Perjalananku Di Bulan Ramadhan

Hari ni dah pun masuk 11 Ramadhan. Sekejap sungguh masa berlalu. Nanti tup-tup dah akhir Ramadhan, huhu..

Hari ni Patung Beruang akan travel jauh. Flight Patung Beruang lagi beberapa jam. So, bila dikira-kira, nampaknya Patung Beruang akan berbuka diatas jalan, huhu. Tidak mengapalah, walau dimana sekali pun kita tercampak, kita masih lagi berada di Bumi Allah. Yang membezakan cuma persekitaran dan orang disekeliling. Selagi mampu, Patung Beruang akan cuba untuk berpuasa pada hari ini sehinggalah ke saat berbuka. Moga diberi kekuatan untuk mengharungi perjalanan hari ini, Aamiin...

Dah habis packing ke?

Hm.. Seperti biasalah, list of items memang Patung Beruang dah prepare awal-awal lagi. Jadi, pagi ni lepas Subuh tadi barulah Patung Beruang masukkan barang-barang dan dokumen yang berkaitan dalam luggage dan handbag. 

Rasa sedih pula nak tinggalkan rumah kali ini. Yelah, dah lah hari biasa rumah ni memang kosong. And now, rumah ni akan tinggal kosong untuk berhari-hari. Travel kali ini perasaanya lain sikit. Mungkin kerana di bulan Ramadhan. Kita tak tau adakah kita akan pulang semula kesini. Kita juga tak tau adakah kita akan sempat berjumpa Ramadhan lagi untuk tahun akan datang. 

Honestly, lepas accident hari tu, Patung Beruang banyak berfikir tentang kehidupan ini. Apa sebenarnya yang Patung Beruang cari dalam hidup ini? Adakah segala apa yang Patung Beruang buat selama ini, segala pengorbanan selama ini, segala kerja keras selama ini benar-benar berbaloi? Adakah Patung Beruang melayan orang disekeliling Patung Beruang dengan sehabis baik? Atau mungkin ada antara mereka ini yang terluka dan berjauh hati dengan Patung Beruang? Bagaimana pula dengan insan yang jauh lokasinya dari Patung Beruang tetapi tidak pernah sekalipun Patung Beruang melupakan dia? Adakah dia juga tidak pernah melupakan Patung Beruang?  Berapa lama lagi masa yang Patung Beruang ada sebelum Allah panggil menjemput pulang? Andai katalah umur Patung Beruang tidak panjang, apakah perkara yang paling Patung Beruang kesali? 

Hm.. mungkin Patung Beruang terlalu banyak berfikir. Entahlah.. Accident yang berlaku hari tu adalah satu peristiwa yang Patung Beruang tak pernah terfikir dan terbayang untuk lalui. Malah, sampai saat ini, perasaan trauma masih ada. Rasa takut untuk berada diatas jalan, rasa takut untuk pegang stereng, rasa takut terutama apabila memandu dilorong kanan, rasa takut untuk keluar rumah dan macam-macam lagi. Tapi, perkara yang paling Patung Beruang takut adalah Patung Beruang dijemput pergi tanpa sempat minta maaf dan mengucapkan selamat tinggal pada mereka-mereka yang Patung Beruang sayangi. Ya Allah..

Memanglah bila dah sampai ajal, dimana-mana sahaja kita akan dipanggil. Hatta kalau kita menyorok didalam gua sekali pun, pasti tidak akan terlepas. Cuma Patung Beruang harap andai masa Patung Beruang dah sampai, biarlah ia dalam keadaan yang tenang, tidak melibatkan dan menyusahkan sesiapa. 

Oklah, rasa sebak pula pagi-pagi ini. I should stop here. Semoga perjalanan Patung Beruang hari ini dipermudahkan, sampai ke destinasi dengan selamat dan tercapai matlamat perjalanan ini. Aamiin... Dan dengan rendah dirinya, Patung Beruang mohon maaf pada semua yang Patung Beruang kenal, pada semua yang Patung Beruang sayangi, dan pada dia yang jauh. Patung Beruang hanyalah insan biasa yang tidak pernah terlepas dari segala kekurangan dan kelemahan. 

Book Review: Pasir Lintang

Tajuk: Pasir Lintang

Penulis: S.M. Noor

Sinopsis Novel Ini:

Pasir Lintang mengisahkan Adam, seorang kontraktor yang bersahabat baik dengan Zaidin. Zaidin adalah seorang bekas guru besar juga calon Pilihanraya Kecil Kawasan Pasir Lintang, sebuah kawasan di Terengganu. Zaidin bertanding atas tiket Parti Barisan Bertindak Bangsa (BBB). Namun takdir menentukan yang Zaidin tewas kepada calon dari Parti al-Hilal iaitu Ustaz Haji Mansor al-Urduni. 

Selepas tewas dalam Pilihanraya, Zaidin membawa diri ke Tanah Suci untuk mengerjakan umrah. Pemergiannya kesana tidak diketahui langsung oleh ahli keluarganya dan juga Adam. 

Namun, ternyata Allah lebih menyayanginya. Zaidin meninggal dunia di Tanah Suci dan kematiannya membawa seribu satu cerita duka yang selama ini disimpannya. Sebelum meninggal dunia, Zaidin telah mengamanahkan Haji Hashim, sahabat yang baru dikenalinya ketika mengikuti jemaah umrah, untuk menyampaikan sebuah kotak kecil kepada Adam. 

Demi menyampaikan amanah tersebut, Haji Hashim nekad pergi ke Pasir Lintang untuk mencari Adam. Dan amanah itu turut membuahkan satu ikatan persahabatan yang kukuh antara Adam dan Haji Hashim. 

Kandungan kotak kecil tersebut adalah sebuah pen drive yang mengandungi sebuah coretan perasaan dari Zaidin. Seakan mengetahui yang umurnya tidak panjang, Zaidin telah mencoretkan segala apa yang berlaku sebelum, sepanjang dan selepas Pilihanraya Kecil Pasir Lintang juga luahan perasaannya terhadap insan-insan disekelilingnya. 

Kekalahan Zaidin didalam Pilihanraya Kecil Pasir Lintang hanyalah dengan beza undi yang terlalu sedikit. Kekalahannya bukanlah kerana Zaidin tidak bagus tetapi kerana beliau dikhianati oleh isterinya, Jamilah dan juga ahli-ahli Parti BBB yang selama ini menyimpan impian untuk menjadi calon. 

Jamilah adalah seorang ustazah yang bersara awal. Sebagai ahli dan orang kuat Parti al-Hilal, Jamilah merasakan al-Hilal adalah parti yang terbaik dan berjuang bersama al-Hilal bermakna berjihad kerana Allah. Oleh itu, pencalonan Zaidin sebagai calon Pilihanraya Kecil dari parti BBB sangat ditentang keras oleh Jamilah sehingga beliau sanggup bertemu dengan ahli tertinggi al-Hilal bagi menyatakan hasratnya untuk bertanding menentang Zaidin. Jamilah menganggap yang Zaidin telah murtad hanya kerana Zaidin tidak menyokong al-Hilal. 

Kematian Zaidin memberi kesan kepada Jamilah apabila beliau mula menyedari betapa sifat taksubnya kepada al-Hilal menyebabkan beliau telah mengabaikan Zaidin dan juga rumahtangga mereka. Sifat hormat seorang isteri telah hilang dan digantikan dengan sifat ego seorang perempuan yang gila kuasa. Jamilah sering merasakan dirinya adalah pemimpin wanita yang sangat hebat dan maksum, dan lebih layak untuk menjadi wakil rakyat Pasir Lintang berbanding Zaidin. 

Dihimpit rasa sunyi, Jamilah mula berangan-angan untuk mendapatkan Adam bagi menggantikan tempat Zaidin. Adam yang kematian isteri sejak 6 tahun lepas menyedari perubahan perangai Jamilah dan taktik menggodanya. Namun, kerana menyedari siapa Jamilah sebenarnya dan bagaimana sikapnya sebagai seorang isteri membuatkan Adam bersikap acuh tak acuh kepada Jamilah. 

Tanpa pengetahuan Adam, Zaidin telah meminang Hashimah, adik kepada Haji Hashim untuk Adam ketika di Tanah Suci. Peminangan tersebut disambut baik oleh Hashimah dan Haji Hashim walaupun ketika itu mereka langsung tidak mengenali Adam. 

Adakah Adam akan bersetuju dengan peminangan tersebut dan memilih Hashimah sebagai teman hidupnya? Atau Jamilah berjaya menjadikan Adam sebagai miliknya? 

Adakah ketaksuban Jamilah kepada Parti al-Hilal benar-benar berbaloi atau beliau hanya dijadikan alat oleh Parti tersebut demi mencapai cita-cita politik mereka?

Menariknya Novel Ini: 

Pasir Lintang sarat dengan sindiran kepada senario yang berlaku pada masa ini. Perangai manusia yang bergiat dalam politik, manusia-manusia yang busuk hati, dengki khianat dan tikam belakang walaupun dalam satu parti yang sama ditonjolkan melalui watak Dato' Bazli, orang kuat Parti BBB. 

Juga manusia yang sanggup menjual agama demi kepentingan parti dan diri sendiri. Parti yang berciri Islamik tetapi sayangnya ahli-ahli tidak bersikap seperti seorang muslim. Dimana Islamik nya jika seorang isteri tergamak mengherdik dan menengking suaminya, melabelkan suaminya murtad hanya kerana suaminya tidak menyokong Parti yang sama. Dimana Islamik nya jika ahli-ahli politik sanggup memberi jaminan sesiapa yang menyokong mereka akan masuk Syurga dan siapa yang membangkang, tempatnya adalah di Neraka. 

Selain itu, watak Jamilah juga menyindir insan-insan diluar sana yang memakai topeng agama sehingga menampakkan sikap hipokrit mereka. Perubahan mendadak Jamilah selepas kematian Zaidin mengejutkan Adam kerana perubahan tersebut sangat tidak sesuai dengan gelaran Ustazah. Sikap gatal, mengada-ngada dan suka menarik perhatian lelaki hanya menambahkan perasaan benci Adam kepada Jamilah. 

Kesimpulannya, seperti biasa novel terbitan Dewan Bahasa & Pustaka tidak pernah mengecewakan pembaca. Walaupun ia tebal (413 mukasurat) tapi novel ini langsung tidak membosankan dan sentiasa membuatkan Patung Beruang rasa tak sabar untuk  tahu apa kesudahannya.

Cerita Audit - Macam Mana Internal Audit Boleh Add Value?

Assalamualaikum wbt.. Dan selamat berpuasa. Wah, diam tak diam, hari ini adalah hari ke-4 kita berpuasa di bulan Ramadhan. Alhamdulillah...

Lanjutan dari kisah sahabat-sahabat Patung Beruang yang meluah perasaan hari tu (sila rujuk entry sebelum ini), ada sorang sahabat Patung Beruang mengadu berkenaan relationship antara Internal Audit dengan client dan juga Senior Management. Susah sangat ke Senior Management nak provide full support to Internal Audit? Susah sangat ke nak maintain good rapport between Internal Audit dan client?

Suatu masa dahulu, Internal Audit fungsinya lebih kepada policeman. Hanya check compliance on the SOP, P&P. Maksudnya, jika SOP kata kena buat A, so Internal Audit akan check betul ke staff buat A? Katalah staff tiba-tiba buat B kerana A sudah tidak relevan dengan current condition, Internal Audit akan kata salah dan kira non-compliance to the SOP. Oleh sebab itu, fungsi Internal Audit sangat terbatas. Ia tidak memberi add value pun pada organisasi. Dan Internal Auditor pula menjadi malas berfikir. Hanya fikir cara ikut SOP sahaja.

Tetapi pada masa ini scope Internal Audit telah diperluaskan. Institute of Internal Auditor (IIA) telah menggariskan definisi Internal Audit sebagai;

•  "Is an independent, objective assurance and consulting activity designed to add value and improve an organisation's operations. It helps an organisation  accomplish its objectivity by bringing a systematic, disciplined approach to  evaluate and improve the effectiveness of risk management, control and  governance process."

Key word disini adalah "Add value" dan "Improve an organisation's operations."  

Dalam kata lain, our clients and Senior Management expect us as Internal Auditor to give some add value on our services. 

Jadi, macam mana Internal Audit boleh add value? Berdasarkan pengalaman yang tidak seberapa ini, Patung Beruang boleh simpulkan ada 6 cara utk Internal Audit boleh add value iaitu: 

• A deep knowledge on the organisation and industry including its culture, key players and competitive advantage. 
• Courage to innovate in the ways that stakeholders never expect. 
• A broad knowledge on those practices the profession. 
• Creativity to adapt innovations implement by organisation.
• Always possess a positive attitude and deliver the best output to stakeholders. 
• Become a partner to stakeholders instead of policeman. 

Nampak macam senang kan nak implement point2 kat atas tu?? Sebenarnya, point2 tu tak muncul dalam satu malam. We need to have a strong developing process in order for IAD to have those above points. So, what is the developing process? 

Let's check it out..

1. Staff Competency. 

• Auditor sekarang bukan setakat buat kerja-kerja compliance saja. Tugas Auditor sekarang meliputi data analysis, propose new ideas, identify potential threats yang mungkin Management tak perasan pun, dan banyak lagi tugas yg memerlukan Auditor benar2 mahir dengan nature business organisasi dan industry tersebut. Dan, yg paling penting Auditor kena ada ability utk think out of the box and creative. 
• Jadi, statement "Internal Audit Department (IAD) adalah training ground untuk fresh grads" adalah statement yang dah lapuk. IAD perlukan staff yang ada pengalaman dlm business atau industry supaya mereka lebih nampak real world banding dgn fresh grads. 
• IAD juga sepatutnya menghimpunkan staff dari pelbagai background sesuai dengan nature business sykt tersebut. Katalah, jika sykt tersebut adalah pengeluar automotive, maka IAD patutnya mempunyai komposisi staff dari pelbagai background seperti automotive, design, mechanical, accountancy, IT, mechatronics, dan sebagainya. IAD bukanlah hak mutlak mereka yang berjurusan accountancy sahaja.  
• Adalah bagus jika staff IAD mempunyai professional certification. CIA, ACCA, CISCA, PMP etc. Janganlah hanya berpuas hati dengan segulung ijazah. Professional certification akan membentuk pemikiran staff untuk lebih kritis dan dynamic. Malah, ia juga akan buatkan staff lebih peka kepada latest trend dalam industry/specialty mereka.  

    2. A Challenging Work Environment. 

• Talented, motivated auditors are easily bored and require challenging work. Their creativity must be encouraged and rewarded, and their professional challenges must extend beyond regular audit assignments. 
• It is good if auditors being massively involved in decision-making process. Hence, every staff will have ability to think and provide ideas to determine the direction of IAD and develop new practices, not just Audit Managers.
• Using this approach, staff will have sense of belonging to the department. And they will realise that department actually implement 2 not single ways  of communication. The culture of this approach will emphasize partnership over independence, while never losing IAD's objectivity. 
• Remember, auditors are encouraged to be coaches, trainers, counselors of internal controls, not evaluators. So, they must look on ways to improve the business not just simply identify control weaknesses. 

    3. Condone Culture

• IAD should implement carrot and stick concept. Meaning, when staff achieved their target, we give reward via KPI, bonus, increment, promotion etc. But when they failed, we will punish them accordingly. 
• But, what happens now is some bosses very reluctant to punish their staff if they not performed just because of he doesn't want to lost his popularity. And.. that's not a good culture. 
• When the boss has condone behavior, indirectly he gives signal to the respective staff as well as the whole department that "It is ok if you're not performed."  The impact is department's performance will keep on decreasing, a good staff may overwhelm due to imbalance workload, unnecessary stress and eventually these good staff will leave the department. 
• See, this condone culture will ruin the department. Yes, staff may always remember this boss as a good and kind heart-ed boss. He or she may be popular over the time. But, whats the point being popular boss if your department not performed? If your department not appreciated by the stakeholders due to lousy output? 

    4. An Array of Audit Services

• IIA telah defined value proposition untuk fungsi IAD sebagai providing "assurance, insight and objectivity." Dan terma "insight" yang digunakan ini reflect Internal Auditing's role as a catalyst for change in an organisation - improvements in efficiency and effectiveness that are based on internal auditing's observations and recommendations. (petikan dari CIA Ref. Book - Paper 2).
• As a catalyst, IAD boleh offer service lebih dari sekadar check compliance, check PV yang tak bersign atau invoice yang lewat bayar. 
• Ada beberapa common services can be offered by IAD as follows: 

• Risk based audits. - Working with members of management to identify the business risks they face. 
• Process audits - Audits an entire business process rather than an organisational unit. Looking for ways to improve the process instead of simply trying to find control weaknesses.
• Pre-implementation reviews - Participating on new product or system development team and/or reviewing the project at certain defined milestones. 
• Self assessment - Hosting workshops, administering questionnaires, and conducting structured interviews to address soft controls. Also common are self-assessment programs for hard controls in which the business unit perform their own testing to obtain ongoing assurance while the auditors subtest their work, rather than performing all the detailed testing themselves. 
• Internal control education - Formal training programs designed and taught by internal auditors, as well as ad-hoc training, when needed, during assurance or consulting projects. 

Kesimpulannya, internal auditors kena bergerak keluar dari comfort zone. We need to aggressively get Senior Management's attention and support through providing value added services. A strong support from Senior Management to IAD will give signal to the whole organisation including head of business units that IAD is a partner and always willing to improve business same like other business units. IAD is not a fault finder....

Cerita Audit - Asam Garam Dunia Internal Audit

Selamat menyambut Ramadhan dan selamat menjalani ibadah puasa, bertarawih, bertadarus dan menyucikan rohani dibulan yang mulia ini. 

Kadang-kadang Patung Beruang rasa macam tak percaya pula yang kita sekarang dah masuk bulan Ramadhan. Ya Allah, cepatnya masa berlalu.

Minggu yang baru ni, pada hari Selasa (masa tu belum masuk Ramadhan lagi), Patung Beruang didatangi oleh 3 orang auditor dan 1 orang bukan auditor (hehe) dari 3 syarikat yang berbeza, mengadu pasal dunia Internal Audit. Dan yang peliknya, kesemua 4 orang ini mengadu pada Patung Beruang pada hari yang sama. Dari pagi sampailah ke malam. Sampai satu tahap Patung Beruang terfikir, adakah hari ini adalah hari meluah perasaan untuk semua auditor diluar sana? huhu..

So, kat mana Patung Beruang nak start ye??? Hm..

Seorang auditor ini, berjawatan Manager Internal Audit. Beliau mengadu tentang workload yang imbalance, kerenah orang bawahan yang menyakitkan hati, kerenah pihak atasan yang asyik bagi ad-hoc assignment pada team beliau walaupun dalam Department tu ada team lain, tentang team yang tidur lena sampai audit report tak keluar-keluar, tentang client yang sombong dan suka buli auditor, dan juga pihak Senior Management yang macam suka tak suka je dengan Internal Audit.

Auditor yang ke-2 pula baru berhijrah ke company baru. Kalau tak silap Patung Beruang, dah 3 bulan beliau disitu. Alasan kenapa beliau tinggalkan company lama adalah workload dan juga high expectation dari pihak atasan. Yelah, staff tak ramai, tapi assignments punya lah banyak. Jadi, of course workload pun menimbun-nimbun. Dapat pula bos yang cerewet, everything kena perfect. Jadi, lagi lah stress. So, bila setiap hari balik lewat malam, apa jadi dengan family?? Kesian pada suami dan anak kecil dirumah. Akhirnya, sahabat Patung Beruang ini nekad untuk cari kerja tempat lain. Bila dah dapat kerja ditempat baru, ingatkan semuanya ok. Rupanya masalah juga. Tanpa diduga, Manager Audit di tempat baru tu pula suka main politik dan suka buli staff. Habislah dijaja semua keburukan dan kelemahan sahabat Patung Beruang ini kepada orang lain termasuklah Chief Internal Auditor (CIA). Tak cukup dgn tu, mulut pula tiada insurans. Salah sikit, asyik kena maki hamun je. Hm.. Nasib badan lah..

Auditor ke-3 pula pun sedang bercita-cita untuk berhijrah ke tempat lain. Alasannya sama saja, stress dengan workload yang merepek dan juga perangai bos yang pelik. Untungnya sahabat Patung Beruang yang sorang ni dah bergelar Certified Internal Auditor. So, rasanya in shaa Allah, pasti ramai yang sudi nak ambil beliau bekerja apabila terpandang sahaja qualification beliau. Beliau baru saja hadir interview di sebuah syarikat besar. Dan panel interview nampaknya tertarik hati dengan beliau. Tapi, sayangnya syarikat besar ini mempunyai syarikat adik-beradik yang lain. Dan sahabat Patung Beruang ini pernah bekerja di salah sebuah syarikat adik-beradik tersebut. Kalau ikut polisi syarikat besar ini, jika mereka ingin mengambil individu yang pernah berkhidmat di syarikat adik-beradik mereka, syarikat besar ini kenalah membuat proposal dan mengadap Chairman di parent company untuk minta kebenaran. Aiyo... So complicated kan? Nak amik staff je pun? Why people love to messy the simple things?

Individu yang ke-4, beliau bukanlah berjawatan auditor. Tetapi beliau dilantik menjadi guest auditor untuk support assignment yang dijalankan oleh Internal Audit Department (IAD). Kenapa beliau dipilih sebagai guest auditor? Kerana kepakaran yang beliau miliki, amat diperlukan oleh IAD syarikat tersebut, bagi menjalankan audit yang special ini. Audit assignment tersebut dah berjalan sejak awal tahun lagi. Tapi, sampai sekarang audit report tak juga finalise. Dan yang tak sedapnya, audit report tersebut telah beberapa kali di reject oleh CIA. Punca kena reject? Kerana tidak memenuhi expectation CIA tersebut. Sahabat Patung Beruang ini risau lah. Yelah, selama beliau jadi guest auditor, ini adalah assignment yang ke-5 atau ke-6. Dan semua assignments sebelum ini tiada masalah. Hantar report pada CIA, terus clear. Kalau ada amendments pun very minor. Tup-tup kali ni banyak pula masalahnya. Bila dirisik-dirisik, rupanya sahabat Patung Beruang ni join team audit yang lain. Team Leader untuk assignment kali ini adalah orang baru. Jadi, mungkin orang baru ni masih lagi struggle untuk dapatkan tune, supaya boleh meet expectation CIA. Itu yang report asyik kena reject saja. Dan atas dasar orang baru juga lah, ada a few task yang sepatutnya Team Leader ni execute, dia tak execute. Dan guest auditor pula yang kena execute that part although benda itu diluar bidang kuasanya sbg guest auditor.

Hm.. begitulah serba sedikit cerita ke empat-empat sahabat Patung Beruang ni. Bila dengar luahan hati masing-masing, rasa sedih juga. Tapi apa lah sangat yang Patung Beruang boleh buat? Kami berlainan organisasi. Apa yang mampu Patung Beruang offer adalah kata-kata semangat, pujukan, idea macam mana nak selesaikan kekusutan tersebut dan selebihnya minta mereka bersabar. 

Dunia Internal Audit ni tidaklah seindah yang disangka. Sama je macam dunia pekerjaan yang lain. Ada berbagai cerita, suka duka, pahit, manis, masam semua ada. Apatah lagi, biasanya Auditor bukanlah orang yang disukai di dalam organisasi. Puas lah kita ni cuba untuk jadi partner kepada Management, partner kepada Business Units, but still masih ada yang pandang kita ni sebagai musuh, kaki menyebok dan suka cari salah orang. 

Tetapi ada kalanya, kita sendiri yang membuka ruang untuk orang memandang rendah pada kita. Seorang CIA Patung Beruang selalu berpesan, Internal Audit adalah department yang perfect. Tak boleh ada cacat cela. Dan ini bermakna staff Internal Audit juga mesti perfect. Always give a highest quality product, good attitude, full commitment, fast learner, dynamic, very analytic and mcm2 lagi kriteria bombastic yang sepatutnya ada. Jadi, bila kita dah jadi Internal Auditor, nak tak nak kita kena pastikan kita memang layak untuk duduk disitu. Buanglah semua perangai dan pemikiran negatif, lambat bekerja, takde output, tak focus, lack of commitment, buat kerja cincai2, suka bergosip, malas nak belajar benda baru, malas nak berfikir, takde disiplin dan sebagainya. Don't ever give bullet to people to shoot you back. 

So, ada sesiapa yang mula takut untuk join Internal Audit bila baca cerita Patung Beruang ni? hehhe... 

Tak perlu lah takut. Internal Audit adalah short cut untuk kita belajar banyak benda, especially untuk kita lebih mengenali syarikat dan industry kita. Yes, kerja memang stressful tapi berbaloi sbb ilmu & pengalaman yang kita dapat tu, kita tak kan dapat ditempat lain. 

Patung Beruang still remember comment from my Chief Financial Officer (CFO) masa interview dulu. That time, Patung Beruang hanyalah budak kecil yang baru habis belajar dan baru nak melangkah ke alam pekerjaan. He asked me, what is my dream and I replied that I want to be a CEO in future. Surprisingly, he smiled and response; 
"In that case, your decision to join Internal Audit Department is right. That's the best place for you to learn everything about the Company in fastest way, to equip you to be a CEO".

And until now Patung Beruang masih lagi ingat that statement. Thanks a lot Dato' Izzadin :) 

Tu sbb, di banyak organisasi besar GLC atau MNC, Internal Audit biasanya adalah tempat untuk sykt develop and pool their talents. Dan, staff Internal Audit biasanya cepat naik (provided you are very good) dari segi gaji  dan pangkat (dgn syarat u sanggup lompat ke department atau company lain). 

So, jgn risau. Buat je keje kita sehabis baik, gain as much as knowledge, skills, expertise and experience selagi boleh. Create and maintain a good rapport with everyone, from top to bottom and let your work to speak on behalf of you. Tak perlu susah-susah nak bergosip, jadi kaki kipas atau kaki bodek ye. Benda yg remeh-temeh tu, abaikan je lah. Tak berbaloi utk serabut kepala dengannya, heheh..

Cerita Strategic Audit - Execution of Risk Management

Assalamualaikum wbt.. Lamanya Patung Beruang tak update blog ni. Rindu pula. 

Maaf lah sebab Patung Beruang lama senyap. Lately ni so many things happened, plus keadaan kesihatan Patung Beruang juga tidak memuaskan. Jadi banyaklah aktiviti-aktiviti kegemaran Patung Beruang terhenti buat seketika. 

La ni ada 3 buah buku yg Patung Beruang tengah baca. 1 buku Investment & Financial Management, 1 buku pasal sejarah and the last one buku agama. Ketiga-tiganya sgt menarik but, again, I can't finish it due to many constraints. So sad lah... I wish I can finish it by this month.

Recently, ada sahabat Patung Beruang minta pendapat mengenai audit yang beliau sedang jalankan. Currently, her Audit Firm received a job from Board of Directors (BOD) in 1 company to review the effectiveness of Risk Management Framework and the implementation. The reason of this engagement is because the BOD is not satisfy with the execution of Risk Management in that public listed company. 

Sahabat Patung Beruang minta pendapat how to do audit on Risk Management? What are the things that she need to look? and so on...

Mesti ada orang tertanya-tanya, penting sgt ke Risk Management (RM) tu? Wajib ke RM function tu diwujudkan di Company.. Untuk public listed company di Malaysia, kita terikat dengan Malaysian Code of Corporate Governance (MCCG) yang dikeluarkan oleh Suruhanjaya Sekuriti Malaysia (Securities Commission Malaysia - SC).

Jadi, seperti yang termaktub dlm Malaysian Code of Corporate Governance 2012, Principle 6.1 states that the Board (BOD) should establish a sound framework to manage risks. 

Jadi, apa maksudnya dengan Principle 6.1 diatas?

Basically, it means that the Board should determine the company's level of risk tolerance and actively identify, assess and monitor key business risks to safeguard shareholders' investment and the company's assets. Internal control are important for risk management and the Board should be committed to articulating, implementing and reviewing the company's internal control system. Periodic testing of the effectiveness and efficiency of the internal controls procedures and process must be conducted to ensure that the system is viable and robust. The Board should disclose in the annual report the main features of the company's risk management framework and internal control system. (petikan dari MCCG 2012)

Since dlm MCCG dah cakap psl RM, nak tak nak, company kena ada that RM functions. Now, apa yang auditor kena tengok utk RM area ni? 

Let's start: 

• RM Framework. Did the company established their RM Framework. Certain company they just take MS ISO 31000 Risk Management, modify sket2 to accommodate their business and operation, and tada... it become RM Framework for ABC Bhd. or XYZ Bhd., hehehe..  Mana nak dapat MS ISO 31000 tu Patung Beruang? hm.. pi lah beli ye.. Sorry, softcopy tak de kat internet. 

• RM Framework dah ada, but are they follow it? Jeng jeng jeng.. so, pls lah check untk tgk apa yang mereka letak dlm Framework tu, adakah sekadar janji manis atau memang mereka betul2 buat. Contohnya, ada Risk Management Committee, siapa members dia? Apa Terms of Reference (TOR) for RM Committee. How frequent the Committee will meet in a year? Ada Minutes of Meetings (MOM) tak? Apa ceritanya dlm MOM tu.. 

• Now, kita tengok pula macam mana RM process mereka ye.. Ok, basically, RM process ini lebih kurang mcm ni: 

• Risk Identification: Identify risk yang berkaitan dengan area mereka. Siapa yang sesuai utk identify risk? Adakah process owner, Risk Management Department or Internal Auditor? Kalau ikutkan the best practices, process owner adalah orang yang paling sesuai dan tepat untuk identify risk. Kenapa?? Sebab process owner adalah orang yang paling expert berkenaan area atau process tersebut. Cuma, peranan Risk Management Department adalah untuk lihat adakah ia benar-benar risk atau effect, atau maybe it actually a cause.   

• Risk Evaluation: Now, they need to evaluate the risk, to get degree of probability and impact. Probability adalah kebarangkalian risk tersebut berlaku, dan impact pula kesan jika risk tersebut berlaku. Dan biasanya, kita akan pecahkan kepada beberapa quadrant, low, medium and high. Ada juga yang pecahkan lebih detail seperti very low, low, medium, high and very high. Again, terpulang pada company tersebut untuk guna method yg bagaimana. 

• Risk Mitigation: Risk mitigation bermaksud bagaimana kita nak menguruskan risk tersebut. Adakah kita nak Accept (agree with the risk without doing anything to control it), Avoid (kita adjust work process/project/business decision etc. supaya kita tak perlu berdepan dengan risk tersebut), Control (kita implement certain control untuk minimise the risk), Transfer (kita pindahkan risk tersebut kepada pihak yang lain, yang sanggup take accountability and responsibility on the risk contohnya Insurance) dan Watch/Monitor (kita monitor environment/process yang boleh memberi kesan kepada risk tersebut).

• Risk Monitoring: Bagaimana kita boleh monitor risk tersebut? Basically kita akan monitor likelihood risk tersebut, ensure execution of risk plans and evaluate the risk after implementing the plans. Disini, kita akan lihat gross risk rating and residual risk rating. Dan dalam prosess Risk Monitoring, kita akan lihat juga jika wujudnya new risk yang relevant dgn that particular project or areas. 

• Risk Review: Risk review lebih kepada kita buat periodic review on risk yang record dalam Risk Register. Kebiasaannya, company akan buat bi-annual review. This is to ensure all information stated in Risk Register are accurate and updated. 

So Patung Beruang, adakah auditor perlu review semua process diatas? Practical ke untuk review???

• Auditor tak perlu lah nak review semua process tu. Biasanya, auditor hanya ambil Risk Register and check the completeness and accuracy of the Register. Selain itu, check juga implementation and effectiveness of control stated in the Register. Untuk part ni, auditor kena buat testing. 

• If dlm Risk Register ada states list of mitigation plan, mintalah confirmation on the latest status of that mitigation plan. If it works according to the plan don't forget to request relevant supporting documents from clients. Review Risk Register sangat senang and this step selalunya kita bagi je kat junior auditor untuk buat, heheh.. 

• Now, the critical part is to review the effectiveness in execution of Risk Management in that Company. So, apa yang kita nak tengok untuk part ini ye?? Maybe kita boleh start disini.... 
• Adakah strategic risk properly identified and captured in Risk Register. If yes, how they monitor? Maybe orang akan terfikir, strategic risk tu apa ye??? Setiap company akan ada expansion strategy, 5 years strategy, business plan or whatever they call it lah.. So, kita lihat utk setiap strategy yg mereka ada, apa risk yang berkaitan. Adakah risk tersebut benar-benar relevant dgn strategy mereka. Ada tak risk yang tertinggal. Disini, auditor kena work harder dimana auditor kena banyak membaca n buat research berkenaan industry tersebut. Once auditor dah familiar dgn that industry, baru lah kita boleh nampak strategy mereka, viable atau tidak, risk mereka relevant atau tidak. 

• Siapa pula owner strategic risk ni? Some company, mereka letak CEO as a risk owner. Some, they put relevant department such as strategic planning department (SPD) or respective Strategic Business Unit (SBU). In my opinion, for strategic risk, it is better to put the CEO as owner. Why CEO? As orang no. 1 dlm company, CEO ada ultimate power to instruct any department/unit/SBU to help him/her in managing the risk. Nak get the buy-in or cooperation from various department/unit/SBU pun senang. Ia lebih practical banding kalau kita letak SPD or SBU sebagai risk owner for strategic risk. 

• Is there any major incident happened in that particular company or that particular industry recently? If yes, is there any risks relevant to that particular major incident are being identified and captured by the company prior to that incident? 

• Contohnya, sebuah syarikat pembuat automatif, Company ABC terpaksa menarik balik model keluaran mereka kerana terdapat kerosakan airbag. Kerosakan itu menyebabkan airbag untuk kenderaan model tertentu tidak berfungsi, dan akhirnya menyebabkan peningkatan kematian kepada pemandu dan penumpang kenderaan model tersebut akibat kemalangan jalan raya. Tindakan penarikan semula model kenderaan tersebut amat menggemparkan industri automotif kerana ia adalah yang pertama kali berlaku di negara ini. Kesannya, reputation Company ABC merudum, customers hilang kepercayaan pada product keluarannya, banyak tempahan dibatalkan dan harga saham sykt jatuh merudum. So, auditor yang bertanggungjwb utk audit Company ABC must look whether this reputation risk & operational risk telah dikenalpasti oleh Company ABC sebagai 1 of their risk sebelum incident tersebut berlaku? If yes, apa control yg ada? Mereka betul2 implement ke control tersebut?? 

• Pesaing terdekat Company ABC adalah Company XYZ. Company XYZ juga ada mengeluarkan kenderaan dalam segment yg sama seperti Company ABC. Jadi, auditor Company XYZ juga kena lihat adakah this kind of risk ada dalam Risk Register Company XYZ. Jika ada, is there any control in place and how effective the controls for mitigating the risk?  

• Katalah, risk ini tiada dlm Risk Register kedua-dua company iaitu Company ABC dan Company XYZ dgn andaian ia tidak akan pernah berlaku kerana mereka ni sgt perfectionist. So, auditor boleh recommend pada BOD untuk masukkan risk ini sbg salah satu key business risk berikutan insiden yang berlaku recently. See, nampak tak? Any major incident yang berlaku bukan sahaja dlm company kita, tetapi dlm industry juga, kita kena pay attention. Because, it is the best for us to prevent or mitigate the risk before it really occurs and resulted major losses to company.  

• Now, kita lihat pula reporting line, who managing the risk and cooperation from the whole organisation on managing the risk. Chief Risk Officer (CRO) adalah partner kepada management and business units. CRO sepatutnya ada access kepada BOD. Responsibility for managing the risk bukanlah tanggungjwb CRO seorang, but ia adalah tanggungjwb the whole organisation. CRO lebih kepada coordinate sahaja. 

Apa kesilapan yang paling besar yang sering berlaku dlm Company ye?? Ada beberapa contoh common mistakes such as: 

• Only Risk Management Department atau CRO sahaja yang bertungkus-lumus manage risk.

• CRO tiada access kepada BOD. Reporting line hanya setakat CEO sahaja. 

• Dan lebih malang bila CRO dijadikan owner untuk Strategic Risk. Dengan authority yang limit, it is very difficult for CRO to manage all those Strategic Risk. 

• Very less cooperation from other department and Business Unit in terms of identifying, evaluating and updating their risk. 

• Shallow understanding amongst the staff (sometimes including senior management also) on risk management, differences between risk, impact and causes,; as well as control and mitigation plans.  

• Risk Register solely prepared by Risk Management Department, not the process owner. Although the input can be provided by the process owner, but it is the best if they are the one who prepared the Register. The Risk Management Department should acts as reviewer. 

• Outdated Risk Register maintained by the Company. It is not practical for Company to update the Register on weekly or monthly basis. The best is on bi-annual. But, there are also certain company that not bother to update their Register in years, with assumptions that there is no changes in their Company's risks or industrial risks. 

• Inadequate knowledge on business, operation and industry by CRO or Risk Management Department. Dalam kata lain, Risk Management Department or CRO tidak familiar langsung dgn operasi sykt atau nature industry. Input dari process owner diterima bulat2 tanpa soal selidik, no challenges session and lack of initiative to enhance understanding. Jika ini berlaku, it will be difficult for CRO or Risk Management Department to detect if there is any risks yang sengaja atau tidak sengaja disorokkan oleh process owner, dari capture dlm Risk Register sedangkan risk tersebut adalah major. 

Oklah, kesimpulannya itu adalah serba sedikit idea kalau kita nak review Risk Management dlm Company. Terpulang pada auditor untuk buat secara simple i.e. review Risk Register, check completeness and accuracy and finally test control yg ada. Ataupun auditor nak buat cara strategic iaitu lebih kepada effectiveness in execution of Risk Management. Lebih leceh dan banyak kerja, but it will add value to RM functions in our organisation. Tepuk dada tanyalah CIA, heheh..

Hari pun dah lewat malam ni.. Mata Patung Beruang pun dah tak mampu nak angkat lagi. Oklah, hopefully perkongsian yang tidak seberapa ini memberi manfaat pada orang yang membacanya, Aamin...