1. Pertanyaan dari Bapak M. Nasran
Apakah ada standar yang bisa menjadi pedoman untuk pembuatan kertas kerja untuk pekerjaan internal audit? Seperti standar audit ISA yang dipakai untuk pekerjaan audit eksternal.

Jawaban: Mengenai internal audit kertas kerja standar, nanti yang akan mereview kerjaan bapak siapa atau yang akan memeriksa pekerjaan bapak itu siapa, itulah dia yang biasanya memberikan ketentuan bagaimana suatu kertas kerja harus didokumentasikan. Dulu saya zamannya menggunakan tim aset sekarang mungkin tim mate dan itu sudah ada guidelinenya. Kecuali kalau penugasan itu dari pihak luar, dulu waktu saya di PWC dapat penugasan untuk Pertamina, yang minta pemerintah Indonesia mensyaratkan kira-kira dokumentasinya seperti ini, kira-kira siapa yang memberi tugas dan yang mereview kerjaan bapak itulah yang harus kita ikuti.

2. Pertanyaan dari Bapak Apriyanto
Bagaimana caranya agar Three line of defence (SPI) kerjanya lebih mudah dalam melakukan pengawasan terhadap operasional perusahaan bila dihubungkan dengan COSO ini pak? Dan bagaimana cara untuk memperkuat 1 line of Defence dan 2 line of Defence?

Jawaban: Jadi kalau di beberapa perusahaan yang saya pernah itu Bagaimana memperkuat line defence 1 dan line defence 2 itu miracle the right employee for the right job jadi itu key pertama. Memang kedengarannya bitter karena itu akan sangat ketat sekali seleksinya.

Berdasarkan pengalaman saya untuk menjadi internal audit yang memadai itu ada 3. Pertama kompetensi, kedua authority, ketiga acceptance. Kompetensi jelas kita harus memiliki skill tertentu setiap tahun minimal ada requirement untuk training. Kedua authority yaitu bagaimana fungsi internal audit ini ditempatkan, apakah untuk posisi tertingginya itu level manager, level presiden dan kemana dia untuk repotnya, line of reportingnya. Karena dengan adanya authority itu akan lebih mudah kalau deal dengan berbagai fungsi perusahaan. Kebetulan saya disini internal audit reportnya ke CEO dan board of audit committee chairmant. Jadi secara hierarki itu cukup tinggi untuk deal dengan seluruh direksi, karena direksi dan saya sama-sama report ke CEO. Jadi saya memiliki authority yang memadai untuk deal atau beradu argumen mengenai suatu masalah. Dan ketiga acceptance, bagaimana performance bisa di accept atau diterima oleh perusahaan. Ada yang internal audit sangat dibenci karena kerjanya katanya mencari-cari kesalahan orang, ada juga internal audit yang diterima karena dianggap membantu meningkatkan performance perusahaan. Pengalaman saya katakanlah 10-20 tahun ini, internal audit akan dihargai kalau ada direksi baru atau manajer baru, yang pertama kali dilakukan yaitu meminta internal audit untuk mengedit departemennya dia, mengaudit direktoratnya dia, mengaudit bisnis line dia. Dari situ dia bisa set base line, bagaimana kondisi direktorat saya. Jadi nanti bisa menjual ke pemegang saham atau stakeholder, inilah hasil improvement yang saya lakukan sejak saya menjabat sebagai direksi atau menjabat sebagai manajer. Beberapa kali teman-teman saya minta diaudit kan departemennya, dengan senang hati saya melakukannya dan dia pun tidak ada resistance karena dia orang baru di bisnis itu. resistance itu kalau orang lama di posisi tersebut kita mengaudit, ada semacam resistensi terhadap internal audit.

3. Pertanyaan dari Bapak Noer
Fungsi internal control kan tidak menghasilkan profit seperti sales yang capai target, atau efisiensi Project atau Operation yang cutting cost. Bagaimana cara memonetize hasil kerja internal control?

Jawaban: Internal control tidak menghasilkan profit seperti sales. Internal control itu fungsi lain memberikan assurance, assurance itu keyakinan semacam consulting. Jadi sebenarnya kita dibayar untuk memberikan nasihat atau masukan kepada direksi bagaimana teman-teman di sales menjalankan sales and marketing activitynya. Monetasinya itu sangat challenging, bagaimana saya memiliki justifikasi ada 1 manajer dengan 3 orang internal control staf, karena itu berbeda dengan kalau satu sales manager dengan 3 orang sales supervisor. Tetapi yang kita lakukan selama ini yaitu kita lebih ke fungsi komplain, jadi kalau di beberapa perusahaan yang saya pernah kerja, internal control itu memberikan masukan atau assurance kepada direksi untuk seluruh bisnis perusahaan. Direksi percaya seluruh laporan yang masuk ke dia dari general manager atau manager, tetapi begitu dia ada keraguan dia pertama kali akan bertanya kepada internal control assurance, trusted bisnis advisor internally. Kalau monetize, tidak ada model yang bisa men justifikasi dengan baik kecuali kalau tadi kita mau value berapa assurance atau consulting service yang kita berikan kepada direksi atas aktivitas yang kita review.

Kalau contoh klasik yang pernah saya terima juga, di perusahaan harus ada bagian produksi, kemudian bagian penjualan, selalu logistik, selanjutnya harus ada sales, IT, dan human resources. Dengan 5 fungsi itu perusahaan sudah berjalan, lantas di mana munculnya internal control atau internal audit secara tiba-tiba? By default kalau perusahaan privat ini tidak perlu, tetapi kalau menjadi perusahaan publik itu diharapkan ada yang namanya fungsi internal audit, ada aturannya dari OJK atau Bursa Efek. Perusahaan besar konglomerat perlu ada kontrol tambahan yang perlu diterapkan, fungsi internal audit

4. Pertanyaan dari Bapak Tulus
Pak Nino, tadi sempat di sampaikan bahwa COSO - Internal Control Framework ini menerapkan model three line of Defense dalam penerapan Pengendalian internal. Saat ini IIA sudah mulai memperkenalkan model tiga lini (Three lines model) dimana setiap lini memiliki peluang untuk melakukan koordinasi dan kolaborasi. Internal audit sebagai lini ke-3 pada model TLoD adalah sebagai rem sementara di three lines model bermetamorfosa menjadi strategic partner dan trusted advisor yang membantu manajemen menavigasi organisasi mengurangi lingkungan bisnis yang dinamis. Bagaimana pandangan Bapak jika internal audit harus shifting ke three lines model dan menurut Bapak apa yang harus dipersiapkan oleh internal audit agar dapat memenuhi ekspektasi dari model di atas?

Jawaban: Mau bagaimanapun fungsi internal audit di dalam perusahaan, at the end of the day kita itu adalah bagian dari perusahaan, jadi tujuannya memberikan editional assurance ke direksi dan pemegang saham. Di situlah kita harus bisa bermanuver dengan baik, Bagaimana ekspektasi dari pemegang saham yang berbeda. Kemudian ada audit committee yang memiliki ekspektasi, direksi yang memiliki ekspektasi. Kita harus bisa memanage semua kepentingan ekspektasi itu. Jadi kalau pertanyaannya bagaimana kita shifting? Itu menjadi masalah karena internal audit subiable, to do most of the thing in the company. Namun bagaimana penerimaan dari pihak-pihak yang memiliki kepentingan- kepentingan yang berbeda. Di perusahaan sebelumnya itu kita masing-masing pemegang saham memiliki internal auditnya sendiri-sendiri, sementara di perusahaan saya ada internal audit juga, Jadi dua grup internal audit dari pemegang saham dua-duanya ngerecokin saya, masing-masing memiliki ekspektasi. Kita sudah ada kesepakatan, boleh audit kita setiap 2 tahun Bukan setiap bulan atau tiap tahun, untuk day today itu tanggung jawab internal audit dalam perusahaan.

Ekspektasinya itu develop communication dan develop expectation dan kita share our audit plan. Jadi tidak mungkin kita allow shareholder selalu datang tiba-tiba mengaudit kita itu pasti bos saya marah. Jadi saya mau kamu sebagai satu-satunya contact person untuk di seluruh audit, internally, sertifikasi, eksternal, shareholder, grup ujung-ujungnya jadi Head of internal audit atau GM audit lah yang berusaha melakukan manuver untuk memenuhi berbagai keinginan pihak-pihak yang berbeda, ekspektasinya berbeda-beda jadi kita harus fleksibel. Fleksibel bagaimana kita mengkomunikasikan ekspektasi, kadang-kadang untuk melakukan satu hal kita memerlukan waktu lama dan untuk melakukan hal tersebut kita perlu spent resources yang banyak tapi kembali lagi ujungnya itu kita bekerja untuk pemegang saham, jadi apapun yang mereka minta kita harus address namun dengan cara yang baik dan benar tanpa mendisturb aktivitas bisnis kita. Kita harus bisa memilih kepentingan seluruh pihak, dan bebannya di internal audit karena kepentingan pasti berbeda, perbedaan tidak jarang terjadi. Pernah dulu waktu saya di Indonesia, grup audit memiliki ekspektasi dan presiden direktur lokal memiliki ekspektasi dan saya waktu itu menyerah, "Bapak lebih baik bicara dengan grup audit, director dari luar Indonesia agree apa yang boleh saya lakukan dan apa yang tidak boleh saya lakukan", karena kalau menurut grup saya memiliki akses ke seluruh bisnis namun kalau menurut direksi lokal, ini tidak bisa mengaudit ini. Both of you are my boss, kadang-kadang kita harus juga akomodasi dan kadang-kadang harus membiarkan mereka memutuskan, di buatlah apa kesepakatan semacam otorisasi untuk internal bisa melakukan ini dan yang tidak bisa dilakukan internal audit. Puncak kepercayaan terhadap internal audit itu kalau head of internal audit itu diizinkan untuk datang ke rapat direksi setiap ada rapat direksi. Jadi saya mengetahui apa yang akan terjadi seperti direksi lain mengetahui apa yang akan terjadi, jadi itu membantu saya dalam melakukan tugas-tugas.

Nino F. Kusmedi, SE, Ak., MMSI, CPA, CIA

Head of Internal Audit, ORYX GTL - Qatar

Deskripsi Pemateri:

Education  : SE, Ak, FE Universitas Indonesia

    MMSI, Universitas Bina Nusantara

Certification  : CPA, CA, CIA, CISA, APM PFQ

Experience  :

- Internal Control Manager, Kraft Foods

- Internal Audit Manager, Indocement

- Internal Audit Manager, Al Ghurair

- Head of Internal Audit, ORYX GTL