Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Perangkat kecerdasan buatan (artificial intelligence/AI) telah menjadikan persaingan dan permintaan pasar sebagai fokus strategis utama. AI menjanjikan pertumbuhan produktivitas Eropa pada 2025, membuka pasar baru, serta meningkatkan profitabilitas dan daya saing. Namun, tantangannya sangat berat. Untuk itu, organisasi perlu menyeimbangkan peluang dan ancaman dengan cepat. 

Laporan Risk in Focus 2025 dari European Confederation of Institutes of Internal Auditing (ECIAA) mengacu pada survei terhadap 985 kepala eksekutif audit (Chief Audit Executives/CAE), 5 pertemuan dengan 48 peserta, dan 11 wawancara tatap muka mengenai tugas audit internal atas lima topik hangat sebagai berikut.

#1 Disrupsi Digital, Teknologi Baru, dan AI

Strategi Disrupsi Digital

Munculnya AI generatif (gen AI) memberikan dorongan baru bagi upaya digitalisasi organisasi. Di sisi lain, disrupsi digital, teknologi baru, dan AI memang merupakan area risiko yang paling cepat berkembang. Undang-Undang Kecerdasan Buatan (UU AI/AI Act) Uni Eropa (UE) adalah kerangka kerja regulasi paling terkemuka di dunia untuk AI secara global. Para CAE yang berpartisipasi dalam survei mengatakan bahwa AI Act telah membantu meningkatkan kesadaran dewan direksi tentang potensi risiko. 

Sejumlah CAE berfokus pada kerangka kerja tata kelola sehingga mereka berencana untuk memberikan asurans atas kasus-kasus penggunaan yang kecil dan spesifik serta proses tata kelola AI dalam 12 bulan ke depan. Selain itu, beberapa CAE dalam bisnis teknologi maju mulai mengintegrasikan AI dalam proses audit internal di berbagai bidang.

Saran Perlakuan Auditor Internal

  1. Menilai strategi AI dan digitalisasi organisasi.
  2. Memberikan jaminan bahwa proyek AI terkait dengan tujuan strategis utama organisasi.
  3. Memberikan jaminan bahwa tata kelola organisasi mampu mengendalikan penyebaran AI.
  4. Menilai proses agar sesuai dengan peraturan.
  5. Memberikan jaminan bahwa strategi AI organisasi didukung oleh program keterampilan.
  6. Memberikan jaminan bahwa penggunaan AI oleh organisasi bersifat etis dan dapat dipercaya.

#2 Keamanan Siber dan Keamanan Data 

Mengatasi Serangan Siber Hibrida

Kecepatan dan volume serangan siber meningkat tajam. Di Amerika Serikat (AS), angka ini mencapai 1.265% pada 2023, dengan sebagian disebabkan oleh pertumbuhan gen AI. Baru-baru ini, misalnya, serangan siber deepfake yang dihasilkan oleh AI menyamar sebagai orang penting. Perusahaan Inggris, Arup, dan perusahaan periklanan multinasional WPP menjadi sasaran serangan semacam itu pada 2024. 

Pada 2024, para CAE membantu organisasi menghadapi dua UU inti yang bertujuan menyelaraskan regulasi dan meningkatkan ketahanan digital di seluruh Eropa: Digital Operational Resilience Act (DORA) dan Network and Information Security Directive (Petunjuk NIS 2). 

Saran Perlakuan Auditor Internal

  1. Memberikan jaminan budaya keamanan seputar risiko siber dan pelatihan.
  2. Memberikan jaminan bahwa departemen sepenuhnya diperbarui dan sadar potensi metodologi serangan hibrida.
  3. Menilai organisasi dalam hal meningkatkan keamanan siber.
  4. Memberikan jaminan atas sistem dan proses tata kelola.
  5. Memberikan jaminan bahwa kerangka kerja NIS2 (dan DORA—jika relevan) diintegrasikan ke dalam kerangka kerja tata kelola organisasi.
  6. Memberikan jaminan bahwa pemantauan kontrol dilakukan secara holistik.

#3 SDM, Keragaman, Manajemen Talenta, dan Retensi 

Menyelaraskan SDM dan Strategi Bisnis

Meningkatkan efisiensi proses SDM sangatlah penting. “Kemungkinan besar orang akan berpindah-pindah organisasi lebih sering daripada sebelumnya karena mereka mencari hal-hal yang berbeda,” kata seorang konsultan di Inggris. “Organisasi membutuhkan proses orientasi yang lebih baik agar karyawan dapat bekerja lebih cepat.” Untuk itu, departemen SDM memainkan peran kunci dalam menciptakan budaya yang ramah bagi staf dan relevan dengan tujuan strategis organisasi. 

Di samping itu, mendigitalkan proses SDM dapat memberikan banyak manfaat. Misalnya, memberikan data yang dibutuhkan terkait rekrutmen, retensi, dan atrisi. Digitalisasi juga membantu fungsi SDM membangun antarmuka pengguna pada layanan digital dan seluler sehingga interaksi dengan bisnis memiliki tampilan dan nuansa yang sama dengan aplikasi sehari-hari yang populer untuk meningkatkan keterlibatan.  

Saran Perlakuan Auditor Internal

  1. Memberikan jaminan perencanaan tenaga kerja yang efektif dan selaras dengan tujuan strategis.
  2. Menilai kebijakan dan prosedur SDM agar selaras dengan nilai-nilai sosial.
  3. Memberikan jaminan bahwa survei karyawan dilakukan dengan benar secara efektif.
  4. Menilai tingkat gesekan organisasi dalam kategori sehat.
  5. Memberikan jaminan bahwa prosedur organisasi membantu pengakuan, perpindahan, dan promosi talenta utama.
  6. Mendukung dewan dalam memahami ketergantungan antara perencanaan suksesi, keragaman, kesetaraan, dan inklusi.

#4 Ketidakpastian Makroekonomi dan Geopolitik 

Mencari Kejelasan yang Lebih Baik

Guncangan harga inflasi memuncak di Eropa antara 2022 dan 2023, lalu berkurang pada 2024, dengan suku bunga berada di atas 2,5%. Meskipun hal tersebut telah mengurangi tekanan ke atas pada biaya berbisnis dan hidup, risiko dari kemungkinan perubahan pasar dan persaingan tetap menjadi risiko ke-8 yang paling mendesak pada 2025. Guncangan lain yang lebih besar bagi bisnis adalah meletusnya perang di Palestina dan terganggunya jalur perdagangan di Timur Tengah. 

Keberadaan digitalisasi dan teknologi baru menunjukkan bahwa konflik pada abad ke-21 tidak lagi hanya berupa pertempuran antar tentara. Secara strategis, bisnis semakin memperlakukan topik ini sebagai masalah tata kelola. “Di dunia yang bergejolak, ketahanan telah berubah, dari yang sebelumnya hanya tentang memiliki modal yang cukup dan keamanan siber yang kuat, menjadi seberapa cocok model bisnis Anda dan seberapa kuat proses tata kelola Anda,” ujar seorang ketua komite audit di Inggris.

Saran Perlakuan Auditor Internal

  1. Memberikan jaminan bahwa proses identifikasi dan mitigasi risiko berpotensi berdampak pada bisnis terintegrasi.
  2. Memberikan jaminan bahwa upaya ketahanan organisasi bekerja pada tingkat strategis.
  3. Menilai apakah organisasi memanfaatkan pengujian stres secara memadai di area risiko utama.
  4. Memberikan jaminan bahwa perencanaan skenario yang kuat akan menangkap kemungkinan skenario risiko secara memadai.
  5. Memberikan jaminan bahwa organisasi memiliki visibilitas atas seluruh rantai bisnis (dilakukan dalam mempersiapkan pengenalan Corporate Sustainability Due Diligence Directive/CSDDD).
  6. Memberikan jaminan bahwa proses risiko yang muncul secara teratur dilaporkan kepada dewan direksi.

#5 Perubahan Iklim, Keanekaragaman Hayati, dan Keberlanjutan Lingkungan

Meningkatkan Ketahanan Melalui Kepatuhan

Dengan laporan tahunan pertama yang akan diterbitkan di bawah Pedoman Pelaporan Keberlanjutan Perusahaan (Corporate Sustainability Reporting Directive/CSRD) pada 2025, para CAE mengatakan bahwa aspek ini merupakan area fokus utama mereka. Cakupan yang jauh lebih luas dari CSRD telah membuatnya menjadi upaya kepatuhan yang besar. 

Para CAE terus memberikan asurans atas upaya pengumpulan dan pengujian data di lini pertama dan kedua. Pada 2024, terdapat fokus tambahan untuk membawa ketelitian yang terkait dengan sistem dan kontrol yang matang seputar pelaporan keuangan ke dalam pelaporan terkait iklim. “Langkah kuncinya adalah organisasi harus mengintegrasikan data terkait iklim ke dalam arsitektur data yang sudah ada dan ke dalam aplikasi sistem inti,” ujar seorang CAE sebuah bank di Spanyol.

Saran Perlakuan Auditor Internal

  1. Memberikan jaminan bahwa bisnis berada di jalur yang tepat untuk meningkatkan kualitas kontrol.
  2. Memberikan jaminan bahwa organisasi melakukan penilaian risiko materialitas yang memadai.
  3. Memberi saran kepada manajemen dalam menilai dampak keterlambatan pelaporan di bawah CSRD terhadap hubungan investor dan risiko reputasi.
  4. Memberikan jaminan bahwa bisnis mengadopsi perencanaan strategis jangka panjang untuk aset fisik.
  5. Menilai peran teknologi pada penilaian risiko fisik atau investasi dalam produk ramah lingkungan.
  6. Memberikan jaminan bahwa organisasi memiliki visibilitas terhadap seluruh rantai nilai bisnis (dilakukan dalam mempersiapkan pengenalan Corporate Sustainability Due Diligence Directive/CSDDD).
  7. Memberikan jaminan bahwa manajemen risiko berfokus pada ketahanan operasional.

Artikel ini telah diterbitkan oleh ECIIA, dengan judul “Risk in Focus 2025: Hot topics for internal auditors” pada September 2024. Artikel selengkapnya dapat dibaca di sini.