Control Monitoring

Ketahui 3 Mitos Seputar Continuous Control Monitoring

Melalui perkembangan teknologi yang semakin pesat, masih banyak perusahaan yang ragu untuk mengimplementasikan Continuous Control Monitoring (CCM) karena tak lepas dari adanya mitos seputar CCM itu sendiri.

Ketika Anda mendengar istilah “continuous control monitoring”, tanyakan pada diri Anda, apakah ketiga hal ini muncul di pikiran Anda?

  1. Saya tidak butuh CCM karena sistem ERM (Enterprise Risk Management) yang saya pakai memiliki sistem kontrol otomatis dan sudah terlindungi.
  2. Secara teori, CCM terdengar meyakinkan, namun pada kenyataannya teknologi ini tidak praktis dan cenderung mahal untuk diimplementasikan.
  3. Bukankah kontrol audit merupakan tugasnya para auditor?

Faktanya, ketiga pernyataan di atas sering kali terlontar dari mulut para senior eksekutif dan manajer. Oleh karena itu, sudah saatnya mitos-mitos seperti di atas dibuktikan sehingga tidak hanya menjadi sekedar asumsi. Di artikel kali ini, akan dibahas selengkapnya tiga mitos paling umum seputar CCM.

Control Monitoring

Mitos 1: Saya tidak butuh CCM karena sistem ERM yang saya pakai memiliki sistem kontrol otomatis dan sudah terlindungi

Pernyataan di atas memang tidak sepenuhnya salah bahwa sistem ERM menggunakan kontrol otomatis bawaan yang mampu mencegah terjadinya kesalahan transaksi. Di sisi lain, beredar mitos yang mengatakan bahwa kontrol sistem ERM 100% efektif dalam mengeliminasi berbagai risiko.

Meski bisa mencegah terjadinya salah transaksi, sayangnya sistem ERM tidak bisa untuk mencegah fraud. Penting untuk Anda ketahui bahwa kenyataannya tidak ada sistem kontrol ERM yang dapat dipercaya sepenuhnya. Ironisnya, semakin ketat sistem kontrol ERM Anda, semakin besar pula peluang karyawan mencari cara atau celah untuk dapat menjalankan fraud tersebut.

Sebagai contoh purchase orders (PO) dan goods receipt (tanda terima). Seperti yang telah diketahui, PO diperlukan sebelum perusahaan membeli barang atau jasa. Setelah terjadi kesepakatan dan faktur dibuat, seorang karyawan bisa mengirimkan PO dan melanjutkan ke tahap pembayaran.

Namun, bagaimana kalau sedari awal sang karyawan tidak pernah membuat PO? Tidak ada yang tahu jika karyawan tersebut request PO setelah pembelian selesai dan barang telah diterima.

Melalui PO yang sudah tersedia, maka flow pembelian sudah sesuai dengan kriteria control untuk mengeluarkan tanda terima barang dan dapat dilanjutkan ke proses pembayaran. Sistem ERP (Enterprise Resource Planning) perusahaan Anda mungkin bisa dikatakan sukses, namun sebenarnya proses bisnis Anda memiliki celah untuk dapat dieksploitasi.

Anda harus mengerti bahwa workaround hanyalah satu dari sekian banyak risiko yang berpotensi muncul pada sistem ERP. Pertimbangkan pula paparan risiko (risk exposure) lainnya yang berpotensi muncul seperti berikut ini:

  • Kontrol yang terlewatkan pada implementasi awal, pengaturan kontrol yang tidak diaktifkan, atau kontrol yang tidak lagi mampu beradaptasi dengan kebijakan baru perusahaan.

Menjaga sistem kontrol ERP agar bisa terus beradaptasi dengan kebijakan perusahaan bukanlah hal yang mudah dilakukan.

  • Penggunaan beberapa macam sistem ERP dan instansi memiliki kelemahan tersembunyi dan control gap.

Dampaknya, bisa terjadi ketidaksesuaian dan kesalahan data yang nantinya akan semakin menyulitkan proses rekonsiliasi pada laporan akhir tahun. Skenario seperti ini berpotensi menimbulkan masalah segregation of duties serta meningkatkan penipuan, penyalahgunaan, dan pemborosan.

  • Kesalahan input data tidak bisa diketahui sistem kontrol.

Kesalahan seperti ini hampir mustahil dihilangkan dan imbasnya membuat perusahaan Anda rentan terhadap penipuan dan kesalahan pada sistem yang tidak terdeteksi. Namun, kabar baiknya, kesalahan input data bisa dengan mudah dicegah menggunakan control monitoring.

  • ERP merupakan software general, sehingga ada kemungkinan sistem ERP tidak dapat disesuaikan dengan kebijakan atau proses unik yang hanya ada di perusahaan Anda.
  • Penyalahgunaan kebijakan tidak dapat dideteksi kontrol konfigurasi ERP.
    Sebagai contoh, jika perusahaan Anda memiliki kebijakan untuk tidak mengeluarkan tanda terima bagi pembelian kurang dari USD 25, transaksi semacam ini memang tetap valid. Namun, seiring berjalannya waktu, monitoring transaksi seperti ini dapat menunjukkan pola penyalahgunaan.

Di sisi lain, keunggulan CCM adalah mampu membantu mengungkap anomali yang ada pada bisnis Anda.

“Implementasi yang sukses dimulai langkah kecil dan menggunakan pendekatan yang cermat dan berulang dengan output yang dapat dimonitor dan dapat menunjukkan hasil dengan cepat. Fokus implementasi ada pada small steps namun memiliki hasil.” – Nonie Dalton, Director of Product Management, Galvanize

Control Monitoring

Mitos 2: Secara teori, CCM terdengar meyakinkan, namun kenyataannya teknologi ini tidak praktis & cenderung mahal untuk diimplementasikan

Setelah ditelusuri lebih lanjut, ketika orang menganggap bahwa CCM tidak praktis, bukan karena secara harfiah CCM itu tidak praktis dalam penggunaan, namun tantangan yang sebenarnya adalah pengertian bagaimana mengimplementasikan CCM tersebut pada environment perusahaan yang kompleks. Perusahaan meninjau biaya implementasi dan perubahan dalam manajemen terlalu tinggi, karena perusahaan menganggap implementasi untuk memonitor setiap kontrol dalam perusahaan tidak secara bertahap, namun sekaligus dalam satu kali implementasi.

Tentu saja, pendekatan seperti di atas akan berat bagi perusahaan dan hanya akan membuat Anda stuck pada perencanaan dan proses implementasi yang sangat lama tanpa mengetahui manfaat sesungguhnya yang diberikan CCM.

Implementasi yang sukses dimulai dari langkah kecil dan menggunakan pendekatan yang cermat dan berulang, dengan output yang dapat dimonitor dan dapat menunjukkan hasil dengan cepat. Fokus implementasi ada pada small steps namun memiliki hasil terutama di area yang high risk dan bernilai tinggi. Berikut ini adalah beberapa contoh yang sangat baik sebagai inspirasi dari mana sebaiknya Anda memulai implementasi CCM pada transaksi keuangan:

  1. Tetapkan area di mana Anda biasanya menghabiskan banyak waktu untuk manual monitoring. Sebagai contoh, bisa pada tagihan telepon atau transaksi sederhana namun berjumlah besar lainnya.
  2. Pilih satu area finansial paling berisiko tinggi yang menjadi concern para auditor. Selanjutnya, pendekatan cermat dan berulang dapat membantu Anda membangun roadmap prioritas objektif perusahaan yang dapat Anda implementasikan secara bertahap.

Dengan mengerucutkan area implementasi, Anda menjadi lebih fokus dalam merancang workflow. Workflow ini nantinya juga bisa Anda gunakan di area lainnya.

Hal yang perlu Anda ketahui lainnya adalah otomatisasi ikut memainkan peran penting dalam menciptakan program CCM yang scalable dan berkelanjutan. Automation bersifat efektif tidak hanya bisa membantu Anda dalam mengidentifikasi control exception, namun juga mendukung remediasi, follow-up workflow, serta menyajikan output yang transparan pada dashboard. 

Governance Risk Compliance

Mitos 3: Bukankah Kontrol Audit Merupakan Tugas Tim Auditor?

Mungkin banyak pertanyaan mengenai, siapa yang bertanggung jawab untuk memastikan kontrol tetap berjalan baik? Di area pemerintahan, tugas seperti ini biasanya sangat dipercayakan kepada para auditor. Namun sebenarnya, tugas para auditor adalah untuk memberikan assurance yang independent kepada organisasi, bahwa control berjalan dengan baik dan benar, bukan bertanggung jawab untuk pembuatan kontrol dan manajemen.

Sebagai contoh, sebagai seorang manajer keuangan, Anda tentu bertanggung jawab untuk menangani berbagai risiko keuangan perusahaan. Namun, patut Anda ketahui bahwa CCM bukan tentang eksistensi maupun efektifitas kinerja dari kontrol, melainkan tentang pengelolaan risiko.

Jadi, ketika auditor menguji sistem kontrol Anda selaku manajer keuangan, kemungkinan auditor hanya akan meminta sampel data dan mengujinya untuk dinilai apakah fungsi sistem kontrol sudah bekerja sesuai semestinya. Selanjutnya, sang auditor akan mengkonfirmasi bahwa benar sistem kontrol bekerja sebagaimana mestinya, namun tentu saja, karena uji kontrol dilakukan dengan sampel data, konfirmasi tersebut hanya berlaku untuk sampel data, bukan secara keseluruhan data.

Dari serangkain penjelasan di atas, dapat dipahami bahwa CCM mampu menemukan anomali yang bahkan tidak terdeteksi lewat ad hoc analytics maupun sample-based testing.  Bahkan menurut laporan Association of Certified Fraud Examiners (ACFE) sistem data monitoring yang proaktif seperti CCM mampu menurunkan persentase kerugian perusahaan sebanyak 54% serta mengurangi durasi deteksi fraud sebanyak 50%.

Setelah kami bahas 3 mitos seputar CCM lengkap dengan penjelasannya. Harapan kami, penjelasan tersebut dapat memberikan wawasan baru bagi Anda yang sedang berencana untuk mengimplementasikan CCM. Melalui pendekatan dan teknologi yang tepat, sudah pasti berbagai manfaat CCM dapat dirasakan perusahaan Anda.

Bagi Anda yang tertarik dengan CCM, AMT IT Solutions bersama Galvanize dapat membantu implementasi CCM pada perusahaan Anda. Melalui teknologi dan kemampuan SDM yang memadai, AMT IT Solutions bisa menjadi opsi yang tepat bagi perusahaan Anda.