Membangun independensi audit intern

  1. Independensi Internal Auditor

Institute of Internal Audit (IIA) sebagai ikatan internal auditor di Amerika yang dibentuk pada tahun 1941 merumuskan definisi internal audit sebagai berikut:

Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

Internal audit adalah aktivitas independen, keyakinan obyektif dan konsultasi yang dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Audit tersebut membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas proses pengelolaan risiko, kecukupan pengendalian dan proses tata kelola.

Beberapa kata kunci yang membangun definisi tersebut adalah:

  • Independent
  • Objective assurance (Obyektivitas)
  • Consulting activity (Konsultasi)
  • Add Value (Nilai tambah)
  • Helping (Membantu)
  • Improve (Meningkatkan)

Independensi menjadi kata kunci utama dalam definisi internal audit. Beberapa definisi-definisi tentang internal audit telah berkembang sebelum definisi terakhir tersebut, namun tidak pernah terlepas dari kata kunci utama yaitu independen. Independen dan obyektivitas adalah dua hal yang tidak terpisahkan dalam internal audit. Independensi yang menjadikan internal auditor dapat bersikap obyektif. Demikian pula sebaliknya, sikap obyektif mencerminkan independensi Internal Auditor. Dalam standar internal audit yang berlaku internasional yaitu International Standards for the Professional Practice of Internal Auditing, independensi dijelaskan dalam standard 1100-Independence and Objectivity: The internal audit activity must be independent, and internal auditors must be objective in performing their work. Standar ini diinterprestasikan sebagai berikut:

Independence is the freedom from conditions that threaten the ability of the internal audit activity or the chief audit executive to carry out internal audit responsibilities in an unbiased manner. To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executive has direct and unrestricted access to senior management and the board. This can be achieved through a dual-reporting relationship. Threats to independence must be managed at the individual auditor, engagement, functional, and organizational levels.

Internal auditor harus memiliki independensi dalam melakukan audit dan mengungkapkan pandangan serta pemikiran sesuai dengan profesinya dan standar audit yang berlaku.  Independensi tersebut sangat penting agar produk yang dihasilkan memiliki manfaat yang optimal bagi seluruh stakeholder. Dalam hubungan ini auditor harus independen dari kegiatan yang diperiksa. Independensi merupakan bagian dari kode etik profesi Internal Auditor terhadap profesinya dan terhadap masyarakan secara luas.

 

 

  1. 2.       Permasalahan Independensi Internal Auditor

Secara ideal, internal auditor dikatakan independen apabila dapat melaksanakan tugasnya secara bebas dan obyektif. Dengan kebebasannya, memungkinkan internal auditor untuk melaksanakan tugasnya dengan tidak berpihak. Ideal?? Prakteknya?? Tentu saja, hal ini bukanlah perkara mudah. Di sisi lain, internal auditor banyak menghadapi permasalahan dan kondisi yang menghadapkan internal auditor untuk ‘mempertaruhkan’ independensinya. Kata “internal” saja sudah berbau tidak independen.

Sebagai karyawan/pekerja, internal auditor mendapatkan penghasilan dari organisasi di mana dia bekerja, hal ini berarti internal auditor sangat bergantung kepada organisasinya sebagai pemberi kerja. Disini internal auditor menghadapi ‘ketergantungan’ hasil kerja dan kariernya dengan hasil auditnya. Internal auditor sebagai pekerja di dalam organisasi yang diauditnya akan menghadapi dilema ketika harus melaporkan temuan-temuan yang mungkin mempengaruhi atau tidak menguntungkan kinerja dan karirnya. Independensi internal auditor akan dipengaruhi oleh pertimbangan sejauh mana hasil internal audit akan berdampak terhadap kelangsungan kerjanya sebagai karyawan/pekerja. Pengaruh ini dapat berasal dari manajemen atau dari kepentingan pribadi internal auditor. Sebagai contoh misalnya direktur perusahaan memberikan batasan terhadap internal auditor untuk tidak mengakses data atau melakukan pemeriksaan terhadap penggajian karyawan. Pembatasan ini merupakan pembatasan terhadap independensi internal auditor, namun apabila hal tersebut tidak dipatuhi maka sama halnya internal auditor akan menghadapi konsekwensi sanksi sebagai karyawan. Sebaliknya, bila internal auditor memiliki akses terhadap data penggajian tersebut akan berpotensi munculnya kepentingan pribadi internal auditor sebagai karyawan perusahaan.

Kondisi lain yang sangat berpotensi mempengaruhi independensi internal auditor adalah banyaknya pihak yang berkepentingan di dalam sebuah organisasi bisnis. Kepentingan pihak-pihak eksternal serta kepentingan pihak-pihak internal organisasi seringkali berbeda. Di satu pihak, manajemen perusahaan ingin menyampaikan informasi mengenai pertanggunjawaban pengelolaan dana yang berasal dari pihak luar, di lain pihak, pihak eksternal ingin memperoleh informasi yang andal dari manajemen perusahaan. Konflik dalam sebuah internal audit akan berkembang pada saat internal auditor mengungkapkan informasi tetapi informasi tersebut oleh manajemen tidak ingin dipublikasikan kepada pihak eksternal atau informasi tersebut dibatasi. Kondisi ini akan sangat menyulitkan internal auditor karena harus berhadapan dengan kepentingan manajemen internal. Independensi, integritas serta tanggung jawab internal auditor terhadap profesi dan masyarakat akan dipertaruhkan dengan menempatkan internal auditor sebagai bagian dari kepentingan manajemen internal organisasi. Contoh yang kongkrit adalah internal auditor suatu bank memiliki kewajiban untuk melaporkan hasil auditnya kepada Bank Indonesia sebagai regulator secara periodik. Itu artinya laporan tersebut akan berpotensi dipengaruhi oleh kepentingan manajemen bank yang bersangkutan agar tidak membawa dampak “merepotkan” manajemen karena adanya sanksi dari Bank Indonesia.

Selain menghadapi perbedaan kepentingan dengan pihak eksternal, internal auditor juga harus menghadapi kepentingan-kepentingan pihak internal organisasi yang tidak jarang pula berbeda-beda, bahkan bertentangan. Dalam kondisi ini, internal auditor berpotensi dijadikan “tunggangan” konflik kepentingan pihak-pihak tertentu. Disinilah sikap obyektif internal auditor akan mencerminkan independensinya. Internal auditor harus menjaga agar tidak muncul prasangka atau pendapat dari pihak manapun bahwa internal auditor berpihak pada kepentingan tertentu. Inilah yang disebut independen dalam penampilan. Sebagai contoh adanya ketidakpuasan karyawan atau pihak tertentu karena gaji atau suatu jabatan, dimana internal auditor diharapkan dapat ‘menyambung lidah’ sehingga ‘keluhan’ mereka ditindaklanjuti oleh manajemen puncak. Atau contoh lain adanya ‘persaingan’ ditempat kerja sehingga salah satu pihak berusaha menjatuhkan pihak lainnya dengan memanfaatkan internal auditor.

Pengaruh terhadap independensi internal auditor terkadang tidak bersifat ‘langsung’ terhadap hasil audit yang dihasilkan oleh internal auditor. Namun demikian intervensi tersebut dapat mempengaruhi ‘kinerja’ internal audit termasuk mempengaruhi internal auditor dalam menetapkan ruang lingkup dan metodologi auditnya. Contohnya adalah dalam kondisi internal audit merupakan salah satu departemen/divisi di dalam perusahaan. Kondisi tersebut menempatkan pimpinan internal auditor juga berperan sebagai pimpinan departemen/divisi. Peranan ini kemungkinan besar memiliki keterbatasan wewenang dan tanggung jawab yang hampir sama dengan pimpinan departemen/divisi yang lain. Pimpinan Departemen SDM dan Pesonalia misalnya, dapat memutasikan atau memindahkan karyawan Departemen Internal Audit (dalam hal ini adalah internal auditor) ke departemen lainnya. Demikian pula sebaliknya, karyawan di departemen yang dianggap kurang qualified di bidang tersebut ditempatkan sebagai internal auditor.

 

  1. 3.       Membangun Independensi Internal Auditor

Masalah-masalah di atas merupakan contoh bahwa dalam berbagai kondisi independensi internal auditor dapat terpengaruh. Oleh karena itu, membangun independensi bukanlah perkara gampang semudah membalikkan telapak tangan. Banyak aspek yang harus dipertimbangkan untuk membangun independensi internal audit.

Cerminan independensi yang paling terlihat adalah status organisasi atau kedudukan internal audit dalam struktur organisasi. Sesuai dengan interprestasi standar internal audit, untuk mencerminkan independensi, kedudukan Internal Audit dalam organisasi harus ditetapkan sedemikian rupa sehingga mampu mengungkapkan pandangan dan pemikirannya tanpa pengaruh ataupun tekanan dari manajemen ataupun pihak lain yang terkait dengan organisasi. Pemimpin internal audit memiliki akses langsung dan tidak terbatasi dengan manajemen senior dan komisaris untuk melaporkan hasil auditnya. Dalam perusahaan publik atau perusahaan terbuka dimana tuntutan terhadap governance sangat signifikan, kondisi ini relatif lebih implementatif. Adanya kepentingan pemegang saham dan stakeholder sangat mendukung keberadaan internal audit yang benar-benar independen yang memiliki akses komunikasi langsung dan pelaporan kepada komite audit, komisaris dan komisaris independen yang nota bene merupakan wakil dari ”publik”.

Bukan hanya sekedar memenuhi tuntutan, kedudukan internal audit dalam struktur organisasi perusahaan juga merupakan komitmen manajemen puncak terhadap fungsi internal audit yang independent. Kedudukan internal audit dalam struktur organisasi harus didukung dengan pernyataan mengenai kewenangannya. Oleh karena itu, komitmen manajemen puncak terhadap kedudukan internal audit dalam struktur organisasi perusahaan harus didukung dengan pernyataan tertulis mengenai wewenang dan independensi yang diberikan kepada internal auditor. Pernyataan ini disebut dengan Internal Audit Charter.  Dengan demikian, langkah awal dalam membangun independensi internal audit adalah komitmen serta dukungan dari komisaris dan direksi sebagai manajemen puncak terhadap wewenang dan independensi internal audit yang tercermin dalam struktur organisasi dan Internal Audit Charter.

Selain komitemen yang berasal dari manajemen puncak, komitemen yang besar dari internal auditor terhadap independensi yang harus dijaganya juga menjadi elemen penting dalam membangun independensi internal auditor itu sendiri. Akan menjadi percuma apabila hanya mengungkapkan komitmen manajemen puncak namun internal auditor sendiri tidak mampu bersikap independen dan obyektif dalam melaksanakan tugasnya. Komitmen dari internal auditor terhadap independensi ini harus dituangkan dalam kode etik internal audit perusahaan dan dilaksanakan secara konsekwen. Internal auditor harus tidak memiliki kepentingan terhadap obyek atau aktivitas yang diauditnya. Apabila internal auditor memiliki keterkaitan dengan obyek audit yang mengakibatkan secara fakta auditor tidak independen, maka internal audit harus melaporkan hal tersebut kepada manajemen puncak.

Komitmen terhadap independensi juga harus diimplementasikan oleh internal auditor dalam menetapkan metode, cara, teknik, dan pendekatan audit yang dilaksanakan.  Kebebasan dan sikap mental internal auditor ini akan tercermin dari laporan internal audit yang lengkap, obyektif serta berdasarkan analisa yang cermat dan tidak memihak. Untuk mendukung independensi dan sikap mental obyektif ini, 2 hal utama yang perlu dilaksanakan adalah rotasi secara berkala penugasan pekerjaan internal audit dan review secara cermat terhadap laporan hasil internal audit serta prosesnya. Oleh karena itu, komitmen ini membawa konsekwensi terhadap kompetensi internal auditor.

Seperti telah diungkapkan di atas, memang tidak mudah membangun independensi internal auditor. Namun apalah artinya internal auditor apabila tidak memiliki independensi. Oleh karena itu, dengan dukungan dan komitmen dari manajemen puncak serta komitmen dari internal audit sendiri yang didukung kompetensinya, maka independensi bukanlah hal yang mustahil.

Peranan Internal Audit dalam Manajemen Risiko Penggunaan Teknologi Informasi (MRTI)

Penggunaan teknologi informasi terutama di sektor perbankan saat ini telah menjadi suatu kewajiban untuk memenuhi kebutuhan bisnisnya. Bahkan penggunaan teknologi informasi ini menjadi suatu keunggulan daya saing bisnis. Pelayanan nasabah melalui telepon genggam, internet, penggunaan kartu transaksi, ATM dan lain-lain dewasa ini bukanlah hal yang ekslusif lagi. Namun demikian risiko selalu mengiringi. Penggunaan teknologi informasi juga membawa konsekwensi risiko. Banyak kejadian/kasus yang terjadi akibat penggunaan teknologi informasi yang merugikan terutama bagi kepentingan nasabah. Penipuan, pembobolan rekening sampai tindakan hacking menjadi bagian risiko penggunaan teknologi informasi di perbankan. Potensi risiko ini menjadi perhatian Bank Indonesia sebagai regulator perbankan dengan menerbitkan peraturan yang mewajibkan manajemen bank untuk menerapkan manajemen risiko atas penggunaan teknologi informasi. Dalam peraturan tersebut, disebut-sebut pula peranan fungsi internal audit bank.

Sejak dilahirkan oleh Institute of internal audit, definisi fungsi internal audit telah dirancang untuk memenuhi ruang lingkup pengendalian intern, manajemen risiko dan governance. Demikian pula fungsi internal audit di sektor perbankan di Indonesia yang lazim disebut dengan Satuan Kerja Audit Intern Bank (SKAI). Penerapan manajemen risiko di sektor Perbankan di Indonesia terutama dipicu dengan berlakuknya Peraturan Bank Indonesia (PBI) No.5/8/PBI/2003 tanggal 19 Mei 2003 yang kemudian disempurnakan dengan PBI No.11/25/PBI/2009 tanggal 1 Juli 2009 tentang Penerapan Manajemen Risiko bagi Bank Umum. Terkait dengan peranan SKAI dalam manajemen risiko, dalam peraturan tersebut (pasal 15) SKAI wajib melakukan penilaian terhadap sistem pengendalian intern dalam penerapan manajemen risiko, yang meliputi:

  1. Penilaian kesesuaian sistem pengendalian intern dengan jenis dan tingkat risiko yang melekat pada kegiatan usaha bank;
  2. Penilaian penetapan wewenang dan tanggung jawab untuk pemantauan kepatuhan kebijakan, prosedur dan limit;
  3. Penilaian penetapan jalur pelaporan dan pemisahan fungsi yag jelas dari satuan kerja operasional kepada satuan kerja yang melaksanakan fungsi pengendalian;
  4. Penilaian struktur organisasi yang menggambarkan secara jelas kegiatan usaha bank;
  5. Penilaian pelaporan keuangan dan kegiatan operasional yang akurat dan tepat waktu;
  6. Penilaian kecukupan prosedur untuk memastikan kepatuhan bank terhadap ketentuan dan perundang-undangan yang berlaku;
  7. Kaji ulang yang efektif, independen dan obyektif terhadap prosedur penilaian kegiatan operasional bank;
  8. Penilaian pengujian dan kaji ulang yang memadai terhadap sistem informasi manajemen;
  9. Penilaian dokumentasi secara lengkap dan memadai terhadap prosedur operasional, cakupan dan temuan audit, serta tanggapan pengurus bank berdasarkan hasil audit;
  10. Verifikasi dan kajiulang secara berkala dan berkesinambungan terhadap penanganan kelemahan-kelemahan bank yang bersifat material dan tindakan pengurus bank untuk memperbaiki penyimpangan-penyimpangan yang terjadi.

Risk Control System

Ruang lingkup peranan SKAI dalam penerapan manajemen risiko di bank umum seperti disebutkan di atas secara umum mensyaratkan bahwa SKAI wajib melakukan penilaian terhadap sistem pengendalian intern yang terkait dengan penerapan manajemen risiko atau umumnya disebut Risk Control System.

Dalam metodologi risk assessment, umumnya risiko yang diukur adalah residual risk atau risiko yang tersisa. Residual risk ini merupakan hasil dari risiko yang melekat (inherent risk) dari usaha yang dilaksanakan bank setelah diperhitungkan mitigasinya dengan risk control system yang ada/diterapkan. Sebagai contoh risiko operasional karena penyalahgunaan wewenang user dalam penggunaan teknologi informasi untuk mendukung operasional bak. Semakin tinggi limit kewenangan user (jumlah transaksi, menu transaksi, akses user dan lain-lain), maka risiko melekat akibat penyalahgunaan tersebut juga semakin tinggi. Risk control system yang diterapkan oleh bank harus dapat dinilai oleh SKAI sejauh mana dapat memitigasi risiko melekat tersebut, sehingga dengan demikian residual risk yang tersisa merupakan acceptable risk yang dapat diterima oleh manajemen bank sebagai cerminan risk appetite-nya.

Dalam Peraturan Bank Indonesia tersebut di atas (pasal 2) disinilah inti penerapan manajemen risiko bank yang sekurang-kurangnya meliputi:

  1. Pengawasan aktif dewan komisaris dan direksi;
  2. Kecukupan kebijakan, prosedur dan penetapan limit;
  3. Kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko serta sistem informasi manajemen risiko;
  4. Sistem pengendalia intern yang menyuluruh.

Empat komponen tersebut dibangun sebagai risk control system, yang harus diukur oleh satuan kerja manajemen risiko di bank serta di evaluasi dan dinilai kecukupan, efektivitas serta efisiensinya oleh SKAI.

Risk Based Audit

Lebih lanjut, SKAI didorong untuk mengoptimalkan peranannya didalam penerapan manajemen risiko di bank dengan cara melakukan penajaman dan memfokuskan kegiatannya untuk mendukung mekanisme pemantauan risiko oleh manajemen. Atas dasar itulah, SKAI menerapkan metodologi risk based audit. Namun demikian, apa sebenarnya risk based audit tersebut? Pelaksanaan audit berdasarkan pengukuran risiko, maksudnya?

Beberapa SKAI bank berada di dalam kondisi ‘bermimpi’ bahwa risk based audit merupakan teori audit yang didasarkan pada atau dimulai dengan suatu prosedur penilaian risiko. Namun didalam penerapannya pelaksanaan audit tidak berbeda dari yang ‘dulu-dulu’. Hal ini karena paradigma SKAI di dalam menerapkan risk based audit masih tidak jelas dan rancu dengan metodologi pengukuran risko atau malah ikut-ikutan melakukan pengukuran terhadap risiko. Penerapan suatu Risk based audit memang membutuhkan tahapan awal penilaian terhadap risiko. Penilaian ini umumnya di bank meliputi penilaian terhadap inherent risk dan risk control system yang telah difasilitasi oleh satuan kerja manajemen risiko di bank. SKAI harus melakukan validasi terhadap penilaian inherent risk dan melakukan pengujian-pengujian terhadap risk control system yang ada, untuk melaporkan residual risk yang masih tersisa sebagai bahan manajemen di dalam proses pengambilan keputusan.

Untuk mendukung optimalisasi, efektivitas dan efisiensi sumberdaya audit yang dimiliki, SKAI akan melakukan pengujian-pengujian terhadap risk control system melalui pendekatan-pendekatan (audit approach) yang beragam. Semakin tinggi risiko hasil penilaian inherent risk atau kurang memadainya risk control system yang ada, maka SKAI semakin mengalokasikan sumberdaya auditnya (tenaga audit, waktu audit, prosedur audit dan lainnya).

Sebagai contoh gambaran adalah sebagai berikut. Berdasarkan pengukuran, risiko hukum atas aktivitas perkreditan suatu bank dalam tingkatan menengah cenderung naik. Hal tersebut karena:

  1. Secara inherent, banyaknya permasalahan kelehaman pengikatan pinjaman dan pengikatan agunan/jaminan kredit secara hukum. Kondisi frekuensi (likelyhood) ini oleh SKAI harus ditindaklajuti dengan meningkatkan sampling audit pada saat penyusunan program audit.
  2. Terdapat kelehaman beberapa prosedur operasional sebagai Risk control system, antara lain lemahnya review dan supervisi dari atasan, keterbatasan jumlah staf untuk prosedur tambahan, dan prosedur operasional yang kurang jelas/detail. Kondisi ini menuntut SKAI untuk melakukan pengujian-pengujian melalui suatu pendekatan audit dengan prosedur audit yang lebih komprehensif. Mulai dari melakukan review terhadap kecukupan kebijakan/sistem dan prosedur, pengujian pemahaman pelaksana, tingginya tingkat human error, konfirmasi kepada pihak debitur, pemeriksaan secara on the spot terhadap agunan, dan seterusnya yang menunjukkan kompleksnya prosedur audit untuk menguji kelemahan risk control system yang mengakibatkan tingginya residual risk di atas risk appetite manajemen bank.

Audit Teknologi Informasi

Salah satu faktor pendukung utama dalam usaha perbankan adalah penggunaan teknologi informasi. Telah dipahami bersama bahwa penggunaan teknologi informasi banyak memberikan manfaat bagi bank, mulai dari efisiensi hingga advantage dan daya saing. Namun dilain sisi, penggunaan teknologi informasi juga membawa konsekwensi potensi risiko. Tingginya ketergantungan sektor usaha perbankan terhadap penggunaan teknologi informasi berdampak terhadap tingginya potensi risiko. Oleh karena itulah, Bank Indonesia menerbitkan PBI No 9/15/PBI/2007 tanggal 30 Nopember 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Sesuai PBI tersebut (pasal 15-17), SKAI dituntut untuk melaksanakan fungsi audit intern yang efektif dan menyeluruh terhadap penggunaan teknologi informasi oleh Bank. SKAI harus melaksanakan fungsi audit intern ini secara berkala dan melaporkannya kepada Bank Indonesia dalam laporan semesteran. Pelaksanaan audit teknologi informasi ini dapat dilakukan oleh pihak ekstern yang independen dalam hal terdapat keterbatasan kemampuan SKAI dalam audit teknologi informasi.

Di dalam lampiran Surat Edaran Bank Indonesia No.9/30/DPNP tanggal 12 Desember 2007, dijelaskan bahwa Agar audit intern teknologi Informasi (TI) efektif dan dapat menjamin integritas data dan menunjang kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal berikut:

  1. menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan;
  2. mengidentifikasi area risiko TI yang akan menjadi fokus audit;
  3. melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam sistem informasi Bank;
  4. memastikan penerapan prinsip kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) TI;
  5. mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI;
  6. mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank Indonesia dan ketentuan perundang-undangan yang berlaku serta international best practices (misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model);
  7. menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait TI khususnya di bidang pengamanan;
  8. melakukan pemantauan terhadap tindak lanjut atas hasil audit;
  9. berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.

 

Audit Teknologi Informasi berbasis risiko

Surat Edaran Bank Indonesia tersebut di atas mewajibkan SKAI Bank memiliki perencanaan audit tahunan dengan cakupan audit berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:

  1. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil;
  2. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
  3. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan terjadinya risiko atas kegiatan bisnis terkait dengan TI.

Dengan kata lain, sejalan dengan penerapan ketentuan mengenai manajemen risiko maka SKAI harus melaksanakan fungsinya melalui pendekatan audit berbasis risiko termasuk audit TI. Permasalahan utama yang saat ini banyak dihadapi oleh fungsi SKAI bank adalah bahwa implementasi risk based audit sampai saat ini belum berjalan optimal, apalagi harus membangun audit TI berbasis risiko. Dalam kondisi seperti ini, beberapa hal yang dapat dipertimbangkan oleh SKAI adalah: Mengembangkan metodologi risk based audit terhadap seluruh proses bisnis bank termasuk penggunaan teknologi informasi. Apabila SKAI memiliki keterbatasan sumber daya audit TI maka satu hal yang dapat dilakukan oleh SKAI adalah melakukan benchmarking antara lain dengan menggunakan pihak ekstern yang independen untuk melaksanakan audit TI. Dengan demikian, SKAI memiliki gambaran awal sebagai starting point untuk mengembangkan audit TI berbasis risiko.

Mengkaji ulang peranan Komisaris dan Direksi dalam fungsi Satuan Kerja Audit Intern (SKAI) Bank Umum.

Peranan fungsi audit intern di dunia perbankan di Indonesia dipertegas oleh Bank Indonesia selaku regulator melalui Standar Pelaksanaan Fungsi Audit Intern Bank (SPFAIB) yang wajib dilaksanakan sejak 1 Januari 1996 serta telah dilakukan pemutakhirannya melalui Peraturan Bank Indonesia No.1/6/PBI/1999 tanggal 20 September 1999. Peraturan tersebut antara lain mewajibkan pelaksanaan kaji ulang atau review oleh pihak eksternal yang independen dan kompeten terhadap pelaksanaan fungsi audit intern-yang dilaksanakan oleh SKAI bank. Salah satu aspek utama yang harus dilakukan kaji ulang terhadap pelaksanaan fungsi SKAI ini adalah peranan komisaris dan direksi terhadap berjalannya fungsi SKAI.

Peranan komisaris dan direksi sebagai aspek utama yang mendasar juga ditekankan dalam PBI No. 11/ 25 /PBI/2009 tanggal 1 Juli 2009 sebagai perubahan PBI 5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum. Sesuai peraturan tersebut, aspek pertama dalam penerapan manajemen risiko adalah pengawasan aktif dewan komisaris dan direksi. Begitu esensial dan pentingnya peranan komisaris dan direksi ini di dalam struktur pengendalian intern, manajemen risiko serta penyelenggaraan fungsi audit intern. Lalu bagaimana aspek peranan komisaris dan direksi terhadap fungsi SKAI ini dikaji ulang?

Menjaga independensi, obyektivitas dan wewenang Fungsi SKAI

Paradigma yang membentuk sikap dan perlakuan komisaris dan direksi terhadap fungsi SKAI menjadi tolok ukur utama bagaimana SKAI dapat berfungsi secara efektif.  Sulit dipungkiri keberadaan paradigma bahwa SKAI adalah kegiatan yang kurang memberikan manfaat dan hanya merupakan ‘cost center’ atau pendapat bahwa kegiatan ini hanya merupakan pelengkap sehingga dianggap sebagai asesori saja karena keharusan akan kepatuhan terhadap pihak bank sentral selaku regulator.

Hal ini berakibat pada fungsi SKAI di bank tidak berjalan dengan baik atau sudah berjalan tapi seadanya saja sehingga tidak efisien. Pelaksanaan audit banyak yang hanya sekedar ada, dan pelaksanaan kerjanya hanya sampai tingkat menemukan temuan saja. Kalau sudah bicara tidak lanjut atau langkah koreksi, auditor tidak mempu mendorong lebih lanjut, karena wewenang bukan ada padanya. Keadaan ini dimungkinkan karena kepentingan-kepentingan pemilik bank ataupun manajemen jauh lebih kuat berperan dalam bank tersebut dibandingkan dengan kepentingan nasabah ataupun otoritas moneter dan pemerintah. Sehingga bila ada kesadaran akan pentingnya audit bank maka orientasinya adalah kepada mengamankan kepentingannya lebih dahulu dibandingkan dengan kepentingan lainnya. Banyak auditor bank yang pada akhirnya sibuk mengurusi pekerjaan lain seperti membuat sistem dan prosedur kerja bank yang bersangkutan, karena dianggap dialah yang paling berkompeten untuk itu, sedangkan pekerjaan utamanya untuk melakukan audit menjadi tercecer. Keberadaan auditor bank yang masih dianggap merupakan pelengkap saja dari kegiatan bank, juga membuat sulit berkembang perannya tersebut.

Inilah kondisi dimana peranan komisaris dan direksi menjadi sangat mendasar terhadap pelaksanaan fungsi SKAI. Independensi, obyektivitas, dan wewenang SKAI menjadi ‘terkekang’ karena paradigma yang membentuk sikap dan perlakuan komisaris dan direksi. Oleh karena itu Dewan Komisaris harus menjamin agar SKAI dapat melaksanakan tugas secara independen. Hal tersebut perlu dilakukan mengingat Dewan Komisaris berperan sebagai wakil dari pemegang saham dan masyarakat.

 

Mekanisme pengendalian intern

SPFAIB mensyaratkan adanya pembagian tanggung jawab dan wewenang pengawasan antara Dewan Komisaris dan Direksi harus dinyatakan dengan jelas dalam Anggaran Dasar bank atau Keputusan Rapat Umum Pemegang Saham, yaitu diatur sebagai berikut:

  • Tanggung jawab akhir pengawasan dilakukan oleh Dewan Komisaris,
  • Dewan Komisaris mengevaluasi hasil temuan pemeriksaan oleh SKAI,
  • Dewan Komisaris berwenang untuk meminta Direksi menindaklanjuti hasil temuan pemeriksaan SKAI,
  • Dewan Direksi bertanggung jawab menciptakan struktur pengendalian intern,
  • Dewan Direksi bertanggung jawab untuk menjamin terselenggaranya Fungsi Audit Intern bank dalam setiap tingkatan manajemen,
  • Direksi berkewajiban untuk menindaklanjuti temuan Audit Intern,
  • Direksi berkewajiban pula melaporkan kegiatan tersebut di atas kepada Rapat Umum Pemegang Saham.

Tanggung jawab dan wewenang pengawasan antara dewan komisaris dan direksi ini tentunya bukan hanya sekedar dinyatakan dalam anggaran dasar, Committee Audit charter, atau dokumen-dokumen corporate governance lainnya. Namun lebih dari itu yang lebih substansial adalah bagaimana tanggung jawab dan wewenang pengawasan tersebut dilaksanakan secara efektif.

Secara spesifik, SPFAIB juga mensyaratkan kewajiban Dewan Komisaris untuk:

  • Mereview proses perencanaan audit intern;
  • Mereview pelaksanaan audit;
  • Melakukan pemantauan atas tindak lanjut hasil audit;
  • Mereview menilai kecukupan pengendalian intern termasuk kecukupan proses pelaporan keuangan.

Impelementasinya, komisaris membentuk komite audit untuk melaksanakan kewajiban tersebut. Pelaksanaan kaji ulang difokuskan sejauhmana kewajiban tersebut telah terlaksana secara efektif. Tidak jarang komite audit justru tidak memiliki agenda yang jelas bagaimana kewajiban tersebut dapat terlaksana secara efektif.

SKAI merencanakan audit intern bukan hanya sebatas rencana audit tahunan, namun juga sampai dengan rencana individual audit saat akan dilaksanakan. Komite audit sebagai representasi komisaris memiliki kewajiban untuk mereview apakah proses perencanaan ini cukup memadai untuk mencapai tujuan dan sasaran yang telah ditetapkan terhadap fungsi SKAI. Bukan mustahil SKAI menyusun rencana audit tahunan yang monoton dari periode ke periode secara sama tanpa landasan penetapan sasaran audit yang jelas. Bahkan pelaksanaannya pun tanpa perencanaan yang memadai. Apabila SKAI dapat melakukan audit terhadap kinerja pencapaian business plan auditee-nya, lalu siapa yang melakukan review terhadap audit plan SKAI sendiri?

Dalam pelaksanaan audit, SKAI dapat melakukan audit terhadap auditee sejauh mana kepatuhannya terhadap kebijakan, prosedur dan peraturan yang berlaku. Komisaris melalui komite audit juga memiliki kewajiban untuk mereview apakah SKAI juga telah melaksanakan fungsinya sesuai dengan kebijakan, prosedur dan peraturan yang berlaku. Suatu hal yang ironis apabila SKAI memiliki egoisme terhadap auditee untuk mematuhi kebijakan, prosedur (standar operating procedures/SOP) dan peraturan yang berlaku sementara SKAI tidak melakukan hal yang sama.

Internal Audit Charter

Audit Intern merupakan bagian dari struktur pengendalian intern dan merupakan segala bentuk kegiatan yang berhubungan dengan audit dan pelaporan hasil audit mengenai terselenggaranya struktur pengendalian secara terkoordinasi dalam setiap tingkatan manajemen bank. Transparansi dan kejelasan merupakan suatu hal yang sangat penting dalam pengelolaan bank sehingga kebijakan Audit Intern yang berkaitan dengan wewenang dan tingkat independensinya perlu dinyatakan dalam sebuah dokumen tertulis dari Direktur Utama bank dengan persetujuan Dewan Komisaris yang disebut Internal Audit Charter. Secara periodik Internal Audit Charter ini perlu dinilai kecukupannya oleh Direktur Utama dan Dewan Komisaris agar pelaksanan Audit Intern senantiasa berada pada tingkat yang optimal.

Sebagai suatu service level agreement, internal audit charter seharusnya secara jelas mengungkapkan ‘transaksi’ antara ekspektasi manajemen dalam hal ini dewan komisaris dan direksi dengan ‘value’ yang dapat  di-‘deliver’ oleh SKAI. Apabila terdapat ‘gap’ antara keduanya maka terjadi ‘ketidakseimbangan’ antara apa yang menjadi ekspektasi manajemen dengan ‘value’ yang diberikan oleh fungsi SKAI. Sebagai contoh ekspektasi manajemen terhadap SKAI adalah audit terhadap seluruh aspek dan aktivitas bank melalui pemeriksaan secara detail terhadap seluruh transaksi yang ada. Namun disisi lain SKAI tidak dicukupi dengan sumber daya, fasilitas dan kompetensi yang memadai untuk memenuhi ekspektasi ini secara optimal. Dalam kondisi ini, SKAI menjadi ‘terforsir’ untuk memenuhi harapan sehingga fungsinya menjadi tidak berjalan efektif. Setiap kali ditemukan adanya kelemahan atau permasalahan terkait pengendalian intern justru kinerja SKAI yang menjadi sorotan.

Sebagai catatan akhir, efektivitas fungsi SKAI bank sangat dipengaruhi oleh efektivitas peranan komisaris dan direksi bank tersebut. Suatu pelaksanaan kaji ulang terhadap fungsi SKAI pada hakikatnya secara mendasar implikasinya adalah terhadap efektivitas peranan dewan komisaris dan direksi terhadap berjalannya fungsi SKAI bank.

Risk Rating dalam Risk Based Internal Audit Perbankan

Perkembangan paradigma internal audit, peraturan dan ketentuan dari regulator serta pesatnya perkembangan teknologi informasi adalah beberapa contoh faktor yang menempatkan fungsi internal auditor perbankan (Satuan Kerja Audit Intern Bank/SKAI) untuk mendukung efektivitas penerapan manajemen risiko. Ekpektasi manajemen terhadap peranan fungsi assurance dan consulting yang independen dan obyektif untuk mendukung pencapaian tujuan organisasi, dihadapkan pada keterbatasan sumber daya yang dimiliki.

Kondisi ini menuntut SKAI agar berfungsi secara efektif dan efisien serta fokus terhadap kecukupan dan efektivitas struktur pengendalian intern sebagai sistem pengendalian risiko (risk control system). Hingga akhirnya berkembanglah metodologi internal audit berbasis risiko. Melalui pendekatan audit berbasis risiko, seluruh internal audit process ini akan lebih ditekankan untuk mengukur (assessment) dan memprioritaskan risiko, sebagai dasar menguji (testing) dan mengevaluasi (evaluation) keandalan dan efektivitas risk control system untuk membantu manajemen dalam pengambilan keputusan terkait prioritas risiko.

Selain optimalisasi alokasi sumberdaya dan kegiatan SKAI lebih fokus terhadap prioritas risiko, dalam penerapannya, internal audit berbasis risiko membawa manfaat antara lain:

  1. Efektivitas Fungsi Audit. Pendekatan audit berbasis risiko akan mengungkapkan sumber permasalahan yang menjadi risiko/temuan audit berdasarkan pada aspek risk control system yang menuntut tindak lanjut dari seluruh lapisan manajemen sehingga menekan timbulnya permasalahan yang terjadi berulang-ulang.
  2. Fokus pada prioritas risiko. Dengan pendekatan audit berbasis risiko, maka auditor dapat lebih fokus untuk melaksanakan prosedur audit terhadap aktivitas berisiko, sedangkan auditee dan manajemen akan lebih fokus terhadap temuan hasil audit dengan prioritas risiko yang signifikan.
  3. Prosedur pengujian yang efisien. Suatu proses bisnis (business process) yang telah diidentifikasi riskonya dan pengendalian intern yang ada (built in risk control system). Atas dasar tingkat risiko, auditor akan melakukan pengujian terhadap keandalan dan efektivitas pengendalian intern yang terkait untuk memitigasi risiko tersebut.

Namun demikian di sisi lain, untuk memperoleh manfaat-manfaat tersebut SKAI harus memiliki pemahaman komprehensif terhadap business process perusahaan/bank. Selain itu, untuk membantu dalam proses pengukuran risiko (risk assessment) maka SKAI harus memiliki metodologi yang memadai untuk pengukuran risiko sebagai dasar pelaksanaan fungsi internal audit berbasis risiko.  If you can’t measure it, you can’t manage it.

Dalam metodologi risk based internal audit, pengukuran risiko merupakan bagian terpenting di dalam perencanaan audit serta pelaksanaan audit. Pengukuran ini umumnya dilakukan dengan mengkuantifikasi melalui rating. Dalam perencanaan audit, SKAI mengukur risiko terhadap seluruh obyek audit (cabang/capem/divisi), untuk menentukan obyek audit mana yang relatif berisiko sehingga dapat memprioritaskan rencana audit. Metodologi ini umumnya disebut Macro Risk Assessment.

Dalam pelaksanaan audit, SKAI melakukan pengukuran risiko akhir (residual risk) dengan menilai  sejauh mana kecukupan dan efektivitas pengendalian risiko masing-masing obyek audit. Metodologi ini dapat disebut Micro Risk Assessment.

 

 

MACRO RISK ASSESSMENT

Rencana internal audit menjadi sangat penting di dalam pendekatan audit berbasis risiko. Tahapan seleksi auditee menjadi sangat penting karena akan menentukan prioritas audit, alokasi sumber daya (berapa auditor, berapa lama), dan program audit (semakin berisiko maka program audit semakin kompleks dan komprehensif).

Melalui pengukuran risiko secara macro, maka auditee (atau activity) dapat diseleksi dan diprioritaskan di dalam rencana audit. Internal audit dapat fokus dan memprioritaskan perhatian dan rencana audit serta alokasi sumber daya terhadap auditee dengan tingkat risiko tinggi.

Dalam pengukuran ini, SKAI membutuhkan parameter-parameter risiko dari obyek audit atau auditee. Sebagai contoh parameter volume-jumlah kredit yang diberikan. Semakin besar porsi jumlah kredit yang diberikan oleh suatu cabang, maka semakin besar risiko yang dikandungnya (vice versa).

Parameter lain yang digunakan sebagai contoh adalah, kualitas aktiva produktif, pertumbuhan, kompleksitas, permasalahan terkait pengendalian intern, serta kondisi temuan audit periode sebelumnya. Setiap parameter risiko tersebut diberikan kontribusi bobot penilaian-nya terhadap keseluruhan. Misalnya volume, kualitas aktiva produktif dan pertumbuhan masing-masing dibobot 15%. Demikian seterusnya.

Langkah selanjutnya adalah menentukan criteria rating masing-masing parameter. Sebagai contoh, rating akan dibuat 1 (risiko rendah) sampai dengan 4 (paling berisiko). Misal, untuk rating kualitas aktiva produktif auditee/cabang, apabila NPL >=5% ratingnya 4, apabila 3%=<NPL<5% ratingnya 3, apabila 1%=<NPL<3% ratingnya 2 dan NPL<1% ratingnya 1. Demikian selanjutnya untuk kriteria rating masing-masing parameter risiko lainnya.

 

Setelah seluruh auditee (cabang/divisi/aktivitas) diukur rating seluruh parameter risikonya, maka hasil akhirnya adalah macro risk profile yang berisi tentang gambaran seluruh auditee beserta masing-masing risikonya. Berdasarkan profile tersebut, SKAI dapat menyusun prioritas risiko untuk perencanaan auditnya.

MICRO RISK ASSESSMENT

Micro risk assessment ini dilaksanakan oleh auditor selama pelaksanaan audit untuk menentukan rating pengendalian intern/ risk control system auditee. Hasil assessment inilah yang menjadi rapor cabang/auditee yang kita audit. Apakah cabang memiliki pengendalian intern dan manajemen risiko yang cukup (satisfactory), perlu ditingkatkan (need improvement) ataukah kurang (unsatisfactory).

Konsep awalnya adalah bahwa setiap kantor cabang memiliki core process. Masing-masing core proses ini memiliki beberapa sub proses yang lebih detail. Masing-masing sub-proses ini memiliki risiko yang melekat. Terhadap risiko-risiko ini sebenarnya terdapat design pengendalian intern/ risk manajemen untuk memitigasi risiko. Auditor akan melakukan serangkaian program audit untuk menguji kecukupan pengendalian intern ini. Permasalahan/kelemahan/temuan audit baik yang bersifat major maupun minor akan mempengaruhi rating.

Bagi auditor, Bank adalah audit universe yang terdiri dari sekumpulan obyek audit.  Obyek audit ini antara lain adalah salah satu kantor cabang.

Suatu kantor cabang akan memiliki core business process, antara lain perkreditan, penghimpunan dana, jasa-jasa, administrasi/akuntansi dan Umum. Setiap core proses terdiri dari aktivitas-aktivitas sub-proses yang lebih detail yang memiliki potensi risiko melekat lebih specific. Terhadap risiko tersebut, telah di design pengendalian intern (key control) untuk memitigasi risiko inherent yang ada tersebut (risk control system).

Auditor harus melakukan pengujian terhadap keterandalan/ kecukupan key control tersebut melalui serangkaian prosedur-prosedur audit.

Temuan-temuan audit yang diperoleh oleh auditor dari pengujian-pengujian tersebut akan diperhitungkan didalam menentukan rating pengendalian intern. Asumsinya, semakin tinggi dampak dan frekuensi dari temuan audit maka akan semakin berisiko (major), dan pengendalian intern semakin lemah.

Auditor melaksanakan prosedur audit dengan tujuan untuk melakukan pengujian terhadap keterandalan/kecukupan pengendalian intern di dalam memitigasi risiko inheren (Risk Control System) yang ada di dalam setiap business process Bank.Setiap temuan audit harus dievaluasi sejauh mana risikonya-yaitu sesering apa frekuensinya (likelyhood) dan sebesar apa dampaknya (impact). Semakin sering dan atau semakin besar dampak dari temuan audit maka suatu temuan audit dapat dikategorikan temuan major.

Inilah metodologi pengukuran risiko yang umumnya dilaksanakan oleh SKAI Bank untuk merencanakan audit serta melaksanakan audit agar lebih fokus untuk mendukung penerapan manajemen risiko.

 

Bagaimana Pengendalian Intern yang efektif?

Sebelum tahun 1980an, banyak sekali pengertian dan definisi tentang pengendalian intern yang sangat beragam. Selanjutnya organisasi-organisasi profesi di Amerika seperti AICPA, Financial Executives Association (FEI), Institute of Management Accountants (IMA), Institute of Internal Auditors (IIA) and American Accounting Association (AAA) membentuk the Committee of Sponsoring Organizations of the Treadway Commission atau disingkat COSO. Pada tahun 1992 COSO menetapkan definisi pengendalian intern dan detail metodologi organisasi. COSO mendifiniskan pengendalian intern sebagai Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding then achievement of objectives in the following categories: effectiveness and efficiency of operations; reliability of financial reporting; and compliance with applicable laws and regulations. COSO memberikan tiga kategori utama yang merupakan sasaran pengendalian intern, yatu: • Efektivitas dan efisiensi operasional (Effectiveness and efficiency of operations) • Kehandalan laporan keuangan (Reliability of financial reporting) • Kepatuhan terhadap hukum dan ketentuan (Compliance with laws and regulations). Untuk mencapat sasaran-sasaran tersebut, pengendalian intern menurut COSO harus disusun oleh pilar-pilar yang merupakan komponen pengendalian intern, yaitu: 1. Lingkungan Pengendalian (Control Environment) dimana di dalamnya termasuk integritas kolektif perusahaan/organisasi, tata-nilai dan etika, serta filosofi manajemen. 2. Pengukuran risiko (Risk Assessment) termasuk identifikasi risiko-risiko terkait, probabilitas risiko dan penentuan besarnya risko. 3. Kegiatan pengendalian (Control Activities) termasuk kebijakan dan prosedur untuk pengamanan, seperti otorisasi, pembagian tugas yang jelas, pengamanan fisik dan kegiatan pengamanan lainnya. 4. Informasi dan Komunikasi (Information and Communication) termasuk identifikasi, menangkap serta mengkomunikasikan informasi yag diperlukan oleh seluruh/setiap karyawan untuk melaksanakan tanggung jawabnya. 5. Monitoring, yang merupakan kegiatan evaluasi untuk menilai kecukupan dan pengaruh pengendalian intern yang berjalan terhadap risiko perusahaan. Apakah seluruh komponen pengendalian intern tersebut di atas secara keseluruhan harus tersedia secara lengkap oleh perusahaan jenis apapun? Sementara kenyataannya suatu organisasi/perusahaan dihadapkan pada pertimbangan cost-benefit. Sebagai contoh pengendalian intern gudang bahan baku perusahaan ubin lantai yang berupa batu, kerikil atau pasir. Apakah harus dilengkapi dengan pemisahan tugas antara fungsi pencatatan, custodian dan otorisasi? Apakah gudang perlu dilengkapi dengan kamera, pemeriksaan fisik akses, dan pengamanan lainnya? Tentunya harus dipertimbangkan cost-benefit. Lalu bagaimana pengendalian intern yang efektif? Disinilah perkembangan tahapan kedua tentang paradigma pengendalian intern, yaitu seiring perkembangan Enterprise Risk Management. Risiko menjadi fokus utama yang mendasari pengendalian intern. Batasan risiko yang dikehendaki (risk appetite) mencerminkan filosofi pengendalian intern. Konsepnya adalah ibarat anda adalah suatu organisasi/perusahaan, anda harus menentukan tujuan dan sasaran anda. Untuk mencapai tujuan/sasaran tersebut anda harus melakukan aktivitas-aktivitas yang terkait untuk pencapaian tujuan/sasaran tersebut. Setiap aktivitas tersebut akan memiliki risiko potensial yang dapat mempengaruhi upaya pencapaian tujuan/sasaran anda, baik risiko besar maupun kecil. Risiko yang menurut anda kecil mungkin akan anda hadapi, namun untuk risiko yang menurut anda besar, anda memerlukan upaya-upaya untuk memperkecil dampak risiko apabila terjadi (mitigasi). Upaya-upaya inilah yang diselaraskan dengan pengendalian intern. Berbeda organisasi/perusahaan tentunya akan memiliki perbedaan karakteristik risiko (appetite, limit, dan lain-lain) dus perbedaan pengendalian intern yang dibutuhkan. Sehingga risiko serta pengendalian intern dipengaruhi oleh proses bisnis perusahaan, ukuran perusahaan, kompleksitas kegiatan, kebijakan/ketentuan serta prosedur yang berlaku. Sebagai contoh misalnya anda memiliki ketrampilan dalam membuat kue sehingga anda membangun usaha penjualan kue. Pada awal usaha yang masih relatif sederhana dengan skala usaha kecil, anda membeli bahan-bahan kue sendiri, membuat kuenya sendiri, dan bahkan melakukan penjualan/pemasaran sendiri. Seluruh ‘business process’ dibawah pengendalian anda sendiri, termasuk keputusan terhadap risiko. Namun pada saat usaha anda berkembang menjadi sebuah perusahaan kue, maka anda akan membutuhkan sumberdaya termasuk karyawan serta sistem dan prosedur diseluruh ‘area’ aktivitas mulai dari membeli bahan kue, membuat adonan, sampai dengan pemasaran/penjualan kue. Lalu pertanyaannya adalah “sejauh mana anda meyakini bahwa karyawan yang membeli bahan kue melakukannya sama seperti apabila anda sendiri yang membelinya, karyawan yang membuat adonan kue tidak lebih buruk dari pada buatan anda sendiri, dan seterusnya” belum lagi pertanyaan-pertanyaan terkait dengan keuangannya. Lalu apa yang seharusnya anda lakukan? Pertama, anda tentunya ‘sangat’ memahami ‘business process’ usaha pembuatan dan penjualan kue. Apabila anda adalah orang lain, hal yang pertama dan utama adalah memahami ‘business process’ perusahaan. Kedua, anda harus mengidentifikasi area-area kegiatan serta risiko-risikonya (Identifies key areas of risk), misalnya area pembuatan adonan serta pemrosesan/pembuatan kue dengan risiko kue tidak enak/tidak sesuai standar, jumlah hasil kue tidak sesuai dengan yang diharapkan, penilaian harga pokok kue yang salah dan risiko lain-lainnya. Disini anda tentunya juga mengidentifikasi sebesar apa tingkat risiko masing-masing risiko. Terakhir, anda harus mengidentifikasi pengendalian-pengendalian yang diperlukan untuk risiko-risiko yang dinilai besar atau perlu dikendalikan secara memadai. Identifikasi ini tentunya didukung dengan evaluasi terhadap kecukupan pengendalian intern yang telah ada diperusahaan. Misalnya, untuk menghasilkan adonan kue dan hasil kue yang sesuai standar, maka diperlukan perencanaan yang baik, standar pedoman pembuatan adonan yang jelas, pengawasan mutu dalam proses yang baik dan lain-lain. Lalu bagaimana hal-hal tersebut berlaku di dalam perusahaan? Dalam proses ini, diperlukan suatu fungsi audit intern sebagai pihak yang independen dan obyektif terhadap seluruh area aktivitas perusahaan. Disinilah peranan audit intern didalam mendukung pengendalian intern perusahaan. Manajemen risiko Dari gambaran di atas, sudah jelas bahwa pengendalian intern membantu (bukan memastikan) perusahaan didalam mencapai sasaran/tujuannya. Namun kecukupan dan efektivitas pengendalian intern diukur dari bagaimana kemampuannya untuk memitigasi risiko sehingga perusahaan dapat mencapai sasaran/tujuannya. Untuk mendukung efektvitas tersebut, maka risiko harus diukur, diprioritaskan, serta di-manage sesuai dengan ‘selera’ (risk-appetite) perusahaan. Dengan demikian kesimpulannya adalah manajemen risiko (mulai dari pengukuran risiko sampai dengan pengendalian intern/risk control system yang diperlukan) dibutuhkan untuk membangun dan menciptakan tingkat pengendalian intern yang efektif. Seperti kata sebuah peribahasa “sedia payung sebelum hujan”, risiko yang akan anda hadapi adalah kehujanan. Dalam hal ini, pilihan ‘pengendalian intern’ anda adalah bahwa anda dapat membawa payung kemana-mana (meskipun sedang tidak musim hujan atau anda sedang berjalan-jalan di dalam mall). Atau anda dapat mengambil pilihan dengan melakukan pengukuran sebesar apa kemungkinan anda (berisiko) kehujanan, sehingga anda dapat menentukan apakah anda membutuhkan payung atau tidak.

Review Ekstern terhadap Kinerja Satuan Kerja Audit Intern (SKAI) Bank Umum KEBUTUHAN atau KEWAJIBAN?

Evaluasi dan review SKAI, mengapa dibutuhkan?

Perbankan merupakan industri yang sangat terikat pada peraturan karena merupakan lembaga yang dipercaya untuk menyimpan dan menyalurkan dana masyarakat., pemerintah dan lembaga lainnya. “Kepercayaan” ini serta seluruh kasus dan permasalahan bank menjadi tanggung jawab manajemen (komisaris, direksi dan seluruh lapisan manajemen) bank tersebut. Beragam kepentingan akan masuk dalam manajemen bank ini. Pemilik saham/modal, komisaris, direksi, karyawan bahkan nasabah dan debitur memiliki kepentingan yang beragam. Audit intern bank (SKAI) harus dapat menempatkan fungsinya dia atas berbagai kepentingan tersebut untuk bahwa sasaran dan tujuan bank yang telah direncanakan dapat tercapai dan memastikan terwujudnya bank yang sehat, berkembang secara wajar dan dapat menunjang perekonomian nasional.

Salah satu fungsi manajemen adalah pengendalian (Controlling). Di sinilah fungsi keberadaan SKAI yang bertanggung jawab membantu manajemen bank untuk memastikan bahwa internal control cukup memadai dan telah berjalan sebagaimana mestinya. Beberapa literatur menyatakan berbagai tanggung jawab audit intern yang antara lain harus membantu pimpinan/direksi dan dewan pengawas dengan cara melakukan pemeriksaan, evaluasi, pelaporan dan memberikan rekomendasi perbaikan mengenai tingkat kecukupan internal control dan efektivitas proses pengelolaan risiko. Demikian pula SKAI bank. SKAI diharapkan berperan dalam membantu semua tingkatan manajemen bank dalam mengamankan kegiatan operasional bank yang melibatkan dana masyarakat luas. Sehingga apabila terdapat kasus-kasus di perbankan, pertanyaan yang seharusnya terbesit adalah ‘Apakah SKAI bank yang bersangkutan telah berfungsi sebagaimana mestinya?’

Pengalaman penulis dalam mengevaluasi SKAI beberapa bank, menyimpulkan bahwa masih terdapat paradigma dan sikap dari pemilik bank, manajemen bank, atau pengurus bank yang mempengaruhi fungi dan kinerja SKAI bank. Pertama, SKAI hanya merupakan cost center yang tidak banyak memberikan ‘sumbangsih’ dalam pencapaian tujuan/sasaran bank. SKAI dianggap sebagai asessoris saja karena merupakan keharusan dari Bank Indonesia. Keberadaan SKAI menjadi kurang efektif dan berfungsi “setengah hati”. Kerja SKAI hanya sebatas menemukan temuan tanpa wewenang tindak lanjut. Orientasi pelaksanaan audit lebih mengamankan kepentingan pemilik atau manajemen bank terlebih dahulu dibandingkan kepentingan nasabah atau otoritas moneter dan pemerintah.

Kedua, paradigma SKAI sebagai cost center yang tidak memberikan profit atau benefit ini juga berakibat SKAI tidak memperoleh sumber daya yang memadai untuk mampu melaksanakan fungsinya secara optimal. Minimnya sarana, prasarana, dana serta kuantitas dan kualitas SDM menambah beban bagi pelaksanaan fungsi dan pencapaian tujuan keberadaan SKAI di bank.

Ketiga, SDM/tenaga auditor SKAI menjadi permasalahan tersendiri. Banyak auditor bank yang ada saat ini, yang memasuki dunia audit bank karena ‘terpaksa’ atau bahkan karena tidak memperoleh kesempatan dan posisi yang baik di bagian yang lain sehingga akhirnya “terbuang” ke SKAI. Karena menjadi auditor bank oleh sebagian orang dianggap tidak memiliki karir sebaik di bidang-bidang perbankan lainnya misal pemasaran/marketing.

Permasalahan-permasalahan tersebut juga tidak terlepas dari performance SKAI sendiri. SKAI bersifat statis, menyusun rencana audit, melaksanakan audit, mencari temuan, menyusun laporan dan memonitor tindak lanjut temuan audit, demikian dari tahun ketahun. Bekerja rely on checklist, fokus pada kepatuhan (compliance) dan sebagai “watchdog” yang ditakuti.

Namun seiring perkembangan teknologi dan akses informasi, persaingan global yang semakin ketat dan tuntutan corporate governance bagi kepentingan seluruh stakeholder (pemegang kepentingan) perlahan namun pasti gaya dan teknik manajemen juga mengalami perubahan. Paradigma audit intern juga mulai mengalami pergeseran, dari “pemeriksa” dengan fokus pada kepatuhan menjadi “konsultan intern” yang berfokus pada seluruh risiko bisnis serta memberikan kontribusi perbaikan. SKAI bank dituntut untuk mampu:

  • memberikan rekomendasi terhadap efektivitas dan efisiensi pencapaian tujuan bank,
  • memberikan tanggapan atas usulan kebijakan atau sistem dan prosedur untuk memastikan aspek pengendalian intern,
  • mengidentifikasi, mengevaluasi dan mengimplementasikan proses pengelolaan risiko.

Tugas SKAI juga ditekankan untuk melakukan penilaian yang independent terhadap setiap kegiatan yang bertujuan untuk mendorong dipatuhinya setiap ketentuan yang ditetapkan oleh manajemen, mendinamisir untuk lebih berfungsinya pengawasan dengan memberikan saran-saran yang konstruktif dan protektif agar tujuan dan sasaran bank tercapai dengan ekonomis, efisien dan efektif.

Saat ini fungsi dan tanggung jawab SKAI semakin dibutuhkan dan diandalkan untuk menjaga dan mengembangkan efektivitas sistem pengendalian intern, manajemen risiko dan corporate governance di suatu bank. Peraturan Bank Indonesia No.1/6/PBI/1999 tanggal 20 September 1999 tentang Penugasan Direktur Kepatuhan (Compliance Director) dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum (SPFAIB) mencerminkan bahwa kepercayaan terhadap peranan SKAI semakin meningkat. SKAI dan sistem pengendalian intern bank semakin dipercaya peranannya dalam meningkatkan efisiensi dan menjaga efektivitas bank, terutama untuk memitigasi dan meminimalisasi risiko serta menghindari krisis, fraud dan kegagalan bank. Selain itu, SKAI dan sistem pengendalian intern semakin menjadi tumpuan dalam mewujudkan bank yang sehat dan berhasil.

Agar dapat mengemban tanggung jawab, fungsi dan peranan itu secara efektif, SKAI dan auditor SKAI harus memiliki kode etik dan perlu memiliki sikap, perilaku, kompetensi, keahlian, kecermatan professional (proficiency and due professional care), sumber daya serta tata cara kerja yang memadai dan qualified. Oleh karena itu dibutuhkan suatu evaluasi dan review terhadap seluruh hal tersebut sehingga dapat dinilai apakah sikap, perilaku, kompetensi, keahlian, kecermatan professional, sumber daya serta tata cara kerja yang dimiliki oleh SKAI cukup memadai dan disimpulkan apakah SKAI bank yang bersangkutan telah berfungsi sebagaimana mestinya?’

Evaluasi dan review ini dapat dilakukan secara intern maupun oleh pihak ekstern/lembaga ekstern yang memiliki kompetensi dan independensi dan tidak mempunyai pertentangan kepentingan.

Evaluasi dan Review Intern

Review intern harus dilakukan secara berkesinambungan terhadap kualitas pekerjaan audit yang dihasilkan oleh SKAI. Kualitas pekerjaan auditor akan tampak pada Laporan Hasil Audit yang disampaikan. Secara terus-menerus hal ini dievaluasi dengan cara mereview laporan tersebut. Analisis temuan audit untuk menemukan suatu penyebab yang paling mendasar adalah hal yang paling penting. Bukan hanya akibat yang menjadi temuan saja yang diperhatikan, namun menemukan penyebab yang paling mendasar akan lebih berguna untuk mengurangi temuan audit yang berulang. Review ini diharapkan tidak hanya “memadamkan api” dan “membuang asap”, namun juga menemukan “penyebab utama kebakaran” agar lebih waspada terhadap “kemungkinan kebakaran selanjutnya”.

Review intern juga menelaah lebih dalam terhadap cara kerja dan administrasi audit, penyusunan kertas kerja, kecukupan bukti audit dan kecukupan pelaksanaan prosedur audit, bukan hanya review terhadap laporan hasil audit. Review ini harus dilaksanakan secara berkesinambungan dan berkelanjutan.

Namun demikian dalam pelaksanaannya banyak menghadapi kendala. Baik karena ketidapahaman, kemampuan review dan evaluasi yang lemah, atau karena perencanaan audit yang kurang baik. Atau bahkan evaluasi dan review intern ini tidak dilakukan karena tidak tahu siapa yang akan/harus melakukannya.

Evaluasi dan Review Ekstern

Sesuai SPFAIB Bab III butir 9 dan Standar 560 Guidelines and interpretations The Institute of Internal Audit: Quality Assurance, untuk menilai mutu audit yang dilaksanakan oleh SKAI maka fungsi audit intern bank harus direview oleh lembaga ekstern sekurang-kurangnya sekali dalam 3 tahun. Review ekstern terhadap kinerja SKAI, sesuai SPFAIB ini harus disampaikan kepada Bank Indonesia.

Review secara ekstern ini akan memberikan tingkat independensi dan obyektivitas yang lebih baik, karena review ekstern ini harus dilaksanakan oleh lembaga ekstern yang memiliki kompetensi dan independensi serta tidak memiliki pertentangan kepentingan. Selain itu pihak ekstern akan memberikan aspek penilaian yang lebih luas terhadap pelaksanaan fungsi SKAI. Review ini mencakup evaluasi kepatuhan SKAI terhadap SPFAIB, meliputi penilaian kebijakan dan prosedurnya, menilai kualitas operasional SKAI dan memberikan rekomendasi untuk peningkatan fungsi SKAI.

Ruang lingkup review ini kurang lebih meliputi:

  1. Evaluasi terhadap Organisasi dan Manajemen SKAI, yang meliputi struktur organisasi, obyektivitas dan independensi, job description, pembagian tugas dan tanggung jawab serta delegasi wewenang.
  2. Evaluasi terhadap Internal Audit Charter.
  3. Evaluasi terhadap Panduan Audit Intern yang dimiliki oleh SKAI, metodology audit, program audit dan prosedur audit.
  4. Evaluasi Kompetensi dan Profesionalisme auditor SKAI.
  5. Evaluasi terhadap ruang lingkup kegiatan SKAI.
  6. Evaluasi terhadap penyusunan rencana audit dan pelaksanaan audit oleh SKAI.
  7. Evaluasi terhadap Sistem Pemantauan Hasil-hasil Audit.
  8. Evaluasi Pengendalian Mutu Audit oleh Pengendalian Mutu Audit Intern.
  9. Evaluasi terhadap Dokumentasi dan Administrasi Kertas kerja audit dan Laporan Hasil Audit.
  10. Evaluasi terhadap sarana dan prasarana pendukung pelaksanaan tugas SKAI.

Dengan tingkat independensi, obyektivitas, kepentingan, ruang lingkup evaluasi, benchmarking rekomendasi, kompetensi dan kecermatan profesi, maka hasil review ini dapat diharapkan menjadi tolok ukur sejauh mana peranan SKAI yang telah dijelaskan diatas dapat terlaksana.

Kesimpulan

Perkembangan teknologi dan akses informasi yang semakin cepat, persaingan global yang semakin ketat, peraturan dan ketentuan yang selalu berubah dan tuntutan corporate governance bagi kepentingan seluruh stakeholder (pemegang kepentingan) menuntut perubahan dan penyesuaian terhadap gaya dan teknik manajemen bank. Paradigma SKAI juga mulai bergerak dan semakin dituntut untuk menunjukkan keberadaan, tugas dan peranan, fungsi, serta tanggung jawabnya dalam membantu manajemen.

Untuk mengemban hal tersebut, SKAI dan auditor SKAI harus memiliki kode etik dan perlu memiliki sikap, perilaku, kompetensi, keahlian, kecermatan professional (proficiency and due professional care), sumber daya serta tata cara kerja yang memadai dan qualified. Hal tersebut dapat dinilai melalui mekanisme review/evaluasi oleh pihak intern ekstern maupun ekstern.

Dengan mempertimbangkan independensi, obyektivitas, kepentingan, ruang lingkup evaluasi, benchmarking rekomendasi, kompetensi dan kecermatan profesi, maka review yang dilaksanakan oleh pihak ekstern dapat lebih memberikan nilai tambah.

Di lain pihak, review ekstern terhadap SKAI bank diatur SPFAIB Bank Indonesia yang mewajibkan fungsi audit intern bank harus direview oleh lembaga ekstern sekurang-kurangnya sekali dalam 3 tahun dan hasil review harus disampaikan kepada Bank Indonesia. Oleh karena itu tidak jarang review SKAI oleh pihak ekstern dilaksanakan dalam rangka memenuhi kewajiban tersebut.

Pertanyaan terakhir akan ditujukan kepada manajemen bank. Apakah saat ini dan untuk yang akan datang tidak merasakan manfaat dan tidak membutuhkan keberadaan, fungsi, tugas dan peranan SKAI? Apabila ya, maka review oleh pihak ekstern hanya merupakan biaya untuk memenuhi ketentuan SPFAIB Bank Indonesia, vice versa.

Membangun Independensi Internal Audit

1. Independensi Internal Auditor

Institute of Internal Audit (IIA) sebagai ikatan internal auditor di Amerika yang dibentuk pada tahun 1941 merumuskan definisi internal audit sebagai berikut:

Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

Internal audit adalah aktivitas independen, keyakinan obyektif dan konsultasi yang dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Audit tersebut membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas proses pengelolaan risiko, kecukupan pengendalian dan proses tata kelola.

Beberapa kata kunci yang membangun definisi tersebut adalah:

  • Independent
  • Objective assurance (Obyektivitas)
  • Consulting activity (Konsultasi)
  • Add Value (Nilai tambah)
  • Helping (Membantu)
  • Improve (Meningkatkan)

Independensi menjadi kata kunci utama dalam definisi internal audit. Beberapa definisi-definisi tentang internal audit telah berkembang sebelum definisi terakhir tersebut, namun tidak pernah terlepas dari kata kunci utama yaitu independen. Independen dan obyektivitas adalah dua hal yang tidak terpisahkan dalam internal audit. Independensi yang menjadikan internal auditor dapat bersikap obyektif. Demikian pula sebaliknya, sikap obyektif mencerminkan independensi Internal Auditor. Dalam standar internal audit yang berlaku internasional yaitu International Standards for the Professional Practice of Internal Auditing, independensi dijelaskan dalam standard 1100-Independence and Objectivity: The internal audit activity must be independent, and internal auditors must be objective in performing their work. Standar ini diinterprestasikan sebagai berikut:

Independence is the freedom from conditions that threaten the ability of the internal audit activity or the chief audit executive to carry out internal audit responsibilities in an unbiased manner. To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executive has direct and unrestricted access to senior management and the board. This can be achieved through a dual-reporting relationship. Threats to independence must be managed at the individual auditor, engagement, functional, and organizational levels.

Internal auditor harus memiliki independensi dalam melakukan audit dan mengungkapkan pandangan serta pemikiran sesuai dengan profesinya dan standar audit yang berlaku.  Independensi tersebut sangat penting agar produk yang dihasilkan memiliki manfaat yang optimal bagi seluruh stakeholder. Dalam hubungan ini auditor harus independen dari kegiatan yang diperiksa. Independensi merupakan bagian dari kode etik profesi Internal Auditor terhadap profesinya dan terhadap masyarakan secara luas.

2. Permasalahan Independensi Internal Auditor

Secara ideal, internal auditor dikatakan independen apabila dapat melaksanakan tugasnya secara bebas dan obyektif. Dengan kebebasannya, memungkinkan internal auditor untuk melaksanakan tugasnya dengan tidak berpihak. Ideal?? Prakteknya?? Tentu saja, hal ini bukanlah perkara mudah. Di sisi lain, internal auditor banyak menghadapi permasalahan dan kondisi yang menghadapkan internal auditor untuk ‘mempertaruhkan’ independensinya. Kata “internal” saja sudah berbau tidak independen.

Sebagai karyawan/pekerja, internal auditor mendapatkan penghasilan dari organisasi di mana dia bekerja, hal ini berarti internal auditor sangat bergantung kepada organisasinya sebagai pemberi kerja. Disini internal auditor menghadapi ‘ketergantungan’ hasil kerja dan kariernya dengan hasil auditnya. Internal auditor sebagai pekerja di dalam organisasi yang diauditnya akan menghadapi dilema ketika harus melaporkan temuan-temuan yang mungkin mempengaruhi atau tidak menguntungkan kinerja dan karirnya. Independensi internal auditor akan dipengaruhi oleh pertimbangan sejauh mana hasil internal audit akan berdampak terhadap kelangsungan kerjanya sebagai karyawan/pekerja. Pengaruh ini dapat berasal dari manajemen atau dari kepentingan pribadi internal auditor. Sebagai contoh misalnya direktur perusahaan memberikan batasan terhadap internal auditor untuk tidak mengakses data atau melakukan pemeriksaan terhadap penggajian karyawan. Pembatasan ini merupakan pembatasan terhadap independensi internal auditor, namun apabila hal tersebut tidak dipatuhi maka sama halnya internal auditor akan menghadapi konsekwensi sanksi sebagai karyawan. Sebaliknya, bila internal auditor memiliki akses terhadap data penggajian tersebut akan berpotensi munculnya kepentingan pribadi internal auditor sebagai karyawan perusahaan.

Kondisi lain yang sangat berpotensi mempengaruhi independensi internal auditor adalah banyaknya pihak yang berkepentingan di dalam sebuah organisasi bisnis. Kepentingan pihak-pihak eksternal serta kepentingan pihak-pihak internal organisasi seringkali berbeda. Di satu pihak, manajemen perusahaan ingin menyampaikan informasi mengenai pertanggunjawaban pengelolaan dana yang berasal dari pihak luar, di lain pihak, pihak eksternal ingin memperoleh informasi yang andal dari manajemen perusahaan. Konflik dalam sebuah internal audit akan berkembang pada saat internal auditor mengungkapkan informasi tetapi informasi tersebut oleh manajemen tidak ingin dipublikasikan kepada pihak eksternal atau informasi tersebut dibatasi. Kondisi ini akan sangat menyulitkan internal auditor karena harus berhadapan dengan kepentingan manajemen internal. Independensi, integritas serta tanggung jawab internal auditor terhadap profesi dan masyarakat akan dipertaruhkan dengan menempatkan internal auditor sebagai bagian dari kepentingan manajemen internal organisasi. Contoh yang kongkrit adalah internal auditor suatu bank memiliki kewajiban untuk melaporkan hasil auditnya kepada Bank Indonesia sebagai regulator secara periodik. Itu artinya laporan tersebut akan berpotensi dipengaruhi oleh kepentingan manajemen bank yang bersangkutan agar tidak membawa dampak “merepotkan” manajemen karena adanya sanksi dari Bank Indonesia.

Selain menghadapi perbedaan kepentingan dengan pihak eksternal, internal auditor juga harus menghadapi kepentingan-kepentingan pihak internal organisasi yang tidak jarang pula berbeda-beda, bahkan bertentangan. Dalam kondisi ini, internal auditor berpotensi dijadikan “tunggangan” konflik kepentingan pihak-pihak tertentu. Disinilah sikap obyektif internal auditor akan mencerminkan independensinya. Internal auditor harus menjaga agar tidak muncul prasangka atau pendapat dari pihak manapun bahwa internal auditor berpihak pada kepentingan tertentu. Inilah yang disebut independen dalam penampilan. Sebagai contoh adanya ketidakpuasan karyawan atau pihak tertentu karena gaji atau suatu jabatan, dimana internal auditor diharapkan dapat ‘menyambung lidah’ sehingga ‘keluhan’ mereka ditindaklanjuti oleh manajemen puncak. Atau contoh lain adanya ‘persaingan’ ditempat kerja sehingga salah satu pihak berusaha menjatuhkan pihak lainnya dengan memanfaatkan internal auditor.

Pengaruh terhadap independensi internal auditor terkadang tidak bersifat ‘langsung’ terhadap hasil audit yang dihasilkan oleh internal auditor. Namun demikian intervensi tersebut dapat mempengaruhi ‘kinerja’ internal audit termasuk mempengaruhi internal auditor dalam menetapkan ruang lingkup dan metodologi auditnya. Contohnya adalah dalam kondisi internal audit merupakan salah satu departemen/divisi di dalam perusahaan. Kondisi tersebut menempatkan pimpinan internal auditor juga berperan sebagai pimpinan departemen/divisi. Peranan ini kemungkinan besar memiliki keterbatasan wewenang dan tanggung jawab yang hampir sama dengan pimpinan departemen/divisi yang lain. Pimpinan Departemen SDM dan Pesonalia misalnya, dapat memutasikan atau memindahkan karyawan Departemen Internal Audit (dalam hal ini adalah internal auditor) ke departemen lainnya. Demikian pula sebaliknya, karyawan di departemen yang dianggap kurang qualified di bidang tersebut ditempatkan sebagai internal auditor.

  1. 3. Membangun Independensi Internal Auditor

Masalah-masalah di atas merupakan contoh bahwa dalam berbagai kondisi independensi internal auditor dapat terpengaruh. Oleh karena itu, membangun independensi bukanlah perkara gampang semudah membalikkan telapak tangan. Banyak aspek yang harus dipertimbangkan untuk membangun independensi internal audit.

Cerminan independensi yang paling terlihat adalah status organisasi atau kedudukan internal audit dalam struktur organisasi. Sesuai dengan interprestasi standar internal audit, untuk mencerminkan independensi, kedudukan Internal Audit dalam organisasi harus ditetapkan sedemikian rupa sehingga mampu mengungkapkan pandangan dan pemikirannya tanpa pengaruh ataupun tekanan dari manajemen ataupun pihak lain yang terkait dengan organisasi. Pemimpin internal audit memiliki akses langsung dan tidak terbatasi dengan manajemen senior dan komisaris untuk melaporkan hasil auditnya. Dalam perusahaan publik atau perusahaan terbuka dimana tuntutan terhadap governance sangat signifikan, kondisi ini relatif lebih implementatif. Adanya kepentingan pemegang saham dan stakeholder sangat mendukung keberadaan internal audit yang benar-benar independen yang memiliki akses komunikasi langsung dan pelaporan kepada komite audit, komisaris dan komisaris independen yang nota bene merupakan wakil dari ”publik”.

Bukan hanya sekedar memenuhi tuntutan, kedudukan internal audit dalam struktur organisasi perusahaan juga merupakan komitmen manajemen puncak terhadap fungsi internal audit yang independent. Kedudukan internal audit dalam struktur organisasi harus didukung dengan pernyataan mengenai kewenangannya. Oleh karena itu, komitmen manajemen puncak terhadap kedudukan internal audit dalam struktur organisasi perusahaan harus didukung dengan pernyataan tertulis mengenai wewenang dan independensi yang diberikan kepada internal auditor. Pernyataan ini disebut dengan Internal Audit Charter. Dengan demikian, langkah awal dalam membangun independensi internal audit adalah komitmen serta dukungan dari komisaris dan direksi sebagai manajemen puncak terhadap wewenang dan independensi internal audit yang tercermin dalam struktur organisasi dan Internal Audit Charter.

Selain komitemen yang berasal dari manajemen puncak, komitemen yang besar dari internal auditor terhadap independensi yang harus dijaganya juga menjadi elemen penting dalam membangun independensi internal auditor itu sendiri. Akan menjadi percuma apabila hanya mengungkapkan komitmen manajemen puncak namun internal auditor sendiri tidak mampu bersikap independen dan obyektif dalam melaksanakan tugasnya. Komitmen dari internal auditor terhadap independensi ini harus dituangkan dalam kode etik internal audit perusahaan dan dilaksanakan secara konsekwen. Internal auditor harus tidak memiliki kepentingan terhadap obyek atau aktivitas yang diauditnya. Apabila internal auditor memiliki keterkaitan dengan obyek audit yang mengakibatkan secara fakta auditor tidak independen, maka internal audit harus melaporkan hal tersebut kepada manajemen puncak.

Komitmen terhadap independensi juga harus diimplementasikan oleh internal auditor dalam menetapkan metode, cara, teknik, dan pendekatan audit yang dilaksanakan.  Kebebasan dan sikap mental internal auditor ini akan tercermin dari laporan internal audit yang lengkap, obyektif serta berdasarkan analisa yang cermat dan tidak memihak. Untuk mendukung independensi dan sikap mental obyektif ini, 2 hal utama yang perlu dilaksanakan adalah rotasi secara berkala penugasan pekerjaan internal audit dan review secara cermat terhadap laporan hasil internal audit serta prosesnya. Oleh karena itu, komitmen ini membawa konsekwensi terhadap kompetensi internal auditor.

Seperti telah diungkapkan di atas, memang tidak mudah membangun independensi internal auditor. Namun apalah artinya internal auditor apabila tidak memiliki independensi. Oleh karena itu, dengan dukungan dan komitmen dari manajemen puncak serta komitmen dari internal audit sendiri yang didukung kompetensinya, maka independensi bukanlah hal yang mustahil.