Dalam situasi bisnis yang terus berubah, di mana ketidakpastian menjadi suatu tantangan, Enterprise Risk Management (ERM) menjadi fondasi bagi pengambilan keputusan yang tepat demi keberlanjutan organisasi. Namun, seberapa yakin organisasi bahwa kerangka ERM mereka benar-benar efektif? Di sinilah fungsi audit internal memainkan peran yang sangat penting. Audit internal bertindak sebagai mata dan telinga dewan direksi, menyediakan jaminan objektif (assurance) yang independen dan berharga atas efektivitas proses pengelolaan risiko yang diterapkan oleh organisasi. Mereka memastikan bahwa risiko-risiko utama tidak hanya teridentifikasi, tetapi juga dikelola secara memadai, dan bahwa sistem pengendalian internal beroperasi sesuai harapan.

Peran audit internal dalam ERM jauh melampaui sekadar memeriksa kepatuhan. Mereka memberikan berbagai lapisan jaminan yang krusial:

a. Evaluasi Desain dan Efektivitas Pelaksanaan Proses Manajemen Risiko
Audit internal secara cermat menguji apakah kerangka ERM yang ada dirancang dengan baik dan relevan dengan tujuan organisasi. Mereka meninjau kebijakan, prosedur, dan metodologi yang digunakan untuk mengidentifikasi, menilai, merespons, dan memantau risiko. Lebih dari itu, mereka juga menilai seberapa efektif proses-proses ini diimplementasikan dalam praktik sehari-hari di seluruh unit bisnis. Ini mencakup evaluasi apakah peran dan tanggung jawab risiko didefinisikan dengan jelas, apakah ada budaya sadar risiko yang tertanam, dan apakah informasi risiko mengalir dengan efektif ke tingkat manajemen yang tepat.

b. Peninjauan Risiko-Risiko Utama dan Efektivitas Kontrol yang Melekat
Salah satu kontribusi utama audit internal adalah fokus pada risiko-risiko yang paling signifikan bagi organisasi. Mereka tidak hanya mengandalkan daftar risiko yang disajikan manajemen, tetapi juga melakukan penilaian independen terhadap risiko-risiko utama tersebut. Selanjutnya, audit internal mengevaluasi efektivitas pengendalian internal yang dirancang untuk memitigasi risiko-risiko ini. Ini berarti memeriksa apakah kontrol tersebut berfungsi seperti yang dimaksudkan, apakah ada celah, atau apakah ada kontrol yang berlebihan dan tidak efisien. Misalnya, jika risiko utama adalah keamanan data, audit internal akan meninjau kontrol akses, enkripsi, dan prosedur penanganan insiden.

c. Penilaian Keandalan Pelaporan Risiko dan Status Pengendalian
Agar dewan direksi dan manajemen senior dapat mengambil keputusan yang tepat, mereka memerlukan informasi risiko yang akurat, lengkap, dan tepat waktu. Audit internal berperan dalam menilai keandalan laporan risiko yang dihasilkan oleh sistem ERM. Mereka memastikan bahwa data risiko yang disajikan valid, bahwa indikator risiko utama (KRI) akurat, dan bahwa status pengendalian dilaporkan secara jujur. Penilaian ini membantu membangun kepercayaan terhadap informasi risiko yang menjadi dasar keputusan strategis.

Referensi:

  • The Institute of Internal Auditor. (2009). IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management.
  • https://www.theiia.org/globalassets/documents/resources/the-role-of-internal-auditing-in-enterprise-wide-risk-management-january-2009/pp-the-role-of-internal-auditing-in-enterprise-risk-management.pdf