Risk Based Internal Auditing Sebuah Transisi
Fungsi Internal Auditing akhir-akhir ini telah dan akan terus berkembang
secara dramatis. Dikatakan dramatis bukan saja karena terkait dengan
kecepatan perubahan dimaksud, tetapi juga atas sifat perubahan itu
sendiri yang menuntut perubahan paradigma dari para pemakainya.
Pada awalnya Internal Audit (Audit Intern) dikenal sebagai pendekatan yang berbasis pada sistem yang dalam perkembangannya beralih pada Internal Audit yang berbasis proses. Pada saat itu Audit Intern lebih banyak berperan sebagai mata dan telinga Manajemen, karena manajemen butuh kepastian bahwa semua kebijakan yang telah ditetapkan tidak akan dilaksanakan menyimpang oleh karyawan. Orientasi Audit Intern lebih banyak dilakukan terhadap pemeriksaan tingkat kepatuhan para pelaksana terkait ketentuan yang ada (compliance). Peran dan fungsi Audit Intern sebagai ’’watchdog’’ ini secara berangsur-angsur mulai ditinggalkan.
Begitu dunia usaha mulai menyadari bahwa semua usaha mengandung resiko, mulailah muncul kebutuhan untuk menerapkan Internal Auditing berbasis resiko (risk base internal auditing). Sesuai dengan definisi baru, kegiatan Internal Audit bertujuan memberikan layanan kepada organisasi. Karena kegiatan ini, maka selain memiliki fungsi sebagai pemeriksa, Audit Intern juga sekaligus berfungsi sebagai mitra Manajemen (Auditee).
Pada dasarnya seluruh tingkatan manajemen dapat menjadi klien dari Audit Intern. Oleh karena itu Audit Intern wajib melayani klien dengan baik dan mendukung kepentingan klien sambil tetap mempertahankan loyalitasnya pada perusahaan. Fokus utama Audit Intern adalah membantu satuan kerja operasional untuk mengelola resiko dengan mengindentifikan masalah-masalah dan menyarankan perbaikan yang memberi nilai tambah atau untuk memperkuat perusahaan.
Dengan posisinya sebagai mitra Auditee dan konsultan bagi kliennya, Audit Intern memiliki peran yang lebih luas. Bahkan untuk masa datang, Audit Intern dimungkinkan untuk berperan sebagai katalisator yang ikut menentukan tujuan perusahaan. Perubahan ke arah Risk Base Internal Auditing (RBIA) yang lebih penuh ini sendiri masih belum selesai. Bahkan banyak yang memperkirakan proses perubahan ini tidak akan pernah berhenti sejalan dengan dinamika Manajemen Resiko.
Untuk melihat peran Risk Base Internal Auditing (RBIA), resiko didefinisikan sebagai sebuah konsep yang menunjukan tingkat ketidak- pastian yang berdampak secara material terhadap tujuan usaha sebuah organisasi/perusahaan. Apabila disederhanakan, resiko adalah berbagai peristiwa atau situasi yang dapat menghambat/menggagalkan sebuah organisasi mencapai tujuan-tujuan yang telah ditetapkan.
APA SAJA YANG MENGALAMI PERUBAHAN ?
Selama sekitar dua dekade terakhir, fungsi audit lebih difokuskan untuk mengurangi resiko kesalahan material dalam penyajian laporan keuangan atau salah saji material dalam laporan keuangan. Disebabkan proses audit ini dilakukan setelah laporan keuangan disusun (after the fact), maka auditor menghadapi kombinasi dari resiko-resiko sebagai berkut :
Kesalahan dalam penyajian laporan keuangan secara material yang dihasilkan oleh kegiatan perusahaan dan proses-proses yang dilakukan sampai menghasilkan laporan keuangan (inherent risk).
Salah saji material laporan keungan tersebut di atas tidak tertangkap oleh sistem pengendalian intern perusahaan (control risk).
Kesalahan penyajian laporan keuangan tersebut juga tidak terdeteksi oleh prosedur audit yang digunakan oleh Auditor (detectiobn risk).
Dengan munculnya kesadaran mengenai adanya resiko audit (audit risk) dan resiko usaha (business risk) maka fungsi audit mulai mengarahkan fokusnya ke akar permasalahan yaitu resiko usaha yang bukan saja dapat menyebabkan perusahaan tidak mencapai tujuannya, tetapi juga dapat menyebabkan laporan keuangan perusahaan secara material telah disajikan secara tidak layak dan tidak benar.
Selain itu muncul kebutuhan dari faktor lain yang menjadi alasan untuk mengubah paradigma dalam menjalanakan fungsi audit, yaitu :
Kompleksitas usaha dan efektifitas/efesiensi audit. Globalisasi, perkembangan teknologi, persaingan yang semakin ketat dan konsumen (debitur, nasabah) yang semakin rewel dengan tuntutannya yang semakin beragam, telah menghasilkan perusahaan-perusahaan dengan usaha yang semakin kompleks. Dengan pendekatan audit yang lama (tradisional), proses audit menjadi semakin tidak efektif karena membutuhkan waktu dan tenaga yang lebih banyak. Dengan fokus ke resiko usaha sebagai akar masalah, maka tugas audit akan dapat lebih efektif dan efisien.
Tata kelola yang baik (good corporate governance). Regulasi pasar modal tentang tata kelola yang semula ditujukan ke perusahaan publik, selanjutnya telah menjadi praktek yang sehat (best practice) untuk diterapkan pada semua perusahaan, Kontribusi audit untuk memperkuat tata kelola yang baik ini akan semakin besar apabila menerapkan dengan paradigma baru ini yakni audit intern yang berbasis resiko (risk base internal auditing).
PERUBAHAN PADA FOKUS AUDIT
Seperti telah diuraikan bahwa perubahan pendekatan ke audit intern berbasis resiko (RBIA) adalah perubahan yang fundamental sehingga memerlukan perubahan paradigma secara total dari para pelakunya.
Menurut David M.Griffiths, penulis buku Internal Auditing – Risky Biz, perubahan yang ada akan berdampak kepada apa saja yang dilakukan oleh Audit Intern, yaitu mulai dari awal (perencanaan audit) sampai akhir (pelaporan dan pemantauan hasil audit), termasuk langkah-langkah diantaranya (perekrutan auditor, penyusunan jadwal audit, pendidikan dan pelatihan auditor serta pemeriksaan di lapangan).
Bahkan definisi Internal Auditing sendiri telah mengalami pendefinisian ulang karena adanya perubahan paradigma ini. Sebelum tahun 1999, the Institute of Internal Auditors (IIA) mendefinisikan Internal Auditing sebagai berikut :
Internal auditing is an independent appraisal function established within an organization to examine and evaluate its activities as service to the organization. The objective of internal auditing is to assist members of the organization in the effective discharge of their responbilities.
Bandingkan dengan definisi baru yaitu :
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operation. Its help an organization accomplish its objectives by bringing a systematic, disciplines approach to evaluate and improve the effectiveness of risk management, control and governance proceses.
Apabila kita perbandingkan kedua definisi Internal Auditing diatas,terlihat adanya perubahan pada fokus dan proses pelaksanaan dari audit intern tersebut. Secara implisit, definisi baru hanya dapat dipenuhi dengan menerapkan pendekatan RBIA.
Dengan demikian, dengan memakai konsep RBIA memungkinkan Internal Audit Group atau satuan kerja audit intern (SKAI) untuk :
1. Bekerjasama dengan satuan kerja lain yang menjalankan bisnis untuk mengidentifikasi eksposur resiko yang secara jelas memiliki dampak kepada upaya perusahaan mencapai tujuannnya.
2. Menyebabkan manajemen senior bertanggung jawab sebagai pemilik kontrol, karena kontrol tersebut mereka perlukan untuk mengendalikan resiko yang timbul dari kegiatan usahanya. Tentu saja hal ini melibatkan bahkan menghendaki suatu perubahan kultur dalam perusahaan.
3. Memastikan bahwa sumber daya audit yang terbatas telah diberdayakan secara optimal dalam rangka menilai area bisnis yang benar-benar penting bagi :
Audit Kepatuhan (compliance audit)
Pengkajian Sistem (system review)
Permintaan Khusus (special request)
Dari beberapa pandangan para pakar audit mengenai transisi yang terjadi dari Audit Intern yang Tradisional ke Audit Intern yang Berbasis Resiko atau perubahan pada proses audit dari pendekatan lama ke pendekatan baru dapat disarikan sebagai berikut :
1. Audit Universe. Sebelumnya, lebih mengutamakan area finansial dan kepatuhan kepada undang-undang, regulasi, kebijakan serta prosedur internal. Ke depan, semua aktivitas usaha, khususnya yang mengandung resiko utama (business risk) perlu dipetakan.
2. Tujuan Audit. Sebelumnya, lebih kepada memastikan bahwa kontrol intern bekerja secara efektif dan perannya untuk meningkatkan efesiensi tanpa melihat keberadaannya untuk mengendalikan resiko. Ke depan, lebih memberikan kepastian (assurance) bahwa resiko yang diidentifikasi telah dipetakan (mitigasi) ke tingkat yang dapat diterima. Efektifitas kontrol justru dilihat dalam kaitannya dengan resiko yang ada dan Manajemen akan melihat pentingnya kontrol dalam mengelola resiko.
3. Rencana Audit Tahunan. Sebelumnya siklus audit ditetapkan secara berkala dan biasanya dilakukan secara mendadak (surprise audit) tanpa memperhatikan tingkat resiko. Pada waktu-waktu mendatang, audit lebih difokuskan pada area yang beresiko tinggi (high risk) hal mana akan diinformasikan dan didiskusikan dengan Manajemen terkait.
4. Jenis Audit. Sebelumnya, terdapat pemisahan antara financial audit, operational audit, compliance audit dan jenis lainnya (management audit). Ke depan, pemisahan yang ada hanya antara project audit dan on going process audit .
5. Keterlibatan semua pihak dalam organisasi. Sebelumnya, keterlibatan pihak lain sangat minim. Sebagai contoh keterlibatan komisaris dan direksi hanya pada pengesahan rencana audit dan hasil audit. Namun pada waktu mendatang, komisaris (Komite Audit) dan direksi terlibat dalam seluruh tahapan audit, mulai dari perencanaan audit, pelaksanaan audit, penilaian kinerja audit dan sampai kepada menyakinkan semua pihak yang berkepentingan (stakeholders).
6. Perencanaan SDM. Sebelumnya, satu subyek audit dialokasikan kepada satu atau lebih auditor untuk satu periode waktu tertentu. Kedepan, beberapa subyek audit dialokasikan kepada satu atau lebih auditor untuk satu periode waktu tertentu.
7. Waktu Audit yang dianggarkan. Sebelumnya, waktu audit mudah dianggarkan karena selalu melakukan audit yang sama dari waktu ke waktu. Kelak waktu audit sulit dianggarkan, karena harus selalu disesuaikan dengan paradigma yang ada (misalnya peribahan sistem atau adanya produk dan regulasi baru).
8. Tugas Lapangan. Sebelumnya, dilakukan berdasarkan pada seperangkap rencana kerja yang mungkin tanpa tujuan spesifik. Kedepan, tugas lapangan lebih kepada memastikan bahwa perusahaan telah mengidentifikan, mengendalikan dan memantau semua resiko yang ada.
9. Pengujian. Sebelumnya, pengujian dilakukan untuk bekerjanya kontrol tanpa mengurutkan menurut tingakt kepentingannya dan lebih mengarah pada temuan error walaupun tidak material dengan akibat laporan audit menjadi tebal. Kedepan, masih tetap melakukan pengujian yang sama, tetapi lebih memastikan bahwa kontrol utama (important risk control) berfungsi dengan baik untuk memitigasi resiko.
10. Pelaporan. Sebelumnya lebih mengutamakan penyimpangan yang signifikan dengan tetap merekam semua penyimpangan yang tidak material tetapi jumlahnya banyak. Pada waktu mendatang, lebih kepada memberikan keyakinan bahwa semua resiko khususnya yang utama telah dikelola secara baik dan melaporkan secara rinci resiko yang tidak dimitigasi dengan baik.
11. Rekomendasi. Sebelumnya rekomendasi diberikan dalam kaitan dengan kontro, agar diperkuat atau memperhatikan cost-benefit, efesiensi dan efektifitas. Pada waktu mendatang, rekomendasi akan diberikan dalam kaitannya dengan manajemen resiko agar dapayt resiko dihindari, diakhiri, ditransfer, didiversifikasi atau diterima bahkan dikelola.
12. Laporan Tahunan kepada Dewan Komisaris dan Direksi. Sebelumnya lebih mengutamakan laporan kinerja dari Group Audit Intern sebagai dasar perhitungan dan pertimbangan jasa produksi atau bonus tahunan. Pada waktu mendatang lebih kepada memeberi keyakinan bahwa resiko secara keseluruhan (portofolio) telah dimitigasi dengan baik. Selain juga melaporkan realisasi pemeriksaan dibandingkan dengan rencana audit yang telah mendapat persetujuan dari komite audit dan direksi.
13. Penempatan Auditor. Sebelumnya, Audit Intern Group / SKAI lebih banyak diisi oleh tenaga akuntan dan auditor karir. Pada waktu mendatang, SKAI akan diisi oleh staf yang memiliki motivasi tinggi, daya juang dan mempunyai pengalaman bekerja dengan manajemen puncak. Mungkin saja mereka bukan seorang akuntan tetapi sebagai seorang spesialis.
KESIMPULAN.
Dari gambaran ringkas diatas mengenai transisi yang sedang dan akan terus berlangsung terlihat bahwa :
RBIA merupakan konsep yang sederhana. Konsep ini mencoba melihat organisasi atau perusahaan sebagai sebuah kesatuan, berikut semua proses yang ada dalam organisasi tersebut.
Hubungan komunikasi dengan Manajemen yang diaudit lebih nyambung, karena RBIA dan Manajemen telah menggunakan bahasa yang sama yaitu sama-sama bicara mengenai resiko. Pada umumnya Manajemen jarang memikirkan kontrol tetapi biasanya lebih berorientasi pada target.
Rekomendasi yang diberikan akan dapat dengan mudah ditelusuri kembali melalui kontrol, resiko dan proses-proses yang ada ke tujuan organisasi yang ditegaskan dalam strategi dan rencana kerja.
Rekomendasi diatas dapat dirangking dalam rangka memberi nilai tambah kepada program mitigasi yang telah disusun oleh Manajemen perusahaan.
Pihak-pihak yang di audit (Auditee) akan bersedia bekerjasama karena proses audit akan mendukung tugas mereka. Karena fokus audit sama dengan fokus Manajemen yaitu mengelola resiko. Dengan demikian, maka friksi dalam proses audit akan semakin berkurang.
RBIA lebih efesien, karena alur proses kredit mulai dari perencanaan sampai pelaporan berjalan secara alami dan hanya terfokus pada area yang mengandung resiko material, baik dalam tingkat kemungkinan terjadinya maupun dampaknya. Pada konsep lama resiko ini kurang dikemukakan secara eksplisit.
Tugas audit tidak lagi membosankan sebagai sebuah tugas yang rutin, tetapi lebih menantang dan menarik bahkan lebih bermanfaat dalam meningkatkan pengetahuan dan pengalaman auditor serta membuka jalur karir yang lebih luas.
Namun demikian, dengan adanya pendekatan baru ini juga membawa implikasi fungsi Audit Intern itu sendiri, sebagai berikut :
Sekalipun pendekatan baru ini tampak sederhana, tetapi sebagai konsep baru harus ’’dijual’’ ke semua stakeholders yang ada agar mereka menerimanya secara baik (buy-in). Selain itu persiapan dan pelaksanaan audit akan lebih kompleks.
Hubungan yang semakin dekat antara Internal Audit dengan Auditee dapat mengurangi independensi dari auditor tersebut. Padahal dengan konsep lama pun, masalah indepedensi dan obyektivitas dari fungsi audit intern sering dipertanyakan atau diragukan, khususnya oleh pihak-pihak diluar perusahaan.
Dimungkinkan dibutuhkan staf baru atau kegiatan melatih dan mendidik staf audit yang ada dengan pendekatan baru, terutama motivasi yang kuat dalam mengubah paradigma mereka.
Lebih sulit dalam menentukan anggaran sumber daya (waktu dan tenaga dimana akan berdampak kepada penyusunan anggaran).
Perlu dipahami dan diluruskan bahwa pendekatan baru ini bukan meniadakan alat yang digunakan dalam pendekatan lama seperti halnya internal control questionaire (ICQ), audit program, teknik sampling maupun teknik pengujian kontrol.
Bahkan dengan semakin meningkatnya tren kecurangan (fraud) yang terjadi akhir-akhir ini seperti yang terjadi dalam industri perbankan, beberapa pakar audit berpendapat bahwa semua perusahaan masih membutuhkan jenis audit seperti financial auditing, operational auditing dan management auditing. Dalam RBIA, jenis-jenis audit ini akan diperlengkapi dengan alat-alat baru seperti fraud risk-scenarios. Dengan alat baru ini auditor akan dapat menginvestigasi sumber fraud sebelum fraud tersebut terjadi dan merevisi kontrol atau rancangan sistem untuk mengendalikan resiko fraud yang potensial.
Demikian juga dengan pendekatan kepatuhan atau ketaatan terhadap ketentuan yang ada (compliance approach) yang biasa disertai dengan kunjungan audit mendadak (suprise audit) masih tetap diperlukan. Hanya saja peran kesemuanya ini semakin dipersempit dimana resiko kepatuhan yang dinilai harus dilihat dalam hubungannya dengan resiko perusahaan secara keseluruhan.
Disarikan dari buku Audit Room ; Risk and System-Base Internal Auditing oleh Robert Tampubolon.
Pernah dimuat pada kolom artikel Berita Bukopin Edisi 74 bulan Desember 2008.
Salam
Zulhendra
www.zulhendra-auditwatch.blogspot.co.id
Pada awalnya Internal Audit (Audit Intern) dikenal sebagai pendekatan yang berbasis pada sistem yang dalam perkembangannya beralih pada Internal Audit yang berbasis proses. Pada saat itu Audit Intern lebih banyak berperan sebagai mata dan telinga Manajemen, karena manajemen butuh kepastian bahwa semua kebijakan yang telah ditetapkan tidak akan dilaksanakan menyimpang oleh karyawan. Orientasi Audit Intern lebih banyak dilakukan terhadap pemeriksaan tingkat kepatuhan para pelaksana terkait ketentuan yang ada (compliance). Peran dan fungsi Audit Intern sebagai ’’watchdog’’ ini secara berangsur-angsur mulai ditinggalkan.
Begitu dunia usaha mulai menyadari bahwa semua usaha mengandung resiko, mulailah muncul kebutuhan untuk menerapkan Internal Auditing berbasis resiko (risk base internal auditing). Sesuai dengan definisi baru, kegiatan Internal Audit bertujuan memberikan layanan kepada organisasi. Karena kegiatan ini, maka selain memiliki fungsi sebagai pemeriksa, Audit Intern juga sekaligus berfungsi sebagai mitra Manajemen (Auditee).
Pada dasarnya seluruh tingkatan manajemen dapat menjadi klien dari Audit Intern. Oleh karena itu Audit Intern wajib melayani klien dengan baik dan mendukung kepentingan klien sambil tetap mempertahankan loyalitasnya pada perusahaan. Fokus utama Audit Intern adalah membantu satuan kerja operasional untuk mengelola resiko dengan mengindentifikan masalah-masalah dan menyarankan perbaikan yang memberi nilai tambah atau untuk memperkuat perusahaan.
Dengan posisinya sebagai mitra Auditee dan konsultan bagi kliennya, Audit Intern memiliki peran yang lebih luas. Bahkan untuk masa datang, Audit Intern dimungkinkan untuk berperan sebagai katalisator yang ikut menentukan tujuan perusahaan. Perubahan ke arah Risk Base Internal Auditing (RBIA) yang lebih penuh ini sendiri masih belum selesai. Bahkan banyak yang memperkirakan proses perubahan ini tidak akan pernah berhenti sejalan dengan dinamika Manajemen Resiko.
Untuk melihat peran Risk Base Internal Auditing (RBIA), resiko didefinisikan sebagai sebuah konsep yang menunjukan tingkat ketidak- pastian yang berdampak secara material terhadap tujuan usaha sebuah organisasi/perusahaan. Apabila disederhanakan, resiko adalah berbagai peristiwa atau situasi yang dapat menghambat/menggagalkan sebuah organisasi mencapai tujuan-tujuan yang telah ditetapkan.
APA SAJA YANG MENGALAMI PERUBAHAN ?
Selama sekitar dua dekade terakhir, fungsi audit lebih difokuskan untuk mengurangi resiko kesalahan material dalam penyajian laporan keuangan atau salah saji material dalam laporan keuangan. Disebabkan proses audit ini dilakukan setelah laporan keuangan disusun (after the fact), maka auditor menghadapi kombinasi dari resiko-resiko sebagai berkut :
Kesalahan dalam penyajian laporan keuangan secara material yang dihasilkan oleh kegiatan perusahaan dan proses-proses yang dilakukan sampai menghasilkan laporan keuangan (inherent risk).
Salah saji material laporan keungan tersebut di atas tidak tertangkap oleh sistem pengendalian intern perusahaan (control risk).
Kesalahan penyajian laporan keuangan tersebut juga tidak terdeteksi oleh prosedur audit yang digunakan oleh Auditor (detectiobn risk).
Dengan munculnya kesadaran mengenai adanya resiko audit (audit risk) dan resiko usaha (business risk) maka fungsi audit mulai mengarahkan fokusnya ke akar permasalahan yaitu resiko usaha yang bukan saja dapat menyebabkan perusahaan tidak mencapai tujuannya, tetapi juga dapat menyebabkan laporan keuangan perusahaan secara material telah disajikan secara tidak layak dan tidak benar.
Selain itu muncul kebutuhan dari faktor lain yang menjadi alasan untuk mengubah paradigma dalam menjalanakan fungsi audit, yaitu :
Kompleksitas usaha dan efektifitas/efesiensi audit. Globalisasi, perkembangan teknologi, persaingan yang semakin ketat dan konsumen (debitur, nasabah) yang semakin rewel dengan tuntutannya yang semakin beragam, telah menghasilkan perusahaan-perusahaan dengan usaha yang semakin kompleks. Dengan pendekatan audit yang lama (tradisional), proses audit menjadi semakin tidak efektif karena membutuhkan waktu dan tenaga yang lebih banyak. Dengan fokus ke resiko usaha sebagai akar masalah, maka tugas audit akan dapat lebih efektif dan efisien.
Tata kelola yang baik (good corporate governance). Regulasi pasar modal tentang tata kelola yang semula ditujukan ke perusahaan publik, selanjutnya telah menjadi praktek yang sehat (best practice) untuk diterapkan pada semua perusahaan, Kontribusi audit untuk memperkuat tata kelola yang baik ini akan semakin besar apabila menerapkan dengan paradigma baru ini yakni audit intern yang berbasis resiko (risk base internal auditing).
PERUBAHAN PADA FOKUS AUDIT
Seperti telah diuraikan bahwa perubahan pendekatan ke audit intern berbasis resiko (RBIA) adalah perubahan yang fundamental sehingga memerlukan perubahan paradigma secara total dari para pelakunya.
Menurut David M.Griffiths, penulis buku Internal Auditing – Risky Biz, perubahan yang ada akan berdampak kepada apa saja yang dilakukan oleh Audit Intern, yaitu mulai dari awal (perencanaan audit) sampai akhir (pelaporan dan pemantauan hasil audit), termasuk langkah-langkah diantaranya (perekrutan auditor, penyusunan jadwal audit, pendidikan dan pelatihan auditor serta pemeriksaan di lapangan).
Bahkan definisi Internal Auditing sendiri telah mengalami pendefinisian ulang karena adanya perubahan paradigma ini. Sebelum tahun 1999, the Institute of Internal Auditors (IIA) mendefinisikan Internal Auditing sebagai berikut :
Internal auditing is an independent appraisal function established within an organization to examine and evaluate its activities as service to the organization. The objective of internal auditing is to assist members of the organization in the effective discharge of their responbilities.
Bandingkan dengan definisi baru yaitu :
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operation. Its help an organization accomplish its objectives by bringing a systematic, disciplines approach to evaluate and improve the effectiveness of risk management, control and governance proceses.
Apabila kita perbandingkan kedua definisi Internal Auditing diatas,terlihat adanya perubahan pada fokus dan proses pelaksanaan dari audit intern tersebut. Secara implisit, definisi baru hanya dapat dipenuhi dengan menerapkan pendekatan RBIA.
Dengan demikian, dengan memakai konsep RBIA memungkinkan Internal Audit Group atau satuan kerja audit intern (SKAI) untuk :
1. Bekerjasama dengan satuan kerja lain yang menjalankan bisnis untuk mengidentifikasi eksposur resiko yang secara jelas memiliki dampak kepada upaya perusahaan mencapai tujuannnya.
2. Menyebabkan manajemen senior bertanggung jawab sebagai pemilik kontrol, karena kontrol tersebut mereka perlukan untuk mengendalikan resiko yang timbul dari kegiatan usahanya. Tentu saja hal ini melibatkan bahkan menghendaki suatu perubahan kultur dalam perusahaan.
3. Memastikan bahwa sumber daya audit yang terbatas telah diberdayakan secara optimal dalam rangka menilai area bisnis yang benar-benar penting bagi :
Audit Kepatuhan (compliance audit)
Pengkajian Sistem (system review)
Permintaan Khusus (special request)
Dari beberapa pandangan para pakar audit mengenai transisi yang terjadi dari Audit Intern yang Tradisional ke Audit Intern yang Berbasis Resiko atau perubahan pada proses audit dari pendekatan lama ke pendekatan baru dapat disarikan sebagai berikut :
1. Audit Universe. Sebelumnya, lebih mengutamakan area finansial dan kepatuhan kepada undang-undang, regulasi, kebijakan serta prosedur internal. Ke depan, semua aktivitas usaha, khususnya yang mengandung resiko utama (business risk) perlu dipetakan.
2. Tujuan Audit. Sebelumnya, lebih kepada memastikan bahwa kontrol intern bekerja secara efektif dan perannya untuk meningkatkan efesiensi tanpa melihat keberadaannya untuk mengendalikan resiko. Ke depan, lebih memberikan kepastian (assurance) bahwa resiko yang diidentifikasi telah dipetakan (mitigasi) ke tingkat yang dapat diterima. Efektifitas kontrol justru dilihat dalam kaitannya dengan resiko yang ada dan Manajemen akan melihat pentingnya kontrol dalam mengelola resiko.
3. Rencana Audit Tahunan. Sebelumnya siklus audit ditetapkan secara berkala dan biasanya dilakukan secara mendadak (surprise audit) tanpa memperhatikan tingkat resiko. Pada waktu-waktu mendatang, audit lebih difokuskan pada area yang beresiko tinggi (high risk) hal mana akan diinformasikan dan didiskusikan dengan Manajemen terkait.
4. Jenis Audit. Sebelumnya, terdapat pemisahan antara financial audit, operational audit, compliance audit dan jenis lainnya (management audit). Ke depan, pemisahan yang ada hanya antara project audit dan on going process audit .
5. Keterlibatan semua pihak dalam organisasi. Sebelumnya, keterlibatan pihak lain sangat minim. Sebagai contoh keterlibatan komisaris dan direksi hanya pada pengesahan rencana audit dan hasil audit. Namun pada waktu mendatang, komisaris (Komite Audit) dan direksi terlibat dalam seluruh tahapan audit, mulai dari perencanaan audit, pelaksanaan audit, penilaian kinerja audit dan sampai kepada menyakinkan semua pihak yang berkepentingan (stakeholders).
6. Perencanaan SDM. Sebelumnya, satu subyek audit dialokasikan kepada satu atau lebih auditor untuk satu periode waktu tertentu. Kedepan, beberapa subyek audit dialokasikan kepada satu atau lebih auditor untuk satu periode waktu tertentu.
7. Waktu Audit yang dianggarkan. Sebelumnya, waktu audit mudah dianggarkan karena selalu melakukan audit yang sama dari waktu ke waktu. Kelak waktu audit sulit dianggarkan, karena harus selalu disesuaikan dengan paradigma yang ada (misalnya peribahan sistem atau adanya produk dan regulasi baru).
8. Tugas Lapangan. Sebelumnya, dilakukan berdasarkan pada seperangkap rencana kerja yang mungkin tanpa tujuan spesifik. Kedepan, tugas lapangan lebih kepada memastikan bahwa perusahaan telah mengidentifikan, mengendalikan dan memantau semua resiko yang ada.
9. Pengujian. Sebelumnya, pengujian dilakukan untuk bekerjanya kontrol tanpa mengurutkan menurut tingakt kepentingannya dan lebih mengarah pada temuan error walaupun tidak material dengan akibat laporan audit menjadi tebal. Kedepan, masih tetap melakukan pengujian yang sama, tetapi lebih memastikan bahwa kontrol utama (important risk control) berfungsi dengan baik untuk memitigasi resiko.
10. Pelaporan. Sebelumnya lebih mengutamakan penyimpangan yang signifikan dengan tetap merekam semua penyimpangan yang tidak material tetapi jumlahnya banyak. Pada waktu mendatang, lebih kepada memberikan keyakinan bahwa semua resiko khususnya yang utama telah dikelola secara baik dan melaporkan secara rinci resiko yang tidak dimitigasi dengan baik.
11. Rekomendasi. Sebelumnya rekomendasi diberikan dalam kaitan dengan kontro, agar diperkuat atau memperhatikan cost-benefit, efesiensi dan efektifitas. Pada waktu mendatang, rekomendasi akan diberikan dalam kaitannya dengan manajemen resiko agar dapayt resiko dihindari, diakhiri, ditransfer, didiversifikasi atau diterima bahkan dikelola.
12. Laporan Tahunan kepada Dewan Komisaris dan Direksi. Sebelumnya lebih mengutamakan laporan kinerja dari Group Audit Intern sebagai dasar perhitungan dan pertimbangan jasa produksi atau bonus tahunan. Pada waktu mendatang lebih kepada memeberi keyakinan bahwa resiko secara keseluruhan (portofolio) telah dimitigasi dengan baik. Selain juga melaporkan realisasi pemeriksaan dibandingkan dengan rencana audit yang telah mendapat persetujuan dari komite audit dan direksi.
13. Penempatan Auditor. Sebelumnya, Audit Intern Group / SKAI lebih banyak diisi oleh tenaga akuntan dan auditor karir. Pada waktu mendatang, SKAI akan diisi oleh staf yang memiliki motivasi tinggi, daya juang dan mempunyai pengalaman bekerja dengan manajemen puncak. Mungkin saja mereka bukan seorang akuntan tetapi sebagai seorang spesialis.
KESIMPULAN.
Dari gambaran ringkas diatas mengenai transisi yang sedang dan akan terus berlangsung terlihat bahwa :
RBIA merupakan konsep yang sederhana. Konsep ini mencoba melihat organisasi atau perusahaan sebagai sebuah kesatuan, berikut semua proses yang ada dalam organisasi tersebut.
Hubungan komunikasi dengan Manajemen yang diaudit lebih nyambung, karena RBIA dan Manajemen telah menggunakan bahasa yang sama yaitu sama-sama bicara mengenai resiko. Pada umumnya Manajemen jarang memikirkan kontrol tetapi biasanya lebih berorientasi pada target.
Rekomendasi yang diberikan akan dapat dengan mudah ditelusuri kembali melalui kontrol, resiko dan proses-proses yang ada ke tujuan organisasi yang ditegaskan dalam strategi dan rencana kerja.
Rekomendasi diatas dapat dirangking dalam rangka memberi nilai tambah kepada program mitigasi yang telah disusun oleh Manajemen perusahaan.
Pihak-pihak yang di audit (Auditee) akan bersedia bekerjasama karena proses audit akan mendukung tugas mereka. Karena fokus audit sama dengan fokus Manajemen yaitu mengelola resiko. Dengan demikian, maka friksi dalam proses audit akan semakin berkurang.
RBIA lebih efesien, karena alur proses kredit mulai dari perencanaan sampai pelaporan berjalan secara alami dan hanya terfokus pada area yang mengandung resiko material, baik dalam tingkat kemungkinan terjadinya maupun dampaknya. Pada konsep lama resiko ini kurang dikemukakan secara eksplisit.
Tugas audit tidak lagi membosankan sebagai sebuah tugas yang rutin, tetapi lebih menantang dan menarik bahkan lebih bermanfaat dalam meningkatkan pengetahuan dan pengalaman auditor serta membuka jalur karir yang lebih luas.
Namun demikian, dengan adanya pendekatan baru ini juga membawa implikasi fungsi Audit Intern itu sendiri, sebagai berikut :
Sekalipun pendekatan baru ini tampak sederhana, tetapi sebagai konsep baru harus ’’dijual’’ ke semua stakeholders yang ada agar mereka menerimanya secara baik (buy-in). Selain itu persiapan dan pelaksanaan audit akan lebih kompleks.
Hubungan yang semakin dekat antara Internal Audit dengan Auditee dapat mengurangi independensi dari auditor tersebut. Padahal dengan konsep lama pun, masalah indepedensi dan obyektivitas dari fungsi audit intern sering dipertanyakan atau diragukan, khususnya oleh pihak-pihak diluar perusahaan.
Dimungkinkan dibutuhkan staf baru atau kegiatan melatih dan mendidik staf audit yang ada dengan pendekatan baru, terutama motivasi yang kuat dalam mengubah paradigma mereka.
Lebih sulit dalam menentukan anggaran sumber daya (waktu dan tenaga dimana akan berdampak kepada penyusunan anggaran).
Perlu dipahami dan diluruskan bahwa pendekatan baru ini bukan meniadakan alat yang digunakan dalam pendekatan lama seperti halnya internal control questionaire (ICQ), audit program, teknik sampling maupun teknik pengujian kontrol.
Bahkan dengan semakin meningkatnya tren kecurangan (fraud) yang terjadi akhir-akhir ini seperti yang terjadi dalam industri perbankan, beberapa pakar audit berpendapat bahwa semua perusahaan masih membutuhkan jenis audit seperti financial auditing, operational auditing dan management auditing. Dalam RBIA, jenis-jenis audit ini akan diperlengkapi dengan alat-alat baru seperti fraud risk-scenarios. Dengan alat baru ini auditor akan dapat menginvestigasi sumber fraud sebelum fraud tersebut terjadi dan merevisi kontrol atau rancangan sistem untuk mengendalikan resiko fraud yang potensial.
Demikian juga dengan pendekatan kepatuhan atau ketaatan terhadap ketentuan yang ada (compliance approach) yang biasa disertai dengan kunjungan audit mendadak (suprise audit) masih tetap diperlukan. Hanya saja peran kesemuanya ini semakin dipersempit dimana resiko kepatuhan yang dinilai harus dilihat dalam hubungannya dengan resiko perusahaan secara keseluruhan.
Disarikan dari buku Audit Room ; Risk and System-Base Internal Auditing oleh Robert Tampubolon.
Pernah dimuat pada kolom artikel Berita Bukopin Edisi 74 bulan Desember 2008.
Salam
Zulhendra
www.zulhendra-auditwatch.blogspot.co.id
Komentar
Posting Komentar