peran audit internal dalam manajemen risiko
DESCRIPTION
Peran Audit Internal dalam Manajemen RisikoTRANSCRIPT
Makalah Pemeriksaan Internal
Peranan Audit Internal dalam Manajemen Risiko
Disusun oleh
Sherliana 3203011346Kelas A
Universitas Katolik Widya Mandala Surabaya2013
1
I. PENDAHULUAN
Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada akhir
tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang kemudian diikuti oleh
terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom, Merck, dan sebagainya. Salah satu
faktor penting yang menyebabkan itu semua, menurut Hamilton dan Francis (2003) mengutip
laporan William C. Powers, Dekan Law School University of Texas, yang juga mengetuai Komite
Investigasi Khusus – Board of Directors Enron Corporation, adalah kelemahan sistem
pengendalian intern dan proses manajemen risiko dalam memitigasi risiko.
Dunia bisnis saat ini menjadi semakin kompleks, yang dikarenakan munculnya berbagai
risiko yang baru dan terus berubah. Pentingnya tata pamong yang kuat dalam mengatasi risiko
semakin diakui. Perusahaan-perusahaan berada di bawah tekanan untuk mengidentifikasi semua
resiko bisnis yang mereka hadapi, baik risiko sosial, etika, lingkungan, keuangan, maupun risiko
operasional, dan lalu menangani risiko-risiko tersebut hinga ke tingkat yang dapat diterima.
Sementara itu, penggunaan kerangka kerja manajemen resiko perusahaan semakin meluas,
perusahaan tidak lagi menangani risiko dengan pendekatan “silo” dimana risiko dikelola secara
terpisah dan berbeda-beda di dalam organisasi.
Committee of Sponsoring Organizations (COSO) dari Treadway Commission
mendefinisikan ERM sebagai “suatu proses, yang dilakukan oleh dewan direksi organisasi,
manajemen, dan personil lainnya, diterapkan dalam menyusun strategi dan di seluruh perusahaan,
yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi,
dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai
tentang pencapaian tujuan organisasi”. Pelaksanaan pengendalian adalah salah satu metode yang
umum digunakan oleh manajemen untuk mengelola risiko agar tetap di dalam risk appetite-
nya. Auditor Internal melakukan audit terhadap pengendalian kunci dan memberikan keyakinan
pada proses manajemen risiko yang signifikan.
Auditor internal, baik dalam perannya sebagai jasa penjaminan maupun jasa konsultasi,
dapat berkontribusi dalam manajemen resiko perusahaan dengan banyak cara. Pada tahun 2004 IIA
menyatakan bahwa aktivitas audit internal harus mengevaluasi dan berkontribusi kepada perbaikan
manajemen risiko, pengendalian dan tata kelola. Studi yang dilakukan Leung et al. (2003) pada
perusahaan-perusahaan Australia menemukan bahwa mayoritas auditor internal memandang
manajemen risiko (74%) dan pengendalian internal (91%) sebagai tujuan audit yang penting sedang
Survei Audit Internal Global IIA di tahun 2010 mengindikasikan bahwa 57% aktivitas audit internal
di seluruh dunia melakukan audit manajemen risiko perusahaan. Lebih jauh lagi, 20% responden
mengindikasikan bahwa audit tersebut akan lebih sering dilakukan lima tahun berikutnya. Tujuan 2
dari makalah ini adalah untuk (1) mengetahui peran-peran yang dapat diambil audit internal dalam
ERM dan bagaimana audi internal berperan dalam ERM (2) mengetahui pada saat ini, peran-peran
seperti apa saja yang dijalankan auditor dalam ERM, dan (3) bagaimana kerjasama antara auditor
internal dan praktisi risiko dapat menambah nilai bagi perusahaan.
II. PEMBAHASAN
3
Manajemen risiko merupakan tanggung jawab utama manajemen senior dan Dewan. Untuk
mencapai tujuan usahanya, manajemen harus memastikan bahwa proses manajemen risiko telah ada
dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki peran pengawasan terhadap
efektivitas proses manajemen risiko tersebut. Untuk menjalankan perannya itu, Dewan dapat
mengarahkan aktivitas audit internal untuk membantu mereka melalui pemeriksaan, evaluasi,
pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan efektivitas proses manajemen
risiko.
Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan
pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran
konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
metodologi manajemen risiko dan pengendalian yang relevan.
Dalam situasi dimana organisasi tidak memiliki proses manajemen risiko secara formal,
CAE perlu mendiskusikannya dengan manajemen dan Dewan kewajiban mereka untuk memahami,
mengelola, dan memantau risiko dalam organisasi. Mereka juga perlu diyakinkan akan adanya
kebutuhan terhadap sebuah proses yang memberikan pemastian bahwa risiko-risiko kunci dikelola
dan dimonitor secara memadai.
Audit internal adalah aktivitas penjaminan dan konsultasi yang objektif dan independen.
Standar 2120 menyatakan bahwa aktivitas audit internal harus mengevaluasi efektivitas dan
berkontribusi pada penyempurnaan proses manajemen risiko. Peran inti audit internal yang
berkaitan dengan ERM adalah untuk memberikan layanan pemastian yang objektif bagi Dewan
mengenai efektivitas kegiatan ERM organisasi. Pemastian ini membantu meyakinkan bahwa risiko
bisnis kunci telah dikelola dengan tepat, dan bahwa sistem pengendalian internal telah berjalan
secara efektif. Faktor utama yang harus dipertimbangkan oleh Kepala Eksekutif Audit saat
menentukan peran audit internal adalah apakah suatu kegiatan menimbulkan ancaman terhadap
independensi dan objektivitas auditor internal serta apakah memang terdapat kemungkinan untuk
meningkatkan proses manajemen risiko organisasi, kontrol, dan proses tata kelola.
Auditor internal memahami konsep manajemen risiko dan proposi nilai dengan lebih baik
daripada sebagian besar karyawan. Oleh karena itu, Chief Audit Executife (CAE) harus lebih aktif
dalam mendidik komite audit dan manajemen mengenai nilai dari penerapan manajemen risiko
yang efektif dan peran yang dapat diambil auditor internal untuk meningkatkan nilai tersebut.
Berbagai survei mengindikasikan bahwa manajemen risiko adalah topik utama yang sedang
berkembang dalam agenda komite audit. CAE harus membentuk pemahaman anggota komite audit
dan manajemen sehingga di masa depan mereka dapat meminta kegiatan audit internal untuk
berperan dengan benar.
4
Peran Auditor Internal dalam ERM
Peran auditor internal bervariasi dalam proses ERM, bergantung pada kematangan proses ERM
dalam organisasi. Sebelum auditor internal melaksanakan apapun peran yang terkait dengan ERM,
harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung
jawab manajemen risiko terutama berada pada manajemen. Makalah posisi IIA memberikan
pedoman peran internal audit mana yang harus, boleh, dan tidak boleh dimainkan di dalam proses
ERM organisasi.
Peran inti audit internal dalam ERM yang ditunjukkan pada sisi paling kiri adalah
kegiatan yang berhubungan dengan layanan penjaminan yang meliputi:
Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko.
Memberikan keyakinan bahwa risiko dievaluasi dengan benar.
Mengevaluasi proses manajemen risiko.
Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya.
Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan
respons lain terhadap risiko-risiko tersebut.
Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan
disertai pengamanan independensi dan objektivitas yang cukup. Peran-peran ini
merepresentasikan jasa konsultasi yang dapat meningkatkan tata pamong perusahaan, manajemen
5
risiko, dan proses pengendalian. Cakupan jasa tersebut bergantung pada sumber daya lain yang
dapat diperoleh dewan dan kedewasaan risiko perusahaan, antara lain:
Memulai pembentukan ERM dalam organisasi.
Mengembangkan strategi manajemen risiko bagi persetujuan Dewan.
Memfasilitasi identifikasi dan evaluasi risiko.
Pelatihan manajemen tentang merespons risiko.
Mengoordinasikan kegiatan ERM.
Mengonsolidasi laporan mengenai risiko.
Memelihara dan mengembangkan kerangka ERM.
Peran dalam ERM yang tidak boleh dilakukan auditor internal. Peran-peran ini tak
boleh diambil auditor internal karena merepresentasikan tanggung jawab manajemen yang dapat
mengaburkan independensi dan objektivitas auditor internal. Kegiatan-kegiatan tersebut adalah:
Mengatur minat risiko (risk appetite).
Menerapkan proses manajemen risiko.
Menjamin manajemen risiko
Membuat keputusan pada respons risiko.
Menerapkan respons dan manajemen risiko atas nama manajemen.
Akuntabilitas manajemen risiko.
Ketika menentukan peran yang dimainkan fungsi audit internal dalam ERM, kepala
eksekutif audit atau CAE harus mengevaluasi apakah setiap aktivitas menimbulkan risiko terhadap
independensi dan objektivitas dari fungsi audit internal. Sangat penting bahwa organisasi
sepenuhnya mengerti bahwa manajemen tetap bertanggungjawab atas manajemen risiko.
Pengamanan di bawah ini harus ditetapkan:
Harus digarisbawahi bahwa manajemen tetap bertanggungjawab atas manajemen risiko.
Sifat dari tanggung jawab fungsi audit internal harus didokumentasikan dalam piagam audit
internal dan disetujui oleh komite audit.
Fungsi audit internal tidak dapat mengelola risiko apapun atas nama manajemen.
Fungsi audit internal harus memberikan saran, tantangan, dan dukungan terhadap proses
pembuatan keputusan manajemen, bukannya membuat keputusan manajemen risiko.
Fungsi audit internal tidak dapat memberikan penjaminan yang objektif terhadap bagian
apapun dari ERM yang mana ia bertanggungjawab. Penjaminan tersebut sebaiknya
diberikan oleh pihak lain yang berkualifikasi, baik internal maupun eksternal dari organisasi.
Tugas apapun selain kegiatan penjaminan harus diakui sebagai penugasan konsultasi, dan
implementasi standar yang berkaitan dengan penugasan tersebut harus diikuti.6
Peran Auditor Internal dalam Manajemen Risiko Saat Ini (Berdasarkan Survei)
Dalam survei yang diadakan oleh GAIN (Global Audit Information Network) Flash pada
bulan Agustus 2009 kepada 321 responden, 24% responden mengindikasikan bahwa kegiatan audit
internal mereka mempunyai peran utama dalam manajemen risiko di perusahaan mereka. Namun,
ketika menjawab pertanyaan “Siapa yang memiliki tanggung jawab keseluruhan untuk manajemen
risiko di perusahaan Anda?”, hanya 9% yang menjawab bahwa audit internal atau CAE yang
mempunyai tanggungjawab tersebut. Karena adanya konflik tentang tanggungjawab pembuatan
keputusan dalam manajemen risiko dan persyaratan objektivitas dari International Standards for the
Professional Practice of Internal Auditing (Standards) (akan dijelaskan di bawah), tingkat
tanggungjawab keseluruhan yang rendah adalah pantas.
Survei tersebut kemudian menanyakan beberapa pertanyaan lagi, yang pertama yaitu apakah
audit internal saat ini memainkan peran atau diharapkan akan memainkan peran di masa mendatang
dalam 6 area sebagai berikut:
Secara informal memberikan konsultasi dan saran dalam praktik manajemen risiko
Katalis dalam membentuk manajemen risiko
Berpartisipasi aktif dalam mengimplementasikan manajemen risiko
Berpartisipasi sebagai bagian dari program manajemen risikon formal
Memberikan penjaminan independen mengenai manajemen risiko
Membantu dan menyarankan fungsi manajemen risiko yang baru dan terpisah
0% 20% 40% 60% 80% 100%120%
77%
48%
45%
43%
40%
28%
14%
14%
20%
30%
35%
21%
9%
38%
35%
27%
25%
51%
Peran saat ini Peran masa mendatang Tidak berperan
Pada secara informal memberikan konsultasi dan saran dalam praktik manajemen risiko,
angka 77% mendukung gagasan bahwa auditor internal cenderung memiliki pemahaman yang lebih
kuat mengenai manajemen risiko daripada sebagian besar orang di dalam perusahaan sehingga
banyak yang mencari mereka untuk meminta saran dalam praktik-praktik manajemen risiko.
Respon terhadap peran dalam bagian lain memperkuat fakta bahwa audit internal akan terus
mengambil peran dalam implementasi dan operasi program manajemen risiko hingga suatu titik.
Namun, cukup mengejutkan bahwa hanya 40% yang pada saat ini memberikan penjaminan
7
independen dan 25% tidak mengharapkan hal tersebut karena manajemen risiko tercantum dalam
standar. Hasil yang rendah pada membantu dan menyarankan fungsi manajemen risiko yang
terpisah menyoroti lebih jauh bahwa banyak kegiatan audit internal tidak memberikan penjaminan
independen dan jasa konsultasi seperti yang diharapkan.
Pertanyaan selanjutnya adalah: “Apakah audit internal melaksanakan peran-peran di bawah
ini?
1. Memfasilitasi identifikasi dan evaluasi risiko 65%
2. Berpartisipasi dalam mengidentifikasi risiko yang muncul 62%
3. Memberikan keyakinan lewat laporan tertulis mengenai risiko utama manajemen 49%
4. Pelatihan manajemen tentang merespons risiko 43%
5. Memberikan penjaminan lewat laporan audit tertulis bahwa risiko diidentifikasi
dengan benar dan dievaluasi 38%
6. Menyediakan laporan konsultasi untuk mengimplementasikan manajemen risiko 29%
7. Memberikan penjaminan lewat laporan audit tertulis mengenai proses
manajemen risiko 28%
8. Mengonsolidasi laporan mengenai risiko 17%
9. Berpartisipasi dalam mengatur minat risiko (risk appetite) 11%
10. Mengembangkan kebijakan perusahaan mengenai kebijakan manajemen risiko 8%
11. Menerapkan respons dan manajemen risiko atas nama manajemen 4%
12. Membuat keputusan pada respons risiko 3%
Hampir 2/3 responden menyatakan bahwa audit internal memiliki peran dalam area
penilaian risiko, yaitu (1) memfasilitasi identifikasi dan evaluasi risiko dan (2) berpartisipasi dalam
mengidentifikasi risiko yang muncul. Hal ini dikarenakan wilayah penilaian risiko adalah wilayah
di mana para auditor internal memiliki keahlian dan pengalaman. Rendahnya peran auditor internal
pada nomor (3), (5), dan (7) yang adalah peran penjaminan mengindikasikan bahwa auditor internal
tidak memberikan cukup tingkat penjaminan yang ia dapat berikan. Nomor (4) dan (6)
menunjukkan peran konsultasi auditor internal , karena hasilnya tidak cukup tinggi, mungkin
auditor internal luput dalam mengambil kesempatan untuk menunjukkan peran berharga yang telah
mereka lakukan kepada komite audit dan manajemen. Sedang dari nomor (8) sampai (12) adalah
peran-peran ERM yang tidak boleh diambil auditor internal karena dapat mempengaruhi
objektivitas kegiatan audit internal sehingga tidak heran bahwa hasil yang diperoleh sangat rendah.
Kerjasama antara Auditor Internal dengan Praktisi Risiko
8
Dalam organisasi, praktisi risiko dan auditor internal diminta para pemangku kepentingan
untuk bekerjasama agar dapat meningkatkan nilai yang mereka bawa dalam organisasi. Meski
beberapa organisasi telah melakukan hal ini, banyak organisasi yang baru memulainya. Ketika
auditor internal dan fungsi manajemen risiko merasa bahwa mereka saling melengkapi, mereka
akan bekerjasama secara lebih efektiff untuk meningkatkan nilai yang mereka bawa pada
perusahaan. Analisis dalam beberapa perusahaan seperti Cisco Systems, Hospital Corporation of
America (HCA), PT XL Asiata, Matahari, TD Ameritrade, dan Whirpool Corporatio di bawah ini
menujukkan bagaimana setiap perusahaan membentuk kerjasama antara praktisi risiko dan audit
internal:
Menghubungkan rencana audit dengan penilaian risiko perusahaan, dan saling berbagi
akan produk kerja lainnya.
Memberikan penjaminan bahwa risiko krusial telah diidentifikasi dengan efektif.
Rencana audit menentukan lingkup kerja fungsi audit internal selama periode tertentu,
sementara fungsi manajemen risiko dalam penilaian risiko perusahaan didesain untuk
mengetahui risiko yang dihadapi perusahaan dan menunjukkkan risiko terbesar yang
memerlukan fokus manajemen. Secara formal, angat sering kedua produk ini diperbaharui tiap
tahun, dan secara informal, lebih sering lagi, untuk mengikuti perubahan lingkungan bisnis.
Cisco menggunakan penilaian risiko perusahaan yang terkonsolidasi dan penilaian risiko
tahunan audit internal untuk membuat rencana audit 18 bulannya. HCA memasukkan satu slide
dalam presentasi rencana audit tahunnya kepada komite audit yang memetakan 10 risiko yang
muncul dari proses ERM pada rencana audit. TD Ameritrade memanfaatkan apa yang
dipelajarinya dari kerangka kerja manajemen risiko untuk membuat rencana audit tahunannya.
Tim audit internal Whirlpool menggunakan pelnilaian risiko perusahaan untuk
menginformasikan proses penilaian risiko tahunannya dan hubungannya dengan rencana
auditnya. PT XL Asiata mengadopsi kerangka ISO 31000 yang dijalankan melalui manajemen
risiko perusahaan untuk menghadapi potensi berbagai resiko. Kerangka ISO 31000 yang
lengkap dan fleksibel menyediakan ruang yang memadai bagi XL Axiata dalam menilai,
mengevaluasi, dan mengelola resiko perusahaan. Hubungan integrasi antara proses manajemen
resiko perusahaan dengan audit internal juga memberikan jaminan efektivitas rencana
penanganan atas potensi resiko. Selama tahun 2009 auditor internal telah meningkatkan
penelaahan audit dengan berfokus pada audit risiko di mana tugas-tugas audit internal
9
diselaraskan dengan strategi dan inisiatif perusahaan agar dapat memberikan nilai tambah
kepada organisasi.
Ada nilai yang besar dari berbagi hasil ERM dengan audit internal yaitu, pertimbangan-
pertimbangan dalam ERM dapat dimasukkan dalam rencana audit. Sebagai tambahan,
mendiskusikan rencana audit berbasis risiko dengan tim manajemen risiko memberikan
wawasan dari perspektif yang berbeda akan tata pamong dan pengawasan perusahaan. Sedikit
demi sedikit pendekatan ini menambah nilai dengan mengeliminasi redundansi dalam
mengidentifikasi risiko kritis organisasi, menghasilkan pandangan yang sama dan selaras
mengenai profil risiko perusahaan dan membantu dalam menanamkan manajemen risiko yang
konsisten.
Berbagi sumber daya yang tersedia dimanapun dan kapanpun ketika dimungkinkan
Menghasilkan penggunaan sumber daya secara efisien, seperti sumber daya keuangan, staff, dan
waktu.
Hampir semua studi kasus pada organisasi menyebutkan nilai efisiensi yang diperoleh dengan
mengungkit kemampuan tim manajemen risiko dan tim audit mereka. Di HCA, fungsi ERM
yang terdiri dari tiga orang staff, menggunakan 140 auditor internal perusahaan dan mengakses
partisipan tata pamong lainnya untuk tujuan ERM yang dibutuhkan. Dengan menggunakan satu
proses penilaian risiko tahunan, HCA memperoleh keuntungan dari profil risiko yang konsisten
dan selaras sepanjang lingkungan yang beragam dan berbeda-beda secara geografis. Audit
internal menyediakan sumber daya dan menyerap biaya kapanpun manajemen risiko
memerlukan mereka. Philip Roush, wakil presiden tata pamong, risiko, dan pengendalian dari
Cisco Systems melihat lebih banyak sinergi daripada konflik dari 55 anggota audit internal dan
4 orang staff ERM-nya.
Hasil lain dari berbagi sumber daya tersebut adalah bahwa pendekatan tersebut memanggil
kedua fungsi untuk membawa masing-masing keahlian mereka. Hal ini menghasilkan
pemahaman yang sama akan manajemen risiko karena kedua fungsi tersebut berfokus pada
pencapaian tujuan organisasi.
Pengumpilan silang kompetensi, peran, dan tanggungjawab masing-masing fungsi
Memberikan komunikasi yang mendalam dan konsisten, terutama pada tingkat manajemen.
10
Sementara efisiensi dapat diperoleh seperti disebutkan di atas, keempat organisasi sepakat
dengan suara bulat dalam nilai yang diperoleh dalam peningkatan komunikasi ketika fungsi
masing-masing memanfaatkan peran fungsi yang lain. Philip Roush dari Cisco menasihatkan
kolaborasi "dengan cara yang sangat signifikan karena ada begitu banyak titik persimpangan."
Melalui proses ERM dan diskusi kolaboratif risiko dan komite operasi ketahanan, Cisco
mendapat pandangan yang luas dari pemikiran strategis mengenai tingkat risiko . Dengan
pemilik usaha yang ditugaskan untuk setiap risiko, ERM dan kerja audit internal bersama-sama
untuk melacak, memantau dan melaporkan kemajuan. Aktivitas berisiko terkait dengan
manajemen termasuk dalam bahan briefing untuk semua rapat dewan.
Di Matahari, sementara tanggung jawab implementasi manajemen risiko berada pada Direksi,
komite Manajemen Risiko bertugas mengembangkan, melaksanakan dan mengelola strategi
untuk meminimalisasi risiko usaha. Penilaian atas identifikasi risiko dan upaya mitigasi
dilakukan oleh Manajemen Risiko, Internal Audit, Komite Audit dan auditor eksternal yang
melakukan penilaian parameter-parameter risiko dengan cakupan area yang luas; Sebagai
perusahaan yang bergerak di sektor ritel, Perseroan memiliki risiko yang terkait dengan industri
serta risiko bisnis pada umumnya, dan entitas usaha yang beroperasi di Indonesia.
Di HCA, fungsi ERM memfasilitasi proses ERM. Hasil dilaporkan bersama oleh ERM dan
audit internal untuk manajemen lini, diwawancarai, eksekutif senior, komite audit dan dewan
direksi. HCA percaya bahwa hubungan langsung dengan audit internal membantu memupuk
persepsi bahwa ERM independen, obyektif dan sangat profesional.
Whirlpool menegaskan bahwa baik audit internal dan manajemen risiko belajar hal baru dan
memberikan banyak informasi mengenai risiko dan pengendalian terkait yang meningkatkan
efektivitas kedua fungsi ketika mereka memanfaatkan peran masing-masing dengan komunikasi
terbuka. Tiap bagian mengulas dan belajar dari laporan yang lain. Bersama-sama, mereka
menghabiskan waktu dengan para eksekutif Whirlpool dan tim eksekutif pada isu-isu yang
berhubungan dengan risiko.
Menilai dan memonitor risiko strategis
Kegiatan ini meningkatkan pemahaman yang mendalam dan tindakan difokuskan ke risiko yang
paling signifikan.
11
RIMS dan IIA keduanya telah menghabiskan cukup banyak waktu mempromosikan betapa
pentingnya bagi anggotanya untuk membantu organisasi mereka lebih baik dengan mengelola
risiko strategis. Tidak peduli apakah salah satu mendefinisikan risiko strategis sebagai risiko
yang signifikan yang memerlukan beberapa tahun untuk berkembang, ancaman terhadap satu
atau lebih tujuan strategis organisasi, risiko yang melekat dalam strategi, atau kejadian yang
dapat menghapus sebuah organisasi dari peta, ada satu kesamaan penting: bagi organisasi, ini
adalah jenis risiko yang paling ditakuti (biasanya untuk alasan yang baik) dan mereka biasanya
tidak yakin bagaimana untuk mengelolanya.
Cisco menggunakan penilaian risiko perusahaannya untuk memperoleh pemikiran strategis yang
luas akan risiko yang tampaknya tidak akan terlalu sering berubah. Kemajuan dalam mengelola
20 risiko yang paling signifikan ditelusuri dengan model maturitas. Di HCA, risiko strategis
juga mencuat di proses penilaian risiko perusahaannya. Pemimpin ERM dan fungsi
kelangsungan bisnis melapor epada CEO mengenai risiko-risiko strategis. Komite risiko
eksekutif dari TD Armitrage, yang disponsori dan dipimpin oleh CRO, melakukan pertemuan
setiap kuartal untuk melakukan analisis risiko strategis, disertai degan subkomite subsidiari
yang berfokus pada risiko-risiko khusus. Sebuah badan komite risiko yang terpisah memberikan
pengawasan. Pada Whirlpool, Risiko yang diidentifikasi melalui proses wawancara penilaian
risiko perusahaan akan dinilai, diurutkan, lalu dimasukkan ke salah satu dari lima kategori yang
juga mencakup kategori strategis. Meski tiap perusahaan melakukan pendekatan pada risiko
strategis dengan cara yang sedikit berbeda, praktik-praktik di atas mengilustrasikan mengapa
penting bagi manajemen risiko dan fungsi audit internal untuk menekankan betapa pentingnya
untuk secara aktif menilai dan memonitor risiko strategis serta merekomendasikan metodologi-
metodologi untuk menangani risiko tersebut.
Karena disiplin manajemen risiko strategik masih berkembang, manajemen risiko dan audit
internal harus melihat satu sama lain sebagai sekutu untuk membawa perhatian pada topik ini
dan menghargai masukan yang lain tentang bagaimana menilai, menanggapi dan memonitor
jenis risiko.
III. KESIMPULAN
12
Dari pembahasan di atas, dapat ditarik kesimpulan bahwa kegiatan audit internal dapat
berperan besar dalam manajemen risiko. Hal ini dikarenakan personal audit internal cenderung
memiliki keahlian dan pengalaman yang luas di bidang ini. Oleh karena itu, jika manajemen
meminta auditor internal untuk ikut berpartisipasi dalam manajemen risiko, hal itu akan
mendatangkan manfaat yang besar.
Kegiatan audit internal harus memberikan penjaminan pada peran-peran intinya yang
dijelaskan dalam position paper. Tiap bagian tersebut sangat penting bagi kesuksesan manajemen
risiko. Komite audit dan manajemen akan puas bila mengetahui bahwa bagian-bagian tersebut
beroperasi secara efektif, sedang jika tidak mereka ingin mengetahui apa yang menyebabkannya
dan langkah-langkah untuk menyelesaikan ketidakefektifan operasi perusahaan. CAE harus mencari
kesempatan untuk melakukan sebanyak mungkin jasa konsultasi dan secara formal
mengomunikasikan hasil dari jasa konsultasi tersebut. Banyak kegiatan audit internal memiliki
kemampuan untuk melakukan aktivitas-aktivitas tersebut. Pengamanan yang cukup, untuk
memastikan tanggungjawab, akuntabilitas, dan otoritas tetap berada pada manajemen dan bukan
pada kegiatan internal audit, hal ini tidak sulit untuk diterapkan. Namun harus dipastikan bahwa
pengamanan ini dimengerti dengan baik oleh komite audit dan manajemen. Ketika menentukan
peran yang dimainkan fungsi audit internal dalam ERM, kepala eksekutif audit atau CAE harus
mengevaluasi apakah setiap aktivitas menimbulkan risiko terhadap independensi dan objektivitas
dari fungsi audit internal. Sangat penting bahwa organisasi sepenuhnya mengerti bahwa manajemen
tetap bertanggungjawab atas manajemen risiko.
Banyak perusahaan besar menemukan efisiensi dan pembuatan keputusan yang lebih baik
dengan membentuk kerjasama antara fungsi manajemen risiko dan fungsi audit internal. Dari studi
kasus di atas, kerjasama ini memberikan banyak keuntungan seperti penjaminan bahwa risiko
krusial telah diidentifikasi dengan efektif, penggunaan sumber daya secara efisien, seperti sumber
daya keuangan, staff, dan waktu, komunikasi yang mendalam dan konsisten, terutama pada tingkat
manajemen, dan meningkatkan pemahaman yang mendalam dan tindakan difokuskan ke risiko yang
paling signifikan.
13
DAFTAR PUSTAKA
Egerdahl, Ryan et. al. (2012), Risk Management and Internal Audit: Forging a Collaborative
Alliance, Risk and Insurance Management Society.
Leung, P., Cooper, B. J., and Robertson, P. (2003), “The Role of Internal Audit in Corporate
Governance”, The Institute of Internal Auditors Research Foundation, RMIT University,
Australia.
Reding, Kurt F. et. al. (2009), Internal Auditing: Assurance and Consulting Services, The Institute
of Internal Auditors Research Foundation, Florida, Amerika Serikat.
Sobel, Paul J. (2011), Internal Auditing’s Role in Risk Management, The Institute of Internal
Auditors Research Foundation, Florida, Amerika Serikat.
www.matahari.co.id
www.xl.co.id
14