Saya suka tulisan Richard Chambers, Norman Marks, Jim DeLoach, Tim Leech yang membongkar paradigma tentang audit intern. Saya kutip pokok tulisan terbaru Norman Marks dan tentu saya tambahkan penjelasan dan pikiran saya sebagai berikut
1. Aktivitas audit intern atau yang lebih populer dikenal sebagai satuan kerja audit intern atau di BUMN disebut satuan pengawas intern masih berpegang pada rencana kerja audit atau pemeriksaan tahunan. Rencana kerja tersebut hanya dimutakhirkan tahunan. Akibatnya, jumlah proyek audit atau pemeriksaan menjadi membengkak karena rencana yang disusun sejak tahun lalu tetap wajib dieksekusi walaupun mulai pudar relevansi dan value-nya.
Mestinya seperti yang disarankan Richard Chambers dan Norman Marks, rencana kerja dimaksud mengikuti dinamika bisnis sehingga terus mutakhir atau kekinian sesuai dengan turbulensi dan kecepatan dinamika bisnis beserta risikonya? at the speed of risk.
Berhubung rencana kerja yang disusun sejak akhir tahun telah menjadi indikator kinerja aktivitas audit intern?maka beban kerja auditor intern melonjak dan kehilangan fokus serta kedalaman, hanya memenuhi indikator kinerja. Mungkin secara kinerja tercapai namun secara standar profesi dan kebanggaan profesi, kondisi ini jauh dari ideal.
2. Aktivitas audit intern tidaklah memberikan keyakinan atau assurance kepada manajemen dan dewan komisaris berupa pengelolaan risiko dikaitkan dengan pencapaian tujuan organisasi berdasarkan strategi yang dirancang.
Aktivitas audit intern melainkan hanya melakukan penilaian atau assessment dan membuat scoring atau rating atas pengendalian intern tanpa mengindikasikan tujuan bisnis atau tujuan organisasi mana yang terdampak dan seperti apa kompeksitas risikonya. Kalau pun auditor membuat pemetaan risiko, tetap belum menginformasikan eksposur dan kaitan ke tujuan bisnis atau tujuan organisasi mana yang terdampak.
3. Kalaupun melakukan assurance atas pengendalian intern, apakah tingkat keyakinan atas hasil assurance tersebut dapat dipertanggungjawabkan? Jika menerapkan assurance, kita layak meminjam terminologi audit (assurance) atas laporan keuangan yaitu tentang accepted audit risk. Adakah audit intern membuat metodologi yang teruji untuk memperoleh accepted audit risk? Pertanyaan berikutnya apakah audit intern menggunakan acuan kerangka kerja pengendalian intern yang terkini untuk melakukan assurance dan apakah penilaian dilakukan secara parsial ataukah seharusnya secara lengkap atas seluruh komponen pengendalian intern?
4. Aktivitas audit intern tidak memberikan informasi yang dapat ditindaklanjuti. Pasti para auditor intern akan protes dengan pernyataan ini karena pada setiap hasil auditnya, auditor intern akan memproduksi rekomendasi. Mana mungkin rekomendasi tidak ditindaklanjuti oleh yang terperiksa karena auditor intern wajib memantau pemenuhan tindak lanjut oleh terperiksa.
Yang dimaksud tidak memberikan actionable information adalah informasi yang sangat relevan (dan fresh serta mengandung bobot insight mestinya) yang dapat membantu manajemen dan dewan komisaris tidak hanya mengetahui kelemahan pengendalian intern dan aspek kepatuhan, serta memberi rasa aman kepada mereka dari risiko yang signifikan dan mendadak, namun membantu mereka meyakini apakah strategi dan tujuan organisasi musti diubah atau diperkuat.
Kalau ada auditor intern yang menafikan hal ini berarti ia belum menguasai standar profesi audit intern dan belum memahami konsep governance dan pengendalian intern yang komprehensif.
5. Membatasi insight atau rekomendasi yang diberikan audit intern dalam tataran tertulis dalam bentuk laporan. Adalah lebih baik membuat komunikasi atau laporan dalam bentuk pembicaraan, penjelasan verbal, dan pertemuan yang terintegrasi dengan semua pihak yang terkait untuk mendapatkan penjelasan dan solusi yang sistemik dan fundamental. Kalau laporan yang tertulis dirasakan tidak eye-catching dan membosankan kenapa tidak beralih menyajikan laporan dalam bentuk presentasi dengan muatan grafis, video, gambar?
Ingat produk akhir audit intern bukan laporan yang tebal dan melelahkan membacanya tetapi adanya penerimaan atau buy-in atas gagasan, insight, rekomendasi yang diberikan auditor sehingga terjadilan perbaikan tata kelola dan pengendalian operasional dan strategis.
6. Kalaupun membuat laporan tertulis, aktivitas audit intern membuat rumit pembacanya khususnya pengambil keputusan dari hasil audit menemukan informasi yang penting yang ingin disampaikan auditor. Informasi yang justru signifikan dan perlu menjadi perhatian terkubur di dalam gunungan hal-hal yang sepele di laporan auditnya.
Tentu saja auditor intern akan menyanggah pernyataan saya karena auditor intern sejatinya juga telah membuat ikhtisar eksekutif. Namun apakah konsep dasar dan teknik pelaporan yang diminta oleh standar profesi audit intern dan teori-teori komunikasi telah diindahkan oleh auditor intern di ikhtisar eksekutif? Mestinya auditor cukup mengomunikasikan dengan jelas, ringkas, mudah dipahami, dan tepat waktu tentang informasi yang harus diketahui oleh manajemen sesuai hirarkinya. Kenapa?uraian rincinya tidak cukup jadi kertas kerja saja?
7. Serupa dengan kegagalan mengangkat isu yang signifikan dan mendasar kepada pengambil keputusan, audit intern juga tidak menyentuh aspek governance dalam arti luas yang justru sangat dibutuhkan agar manajemen risiko dan pengendalian intern berjalan efektif dan agar pencapaian tujuan organisasi lebih efektif. Bisa jadi isu ketidakefektifan manajemen risiko dan pengendalian intern atau tidak berjalan mulusnya organisasi sebenarnya memiliki akar masalah di governance.
8. Aktivitas audit intern kesulitan atau tidak mampu menemukan akar masalah penyebab masalah. Teori analisa akar masalah mudah diajarkan namun tidak mudah diaplikasikan. Misalnya jika akar masalah adalah kebijakan eksekutif, gaya kepemimpinan dan faktor tidak berwujud atau soft control lainnya. Bagaimana auditor mengukur, menilai, dan membuktikannya? Oleh karena itu, akar masalah banyak yang terhenti pada perbaikan sistem dan infrastruktur prasarana dan sarana, pembuatan dan pemutakhiran kebijakan dan prosedur.
Saya sepakat dengan pendapat Norman Marks bahwa risiko terbesar (dan justru yang fundamental menurut saya) adalah risiko manusia khususnya perilaku manusia dan organisasi. Pada akhirnya, menurut saya, rekomendasi berupa sistem, tools, kebijakan dan prosedur kembali lagi kepada manusia dan faktor tidak berwujud atau soft control. Sederhananya begini, jika audit intern telah memberikan rekomendasi perbaikan berupa sistem, tools, kebijakan, dan prosedur apakah ketidakpatuhan atau kelemahan pengendalian ?tidak terulang?
Jika terulang lagi, berarti audit sebelumnya tidak tepat? Menurut hemat saya, teori analisa akar masalah memiliki keterbatasan, kecuali mampu menyentuh kepada aspek manusia, faktor tidak berwujud atau soft control. Untuk best effort-nya, auditor intern wajib meningkatkan kapabilitasnya dengan pengetahuan manajemen, termasuk yang terkait dengan manajemen manusia, perilaku organisasi atau psikologi industri.
9. Selain bergulat kepada pemeriksaan kepatuhan, kelemahan lain adalah auditor intern masih ada yang bergulat pada penilaian ketertiban dokumen, semestinya lebih banyak pada penerapan keterampilan komunikasi, pengembangan temuan, penerapan pengetahuan tentang pengendalian intern, pengkajian governance dan manajemen. Tentu saja, informasi yang dikumpulkan auditor intern menjadi dangkal atau itu-itu saja dan tidak memberikan efek getar seperti insight, terobosan, dan smart concept. Kelemahan ini tidak lepas dari pengembangan kompetensi, keterampilan, dan pengetahuan auditor. Saya bukan tidak apriori dengan risiko ketidakpatuhan, namun hal ini mestinya menjadi tugas supervisi atau pengawasan rutin.
Tentu saja penjelasan peyebab audit intern dianggap old-fashion style dan kurang memberi value di atas tidak termasuk isu mendasar yang seperti kompetensi auditor baik penguasaan standar profesi, ketrampilan teknik audit intern; manajemen talent dan pengembangan karir serta pengembangan kompetensi audit intern; peran dan kedudukan audit intern di organisasi beserta penyediaan sumber dayanya termasuk fungsi audit intern sebagai koordinator combined assurance.
Mau Berita Terbaru Lainnya dari Warta Ekonomi? Yuk Follow Kami di Google News dengan Klik Simbol Bintang.
Editor: Cahyo Prayogo
Tag Terkait: