BAB 2 TEKNOLOGI AUDIT
2.8 Tata Kelola, Manajemen Risiko, dan Kepatuhan (GRC)
Sponsor (COSO) dari Komisi Treadway memperkenalkan Kerangka Pengendalian Internal pada tahun 1992, lebih dari lima belas tahun yang lalu. Konsep manajemen risiko dan kepatuhan juga bukan hal baru, tetapi dekade terakhir telah melihat fokus yang jauh lebih besar pada risiko dan kepatuhan. Peraturan dan tindakan, seperti Sarbanes-Oxley dan Basel II, memiliki dampak besar pada organisasi secara global. Biaya kepatuhan saja telah meningka t tajam dengan volume peraturan dan regulasi yang terus meningkat. Namun, alasan utama kenaikan biaya tersebut adalah inefisiensi operasional: upaya untuk mematuhinya sering kali menghasilkan duplikasi karena mentalitas dan pendekatan yang silo. Hal ini menyebabkan banyak organisasi melihat melampaui persyaratan kepatuhan dan menganggap GRC sebagai proses yang terintegrasi.
Memperlakukan GRC sebagai satu proses membutuhkan analisis yang cermat untuk memastikan integrasi yang tepat, di seluruh fungsi organisasi. Biaya dan upaya menggabungkan kegiatan GRC sangat besar, dan meskipun manfaatnya signifikan, namun tidak mudah diperoleh. Penting untuk melibatkan orang-orang dalam organisasi dan menggunakan teknologi dan data yang konsisten. Selain itu, proses GRC harus cukup kuat untuk dilaksanakan, dan tetap cukup fleksibel untuk menyesuaikan dengan, persyaratan peraturan baru dan perubahan.
Banyak tantangan yang melekat dalam mengintegrasikan proses GRC. Salah satu langkah terpenting adalah memahami informasi apa yang perlu dikumpulkan dan dipantau untuk menerapkan proses GRC yang efektif dan efisien. Banyak perusahaan mengumpulkan dan menyimpan sejumlah besar data keuangan, sumber daya manusia, dan operasional.
Memahami informasi mana yang dapat mendukung upaya GRC yang sedang berlangsung bukanlah tugas yang mudah. Audit dapat memberikan kontribusi yang signifikan karena prosesnya akan membutuhkan kerja sama lintas fungsi dan pemahaman bersama tentang perlunya, dan pentingnya, GRC. Selain itu, auditor dapat membantu organisasi mengembangkan bahasa yang sama untuk GRC dan memastikan bahwa proses GRC digabungkan ke dalam proses bisnis inti dan proses pengambilan keputusan manajemen.
Menghubungkan GRC dan proses bisnis akan mengurangi pengumpulan data dan persyaratan analisis.
Secara tradisional, tata kelola, risiko, dan kepatuhan ditangani di departemen terpisah:
Hukum menangani risiko hukum dan peraturan; Chief Compliance Officer menangani masalah kepatuhan; Chief Financial Officer membahas risiko keuangan; dan Chief Risk Officer secara independen menangani manajemen risiko perusahaan. Hasilnya adalah duplikasi usaha yang signifikan—dengan beberapa proses dan prosedur dinilai tiga kali berbeda dan berbagai standar dan terminologi diterapkan oleh peninjau terpisah. Tetapi pendekatan terpadu untuk mengelola persyaratan GRC organisasi, dengan taksonomi umum dan jadwal tinjauan terpadu, tidak hanya dapat memaksimalkan proses GRC, tetapi juga dapat meningkatkan efisiensi dan efektivitas operasional. Manfaat tambahan dari pendekatan terintegrasi adalah perubahan dari pola pikir respons reaktif yang terdiri dari tim perakitan untuk merespons krisis tertentu menjadi proses proaktif yang berupaya mengidentifikasi potensi risiko, dan masalah kepatuhan serta pengendalian kritis, sebelum krisis terjadi.
Peran Audit Internal dalam Proses GRC
Proses GRC harus diaktifkan oleh rangkaian proses dan kontrol manajemen kolektif yang menetapkan arah, tujuan, rencana, dan prioritas strategis. Menerapkan pendekatan terintegrasi akan menyatukan audit internal, sumber daya manusia, keuangan, hukum, pengadaan, teknologi informasi, dan pemangku kepentingan lainnya dengan tujuan bersama:
mengidentifikasi potensi risiko dan kontrol yang diperlukan untuk mengelola risiko tersebut.
Proses GRC menyediakan fungsi pengawasan untuk memastikan bahwa arah, rencana, dan tindakan manajemen tepat dan bertanggung jawab; penilaian audit atas proses ini akan memberikan jaminan yang diperlukan bagi pemangku kepentingan internal dan eksternal, dan membantu organisasi memenuhi persyaratan peraturannya.
Audit internal melakukan penilaian independen terhadap proses GRC manajemen untuk menentukan apakah ada keyakinan memadai bahwa tujuan dan sasaran keseluruhan akan tercapai. Untuk melakukan ini, auditor internal harus mempertimbangkan area risiko yang muncul, efektivitas program pemantauan manajemen, dan kecukupan respons manajemen terhadap risiko yang teridentifikasi. Auditor internal harus menggunakan pendekatan sistematis untuk mengevaluasi proses manajemen risiko, pengendalian, dan tata kelola. Mereka juga harus menilai kinerja manajemen dalam melaksanakan tanggung jawab yang diberikan. Tujuan dari audit proses GRC adalah untuk memberikan jaminan yang masuk akal bahwa proses ini berfungsi sebagaimana dimaksud dan akan berkontribusi pada pencapaian tujuan dan sasaran organisasi. Audit GRC juga dapat memberikan rekomendasi yang dapat diterapkan kepada manajemen untuk meningkatkan efektivitas dan efisiensi operasi.
Sebagai tugas utama, audit harus berusaha untuk memastikan bahwa proses GRC terintegrasi dibangun di atas kerangka kerja dan proses yang ada daripada menciptakan prosedur dan proses baru. Biasanya, auditor telah memeriksa praktik manajemen risiko di berbagai bidang organisasi, baik selama audit atau sebagai bagian dari proses untuk mengembangkan rencana audit berbasis risiko tahunan. Pengetahuan tentang proses manajemen risiko yang ada penting untuk mengidentifikasi pemain kunci, area yang saat ini tidak dinilai, dan area duplikasi. Auditor dapat menggunakan pengetahuan ini untuk membantu manajemen dalam mengurangi resistensi terhadap perubahan dan duplikasi upaya dengan memastikan bahwa proses GRC selaras dengan kompetensi, proses, dan struktur organisasi yang ada.
Tinjauan audit dapat membantu memastikan bahwa kegiatan GRC menggunakan bahasa dan pendekatan yang sama yang mendorong integrasi dan kolaborasi. Misalnya, definisi yang konsisten untuk kemungkinan dan dampak akan memungkinkan perbandingan berbagai jenis risiko di seluruh organisasi. Audit juga dapat menilai sejauh mana proses GRC terintegrasi dan duplikasi dapat dihindari. Informasi risiko harus dibagikan dan dikomunikasikan ke semua area organisasi, mengurangi kesenjangan dan tumpang tindih.
Audit juga harus mengetahui jadwal kegiatan manajemen risiko. Menyinkronkan aktivitas risiko dengan siklus perencanaan dapat menghasilkan keputusan cerdas risiko yang lebih cepat yang didukung oleh informasi dan analisis yang tepat waktu. Terakhir, audit dapat membantu memastikan bahwa aktivitas GRC tertanam dalam proses dan prosedur bisnis utama. GRC seharusnya tidak menjadi kejahatan yang diperlukan atau langkah tambahan yang
diambil hanya untuk mematuhinya. Audit dapat menilai sejauh mana GRC telah dilembagakan dan merupakan bagian dari proses pengambilan keputusan dan perencanaan strategis.
Cakupan audit GRC memerlukan pendekatan disiplin yang berupaya memberikan jaminan mengenai kecukupan dan efektivitas proses manajemen risiko, pengendalian, dan tata kelola. Dalam menilai proses GRC, penting untuk mempertimbangkan definisi standar berikut untuk kecukupan dan efektivitas:
• Kecukupan. Mengacu pada rencana dan desain proses GRC. Kecukupan berusaha untuk menentukan apakah manajemen telah menerapkan rencana yang dirancang sedemikian rupa untuk memberikan jaminan yang masuk akal bahwa tujuan dan sasaran organisasi akan terpenuhi secara efisien dan ekonomis. Rencana tersebut harus memberikan jaminan bahwa aktivitas dan proses organisasi tepat waktu, akurat, dan ekonomis, dengan menggunakan sumber daya yang sepadan dengan eksposur risiko.
• Efektivitas. Mengacu pada sejauh mana proses GRC berkontribusi pada pencapaian tujuan dan sasaran organisasi. Efektivitas berusaha untuk mengukur dampak dari manajemen risiko, pengendalian, dan proses tata kelola terhadap kinerja organisasi secara keseluruhan.
Audit GRC berusaha memberikan jaminan yang wajar bahwa proses dan aktivitas hemat biaya dan dirancang serta diimplementasikan untuk mengurangi risiko ke tingkat yang dapat diterima. Secara historis, jenis audit internal ini sering disebut audit kerangka pengendalian manajemen (management control framework/MCF). Ini memeriksa totalitas sistem bisnis, operasi, fungsi, dan aktivitas dan proses yang telah ditetapkan manajemen untuk mengelolanya. Audit MCF mempertimbangkan apakah aktivitas lintas fungsi beroperasi bersama untuk mencapai tujuan dan sasaran yang ditetapkan. Audit GRC harus mencapai tujuan yang sama.
Cakupan audit GRC yang komprehensif memungkinkan auditor untuk memberikan jaminan yang masuk akal bahwa (1) manajemen telah merancang dan menerapkan sistem yang efektif untuk mengidentifikasi, menilai, dan mengelola risiko; (2) sistem pengendalian internal memadai dan beroperasi sebagaimana dimaksud; dan (3) proses tata kelola secara keseluruhan berjalan dengan baik. Sementara audit telah melakukan audit GRC terintegrasi dengan berbagai nama selama bertahun-tahun, baru belakangan ini manajemen mengintegrasikan proses dan prosedur tata kelola, risiko, dan kepatuhan. Sebelumnya, fungsi manajemen ini ada di bawah silo organisasi yang terpisah, sehingga menyulitkan audit untuk memberikan jaminan yang wajar bahwa proses GRC sudah memadai dan efektif. Namun, integrasi proses GRC telah memberikan audit internal dengan satu titik kontak dan telah meningkatkan akuntabilitas manajemen untuk menangani rekomendasi audit.
Penilaian kegiatan dan proses GRC harus mencakup tinjauan manajemen risiko dan sistem pengendalian internal. Chief Audit Executive (CAE) harus mengembangkan rencana audit berbasis risiko yang memastikan jumlah total aktivitas audit akan cukup untuk mengevaluasi efektivitas manajemen risiko dan proses pengendalian. Cakupan rencana tahunan harus mencakup semua unit operasi utama dan fungsi bisnis. Dalam melaksanakan audit yang direncanakan, proses manajemen risiko harus dinilai selama pelaksanaan audit individu dan melalui audit proses manajemen risiko itu sendiri. Akhirnya, rencana tahunan
harus ditinjau secara terus menerus untuk memastikan bahwa itu mengatasi perubahan dalam lingkungan risiko internal dan eksternal.
Mengidentifikasi dan Menilai Proses Manajemen Risiko Manajemen
Sebagai bagian dari proses GRC, audit harus mempertimbangkan potensi perubahan internal atau eksternal yang berdampak negatif terhadap kinerja organisasi. Hal ini membutuhkan auditor untuk menilai kecukupan proses manajemen risiko manajemen.
Apakah proses ini cukup, dan apakah mereka responsif terhadap risiko yang dapat mempengaruhi aset, reputasi, dan operasi organisasi yang sedang berlangsung? Standar profesional IIA menyatakan bahwa manajemen risiko adalah tanggung jawab utama manajemen. Manajemen bertanggung jawab untuk merancang dan menerapkan proses manajemen risiko yang memadai dan efektif (IIA Practice Advisory 2110-1: Menilai Kecukupan Proses Manajemen Risiko [2001]).
Pada saat yang sama, audit internal memiliki peran dalam menilai dan meningkatkan metodologi dan kontrol yang digunakan oleh manajemen untuk mengatasi risiko. Secara khusus, auditor internal harus memberikan jaminan kepada manajemen bahwa manajemen telah menetapkan tingkat toleransi risiko dan melakukan aktivitas pemantauan berkelanjutan untuk menilai kembali proses risiko dan efektivitas pengendalian. Audit harus memberikan jaminan bahwa proses manajemen memastikan bahwa risiko diidentifikasi, dinilai, dan dikelola dengan benar. Auditor internal harus menyadari bahwa proses manajemen risiko akan bervariasi dari organisasi ke organisasi. Mereka harus mempertimbangkan ukuran dan kompleksitas lingkungan internal dan eksternal, serta budaya organisasi, tujuan bisnis, dan gaya manajemen. Selanjutnya, biaya manajemen risiko harus sepadan dengan risiko yang mendasarinya. Dalam mengevaluasi proses manajemen risiko, audit harus mempertimbangkan selera risiko organisasi; efektivitas kegiatan mitigasi risiko dan pemantauan pengendalian manajemen; dan ketepatan waktu, ketepatan, dan kelengkapan tindakan yang diambil untuk mengatasi risiko yang teridentifikasi.
Penilaian Proses Pengendalian Internal
Karena peraturan baru yang mengharuskan manajemen senior untuk mendokumentasikan dan membuktikan keefektifan lingkungan pengendalian dan keakuratan informasi yang terkandung dalam laporan keuangan diberlakukan, CEO dan CFO beralih ke audit internal untuk membantu mematuhi peraturan ini. Meskipun manajemen bertanggung jawab atas penilaian proses pengendalian di bidangnya masing-masing, auditor internal dan eksternal memberikan jaminan tentang efektivitas proses pengendalian. IIA Practice Advisory 2120 menyatakan “audit harus membantu organisasi dalam mempertahankan kontrol yang efektif dengan mengevaluasi efektivitas dan efisiensi mereka dan dengan mempromosikan perbaikan berkelanjutan” (IIA Practice Advisory 2120.A1-1: Menilai dan Melaporkan Proses Kontrol [2001]).
Kombinasi dari semua pekerjaan audit yang dilakukan selama tahun tersebut har us berisi informasi yang cukup untuk memungkinkan CAE memberikan pendapat tentang keadaan pengendalian secara keseluruhan. Pendapat ini harus membahas sejauh mana proses pengendalian internal memastikan (1) keakuratan, ketepatan waktu, dan keandalan informasi keuangan dan operasional; (2) bahwa operasi dilakukan dengan cara yang efisien dan berkontribusi pada pencapaian hasil yang diinginkan secara efektif; (3) bahwa aset, termasuk
personel, dijaga dengan baik; dan (3) bahwa organisasi mematuhi hukum, peraturan, dan kontrak yang berlaku (IIA Practice Advisory 2120.A1-1 [2001]).
Tantangan bagi audit internal adalah untuk mengkonsolidasikan banyak kegiatan audit yang dilakukan sepanjang tahun untuk sampai pada pendapat holistik tentang keadaan manajemen risiko dan proses pengendalian organisasi. Dalam membentuk opini ini, CAE harus mempertimbangkan sejauh mana audit telah mengidentifikasi kelemahan pengendalian yang signifikan dan tanggapan manajemen terhadap rekomendasi audit. Apakah temuan audit dipahami oleh manajemen, dan apakah pelaksanaan rencana aksi manajemen diberikan prioritas yang memadai? Singkatnya, apakah manajemen menangani temuan audit secara memadai? Selain itu, CAE harus menentukan apakah kelemahan ini merupakan contoh yang terisolasi atau indikasi masalah sistemik.
Tekanan pada audit untuk berbuat lebih banyak dengan lebih sedikit meningkat.
Mungkin tantangan yang paling sulit adalah audit untuk memberikan jaminan tepat waktu tentang efektivitas pengendalian internal, untuk mengidentifikasi dan menilai tingkat risiko dengan lebih baik, dan dengan cepat menyoroti ketidakpatuhan terhadap peraturan dan kebijakan.
Perangkat Lunak GRC
Alat dan teknik audit berbantuan komputer (Computer-Assisted Audit Tools and Techniques (CAATTs)) dapat membantu auditor dalam melakukan berbagai jenis audit, termasuk audit keuangan, operasional, kepatuhan, dan GRC. Secara khusus, mereka dapat membantu dalam melakukan tinjauan analitis proses GRC, pengujian kepatuhan terhadap kontrol umum dan aplikasi, dan analisis tren untuk mengidentifikasi area risiko yang muncul.
Faktanya, bukti audit mungkin sebagian besar didasarkan pada analisis data; oleh karena itu, penting untuk memastikan bahwa pengujian direncanakan dan dilaksanakan dengan benar.
Selama fase perencanaan audit GRC, auditor harus mempertimbangkan pengetahuan tim audit tentang sistem yang mendasari dan perangkat lunak analisis. Auditor juga harus mempertimbangkan efisiensi dan efektivitas analisis elektronik atas metode manual, integritas sistem informasi, dan datanya (IIA Practice Advisory 1220-2: Computer Assisted Audit Techniques [2005]). Akhirnya, penting untuk menilai integritas, keandalan, dan kesesuaian analisis sebelum mengandalkan hasilnya.
Organisasi terkemuka memanfaatkan teknologi untuk mengintegrasikan beragam aktivitas GRC. Akibatnya, semakin banyak perusahaan perangkat lunak yang mengembangkan perangkat lunak audit GRC. Perangkat lunak GRC dapat mendukung pembongkaran silo organisasi dengan menegakkan penggunaan taksonomi umum, mendorong kepemilikan dan akuntabilitas untuk proses risiko, dan menegakkan penggunaan kerangka kerja untuk pendekatan manajemen risiko bersama. Perangkat lunak GRC, seperti Solusi GRC Paisley, menyediakan titik masuk yang sama dan model data tunggal yang dapat dibagikan oleh a udit internal, manajemen risiko, dan tim kepatuhan. Perangkat lunak GRC memungkinkan definisi umum dan struktur pelaporan organisasi, yang mengurangi duplikasi dan membantu memastikan konsistensi dan efisiensi.
Platform GRC terintegrasi menangani berbagai risiko (peraturan, SDM, keuangan, dan operasional) serta kepatuhan SOX dan persyaratan audit internal. Ini biasanya mendukung
proses yang terkait dengan dokumentasi dan pengujian kontrol, identifikasi dan penilaian risiko, dan penilaian berkelanjutan dari GRC dan aktivitas audit internal terkait.
Perangkat lunak GRC menyatukan risiko dan aktivitas pengendalian untuk memastikan dokumentasi yang efektif dan berbagi informasi untuk melayani kebutuhan berbagai pemangku kepentingan. Hal ini mendorong kepemilikan dan akuntabilitas sambil memfasilitasi identifikasi, penilaian, dan pemantauan informasi risiko utama. Misalnya, Portal Tata Kelola Protiviti menyediakan satu sumber informasi risiko dan kontrol yang konsisten;
kemampuan untuk menetapkan risiko dan pengendalian untuk tujuan operasional; dan hubungan antara kontrol tingkat global dan proses. Portal juga menyediakan proses alur kerja untuk menyederhanakan proses pendokumentasian dan pengujian kontrol, pelacakan upaya perbaikan, dan akuntabilitas berkelanjutan untuk kegiatan GRC. Ini merampingkan proses penilaian dan memfasilitasi pengelolaan volume besar data yang diperlukan untuk menjaga semua proses GRC up-to-date. Auditor harus menyadari, dan terus-menerus menilai, persyaratan mereka dan kemampuan yang muncul dari perangkat lunak GRC.