Internal Audit Training & Development
X
Accounting is the business function of recording and reporting financial information for internal or external users. Audits are the business function of reviewing accounting information to determine how well the company adheres to specific guidelines. External audits are usually conducted by public accounting firms or individual certified public accountants (CPA). This type of audit is specifically designed for external users of the company's financial information. Internal audits are usually conducted by the company's accounting staff for management review.
Facts
Internal audit training and development is the process of developing the skills and methods used by companies to train accounting employees on internal audits. Internal audits test the internal controls used to protect financial information or to review specific accounting functions for material weaknesses. Material weaknesses are significant financial errors or irregularities that may occur in a company's accounting ledger. Training and developing internal auditors can helps companies avoid serious legal liabilities from accounting improprieties.
Features
Accounting managers train internal auditors by reviewing the company's accounting functions, processes and internal controls with the employees. Accounting managers may have developed a specific manual for auditing the company's accounting information. Auditors will be trained on why this manual is important and how the auditors should apply the audit manual standards to the company's accounting information. Internal auditors may suggest additions to the audit manual once they have conducted an internal audit to improve the company's internal audit process
Misconceptions
Internal auditors do not need to hold professional certification or licenses to conduct internal audits. Internal auditors trained in universal audit practices or developed to audit a company's accounting information are usually well equipped to conduct internal audits. Companies may decide to send internal auditors to accounting or auditing seminars to improve their understanding of audits.
Considerations
Companies may choose to hire individuals with prior internal auditing experience. Hiring individuals with prior auditing experience can help companies avoid spending copious amounts of time and money on training internal auditors. While internal auditors may need to train internal auditors on the company's specific accounting functions or internal controls, they will not need to train auditors on current auditing practices.
Expert Insight
The American Institute of Certified Public Accountants (AICPA) offers several auditing and accounting resources for companies to train internal auditors. This information follows the traditional public auditing rules and guidelines used by public accounting firms and CPAs. Training internal auditors to use official auditing standards and guidelines can help companies prepare for official external audits. Strong internal audit functions may also allow companies to avoid remedial audits, which occur when the company fails a regular external audit.
Who are internal auditors?
As defined by the Institute of Internal Auditors (IIA), "Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.Internal Auditors' roles include monitoring, assessing, and analyzing organizational risk and controls; and reviewing and confirming information and compliance with policies, procedures, and laws. Working in partnership with management, internal auditors provide the board, the audit committee, and executive management assurance that risks are mitigated and that the organization's corporate governance is strong and effective. And, when there is room for improvement, internal auditors make recommendations for enhancing processes, policies, and procedures."
Why does Cornell have an internal audit function?
The University Audit Office exists by charter and by-law to assist University management and the Audit Committee of the Board of Trustees in effectively fulfilling their responsibilities. We are charged with examining and evaluating the policies, procedures, and systems which are in place to ensure: the reliability and integrity of information; compliance with policies, plans, laws, and regulations; the safeguarding of assets; and, the economical and efficient use of resources.In simpler words, we're here to help.
Where does the audit function fit in the organization?
The University Auditor has a solid-line reporting relationship to Cornell's President and the Audit Committee of the Board of Trustees.We're a small office with a big job.
What's the difference between external and internal auditors?
External auditors can be government auditors or independent public accounting firms that Cornell hires. Government auditors focus primarily on compliance with government regulations and award terms. Since both federal and state governments fund a significant portion of the university's activities, they want to make sure we use their money as they intended.Independent public accounting firms review the university's annual financial statements to ensure the information presented accurately portrays Cornell's financial condition. Government agencies, Cornell's Board of Trustees, and bond rating agencies rely on the independent auditor's opinion of Cornell's financial statements.
Internal auditors sometimes look at the same data or perform some of the same steps as external auditors. If there is a problem, it's better to find it and fix it before external auditors review our practices.
What if an external auditor contacts you?
All external audits should be coordinated through the University Audit Office or Sponsored Program Services. If you or your unit is contacted by an external auditor, before sharing any information, direct them to contact the University Audit Office or Sponsored Program Services. We can sometime dissuade an audit or at least minimize the impact on an operation.Remember, internal audit is on your side and can help you get through an external audit.
How are units selected for audit?
Every two years, the University Audit Office helps determine where Cornell risks failing in its mission due to internal procedural deficiencies. First, the university is broken down into areas of institutional concern, such as Sponsored Research, and auditable activities such as units, departments, cost centers, subsidiaries, information systems or processes. Next, relevant risk factors such as control environment, reputation/legal impact, and operations impact are weighted. Institutional concerns and auditable activities are then scored using these factors and the audit office decides which areas to audit based on these risk rankings and the audit resources available.What are internal auditors looking for?
Primarily compliance with university policies and sound internal controls. Cornell's policies are designed to help ensure we all comply with applicable laws and regulations and operate efficiently. By following these policies we help protect the university from unnecessary risks and help ensure sound business practices are consistent throughout the university. University policies can be found here: http://www.policy.cornell.edu. However, not all internal controls can be codified in policy. If we find control weaknesses, we regularly make recommendations to implement a control even though it may not be specifically required by policy.What if something isn't handled correctly?
We will make recommendations for improvement. The recommendations are realistic because we want you to implement them. It is the responsibility of management to weigh possible additional costs of implementing our recommendations in terms of benefits to be derived and the relative risks involved.Is the Audit Office part of the Division of Financial Affairs?
No, the Audit Office works independently of the Division of Financial Affairs. Our office has a solid-line reporting relationship to Cornell's President and the Audit Committee of the Board of Trustees.Can a department request an audit?
Yes! We consider requests for audit work, although our ability to perform the audit might be affected by our staffing levels, or year end deadlines. Still, if you are concerned about an area in your department, we will try to make time for a limited examination of the area.We're also available to do presentations and training for your department.
How long does an audit take?
We budget between 200 and 600 hours for a typical audit, depending on the size and complexity of the area. We normally have one auditor leading the audit, and auditors will sometimes have more than one audit in process at a time, so an audit could take from two months to six months to complete.
What if I don't have the time to deal with the auditors? What if it's a bad time for an audit because (choose one):
a) we're short-staffed
b) the finance director just quit
c) it's budget season
d) we're crawling with students!
e) we're trying to close out the year.
During the audit opening meeting, we will discuss the audit schedule and try to accommodate time constraints that you may have. Although 200 to 600 hours looks like a lot of time, much of our work is done behind the scenes. Many people operate under the erroneous belief that in doing an audit we will spend lots of time with you and take time away from your other obligations. We may need to meet key personnel on the audit two or three times for maybe an hour at a time over the audit period. We may spend equal amounts of time, and perhaps less, with others in the department, but we will not be monopolizing anyone's time in the department and much of our work such as audit planning and report writing, is done in our offices.Who will receive copies my audit report?
We send copies of audit reports to the department administration, the President, the Vice President for Finance and CFO, the Controller, the external auditors (PricewaterhouseCoopers) and to others, depending on the type of audit. Reports on academic units are sent to the Provost. IT audit reports go to the Vice President for Information Technologies. Reports on irregularities are sent to University Counsel, and may be sent to either the Dean of Faculty, Vice President for Human Resources, or the Judicial Administrator depending on if they involve faculty, staff, or students.Does the Board of Trustees see what is in the audit reports?
We prepare an annual report for the Trustees containing a dozen or so of the most significant findings or systematic issues from our audits for the year.Who audits the Audit Office?
Excellent question! Actually, we are audited every five years by other auditors under guidelines set forth by the Association of College and University Auditors. This "peer review" process draws upon the standards and guidelines set forth by the Institute of Internal Auditors in their International Standards for the Professional Practice of Internal Auditing. The peer reviewers typically include auditors from other universities, public accounting firms, or specialists in an audit area and they issue a report with findings and recommendations, just as we do when we audit university units.If I call you with information about a possible irregularity, will my identity be kept a secret?
This is a hard question to answer without knowing whether or not the specific circumstance you are reporting will end up in legal action. As a general rule, we do not reveal our sources to the person being investigated. And we always try to corroborate any accusations with our own observation. If an irregularity is referred to the District Attorney for legal prosecution, and your testimony would be critical to the outcome of the case, it may become necessary to involve you in the irregularity. In addition, the Cornell Hotline provides for anonymous report of financial irregularitiesInternal Auditors' Code of Ethics
PRINCIPLES
Internal auditors are expected to apply and uphold the following principles:
1. Integrity
The integrity of internal auditors establishes trust and thus provides the basis for reliance on their judgment.
2. Objectivity
Internal auditors exhibit the highest level of professional objectivity in gathering, evaluating, and communicating information about the activity or process being examined. Internal auditors make a balanced assessment of all the relevant circumstances and are not unduly influenced by their own interests or by others in forming judgments
3. Confidentiality
Internal auditors respect the value and ownership of information they receive and do not disclose information without appropriate authority unless there is a legal or professional obligation to do so.
4. Competency
Internal auditors apply the knowledge, skills, and experience needed in the performance of internal audit services.
RULE OF CONDUCTS
1. Integrity
Internal auditors:
1.1. Shall perform their work with honesty, diligence, and responsibility.
1.2. Shall observe the law and make disclosures expected by the law and the profession.
1.3. Shall not knowingly be a party to any illegal activity, or engage in acts that are discreditable to the profession of internal auditing or to the organization.
1.4. Shall respect and contribute to the legitimate and ethical objectives of the organization.
2. Objectivity
Internal auditors:
2.1. Shall not participate in any activity or relationship that may impair or be presumed to impair their unbiased assessment. This participation includes those activities or relationships that may be in conflict with the interests of the organization.
2.2. Shall not accept anything that may impair or be presumed to impair their professional judgment.
2.3. Shall disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.
3. Confidentiality
Internal auditors:
3.1. Shall be prudent in the use and protection of information acquired in the course of their duties.
3.2. Shall not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.
4. Competency
Internal auditors:
4.1. Shall engage only in those services for which they have the necessary knowledge, skills, and experience.
4.2. Shall perform internal audit services in accordance with the International Standards for the Professional Practice of Internal Auditing.
4.3. Shall continually improve their proficiency and the effectiveness and quality of their services
Introduction to Standards
Internal auditing is conducted in diverse legal and cultural environments; within organizations that vary in purpose, size, complexity, and structure; and by persons within or outside the organization. While differences may affect the practice of internal auditing in each environment, conformance with The IIA's International Standards for the Professional Practice of Internal Auditing (Standards) is essential in meeting the responsibilities of internal auditors and the internal audit activity.
If internal auditors or the internal audit activity is prohibited by law or regulation from conformance with certain parts of the Standards, conformance with all other parts of the Standards and appropriate disclosures are needed.
If the Standards are used in conjunction with standards issued by other authoritative bodies, internal audit communications may also cite the use of other standards, as appropriate. In such a case, if inconsistencies exist between the Standards and other standards, internal auditors and the internal audit activity must conform with the Standards, and may conform with the other standards if they are more restrictive.
The purpose of the Standards is to:
- Delineate basic principles that represent the practice of internal auditing.
- Provide a framework for performing and promoting a broad range of value-added internal auditing.
- Establish the basis for the evaluation of internal audit performance.
- Foster improved organizational processes and operations.
The Standards are principles-focused, mandatory requirements consisting of:
- Statements of basic requirements for the professional practice of internal auditing and for evaluating the effectiveness of performance, which are internationally applicable at organizational and individual levels.
- Interpretations, which clarify terms or concepts within the Statements.
The Standards employ terms that have been given specific meanings that are included in the Glossary. Specifically, the Standards use the word "must" to specify an unconditional requirement and the word "should" where conformance is expected unless, when applying professional judgment, circumstances justify deviation.
It is necessary to consider the Statements and their Interpretations as well as the specific meanings from the Glossary to understand and apply the Standards correctly.
The structure of the Standards is divided between Attribute and Performance Standards. Attribute Standards address the attributes of organizations and individuals performing internal auditing. The Performance Standards describe the nature of internal auditing and provide quality criteria against which the performance of these services can be measured. The Attribute and Performance Standards are also provided to apply to all internal audit services.
Implementation Standards are also provided to expand upon the Attribute and Performance standards, by providing the requirements applicable to assurance (A) or consulting (C) activities.
Assurance services involve the internal auditor's objective assessment of evidence to provide an independent opinion or conclusions regarding an entity, operation, function, process, system, or other subject matter. The nature and scope of the assurance engagement are determined by the internal auditor. There are generally three parties involved in assurance services: (1) the person or group directly involved with the entity, operation, function, process, system, or other subject matter - the process owner, (2) the person or group making the assessment - the internal auditor, and (3) the person or group using the assessment - the user.
Consulting services are advisory in nature, and are generally performed at the specific request of an engagement client. The nature and scope of the consulting engagement are subject to agreement with the engagement client. Consulting services generally involve two parties: (1) the person or group offering the advice - the internal auditor, and (2) the person or group seeking and receiving the advice - the engagement client. When performing consulting services the internal auditor should maintain objectivity and not assume management responsibility.
The review and development of the Standards is an ongoing process. The Internal Audit Standards Board engages in extensive consultation and discussion prior to issuing the Standards. This includes worldwide solicitation for public comment through the exposure draft process. All exposure drafts are posted on The IIA's Web site as well as being distributed to all IIA institutes.
The Standards to Be Revised - Waiting for Your Comments
Internal Audit Standard Board of The IIA has conducted a comprehensive review of International Standards for the Professional Practice of Internal Auditing (ISPPIA) and is proposing changes to some of the ISPPIA as well as recommending new Standards. It is a part of their regular process. The IPPF process requires that all guidance be reviewed at least once every three years to ensure that it remains current, relevant, and timely. It includes the exposure of proposed changes in mandatory guidance to stakeholders of the profession to ensure the modifications are clear, understandable, and consistent with the practice of internal auditing.
The following list shows the comparison between the existing standards and the proposed ones:
Existing
|
Proposed
| |
1000 – Purpose, Authority, and Responsibility
Interpretation
|
The internal audit charter establishes the internal audit activity's position within the organization; authorizes access...
|
The internal audit charter establishes the internal audit activity's position within the organization, including the nature of the chief audit executive’s functional reporting relationship with the board; authorizes access...
|
1100 – Independence and Objectivity
Interpretation
|
Independence is the freedom from conditions that threaten the ability of the internal audit activity or the chief audit executive to carry out...
|
Independence is the freedom from conditions that threaten the ability of the internal audit activity
|
1110 – Organizational Independence
|
-
|
Interpretation:
Organizational independence is effectively achieved when the chief audit executive reports functionally to the board. Examples of functional reporting to the board involve the board:
· Approving the internal audit charter;
· Approving the risk based internal audit plan;
· Receiving communications from the chief audit executive on the internal audit activity’s performance relative to its plan and other matters;
· Approving decisions regarding the appointment and removal of the chief audit executive; and
· Making appropriate inquiries of management and the chief audit executive to determine whether there are inappropriate scope or resource limitations.
|
1312 – External Assessments
|
A qualified reviewer or review team consists of individuals who are competent in the professional practice of internal auditing and the external assessment process. The evaluation of the competency of the reviewer and review team is a judgment that considers the professional internal audit experience and professional credentials of the individuals selected to perform the review. The evaluation of qualifications also considers the size and complexity of the organizations that the reviewers have been associated with in relation to the organization for which the internal audit activity i
|
A qualified reviewer or review team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning. Experience gained in organizations with similar size, complexity, sector or industry, and of similar technical issues, is more valuable than less relevant experience. In the case of a review team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. The chief audit executive uses professional judgment when assessing whether a reviewer or review team demonstrates sufficient competence to be qualified.
|
1321 – Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”
|
-
|
Interpretation:
The internal audit activity conforms with the Standards when it achieves the outcomes described in the Definition of Internal Auditing, Code of Ethics and Standards. The results of the quality assurance and improvement program include the results of both internal and external assessments. All internal audit activities will have the results of internal assessments. Internal audit activities in existence for at least five years will also have the results of external assessments.
|
2000 – Managing the Internal Audit Activity
Interpretation
|
-
|
The internal audit activity adds value to the organization (and its stakeholders) when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.
|
2010 – Planning
|
-
|
2010.A2 – The chief audit executive must determine stakeholder expectations for internal audit opinions and other conclusions, including the levels of assurance required, through discussion with senior management and the board.
|
New
|
2070 – External Service Provider and Organizational Responsibility for Internal Auditing
When an external service provider serves as the internal audit activity, the provider must make the organization aware that it has the responsibility for maintaining an effective internal audit activity.
Interpretation: This responsibility is demonstrated through the quality assessment and improvement program which assesses conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.
| |
2110 – Governance
|
2110.C1 Consulting engagement objectives must be consistent with the
|
2210.C2 – Consulting engagement objectives must be consistent with the organization's values, strategies, and objectives.
|
2120 – Risk Management
|
The internal audit activity gathers the information to support this assessment during multiple engagements. The results of these engagements, when viewed together, provide an understanding of the organization’s risk management and its effectiveness.
| |
2120.A1
|
· Effectiveness and efficiency of operations
· Compliance with laws, regulations, and contracts.
|
· Effectiveness and efficiency of operations and programs.
· Compliance with laws, regulations, policies, procedures, and contracts.
|
2130.A1
|
· Effectiveness and efficiency of operations
· Compliance with laws, regulations, and contracts.
|
· Effectiveness and efficiency of operations and programs.
· Compliance with laws, regulations, policies, procedures, and contracts.
|
2130.A2 – Internal auditors should ascertain the extent to which operating and program goals and objectives have been established and conform to those of the organization.
2130.A3 – Internal auditors should review operations and programs to ascertain the extent to which results are consistent with established goals and objectives to determine whether operations and programs are being implemented or performed as intended
|
-
| |
2220-C2
| ||
2130.C2
|
2130.C1
| |
2400 – Communicating Results
|
2400 – Communicating Results
Internal auditors must communicate the
|
2400 – Communicating Results
Internal auditors must communicate the results of engagements.
|
2410 – Criteria for Communicating
|
2410.A1 - Final communication of engagement results must, where appropriate, contain internal auditors’
|
2410.A1 - Final communication of engagement results must, where appropriate, contain internal auditors’ opinion and/or conclusions. When an opinion and/or conclusion is issued it must address the expectations as agreed with the board, senior management, and other stakeholders and must be supported by sufficient reliable, relevant, and useful information.
Interpretation:
Opinions at the engagement level may be ratings, conclusions, or other descriptions of the results. Such an engagement may be in relation to controls around a specific process, risk, or business unit. The formulation of such opinions requires consideration of the engagement results and their significance.
|
New
|
2450 – Overall Opinions When an overall opinion is issued it must cover an appropriate time period and it must address the expectations as agreed with the board, senior management, and other stakeholders and must be supported by sufficient reliable, relevant, and useful information. Interpretation: The communication will identify:
· The scope, including the time period to which the opinion pertains;
· Scope limitations;
· Consideration of all related projects including the reliance on other assurance providers;
· The risk or control framework or other criteria used as a basis for the overall opinion; and
· The overall opinion, judgment, or conclusion reached.
The overall opinion may be unqualified, qualified, or adverse. When there is a qualified or adverse opinion, the cause of the qualification or adverse opinion must be stated.
| |
Glossary - Add Value
|
The internal audit activity adds value to the organization when it provides objective and relevant assurance, and contributes to the effectiveness and efficiency of governance, risk management, and control processes.
| |
Glossary - Adequate Control
|
-
| |
Chief Audit Executive
|
Chief audit executive describes a person in a senior position responsible for effectively managing the internal audit activity in accordance with the internal audit charter and the Definition, the Code of Ethics and the Standards. Normally, the chief audit executive would be a Certified Internal Auditor or have Certified Internal Auditors reporting to them. The specific job title of the chief audit executive may vary across organizations.
| |
Control Environment
|
The attitude and actions of the board and management regarding the
|
The attitude and actions of the board and management regarding the importance of control ...
|
Independence
|
The freedom from conditions that threaten objectivity or the appearance of objectivity.
|
The freedom from conditions that threaten objectivity of the internal audit activity or the chief audit executive to carry out internal audit responsibilities in an unbiased manner. Threats to independence must be managed at the individual auditor, engagement, functional, and organizational levels.
|
Information Technology Governance
|
Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology
|
Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology supports the organization’s strategies and objectives.
|
An unbiased
|
An unbiased mental point of view that allows internal auditors to perform engagements in such a manner that they have an honest belief in their work product and that no significant quality compromises are made. Objectivity requires internal auditors to not subordinate their judgment on audit matters to others.
|
The proposed changes and new Standards have a 90-day exposure period from Feb. 15, 2010 to May 14, 2010. To facilitate your response to the exposure draft, The IIA encourage you to complete an online surveythat will guide you through each of the proposed changes to the Standards and glossary. The survey will allow you to vote on whether you agree with the proposed additions or revisions and to provide additional comments.
Internal Auditing is...
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
Larry Rittenberg, Ph.D., CIA, CPA , Chairman COSO, menyatakan “COSO percaya bahwa banyak organisasi dapat mencapai efisiensi yang lebih besar dengan melakukan pemantauan proses pengendalian internal yang sedang berlangsung.” Lebih lanjut dikatakan dia, “Pedoman ini merupakan upaya untuk membantu organisasi mencapai tujuan itu. Pedoman ini disusun sedemikian rupa sehingga mudah diadaptasi oleh setiap organisasi, dan membantu pembaca memahami bahwa pemantauan pengendalian internal yang efektif adalah pemantauan yang berbasis risiko dan sistem sekaligus. ”
Pedoman ini terdiri dari empat halaman Pendahuluan dan tiga volume. ”Volume I: Pedoman” menyajikan prinsip-prinsip dasar pemantauan yang efektif, merujuk pada COSO Internal Control – Integrated Framework. ”Volume II: Aplikasi” menyampaikan secara lebih rinci prinsip-prinsip yang diuraikan dalam Volume I dan memberikan pedoman kepada mereka yang bertanggung jawab untuk melaksanakan pemantauan yang efektif. ”Volume III: Contoh-contoh” memberikan studi kasus monitoring pengendalian internal.
COSO menunjuk Grant Thornton LLP pada bulan Januari 2007 untuk memimpin pengembangan pedoman ini dengan tim supervisi yang terdiri dari wakil-wakil dari lima organisasi yang mensponsori COSO. Tim ini juga dibantu para ahli lainnya serta partisipasi dari US Government Accountability Office, wakil dari kantor-kantor akuntan, SEC dan PCAOB. Karena pentingnya proyek pengembangan pedoman ini, sebelum pedoman ini resmi dipublikasikan, telah dilakukan dua kali eksposur kepada publik.
Sebagai pengingat, COSO merupakan organisasi swasta sukarela yang berdedikasi untuk memperbaiki kualitas pelaporan keuangan melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance, yang dibentuk pada tahun 1985. COSO terdiri dari American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Management Accountants (IMA), dan The Institute of Internal Auditor (IIA), mensponsori Komisi Nasional Kecurangan Pelaporan Keuangan (National Commission on Fraudulent Financial Reporting).
II. Bagaimana Membedakan Auditor Internal dan Eksternal?
Dalam diskusi sebuah forum, saya mendapati perdebatan antara beberapa orang seputar profesi auditor internal. Sepertinya mereka tidak berprofesi sebagai auditor internal; terlihat dari cara mereka memandang profesi ini secara beragam, yang tentu saja sulit bila harus ditakar dengan IPPF. Pada kesempatan lain, saya mengevaluasi keywords yang digunakan para pengunjung yang mendarat di blog auditor ini. Sebagiannya menunjukkan bahwa mereka bukanlah internal-auditing savvy alias awam audit internal. Oleh karena itu, sepertinya profesi ini membutuhkan advokasi yang lebih keras dari setiap auditor internal untuk mengenalkan profesi ini dengan lebih baik ke tengah-tengah masyarakat. Salah satu pertanyaan awam yang sering dilontarkan adalah: “Apakah sebetulnya perbedaan antara auditor internal dengan auditor eksternal?*)”. Tulisan ini ingin menjawab pertanyaan tersebut. Dan buat Anda para auditor internal, walaupun hal ini tentu sudah bukan merupakan barang asing lagi, bolehlah dianggap sebagai penyegaran.
Dalam beberapa hal, auditor internal dan auditor eksternal memiliki kesamaan. Keduanya merupakan profesi yang memainkan peran penting dalam tata kelola organisasi serta memiliki kepentingan bersama dalam hal efektivitas pengendalian internal keuangan. Keduanya diharapkan memiliki pengetahuan yang luas tentang bisnis, industri, dan risiko strategis yang dihadapi oleh organisasi yang mereka layani. Dari sisi profesionalitas, keduanya juga memiliki kode etik dan standar profesional yang ditetapkan oleh institusi profesional masing-masing yang harus dipatuhi, serta sikap mental objektif dan posisi independen dari kegiatan yang mereka audit. Namun, selain berbagai kesamaan tersebut,audit internal dan audit eksternal adalah dua fungsi yang memiliki banyak pula perbedaan.
Perbedaan Misi
Tanggung jawab utama auditor eksternal adalah memberikan opini atas kewajaran pelaporan keuangan organisasi, terutama dalam penyajian posisi keuangan dan hasil operasi dalam suatu periode. Mereka juga menilai apakah laporan keuangan organisasi disajikan sesuai dengan prinsip-prinsip akuntansi yang diterima secara umum, diterapkan secara konsisten dari periode ke periode, dan seterusnya. Opini ini akan digunakan para pengguna laporan keuangan, baik di dalam organisasi terlebih di luar organisasi, antara lain untuk melihat seberapa besar tingkat reliabilitas laporan keuangan yang disajikan oleh organisasi tersebut.
Sementara itu, tanggung jawab utama auditor internal tidak terbatas pada pengendalian internal berkaitan dengan tujuan reliabilitas pelaporan keuangan saja, namun juga melakukan evaluasi desain dan implementasi pengendalian internal, manajemen risiko, dan governance dalam pemastian pencapaian tujuan organisasi. Selain tujuan pelaporan keuangan, auditor internal juga mengevaluasi efektivitas dan efisiensi serta kepatuhan aktivitas organisasi terhadap ketentuan perundang-undangan dan kontrak, termasuk ketentuan-ketentuan internal organisasi.
Perbedaan Organisasional
Auditor Internal merupakan bagian integral dari organisasi di mana klien utama mereka adalah manajemen dan dewan direksi dan dewan komisaris, termasuk komite-komite yang ada. Biasanya auditor internal merupakan karyawan organisasi yang berasngkutan. Meskipun dalam perkembangannya pada saat ini dimungkinkan untuk dilakukan outsourcing atau co-sourcing internal auditor, namun sekurang-kurangnya penanggung jawab aktivitas audit internal (CAE) tetaplah bagian integral dari organisasi.
Sebaliknya, auditor eksternal merupakan pihak ketiga alias bukan bagian dari organisasi. Mereka melakukan penugasan berdasarkan kontrak yang diatur dengan ketentuan perundang-udangan maupun standar profesional yang berlaku untuk auditor eksternal.
Perbedaan Pemberlakuan
Secara umum, fungsi audit internal tidak wajib bagi organisasi. Namun demikian untuk perusahaan yang bergerak di industri tertentu, seperti perbankan, dan juga perusahaan-perusahaan yang listing di Bursa Efek Indonesia diwajibkan untuk memiliki auditor internal. Perusahaan-perusahaan milik negara (BUMN) juga diwajibkan untuk memiliki auditor internal.
Sementara itu, pemberlakuan kewajiban untuk dilakukan audit eksternal lebih luas dibandingkan audit internal. Perusahaan-perusahaan yang listing, badan-badan sosial, hingga partai politik dalam keadaan-keadaan tertentu diwajibkan oleh ketentuan perundang-undangan untuk dilakukan audit eksternal,
Perbedaan Fokus dan Orientasi
Auditor internal lebih berorientasi ke masa depan, yaitu kejaidan-kejadian yang diperkirakan akan terjadi, baik yang memiliki dampak positif (peluang) maupun dampak negatif (risiko), serta bagaimana organisasi bersiap terhadap segala kemungkinan pencapaian tujuannya.
Sedangkan auditor eksternal terutama berfokus pada akurasi dan bisa dipahaminya kejadian-kejadian historis sebagaimana terefleksikan pada laporan keuangan organisasi.
Perbedaan Kualifikasi
Kualifikasi yang diperlukan untuk seorang auditor internal tidak harus seorang akuntan, namun juga teknisi, personil marketing, insinyur produksi, serta personil yang memiliki pengetahuan dan pengalaman lainnya tentang operasi organisasi sehingga memenuhi syarat untuk melakukan audit internal.
Auditor Eksternal harus memiliki kualifikasi akuntan yang mampu memahami dan menilai risiko terjadinya errors dan irregularities, mendesain audit untuk memberikan keyakinan memadai dalam mendeteksi kesalahan material, serta melaporkan temuan tersebut. Pada kebanyakan negara, termasuk di Indonesia, auditor perusahaan publik harus menjadi anggota badan profesional akuntan yang diakui oleh ketentuan perundang-undangan.
Perbedaan Timing
Auditor internal melakukan review terhadap aktivitas organisasi secara berkelanjutan, sedangkan auditor eksternal biasanya melakukan secara periodik/tahunan.
III. Mengukur Kinerja Audit Internal
Siapa mengawasi pengawas?
Ini sebuah pertanyaan berputar dilematis yang barangkali tidak mudah berakhir. Sebagai ‘lembaga pengawas’ di suatu organisasi, audit internal tidak luput dari pertanyaan tersebut. Siapa yang mengaudit aktivitas audit internal Anda?
Self-assessment review?
Atau, ada pihak independen yang disewa untuk mengevaluasi kinerja aktivitas audit internal Anda?
Atau, malah aktivitas audit internal Anda ‘tak tersentuh’, terhindar dari pertanyaan di atas?
Sesuai rumpun standar 1300, Aktivitas Audit Internal harus menerapkan program pemastian kualitas dan peningkatan (QAIP - Quality Assurance and Improvement Program). Secara umum program tersebut dilakukan untuk memastikan beberapa hal pokok, yaitu:
- Kesesuaian aktivitas audit internal dengan kode etik, definisi, dan standar audit internal yang berlaku umum
- Efisiensi dan efektivitas aktivitas audit internal
- Mengidentifikasi peluang-peluang untuk perbaikan dan peningkatan
Di dalam standar QAIP tersebut juga diatur bagaimana dan siapa yang melakukan penilaian terhadap Aktivitas Audit Internal. Program tersebut dilakukan melalui review internal dan review eksternal. Review internal dilakukan secara terus menerus sebagai bagian yang terintegrasi dengan proses manajemen Aktivitas Audit Internal. Selain itu review internal juga dilakukan secara berkala, baik oleh personil di dalam Aktivitas Audit Internal sendiri atau personil lainnya di dalam organisasi yang menguasai kerangka profesional praktik audit internal. Sedangkan review eksternal dilakukan sekurang-kurangnya sekali dalam lima tahun oleh pihak-pihak independen di luar organisasi dengan kompetensi dan prosedur yang diatur oleh kerangka profesional praktik audit internal.
Pertanyaan berikutnya adalah, bagaimana mengukur hal-hal tersebut. Mengukur kesesuaian dengan dengan kode etik, definisi, dan standar audit internal relatif lebih mudah dilakukan dengan membandingkan aktivitas audit internal terhadap kode etik, definisi, dan standar audit internal yang telah diterbitkan oleh The Institute of Internal Auditors. Sedangkan untuk mengukur efisiensi dan efektivitas operasional terlebih dahulu diperlukan penentuan kerangka pengukuran kinerja audit internal.
Untuk menetapkan ukuran kinerja yang efektif, Kepala Eksekutif Audit harus terlebih dahulu mengidentifikasi aspek-aspek dalam kinerja audit internal yang kritikal. Salah satu cara yang sering digunakan di antaranya adalah kerangka yang diadaptasi dari pemikiran Kaplan dan Norton, Balanced Scorecard, yang menyarankan aspek pengukuran kinerja audit internal ke dalam perspektif:
- Inovasi dan pembelajaran, untuk menjawab pertanyaan apakah audit internal mampu berkelanjutan dan menciptakan value.
- Proses Audit Internal, untuk menjawab pertanyaan pada bidang apa audit internal memiliki keahlian.
- Manajemen/Auditee, adaptasi perspektif pelanggan, yaitu untuk menjawab pertanyaan bagaimana customer memandang audit internal.
- Board/Komite Audit, adaptasi dari perspektif keuangan, untuk menjawab pertanyaan bagaimana audit internal memandang stakeholders.
Ke empat perspektif tersebut saling berhubungan dalam hubungan sebab akibat dari bawah ke atas. Inovasi dan pembelajaran merupakan proses terus menerus di dalam aktivitas audit internal yang memungkinkan aktivitas audit internal bisa menjalankan proses audit internal dengan semakin baik dari hari ke hari. Dengan proses audit internal yang semakin baik, diharapkan kepuasan manajemen/auditee juga akan semakin meningkat. Dan pada akhirnya manajemen puncak sebagai pengemban utama misi organisasi juga akan merasakan kepuasan yang semakin meningkat atas layanan aktivitas audit internal.
Dengan menggunakan kerangka seperti ini, bila alur tersebut dibalik secara top-down, juga akan tampak garis merah bagaimana visi dan misi organisasi harus diterjemahkan ke dalam strategi operasional oleh manajemen. Selanjutnya strategi organisasi tersebut harus didukung oleh strategi aktivitas audit internal. Untuk mendukung strategi aktivitas audit internal dalam mendukung pencapaian misi organisasi tersebut, maka proses internal di dalam aktivitas audit internal harus senantiasa ditingkatkan dengan memberdayakan sumber daya dengan pembelajaran terus menerus dan selalu mencari inovasi baru. Dengan demikian akan tampak alignment antara misi perusahaan hingga ke sumber daya aktivitas audit internal.
Selanjutnya keempat perspektif tersebut diturunkan lagi dalam indikator-indikator kinerja kunci (KPI - Key Performance Indicators) yang contoh-contohnya dapat dilihat sebagaimana gambar berikut ini:
Sebagaimana terlihat pada contoh di atas, tidak semua indikator bisa dengan mudah dibuat dalam pengukuran kuantitatif. Jumlah jam training, persentase realisasi penugasan, jumlah temuan berulang, persentase rekomendasi yang diiplementasikan, dan semacamnya merupakan indikator yang mudah diukur. Namun indikator yang menunjukkan tingkat persepsi yang bersifat kualitatif seperti kepuasan manajemen/auditee dan Komite Audit, memerlukan teknik lebih lanjut agar dapat diukur dan diperbandingkan dari waktu-waktu. Teknik yang sering digunakan misalnya dengan skala ordinal dan atau statistik nonparametrik.
Tentu saja, tidak ada satu alat ukur yang akan berlaku sama untuk setiap organisasi. Aktivitas audit internal di satu organisasi dapat berbeda dengan organisasi yang lain dalam struktur, proses, ukuran, jumlah staf, tools dan teknik yang digunakan, budaya organisasi, dan lain-lainnya. Perbedaan-perbedaan tersebut dapat menyebabkan satu indikator bisa berlaku di satu organisasi namun tidak bisa berlaku di organisasi yang lain. Namun, betapapun bervariasinya aktivitas audit internal dan teknik yang digunakan, pengukuran kinerja di mana-mana satu pada tujuan yaitu peningkatan kualitas. Peningkatan kualitas ditunjukkan dengan kesesuaian operasional aktivitas audit internal terhadap kerangka praktik profesi, berjalan secara efektif dan efisien, serta senantiasa mengarah ke perbaikan dan peningkatan dalam mendukung pencapaian misi organisasi.
Bagaimana dengan pengukuran di organisasi Anda sendiri?
IV. Kode Etik Auditor Internal
Prinsip
Auditor internal diharapkan menerapkan dan menegakkan prinsip-prinsip sebagai berikut:1. Integritas
Integritas auditor internal membangun kepercayaan dan dengan demikian memberikan dasar untuk landasan penilaian mereka.
2. Objektivitas
Auditor internal menunjukkan objektivitas profesional tingkat tertinggi dalam mengumpulkan, mengevaluasi, dan mengkomunikasikan informasi tentang kegiatan atau proses yang sedang diperiksa. Auditor internal membuat penilaian yang seimbang dari semua keadaan yang relevan dan tidak dipengaruhi oleh kepentingan-kepentingan mereka sendiri atau pun orang lain dalam membuat penilaian
3. Kerahasiaan
Auditor internal menghormati nilai dan kepemilikan informasi yang mereka terima dan tidak mengungkapkan informasi tanpa izin kecuali ada ketentuan perundang-undangan atau kewajiban profesional untuk melakukannya.
4. Kompetensi
Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal.
Aturan Perilaku
1. IntegritasAuditor Internal:
1.1. Harus melakukan pekerjaan mereka dengan kejujuran, ketekunan, dan tanggung jawab.
1.2. Harus mentaati hukum dan membuat pengungkapan yang diharuskan oleh ketentuan perundang-undangan dan profesi.
1.3. Sadar tidak boleh terlibat dalam aktivitas ilegal apapun, atau terlibat dalam tindakan yang memalukan untuk profesi audit internal atau pun organisasi.
1.4. Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari organisasi.
2. Objektivitas
Auditor Internal:
2.1. Tidak akan berpartisipasi dalam kegiatan atau hubungan apapun yang dapat mengganggu, atau dianggap dianggap mengganggu, ketidakbiasan penilaian mereka. Partisipasi ini meliputi kegiatan-kegiatan atau hubungan-hubungan yang mungkin bertentangan dengan kepentingan organisasi.
2.2. Tidak akan menerima apa pun yang dapat mengganggu, atau dianggap dianggap mengganggu, profesionalitas penilaian mereka.
2.3. Harus mengungkapkan semua fakta material yang mereka ketahui yang, jika tidak diungkapkan, dapat mengganggu pelaporan kegiatan yang sedang diperiksa.
3. Kerahasiaan
Auditor Internal:
3.1. Harus berhati-hati dalam penggunaan dan perlindungan informasi yang diperoleh dalam tugas mereka.
3.2. Tidak akan menggunakan informasi untuk keuntungan pribadi atau yang dengan cara apapun akan bertentangan dengan ketentuan perundang-undangan atau merugikan tujuan yang sah dan etis dari organisasi.
4. Kompetensi
Auditor Internal:
4.1. Hanya akan memberikan layanan sepanjang mereka memiliki pengetahuan, keterampilan, dan pengalaman yang diperlukan.
4.2. Harus melakukan audit internal sesuai dengan Standar Internasional Praktik Profesional Audit Internal.
4.3. Akan terus-menerus meningkatkan kemampuan dan efektivitas serta kualitas layanan mereka.
The Balanced Scorecard(BSC) telah mengubah kinerja banyak perusahaan di seluruh penjuru dunia. Sejak 1992, sistem manajemen kinerja ini telah membantu banyak manajemen puncak menentukan tujuan dan strategi perusahaan dan menerjemahkannya secara konkret ke dalam suatu set cara pengukuran. Apa yang telah membuatnya begitu sukses adalah bahwa BSC mampu menerjemahkan strategi ke dalam sebuah proses yang bukan hanya menjadi milik manajemen puncak, namun juga setiap individu pada setiap level di dalam perusahaan. Setiap pegawai megetahui bukan hanya “apa” yang harus dilakukannya, namun juga “mengapa” dia melakukan itu. Namun yang lebih penting lagi adalah bahwa BSC tidak melulu memandang strategi dalam kaitan aspek finansial semata, namun juga aspek tiga “tambahan” lain yaitu: 1) hubungan dengan pelanggan, 2) proses internal, serta 3) pembelajaran dan pertumbuhan.
Banyak pihak percaya, bahwa ketiga aspek tambahan tersebut bukanlah hal yang benar-benar baru. Namun sebagai sebuah kerangka pemikiran, dunia harus mengakui bahwa Robert S. Kaplan, seorang profesor akunting pada Harvard Business Shool, beserta David P. Norton, seorang konsultan teknologi informasi, yang telah berjasa merumuskan konsep pemikiran tersebut sehingga menjadi sebuah sistem yang dapat menjadi acuan bagi perusahaan-perusahaan yang ingin menerapkan sistem ini secara sistematis.
Konsep itu sendiri merupakan pemikiran yang tidak statis dan tidak pula bersifat sekali-jadi. Sejak pertama kali muncul dalam artikel di Harvard Business Review pada edisi Januari-Februari 1992, Kaplan dan Norton secara evolutif berdasarkan bukti-butkri empirik dari pengalaman-pengalaman perusahaan-perusahaan yang disurvey dalam penerapan konsep ini, telah memoles dan mempertajam konsep ini dari tahun ke tahun hingga yang mutakhir konsep ini semakin lengkap dengan konsep Strategy-focused Organisation (SFO). Tulisan ini berusaha memotret dan mengintegrasikan evolusi pemikiran Kaplan dan Norton tersebut dari sumbernya yang asli, yaitu artikel-artikel dan buku-buku yang ditulis oleh mereka berdua terkait dengan BSC.
KONSEP BSC
BSC sebagai Sistem Pengukuran yang Mengarahkan Kinerja
Kaplan dan Norton (1992) mengatakan kepada para eksekutif senior: “What you measure is what you get“. Secara singkat ungkapan tersebut ingin mengatakan bahwa sistem pengukuran kinerja betul-betul akan mempengaruhi kinerja dan perilaku individu-individu di dalam perusahaan. Masalahnya, perspektif apa saja yang perlu diperhatikan dalam pengukuran kinerja? Ketika awal era industrialisasi, secara tradisional orang merasa cukup dengan ukuran-ukuran akuntansi keuangan seperti return on investment (ROI) atau earnings per share (EPS). Namun pengukuran perspektif keuangan saja ternyata tidak memuaskan. Orang juga mulai memerlukan informasi yang berkaitan dengan kinerja operasional. Bahkan ada sebagian orang yang mengatakan “Lupakan saja pengukuran perspektif keuangan. Fokuskan upaya pada perbaikan operasional seperti siklus waktu dan tingkat kerusakan produk. Pada akhirnya ini akan berdampak juga pada perspektif finansial.”
Jelas bahwa pengukuran tunggal tidak lagi mencukupi. Ibarat seorang sopir yang tengah mengendarai mobil, tidak cukup dengan dashboard yang hanya menunjukkan pengukuran bahan bakar. Dia juga memerlukan petunjuk pengukuran kecepatan, temperatur mesin, putaran mesin, dan sebagainya. Inilah yang kemudian melatarbelakangi Kaplan dan Norton merumuskan konsep pengukuran kinerja yang dinamakan The Balanced Scorecard (BSC). Keseimbangan (balanced) di sini menunjuk pada adanya kesetimbangan pada perspektif-perspektif yang akan diukur, yaitu antara perspektif keuangan dan perspektif nonkeuangan sebagai berikut:
- Perspektif pelanggan, yaitu untuk menjawab pertanyaan bagaimana customer memandang perusahaan.
- Perspektif internal, untuk menjawab pertanyaan pada bidang apa perusahaan memiliki keahlian.
- Perspektif inovasi dan pembelajaran, untuk menjawab pertanyaan apakah perusahaan mampu berkelanjutan dan menciptakan value.
- Perspektif keuangan, untuk menjawab pertanyaan bagaimana perusahaan memandang pemegang saham.
Kaplan dan Norton menggambarkan keseimbangan hubungan-hubungan perspektif pengukuran-pengukuran tersebut sebagai berikut:
Selanjutnya Kaplan dan Norton memberikan contoh tujuan-tujuan dan pengukuran kinerjanya untuk keempat perspektif tersebut pada sebuah perusahaan manufaktur sebagai berikut:
Terlihat dalam contoh tersebut, bagaimana pengukuran secara spesifik dihubungkan pada tujuan-tujuan perusahaan. Pada umumnya misi perusahaan berbicara secara umum mengenai pelanggan. Namun dengan BSC, tujuan dan pengukurannya dibuat dengan lebih rinci dengan memperhitungkan ekspekstasi pelanggan terkait dengan waktu, kualitas, kinerja produk, dan biaya. Demikian pula dengan proses internal, secara rinci memusatkan pada kompetensi inti, proses, keputusan, serta tindakan-tindakan yang berpengaruh pada kepuasan pelanggan. Sedangkan inovasi dan pembelajaran menunjukkan keberhasilan masa depan. Perspektif ini mengukur perbaikan terus-menerus terhadap produk dan proses yang sedang berjalan yang memunculkan produk-produk baru serta meningkatkan kemampuan perusahaan.
Dengan kombinasi berbagai perspektif tersebut, menjadikan pengukuran kinerja bukan lagi semata domain dari direktur keuangan atau controller, namun juga orang-orang di lini bisnis yang mengetahui secara persis operasional yang berlangsung dalam perusahaan. Juga, pengukuran bukan lagi bersifat satu arah dan bertujuan sebagai pengendalian, namun bersifat multi arah dimana setiap bagian dan individu dalam perusahaan mengetahui visi perusahaan dan tujuan pada setiap level serta menetapkan sistem yang membantunya mengukur kinerja yang harus dilakukan dalam mencapai visi dan tujuan tersebut. Inilah mengapa BSC menjadi sistem pengukuran yang mendorong kinerja.
BSC sebagai Sistem Manajemen Strategik
Penerapan BSC dari tahun ke tahun mengalami pengayaan manajerial. Banyak perusahaan yang menerapkan konsep ini mendapatkan manfaat bahwa adanya gap antara strategi jangka panjang dengan tindakan jangka pendek yang selama ini ada dapat diatasi dengan BSC. Selama ini sebagian besar sistem pengendalian manajemen didasarkan pada pengukruan dan target finansial, yang jarang sekali terkait dengan jangka panjang. Sementara, menurut Kaplan dan Norton (1996a), BSC membantu manajemen melakukan empat proses manajemen baru yang menghubungkan antara startegi jangka panjang dengan tindakan jangka pendek. Keempat proses tersebut adalah sebagai berikut:
Proses pertama – menerjemahkan visi – membantu para manajer membangun suatu konsensus di sekitar strategi dan visi organisasi. Meskipun maksud para manajemen puncak itu baik, namun banyak pernyataan visi seperti “menjadi terbaik di kelasnya,” “menjadi penyalur nomor satu,” atau suatu “organisasi yang diberdayakan” tidak dengan mudah dapat diterjemahkan dengan terminologi operasional yang oleh karenanya juga tidak mudah dilaksanakan oleh individu di dalam perusahaan. Dengan BSC, visi dan strategi diterjemahkan dengan suatu set tujuan dan pengukuran yang integratif, disetujui oleh para eksekutif senior dan menggambarkan arah jangka panjang menuju sukses.
Proses yang kedua- berkomunikasi dan menghubungkan- membantu para manajer mengomunikasikan strategi mereka ke seluruh organisasi dan menghubungkannya ke sasaran hasil individu dan per departemen. BSC memberikan cara bagi para manajer untuk memastikan bahwa semua tingkatan di dalam organisasi memahami strategi jangka panjang dan bahwa sasaran individu serta departemen tidak ‘lari’ dari strategi tersebut.
Proses yang yang ketiga – perencanaan bisnis- memungkinkan perusahaan untuk mengintegrasikan bisnis mereka dengan rencana keuangan. Hampir semua organisasi menerapkan berbagai program perubahan, bersama para ahli, guru, dan konsultan masing-masing, bersaing untuk mendapatkan perhatian, energi, dan sumber daya dari eksekutif senior. Para manajer mengalami kesulitan untuk mengintegrasikan prakarsa yang berbeda itu untuk mencapai tujuan strategik mereka. Situasi seperti ini akan mengantarkan perusahaan pada kekecewaan atas hasil program-program tersebut. Dengan BSC, para manajer dapat melihat program mana yang dapat menjadi prioritas sumber daya, yaitu hanya program yang mengarah pada tujuan strategik perusahaan.
Proses yang keempat – umpan balik dan pembelajaran- memberi perusahaan kapasitas untuk apa yang disebut dengan pembelajaran strategik. Secara tradisional, umpan balik yang ada dan proses review memusatkan pada apakah – perusahaan, departemen, atau individu karyawannya sudah memenuhi target atu tujuan finansialnya. Namun dengan BSC, suatu perusahaan dapat memonitor akibat jangka pendek dari ketiga perspektif lainnya -pelanggan, proses bisnis internal, serta pembelajaran dan pertumbuhan- dan mengevaluasi strategi dipandang dari sudut kinerja terakhir. BSC dengan demikian dapat memungkinkan perusahaan memodifikasi strateginya secara real time.
BSC Menerjemahkan Visi dan Strategi Menjadi Aksi
Di atas telah disebutkan adanya gap antara pernyataan visi dan misi dengan kebutuhan aktual setiap individu di dalam perusahaan untuk bertindak sesuai dengan visi dan misi tersebut. Boleh jadi seluruh manajemen dan karyawan perusahaan menyepakati salah satu pernyataan misi bahwa perusahaan “memberikan layanan yang prima kepada pelanggan yang setia”. Namun bukan tidak mungkin, dalam operasional sehari-hari terjadi perbedaan persepsi antara individu yang satu dengan yang lain ketika harus menerjemahkan “layanan yang prima”. Atau bisa jadi, akan terjadi perbedaan image antara individu satu dengan yang lain mengenai “pelanggan yang setia”. Artinya, pada umumnya pernyataan visi dan misi/strategi terlalu umum sehingga tidak memungkinkan setiap individu di dalam perusahaan untuk bertindak secara terukur dan standar.
Dengan BSC, manajemen senior di dalam perusahaan akan memiliki konsensus yang sama dalam penerjemahan visi dan strategi perusahaan serta setiap individu memahami ukuran-ukuran tindakan apa yang sesuai dengan visi dan strategi tersebut. Kaplan dan Norton (1996a) menggambarkan penerjemahan visi dan strategi tersebut dalam gambar berikut. Dalam gambar tersebut terlihat bagaimana visi dan strategi akan diterjemahkan dalam keempat perspektif, masing-masing dalam bentuk tujuan, ukuran, target, dan inistiatif untuk level perusahaan.
Selanjutnya, tujuan, ukuran, target, dan inisitiatif pada level perusahaan tersebut akan diturunkan lagi ke level departemen dan personal, dengan contoh sebagai berikut:
Personal scorecard ini menjadi alat bagi perusahaan dalam mengkomunikasikan tujuannya kepada individu atau tim yang melakukan pekerjaan di lapangan.
BSC sebagai Alat Memetakan Strategi
Pada uraian di atas telah dijelaskan bagaimana BSC menerjemahkan dan membuat keterhubungan antara visi dan strategi perusahaan pada level yang paling atas hingga level individu dalam bentuk tujuan-tujuan, ukuran-ukuran, target, dan inisiatif. Sampai pada titik ini, strategi belum dieksekusi. Ibarat satu kompi pasukan yang siap bertempur maka setiap individu dalam pasukan, dari komandan hingga anggota, telah menyepakati dan memahami strategi apa yang digunakan dalam peperangan.
Namun untuk mengeksekusi strategi, akan lebih baik lagi apabila strategi dimaksud dapat divisualisasi dalam bentuk peta strategi. Sama halnya dengan yang dihadapi pasukan tersebut, perusahaan juga memerlukan peta strategi untuk menunjukkan pola hubungan sebab akibat di antara aspek-aspek dalam BSC secara visual. Kaplan dan Norton (2000) menunjukkan contoh bagaimana perusahaan dapat memetakan strategi sebagai berikut:
Peta stratetgi di atas menunjukkan bagaimana perusahaan akan mengkonversi aset-aset yang dimilikinya ke outcome yang diharapkan. Pada gambar tampak bagaimana pegawai memerlukan pengetahuan, ketrampilan, dan sistem (perspektif pembelajaran dan pertumbuhan) untuk membuat inovasi dan membangun strategi yang efisien (perspektif proses internal) sehingga mereka dapat memberikan nilai lebih kepada pasar (perspektif pelanggan), yang pada akhirnya akan meningkatkan return dan nilai pemegang saham (perspektif keuangan).
BSC sebagai Alat Penghubung Aset Tak Berwujud dengan Nilai Pemegang Saham
Peta strategi yang dibahas di atas bukan hanya menunjukkan pola hubungan sebab akibat antarperspektif, namun lebih jauh lagi dapat menunjukkan hubungan antara aset tak berwujud (intangible asset) dengan penciptaan nilai pemegang saham. Kaplan dan Norton (2004) menunjukkan keterhubungan tersebut dalam peta strategi berikut:
Sebagaimana terlihat pada perspektif pertumbuhan dan pembelajaran pada peta strategi di atas, Kaplan dan Norton mengidentifikasi tiga aset tak berwujud utama suatu perusahaan yaitu: 1) Human Capital, 2) Information Capital, dan 3) Organization Capital. Ketiga aset ini tidak ternilai dengan sistem akuntansi yang tradisional. Padahal sudah tentu ketiga aset inilah justru yang secara kompetitif bisa menjadi keunggulan karena sifatnya yang sulit untuk diimitasi. Ketiga aset tak beruwujud ini harus terintegrasi dengan proses internal dan perlu dinilai seberapa kuat kapabilitasnya dalam menciptakan nilai pelanggan yang pada akhirnya menciptakan nilai pemegang saham.
MEMBANGUN BSC
Menghubungkan pengukuran dengan strategi merupakan inti dari keberhasilan proses pengembangan scorecard. Untuk itu menurut Kaplan dan Norton (1993) terdapat tiga pertanyaan kunci, yaitu:
1. Bila perusahaan berhasil mencapai visi dan strateginya, maka bagaimana perusahaan bisa terlihat berbeda:
• di mata pemegang saham dan pelanggan?
• dalam kaitan dengan proses internal?
• dalam kaitan dengan kemapuan perusahaan untuk menciptakan inovasi dan bertumbuh?
2. Apa faktor sukses kritikal (critical success factors) untuk setiap perspektif dari keempat perspektif tersebut?
3. Apa pengukuran kunci yang akan memberitahu perusahaan bahwa dia telah mencapai faktor sukses tersebut sesuai dengan yang direncanakan?
Setiap organisasi bersifat unik sehingga cukup sulit untuk menyamaratakan tahap-tahap pengembangan BSC antara satu perusahaan dengan perusahaan yang lain. Namun Kaplan dan Norton (1993) memberikan gambaran umum mengenai bagaimana projek pengembangan BSC dapat dilakukan, sebagai berikut:
1. Persiapan
Organisasi harus mendefinisikan terlebih dahulu unit bisnis di mana suatu scorecard level atas akan diterapkan. Unit bisnis ini secara umum ditandai dengan adanya pelanggan, saluran distribusi, fasilitas produksi, dan pelaporan keuangan tersendiri.
2. Interview: Putaran yang pertama
Masing-masing manajer senior di bisnis unit -biasanya antara 6 sampai 12 eksekutif- menerima materi yang berkaitan dengan penyusunan BSC seperti dokumen internal yang menguraikan visi perusahaan, misi, dan strategi. Facilitator BSC (baik konsultan dari luar maupun dari dalam perusahaan yang mengorganisir projek) melakukan wawancara sekitar 90 menit terhadap masing-masing eksekutif senior untuk memperoleh masukan dari mereka mengenai tujuan strategis perusahaan dan atas proposal pengukuran BSC yang masih tentatif. Facilitator boleh juga mewawancarai beberapa pemegang saham untuk mendapatkan pemahaman mengenai harapan mereka terhadap kinerja keuangan perusahaan. Demikian juga terhadap beberapa pelanggan dan pemasok utama perusahaan.
3. Workshop Eksekutif: Putaran Pertama
Sekelompok manajemen puncak tersebut dibawa bersama-sama dengan facilitator untuk mengikuti proses pengembangan scorecard dengan mengacu pada diagram berikut ini:
Selama workshop, kelompok tersebut dapat berdebat mengenai statemen strategi dan misi yang diusulkan hingga dapat dicapai sebuah konsensus. Kelompok kemudian berpindah dari misi dan statemen strategi untuk kemudian menjawab 3 pertanyaan kunci di atas. Dokumentasi wawancara dengan pemegang saham, pelanggan, dan pemasok dapat disampaikan kepada kelompok tersebut untuk memberikan gambaran bagaimana ekspektasi para stakeholder. Setelah mendefinisikan faktor sukses kunci tersebut, kelompok kemudian merumuskan suatu BSC pendahuluan yang telah mengandung pengukuran untuk tujuan-tujuan strategis tersebut. Seringkali, kelompok mengusulkan jauh lebih banyak dari empat atau lima ukuran untuk masing-masing perspektif. Pada tahap ini, tidak perlu membatasi aneka pilihan tersebut, walaupun bisa saja kelompok langsung memutuskan ukuran-ukuran yang dipandang memilik prioritas rendah.
4. Interviews: Putaran Kedua
Facilitator meninjau ulang, memperkuat, dan mendokumentasikan keluaran dari workshop eksekutif di atas dan mewawancarai masing-masing eksekutif senior tentang BSC pendahuluan tersebut. Facilitator juga meminta pendapat tentang isu-isu yang mungkin muncul bila BSC jadi diterapkan.
5. Workshop Eksekutif: Putaran Kedua
Workshop putaran kedua ini tidak hanya melibatkan manajemen senior, namun juga manajemen tingkat menengah. Kembali lagi mereka berdebat mengenai visi dan strategi perusahaan, serta BSC pendahuluan yang telah dihasilkan dari tahap sebelumnya. Selanjutnya, para peserta bekerja di dalam kelompok, memberikan komentar dan merencanakan implementasinya. Pada akhir acara, peserta diminta untuk merumuskan sasaran untuk masing-masing dari ukuran yang diusulkan, termasuk tingkat keberhasilan yang ditargetkan demi peningkatan kinerja perusahaan.
6. Workshop Eksekutif: Putaran Ketiga
Kelompok eksekutif senior bertemu kembali untuk mencapai sustu konsensus final mengenai vision, tujuan, dan pengukuran yang dikembangkan dalam dua kali workshop sebelumnya; untuk kemudian menetapkan taget untuk masing-masing ukuran; dan untuk mengidentifikasi program tindakan persiapan untuk mencapai target. Kelompok harus sepakat mengenai program implementasi yang akan dijalankan, termasuk mengomunikasikan scorecard ke karyawan, mengintegrasikan scorecard ke dalam filosofi manajemen, dan mengembangkan sistem informasi untuk mendukung scorecard tersebut.
7. Implementasi
Suatu kelompok baru dibentuk untuk menyusun rencana implementasi scorecard, termasuk menghubungkan tiap ukuran dengan database dan sistem informasi, mengomunikasikan scorecard ke seluruh organisasi, dan mendorong dan memfasilitasi pengembangan pengukuran hingga ke level unit kerja yang lebih rendah.
8. Review berkala
Setiap triwulan, kuartal, atau setiap bulan, laporan dari BSC disampaikan baik kepada manajemen puncak mapun ke unit-unit kerja untuk direview, didiskusikan dan ditindaklanjuti. Pengukuran-pengukuran BSC direview kembali setiap tahun sebagai bagian dari perencanaan strategik, penentuan sasaran, dan alokasi sumber daya.
KELEBIHAN BSC
Yang menjadikan BSC memiliki nilai lebih dibandingkan dengan pengukuran kinerja tradisional adalah karena dia memiliki karakteristik sebagai berikut:
- BSC merupakan suatu turunan dari strategi dan misi perusahaan secara top-down. Sebaliknya, ukuran kebanyakan perusahaan adalah secara bottom-up: yaitu diperoleh dari aktivitas di bawah datau bersifat ad-hoc, sehingga seringkali tidak relevan dengan strategi secara keseluruhan.
- BSC bersifat memandang ke depan (forward looking). Hal tersebut memperhitungkan keberhasilan bukan hanya saat ini namun juga bagaimana perkiraannya di masa depan. Ini berbeda dengan pengukuran kinerja keuangan tradisional yang hanya menunjukkan kinerja periode yang telah lewat.
- BSC mengintegrasikan pengukuran internal dan eksternal. BSC tidak hanya mengukur net operating income, misalnya (eksternal) namun juga mengukur mengenai produk baru (internal). Ini membantu para manajer melihat di mana mereka telah melakukan trade-off di antara aspek pengukuran kinerja di masa lalu, dan membantu mereka memastikan bahwa keberhasilan masa mendatang untuk satu aspek bukan dengan merugikan aspek lainnya.
- BSC membantu perusahaan lebih fokus karena membuat para manajer mencapai kesepakatan hanya pada aspek pengukuran yang benar-benar kritikal terhadap trategi perusahaan.
- BSC memberikan pengukuran yang lebih komprehensif dan seimbang dengan memasukkan perspektif non keuangan, yang selama ini tidak diperhitungkan dalam pengukuran kinerja tradisional. Padahal sesungguhnya justru ketiga perspektif itulah yang menghasilkan apa yang diukur dalam perspektif keuangan.
- BSC memiliki perspektif yang koheren, dimana perspektif pembelajaran dan pertumbuhan akan mempengaruhi proses internal yang akan memperbaiki nilai kepada pelanggan dan pada akhirnya memperbaiki pula nilai pemegang saham.
- BSC memberikan perspektif yang semuanya terukur. Ini akan memenuhi keyakinan ‘if we can measure it, we can manage it, if we can manage it, we can achieve it’.
YANG PERLU DIPERHATIKAN
Apa yang telah diuraikan di atas adalah sejauh bagaimana perusahaan menetapkan visi dan strategi serta penerjemahannya hingga ke level yang paling bawah di organisasi. Sebagaimana dikritisi oleh para pengamat, di antaranya Kirby dan Schmiesing (2003) dan diakui oleh Kaplan dan Norton dalam websitenya (www.bscol.com) , hal tersebut di atas adalah sebuah langkah membuat strategi menjadi lebih berkualitas. Masalahnya tidak cukup strategi hanya berkualitas, apabila strategi tersebut tidak atau gagal dilaksanakan. Jadi lebih penting lagi adalah langkah lain yaitu mengeksekusi strategi.
Sebagaimana presentasi dalam websitenya ), Norton memberikan lima prinsip yang mentransformasi BSC dari sebuah alat untuk pengukuran kinerja menjadi alat untuk menjadikan organisasi fokus pada strategi (Strategy-focused organization). Kelima prinsip tersebut digambarkan oleh Norton sebagai berikut:
1. Terjemahkan (translate) strategi menjadi istilah operasional, sehingga bisa dipahami oleh setiap individu di dalam perusahaan
2. Hubungkan (align) setiap bagian organisasi yang berbeda-beda dengan strategi
3. Motivasi (motivate) setiap individu di dalam organisasi dengan membuat strategi urusan setiap orang
4. Adaptasi (adapt) dan pembelajaran dengan membuat strategi sebagai sebuah proses yang berkelanjutan
5. Mobilisasikan (mobilize) perubahan melalui kepemimpinan yang kuat
VI. Tanggung Jawab Audit Internal atas Fungsi-fungsi Lainnya (Non-audit)
Di dalam Standar 1130.A2 telah diatur bahwa penugasan assurance pada area-area di mana CAE memiliki tanggung jawab harus diawasi oleh oleh pihak di luar aktivitas audit internal. Dalam kaitan itu diatur lebih lanjut di dalam practice advisory bahwa:
1. Auditor internal tidak diperkenankan untuk menerima tanggung jawab atas fungsi-fungsi atau tugas-tugas non-audit yang secara periodik menjadi objek penilaian audit internal. Jika mereka harus menjalankan tanggung jawab atau tugas dimaksud, dengan sendirinya pada saat itu mereka sedang tidak berfungsi sebagai auditor internal.
2. Ketika aktivitas audit internal, CAE, atau auditor internal secara individu bertanggung jawab atas (temasuk ketika manajemen sedang mempertimbangkan menunjuk) tanggung jawab operasional yang berpotensi menjadi objek audit aktivitas audit internal, independensi dan objektivitas auditor internal terkait mungkin telah terganggu. CAE sekurang-kurangnya perlu mempertimbangkan faktor-faktor berikut dalam menilai dampak terhadap independensi dan objektivitas:
- Hal-hal yang diatur dalam Kode Etik dan Standar.
- Harapan para stakeholders, termasuk para pemegang saham, dewan direksi,manajemen, badan legislatif, badan publik, badan pengawas, dan kelompok kepentingan umum.
- Kewenangan dan tanggung jawab yang termuat dalam piagam audit internal.
- Pengungkapan yang diatur oleh Standar.
- Lingkup audit atas kegiatan atau tanggung jawab yang dilakukan oleh auditor internal.
- Signifikansi fungsi operasional terhadap organisasi (dalam pendapatan, biaya, reputasi, dan pengaruh).
- Durasi atau lama penugasan dan ruang lingkup tanggung jawab.
- Kecukupan segregasi tugas.
- Apakah ada pengalaman sebelumnya atau bukti lain bahwa objektivitas auditor internal mungkin dapat terganggu.
3. Jika piagam audit internal telah mengatur pembatasan tertentu mengenai tugas/fungsi non-audit kepada auditor internal, maka hal tersebut perlu diungkapkan dan didiskusikan manajemen. Jika manajemen bersikeras untuk memberikan penugasan tersebut, maka perlu eskalasi pengungkapan dan diskusi hal ini dengan Dewan. Namun jika piagam audit internal tidak mengatur mengenai hal tersebut, maka pedoman berikut ini dapat digunakan.
4. Apabila aktivitas audit internal menerima tanggung jawab operasional dan operasi tersebut merupakan bagian dari rencana audit internal, CAE harus:
- Meminimalkan gangguan objektivitas dengan menggunakan auditor kontrak, entitas pihak ketiga atau auditor eksternal.
- Memastikan bahwa individu dengan tanggung jawab operasional tidak dilibatkan dalam audit internal operasi yang bersangkutan.
- Memastikan bahwa auditor internal yang melakukan penugasan assurance disupervisi oleh, dan melaporkan hasil penugasan, kepada manajemen senior dan Dewan.
- Mengungkapkan tanggung jawab operasional auditor internal untuk fungsi tersebut,tingkat pentingnya operasi tersebut untuk organisasi (dalam hal pendapatan, biaya, atau informasi terkait lainnya), serta hubungan dengan orang-orang yang melakukan audit.
5. Tanggung jawab operasional auditor ini perlu diungkapkan dalam laporan audit dan juga dalam komunikasi standar auditor internal kepada Dewan. Hasil audit internal juga perlu dibicarakan dengan manajemen dan/atau stakeholder yang dipandang perlu lainnya . Pengungkapan gangguan objektivitas ini tidak meniadakan persyaratan bahwa penugasan assurance terhadap fungsi dimana CAE bertanggung jawab harus diawasi oleh pihak di luar aktivitas audit internal.
VII. Menghitung Kompetensi sang Auditor Internal
Dalam standar audit internal butir 1210 mengenai proficiency dinyatakan bahwa “Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan tanggung jawabnya. Aktivitas Audit Internal secara kolektif harus memiliki atau mendapatkan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan tanggung jawabnya.” Pertanyaannya adalah: pengetahuan, keterampilan, dan kompetensi apa saja kah yang harus dimiliki oleh seorang auditor internal dan secara kolektif harus dimiliki oleh Aktivitas Audit Internal?
KERANGKA
Untuk menjawab pertanyaan tersebut di atas, The Institute of Internal Auditor (IIA) telah, dan terus mengembangkan, Internal Auditor Competency Framework. Kerangka ini disusun oleh para ahli dan sukarelawan berdasarkan survey dan benchmarkingpraktik audit internal secara global, untuk menguraikan tingkat minimum pengetahuan, keterampilan dan kompetensi yang diperlukan auditor internal dan aktivitas audit internal agar dapat secara efektif melaksanakan tanggung jawab profesionalnya. Kerangka ini dibagi dalam empat bidang, yaitu:
- Keahlian Antarpersonal (Interpersonal Skills)
- Peralatan dan Teknik (Tools and Techniques)
- Standar, Teori, dan Metodologi Audit Internal
- Area-area pengetahuan (Knowledge Areas)
Keempat bidang di atas bersifat generik untuk semua industri. Dalam masa-masa mendatang bukan tidak mungkin The IIA akan mengembangkan kompetensi berdasarkan industri secara spesifik.
Keahlian Antarpersonal
Keahlian antarpersonal adalah kemampuan yang dibutuhkan untuk berinteraksi dengan orang lain secara efektif. Dalam bidang keahlian ini seorang auditor internal dipersyaratkan antara lain mampu membuat pengaruh dan memanfaatkan taktik persuasi, menyampaikan pesan dengan jelas dan meyakinkan, serta mau mendengarkan. Selain itu, dia juga harus mampu melakukan fungsi manajemen seperti mengembangkan kebijakan dan prosedur, staffing, perencanaan, penetapan prioritas, mengelola kinerja, dan juga fokus pada customer. Selanjutnya seorang auditor internal juga harus mampu mengelola waktu, menginspirasi orang lain, menjadi katalis perubahan, berkolaborasi dan kooperasi, mengelola konflik, serta menciptakan sinergi kelompok.
Peralatan dan Teknik
Peralatan dan teknik bagi auditor internal ibarat senapan bagi seorang tentara. Dalam hal-hal teknis seorang auditor internal diharapkan mampu menggunakan alat-alat riset operasional dan manajemen, teknik forecasting, manajemen projek, analisis proses bisnis, Balance Scorecard, teknik penilaian risiko, pengendalian, dan governance, teknik pengumpulan data dan teknik analisis (sampling, ekstraksi/pengumpulan data, data mining, korelasi, analisis tren, wawancara, kuesioner, checklist), alat dan teknik pemecahan masalah, serta teknik audit berbantuan komputer (TABK) bila diperlukan.
Standar, Teori, dan Metodologi Audit Internal
Sebagai kompetensi inti seorang auditor internal wajib memahami definisi audit internal, kode etik, standar atribut dan standar kinerja yang diatur dalam standar internasional audit internal. Standar atribut meliputi antara lain maksud, wewenang, dan tanggung jawab audit internal, independensi, keahlian, due professional care, pendidikan berkelanjutan, serta quality assurance. Sedangkan standar kinerja meliputi antara lain manajemen audit internal, seperti: perencanaan, manajemen sumber daya, kebijakan dan prosedur, koordinasi, dan pelaporan kegiatan. Dalam standar kinerja juga diatur mengenai perencanaan, pelaksanaan, pelaporan, dan pemantauan tindak lanjut penugasan.
Area-area Pengetahuan
Area pengetahuan adalah bidang-bidang pengetahuan yang harus dikuasai auditor internal karena sangat berhubungan dengan naturelingkup kerja auditor internal, antara lain: akuntansi keuangan dan manajemen keuangan, akuntansi manajerial,hukum dan ketentuan perundang-undangan, hukum, ekonomi, kualitas, etika dan kecurangan teknologi informasi, serta teori dan perilaku organisasi.
PENILAIAN
Di dalam IA Competency frameworktersebut masing-masing kompetensi dibedakan untuk tingkatan Kepala Eksekutif Audit (CAE), direktur, manajer audit, Supervisor, auditor staf senior, dan auditor staf junior (yang memiliki pengalaman di bawah 1 tahun). Pembedaan kompetensi dilambangkan dalam skala 1 sampai dengan 4, di mana penjelasannya adalah sebagai berikut:
- 1 = Sekedar pengenalan (awareness)
- 2 = Kompetensi dan pengetahuan dasar dengan dukungan dari orang lain
- 3 = Kompeten secara independen dalam situasi yang rutin
- 4 = Kompeten secara independen dalam situasi yang unik dan kompleks
Sebagai contoh penerapan dapat di lihat pada tabel berikut:
Pada contoh sebagaimana terlihat pada tabel di atas, salah satu kompetensi dalam keahlian antarpersonal adalah menggunakan persuasi, di mana seorang CAE dituntut memenuhi skala 4, yang berarti bahwa dia harus mampu menggunakan teknik persuasi tersebut dalam situasi yang paling unit atau kompleks sekali pun. Persyaratan yang berbeda dipersayaratkan secara gradual hingga ke tingkatan auditor staf junior, di mana dia hanya dipersyaratkan pada skala 1 atau sekedar awareterhadap teknik tersebut. Dalam contoh terkait peralatan dan teknik, hampir semua dipersyaratkan pada skala 2, yang berarti bahwa setiap auditor internal pada setiap tingkatan sudah dinilai cukup bila memahami konsep dasar teknik stokastik, dan dalam penerapannya dapat meminta bantuan ahli. Sedangkan pada contoh kompetensi terkait standar dan metodologi audit internal, hampir semua dipersyaratkan pada skala 4 atau 3, yang berarti bahwa setiap auditor pada setiap tingkatan dituntut untuk memahami betul penentuan lingkup penugasan konsultasi.
KESIMPULAN
Setiap kita, auditor internal, dapat menilai kompetensi diri kita masing-masing dengan bantuan competency frameworkdari The IIA di atas. Segera download framework di sini atau di sini utk XL file. Silakan nilai dengan jujur skala kompetensi kita sesuai dengan kriteria penilaian, kemudian bandingkan dengan skala ideal yang diharapkan untuk posisi/tingkatan yang sesuai dengan posisi kita.
Jadi, apakah Anda auditor internal yang kompeten?
VIII. Peran Audit Internal dalam Investigasi Kecurangan
“Jika Anda meng-hire saya untuk menangkap fraudster, ada kemungkinan Anda telah salah orang”, demikian kisah seorang tokoh audit internal Indonesia menceritakan interviewdalam rekrutmen auditor internal yang pernah dialaminya. Demikianlah kenyataannya. Banyak pihak mempersepsi aktivitas audit internal adalah pihak yang paling bertanggung jawab untuk menangkap pelaku kecurangan (fraud). Padahal, auditor internal tidak lah sama dengan investigator ataupun fraud examiner.
Lantas, bagaimana sesungguhnya peran Aktivitas Audit Internal dalam investigasi kecurangan yang perlu dilakukan oleh organisasi?
Memang, banyak di dalam standar audit internal terakhir yang menghubungkan audit internal dengan kecurangan. Di dalam Standard 1200: Proficiency and Due Professional Care, misalnya, auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko terjadinya kecurangan serta mengevaluasi apa yang telah dilakukan organisasi untuk mitigasinya. Hal senada juga diatur dalam standard 2060: Reporting to Senior Management and the Board, Standard 2120: Risk Management, atau Standard 2210: Engagement Objectives. Namun, sebagaimana ditegaskan dalam Standard 1200 tersebut, pengetahuan yang dibutuhkan dimaksud tidak dipersyaratkan pada tingkatan sebagaimana pengetahuan dan keahlian seseorang atau pihak yang tanggung jawab utamanya memang mendeteksi dan menginvestigasi kecurangan.
Sesuai dengan practice guide “Internal Auditing and Fraud”yang dikeluarkan oleh IIA Desember 2009 lalu, peran Aktivitas Audit Internal dalam investigasi tidaklah kaku dan tidak tunggal. Menurut IIA, Aktivitas Audit Internal dimungkinkan untuk memikul tanggung jawab utama investigasi kecurangan. Selain itu, Aktivitas Audit Internal dapat juga bertindak sekadar sebagai penyedia sumber daya untuk investigasi, atau sebaliknya, dapat juga tidak dilibatkan dalam investigasi. Aktivitas Audit Internal dapat tidak terlibat dalam investigasi di antaranya karena harus bertanggung jawab untuk menilai efektivitas investigasi. Sebab lainnya adalah karena tidak memiliki sumber daya yang memadai untuk terlibat dalam investigasi. Apapun pilihannya, pertama sekali pilihan peran tersebut perlu didefinisikan lebih dahulu di dalam piagam audit internal, kebijakan, serta prosedur terkait dengan kecurangan yang ditetapkan di dalam perusahaan. Peran-peran yang berbeda tersebut dapat diterima sepanjang dampak dari pilihan-pilihan peran tersebut terhadap independensi aktivitas audit internal disadari dan ditangani dengan tepat.
Dalam hal Aktivitas Audit Internal diberikan peran utama untuk bertanggung jawab dalam investigasi kecurangan, maka harus dipastikan bahwa tim yang bertugas untuk itu memiliki keahlian yang cukup mengenai skema-skema kecurangan, teknik investigasi, ketentuan perundang-undangan dan hukum yang berlaku, serta pengetahuan dan keahlian lain yang dibutuhkan dalam investigasi. Tenaga staf yang diperlukan dapat diperoleh dari dalam (in-house), outsourcing, atau kombinasi dari keduanya.
Dalam beberapa kasus, audit internal juga dapat menggunakan staf nonaudit dari unit lain di dalam organisasi untuk membantu penugasan. Hal ini sering terjadi bila keahlian yang diperlukan beragam dan tim harus dibentuk dengan segera. Dalam hal organisasi membutuhkan ahli eksternal, CAE perlu menetapkan syarat-syarat yang harus dipenuhi lembaga penyedia sumber daya eksternal terutama dalam hal kompetensi dan ketersediaan sumber daya.
Dalam hal di mana tanggung jawab utama untuk fungsi investigasi tidak ditugaskan kepada Aktivitas Audit Internal, Aktivitas Audit Internal masih dapat diminta untuk membantu penugasan investigasi dalam mengumpulkan informasi dan membuat rekomendasi untuk perbaikan pengendalian internal.
Definisi tersebut merupakan terjemahan bebas dari definisi yang termuat di dalam The International Professional Practices Framework (IPPF) yang dirilis oleh The Institute of Internal Auditors (The IIA) tanggal 1 Januari 2009. Apabila Anda mendapati terjemahan yang kurang tepat sila untuk memberikan masukan. Teks definisi dalam bahasa resmi dalam rilis The IIA ada di bawah ini.
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. (English)
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (Espanol)
L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. (Francais)
6. Perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam pengembangan rencana Aktivitas Audit Internal termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko digunakan untuk mereview area-area yang dapat diaudit (auditable units) dan untuk kemudian dipilih area-area yang memiliki risiko terbesar ke dalam rencana Aktivitas Audit Internal.
7. Auditor Internal mungkin tidak memenuhi kualifikasi yang diperlukan untuk mengevaluasi setiap kategori risiko dan proses ERM di dalam organisasi (misalnya, audit internal terhadap kesehatan dan keselamatan kerja, audit lingkungan, atau instrumen keuangan yang kompleks). CAE harus memastikan untuk menggunakan auditor internal dengan keahlian khusus atau penyedia layanan eksternal untuk melakukan evaluasi dengan tepat.
8. Proses dan sistem manajemen risiko bisa diterapkan secara berbeda-beda di antara organisasi di seluruh dunia, sesuai dengan tingkat kematangan (maturity level) manajemen risiko pada organisasi yang bersangkutan. Apabila organisasi memiliki kegiatan manajemen risiko secara terpusat, peran kegiatan ini termasuk pula mengkoordinasikan dengan manajemen mengenai review terus-menerus terhadap struktur pengendalian agar terus sesuai dengan selera risiko (risk appetite) yang terus bergerak. Proses manajemen risiko yang digunakan di berbagai belahan dunia mungkin memiliki logika, struktur, dan terminologi yang berbeda. Oleh karena itu auditor internal perlu membuat penilaian terhadap proses manajemen risiko organisasi untuk kemudian menentukan bagian mana dari proses tersebut yang dapat digunakan dalam mengembangkan rencana Aktivitas Audit Internal dan bagian mana untuk perencanaan penugasan audit internal secara individual.
9. Faktor-faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi:
- Risiko inheren – Apakah telah diidentifikasi dan dinilai?
- Risiko residual – Apakah telah diidentifikasi dan dinilai?
- Pengendalian mitigasi, rencana kontinjensi , dan aktivitas pemantauan – Apakah telah dikaitkan dengan peristiwa dan / atau risiko individual?
- Daftar risiko (Risk register) – Apakah disusun secara sistematis, lengkap, dan akurat?
- Dokumentasi – Apakah risiko dan kegiatan didokumentasikan?
Selain itu, auditor internal perlu berkoordinasi dengan penyedia layanan assurance lainnya serta mempertimbangkan apakah dapat menggunakan hasil pekerjaan mereka (diatur lebih lanjut dalam practice advisory mengenai Assurance Maps).
10. Piagam audit internal biasanya mengharuskan Aktivitas Audit Internal untuk fokus pada area-area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit internal perlu mengidentifikasi area-area yang memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika Aktivitas Audit Internal mengidentifikasi adanya area-area risiko residual yang tidak dapat diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan rencana kegiatan, termasuk:
- Kegiatan review /assurancePengendalian – di mana auditor internal melakukan review kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa pengendalian telah berjalan dan risiko telah dikelola secara efektif.
- Kegiatan Inquiry- di mana ketika manajemen organisasi mendapati pengendalian tertentu berada pada tingkatan yang tidak dapat diterima terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud.
- Kegiatan konsultasi (Consulting)– di mana auditor internal menyarankan manajemen organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak dapat diterima.
Auditor Internal juga mengidentifikasi pengendalian yang tidak perlu, tumpang tindih, berlebihan, atau kompleks sehingga tidak efisien dalam mengurangi risiko. Dalam kasus-kasus ini, biaya pengendalian mungkin lebih besar daripada manfaat yang didapatkan, sehingga desain pengendalian mungkin perlu diperbaiki.
XI. Mengintip Konsep Standar Pengawasan Intern BUMN
Dalam Seminar Nasional Internal Audit 2010 yang dihelat oleh Forum Komunikasi Satuan Pengawasan Intern (FKSPI) di Bandung 22-23 April lalu, Kementerian BUMN memberikan preview konsep strategis Standar Pengawasan Intern BUMN. Setelah Bank Indonesia mengeluarkan SPFAIB belasan tahun silam dan Bapepam LK mengeluarkan peraturan Peraturan Bapepam LK Nomor IX.I.7 tahun 2008 lalu, beleid dari kementerian BUMN tersebut tentu menjadi hal yang dinantikan oleh SPI BUMN yang bukan merupakan bank dan tidak mencatatkan diri di bursa.
Eksistensi dan Peran SPI
Sebagaimana kita ketahui, ketentuan perundang-undangan yang medukung eksistensi Satuan Pengawasan Intern (SPI) BUMN sudah cukup memadai. Di dalam Undang-undang 19/2003 mengenai BUMN sebagaimana diatur lebih lanjut dalam PP 45/2005 perihal Pendirian, Pengurusan, Pengawasan dan Pembubaran BUMN, diatur mengenai eksistensi, tugas dan tanggung jawab, serta pelaporan SPI sebagai berikut:
- Pada setiap BUMN dibentuk SPI yang dipimpin seorang kepala yang bertanggung jawab kepada Direktur Utama.
- SPI bertugas: (a) membantu Direktur Utama dalam melaksanakan pemeriksaan operasional dan keuangan BUMN, menilai pengendalian, pengelolaan dan pelaksanaannya pada BUMN serta memberikan saran-saran perbaikannya; (b) memberikan keterangan tentang hasil pemeriksaan atau hasil pelaksanaan tugas SPI kepada Direktur Utama; dan (3) memonitor tindak lanjut atas hasil pemeriksaan yang telah dilaporkan.
- Direktur Utama menyampaikan hasil pemeriksaan SPI kepada seluruh anggota Direksi, untuk selanjutnya ditindaklanjuti dalam Rapat Direksi. Direksi wajib memperhatikan dan segera mengambil langkah-langkah yang diperlukan atas segala sesuatu yang dikemukakan dalam setiap laporan hasil pemeriksaan yang dibuat oleh SPI.
- Atas permintaan tertulis Komisaris/Dewan Pengawas, Direksi memberikan keterangan hasil pemeriksaan atau, hasil pelaksanaan tugas SPI.
Bila dirunut ke belakang, pokok-pokok kebijakan semacam itu bahkan telah ada sejak PP 3/1983 tentang Tata Cara Pembinaan Dan Pengawasan Perusahaan Jawatan (Perjan), Perusahaan Umum (Perum) Dan Perusahaan Perseroan (Persero). Namun pengaturan high-level seperti itu tentu masih terlalu global bagi praktik audit internal di lingkungan BUMN, sehingga diperlukan pengaturan lebih lanjut dalam bentuk peraturan menteri untuk lebih meningkatkan peran SPI.
Standar untuk Peningkatan Peran SPI
Secara strategis Kementerian BUMN memandang peran SPI ke depan harus dilakukan dengan penerapan independensi, kompetensi, dan objektivitas, untuk menjamin hasil kegiatan dan hasil pengawasan intern yang berkualitas. Oleh karena itu perlu diatur standar minimal yang harus diterapkan/dilakukan agar independensi, kompetensi, dan objektivitas dapat terlaksana dengan baik. Berikut ini konsep strategis standar pengawasan intern dari Kementerian BUMN:
Dalam konsep strategis tersebut kita melihat bahwa standar ini telah berusaha menyesuaikan diri dengan perkembangan best-practiceaudit internal terkini. Hal ini terlihat antara lain dengan diakomodasikannya peran/tugas SPI yang tidak hanya pada tugas pemeriksaan (assurance) saja, namun juga pada peran consulting. Hal lain terlihat pada pengaturan pada dua aspek pokok, yaitu: struktur dan proses. Bila dianalogikan dengan SIPPAIdari IIA, misalnya, maka pengaturan tersebut akan sepadan dengan standar atribut dan standar kinerja. Sama halnya dengan standar audit internal yang berlaku umum, standar atau pengaturan-pengaturan dalam rancangan peraturan Menteri BUMN ini juga bersifat minimal. Artinya, kualitas kegiatan dan hasil pengawasan SPI BUMN sekurang-kurangnya akan diukur dengan kepatuhan mereka dalam hal struktur dan proses pengawasan intern terhadap standar pengawasan intern BUMN ini.
Substansi Standar Pengawasan Intern BUMN
Dalam paparan pada seminar tersebut di atas, Kementerian BUMN menyampaikan substansi rancangan peraturan menteri BUMN mengenai Pengawasan Intern BUMN, di mana secara garis besar akan mengatur dua aspek, yaitu: struktur dan proses SPI BUMN.
Aspek struktur akan mengatur mengenai:
- Kedudukan , tugas dan fungsi SPI
- Wewenang SPI
- Pertanggungjawaban SPI
- Persyaratan Pengawas Intern
- Piagam pengawasan intern
- Hubungan SPI dengan organ Dewan Komisaris dan Komite Audit
Sementara itu aspek proses akan mengatur mengenai:
- Perencanaan, pelaksanaan, pelaporan pengawasan intern
- Pemantauan tindak lanjut hasil pengawasan intern dan pengawasan eksternal
- Pelaksanaan program quality assurance
- Dokumentasi dan administrasi
Kedua aspek tersebut selanjutnya akan diatur dalam peraturan menteri mengenai Piagam Pengawasan Intern serta Kebijakan dan Prosedur Pengawasan Intern yang di dalamnya mengatur hal-hal sebagai berikut:
Harapan
Kita berharap agar peraturan menteri ini segera bisa direalisasikan. Seratur dua puluh lima (125) SPI BUMN, di luar 16 BUMN yang telah go public(4 di antaranya bank BUMN), memerlukan standar ini agar dapat berperan dengan lebih baik bagi perusahaannya. Banyak hal dititipkan dalam seminar tersebut kepada Kementerian BUMN, dari yang ringan sampai dengan yang ‘berat’ seperti usulan agar Kepala SPI ditempatkan setara dengan direksi, semoga dapat diakomodasi dengan bijaksana oleh kementerian BUMN. Bola terus bergulir, kita tunggu saja golnya, semoga masuk ke gawang yang benar.
Saya sendiri masih menyisakan pertanyaan ringan: Mengapa ‘Pengawasan Intern’ instead of ‘Audit Intern’? Apakah memang ada profesi Pengawas Internal di luar sana?
Anda bisa menjawabnya?
Tidak ada komentar:
Posting Komentar