrosesan transaksi yang rumit. Ini adalah alat
pendukung keputusan yang memasok manajemen dengan informasi real-time dan
memungkinkan keputusan tepat waktu yang diperlukan untuk meningkatkan kinerja dan
mencapai keunggulan kompetitif. Pengolahan analisis online (OLAP) mencakup
dukungan keputusan, pemodelan, pencarian informasi, pelaporan / analisis ad hoc, dan
analisis bagaimana jika.

B. SISTEM ERP CONFIGURATIONS

a. Konfigurasi server

Model clientserver adalah bentuk topologi jaringan dimana komputer pengguna atau
terminal (klien) mengakses program ERP dan data via komputer host yang disebut
server. Dua arsitektur dasar adalah model two-tier dan model three-tier, seperti yang
dijelaskan pada bagian berikut.

 Model Dua Tier

Dalam model two-tier yang khas, server menangani aplikasi dan tugas database.
Komputer klien bertanggung jawab untuk menyajikan data kepada pengguna dan
memasukkan masukan pengguna kembali ke server. Beberapa vendor ERP
menggunakan pendekatan ini untuk aplikasi jaringan area lokal (LAN) yang
permintaan server terbatas pada populasi pengguna yang relatif kecil.
 Model Tiga Tier
Fungsi database dan aplikasi terpisah dalam three tier model. bentuk ini khusus
untuk sistem ERP yang luas dimana pengguan menggunakan wide area network
untuk berhubungan antar pengguna.
b. OLTP Versus OLAP Servers
Dengan menerapkan sistem ERP yang mencakup gudang data, diperlukan perbedaan
yang jelas antara jenis pemrosesan data yang bersaing: OLTP dan OLAP. OLTP terdiri
dari transaksi besar yang relatif sederhana, seperti memperbarui catatan akuntansi yang
tersimpan dalam beberapa tabel terkait. Misalnya Sistem pemasukan pesanan
mengambil semua data yang berkaitan dengan pelanggan tertentu untuk memproses
transaksi penjualan.

OLAP bisa dicirikan sebagai transaski online :

1. Akses data dalam jumlah besar (misalnya beberapa tahun penjualan).

2. Analisis hubungan antara banyak jenis bisnis seperti penjualan, produk, wilayah
geografis dan saluran pemasaran.
3. Libatkan data gabungan seperti volume penjualan, dollar yang dianggarkan dan
dollar yang dikeluarkan.
4. Membandingkan agregat-agregat selama periode waktu hirarki (misalnya bulanan,
kuartalan, tahunan) atau produk
5. Data yang ada dalam berbagai perspektif seperti penjualan menurut wilayah, dengan
saluran distrubusi
6. Melibatkan gejolak kompleks antar elemen data seperti keuntungan yang diharapkan
sebagai ion pendapatan penjualan di wilayah tertentu.
7. Menanggapi permintaan pengguna dengan cepat sehingga mereka dapat mengejar
proses pemikiran analitis tanpa terhalang oleh penundaan.

Perbedaan antara OLAP dan OLTP yaitu Aplikasi OLTP mendukung tugas mission-
critical melalui queary sederhana berbasis data operasional. Aplikasi OLAP mendukung
tugas krtitis manajemen melalui penyelidikan analitis terhadap asosiasi data kompleks
yang ditangkap di gudang data.

Server OLAP mendukung operasi analisis umum termasuk konsolidasi, drill down dan
slicing dan dicing.

 Konsolidasi adalah agregasi atau penggandaan data. Misalnya, data

penjualankantor bisa digulirkan ke wilayah dan wilayah digulirkan ke daerah.
 Drill down mengizinkan data terpilah untuk mengungkapkan rincian mendasar yang
menjelaskan fenomena tertentu. Misalnya, pengguna dapat menelusuri dari total
pengembalian penjualan selama periode untuk mengidentifikasi produk sebenarnya
yang kembali dan alasan pengembalian mereka.
 Slicing dan dicing memungkinkan pengguna untuk memeriksa data dari
sudutpandang yang berbeda. Satu bagian data mungkin menunjukkan penjualan di
masing-masing wilayah. Bagian lain mungkin menghadirkan penjualan produk
diseluruh wilayah. Slicing dan dicing sering dilakukan sepanjang sumbu waktu untuk
menggambarkan tren dan pola.
c. Konfigurasi Database

Konfigurasi Basis Data Sistem ERP terdiri dari ribuan tabel database Setiap tabel dikait
kan dengan proses bisnis yang dikodekan ke dalam ERP.

d. Bolt-On Software

Keputusan untuk menggunakan perangkat lunak bolt-on memerlukan pertimbangan

cermat. Sebagian besar vendor ERP terkemuka telah mengadakan perjanjian kemitraan
dengan vendor pihak ketiga yang menyediakan fungsionalitas khusus. Pendekatan yang
paling berisiko adalah memilih bolt-on yang didukung oleh vendor ERP.

Manajemen Rantai Persediaan

Perangkat lunak manajemen rantai pasokan (SCM) adalah rangkaian aktivitas yang
berhubungan dengan memindahkan barang dari bahan baku ke konsumen. SCM
menghubungkan semua mitra dalam rantai, termasuk vendor, operator, perusahaan
logistik pihak ketiga, dan penyedia sistem informasi.

C. DATA PERGUDANGAN

Sebuah gudang data adalah database relasional atau multidimensi yang dapat
mengkonsumsi ratusan gigabyte atau bahkan terabyte penyimpanan disk. Proses
pergudangan data melibatkan penggalian, pengkonversian, dan standarisasi data
operasional organisasi dari ERP dan sistem warisan dan memasukkannya ke dalam
arsip pusat - gudang data.

a. Pemodelan data untuk gudang data

Normalisasi data dalam database operasional diperlukan untuk secara efisien dan
akurat mencerminkan interaksi dinamis antar entitas. Atribut data terus diperbarui,
atribut baru ditambahkan, dan atribut usang akan dihapus.

Gudang terdiri dari data denormalized

Dalam model gudang data, hubungan antar atribut tidak berubah. Karena data historis
bersifat statistik, tidak ada yang diperoleh dengan membuat tabel normal dengan link
dinamis.

Mengekstrak data dari database operasional

Ekstraksi data adalah proses pengumpulan data dari database operasional, file flat,
arsip, dan sumber data eksternal. Perangkat lunak ekstraksi membandingkan database
operasional saat ini dengan citra data yang diambil pada transfer data terakhir ke
gudang.

Extracting Snapshots Versus Stabilized Data

Fitur utama dari data warehouse adalah data yang terkandung di dalamnya berada
dalam keadaan stabil dan tidak stabil. Biasanya, data transaksi dimasukkan ke gudang
hanya bila aktivitas pada mereka telah selesai.

b. Membersihkan Data Ekstrak

Pembersihan data melibatkan penyaringan atau memperbaiki data yang tidak valid
sebelum disimpan di gudang. Pembersihan data juga melibatkan transformasi data
menjadi istilah bisnis standar dengan nilai data standar

c. Transformasi Data Ke Model Gudang

Data warehouse terdiri dari data detail dan ringkasan. Untuk meningkatkan efisiensi,
data dapat diubah menjadi pandangan ringkasan sebelum dimuat ke gudang

d. Decision supported by the data werehouse

Pengmpretasian makna dari data

Kondisi bisnis kegunaan

Perbankan/ ivestasi Mendeteksi pola penggunaan kartu kredit

yang tidak benar.

Identifikasi pelanggan setia dan perkirakan

kemungkinan untuk mengubah afiliasi kartu
kredit mereka.
 Periksa data pasar historis untuk
menentukan aturan perdagangan saham
investor.

Memprediksi pengeluaran kartu kredit dari

kelompok pelanggan utama.

Identifikasi korelasi antara indikator

keuangan yang berbeda.

Asuransi kesehatan Memprediksi kunjungan kantor dari analisis

historis perilaku pasien historis.

Kenali terapi medis yang sukses dan

ekonomis untuk penyakit yang berbeda.

Identifikasi prosedur medis mana yang

cenderung diklaim bersama.

Prediksikan pelanggan mana yang akan

membeli kebijakan baru.

Identifikasi pola perilaku yang terkait dengan

pelanggan berisiko tinggi.

Identifikasi indikator perilaku curang.

pemasaran Identifikasi pola pembelian berdasarkan

data pelanggan historis.

Identifikasi hubungan antara data

demografis pelanggan.

Memprediksi respon terhadap berbagai

bentuk kampanye pemasaran dan promosi.

e. Mendukung Supply Chain Decisions Dari Data Warehouse

Alasan utama untuk data pergudangan adalah mengoptimalkan kinerja bisnis. Banyak
organisasi percaya bahwa keuntungan strategis dapat diperoleh dengan berbagi data
secara eksternal. Dengan menggunakan teknologi Internet dan aplikasi OLAP, sebuah
organisasi dapat berbagi data gudang dengan mitra dagangnya. Beberapa contoh dari
pendekatan ini diuraikan dalam ekstrak berikut:
MIM Health Plans Inc., sebuah perusahaan manajemen tunjangan farmasi independen,
memungkinkan para pelanggannya melihat data gudang untuk mempromosikan
keputusan pembelian yang lebih baik. Misalnya, manajer manfaat dapat melihat laporan
dan menelusuri ke gudang untuk melihat klaim menelusuri ke gudang untuk melihat
biaya klaim, biaya keseluruhan, jumlah yang dipesan dalam jangka waktu tertentu,
perbandingan jumalah merek dan obat generik, dan keputusan lainnya.
D. RISIKO TERKAIT DENGAN IMPLEMENTASI ERP

Manfaat dari ERP bisa menjadi signifikan, namun tidak menjadikan bebas risiko bagi
organisasi. Bagian ini membahas beberapa masalah risiko yang perlu dipertimbangkan.

a. Big Bang Versus Implementasi Bertahap

metode Big Bang lebih ambisius dan berisiko dari keduanya. Organisasi yang
menggunakan pendekatan ini mencoba mengalihkan operasinya dari sistem lama ke
sistem baru dalam satu peristiwa yang mengimplementasikan ERP di seluruh
perusahaan. Meskipun metode ini memiliki beberapa kelebihan, namun telah dikaitkan
dengan banyak terjadinya kegagalan sistem. Karena sistem ERP yang baru berarti cara
baru dalam menjalankan bisnis, membuat seluruh kegiatan organisasi dan proses
penyesuaian bisa menjadi tugas yang menakutkan. Pada hari ke 1 pelaksanaannya,
tidak ada seorang pun di dalam organisasi yang memiliki pengalaman dengan sistem
yang baru. Dalam arti, setiap orang di perusahaan tersebut adalah peserta pelatihan
yang sedang mempelajari pekerjaan baru.

b. Pengungkapan Untuk Perubahan Budaya Bisnis

semua area fungsional organisasi perlu dilibatkan dalam menentukan budaya

perusahaan dan dalam menentukan persyaratan sistem yang baru. Jika budaya
perusahaan sedemikian rupa sehingga perubahan tidak dapat ditolerir atau diinginkan,
maka implementasi ERP tidak akan berhasil.

Budaya teknologi juga harus dinilai. Organisasi yang tidak memiliki staf
pendukung teknis untuk sistem yang baru atau memiliki basis pengguna yang tidak
terbiasa dengan teknologi komputer menghadapi kurva belajar yang lebih curam dan
penghalang yang berpotensi lebih besar untuk menerima sistem oleh karyawannya.

c. Memilih Erp Yang Salah

karena sistem ERP adalah sistem prefabrikasi, pengguna perlu menentukan apakah
ERP tertentu sesuai dengan budaya organisasi dan proses bisnisnya. Alasan umum
untuk kegagalan sistem adalah ketika ERP tidak mendukung satu atau lebih proses
bisnis penting. Pada contohnya, produsen tekstil di India menerapkan ERP hanya untuk
mengetahui kemudian bahwa produk tersebut tidak mengakomodasi kebutuhan dasar.
Goodness Of Fit
Manajemen perlu memastikan ERP yang mereka pilih benar bagi perusahaan. Tidak
ada satu sistem ERP yang mampu memecahkan semua masalah dari semua organisasi.
Sebagai contoh, SAP'S R / 3 dirancang terutama untuk perusahaan manufaktur dengan
proses yang dapat diprediksi yang relatif mirip dengan produsen lainnya. Ini mungkin
bukan solusi terbaik untuk organisasi berorientasi layanan yang memiliki kebutuhan
besar untuk kegiatan yang berhubungan dengan pelanggan yang dilakukan melalui
Internet.
Masalah Singkat Sistem
Jika manajemen organisasi mengharapkan volume bisnis meningkat secara substansial
selama masa sistem ERP, maka ada masalah skalabilitas yang harus ditangani.

d. Memilih Konsultan yang Salah

Menerapkan sistem ERP adalah peristiwa yang kebanyakan organisasi hanya akan
menjalani satu kali. Kesuksesan proyek bergantung pada keterampilan dan pengalaman
yang biasanya tidak ada di rumah. Karena itu, hampir semua implementasi ERP
melibatkan perusahaan konsultan luar, yang mengkoordinasikan proyek tersebut,
membantu organisasi untuk mengidentifikasi kebutuhannya, mengembangkan
spesifikasi spesifikasi yang sesuai dengan ERP, memilih paket ERP, dan mengelola
potongan tersebut. Konsultasi ERP telah berkembang menjadi pasar senilai $ 20 miliar
per tahun. Biaya untuk penerapan tipikal biasanya antara tiga dan lima kali biaya lisensi
perangkat lunak ERP.

e. Biaya Tinggi dan Overruns Biaya

Total biaya kepemilikan (TCO) untuk sistem ERP sangat bervariasi dari satu perusahaan
ke perusahaan lainnya. Resiko datang dalam bentuk biaya yang diremehkan dan tidak
diantisipasi. Beberapa masalah yang lebih sering terjadi terjadi pada area berikut:

Latihan. Biaya pelatihan selalu lebih tinggi dari perkiraan karena manajemen
berfokus terutama pada biaya mengajar karyawan perangkat lunak baru. Ini
hanya bagian dari pelatihan yang dibutuhkan.

Sistem pengujian dan integrasi. Secara teori, ERP adalah model holistik dimana
satu sistem menggerakkan keseluruhan organisasi.

Konversi basis data. Sistem ERO yang baru biasanya berarti database baru.
Konversi data adalah proses mentransfer data dari file flat lawas ke database
relasional ERP.
f. Gangguan terhadap operasi

Sistem ERP dapat menimbulkan malapetaka di perusahaan yang menginstalnya. Dalam

survei Deloitte Consulting terhadap enam puluh empat perusahaan Fortune 500, 25
persen perusahaan yang disurvei mengakui bahwa mereka mengalami penurunan
kinerja dalam periode segera setelah implementasi. Rekayasa ulang proses bisnis yang
sering menyertai implementasi ERP adalah penyebab masalah kinerja yang paling
sering dikaitkan. Berbicara secara operasional, ketika bisnis dimulai di bawah sistem
ERP, semuanya terlihat dan bekerja secara berbeda dari cara kerjanya dengan sistem
warisan. Diperlukan periode penyesuaian bagi setiap orang untuk mencapai titik yang
nyaman pada kurva belajar. Bergantung pada budaya organisasi dan sikap terhadap
perubahan di dalam perusahaan, penyesuaian mungkin memerlukan waktu lebih lama
di beberapa perusahaan daripada di perusahaan lain.

E. IMPLIKASI UNTUK PENGENDALIAN INTERNAL DAN AUDIT

Seperti halnya sistem lainnya, pengendalian internal dan audit sistem ERP adalah isu.
Perhatian utama diperiksa selanjutnya dalam kerangka COSO

a. Otorisasi Transaksi

Manfaat utama dari sistem ERP adalah arsitektur modul yang terintegrasi dengan ketat.
Namun struktur ini, juga menimbulkan masalah potensial untuk otorisasi transaksi.
Sebagai contoh, bill of material mendorong banyak sistem manufaktur. Jika prosedur
pembuatan bill of material tidak dikonfigurasi dengan benar, setiap komponen yang
menggunakan tagihan material dapat terpengaruh Kontrol harus dibangun ke dalam
sistem untuk memvalidasi transaksi sebelum modul lain menerima dan bertindak atas
bill tersebut. Tantangan bagi auditor dalam memverifikasi otorisasi transaksi adalah
untuk mendapatkan pengetahuan rinci tentang konfigurasi sistem ERP dan juga
pemahaman menyeluruh tentang proses bisnis dan arus informasi antar komponen
sistem.

b. Pemisahan Tugas

Keputusan operasional dalam organisasi berbasis ERP didorong turun ke titik sedekat
mungkin dengan sumber kejadian. Proses manual yang biasanya memerlukan
pemisahan tugas, oleh karena itu sering dikondisikan dalam lingkungan ERP.
Selanjutnya, ERP memaksa bersama-sama banyak fungsi bisnis yang berbeda, seperti
pemasukan pesanan, penagihan, dan hutang dagang, di bawah satu sistem organisasi
terpadu yang menggunakan sistem ERP harus menetapkan perangkat keamanan, audit,
dan kontrol baru untuk memastikan tugas dipisahkan dengan benar. Aspek penting
Kontrol semacam itu adalah penugasan peran, yang akan dibahas di bagian selanjutnya

c. Pengawasan

Perangkap yang sering dikutip dari implementasi ERP adalah bahwa manajemen tidak
sepenuhnya memahami dampaknya terhadap bisnis. Terlalu sering, setelah ERP
berjalan, hanya bagian implementasi yang mengerti bagaimana cara kerjanya. Karena
tanggung jawab tradisional mereka akan berubah, supervisor perlu memperoleh
ketrampilan teknis dan operasional yang luas dari sistem yang baru. Biasanya, ketika
sebuah organisasi menerapkan ERP, banyak tanggung jawab pengambilan keputusan
didorong ke tingkat lantai toko. Filosofi ERP yang diberdayakan karyawan seharusnya
tidak menghilangkan pengawasan sebagai pengendalian internal. Sebaliknya, ia harus
memberikan manfaat efisiensi yang substansial. Pengawas harus memiliki lebih banyak
waktu untuk mengelola lantai toko melalui peningkatan kemampuan pemantauan,
meningkatkan rentang kontrol mereka.

d. Catatan Akuntansi

Sistem ERP memiliki kemampuan untuk merampingkan keseluruhan proses pelaporan

keuangan. Sebenarnya, banyak organisasi dapat dan menutup buku mereka setiap hari.
Data OLTP dapat dimanipulasi dengan cepat untuk menghasilkan entri buku besar,
ringkasan piutang dan hutang, dan konsolidasi finansial untuk keputusan internal dan
kekal. Kontrol batch tradisional dan jalur audit tidak lagi dibutuhkan dalam banyak kasus.
Risiko ini dikurangi dengan akurasi data yang lebih baik melalui penggunaan nilai
default, pengecekan silang, dan tampilan data pengguna tertentu.

Terlepas dari teknologi ERP, beberapa risiko terhadap akurasi catatan akuntansi
mungkin masih ada. Karena antarmuka yang erat dengan pelanggan dan pemasok,
beberapa organisasi berisiko bahwa data yang rusak atau tidak akurat dapat dilewati
dari sumber eksternal ini dan merusak basis data akuntansi ERP. Selain itu, banyak
organisasi perlu mengimpor data dari sistem sebelumnya ke dalam sistem ERP mereka.
Data ini mungkin mengandung masalah seperti catatan duplikat, nilai yang tidak akurat,
atau bidang yang tidak lengkap. Akibatnya, pembersihan data yang ketat merupakan
kontrol penting. Program scrubber khusus digunakan sebagai antarmuka antara sistem
ERP dan sistem pengekspor untuk mengurangi risiko ini dan memastikan bahwa data
yang paling akurat dan terkini sedang diterima.

e. Independent Verification (Verifikasi Independen)

Karena sistem ERP menggunakan OLTP, kontrol verifikasi independen tradisional

seperti rekonsiliasi nomor kontrol batch tidak banyak berguna. Demikian pula proses
rekayasa ulang untuk meningkatkan efisiensi juga mengubah sifat verifikasi independen.
Fokus verifikasi independen perlu dialihkan dari tingkat transaksi individual ke satu yang
memandang keseluruhan kinerja. Sistem ERP dilengkapi dengan kontrol kalengan dan
dapat dikonfigurasi untuk menghasilkan laporan kinerja yang harus digunakan sebagai
alat penilaian. Auditor internal juga memainkan peran penting dalam lingkungan ini dan
perlu memperoleh latar belakang teknis yang menyeluruh dan pemahaman menyeluruh
tentang sistem ERP. Upaya verifikasi independen yang berkelanjutan hanya dapat
dilakukan oleh tim yang berpengalaman dalam teknologi ERP.

f. Access Controls (Kontrol Akses)

Keamanan akses adalah salah satu masalah kontrol yang paling penting dalam
lingkungan ERP. Tujuan pengendalian akses ERP adalah menjaga kerahasiaan data,
integritas, dan ketersediaan. Kelemahan keamanan dapat mengakibatkan kesalahan
transaksi, penyimpangan, korupsi data, dan pernyataan keliru dalam laporan keuangan.
Selain itu, akses yang tidak terkendali menghadapkan organisasi ke penjahat dunia
maya yang mencuri dan kemudian menjual data penting kepada pesaing. Oleh karena
itu, administrator keamanan perlu mengendalikan akses terhadap tugas dan operasi
yang memproses atau memanipulasi data perusahaan yang sensitif.

 Tradisional Access Control Models (Model Kontrol Akses Tradisional)

Secara tradisional, pemilik sumber daya sistem (data, fungsi dan proses) memberi hak
akses istimewa kepada pengguna berdasarkan tingkat kepercayaan dan divisi pekerjaan
individu. Kontrol akses biasanya dicapai melalui daftar kontrol akses (atau token akses)
di dalam aplikasi pengguna. Daftar kontrol akses menentukan ID pengguna, sumber
daya yang tersedia bagi pengguna, dan tingkat izin yang diberikan seperti hanya baca,
edit, atau buat. Meskipun model ini memungkinkan pemberian hak akses khusus kepada
individu, namun sangat tidak fleksibel. Volume dan beragam kebutuhan akses istimewa
di lingkungan ERP modern menyajikan beban administratif yang signifikan. Setiap model
accessgranting harus bersaing dengan karyawan baru, mengubah hak istimewa yang
ada yang dibawa oleh promosi dan individu mentransfer dari satu departemen ke
departemen lainnya, dan pengakhiran orang. Untuk memenuhi tuntutan tersebut, sistem
ERP modern menggunakan kontrol akses berbasis peran (RBAC), yang akan dibahas
selanjutnya.

 Role-Based Access Control (RBAC)

Role adalah teknik formal untuk mengelompokkan pengguna sesuai dengan sumber
daya sistem yang mereka butuhkan untuk melakukan tugas yang ditugaskan. Misalnya,
administrator sistem dapat membuat Peran Penjualan untuk personil departemen
penjualan yang mengizinkan akses hanya ke Modul Penjualan ERP dan dokumen
tertentu seperti pesanan pelanggan, pesanan penjualan, dan catatan pelanggan. Ketika
seorang karyawan bergabung dengan departemen penjualan (apakah baru menyewa
atau pindah dari departemen lain), dia akan ditugaskan ke Peran Penjualan dan, melalui
itu, dapat mengakses sumber daya yang telah ditentukan sebelumnya. Dari gambar
yang terdapat dalam modul dapat diperhatikan bagaimana teknik ini memberikan hak
akses kepada peran yang dimainkan individu dalam organisasi daripada secara
langsung kepada individu. Oleh karena itu, lebih dari satu individu dapat ditugaskan
untuk peran dan seperangkat hak akses yang telah ditentukan sebelumnya. Selain itu,
seorang individu dapat diberi lebih dari satu peran, namun dapat masuk ke dalam sistem
hanya di bawah satu peran dalam satu waktu. Dengan demikian, RBAC dengan mudah
menangani banyak hubungan antara pengguna dan perizinan dan memfasilitasi
penanganan secara efisien dengan sejumlah besar karyawan.

ERP datang dengan peran yang telah ditentukan sebelumnya dengan izin yang telah
ditentukan sebelumnya. Administrator dan manajer lini juga dapat membuat peran baru,
memodifikasi peran yang ada, dan menghapus peran yang tidak lagi diperlukan.
Membuat peran melibatkan mendefinisikan atribut peran berikut:
1. Satu set tanggung jawab bisnis yang harus dilakukan dalam peran tersebut
2. Kompetensi teknis diperlukan untuk melakukan peran
3. Transaksi spesifik (izin) yang dibutuhkan untuk melaksanakan tanggung jawab
negara bagian
g. Masalah Pengendalian Internal Terkait dengan Peran ERP

Meskipun RBAC adalah mekanisme yang sangat baik untuk mengelola kontrol akses
secara efisien, proses pembuatan, modifikasi, dan penghapusan peran merupakan
masalah pengendalian internal yang menjadi perhatian manajemen dan auditor. Poin
berikut menyoroti masalah utama:

1.Penciptaan peran yang tidak perlu

2. Aturan akses yang paling tidak harus diterapkan pada tugas izin

3.Memantau penciptaan peran dan kegiatan pemberian izin

Penciptaan Peran yang Tidak Perlu

Tujuan mendasar dari RBAC adalah untuk menyediakan akses sesuai dengan
kebutuhan organisasi, yang berasal dari tugas yang didefinisikan dan bukan keinginan
individu. Manajer di lingkungan ERP, bagaimanapun, memiliki disreksi yang signifikan
dalam menciptakan peran baru bagi individu. Hal ini dapat dilakukan untuk karyawan
yang membutuhkan akses ke sumber daya untuk proyek khusus dan satu kali.

Aturan yang Sedikit Mengakses

Hak akses (permission) harus diberikan hanya berdasarkan kebutuhan. Pengguna ERP
cenderung mengumpulkan izin yang tidak dibutuhkan dari waktu ke waktu. Hal ini sering
terjadi karena dua masalah:

1. Manajer gagal menjalankan perawatan yang memadai dalam memberikan izin

sebagai bagian dari wewenang pemberian peran mereka
2. Manajer cenderung lebih baik mengeluarkan hak istimewa daripada
mengeluarkannya.

Kebijakan harus diterapkan agar manajer dapat menerapkan due diligence dalam
memberikan izin kepada peran untuk menghindari pemberian akses yang berlebihan.
Mereka harus menetapkan hak istimewa berdasarkan tugas yang ada dan menyadari
hak perorangan yang ada yang dapat menimbulkan pelanggaran kontrol.
Pantau Peran Pemberian dan Izin Kegiatan Pemberian Izin

Manajemen RBAC yang efektif menuntut prosedur yang memantau penciptaan peran
dan pemberian izin untuk memastikan kepatuhan terhadap tujuan pengendalian internal.
Memeriksa kepatuhan peran di semua aplikasi dan pengguna di lingkungan ERP,
bagaimanapun, menimbulkan masalah teknis dan teknis yang sangat kompleks yang
tidak sesuai dengan teknik manual, sistem pemerintahan berbasis peran tersedia untuk
tujuan ini. Sistem ini memungkinkan para manajer untuk melakukannya:

-Lihat inventaris peran terkini dan historis, izin yang diberikan, dan individu yang
ditugaskan untuk peran.

-Identifikasi hak akses yang tidak perlu atau tidak patut dan pemisahan pelanggaran
tugas.

-Verifikasi bahwa perubahan pada peran dan hak telah berhasil dilaksanakan.

Sistem ini dapat terus memantau peringatan risiko dan peringatan saat pelanggaran
terdeteksi sehingga tindakan perbaikan dapat dilakukan. Selain itu, tata pemerintahan
berbasis peran dapat mempertahankan jejak audit untuk memberikan catatan
pelanggaran dan bukti kepatuhan.
 BAB III

KESIMPULAN
DAFTAR PUSTAKA