INTERNAL AUDIT

Disusun Oleh Kelompok 2:

Ai Ingga Lestari 17116006
Afrian Miftahur Rozaq 17116017
Diva Viona Almira 17102056
Devita Tri Puspitasari 17102021
Siti Vatwaliyah 16102137
Ridwan Chaniago 16116043

Fakultas Ekonomi Bisnis

Jurusan Akuntansi

UNIVERSITAS TRILOGI
JAKARTA
2020
 Kelompok 2

COSO ERM : Enterprise Risk Management:

Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah itu
memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.

Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan
suatu mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.

Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu
untuk mengerti betapa resiko itu penting untuk ditangani dengan baik.

A. RISK MANAGEMENT FUNDAMENTAL

Dalam upaya pencapaian nilai, setiap organisasi sama-sama menghadapi

ketidakpastian. Ketidakpastian ini mengandung risiko yang sangat potensial untuk
menghilangkan kesempatan pencapaian tujuan perusahaan.

Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan tiga langkah:

1. IDENTIFIKASI RISIKO

Proses identifikasi risiko perlu dipelajari, pendekatan yang disengaja untuk

melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi
lebih daerah risiko signifikan yang dapat mempengaruhi setiap operasi dalam
jangka waktu yang wajar.

Cara yang baik untuk memulai proses identifikasi risiko adalah dengan
memulai dari manajemen tingkat atas korporasi maupun unit operasi. Masing-
masing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat
terdiri dari beberapa dan berbagai jenis operasi.

Model kerangka kerja ERM adalah sebuah budaya perusahaan. Jika sebuah
perusahaan tidak memiliki budaya yang tepat dan kepemimpinan yang kuat di
manajemen puncak, tidak ada unsur lain yang penting. Sederhananya,
perusahaan yang memahami dan mengadopsi ERM menjadikan sebuah
budaya di perusahaan biasanya memiliki kredibilitas yang baik.

Pada akhirnya, strategi manajemen risiko perusahaan dapat memberikan

jawaban atas tiga pertanyaan dasar bisnis:
a. Haruskah kita melakukannya (selaras dengan strategi bisnis, risk
appetite, culture, values, dan ethics)?

2
Internal Audit
 Kelompok 2

b. Bisakah kita melakukannya (manusia, proses, struktur, dan

kemampuan teknologi)?
c. Apakah kita melakukannya (penilaian hasil yang diharapkan,
pembelajaran terus-menerus, dan sistem checks and balances yang
kuat)?

Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk menentukan
risiko spesifik yang dihadapi berbagai unit perusahaan, seperti dalam contoh risiko
kelangsungan bisnis di bawah ini.

Jenis Risiko Perusahaan

2. PENILAIAN RISIKO KUNCI

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah

berikutnya adalah menilai kemungkinan relatif yang signifikan. Berbagai
pendekatan yang dapat digunakan di sini, mulai dari analisis pendekatan
kualitatif hingga analisis pendekatan kuantitatif. Hal ini dapat membantu
memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap

3
Internal Audit
 Kelompok 2

peristiwa yang paling menghawatirkan manajemen. Manajer

bertanggungjawab terhadap penilaian resiko dengan menggunakan pendekatan
kuesioner:
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?”
Menggunakan skor dari 1 sampai 9, jika :
 Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.
 Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
 Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan
risiko.

2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung
pada keuangan risiko yang signifikan.Sebuah risiko yang dapat menurunkan biaya
laba bersih per saham harus memenuhi syarat untuk nilai maksimal 9. Kuisioner ini
harus diedarkan ke orang-orang yang ada dalam manajemen tersebut untuk menilai
masing-masing risiko yang teridentifikasi.

Probabilitas dan Ketidakpastian

Ketika beberapa risiko telah teridentifikasi, manajemen harus mengestimasi kemungkinan

terjadinya risiko tersebut secara individu yang berskala mulai dari 0,01 sampai 0,99. Kita
menggunakan skala ini karena jika memiliki skala 0 atau 100% kemungkinan untuk terjadi,
itu bukanlah risiko. Sedangkan ketika kondisi dimana ada 2 risiko yang teridentifikasi yang
memiliki skala yang sama yaitu 0,6. Kemungkinan kedua risiko tsb terjadi adalah:
Probability (Event 1) + Probability (Event 2) = Probability (Both Events)

Interdependensi Risiko

Independensi risiko memang sangat penting dan harus dipertimbangkan dan dievaluasi pada
struktur organisasi, karena risiko seringkali dapat menjadi sangat independen dalam suatu
perusahaan. Setiap unit operasi bertanggung jawab untuk mengelola risikonya sendiri tetapi
konsekuensi dari risiko tsb dapat mempengaruhi unit diatas dan dibawahnya dalam struktur
organisasi.

Risk Ranking

Langkah berikutnya adalah estimasi signifikansi resiko, estimasi probabilitas terjadinya

resiko tersebut, meranking risiko tsb dan mengidentifikasi risiko yang paling signifikan.
Risiko dengan ranking tertinggi disebut dengan driver risk atau risiko utama dari semua
risiko yang telah diidentifikasi. Maka, organisasi harus berfokus pada risiko utama ini dan
bagaimana cara mengelolanya.

3. ANALISIS RISIKO KUANTITATIF

(i) Expected Value and Response Planning

Terdapat sedikit hasil dalam mengindentifikasi resiko yang signifikan kecuali apabila
perusahaan telah memiliki perencanaan awal untuk tindakan yang diperlukan jika salah
satu resiko terjadi. Ide pokoknya adalah untuk mengestimasi dampak biaya dari
timbulnya beberapa resiko yang teridentifikasi dan kemudian menerapkan biaya itu untuk

4
Internal Audit
 Kelompok 2

probabilitas factor resiko yang berasal dari nilai yang diharapkan atau biaya dari resiko
tersebut. Beberapa risiko hipotetis, diberi label A, B, dan C, menggambarkan tipe
pemikiran ini:
Resiko A: hilangnya pasar X% karena perubahan selera konsumen.
■ Memperkirakan pengurangan penjualan dan hilangnya keuntungan karena turunnya X
%.
■ Estimasi berapa harga yang harus dibayar untuk memulai mengembalikan posisi pasar
yang hilang.

Resiko B: hilangnya fasilitas produksi utama untuk X hari karena badai.

■ Estimasi biaya kasus‐ kasus terbaik dan terburuk untuk mendapatkan pabrik sementara
diperbaiki dan kembali dalam operasi dalam waktu X hari.
■ Memperkirakan harga dan produksi tambahan yang terjadi saat interim.

Resiko C: hilangnya sistem informasi selama X hari karena virus komputer yang buruk.
■ Memperkirakan kerugian bisnis dan profitability selama periode down.
■ Memperkirakan biaya untuk operasi transfer ke situs kontinuitas bisnis.

Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk memperkirakan

biaya pemulihan dari beberapa peristiwa risiko. Seringkali sulit untuk menentukan berapa
biaya untuk pulih dari risiko. Meskipun tidak perlu melakukan analisis mendetail dan
memakan waktu di sini, orang-orang berpengetahuan yang memahami area risiko seringkali
dapat memberikan perkiraan yang baik atas dasar:
 Apa perkiraan biaya kasus terbaik jika diperlukan untuk menimbulkan risiko? Ini
adalah asumsi bahwa hanya akan ada dampak terbatas jika risiko tersebut terjadi.

 Apa yang akan diperkirakan oleh sampel orang yang berpengetahuan luas untuk
biayanya? Untuk Risiko A, sebagaimana dijelaskan, direktur pemasaran mungkin
diminta untuk memberikan perkiraan.

 Berapa nilai atau biaya yang diharapkan untuk menimbulkan risiko? Ini adalah jenis
risiko yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti
kebutuhan tenaga kerja tambahan.

 Berapa biaya kasus terburuk untuk menimbulkan risiko? Ini adalah bagaimana-jika-
semuanya-berjalan- dengan jenis perkiraan yang salah.

(ii) Risk Monitoring

Proses mengidentifikasi resiko sering dilakukan dalam jangka waktu satu tahun atau
seperempat tahun. Setelah salah satu resiko teridentifikasi, perusahaan harus mengawasi
resiko tersebut dan membuat penyesuaian berkala jika diperlukan. Pengawasan resiko
dapat dilakukan oleh pemilik perusahaan atau pihak independen.

Auditor internal merupakan sumber yang memiliki kredibilitas dan baik dalam memantau
status dari resiko yang teridentifikasi. Informasi dalam melakukan pengawasan dapat
didapatkan melalui survey ataupun review tatap muka. Proses pengawasan yang akurat
merupakan komponen esensial dalam manajemen resiko.

5
Internal Audit
 Kelompok 2

B. COSO ERM : ENTERPRISE RISK MANAGEMENT

COSO ERM merupakan kerangka yang dapat membantu perusahaan dalam

mengidentifikasikan dan mendefinisikan resiko yang dimiliki. Selain itu, COSO ERM
juga berguna dalam memahami dan mengembangkan pengendalian internal. COSO
ERM mendefinisikan manajemen resiko perusahaan, sebagai berikut :

“Manajemen Resiko Perusahaan merupakan sebuah proses, yang dipengaruhi

oleh dewan direksi entitas, manajemen dan personel lainnya, diterapkan dalam
pengaturan strategi di seluruh perusahaan, yang dirancang untuk mengidentifikasi
kejadian potensial yang dapat memengaruhi entitas, dan mengelola resiko menjadi
resiko yang dapat diterima, untuk memberikan keyakinan sehubungan dengan
pencapaian tujuan entitas.”

Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:

 ERM Adalah Proses

Manajemen Resiko Perusahaan merupakan sebuah proses yang mengalir dalam suatu
perusahaan

 Proses ERM Diimplementasikan Oleh Orang – Orang Di Perusahaan

Manajemen Resiko Perusahaan dapat berfungsi dengan baik hanya jika individu
dalam perusahaan menjalankannya, dengan memahami apa saja faktor yang
menyebabkan timbulnya risiko beserta dampak timbul dari risiko tersebut.

 ERM Diterapkan Dalam Formulasi Strategi Perusahaan Secara Keseluruhan

ERM yang efektif biasanya akan memberikan pengaruh besar dalam perumusan
strategi perusahan.

 ERM Mempertimbangkan Konsep Risk Appetite

Risk appettite merupakan besar kecilnya risiko yang dihadapi, dimana
dikatekogerikan ke dalam tinggi (high), sedang (medium), dan rendah (low). Risiko
yang dihadapi dalam setiap level organisasi berbeda-beda, begantung dari tanggung
jawab tugas yang dimiliki. Dengan demikian, pendekatan ERM yang diterapkan
disesuaikan dengan risk appetite.

 ERM Menyediakan Jaminan Yang Wajar Namun Tidak Positif Terhadap

Pencapaian Tujuan
Meskipun ERM telah efektif, namun tetap terdapat kemungkinan lain yang dapat
terjadi seperti human error, bencana alam, dan gangguan eksternal perusahaan
lainnya. Dengan demikian, ERM memberikan keyakinan yang memadai bagi
Manajemen dan Dewan Pengawas.

 ERM Dirancang Untuk Mencapai Tujuan

Manajemen harus dapat mengarahkan ERM untuk mewujudkan satu atau beberapa
kategori dari berbagai goals yang dimiliki perusahaan.

Tujuan dan sasaran yang terkait dengan ERM memiliki nilai yang kecil kecuali jika mereka
dapat diatur dan dimodelkan bersama sedemikian rupa sehingga manajemen dapat melihat

6
Internal Audit
 Kelompok 2

berbagai aspek tugas dan memahami, setidaknya bagaimana mereka berinteraksi dan
berhubungan dalam multidimen- cara sional.

Ini adalah kekuatan nyata dari model kerangka kerja pengendalian internal COSO. Ini
menjelaskan, misalnya, bagaimana kepatuhan perusahaan terhadap hukum dan peraturan
berdampak pada semua tingkat pengendalian internal, dari proses pemantauan hingga
lingkungan pengendalian, dan bagaimana kepatuhan itu penting bagi semua entitas atau unit
perusahaan.

Kerangka COSO ERM memberikan beberapa definisi umum dari manajemen risiko dan
dapat membantu mencapai tujuan pengendalian internal SOx serta proses manajemen risiko
yang lebih baik di seluruh perusahaan.

C. COSO ERM KEY ELEMENTS

Kerangka kerja COSO ERM, telah menjadi model di seluruh dunia untuk
menggambarkan, mendefinisikan kontrol internal, memahami aktivitas yang berkaitan
dengan risiko mereka di berbagai tingkatan sebagaimana dampak komponen risiko ini
mempengaruhi satu sama lain, dan telah menjadi dasar untuk membangun SOx bagian
kepatuhan 404. Adapun komponen-komponen COSO ERM Framework terdiri dari :
a. 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b. 8 baris horizontal mengenai komponen-komponen resiko
c. Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.

Penjelasan:
1. Komponen Lingkungan Internal
Tingkat komponen ini menentukan dasar model ERM perusahaanbagi seluruh
komponen lainnya, memengaruhi cara strategi dan tujuan harus ditetapkan, bagaimana
struktur aktivitas bisnis berkaitan risiko, dan bagaimana resiko diidentifikasi dan
disikapi.

2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Karena di elemen ini, sekumpulan tujuan
strategis yang ada, selaras dengan misi, termasuk aktivitas operasional, pelaporan, dan
kepatuhan.

Dalam memahami resiko filosofi manajemen dan selera resiko yang terdapat di
komponen lingkungan internal membutuhkan penentuan tujuan agar dapat

7
Internal Audit
 Kelompok 2

menentukan tingkat resiko yang bisa diterima, dengan aturan resiko tertentu, dan
sejauh mana ukuran deviasi bisa ditoleransi.

3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sementara
kecenderungan auditor internal adalah memikirkan kejadian dalam arti negatif -
menentukan apa salah - mereka juga bisa bersikap positif.

Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang kuat di
penganggaran biaya, kualitas produksi, dll

4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya.
Peristiwa terkait risiko potensial mungkin secara keseluruhan mencapai pencapaian
tujuan perusahaan.
 Risiko Inheren : Resiko berada di luar kontrol manajemen dan biasanya berasal
dari faktor eksternal
 Resiko Residual : risiko yang tersisa setelah tanggapan manajemen lainnya
ancaman dan tindakan pencegahan telah diterapkan

5. Respon Risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, proses respons
risiko COSO ERM memerlukan tinjauan yang hati-hati terhadap perkiraan
kemungkinan risiko dan dampak potensial, dengan mempertimbangkan biaya dan
manfaat yang terkait, untuk mengembangkan strategi respons risiko yang tepat.

6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respons risiko yang teridentifikasi. Komponen aktivitas
pengendalian COSO ERM harus terkait erat dengan strategi dan tindakan respons
risiko yang telah dibahas sebelumnya.

7. Informasi dan Komunikasi

Banyak perusahaan memiliki jaringan kompleks yang seringkali tidak begitu baik
terkait operasional dan sistem informasi keuangan untuk proses dasar mereka.
Keterkaitan ini menjadi lebih kompleks bagi banyak proses ERM mengingat banyak
hal mendasar di aplikasi perusahaan yang tidak secara langsung meminjamkan diri
untuk identifikasi risiko, penilaian, dan proses respons tipe risiko.

Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang
komunikasi di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk
memastikan semua pemangku kepentingan menerima pesan terkait kepentingan
perusahaan dalam mengelola risikonya.

8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen

D. DIMENSI LAIN DARI COSO ERM: TUJUAN RISIKO PERUSAHAAN

8
Internal Audit
 Kelompok 2

Meski banyak melihat COSO ERM dari sisi depan yang menghadapi kerangka tiga
dimensi, dua dimensi lainnya, tingkat operasional dan organisasi harus selalu
dipertimbangkan. Setiap komponen COSO ERM beroperasi di ruang tiga dimensi ini
dimana masing-masing harus dipertimbangkan berdasarkan kategori terkait lainnya.

Tujuan Manajemen Risiko Operasional

Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan. tujuan risiko
tingkat operasi meminta identifikasi risiko untuk masing-masing unit atau komponen
perusahaan. Pengidentifikasi tujuan risiko tingkat operasi ini seringkali memerlukan
pengumpulan informasi terperinci dan analisis, terutama untuk perusahaan yang lebih besar
yang mencakup beberapa wilayah geografis, lini produk, atau proses bisnis. 

Manajer perorangan biasanya memiliki pemahaman terbaik tentang risiko operasional

mereka, dan informasi tersebut dapat hilang saat dikonsolidasikan untuk pelaporan tingkat
tinggi. Untuk mengumpulkan informasi yang lebih rinci mengenai risiko operasi potensial,
informasi seringkali dapat dikumpulkan melalui audit internal atau survei orang-orang yang
terkena dampak langsung dari risiko ini.

Pelaporkan Tujuan Manajemen Risiko

Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan internal dan
eksternal atas data keuangan dan non finansial. Pelaporan yang akurat sangat penting untuk
kesuksesan sebuah perusahaan dalam banyak dimensi. Tidak peduli industri apa, perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau area manapun. Unit
operasi harus memastikan bahwa hasil yang dilaporkan adalah yang benar sebelum
dilanjutkan ke tingkat berikutnya dalam organisasi, dan angka gabungan harus akurat, apakah
laporan keuangan, pengembalian pajak, atau segudang bidang lainnya

Meskipun pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat, Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan
harus selalu mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat.
Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan
besar yang perlu diungkapkan. Risiko pelaporan yang tidak tepat tersebut harus menjadi
perhatian semua tingkat perusahaan.

Tujuan Resiko Kepatuhan Hukum dan Regulatory

COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan untuk

masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal,
penetapan tujuan, atau pemantauan risiko, dan juga seluruh perusahaan. Ini adalah elemen
penting dari kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami.

Semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan,

dengan beberapa hal mempengaruhi hampir semua perusahaan dan pihak lain yang terkait
dengan hanya satu unit bisnis di sektor industri khusus. Sifat dari risiko kepatuhan tersebut
perlu dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Ini adalah area di
mana perusahaan dapat menerima tingkat risiko tertentu dalam hal kekhawatirannya terkait
kepatuhan hukum.

9
Internal Audit
 Kelompok 2

E. ENTITY LEVEL RISKS

Risiko COSO ERM wajib diidentifikasi dan dikelola dalam setiap unit organisasi
yang signifikan juga risiko secara keseluruhan entitas melalui unit bisnis individual.
manajemen harus menentukan tingkat risiko organisasi pada tingkat detail yang
mencakup semua risiko yang signifikan serta dapat dikelola.
a) Risiko Meliputi Seluruh Organisasi
Beberapa risiko pada tingkat unit bisnis harus digulirkan ke risiko tingkat
entitas. Meskipun mudah bagi perusahaan untuk mempertimbangkan beberapa
risiko tingkat unit "tidak material" -menggunakan akuntansi publik pra-SOx-
pertimbangkan anak perusahaan yang relatif kecil di negara dunia ketiga yang
memproduksi pakaian santai.

Seringkali, unit semacam itu akan begitu kecil dalam hal kontribusi
pendapatan korporat atau ukuran relatifnya sehingga dapat tergelincir di
bawah layar radar di tingkat perusahaan senior. Namun, jika ada masalah
pekerja anak di negara tuan rumah, perusahaan tersebut mungkin akan segera
menjadi perhatian utama mengenai operasi anak perusahaan kecil ini.

b) Resiko Tingkat Unit Bisnis

Resiko terjadi di semua tingkat perusahaan, apakah divisi produksi utama

dengan banyak tanaman dan ribuan karyawan atau posisi kepemilikan
minoritas di perusahaan penjualan luar negeri.

Resiko harus dipertimbangkan di setiap unit organisasi yang signifikan. Risiko

tersebut diidentifikasi dalam posisi kepemilikan minoritas di perusahaan
penjualan luar negeri

F. PUTTING IT ALL TOGETHER: AUDITING RISKS AND COSO ERM

PROCESS

Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang berlaku
untuk semua industri dan mencakup semua jenis risiko. COSO ERM menyediakan
platform yang sangat baik untuk mempertimbangkan keseluruhan lingkungan risiko
perusahaan. Auditor internal menghadapi masalah risiko dan manajemen risiko di
banyak bidang tinjauan audit dan analisis, dan auditor internal yang efektif harus
memahami proses manajemen risiko. Selain itu, setiap tinjauan audit internal terhadap
proses ERM perusahaan harus direncanakan melalui pendekatan perencanaan proyek
audit internal dengan menggunakan beberapa alat berikut :
1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan
untuk proses yang berkaitan dengan risiko.

2. Tinjauan bahan risiko dan pengendalian

10
Internal Audit
 Kelompok 2

Proses ERM sering menghasilkan hasil volume bahan panduan yang besar, prosedur
terdokumentasi, format laporan. Mungkin sering ada nilai audit internal untuk
meninjau risiko dan kontrol bahan dari perspektif efektivitas.

3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk menilai
operasi dan mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik.

4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari
banyak orang. Kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk
permintaan informasi spesifik Ini sering merupakan teknik audit internal yang
berharga.

11
Internal Audit
 Kelompok 2

KESIMPULAN

Manajemen risiko, dan COSO ERM khususnya, adalah standar yang harus menjadi bagian
dari setiap auditor. Auditor internal harus menggunakan prinsip-prinsip manajemen risiko
saat memutuskan area mana yang dipilih untuk tinjauan mereka.

Mungkin yang lebih penting, COSO ERM akan semakin penting karena lebih banyak
perusahaan memahami dan mengadopsi kerangka ERM. Internal auditor harus memahami
COSO ERM, untuk mengaudit kepatuhan dengan proses dan berkonsultasi dengan
manajemen untuk memastikan implementasi yang lebih efektif

12
Internal Audit