Pengauditan 1: Mengomunikasikan Kelemahan SPI & Menyelesaikan Penilian Risiko Audit Akhir....

LANGKAH-LANGKAH YANG PERLU DILAKUKAN OLEH AUDITOR DALAM MELAKUKAN TUGASNYA DI MASA PANDEMI COVID-19 Adanya pandemi covid-19 memberikan pengaruh yang signifikan diberbagai aspek di Indonesia, baik dari segi ekonomi, politik, sosial, pendidikan dan tidak terkecuali instansi pelayanan publik seperti Kantor Akuntan Publik/ KAP. Dengan diberlakukannya pandemi ini cukup mempengaruhi sebagian besar proses bisnis yang dijalankan oleh KAP, baik itu manajemen internal maupun jaringan KAP. Terfokus pada tugas auditor dalam melakukan tugasnya menjadi tidak berjalan mulus dan tidak sedikit pula hambatannya, hal ini disebabkan dari kurangnya bukti audit, laporan keuangan yang tidak relevan, serta kurangnya informasi yang di peroleh karna adanya PSBB ini. Akibatnya auditor akan membutuhkan proses yang cukup lama untuk memberikan laporan mengenai opini audit. Maka dari itu diperlukan pertimbangan kembali atas perikatan audit, audit jarak jauh, serta pendekatan audit alternatif yang harus ditempuh dalam masa pandemi ini. Pertama, Prosedur penilaian risiko dan pemahaman auditor atas pengendalian internal perusahaan menjadi salah satu hal yang harus dipahami auditor. Dengan ini, auditor dapat mengevaluasi risiko tambahan yang muncul seperti gangguan operasional pada setiap perubahan model bisnis yang diakibatkan oleh pandemi. Kedua, Penerimaan perikatan audit dan keberlanjutan klien tak boleh lepas dari pertimbangan. Auditor harus mengidentifikasi dan menilai risiko audit, juga menelaah kembali penilaian risiko yang telah dilakukan oleh manajemen. Di situ, auditor menilai apakah manajemen telah mengidentifikasi signifikansi risiko bisnis yang muncul dan bagaimana kemampuan perusahaan untuk mempertahankan kelangsungan usahanya. Selanjutnya, auditor merevieuw pengendalian mutu perikatan yang dapat menjadi indikator penerimaan perikatan audit dan keberlanjutan klien. Ketiga, Auditor perlu melakukan perubahan yang relevan dalam upaya memperoleh bukti audit dan mengeksplorasi prosedur-prosedur audit alternatif, karna adanya pandemi Covid-19 juga mempengaruhi hasil pemerolehan bukti audit, seperti diberlakuannya PSBB(pembatasan sosial berskala besar), yang berimbas pada pembatasan akses dan perjalanan maupun ketersediaan personel dari auditor dan auditee. Keempat, Auditor perlu mencermati bagaimana SA 330 (Respons Auditor terhadap Risiko yang Telah Dinilai) menjadi panduan guna mengidentifikasi perubahan yang relevan terhadap kemampuan auditor untuk memperoleh bukti audit yang cukup dan tepat selama masa pandemi. Kelima, Auditor perlu menjaga komunikasi yang tepat waktu kepada manajemen, pihak yang bertanggung jawab atas tata kelola, dan regulator terkait dampak pandemi terhadap laporan keuangan. Seperti dalam tahap penerimaan dan keberlanjutan klien, auditor melakukan evaluasi atas penilaian manajemen terhadap kemampuan perusahaan untuk mempertahankan kelangsungan usahanya. Keenam, Auditor juga hendaknya memberikan perhatian khusus kepada proses tutup buku terutama pada akun tertentu, jurnal penyesuaian, transaksi non-rutin maupun transaksi khusus, serta keseluruhan penyajian dalam laporan keuangan. Demikian pula dengan evaluasi ketepatan asumsi dan keandalan data yang digunakan atas kondisi pandemi ini. Ketujuh, pentingnya pengumpulan informasi segmen yang mungkin berubah untuk audit tahun 2020 dibandingkan dengan tahun sebelumnya pada suatu entitas. Termasuk di dalamnya kemungkinan penurunan nilai atas aset tetap dan aset takberwujud jika ada segmen perusahaan yang berhenti beroperasi. Kedelapan, Penghitungan fisik persediaan juga diperlukan prosedur alternatif, yaitu pengujian penjualan setelah akhir tahun, pengujian pengendalian lainnya atas persediaan, dan penggunaan drone atau penginderaan jarak jauh sebagai opsi.

Auditor juga harus mempertimbangkan prinsip-prinsip yang dinyatakan dalam SA 700, SA 705, SA 706, serta SA 570 dalam merumuskan suatu opini audit atas laporan keuangan.

Sekian..semoga bermanfaat informasi nya.Terimakasih...

CHAPTER 8 - RISK OF FRAUD AND ILLEGAL ACTS

Salah satu risiko paling signifikan yang dihadapi organisasi kontemporer adalah risiko fraud/kecurangan. Ketika fraud muncul, apakah dilakukan oleh indibidual karyawan, kolusi diantara banyak karyawan, atau pihak ketiga diluar perusahaan yang merugiikan perusahaan bisa menyebabkan kerugian tidak hanya kerugian finansial tetapi juga rusaknya reputasi yang serius. Dalam banyak kasus, terjadinya fraud pada perusahaan publik dengan cepat menyebabkan penurunan pada harga saham dan kapitalisasi pasar, dan dapat menjadi indikator awal dari financial distress/ kesulitan keuangan. Mengingat konsekuensi ekonomi yang serius dari fraud, manajemen senior dan governing boards semakin menekankan program anti fraud dan kontrol untuk menangani bisnis utama, kepatuhan terhadap peraturan, dan driver pasar. Pembaruan fokus global pada tata kelola perusahaan berasal dari kesadaran bahwa kecurangan pelaporan keuangan dengan mudah dapat menyebabkan kegagalan organisasi.

 Tindakan llegal adalah kegiatan yang melanggar hukum dan peraturan yurisdiksi tertentu di mana perusahaan beroperasi. Auditor internal di perusahaan besar sering mengambil peran untuk memastikan kepatuhan terhadap peraturan. Langkah pertama biasanya termasuk penyelesaian penilaian risiko fraud. Telah terjadi peningkatan dalam penerapan peran baru dalam banyak organisasi, seperti direktur kepatuhan (CCO) dan pejabat risiko kepala (CRO).

OVERVIEW OF FRAUD IN TODAY'S BUSINESS WORLD

Fraud tidak terbatas hanya pada negara atau industri tertentu. Fraud dapat timbul dalam organisasi hampir setiap saat. Pada awal abad kedua puluh satu, skandal akuntansi besar di AS (misalnya, Enron dan World Com) adalah berita utama di seluruh dunia. Skandal perusahaan tersebut tidak hanya merugikan investor miliaran dolar AS, kejadian tersebut juga mengakibatkan hilangnya kepercayaan pasar modal AS. Association of Certified Fraud Examiners (ACFE) melakukan survei dua tahunan kepada anggotanya dan menyiapkan A Report To The Nation On Occupational Fraud And Abuse (Report To Nation).. Akhir tahun 2012 Laporan mencakup 94 negara dan dengan demikian memberikan wawasan tentang fraud di seluruh dunia. Laporan tahun 2012 didasarkan pada data yang dikumpulkan dari 1.388 kasus penipuan dari berbagai industri yang diteliti pada tahun 2010 dan 2011. Fraud terus menjadi perhatian utama bagi organisasi di seluruh dunia, dengan lebih dari seperlima dari insiden fraud yang menyebabkan kerugian sebesar $ 1 juta pada 2011.

 Informasi dari kasus-kasus tersebut dilaporkan oleh certified fraud examiners (CFEs) yang menyelidiki kasus-kasus tersebut . Berikut rangkuman dari beberapa temuan selama tahun 2012 :

Peserta dalam survei memperkirakan bahwa organisasi kehilangan 5 persen dari pendapatan tahunan mereka dari fraud, sedikit menurun dari 6 persen diperkirakan (untuk AS saja) pada tahun 2010 laporan kepada bangsa.

Skema penipuan kerja cenderung sangat mahal.

Skema penipuan Kerja sering berlanjut selama bertahun-tahun sebelum mereka terdeteksi.

Skema penipuan yang paling umum adalah penyalahgunaan aset, yang terjadi pada 87 persen dari semua kasus, dan mengakibatkan kerugian rata-rata $ 120.000.

Penipuan kerja jauh lebih mungkin untuk dideteksi dengan tip(petunjuk/informasi) daripada audit, kontrol, atau cara lain.

Corruption and billing schemes menimbulkan risiko terbesar bagi organisasi di seluruh dunia.

Semakin lama pelaku fraud telah bekerja untuk sebuah organisasi, kerugian akan fraud cenderung semakin tinggi.

Fraud dapat terjadi dalam setiap jenis organisasi, industri yang paling sering menjadi korban adalah perbankan dan jasa keuangan, pemerintah dan administrasi publik, dan manufaktur.

Occupational frauds yang paling sering dilakukan oleh individu yang bekerja di salah satu dari enam departemen: akuntansi, operasional, penjualan, eksekutif / manajemen atas, layanan pelanggan, dan pembelian.

Occupational fraudsters umumnya merupakan pelanggar pertama kali.

Fraud perpetrators / Pelaku penipuan sering menampilkan ciri-ciri perilaku yang mengindikasikan kemungkinan perilaku ilegal; ini tercatat dalam 81 persen dari kasus yang dilaporkan 

Poin kunci di sini adalah bahwa tidak ada organisasi yang kebal terhadap fraud. Hal ini dapat terjadi di organisasi besar dan kecil, dan di negara atau industri. Selama manusia, dengan kelemahan yang melekat pada mereka, yang terlibat dalam organisasi, risiko fraud adalah nyata.

DEFINITIONS OF FRAUD

1. Black's Authoritative Definition Of Fraud

Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik, dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.

 2. The Institute of Internal Auditors (IIA)

(From the Glossary to its Standards in the International Professional Practices Framework)

Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan keuntungan pribadi atau bisnis.

3. The American Institute of Certified Public Accountants (AICPA) (From Statement on Auditing Standard No. 99)

Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan aset.

4. Association of Certified Fraud Examiners (ACFE)

(From the 2008 Report to the Nation on Occupational Fraud)

Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja atau penyalahgunaan sumber daya atau aset organisasi.

The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama fraud: pernyataan palsu, yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi (misalnya, melebih-lebihkan pendapatan dan mengecilkan kewajiban dan beban); penyalahgunaan aset, yang melibatkan pencurian atau penyalahgunaan aset organisasi (misalnya, menggelapkan pendapatan, mencuri persediaan, atau penipuan gaji); dan korupsi, di mana pelaku fraud menggunakan pengaruh mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri sendiri atau orang lain, bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain.

  OUTLINE OF THE ACFE'S OCCUPATIONAL FRAUD AND ABUSE CLASSIFICATION SYSTEM

1. Manipulasi secara sengaja terhadap laporan keuangan, yang dapat menyebabkan:

Tidak tepatnya pelaporan pendapatan.

Tidak tepatnya pelaporan biaya.

Tidak tepatnya penggambaran jumlah neraca, termasuk cadangan.

Tidak tepatnya peningkatan dan / atau pengungkapan yang tidak transparan.

Menyembunyikan penyalahgunaan aset.

Menyembunyikan penerimaan dan pengeluaran yang tidak sah.

Menyembunyikan akuisisi tidak sah, disposisi, dan penggunaan aset.

2. Penyelewengan atas:

a. Aset berwujud oleh:

 Karyawan

 Pelanggan

 Vendors.

 Mantan karyawan dan lain-lain di luar organisasi

b. Aset tak berwujud

c. Peluang bisnis yang dimilik.

3.  Korupsi, termasuk:

 a.  Penyuapan dan Bribery and gratifikasi untuk: 

Perusahaan

Individu

Pejabat publik

b.  Penerimaan suap, kickbacks dan gratifikasi

c.  Membantu dan bersekongkol penipuan oleh pihak lain (misalnya, pelanggan, vendor)

 THE FRAUD TRIANGLE

 Sebuah kerangka konseptual penting dalam memahami fraud adalah konsep fraud triangle yang terdiri dari kesempatan (opportunity), kebutuhan/tekanan (need/pressure) dan rasionalisasi (rationalization).

Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi tersebut. Terbukanya kesempatan ini juga dapat menggoda individu atau kelompok yang sebelumnya tidak memiliki motif untuk melakukan fraud.

Pressure atau motivasi pada sesorang atau individu akan membuat mereka mencari kesempatan melakukan fraud, beberapa contoh pressure dapat timbul karena masalah keuangan pribadi, Sifat-sifat buruk seperti berjudi, narkoba, berhutang berlebihan dan tenggat waktu dan target kerja yang tidak realistis.

Rationalization terjadi karena seseorang mencari pembenaran atas aktivitasnya yang mengandung fraud. Pada umumnya para pelaku fraud meyakini atau merasa bahwa tindakannya bukan merupakan suatu kecurangan tetapi adalah suatu yang memang merupakan haknya, bahkan kadang pelaku merasa telah berjasa karena telah berbuat banyak untuk organisasi. Dalam beberapa kasus lainnya terdapat pula kondisi dimana pelaku tergoda untuk melakukan fraud karena merasa rekan kerjanya juga melakukan hal yang sama dan tidak menerima sanksi atas tindakan fraud tersebut.

KEY PRINCIPLES FOR MANAGING FRAUD RISK

The Fraud Guide menekankan betapa pentingnya bagi entitas untuk menetapkan upaya ketat dan berkelanjutan untuk melindungi diri dari tindakan penipuan. Ada lima prinsip inti yang perlu diikuti oleh organisasi:

Prinsip 1: Fraud Risk Governance

 Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risiko dan aktivitas lainnya yang berada di tempat untuk membantu memastikan pencapaian tujuan bisnis, terutama untuk mengidentifikasi dan mengelola risiko fraud.

 Prinsip 2: Fraud Risk Assessment

Entitas harus terlebih dahulu mengidentifikasi kejadian fraud yang potensial atau scenario yang mungkin rentan.

Prinsip 3 dan 4: Fraud Prevention and Detection

Program manajemen risiko fraud harus memiliki keseimbangan pencegahan dan deteksi kontrol yang tepat. Kontrol Pencegahan dapat dirancang untuk menghentikan penipuan dari yang terjadi.

Sementara organisasi biasanya lebih memilih untuk mencegah penipuan, yang tidak selalu efektif, adalah penting untuk merancang dan menerapkan kontrol deteksi yang efektif juga.

Prinsip 5: Fraud Reporting, Investigation and Resolution

Penting bagi suatu organisasi untuk membangun sistem pelaporan untuk memfasilitasi dan mendorong pelaporan insiden penipuan potensial.

GOVERNANCE OVER THE FRAUD RISK MANAGEMENT PROGRAM

Pada organisasi yang telah mengembangkan budaya perusahaan yang mencakup praktik tatakelola dewan sampai dengan operasional di level manajemen, termasuk:

·       Arus informasi dan agenda Dewan Komisaris

·       Akses ke berbagai level manajemen dan pengendalian efektif dari jalur whistleblower

·       Proses nominasi yang independen

·       Tim Manajemen Senior yang efektif à evaluasi, manajemen kinerja, kompensasi dan rencana suksesi

·       Pedoman perilaku yang spesifik bagi manajemen senior, sebagai tambahan pedoman perilaku organisasi

·       Penekanan yang kuat pada efektivitas independen BoC dan proses melalui evaluasi BoC, sesi pimpinan dan partisipasi aktif dalam upaya pengawasan strategis dan mitigasi risiko.

 ROLES AND RESPONSIBILITIES

Peran dan TanggungJawab dalam program manajemen risiko fraud harus dilakukan secara formal dan dikomunikasikan. Kebijakan dan prosedur, job description, piagam dan delegasi dari pihak berwenang penting dalam mendefinisikan beragam peran dan tanggungjawab program tersebut.

1.     Board of Directors

 Board of Director melakukan praktik governace seperti yang dijelaskan di atas. Board of Director

menjalankan peran oversight termasuk dalam program manajemen risiko perusahaan

 .      Manajemen

 Manajemen senior selain harus memberikan contoh atau “tone of the top” juga berperan dalam membangun sistem monitoring dan pelaporan yang memungkinkan evaluasi apakah manajemen risiko fraud berjalan secara efektif.

3.      Pegawai

 Pelaksanaan program manajemen risiko fraud, khususnya kontrol yang dirancang untuk mencegah dan mendeteksi kecurangan, harus melibatkan setiap orang dalam organisasi. Seluruh pegawai dilibatkan dalam pelaksanaan program manajemen risiko fraud melalui internalisasi budaya perusahaan dan dibekali pemahaman untuk membangun fraud awareness

 4.      Unit Audit Internal

Sebagai unit yang memiliki peran assurance dalam perusahaan memegang peran penting dalam tatakelola dan program manajemen risiko kecurangan di perusahaan.

Components of a Fraud Risk Management Program

Meskipun tidak ada "satu ukuran cocok untuk semua" pendekatan untuk merancang program manajemen risiko fraud, ada komponen tertentu yang umum umumnya efekti. Biasanya, program- program yang terintegrasi sukses memiliki komponen kunci tertentu, yaitu:

1.  Komitmen board dan senior manajemen

2.  Fraud awareness yang membantu karyawan dalam memahami tujuan, persyaratan, dan tanggung jawab program.

3.  Affirmation proses/ penegasan berkala kepada karyawan agar karyawan memahami dan mematuhi kebijakan dan prosedur.

4.  A conflict disclosure protocol/ prosedur pengungkapan konflik

5.  Assesment atas risiko fraud yang membantu untuk mengidentifikasi semua skenario penipuan

6.  Posedur pelaporan dan perlidungan terhadap whistleblower

7.   Proses investigasi yang menjamin semua hal dilaksanakan tepat waktu dan penyelidikan yang menyeluruh.

8.   Tindakan disipliner dan / atau perbaikan yang mengatasi ketidakpatuhan dengan menetapkan kebijakan dan membantu mencegah perilaku fraud.

9.    Prose evaluasi dan perbaikan untuk memberikan jaminan kualitas bahwa program ini akan berlanjut untuk mencapai tujuan.

10.  Pemantauan terus-menerus untuk memastikan program secara konsisten beroperasi aeperti yang dirancang.

 FRAUD RISK ASSESMENT

Proses Fraud Risk Assesment mirip dengan tahapan pelaksanaan pengukuran risiko perusahaan secara keseluruhan. Terdapat tiga langkah kunci sbb:

1.  Mengidentifikasi Risiko Fraud yang melekat (inherent)

2.  Mengukur dampak dan keterjadian (impact & likelihood) dari risiko yang diidentifikasi

3.  Mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadian diluar toleransi manajemen

4.  Dalam melakukan pengukuran risiko fraud, penting untuk melibatkan individu dengan beragam pengetahuan, kemampuan dan perspektif. Umumnya terdiri atas personel sebagai berikut:

a.  Personel Akuntansi dan Keuangan. Mmembantu mengidentifikasi skenario       kecurangan pelaporan keuangan maupun pencurian aset perusahaan

b.  Personel Unit Bisnis Non-Keuangan. Meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor, serta skenario kecurangan terkait industri lainnya

c.  Personel Bidang Hukum dan Kepatuhan (Legal & Compliance Officer). Meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor, serta skenario kecurangan terkait industri lainnya

d. Personel Manajemen Risiko, Membantu mengidentifikasi skenario kecurangan pasar dan asuransi dan memastikan bahwa

e.   Fraud risk assesment terintegrasi dengan risk assesment perusahaan secara keseluruhan

f.   Auditor Internal, sebagai pihak yang memiliki pemahaman luas tentang skenario risiko kecurangan dan pengendalian serta Pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian

g.  Proses Fraud Risk Assesment mirip dengan proses risk assesment dalam tahapan manajemen risiko perusahaan (enterprise Risk Management) yang di Garuda dijalankan oleh fungsi VP Risk Management, yaitu menilai dampak dan keterjadian (impact & likelihood) fraud pada perusahaan. Metode yang dilakukan antara lain melalui (1) Wawancara ; (2) Survei, dan (3) Rapat fasilitasi (facilitated meeting) dengan pihak terkait.

 FRAUD RISK IDENTIFICATION

 Identifikasi Fraud Risk yang dilakukan harus dapat mengidentifikasi hal-hal sebagai berikut:

·       Insentif, Tekanan dan Kesempatan

·       Risiko Pelanggaran Pengendalian dari manajemen

·       Populasi Fraud Risk

·       Kecurangan Pelaporan Keuangan

·       Penyalahgunaan Aset

·       Korupsi

·       Risiko Kecurangan Lainnya

Penilaian dampak dan kemungkinan risiko Fraud

Menentukan potential impact dan likelihood dari tiap scenario fraud merupakan proses yang subjektif. Berikut adalah beberapa poin yang harus dipertimbangkan ketika melakukan assessment resiko fraud

1.     Impact

Penting untuk mempertimbangkan impact yang tidak hanya terkait laporan keuangan maupun dampak moneter. Karena impact yang lain bisa jadi mempunyai kemungkinan dampak negative yang lebih besar terhadap laporan keuangan maupun dampak moneter. Contohnya, legal impact, reputational impact, operational impact, dll

2.     Likelihood

3.     Response to Fraud Risk

 Berikut merupakan COSO ERM – Integrated Framework dalam merespon resiko fraud

-     Jika resiko tidak dapat ditoleransi untuk terjadi pada perusahaan, bahkan dalam skala kecil, manajemen dapat mempertimbangkan untuk menghindari resiko tersebut

-     Jika organisasi tidak mempunyai toleransi terhadap resiko, tetapi tidak dapat menghindarinya tanpa mengganggu tujuan organisasi, pengendalian harus didesign untuk mengurangi kemungkinan terjadinya insiden/resiko.

-     jika suatu organisasi menginginkan untuk mengurangi dampak atau kemungkinan risiko, tetapi tidak yakin memiliki keterampilan atau pengalaman untuk melakukannya secara efektif dan efisien, organisasi dapat membagi pengoperasian kontrol preventif dan detektif dengan organisasi yang lebih siap untuk melaksanakan kontrol tersebut

-     jika terjadinya risiko dapat ditoleransi, manajemen dapat memutuskan untuk menerima risiko sebagaimana level saat ini dan tidak membuat upaya khusus untuk mengelola risiko

Illegal Act and Response

 IIA mendefinisikan fraud sebagai “setiap tindakan ilegal dengan karakteristik tipu daya, menyembunyikan, atau pelanggaran terhadap kepercayaan”. Beberapa topik seputar Foreign Corrupt Practices Act (FCPA) yang relevan untuk auditor internal yang berfokus pada upaya kepatuhan adalah:

·     Ketentuan anti-penyuapan dan masalah terkait kepatuhan.

·     pencatatan dan ketentuan pengendalian akuntansi internal.

·     melakukan due diligence dan menetapkan langkah-langkah terhadap kepatuhan.

·     penyelidikan internal, kewajiban keterbukaan, dan monitor

·     bisnis terkait, kontrak, dan masalah ketenagakerjaan.

·     tindakan untuk tetap menghindari pelanggaran terhadap FCPA dan tindakan penegakan hukum preemptif

Fraud Prevention

Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikan unsur-unsur umum yang dapat memainkan peran penting dalam mencegah penipuan:

·     Melakukan investigasi latar belakang

·     memberikan pelatihan anti-fraud

·     mengevaluasi kinerja dan program kompensasi

·     melakukan wawancara ketika pegawai keluar

·     Pembatasan otoritas

·     Prosedur transaksi yang berlapis

Fraud Prevention 

Berikut ini merupakan beberapa metode deteksi:

·       Whistleblower hotlines

·       Process Control

·       Pengendalian yang umum dilakukan adalah melalui proses yang dilakukan sehari-hari.

·       Proactive fraud detection procedures

·       Proactive procedure yang umum dilakukan termasuk diantaranya data analysis, auditing berkelanjutan, dan penggunaan tools lainnya yang dapat mendeteksi anomaly, maupun tren yang tidak wajar. 

Menerima Tuduhan/laporan

The investigation and response system should include a process for:

·     Mengkategorikan permasalahan

·     Mengkonfirmasi validitas laporan/aduan

·     Mendefinisikan tingkat keparahan laporan/aduan

·     Menyelidiki permasalahan disaat yang tepat

·     Mengacu pada isu isu permasalahan di luar lingkup program

·     Melakukan investigasi dan pencarian fakta

·     Menjaga permasalahan yang dikategorikan confidential

·     Mendefinisikan bagaimana investigasi akan didokumentasikan

·     Mengelola dan mempertahankan, menjaga keamanan dokumen dan informasi Mengevaluasi laporan/aduan

·     Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkan secara cukup untuk menarik kesimpulan

·     Siapa yang harus memimpin investigasi?

·     Apakah diperlukan keahlian atau tools khusus untuk investigasi?

·     Siapa yang perlu diwaspadai, dan kapan?

·     Menentukan prosedur formal Establishing investigation protocols

·     Time sensitivity

·     Notification

·     Confidentiality

·     Legal previleges

·     Compliance

·     Securing evidence

·     Objectivity

·     Goals

 UNDERSTANDING FRAUDSTERS

Selain harus memiliki pengetahuan mengenai karakteristik fraud, teknik-teknik yang digunakan dalam melakukan fraud, dan jenis-jenis fraud yang mungkin terjadi pada berbagai proses bisnis, Auditor internal harus mampu memahami pola pikir dan perilaku para pelaku fraud serta memiliki rasa professional skepticism yang tinggi dan tidak berasumsi bahwa orang akan "melakukan hal yang benar." Auditor internal harus "berpikir seperti seorang penjahat untuk menangkap penjahat." Mereka harus mencoba untuk memahami mengapa seorang individu yang dinyatakan jujur akan melakukan tindakan yang tidak jujur. Dengan pemahaman ini maka akan meningkatkan kemungkinan bahwa internal auditor dapat mendeteksi, dan dalam beberapa kasus bahkan mencegah, seorang individu dari melakukan fraud.

Behavioral science/ Ilmu perilaku sejauh ini belum mampu mengidentifikasi satu karakteristik psikologis atau seperangkat karakteristik yang dapat berfungsi sebagai penanda yang andal atas kecenderungan seseorang untuk melakukan fraud. Salah satu forensic accountant and fraud examiner berpengalaman, Thomas Golden, percaya bahwa pelaku fraud pelaporan keuangan akan sesuai dengan salah satu dari dua profil berikut ini, yaitu: "greater good oriented" or "scheming, self-centered" types. Mereka yang cocok dengan profil greater good oriented adalah "individu tidak jujur yang menggambarkan angka dengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi perusahaan. Scheming, self- centered adalah "individu yang menunjukkan pengabaian atas kebenaran, sangat menyadari apa yang mereka lakukan, dan mencoba untuk mencapai tujuan dengan tidak jujur.

Dengan mendapatkan wawasan atas red flag potensial yang mensinyalkan individu yang lebih rentan terhadap melakukan fraud akan membantu auditor internal memahami kapan risiko penipuan akan meningkat. Red flags tersebut adalah termasuk orang-orang yang:

·       Menunjukkan gaya hidup yang tampaknya di luar kemampuan mereka saat ini.

·       Apakah mengalami masalah keuangan yang ekstrim dan / atau memiliki utang pribadi yang luar biasa.

·       Memiliki kecenderungan yang tidak biasa untuk menghabiskan uang.

·       Apakah menderita depresi atau masalah emosional lainnya.

·       Memiliki obsesi perjudian.

·       Memiliki kebutuhan atau keinginan atas status, dan percaya bahwa uang bisa membeli status.

Auditor internal tidak diharapkan untuk menjadi behavioral psychologists or criminologists/ psikolog perilaku atau kriminolog. Namun, dengan mendapatkan wawasan yang mendalam tentang apa yang memotivasi pelaku fraud dapat membantu auditor internal "menjaga antena mereka" di tempat kerja dan mengantisipasi individu yang dapat menimbulkan risiko fraud yang lebih besar. Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlu mempertimbangkan pertanyaan-pertanyaan berikut:

·     Risiko fraud apa yang sedang dipantau oleh manajemen secara periodik atau berkala? Apakah risiko kritis fraud yang berulang dan bahkan terus menerus, monitoring?

·     Apa prosedur khusus yang sedang dilakukan oleh fungsi audit internal untuk mengatasi pengesampingan manajemen atas kontrol internal?

·     Apakah sesuatu telah terjadi yang mengarahkan fungsi audit internal untuk mengubah penilaian risiko atas pengesampingan manajemen atas kontrol internal?

·     Kompetensi dan keterampilan apa yang auditor internal butuhkan untuk mengatasi risiko fraud dalam organisasi? Kapan mereka harus memakai/mendapatkan layanan dari spesialis dari luar untuk menangani masalah yang sangat kompleks?

·     Sebagai tambahan untuk membagun jalur langsung pelaporan kepada komite audit, bagaimana status organisasi independen dari fungsi audit internal bisa diperkuat? Apakah mereka diandalkan sebagai profesional yang kompeten dan obyektif dalam menangani risiko dan pengendalian masalah fraud?

·     Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan, penghindaran, detektif, dan aspek investigasi fraud?

·     Bagaimana audit internal menambahkan perangkat lunak analisis data untuk memberikan deteksi dini?

Professional Skepticism, Professional Judgment, And Forensic Technology

 Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal. Ketika menilai risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yang tinggi, yaitu, kemampuan secara kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnya terjadi karena pelaku fraud yang biasanya "menutupi jejak mereka". Sebagai contoh, diperlukan ketekunan yang kuat oleh 2004 Time magazine's Person of the Year, Cynthia Cooper dan tim audit internal nya di WorldCom, untuk menggali fraud besar-besaran yang dilakukan oleh manajemen WorldCom.

Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depan akan sangat bergantung pada forensik komputer, pencitraan data komputer, penemuan bukti elektronik, dan analisis data terstruktur dan tidak terstruktur. Dengan kata lain, penggunaan teknologi tidak akan terbatas pada analisis data (setelah data terstruktur telah dikumpulkan); sebaliknya, penggalian dan pelestarian bukti elektronik biasanya dalam bentuk tekstual, data tidak terstruktur yang membutuhkan pencarian kata kunci. Dalam konteks seperti itu, akan sangat penting bagi pemeriksa fraud untuk memiliki pemahaman dan penguasaan yang baik atas alat dan teknik digital teknologi forensik.

Use of Fraud Specialists

Fungsi audit internal dapat memainkan berbagai peran untuk memerangi fraud dalam suatu organisasi, termasuk melakukan training kesadaran fraud, menilai rancangan program antifraud dan kontrol, menguji efektivitas operasi pengendalian tersebut, menyelidiki kejanggalan dan keluhan whistleblower, dan melakukan investigasi penuh dengan matang atas perintah komite audit. Namun, fungsi audit internal mungkin tidak memiliki pengalaman dan keterampilan untuk melakukan semua peran ini. Akibatnya, adalah umum bagi CAE untuk mencari bantuan spesialis fraud untuk melengkapi keterampilan mereka dalam fungsi tersebut. Ada banyak keuntungan untuk menggunakan outside fraud specialists, ditambah lagi independensi yang mereka bawa dalam pekerjaan. Sebagai contoh, mereka memiliki pengalaman yang luas dalam mengidentifikasi dan menyelidiki berbagai skema fraud yang berbeda. Oleh karena itu, mereka dapat membantu dalam mengidentifikasi dan menilai "usual suspect (tersangka biasa)" dan merekomendasikan metode optimal penyelidikan. Selain itu, dengan pernah bekerja bersama penasihat independen, penasihat umum, pengacara negara, regulator, aparat penegak hukum, akuntan dan auditor lain, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti:

Cara     terbaik untuk menyelidiki jenis tertentu skema fraud.

Menilai     kualitas dan kuantitas bukti yang dibutuhkan.

Mengevaluasi     diterimanya bukti berkonsultasi dengan pengacara luar.

Melestarikan     bukti dan chain of custody.

Kebutuhan,     serta potensi untuk bertindak sebagai, saksi fakta atau sebagai ahli.

 Communicating Fraud Audit Outcomes

 Auditor internal merangkum hasil temuan mereka dan mengkomunikasikannya secara sistematis, terorganisir untuk meningkatkan kejelasan dan pemahaman, yang biasanya meliputi: 

Sebuah     pernyataan yang singkat dan jelas tentang masalah.

Sebuah     kutipan dari kebijakan yang relevan, peraturan, standar, hukum, dan     peraturan yang mungkin berlaku untuk kasus yang ditangani.

Analisis     atas bukti yang terkumpul untuk membentuk pendapat profesional.

Kesimpulan;     yaitu temuan dan rekomendasi 

Ini akan membantu membuat komunikasi yang jelas dan berguna, terutama jika sedang diandalkan oleh penasihat umum (general counsel) atau pengacara luar melakukan penyelidikan, yang mungkin ingin membuat bagian komunikasi bagian dari komunikasi mereka. Pada setiap waktu, komunikasi yang dikeluarkan oleh auditor internal harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untuk menjauhkan diri dari pendapat pribadi atau segala jenis bias atau spekulasi yang berpotensi masuk ke analisis. Dalam hal apapun, mereka tidak harus berusaha untuk memperbaiki kesalahan pada karyawan tertentu, tetapi hanya harus menyatakan bahwa bukti yang dikumpulkan muncul untuk mendukung kesimpulan bahwa fraud mungkin telah dilakukan. Menentukan kesalahan adalah fungsi dari pengadilan (hakim dan juri), dan biasanya di luar lingkup tanggung jawab auditor internal.

 OPPORTUNITIES TO PROVIDE INSIGHT

Auditor internal dapat memberikan pemahaman kepada manajemen senior mengenai pencegahan dan deteksi fraud dan tindakan ilegal dalam beberapa cara. Sepuluh peluang utama bagi auditor internal untuk memberikan pemahaman diuraikan dalam exhibit 8-13.

10 oppotunities fungsi auditor internal untuk menyediakan wawasan tentang risiko fraud dan tindakan ilegal

1. Membantu organisasi dalam pengembangan penilaian risiko fraud yang komprehensif.

2. Mengembangkan proses untuk deteksi dini fraud.

3. Mengembangkan alat analisis data yang dapat digunakan untuk mendeteksi fraud pada tahap awal.

4. Membantu dengan pengembangan prosedur hotline call.

5. Memberikan pelatihan kesadaran akan fraud di seluruh organisasi.

6. Bertindak tegas pada peristiwa fraud yang signifikan.

7. Membantu dalam analisis postmortem ketika fraud terjadi.

8. Menginformasikan kepada manajemen dari tindakan hukum potensial yang berisiko untuk organisasi.

9. Membantu manajemen dalam mengembangkan budaya perilaku etis dan toleransi rendah terhadap fraud.

10. Tetap mengikuti dan menginformasikan pengelolaan atas masalah-masalah yang muncul dan isu-isu yang berkembang terkait dengan kepatuhan dan peraturan.

ISO 22301 Internal Training Program in Jakarta

ISO 22301 Internal Training Program in Jakarta

Layanan Penilaian Terintegrasi Pvt Ltd adalah Organisasi Pelatihan ISO terkemuka yang melakukan berbagai Kursus Auditor Pimpinan dan berbagai kursus Auditor Internal dalam hubungannya dengan saudaranya terkait Pemberdayaan jaminan Systems Pvt Ltd.

ABOUT ISO 22301 INTERNAL AUDITOR TRAINING

Ini adalah program pelatihan 2 hari yang dilakukan melalui auditor utama terdaftar yang berpengalaman sebagai staf pengajar. Paket termasuk makan siang dan materi kursus. Hari terakhir program, semua kandidat harus mengikuti ujian. Calon ditinjau selama kursus dan melalui tes akhir

APA SAJA PENGETAHUAN SEBELUM MEMILIKI?

Dianjurkan agar delegasi memiliki pengetahuan sebelumnya sebagai berikut:

Pengetahuan tentang persyaratan ISO 22301

Pengetahuan tentang prinsip dan konsep manajemen kontinuitas bisnis berikut

Tujuan dan manfaat analisis dampak bisnis

Prinsip penilaian risiko dan analisis

Strategi kesinambungan bisnis yang khas

Opsi tanggapan kontinuitas bisnis

Metrik kinerja, pemantauan, dan pengukuran kinerja BCMS

Latihan dan metodologi pengujian

COURSE CONTENT: BCMS LA

Modul 1: Tinjauan BCMS

Module 2: Tinjauan persyaratan ISO 22301

Module 3: Dasar-dasar audit

Module 4: Peran auditor, tanggung jawab, pengetahuan dan keterampilan

Module 5: BCMS Audit – tinjauan

Module 6: Perencanaan audit BCMS

Module 7: Melakukan audit

Module 8: Melaporkan dan menindaklanjuti sebuah audit

TRAINING PERHITUNGAN KESEHATAN BANK

Pelatihan Penilaian Tingkat Kesehatan

Penilaian Kualitas Manajemen Risiko & Penerapannya Dalam Kertas Kerja

OVERVIEW PELATIHAN PERHITUNGAN KESEHATAN BANK

Pada tanggal 25 Oktober 2011 Bank Indonesia mengeluarkan Surat Edaran No. 13/24/DPNP sebagai pengaturanatas PBI No. 13/1/PBI/2011 tanggal 5 Januari 2011 perihalPenilaian Tingkat Kesehatan Bank Umum. Dalam SE ini antara lain diatur bahwa Bank diwajibkan untuk melakukan penilaian sendiri (Self Assessment) Tingkat Kesehatan Bank dengan menggunakan pendekatan Risiko (Risk-based Bank Rating/RBBR) baik secara individual maupun secara konsolidasi. SE iniakan berlaku efektif mulai tanggal 1 Januari 2012 untuk penilaian Tingkat Kesehatan Bank posisi akhir bulan Desember 2011.

MANFAAT PELATIHAN PERHITUNGAN KESEHATAN BANK

Memberikan pemahaman yang komperhensif mengenai konsep dan mekanisme Penilaian Tingkat Kesehatan Berbasis Risiko.

Memberikan pemahaman terhadap proses penilaian, pengaplikasian kualitatif parameter dan penetapan “scoring guidance” sertabobotrisiko.

Menerjemahkan pemahaman konsepmelalui Kertas Kerja Penilaian RBBR (excel spreadsheet).

Peserta diharapkan mampu untuk menyusun Laporan Tingkat Kesehatan.

TARGET PESERTA  :

Bagian Manajemen Risiko / Compliance/ Akunting / Financial Planning / Credit Analyst / Treaury Analist / Satuan Kerja Audit Internal / Operasional

COURSE OUTLINES PERHITUNGAN KESEHATAN BANK:

Sekilas tentang Revisi Kebijakan Manajemen Risiko & Prinsip-prinsip Umum RBBR

MekanismePenilaian Tingkat Kesehatan Bank

Parameter/Indikator Penilaian Tingkat Kesehatan

Parameter/Indikator Penilaian Tingkat Kesehatan

RBBR Framework, Implementation Process, Basis Penetapan Peer-Group, Scoring & Bobot Risiko

AplikasiPerhitunganRisiko Inherent &PenerapannyadalamKertasKerja

Aplikasi Penilaian Kualitas Manajemen Risiko & Penerapannya dalam Kertas Kerja

Penetapan Peringkat Komposit, Penetapan Rating RBBR &Persiapan Data untukLampiran III (Form BI)

Jadwal training perhitungan kesehatan bank:

23 sd 24 Januari 2019

13 sd 14 Februari 2019

20 sd 21 Maret 2019

17 sd 18 April 2019

28 sd 29 Mei 2019

25 sd 26 Juni 2019

16 sd 17 Juli 2019

15 sd 16 Agustus 2019

17 sd 18 September 2019

22 sd 23 Oktober 2019

20 sd 21 November 2019

19 sd 20 Desember 2019

Catatan : Jadwal tersebut dapat disesuaikan dengan kebutuhan calon peserta

Biaya dan Lokasi training perhitungan kesehatan bank:

Yogyakarta, Hotel Dafam Malioboro (6.000.000 IDR / participant) *

Jakarta, Hotel Amaris Tendean (6.500.000 IDR / participant) *

Bandung, Hotel Golden Flower (6.500.000 IDR / participant) *

Bali, Hotel Ibis Kuta (7.500.000 IDR / participant) *

Lombok, Hotel Jayakarta (7.500.000 IDR / participant)*

Catatan : Biaya diatas belum termasuk akomodasi/penginapan.

Investasi training penilaian:

Investasi pelatihan selama tiga hari tersebut menyesuaikan dengan jumlah peserta (on call). *Please feel free to contact us.

Apabila perusahaan membutuhkan paket in house training, anggaran investasi pelatihan dapat menyesuaikan dengan anggaran perusahaan.

Fasilitas training:

FREE Airport pickup service (Gratis Antar jemput Hotel/Bandara)*

FREE Akomodasi Peserta ke tempat pelatihan* .

Module / Handout.

FREE Flashdisk .

Sertifikat training perhitungan kesehatan bank terupdate .

FREE Bag or bagpackers (Tas Training) .

Training Kit (Dokumentasi photo, Blocknote, ATK, etc).

2xCoffe Break & 1 Lunch, Dinner .

Souvenir .

Nama : Aryo Nugroho CP : 081296794263 Email : [email protected] [email protected]

Audit BPK: Limbah Freeport Mengalir ke Laut

Jakarta (SIB)- Badan Pemeriksa Keuangan menuding kegiatan pertambangan PT Freeport Indonesia merusak lingkungan. Berdasarkan pemeriksaan di lapangan dan citra satelit, limbah tambang Freeport meluber dari hulu sungai hingga ke laut. Limbah juga menyebar ke daerah aliran sungai lain di pesisir Kabupaten Mimika, Papua. "Hutannya sudah habis, sungainya sudah tidak ada. Nelayan yang hidup di sana sudah terkena. Ini mengapa dibiarkan?" ujar anggota BPK, Rizal Djalil, saat memaparkan hasil pemeriksaan, akhir pekan lalu. Rizal menunjukkan foto-foto pepohonan yang mengering akibat serbuan limbah. Kondisi sungai yang tertimbun pasir dan bebatuan juga terekam. BPK mencatat potensi kerugian akibat kerusakan lingkungan ini mencapai Rp 185 triliun. Nilai kerusakan terbesar berasal dari laut, yaitu Rp 166 triliun. Potensi kerugian dihitung berdasarkan perubahan ekosistem dan angka kerugian nelayan. Menurut hasil audit BPK, pencemaran berawal dari ketidakmampuan kolam penampungan (Modified Ajkwa Deposition Area/ModADA) menampung limbah. Titik penataan limbah di area kolam sudah hilang lantaran tertimbun pasir sisa tambang. Temuan auditor negara itu sejalan dengan hasil audit Lembaga Penelitian dan Pengabdian kepada Masyarakat Institut Teknologi Bandung pada 2014. Dalam dokumen yang diperoleh dari situs resmi Freeport, auditor meminta perusahaan membuat kolam penampungan baru. Sebab, area yang ada, yaitu Kelapa Lima dan Pandan Lima, sudah tidak layak lagi menampung sisa material. Namun Freeport tidak meneruskan rekomendasi auditornya. Perusahaan hanya berencana memperluas kolam penampungan dari 230 kilometer persegi menjadi 450 kilometer persegi. Namun perluasan tersebut belum dilengkapi izin dari Kementerian Lingkungan Hidup dan Kehutanan. Juru bicara Freeport, Riza Pratama, mengakui aktivitas perusahaannya berdampak negatif pada lingkungan. Seluruh risiko pertambangan pun termaktub dalam dokumen analisis mengenai dampak lingkungan yang disepakati pemerintah pada 1997. Penanganan limbah, kata dia, juga diperiksa auditor independen setiap tahun. "Pakar-pakar tersebut sudah memberikan penilaian penuh terhadap cara kami mengelola pasir sisa tambang. Kami berpedoman pada praktik good corporate governance," ujarnya. Dia mengklaim Freeport memiliki program rehabilitasi supaya lahan yang terkena dampak bisa ditanami tumbuhan produktif. Ada pula pembayaran kompensasi dari Freeport kepada pemerintah Kabupaten Mimika dan Provinsi Papua sejak 2011 hingga 2015 sebesar Rp 343 miliar. Namun BPK menganggap uang yang digelontorkan perusahaan itu tidak sepadan dengan kerugian akibat kerusakan lingkungan. Kucuran duit juga tidak dihitung dengan verifikasi memadai. (T/f) http://dlvr.it/P5rfYP

Dari e-Government ke IT Governance

Forum e-Government Summit di Jakarta beberapa waktu lalu mengingatkan kembali pemerintah bahwa pelaksanaan Inpres Nomor 1 Tahun 2003 tentang Percepatan Pelaksanaan e-Government belum berhasil.

Meskipun berbagai aplikasi berbasis web telah mengubah cara kerja atau proses manual ke elektronik, seperti arsip, kepegawaian, penataan keuangan, dan pengadaan barang/jasa, tetapi masih belum menyentuh semua jenis layanan pemerintahan.

Penerapan e-Government masih belum merata, masih terbatas inisiatif beberapa instansi pusat dan beberapa pemerintah daerah. Karena itu, Menteri Pendayagunaan Aparatur Negara mendorong seluruh instansi menerapkan e-Government dalam proses kerja dan layanan publiknya dengan diawali e-Budgeting.

Pada saat proses kerja dan layanan pemerintah masih harus didorong untuk menerapkan e-Government, di sisi lain e-Procurement telah maju melampaui yang lainnya.

Sistem Pengadaan Secara Elektronik (SPSE) dan aplikasi ikutannya (SiRUP, Sismon TEPRA, dan SIKaP) telah diagregasikan dalam Inaproc yang menghubungkan data yang diperlukan antar aplikasi. Agregasi data penyedia barang dan jasa juga telah dilakukan sejak 2012, sehingga penyedia cukup punya satu akun dan dapat login di LPSE manapun.

Keberhasilan tersebut karena partisipasi dari instansi pengguna dan konsistensi dari LKPP sebagai pengembang aplikasi yang secara berkelanjutan memperbaharui SPSE (Sistem Pengadaan Secara Elektronik).

Perkembangan terbaru aplikasi SPSE yang telah diupdate ke ver 4.0 makin ringan dan memudahkan proses pengadaan barang dan jasa dengan metode lelang cepat. Selain itu, versi tersebut memungkinkan makin meningkatnya jumlah barang yang dimuat dalam e-Catalogue dengan metode pengadaan e-Purchasing.

Pengembangan ke depan Layanan Pengadaan Barang/Jasa Secara Elektronik (LPSE) menjadi e-Marketplace. Yakni penjual dan pembeli yang tidak terbatas pada instansi pemerintah, bahkan lebih banyak antarperusahaan dan atau perusahaan pemasok barang/jasa pemerintah akan memanfaatkan fasilitas tersebut.

Dengan makin berkembangnya fungsi LPSE dan kebutuhan terhadap SPSE dari pengguna, maka untuk mendukung kinerja SPSE di seluruh Indonesia, LKPP pun mengembangkan cloud LPSE yang berfungsi sebagai back up jika terjadi gangguan pada LPSE di manapun.

Cloud LPSE menjadi salah satu solusi bagi LPSE yang tidak mampu memiliki back up SPSE sendiri sebagai salah satu aspek tata kelola IT untuk menjaga kelangsungan layanan (service continuity plan). Otomatis dengannya, kelangsungan LPSE tetap terjaga, sehingga pengguna tetap selalu dapat mengakses SPSE.

Cloud LPSE sebagai salah satu aspek menjaga kelangsungan layanan membuat risiko yang dihadapi LPSE sudah ditransfer ke LKPP. Tampaknya LKPP sudah memikirkan kondisi masing-masing LPSE di seluruh pelosok yang belum semuanya mampu menjamin kelangsungan layanan karena kondisi infrastruktur (baik IT maupun pasokan listrik) yang kurang memadai.

Pun demikian, cloud LPSE ini bukan satu-satunya solusi menjaga kelangsungan layanan. Sebab, tetap lebih vital adalah tata kelola IT baik di LPSE sebagai operasional service maupun di LKPP sebagai lembaga yang membuat desain kebijakan, strategi implementasi, IT Development, dan IT Operation e-Procurement.

Tantangan Berikutnya: IT Governance

Keberhasilan e-Procurement tersebut sejatinya menghadapi sejumlah tantangan berikutnya terutama terkait tata kelola IT atau IT Governance. Terlebih, regulasi IT Governance telah kita miliki dengan adanya UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dan aturan pelaksanaannya seperti PP Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem Elektronik serta yang terbaru adalah Permen Kominfo 4 Tahun 2016 tentang SMPI. Terdapat tiga tantangan utama terkait IT Governance ini:

Pertama, dari sisi level desain. Ada berbagai framework yang reguler di dunia IT terkait desain, mulai dari Control Objectives for Information and related Technologies (COBIT), IT Infrastructure Library ( IT-IL), hingga ISO 27001. Perbedaan ketiganya sebagai berikut:

a. COBIT yang dikembangkan IT Governance Institute akan membantu organisasi atau perusahaan dalam melakukan penilaian tata kelola atas proses TI yang dimiliki.

b. IT-IL yang dikembangkan Office of Government Commerce akan membantu suatu organisasi/perusahaan dalam menyediakan tata kelola atas layanan operasional TI yang baik dan memenuhi harapan pengguna.

c. ISO/IEC 27001:2013 (ISO 27001) yang dikembangkan oleh ISO akan membantu suatu organisasi/perusahaan dalam memastikan tata kelola dalam hal Information Security Management System (ISMS).

Kata kuncinya adalah tak boleh berpuas diri jika SPSE terus digunakan, apalagi karena sifatnya mandatori. Akan tetapi, harus selalu dipastikan ada sokongan dan relevansi dari sisi tata kelola IT di level desain (strategi kebijakan, strategi implementasi, IT development, dan IT operation) di LKPP.

Diperlukan konsistensi dari pihak manajemen di LKPP agar tata kelola IT ini terus dipelihara, sehingga aplikasi yang dikembangkan tidak mengalami kegagalan sistem. Sebab jika hal tersebut terjadi, kepercayaan publik dan pengguna akan turun, hingga tidak menutup kemungkinan SPSE bisa ditinggalkan jika terjadi terus-menerus.

Kedua, perlunya pengujian Standar LPSE : 2014 untuk manajemen kelangsungan layanan pada LPSE oleh badan terkait seperti Badan Standardisasi Nasional (BSN), sehingga standar tersebut dapat diakui sebagai Standar Nasional Indonesia (SNI).

Ketiga, diperlukan strategi implementasi (termasuk masa transisi) dalam penerapan Sistem Manajemen Pengamanan Informasi (SMPI) yang ditetapkan melalui Peraturan Menteri Komunikasi dan Informatika berbasis ISO/IEC 27001. Ini perlu karea kewajiban tidak mudah dan kondisi di lapangan masih membangun.

Dalam Pasal 12 Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggara Sistem Elektronik (PSTE) seperti LPSE wajib menjamin tersedianya perjanjian tingkat layanan (SLA), tersedianya perjanjian keamanan informasi terhadap jasa layanan teknologi informasi yang digunakan, serta keamanan informasi dan sarana komunikasi internal yang diselenggarakan.

Pasal 13 Penyelenggara Sistem Elektronik wajib menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan serta Pasal 14 menetapkan PSTE wajib memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap Sistem Elektronik.

Pasal 15 menggariskan PSTE haruslah: Menjaga rahasia, keutuhan, dan ketersediaan data pribadi yang dikelolanya, Menjamin bahwa perolehan, penggunaan, dan pemanfaatan data pribadi berdasarkan persetujuan pemilik data pribadi kecuali ditentukan lain oleh peraturan perundang-undangan. Menjamin penggunaan atau pengungkapan data pribadi dilakukan berdasarkan persetujuan pemilik data pribadi tersebut dan sesuai tujuan yang disampaikan kepada pemilik data pribadi pada saat perolehan data.

PSTE dalam pasal ini juga diwajibkan memberitahukan secara tertulis kepada pemilik data pribadi tersebut jika terjadi kegagalan dalam perlindungan rahasia data pribadi yang dikelolanya. Tindak lanjut pasal-pasal tersebut adalah Peraturan Menteri Kominfo Nomor 4 Tahun 2016 tentang SMPI.

Spiritnya kepentingan masyarakat karena PSTE yang belum menerapkan dapat menyebabkan kerugian pengguna karena tidak terjaminnya kelangsungan layanan dan adanya kerentanan sistem yang dapat menyebabkan pencurian data atau kerahasiaan pengguna.

Namun demikian, faktanya di lapangan, IT Governance terkait SMPI ini masih rendah penerapannya di Indonesia dan masih terbatas perusahaan swasta/BUMN. Khusus di LPSE, penerapan SNI/ISO-IEC 27001 dan Permenkominfo SMPI terkendala belum didukung kelembagaan, personil pengelola, serta anggaran yang memadai untuk infrastruktur komunikasi, infrastruktur data, dan operasional layanan. Hal tersebut antara lain disebabkan komitmen pimpinan masih rendah dan belum memahami fungsi dan kewajiban penyelenggara sistem elektronik (baca: LPSE).

Kendala penerapan lainnya secara eksternal adalah keterbatasan Lembaga Sertifikasi (LS) dan auditornya. Jumlah 637 LPSE di seluruh Indonesia tidak dapat disertifikasi dalam waktu dua tahun jika LS dan auditornya juga masih terbatas. Saat ini, baru dua LS yang terdaftar di Komite Akreditasi Nasional. Itupun, lead auditor/Auditor ISO 27001 yang terdaftar pada LS tersebut terbatas pula jumlahnya.

Akhir kata, tiga tantangan utama IT Governance ini pasti sulit jika para pihak tidak saling bekerjama dan otomatis bisa diselesaikan bahkan menjadi mudah jika saling bergandeng tangan. Untuk Indonesia lebih baik dan demi kepuasaan masyarakat, kita harus terus memacu diri. Jika e-Government sudah berjalan, maka IT Governance harus dimassalkan pula!

*) Penulis, Dr. Ika Mardiah merupakan Kepala Balai LPSE Provinsi Jawa Barat yang menghantarkan Pemprov dan LPSE Jawa Barat meraih 12 penghargaan nasional bidang SPSE dari LKPP selama periode 2010-2015. (ash/ash)