Apa Fungsi dan Peranan Internal Audit Dalam Manajemen Risiko?

Audit dan SPI

Apa (dan bagimana) seharusnya fungsi dan peranan internal audit dalam manajemen risiko? “Pertanyaan yang aneh dan tidak masuk akal”, mungkin ada yang ingin mengatakan demikian. Ya, saya tahu: umumnya ‘risk management’ dan ‘internal audit’ adalah dua bagian yang berbeda dan terpisah di sebagian besar perusahaan—termasuk korporasi. Tetapi saya mau mengatkan bahwa: Fungsi internal audit seharusnya dapat berperanan banyak dalam membantu manajemen perusahaan melakukan mitigasi risiko, guna mencapai tujuan-tujuan strategisnya. Lho koq bisa?

Ya. Internal audit memang TIDAK seharusnya mengambil-alih fungsi manajemen (terutama manajemen risiko—misalnya membuat rencana atau mengambil keputusan-keputusan strategis). Akan tetapi, minimal seharusnya dapat:

1. Memeriksa (assessing) kelayakan program manajemen risiko – Memeriksa dalam artian: mengidentifikasi, melakukan pemetaan (mapping), mengevaluasi, serta memberikan respon bagi setiap kemungkinan potensi risiko yang bisa timbul kapan saja dan di bagian mana saja. Dalam standar profesi internal audit telah disebutkan bahwa internal audit menyediakan jaminan (assurance) mengenai kelayakan administrasi, manajemen risiko dan proses pengendalian terkait. Fungsi ini sudah seharusnya mengikutsertakan pemeriksaan terhadap program manajemen risiko.

2. Memeriksa dan melaporkan praktek mitigasi risiko utama – Internal audit seharusnya juga dapat memeriksa dan melaporkan proses yang dijalankan oleh bagian manajemen risiko (risk management) dalam melakukan mitigasi risiko-risiko utama, terkait dengan operasional perusahaan sehari-hari. Tugas ini, termasuk di dalamnya: membuat dan memutahirkan rencana audit berkala terhadap masing-masing risiko yang telah terjadi maupun yang masih berupa berpotensi—mulai dari rencana pencegahan, tindakan pencegahan, rencana penanganan, tindakan penanganan, serta pencapaian atas rencana mitigasi risiko yang telah dilaksanakan.

3. Memberikan saran, rekomendasi, dan konsultasi mitigasi risiko– Layakanya pemeriksaan, setiap simpulan yang diambil (setelah melakukan pemeriksaan), mestinya disertai saran dan rekomendasi atas apa yang telah ditemukan. Logikanya, di tangan seorang pemeriksa (internal auditor) dibekali rencana (tujuan), hasil pencapaian, alat pengukur, dan hasil evaluasi terkait dengan manajemen risiko. Sehingga, sekalilagi logikanya, internal audit memiliki pandangan yang lebih kompehensif mengenai situasi mitigasi risiko yang dihadapi oleh perusahaan. Internal audit mestinya bisa menjadi sumber informasi—sekaligus tempat konsultasi bagi manajemen dalam mengimplementasikan program manajemen risikonya.

4. Menjadi advokat, mentor dan inspirator dalam manajemen risiko – Di wilayah lainnya (di luar manajemen risiko), selama ini, internal audit sudah menjadi pihak yang selalu mendengungkan pentingnya pengendalian intern. Bisa dibilang menjadi sponsor utama dalam melakukan trobosan-trobosan penting untuk mengimplementasikan pengendalian intern. Dalam manajemen risiko-pun seharusnya internal audit dapat (diberikan ruang) untuk melakukan hal itu—misalnya: dalam menilai dan menyeleksi vendor guna mencegah petensi risiko, mengevaluasi kebijakan kredit bagi pelanggan guna mencegah potensi risiko—setiap hari setiap saat.

5. Menjadi leader dalam menyusun dan melakukan uji-coba implementasi standar operasi dan prosedur (SOP), terkait dengan manajemen risiko - Khususnya di awal-awal. Memberikan asistensi maksimal dalam mengawal dan menggiring risiko menuju ke garis batas yang masih dapat ditoleransi oleh perusahaan.

Pertanyaannya: Sudahkah ‘internal audit’ menjalankan fungsi dan peranan yang telah saya sebutkan di atas, selama ini?

Sejauh yang saya tahu, BELUM. Sebagian besar manajemen perusahaan dan para eksekutifnya masih mengisolasi fungsi dan pernanan internal audit hanya sebatas pengendalian intern, serta pemeriksaan laporankeuangan ‘thok’!

Bisa saya mengerti. Mungkin ada kekhawatiran bahwa jika peranan dan fungsi internal audit diperluas, akan menimbulkan efek samping. Misalnya:Timbulnya tugas dan wewenang yang tumpang-tindih antara internal audit dengan manajer risk dan jajarannya.

Sejatinya, sepanjang pembagian tugas-dan-wewenang-nya cukup jelas, itu tidak akan terjadi. Yang ada, mitigasi risiko akan menjadi semakin komprehensif, manajemen risiko perusahaan akan semakin tangguh. Logikanya?

Sederhana: kehadiran internal audit—sebagai pendamping manajemen risiko akan membuat pandangan semakin luas dan menyeluruh—mampu melihat ‘the big picture’ opersional perusahaan dari hulu hingga hilir.

Bahkan, internal audit dapat memberikan input-input yang bersumber dari bagian keuangan. Dalam artian, adalah fakta bahwa jangkauan daya jelajah internal audit (di luar manajemen risiko) mampu mencapai hingga ke bagian keuangan. Mereka (internal auditor) memiliki informasi-informasi dan dasar-dasar pertimbangan yang cukup strategis—dibandingkan dengan para pelaksana di bagian manajemen risiko itu sendiri.

Tentunya, kehadiran internal audit di dalam manajemen risiko jangan dipandang sebagai pesaing atau sejenisnya, melainkan mitra strategis untuk meng-GOAL-kan misi di bagian manajemen risiko. Bagi manajemen dan perusahaan secara keseluruhan, ini adalah langkah strategis—membuat kedua fungsi (kendali internal dan manajemen risiko) menjadi duet yang ampuh dalam memitigasi risiko perusahaan. Saya menyebutnya: “double-wings risk mitigation’. Ini akan menekan risiko hingga ke titik terendah.

Mungkinkah ‘Chief Audit Executive’ bertindak selaku ‘Chief Risk Officer’ SEKALIGUS ‘Chief Internal Audit’?

Sangat mungkin, sepanjang posisi rangkap ini tidak membuat obyektivitas internal audit terganggu (misalnya: team internal audit menjadi segan memeriksa team manajemen risiko). Perlu ditekankan bahwa fungsi utama internal audit adalah bertindak selaku mentor, fasilitator serta pelapor—bukan pengambil keputusan. Sepanjang itu bisa dipastikan, kenapa tidak?

SUMBER:http://jurnalakuntansikeuangan.com/2011/09/apa-fungsi-dan-peranan-internal-audit-dalam-manajemen-risiko/