7.

4 Dimensi Lain dari COSO ERM: Tujuan Risiko Perusahaan

Setiap komponen COSO ERM beroperasi di ruang tiga dimensi harus
dipertimbangkan dalam hal kategori terkait. Komponen-komponen strategis, operasi,
pelaporan, dan tujuan risiko kepatuhan penting untuk memahami dan menerapkan COSO
ERM. Selain itu, tujuan risiko yang menghadap atas ini memiliki ukuran atau lebar relatif yang
sama, kategori tujuan risiko tingkat operasi sering dipandang sebagai kategori risiko paparan
yang jauh lebih luas dan lebih tinggi daripada yang lain.
Operasi Tujuan Manajemen Risiko
Berikut kerangka kerja ERM tiga dimensi, yang menjadi sasaran risiko tingkat
operasi identifikasi risiko untuk setiap unit atau komponen perusahaan. Manajer langsung dari
unit individu biasanya memiliki pemahaman terbaik atas risiko operasional mereka, dan
informasi itu dapat hilang ketika dikonsolidasikan untuk pelaporan tingkat yang lebih tinggi.
Untuk mengumpulkan latar belakang yang lebih rinci, informasi dapat dikumpulkan melalui
review audit internal atau survei orang yang terkena dampak langsung risiko ini. Pertanyaan
yang diajukan akan serupa dengan jenis pertanyaan terperinci sering digunakan dalam
penilaian pengendalian internal audit internal, dan hasil data yang tersedia bisa menjadi dasar
untuk mengembangkan pemahaman yang lebih baik.
Survei yang luas dan rahasia sering kali akan lebih baik dilakukan untuk
mengomunikasikan risiko operasi tingkat lokal yang sering terjadi dalam perusahaan. Apa pun
level dalam hierarki organisasi atau lokasi geografis, manajer di semua tingkatan harus sadar
bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko dalam unit
operasional mereka sendiri.
Melaporkan Tujuan Manajemen Risiko
Tujuan ERM ini mencakup keandalan pelaporan suatu perusahaan, termasuk
pelaporan internal dan eksternal data keuangan dan nonkeuangan. Unit operasi harus
memastikan bahwa hasil yang dilaporkan adalah benar sebelum dilewatkan ke tingkat
berikutnya dalam organisasi, dan angka-angka harus akurat, apakah laporan keuangan, laporan
pajak, atau banyak sekali daerah lain. Kesalahan kecil dan perbedaan dapat diabaikan dari
waktu ke waktu sampai ada kesalahan besar yang perlu diungkapkan.
Tujuan Risiko Kepatuhan Hukum dan Peraturan
Perusahaan dalam bentuk apa pun harus mematuhi berbagai undang-undang dan
diberlakukan pemerintah atau peraturan industri. COSO ERM merekomendasikan agar risiko
terkait kepatuhan dipertimbangkan untuk masing-masing komponen kerangka kerja risiko,
baik dalam konteks lingkungan internal, penetapan tujuan, atau pemantauan risiko, serta lintas
perusahaan. Ini penting elemen kerangka kerja manajemen risiko yang perlu dikomunikasikan
dan dimengerti. Sifat risiko kepatuhan tersebut perlu dikomunikasikan dan dipahami melalui
semua tingkatan perusahaan. Ini adalah area di mana suatu perusahaan dapat menerima tingkat
risiko tertentu dalam hal kekhawatiran terkait kepatuhan hukum.
Misalnya, banyak peraturan yang menentukan bahwa semua pengeluaran harus
didukung oleh tanda terima. Meskipun biasanya tidak ada pedoman kewajaran, satu perusahaan
dapat memutuskan bahwa "semua pengeluaran" turun ke biaya perjalanan karyawan kurang
dari $ 1, sementara yang lain akan membutuhkan tanda terima untuk apa pun di atas $ 25.
Perusahaan yang terakhir telah membuat keputusan bahwa biaya mendokumentasikan
pembelanjaan kecil ini lebih besar daripada yang mungkin diterima jika tertangkap dalam suatu
peraturan masalah kepatuhan. Jenis keputusan terkait risiko ini mirip dengan internal keuangan
AS5 mengontrol aturan untuk SOx.

7.5 Risiko Tingkat Entitas

COSO ERM menunjukkan empat divisi atau irisan dalam dimensi kerangka kerja ini:
tingkat entitas, divisi, unit bisnis, dan anak perusahaan risiko. Risiko COSO ERM harus
diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara
luas entitas melalui unit bisnis individu. Perusahaan dengan empat divisi operasi utama dan
dengan beberapa unit bisnis atau unit anak perusahaan di bawah masing-masing akan memiliki
kerangka kerja ERM yang mencerminkan semua unit ini. Sementara risiko ini penting pada
tingkat organisasi secara keseluruhan, harus ada tingkat pertimbangan atas dasar unit per unit
hingga level terendah yang diperlukan untuk memungkinkan perusahaan untuk memahami dan
mengelola risikonya. Manajemen harus mendefinisikan tingkat organisasinya risiko pada
tingkat detail yang akan mencakup semua risiko penting yang dapat dikelola.
Risiko Meliputi Seluruh Organisasi
Beberapa risiko pada tingkat unit bisnis harus digulung menjadi risiko tingkat entitas.
Meskipun mudah bagi suatu perusahaan untuk mempertimbangkan beberapa risiko tingkat-
unit “tidak material” —menggunakan pra-Sox. Risiko besar dan tampaknya kecil dapat
memengaruhi keseluruhan perusahaan karena dapat mempengaruhi prospek dan reputasi
perusahaan secara keseluruhan. Sementara itu relatif mudah untuk mengidentifikasi risiko
entitas tingkat tinggi seperti kepatuhan terhadap Bagian Sox 404, dan untuk mengidentifikasi
dan memonitor sebagai bagian dari proses ERM COSO, risiko masing-masing unit itu harus
ditinjau dan dikonsolidasikan terlebih dahulu untuk mengidentifikasi risiko utama yang dapat
berdampak secara keseluruhan organisasi. Selain itu, risiko di seluruh organisasi harus
diidentifikasi.
Tingkat Risiko - Unit Bisnis
Risiko terjadi di semua tingkatan perusahaan, baik divisi produksi utama dengan
banyak pabrik dan ribuan karyawan atau posisi kepemilikan minoritas di negara asing
perusahaan penjualan. Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab
risiko seringkali dapat dimulai sebagai proses push-down di mana manajemen tingkat
perusahaan akan lebih baik menguraikan masalah utama terkait risiko dan meminta manajemen
yang bertanggung jawab di masing-masing divisi utama untuk mensurvei tujuan risiko melalui
unit operasi di dalamnya divisi itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi
di semua tingkatan dan kemudian dikelola di tingkat di mana mereka dapat menerima
dukungan lokal langsung. Konsep utama seputar COSO ERM adalah bahwa suatu perusahaan
menghadapi berbagai masalah risiko signifikan di semua tingkatan. Beberapa mungkin
penting, sementara yang lain hanya dipandang sebagai gangguan kecil. Kerangka kerja COSO
ERM menyediakan mekanisme untuk pertimbangkan risiko-risiko ini; ini adalah alat penting
untuk membantu memastikan kepatuhan SOx.

7.6 Menempatkan Semua Bersama: Risiko Audit dan Proses COSO ERM
COSO ERM sering diabaikan ketika melihat masalah pengendalian internal lainnya,
auditor internal harus memiliki CBOK pemahaman umum tentang kerangka kerja penting ini.
Auditor internal menghadapi masalah manajemen risiko dan risiko dalam banyak tinjauan audit
dan bidang analisis, dan auditor internal yang efektif harus memahami proses manajemen
risiko. Auditor internal harus memiliki pemahaman CBOK tentang proses manajemen risiko
dasar untuk dapat bertanya pertanyaan yang tepat dan untuk meninjau kecukupan proses
manajemen risiko tersebut. Setiap tinjauan audit internal proses ERM perusahaan harus
direncanakan melalui proyek audit internal berbasis risiko pendekatan perencanaan
menggunakan beberapa alat berikut:
- Proses diagram alur. Sebagai bagian dari proses ERM yang diidentifikasi, proses bagan
alur dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi di
suatu perusahaan. Ini mensyaratkan melihat dokumentasi yang disiapkan untuk proses
terkait risiko, menentukan jika mereka benar diberikan kondisi saat ini, dan
menggambarkan kecukupan keseluruhan semua tingkat proses risiko perusahaan.
- Tinjauan risiko dan bahan kontrol. Proses ERM sering menghasilkan volume bahan
panduan, prosedur terdokumentasi, format laporan
- Pembandingan. Tolok ukur di sini adalah prosesnya melihat fungsi di lingkungan lain
untuk menilai operasi mereka dan untuk mengembangkan pendekatan yang
ditingkatkan berdasarkan praktik terbaik dari orang lain. Informasi komparatif
seringkali merupakan tugas yang sulit karena keengganan bersaing perusahaan untuk
membagikannya, patuh pada moto "Kemajuan Melalui Berbagi" IIA dan tradisi harus
mempromosikan praktik ini.
- Kuesioner. Metode yang baik untuk mengumpulkan informasi tentang efektivitas ERM
dari berbagai macam orang, kuesioner dapat dikirim kepada pemangku kepentingan
yang ditunjuk dengan permintaan untuk informasi spesifik. Ini sering merupakan teknik
audit internal yang berharga.
Gambar 7.10 memberikan
panduan untuk mengaudit dan
menilai status proses ERM
COSO. Area mana saja proses
di sini tampak lemah harus
menjadi sinyal peringatan bagi
manajemen senior.