ERP Presentation Kel 4

KELOMPOK 4RAHARYONO SUSILO (123141065)

PUTRI YATNA (123141064)REZKY MEHTA (123141072)

ERP LIFE CYCLEEXTERNAL & INTERNAL DE-

SIGN PHASE

Phase II – External DesignPhase III – Internal

Design

Audit Test

ERP LIFE CYCLE

Solution A uditee

R equirem e nt Planning Phase

External Design Phase

Internal Design Phase

Pre- implemen-

tation Phase

implementation Phase

Post- implemen-

tation Phase

PHASE 2 – EXTERNAL DESIGNSpesification of the ProblemMenyediakan sebuah definisi high-level yang spesifik termasuk kumpulan (aggregate) informasi, aliran informasi, dan langkah-langkah pemrosesan logis, serta semua interface utama termasuk input dan output mereka.Persyaratan Fungsional• Menyediakan dasar untuk saling mengerti antara pengguna dan pelaksana

dari definisi awal sistem ERP termasuk persyaratan, lingkungan operasi dan rencana pelaksanaan.

• Mencakup metode dan prosedur yang diusulkan, ringkasan untuk perbaikan, ringkasan dari dampak,keamanan, privasi, pertimbangan pengendalian internal, pertimbangan biaya, dan alternatif - alternatif.

• Mencakup fungsi-fungsi yang diperlukan dalam software dari segi kuantitatif dan bagaimana fungsi tersebut dapat memuaskan tujuan kinerja.

• Menentukan persyaratan kinerja mengenai accuracy,validasi, timing, dan fleksibilitas. Menjelaskan input/output seperti karateristik data.

PHASE 2 – EXTERNAL DESIGN

The Risk AnalysisAnalisis risiko harus direviu dan diperbarui, jika diperlukan, selama tahapan dalam ERPLC untuk memastikan bahwa tidak ada kerentanan baru yang muncul dan ukuran keamanan yang cukup telah dipasang. Hal ini harus disiapkan dan dikelola dalam dokumen yang terpisah. Reviu harus dijadwalkan ketika dilakukan modifikasi pada sistem operasional ERP atau lingkungan operasional. Audit, selama reviu sertifikasi dan keamanan ERP harus menggunakan temuan dan rekomendasi analisis risiko.

PHASE 3 – INTERNAL DESIGN

Tahap III internal design terdiri dari :• Membangun dan menciptakan pengembangan, pengujian dan lingkungan

produksi dengan pengendalian perubahan manajemen masing-masing.

• Proses re-engineeering, yang melibatkan detail spesifikasi desain ke dalam sistem ERP dan “fine-tuning” software ERP.

Desain internal sistem ERP mencakup langkah-langkah sebagai berikut :1.Mendefinisikan pengolahan yang dilakukan oleh ERP2.Merancang tahapan pengolahan3.Menentukan data input dan file-file yang akan diperlukan.4.Menetapkan masing masing input data dan output modul ERP.

5.Menentukan pendekatan dan rincian implementasi sistem ERP termasuk dalam business processes re-engineering agar sesuai dengan sistem ERP.


Specifications for Internal Control and SecurityBerikut tiga poin yang perlu ditangani saat membuat spesifikasi :

1. Spesifikasi untuk kerangka pengendalian dan persyaratan keamanan menentukan keamanan dan pengendalian internal yang dibutuhkan oleh sistem, berdasarkan kerentanan yang diidentifikasi selama analisis risiko, penciptaan keamanan (established security) dan standar pengendalian inernal.

2. Semua keamanan dan pengendalian internal, termasuk general controls (i.e., management and environmental controls) perlu didefinisikan dan disetujui sebelum memulai konstruksi dan implementasi sistem ERP secara resmi.

3. Spesifikasi keamanan harus ditinjau dan disetujui oleh semua pihak yang terlibat dalam penggunaan atau pengoperasian sistem ERP.


Specifications for the Data RequirementsDua hal utama yang perlu ditangani saat membuat spesifikasi untuk persyaratan data, yaitu :

1. Tentukan gambaran data dan informasi teknikal tentang persyaratan pengumpulan data. Gambaran data biasanya dipisahkan menjadi dua kategori : data statis dan data dinamis. Elemen data dalam setiap kategori biasanya diatur dalam logical groupings, seperti functions, subject, atau pengelompokan lain yang paling relevan dengan penggunaannya.Gambaran data juga menjelaskan jenis informasi yang diperlukan untuk mendokumentasikan karakteristik masing-masing elemen data, dan menspesifikasikan informasi yang dikumpulkan oleh pengguna dan yang diproses oleh sistem ERP.

2. Prosedur pengumpulan data dan dampak dari persyaratan data yang ditangani. Pentingnya sensitivitas data/penilaian kekritisan merupakan awal dalam mengemukakan sifat dan besaran dari ancaman dan analisis biaya untuk memasukkan mereka.


The Risk AnalysisAnalisis risiko harus ditinjau dan diperbarui, jika diperlukan, selama masing masing tahapan ERPLC untuk memastikan bahwa tidak ada kerentanan baru yang muncul dan ukuran keamanan yang cukup telah dipasang. Audit, selama reviu sertifikasi dan keamanan ERP harus menggunakan temuan dan rekomendasi analisis risiko. Hal ini harus disiapkan dan dikelola dalam dokumen yang terpisah. Reviu harus dijadwalkan ketika dilakukan modifikasi pada sistem operasional ERP atau lingkungan operasional

BEST PRACTICE

Setiap area harus dikendalikan dengan baik, konsisten dengan praktek manajemen yang baik

RISK, BUSINESS IMPACT & CONTROL

RISK BUSSINESS IMPACT EXPECTED CONTROLS

1. Kesesuaian dengan standar IT perusahaan tidak dipertimbangkan .

2. Persyaratan dukungan terhadapproduksi di masa depan ( misalnya, akses programmer ke produksi ) tidak dipertimbangkan .

3. Aplikasi / persyaratan pengendalian operasional tidak dipertimbangkan dalam desain.

4. Sistem dokumentasi tidak dibuat atau tidak memadai .

1. Sistem tidak disampaikan tepat waktu, sesuai anggaran dan /atau sesuai dengan keinginan fungsional , serta komponen sistem yang disampaikan berkualitas buruk .

2. Aplikasi dan pengendalian operasional yang tidak memadai .

3. Terdapat dokumentasi yang tidak memadai untuk mengembangkan dan memelihara sistem di masa depan.

1. Perangkat keras , perangkat lunak dan peralatan pengembangan yang digunakan sesuai dengan standar perusahaan , atau permintaan deviasi yang layak dapat diajukan dan disetujui

2. Analisis dilakukan untuk memastikan bahwa komponen perangkat lunak sistem , database, dan aplikasi memenuhi standar Keamanan Informasi perusahaan. Perwakilan dari Keamanan Informasi harus dimasukkan dalam penilaian ini .



5. Prosedur otomatis dan manual

untuk mendukung kebutuhan konversi belum dikembangkan secara memadai .

6. rencana uji komprehensif belum dikembangkan .

7. rencana detail proyek belum dikembangkan untuk Tahap Pengujian .

8. Penelahaan tahap akhir tidak dilakukan untuk menilai status proyek dan mengidentifikasi rencana aksi yang diperlukan .

3. Proses pengelolaan

Perpustakaan (library management) didefinisikan sesuai dengan standar perusahaan, termasuk penggunaan alat alat yang disetujui , akses programmer terbatas pada lingkungan pengujian dan pengendalian versi .



Perwakilan dari Library Program Office harus dimasukkan dalam pengembangan proses. Secara khusus , pilih , kunci program Perubahan Pengendalian yang luas dan proses pengendalian Pengelolaan Perpustakaan perusahaan yang terdiri dari :• satu set formulir permintaan persetujuan

perubahan (kertas atau elektronik) disiapkan sebelum Implementasi ERP dimulai . Formulir Permintaan Perubahan ini digunakan untuk melacak status permintaan perubahan , dan pelacakan ini merupakan bagian dari fungsi Manajemen Perubahan .

• Akses ke tes, produksi , dan program operasi dan file user dibatasi hanya para pengguna yang membutuhkan akses tersebut , berdasarkan tanggung jawab saat ini.

• Pengendalian versi diberlakukan di seluruh siklus hidup sistem ERP dan lingkungan produksi.

• Hanya versi software disetujui yang dipindahkan ke dalam produksi.



• Peran Release Manajer peran dan peran Library

Management Administration tidak dapat memodifikasi kontrol aplikasi.

• Pengembang tidak diizinkan akses produksi atau hak instalasi untuk tujuan keamanan dan kontrol.

• Semua perubahan dan persetujuan didokumentasikan secara rinci perubahan yang dilakukan, lengkap dengan nama individu dan tanggal perubahan.

• Sebuah perbaikan darurat harus didokumentasikan

• Individu tidak dapat menyetujui pekerjaan mereka sendiri.

• Seorang individu diperbolehkan untuk menyetujui promosi kode hanya sekali selama siklus hidup ERP. (Namun, ketika individu. memenuhi peran Manajer Proyek secara eksklusif, ia berpotensi menyetujui promosi kode lebih dari sekali.)



4. Interface sesuai dengan standar perusahaan

untuk header dan catatan trailer serta pemantauan transmisi file (termasuk penolakan otomatis file yang tidak lengkap).

5. Sensitif file interface yang ditransmisikan melalui jaringan publik harus dienkripsi.

6. Persyaratan dukungan Produksi (termasuk hardware, back-up, kinerja, dll) telah didefinisikan dan telah didiskusikan dengan Relationship Managers. Selain itu, desain aplikasi tidak akan memerlukan programmer untuk melakukan fungsi pendukung produksi.

7. Aplikasi / persyaratan pengendalian operasional termasuk dalam desain aplikasi, termasuk kontrol atas kunci / transaksi sensitif, keamanan aplikasi dan rekonsiliasi.



8. Sistem dokumentasi berikut diperlukan oleh standar

perusahaan yang diciptakan:• Layar dan spesifikasi desain laporan• persyaratan retensi data• definisi arsitektur teknis• sistem dan program flowchart• Spesifikasi Program / modul• file / definisi database

9. Sebuah rencana konversi telah dikembangkan, termasuk mendefinisikan tugas otomatis dan konversi manual, prosedur penanganan / koreksi kesalahan, serta meninjau kualitas dan tugas rekonsiliasi.

10.Sebuah rencana uji rinci telah dikembangkan yang meliputi:

• cakupan semua fungsi kunci didefinisikan dalam kebutuhan bisnis

• pengujian negatif (misalnya, transaksi data yang tidak valid)

• periode pengolahan (misalnya, akhir bulan, akhir tahun)

• pengujian regresi (untuk tambahan besar dalam sistem yang ada)

• sistem interface



• aplikasi dan pengendalian operasional • manual workarounds untuk fungsi yang hilang• prosedur konversi otomatis dan manual• persyaratan kinerja, termasuk volume dan pengujian

stress• persyaratan operasional, seperti siklus batch• back-up dan pemulihan• lab uji pengujian integrasi jika software akan

diluncurkan untuk konfigurasi klien yang berbeda11. Rencana tes telah ditinjau dan disetujui oleh pengguna

dan manajemen system sebelum dimulainya pengujian.12. Sebuah rencana proyek rinci telah dikembangkan untuk

tahap Konstruksi dan Pengujian (termasuk semua tugas / kiriman yang dibahas di bawah).

13. Sebuah penelahaan tahap akhir harus dilakukan:• untuk memastikan bahwa proyek sesuai jadwal /

anggaran, dan jika tidak, mengembangkan rencana tindakan yang tepat

• menelaah dampak permintaan perubahan pada proyek

• menelaah dan mengembangkan rencana tindakan untuk masalah proyek yang masih belum terselesaikan.

AUDIT TEST

AUDIT TEST

No. Control Objectives Audit Test Control Techniques1. Project plan harus

dikembangkan dengan memberikan spesifikasi strategi untuk mengelola pelaksanaan ERP.

1. Memvalidasi atribut-atribut yang termasuk dalam rencana proyek adalah akurat dan lengkap.

2. Memastikan bahwa rencana

(proyek) mengidentifikasi strategi untuk mengelola upaya pelaksanaan.

3. Memastikan bahwa rencana

(proyek) mengidentifikasi sasaran dan aktivitas dalam semua tahapan dan sub-tahapan, termasuk “milestone dates” dan estimasi sumber daya.

Mereviu atribut-atribut dari rencana proyek. Gunakan project plan checklists. Bandingkan atribut-atribut project plan dengan project lainnya yang ukuran dan kompleksitas untuk memvalidasi estimasi kewajaran dan “milestones” besarannya sama.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques2. Definisi keberadaan dan

persyaratan informasi baru harus ditentukan dengan detail yang tepat.

1. Menentukan apakah keberadaan dan persyaratan informasi baru lengkap dan dinyatakan dengan detail yang cukup untuk melakukan test data generation dalam tahapan selanjutnya untuk kepatuhan verifikasi.

2. Wawancara user yang sesuai untuk memvalidasi kewajaran dari persyaratan informasi. Menentukan kendala-kendala pada persyaratan data. Menunjukkan batas persyaratan data sehubungan dengan ekspansi lebih lanjut dari penggunaan, terutama menekankan pada kendala yang bisa membuktikan kritikal selama proses pelaksanaan ERP.

3. Memvalidasi persyaratan informasi secara lengkap dan konsisten dengan standar definisi pemrosesan ERP.

4. Memastikan bahwa gambaran dari sistem yang sekarang dijalankan memadai dan berguna sebagai dasar untuk mempelajari yang dibutuhkan oleh sistem ERP yang diusulkan. Memastikan bahwa area area dari sistem yang sekarang dijalankan yang akan diganti dengan sistem ERP sudah diidentifikasi dengan jelas.

5.Termasuk audit test untuk memastikan bahwa persyaratan fungsional sudah dipertimbangkan.

Memverifikasi atribut informasi dalam dokumen persyaratan fungsional dalam definisi data dictionary.

Mereviu audit workpaper dari audit sebelumnya yang menunjukkan atribut-atribut dari sistem yang diotomatisasi atau dirubah.

Interview mereka yang bertanggung jawab dalamoperasi dan pemeliharaan sistem saat tini mengenai perspektif mereka tentang masalah saat ini dan dampak sistem yang diusulkan pada sistem yang saat ini digunakan dan interfacenya.

Gunakan item yang disebutkan dalam dokumen persyaratan fungsional yang diperoleh dari tim proyek.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques3. Semua persyaratan input

sudah didefinisikan dan didokumentasikan.

Mereviu kecukupan dokumentasi atas persyaratan input terhadap sistem ERP yang baru untuk memastikan sudah mencakup :- Editing and validation requirements.- Input or update authorization.- Establishment of appropriate control totals.- Required precision for each quantitative field.- Time requirements for the entry of transactions.- Requirements for handling inaccurate error identification/ correction or incomplete data.

Memvalidasi spesifikasi persyaratan input untuk spesifikasi data dictionary Interview user yang bertanggung jawab terhadap item item data untuk mengkonfirmasi akurasi dan kelengkapan persyaratan input. Memvalidasi atribut-atribut data untuk dapat dispesifikasi dengan peraturan yang tepat.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques - Rules for authorizing each of the

key transactions.- Verification that the individuals identified by the authorization rules have been granted that specific authority.- The retention requirements for input data (automated and hard copy) have been specified- Online entry application considerations.- Suspense files—verify their use.- System override/by-pass—verify that controls over these transactions are specified and limited.- Describe input forms/transactions/ sources/volume.- Input terminal/device specifications.- Input technology/compatibility.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques4. Persyaratan output

harus didefinisikan dan didokumentasikan.

Mereviu kecukupan dokumentasi dari persyaratan output terhadap sistem ERP yang baru untuk memastikan bahwa ketentuan tersebut mencakup :- Content and format of reports and screens generated.- Authorization of users to receive reports.- Retention period reports.- Provision of audit trails and sufficiency of information to trade/validate accuracy.- Retention periods for outputs (automated and hard copy).- The ability to ensure control of completeness, accuracy, and authorization of data.- Purpose of the report.

Interview user untuk memvalidasi akurasi dan kelengkapan persyaratan output. Mengembangkan kuesioner kepuasaan user.Kuesioner penelahaan Metode implementasi ERP (jika termasuk dalam bagian metodologi implementasi ERP). Jika checklist tidak disediakan oleh metodologi implementasi ERP, auditor seharusnya mengembangkan sendiri, secukupnya, untuk tujuan penelahaan..

AUDIT TEST

No. Control Objectives Audit Test Control Techniques5. Spesifikasi tahapan

tahapan dalam pemrosesan harus didefinisikan dan didokumentasikan.

Mereviu spesifikasi pemrosesan untuk menentukan apakah mereka cukup memadai dan disusun sesuai dengan kebijakan manajemen, dengan memastikan bahwa :- Cut off methods have been established.- All ERP-generated transactions have been identified.- Appropriate authority exists for generating ERP transactions.- Requirements specify method for monitoring the ERP-generated transactions.- The methods required for maintaining independent control totals on key fields are reasonable.- Control totals will be supportable and the transactions comprising the control totals can be identified.

Mereviu checklist pemrosesan (Apakah metode implementasi ERP disediakan). Jika checklist tidak disiapkan dalam metode implementasi ERP, auditor seharusnya mengembangkan mereka. Mewawancarai user untuk memvalidasi akurasi dan kelengkapan spesifikasi pemrosesan. Pemodelan Sistem/prototyping untuk membuat hasil sistem yang disimulasi dapat divalidasi oleh end user mengenai kewajaran dan kegunaan hasil itu dalam pemrosesan user.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques6. Rencana untuk

mengkonversi dari proses yang ada ke proses yang baru harus didokumentasikan.

Mereviu rencana konversi untuk :o pengendalian selama

konversi.o penanganan pipeline

transactions ada pada tempatnya dan sesuai dengan kebijakan dan prosedur lembaga

Interview key user dan pihak yang memproses ERP untuk memastikan conversation process yang layak..

AUDIT TEST

No. Control Objectives Audit Test Control Techniques7. Dampak dari kegagalan

sistem ERP harus didefinisikan dan persyaratan rekonstruksi dinyatakan (specified)

1. Memastikan bahwa jika keputusan dibuat tentang diperlukannya memulihkan sistem ERP yang mengalami kegagalan; dan jika demikian, apakah persyararatan untuk retensi, rekonstruksi, dan alternatif prosedur processing telah didefinisikan

2. Skenario simulasi bencana-key security personnel/operation personnel dapat mensimulasi bencana yang potensial dan kemudian menentukan, berdasarkan spesifikasi sistem, apakah informasi yang tersedia diperlukan untuk tujuan rekonstruksi (catat bahwa dalam tahapan selanjutnya sebuah bencana sebenarnya dapat di simulasikan).

Interview petugas keamanan /operation personnel untuk memastikan mereka percaya persyaratan rekonstruksi sudah memadai. Memastikan bahwa periode retensi untuk rekonstruksi konsisten dengan periode retensi yang ditentukan oleh undang-undang yang berlaku, peraturan, dan program retensi organisasi.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques8. Ttingkat pelayanan yang

penting untuk mencapai tujuan pemrosesan harus didefinisikan dan didokumentasikan.

Menentukan bahwa:- sebuah persentase uptime yang

diinginkan sudah ditentukam- wakru respon uantuk setiap

transaksi sudah ditentukan- kapasitas komputer sudah

ditentukan.- kewajaran berdasarkan kebutuhan

dari setiap departemen pengguna.

Interview key user personnel untuk memvalidasi tingkat pelayanan yang ditentukan memadai. Interview key operations personnel untuk memvalidasi bahwa operasi dapat menyediakan pemrosesan yang diperlukan untuk mencapai tingkat pelayanan yang diinginkan.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques

9. Pengendalian internal dan persyaratan keamanan harus didefinisikan dan didokumentasikan.

Menentukan apakah kebutuhan user termasuk keamanan, pengendalian, dan masalah privasi dan kemudian memvalidasi bahwa persyaratan tersebut memadai dan meliputi risiko yang didefinisikan sebelumnya.

Identidikasi teknik pengendalian yang dibutuhkan untuk meminimalisir kerentanan sistem yang diusulkan.Sesuai dengan persyaratan. .

10. Persyaratan user harus diidentifikasi critical/sensitive-nya data dan asset, dan bagaimana item-item itu harus dikendalikan selama pemrosesan ERP.

Memvalidasi bahwa persyaratan sistem menunjukkan sensitivitas/pentingnya persyaratan perlindungan data dan asset .

Mereviu peraturan yang sesuai (seperti, in USA, Privacy Act of 1974, Freedom of Information Act, etc.). Untuk memvalidasi bahwa jenis transaksi/data/asset diatur oleh sistem akan dilindungi dengan layak.

AUDIT TEST

No. Control Objectives Audit Test Control Techniques

11. Audit dan teknik dan alat penjamin kualitas harus direncanakan untuk sistem.

Memvalidasi bahwa audit dan teknik dan alat penjamin kualitas yang dibutuhkan tersedia di dalam sistem atau jika hilang, kembangkan persyaratan untuk alat dan teknik tersebut.

Mereviu dokumentasi yang sesuai dan interview personnel secara sadar.

AUDIT TEST No. Control Objectives Audit Test Control Techniques

12. The system decision paper harus mencakup semua informasi yang dibutuhkan oleh manajemen pengguna untuk membuat keputusan tentang tindakan yang akan diambil mengenai sistem ERP .

1. Verifikasi adanya konsensus di antara departemen pengguna dan desainer mengenai alternatif yang direkomendasikan, biaya/manfaat, dan aspek teknologi dari pendekatan implementasi sistem.

2. Menentukan bahwa the system decision paper mencakup semua sistem informasi penting pada sistem ERP, seperti :

- Mission need.- Risks.- Alternatives.- Costs/benefits.- Management plan.- Supporting rationale for decisions. - Affordability in terms of projected budget and out-year funding.- Conceptual definitions.- Practicality of implementation plan.- ERPLC- Team/personnel/resources- Monitoring/oversight- Consistency with long-range plans and other key initiatives.

Melakukan interview yang terstruktur. Bandingkan struktur dan konten dari system decision paper dengan standar praktek bisnis.

ERP Presentation Kel 4

Documents

Transcript of ERP Presentation Kel 4