Pemilik perusahaan merasakan sangat tidak mungkin menjalankan seluruh kegiatan yang menjadi tanggungjawabnya dan tidak memiliki kecukupan waktu dalam memanggil pegawai yang secara langsung ataupun tidak langsung membuat pertanggungjawaban kepadanya. Untuk mengantisipasi kendala-kendala tersebut manajemen perlu menunjuk pegawai yang bertugas secara khusus untuk mereviu dan melaporkan apa-apa yang terjadi dan untuk menyelidiki mengapa hal itu terjadi. Di beberapa perusahaan, mereka diberi tugas untuk meneliti kegiatan rutin keuangan dan operasi dengan tekanan pada ketaatan, pengamanan, dan mendeteksi kecurangan. Sedang di perusahaan lain, diberikan kedudukan yang lebih tinggi dan diminta untuk menganalisa dan menilai kegiatan operasi dan keuangan. Pegawai tersebut di kemudian hari dikenal sebagai “internal auditor”.
Menurut the Institute of InternaI Auditng, Internal auditing didefinisikan sebagai “Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”
Pernyataan ini menjadi sangat penting apabila memfokuskan pada kata-kata kunci Internal Auditing, yaitu:
- Independen, bahwa dalam melakukan audit harus bebas dari pembatasan-pembatasan yang secara signifikan dapat membatasi ruang lingkup dan ketidak efektifan reviu atau laporan hasil temuan dan simpulan;
- Obyektif, menunjukkan bahwa tidak diperlukan penetapan dalam organisasi, suatu revisi difinisi yan mengijinkan jasa internal audit diberikan oleh pihak luar, yang berpengaruh akan pengakuan bahwa kualitas jasa internal audit dapat diperoleh dari luar;
- Dengan penekanan bahwa ruang lingkup internal audit meliputi kegiatan memberikan kepastian/jaminan dan konsultasi, yang merupakan definisi baru sebagai langkah proaktif dan berfokus kepada customer, serta memberikan perhatian atas isu utama dalam pengendalian, manajemen risiko, dan tata kelola yang baik (governance);
- Dengan memikirkan organisasi secara keseluruhan, difinisi baru ini sangat memahami bahwa internal audit sebagai mandat yang demikian luas, suatu tanggung jawab yang akan membantu perusahaan berjalan sesuai dengan tujuan yang telah ditetapkan;
Internal Auditing dan Nilai Tambah Organisasi
Internal auditing menyediakan berbagai jenis jasa kepada organisasi. Jasa-jasa tersebut dapat berupa audit keuangan, kinerja, ketaatan, sistem keamanan, due diligence, berpartisipasi dalam komite untuk menyeleksi software akuntansi, merevisi code of conduct organisasi, sampai kepada pelatihan masalah internal audit terhadap para pegawai ataupun manajer baru. Pada saat ini internal auditing bukan hanya membahas masalah internal kontrol secara tradisional tetapi lebih dari itu juga mencakup berbagai jasa lain yang dapat diberikan kepada organisasi dan stakeholder lainnya. Untuk dapat menilai kinerja internal audit, kita dapat mulai dengan satu pertanyaan bagaimana fungsi internal audit dapat memberikan nilai tambah kepada organisasi.
Bagaimana menentukan bahwa suatu kegiatan memberikan nilai tambah? Untuk menjawab pertanyaan ini, maka pertama-tama harus mengidentifikasi pihak mana yang akan diukur nilai tambahnya, apakah senior manajer, manajer keuangan, komite audit atau regulator/pemerintah. Pada era tahun 70 sampai 80an, ada suatu pandangan bahwa fungsi internal audit merupakan mata dan telinga manajemen, sehingga nilai tambah disini ukurannya adalah nilai tambah terhadap manajemen.
Namun demikian apakah pendekatan nilai tambah terhadap manajemen tersebut sudah tepat? Mengapa bukan nilai tambah terhadap komite audit, manajer operasi (yang dapat meningkatkan efisiensi dan efektivitas), eksternal auditor (internal audit dapat mengurangi beban fee kepada eksternal audit), atau pihak lainnya. Pada kenyataannya, saat ini sebagian besar praktisi internal auditor sepakat bahwa “tingkat kebutuhan” dari para stakeholder terhadap fungsi internal audit adalah seimbang atau sama. Oleh karena itu fungsi internal auditing harus bisa memenuhi kebutuhan para stakeholder tersebut secara seimbang atau dengan kata lain fungsi internal auditing harus dapat memberikan nilai tambah kepada para stakeholder sesuai kebutuhan masing-masing tanpa harus memprioritaskan kepada stakeholder tertentu.
Selain fungsi internal audit yang mempunyai berbagai customer/stakeholder, jenis nilai tambah yang dapat diberikan juga bervariasi. Sebagai contoh, manajer operasi (yang sering merupakan auditee) berkepentingan kepada fungsi internal audit yang dapat meningkatkan efisiensi dan efektivitas operasinya. Eksternal auditor melihat internal audit sebagai tambahan pengendalian intern dimana, jika dilaksanakan secara efektif, dapat mengurangi volume/scope pekerjaan eksternal auditor yang harus dilaksanakan untuk dapat memberikan pernyataan pendapat atas laporan keuangan yang diaudit. Pemasok dan pelanggan melihat internal auditor sebagai pihak yang memberikan jaminan (assurance) atas dapat dipercayainya dan tingkat keamanan informasi tentang organisasi yang diterimanya. Para staf auditee melihat internal auditor sebagai pihak yang dapat menuntunnya ke arah inovasi, perbaikan dalam pelaksanaan tugasnya. Berbagai nilai tambah yang ditawarkan tersebut juga dapat menimbulkan konflik bagi internal auditor dalam mengalokasikan sumber dayanya dalam rangka memenuhi keinginan berbagai pihak dengan berbagai kepentingan tersebut.
Evolusi Peran/fungsi Internal Auditing
Bisnis, organisasi dan proses kegiatan pada suatu entitas terus berkembang seiring dengan perubahan lingkungannya, khususnya perkembangan teknologi informasi dan komunikasi. Transaksi bisnis dapat melibatkan pihak-pihak dimana saja (world-wide). Unit-unit organisasi suatu entitas sangat mungkin tersebar melewati batas-batas negara tempat kedudukan Kantor Pusat-nya. Proses pembayaran dapat dilaksanakan hanya dengan sentuhan jari pada keyboard komputer.
Perubahan juga terjadi pada ruang lingkup peran internal auditor. Era sebelum tahun 1980 dapat dikatakan sebagai generasi pertama. Lingkup kegiatannya dimulai dari proses, prosedur dan aktivitas pengendalian yang ada. Audit yang dilakukan berkaitan dengan ketaatan (compliance audit). Pada generasi kedua (tahun 1980-an) peran internal auditor mencakup kerangka pengendalian (control Frameworks). Ruang lingkup kegiatan dimulai dari resiko keuangan/ketaatan, menentukan pengendalian yang seharusnya ada, dan melaksanakan audit terhadap rancangan pengendalian, efektivitas operasi dan ketaatan.
Generasi ketiga (tahun 1990-an) merupakan era dimana peran internal auditor dimulai dari pemahaman secara seksama atas bisnis dan berbagai resiko bisnis. Menetapkan pengendalian yang seharusnya ada. Kemudian melaksanakan audit atas rancangan pengendalian, efektivitas operasi dan ketaatan. Pada generasi ke empat (tahun 2000 - ? ), setelah memahami bisnis dan berbagai resiko bisnis, internal auditor menetapkan Risk Management Process (RMP) yang seharusnya ada. Auditnya mencakup rancangan pengendalian, efektivitas operasi dan ketaatan di dalam setiap proses pengelolaan resiko.
1) Perubahan Paradigma
Sejalan dengan evolusi peran internal auditor terjadi perubahan paradigma:
- Bila sebelumnya hanya auditor yang tertarik dengan masalah resiko, pada paradigma baru semua orang tertarik dengan resiko.
- Kalau sebelumnya dikenal dengan paradigma fragmentasi dan tidak ada risk policy, paradigma barunya adalah terfokus dan terkoordinasi serta adanya risk policy.
- Kegiatan pada paradigma lama berupa: inspeksi, deteksi dan reaksi, pada paradigma baru: antisipasi, pencegahan dan monitoring.
- Paradigma lama menyatakan bahwa orang-orang merupakan sumber resiko, pada paradigma baru: proses merupakan sumber resiko.
2) Perubahan Pengendalian Intern (Internal Control)
Disamping itu terjadi pergeseran pandangan tentang internal control: - Dari mengurangi resiko akuntansi keuangan dan pelaporan ke arah mengurangi resiko bisnis.
- Dari evaluasi pengendalian akuntasi yang ada bergeser ke arah merancang pengendalian bisnis untuk resiko yang teridentifikasi.
- Sebelumnya terfokus pada efektivitas proses bisnis dan ketaatan, bergeser kepada efisiensi, kualitas dan cepat tanggap dari proses bisnis.
- Semula menetapkan orang-orang harus berbuat apa dan meyakinkan bahwa hal tersebut dilaksanakan, kemudian bergeser kepada pemberdayaan orang-orang dan menjaga agar mereka bertanggungjawab atas hasilnya.
Dengan perubahan paradigma di atas, muncul paradigma baru dalam melihat peran dan kegiatan internal auditor, antara lain: - Auditing juga untuk melihat kedepan: dampak terhadap bisnis dimasa yang akan datang.
- Internal auditor juga berperan sebagai partner bukan sekedar “watchdog”. Internal auditor juga berperan dalam proses perbaikan dan fokusnya pada inovasi dan efisiensi (bukan hanya biaya).
Peran dan kegiatan tersebut tentu saja berkaitan dengan upaya membangun internal control system yang handal dalam mencapai tujuan (efisiensi dan efektivitas operasi, keandalan laporan keuangan, ketaatan kepada peraturan/ketentuan yang relevan) dan strategi bisnis. Hal ini harus diimplementasikan dalam setiap unsur internal control (lingkungan pengendalian, penilaian resiko, aktivitas pengendalian, informasi dan komunikasian, dan monitoring), termasuk yang berkaitan dengan masalah fraud (kecurangan).
Dan yang terakhir, hal sangat menarik adalah dampak kasus Enron terhadap profesi Akuntan. Akibat kasus tersebut memaksa profesi akuntan untuk mengkaji kembali peran dan fungsinya. Demikian pula halnya dengan peran Internal Auditor. Peran yang semula kami sebutkan diatas, dewasa ini telah dituntut perannya untuk lebih membantu pihak manajemen khususnya dalam meminimalkan faktor-faktor resiko yang mungkin akan dan telah terjadi dalam perusahaan.
Oleh karena itu kemampuan seorang Internal Auditor saat ini benar-benar dituntut. Sebagaimana dinyatakan dalam The Standards for the Professional Practice of Internal Auditing (IIA Standards), Internal Auditor harus memiliki pengetahuan yang cukup dalam mengidentifikasi indikasi-indikasi kecurangan tetapi tidak diharapkan untuk memiliki keahlian sebagai seorang yang bertanggung jawab melakukan deteksi dan investigasi kecurangan.
Internal auditor juga mempunyai kesempatan untuk mengevaluasi pengendalian dan resiko-resiko kecurangan dan memberikan rekomendasi dalam mengurangi resiko-resiko dan pengembangan pengendalian. Secara khusus, IIA Standards mengharuskan seorang Internal Audit untuk menilai resiko-resiko “facing” perusahaan. Penilaian resiko tersebut membantu sebagai dasar dalam membuat perencanaan audit dan pengujian pengendalian intern.
Untuk mencapai tujuan tersebut, internal auditor melakukan kegiatan–kegiatan berikut:
- Menelaah dan menilai kebaikan, memadai tidaknya, dan penerapan sistem pengendalian manajemen, struktur pengendalian intern, dan pengendalian operasional lainnya serta mengembangkan pengendalian yang efektif dengan biaya yang tidak terlalu mahal,
- Memastikan ketaatan terhadap kebijakan, rencana dan prosedur-prosedur yang telah ditetapkan oleh manajemen,
- Memastikan seberapa jauh harta perusahaan dipertanggungjawabkan dan dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan penyalahgunaan,
- Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapat dipercaya,
- Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikan oleh manajemen,
- Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan efisensi dan efektifitas.
- Dari kegiatan-kegiatan yang dilakukannya tersebut dapat disimpulkan bahwa internal auditor antara lain memiliki peranan dalam :
a. Pencegahan Kecurangan (Fraud Prevention),
b. Pendeteksian Kecurangan (Fraud Detection), dan Penginvestigasian Kecurangan (Fraud Investigation).
Dalam kaitannya dengan peran tersebut, internal auditor tidak akan lepas dengan struktur pengendalian intern perusahaan. Menurut COSO (The Committee of Sponsoring Organizations of The Treadway Commission), Struktur Pengendalian Intern terdiri atas lima komponen sebagai berikut:
a. Lingkungan Pengendalian (Control Environment)
b. Penaksiran Risiko (Risk Assessment)
c. Aktivitas Pengendalian (Control Activities)
d. Informasi dan Komunikasi (Information and Communication)
e. Pemantauan (Monitoring)
Kerangka pengendalian yang diperkenalkan COSO tersebut lebih luas dibandingkan model pengendalian akuntansi yang tradisional dan mencakup menejemen risiko. Dalam menjalankan kegiatan usahanya, manajemen perusahaan sering menghadapi risiko-risiko tertentu, yang dikenal dengan Risiko Bisnis. Manajemen risiko, termasuk risiko terhadap adanya kecurangan, perlu benar-benar dipahami agar kelangsungan hidup perusahaan di dunia usaha dapat tetap terus dipertahankan.
Kegiatan Internal Audit: Assurance and Consulting Services
Fungsi Internal audit menawarkan dua macam jasa yang utama, yaitu Jasa Penjaminan dan Konsultasi (Assurance and Consulting Services). Jasa penjaminan didefinisikan sebagai “melakukan penaksiran atas risiko manajemen, pengendalian dan proses pengelolaan organisasi. Termasuk disini adalah penugasan-penugasan dalam reviu/audit atas keuangan, ketaatan, kinerja, sistem keamanan dan due dilligent”. Untuk melaksanakan fungsi tersebut, internal auditor harus menampilkan independensi dan obyektivitasnya, integritas, kompetensi, serta kehati-hatian.
Jasa penjaminan berbeda dengan jasa konsultasi, dimana jasa konsultasi merupakan pemberian nasehat (advisory) dan jasa terkait lainnya. Dalam memberikan jasa konsultasi biasanya sifat dan ruang lingkup kegiatannya telah ditentukan sebelumnya. Contohnya adalah jasa pelatihan, desain proses, fasilitator dan lain-lain.
Sifat dari kegiatan fungsi internal audit menurut Standards for the Professional Practice of Internal Auditing (SPPIA) Nomor 2100 adalah:
“...is to evaluate and improve the effectiveness of the following three processes: - Risk management processes — identification and evaluation of potential risks that might affect the achievement of objectives of an organization and determination of adequate corrective actions. A link can here be made to critical success factors.
- Control processes — policies, procedures, and activities which ensure that risks are kept within the limits defined by management in the risk management process.
- Governance processes — procedures which allow stakeholders to evaluate risk and control processes defined by management.”
Oleh karena itu fungsi internal audit memberikan kontribusinya kepada organisasi melalui dua hal, yaitu dengan evaluasi sistem dan menjamin dapat dipercayainya sistem tersebut (assurance services), dan membantu mendesain sistem tersebut dengan memberikan rekomendasi (consulting services).
Tidak ada komentar:
Posting Komentar