Seluruh sektor kehidupan mengalami perubahan pesat seiring berjalannya waktu, terutama saat pandemi Covid-19 melanda dunia. Sistem yang mengalami otomatisasi, Artificial Intelligence (AI), serta teknologi lainnya terus mengalami perkembangan. Tak ada satu pun sektor yang luput dari perubahan, termasuk Enterprise Risk Management (ERM) dan audit.
ERM merupakan elemen yang masih asing bagi bidang audit internal pada tahun 2000-an. Audit internal konvensional bertujuan memberikan jaminan kepada pihak pengatur organisasi bahwa manajemen telah menangani risiko dengan baik dalam bentuk kepatuhan dan laporan keuangan. Fokus audit internal adalah mencegah kegagalan daripada memastikan kesuksesan sehingga manajemen tidak mengambil terlalu banyak risiko. Hal tersebut sejalan dengan tujuan ERM yang mengambil pandangan secara menyeluruh tentang risiko dan mempengaruhi berbagai elemen organisasi untuk menghindarinya.
Peran ERM dan Audit Harus Berubah Mengikuti Perkembangan Zaman
Fokus ERM dan audit di masa kini dan masa depan perlu berubah agar bisa beradaptasi dengan kebutuhan organisasi. Peran kedua elemen penting tersebut mesti beralih dari perlindungan nilai menjadi penciptaan nilai organisasi. Suatu organisasi akan ketinggalan zaman jika berusaha membawa hal-hal dari masa lalu ke masa depan dan tidak membawa hal-hal dari masa depan ke masa kini.
Pandangan tentang perubahan audit mulai berkembang sejak krisis keuangan melanda dunia di tahun 2008. Kala itu, para auditor diharapkan lebih mengenal risiko yang mungkin dihadapi organisasi. Pada tahun 2013, Dewan Stabilitas Keuangan juga mengeluarkan panduan untuk auditor internal yang mendesak transisi laporan point in time untuk sebagian kecil risiko menjadi pelaporan keandalan dan efektivitas risiko organisasi. Upaya ini diharapkan mampu mengembangkan prinsip ERM dan audit agar bisa melakukan pengambilan risiko secara cerdas.
Mekanisme Pertahanan dan Model Kontrol dalam Manajemen Risiko
Institute of Internal Auditors (IIA) merilis versi terbaru manajemen risiko dan model kontrol yang dikenal dengan istilah Three Line of Defense. Richard Chambers selaku Presiden dan CEO IIA menjelaskan bahwa peningkatan fokus pada tata kelola mendukung penciptaan nilai dan perlindungan serta menangani aspek ofensif dan defensif dalam mengelola risiko.
Model baru Three Line of Defense mempertahankan konsep keakraban dan area tanggung jawab lebih tentang hal-hal yang dilakukan pada setiap area serta mekanisme kolaborasinya.
Area-area tersebut meliputi:
- Dewan: akuntabilitas kepada pemangku kepentingan (stakeholder) untuk pengawasan.
- Manajemen: pengelolaan tindakan termasuk manajemen risiko untuk mencapai tujuan.
- Audit: jaminan dan saran untuk perbaikan berkesinambungan.
Mencermati Hubungan antara ERM dan Audit
Dahulu, banyak perusahaan melakukan kekeliruan dengan menempatkan fungsi ERM ke dalam kelompok audit internal. Sebaliknya, model kontrol baru yang diperkenalkan IIA mengutamakan independensi audit internal untuk memastikan bahwa proses audit bebas hambatan dan terhindar dari bias.
Independensi tersebut bukan berarti suatu bentuk isolasi. Ada interaksi teratur antara audit internal dan manajemen untuk memastikan pekerjaan audit internal relevan dan selaras dengan kebutuhan strategis dan operasional organisasi. Salah satu cara memasukkan audit sambil mempertahankan independensinya adalah mengizinkan auditor internal berpartisipasi dalam pengaturan strategi atau pembahasan masalah operasional organisasi. Setiap pihak dalam organisasi bebas mengambil keputusan dengan tetap mempertimbangkan perspektif yang diberikan tim auditor internal. ERM dan audit harus melampaui peran konvensional untuk mengantisipasi risiko organisasi.
Kesimpulannya, fungsi ERM dan audit tak bisa hanya berfokus pada usaha meminimalkan dan menghindari risiko. Sinergi antara ERM dan audit sangat dibutuhkan untuk mengantisipasi risiko sekaligus membuka peluang baru di masa mendatang demi perkembangan organisasi.