Global IA Standar: Standar 9.4 Rencana Audit Internal

Leave a Comment / By /

Tulisan ini membahas Standar 9.4 Rencana Audit Internal, Prinsip 9 Merencanakan Secara Strategis, Domain IV Mengelola Fungsi Audit Internal. Sebagaimana dalam Global Internal Audit Standar (GIAS) yang diterbitkan oleh The Institute of Internal Auditors (IIA) pada tahun 2024.

Rencana audit internal merupakan alat utama bagi chief audit executive (CAE) dalam memastikan fungsi audit internal mendukung pencapaian tujuan organisasi. Rencana ini harus berbasis risiko, dinamis, dan disusun dengan mempertimbangkan masukan dari dewan, manajemen senior, serta pemahaman atas proses tata kelola, manajemen risiko, dan pengendalian organisasi. Dengan rencana audit internal yang tepat, fungsi audit internal dapat memberikan nilai tambah yang optimal dan responsif terhadap perubahan lingkungan organisasi.

Photo by Gemini

Persyaratan

  • CAE harus membuat rencana audit internal yang mendukung pencapaian tujuan organisasi.
  • Mendasarkan rencana audit internal pada dokumentasi asesmen atas strategi, tujuan, dan risiko organisasi. Asesmen ini harus didasarkan pada:
    • Masukan dari dewan dan manajemen senior.
    • Pemahaman chief audit executive tentang proses tata kelola organisasi, manajemen risiko, dan pengendalian.
    • Asesmen harus dilakukan setidaknya setiap tahun.
  • Rencana audit internal harus:
    • Mempertimbangkan mandat audit internal dan seluruh jasa audit internal yang disepakati.
    • Menentukan jasa audit internal yang mendukung evaluasi dan peningkatan proses tata kelola, manajemen risiko, dan pengendalian organisasi.
    • Mempertimbangkan cakupan tata kelola teknologi informasi, risiko fraud, efektivitas program kepatuhan dan etika organisasi, dan bidang berisiko tinggi lainnya.
    • Mengidentifikasi sumber daya manusia, keuangan, dan teknologi yang diperlukan untuk menyelesaikan rencana.
    • Dinamis dan diperbarui secara tepat waktu sebagai respons terhadap perubahan dalam bisnis, risiko, operasi, program, sistem, pengendalian, dan budaya organisasi.
  • CAE harus meninjau dan merevisi rencana audit internal bila diperlukan dan mengomunikasikannya secara tepat waktu kepada dewan dan manajemen senior, termasuk:
    • Dampak dari keterbatasan sumber daya terhadap cakupan audit internal.
    • Alasan untuk tidak memasukkan penugasan asurans pada area atau aktivitas berisiko tinggi dalam rencana.
    • Pertentangan permintaan jasa antara pemangku kepentingan utama.
    • Batasan ruang lingkup atau pembatasan akses terhadap informasi.
  • Mendiskusikan rencana audit internal, termasuk perubahan interim yang signifikan, dengan dewan dan manajemen senior.
  • Memastikan rencana dan perubahan signifikan terhadap rencana tersebut disetujui oleh dewan.

Pertimbangan Penerapan

CAE sebaiknya:

  • Melakukan asesmen risiko di seluruh organisasi setidaknya setiap tahun sebagai dasar perencanaan.
    • Memperbarui asesmen risiko dan rencana audit internal secara berkelanjutan sesuai dinamika organisasi.
    • Jika lingkungan organisasi sangat dinamis, rencana audit internal dapat diperbarui setiap enam bulan, triwulanan, atau bahkan bulanan.
  • Mengatur unit-unit yang dapat diaudit dalam audit universe untuk memfasilitasi identifikasi dan asesmen risiko.
    • Audit universe sebaiknya didasarkan pada pemahaman tentang tujuan dan inisiatif strategis organisasi serta selaras dengan struktur atau kerangka risiko organisasi.
    • Unit yang dapat diaudit dapat mencakup unit bisnis, proses, program, dan sistem.
    • CAE dapat menghubungkan unit-unit organisasi tersebut dengan risiko-risiko utama dalam persiapan asesmen risiko komprehensif dan identifikasi cakupan asurans.
  • Memvalidasi risiko utama yang diidentifikasi dalam sistem manajemen risiko organisasi secara independen.
    • Fungsi audit internal hanya dapat mengandalkan informasi manajemen mengenai risiko jika telah menyimpulkan bahwa proses manajemen risiko organisasi telah efektif.
  • Mempertimbangkan tujuan dan strategi organisasi baik pada tingkat organisasi maupun unit spesifik yang dapat diaudit.
    • Mempertimbangkan risiko yang terkait dengan etika, fraud, teknologi informasi, hubungan pihak ketiga, dan ketidakpatuhan terhadap peraturan yang mungkin terkait dengan lebih dari satu unit bisnis atau proses dan mungkin memerlukan evaluasi yang lebih kompleks.
  • Mengumpulkan informasi dari penugasan audit internal yang baru saja diselesaikan serta diskusi dengan anggota dewan dan manajemen senior.
    • CAE dapat menerapkan metodologi untuk menilai risiko secara berkelanjutan.
  • Merencanakan untuk mengevaluasi kembali pengandalan pada sumber informasi risiko seperti asesmen risiko manajemen, hasil penugasan sebelumnya, dan pekerjaan audit lainnya.
  • Mempertimbangkan penugasan yang diwajibkan oleh undang-undang atau peraturan, penugasan penting bagi misi atau strategi organisasi, area dan aktivitas berisiko signifikan, cakupan asurans, permintaan advisori dan ad hoc, waktu dan sumber daya yang diperlukan, serta potensi manfaat setiap penugasan.
  • Menjadwalkan penugasan audit internal dengan mempertimbangkan:
    • Prioritas operasional organisasi.
    • Jadwal audit eksternal dan reviu peraturan.
    • Kompetensi dan ketersediaan auditor internal.
    • Kemampuan akses ke aktivitas yang direviu.
  • Menyusun rencana audit internal yang mencakup:
    • Sumber daya dan jam yang tersedia untuk penugasan dibandingkan dengan aktivitas atau inisiatif administratif dan non-audit lainnya.
    • Daftar usulan penugasan dan analisis terkait, yang merinci sejauh mana penugasan tersebut:
      • Asurans atau advisori.
      • Berfokus pada departemen, unit, atau tujuan tertentu dalam organisasi.
      • Terutama menangani tujuan keuangan, kepatuhan, operasional, keamanan siber, atau tujuan lainnya.
    • Alasan pemilihan setiap penugasan yang diusulkan, misalnya signifikansi risiko, tema atau tren organisasi, persyaratan peraturan, atau waktu sejak penugasan terakhir.
    • Tujuan umum dan ruang lingkup awal dari setiap penugasan yang diusulkan.
    • Persentase jam yang dicadangkan untuk permintaan darurat dan ad hoc.
    • Rangkaian penugasan berikutnya yang akan dilakukan jika sumber daya tambahan tersedia.
  • Menyetujui kriteria dan protokol untuk menangani perubahan signifikan terhadap rencana audit internal bersama dewan dan manajemen senior.
    • Contoh perubahan signifikan mencakup pembatalan atau penundaan penugasan yang terkait dengan risiko signifikan atau tujuan strategis penting.
    • Jika timbul risiko yang memerlukan revisi rencana sebelum diskusi formal dengan dewan dapat dijadwalkan, dewan sebaiknya segera diberitahu tentang perubahan tersebut, dan persetujuan resmi sebaiknya dilakukan sesegera mungkin.

Contoh Bukti Kesesuaian

  • Rencana audit internal yang disetujui.
  • Dokumentasi asesmen risiko dan penentuan prioritas risiko, termasuk masukan yang menjadi dasar rencana.
  • Risalah rapat di mana CAE berdiskusi dengan dewan dan manajemen senior mengenai audit universe, asesmen risiko organisasi, rencana audit internal, serta kriteria dan protokol perubahan signifikan.
  • Dokumentasi catatan diskusi dalam mengumpulkan informasi guna menginformasikan asesmen risiko dan rencana audit internal.
  • Dokumentasi daftar pihak-pihak yang menerima distribusi rencana audit internal.
  • Dokumentasi metodologi untuk asesmen risiko dan protokol perubahan signifikan.

Penutup

Standar 9.4 menegaskan pentingnya rencana audit internal yang berbasis risiko, dinamis, dan responsif terhadap perubahan organisasi. Dengan rencana yang terstruktur dan terdokumentasi, fungsi audit internal dapat memberikan kontribusi nyata dalam pencapaian tujuan organisasi, pengelolaan risiko, dan peningkatan efektivitas pengendalian. Dokumentasi dan komunikasi yang baik atas rencana audit internal menjadi bukti komitmen terhadap kualitas dan transparansi fungsi audit internal.

Salam sukses bermanfaat…

*) Referensi: GIAS IIA

*) Dielaborasi dengan bantuan GenAI

Related Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top