AUDIT INTERNAL

“ Risk Management - COSO ERM”

Disusun oleh:

ELFIRA

ISABELLA MULYAWATI

FAKULTAS EKONOMI

UNIVERSITAS INDONESIA

Risk Management : COSO ERM

Penentuan Resiko (Risk Management) merupakan hal penting bagi manajemen dan

auditor internal.Auditor Internal harus memiliki pemahaman mengenai proses penentuan

risiko dan sarana yang digunakan untuk melakukannya. Auditor internal harus

memasukkan hasil penentuan resiko ke dalam program audit untuk memastikan bahwa

control-kontrol yang dibutuhkan memang diterapkan untuk mengurangi resiko.

6.1 Risk Management Fubndamentals

Persyaratan awal untuk penentuan resiko adalah adanya penetapan tujuan yang

dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam

organisasi.Penentuan resiko adalah identifikasi dan analisis risiko-risiko yang relevan

untuk mencapai tujuan (entitas), yang membentuk suatu dasar untuk mementukan resiko.

Manajemen Resiko adalah suatukonsep yang terkait dengan asuransi diman asuatu

individu atau entitas menggunakan mekanisme asuransi untuk menyediakan perlindungan

dari resiko-resiko yang ada.kita membuat keputusan berdasarkan penilaian yang bersifat

relative antara resiko dan biaya yang diperlukan untuk meng-cover resiko melalui

pembelian asuransi.

Ada empat tahap dalam proses management resiko yang sebaiknya dimplementasikan

pada seluruh level dari sebuah entitas dengan partisipasi oleh orang-orang yang berbeda.

A. Identifikasi Resiko

Manajemen harus berusaha keras untuk mengidentifikasi seluruh kemungkinan resiko

yang munkin dapat berdampak bagi perusahaan diurutkan dari yang terbesar tau lebih

signifikan apda seluruh level bisnis hingga yang terkecil.cara terbaik untuk memulai

proses identifikas resiko adalah dengan bagan organisasi level tingkat tinggi diamna

tiap unitnya memiliki teridiri dari berbagai jenis operasi yang berbeda.

Gambar berbagai maca resiko dalam tiap jenis kegiatan perusahaan

B.

Kunci penilaian resiko

i. Probabilitas dan ketidakpastian

ii. Resiko yang saling bergantung

iii. Risk Ranking

C. Analisis Resiko Quntitative

i. Nilai yang diharapkan dan tanggapan perencanaan

ii. Pengamatan resiko

Proses tersebut bukanlah hal yang dilakukan secara kontinyu setiap saat.

Melainkan perusahaan menyiapakan rencana anggaran dengan revisi-revisinya

per empat bulanan, proses identifikasi resiko sejalan dengan hal tersebut.

6.2 COSO ERM : Enterprise Risk Management

COSO ERM adalah sebuah kerangka kerja untuk membantu para pengusaha

memiliki konsistensi dalam mendefinisikan resiko mereka. Hal tersebut juga merupakan

alat yang penting untuk memahami dan mengembangkan pengendalian internal SOx.

Kerangka kerja dari COSO ERM mendefinisikan enterprise risk management sebagai

berikut:

Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh jajaran

entitas dari direktur-direktur, management dan personel lainnya yang diaplikasikan dalam

sebuah setting strategi dan untuk semua pengusaha, yang didesain untuk mengidentifikasi

kejadian-kejadian potensial yang mungkin dapat mempengaruhi entitas dan mengatur

resiko agar tidak melebihi dari risk appetite, untuk menyediakan kepastian terkait

penapaian dari tujuan entitas.

Para professional sebaiknya mempertimbangkan pendukung kunci dalam kerangka

kerja COSO ERM yang meliputi:

ERM adalah sebuah proses

ERM proses diimplementasikan oleh orang-orang dalam perusahaan

ERM diterapkan melalui penetapan strategi diantara seluruh keseluruhan perusahaan

Konsep dari Risk Appetide harus dipertimbangkan.

ERM menyediakan rasionalitas bukan kepastian yang positif dalam pencapaian

sebuah tujuan.

ERM didesain untuk membantu pencapaian tujuan

6.3 Element Kunci COSO ERM Risk Management objectives

Entity and

Unit Level

Risk

Components

Gambar tersebut

menunjukkan

COSO ERM memiliki tiga dimensi dengan komponen sebagai berikut:

Empat kolom vertical yang menunjukkan tujuan strategi dari resiko perusahaan

Delapan baris horizontal menunjukkan komponen resiko

Multiple level untuk menggambarkan berbagai perusahaan dimulai dari

“headquarters” level hingga individual subsidiaries.

Penjelasan komponen dari resiko:

a. Internal Environment component

Terdiri dari tiga elemen:

Filosofi manajemen resiko

Ada bagian dari tingkah laku dan kepercayaan yang mempercirikan

bagaimana sebuah perusahaan mempertimbangkan resiko dalam setiap hal.

Filosofi resiko ini penting ketika internal auditor mengevaluasi Sox

internal control

Risk Appetite

Adalah sejumlahresiko dari sebuah perusahaan yang akan diterima dalam

mencapai tujuannya. Sebuah Appetite untuk resiko dapat diukur dari sisi

kuantitative maupn kualitative, namun seluruh leve manajemen sebaiknya

memiliki pemahaman secar menyeluruh mengenai hal tsb.

Board of Directors Attitude

Independensi, direktur yang berasal dari luar sebaiknya mereview tindakan

, melakukan check and balance control terhadap perusahaan

Integrity and ethical values

Hal tersebut penting untuk membangun kultur yang kuat untuk menjadi

pedoman bagi perusahaan.

Commitment to competence

Kompetensi menunukkan pada pengetahuan dan kepandaian yang

diperlukan untuk melakukan tugas yang ditetapkan.

Organizational structure

Assignment of authority and responsibility

Human resource standards

b. Objective Setting

Objective setting outline penting diperlukan untuk membantu manajemen

dalam membuat ERM proses yang efektif. Perusahaan sebaiknya mendefinisiskna

resiko terkait dengan strategi dan tujuan, dengan petunjuk tersebut sudah bisa

menentuka level resiko yang ingin diterima dan memberikan resiko yang dapat

ditoleransi, sejauh fana diterima dari standar deviasi pengukuran yang sudah

ditetapkan sebelumnya.

c. Event Identification

Banyak perusahaan saat ini memilikialat monitoring kinerja yang kuat untuk

memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun,

akan lebih dari sekedar menginstal meter pada produksi proses perakitan, pemantauan

harus mencakup:

External economic events.

Natural environmental events.

Political events.

Social factors.

Internal infrastructure events.

Internal process–related events.

External and internal technological events

d. Risk Assesment

Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek

peristiwa yang berhubungan dengan risiko potensial mungkin memiliki prestasi suatu

perusahaan dari tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan

dari

risiko yang terjadi dan dampak potensial. Sebagai bagian penting dari proses penilaian

risiko ini. Terdapat 2 Jenis Resiko Inherent Risk dan Residual Risk.

e. Risk Response

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM

melakukan pengukuran tanggapan terhadap berbagai risiko diidentifikasi. Harus ada

pemeriksaan yang seksama estimasi risiko dan dampaknya, dengan pertimbangan

diberikan terkait biaya dan manfaat, untuk mengembangkan strategi respon risiko

yang tepat. Berikut ini respon risiko dapat ditangani dalam salah satu dari empat cara

dasar ini:

1. Avoidance

2. Reduction

3. Sharing

4. Acceptance

f. Control Activities

Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk

memastikan tindakan tanggapan risiko diidentifikasi. Meskipun beberapa dari

kegiatan ini mungkin berhubungan hanya untuk respon risiko yang diidentifikasi dan

disetujui di daerah dari perusahaan, mereka seringtumpang tindih di beberapa fungsi

dan unit. Kegiatan pengendalian komponen COSO ERM harus terkait erat dengan

strategi respon risiko dan tindakan dibahas sebelumnya. Setelah memilih respon risiko

yang tepat, perusahaan harus memilih control kegiatan yang diperlukan untuk

memastikan bahwa respon risiko dijalankan secara tepat waktu dancara yang efisien.

g. Information and Communication

Informasi dan komunikasi kurang satu set terpisah terkait risiko proses dari alat dan

proses yang menghubungkan komponen ERM COSO lainnya. Berikut

Konsep yang dijelaskan dalam Exhibit 6.9 menunjukkan arus informasi di seluruh

COSO

Komponen ERM.

h. Monitoring

ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja

secara efektif . orang-orang dalam perubahan perusahaan, seperti melakukan proses

pendukung dan baik internal maupun kondisi eksternal, tetapi komponen monitoring

membantu memastikan ERM yang bekerja efektif secara terus menerus.

6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives

a) Tujuan Manajemen Risiko Operasional

Tujuan Manajemen resiko di tingkat operasional adalah mengidentifikasikan

resiko ditiap unit usaha dalam suatu perusahaan. Dalam suatu perusahaan besar,

resiko akan muncul dengan berbagai dikarenakan perusahaan besar memiliki wilayah

geografis, lini produk, atau bisnis proses yang beragam.

Manager langsung memiliki pemahaman terbaik terhadap resiko

operasionalnya. Dan tidak semua informasi dapat tersampaikan sampai ke manajer

utama perusahaan (tingkat yang lebih tinggi). Karena hal tersebutlah diharapkan

setiap unit dapat mengkontrol resiko yang dimiliki unitnya sendiri. Apapun posisi

mereka di perusahaan atau lokasi geografis mereka, manajer di semua tingkatan harus

menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko

dalam unit-unit operasional mereka sendiri.

Pentingnya manajemen risiko COSO ERM dan operasi harus

dikomunikasikan kepada semua tingkat perusahaan. Auditor internal harus bertindak

sebagai mata dan telinga sini dan melaporkan semua risiko operasi diamati.

b) Tujuan Manajemen Risiko Operasional

Tujuan Risiko ini meliputi keandalan laporan data keuangan dan nonkeuangan

suatu perusahaan dari pihak internal dan eksternal. Pelaporan yang akurat sangat

penting untuk suatu perusahaan keberhasilan dalam banyak dimensi . Pelaporan yang

tidak akurat yang sama dapat menyebabkan masalah di banyak daerah dan akan

mempengaruhi pasar saham untuk perusahaan tersebut .

Pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang

akurat . ERM prihatin tentang risiko otorisasi dan penerbitan laporan yang tidak

akurat . Pengendalian internal yang kuat harus meminimalkan risiko kesalahan dan

suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan

keakuratan pelaporan .

c) Tujuan Risiko Kepatuhan Hukum dan Peraturan

Setiap jenis perusahaan harus mematuhi berbagai peraturan atau standar

industri yang berlaku. Jenis risiko hukum sangat sulit untuk diantisipasi dan bisa

menjadi bencana bagi perusahaan . COSO ERM merekomendasikan bahwa risiko

kepatuhan yang terkait dipertimbangkan untuk masing-masing komponen kerangka

risiko, baik dalam konteks lingkungan internal, pengaturan tujuan, atau pemantauan

risiko, serta di seluruh perusahaan .

Tujuan selain untuk menyatakan bahwa tujuan ini mengacu pada conformance

dengan berlaku hukum dan peraturan . Ini adalah elemen penting dari manajemen

risiko kerangka kerja yang perlu dikomunikasikan dan dipahami oleh semua

tingkatan perusahaan.

Dalam rangka untuk mengelola dan menetapkan tujuan risiko hukum dan

peraturan, dewan direksi, CEO, dan anggota manajemen perlu memahami

sifat dan tingkat risiko semua peraturan yang menghadap perusahaan.

Departemen hukum, manajer, audit internal , dan lain-lain dapat membantu dalam

perakitan ini informasi .

6.5 Entity-Level Risks

The COSO framework ERM menunjukkan empat divisi dalam dimensi kerangka ini :

tingkat entitas , divisi , unit bisnis , dan risiko pada anak perusahaan. Menurut COSO

ERM risiko harus diidentifikasi dan dikelola dalam setiap unit organisasi yang

signifikan , termasuk risiko secara entitas. Suatu perusahaan dengan empat divisi operasi

utama dan dengan beberapa unit bisnis di bawah masing-masing akan memiliki kerangka

kerja ERM yang mencerminkan semua unit-unit ini. Sementara risiko ini mungkin

penting untuk keseluruhan organisasi harus dipertimbangkan pada setiap tingkat

perusahaan untuk memahami dan mengelola risiko.

a) Resiko yang Meliputi Seluruh Organisasi

Beberapa risiko di tingkat unit bisnis dapat mengakibatkan resiko di tingkat

entitas. Suatu perusahaan harus memikirkan semua risiko sebagai resiko yang

berpotensi signifikan bagi perusahaan . risiko satuan harus ditinjau ulang dan

konsolidasi pertama untuk mengidentifikasi risiko utama yang dapat mempengaruhi

organisasi secara keseluruhan. Selain itu, risiko di seluruh organisasi harus juga

diidentifikasi agar perusahaan dapat memilih tindakan yang tepat dlam

menghadapinya.

b) Resiko di Tingkat Unit Bisnis

Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus

dipertimbangkan dalam setiap organisasi yang signifikan. Sebuah konsep besar

seputar COSO ERM adalah bahwa perusahaan menghadapi berbagai risiko di semua

tingkat . Beberapa mungkin signifikan sementara yang lain sering hanya mengganggu

dan dipandang sebagai minor . The COSO ERM framework menyediakan mekanisme

untuk mempertimbangkan resiko-resiko ini , itu adalah alat penting untuk membantu

memastikan kepatuhan SOx .

6.6 Putting It All Together

The COSO framework ERM dijelaskan di sini membahas pendekatan manajemen

risiko berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada

perusahaan untuk risiko dan kebutuhan dalam menerapkan manajemen risiko untuk

mengatur strategi secara keseluruhan, COSO ERM memiliki beberapa dasar perbedaan

dari kebanyakan model risiko yang telah digunakan sampai saat ini. Manajemen

perusahaan di semua tingkatan dapat menggunakan COSO ERM sebagai alat penting

untuk memahami banyak beberapa risiko perusahaan menghadapi. Auditor internal harus

membuat COSO ERM yang disesuaikan dengan resiko perusahaannya.

6.7 Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak

daerah. Terlalu sering, internal auditor akan melakukan review di beberapa daerah untuk

mengetahui bahwa daerah itu sebaiknya dipilih atau tidak dipilih karena "pertimbangan

risiko". Tentu saja, untuk meninjau praktek ERM COSO dan prosedur pelaksanaan,

auditor internal, baik pengulas audit internal atau konsultan untuk manajemen, perlu

mengembangkan pemahaman yang kuat kontrol ERM COSO dan proses.

Audit internal harus meninjau proses ERM enterprise-wide dengan menggunakan

beberapa alat berikut ini :

Process flowcharting

Reviews of risk and control materials

Benchmarking

Questionnaires

6.8 Risk Management and COSO ERM in Perspective

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat

mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-

tahun untuk memahami pengendalian internal COSO dan mengakuinya sebagai teknik

yang lebih menarik.