AUDIT INTERNAL

Risk Management: COSO ERM

Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka
hadapi- antara lain resiko keuangan dan operasional serta sosial, etika, dan
lingkungan dan untuk mengelola risiko ke tingkat yang lebih diterima. Memahami
risiko merupakan komponen utama untuk mencapai kepatuhan terhadap Sarbanes-
Oxley melalui Auditing Standart No 5 (AS 5) Internal audit baik dari segi jaminan
maupun konsultasi dapat berkontibusi terhadap manajemen risiko.
Terutama untuk mendukung pemahaman mengenai Sox pengendalian
internal, auditor perlu memiliki pemahaman yang baik tentang manajemen risiko
dan bagaimana itu dapat mempengaruhi kemampuannya untuk membangun dan
mengembangkan pengendalian internal ynang efektif. Konsep utama dibalik AS 5
adalah manajemen dan auditor eksternal seharusnya mempertimbangkan risiko
relatif ketika menerapkan dan menilai pengendalian internal untuk mencapai
kepatuhan terhadap peraturan pengendalian internal.

1. Risk Management Fundamentals

Setiap perusahaan ada untuk memberi nilai bagi pemangku kepentingan,
namun nilai itu dapat terkikis melalui kejadian tak terduga dalam semua
kativitas, mulai dari operasional harian hingga menetapkan strategi untuk
bebrapa masa depan yng bergantug pada ketidak pastian/resiko.
Manajemen risiko adalah konsep asuransi terkait di mana seorang individu
atau perusahaan menggunakan mekanisme asuransi untuk memberikan
perlindungan dari risiko-risiko tersebut. Terdapat 4 langkah dalam proses
manajemen risiko yang efektif. (1) identifikasi resiko,(2) penilaian kuantitatif
atau kualitatif atas risiko yang didokumentasikan, (3) prioritas risiko dan
perencanaan respon, dan (4) pemantauan risiko.
1) Risk Identification (Risiko Pengendalian)
Manajemen harus berusaha untuk mengidentifikasi semua risiko
yang mungkin mempengaruhi keberhasilan perusahaan, mulai dari
yang besar atau lebih signifikan bisnis, secara keseluruhan risiko ke
risiko kurang penting terkait dengan proyek-proyek individu atau lebih
kecil unit bisnis. Proses identifikasi risiko perlu dipelajari, pendekatan
yang disengaja untuk melihat potensi risiko di setiap daerah operasi
dan kemudian mengidentifikasi lebih daerah risiko signifikan yang
dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.
Cara yang baik untuk memulai proses identifikasi risiko adalah
dengan organisasi tingkat tinggi bagan daftar tingkat korporat serta
unit operasi. Masing-masing unit tersebut mungkin memiliki fasilitas
di beberapa lokasi global dan dapat terdiri dari beberapa dan berbagai
jenis operasi. Setiap fasilitas terpisah nantinya akan memiliki
departemen sendiri atau fungsi. Beberapa fasilitas terpisah ini mungkin
terkait erat dengan satu sama lain.
2) Key Risk Assessments
Setelah mengidentifikasi risiko perusahaan yang signifikan,
langkah berikutnya adalah untuk menilai kemungkinan mereka dan
signifikansi relatif. Berbagai pendekatan dapat digunakan di sini, mulai
dari pendekatan kualitatif untuk beberapa rinci, kuantitatif sangat
matematis analisis. Ide untuk membantu memutuskan mana dari
serangkaian peristiwa berpotensi berisiko, harus memberikan
manajemen resiko yang paling mengkhawatirkan. Manajer yang
bertanggung jawab harus menilai risiko ini menggunakan pendekatan
kuesioner.
Berapakah kemungkinan risiko ini terjadi selama periode satu
tahun berikutnya? Dengan menggunakan skor 1 sampai 9, Skor 1 dari
 tidak ada kemungkinan risiko itu terjadi hingga Skor 9 jika Anda
merasa acara hampir pasti akan terjadi selama periode tersebut.
Sebagai contoh, anggaplah bahwa perusahaan telah
mengidentifikasi enam risiko, R-1 sampai R-6, dan empat manajer
diminta untuk mengevaluasi secara terpisah setiap risiko dalam hal
kemungkinan dan signifikansi. Skor ini kemudian dapat dirata-ratakan
oleh kedua faktor tersebut dan disusun berdasarkan penilaian risiko
grafik analisis seperti terlihat pada Tampilan 6.2.

(i) Probabililty and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi,
manajemen harus berpikir dari perkiraan likelihoods risiko
individu dan kejadian dalam dua digit probabilitas berkisar
dari 0,01 sampai 0,99.
(ii) Risk Interdependencies
Kita telah membahas risiko pada individu organisasi tingkat
unit, namun independensi risiko harus selalu
dipertimbangkan dan dievaluasi seluruh struktur organisasi.
Meskipun suatu entitas harus peduli tentang risiko di semua
tingkat organisasi, mereka hanya memiliki kontrol atas
risiko dalam lingkup sendiri
(iii) Risk Ranking
Langkah berikutnya adalah untuk mengambil makna dan
kemungkinan perkiraan yang ditetapkan, menghitung risiko
peringkat, dan mengidentifikasi risiko yang paling
signifikan di seluruh entitas terakhir.

3) Quantitative Risk Analysis

(i) EXPECTED VALUES AND RESPONSE PLANNING
Ada sedikit nilai dalam mengidentifikasi risiko signifikan
kecuali jika perusahaan memiliki setidaknya beberapa rencana
awal untuk tindakan yang diperlukan jika salah satu risiko
terjadi. Idenya adalah untuk memperkirakan dampak biaya dari
menimbulkan beberapa risiko yang teridentifikasi dan
kemudian menerapkan biaya tersebut ke probabilitas faktor
risiko untuk mendapatkan nilai yang diharapkan atau biaya
risiko. Seringkali latihan ini tidak memerlukan studi biaya
terperinci dengan banyak kecenderungan dan perkiraan historis
 pendukung. Sebaliknya, estimasi biaya yang diharapkan harus
dilakukan oleh orang-orang garis depan di berbagai tingkat
perusahaan yang memiliki pengetahuan tentang area atau
implikasi risiko.
(ii) RISK MONITORING
Identifikasi resiko kunci tidak bisa dilakukan sendiri dan dalam
satu kali proses.lingkungan sekitar risiko yang teridentifikasi
akan segera berubah ketika kondisi sekitarnya berubah. Proses
pemantauan yang akurat merupakan komponen penting dalam
pengelolaan risiko. Suatu perusahaan mungkin telah melalui
proses yang rumit untuk mengidentifikasi lebih banyak lagi
risiko signifikan. Namun, status risiko saat ini perlu dipantau
secara teratur dengan perubahan yang dibuat terhadap risiko
yang teridentifikasi jika diperlukan.

2. COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah suatu kerangka kerja
untuk membantu perusahaan untuk memiliki definisi yang konsisten dari
risiko mereka. Ini juga merupakan alat penting bagi pemahaman internal
dan meningkatkan kontrol internal SOx. COSO ERM diluncurkan pada
cara yang sama dengan pengembangan kerangka pengendalian internal
COSO. kerangka risiko Kerangka COSO ERM diterbitkan setelah
diundangkan
SOx pada bulan September 2004.
Dokumen kerangka kerja COSO ERM dimulai dengan
mendefinisikan manajemen risiko perusahaan: Manajemen risiko
perusahaan adalah sebuah proses, yang dilakukan oleh dewan direksi
entitas, manajemen dan personil lainnya, diterapkan dalam setting strategi
dan lintas
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial
yang dapat mempengaruhi entitas, dan mengelola risiko berada dalam risk
appetite-nya, untuk memberikan keyakinan memadai tentang pencapaian
tujuan entitas. poin kunci yang mendukung kerangka kerja COSO ERM
ini
definisi termasuk :
a. REM adalah sebuah proses
b. ERM proses dilaksanakan oleh orang-orang di perusahaan
c. ERM diterapkan melalui pengaturan strategi di perusahaan
secara keseluruhan.
d. Konsep risk appetite harus dipertimbangkan
e. ERM menyediakan kelayakan tapi jaminan tidak positif dalam
pencapaian tujuan
 f. ERM dirancang untuk membantu mencapai tujuan

3. COSO ERM Key Elements

Bagian ini menjelaskan komponen horizontal COSO ERM; bagian
selanjutnya membahas dua dimensi yang lain dan bagaimana mereka
semua berhubungan satu sama lain. Tujuan kerangka ERM ini adalah
untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan
memahami kegiatan yang berhubungan dengan risiko pada semua tingkat
serta bagaimana dampak komponen risiko ini satu sama lain. Sebuah
Tujuan dari bab ini adalah untuk membantu auditor intern-dari kepala
eksekutif audit (CAE) untuk staf auditor untuk lebih memahami COSO
ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko
yang dihadapi perusahaan. Bagan berikut menunjukkan kerangka kerja
COSO ERM ini sebagai tiga dimensi.

(a) Komponen lingkungan internal

Komponen lingkungan internal terdiri dari elemen-elemen
berikut ini :
- Filosofi Manajemen Resiko, Sampai seberapa jauh
filosofi mempengaruhi manajemen
- Risk Appetite, Sampai seberapa jauh menerapkan
resiko
- Tingkah Laku Pemangku Kepentingan, Sampai
seberapa jauh solidnya
- Integritas dan Nilai etika, Nilai-nilai etika dalam
menghadapi resiko
- Komitmen pada Kompetensi, Apakah orang-orang yang
ditempatkan di struktur organisasi telah tepat dalam
mengatasi resiko
- Struktur Organisai, bagaimana bentuk organisasinya
- Penetapan Otoritas dan tanggung jawab, Apakah ada
kejelasan pendelegasian wewenang dan job description
- Standar Sumber Daya Manusia, Apakah sudah
ditentukan standar SDM nya
(b) Penetapan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka
ERM COSO, penetapan tujuan menguraikan kondisi penting
untuk membantu manajemen menciptakan proses ERM yang
efektif. Unsur ini mengatakan bahwa, selain lingkungan
internal yang efektif, perusahaan harus menetapkan
serangkaian tujuan strategis, selaras dengan misinya dan
mencakup kegiatan operasi, pelaporan, dan kepatuhan. COSO
ERM menekankan bahwa pernyataan misi merupakan elemen
penting untuk menetapkan tujuan. ERM mensyaratkan pada
saat menetapkan tujuan maka juga harus menyeting resikonya
dan risk responnya.
Intinya di sini adalah bahwa perusahaan harus menentukan
strategi dan sasaran terkait risiko. Dalam pedoman tersebut,
harus memutuskan selera dan toleransi terhadap risiko ini.
Artinya, harus menentukan tingkat risiko yang ingin diterima
dan, mengingat peraturan toleransi risiko tersebut, seberapa
jauh hal tersebut bersedia menyimpang dari tindakan yang telah
ditetapkan sebelumnya.

Bagan 6.7 menguraikan hubungan bagian-bagian komponen

penetapan tujuan COSO ERM. Dimulai dengan keseluruhan
misi, pendekatannya adalah untuk (1) mengembangkan tujuan
strategis untuk mendukung pencapaian misi tersebut, (2)
membangun strategi untuk mencapai tujuan, (3) menentukan
tujuan terkait, dan (4) menentukan selera risiko untuk
menyelesaikan strategi itu
 Untuk mengelola dan mengendalikan risiko di semua tingkat,
perusahaan perlu menetapkan tujuannya dan menentukan
toleransi untuk terlibat dalam praktik berisiko dan kepatuhan
terhadap peraturan ini. Hal-hal tidak akan berhasil jika
perusahaan menetapkan beberapa tujuan terkait risiko namun
kemudian mengabaikannya.

(c) Event Identification

Melakukan identifikasi kejadian-kejadian internal dan eksternal
yang mempengaruhi pencapaian tujuan korporasi yang telah
ditetapkan. Banyak perusahaan saat ini memiliki alat pemantau
kinerja yang kuat untuk memonitor biaya, anggaran, jaminan
kualitas, kepatuhan, dan sejenisnya. proses pemantauan harus
mencakup:
1) Eksternal Economic Events,
Berbagai peristiwa eksternal perlu dipantau untuk
membantu mencapai tujuan ERM suatu perusahaan.
Kejadian jangka pendek dan jangka panjang dapat
mempengaruhi sasaran strategis perusahaan.
2) Natural Environmental Events,
banyak kejadian bisa menjadi insiden dalam identifikasi
risiko ERM. Dampak di sini dapat mencakup hilangnya
akses terhadap beberapa bahan baku utama, kerusakan
fasilitas fisik, atau ketidaktersediaan personil.
3) Political events,
Undang-undang dan peraturan baru serta hasil pemilihan
bisa adadampak terkait kejadian risiko yang signifikan
terhadap perusahaan. Banyak perusahaan besar memiliki
fungsi urusan pemerintahan yang meninjau perkembangan
di sini dan melobi untuk perubahan, namun fungsi
semacam itu mungkin tidak selalu selaras dengan tujuan
ERM perusahaan.
4) Social factors,
sebagian besar faktor sosial perlahan berkembang. Ini
termasuk perubahan demografis, adat istiadat sosial, dan
kejadian lainnya yang mungkin berdampak pada
perusahaan dan pelanggannya dari waktu ke waktu
5) Internal Infrastructure Events,
Misalnya, perubahan dalam pengaturan layanan pelanggan
dapat menyebabkan keluhan utama dan penurunan
kepuasan pelanggan di unit ritel. Permintaan pelanggan
yang kuat untuk produk baru dapat menyebabkan
perubahan dalam persyaratan kapasitas pabrik dan
kebutuhan akan tenaga tambahan.
6) Internal Process-related Events,
 Serupa dengan perubahan dalam kejadian infrastruktur,
perubahan dalam proses kunci dapat memicu berbagai
peristiwa identifikasi risiko. Dalam banyak kasus,
identifikasi risiko mungkin tidak segera terjadi, dan
beberapa saat mungkin berlalu sebelum peristiwa terkait
proses memberi sinyal kebutuhan untuk identifikasi risiko
7) External & Internal Technological Events,
Setiap perusahaan menghadapi berbagai macam peristiwa
teknologi yang dapat memicu kebutuhan akan
mengidentifikasi risiko formal.

COSO ERM merilis teknik melalui beberapa pendekatan ini:

8) Event Inventories,
Manajemen harus mengembangkan daftar kejadian terkait
risiko yang umum terjadi pada industri dan area fungsional
perusahaan
9) Facilliated workshop,
Hasil dari lokakarya ini adalah rencana aksi untuk
memperbaiki potensi risiko.
10) Interviews, questionnaires,and surveys,
Informasi mengenai kejadian risiko potensial dapat berasal
dari berbagai sumber, seperti surat kepuasan pelanggan
11) Process flow analysis,
Material teknik aplikasi COSO ERM merekomendasikan
penggunaan diagram alir untuk meninjau ulang proses dan
mengidentifikasi kejadian risiko potensial.
12) Leading events and escalation trigers,
Idenya di sini adalah untuk menetapkan serangkaian
pengukuran unit bisnis untuk memantau tujuan toleransi
risiko dan mempromosikan tindakan perbaikan.
13) Lost event data tracking

(d) Penilaian resiko

Penilaian resiko memungkinakan korporasi untuk
mepertimbangkan apa dampak potensial dari kejadian yang
terkait resiko.
- Resiko Inheren,
risiko inheren adalah "potensi untuk limbah, kehilangan,
penggunaan yang tidak sah, atau penyalahgunaan
karena sifat suatu kegiatan itu sendiri." Faktor utama
yang mempengaruhi risiko inheren perusahaan adalah
ukuran anggaran, kekuatan dan kecanggihan
manajemen, dan hanya sifat kegiatannya. Resiko yang
melekat ada di luar kontrol manajemen dan biasanya
berasal dari faktor eksternal
- Resiko residual,
 Inilah risiko yang tetap ada setelah respon manajemen
terhadap risiko ancaman dan penanggulangan telah
diterapkan.
(e) Respon Resiko
- Avoidance : menghindar resiko
- Reduction : mengurangi resiko
- Sharing : membagi resiko
- Acceptance : Menerima resiko
(f) Aktivitas pengendalian
Merupakan kebijakan dan prosedur yang dilakukan untuk
merespon resiko. Secara umum pengendalian internal meliputi
- Separation of duties,
setiap transaksi dilakukan oleh orang yang berbeda.
- Audit trails,
Proses harus diatur sedemikian rupa sehingga hasil
akhir dapat dengan mudah dilacak kembali ke transaksi
yang menciptakan hasil tersebut.
- Security & Integrity
Proses pengendalian harus memiliki prosedur
pengendalian yang tepat sehingga hanya orang yang
berwenang yang dapat meninjau atau memodifikasinya.
- Documentation
Proses harus didokumentasikan dengan tepat.
Walaupun pengaturan standar dari aktivitas pengendalian ERM
saat ini tidak disetujui, dokumentasi COSO ERM menyarankan
beberapa macam area yaitu
- Top level review,
Manajer senior harus sangat menyadari risiko yang
teridentifikasi di dalam unit organisasi mereka
- Direct functional or activity management
manajer unit fungsional dan langsung harus memiliki
peran penting dalam pemantauan aktivitas pengendalian
risiko
- Information processing
pemrosesan informasi merupakan komponen kunci
dalam aktivitas pengendalian terkait risiko perusahaan
- Physical controls
Banyak masalah terkait risiko melibatkan aset fisik,
seperti peralatan, persediaan, sekuritas, dan pabrik fisik.
perusahaan harus memasang prosedur aktivitas
pengendalian fisik berbasis risiko yang sesuai.
- Performance indicators,
Perusahaan biasa saat ini menggunakan berbagai alat
pelaporan keuangan dan operasional yang juga dapat
mendukung pelaporan kinerja terkait risiko.
- Segregation of duties, timdakan tidak dilakukan oleh
orang yang sama.
(g) Informasi dan Komunikasi
Meskipun digambarkan sebagai komponen terpisah dalam
diagram kerangka COSO ERM, informasi dan komunikasi
kurang satu set terpisah terkait risiko proses dari alat dan proses
menghubungkan komponen lainnya COSO ERM. Sebagai
contoh, komponen respon risiko menerima sisa dan risiko yang
melekat masukan dari penilaian risiko serta dukungan toleransi
risiko dari Tujuan-pengaturan komponen. ERM kemudian
memberikan respon risiko dan data risiko portofolio untuk
mengontrol aktivitas serta umpan balik untuk penilaian risiko.
Berdiri sendiri, komponen pemantauan tidak memiliki
informasi langsung koneksi tetapi memiliki tanggung jawab
keseluruhan untuk meninjau semua fungsi ini.
Meskipun relatif mudah untuk menggambarkan bagaimana
informasi harus dikomunikasikan dari satu komponen COSO
ERM ke yang lain dalam diagram alir sederhana,
melakukannya merupakan proses yang jauh lebih kompleks
dalam praktek. Dasar proses dalam banyak perusahaan terdiri
dari web kompleks sistem informasi operasional dan keuangan
yang sering tidak terkait dengan baik. Hubungan ini menjadi
lebih kompleks untuk proses ERM banyak, mengingat bahwa
banyak aplikasi enterprise dasar tidak langsung meminjamkan
diri untuk identifikasi risiko, penilaian, dan proses tipe respon
risiko.
Di luar aplikasi ERM informasi yang komprehensif untuk
perusahaan, ada kebutuhan untuk mengembangkan pemantauan
risiko dan sistem komunikasi yang memiliki pranala dengan
pelanggan, pemasok, dan stakeholders lainnya. Sedangkan
segmen informasi dari ERM informasi dan komunikasi
komponen biasanya pemikiran dalam hal TI informasi strategis
dan operasional sistem, aspek kedua komponen ini, komunikasi
ERM, berbicara tentang komunikasi melebihi sekedar aplikasi
IT. Ini termasuk kebutuhan untuk mekanisme untuk
memastikan bahwa semua stakeholder menerima pesan tentang
kepentingan perusahaan itu dalam mengelola risiko. Ada
kebutuhan untuk bahasa risiko umum di seluruh perusahaan
tentang peran manajemen risiko dan tanggung jawab. COSO
ERM akan menjadi nilai yang kecil bagi perusahaan kecuali
 pentingnya dikomunikasikan kepada seluruh pemangku
kepentingan secara umum dan konsisten.

(h) Monitoring
Ditempatkan di dasar komponen model kerangka ERM,
pemantauan ERM diperlukan untuk menentukan bahwa semua
komponen terpasang ERM bekerja secara efektif. Orang dalam
perubahan perusahaan, seperti halnya mendukung proses dan
baik internal dan kondisi eksternal, tetapi komponen
pemantauan membantu memastikan bahwa ERM bekerja
efektif secara terus menerus. Contoh pemantauan termasuk
proses untuk bendera pengecualian atau pelanggaran dalam
proses ERM komponen lainnya. Sebagai contoh, piutang fungsi
penagihan piutang harus mengidentifikasi keseluruhan
keuangan dan operasional resiko jika tagihan pelanggan tidak
dibayar secara tepat waktu. Sebuah berlangsung-hampir real
time-kredit koleksi alat pemantauan dapat memberikan
manajemen senior dengan sehari-hari dan data tren pada status
koleksi.
Dashboard pemantauan alat, dibahas sebelumnya, adalah
monitor ERM yang dapat bekerja secara terus menerus. Di luar
alat monitor dashboard, manajemen perusahaan harus
mengambil tanggung jawab keseluruhan untuk memantau ERM.
Dalam rangka membangun efektif ERM kerangka kerja,
pemantauan harus mencakup review berkelanjutan dari proses
ERM keseluruhan mulai dari tujuan diidentifikasi untuk
kemajuan yang berlangsung kegiatan pengendalian ERM.
Kerangka kerja Aplikasi COSO ERM dokumen menunjukkan
bahwa pemantauan dapat meliputi jenis kegiatan:
 Pelaksanaan mekanisme pelaporan manajemen yang
berkelanjutan seperti uang tunai
posisi, unit penjualan, dan data keuangan kunci. Sebuah
perusahaan tidak harus tunggu sampai akhir fiskal-
bulan untuk jenis laporan status, dan cepat-respon
laporan singkat harus dimulai.
 Periodik terkait risiko proses pelaporan peringatan akan
memantau aspek-aspek kunci dari didirikan risiko
kriteria, termasuk tingkat kesalahan dapat diterima atau
item diselenggarakan di ketegangan. Pelaporan tersebut
harus menekankan tren statistik dan perbandingan baik
dengan periode sebelumnya dan dengan sektor industri
lainnya.
  Lancar dan status pelaporan berkala temuan terkait
risiko dan rekomendasi dari laporan audit internal dan
eksternal, termasuk status ERM terkait SOx
mengidentifikasi kesenjangan.
 Diperbarui informasi terkait risiko dari sumber seperti
peraturan pemerintah-revisi, tren industri, dan berita
ekonomi secara umum. Sekali lagi, jenis ekonomi dan
pelaporan operasional harus tersedia untuk para manajer
di semua tingkatan.
Terpisah atau monitoring evaluasi individu mengacu pada
tinjauan rinci individu risiko proses oleh resensi
berkualitas, seperti audit internal. Berikut review dapat
dibatasi ke daerah tertentu atau menutup seluruh proses
ERM untuk perusahaan unit. audit internal seringkali
menjadi sumber terbaik internal untuk melakukan seperti
yang spesifik ERM review. Peran audit internal dalam
proses ERM dan peran mereka dalam pemantauan,
khususnya, akan dibahas di bagian selanjutnya.

4. Other Dimensions of COSO ERM: Enterprise Risk Objectives

1) Tujuan operasi manjemen resiko
Banyak jenis risiko operasi dapat berdampak perusahaan.
Identifikasi risiko operasi tingkat tujuan sering membutuhkan rinci
pengumpulan informasi dan analisis, terutama untuk sebuah
perusahaan yang lebih besar yang meliputi beberapa wilayah
geografis, lini produk, atau bisnis proses.
2) Tujuan melaporkan resiko manajemen
Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari
internal dan eksternal data keuangan dan nonkeuangan. Pelaporan
yang akurat sangat penting untuk keberhasilan suatu perusahaan
dalam banyak dimensi. Laporan berita sering detail dalam
penemuan akurat pelaporan keuangan perusahaan dan
mengakibatkan dampak pasar saham untuk menyinggung entitas.
Pelaporan yang tidak akurat yang sama dapat menyebabkan
masalah di banyak daerah.
3) Tujuan Risiko Kepatuhan Hukum dan Peraturan
 Setiap jenis perusahaan harus mematuhi berbagai peraturan dan
standar industri yang berlaku. Sementara risiko kepatuhan dapat
dipantau dan diakui, risiko hukum kadang-kadang benar-benar tak
terduga. Di Amerika Serikat, misalnya, sistem hukum penggugat
agresif dapat menimbulkan risiko besar untuk dinyatakan
perusahaan bermaksud baik.

5. Entity-Level Risks
(a) Risks Encompassing the Entire Organization
Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-
tingkat. sekarang mudah bagi perusahaan untuk mempertimbangkan
beberapa risiko tingkat unit sebagai "tidak material", untuk
menggunakan pre-SOx terminologi akuntan publik, suatu perusahaan
harus memikirkan semua risiko sebagai berpotensi signifikan.
(b) Business Unit–Level Risks
Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus
dipertimbangkan dalam setiap organisasi yang signifikan unit. Bahkan
risiko yang teridentifikasi dalam posisi kepemilikan minoritas dalam
penjualan perusahaan negara asing, misalnya, mungkin risiko yang
unik ke unit itu, tetapi kemudian harus menggulung ke entitas secara
keseluruhan

6. Putting It All Together

The COSO framework ERM dijelaskan di sini membahas
pendekatan manajemen risiko yang berlaku untuk semua industri dan
meliputi semua jenis risiko. Dengan fokus pada pengakuan selera suatu
perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen
risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM
memiliki beberapa dasar perbedaan dari kebanyakan model risiko yang
telah digunakan sampai saat ini. COSO ERM belum digunakan cukup
lama untuk menunjuk ke serangkaian.

7. Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi isu-isu risiko dan manajemen
risiko di banyak daerah. Auditor internal yang efektif harus memahami
proses manajemen risiko. Terlalu sering, internal auditor akan akan
melakukan suatu pengendalian internal review di beberapa daerah dan
akan diberitahu bahwa daerah itu atau tidak dipilih karena "pertimbangan
risiko." Auditor harus memiliki tingkat pengetahuan CBOK proses
manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat
dan untuk meninjau kecukupan proses-proses tersebut.
Suatu perusahaan dapat memperbaiki keseluruhan prosesnya dan
juga proses pengendalian internal SOx melalui penerapan COSO ERM
yang efektif dan efisien. Dengan berfokus pada kerangka kerja COSO
ERM serta praktik pengelolaan risiko yang baik secara umum, audit
 internal dapat membantu perusahaan dengan merencanakan dan
melakukan tinjauan terhadap proses manajemen risiko perusahaan.
Tentu saja, untuk meninjau praktik dan prosedur pelaksanaan
COSO ERM, auditor internal, baik sebagai peninjau audit internal dari
kontrol atau konsultan kepada manajemen, perlu mengembangkan
pemahaman yang kuat tentang kontrol dan proses COSO ERM. Audit
internal harus meninjau keseluruhan proses ERM perusahaan dengan
menggunakan beberapa alat berikut:
a) Proses flowcharting Sebagai bagian dari proses ERM yang
teridentifikasi, flowchart proses dapat berguna untuk
menggambarkan bagaimana manajemen risiko beroperasi dalam
perusahaan. Ini memerlukan pemeriksaan dokumentasi yang
dipersiapkan untuk proses yang berkaitan dengan risiko,
menentukan apakah kondisi tersebut ada saat ini, dan
menggambarkan keseluruhan kecukupan semua tingkat proses
risiko perusahaan.
b) Tinjauan bahan risiko dan pengendalian. Proses ERM sering
menghasilkan sejumlah besar bahan panduan, prosedur
terdokumentasi, format laporan, dan sejenisnya
c) Benchmarking Meskipun istilah yang sering disalahgunakan,
brenchmarking adalah proses melihat fungsi di lingkungan lain
untuk menilai operasi mereka dan untuk mengembangkan
pendekatan yang lebih baik berdasarkan praktik terbaik dari orang
lain
d) Kuesioner Kuesioner adalah metode yang bagus untuk mengumpulkan
informasi pada efektivitas ERM dari berbagai macam orang. Ini sering
merupakan teknik audit internal yang berharga. Audit internal harus
menetapkan beberapa tujuan peninjauan tingkat tinggi untuk efektivitas
COSO ERM di perusahaan mereka, mengumpulkan data pelaksanaan
terperinci, dan kemudian menilai keefektifan COSO ERM dan sebagai
alat untuk mendukung dan meningkatkan kepatuhan SOx

8. Risk Management and COSO ERM in Perspective

Karena dua model kerangka terlihat sangat mirip pada pengamatan

pertama, sangat mudah untuk mengabaikan karakteristik unik dari COSO
ERM . Butuh waktu bertahun-tahun untuk pengendalian internal COSO
untuk diakui sebagai lebih dari menarik teknis studi. Undang-undang awal
SOx berbicara tentang akuntansi internalstandar " yang akan didirikan . "
Kemudian Perusahaan Publik Pengawasan Akuntansi Dewan ( PCAOB )
mengamanatkan bahwa pengendalian internal COSO harus review
pengendalian internalstandar. IIA adalah pendukung awal yang penting ,
dan unsur-unsur ERM bisadilihat dalam versi baru dari tujuan Control
untuk informasi dan terkait Technology ( COBIT ) kerangka kerja , tetapi
masih tidak pada tingkat yang sama penting dan signifikansi untuk suatu
perusahaan sebagai pengendalian internal COSO
 Kerangka ERM tiga dimensi membantu menempatkan masalah
risiko dan pengendalian internal dalam perspektif yang lebih baik saat
mengevaluasi kepatuhan SOx. Manajemen risiko dan COSO ERM,
khususnya, adalah keterampilan pengetahuan yang harus menjadi bagian
dari setiap CBOK auditor internal. Auditor internal harus menggunakan
prinsip manajemen risiko saat menentukan bidang mana yang akan dipilih
untuk tinjauan mereka dan kemudian menggunakan prinsip-prinsip risiko saat
menilai bukti audit
COSO ERM akan tumbuh dalam arti penting dan pengakuan
karena semakin banyak perusahaan memahami dan mengadopsi kerangka
ERM. Audit internal harus memiliki pemahaman CBOK tentang COSO
ERM baik untuk mengaudit kepatuhan terhadap proses ini dan untuk
berkonsultasi dengan manajemen untuk memastikan implementasi yang
lebih efektif.

Referensi :
1. Robert R Moeller, “Brink’s Modern Internal Auditing, A Common Body of
Knowledge” Seventh Edition, John Wiley & Sons, Inc, 2009. (RM)
2. http://mykingdo.blogspot.co.id/2014/11/brinks-modern-internal-audit-
chapter-6.html?m=1