Peranan Internal Auditor dalam Enterprise Risk Manajement di

advertisement
Peranan Internal Auditor dalam Enterprise Risk Manajement di Perguruan
Tinggi : Literature Review
Oleh: Ivan Yudianto
Abstrak
Risk management untuk membantu manajemen universitas dan pimpinan
pengelola dalam mengidentifikasi, mengelola dan mengurangi risiko serta
memastikan proses risk management terintegrasi dengan praktek bisnis universitas
dan aktivitas akademik dan penelitian. Peran inti audit internal yang berkaitan
dengan Enterprise-wide Risk Management (ERM) adalah untuk memberikan
layanan pemastian yang objektif bagi pimpinan organisasi mengenai efektivitas
kegiatan ERM organisasi
Pendahuluan
Perguruan tinggi didedikasikan untuk (1) menguasai, memanfaatkan,
mendiseminasikan, mentransformasikan dan mengembangkan Ilmu Pengetahuan,
Teknologi, Dan Seni (IPTEK); (2) mempelajari, mengklarifikasikan dan
melestarikan budaya; serta (3) meningkatkan mutu kehidupan masyarakat. Oleh
karena itu perguruan tinggi sebagai lembaga melaksanakan fungsi tridarma
Perguruan Tinggi, yaitu pendidikan, penelitian dan pengabdian kepada
masyarakat, serta mengelola IPTEK. (Laporan Akuntabilitas Kinerja Instansi
Pemerintah (LAKIP) Kementerian Riset, Teknologi, dan Pendidikan Tinggi
(Kemenristekdikti), 2015;46)
Dalam LAKIP Kemenristekdikti (2015;35) dinyatakan bahwa kualitas
pendidikan tinggi masih relatif rendah baik dalam konteks institusi (Perguruan
Tinggi) maupun program studi yang diindikasikan oleh mayoritas Perguruan
Tinggi hanya berakreditasi C dan masih sangat sedikit yang berakreditasi A atau
B. Disamping itu, Perguruan Tinggi Indonesia juga belum mampu berkompetisi
dengan Perguruan Tinggi negara lain bahkan masih tertinggal dari negara-negara
di kawasan Asia Tenggara sekalipun. Sejumlah lembaga internasional secara
berkala melakukan survei untuk menyusun peringkat universitas terbaik dunia dan
menempatkan universitas-universitas Indonesia, bahkan yang berstatus paling
baik di Indonesia sekalipun berada pada posisi yang masih rendah.
Penerapan kerangka kerja manajemen risiko di perguruan tinggi memang
belum banyak dibicarakan, tetapi seperti organisasi-organisasi lain, perguruan
tinggi juga merupakan aktivitas yang terpapar risiko (Wijatno, 2009). Mulai
proses akademis, struktur pendanaan, fokus pendidikan (pengajaran dan
penelitian), dan desain program (Zgaga, 2006).
Sasaran risk management pada Harvard University (2009) adalah “to
assist university management and governing boards in identifying, managing and
mitigating risk and ensuring risk management processes are integrated into the
University’s business practices and academic and research activities”. Risk
management untuk membantu manajemen universitas dan pimpinan pengelola
dalam mengidentifikasi, mengelola dan mengurangi risiko serta memastikan
proses risk management terintegrasi dengan praktek bisnis universitas dan
aktivitas akademik dan penelitian.
1
Killackey (2009) posits that organizations need to have ERM programmes
properly aligned with their strategies at various levels, including business
strategy level. Organisasi membutuhkan program ERM yang sejalan pada
berbagai level strategis di dalam organisasi, termasuk tingkat strategik bisnis.
Selanjutnya Acharyya (2007) menyatakan bahwa “The outcome of the ERM
programmes should provide information in determining corporate objectives and
formulation of appropriate corporate strategies. ERM programmes need to be
aligned with business strategies to cover the complete hierarchy of operational
risks.” Jadi outcome program ERM seharusnya menyediakan informasi dalam
menentukan tujuan perusahaan (organisasi) dan formulasi strategik perusahaan
(organisasi) yang tepat.
Pembahasan
The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (2004), menyatakan bahwa ERM berhubungan dengan
risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya
sebagai suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan
pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan yang
dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi
perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko
perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan
dapat dicapai. Definisi paling mutakhir diberikan oleh ISO, di mana manajemen
risiko didefinisikan sebagai upaya terkoordinasi untuk mengarahkan dan
mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).
Perguruan tinggi jika ingin menerapkan kerangka manajemen risiko, maka
dapat melakukan:
a. Pembentukan fungsi ERM yang berfungsi menjalankan proses manajemen
risiko yang dipimpin oleh Chief Risk Officer (CRO), dengan fungsi
strategis dalam hal mengintegrasikan organisasi risiko, mengintegrasikan
strategi transfer risiko, dan mengintegrasikan manajemen risiko ke dalam
proses usaha perguruan tinggi (Wijatno, 2009).
b. Meningkatkan peran komite audit dan risiko dalam pengelolaan risiko di
perguruan tinggi. Peran komite audit dan risiko diantarnya adalah
mendorong Satuan Pengawas Internal (SPI) dengan mengubah audit
konvensional menjadi audit berbasiskan risiko, mendorong manajemen
untuk menyusun profil resiko perguruan tinggi, dan melakukan monitoring
dan evaluasi pengelolaan risiko di perguruan tinggi (Komite Audit dan
Resiko IPB, 2015).
c. Meningkatkan peran auditor internal dalam pengelolaan risiko (Kurt F.
Reding, et.all; 2013) di perguruan tinggi.
Peran inti audit internal yang berkaitan dengan Enterprise-wide Risk
Management (ERM) adalah untuk memberikan layanan pemastian yang objektif
bagi pimpinan organisasi mengenai efektivitas kegiatan ERM organisasi (IIA,
2009). Selanjutnya, pemastian ini membantu meyakinkan bahwa risiko bisnis
kunci telah dikelola dengan tepat, dan bahwa sistem pengendalian internal telah
berjalan secara efektif. Faktor utama yang harus dipertimbangkan oleh Kepala
Satuan Pengawas Internal saat menentukan peran audit internal adalah apakah
2
suatu kegiatan menimbulkan ancaman terhadap independensi dan objektivitas
auditor internal serta apakah memang terdapat kemungkinan untuk meningkatkan
proses manajemen risiko organisasi, kontrol, dan proses tata kelola.
Peran auditor internal bervariasi dalam proses ERM bergantung pada
kematangan proses ERM dalam organisasi. Sebelum auditor internal
melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih
dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab
manajemen risiko terutama berada pada manajemen. Makalah Posisi (Position
Paper) Institute of Internal Audit (IIA) dalam Kurt F. Reding, et.all (2013)
memberikan pedoman peran audit internal mana yang harus, boleh, dan tidak
boleh dilaksanakan di dalam proses ERM organisasi. Peran inti audit internal
dalam ERM adalah kegiatan yang berhubungan dengan layanan pemastian yang
meliputi:
 Memberikan keyakinan pada desain dan efektivitas proses manajemen
risiko;
 Memberikan keyakinan bahwa risiko dievaluasi dengan benar;
 Mengevaluasi proses manajemen risiko;
 Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan
pengendaliannya;
 Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari
pengendalian dan respons lain terhadap risiko-risiko tersebut.
Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan
dibarengi pengamanan independensi dan objektivitas yang cukup, antara lain:
 Memulai pembentukan ERM dalam organisasi;
 Mengembangkan strategi manajemen risiko bagi persetujuan Dewan;
 Memfasilitasi identifikasi dan evaluasi risiko;
 Pelatihan manajemen tentang merespons risiko;
 Mengoordinasikan kegiatan ERM;
 Mengonsolidasi laporan mengenai risiko;
 Memelihara dan mengembangkan kerangka ERM.
Peran dalam ERM yang tidak boleh dilakukan auditor internal adalah:
 Mengatur minat risiko (risk appetite);
 Menerapkan proses manajemen risiko;
 Menjamin manajemen risiko;
 Membuat keputusan pada respons risiko;
 Menerapkan respons dan manajemen risiko atas nama manajemen;
 Akuntabilitas manajemen risiko.
Dalam IPPF (2013) Standar 2010 tentang Perencanaan, CAE harus
menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas Audit
Internal, yang konsisten selaras dengan tujuan organisasi. Dengan demikian tidak
terhindarkan bagi Aktivitas Audit Internal untuk menggunakan proses manajemen
risiko yang ada di dalam organisasi sebagai bagian dari proses perencanaan
tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara
pandang dan bahasa yang sama antara Aktivitas Audit Internal dan unit lain di
dalam organisasi terhadap risiko dan proses manajemen risiko.
De Zwaan dan Steward (2011) menyatakan bahwa “while audit internal
engagement in ERM can add value to the organization, there is also a risk that it
could lead to a compromise of independence and objectivity”. Manajemen risiko
3
adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh
seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi
pendekatan manajemen risiko yang konsisten dan holistik, yang terintegrasi
sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan
organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit
bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko
tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian.
Penelitian yang dilakukan Fredrick, Gideon, Narkiso (2014)
menganalisis peran audit internal dalam Enterprise Risk Management (ERM)
dengan memberikan bukti empiris pada perusahaan sektor publik Kenya. Studi ini
menguji dampak Keterlibatan di ERM oleh auditor dan kesediaan auditor internal
untuk melaporkan rincian prosedur risiko dan apakah hubungan yang kuat dengan
komite audit mempengaruhi kemauan untuk melapor. Selanjutnya hasil
penelitiannya adalah “The result that role of audit internal positively and
significantly affected implementation of enterprise risk management in State
Corporation. From the study, state corporations do not carry out an enterprisewide management of risks, even though effective risk management is critical in
achieving the goals and objectives of organizations”. Hasil penelitiannya
menyatakan bahwa peran audit internal secara positif dan signifikan
mempengaruhi pelaksanaan manajemen risiko perusahaan di Korporasi Negara.
Dari penelitian ini, perusahaan negara tidak menjalankan manajemen risiko secara
keseluruhan, walaupun manajemen risiko yang efektif sangat penting dalam
mencapai tujuan dan sasaran organisasi.
Allegrini dan D’Onza (2003) mengungkapkan dalam penelitiannnya
bahwa: “In most companies (67%), internal auditors are providing some
contributions to the risk management process, and they are trying to incorporate
the COSO model in the internal control policies and procedures and in the audit
process. In this context, internal auditors”.
Terdapat 67% perusahaan di Italia, internal auditor memberikan banyak kontribusi
bagi proses pengelolaan risiko, dan perusahaan-perusahaan tersebut berusaha
untuk memasukkan model COSO dalam kebijakan dan prosedur pengendalian
internal serta proses auditnya.
IIA (2009) menyatakan bahwa perencanaan audit internal perlu
memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah
berjalan. Dalam merencanakan penugasan, auditor internal perlu
mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang
digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang
dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam
pengembangan rencana Aktivitas Audit Internal termasuk dalam menentukan
prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko
digunakan untuk mereview area-area yang dapat diaudit (auditable units) dan
untuk kemudian dipilih area-area yang memiliki risiko terbesar ke dalam rencana
Aktivitas Audit Internal.
Selanjutnya, IIA (2009) menyatakan bahwa faktor-faktor yang perlu
diperhatikan ketika mengembangkan rencana audit internal meliputi:
1) Melakukan identifikasi dan penilaian Risiko Inheren;
2) Melakukan identifikasi dan penilaian Risiko Residual;
4
3) Pengendalian mitigasi, rencana kontinjensi, dan aktivitas pemantauan
dikaitkan dengan peristiwa dan / atau risiko individual;
4) Penyusunan Daftar risiko (Risk register) secara sistematis, lengkap, dan
akurat;
5) Dokumentasi risiko dan kegiatan.
Piagam Audit Internal biasanya mengharuskan Aktivitas Audit Internal
untuk fokus pada area-area yang berisiko tinggi, baik dari aspek risiko melekat
ataupun residual. Aktivitas audit internal perlu mengidentifikasi area-area yang
memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian
utama yang diandalkan organisasi untuk melakukan mitigasi. Jika Aktivitas
Audit Internal mengidentifikasi adanya area-area risiko residual yang tidak dapat
diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko
tersebut dapat ditangani. Dari proses ini auditor internal akan mampu
mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan rencana kegiatan,
termasuk:
 Kegiatan review/assurance pengendalian di mana auditor internal
melakukan review kecukupan dan efisiensi sistem pengendalian serta
memberikan assurance bahwa pengendalian telah berjalan dan risiko
telah dikelola secara efektif.
 Kegiatan Inquiry di mana ketika manajemen organisasi mendapati
pengendalian tertentu berada pada tingkatan yang tidak dapat diterima
terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor
internal melakukan serangkaian prosedur untuk mendapatkan pemahaman
yang lebih baik tentang risiko dan pengendalian dimaksud.
 Kegiatan konsultasi (Consulting) – di mana auditor internal menyarankan
manajemen organisasi mengembangkan sistem pengendalian untuk
mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak
dapat diterima.
Kesimpulan
The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) (2004), menyatakan bahwa ERM berhubungan dengan
risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya
sebagai suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan
pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan yang
dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi
perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko
perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan
dapat dicapai. Peran auditor internal bervariasi dalam proses ERM bergantung
pada kematangan proses ERM dalam organisasi. Sebelum auditor internal
melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih
dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab
manajemen risiko terutama berada pada manajemen.
Daftar Pustaka
Acharrya M & Johnson J.E.V. 2006. Investigating the Development of ERM in the
Insurance Industry: An Empirical Study of Four Major European Insurers.
5
Paper presented at the The Geneva Papers on Risk and Insurance : Issue and
Practice.
Allegrini, D’Onza. 2003. Internal Auditing and Risk Assessment in Large Italian
Comapnies: An Empirical Survey. Internasional Journal of Auditing. Volume
7, Number 3, November 2003, pp. 191-208(18).
Committee of Sponsoring Organizations of Treadway Commission. 2009.
Strenghening Enterprise Risk Management for Strategic Advantage.
COSO. 2004. Enterprise Risk Management-Integrated Framework. Jersey City:
AICPA.
COSO (The Committee of Sponsoring Organization) of the Treadway
Commission. 2004a. Enterprise Risk Management – Integrated
Framework. PDF Version. http://www.coso.org
COSO (The Committee of Sponsoring Organization) of the Treadway
Commission. 2004b. Enterprise Risk Management – Integrated
Framework. Application Techniques. PDF Version. http://www.coso.org
D’Arcy, S. P. dan J. C. Brogan. 2001.Enterprise Risk Management. Journal of
Risk Management of Korea. Volume 12, Number 1.
DeLoach, J. W. 2003. Building Enterprise Risk Management on the
Foundation Laid by Sarbanes-Oxley.http://www.protiviti.com
De Zwaan, Laura; Stewart, Jenny; and Subramaniam, Nava (2011) Internal Audit
Involvement In Enterprise Risk Management. Managerial Auditing Journal
Vol. 26 No. 7, 2011 pp. 586-604
Fredrick S., Odoyo; Omwono Gideon A., Omwono; Narkiso O., Okinyi (2014)
An Analysis of the Role of Internal Audit in Implementing Risk
Management- a Study of State Corporations in Kenya. International Journal
of Business and Social Science Vol. 5, No. 6; May 2014
Harvard University. 2009. “Committe of the Board (online). Harvard University”.
Available, http://hmc.harvard.edu/governance/committees.php
Henard, Fabrice. 2008. Governance and Quality Guidelines in Higher Education.
A Review on Governance Arrangements and Quality Assurance Guidelines.
OECD Series. http://www.oecd.org/edu/imhe.
Hamilton, S., dan I. Francis. 2003. The Enron Collapse, International Institute
for Management Development. Lausanne. Swiss.
Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of
Internal Auditor. Florida.
6
Institute of Internal Auditor (IIA). 2009. The Role of Internal Auditing in
Enterprise-Wide Risk management. IIA Position Paper.
Kemenristekdikti, 2015. Laporan Akuntabilitas Kinerja Instansi Pemerintah
(LAKIP) Kementerian Riset, Teknologi, dan Pendidikan Tinggi.
Kemenristekdikti, 2015. Rencana Strategis Kementerian Riset, Teknologi, dan
Pendidikan Tinggi 2014 -2019.
KILLACKEY, H., 2009. Integrating Enterprise Risk Management with
Organizational Strategy. The RMA Journal, 91 (8), pp. 228.
Komite Audit IPB. 2015. Peranan Komite Audit dalam Mengendalikan Risiko di
IPB. Disampaikan pada Workshop SPMI Non Akademik di IPB Bogor.
Reding, Kurt R.; Sobel, Paul J.; Anderson, Urton L.; Head, Michael J.;
Ramamoorti, Sridhar; Salamasick, Mark; Riddle, Cris. 2013. Internal
Auditing. Third Edition. Institute of Internal Audit Foundation.
Wijatno, Serian .2009. Pengelolaan Perguruan Tinggi Secara Efisien, Efektif, dan
Ekonomis. Penerbit Salemba Empat.
Susilo, Leo J. dan Kaho, Victor Riwu.2010. Manajemen Risiko Berbasis ISO
31000. PPM Manajemen. Jakarta.
Zgaga, P.2006. Looking Out: The Bologna Process in a Global Setting.On the
“External Dimension” of the Bologna Process.
7
Download