IT Governance & Risk Management


IT GOVERNANCE & RISK MANAGEMENT

            IT Governance adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya.
            Risk Management adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh resiko tersebut.
            Pada aspek keberadaan IT, telah terjadi pergeseran cukup signifikan. Pergeseran IT sebagai pengolah data pada sebuah departemen PDE (pengolahan data elektronik) menjadi penyedia informasi bagi pihak manajemen (departemen IT).

Aspek – aspek pada IT Governance dan Risk Management
1.      Tataran Korporasi
Aspek ini terdiri atas tiga hal:
·         Kecukupan modal minimum.
·         Batasan portofolio investasi.
·   Pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2.      Tataran Pengelola Perusahaan
Aspek ini terdiri atas tiga hal:
·         Kompetensi manajemen berupa pengalaman dan keahlian.
·         Integritas pengurus berupa rekam jejak yang tidak tercela.
·    Tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).

3.      Tataran Pelaksana Lapangan Perusahaan
Aspek ini terdiri atas tiga hal:
·         Pengenalan segala risiko nasabah (risk appetite).
·         Pengetahuan tenaga penjual akan produk investasi yang dijualnya.
·   Transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).

Contoh: Pabrik sepatu dengan tenaga 10 orang menghadapi resiko bahwa sepatu-sepatu tersebut rusak. Bila pabrik menambah mesih dan tenaga kerja, maka resikonya bertambah, antara lain kerusakan mesin, keributan karyawan dan lain-lain.

Contoh dari Aspek pada IT Governance dan Risk Management
            Persoalan mulai muncul ketika produk-produk investasi berkembang demikian cepat dan mencari celah-celah regulasi sehingga produk-produk tersebut tidak berada dalam yurisdiksi otoritas-otoritas yang selama ini bertugas mengawasi perusahaan yang menjual produk investasi. Contoh yang paling baru adalah kasus investasi emas bodong.

            Tahun lalu Malaysia dan Singapura dikejutkan dengan skandal besar investasi emas bodong. The Gold Guarantee Malaysia (TGG-M) dan Asia Pacific Bullion yang berbasis di Singapura dikejutkan dengan kaburnya pemimpin perusahaan itu, Lee Song Teck. Geneva Singapura juga melakukan hal yang sama, pemimpinnya Leow Wee Khong, tidak diketahui keberadaanya. Bank Sentral Singapura memasukkan tiga perusahaan itu dalam Daftar Waspada Investasi Perusahaan Tidak Berizin.

            Bank Sentral Malaysia melakukan hal yang sama untuk Geneva Malaysia, Pageantry Gold, Caesar Gold, Worldwide Far East dan Bestino. Sebagai taktik pemasarannya, salah satu perusahaan itu mengaku model penjualan emasnya telah disetujui oleh Bank Sentral, sesuai dengan prinsip syariah dan mempunyai Dewan Pengawas Syariah, bahkan menampilkan foto mantan Perdana Menteri Malaysia untuk meyakinkan calon nasabahnya. Tiga pemimpin Geneva, Marcus Yee Yuen Seng, Ng Poh Weng, Chin Wai Leong disangkakan telah melakukan praktek bank gelap, pencucian uang dan penghindaran pajak oleh Bank Sentral Malaysia. Tiga orang ini juga menjadi pemimpin Geneva Singapura.

            Perusahaan-perusahaan investasi emas bodong ini bersembunyi di celah regulasi yang belum mengatur penjualan produk investasi emas berkedok penjualan emas. Mekanisme bisnis mereka adalah menjual emas dengan harga 20-25% diatas harga pasar. Katakan saja harga pasar Rp 500 ribu rupiah per gram, dijual Rp 600 ribu rupiah per gram. Nasabah mendapat dua hal untuk kelebihan harga itu. Pertama, nasabah dapat diskon harga 2,5% per bulan dari harga belie mas. Kedua, pada akhir periode kontrak nasabah dapat jaminan pembelian kembali emas seharga harga belinya.

            Selisih harga emas itulah yang menyebabkan perusahaan sejenis ini tidak dapat dikategorikan sebagai perusahaan penjual emas, tapi masuk dalam kategori perusahaan yang menjual produk investasi. Selisih harga emas itulah yang berpotensi menjadi money game atau dikenal luas sebagai sistem Ponzi. Itu pula yang dijadikan alasan Bank Sentral Malaysia mengenakan sangkaan “penghimpunan dana masyarakat secara illegal”. Dalam prakteknya, bahkan sebagian besar transaksi tidak terjadi penyerahan fisik emas, atau hanya sebagian kecil emas yang diserahkan fisiknya, atau terjadi selisih waktu antara penyerahan uang dengan penyerahan fisik emas.

            Model bisnis yang persis sama kemudian ditawarkan di Indonesia. Salah satu perusahaan bahkan menggunakan taktik pemasaran yang sama persis. Dengan menyalahgunakan rekomendasi Dewan Syariah Nasional MUI yang seharusnya digunakan untuk mengurus kelengkapan ijin legalitas dari otoritas yang berwenang, namun digunakan untuk kepentingan pemasaran mengelabui calon nasabah. Juga menampilkan foto Ketua DPR dan Ketua MUI untuk tujuan yang sama. Setelah itu, giliran Indonesia dikejutkan dengan skandal yang sama, kaburnya pemilik PT GTIS warga negara Malaysia, Michael Han Cun Ong, Edward C.H. Ho, sedangkan Dato Zahari Sulaiman sebagai komisarisnya.

            Kesadaran otoritas keuangan akan adanya celah regulasi ini, terlihat dari munculnya berbagai regulasi di beberapa negara tentang investasi emas. Cina bahkan sejak tahun 1949 melarang penjualan produk investasi emas oleh swasta, baru sejak tahun 2002 diijinkan bertahap dengan aturan yang ketat. Amerika Serikat juga telah melarang semua produk investasi emas dalam bentuk produk derivatif emas dan perak kepada investor ritel. Bank Sentral India juga membuat regulasi tentang hal yang sama. Otoritas Malaysia dan Singapura memasukkannya ke dalam yurisdiksi mereka sebagai kegiatan shadow banking.

            Itu sebabnya ketika GTIS meminta rekomendasi DSN MUI untuk kelengkapan dokumen mengurus legalitas ijin. DSN MUI memberikan sederet ketentuan dan syarat yang harus dipenuhi. Diantara yang terpenting adalah harusnya adanya penyerahan uang dan fisik emas secara tunai pada saat yang bersamaan. Memahami adanya perbedaan harga pembelian emas dengan harga pasar, yang memasukkan perusahaan ini sebagai perusahaan yang menjual produk investasi. DSN MUI mengarahkan perusahaan ini mengurus legalitas ijinya ke Badan Pengawas Perdagangan Berjangka Komoditi (Bappebti). OJK tidak menjadi pilihan karena yurisdiksinya tidak mencakup produk investasi berbasis komoditi.

            Ada dua alasan DSN MUI mengarahkannya ke Bappebti. Pertama, UU No. 10 tahun 2011 tentang Perdagangan Berjangka Komoditi telah mengakomodir produk syariah. Kedua, DSN MUI telah bekerja sama dengan Bursa Berjangka Jakarta (BBJ) untuk produk syariah berdasarkan Fatwa DSN No. 82 tahun 2011. Hal ini sangat penting karena model bisnis seperti yang ditawarkan GTIS ini memang belum dikenal dalam yurisdiksi Bappebti, BBJ, dan berbeda dengan yang digariskan dalam Fatwa No. 82.

            GTIS bermain di celah regulasi yang ada. Tidak masuk yurisdiksi Bank Indonesia, OJK, maupun Bappebti. Yurisdiksi penjualan fisik emas juga tidak karena adanya perbedaan harga beli emas dengan harga pasar, ada diskon bulanan, ada kontrak, ada buy back guarantee. DSN MUI jelas bukan otoritas yang memiliki yurisdiksi. DSN MUI diberi wewenang oleh UU Perseroan Terbatas untuk memberikan rekomendasi syariah yang diperlukan dalam mengurus ijin usaha bagi perusahaan yang akan menawarkan produk berbasis syariah.

            Bank Indonesia sebagai otoritas yang mengatur micro prudential khususnya bidang perbankan, memang tidak memiliki wewenang untuk mengatur perusahaan non-bank seperti GTIS. Namun bila GTIS melakukan kegiatan shadow banking tentu masuk dalam ranah BI. Sebagai otoritas macro prudential yang mencakup otoritas moneter dan sistem pembayaran, jelas berkepentingan dengan cadangan emas dan cadangan devisa, dan tentunya perdagangan emas dan valas.

Langkah – langkah pada Auditing IT Governance
Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran kunci dalam Gary Hardy, “The Role of the IT Auditor in IT Governance” 1 (2009): 1-2:
·         Memulai program tata kelola TI: menjelaskan tata kelola TI dan nilainya pada manajemen.
·  Menilai kondisi saat ini: memberikan masukan dan membantu memberikan penilaian kondisi yang sebenarnya.
·         Merencanakan solusi tata kelola TI.
·         Memantau inisiatif tata kelola TI.
·   Membantu membuat bisnis tata kelola TI, seperti: memberikan input objektif dan konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen bahwa tata kelola bekerja secara efektif.

Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu:
1.      Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT)
Terdiri atas Auditing Around the Computer, dimana dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic.

2.      Auditing With the Computer
Adalah auditing dengan pendekatan computer, menggunakan teknik bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah General Audit Software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.

3.      Audit Through the Computer
Merupakan teknik fokus pada testing tahapan pemrosesan computerized, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan program check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.

Audit IT pada domain EDM, APO, BAI, DSS dan MEA
Audit IT pada domain EDM (Evaluate, Direct and Monitor)
Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan and Organize)
Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire and Implement)
Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikasikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service and Support)
Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir (end user). Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate and Assess)
Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

Daftar Pustaka

Komentar