Paradigma Lama-Baru Dari Audit Internal Berbasis Risiko

Perlu dipahami bahwa setiap auditor internal harus mempunyai paradigma yang sejalan dengan tujuan organisasi. Cara dan prosedur kerjapun harus disesuaikan dengan tuntutan manajemen ataupun pemangku kepentingan. Hal yang menjadi penting untuk diperhatikan olelh manajemen adalah bagaiman cara yang efektif untuk mewujudkan tujuan-tujuan yang sudah ditentukan sebelumnya, diluar itu manajemen juga harus menyadari risiko yang ada pada setiap pilihan cara yang akan dipilih. Tapi jelas yang diinginkan manajemen risiko yang ada dapat ditekan sekecil mungkin meski manajemen mengetahui bahwa risiko tidak dapat dihilangkan. Disinilah salah satu bentuk fungsi auditor internal, yaitu membantu manajemen memperkecil risiko. Hal ini yang menyebabkan munculnya konsep risk-based internal auditing (RBIA), yang biasa kita sebut dengan audit berbasis risiko ataupun istilah lainnya yang disesuaikan. RBIA adalah metodologi menyatukan antara kerangka manajemen risiko organisasi dengan audit internal. Melalui metodologi ini auditor internal meyakinkan bahwa proses manajemen risiko organisasi yang dijalankan untuk mengelola risiko secara efektif.

RBIA ini pertama kali muncul dikenalkan oleh Selim dan McNamee (1998). Mereka mengemukakan RBIA melalui tulisan yang diterbitkan lembaga IIA dengan judul Risk Management: Changing the Internal Auditor’s Paradigm. Mereka dalam tulisan tersebut mengenalkan satu model untuk memperbaiki proses audit internal dengan cara mengintegrasikan proses manajemen risiko di dalamnya. Selain itu juga menekankan perlunya perubahan paradigm auditor internal dari control-based audit menuju risk-based audit. Selain melalui IIA, Selim dan McNamee juga menawarkan konsep tersebut dengan menulis di International Journal of Auditing yang terbit pada tahun 1999. Jurnal yang mereka terbitkan berjudul: Risk Management and Internal Auditing: What are the Essential Building Blocks for a Successful Paradigm Change?; dan, The Risk Management and Internal Auditing Relationship: Developing and Validating a Model.

Apa yang menjadi dasar bahwa auditor internal harus mengubah paradigma? Bukankan dari awal auditor internal memang bagian dari manajemen atau organisasi yang mempunyai fungsi membantu untuk mendukung manajemen? Ya memang itu, auditor internal memang telah dirancang menjadi bagian dari organisasi dan mendukung manajemen. Maka dari itu auditor internal harus mempunyai Bahasa dan orientasi yang sama dengan manajemen. Namun pada kenyataannya paradigm lama audit internal belum menggunkan Bahasa yang sama dengan manajemen. Paradigm lama terkait auditor internal masih mengedepankan aspek pengendalian (control-based) yang kini dinilai tidak lagi relevan karena hal ini tidak sesuai dengan fokus manajemen. Apabila auditor internal fokus dalam aspek pengendalian bisa saja hal ini menyebabkan arah auditor fiokus pada area/bidang yang sebenarnya bukan menjadi fokus manajemen. Akibatnya apa? Hasil dari audit internal tidak berdampak langsung pada pencapaian tujuan. Bisa jadi hasilnya hanya berupa daftar kelamhann pengendalian dan tambahan-tambahan rekomendasipengendalian yang nantinya justru bisa menambah beban manajemen. Dalam kasus seperti ini apakah auditor dapat bisa mendukung manajemen? Ataukah justru membebani manajemen dengan tanggung jawab baru?. Maka dari itu penting untuk mengubbah paradigm lama auditor internal.

Bagaiman dengan paradigma baru yang berbasis pada risiko? Paradigma ini mengubah fokus auditor internal. Apabila sebelumnya auditor internal fokus pada pengendalian, dalam paradigm ini auditor difokuskan pada risiko. Mengapa risiko? Karena risiko merupakan hal-hal yang menjadi penghambat dalam pencapaian tujuan organisasi. Fokus pada risiko membuat auditor memiliki Bahasa yang sama dengan kemauan manajemen. Selain itu manajemen juga berharap proses pencapaian tuujuan organisasi menjadi lebih mudah karena risiko-risiko yang ada telah diidentifikasi dengan baik dan segala tindak lanjut dalam proses penanganannya telah diuji keandalannya melalui proses audit internal. Lantas setelah fokus audit internal berpindah dari pengendalian ke risiko apakah manajemen tak perlu lagi bantuan terkait masalah pengendalian? Jelas perlu, namun dalam hal ini prioritasnya saja yang berbeda. Fungsi pengendaliannya fokus pada yang berdampak langsung terhadap pencapaian tujuan. Bahkan diluar itu auditor internal dituntut untuk memliki kemampuan lebih untuk bisa mengaitkan pengendalian dengan tujuan dan risiko organisasi secara keseluruhan. Dengan demikian maka RBIA membawa perspektif audit internal menjadi lebih kluas dan komprehensif.

Apakah paradigma baru yang berbasis risiko ini menawarkan proses atau teknis implementasi audit yang lebih jelas? Jelas, para pakar dan praktisi audit internal setuju bahwa RBIA didasari dengan menilai risiko. Namun belum ada petunjuk yang sama dan pasti dalam proses lebiih lanjut. Diluar itu para pakar dan praktisi masih mencari jalan dan pola yang ideal untuk menjalankan RBIA secara efektif. Apabila ingin mempelajari lebih lanjut pedoman-pedoman RBIA bisa dilihat dalam pedoman RBIA yang bisa diakses gratis dalam web resmi IIA atau bisa juga denagn membaca buku Risk-Based Auditing karangan Phil Griffiths.

Perencanaan RBIA tradisional ditandai dengan pembuatan semesta audit (audit universe) berdasarkan urutan risikonya. Diawali dengan proses identifikasi semua area yang berpotensi untuk diaudit seperti proses bisnis, wilayah atau unit tertentu yang memang berpotensi. Selanjutnya area tersebut dilakukan penilaian risiko dengan mempertimbangkan berbagai faktor seperti besarnya pendapatan, nilai aset maupun hasil audit terakhir khususnya terkait temuan. Selain hal itu yang diperhatikan adalah masukan dari manajemen dan dewan pengawas. Dari audit universe tersebut dapat dipilih area-area mana yang risikonya berada di urutan atas untuk menjadi objek audit. Kemudian auditor menilai risiko lebih dalam dan rinci atas area yang dipilihnya pada saat pelaksanaan audit. Pendekatan ini menurut Marks tidak melihat risiko secara keseluruhan dalam konteks tujuan organisasi namun masih dipandang secara sempit pada area-area tertentu.

Lalu apa bedanya dengan perencanaan RBIA modern? Pada perencanaan ini proses tidak dimulai dari pembuatan semesta audit tapi dimulai dengan identifikasi risiko-risiko penting yang berpengaruh terhadap pencapaian tujuan organisasi. Marks menyebut hal ini identifikasi semesta risiko (risk universe). Risk Universe menjadi dasar penentu area mana yang nantinya akan dipilih menjadi objek audit. Karena itu rencana audit akan berisi kegiatan-kegiatan untuk mengidentifikasi dan melakukan penilaian pengendalian yang dirancang manajemen untuk mengelola risiko-risikonya yang penting. Tujuan utama RBIA modern adalah memastikan bahwa proses manajemen mampu mengelola risiko-risiko tersebut.

Perbedaan RBIA tradisional dan modern mungkin masih terlihat samar, namun apabila dipelajari dan dipahami lebih dalam, sebenarnya kedua hal tersebut memilik landasan berpikir yang jauh berbeda. Selebihnya adalah hak anda untuk mempelajari lebih jauh dan mempertimbangkan bagaimana dana pola mana yang akan diterpakan.