Академический Документы
Профессиональный Документы
Культура Документы
PEMBAHASAN
bagi pencapaian tujuan usaha. Tindakan yang telah dilakukan Dewan Standar IIA telah menjadi
pedoman bagi profesi menuju keterlibatan yang lebih besar dalam lingkungan resiko usaha
(Practice Advisory 10.A1-1 dan standar 2210.A1, “penentuan resiko dalam rencana
penugasan”).
Standar baru-baru ini mengharapkan kecermatan professional- hal yang diharapkan dari
seorang auditor internal yang kompeten dan berhati-hati. Standar ini tidak berarti bahwa auditor
internal menjadi seorang yang maha tahu atau menjadi pelindung atas semua kesalahan yang
mungkin terjadi. Standar mensyaratkan kecermatan kecermatan yang wajar dan ketaatan bukan
kinerja yang bebas salah atau luar biasa.
Kecermatan professional mencakup atas ketidakwajaran dan ketidakpatuhan yang
material. Kapan pun auditor internal melakukan audit, mereka harus menyadari resiko jebakan
potensial-bagaikan batu yang dibawahnya terdapat kalajengking berbisa yang siap menerkam.
Yang dibutukan adalah kompetensi professional, bukan kehati-hatian dan kecakapan tak
terbatas. Orang awam mungkin tidak masalah bila pemesanan dan penerimaan persediaan
dilakukan oleh orang yang sama, tetapi auditor internal harus segera menyadari resiko bawaan
yang mungkin terjadi dari aktivitas tersebut.
Auditor internal akan mampu dengan jelas mengidentifikasi resiko dalam beberapa
aktivitas. Kesalahan yang disengaja bukan satu-satunya atau yang paling berbahaya bagi
organisasi. Catatan atau transaksi diselewengkan lebih karena kesalahan pegawai, bukan
karena ketidakjujuran atau niat jahat. Mereka mungkin tidak mengikuti aturan, tidak
memahami perintah, atau tidak berhati-hati; dan mungkin tidak diawasi dengan layak.
Definisi ERM ini sedikit lebih kompleks daripada definisi COSO tentang pengendalian
internal, seperti yang dibahas pada Bab 4. Kerangka kerja ERM memperkenalkan beberapa
konsep dan terminologi baru yang akan digunakan untuk mempertimbangkan manajemen
risiko serta beberapa konsep baru yang telah digunakan oleh spesialis manajer risiko di masa
lalu, tetapi kurang akrab dengan banyak auditor internal. Konsep ERM yang lebih baru ini
harus segera menjadi bagian dari kosa kata auditor internal modern:
ERM adalah suatu proses. Sebagaimana ditekankan di seluruh buku ini, auditor internal
harus berpikir dalam hal proses, bukan aplikasi atau sistem. Proses bisnis merupakan
cara yang efektif untuk memikirkan kegiatan bisnis dengan titik awal dan akhir yang
ditentukan. Proses mendorong operasi internal, merampingkan interaksi mitra, dan
menetapkan aturan bisnis untuk praktik terbaik. Proses yang terdefinisi dengan baik
membentuk dasar bagi prosedur dan implementasi teknologi yang efektif. Di masa lalu,
beberapa orang memikirkan langkah-langkah untuk membayar tagihan vendor hanya
dalam hal sistem pembayaran hutang tradisional. Namun, memikirkan kegiatan ini dalam
halpembayaran vendor proses sering dimulai dengan penerimaan dan persetujuan faktur
vendor, pergi ke sistem hutang akun otomatis, dan berakhir dengan penutupan dan
penerbitan cek. Sama seperti proses pembayaran vendor lebih dari sekedar sistem
hutang, ERM harus dianggap bukan sebagai satu sistem atau prosedur tetapi sebagai
proses keseluruhan organisasi.
ERM bukanlah satu peristiwa atau keadaan, tetapi serangkaian tindakan yang
mencakup berbagai kegiatan entitas. Karena fokus pada risiko, tindakan ini harus
meresap dan melekat dalam cara organisasi dikelola. Biaya dan pengendalian biaya harus
menjadi bagian dari pemikiran proses ERM ini. Menambahkan proses baru, dengan
tujuan untuk meningkatkan manajemen risiko, dapat memiliki implikasi penting dalam
pasar yang sangat kompetitif yang dihadapi banyak organisasi. Menambahkan prosedur
baru yang terpisah dari yang ada menambah biaya, dan organisasi harus berusaha untuk
membangun proses ERM ke dalam struktur operasi yang ada.
ERM dipengaruhi oleh orang-orang. Orang-orang di organisasi mana pun — dewan
direktur, manajemen, karyawan, dan pemangku kepentingan terkait — semuanya secara
signifikan memengaruhi proses ERM dengan apa yang mereka lakukan dan katakan.
Tindakan orang di semua tingkatan membangun misi, strategi, dan tujuan organisasi
yang efektif. Meskipun direksi terutama memberikan pengawasan, mereka membawa
arahan dan menyetujui strategi, transaksi tertentu, dan kebijakan. Sementara semua
karyawan dan pemangku kepentingan bertanggung jawab untuk menerapkan dan
mengoperasikan proses ERM yang efektif, dukungan kuat dari dewan dan manajemen
senior sangat penting. Rangkaian pesan “nada di atas” yang kuat akan memastikan
keberhasilan proses ERM organisasi.
Tanpa pesan yang kuat itu, para sinis dalam organisasi dapat melihat pesan terkait ERM
hanya sebagai "slogan bulan ini" dan cenderung mengabaikannya.
Proses ERM tidak akan pernah efektif jika hanya disampaikan sebagai
serangkaian slogan yang terdengar kosong atau sebagai manual prosedur tebal yang
diletakkan di rak buku tetapi menerima sedikit perhatian lebih lanjut. Lebih buruk lagi
adalah bagan Visio yang sangat kompleks dan spreadsheet Excel yang terkadang
dipersiapkan untuk mendefinisikan suatu proses. Semua anggota organisasi perlu
memahami pentingnya manajemen risiko di seluruh organisasi dan dalam fungsi spesifik
mereka sehubungan dengan risiko organisasi tersebut. Proses manajemen risiko tidak
akan pernah efektif kecuali jika dianut oleh sekelompok besar orang dalam organisasi.
ERM harus diterapkan dalam menetapkan strategi organisasi. Organisasi sering
mendefinisikan dirinya sendiri melalui pernyataan misi formal dan juga menetapkan
tujuan strategis, tujuan tingkat tinggi yang selaras dengan dan mendukung misi ini. Ada
juga kebutuhan untuk menetapkan strategi untuk mencapai tujuan tersebut, dengan
mempertimbangkan risiko relatif terhadap strategi alternatif apa pun. Tujuan-tujuan ini
harus mengalir ke seluruh organisasi, ke unit bisnis, divisi, dan prosesnya.
ERM harus diterapkan di seluruh organisasi. Aspek ERM ini hampir tersirat dalam
elemen lain dari definisi ERM. Untuk menjadi program manajemen risiko yang
konsisten, ERM harus diterapkan secara konsisten di semua tingkatan organisasi.
Tindakan yang terjadi di tingkat kantor perusahaan — sering disebut "tingkat-C" - juga
harus diterapkan di tingkat yang kurang senior. Pendekatan implementasi