2. Keyakinan yang Keliru (False Assurance)
Aktivitas audit internal mungkin saja secara tidak sengaja memberikan efek keyakinan yang keliru. “False Assurance” adalah suatu keyakinan atau pemastian dari audit beneficiaries
yang lebih didasarkan pada persepsi atau asumsi ketimbang fakta. Dalam
banyak kasus, fakta dan persepsi tercampur campur baur dalam hal
keterlibatan auditor internal pada suatu masalah dapat menyebabkan false assurance. False assurance sering
terjadi pada aktivitas-aktivitas yang melibatkan auditor internal dalam
penugasan-penugasan di luar penugasan formal audit internal.
Sebagai contoh, sebuah aktivitas audit internal diminta oleh unit
bisnis untuk menyediakan auditor demi membantu implementasi sistem
komputer baru perusahaan. Dalam kenyataannya auditor yang diperbantukan
tersebut hanya membantu beberapa pengujian pada area-area tertentu dalam
sistem tersebut sesuai permintaan unit bisnis yang bersangkutan. Tak
lama setelah implementasi sistem tersebut, ditemukan kesalahan dalam
desain sistem yang mengakibatkan dampak yang cukup serius. Ketika unit
bisnis ditanya bagaimana hal tersebut bisa terjadi, mereka menjawab
bahwa aktivitas audit internal telah terlibat dalam proses dan tidak
mengidentifikasi masalah tersebut. Di sini terlihat inkonsistensi fakta
bahwa auditor hanya menguji secara parsial dan bukan dalam rangka
penugasan audit sistem informasi secara penuh, dengan persepsi unit
bisnis yang bersangkutan bahwa auditor telah terlibat dalam projek.
Meskipun tidak ada mitigasi yang dapat menghilangkan secara keseluruhan risiko false asurance, suatu
aktivitas audit internal secara proaktif dapat mengelola risiko ini
dengan melakukan komunikasi yang cukup sering dan jelas dengan berbagai
pihak. Praktik-praktik lain yang dapat dilakukan antara lain:
- Secara proaktif mengomunikasikan peran dan mandat dari aktivitas audit internal kepada komite audit, manajemen senior, dan stakeholder kunci lainnya.
- Secara mengomunikasikan apa yang tercakup dalam penilaian risiko, rencana audit internal dan penugasan audit internal. Juga secara eksplisit mengomunikasikan apa yang tidak termasuk dalam lingkup penilaian risiko dan rencana audit internal.
- Memiliki mekanisme persetujuan terhadap projek-projek yang dimintakan kepada aktivitas audit internal untuk terlibat. Dalam mekanisme itu ada penilaian peran audit internal dalam projek tersebut dan seberapa besar tingkat risiko yang terkait. Penilaian ini dapat menggunakan pertimbangan: lingkup projek; peran audit internal; ekspektasi pelaporan; kompetensi yang dibutuhkan, dan independensi auditor internal.
- Jika auditor internal diperbantukan untuk menambah staf dari suatu projek, dokumentasikan peran mereka dan lingkup keterlibatan mereka, serta potensi gangguan objektivitas dan independensi mereka sebagai auditor internal di masa depan.
3. Risiko Reputasi
Reputasi yang kredibel suatu aktivitas audit internal merupakan
bagian penting dari efektivitasnya. Aktivitas audit internal yang
dipandang dengan penghormatan tinggi akan mampu menarik para profesional
terbaik dan akan sangat dihargai oleh organisasi
mereka. Mempertahankan brand yang kuat sangat penting untuk
keberhasilan aktivitas audit internal dan kemampuan untuk memberikan
kontribusi optimal kepada organisasi. Dalam banyak kasus, brand
aktivitas audit internal perlu dibangun selama bertahun-tahun melalui
kerja-kerja yang berkualitas tinggi secara konsisten. Sangat disayangkan
apabila brand ini kemudian hancur hanya karena satu kejadian buruk yang tidak semestinya.
Sebagai contoh, pada organisasi di mana aktivitas audit internal
begitu dihargai, sehingga menjadi tempat rotasi bagi eksekutif kunci
yang dipersiapkan untuk menduduki jabatan lanjutan. Akan sangat
memalukan apabila aktivitas audit internal itu sendiri tidak memiliki
sumber daya dan sistem yang siap menjadi ‘tempat sekolah’ para calon
pemimpin tersebut.Ini terkait kredibilitas institusional. Pada contoh
yang lain, perekrutan auditor internal yang tidak memperhatikan
background check, sehingga misalnya mendapatkan personal yang pernah
terlibat kriminal atau tidak memiliki kualifikasi yang sesuai, juga
dapat mencederai kredibilitas aktivitas audit internal. Situasi-situasi
tersebut tidak hanya memalukan namun juga merusak efektivitas aktivitas
audit internal. Dan menjaga reputasi ini bukan hanya melindungi brand
aktivitas audit internal, namun juga untuk keseluruhan organisasi.
Dengan demikian menjadi sangat penting bagi aktivitas audit internal
untuk senantiasa menimbang risiko-risiko yang dihadapi yang dapat
mempengaruhi reputasi ini serta mengembangkan strategi mitigasi untuk
mengatasi risiko-risiko tersebut. Di antara praktik-praktik yang lazim
untuk memitigasi risiko-risiko ini, antara lain:
- Menerapkan program pemastian kualitas dan peningkatan (QAIP) yang kuat terhadap semua proses dalam aktivitas audit internal, termasuk SDM dan perekrutan.
- Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk mengidentifikasi potensi risiko terhadap brand-nya.
- Terus-menerus menegakkan kode etik dan standar perilaku untuk auditor internal.
- Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan yang berlaku di organisasi.
Walaupun tentu tidak diharapkan, dalam hal kondisi
atau kejadian buruk tersebut di atas menimpa aktivitas audit internal,
maka CAE harus mereview dan menganalisis akar permasalahannya. Root cause analysis
ini akan memberikan pemahaman apakah ada perubahan yang terjadi dalam
proses dan lingkungan pengendalian aktivitas audit internal yang perlu
diperhatikan, agar masalah tersebut sedapat mungkin tidak terjadi lagi
di masa depan.
Referensi:
- PA 2120-2: Managing the Risk of the Internal Audit Activity (April 2009)
