Mengelola Risiko Aktivitas Audit Internal

Sumber : http://auditorinternal.com/2011/05/03/mengelola-risiko-aktivitas-audit-internal-1/

Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk meng-cover risiko-risiko keuangan, operasional, teknologi informasi, hukum/peraturan, dan risiko strategis. Pada saat yang sama, banyak aktivitas audit internal menghadapi kesulitan sehubungan dengan ketersediaan personil yang qualified, tingkat kompensasi yang meningkat, serta permintaan yang tinggi untuk sumber daya dengan keahlian khusus (misalnya dalam bidang sistem informasi, fraud, derivatif, pajak).
Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang tinggi bagi aktivitas audit internal yang bersangkutan. Oleh karenanya, CAE perlu mempertimbangkan risiko-risiko tersebut dalam pencapaian tujuan aktivitas audit internal.  Hal ini sekaligus menunjukkan bahwa aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus  mengambil langkah yang diperlukan untuk memastikan bahwa risiko mereka sendiri juga telah dikelola secara memadai.
 Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam  tiga kategori:
  1. Kegagalan audit (audit failure),
  2. Keyakinan yang keliru (false assurance), dan
  3. Risiko reputasi.
Pembahasan berikut ini menyoroti atribut-atribut kunci berkaitan dengan risiko-risiko tersebut dan bagaimana langkah-langkah yang perlu diambil oleh aktivitas audit internal untuk memitigasinya.

1. Kegagalan Audit (Audit Failure)

Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika kelemahan pengendalian tersebut dimanfaatkan sehingga terjadi kerugian ataupun kecurangan, banyak pihak biasanya akan menanyakan: “Di mana auditor internal?”
Pertanyaan tersebut tidak sepenuhnya keliru, mengingat aktivitas audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian tersebut melalui faktor-faktor seperti berikut ini:
  • Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
  • Program pemastian dan peningkatan kualitas (QAIP-Standard 1300) yang tidak berjalan sebagaimana mestinya, termasuk prosedur untuk memonitor independensi  dan objektivitas auditor.
  • Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area-area audit yang penting dalam penilaian risiko strategis (rencana tahunan), serta area-area berisiko tinggi dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
  • Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang riil beserta pengendalian terkait yang tepat.
  • Kegagalan untuk mengevaluasi kecukupan desain dan efektifitas pengendalian sebagai bagian dari prosedur audit internal.
  • Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan pengalaman atau pengetahuan atas area-area yang berisiko tinggi.
  • Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
  • Kegagalan supervisi audit internal yang memadai.
  • Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan – seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya untuk menangani masalah ini.”
  • Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat.
  • Kegagalan untuk membuat pelaporan secara memadai.
Kegagalan-kegagalan audit di atas bukan hanya akan memalukan bagi aktivitas audit internal, namun lebih penting lagi juga dapat membawa organisasi tereskpos risiko secara signifikan. Meskipun tidak ada jaminan mutlak bahwa kegagalan audit tersebut tidak akan terjadi, aktivitas audit internal dapat menerapkan praktik-praktik berikut ini untuk mengurangi risiko-risiko tersebut:
  • Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan  kualitas.
  • Mereview semesta audit (audit universe) secara periodik dengan memastikan metodologi review untuk menentukan kelengkapan semesta audit dengan memperhatikan dinamika profil risiko organisasi.
  • Mereview rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap tugas-tugas kritikal.
  • Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta-fakta terkini yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses perencanaan, yang juga akan mengurangi risiko kegagalan audit.
  • Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang telah disepakati, juga merupakan pengendalian penting.
  • Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan untuk memahami dan menganalisa desain sistem pengendalian internal untuk menentukan apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab mendasar/root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang ini juga akan mengurangi kemungkinan kegagalan audit.
  • Menerapkan review manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan manajemen audit internal dalam proses audit internal (yaitu, sebelum penyusunan draf laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan di sini bisa berupa review kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu-isu yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
  • Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi setiap penugasan audit internal. Hal ini terutama penting ketika merencanakan suatu risiko yang lebih tinggi atau penugasan yang sangat teknis. Memastikan kompetensi yang sesuai ada di tim yang ditugaskan dapat memainkan peran penting dalam mengurangi risiko kegagalan audit. Selain kompetensi yang tepat, penting pula untuk memastikan tingkat pengalaman dalam tim yang bersangkutan, termasuk keterampilan manajemen projek yang kuat bagi mereka yang memimpin penugasan audit internal.
2. Keyakinan yang Keliru (False Assurance)

Aktivitas audit internal mungkin saja secara tidak sengaja memberikan efek keyakinan yang keliru. “False Assurance” adalah suatu keyakinan atau pemastian dari audit beneficiaries yang lebih didasarkan pada persepsi atau asumsi ketimbang fakta. Dalam banyak kasus, fakta dan persepsi tercampur campur baur dalam hal keterlibatan auditor internal pada suatu masalah dapat menyebabkan false assurance. False assurance sering terjadi pada aktivitas-aktivitas yang melibatkan auditor internal dalam penugasan-penugasan di luar penugasan formal audit internal.
Sebagai contoh, sebuah aktivitas audit internal diminta oleh unit bisnis untuk menyediakan auditor demi membantu implementasi sistem komputer baru perusahaan. Dalam kenyataannya auditor yang diperbantukan tersebut hanya membantu beberapa pengujian pada area-area tertentu dalam sistem tersebut sesuai permintaan unit bisnis yang bersangkutan. Tak lama setelah implementasi sistem tersebut, ditemukan kesalahan dalam desain sistem yang mengakibatkan dampak yang cukup serius. Ketika unit bisnis ditanya bagaimana hal tersebut bisa terjadi, mereka menjawab bahwa aktivitas audit internal telah terlibat dalam proses dan tidak mengidentifikasi masalah tersebut. Di sini terlihat inkonsistensi fakta bahwa auditor hanya menguji secara parsial dan bukan dalam rangka penugasan audit sistem informasi secara penuh, dengan persepsi unit bisnis yang bersangkutan bahwa auditor telah terlibat dalam projek.
Meskipun tidak ada mitigasi yang dapat menghilangkan secara keseluruhan risiko false asurance, suatu aktivitas audit internal secara proaktif dapat mengelola risiko ini dengan melakukan komunikasi yang cukup sering dan jelas dengan berbagai pihak. Praktik-praktik lain yang dapat dilakukan antara lain:
  • Secara proaktif mengomunikasikan peran dan mandat dari aktivitas audit internal kepada komite audit, manajemen senior, dan stakeholder kunci lainnya.
  • Secara mengomunikasikan apa yang tercakup dalam penilaian risiko, rencana audit internal dan penugasan audit internal. Juga secara eksplisit mengomunikasikan apa yang tidak termasuk dalam lingkup penilaian risiko dan rencana audit internal.
  • Memiliki mekanisme persetujuan terhadap projek-projek yang dimintakan kepada aktivitas audit internal untuk terlibat. Dalam mekanisme itu ada penilaian peran audit internal dalam projek tersebut dan seberapa besar tingkat risiko yang terkait. Penilaian ini dapat menggunakan pertimbangan: lingkup projek; peran audit internal; ekspektasi pelaporan; kompetensi yang dibutuhkan, dan independensi auditor internal.
  • Jika auditor internal diperbantukan untuk menambah staf dari suatu projek, dokumentasikan peran mereka dan lingkup keterlibatan mereka, serta potensi gangguan objektivitas dan independensi mereka sebagai auditor internal di masa depan.
3. Risiko Reputasi
Reputasi yang kredibel suatu aktivitas audit internal merupakan bagian penting dari efektivitasnya. Aktivitas audit internal yang dipandang dengan penghormatan tinggi akan mampu menarik para profesional terbaik dan akan sangat dihargai oleh organisasi mereka. Mempertahankan brand yang kuat sangat penting untuk keberhasilan aktivitas audit internal dan kemampuan untuk memberikan kontribusi optimal kepada organisasi. Dalam banyak kasus, brand aktivitas audit internal perlu dibangun selama bertahun-tahun melalui kerja-kerja yang berkualitas tinggi secara konsisten. Sangat disayangkan apabila brand ini kemudian hancur hanya karena satu kejadian buruk yang tidak semestinya.
Sebagai contoh, pada organisasi di mana aktivitas audit internal begitu dihargai, sehingga menjadi tempat rotasi bagi eksekutif kunci yang dipersiapkan untuk menduduki jabatan lanjutan. Akan sangat memalukan apabila aktivitas audit internal itu sendiri tidak memiliki sumber daya dan sistem yang siap menjadi ‘tempat sekolah’ para calon pemimpin tersebut.Ini terkait kredibilitas institusional. Pada contoh yang lain, perekrutan auditor internal yang tidak memperhatikan background check, sehingga misalnya mendapatkan personal yang pernah terlibat kriminal atau tidak memiliki kualifikasi yang sesuai, juga dapat mencederai kredibilitas aktivitas audit internal. Situasi-situasi tersebut tidak hanya memalukan namun juga merusak efektivitas aktivitas audit internal. Dan menjaga reputasi ini bukan hanya melindungi brand aktivitas audit internal, namun juga untuk keseluruhan organisasi.
Dengan demikian menjadi sangat penting bagi aktivitas audit internal untuk senantiasa menimbang risiko-risiko yang dihadapi yang dapat mempengaruhi reputasi ini serta mengembangkan strategi mitigasi untuk mengatasi risiko-risiko tersebut. Di antara praktik-praktik yang lazim untuk memitigasi risiko-risiko ini, antara lain:
  • Menerapkan program pemastian kualitas dan peningkatan (QAIP) yang kuat terhadap semua proses dalam aktivitas audit internal, termasuk SDM dan perekrutan.
  • Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk mengidentifikasi potensi risiko terhadap brand-nya.
  • Terus-menerus menegakkan kode etik dan standar perilaku untuk auditor internal.
  • Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan yang berlaku di organisasi.
Walaupun tentu tidak diharapkan, dalam hal kondisi atau kejadian buruk tersebut di atas menimpa aktivitas audit internal, maka CAE harus mereview dan menganalisis akar permasalahannya. Root cause analysis ini akan memberikan pemahaman apakah ada perubahan yang terjadi dalam proses dan lingkungan pengendalian aktivitas audit internal yang perlu diperhatikan, agar masalah tersebut sedapat mungkin tidak terjadi lagi di masa depan.

Referensi:
  • PA 2120-2: Managing the Risk of the Internal Audit Activity (April 2009)
Labels:

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)
 

COINPOT

COINPOT