Resume Internal Audit Minggu ke-3

Kelompok 5:
1. Ignatius William Arimatea 041711333164
2. Lisna Giacinta 041911333175
3. Denise Daniella Hidajat 041911333179
4. Ni Made Ayu Raira Pertiwi 041911333191
5. Gabriella Beatrice Elizabeth Simanjuntak 041911333194
6. Cecilia Yosephine 041911333231

Chapter 5 - Sarbanes Oxley (SOx) and Beyond

5.1 Key Sarbanes Oxley Act (Sox) Elements

SOx menetapkan serangkaian proses yang baru untuk audit eksternal dan memberikan
tanggung jawab tata kelola baru kepada eksekutif senior dan anggota dewan. Sox juga
mendirikan PCAOB, sebagai otoritas pengaturan yang menerbitkan standar keuangan audit
dan memantau tata kelola auditor eksternal. Beberapa peran penting internal auditor yang
terdapat dalam SOx :

Title 1 : Public Company Accounting Oversight Board

Sebelum adanya PCAOB, Standar yang berlaku adalah GAAS yang dibentuk oleh
AICPA. Namun setelah beberapa scandal muncul akhirnya SOx mengambil alih wewenang
penyusunan standar audit dan membentuk PCAOB, yaitu sebuah Lembaga nirlaba non
federal yang bertugas mengawasi perusahaan audit dan tunduk terhadap SEC.

a. Administrasi PCAOB dan Pendaftaran Kantor Akuntan Publik

PCAOB terdiri dari 5 orang yang ditunjuk oleh SEC dan 3 orang lainnya yang bukan
merupakan anggota CPA. PCAOB berwenang untuk mengawasi dan mengatur kantor
akuntan public yang berada dibawah SEC yang meliputi :

● Mendaftarkan kantor akuntan publik yang melakukan audit terhadap korporasi.

● Menetapkan standar auditing.
● Melakukan pemeriksaan terhadap kantor akuntan public yang terdaftar
● Melakukan investigasi dan prosedur disipliner.
● Melakukan fungsi standar dan mutu lainnya yang ditentukan oleh dewan
● Menegakkan kepatuhan terhadap SOx

b. Audit, Pengendalian mutu dan Standar Independent

SOx memberikan wewenang kepada PCAOB untuk menerbitkan standar audit dan
jasa atestasi, standar pengendalian kualitas, dan standar etika untuk kantor akuntan
public yang terdaftar. Standar PCAOB mencakup :
 ● Penyimpanan kertas kerja audit
● Persetujuan mitra yang bersamaan
● Ruang lingkup pengujian pengendalian internal
● Evaluasi struktur dan prosedur pengendalian internal
● Mengaudit standar kendali mutu
c. Inspeksi, Investigasi dan Prosedur Disipliner

Inspeksi dilakukan untuk memeriksa kepatuhan terhadap peraturan SOx. Dilakukan

setahun sekali untuk KAP besar dan tiga tahun sekali untuk KAP dengan kurang dari
100 kontrak audit. Melakukan review atas sistem pengendalian mutu perusahaan
sekaligus standar pembukuan dan komunikasi perusahaan.

d. Standar Audit

Terdapat perbedaan antara standar audit dengan standar akuntansi. Standar audit
bersifat lebih konseptual dan menekankan area apa yang harus di dipertimbangkan
oleh auditor dalam mengevaluasi kontrol perusahaan.

Title 2 : Auditor Independence

Auditor eksternal dan auditor internal merupakan dua jenis auditor yang independen
dan mempunyai tanggung jawab yang berbeda. Namun pada akhir tahun 1980 beberapa
perusahaan KAP mulai menyediakan jasa auditor internal dengan sistem outsourcing
walaupun konsep ini ditentang oleh IIA.

a. Batasan dalam jasa auditor eksternal

● Desain dan penerapan sistem informasi keuangan
● Jasa pencatatan dan pelaporan keuangan
● Fungsi management dan sumber daya manusia
● Beberapa jasa yang dilarang ( jasa outsourcing internal audit, jasa aktuaria,
jasa penasihat investasi, dll)
b. Audit Committee Pre Approval service
Section 202 dari SOx menjelaskan bahwa komite audit harus menyetujui semua audit
eksternal dan jasa non audit terlebih dahulu. Beberapa prosedur audit yang tidak
memerlukan persetujuan komite audit adalah audit yang memenuhi syarat :

● Jumlah nilai dari jasa tidak melebihi 5% dari total biaya audit eksternal yang
dibayar oleh perusahaan selama tahun berjalan
● Jasa tidak diakui sebagai jasa non audit oleh perusahaan saat perjanjian overall
audit dimulai.
● Jasa menarik perhatian komite audit dan telah disetujui sebelum audit selesai.
c. Rotasi partner eksternal audit
SOx melarang perusahaan untuk melaksanakan kontrak dengan partner selama lebih
dari 5 tahun. Hal ini dilakukan untuk menghindari tindakan kriminal. Kelemahan dari
system ini adalah perlunya proses adaptasi terus menerus.
 d. Laporan eksternal auditor kepada komite audit
Auditor eksternal diminta untuk melaporkan secara tepat waktu semua kebijakan dan
praktik akuntansi yang digunakan, perlakuan alternatif atas informasi keuangan yang
didiskusikan dengan manajemen.
e. Konflik kepentingan dan rotasi kekuasaan dari perusahaan audit eksternal.
SOx melarang auditor eksternal untuk memberikan layanan audit apa pun ke
perusahaan tempat CEO, CFO, atau kepala bagian akuntansi berpartisipasi sebagai
anggota kantor audit eksternal tersebut pada audit yang sama dalam satu tahun
terakhir.

Title 3 : Tanggung jawab Perusahaan

a. Peraturan pemerintah mengenai audit komite

Semua perusahaan yang terdaftar harus mempunyai komite audit yang terdiri dari
direktur yang independen. Eksternal auditor harus melapor langsung kepada komite
audit. SOx juga meminta komite audit untuk menyiapkan prosedur untuk menerima
dan menghandle whistleblower terkait dengan audit dan akuntansi.
b. Tanggung jawab perusahaan terhadap laporan keuangan
Pihak yang menandatangani laporan keuangan perusahaan harus bertanggung jawab
bahwa :

● Mereka telah membaca laporan tersebut

● Berdasarkan pengetahuannya, laporan keuangan tersebut tidak mengandung
salah saji yang material dan informasi yang menyesatkan
● Berdasarkan pengetahuannya, laporan keuangan telah merepresentasikan
keuangan perusahaan secara wajar
● Pihak yang menandatangani bertanggung jawab atas : menciptakan dan
memelihara internal control, mempunyai desain internal control yang andal,
telah mengevaluasi internal control perusahaan
● Mengungkapkan seluruh defisiensi dari design dan operasional internal control
c. Pengaruh yang tidak pantas atas perilaku audit
SOx melarang setiap pejabat, direktur, atau bawahan terkait untuk mengambil
tindakan yang bertentangan dengan aturan SEC, untuk mempengaruhi, memaksa,
memanipulasi, atau menyesatkan auditor CPA eksternal yang terlibat dalam audit
untuk tujuan membuat laporan keuangan yang memiliki salah saji material.

d. Forfeitures, bars, and penalties

● Penyitaan bonus yang tidak semestinya
● melarang jasa petugas atau direktur
● Periode penghentian dana pensiun
● Tanggung jawab profesional pengacara
● Dana yang adil bagi investor
Title 4 : Meningkatkan Pengungkapan Keuangan

SOx juga membahas mengenai beberapa masalah pengungkapan pelaporan keuangan

dan bertujuan untuk memperketat aturan konflik kepentingan bagi pejabat dan direktur
perusahaan, untuk mengamanatkan penilaian manajemen atas pengendalian internal,
mensyaratkan kode etik pejabat senior, dll.

Laporan keuangan proforma seringkali digunakan untuk menampilkan status finansial

perkiraan dengan tidak memasukkan pendapatan-beban yang tidak periodik, seperti biaya
restrukturisasi atau biaya merger. Karena tidak ada standar khusus atau format tetap untuk
melaporkan pendapatan proforma, ada kemungkinan bahwa operating loss bisa berubah
menjadi profit dalam laporan pendapatan proforma

Sox mengharuskan proforma lapkeu yang dipublikasi untuk tidak mengandung

pernyataan material yang tidak benar atau menghilangkan fakta yang bisa membuat lapkeu
menjadi menyesatkan. Hasil proforma juga harus direkonsiliasi ke kondisi finansial dan hasil
operasi dibawah GAAP

a. Expanded Conflict-of-Interest Provisions and Disclosures

Bagian lain dari Title IV mengharuskan bahwa semua disclosure dibawah Sox harus
diisi secara elektronik dan diposting near real time pada situs web SEC

b. Section 404: Management’s Assessment of Internal Controls

SOx mengharuskan semua laporan 10-K tahunan untuk berisi laporan internal control
yang menyatakan tanggung jawab manajemen untuk membentuk dan menjaga sistem
internal control yang mumpuni dan penilaian manajemen pada akhir tahun fiskal
untuk menjelaskan tentang keefektifan prosedur internal control yang telah
diberlakukan

c. Financial Officer Codes of Ethics

SOx mengharuskan perusahaan untuk mengadopsi kode etik untuk CEO, CFO, dan
senior officers lainnya yang menyatakan kepatuhan mereka terhadap kode etik ini
sebagai bagian dari pelaporan keuangan tahunan mereka. Kode etik ini harus
mengandung :

a. Tindakan jujur dan beretika, termasuk menangani konflik kepentingan antara

relasi personal dan profesional
b. pengungkapan pada laporan keuangan perusahaan yang penuh, adil, akurat,
tepat waktu, dan dapat dimengerti
c. kepatuhan pada peraturan dan regulasi pemerintah yang berlaku
 d. Other Title IV Required Disclosures

Section 408 memberi mandat SEC untuk melakukan review tambahan atas
disclosure/pengungkapan yang dicantumkan dalam laporan semua perusahaan dalam
basis harian dan sistematis dan tidak kurang dari sekali dalam 3 tahun. Review
tambahan ini bisa diadakan karena salah satu dari beberapa situasi berikut :

1. Jika korporasi telah mengeluarkan restatement yang material terhadap hasil

finansialnya
2. jika ada volatilitas signifikan dalam harga sahamnya dibandingkan dengan
harga saham lain
3. Jika korporasi memiliki kapitalisasi pasar yang besar
4. Jika perusahaan adalah perusahaan yang baru berkembang dengan
ketimpangan yang signifikan pada PER sahamnya
5. Jika operasi perusahaan berpengaruh signifikan kepada sektor penting dalam
perekonomian nasional
6. Faktor lain yang dianggap relevan oleh SEC

Titel V : Analis Konflik Kepentingan

Titel V dibuat untuk memperbaiki pelanggaran analis sekuritas. Peraturan

pelaksanaan telah dibentuk dengan hukuman legal untuk pelanggaran. SOx telah mereformasi
dan meregulasi praktik analis sekuritas. Seharusnya, adanya peraturan ini memberikan hasil
yaitu investor yang mendapat informasi yang benar.

Titel VI sampai X : Akuntabilitas Fraud dan Kejahatan Kerah-Putih (White collar

crime)

SOx VIII dan IX bisa dikatakan merupakan reaksi terhadap kegagalan Enron dan
diikuti dengan kematian Arthur Andersen Sekarang Titel SOx VIII sudah membentuk
peraturan dan penalti spesifik untuk pemusnahan catatan audit perusahaan

Section 806 menambahkan perlindungan whistleblower bagi karyawan perusahaan

publik yang mengamati dan menemukan aksi fraud lalu melaporkannya secara pribadi kepada
SEC atau pihak lain

Title VIII Section 807 menjelaskan penalti kriminal bagi pemegang saham perusahaan
publik, menyatakan bahwa siapapun yang melakukan atau berusaha melakukan rencana
untuk menipu (defraud) seseorang yang berkaitan dengan keamanan perusahaan atau
menerima penggelapan uang dari hasil penjualan, harus didenda atau dipenjara tidak lebih
dari 25 tahun, atau keduanya

Section 906 pada SOX Titel IX berisi syarat bahwa CEO dan CFO harus menandatangani
perjanjian tambahan terkait laporan keuangan tahunan yang mengesahkan semua informasi
yang terdapat dalam laporan “fairly represents, in all material respects, the financial condition
and results of operations.”
Title XI : Akuntabilitas Fraud Perusahaan

SOx ini menjelaskan kewajiban dan tanggung jawab perusahaan untuk laporan
keuangan yang fraudulent. Section 1105 memberikan otoritas kepada SEC untuk melarang
orang yang sudah melanggar peraturan SOx tertentu untuk menjadi direktur dan pejabat
perusahaan

5.2 Performing Section 404 Reviews under AS5

Section 404 menyatakan bahwa perusahaan bertanggung jawab untuk mereview,

mendokumentasikan, dan menguji pengendalian internal akuntansinya sendiri. Hasilnya lalu
akan diberikan kepada auditor eksternal perusahaan, yang ditugaskan untuk mereview dan
membuktikan hasil tersebut sebagai bagian dari review mereka terhadap pernyataan laporan
keuangan. Pada 2007, Section 404 diubah dengan perilisan AS5, pendekatan audit yang lebih
berbasis ke risiko yang memungkinkan auditor untuk menggunakan kerja internal auditor
pada penilaian mereka

Section 404 Internal Control Assessments Today

SOx Section 404 mengharuskan persiapan laporan pengendalian internal tahunan

untuk menjadi bagian dalam laporan tahunan SEC-mandated 10K perusahaan. Syarat Section
404 mengharuskan 2 elemen informasi pada setiap 10-K :

1. Pernyataan formal manajemen yang mengakui tanggung jawab mereka untuk

membentuk dan memelihara struktur pengendalian internal dan prosedur yang cukup
untuk pelaporan keuangan
2. Sebuah penilaian efektivitas struktur pengendalian internal dan prosedur untuk
pelaporan keuangan pada akhir tahun fiskal

Launching the Section 404 Compliance Review: Identifying Key Processes

Setiap perusahaan menggunakan rangkaian proses untuk melaksanakan aktivitas

bisnis normal mereka. Rangkaian proses tersebut berisi :

1. Revenue cycle -- berkaitan dengan penjualan dan pendapatan lain perusahaan

2. Direct expenditures cycle -- mencakup pengeluaran bahan baku atau produksi
langsung
3. Indirect expenditures cycle-- mencakup biaya operasi yang tidak bisa dibebankan
langsung ke produksi tetapi diperlukan untuk operasi bisnis keseluruhan
4. Payroll cycle -- mencakup kompensasi seluruh personel
5. Inventory cycle -- mencakup semua persediaan, termasuk proses khusus yang
diperlukan untuk mencatat persediaan sebelum persediaan digunakan dalam produksi
6. Fixed assets cycle -- mencakup properti dan peralatan yang memerlukan proses
akuntansi terpisah, seperti depresiasi periodik seiring berjalannya waktu
7. General IT cycle -- mencakup kontol IT yang berlaku bagi semua operasi IT
Launching the SOx Section 404 Compliance Review: Internal Audit’s Role

Peran Internal Auditor dalam review Section 404 dapat berupa 3 bentuk,yaitu :

1. Auditor internal dapat menjadi konsultan internal bagi perusahaan dengan

mengidentifikasi proses penting, mendokumentasi pengendalian internal, dan
melakukan pengujian yang layak terhadap pengendalian tersebut
2. auditor internal bisa mereview dan menguji proses pengendalian internal serupa
dengan review audit internal mereka biasanya namun berperan sebagai asisten atau
kontraktor bagi auditor eksternal
3. auditor internal dapat bekerja dengan atau membantu pihak lain dari perusahaan yang
melakukan review Section 404 tetapi tidak terlibat secara langsung dengan review
tersebut

Launching the Section 404 Compliance Review: Organizing the Project

Tahapan untuk mereview kepatuhan terhadap Section 404 :

● Langkah 1 : Menyusun Section 404 Compliance Project → Membentuk team untuk

memimpin proyek. Eksekutif senior seperti CFO seharusnya menjadi project sponsor,
dengan tim yang terdiri dari bagian internal dan eksternal. Peran, tanggung jawab, dan
persyaratan juga harus ditentukan dengan baik
● Langkah 2 : Kembangkan Rencana Section 404 Compliance Project → Project ini
harus dilakukan sebelum akhir tahun finansial. Rencana harus berfokus pada area
penting perusahaan dengan jangkauan semua unit bisnis signifikan
● Langkah 3 : Pilih Proses Kunci untuk Review → setiap perusahaan bergantung pada
banyak proses finansial dan operasional untuk melaksanakan dan mengatur operasi
penting mereka. Ada beberapa proses yang memiliki risiko lebih besar daripada
proses lain
● Langkah 4 : Mendokumentasikan Alur Proses Transaksi Terpilih → sebuah
perusahaan harus memiliki pengertian mengapa memilih untuk mendokumentasikan
proses tertentu. Akan lebih baik untuk berkonsentrasi pada dokumentasi proses
dimana kontrol tertentu tidak mudah dan cepat dimengerti karena kompleksitasnya.
● Langkah 5 : Memeriksa Risiko Proses yang terpilih → tim review harus meneliti satu
persatu proses terpilih dan menandai risiko potensial lalu berfokus pada kontrol
tambahan yang diharapkan
● Langkah 6 : Menilai Efektivitas Kontrol melalui Prosedur Pengujian yang Sesuai →
Pengendalian sistem akan bernilai kecil jika tidak bekerja secara efektif. Wawancara
dan persiapan dokumentasi proses terkadang dapat menentukan apakah kontrol yang
sesuai tampaknya tidak diterapkan atau tidak efektif. Kesimpulan dari penilaian harus
didokumentasikan dan didiskusikan dengan pemilik proses, dan rencana tindakan
dikembangkan untuk mengambil tindakan korektif untuk meningkatkan pengendalian.
● Langkah 7 : Tinjau Hasil Kepatuhan dengan Pemangku Kepentingan Utama →
Manajemen senior bertanggung jawab atas laporan bagian 404 akhir perusahaan. Tim
proyek harus meninjau kemajuan mereka dengan manajemen senior, menyoroti
 pendekatan tinjauan mereka dan tindakan korektif jangka pendek dimulai. Karena
mereka harus secara resmi membuktikan hasil tinjauan pengendalian internal ini,
auditor eksternal harus terus diinformasikan tentang kemajuan dan masalah yang
beredar dalam proses penyelesaian.
● Langkah 8 : Melengkapi Laporan Efektivitas Struktur Pengendalian Internal →
merupakan langkah terakhir dalam tinjauan kepatuhan Bagian 404. Hal tersebut
adalah laporan dan pekerjaan bukti auditor eksternal yang akan diajukan ke SEC
sebagai bagian dari laporan tahunan 10-K perusahaan. Karena tinjauan pengendalian
internal ini bukan latihan sekali waktu, semua pekerjaan harus didokumentasikan
serupa dengan kertas kerja audit internal yang mendokumentasikan bukti audit.

5.3 AS5 Rules and Internal Audit

AS memperkenalkan aturan-aturan berbasis risiko dengan pengendalian tingkat

perusahaan yang lebih berorientasi pada fakta perusahaan dan keadaan. Selain itu, standar
audit, panggilan bagi auditor eksternal untuk mempertimbangkan kajian sesuai dengan
laporan audit internal di review audit laporan keuangan mereka. Auditor keuangan
manajemen internal perlu memahami risiko dan aturan baru berdasarkan ​scalable untuk audit
perusahaan mereka.
a. Fokus audit pengendalian internal pada hal yang paling penting
b. Menghilangkan prosedur audit yang diperlukan untuk mencapai manfaat
c. Membuat audit jelas ​scalable ​agar sesuai dengan ukuran dan kompleksitas perusahaan
apapun
d. Sederhanakan teks dari standar

5.4 Impacts of the Sarbanes Oxley Act

1. SOx merupakan hukum yang penting dan setiap auditor internal harus memiliki
pemahaman umum tentang isinya sebagai persyaratan CBOK. SOx Section 404
tentang tinjauan pengendalian akuntansi internal harus menerima perhatian dan
pemahaman audit internal yang paling besar.
2. Dalam bagian 404, perusahaan dibuat bertanggung jawab untuk meninjau,
mendokumentasikan, dan menguji pengendalian akuntansi internalnya sendiri. Hasil
tinjauan tersebut kemudian diteruskan ke auditor eksternal perusahaan yang bertugas
untuk meninjau dan membuktikan pekerjaan tersebut sebagai bagian dari pekerjaan
mereka.
3. SOx telah menyebabkan banyak perubahan pada perusahaan, terutama di Amerika
Serikat dan juga di seluruh dunia. Peran dan tanggung jawab auditor internal dan
eksternal telah berubah, dan perusahaan tentu saja melihat pengendalian internal dan
etika bisnis dari perspektif yang jauh berbeda.
4. Pengetahuan umum tentang SOx dan prosedurnya untuk melakukan tinjauan
pengendalian internal bagian 404 harus menjadi gudang CBOK setiap internal.
 Chapter 6 - COBIT and Other ISACA Guidance

6.1 Introduction to COBIT

1. COBIT merupakan akronim yang semakin dikenal oleh banyak auditor internal dan
eksternal dan profesional TI. COBIT adalah kerangka kerja internal yang penting
yang dapat berdiri sendiri, tetapi juga penting sebagai alat pendukung untuk
mendokumentasikan dan memahami konovitas internal COSO dan SOX.
2. Pengetahuan umum tentang COBIT harus menjadi sebuah persyaratan auditor internal
CBOK. Standar dan kerangka kerja COBIT yang dikeluarkan dan secara berkala oleh
IT Governance Institute (ITGI) dan organisasi profesional Audit dan Kontrol Sistem
Informasi (ISACA) yang terkait erat.
3. ISACA lebih fokus pada audit TI. Sedangkan, kontrol ITGI fokus pada proses
penelitian dan tata kelola. ISACA awalnya dikenal sebagai Electronic Data
Processing Auditor Association (EDPAA).
4. COBIT memiliki lima bidang utama seputar konsep inti yang penting bagi tata kelola
TI :
a. Keselarasan strategis → Upaya harus dilakukan untuk menyelaraskan operasi
dan aktivitas TI dengan semua operasi perusahaan lainnya
b. Penyampaian nilai → Proses harus ada untuk memastikan TI dan operasi unit
lainnya memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan
strategi tersebut mengoptimalkan biaya sambil menekankan nilai intrinsik TI
dan aktivitas yang terkait
c. Manajemen risiko → manajemen di semua level harus memiliki pemahaman
yang jelas tentang risiko perusahaan, persyaratan, dan dampak signifikan
risiko
d. Manajemen sumber daya → Dengan penerapan pada TI, harus ada investasi
yang optimal dan pengelolaan yang tepat, sumber daya TI kritis, aplikasi,
informasi, infrastruktur, dan manusia. Tata kelola TI yang efektif pada
optimalisasi pengetahuan dan infrastruktur
e. Pengukuran kinerja → Proses harus di tempat untuk melacak dan memantau
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja
proses, dan pengiriman layanan. Mekanisme tata kelola TI harus
menerjemahkan implementasi strategi menjadi tindakan dan pengukuran untuk
mencapai tujuan ini.

6.2 COBIT Framework

● Proses TI dan aplikasi perangkat lunak pendukungnya serta perangkat keras
merupakan kunci komponen dalam perusahaan mana pun saat ini. Semua perusahaan
membutuhkan serangkaian proses TI yang saling berhubungan dan seringkali rumit
yang terkait erat dengan operasi bisnis mereka. Artinya, proses bisnis dan sumber
daya TI pendukungnya bekerja dalam hubungan berbagi informasi yang erat.
 ● TI tidak dapat dan tentu saja tidak boleh memberi tahu bisnis operasi jenis proses dan
sistem TI yang harus mereka pertimbangkan untuk diterapkan, tetapi TI memberikan
informasi untuk membantu memengaruhi keputusan bisnis.
● Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi di
kedua sisi. TI memiliki tanggung jawab atas serangkaian area proses terkait lainnya
yang diaudit oleh atau melalui pedoman audit yang ditetapkan, diukur dengan
serangkaian ukuran dan aktivitas indikator kinerja, dan dibuat efektif melalui
serangkaian tujuan aktivitas. Semua ini menjadi bagian dari COBIT, kerangka kerja
kontrol termasuk TI dan proses bisnis.

6.3 Principle 1 : Meeting Stakeholder Needs

Perusahaan dan manajemen kuncinya harus mengakui bahwa perusahaan mereka ada
untu​k ​menciptakan nilai bagi pemangku kepentingan mereka, apakah mereka investor,
pelanggan, karyawan, pengguna, atau orang lain. Akibatnya, setiap perusahaan, komersial
atau tidak, harus memiliki konsep penciptaan nilai ini sebagai tujuan utama manajemen dan
tata kelola. Para pemimpin perusahaan di semua tingkatan menjaga prioritas pribadi dan
organisasi mereka di atas prioritas yang memenuhi kebaikan yang lebih besar dari
keseluruhan perusahaan.

6.4 Principle 2 : Covering the Enterprise End to End COBIT

Prinsip ini membahas tata kelola dan manajemen informasi dan teknologi terkait dari
perspektif end-to-end di seluruh perusahaan. COBIT menyerukan integrasi tata kelola TI
perusahaan, dan bahwa sistem tata kelola untuk TI perusahaan yang diusulkan oleh COBIT
harus terintegrasi dengan mulus dalam sistem tata kelola apa pun. COBIT sejalan dengan
pandangan tentang tata kelola TI yang mencakup semua fungsi dan proses yang diperlukan
untuk mengatur dan mengelola informasi perusahaan dan teknologi terkait di mana pun
informasi tersebut dapat diproses. Dengan ruang lingkup perusahaan yang diperluas ini,
COBIT juga menangani semua layanan TI internal dan eksternal yang relevan, serta proses
bisnis internal dan eksternal.

6.5 Principle 3 : A Single Integrated Framework COBIT

Kerangka kerja tunggal dan terintegrasi karena sejalan dengan standar dan kerangka
kerja relevan saat ini dan memungkinkan perusahaan untuk menggunakan COBIT sebagai
kerangka tata kelola dan manajemen menyeluruh integrator. Hal tersebut lengkap dalam
cakupan perusahaan, memberikan dasar untuk mengintegrasikan secara efektif kerangka
kerja, standar, dan praktik lain. Kerangka menyeluruh tunggal berfungsi sebagai sumber
panduan yang konsisten dan terintegrasi dalam bahasa umum non-teknis dan agnostik
teknologi. COBIT menyediakan arsitektur sederhana untuk penataan materi panduan dan
menghasilkan rangkaian produk yang konsisten. Ini memiliki tujuan untuk mengintegrasikan
pengetahuan yang sebelumnya tersebar di berbagai kerangka kerja seperti COSO.

6.6 Principle 4 : Enabling a Holistic Approach

Pemerintahan dan Manajemen perusahaan IT yang efektif dan efisien membutuhkan
pendekatan secara holistik atau menyeluruh. COBIT mendefinisikan kumpulan pemicu yang
disebut enabler untuk mendukung implementasi pemerintahan yang komprehensif dan
manajemen sistem perusahaan IT dan Informasi. Enablers adalah faktor individual dan
kolektif yang mempengaruhi sesuatu agar dapat berjalan atau bekerja. Kerangka COBIT
mendefinisikan 7 kategori enablers sebagai berikut :
1. Principles, Policies, and Frameworks
2. Processes
3. Organisational Structures
4. Culture, Ethics and Behaviour
5. Information
6. Services, Infrastructure and Applications
7. People, Skills, and Competencies

6.7 Principle 5 : Separating Governance from Management

COBIT dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini
memiliki aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan
memiliki tujuan yang berbeda. COBIT melihat perbedaan tersebut berdasarkan sudut
pandang. Terdapat perbedaan ​roles d​ ari keamanan informasi pemerintah dan manajemen
dimana terdapat proses-proses yang dilakukan pemerintahan dan proses-proses yang
dilakukan manajemen. Masing-masing memiliki tanggung jawab yang berbeda.

6.8 Using COBIT to Assess Internal Controls

COBIT membagi langkah yang diperlukan untuk mengevaluasi kontrol dan proses TI
ke apa yang COBIT panggilan daerah domain :
1. Evaluasi, langsung, dan monitor
2. Align, plan, dan atur
3. Membangun, memperoleh dan melaksanakan
4. Memberikan, layanan, dan dukungan
5. Monitor, evaluasi, dan penilaian

6.9 Mapping COBIT to COSO Internal Controls

Kerangka kerja pengendalian internal COSO menyatakan bahwa pengendalian
internal adalah suatu proses yang ditetapkan oleh oleh dewan direksi, manajemen senior, dan
personil lain yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian
tujuan yang dinyatakan. Tujuan pengendalian COSO mencakup keefektifan, efisiensi operasi,
pelaporan keuangan yang andal, dan kepatuhan terhadap hukum dan peraturan.

Chapter 7 - Enterprise Risk Management: COSO ERM

7.1 Risk Management Fundamentals

Dalam upaya pencapaian nilai, setiap organisasi sama-sama menghadapi
ketidakpastian. Ketidakpastian ini mengandung resiko yang sangat potensial untuk
menghilangkan kesempatan pencapaian tujuan perusahaan. Untuk mengurangi bahaya daru
suatu resiko, maka harus ada jaminan untuk meminimalkan resiko atau paling tidak resiko
tersebut dihilangkan dari setiap aktivitas organisasi.

Suatu proses manajemen yang efektif memerlukan 3 langkah :

1. Risk Identification
Proses identifikasi risiko perlu dipelajari, pendekatan yang disengaja untuk melihat
potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebih daerah risiko
signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar. Cara
yang baik untuk memulai proses identifikasi risiko adalah dengan memulai dari
manajemen tingkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai
jenis operasi.

2. Key Risk Assessment

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah
menilai kemungkinan dan signifikansi relatifnya. Pendekatan yang sederhana namun
sering efektif di sini adalah dengan mengambil daftar risiko yang teridentifikasi yang
dibahas sebelumnya dan menyebarkannya kepada manajer kunci dengan kuesioner yang
menanyakan setiap risiko:
● Seberapa besar kemungkinan risiko ini terjadi selama periode satu tahun berikutnya?
Dengan menggunakan rentang skor 1 sampai 9, tetapkan skor tebakan terbaik sebagai
berikut:
■ Skor 1 jika Anda melihat hampir tidak ada kemungkinan risiko tersebut terjadi
selama periode tersebut.
■ Skor 9 jika Anda merasa peristiwa tersebut hampir pasti akan terjadi selama
periode tersebut.
■ Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinan jatuh dalam
kisaran ini.
● Apa pentingnya risiko dalam kaitannya dengan biaya bagi perusahaan? Sekali lagi
menggunakan skala 1 hingga 9, penilaian harus bergantung pada signifikansi finansial
dari risiko. Sebuah risiko yang biayanya dapat menurunkan laba per saham sebanyak
mungkin 1 sen mungkin memenuhi syarat untuk skor maksimum 9.
Kuesioner di sini harus diedarkan secara independen kepada orang-orang yang
berpengetahuan untuk menilai masing-masing risiko yang diidentifikasi per dua
ukuran ini. Sebagai contoh, asumsikan bahwa perusahaan telah mengidentifikasi
enam risiko, R - 1 sampai R - 6, dan empat manajer diminta untuk mengevaluasi
secara terpisah setiap risiko dalam hal kemungkinan dan signifikansi.

Probability and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan perkiraan
kemungkinan dan kejadian risiko individu dalam kaitannya dengan probabilitas dua digit
yang berkisar dari 0,01 hingga 0,99. Aturan dasar probabilitas adalah bahwa kita tidak
dapat menjumlahkan estimasi probabilitas independen untuk menghasilkan estimasi
gabungan. Jika probabilitas terjadinya risiko A adalah 60% dan probabilitas risiko B yang
terpisah namun terkait juga 60%, maka kita tidak dapat secara akurat mengatakan bahwa
probabilitas keduanya terjadi adalah 0,60 + 0,60 = 1,20. 120% ini tidak masuk akal.
Sebaliknya, probabilitas gabungan dari dua peristiwa independen adalah produk dari dua
probabilitas terpisah menggunakan rumus:
Pr Peristiwa (1) × Pr (Peristiwa 2) = Pr (Kedua Peristiwa)
Artinya, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0.60, probabilitas gabungan
dari kedua peristiwa yang terjadi adalah (0.60) × (0.60) = 0.36. Dalam hal penilaian, jika
suatu risiko memiliki estimasi signifikansi 60% atau bahwa kami yakin 60% bahwa risiko
akan terjadi dan jika dampaknya telah dinilai 60%, ada kemungkinan 36% bahwa kita
akan mencapai keduanya. Proses penilaian risiko yang akurat, bagaimanapun,
membutuhkan lebih dari sekedar perkiraan top-of-the-head, baik dinyatakan dalam satu
rentang 1 sampai 9 atau sebagai persentase dua digit penuh. Manajemen perusahaan harus
memperhatikan dengan seksama risiko yang teridentifikasi dan harus mengumpulkan
lebih banyak informasi, jika diperlukan.

Risk Interdependencies
Risiko saling ketergantungan harus selalu dipertimbangkan. Saling ketergantungan risiko
harus dipertimbangkan dan dievaluasi di seluruh struktur organisasi. Setiap entitas harus
memperhatikan risiko di semua tingkat organisasi tetapi hanya benar-benar memiliki
kendali atas risiko dalam lingkupnya sendiri. Setiap unit operasi bertanggung jawab untuk
mengelola resikonya sendiri tetapi mungkin juga tunduk pada konsekuensi peristiwa
risiko pada unit di atas atau di bawah dalam struktur organisasi.

Risk Ranking
Manajemen harus mengidentifikasi risiko yang dinilai unit-demi-unit ini untuk
memastikan bahwa kemungkinan risiko dan estimasi signifikansi sudah tepat. Terlalu
sering, peristiwa risiko yang terjadi jauh dari kantor pusat perusahaan dapat menyebabkan
masalah besar.

3. Quantitative Risk Analysis

Expected Values and Response Planning
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali jika perusahaan
memiliki setidaknya beberapa rencana awal untuk langkah-langkah tindakan yang
diperlukan jika terjadi salah satunya. Idenya adalah untuk memperkirakan dampak biaya
dari timbulnya beberapa risiko yang teridentifikasi dan kemudian menerapkan biaya
tersebut ke probabilitas faktor risiko untuk mendapatkan nilai risiko yang diharapkan.
Auditor internal harus selalu waspada ketika berhadapan dengan perkiraan risiko, baik
dalam pekerjaan mereka dalam penugasan audit dan dalam perencanaan audit internal
mereka sendiri. Seringkali mudah untuk diberikan estimasi probabilitas risiko yang
diestimasi secara liar tanpa dukungan nyata. Meskipun terkadang kami terpaksa membuat
beberapa jenis perkiraan tebakan terbaik, perkiraan yang diberikan dengan sedikit
dukungan terkadang dapat menjadi hampir beku seiring waktu.
 Risk Monitoring
Identifikasi risiko utama tidak boleh menjadi proses tunggal, satu kali. Lingkungan di
sekitar risiko yang teridentifikasi akan segera berubah saat kondisi di sekitarnya berubah.
Proses pemantauan yang akurat merupakan komponen penting dari manajemen risiko.
Suatu perusahaan mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko
yang lebih signifikan. Namun, status saat ini dari risiko tersebut perlu dipantau secara
berkala dengan perubahan yang dilakukan pada risiko yang teridentifikasi jika diperlukan.

7.2 COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah kerangka kerja untuk membantu
perusahaan memiliki definisi risiko yang konsisten. Ini juga merupakan alat penting untuk
memahami dan meningkatkan kontrol internal SOx. Sama seperti kerangka kerja kontrol
internal COSO yang asli dan sekarang yang direvisi memiliki tujuan untuk mengusulkan
definisi yang konsisten tentang subjeknya, kerangka kerja COSO ERM dimulai dengan
mendefinisikan manajemen risiko perusahaan sebagai berikut:
Manajemen risiko perusahaan adalah sebuah proses, yang dilakukan oleh dewan
entitas direksi, manajemen, dan personel lainnya, yang diterapkan dalam
pengaturan strategi dan di seluruh perusahaan, dirancang untuk mengidentifikasi
peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar
sesuai dengan selera risikonya, untuk memberikan jaminan yang wajar
mengenai pencapaian tujuan entitas.
Para profesional harus mempertimbangkan poin-poin dan konsep-konsep kunci yang
mendukung definisi kerangka kerja COSO ERM, termasuk:
● ERM adalah sebuah proses
● Proses ERM diimplementasikan oleh orang-orang di perusahaan.
● ERM diterapkan melalui penetapan strategi di seluruh perusahaan.
● Selera risiko suatu perusahaan harus dipertimbangkan.
● ERM hanya memberikan jaminan yang masuk akal, bukan positif, atas pencapaian
obyektif.
● ERM dirancang untuk membantu mencapai pencapaian tujuan.
Tujuan dan sasaran yang terkait dengan ERM memiliki nilai yang kecil kecuali jika mereka
dapat diatur dan dimodelkan bersama sedemikian rupa sehingga manajemen dapat melihat
berbagai aspek tugas dan memahami, setidaknya semacam, bagaimana mereka berinteraksi
dan berhubungan secara multidimensi. Kerangka COSO ERM memberikan beberapa definisi
umum dari manajemen risiko dan dapat membantu mencapai tujuan pengendalian internal
SOx serta proses manajemen risiko yang lebih baik di seluruh perusahaan.
7.3 COSO ERM Key Elements

Komponen kerangka:
● Empat kolom yang mewakili tujuan strategis risiko perusahaan;
● Delapan baris horizontal atau komponen risiko; dan
● Beberapa tingkat untuk menggambarkan perusahaan apa pun, dari tingkat entitas
kantor pusat hingga anak perusahaan individu. Bergantung pada ukuran organisasi,
ada banyak potongan model di sini.
Meskipun diagram kerangka COSO ERM terlihat sangat mirip dengan kerangka kerja
pengendalian internal COSO yang telah menjadi akrab bagi banyak auditor internal selama
bertahun-tahun, hal itu hampir diabaikan oleh beberapa, dan yang lain salah memandang
COSO ERM hanya sebagai pembaruan atau pelengkap untuk kerangka kerja pengendalian
internal COSO yang lebih dikenal. Namun, COSO ERM memiliki tujuan dan kegunaan yang
berbeda. COSO ERM tidak boleh dianggap hanya sebagai versi kerangka kerja pengendalian
internal COSO yang baru dan ditingkatkan atau direvisi.

COSO ERM: The Internal Environment Component

Komponen lingkungan internal COSO ERM terdiri dari elemen-elemen berikut:
● Filosofi manajemen risiko. Ini adalah sikap dan keyakinan bersama yang menjadi ciri
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang
dilakukannya.
● Risk Appetite. Risk Appetite jumlah risiko yang bersedia diterima perusahaan dalam
mencapai tujuannya. Risk Appetite dapat diukur baik dalam istilah kuantitatif atau
kualitatif, tetapi semua tingkat manajemen harus memiliki pemahaman umum tentang
selera risiko keseluruhan perusahaan mereka.
● Sikap dewan direksi. Dewan dan komite memiliki peran yang sangat penting dalam
mengawasi dan mengarahkan lingkungan risiko perusahaan. Para direktur luar yang
independen harus secara khusus meninjau tindakan manajemen, mengajukan
pertanyaan yang sesuai, dan berfungsi sebagai kontrol check and balance untuk
perusahaan.
● Integritas dan nilai-nilai etika. Elemen lingkungan internal ERM yang penting ini
membutuhkan lebih dari sekedar kode etik yang dipublikasikan; itu mencakup
pernyataan misi yang dipikirkan dengan matang dan standar integritas.
● Komitmen terhadap kompetensi. Kompetensi mengacu pada pengetahuan dan
keterampilan yang diperlukan untuk melakukan tugas yang diberikan. Manajemen
 memutuskan bagaimana tugas-tugas penting ini akan diselesaikan melalui
pengembangan strategi dan menugaskan orang yang tepat untuk melaksanakannya.
Dengan komitmen yang kuat terhadap kompetensi, manajer di semua tingkatan harus
mengambil langkah-langkah untuk mencapai tujuan yang dijanjikan.
● Struktur organisasi. Perusahaan harus mengembangkan struktur organisasi dengan
garis wewenang, tanggung jawab, dan pelaporan yang sesuai. Setiap profesional telah
melihat situasi di mana organisasi tidak memungkinkan jalur komunikasi yang sesuai.
● Penugasan otoritas dan tanggung jawab. Komponen ERM ini mengacu pada sejauh
mana wewenang dan tanggung jawab diberikan atau didelegasikan.
● Standar sumber daya manusia. Praktik terkait perekrutan, pelatihan, kompensasi,
promosi, pendisiplinan karyawan, dan semua tindakan lainnya mengirimkan pesan
tentang apa yang disukai, ditoleransi, atau dilarang. Ketika manajemen mengedipkan
mata atau mengabaikan beberapa aktivitas area abu-abu alih-alih mengambil sikap
tegas, pesan itu dikomunikasikan secara informal dan cepat kepada orang lain.
Standar yang kuat diperlukan untuk memastikan bahwa aturan sumber daya manusia
dikomunikasikan kepada semua pemangku kepentingan dan ditegakkan.

COSO ERM Objective Setting

Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM,
pengaturan tujuan menguraikan kondisi penting untuk membantu manajemen menciptakan
proses ERM yang efektif. Elemen ERM ini mengatakan bahwa selain lingkungan internal
yang efektif, perusahaan harus menetapkan serangkaian tujuan strategis, selaras dengan
misinya dan mencakup kegiatan operasi, pelaporan, dan kepatuhan. COSO ERM
menekankan bahwa pernyataan misi adalah elemen penting untuk menetapkan tujuan; ini
adalah pernyataan tujuan yang umum dan diformalkan dan merupakan blok bangunan untuk
pengembangan strategi fungsional tertentu. Seringkali hanya pernyataan sederhana dan lugas,
pernyataan misi harus meringkas tujuan perusahaan dan sikap keseluruhannya terhadap
risiko.
Intinya di sini adalah bahwa perusahaan harus menentukan strategi dan tujuan yang
terkait dengan risiko. Dalam pedoman tersebut, ia harus memutuskan selera dan toleransi
untuk risiko ini. Artinya, ia harus menentukan tingkat risiko yang bersedia diterimanya, dan
mengingat aturan toleransi risiko tersebut, seberapa jauh ia bersedia untuk menyimpang dari
tindakan yang telah ditetapkan sebelumnya ini. Dimulai dengan misi keseluruhan,
pendekatannya adalah (1) mengembangkan tujuan strategis untuk mendukung pencapaian
misi itu, (2) menetapkan strategi untuk memenuhi tujuan, (3) menentukan tujuan terkait, dan
(4) menentukan selera risiko untuk diselesaikan. strategi itu. Pameran ini diadaptasi dari
materi panduan COSO ERM yang telah dipublikasikan sebelumnya. Materi ini adalah sumber
untuk mendapatkan pemahaman yang lebih detail tentang COSO ERM. Untuk mengelola dan
mengendalikan risiko di semua tingkatan, perusahaan perlu menetapkan tujuan dan
menentukan toleransi karena harus terlibat dalam praktik berisiko dan kepatuhannya terhadap
aturan ini. Hal-hal tidak akan berhasil jika perusahaan menetapkan beberapa tujuan yang
berhubungan dengan risiko tetapi kemudian mengabaikannya.
COSO ERM Event Identification
Events adalah insiden atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Meskipun
kecenderungan auditor internal adalah memikirkan peristiwa dalam arti negatif —
menentukan apa yang salah — kejadian itu juga bisa positif. Banyak perusahaan saat ini
memiliki alat pemantauan kinerja yang kuat, dengan proses pemantauan biaya, anggaran,
jaminan kualitas, kepatuhan, dan sejenisnya. Namun, melampaui satu meter pada jalur
perakitan produksi, proses pemantauan harus mencakup:
● Peristiwa ekonomi eksternal. Berbagai kejadian eksternal perlu dipantau untuk
membantu mencapai tujuan ERM perusahaan. Peristiwa jangka pendek dan panjang
dapat berdampak pada tujuan strategis perusahaan.
● Peristiwa lingkungan alam. Baik kebakaran, banjir, atau gempa bumi, banyak
kejadian dapat menjadi insiden dalam identifikasi risiko ERM. Dampak di sini
mungkin termasuk hilangnya akses ke beberapa bahan mentah utama, kerusakan
fasilitas fisik, atau tidak tersedianya personel.
● Peristiwa politik. Undang-undang dan peraturan baru serta beberapa hasil pemilu
dapat menjadi dampak peristiwa risiko yang signifikan terhadap perusahaan.
● Faktor sosial. Meskipun peristiwa eksternal seperti gempa bumi terjadi secara
tiba-tiba dan datang dengan sedikit peringatan, sebagian besar faktor sosial
berkembang secara perlahan. Ini termasuk perubahan demografis, adat istiadat sosial,
dan peristiwa lain yang dapat mempengaruhi perusahaan dan pelanggannya dari
waktu ke waktu.
● Acara infrastruktur internal. Perusahaan sering membuat perubahan yang memicu
kejadian terkait risiko lainnya. Misalnya, perubahan dalam pengaturan layanan
pelanggan dapat menyebabkan keluhan besar dan penurunan kepuasan pelanggan di
unit ritel.
● Peristiwa terkait proses internal. Mirip dengan peristiwa infrastruktur, perubahan
dalam proses utama dapat memicu berbagai peristiwa identifikasi risiko.
● Peristiwa teknologi eksternal dan internal. Setiap perusahaan menghadapi berbagai
macam peristiwa teknologi yang dapat memicu kebutuhan untuk identifikasi risiko
formal. Beberapa mungkin bertahap, sementara yang lain, seperti peralihan ke
lingkungan Web, lebih tiba-tiba.
Materi pendukung COSO ERM menyarankan bahwa perusahaan harus menetapkan
proses untuk meninjau potensi risiko yang signifikan dan kemudian mempertimbangkan
beberapa pendekatan berikut:
● Persediaan acara. Manajemen harus mengembangkan daftar kejadian terkait risiko
yang umum untuk industri spesifik perusahaan dan area fungsional dan mencoba
untuk menetapkan beberapa jenis sumber arsip "pelajaran yang didapat".
● Lokakarya yang difasilitasi. Perusahaan dapat mendirikan bengkel lintas fungsi untuk
membahas faktor risiko potensial yang mungkin berkembang dari berbagai peristiwa
internal atau eksternal.
● Wawancara, kuesioner, dan survei. Informasi mengenai peristiwa risiko potensial
dapat berasal dari berbagai sumber, seperti surat kepuasan pelanggan atau wawancara
keluar karyawan.
 ● Peristiwa terkemuka dan pemicu eskalasi.
● Loss event data tracking.

Proses ​monitoring ​termasuk :

1. External economic events = bagian yang besar mengenai kejadian eksternal harus
dipantau untuk membantu meraih ERM perusahaan
2. Natural environment event = kebakaran, banjir , gempa bumi dan sebagainya bisa
menjadi insiden dalam mengidentifikasi risiko ERM.
3. Political events = regulasi dan hukum ​serta beberapa hasil pemilu bisa menjadi
dampak yang signifikan terkait peristiwa risiko pada perusahaan
4. Social factors = Seperti perubahan demografi, sosial, atau kejadian lain yang
berdampak pada perusahaan dan pelanggannya dari waktu ke waktu
5. Internal infrastructure events
6. Internal process-related events = perubahan ​key processes ​bisa memicu
pengidentidikasian resiko
7. External and internal technological events

Sebuah perusahaan harus jelas menetapkan kejadian resiko yang signifikan dan
mengamatinya jika suatu saat butuh tindakan lebih lanjut.
COSO ERM ​supporting materials menyarankan bahwa sebuah perusahaan harus
mempertahankan proses untuk meninjau risiko signifikan dan mempertimbangkan beberapa
dari pendekatan berikut :
1. Event inventories
2. Facilitated workshops
3. interviews, questionnaires, and surveys
4. leading events and escalation triggers
5. loss event data tracking

COSO ERM Risk Assessment

Penilaian resiko membuat perusahaan bisa mempertimbangkan dampak dari risiko
yang berhubungan yang mungkin terjadi ketika perusahaan ingin mencapai tujuannya.
Resiko-resiko ini harus dinilai oleh dua perspektif : kemungkinan resiko terjadi dan
kemungkinan akibatnya. Kunci penting dari proses penilaian risiko adalah kebutuhan
perusahaan untuk mempertimbangkan ​inherent risk ​dan ​residual risk:
1. Inherent risk : a​ dalah potensi pemborosan, kerugian, penggunaan yang tidak sah atau
penyalahgunaan alam karena aktivitas itu sendiri. Faktor utama yang mempengaruhi
inherent risk perusahaan adalah anggaran, kekuatan dan kecanggihan dari
management.
2. Residual risk :​ ini adalah resiko yang tertinggal setelah respons manajemen lain untuk
ancaman resiko sudah diterapkan

COSO ERM Risk Response Elements

Empat dasar strategi risiko:
1. Avoidance
 2. Reduction
3. Sharing
4. Acceptance

COSO ERM Control Activities

Meskipun tidak ada ERM yang diterima atau standar kegiatan pengendalian saat ini,
dokumentasi COSO ERM menyarankan beberapa area :
1. Top Level reviews : Management senior harus sadar terhadap identified risk dalam
unit organisasi dan menampilkan reguler top-level reviews di statusnya
2. Direct functional or activity management : Fungsional dan direct unit manager harus
memiliki peran penting dalam memantau control risk.
3. Information Processing
4. Physical controls
5. Performance indicators
6. Segregation of duties : untuk memastikan control activity yang benar, seseorang yang
melakukan pekerjaan harus dibedakan dengan orang yang menyetujuinya

COSO ERM Information and Communication

7.4 OTHER DIMENSIONS OF COSO ERM: ENTERPRISE RISK OBJECTIVES

Operations Risk Management Objectives

Ada banyak jenis risiko operasi yang dapat berdampak pada perusahaan. Berikut
kerangka ERM tiga dimensi, yang dibutuhkan untuk tujuan risiko tingkat operasi identifikasi
risiko untuk setiap unit atau komponen perusahaan. Identifikasi ini bertujuan meningkatkan
risiko operasi karena sering membutuhkan pengumpulan informasi yang rinci dan analisis,
terutama untuk perusahaan yang lebih besar yang mencakup beberapa area geografis, produk
garis, atau proses bisnis. Manajer langsung dari unit individu biasanya memiliki yang terbaik
pemahaman tentang risiko operasional mereka, dan bahwa informasi dapat hilang jika
dikonsolidasikan untuk pelaporan tingkat yang lebih tinggi. Untuk mengumpulkan latar
belakang yang lebih detail informasi tentang risiko operasi potensial, informasi sering dapat
dikumpulkan melalui tinjauan audit internal atau survei terhadap orang-orang yang secara
langsung terkena dampak risiko ini. Sebuah survei tentang langsung di lantai anggota
perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan
pengembangan serangkaian risiko operasi yang di katalog secara konsisten di semua tingkat
perusahaan. Pertanyaan yang diajukan di sini akan serupa dengan jenis pertanyaan rinci
sering digunakan dalam penilaian pengendalian internal audit internal, dan hasil yang tersedia
data di sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik.

Reporting RIsk Management Objectives

Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan internal dan
eksternal data keuangan dan non keuangan. Pelaporan yang akurat sangat penting untuk
kesuksesan perusahaan dalam banyak dimensi.

Legal and Regulatory Compliance Risk Objectives

Perusahaan dalam bentuk apa pun harus mematuhi berbagai hukum dan pemerintahan-
dikenakan atau peraturan industri. Meskipun risiko kepatuhan dapat dipantau dan dikenali,
risiko hukum terkadang sama sekali tidak diantisipasi. Di Amerika Serikat, misalnya,
sistem hukum penggugat yang agresif dapat menimbulkan risiko besar jika tidak bermaksud
baik perusahaan.

7.5 ENTITY-LEVEL RISKS

Risks Encompassing the Entire Organization
Jika ada masalah perusahaan anak di negara lain, maka perusahaan akan segera
menjadi pusat perhatian sehubungan dengan anak perusahaan kecil. Dalam situasi seperti itu,
jurnalis dapat meminta CEO untuk memberikan komentar secara terbuka dan prosedur pada
operasi anak perusahaan tersebut. . Maksudnya adalah bahwa risiko besar dan yang
tampaknya kecil dapat berdampak secara keseluruhan perusahaan. Pengiriman makanan
tercemar diproduksi dalam satu unit kecil makanan cepat saji besar rantai dapat
mempengaruhi prospek dan reputasi perusahaan secara keseluruhan. Meskipun relatif mudah
untuk mengidentifikasi risiko tingkat tinggi di seluruh entitas seperti kepatuhan dengan
Bagian SOx 404, dan untuk mengidentifikasi dan memantau ini sebagai bagian dari proses
COSO ERM, harus hati-hati diambil bahwa risiko potensial yang lebih kecil tidak
menyelinap di antara celah-celah.