Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk meng-cover
risiko-risiko keuangan, operasional, teknologi informasi,
hukum/peraturan, dan risiko strategis. Pada saat yang sama, banyak
aktivitas audit internal menghadapi kesulitan sehubungan dengan
ketersediaan personil yang qualified, tingkat kompensasi yang
meningkat, serta permintaan yang tinggi untuk sumber daya dengan
keahlian khusus (misalnya dalam bidang sistem informasi, fraud, derivatif, pajak).
Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang
tinggi bagi aktivitas audit internal yang bersangkutan. Oleh karenanya,
CAE perlu mempertimbangkan risiko-risiko tersebut dalam pencapaian
tujuan aktivitas audit internal. Hal ini sekaligus menunjukkan bahwa
aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus
mengambil langkah yang diperlukan untuk memastikan bahwa risiko mereka
sendiri juga telah dikelola secara memadai.
Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam tiga kategori:
- Kegagalan audit (audit failure),
- Keyakinan yang keliru (false assurance), dan
- Risiko reputasi.
Pembahasan berikut ini menyoroti atribut-atribut kunci berkaitan
dengan risiko-risiko tersebut dan bagaimana langkah-langkah yang perlu
diambil oleh aktivitas audit internal untuk memitigasinya.
1. Kegagalan Audit (Audit Failure)
Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika
kelemahan pengendalian tersebut dimanfaatkan sehingga terjadi kerugian
ataupun kecurangan, banyak pihak biasanya akan menanyakan: “Di mana
auditor internal?”
Pertanyaan tersebut tidak sepenuhnya keliru, mengingat aktivitas
audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian
tersebut melalui faktor-faktor seperti berikut ini:
- Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
- Program pemastian dan peningkatan kualitas (QAIP-Standard 1300) yang tidak berjalan sebagaimana mestinya, termasuk prosedur untuk memonitor independensi dan objektivitas auditor.
- Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area-area audit yang penting dalam penilaian risiko strategis (rencana tahunan), serta area-area berisiko tinggi dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
- Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang riil beserta pengendalian terkait yang tepat.
- Kegagalan untuk mengevaluasi kecukupan desain dan efektifitas pengendalian sebagai bagian dari prosedur audit internal.
- Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan pengalaman atau pengetahuan atas area-area yang berisiko tinggi.
- Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
- Kegagalan supervisi audit internal yang memadai.
- Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan – seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya untuk menangani masalah ini.”
- Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat.
- Kegagalan untuk membuat pelaporan secara memadai.
- Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan kualitas.
- Mereview semesta audit (audit universe) secara periodik dengan memastikan metodologi review untuk menentukan kelengkapan semesta audit dengan memperhatikan dinamika profil risiko organisasi.
- Mereview rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap tugas-tugas kritikal.
- Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta-fakta terkini yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses perencanaan, yang juga akan mengurangi risiko kegagalan audit.
- Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang telah disepakati, juga merupakan pengendalian penting.
- Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan untuk memahami dan menganalisa desain sistem pengendalian internal untuk menentukan apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab mendasar/root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang ini juga akan mengurangi kemungkinan kegagalan audit.
- Menerapkan review manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan manajemen audit internal dalam proses audit internal (yaitu, sebelum penyusunan draf laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan di sini bisa berupa review kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu-isu yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
- Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi
setiap penugasan audit internal. Hal ini terutama penting ketika
merencanakan suatu risiko yang lebih tinggi atau penugasan yang sangat
teknis. Memastikan kompetensi yang sesuai ada di tim yang ditugaskan
dapat memainkan peran penting dalam mengurangi risiko kegagalan
audit. Selain kompetensi yang tepat, penting pula untuk memastikan
tingkat pengalaman dalam tim yang bersangkutan, termasuk keterampilan
manajemen projek yang kuat bagi mereka yang memimpin penugasan audit
internal.Referensi:
- PA 2120-2: Managing the Risk of the Internal Audit Activity (April 2009)