CHAPTER 28

INTERNAL AUDIT GRC APPROACHES AND OTHER COMPLIANCE

REQUIREMENTS

28.1 THE ROAD TO EFFECTIVE GRC PRINCIPLES

Auditor Internal bahkan tidak mendengar tentang GRC singkatan sampai awal abad ini. Huruf G
singkatan dari pemerintahan, keprihatinan yang mencakup seluruh perusahaan. Singkatnya, tata
laku berarti mengurus bisnis, memastikan semuanya dilakukan sesuai dengan standar
perusahaan, peraturan, dan keputusan Direksi, serta hukum dan peraturan pemerintah. Ini juga
berarti menetapkan ekspektasi pemangku kepentingan secara jelas tentang apa yang harus

m
dilakukan sehingga semua pemangku kepentingan berada pada halaman yang sama berkenaan

er as
co
dengan bagaimana perusahaan dijalankan. R adalah risiko. Seperti yang dibahas dalam Bab 7 di

eH w
COSO ERM, segala sesuatu yang kita lakukan dan semua aspek operasi bisnis melibatkan

o.
rs e
beberapa unsur risiko. Ketika datang ke seorang individu berlari melintasi jalan bebas hambatan
ou urc
atau seorang anak bermain dengan pertandingan, itu cukup jelas bahwa risiko tertentu hanya
harus tidak diambil. Namun, ketika menyangkut Bisnis, faktor risiko menjadi cara untuk
o

membantu melindungi nilai aset yang ada dan menciptakan nilai dengan memperluas perusahaan
aC s

secara strategis atau menambahkan produk dan layanan baru. Dan C adalah kepatuhan, dengan
vi y re

banyak hukum dan arahan yang mempengaruhi bisnis dan auditor internal saat ini. Terkadang
auditor internal juga dapat memperpanjang huruf tersebut untuk menyertakan kontrol, yang
ed d

berarti bahwa penting untuk menempatkan kontrol tertentu untuk memastikan kepatuhan terjadi.
ar stu

Sebagai contoh, hal ini mungkin berarti membangun kontrol akuntansi internal yang baik, dan
secara efektif menerapkan persyaratan legislatif seperti UU Sarbanes-Oxley (SOx) aturan singkat
is

dibahas dalam Bab 5.

Th

Tiga prinsip atau elemen GRC harus dipikirkan dari segi satu aliran konsep yang
berkesinambungan dan saling terhubung, dengan tidak ada unsur G, R, atau C yang lebih penting
sh

dari yang lain. Kami memulai diskusi kami di sini dengan aspek pemerintahan GRC. Tata kelola
perusahaan atau perusahaan adalah istilah yang mengacu secara luas pada aturan, proses, atau
hukum yang dengannya bisnis dioperasikan, diatur, dan dikendalikan. Istilah ini dapat mengacu
pada faktor internal yang didefi oleh pihak yang melakukan Offi, pemegang saham, atau

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
 Konstitusi suatu perusahaan, dan juga untuk kekuatan eksternal seperti kelompok konsumen,
klien, dan peraturan pemerintah.

m
er as
co
eH w
o.
rs e
Bergerak dari tingkat perusahaan senior dan ke dalam banyak bidang operasi perusahaan, tata
ou urc
kelola perusahaan adalah tanggung jawab dan praktek yang dilaksanakan oleh Dewan,
Manajemen eksekutif senior, dan semua tingkat manajemen fungsional di banyak daerah dengan
o

tujuan memberikan arah strategis, memastikan bahwa tujuan tercapai, menjamin bahwa risiko
aC s
vi y re

dikelola dengan tepat, dan memverifikasi bahwa sumber daya perusahaan yang digunakan secara
bertanggung jawab. Pemerintahan sebenarnya mengacu pada proses penetapan aturan dan
prosedur dalam semua tingkatan suatu perusahaan, mengkomunikasikan aturan tersebut kepada
ed d
ar stu

tingkat pemangku kepentingan yang sesuai, memantau kinerja terhadap aturan, dan memberikan
imbalan dan hukuman berdasarkan kinerja relatif atau kepatuhan terhadap aturan.
is

Seperangkat prinsip tata kelola perusahaan atau perusahaan yang telah ditetapkan dengan baik
Th

dan ditegakkan dengan baik memberikan struktur yang, paling tidak dalam teori, bekerja untuk
kepentingan semua orang yang berkepentingan dengan memastikan bahwa perusahaan mematuhi
standar etika dan praktik terbaik yang berlaku serta hukum, aturan, dan standar formal yang
sh

sesuai. Dalam beberapa tahun terakhir, tata kelola perusahaan telah menerima peningkatan
perhatian karena skandal profil tinggi yang melibatkan penyalahgunaan kekuatan perusahaan dan
dalam beberapa kasus yang diduga melakukan kegiatan kriminal oleh petugas perusahaan.
Bagian integral dari rezim tata kelola perusahaan yang efektif mencakup ketentuan untuk

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
 penuntutan perdata atau pidana terhadap individu yang melakukan tindakan yang tidak etis atau
ilegal atas nama perusahaan.

28.2 GRC RISK MANAGEMENT COMPONENTS

Ada empat langkah yang saling berhubungan dalam manajemen risiko perusahaan yang efektif
proses GRC ditampilkan dalam exhibit 28.3 adalah sebagai berikut:

1. Perencanaan penilaian risiko. Perusahaan menghadapi semua tingkat risiko, baik isu
global mulai dari krisis ekonomi atau mata uang nasional hingga faktor persaingan pasar
produk dan pada gangguan yang berkaitan dengan cuaca pada operasi lokal. Kami tidak
dapat merencanakan atau mengidentifikasi setiap jenis risiko yang mungkin berdampak

m
pada suatu perusahaan, tetapi harus ada analisis berkelanjutan dari berbagai potensi risiko

er as
co
ini.

eH w
2. Identifikasi dan analisis risiko. Daripada hanya merencanakan kemungkinan terjadinya

o.
rs e
beberapa peristiwa risiko, analisa yang lebih terperinci harus dilakukan pada
ou urc
kemungkinan risiko ini membuahkan hasil dan juga dampak potensial mereka. Dampak
dari risiko yang teridentifikasi harus diukur dan strategi mitigasi ditentukan dalam
o

peristiwa peristiwa risiko terjadi. Mitigasi mengacu pada penilaian cara terbaik untuk
aC s

mengelola atau menghilangkan risiko yang teridentifikasi. Faktor akhir yang terkait
vi y re

dengan risiko ini juga harus diidentifikasi. Risiko yang teridentifikasi akan jauh lebih
penting jika kita dapat mengidentifikasi total biaya untuk perusahaan jika terjadi.
ed d

3. Mengeksploitasi dan mengembangkan strategi respon risiko. Pada dasarnya secara

ar stu

paralel dengan identifikasi risiko, sebuah perusahaan harus mengembangkan rencana dan
strategi untuk kembali ke operasi normal dan kemudian pulih dari risiko peristiwa. Ini
is

mungkin termasuk analisis risiko terkait peluang. Misalnya, jika ada risiko yang
Th

teridentifikasi bahwa beberapa peralatan produksi pabrik yang lebih tua mungkin gagal,
kesempatan mungkin untuk meninggalkan lini produksi dan menginstal peralatan baru
menggunakan teknologi yang lebih baru dan mungkin bahkan pada lokasi yang lebih baru
sh

atau alternatif.
4. Pemantauan risiko. Alat dan fasilitas harus di tempat untuk memantau untuk
diidentifikasi serta risiko baru lainnya. Sebuah detektor asap alarm kebakaran adalah
contoh di sini, meskipun sebagian besar risiko pemantauan terkait memerlukan

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
 serangkaian luas laporan khusus, mapan dan terukur standar, dan fungsi sumber daya
manusia rajin. Idenya adalah untuk terus merencanakan ke depan dan untuk masuk
kembali langkah manajemen risiko sebelumnya yang diperlukan.

m
er as
co
eH w
o.
rs e
ou urc
o
aC s
vi y re

28.3 GRC AND INTERNAL AUDIT ENTERPRISE COMPLIANCE ISSUES

Kepatuhan adalah proses mengikuti pedoman atau peraturan yang ditetapkan oleh instansi
ed d

pemerintah, standar, kelompok, atau kebijakan perusahaan internal. Mematuhi persyaratan

ar stu

terkait kepatuhan ini merupakan tantangan bagi perusahaan, pemangku kepentingan terkait, dan
auditor internal yang meninjau proses ini karena:
is

1. Pengenalan yang sering hukum dan peraturan baru. Menggunakan Amerika Serikat
Th

sebagai contoh, sebuah petak yang luas dari agensi, seperti Environmental Protection
Agency, secara teratur menerbitkan aturan baru yang mungkin memiliki dampak yang
sh

luas pada banyak perusahaan, terlepas dari tujuan bisnis utama mereka. Perusahaan
memiliki tantangan untuk memonitor aturan ini dan menentukan mana yang muncul
untuk diterapkan pada mereka.

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
 2. Peraturan tertulis yang tidak tepat yang memerlukan interpretasi. Sekali lagi
menggunakan Amerika Serikat sebagai contoh, pada 2010 Kongres melewati sebuah
tagihan perawatan kesehatan besar-besaran, yang Affordable Care Act sering disebut
Obamacare. Perundang-undangan itu dicetak pada ribuan halaman meliputi isu dan
aturan bahwa legislator yang lulus tagihan bahkan tidak pernah membaca, apalagi
dipahami. Bahkan saat ini dan beberapa tahun kemudian, kita masih melihat peraturan ini
dan menafsirkan apa yang seharusnya mereka maksudkan. The 2011 Dodd ‐ Frank
reformasi keuangan tagihan adalah contoh yang sama. Ini adalah tagihan yang sangat
kompleks dengan banyak aturan khusus yang belum diterbitkan sebagai buku ini pergi ke
pers di 2015. Kepatuhan perusahaan terhadap jenis aturan tersebut bisa sangat sulit, dan
ketika auditor internal memiliki pertanyaan, mereka mungkin perlu berkonsultasi dengan

m
er as
Departemen Hukum mereka.

co
eH w
3. Tidak ada konsensus tentang aturan praktik terbaik yang digunakan untuk kepatuhan.

o.
Aturan legislatif sering diisi dengan peraturan yang menyatakan hal seperti, "semua
rs e
transaksi harus didukung oleh tanda terima." Apakah aturan tersebut memerlukan tanda
ou urc
terima untuk transaksi kurang dari $1, kurang dari $25, atau beberapa nilai lainnya?
Sering ada sering tidak ada pedoman di sini dan semua orang tampaknya memiliki
o
aC s

interpretasi mereka sendiri.

vi y re

4. Beberapa peraturan kepatuhan yang tumpang tindih. Amerika Serikat dan unit
pemerintah lokal dari daerah yang berbeda sering masalah aturan yang mencakup daerah
yang sama tetapi memiliki persyaratan yang berbeda. Perbedaan ini biasanya akhirnya
ed d
ar stu

diselesaikan di pengadilan, tetapi kepatuhan sampai masalah diselesaikan dapat menjadi

tantangan.
5. Peraturan yang terus berubah. Badan pengatur secara khusus sering kali terus berubah
is

atau menafsirkan kembali aturan mereka sendiri, sehingga kepatuhan yang ketat
Th

merupakan tantangan. Kepatuhan perusahaan harus dipandang sebagai proses

berkelanjutan, bukan proyek peninjauan audit internal satu kali. Namun, persyaratan
sh

kepatuhan terus mendorong agenda bisnis sebagai perusahaan sedang bertanggung jawab
untuk memenuhi mandat segudang berbagai khusus untuk pasar tertentu atau bidang
operasi.

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
 Perusahaan tidak boleh mengabaikan beberapa aturan; itu harus selalu menyadari bahwa
mereka ada. Namun demikian, pendekatan yang konsisten pada penggunaan kapabilitas
kepatuhan dan teknologi pendukung di seluruh perusahaan dapat memberikan potensi
manfaat bagi perusahaan:

1. Fleksibilitas. Salah satu kesulitan yang sering dihadapi auditor internal saat meninjau
masalah kepatuhan adalah bahwa peraturan baru diperkenalkan oleh otoritas otorisasi dan
peraturan yang ada diubah secara sering.
2. Mengurangi total biaya kepemilikan kepatuhan. Investasi dapat dimanfaatkan di
beberapa peraturan. Misalnya, banyak peraturan menetapkan persyaratan penyimpanan
dokumen, yang dapat dipenuhi oleh satu investasi di fasilitas database konten dan sistem

m
manajemen rekaman

er as
co
3. Keunggulan kompetitif. Sebuah arsitektur kepatuhan perusahaan yang luas dan konsisten

eH w
memungkinkan auditor internal untuk lebih memahami dan mengendalikan proses bisnis

o.
rs e
di perusahaan ditinjau, yang memungkinkan mereka untuk merespon lebih cepat dan
ou urc
akurat terhadap tekanan kepatuhan eksternal atau internal.

28.4 IMPORTANCE OF EFFECTIVE GRC PRACTICES AND PRINCIPLES

o
aC s

Sebuah perusahaan perlu mengadopsi pemerintahan yang kuat, risiko, dan proses kepatuhan,
vi y re

dengan tujuan untuk membangun program GRC yang efektif. Sementara banyak dari bab
sebelumnya buku ini telah lebih terfokus pada proses tata kelola TI, kita tidak boleh melupakan
ed d

pentingnya keseluruhan pemerintahan yang kuat, risiko, dan proses kepatuhan yang mendukung
ar stu

semua bidang operasi perusahaan.

Baik sebagai elemen entitas di mana audit internal melakukan ulasan serta standar pribadi dan
is

profesional auditor internal, prinsip dan proses GRC harus ditekankan. Semua auditor internal
Th

harus memiliki pengetahuan CBOK yang kuat dan pemahaman tentang praktek dan prinsip
GRC. Mereka harus menjadi komponen dasar mendasar dan merupakan komponen penting dari
sh

proses tata kelola TI yang efektif.

This study source was downloaded by 100000826491962 from CourseHero.com on 06-01-2021 06:18:54 GMT -05:00

https://www.coursehero.com/file/64898110/RESUME-INTERNAL-AUDIT-CHAPTER-28pdf/
Powered by TCPDF (www.tcpdf.org)