– Petikan dari ‘Internal Audit Master Class’ IFC-World Bank, 14-16 Juni 2017, Bangkok.
Dalam kesempatan menjadi salah satu narasumber program ‘Master Class Internal Audit’ IFC-World Bank di bangkok dari tanggal 14 Juni sampai dengan 16 Juni 2017, penulis mencatat beberapa butir hasil diskusi yang dapat bermanfaat bagi praktisi audit internal dari perspektif penerapan manajemen risiko terintegrasi atau Enterprise Risk Management (ERM):
1. Penerapan ERM tidak mungkin akan efektif tanpa keterlibatan aktif fungsi Audit Internal.
Implementasi ERM di suatu organisasi akan terwujud bila konsep three Lines of Defense atau pertahanan tiga lapis (PTL) dijalankan secara menyeluruh, sistematis, dan konsisten dalam organisasi tersebut. Dalam PTL, fungsi dan peran audit internal sebagai unsur elemen utama lapis ketiga mutlak diperlukan. Oleh karena itu, pimpinan dan anggota tim audit internal perlu memiliki kompetensi cukup mengenai ERM agar dapat berfungsi dan menjalankan peran mereka secara pro-aktif dalam PTL tersebut.
2. Berikan pendidikan dan pelatihan ERM kepada kepala Audit Internal atau Satuan Pengendalian Internal (SPI), atau kadang disebut CAE (Chief Audit Executive).
Pendidikan dan pelatihan ditekankan pada simulasi praktis bagaimana peran mereka sebaiknya dijalankan dalam konsep PTL di atas. Simulasi sangat diperlukan agar kompetensi audit internal terasah sampai pada tingkatan praktikal dan memiliki pengalaman simulasi dalam berbagai situasi nyata.
3. Dilibatkan dalam melakukan evaluasi bagaimana penanganan risiko strategik organisasi dilaksanakan.
Keterlibatan mereka dalam melakukan evaluasi tentang bagaimana penanganan risiko strategik akan memberikan pandangan menyeluruh tentang kualitas ‘lingkungan pengendalian’, tingkat kematangan perusahaan dalam penanganan risiko terpadu, dan efektivitas pengendalian internal yang kait-mengkait dengan usaha pencapaian tujuan strategik perusahaan, yang kemudian diturunkan menjadi tujuan operasional, serta rujukan kepatuhan organisasi terhadap peraturan dan aturan baik eksternal maupun internal.
4. Memastikan kecukupan waktu, sumber daya, dan kepemimpinan dalam pengembangan tim audit internal.
Pengembangan tim audit internal sangat dipelukan agar tingkat kompetensi semua anggota tim mencapai kematangan yang tepat dalam peran mereka sebagai lapis ketiga PTL, misal teknik audit dalam memastikan:
– Semua prinsip pengelolaan manajemen risiko telah terakomodir. Bila organisasi mengadopsi SNI ISO 31000, maka sebelas prinsip manajemen risiko akan menjadi rujukan dalam pelaksanaan audit.
– Kerangka kerja manajemen risiko diterapkan di tingkat organ tertinggi organisasi yang berpengaruh pada semua lapisan. Bila organisasi mengadopsi SNI ISO 31000, maka kerangka kerja SNI ISO 31000 akan menjadi rujukan terutama dalam memastikan bagaimana perwujudan pelaksanaan ‘mandat dan komitment’ diteruskan sampai dengan rancangan keseluruan ERM organisasi, implementasi, monitor dan review dan pegembangan berkelanjutan ERM di organisasi tersebut.
– Proses manajemen risiko dalam penanganan risiko di organisasi dijalankan sesuai tahapan yang diperlukan, dikomunikasikan, dan di monitor serta di review secara terus menerus. Bila organisasi mengadopsi SNI ISO 31000 maka proses manajemen risiko SNI ISO 31000 akan menjadi rujukan tahapan tersebut, yang dimulai dengan ‘establishment the contexts’ sampai dengan penentuan apakah akan melakukan tindakan penanganan tertentu atau tidak.
Penulis: Dr. Antonus Alijoyo, ERMCP, CERG, CCSA, CFSA, CRMA, CGAP, CGEIT, CFE