Legitimasi Peranan Internal Audit dalam rangka Penerapan Manajemen Risiko Korporasi

Menurut IIA (The Institute of Internal Auditors) on “The Role of Internal Auditing in Enterprise-wide Risk Management”, September 29, 2004


IA Role in ERM Implementation based on IIA

Peranan Internal Audit di dalam Penerapan Manajemen Risiko Korporasi

  • Memberikan jaminan yang memadai bahwa proses manajemen risiko yang telah berjalan sesuai dengan metodologi dan pendekatan yang telah ditetapkan oleh organisasi
  • Memberikan jaminan yang memadai bahwa risiko telah dievaluasi dengan metodologi dan pendekatan benar
  • Melakukan evaluasi kesesuaian atas proses manajemen risiko yang telah berjalan dengan metodologi dan pendekatan yang telah ditetapkan oleh organisasi
  • Melakukan evaluasi pengendalian internal atas pelaporan risiko-risiko kunci yang teridentifikasi dan diukur
  • Melakukan penelaahan pengelolaan risiko-risiko kunci sesuai dengan rencana mitigasi risiko yang telah ditetapkan

Peranan Internal Audit yang dapat dilakukan hanya pada tahap awal Penerapan Manajemen Risiko Korporasi

(bilamana penerapan manajemen risiko sudah berjalan, internal audit tidak boleh melakukan hal-hal berikut)

  • Memberikan fasilitasi proses identifikasi dan penilaian atas risiko kepada pemilik risiko di organisasi
  • Memberikan fasilitasi proses pengelolaan risiko kepada pemilik risiko di organisasi
  • Melakukan koordinasi aktivitas ERM
  • Melakukan konsolidasi pelaporan atas risiko
  • Memastikan dan mengembangkan kerangka kerja ERM yang sesuai dengan kebutuhan organisasi
  • Membangun perintis awal yang akan bertanggung jawab dalam penerapan ERM selanjutnya di organisasi
  • Mengembangkan strategi pengelolaan risiko di organisasi dan mendapatkan persetujuan Direksi maupun dewan Komisaris atas strategi yang telah dikembangkan

Peranan yang tidak boleh dilakukan oleh Internal Audit

(disarankan untuk dilakukan oleh unit manajemen risiko sebagai unit yang independen)

  • Menetapkan batasan dan selera risiko (risk appetite)
  • Memastikan terjadinya proses manajemen risiko di organisasi
  • Melakukan validasi atas risiko yang telah teridentifikasi dan terukur
  • Peranan yang tidak boleh dilakukan oleh Internal Audit ataupun unit manajemen risiko
  • Melakukan pengambilan keputusan atas bentuk pengelolaan/respon risiko
  • Menerapkan respon risiko dengan mengatasnamakan manajemen
  • Mengambil bentuk pertanggungjawaban atas penerapan manajemen risiko

The Linkage on Essential Role of RM and IA in ERM Implementation

Most of the initiation of ERM implementation start from internal audit since the Committee of Sponsoring Organizations of the Treadway Commission (COSO) released its Enterprise Risk Management–Integrated Framework in September 2004. Based on COSO ERM, internal audit play an important role in monitoring ERM, but do NOT have primary responsibility for its implementation or maintenance. Internal audit assist management and the board or audit committee ONLY in the process of monitoring, evaluating, examining, reporting, recommending improvements.  They support for establishing enterprise risk management groundwork in the organization and should be continued by the risk management group. The issue sometimes comes up from the transition from IA to RMG since it could be critical to ensure that the audit function takes on an appropriate level of responsibility for ERM.

Illustration below is described the linkage between the role of Risk Manager and Internal Auditor.

RMU vs IA Role in ERM

The interlink roles

In regard to ERM implementation there are some roles that need to be applied with cautious by internal audit function such as facilitating identification and evaluation of risks, coaching management in responding to risks, coordinating ERM activities, consolidating the reporting on risks, maintaining and developing the ERM framework, championing establishment of ERM, developing risk management strategy for board approval.

Finally, the main role of RMG that cannot be undertake by IA are setting the risk appetite, imposing risk management processes, management assurance on risks, taking decisions on risk responses, implementing risk responses on management’s behalf, accountability for risk management. ©DC_2009