Capaian dalam maturitas manajemen risiko, membuat organisasi mencapai pembelajaran dan pertumbuhan hingga pada kemampuan untuk mengatur pengerahan (deployment) sumber daya yang fleksibel. Kuantitas dan kualitas tujuan, sasaran dan target selalu disesuaikan dengan konteks bisnis yang dibentuk lingkungan dan kemampuan organisasi dalam mengelola ketidak pastian yang diciptakannya. Sejak tahun 2000, hampir semua sistem manajemen untuk meyakinkan pencapaian organisasi, mengunakan risk assessment sebagai dasar operasinya. Di lingkungan komersial, populer misalnya ISO 31000 dan ERM COSO. Di sektor publik, Sistem Pengendalian Internal Pemerintah (SPIP) yang ditetapkan dengan PP 60 tahun 2008, adalah sistem manajemen berbasis asesmen risiko.
Dengan digunakannya sistem manajemen berbasis risiko, audit berbasis pengendalian (control based audit), tentu tidak lagi cocok untuk digunakan sebagai kriteria untuk menilai kinerja organisasi. Cara organisasi memandang dan merespon risiko merupakan keputusan yang dapat dipertanyakan. Mereka yang memiliki maturitas manajemen risiko yang tinggi, selalu mampu melihat terdapatnya peluang dalam setiap ketidak pastian.
Manajemen menggunakan 2 (dua) jenis pemantauan untuk menguji efektivitas “pengendalian” yang digunakan untuk mencapai tujuan. Yang pertama dan utama adalah review berkesinambungan (“ongoing review”), karena umumnya dilaksanakan dengan cara melekatkannya pada proses operasi agar berlangsung seiring dengan proses. Sementara yang kedua dilaksanakan sesuai kebutuhan dan disebut sebagai review terpisah (“separated review”), yang dilaksanakan secara independen dari manajemen operasi.
Dalam praktik, ternyata ongoing review adalah upaya penyempurnaan pengendalian oleh manajemen sendiri. Sementara separated review merupakan bagian dari evaluasi atas keandalan pengendalian yang dilaksanakan auditor internal.
Menjadi sayang bahwa auditor internal, profesional yang secara khusus darahkan untuk menjadi evaluator atas keandalan penerapan sistem manajmen, menjadi tidak terlibat pada sebagian upaya penyempurnaannya. Oleh karena itu, praktik terbaik audit internal mengijinkan dilaksanakannya penugasan konsultasi disamping penugasan asurans, agar pengembangan pengendalian menjadi berkesinambungan dan terpadu.
Apakah organisasi Anda telah melakukan “risk based audit”?
Edi Timbul Hardiyanto, Senior Partner