Peranan Internal Auditor dalam Enterprise Risk Manajement di Perguruan Tinggi : Literature Review Oleh: Ivan Yudianto Abstrak Risk management untuk membantu manajemen universitas dan pimpinan pengelola dalam mengidentifikasi, mengelola dan mengurangi risiko serta memastikan proses risk management terintegrasi dengan praktek bisnis universitas dan aktivitas akademik dan penelitian. Peran inti audit internal yang berkaitan dengan Enterprise-wide Risk Management (ERM) adalah untuk memberikan layanan pemastian yang objektif bagi pimpinan organisasi mengenai efektivitas kegiatan ERM organisasi Pendahuluan Perguruan tinggi didedikasikan untuk (1) menguasai, memanfaatkan, mendiseminasikan, mentransformasikan dan mengembangkan Ilmu Pengetahuan, Teknologi, Dan Seni (IPTEK); (2) mempelajari, mengklarifikasikan dan melestarikan budaya; serta (3) meningkatkan mutu kehidupan masyarakat. Oleh karena itu perguruan tinggi sebagai lembaga melaksanakan fungsi tridarma Perguruan Tinggi, yaitu pendidikan, penelitian dan pengabdian kepada masyarakat, serta mengelola IPTEK. (Laporan Akuntabilitas Kinerja Instansi Pemerintah (LAKIP) Kementerian Riset, Teknologi, dan Pendidikan Tinggi (Kemenristekdikti), 2015;46) Dalam LAKIP Kemenristekdikti (2015;35) dinyatakan bahwa kualitas pendidikan tinggi masih relatif rendah baik dalam konteks institusi (Perguruan Tinggi) maupun program studi yang diindikasikan oleh mayoritas Perguruan Tinggi hanya berakreditasi C dan masih sangat sedikit yang berakreditasi A atau B. Disamping itu, Perguruan Tinggi Indonesia juga belum mampu berkompetisi dengan Perguruan Tinggi negara lain bahkan masih tertinggal dari negara-negara di kawasan Asia Tenggara sekalipun. Sejumlah lembaga internasional secara berkala melakukan survei untuk menyusun peringkat universitas terbaik dunia dan menempatkan universitas-universitas Indonesia, bahkan yang berstatus paling baik di Indonesia sekalipun berada pada posisi yang masih rendah. Penerapan kerangka kerja manajemen risiko di perguruan tinggi memang belum banyak dibicarakan, tetapi seperti organisasi-organisasi lain, perguruan tinggi juga merupakan aktivitas yang terpapar risiko (Wijatno, 2009). Mulai proses akademis, struktur pendanaan, fokus pendidikan (pengajaran dan penelitian), dan desain program (Zgaga, 2006). Sasaran risk management pada Harvard University (2009) adalah “to assist university management and governing boards in identifying, managing and mitigating risk and ensuring risk management processes are integrated into the University’s business practices and academic and research activities”. Risk management untuk membantu manajemen universitas dan pimpinan pengelola dalam mengidentifikasi, mengelola dan mengurangi risiko serta memastikan proses risk management terintegrasi dengan praktek bisnis universitas dan aktivitas akademik dan penelitian. 1 Killackey (2009) posits that organizations need to have ERM programmes properly aligned with their strategies at various levels, including business strategy level. Organisasi membutuhkan program ERM yang sejalan pada berbagai level strategis di dalam organisasi, termasuk tingkat strategik bisnis. Selanjutnya Acharyya (2007) menyatakan bahwa “The outcome of the ERM programmes should provide information in determining corporate objectives and formulation of appropriate corporate strategies. ERM programmes need to be aligned with business strategies to cover the complete hierarchy of operational risks.” Jadi outcome program ERM seharusnya menyediakan informasi dalam menentukan tujuan perusahaan (organisasi) dan formulasi strategik perusahaan (organisasi) yang tepat. Pembahasan The Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004), menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling mutakhir diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73). Perguruan tinggi jika ingin menerapkan kerangka manajemen risiko, maka dapat melakukan: a. Pembentukan fungsi ERM yang berfungsi menjalankan proses manajemen risiko yang dipimpin oleh Chief Risk Officer (CRO), dengan fungsi strategis dalam hal mengintegrasikan organisasi risiko, mengintegrasikan strategi transfer risiko, dan mengintegrasikan manajemen risiko ke dalam proses usaha perguruan tinggi (Wijatno, 2009). b. Meningkatkan peran komite audit dan risiko dalam pengelolaan risiko di perguruan tinggi. Peran komite audit dan risiko diantarnya adalah mendorong Satuan Pengawas Internal (SPI) dengan mengubah audit konvensional menjadi audit berbasiskan risiko, mendorong manajemen untuk menyusun profil resiko perguruan tinggi, dan melakukan monitoring dan evaluasi pengelolaan risiko di perguruan tinggi (Komite Audit dan Resiko IPB, 2015). c. Meningkatkan peran auditor internal dalam pengelolaan risiko (Kurt F. Reding, et.all; 2013) di perguruan tinggi. Peran inti audit internal yang berkaitan dengan Enterprise-wide Risk Management (ERM) adalah untuk memberikan layanan pemastian yang objektif bagi pimpinan organisasi mengenai efektivitas kegiatan ERM organisasi (IIA, 2009). Selanjutnya, pemastian ini membantu meyakinkan bahwa risiko bisnis kunci telah dikelola dengan tepat, dan bahwa sistem pengendalian internal telah berjalan secara efektif. Faktor utama yang harus dipertimbangkan oleh Kepala Satuan Pengawas Internal saat menentukan peran audit internal adalah apakah 2 suatu kegiatan menimbulkan ancaman terhadap independensi dan objektivitas auditor internal serta apakah memang terdapat kemungkinan untuk meningkatkan proses manajemen risiko organisasi, kontrol, dan proses tata kelola. Peran auditor internal bervariasi dalam proses ERM bergantung pada kematangan proses ERM dalam organisasi. Sebelum auditor internal melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab manajemen risiko terutama berada pada manajemen. Makalah Posisi (Position Paper) Institute of Internal Audit (IIA) dalam Kurt F. Reding, et.all (2013) memberikan pedoman peran audit internal mana yang harus, boleh, dan tidak boleh dilaksanakan di dalam proses ERM organisasi. Peran inti audit internal dalam ERM adalah kegiatan yang berhubungan dengan layanan pemastian yang meliputi: Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko; Memberikan keyakinan bahwa risiko dievaluasi dengan benar; Mengevaluasi proses manajemen risiko; Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya; Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan respons lain terhadap risiko-risiko tersebut. Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan dibarengi pengamanan independensi dan objektivitas yang cukup, antara lain: Memulai pembentukan ERM dalam organisasi; Mengembangkan strategi manajemen risiko bagi persetujuan Dewan; Memfasilitasi identifikasi dan evaluasi risiko; Pelatihan manajemen tentang merespons risiko; Mengoordinasikan kegiatan ERM; Mengonsolidasi laporan mengenai risiko; Memelihara dan mengembangkan kerangka ERM. Peran dalam ERM yang tidak boleh dilakukan auditor internal adalah: Mengatur minat risiko (risk appetite); Menerapkan proses manajemen risiko; Menjamin manajemen risiko; Membuat keputusan pada respons risiko; Menerapkan respons dan manajemen risiko atas nama manajemen; Akuntabilitas manajemen risiko. Dalam IPPF (2013) Standar 2010 tentang Perencanaan, CAE harus menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas Audit Internal, yang konsisten selaras dengan tujuan organisasi. Dengan demikian tidak terhindarkan bagi Aktivitas Audit Internal untuk menggunakan proses manajemen risiko yang ada di dalam organisasi sebagai bagian dari proses perencanaan tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara pandang dan bahasa yang sama antara Aktivitas Audit Internal dan unit lain di dalam organisasi terhadap risiko dan proses manajemen risiko. De Zwaan dan Steward (2011) menyatakan bahwa “while audit internal engagement in ERM can add value to the organization, there is also a risk that it could lead to a compromise of independence and objectivity”. Manajemen risiko 3 adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan manajemen risiko yang konsisten dan holistik, yang terintegrasi sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian. Penelitian yang dilakukan Fredrick, Gideon, Narkiso (2014) menganalisis peran audit internal dalam Enterprise Risk Management (ERM) dengan memberikan bukti empiris pada perusahaan sektor publik Kenya. Studi ini menguji dampak Keterlibatan di ERM oleh auditor dan kesediaan auditor internal untuk melaporkan rincian prosedur risiko dan apakah hubungan yang kuat dengan komite audit mempengaruhi kemauan untuk melapor. Selanjutnya hasil penelitiannya adalah “The result that role of audit internal positively and significantly affected implementation of enterprise risk management in State Corporation. From the study, state corporations do not carry out an enterprisewide management of risks, even though effective risk management is critical in achieving the goals and objectives of organizations”. Hasil penelitiannya menyatakan bahwa peran audit internal secara positif dan signifikan mempengaruhi pelaksanaan manajemen risiko perusahaan di Korporasi Negara. Dari penelitian ini, perusahaan negara tidak menjalankan manajemen risiko secara keseluruhan, walaupun manajemen risiko yang efektif sangat penting dalam mencapai tujuan dan sasaran organisasi. Allegrini dan D’Onza (2003) mengungkapkan dalam penelitiannnya bahwa: “In most companies (67%), internal auditors are providing some contributions to the risk management process, and they are trying to incorporate the COSO model in the internal control policies and procedures and in the audit process. In this context, internal auditors”. Terdapat 67% perusahaan di Italia, internal auditor memberikan banyak kontribusi bagi proses pengelolaan risiko, dan perusahaan-perusahaan tersebut berusaha untuk memasukkan model COSO dalam kebijakan dan prosedur pengendalian internal serta proses auditnya. IIA (2009) menyatakan bahwa perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam pengembangan rencana Aktivitas Audit Internal termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko digunakan untuk mereview area-area yang dapat diaudit (auditable units) dan untuk kemudian dipilih area-area yang memiliki risiko terbesar ke dalam rencana Aktivitas Audit Internal. Selanjutnya, IIA (2009) menyatakan bahwa faktor-faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi: 1) Melakukan identifikasi dan penilaian Risiko Inheren; 2) Melakukan identifikasi dan penilaian Risiko Residual; 4 3) Pengendalian mitigasi, rencana kontinjensi, dan aktivitas pemantauan dikaitkan dengan peristiwa dan / atau risiko individual; 4) Penyusunan Daftar risiko (Risk register) secara sistematis, lengkap, dan akurat; 5) Dokumentasi risiko dan kegiatan. Piagam Audit Internal biasanya mengharuskan Aktivitas Audit Internal untuk fokus pada area-area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit internal perlu mengidentifikasi area-area yang memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika Aktivitas Audit Internal mengidentifikasi adanya area-area risiko residual yang tidak dapat diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan rencana kegiatan, termasuk: Kegiatan review/assurance pengendalian di mana auditor internal melakukan review kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa pengendalian telah berjalan dan risiko telah dikelola secara efektif. Kegiatan Inquiry di mana ketika manajemen organisasi mendapati pengendalian tertentu berada pada tingkatan yang tidak dapat diterima terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud. Kegiatan konsultasi (Consulting) – di mana auditor internal menyarankan manajemen organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak dapat diterima. Kesimpulan The Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004), menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Peran auditor internal bervariasi dalam proses ERM bergantung pada kematangan proses ERM dalam organisasi. Sebelum auditor internal melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab manajemen risiko terutama berada pada manajemen. Daftar Pustaka Acharrya M & Johnson J.E.V. 2006. Investigating the Development of ERM in the Insurance Industry: An Empirical Study of Four Major European Insurers. 5 Paper presented at the The Geneva Papers on Risk and Insurance : Issue and Practice. Allegrini, D’Onza. 2003. Internal Auditing and Risk Assessment in Large Italian Comapnies: An Empirical Survey. Internasional Journal of Auditing. Volume 7, Number 3, November 2003, pp. 191-208(18). Committee of Sponsoring Organizations of Treadway Commission. 2009. Strenghening Enterprise Risk Management for Strategic Advantage. COSO. 2004. Enterprise Risk Management-Integrated Framework. Jersey City: AICPA. COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004a. Enterprise Risk Management – Integrated Framework. PDF Version. http://www.coso.org COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004b. Enterprise Risk Management – Integrated Framework. Application Techniques. PDF Version. http://www.coso.org D’Arcy, S. P. dan J. C. Brogan. 2001.Enterprise Risk Management. Journal of Risk Management of Korea. Volume 12, Number 1. DeLoach, J. W. 2003. Building Enterprise Risk Management on the Foundation Laid by Sarbanes-Oxley.http://www.protiviti.com De Zwaan, Laura; Stewart, Jenny; and Subramaniam, Nava (2011) Internal Audit Involvement In Enterprise Risk Management. Managerial Auditing Journal Vol. 26 No. 7, 2011 pp. 586-604 Fredrick S., Odoyo; Omwono Gideon A., Omwono; Narkiso O., Okinyi (2014) An Analysis of the Role of Internal Audit in Implementing Risk Management- a Study of State Corporations in Kenya. International Journal of Business and Social Science Vol. 5, No. 6; May 2014 Harvard University. 2009. “Committe of the Board (online). Harvard University”. Available, http://hmc.harvard.edu/governance/committees.php Henard, Fabrice. 2008. Governance and Quality Guidelines in Higher Education. A Review on Governance Arrangements and Quality Assurance Guidelines. OECD Series. http://www.oecd.org/edu/imhe. Hamilton, S., dan I. Francis. 2003. The Enron Collapse, International Institute for Management Development. Lausanne. Swiss. Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of Internal Auditor. Florida. 6 Institute of Internal Auditor (IIA). 2009. The Role of Internal Auditing in Enterprise-Wide Risk management. IIA Position Paper. Kemenristekdikti, 2015. Laporan Akuntabilitas Kinerja Instansi Pemerintah (LAKIP) Kementerian Riset, Teknologi, dan Pendidikan Tinggi. Kemenristekdikti, 2015. Rencana Strategis Kementerian Riset, Teknologi, dan Pendidikan Tinggi 2014 -2019. KILLACKEY, H., 2009. Integrating Enterprise Risk Management with Organizational Strategy. The RMA Journal, 91 (8), pp. 228. Komite Audit IPB. 2015. Peranan Komite Audit dalam Mengendalikan Risiko di IPB. Disampaikan pada Workshop SPMI Non Akademik di IPB Bogor. Reding, Kurt R.; Sobel, Paul J.; Anderson, Urton L.; Head, Michael J.; Ramamoorti, Sridhar; Salamasick, Mark; Riddle, Cris. 2013. Internal Auditing. Third Edition. Institute of Internal Audit Foundation. Wijatno, Serian .2009. Pengelolaan Perguruan Tinggi Secara Efisien, Efektif, dan Ekonomis. Penerbit Salemba Empat. Susilo, Leo J. dan Kaho, Victor Riwu.2010. Manajemen Risiko Berbasis ISO 31000. PPM Manajemen. Jakarta. Zgaga, P.2006. Looking Out: The Bologna Process in a Global Setting.On the “External Dimension” of the Bologna Process. 7