Peran Audit Internal dalam ERM

Dibaca 3,765 kali

Sehubungan dengan penerbitan kerangka manajemen risiko perusahaan secara terpadu (Enterprise Risk Management – Integrated Framework) oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO), The Institute of Internal Auditor (IIA) bekerja sama dengan Afiliasi IIA di Inggris dan Irlandia, telah mengeluarkan sebuah makalah posisi (position paper) dengan judul The Role of Internal Auditing in Enterprise-wide Risk Management. Tujuan makalah ini adalah untuk membantu Kepala Eksekutif Audit dalam menanggapi isu-isu ERM dalam organisasi mereka. Makalah ini memberikan pedoman bagi auditor internal untuk mempertahankan objektivitas dan independensi yang dipersyaratkan oleh Standar Internasional untuk Praktik Profesional Audit Internal ketika mereka memberikan layanan pemastian (assurance) dan layanan konsultasi.

Peran inti audit internal yang berkaitan dengan ERM adalah untuk memberikan layanan pemastian yang objektif bagi Dewan mengenai efektivitas kegiatan ERM organisasi. Pemastian ini membantu meyakinkan bahwa risiko bisnis kunci telah dikelola dengan tepat, dan bahwa sistem pengendalian internal telah berjalan secara efektif. Faktor utama yang harus dipertimbangkan oleh Kepala Eksekutif Audit saat menentukan peran audit internal adalah apakah suatu kegiatan menimbulkan ancaman terhadap independensi dan objektivitas auditor internal serta apakah memang terdapat kemungkinan untuk meningkatkan proses manajemen risiko organisasi, kontrol, dan proses tata kelola.

Peran auditor internal bervariasi dalam proses ERM bergantung pada kematangan proses ERM dalam organisasi. Sebelum auditor internal melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab manajemen risiko terutama berada pada manajemen.  Makalah posisi IIA ini memberikan pedoman peran internal audit mana yang harus, boleh, dan tidak boleh dimainkan di dalam proses ERM organisasi.

Peran inti audit internal dalam ERM adalah kegiatan yang berhubungan dengan layanan pemastian yang meliputi:

  • Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko.
  • Memberikan keyakinan bahwa risiko dievaluasi dengan benar.
  • Mengevaluasi proses manajemen risiko.
  • Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya.
  • Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan respons lain terhadap risiko-risiko tersebut.

Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan dibarengi pengamanan independensi dan objektivitas yang cukup, antara lain:

  • Memulai pembentukan ERM dalam organisasi.
  • Mengembangkan strategi manajemen risiko bagi persetujuan Dewan.
  • Memfasilitasi identifikasi dan evaluasi risiko.
  • Pelatihan manajemen tentang merespons risiko.
  • Mengoordinasikan kegiatan ERM.
  • Mengonsolidasi laporan mengenai risiko.
  • Memelihara dan mengembangkan kerangka ERM.

Peran dalam ERM yang TIDAK boleh dilakukan auditor internal adalah:

  • Mengatur minat risiko (risk appetite).
  • Menerapkan proses manajemen risiko.
  • Menjamin manajemen risiko
  • Membuat keputusan pada respons risiko.
  • Menerapkan respons dan manajemen risiko atas nama manajemen.
  • Akuntabilitas manajemen risiko.

Variabilitas peran tersebut digambarkan dengan baik oleh gambar berikut, dari peran yang paling disarankan di sebelah kiri hingga peran yang paling terlarang di sebelah kanan.

Sumber:

Position Paper : The Role of Internal Auditing in Enterprise-wide Risk Management Edisi 2004

Role_of_IA_in_ERM_01.09 Edisi 2009