Melanjutkan tulisan sebelumnya tentang Kenapa Assurance itu Penting?, di dunia auditing istilah klien menggambarkan unit kerja atau entitas atau penanggung jawab fungsi yang sedang diperiksa atau diaudit. Beberapa klien kerap bertanya (sebenarnya memprotes) kenapa berulang kali menjalani pengecekan, review, pemeriksaan atau audit. Apapun ragam istilahnya, klien sebenarnya ingin mengekspresikan kekesalan karena berulangkali direpotkan dengan pemeriksan dan sejenisnya.
Klien mengalami pemeriksaan dari internal dan ekstermal. Pemeriksaan atau audit eksternal paling tidak dilakukan oleh akuntan publik untuk kepentingan dan kebutuhan laporan auditor independen atas laporan keuangan. Buat industri tertentu bahkan akan mengalami pemeriksaan eksternal oleh pengawasnya dan yang berstatus BUMN akan mengalami pemeriksaan dari BPK.
Demikian pula pada entitas yang menerapkan pengawasan dan pemeriksaan berlapis, tidak tertutup akan ada kemiripan bentuk pemeriksaan dan tidak tertutup kesamaan klien yang diperiksa dan kesamaan dokumen atau data dan informasi yang diperiksa.
Kesemuanya bermaksud sama yaitu ingin memastikan atau meyakini sesuatu telah berjalan dengan baik dan sesuai dengan ketentuan, kebijakan, target, dan ukuran-ukuran lainnya. Ini artinya kesemua pemeriksa, pe-review, auditor, checker, controller, dan lain-lain berusaha mendapatkan assurance sesuai dengan sudut pandang, pemahaman, kepentingan, dan tujuan masing-masing pemeriksa, pe-review, checker, controller, auditor.
Pertanyaannya dan khususnya berlaku untuk mereka yang melaksanakan internal assurance, apakah harus demikian terjadi yaitu kerap kali terjadi subjek yang diperiksa serupa? Dengan alasan kewenangan yang berbeda dan target kinerja masing-masing yang harus dipenuhi maka ego dan silo itu terus berjalan sepanjang tahun.
Untuk industri jasa keuangan (IJK) yang diatur dan diawasi oleh OJK berlaku ketentuan Tata Kelola Terintegrasi (Peraturan OJK Nomor 18/POJK.03/2014) yang di dalamnya terdapat aturan tentang integrasi satuan kerja audit intern (SKAI). Namun sesuai karakteristiknya yang harus dapat berlaku umum maka bentuk minimal integrasi SKAI atau satuan kerja audit intern terintegrasi (SKAIT) sesuai POJK adalah pemantauan pelaksanaan audit intern pada masing-masing lembaga jasa keuangan (LJK) dalam konglomerasi keuangan dengan cara melakukan audit pada LJK baik secara individual, audit bersama, atau berdasarkan laporan dari Satuan Kerja Audit Intern LJK.
Kepatuhan terhadap POJK yaitu melakukan pemantauan pelaksanaan audit intern pada masing-masing LJK terpenuhi dengan cara mengompilasi laporan hasil audit dari masing-masing LJK. Namun apakah assurance hanya sebatas auditing dan hanya terpenuhi dengan SKAIT, bahkan apakah assurance dapat diyakini tercapai secara memadai apabila sudah melaksanakan audit bersama atau SKAIT perusahaan induk konglomerasi keuangan melaksanakan audit terhadap LJK?
Peraturan OJK tidak berlaku bagi non-IJK dan tidak mengaitkan dengan konsep tiga lini pertahanan serta tidak mengemas assurance dalam arti yang lebih luas dari pada audit. Adalah lebih cocok untuk semua industri mengembangkan dan menerapkan konsep combined assurance di mana SKAI menjadi penanggung jawab dan koordinator semua pelaksana internal assurance dalam skema tiga lini pertahanan (three lines of defense).
Bukankan di suatu organisasi, pasti ada unit kerja lain yang melakukan assurance sesuai dengan tugas pokok dan fungsinya? Kenapa tidak dikoordinasi dan dioptimalkan? Inilah yang melatarbelakangi lahirnya konsep combined assurance oleh the Institute of Internal Auditors.
Namun untuk mendapatkan combined assurance, beberapa pertanyaan berikut ini harus dijawab terlebih dahulu. Apakah sudah ada (1) penyempurnaan pada piagam audit intern yang mengakomodir kewenangan, tanggung jawab, dan outcome atas combined assurance kepada SKAI? (2) penyesuaian deskripsi atau uraian kerja SKAI beserta penyesuaian struktur organisasi (jika perlu) dan uraian kerja unit-unit kerja SKAI yang mengakomodir combined assurance, (3) perubahan pedoman dan prosedur kerja SKAI yang mengakomodir combined assurance, (4) pengembangan sistem informasi baik untuk penyusunan laporan maupun untuk pemantauan combined assurance, (5) pengembangan rerangka kerja dan metodologi combined assurance, (6) kesepahaman dan kemauan para pelaksana internal assurance untuk bersinergi dan memberikan informasi untuk kepentingan combined assurance, dan (7) perhatian dan penerimaan atau buy-in dari manajemen atas konsep combined assurance guna menghilangkan ego dan silo kepentingan dan target masing-masing.
Terkait dengan rerangka kerja dan metodologi combined assurance, apakah sudah komprehensif dapat mencakup kualitas atau keefektifan lini pertahanan kedua yaitu satuan kerja kepatuhan dan satuan kerja manajemen risiko serta satuan kerja assurance lainnya, cakupan risiko yang dicakup lini pertahanan kedua, ruang lingkup kedalaman dan tingkat kepercayaan assurance yang diberikan lini pertahanan kedua.
Apakah rerangka kerja dan metodologi tersebut dapat menghasilkan rencana kerja assurance terintegrasi? Terlebih dengan adanya konsep continuous auditing dan continuous monitoring maka semestinya kedua konsep continuous auditing dan continuous monitoring ikut diperhitungkan ke dalam rencana kerja assurance terintegrasi.
Apakah sudah terpenuhi assurance secara memadai dengan sekedar melakukan pembagian kavling pengawasan dan pembagian klien antar pelaksana assurance internal? Yang tidak kalah penting, apakah sudah dibangun sistem informasi yang bukan hanya untuk menyusun laporan, namun dapat mengkoordinir dan memantau pelaksanaan assurance oleh semua lini pertahanan?
Dengan adanya combined assurance dimaksud maka klien tidak lagi merasa lelah menjadi bulan-bulanan pemeriksaan dan yang terutama adalah rancangan, perencanaan, dan pelaksanaan internal assurancemenjadi lebih terpadu dan sistematis memberikan outcome yang lebih kredibel. Adalah sangat menarik jika auditor eksternal bersedia mengevaluasi dan mendorong keefektifan combined assurance sebelum melancarkan jurus-jurus pemeriksaannya,melengkapi, dan mendorong perbaikan kelemahan combined assurance yang masih ada di entitas yang diperiksanya, dan meningkatkan keefektifan SKAI itu sendiri sebagai penjuru combined assurance dan mitra dari pemeriksa eksternal.
Apakah ada pengatur dan pengawas industri, badan, otoritas, lembaga atau kementerian yang bersedia mendorong pengembangan dan mengedukasi combined assurance?
Penulis: Diaz Priantara, Ak, BKP, CA, CPA, CICA, CCSA, CRMA, CFSA, CIA, CFE
Tulisan ini sudah dimuat sebelumnya di Warta Ekonomi (http://wartaekonomi.co.id/read152007/meningkatkan-keefektifan-assurance-internal.html) pada Rabu, 23 Agustus 2017.