Membangun Proses Kontrol (Series of Banking Operations – 2)
Bernhard Sumbayak, Founder and Advisor Vibiz Consulting (12 Agustus 2014)
============================================================
Setelah Control Awareness dibangun (control awareness dan diterapkannya pembinaan karakter karyawan yang berkesinambungan), maka perlu ada tindak lanjut yang dilakukan untuk membangun proses kontrol yang memadai, berikut disampaikan kontrol-kontrol dasar dan utama yang perlu dilakukan dalam pelaksanaannya di unit kerja.
Sisi Proses:
Prinsip pelaksanaan empat mata
Perlunya Verifikasi dan Rekonsiliasi
Site visit / Branch visit
Kelengkapan Dokumentasi
Evaluasi berkala
(Catatan: dalam contoh dan penerapan yang ada, proses akan banyak mengambil contoh dari dunia perbankan, mengingat saat ini kasus yang marak adalah dari dunia perbankan)
1. Prinsip Pelaksanaan Empat Mata
Yang dimaksud dengan Four Eyes Principle (prinsip pelaksanaan empat mata), artinya lebih dari satu orang pelaksana. Jadi four eyes principal itu merupakan fungsi kontrol dasar dengan pengaturan proses transaksi yang dilakukan di perusahaan dilaksanakan minimum oleh 2 orang.
Ada beberapa macam jenis four eyes principle:
a. Dual Control
Suatu aktifitas pemeriksaan yang harus dilakukan untuk memastikan kebenaran dari aktifitas yang telah dilakukan oleh orang sebelumnya. Tujuannya: untuk membatasi resiko yang timbul. Contohnya adalah proses maker checker, user dan supervisor.
b. Dual Custody:
Suatu pekerjaan yang harus dilakukan secara bersama-sama atau di bawah tanggung jawab 2 orang secara bersama-sama. Tujuannya untuk membatasi risiko yang timbul dan penyalahgunaan jika hanya dilakukan oleh 1 orang saja. Contohnya adalah Penanggung Jawab Khasanah Utama, Penanggung jawab uang tunai di khazanah, Cash Delivery/Pick Up, Pemegang kunci dan nomor kombinasi ATM.
c. Segregation of Duty
Suatu pemisahan tugas yang secara jelas dan tegas atas dua pekerjaan yang harus dilakukan oleh dua orang yang berbeda, dimana jika ke-2 pekerjaan tersebut dilakukan oleh orang yang sama maka akan membuka peluang resiko. Jadi tujuannya untuk membatasi risiko yang timbul dan penyalahgunaan jika hanya dilakukan oleh 1 orang saja. Contohnya adalah Penanggung jawab stock/working supply kartu ATM berbeda dengan penanggung jawab PIN Mailer.
Penanggung jawab stock/working supply bilyet deposito berbeda dengan yang berhak menanda tanganinya. Approval kredit harus berbeda dengan orang yang memeriksa kelengkapan administrasi kredit.
Pelaksanaan four eyes principle ini sangat kritikal untuk dijalankan, seringkali dalam kasus terjadi fraud ataupun pembobolan transaksi maka pelaksanaan four eyes principle ini tidak berjalan dengan baik. Bisa karena memang pelaksana dilakukan oleh satu orang dan orang yang lainnya tidak menjalankan dengan seharusnya (secara tertulis dijalankan namun secara praktek lapangan tidak dilakukan/ diperhatikan), bisa karena pemalsuan yang dilakukan oleh satu orang tertentu (orang kedua tidak mengetahui), bisa karena pelaksana yang dilakukan oleh orang kedua sudah diketahui oleh orang pertama (atau sebaliknya) sehingga satu orang saja sudah dapat melakukan kegiatan/proses, atau bisa juga karena kepercayaan yang salah sehingga proses yang seharusnya dilakukan oleh 2 orang, dipercayakan oleh satu orang saja (oleh orang yang lain) – dimana hal ini merupakan pelanggaran prosedur. Seringkali yang juga dilanggar, apabila proses control segregation of duty telah dirancang, namun salah satu pelaksana lebih senior, maka si pihak yang lebih senior akan menggunakan kesenioritasannya untuk melakukan proses sendiri dan melanggar prinsip segregation of duty (catatan ini juga bisa terjadi di prinsip dual custody).
Bagian Kontrol atau Risk suatu perusahaan perlu meningkatkan pemahaman kepada seluruh karyawan atas prinsip ini terutama kepada bagian pelaksana dan sekaligus juga membangun kemampuan untuk mendeteksi jika proses ini dilanggar. Kemampuan mendeteksi dini ini perlu dimiliki oleh pelaksana, supervisor, unit control, unit audit dan unit risk dalam suatu organisasi.
2. Perlunya Verifikasi dan Rekonsiliasi
a. Verifikasi
Verifikasi merupakan proses untuk memastikan keabsahan dari sebuah transaksi, sebelum transaksi dijalankan. Prinsipnya adalah setiap transaksi harus dapat dibuktikan keabsahannya bahwa dilakukan atas perintah pemegang rekening melalui verifikasi dari sumber yang independen.
Sebagai catatan penting: Kelalaian dalam melakukan verifikasi transaction authentication adalah salah satu penyebab utama terjadinya: Fraud, Unsatisfactory Rating dan juga berakibat pengenaan sanksi berat terhadap pelaksana yang lalai.
Contoh : verifikasi tanda tangan nasabah, verifikasi kelengkapan dokumentasi, syarat pembukaan rekening, verifikasi ke nasabah untuk transaksi jumlah besar melalui telepon (konfirmasi), atau konfirmasi atas transaksi yang mencurigakan atau tidak umum.
Proses verifikasi wajib dibuktikan melalui: paraf, stempel fiat, tanda tangan, verifikasi telepon (call back confirmation) memastikan nasabah yang sebenarnya
Contoh-contoh pelaksanaan verifikasi yang salah:
– Melakukan verifikasi telepon melalui nomor yang tidak tertera di system, atau nomor telepon yang diberikan oleh orang yang belum dikenal dan mengaku sebagai nasabah (bukan sumber independen), atau oleh marketing.
– Menjalankan transaksi berdasarkan perintah lisan dari pejabat lain, yang tidak mempunyai wewenang seharusnya.
– Tidak melakukan verifikasi tanda tangan nasabah.
– Menjalankan instruksi (via fax), tanpa disertai bukti pendukung yang jelas atau perjanjian yang mendasarinya.
b. Rekonsiliasi
Rekonsiliasi adalah suatu proses untuk memastikan kebenaran pencatatan proses/transaksi terhadap keadaan sebenarnya.
Prinsipnya adalah transaksi-transaksi yang terjadi wajib dilakukan rekonsiliasi antara bukti transaksi dengan fisik yang ada (misalnya jumlah uang) serta data yang dimasukkan dalam system; pencatatan dan perhitungan ketiganya harus sesuai. Jadi harus ada minimal 2 sumber data yang berbeda.
Contoh: rekonsiliasi Cash Opname (GL dengan fisik uang tunai), rekonsiliasi Stok Opname Warkat Berharga (Register dengan fisik persediaan), jumlah item debet dan kredit transaksi di sistem dengan bukti transaksi, proof sheet (GL dengan bukti transaksi), membandingkan antara GL Produk dengan GL transaksi, dan lain-lain.
Masalah yang terutama dalam melakukan rekonsiliasi adalah kurangnya ketelitian dalam melakukan proses, kemampuan melakukan rekonsiliasi itu sendiri maupun kemampuan analisa rekonsiliasi. Oleh sebab itu proses rekonsiliasi wajib dilakukan untuk setiap transaksi dan setiap hari untuk transaksi yang dilakukan per hari atau secara berkala untuk transaksi yang terjadi mingguan atau bulanan – tergantung jenis transaksi atau prosesnya (misalnya 2 minggu atau 1 bulan), dan perlu pembelajaran kepada pelaksana untuk melakukan rekonsiliasi yang tepat.
Dalam proses rekonsiliasi, objek-objek yang dibandingkan harus independen atau tidak berasal dari sumber yang sama. Misalnya catatan pelaksana dengan data di system (bukan dengan catatan pelaksana yang sama)
Jika terjadi selisih dalam proses rekonsiliasi maka harus segera didokumentasi dengan membuat berita acara atau yang terkait uang disertai posting ke selisih ke GL Selisih Lebih / Kurang Kas (Cash Opname).
Sangat penting untuk mengetahui analisa dalam melakukan rekonsiliasi, mengetahui rootcausenya, mitigasi kesalahan, sehingga diharapkan semakin sedikit terjadi kesalahan karena posting yang salah.
Contoh-contoh pelaksanaan rekonsiliasi yang salah:
Tidak mengetahui proses rekonsiliasi yang benar dan akurat, sehingga timbul perbedaan (unrecon) yang tidak perlu – ini unsur dimana pelaksana harus diajarkan dan ditambahkan bekal kemampuan rekonsiliasi yang lebih baik
Proses rekonsiliasi berdasarkan objek-objek yang tidak independen (membandingkan objek yang salah). (Perlu diperhitungkan juga kemungkinan pemalsuan data yang dilakukan oleh pelaksana), Oleh sebab itu harus diperbandingkan dengan pasti dengan objek yang independen (data sesuai system, proses verifikasi berjalan, dlsb)
Saat terjadi perbedaan (unrecon), tidak dilakukan FU dan tindak lanjut sesuai prosedur, misalnya tidak melakukan pencatatan saat terjadi perbedaan – tidak membuat Berita Acara, menyelesaikan sendiri tanpa ada kelengkapan dokumentasi, mengubah data yang seharusnya sehingga seolah-olah menjadi sesuai (seolah-olah rekonsiliasi benar), dll
3. Site visit / Branch visit
Site visit atau branch visit adalah dilakukannya kunjungan secara onsite oleh suatu team independen untuk memastikan kecukupan kontrol di unit kerja tersebut, pelaksanaan proses dan transaksi yang telah sesuai dengan peraturan internal maupun eksternal. Team independen yang dimaksud adalah: supervisor yang membawahi unit kerja tersebut, unit control, quality assurance, pihak audit maupun pihak regulator. Sedangkan unit kerja disini bisa berupa unit kerja Head Office maupun unit kerja di cabang.
Site Visit ini menjadi lebih efektif, dan tajam apabila didukung Offsite Review dan Data Analysis yang dibangun dari data-data di sistem sebelumnya – pembahasan Offsite review dan Data Analysis akan dibahas di artikel selanjutnya.
a. Mengapa Site visit/Branch Visit dilakukan?
Ada beberapa hal mengapa site visit/branch visit dilakukan:
Mengetahui dan memastikan bahwa unit kerja telah menerapkan proses sesuai dengan peraturan internal maupun eksternal, termasuk juga mengetahui kecakapan dan awareness karyawan yang melakukannya. Kunjungan ke lokasi secara fisik akan memberikan informasi yang lebih menyeluruh atas kondisi control suatu unit kerja.
Banyak sekali kegiatan yang dilakukan terkait dengan uang (fisik uang), dimana masyarakat kita masih merupakan cash society, sehingga diperlukan pemeriksaan secara fisik atas jumlah uang yang sebenarnya.
Pemeriksaan lebih lanjut untuk mengetahui kesesuaian antara data yang dimasukkan ke system dengan bukti transaksi yang ada secara fisik.
Pemeriksaan fisik atas beberapa barang/dokumentasi yang diregistrasi (stock opname) – misalnya kartu ATM, PIN, Kunci cadangan, Bilyet Deposito, dll
Pemeriksaan atas kelengkapan dokumentasi yang diperlukan, termasuk misalnya tersedianya Berita Acara, bukti transaksi, laporan yang harus dicetak. Kecukupan prosedur/memo/peraturan di lokasi, dsb.
Berinteraksi secara langsung dengan pelaksana, khususnya jika ada masalah/issue atau penjelasan yang lebih dalam atas suatu proses/transaksi.
Catatan praktek site visit ini tetap diperlukan dan sebagai contoh, pihak audit dan pihak regulator pun melakukannya.
b. Bagaimana supaya Site Visit atau Branch Visit dilakukan dengan efektif?
Team independen datang ke lokasi dengan mengetahui apa yang harus dilakukan, tersedia check list tindakan yang perlu dilakukan (dan team independen memastikan bahwa semua item dalam check list itu telah diperiksa dengan seharusnya dalam pelaksanaan visit)
Persiapan data offsite data analysis sebelum visit, dengan demikian sudah diketahui item-item mana yang perlu dicermati dan yang akan lebih didalami di cabang.
Persiapan sebelum datang ke lokasi, seperti proses apa saja yang dikerjakan di unit tersebut, bagaimana proses flownya, critical proses apa yang perlu diperhatikan, jumlah dan volume transaksi atau proses yang dilakukan, historical atas report visit sebelumnya dipelajari dan di-FU (baik laporan site visit internal, audit maupun eksternal yang sebelumnya).
Mempunyai kecukupan waktu dalam melakukannya, jangan terlalu cepat, sehingga menjadi tidak teliti dan tidak dalam melakukan review. Jangan terlalu lama sehingga tidak efisien dan masuk untuk memperhatikan hal-hal yang terlalu kecil.
Informasi site visit/branch visit diinformasikan kepada unit kerja tersebut – dalam tempo yang singkat, misalnya 2 atau 3 hari sebelumnya atau dalam beberapa case bahkan tidak diinfokan, sehingga akan tercermin kondisi yang sesungguhnya.
Bangun komunikasi yang efektif dengan pihak pelaksana di unit kerja, sehingga selama pelaksanaan site visit/branch visit waktu dipergunakan dengan optimal.
Pihak unit kerja diberikan panduan dalam melakukan koordinasi dengan team independen, point-point penting apa yang harus dilakukan.
Membuat report atas pelaksanaan dalam tempo yang tidak lama setelah kunjungan beserta item-item yang perlu diperhatikan dan ditindak lanjuti
Mem-FU terhadap item-item yang perlu ditindaklanjuti sampai tuntas, untuk itu berikan dan tuliskan target date atas setiap item yang harus di-FU, sehingga perbaikan prosesnya benar-benar terjadi.
4. Kelengkapan Dokumentasi
Kelengkapan dokumentasi wajib dipenuhi untuk suatu unit kerja dapat beroperasi dengan baik. Dokumentasi yang dimaksud di sini adalah:
a. Kecukupan dokumentasi yang menjadi dasar pelaksanaan seperti:
Tersedianya memo peraturan internal dan eksternal sebagai acuan dalam melakukan proses atau transaksi
Tersedianya surat tugas, pengangkatan pelaksana / pejabat yang melakukan operasional proses/transaksi atau Pengaturan Khusus melalui Kebijakan, Prosedur sesuai dengan tingkat jabatan sebagai dasar dilaksanakannya proses tersebut oleh pelaksana
Tersedianya panduan operasional atau instruksi operasional dalam melakukan suatu proses tertentu, siapa pelaksana utama, pelaksana kedua, pihak yang melakukan checker/override, back up pelaksana, jenis kegiatan/proses yang dilakukan, limit yang diperkenankan dlsb, sehingga pelaksanaan proses dapat dilakukan dengan jelas dan dapat dipertanggung jawabkan
Tersedianya bukti proses/transaksi yang menjadi dasar transaksi
Hasil laporan, verifikasi dan rekonsiliasi atas proses yang telah dilakukan
Berita Acara, Memo eskalasi dan sejenisnya untuk proses yang membutuhkan dokumentasi tersebut.
b. Kelengkapan dokumentasi sangat penting untuk memastikan:
Pelaksanaan operasional telah sesuai dengan peraturan yang berlaku
Fungsi kontrol telah berjalan dengan baik
Perusahaan telah terlindungi dari aspek legal yang mungkin timbul karena mempunyai dokumentasi yang memadai
c. Kelengkapan Dokumentasi adalah salah satu control dasar yang sering diabaikan, misalnya:
Checking antara fisik dengan dokumentasi tidak dilaksanakan dengan teliti
Supervisor tidak membubuhkan paraf saat melakukan overide transaksi
Melakukan rekonsiliasi melalui Excel, namun print-out rekonsiliasi tidak diparaf
d. Penting diperhatikan dalam kecukupan dokumentasi dan cara memanagenya – oleh pihak pelaksana:
Pengetahuan pelaksana atas kecukupan dokumentasi yang diperlukan – untuk hal ini perlu adanya pembelajaran, arahan dan reminder dari supervisor ataupun unit control/prosedur
Critical point dalam dokumentasi yang perlu diperhatikan
Update secara berkala atas dokumentasi yang diperlukan
Pengecekan secara berkala atas kecukupan dokumentasi di unit kerja masing-masing
Mem-FU item-item dokumentasi yang kurang untuk case tertentu, segera melengkapinya (hasil temuan dari site/branch visit) dan sekaligus memikirkan lebih jauh ke depan bagaimana dengan item-item yang terkait sebagai tindakan proaktif untuk melengkapi dokumen yang diperlukan (sebelum ditemukan oleh team independen yang melakukan visit). -> Call back documentation
Menyimpan dokumentasi dengan layak di tempat yang seharusnya – misalnya untuk dokumentasi penting yang harus diletakkan di ruangan khusus dan terkunci, maka pastikan dokumentasi tersebut dilakukan di ruangan yang dimaksud.
Melakukan pengarsipan dokumentasi sesuai peraturan yang berlaku, misalnya, indexing dokumentasi, penyimpanan dokumentasi di gudang jika sudah berusia lebih darti 5 atau 10 tahun (sesuai peraturan yang berlaku), melakukan penghancuran dokumentasi sesuai peraturan yang berlaku (jika sudah berusia melebihi masa retensi)
Diusahakan adanya dokumentasi secara softcopy
5. Evaluasi berkala
Evaluasi berkala adalah suatu proses untuk memastikan bahwa kecukupan control dapat terlaksana secara continue dalam suatu organisasi atau perusahaan, sehingga tercipta control environment yang sehat.
a. Hal apa saja yang perlu dilakukan Evaluasi berkala? Evaluasi berkala yang dimaksud adalah:
Melakukan self assessment atas kecukupan control dan risk di unit kerja masing-masing – dilaksanakan setahun atau setiap semester
Melakukan visit dari supervisor – dapat dilakukan secara berkala triwulan, atau setiap semester
Melakukan site visit/branch visit – untuk audit oleh unit control maupun audit setiap semester atau setiap tahun. Disarankan jangan melebihi 2 tahun sekali.
b. Bagaimana supaya proses evaluasi berkala ini menjadi efektif
Bila perhatian atas fungsi control mencukupi, dimulai dari senior management dan kemudian diturunkan ke level-level dibawahnya
Dimasukkan sebagai Key Peformance Indicator. Misalnya pengukuran kecukupan control oleh pihak Audit internal dimasukkan sebagai salah satu KPI yang significant. Perlu presentase yang cukup besar supaya pihak unit kerja memperhatikan dengan seharusnya terhadap unsur control
Adanya mekanisme reward and punishment yang dijalankan, misalnya untuk unit kerja yang memperlihatkan kecukupan control yang baik mendapatkan reward, sedangkan unit kerja yang memperlihatkan hasil kecukupan control yang buruk mendapatkan punishment, terlebih jika didapati ada fraud maka akan diberikan punishment yang lebih keras.
Adanya proses perbaikan yang dilakukan dan FU yang dijalankan dengan konsisten. Ini berupa sosialisasi control awareness, training atas control, reminder-reminder yang terkait control. Disarankan unit control yang menindaklanjuti hal ini (selain dari unit kerja yang bersangkutan).
Dijalankannya evaluasi berkala secara konsisten dan mendapat support dari management
6. Pembentukan Internal control team, QA, Audit Internal, Fraud Management dan Incident Management Team
Salah satu faktor terpenting yang perlu dibahas dari sisi control adalah juga pembentukan tim yang terkait control seperti Internal control team, QA, Audit Internal, Fraud Management dan Incident Management team, yang bertujuan memastikan fungsi control berjalan dengan baik dan FU berjalan dengan seharusnya.
Pembahasan atas topik ini tidak dibuat secara mendetail hanya memberikan pengertian apa fungsi utama team tersebut:
Internal control team: merupakan bagian internal dari suatu organisasi tertentu, masih satu direktorat sebagai penjaga kontrol lapis pertama, melakukan control secara langsung dan juga secara sistem, langsung terkait dengan proses control atau transaksi yang dilakukan
QA: sebagai bagian diluar organisasi (diluar direktorat yang berbeda) yang berfungsi sebagai control lapis kedua, melakukan evaluasi, pengukuran control dan risiko, membuat risk metrics, analisa risk & control secara lebih menyeluruh, analisa perbandingan self assessment, hasil internal control rating, audit rating.
Audit Internal perusahaan: sebagai bagian dari fungsi control lapis ketiga, memastikan kecukupan control dan risiko yang telah dijalankan unit kerja dan juga bagian internal control.
Fraud Management: suatu unit yang dibuat untuk mengelola risko fraud yang terdiri dari: Pencegahan, Deteksi, Investigasi/Pelaporan, Monitoring/Evaluasi dengan mangambil prinsip COSO (Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka)
Incident Management: suatu unit yang dibuat khusus untuk memanage kejadian yang bersifat insidentil yang dapat membahayakan perusaahaan/unit kerja, misalnya dalam kasus pemogokan, banjir, sistem break secara nasional, terjadinya kerusuhan, kebakaran, dll. Demikian proses control yang perlu diterapkan sehingga suatu perusahaan dapat membangun proses controlnya menjadi solid.
Pada artikel berikutnya akan dibahas mengenai membangun control dilihat dari sisi System dan Fisik, sebagai satu kesatuan untuk membangun proses control yang solid secara keseluruhan.