BAB 4 MANAJEMEN RISIKO

DEFINISI RISIKO

COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan

ISO : pengaruh ketidakpastian pada tujuan

Risiko bisnis

Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa
ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.

COSO ERM FRAMEWORK

Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba
menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar
terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini
terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO
pada tahun 2004.

COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu
perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang
dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated
Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka
kerja ERM yang lebih luas.

Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan
mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai
tujuannya”

Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan
pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang
untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk
mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai
sehubungan dengan pencapaian tujuan entitas“

Definisi ini mencerminkan konsep-konsep fundamental tertentu. ERM adalah:

 − sebuah proses yang berlangsung terus menerus.
− dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi.
− diterapkan dalam penyusunan strategi.
− diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.
− Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.
− Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi
entitas.
− Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas.
− Menyajikan keyakinan memadai kepada manajemen dan dewan entitas
− Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah
maupun secara bersama-sama.

Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara
jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.

Jenis Tujuan

Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih
strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan
diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan
entitas dalam konteks empat kategori:

− Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung
misi entitas.
− Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan
efisien.
− Pelaporan – berhubungan dengan keandalan pelaporan entitas.
− Ketaatan – berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang
berlaku

Komponen ERM

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-
komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan
proses manajemen. Komponen-komponen tersebut adalah:

1. Internal Environment (Lingkungan Internal)

“manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat
risiko. Lingkungan internal menentukan fondasi tentang bagaimana risiko dan pengendalian
dipandang oleh orang-orang dalam suatu entitas. Inti dari bisnis apapun adalan orang-orang –
atribut individual mereka, termasuk integritas, nilai etika dan kompetensi – dan lingkungan di mana
mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi dari setiap
komponen lainnya“

Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko
perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana
strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi,
ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas
pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.

Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur
antara lain:

− Risk management philosopy.

− Risk appetite.
− Board of directors.
− Integrity and ethical values
− Commitment to competence
− Organizational stucture
− Assignment of authority and responsibility
− Human resource standards

2. Objective Setting (Penentuan Tujuan)

Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan
kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan
sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan
risiko adalah pemantapan tujuan.

3. Event Identification (Identifikasi Peristiwa)

Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan,
baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan
organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan.
Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana
manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan.
Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal
maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.

COSO merumuskan beberapa eksternal faktor antara lain:

− Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang
ketat.
− Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam
lainnya.
− Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik
yang baru maupun pemberlakukan hukum dan regulasi yang baru.
− Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun
prioritas hidup/pekerjaan.
− Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan
dan pemrosesan

COSO juga merumuskan beberapa internal faktor antara lain:

− Infrastructure factors, seperti meningkatkan alokasi modal untuk pemeliharaan preventif

atau dukungan call center.
− Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau kontrak kerja yang
kadaluwarsa,
− Process factors, seperti perubahan proses/cara kerja, kesalahan didalam proses pekerjaan,
atau keputusan menggunakan outsorcing
− Technology factors, seperti meningkatkan sumber daya untuk menangani volatilitas volume,
pelanggaran keamanan, atau penghentian sistem.

4. Risk assessment (Penilaian Risiko)

Penilaian risiko mengharuskan manajemen untuk mempertimbangkan sejauh mana peristiwa

potensial yang dapat menghambat tujuan perusahaan. Manajemen harus menilai risiko dari dua
perspektif yaitu kemungkinan dan dampaknya. Dengan dua kombinasi itu manajemen menilai risiko
mana yang berdampak sangat besar pada tujuan perusahaan maupun yang berdampak kecil.
5. Risk Response (Penanganan Risiko)

Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus
menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan
penanganan risiko menurut COSO

− Avoidance, yaitu menghindari risiko

− Reduction, yaitu mengurangi risiko baik dari kemungkinan terjadinhya maupun dampaknya
− Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain (asuransi)
− Acceptance, yaitu menerima risiko

6. Control Activities (Kegiatan Pengendalian)

Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan
manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian
manajemen antara lain:

− Top-level reviews
− Direct functional or activity management
− Information processing controls
− Physical controls
− Performance indicators
− segregation

7. Information and Communication

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang
berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam
mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar
mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah
informasi harus:

− tepat dan rinci pada setiap tingkatan yang berbeda

− tepat waktu dan tersedia pada saat dibutuhkan
− mencerminkan kondisi yang sekarang baik (update) terutama pada informasi keuangan dan
operasi
− akurat dan terpercaya
− dapat diakses oleh siapapun yang membutuhkan
 − 8. Monitoring

ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan
dengan baik setiap waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka
melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan
efektif.

Peran dan Tanggung Jawab dalam ERM

Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan,
auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk
mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut
sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.

● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak
manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi,
merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup
yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait
dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan
pemantauan melalui:
− Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM
dengan efektif.
− Mengetahui dan menyepakati selera risiko organisasi.
− Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko
organisasi.
− Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak
manajemen telah menangani risiko tersebut secara memadai.

● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi,
termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung
tingkatannya dan karakteristiknya dalam organisasi.

CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu
aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan
internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan
pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan
 organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas
risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang
berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak
berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi
tidak “keluar-jalur”.

Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab
pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak
manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai
kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang
terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer
membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya,
memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi
risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang
diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih
berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko
yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian
dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi
manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang
atau melayani pelanggan baru

Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran
yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang
efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang
dapat mendukung pengelolaan risiko lintas unit dalam organisasi.

● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk
menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam
pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)--
umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer
lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki
sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis,
departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan
 pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan
risiko dalam organisasi.

Pedoman COSO menyebutkan tanggung jawab CRO secara khusus, yaitu:

− Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan
berpartisipasi dalam menentukan tujuan penerapan.
− Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis.
− Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi
pengembangan ahli teknik ERM dan membantu pihak manajer menangani risiko sesuai
dengan toleransi risiko entitas dan mengembangkan pengendalian yang memadai.
− Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas
manajemen.
− Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas
keterjadian dan dampak risiko, dan kategori risiko yang umum.
− Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi
batasan kualitatif dan kuantitatif, dan pemantauan proses pelaporan.
− Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan
rekomendasi tindakan yang diperlukan.
● Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya
bertanggung jawab hampir atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya
hampir seluruh kegiatan tersebut melibatkan peran serta bagian akuntansi dan keuangan.
Mereka berperan penting dalam mencegah dan mendeteksi pelaporan fraud, dan
mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi yang
terkait dengan pelaporan keuangan dan sistem pendukung lainnya.
● Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitas—termasuk
merekomendasikan perbaikan—ERM.
● Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak
yang ada dalam organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk
owner), namun bagaimanapun juga peran mereka—mulai dari mengidentifikasi risiko hingga
penerapan strategi penanganan risiko—turut berpengaruh dalam mewujudkan ERM yang
efektif.
● Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi
maupun manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan
 independen, yang akan berguna menghasilkan laporan keuangan untuk pihak eksternal dan
tujuan-tujuan lainnya.
● Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam
organisasi melalui berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian
internal atau melalui pemeriksaan terhadap entitas khusus.
● Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat
secara bisnis dengan organisasi berperan dalam menyediakan informasi risiko, sebagai
sumber/bahan ERM. Pihak kreditor dapat memberikan suatu pengawasan atau arahan yang
berpengaruh terhadap pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi
peringkat, media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil
investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi orang luar
terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan
strategi keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim
bagi organisasi dalam menjalankan operasi hariannya terutama untuk menjalankan fungsi-
fungsi yang bukan proses bisnis utama organisasi. Dengan adanya kerja sama dengan pihak luar
tersebut maka kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait
dengan kerja sama tersebut.

COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor
pendorong:
− Menyesuaikan selera risiko dan strategi
− Meningkatkan pengambilan keputusan untuk merespon risiko
− Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
− Mengidentifikasi dan mengelola risiko antar-usaha
− Menyiapkan respon terpadu atas berbagai risiko
− Menangkap peluang
− Meningkatkan penempatan modal

ISO 31000:2009 MANAJEMEN RISIKO—PEDOMAN DAN PRINSIP

Prinsip ISO 31000:
− Menciptakan dan memelihara nilai
− Bagian integral dari proses organisasi
− Bagian dari pengambilan keputusan
− Secara tegas menyampaikan ketidakpastian
− Sistematis, terstruktur, dan tepat waktu
 − Berdasarkan pada informasi terbaik
− Dirancang secara khusus
− Mempertimbangkan faktor manusia dan budaya
− Transparan dan melibatkan banyak pihak
− Dinamis, berulang, dan responsif terhadap perubahan
− Memfasilitasi perbaikan-perbaikan dalam organisasi

Kerangka ISO 31000

− Mandat dan komitmen dari atasan

− Merancang kerangka pengelolaan risiko, yang meliputi:
● Pemahaman terhadap konteks organisasi
● Menyusun kebijakan manajemen risiko
● Pendelegasian tanggung jawab dan kewenangan
● Mengintegrasikan pengelolaan risiko pada proses bisnis organisasi
● Pengalokasian sumber daya
● Menentukan komunikasi internal dan eksternal serta mekanisme pelaporannya
− Menerapkan kerangka dan proses pengelolaan risiko
− Pemantauan atas kerangka
− Secara berkala, meningkatkan kerangka

Proses ISO 31000

− Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal
dan eksternal yang dapat mempengaruhi pengelolaan risiko.
− Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan
penyebabnya, sumber, dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk
memperoleh informasi dalam memprioritaskan penanganan risiko.
− Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada.
− Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah
penanganan risiko telah sesuai dengan tujuan.
− Membangun proses komunikasi dan konsultasi.

Peran Auditor Internal dalam ERM

Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari
akuntan manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan
mengevaluasi berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan
program kerja manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk
pengelolaan risiko.

Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang
dikeluarkan oleh IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh
internal auditor. Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi yang
diwajibkan oleh kode etik profesi dan standar profesi auditor internal. Saat internal auditor tidak
memiliki kompetensi dan kemahiran yang memadai atas area manajemen risiko maka menurut IIA
auditor internal harus menolak penugasan. Berikut ini aktivitas utama yang dapat diperankan oleh
internal auditor:

− Memberikan jaminan kepada proses manajemen

− Memberikan jaminan apakah risiko telah di evaluasi
− Mengevaluasi proses manajemen risiko
− Mengevaluasi pelaporan kunci risiko
− Meninjau ulang kunci manajemen risiko

Aktivitas yang tidak dapat diperankan oleh internal audit antara lain :
− Setting risk apatite
− Imposing risk management process
− Management assurance on risk
− Taking decisions on risk responses
− Implementing risk responses on management’s behalf
− Accountability for risk management.

Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat diperankan oleh internal auditor
dengan berpegang pada standar profesi audit internal untuk mendorong efektivitas ERM
danmanajemen tetap bertanggung jawab untuk manajemen risiko.

COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk membantu manajemen
dalam hal menyelaraskan selera risiko (risk appatite) dengan strategi perusahaan, meningkatkan
keputusan respon risiko, menekankan atau mengurangi lonjakan atau kerugian akibat operasional,
mengidentifikasi dan mengelola cross enterprise risk, menyiapkan respon atas berbagai risiko secara
terintegrasi, serta meraih kesempatan dan mengembangkan pemodalan.

Penerapan Enterprise Risk Management dalam organisasi dapat mendorong terciptanya Good
Corporate Governance. Enterprise Risk Management memiliki fokus pada pengelolaan risiko yang
timbul dari setiap aktivitas organisasi untuk kemudian organisasi tersebut akan diarahkan dan
dikendalikan sesuai dengan prinsip-prinsip Good Corporate Governance untuk dapat mencapai
tujuan organisasi yang ditetapkan.

DAMPAK DARI ERM ATAS JASA ASSURANCE YANG DIJALANKAN OLEH INTERNAL AUDIT
Mengaitkan antara perencanaan audit dan pengelolaan atas risiko:
− Sebelum mengembangkan rencana audit internal, menurut CAE akan sangat membantu
apabila pertama-tama membangun dan meng-update audit universe.
− Audit universe bisa terdiri dari beberapa komponen yang ada pada strategi perusahaan.
− Penyiapan rencana audit internal berdasarkan audit universe tersebut.
− Audit universe terkait dengan rencana audit yang sudah update menggambarkan
perubahan-perubahan yang telah terjadi.
− Perencanaan audit, didasarkan, bersama dengan faktor-faktor lainnya, penilaian atas risiko.