Menilai Kecukupan Proses Manajemen Risiko

Sesuai dengan Standar 2120, Aktivitas Audit Internal harus mengevaluasi efektivitas dan berkontribusi bagi perbaikan proses manajemen risiko.

Manajemen risiko merupakan tanggung jawab utama manajemen senior dan Dewan. Untuk mencapai tujuan usahanya, manajemen harus memastikan bahwa proses manajemen risiko telah ada dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki peran pengawasan terhadap efektivitas proses manajemen risiko tersebut. Untuk menjalankan perannya itu, Dewan dapat mengarahkan aktivitas audit internal untuk membantu mereka melalui pemeriksaan, evaluasi, pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan efektivitas proses manajemen risiko.

Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan metodologi manajemen risiko dan pengendalian yang relevan.

Dalam situasi dimana organisasi tidak memiliki proses manajemen risiko secara formal, CAE perlu mendiskusikannya dengan manajemen dan Dewan kewajiban mereka untuk memahami, mengelola, dan memantau risiko dalam organisasi. Mereka juga perlu diyakinkan akan adanya kebutuhan terhadap sebuah proses yang memberikan pemastian bahwa risiko-risiko kunci dikelola dan dimonitor secara memadai.

CAE perlu memperoleh pemahaman atas ekspektasi manajemen senior dan Dewan terhadap aktivitas audit internal dalam proses manajemen risiko organisasi.Pemahaman ini kemudian dituangkan dalam piagam aktivitas audit internal (internal audit charter). Tanggung jawab aktivitas audit internal  harus dikoordinasikan dengan semua pihak dan individu yang terlibat dalam proses manajemen risiko organisasi. Peran aktivitas audit internal dalam proses manajemen risiko organisasi dapat berubah dari waktu ke waktu, dan mungkin meliputi hal-hal sebagai berikut:

  • Tidak memiliki peran.
  • Melakukan audit atas proses manajemen risiko sebagai bagian dari rencana audit internal.
  • Secara aktif memberikan dukungan berkelanjutan dan terlibat dalam proses manajemen risiko, seperti partisipasi dalam komite pengawasan, pemantauan kegiatan, dan pelaporan status.
  • Mengelola dan mengkoordinasikan proses manajemen risiko.

Peran yang perlu atau harus dilakukan oleh aktivitas audit internal dalam proses manajemen risiko merupakan keputusan yang harus diambil oleh manajemen senior dan Dewan. Pandangan mereka tentang peran audit internal ini kemungkinan akan ditentukan oleh faktor-faktor seperti budaya organisasi, kemampuan staf audit internal, serta ketentuan dan kondisi lokal suatu negara. Namun, peran aktivitas audit internal yang bersifat mengambil alih tanggung jawab manajemen dalam proses manajemen risiko tersebut mengancam independensi aktivitas audit internal, sehingga harus didiskusikan dan disetujui oleh Dewan terlebih dahulu.

Teknik yang digunakan oleh berbagai organisasi dalam praktik manajemen risiko dapat bervariasi secara signifikan. Tergantung pada ukuran dan kompleksitas aktivitas usaha organisasi, proses manajemen risiko dapat berupa:

  • Formal atau informal.
  • Kuantitatif atau subjektif.
  • Tertanam di unit usaha atau terpusat pada tingkat perusahaan.

Organisasi mendesain proses manajemen risiko berdasarkan budaya, gaya manajemen, dan tujuan bisnis. Sebagai contoh, penggunaan derivatif atau produk pasar modal yang canggih-canggih mungkin memerlukan penggunaan alat manajemen risiko secara kuantitatif. Sementara organisasi yang lebih kecil atau lebih sederhana bisa menggunakan komite risiko informal untuk membahas profil risiko organisasi untuk mengambil keputusan. Auditor internal memastikan bahwa metodologi yang dipilih telah cukup memadai untuk sifat dan aktivitas organisasi yang bersangkutan.

Auditor Internal harus mendapatkan bukti yang cukup dan tepat untuk menentukan bahwa tujuan kunci dari proses manajemen risiko telah tercapai dalam memberikan opini atas kecukupan proses manajemen risiko. Dalam mengumpulkan bukti-bukti tersebut, auditor internal mungkin mempertimbangkan prosedur audit berikut ini:

  • Melakukan riset dan review perkembangan, tren, dan informasi industri terkini terkait dengan usaha yang dilakukan oleh organisasi, serta sumber informasi lain yang sesuai untuk menentukan risiko dan eksposur yang dapat mempengaruhi organisasi beserta prosedur pengendalian yang relevan.
  • Mereview kebijakan perusahaan dan risalah rapat Dewan untuk menentukan strategi bisnis organisasi, filosofi dan metodologi manajemen risiko, selera risiko, serta penerimaan risiko.
  • Mereview laporan evaluasi risiko sebelumnya yang dikeluarkan oleh manajemen, auditor internal, auditor eksternal, dan/atau sumber lain.
  • Melakukan wawancara dengan manajemen lini dan manajemen senior untuk menentukan tujuan unit bisnis, risiko yang terkait, serta mitigasi risiko dan aktivitas pemantauan pengendalian manajemen.
  • Menyerap informasi untuk kemudian secara independen mengevaluasi efektivitas mitigasi risiko, pemantauan, dan komunikasi risiko beserta kegiatan pengendalian terkait.
  • Menilai ketepatan garis pelaporan untuk aktivitas pemantauan risiko.
  • Mereview kecukupan dan ketepatan waktu pelaporan hasil manajemen risiko.
  • Review kelengkapan analisis risiko yang dilakukan manajemen serta tindakan yang diambil untuk mengatasi isu yang diangkat oleh proses manajemen risiko, dan menyarankan perbaikan.
  • Menentukan efektivitas proses self-assessment yang dilakukan manajemen melalui pengamatan, tes langsung atas prosedur pengendalian dan pemantauan, pengujian keakuratan informasi yang digunakan dalam aktivitas pemantauan, serta teknik lainnya yang sesuai.
  • Mereview isu terkait risiko yang mungkin menunjukkan kelemahan dalam praktik manajemen risiko dan, jika perlu, diskusikan dengan manajemen senior dan Dewan. Jika auditor yakin bahwa manajemen telah menerima tingkat risiko yang tidak sesuai (atau yang dianggap tidak bisa diterima) dengan strategi dan kebijakan manajemen risiko organisasi, auditor harus mengacu pada standar 2600 dan pedoman audit internal lain terkait.

 

Referensi:

  • PA 2120-1: Assessing the Adequacy of Risk Management Processes (Jan 1, 2009)

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s