MAKALAH INTERNAL AUDIT

DISUSUN OLEH:
1. Kemala Awanis Almira - 041811333026
2. Kevin Satria Sinaga - 041811333092
3. Mufiidah Rofiany - 041811333095
4. Sindi Alvioni Putri - 041811333100
5. Tyrone Thomas Sagiman - 041811333147
6. Hanifa Ayu Cahyani - 041811333150

UNIVERSITAS AIRLANGGA
PTODI AKUNTANSI
TAHUN AJARAN 2019/2020
 Sarbanes-Oxley and Beyond

Elemen Kunci Sarbanes Oxley Act

SOx memperkenalkan serangkaian proses yang benar-benar berubah untuk audit eksternal
dan memberikan tanggung jawab pemerintahan baru untuk eksekutif senior dan anggota
dewan.
SOx juga mendirikan PCAOB, sebuah otoritas pengaturan hukum di bawah SEC yang mener
bitkan isu-isu standar audit keuangan dan memonitor pemerintahan auditor eksternal.
Peraturan dan aturan administratif yangdikembangkan oleh SEC berdasarkan legislasi SOx.

Title I: Public Company Accounting Oversight Board

Title I SOx mendefinisikan praktik audit PCAOB untuk auditor eksternal. Beberapa latar
belakang pada Title I SOx merupakan aturan proses audit eksternal dan asal-usul SOx yang
meliputi :

i. Adminitrasi PCAOB Dan Pendaftaran Perusahaan Akuntan Publik

ii. Audit, Kualitas Pengendalian & Kemerdekaan Standar
iii. Inspeksi, Investigasi Dan Prosedur Disipliner
iv. Standar Akuntasni

Title II: Independensi Auditor

Auditor internal dan eksternal adalah sumber daya yang terpisah dan independen, dimana
eksternal auditor bertanggung jawab untuk menilai kewajaran suatu perusahaan yang
menerbitkan laporan keuangan dan auditor internal melayani manajemen dalam berbagai
bidang lainnya. Title II meliputi :

i. Pembatasan Layanan Eksternal Auditor

ii. Persetujuan Awal Jasa Komite Audit
iii. Audit Eksternal Partner Rotasi
iv. Laporan Eksternal Auditor Untuk Komite Audit
v. Konflik Kepentingan Dan Rotasi Mandatori Dari Perusahaan Audit Eksternal
 Title III SOx: Tanggung Jawab

Title III menggambarkan perubahan peraturan baru yang besar untuk komite audit. Ini adalah
area di mana auditor internal harus memiliki tingkat minat dan peran yang lebih besar. Title
III membahas meliputi :

i. Tata Aturan Komite Audit

ii. Bagian 302 : Tanggung Jawab Perusahaan Untuk Laporan Keuangan
iii. Pengaruh Tak Wajar Atas Penyelenggaraan Audit
iv. Kehilangan Hak, Bar, Dan Sanksi

Title IV : Pengungkapan Keuangan DitingkatkanJudul IV dari SOx dirancang untuk

Memperbaiki beberapa masalah
pengungkapan pelaporan keuangan, untuk memberi mandat penilaian manajemen pengendali
an internal, untuk meminta kode perwira senior etik, dan hal-hal lainnya. Rincian title IV
meliput :

i. Konflik Ketentuan Bunga Diperluas & Pengungkapan

ii. Penilaian Manajemen Internal Kontrol : Bagian 404

iii. Kode Etik Officer Keuangan

iv. Judul Lain IV Dibutuhkan Pengungkapan

Title V : Konflik Analis Kepentingan

Title V dirancang untuk memperbaiki beberapa pelanggaran analis sekuritas. Investor

mengandalkan rekomendasi dari analis sekuritas selama bertahun-tahun, tetapi sering kali
analis tersebut berhubungan dengan rumah-rumah broker besar, dan menganalisis serta
merekomendasikan sekuritas kepada investor dan pengusaha lembaga keuangan mereka.
Title IX: Penipuan Akuntabilitas dan White-Collar Crime

Title IX berisi persyaratan bahwa CEO dan CFO harus

menandatangani pernyataan tambahan dengan laporan keuangan tahunan mereka yang menya
takan bahwa informasi yang terdapat dalam laporan "cukup mewakili, dalam semua hal yang
material, kondisi keuangan dan hasil usaha”.

Title XI : Penipuan Perusahaan Akuntabilitas

Title terakhir SOx ini meliputi tanggung jawab perusahaan untuk kecurangan pelaporan
keuangan. Di sini SEC diberikan wewenang untuk memberlakukan pembekuan sementara
atas transfer dana perusahaan untuk pejabat dan orang lain dalam sebuah perusahaan yang
tunduk pada penyelidikan SEC.

KINERJA BAGIAN 404 TINJAUAN DI BAWAH AS5

Bagian sebelumnya meringkas isi dan persyaratan penting dalam undang-undang SOx. Ini
adalah hukum yang penting, dan setiap auditor internal harus memiliki CBOK umum
memahami isinya. Melampaui hanya pemahaman umum ini, Bagian Sox 404 pada ulasan
kontrol akuntansi internal harus menerima yang paling internal perhatian dan pengertian
audit.

Bagian 404 mengamanatkan bahwa suatu perusahaan bertanggung jawab untuk meninjau,
mendokumentasikan, dan menguji kontrol akunting internalnya sendiri, dengan hasil
kemudian diteruskan ke auditor eksternal perusahaan, yang dibebankan dengan meninjau dan
membuktikan pekerjaan itu sebagai bagian dari tinjauan mereka terhadap keuangan yang
dilaporkan pernyataan. Ketika SOx pertama kali menjadi hukum, Bagian 404 ulasan adalah
rasa sakit yang besar titik bagi banyak perusahaan karena auditor eksternal mengikuti sangat
rinci seperangkat prosedur audit akuntansi keuangan di bawah SOx, disebut Auditing
Standard No. 2 (AS2). Standar audit ini membutuhkan ulasan yang sangat rinci sehingga
tidak ada ruang untuk kesalahan atau kelalaian.
Bagian 404 persyaratan membutuhkan dua elemen informasi dalam masing-masing 10-K ini:

1. Pernyataan manajemen formal yang mengakui tanggung jawab mereka untuk membangun
dan memelihara struktur dan prosedur kontrol internal yang memadai untuk laporan
keuangan

2. Suatu penilaian, pada akhir tahun fiskal terbaru, dari keefektifan struktur dan prosedur
kontrol internal perusahaan untuk pelaporan keuangan. Meluncurkan Bagian 404 Tinjauan
Kepatuhan: Mengidentifikasi Proses Kunci Setiap perusahaan menggunakan serangkaian
proses untuk melakukan kegiatan bisnis normal.

Beberapa dapat diwakili oleh sistem otomatis, yang lain terutama prosedur manual

dilakukan secara teratur, sementara yang lain merupakan kombinasi dari otomatis dan

manual. Proses-proses ini biasanya dipertimbangkan dalam hal siklus akuntansi dasar

dan termasuk:

 Siklus pendapatan. Proses berurusan dengan penjualan atau pendapatan lain untuk
perusahaan.
 Siklus pengeluaran langsung. Meliputi pengeluaran bahan atau produksi langsung
biaya.
 Siklus pengeluaran tidak langsung. Biaya operasi yang tidak dapat secara langsung
dikaitkan dengan produksi
kegiatan tetapi diperlukan untuk operasi bisnis secara keseluruhan.
 Siklus penggajian. Meliputi semua kompensasi personil.
 Siklus inventaris. Meskipun persediaan pada akhirnya akan diterapkan pada produksi
sebagai pengeluaran langsung, proses khusus diperlukan karena holding berbasis
waktu
sifat inventaris sampai diterapkan pada produksi.
 Siklus aset tetap. Properti dan peralatan membutuhkan proses akuntansi yang terpisah,
seperti akuntansi penyusutan berkala dari waktu ke waktu.
 Umum siklus TI. Serangkaian proses ini mencakup kontrol teknologi informasi (TI)
 yang bersifat umum atau berlaku untuk semua operasi .
Meluncurkan SOx Bagian 404 Tinjauan Kepatuhan: Peran Audit Internal Dengan
pengecualian larangan SOx dari perusahaan audit eksternal untuk melakukan internal jasa
audit untuk klien audit mereka, ada beberapa referensi spesifik untuk internal mengaudit
dalam teks undang-undang SOx. Meskipun SOx tidak memberikan Meluncurkan Bagian 404

Tinjauan Kepatuhan: Mengatur Proyek.Menetapkan Bagian 404 kepatuhan menempatkan

tantangan besar pada perusahaan yang terdaftar SOx. Meskipun suatu perusahaan telah
mengevaluasi kontrol internal mereka menggunakan COSO kerangka kontrol internal dan 17
prinsipnya, dibahas dalam Bab 3 dan 4, mereka mungkin masih menghadapi beberapa tugas
yang menantang di depan dalam mendokumentasikan lingkungan kontrol internal mereka
untuk kepatuhan Bagian SOx 404. Namun, di sisi positif, ini sangat tugas yang menantang di
hari-hari pertama SOx, dan dengan pendekatan AS5 yang lebih berbasis risiko SOx hari ini,
pendekatannya sekarang lebih terbatas.

Langkah 1: Atur Proyek Kepatuhan Bagian 404.

Tetapkan tim proyek untuk pimpin upaya. Seorang eksekutif senior seperti CFO harus
bertindak sebagai sponsor proyek, dengan tim sumber daya internal dan eksternal untuk
berpartisipasi dalam upaya ini. Peran, tanggung jawab, dan kebutuhan sumber daya harus
diestimasi juga. Audit internal sering dapat memikul tanggung jawab utama dalam membantu
di sini

Langkah 2: Kembangkan Rencana Proyek Bagian 404 Kepatuhan.

Kontrol internal proyek kepatuhan harus baik dalam proses sebelum akhir tahun keuangan.
Sementara sebuah rencana yang ada dapat diperbarui pada tahun-tahun berikutnya, akan ada
tantangan besar dan waktu krisis selama tahun-tahun sebelumnya. Rencana tersebut harus
fokus pada bidang usaha yang signifikan operasi dengan cakupan seluruh unit bisnis yang
signifikan. Meskipun bisa ada banyak variasi rencana di sini, Tampilan 5.4 menguraikan
pertimbangan perencanaan untuk Bagian 404 ulasan kepatuhan. Meskipun langkah kerja
yang dijelaskan di sini berada pada tingkat tinggi, namun tim harus mengembangkan
dokumen rencana terperinci untuk memulai bagian SOx 404 internal tinjauan kontrol
keuangan.
Langkah 3: Pilih Proses Utama untuk Ditinjau.

Setiap perusahaan tergantung pada berbagai proses keuangan dan operasional untuk
melaksanakan dan mengelola operasi-operasi dasarnya. Sifat keseluruhan dari tujuan bisnis
mengatakan banyak tentang kunci organisasi.

Langkah 4: Alur Transaksi Proses yang Dipilih.

Berikutnya dan sangat penting Bagian 404 langkah adalah mempersiapkan dokumentasi
aliran transaksi untuk proses-proses utama terpilih. Jika dokumentasi sebelumnya telah
disiapkan sebagai bagian dari COSO review pengendalian internal, juga harus ditinjau untuk
menentukan apakah masih akurat. Dokumentasi jauh lebih merupakan tantangan bagi suatu
entitas jika ini adalah SOx 404 pertama meninjau, dan jika perusahaan tidak pernah
mendokumentasikan prosesnya.

Langkah 5: Menilai Risiko Proses Terpilih.

Setelah proses utama telah ditetapkan dan didokumentasikan, langkah selanjutnya adalah
menilai risiko melalui "Apa yang bisa salah?" jenis analisis. Idenya adalah untuk mengajukan
pertanyaan tentang potensi risiko yang mengelilingi masing-masing proses ditinjau.
Misalnya, dalam proses hutang, seseorang dapat memperoleh akses ke sistem dan kemudian
mengatur untuk memotong cek yang tidak sah? Bisa sistem kontrol menjadi sangat lemah
sehingga banyak pembayaran dapat dihasilkan untuk hal yang sama vendor resmi? Mungkin
ada banyak risiko.

Langkah 6: Menilai Efektivitas Kontrol melalui Prosedur Tes yang Tepat.

Sistem kontrol bernilai kecil jika tidak bekerja secara efektif. Wawancara dan persiapan
dokumentasi proses kadang-kadang dapat menentukan apakah kontrol yang tepat tampaknya
tidak ada di tempat atau tidak efektif. Dalam hal ini, kesimpulan dari penilaian harus
didokumentasikan dan didiskusikan dengan pemilik proses, dan suatu tindakan rencana
dikembangkan untuk mengambil tindakan korektif untuk meningkatkan kontrol.
Langkah 7: Tinjau Hasil Kepatuhan dengan Pemangku Kepentingan Kunci.

Manajemen senior pada akhirnya bertanggung jawab atas laporan Bagian 404 akhir
perusahaan. Itu tim proyek harus meninjau kemajuan mereka dengan manajemen senior,
menyoroti ulasan mereka mendekati dan tindakan korektif jangka pendek dimulai. Demikian
pula sejak itu mereka harus secara resmi membuktikan hasil tinjauan kontrol internal ini,
eksternal auditor harus selalu diberi informasi tentang kemajuan dan segala masalah yang
belum selesai dalam proses resolusi.

Langkah 8: Selesaikan Laporan tentang Efektivitas Struktur Kontrol Internal.

Ini adalah langkah terakhir dalam tinjauan kepatuhan Bagian 404. Ini adalah laporannya,
bersama dengan pekerjaan auditor eksternal membuktikan, yang akan diajukan dengan SEC
sebagai bagian dari perusahaan Laporan tahunan 10 ‐ K.

AS5 ATURAN DAN AUDIT INTERNAL

Tak lama setelah SOx menjadi hukum di Amerika Serikat, PCAOB merilis Standar Audit 2
(AS2) pedoman baru yang menyerukan auditor eksternal untuk mengambil konservatif dan
pendekatan terperinci pada audit laporan keuangan mereka. AS2 mengamanatkan segalanya
pendekatan audit, dan tagihan audit eksternal perusahaan menjadi jauh lebih mahal

1. Fokus audit kontrol internal pada hal-hal yang paling penting. Panggilan AS5 aktif
auditor eksternal memfokuskan tinjauan mereka pada area yang menghadirkan risiko
terbesar itu suatu kontrol internal akan gagal untuk mencegah atau mendeteksi salah saji
material dalam laporan keuangan. Pendekatan ini meminta auditor eksternal untuk fokus pada
identifikasi kelemahan material dalam pengendalian internal dalam audit mereka, sebelum
hasilnya salah saji material dari laporan keuangan. AS5 juga menekankan pentingnya audit
area berisiko tinggi, seperti akhir periode laporan keuangan proses dan kontrol yang
dirancang untuk mencegah penipuan oleh manajemen.
2.Hilangkan prosedur audit yang tidak perlu untuk mencapai tujuannya.

AS5 tidak termasuk persyaratan rinci standar AS2 sebelumnya untuk mengevaluasi proses
evaluasi manajemen sendiri dan mengklarifikasi bahwa internal audit kontrol tidak
memerlukan pendapat tentang kecukupan proses manajemen. Misalnya, AS5 berfokus pada
dimensi multilokasi risiko dalam suatu perusahaan dan mengurangi persyaratan bahwa
auditor eksternal harus menguji "sebagian besar" dari operasi perusahaan atau posisi
keuangan. Ini harus memungkinkan pengurangan pekerjaan audit keuangan.

3. Jadikan audit tersebut scalable agar sesuai dengan ukuran dan kompleksitasnya

perusahaan. Untuk memberikan panduan untuk audit perusahaan kecil, kurang kompleks,
AS5 menyerukan menyesuaikan audit kontrol internal agar sesuai dengan ukuran dan
kompleksitasnya dari perusahaan yang diaudit. Standar ini memiliki panduan tentang cara
menerapkan AS5 prinsip untuk perusahaan yang lebih kecil, kurang kompleks serta unit yang
kurang kompleks perusahaan yang lebih besar.

4. Sederhanakan teks standar. AS5 lebih pendek dan lebih mudah dibaca daripada
AS2-nya

pendahulu. Ini sebagian karena standar telah disederhanakan dan direorganisasi untuk
memulai dengan audit itu sendiri; definisi dan informasi latar belakang lainnya hanya
dimasukkan sebagai lampiran. Misalnya, AS5 menghilangkan standar sebelumnya diskusi
tentang materialitas, mengklarifikasi bahwa evaluasi materialitas oleh auditor adalah
berdasarkan prinsip jangka panjang yang sama yang berlaku untuk audit laporan keuangan.

DAMPAK TINDAKAN SARBAN ‐ OXLEY

Bagian sebelumnya telah memberikan gambaran umum tentang Sarbanes ‐ Oxley Act.
Meskipun diskusi ini tidak mencakup semua bagian atau detail SOx, tujuan kami adalah
memberi auditor internal memahami keseluruhan bagian-bagian utama yang akan berdampak
pada audit tahunan suatu perusahaan dan komite auditnya. Baik besar, Keberuntungan

Perusahaan berbasis di AS berukuran 500, perusahaan yang lebih kecil bahkan tidak
berdagang di NASDAQ, atau sebuah perusahaan swasta dengan penerbitan obligasi yang
terdaftar melalui SEC, semuanya berada di bawah Sox.
COBIT DAN BIMBINGAN ISACA LAINNYA

PENGANTAR KE COBIT

COBIT merupakan singkatan dari Control Objective for Information and Related
Technology. COBIT adalah suatu panduan standar praktek manajemen teknologi informasi
yang dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ICASA. COBIT
adalah kerangka kerja pengendalian internal penting yang dapat berdiri sendiri, tetapi juga
merupakan alat pendukung penting untuk mendokumentasikan dan memahami kontrol
internal COSO dan SOx.

Meskipun penekanan asli COBIT adalah berorientasi pada IT, kerangka kerjanya telah
diperluas, dan auditor internal di banyak perusahaan saat ini setidaknya harus memiliki
pemahaman tentang kerangka kerja COBIT dan penggunaannya sebagai alat untuk
mendokumentasikan, meninjau, dan memahami kontrol internal SOx. Pengetahuan umum
tentang COBIT merupakan persyaratan CBOK auditor internal.

Standar dan kerangka kerja COBIT dikeluarkan dan secara teratur diperbarui oleh IT
Governance Institute (ITGI; www.itgi.org) dan organisasi profesional yang terkait erat
dengan Information Systems Audit and Control Association (ISACA).

ISACA lebih fokus pada audit TI, sedangkan penekanan ITGI adalah pada penelitian dan
proses tata kelola. ISACA juga mengarahkan pemeriksaan Auditor Sistem Informasi
Bersertifikat dan penunjukan profesional serta sertifikasi dan pemeriksaan Manajer
Keamanan Informasi Bersertifikat yang lebih baru. ISACA awalnya dikenal sebagai Asosiasi
Auditor Pemrosesan Data Elektronik (EDPAA), sebuah kelompok profesional yang dimulai
pada tahun 1967 oleh auditor internal yang merasa bahwa organisasi profesional mereka,
Institute of Internal Auditor (IIA), tidak memberikan perhatian yang cukup terhadap
pentingnya sistem TI dan kontrol teknologi sebagai bagian dari kegiatan audit internal.

EDPAA, awalnya sebuah organisasi profesional audit TI pemula, mulai mengembangkan

materi panduan profesional audit TI sesaat setelah pembentukannya. Sama seperti EDPAA
yang berevolusi menjadi ISACA dan sekarang menjadi ITGI, standar audit TI aslinya
menjadi seperangkat tujuan pengendalian internal yang sangat baik yang berevolusi menjadi
COBIT, sekarang dalam edisi 5 versi 2012.

Dengan hampir semua proses perusahaan saat ini terkait dengan hal-hal yang terkait dengan
TI, pemahaman tentang keseluruhan area tata kelola TI sangat penting. Prinsip-prinsip
kerangka kerja COBIT sering digambarkan sebagai pentagon yang mencakup lima area
kontrol internal yang luas dan tidak terhubung, seperti yang diilustrasikan dalam Tampilan
6.1. menunjukkan lima area penekanan utama COBIT yang diatur di sekitar konsep inti
penting tata kelola TI:

 Penyelarasan Strategis

Upaya harus dilakukan untuk menyelaraskan operasi dan kegiatan TI dengan semua operasi
perusahaan lainnya. Ini termasuk membangun hubungan antara operasi bisnis perusahaan dan
rencana TI serta proses untuk mendefinisikan, memelihara, dan memvalidasi hubungan
kualitas dan nilai.

 Nilai Pengiriman

Proses harus ada untuk memastikan TI dan operasi lainnya unit memberikan manfaat yang
dijanjikan sepanjang siklus pengiriman dan dengan strategi yang mengoptimalkan biaya
sambil menekankan nilai-nilai intrinsik TI dan kegiatan terkait.

 Manajemen Risiko

Manajemen di semua tingkatan harus memiliki pemahaman yang jelas tentang selera
perusahaan akan risiko, persyaratan kepatuhan, dan dampak risiko yang signifikan. Baik TI
dan operasi lainnya memiliki tanggung jawab manajemen risiko mereka sendiri dan bersama
yang dapat secara individu atau bersama-sama memengaruhi seluruh perusahaan.

 Manajemen Sumber Daya

Dengan penekanan pada TI, harus ada investasi yang optimal, dan manajemen yang tepat,
sumber daya TI kritis, aplikasi, informasi, infrastruktur, dan orang-orang. Tata kelola TI yang
efektif tergantung pada pengoptimalan pengetahuan dan infrastruktur.
  Pengukuran Kinerja

Proses harus ada untuk melacak dan memantau implementasi strategi, penyelesaian proyek,
penggunaan sumber daya, kinerja proses, dan pemberian layanan. Mekanisme tata kelola TI
harus menerjemahkan strategi implementasi menjadi tindakan dan pengukuran untuk
mencapai tujuan ini.

KERANGKA KERJA COBIT

Proses TI dan aplikasi perangkat lunak pendukung serta perangkat perangkat kerasnya
merupakan komponen utama dalam perusahaan apa pun saat ini. Proses bisnis dan sumber
daya TI pendukungnya bekerja dalam hubungan berbagi informasi yang erat. TI tidak dapat
dan tentunya tidak boleh memberi tahu operasi bisnis apa jenis proses dan sistem TI yang
harus mereka pertimbangkan untuk diterapkan, tetapi TI memberikan informasi untuk
membantu memengaruhi keputusan bisnis.

Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi di kedua sisi.
TI memiliki tanggung jawab atas serangkaian area proses terkait lainnya yang diaudit oleh
atau melalui pedoman audit yang ditetapkan, diukur dengan serangkaian ukuran dan aktivitas
indikator kinerja, dan dibuat efektif melalui serangkaian tujuan kegiatan. Semua ini menjadi
bagian dari COBIT, kerangka kerja kontrol termasuk proses TI dan bisnis.

COBIT menyediakan pendekatan alternatif untuk mendefinisikan dan mendeskripsikan

kontrol internal yang lebih menekankan TI daripada kerangka kerja kontrol internal COSO
yang baru saja direvisi.

Informasi dan proses TI pendukung seringkali merupakan aset paling berharga dari hampir
semua perusahaan saat ini, dan manajemen memiliki tanggung jawab besar untuk menjaga
aset TI pendukungnya, termasuk sistem otomatis. Kombinasi manajemen, pengguna TI, dan
auditor internal semuanya perlu memahami proses terkait informasi ini dan kontrol yang
mendukungnya. Kombinasi ini berkaitan dengan efektivitas dan efisiensi sumber daya TI
mereka,
PRINSIP 1: MEETING STAKEHOLDER NEEDS

Penciptaan nilai, sebagaimana didefinisikan dalam COBIT, berarti mewujudkan berbagai

manfaat dengan biaya sumber daya yang optimal, risiko, dan pemanfaatan sumber daya.
Manfaat ini dapat mengambil banyak bentuk, termasuk keuangan untuk perusahaan
komersial atau layanan publik untuk entitas pemerintah. Panggilan COBIT untuk pemangku
kepentingan perlu ditransformasikan menjadi strategi yang dapat ditindaklanjuti yang
menerjemahkan kebutuhan pemangku kepentingan menjadi tujuan spesifik dan yang
disesuaikan dengan perusahaan dan TI, yang disebut COBIT sebagai sasaran enabler yang
merupakan panggilan untuk menetapkan tujuan spesifik di setiap tingkat dan di setiap area
perusahaan dalam mendukung tujuan keseluruhan dan persyaratan pemangku kepentingan,
dan dengan demikian secara efektif mendukung keselarasan antara kebutuhan perusahaan dan
solusi dan layanan TI. COBIT mendefinisikan ini sebagai proses mengidentifikasi TI dan
kebutuhan manajemen dan kemudian membangun tujuan dari kebutuhan tersebut.

PRINSIP 2: COVERING THE ENTERPRISE END TO END

Seluruh gagasan di sini adalah bahwa tujuan penciptaan nilai COBIT dari realisasi manfaat,
risiko, dan optimalisasi sumber daya harus mendorong beberapa pemungkin tata kelola.
Enabler ini harus perusahaan-lebar dan ujung ke ujung. Artinya, mereka harus mencakup
segala sesuatu dan semua orang, internal dan eksternal, yang relevan dengan tata kelola dan
manajemen informasi perusahaan dan TI terkait, termasuk kegiatan dan tanggung jawab baik
fungsi TI maupun fungsi bisnis non-TI.

Informasi adalah salah satu dari kategori enabler COBIT, model dimana COBIT 5
mendefinisikan enabler dan memungkinkan setiap pemangku kepentingan untuk
mendefinisikan persyaratan yang luas dan lengkap untuk informasi dan siklus hidup
pemrosesan informasi, sehingga menghubungkan bisnis dan kebutuhannya akan informasi
yang memadai dan Fungsi TI, dan mendukung fokus bisnis dan konteks.
PRINSIP 3: A SINGLE INTEGRATED FRAMEWORK

COBIT menyediakan arsitektur sederhana untuk menyusun bahan panduan dan menghasilkan
rangkaian produk yang konsisten. Ini memiliki tujuan mengintegrasikan pengetahuan yang
sebelumnya tersebar di berbagai kerangka kerja seperti COSO. Tidak ada disebutkan dalam
dokumentasi COBIT tentang hubungannya dengan Standar Internasional IIA untuk Praktik
Profesional Audit Internal. Namun, COBIT adalah alat alternatif yang harus dipertimbangkan
oleh auditor internal sebagai kerangka kerja peninjauan kontrol internal alternatif, terutama
mengingat penekanan COBIT pada sistem dan proses TI. Kerangka kerja COBIT
memberikan pedoman tata kelola dan manajemen TI perusahaan dengan menyelaraskan
dengan standar dan kerangka kerja lain yang relevan, seperti standar ITIL® dan ISO.

PRINSIP 4: ENABLING A HOLISTIC APPROACH

Enabler adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi apakah
sesuatu akan berhasil — dalam hal ini, tata kelola dan manajemen atas IT perusahaan.
Enabler didorong oleh tujuan yang mengalir dari prinsip 3, di mana tujuan terkait TI tingkat
tinggi menentukan apa yang harus dicapai oleh enabler yang berbeda. Tampilan 6.5
menjelaskan kelas-kelas atau tipe-tipe enabler ini:

PRINSIP 5: SEPARATING GOVERNANCE FROM MANAGEMENT

Prinsip kelima COBIT berfokus pada pentingnya konsep manajemen dan tata kelola yang
terpisah namun terkait dalam perusahaan berorientasi IT. Kerangka kerja COBIT membuat
perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin ilmu ini meliputi
berbagai jenis kegiatan, memerlukan struktur organisasi yang berbeda, dan melayani tujuan
yang berbeda. Perbedaan ini merupakan kunci pandangan COBIT tentang tata kelola dan
manajemen.
MENGGUNAKAN COBIT UNTUK MENILAI KONTROL INTERNAL

Sementara kontrol internal COSO dibangun hanya di sekitar model kerangka kerja tunggal
dan beberapa panduan umum untuk mengevaluasi dan menilai kontrol internal ini, ada
serangkaian materi yang luas dan terperinci yang mendukung kontrol internal COBIT.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan TI
memproses apa yang disebut COBIT sebagai lima area domain:

 Evaluate, Direct, and Monitor (EDM)

 Align, Plan, and Organize (APO)
 Build, Acquire, and Implement (BAI)
 Deliver, Service, and Support (DSS)
 Monitor, Evaluate, and Assess (MEA)

COBIT menetapkan satu set 17 tujuan terkait TI yang dapat dipetakan ke masing-masing
proses ini, dengan sasaran tersebut dibagi ke dalam kategori yang dilabeli Korporat,
Pelanggan, Internal, dan satu yang disebut Pembelajaran dan Pertumbuhan. Tujuan terkait IT
COBIT ini kemudian dipetakan ke faktor-faktor untuk dua proses COBIT, EDM (Evaluate,
Direct, and Monitor) dan DSS (Memberikan, Layanan, dan Dukungan). Pemetaan tentang
bagaimana setiap tujuan terkait IT didukung oleh proses terkait COBIT diilustrasikan dalam
Tampilan 6.7 dan diungkapkan menggunakan skala di mana:

 P berarti koneksi utama antara tujuan terkait TI dan proses terkait COBIT terkait,
ketika ada hubungan penting di mana proses COBIT yang ditunjuk adalah dukungan
utama untuk pencapaian tujuan terkait TI.
 S adalah singkatan dari secondary, ketika ada hubungan yang kurang penting dan
proses COBIT adalah dukungan sekunder untuk tujuan yang berhubungan dengan IT.

Ruang kosong di pameran mengatakan tidak ada hubungan yang kuat di sini.
PEMETAAN COBIT KE KONTROL INTERNAL COSO

COSO dan COBIT melayani audiens yang berbeda. Sementara target audiens COSO bersifat
umum dan diarahkan ke manajemen senior, COBIT lebih ditujukan untuk manajemen TI,
pengguna TI, dan auditor internal dan eksternal TI. Baik COSO dan COBIT memandang
kontrol internal sebagai proses entitas yang luas, tetapi COBIT secara khusus berfokus pada
kontrol TI. Perbedaan ini pada hakekatnya mendefinisikan dan menentukan sebagian besar
cakupan dari setiap kerangka kerja kontrol.

Karena perbedaan-perbedaan ini, manajemen senior tidak perlu mengharapkan hubungan

satu-ke-satu langsung antara 5 komponen kontrol COSO, 17 prinsip COSO, dan 5 domain
tujuan COBIT. Meskipun penggunaan COBIT sering terkonsentrasi dalam fungsi TI di
banyak perusahaan dan kontrol internal COSO lebih menjadi perhatian manajemen senior,
kedua fungsi perusahaan harus menyadari dan mengakui pentingnya setiap kerangka kerja
untuk menilai dan menerapkan kontrol internal yang efektif.

Manajemen Risiko Perusahaan: COSO ERM

Memahami risiko adalah komponen utama untuk mencapai Sarbanes-Oxley (SOx) dan
kepatuhan pengendalian internal, melalui kerangka kerja pengendalian internal COSO dan
standar audit AS5; audit internal, baik dalam penjaminan maupun peran konsultasi, dapat
memainkan peran penting dalam berkontribusi terhadap manajemen risiko ini.

FUNDAMENTAL MANAJEMEN RISIKO

Proses manajemen risiko yang efektif membutuhkan empat langkah: (1) identifikasi
risiko, (2) penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi, (3) prioritas
risiko dan perencanaan respons, dan (4) pemantauan risiko. Proses manajemen risiko empat
langkah ini harus dilaksanakan di semua tingkatan perusahaan dan dengan partisipasi banyak
orang yang berbeda. Baik dalam perusahaan kecil yang beroperasi di wilayah geografis
terbatas atau perusahaan besar di seluruh dunia, pendekatan manajemen risiko ini harus
dikembangkan untuk entitas total.
Identifikasi resiko

Proses identifikasi risiko ini harus terjadi pada beberapa tingkatan dengan pemahaman
bahwa risiko yang berdampak pada unit bisnis individu atau proyek mungkin tidak memiliki
dampak besar pada seluruh perusahaan atau di luarnya. Sebaliknya, risiko besar yang
berdampak pada seluruh perekonomian akan mengalir ke masing-masing perusahaan dan unit
bisnisnya yang terpisah.

Cara yang baik untuk memulai proses identifikasi risiko adalah memulai dengan bagan
perusahaan tingkat tinggi yang mencantumkan unit tingkat perusahaan dan juga unit operasi.
Masing-masing unit tersebut dapat memiliki fasilitas di beberapa lokasi global dan juga dapat
terdiri dari beberapa jenis operasi yang berbeda. Setiap fasilitas terpisah kemudian akan
memiliki departemen atau fungsinya sendiri. Beberapa dari fasilitas ini mungkin
berhubungan erat satu sama lain, sementara yang lain mewakili sedikit lebih dari investasi
perusahaan.

Tugas yang sulit dan terkadang rumit, inisiatif seluruh perusahaan harus diluncurkan
untuk mengidentifikasi semua risiko di berbagai bidang individu. Jenis latihan ini dapat
menghasilkan hasil yang menarik dan / atau mengganggu.

Agar efektif, pendekatan yang lebih baik adalah mengidentifikasi orang-orang di semua
tingkatan perusahaan yang akan diminta untuk melayani sebagai penilai risiko. Dalam setiap
unit operasi yang signifikan, orang-orang kunci harus diidentifikasi dari operasi, keuangan /
akuntansi, TI, dan manajemen unit. Tujuan mereka adalah untuk mengidentifikasi dan
kemudian membantu menilai risiko di unit mereka yang dibangun di sekitar kerangka kerja
model identifikasi risiko. Ini adalah jenis inisiatif yang dapat dipimpin oleh CEO dan grup
manajemen risiko perusahaan, jika ada, atau fungsi seperti audit internal.
 Tim manajemen perusahaan kemudian harus mengambil daftar risiko perusahaan yang
lebih lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang jalur:

 Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?
 Apakah perusahaan akan menghadapi risiko ini karena peristiwa internal atau
eksternal?
 Apakah risiko terkait, sehingga satu risiko dapat menyebabkan risiko lainnya terjadi?

Jenis Risiko Perusahaan:

Risiko Strategis Seluruh Perusahaan

Risiko Faktor Eksternal Risiko Faktor Internal

■ Risiko Industri ■ Risiko Reputasi

■ Risiko Ekonomi ■ Risiko Fokus Strategis

■ Risiko Pesaing ■ Risiko Dukungan Induk

Perusahaan
■ Risiko Perubahan Hukum
dan Peraturan ■ Risiko Perlindungan Paten /
Merek Dagang
■ Risiko Kebutuhan
Pelanggan dan Keinginan

Risiko Operasional

Risiko Proses Risiko Kepatuhan Risiko Orang

■ Risiko Rantai Pasokan ■ Risiko Lingkungan ■ Risiko Sumber Daya

Manusia
■ Risiko Kepuasan Pelanggan ■ Risiko Pengaturan
■ Risiko Kecurangan
■ Risiko Siklus Waktu ■ Risiko Kebijakan dan
Karyawan atau Malfasance
Prosedur
■ Memproses Risiko Eksekusi
■ Risiko Perputaran
■ Risiko Litigasi
 Karyawan

■ Risiko Insentif Kinerja

■ Risiko Pelatihan

Risiko Keuangan

Risiko Perbendaharaan Risiko Kredit Risiko Perdagangan

■ Risiko Tingkat Bunga ■ Risiko Kapasitas ■ Risiko Harga Komoditas

■ Risiko Nilai Tukar ■ Risiko Jaminan ■ Risiko Durasi

■ Risiko Ketersediaan Modal ■ Risiko Konsentrasi ■ Risiko Pengukuran

■ Risiko Default

■ Risiko Setelmen

Risiko Informasi

Risiko Keuangan Risiko Operasional Risiko Teknologi

■ Risiko Standar Akuntansi ■ Risiko Harga ■ Risiko Akses Informasi

■ Risiko Penganggaran ■ Risiko Pengukuran Kinerja ■ Risiko Kelangsungan

Bisnis
■ Risiko Pelaporan Keuangan ■ Risiko Keselamatan
Karyawan ■ Risiko Ketersediaan
■ Risiko Perpajakan
■ Risiko Sistem IT
■ Risiko Pelaporan Regulasi
Keusangan

■ Risiko Infrastruktur

Penilaian Risiko Utama

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah

menilai kemungkinan dan signifikansi relatifnya. Pendekatan sederhana namun sering efektif
di sini adalah mengambil daftar risiko yang diidentifikasi yang dibahas sebelumnya dan
mengedarkannya ke manajer kunci dengan kuesioner yang menanyakan setiap risiko:
 1. Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Dengan
menggunakan rentang skor 1 hingga 9, tetapkan skor perkiraan terbaik sebagai
berikut:

■ Skor 1 jika Anda melihat hampir tidak ada kemungkinan risiko itu terjadi selama
periode tersebut.

■ Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi selama periode
tersebut.

■ Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinan berada dalam kisaran
ini.

2. Apa pentingnya risiko dalam hal biaya untuk perusahaan? Sekali lagi menggunakan
skala 1 hingga 9, penilaian harus tergantung pada signifikansi keuangan dari risiko.
Risiko yang biayanya dapat menurunkan laba per saham hingga mungkin 1 sen
mungkin memenuhi syarat untuk skor maksimum 9.

Kuisioner di sini harus diedarkan secara independen kepada orang-orang yang

berpengetahuan untuk menilai masing-masing risiko yang diidentifikasi per dua langkah ini.

Proses penilaian risiko tinggi ini bekerja cukup baik ketika perusahaan telah
mengidentifikasi sejumlah kecil risiko.

Cukup mudah untuk melihat grafik analisis penilaian risiko dan untuk fokus pada
perencanaan remediasi untuk kemungkinan besar dan risiko signifikan di kuadran kanan atas.

Namun, sering kali, perusahaan mungkin telah mengidentifikasi serangkaian risiko yang
jauh lebih besar, dan rentang hanya 1 hingga 9, serta plot pada bagan contoh, tidak akan
memberikan detail yang memadai.

Pendekatan yang lebih baik adalah untuk menyatakan estimasi signifikansi dan dampak
ini dalam hal estimasi persentase (mis., 72%) untuk mencapai beberapa risiko atau sebagai
suatu probabilitas (mis., 0,72). Namun, hanya meningkatkan jumlah digit, dari 7 menjadi
72% penuh, tidak meningkatkan akurasi penilaian. Lebih banyak perhatian harus diberikan
untuk lebih memahami hubungan antara probabilitas yang mencakup peristiwa risiko
independen dan terkait.
Probabilitas dan Ketidakpastian

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan estimasi
kemungkinan risiko individu dan kejadian dalam hal probabilitas dua digit mulai dari 0,01
hingga 0,99. Kami telah menggunakan rentang ini karena risiko tidak pernah memiliki
peluang 0% atau peluang 100% terjadi — jika tidak, maka risiko tersebut tidak akan menjadi
risiko. Aturan dasar probabilitas adalah bahwa kita tidak dapat menjumlahkan estimasi
probabilitas independen untuk menghasilkan estimasi gabungan.

Jika probabilitas risiko A terjadi adalah 60% dan probabilitas risiko B yang terpisah
tetapi terkait juga 60%, kita tidak dapat secara akurat mengatakan bahwa probabilitas
keduanya terjadi adalah 0,60 + 0,60 = 1,20. 120% ini tidak masuk akal. Sebaliknya,
probabilitas gabungan dari dua peristiwa independen adalah produk dari dua probabilitas
terpisah menggunakan rumus:

Pr(Peristiwa 1) x Pr(Peristiwa 2) = Pr(Kedua Peristiwa)

Yaitu, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0,60, probabilitas gabungan dari
kedua peristiwa yang terjadi adalah (0,60) × (0,60) = 0,36. Dalam hal penilaian, jika risiko
memiliki estimasi signifikansi 60% atau bahwa kami 60% yakin bahwa risiko akan terjadi
dan jika dampaknya dinilai pada 60%, ada kemungkinan 36% bahwa kami akan mencapai
keduanya risiko tersebut. Kami juga dapat menyebut ini skor risiko untuk risiko individu.

Saling ketergantungan risiko

Risiko seringkali sangat saling tergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat tunduk pada konsekuensi
peristiwa risiko pada unit di atas atau di bawah dalam struktur organisasi.
Peringkat Risiko

Langkah selanjutnya adalah mengambil estimasi signifikansi dan kemungkinan,

menghitung peringkat risiko, dan mengidentifikasi risiko paling signifikan di seluruh entitas
yang ditinjau.

Manajemen harus mengidentifikasi risiko-risiko yang dinilai unit-per-unit ini untuk

memastikan bahwa kemungkinan risiko dan estimasi signifikansi sesuai untuk keseluruhan.
Terlalu sering, peristiwa risiko yang terjadi jauh dari kantor pusat perusahaan dapat
menyebabkan masalah besar.

Analisis Risiko Kuantitatif: Nilai yang Diharapkan dan Perencanaan Respons

Idenya adalah untuk melalui setiap risiko yang diidentifikasi — atau jika waktu terbatas,
hanya risiko utama — dan memperkirakan biaya yang timbul dari risiko tersebut. Karena
jenis-jenis risiko yang dibahas melibatkan hal-hal seperti kegagalan komponen perangkat
keras, jatuhnya pangsa pasar, atau dampak dari peraturan pemerintah yang baru, ini biasanya
bukan jenis biaya yang bisa dilihat orang dalam arus katalog penjual. Beberapa risiko
hipotetis, berlabel A, B, dan C, menggambarkan tipe pemikiran ini:

a. Risiko A: Kehilangan hingga pangsa pasar X% karena selera konsumen yang berubah.
■ Perkirakan penurunan penjualan dan kehilangan keuntungan karena penurunan X
%.
■ Perkirakan berapa biayanya untuk mulai memulihkan posisi pasar yang hilang.

b. Risiko B: Kehilangan sementara fasilitas manufaktur besar selama X hari karena

badai.
■ Perkirakan biaya terbaik dan terburuk untuk mendapatkan perbaikan sementara
dan kembali beroperasi dalam waktu X hari.
■ Perkirakan tenaga kerja tambahan dan biaya produksi yang dikeluarkan selama
interim.

c. Risiko C: Kehilangan sistem informasi selama X hari karena virus komputer yang
merusak.
■ Perkirakan kerugian bisnis dan profitabilitas selama periode turun.
■ Perkirakan biaya untuk mentransfer operasi ke situs kesinambungan bisnis.
 Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk memperkirakan
biaya pemulihan dari beberapa peristiwa risiko. Seringkali sulit untuk menentukan berapa
biaya untuk pulih dari risiko. Meskipun tidak perlu melakukan analisis rinci dan memakan
waktu di sini, orang-orang berpengetahuan yang memahami bidang risiko sering kali dapat
memberikan perkiraan yang baik berdasarkan:

1. Apa taksiran biaya kasus terbaik jika perlu untuk menanggung risiko? Ini adalah asumsi
bahwa hanya akan ada dampak terbatas jika risiko terjadi.

2. Apa yang akan diperkirakan oleh sampel orang berpengetahuan untuk biayanya? Untuk
Risiko A, sebagaimana diuraikan, direktur pemasaran mungkin diminta untuk
memberikan perkiraan.

3. Berapa nilai atau biaya yang diharapkan untuk menanggung risiko? Ini adalah jenis risiko
yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti persyaratan
tenaga kerja tambahan.

4. Berapa biaya terburuk untuk menanggung risiko? Ini adalah tipe estimasi apa-jika-
semuanya-berjalan-salah.

Analisis Risiko Kuantitatif: Pemantauan Risiko

Pemantauan risiko dapat dilakukan oleh pemilik proses atau oleh reviewer independen.
Audit internal selalu memiliki tingkat kredibilitas dan wewenang ekstra. Jika audit internal
tidak dapat dengan mudah menerima informasi yang baik mengenai status beberapa risiko
yang teridentifikasi, selalu dapat menjadwalkan kunjungan untuk lebih memahami sifat area
risiko.

Proses pemantauan yang akurat adalah komponen penting dari manajemen risiko. Suatu
perusahaan mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko yang
lebih signifikan. Namun, status terkini dari risiko-risiko tersebut perlu dipantau secara teratur
dengan perubahan yang dibuat terhadap risiko yang diidentifikasi sebagaimana diperlukan.
ERM COSO: MANAJEMEN RISIKO USAHA

Manajemen risiko perusahaan adalah proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel lain entitas, yang diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risiko, untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

Profesional harus mempertimbangkan pokok-pokok dan konsep-konsep kunci yang

mendukung definisi kerangka kerja ERM COSO, termasuk:

a. ERM adalah suatu proses.

b. Proses ERM diimplementasikan oleh orang-orang di perusahaan.

c. ERM diterapkan melalui pengaturan strategi di seluruh perusahaan.

d. Selera risiko perusahaan harus dipertimbangkan.

e. ERM hanya memberikan kepastian yang masuk akal, tidak positif, pada pencapaian
objektif.

f. ERM dirancang untuk membantu mencapai pencapaian tujuan.

ELEMEN KUNCI COSO ERM

Kerangka kerja COSO ERM sebagai kubus dengan komponen:

■ Empat kolom yang mewakili tujuan strategis risiko perusahaan;

■ Delapan baris horizontal atau komponen risiko; dan

■ Beberapa level untuk menggambarkan perusahaan apa pun, dari level entitas
kantor pusat hingga masing-masing anak perusahaan.
COSO ERM: Komponen Lingkungan Internal Melihat bagian depan atau muka kubus COSO
ERM, ada delapan level atau faktor, dengan lingkungan internal terletak di bagian atas. Ini
mirip dengan kerangka kontrol internal COSO yang direvisi. Lingkungan internal harus
dianggap sebagai batu penjuru untuk COSO ERM.

Komponen lingkungan internal COSO ERM terdiri dari elemen-elemen berikut:

Filosofi manajemen risiko. Ini adalah sikap dan keyakinan bersama yang menjadi ciri
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya. Lebih
dari sekadar pesan dalam kode etik,

Filosofi manajemen risiko adalah sikap yang harus memungkinkan pemangku

kepentingan di semua tingkatan untuk menanggapi proposal berisiko tinggi dengan jawaban
di sepanjang baris “Tidak, itu bukan jenis usaha yang akan dilakukan perusahaan kami
tertarik." Tentu saja, perusahaan dengan filosofi yang berbeda mungkin menanggapi proposal
yang sama ini dengan jawaban di sepanjang baris “Kedengarannya menarik — berapa tingkat
pengembalian yang diharapkan?”

Nafsu makan berisiko. Seperti dibahas sebelumnya, nafsu makan adalah jumlah risiko yang
bersedia diterima perusahaan dalam mengejar tujuannya. Selera risiko dapat diukur dalam
istilah kuantitatif atau kualitatif, tetapi semua tingkat manajemen harus memiliki pemahaman
umum tentang selera risiko keseluruhan perusahaan mereka. Istilah nafsu makan tidak sering
digunakan oleh auditor internal dan manajer lain sebelum COSO ERM, tetapi itu adalah
ungkapan yang berguna yang menggambarkan filosofi risiko secara keseluruhan.

Sikap dewan direksi. Dewan dan komitenya memiliki peran yang sangat penting dalam
mengawasi dan membimbing lingkungan risiko perusahaan. Direktur independen di luar
khususnya harus meninjau dengan cermat tindakan manajemen, mengajukan pertanyaan yang
sesuai, dan berfungsi sebagai kontrol pemeriksaan dan keseimbangan bagi perusahaan.

Manajemen Risiko Perusahaan: COSO ERM pernyataan misi dan standar integritas yang
dipikirkan dengan matang. Bahan-bahan ini membantu membangun budaya perusahaan yang
kuat untuk memandu perusahaan di semua tingkatan dalam mengambil keputusan berbasis
risiko. Budaya perusahaan yang kuat, serta kode perilaku tertulis, adalah elemen penting dari
integritas dan nilai-nilai etika perusahaan.
Komitmen terhadap kompetensi. Kompetensi mengacu pada pengetahuan dan
keterampilan yang diperlukan untuk melakukan tugas yang ditugaskan. Manajemen
memutuskan bagaimana tugas-tugas penting ini akan dicapai melalui pengembangan strategi
dan menugaskan orang yang tepat untuk melaksanakannya. Kita semua melihat perusahaan
yang tidak memiliki komitmen seperti ini.

Manajemen senior kadang-kadang membuat rencana besar dan keras untuk mencapai
beberapa tujuan tetapi kemudian tidak banyak berhasil mencapainya. Pasar saham sering
menghukum kegagalan dalam kegiatan tersebut. Dengan komitmen kuat terhadap
kompetensi, manajer di semua tingkatan harus mengambil langkah-langkah untuk mencapai
tujuan yang dijanjikan.

Struktur organisasi. Suatu perusahaan harus mengembangkan struktur organisasi dengan

garis wewenang, tanggung jawab, dan pelaporan yang sesuai. Setiap profesional telah melihat
situasi di mana organisasi tidak mengizinkan jalur komunikasi yang sesuai.

Sebagai contoh, sebelum SOx, banyak fungsi audit internal telah menerbitkan bagan
organisasi yang menunjukkan mereka melaporkan kepada komite audit dewan mereka, tetapi
hubungan ini sering hanya di atas kertas dengan komunikasi terbatas di luar rapat komite
audit yang sangat singkat namun berkala

Penugasan wewenang dan tanggung jawab. Komponen ERM ini mengacu pada sejauh
mana derajat wewenang dan tanggung jawab ditugaskan atau didelegasikan. Kecenderungan
di banyak perusahaan saat ini adalah untuk mendorong tanggung jawab otoritas persetujuan
ke dalam bagan organisasi, memberikan wewenang dan persetujuan yang lebih tinggi kepada
karyawan tingkat pertama dan bahkan yang lebih tinggi.

Tren terkait adalah meratakan organisasi dengan menghilangkan tingkat manajemen

menengah. Struktur ini biasanya mendorong kreativitas karyawan, waktu respons yang lebih
cepat, dan kepuasan pelanggan yang lebih besar.
Standar sumber daya manusia. Praktik mengenai perekrutan karyawan, pelatihan,
kompensasi, promosi, pendisiplinan, dan semua tindakan lainnya mengirim pesan mengenai
apa yang disukai, ditoleransi, atau dilarang.

Ketika manajemen mengedipkan mata pada atau mengabaikan beberapa kegiatan

wilayah abu-abu daripada bersikap tegas, pesan itu disampaikan secara informal dan informal
kepada orang lain. Diperlukan standar yang kuat untuk memastikan bahwa peraturan sumber
daya manusia dikomunikasikan kepada semua pemangku kepentingan dan ditegakkan.

Elemen Kunci COSO ERM

Dua komponen lingkungan internal COSO ERM, filosofi manajemen risiko

perusahaan dan selera relatifnya terhadap risiko, memberi makan elemen-elemen lain dari
kerangka kerja COSO ERM.

Sementara filosofi manajemen risiko dapat dipertimbangkan dalam hal sikap dewan
direksi dan kebijakan sumber daya manusia, antara lain, risk appetite seringkali merupakan
ukuran yang lebih lunak di mana perusahaan telah menentukan bahwa ia akan menerima
beberapa risiko tetapi menolak yang lain dalam hal kemungkinan mereka. dan dampak.

Tampilan 7.6 menunjukkan peta selera risiko yang menggambarkan di mana

perusahaan harus mengenali kisaran di mana perusahaan bersedia menerima risiko dalam hal
kemungkinan dan dampaknya.

Diagram ini mengatakan suatu perusahaan mungkin bersedia untuk terlibat dalam
proyek dampak negatif tinggi jika ada kemungkinan rendah terjadinya suatu kejadian. Ada
dimensi ketiga untuk bagan ini juga. Suatu perusahaan kadang-kadang akan memiliki selera
yang lebih besar untuk upaya yang lebih berisiko jika ada potensi pengembalian yang lebih
tinggi.

Manajemen Risiko Perusahaan: COSO ERM tujuan perusahaan dan sikap

keseluruhannya terhadap risiko. Dilakukan dan disampaikan dengan benar, pernyataan misi
harus mendorong perusahaan untuk mengembangkan sasaran strategis tingkat tinggi dan
kemudian membantu memilih dan melaksanakan tujuan operasi, pelaporan, dan kepatuhan.
 Sementara tujuan operasi berkaitan dengan efektivitas dan efisiensi perusahaan dalam
mencapai profitabilitas dan kinerja, pelaporan dan tujuan kepatuhan mencakup pelaporan
kinerja dan kepatuhan terhadap hukum dan peraturan. COSO ERM menyerukan perusahaan
untuk secara formal menentukan sasarannya dengan keterkaitan langsung dengan pernyataan
misinya, bersama dengan kriteria pengukuran untuk menilai apakah perusahaan tersebut
mencapai tujuan manajemen risiko ini.

Komponen lingkungan internal ERM untuk memahami filosofi manajemen risiko

perusahaan dan selera risiko menuntut komponen penetapan tujuan untuk secara formal
mendefinisikan selera risiko dalam hal toleransi terhadap risiko.

Dalam pedoman itu, ia harus memutuskan selera dan toleransi untuk risiko ini.
Artinya, ia harus menentukan tingkat risiko yang bersedia diterima, dan mengingat aturan
toleransi risiko itu, seberapa jauh ia bersedia menyimpang dari langkah-langkah yang telah
ditetapkan sebelumnya.

Tampilan 7.7 menguraikan hubungan unsur-unsur komponen pengaturan tujuan

COSO ERM. Dimulai dengan misi keseluruhan, pendekatannya adalah (1) mengembangkan
tujuan strategis untuk mendukung pencapaian misi itu, (2) menetapkan strategi untuk
memenuhi tujuan, (3) menetapkan tujuan terkait, dan (4) menetapkan selera risiko untuk
diselesaikan strategi itu.

Pameran ini diadaptasi dari bahan panduan COSO ERM yang dipublikasikan
sebelumnya yang dirujuk. Bahan-bahan ini adalah sumber untuk mendapatkan pemahaman
yang lebih rinci tentang COSO ERM. Untuk mengelola dan mengendalikan risiko di semua
tingkatan, perusahaan perlu menetapkan tujuannya dan menetapkan toleransinya karena harus
terlibat dalam praktik berisiko dan kepatuhannya terhadap aturan-aturan ini. Hal-hal tidak
akan berfungsi jika perusahaan menetapkan beberapa tujuan yang berhubungan dengan risiko
tetapi kemudian mulai mengabaikannya.
 COSO ERM Event Identification Event adalah insiden atau kejadian perusahaan,
internal atau eksternal, yang mempengaruhi penerapan strategi ERM dan pencapaian
tujuannya. Sementara kecenderungan auditor internal adalah untuk memikirkan peristiwa
dalam arti negatif — menentukan apa yang salah — mereka juga bisa positif. Banyak
perusahaan saat ini memiliki alat pemantauan kinerja yang kuat, dengan proses pemantauan
biaya, anggaran, kualitas

Elemen Kunci COSO ERM

jaminan, kepatuhan, dan sejenisnya. Namun, melampaui satu meter pada jalur perakitan
produksi, proses pemantauan harus mencakup:

Kejadian ekonomi eksternal. Berbagai peristiwa eksternal perlu dipantau untuk membantu
mencapai tujuan ERM suatu perusahaan. Baik peristiwa jangka pendek maupun jangka
panjang dapat memengaruhi tujuan strategis perusahaan. Sebagai contoh, pada bulan
Desember 2001, setelah beberapa gejolak pasar mata uang, Argentina menyatakan gagal
bayar utama utangnya.

Peristiwa eksternal ini berdampak besar pada pasar kredit internasional, pemasok
komoditas pertanian, dan transaksi bisnis lainnya di Amerika Selatan. Identifikasi peristiwa
ekonomi eksternal di sini mengharuskan perusahaan untuk melampaui berita utama yang
dilaporkan dan menaikkan fl untuk menyarankan bahwa ya, default mata uang tersebut dapat
menyoroti peristiwa yang berkaitan dengan risiko perusahaan.

Kejadian lingkungan alami. Baik kebakaran, banjir, atau gempa bumi, banyak peristiwa
dapat menjadi insiden dalam identifikasi risiko ERM. Dampak di sini mungkin termasuk

Komponen Penentuan Sasaran Risiko COSO ERM Sumber:

Manajemen Risiko Perusahaan: COSO ERM kehilangan akses ke beberapa bahan baku
utama, kerusakan fasilitas fisik, atau tidak tersedianya personel.
Peristiwa politik. Undang-undang dan peraturan baru serta beberapa hasil pemilu dapat
menjadi dampak signifikan terkait peristiwa risiko pada perusahaan. Banyak perusahaan
besar memiliki fungsi urusan pemerintah yang meninjau perkembangan dan lobi untuk
perubahan, tetapi fungsi tersebut mungkin tidak selalu selaras dengan tujuan ERM
perusahaan.

Faktor sosial. Sementara peristiwa eksternal seperti gempa bumi tiba-tiba dan tiba dengan
sedikit peringatan, sebagian besar faktor sosial perlahan berkembang. Ini termasuk perubahan
demografis, adat istiadat sosial, dan peristiwa lain yang dapat memengaruhi suatu perusahaan
dan pelanggannya dari waktu ke waktu. Pertumbuhan populasi Hispanik di Amerika Serikat
adalah contoh seperti itu. Ketika semakin banyak orang Hispanik pindah ke kota, misalnya,
persyaratan mengajar di sekolah umum dan campuran pilihan di toko bahan makanan
berubah.

Kejadian infrastruktur internal. Perusahaan sering melakukan perubahan yang memicu

peristiwa terkait risiko lainnya. Misalnya, perubahan pengaturan layanan pelanggan dapat
menyebabkan keluhan utama dan penurunan kepuasan pelanggan di unit ritel. Permintaan
pelanggan yang kuat untuk produk baru dapat menyebabkan perubahan dalam persyaratan
kapasitas pabrik dan kebutuhan akan personil tambahan.

Kejadian terkait proses internal. Mirip dengan peristiwa infrastruktur, perubahan proses
utama dapat memicu berbagai peristiwa identifikasi risiko. Dalam banyak kasus, identifikasi
risiko mungkin tidak segera, dan beberapa waktu mungkin berlalu sebelum proses yang
terkait dengan proses menandakan perlunya identifikasi risiko.

Kejadian teknologi eksternal dan internal. Setiap perusahaan menghadapi berbagai macam
peristiwa teknologi yang dapat memicu kebutuhan untuk identifikasi risiko formal. Beberapa
mungkin bertahap, sementara yang lain, seperti pergeseran ke lingkungan Web, lebih tiba-
tiba.
 Dalam kasus lain, sebuah perusahaan mungkin tiba-tiba merilis peningkatan baru
yang menyebabkan para pesaing di mana saja beraksi. Meskipun ide itu tampak biasa hari ini,
ketika Merrill Lynch meluncurkan konsep Cash Management Account (CMA) pada
pertengahan 1980-an, itu menyebabkan kegemparan besar dalam industri jasa keuangan.
CMA adalah layanan yang menggabungkan broker saham pelanggan, rekening giro bank, dan
layanan keuangan lainnya semua dalam satu atap. Kami lupa hari ini bahwa di masa lalu
semua akun seperti itu membutuhkan penyedia terpisah yang pada dasarnya tidak ada
keterkaitan di antara mereka.

Suatu perusahaan perlu secara jelas mendefinisikan peristiwa risiko yang signifikan dan
kemudian memiliki proses untuk memonitornya agar dapat mengambil tindakan yang
diperlukan yang sesuai. Ini adalah jenis proses berpikiran maju yang seringkali sulit untuk
dikenali di banyak perusahaan, tetapi melihat peristiwa risiko potensial internal dan eksternal
ini dan memutuskan mana yang memerlukan perhatian lebih lanjut dapat menjadi proses yang
sulit. Beberapa kebutuhan mendesak, yang lain diarahkan masa depan.

Materi pendukung COSO ERM menyarankan bahwa perusahaan harus menetapkan

proses untuk meninjau potensi risiko yang signifikan dan kemudian mempertimbangkan
beberapa pendekatan berikut:

Persediaan acara. Manajemen harus mengembangkan daftar peristiwa yang berhubungan

dengan risiko yang umum terjadi pada industri spesifik dan bidang fungsional perusahaan dan
berupaya untuk menetapkan beberapa jenis sumber arsip "pelajaran yang dipetik". Ini adalah
tipe data yang dapat diberikan oleh anggota yang memiliki masa jabatan lebih lama dari suatu
perusahaan yang dapat menawarkan “Kami mencobanya beberapa tahun yang lalu, tetapi. . . "
jenis komentar.

Lokakarya yang difasilitasi. Suatu perusahaan dapat mengadakan lokakarya lintas fungsi
untuk membahas faktor risiko potensial yang dapat berkembang dari berbagai peristiwa
internal atau eksternal. Ini dapat menghasilkan rencana tindakan untuk memperbaiki potensi
risiko. Walaupun pendekatannya terdengar bagus, seringkali merupakan tantangan untuk
mengalokasikan waktu yang cukup untuk bertemu dalam kelompok lintas fungsi untuk
membicarakan risiko tersebut.
Wawancara, kuesioner, dan survei. Informasi mengenai peristiwa risiko potensial dapat
berasal dari berbagai sumber, seperti surat kepuasan pelanggan atau wawancara keluar
karyawan. Informasi ini harus ditangkap dan diklasifikasikan untuk mengidentifikasi apa pun
yang mungkin mengarah pada peristiwa risiko.

Memimpin peristiwa dan pemicu eskalasi. Idenya di sini adalah untuk menetapkan
serangkaian pengukuran unit bisnis untuk memantau tujuan toleransi risiko dan
mempromosikan tindakan perbaikan. Misalnya, grup TI perusahaan dapat menetapkan tujuan
untuk mempertahankan kontrol keamanan yang kuat atas risiko intrusi sistem.

Dengan ukuran jumlah upaya intrusi yang diidentifikasi selama suatu periode, pemicu
mungkin tiga insiden intrusi dalam satu bulan tertentu dapat memicu tindakan lebih lanjut.
Alat perangkat lunak tipe dasbor sering dapat digunakan di sini. Alat perangkat lunak yang
semakin umum ini mirip dengan dasbor mobil, di mana indikator akan memancarkan sinyal
untuk kondisi seperti tekanan oli rendah atau panas berlebih. Status risiko dilaporkan melalui
beberapa monitor grafis sederhana, mudah dipahami, seperti lampu peringatan merah,
kuning, dan hijau.

Pelacakan data peristiwa hilang. Sementara pendekatan dasbor memantau peristiwa risiko
saat terjadi, sering kali berharga untuk meletakkan berbagai hal dalam perspektif yang lebih
setelah berlalunya waktu. Pelacakan peristiwa kerugian mengacu pada penggunaan sumber
basis data internal dan publik untuk melacak aktivitas di bidang yang diminati. Sumber-
sumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi terkemuka
hingga tingkat kegagalan peralatan internal. Sekali lagi di sini, perusahaan harus menginstal
proses identifikasi risiko yang efektif untuk melacak peristiwa yang terkait risiko internal dan
eksternal.

Penilaian Risiko COSO ERM Sementara komponen lingkungan internal adalah landasan
COSO ERM dan bagian selanjutnya akan membahas pemantauan sebagai landasannya,
komponen penilaian risiko adalah inti kerangka kerja ERM. Penilaian risiko memungkinkan
suatu perusahaan untuk mempertimbangkan dampak yang mungkin dimiliki oleh semua
peristiwa yang terkait dengan risiko secara keseluruhan terhadap pencapaian tujuan
perusahaan.
Risiko-risiko ini harus dinilai dari dua perspektif: kemungkinan terjadinya risiko, dan potensi
dampaknya. Bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah kebutuhan
untuk mempertimbangkan konsep yang sangat penting dari risiko inheren dan residual serta:

• Risiko yang melekat. Seperti yang didefinisikan oleh Kantor Manajemen dan
Anggaran pemerintah A.S., risiko inheren adalah "potensi pemborosan, kehilangan,
penggunaan yang tidak sah, atau penyelewengan karena sifat dari suatu kegiatan itu
sendiri." Faktor utama yang memengaruhi risiko yang melekat pada perusahaan
adalah ukuran anggarannya, kekuatan dan kecanggihannya 164

• Manajemen Risiko Perusahaan: COSO ERM manajemen, dan sifat kegiatannya.

Risiko inheren berada di luar kendali manajemen dan biasanya berasal dari faktor
eksternal. Misalnya, peritel besar Walmart begitu besar dan dominan di pasarnya
sehingga ia menghadapi berbagai risiko yang melekat karena ukurannya semata-mata.

• Risiko residual. Ini adalah risiko yang tersisa setelah respons manajemen lain
terhadap ancaman dan tindakan pencegahan risiko telah diterapkan. Hampir selalu ada
beberapa tingkat risiko residual.

Elemen Kunci COSO ERM tujuan, mempertimbangkan kemungkinan potensial dan dampak
dari masing-masing risiko ini, mempertimbangkan keterkaitan mereka pada unit-per-unit atau
total basis perusahaan, dan kemudian mengembangkan strategi untuk respon yang sesuai.
Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dengan
teknik penilaian risiko klasik yang telah digunakan oleh auditor internal selama bertahun-
tahun. Yang unik di sini adalah bahwa

COSO ERM menyarankan bahwa perusahaan harus mengambil pendekatan total, di semua
unit dan semua masalah strategis utama, untuk mengidentifikasi risiko secara konsisten dan
menyeluruh. Elemen Respon Risiko COSO ERM Setelah menilai dan mengidentifikasi
risiko yang lebih signifikan, proses respons risiko COSO ERM membutuhkan peninjauan
yang cermat terhadap kemungkinan risiko dan dampak potensial, dengan pertimbangan
diberikan pada biaya dan manfaat yang terkait, untuk mengembangkan risiko yang sesuai.
strategi respons, mengikuti salah satu dari empat strategi risiko dasar:
Elemen Kunci COSO ERM kemudian membuat solusi respons risiko untuk memasang
pemadam api terdekat. Namun, respons terhadap sebagian besar risiko adalah kompleks dan
memerlukan perencanaan dan analisis yang cukup terperinci.

Jika ada risiko bahwa suatu perusahaan dapat kehilangan seluruh operasi manufaktur karena
kegagalan utama tetapi kegagalan produksi pabrik peralatan, respons risiko potensial dapat
mencakup:

• Memperoleh peralatan produksi cadangan untuk berfungsi sebagai suku cadang untuk
kanibalisasi.
• Matikan jalur produksi manufaktur dengan rencana untuk memindahkannya ke tempat
lain.
• Mengatur toko khusus untuk membangun kembali / merekonstruksi peralatan lama.
• Reengineer produk yang diproduksi dan rencana untuk pengenalan produk baru.
• Mengembangkan respons risiko memerlukan sejumlah perencanaan dan pemikiran
strategis.

Beberapa alternatif respons risiko dapat melibatkan biaya, waktu, dan perencanaan proyek
yang terperinci. Misalnya, salah satu strategi respons peralatan lama yang diuraikan di sini
adalah untuk memperoleh satu set peralatan cadangan.

Jika itu adalah strategi yang disetujui, tindakan harus diambil untuk memperoleh peralatan
cadangan yang lama sebelum kegiatan ini bahkan dapat diidentifikasi sebagai strategi respons
risiko aktual. Idenya adalah bahwa semua risiko yang tercantum dalam analisis tersebut harus
diukur terhadap faktor-faktor dampak yang sama, berdasarkan pada strategi menerima,
menghindari, berbagi, atau mengurangi risiko.

COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi berdasarkan entitas-
atau portfoliowide. Ini kadang-kadang bisa menjadi proses yang sulit di perusahaan multi-
unit yang besar dan multi unit, tetapi ini memberikan titik awal untuk mengatur berbagai
risiko ini untuk mengidentifikasi risiko yang lebih signifikan yang dapat berdampak pada
perusahaan. Idenya adalah untuk melihat berbagai risiko potensial ini, kemungkinan
terjadinya, dan dampaknya masing-masing. Analisis yang baik di sini harus menyoroti
bidang-bidang untuk perhatian yang lebih rinci.
Manajemen Risiko Perusahaan: COSO ERM kategori terkait. Komponen menghadap
atas dari tujuan strategis, operasi, pelaporan, dan risiko kepatuhan penting untuk memahami
dan menerapkan ERM COSO. Selain itu, sementara Pameran 7.5 menunjukkan masing-
masing tujuan risiko yang menghadap atas ini memiliki ukuran atau lebar relatif yang sama,
kategori tujuan risiko tingkat operasi sering dipandang sebagai kategori risiko paparan yang
jauh lebih luas dan lebih tinggi daripada yang lain.

Sasaran Manajemen Risiko Operasional Ada banyak jenis risiko operasi yang dapat
berdampak pada perusahaan. Mengikuti kerangka ERM tiga dimensi, sasaran risiko tingkat
operasi memerlukan identifikasi risiko untuk setiap unit atau komponen perusahaan.
Identifikasi sasaran risiko tingkat operasi ini sering kali memerlukan pengumpulan dan
analisis informasi terperinci, terutama untuk perusahaan besar yang mencakup banyak area
geografis, lini produk, atau proses bisnis.

Manajer langsung unit individu biasanya memiliki pemahaman terbaik tentang risiko
operasionalnya, dan informasi itu dapat hilang ketika dikonsolidasikan untuk pelaporan
tingkat yang lebih tinggi. Untuk mengumpulkan informasi latar belakang yang lebih rinci
tentang potensi risiko operasi, informasi seringkali dapat dikumpulkan melalui tinjauan audit
internal atau survei orang yang terkena dampak langsung dari risiko ini.

Sebuah survei terhadap anggota langsung perusahaan di lantai, bersama dengan

pertanyaan lanjutan, akan memungkinkan pengembangan serangkaian risiko operasi katalog
yang konsisten di semua tingkatan perusahaan.

Pertanyaan yang diajukan di sini akan mirip dengan jenis pertanyaan terperinci yang
sering digunakan dalam penilaian pengendalian internal audit internal, dan hasil dari setiap
data yang tersedia di sini dapat menjadi dasar untuk mengembangkan pemahaman yang lebih
baik. Disebarluaskan melalui semua tingkatan perusahaan, dengan pesan yang mendorong
pemangku kepentingan untuk merespons secara jujur, jenis survei ini seringkali dapat
mengumpulkan informasi penting mengenai risiko potensial pada tingkat operasional yang
terperinci.
Dimensi ketiga kerangka kerja COSO ERM memanggil risiko untuk dipertimbangkan pada
tingkat organisasi atau entitas. Tampilan 7.2 kerangka kerja COSO ERM menunjukkan empat
divisi atau irisan dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan
risiko subsidi. Ini bukan divisi tipe perusahaan yang ditentukan, dan ERM menyarankan
bahwa risiko harus erat mengikuti bagan organisasi resmi perusahaan yang diberikan.

Risiko COSO ERM harus diidentifikasi dan dikelola dalam setiap unit organisasi yang
signifikan, termasuk risiko berdasarkan entitas secara luas melalui unit bisnis individu COSO
ERM tidak merinci seberapa tipis risiko tingkat unit yang harus diiris, dan kekritisan dan
materialitas masing-masing unit bisnis harus dipertimbangkan.

Untuk rantai restoran cepat saji dengan ribuan unit, hampir tidak masuk akal untuk
memasukkan masing-masing unit sebagai komponen terpisah dalam model risiko.
Sebaliknya, manajemen harus mendefinisikan risiko tingkat organisasinya pada tingkat
perincian yang akan mencakup semua risiko signifikan yang dapat dikelola.

Risks Encompassing the Entire Organization

Beberapa risiko pada tingkat unit bisnis harus dinaikan ke risiko tingkat entitas. Walaupun
mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit "bukan
material" menggunakan pre-Sox public accounting. Mempertimbangkan anak perusahaan
yang relatif kecil di negara dunia ketiga yang memproduksi pakaian kasual. Seringkali, unit
seperti itu akan sangat kecil dalam hal kontribusi pendapatan perusahaan karena tingkat atau
ukuran relatifnya sehingga dapat tergelincir di bawah layar radar pada tingkat perusahaan
senior.

Namun, jika ada masalah pekerja anak di negara tuan rumah, perusahaan akan segera
menemukan dirinya di pusat perhatian terkait operasi anak perusahaan yang kecil ini. Dalam
situasi seperti itu, jurnalis dapat meminta CEO untuk berkomentar di depan umum tentang
kebijakan dan prosedur di operasi anak perusahaan itu, meskipun CEO mungkin hanya
samar-samar mengetahui keberadaannya.
Maksud kami di sini adalah bahwa risiko besar dan tampaknya kecil dapat berdampak pada
keseluruhan perusahaan. Pengiriman makanan tercemar yang diproduksi di satu unit kecil
rantai makanan cepat saji yang besar dapat memengaruhi prospek dan reputasi perusahaan
secara keseluruhan. Meskipun relatif mudah untuk mengidentifikasi risiko tingkat tinggi
entitas-lebar seperti kepatuhan dengan SOx 404, dan untuk mengidentifikasi dan memantau
ini sebagai bagian dari proses ERM COSO, harus diperhatikan bahwa risiko potensial yang
lebih kecil tidak selip antara retakan.

Karena risiko diidentifikasi melalui penetapan tujuan organisasi secara keseluruhan, risiko
tersebut harus dipertimbangkan berdasarkan entitas secara luas maupun oleh masing-masing
unit operasi. Risiko masing-masing unit tersebut harus ditinjau dan dikonsolidasikan terlebih
dahulu untuk mengidentifikasi risiko utama yang dapat berdampak pada keseluruhan
organisasi. Selain itu, risiko di seluruh organisasi harus diidentifikasi.

Business Unit–Level Risks

Risiko terjadi di semua tingkat perusahaan, baik divisi produksi utama dengan banyak pabrik
dan ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan luar negeri.
Risiko harus dipertimbangkan dalam setiap unit organisasi yang signifikan. Risiko yang
diidentifikasi dalam posisi kepemilikan minoritas di perusahaan penjualan luar negeri,
misalnya, mungkin merupakan risiko yang unik untuk unit itu, tetapi risiko tersebut harus
dinaikan hingga ke entitas keseluruhan.

Kami telah mengutip contoh risiko tingkat entitas yang mungkin diakibatkan oleh kegagalan
dalam standar manufaktur atau hak asasi manusia di anak perusahaan kecil di negara dunia
ketiga. Peristiwa risiko di sini dapat menyebabkan rasa malu bagi perusahaan secara
keseluruhan, tetapi mereka harusnya dikendalikan sampai ke unit perusahaan kecil itu.
Bhopal, India, yang sebelumnya dibahas, bencana ledakan tanaman menjatuhkan perusahaan
induk utama, Union Carbide, sebagaimana disebutkan.
Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko seringkali
dapat dimulai sebagai proses push-down di mana manajemen tingkat perusahaan akan secara
resmi menjabarkan masalah utama terkait risiko dan meminta manajemen yang bertanggung
jawab di setiap divisi utama untuk mensurvei tujuan risiko melalui unit operasi dalam divisi
itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi di semua tingkatan dan
kemudian dikelola di tingkat di mana mereka dapat menerima dukungan lokal yang paling
langsung.

PUTTING IT ALL TOGETHER: AUDITING RISK AND COSO ERM PROCESSES

Auditor internal menghadapi masalah manajemen risiko dan risiko di banyak bidang tinjauan
dan analisis audit, dan auditor internal yang efektif harus memahami proses manajemen
risiko. Seringkali, auditor internal akan melakukan tinjauan kontrol internal di beberapa area
dan akan diberi tahu bahwa area tersebut dipilih atau tidak dipilih karena “pertimbangan
risiko” satu set kata yang mudah digunakan. Auditor internal harus memiliki tingkat
pemahaman CBOK tentang proses manajemen risiko dasar untuk dapat mengajukan
pertanyaan yang tepat dan meninjau kecukupan proses manajemen risiko tersebut.

Dengan fokus pada kerangka ERM COSO serta praktik manajemen risiko umum yang baik,
audit internal dapat memberikan layanan kepada perusahaan mereka dengan merencanakan
dan melakukan tinjauan proses manajemen risiko tingkat perusahaan. Baik bertindak sebagai
peninjau audit internal dari kontrol atau konsultan untuk manajemen, auditor internal harus
mendapatkan pemahaman yang baik tentang kerangka kerja ERM COSO. Selain itu, setiap
tinjauan audit internal atas proses ERM perusahaan harus direncanakan melalui pendekatan
perencanaan proyek audit internal berbasis risiko sebagaimana dibahas dalam Bab 16,
menggunakan beberapa alat berikut:

• Process Flowchart. Sebagai bagian dari proses ERM yang diidentifikasi, bagan alur
proses dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi
di suatu perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan untuk
proses yang berhubungan dengan risiko, menentukan apakah mereka benar mengingat
kondisi saat ini, dan menggambarkan kecukupan keseluruhan dari semua tingkat
proses risiko perusahaan. Pemodelan proses audit internal dan diagram alur proses
dibahas pada Bab 17.
• Review Risk and controls materials. Proses ERM sering menghasilkan volume
besar bahan panduan, prosedur terdokumentasi, format laporan, dan sejenisnya.
Mungkin ada nilai untuk audit internal untuk meninjau risiko dan bahan kontrol dari
perspektif efektivitas.

• Benchmarking. Meskipun istilah yang sering disalahgunakan, pembandingan di sini

adalah proses melihat fungsi di lingkungan lain untuk menilai operasi mereka dan
untuk mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik dari
orang lain. Walaupun mengumpulkan informasi komparatif seringkali merupakan
tugas yang sulit karena keengganan perusahaan yang bersaing untuk membagikannya,
kepatuhan terhadap moto “Kemajuan Melalui Berbagi” IIA dan tradisi harus
mempromosikan praktik ini.

• Kuisioner. Metode yang baik untuk mengumpulkan informasi tentang keefektifan

ERM dari berbagai orang, kuesioner dapat dikirim ke pemangku kepentingan yang
ditunjuk dengan permintaan informasi spesifik. Ini sering merupakan teknik audit
internal yang berharga.

Audit internal harus mempertimbangkan untuk meluncurkan tinjauan tingkat tinggi

tentang efektivitas proses ERM COSO perusahaannya, mengumpulkan data implementasi
terperinci, dan kemudian menilai efektivitas ERM COSO keseluruhan di perusahaan dan
sebagai alat untuk mendukung dan meningkatkan kontrol internal SOx dan COSO
pemenuhan. Tampilan 7.10 memberikan panduan untuk mengaudit dan menilai status
proses ERM COSO. Setiap area di mana proses di sini tampak lemah harus menjadi
sinyal peringatan bagi manajemen senior.