Peta Pemastian (Assurance Map) (2)

Peta Pemastian (Assurance Map) (1)


8. Sebuah organisasi biasanya menetapkan kategori risiko-risiko signifikan yang membentuk kerangka manajemen risiko. Peta pemastian dapat didasarkan pada struktur kerangka tersebut. Sebagai contoh, sebuah peta pemastian dapat dibuat dengan menggunakan kolom-kolom sebagai berikut:

  • Kategori risiko signifikan
  • Pemangku risiko (risk owner)
  • Tingkat risiko melekat (Inherent risk rating)
  • Tingkat risiko residu (Residual risk rating)
  • Cakupan audit eksternal
  • Cakupan audit internal
  • Cakupan penyedia pemastian (assurance provider) lainnya

Dalam contoh ini, CAE akan mengisi kolom cakupan audit internal dengan cakupan terkini. Seringkali juga terjadi suatu risiko signifikan dimiliki satu pihak yang juga bertanggung jawab untuk mengkoordinasikan kegiatan pemastian atas risiko tersebut dengan penyedia pemastian lainnya. Setiap unit yang signifikan dalam sebuah organisasi dapat memiliki peta pemastian sendiri. Alternatif lainnya, aktivitas audit internal dapat memainkan peran sebagai koordinator dalam menyusun dan menyelesaikan peta pemastian organisasi.

9. Setelah peta pemastian organisasi selesai, seharusnya bisa diidentifikasi risiko signifikan yang tidak tercakup dalam pemastian secara memadai, dan juga area cakupan pemastian yang terduplikasi. Dengan peta ini manajemen senior dan Dewan dapat mempertimbangkan apakah perlu dilakukan perubahan cakupan pemastian. Dari sisi aktivitas audit internal juga perlu mempertimbangkan daerah yang belum tercakup secara memadai dalam peta tersebut ketika menyusun rencana audit internal.

10. CAE bertanggung untuk menjawab permintaan pemastian independen dari Dewan dan organisasi, demi memperjelas peranan yang dijalankan oleh aktivitas audit internal serta tingkat pemastian yang diberikannya. Dewan perlu meyakini bahwa keseluruhan proses pemastian telah memadai dan cukup kuat untuk memvalidasi bahwa risiko organisasi telah dikelola dan dilaporkan secara efektif.

11. Dewan perlu memperoleh informasi tentang kegiatan pemastian, baik yang direncanakan maupun yang telah dilaksanakan untuk setiap kategori risiko. Aktivitas audit internal dan penyedia pemastian lainnya memberikan tingkat keyakinan yang tepat kepada Dewan mengenai sifat dan tingkat risiko yang ada dalam organisasi menurut masing-masing kategori.

12. Dalam suatu organisasi yang memerlukan pendapat secara keseluruhan (overall opinion) dari aktivitas audit internal, CAE harus memahami benar sifat, cakupan, dan besarnya peta pemastian dalam mempertimbangkan (dan mengandalkan bila perlu) pekerjaan penyedia pemastian lainnya, sebelum memberikan pendapat secara keseluruhan atas tata kelola, manajemen risiko, dan proses pengendalian organisasi. Pedoman Praktik untuk Perumusan dan Penyampaian Pendapat Audit Internal dari IIA (The IIA’s Practice Guide Formulating and Expressing Internal Audit Opinions) memberikan panduan tambahan mengenai itu.

13. Dalam kondisi di mana organisasi tidak memerlukan pendapat secara keseluruhan, CAE dapat bertindak sebagai koordinator dari para penyedia pemastian untuk memastikan bahwa tidak ada kesenjangan dalam pemastian, atau bilapun ada, kesenjangan tersebut diketahui dan diterima. CAE melaporkan jika ada kelemahan penyedia pemastian lainnya dalam memberikan/melakukan masukan, keterlibatan, pengawasan, dan pemastian. Jika CAE berpendapat bahwa cakupan pemastian tidak mencukupi atau tidak efektif, maka dia harus segera memberikan saran kepada manajemen senior dan Dewan sebagaimana mestinya.

14. CAE diminta oleh Standard 2050 untuk mengoordinasikan kegiatan dengan penyedia pemastian lainnya; peta pemastian merupakan alat untuk membantu mencapai tugas tersebut. Peta pemastian akan menjadi cara yang efektif untuk mengomunikasikan koordinasi di antara para penyedia pemastian di dalam dan di luar organisasi.

Referensi :

  • Practice Advisory #2050-2 IPPF Jan 2009

One response to “Peta Pemastian (Assurance Map) (2)

  1. Apakah ada contoh bentuk peta itu sendiri Pak untuk perusahaan yang misalnya punya fungsi audit internal, risk manajemen dan compliance terpisah-pisah ?

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s