Anda di halaman 1dari 15

BAB 5 11991ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT

Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi mekanisme standar yang mengukur dan mengevaluasi pengendalian akuntansi internal di bawah SarbanesOxley Act (SOx). Sox dianggap kurang member perhatian penuh pada pengendalian internal berbasis TI. Oleh karena itu dibuatlah Control Objectives for Information and Related Technology (CobiT) yang lebih member perhatian terhadap pengendalian internal berbasis TI. CobiT bukanlah pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat yang membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman yang cukup tinggi untuk melakukan audit. Introduction to CobiT Kerangka kerja CobiT kini telah diperluas dan sebagai auditor, sedikitnya harus memahami untuk membantu pendokumentasian, pengkajian, dan pemahaman SOx. Perubahan dan pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem TI dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang meliputi: Keselarasanstrategi Pendistribusian yang bernilai Manajemenrisiko Manajemensumberdaya Pengukurankinerja

Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian internal lainnya. Walupun awalnya hanya dikenal sebagai Audit TI, namun CobiT masih merupakan alat yang paling efektif hingga saat ini. CobiT Framework Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan. Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam pengambilan keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif. Namun kini hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan hubungan timbale balik yang begitu erat. Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti apa yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses yang diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif. Dan CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan proses bisnisnya. Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga bagi perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut. Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang merupakan dasar CobiT. Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI sebagai serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya pengukuran kinerja dan risiko dalam mengatur sumberdaya TI. CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan dengan TI, yaitu sumber daya, proses, dan jenis informasi.

Using CobiT to Assess Internal Controls Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu memahami konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep CobiT ini dapat berguna untuk menilai dan mengembangkan pengendalian internal perusahaan. Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus dievaluasi melalui lima langkah berikut: Pengendalian yang dilakukan (nama proses) Fokus utama proses bisnis (daftar kebutuhan bisnis) Tujuan penggunaan TI (daftar penting penggunaan TI) Bagaimana mencapainya (daftar laporan pengendalian) Dan diukur dengan (daftar kunci metrik)

Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya yang dapat berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis perusahaan. Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga harus digunakan untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau pun tidak. a) Planning and enterprise b) Acquisition and implementation c) Delivery and support d) Monitoring and evaluating Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO digunakan sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang bersifat umum pada audit internal lainya. COBIT disini menekankan pada penggunaan kerangka kerja COBIT bagi semua auditor guna membantu pekerjaan mereka serta adanya SOX sebagai aturan persyaratan kepatuhan mereka. 5.5 COBIT PETUNJUK JAMINAN KERANGKA KERJA Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk pengendalian internal yang lebih efektif dengan menggunakan penekanan pada sumber daya ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka kerja (ITAF) yang difungsikan untuk memberikan pedoman pada pelikalu, desain, serta pelaporan internal audit oleh IT. Tujuan dari ITAF adalah untuk mendefinikan suatu standar perangkat guna membantu

memastikan kualitas, konsistensi dan keandalan penilaian IT berdasarkan peraturan-peratauran yang berlaku. 5.6 COBIT DALAM PERSEPTIF Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam kerangka kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal secara lebih teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti dialami oleh seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-aturan dari IT sendiri, seperti yang dijelaskan pada pada lampiran 5.1 yang menggambarkan pentingnya aliansi strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana, manajemen sumber daya, manajemen resiko dan proses pengukuran kinerja. Kelima sumber daya tersebut memungkinkan perusahaan untuk membangun tata kelolah IT yang efektif serta adanya COBIT yang akan membantu dalam pengelolahan dan pemahaman mengenai konsep-konsep yang benar. Semua auditor diharapkan memiliki pemahaman tentang CBOK dari COBIT dan belajar untuk menggunakan serta memahami pengendalian internal terhadap penilaian kerangka kerja.

BAB 6 RESIKO MANAJEMEN : COSO ERM Melalui strandart internal audit no 5 (AS 5),menyatakan seorang audit internal yang di jamin dan mempunyai peran memberikan konsultasi dapat berkontribusi dalam menangani manajemen resiko. Salah satu konsep profesional dan pemahaman risiko mungkin sangat berbeda dari yang lain ini, meskipun mereka sama-sama bekerja untuk perusahaan yang sama dan di daerah yang sama pula. Ini utama berlaku untuk manajer dan internal auditor yang bekerja untuk meningkatkan SOx terkait kepatuhan, belum ada pemahaman yang konsisten tentang apa yang dimaksud dengan konsep risiko. Konsep utama di balik AS 5 adalah bahwa manajemen dan auditor eksternal harus mempertimbangkan risiko relatif ketika menerapkan dan menilai pengendalian internal untuk mencapai kesesuai dengan Pasal 404 aturan SOx pengendalian internal. Komite Organisasi Sponsoring (COSO) merilis metodologi risiko perusahaan, COSO Manajemen Resiko Perusahaan - Format Terpadu (COSO ERM). Ini merupakan pendekatan yang memungkinkan suatu perusahaan dan audit internal untuk mempertimbangkan dan menilai

risiko di semua tingkatan, baik di daerah masing-masing, seperti untuk teknologi informasi (TI) proyek pembangunan, atau dalam risiko global berkaitan dengan perluasan internasional. Bab ini memperkenalkan kerangka COSO ERM dan unsur-unsurnya, tetapi penekanan adalah tentang mengapa COSO ERM bisa menjadi alat audit yang penting untuk memahami dan mengevaluasi risiko di sekitar pengendalian internal di semua tingkatan. Kita menggambarkan unsur-unsur utama dari kerangka COSO ERM dan melihat bagaimana internal auditor yang lebih baik dapat membangun COSO ERM ke dalam proses audit serta langkah-langkah untuk audit efektivitas proses manajemen risiko suatu perusahaan. 6.1 Manajemen Risiko Fundamental Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan dalam semua kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya. Sebuah proses manajemen risiko yang efektif memerlukan empat langkah: 1. identifikasi risiko, 2. kuantitatif atau kualitatif penilaian risiko terdokumentasi, 3. prioritas resiko dan respon perencanaan, dan 4. pemantauan risiko. empat langkah proses manajemen risiko Ini harus dilaksanakan di semua tingkat perusahaan dan dengan partisipasi banyak orang yang berbeda 6.2 COSO ERM: Resiko Manajemen Perusahaan COSO ERM: Resiko Manajemen Perusahaan adalah suatu kerangka kerja untuk membantu perusahaan dalam menilai konsisten definisi risiko mereka. Ini juga merupakan alat yang penting untuk memahami dan meningkatkan SOx kontrol internal. COSO ERM diluncurkan dengan cara yang mirip dengan pengembangan kerangka pengendalian dari internal COSO. 6.3 COSO ERM kunci elemen-elemen Kerangka kerja COSO pengendalian internal dapat menjadi gamabaran dan definisikan dari pengendalian internal serta dapat menjadi basis penetapan sanski 404 Sox

Dari rubik tersebut memiliki komponen : empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan. Delapan baris horizontal merupakan komponen risiko Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat "markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi, akan ada banyak irisan model di sini. Sumber daya manusia standar. Praktek mengenai perekrutan karyawan, pelatihan, kompensasi, mempromosikan, mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai, ditoleransi, dan dilarang.Kuat standar diperlukan untuk memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The COSO ERM menerbitkan bahan bimbingan berisi contoh-contoh yang diperlukan untuk membangun komponen lingkungan internal yang efektif. (B) Pengaturan Tujuan Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan meliputi operasi, pelaporan, dan kegiatan kepatuhan. COSO ERM Sumber daya manusia standar.

Intinya adalah bahwa perusahaan harus mendefinisikan risiko terkait strategi dan tujuan. Berdasarkan hal tersebut, maka harus memutuskan keinginan dan toleransi untuk risiko ini. Artinya, harus menentukan tingkat risiko yang bersedia diterima dan, diberikan aturan toleransi risiko, seberapa jauh penyimpangan dari preestablished mengukur. Exhibit 6,7 menguraikan hubungan dari komponen tujuan-setting COSO ERM. Dimulai dengan misi keseluruhan, Pendekatan adalah untuk (1) mengembangkan tujuan strategis untuk mendukung pemenuhan itu misi, (2) membuat strategi untuk mencapai tujuan, (3) mendefinisikan tujuan terkait, dan (4) menentukan selera risiko untuk menyelesaikan strategi itu. (C) Kegiatan Identifikasi Peristiwa yang terjadi di perusahaan atau kejadian-eksternal atau eksternal-yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Banyak perusahaan yang saat ini memiliki alat pemantauan di tempat untuk memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:

1.

Eksternal ekonomi kejadian. Berbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan ERM suatu perusahaan. Baik jangka pendek dan jangka panjang peristiwa dapat berdampak tujuan strategis suatu perusahaan.

2.

Lingkungan kejadian alam. Apakah kebakaran, banjir, atau gempa bumi, banyak peristiwa dapat menjadi insiden di identifikasi risiko ERM.

3.

Kejadian politik. Undang-undang baru dan peraturan serta hasil pemilu dapat memiliki signifikan risiko acara yang berhubungan dengan dampak pada perusahaan. Banyak perusahaan besar memiliki fungsi urusan pemerintahan.

4. Faktor-faktor sosial. Sementara peristiwa eksternal seperti gempa bumi yang tiba-tiba. sebagian besar faktor-faktor sosial secara perlahan berkembang peristiwa. Termasuk perubahan demografi, adat-istiadat sosial, dan peristiwa lain yang mungkin berdampak suatu perusahaan dan pelanggan dari waktu ke waktu. 5. Kejadian infrastruktur internal. Usaha sering membuat perubahan jinak yang memicu risiko lain yang berhubungan dengan kejadian. 6. Proses internal-peristiwa terkait. Mirip dengan perubahan dalam kegiatan infrastruktur, perubahan dalam proses kunci dapat memicu berbagai peristiwa identifikasi risiko. 7. Eksternal dan internal teknologi kejadian. Setiap perusahaan menghadapi berbagai macam peristiwa teknologi yang dapat memicu perlunya risiko formal identifikasi. Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan kemudian memantau mereka untuk mengambil tindakan yang tepat diperlukan. Melihat peristiwa internal dan eksternal potensi risiko dan memutuskan mana yang memerlukan perhatian lebih lanjut.dapat menjadi proses yang sulit. The COSO ERM menyarankan perusahaan mempertimbangkan beberapa pendekatan: 1. Terjadinya persediaan. Manajemen harus mengembangkan resiko yang berhubungan dengan daftar kejadian umum untuk industri spesifik perusahaan dan area fungsional.

2.

Difasilitasi lokakarya. Suatu perusahaan dapat membangun lintas-fungsional lokakarya untuk membahas faktor-faktor risiko potensial yang mungkin berevolusi dari internal atau eksternal berbagai peristiwa.

3.

Wawancara, kuesioner, dan survei. Informasi mengenai potensi risiko kejadian dapat berasal dari berbagai sumber, seperti kepuasan pelanggan surat atau komentar keluar karyawan wawancara.

4.

Proses analisis flo. The COSO teknik aplikasi ERM bahan merekomendasikan penggunaan diagram alir untuk meninjau proses dan mengidentifikasi potensi resiko kejadian.

5.

Memimpin acara dan memicu eskalasi. Idenya di sini adalah untuk membangun serangkaian pengukuran unit bisnis untuk memonitor tujuan toleransi risiko dan mempromosikan tindakan perbaikan.

6.

Rugi data pelacakan. Sementara pendekatan dashboard memonitor kejadian risiko, seringkali berharga untuk meletakkan segala sesuatu dalam perspektif yang lebih setelah berlalunya waktu. Rugi pelacakan acara mengacu kepada penggunaan internal dan database publik sumber untuk melacak aktivitas di bidang minat. Alat identifikasi risiko dan pendekatan dapat menghasilkan beberapa informasi yang

sangat berguna.

Penggunaannya membutuhkan analisis yang baik dari data serta rencana

memulai aksi, apakah untuk melindungi dari risiko atau untuk memanfaatkan peluang potensial. (D) Penilaian Risiko Komponen penilaian risiko adalah kerangka inti. Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek potensi risiko yang berhubungan dengan kejadian tersebut terhadap prestasi perusahaan tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan dari resiko yang terjadi dan dampak potensial. 1. Inherent risiko. Seperti yang didefinisikan oleh Kantor Pemerintah AS Manajemen dan Anggaran, risiko yang melekat adalah potensi "untuk limbah, kehilangan, penggunaan yang tidak sah, atau karena sifat dari kegiatan itu sendiri penyelewengan "Faktor-faktor utama yang mempengaruhi. risiko perusahaan yang melekat adalah ukuran anggaran, kekuatan dan

kecanggihan Manajemen, dan hanya sifat kegiatannya. Risiko Inheren berada di luar pengendalian manajemen dan biasanya berasal dari faktor eksternal. 2. Residual Risk. Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual. Kedua konsep menyiratkan bahwa perusahaan akan selalu menghadapi beberapa risiko. Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi risiko, masih akan ada beberapa risiko sisa untuk memperbaiki. Selain itu, selalu ada beberapa melekat risiko bahwa manajemen dapat berbuat banyak untuk mengurangi. Wal-Mart, misalnya, dapat mengambil beberapa langkah untuk mengurangi risiko yang melekat yang terkait dengan dominasi pasar tetapi dapat melakukan pada dasarnya tidak ada mengenai risiko yang melekat dari alam gempa bumi besar. Risiko kemungkinan dan dampak adalah dua komponen penting lainnya yang diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau kemungkinan bahwa risiko akan terjadi. (E) Risiko Respon Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM selanjutnya adalah untuk diukur tanggapan terhadap berbagai risiko yang teridentifikasi. Harus ada pemeriksaan yang seksama likelihoods dari resiko dan dampak potensial diperkirakan, dengan pertimbangan diberikan terkait biaya dan manfaat, untuk mengembangkan strategi risiko respon yang tepat. Tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar: 1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko-seperti menjual sebuah unit bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau berjalan kaki sampai setelah peristiwa risiko yang telah terjadi dengan terkait biaya. 2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi tertentu risiko. 3. Berbagi. Hampir semua perusahaan secara rutin berbagi beberapa risiko mereka melalui membeli asuransi, tapi risiko berbagi teknik yang tersedia juga.

4. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika perusahaan selfinsures dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang risiko didirikan toleransi dan kemudian memutuskan apakah akan menerima risiko itu atau tidak. Suatu perusahaan harus kembali ke tujuan didirikan nya risiko serta toleransi rentang untuk tujuan tersebut. Maka harus readdress baik likelihoods dan dampak yang terkait dengan masingmasing untuk mengembangkan set keseluruhan risiko yang direncanakan tanggapan. (F) Pengendalian Kegiatan Kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan pada mengidentifikasi respon risiko. Meskipun beberapa dari kegiatan ini dapat berhubungan hanya untuk respon risiko yang diidentifikasi dan disetujui di daerah perusahaan, mereka sering tumpang tindih di beberapa fungsi dan unit. Pengendalian kegiatan komponen COSO ERM harus terkait erat dengan strategi risiko respon dan tindakan dibahas sebelumnya. COSO ERM selanjutnya adalah untuk pendekatan untuk mengidentifikasi, mendokumentasikan, pengujian, dan kemudian memvalidasi kontrol ini perlindungan risiko. Setelah melalui ERM COSO risiko acara identifikasi, penilaian, dan proses respon, resiko pemantauan memerlukan empat langkah: 1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan pengendalian prosedur untuk memantau atau benar bagi mereka. 2. Buat prosedur pengujian untuk menentukan apakah mereka pengendalian risiko yang berhubungan dengan prosedur bekerja secara efektif. 3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan seperti yang diharapkan. 4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko pemantauan proses. Ini proses empat langkah mirip dengan persyaratan Bagian SOx 404 untuk meninjau, pengujian, dan kemudian menegaskan bahwa proses pengendalian internal bekerja secara memadai. Banyak kegiatan pengendalian di bawah kontrol COSO internal cukup mudah untuk mengidentifikasi

dan menguji karena sifat akuntansi mereka. Kegiatan ini umumnya meliputi control daerahdaerah pengendalian internal: 1. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang sama yang mengotorisasi transaksi tersebut. 2. Audit trails. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut. 3. Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang tepat prosedur sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka. 4. Dokumentasi. Proses harus didokumentasikan. Suatu perusahaan seringkali menghadapi tugas yang lebih sulit dalam mengidentifikasi pengendalian kegiatan untuk mendukung kerangka kerja ERM nya. Meskipun tidak ada diterima atau standar set kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM menunjukkan beberapa daerah: 1. 2. 3. 4. 5. 6. Top-level review. Manajemen fungsional atau kegiatan langsung. Pengolahan informasi. Kontrol fisik. Indikator kinerja. Pemisahan tugas.

(G) Informasi dan Komunikasi Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka ERM COSO, informasi dan komunikasi adalah satu set terpisah terkait risiko dan proses menghubungkan komponen lainnya dari COSO ERM. Segmen informasi dari informasi ERM dan komunikasi biasanya memikirkan dalam hal informasi strategis dan operasional sistem, aspek kedua komponen ini, ERM komunikasi. Komunikasi termasuk kebutuhan meka nismeuntuk memastikan bahwa semua stakeholder menerima pesan tentang kepentingan perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan tentang peran manajemen risiko dan tanggung jawab mereka. (H) Pemantauan

ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja secara efektif. Orang-orang dalam perubahan perusahaan, seperti halnya proses pendukung dan baik internal maupun kondisi eksternal, namun komponen pemantauan membantu memastikan ERM yang bekerja efektif secara terus menerus. Dalam COSO ERM terdapat aplikasi dokumen Kerangka menunjukkan pemantauan yang bisa meliputi jenis kegiatan: 1. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung, seperti uang tunai posisi, penjualan unit, dan data keuangan penting. 2. Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari didirikan kriteria risiko, termasuk tingkat kesalahan dapat diterima atau barang-barang yang diadakan diketegangan. 3. Lancar dan periodik pelaporan status risiko yang berhubungan dengan temuan dan rekomendasi dari laporan audit internal dan eksternal. 4. Diperbarui terkait risiko informasi dari sumber-sumber seperti pemerintah-revisi aturan, industri tren, dan berita ekonomi secara umum. 6.4 Dimensi lain COSO ERM: Tujuan Enterprise Risk Setiap komponen COSO ERM beroperasi dalam ruang tiga-dimensi, masing-masing harus dipertimbangkan dari segi lain yang terkait kategori. Bagian atas yang menghadap komponen strategis, operasional, pelaporan,dan kepatuhan tujuan risiko adalah penting untuk memahami dan melaksanakan COSO ERM. (A) Operasi Risiko Tujuan Manajemen Banyak jenis risiko operasi dapat berdampak perusahaan. Tujuan identifikasi operasi-tingkat risiko ini sering memerlukan pengumpulan informasi rinci dan analisis, terutama untuk sebuah perusahaan yang lebih besar yang mencakup wilayah geografis beberapa, lini produk, atau bisnis proses. (B) Tujuan Pelaporan Manajemen Risiko Tujuan ini meliputi risiko keandalan laporan suatu perusahaan dari internal dan eksternal data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting untuk suatu perusahaan.

Keberhasilan dalam banyak dimensi. Berita laporan sering detail penemuan akurat perusahaan keuangan pelaporan dan dampak yang dihasilkan pasar saham untuk menyinggung entitas. Bahwa laporan tidak akurat yang sama dapat menyebabkan masalah di banyak daerah. (C) Tujuan Kepatuhan Hukum dan Peraturan Risiko Setiap jenis perusahaan harus mematuhi berbagai peraturan dan governmentimposed standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-kadang benar-benar tak terduga. 6.5 Entitas-Tingkat Risiko Dimensi ketiga dari kerangka ERM COSO panggilan untuk risiko yang harus dipertimbangkan pada organisasi atau badan-tingkat unit. Kerangka ERM COSO menunjukkan empat divisi dalam dimensi kerangka: tingkat entitas, divisi, bisnis unit, dan risiko anak perusahaan. Ini bukan sebuah divisi perusahaan-jenis yang ditentukan, dan ERM menunjukkan bahwa risiko erat harus mengikuti bagan organisasi resmi. COSO ERM risiko harus diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara entitas-luas melalui unit bisnis individu. Manajemen harus mendefinisikan tingkat resiko organisasi secara untuk mencakup semua resiko yang dikelola: (A) Resiko Meliputi Seluruh Organisasi Beberapa risiko di tingkat unit bisnis harus menggulung ke entitas-tingkat risiko. Sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa unit-tingkat risiko sebagai "tidak material", untuk menggunakan pra-SOx publik terminologi akuntansi, perusahaan harus memikirkan semua risiko sebagai berpotensi signifikan. (B) Unit Bisnis-Tingkat Risiko Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di negara asing penjualan perusahaan. Risiko harus dipertimbangkan dalam setiap organisasi yang signifikan unit. Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas dalam negara penjualan perusahaan asing. Konsep utama seputar COSO ERM adalah bahwa perusahaan menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang lain sering hanya gangguan dan dipandang sebagai minor. Kerangka COSO ERM menyediakan

mekanisme untuk mempertimbangkan risiko ini, itu adalah alat penting untuk membantu memastikan kepatuhan SOx. 6,6 Gunakan semua bersamaan Kerangka COSO ERM dijelaskan di sini pendekatan manajemen risiko berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada mengakui nafsu makan perusahaan terhadap risiko dan kebutuhan untuk menerapkan manajemen risiko alam konteks pengaturan strategi secara keseluruhan, ERM COSO memiliki beberapa dasar. COSO ERM, alat penting untuk memahami banyak risiko beberapa perusahaan dihadapi saat ini. 6,7 Audit Risiko dan Proses ERM COSO Auditor Internal akan mengalami masalah risiko dan manajemen risiko di banyak daerah. Audit keseluuruhan di mana melakukan review, dan auditor internal efektif harus memahami proses manajemen risiko. Praktek COSO ERM dan pelaksanaan prosedur, auditor internal, baik sebagai pengulas audit internal kontrol atau konsultan untuk manajemen, perlu mengembangkan pemahaman yang kuat kontrol ERM COSO dan proses. Audit internal harus meninjau enterprisewide ERM menggunakan beberapa alat ini: 1. 2. 3. 4. Proses flowcharting Sebagai bagian dari proses ERM diidentifikasi. Review bahan dan pengendalian risiko. Pembandingan. Kuesioner.

6,8 Manajemen Risiko dan Perspektif ERM COSO Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh bertahun-tahun COSO untuk pengendalian internal untuk diakui sebagai lebih dari teknis yang menarik penelitian.