Mengelola Risiko Aktivitas Audit Internal (1)

Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk meng-cover risiko-risiko keuangan, operasional, teknologi informasi, hukum/peraturan, dan risiko strategis. Pada saat yang sama, banyak aktivitas audit internal menghadapi kesulitan sehubungan dengan ketersediaan personil yang qualified, tingkat kompensasi yang meningkat, serta permintaan yang tinggi untuk sumber daya dengan keahlian khusus (misalnya dalam bidang sistem informasi, fraud, derivatif, pajak).

Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang tinggi bagi aktivitas audit internal yang bersangkutan. Oleh karenanya, CAE perlu mempertimbangkan risiko-risiko tersebut dalam pencapaian tujuan aktivitas audit internal.  Hal ini sekaligus menunjukkan bahwa aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus  mengambil langkah yang diperlukan untuk memastikan bahwa risiko mereka sendiri juga telah dikelola secara memadai.

Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam  tiga kategori:

  1. Kegagalan audit (audit failure),
  2. Keyakinan yang keliru (false assurance), dan
  3. Risiko reputasi.

Pembahasan berikut ini menyoroti atribut-atribut kunci berkaitan dengan risiko-risiko tersebut dan bagaimana langkah-langkah yang perlu diambil oleh aktivitas audit internal untuk memitigasinya.

1. Kegagalan Audit (Audit Failure)

Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika kelemahan pengendalian tersebut dimanfaatkan sehingga terjadi kerugian ataupun kecurangan, banyak pihak biasanya akan menanyakan: “Di mana auditor internal?”

Pertanyaan tersebut tidak sepenuhnya keliru, mengingat aktivitas audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian tersebut melalui faktor-faktor seperti berikut ini:

  • Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
  • Program pemastian dan peningkatan kualitas (QAIP-Standard 1300) yang tidak berjalan sebagaimana mestinya, termasuk prosedur untuk memonitor independensi  dan objektivitas auditor.
  • Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area-area audit yang penting dalam penilaian risiko strategis (rencana tahunan), serta area-area berisiko tinggi dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
  • Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang riil beserta pengendalian terkait yang tepat.
  • Kegagalan untuk mengevaluasi kecukupan desain dan efektifitas pengendalian sebagai bagian dari prosedur audit internal.
  • Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan pengalaman atau pengetahuan atas area-area yang berisiko tinggi.
  • Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
  • Kegagalan supervisi audit internal yang memadai.
  • Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan – seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya untuk menangani masalah ini.”
  • Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat.
  • Kegagalan untuk membuat pelaporan secara memadai.

Kegagalan-kegagalan audit di atas bukan hanya akan memalukan bagi aktivitas audit internal, namun lebih penting lagi juga dapat membawa organisasi tereskpos risiko secara signifikan. Meskipun tidak ada jaminan mutlak bahwa kegagalan audit tersebut tidak akan terjadi, aktivitas audit internal dapat menerapkan praktik-praktik berikut ini untuk mengurangi risiko-risiko tersebut:

  • Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan  kualitas.
  • Mereview semesta audit (audit universe) secara periodik dengan memastikan metodologi review untuk menentukan kelengkapan semesta audit dengan memperhatikan dinamika profil risiko organisasi.
  • Mereview rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap tugas-tugas kritikal.
  • Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta-fakta terkini yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses perencanaan, yang juga akan mengurangi risiko kegagalan audit.
  • Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang telah disepakati, juga merupakan pengendalian penting.
  • Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan untuk memahami dan menganalisa desain sistem pengendalian internal untuk menentukan apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab mendasar/root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang ini juga akan mengurangi kemungkinan kegagalan audit.
  • Menerapkan review manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan manajemen audit internal dalam proses audit internal (yaitu, sebelum penyusunan draf laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan di sini bisa berupa review kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu-isu yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
  • Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi setiap penugasan audit internal. Hal ini terutama penting ketika merencanakan suatu risiko yang lebih tinggi atau penugasan yang sangat teknis. Memastikan kompetensi yang sesuai ada di tim yang ditugaskan dapat memainkan peran penting dalam mengurangi risiko kegagalan audit. Selain kompetensi yang tepat, penting pula untuk memastikan tingkat pengalaman dalam tim yang bersangkutan, termasuk keterampilan manajemen projek yang kuat bagi mereka yang memimpin penugasan audit internal.

Mengelola Risiko Aktivitas Audit Internal (2)

Referensi:

  • PA 2120-2: Managing the Risk of the Internal Audit Activity (April 2009)

 

 

One response to “Mengelola Risiko Aktivitas Audit Internal (1)

  1. Ping-balik: Mengelola Risiko Aktivitas Audit Internal (2) | Auditorinternal.com

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s