Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal (1)

Dibaca 8,717 kali

Dalam standar 2010 tentang Perencanaan, CAE harus menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas Audit Internal, yang konsisten selaras dengan tujuan organisasi. Dengan demikian tidak terhindarkan bagi Aktivitas Audit Internal untuk menggunakan proses manajemen risiko yang ada di dalam organisasi sebagai bagian dari proses perencanaan tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara pandang dan bahasa yang sama antara Aktivitas Audit Internal dan unit lain di dalam organisasi terhadap risiko dan proses manajemen risiko.

Penggunaan manajemen risiko dalam perencanaan ini diberikan pedoman lebih lanjut oleh IIA sebagai berikut:

  1. Manajemen risiko adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan manajemen risiko yang konsisten dan holistik, yang  terintegrasi sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian.
  2. Suatu proses manajemen risiko yang efektif dapat membantu dalam mengidentifikasi pengendalian utama yang terkait dengan risiko melekat (inherent risk) yang signifikan. Enterprise Risk Management (ERM) adalah istilah yang umum digunakan. Committee of Sponsoring Organizations (COSO) dari Treadway Commission mendefinisikan ERM sebagai “suatu proses, yang dilakukan oleh dewan direksi organisasi, manajemen, dan personil lainnya, diterapkan dalam menyusun strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan organisasi”. Pelaksanaan pengendalian adalah salah satu metode yang umum digunakan oleh manajemen untuk mengelola risiko agar tetap di dalam risk appetite-nya. Auditor Internal melakukan audit terhadap pengendalian kunci dan memberikan keyakinan pada proses manajemen risiko yang signifikan.
  3. Standar mendefinisikan pengendalian sebagai “setiap tindakan yang diambil oleh manajemen, Dewan, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran akan dicapai. Manajemen merencanakan, mengatur, dan mengarahkan pelaksanaan tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan dicapai.”
  4. Dua konsep risiko yang fundamental adalah risiko melekat (inherent risk) dan risiko sisa (residual risk, juga dikenal sebagai current risk).  Auditor eksternal/finansial sejak lama telah memiliki konsep risiko melekat yang secara ringkas diartikan sebagai kerentanan salah saji material atas informasi atau data, dengan asumsi tidak terdapat pengendalian terkait untuk memitigasi kerentanan tersebut. Standar mendefinisikan risiko residual sebagai “risiko yang tersisa setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan kemungkinan (likelihood) dari suatu peristiwa buruk (adverse events), termasuk aktivitas pengendalian dalam menanggapi risiko.” Sedangkan current risk sering didefinisikan sebagai risiko yang dapat dikelola dalam pengendalian atau sistem pengendalian yang ada.
  5. Pengendalian utama (key control) dapat didefinisikan sebagai pengendalian atau kelompok pengendalian yang membantu mengurangi risiko ke tingkat yang dapat ditoleransi, di liuar risiko yang dinyatakan tidak dapat diterima. Dalam suatu proses manajemen risiko yang efektif (dengan dokumentasi yang memadai), pengendalian utama dapat dengan mudah diidentifikasi dari perbedaan antara risiko melekat dan risiko residual. Jika penilaian belum diberikan terhadap risiko melekat, auditor internal dapat melakukan sendiri estimasi penilaian risiko melekat tersebut. Pada saat mengidentifikasi pengendalian utama (dengan asumsi auditor internal telah dapat menyimpulkan bahwa proses manajemen risiko berada pada tingkat mature dan dapat diandalkan), auditor internal perlu mencari:
  • Faktor-faktor risiko individual mana yang terdapat penurunan yang signifikan dari risiko melekat ke risiko residual (terutama jika risiko melekat sangat tinggi). Ini untuk menyoroti pengendalian yang penting/utama bagi organisasi.
  • Pengendalian-pengendalian yang berfungsi untuk memitigasi sejumlah besar risiko.

Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal (2)

Referensi :

  • Practice Advisory #2010-2 IPPF Jan 2009