Oleh: HS Masanto
Editor : Mahar, Ayun
GRC Advisor, Yayasan Pendidikan Internal Audit (YPIA)
Pandemi Covid-19 telah melumpuhkan aktivitas hampir semua fungsi dalam perusahaan. Tidak terkecuali fungsi audit internal yang kerjanya banyak berhubungan dengan fungsi lain, yakni harus mengunjungi klien (dulu disebut ‘auditee’) untuk mereview dokumen, interview, dan observasi kondisi kegiatan operasi klien.
Selama pembatasan kegiatan masyarakat dua tahun terakhir ini produktivitas auditor internal menurun, terutama karena tidak bisa melakukan berbagai prosedur audit sebagaimana biasanya. Ketersediaan (availability) klien untuk menjalani proses audit terkendala, antara lain karena kebijakan work from home dan pembatasan bepergian mulai tahun 2020.
Beberapa perusahaan bahkan sempat melarang pegawainya untuk melakukan perjalanan ke luar daerah, baik karena kebijakan perusahaan sendiri ataupun karena mengikuti kebijakan kantor pusatnya di luar negeri. Kondisi banyaknya staf auditor yang menganggur, dan tidak tahu harus mengerjakan apa, sudah terasa sejak awal Covid-19.
Ketidak-tersediaan klien untuk menjalani proses audit bukanlah semata-mata karena work from home dan pembatasan perjalanan. Yang lebih fundamental lagi, saat ini klien tidak tersedia secara mental karena pada masa krisis ini mereka harus menata ulang prioritasnya. Fokus klien saat ini adalah pada upaya-upaya melakukan responses dan recovery, menyelamatkan proses-proses dan kegiatan kritis dalam organisasinya yang terdampak Covid-19. Saat ini, kegiatan audit yang konvensional mungkin merupakan prioritas yang rendah bagi klien sendiri maupun bagi pimpinan perusahaan, direksi dan komisaris.
| Box-1 Misi Audit Internal dan Core Principles Misi audit internal adalah untuk ‘meningkatkan dan melindungi nilai organisasi dengan memberikan asurans, advis, dan wawasan yang objektif dan berbasis risiko’ (to enhance and protect organizational value by providing risk-based and objective assurance, advice, and insight). Penugasan audit yang tidak sesuai dengan kondisi masa krisis akibat Covid-19 juga dapat bertentangan dengan, paling tidak, tiga dari 10 core principles auditor internal, sebagai berikut: Prinsip #4 – bahwa audit internal harus ‘selaras dengan strategi, tujuan dan risiko organisasi’ (aligns with the strategies, objectives, and risks of the organization), Prinsip #8 – bahwa audit internal harus ‘memberikan asurans yang berbasis risiko’ (provides risk-based assurance), dan Prinsip #9 – bahwa audit internal harus dapat ‘memberi wawasan, proaktif dan fokus pada masa depan’ (is insightful, proactive, and future-focused) |
Dalam kondisi demikian, apakah audit internal boleh tetap menjalankan program kerja audit tahunan (PKAT) lama yang sudah direncanakan? Melihat besarnya perubahan yang terjadi karena Covid-19, sepertinya tidak banyak program lama yang perlu dijalankan. Auditor internal tidak boleh memaksakan pelaksanaan audit yang sudah tidak relevan dengan prioritas manajemen saat ini dan yang mungkin sekali sudah tidak sesuai dengan profil risiko yang dihadapi perusahaan. Misi audit internal adalah untuk melindungi dan meningkatkan nilai organisasi. Beberapa core principles audit internal meminta kita untuk selaras dengan strategi dan risiko organisasi, serta untuk bekerja berdasarkan risiko, dan proaktif, fokus ke masa depan (lihat Box-1 “Misi Audit Internal dan Beberapa Core Principles”).
Auditor yang melaksanakan program audit yang disusun berdasarkan asumsi risiko masa lalu, pada saat manajemen sedang menyelamatkan nilai perusahaan dari krisis, tentunya dapat menyebabkan auditor gagal menjalankan misi melindungi nilai organisasi, apalagi meningkatkannya. Auditor internal yang menjalankan program audit masa lalu, pada kondisi dan profil risiko yang sudah berubah, jelas menunjukkan fungsi tersebut kurang relevan, tidak selaras dengan risiko yang dihadapi perusahaan, dan tidak fokus pada masa depan.
Bukan berarti harus woles
Lalu apa yang harus dilakukan oleh Satuan Audit internal? Produktivitas turun, staff banyak tidak tahu harus mengerjakan apa? Sementara audit konvensional tidak bisa dijalankan? Banyak yang berpikir, atau terpaksa menyimpulkan, bahwa ini waktunya untuk slow-down, atau kata auditor millenial, waktu yang tepat untuk woles! Ternyata tidak demikian. Survei terhadap apa yang dilakukan oleh Chief Audit executive (CAE, sebutan bagi kepala audit internal) pada masa pandemic ini, ternyata menunjukkan bahwa audit internal cukup gesit dalam menyikapi situasi krisis ini (Institute of Internal Auditor, Audit Executive Centre, ‘Covid-19 Impact on Internal Audit’, 2020). Lebih dari separuh responden (56%) menyatakan bahwa mereka menghentikan atau mengurangi ruang lingkup penugasan audit yang sedang dilakukan. Mereka hanya melanjutkan kegiatan yang penting saja, misalnya audit yang sifatnya mandatory, yang diminta oleh regulator atau stakeholder lain. Selain menghentikan audit yang sedang berjalan, beberapa responden juga membatalkan penugasan-penugasan audit yang direncanakan (45% responden).
Yang menarik, meskipun ada penugasan audit yang dibatalkan, beberapa responden malah menambah penugasan-penugasan baru, terutama yang terkait dengan Covid-19 atau dengan risiko baru yang muncul atau berubah setelah Covid-19 (39% responden). Sejalan dengan semangat ini, ada juga responden yang memperluas atau menambah ruang lingkup pada beberapa penugasan, tentunya yang juga relevan dengan perubahan kondisi organisasi (15% responden). Para auditor ini merespon krisis yang dihadapi perusahaan dengan memutakhirkan rencana auditnya. Ini menunjukkan keluwesan (agilitas) dan kepekaan para auditor tersebut terhadap perubahan risiko pada organisasinya.
Agilitas auditor juga terlihat dari kerelaan auditor untuk melepas ‘topi’ auditornya dan mengarahkan staf auditnya untuk melakukan penugasan-penugasan non-audit. Penugasan ini bisa berupa advisory atau menjalankan proses-proses manajemen yang menjadi kritis akibat Covid-19. Mengarahkan untuk melakukan penugasan non-audit ini dilakukan oleh 38% responden. Selain agilitas, gerakan seperti ini juga menunjukkan bahwa auditor internal berusaha untuk senantiasa selaras dengan strategi, tujuan dan risiko bisnis organisasi, melakukan asurans berbasis risiko, tetap relevan bagi manajemen, serta menjadi pionir dalam meningkatkan dan melindungi nilai organisasi.
Membantu response dan recovery
Auditor dapat membantu atau menjadi bagian dari tim response dan recovery. Auditor dapat membantu manajemen melakukan identifikasi proses dan kegiatan apa saja yang paling terdampak oleh Covid-19, mengidentifikasi dan analisis risiko-risiko yang timbul akibat Covid-19, dan membantu menentukan respons yang tepat.
Identifikasi proses yang terpengaruh Covid-19 dapat membantu manajemen menentukan prioritas terhadap proses atau kegiatan mana yang harus berjalan penuh, sekedar jalan, atau bisa dihentikan sementara. Dalam merespon krisis , perusahaan harus menentukan proses-proses inti yang harus tetap berjalan, meskipun tidak sempurna. Misalnya, dalam organisasi perguruan tinggi, maka proses yang harus tetap jalan, up and running meskipun tidak sempurna, adalah proses belajar-mengajar. Proses lain yang bukan inti, seperti riset atau acara olahraga mungkin bisa dihentikan sementara selama krisis.
Auditor kemudian dapat memberikan saran optimalisasi atau efisiensi biaya yang harus dilakukan pada proses-proses penting tersebut. Auditor juga bisa membantu menghitung atau mengakumulasi biaya-biaya yang terjadi karena Covid-19 untuk keperluan analisis manajemen maupun untuk pelaporan.
Auditor memiliki banyak kelebihan untuk membantu navigasi perusahaan melalui masa krisis ini. Dalam masa krisis, manajemen perlu mengambil keputusan yang tepat berdasarkan informasi yang relevan, benar dan objektif. Auditor internal merupakan sumber informasi yang benar dan objektif. Auditor internal tidak terlibat langsung dengan kegiatan operasional, sehingga tentunya dapat menjaga agar informasi yang disampaikan adalah benar dan objektif, tidak terpengaruh oleh potensi konflik kepentingan. Selain informasi yang objektif, internal auditor juga diharapkan dapat memberikan informasi, pandangan dan saran yang relevan dan komprehensif, karena internal auditor terbiasa melihat hampir semua sektor dalam organisasi secara bird-eye view.
Dalam melakukan audit, audit internal biasanya melakukan review dan analisis terhadap berbagai data untuk mencari pola hubungan yang ada dari data tersebut. Keterampilan review dan analisis ini membuat auditor mampu memberikan insight (wawasan) atas bagaimana berjalannya sistem dan proses saat ini, maupun risiko dan peluang yang dapat terjadi di masa mendatang.
Dari response ke recovery
Sebagai pihak yang tidak melakukan kegiatan sehari-hari, auditor internal diharapkan bisa melihat dengan mata lebih segar dan jangka panjang. Sementara klien dan manajemen sedang sibuk dan perhatiannya fokus pada merespon krisis, auditor diharapkan dapat memberi masukan dan membantu tim untuk melihat jangka lebih panjang, dari fokus response ke fokus recovery. Auditor memfasilitasi tim untuk menentukan hal-hal apa saja yang harus disiapkan setelah krisis ini berakhir dan kembali ke operasi normal.
Dalam kaitan ini, auditor juga dapat membantu review efektifitas BCP (business continuity planning) dalam menghadapi ujian krisis yang sebenarnya. BCP disiapkan untuk mengantisipasi infrastruktur yang gagal berfungsi, baik infrastruktur informasi dan teknologi, maupun infrastruktur business lainnya. Namun dalam krisis kali ini, umumnya infrastruktur tidak bermasalah. Yang tidak berfungsi kali ini adalah ketersediaan SDM dan pasokan bahan. Organisasi harus melakukan analisis post-mortem untuk mengambil lesson learned dan menindaklanjuti, agar organisasi menjadi lebih siap jika terjadi krisis serupa di masa mendatang.
Analisis perubahan pengendalian
Dalam masa darurat krisis, umumnya banyak sistem pengendalian, kebijakan dan prosedur yang dirubah, dilonggarkan, bahkan ada sebagian yang di by-pass. Auditor internal, sebagai ahli dalam pengendalian dan manajemen risiko, harus bisa memberikan saran dan pandangan kepada manajemen mengenai pengendalian, kebijakan dan prosedur mana saja yang perlu dirubah, risiko-risiko apa saja yang mungkin timbul karenanya, dan pengendalian pengganti (compensating controls) yang perlu dibuat untuk sementara waktu. Dengan banyaknya pegawai yang WFH (work from home), auditor juga dapat memberikan saran atas pengendalian-pengendalian yang perlu dibuat atau dirubah. Dalam hal ini, mencakup pengendalian atas akses data, fasilitas dan infrastruktur remote working, dan risiko cyber security yang muncul.
Mengidentifkasi emerging risks
Manajemen juga memerlukan keahlian auditor dalam mengidentifikasi risiko-risiko baru yang dapat timbul (emerging risks). Auditor dalam posisi yang terbaik untuk memberikan advise atas emerging risks, sekali lagi, karena auditor terbiasa melihat organisasi secara menyeluruh (enterprise-wide), tidak melakukan rutinitas kegiatan sehari-hari, dan senantiasa melihat konteks eksternal maupun internal organisasi, seperti politik, ekonomi, sosial, dan teknologi. Dengan kemampuannya untuk melakukan data analytics, auditor juga dapat memberikan insight atas risiko yang dihadapi perusahaan saat ini maupun risiko yang dapat muncul di kemudian hari. Dalam masa pandemik ini, emerging risks dapat muncul karena cyber security, akses terhadap fasilitas dan data dalam rangka kerja jarak jauh, tekanan terhadap pendapatan, permasalahan supply chain, masalah human capital terkait perubahan cara kerja yang disebabkan Covid-19, dan risiko pandemic di masa datang.
Remote auditing dan digitalisasi yang dipercepat
Covid-19 adalah disruptor yang mempercepat segalanya. Sudah cukup lama kita menganjurkan remote auditing. Bahwa auditor internal pada saat mengunjungi site, mestinya tidak dengan tangan kosong. Sudah banyak informasi yang dapat diperoleh secara remote. Auditor sudah dapat meminta data dokumen dari kantor pusat, apalagi kalau sudah menggunakan aplikasi ERP (enterprise resource planning), apalagi kalau sebagian besar data sudah dalam bentuk digital. Auditor juga dapat melakukan observasi kondisi klien dari kantor pusat dengan meminta live-streaming, rekaman video, atau still foto. Auditor juga dapat melakukan interview klien secara remote dengan menggunakan berbagai aplikasi teleconference. Pendekatan yang sudah lama direkomendasikan ini, saat ini dipercepat oleh Covid-19. Kita dipaksa untuk berani menjalankan inovasi yang sebenarnya sudah lama dipikirkan.
Dari sisi manajemen, Covid-19 juga telah mempercepat ‘digitalisasi’, sebuah tema yang sudah lama menjadi slogan pada ulang tahun di berbagai perusahaan. Meskipun sering menjadi ‘komitmen’ manajemen, resistensi terhadap digitalisasi selama ini terbukti begitu besar. Dengan adanya Covid-19 resistensi tersebut seharusnya sudah lenyap. Setelah menjalani beberapa waktu remote working, tentunya manajemen dan staff dapat mengapresiasi betapa mudahnya remote working kalau semua data sudah dalam bentuk digital.
Peluang bagi audit internal: The new normal
Apa yang kita lakukan pada masa ini akan menggambarkan wajah kita sepuluh atau duapuluh tahun ke depan. Kalau audit internal menganggap ini waktu yang tepat untuk slow down, memilih woles, karena tidak boleh dinas ke luar daerah, karena klien pada sibuk, maka di masa datang Satuan Audit Internal akan dilihat sebagai satuan yang tidak menambah nilai. Manajemen akan merasa tidak perlu meminta saran auditor dalam menyelesaikan masalah. Komisaris dan direksi tidak melihat auditor dapat memberikan asurans atas risiko-risiko yang muncul dan apakah perusahaan telah memiliki pengendalian dan mitigasi yang cukup atas risiko tersebut. Woles sama sekali bukan pilihan yang tepat bagi audit internal saat ini.
Masa krisis karena Covid-19 ini adalah peluang emas bagi audit internal untuk menunjukkan kontribusinya dalam meningkatkan dan melindungi nilai organisasi. Masa krisis adalah ‘market moment’, waktunya untuk masuk ke pasar karena harga barang-barang sedang murah murahnya. Dalam masa seperti ini, auditor lebih mudah mendapatkan buy-in (penerimaan atau respon positif) dari klien atau manajemen terhadap advis, solusi, dan asistensi yang diberikan oleh auditor internal.
Banyak sumbangan positif yang bisa kita lakukan dalam masa krisis, antara lain membantu identifikasi respon dan remediasi, efisiensi biaya, mempersiapkan recovery, analisis perubahan risiko dan pengendalian, dan memberi wawasan terhadap emerging risks. Kita belum bisa memprediksi dengan pasti bagaimana suasana organisasi setelah Covid-19 berakhir. Namun, banyak yang percaya bahwa the new normal akan sangat berbeda dengan suasana sebelum Covid-19. Tempat kerja akan semakin otomatis, pintu membuka otomatis tanpa kita perlu menyentuh handle lift dioperasikan dengan voice control, space semakin diperlebar, dan pembersihan semakin sering dilakukan.
Setelah ‘menikmati’ pengalaman dan merasakan manfaat remote working, kemungkinan besar sebagian orang akan tetap memilih menggunakannya, dan enggan kembali ke cara lama yang manual. Digitalisasi semakin dipercepat, karena Covid-19 membuat kita sadar akan kebutuhannya dan berani mewujudkannya. Remote auditing dan data analytic menjadi keharusan bagi audit internal
