Kelompok 10 (KELAS L)

1. Anastasya Elok Candra Kirana 041811333056

2. Dewi Aistrias Laras Santang 041811333065
3. Kartika Jelita Putri 041811333072
4. Nur Fitri Melati 041811333089
5. Nurul Fauziyah Amin Masfadil 041811333142

Resume Internal Audit Ch 5

SARBANES – OXLEY (SOx) and BEYOND

5.1 ELEMEN UTAMA SARBANES ‐ OXLEY ACT (SOx)

Judul 1 : Dewan Pengawas Akuntansi Perusahaan Publik

Undang-undang SOx berisi aturan baru untuk auditor eksternal. Sebelum SOx, American
Institute of Certified Public Accountants (AICPA) memiliki tanggung jawab pengaturan-
panduan untuk semua auditor eksternal dan perusahaan akuntan publik mereka melalui
administrasi tes Certified Public Accountant (CPA) dan pembatasan keanggotaan AICPA untuk
CPA. Standar audit eksternal kemudian ditetapkan oleh Dewan Standar Audit (ASB) AICPA.
Meski standar dasar — disebut Generally Accepted Auditing Standards (GAAS) - telah ada
selama bertahun-tahun, standar yang lebih baru kemudian dirilis oleh AICPA dan disebut
Pernyataan Standar Audit (SAS). PCAOB tidak menggantikan AICPA tetapi bertanggung jawab
atas praktik audit eksternal yang sebelumnya dikelola oleh anggota AICPA.

SOx Judul I mendefinisikan praktik audit PCAOB untuk auditor eksternal, proses audit
lainnya dan aturan tata kelola perusahaan telah mengubah cara auditor internal
mengoordinasikan pekerjaan mereka dengan auditor eksternal.

 Administrasi PCAOB dan Pendaftaran Kantor Akuntan Publik

Adminitrasi PCAOB Dikelola melalui dewan yang terdiri dari lima anggota yang
ditunjuk oleh SEC, dengan 3 anggota diharuskan untuk menjadi publik (anggota non-CPA).
SOx mensyaratkan bahwa PCAOB tidak didominasi oleh CPA dan ketua harus belum
menjadi CPA yang dipraktikkan setidaknya selama lima tahun terakhir.

PCAOB bertanggung jawab untuk mengawasi dan mengatur semua kantor akuntan
publik yang berpraktik di hadapan SEC, termasuk:

1. Mendaftarkan kantor akuntan publik yang melakukan audit perusahaan.

2. Menetapkan standar audit.
3. Melakukan inspeksi terhadap kantor akuntan publik terdaftar.
4. Melakukan investigasi dan prosedur disiplin.
5. Melakukan fungsi standar dan kualitas lainnya seperti yang ditentukan dewan.
6. Menegakkan kepatuhan SOx.
 Standar Audit, Kontrol Kualitas, dan Independensi
Judul I, Bagian 103 memberi PCAOB wewenang untuk menetapkan audit dan standar
pengesahan terkait, standar kontrol kualitas, dan standar etika untuk firma akuntansi publik
terdaftar.
Standar PCAOB mencakup beberapa bidang berikut:
 1. Retensi kertas kerja audit. Standar PCAOB AS3, Dokumentasi Audit, mengamanatkan
bahwa kertas kerja audit dan bahan pendukung lainnya harus dipertahankan untuk
jangka waktu tidak kurang dari tujuh tahun.
2. Menyetujui persetujuan mitra.
3. Lingkup pengujian kontrol internal.
4. Evaluasi struktur dan prosedur pengendalian internal.
5. Audit standar kontrol kualitas. PCAOB belum mengeluarkan standar kualitas
spesifiknya sendiri. SOx mensyaratkan bahwa setiap kantor akuntan publik yang
terdaftar memiliki standar kualitas yang terkait dengan:
■■ Pemantauan etika profesional dan independensi
■■ Prosedur untuk menyelesaikan masalah akuntansi dan audit dalam perusahaan
■■ Pengawasan pekerjaan audit
■■ Mempekerjakan, pengembangan profesional, dan peningkatan personel
■■ Penerimaan dan kelanjutan perjanjian
■■ Inspeksi kualitas internal
■■ Standar kualitas lain yang harus ditentukan oleh PCAOB
 Inspeksi, Investigasi, dan Prosedur Disiplin
PCAOB melakukan inspeksi kantor akuntan untuk menilai kepatuhan terhadap aturan
SOx dan standar profesional. Tinjauan tersebut mengevaluasi sistem kontrol kualitas
perusahaan serta standar dokumentasi dan komunikasinya. Inspeksi ini didokumentasikan
dalam laporan formal kepada SEC dan dewan akuntan negara.
 Standar Akuntansi
Judul I menyimpulkan dengan menegaskan bahwa SEC memiliki wewenang atas
PCAOB, termasuk persetujuan final atas peraturan, kemampuan untuk memodifikasi
tindakan PCAOB, dan penghapusan anggota dewan.
Ada dan selalu ada perbedaan besar antara standar akuntansi dan audit. Yang pertama
mendefinisikan beberapa aturan akuntansi yang sangat tepat, seperti mengatakan jenis aset
tertentu dapat dihapuskan atau disusutkan tidak lebih dari X tahun. Standar audit jauh lebih
konseptual, menyoroti area yang harus dipertimbangkan oleh auditor ketika mengevaluasi
kontrol di beberapa daerah.

Judul II: Independensi Auditor

Auditor eksternal bertanggung jawab untuk menilai kewajaran laporan keuangan yang
diterbitkan perusahaan, sementara auditor internal melayani manajemen di berbagai bidang
lainnya. Pada awal 1990-an, pemisahan ini mulai berubah, dengan firma audit eksternal juga
bertanggung jawab atas beberapa fungsi audit internal.

 Keterbatasan Layanan Auditor Eksternal

Bagian SOx 201melarang kantor akuntan publik terdaftar dari pada saat yang sama
melakukan baik jasa audit maupun non-audit pada klien.
SOx melarang kantor akuntan publik dari menyediakan layanan lain, termasuk:
■■ Perancangan dan implementasi sistem informasi keuangan.
■■ Layanan pembukuan dan laporan keuangan
■■ Fungsi manajemen dan sumber daya manusia.
■■ Layanan terlarang lainnya.
 Preapproval Layanan Komite Audit

SOx menetapkan aturan pengecualian minimum untuk persyaratan izin komite audit,
menyatakan bahwa mereka tidak diharuskan untuk layanan yang tidak dapat diakses jika :
■■ Nilai dolar agregat dari layanan tidak melebihi 5% dari total biaya audit eksternal yang
dibayarkan oleh perusahaan selama tahun fiskal.
■■ Layanan tidak diakui sebagai layanan nonaudit oleh perusahaan pada saat perikatan audit
keseluruhan dimulai.
■■ Layanan tersebut menjadi perhatian komite audit dan disetujui oleh mereka sebelum
penyelesaian audit.
 Rotasi Mitra Audit Eksternal
Rotasi mitra audit terkadang membawa tantangan kepada auditor internal yang mungkin
telah bekerja dengan nyaman dengan mitra audit yang ditunjuk untuk waktu yang lama dan
perlu terbiasa bekerja dengan tim audit eksternal baru dari waktu ke waktu.
 Laporan Auditor Eksternal kepada Komite Audit
Auditor eksternal sekarang diminta untuk melaporkan secara tepat waktu semua
kebijakan dan praktik akuntansi yang digunakan.
 Konflik Kepentingan dan Rotasi Wajib Perusahaan Audit Eksternal
SOx Judul II, Bagian 206 melarang auditor eksternal menyediakan layanan audit apa
pun kepada perusahaan tempat CEO, CFO, atau kepala akuntan berpartisipasi sebagai
anggota perusahaan audit eksternal tersebut pada audit yang sama dalam satu tahun terakhir.
Judul III: Tanggung Jawab Perusahaan
Judul III menjelaskan perubahan peraturan baru yang besar untuk komite audit. Ini
adalah area di mana auditor internal harus memiliki tingkat minat dan peran yang lebih besar.
 Peraturan Tata Kelola Komite Audit
 Semua perusahaan yang terdaftar harus memiliki komite audit yang hanya terdiri dari
direktur independen. Firma audit eksternal melapor langsung kepada komite audit tersebut,
yang bertanggung jawab atas kompensasi mereka, pengawasan pekerjaan audit, dan
penyelesaian perselisihan audit.
 Bagian 302: Tanggung Jawab Perusahaan untuk Laporan Keuangan
Sebelum SOx, perusahaan mengajukan laporan keuangan mereka kepada SEC dan
investor, tetapi pejabat perusahaan yang bertanggung jawab yang "menandatangani" laporan-
laporan itu dapat berargumen bahwa mereka tidak benar-benar secara pribadi bertanggung
jawab atas mereka jika terjadi kesalahan. Namun, SOx telah menaikkan bilah ini. CEO,
CFO, atau orang lain yang melakukan fungsi serupa sekarang harus secara pribadi
menyatakan setiap laporan tahunan dan triwulanan yang diajukan. Petugas penandatangan
harus menyatakan bahwa:
■■ Petugas penandatangan telah meninjau laporan.
■■ Berdasarkan pengetahuan petugas penandatangan itu, laporan keuangan tidak
mengandung informasi yang tidak benar atau menyesatkan.
■■ Sekali lagi berdasarkan pada pengetahuan petugas penandatangan, laporan keuangan
secara adil menggambarkan kondisi keuangan dan hasil operasi perusahaan.
 Pengaruh yang Tidak Pantas terhadap Pelaksanaan Audit
SOx melarang semua pejabat, direktur, atau bawahan terkait untuk mengambil tindakan
apa pun, yang bertentangan dengan aturan SEC, untuk “secara curang memengaruhi,
memaksa, memanipulasi, atau menyesatkan” setiap auditor CPA eksternal yang terlibat
dalam audit untuk tujuan rendering laporan keuangan secara material menyesatkan.
 Penyitaan, Bar, dan Hukuman
Judul 3 diakhiri dengan serangkaian aturan terperinci dan hukuman yang mencakup tata
kelola perusahaan.
■ Hilangnya bonus yang tidak patut.
■ Bar untuk layanan petugas atau direktur.
■ Periode pemadaman dana pensiun.
■ Tanggung jawab profesional pengacara.
■ Dana yang adil untuk investor.

Judul IV: Peningkatan Pengungkapan Keuangan

Judul IV SOx dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, untuk memperketat aturan konflik kepentingan bagi pejabat perusahaan dan direktur,
untuk mengamanatkan penilaian manajemen terhadap kontrol internal, untuk meminta kode
perilaku pejabat senior, dan hal-hal lainnya.
 Ketentuan dan Pengungkapan Konflik yang Meluas
Title IV mensyaratkan bahwa semua pengungkapan dalam SOx, harus diajukan secara
elektronik dan diposting "hampir real time" di situs web SEC. Audit internal harus berpotensi
mempertimbangkan untuk mengevaluasi sistem kontrol yang ada untuk menangani
pelaporan online SEC tersebut.
 Bagian 404: Penilaian Manajemen tentang Kontrol Internal
Audit internal, konsultan luar, atau bahkan tim manajemen — tetapi bukan auditor
eksternal — memiliki tanggung jawab untuk meninjau dan menilai efektivitas kontrol
internal mereka, dan auditor eksternal kemudian untuk membuktikan kecukupan tinjauan
kontrol internal ini dibangun dan dikendalikan oleh manajemen.
 Kode Etik Petugas Keuangan
SOx mensyaratkan bahwa kode etik atau perilaku pejabat senior perusahaan harus secara
wajar mempromosikan:
■ Perilaku yang jujur dan etis, termasuk penanganan konflik kepentingan aktual atau nyata
antara hubungan pribadi dan profesional
■ Pengungkapan penuh, adil, akurat, tepat waktu, dan dapat dipahami dalam laporan
keuangan perusahaan
■ Kepatuhan terhadap peraturan dan ketentuan pemerintah yang berlaku
 Judul IV Lain Pengungkapan Yang Diperlukan
Semua entitas terdaftar SEC diharuskan untuk mengajukan Formulir 10 ‐ K tahunan serta
laporan keuangan SEC lainnya.
Judul V: Analis Konflik Kepentingan
Judul V dirancang untuk memperbaiki beberapa penyalahgunaan analis sekuritas.
Judul VI sampai X: Akuntabilitas Penipuan dan Kejahatan Kerah Putih
Judul-judul SOx ini mencakup serangkaian masalah mulai dari pendanaan alokasi SEC ke
rencana untuk studi di masa depan, dan mereka memasukkan aturan baru untuk memperketat apa
yang sebelumnya dianggap sebagai celah peraturan. Sekarang Judul VIII SOx telah menetapkan
aturan dan hukuman khusus untuk penghancuran catatan audit perusahaan.
Bagian 906 dari SOx Judul IX berisi persyaratan bahwa CEO dan CFO harus
menandatangani pernyataan tambahan dengan laporan keuangan tahunan mereka yang
menyatakan bahwa informasi yang terkandung dalam laporan tersebut “secara adil mewakili,
dalam semua hal yang material, kondisi keuangan dan hasil operasi".
 Judul X kemudian adalah komentar "sense of the Senate" bahwa pengembalian pajak
penghasilan perusahaan harus ditandatangani oleh CEO.
Judul XI: Akuntabilitas Penipuan Perusahaan
Judul SOx terakhir mencakup tanggung jawab perusahaan untuk pelaporan keuangan yang
curang.
5.2 KINERJA BAGIAN 404 TINJAUAN DI BAWAH AS5
Bagian 404 mengamanatkan bahwa suatu perusahaan bertanggung jawab untuk meninjau,
mendokumentasikan, dan menguji kontrol akunting internalnya sendiri, dengan hasil yang
kemudian diteruskan ke auditor eksternal untuk meninjau dan membuktikan pekerjaan itu sebagai
bagian dari tinjauan mereka terhadap laporan keuangan yang dilaporkan.
Pada tahun 2007, peraturan audit Bagian 404 ini berubah dengan dikeluarkannya AS5,
pendekatan audit yang lebih berbasis risiko yang juga memungkinkan auditor eksternal untuk
lebih baik menggunakan pekerjaan auditor internal dalam penilaian mereka.

 Bagian 404 Penilaian Kontrol Internal Hari Ini

Dengan SOx Section 404, manajemen sekarang bertanggung jawab untuk
mendokumentasikan dan menguji kontrol keuangan internal serta melaporkan efektivitasnya.
Auditor eksternal kemudian meninjau materi pendukung yang mengarah ke laporan kontrol
keuangan internal tersebut untuk menyatakan bahwa laporan tersebut adalah deskripsi akurat
dari lingkungan pengendalian internal.
 Meluncurkan Bagian 404 Tinjauan Kepatuhan: Mengidentifikasi Proses Kunci
1. Siklus pendapatan
2. Siklus pengeluaran langsung
3. Siklus pengeluaran tidak langsung
4. Siklus penggajian
5. Siklus inventaris
6. Siklus aset tetap
7. Siklus umum IT
 Meluncurkan SOx Bagian 404 Tinjauan Kepatuhan: Peran Audit Internal
Peran audit internal dalam Bagian 404 sebagai berikut:
1. Auditor internal dapat bertindak sebagai konsultan internal untuk perusahaan mereka
dengan mengidentifikasi proses utama, mendokumentasikan kontrol internal mereka, dan
melakukan tes yang sesuai dari kontrol tersebut.
 2. Auditor internal dapat meninjau dan menguji proses kontrol internal yang serupa dengan
tinjauan audit internal normal tetapi bertindak sebagai asisten atau kontraktor untuk auditor
eksternal mereka.
3. Audit internal dapat bekerja dengan dan membantu sumber daya perusahaan lainnya - baik
internal maupun eksternal - yang melakukan tinjauan Pasal 404 tetapi tidak terlibat
langsung dengan ulasan tersebut.
 Meluncurkan Bagian 404 Tinjauan Kepatuhan: Mengatur Proyek
- Langkah 1: Atur Proyek Kepatuhan Bagian 404.
- Langkah 2: Kembangkan Rencana Proyek Bagian 404 Kepatuhan
- Langkah 3: Pilih Proses Utama untuk Ditinjau.
- Langkah 4: Alur Transaksi Proses yang Dipilih
- Langkah 5: Menilai Risiko Proses Terpilih.
- Langkah 6: Menilai Efektivitas Kontrol melalui Prosedur Tes yang Tepat.
- Langkah 7: Tinjau Hasil Kepatuhan dengan Pemangku Kepentingan Kunci.
- Langkah 8: Selesaikan Laporan tentang Efektivitas Struktur Kontrol Internal.

5.3 ATURAN AS5 DAN AUDIT INTERNAL

Tak lama setelah SOx menjadi undang-undang di Amerika Serikat, PCAOB merilis
Auditing Standard No. 2 (AS2), Standar Audit No. 5 (AS5) dikeluarkan pada akhir Mei 2007.
AS5 memperkenalkan aturan berbasis risiko dengan penekanan pada efektivitas kontrol tingkat
perusahaan yang lebih berorientasi pada fakta dan keadaan perusahaan.

AS5 memiliki empat tujuan luas:

1. Fokus audit kontrol internal pada hal-hal yang paling penting.

2. Hilangkan prosedur audit yang tidak perlu untuk mencapai manfaat yang diharapkan.
3. Jadikan audit dapat diskalakan agar sesuai dengan ukuran dan kompleksitas perusahaan
mana pun
4. Sederhanakan teks standar.

5.4 DAMPAK SARBANES ‐ OXLEY ACT

SOx adalah hukum yang penting dan setiap auditor internal harus memiliki pemahaman
umum tentang kontennya sebagai persyaratan CBOK. Dalam Bagian 404, suatu perusahaan
bertanggung jawab untuk meninjau, mendokumentasikan, dan menguji kontrol akunting
internalnya sendiri yang kemudian diteruskan ke auditor eksternal untuk ditinjau dan
membuktikan pekerjaan itu sebagai bagian dari mereka.
 Chapter 6

COBIT and Other ISACA Guidance

6.1 INTRODUCTION TO COBIT

COBIT (awalnya ditulis sebagai CobiT) adalah akronim yang semakin dikenal oleh
banyak auditor internal dan eksternal dan professional TI. COBIT adalah kerangka
pengendalian internal yang penting yang dapat berdiri sendiri, namun juga penting alat
pendukung untuk mendokumentasikan dan memahami konotivitas internal COSO dan SOx.
Pengetahuan umum tentang COBIT harus menjadi sebuah persyaratan internal auditor CBOK.
COBIT memiiliki lima bidang utama seputar konsep inti yang penting bagi tata kelola TI :
1. Strategic alignment (Penyelarasan strategis): usaha yang harus dilakukan untuk
menyelaraskan operasi dan aktivitas TI dengan semua operasi perusahaan
2. Value delivery (Nilai pengiriman): proses yang harus ada untuk menjamin IT dan
operasi unit lainnya memberikan manfaat yang dijanjikan dalam siklus pengiriman dan
dengan strategi yang mengoptimalkan biaya sambil menekankan biaya intristik dari IT
dan aktivitas yang berhubungan.
3. Risk management (Manajemen risiko): semua manajer di semua tingkatan harus
memiliki pemahaman yang jelas tentang penilaian resiko perusahaan, persyaratan
kepatuhan, dan dampak signifikan risiko.
4. Resource management (Manajemen sumber daya): dengan penekanan dalam IT.
Seharusnya ada investasi yang optimal, dan pengelolaan yang tepat, sumber data IT
kritis, pengaplikasian, informasi, infrastruktur, dan individu.
5. Performance measurement (Pengukuran kinerja): proses yang harus ada untuk
melacak dan mengawasi implementasi strategi, penyelesain proyek, penggunaan sumber
daya, proses performan, dan pengantaran jasa.
6.2 COBIT FRAMEWORK

Proses TI dan aplikasi perangkat lunak pendukung serta perangkat kerasnya merupakan
komponen utama dalam perusahaan apa pun saat ini. Proses bisnis dan sumber daya TI
pendukungnya bekerja dalam hubungan berbagi informasi yang erat. TI tidak dapat dan tentu
saja tidak boleh memberi tahu operasi bisnis apa jenis proses dan sistem TI yang harus mereka
pertimbangkan untuk diimplementasikan, tetapi TI memberikan informasi untuk membantu
memengaruhi keputusan bisnis. TI memiliki tanggung jawab atas serangkaian area proses terkait
lainnya yang diaudit oleh atau melalui pedoman audit yang ditetapkan, diukur dengan
serangkaian ukuran dan aktivitas indikator kinerja, dan dibuat efektif melalui serangkaian tujuan
aktivitas. Semua ini menjadi bagian dari COBIT, kerangka kerja kontrol termasuk proses TI dan
bisnis.

Informasi dan proses TI pendukung seringkali merupakan aset paling berharga dari
hampir semua perusahaan saat ini, dan manajemen memiliki tanggung jawab utama untuk
menjaga aset TI pendukungnya, termasuk sistem otomatis. Kombinasi manajemen, pengguna
TI, dan auditor internal semuanya perlu memahami proses terkait informasi ini dan kontrol yang
mendukungnya. Kombinasi ini mementingkan efektivitas dan efisiensi sumber daya TI mereka,
proses TI-nya, dan persyaratan bisnis secara keseluruhan, seperti yang ditunjukkan dalam
Tampilan 6.1 yang menggambarkan lima prinsip dasar COBIT, dengan persyaratan bisnis yang
mendorong permintaan akan sumber daya TI dan sumber daya yang memulai proses dan
perusahaan TI informasi secara terus menerus melingkar.

6.3 PRINCIPLE 1 : MEETING STAKEHOLDER NEEDS

Prinsip pertama COBIT sangat jelas. Menyatakan bahwa sebuah perusahaan dan
manager kuncinya harus mengenali bahwa perusahaan mereka tercipta ada untuk menciptakan
nilai untuk pemegang saham mereka, entah itu investor, pelanggan, pegawai, pengguna, atau
lainnya. Karena itu, semua perusahaan, komersil atau tidak, harus menyetujui konsep
pembuatan nilai sebagai managemen utama dan objektif pemerintahan.

6.4 PRINCIPLE 2 : COVERING THE ENTERPRISE END TO END

COBIT menyatakan bahwa ini membahas tata kelola dan manajemen informasi dan
teknologi terkait dari perspektif ujung ke ujung perusahaan. Tujuan penciptaan nilai COBIT dari
realisasi manfaat, risiko, dan optimalisasi sumber daya harus mendorong beberapa pemungkin
tata kelola. Enabler ini harus perusahaan-lebar dan ujung ke ujung. Artinya, mereka harus
mencakup segalanya dan semua orang, internal dan eksternal, yang relevan dengan tata kelola
dan manajemen informasi perusahaan dan TI terkait, termasuk kegiatan dan tanggung jawab
baik fungsi TI maupun fungsi bisnis non-TI. Penguat tata kelola adalah sumber daya organisasi
untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik, melalui atau ke
arah mana tindakan diarahkan dan tujuan dapat dicapai. Enablers juga menyertakan sumber
daya perusahaan.

6.5 PRINCIPLE 3: A SINGLE INTEGRATED FRAMEWORD

COBIT menyediakan arsitektur sederhana untuk menyusun bahan panduan dan
menghasilkan rangkaian produk yang konsisten. Ini memiliki tujuan untuk mengintegrasikan
pengetahuan yang sebelumnya tersebar di berbagai kerangka kerja seperti COSO. Namun,
COBIT adalah alat alternatif yang harus dipertimbangkan oleh auditor internal sebagai kerangka
kerja peninjauan kontrol internal alternatif, terutama mengingat penekanan COBIT pada sistem
dan proses TI. Kerangka kerja COBIT memberikan panduan tentang tata kelola dan manajemen
TI perusahaan dengan menyelaraskan dengan standar dan kerangka kerja lain yang relevan,
seperti standar ITIL® dan ISO.

6.6 PRINCIPLE 4: ENABLING A HOLISTIC APPROACH

 Enablers adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi apakah
sesuatu akan berhasil — dalam hal ini, tata kelola dan manajemen atas IT perusahaan. Kelas-
kelas atau tipe-tipe enabler ini:
 Prinsip, kebijakan, dan kerangka kerja adalah kendaraan yang memungkinkan untuk
menerjemahkan perilaku yang diinginkan ke dalam panduan praktis untuk manajemen
sehari-hari.
 Pemberdayaan struktur organisasi adalah entitas pengambil keputusan utama dalam
suatu perusahaan.
 Budaya, etika, dan perilaku individu dan perusahaan sering kali dianggap remeh
sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.
 Pemberi informasi tersebar di seluruh organisasi dan termasuk semua informasi yang
diproduksi dan digunakan oleh perusahaan. Informasi diperlukan untuk menjaga agar
organisasi tetap berjalan dan diatur dengan baik, tetapi pada tingkat operasional,
informasi seringkali merupakan produk utama dari perusahaan itu sendiri.
 Layanan, infrastruktur, dan pemungkin aplikasi mencakup infrastruktur, teknologi,
dan aplikasi yang menyediakan bagi perusahaan pemrosesan dan layanan teknologi
informasi.
 Keterampilan dan kompetensi profesional pribadi diperlukan untuk berhasil
menyelesaikan semua kegiatan dan untuk membuat keputusan yang benar dan
mengambil tindakan korektif.

Ada empat dimensi umum untuk enabler:

(1) pemangku kepentingan internal (the internal stakeholders)

(2) tujuan pemangku kepentingan eksternal (external stakeholder goals)

(3) siklus hidup pemangku kepentingan pemangku kepentingan (the stakeholder enabler
life cycle)

(4) hanya praktik yang baik (just good practices). Stakeholder dapat bersifat internal atau
eksternal bagi perusahaan, semuanya memiliki kepentingan dan kebutuhan mereka
sendiri yang terkadang saling bertentangan. Kebutuhan para pemangku kepentingan
diterjemahkan ke tujuan perusahaan, yang pada gilirannya menerjemahkan tujuan
yang terkait dengan TI untuk perusahaan.

6.7 PRINCIPLE 5: SEPARATING GOVERNANCE FROM MANAGEMENT

 Sistem tata kelola mengacu pada semua cara dan mekanisme yang memungkinkan
banyak pemangku kepentingan dalam suatu perusahaan untuk memiliki suara yang terorganisir
dalam mengevaluasi kondisi dan opsi; pengaturan arah; dan memantau kepatuhan, kinerja, dan
kemajuan terhadap rencana, untuk memenuhi tujuan perusahaan yang spesifik. Ini semua
mengacu pada serangkaian kegiatan kemudi. Sering dibedakan dari tata kelola, manajemen
memerlukan penggunaan sumber daya, orang, proses, praktik, dan sebagainya secara bijaksana
untuk mencapai tujuan yang diidentifikasi.
Tata kelola adalah tanggung jawab dewan direksi di bawah kepemimpinan CEO dan
ketua. Manajemen bertanggung jawab atas pelaksanaan sesuai arahan yang ditetapkan oleh
badan atau unit pemandu. Dari definisi tata kelola dan manajemen, jelas bahwa mereka terdiri
dari berbagai jenis kegiatan, dengan tanggung jawab yang berbeda; Namun, diberikan peran tata
kelola — untuk mengevaluasi, mengarahkan, dan memantau serangkaian interaksi diperlukan
antara tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efisien dan
efektif.

6.8 USING COBIT TO ASSESS INTERNAL CONTROLS

COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan

proses TI ke dalam apa yang COBIT sebut sebagai beberapa area domain:
 Mengevaluasi, Mengarahkan, dan Memantau (EDM)
 Menyelaraskan, Merencanakan, dan Mengatur (APO)
 Build, Acquire, and Implement (BAI)
 Memberikan, Layanan, dan Dukungan (DSS)
 Monitor, Evaluate, dan Menilai (MEA)

Tujuan dari proses kontrol adalah untuk membantu membuat kasus bisnis untuk
implementasi dan peningkatan tata kelola dan manajemen TI. Tujuan mereka adalah untuk
mengenali titik nyeri yang khas dan memicu kejadian, dengan tujuan keseluruhan menciptakan
lingkungan yang tepat untuk operasi dan implementasi TI.

COBIT menetapkan satu set 17 tujuan terkait TI yang dapat dipetakan ke masing-masing
proses ini, dengan sasaran dibagi menjadi beberapa kategori berlabel Korporat, Pelanggan,
Internal, dan satu yang disebut Pembelajaran dan Pertumbuhan. Sasaran terkait COBIT IT ini
kemudian dipetakan ke faktor-faktor untuk dua proses COBIT, EDM (Evaluate, Direct, and
Monitor) dan DSS (Deliver, Service, and Support). Pemetaan tentang bagaimana setiap tujuan
terkait IT didukung oleh proses terkait COBIT diilustrasikan dalam Tampilan 6.7 dan
diungkapkan menggunakan skala di mana:

■ P berarti koneksi utama antara tujuan terkait TI dan proses terkait COBIT terkait, ketika
ada hubungan penting di mana proses COBIT yang ditunjuk adalah dukungan utama
untuk pencapaian tujuan terkait TI.

■ S adalah singkatan dari secondary, ketika ada hubungan yang kurang penting dan proses
COBIT adalah dukungan sekunder untuk tujuan yang berhubungan dengan IT.

■ Ruang kosong di pameran mengatakan tidak ada hubungan yang kuat di sini.

Pedoman COBIT menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan
yang berbeda, masing-masing dengan tanggung jawab yang berbeda. Namun, mengingat peran
pengarah tata kelola — untuk mengevaluasi, mengarahkan, dan memantau — serangkaian
interaksi diperlukan antara tata kelola dan manajemen untuk menciptakan sistem tata kelola
yang efisien dan efektif. Interaksi ini, menggunakan struktur enabler, kemudian diikat ke proses
review kontrol internal tertentu, kekuatan nyata dari kerangka kerja COBIT.
 6.9

MAPPING COBIT TO COSO INTERNAL CONTROLS

 Kerangka kerja pengendalian internal COSO menyatakan bahwa pengendalian internal
adalah suatu proses — ditetapkan oleh dewan direksi, manajemen senior, dan personel lain
suatu entitas — yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian
tujuan yang dinyatakan.

Tujuan pengendalian COSO mencakup keefektifan, efisiensi operasi, pelaporan

keuangan yang andal, dan kepatuhan terhadap hukum dan peraturan. Peran utamanya adalah
untuk kontrol internal fidusia dan keuangan. Di sisi lain, walaupun ISACA dan ITGI mengakui
dan membuat referensi eksplisit ke peran kontrol keuangan internal COSO, mereka memperluas
peran COBIT untuk mencakup persyaratan kualitas dan keamanan dalam tumpang tindih.
kategori efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan, dan keandalan
informasi. Kategori-kategori ini membentuk dasar dari tujuan kontrol COBIT dalam lima area
domainnya.

COSO dan COBIT melayani audiens yang berbeda. Sementara target audiens COSO
bersifat umum dan diarahkan ke manajemen senior, COBIT lebih ditujukan untuk manajemen
TI, pengguna TI, dan auditor internal dan eksternal TI. Baik COSO dan COBIT melihat internal
kontrol sebagai proses entitas yang luas, tetapi COBIT secara khusus berfokus pada kontrol TI.
Perbedaan ini pada hakekatnya mendefinisikan dan menentukan sebagian besar cakupan dari
setiap kerangka kerja kontrol.

Karena perbedaan-perbedaan ini, manajemen senior tidak perlu mengharapkan hubungan satu-
ke-satu langsung antara 5 komponen kontrol COSO, 17 prinsip COSO, dan 5 domain tujuan
COBIT. Meskipun penggunaan COBIT sering terkonsentrasi dalam fungsi TI di banyak
perusahaan dan kontrol internal COSO lebih menjadi perhatian manajemen senior, kedua fungsi
perusahaan harus menyadari dan mengakui pentingnya setiap kerangka kerja untuk menilai dan
menerapkan kontrol internal yang efektif.
 CHAPTER 7

COSO ERM : Enterprise Risk Management

Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah
itu memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.

Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan
suatu mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.

Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk
mengerti betapa resiko itu penting untuk ditangani dengan baik.

7.1. RISK MANAGEMENT FUNDAMENTAL

Dalam upaya pencapaian nilai, setiap organisasi sama-sama menghadapi
ketidakpastian. Ketidakpastian ini mengandung risiko yang sangat potensial untuk
menghilangkan kesempatan pencapaian tujuan perusahaan.

Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan tiga langkah:

1. IDENTIFIKASI RISIKO
Proses identifikasi risiko perlu dipelajari, pendekatan yang disengaja
untuk melihat potensi risiko di setiap daerah operasi dan kemudian
mengidentifikasi lebih daerah risiko signifikan yang dapat mempengaruhi setiap
operasi dalam jangka waktu yang wajar.

Cara yang baik untuk memulai proses identifikasi risiko adalah dengan
memulai dari manajemen tingkat atas korporasi maupun unit operasi. Masing-
masing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat
terdiri dari beberapa dan berbagai jenis operasi.
 Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar
untuk menentukan risiko spesifik yang dihadapi berbagai unit perusahaan,
seperti dalam contoh risiko kelangsungan bisnis di bawah ini.

Jenis Risiko Perusahaan

2. PENILAIAN RISIKO KUNCI

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah
berikutnya adalah menilai kemungkinan relatif yang signifikan. Berbagai
pendekatan yang dapat digunakan di sini, mulai dari analisis pendekatan
kualitatif hingga analisis pendekatan kuantitatif. Hal ini dapat membantu
memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap
peristiwa yang paling menghawatirkan manajemen. Manajer bertanggungjawab
terhadap penilaian resiko dengan menggunakan pendekatan kuesioner:
1) Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke
depan?
 Menggunakan skor dari 1 sampai 9, jika :
 Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi
selama periode berjalan.
 Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
 Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan
kemungkinan risiko.
2) Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara
keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus
ditetapkan tergantung pada keuangan risiko yang signifikan. Sebuah
risiko yang dapat menurunkan biaya laba bersih per saham harus
memenuhi syarat untuk nilai maksimal 9. Kuisioner ini harus diedarkan
ke orang-orang yang ada dalam manajemen tersebut untuk menilai
masing-masing risiko yang teridentifikasi.

Probabilitas dan Ketidakpastian

Ketika beberapa risiko telah teridentifikasi, manajemen harus
mengestimasi kemungkinan terjadinya risiko tersebut secara individu
yang berskala mulai dari 0,01 sampai 0,99. Kita menggunakan skala ini
karena jika memiliki skala 0 atau 100% kemungkinan untuk terjadi, itu
bukanlah risiko. Sedangkan ketika kondisi dimana ada 2 risiko yang
teridentifikasi yang memiliki skala yang sama yaitu 0,6. Kemungkinan
kedua risiko tsb terjadi adalah:
Probability (Event 1) + Probability (Event 2) = Probability (Both
Events)

Interdependensi Risiko
Independensi risiko memang sangat penting dan harus
dipertimbangkan dan dievaluasi pada struktur organisasi, karena risiko
seringkali dapat menjadi sangat independen dalam suatu perusahaan.
Setiap unit operasi bertanggung jawab untuk mengelola risikonya sendiri
tetapi konsekuensi dari risiko tsb dapat mempengaruhi unit diatas dan
dibawahnya dalam struktur organisasi.

Risk Ranking
 Langkah berikutnya adalah estimasi signifikansi resiko, estimasi
probabilitas terjadinya resiko tersebut, meranking risiko tsb dan
mengidentifikasi risiko yang paling signifikan. Risiko dengan ranking
tertinggi disebut dengan driver risk atau risiko utama dari semua risiko
yang telah diidentifikasi. Maka, organisasi harus berfokus pada risiko
utama ini dan bagaimana cara mengelolanya.
3. ANALISIS RISIKO KUANTITATIF
A. Expected Value and Response Planning
Terdapat sedikit hasil dalam mengindentifikasi resiko yang
signifikan kecuali apabila perusahaan telah memiliki perencanaan awal
untuk tindakan yang diperlukan jika salah satu resiko terjadi. Ide
pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya
beberapa resiko yang teridentifikasi dan kemudian menerapkan biaya itu
untuk probabilitas factor resiko yang berasal dari nilai yang diharapkan
atau biaya dari resiko tersebut.

B. Risk Monitoring
Proses mengidentifikasi resiko sering dilakukan dalam jangka
awaktu satu tahun atau seperempat tahun. Setelah salah satu resiko
teridentifikasi, perusahaan harus mengawasi resiko tersebut dan
membuat penyesuaian berkala jika diperlukan. Pengawasan resiko dapat
dilakukan oleh pemilik perusahaan atau pihak independen.Auditor
internal merupakan sumber yang memiliki kredibilitas dan baik dalam
memantau status dari resiko yang teridentifikasi. Informasi dalam
melakukan pengawasan dapat didapatkan melalui survey ataupun review
tatap muka. Proses pengawasan yang akurat merupakan komponen
esensial dalam manajemen resiko.

7.2. COSO ERM : ENTERPRISE RISK MANAGEMENT

COSO ERM merupakan kerangka yang dapat membantu perusahaan dalam
mengidentifikasikan dan mendefinisikan resiko yang dimiliki. Selain itu, COSO ERM
juga berguna dalam memahami dan mengembangkan pengendalian internal. COSO
ERM mendefinisikan manajemen resiko perusahaan, sebagai berikut :
“Manajemen Resiko Perusahaan merupakan sebuah proses, yang dipengaruhi oleh
dewan direksi entitas, manajemen dan personel lainnya, diterapkan dalam pengaturan
strategi di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian
potensial yang dapat memengaruhi entitas, dan mengelola resiko menjadi resiko yang
dapat diterima, untuk memberikan keyakinan sehubungan dengan pencapaian tujuan
entitas.”

Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:

a. ERM Adalah Proses

Manajemen Resiko Perusahaan merupakan sebuah proses yang mengalir dalam
suatu perusahaan

b. Proses ERM Diimplementasikan Oleh Orang – Orang Di Perusahaan

Manajemen Resiko Perusahaan dapat berfungsi dengan baik hanya jika individu
dalam perusahaan menjalankannya, dengan memahami apa saja faktor yang
menyebabkan timbulnya risiko beserta dampak timbul dari risiko tersebut.

c. ERM Diterapkan Dalam Formulasi Strategi Perusahaan Secara

Keseluruhan
ERM yang efektif biasanya akan memberikan pengaruh besar dalam perumusan
strategi perusahan.

d. ERM Mempertimbangkan Konsep Risk Appetite

Risk appettite merupakan besar kecilnya risiko yang dihadapi, dimana
dikatekogerikan ke dalam tinggi (high), sedang (medium), dan rendah (low).
Risiko yang dihadapi dalam setiap level organisasi berbeda-beda, begantung dari
tanggung jawab tugas yang dimiliki. Dengan demikian, pendekatan ERM yang
diterapkan disesuaikan dengan risk appetite.

e. ERM Menyediakan Jaminan Yang Wajar Namun Tidak Positif Terhadap

Pencapaian Tujuan
Meskipun ERM telah efektif, namun tetap terdapat kemungkinan lain yang
dapat terjadi seperti human error, bencana alam, dan gangguan eksternal
perusahaan lainnya. Dengan demikian, ERM memberikan keyakinan yang
memadai bagi Manajemen dan Dewan Pengawas.

f. ERM Dirancang Untuk Mencapai Tujuan

 Manajemen harus dapat mengarahkan ERM untuk mewujudkan satu atau
beberapa kategori dari berbagai goals yang dimiliki perusahaan.

1. COSO ERM KEY ELEMENTS

Kerangka kerja COSO ERM, telah menjadi model di seluruh dunia untuk
menggambarkan, mendefinisikan kontrol internal, memahami aktivitas yang berkaitan
dengan risiko mereka di berbagai tingkatan sebagaimana dampak komponen risiko ini
mempengaruhi satu sama lain, dan telah menjadi dasar untuk membangun SOx bagian
kepatuhan 404. Adapun komponen-komponen COSO ERM Framework terdiri dari :

a. 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan

b. 8 baris horizontal mengenai komponen-komponen resiko
c. Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.

Penjelasan :

1. Komponen Lingkungan Internal

Tingkat komponen ini menentukan dasar model ERM perusahaanbagi seluruh
komponen lainnya, memengaruhi cara strategi dan tujuan harus ditetapkan,
bagaimana struktur aktivitas bisnis berkaitan risiko, dan bagaimana resiko
diidentifikasi dan disikapi.

2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu
manajemen menciptakan proses ERM yang efektif. Karena di elemen ini,
sekumpulan tujuan strategis yang ada, selaras dengan misi, termasuk aktivitas
operasional, pelaporan, dan kepatuhan. Dalam memahami resiko filosofi
manajemen dan selera resiko yang terdapat di komponen lingkungan internal
membutuhkan penentuan tujuan agar dapat menentukan tingkat resiko yang bisa
 diterima, dengan aturan resiko tertentu, dan sejauh mana ukuran deviasi bisa
ditoleransi.

3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya.
Sementara kecenderungan auditor internal adalah memikirkan kejadian dalam
arti negatif - menentukan apa salah - mereka juga bisa bersikap positif. Banyak
perusahaan saat ini memiliki alat pemantauan kinerja yang kuat di penganggaran
biaya, kualitas produksi, dll

4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya.
Peristiwa terkait risiko potensial mungkin secara keseluruhan mencapai
pencapaian tujuan perusahaan.

a. Risiko Inheren : Resiko berada di luar kontrol manajemen dan biasanya

berasal dari faktor eksternal
b. Resiko Residual : risiko yang tersisa setelah tanggapan manajemen
lainnya ancaman dan tindakan pencegahan telah diterapkan
5. Respon Risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, proses
respons risiko COSO ERM memerlukan tinjauan yang hati-hati terhadap
perkiraan kemungkinan risiko dan dampak potensial, dengan
mempertimbangkan biaya dan manfaat yang terkait, untuk mengembangkan
strategi respons risiko yang tepat.

6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan terhadap respons risiko yang teridentifikasi.
Komponen aktivitas pengendalian COSO ERM harus terkait erat dengan strategi
dan tindakan respons risiko yang telah dibahas sebelumnya

7. Informasi dan Komunikasi

Banyak perusahaan memiliki jaringan kompleks yang seringkali tidak begitu
baik terkait operasional dan sistem informasi keuangan untuk proses dasar
mereka. Keterkaitan ini menjadi lebih kompleks bagi banyak proses ERM
mengingat banyak hal mendasar di aplikasi perusahaan yang tidak secara
 langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses
respons tipe risiko.

Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang
komunikasi di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk
memastikan semua pemangku kepentingan menerima pesan terkait kepentingan
perusahaan dalam mengelola risikonya.

8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan
untuk menentukan bahwa semua komponen

7.4. DIMENSI LAIN DARI COSO ERM: TUJUAN RISIKO PERUSAHAAN

Meski banyak melihat COSO ERM dari sisi depan yang menghadapi kerangka
tiga dimensi, dua dimensi lainnya, tingkat operasional dan organisasi harus selalu
dipertimbangkan. Setiap komponen COSO ERM beroperasi di ruang tiga dimensi ini
dimana masing-masing harus dipertimbangkan berdasarkan kategori terkait lainnya.

Tujuan Manajemen Risiko Operasional

Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan.
tujuan risiko tingkat operasi meminta identifikasi risiko untuk masing-masing unit atau
komponen perusahaan. Pengidentifikasi tujuan risiko tingkat operasi ini seringkali
memerlukan pengumpulan informasi terperinci dan analisis, terutama untuk perusahaan
yang lebih besar yang mencakup beberapa wilayah geografis, lini produk, atau proses
bisnis. 

Manajer perorangan biasanya memiliki pemahaman terbaik tentang risiko

operasional mereka, dan informasi tersebut dapat hilang saat dikonsolidasikan untuk
pelaporan tingkat tinggi. Untuk mengumpulkan informasi yang lebih rinci mengenai
risiko operasi potensial, informasi seringkali dapat dikumpulkan melalui  audit internal
atau survei orang-orang yang terkena dampak langsung dari risiko ini..

Melaporkan Tujuan Manajemen Risiko

 Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan
internal dan eksternal atas data keuangan dan non finansial. Pelaporan yang akurat
sangat penting untuk kesuksesan sebuah perusahaan dalam banyak dimensi. Tidak
peduli industri apa, perusahaan menghadapi risiko utama dari pelaporan yang tidak
akurat di unit atau area manapun. Unit operasi harus memastikan bahwa hasil yang
dilaporkan adalah yang benar sebelum dilanjutkan ke tingkat berikutnya dalam
organisasi, dan angka gabungan harus akurat, apakah laporan keuangan, pengembalian
pajak, atau segudang bidang lainnya.

Meskipun pengendalian internal yang baik diperlukan untuk memastikan pelaporan

yang akurat, Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan
perusahaan harus selalu mempertimbangkan risiko yang terkait dengan pelaporan yang
tidak akurat. Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu
sampai ada kesalahan besar yang perlu diungkapkan. Risiko pelaporan yang tidak tepat
tersebut harus menjadi perhatian semua tingkat perusahaan.

Tujuan Resiko Kepatuhan Hukum dan Regulatory

COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan

untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan
internal, penetapan tujuan, atau pemantauan risiko, dan juga seluruh perusahaan. Ini
adalah elemen penting dari kerangka kerja manajemen risiko yang perlu
dikomunikasikan dan dipahami.

Semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan

peraturan, dengan beberapa hal mempengaruhi hampir semua perusahaan dan pihak lain
yang terkait dengan hanya satu unit bisnis di sektor industri khusus. Sifat dari risiko
kepatuhan tersebut perlu dikomunikasikan dan dipahami melalui semua tingkat
perusahaan. Ini adalah area di mana perusahaan dapat menerima tingkat risiko tertentu
dalam hal kekhawatirannya terkait kepatuhan hukum.

7.5. ENTITY LEVEL RISKS

Risiko COSO ERM wajib diidentifikasi dan dikelola dalam setiap unit organisasi
yang signifikan juga risiko secara keseluruhan entitas melalui unit bisnis individual.
manajemen harus menentukan tingkat risiko organisasi pada tingkat detail yang
mencakup semua risiko yang signifikan serta dapat dikelola.
 A. Risiko Meliputi Seluruh Organisasi
Beberapa risiko pada tingkat unit bisnis harus digulirkan ke risiko tingkat
entitas. Meskipun mudah bagi perusahaan untuk mempertimbangkan beberapa
risiko tingkat unit "tidak material" -menggunakan akuntansi publik pra-SOx-
pertimbangkan anak perusahaan yang relatif kecil di negara dunia ketiga yang
memproduksi pakaian santai. Seringkali, unit semacam itu akan begitu kecil
dalam hal kontribusi pendapatan korporat atau ukuran relatifnya sehingga dapat
tergelincir di bawah layar radar di tingkat perusahaan senior. Namun, jika ada
masalah pekerja anak di negara tuan rumah, perusahaan tersebut mungkin akan
segera menjadi perhatian utama mengenai operasi anak perusahaan kecil ini.

B. Resiko Tingkat Unit Bisnis

Resiko terjadi di semua tingkat perusahaan, apakah divisi produksi utama
dengan banyak tanaman dan ribuan karyawan atau posisi kepemilikan minoritas
di perusahaan penjualan luar negeri. Resiko harus dipertimbangkan di setiap unit
organisasi yang signifikan. Risiko tersebut diidentifikasi dalam posisi
kepemilikan minoritas di perusahaan penjualan luar negeri

7.6. PUTTING IT ALL TOGETHER: AUDITING RISKS AND COSO ERM

PROCESS
Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang
berlaku untuk semua industri dan mencakup semua jenis risiko. COSO ERM
menyediakan platform yang sangat baik untuk mempertimbangkan keseluruhan
lingkungan risiko perusahaan. Auditor internal menghadapi masalah risiko dan
manajemen risiko di banyak bidang tinjauan audit dan analisis, dan auditor internal
yang efektif harus memahami proses manajemen risiko. Selain itu, setiap tinjauan audit
internal terhadap proses ERM perusahaan harus direncanakan melalui pendekatan
perencanaan proyek audit internal dengan menggunakan beberapa alat berikut :

1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen
risiko beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang
disiapkan untuk proses yang berkaitan dengan risiko.

2. Tinjauan bahan risiko dan pengendalian

 Proses ERM sering menghasilkan hasil volume bahan panduan yang besar,
prosedur terdokumentasi, format laporan. Mungkin sering ada nilai audit
internal untuk meninjau risiko dan kontrol bahan dari perspektif efektivitas.

3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk
menilai operasi dan mengembangkan pendekatan yang lebih baik berdasarkan
praktik terbaik.

4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM
dari banyak orang. Kuesioner dapat dikirim ke pemangku kepentingan yang
ditunjuk permintaan informasi spesifik Ini sering merupakan teknik audit
internal yang berharga.