Internal Audit Sebagai Line Of Defense Ketiga

Bisnis pada abad 21 ini kita tentu mengetahui beragamnya peran internal audit pada perusahaan. Mulai dari sebagai spesialisasi manajemen risiko perusahaan, petugas kepatuhan, kontrol internal,pengendali kualitas, fraud investigators dan lain sebagainya. Masing-masing spesialisasi ini memiliki pendekatan sesuai kebutuhan perusahaan. Beragamnya fungsi internal audit pada perusahaan ini tentunya menimbulkan tantangan tersendiri. Tantangannya adalah untuk menetapkan peran tertentu dan untuk berkoordinasi secara efektif dan efisien di antara unit bisnis yang terdapat pada perusahaan sehingga tidak ada "gap" dalam pengendalian dan ruang lingkup. Tanggung jawab yang jelas harus ditentukan sehingga setiap individu dalam unit bisnis memahami batasan tanggungjawab, risiko dan kontrol atas posisi mereka. Tanpa pendekatan kohesif, terkoordinasi, batasan risiko dan kontrol yang baik maka risiko signifikan mungkin tidak dapat diidentifikasi atau dikelola dengan tepat oleh internal audit.

Masalah seperti diatas terdapat pada perusahaan mana pun, terlepas dari apakah kerangka kerja manajemen risiko perusahaan formal telah digunakan atau tidak. Meskipun kerangka kerja manajemen risiko dapat secara efektif mengidentifikasi jenis-jenis risiko yang harus dikendalikan oleh bisnis modern, kerangka kerja ini tidak didesain secara rinci tentang bagaimana tugas-tugas khusus harus ditetapkan dan dikoordinasikan dalam organisasi.

Before the Three Lines: Risk Management Oversight and Strategy-Setting

Dalam model Three Lines of Defense, kontrol manajemen merupakan garis pertahanan pertama dalam manajemen risiko. Sedangkan fungsi pengendalian risiko dan pengawasan kepatuhan yang ditetapkan oleh manajemen adalah lini pertahanan kedua, dan jaminan independen adalah lini pertahanan yang ketiga. Masing-masing dari tiga " Lines of Defense " ini memainkan peran yang berbeda dalam kerangka tata kelola organisasi yang lebih luas.

Auditor internal memberikan penilaian komprehensif kepada manajemen senior berdasarkan tingkat independensi dan objektivitas tertinggi dalam perusahaan. Tingkat independensi yang tinggi ini tidak tersedia di garis pertahanan kedua. Audit internal memberikan jaminan pada efektivitas tata kelola, manajemen risiko, dan kontrol internal, termasuk cara lini pertahanan pertama dan kedua mencapai tujuan manajemen risiko dan kontrol. Ruang lingkup jaminan ini, yang dilaporkan kepada manajemen senior dan ke badan pengelola, biasanya mencakup:

·Berbagai tujuan, termasuk efisiensi dan efektivitas operasi; pengamanan aset; keandalan dan integritas proses pelaporan; dan kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak.

·Semua elemen manajemen risiko dan kerangka kerja pengendalian internal, yang meliputi: lingkungan pengendalian internal; semua elemen kerangka kerja manajemen risiko organisasi (mis., identifikasi risiko, penilaian risiko, dan respons); informasi dan Komunikasi; dan pemantauan.

·Keseluruhan entitas, divisi, anak perusahaan, unit operasi, dan fungsi - termasuk proses bisnis, seperti penjualan, produksi, pemasaran, keselamatan, fungsi pelanggan, dan operasi - serta fungsi pendukung (misalnya, akuntansi pendapatan dan pengeluaran, sumber daya manusia, pembelian, penggajian, penganggaran, infrastruktur dan manajemen aset, inventaris, dan teknologi informasi).

Menetapkan kegiatan audit internal yang profesional harus menjadi persyaratan tata kelola untuk semua organisasi. Ini tidak hanya penting untuk organisasi yang lebih besar dan menengah tetapi juga untuk entitas yang lebih kecil, karena mereka mungkin menghadapi lingkungan yang sama kompleksnya dengan struktur organisasi yang kurang formal dan kuat untuk memastikan efektivitas tata kelola dan proses manajemen risiko.