Internal Audit itu sebenarnya apa sih?

Apa sih internal audit itu?
Beberapa waktu teman saya menelepon untuk bercerita bahwa hari itu dia dipindahkan ke bagian internal audit untuk menjadi internal auditor. Meskipun sudah lebih dari 5 tahun bekerja sebagai staff accounting di perusahaan tersebut, namun dia belum paham tentang internal audit. Sehingga terlontar pertanyaan “Apa sih internal audit itu? apa sih kerjaan internal auditor itu seharusnya? Dan berbagai pertanyaan lain yang intinya menunjukkan ketidakpahamannya terhadap internal audit.
Waktu saya dicerca pertanyaan itu, saya bisa mengerti apabila dia tidak paham, namun sayangnya dia tidak mengerti bahwa tidak gampang menjawab pertanyaannya dalam waktu singkat! Karena terus mendesak, akhirnya saya jawab singkat bahwa pada intinya bidang internal audit adalah tentang tujuan organisasi, ancaman terhadap pencapaian tujuan-tujuan tersebut, kontrol untuk mengurangi ancaman-ancaman ke tingkat yang dapat diterima, dan secara berkesinambungan melakukan pemantauan dan perbaikan komponen-komponen interaktif tersebut.
Menurut Institute of Internal Auditor (IIA), definisi resmi internal audit adalah sebagai berikut:
Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
Internal Audit adalah aktivitas independen, objektif dan konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya secara sistematis, pendekatan secara disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian intern, dan proses tata kelola (apabila dapat diartikan dari governance process).
Dalam beberapa tahun terakhir inti definisi dari internal auditing tersebut tidak berubah, namun demikian khasanah mengenai peranan (role) internal auditor banyak mengalami perkembangan dan paradigma. Sesuai definisi di atas, peranan internal audit adalah untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian intern, dan proses governance.
Lalu apa yang sebenarnya dilakukan oleh internal auditor?
Pada dasarnya, audit internal melibatkan beberapa langkah dan proses yang berulang-ulang dalam pendekatan mereka, tetapi menghasilkan hasil audit yang berbeda tergantung pada sifat dan jenis area yang diaudit. Langkah-langkah dasar dalam proses audit internal adalah sebagai berikut:
1. Melakukan penilaian risiko formal bagi organisasi/perusahaan (apa yang penting untuk dilihat)
2. Menyusun audit universe (apa yang berpotensi untuk dapat dilakukan audit)
3. Menyusun rencana audit berbasis risiko (apa yang akan diaudit dan kapan dilaksanakan)
4. Pelaksanaan rencana audit tahunan (pelaksanaan audit)
5. Peninjauan kembali dan mereformasi (mulai dari awal lagi)
Ini adalah langkah-langkah dasar. Dalam setiap seksi, ada juga standar konsistensi metodologi dan pendekatan yang harus diikuti. Sebagai contoh, untuk setiap pelaksanaan rencana audit tahunan, auditor umumnya melaksanakan langkah-langkah berikut:
1. Memahami dan mendokumentasikan proses dan prosedur dari fungsi atau area yang akan diaudit diaudit (preliminary survey and analysis)
2. Menentukan sasaran audit dari area atau fungsi yang akan diaudit (audit objectives)
3. Menentukan risiko terhadap pencapaian tujuan-tujuan audit tersebut
4. Memahami pengendalian intern yang ada untuk mengurangi risiko ke tingkat yang dapat diterima atau kontrol kelemahan yang ada untuk mendukung risiko
5. Melakukan pengujian terhadap desain yang memadai dan operasional yang memadai efektiv serta mengukur dampak dari kelemahan pengendalian tersebut
6. Melaporkan temuan hasil audit dan memberikan rekomendasi untuk pengendalian intern dan / atau peningkatan efisiensi operasi
7. Memonitor dan melaporkan upaya mitigasi manajemen untuk mengontrol kelemahan yang diidentifikasi berada di luar tingkat toleransi risiko manajemen.
Itulah proses berulang-ulang paling mendasar yang diikuti untuk setiap area yang akan diaudit. Seluruhnya bermuara pada pada risiko, pengendalian intern serta proses governance. Dengan mengikuti langkah-langkah tersebut, maka kita dapat melakukan audit apa pun.
Masalahnya adalah bahwa langkah-langkah tersebut di atas adalah suatu metodologi. Di dalam pelaksanaan audit, bukan hanya metodologi yang dilaksanakan namun juga dipengaruhi oleh faktor keahlian (expertise). Ini adalah tentang bagaimana analisa dan rekomendasi yang diberikan oleh auditor dengan pengalaman audit 1 tahun dapat berbeda dengan yang diberikan oleh auditor dengan pengalaman audit 10 tahun.
Dalam pekerjaannya, Internal Auditor terkadang memperoleh julukan sebagai “polisi Perusahaan”. Hal tersebut karena internal auditor bekerja untuk memeriksa kesalahan-kesalahan yang ada diperusahaan. Namun demikian, dalam perkembangannya, paradigm audit internal modern semakin berkembang, termasuk tugas, peranan dan fungsinya. Salah satu aspek yang memicu adalah risk management dimana Internal auditor modern berhadapan dengan serangkaian risiko pada:
• Efektivitas dan efisiensi operasi
• Reliabilitas dan integritas informasi keuangan dan operasional
• Pengamanan aset
• Hukum, peraturan, atau kepatuhan kontrak

Siapa yang melaksanakan fungsi internal audit?
Fungsi ini tentu saja dilaksanakan oleh Internal Auditor perusahaan. Dalam perkembangan dewasa ini, hampir seluruh perusahaan telah memiliki fungsi internal audit yang dilaksanakan oleh internal auditor perusahaan tersebut, meskipun terkadang hanya berada di level holding company atau di kantor pusat grup perusahaan. Namun demikian, tidak sedikit pula perusahaan yang memilih outsourcing pihak eksternal (konsultan) untuk melaksanakan seluruh fungsi internal audit tersebut. Mekanisme lain adalah sebagian fungsi internal audit dilakanakan oleh staf intern perusahaan (misalnya perencanaan dan pelaksanaan) dan sebagian pelaksanaan fungsi audit lainnya (misalnya supervise dan review) dilaksanakan melalui outsourcing. Mekanisme ini umumnya disebut internal audit co-outsourcing. Internal auditor, Internal audit co-outsourcing atau internal audit outsourcing masing-masing memiliki pertimbangan sisi keuntungan dan kelemahan. Dalam praktiknya pihak internal perusahaan dianggap memiliki pemahaman yang memadai terhadap operasional dan risiko perusahaan, namun pihak internal perusahaan memiliki kelemahan dalam masalah faktor fixed-cost, kepentingan, independensi dan obyektivitas serta benchmarking dan pemahaman best practices. Berbeda dengan pihak eksternal yang memiliki keunggulan dalam independensi, obyektivitas, tidak memiliki kepentingan dalam perusahaan, serta memiliki keunggulan dalam benchmarking terhadap best practices. Selain advantages tersebut, dalam hal biaya, outsourcing tentu memiliki pertimbangan biaya yang lebih efisien dibandingkan dengan biaya yang harus dikeluarkan oleh perusahaan dalam membangun departemen internal audit.