chapter 3 - brinks (1).docx

8/11/2019 CHAPTER 3 - BRINKS (1).docx

1/31


2/31

emahaman dan implementasi pengendalian internal yang efektif adalah prinsip dasar dari audit

internal. Sistem dari pengendalian internal berlanjut menjadi dasar dari proses operasional dan

proses bisnis akuntansi, serta aktivitas audit internal termasuk mengevaluasi dan mengukur berbagai

tingkat pengendalian. Konsep ini telah menjadi kegiatan utama dan kepedulian internal auditor dan

manajer bisnis. Akan tetapi, dalam prakteknya belum ada definisi yang konsisten hingga tahun 1970an,

saat Amerika Serikat mulai berkembang dan mengeluarkan Committee of Sponsoring Organizations

(COSO) kerangka pengendalian internal. Kerangka ini pertama kali dikenal untuk mengukur

pengendalian internal oleh auditor eksternal di Amerika Serikat dan kemudian sebagai standar yang

membangun dan mengukur pengendalian internal dibawah Sarbanes-Oxley Act (Sox), kerangka

pengendalian internal COSO telah menjadi standar dunia untuk membangun dan mengukur

pengendalian internal. Pemahaman umum mengenai kerangka COSO dan elemen-elemen didalamnya

merupakan persyaratan utama dari Common Body Of Knowledge(CBOK) untuk semua auditor internal.Kerangka pengendalian internal COSO adalah alat penting untuk memahami pengendalian internal dan

untuk menilai kepatuhan ketentuan pengendalian internal akuntansi terhadap Sox.

3.1.

Pentingnya Internal Kontrol yang Efektif

Pengendalian internal merupakan salah satu konsep yang paling penting dan mendasar dimana para

professional bisnis di semua tingkatan dan baik auditor eksternal dan internal harus memahaminya.

Para professional bisnis membangun dan menggunakan pengendalian internal; auditor memeriksa area

operasional dan keuangan di perusahaan dengan tujuan untuk mengevaluasi pengendalian internal

mereka. Definisi dari pengendalian internal adalah:

Pengendalian internal adalah suatu proses, yang dilaksanakan oleh manajemen, yang

dirancang untuk memberikan keyakinan memadai atas:

Informasi keuangan dan operasional yang dapat dihandalkan

Kepatuhan terhadap kebijakan dan rencana prosedur, hukum, ketentuan, dan

peraturan

Pengamanan aset

Efisiensi operasional

P


3/31

Pencapaian misi yang ditetapkan, sasaran dan tujuan operasi dan program bagi

perusahaaan

Nilai Integritas dan etika

Definisi ini mengakui bahwa pengendalian internal meluas, lebih dari sekedar akuntansi dan masalah

keuangan serta mencakup semua proses perusahaan. Suatu unit usaha atau proses memiliki kontrol

internal yang baik jika :

1.

Menyelesaikan misi dengan cara yang etis,

2.

Menghasilkan data yang akurat dan handal,

3.

Mematuhi hukum dan kebijakan perusahaan yang berlaku,

4.

Memelihara penggunaan sumber daya yang ekonomis dan efisien dan

5.

Menetapkan Pengamanan aset yang sesuai.

Semua anggota perusahaan harus bertanggung jawab atas pengendalian internal agar dapat beroperasi

secara efektif.

3.2. Latarbelakang Standar Pengendalian Internal

Konsep dan definisi dari pengendalian internal sudah cukup baik dimengerti pada masa sekarang dengan

kerangka pengendalian internal COSO, namun tidak untuk sebelum tahun 1980an, dimana tidak ada

perjanjian yang konsisten mengenai apa yang dimaksud dengan pengendalian internal yang baik.

Definisi awal datang dari American Institute of Certified Public Accountant(AICPA) dan digunakan oleh

U.S. Securities and Exchange Commission(SEC) untuk Securities Exchange Actpada tahun 1934.

Penyataan dalam standar audit (SAS No. 1) bahwa definisi pengendalian internal adalah :

"Pengendalian intern terdiri dari rencana perusahaan dan semua metode yang terkoordinasi dan

pengukuran-pengukuran yang diterapkan untuk mengamankan aset perusahaan, memeriksa

akurasi dan keandalan data akuntansi, meningkatkan efisiensi operasional, dan mendorong

ketaatan terhadap kebijakan manajerial yang telah ditentukan."

Kemudian AICPA memodifikasi isi SAS 1 dengan menambahkan pengendalian akuntansi dan administrasi

ke dasar definisi pengendalian internal.


4/31

Pengendalian Akuntansi terdiri dari rencana perusahaan dan prosedur dan catatan yang

berkaitan dengan pengamanan aset dan keandalan catatan keuangan dan dirancang untuk

memberikan keyakinan memadai bahwa:

a.

Transaksi dilaksanakan sesuai dengan persetujuan manajemen umum atau otorisasi

khusus.

b.

Transaksi tersebut dicatat sebagai keperluan (1) untuk memungkinkan penyusunan

keuangan laporan sesuai dengan prinsip akuntansi yang berlaku umum atau berlaku

untuk pernyataan tersebut dan (2) untuk mempertahankan akuntabilitas aktiva.

c.

Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen.

d.

Akuntabilitas dicatat agar aset tersebut dibandingkan dengan aset yang telah ada

pada interval yang wajar.

Definisi Pengendalian Internal: Foreign Corrupt Practice Act(FCPA) tahun 1977

FCPA melarang suap kepada pejabat asing dan juga berisi ketentuan yang

mengharuskan baik pemeliharaan dokumen dan pencatatan yang akurat maupun

sistem pengendalian akuntansi internal

FCPA mensyaratkan bahwa perusahaan harus:

Membuat dan memelihara buku, catatan, dan rekening, yang, secara rinci,

akurat dan wajar yang mencerminkan transaksi dan disposisi aset emiten

Menyusun dan memelihara sistem pengendalian akuntansi internal yang

cukup untuk memberikan keyakinan memadai bahwa:

Transaksi dilakukan sesuai dengan otorisasi umum atau khusus

manajemen

Transaksi dicatat sebagai pekerjaan yang diperlukan untuk

memungkinkan penyusunan laporan keuangan sesuai kriteria yang

berlaku untuk pernyataan tersebut, dan juga untuk menjaga

akuntabilitas untuk aktiva

Akses ke aset hanya diperbolehkan sesuai dengan otorisasi umum atau

khusus manajemen


5/31

Akuntabilitas asset yang tercatat dibandingkan dengan aset yang ada pada

interval yang wajar, dan tindakan yang tepat harus diambil sehubungan

dengan adanya perbedaan.

FCPA menjadi signifikan karena manajemen bertanggung jawab atas sistem

pengendalian akuntansi internl yang memadai

FCPA mensyaratkan bahwa perusahaan-perusahaan harus menyimpan catatan yang

secara akurat mencerminkan transaksi mereka secara rinci, wajar.

FCPA mensyaratkan bahwa perusahaan perlu menerapkan sistem pengendalian

akuntansi internal yang cukup sehingga dapat memberikan jaminan bahwa setiap

transaksi diotorisasi dan dibukukan untuk memungkinkan penyusunan laporan

keuangan.

Aturan FCPA menyatakan bahwa akuntabilitas harus dipertahankan untuk assetsuatu perusahaan

3.3. Kerangka Pengendalian Internal COSO

COSO mendefinisikan pengendalian internal dengan:

"Pengendalian internal adalah suatu proses, dipengaruhi oleh seorang dewan direksi,

manajemen, dan personil lainnya, dirancang untuk memberikan keyakinan memadai tentang

pencapaian tujuan dalam kategori :

Efektivitas dan efisiensi operasi

Keandalan pelaporan keuangan

Kepatuhan terhadap hukum dan peraturan yang berlaku


6/31

COSO membagi 5 komponen pengendalian internal :

Kelima unsur pengendalian internal tersebut dapat dijelaskan sebagai berikut :

1.

Control Environment

Lingkungan pengendalian terdiri dari tindakan, kebijaksanaan, dan prosedur yang

mencerminkan sikap menyeluruh manajemen perusahaan, direktur dan konsumen

serta pemilik suatu satuan usaha terhadap pengendalian atas satuan usaha. Lingkungan

pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran

pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar untuk

semua komponen pengendalian intern, menyediakan disiplin dan struktur.

Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi

kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut.

Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara lain :


7/31

(i)

Integritas dan Nilai Etik

Integritas kolektif dan nilai etik dari perusahaan merupakan elemen penting

untuk lingkungan pengendalian. Jika perusahaan telah membangun kode etik

yang kuat yang menekankan integritas dan nilai etik, dan jika pemangku

kepentingan mengikuti kode tersebut, maka semua pemangku kepentingan akan

memiliki keyakinan bahwa perusahaan tersebut memiliki nilai yang baik. Namun,

walaupun perusahaan mungkin memiliki kode etik yang kuat, dalam banyak hal

prinsip yang dilanggar melalui ketidaktahuan, bukan oleh penyimpangan yang

disengaja. Ketidaktahuan ini sering disebabkan oleh pedoman moral senior

manajemen yang buruk daripada niat karyawan yang ingin menipu.

Kode etik mendeskripsikan aturan untuk perilaku etik. Insentif dan bujukan,

bagaimanapun juga, dapat mengikis pengendalian lingkungan secarakeseluruhan. Individial mungkin dapat tergoda untuk terlibat dalam aksi tidak

jujur, illegal atau tidak etik jika perusahaan memberikan mereka insentif atau

bujukan yang sangat kuat untuk melakukan hal tersebut. Berikut merupakan jenis

bujukan yang dapat mendorong pemangku kepentingan untuk terlibat dalam

akuntansi yang tidak benar atau aksi yang sejenis:

Pengendalian tidak efektif, seperti susunan pemisahaan tugas yang

buruk di area yang sensitif, yang dapat menawarkan bujukan untuk

mencuri atau menutupi kinerja yang buruk

Desentralisasi yang tinggi yang menyebabkan manajemen atas tidak

sadar akan tindakan yang diambil oleh tingkat bawah perusahaan dan

demikian mengurangi kemungkinan untuk tertangkap.

Fungsi pengendalian internal yang lemah yang memiliki kemampuan

dan kewenangan untuk mendeteksi serta melaporkan perilaku yang

tidak benar; ini merupakan area dimana pengendalian internal dapat

memperbaiki sendiri dengan melakukan pengendalian internal yang

efektif.

Hukuman-hukuman untuk perilaku yang tidak pantas yang tidak

signifikan atau tidak dipublikasikan, menyebabkan hal tsb dapat

kehilangan nilainya sebagai pencegah.


8/31

Untuk membangun integritas dan nilai etik, fungsi pengendalian internal yang

kuat harus menjadi komponen utama dari lingkungan pengendalian. Jika

pengendalian internal menemukan bahwa manajemen menempatkan kendala

dalam fungsi audit, pengendalian internal dan CAE harus mengingatkan

manajemen akan kepentingan mereka sebagai bagian dari struktur pengendalian

internal perusahaan secara keseluruhan , dan lebih penting lagi, komunikasikan

hal ini kepada dewan direksi komite audit.

(ii)

Commitment to Competence

Lingkungan pengendalian suatu perusahaan dapat serius terkikis jika sejumlah

besar posisi dipenuhi dengan orang-orang yang kurang keterampilan kerja yang

dibutuhkan. Internal audit akan menemukan situasi ini dari waktu ke waktu pada

saat melakukan review dan interview. Karena setiap karyawan mempunyai level

keterampilan dan kemampuan yang berbeda maka dibutuhkan pelatihan untuk

meningkatkan kemampuan para karyawan. Penugasan karyawan yang kompeten

merupakan hal yang penting dari lingkungan pengendalian.

(iii)

Board of Directors and Audit Committee

Lingkungan pengendalian suatu perusahaan sangat dipengaruhi oleh aktivitas

yang dilakukan oleh para direktur dan audit komitenya. Dahulu, direksi dan audit

komite tidak mempunyai kekuatan apa-apa karena dikuasai oleh manajemen

sepenuhnya. Akhirnya dengan keluar SOx, maka merubah hal tersebut danmemerlukan dukungan audit komite yang benar-benar independen. Direksi yang

aktif dan independen penting di dalam mendukung COSO ini.

(iv) Managements Philosophy and Operating Style

Filosofi dan gaya operasi dari manajemen akan mempengaruhi lingkungan

pengendalian dari suatu perusahaan. Ada manajemen yang berani mengambil

risiko ada juga yang masih konservatif. Auditor internal bertanggung jawab untuk

mengerti perbedaan tipe tersebut agar dapat menilai pengendalian internal yang

dilakukan perusahaan.


9/31

(v) Organizational Structure

Komponen internal kontrol menyediakan sebuah framework untuk perencanaan,

eksekusi, kontrol, dan aktivitas monitoring untuk mencapai keseluruhan target.

Beberapa perusahaan ada yang berstruktur desentralisasi produk, wilayah, ada

yang sentralisasi.

(vi) Assignment Of Authorithy and Responsibility

Tanggung jawab harus dibagi dalam masing-masing deskripsi pekerjaan dan

struktur. Kegagalan dalam pembagian kadang-kadang dapat menimbulkan

kebingungan dan konflik antara individual maupun kelompok.

(vii) Human Resources Policies and Practices

Meliputi:

Perekrutan Perusahaan harus merekrut orang-orang terbaik dan berkualitas.

Latar belakang pendidikan calon karyawan tersebut harus di cek

Perkenalan karyawan baru Para karyawan baru harus diberi tahu mengenai

nilai-nilai perusahaan dan konsekuensi jika tidak mengikuti

Evaluasi, promosi dan kompensasi Harus ada penilaian yang fair

Tindakan disiplin Para karyawan harus mematuhi peraturan yang ada

(viii) COSO Control Environment in Perspective

Sebagai landasan, maka harus kuat.

2. Risk Assesment

Level selanjutnya adalah Risk Assesment. COSO menjelaskan risk assesment dalam tiga

step:

1.

Estimasi risiko signifikan

2.

Assess seberapa sering risiko terjadi

3.

Pertimbangkan bagaimana risiko harus dikelola dan tindakan apa yang harus

diambil


10/31

COSO internal kontrol menyarankan agar risiko dilihat dari tiga perspektif:

1.

Dari faktor eksternalpengelolaan teknologi, harga, garansi

2.

Dari faktor internalkualitas dari karyawan

3.

Risiko spesifikSetiap divisi mempunyai risiko nya masing-masing

3.Control Activities

Level selanjutnya adalah control activitiesyang adalah prosedur yang menolong meminimalisir

risiko.

(i)

Tipe dari control activities

a.

Review dari manajemen puncak

b.

Aktivitas manajemen

c.

Proses informasi

d.

Kontrol terhadap barang-barang physical

e.

Adanya indikator kinerja

f.

Adanya pembagian tugas pekerjaan

(ii)

Integration of control activities with risk assesment

internal kontrol adalah sebuah proses untuk mengidentifikasi risiko.

(iii)

Controls over information systems

Kontrol terhadap prosedur diperlukan oleh IT terkait keuangan, operasional, dan

kepatuhan.

4.

Communications and Information

Level selanjutnya adalah communications and information. Setiap perusahaan harus

mempunyai prosedur efektif terkait dengan komunikasi pihak internal maupun pihak eksternal.

Arus informasi dan konfirmasi ini harus dimengerti untuk evaluasi internal kontrol.

(i)

Relationship of information and internal control

Setiap perusahaan membutuhkan komunikasi untuk mencapai target operasional, finansial dan

kepatuhan.

Strategic and integrated systemSebuah perusahaan pasti mempunyai buku besar, payroll, persediaan, piutang, utang, dan

lainnya. COSO internal control menyarankan agar perusahaan berjalan efektif maka perusahaan

harus mengimplementasikan strategi dan sistem informasi yang terintegrasi.

Dengan strategic system, COSO internal control report menyarankan agar manajemen konsider

dengan perencanaan, design dan implementasi dari setiap informasi sebagai bagian dari strategi

besar perusahaan.


11/31

Quality of information

Untuk menentukan kualitas dari informasi:

* Isi dari laporan harus sesuai

* Informasi tersedia kapan saja dibutuhkan

* Informasi yang sekarang sedang terjadi harus tersedia

* Data dan informasi adalah benar

* Informasi dapat diakses oleh pihak yang berkepentingan

5.

Monitoring

Level selanjutnya adalah monitoring. Monitoring dilakukan oleh internal auditor yang melakukan

review terhadap kepatuhan.

(i)

Ongoing monitor activities

Berikut adalah contoh dari ongoing monitor activities:

Fungsi normal manajemen operasi

Komunikasi dari pihak eksternal

Kegiatan supervisi dan struktur perusahaan

Perhitungan persediaan dan rekonsiliasi aset

(ii)

Separate internal control evaluation

Internal control evaluation proses

Evaluasi terdiri dari:

o

Pengetahuan tentang sistem design

o Tes terhadap kontrol utama

o Dari hasil test diambil kesimpulan

Internal Control Evaluation Process

COSO memberikan arahan menganai evaluasi atas pengendalian internal, Evaluatorharus (1)

mengembangkan pemahaman sistem design (2) menguji pengendalian kunci, (3)

mengebangkan kesimpulan yang berdasarkan hasil pengujian. COSO Internal control juga

menyarankan Benchmarking(Proses membandingkan proses dan prosedur pengendalian

Perusahaan dengan Perusahaan lain sebagai acuan) sebagai pendekatan alternatif.


12/31

Evaluation Actions Plans

Banyak prosedur yang terbukti efektif namun tidak didokumentasikan dengan baik, namun prosedur ini

dapat direviu dengan cara yang sama dengan mereviu prosedur yang terdokumentasi . Tim yang

mereviu harus membuat dokumen evaluasi mengenai proses kerja dan nature dari internal control.

Melaporkan Defisiensi Pengendalian Internal

Apakah Defisiensi pengendalian internal terdeteksi oleh sistem pengendalian atau melalui

aktivitas pengendalian atau melalui external events, evaluator harus melaporkan pada Manajemen

Perusahaan. Segala sesuatu defisiensi Pengendalian Internal yang dapat mempengaruhi entitas

mencapai tujuannya harus dilaporkan pada pihak yang dapat melakukan tidakan yang diperlukan.


13/31

INTERNAL AUDIT

RISK MANAGEMENT:

COSO ERM

Brinks Ch. 6

1206316736Adhysty Vidyana

1206316950Cindyartha A. M. Pardede

1206316963Clara Stephanie

1206316982Dea Hastaviningsih

Febriandi


14/31

FAKULTAS EKONOMI

UNIVERSITAS INDONESIA

TAHUN 2014

Enterprise Risk Management (ERM) adalah pendekatan yang memperkenankan Perusahaan dan Internal

audit untuk memperhatikan dan menilai resiko ditiap level, baik area individual Seperti IT project atau

resiko global terkait dengan ekspansi Internasional. ERM di terbitkan oleh COSO (committee Of

Sponsoring Organization).

Risk Management adalah memiliki konsep yang sama dengan asuransi, yaitu individu atau Perusahaan

menggunakan mekanisme asuransi untuk melindungi dari berbagai resiko seperti competitor yang

agresif, kerugian karena cuaca, dll. Saat ini Perusahaan menghadapi berbagai macam resiko dan

membutukan suatu alat untuk menyortir resiko tersebut untuk membuat biaya yang rasional dan

kebijakan terkait resiko.

Proses Risk Management yang efektif memerlukan 4 Proses yaitu, identifikasi resiko, penilaian

kuantitatif dan kualitatif atas resiko yang terdokumentasi, prioritas resiko dan respon terhadap

planningdan risk monitoring.

1. Risk Identification

Manajemen harus berusaha untuk mengidentifikasi seluruh resiko yang mungkin berdampak pada

kesuksesan Perusahaan. Proses identifikasi resiko memerlukan sebuah studi, pendekatan yang hati-hati

untuk mencari resiko potensial disetiap area operasi.

2. Key Risk Assesment

Setelah mengidentifikasi resiko, langkah selanjutnya adalah menilai kemungkinan yang terjadi.

Pendekatan yang digunakan bisa dengan pendekatan kualitatif, analisa kuantitatif, dll. Metode tersebut

digunakan untuk menentukan kejadian-kejadian beresiko yang paling dikhawatirkan manajemen.

Manajer yang bertanggung jawab harus menilai resiko tersebut menggunakan pendekatan kuesioner :

Seberapa besar kemungkinan terjadinya resiko dalam jangka waktu satu tahun? Gunakan skala

1-9 dengan acuan sebagai berikut : Score 1 jika hampir tidak ada kemungkinan terjadi dalam

satu tahun, score 9 jika merasa kejadian yang mengandung risiko sering terjadi dalam periode

satu tahun, score 2-8 tergantung pada kemungkinan


15/31

Seberapa signifikan resiko tersebut berpengaruh pada biaya yang terjadi di Perusahaan secara

keseluruhan? Gunakan skala 1-9 untuk menentukan pengaruh resiko terhadap keuangan

perusahaan.

Kuesioner ini harus disirkulasikan kepada orang-orang yang memiliki pengetahuan untuk

mengidentifikasi resiko

Probabilitas dan Ketidakpastian : Probabilitas Event 1 x Probabilitas Event 2 = Probabilitas kedua

kejadian

Ketergantungan Resiko : Resiko disuatu Perusahaan terkadang saling bergantung. Setiap unit

operasi bertanggung jawab atas resiko nya masing-masing tetapi mungkin dapat terkena

konsekuensi dari Resiko yang terjadi pada unit lainnya dalam suatu organisasi.

Risk Ranking : Suatu Perusahaan mungkin menghadapi potensi resiko yang sangat banyak,

langkah selanjutnya adalah signifikansi dan kemungkinan terjadinya, menghitung rankingdari

setiap risiko dan mengidetifikasi resiko yang paling signifikan antar entitas. Resiko dengan

Rankingyang paling tinggi, harus mendapatkan perhatian utama dari Manajemen.

3. Quantitave Risk Analysis

Expected Values and Response Planning : mengestimasi biaya yang timbul jika suatu resiko

yang teridentifikasi oleh Perusahaan terjadi. Kemudian biaya tersebut diaplikasikan kepada

risk factor probability untuk mendapatkan expected value atau biaya dari resiko tersebut.

Estimasi biaya ini harus dilakukan oleh orang-orang yang memiliki pengetahuan mengenai

resiko yang terdapat dalam area tertentu.

Orang-orang yang memiliki pengetahuan mengenai area yang beresiko biasanya bisa

mengestimasi biaya terkait resiko dengan baik, dengan menimbang pertanyaan berikut:

1. apa kasus terbaik dari estimasi biaya atas keterjadian resiko? Ini adalah asumsi bahwa

hanya ada dampak yang terbatas jika resiko terjadi

2. apa yang akan orang yang memiliki pengetahuan estimasi untuk biaya?

3. Berapakahexpected value atau biaya yang dikeluarkan jika resiko terjadi?

4. apa kasus terburuk atas keterjadian resiko?

4. Pemantauan Risiko (Risk Monitoring)

Proses identifikasi risiko merupakan proses tahunan atau kuartalan. Setelah risiko diidentifikasi,

perusahaan perlu untuk memantau mereka dan membuat penyesuaian yang berkelanjutan sesuai

kebutuhan. Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau oleh peninjau

independen.

Audit internal merupakan sumber yang sangat kredibel dan baik untuk memantau status risiko yang

teridentifikasi. Pengumpulan informasi bisa melalui survei atau review langsung. Audit internal

selalu memiliki tingkat kredibilitas tambahan dan otoritas. Ketika auditor bertanya tentang status

beberapa area risiko yang diidentifikasi, pihak yang bertanggung jawab untuk area tersebut cukup

mungkin akan memberikan informasi yang akurat. Jika audit internal tidak dapat memperoleh


16/31

informasi yang baik mengenai status beberapa risiko yang diidentifikasi, maka dapat menjadwalkan

kunjungan untuk lebih memahami sifat dari area risiko.

2.

COSO ERM : Enterprise Risk Management

COSO Enterprise Risk Management (ERM) adalah kerangka kerja untuk membantu perusahaanmempunyai definisi yang konsisten pada risiko mereka. Ini juga merupakan alat yang baik untuk

memaahami dan meningkatkan pengendalian internal Sox. COSO ERM diluncurkan dengan cara yang

sama untuk pengembangan kerangka kerja pengendalian internal COSO.

Dokumen kerangka kerja COSO ERM mendefinisikan enterprise risk management :

Enterprise risk management is a process, effected by an entitys board of directors, management and

other personnel, applied in a strategy setting and across the enterprise, designed to identify potential

events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable

assurance regarding the achievement of entity objectives.

Poin utama dari definisi tersebut yaitu :

ERM adalah sebuah proses

Sebuah proses cenderung merupakan aturan yang lebih fleksibel. Serangkaian langkah harus

didokumentasikan untuk meninjau dan mengevaluasi potensi risiko dan mengambil tindakan

berdasarkan berbagai faktor di seluruh perusahaan.

Proses ERM diimplementasikan oleh orang dalam perusahaan

ERM tidak akan efektif jika diimplementasikan oleh orang-orang perusahaan yang memiliki

sedikit pemahaman tentang berbagai faktor keputusan sekitar unit operasi.

ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhanSerangkaian proses ERM yang efektif harus memainkan peran penting dalam membantu untuk

membangun strategi-strategi alternatif. Karena banyak perusahaan besar dengan banyak unit

operasi yang berbeda, ERM harus diterapkan di seluruh perusahaan menggunakan jenis

portofolio pendekatan yang memadukan campuran kegiatan yang tinggi dan berisiko rendah.

Konsep risk appetiteharus dipertimbangkan

Risk appetiteadalah jumlah resiko yang bersedia diterima oleh suatu perusahaan dan manajer

dalam rangka mengejar nilai. Risk appetite dapat diukur dalam arti kualitatif dengan melihat

risiko pada kategori tinggi, sedang, atau rendah; dan dapat juga didefinisikan secara kualitatif.

Ide dasarnya adalah bahwa setiap manajer dan setiap perusahaan memiliki beberapa risk

appetite. Beberapa akan menerima usaha yang berisiko yang menjanjikan potensi return yangtinggi; yang lain lebih memilih pendekatan return yang terjamin dan berisiko rendah.

ERM memberikan alasan tapi bukan jaminan positif atas pencapaian tujuan.

Idenya di sini adalah bahwa ERM, tidak peduli seberapa baik dipikirkan atau diimplementasikan,

tidak dapat memberikan jaminan hasil untuk manajemen atau orang lain.

ERM didesain untuk membantu mencapai tujuan

Program ERM secara keseluruhan harus membantu untuk mencapai tujuan perusahaan.


17/31

3.

Elemen Kunci COSO ERM

Gambar di atas menunjukan kerangka kerja COSO ERM sebagai kubus 3 dimensi dengan komponen:

Empat kolom vertikal mewakili tujuan strategis risiko perusahaan;

Delapan baris horizontal atau komponen risiko;

Beberapa tingkatan untuk menggambarkan setiap perusahaan, dari tingkat entitas "kantor

pusat hingga anak perusahaan. Tergantung pada ukuran organisasi, akan ada banyak irisan

model di sini.

Tujuan dari kerangka kerja ERM ini adalah untuk memberikan model bagi perusahaan untuk

mempertimbangkan dan memahami kegiatan yang yang berhubungan dengan risiko pada semua tingkat

serta bagaimana dampak komponen risiko tersebut satu sama lain.

a.

Komponen Lingkungan Internal

Lingkungan internal dapat dianggap sebagai capstoneuntuk COSO ERM. Komponen ini mirip dengan

kotak di bagian atas bagan organisasi yang berisi daftar CEO sebagai kepala dari suatu fungsi. Tingkat

ini mendefinisikan dasar untuk semua komponen lain dalam model ERM suatu perusahaan,mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan usaha yang

terkait dengan resiko yang terstruktur, dan bagaimana risiko diidentifikasi dan ditindaklanjuti.

Komponen lingkungan internal COSO ERM terdiri dari elemen-elemen sebagai berikut:

Filosofi risiko manajeme

Risk appetite

Perilaku dewan direksi


18/31

Nilai integritas dan etika

Komitmen pada kompetensi

Struktur organisasi

Wewenang dan tanggung jawab

Standar sumber daya manusia

Tidak peduli apakah suatu perusahaan memiliki risk appetiteyang tinggi atau rendah untuk risiko,

perlu untuk membangun praktik lingkungan pengendalian untuk mengelola risiko tersebut.

b.

Pengaturan Tujuan

COSO ERM menekankan bahwa pernyataan misi adalah elemen penting untuk menetapkan tujuan;

secara umum, pernyataan tujuan yang formal dan kerangka untuk perkembangan strategi

fungsional tertentu.

COSO ERM membutuhkan perusahaan untuk secara resmi menentukan tujuannya dengan hubungan

langsung pernyataan misinya, bersama dengan kriteria pengukuran untuk menilai tercapainya

tujuan pengelolaan risiko ini.

Gambar di atas menunjukan hubungan porsi komponen pengaturan tujuan COSO ERM. Mulai dari

misi secara keseluruhan, pendekatannya adalah untuk (1) mengembangkan tujuan strategis untuk

mendukung pencapaian misi tersebut, (2) menetapkan strategi untuk mencapai tujuan, (3)

menentukan apapun tujuan yang terkait, dan (4) mendefinisikan risk appetiteuntuk menyelesaikanstrategi itu.

c.

Identifikasi Peristiwa

Peristiwa adalah kejadian pada perusahaan atau kejadian-eksternal atau eksternal-yang

mempengaruhi pelaksanaan strategi ERM dan pencapaian tujuannya. Banyak perusahaan saat ini


19/31

memiliki alat pemantauan kinerja yang kuat untuk memantau biaya, anggaran, jaminan kualitas,

kepatuhan, dan sejenisnya. Proses pemantauan harus termasuk:

Peristiwa ekonomi eksternal

Peristiwa lingkungan alam

Peristiwa politik

Faktor-faktor sosial

Peristiwa infrastruktur internal

Peristiwa terkait proses internal

Peristiwa teknologi internal dan eksternal

Perusahaan perlu menetapkan dengan jelas risiko peristiwa yang signifikan dan kemudian

memantau mereka untuk mengambil tindakan yang tepat diperlukan. Pendekatan yang perlu

digunakan adalah:

Daftar peristiwa

Manajemen harus mengembangkan daftar yang berhubungan dengan risiko kejadian umumuntuk perusahaan industri tertentu dan area fungsional. Artinya, perusahaan harus belajar

dari peristiwa-peristiwa yang pernah terjadi.

Workshop yang difasilitasi

Perusahaan dapat membangun workshop lintas fungsional untuk membahas faktor-faktor

risiko potensial yang dapat berkembang dari berbagai peristiwa internal atau eksternal.

Hasil dari workshop ini akan menjadi rencana kegiatan untuk memperbaiki potensi risiko.

Wawancara, kuesioner, dan survey

Informasi mengenai kejadian risiko potensial dapat berasal dari berbagai sumber, seperti

surat kepuasan pelanggan atau komentar exit interviewkaryawan.

Analisa alur proses

Teknik aplikasi COSO ERM merekomendasikan penggunaan diagram alir untuk meninjau

proses dan mengidentifikasi kejadian risiko potensial.

Memimpin acara dan memicu peningkatan

Idenya di sini adalah untuk membangun serangkaian unit pengukuran usaha untuk

memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.

Pelacakan hilangnya data peristiwa

Dapat dilakukan dengan menggunakan sumber database internal maupun eksternal.

d.

Penilaian Risiko

Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan efek kejadian yang

berhubungan dengan risiko potensial mungkin ada pada pencapaian suatu perusahaan atas

tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak

potensial.

Inherent Risk : Risiko yang melekat di luar kendali manajemen, biasanya berasal dari faktor

eksternal

Residual Risk : Risiko yang tersisa setelah tanggapan manajemen terhadap ancaman risiko

dan penanggulangan telah diterapkan


20/31

Kemungkinan risiko dan dampak merupakan dua komponen kunci penting lainnya untuk melakukan

penilaian risiko. Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui

rangkaian pengukuran kuantitatif dan kualitatif.

Penilaian risiko adalah komponen kunci dari kerangka kerja COSO ERM. Disinilah suatu perusahaan

mengevaluasi semua risiko yang mungkin berdampak pada tujuan, mempertimbangkan kemungkinan

potensi dan dampak dari setiap risiko ini, menganggap keterkaitan mereka pada unit-unit dengan atau

total basis perusahaan, dan kemudian mengembangkan strategi untuk tanggapan yang tepat. Dalam

beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dari teknik penilaian risiko

klasik yang telah digunakan selama bertahun-tahun. Yang unik adalah bahwa COSO ERM menunjukkan

bahwa perusahaan harus mengambil pendekatan total, seluruh unit dan mencakup semua masalah

strategis utama, untuk mengidentifikasi risiko yang secara konsisten dan menyeluruh.

tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar ini:

1. Penghindaran.

Ini adalah strategi berjalan menjauh dari-risiko seperti menjual unit bisnis yang

menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini

produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau

berjalan kaki sampai setelah kejadian risiko telah terjadi dengan biaya yang terkait.

Kecuali suatu perusahaan memiliki nafsu makan yang sangat rendah untuk risiko, sulit

untuk berjalan kaki dari area bisnis atau lini produk dinyatakan sukses atas dasar potensi


21/31

risiko di masa depan. Penghindaran bisa menjadi strategi yang mungkin mahal jika

investasi dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk

menghindari risiko.

Sebuah kolektif pelajaran-belajar memahami kegiatan masa lalu sering dapat membantu

dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa daerah di masa lalu

dengan konsekuensi yang tidak menguntungkan, ini mungkin cara yang baik untuk

menghindari risiko sekali lagi. Karena perubahan konstan dan tenor kerja pendek, sejarah

kolektif ini terlalu sering hilang dan dilupakan. Dipahami dan dikomunikasikan nafsu

makan suatu perusahaan untuk risiko mungkin pertimbangan yang paling penting ketika

memutuskan apakah strategi penghindaran risiko sesuai.

2. Reduction.

Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini

produk dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu lini produk

kunci; operasional TI membelah menjadi dua lokasi yang terpisah secara geografis akan

mengurangi risiko beberapa bencana kegagalan. Jumlah strategi yang efektif untukmengurangi risiko turun kepada karyawan lintas-pelatihan yang jelas dan duniawi, seperti

untuk mengurangi risiko seseorang berangkat tiba-tiba.

3. Sharing.

Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui

pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi

keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi

dari kemungkinan fluktuasi harga, atau dapat berbagi risiko usaha potensial dan manfaat

melalui perjanjian joint venture perusahaan atau pengaturan struktural lainnya. Idenya

adalah untuk memiliki pihak lain menerima beberapa risiko potensial serta untuk berbagi

dalam imbalan yang dihasilkan.4. Penerimaan.

Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan selfinsures dengan

mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, suatu perusahaan

harus melihat kemungkinan dan dampak risiko dalam terang toleransi risiko yang telah

ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.

Penerimaan sering merupakan strategi yang tepat untuk banyak berbagai risiko yang

dihadapi perusahaan.

Manajemen harus mengembangkan strategi respon umum untuk masing-masing risiko dengan

menggunakan pendekatan dibangun sekitar satu atau campuran strategi menghindari risiko ini.

Dengan demikian, harus mempertimbangkan biaya versus keuntungan dari setiap respon risiko

potensial serta strategi yang terbaik sejajar dengan risk appetite keseluruhan perusahaan.

Suatu perusahaan harus kembali ke tujuan risiko yang telah ditetapkan serta toleransi rentang

untuk tujuan tersebut. Maka harus readdress baik likelihoods dan dampak yang terkait dengan


22/31

masing-masing untuk mengembangkan set keseluruhan respon risiko yang direncanakan. Ini

mungkin langkah yang paling sulit dalam membangun program COSO ERM yang efektif. Hal

ini relatif mudah untuk mengidentifikasi risiko kemungkinan 5% yang mungkin ada api di bahan

bekas bin dan kemudian untuk membangun obat respon risiko untuk menginstal alat pemadam

kebakaran terdekat. Namun, tanggapan terhadap sebagian besar risiko yang jauh lebih kompleks

dan memerlukan perencanaan yang cukup rinci dan analisis. Jika ada risiko bahwa suatu

perusahaan bisa kehilangan operasi manufaktur seluruh karena kunci tapi lama kegagalan

produksi peralatan pabrik, tanggapan potensi risiko dapat meliputi:

Memperoleh peralatan produksi cadangan untuk melayani bagian sebagai cadang untuk

annibalization.

Matikan manufaktur lini produksi dengan rencana untuk memindahkannya ke tempat

lain.

Aturlah toko khusus untuk membangun kembali / merekonstruksi peralatan tua.

Merekayasa ulang produk yang diproduksi dan berencana untuk pengenalan produk baru.

Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan pemikiran strategis.Beberapa alternatif respon risiko mungkin melibatkan biaya, waktu, dan perencanaan proyek

rinci.

(f) Control Activities

ERM Control Activities adalah kebijakan dan prosedur yang diperlukan untuk memastikan

tindakan terhadap respon risiko yang diidentifikasi. Meskipun beberapa dari kegiatan ini dapat

hanya berhubungan dengan respon risiko diidentifikasi dan disetujui di daerah dari perusahaan,

mereka sering tumpang tindih di beberapa fungsi dan unit. Kegiatan pengendalian komponen

COSO ERM harus terkait erat dengan strategi respon risiko dan tindakan dibahas sebelumnya.

Setelah melalui identifikasi kejadian risiko COSO ERM, proses penilaian, dan respon,

pemantauan risiko memerlukan empat langkah berikut:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan membuat

prosedur kontrol untuk memantau atau benar bagi mereka.

2. Buat prosedur bor-jenis pengujian api untuk menentukan apakah mereka prosedur

pengendalian yang terkait dengan resiko bekerja secara efektif.

3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja secara

efektif dan seperti yang diharapkan.

4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses risiko

pemantauan.Proses empat langkah ini mirip dengan SOx Pasal 404 persyaratan untuk meninjau, tes, dan

kemudian menegaskan bahwa proses pengendalian internal bekerja secara memadai. Perbedaan

utama, tentu saja, adalah bahwa di bawah SOx, perusahaan diwajibkan secara hukum untuk

menegaskan kecukupan pengendalian internal.


23/31

Banyak Control Activities dalam pengendalian internal COSO cukup mudah untuk

mengidentifikasi dan menguji karena sifat akuntansi mereka. Kegiatan pengendalian ini

umumnya mencakup bidang-bidang pengendalian internal:

Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh orang yang

sama yang mengotorisasi transaksi tersebut.

Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan

mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.

Keamanan dan integritas. Proses kontrol harus memiliki prosedur pengendalian yang

tepat sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.

Dokumentasi. Proses harus tepat didokumentasikan.

Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam mengidentifikasi kegiatan

pengendalian untuk mendukung kerangka ERM nya. Meskipun tidak ada diterima atau

standar serangkaian kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM

menyarankan beberapa bidang:

Ulasan Top-level. Manajer senior harus sangat menyadari peristiwa risiko diidentifikasidalam unit organisasi mereka dan melakukan tinjauan tingkat atas reguler pada status

risiko yang teridentifikasi.

Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat atas, manajer unit

fungsional dan langsung harus memiliki peran penting dalam pengendalian risiko

pemantauan aktivitas. Hal ini sangat penting di mana kegiatan pengendalian berlangsung

dalam unit operasi terpisah dengan kebutuhan komunikasi dan resolusi risiko di saluran

perusahaan.

Pengolahan informasi. Apakah itu proses berbasis peralatan atau bentuk lembut seperti

kertas atau pesan, pengolahan informasi merupakan komponen kunci dalam kegiatan

pengendalian risiko terkait suatu perusahaan IT. Prosedur pengendalian yang tepat harus

dibentuk dengan penekanan pada perusahaan proses TI dan risiko.

Kontrol fisik. Banyak kekhawatiran yang terkait dengan resiko melibatkan aset fisik,

seperti peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan fisik,

inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal kontrol fisik

prosedur kegiatan berbasis risiko yang sesuai.

Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan berbagai alat pelaporan

keuangan dan operasional yang juga dapat mendukung pelaporan kinerja risiko kejadian

penyakit. Jika diperlukan, alat kinerja harus diubah untuk mendukung kontrol ERM

komponen ini kegiatan penting. Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tindakan tertentu tidak

boleh orang yang sama yang menyetujui mereka.

Kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM. Mereka dapat diperluas

untuk mencakup bidang utama lainnya. Beberapa akan khusus untuk masing-masing unit dalam

perusahaan, tetapi masing-masing dari mereka, secara tunggal maupun kolektif, harus komponen

penting mendukung kerangka ERM perusahaan.


24/31

(g) Information and Communication

informasi dan komunikasi kurang satu set terpisah proses yang terkait dengan resiko dari alat dan

proses menghubungkan komponen ERM COSO lainnya. Konsep ini dijelaskan dalam Tampilan

6.9 menunjukkan arus informasi di seluruh komponen COSO ERM.

Tampilan 6.9 Informasi dan Komunikasi Arus Komponen ERM

Sedangkan segmen informasi dari informasi ERM dan komponen komunikasi biasanya dianggap

dalam hal IT sistem informasi strategis dan operasional, aspek kedua komponen ini, komunikasi


25/31


26/31

besar yang meliputi beberapa wilayah geografis, lini produk, atau proses bisnis. Manajer

langsung masing-masing unit biasanya memiliki pemahaman terbaik dari risiko operasional, dan

informasi yang dapat menjadi hilang ketika konsolidasi untuk pelaporan tingkat yang lebihtinggi. Ulasan audit internal atau survei orang terkena dampak langsung oleh risiko ini dapat

membantu untuk mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko

operasional. Sebuah survei dari anggota langsung on-the-lantai dari perusahaan, bersama denganpertanyaan lanjutan, akan memungkinkan pengembangan seperangkat luas dan konsisten risikooperasional katalog. Pertanyaan yang diajukan di sini akan sama dengan jenis pertanyaan rinci

yang digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini bisa

menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang risiko potensial.Dengan pandangan portofolio ERM risiko, perusahaan harus menghindari hal-hal bergulir

menjadi terlalu banyak tingkat ringkasan, hilang atau pembulatan risiko lowerlevel penting.

Apapun posisi mereka di perusahaan atau lokasi geografis mereka, manajer di semua tingkat

harus menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko dalamunit-unit operasional mereka sendiri. Terlalu sering, manajer unit mungkin percaya bahwa

manajemen risiko menjadi perhatian hanya untuk tingkat senior staf kantor pusat. Pentingnya

COSO ERM manajemen dan operasi risiko harus dikomunikasikan kepada semua tingkatperusahaan. Auditor internal harus bertindak sebagai mata dan telinga di sini dan melaporkan

semua risiko operasi diamati.

(b) Tujuan Manajemen Risiko Pelaporan

Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan data keuangan dan nonkeuangan

internal dan eksternal. Pelaporan yang akurat sangat penting untuk keberhasilan suatuperusahaan dalam banyak dimensi. Berita melaporkan sering detil penemuan pelaporan

keuangan perusahaan tidak akurat dan menghasilkan dampak pasar saham untuk entitas

menyinggung. Bahwa pelaporan yang tidak akurat sama dapat menyebabkan masalah di banyak

daerah. Contoh risiko yang terkait dengan pelaporan yang tidak akurat menjadi isu beberapatahun lalu di perusahaan minyak Royal Dutch Shell utama. Perusahaan eksplorasi minyak dan

gas yang diperlukan untuk melaporkan cadangan mereka-jumlah minyak dan gas pada properti

mereka yang belum diekstraksi. Pada bulan Januari 2004, Royal Dutch mengumumkan bahwakarena perkiraan buruk dan catatan ceroboh menjaga, sudah signifikan overreporting

diperkirakan reserves.6 minyak Kesalahan ini tidak mempengaruhi dilaporkan hasil keuangan

perusahaan dan pedoman pelaporan cadangan SEC di sini tidak begitu kuat; Namun demikian,pasar belur saham setelah pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lain-

lain dipaksa untuk mengundurkan diri. Perusahaan, di bawah ketua baru, kemudian

mengumumkan rakit perubahan dan perbaikan pengendalian internal untuk memperbaiki

kerusakan.

(c) Tujuan Risiko Hukum dan Peraturan

Setiap jenis perusahaan harus mematuhi berbagai peraturan perundang-undangangovernmentimposed atau standar industri. Sementara risiko kepatuhan dapat dipantau dan diakui,

risiko hukum kadang-kadang benar-benar tak terduga.

COSO ERM merekomendasikan bahwa risiko yang terkait dengan kepatuhan dipertimbangkanuntuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal,

pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan. Bahan bimbingan ERM

tidak menawarkan banyak informasi tambahan tentang kepatuhan ini tujuan selain untukmenyatakan bahwa tujuan ini mengacu pada conformance dengan hukum dan peraturan yang


27/31

berlaku. Ini adalah elemen penting dari kerangka kerja manajemen risiko yang perlu

dikomunikasikan dan dipahami.

Seperti telah dibahas, semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum danperaturan, dengan beberapa berdampak hampir semua perusahaan dan lain-lain yang

berhubungan dengan hanya unit bisnis tunggal dalam sektor industri khusus. Sifat risiko

kepatuhan perlu dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Suatuperusahaan dapat menerima tingkat resiko tertentu dalam hal keprihatinan mengenai kepatuhanhukum. Sementara hukum besar tidak boleh dengan sengaja diabaikan karena merasa

pelanggaran tidak akan pernah tertangkap, suatu perusahaan harus selalu mengambil pendekatan

beralasan risiko dalam hubungannya dengan filsafat dan risiko selera secara keseluruhan.

6.5 Entity-Level Risks

a) Risiko Meliputi Seluruh OrganisasiBeberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. Sangat mudah

bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak material";

menggunakan-SOx pra terminologi akuntan publik, suatu perusahaan harus memikirkan semuarisiko yang berpotensi signifikan. Sebagai contoh, perhatikan anak perusahaan yang relatif kecil

di negara berkembang yang memproduksi pakaian kasual. Seringkali unit tersebut sangat kecil

dalam hal total kontribusi pendapatan perusahaan atau ukuran relatif yang dapat menyelinap di

bawah radar pada tingkat korporasi senior. Namun, jika ada masalah pekerja anak di negara tuanrumah, perusahaan itu dapat menemukan dirinya di pusat perhatian mengenai operasi ini anak

kecil. Dalam situasi seperti ini, wartawan dapat meminta CEO untuk komentar publik mengenai

kebijakan dan prosedur di bahwa operasi anak perusahaan, meskipun CEO mungkin tahukeberadaannya hanya samar-samar.

Maksud kami di sini adalah bahwa kedua besar serta risiko yang tampaknya kecil dapat

berdampak seluruh perusahaan. Pengiriman makanan tercemar diproduksi di satu unit kecil dari

sebuah rantai makanan cepat saji besar dapat berdampak pada prospek dan reputasi perusahaankeseluruhan. Hal ini relatif mudah untuk mengidentifikasi risiko entitas-lebar tingkat tinggi,

seperti kepatuhan dengan SOX Section 404, dan untuk mengidentifikasi dan memantau ini

sebagai bagian dari proses COSO ERM, harus diperhatikan bahwa potensi risiko yang lebih keciltidak tergelincir melalui celah-celah . Sebagai risiko diidentifikasi melalui pengaturan tujuan

organisasi-lebar, mereka harus dipertimbangkan secara entitas-lebar maupun oleh unit operasi

individu. Risiko unit individu harus ditinjau dan konsolidasi pertama yang mengidentifikasirisiko utama yang dapat mempengaruhi organisasi secara keseluruhan. Selain itu, risiko di

seluruh organisasi juga harus diidentifikasi.

b)

BusinessUnitLevel Risks

Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan

beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di sebuah perusahaanpenjualan luar negeri. Resiko harus dipertimbangkan dalam setiap unit organisasi yang

signifikan. Bahkan diidentifikasi dalam posisi kepemilikan minoritas di sebuah perusahaan

penjualan luar negeri, misalnya, mungkin risiko yang unik untuk unit yang tapi kemudian harus

menggulung dengan entitas secara keseluruhan risiko. Kami telah mencontohkan risiko entitas-tingkat yang mungkin timbul dari kegagalan di bidang manufaktur atau standar hak asasi

manusia dari anak perusahaan kecil di negara berkembang. Kejadian risiko di sini dapat


28/31

menyebabkan memalukan untuk perusahaan secara keseluruhan, tetapi mereka harus telah

menguasai semua jalan ke unit perusahaan kecil. Bhopal, India, bencana ledakan pabrik

meruntuhkan perusahaan induk, seperti yang disebutkan.Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko dapat sering

awal terbaik sebagai proses push-down di mana manajemen tingkat korporasi secara resmi

menguraikan masalah yang berhubungan dengan risiko utama dan meminta manajemen yangbertanggung jawab di masing-masing divisi utama untuk survei tujuan risiko melalui unit operasidalam divisi tersebut. Dengan cara ini, risiko yang signifikan dapat diidentifikasi pada semua

tingkatan dan kemudian berhasil di tingkat di mana mereka dapat menerima paling langsung,

dukungan lokal.Sebuah konsep utama sekitar COSO ERM adalah bahwa perusahaan menghadapi berbagai

risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang lain sering hanya

gangguan mengganggu dan dipandang sebagai minor. The COSO ERM framework menyediakan

mekanisme untuk mempertimbangkan risiko tersebut; itu adalah alat penting untuk membantumemastikan kepatuhan SOx.

6.6 Puting Ini Semua Bersama

COSO framework ERM dijelaskan di sini membahas pendekatan manajemen risiko yang

berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokus pada mengenali

selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalamkonteks pengaturan strategi secara keseluruhan, COSO ERM memiliki beberapa perbedaan

mendasar dari sebagian besar model risiko yang telah digunakan sampai saat ini. COSO ERM

belum digunakan cukup lama untuk menunjuk ke serangkaian perusahaan sukses yang terbukaberpelukan itu. Namun, dengan AS 5 penekanan pada risiko, kita akan mendengar lebih banyak

tentang hal itu maju. Auditor internal, khususnya, harus membentuk tujuan CBOK untuk

mempelajari lebih lanjut tentang kerangka kerja yang penting ini.

COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola danmemahami SOx Pasal 404 pengendalian internal. Hal ini sangat penting dengan yang lebih baru

AS 5 standar auditing yang memberikan pertimbangan lebih ke risiko ketika pemahaman dan

mengevaluasi pengendalian internal. Manajemen perusahaan di semua tingkatan harusmerangkul COSO ERM, alat penting untuk memahami banyak beberapa risiko yang dihadapi

perusahaan dihadapi saat ini. Auditor Internal harus membuat COSO ERM internal audit

persyaratan CBOK, dan harus melakukan audit internal sesuai dengan proses ERM.

6.7 Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak daerah alamsemesta audit yang mana ada melakukan ulasan, dan auditor internal yang efektif harus

memahami proses manajemen risiko. Semua terlalu sering, auditor internal akan melakukan

suatu kajian internal kontrol di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak

dipilih karena "pertimbangan risiko." Auditor harus memiliki tingkat CBOK pengetahuan prosesmanajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan untuk meninjau

kecukupan proses-proses tersebut.

Audit internal harus meninjau proses ERM perusahaan-lebar menggunakan beberapa alat ini:


29/31

Proses diagram alur Sebagai bagian dari proses ERM diidentifikasi, diagram alur prosesdapat berguna dalam menjelaskan bagaimana manajemen risiko beroperasi di suatu

perusahaan. Hal ini memerlukan melihat dokumentasi yang disiapkan untuk proses yang

terkait dengan resiko, menentukan apakah mereka kondisi saat ini, dan menggambarkankecukupan keseluruhan semua tingkat proses enterprise risk. Internal pemodelan proses

audit dan proses flowchart dibahas dalam Bab 16. Ulasan risiko dan pengendalian bahan. Sebuah proses ERM sering mengakibatkan

volume besar bahan bimbingan, prosedur terdokumentasi, format laporan, dan sejenisnya.Mungkin sering berharga untuk review audit internal risiko dan pengendalian bahan.

Benchmarking. Meskipun istilah yang sering disalahgunakan, benchmarking adalahproses melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk

mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik dari orang lain.The Institute of Internal Auditors '(IIA) "Kemajuan Melalui Sharing" motto dan tradisi

serta benchmarking pendekatan dibahas dalam Bab 11 mempromosikan informasi

komparatif mengumpulkan. Hal ini sering dapat menjadi teknik yang berguna di sini.

Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi tentang

efektivitas ERM dari berbagai macam orang. Mereka dapat dikirim ke pihak yangditunjuk dengan permintaan untuk informasi spesifik.


30/31


31/31

sering merupakan teknik audit internal yang berharga. Audit internal harus menetapkan

beberapa ulasan sasaran tingkat tinggi untuk efektivitas COSO ERM di perusahaan mereka,

mengumpulkan data implementasi yang rinci, dan kemudian menilai efektivitas COSO ERMdan sebagai alat untuk mendukung dan meningkatkan kepatuhan SOx. Exhibit 6.10

memberikan panduan untuk Prosedur Audit audit COSO ERM internal.

6.8 Manajemen Risiko dan COSO ERM dalam Perspektif

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat

mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahununtuk pengendalian internal COSO untuk diakui sebagai lebih dari sebuah kajian teknis yang

menarik. Sudah pertama dikodifikasikan sebagai standar audit oleh American Institute

Akuntan Publik 'Auditing Standards Board (ASB) dan menerima beberapa menyebutkan

dalam IIA publikasi, tetapi butuh SOx untuk memberikan COSO pengendalian internalbeberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar akuntansi

internal "yang akan didirikan." Kemudian Perusahaan Publik Akuntansi Dewan Pengawas

(PCAOB) mengamanatkan bahwa pengendalian internal COSO harus menjadi standarpengendalian internal. Tiba setelah SOx, COSO ERM belum memiliki tingkat yang sama

pengakuan. The IIA adalah pendukung awal yang penting, dan elemen ERM dapat dilihat

dalam versi baru dari tujuan Control untuk informasi dan terkait T echnology (COBIT)

kerangka (lihat Bab 5), tetapi masih tidak pada tingkat yang sama penting dan signifikansihari ini untuk suatu perusahaan sebagai kontrol internal COSO.

Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang

harus menjadi bagian dari setiap auditor internal CBOK. Auditor Internal harusmenggunakan prinsip-prinsip manajemen risiko saat memutuskan untuk memilih daerah

diulas mereka (seperti dibahas dalam Bab 15) dan kemudian menggunakan prinsip-prinsip

risiko ketika menilai bukti audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih

penting, COSO ERM akan semakin penting dan pengakuan sebagai perusahaan lebihmemahami dan mengadopsi kerangka ERM. Audit internal harus memiliki pemahaman

CBOK dari COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan untuk

berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih efektif.

chapter 3 - brinks (1).docx

Documents