Berdasarkan ISO31000: 2009 Risk Management – Principles and Guidelines, praktik terbaik manajemen risiko melibatkan seluruh bagian dari organisasi. Keterlibatan organisasi secara keseluruhan pada kegiatan manajemen risiko menuntut adanya pembagian peran dan tanggung jawab yang jelas, dengan turut mempertimbangkan kompetensi dan peran lain dari tiap unit tersebut. Hal ini diperlukan agar tidak terjadi tumpang tindih, missing link, atau inefisiensi pada kegiatan manajemen risiko.
Dua fungsi esensial yang memiliki keterkaitan erat pada kegiatan manajemen risiko adalah fungsi manajemen risiko dan internal audit. Kedua fungsi ini memiliki peran dalam menjamin efektivitas penerapan manajemen risiko organisasi. Perbedaan fundamental dari kedua fungsi tersebut terletak pada delegasi tanggung jawab. Fungsi manajemen risiko bertugas untuk mengarahkan praktik enterprise risk management pada organisasi, terutama untuk menghadapi risiko-risiko utama yang dapat mengganggu pencapaian sasaran organisasi. Di sisi lain, fungsi internal audit bertugas untuk memonitor, memantau, dan menilai efektivitas pengendalian internal dan manajemen risiko.
Gambar 1 Perubahan Sasaran dan Aktivitas Kunci dari Fungsi Manajemen Risiko
Sumber: The Risk Perspective, Executive Summary (2012).
Gambar 1 mendeskripsikan perkembangan fungsi manajemen risiko yang dijelaskan oleh Risk and Insurance Management Society (RIMS). Fungsi manajemen risiko bertanggung jawab untuk membentuk kerangka kerja dan proses manajemen risiko dalam menghadapi risiko-risiko signifikan yang dapat mempengaruhi pencapaian tujuan organisasi. Integrated risk management menerapkan kegiatan pencegahan dan pengurangan dampak negatif dari risiko. Seiring berjalannya waktu, manajemen risiko yang tadinya berperan untuk melindungi kegagalan organisasi, berubah menjadi komponen competitive advantage bagi organisasi. Selain menciptakan kerangka kerja dan proses manajemen risiko dalam menghadapi risiko, fungsi manajemen risiko juga meningkatkan kapabilitas organisasi dalam mengejar peluang. Fungsi ini juga meningkatkan kemampuan pengambilan keputusan strategis organisasi melalui penyediaan informasi yang relevan dan komprehensif. Dalam menciptakan manajemen risiko yang efektif bagi organisasi, fungsi manajemen risiko berkolaborasi dengan fungsi internal audit.
Peran Internal Audit terkait Manajemen Risiko
Institute of Internal Auditors (IIA), menjelaskan kegiatan internal audit sebagai kegiatan independen yang mendukung pencapaian sasaran organisasi, dan aktivitas konsultasi yang dirancang untuk memberikan nilai tambah dan memperbaiki operasi organisasi. Aktivitas ini membantu organisasi untuk mencapai tujuannya dengan membawa pendekatan sistematik dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses governance. Tugas inti auditor internal berkaitan dengan manajemen risiko adalah untuk memberikan kepastian bahwa kegiatan manajemen risiko telah berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap pencapaian sasaran organisasi. Dua cara penting untuk menjalankan tugasnya adalah dengan:
- memastikan bahwa risiko utama dari bisnis telah ditangani dengan baik; dan
- memastikan bahwa kegiatan manajemen risiko dan pengendalian internal telah berjalan dengan efektif.
Berikut adalah gambaran mengenai hal-hal yang menjadi, peran dan tanggung jawab auditor internal terkait dengan manajemen risiko, yang dapat menjadi bagian dari tanggung jawab auditor internal, serta yang seharusnya tidak menjadi tanggung jawabnya.
Gambar 2 Tanggung Jawab Internal Audit Terkait Manajemen Risiko
Sumber: The Role of Internal Auditing In E nterprise-Wide Risk Management. (2009).
Hal yang perlu disoroti dari Gambar 2 adalah “tanggung jawab kegiatan manajemen risiko yang tidak boleh didelegasikan kepada internal audit”. Untuk menjaga efektivitas kegiatan audit internal, tanggung jawab yang diberikan terhadap auditor internal terkait kegiatan manajemen risiko harus didesain agar tidak mengganggu independensinya. Hal ini dikarenakan internal audit memiliki peran penting dalam melakukan pengawasan, pemantauan, dan penilaian terhadap efektivitas pengendalian internal dan kegiatan manajemen risiko organisasi. Pemberian tanggung jawab kepada auditor internal untuk menentukan risk appetite, membentuk risk management process, dan sebagainya dapat menimbulkan clash of interest yang berpotensi untuk mengganggu penilaian mereka pada efektivitas manajemen risiko.
Kolaborasi Fungsi Manajemen Risiko dan Internal Audit
Terdapat beberapa alasan yang mendasari paradigma bahwa fungsi manajemen risiko sebaiknya berkolaborasi dengan fungsi internal audit. Berdasarkan case study yang dilakukan oleh RIMS dan IIA, alasan-alasan tersebut adalah
- Untuk menghubungkan rencana audit dan penilaian risiko perusahaan, serta berbagi produk kerja lainnya. Hal ini dibutuhkan untuk meningkatkan koordinasi dalam usaha menjamin bahwa risiko-risiko utama dapat ditangani dengan efektif.
- Berbagi sumber daya-sumber daya tertentu untuk mendukung efisiensi. Sumber daya yang dimaksud termasuk sumber daya keuangan, manusia, dan waktu.
- Saling meningkatkan kompetensi, peran, dan tanggung jawab setiap fungsi. Menyediakan infrastruktur komunikasi yang konsisten.
- Menilai dan memantau risiko strategis. Dapat membentuk pemahaman yang lebih mendalam dan treatment yang fokus untuk mengatasi risiko strategis. Berdasarkan pengalamannya, Irene Corbe (Whirlpool Corp.) menyatakan bahwa pengadaan pertemuan dengan divisi manajemen risiko dapat meningkatkan pemahaman fungsi audit internal terhadap profil risiko perusahaan.
Berikut adalah contoh yang menggambarkan kolaborasi fungsi manajemen risiko dan internal audit pada beberapa perusahaan internasional:
- Cisco Systems
Cisco Systems adalah sebuah perusahaan penyedia jasa dan peralatan networking, dimana struktur utamanya dibentuk berdasarkan fungsi bisnis. Cisco membentuk Risk and Resilience Operating Committee (RROC) sebagai kolaborasi antara 55 orang staf internal audit dengan 4 staf manajemen risiko. Menurut Roush, ketua RROC, kolaborasi tersebut telah berhasil membangun kapabilitas yang lebih tinggi pada kedua unit tersebut. Selain mengadakan koordinasi lintas fungsi, RROC juga melihat inherent risks dari sudut pandang yang lebih luas. Beberapa tanggung jawab RROC adalah untuk mengelola risiko yang berkaitan dengan ketahanan perusahaan, misalnya risiko dengan probabilitas rendah namun memiliki impact yang dapat menghentikan keberlangsungan perusahaan. Selain pembentukan RROC, fungsi manajemen risiko dan internal audit juga berkolaborasi dalam mengidentifikasi emerging risk dan menginisiasi perbaikan terhadap manajemen risiko perusahaan berdasarkan laporan Enterprise Risk Assessment (ERA). - Hospital Corporation of America
Hospital Corporation of America (HCA) adalah perusahaan operator rumah sakit dan sistem kesehatan pada beberapa negara bagian Amerika. Pada awalnya, tanggung jawab terhadap manajemen risiko HCA didelegasikan kepada sebuah divisi yang bernama “divisi internal audit dan manajemen risiko”. Joe Steakley, wakil presiden senior divisi internal audit dan manajemen risiko, menyadari bahwa tidak seluruh risiko dapat diidentifikasi dari sudut pandang internal audit. Dia menyadari bahwa manajemen risiko harus mengikutsertakan peran CEO, Board members, dan risk owner. Steakley bersama direkturnya, David Hughes, membangun program untuk pembentukan ERM pada HCA. David Hughes ditunjuk sebagai asisten wakil presiden ERM dan business continuity plan, bertanggung jawab untuk memberikan laporan kepada Steakley, yang nantinya akan melapor kepada Komite Audit, dan lalu diberikan kepada CEO. Hirarki ini memungkinkan Hughes, yang hanya memiliki tiga orang staf, untuk memanfaatkan 140 staf internal audit di bawah Steakley, dan akses terhadap partisipan lain dalam governance untuk tujuan ERM. HCA telah memperoleh status sebagai perusahaan dengan manajemen risiko yang matang. - Whirlpool Corporation
Whirlpool Corporation merupakan perusahaan manufaktur peralatan rumah tangga. Whirlpool tidak memiliki struktur yang menyatakan bahwa CEO manajemen risiko perlu memberikan laporan terhadap internal audit, dan sebaliknya. Kedua fungsi tersebut memberikan laporan kepada Komite Audit. Namun kedua CEO dari fungsi manajemen risiko dan internal audit melakukan pertemuan profesional secara kontinu untuk melakukan information sharing dan review kegiatan manajemen risiko perusahaan. Pertemuan ini memperdalam pemahaman dan pengetahuan mereka terhadap risiko dan pengelolaan risiko yang ada pada perusahaan.
Merujuk pada praktik sukses yang digambarkan perusahaan-perusahaan di atas, kolaborasi antara fungsi manajemen risiko dan internal audit merupakan sebuah inisiasi yang dapat mendatangkan manfaat pada berbagai jenis perusahaan. Menurut RIMS dan IIA, manfaat-manfaat yang dapat diperoleh dari kolaborasi tersebut berupa:
- Memastikan bahwa risiko-risiko kritikal telah diidentifikasi secara efektif;
- Penggunaan sumber daya langka dengan efisien;
- Komunikasi yang dalam dan konsisten, terutama pada level Board dan manajemen;
- Pengertian yang lebih dalam dan penanganan yang terfokus pada risiko yang paling signifikan terhadap pencapaian tujuan organisasi.
Komunikasi secara terbuka dan konsisten merupakan metode utama yang dapat diterapkan dalam kolaborasi kedua fungsi ini. Komunikasi dapat membangun pendalaman pandangan terhadap risiko-risiko yang melekat pada organisasi dan meningkatkan kapabilatas tiap divisi untuk mengelola risiko-risiko tersebut. Namun kolaborasi tersebut harus memiliki batasan yang jelas mengenai tanggung jawab dan peran setiap fungsinya. Kolaborasi yang dilakukan juga harus disesuaikan dengan karakteristik dan tujuan perusahaan.
Daftar Pustaka
(1) The Role of Internal Auditing in Enterprise-Wide Risk Management. (2009).
Diunduh dari:
https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf
(2) The Risk Perspective. Executive Summary. (2012). Risk Management and Internal Audit: Forging a Collaborative Alliance.
Diunduh dari:
https://na.theiia.org/standards-guidance/Public%20Documents/RIMS%20and%20The%20IIA%20Executive%20Report%20Forging%20a%20Collaborative%20Alliance.pdf
(3) ISO31000 Risk Management – Principles and Guidelines. (2009).
Charvin – Associate Researcher CRMS Indonesia