Global IA Standar: Standar 11.5 Mengomunikasikan Penerimaan Risiko

Leave a Comment / By /

Tulisan ini membahas Standar 11.5 Mengomunikasikan Penerimaan Risiko, Prinsip 11 Berkomunikasi Secara Efektif, Domain IV Mengelola Fungsi Audit Internal. Sebagaimana dalam Global Internal Audit Standar (GIAS) yang diterbitkan oleh The Institute of Internal Auditors (IIA) pada tahun 2024.

Dalam pelaksanaan audit internal, salah satu tugas penting chief audit executive (CAE) adalah memastikan bahwa risiko yang diterima oleh manajemen tidak melebihi selera risiko atau toleransi risiko organisasi. Standar 11.5 mengatur bagaimana CAE harus mengomunikasikan tingkat risiko yang tidak dapat diterima kepada manajemen senior dan dewan, sehingga organisasi dapat mengambil tindakan yang tepat untuk mengelola risiko secara efektif dan menjaga tata kelola yang baik.

Photo by Gemini

Persyaratan

  • CAE harus mengomunikasikan tingkat risiko yang tidak dapat diterima.
  • Ketika CAE menyimpulkan bahwa manajemen telah menerima tingkat risiko yang melebihi selera risiko atau toleransi risiko organisasi, hal tersebut harus didiskusikan dengan manajemen senior.
  • Jika CAE menentukan bahwa permasalahan tersebut belum diselesaikan oleh manajemen senior, permasalahan tersebut harus disampaikan kepada dewan.
  • Bukan tanggung jawab CAE untuk mengatasi risiko tersebut.

Pertimbangan Penerapan

  • CAE memperoleh pemahaman tentang risiko organisasi dan toleransi risiko melalui diskusi dengan dewan dan manajemen senior, hubungan dan komunikasi berkelanjutan dengan pemangku kepentingan, dan hasil jasa audit internal.
  • Jika organisasi mempunyai proses manajemen risiko formal, CAE sebaiknya memahami kebijakan manajemen untuk penerimaan risiko.
  • CAE dapat mendiskusikan dan meminta persetujuan dewan mengenai metodologi untuk mendokumentasikan dan mengomunikasikan penerimaan risiko yang melebihi selera risiko atau toleransi risiko.
  • Proses manajemen risiko dapat mencakup ketepatan waktu komunikasi, hirarki pelaporan, dan persyaratan konsultasi dengan bagian hukum atau kepala kepatuhan organisasi.
  • CAE sebaiknya mendokumentasikan diskusi dan tindakan yang diambil, termasuk deskripsi risiko, alasan perhatian/fokus, alasan manajemen untuk tidak melaksanakan rekomendasi auditor internal atau tindakan lainnya, nama individu yang bertanggung jawab untuk menerima risiko, dan tanggal diskusi.
  • CAE mungkin menyadari bahwa manajemen telah menerima risiko dengan meninjau tanggapan manajemen terhadap temuan penugasan dan memantau kemajuan manajemen dalam menerapkan rekomendasi dan rencana perbaikan.
  • Ketika risiko melebihi selera risiko, dampaknya dapat mencakup:
    • Membahayakan reputasi organisasi.
    • Kerugian terhadap karyawan organisasi atau pemangku kepentingan lainnya.
    • Denda peraturan yang signifikan, pembatasan kegiatan bisnis, atau sanksi finansial atau kontrak lainnya.
    • Salah saji yang material.
    • Benturan kepentingan, fraud, atau tindakan ilegal lainnya.
    • Hambatan signifikan untuk mencapai tujuan strategis.
  • Persyaratan standar ini hanya diterapkan ketika CAE tidak dapat mencapai kesepakatan dengan manajemen yang bertanggung jawab untuk mengelola risiko. Jika risiko yang diidentifikasi sebagai risiko yang tidak dapat diterima masih belum terselesaikan setelah berdiskusi dengan manajemen senior, chief audit executive akan menyampaikan perhatian/fokus tersebut kepada dewan.

Contoh Bukti Kesesuaian

Beberapa contoh bukti kesesuaian yang dapat digunakan untuk mendemonstrasikan penerapan Standar 11.5:

  • Dokumentasi diskusi dan kesepakatan dengan dewan mengenai metodologi untuk mengomunikasikan permasalahan risiko.
  • Dokumentasi diskusi mengenai risiko dan tindakan yang direkomendasikan kepada manajemen operasional dan manajemen senior, termasuk risalah rapat.
  • Dokumentasi yang menjelaskan permasalahan risiko dan tindakan audit internal yang diambil untuk mengatasi permasalahan tersebut, termasuk proses peningkatan diskusi dari manajemen operasional ke manajemen senior.
  • Dokumentasi dari pertemuan dengan dewan, termasuk sesi khusus atau tertutup di mana perhatian/fokus tersebut disampaikan kepada dewan.

Penutup

Mengomunikasikan penerimaan risiko yang melebihi selera risiko atau toleransi risiko organisasi adalah bagian penting dari peran chief audit executive dalam menjaga tata kelola dan manajemen risiko yang efektif. Dengan menerapkan Standar 11.5 secara konsisten, CAE dapat memastikan bahwa risiko signifikan yang belum diatasi oleh manajemen senior dapat diketahui dan dipertimbangkan oleh dewan, sehingga organisasi dapat mengambil langkah yang tepat untuk melindungi kepentingan dan tujuan strategisnya. Dokumentasi yang baik atas proses komunikasi dan eskalasi risiko akan memperkuat asesmen kualitas dan kepercayaan pemangku kepentingan terhadap fungsi audit internal.

Salam sukses bermanfaat…

*) Referensi: GIAS IIA

*) Dielaborasi dengan bantuan GenAI

Related Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top