Sampai saat ini, korupsi masih menjadi masalah besar di Indonesia. Dari riset Transparency International, Indeks Persepsi Korupsi (IPK) Indonesia tahun 2018 hanya menempati peringkat 89 dari 180 negara. Skornya juga belum menggembirakan, yaitu 38 dari skala 0 (terburuk) sampai 100 (terbaik).
Potret lebih riil nampak pada terus bertambahnya jumlah perkara korupsi yang ditangani Komisi Pemberantasan Korupsi (KPK), baik di level penyelidikan, penyidikan, penuntutan, inkrah, maupun eksekusi. Penambahan tersebut mencapai lebih dari dua kali lipat dalam kurun waktu lima tahun terakhir, yaitu dari 274 perkara pada tahun 2014 menjadi 733 perkara pada tahun 2018. Tak sedikit kasus korupsi tersebut melibatkan unsur lembaga pemerintahan, baik pusat maupun daerah. Dampaknya tentu sangat merugikan keuangan negara dan kepentingan publik. Juga merusak reputasi instansi pemerintah.
Dalam kondisi demikian, munculnya tanda tanya terhadap efektivitas fungsi audit internal pemerintah atau dikenal sebagai Aparat Pengawas Internal Pemerintah (APIP) menjadi tak terhindarkan lagi. Publik memandang APIP yang merupakan alat kontrol manajemen pemerintahan semestinya punya peran strategis mengatasi korupsi.
Benarkah demikian? Bagaimana seharusnya kita mendudukkan fungsi audit internal secara proporsional?
Dalam profesi audit internal, korupsi secara konsepsi termasuk dalam kategori tindakan fraud atau kecurangan. Fraud sendiri memiliki cakupan definisi yang lebih luas, meliputi segala tindakan ilegal yang bercirikan penipuan, penyembunyian, atau penyalahgunaan kepercayaan. Motifnya tentu demi keuntungan finansial, tujuan bisnis, atau menutupi kesalahan tertentu.
Meski definisi fraud tersebut mudah dimengerti, pencegahan dan deteksinya tak semudah membalikkan tangan. Apalagi jika fraud tersebut dilakukan oleh para pemegang otoritas tertinggi organisasi. Selain masalah modus operandi yang sulit dideteksi, mengungkap fraud atau korupsi kalangan penguasa tentu butuh nyali yang sangat besar.
Bagaimana audit internal berkiprah menangani fraud? Praktiknya ternyata cukup bervariasi. Menurut survei The Institute of Internal Auditors (IIA) bertajuk Responding to Fraud Risk: Exploring Where Internal Auditing Stands yang dirilis tahun 2015, 6% responden menyatakan unit audit internalnya bertanggung jawab penuh dalam pencegahan dan deteksi fraud. Sebaliknya, ada juga yang menyatakan bahwa unit audit internalnya tidak bertanggung jawab dalam pencegahan fraud (17%) ataupun deteksi fraud (12%). Sebagian besar responden lainnya menyatakan ada andil audit internal dengan proporsi agak lebih banyak bersifat deteksi dibanding pencegahan. Hasil survei lantas menyimpulkan bahwa tingkat keterlibatan audit internal dalam menangani fraud ditentukan oleh budaya dan kematangan organisasi serta visi/pemosisian audit internal dalam organisasi.
Menilik hasil survei IIA tersebut, wajar saja jika kita masih menjumpai beragam pandangan perihal seberapa jauh peran audit internal terkait penanganan fraud atau korupsi. Ada yang berpandangan bahwa audit internal perlu terlibat penuh, ada pula yang sebaliknya.
KPK misalnya, termasuk pihak yang berharap besar akan peran audit internal pemerintah. KPK ingin agar independensi APIP atau audit internal pemerintah terutama di kalangan pemerintah daerah ditingkatkan sehingga dapat lebih memperkuat sistem pencegahan korupsi di daerah. Hal ini tentu tidak lepas dari fakta banyaknya kepala daerah yang terjerat kasus korupsi oleh KPK. Menurut data KPK per 30 Juni 2018 saja, dalam kurun waktu tahun 2004 sampai 2018 sudah ada 106 kasus korupsi yang melibatkan gubernur/walikota/bupati dan wakilnya.
Kuatnya tuntutan akan peran aktif auditor internal tersebut sebetulnya merupakan tantangan yang harus dijawab dengan tindakan yang tepat. Pada tahun 2004 PricewaterhouseCoopers (PwC) sudah merilis beberapa pilihan yang dapat dilakukan. Menurut PwC, audit internal dapat berperan dalam: (1) mendukung manajemen membangun program anti-fraud; (2) memfasilitasi penilaian risiko fraud dan reputasi; (3) mengaitkan kegiatan pengendalian anti-fraud dengan risiko fraud; (4) mengevaluasi dan menguji desain dan efektivitas program anti-fraud; (5) audit atas fraud; (6) memimpin atau mendukung investigasi dugaan fraud; (7) memimpin atau mendukung upaya perbaikan; dan (8) melaporkan kepada komite audit atas upaya yang dilakukan organisasi. Rumusan PwC ini adalah untuk kasus fraud secara umum.
Lebih spesifik lagi, Russell A. Jackson dalam tulisannya When Executives Go Bad di majalah Internal Auditor Oktober 2014 merangkum beberapa pilihan yang dapat dilakukan audit internal dalam menangani potensi fraud jajaran eksekutif. Bentuknya antara lain: (1) mengubah pelaporan indikasi tindakan ilegal ke jajaran non eksekutif seperti komite audit; (2) mereviu pola komunikasi; (3) fokus pada tindakan pencegahan; (4) memberi atensi lebih pada area kegiatan yang pengawasannya lemah; (5) membangun program kepatuhan; (6) memanfaatkan berbagai alat seperti data mining dan data analytics; (7) memisahkan tugas investigasi dengan fungsi audit rutin; dan (8) memperjelas kewenangan dan tanggung jawab dalam piagam audit.
Terlepas dari praktik dan pandangan yang beragam di atas, sebetulnya profesi audit internal sudah punya petunjuk tersendiri yang dapat dipedomani. Kita bisa cermati mulai dari Standar Praktik Profesional Audit Internal IIA (2017). Menurut standar tersebut, auditor internal tidak dituntut memiliki kompetensi layaknya investigator. Namun, auditor internal harus memiliki pengetahuan memadai dalam evaluasi risiko fraud dan pengelolaannya (Standar 1210.A2). Dalam menerapkan kecermatan profesional, auditor internal juga harus mempertimbangkan unsur fraud (Standar 1220.A1).
Kemudian, salah satu kontribusi nyata yang dapat disumbangkan dari kegiatan audit internal bagi organisasi adalah perbaikan pengelolaan risiko, termasuk risiko fraud. Untuk itu, pelaksanaan kegiatan audit internal harus mencakup evaluasi terhadap potensi timbulnya fraud dan bagaimana organisasi mengelolanya (Standar2120.A2). Adapun dalam perencanaan audit, kemungkinan timbulnya fraud harus dipertimbangkan ketika merumuskan tujuan penugasan (Standar 2210.A2). Selanjutnya, risiko fraud juga harus tercakup dalam laporan periodik pimpinan audit internal (Standar 2060).
Pendek kata, auditor internal harus mewaspadai indikasi dan peluang terjadinya fraud, mempertimbangkan risiko fraud saat perencanaan audit, mengevaluasi indikasi fraud dan kecukupan pengendalian manajemen saat penugasan, serta melaporkannya lewat laporan periodik. Dengan demikian, kewaspadaan terhadap fraud semestinya menjadi bagian yang menyatu dalam pola pikir dan eksekusi seluruh tahapan kegiatan audit internal.
Petunjuk yang lebih rinci dapat kita lihat dalam pedoman atau practice guide IIA berjudul Internal Auditing and Fraud (2009). Dalam pedoman ini terdapat penjelasan peran dan tanggung jawab berbagai pihak dalam pencegahan dan deteksi fraud seperti dewan direksi, komite audit, manajemen, penasihat hukum, auditor internal, auditor eksternal, manajer pencegahan kerugian, investigator, dan pegawai lainnya.
Khusus untuk auditor internal, peran dan tanggung jawabnya antara lain membantu pencegahan fraud melalui evaluasi kecukupan dan efektivitas pengendalian intern. Selain itu, auditor internal dapat membantu manajemen menetapkan langkah pencegahan fraud melalui konsultasi serta pemetaan kekuatan dan kelemahan organisasi. Selanjutnya auditor internal dapat berperan dalam manajemen risiko fraud melalui penyelidikan terhadap dugaan fraud, analisis akar masalah dan rekomendasi perbaikan pengendalian, pemantauan hotline pengaduan, dan pelatihan etika. Auditor internal juga dapat melakukan audit secara proaktif dalam rangka menemukan penyalahgunaan aset dan penyajian informasi yang dimanipulasi.
Dari penjelasan practice guide tadi terlihat bahwa ada cukup banyak alternatif peran yang dapat dijalankan oleh auditor internal. Pilihan peran mana yang sebaiknya dilakukan tetaplah mempertimbangkan kebutuhan dan kematangan organisasi serta ketersediaan sumber daya.
Jika direnungkan lagi, peran dan tanggung jawab yang diterangkan dalam standar dan pedoman IIA memiliki benang merah yang sama, yaitu auditor internal seharusnya tidak mengambil alih peran dan tanggung jawab manajemen.
Bagaimanapun, pemegang tanggung jawab utama pencegahan dan deteksi fraud adalah manajemen. Tanggung jawab tersebut diwujudkan dengan menerapkan sistem pengendalian intern yang efektif, sehingga tujuan organisasi dapat tercapai dan berbagai risiko organisasi dapat tertangani, termasuk risiko fraud dan korupsi.
Aspek manusia yang menjadi titik lemah utama pengendalian intern juga mesti dijaga. Program penguatan kompetensi dan integritas sumber daya manusia organisasi harus mendapat perhatian khusus dari manajemen agar pengendalian intern makin berfungsi lebih efektif.
Sementara itu, peran auditor internal adalah menilai apa yang telah dilakukan oleh manajemen. Caranya bisa lewat data analytics atau dengan cara lainnya. Yang pada intinya bisa mengidentifikasi potensi fraud atau korupsi yang tidak dapat dicegah atau dideteksi lewat pengendalian intern rancangan manajemen. Dan manakala menemukan adanya indikasi fraud atau korupsi, auditor internal tetaplah harus bekerja sama dengan jajaran manajemen untuk membenahi celah pengendalian dan menyelesaikan perkaranya.
Perlu juga diingat, auditor internal harus jeli memilih fokus penanganan fraud. Jangan sampai mereka terlalu terlibat banyak dalam kasus-kasus remeh temeh. Yang dapat menyita sumber daya. Atau bahkan dapat mengalihkan perhatian dari hal-hal substansial yang terkait langsung dengan pencapaian tujuan organisasi.
Kuncinya adalah sinergi. Auditor internal yang secara profesional dan independen mampu bersinergi dengan jajaran manajemen, akan mendapat respek dan kepercayaan penuh. Seluruh unsur organisasi akan kooperatif terhadap kerja-kerja auditor internal termasuk pimpinan tertinggi organisasi.
Dalam suasana pengendalian dan sinergi organisasi yang kuat seperti itu, semua pihak otomatis akan berpikir panjang untuk melakukan tindakan fraud atau korupsi. Pun ia seorang pimpinan tertinggi organisasi.
Sebaliknya, mengandalkan fungsi audit internal sebagai aktor tunggal untuk mengatasi masalah fraud atau korupsi, apalagi itu dilakukan jajaran pimpinan organisasi, adalah ibarat berharap sembuh dari penyakit kanker stadium akhir dengan hanya minum parasetamol. (hrs)
Comments