CHAPTER 11 : ERP (Enterprise Resource Planning)

Apa itu ERP

ERP merupakan suatu sistem yang terintegrasi dalam mengkoordinasi informasi dan
berbagai proses bisnis serta model pengolahan transaksi yang terintegrasi dengan aktivitas
di unit bisnis lain dalam organisasi.

ERP memberikan aliran informasi yang lancar dan smooth di seluruh organisasi:
 Lingkungan terstandarisasi dengan share database dan aplikasi terintegrasi yang
mendukung komunikasi.
Data tetap independen dari aplikasi apa pun.
 Pembagian data yang luas terjadi melalui application sensitive views yang
menyajikan data untuk memenuhi kebutuhan pengguna.

ERP Applications

1. Core applications
secara operasional digunakan untuk mendukung aktivitas bisnis sehari-hari. Also called
online transaction processing (OLTP).
Contohnya : Penjualan dan distribusi, perencanaan bisnis
2. On-line Analytical Processing (OLAP)
alat untuk membuat keputusan yang menyediakan informasi terbatu (real-time).
Contohnya : membuat keputusan, what-if analysis

ERP System Configurations

two-tier model:
 Server yg menangani tugas aplikasi dan basis data.
 Digunakan dalam aplikasi LAN di mana permintaan server terbatas pada populasi
kecil pengguna.

Three-tier model:
 Database dan fungsi aplikasi dipisahkan.
 Khas sistem besar yang menggunakan WAN.
 Awalnya Klien menjalin komunikasi dengan server aplikasi yang memulai koneksi
kedua ke server basis data.

Sebagai Auditor ngapain?

Implications for Internal Control and Auditing: Issues Related to ERP Roles
Creation of unnecessary roles
  Kebijakan diperlukan untuk mencegah pembuatan peran baru yang tidak perlu dan
memastikan penetapan peran sementara dihapus ketika alasan mereka berakhir.
Rule of least access:
 Hak akses harus diberikan hanya atas dasar kebutuhan untuk mengetahui saja tetapi
pengguna cenderung mengakumulasi izin yang tidak dibutuhkan seiring waktu.
Memantau pembuatan peran dan pemberian izin.
 Tata kelola berbasis peran memungkinkan manajer untuk melihat dan memverifikasi
aturan saat ini dan historis.

Implications for Internal Control and Auditing

Transaction authorization :
 Pengendalian diperlukan untuk memvalidasi transaksi sebelum diterima oleh modul
lain.
 ERP lebih dependent thdp pengendalian dengan program daripada pada intervensi
manusia.
Segregation duties :
 Proses yg dilakukan scr manual membutuhkan pemisahan tugas yg sering kali
diabaikan. Akses penting harus dilakukan oleh org yg ditugaskan dr pihak yg
berwenang.
Supervision :
 Filosofi pemberdayaaan karyawan harus ditingkatkan, bukan menghilangkan
pengawasan.
Accounting records:
 Data yang dicuri (corrupted) dapat diteruskan dari sumber eksternal dan dari sistem
lama membuat penghapusan data yang ketat sebagai pengendalian yg penting.
Access control
 Kuncinya adalah menjaga kerahasiaan, integritas, dan ketersediaan data.
 Daftar kontrol akses menetapkan izin untuk individual users tetapi harus diikuti
perubahan.
 Role based access control (RBAC) memberikan izin berdasarkan sumber daya sistem
yang diperlukan untuk tugas tertentu.

Risks Associated with ERP Implementation

1. Implementasi big bang terjadi ketika organisasi mengalihkan operasi dari sistem lama ke
ERP dalam satu peristiwa.
 Beberapa keuntungan, tetapi banyak kegagalan.
 Oposisi awal dan perubahan menyebabkan gangguan.
2. Pendekatan implementasi bertahap (Phase-in) yang muncul sebagai alternatif populer.
 Unit ERP independen dipasang dari waktu ke waktu, berasimilasi, dan terintegrasi
tanpa mengganggu operasi.
  Dapat digunakan oleh organisasi yang tidak terdiversifikasi, dengan sistem lama yg
mulau tdak digunakan dari waktu ke waktu. Proses reengineering masih harus
berlangsung.
3. Adanya pertentangan untuk merubah budaya bisnis.
4. Memilih ERP yang salah:
 Goodness of fit: Tidak ada satu pun produk ERP yang terbaik untuk semua
industri.
 Scalability: Kemampuan sistem untuk tumbuh dalam hal ukuran, kecepatan,
beban kerja, dan biaya transaksi.
5. Memilih konsultan yang salah:
 Wawancarai konsultan yg potensial secara menyeluruh dan tetapkan ekspektasi
eksplisit.
6. Pembengkakan biaya dan biaya tinggi:
 Biaya pelatihan biasanya lebih tinggi dari yang diperkirakan karena kebutuhan
karyawan untuk mempelajari prosedur baru.
 Biaya pengujian dan integrasi sulit diperkirakan. Konversi basis data memerlukan
pengujian, rekonsiliasi manual, dan terkadang input manual.
 Manajemen harus menetapkan ukuran kinerja utama untuk membantu
menentukan keberhasilan ERP.
7. Gangguan pada operasi:
 Implementasi ERP biasanya melibatkan reengineering proses bisnis (BPR).

CHAPTER 12 : Fraud

Fraud Scheme
Asset Misappropriation
1. Billing schemes or vendor fraud, menyebabkan pembayaran dikeluarkan kepada
vendor palsu.
 Shell company fraud, membutuhkan pemasok palsu dengan penipu yang
menyerahkan dokumen palsu dan menerima pembayaran.
 Pass-through fraud, meliputi transaksi aktual dengan harga yang meningkat.
Kantong penipu perbedaan antara pasar dan harga yang lebih tinggi.
 Pay-and-return, melibatkan pembayaran vendor dua kali dan mengantongi
penggantian untuk pembayaran kedua.
2. Expense reimbursement fraud, melibatkan penggelembungan laporan.
3. Thefts of cash and non-cash fraud, melibatkan pencurian penyalahgunaan aset
perusahaan.

Computer Fraud Schemes

1. Pencurian, penyalahgunaan, atau penyalahgunaan aset dengan mengubah catatan dan
file yang dapat dibaca komputer.
2. Pencurian, penyalahgunaan, atau penyelewengan aset dengan mengubah logika
perangkat lunak komputer.
3. Pencurian atau penggunaan ilegal informasi yang dapat dibaca komputer.
4. Pencurian, korupsi, penyalinan ilegal, atau perusakan perangkat lunak yang disengaja.
5. Pencurian, penyalahgunaan, atau penyalahgunaan perangkat keras komputer.

Masih Terkait Computer Fraud :

Data Collection
Data collection frauds : Memasukkan data yang palsu ke dalam sistem dengan menghapus,
mengubah, atau membuat transaksi.
 Masquerading : mendapatkan akses jarak jauh dengan berpura-pura menjadi
pengguna resmi. Contohnya ; nyamar seolah-olah kita itu opunya otorisasi
 Piggybacking : Menempel/mengikuti authorized user dalam sistem.
 Hacking : gabungan kedua skema yang dimotivasi oleh tantangan utk mencoba
mengakses sistem.

Data Processing
Data processing frauds dibagi dua kelas:
 Program fraud : membuat program ilegal atau menghancurkan, merusak, atau
mengubah logika komputer untuk menyebabkan data diproses secara tidak benar.
Contohnya : Salami Fraud
 Operations fraud : penyalahgunaan atau pencurian sumber daya komputer.

Database Management and Information Generation

Database management fraud : mencakup mengubah, menghapus, merusak,
menghancurkan, atau mencuri data organisasi.
 Sering dikaitkan dengan penipuan transaksi atau programan dan karyawan yang
tidak puas yang dapat menyalin, menjual, atau menghancurkan data.

Information generation fraud : melibatkan mencuri, mengarahkan salah arah, atau

menyalahgunakan hasil komputer.
 Informasi yang berguna itu : relevan, tepat waktu, akurat, lengkap, dan ringkas.
 Scavenging : Dilihat dari output yg dibuang.
 Eavesdropping : mendengarkan transmisi keluaran melalui saluran telekomunikasi
(menguping).

Fraud Detection scheme yg berhubungan dengan IT Audit.

Fraud Detection Techniques Using ACL
Pembayaran ke vendor fiktif:
 Urutkan catatan file faktur dengan nomor faktur dan nomor vendor.
  Saring dan verifikasi validitas vendor dengan kotak P.O..
 Gabungkan file karyawan dan vendor untuk pencocokan alamat dan memeriksanya.
 Gunakan duplicate function untuk mencari beberapa vendor dengan alamat yang
sama.
 Create value di sekitar jumlah faktur dan urutkan catatan pembayaran dalam rentang
tertentu berdasarkan vendor.

BACA RANGKUMAN SONNIA

CHAPTER 6 : Trx Processing (XBRL)

XBRL – Reengineering Financial Reporting

 Pelaporan online data keuangan telah menjadi kebutuhan kompetitif bagi perusahaan
publik.
 Sebagian besar perusahaan menempatkan laporan di situs Web sebagai dokumen
hypertext markup language (HTML) yang dapat diunduh oleh pihak yang
berkepentingan. Ada 2 masalah :
- Laporan tidak dapat diproses dengan mudah melalui otomatisasi TI.
- Melakukan analisis mengharuskan pengguna memasukkan informasi secara manual
ke dalam sistem mereka.
 Solusinya adalah eXtensible business reporting language (XBRL) yang merupakan
standar Internet untuk pelaporan bisnis dan pertukaran informasi

XBRL : suatu Bahasa pelaporan yang melayani standarisasi pelaporan bisnis dan pelaporan
akuntansi secara elektronik dengan menggunkan basis XML untuk menerbitkan dan
bertukan informasi. Contohnya : Laporan Keuangan

Dokumen instance XBRL dapat dipublikasikan dan disediakan untuk pengguna.

 Dapat dibaca komputer untuk analisis dan pemrosesan.
 Dapat disajikan dengan cara yang menarik secara visual.
 Kemungkinan menjadi alat utama untuk mengirimkan laporan kepada investor dan
regulator dalam waktu dekat.

Soal Kasus

Chapter Revenue Cycle

Control Weaknesses

For the past 11 years, Elaine Wright has been an employee of the Star-Bright Electrical Supply store.
Elaine is a very diligent employee who rarely calls in sick and takes her vacation days staggered
throughout the year so that no one else gets bogged down with her tasks for more than one day.
Star-Bright is a small store that employs only four people other than owner. The owner and one of
the employees help customers with their electrical needs. One of the employees handles all receiving,
stocking, and shipping of merchandise. Another employee handles the purchasing, payroll, inventory
and accounts payable functions. Elaine handles all of the point-of-sale cash receipts and prepares the
daily deposits for the business. Furthermore, Elaine opens the mail and deposits all cash receipts
(about 30% of the total daily cash receipts). Elaine also keeps the AR records and bills the customer
who purchase on credit.

Required:

a. Point out any control weaknesses you see in the above scenario

 Segregation of duties is a basic, key internal control and often one of the most difficult to
achieve, especially in a small operation. The basic concept for segregating duties is that no
single individual should have control over all phases of a transaction. Ideally, the incompatible
functional responsibilities of authorizing (initiating) transactions, custody of assets and
record-keeping should be the responsibility of separate individuals.
 In the scenario above, it clearly shows that the entity has a weak internal control. Receiving
revenue funds (checks or cash) and approving write-off of receivables, are incompatible
duties. Employees may have the power to negate established controls often an employee in
a supervisory position may have this power in an otherwise sound system. Documented
oversight by a higher level of management will help lessen the possibility of abuse.
 Lack of proper segregation of duties may result in an audit criticism if it creates a material
weakness in the internal control structure. A material weakness is one in which significant
errors or irregularities may occur and not be detected timely by employees in the normal
course of performing their assigned functions.

b. List some recommendations to remedy any weaknesses you have found working under the
constraint that no additional employees can be hired.

i. Transaction authorization should be separate from transaction processing. The importance

of this separation is clear when one considers the potential conflict in objectives between the
individual sales person and the organization. Often sales staff compensation is based on their
sales levels.
ii. Asset custody should be separate from the record-keeping task. In the sales-order processing
system, the inventory warehouse clerk with the custody of the physical assets should not also
maintain the inventory records. Similarly, the cash receipts clerk should not record the
receivables.
iii. The organization should be so structured that the perpetration of a fraud requires collusion
between two or more individuals. The record-keeping functions must be carefully divided.
Specifically, the subsidiary ledgers, the journals, and the general ledger should be separately
maintained. An individual with total record keeping responsibility, in collusion with someone
with asset custody, is in the position to perpetrate fraud. By separating these tasks, collusion
must involve more people, which increases the risk of detection and is therefore less likely to
occur.

Translation :
Sebuah. Tunjukkan kelemahan kontrol yang Anda lihat dalam skenario di atas

Pemisahan tugas adalah kontrol internal dasar dan utama dan seringkali salah satu yang paling sulit
untuk dicapai, terutama dalam operasi kecil. Konsep dasar untuk memisahkan tugas adalah bahwa
tidak ada individu yang harus memiliki kendali atas semua fase transaksi. Idealnya, tanggung jawab
fungsional yang tidak sesuai dari otorisasi (memulai) transaksi, penyimpanan aset dan pencatatan
harus menjadi tanggung jawab masing-masing individu.

Dalam skenario di atas, ini jelas menunjukkan bahwa entitas memiliki kontrol internal yang lemah.
Menerima dana pendapatan (cek atau tunai) dan menyetujui penghapusan piutang, adalah tugas
yang tidak sesuai. Karyawan mungkin memiliki kekuatan untuk meniadakan kontrol yang sudah ada
sering kali seorang karyawan dalam posisi pengawas mungkin memiliki kekuatan ini dalam sistem
yang sehat. Pengawasan yang didokumentasikan oleh tingkat manajemen yang lebih tinggi akan
membantu mengurangi kemungkinan penyalahgunaan.

Kurangnya pemisahan tugas yang tepat dapat mengakibatkan kritik audit jika menciptakan
kelemahan material dalam struktur kontrol internal. Kelemahan material adalah kesalahan di mana
kesalahan atau penyimpangan yang signifikan dapat terjadi dan tidak terdeteksi tepat waktu oleh
karyawan dalam kegiatan normal menjalankan fungsi yang ditugaskan.

b. Sebutkan beberapa rekomendasi untuk memperbaiki segala kelemahan yang Anda temukan
bekerja di bawah batasan yang tidak ada karyawan tambahan yang dapat dipekerjakan.

i. Otorisasi transaksi harus terpisah dari pemrosesan transaksi. Pentingnya pemisahan ini jelas ketika
seseorang mempertimbangkan potensi konflik dalam tujuan antara tenaga penjualan individu dan
organisasi. Seringkali kompensasi staf penjualan didasarkan pada tingkat penjualan mereka.

ii. Penahanan aset harus terpisah dari tugas penyimpanan catatan. Dalam sistem pemrosesan
pesanan penjualan, petugas gudang inventaris dengan penyimpanan aset fisik tidak boleh juga
memelihara catatan inventaris. Demikian pula, petugas penerimaan kas tidak boleh mencatat
piutang.

aku aku aku. Organisasi harus sangat terstruktur sehingga tindakan penipuan memerlukan kolusi
antara dua orang atau lebih. Fungsi penyimpanan catatan harus dibagi dengan cermat. Secara
khusus, buku besar pembantu, jurnal, dan buku besar umum harus dipelihara secara terpisah.
Seorang individu dengan tanggung jawab menjaga pencatatan total, berkolusi dengan seseorang
yang memiliki aset, berada dalam posisi untuk melakukan penipuan. Dengan memisahkan tugas-
tugas ini, kolusi harus melibatkan lebih banyak orang, yang meningkatkan risiko pendeteksian dan
karenanya lebih kecil kemungkinannya terjadi.

3. PAYROLL CONTROLS

Sherman Company employs 400 production, maintenance, and janitorial workers in eight
separate departments. In addition to supervising operations, the supervisors of the
departments are responsible for recruiting, hiring, and firing workers within their areas of
responsibility. The organization attracts casual labor and experiences a 20 to 30 percent
turnover rate in employees per year.

Employees clock on and off the job each day to record their attendance on time cards. Each
department has its own clock machine located in an unattended room away from the main
production area. Each week, the supervisors gather the time cards, review them for
accuracy, and sign and submit them to the payroll department for processing. In addition, the
supervisors submit personnel action forms to reflect newly hired and terminated employees.
From these documents, the payroll clerk prepares payroll checks and updates the employee
records. The supervisor of the payroll department signs the paychecks and sends them to
the department supervisors for distribution to the employees. A payroll register is sent to
accounts payable for approval. Based on this approval, the cash disbursements clerk
transfers funds into a payroll clearing account.

Required

Discuss the risks for payroll fraud in the Sherman Company payroll system. What controls
would you implement to reduce the risks? Use the COSO standard of control activities to
organize your response.

Risks:

 Department supervisors have too much control over human resources. They are
responsible for recruiting, hiring, and firing.

 The high degree of casual labor creates an environment that lends itself to abuse.

 High employee turnover rate makes identifying absent or nonexistent employees difficult.

 As the clock machine is located in an unattended room, there is a risk that an employee
clocks in for another employee who is absent or late.

 Department supervisors submit personnel action forms.

 Department supervisors distribute the paychecks to the employees; checks written for
nonexistent employees could be kept and cashed by the supervisors.

Controls:

 Transaction Authorization: A separated personnel function should be established to

prepare personnel action forms and manage the human resource.

 Segregation of Duties: The supervisor should not distribute the paychecks to employees.
This should task should be performed by an independent paymaster.

 Supervision: To reduce the risk of supervision, supervisors must reconcile time cards with
actual attendance to observe the time keeping process.

Translation :

3. KONTROL PAYROLL
Sherman Company mempekerjakan 400 pekerja produksi, pemeliharaan, dan petugas kebersihan di
delapan departemen terpisah. Selain mengawasi operasi, pengawas departemen bertanggung jawab
untuk merekrut, merekrut, dan memecat pekerja dalam bidang tanggung jawab mereka. Organisasi
ini menarik tenaga kerja lepas dan mengalami tingkat turnover karyawan 20 hingga 30 persen per
tahun.

Karyawan selalu masuk dan keluar dari pekerjaan setiap hari untuk mencatat kehadiran mereka pada
kartu waktu. Setiap departemen memiliki mesin jam sendiri yang terletak di ruang yang tidak dijaga
jauh dari area produksi utama. Setiap minggu, pengawas mengumpulkan kartu waktu,
memeriksanya untuk akurasi, dan menandatangani dan menyerahkannya ke departemen
penggajian untuk diproses. Selain itu, pengawas menyerahkan formulir tindakan personil untuk
mencerminkan karyawan yang baru direkrut dan diberhentikan. Dari dokumen-dokumen ini, petugas
penggajian menyiapkan cek penggajian dan memperbarui catatan karyawan. Pengawas departemen
penggajian menandatangani gaji dan mengirimkannya ke pengawas departemen untuk dibagikan
kepada karyawan. Daftar penggajian dikirim ke hutang untuk persetujuan. Berdasarkan persetujuan
ini, petugas pencairan kas mentransfer dana ke rekening kliring penggajian.

Wajib

Diskusikan risiko untuk penipuan penggajian dalam sistem penggajian Perusahaan Sherman. Kontrol
apa yang akan Anda terapkan untuk mengurangi risiko? Gunakan standar kegiatan kontrol COSO
untuk mengatur respons Anda.

Risiko:

Pengawas departemen memiliki terlalu banyak kendali atas sumber daya manusia. Mereka
bertanggung jawab untuk merekrut, merekrut, dan memecat.

Tingkat buruh kasual yang tinggi menciptakan lingkungan yang cocok dengan pelecehan.

Rate Tingkat turnover karyawan yang tinggi membuat sulit mengidentifikasi karyawan yang absen
atau tidak ada.

Karena mesin jam terletak di ruang yang tidak dijaga, ada risiko bahwa seorang karyawan masuk
untuk karyawan lain yang tidak ada atau terlambat.

Pengawas departemen menyerahkan formulir tindakan personalia.

Pengawas departemen mendistribusikan gaji kepada karyawan; cek yang ditulis untuk karyawan
yang tidak ada dapat disimpan dan diuangkan oleh penyelia.

Kontrol:

Otorisasi Transaksi: Fungsi personel yang terpisah harus dibentuk untuk menyiapkan formulir
tindakan personel dan mengelola sumber daya manusia.

Pemisahan Tugas: Supervisor tidak boleh membagikan gaji kepada karyawan. Tugas ini harus
dilakukan oleh paymaster independen.
 Pengawasan: Untuk mengurangi risiko pengawasan, penyelia harus merekonsiliasi kartu waktu
dengan kehadiran aktual untuk mengamati proses penjagaan waktu.