Tulisan ini membahas Standar 9.1 Memahami Proses Tata Kelola, Manajemen Risiko, dan Pengendalian, Prinsip 9 Merencanakan Secara Strategis, Domain IV Mengelola Fungsi Audit Internal. Sebagaimana dalam Global Internal Audit Standar (GIAS) yang diterbitkan oleh The Institute of Internal Auditors (IIA) pada tahun 2024.
Dalam rangka memastikan fungsi audit internal dapat memberikan nilai tambah dan mendukung pencapaian tujuan organisasi, chief audit executive (CAE) diwajibkan untuk memahami secara mendalam proses tata kelola, manajemen risiko, dan pengendalian yang berlaku di organisasi. Standar 9.1 merupakan fondasi penting dalam perencanaan strategis audit internal, karena pemahaman yang komprehensif atas ketiga proses tersebut akan menentukan efektivitas strategi dan rencana audit internal yang dikembangkan.
Persyaratan
- CAE harus memahami proses tata kelola organisasi, manajemen risiko, dan pengendalian sebagai dasar pengembangan strategi dan rencana audit internal.
- Dalam memahami proses tata kelola, CAE harus mempertimbangkan:
- Penetapan tujuan strategis dan pengambilan keputusan strategis serta operasional.
- Pengawasan atas manajemen risiko dan pengendalian.
- Promosi budaya etika.
- Manajemen kinerja dan akuntabilitas.
- Struktur fungsi manajemen dan operasional.
- Komunikasi informasi risiko dan pengendalian ke seluruh organisasi.
- Koordinasi aktivitas dan komunikasi antara dewan, penyedia jasa asurans internal dan eksternal, serta manajemen.
- Dalam memahami proses manajemen risiko dan pengendalian, CAE harus mempertimbangkan:
- Identifikasi dan penilaian risiko signifikan.
- Pemilihan proses pengendalian yang sesuai.
- Pengelolaan area risiko utama, seperti:
- Keandalan dan integritas informasi keuangan dan operasional.
- Efektivitas dan efisiensi operasi dan program.
- Pengamanan aset.
- Kepatuhan terhadap peraturan perundang-undangan.
Pertimbangan Penerapan
- CAE sebaiknya mengumpulkan informasi secara luas dan komprehensif dari berbagai sumber, seperti:
- Diskusi dengan dewan dan manajemen senior.
- Reviu notulensi dan presentasi dewan serta manajemen senior.
- Komunikasi dan kertas kerja dari penugasan audit internal.
- Asesmen dan laporan dari penyedia jasa asurans dan advisori lainnya.
Memahami Proses Tata Kelola
- Memahami prinsip, kerangka kerja, dan model tata kelola serta manajemen risiko yang diterima secara global, serta panduan profesional khusus industri/sektor.
- Mengidentifikasi dan mengukur kematangan proses tata kelola dan manajemen risiko organisasi.
- Meninjau piagam dan agenda dewan/komite serta notulensi rapat untuk mendapatkan wawasan tentang peran dewan dalam tata kelola.
- Berbicara dengan individu yang memegang peran penting dalam tata kelola (misal: ketua dewan, chief ethics officer, chief compliance officer, chief risk officer).
- Meninjau laporan atau hasil reviu tata kelola yang telah diselesaikan sebelumnya.
Memahami Proses Manajemen Risiko
- Mengumpulkan informasi untuk menilai kematangan proses manajemen risiko organisasi, termasuk penetapan selera risiko dan penerapan strategi/kerangka kerja manajemen risiko.
- Diskusi dengan dewan dan manajemen senior untuk memahami perspektif dan prioritas mereka terkait manajemen risiko organisasi.
- Meninjau asesmen risiko yang baru saja diselesaikan dan komunikasi terkait dari manajemen senior, auditor eksternal, regulator, dan penyedia jasa asurans lainnya.
Memahami Proses Pengendalian
- Memahami kerangka pengendalian yang diterima secara global dan kerangka pengendalian yang digunakan oleh organisasi.
- Mengembangkan dan memelihara pemahaman yang luas tentang proses pengendalian organisasi dan efektivitasnya.
- Mengembangkan matriks risiko dan pengendalian untuk:
- Mendokumentasikan risiko yang teridentifikasi yang dapat mempengaruhi pencapaian tujuan organisasi.
- Menunjukkan signifikansi relatif dari risiko.
- Memahami pengendalian utama dalam proses organisasi.
- Memahami pengendalian mana yang telah direviu kecukupan desainnya dan dianggap beroperasi sebagaimana mestinya.
- Pemahaman menyeluruh tentang proses tata kelola, manajemen risiko, dan pengendalian memungkinkan CAE untuk mengidentifikasi dan memprioritaskan peluang pemberian jasa audit internal yang dapat meningkatkan keberhasilan organisasi.
- Peluang yang teridentifikasi menjadi dasar strategi dan rencana audit internal.
Contoh Bukti Kesesuaian
Bukti bahwa persyaratan Standar 9.1 telah diterapkan dapat berupa:
- Dokumentasi permintaan, pengumpulan, reviu, dan pertimbangan CAE atas kerangka kerja dan proses tata kelola, manajemen risiko, dan pengendalian yang digunakan organisasi.
- Piagam dewan dan komite organisasi.
- Asesmen terhadap undang-undang, peraturan, dan persyaratan lain terkait tata kelola, manajemen risiko, dan pengendalian.
- Reviu agenda dan risalah rapat dewan yang mendokumentasikan diskusi tentang proses tata kelola, manajemen risiko, dan pengendalian.
- Risalah rapat atau catatan diskusi antara CAE dan pihak-pihak dalam organisasi yang berperan dalam tata kelola dan manajemen risiko.
- Reviu terhadap pernyataan selera risiko organisasi atau dokumentasi komunikasi dengan dewan dan manajemen senior mengenai selera risiko dan toleransi risiko.
- Dokumentasi orientasi atau pelatihan staf audit internal mengenai proses tata kelola, manajemen risiko, dan pengendalian organisasi.
- Reviu strategi bisnis dan rencana bisnis.
- Reviu atas komunikasi dari regulator.
- Bukti pemahaman tentang matriks risiko dan pengendalian organisasi.
Penutup
Standar 9.1 menegaskan bahwa pemahaman mendalam atas proses tata kelola, manajemen risiko, dan pengendalian merupakan syarat utama bagi chief audit executive dalam merancang strategi dan rencana audit internal yang efektif. Dengan menerapkan persyaratan dan pertimbangan penerapan yang telah diuraikan, fungsi audit internal dapat berkontribusi secara optimal dalam pencapaian tujuan organisasi, pengelolaan risiko, dan peningkatan efektivitas pengendalian. Bukti-bukti kesesuaian yang terdokumentasi akan mendukung asesmen kualitas dan peningkatan berkelanjutan fungsi audit internal.
Salam sukses bermanfaat…
*) Referensi: GIAS IIA
*) Dielaborasi dengan bantuan GenAI
