Menurut laporan yang dirilis Chartered Institute of Internal Auditors bertajuk “Risk in Focus 2019”, terdapat inkonsistensi yang terlihat jelas antara prioritas risiko perusahaan dengan fokus pada audit internal. Hal tersebut menuntut
Chief Audit Executives (CAEs) atau Kepala Eksekutif Audit untuk melakukan evaluasi ulang bersama dengan komite audit dan petinggi perusahaan (
stakeholders) untuk melihat efektivitas audit internal dalam memberikan jaminan risiko yang tepat.
Salah satu hasil pengamatan paling mencolok dari laporan tersebut adalah ketidakcocokan antara risiko terbesar perusahaan dan waktu yang dihabiskan tim audit internal. Contohnya, 15% responden menyatakan bahwa
cyber security adalah satu-satunya risiko terbesar bagi perusahaan mereka. Sedangkan 66% responden lainnya menyatakan bahwa
cyber security adalah salah satu dari lima risiko terbesar. Namun, hanya 5% responden saja yang menggunakan sebagian besar waktunya untuk proses audit risiko tersebut.
Contoh ketidakcocokan lainnya adalah pernyataan 13% responden yang menyebut bahwa kepatuhan adalah risiko terbesar bagi perusahaan, sedangkan 58% lainnya menyatakan bahwa kepatuhan termasuk salah satu dari lima risiko terbesar. Sebanyak 33% responden mengaku menghabiskan waktunya untuk masalah kepatuhan tersebut. Artinya,
cyber security dianggap sebagai prioritas risiko terbesar bila dibandingkan dengan kepatuhan. Namun, para responden justru menghabiskan lebih banyak waktu untuk proses audit kepatuhan. Hal tersebut menimbulkan pertanyaan besar.
Apa yang menyebabkan inkonsistensi ini?
Menurut Risk in Focus 2019, ada beberapa kemungkinan yang dapat menyebabkan inkonsistensi tersebut, di antaranya:
- Kepala Eksekutif Audit dan komite audit tidak menentukan waktu dan sumber daya audit internal secara efektif. Hal ini menyebabkan tim audit internal tidak berhasil mencermati risiko perusahaan secara akurat.
- Tim audit internal dialokasikan untuk melaksanakan tugas yang dianggap sebagai prioritas oleh pihak regulator (misalnya proses audit kepatuhan), namun bukan prioritas bagi perusahaan atau tim audit itu sendiri.
- Ada perbedaan persepsi antara Kepala Eksekutif Audit dan tim audit tentang risiko terbesar bagi perusahaan. Hal ini perlu didiskusikan minimal satu tahun sekali dengan tim dewan dan manajemen senior untuk menyamakan persepsi.
- Penugasan audit telah melebihi waktu yang ditetapkan, sehingga bidang risiko lainnya malah terabaikan.
- Pengelolaan risiko yang lebih penting tidak ditanggung oleh tim audit internal. Misalnya, risiko tersebut dialihkan pada pihak internal perusahaan lainnya, atau bahkan penyedia jasa
Apa pun alasan di balik sejumlah temuan tersebut, Kepala Eksekutif Audit perlu memastikan bahwa fungsi auditnya melakukan pengelolaan terhadap risiko paling besar yang terjadi pada suatu perusahaan.
Dalam laporannya, Chartered Institute of Internal Auditors juga merilis daftar prediksi risiko tahun 2019 yang bisa mendasari langkah antisipasi risiko perusahaan. Sepuluh risiko terbesar perusahaan menurut CAEs adalah sebagai berikut:
- Cyber security (keamanan digital) 66%
- Kepatuhan 58%
- Keamanan dan perlindungan data 58%
- Sumber Daya Manusia dan karyawan 42%
- Perubahan peraturan 37%
- Digitalisasi 36%
- Inovasi 28%
- Budaya 25%
- Outsourcing dan pihak ketiga 24%
- Ketidakpastian politik 23%
“Balancing where we spend our time with where the risks lie is a challenge. The firm buys and sells assets, so clearly the biggest risk is that we do that well, the cycle keeps churning and our net asset value increases over time. We don’t spend a great deal of time looking at the detailed investment proposals and whether we’re selling to the right buyers at the right price. That process is mature and so it’s questionable how much value we could lend to it, but there’s a conversation to be had there. We tend, instead, to look at other things which are indirectly linked to valuation such as how well the portfolio is managed.”
-Chief Audit Executives, UK alternative investments manager
