IT
GOVERNANCE & RISK MANAGEMENT
IT Governance adalah suatu cabang
dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI)
serta manajemen kinerja dan risikonya.
Risk Management adalah serangkaian
prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang
digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan
untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif
yang ditimbulkan oleh resiko tersebut.
Pada aspek keberadaan IT, telah
terjadi pergeseran cukup signifikan. Pergeseran IT sebagai pengolah data pada
sebuah departemen PDE (pengolahan data elektronik) menjadi penyedia informasi
bagi pihak manajemen (departemen IT).
Aspek – aspek pada IT
Governance dan Risk Management
1.
Tataran Korporasi
Aspek
ini terdiri atas tiga hal:
·
Kecukupan modal minimum.
·
Batasan portofolio investasi.
· Pemisahan rekening perusahaan dan
nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).
2.
Tataran Pengelola Perusahaan
Aspek
ini terdiri atas tiga hal:
·
Kompetensi manajemen berupa pengalaman
dan keahlian.
·
Integritas pengurus berupa rekam jejak
yang tidak tercela.
· Tata pengelolaan yang baik dan
transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan
perusahaan (white collar crime).
3.
Tataran Pelaksana Lapangan Perusahaan
Aspek
ini terdiri atas tiga hal:
·
Pengenalan segala risiko nasabah (risk appetite).
·
Pengetahuan tenaga penjual akan produk
investasi yang dijualnya.
· Transparansi dalam menjelaskan risiko
investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga
pelaksana (blue collar crime).
Contoh:
Pabrik sepatu dengan tenaga 10 orang menghadapi resiko bahwa sepatu-sepatu
tersebut rusak. Bila pabrik menambah mesih dan tenaga kerja, maka resikonya
bertambah, antara lain kerusakan mesin, keributan karyawan dan lain-lain.
Contoh
dari Aspek pada IT Governance dan Risk Management
Persoalan mulai muncul ketika
produk-produk investasi berkembang demikian cepat dan mencari celah-celah
regulasi sehingga produk-produk tersebut tidak berada dalam yurisdiksi
otoritas-otoritas yang selama ini bertugas mengawasi perusahaan yang menjual
produk investasi. Contoh yang paling baru adalah kasus investasi emas bodong.
Tahun lalu Malaysia dan Singapura
dikejutkan dengan skandal besar investasi emas bodong. The Gold Guarantee
Malaysia (TGG-M) dan Asia Pacific Bullion yang berbasis di Singapura dikejutkan
dengan kaburnya pemimpin perusahaan itu, Lee Song Teck. Geneva Singapura juga
melakukan hal yang sama, pemimpinnya Leow Wee Khong, tidak diketahui
keberadaanya. Bank Sentral Singapura memasukkan tiga perusahaan itu dalam
Daftar Waspada Investasi Perusahaan Tidak Berizin.
Bank Sentral Malaysia melakukan hal
yang sama untuk Geneva Malaysia, Pageantry Gold, Caesar Gold, Worldwide Far
East dan Bestino. Sebagai taktik pemasarannya, salah satu perusahaan itu
mengaku model penjualan emasnya telah disetujui oleh Bank Sentral, sesuai
dengan prinsip syariah dan mempunyai Dewan Pengawas Syariah, bahkan menampilkan
foto mantan Perdana Menteri Malaysia untuk meyakinkan calon nasabahnya. Tiga
pemimpin Geneva, Marcus Yee Yuen Seng, Ng Poh Weng, Chin Wai Leong disangkakan
telah melakukan praktek bank gelap, pencucian uang dan penghindaran pajak oleh
Bank Sentral Malaysia. Tiga orang ini juga menjadi pemimpin Geneva Singapura.
Perusahaan-perusahaan investasi emas
bodong ini bersembunyi di celah regulasi yang belum mengatur penjualan produk
investasi emas berkedok penjualan emas. Mekanisme bisnis mereka adalah menjual
emas dengan harga 20-25% diatas harga pasar. Katakan saja harga pasar Rp 500
ribu rupiah per gram, dijual Rp 600 ribu rupiah per gram. Nasabah mendapat dua
hal untuk kelebihan harga itu. Pertama, nasabah dapat diskon harga 2,5% per
bulan dari harga belie mas. Kedua, pada akhir periode kontrak nasabah dapat
jaminan pembelian kembali emas seharga harga belinya.
Selisih harga emas itulah yang
menyebabkan perusahaan sejenis ini tidak dapat dikategorikan sebagai perusahaan
penjual emas, tapi masuk dalam kategori perusahaan yang menjual produk
investasi. Selisih harga emas itulah yang berpotensi menjadi money game atau
dikenal luas sebagai sistem Ponzi. Itu pula yang dijadikan alasan Bank Sentral
Malaysia mengenakan sangkaan “penghimpunan dana masyarakat secara illegal”.
Dalam prakteknya, bahkan sebagian besar transaksi tidak terjadi penyerahan
fisik emas, atau hanya sebagian kecil emas yang diserahkan fisiknya, atau terjadi
selisih waktu antara penyerahan uang dengan penyerahan fisik emas.
Model bisnis yang persis sama
kemudian ditawarkan di Indonesia. Salah satu perusahaan bahkan menggunakan
taktik pemasaran yang sama persis. Dengan menyalahgunakan rekomendasi Dewan Syariah
Nasional MUI yang seharusnya digunakan untuk mengurus kelengkapan ijin
legalitas dari otoritas yang berwenang, namun digunakan untuk kepentingan
pemasaran mengelabui calon nasabah. Juga menampilkan foto Ketua DPR dan Ketua
MUI untuk tujuan yang sama. Setelah itu, giliran Indonesia dikejutkan dengan
skandal yang sama, kaburnya pemilik PT GTIS warga negara Malaysia, Michael Han
Cun Ong, Edward C.H. Ho, sedangkan Dato Zahari Sulaiman sebagai komisarisnya.
Kesadaran otoritas keuangan akan
adanya celah regulasi ini, terlihat dari munculnya berbagai regulasi di
beberapa negara tentang investasi emas. Cina bahkan sejak tahun 1949 melarang
penjualan produk investasi emas oleh swasta, baru sejak tahun 2002 diijinkan
bertahap dengan aturan yang ketat. Amerika Serikat juga telah melarang semua
produk investasi emas dalam bentuk produk derivatif emas dan perak kepada
investor ritel. Bank Sentral India juga membuat regulasi tentang hal yang sama.
Otoritas Malaysia dan Singapura memasukkannya ke dalam yurisdiksi mereka
sebagai kegiatan shadow banking.
Itu sebabnya ketika GTIS meminta
rekomendasi DSN MUI untuk kelengkapan dokumen mengurus legalitas ijin. DSN MUI
memberikan sederet ketentuan dan syarat yang harus dipenuhi. Diantara yang
terpenting adalah harusnya adanya penyerahan uang dan fisik emas secara tunai
pada saat yang bersamaan. Memahami adanya perbedaan harga pembelian emas dengan
harga pasar, yang memasukkan perusahaan ini sebagai perusahaan yang menjual
produk investasi. DSN MUI mengarahkan perusahaan ini mengurus legalitas ijinya
ke Badan Pengawas Perdagangan Berjangka Komoditi (Bappebti). OJK tidak menjadi
pilihan karena yurisdiksinya tidak mencakup produk investasi berbasis komoditi.
Ada dua alasan DSN MUI
mengarahkannya ke Bappebti. Pertama, UU No. 10 tahun 2011 tentang Perdagangan
Berjangka Komoditi telah mengakomodir produk syariah. Kedua, DSN MUI telah
bekerja sama dengan Bursa Berjangka Jakarta (BBJ) untuk produk syariah
berdasarkan Fatwa DSN No. 82 tahun 2011. Hal ini sangat penting karena model bisnis
seperti yang ditawarkan GTIS ini memang belum dikenal dalam yurisdiksi
Bappebti, BBJ, dan berbeda dengan yang digariskan dalam Fatwa No. 82.
GTIS bermain di celah regulasi yang
ada. Tidak masuk yurisdiksi Bank Indonesia, OJK, maupun Bappebti. Yurisdiksi
penjualan fisik emas juga tidak karena adanya perbedaan harga beli emas dengan
harga pasar, ada diskon bulanan, ada kontrak, ada buy back guarantee. DSN MUI jelas bukan otoritas yang memiliki
yurisdiksi. DSN MUI diberi wewenang oleh UU Perseroan Terbatas untuk memberikan
rekomendasi syariah yang diperlukan dalam mengurus ijin usaha bagi perusahaan
yang akan menawarkan produk berbasis syariah.
Bank Indonesia sebagai otoritas yang
mengatur micro prudential khususnya bidang perbankan, memang tidak memiliki
wewenang untuk mengatur perusahaan non-bank seperti GTIS. Namun bila GTIS
melakukan kegiatan shadow banking tentu masuk dalam ranah BI. Sebagai otoritas
macro prudential yang mencakup otoritas moneter dan sistem pembayaran, jelas
berkepentingan dengan cadangan emas dan cadangan devisa, dan tentunya
perdagangan emas dan valas.
Langkah – langkah pada
Auditing IT Governance
Auditor TI bertanggung
jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam
pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat
melakukan sejumlah peran kunci dalam Gary Hardy, “The Role of the IT Auditor in
IT Governance” 1 (2009): 1-2:
·
Memulai program tata kelola TI:
menjelaskan tata kelola TI dan nilainya pada manajemen.
· Menilai kondisi saat ini: memberikan
masukan dan membantu memberikan penilaian kondisi yang sebenarnya.
·
Merencanakan solusi tata kelola TI.
·
Memantau inisiatif tata kelola TI.
· Membantu membuat bisnis tata kelola TI,
seperti: memberikan input objektif dan konstruktif, mendorong penilaian diri,
dan memberikan keyakinan kepada manajemen bahwa tata kelola bekerja secara
efektif.
Ada beberapa teknik
audit untuk melakukan audit pada Teknologi Informasi. Auditor dapat menggunakan
tiga kategori berikut dalam menguji pengendalian, yaitu:
1.
Teknik audit berbantuan computer (Computer
Assisted Audit Techniques/CAAT)
Terdiri
atas Auditing Around the Computer,
dimana dengan teknik ini auditor menguji reliability
dari computer generated information
dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang
dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan
hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan
bahwa system pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok
jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih
relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara
periodic.
2.
Auditing With the Computer
Adalah
auditing dengan pendekatan computer, menggunakan teknik bervariasi yang biasa
juga disebut Computer Assisted Audit
Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis
kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah
satu CAAT yang lazim dipakai adalah General
Audit Software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of
control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi
algoritma yang komplek dalam program
computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan
software ini.
3.
Audit Through the Computer
Merupakan
teknik fokus pada testing tahapan pemrosesan computerized, logic program, edit
routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program
pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan program
check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa
terdeteksi.
Audit
IT pada domain EDM, APO, BAI, DSS dan MEA
Audit
IT pada domain EDM (Evaluate, Direct and Monitor)
Proses
tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian,
optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan
untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan
pemantauan hasilnya.
Audit
IT pada domain APO (Align, Plan and Organize)
Proses
manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan
layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan
identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan
bisnis.
Audit IT pada domain BAI (Build, Acquire and Implement)
Proses
manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah
menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu
diidentifikasikan, dikembangkan, serta diimplementasikan dan di integrasikan ke
dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup
dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.
Audit
IT pada domain DSS (Deliver, Service and Support)
Proses
manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir (end
user). Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang
dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan
keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas
operasional.
Audit
IT pada domain MEA (Monitor, Evaluate and Assess)
Proses
manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang
disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara
teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain
ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan
terhadap peraturan dan tata kelola.
Daftar Pustaka
Komentar
Posting Komentar