Chapter 3 Brinks 1
Chapter 3 Brinks 1
Chapter 3 Brinks 1
INTERNAL
CONTROL FRAMEWORK: THE
COSO STANDARD
Brinks Ch. 3
1206316736 Adhysty Vidyana
1206316950 Cindyartha A. M. Pardede
1206316963 Clara Stephanie
1206316982 Dea Hastaviningsih
Febriandi
FAKULTAS EKONOMI
UNIVERSITAS INDONESIA
TAHUN 2014
Committee
internal.
of
Sponsoring
Kerangka
ini
Organizations
pertama
kali
dikenal
(COSO)
kerangka
untuk
mengukur
dunia
untuk
membangun
dan
mengukur
pengendalian
internal.
internal
adalah
suatu
proses,
yang
dilaksanakan
oleh
Definisi ini mengakui bahwa pengendalian internal meluas, lebih dari sekedar
akuntansi dan masalah keuangan serta mencakup semua proses perusahaan. Suatu
unit usaha atau proses memiliki kontrol internal yang baik jika :
1.
2.
3.
4.
5.
sebagai
keperluan
(1)
untuk
akuntansi
yang
berlaku
umum
atau
berlaku
untuk
internal
FCPA mensyaratkan bahwa perusahaan harus:
Membuat dan memelihara buku, catatan, dan rekening, yang,
secara rinci, akurat dan wajar yang mencerminkan transaksi
dan disposisi aset emiten
Menyusun dan memelihara sistem pengendalian akuntansi
internal yang cukup untuk memberikan keyakinan memadai
bahwa:
Transaksi dilakukan sesuai dengan otorisasi umum
atau khusus manajemen
kriteria
yang
berlaku
untuk
pernyataan
harus
akuntansi
jaminan
internal yang
bahwa
setiap
cukup
transaksi
sehingga dapat
diotorisasi
dan
yang
mencerminkan
sikap
menyeluruh
manajemen
corak
suatu
organisasi,
mempengaruhi
kesadaran
(i)
dan
nilai
etik,
dan
jika
pemangku
kepentingan
ketidaktahuan,
bukan
oleh
penyimpangan
yang
Desentralisasi
yang
tinggi
yang
menyebabkan
tingkat
bawah
perusahaan
dan
demikian
tidak
signifikan
atau
tidak
dipublikasikan,
yang
kuat
harus
menjadi
komponen
utama
dari
kepentingan
mereka
sebagai
bagian
dari
struktur
Commitment to Competence
Lingkungan pengendalian suatu perusahaan dapat serius terkikis
jika sejumlah besar posisi dipenuhi dengan orang-orang yang
kurang keterampilan kerja yang dibutuhkan. Internal audit akan
menemukan situasi ini dari waktu ke waktu pada saat melakukan
review dan interview. Karena setiap karyawan mempunyai level
keterampilan dan kemampuan yang berbeda maka dibutuhkan
pelatihan untuk meningkatkan kemampuan para karyawan.
Penugasan karyawan yang kompeten merupakan hal yang
penting dari lingkungan pengendalian.
(iii)
(v)
Organizational Structure
Komponen internal kontrol menyediakan sebuah framework untuk
perencanaan, eksekusi, kontrol, dan aktivitas monitoring untuk
mencapai keseluruhan target. Beberapa perusahaan ada yang
berstruktur desentralisasi produk, wilayah, ada yang sentralisasi.
fair
Tindakan disiplin Para karyawan harus mematuhi peraturan
yang ada
(viii) COSO Control Environment in Perspective
Sebagai landasan, maka harus kuat.
2. Risk Assesment
Level selanjutnya adalah Risk Assesment. COSO menjelaskan risk
assesment dalam tiga step:
1. Estimasi risiko signifikan
2. Assess seberapa sering risiko terjadi
3. Pertimbangkan bagaimana risiko harus dikelola dan tindakan apa
yang harus diambil
COSO internal kontrol menyarankan agar risiko dilihat dari tiga perspektif:
1. Dari faktor eksternal pengelolaan teknologi, harga, garansi
2. Dari faktor internal kualitas dari karyawan
3. Risiko spesifik Setiap divisi mempunyai risiko nya masingmasing
3. Control Activities
Level selanjutnya adalah control activities yang adalah prosedur yang
menolong meminimalisir risiko.
(i)
f.
(ii)
(iii)
untuk
mencapai
target
Quality of information
Untuk menentukan kualitas dari informasi:
* Isi dari laporan harus sesuai
* Informasi tersedia kapan saja dibutuhkan
* Informasi yang sekarang sedang terjadi harus tersedia
* Data dan informasi adalah benar
* Informasi dapat diakses oleh pihak yang berkepentingan
5. Monitoring
Level selanjutnya adalah monitoring. Monitoring dilakukan oleh internal auditor
yang melakukan review terhadap kepatuhan.
(i)
INTERNAL AUDIT
RISK
MANAGEMENT: COSO ERM
Brinks Ch. 6
1206316736 Adhysty Vidyana
1206316950 Cindyartha A. M. Pardede
1206316963 Clara Stephanie
1206316982 Dea Hastaviningsih
Febriandi
FAKULTAS EKONOMI
UNIVERSITAS INDONESIA
TAHUN 2014
Enterprise Risk Management (ERM) adalah pendekatan yang memperkenankan
Perusahaan dan Internal audit untuk memperhatikan dan menilai resiko ditiap level,
baik area individual Seperti IT project atau resiko global terkait dengan ekspansi
Internasional. ERM di terbitkan oleh COSO (committee Of Sponsoring Organization).
Risk Management adalah memiliki konsep yang sama dengan asuransi, yaitu
individu atau Perusahaan menggunakan mekanisme asuransi untuk melindungi dari
berbagai resiko seperti competitor yang agresif, kerugian karena cuaca, dll. Saat ini
Perusahaan menghadapi berbagai macam resiko dan membutukan suatu alat untuk
menyortir resiko tersebut untuk membuat biaya yang rasional dan kebijakan terkait
resiko.
Proses Risk Management yang efektif memerlukan 4 Proses yaitu, identifikasi
resiko, penilaian kuantitatif dan kualitatif atas resiko yang terdokumentasi, prioritas
resiko dan respon terhadap planning dan risk monitoring.
1. Risk Identification
Manajemen harus berusaha untuk mengidentifikasi seluruh resiko yang mungkin
berdampak pada kesuksesan Perusahaan. Proses identifikasi resiko memerlukan
sebuah studi, pendekatan yang hati-hati untuk mencari resiko potensial disetiap
area operasi.
2. Key Risk Assesment
Setelah mengidentifikasi resiko, langkah selanjutnya adalah menilai kemungkinan
yang terjadi. Pendekatan yang digunakan bisa dengan pendekatan kualitatif,
analisa kuantitatif, dll. Metode tersebut digunakan untuk menentukan kejadiankejadian beresiko yang paling dikhawatirkan manajemen. Manajer yang
bertanggung jawab harus menilai resiko tersebut menggunakan pendekatan
kuesioner :
orang-orang
yang
memiliki
ERM memberikan alasan tapi bukan jaminan positif atas pencapaian tujuan.
Idenya di sini adalah bahwa ERM, tidak peduli seberapa baik dipikirkan atau
diimplementasikan, tidak dapat memberikan jaminan hasil untuk manajemen
atau orang lain.
ERM didesain untuk membantu mencapai tujuan
Program ERM secara keseluruhan harus membantu untuk mencapai tujuan
perusahaan.
Gambar di atas menunjukan kerangka kerja COSO ERM sebagai kubus 3 dimensi
dengan komponen:
Tujuan dari kerangka kerja ERM ini adalah untuk memberikan model bagi
perusahaan untuk mempertimbangkan dan memahami kegiatan yang yang
berhubungan dengan risiko pada semua tingkat serta bagaimana dampak
komponen risiko tersebut satu sama lain.
daftar CEO sebagai kepala dari suatu fungsi. Tingkat ini mendefinisikan dasar
untuk semua komponen lain dalam model ERM suatu perusahaan,
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana
kegiatan usaha yang terkait dengan resiko yang terstruktur, dan bagaimana
risiko diidentifikasi dan ditindaklanjuti. Komponen lingkungan internal COSO ERM
terdiri dari elemen-elemen sebagai berikut:
Filosofi risiko manajeme
Risk appetite
Perilaku dewan direksi
Nilai integritas dan etika
Komitmen pada kompetensi
Struktur organisasi
Wewenang dan tanggung jawab
Standar sumber daya manusia
Tidak peduli apakah suatu perusahaan memiliki risk appetite yang tinggi atau
rendah untuk risiko, perlu untuk membangun praktik lingkungan pengendalian
untuk mengelola risiko tersebut.
b. Pengaturan Tujuan
COSO ERM menekankan bahwa pernyataan misi adalah elemen penting untuk
menetapkan tujuan; secara umum, pernyataan tujuan yang formal dan kerangka
untuk perkembangan strategi fungsional tertentu.
COSO ERM membutuhkan perusahaan untuk secara resmi menentukan
tujuannya dengan hubungan langsung pernyataan misinya, bersama dengan
kriteria pengukuran untuk menilai tercapainya tujuan pengelolaan risiko ini.
Gambar di atas menunjukan hubungan porsi komponen pengaturan tujuan COSO
ERM. Mulai dari misi secara keseluruhan, pendekatannya adalah untuk (1)
(2) menetapkan strategi untuk mencapai tujuan, (3) menentukan apapun tujuan
yang terkait, dan (4) mendefinisikan risk appetite untuk menyelesaikan strategi
itu.
c. Identifikasi Peristiwa
Peristiwa adalah kejadian pada perusahaan atau kejadian-eksternal atau
eksternal-yang mempengaruhi pelaksanaan strategi ERM dan pencapaian
tujuannya. Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang
kuat untuk memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan
sejenisnya. Proses pemantauan harus termasuk:
Peristiwa ekonomi eksternal
Peristiwa lingkungan alam
Peristiwa politik
Faktor-faktor sosial
Peristiwa infrastruktur internal
Peristiwa terkait proses internal
Peristiwa teknologi internal dan eksternal
Perusahaan perlu menetapkan dengan jelas risiko peristiwa yang signifikan dan
kemudian memantau mereka untuk mengambil tindakan yang tepat diperlukan.
Pendekatan yang perlu digunakan adalah:
Daftar peristiwa
Manajemen harus mengembangkan daftar yang berhubungan dengan
risiko kejadian umum untuk perusahaan industri tertentu dan area
fungsional. Artinya, perusahaan harus belajar dari peristiwa-peristiwa
yang pernah terjadi.
Workshop yang difasilitasi
Perusahaan dapat membangun workshop lintas fungsional untuk
membahas faktor-faktor risiko potensial yang dapat berkembang dari
berbagai peristiwa internal atau eksternal. Hasil dari workshop ini akan
menjadi rencana kegiatan untuk memperbaiki potensi risiko.
Wawancara, kuesioner, dan survey
Informasi mengenai kejadian risiko potensial dapat berasal dari berbagai
sumber, seperti surat kepuasan pelanggan atau komentar exit interview
karyawan.
Analisa alur proses
Teknik aplikasi COSO ERM merekomendasikan penggunaan diagram alir
untuk meninjau proses dan mengidentifikasi kejadian risiko potensial.
Memimpin acara dan memicu peningkatan
Idenya di sini adalah untuk membangun serangkaian unit pengukuran
usaha untuk memantau tujuan toleransi risiko dan mempromosikan
tindakan perbaikan.
Pelacakan hilangnya data peristiwa
Dapat dilakukan dengan menggunakan sumber database internal maupun
eksternal.
d. Penilaian Risiko
Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan
efek kejadian yang berhubungan dengan risiko potensial mungkin ada pada
pencapaian suatu perusahaan atas tujuannya. Risiko ini harus dinilai dari dua
perspektif: kemungkinan risiko yang terjadi dan dampak potensial.
Inherent Risk : Risiko yang melekat di luar kendali manajemen, biasanya
berasal dari faktor eksternal
Residual Risk : Risiko yang tersisa setelah tanggapan manajemen
terhadap ancaman risiko dan penanggulangan telah diterapkan
Kemungkinan risiko dan dampak merupakan dua komponen kunci penting
lainnya untuk melakukan penilaian risiko. Analisis kemungkinan risiko dan
dampak potensial dapat dikembangkan melalui rangkaian pengukuran kuantitatif
dan kualitatif.
Penilaian risiko adalah komponen kunci dari kerangka kerja COSO ERM. Disinilah
suatu perusahaan mengevaluasi semua risiko yang mungkin berdampak pada
tujuan, mempertimbangkan kemungkinan potensi dan dampak dari setiap risiko ini,
menganggap keterkaitan mereka pada unit-unit dengan atau total basis
perusahaan, dan kemudian mengembangkan strategi untuk tanggapan yang tepat.
Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dari
teknik penilaian risiko klasik yang telah digunakan selama bertahun-tahun. Yang
unik adalah bahwa COSO ERM menunjukkan bahwa perusahaan harus mengambil
pendekatan total, seluruh unit dan mencakup semua masalah strategis utama,
untuk mengidentifikasi risiko yang secara konsisten dan menyeluruh.
tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar ini:
1. Penghindaran.
Ini adalah strategi berjalan menjauh dari-risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini
produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau
berjalan kaki sampai setelah kejadian risiko telah terjadi dengan biaya yang terkait.
Kecuali suatu perusahaan memiliki nafsu makan yang sangat rendah untuk risiko, sulit
untuk berjalan kaki dari area bisnis atau lini produk dinyatakan sukses atas dasar potensi
risiko di masa depan. Penghindaran bisa menjadi strategi yang mungkin mahal jika
investasi dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk
menghindari
risiko.
Sebuah kolektif pelajaran-belajar memahami kegiatan masa lalu sering dapat membantu
dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa daerah di masa lalu
dengan konsekuensi yang tidak menguntungkan, ini mungkin cara yang baik untuk
menghindari risiko sekali lagi. Karena perubahan konstan dan tenor kerja pendek, sejarah
kolektif ini terlalu sering hilang dan dilupakan. Dipahami dan dikomunikasikan nafsu
makan suatu perusahaan untuk risiko mungkin pertimbangan yang paling penting ketika
memutuskan apakah strategi penghindaran risiko sesuai.
2. Reduction.
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini
produk dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu lini produk
kunci; operasional TI membelah menjadi dua lokasi yang terpisah secara geografis akan
mengurangi risiko beberapa bencana kegagalan. Jumlah strategi yang efektif untuk
mengurangi risiko turun kepada karyawan lintas-pelatihan yang jelas dan duniawi, seperti
untuk mengurangi risiko seseorang berangkat tiba-tiba.
3. Sharing.
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi
keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi
dari kemungkinan fluktuasi harga, atau dapat berbagi risiko usaha potensial dan manfaat
melalui perjanjian joint venture perusahaan atau pengaturan struktural lainnya. Idenya
adalah untuk memiliki pihak lain menerima beberapa risiko potensial serta untuk berbagi
dalam imbalan yang dihasilkan.
4. Penerimaan.
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, suatu perusahaan
harus melihat kemungkinan dan dampak risiko dalam terang toleransi risiko yang telah
ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.
Penerimaan sering merupakan strategi yang tepat untuk banyak berbagai risiko yang
dihadapi perusahaan.
Manajemen harus mengembangkan strategi respon umum untuk masing-masing risiko dengan
menggunakan pendekatan dibangun sekitar satu atau campuran strategi menghindari risiko ini.
Dengan demikian, harus mempertimbangkan biaya versus keuntungan dari setiap respon risiko
potensial serta strategi yang terbaik sejajar dengan risk appetite keseluruhan perusahaan.
Suatu perusahaan harus kembali ke tujuan risiko yang telah ditetapkan serta toleransi rentang
untuk tujuan tersebut. Maka harus readdress baik likelihoods dan dampak yang terkait dengan
masing-masing untuk mengembangkan set keseluruhan respon risiko yang direncanakan. Ini
mungkin langkah yang paling sulit dalam membangun program COSO ERM yang efektif. Hal
ini relatif mudah untuk mengidentifikasi risiko kemungkinan 5% yang mungkin ada api di bahan
bekas bin dan kemudian untuk membangun obat respon risiko untuk menginstal alat pemadam
kebakaran terdekat. Namun, tanggapan terhadap sebagian besar risiko yang jauh lebih kompleks
dan memerlukan perencanaan yang cukup rinci dan analisis. Jika ada risiko bahwa suatu
perusahaan bisa kehilangan operasi manufaktur seluruh karena kunci tapi lama kegagalan
produksi peralatan pabrik, tanggapan potensi risiko dapat meliputi:
Memperoleh peralatan produksi cadangan untuk melayani bagian sebagai cadang untuk
annibalization.
Matikan manufaktur lini produksi dengan rencana untuk memindahkannya ke tempat
lain.
Aturlah toko khusus untuk membangun kembali / merekonstruksi peralatan tua.
Merekayasa ulang produk yang diproduksi dan berencana untuk pengenalan produk baru.
Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan pemikiran strategis.
Beberapa alternatif respon risiko mungkin melibatkan biaya, waktu, dan perencanaan proyek
rinci.
(f) Control Activities
ERM Control Activities adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan terhadap respon risiko yang diidentifikasi. Meskipun beberapa dari kegiatan ini dapat
hanya berhubungan dengan respon risiko diidentifikasi dan disetujui di daerah dari perusahaan,
mereka sering tumpang tindih di beberapa fungsi dan unit. Kegiatan pengendalian komponen
COSO ERM harus terkait erat dengan strategi respon risiko dan tindakan dibahas sebelumnya.
Setelah melalui identifikasi kejadian risiko COSO ERM, proses penilaian, dan respon,
pemantauan risiko memerlukan empat langkah berikut:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan membuat
prosedur kontrol untuk memantau atau benar bagi mereka.
2. Buat prosedur bor-jenis pengujian api untuk menentukan apakah mereka prosedur
pengendalian yang terkait dengan resiko bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja secara
efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses risiko
pemantauan.
Proses empat langkah ini mirip dengan SOx Pasal 404 persyaratan untuk meninjau, tes, dan
kemudian menegaskan bahwa proses pengendalian internal bekerja secara memadai. Perbedaan
utama, tentu saja, adalah bahwa di bawah SOx, perusahaan diwajibkan secara hukum untuk
menegaskan kecukupan pengendalian internal.
Banyak Control Activities dalam pengendalian internal COSO cukup mudah untuk
mengidentifikasi dan menguji karena sifat akuntansi mereka. Kegiatan pengendalian ini
umumnya mencakup bidang-bidang pengendalian internal:
Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh orang yang
sama yang mengotorisasi transaksi tersebut.
Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas. Proses kontrol harus memiliki prosedur pengendalian yang
tepat sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.
Dokumentasi. Proses harus tepat didokumentasikan.
Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam mengidentifikasi kegiatan
pengendalian untuk mendukung kerangka ERM nya. Meskipun tidak ada diterima atau
standar serangkaian kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM
menyarankan beberapa bidang:
Ulasan Top-level. Manajer senior harus sangat menyadari peristiwa risiko diidentifikasi
dalam unit organisasi mereka dan melakukan tinjauan tingkat atas reguler pada status
risiko yang teridentifikasi.
Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat atas, manajer unit
fungsional dan langsung harus memiliki peran penting dalam pengendalian risiko
pemantauan aktivitas. Hal ini sangat penting di mana kegiatan pengendalian berlangsung
dalam unit operasi terpisah dengan kebutuhan komunikasi dan resolusi risiko di saluran
perusahaan.
Pengolahan informasi. Apakah itu proses berbasis peralatan atau bentuk lembut seperti
kertas atau pesan, pengolahan informasi merupakan komponen kunci dalam kegiatan
pengendalian risiko terkait suatu perusahaan IT. Prosedur pengendalian yang tepat harus
dibentuk dengan penekanan pada perusahaan proses TI dan risiko.
Kontrol fisik. Banyak kekhawatiran yang terkait dengan resiko melibatkan aset fisik,
seperti peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan fisik,
inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal kontrol fisik
prosedur kegiatan berbasis risiko yang sesuai.
Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan berbagai alat pelaporan
keuangan dan operasional yang juga dapat mendukung pelaporan kinerja risiko kejadian
penyakit. Jika diperlukan, alat kinerja harus diubah untuk mendukung kontrol ERM
komponen ini kegiatan penting.
Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tindakan tertentu tidak
boleh orang yang sama yang menyetujui mereka.
Kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM. Mereka dapat diperluas
untuk mencakup bidang utama lainnya. Beberapa akan khusus untuk masing-masing unit dalam
perusahaan, tetapi masing-masing dari mereka, secara tunggal maupun kolektif, harus komponen
penting mendukung kerangka ERM perusahaan.
(g) Information and Communication
informasi dan komunikasi kurang satu set terpisah proses yang terkait dengan resiko dari alat dan
proses menghubungkan komponen ERM COSO lainnya. Konsep ini dijelaskan dalam Tampilan
6.9 menunjukkan arus informasi di seluruh komponen COSO ERM.
Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan
beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di sebuah perusahaan
penjualan luar negeri. Resiko harus dipertimbangkan dalam setiap unit organisasi yang
signifikan. Bahkan diidentifikasi dalam posisi kepemilikan minoritas di sebuah perusahaan
penjualan luar negeri, misalnya, mungkin risiko yang unik untuk unit yang tapi kemudian harus
menggulung dengan entitas secara keseluruhan risiko. Kami telah mencontohkan risiko entitastingkat yang mungkin timbul dari kegagalan di bidang manufaktur atau standar hak asasi
manusia dari anak perusahaan kecil di negara berkembang. Kejadian risiko di sini dapat
menyebabkan memalukan untuk perusahaan secara keseluruhan, tetapi mereka harus telah
menguasai semua jalan ke unit perusahaan kecil. Bhopal, India, bencana ledakan pabrik
meruntuhkan perusahaan induk, seperti yang disebutkan.
Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko dapat sering
awal terbaik sebagai proses push-down di mana manajemen tingkat korporasi secara resmi
menguraikan masalah yang berhubungan dengan risiko utama dan meminta manajemen yang
bertanggung jawab di masing-masing divisi utama untuk survei tujuan risiko melalui unit operasi
dalam divisi tersebut. Dengan cara ini, risiko yang signifikan dapat diidentifikasi pada semua
tingkatan dan kemudian berhasil di tingkat di mana mereka dapat menerima paling langsung,
dukungan lokal.
Sebuah konsep utama sekitar COSO ERM adalah bahwa perusahaan menghadapi berbagai
risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang lain sering hanya
gangguan mengganggu dan dipandang sebagai minor. The COSO ERM framework menyediakan
mekanisme untuk mempertimbangkan risiko tersebut; itu adalah alat penting untuk membantu
memastikan kepatuhan SOx.
6.6 Puting Ini Semua Bersama
COSO framework ERM dijelaskan di sini membahas pendekatan manajemen risiko yang
berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokus pada mengenali
selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalam
konteks pengaturan strategi secara keseluruhan, COSO ERM memiliki beberapa perbedaan
mendasar dari sebagian besar model risiko yang telah digunakan sampai saat ini. COSO ERM
belum digunakan cukup lama untuk menunjuk ke serangkaian perusahaan sukses yang terbuka
berpelukan itu. Namun, dengan AS 5 penekanan pada risiko, kita akan mendengar lebih banyak
tentang hal itu maju. Auditor internal, khususnya, harus membentuk tujuan CBOK untuk
mempelajari lebih lanjut tentang kerangka kerja yang penting ini.
COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan
memahami SOx Pasal 404 pengendalian internal. Hal ini sangat penting dengan yang lebih baru
AS 5 standar auditing yang memberikan pertimbangan lebih ke risiko ketika pemahaman dan
mengevaluasi pengendalian internal. Manajemen perusahaan di semua tingkatan harus
merangkul COSO ERM, alat penting untuk memahami banyak beberapa risiko yang dihadapi
perusahaan dihadapi saat ini. Auditor Internal harus membuat COSO ERM internal audit
persyaratan CBOK, dan harus melakukan audit internal sesuai dengan proses ERM.
6.7 Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak daerah alam
semesta audit yang mana ada melakukan ulasan, dan auditor internal yang efektif harus
memahami proses manajemen risiko. Semua terlalu sering, auditor internal akan melakukan
suatu kajian internal kontrol di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak
dipilih karena "pertimbangan risiko." Auditor harus memiliki tingkat CBOK pengetahuan proses
manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan untuk meninjau
kecukupan proses-proses tersebut.
Audit internal harus meninjau proses ERM perusahaan-lebar menggunakan beberapa alat ini:
Proses diagram alur Sebagai bagian dari proses ERM diidentifikasi, diagram alur proses
dapat berguna dalam menjelaskan bagaimana manajemen risiko beroperasi di suatu
perusahaan. Hal ini memerlukan melihat dokumentasi yang disiapkan untuk proses yang
terkait dengan resiko, menentukan apakah mereka kondisi saat ini, dan menggambarkan
kecukupan keseluruhan semua tingkat proses enterprise risk. Internal pemodelan proses
audit dan proses flowchart dibahas dalam Bab 16.
Ulasan risiko dan pengendalian bahan. Sebuah proses ERM sering mengakibatkan
volume besar bahan bimbingan, prosedur terdokumentasi, format laporan, dan sejenisnya.
Mungkin sering berharga untuk review audit internal risiko dan pengendalian bahan.
Benchmarking. Meskipun istilah yang sering disalahgunakan, benchmarking adalah
proses melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk
mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik dari orang lain.
The Institute of Internal Auditors '(IIA) "Kemajuan Melalui Sharing" motto dan tradisi
serta benchmarking pendekatan dibahas dalam Bab 11 mempromosikan informasi
komparatif mengumpulkan. Hal ini sering dapat menjadi teknik yang berguna di sini.
Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi tentang
efektivitas ERM dari berbagai macam orang. Mereka dapat dikirim ke pihak yang
ditunjuk dengan permintaan untuk informasi spesifik.
Ini
sering merupakan teknik audit internal yang berharga. Audit internal harus menetapkan
beberapa ulasan sasaran tingkat tinggi untuk efektivitas COSO ERM di perusahaan mereka,
mengumpulkan data implementasi yang rinci, dan kemudian menilai efektivitas COSO ERM
dan sebagai alat untuk mendukung dan meningkatkan kepatuhan SOx. Exhibit 6.10
memberikan panduan untuk Prosedur Audit audit COSO ERM internal.
6.8 Manajemen Risiko dan COSO ERM dalam Perspektif
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat
mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahun
untuk pengendalian internal COSO untuk diakui sebagai lebih dari sebuah kajian teknis yang
menarik. Sudah pertama dikodifikasikan sebagai standar audit oleh American Institute
Akuntan Publik 'Auditing Standards Board (ASB) dan menerima beberapa menyebutkan
dalam IIA publikasi, tetapi butuh SOx untuk memberikan COSO pengendalian internal
beberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar akuntansi
internal "yang akan didirikan." Kemudian Perusahaan Publik Akuntansi Dewan Pengawas
(PCAOB) mengamanatkan bahwa pengendalian internal COSO harus menjadi standar
pengendalian internal. Tiba setelah SOx, COSO ERM belum memiliki tingkat yang sama
pengakuan. The IIA adalah pendukung awal yang penting, dan elemen ERM dapat dilihat
dalam versi baru dari tujuan Control untuk informasi dan terkait T echnology (COBIT)
kerangka (lihat Bab 5), tetapi masih tidak pada tingkat yang sama penting dan signifikansi
hari ini untuk suatu perusahaan sebagai kontrol internal COSO.
Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang
harus menjadi bagian dari setiap auditor internal CBOK. Auditor Internal harus
menggunakan prinsip-prinsip manajemen risiko saat memutuskan untuk memilih daerah
diulas mereka (seperti dibahas dalam Bab 15) dan kemudian menggunakan prinsip-prinsip
risiko ketika menilai bukti audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih
penting, COSO ERM akan semakin penting dan pengakuan sebagai perusahaan lebih
memahami dan mengadopsi kerangka ERM. Audit internal harus memiliki pemahaman
CBOK dari COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan untuk
berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih efektif.