Perbankan merupakan industri yang sangat terikat pada peraturan karena merupakan
lembaga yang dipercaya untuk menyimpan dan menyalurkan dana masyarakat.,
pemerintah dan lembaga lainnya. “Kepercayaan” ini serta seluruh kasus dan
permasalahan bank menjadi tanggung jawab manajemen (komisaris, direksi dan seluruh
lapisan manajemen) bank tersebut. Beragam kepentingan akan masuk dalam manajemen
bank ini. Pemilik saham/modal, komisaris, direksi, karyawan bahkan nasabah dan
debitur memiliki kepentingan yang beragam. Audit intern bank (SKAI) harus dapat
menempatkan fungsinya dia atas berbagai kepentingan tersebut untuk bahwa sasaran dan
tujuan bank yang telah direncanakan dapat tercapai dan memastikan terwujudnya bank
yang sehat, berkembang secara wajar dan dapat menunjang perekonomian nasional.
Kedua, paradigma SKAI sebagai cost center yang tidak memberikan profit atau benefit
ini juga berakibat SKAI tidak memperoleh sumber daya yang memadai untuk mampu
melaksanakan fungsinya secara optimal. Minimnya sarana, prasarana, dana serta
kuantitas dan kualitas SDM menambah beban bagi pelaksanaan fungsi dan pencapaian
tujuan keberadaan SKAI di bank.
Namun seiring perkembangan teknologi dan akses informasi, persaingan global yang
semakin ketat dan tuntutan corporate governance bagi kepentingan seluruh stakeholder
(pemegang kepentingan) perlahan namun pasti gaya dan teknik manajemen juga
mengalami perubahan. Paradigma audit intern juga mulai mengalami pergeseran, dari
“pemeriksa” dengan fokus pada kepatuhan menjadi “konsultan intern” yang berfokus
pada seluruh risiko bisnis serta memberikan kontribusi perbaikan. SKAI bank dituntut
untuk mampu:
Tugas SKAI juga ditekankan untuk melakukan penilaian yang independent terhadap
setiap kegiatan yang bertujuan untuk mendorong dipatuhinya setiap ketentuan yang
ditetapkan oleh manajemen, mendinamisir untuk lebih berfungsinya pengawasan dengan
memberikan saran-saran yang konstruktif dan protektif agar tujuan dan sasaran bank
tercapai dengan ekonomis, efisien dan efektif.
Saat ini fungsi dan tanggung jawab SKAI semakin dibutuhkan dan diandalkan untuk
menjaga dan mengembangkan efektivitas sistem pengendalian intern, manajemen risiko
dan corporate governance di suatu bank. Peraturan Bank Indonesia No.1/6/PBI/1999
tanggal 20 September 1999 tentang Penugasan Direktur Kepatuhan (Compliance
Director) dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum
(SPFAIB) mencerminkan bahwa kepercayaan terhadap peranan SKAI semakin
meningkat. SKAI dan sistem pengendalian intern bank semakin dipercaya peranannya
dalam meningkatkan efisiensi dan menjaga efektivitas bank, terutama untuk memitigasi
dan meminimalisasi risiko serta menghindari krisis, fraud dan kegagalan bank. Selain itu,
SKAI dan sistem pengendalian intern semakin menjadi tumpuan dalam mewujudkan
bank yang sehat dan berhasil.
Agar dapat mengemban tanggung jawab, fungsi dan peranan itu secara efektif, SKAI dan
auditor SKAI harus memiliki kode etik dan perlu memiliki sikap, perilaku, kompetensi,
keahlian, kecermatan professional (proficiency and due professional care), sumber daya
serta tata cara kerja yang memadai dan qualified. Oleh karena itu dibutuhkan suatu
evaluasi dan review terhadap seluruh hal tersebut sehingga dapat dinilai apakah sikap,
perilaku, kompetensi, keahlian, kecermatan professional, sumber daya serta tata cara
kerja yang dimiliki oleh SKAI cukup memadai dan disimpulkan apakah SKAI bank
yang bersangkutan telah berfungsi sebagaimana mestinya?’
Evaluasi dan review ini dapat dilakukan secara intern maupun oleh pihak
ekstern/lembaga ekstern yang memiliki kompetensi dan independensi dan tidak
mempunyai pertentangan kepentingan.
Review intern juga menelaah lebih dalam terhadap cara kerja dan administrasi audit,
penyusunan kertas kerja, kecukupan bukti audit dan kecukupan pelaksanaan prosedur
audit, bukan hanya review terhadap laporan hasil audit. Review ini harus dilaksanakan
secara berkesinambungan dan berkelanjutan.
Sesuai SPFAIB Bab III butir 9 dan Standar 560 Guidelines and interpretations The
Institute of Internal Audit: Quality Assurance, untuk menilai mutu audit yang
dilaksanakan oleh SKAI maka fungsi audit intern bank harus direview oleh lembaga
ekstern sekurang-kurangnya sekali dalam 3 tahun. Review ekstern terhadap kinerja
SKAI, sesuai SPFAIB ini harus disampaikan kepada Bank Indonesia.
Review secara ekstern ini akan memberikan tingkat independensi dan obyektivitas yang
lebih baik, karena review ekstern ini harus dilaksanakan oleh lembaga ekstern yang
memiliki kompetensi dan independensi serta tidak memiliki pertentangan kepentingan.
Selain itu pihak ekstern akan memberikan aspek penilaian yang lebih luas terhadap
pelaksanaan fungsi SKAI. Review ini mencakup evaluasi kepatuhan SKAI terhadap
SPFAIB, meliputi penilaian kebijakan dan prosedurnya, menilai kualitas operasional
SKAI dan memberikan rekomendasi untuk peningkatan fungsi SKAI.
Kesimpulan
Perkembangan teknologi dan akses informasi yang semakin cepat, persaingan global
yang semakin ketat, peraturan dan ketentuan yang selalu berubah dan tuntutan corporate
governance bagi kepentingan seluruh stakeholder (pemegang kepentingan) menuntut
perubahan dan penyesuaian terhadap gaya dan teknik manajemen bank. Paradigma SKAI
juga mulai bergerak dan semakin dituntut untuk menunjukkan keberadaan, tugas dan
peranan, fungsi, serta tanggung jawabnya dalam membantu manajemen.
Untuk mengemban hal tersebut, SKAI dan auditor SKAI harus memiliki kode etik dan
perlu memiliki sikap, perilaku, kompetensi, keahlian, kecermatan professional
(proficiency and due professional care), sumber daya serta tata cara kerja yang memadai
dan qualified. Hal tersebut dapat dinilai melalui mekanisme review/evaluasi oleh pihak
intern ekstern maupun ekstern.
Di lain pihak, review ekstern terhadap SKAI bank diatur SPFAIB Bank Indonesia yang
mewajibkan fungsi audit intern bank harus direview oleh lembaga ekstern sekurang-
kurangnya sekali dalam 3 tahun dan hasil review harus disampaikan kepada Bank
Indonesia. Oleh karena itu tidak jarang review SKAI oleh pihak ekstern dilaksanakan
dalam rangka memenuhi kewajiban tersebut.
Pertanyaan terakhir akan ditujukan kepada manajemen bank. Apakah saat ini dan untuk
yang akan datang tidak merasakan manfaat dan tidak membutuhkan keberadaan, fungsi,
tugas dan peranan SKAI? Apabila ya, maka review oleh pihak ekstern hanya merupakan
biaya untuk memenuhi ketentuan SPFAIB Bank Indonesia, vice versa.
16 Februari 2010
Institute of Internal Audit (IIA) sebagai ikatan internal auditor di Amerika yang dibentuk
pada tahun 1941 merumuskan definisi internal audit sebagai berikut:
Internal audit adalah aktivitas independen, keyakinan obyektif dan konsultasi yang
dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Audit
tersebut membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang
sistematis dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas proses
pengelolaan risiko, kecukupan pengendalian dan proses tata kelola.
Independent
Objective assurance (Obyektivitas)
Consulting activity (Konsultasi)
Add Value (Nilai tambah)
Helping (Membantu)
Improve (Meningkatkan)
Independensi menjadi kata kunci utama dalam definisi internal audit. Beberapa definisi-
definisi tentang internal audit telah berkembang sebelum definisi terakhir tersebut,
namun tidak pernah terlepas dari kata kunci utama yaitu independen. Independen dan
obyektivitas adalah dua hal yang tidak terpisahkan dalam internal audit. Independensi
yang menjadikan internal auditor dapat bersikap obyektif. Demikian pula sebaliknya,
sikap obyektif mencerminkan independensi Internal Auditor. Dalam standar internal
audit yang berlaku internasional yaitu International Standards for the Professional
Practice of Internal Auditing, independensi dijelaskan dalam standard 1100-
Independence and Objectivity: The internal audit activity must be independent, and
internal auditors must be objective in performing their work. Standar ini
diinterprestasikan sebagai berikut:
Independence is the freedom from conditions that threaten the ability of the internal
audit activity or the chief audit executive to carry out internal audit responsibilities in an
unbiased manner. To achieve the degree of independence necessary to effectively carry
out the responsibilities of the internal audit activity, the chief audit executive has direct
and unrestricted access to senior management and the board. This can be achieved
through a dual-reporting relationship. Threats to independence must be managed at the
individual auditor, engagement, functional, and organizational levels.
Secara ideal, internal auditor dikatakan independen apabila dapat melaksanakan tugasnya
secara bebas dan obyektif. Dengan kebebasannya, memungkinkan internal auditor untuk
melaksanakan tugasnya dengan tidak berpihak. Ideal?? Prakteknya?? Tentu saja, hal ini
bukanlah perkara mudah. Di sisi lain, internal auditor banyak menghadapi permasalahan
dan kondisi yang menghadapkan internal auditor untuk ‘mempertaruhkan’
independensinya. Kata “internal” saja sudah berbau tidak independen.
Kondisi lain yang sangat berpotensi mempengaruhi independensi internal auditor adalah
banyaknya pihak yang berkepentingan di dalam sebuah organisasi bisnis. Kepentingan
pihak-pihak eksternal serta kepentingan pihak-pihak internal organisasi seringkali
berbeda. Di satu pihak, manajemen perusahaan ingin menyampaikan informasi mengenai
pertanggunjawaban pengelolaan dana yang berasal dari pihak luar, di lain pihak, pihak
eksternal ingin memperoleh informasi yang andal dari manajemen perusahaan. Konflik
dalam sebuah internal audit akan berkembang pada saat internal auditor mengungkapkan
informasi tetapi informasi tersebut oleh manajemen tidak ingin dipublikasikan kepada
pihak eksternal atau informasi tersebut dibatasi. Kondisi ini akan sangat menyulitkan
internal auditor karena harus berhadapan dengan kepentingan manajemen internal.
Independensi, integritas serta tanggung jawab internal auditor terhadap profesi dan
masyarakat akan dipertaruhkan dengan menempatkan internal auditor sebagai bagian
dari kepentingan manajemen internal organisasi. Contoh yang kongkrit adalah internal
auditor suatu bank memiliki kewajiban untuk melaporkan hasil auditnya kepada Bank
Indonesia sebagai regulator secara periodik. Itu artinya laporan tersebut akan berpotensi
dipengaruhi oleh kepentingan manajemen bank yang bersangkutan agar tidak membawa
dampak “merepotkan” manajemen karena adanya sanksi dari Bank Indonesia.
Selain menghadapi perbedaan kepentingan dengan pihak eksternal, internal auditor juga
harus menghadapi kepentingan-kepentingan pihak internal organisasi yang tidak jarang
pula berbeda-beda, bahkan bertentangan. Dalam kondisi ini, internal auditor berpotensi
dijadikan “tunggangan” konflik kepentingan pihak-pihak tertentu. Disinilah sikap
obyektif internal auditor akan mencerminkan independensinya. Internal auditor harus
menjaga agar tidak muncul prasangka atau pendapat dari pihak manapun bahwa internal
auditor berpihak pada kepentingan tertentu. Inilah yang disebut independen dalam
penampilan. Sebagai contoh adanya ketidakpuasan karyawan atau pihak tertentu karena
gaji atau suatu jabatan, dimana internal auditor diharapkan dapat ‘menyambung lidah’
sehingga ‘keluhan’ mereka ditindaklanjuti oleh manajemen puncak. Atau contoh lain
adanya ‘persaingan’ ditempat kerja sehingga salah satu pihak berusaha menjatuhkan
pihak lainnya dengan memanfaatkan internal auditor.
Bukan hanya sekedar memenuhi tuntutan, kedudukan internal audit dalam struktur
organisasi perusahaan juga merupakan komitmen manajemen puncak terhadap fungsi
internal audit yang independent. Kedudukan internal audit dalam struktur organisasi
harus didukung dengan pernyataan mengenai kewenangannya. Oleh karena itu,
komitmen manajemen puncak terhadap kedudukan internal audit dalam struktur
organisasi perusahaan harus didukung dengan pernyataan tertulis mengenai wewenang
dan independensi yang diberikan kepada internal auditor. Pernyataan ini disebut dengan
Internal Audit Charter. Dengan demikian, langkah awal dalam membangun independensi
internal audit adalah komitmen serta dukungan dari komisaris dan direksi sebagai
manajemen puncak terhadap wewenang dan independensi internal audit yang tercermin
dalam struktur organisasi dan Internal Audit Charter.
Selain komitemen yang berasal dari manajemen puncak, komitemen yang besar dari
internal auditor terhadap independensi yang harus dijaganya juga menjadi elemen
penting dalam membangun independensi internal auditor itu sendiri. Akan menjadi
percuma apabila hanya mengungkapkan komitmen manajemen puncak namun internal
auditor sendiri tidak mampu bersikap independen dan obyektif dalam melaksanakan
tugasnya. Komitmen dari internal auditor terhadap independensi ini harus dituangkan
dalam kode etik internal audit perusahaan dan dilaksanakan secara konsekwen. Internal
auditor harus tidak memiliki kepentingan terhadap obyek atau aktivitas yang diauditnya.
Apabila internal auditor memiliki keterkaitan dengan obyek audit yang mengakibatkan
secara fakta auditor tidak independen, maka internal audit harus melaporkan hal tersebut
kepada manajemen puncak.
9 Februari 2010
Masalah-masalah di perusahaan
Hal yang umum terjadi adalah manajemen mengetahui masalah-masalah yang terjadi di
dalam perusahaan, namun masalah tersebut masih sering terjadi berulang-ulang dan
belum mendapatkan perhatian secara serius. Hal tersebut dapat terjadi antara lain karena:
Porsi waktu, tenaga dan pikiran manajemen puncak/pemilik (owner) lebih
teralokasi/terfokus/terkonsentrasi pada kegiatan yang lebih bersifat strategis
(pengembangan perusahaan, perluasan operasi, penetrasi pasar, diferensiasi
produk, dll) sehingga kurang perhatian terhadap masalah-masalah yang dianggap
kecil/sepele.
Manajemen puncak/owner tidak memiliki ‘partner’ strategis yang memiliki sudut
pandang lebih obyektif dan independent dalam membantu pengambilan
keputusan dan mengatasi masalah yang bersifat strategis.
Perusahaan tidak memiliki tenaga (auditor intern) untuk mengevaluasi struktur
pengendalian intern, menangani masalah fraud, evaluasi efisiensi, efektivitas dan
produktifitas serta evaluasi pencapaian/realisasi rencana kerja (business plan).
Perusahaan memiliki divisi/bagian audit/pengawasan intern, namun belum
berfungsi dan berperan secara optimal karena keterbatasan sumber daya dan
keterbatasan kontribusi terhadap kinerja perusahaan.
Solusi pemecahan masalah umumnya bersifat curative dan kurang bersifat
forward-looking terhadap akar penyebab permasalahan, sehingga berpotensi
terjadi pengulangan permasalahan.
Manajemen perusahaan tentunya sangat menyadari bahwa persaingan usaha dimulai dari
hal-hal yang kecil/detail sampai dengan persaingan efisiensi, kualitas operasional dan
produk hingga meluas ke masalah yang menurut perusahaan luput dari perhatian
perusahaan-perusahaan pesaingnya. Dalam persaingan usaha ini, seluruh aspek
perusahaan tetap menjadi perhatian manajemen puncak (owner). Permasalahan timbul
karena manajemen puncak (owner) sebagai penentu arah strategik perusahaan, memiliki
keterbatasan untuk mengendalikan seluruh aspek perusahaan. Manajemen puncak
memerlukan ‘tangan kanan’ yang obyektif dan independen terhadap seluruh
permasalahan perusahaan.
‘Tangan kanan’ ini berfungsi untuk memastikan bahwa pengendalian intern perusahaan
telah berfungsi sebagaimana mestinya, manajemen risiko telah memadai, seluruh
operasional dan strategi perusahaan berjalan sesuai dengan yang telah direncanakan.
‘Tangan kanan’ ini melaksan akan kegiatan assurance dan konsultasi yang independen
dan obyektif, yang dirancang untuk memberikan nilai tambah dan meningkatkan
kegiatan operasi organisasi. Pada akhirnya, ‘tangan kanan’ ini sebagai strategic partner
yang membantu organisasi untuk mencapai tujuannya, melalui suatu pendekatan yang
sistematis dan teratur untuk mengevaluasi dan meningkatkan efektivitas pengelolaan
risiko, pengendalian intern dan proses governance.
Pertanyaannya adalah siapa yang berfungsi sebagai ‘tangan kanan’ itu. Kita sebut saja
fungsi itu dilaksanakan oleh internal audit. Mengapa internal audit sebagai ‘tangan
kanan’? Karena paradigma internal audit saat ini telah mengalami perubahan. Internal
audit yang dulu dianggap sebagai ‘watchdog’ yang ditakuti karena selalu menemukan
kesalahan-kesalahan, saat ini telah berubah menjalankan kegiatan assurance dan
konsultasi yang memberikan kontribusi perbaikan (improvement), berorientasi
memberikan nilai tambah untuk pencapaian perusahaan.
Ruang lingkup internal audit antara lain meliputi evaluasi terhadap aktivitas
pengendalian, sistem informasi, dan risk assessment, yaitu antara lain:
Seiring perkembangan paradigma internal audit dan semakin pentingnya peranan internal
audit di dalam perusahaan, berkembang pula kecenderungan untuk melaksanakan fungsi
internal audit di dalam perusahaan melalui penggunaan jasa pihak eksternal
(outsourcing). Hal ini karena selain internal audit outsourcing memiliki tingkat
independensi dan obyektifitas yang relatif lebih baik dalam menjalankan fungsi internal
audit, internal audit service secara outsourcing juga memberikan beberapa manfaat
tambahan terhadap perusahaan antara lain, memiliki kompetensi dan pengalaman dalam
‘benchmarking‘ serta wawasan terhadap management best practices. Tenaga internal
audit outsourcing juga memiliki fasilitas dan lingkungan yang memungkinkan untuk
selalu meningkatkan kompetensi, skill dan profesionalismenya. Selain itu, dengan cara
outsourcing memungkinkan terjadinya transfer of knowledge dari tenaga outsourcing
kepada staf-staf preusan dan mengurangi kegiatan administrasi intern serta memberikan
suasana baru bagi kegiatan internal audit di dalam perusahaan.
Alasan yang terpenting adalah bahwa dengan cara outsourcing pelaksanaan internal audit
di dalam perusahaan akan lebih efisien dan efektif. Biaya akan bersifat variable dan
relatif lebih murah serta jasa outsourcing dapat disesuaikan dengan kebutuhan top
manajemen. Jenis-jenis jasa internal audit ini antara lain:
Namun demikian, tidak sedikit hambatan internal yang perlu diperhatikan oleh top
manajemen sehingga mempengaruhi efektivitas pelaksanaan internal audit outsourcing.
Kendala rahasia perusahaan, hal-hal yang dianggap rahasia perusahaan diproteksi oleh
manajemen sehingga tidak diketahui oleh pihak internal audit outsourcing. Hal ini
terjadi karena pihak manajemen tidak sepenuhnya ‘percaya’ dan berkomitmen bahwa
internal audit outsourcing merupakan strategic management partner yang bekerja secara
profesional, memiliki kode etik dan integritas. Internal Audit Charter dan tujuan internal
audit terkadang tidak sepenuhnya dipahami oleh manajemen dan karyawan perusahaan,
sehingga dalam proses audit, pihak internal audit outsourcing menghadapi kendala
kerjasama, conflict of interest dan pembatasan pemeriksaan. Misalnya sebagian
karyawan menganggap kegiatan internal audit outsourcing bukan merupakan
kepentingan perusahaan. Kendala efektivitas internal audit outsourcing lainnya muncul
dari hasil audit yang tidak mendapat perhatian dan dukungan tindak lanjut secara serius
karena dianggap kurang efektif, tidak sesuai dengan kondisi perusahaan, bahkan
merepotkan.
Agar internal audit outsourcing menjadi efektif, maka hambatan-hambatan tersebut perlu
dihilangkan. Sehingga pada akhirnya internal audit outsourcing menjadi assurance and
consulting center bagi top manajemen dalam mengkaji bussines plan, memantau
pelaksanaan strategi, serta efektivitas pengendalian intern dan manajemen risiko.
Informasi lebih lengkap mengenai internal audit services dapat diperoleh melalui
www.jtanzilco.com
9 Februari 2010
Beberapa waktu teman saya menelepon untuk bercerita bahwa hari itu dia dipindahkan
ke bagian internal audit untuk menjadi internal auditor. Meskipun sudah lebih dari 5
tahun bekerja sebagai staff accounting di perusahaan tersebut, namun dia belum paham
tentang internal audit. Sehingga terlontar pertanyaan “Apa sih internal audit itu? apa sih
kerjaan internal auditor itu seharusnya? Dan berbagai pertanyaan lain yang intinya
menunjukkan ketidakpahamannya terhadap internal audit.
Waktu saya dicerca pertanyaan itu, saya bisa mengerti apabila dia tidak paham, namun
sayangnya dia tidak mengerti bahwa tidak gampang menjawab pertanyaannya dalam
waktu singkat! Karena terus mendesak, akhirnya saya jawab singkat bahwa pada intinya
bidang internal audit adalah tentang tujuan organisasi, ancaman terhadap pencapaian
tujuan-tujuan tersebut, kontrol untuk mengurangi ancaman-ancaman ke tingkat yang
dapat diterima, dan secara berkesinambungan melakukan pemantauan dan perbaikan
komponen-komponen interaktif tersebut.
Menurut Institute of Internal Auditor (IIA), definisi resmi internal audit adalah sebagai
berikut:
Internal Auditing is an independent, objective assurance and consulting activity designed
to add value and improve an organization’s operations. It helps an organization
accomplish its objectives by bringing a systematic, disciplined approach to evaluate and
improve the effectiveness of risk management, control, and governance processes.
Internal Audit adalah aktivitas independen, objektif dan konsultasi yang dirancang untuk
menambah nilai dan meningkatkan operasi organisasi. Ini membantu organisasi
mencapai tujuannya secara sistematis, pendekatan secara disiplin untuk mengevaluasi
dan meningkatkan efektivitas manajemen risiko, pengendalian intern, dan proses tata
kelola (apabila dapat diartikan dari governance process).
Dalam beberapa tahun terakhir inti definisi dari internal auditing tersebut tidak berubah,
namun demikian khasanah mengenai peranan (role) internal auditor banyak mengalami
perkembangan dan paradigma. Sesuai definisi di atas, peranan internal audit adalah
untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian
intern, dan proses governance.
Pada dasarnya, audit internal melibatkan beberapa langkah dan proses yang berulang-
ulang dalam pendekatan mereka, tetapi menghasilkan hasil audit yang berbeda
tergantung pada sifat dan jenis area yang diaudit. Langkah-langkah dasar dalam proses
audit internal adalah sebagai berikut:
3. Menyusun rencana audit berbasis risiko (apa yang akan diaudit dan kapan
dilaksanakan)
Ini adalah langkah-langkah dasar. Dalam setiap seksi, ada juga standar konsistensi
metodologi dan pendekatan yang harus diikuti. Sebagai contoh, untuk setiap pelaksanaan
rencana audit tahunan, auditor umumnya melaksanakan langkah-langkah berikut:
1. Memahami dan mendokumentasikan proses dan prosedur dari fungsi atau area
yang akan diaudit diaudit (preliminary survey and analysis)
2. Menentukan sasaran audit dari area atau fungsi yang akan diaudit (audit
objectives)
Pengamanan aset
Fungsi ini tentu saja dilaksanakan oleh Internal Auditor perusahaan. Dalam
perkembangan dewasa ini, hampir seluruh perusahaan telah memiliki fungsi internal
audit yang dilaksanakan oleh internal auditor perusahaan tersebut, meskipun terkadang
hanya berada di level holding company atau di kantor pusat grup perusahaan. Namun
demikian, tidak sedikit pula perusahaan yang memilih outsourcing pihak eksternal
(konsultan) untuk melaksanakan seluruh fungsi internal audit tersebut. Mekanisme lain
adalah sebagian fungsi internal audit dilakanakan oleh staf intern perusahaan (misalnya
perencanaan dan pelaksanaan) dan sebagian pelaksanaan fungsi audit lainnya (misalnya
supervise dan review) dilaksanakan melalui outsourcing. Mekanisme ini umumnya
disebut internal audit co-outsourcing. Internal auditor, Internal audit co-outsourcing atau
internal audit outsourcing masing-masing memiliki pertimbangan sisi keuntungan dan
kelemahan. Dalam praktiknya pihak internal perusahaan dianggap memiliki pemahaman
yang memadai terhadap operasional dan risiko perusahaan, namun pihak internal
perusahaan memiliki kelemahan dalam masalah faktor fixed-cost, kepentingan,
independensi dan obyektivitas serta benchmarking dan pemahaman best practices.
Berbeda dengan pihak eksternal yang memiliki keunggulan dalam independensi,
obyektivitas, tidak memiliki kepentingan dalam perusahaan, serta memiliki keunggulan
dalam benchmarking terhadap best practices. Selain advantages tersebut, dalam hal
biaya, outsourcing tentu memiliki pertimbangan biaya yang lebih efisien dibandingkan
dengan biaya yang harus dikeluarkan oleh perusahaan dalam membangun departemen
internal audit.