TUGAS RESUME MATA KULIAH

INTERNAL AUDIT
CHAPTER 5, 6 & 7 PERTEMUAN KE III
IMPORTANCE OF INTERNAL CONTROLS

Disusun Oleh :

Tiaz Nurrahmah Hidayati

041911535015

FAKULTAS EKONOMI DAN BISNIS

PRODI S1 AKUNTANSI
UNIVERSITAS AIRLANGGA di BANYUWANGI
2022
5.1 KEY SARBANES‐OXLEY ACT (SOx) ELEMENTS

SOx ini memperkenalkan serangkaian proses yang benar berubah untuk audit
eksternal dan memberikan tanggung jawab pemerintahan baru untuk eksekutif senior dan
anggota dewan. SOx juga mendirikan PCAOB, aturan pengaturan kewenangan sesuai dengan
SEC bahwa isu-isu standar audit keuangan dan memantau tata auditor eksternal.
1. Title I: Public Company Accounting Oversight Board
Undang-undang Sox mulai dengan aturan baru yang signifikan untuk auditor
eksternal. Sebelum SOx, American Institute Akuntan Publik (AICPA) memiliki pedoman
pengaturan merespon untuk semua auditor eksternal dan perusahaan publik akuntansi melalui
administrasi uji Akuntan Publik Bersertifikat (BPA) dan pembatasan atas keanggotaan
AICPA untuk CPA.
2. Title II : Auditor Independence
Konflik yang terjadi di Enron merupakan isu pembentukan Sox. Fungsi audit internal
perusahaan Enron dioutsource pada auditor eksternalnya, yaitu Arthur Andersen. Hal ini
sangat memengaruhi independensi dari Andersen. Terlebih investigator pada lingkungan
internal audit sangat sulit untuk mengangkat permasalahan ke komite audit mengenai auditor
eksternal mereka.
a. Limitations on Internal Auditor Services
Sox Section 201 melarang kantor akuntan publik yang terdaftar dari kinerja secara
kontemporer antara audit dan jasa nonaudit pada klien. Larangan termasuk mengaudit
internal, area konsultasi, dan perencanaan keuangan pekerja senior.
b. External Audit Partner Rotation
Partner akuntan publik tidak boleh memimpin suatu perikatan lebih dari lima tahun.
c. External Auditor Reports to Audit Commitees
Auditor eksternal kini diharuskan untuk melaporkan dasar semua kebijakan akuntansi,
praktik yang digunakan, langkah alternative dan laporan keuangan yang didiskusikan
oleh manajema, dan pendekatan yang dipilih oleh auditor eksternal.
d. Conflict of Interest and Mandatory Rotations of External Audit Firms
Section 206 melarang auditor eksternal untuk menyediakan jasa audit kepada
perusahaan dimana CEO, CFO, CAO yang diikutkan sebagai anggota kantor akuntan
publik pada waktu audit sampai akhir tahun.
3. Sox Title III : Corporate Responsibility
Title III menjelaskan perubahan besar peraturan baru untuk komite audit. Ini merupakan
area di mana auditor internal harus memiliki tingkat kepentingan yang lebih besar.
Walaupun komite audit pada umumnya terdiri dari direktur independen, ada banyak
pengecualian, Sox memperkenalkan berbagai aturan tata kelola perusahaan yang meliputi
dewan dan komite audit mereka.
❖ AUDIT COMMITTEE GOVERNANCE RULES

Semua perusahaan yang terdaftar harus memiliki komite audit terdiri dari direktur
independen saja, perusahaan audit eksternal bertanggung jawab langsung kepada komite
audit atas kompensasi perusahaan, pengawasan pekerjaan audit, dan resolusi dari setiap
perselisihan audit

❖ SECTION 302 : CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

Sebelum SOx, perusahaan mengajukan laporan keuangan mereka dengan SEC dan
investor tetapi dalam hal terjadi kesalahan,pegawai perusahaan yang bertanggung jawab
menandatangani laporan tersebut bisa membantah mereka tidak bertanggung jawab
secara pribadi.

❖ IMPROPER INFLUENCE OVER THE CONDUCT OF AUDITS

SOx membuatnya melanggar hukum untuk setiap pejabat, direktur, atau bawahan terkait
untuk mengambil tindakan dari aturan SEC, untuk "menipu, mempengaruhi, memaksa,
memanipulasi, atau menyesatkan”.

4. Title IV : Enhance Financial Disclosure

Title IV Sox dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, diantaranya untuk memperketat konflikkepentingan bagi pejabat perusahaan
dan direktur, untuk penilaian manajemen pengendalian internal, untuk meminta kode etik
pegawai senior,dan hal-hal lainnya.
a. Expanded Conflict of Interest Provisions and Disclosure
Dalam pengaturan yang sering muncul menjadi konflik kepentingan,yaitu tunjangan
relokasi besar atau pinjaman pribadi Eksekutif perusahaan diberikan dan kemudian
selanjutnya diampuni oleh dewan perusahaan.
 b. Management’s Assesment of Internal Controls: Section 404
Sox mengharuskan semua 10K laporan tahunan harus berisi laporan pengendalian
internal yang menyatakan tanggung jawab manajemen untuk membangun dan
menjaga sistem yang memadai pengendalian internal serta asersi manajemen,pada
tahun buku yang berakhir pada tanggal efektivitas dari prosedur pengendalian
internal yang terpasang.
c. Financial Officer Codes of Ethics.
Sox mengharuskan perusahaan mengadopsi kode etik untuk CEO mereka,CFO,dan
petugas senior lainnya yang mengungkapkan permintaan mereka dengan kode
sebagai bagian dari laporan tahunan keuangan mereka.
d. Other Title IV Required Disclosure
Semua entitas SEC-terdaftar diwajibkan untuk membentuk 10K laporan tahunan
serta laporan keuangan SEC lainnya. Perusahaan menerbitkan laporan yang berisi
antisipasi tinjauan SEC secara rinci, sidang pimpinan untuk Sox, bagaimanapun,
mengungkapkan bahwa tinjauan SEC tidak selalu tepat waktu atau komprehensif.

5. Title V : Analyst Conflicts of Interest

Title V dirancang untuk memperbaiki beberapa pelanggaran efek analis. Investor telah
mengandalkan rekomendasi dari analis sekuritas selama bertahun-tahun, namun sering
para analis menyerah pada broker besar, dan menganalisis dan merekomendasikan efek
kepada kalangan investor dan pengusaha lembaga keuangan mereka.

6. Title VI – X : Fraud Accountability and White Collar Crime

Title ini mencakup isu-isu mulai dari dana alokasi SEC untuk rencana untuk studi di
masa depan, dan mereka termasuk aturan baru untuk memperketat apa yang telah dilihat
sebagai celah peraturan masa lalu.

7. Title XI : Corporate Fraud Accountability

SOx terakhir meliputi tanggung jawab perusahaan untuk penipuan pelaporan keuangan.
Title ini ditetapkan untuk memperbaiki pelanggaran yang dilaporkan dimana beberapa
perusahaan sedang diselidiki untuk penipuan keuangan tersebut secara bersamaan
mengeluarkan pembayaran kas besar untuk individu.
5.2 PERFORMING SECTION 404 REVIEWS UNDER AS5
Pada section 404, sebuah perusahaan bertanggungjawab untuk melakukan review,
mendokumentasi, dan menguji pengendalian internalnya. Awal pertengahan 2007, section
404 ini dubah menjadi AS 5, yang merupakan pendekatan audit lebih berisiko yang lebih baik
penggunaannya olehh internal auditor dalam melakukan penilaian.
❖ Section Internal Controls Assessment Today
Manajemen memiliki tanggung jawab untuk merancang dan mengimplementasikan
pengenadalian internaldalam operasi perusahaan. Section 404 mensyaratkan persiapan
laporan pengendalian internal tahunansebagai bagian dari mandate SEC 10K laporan
tahunan perusahaan.
❖ Organizing The Project
Usaha yang diperlukan untuk pendaftar baru didasarkan pada kekuatan dan kecanggihan
dari pemrosesan pengendalian internal suatu perusahaan dan harus mengikuti delapan
langkah

5.3 AS5 RULES AND INTERNAL AUDIT

AS5 memperkenalkan aturan-aturan berbasis risiko dengan penekanan pada efektivitas

pengendalian tingkat perusahaan yang lebih berorientasi pada fakta perusahaan dan keadaan.
selain itu, standar auditing panggilan untuk auditor eksternal untuk mempertimbangkan
termasuk kajian terhadap sesuai dengan laporan audit internal di review audit laporan
keuangan mereka. AS5 memungkinkan auditor eksternal untuk lebih menekankan pada
kemampuan manajemen untuk membangun dan mendokumentasikan kunci pengendalian
internal. Auditor keuangan internal manajemen perlu memahami risiko dan aturan baru
berdasarkan scalable untuk audit keuangan perusahaan mereka.

5.4 DAMPAK TINDAKAN SARBANES-OXLEY

Bagian sebelumnya telah memberikan gambaran umum tentang Sarbanes-Oxley Act.

Meskipun tidak mencakup semua bagian Sox, tetapi dalam hal ini memberikan pemahaman
menyeluruh kepada auditor internal tentang bagian-bagian penting yang akan berdampak
pada audit tahunan suatu perusahaan dan komite auditnya, baik itu perusahaan besar yang
berbasis di AS, perusahaan kecil yang bahkan tidak diperdagangkan di NASDAQ, atau
perusahaan swasta dengan penerbitan obligasi yang terdaftar melalui SEC, semuanya berada
di bawah aturan SOx.
SOx adalah undang-undang yang penting, dan setiap auditor internal harus mempunyai
pemahaman umum mengenai Sox ini karena sebagai persyaratan CBOK. Bagian 404 SOx
tentang tinjauan kontrol akuntansi internal harus menerima perhatian dan pemahaman audit
internal yang paling banyak. Dalam Bagian 404, Suatu perusahaan bertanggung jawab untuk
meninjau, mendokumentasikan, dan menguji kontrol akuntansi internalnya sendiri, dengan
hasil peninjauan tersebut kemudian diteruskan ke auditor eksternal perusahaan, yang
ditugaskan untuk meninjau dan membuktikan pekerjaan itu sebagai bagian dari pekerjaan
mereka. tinjauan Bagian 404 merupakan kesulitan besar bagi banyak perusahaan karena
auditor eksternal diharuskan mengikuti serangkaian prosedur audit akuntansi keuangan AS2
yang sangat rinci.

6.1 PENGANTAR COBIT

COBIT adalah akronim yang semakin dikenal oleh banyak auditor internal dan eksternal serta
profesional TI. COBIT adalah kerangka kontrol internal penting yang dapat berdiri sendiri,
tetapi juga merupakan alat pendukung penting untuk mendokumentasikan dan memahami
kontrol internal COSO dan SOx. Meskipun penekanan awal COBIT adalah berorientasi pada
TI, kerangka kerja telah diperluas, dan auditor internal di banyak perusahaan saat ini
setidaknya harus memiliki pemahaman tentang kerangka kerja COBIT dan penggunaannya
sebagai alat untuk mendokumentasikan, meninjau, dan memahami pengendalian internal
SOx. Pengetahuan umum tentang COBIT harus menjadi persyaratan CBOK auditor internal.
Standar dan kerangka kerja COBIT dikeluarkan dan diperbarui secara berkala oleh IT
Governance Institute dan organisasi profesional yang berafiliasi erat dengan Information
Systems Audit and Control Association (ISACA). ISACA pada awalnya dikenal sebagai
Electronic Data Processing Auditors Association (EDPAA), sebuah kelompok profesional
yang dimulai pada tahun 1967 oleh auditor internal yang merasa organisasi profesinya.

EDPAA, yang awalnya merupakan organisasi profesional audit TI pemula, mulai

mengembangkan materi panduan profesional audit TI segera setelah pembentukannya. Sama
seperti EDPAA yang berevolusi menjadi ISACA dan sekarang ITGI, standar audit TI aslinya
menjadi seperangkat tujuan pengendalian internal yang sangat baik yang berkembang
menjadi COBIT, sekarang dalam edisi 2012 versi 5. 1 Dengan hampir semua proses
perusahaan saat ini terkait dengan TI. Prinsip-prinsip kerangka kerja COBIT sering
digambarkan sebagai segi lima yang mencakup lima area pengendalian internal yang luas dan
saling berhubungan, seperti yang diilustrasikan dalam Tampilan 6.1. Ini menunjukkan lima
bidang penekanan utama COBIT yang diatur di sekitar konsep inti penting dari tata kelola TI:

1. Penyelarasan Strategis: upaya untuk menyelaraskan operasi dan aktivitas TI dg

semua operasi perusahaan lainnya.
2. Pengiriman Nilai: Proses harus ada untuk memastikan bahwa TI dan unit operasi
lainnya memberikan manfaat yang dijanjikan
3. Manajemen Risiko: Manajemen di semua tingkatan harus memiliki pemahaman
yang jelas tentang selera perusahaan terhadap risiko, persyaratan kepatuhan, dan
dampak signifikan.
4. Manajemen Sumber Daya: Dengan penekanan pada TI, harus ada investasi yang
optimal dalam, dan pengelolaan yang tepat dari, sumber daya TI penting, aplikasi,
informasi, infrastruktur, dan orang.
5. Pengukuran Kinerja: Proses harus tersedia untuk melacak dan memantau
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses,
dan penyampaian layanan.

6.2 KERANGKA COBIT

Proses TI, aplikasi perangkat lunak dan perangkat keras pendukungnya merupakan
komponen kunci di perusahaan mana pun saat ini. Baik bisnis ritel kecil dengan kebutuhan
untuk melacak inventaris dan membayar karyawannya, semuanya memerlukan serangkaian
proses TI yang saling berhubungan dan seringkali kompleks yang terkait erat dengan operasi
bisnis mereka. COBIT memberikan pendekatan alternatif untuk mendefinisikan dan
menggambarkan pengendalian internal yang memiliki lebih banyak penekanan TI daripada
kerangka pengendalian internal COSO yang baru direvisi. Lima prinsip dasar COBIT, dengan
persyaratan bisnis yang mendorong permintaan akan sumber daya TI dan sumber daya
tersebut yang memulai proses TI dan informasi perusahaan secara sirkular berkelanjutan.
Bagian berikut akan membahas masing-masing dari lima prinsip COBIT, mulai dari prinsip 1
memenuhi kebutuhan pemangku kepentingan, hingga prinsip 5 tentang memisahkan tata
kelola dari manajemen. Tata kelola TI sekarang menjadi konsep kunci COBIT yang tidak
terlalu ditekankan sebagai elemen pengendalian internal yang penting baik dalam kerangka
kerja COSO asli atau di SOx. Konsep pengendalian internal yang penting saat ini, COBIT
mendefinisikan tata kelola TI sebagai serangkaian area utama mulai dari menjaga fokus pada
penyelarasan strategis hingga pentingnya pengukuran risiko dan kinerja saat mengelola
sumber daya TI.

Sementara COBIT memiliki tujuan untuk mencakup semua kontrol internal operasi
perusahaan, COBIT terutama menyediakan kerangka kerja komprehensif yang dirancang
untuk membantu perusahaan dalam mencapai tujuan mereka untuk tata kelola dan
manajemen TI perusahaan. Sederhananya, ini membantu perusahaan menciptakan nilai
optimal dari TI dengan menjaga keseimbangan antara mewujudkan manfaat dan
mengoptimalkan tingkat risiko dan penggunaan sumber daya.

Lima prinsip ini telah diekstraksi dan diringkas dari dokumentasi yang diterbitkan ISACA.2
Pemahaman masing-masing penting untuk menggunakan COBIT dalam mengevaluasi dan
memahami pengendalian internal perusahaan. Auditor internal harus mempertimbangkan
untuk menggunakan COBIT dan versi 5 saat meninjau dan menilai pengendalian internal di
lingkungan yang sangat berorientasi pada TI.

6.3 PRINSIP 1:MEMENUHI KEBUTUHAN PEMANGKU KEPENTINGAN

Prinsip pertama COBIT menyatakan bahwa suatu perusahaan dan manajemennya harus
mengakui bahwa perusahaan mereka dapat menciptakan nilai bagi pemangku kepentingan,
seperti investor pelanggan, karyawan, pengguna, ataupun orang lain. Penciptaan nilai,
sebagaimana didefinisikan dalam COBIT, berarti mewujudkan berbagai manfaat dengan
biaya sumber daya, risiko, dan pemanfaatan sumber daya yang optimal. Manfaat ini dapat
mengambil banyak bentuk, termasuk keuangan untuk perusahaan komersial atau layanan
publik untuk entitas pemerintah. COBIT meminta pemangku kepentingan perlu diubah
menjadi tindakan yang dapat ditindaklanjuti, strategi yang menerjemahkan kebutuhan
pemangku kepentingan ke dalam tujuan yang terkait dengan perusahaan dan TI yang spesifik
dan disesuaikan, yang disebut COBIT sebagai tujuan yang memungkinkan. COBIT
mendefinisikan ini sebagai proses mengidentifikasi kebutuhan TI dan manajemen dan
kemudian membangun tujuan dari kebutuhan tersebut. Balanced scorecard adalah alat
penting yang harus menjadi bagian dari CBOK auditor internal. COBIT menyarankan bahwa
seperangkat tujuan perusahaan pertama harus ditetapkan, diikuti dengan latihan serupa untuk
menetapkan tujuan TI. Proses penetapan tujuan ini mencerminkan orientasi TI berat COBIT
meskipun protes menjadi alat evaluasi pengendalian internal manajemen secara keseluruhan.
Ketika memulai tinjauan mengikuti prinsip- prinsip COBIT , auditor internal harus
melangkah mundur dan mengembangkan pemahaman tentang kebutuhan keuangan,
pelanggan, internal, dan perusahaan dari perusahaan.

COBIT selanjutnya menyarankan bahwa kebutuhan TI dan manajemen yang teridentifikasi

ini harus diubah dan diubah menjadi tujuan yang lebih mapan. Hal ini sering dapat dicapai
secara efektif dengan menggunakan pendekatan balanced scorecard, seperti yang
diperkenalkan pada Bab 17. Balanced scorecard adalah alat penting yang harus menjadi
bagian dari CBOK auditor internal. COBIT menyarankan bahwa seperangkat tujuan
perusahaan pertama harus ditetapkan, diikuti dengan latihan serupa untuk menetapkan tujuan
TI. Proses penetapan tujuan ini mencerminkan orientasi TI berat COBIT meskipun protes
menjadi alat evaluasi pengendalian internal manajemen secara keseluruhan.

Sebagai langkah terakhir dalam menerapkan prinsip pertama ini, COBIT meminta tim yang
menerapkan proses ini untuk mengalirkan tujuan yang telah ditetapkan ini ke dalam tujuan
enabler COBIT. Kaskade tujuan COBIT ini penting untuk memungkinkan definisi prioritas
untuk implementasi, peningkatan, dan jaminan tata kelola TI perusahaan berdasarkan tujuan
strategis perusahaan dari risiko terkait. Dalam praktiknya, kaskade tujuan ini harus membantu
perusahaan untuk menentukan tujuan dan sasaran yang relevan dan nyata di berbagai tingkat
tanggung jawab.

6.4 PRINSIP 2: MENUTUP PERUSAHAAN AKHIR KE AKHIR

COBIT menyatakan bahwa itu membahas tata kelola dan manajemen informasi dan teknologi
terkait dari perspektif ujung ke ujung perusahaan besar bukan ekspresi yang sangat umum
bagi sebagian besar auditor internal. Ini berarti bahwa COBIT memerlukan integrasi tata
kelola TI perusahaan, dan bahwa sistem tata kelola untuk perusahaan harus terintegrasi
dengan mulus dalam sistem tata kelola apa pun. COBIT sejalan dengan pandangan tentang
tata kelola TI yang mencakup semua fungsi dan proses yang diperlukan untuk mengatur dan
mengelola informasi perusahaan dan teknologi terkait di mana pun informasi tersebut dapat
diproses. Mengingat ruang lingkup perusahaan yang diperluas ini, COBIT juga menangani
semua layanan TI internal dan eksternal yang relevan, serta proses bisnis internal dan
eksternal.
COBIT memberikan pandangan holistik dan sistemik tentang tata kelola dan manajemen TI
perusahaan berdasarkan sejumlah faktor yang memungkinkan. Kami telah mengambil istilah
holistik dari COBIT. Ini adalah salah satu istilah yang sering digunakan oleh akademisi tetapi
tidak oleh auditor internal saat mereka mendiskusikan kemajuan tinjauan mereka, atau oleh
banyak manajer perusahaan. Ini mengacu pada mengambil pandangan yang mencakup semua
hal berdasarkan sifat, fungsi, dan sifat komponen dan interaksinya. Dengan kata lain, kita
harus melihat gambaran besar pada berbagai hal. Seluruh gagasan di sini adalah bahwa tujuan
penciptaan nilai COBIT dari realisasi manfaat, risiko, dan optimalisasi sumber daya harus
mendorong beberapa penggerak tata kelola. Pemberdaya ini harus mencakup seluruh
perusahaan dan ujung ke ujung. Artinya, mereka harus mencakup segala sesuatu dan semua
orang, internal dan eksternal, yang relevan dengan tata kelola dan pengelolaan informasi
perusahaan dan TI terkait, termasuk aktivitas dan tanggung jawab fungsi TI dan fungsi bisnis
non-TI.
Informasi adalah salah satu kategori enabler COBIT, model dimana COBIT 5 mendefinisikan
enabler dan memungkinkan setiap pemangku kepentingan untuk menentukan persyaratan
yang luas dan lengkap untuk informasi dan siklus hidup pemrosesan informasi, sehingga
menghubungkan bisnis dan kebutuhannya akan informasi yang memadai dan fungsi TI, dan
mendukung fokus bisnis dan konteks. Pemberdaya tata kelola adalah sumber daya organisasi
untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik, melalui atau ke
arah mana tindakan diarahkan dan tujuan dapat dicapai. Enabler juga mencakup sumber daya
perusahaan misalnya, kemampuan layanan (infrastruktur TI, aplikasi, dan sebagainya), orang,
dan informasi. Kurangnya sumber daya atau enabler dapat mempengaruhi kemampuan
perusahaan untuk menciptakan nilai.

6.5 PRINSIP 3: KERANGKA KERJA TERPADU TUNGGAL

COBIT adalah kerangka kerja tunggal dan terintegrasi karena selaras dengan standar dan
kerangka kerja lain yang relevan saat ini, seperti ITIL®, yang dibahas dalam Bab 19 , dan
memungkinkan perusahaan untuk menggunakan COBIT sebagai integrator kerangka tata
kelola dan manajemen yang menyeluruh. Ini lengkap dalam cakupan perusahaan,
memberikan dasar untuk mengintegrasikan kerangka kerja, standar, dan praktik lain secara
efektif. Kerangka kerja tunggal yang menyeluruh berfungsi sebagai sumber panduan yang
konsisten dan terintegrasi dalam bahasa umum nonteknis, agnostik teknologi.
COBIT menyediakan arsitektur sederhana untuk menyusun bahan panduan dan menghasilkan
set produk yang konsisten. Ini memiliki tujuan untuk mengintegrasikan pengetahuan yang
sebelumnya tersebar di berbagai kerangka kerja seperti COSO. Tidak disebutkan dalam
dokumentasi COBIT tentang hubungannya dengan Standar Internasional IIA untuk Praktik
Profesional Audit Internal, seperti yang dibahas dalam Bab 9 . Namun, COBIT adalah alat
alternatif yang harus dipertimbangkan oleh auditor internal sebagai kerangka tinjauan
pengendalian internal alternatif, terutama mengingat penekanan COBIT pada sistem dan
proses TI. Kerangka kerja COBIT memberikan panduan tentang tata kelola dan manajemen
TI perusahaan dengan menyelaraskan dengan standar dan kerangka kerja lain yang relevan,
seperti standar ITIL® dan ISO. Tampilan 6.4 menjelaskan tujuan COBIT secara keseluruhan
dan aliran metrik.

6.6 PRINSIP 4: MENGAKTIFKAN PENDEKATAN HOLISTIK

Enabler adalah faktor yang, secara individu dan kolektif, memengaruhi apakah sesuatu akan
berhasil—dalam hal ini, tata kelola dan manajemen atas TI perusahaan. Enabler didorong
oleh tujuan yang mengalir dari prinsip 3, di mana tujuan terkait TI tingkat yang lebih tinggi
menentukan apa yang harus dicapai oleh berbagai enabler. Tampilan 6.5 menjelaskan kelas
atau jenis faktor pendukung ini: Prinsip, kebijakan, dan kerangka kerja adalah sarana yang
memungkinkan untuk menerjemahkan perilaku yang diinginkan ke dalam panduan praktis
untuk manajemen sehari-hari.
● Pemberdaya struktur organisasi adalah entitas pembuat keputusan utama dalam suatu
perusahaan.
● Budaya, etika, dan perilaku individu dan perusahaan merupakan faktor pendukung
yang sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
● Pemberdaya informasi menyebar ke seluruh organisasi dan mencakup semua
informasi yang dihasilkan dan digunakan oleh perusahaan. Informasi diperlukan
untuk menjaga agar organisasi tetap berjalan dan diatur dengan baik, tetapi pada
tingkat operasional, informasi seringkali merupakan produk utama dari perusahaan itu
sendiri.
● Penyedia layanan, infrastruktur, dan aplikasi mencakup infrastruktur, teknologi, dan
aplikasi yang menyediakan pemrosesan dan layanan teknologi informasi bagi
perusahaan.
● Keterampilan dan kompetensi profesional pribadi diperlukan untuk berhasil
menyelesaikan semua kegiatan dan untuk membuat keputusan yang benar dan
mengambil tindakan korektif.
Apa yang sebenarnya COBIT katakan adalah bahwa informasi, yang perlu dikelola
sebagai sumber daya, dan informasi lainnya, seperti laporan manajemen dan informasi
intelijen bisnis, merupakan faktor penting untuk tata kelola dan manajemen perusahaan. Ini
juga termasuk layanan, infrastruktur, dan aplikasi serta orang dan keterampilan dan
kompetensi mereka. Ada empat dimensi umum untuk enabler:
1) pemangku kepentingan internal,
2) tujuan pemangku kepentingan eksternal,
3) siklus hidup pemangku kepentingan yang memungkinkan, dan
4) hanya praktik yang baik.
Artinya, setiap enabler memiliki pemangku kepentingan yang berperan aktif dan/atau
memiliki kepentingan. Misalnya, proses memiliki pihak yang berbeda yang menjalankan
aktivitas proses dan/atau yang berkepentingan dengan hasil proses; struktur organisasi
memiliki pemangku kepentingan, masing-masing dengan peran dan kepentingannya sendiri
yang merupakan bagian dari struktur. Pemangku kepentingan dapat berasal dari internal atau
eksternal perusahaan, semuanya memiliki kepentingan dan kebutuhan mereka sendiri,
terkadang bertentangan. Kebutuhan pemangku kepentingan diterjemahkan ke tujuan
perusahaan, yang pada gilirannya diterjemahkan ke tujuan terkait TI untuk perusahaan.

6.7 PRINSIP 5: MEMISAHKAN TATA KELOLA DARI MANAJEMEN

Prinsip kelima dan kelima COBIT berfokus pada pentingnya konsep manajemen dan tata
kelola yang terpisah tetapi terkait dalam perusahaan yang berorientasi pada TI. Kerangka
kerja COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua
disiplin ilmu ini mencakup jenis kegiatan yang berbeda, memerlukan struktur organisasi yang
berbeda, dan melayani tujuan yang berbeda. Perbedaan ini adalah kunci pandangan COBIT
tentang tata kelola dan manajemen. Kita sering lupa bahwa tata kelola, istilah populer dalam
bisnis saat ini, berasal dari kata kerja Yunani yang berarti "mengarahkan".

Sistem tata kelola mengacu pada semua cara dan mekanisme yang memungkinkan banyak
pemangku kepentingan dalam suatu perusahaan memiliki suara yang terorganisir dalam
mengevaluasi kondisi dan opsi; pengaturan arah; dan memantau kepatuhan, kinerja, dan
kemajuan terhadap rencana, untuk memenuhi tujuan perusahaan tertentu. Ini semua mengacu
pada satu set utama kegiatan kemudi. Sarana dan mekanisme di sini termasuk kerangka kerja,
prinsip, kebijakan, sponsorship, struktur, dan mekanisme keputusan, serta peran dan
tanggung jawab, proses, dan praktik untuk menetapkan arah dan memantau kepatuhan dan
kinerja yang selaras dengan tujuan keseluruhan. Ini adalah definisi tata kelola TI yang agak
besar dan luas, tetapi kita harus selalu ingat bahwa di sebagian besar perusahaan, tata kelola
adalah tanggung jawab dewan direksi di bawah kepemimpinan CEO dan ketua. Seringkali
dibedakan dari tata kelola, manajemen memerlukan penggunaan sumber daya, orang, proses,
praktik, dan sebagainya secara bijaksana untuk mencapai tujuan yang teridentifikasi. Ini
adalah sarana atau instrumen yang digunakan badan tata kelola untuk mencapai hasil atau
tujuan.

Manajemen bertanggung jawab atas pelaksanaan dalam arah yang ditetapkan oleh badan atau
unit pemandu. Manajemen adalah tentang perencanaan, pembangunan, pengorganisasian, dan
pengendalian kegiatan operasional untuk menyelaraskan dengan arah yang ditetapkan oleh
badan tata kelola. Dari definisi tata kelola dan manajemen, jelas bahwa keduanya terdiri dari
berbagai jenis kegiatan, dengan tanggung jawab yang berbeda; namun, mengingat peran tata
kelola untuk mengevaluasi, mengarahkan, dan memantau—seperangkat interaksi diperlukan
antara tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efisien dan
efektif. Interaksi ini, menggunakan struktur enabler, ditampilkan pada tingkat tinggi dalam
Tampilan 6.6. COBIT menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan
yang berbeda, dengan tanggung jawab yang berbeda. Namun, mengingat peran tata Kelola
untuk mengevaluasi, mengarahkan, dan memantau seperangkat interaksi diperlukan antara
tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efisien dan efektif.
Interaksi ini, dengan menggunakan struktur yang memungkinkan, kemudian dikaitkan
dengan proses tinjauan pengendalian internal tertentu, kekuatan sebenarnya dari kerangka
kerja COBIT.

6.8 MENGGUNAKAN COBIT UNTUK MENILAI KONTROL INTERNAL

Sementara pengendalian internal COSO dibangun di sekitar hanya satu model kerangka kerja
dan beberapa panduan umum untuk mengevaluasi dan menilai pengendalian internal ini, ada
seperangkat materi yang diterbitkan yang mendukung penilaian pengendalian internal COBIT
yang ekstensif dan terperinci. Pada bagian ini, kami memberikan ringkasan terbatas dari
beberapa bahan panduan COBIT untuk memberikan auditor internal rasa COBIT, tetapi
profesional yang tertarik mungkin ingin berkonsultasi dengan situs web ISACA untuk
informasi lebih lanjut dan untuk meminta salinan lengkap dari bahan pendukung. Versi yang
dapat diunduh gratis untuk anggota ISACA atau dapat dibeli dengan biaya nominal. COBIT
membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan proses TI
menjadi apa yang disebut COBIT sebagai lima area domain:
1. Evaluasi, Langsung, dan Pantau (EDM)
2. Align, Plan, and Organize (APO)
 3. Membangun, Memperoleh, dan Menerapkan (BAI)
4. Pengiriman, Layanan, dan Dukungan (DSS)
5. Memantau, Mengevaluasi, dan Menilai (MEA)
Inisial pengidentifikasi lima area domain ini, seperti MEA untuk domain kelima, akan
digunakan sebagai bagian dari deskripsi elemen COBIT kami selama pengenalan singkat
kami tentang COBIT di bagian selanjutnya dalam bab ini. Area domain ini selanjutnya
diringkas menjadi peta proses keseluruhan untuk pengelolaan TI perusahaan, dan kami
menekankan di sini bahwa COBIT adalah alat untuk mengendalikan dan mengevaluasi semua
pengendalian internal perusahaan, meskipun fokusnya terutama berorientasi pada TI. Untuk
masing-masing area domain proses ini, COBIT mendefinisikan apa yang disebut praktik
manajemen kunci khusus. Misalnya, area domain Deliver, Service, and Support (DSS), yang
diperlihatkan di baris bawah item dalam Tampilan 6.7, menunjukkan enam area proses untuk
domain tersebut, dari DSS 01, Manage Operations, hingga DSS 06, Manage Process Controls
. Dokumentasi COBIT kemudian menelusuri dengan deskripsi Proses Pengaktifan terperinci
untuk masing-masing. Misalnya, COBIT memanggil Enabling Process DSS 04 Manage
Continuity, kemudian menelusuri ke DSS 04.01, Define the Business Continuity Policy.

6.9 MAPPING COBIT TO COSO INTERNAL CONTROLS COSO

Kerangka pengendalian internal COSO menyatakan bahwa pengendalian internal adalah

prosesyang ditetapkan oleh dewan direksi entitas, manajemen senior, dan personel lain
dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan yang
dinyatakan. Meskipun memiliki tujuan yang sama, COBIT mendekati kontrol TI dengan
melihat informasi bukan hanya informasi keuangan COSO—yang diperlukan untuk
mendukung kebutuhan bisnis dan sumber daya serta proses TI terkait. Tujuan pengendalian
COSO mencakup efektivitas, efisiensi operasi, pelaporan keuangan yang andal, dan
kepatuhan terhadap hukum dan peraturan. Peran utamanya adalah untuk kontrol internal
fidusia dan keuangan. Di sisi lain, sementara ISACA dan ITGI mengakui dan membuat
referensi eksplisit untuk peran kontrol internal keuangan COSO, mereka memperluas peran
COBIT untuk mencakup persyaratan kualitas dan keamanan dalam kategori yang tumpang
tindih efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan, dan keandalan
informasi.
Kategori-kategori ini membentuk dasar tujuan pengendalian COBIT dalam lima area
domainnya. COSO dan COBIT melayani audiens yang berbeda. Sementara target audiens
COSO bersifat umum dan diarahkan ke manajemen senior, COBIT lebih ditujukan untuk
manajemen TI, pengguna TI, dan auditor internal dan eksternal TI. Baik COSO dan COBIT
memandang pengendalian internal sebagai proses keseluruhan entitas, tetapi COBIT secara
khusus berfokus pada pengendalian TI. Perbedaan ini pada dasarnya mendefinisikan dan
menentukan sebagian besar ruang lingkup setiap kerangka kontrol. Karena perbedaan ini,
manajemen senior seharusnya tidak mengharapkan hubungan langsung satu-ke-satu di antara
5 komponen kontrol COSO, 17 prinsip COSO, dan 5 domain tujuan COBIT. Meskipun
penggunaan COBIT sering terkonsentrasi pada fungsi TI di banyak perusahaan dan
pengendalian internal COSO lebih menjadi perhatian manajemen senior, kedua fungsi
perusahaan harus menyadari dan mengakui pentingnya setiap kerangka kerja untuk menilai
dan menerapkan pengendalian internal yang efektif.

CH 7 : ENTERPRISE RISK MANAGEMENT: COSO ERM

ENTERPRISES PERLU MENGIDENTIFIKASI SEMUA risiko bisnis yang mereka hadapi

keuangan dan operasional serta sosial, etika, dan lingkungandan mengelolanya pada tingkat
yang dapat diterima. Memahami risiko adalah komponen utama untuk mencapai Sarbanes-
Oxley (SOx) dan kepatuhan kontrol internal, melalui kerangka kontrol internal COSO dan
standar audit AS5; audit internal, baik dalam peran asurans maupun konsultasinya, dapat
memainkan peran yang signifikan dalam berkontribusi terhadap manajemen risiko ini.

Konsep dan pemahaman seorang profesional tentang risiko mungkin sangat berbeda dari
orang lain, meskipun keduanya bekerja untuk perusahaan yang sama dan di bidang yang
serupa. Hal ini terutama berlaku untuk manajer dan auditor internal yang bekerja untuk
meningkatkan kontrol internal COSO dan kepatuhan terkait SOx; belum ada pemahaman
yang konsisten tentang apa yang dimaksud dengan konsep risiko ini. Khususnya untuk
mendukung pemahaman tentang pengendalian internal COSO dan SOx, auditor internal perlu
memiliki pemahaman yang baik tentang manajemen risiko di tingkat perusahaan dan
bagaimana hal itu memengaruhi keterampilan mereka untuk membangun dan
mengembangkan proses pengendalian internal yang efektif.
7.1 RISK MANAGEMENT FUNDAMENTALS

Manajemen risiko adalah konsep terkait asuransi di mana individu atau perusahaan biasanya
menggunakan mekanisme asuransi untuk memberikan perisai atau perlindungan dari risiko
tersebut.

Bagian berikut akan secara singkat mensurvei beberapa pendekatan manajemen risiko
modern yang mendasar dengan tujuan membantu menetapkan prosedur manajemen risiko
perusahaan yang lebih efektif. Proses manajemen risiko yang efektif memerlukan empat
langkah:

(1) identifikasi risiko,

(2) penilaian kuantitatif atau kualitatif dari risiko yang didokumentasikan,

(3) prioritas risiko dan perencanaan respons, dan

(4) pemantauan risiko.

Risk Identification

Cara yang baik untuk memulai proses identifikasi risiko adalah memulai dengan bagan
perusahaan tingkat tinggi yang mencantumkan tingkat perusahaan serta unit operasi. Masing-
masing unit tersebut mungkin memiliki fasilitas di beberapa lokasi global dan juga dapat
terdiri dari beberapa jenis operasi yang berbeda. Setiap fasilitas yang terpisah kemudian akan
memiliki departemen atau fungsinya sendiri. Beberapa fasilitas ini mungkin terkait erat satu
sama lain, sementara yang lain mewakili sedikit lebih banyak daripada investasi perusahaan.
Sebuah tugas yang sulit dan terkadang rumit, inisiatif seluruh perusahaan harus diluncurkan
untuk mengidentifikasi semua risiko di berbagai bidang individu. Jenis latihan ini dapat
memberikan hasil yang menarik dan/atau mengganggu. Misalnya, manajer senior tingkat
perusahaan mungkin menyadari beberapa risiko kewajiban produk, tetapi supervisor garis
depan di unit operasi mungkin melihat risiko yang sama dari perspektif yang sama sekali
berbeda. Anggota perusahaan yang berbeda pada tingkat yang berbeda akan melihat beberapa
risiko yang sama dari sudut pandang yang berbeda. Manajer pemasaran mungkin khawatir
tentang strategi penetapan harga pesaing atau risiko aktivitas penetapan harga yang akan
membuat perusahaan melanggar undang-undang pembatasan perdagangan. Untuk memiliki
pemahaman yang lebih baik tentang risiko yang dihadapi suatu perusahaan, seringkali yang
terbaik adalah memperluas daftar ini untuk menetapkan satu set yang lebih lengkap. Tim
manajemen perusahaan kemudian harus mengambil daftar potensi risiko perusahaan yang
lebih lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang baris:

· Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?

· Akankah perusahaan menghadapi risiko ini karena peristiwa internal atau eksternal?

· Risiko terkait, sehingga satu risiko dapat menyebabkan risiko lain terjadi?

Key Risk Assessments

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah

menilai kemungkinan dan signifikansi relatifnya. Berbagai pendekatan dapat digunakan di
sini, mulai dari pendekatan kualitatif tebakan terbaik hingga beberapa analisis kuantitatif
yang sangat matematis dan terperinci. Idenya adalah untuk membantu memutuskan mana dari
serangkaian peristiwa yang berpotensi berisiko yang harus membuat manajemen paling
khawatir. Pendekatan yang sederhana namun sering efektif di sini adalah dengan mengambil
daftar risiko yang teridentifikasi yang dibahas sebelumnya dan mengedarkannya kepada
manajer kunci dengan kuesioner yang menanyakan setiap risiko:

Berapa kemungkinan risiko ini terjadi selama periode ? Dengan menggunakan rentang skor 1
sampai 9, berikan skor tebakan terbaik sebagai berikut:

· Skor 1 jika melihat hampir tidak ada peluang risiko itu terjadi selama periode tersebut.

· Skor 9 jika merasa peristiwa itu hampir pasti akan terjadi selama periode tersebut.

· Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinan jatuh dalam kisaran ini.

Probability and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan kemungkinan
dan kejadian risiko yang diperkirakan individu dalam hal probabilitas dua digit mulai dari
0,01 hingga 0,99.

Risk Interdependencies
Independensi risiko harus dipertimbangkan dan dievaluasi di seluruh struktur organisasi.
Setiap entitas harus memperhatikan risiko di semua tingkat organisasi tetapi hanya benar-
benar memiliki kendali atas risiko dalam lingkupnya sendiri. Jatuhnya tahun 2002 dari kantor
akuntan Arthur Andersen setelah runtuhnya Enron adalah contohnya. Setiap unit kota-demi-
kota dan negara-demi-negara dari kantor akuntan publik yang pernah dihormati itu memiliki
prosedur penilaian risikonya sendiri, mengikuti standar perusahaan. Namun, peristiwa risiko
di salah satu kantor operasi, Houston, menyebabkan perusahaan itu runtuh di seluruh dunia.
Sebuah kantor yang beroperasi di daerah lain, seperti Toronto, mungkin bahkan tidak
sepenuhnya mengantisipasi risiko seperti itu di Houston yang jauh. Intinya di sini adalah
bahwa risiko seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi
dari peristiwa risiko pada unit di atas atau di bawah dalam struktur organisasi.

Risk Ranking

Langkah selanjutnya adalah mengambil estimasi signifikansi dan kemungkinan yang telah
ditetapkan, menghitung peringkat risiko, dan mengidentifikasi risiko paling signifikan di
seluruh entitas yang ditinjau.

Quantitative Risk Analysis: Expected Values and Response Planning

Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan memiliki
setidaknya beberapa rencana awal untuk langkah-langkah tindakan yang diperlukan jika
mereka mengalami salah satunya. memperkirakan dampak biaya dari timbulnya beberapa
risiko yang teridentifikasi dan kemudian menerapkan biaya tersebut ke probabilitas faktor
risiko untuk memperoleh nilai risiko yang diharapkan. Ini sering merupakan latihan yang
tidak memerlukan studi biaya terperinci dengan banyak tren dan perkiraan historis yang
mendukung. Sebaliknya, perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang
garis depan di berbagai tingkat perusahaan yang akan memiliki tingkat pengetahuan yang
baik tentang area atau implikasi risiko.

Quantitative Risk Analysis: Risk Monitoring

Identifikasi risiko-risiko utama tidak boleh menjadi satu proses sekali pakai. Lingkungan di
sekitar risiko yang teridentifikasi akan segera berubah seiring dengan perubahan kondisi di
sekitarnya. Untuk beberapa, kondisi dapat berubah sedemikian rupa sehingga risiko menjadi
ancaman yang lebih besar. Misalnya, manajemen mungkin telah mengidentifikasi potensi
risiko politik di beberapa negara kurang berkembang, tetapi peristiwa sering kali dapat terjadi
dengan cepat dan perubahan politik di negara yang sama dapat membuat masalah tersebut
menjadi lebih berisiko. Perusahaan membutuhkan mekanisme untuk memantau risiko yang
teridentifikasi ini.

7.2 COSO ERM: ENTERPRISE RISK MANAGEMENT COSO

Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan memiliki
definisi risiko yang konsisten. Ini juga merupakan alat penting untuk memahami dan
meningkatkan kontrol internal SOx.

7.3 COSO ERM KEY ELEMENTS

COSO ERM Kerangka kerja COSO ERM, seperti yang ditunjukkan pada Tampilan 7.5, telah
menjadi model di seluruh dunia untuk menggambarkan dan mendefinisikan pengendalian
internal, dan telah menjadi dasar untuk menetapkan kepatuhan SOx Bagian 404. Mungkin
karena beberapa anggota tim yang sama awalnya terlibat dengan kerangka pengendalian
internal COSO dan ERM, kerangka kerja COSO ERM, pada pengamatan pertama, terlihat
sangat mirip dengan kerangka pengendalian internal COSO. Kerangka kerja COSO ERM ini
ditunjukkan pada Tampilan 7

.5 sebagai kubus dengan komponen:

● Empat kolom yang mewakili tujuan strategis risiko perusahaan;

● Delapan baris horizontal atau komponen risiko; dan
● Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat entitas kantor
pusat hingga anak perusahaan individu. Tergantung pada ukuran organisasi, ada
banyak potongan model di sini.
COSO ERM: The Internal Environment Component

Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam model ERM perusahaan,
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
yang berhubungan dengan risiko terstruktur, dan bagaimana risiko diidentifikasi dan
ditindaklanjuti. Lingkungan internal COSO ERM komponen terdiri dari elemen-elemen
berikut

COSO ERM: The Internal Environment Component

Melihat bagian depan atau wajah kubus COSO ERM, ada delapan level atau faktor, dengan
lingkungan internal yang terletak di bagian atas. Ini mirip dengan internal COSO yang
direvisi kerangka kerja kontrol. Lingkungan internal harus dianggap sebagai batu penjuru
untuk COSO ERM. Kembali ke ketika jembatan dibangun dari batu bata, batu penjuru
dipegang lengkungan bata naik dari setiap sisi rentang, menjaga jembatan keseluruhan
bersama-sama. Komponen batu penjuru ini juga mirip dengan kotak di bagian atas bagan
organisasi yang mencantumkan chief executive officer sebagai kepala fungsi yang ditunjuk.
Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam model ERM perusahaan,
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
yang berhubungan dengan risiko terstruktur, dan bagaimana risiko diidentifikasi dan
ditindaklanjuti. Lingkungan internal COSO ERM komponen terdiri dari elemen-elemen
berikut:

● Risk management philosophy.

● Risk appetite.
 ● Board of directors’ attitudes.
● Integrity and ethical values.
● Commitment to competence.
● Organizational structure.
● Assignments of authority and responsibility.
● Human resources standards.

COSO ERM Objective Setting

Intinya di sini adalah bahwa perusahaan harus menentukan strategi terkait risiko dan Tujuan.
Dalam pedoman tersebut, ia harus memutuskan selera dan toleransinya untuk risiko tersebut.
Artinya, itu harus menentukan tingkat risiko yang bersedia diterima, dan diberikan aturan
toleransi risiko itu, seberapa jauh ia bersedia menyimpang dari mea-sures.

COSO ERM Event Identification

Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sedangkan sebuah
kecenderungan auditor internal adalah memikirkan peristiwa dalam arti negatif - menentukan
apa yang mereka juga bisa positif. Banyak perusahaan saat ini memiliki perfor yang kuat- alat
pemantauan mance di tempat, dengan proses pemantauan biaya, anggaran, jaminan kualitas,
kepatuhan, dan sejenisnya. Namun, melampaui satu meter pada produksi jalur perakitan,
proses pemantauan harus mencakup:
 ● External economic events.
● Natural environmental events.
● Political events.
● Social factors.
● Internal infrastructure events.
● Internal process–related events.
● External and internal technological events.

Perusahaan perlu mendefinisikan dengan jelas peristiwa risikonya yang signifikan dan
kemudian memiliki processes di tempat untuk memantau mereka untuk mengambil tindakan
yang sesuai yang diperlukan. Ini adalah jenis proses berpikiran maju yang seringkali sulit
dikenali di banyak negara. perusahaan, tetapi melihat peristiwa risiko potensial internal dan
eksternal ini dan memutuskan yang membutuhkan perhatian lebih lanjut bisa menjadi proses
yang sulit. Beberapa adalah kebutuhan mendesak, yang lain diarahkan di masa depan. Bahan
pendukung COSO ERM menunjukkan bahwa suatu perusahaan harus menetapkan proses
untuk meninjau risiko yang berpotensi signifikan dan kemudian mempertimbangkan
beberapa dari pendekatan berikut:

7.4 OTHER DIMENSIONS OF COSO ERM: ENTERPRISE RISK OBJECTIVES

Operations Risk Management Objectives
Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan. Berikut
kerangka kerja ERM tiga dimensi, tujuan risiko tingkat operasi menyerukan identifikasi
risiko untuk setiap unit atau komponen perusahaan. Identifikasi ini tujuan risiko tingkat
operasi sering membutuhkan pengumpulan informasi terperinci dan analisis, terutama untuk
perusahaan yang lebih besar yang mencakup beberapa wilayah geografis, produk garis, atau
proses bisnis.
Reporting Risk Management Objectives
Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan internal dan
eksternal data keuangan dan non-keuangan. Laporan yang akurat-ing sangat penting untuk
kesuksesan perusahaan dalam banyak dimensi. Sementara kita sering melihat laporan berita
mengenai penemuan pelaporan keuangan perusahaan yang tidak akurat dan dampak pasar
saham yang dihasilkan untuk entitas yang menyinggung, yang sama tidak akurat pelaporan
dapat menyebabkan masalah di banyak bidang.
Legal and Regulatory Compliance Risk Objectives
COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan untuk
masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal,
pengaturan objektif, atau pemantauan risiko, serta di seluruh perusahaan. Ini adalah impor-
elemen dari kerangka manajemen risiko yang perlu dikomunikasikan dan dipahami.

7.5 ENTITY‐LEVEL RISKS

Perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis atau unit
anak perusahaan di bawah masing-masing akan memiliki kerangka kerja ERM yang refl
ected semua unit ini. Meskipun risiko ini penting pada tingkat organisasi secara keseluruhan,
harus ada tingkat pertimbangan berdasarkan unit-demi-unit ke tingkat serendah yang
diperlukan untuk memungkinkan perusahaan untuk memahami dan mengelola risikonya.
Risks Encompassing the Entire Organization
Beberapa risiko di tingkat unit bisnis harus digulung ke risiko tingkat entitas. Meskipun
mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit "bukan
material" - menggunakan akuntansi publik pra-SOx - pertimbangkan anak perusahaan yang
relatif kecil di negara dunia ketiga yang memproduksi pakaian kasual. Seringkali, unit seperti
itu akan sangat kecil dalam hal kontribusi pendapatan perusahaan atau ukuran relatifnya
sehingga dapat tergelincir di bawah layar radar di tingkat perusahaan senior. Namun, jika ada
masalah pekerja anak di negara tuan rumah, perusahaan mungkin segera menjadi pusat
perhatian mengenai operasi anak perusahaan kecil ini.
Business Unit–Level Risks
Risiko terjadi di semua tingkat perusahaan, apakah divisi produksi utama dengan beberapa
pabrik dan ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan
negara asing. Risiko harus dipertimbangkan di setiap unit organisasi yang signifikan. Risiko
yang diidentifikasi dalam posisi kepemilikan minoritas di perusahaan penjualan negara asing,
misalnya, mungkin risiko unik untuk unit itu, tetapi mereka harus digulung ke entitas secara
keseluruhan.

7.6 PUTTING IT ALL TOGETHER: AUDITING RISK AND COSO ERM

PROCESSES
Mudah bingung dengan kontrol internal COSO, kerangka kerja COSO ERM menguraikan
pendekatan manajemen risiko yang berlaku untuk semua industri dan mencakup semua jenis
risiko. Dengan fokusnya untuk mengenali selera perusahaan akan risiko, kebutuhan untuk
melihat portofolio risiko perusahaan secara keseluruhan, dan kebutuhan untuk menerapkan
manajemen risiko di dalam konteks pengaturan strategi secara keseluruhan, COSO ERM
menyediakan platform yang sangat baik untuk mempertimbangkan lingkungan risiko
perusahaan secara keseluruhan.
Selain itu, setiap tinjauan audit internal proses ERM perusahaan harus direncanakan melalui
proyek audit internal berbasis risiko. pendekatan perencanaan seperti yang dibahas dalam
Chapter 16, menggunakan beberapa alat berikut:
● Process flowcharting.
● Reviews of risk and control materials.
● Benchmarking.
● Questionnaires.