Ini Cara Agar Audit Intern Tak Dianggap Old Fashion

Warta Ekonomi, Jakarta -

Pada tulisan terdahulu saya telah membahas kenapa audit intern dianggap old fashion style. Intinya adalah audit intern tidak mengantisipasi dan tidak mengikuti kekinian, baik berupa mindset atau pola pikir, pendekatan, teknik dan strategi audit intern, organisasi, dan teknologi yang digunakan.

Auditor suka status quo. Kali ini hal senada dilontarkan oleh Richard Chambers, Presiden dan CEO IIA yang menulis Seven Signs You Might Be a Jurassic Auditor. Pada tulisannya, Richard Chambers mengingatkan dan meminta auditor intern agar mewaspadai tujuh tanda sebagai berikut (ditambah pembahasan dari saya)

1. Rencana kerja audit tahunan disusun dengan pendekatan yang kurang tepat antara lain berdasarkan siklus. Bila suatu unit kerja telah lama tidak diaudit maka otomatis memiliki risiko lebih besar sehingga masuk probabilitas untuk diaudit atau rencana kerja audit disusun berdasarkan jadwal kunjungan rutin (siklus) audit.

Saya ingin menambahkan di sini bahwa masih ada ketidaktepatan pemahaman satuan kerja atau aktivitas audit intern mengenai audit universe yang menjadi dasar untuk menyusun rencana kerja audit tahunan. Audit universe dipersepsikan sebagai unit-unit kerja yang menjadi objek audit. Untuk audit kepatuhan dan pengendalian intern pendekatan audit universe ke unit kerja masih relevan.

Namun jika melakukan audit kinerja atau audit stratejik maka pendekatan ke unit kerja dapat menjadi kontraproduktif. IIA mendefinisikan audit universe hanya sebagai daftar seluruh audit yang dapat dilakukan. Yang harus diperhatikan adalah bagaimana caranya melakukan audit agar keluaran audit intern memiliki dan memberikan nilai dan manfaat kepada pengguna.

2. Kukuh berpegang pada rencana kerja audit tahunan yang telah disusun pada awal tahun. Tidak boleh ada perubahan pada rencana kerja tersebut karena sudah menjadi kontrak dengan manajemen dan komite audit serta menjadi dasar penghitungan indikator kinerja audit intern.

Kalaupun ada permintaan penugasan baru dari manajemen dan komite audit maka akan menambah credit point bagi audit intern. Rencana kerja audit tahunan tidak mengikuti dinamika bisnis dan atau dinamika organisasi ataupun dinamika audit itu sendiri.

3. Paradigma yang dianut adalah masa lalu. Memotret data historis atau yang sedang berlangsung dan memberikan komentar dengan berusaha mengevaluasinya untuk tujuan ke depan. Untuk organisasi besar dan memiliki kematangan manajemen risiko apakah memotret assurance dan me-rating atas aktivitas rutin historis tidak sebaiknya dilakukan oleh second line of defense.

4. Menghindar dari penggunaan dan kemajuan teknologi. Evolusi teknologi dengan cepat membuat perubahan pada cara kerja audit intern. Pada awalnya terdapat teknologi piranti lunas untuk administrasi dan manajemen audit, pirantii lunak pengujian audit (teknik audit berbantuan komputer), kemudian berkembang adanya konsep continuous audit & monitoring, data mining, big data, dan data analytics, kemudian artificial inteligence.

5. Menghindar dari memberikan assurance terhadap (sistem dan) teknologi. Hal ini mungkin disebabkan ketidakmampuan atau ketidaktahuan auditor atau ketidakcukupan auditor yang punya kapabilitas tentang teknologi dan sistem informasi.

Akibatnya pendekatan audit dilakukan secara parsial atau sektoral, tidak memasukkan aspek teknologi dan sistem informasi baik dari aspek control, security, governance, dan kinerjanya terhadap operasional dan bisnis. Padahal saat ini semakin cepat isu tentang cybersecurity, cloud computing, digital banking, dan mobile technology, business disruption.

6. Kegagalan memberikan rekomendasi yang tepat yang mungkin disebabkan ketidaktepatan memaknai audit universe dan proses bisnis, ketidakmampuan atau ketidaktahuan auditor tentang analisis akar sebab masalah. Kepala satuan kerja atau aktivitas audit intern semestinya membekali pengetahuan dan ketrampilan para auditor tentang konsep pengembangan temuan termasuk pengembangan rekomendasi.

7. Hubungan auditor-auditee yang menempatkan hubungan subjek-objek dan jarak kepada auditor sebagai partner strategis dan advisor yang dapat dipercaya. Dalam pemahaman saya, auditor belum dirasa penting kehadirannya selain keberadaannya dianggap mandatory. Untuk isu strategis manajemen puncak hanya melibatkan konsultan manajemen terkemuka dan tidak mengetahui fungsi konsultansi atas governance, risiko, dan pengendalian intern yang dapat dikontribusikan oleh audit intern.

Selain tujuh tanda itu, Richard Chambers menambahkan antara lain

1. Audit intern terlalu fokus mengulas pada pengendalian intern ketimbang risiko. Pernah ada anggapan sulitnya memasukkan risiko baru yang diidentifikasi auditor intern ke dalam register risiko atau audit intern hanya "terbatasi" pada register risiko yang selanjutnya dilakukan pengujian kecukupan dan keefektifan atas pengendalian internnya.

Saya menerka maksud Chambers adalah audit intern berpindah haluan untuk berpikir pada risiko yang bersifat strategik dan entity wide agar organisasi berjalan mencapai tujuan, maju berkembang dan eksis, serta semestinya mengenali risiko yang akan menerpa organisasi.

2. Audit intern copy paste program audit. Barangkali Chamber melihat karena auditor intern melakukan hal yang rutin terhadap objek dan topik audit yang sama maka wawasannya terbatas dan muncul status quo dengan menggunakan program audit yang sama.

3. Auditor intern tidak tahu dan tidak mampu memahami budaya dan perilaku organisasi atau menganggapnya hanya sebagai urusan unit sumber daya manusia. Bahkan aspek kepemimpinan, budaya dan perilaku organisasi selalu ada di setiap penugasan audit dan menentukan keberhasilan pengendalian risiko dan kinerja. Apakah sudah ada assurance atas budaya organisasi? IIA telah merekomendasikan assurance tersebut dan menyediakan buku referensinya

4. Laporan hasil audit tebal. Chambers mengilustrasikan sebagai 60 halaman ikhtisar untuk semua yang Anda temukan saat audit. Yang saya pahami dari maksud Chambers adalah perlu pemikiran ulang tentang laporan hasil audit, termasuk ikhtisarnya, ke standar profesi yang berlaku dan teori komunikasi.

Pengalaman yang pernah saya dapat, temuan yang bersifat data detail tentang exception sebaiknya sebagai dokumen pendukung kertas kerja atau lampiran terpisah dari laporan hasil audit sehingga penyajian fakta adalah dalam bentuk grafik, tabel, statistik atau bentuk kuantitatif lainnya serta pernyataan keandalan pengendalian intern atas aktivitas atau proses bisnis tersebut. Sedangkan penyajian ikhtisar eksekutif adalah dalam bentuk infografis dan bentuk penyederhanaan lainnya.

Harus dapat didefinisikan dengan jelas, informasi mana yang harus diketahui oleh manajemen bawah, menengah, dan puncak serta bentuk penyajiannya. Lebih baik bila auditor intern menggunakan tampilan data analytics untuk menyajikan hasil auditnya karena data analytics bukanlah sekedar grafik, tabel, atau bentuk kuantitatif lainnya.