Pages

Monday, October 2, 2017

Internal Audit Manages Risk Management, May or MayNot?

Model Three Lines of  Defence relatif banyak dikenal setelah IIA menerbitkan IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, pada Januari 2013. Seiring perkembangannya, model ini banyak diadopsi oleh banyak Perusahaan termasuk di Indonesia.

Dari beberapa kali diskusi, beberapa pihak menafsirkan bahwa berdasarkan model tersebut, maka internal audit “harus” berada di lini ketiga, dengan tugas memberikan assurance/ audit terhadap lini pertama dan kedua. Mereka juga berpendapat bahwa internal audit “tidak boleh terlibat langsung” dalam pengelolaan manajemen risiko dan pengendalian intern. Pendapat tersebut juga merujuk ke “model kipas”, yang menurut mereka, model kipas tersebut juga melarang internal audit terlibat langsung dalam pengelolaan manajemen risiko dan pengendalian intern.
Tulisan ini kami buat karena menurut kami ada miskonsepsi/ misinterprestasi terkait peran internal audit dalam pengelolaan manajemen risiko dan pengendalian intern. Misinterprestasi tersebut tertutama terkait Model Three Lines of Defence dan Internal Auditing’s Role in Enterprise Risk Management.

a. Apa itu tugas Risk Management?

Fungsi manajemen risiko merupakan bagian dari manajemen organisasi. Tanggung jawab dari fungsi manajemen risiko antara lain:
  • Menyediakan kerangka manajemen risiko bagi organisasi.
  • Mengidentifikasi isu-isu baru atau perubahan-2 yang signifikan.
  • Mengkoordinasi dan membantu manajemen dalam mendesain proses dan pengendalian untuk mengelola risiko dan isu-isu, dengan cara antara lain fasilitasi, memberikan panduan, dan pelatihan.
  • Memfasilitasi, mengkoordinasi, dan memonitor implementasi praktik manajemen risiko yang efektif terhadap para manajer dan personil, termasuk koordinasi pelaporan dan tindakan koreksi yang diperlukan.
Kami perlu menekankan bahwa identifikasi dan analisis risiko, serta pengembangan dan implementasi pengendalian merupakan tanggung jawab pemilik risiko, yaitu unit kerja dan para personil, bukan unit manajemen risiko.

b. Model Three Lines of Defence

Model Three Lines of Defense menggambarkan fungsi dan tanggung jawab yang efektif bagi pengelolaan risiko dan pengendalian, dengan pengelompokan lini sebagai berikut:
  1. Fungsi yang memiliki dan mengelola risiko dan pengendalian. Lini pertama pertahanan adalah manajemen, yang sehari-hari bertanggung jawab terhadap proses desain, implementasi, pelaporan, dan monitoring risiko dan pengendalian intern.
  2. Fungsi yang memonitor dan mengawasi. Lini kedua pertahanan adalah fungsi supporting dan pengawasan terhadap pengelolaan risiko, pengendalian, dan kepatuhan untuk menjamin kecukupan desain dan efektifitas proses manajemen risiko dan pengendalian intern. Sifat dan tipe fungsi ini sangat tergantung pada banyak faktor, termasuk maturitas organisasi. Termasuk dalam fungsi lini kedua adalah: fungsi manajemen risiko, fungsi kepatuhan, dan fungsi quality control.
  3. Fungsi yang memberikan independent assurance. Lini ketiga pertahanan adalah fungsi yang memberikan independent assurance kepada dekom dan direksi terkait kecukupan desain dan efektifitas implementasi manajemen risiko dan pengendalian.
Fungsi Lini 1 dan 2 melapor kepada Direksi/ Senior Management dan Lini 3 melapor ke Direksi dan Dekom. Model tersebut dapat digambarkan sebagai berikut:
The Three Lines of Defence Model
The Three Lines of Defence Model
Namun, pemisahan tiga lini fungsi tersebut bukanlah harga mati. Dalam Position Paper: The Three Lines of Defense in Effective Risk Management and Control, IIA menyatakan “all three lines should exist in some form at every organization, regardless of size or complexity. However, in exceptional situations that develop, especially in small organizations, certain lines of defense may be combined. For example, there are instances where internal audit has been requested to establish and/or manage the organization’s risk management or compliance activities. In these situations, internal audit should communicate clearly to the governing body and senior management the impact of the combination.”

c. Internal Auditing’s Role in ERM (Model Kipas)

Peran internal internal audit dalam ERM dapat berupa:  
  • Tidak berperan.
  • Auditing proses manajemen risiko sebagai bagian dari rencana internal audit.
  • Memberikan pandangan dan data historis terkait kejadian-kejadian risiko yang diidentifikasi dalam temuan internal audit.
  • Secara aktif, berkelanjutan mendukung dan terlibat dalam proses manajemen risiko.
  • Mengelola dan mengkoordinasikan proses manajemen risiko:
Dalam IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management, peran internal auditor dalam ERM digambarkan dalam bentuk kipas (ERM Fan).
ERM FAN
ERM FAN
Sebagaimana digambarkan dalam Model Kipas di atas, aktifitas yang masuk dalam segitiga merah merupakan peran unit manajemen risiko. Namun, aktifitas manajemen risiko tersebut tersebut dapat diperankan oleh internal audit, dengan safeguards untuk tetap menjaga independensi internal audit dan objektifitas auditor. Rincian safeguard dimaksud dapat dilihat dalam uraian di bawah.

d. Internal Audit’s Role as Second Line of Defence

Banyak organisasi yang meminta CAE untuk juga mengelola fungsi manajemen risiko/ kepatuhan. Hal ini sering karena ukuran atau maturitas organisasi, efisiensi, pertimbangan teknis karena banyak aktifitas overlap antara manajemen risiko dan internal audit. Ada kalanya, peraturan pemerintah atau industri mewajibkan suatu organisasi untuk memiliki fungsi manajemen risiko dan kepatuhan. Namun, untuk organisasi kecil atau baru, membentuk unit tersendiri untuk manajemen risiko dan kepatuhan akan menjadi memberatkan, sehingga beberapa organisasi menggabungkan fungsi manajemen risiko dan kepatuhan dengan fungsi internal audit. Namun, jika penggabungan fungsi tersebut tidak dikelola secara memadai, maka objektif dan independensi internal audit dapat menjadi terganggu.
IIA Supplemental Guidance: Internal Audit and the Second Line of Defense memberikan panduan praktis bagi CAE ketika internal audit berperan juga sebagai second line of defence (misal sebagai kepala unit manajemen risiko dan kepatuhan). CAE seharusnya tetap menjaga independensi dan objektifitas, dan mengkomunikasi risiko-2 yang timbul dengan manajemen dan dekom, serta  mengkonfirmasi risiko yang diterima manajemen terkait dengan kemungkinan terganggunya independensi internal audit dan objektifitas auditor.

e. The Safeguards

Safeguards diperlukan untuk mempertahankan objektifitas dan independensi internal audit, ketika fungsi lini kedua pertahanan ditugaskan kepada internal audit. Safeguards tersebut yaitu:
  • Diskusi risiko penugasan tersebut dengan manajemen dan dekom.
  • Pernyataan penerimaan dan kepemilikan risiko tersebut oleh manajemen.
  • Definisi dan peran yang jelas untuk setiap kegiatan dimana aktifitas lini kedua overlap dengan aktifitas lini ketiga, termasuk dokumentasi komponen berikut: 
  • Dampak dan risiko bagi organisasi dan internal audit.
    • Peran, tanggung jawab, dan pemisahan tugas.
    • Pengendalian yang dibangun untuk memastikan safeguards yang disepakati dapat beroperasi secara efektif.
    • Keputusan apakah penugasan tersebut bersifat sementara atau jangka panjang. Jika sementara, rencana transisi menjadi dibutuhkan.
    • Dokumentasi penerimaan dan persetujuan dari manajemen senior dan dekom.
    • Aktifitas lini kedua yang dilaksanakan oleh internal audit seharusnya dinyatakan dalam charter dan/ atau dimasukan dalam keputusan dekom, minimal setahun sekali. • Secara periodik (setahun sekali), ada evaluasi terhadap garis pelaporan dan tanggung jawab, oleh manajemen dan dekom.
  • Sifat dari peran internal audit seharusnya dinyatakan secara jelas dalam audit charter.
  • Penilaian independen secara periodik terhadap peran lini kedua oleh internal audit dan efektifitas syarat-syarat independensi, objektifitas, dan assurans. CAE seharusnya memasukan reviu peran lini kedua oleh internal audit, dalam program QAIP dengan frekuensi lebih banyak,  tergantung tingkat dari risiko. 
  • Ketika safeguards untuk menjaga independensi dan objektifitas menjadi tidak memungkinkan, maka Standar IIA mewajibkan aktifitas lini kedua untuk ditugaskan kepada unit selain internal audit, atau di-outsource-kan kepada pihak III.
Internal audit seharusnya menghindari aktifitas berikut yang dapat mengganggu independensi dan objektifitas, yaitu:
  • Menentukan risk appetite.
  • Memiliki atau mengelola risiko (lini pertama).
  • Memegang tanggung jawab untuk akuntansi, pengembangan bisnis, dan fungsi lini pertama lainnya.
  • Menetapkan keputusan respon terhadap risiko, dengan mengatasnamakan manajemen.
  • Menerapkan atau memegang pertanggung jawaban untuk proses manajemen risiko atau tata kelola.
  • Melaksanakan penugasan asurans terhadap aktifitas lini kedua yang dilaksanakan oleh internal audit.

f. In Practice

Bukan hanya organisasi kecil, beberapa organisasi besar dan sudah mature pun ada yang menggabungkan fungsi internal audit dengan manajemen risiko, dengan berbagai pertimbangan. Sepengetahuan kami, contoh organisasi besar dan mature yang menggabungkan peran internal audit  dengan manajemen risiko antara lain:
  • Garuda Maintenance Facility, Indonesia: Unit Internal Audit dan Manajemen Risiko
  • PT XL Axiata, Tbk, Indonesia: Audit and Risk Management Division.
  • PT Adaro, Tbk, Indonesia: Internal Audit and Risk Management Division
  • Enfield Council, UK.: Internal Audit and Risk Management Division.
  • Whirlpool Corporation, USA: ERM Process Embeded within Internal Audit System.

g. Simpulan

Idealnya model three lines of defence dapat diterapkan oleh semua jenis organisasi, dengan internal audit berada di lini ketiga. Namun, dengan pertimbangan profesional, internal audit dapat ditugaskan melaksanakan fungsi lini kedua, dengan menerapkan safeguards agar independensi internal audit dan objektifitas auditor tetap terjaga.

No comments:

Post a Comment