TIPS 'n TRICKS : Menulis Laporan Hasil Audit (High Impact Audit Report Writing)

Secara gasir besar, dalam tahapan proses audit dikenal 3 tahap, yaitu Perencanaan (Planning), Pelaksanaan (Execution), dan Pelaporan (Reporting). Ketiganya memiliki peran yang sangat vital dan saling melengkapi untuk menciptakan peran audit yang dapat memberikan value added bagi perusahaan. Kelamahan dari salah satu dari ketiga tahap ini menyebabkan fungsi audit yang tidak akan pernah optimal.

Mengingat hal tersebut betapa pentingnya peran reporting dalam memfinalisasi hasil pemeriksaan yang telah dilakukan, yang tentunya telah memakan sejumlah sumber daya dan biaya yang tidak sedikit. Reporting sebagai tahap finalisasi dari rangkaian proses audit memiliki andil besar dalam menentukan apakah hasil audit mampu memberi dampak yang besar baik kepada auditee, maupun kepada jajaran manajemen.

Sebuah tantangan besar didalam menyusun audit report adalah terjadinya kondisi “one product for many customer”. Hal ini berarti bahwa tim audit hanya diperkenankan menyusun satu laporan yang harus dapat memuaskan kebutuhan dari berbagai macam pengguna/pembaca dengan berbagai macam kepentingan dan latar belakang pemahaman. Para customer dalam hal ini meliputi Direktur, Komisaris, Pemimpin Unit Bisnis, Para Manajer, Para Staff, hingga kepada customer yang berasal dari luar entitas perusahaan yakni regulator.

Seiring dengan kemajuan bisnis, materi audit report juga dituntut untuk berubah. Dalam menyusun laporan tim audit tidak cukup lagi berperan sebagai auditor, melainkan harus sebagai konsultan sehingga menjadikan laporan audit menjadi laporan yang memiliki dampak besar bagi perusahaan untuk perubahan yang lebih baik.

Meluruskan pemahaman antara Audit Finding dan Audit Issue 

Konsep pohon dan hutan

Audit Finding (AF) mengacu kepada fakta observasi yang langsung ditemukan pada saat proses pemeriksaan dilakukan. AF seringkali merupakan suatu gejala yang terlihat akibat dari adanya kelemahan dalam proses pengendalian. Contoh dari AF antara lain:

• Perubahan harga produk tanpa didukung oleh persetujuan yang cukup.
• Tidak adanya exit interview terhadap pegawai yang resign.
• Daftar supplier atau vendor tidak terupdate.
• Investasi pada aset yang dilarang, dsb.

Audit Issue (AI) merupakan pesan utama (key messages) yang memerlukan perhatian dari Manajemen maupun Komite Audit. Saat melakukan penyusunan laporan, AF dipelajari dan disimpulkan untuk menciptakan sebuah AI. Biasanya penyusun laporan akan menjumpai satu AI yang merepresentasikan beberapa (lebih dari satu) AF. Contoh dari AI antara lain:

• Kurangnya pemantauan dan pengawasan terhadap proses layanan
• SOP tidak terupdate atas perubahan bisnis yang terjadi
• Skill tim proyek tidak sesuai dengan proyek yang dilakukan

Audit Finding adalah POHON
Audit Issue adalah HUTAN
Informasi apa yang sebenarnya lebih dibutuhkan oleh jajaran Direksi dan Komite Audit?......... Jawabanya adalah HUTAN

Membingkai dan menentukan prioritas audit issue

Penyampaian AI kepada manajemen dan komite audit memiliki cara tersendiri agar pesan yang ingin disampaikan oleh tim audit dapat sepenuhnya tertangkap oleh pembaca. Hal yang harus diperhatikan adalah :

• Bagaimana menyusun sekumpulan AI yang telah didapatkan melalui analisa yang menyeluruh antar AF yang mendukungnya, menelaah fungsi pengendalian mana yang mengalami kegagalan (tidak berfungsi sebagaimana mestinya).
• Memperhatikan susunan penulisan AI yang baik berdasarkan prioritasnya. Penentuan prioritas ini dilakukan dengan mengaitkannya kepada sasaran utama dan strategi bisnis. 

Apa saja yang membentuk suatu audit issue?

Komponen pembentuk AI adalah AF yang menyatakan setidaknya salah satu dari hal di bawah ini telah terjadi dan membutuhkan tindak lanjut perbaikan yang segera.

• Kelemahan pengendalian : Kegagalan mekanisme kontrol baik dalam hal desain atau implementasinya. Ini adalah jenis yang paling umum dari audit issue yang menjadi hal yang dinantikan oleh pembaca laporan.
• Eksposur risiko dan mitigasinya : Eksposur risiko, baik yang telah terjadi atau yang masih bersifat potensial yang tidak termitigasi dengan pengendalian yang ada (ketidakcukupan kontrol). Risiko akan selamanya ada dalam kegiatan operasional. DAI harus mampu mengidentifikasi risiko yang baru (emerging risk) jauh sebelum manajemen mengetahuinya, agar menjadikan DAI yang memberi value added.
• Non-compliance : Hal terkait ketidakpatuhan perusahaan kepada hukum, regulasi dan ketentuan pemerintah yang dapat menimbulkan kerugian bagi perusahaan karena adanya denda bahkan pencabutan izin usaha.
• Process Improvement : Hal terkait identifikasi atas kemungkinan untuk melakukan perbaikan pada alur proses untuk menghasilkan sistem operasional yang jauh lebih baik.
• Fraud : Hal terkait kecurangan baik secara individual maupun terorganisir dalam menampilkan informasi yang salah ataupun menimbulkan kerugian bagi perusahaan.

Menyusun sebuah audit issue

Didalam menyusun sebuah AI, tim audit harus secara konsisten menerapkan metide penulisan piramid. AI merupakan pesan utama yang hendak disampaikan kepada pembaca (harus langsung to the point kepada permasalahan yang ingin disampaikan, hindari kata-kata tambahan, dan kalimat yang berbunga-bunga.

Pesan utama tersebut didukung oleh penjelasan yang lebih terperinsi, dan diikuti dengan bukti-bukti (evidence) yang ditemukan pada saat pemeriksaan. 

Tips: Pesan utama dapat ditulis layaknya ketika kita melihat berita di surat kabar (koran) yang memberi satu paragraf ringkasan, yang mana bila pembaca koran membacanya, mereka akan mengerti gambaran isi berita yang ada didalamnya.


Memahami Konsep Risiko dan Dampak dalam Laporan Audit

Dalam menulis laporan audit, penulis harus dapat memahami dengan baik materi apa yang sebenarnya harus dimasukkan kedalam bagian ini, Risiko dan Dampak/Implikasi.

Risiko dan implikasi 

Untuk memahami risiko, auditor harus memiliki pemahaman yang baik mengenai konsep Objective, Risk, dan Control (ORC), tanpanya terdapat AR atau audit risk dimana auditor tidak mampu untuk memahami permasalahan ditinjau dari konsep risk managemen, yang pada akhirnya menghasilkan laporan yang tidak tepat. Risiko merupakan hal-hal yang dapat mengakibatkan dampak mengganggu tercapainya objective dari suatu entitas (proses maupun unit), yang mana diperlukanlah control untuk memberikan assurance atas ketercapaian objective tersebut.

Implikasi: Percieved impact dan real impact 

Dampak atau implikasi dapat dikategorikan menjadi dua kelompok, yaitu:

• Perceived Impact : Mengilustrasikan apa yang akan menjadi kensekuensi atau apa yang dapat terjadi bila .... (terjadi permasalahan yang ditemukan auditor)
• Real Impact : Mengilustrasikan apa yang akan menjadi konsekuensi yang mana konsekusnsi tersebut dilakukan kuantifikasi atau diukur. Real impact-lah yang pada umumnya lebih menarik bagi pembaca.

Membedah Permasalahan dengan Root Cause Analysis
 
Memahami Root Cause dan Root Cause Analysis

Kata-kata kunci memahami batasan dari Root Cause adalah definisi berikut “penyebab suatu permasalahan, yang mana bila diperbaiki, akan mencegah permasalahan itu terjadi kembali.” Sehingga jelas bahwa root cause tidak dikaitkan dengan AF, melainkan dikaitkan dengan AI. Perbaikan sistem pengendalian pun bukan perbaikan yang semata untuk AF, tapi perbaikan untuk AI.

Root Cause Analysis (RCA) merupakan semacam metode problem solving yang mengarah langsung kepada akar penyebab dari permasalahan yang ditemukan. Mindset auditor harus memiliki pemahaman bahwa rekomendasi perbaikan adalah perbaikan untuk root cause ini.

Pendekatan “Why.. Why.. and Why?”, the Five Whys 

Salah satu cara menggali informasi dalam RCA adalah dengan menggunakan metode The Five Ways, caranya adalah:

• Tuliskan permasalahan secara spesifik. Menuliskan permasalahan akan sangat membantu memformulasikan dan menjelaskannya secara lengkap. Hal ini juga membantu agar personel tim audit memiliki fokus analisa yang sama.
• Tanya, kenapa masalah ini bisa tejadi, tuliskan jawabannya.
• Bila jawaban tersebut belum mendeksripsikan akar permasalahan, maka tanya kembali mengapa dan tuliskan kembali jawabannya
• Lakukan langkah ketiga diatas secara beulang sampai tim menyepakati root cause dari permasalahan ini telah teridentifikasi. Pengulangan ini bisa saja terjadi lebih dari 5 kali “Why”.

Penggunaan COSO: Yakinkah Anda apakah Root Cause Anda telah benar? 

Untuk meyakinkan bahwa root cause yang telah teridentifikasi adalah root cause yang benar, dapat diikuti beberapa langkah berikut:

• Tinjau kembali kebijakan dan prosedur yang berlaku.
• Konfirmasikan kepada process owner atas kelemahan yang ditemukan
• Tinjau peta risiko (risk map) bila ada
• Beri penilaian sejauh mana fungsi pengendalian tersebut telah gagal

Tim audit juga dapat menggunakan bantuan COSO: Internal Control untuk meyakinkan bahwa root cause yang diidentifikasi telah selaras dengan cakupan yang dimuat dalam COSO. Bila hasil identifikasi root cause tersebut tidak terdapat dalam COSO, maka hasil identifikasi tersebut belum tepat.

COSO Root Cause Universe, terkategori menjadi kelompok berikut:

1. CONTROL ENVIRONMENT (CE)
2. RISK ASSESSMENT (RA)
3. CONTROL ACTIVITIES (CA)
4. INFORMATION AND COMMUNICATION (IC)
5. MONITORING (M)

Pergesaran Paradigma: “Audit Recomendation” dan “Ágreed Action Plan” 

Tradisi pemberian rekomendasi audit 

Secara tradisi, auditor memnerikan rekomendasi yang merepresentasikan advis dari auditor untuk menyelesaikan temuan-temuan hasil pemeriksaan. Rekomendasi seringkali hanya bersifat general dan tidak spesifik atas apa yang harus dilakukan. Hal ini karena terdapat risiko terjadinya “back fire” atau “senjata makan tuan” bagi auditor karena rekomendasinya tidak menyelesaikan masalah, bahkan menimbulkan masalah yang lebih besar. 

Pada umum juga ditemukan, dan menjadi hal yang lumrah, kondisi bahwa auditor memiliki pemahaman yang terbatas atas proses yang diperiksanya. Pemahaman auditor tidak lebih baik dari pada pemahaman para process owner. Kondisi ini sangat menentukan kualitas rekomendasi yang diberikan, dan menimbulkan risiko yang dikenal dengan audit risk.

Pertanyaannya adalah: “Apa sebenarnya yang diharapkan dari Manajemen atas rekomendasi penyelesaian permasalahan ini?”



Kelebihan dari digunakannya Agreed Action Plan 

Dengan pergeseran paradigma audit sebagai konsultan, rekomendasi auditor bergeser menjadi suatu rumusan action plan perbaikan masalah yang disetujui oleh para pihak yang terlibat, atau yang dikenal dengan istilah “Agreed Action Plan” (AAP).

Penyusunan AAP ini melibatkan langsung para personil tim audit dan para staff, manajer, dan pemimpin unit auditee (client). Proses penyusunan AAP meliputi:

1. Diskusikan setiap AI dengan process owner.
2. Mengumpulkan input untuk menganalisa root cause.
3. Membangun kesepakatan atas AI dan root cause.
4. Cari solusi pemecahan masalah.
5. Rancang komitmen atas solusi yang disepakati.
6. Masukan komentar audit dalam action plan tersebut.

Dengan menggunakaan AAP, daripada rekomendai audit, akan menghilangkan audit risk. Hal ini juga sesuai dengan konsep ERM bahwa segala risiko dan penyelesaian masalah sepenuhnya berada dibawah tanggung jawab auditee (audit client) sebagai process owner.


Audit Opinion

Di akhir penyusunan laporan hasil audit, tim audit harus melakukan assessment atas seberapa memadai sistem pengendalian intern yang diterapkan oleh process owner atas kegiatan bisnis dan operasional yang ditetapkannya dan dibentuk kedalam suatu PREDIKAT atau RATING, seperti: GOOD, ADEQUATE, WEAK, dan sebagainya.

Penentuan preditkan ini terntunya menggunakan suatu penyusunan kriteria/kriteria khusus yang ditetapkan dalam kebijakan audit intern.

Save the earth for our inheritors: do not print unless necessary.

Posted in: Audit Konsultan,Audit Opinion,Audit Rating,Audit Report,Cara Penulisan Laporan,COSO,Five Whys,Laporan Hasil Audit,Laporan Pemeriksaan,Management,Manajemen,Root Cause Analysis