Upload
trinhnhi
View
265
Download
1
Embed Size (px)
Citation preview
Latar Belakang IIA MALAYSIA
• Sebuah organisasi profesional bukan keuntungan khusus untuk kemajuan dan pembangunan profesion audit dalaman di Malaysia yang ditubuhkan sejak 1977.
• Bergabung dengan Institut Juruaudit Dalaman Inc (Global IIA), Amerika Syarikat, sebuah badan dunia yang ditubuhkan pada tahun 1941 yang mempunyai lebih daripada 180,000 ahli di lebih 170 buah negara.
LATAR BELAKANG IIA MALAYSIA
• Sebuah organisasi profesional bukan keuntungan khusus untuk kemajuan dan pembangunan profesion audit dalaman di Malaysia yang ditubuhkan sejak 1977.
• Bergabung dengan Institut Juruaudit Dalaman Inc (Global IIA), Amerika Syarikat, sebuah badan dunia yang ditubuhkan pada tahun 1941 yang mempunyai lebih daripada 170,000 ahli di lebih 165 buah negara.
Mempertingkatkan pemahaman tentang Pengurusan risiko
Memahami tentang pengurusan risiko mengunakan rangka kerja COSO
Memperluaskan pengurusan risiko untuk meliputi risiko luaran dan dalaman perniagaan
Kefahaman lanjut tentang isu semasa, cabaran dan amalan amalan baru (emerging practices) berkaitan dengan pengurusan risiko, urus tadbir dan kawalan dalam.
Kemungkinan terjadi suatu peristiwa yang mempunyai kesan pada pencapaian objektif
The possibility of an event occurring that will have an impact on the achievement of objectives
Kunci dasar yang tertanam dalam definisi: Risiko bermula dengan strategi. Sebuah syarikat ditubuhkan untuk
mencapai strategi dan matlamat. Risiko merupakan sekatan untuk mencapai kejayaan.
Kejadian risiko adalah pelbagai kemungkinan (range of possibilities)
Risiko meliputi peluang dan ancaman.
Pengurusan risiko Enterprise adalah sebuah proses, yang dijalankan oleh pengarah, pengurusan dan kakitangan sesebuah entiti, digunakan dalam tatacara strategi dan meliputi keseluruhan syarikat, yang dirancang untuk mengenalpasti kejadian berpotensi yang boleh mempengaruhi entiti itu, dan menguruskan risiko supaya berada di dalam lingkungan selera risiko entiti , untuk memberikan jaminan yang wajar tentang pencapaian objektif entiti.
Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within the entity’s risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.
Diterapkan dalam tatacara strategi
Di laksanakan oleh semua orang di dalam entiti/ syarikat - Setiap orang memiliki peranan
Pendekatan secara keseluruhan dan berkoordinasi
Menguruskan kegiatan dalam batas-batas selera risiko (risk appetite)
Sebuah struktur dan pendekatan disiplin
Setiap entiti, baik untuk keuntungan atau tidak, wujud untuk memberi nilai kepada para pemegang saham
Nilai ini wujud berdasarkan maklumat dan keputusan pengurusan dalam semua bidang kegiatan suatu entiti, dari tatacara strategi hinggalah operasi.
ERM menyokong kewujudan nilai dengan membolehkan pengurusan untuk:
Menangani dengan secara berkesan peristiwa peristiwa yang berpotensi di masa depan yang menwujudkan ketidakpastian.
Respons dengan cara yang dapat mengurangkan kemungkinan downside dan meningkatkan upside
Meyelarikan (align) selera risiko dan strategi Mengkaitkan pertumbuhan, risiko, dan
ganjaran Meningkatkan respons risiko Mengurangkan kejutan dan kerugian dari
kegiatan operasi Mengenal pasti dan menguruskan risiko
merentas organisasi (cross enterprise) Memberikan respon bersepadu terhadap
pelbagai risiko Merebut peluang Merasionalisasi modal
Beroperasi secara proaktif vs Menjawab Krisis? ERM adalah satu perjalanan yang berterusan, bukan
destinasi !! Tiga peringkat pertahanan dalam pengurusan risiko
dan kawalan yang berkesan. Menerapkan ERM ke dalam proses harian Lembaga Pengarah memberi tumpuan kepada risiko
strategik dan kritikal Pendedahan kepada jaminan yang diterima daripada
Ketua Pegawai Eksekutif dan Ketua Pegawai Kewangan.
Proses pendidikan Memasuk ERM ke dalam Rangka Kerja Kompetensi
kakitangan...
ERM: Pendekatan Pragmatik
Mengelakkan
liabiliti diri
Melindungi
reputasi
Meningkatkan
pewujudan nilai
Mengekalkan
nilai
Responsif
terhadap
Perubahan
Persekitaran
Mengunakan bahasa risiko perniagaan yang umum
Mengembangkan struktur kawalan yang berkesan di dalam organisasi
Mengunakan satu kaedah untuk mengukur risiko
Mempunyai satu pelan tindakan yang proaktif untuk menguruskan sisa risiko
RANGKA KERJA ERM
Context
establishment
(Internal and
external)
Risk
Assessment
(Identify,
Analyse &
Evaluate)
Risk Action
Implementatio
n (Develop Key
Action Plans)
Risk Action
Monitoring
(Monitor &
Report on
Implementation
of Action Plans)
Continuous
Monitoring &
Embedment
(KRIs,
Embedment
of New
Internal
Controls)
ERM Infrastructure
Vision / Mission / Goals
Governance Structure
Board / Management Mandate
ERM Policies
ERM Reporting Structure / Frequency
ERM Roles & Responsibilities
Risk Parameters
ERM Procedures (ISO 31000: 2009)
Automation
ERM Process
Communication Awareness/Training Continuous Improvement Change Management
Enterprise Risk Management Framework
1
2
3
4
5
ERM Integration
New Project
Strategic Planning
Business Planning (Budgeting)
Policy Development
Decision Making
Operational Processes
Performance Management
Incidences Data Analysis
Internal Audit (Risk-based)
PERSEKITARAN
Penilaian
(Pengenal pasti &
Penilaian)
Objektif
Rsspons
(Kawalan Dalam and
& Respons)
Permantauan
(Maklumat–
Komunikasi
& Pemerhatian
Tadbir Urus
(Permantauan)
External risks due to political and regulatory changes, environment, technology Internal risks: Strategic, Operational & Support
PROSES PENILAIAN RISIKO
Tujuan Penilaian Risiko
◦ Mencapai persetujuan tentang risiko yang akan dihadapi serta memberi keutamaan kepada risiko yang tinggi
◦ Mengesahkan alam semesta risiko dan bahasa risiko
◦ Menetapkan pemilik risiko
Market and
competition
risk
Possible sources
of risk
Regulatory risk
Resource risk
Operational risk
IT and
Technological
risk
Financial risk
Reputation risk
Strategy risk
Internal and External Environment
SUMBER RISIKO
Impact User Description
Quantitative (RM) Qualitative
Very
Significant
>RM3 m on profit p.a.
>RM16m on turnover p.a
Life and death issues, reputation damage,
long term cumulative damage (one year),
low morale, Disruption to production > 7
days
Major RM1.5m to 3 m on profit p.a.
RM8m to RM16m on turnover p.a
Negative consequences, issues requiring
active management. Disruption to
production > 5 to 7 days
Moderate RM0.5 m to 1.5 m on profit p.a.
RM4m to RM8 m on turnover p.a
Negative consequences
Disruption to production > 3 to 5 days
Minor RM0.1 m to 0.5 m on profit p.a.
RM1 m to RM 4 m on turnover p.a
Minimal impact consequences but require
monitoring.
Disruption to production 1- 3 days
Insignificant <RM 0.1 m on profit p.a.
<RM1 m turnover p.a
Very low impact. Disruption to production
less than 1 day
Penilaian Kesan Risiko
Penilaian Kesan Risiko Impact
Factor Insignificant Minor Moderate Major Significant
Financial (RM’ mil)
Revenue (use RM____ as guide*)
Decrease by < than 5%
Decrease by 5% -10%
Decrease by 11% - 14%
Decrease by 15% - 20%
Decrease by > than 20%
Total cost (use RM___ as guide*)
Increase by < than 5%
Increase by 5% -10%
Increase by 11% - 14%
Increase by 15% - 20%
Increase by > than
20%
Net cash flow impact
No impact
Cash flow impact
absorbed under normal
operating conditions
Cash flow may be
significantly affected
Cash flow may be
adversely affected
Imminent cash flow problem
Non-financial
Image/ reputation
No impact on image/
reputation
There is a potential impact on
image
Image will be affected in the short
term
Serious diminution in image with
adverse publicity
Sustained, serious loss in
image
Penilaian Kemungkinan Risiko
Possibility User Description
Very High The risk will occur in most circumstances or at frequent intervals, e.g. on a monthly basis or chances of probability is above 75%.
High The risk is expected to occur in most circumstances, e.g. several times in a year or chances of probability are beyond 50% to 75%.
Medium The risk may occur at some period, e.g. once in every year or chances of probability are more than 25% to 50%.
Unlikely The risk is likely to occur less frequently, e.g. once in every 3 years or chances of probability are above 10% to 25%.
Very Low The risk may occur in exceptional circumstances, e.g. once in every 5 years or chances of probability are 10% and below.
Terma Asas/ Konsep Grid Risiko
Kesan Rendah/
Kemungkinan Tinggi
Kesan Tinggi /
Kemungkinan Tinggi
Kesan Rendah/
Kemungkinan Rendah
Kesan Tinggi /
Kemungkinan Rendah
KESAN
K
E
M
U
N
G
K
I
N
A
N
Tinggi
Rendah
Tinggi Rendah
Aktiviti Kawalan Dalam
Kawalan pencegahan v. Kawalan Detektif
Dasar dan Prosedur
Kawalan Manual v. Kawalan
Kawalan Umum dan Kawalan Aplikasi
Absence of adequate controls (Resources and system).
Non-compliance to policies and procedures. Lack of awareness
of controls. General lack of compliance culture.
Poor
Controls are inadequate (Resources and system) and not
sufficiently robust to manage risk. A large number of control
lapses and/or non-compliance issues.
Unsatisfactory
Controls & compliance are generally in place. Minimum control
issues.
Satisfactory
No major issues with controls & compliance. Enough resources
and systems. Controls are adequate and sufficiently robust by
Supervisors and Management Group.
Good
Management is aware and manages risks well. Controls are
strong and sufficiently robust to manage risks adequately.
Compliance is in place and strongly monitored.
Very Good
User Description Control
Penilaian Keberkesanan Kawalan
Profil Risiko
Avoidance Sharing Reducing Acceptance
Rawatan Risiko
Pelan Tindakan Pengurusan
A S R A
Respons Risiko
Mengenalpasti Respons Risiko
Menghindari (contohnya keluar dari perniagaan , menjual unit) Avoid (e.g. exit business, sell unit)
Mengurangkan (mengambil keputusan perniagaan untuk mengurangkan kesan risiko, kemungkinan, atau kedua-duanya) Reduce (business decisions to reduce risk impact, likelihood, or both)
Kongsi (insurans misalnya, penyatuan, lindung nilai, peyumberan luar) Share (e.g. insurance, pooling, hedging, outsourcing)
Terima (tiada tindakan yang diambil) Accept (no action taken)
Lain- lain ? Other?
CEO – ◦ Bertanggung jawab secara keseluruhan ◦ Pengurus Lain – Menyokong falsafah ERM entiti itu,
Mempromosikan pematuhan terhadap selera risiko
Menguruskan risiko di bawah tanggung jawab mereka
Lembaga Pengarah ◦ Pengawasan (Oversight) ◦ Mengetahui/ bersetuju dengan selera
risiko.
Pegawai Risiko, Pegawai Kewangan, Juruaudit Dalaman ◦ Memberi Sokongan Utama
Personnel Lain– ◦ Mematuhi arahan dan protokol
Pihak Luar (e.g. pelanggan, pengawal selia) – ◦ Memberi maklumat yg berguna ◦ Tetapi tidak bertanggungjawab terhadap
keberkesanan ERM -atau adalah sebahagian daripada entity ERM
Audit Dalaman adalah suatu activiti bebas dan objektif yang memberi jaminan dan rundingan untuk menambah nilai dan meningkatkan operasi
organisasi. Ia membantu organisasi mencapai tujuannya dengan membawa pendekatan disiplin yang sistematik untuk menilai dan meningkatkan keberkesanan proces pengurusan risiko, kawalan,
dan urus tadbir.
Internal auditing is an independent, objective assurance
and consulting activity designed to add value and improve an organization's operations. It helps an
organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and
improve the effectiveness of risk management, control, and governance processes.
Peranan Juruaudit Dalam
tidak ada peranan ...
audit proses pengurusan risiko ...
aktif, memberi sokongan dan penglibatan terus menerus
mengurus dan menyelaras proses pengurusan risiko
Peranan Audit Dalaman –
Kertaskerja Posisi
Peranan utama Audit Dalaman di dalam hal ERM Memberikan jaminan ke atas proses
pengurusan risiko. Memberikan jaminan bahawa risiko telah
dinilai dengan betul. Menilai proses pengurusan risiko. Menilai laporan mengenai risiko-risiko
yang penting Memantau pengurusan risiko-risiko
yang penting
Peranan Audit Dalaman – Kertaskerja Posisi
Peranan yang tidak patut dilakukan oleh Audit Dalam
Tetapan selera risiko
Pengenakan syarat pengurusan risiko
Memberi jaminan pengurusan terhadap risiko
Mengambil keputusan tentang respon risiko
Melaksanakan respons risiko bagi pihak pengurusan.
Akauntabiliti ke atas pengurusan risiko.
Ketua audit eksekutif mesti menetapkan pelan audit berasaskan risiko untuk menentukan keutamaan kegiatan audit dalaman, konsisten dengan tujuan organisasi.
Interpretasi: Ketua audit eksekutif bertanggung jawab untuk menghasilkan pelan berasaskan risiko. Ketua audit eksekutif mesti mengambilkira rangka kerja pengurusan risiko organisasi, termasuk menggunakan tahap selera risiko yang ditetapkan oleh pihak pengurusan untuk kegiatan yang berbeza atau sebahagian daripada organisasi. Jika rangka kerja tidak ada, ketua audit eksekutif mesti menggunakan penilaianya sendiri untuk menilaian risiko selepas berunding dengan pengurusan kanan dan lembaga pengarah.
2010.A1- Kegiatan audit dalaman (audit engagement) harus didasarkan pada penilaian risiko yang didokumentasikan dan dilakukan sekurang-kurangnya setiap tahun. Maklum balas dari pengurusan kanan dan lembaga pengarah harus dipertimbangkan dalam proses ini.
Dalam menghasilkan pelan activiti audit dalaman, ketua audit eksekutif merasakan kadang – kadang perlu untuk mengembangkan atau mengemas kini alam semesta audit (audit universe).
Alam semesta audit adalah senarai semua audit yang boleh dilakukan. CAE boleh mendapat maklum balas / pendapat mengenai alam semesta audit daripada pihak pengurusan kanan dan lembaga pengarah.
Alam semesta audit boleh merangkumi komponen dari pelan strategik organisasi. Dengan memasukkan sebahagian dari paln strategik organisasi, audit alam semesta akan mempertimbangkan dan mencerminkan objektif perniagaan secara keseluruhan .
CAE mempersiapkan pelan kegiatan audit dalaman berdasarkan alam semesta audit , maklum balas dari daripada pihak pengurusan kanan dan lembaga pengarah, dan penilaian risiko dan pendedahan yang mempengaruhi organisasi.
Objektif utama audit biasanya adalah untuk memberi pengurusan dan lembaga pengarah jaminan dan maklumat untuk membantu mereka mencapai matlamat organisasi, termasuk penilaian terhadap keberkesanan aktiviti pengurusan risiko.
Alam semesta audit dan pelan audit yang berkaitan akan dikemaskini untuk mencerminkan perubahan dalam arah pengurusan, tujuan, penekanan, dan fokus. Adalah dianjurkan untuk alam semesta audit dikemaskini sekurang-kurangnya setiap tahun untuk mencerminkan strategi terkini dan arah organisasi.
Dalam beberapa situasi, pelan audit mungkin perlu lebih kerap dikemaskini (contohnya, setiap suku tahun) sebagai jawapan terhadap perubahan dalam perniagaan organisasi, operasi, program, sistem, dan kawalan.
Jadual kerja audit adalah berdasarkan pada, antara faktor-faktor lain, penilaian risiko dan pendedahan. Keutamaan diatur untuk membuat keputusan keatas keperluan sumber manusia.
Berbagai model risiko wujud untuk membantu ketua audit eksekutif. Kebanyakannya model menggunakan faktor risiko seperti kesan, kemungkinan, materialiti, kecairan aset, kompetensi pengurusan, kualiti dan pematuhan terhadap kawalan dalaman, tahap perubahan atau kestabilan, jarak masa dan keputusan pemeriksaan audit terkini.
Rangkakerja untuk Jaminan
Shareholders
Audit
Committee
Internal Audit
Board of Directors
Risk
Management
Committee
Risk
Management
Unit
Control
Self Assessment
Assurance
By Heads of
Divisions
External Auditors