Upload
k-andi-wicaksono
View
78
Download
2
Embed Size (px)
Citation preview
Bab 10
Mengelola Risiko
Audit internal merupakan jaminan, independen, obyektif dan aktivitas konsultasi yang
dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu
organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan
disiplin untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko,
pengendalian dan tata kelola. Kita perlu memahami risiko dan menghargai pentingnya
manajemen risiko bagi organisasi. Baik kode tata kelola perusahaan membutuhkan
papan untuk menginstal sistem manajemen risiko dan memberitahu para pemegang
saham mereka tentang sistem ini. Terobosan ke risiko telah berdampak pekerjaan
auditor internal dan account penting dari langkah ini menjadi sebuah fase baru dari
audit internal yang diberikan pada tahun 1998 oleh David McNamee dan Georges Selim,
yang didefinisikan tiga tahap dalam pengembangan audit internal :
1. Menghitung dan mengamati.
2. Sistem pengendalian internal.
3. Audit proses bisnis melalui fokus pada risiko.
3.1 Apa itu Resiko?
Risiko timbul dari ketidakpastian dan kontrol didasarkan pada pengurangan
ketidakpastian ini mana mungkin dan perlu. HM Treasury mendefinisikan risiko sebagai
"ketidakpastian hasil dalam berbagai eksposur yang timbul dari kombinasi dampak dan
probabilitas dari peristiwa potensial”. Sementara Glosarium IIA mendefinisikan risiko
sebagai “ketidakpastian suatu peristiwa yang terjadi secara bisa berdampak pada
pencapaian tujuan. Risiko diukur dalam hal konsekuensi dan kemungkinan”.
3.2 Tantangan Risiko
Dengan cara ini, dampak menjadi efek risiko terhadap tujuan di tangan. Sistem
manajemen risiko yang baik menjaga tujuan bisnis tegas dalam pikiran ketika berpikir
tentang risiko. Sistem miskin menyembunyikan tujuan luar model atau sebagai sesuatu
yang dianggap perifer untuk tugas menilai dampak dari risiko. Dalam kenyataannya. itu
tidak sesederhana ini. Tindakan menetapkan tujuan dalam dirinya sendiri didasarkan
pada risiko yang nyata dan dirasakan, yaitu, beberapa ketidakpastian tentang masa
depan. Konsep lain yang perlu dipertimbangkan adalah risiko itu, dalam konteks tujuan
mencapai, memiliki baik terbalik dan sisi negatifnya. Dalam model kami, kami
menyebutnya ancaman dan peluang. Artinya, ia dapat berhubungan dengan kekuatan
yang berdampak negatif pada tujuan, dalam arti bahwa mereka menimbulkan ancaman.
3.3 Manajemen Risiko dan Risiko Residual
Manajemen risiko adalah proses dinamis untuk mengambil semua langkah yang wajar
untuk mengetahui dan menangani risiko yang berdampak pada tujuan kami. Ini adalah
respon terhadap risiko dan keputusan yang dibuat sehubungan dengan pilihan yang
tersedia (dalam hubungannya dengan sumber daya yang tersedia) yang penting dan IIA
telah membuat titik yang bersangkutan bahwa Sebelum kita sampai di sana, kita bisa
beralih ke proyek standar manajemen untuk panduan tentang manfaat manajemen
risiko sistematis yang meliputi :
lebih realistis bisnis dan perencanaan proyek
tindakan dilaksanakan dalam waktu efektif
besar kepastian mencapai tujuan bisnis dan tujuan proyek
apresiasi, dan kesiapan untuk mengeksploitasi, semua peluang yang
menguntungkan
meningkatkan pengawasan kerugian
meningkatkan pengendalian biaya proyek dan bisnis
peningkatan fleksibilitas sebagai akibat dari pemahaman semua pilihan dan
risiko yang terkait
sedikit kejutan mahal melalui perencanaan kontingensi yang efektif dan
transparan.
Untuk meringkas proses manajemen risiko, Tahapan manajemen risiko yang umum
dikenal sebagai :
Identifikasi. Proses manajemen risiko dimulai dengan suatu metode untuk
mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus
melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan pengaruh
terhadap daerah yang terkena risiko yang bersangkutan.
Penilaian. Tahap berikutnya adalah untuk menilai pentingnya risiko yang telah
diidentifikasi. Ini harus berputar di sekitar dampak dua dimensi, pertimbangan
kemungkinan bahwa kita telah dijelaskan.
Manajemen. Berbekal pengetahuan tentang apa risiko yang signifikan dan yang kurang
begitu, proses ini membutuhkan pengembangan strategi untuk mengelola berdampak
tinggi, tinggi-kemungkinan risiko.
Meninjau. Proses manajemen risiko keseluruhan dan output harus dikaji dan ditinjau
ulang secara terus menerus.
3.4 Mitigasi melalui Kontrol
Kami telah menyarankan bahwa manajemen risiko merupakan bagian penting dari siklus
resiko, karena memungkinkan organisasi untuk menetapkan dan meninjau kontrol
internal mereka, dan melaporkan kembali kepada para pemegang saham. Kerangka
pengendalian internal terdiri dari semua pengaturan, dan pengawasan rutin yang
spesifik dan proses yang mendorong sebuah organisasi untuk mencapai tujuan. Mereka
mengelola risiko harus memprioritaskan perubahan kontrol, dengan
mempertimbangkan dampaknya terhadap aktivitas lain dan ketersediaan sumber daya.
Perubahan kontrol yang dipilih harus dialokasikan untuk pemilik respon risiko dan jadwal
pelaksanaannya harus disiapkan. Kemajuan terhadap pelaksanaan pengendalian
perubahan harus dipantau. Pengendalian yang diterapkan harus didokumentasikan.
Pemantauan kinerja kontrol
Kami telah mengembangkan 10 langkah untuk mengatasi risiko yang telah dinilai untuk
dampak dan kemungkinan. Tanggapan ini dijelaskan lebih lanjut:
1. Termintate
2. Controls
3. Transfers
4. Contigencies
5. Take more
6. Communicate
7. Tolerate
8. Commission research
9. Tell someone
10. Check compliance
3.5 Risiko Register dan Appetites
Subyek register risiko memiliki masa lalu yang sangat menarik. Manajer proyek telah
menggunakan mereka untuk waktu yang lama karena mereka menilai risiko pada tahap
awal dalam proyek besar dan masukkan rincian dalam catatan resmi, yang diperiksa oleh
para sponsor. Industri asuransi lagi baik digunakan untuk mendokumentasikan asumsi
tentang risiko dan menggunakan ini untuk bentuk penilaian di mana untuk menawarkan
asuransi dan apa aspek operasi termasuk dalam sampul ini. Risk appetite mendefinisikan
bagaimana kita melihat risiko residual, setelah kami telah berurusan dengan itu melalui
strategi yang tepat, dan apakah itu diterima atau tidak, yaitu, adalah risiko dapat
diterima seperti berdiri atau kita perlu berbuat lebih banyak untuk menampungnya,
atau mungkin mengeksploitasi daerah di mana risiko terlalu rendah? Kita perlu untuk
mengubah sekali lagi untuk Peter Bernstein untuk pandangan otoritatif pada selera
risiko. Ketika mempertimbangkan toleransi risiko, kita perlu membangun faktor kontrol
ke dalam persamaan. Pengambilan risiko baik-baik saja selama kita dapat mengantisipasi
masalah dan mencari cara untuk melawan mereka. Banyak kebingungan hasil dari
pencampuran resiko kotor dan bersih. Sikap toleransi risiko menjadi lebih penting ketika
kita mempertimbangkan tanggung jawab organisasi kepada para pemangku
kepentingan. Para anggota dewan memiliki kewajiban fidusia untuk bertindak dengan
cara yang wajar dan pemegang saham memiliki hak untuk menerima dividen
diumumkan dan memiliki investasi mereka dikelola secara memadai.
Mempertimbangkan dan menetapkan risk appetite memungkinkan organisasi untuk
meningkatkan keuntungannya dengan mengoptimalkan pengambilan risiko dan
menerima risiko dihitung dalam tingkat yang sesuai kewenangan. Risk appetite
organisasi harus dibentuk dan / atau disetujui oleh Dewan (atau setara) dan efektif
dikomunikasikan ke seluruh organisasi.
3.6 Kebijakan Risiko
Model risiko kami telah mengambil bentuk nyata dengan banyak komponen yang
membentuk dasar dari manajemen risiko yang efektif. Dalam beberapa organisasi,
resiko lokakarya penilaian diatur untuk tim utama sebagai respon terhadap
kecenderungan program CRSA, seringkali di belakang rekomendasi dari auditor atau
konsultan eksternal. Tim berkumpul, berbicara tentang risiko dan bagaimana hal itu
dikelola dalam pakaian mereka dan keluar dengan risk register yang diajukan dan poin
tindakan yang diberikan kepada manajer dicalonkan.
3.7 ERM (Enterprise-wide manajemen risiko)
Enterprise-wide manajemen risiko atau ERM hanyalah perpanjangan dari manajemen
risiko di organisasi secara terpadu. Hal ini berbeda dengan pendekatan lama di mana
spesialis khusus seperti perencanaan kontingensi risiko dinilai tetapi hanya pada tingkat
lokal untuk proses tersebut. Jim Deloach, Pemimpin Global Risiko Strategis dan
Enterprise Consulting, Arthur Andersen, mengatakan bahwa:
Tidak ada satu ukuran cocok untuk semua pendekatan untuk ERM. Yang mengatakan,
kami percaya bahwa setiap proyek ERM harus dimulai dengan lima tindakan penting:
1. membangun struktur pengawasan;
2. mendefinisikan bahasa umum dan kerangka kerja;
3. menargetkan risiko dan proses;
4. menetapkan tujuan, sasaran, dan proses yang seragam, dan
5. menilai kemampuan manajemen risiko
Pengalaman Pemerintah
Dalam menyampaikan pesan untuk menilai resiko luar staf spesialis beberapa hal tidak
selalu mudah. Sementara sektor swasta telah didorong untuk mengembangkan sistem
manajemen risiko untuk mendukung kajian mereka terhadap pengendalian internal,
sektor publik juga mulai aktif di bidang ini. Strategi Manajemen Risiko Departemen
Keuangan membenahi pedoman bagi badan-badan pemerintah yang telah diadaptasi
dan diadopsi oleh berbagai organisasi yang terlibat. Sementara itu, Kantor Kabinet telah
mengkaji kemampuan pemerintah untuk menangani risiko atas ketidakpastian dan
menyiapkan laporan yang komprehensif pada bulan Agustus 2002 kemudian
menetapkan temuan sampai saat ini, termasuk enam rekomendasi utama. Ekstrak dari
laporan ini menunjukkan upaya serius sedang dilakukan upaya manajemen risiko ada
pada seluruh bagian pemerintah. Namun, kemajuan tidak merata justru terjadi pada
pemerintah. Ada banyak praktik yang baik, tetapi cakupan ini tidak komprehensif. Secara
khusus, beberapa penerapan teknik manajemen risiko telah mekanistik dan tidak
terintegrasi ke dalam pengambilan keputusan di tingkat tertinggi.
Risiko dinilai mengambil tanggung jawab untuk penanganan risiko harus berada di
tangan orang-orang terbaik ditempatkan pada setiap fungsi untuk menghadapi resiko
yang ada. Hal ini hanya dapat dinilai berdasarkan kasus per kasus,dengan kriteria
meliputi:
• Kompetensi - memiliki keterampilan dan pengalaman? Dan / atau terbaik dapat
merekrut dan mempertahankan orang yang tepat?
• Kapasitas - apakah kapasitas yang ada? Apakah bisa dikembangkan?
• Kepentingan umum - apakah ada jaminan yang cukup bahwa kepentingan publik akan
dilindungi?
• Nilai untuk uang - yang akan menawarkan perdagangan terbaik antara biaya dan
manfaat?
• Manajemen - dapat diatur atau dikelola secara memadai?
• Subsidiaritas - keputusan operasional akan sering terbaik yang dibuat oleh orang-orang
terdekat untuk layanan pengiriman.
Mengintegrasikan Risiko
Dalam cara manajemen menjalankan bisnis harus mengintegrasikan resiko, memperkaya
proses itu dan membuatnya terfokus pada hal yang disinyalir berisiko. Perencanaan
pengintegrasian risiko agar dikelola dengan baik, aset dijamin, reputasi dilindungi dan
nilai pemegang saham meningkatkan aplikasi yang efektif (RM) membutuhkan:
1. Setiap fungsi manajemen merangkul tanggung jawab untuk risiko.
2. Fasilitasi dan dukungan untuk membantu manajer di fungsi masing-masing.
3. Suatu budaya yang memberikan penghargaan pengakuan, komunikasi dan
manajemen risiko.
4. Kinerja metrik untuk mengukur apakah unit bisnis mengambil risiko yang tepat untuk
mencapai tujuan yang strategis.
5. Kinerja penilaian sumber daya manusia, kompensasi dan insentif program terkait
dengan kinerja manajemen risiko.
Kategori Resiko
Setiap organisasi akan memiliki interpretasi mereka sendiri tentang jenis risiko.
Penafsiran ini akan sesuai dengan pasar, budaya dan misi organisasi yang bersangkutan.
Untuk membantu menyelaraskan proses manajemen risiko dengan sistem organisasi
dan prosedur banyak organisasi menangkap risiko secara terstruktur, melalui
seperangkat kategori yang sesuai dengan kebutuhan mereka. Kita dapat meninjau
beberapa panduan resiko perusahaan yang diterbitkan dan dipertimbangkan contohnya
setidaknya seperti berikut: risiko fisik dan operasional, risiko sumber daya manusia,
kelangsungan bisnis dan pemulihan bencana, kredit dan risiko pasar serta risiko
kepatuhan.
The Australian/New Zealand models (AS/NZ 4360:1999) identify eight categories of risk:
1. komersial dan hukum
2. ekonomi keadaan ekonomi
3. perilaku manusia
4. kejadian alam
5. keadaan politik
6. teknologi dan masalah teknis
7. kegiatan pengelolaan dan kontrol
8. aktivitas individu.
Kantor Audit Nasional Laporan, sebagai Inovasi Pendukung: Mengelola Risiko di
Departemen Pemerintah, menyebutkan risiko yang paling sering diidentifikasi yaitu:
• Risiko keuangan
• Risiko proyek
• Risiko kepatuhan
• Reputasi - risiko
• Kehilangan kesempatan
Key Developments
Ketika mempertimbangkan kategori risiko di luar bidang usaha melalui internet, kita
dapat mencatat perkembangan beberapa kunci yang termasuk risiko eksternal:
1. Tugas Pengusaha perawatan berutang tugas perawatan kepada staf mereka -
pengusaha diharapkan untuk melaksanakan penilaian risiko atas kemungkinan
karyawan mereka melakukan tindak kelalaian dan torts lain yang dilakukan
dalam rangka kerja mereka. Pada saat yang sama, karyawan berutang duty of
care kepada masyarakat umum dan pelanggan mereka. Dan Kesehatan dan
Keselamatan Kerja Peraturan 1.992 mengharuskan majikan untuk melaksanakan
penilaian risiko bagi setiap karyawan untuk mempertimbangkan risiko yang
ditimbulkan oleh tugas-tugas karyawan dan lingkungan, dengan memperhatikan
karakteristik masing-masing. Birmingham City Council membayar £ 67.000 untuk
seorang karyawan yang menderita tekanan mental karena dia terlalu banyak
bekerja dalam posisi yang ia tidak menerima pelatihan yang tepat. Pengusaha
harus mempertimbangkan kesejahteraan karyawan mereka dan risiko cedera,
baik mental maupun fisik, di tempat kerja.
2. E-commerce Tingkat kegagalan internet start-up tinggi karena banyak pemilik
tidak mengikuti praktik bisnis biasa dan mungkin terlalu diarahkan mengambil
risiko tanpa mempertimbangkan kebutuhan untuk kontrol yang sesuai.
Klasifikasi risiko akan menyesuaikan dengan lingkungan di mana organisasi
beroperasi. British Telecom telah mengembangkan pemeriksaan mereka e-risiko
menggunakan tujuh kategori yang, dalam ringkasan, meliputi:
• Software - kerugian atau korupsi.
• Fisik aset - kerugian atau kerusakan PC, server, media, dll
• Data - kehilangan atau kerusakan data internal dan pelanggan.
• Kekayaan intelektual - hilangnya hak paten, perangkat lunak, hak cipta,
pengetahuan.
• Reputasi - kerusakan reputasi dari layanan pelanggan miskin, insiden keamanan.
• Kewajiban - internet yang berhubungan, seperti pencemaran nama baik,
kewajiban kontrak.
• Peraturan - pelanggaran peraturan dan DP Act.47
3. Penipuan Penipuan dapat menimbulkan risiko utama untuk bisnis dan Audit
ICAEW dan Jaminan laporan tahunan Fakultas ketiga untuk 2000-2001
mengatakan penipuan itu adalah kejahatan semakin terkait dengan korupsi dan
pencucian uang dan dilakukan oleh penjahat terorganisir.
4. Reputasi Perusahaan-manajemen reputasi merupakan daerah tipikal berisiko
dan ini cenderung menjadi puncak dari cara organisasi telah berhasil semua
risiko lain untuk bisnisnya. Akuntansi dan Bisnis majalah melaporkan pada peran
penting bahwa manajemen reputasi memiliki keberlanjutan bisnis:
5. Manajemen risiko MIS adalah tentang memilih tindakan yang tepat berdasarkan
informasi yang baik untuk mencerminkan semua keadaan yang relevan dan
perubahan. Sistem informasi manajemen (SIM) dapat menyebabkan risiko yang
luar biasa di mana mereka tidak dapat diandalkan dan mereka benar-benar
harus berlandaskan atau didasarkan pada kerahasiaan, integritas dan
ketersediaan.
6. Mengkomunikasikan Resiko-risiko Berkomunikasi merupakan masalah besar
dalam masyarakat. Ini termasuk resiko terhadap investasi pemegang saham dan
risiko untuk masyarakat umum. Ada panggilan yang lebih besar bagi perusahaan
untuk mengungkapkan risiko lebih penuh dan sangat membantu orang
menyesuaikan risk appetite mereka dengan perusahaan bahwa mereka sedang
mempertimbangkan investasi masuk penawaran saham baru harus membuat
jelas apa yang dipertaruhkan dan mungkin, misalnya, memberikan beberapa
peringatan bahwa itu memulai berisiko tinggi, tinggi-laba usaha dan bahwa
pembaca harus menyadari realitas komersial strategi ini. Cukup sering, strategi
komunikasi berkisar pada perbedaan halus antara orang peringatan dan
menakut-nakuti orang. Untuk risiko publik, ada beberapa isu yang dapat datang
bersama-sama dan kocok sampai orang. Isu-isu ini telah telah disebut 'faktor
ketakutan' oleh Peter Bennett mana risiko terlihat untuk menyertakan fitur
berikut
3.8 Control Self-asseement
Keberhasilan suatu perusahaan tergantung pada luasnya manajemen resikodalam
proses yang terintegrasi untuk memastikan bahwa risiko dinilai dan dikelola di seluruh
organisasi dengan cara yang dinamis dan bermakna. Dalam prosenya banyak teknik
untuk mencapai semua bagian organisasi sehingga self-assessment oleh garis depan Staf
menjadi norma. Teknik penggunaan kuesioner yang diselesaikan oleh karyawan sebagai
cara untuk menilai apakah ada operasi yang beresiko dan apakah kontrol pada daerah-
daerah beresiko dilakukan dengan benar. Teknik lain adalah penggunaan wawancara
dengan manajer di unit bisnis tertentu untuk mengukur apakah wilayah berada di bawah
kontrol atau tidak.
Pendekatan lanjut adalah untuk ulasan komisi komprehensif risiko profil tinggi bagian
organisasi biasanya dengan menggunakan konsultan eksternal, yang akan melaporkan
kembali pada setiap masalah yang ditemukan.Sebuah pendekatan yang lebih populer
adalah penggunaan kontrol penilaian diri lokakarya, atau disebut pengendalian dan
resiko self-assesment (CRSA) lokakarya. Inggris CRSA Forum , mempunyai Misi :
'Berbagi, maju dan mempromosikan praktik terbaik dalam self-assessment kontrol dan
risiko dalam semua organisasi '. Forum tersebut yakin bahwa satu-satunya cara agar
manajemen risiko dapat masuk ke dalam hati dan pikiran dari organisasi adalah dengan
mengajak semua orang yang terlibat secara partisipatif. Dalam pendekatan audit
disebutkan prinsip-prinsip kunci berkaitan dengan CRSA sebagai bagian dari sistem
manajemen resiko.
Pengembangan Resiko Pengelolaan Waktu
1. General Bunga ( Bunga Umum)
Tidak ada organisasi yang belum menemukan konsep manajemen risiko,dan di
awal cenderung akan ada kantong kepentingan dalam gagasan mengenali dan
berurusan dengan risiko. Spesialis staf seperti orang kesehatan dan
keselamatan, manajer proyek, petugas asuransi, keamanan TI Staf dan keuangan
orang akan cenderung memiliki pemahaman yang baik tentang cara penilaian
risiko dapat digunakan untuk mengarahkan sumber daya secara lebih efisien,
tetapi hanya dalam konteks daerah mereka sangat spesialis kerjaOrganisasi pada
tahap satu akan berisi kantong terisolasi di mana penilaian risiko secara teratur
dilakukan oleh staf ahli, tapi hanya untuk wilayah minat mereka.
2. Gemuruh Penelitian
Sebuah organisasi mencapai dua tahap ketika orang-orang dalam beberapa
departemen mulai terlihat ke dalam topik manajemen risiko di luar peran
spesialis disebutkan pada tahap satu. Ini bunga berkembang biasanya
diprakarsai oleh staf keuangan yang mengakui bahwa penilaian risiko
mendukung cara kontrol keuangan dikembangkan ke dalam sistem
pengendalian internal yang kuat. Paling rezim regulasi baik di sektor swasta dan
publik membutuhkan pemeliharaan yang memadaisistem pengendalian
keuangan internal, dan lebih sering pelaporan, eksternal kontrol di laporan
tahunan karena dibombardir oleh rekomendasi dari auditor eksternal dan
internal, bersama dengan kecenderungan penggunaan keuangan, buku
pegangan dan prosedur keuangan / peraturan, orang-orang akuntansi
cenderung merasa nyaman dengan ide manajemen risiko dan efektif keuangan
internal kontrol. Tahap dua organisasi berisi orang yang telah mulai menarik
bersama-sama praktek terbaik panduan dan publikasi lain yang berkaitan
dengan manajemen risiko untuk keuangan dan beberapa manajer umum.
3. Penanggung Jawab
Sebuah organisasi tiba pada tahap ketiga ketika sumber dayanya siap untuk
menuju manajemen risiko yang resmi. Ini benar-benar tentang tanggung jawab
dalam organisasi yang menugaskan untuk bersama-sama mengupayakan
mengatasi risiko di wilayah operasional berbagai layanan dukungan. Sekali lagi,
disini akan ditemukan kecenderungan peran yang diberikan kepada seorang
manajer keuangan senior - karena penilaian risiko generik akan dilihat sebagai
masalah yang berhubungan dengan keuangan untuk mendukung pernyataan
pengendalian internal dalam perhitungan tahunan. Kabar baik untuk tahap tiga
entitas adalah bahwa seseorang mulai mengkoordinasikan terkait risiko kegiatan
dan mencapai beberapa jenis struktur.
4. Bunga Top Manajemen
Sebuah organisasi tiba pada tahap keempat ketika risiko dan manajemen risiko
menjadi boardroom agenda pokok. Dimana dewan memutuskan untuk
mengatur arah kebijakan dan strategi untuk cara risiko ditangani oleh manajer
dan staf mereka, proses manajemen risiko mulai untuk mengambil yang jelas
membentuk, bahkan jika ini hanya dari segi rasa arah dan komitmen. Tahap
empat organisasi melibatkan direksi dan manajer senior yang membuat
pernyataan yang jelas tentang kebutuhan untuk mengatasi risiko, dalam strategi
cara dikembangkan dan operasi cara memberikan. Sebuah kebijakan risiko
formal akan muncul sebagai bagian dari pesan-pesan kunci perusahaan yang
melanda proses top-down komunikasi.
5. Seminar Kesadaran
Pesan berongga dari atas dapat berkomunikasi konsep satu baris , tetapi tidak
sangat baik dalam memberikan perubahan dalam praktek kerja. Ini panggilan
untuk pemikiran baru dan belajar suara memproses yang membuat perbedaan.
Inisiatif perubahan besar panggilan untuk cara terstruktur untuk mendapatkan
pesan seberang dengan format hands-on yang mencapai staf kunci secara
sistematis dan terencana cara. Tahap lima organisasi akan cenderung
memberikan peristiwa kesadaran di mana orang disuruh tentang manajemen
risiko inisiatif dan bagaimana hal itu mempengaruhi mereka. Membawa
berbagai bagian dari bisnis bersama-sama dengan cara ini membentuk dasar
bagi perusahaan-lebar manajemen risiko pendekatan.
6. Infrastruktur Build
Ketika orang memahami cara manajemen risiko dapat digunakan untuk
membantu memastikan tujuan yang tercapai, organisasi dapat melangkah ke
tahap enam. Di sini, ia mulai mengembangkan proses untuk menilai risiko di
bagian penting dari bisnis dan pelaporan hasil menjadi suatu pelaporan jaminan
Mekanisme, yang akhirnya pernyataan kontrol diterbitkan internal.Dalam tahap
enam organisasi, kebijakan risiko menjadi lebih dari strategi manajemen risiko
yang mencapai ke kunci bagian dari bisnis serta layanan dukungan. Selain itu,
upaya tersebut sering diawasi oleh Komite Audit sesuai dirumuskan. Dengan
cara ini, niat menyatakan dapat berubah menjadi nyata tindakan. Salah satu
aspek kunci dari infrastruktur membangun adalah penerapan model kontrol
yang sesuai seperti COSO.
7. Latihan resiko
Hal ini hanya ketika sebuah organisasi telah melalui versi tahap satu sampai
enam yang dapat mengubah ke tahap tujuh, di mana tim, proyek, operasi dan
fungsi pendukung dapat mulai meninjau wilayah kerja mereka. Apa yang sering
disebut sebagai kontrol self-assessment atau pengendalian risiko self-
assessment lokakarya cocok pada tahap tujuh. Di sini, top-down arah pada risiko
dan tingkat tinggi diskusi di tingkat manajemen menengah dapat dipenuhi
dengan bottom-up informasi tentang negara risiko operasional dan kontrol yang
terkait.
8. Terpadu
Tahap akhir berkaitan dengan integrasi dari semua upaya risiko ke dalam cara
organisasi merencanakan strategi, menetapkan ukuran kinerja dan membuat
keputusan untuk menutup kesenjangan antara aktualkinerja dan target.Dalam
skenario ini, perlu ada bimbingan ahli dalam menyatukan berbagai helai
berbasis risiko kegiatan dan daftar risiko yang dihasilkan, rencana aksi dan
laporan ke membentuk proses jaminan pelaporan keseluruhan. Sebagian
melihat ini sebagai peran untuk CRO secara resmi ditunjuk, yang memiliki
tingkat tinggi representasi dan laporan kepada dewan. Beberapa orang akan
berpendapat bahwa CRO pos idealnya akan muncul pada tahap satu untuk
membimbing dan mengarahkan organisasi melalui sisa tahapan sebagai sistem
manajemen risiko secara efektif dibangun, diimplementasikan dan kemudian
dimasukkan ke dalam budaya tempat kerja.
Model delapan tahap diatas berguna dalam menilai mana sebuah organisasi berdiri
sebelum memulai pada peran konsultan audit, karena masukan yang dibutuhkan akan
bervariasi tergantung pada panggung organisasi saat ini duduk. Setiap tahap
membutuhkan driver yang berbeda:
Tahap satu - kepentingan umum: membangun minat dan fokus ke drive pro-
organisasi untuk mendapatkan tim spesialis yang berbeda berbicara tentang
pendekatan mereka untuk manajemen risiko.
Tahap dua - gemuruh penelitian: mengembangkan database praktek terbaik
bimbingan dan mencari tahu apa yang orang lain di sektor bisnis lakukan.
Buatlah daftar hal-hal yang akan dibahas dalam perumusan dan pelaksanaan
kebijakan risiko perusahaan.
Tahap tiga - orang yang bertanggung jawab : mendefinisikan peran dan tanggung
jawab masing-masing, khususnya juara untuk penyebab yang dapat menentukan
arah bagi organisasi.
Tahap empat - bunga manajemen puncak : mengamankan sponsor pada papan
yang dapat memastikan risiko manajemen duduk tegas pada agenda
perusahaan. Salah satu cara adalah untuk mendapatkan papan (dan audit
Komite) untuk melaksanakan penilaian mereka sendiri untuk tiba di atas mereka
sepuluh risiko untuk memulai proses.
Tahap lima - seminar kesadaran : hal ini sangat penting untuk mendapatkan
pemain kunci di seluruh organisasi bersama-sama dalam serangkaian acara
untuk memberikan pemahaman, meningkatkan buy-in dan memastikan setiap
manajer menerima bahwa mereka memiliki tanggung jawab yang jelas dan
langsung untuk mengelola risiko di daerah mereka jawab.
Tahap enam - membangun infrastruktur : banyak dari ini akan berkisar
membangun informasi yang sesuai sistem yang mengkategorikan dan
menangkap kegiatan resiko ke dalam format pelaporan jaminan formal. Itu
kegiatan risiko yang tepat harus memutuskan dan apakah kegiatan ini mencakup
seluruh organisasi atau hanya tinggi-profil daerah.
Tahap tujuh - latihan berisiko : disini organisasi akan perlu untuk melakukan
survei dan / atau difasilitasi lokakarya dengan cara yang paling sesuai dengan
struktur dan budaya bisnis.
Tahap delapan - terintegrasi : banyak dari ini akan didasarkan pada
mendefinisikan peran dankompetensi dari CRO atau setara dan memastikan
bahwa proses penilaian risiko tersebut diperbaiki dan diperbarui baik teratur
dan kapanpun perubahan profil dampak berbagai risiko.
Masalah yang dihadapi beberapa organisasi adalah bahwa mereka memulai proses
delapan tahapan tanpa jelas pemahaman dari tahap pengembangan dan target.
Akibatnya, banyak orang terjebak pada tahap awal dan menulis seluruh hal off sebagai
awal palsu. CRSA hanya benar-benar bekerja di mana organisasi memiliki tiba pada
tahap
3.9 MANAJEMEN RESIKO TERTAHAN
Puncak manajemen risiko praktik terbaik, yang banyak dicari 'manajemen risiko
tertanam '. Salah satu kriteria untuk menilai kerangka pengendalian internal
(Pemantauan pengaturan) pertanyaan berikut:
Apakah ada proses yang sedang berlangsung tertanam dalam operasi
perusahaan secara keseluruhan bisnis, dan ditangani oleh manajemen senior,
yang memantau penerapan yang efektif dari kebijakan, proses dan kegiatan
yang berkaitan dengan manajemen risiko pengendalian internal?
Sementara Strategis Risiko Departemen Keuangan panduan Manajemen mengakui
kebutuhan yang sama untuk mengintegrasikan risiko ke dalam organisasi dengan
menyarankan bahwa: "The embedding manajemen risiko pada gilirannya kritis
keberhasilannya, melainkan harus menjadi bagian intrinsik dari cara organisasi bekerja,
pada inti pendekatan manajemen, bukan sesuatu yang terpisah dari hari ke hari kegiatan
'. Standar risiko yang paling, panduan, alat bantu dan komentar mengandung frase (atau
Istilah setara) tertanam manajemen risiko. Gordon Bukit memperingatkan tentang
mencoba untuk melakukan terlalu banyak terlalu cepat : Integrasi dengan proses yang
ada adalah sama pentingnya, tetapi menyajikan tantangan yang berbeda semata-mata
karena proses akan beroperasi.
Menggunakan risk register dengan benar diprioritaskan untuk fokus pada isu-isu
terbesar adalah cara yang paling efektif penargetan usaha. Dengan cara ini organisasi
akan mencapai pengembalian tercepat dan terbesar komitmen dan akan ada di
cengkeramannya peta rute ke risiko dikelola. Dengan menambahkan beberapa faktor
yang terdiri dari tiga kotak hitam (ERM / CRSA, SIC dan Stakeholders) dan empat kotak
abu-abu (waktu, biaya, nilai-nilai, embed) kita dapat mencapai model sepenuhnya
dikembangkan efektif manajemen risiko.
Dimulai dengan kotak hitam pertama,
penambahan ini dijelaskan di bawah ini:
ERM / CRSA Sebagaimana dibahas di atas, harus ada proses yang menjamin
risiko dipahami,
diidentifikasi dan dikelola di tingkat akar rumput idealnya melalui bentuk
pengendalian risiko penilaian diri program. Sementara itu, harus ada proses
lebih lanjut untuk memastikan penilaian risiko adalah dilakukan di seluruh
bagian-bagian kunci, jika tidak semua, dari organisasi dan yang didorong dari
atas dan berjalan ke bawah, dan di seluruh tingkatan manajemen. The CRO akan
membantu mengkoordinasikan upaya-upaya ini.
Sistem manajemen risiko harus membahas konsep toleransi risiko dan membuat jelas
daerah yang cenderung menimbulkan ancaman bagi organisasi, atau masyarakat umum
di mana tepat dan sejauh mana strategi dan target kinerja cenderung penuh
tercapai.Komunikasi dengan para pemangku kepentingan dalam identifikasi dan proses
manajemen penting. Komunikasi harus mendidik masyarakat tentang risiko yang mereka
dapat terpapar pada cara-cara yang berbeda di mana risiko dapat dikelola, pada tujuan
Departemen, dalam manajemen risiko, dan dalam peran individu sendiri 'dalam
mengelola risiko, di mana keputusan diambil untuk menghindari intervensi pemerintah
legislatif. Waktu Model risiko didasarkan pada melakukan lebih banyak untuk penelitian,
menganalisis dan menangani risiko yang dampak organisasi dan memastikan ada
transparansi dan kompetensi dalam cara risiko dibahas.
Waktu Model risiko didasarkan pada melakukan lebih banyak untuk penelitian,
menganalisis dan menangani risiko yang dampak organisasi dan memastikan ada
transparansi dan kompetensi dalam cara risiko dibahas. Kuesioner dapat digunakan
sebagai awal dimana Sulit untuk membuat orang bersama-sama, dan mungkin
menggunakan membagi kelompok pada konferensi staf berikutnya daripada mencoba
untuk membuat peristiwa terpisah. Tim dan staf pertemuan dapat digunakan untuk
memulairisiko proses penilaian lagi sebagai pengakuan atas kurangnya waktu.
Pendekatan yang terbaik adalah untuk menentukan manfaat manajemen risiko dan
kemudian membuat ruang untuk melakukan latihan resiko. Dimana kita memiliki
mendapat lebih dekat untuk menanamkan risiko ke dalam proses perusahaan, itu hanya
mungkin menjadi masalah untuk memastikan dasar tugas-tugas seperti perencanaan,
penetapan target, restrukturisasi perusahaan, pengambilan keputusan kunci, kinerja
manajemen, perencanaan proyek, perancangan prosedur, usaha baru, peluang
kemitraan, baru produk dan sebagainya hanya setuju ketika penilaian formal risiko telah
dilakukan dan direkam.
Biaya Faktor ini berhubungan dengan waktu. Ini tidak membutuhkan biaya untuk
menerapkan ide-ide baru bahkan di mana kita sedang membangun ide-ide ke dalam
sistem yang ada. Keahlian eksternal mungkin diperlukan pada awal hari untuk
membentuk manajemen risiko untuk memastikan ide-ide dapat berubah dalam praktek.
Sistem informasi dapat diperbarui untuk membangun dalam faktor risiko dan
menangkap hasil dari setiap latihan yang relevan. Dimana
pendekatan CRSA diadopsi, kita akan perlu untuk buku layanan akomodasi dan
dukungan dan fasilitator yang baik dan sistem perekaman. tingkat papan dukungan
untuk manajemen risiko perlu dicocokkan dengan anggaran didelegasikan tepat,
idealnya terletak dengan CRO. Kebijakan tanpa dana didefinisikan melekat pada mereka
cenderung berakhir sebagai dokumen kertas tanpa nilai riil.
Nilai Cara terbaik untuk membangun manajemen risiko adalah untuk
menghindari ,hanya memberikan satu set peraturan dalam bentuk hal-hal yang harus
dilakukan untuk memenuhi persyaratan kebijakan.Keputusan harus diambil tanpa
bergegas kepala lebih dulu ke perairan ditandai atau menahan dan menolak semua
perubahan yang disarankan, tetapi mereka harus dilakukan setelah dilakukan
formalpenilaian risiko kunci dan dalam hubungannya dengan strategi untuk menghadapi
risiko yang tidak dapat diterima.
3.10 PERAN AUDIT INTERNAL DALAM MANAJAMEN RESIKO
IIA Atribut Standar 1220.A3 menyatakan bahwa auditor internal harus memperhatikan
risiko kunci dan bahwa: auditor internal 'harus waspada terhadap risiko signifikan yang
mungkin mempengaruhi tujuan, operasi, atau sumber daya. Namun, jaminan prosedur
saja, bahkan ketika dilakukan dengan perawatan profesional karena, lakukan tidak
menjamin bahwa semua risiko yang signifikan akan diidentifikasi. "
Kembali pada tahun 1999, Gill Bolton mengeluarkan peringatan kepada auditor internal
bahwa mereka berada dalam bahaya melawan manajemen risiko yang efektif karena
mereka:
Cenderung untuk merekomendasikan proses menolak sangat berisiko dan
prosedur.
Apakah tidak menyadari preferensi organisasi untuk mengambil resiko (juga
dikenal sebagai risk appetite atau toleransi risiko). Mereka tidak sendirian dalam
hal ini organisasi sesedikit telah didefinisikan secara tepat risiko mengambil
preferensi.
Membuat rekomendasi pada dasar yang cukup ad hoc, seringkali tanpa
mempertimbangkan organisasi dampak dari rekomendasi mereka.
Gagal untuk mendapatkan cukup dekat dengan peluang strategis dan tantangan
yang mereka organisasi bekerja dan bekerja menuju.
Tambahkan beban administrasi pada saat kecepatan dan fleksibilitas sangat
penting.
Jangan terlibat aktif dalam program utama perubahan organisasi.
Sebagai kesimpulan audit internal harus bekerja sama dengan semua manajemen risiko
lainnya dan pemantauan fungsi dalam organisasi mereka untuk membantu mencapai
total risiko selaras dan efisien manajemen. Hal ini jelas bahwa drive cepat menuju
manajemen risiko muncul sebagian karena kode resep, sebagian dipicu oleh skandal
lintas sektor dan organisasi dan juga karena bisnis yang sukses dipahami dan ditangani
risiko utama mereka. Gerakan ini terhadap risiko merangkul seharusnya tidak ada Cara
terhalang oleh auditor internal. The IIA Handbook Seri Pelaksanaan Profesional Praktek
Framework (hal. 92) menyatakan bahwa: "Gagasan bahwa risiko harus baik memeluk
dan dihilangkan oleh organisasi bertentangan dengan pemikiran tradisional audit
internal. Dalam audit internal terakhir praktisi sering dicari hanya untuk menghilangkan
risiko”. Standar Kinerja 2.120 menjelaskan bahwa : Kegiatan audit internal harus
mengevaluasi efektivitas dan berkontribusi terhadap peningkatan risiko proses
manajemen.Interpretasi:Menentukan apakah risiko proses manajemen yang
efektifadalah penilaian yang dihasilkan dari penilaian auditor internal bahwa :
tujuan organisasi mendukung dan sejalan dengan misi organisasi;
risiko yang signifikan diidentifikasi dan dinilai
tanggapan risiko yang tepat dipilih yang menyelaraskan risiko dengan risk
appetite organisasi;
informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu
di seluruh organisasi, staf memungkinkan, manajemen, dan dewan untuk
melaksanakan tanggung jawab mereka. Risiko proses manajemen dimonitor
melalui kegiatan manajemen yang sedang berlangsung, terpisahevaluasi, atau
keduanya.
2120.A1 - Kegiatan audit internal harus mengevaluasi eksposur risiko yang berkaitan
dengan organisasipemerintahan, operasi, dan sistem informasi mengenai :
Keandalan dan integritas informasi keuangan dan operasional.
Efektivitas dan efisiensi operasi.
Pengamanan aset, dan
Kepatuhan terhadap hukum, peraturan, dan kontrak.
Auditor internal 'keterlibatan dalam menilai risiko atau mengidentifikasi kontrol
termasuk:
Fasilitator memungkinkan dan membimbing manajer dan staf melalui proses.
Anggota tim yang merupakan bagian dari kelompok berbasis luas.
Risiko dan kontrol analis memberikan manajer dengan saran ahli. .
Membuktikan alat dan teknik yang digunakan oleh audit internal untuk
menganalisis risiko dan kontrol.
Menjadi pusat keahlian untuk mengelola risiko.
Beberapa berpendapat bahwa audit internal perlu reposisi sendiri di jantung dimensi
risiko dan drive melalui perubahan yang diperlukan. Dalam penelitian terbaru didanai
oleh IIA.Inc. berjudul Enterprise Risk Management (ERM): Tren dan Emerging, Tim Lintah
meminta profesi untuk mendapatkan untuk mengatasi dengan ERM dan telah
mempertanyakan apakah audit internal departemen akan membantu atau menghalangi
gerakan ERM.
Praktek Penasehat 2.120-1 on Menilai Kecukupan Proses Manajemen Risiko
memberikan interpretasi Standar 2120 (kegiatan audit internal harus mengevaluasi
efektivitas dan berkontribusi terhadap peningkatan manajemen risiko proses).
Menentukan apakah risiko proses manajemen yang efektif adalah penilaian yang
dihasilkan dari penilaian auditor internal bahwa:
tujuan organisasi mendukung dan sejalan dengan misi organisasi.
risiko yang signifikan diidentifikasi dan dinilai.
tanggapan risiko yang tepat dipilih yang menyelaraskan risiko dengan risk
appetite organisasi.
informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu
di seluruh organisasi,
memungkinkan staf, manajemen, dan dewan direksi untuk melaksanakan
tanggung jawab mereka.
Manajemen risiko proses dimonitor melalui kegiatan manajemen yang sedang
berlangsung, terpisah evaluasi, atau keduanya.
Manajemen risiko merupakan tanggung jawab utama dari manajemen senior
dan papan. Untuk mencapai nya tujuan bisnis, manajemen memastikan bahwa
suara risiko manajemen proses berada di tempat dan berfungsi. Papan memiliki
peran pengawasan untuk menentukan bahwa manajemen risiko yang sesua
proses berada di tempat dan bahwa proses ini memadai dan efektif. Dalam
peran ini, mereka dapat mengarahkan kegiatan audit internal untuk membantu
mereka dengan memeriksa, mengevaluasi, melaporkandan / atau
merekomendasikan perbaikan kecukupan dan efektivitas manajemen yang
Risiko proses.
Manajemen dan dewan bertanggung jawab atas manajemen risiko-organisasi
mereka dan kontrol proses. Namun, auditor internal bertindak dalam peran
konsultan dapat membantu organisasi dalam mengidentifikasi, mengevaluasi,
dan menerapkan manajemen risiko dan metodologi kontrol untuk mengatasi
risiko tersebut.
Dalam situasi di mana organisasi tidak memiliki formal yang risiko manajemen
proses,
CAE secara resmi membahas dengan manajemen dan dewan kewajiban mereka
untuk memahami, mengelola dan memantau risiko dalam organisasi dan
kebutuhan untuk memuaskan diri sendiri bahwa ada adalah proses operasi
dalam organisasi, bahkan jika informal, yang menyediakan sesuai
tingkat visibilitas ke dalam risiko kunci dan bagaimana mereka dikelola dan
dipantau.
Pemahaman manajemen senior dan harapan dewan dari audit internal
aktivitas dalam manajemen risiko proses organisasi. Pemahaman ini kemudian
dikodifikasikan dalam piagam dari kegiatan audit internal dan papan. Tanggung
jawab audit internal adalah untuk dikoordinasikan antara semua kelompok dan
individu dalam manajemen risiko-organisasi proses. Kegiatan audit internal peran
dalam proses manajemen risiko organisasi dapat berubah dari waktu ke waktu dan
dapat mencakup :
Peran No.
Audit proses manajemen risiko sebagai bagian dari rencana audit internal.
Aktif, dukungan dan keterlibatan dalam proses manajemen risiko seperti
partisipasi pada komite pengawasan, kegiatan pemantauan, dan pelaporan
status.
Mengelola dan mengkoordinasi proses manajemen risiko.
Pada akhirnya, itu adalah peran manajemen senior dan papan untuk
menentukan peran internal audit dalam proses manajemen risiko.
Pandangan mereka tentang peran audit internal adalah mungkin ditentukan oleh
faktor-faktor seperti budaya kemampuan, organisasi audit internal
staf dan kondisi lokal dan adat istiadat negara. Namun, mengambil ini manajemen
Tanggung jawab mengenai proses manajemen risiko dan ancaman potensial
terhadap internal independensi kegiatan pemeriksaan ini membutuhkan persetujuan
diskusi dan full board.
Audit harus menentukan efektivitas self-assessment manajemen proses melalui
observasi, tes langsung kontrol dan prosedur pemantauan, pengujian kecukupan
informasi digunakan dalam kegiatan monitoring dan teknik lain yang sesuai.
Gregg R. Maynard telah memberikan singkat daftar cara bahwa audit internal dapat
merespon agenda risiko:
1. Menggabungkan analisis obyektif dan subyektif dari alam semesta audit untuk
mengungkapkan prioritas audit. Menjauh dari siklus audit - ukuran kuantitatif
yang kemudian kualitatif bahwa perubahan sebagai perubahan situasi.
2. Menganalisis kemampuan manajemen untuk mencapai sasarannya dan tujuan
dalam pra-audit narasi. Manajemen penilaian risiko dan toleransi.
3. Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah.
Jelajahi nada pada top - standar etika, perencanaan strategis, manajemen
informasi dan manajemen risiko.
4. Menganalisis proses untuk menetapkan dan mengawasi limit risiko. Ambang
batas dan mengatur dan keuangan dan operasional target.
5. Meninjau fungsi manajemen risiko lain, seperti treasury, kepatuhan, dan
akuntansi kontrol. Basis ketergantungan pada penilaian dan juga mendapatkan
gambaran besar pada eksposur risiko.
6. Mengamati proses perencanaan strategis dan hasilnya. Lihat untuk mengaudit
masa depan dan perubahan risiko tetapi tidak dalam pengambilan keputusan
kapasitas.
7. Mengevaluasi inisiatif strategis. Misalnya aliansi strategis dan proyek-proyek
baru.
8. Mengintegrasikan kegiatan audit. Misalnya IT audit dan pemeriksaan garis
depan.
9. Mendasarkan proses audit atas efek bersih dari eksposur risiko dan kontrol
kompensasi. Audit rekomendasi harus didasarkan pada persamaan ini - risiko
kontrol kurang. Kemudian menentukan tingkat pengujian substantif yang
diperlukan untuk mengkonfirmasi posisi.
10. Bermitra dengan manajemen dengan menyediakan jasa konsultasi dan nilai
tambah informasi.
11. Meninjau etika sebagai unsur dasar pengendalian internal.
12. Melakukan audit komprehensif dari manajemen risiko keseluruhan program.
MENGELOLA RISIKO 225 2110 – Pemerintahan Kegiatan audit internal harus menilai dan
membuat rekomendasi yang sesuai untuk meningkatkan governance proses
pencapaiannya tujuan berikut:
Mempromosikan etika dan nilai-nilai yang tepat dalam organisasi;
Memastikan manajemen kinerja yang efektif dan akuntabilitas organisasi;
Mengkomunikasikan informasi risiko dan kontrol ke daerah-daerah sesuai
organisasi, dan
Koordinasi kegiatan dan mengkomunikasikan informasi di antara papan,
eksternal dan auditor internal, dan manajemen.
2110.A1 - Kegiatan audit internal harus mengevaluasi desain, implementasi, dan
efektivitas etika yang berhubungan dengan organisasi sasaran, program, dan kegiatan.
2110.A2 - Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi
organisasi menopang dan mendukung strategi dan tujuan organisasi.
2110.C1 - tujuan keterlibatan Consulting harus konsisten dengan nilai-nilai keseluruhan
dan tujuan organisasi.
The Treasury (Manajemen Risiko Strategis) telah bergema pedoman IIA pada
keterlibatan proaktif dari auditor internal dan panduan untuk manajemen risiko
menunjukkan bahwa : Audit internal dapat digunakan oleh manajemen sebagai
konsultan internal ahli untuk membantu dengan pengembangan proses RM strategis
bagi organisasi. Namun penting untuk dicatat bahwa fungsi audit internal adalah untuk
memberikan jaminan independen tentang cara di mana itu adalah dikontrol, ini bukan
sebuah pengganti untuk kepemilikan manajemen risiko juga tidak ada atau kegiatan
audit internal pengganti untuk sistem tertanam tinjauan dilakukan oleh berbagai staf
yang memiliki tanggung jawab eksekutif untuk pencapaian objectives.
Dua titik kunci yang perlu dibuat :
1. Pertama, ulasan lebih dapat diandalkan di mana resensi tidak memihak.
2. Nilai tambah berarti memberikan kontribusi keahlian khusus untuk
mempromosikan keberhasilan perusahaan.
Ketika sebuah organisasi perlu mendapatkan sistem manajemen risiko dan berjalan, dan
terlihat auditor untuk pengaturan bantuan up, sulit bagi auditor yang sama untuk
kemudian memberikan jaminan obyektif tentang sistem yang sama. Mula-mula
pandangan, dua konsep yang tidak kompatibel. Namun demikian, berbagai cara yang ini
jelas inkonsistensi dapat dikelola. Model yang kita gunakan memiliki tujuh pendekatan:
1. Pendekatan standar audit tinjauan diadopsi. Di sini, tim audit internal
memonitor cara bisnis manajemen risiko sistematis ditetapkan dan
dilaksanakan, dan kemudian melanjutkan dengan meninjau apakah itu dapat
diandalkan, kuat dan memenuhi kebutuhan organisasi. Pada gilirannya, internal
audit dapat memberikan jaminan independen untuk papan pada keadaan
manajemen risiko.
2. Hal ini mirip dengan pendekatan satu, dengan penambahan saran ad hoc dan
bimbingan yang diberikan berdasarkan permintaan. Audit internal dapat
membuat presentasi ke papan dan muncul untuk pertemuan atau lokakarya di
mana manajemen risiko sedang dibahas dan diputuskan pada, dan membuat
kontribusi seperti yang diperlukan.
3. Pendekatan ketiga mengambil hal-hal langkah lebih lanjut dan auditor internal
mulai terlibat dalam meningkatkan kesadaran. Fitur utama di sini adalah bahwa
audit internal akan memimpin berbagai seminar dan peristiwa yang
mempromosikan tata kelola perusahaan, manajemen risiko dan pengendalian.
4. Tingkat berikutnya adalah di mana audit internal memfasilitasi lokakarya CSA
dan mengambil pesan resiko ke akar rumput di seluruh organisasi. Auditor
tulang di keterampilan fasilitasi dan pekerjaan utama tim, tim proyek atau
proses berbasis kelompok kerja dan membantu tim mempersiapkan risiko yang
sesuai register untuk mencerminkan risiko prioritas dan rencana aksi.
5. Tingkat lima berjalan sepanjang jalan. Berikut audit internal mengkompilasi
database risikoperusahaan dari semua yang berbasis risiko kegiatan yang terjadi
dalam organisasi. Audit akan terus mengembangkan sistem pelaporan yang
menyediakan laporan agregat dan terpilah pada tingkat yang tepat dalam
organisasi. Peran diasumsikan adalah mirip dengan yang dari organisasi yang
disebut itu CRO.
6. Pendekatan enam tingkat didasarkan pada membangun dua untai terpisah
untuk audit internal layanan. Yang pertama berfokus pada jaminan utama dan
peran review, meskipun hal ini sekarang mungkin menjadi berbasis risiko,
berkonsentrasi pada risiko operasional yang telah diidentifikasi. Yang kedua
melakukan peran konsultan dalam memfasilitasi kegiatan CRSA.
7. Pendekatan terakhir adalah untuk memainkan peran penuh dalam memulai dan
mengembangkan manajemen risiko sistematis di seluruh organisasi untuk
mendapatkan proses yang terjadi. Kemudian, setelah membantu mendirikan
proses, audit internal bergerak menjauh dari layanan konsultasi dan kembali ke
peran jaminan utama. Dicara ini, tanggung jawab penuh untuk membuat
manajemen risiko kerja diberikan kembali ke garis.
Strategi dasar di atas dapat digunakan sebagai platform agar sesuai dengan jasa audit
internal ke pengembangan manajemen risiko di seluruh organisasi.
Peran Internal audit dalam mengkaji manajemen risiko telah diakui dalam standar
Inggris pada risiko manajemen. Jika organisasi memiliki fungsi audit internal, ini mungkin
bertanggung jawab untuk menyediakan senior manajemen dengan jaminan secara
independen terhadap:
Proses manajemen risiko, baik desain mereka dan seberapa baik mereka
bekerja;
Manajemen risiko utama, termasuk efektivitas pengendalian dan tanggapan lain
untuk tersebut, dan
penilaian Handal dan sesuai risiko dan pelaporan risiko dan status kontrol.
Risiko organisasi dan fungsi audit internal dapat beroperasi secara independen.
Mereka harus berbagi informasi dan mengkoordinasikan kegiatan mereka.
Informasi yang bersama dapat mencakup :
o rencana tahunan Setiap fungsi ini kegiatan;
o Metode mengelola risiko secara efektif;
o Kunci risiko;
o masalah pengendalian kunci;
o Output dari kegiatan proses manajemen risiko dan audit, dan
o Pelaporan dan manajemen information.
AUDIT PROGRAM ERM
Pemikul tanggung jawab dalam program ERM adalah dewan direksi dan eksekutif level
C. Mereka memutuskan apa risiko, apa tingkat risiko yang akan mereka mentolerir, dan
apa risiko yang mereka tidak mau mentolerir. Mereka bertanggung jawab untuk
memantau dan menanggapi output ERM dan memperoleh jaminan bahwa risiko
organisasi yang diterima dikelola dalam batas-batas yang ditentukan. Internal auditor ,
baik dalam jaminan mereka dan peran konsultasi berkontribusi dalam ERM dalam
berbagai hal. Mereka menghabiskan sebagian besar waktu mereka menilai seberapa
efektif manajemen memiliki menanggapi risiko kunci dengan mengembangkan operasi
yang memadai dan struktur kontrol. Pada dasarnya, tim audit memberikan dewan dan
manajemen dengan tujuan penilaian upaya ERM perusahaan, termasuk di mana
perusahaan dapat meningkatkan.
Menurut Komite Organisasi Sponsoring, ERM adalah'' sebuah proses, dilakukan oleh
dewan entitas direksi, manajemen, dan personil lainnya, diterapkan dalam pengaturan
strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian
potensial yang dapat mempengaruhi entitas, mengelola risiko berada dalam risk
appetite, dan untuk menyediakan keyakinan memadai tentang pencapaian tujuan
entitas.'' Perhatikan melihat proses - yaitu, manajemen risiko lebih dari sistem
manajemen risiko. Dari perspektif pemeriksaan identifikasi internal, risiko kunci yang
tidak memadai untuk organisasi dapat meningkatkan kemungkinan peristiwa buruk
terjadi. Identifikasi yang tidak benar dapat mengakibatkan pemborosan sumber daya.
Pada bidang risiko rendah dengan imbalan sedikit sebaliknya, dapat meninggalkan
perusahaan lebih terbuka terhadap peristiwa negatif.
Audit ERM harus menentukan resiko apakah yang signifikan bagi organisasi yang tepat
diidentifikasi dan dinilai secara berkelanjutan. Hal ini juga harus mengkonfirmasikan
bahwa risiko dimonitor untuk kemungkinan perubahan, bahwa risiko-teknik manajemen
(Asuransi, hedging, dan sejenisnya) berada di tempat, dan manajemen yang memiliki
kemampuan untuk mengenali dan merespon risiko baru yang muncul. Masalah lebih
lanjut yang layak dipertimbangkan dalam audit ERM meliputi:
Apakah manajemen risiko organisasi usahanya sesuai dengan kebutuhannya? Ini
termasuk pengakuan dari manajemen, dan respons terhadap, kewajiban yang
muncul dan peluang di bidang manajemen risiko dan tata kelola perusahaan.
Apakah program manajemen risiko yang efektif telah dikembangkan dan
diimplementasikan? Apakah akuntabilitas mapan dan diakui oleh orang-orang
yang akan bertanggung jawab?
Apakah manajemen dan audit menyepakati definisi program?
Apakah sistem yang ada sesuai kebijakan, prosedur, dan pedoman yang
berkaitan dengan
ERM, didukung oleh kesadaran yang sesuai, pelatihan, dan kepatuhan kegiatan?
Apakah organisasi memeluk filosofi manajemen risiko? Apakah eksekutif
manajemen dipandang sebagai pendukung kuat, dan merupakan pertimbangan
resiko suatu terpisahkan bagian dari hari-hari keputusan bisnis?
Bagaimana manajemen resiko dapat membuat berhasil suatu usaha? Ini adalah
pertanyaan sulit untuk menjawab mengingat ketidakpastian yang melekat pada
risiko, tapi review retrospektif, organisasi identifikasi dan respon terhadap risiko,
termasuk kejadian-kejadian yang menunjukkan kontrol yang tidak memadai,
harus diungkapkan.
Apakah kita perlu meningkatkan pemahaman risiko utama dan apa lagi yang
perlu harus dilakukan? Sudahkah kita melakukan segala sesuatu yang diperlukan
untuk mendapatkan pegangan pada tingkat perusahaan beresiko?
The Institute of Internal Auditors mengusulkan bahwa manajemen risiko kegiatan dibagi
menjadi tiga kelompok :
1. Auditor internal memberikan jaminan.
2. Meliputi kegiatan eksklusif berhubungan dengan keputusan manajemen,
seperti memilih risk appetite dan tanggapan risiko.
3. Kegiatan manajemen risiko yang mungkin dilakukan oleh audit internal bila ada
pengamanan di tempat.
Tujuan dari manajemen risiko tidak untuk mengurangi ketidakpastian. Hal ini,
sebaliknya, untuk membantu organisasi membuat keputusan yang lebih baik dan untuk
merespon lebih cerdas ketika yang tak terduga pasti terjadi. Manajemen risiko perlu
diintegrasikan ke dalam organisasi , seluruh operasi dari pengawasan dewan untuk
perencanaan strategis manajemen senior dan kepemimpinan untuk mengontrol
operasional manajemen setiap hari.
PENGEMBANGAN BARU MANAJEMEN RESIKO
Dalam hal manajemen risiko, tinjauan Walker (review tata kelola perusahaan di bank
Inggris dan entitas industri keuangan lainnya, 16 Juli 2009) melakukan observasi besar
dengan beberapa saran yang dapat diringkas sebagai berikut :
Tinjauan untuk perbedaan antara tanggung jawab dewan dalam manajemen
dan Pengendalian resiko dan pengambilan mengambil sehubungan dengan risk
appetite dan toleransi.
Tanggung jawab komite audit yang disorot dalam hal pengawasan dan
pelaporkan ke dewan pada rekening keuangan dan penerapan akuntansi yang
sesuai kebijakan, pengendalian internal, kepatuhan dan hal-hal lainnya.
Walker mencatat overload potensial atau aktual dari komite audit dan
kebutuhan erat terkait tetapi kemampuan terpisah untuk fokus pada risiko
dalam strategi masa depan dan menyimpulkan bahwa praktek terbaik dalam
sebuah perusahaan jaminan bank atau hidup untuk pembentukan risiko papan
terpisah dari komite komite audit.
Di samping jaminan praktik terbaik dalam pengelolaan dan pengendalian dikenal
dan resiko terukur cukup, prioritas utama didefinisikan untuk proses
pemerintahan secara keseluruhan board resiko untuk memberikan fokus yang
jelas, eksplisit dan didedikasikan untuk aspek saat ini dan ke depan risiko
eksposur, yang mungkin memerlukan penilaian kerentanan kompleks entitas
untuk sampai sekarang diketahui risiko.
Salah satu rekomendasi utama adalah bahwa dewan bank harus membentuk
risiko papan panitia secara terpisah dari komite audit dengan tanggung jawab
untuk pengawasan dan saran ke papan atas eksposur risiko saat ini entitas dan
strategi risiko masa depan. Dewan Komite risiko harus, seperti komite audit,
komite menjadi papan dan harus dipimpin oleh seorang NED dengan mayoritas
non-eksekutif anggota, namun tambahan dengan direktur keuangan (FD)
sebagai anggota atau yang hadir dan dengan CRO yang selalu hadir. Komite
Risiko akan menyarankan papan risk appetite dan toleransi untuk strategi masa
depan, memperhitungkan tingkat keseluruhan dewan penghindaran risiko,
situasi keuangan saat ini entitas dan - gambar pada penilaian oleh komite audit -
kapasitasnya untuk mengelola dan mengendalikan risiko dalam strategi
disepakati.
Satu saran lebih lanjut adalah bahwa dalam mendukung tingkat tata kelola
risiko, dewan bank harus dilayani oleh CRO yang harus berpartisipasi dalam
manajemen risiko dan pengawasan Proses pada tingkat tertinggi, yang
mencakup semua risiko di seluruh organisasi, pada perusahaan-luas
dasar, dan harus memiliki status kemerdekaan total dari unit bisnis individu.Hal
diatas juga mungkin memiliki implikasi yang besar untuk audit internal sebagai
CRO mengasumsikan banyak lebih tinggi statusnya di banyak perusahaan, dan di
samping kemandirian meningkat dan mengirimkan untuk melaporkan kepada
komite risiko yang kuat, CRO mungkin berakhir dengan status lebih tinggi dari
CAE.
MENGELOLA RESIKO
Prinsip-prinsip utama pendukung laporan papan risiko komite yang harus dimasukkan
dalam laporan tahunan dan rekening menurut Walker, sebagai berikut :
Fokus Strategis - laporan harus berusaha untuk menempatkan strategi
perusahaan setuju menjadi risiko konteks manajemen, hal ini harus mencakup
informasi tentang risiko yang melekat dimana Strategi mengekspos perusahaan.
Forward Looking - laporan harus memberikan informasi kepada pembaca yang
menunjukkan dampak dari potensi risiko yang dihadapi bisnis - itu harus jelas
misalnya apakah perusahaan akan material terkena penurunan harga properti
misalnya. Jika perusahaan melakukan stress testing, laporan harus
mengungkapkan informasi tingkat tinggi pada program stress testing. Hal ini
harus mencakup sifat tekanan, tekanan yang paling signifikan dan bagaimana
signifikansi telah berubah selama periode pelaporan.
Praktek Manajemen Risiko - laporan harus memberikan deskripsi singkat
tentang bagaimana risiko berhasil dalam bisnis, idealnya menggunakan contoh
risiko material yang muncul di sebelumnya periode pelaporan. Secara khusus ini
harus fokus pada peran Komite dalam manajemen risiko itu. Selain itu laporan
harus memberikan pernyataan singkat pada jumlah pertemuan dalam periode
pelaporan, catatan kehadiran dan apakah ada orang menilainya diambil.
Laporan tersebut harus mencakup tanggung jawab utama dari komite risiko
papan dan apakah ini telah berubah dalam periode pelaporan. Akhirnya laporan
singkat harus mencatat kunci daerah bahwa komite telah dipertimbangkan
dalam pelaporan period.
Standar Inggris pada manajemen risiko telah membentuk prinsip-prinsip penting yang
mencakup
organisasi keseluruhan pendekatan:
i. Manajemen risiko harus disesuaikan -Organisasi harus memiliki pendekatan
manajemen risiko yang proporsional dan diskala untuk mengatasi konteksnya.
ii. Manajemen risiko harus mempertimbangkan budaya organisasi, manusia faktor
dan perilaku Risiko organisasi proses manajemen harus mempertimbangkan
kemampuan, persepsi dan niat dari orang-orang di organisasi dan pemangku
kepentingan terkait lainnya yang mungkin memfasilitasi atau menghambat
pencapaian tujuan organisasi.
iii. Manajemen risiko harus sistematis dan terstruktur Pendekatan manajemen
risiko harus diterapkan secara konsisten dalam organisasi. ini membantu
memastikan bahwa output dari proses manajemen risiko yang baik dapat
diandalkan dan sebanding, dan memberikan manajer kepercayaan diri
meningkat untuk membuat keputusan yang efektif.
iv. Manajemen risiko harus beroperasi di bawah bahasa yang umum Organisasi
harus menerapkan bahasa yang sama ketika mengidentifikasi, menilai dan
menanggapi risiko, dan mempertahankan kerangka kerja manajemen risiko.
v. Manajemen risiko harus didasarkan pada informasi terbaik yang tersedia,
masukan untuk proses manajemen risiko harus didasarkan pada informasi dari
sumber yang relevan , seperti pengalaman yang dilaporkan, subjek
pengetahuan, penilaian ahli dan diproyeksikan perkiraan. Manajer harus
menyadari ada pembatasan terhadap data atau perbedaan pendapat di antara
para ahli.
vi. Manajemen risiko eksplisit harus mengatasi ketidakpastian
Organisasi harus menggunakan manajemen risiko untuk membantu
memperjelas sifat ketidakpastian, bagaimana ini dapat mempengaruhi
keputusan dan bagaimana mungkin akan diobati.
vii. Manajemen risiko harus menjadi bagian dari pengambilan keputusan
Manajemen risiko harus mendukung keputusan keputusan dengan membantu
untuk memahami risiko, ini membantu organisasi dalam membuat keputusan
mengenai risk appetite dan kemampuan untuk mengelola risiko secara efektif.
viii. Manajemen risiko harus melindungi semua nilai Manajemen risiko harus
memberikan kontribusi pada pencapaian tujuan dan memaksimalkan manfaat
melalui integrasi dengan proses manajemen, dengan mempertimbangkan
legislatif, peraturan dan kepatuhan persyaratan.
ix. Manajemen risiko harus transparan dan inklusif Manajer organisasi harus
memastikan bahwa semua stakeholder diidentifikasi, informasi dan tepat
terlibat dalam identifikasi risiko, penilaian dan respon.
x. Manajemen risiko harus dinamis, berulang dan responsif untuk mengubah
Organisasi hendaknya memastikan manajemen risiko yang terus
mengidentifikasi dan merespon perubahan yang mempengaruhi lingkungan
operasi (konteks).
xi. Ulasan prinsip Cara di mana prinsip-prinsip manajemen risiko yang diterapkan
harus tunduk biasa meninjau untuk mencerminkan perubahan dalam sifat
organisasi dan context.
Ringkasan dan Kesimpulan
Manajemen risiko tidak benar-benar sebuah trend manajemen. Ini menyediakan
platform untuk tata kelola perusahaan dengan memberikan kenyamanan kepada
pemegang saham dan pemangku kepentingan lainnya bahwa risiko terhadap investasi
mereka (atau jasa) yang dipahami oleh wakil-wakil mereka, papan dan sistematis
ditangani oleh manajemen. Manajemen risiko yang benar adalah tentang mengubah
budaya organisasi untuk mendapatkan orang untuk memeluk tanggung jawab mereka
mengetahui bahwa alat ini akan membantu mereka mendapatkan sekitar masalah
dan menggerakkan bisnis ke depan dengan cara yang dipertimbangkan.
Mendorong auditor internal ke dalam peran konsultan di tingkat dewan merupakan
langkah besar yang mengambil besar kesepakatan keberanian, dan pencabutan
selubung independensi audit untuk membuat risiko kerja manajemen benar. Semua
sama, manajemen risiko tidak berarti kesempurnaan, dan empati dengan orang yang
bekerja untuk sebuah organisasi berarti pemahaman sering lebih baik daripada
menyalahkan untuk setiap nyata kemajuan harus dibuat.
Pengembangan manajemen risiko memiliki kekuatan pendorong yang tidak
menunjukkan tanda-tanda melambat. Dihal respon dari pemerintah untuk seluruh
konsep risiko mengidentifikasi, mengelola risiko dan memberitahu publik tentang
implikasi, masalah ini telah kembali profil tinggi. Pemerintah (Kantor Kabinet - Satuan
Strategi) Laporan Risiko: Meningkatkan Kemampuan Pemerintah untuk Menangani
Risiko dan Ketidakpastian (Nov 2002) berisi enam luas rekomendasi :
1. Penanganan risiko harus kuat tertanam dalam pembuatan kebijakan
perencanaan pemerintah, dan pengiriman.
2. Kemampuan pemerintah untuk menangani risiko strategis harus
ditingkatkan.
3. Penanganan risiko harus didukung oleh praktek yang baik, pembinaan
dan pengembangan keterampilan.
4. Departemen dan lembaga harus membuat mendapatkan dan
mempertahankan kepercayaan publik prioritas ketika berurusan dengan
risiko kepada publik.
5. Menteri dan pejabat senior harus memimpin yang jelas dalam
meningkatkan penanganan risiko.
6. Kualitas manajemen risiko pemerintah harus ditingkatkan melalui dua
tahun program perubahan, terkait dengan jadwal Pengeluaran Review,
dan jelas diatur dalam konteks dari sektor publik reform.