Menilai Kecukupan Proses Pengendalian

Dibaca 1,541 kali

Sebuah organisasi membangun dan memelihara proses manajemen risiko dan pengendalian yang efektif dengan tujuan untuk mendukung organisasi dalam mengelola risiko dan pencapaian tujuan yang telah ditetapkan dan dikomunikasikan sebelumnya. Proses pengendalian diharapkan dapat memastikan, antara lain, hal-hal sebagai berikut:

  • Informasi keuangan dan informasi operasional yang handal dan memiliki integritas,
  • Operasi dilakukan secara efisien dan mencapai sasaran yang ditetapkan,
  • Aset telah dilindungi, dan
  • Tindakan dan keputusan organisasi telah sesuai dengan ketentuan perundang-undangan yang berlaku dan kontrak.

Peran manajemen senior adalah untuk mengawasi penetapan, administrasi, serta penilaian sistem dalam proses manajemen risiko dan pengendalian. Sementara itu tanggung jawab manajer lini organisasi adalah memastikan proses pengendalian yang telah ditetapkan tersebut berjalan di area mereka masing-masing. Di lain pihak, auditor internal memberikan layanan pemastian mengenai tingkat efektivitas proses manajemen risiko dan pengendalian yang berjalan.

CAE menyusun dan menyampaikan pendapat keseluruhan (overall opinion) mengenai kecukupan dan efektivitas proses pengendalian. Penyampaian pendapat tersebut oleh CAE didasarkan pada bukti audit yang cukup yang diperoleh melalui audit dan, bila diperlukan, juga didasarkan pada hasil pekerjaan penyedia pemastian lainnya. CAE mengomunikasikan pendapat tersebut kepada manajemen senior dan Dewan.

CAE mengembangkan rencana audit internal yang dirancang untuk mendapatkan bukti yang memadai untuk mengevaluasi efektivitas dari proses pengendalian. Rencana tersebut mencakup penugasan audit dan/atau prosedur lain untuk memperoleh bukti audit yang cukup dan relevan pada semua unit utama dan fungsi bisnis yang akan dinilai, serta penelaahan terhadap pengendalian utama dalam proses operasi di seluruh organisasi. Rencana tersebut harus fleksibel sehingga penyesuaian dapat dilakukan sepanjang tahun untuk menyesuaikan dengan perubahan strategi manajemen, kondisi eksternal, area berisiko besar, atau revisi asumsi/ekspektasi dalam pencapaian tujuan organisasi.

Rencana audit harus memberikan perhatian khusus terhadap operasi-operasi yang paling terpengaruh oleh perubahan terbaru atau perubahan tak terduga. Perubahan keadaan dapat diakibatkan, antara lain, dari kondisi pasar atau investasi, akuisisi dan divestasi, restrukturisasi organisasi, sistem baru, dan usaha baru.

Dalam menentukan cakupan audit yang diharapkan untuk rencana audit yang diusulkan, CAE perlu mempertimbangkan hasil kerja terkait yang dilakukan oleh pihak lain yang juga memberikan layanan pemastian kepada manajemen senior (misalnya, unit kepatuhan). Rencana audit juga perlu mempertimbangkan hasil audit oleh auditor eksternal dan penilaian yang dilakukan sendiri oleh manajemen dalam proses manajemen risiko, pengendalian, dan peningkatan kualitas.

CAE harus mengevaluasi luasnya lingkup rencana audit yang diusulkan untuk menentukan apakah lingkup tersebut memdai sebagai dasar menyatakan pendapat tentang proses manajemen risiko dan pengendalian organisasi. CAE harus memberitahukan kepada manajemen senior dan Dewan bila terdapat kesenjangan dalam cakupan audit yang mengganggu penyampaian pendapat terhadap semua aspek proses-proses tersebut .

Tantangan utama bagi aktivitas audit internal adalah mengevaluasi efektifitas pengendalian organisasi secara agregat berdasarkan hasil penugasan individual pada beberapa area terpilih. Hasil penilaian sebagian besarnya diperoleh dari penugasan audit internal, review self-assessment manajemen, dan pekerjaan pemberi layanan pemastian lainnya.  Seiring dengan berjalannya penugasan-penugasan, auditor internal melaporkan temuan kepada tingkat manajemen yang sesuai secara tepat waktu sehingga tindakan cepat dapat diambil untuk memperbaiki atau mengurangi konsekuensi dari kekurangan atau kelemahan pengendalian yang ditemukan.

Dalam mengevaluasi efektivitas proses pengendalian organisasi secara keseluruhan/agregat, CAE perlu mempertimbangkan apakah:

  • Terdapat temuan-temuan kekurangan/kelemahanan pengendalian yang signifikan,
  • Dilakukan tindakan-tindakan perbaikan atas temuan-temuan tersebut
  • Temuan-temuan tersebut dan konsekuensi-konsekuensi potensial mengarah pada kesimpulan bahwa telah terjadi kondisi pervasif yang mengakibatkan tingkat risiko yang tidak dapat diterima.

Adanya kekurangan atau kelemahan signifikan tidak selalu mengarah pada kesimpulan bahwa kondisi pervasif eksis menimbulkan risiko yang tidak dapat diterima. Auditor internal harus mempertimbangkan sifat dan tingkat eksposur risiko serta tingkat konsekuensi potensial, dalam menentukan apakah efektivitas proses pengendalian dalam kondisi membahayakan dan ada risiko yang tidak dapat diterima.

Laporan CAE tentang proses pengendalian organisasi biasanya disajikan sekali dalam setahun kepada manajemen senior dan papan tulis. Laporan tersebut menyatakan peran penting yang dimainkan oleh proses pengendalian dalam pencapaian tujuan organisasi. Laporan ini juga menggambarkan sifat dan luasnya pekerjaan yang dilakukan oleh aktivitas audit internal, serta sifat dan tingkat reliance terhadap penyedia layanan pemastian lainnya, dalam merumuskan pendapat.

 

Referensi:

  • PA 2130-1: Assessing the Adequacy of Control Processes (Jan. 1, 2009)