Dalam kesempatan mengikuti Internal Audit Master Program di Bangkok, Thailand, yang diselenggarakan oleh International Finance Corporation (IFC) – World Bank pada bulan Juni 2016 lalu, ada bebera catatan yang sangat menarik terkait kompetensi auditor internal di bidang manajemen risiko berbasis ISO 31000. Penulis hendak berbagi kepada para praktisi audit internal dan manajemen risiko di Indonesia.
1. Kompetensi auditor internal di bidang manajemen risiko.
Pelatihan tingkat mahir ini diikuti oleh peserta dari berbagai negara ASEAN dan negara-negara di belahan benua Asia dan Amerika Selatan ini. Kompetensi di bidang manajemen risiko telah menjadi kebutuhan mendasar para auditor internal di berbagai organisasi guna menerapkan audit internal berbasis risiko (risk-based audit) yang efektif. Pengembangan kompetensi auditor internal ini tidak dimaksudkan untuk menggantikan fungsi lini pertahanan ke-2 dalam model 3 Lini Pertahanan (3 Lines of Defense) yang dijalankan oleh para profesional manajemen risiko (risk professionals) di Departemen/Divisi/Direktorat Manajemen Risiko. Namun untuk menunjang terlaksanakannya proses asesmen risiko yang dilaksanakan secara mandiri oleh para auditor internal dalam penentuan rencana tahunan audit (audit planning). Asesmen risiko dan kendali secara mandiri (risk & control self-assessment) dari para auditor internal ini pada dasarnya tidak ditujukan untuk menggantikan atau mengabaikan profil risiko yang terbentuk dari lini pertahanan ke-1 (yang disusun oleh para pemilik risiko atau risk owner), namun lebih kepada sebuah upaya pengawasan & pengimbangan (check & balance) akan ketersediaan profil risiko yang objektif sebagai acuan penyusunan rencana audit.
2. Keberterimaan ISO 31000 sebagai rujukan praktik terbaik manajemen risiko.
Mendukung pengembangan kompetensi auditor internal di bidang manajemen risiko di atas, pemahaman mengenai ISO 31000:2009 sebagai standar internasional manajemen risiko ikut disampaikan dan dibahas dalam berbagai kesempatan pelatihan. Hal ini menunjukkan bahwa keberterimaan ISO 31000 di berbagai kalangan sebagai rujukan praktik terbaik penerapan manajemen risiko telah semakin tinggi dan meluas. Melalui kehadirannya dalam pelatihan ini, para auditor yang berasal dari berbagai belahan dunia tidak hanya mendapat kesempatan untuk lebih memahami ISO 31000, melainkan juga untuk bertukar pikiran dan berbagi pandangan mengenai peran ISO 31000 dalam menddukung penerapan audit internal berbasis risiko.
- Peran komite dalam mendorong efektivitas penerapan manajemen risiko.
Selain topik-topik mengenai aktivitas audit internal, tersedia pula beberapa sesi yang mengulas peran komite dalam mendorong efektivitas penerapan manajemen risiko guna mendukung pelaksanaan audit internal berbasis risiko. Dalam konteks Indonesia, komite ini adalah Komite Audit dan Komite Pemantau Risiko pada Dewan Komisaris. Sehubungan dengan hal tersebut, kompetensi mengenai penerapan manajemen risiko, maupun secara khusus pemahaman mengenai ISO 31000 (atau SNI ISO 31000 dalam konteks Indonesia), tidak hanya perlu dimiliki oleh para auditor internal, melainkan juga oleh para anggota komite.
Sebagaimana dipahami bahwa akuntabilitas utama untuk memastikan pengendalian dan pengelolaan risiko yang efektif sebagai asurans terhadap pencapaian sasaran organisasi diemban oleh manajemen puncak (Direksi maupun Komisaris). Untuk itu, maka hendaknya para anggota Direksi dan Dewan Komisaris menguasai pemahaman mengenai tata kelola risiko (risk governance) maupun aspek strategis lainnya dari penerapan manajemen risiko.
Ditulis oleh: Charles R. Vorst, BCCS, CERG, ERMCP, QCRO, QRGP – Dewan Pengurus IRMAPA.