Apa yang Baru di Standar Edisi 2013?

Dibaca 2,961 kali
Oleh: Setyo Wibowo, CIA, CISA
Setelah Standar Edisi 2011, sesuai janji The IIA untuk terus meng-update Standar setiap 2 tahun sekali, tiba waktunya untuk Standar Edisi 2013 go-live di awal Januari 2013 mendatang ini.

Bagi Anda pengguna Red Book edisi 2009 dan belum sempat ter-update perkembangan, ada baiknya bila Anda membaca terlebih dahulu apa yang sebelumnya telah berubah di Edisi 2011 di sini.

Lalu, apa yang baru dari Standar Edisi 2013?

Yuk, kita kupas tuntas..!

1. Kepada siapa berlaku?

Pada Standar edisi-edisi sebelumnya tidak ada pernyataan khusus terhadap siapa Standar berlaku. Pada Edisi tahun 2013 ini, secara jelas dibuat satu paragraf di bagian pengantar bahwa Standar diberlakukan baik pada level perorangan (auditor internal) maupun institusi (aktivitas audit internal). Setiap auditor internal bertanggung jawab untuk mematuhi Standar-standar terkait dengan objektivitas, kecakapan, dan kehati-hatian profesional secara individual. Auditor internal juga bertanggung jawab untuk mematuhi Standar-standar yang relevan dengan pelaksanaan tugasnya. Sementara itu tanggung jawab untuk kepatuhan terhadap  keseluruhan Standar berada di pundak Kepala Audit Internal alias Chief Audit Executive (CAE).

2. Contoh tambahan dalam pelaporan fungsional dari CAE ke Board

Pelaporan fungsional kepada Board diperlukan untuk mendapatkan independensi organisasional (Interpretasi Standar 1110). Setelah di Edisi 2011 diberikan 5 (lima) contoh pelaporan fungsional, pada Edisi 2013 ini ditambahkan lagi 2 (dua) contoh pelaporan fungsional, yaitu:

  • Menyetujui anggararan dan rencana sumber daya audit internal, dan
  • Menyetujui remunerasi CAE

3. Penambahan interpretasi dan diksi terkait QAIP

Pada Standar 1312 – External Assessment (Penilaian Eksternal) ditambahkan interpretasi baru, yaitu bahwa penilaian eksternal dapat berbentuk penilaian eksternal penuh (full external assessment), atau penilaian sendiri dengan validasi eksternal independen (self-assessment with independent external validation). Interpretasi ini, secara substansi bukanlah hal baru, karena pengaturan yang sama sebelumnya telah dimuat di dalam practice advisory. Namun dengan dimasukkannya ke dalam Standar, maka bentuk-bentuk penilaian eksternal ini menjadi mandatory.

Selain itu, semua istilah ‘review’/’reviewer’ yang berarti penilaian di dalam standar terkait QAIP ini diganti dengan istilah ‘assessment’/’assessor’. Sedangkan ‘assessment’ yang berarti evaluasi diganti dengan ‘evaluation’ (Jadi, “review-team’s assessment”menjadi “asessment-team’s evaluation”). Diksi ini lebih konsisten dengan istilah yang digunakan pada standarnya, yaitu internal assessment, external assessment, dan seterusnya.

4. Perubahan dalam Perencanaan  

Dalam interpretasi Standar sebelumnya terkait risk-based plan (Standar 2010), ketika organisasi tidak memiliki framework manajemen risiko, CAE harus berkonsultasi dengan manajemen senior dan board dalam hal menggunakan penilaian risikonya sendiri. Dalam interpretasi Standar 2013, CAE harus mempertimbangkan input dari manajemen senior dan board.

Berikutnya, dalam intepretasi Standar 2010 yang sama, ditambahkan bahwa CAE harus mereview dan bila perlu menyesuaikan rencana auditnya sebagai respons terhadap perubahan bisnis, risiko, operasi, program, sistem, dan pengendalian yang ada.

5. Menambahkan  Strategic Objective dalam  Risk Management dan Control

Dalam Standar 2120-Risk Management dan 2130-Control, sudah sangat masyhur bagaimana auditor internal mengevaluasi keandalan informasi, efektivitas dan efisiensi, pengamanan aset, serta kepatuhan terhadap ketentuan perundang-undangan. Dalam Standar Edisi 2013, atas keempat butir tersebut ditambahkan satu butir konsideran lagi yaitu:

  • Pencapaian tujuan stratejik organisasi

6. Perubahan dalam Penerimaan Risiko Manajemen Risiko  

Ini merupakan salah satu perubahan yang cukup siginifikan dalam hal terjadi perbedaan pandangan risiko yang dapat diterima di antara CAE dengan manajemen. Pada Standar 2600 selama ini, tanggung jawab resolusi perbedaan pendapat berada pada CAE. Ketika terjadi perbedaan pendapat level risiko yang dapat diterima, CAE harus mendiskusikannya dengan manajemen. Dalam hal tidak tercapai resolusi, CAE harus melaporkan perbedaan tersebut kepada board untuk mendapatkan resolusi.

Di dalam Standar 2600 yang baru, judulnya bukan lagi “Resolusi Penerimaan Risiko oleh Manajemen Senior”, namun “Komunikasi Penerimaan Risiko”. Dengan standar baru, dalam hal CAE menyimpulkan manajemen telah mengaksep risiko yang menurut CAE tidak dapat diterima organisasi, CAE harus mendiskusikan dengan manajemen. Bila tidak tercapai resolusi, CAE harus melaporkannya kepada board. Perhatikan, di standar baru tidak lagi CAE harus mendapatkan resolusi.

Standar 2600 ini juga memberikan interpretasi baru bahwa identifikasi dan kesimpulan CAE atas penerimaan risiko oleh manajemen dimaksud dapat dilakukan melalui penugasan assurance, konsultasi, monitoring tindak lanjut, atau lainnya. Dan ditegaskan lagi bahwa tanggung jawab untuk me-resolve risiko tidak berada di pundak CAE.

7. Perubahan Definisi Istilah-istilah pada Glossary

Pada Standar Edisi 2013 ini ada beberapa perubahan definisi untuk istilah-istilah Board dan Control Processes. Selain itu ada juga istilah-istilah baru, yaitu Engagement Opinion dan Overall Opinion. Dan jangan lupa, ada juga istilah yang dihapus yaitu Residual Risk.

Seperti apa lengkapnya Standar yang baru? Silakan segera unduh di sini. Gratis lho!