Lukman AR's blog

Audit Management Systems (AMS): Menuju Tertib Administrasi Audit

Oleh: Lukman Abdurrahman 

Kegiatan auditing dan consulting bagi Unit Internal Audit (UIA)merupakan ‘menu’ utama sehari-hari.  Dalam standard profesi Internal Auditing yang dikeluarkan oleh The Institute of Internal Auditors (IIA) pada awal tahun 2009, kedua kegiatan ini disebut engagement yang kalau diterjemahkan bebas berarti ikatan atau perjanjian.  Ini bermakna bahwa dua kegiatan internal audit tersebut boleh dikatakan memiliki nilai sakral dalam arti membutuhkan keseriusan dan komitmen karena mengikat pihak-pihak yang terlibat di dalamnya.  Di sisi lain, pengertian ini menghendaki sumber daya auditing disediakan sebaik-baiknya guna mendukung makna sakralitas audit tersebut.  Banyak sumber daya yang perlu disiapkan untuk memfasilitasi kegiatan engagement ini, mulai kesiapan auditor, standar dan sertifikasi profesi, prosedur, kebijakan, management tools dan lain-lain.   Salah satu sumber daya audit yang akan dibicarakan di sini adalah Audit Management Systems yang merupakan bagian integral dari management tools khususnya untuk kegiatan auditing.

Management Tools

Keberadaan management tools merupakan syarat perlu, kalau tidak dikatakan sebagai syarat mutlak dalam aktivitas auditing.  Mengapa? Seperti tersebut di atas, hasil kegiatan UIA saat ini tidak sekedar hasil pemeriksaan yang penuh nuansa pengawasan yang kental dengan aroma saling salah menyalahkan, namun bersandar pada komitmen untuk mengusung semangat saling memperbaiki sistem dan prosedur bisnis proses.  Oleh karena itu jejak rekam (track record) auditing perlu diadministrasikan dengan tertib dan rapih sehingga akan merupakan dokumen dasar tolok ukur perbaikan ke depan.  Untuk kepentingan hal ini, UIA Telkom telah memanfaatkan AMS yang diharapkan menjadi wahana manajemen untuk mengelola kedua aktivitas auditing dan consulting tersebut.

AMS adalah istilah umum untuk sebuah perangkat yang digunakan dalam pengelolaan kegiatan Internal Audit.  AMS yang digunakan oleh UIA Telkom bernama Pentana Audit Work Systems (PAWS) yang diproduksi oleh Pentana.  Di dalam PAWS ini terdapat modul-modul universe, entity dan audit.

Modul-modul AMS pada PAWS

Modul universe berfungsi untuk mendefinisikan audit universe, yaitu objek-objek audit yang berada di dalam perusahaan yang terangkum dalam akronim TIME (Telecommunication, Information, Multimedia dan Edutainment).  Objek audit sebagai produk perusahaan berasal dari proses bisnis yang melatarbelakanginya.  Untuk itu, di dalam AMS dilakukan kombinasi antar peta produk ini dengan pemetaan bisnis proses standar untuk industri Telekomunikasi.  Dalam hal ini, standar bisnis proses yang diambil mengacu pada eTOM (enhanced Telecom Operation Map).  Dengan demikian, pendekatan ini diharapkan dapat menghasilkan pemetaan risiko dan kontrol bisnis proses yang lebih akurat.

Modul entitas merupakan rincian dari modul universe.  Sebagai contoh, jika di dalam modul universe disebut sebagai Telecommunication (sebagai salah satu produk induk PT Telkom), maka pada modul entitas dirinci menjadi entitas Fixed-wireline, Fixed-wireless, Broadband dst. sebagai produk turunan dari Telecommunication.  Di dalam modul ini, risiko-risiko makro suatu entitas didefinisikan.  Pendefinisian risiko ini mengacu pada definisi risiko yang dikeluarkan oleh Direktorat Compliance and Risk Management.  Risiko-risiko tersebut dapat dinilai sesuai hasil penilaian business risk owner yang dikompulasi oleh Dit CRM maupun penilaian ulang oleh UIA.  Berdasarkan hasil penilaian ini, AMS akan membuat rekomendasi untuk masing-masing entitas perihal jadwal audit yang pantas dilakukan.  Artinya jika entitas tersebut memiliki tingkat risiko kritis, maka akan direkomendasikan frekuensi jadwal audit lebih sering dan sebaliknya.  Namun walau demikian, intervensi manajemen UIA untuk mengubah jadwal audit hasil rekomendasi AMS tadi masih dimungkinkan.  Demikian pula di dalam modul entitas dapat dilakukan analisa terhadap kontrol, temuan dan tindak lanjut untuk tingkat entitas yang semuanya menggambarkan potret entitas bersangkutan.

Modul ketiga adalah modul audit yang merupakan modul paling akrab dengan para auditor karena melalui modul inilah mereka melakukan pengadministrasian aktivitas audit.  Modul ini adalah rincian lebih lanjut dari modul entitas, jika dalam entitas misalnya disebut Broadband, maka pada modul audit merupakan kegiatan auditnya sendiri terhadap broadband seperti program pemasaran speedy, pemrosesan billing speedy, pelayanan gangguan fixed wireline dll, misalnya.  Selanjutnya program-program audit ini dituangkan dalam sebuah Surat Perintah Kerja (SPK) yang secara online telah tersedia pula di dalam AMS.

Pola pembuatan SPK sampai pelaksanaan Monitoring Tindak Lanjut (MTL) pada modul audit digambarkan sebagai berikut (perhatikan gambar di bawah ini):

Doc1jpg_Page1

Kegiatan audit diawali dari perencanaan yang telah dibuat sebelumnya dalam bentuk  Program Kerja Audit Tahunan (PKAT).  Untuk implementasi PKAT di lapangan maka dibuat SPK oleh pemilik program yang dalam hal ini adalah para VP Internal Audit.  Sejak dalam bentuk SPK, kegiatan quality assurance (QA) sudah dilakukan oleh Sub Unit General Services.  Setelah SPK tersebut memenuhi kriteria QA, selanjutnya diteruskan kepada HoIA (Head of Internal Audit) untuk memperoleh persetujuan.

Jika persetujuan telah ada, maka tim audit sudah bisa memulai kegiatannya.  Kegiatan ini terbagi ke dalam tiga fase; yaitu fase persiapan, pelaksanaan dan pelaporan dan monitoring tindak lanjut.  Fase persiapan pada dasarnya telah dimulai sejak pembuatan SPK, terdiri dari kegiatan identifikasi permasalahan objek audit yang kemudian harus dirumuskan menjadi sejumlah risiko mikro bisnis.  Risiko-risiko tersebut dikaitkan dengan konsep pengendaliannya sebagai langkah-langkah mitigasi guna diuji tingkat efektivitasnya.  Cara identifikasi seperti ini sejalan dengan konsep risk-based audit (RBA) yang merupakan paradigma dasar AMS.  Dengan kata lain, AMS adalah tools yang memfasilitasi terjadinya aktivitas audit yang berbasis risiko, suatu konsep auditing yang banyak dipakai oleh para professional audit saat ini.

Paska identifikasi objek audit selanjutnya adalah audit lapangan yang dapat dilakukan dengan metode inspeksi (evaluasi dokumen), observasi (evaluasi fisik objek audit), reperform (rekonstruksi sajian/ laporan/ perhitungan melalui recalculating), pengujian system review, pengujian substantif dan lain-lain.  Hasil-hasil evaluasi ini harus direview oleh tim guna diperoleh hasil yang representatif . Guna meyakinkan hasil pengujian dan evaluasi ini maka kemudian akan diklarifikasi dengan business process owners.  Hal ini dilakukan guna menghindari opini sepihak Internal Audit.  Karena waktu yang dibutuhkan biasanya cukup panjang , maka fase ini umumnya menyedot porsi waktu paling lama karena dilakukan secara iteratif.

Jika telah diperoleh kesalingpahaman kedua belah pihak – tim audit dan business process owners – selanjutnya adalah pembuatan pelaporan hasil audit.  Jika ada sejumlah permasalahan yang membutuhkan penyelesaian pada waktu berikutnya, maka akan dilakukan tindak lanjut oleh business process owners dan monitoringnya oleh tim auditor.

Aktivitas-aktivitas di atas difasilitasi oleh AMS sehingga dokumentasinya dapat dilacak dan diakses kembali manakala diperlukan.

Asas-asas Manfaat AMS

Beberapa manfaat paska diimplementasikannya AMS dapat dikemukakan sebagai berikut:

  1. Pelaksanaan auditing lebih terstruktur karena sejak awal audit universe telah didefinisikan. Dengan begitu, PKAT maupun Kontrak Manajemen (KM) UIA terstruktur pula sehingga pada gilirannya SPK pun demikian.  Akibatnya kinerja UIA lebih mudah dimonitor dan diukur.
  2. Dokumentasi pelaksanaan audit terpelihara dan tersimpan baik karena secara teratur pihak Information Systems Center melakukan back up sistem aplikasi dan datanya. Oleh karena itu keterpeliharaan tersebut memudahkan akses kembali data jika sewaktu-waktu diperlukan.
  3. Tim audit diarahkan untuk menerapkan metode RBA dalam kegiatan audit karena AMS berbasis pada metode tersebut.
  4. Dengan menggunakan metode RBA, aktivitas tim audit dapat lebih terarah karena saat memulai kegiatan, tim diharuskan melakukan review atau menilai rating risiko dan kontrolnya sekaligus bisnis proses. Hal ini akan ‘memaksa’ tim untuk bertindak berdisiplin, mengutamakan prioritas, dan sistematis dalam membuat pengujian, juga demikian saat menarik kesimpulan.
  5. Secara umum data-data auditing akan lebih rapih sejak perencanaan sampai monitoring tindak lanjut karena datanya terpusat sehingga pengendaliannya lebih mudah. Aplikasi ini pun dapat diakses baik melalui mode client/ server maupun jaringan intranet (web-based application) dari seluruh jaringan kerja Telkom di Indonesia.

Kendala AMS

Disamping ada manfaat, ada pula kendala berkaitan dengan implementasi AMS.  Hal-hal tersebut diantaranya adalah:

  1. Perlu waktu untuk mengubah kebiasaan tim audit yang semula menggunakan aplikasi-aplikasi Microsoft Office berubah menjadi AMS yang memfasilitasi semua dokumen dalam satu paket aplikasi. Terkadang terjadi sedikit kegagapan.
  2. Kendala bawaan yang masih terdapat di dalam AMS, diantaranya aliran proses kerja masih bersifat manual dispatch dan belum bersifat automatic workflow.
  3. Jaringan komunikasi terutama untuk wireless client sering terputus.
  4. Kastemisasi sistem aplikasi masih bergantung kepada vendor sehingga jika harus ada modifikasi membutuhkan proses yang lama.

Kesimpulan dan Saran

AMS diimplementasikan adalah dalam rangka mengelola aktivitas auditing supaya makin terencana, sistematis, data dan laporan terpelihara dengan baik.  Demikian pula AMS diharapkan dapat meningkatkan kualitas laporan audit lebih tepat sasaran sehingga mampu memberikan sumbangan berarti bagi perusahaan.

Hal-hal yang perlu memperoleh perhatian dalam implementasi sistem ini adalah:

  1. Dorongan manajemen supaya tim audit secara berkesinambungan bersedia mempergunakan AMS.
  2. Perlu selalu diupayakan sistem memperoleh updating sesuai perkembangan metodologi audit, bekerja sama dengan pihak principal/ vendor.
  3. Assessment risiko baik makro maupun mikro harus dilakukan secara berkala melalui kerja sama dengan Direktorat Compliance and Risk Management.
  4. Risk profile/ risk map untuk proses-proses bisnis non ICOFR (Internal Control over Financial Reporting) sebaiknya disusun secara sistematis sebagaimana proses bisnis ICOFR. Hal ini dapat memudahkan risk owner sendiri maupun UIA, khususnya dalam rangka pelaksanaan audit berorientasi RBA.

—-+++oo0oo+++—-

Lukman Abdurrahman

Leave a Reply