IIA Terbitkan Practice Guide Penilaian ERM

Seiring dengan penerapan ERM yang semakin luas, dan juga sebagai petunjuk lebih rinci profesi auditor internal dalam menilai ERM, IIA telah merilis sebuah practice guide baru berjudul “Assessing the Adequacy of Risk Management Using ISO 31000” (Menilai Kecukupan Manajemen Risiko dengan  Menggunakan ISO 31000). Walaupun IIA menegaskan bahwa penggunaan kerangka ISO ini tidak berarti dukungan secara implisit ataupun eksplisit, tampak janggal bagi IIA sebagai sponsor COSO, tidak menggunakan kerangka ERM COSO dalam Practice Guide terkait ERM ini.

Terdiri dari 17 halaman, Practice  Guide ini membahas manajemen risiko dalam organisasi, peran-peran audit internal dalam proses manajemen risiko, dan penugasan pemastian (assurance) atas proses manajemen risiko yang diterapkan organisasi. Dalam penugasan pemastian ini juga dibahas pendekatan-pendekatan yang dapat digunakan, pemerolehan bukti, dan juga penilaian dokumentasi proses manajemen risiko.

Adapun pendekatan penugasan pemastian yang disarankan dalam pedoman ini ada 3 pendekatan, yaitu:

  • Pendekatan Elemen Proses,
  • Pendekatan Prinsip Manajemen Risiko, dan
  • Pendekatan Model Kematangan (Maturity).

Yang dimaksud dengan pendekatan elemen proses adalah melakukan pemastian dengan menilai keberadaan dan efektivitas elemen-elemen proses manajemen risiko organisasi. Di dalam ISO 31000 elemen tersebut adalah komunikasi, penetapan konteks, identifikasi risiko, analisis risiko, evaluasi risiko, perlakuan risiko, dan pemantauan dan review. Pada kerangka ERM yang lain, walaupun secara umum sama, namun pada tingkat elemen ini dapat berbeda.

Demikian pula dengan pendekatan prinsip manajemen risiko. Pemastian dilakukan dengan menilai  keberadaan dan efektivitas penerapan prinsip-prinsip utama (key principles) manajemen risiko. Menurut ISO, prinsip-prinsip utama ERM antara lain: menciptakan nilai, integral dengan proses manajemen dan pengambilan keputusan, meng-address ketidakpastian, sistematik, dinamis, iteratif, responsif terhadap perubahan, dan sebagainya.

Sementara itu pendekatan model kematangan adalah menilai kecukupan proses manajemen risiko berdasarkan tingkat kematangan proses itu sendiri. Kematangan ini diasumsikan sejalan dengan bergeraknya waktu, sehingga semakin lama proses manajemen risiko semakin matang sebagaimana dapat dipetakan pada kurva kematangan. Penerapan model ini memerlukan sistem  manajemen dan pengukuran kinerja sehingga dari waktu ke waktu dapat dilihat pada skala berapa proses manajemen risiko organisasi telah berada.

Apapun pendekatan yang akan dipilih, tentu perlu disesuaikan dengan proses manajemen risiko yang berjalan di organisasi. Ketiga pendekatan tersebut juga tidak bersifat saling eksklusif, sehingga bisa saja auditor internal mengadopsi beberapa pendekatan sekaligus dalam penugasannya.

Bila Anda anggota the IIA, Practice Guide ini dapat diunduh secara gratis di sini.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s