Paradigma Penting Risk-Based Internal Auditing

Paradigma RBIA

Auditor intern harus memiliki paradigma yang selaras dengan tujuan organisasi. Cara kerjanya pun perlu menyesuaikan dengan tuntutan para pemangku kepentingan (stakeholders), termasuk manajemen. Bagi manajemen, topik yang paling menarik perhatian mereka adalah topik mengenai cara-cara efektif mewujudkan tujuan yang ditargetkan. Dan manajemen pun sadar bahwa cara apapun yang dipilih akan berhadapan dengan risiko. Tapi tentu manajemen ingin risiko yang terkecil, meski tak akan bisa hilang sama sekali. Semangat auditor intern terkini adalah mendukung hal tersebut. Iya, membantu manajemen memperkecil risiko. Sebab itulah muncul konsep risk-based internal auditing (RBIA), yang bisa diterjemahkan menjadi audit berbasis risiko atau ada pula yang menyebut audit berpeduli risiko. RBIA merupakan metodologi yang menghubungkan antara audit intern dengan keseluruhan kerangka manajemen risiko organisasi. Melalui RBIA, auditor intern meyakinkan bahwa seluruh proses manajemen risiko organisasi telah dijalankan untuk mengelola risiko secara efektif.

Selim dan McNamee mulai mengenalkan RBIA pada tahun 1998. Mereka mengenalkannya melalui tulisan yang diterbitkan lembaga riset IIA berjudul Risk Management: Changing the Internal Auditor’s Paradigm. Dalam tulisan itu, mereka mengenalkan satu model untuk memperbaiki proses audit intern dengan cara mengintegrasikan proses manajemen risiko di dalamnya. Mereka juga menekankan perlunya perubahan paradigma auditor intern dari control-based audit menuju risk-based audit. Selain melalui lembaga riset IIA, Selim dan McNamee juga menawarkan konsep tersebut dengan menulis pada International Journal of Auditing yang terbit pada tahun 1999. Judul jurnal mereka adalah:

Kenapa para auditor intern mesti mengubah paradigma? Bukankah dari semula mereka telah menjadi bagian dari organisasi dan berfungsi mendukung manajemen? Betul sekali! Auditor intern memang telah dirancang untuk menjadi bagian organisasi dan mendukung manajemen. Oleh sebab itu, auditor intern harus miliki bahasa dan orientasi yang sama dengan manajemen. Sayangnya paradigma lama audit intern belum menggunakan bahasa yang sama dengan manajemen. Paradigma lama yang mengedepankan aspek pengendalian (control-based) dinilai tak lagi relevan karena tidak terkoneksi langsung dengan fokus tujuan manajemen. Fokus pada aspek pengendalian bisa saja mengarahkan auditor pada area/bidang yang sebenarnya bukan menjadi fokus tujuan manajemen. Akibatnya, hasil audit intern tidak berdampak langsung pada pencapaian tujuan. Bisa jadi hasilnya hanya berupa daftar kelemahan kontrol berikut rekomendasi penambahan kontrol yang dianggap menambah beban manajemen. Jika kondisinya seperti itu, apakah bisa disebut auditor intern mendukung manajemen? Tidak, bukan? Karena itulah penting untuk mengubah paradigma lama audit intern.

Bagaimana dengan paradigma baru yang berbasis risiko? Dengan paradigma ini, perhatian auditor intern digeser untuk lebih fokus pada risiko. Risiko merupakan hal-hal yang menghambat pencapaian tujuan organisasi. Fokus pada risiko membuat auditor memiliki bahasa yang klik dengan kemauan manajemen. Diharapkan pula, pencapaian tujuan organisasi menjadi lebih mudah karena risiko-risikonya telah diidentifikasi dengan baik dan segala tindakan penanganannya telah diuji keandalannya melalui proses audit intern. Dengan auditor diminta fokus pada risiko, apakah manajemen tak lagi perlu bantuan terkait masalah pengendalian? Masih perlu, lebih tepatnya sangat perlu! Namun prioritasnya adalah pada pengendalian yang berdampak langsung terhadap pencapaian tujuannya. Bahkan, auditor intern dituntut memiliki kemampuan lebih untuk bisa mengaitkan pengendalian dengan tujuan dan risiko organisasi secara keseluruhan. Dengan demikian, melalui RBIA perspektif auditor intern dibuat menjadi lebih luas dan komprehensif.

Supaya Anda semakin mantap, saya kutip pula tabel yang membedakan paradigma audit intern lama dan baru versi Selim dan McNamee berikut ini.

Characteristic Old Paradigm New Paradigm
Internal audit focus Internal control Business risk
Internal audit response Reactive, after-the-fact, discontinuous, observers of strategic planning initiatives Coactive, real-time, continuous monitoring, participants in strategic plans
Internal audit tests Important controls Important risks
Internal audit methods Emphasis on the completeness of detail controls testing Emphasis on broad business risks covered
Internal audit recommendations Internal control: strengthened, costs-benefit, efficient/effective Risk management: avoid/diversify risk, share/transfer risk, control/accept risk
Internal audit reports Addressing the functional controls Addressing the process risk
Internal audit role in organization Independent appraisal function Integrated risk management and corporate governance
Sumber: Selim dan McNamee (1998)

Apakah paradigma baru yang berbasis risiko menawarkan proses atau teknis implementasi audit yang lebih jelas? Yang pasti, para pakar dan praktisi audit intern sepakat bahwa RBIA diawali dengan menilai risiko. Namun tata caranya lebih lanjut, belum ada satu petunjuk yang sama. Para pakar dan praktisi audit intern sepertinya juga masih mencari-cari pola yang ideal untuk menjalankan RBIA secara efektif. Jika ingin mempelajari lebih lanjut pedoman-pedoman RBIA, lihat saja pedoman RBIA yang bisa diakses gratis seperti milik Chartered Institute of Internal Auditors atau David Griffiths. Atau bisa juga membaca buku Risk-Based Auditing karangan Phil Griffiths.

Terkait teknis implementasi RBIA ini, menarik sekali tulisan yang dibuat oleh Norman Marks berjudul Modern Risk-Based Internal Auditing. Tulisan ini sebenarnya mengangkat tema perencanaan audit menurut konsep RBIA. Marks mengungkapkan bahwa dirinya telah meninggalkan pola RBIA tradisional dan berpindah ke pola baru yang ia sebut RBIA modern. Jadi, di dalam RBIA sendiri telah ada pola tradisional dan pola modern. Menurut Marks, ada perbedaan mendasar antara pola tradisional dan modern tersebut.

Perencanaan RBIA tradisional ditandai dengan pembuatan semesta audit (audit universe) berdasarkan urutan risikonya. Prosesnya diawali dengan identifikasi semua area yang berpotensi untuk diaudit, seperti proses bisnis, wilayah, atau unit tertentu. Selanjutnya area itu dinilai risikonya dengan mempertimbangkan berbagai faktor seperti jumlah pendapatan; nilai aset; periode audit terakhir; besaran temuan audit sebelumnya; tingkat perubahan sistem, proses dan personel; serta masukan manajemen dan dewan pengawas. Dari semesta audit itu lalu dipilih area-area yang risikonya berada di urutan atas untuk menjadi objek audit. Selanjutnya auditor menilai lagi risiko secara rinci atas area yang dipilihnya pada saat pelaksanaan audit. Pendekatan ini menurut Marks, tidak melihat risiko dalam konteks tujuan organisasi secara keseluruhan. Risiko masih dipandang secara silo pada area-area tertentu. 

Lantas seperti apa perencanaan RBIA modern? Prosesnya tidak dimulai dari pembuatan semesta audit tapi dimulai dengan identifikasi risiko-risiko penting yang berpengaruh terhadap pencapaian tujuan organisasi. Marks menyebutnya identifikasi semesta risiko (risk universe). Semesta risiko menjadi dasar penentu area mana yang akan dipilih sebagai objek audit. Karena itu, rencana audit akan berisi kegiatan-kegiatan untuk mengidentifikasi dan menilai pengendalian yang dirancang manajemen untuk mengelola risiko-risikonya yang penting. Tujuan utama RBIA modern adalah memastikan bahwa proses manajemen mampu mengelola risiko-risiko penting tersebut. 

Perbedaan RBIA tradisional dan modern tersebut nampaknya samar, namun bila Anda resapi lebih dalam, sesungguhnya keduanya memang memiliki landasan berpikir yang jauh berbeda. Ada di manakah posisi unit audit intern organisasi Anda? Apakah baru bisa menerapkan RBIA dengan pola tradisional? Atau sudah sampai menerapkan pola modern ala Norman Marks? Jangan-jangan memikirkan RBIA pun belum... Tapi di manapun posisinya, tak ada kata terlambat untuk berubah. Selamat berbenah!

Referensi:
  • McNamee, D. and Selim, GM (1998). Risk Management: Changing the Internal Auditor’s Paradigm. IIARF.
  • Marks, Norman (2015). Modern Risk-Based Internal Auditing. Internal Auditor-Middle East Juni 2015.
Load comments

Comments