COSO ERM
Selalu ada kebutuhan untuk mengidentifikasi dan memahami berbagai risiko yang dihadapi
perusahaan, untuk menilai risiko tersebut dalam hal biaya atau dampak dan probabilitas, untuk
mengembangkan tanggapan dari kejadian risiko, dan untuk mengembangkan prosedur dokumentasi
untuk menggambarkan apa yang terjadi serta tindakan koreksi ke depan.
Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkatan perusahaan
dengan partisipasi banyak orang yang berbeda. Apakah itu perusahaan kecil yang beroperasi di
wilayah geografis yang terbatas atau lebih besar , pendekatan manajemen risiko harus dikembangkan
untuk keseluruhan perusahaan. Ini sangat penting untuk perusahaan di seluruh dunia dengan beberapa
unit operasi bergerak dalam operasi bisnis yang berbeda dan dengan fasilitas di berbagai negara.
Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan risiko di tempat
lain, tapi risiko lain pertimbangan mungkin efektif independen dari keseluruhan. Risiko ini umum dapat
terjadi karena berbagai keadaan mulai darikeputusan tentang keuangan yang buruk , perubahan selera
konsumen, peraturan pemerintah yang baru.
a. Identifikasi risiko
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi
keberhasilan perusahaan, mulai dari yang lebih besar atau lebih signifikan secara keseluruhan
risiko ke risiko kurang penting terkait dengan proyek-proyek individu atau lebih kecil unit
bisnis. Proses identifikasi risiko membutuhkan pembelajaran , pendekatan yang disengaja
untuk melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebih
daerah risiko yang signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu
yang wajar. Idenya di sini adalah tidak hanya untuk daftar setiap risiko yang mungkin tetapi
untuk suatu perusahaan untuk mengidentifikasi orang-orang yang mungkin memiliki lebih
operasi berdampak besar, dalam waktu yang wajar periode.
Manajemen perusahaan harus meninjau risiko ini diidentifikasi dan menyoroti mereka
yang tampaknya paling penting bagi perusahaan. Maka harus menyiapkan set akhir organisasi
diidentifikasi risiko oleh perusahaan secara keseluruhan dan oleh unit-unit operasi tertentu.
Karena sudut pandang dan perspektif akan bervariasi di seluruh perusahaan, ini diidentifikasi
risiko harus dibagi dengan operasi bertanggung jawab dan manajemen keuangan, memberikan
mereka kesempatan untuk memberikan umpan balik. Idenya di sini adalah untuk
mengidentifikasi populasi risiko yang mengancam suatu perusahaan, baik di tingkat unit
individu dan total dasar perusahaan. Ini tidak akan selalu menjadi risiko inti tetapi sering adalah
titik awal untuk penilaian risiko perusahaan.
COSO ERM adalah sebuah kerangka kerja untuk membantu para pengusaha memiliki konsistensi
dalam mendefinisikan resiko mereka. Hal tersebut juga merupakan alat yang penting untuk memahami
dan mengembangkan pengendalian internal SOx.
Kerangka kerja dari COSO ERM mendefinisikan enterprise risk management sebagai berikut:
Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh jajaran entitas dari
direktur-direktur, management dan personel lainnya yang diaplikasikan dalam sebuah setting
strategi dan untuk semua pengusaha, yang didesain untuk mengidentifikasi kejadian-kejadian
potensial yang mungkin dapat mempengaruhi entitas dan mengatur resiko agar tidak melebihi dari
risk appetite, untuk menyediakan kepastian terkait penapaian dari tujuan entitas.
Para professional sebaiknya mempertimbangkan pendukung kunci dalam kerangka kerja COSO ERM
yang meliputi:
- ERM adalah sebuah proses
- ERM proses diimplementasikan oleh orang-orang dalam perusahaan
- ERM diterapkan melalui penetapan strategi diantara seluruh keseluruhan perusahaan
- Konsep dari Risk Appetide harus dipertimbangkan.
- ERM menyediakan rasionalitas bukan kepastian yang positif dalam pencapaian sebuah tujuan.
- ERM didesain untuk membantu pencapaian tujuan
Gambar tersebut menunjukkan COSO ERM memiliki tiga dimensi dengan komponen sebagai berikut:
- Empat kolom vertical yang menunjukkan tujuan strategi dari resiko perusahaan
- Delapan baris horizontal menunjukkan komponen risiko
- Multiple level untuk menggambarkan berbagai perusahaan dimulai dari headquarters level
hingga individual subsidiaries.
Penjelasan komponen dari risiko:
b. Menetapkan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan
obyektif yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses
ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif,
perusahaan harus menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap
operasional, pelaporan, dan kepatuhan kegiatan.
COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk:
Objective setting outline penting diperlukan untuk membantu manajemen dalam membuat
ERM proses yang efektif. Perusahaan sebaiknya mendefinisiskna resiko terkait dengan strategi
dan tujuan, dengan petunjuk tersebut sudah bisa menentuka level resiko yang ingin diterima
dan memberikan resiko yang dapat ditoleransi, sejauh mana diterima dari standar deviasi
pengukuran yang sudah ditetapkan sebelumnya.
c. Event Identification
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa
dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja
perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan,
dan sejenisnya.
Proses pemantauan harus mencakup:
- Peristiwa ekonomi eksternal
- Peristiwa alam
- Peristiwa politik
- faktor social
- peristiwa infrastruktur internal
- proses internal teknologi internal maupun eksternal
d. Risk Assessment
Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek potensi
peristiwa terkait risiko-mungkin memiliki prestasi suatu perusahaan dari tujuannya. Risiko ini
harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensial.
Sebagai bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah kebutuhan untuk
mempertimbangkan risiko yang melekat dan residual juga:
o Risiko inherent
Risiko yang sudah ada sebelum kita melakukan mitigasi disebut Risiko Inherent yaitu,
risiko yang ada di perusahaan kita saat tidak adanya tindakan yang dibutuhkan untuk
mengubah baik kemungkinan terjadinya maupun dampaknya. Setiap perusahaan dalam
setiap industri menghadapi risiko yang melekat (inherent), tentu saja, tidak setiap
perusahaan mengelolanya secara efektif atau efisien. Beberapa contoh untuk hal tersebut
adalah karena:
- Kurangnya kompetensi manajemen. Kompetensi manajemen mengacu
pada kompetensi direksi dan personil manajemen senior, yang mencakup hal-hal
yang mereka miliki seperti:
pengalaman industri,
pengetahuan tentang bisnis entitas,
keterampilan komersial,
akal sehat,
pengetahuan tentang tata kelola perusahaan yang baik, dan
kemampuan komunikasi dan pertimbangan (judgement).
o Risiko Residual
Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu ada beberapa tingkat risiko residual.
Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapi beberapa
risiko. Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi
risiko, masih akan ada beberapa risiko residual untuk memperbaiki. Selain itu, ada selalu
beberapa risiko yang melekat bahwa manajemen dapat melakukan sedikit untuk
mengurangi.
e. Risk Response
Untuk mengembangkan strategi respon risiko yang tepat, berikut tanggapan risiko dapat ditangani
di salah satu dari empat cara dasar ini:
o Penghindaran.
Ini adalah strategi jauh dari risiko-seperti menjual unit bisnis yang menimbulkan risiko,
keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk. Kesulitannya adalah
bahwa perusahaan sering tidak bisa drop lini produk atau berjalan kaki sampai setelah
kejadian risiko terjadi dengan biaya yang terkait. Kecuali suatu perusahaan memiliki nafsu
makan yang sangat rendah untuk risiko, sulit untuk pergi dari dinyatakan sukses bidang
bisnis atau lini produk atas dasar risiko potensial masa depan.
Penghindaran bisa menjadi strategi yang mungkin mahal jika investasi dilakukan untuk
masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari risiko. Sebuah
pelajaran-belajar kolektif pemahaman kegiatan masa lalu sering dapat membantu dengan
strategi ini. Jika perusahaan telah terlibat dalam beberapa daerah di masa lalu dengan
konsekuensi yang tidak menguntungkan, mungkin ini cara yang baik untuk menghindari
risiko sekali lagi. Karena perubahan konstan dan tenor kerja singkat, sejarah kolektif ini
terlalu sering hilang dan dilupakan. Suatu perusahaan dipahami dengan baik dan
dikomunikasikan selera resiko mungkin pertimbangan yang paling penting ketika
memutuskan apakah strategi penghindaran risiko sesuai.
o Pengurangan
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. lini produk
diversifikasi dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu lini produk
kunci; operasi TI membelah menjadi dua lokasi geografis yang terpisah akan mengurangi
risiko beberapa bencana kegagalan. Jumlah strategi yang efektif untuk mengurangi risiko
pergi ke karyawan lintas-pelatihan yang jelas dan duniawi, seperti untuk mengurangi risiko
seseorang berangkat tiba-tiba.
o Sharing.
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tetapi teknik risiko-sharing juga tersedia. Untuk transaksi keuangan,
suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi dari fluktuasi
harga mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perjanjian
joint venture perusahaan atau pengaturan struktural lainnya. Idenya adalah untuk memiliki
pihak lain menerima beberapa risiko potensial serta untuk berbagi dalam penghargaan yang
dihasilkan.
o Penerimaan.
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan harus
melihat kemungkinan risiko dan dampak dalam terang toleransi risiko didirikan dan
kemudian memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi perusahaan.
Manajemen harus mengembangkan strategi respon umum untuk setiap risiko dengan
menggunakan pendekatan dibangun sekitar satu atau campuran strategi penghindaran
risiko tersebut. Dalam melakukannya, harus mempertimbangkan biaya dan keuntungan
dari setiap respon potensi risiko serta strategi yang terbaik sejalan dengan risk appetite
perusahaan secara keseluruhan.
f. Pengendalian Kegiatan
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan respon risiko diidentifikasi. Meskipun beberapa dari kegiatan ini mungkin berhubungan
hanya untuk respon risiko diidentifikasi dan disetujui di daerah dari perusahaan, mereka sering
tumpang tindih di beberapa fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas sebelumnya. Pemantauan
risiko memerlukan empat langkah berikut:
1) Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
prosedur kontrol untuk memantau atau benar bagi mereka.
2) Buat api prosedur drill-jenis pengujian untuk menentukan apakah mereka prosedur
pengendalian risiko terkait bekerja secara efektif.
3) Lakukan tes dari proses pemantauan risiko untuk menentukan apakah mereka bekerja
secara efektif dan seperti yang diharapkan.
4) Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses risiko
pemantauan
Banyak kegiatan kontrol dalam pengendalian internal COSO cukup mudah untuk
mengidentifikasi dan menguji karena sifat akuntansi mereka. kegiatan pengawasan ini umumnya
termasuk daerah-daerah pengendalian internal:
- Pemisahan tugas.
Pada dasarnya, orang yang memulai transaksi tidak harus orang yang sama yang
mengotorisasi transaksi itu.
- Trails Audit.
Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri
kembali ke transaksi yang menciptakan hasil tersebut.
- Keamanan dan integritas.
Proses kontrol harus memiliki prosedur pengendalian yang tepat sehingga orang hanya
berwenang dapat meninjau atau memodifikasi mereka.
- Dokumentasi.
Prosedur dokumentasi COSO ERM menunjukkan beberapa bidang:
Ulasan Top-level. manajer senior harus sangat menyadari peristiwa risiko
diidentifikasi dalam unit organisasi mereka dan melakukan tinjauan rutin tingkat
atas status risiko yang teridentifikasi.
Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat atas, manajer
unit fungsional dan langsung harus memiliki peran kunci dalam pengendalian
risiko pemantauan aktivitas. Hal ini sangat penting di mana kegiatan pengendalian
berlangsung dalam unit operasi terpisah dengan kebutuhan komunikasi dan
resolusi risiko di saluran perusahaan.
Memproses informasi. Apakah itu IT proses berbasis peralatan atau bentuk lembut
seperti kertas atau pesan, pengolahan informasi merupakan komponen kunci dalam
kegiatan pengendalian risiko terkait suatu perusahaan. prosedur pengendalian yang
tepat harus ditetapkan dengan penekanan pada perusahaan proses TI dan risiko.
Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti
peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan fisik,
inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal kontrol
fisik prosedur kegiatan berbasis risiko yang sesuai.
Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan berbagai
keuangan dan operasional alat pelaporan yang juga dapat mendukung risiko-acara
yang berhubungan dengan pelaporan kinerja. Jika diperlukan, alat kinerja harus
diubah untuk mendukung kontrol ERM komponen kegiatan penting ini.
Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tindakan tertentu
seharusnya tidak menjadi orang yang sama yang menyetujui mereka. kegiatan
pengawasan ini disorot dalam bahan bimbingan COSO ERM.
h. Pemantauan
Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM diperlukan untuk
menentukan bahwa semua komponen ERM terpasang bekerja secara efektif. Orang dalam
perubahan perusahaan, seperti halnya proses dan kedua kondisi dan eksternal internal yang
mendukung, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja secara
efektif secara terus menerus. Dokumen COSO ERM Framework menunjukkan bahwa pemantauan
dapat mencakup jenis kegiatan:
- Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti untuk posisi kas,
penjualan unit, dan data keuangan utama. Suatu perusahaan tidak harus menunggu sampai
fiskal akhir bulan untuk jenis laporan status, dan laporan kilat cepat respon harus dimulai.
- Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek-aspek kunci dari
kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang
diadakan dalam ketegangan. pelaporan tersebut harus menekankan tren statistik dan
perbandingan baik dengan periode-periode sebelumnya dan dengan sektor industri lainnya.
- Lancar dan periodik pelaporan status temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status terkait ERM SOx kesenjangan diidentifikasi.
- Updated informasi terkait risiko dari sumber seperti aturan-direvisi pemerintah, tren
industri, dan berita ekonomi secara umum. Sekali lagi, jenis pelaporan ekonomi dan
operasional harus tersedia bagi manajer di semua tingkatan. monitoring evaluasi yang
terpisah atau individu mengacu review rinci proses risiko individu oleh resensi yang
berkualitas, seperti audit internal.
Risiko operasonal dapat menimbulkan kerugian keuangan secara langsung maupun tidak
langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan. Risiko ini
merupakan risiko yang melekat (inherent) pada setiap aktivitas fungsional Bank, seperti kegiatan
perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan
perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi
manajemen, dan pengelolaan sumber daya manusia.Risiko operasional bukanlah hal baru walaupun
disadari merupakan risiko yang paling akhir terdefinisikan dalam Basel II
Identifikasi tujuan risiko operasi ini sering membutuhkan informasi rinci pengumpulan dan
analisis, terutama untuk perusahaan besar yang meliputi beberapa wilayah geografis, lini produk,
atau proses bisnis. manajer langsung dari masing-masing unit biasanya memiliki pemahaman
terbaik dari risiko operasional mereka, dan informasi yang dapat menjadi hilang ketika konsolidasi
untuk pelaporan tingkat yang lebih tinggi. audit internal ulasan atau survei orang terkena dampak
langsung oleh risiko ini dapat membantu untuk mengumpulkan informasi latar belakang yang lebih
rinci tentang potensi risiko operasional. Sebuah survei langsung on-the-lantai anggota dari
perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan pengembangan satu
set luas dan konsisten dari risiko operasi katalog. Pertanyaan yang diajukan di sini akan mirip
dengan jenis pertanyaan rinci yang digunakan dalam penilaian pengendalian internal audit internal,
dan hasilnya di sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang
risiko potensial.
Jenis survei, beredar di semua tingkat perusahaan, dengan pesan mendorong para pemangku
kepentingan untuk menanggapi terang, sering mengumpulkan informasi penting mengenai potensi
risiko pada tingkat operasional yang rinci. Seorang manajer pabrik operasi jarak jauh tidak mungkin
memadai dikomunikasikan kekhawatiran tentang beberapa risiko operasional plantlevel.
Seringkali survei berbasis luas dan rahasia yang lebih baik memungkinkan orang untuk
berkomunikasi risiko operasi tingkat lokal melalui perusahaan. Dengan tampilan portofolio ERM
risiko, perusahaan harus menghindari bergulir hal menjadi terlalu banyak dari tingkat ringkasan,
hilang atau pembulatan risiko lowerlevel penting. Apapun posisi mereka dalam perusahaan atau
lokasi geografis mereka, manajer di semua tingkatan harus menyadari bahwa mereka bertanggung
jawab untuk menerima dan mengelola risiko dalam unit operasional mereka sendiri. Terlalu sering,
manajer unit mungkin percaya bahwa manajemen risiko menjadi perhatian hanya untuk staf kantor
pusat tingkat senior. Pentingnya manajemen ERM dan operasi risiko COSO harus dikomunikasikan
kepada semua tingkat perusahaan. auditor internal harus bertindak sebagai mata dan telinga di sini
dan melaporkan semua risiko operasi diamati.
Dimensi ketiga dari kerangka COSO ERM menyebut risiko yang harus dipertimbangkan pada suatu
organisasi atau tingkat entitas unit. The COSO framework ERM di Exhibit 6.5 menunjukkan empat
divisi dalam dimensi kerangka ini: tingkat entitas, divisi, unit bisnis, dan risiko anak. Risiko ERM
COSO harus diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko
secara entitas-lebar melalui unit bisnis individu.
Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis di bawah
masing-masing akan memiliki kerangka kerja ERM yang mencerminkan semua unit. Sementara risiko
ini mungkin penting untuk organisasi secara keseluruhan, mereka harus dipertimbangkan secara unit
dengan unit ke level tingkat yang diperlukan untuk memungkinkan perusahaan untuk memahami dan
mengelola risiko. COSO ERM tidak menentukan bagaimana tipis risiko ini unitlevel harus diiris, dan
kekritisan dan materialitas unit bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama
rantai restoran dengan ribuan unit, misalnya, itu akan tidak masuk akal untuk memasukkan setiap unit
individu sebagai komponen terpisah dalam model risiko. Sebaliknya, manajemen harus menentukan
risiko organisasi-level cukup detail untuk menutup semua signifikan, risiko dikelola.
Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. Sangat mudah
bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak
material", menggunakan-SOx pra terminologi akuntan publik, suatu perusahaan harus
memikirkan semua risiko yang berpotensi signifikan.
Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan beberapa
tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di sebuah perusahaan
penjualan luar negeri. Risiko harus diperhatikan dalam setiap unit organisasi yang signifikan.
Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas di sebuah perusahaan
penjualan luar negeri, misalnya, mungkin risiko unik untuk unit yang tapi kemudian harus
menggulung ke entitas secara keseluruhan. Kami telah mencontohkan risiko entitas-tingkat
yang mungkin timbul dari kegagalan dalam pembuatan atau standar hak asasi manusia dari
anak kecil di negara berkembang.
Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko sering bisa start terbaik
sebagai proses push-down di mana manajemen tingkat korporasi secara resmi menguraikan
kekhawatiran terkait risiko utama dan meminta manajemen yang bertanggung jawab di masing-masing
divisi utama untuk survei tujuan risiko melalui operasi unit dalam divisi itu. Dengan cara ini, risiko
yang signifikan dapat diidentifikasi pada semua tingkat dan kemudian dikelola di tingkat mana mereka
dapat menerima paling langsung, dukungan lokal
COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan memahami SOx
Pasal 404 kontrol internal. Hal ini terutama penting dengan yang lebih baru AS 5 standar auditing yang
memberikan pertimbangan lebih untuk risiko ketika memahami dan mengevaluasi pengendalian
internal. manajemen perusahaan di semua tingkatan harus merangkul COSO ERM, alat penting untuk
memahami banyak beberapa risiko yang dihadapi suatu perusahaan menghadapi hari ini. auditor
internal harus membuat COSO ERM internal audit persyaratan CBOK, dan harus melakukan audit
internal sesuai dengan proses ERM.
Auditor internal akan menghadapi masalah risiko dan manajemen risiko di banyak daerah di alam
semesta audit yang mana ada yang berkinerja ulasan, dan auditor internal yang efektif harus memahami
proses manajemen risiko. Semua terlalu sering, internal auditor akan melakukan sebuah kontrol internal
review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena
"pertimbangan risiko." Auditor harus memiliki pertanyaan yang tepat dan untuk meninjau kecukupan
mereka proses.
Suatu perusahaan dapat meningkatkan proses keseluruhan serta SOx pengendalian internal proses
melalui pelaksanaan yang efektif dan efisien dari COSO ERM. Dengan berfokus pada kerangka ERM
COSO serta praktek manajemen risiko yang baik umum, audit internal dapat membantu suatu
perusahaan dengan perencanaan dan melakukan review dari proses manajemen risiko perusahaan.
Tentu saja, untuk meninjau praktek COSO ERM dan prosedur pelaksanaan, auditor internal, baik
sebagai pengulas audit internal kontrol atau konsultan manajemen, perlu mengembangkan pemahaman
yang kuat dari COSO kontrol ERM dan proses. Selain itu, setiap review audit internal proses ERM
perusahaan harus dikembangkan melalui pendekatan perencanaan audit internal berbasis risiko yang
dibahas dalam Bab 15.
Audit internal harus meninjau proses ERM perusahaan-lebar menggunakan beberapa alat ini:
a. Process flowcharting
Sebagai bagian dari proses ERM diidentifikasi, proses diagram alur dapat berguna dalam
menggambarkan bagaimana manajemen risiko beroperasi di suatu perusahaan. Hal ini
memerlukan melihat dokumentasi yang disiapkan untuk proses yang terkait dengan resiko,
menentukan apakah mereka adalah kondisi saat ini, dan menggambarkan kecukupan
keseluruhan dari semua tingkatan proses risiko perusahaan. proses audit pemodelan internal
dan proses diagram alur dibahas dalam Bab 16.
b. Reviews of risk and control materials
Sebuah proses ERM sering menghasilkan volume besar bahan bimbingan, prosedur
terdokumentasi, format laporan, dan sejenisnya. Mungkin sering berharga untuk review audit
internal risiko dan pengendalian bahan.
c. Brenchmarking
Meskipun istilah yang sering disalahgunakan, benchmarking adalah proses melihat fungsi di
lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan
peningkatan berdasarkan praktik terbaik dari orang lain. The Institute of Internal Auditor
"Kemajuan Melalui Sharing" (IIA) moto dan tradisi serta benchmarking pendekatan yang
dibahas dalam Bab 11 mempromosikan informasi komparatif pengumpulan. Hal ini sering
dapat menjadi teknik yang berguna di sini.
d. Questionnaires
Kuesioner adalah metode yang baik untuk mengumpulkan informasi tentang efektivitas ERM
dari berbagai macam orang. Mereka dapat dikirim kepada pemangku kepentingan yang
ditunjuk dengan permintaan informasi tertentu. Hal ini sering teknik audit internal yang
berharga.
Audit internal harus menetapkan beberapa tujuan ulasan tingkat tinggi untuk efektivitas COSO ERM
di perusahaan mereka, mengumpulkan data pelaksanaan rinci, dan kemudian menilai efektivitas COSO
ERM dan sebagai alat untuk mendukung dan meningkatkan SOx kepatuhan. Exhibit 6.10 memberikan
panduan untuk audit Prosedur Audit COSO ERM internal