Secara konsepsi, risk-based internal auditing (RBIA) memiliki hubungan erat dengan manajemen risiko organisasi. Ia merupakan metodologi yang menghubungkan antara audit intern dengan keseluruhan kerangka manajemen risiko organisasi (baca: Paradigma Penting Risk-Based Internal Auditing). RBIA atau audit berbasis risiko secara khusus ditujukan untuk menguji efektivitas manajemen risiko organisasi dalam mengelola risikonya. Efektivitas tersebut bisa dilihat dari keberhasilan organisasi dalam menjaga risikonya agar berada di bawah batas toleransi (risk tolerance) dan selera (risk appetite) yang tetapkan. Nampak jelas bahwa audit berbasis risiko bukan berarti audit terhadap risiko melainkan audit terhadap proses manajemen risiko. Konsepsi ini sekaligus menegaskan pemisahan antara tanggung jawab audit intern dengan tanggung jawab manajemen risiko. Manajemenlah yang bertanggung jawab terhadap manajemen risiko organisasi, lalu auditor intern mengaudit atau menguji pelaksanaan tanggung jawab itu.
Wajib Manajemen Risiko
Mengingat eratnya hubungan RBIA dengan manajemen risiko, apakah auditor intern bisa melakukan RBIA jika organisasinya sendiri belum menerapkan manajemen risiko? Jawabnya adalah tidak bisa. Penerapan manajemen risiko merupakan syarat mutlak untuk bisa melakukan RBIA. Chartered Institute of Internal Auditors (2014) menyatakan, "Jika kerangka kerja manajemen risiko tidak kuat atau tidak ada, organisasi belum bisa diaudit dengan RBIA." Seturut dengan pernyataan tersebut, Griffiths (2015) berpendapat bahwa dalam konteks RBIA, audit intern dapat memberikan opini hanya jika telah ada kerangka manajemen risiko. Jika tidak, semua aktivitasnya adalah konsultansi.
Bagaimana jika auditor memaksakan diri untuk tetap melakukan RBIA dengan membuat analisis risiko versi mereka sendiri? Griffiths (2015) mengatakan hal ini amat berbahaya. Paling tidak ada dua bahaya. Pertama, auditor intern akan mengalami kesulitan memetakan tujuan, risiko dan pengendalian organisasi secara komprehensif. Sudut pandang dan pemahaman auditor belum tentu sama dengan pandangan dan pemahaman manajemen atas apa yang dihadapinya dalam mengelola organisasi. Ada seluk beluk proses bisnis tertentu yang belum tentu diketahui auditor secara detail. Akibatnya, hasil analisis risiko yang dibuat auditor tersebut belum tentu tepat. Yang lebih fatal, bisa jadi bahasa auditor tidak sejalan dengan bahasa manajemen. Bukankah ini sudah menyimpang dari niat awal RBIA yang hendak menyamakan bahasa auditor dengan manajemen?
Bahaya kedua adalah terkait dengan persepsi atas tanggung jawab risiko. Sebagaimana telah kita pahami, risiko semestinya menjadi tanggung jawab manajemen. Namun dengan auditor melakukan analisis risiko sendiri, persepsi manajemen bisa berubah. Mereka akan menganggap bahwa auditorlah yang sangat berkepentingan dengan risiko. Auditor pula yang seharusnya bertanggung jawab atas risiko. Anggapan demikian amat keliru. Namun anggapan klasik semacam ini masih sering terjadi, apalagi jika auditor memancingnya dengan turun sendiri menganalisis risiko organisasi. Bahkan ada pula yang dari semula memang sudah salah persepsi. Lihat saja yang terjadi di sektor pemerintahan kita! Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP) yang salah satunya mengamanatkan penilaian risiko oleh manajemen, namun praktiknya para auditor intern (aparat pengawasan intern pemerintah) yang banyak ditunjuk sebagai motornya. Memang betul, tak ada larangan auditor intern sebagai inisiator manajemen risiko, asalkan tidak kebablasan. Dan perlu dipahami, jika persepsi keliru tentang tanggung jawab risiko terus terjadi, proses menuju manajemen risiko yang berkualitas akan terhambat. Artinya, proses menuju RBIA yang benar pun akan menjadi sulit.
Maturitas Risiko
Karena penerapan manajemen risiko menjadi syarat mutlak RBIA, maka diperlukan kriteria untuk menentukan penerapan manajemen risiko macam apa yang layak sebagai dasar untuk memulai RBIA. Kriteria ini penting mengingat setiap organisasi akan berbeda-beda level penerapan manajemen risikonya. Ada yang semua unsur manajemennya telah paham betul dengan manajemen risiko, ada pula yang baru mulai mengenal. Ada yang selalu mempertimbangkan risiko tiap mengambil keputusan, ada pula yang masih abai. Ada yang telah menggunakan sistem informasi manajemen risiko terintegrasi, ada yang masih menggunakan cara manual. Amat banyak variasinya bila kita identifikasi lebih rinci lagi. Secara pokok, kriteria tersebut paling tidak menggambarkan derajat pemahaman dan penerapan manajemen risiko pada suatu organisasi.
Menurut best practices, derajat pemahaman dan penerapan manajemen risiko dapat diukur dengan model maturitas risiko (risk maturity) organisasi. Secara umum, konsepsi maturitas risiko adalah sama dengan konsepsi maturitas sistem pengendalian intern (baca: Penilaian Maturitas Sistem Pengendalian Intern) dan model kapabilitas audit intern (baca: Mengupas Konsep Internal Audit Capability Model). Semuanya sama-sama mengukur level kualitas, level kedewasaan, atau level kematangan suatu sistem tertentu. Untuk mengukur level tersebut, tiap organisasi pada hakikatnya dapat mengembangkan model pengukuran maturitas yang sesuai dengan kebutuhannya. Namun jika ingin menjamin keterbandingan (comparability) dengan organisasi lainnya, suatu organisasi dapat mengacu pada model maturitas risiko yang diterima secara luas.
Sebagai contoh, Chartered Institute of Internal Auditors –organisasi profesi auditor intern Inggris dan Irlandia– membuat model maturitas risiko dengan membagi maturitas risiko menjadi lima level. Penjelasan karakteristik utama level-level tersebut adalah sebagai berikut:
| Level | Karakteristik Utama |
|---|---|
| Risk naïve | Belum ada pendekatan formal yang dikembangkan untuk manajemen risiko. |
| Risk aware | Pendekatan manajemen risiko masih silo dan tersebar. |
| Risk defined | Kebijakan dan strategi manajemen risiko telah ada dan dikomunikasikan. Selera risiko telah ditetapkan. |
| Risk managed | Pendekatan manajemen risiko secara menyeluruh telah dikembangkan dan dikomunikasikan. |
| Risk enabled | Manajemen risiko dan pengendalian intern telah melekat sepenuhnya dengan operasi atau aktivitas organisasi. |
Sumber: Chartered Institute of Internal Auditors (2014)
Dengan adanya beberapa level maturitas risiko tersebut, bisa saja suatu organisasi mengaku telah bermanajemen risiko namun belum layak ber-RBIA. Tergantung ia berada pada level maturitas yang mana. Kita lihat saja penjelasan strategi audit intern berikut.
Strategi Audit Intern
Selain merinci karakteristik utama dan proses-proses dari tiap level maturitas risiko, Chartered Institute of Internal Auditors juga menerangkan pendekatan audit intern untuk masing-masing level tersebut. Pada level risk naïve dan risk aware, pendekatan audit internnya adalah mempromosikan manajemen risiko, sedangkan rencana auditnya belum bisa bergantung pada hasil penilaian risiko yang dilakukan manajemen. Alternatifnya, perencanaan audit bisa didasarkan pada sistem atau unit kerja yang ada dalam organisasi. Dengan demikian, pada kedua level maturitas risiko tersebut RBIA belum bisa dilakukan. Selanjutnya pada level risk defined, auditor intern masih berperan sebagai fasilitator manajemen risiko namun sudah bisa memakai hasil penilaian risiko oleh manajemen jika dirasa layak. Artinya, pada level risk defined ini ada peluang untuk mulai melakukan RBIA. Berikutnya, pada level risk managed dan risk enabled auditor dapat sepenuhnya menerapkan RBIA dengan melakukan audit terhadap proses manajemen risiko dan memanfaatkan hasil penilaian risiko oleh manajemen.
Mengacu pada model maturitas Chartered Institute of Internal Auditors, dapat disimpulkan bahwa secara umum RBIA mulai dapat dilakukan jika kebijakan dan strategi manajemen risiko telah ada dan dikomunikasikan serta selera risiko telah ditetapkan. Hal ini sesuai karakteristik risk defined. Sementara itu, jika organisasi belum memiliki pendekatan manajemen risiko yang formal atau pendekatannya masih silo, auditor intern lebih baik menjalankan peran konsultansi. Apa yang bisa dilakukan auditor intern? Mereka dapat mempromosikan, mengedukasi, dan memfasilitasi proses penilaian risiko sampai manajemen benar-benar bisa dilepas untuk melakukannya secara mandiri. Kemudian secara berkala, auditor intern dapat mengevaluasi kembali level maturitas risiko organisasi untuk mengetahui perkembangan hasilnya dan menentukan bisa tidaknya RBIA diterapkan.
Rambu-Rambu
Dalam menjalankan berbagai peran terkait manajemen risiko, auditor intern tetap dituntut menjaga independensi dan objektivitas. Untuk hal ini, mereka dapat berpedoman pada position paper IIA yang diterbitkan pada tahun 2009 berjudul The Role of Internal Auditing in Enterprise-Wide Risk Management. Position paper tersebut secara pokok memberi petunjuk tentang peran auditor intern terkait manajemen risiko yang terbagi menjadi tiga kelompok, yaitu (1) peran utama, (2) peran yang mesti dilakukan dengan kehati-hatian tinggi, dan (3) peran yang benar-benar dilarang untuk dilakukan. Supaya tidak salah melangkah, perhatikan betul peran yang tidak boleh dilakukan auditor intern berikut ini.
- Menetapkan selera risiko.
- Menerapkan proses manajemen risiko.
- Menjamin manajemen atas risiko.
- Mengambil keputusan terkait respon risiko.
- Menerapkan respon risiko atas nama manajemen.
- Akuntabilitas atas manajemen risiko.
Berpulang pada organisasi Anda, siap atau tidak untuk menjalankan RBIA. Yang pasti, apapun peran yang dijalankan oleh auditor intern, sudah ada rambu-rambu yang jelas sesuai position paper IIA tersebut. Semoga auditor intern kita bisa menentukan strategi dan perannya secara tepat!
Referensi:
- Chartered Institute of Internal Auditors. (2014). Risk Based Internal Auditing.
- Griffiths, David. (2015). Risk Based Internal Auditing An Introduction Version 4.4. www.internalaudit.biz
- IIA. (2009). The Role of Internal Auditing in Enterprise-Wide Risk Management.
Comments