• Home
Header

Alhamdulillah aku lulus CISSP

cisspPagi ini saya membuka email dengan hati yang berdebar2. Di inbox itu ada email dari ISC2. Saya sudah menduga bahwa isi email ini pasti pengumuman hasil ujian CISSP 2 minggu yang lalu. Lalu dengan membaca basmalah dan hati ikhlas, saya membuka email itu dan pelan2 memperhatikan isi dari emailnya. Sampailah pada baris yang melegakan hati :

“Dear Wisnu Suryaningrat:
Congratulations! We are pleased to inform you that you have passed the Certified Information Systems Security Professional (CISSP®) examination”.

Alhamdulillah, segala puji bagi Allah, atas segala rahmat dan nikmat yang telah diberikan pada hamba-Nya yang lemah ini. Ini adalah sertifikasi yang menjadi akhir pengejaran sertifikasi profesional yang ingin aku capai. Di awal lulus kuliah, saya punya target untuk memiliki 3 sertifikasi profesional, yaitu CISA (Certified Information System Auditor), CISSP (Certified Information System Security Professional), dan CEH (Certified Ethical Hacker).

Sekarang, semua target itu sudah tercapai. Ditambah juga target menikah dan memiliki anak. Tinggal 1 target yang menjadi cita2ku dari awal, dan akan menyempurnakan semua cita2ku. Sebuah target yang paling sulit diantara target2 yang lain, yaitu kuliah MBA di salah satu Top 10 Business School di dunia. Semoga Allah memberikan jalannya….mohon doa restunya…

Harvard … I’m coming … :)

CSA: Menjadi auditor yang cerdas

Catatan Seorang Auditor (CSA) kali ini akan membahas tentang kebutuhan seorang auditor untuk menjadi lebih cerdas dalam melakukan pekerjaan auditnya, sehingga menjadikan pekerjaannya lebih efektif dan efisien dan memberikan added value bagi auditee.

Banyak yang menganggap bahwa pekerjaan audit merupakan pekerjaan yang mudah. Hal ini disebabkan, karena mereka melihat, auditor hanya sekedar mengikuti work program atau checklist yang tersedia untuk melakukan pekerjaannya. Auditor hanya butuh mengikuti rangkaian checklist yang ada dan memberi tanda apakah ada gap atau tidak? Setelah semua checklist diikuti maka pekerjaan selesai, dibuatlah summary issue dan rekomendasi. Sebenarnya banyak juga auditor “terjebak” dengan pemahaman seperti ini. Apalagi jika masih baru menjadi auditor. Yang dibenaknya adalah yang penting semua work program sudah diikuti, maka pekerjaan aman, tanpa memahami proses disekitar work program tersebut.

Menurut saya, ini merupakan pemahaman yang salah. Seharusnya proses audit dimulai dengan terlebih dahulu memahami nature dari organisasi yang sedang diaudit, proses bisnisnya, sistem yang terkait dan pendukung lainnya. Dalam fase audit, proses ini biasa disebut sebagai walktrough. Setelah memahami hal2 tersebut, barulah kita melihat work program atau checklist yang tersedia dan menyesuaikannya dengan nature dari organisasi tersebut. Work program bisa juga dijadikan sebagai acuan ketika melakukan walkthrough, namun jangan dijadikan harga mati untuk melakukan testing.

Ketika auditor tidak menyesuaikan work program dengan nature organisasi maka yang terjadi adalah :

  • Proses audit tidak efektif dan efisien, sehingga hal2 yang tidak relevan dalam organisasi akan juga ikut dilakukan testing.
  • Issue dan rekomendasi yang ditemukan tidak relevan dengan organisasi yang ada. Hal ini akan menyebabkan proses audit tidak akan memberikan added value bagi organisasi tersebut. Justru menambah sulit.

Disinilah dibutuhkan auditor yang cerdas. Auditor harus mengerti proses bisnis dari organisasi yang akan diaudit, memahami best practice, memahami metodologi audit, memahami pengetahuan dasar yang terkait jenis audit, (spt accounting, IT, Tax, dll) dan kemampuan analisa yang baik. Auditor harus mengkombinasikan pengetahuan ini dalam melakukan proses audit. Disinilah titik dimana audit bukan merupakan proses yang mudah. Dibutuhkan orang2 yang cerdas agar proses audit menjadi lebih efektif dan efisien.

Jadi, auditor harus cerdas khan ? kalau nggak, ya dibohongin auditee terus :)

Industri Keuangan Syariah, Tumbuh di Tengah Krisis Global Sistem Kapitalis

logo islamic bank

logo islamic bank

Lembaga keuangan syariah kembali membuktikan daya tahannya dari terpaan krisis keuangan yang melanda dunia. Sementara bank-bank konvensional di seluruh dunia bangkrut atau merugi hingga lebih dari 400 milyar dollar akibat krisis di sektor kreditnya, industri perbankan syariah menunjukkan menunjukkan kebalikannya.

Lembaga-lembaga keuangan syariah tetap memberikan keuntungan, kenyamanan dan keamanan bagi para pemegang sahamnya, pemegang surat berharga, peminjam dan para penyimpan dana yang mempercayakan uangnya didepositkan di bank-bank syariah.

Di tengah krisis keuangan global, industri keuangan syariah malah mengalami pertumbuhan sebesar 1 triliun dollar dan dipekirakan akan terus berkembang meliputi investor-investor non-Muslim.

Para investor yang trauma akibat krisis keuangan bisa lebih nyaman jika menanamkan investasinya di lembaga-lembaga keuangan syariah, yang menerapkan peraturan ketat berdasarkan hukum Islam dalam memberikan pinjaman. Sistem keuangan berbasis syariah mensyaratkan untuk mengambil keuntungan hanya dari investasi-investasi yang dilakukan secara etis dan bertanggunggung dari sisi sosial. Sistem ekonomi syariah, melarang mengambil keuntungan dari sistem riba, seperti sistem bunga yang diterapkan bank-bank konvensional dan melarang mengambil keuntungan dari investasi-investasi haram seperti perjudian, pornografi dan bisnis babi.

”Krisis ini merupakan titik balik bagi sistem pinjaman konservatif yang sudah usang. Kondisi pasar global sekarang ini memberikan kesempatan yang besar bagi lembaga keuangan Islami untuk menunjukkan apa yang bisa dilakukannya-untuk mengisi gap likuiditas yang terjadi,” kata David Testa, Eksekutif Gatehouse Bank yang memulai operasinya sebagai bank Islam kelima di Inggris, bulan April kemarin.

Asian Development Bank (ADB) mempekirakan, asset-asset lembaga keuangan islami secara global mencapai 1 triliun dollar dengan angka pertumbuhan per tahun sebesar 10 sampai 15 persen. Perkiraan ini bisa lebih tinggi, karena perkembangan pesat industri keuangan Islami telah menarik minat perusahaan-perusahaan dari luar Timur Tengah.

Para analis keuangan sudah banyak yang mengakui bahwa industri keuangan Islami menerapkan sistem yang berbeda yang membuat resikonya relatif kecil. Meski ada juga sejumlah analis yang meragukan keamanan sistem keuangan berbasis syariah. Mereka mengatakan, para komentator terlalu bersemangat dalam mempromosikan keunggulan-keunggulan sistem keuangan Islami sebagai produk yang aman.

”Sistem keuangan Islami tidak kebal terhadap resiko,” kata Mohamad Damak dari Standard & Poor’s. Ia mengkritik maraknya pembiayaan real estate di kawasan Teluk selama tiga tahun belakangan ini-terutama pembiayaan yang dilakukan lembaga-lembaga keuangan syariah-di tengah membubungnya harga-harga properti.

”Koreksi di sektor real estate akan menimbulkan dampak bagi bank-bank Islami yang terlibat dalam bisnis ini. Sistem keuangan Islami tidak kebal terhadap krisis,” kritik Damak.

Sementara sejumlah analis masih memperdebatkan soal keamanan sistem keuangan Islami, banyak pula yang mengakui bahwa industri keuangan Islami kini mulai dilirik banyak orang yang sudah kehilangan kepercayaan dengan sistem keuangan kapitalis.

”Jika bank-bank Islami menunjukkan langkah maju, maka sistem keuangan Islami akan menjadi daya tarik,” kata Testa.

(more…)

CSA: Auditor sebagai sahabat atau musuh ?

Catatan Seorang Auditor (CSA) ini akan membahas tentang 2 persepsi yang muncul ketika auditor akan melakukan pekerjaan audit di suatu tempat. Ada yang menganggap auditor adalah sebagai sahabat, tak sedikit juga yang menganggap auditor sebagai musuh.

Ketika akan melakukan audit, tentunya akan dimulai dari opening meeting sebagai salah satu bentuk formal tanda dimulainya pekerjaan audit. Seorang auditor akan mulai mendapatkan sense mengenai auditee dari sikapnya di opening meeting ini. Akan terlihat mana orang yang memang terbuka atau open jika diaudit, dan mana orang yang akan tertutup atau akan banyak defense dari audit ini. Dari sikap inilah yang menimbulkan 2 persepsi terhadap auditor. Yang pertama, ia akan menganggap sebagai sahabat, dan yang satunya akan menganggap auditor sebagai musuh.

Kalau diperhatikan parameternya sederhana saja, jika auditee menganggap auditor sebagai sahabat, ia akan melihat audit sebagai proses yang independent dalam melihat kinerja yang ada di organisasinya. Jika ada finding, maka ia menganggap bahwa ada resiko yang belum diidentifikasi sebelumnya sehingga hal tersebut bisa di-improve dari organisasinya. Management justru senang jika ada finding, karena akan semakin mengukuhkan organisasinya menjadi lebih teratur dan profesional. Resiko yang ada akan dikelola sedemikian rupa sehingga tidak memberikan ancaman bagi organisasi. Jika auditee menganggap auditor sebagai sahabat, maka akses informasi dan permintaan data akan lebih cepat diberikan kepada auditor.

Untuk yang menganggap auditor sebagai musuh, saya melihat ada 2 penyebab utama yaitu auditee pernah melakukan sesuatu yang salah atau bahkan sampai fraud, dan yang kedua adalah hasil audit menjadi rating dari performance karyawan. Jika hasil audit buruk, maka buruklah rating performance dari karyawan atau bahkan unit yang menjadi subjek finding dari auditor.

Mari bahas alasan yang pertama dulu yaitu auditee pernah melakukan sesuatu yang salah atau bahkan sampai fraud. Tentunya jika seseorang melakukan kesalahan ia tidak ingin kesalahan tersebut diketahui. Jika proses audit datang, akan sangat mungkin kesalahan tersebut terungkap. Sehingga ia akan menjadikan auditor sebagai musuh. Ia akan melakukan segala cara agar kesalahannya tersebut tidak diketahui. Sehingga akses informasi dan permintaan data pun jadi terhambat atau bahkan data dimanipulasi dulu untuk mengelabui auditor.

Lalu alasan yang kedua yaitu hasil audit menjadi rating dari performance karyawan atau menjadi salah satu komponen overall performance. Terus terang, saya melihat beberapa manajemen agak sedikit kaku untuk menterjemahkan hasil audit menjadi rating karyawan. Tanpa melihat sebab ataupun alasan lainnya, jika hasil audit menemukan suatu finding yang high risk, maka rating karyawan atau unit tersebut akan buruk. Alhasil, kenaikan gaji atau bonus jadi terhambat. Tentunya hal ini akan menyebabkan auditor pun menjadi musuh. Seperti kondisi diatas, akses informasi dan permintaan data pun jadi terhambat.

Opini saya, sebenarnya sah-sah saja jika hasil audit menjadi rating dari performance karyawan. Tapi harus dipilah2 lagi hasil audit dengan kategori sebagai berikut:

  • Jika finding yang ditemukan adalah finding yang baru, maka hal ini bukan kesalahan karyawan. Mungkin mereka tidak sadar akan finding itu dan belum ada hasil audit yang menemukan finding ini. Jadi seharusnya ini adalah suatu hal yang bisa di-improve. Tentunya hal ini tidak perlu dijadikan rating performance karyawan.
  • Jika finding yang ditemukan adalah finding yang lama, artinya finding tersebut belum dikoreksi. Padahal karyawan atau unit yang bersangkutan sudah mengetahuinya dan telah dilaporkan dalam hasil audit, maka bolehlah ini dijadikan rating performance karyawan, karena sudah tahu koq nggak dibenerin. Sah2 aja dong kalo manajemen jadi marah.
  • Jika finding yang ditemukan adalah karena tidak berjalannya kontrol yang sudah menjadi prosedur operasional organisasi. Finding ini boleh juga dijadikan rating performance karyawan, karena ia tidak menjalankan kontrol yang sudah didefinisikan dalam SOP organisasi.

Dengan pemilahan diatas, seharusnya menjadikan proses audit menjadi lebih fair. Tidak ada yang dirugikan dan semua mendapatkan keuntungan dari proses audit.

Jadi, auditor sebagai sahabat atau musuh ?