Assurance dan Advisory: Dua Peran Dilematis Internal Audit

Oleh: Harry Andrian Simbolon

Internal audit dapat memegang dua peran sekaligus baik sebagai independent assurance maupun advisor sepanjang ia tidak mengambil alih tanggung jawab manajemen dan ancaman terhadap independensi dikelola secara eksplisit, terdokumentasi, dan diawasi oleh direksi/komite audit. Namun pada praktiknya kedua peran ini menjadi dilematis takkala saling bersinggungan atau malah objeknya sama: Memberikan Advice atas Audit yang pernah diberikan atau sebaliknya mengaudit atas objek yang di advice sebelumnya.

Batasan Peran: Assurance vs Advisor

Model Three Lines IIA menegaskan bahwa internal audit sebagai lini ketiga memberikan assurance dan advice secara independen dan objektif, dengan syarat tidak membuat keputusan manajerial atau menjalankan fungsi operasional yang diaudit.

Standar IIA 1100 dan 1130 menyatakan bahwa aktivitas audit internal harus independen dan auditor harus objektif. Jika independensi atau objektivitas terganggu (termasuk self‑review threat), hal ini wajib diungkap dan dijaga dengan safeguard yang memadai.

Standar 1000.C1 dan 1130.A3 memungkinkan jasa konsultasi/advisory, bahkan kemudian assurance di area yang sama, selama sifat konsultasinya tidak mengganggu objektivitas dan penugasan diatur sehingga individu yang memberi nasihat tidak mengaudit keputusannya sendiri.

Standar tersebut di atas apabila diimplementasikan dalam praktiknya bisa dilihat dari dua sudut horizon:

• Batas keras: internal audit tidak boleh menjadi “decision maker” (menyetujui kebijakan, menetapkan prosedur, menyetujui struktur kontrol) atau “process owner”.
• Batas lunak: internal audit boleh memberi rekomendasi, opsi mitigasi, dan insight, tapi keputusan final, desain rinci, dan implementasi tetap milik manajemen.

Apabila kedua peran ini terjadi sekaligus maka ancaman dan konsekuensinya dapat berupa:

• Self‑review threat muncul saat internal audit kemudian diminta memberikan assurance atas solusi, kebijakan, atau desain kontrol yang sebelumnya ia rekomendasikan atau bantu rancang secara detail.
• Ancaman dapat berupa impairment in fact (audit benar‑benar tidak objektif) maupun in appearance (secara persepsi tampak tidak independen), dan keduanya harus dikelola dan diungkap ke komite audit sesuai Standar 1130.
• Jika terlibat terlalu jauh dalam desain/implementasi (misalnya menyusun SOP dan menandatangani sebagai penyetuju), internal audit seharusnya tidak memberikan assurance atas area tersebut dalam jangka waktu tertentu, atau assurance dilakukan oleh pihak lain.

Protokol Governance di Level Charter dan Komite Audit

Internal Audit Charter perlu secara eksplisit mendefinisikan: ruang lingkup jasa assurance dan consulting, jenis advisory yang diperbolehkan dan dilarang, mekanisme persetujuan engagement consulting, serta cara melindungi independensi saat advisory dilakukan (mandatory guidance 1000.C1).

Komite audit/direksi sebaiknya menyetujui “advisory charter” atau lampiran di charter yang menjadi guardrail atas beberapa hal berikut ini: batasan keterlibatan, area high‑risk yang memerlukan persetujuan khusus, serta kebijakan cooling‑off period sebelum internal audit boleh mengaudit area yang baru saja dikonsultasi.

Pelaporan berkala ke komite audit harus mencakup ringkasan engagement advisory, area risiko yang disentuh, safeguard yang diterapkan, dan setiap potensi impairment yang diidentifikasi.

Aspek	Independent assurance	Advisor / consulting
Tujuan	Memberi opini/penilaian objektif atas GRC dan pengendalian	Memberi insight, saran, dan challenge atas rencana/risiko
Posisi dalam Three Lines	Lini ketiga, independen dari manajemen	Masih lini ketiga, tapi tidak mengambil peran lini 1 atau 2
Boleh dilakukan	Penilaian desain dan efektivitas kontrol, rekomendasi perbaikan	Workshop risiko, review draf kebijakan, sounding board
Tidak boleh dilakukan	Mengelola operasi atau menjadi proses	Membuat keputusan manajemen, menyetujui kebijakan, menandatangani otorisasi
Dampak ke independensi	Basis value utama audit	Perlu safeguard agar tidak terjadi self‑review

Protokol Operasional di Level Penugasan

Untuk memungkinkan kedua peran berjalan tanpa saling merusak, beberapa protokol praktis yang lazim digunakan adalah:

1. Penilaian independensi setiap penugasa. Setiap penugasan (assurance maupun advisory) diawali form penilaian independensi dan konflik kepentingan, termasuk potensi self‑review di masa depan. Jika ada potensi konflik, disusun rencana mitigasi: misalnya, audit di masa depan akan dilakukan oleh tim berbeda atau oleh reviewer eksternal.
2. Definisi dan dokumentasi ruang lingkup yang tajam. TOR/surat penugasan untuk advisory harus menjelaskan bahwa internal audit memberikan rekomendasi/opsi, bukan menetapkan keputusan, dan tidak bertanggung jawab atas implementasi. Dalam kertas kerja dicatat secara jelas batas peran (misalnya: “Internal Audit tidak merancang rincian konfigurasi sistem, hanya menilai kecukupan kontrol yang diusulkan”).
3. Safeguard organisasi dan penugasan. Untuk area yang pernah dikonsultasi secara intensif, penugasan assurance dilakukan oleh auditor yang berbeda atau di‑review oleh pihak yang independen, sesuai Standar 1130.A3. Jika Chief Audit Executive pernah memegang tanggung jawab manajerial atas suatu fungsi, assurance atas fungsi tersebut harus diawasi oleh pihak di luar aktivitas internal audit.
4. Cooling‑off period dan tingkat kedalaman advisory. Ditentukan secara kebijakan, misalnya, jika internal audit terlibat sampai level desain rinci, maka ada jeda waktu (1–2 tahun) sebelum fungsi yang sama diaudit, atau audit dilakukan oleh eksternal. Untuk menjaga fleksibilitas, internal audit dapat membatasi advisory pada level prinsip, kontrol kunci, dan risk insight, bukan desain teknis atau operasional yang detail.
5. Transparansi hasil advisory dalam audit berikutnya. Saat kemudian melakukan assurance di area yang pernah diberi advisory, laporan audit secara transparan mengungkap keterlibatan sebelumnya dan safeguard yang diterapkan. Komite audit diinformasikan sehingga mereka dapat menilai sendiri tingkat keandalan objektivitas assurance tersebut.

Best Practice: “Engaged Independence”

Banyak tulisan profesi mendorong konsep engaged independence, yaitu internal audit tetap independen secara struktur dan pengambilan keputusan, namun proaktif terlibat sebagai critical friend dan mitra strategis manajemen.

Dalam kerangka ini Internal Audit independen memberikan kerangka struktural (pelaporan ke board, tidak ikut operasi), sementara tujuannya memastikan penilaian tetap berbasis bukti meskipun hubungan dengan manajemen dekat dan penuh dialog.

Contoh ilustratif:

Internal audit memfasilitasi workshop risk assessment untuk unit bisnis dan menyarankan alternatif kontrol, tetapi tidak memutuskan mana yang harus dipilih, tidak menyusun SOP final, dan tidak menandatangani persetujuan desain; beberapa tahun kemudian, audit menilai apakah kontrol yang dipilih manajemen efektif, dengan tim yang tidak terlibat langsung di workshop awal dan dengan pengungkapan keterlibatan advisory di laporan.