TUGAS AUDIT INTERNAL
Kelompok :
Mohamad Nurreza Rachman
Pricelia Puteri Ramadhani
Risk Management : Coso ERM
Setiap perusahaan membutuhkan suatu pengidentifikasian setiap risiko yang
mungkin untuk mereka hadapi setelah itu memanage resiko-resiko tersebut ketingkatan
yang wajar atau dapat dikendalikan. Pemahaman mengenai risoko ini merupakan
komponen utama dalam pencapaian Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Internal audit, sebagai peran assurance dan consulting dapat berkontribusi tetapi gagal
untuk mendefinisikannya. Konsep antara satu orang dengan orang lain tentang pemahaman
risiko mungkin sangat berbeda, meskipun mereka sama-sama bekerja untuk perusahaan
yang sama dan di daerah yang sama. Terutama terjadi kepada para manajer internal dan
auditor bekerja untuk meningkatkan kepatuhan Sox tetapi belum ada yang pemahaman
yang konsisten tentang apa yang dimaksud dengan konsep risiko. Terutama untuk
mendukung pemahaman kita tentang pengendalian internal SOx, auditor internal perlu
memiliki pemahaman yang lebih baik atas manajemen risiko dan bagaimana dampak
keahlian mereka dalam membangun dan mengembangkan pengendalian internal yang
efektif.
Untuk menggunakan AS 5 standar auditing efektif, semua pihak harus memahami
risiko sekitar perusahaan mereka dan harus mampu untuk mendokumentasikan dan
membuktikan ketika mereka lakukan. Namun, Masalahnya adalah kurangnya pemahaman
definisi yang konsisten dari apa yang sebenarnya dimaksud oleh risiko. Meskipun kata
memiliki beberapa asal-usul dalam industri asuransi, ketidakkonsistenan tetap ada.
Terjadi perubahan ketika Komite Organisasi Sponsoring (COSO) merilis metodologi
risiko perusahaan, manajemen-COSO Enterprise Risk Management Format Terpadu (COSO
ERM). Ini merupakan pendekatan yang memungkinkan suatu perusahaan dan audit internal
untuk mempertimbangkan dan menilai risiko di semua tingkatan, baik di daerah masing-
masing, seperti untuk teknologi informasi (TI) proyek pembangunan, baik dalam risiko global
dan kaitannya dengan perluasan internasional. Dalam chapter ini mendeskripsikan unsur-
unsur utama dari kerangka ERM COSO dan melihat bagaimana internal yang auditor dapat
membangun COSO ERM ke dalam proses audit serta langkah-langkah untuk mengaudit
efektivitas proses manajemen risiko suatu perusahaan.
RISK MANAGEMENT FUNDAMENTAL
Dalam upaya pencapaian nilai itu, setiap organisasi sama-sama menghadapi
ketidakpastian. Ketidakpastian ini mengandung risiko yang sangat potensial untuk
menghilangkan kesempatan pencapaian tujuan perusahaan.
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk meminimalkan
resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas organisasi. Suatu
proses manajemen risiko yang efektif memerlukan empat langkah
Identifikasi Risiko
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin
mempengaruhi kesuksesan perusahaan, mulai dari yang mempengaruhi signifikan bisnis
secara keseluruhan sampai risiko yang lebih kecil. Proses identifikasi risiko harus dipelajari,
pendekatan untuk melihat potensi risiko di setiap daerah operasi dan kemudian
mengidentifikasi lebih ke daerah risiko yang signifikan yang dapat mempengaruhi setiap
operasi dalam jangka waktu tertentu. Proses identifikasi risiko ini harus dilakukan di
berbagai tingkat dengan pemahaman bahwa risiko yang berdampak unit usaha perorangan
atau proyek mungkin tidak memiliki yang besar berdampak pada seluruh perusahaan.
Sebaliknya, risiko utama yang mempengaruhi seluruh perekonomian akan mengalir ke
perusahaan dan unit-unit bisnis.
Cara memulai proses identifikasi risiko adalah dengan memulai dari organisasi
tingkat tinggi
Yaitu tingkat korporasi maupun unit operasi. Masing-masing unit mungkin memiliki fasilitas
di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai jenis operasi. Setiap
fasilitas terpisah maka akan memiliki departemen sendiri atau fungsi. Agar efektif, proses
identifikasi risiko ini membutuhkan lebih dari sekedar mengirimkan e-mail ke semua unit
operasi dengan permintaan untuk penerima pada daftar key risiko dalam unit operasi
mereka. Pendekatan yang lebih baik adalah untuk mengidentifikasi orang di semua tingkat
perusahaan untuk melayani sebagai penilai risiko. Dalam setiap Unit operasi, orang-orang
kunci harus diidentifikasi dari operasi, keuangan /
akuntansi, IT, dan unit manajemen. Tujuan mereka adalah untuk mengidentifikasi dan
kemudian
membantu menilai risiko dalam unit mereka di sekitar kerangka model identifikasi risiko.
Penilaian Risiko
Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya
adalah untuk menilai kemungkinan relatif yang signifikansi. Berbagai pendekatan yang dapat
digunakan di sini, mulai dari analisis pendekatan kualitatif hingga analisis pendekatan
kuantitatif. Hal ini dapat membantu memutuskan mana dari serangkaian resiko yang paling
berpotensi terhadap peristiwa yang paling menghawatirkan manajemen. Manajer
bertanggungjawab terhadap penilaian resiko dengan menggunakan pendekatan kuesioner:
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?”
Menggunakan skor dari 1 sampai 9, jika :
Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama
periode berjalan.
Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan
antar kedua
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan
tergantung pada keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan
biaya laba bersih per saham harus memenuhi syarat untuk nilai maksimal 9.
(i) Kemungkinan dan Ketidakpastian
Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari
perkiraan dari risiko dan kejadian dalam probabilitas berkisar dari 0,01 sampai 0,99.
Digunakannya rentang ini karena risiko tidak pernah memiliki kesempatan nol atau
100% kemungkinan terjadikalau tidak mereka tidak akan risiko. Aturan dasar
probabilitas adalah bahwa kita tidak dapat menambahkan perkiraan probabilitas
independen untuk menghasilkan perkiraan.
(ii) Risiko Interpedensi
Independensi risiko harus selalu dipertimbangkan dan dievaluasi oleh
seluruh struktur organisasi. Meskipun suatu entitas harus peduli
tentang risiko di semua tingkat organisasi, tetapi harus benar-benar memiliki kontrol
atas hanya mereka yang menanggung risiko dalam lingkup sendiri. Intinya adalah
risiko seringkali sangat saling terkait dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risiko sendiri.
(iii) Peringkat Risiko
Langkah berikutnya adalah untuk mengambil makna dan kemungkinan perkiraan
yang ditetapkan, menghitung risiko peringkat, dan mengidentifikasi risiko yang
paling signifikan sampai yang terendah di seluruh entitas. Manajemen harus
mengidentifikasi unit, risiko ini dinilai untuk memastikan bahwa kemungkinan resiko
dan signifikansi perkiraan yang tepat.
Analisis Risiko Kuantitatif
(i) Expected values dan Response Planning
Dalam mengidentifikasi risiko yang signifikan, perusahaan memiliki setidaknya
beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko
terjadi. Idenya adalah untuk memperkirakan dampak biaya dari menimbulkan
beberapa risiko diidentifikasi dan kemudian menerapkan biaya itu untuk
kemungkinan faktor risiko untuk mendapatkan nilai yang diharapkan atau biaya
risiko. Seberjalannya hal ini tidak memerlukan biaya yang rinci dengan banyak
tren historis dan perkiraan. Sebaliknya, Perkiraan biaya yang diharapkan harus
dilakukan oleh orang-orang di berbagai tingkatan dari perusahaan yang memiliki
pengetahuan tentang daerah atau implikasi risiko.
(ii) Memonitor Risiko
Identifikasi risiko utama tidak cukup hanya sekali. Lingkungan sekitar risiko yang
teridentifikasi akan segera berubah karena adanya perubahan kondisi. Untuk
beberapa risiko, kondisi dapat berubah sedemikian rupa sehingga
resiko menjadi ancaman yang lebih besar. Sebagai contoh, manajemen mungkin
telah mengidentifikasi risiko politik yang potensial di beberapa negara kurang
berkembang, namun peristiwa sering terjadi perubahan dengan cepat, dan
politik di negara yang sama dapat membuat kekhawatiran mereka bahkan
berisiko. Suatu perusahaan membutuhkan mekanisme untuk memantau risiko
yang teridentifikasi.
COSO ERM: ENTERPRISE RISK MANAGEMENT
COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu
perusahaan untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga
merupakan alat yang penting untuk memahami dan meningkatkan pengendalian internal
SOx. Dokumen kerangka COSO ERM dimulai dengan mendefinisikan manajemen risiko
perusahaan:
“Enterprise risk management is a process, effected by an entity’s board of directors,
management and other personnel, applied in a strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be within
its risk appetite, to provide reasonable assurance regarding the achievement of entity
objectives.”
Terdapat beberapa poin penting dalam definisi ini, yaitu:
ERM adalah proses.
Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
Konsep risk appetite harus dipertimbangkan.
ERM memberikan keyakinan positif yang masuk akal tapi tidak pada pencapaian
objektif.
ERM dirancang untuk membantu mencapai tujuan.
COSO ERM KEY ELEMENT
Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan
komponen-komponen:
1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan.
2. Delapan baris horizontal atau komponen risiko.
3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat
induk entitas sampai anak perusahaan individual.
Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya
membahas dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan
kerangka ERM adalah untuk menyediakan model bagi perusahaan untuk
mempertimbangkan dan memahami mereka terkait risiko kegiatan di semua tingkat, serta
bagaimana dampak risiko komponen satu sama lain. Tujuan bab ini adalah untuk membantu
Auditor Internal -dari kepala audit eksekutif (CAE) untuk staf auditor-untuk lebih memahami
COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang
dihadapi perusahaan.
a. Komponen Lingkungan Internal
Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:
Filosofi Manajemen Risiko.
Risk Appetite.
Sikap dewan direksi.
Integritas dan nilai-nilai etika.
Komitmen terhadap kompetensi.
Struktur organisasi.
Penugasan wewenang dan tanggung jawab.
Standar Sumber daya manusia
b. Menetapkan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM,
pengaturan obyektiv yang menguraikan kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Elemen ini mengatakan bahwa, di samping
lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian sasaran
strategis, sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan.
COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk
(1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2)
menetapkan strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4)
mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari
bahan COSO ERM bimbingan.
c. Identifikasi Peristiwa
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi
ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan
peristiwa dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini
memiliki kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan
mutu, kepatuhan, dan sejenisnya.
Proses pemantauan harus mencakup:
a. Peristiwa ekonomi eksternal
b. Peristiwa alam
c. Peristiwa politik
d. faktor social
e. peristiwa infrastruktur internal
f. proses internal
g. teknologi internal maupun eksternal
d. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek
peristiwa terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya.
Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak
potensinya. Sebagai bagian penting dari proses penilaian risiko, juga perlu
mempertimbangkan risiko yang melekat:
Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah
ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat
dari kegiatannya. Risiko inheren di luar kendali manajemen dan biasanya berasal
dari faktor eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko
ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat
risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur
mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat
ditangani dalam salah satu dari empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau
menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak
bisa drop garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi
dengan nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika
investasi tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan
berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari
ketergantungan pada satu baris kunci produk; membelah operasional TI menjadi dua
yang terpisah secara geografis lokasi akan mengurangi risiko beberapa bencana
kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk
transaksi keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi
dari fluktuasi harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan
manfaat melalui perusahaan perjanjian usaha patungan atau struktural lainnya
pengaturan. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi
risiko serta berbagi dalam penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan
selfinsures dengan mengambil tindakan untuk mengurangi risiko potensial. Pada
dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang
risiko mendirikan toleransi dan kemudian memutuskan apakah akan menerima
resiko itu atau tidak.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko
yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk
memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien. Setelah
melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko
pemantauan memerlukan empat langkah:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
menetapkan pengendalian prosedur untuk memantau atau benar bagi mereka.
2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait
pengendalian risiko prosedur yang bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja
efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko
monitoring proses.
Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah
untuk mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup
kontrol daerah-daerah pengendalian internal:
o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang mengotorisasi transaksi tersebut.
o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.
o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat
prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali
atau memodifikasi mereka.
o Dokumentasi. Proses harus didokumentasikan.
g. Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus
dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana,
melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar proses
dalam banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan
keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk
proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung
meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
h. Pemantauan
The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan
dapat meliputi jenis kegiatan:
o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang
tunai posisi, unit penjualan, dan data keuangan kunci.
o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek
kunci dari didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau
item diselenggarakan di ketegangan.
o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari
laporan audit internal dan eksternal, termasuk status ERM terkait SOx
mengidentifikasi kesenjangan.
o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi,
tren industri, dan berita ekonomi secara umum.
OTHER DIMENSIONS OF COSO ERM : ENTERPRISE RISK OBJECTIVE
Tujuan Operasional Manajemen Risiko
Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk
mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang
rinci, kemudian dikumpulkan dan dianalisis, khususnya untuk sebuah perusahaan besar yang
mencakup beberapa wilayah geografis, lini produk, atau bisnis proses. Review audit internal
atau survei yang langsung dipengaruhi oleh risiko tersebut dapat membantu untuk
mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko operasional.
a. Tujuan Pelaporan Manajemen Risiko
Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari
internalnya dan eksternal baik itu dari keuangan perusahaan dan data non keuangan.
Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak
dimensi.
b. Risiko Kepatuhan Tujuan Hukum dan Peraturan
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang
dikenakan atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau
dan diakui, risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan
terhadap perusahaan yang pernah memproduksi produk yang mengandung asbes tertentu,
panggilan ganti rugi berdasarkan risiko manusia yang potensial di masa mendatang. COSO
ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-
masing komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah,
pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.
AUDITING RISK AND COSO ERM PROCESSES
Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan
berfokus pada kerangka COSO ERM serta manajemen risiko umum baik praktek, audit
internal dapat membantu perusahaan dengan perencanaan dan melakukan review proses
manajemen risiko perusahaan. Untuk meninjau praktek COSO ERM dan implementasi
prosedur, auditor internal, baik sebagai peninjau audit internal kontrol atau konsultan
manajemen, perlu mengembangkan pengertian pengendalian COSO ERM dan proses. Selain
itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui
perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi
selanjutnya. Internal Audit harus meninjau sisi perusahaan ERM proses menggunakan
beberapa alat ini:
Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram alur
proses dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi
dalam perusahaan. Ini dibutuhkan untuk melihat dokumentasi yang disiapkan untuk
risiko terkait proses, menentukan kondisi saat ini, dan menggambarkan semua
kecukupan semua tingkatan proses risiko perusahaan.
Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam
volume besar bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses
ERM berharga untuk risiko dan pengendalian bahan audit internal
Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses
untuk melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk
mengembangkan pendekatan berdasarkan praktek-praktek.
Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada
efektivitas ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui
stakeholder. Ini merupakan teknik audit internal yang baik.
Referensi
Moeller, Robert R, Brink’s Modern Internal Auditing, 2009 Edisi 7, John Wiley & Sons, Inc,
Hoboken, New Jersey.( B)