Paradigm Paralysis in ERM & Internal Audit

diaz priantaraSaya membaca artikel atau thought yang digagas oleh Tim Leech dan Lauren Hanlon dengan judul Paradigm Paralysis in ERM & Internal Audit. Saya pakai judul tersebut pada artikel ini untuk membahas dan memberikan pencerahan kepada publik tentang isu yang menggelitik ini. Tim menyebutnya sebagai kelumpuhan (paralysis) paradigma enterprise risk management (ERM) dan audit intern. Tentu saja, di artikelnya Tim mengkritisi praktik ERM. Ia berangkat dari asumsi suatu korporasi telah menerapkan manajemen risiko (MR).

Kelemahan umum pada praktik MR di suatu korporasi adalah: (1) MR yang dilakukan bersifat statis berkala seperti pemutakhiran profil risiko dilakukan setiap enam bulan atau setahun sekali. Itupun banyak yang masih berifat risiko ketidakpatuhan dan fokus pada control-centric; (2) ketika profil risiko tersusun, pengendalian intern sebagai wujud respons risiko masih dipahami sebagai one-on-one atas risiko individual. Akan lebih baik bagi penanggung jawab bisnis atau operasional memperoleh ikhtisar pengendalian kunci atau kritikal secara lengkap sebagai apa yang harus menjadi perhatiannya pada suatu periode risiko; (3) kerangka kerja dan metodologi identifikasi dan penilaian risiko yang dibuat oleh unit MR tidak sejalan dari metodologi yang digunakan audit intern dan pemangku assurance lainnya di internal korporasi sehingga MR yang terintegrasi atau yang bersifat enterprise tidak terealisir.

Selain kelemahan pada praktik MR yang sudah dijelaskan di muka, ada paradigma MR dan audit intern yang menurut Tim Leech tidak berjalan atau lumpuh, yang akan dijelaskan di bawah ini:

Kebanyakan paradigma MR adalah risk-centric yang melihat risiko terpisah dari tujuan value-creation dan value-preservation. Malahan, pendekatan risk-centric ini lebih banyak kepada value-preservation dari pada menyeimbangkan tujuan value-creation dan value-preservation. Tujuan value-creation adalah membentuk peningkatan nilai untuk pemegang saham, seperti bagaimana meraih pangsa pasar yang ditargetkan. Tujuan value-preservation adalah sebaliknya yaitu melindungi dari semua potensi yang mengikis nilai untuk pemegang saham, misal fraud, pemborosan, ketidakpatuhan, perbuatan melawan hukum.

Dalam penyusunan profil atau peta risiko masih berbasis proses bisnis bukan mengacu pada tujuan strategis korporasi yang hendak dicapai pada suatu tahun/periode sehingga profil risiko yang tersusun masih berisikan tujuan value-preservation atau lebih dikenal sebagai risk register daripada objective register.

Tim Leech menggagas agar dibuat laporan profil risiko yang menyeimbangkan tujuan value-creation dan value-preservation atau disebut objective register. Untuk mengubah paradigma ini, manajemen mengambil peran pemilik risiko sekaligus menjadi penilai atas keseluruhan status risiko residual atau komposit untuk masing-masing tujuan strategis korporasi.

Paradigma yang keliru lainnya adalah pandangan bila suatu unit kerja secara terbuka melaporkan risiko-risiko yang serius dan signifikan maka unit kerja itu pasti akan masuk menjadi unit kerja dengan ranking tertinggi untuk diaudit. Hal ini terkesan sebagai suatu hukuman atas self assessment yang jujur sehingga muncul keengganan unit-unit kerja untuk apa adanya karena tentu saja kehadiran audit intern masih dianggap sebagai stereotype yang tidak menyenangkan dan tidak memberikan nilai tambah kepada yang teraudit.

Paradigma ini harus diubah. Tim Leech menyatakan bahwa pemimpin unit kerja pemilik risiko yang memberikan laporan yang jujur yaitu status risiko residual atau komposit yang negatif (existing control tidak sebanding dengan risiko melekatnya) harus diberikan penghargaan, bukan hukuman oleh audit intern dan manajemen.

Konsep three lines of defense yang di-endors oleh IIA dan regulator sebagai kerangka kerja tata kelola risiko, menempatkan manajemen dan dewan komisaris sebagai penerima laporan saja atas risiko yang bersifat hazard dan tidak aktif serta tidak menjadi peserta aktif dalam proses MR. Tim Leech menggagas five lines of defense di mana manajemen dan dewan komisaris eksplisit menjadi bagian dari lini pertahanan risiko. Artinya, manajemen mengambil peran pemilik risiko sekaligus menjadi penilai atas keseluruhan status risiko residual atau komposit untuk masing-masing tujuan strategis korporasi.

Pemahaman atau paradigma yang menjadi mindset ini tidak lepas dari kebiasaan dan konsep yang sudah mendalam, termasuk materi pendidikan formal di kampus dan  pendidikan informal bahwa ERM adalah pengelolaan risik yang value-preservation dengan menggunakan risk register sebagai media pelaporan dan pengawasan.

Risiko kemudian dikaitkan dengan control-centric dan kepatuhan. Menurut Tim Leech, COSO dan ISO31000 masih menekankan pada control-centric. Menurut Tim Leech, risk register sebaiknya digantikan oleh objective register. Namun disadari, selain belum umum, terdapat kelangkaan staf MR dengan pengetahuan dan keterampilan implementasi objective-centric dan objective register.

IIA belum secara aktif mendukung perubahan metode ERM tradisional yang risk-centrc dan control and process-centric ke pendekatan management-driven, objective-centric risk. Pedoman IIA atas evaluasi MR belum memasukkan penilaian risiko yang terhubung dengan tujuan top value creation dan value preservation secara menyeluruh.

Auditor intern dianjurkan memasukkan objective register sebagai dasar untuk menentukan audit universe-nya. Konsekuensinya, auditor intern harus mengubah mindset, pengetahuan, dan keterampilannya yang selama ini adalah menilai atau memberikan pendapat atas kecukupan dan keefektifan pengendalian intern (value preservation) menjadi pendapat atas keandalan self assessment manajemen atas objective-centric atau pencapaian tujuan strategis organisasi (value creation).

Dapat disimpulkan bahwa konsep-konsep yang telah dijelaskan di atas dapat dipertimbangkan sebagai suatu wacana pemikiran (thought) alternatif dari konsep yang sudah dianggap pakem. Wacana pemikiran tersebut adalah five lines of defense yang eksplisit memasukkan manajemen dan dewan komisaris sebagai pemilik dan penilai risiko residual atas tujuan strategis korporasi, pergeseran ke arah objective- centric dan objective register daripada hanya risk register yang klasik, serta tujuan audit intern yang titik beratnya pada value preservation yaitu kecukupan dan keefektifan pengendalian intern menjadi opini atas objective register yang notabene adalah kecukupan MR untuk mencegah risiko tujuan strategis korporasi tidak tercapai dan peluang-peluang agar tujuan strategis korporasi tercapai sehingga meningkatkan nilai bagi pemegang saham (value creation).

Penulis: Diaz Priantara, Board of IIA Indonesia & ACFE Indonesia Chapter; anggota IAI, IAPI, IKPI; Dosen Universitas Mercu Buana

Tulisan ini sudah dimuat sebelumnya di Warta Ekonomi (http://wartaekonomi.co.id/read118354/paradigm-paralysis-in-erm–internal-audit.html) pada Minggu, 30 Oktober 2016.
Categories: News

Subscribe to our newsletter

IIA Indonesia