PERANAN INTERNAL AUDIT DALAM ERM (ENTERPRISE RISK MANAGEMENT)
23 February 2017
Category: INTERNAL AUDIT
Penulis:
Primanita Dissy Alfriyani, S.ST.
Dengan makin pesatnya persaingan bisnis saat ini, banyak perusahaan baru yang bermunculan. Sehingga memaksa setiap perusahaan untuk meningkatkan daya saingnya secara berkelanjutan.
Salah satu cara yang ditempuh adalah meningkatkan efisiensi dan efektivitas dari kegiatan usahanya. Untuk meningkatkan efisiensi dan efektivitas dari kegiatan usahanya, suatu perusahaan sangat memerlukan adanya internal audit yang efektif atau pemeriksaan yang bersifat independen.
Dalam kegiatan operasional perusahaan tak luput dari permasalahan yang muncul sering disebut juga dengan resiko. Agar suatu perusahaan dapat berjalan secara efisien dan efektif, perlu adanya penilaian resiko yang dilakukan oleh seorang internal auditor. Internal auditor dalam melakukan penilaian resiko menggunakan satu kerangka yang cukup terkenal dan telah diterapkan oleh sebagian banyak perusahaan. Kerangka tersebut adalah ERM (Enterprise Risk Management).
Apa ERM itu?
ERM adalah suatu proses atau kegiatan yang digunakan untuk mengelola perusahaan secara menyeluruh (firm wide basis) yang menjangkau berbagai jenis resiko, lokasi dan aktivitas bisnis. ERM mempunyai tujuan yang bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya menciptakan, menambahkan, dan atau melindungi nilai perusahaan. Adapun kerangka ERM yang biasa digunakan adalah kerangka ERM versi COSO.
Kerangka ERM versi COSO
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diadopsi dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap peraturan perundang-undangan. Komponen-komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap resiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen resiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara resiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Resiko (Risk Assessment) – Resiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya resiko tersebut dikelola.
5. Respons Resiko (Risk Response) – Manajemen memilih respons resiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk) –dan mengembangkan satu set kegiatan agar resiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons resiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Bagaimana keterkaitan antara internal audit dengan ERM ?
Peran audit internal yang terkait dengan ERM (Enterprise Risk Management) adalah memberikan layanan yang memastikan perihal efektivitas kegiatan ERM organisasi kepada Dewan. Layanan pemastian ini membantu meyakinkan bahwa kunci resiko bisnis telah dikelola dengan baik dan tepat, selain itu juga memastikan bahwa sistem pengendalian internal telah berjalan secara efektif dan efisien. Ada beberapa faktor yang harus dipertimbangkan oleh Kepala Eksekutif Audit dalam penentuan peran audit internal. Ada dua faktor utama yang digunakan, yang pertama adalah melihat apakah suatu kegiatan menimbulkan ancaman terhadap independensi dan obyektivitas auditor internal, dan yang kedua adalah apakah ada kemungkinan untuk meningkatkan proses manajemen resiko dan proses tata kelola.
Peran auditor internal dalam suatu proses ERM tergantung kepada kematangan proses ERM itu sendiri dalam sebuah organisasi. Sebelum auditor internal melakukan peran yang berkaitan dengan ERM, harus dipastikan bahwa seluruh organisasi telah memahami bahwa tanggung jawab untuk memanajemen resiko terletak pada manajemen. Ada pedoman yang berperan sebagai petunjuk bagi internal audit dalam melaksanakan proses ERM.
Ada beberapa hal peran auditor internal yang boleh dilakukan dan tidak boleh dilakukan dalam melaksanakan proses ERM.
> Peran auditor internal dalam ERM yang berhubungan dengan kegiatan layanan pemastian meliputi:
1. Memberikan keyakinan terhadap desain dan efektivitas pada proses manajemen resiko.
2. Memberikan kepastian bahwa resiko telah dievaluasi dengan benar.
3. Melakukan evaluasi proses manajemen resiko.
4. Melakukan evaluasi pelaporan perihal status dari resiko-resiko kunci dan pengendaliannya.
5. Melakukan peninjauan resiko-resiko kunci, termasuk efektivitas dari pengendalian dan respon terhadap resiko-resiko.
> Peran auditor internal yang boleh dilakukan dalam jasa konsultasi bersamaan dengan pengamanan independensi dan obyektifitas yang cukup meliputi:
1. Melakukan pembentukan ERM dalam organisasi.
2. Melakukan pengembangan strategi manajemen resiko.
3. Memberikan fasilitas identifikasi dan evaluasi resiko.
4. Melakukan pelatihan manajemen tentang cara merespon resiko.
5. Melakukan koordinasi terhadap proses ERM.
6. Melakukan konsolidasi laporan tentang resiko.
7. Memelihara dan mengembangkan kerangka ERM.
> Peran auditor internal dalam ERM yang TIDAK boleh dilakukan meliputi:
1. Mengatur risk appetite.
2. Mengimplementasikan kegiatan manajemen resiko.
3. Memastikan manajemen resiko.
4. Menetapkan keputusan terhadap hasil resiko.
5. Akuntabilitas untuk manajemen resiko.