Kenapa Kami Bangun Sistem Hak Akses Bertingkat — dan Apa Artinya untuk Keamanan Operasional Kafe

Masalah yang Kelihatannya Sepele Sampai Terjadi

Waktu pertama kali merancang CrescendPOS, kami sempat bertanya: apakah kafe kecil benar-benar butuh sistem hak akses yang berbeda? Bukankah biasanya semua orang di kafe kecil saling percaya dan bisa melakukan apa saja?

Lalu kami bicara dengan lebih banyak pemilik kafe. Dan cerita yang kami dengar berulang kali kurang lebih seperti ini:

"Kasir saya mengubah harga menu tanpa izin." "Seseorang kasih diskon ke temannya, saya baru tahu dari laporan akhir bulan." "Staf menghapus pesanan yang sudah masuk, katanya salah input, tapi nggak ada yang bisa verifikasi."

Masalah-masalah ini bukan soal nggak percaya tim. Ini soal memberikan batasan yang jelas supaya kesalahan — sengaja atau nggak — nggak berdampak besar sebelum sempat ketahuan.

Tiga Level yang Kami Bangun

Setelah banyak observasi dan iterasi, kami settle di tiga level akses utama:

Owner

Akses penuh ke seluruh sistem. Owner bisa mengubah menu, harga, melihat semua laporan, mengelola staf, mengubah pengaturan bisnis, dan menyetujui tindakan sensitif seperti void dan diskon besar.

Kenapa owner dapat semuanya? Karena ini bisnis mereka. Mereka menanggung risiko, jadi mereka harus punya visibilitas dan kontrol penuh.

Manager

Bisa mengoperasikan POS, melihat laporan, dan melakukan approval untuk tindakan tertentu (seperti void atau diskon yang melebihi batas). Tapi nggak bisa mengubah pengaturan bisnis inti seperti harga menu atau konfigurasi sistem.

Kenapa ada batasan? Karena manager perlu cukup akses untuk menjalankan operasional sehari-hari tanpa owner harus selalu ada. Tapi pengaturan yang berdampak jangka panjang (harga, menu, konfigurasi) tetap di tangan owner.

Kasir

Bisa mengoperasikan POS: terima pesanan, proses pembayaran, buka dan tutup shift. Nggak bisa mengubah harga, memberikan diskon tanpa approval, menghapus pesanan, atau melihat laporan bisnis.

Kenapa paling terbatas? Bukan karena kasir nggak dipercaya. Tapi karena kasir adalah posisi dengan turnover tertinggi dan interaksi langsung dengan uang. Semakin sedikit hal yang bisa salah di level ini, semakin aman operasional secara keseluruhan.

Keputusan Desain yang Nggak Obvious

Beberapa keputusan dalam sistem hak akses kami yang mungkin nggak langsung terlihat alasannya:

Diskon di atas threshold tertentu butuh approval manager.

Kami nggak memblokir semua diskon — kasir masih bisa kasih diskon kecil sesuai kebijakan yang di-set owner. Tapi kalau diskon melebihi batas tertentu, perlu approval dari seseorang di level yang lebih tinggi. Alasannya: diskon kecil itu sering kali memang dibutuhkan (kompensasi kesalahan kecil, promo yang sedang berjalan). Tapi diskon besar tanpa kontrol bisa jadi lubang kebocoran yang signifikan.

Void dan pembatalan pesanan tercatat dan nggak bisa dihapus.

Kalau pesanan dibatalkan atau di-void, catatannya tetap ada di sistem — siapa yang melakukan, kapan, dan kenapa. Nggak bisa di-delete. Alasannya: void data itu data yang sangat valuable. Kalau satu kasir melakukan void 5 kali dalam satu shift, itu bisa berarti banyak hal — training yang kurang, interface yang membingungkan, atau masalah lain. Tapi kalau void bisa dihapus, kamu kehilangan sinyal ini.

Laporan keuangan nggak bisa dilihat oleh kasir.

Kasir bisa melihat ringkasan shift mereka sendiri (berapa transaksi, berapa kas yang harus dicocokkan). Tapi laporan bisnis keseluruhan — revenue total, profit, tren penjualan — hanya bisa dilihat oleh owner dan manager. Alasannya: bukan soal rahasia. Tapi informasi keuangan bisnis itu sensitif, dan distribusinya harus disengaja, bukan by default.

Perubahan harga menu memerlukan akses owner.

Manager bisa melihat menu, tapi nggak bisa mengubah harga. Ini keputusan yang kami perdebatkan — bukankah manager harusnya bisa update harga? Di konteks kafe kecil, jawaban kami: biasanya nggak. Harga itu keputusan strategis yang berdampak langsung di margin. Kalau harga bisa diubah oleh terlalu banyak orang, risiko inkonsistensi (harga di POS berbeda dari menu board) meningkat drastis.

Bagaimana Ini Bekerja di Kehidupan Nyata

Dalam praktik sehari-hari, alurnya kurang lebih begini:

Kasir masuk dengan PIN mereka. Mereka melihat layar POS yang fokus pada satu hal: terima pesanan dan proses pembayaran. Menu, harga, pengaturan — semua di-lock. Mereka bisa melakukan tugasnya tanpa khawatir nggak sengaja mengubah sesuatu yang nggak seharusnya.

Kalau ada situasi yang butuh tindakan di luar akses mereka — misalnya pelanggan minta diskon karena pesanan salah — kasir bisa request approval. Manager atau owner melakukan approval langsung di perangkat yang sama, tanpa harus login ulang di sistem terpisah.

Di akhir shift, kasir menutup shift mereka, menghitung kas, dan laporan shift otomatis ter-generate. Owner atau manager bisa review dari mana saja — mereka nggak harus fisik ada di kafe untuk tahu apa yang terjadi hari ini.

Trade-off yang Kami Sadar Ambil

Sistem hak akses yang lebih ketat berarti ada friction tambahan. Kadang kasir harus menunggu approval manager untuk tindakan yang mungkin legitimate dan urgent. Ada sedikit overhead administratif.

Tapi dari yang kami lihat, friction ini hampir selalu lebih murah dari alternatifnya: nggak tahu siapa yang melakukan apa, diskon yang nggak terkontrol, atau perubahan harga yang nggak disengaja yang baru ketahuan di akhir bulan.

Dan friction ini bisa dikurangi dengan konfigurasi yang tepat. Owner bisa mengatur batas diskon yang boleh diberikan kasir tanpa approval. Batas ini bisa disesuaikan seiring kepercayaan tumbuh — mulai ketat, longgarkan seiring waktu kalau track record bagus.

Kenapa Ini Penting untuk Kafe Kecil, Bukan Cuma Kafe Besar

"Tapi kafe saya cuma punya 3 orang. Apa gunanya role permissions?"

Justru karena tim kamu kecil, setiap kesalahan berdampak lebih besar. Di perusahaan besar dengan ribuan transaksi, satu void nggak terasa. Di kafe kecil yang revenue hariannya Rp2-3 juta, satu diskon yang nggak terkontrol bisa terasa di akhir bulan.

Dan kafe kecil hari ini mungkin jadi lebih besar besok. Kalau kamu mulai dengan kebiasaan operasional yang jelas dari awal — siapa boleh melakukan apa — scaling nanti jauh lebih mudah daripada mencoba menerapkan kontrol setelah sudah terlanjur longgar.

Bukan Soal Nggak Percaya — Soal Profesionalisme

Ini yang ingin kami sampaikan paling akhir, karena ini yang paling penting: role permissions bukan soal curiga atau nggak percaya tim kamu. Ini soal membangun operasional yang profesional.

Kafe yang punya role yang jelas mengkomunikasikan sesuatu ke timnya: "Kami serius menjalankan bisnis ini. Ada aturan yang jelas, dan aturan itu berlaku untuk semua orang." Ini justru membangun trust, bukan merusaknya.

Dan untuk kamu sebagai owner: ini soal bisa tidur tenang. Tahu bahwa sistem kamu punya guardrails yang mencegah hal-hal kecil menjadi masalah besar — tanpa kamu harus mengawasi setiap transaksi secara personal.