Implementasi
Implementasi Risk Based Internal Audit (RBIA) terdiri dari 3 tahap, antara lain:
Tahap pertama, mengukur risk maturity dari organisasi.
(Business Lounge – Risk Management)- Pertama-tama, untuk bisa mengukur risk maturity organisasi Anda harus bertemu dengan para manajer senior dan dewan direksi, untuk mengetahui proses-proses apa saja yang telah dilakukan dalam rangka meningkatkan risk maturity selama ini. Contoh prosesnya antara lain training, workshop, kuesioner maupun interview dengan risk manager. Dari sini, seharusnya kemudian dapat dievaluasi mengenai bagaimana pemahaman organisasi mengenai risiko dan cara mengelolanya.
Melakukan audit berbasis risiko ini merupakan langkah antisipasi risiko yang tepat yang sudah dilakukan sejak dini. Langkah berikutnya yang cukup penting adalag kumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan organisasi, proses dalam mengukur risiko, risk appetite yang dianut perusahaan, bagaimana manajemen mempertimbangkan risiko, dan lainnya.
Framework dari pendekatan manajemen risiko yang digunakan bakal menentukan pendekatan audit, oleh karena itu tahap pertama dalam RBIA adalah menentukan level risk maturity dari organisasi. Audit dilakukan terhadap pengukuran risk maturity organisasi, juga ambil kesimpulan mengenai level risk maturity yang sekarang berlaku di organisasi. Lakukan perbandingan antara level tersebut dengan yang dilaporkan oleh manajemen.
Langkah selanjutnya, yakni membuat rencana audit, bakalan tergantung pada level risk maturity dari organisasi. Apakah sudah risk enabled, risk managed, risk defined, atau baru risk aware bahkan risk naïve. Risk defined, risk managed, hingga risk enabled merupakan level dimana pengelolaan risiko sudah cukup memadai, sementara risk aware dan risk naïve belum.
Kedua, mengumpulkan daftar risiko dan audit, serta membuat rencana audit.
Sebelum mengimplementasikan RBIA, level risk maturity organisasi minimal harus risk defined, jadi mereka yang di level risk naïve atau risk aware harus terlebih dulu memperbaiki level risk maturity-nya. Tanpa identifikasi risiko (risk register) yang memadai, maka tidak mungkin audit bisa dijalankan.
Pertama-tama, lakukan risk register, atau identifikasi dan pendaftaran risiko bagi risiko-risiko yang berada di luar risk appetite, yang sebelumnya telah didefinisikan. Selanjutnya, dari daftar risiko tersebut, lakukan filter terhadap risiko mana saja yang tidak memerlukan atau memungkinkan audit. Risiko-risiko yang belum difilter inilah yang kemudian akan masuk dalam rencana audit.
Selanjutnya lakukan pengelompokan terhadap risiko, yang bisa dibagi antara lain berdasarkan tujuan, pemilik risiko, unit bisnis, proses, maupun jenis. Selanjutnya, tetapkan jenis-jenis audit yang bakal dilakukan bagi risiko-risiko tersebut (audit universe).
Kemudian buat rencana audit tahunan, berdasarkan control score dari risiko. Jika control score tinggi, maka dilakukan pendekatan assurance saja untuk memastikan bahwa risiko dikelola dengan baik. Sementara itu, jika control risk rendah, maka diperlukan pendekatan konsultasi untuk membantu manajemen dalam melakukan identifikasi, pengukuran, pengelolaan dan pengawasan risiko.
Dalam rencana audit tersebut juga disertakan informasi mengenai alokasi sumber daya audit, seperti durasi audit, jumlah karyawan yang diperlukan, dan detail lainnya. Jika sudah selesai, maka rencana audit bisa dipublikasikan.
Ketiga, melakukan audit individual untuk menjamin bahwa manajemen risiko sudah berjalan dengan baik. Tujuan dari dilakukannya audit individual adalah untuk memastikan bahwa risiko benar-benar dikelola dengan baik, dan melaporkan jika sebaliknya.
Pendekatan dilakukan berdasarkan level risk maturity dari organisasi.
Jika level risk maturity merupakan risk managed atau risk enabled, maka diperlukan suatu audit yang mendetail supaya tidak ada risiko yang terlewatkan ataupun kontrol yang kurang memadai
Jika level risk maturity merupakan risk defined, maka diperlukan audit yang memverifikasi bahwa proses manajemen risiko berjalan dengan efektif, serta audit mendetail yang memastikan bahwa seluruh risiko telah teridentifikasi dan telah dilakukan pengujian terhadap kontrol
Jika level risk maturity merupakan risk naïve atau risk aware, audit berbasis risiko mungkin bisa dilakukan, namun manajemen butuh training dan workshop terlebih dulu untuk bisa melakukan identifikasi risiko.
Setelah audit dilakukan, kemudian diskusikan temuan-temuan yang diperoleh serta buat laporan audit. Jika ada temuan baru, maka diskusikan dengan manajer untuk meng-update daftar risiko dan audit (risk & audit universe). Ambil kesimpulan mengenai hasil audit berbasis risiko tersebut, yakni opini mengenai apakah risiko dalam batasan yang ditentukan, dan sudah dikelola dengan memadai, untuk memastikan bahwa tujuan organisasi dapat dicapai dengan baik.
Dengan melakukan audit berbasis risiko, maka organisasi dapat memastikan bahwa kontrol internal yang dilakukannya berjalan dengan baik. Pengelolaan risiko yang terjamin menjadikan organisasi menghindari risiko yang berlebihan, sehingga tujuan organisasi bisa tercapai. Jika setiap perusahaan melakukan audit berbasis risiko ini, tentunya kita harapkan krisis finansial tidak akan terulang kembali di kemudian hari.
pict.: blog.watchguard.com
(RP/IC/BL)