Manajemen risiko perusahaan adalah sebuah proses, yang dilakukan oleh dewan direksi
entitas, manajemen dan lainnya personil, diterapkan dalam pengaturan strategi dan lintas
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko berada dalam risk appetite-nya, untuk
memberikan keyakinan memadai
tentang pencapaian tujuan entitas.
Profesional harus mempertimbangkan poin kunci yang mendukung kerangka kerja COSO
ERM ini definisi termasuk:
Filosofi manajemen risiko. Inilah sikap dan kepercayaan bersama itu ciri
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya.
Lebih dari a pesan dalam kode etik, filosofi manajemen risiko adalah sikap itu harus
memungkinkan pemangku kepentingan di semua tingkat untuk menanggapi proposal
berisiko tinggi dengan sebuah jawaban di sepanjang baris mungkin "Tidak, itu bukan jenis
usaha kita perusahaan akan tertarik. "Tentu saja, perusahaan dengan filosofi yang
berbeda mungkin menanggapi usulan yang sama ini dengan "Suara menarik. Apa tingkat
pengembalian yang diharapkan? "Respons keduanya benar-benar salah, tapi perusahaan
harus mencoba untuk mengembangkan sikap yang konsisten terhadap bagaimana ia
menerima usaha berisiko. Filosofi risiko ini penting ketika auditor internal mengevaluasi
Sox intern kontrol.
Risk appetite. Appetite adalah jumlah risiko yang ingin diterima perusahaan dalam
mengejar tujuannya. Nafsu makan untuk risiko dapat diukur secara kuantitatif atau istilah
kualitatif, tapi semua tingkat manajemen harus memiliki jenderal pemahaman tentang
selera risiko keseluruhan perusahaan mereka. Nafsu jangka adalah tidak sering digunakan
oleh auditor internal dan manajer lainnya sebelum COSO ERM, namun Ini adalah
ungkapan yang berguna yang menggambarkan keseluruhan filosofi risiko.
Sikap dewan direksi Dewan dan komite memiliki sangat penting peran dalam
mengawasi dan membimbing lingkungan risiko perusahaan. Itu Independen, direksi luar
khususnya harus meninjau secara seksama manajemen tindakan, mengajukan
pertanyaan yang tepat, dan berfungsi sebagai kontrol cek dan keseimbangan untuk
perusahaan Bila perwira senior perusahaan itu-tidak mungkin-terjadi-di sini Sikap
mengenai risiko yang mungkin terjadi di berbagai tingkatan, anggota dewan seharusnya
Tanyakan pertanyaan sulit tentang bagaimana perusahaan akan bereaksi jika salah satu
dari kejadian tersebut sebenarnya memang terjadi
Integritas dan nilai etika. Elemen lingkungan internal ERM yang penting ini
membutuhkan lebih dari sekedar kode etik yang diterbitkan dan mencakup pemikiran
yang matang pernyataan misi dan standar integritas. Materi ini membantu membangun a
budaya yang kuat untuk membimbing perusahaan, di semua tingkat, dalam membantu
membuat risiko keputusan. Nilai etika yang lebih kuat di sini mungkin telah membantu
perusahaan, seperti Enron dan WorldCom, untuk menghindari skandal akuntansi yang
menyebabkan pemberlakuan SOx. Daerah ini harus menjadi komponen penting dalam
setiap ERM Kerangka kerja hari ini.
Komitmen terhadap kompetensi. Kompetensi mengacu pada pengetahuan dan
keterampilan diperlukan untuk melakukan tugas yang ditugaskan. Manajemen
memutuskan bagaimana hal ini penting Tugas akan dilakukan melalui pengembangan
strategi dan penetapan orang yang tepat untuk melakukan mereka. Kita semua pernah
melihat perusahaan yang tidak memiliki jenis komitmen ini. Manajemen senior terkadang
membuat grand dan nyaring rencana untuk mencapai beberapa tujuan tapi kemudian
tidak sedikit untuk mencapainya. Pasar saham sering menghukum kegagalan dalam
kegiatan tersebut. Dengan komitmen kuat untuk Kompetensi, manajer di semua tingkatan
harus mengambil langkah untuk mencapai janjinya tujuan.
Struktur organisasi. Suatu perusahaan harus mengembangkan organisasi struktur
dengan garis wewenang, tanggung jawab, dan pelaporan yang jelas. Setiap profesional
telah melihat situasi di mana sebuah organisasi memiliki jalur komunikasi yang tepat
Misalnya, sebelum SOx, banyak internal fungsi audit telah menerbitkan bagan organisasi
yang menunjukkan pelaporannya kepada mereka komite audit dewan komisaris mereka,
tapi seringkali hanya di atas kertas; ada yang terbatas audit internal komunikasi sehari-
hari di luar audit berkala dan sangat singkat rapat komite SOx telah mengubah ini.
Lingkungan dimana audit Panitia hanya memiliki interaksi yang sangat terbatas dengan
fungsi audit internalnya merepresentasikan kegagalan dalam struktur organisasi.
Sementara situasi ini telah terjadi dikoreksi, banyak situasi struktur organisasi mungkin
perlu perbaikan mencapai ERM yang efektif.
Penugasan wewenang dan tanggung jawab. Komponen ERM ini mengacu pada
sejauh mana wewenang dan tanggung jawab ditugaskan atau didelegasikan. Itu
Kecenderungan di banyak perusahaan saat ini adalah mendorong persetujuan wewenang
tanggung jawab turunkan bagan organisasi, berikan karyawan tingkat rendah dan bahkan
lini pertama otoritas otorisasi dan persetujuan yang lebih besar. Tren terkait telah
diratakan organisasi dengan menghilangkan tingkat manajemen menengah. Struktur ini
biasanya mendorong kreativitas karyawan, waktu respon lebih cepat, dan pelanggan yang
lebih besar kepuasan. Namun, jenis organisasi yang menghadapi pelanggan
membutuhkan kuat prosedur dan aturan untuk staf serta manajemen sehingga lebih
rendah keputusan staf dapat ditolak jika diperlukan. Semua individu harus tahu caranya
tindakan mereka saling terkait dan berkontribusi pada keseluruhan tujuan perusahaan.
Kode etik yang kuat merupakan elemen penting di sini.
Standar sumber daya manusia Praktik tentang perekrutan karyawan, pelatihan,
kompensasi, promosi, pendisiplinan, dan semua tindakan lainnya mengirim pesan terkait
apa yang disukai, ditoleransi, dan dilarang. Saat manajemen mengedipkan mata atau
mengabaikan beberapa kegiatan area abu-abu daripada mengambil posisi kuat, pesan itu
Biasanya secara informal dan cepat dikomunikasikan kepada orang lain. Standar yang
kuat diperlukan untuk memastikan bahwa peraturan sumber daya manusia
dikomunikasikan kepada semua orang stakeholder dan ditegakkan
Materi panduan COSO ERM yang dipublikasikan berisi contoh lain dari komponen
yang diperlukan untuk membangun lingkungan internal yang efektif. Banyak yang merujuk
standar dan pendekatan yang harus diterapkan perusahaan untuk menerima dan mengelola
berbagai tingkat risiko, dan lain-lain hanya mengacu pada praktik bisnis yang baik. Tidak
penting apakah perusahaan memiliki selera risiko tinggi atau rendah, perlu dibentuk
pengendalian praktik lingkungan untuk mengelola risiko tersebut. Misalnya, perusahaan bisa
memberi Tenaga penjualannya agak bebas untuk melakukan kesepakatan tanpa banyak
pengawasan manajemen dan persetujuan. Namun setiap orang harus tahu kebijakan hukum,
etika, dan manajemen batas dari praktek bebas-rein. Prosesnya harus di tempat sedemikian
rupa sehingga jika ada orang Langkah-langkah di atas garis batas ini, tindakan perbaikan
cepat dilakukan dan dikomunikasikan Ada banyak cara bagi perusahaan untuk
mengkomunikasikan risikonya standar manajemen, namun sebuah pernyataan formal dalam
laporan tahunan atau informasi Di halaman rumah perusahaan itu sering ada tempat yang
bagus.
Dua komponen lingkungan internal COSO ERM, manajemen risiko perusahaan
filsafat dan selera makannya yang relatif terhadap risiko, memberi makan unsur - unsur lain
dari Kerangka COSO ERM. Sedangkan filosofi manajemen risiko dibahas dalam istilah sikap
direksi dan kebijakan sumber daya manusia antara lain risiko nafsu makan seringkali
merupakan ukuran yang lebih lembut, di mana perusahaan telah menentukannya menerima
beberapa risiko tapi menolak yang lain dalam hal kemungkinan dan dampaknya. Bagan 6.6
menunjukkan peta selera risiko. Suatu perusahaan harus mengenali kisaran di mana itu
bersedia menerima risiko dalam hal kemungkinan dan dampaknya. Pameran ini mengatakan
bahwa perusahaan mungkin bersedia terlibat dalam proyek dengan dampak negatif tinggi
jika Ada kemungkinan terjadinya yang rendah. Ada dimensi ketiga pada bagan ini baik.
Suatu perusahaan terkadang memiliki selera makan yang lebih besar untuk usaha yang
lebih berisiko jika ada potensi pengembalian yang lebih tinggi.
Risiko
Pering
Nama risiko Definisi risiko Dampak Kemungkinan kat
Kegagalan Tinggi: Sedang:
Akuntansi untuk merekam Akuntansi Meskipun 8
aktivitas kesalahan
Risiko penjualan mungkin memiliki kuat
akurat dan dampak Prosedur,
material
Mei tepat pada
waktu keuangan dan personil baru
salah
mengutarakan dalam
keuangan operasional berbagai
lokasi
laporan. informasi mungkin
membuat
kesalahan.
Risiko Kegagalan Sedang: Tinggi:
Hukum untuk Bahkan Dengan 7
di seluruh
memahami kecil, teknis dunia
pelanggaran
saat ini dan yang paling operasi di
mengubah
undang-undang peraturan kelipatan
seharusnya
dan peraturan tidak memiliki yurisdiksi,
dapat dampak pelanggaran-
mengakibatkan material terhadap jika hanya
ketidakmampu
an untuk operasi. teknis-kaleng
mematuhi
hukum terjadi.
di beberapa
operasi
yurisdiksi.
Tinggi:
pemisahan tidak cukup Penipuan Low: Ongoing 5
tugas dikontrol operasi bisa audit internal
memiliki
pemisahan signifikan dan kuat
tugas
memungkinkan dampak pada pengelolaan
karyawan mengontrol
untuk perusahaan praktek
harus
proses operasi. mencegah
kontrol
tidak sah, tersebut
curang kerusakan.
transaksi.
Perusahaan dinilai pada tinggi, sedang, atau nilai relatif rendah. Untuk
perusahaan yang lebih besar, risiko dapat ditingkatkan 1 sampai 10 atau bahkan
1-100 memungkinkan granularity yang lebih besar. Idenya adalah untuk
menetapkan beberapa peringkat relatif terhadap risiko dan untuk mengidentifikasi
risiko-risiko yang harus mendapat perhatian manajemen yang paling menyeluruh.
Setelah dinilai dan diidentifikasi risiko yang lebih signifikan, COSO ERM
panggilan untuk respon mea-sured ke berbagai risiko diidentifikasi. Harus ada
seksama terhadap diperkirakan likelihood resiko dan dampak potensial, dengan
pertimbangan diberikan untuk biaya dan manfaat sebagai-sociated, untuk
mengembangkan strategi respon risiko yang tepat. tanggapan risiko ini dapat
ditangani di salah satu dari empat cara dasar ini:
4. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika suatu
perusahaan self-menjamin dengan mengambil tindakan untuk mengurangi
potensi risiko. Pada dasarnya, suatu perusahaan harus melihat kemungkinan
risiko dan dampak dalam terang toleransi risiko didirikan dan kemudian
memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi
perusahaan.
kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan pada respon risiko diidentifikasi. Meskipun beberapa
dari kegiatan ini mungkin berhubungan hanya untuk respon risiko diidentifikasi
dan disetujui di daerah dari perusahaan, mereka sering tumpang tindih di
beberapa fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas
sebelumnya.
Memiliki dipilih tanggapan risiko yang tepat, perusahaan harus memilih
kegiatan kontrol yang diperlukan untuk memastikan bahwa respon risiko
dijalankan secara tepat waktu dan efisien. Proses penentuan jika kegiatan
pengendalian berkinerja dengan baik adalah sangat mirip dengan menyelesaikan
SOx Bagian 404 penilaian pengendalian internal (dibahas dalam Bab 4). COSO
ERM panggilan untuk pendekatan mengidentifikasi, dokumen-ing, pengujian, dan
kemudian memvalidasi kontrol perlindungan risiko tersebut. Setelah melalui COSO
ERM acara identifikasi risiko, proses penilaian, dan respon, pemantauan risiko
memerlukan empat langkah berikut:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
menetapkan prosedur kontrol untuk memantau atau yang benar bagi mereka.
2. Buat api prosedur drill-jenis pengujian untuk menentukan apakah risiko
tersebut -terkait prosedur kontrol bekerja secara efektif.
3. Melakukan pengujian proses pemantauan risiko untuk menentukan apakah
mereka adalah pekerjaan-ing efektif dan sebagai diharapkan.
4. Melakukan penyesuaian atau perbaikan yang diperlukan untuk
meningkatkan proses risiko pemantauan.
Proses empat langkah ini mirip dengan SOx Bagian 404 persyaratan untuk
meninjau, tes, dan kemudian menegaskan bahwa proses pengendalian internal
yang bekerja secara memadai. Perbedaan utama, tentu saja, adalah bahwa di
bawah SOx, suatu perusahaan secara hukum diperlukan untuk menegaskan
kecukupan pengendalian internal. Tidak ada persyaratan hukum seperti saat ini
dengan COSO ERM, tetapi perusahaan harus menginstal kegiatan pengendalian
risiko-monitoring untuk memantau berbagai risiko telah diidentifikasi. Karena
sifat kritis banyak risiko untuk suatu perusahaan, pemantauan risiko dapat
menjadi sangat penting untuk kesehatan secara keseluruhan suatu perusahaan.
Banyak kegiatan pengendalian di bawah kontrol internal COSO cukup mudah
untuk mengidentifikasi dan menguji karena sifat akuntansi mereka. kegiatan
pengawasan ini umumnya termasuk daerah-daerah pengendalian internal:
Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus
tidak menjadi orang yang sama yang memberikan kuasa transaksi itu.
Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat
dengan mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang
tepat prosedur sehingga orang hanya berwenang dapat meninjau atau
memodifikasi mereka.
Dokumentasi. Proses harus didokumentasikan secara.
prosedur pengendalian tersebut, dan lain-lain, diakui cukup baik dan berlaku
untuk semua proses pengendalian internal dalam suatu perusahaan dan mungkin
juga berlaku untuk banyak acara terkait risiko. Banyak profesional, apakah
mereka memiliki latar belakang akuntansi dan audit atau tidak, sering dapat
menentukan beberapa kontrol kunci yang diperlukan dalam kebanyakan proses
bisnis. Misalnya, jika diminta untuk mengidentifikasi jenis kontrol internal yang
harus dibangun ke dalam akun sistem hutang, banyak profesional akan
mengatakan bahwa cek yang dikeluarkan dari sistem harus disahkan oleh orang
independen, bahwa catatan akuntansi harus berada di tempat untuk melacak cek
yang dikeluarkan, dan bahwa proses check-menerbitkan harus sedemikian rupa
sehingga orang hanya berwenang dapat melakukan transaksi keuangan tersebut.
Ini umumnya baik dan dipahami secara luas prosedur pengendalian internal.
Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam
mengidentifikasi kegiatan pengendalian untuk mendukung kerangka kerja ERM
nya. Meskipun tidak ada diterima atau standar yang ditetapkan kegiatan
pengendalian ERM saat ini, dokumentasi COSO ERM menyarankan beberapa
bidang:
Ulasan tingkat atas. Manajer senior harus sangat menyadari risiko
diidentifikasi peristiwa dalam unit organisasi mereka dan melakukan tinjauan
rutin tingkat atas pada status risiko yang teridentifikasi.
Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat
atas, manajer unit fungsional dan langsung harus memiliki peran kunci dalam
pengendalian risiko pemantauan aktivitas. Hal ini sangat penting di mana
kegiatan pengendalian berlangsung dalam unit operasi terpisah dengan
kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
Memproses informasi. Apakah itu IT proses berbasis peralatan atau lebih
lembut bentuk seperti kertas atau pesan, pengolahan informasi merupakan
kunci com-ponent dalam kegiatan pengendalian risiko terkait suatu
perusahaan. Kontrol yang tepat pro-cedures harus ditetapkan dengan
penekanan pada perusahaan proses TI dan risiko.
Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik,
seperti peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan
fisik, inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal
kontrol fisik prosedur kegiatan berbasis risiko yang sesuai.
Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan
berbagai keuangan dan operasional alat pelaporan yang juga dapat
mendukung risiko-acara-relat pelaporan kinerja ed. Di mana diperlukan, alat
kinerja harus diubah untuk mendukung kontrol ERM komponen kegiatan
penting ini.
Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tertentu
tindakan tidak harus orang yang sama yang menyetujui mereka.
kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM. Mereka
dapat diperluas untuk mencakup bidang utama lainnya. Beberapa akan khusus
untuk unit individu dalam perusahaan, tetapi masing-masing dari mereka, secara
tunggal dan kolektif, harus komponen penting mendukung kerangka kerja ERM
perusahaan.
Monitoring evaluasi yang terpisah atau individu mengacu review rinci proses
risiko individu oleh resensi yang berkualitas, seperti audit internal. Berikut review
dapat terbatas pada daerah tertentu atau mencakup seluruh proses ERM untuk
unit usaha. Audit internal adalah sering yang terbaik sumber internal untuk
melakukan tinjauan ERM tertentu seperti. Peran audit internal dalam proses ERM
dan peran mereka dalam pemantauan, khususnya, dibahas dalam bagian
berikutnya.
6.4 Dimensi lain dari COSO ERM: Tujuan Enterprise Risk
Meskipun banyak pengenalan COSO ERM kami di sini adalah pada sisi depan
menghadap kerangka tiga dimensi, dua dimensi-lain operasional dan organisasi
tingkat-harus selalu dipertimbangkan. Setiap komponen dari COSO ERM
beroperasi di ruang tiga dimensi ini; masing-masing harus dipertimbangkan dalam
hal kategori terkait lainnya. Komponen atas menghadap strategis, operasi,
laporan-ing, dan tujuan risiko kepatuhan penting untuk memahami dan
menerapkan-ing COSO ERM. Selain itu, sementara pameran 6,5 menunjukkan
masing-masing tujuan risiko atas menghadap ini sebagai memiliki ukuran yang
relatif sama, tujuan risiko operasi tingkat sering dipandang sebagai kategori risiko
tinggi-paparan yang lebih luas dan dari yang lain.
Banyak jenis risiko operasi dapat berdampak suatu perusahaan. Setelah kerangka
ERM tiga dimensioned, tujuan risiko operasi tingkat panggilan untuk iden-
tification risiko untuk setiap unit perusahaan. Identifikasi ini tujuan risiko operasi
tingkat sering membutuhkan informasi rinci pengumpulan dan analisis, terutama
untuk perusahaan besar yang meliputi beberapa wilayah geografis, lini produk,
atau proses bisnis. manajer langsung dari masing-masing unit biasanya memiliki
pemahaman terbaik dari risiko operasional mereka, dan informasi yang dapat
menjadi hilang ketika konsolidasi untuk pelaporan tingkat yang lebih tinggi. ulasan
audit internal atau survei orang langsung im-pacted oleh risiko ini dapat
membantu untuk mengumpulkan informasi latar belakang yang lebih rinci tentang
potensi risiko operasi. Sebuah survei langsung on-the-lantai anggota dari
perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan
pengembangan seperangkat luas dan consis-tenda risiko operasi katalog.
Pertanyaan yang diajukan di sini akan mirip dengan jenis pertanyaan rinci yang
digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di
sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik
tentang risiko potensial.
Tujuan risiko ini meliputi keandalan laporan suatu perusahaan data keuangan
dan non keuangan internal dan mantan ternal. Pelaporan yang akurat sangat
penting bagi keberhasilan suatu perusahaan dalam banyak dimensi. News
melaporkan sering detil penemuan pelaporan keuangan yang tidak akurat
perusahaan dan mengakibatkan dampak pasar saham untuk entitas-menangkis.
Bahwa pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di
banyak daerah. Sebuah contoh dari risiko yang berkaitan dengan pelaporan yang
tidak akurat menjadi masalah beberapa tahun yang lalu di perusahaan minyak
utama Royal Dutch Shell. Perusahaan minyak dan gas daya eksploratif-ransum
diwajibkan untuk melaporkan cadangan mereka-jumlah minyak dan gas pada
properti mereka yang belum diambil. Pada Januari 2004, Royal Dutch
mengumumkan bahwa karena perkiraan buruk dan pencatatan ceroboh, sudah
signifikan overreporting cadangan minyak bumi diperkirakan. 6 Kesalahan ini tidak
mempengaruhi perusahaan dilaporkan hasil keuangan dan SEC pedoman
pelaporan cadangan di sini tidak begitu kuat; Namun demikian, pasar babak belur
saham setelah mengumumkan-ment, dan CEO, kepala operasi eksplorasi minyak,
dan lain-lain dipaksa untuk mengundurkan diri. Perusahaan, di bawah ketua baru,
kemudian mengumumkan rakit perubahan dan perbaikan pengendalian internal
untuk memperbaiki kerusakan.
Tidak peduli apa industri itu di, sebuah perusahaan menghadapi risiko utama
dari pelaporan yang tidak akurat di unit atau wilayah. unit operasi harus
memastikan bahwa melaporkan hasilnya benar sebelum mereka lulus ke tingkat
berikutnya dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka
berada di laporan keuangan, pajak, atau salah satu dari segudang daerah lain.
pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat. ERM prihatin dengan risiko otorisasi dan melepaskan laporan tidak
akurat. pengendalian internal yang kuat harus meminimalkan risiko kesalahan,
dan suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang tidak akurat. Royal Dutch Shell kesalahan pelaporan cadangan
adalah contoh dari jenis perhatian pelaporan risiko. kesalahan kecil dan
perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan besar yang
perlu diungkapkan. Risiko pelaporan tidak akurat tersebut harus menjadi
perhatian di semua tingkat perusahaan.
Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa
unit bisnis di bawah masing-masing akan memiliki kerangka kerja ERM yang
mencerminkan semua unit. Sementara risiko ini mungkin penting untuk
organisasi secara keseluruhan, mereka harus dipertimbangkan secara unit
dengan unit ke level tingkat yang diperlukan untuk memungkinkan perusahaan
untuk memahami dan mengelola risiko. COSO ERM tidak menentukan bagaimana
tipis risiko tingkat unit ini harus diiris, dan kekritisan dan materialitas dari unit
bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama rantai
restoran dengan ribuan unit, misalnya, akan tidak masuk akal untuk memasukkan
setiap unit individu sebagai komponen terpisah dalam model risiko. Sebaliknya,
manajemen harus menentukan risiko organisasi-level cukup detail untuk
menutupi semua signifikan, risiko dikelola.
Sebuah konsep utama sekitarnya COSO ERM adalah bahwa suatu perusahaan
menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin signifikan
sementara yang lain sering hanya gangguan mengganggu dan dipandang sebagai
minor. Kerangka COSO ERM menyediakan mekanisme untuk mempertimbangkan
risiko tersebut; itu adalah alat penting untuk membantu memastikan SOx
kepatuhan.
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama,
sangat mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh
waktu bertahun-tahun untuk pengendalian internal COSO untuk diakui sebagai
lebih dari sebuah studi teknis yang menarik. Itu telah pertama dikodifikasi
sebagai standar audit oleh American Institute of Certified Public Accountants'
Standar Auditing Board (ASB) dan menerima beberapa menyebutkan di IIA
publikasi, tapi butuh SOx untuk memberikan COSO pengendalian internal
beberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar
akuntansi internal “yang akan didirikan.” Kemudian Perusahaan Publik Akuntansi
Dewan Pengawas (PCAOB) mengamanatkan bahwa COSO pengendalian internal
harus menjadi standar pengendalian internal. Tiba setelah SOx, COSO ERM
belum memiliki tingkat yang sama pengakuan. The IIA adalah pendukung awal
yang penting, dan unsur-unsur ERM dapat dilihat dalam versi baru dari C ontrol
ob jectives untuk i nformasi dan terkait T echnology (COBIT) framework (lihat Bab
5), tetapi masih tidak pada saat yang sama tingkat kepentingan dan signifikansi
hari ini untuk suatu perusahaan sebagai kontrol internal COSO.
Pengakuan ini mungkin memakan waktu lama. Seperti disebutkan, telah ada
beberapa kebingungan karena dua kerangka mirip dan memiliki COSO di nama
mereka. Namun, penekanan terkait risiko dari baru AS 5 standar auditing serta
pengakuan meningkatnya masalah risiko dalam literatur profesional telah
meningkatkan minat profesional dalam dan perhatian terhadap manajemen risiko
perusahaan, terutama ketika mencoba untuk mencapai SOx kepatuhan
pengendalian internal. Kerangka ERM tiga dimensi membantu untuk
menempatkan isu-isu risiko dan pengendalian internal dalam perspektif yang
lebih baik ketika mengevaluasi SOx kepatuhan.
manajemen risiko dan COSO ERM, khususnya, adalah keterampilan
pengetahuan yang harus menjadi bagian dari setiap auditor internal CBOK.
auditor internal harus menggunakan risiko mengelola-ment prinsip saat
memutuskan daerah untuk memilih diulas mereka (seperti yang dibahas dalam
Bab 15) dan kemudian menggunakan prinsip-prinsip risiko ketika menilai bukti
audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih penting, COSO ERM
akan semakin penting dan pengakuan sebagai perusahaan lebih memahami dan
mengadopsi kerangka ERM. audit internal harus memiliki pemahaman CBOK dari
COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan
berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih
efektif.