Upload
rizal-pandu-nugroho
View
51
Download
0
Embed Size (px)
DESCRIPTION
Tugas Audit Internal - Coso Erm
Citation preview
AUDIT INTERNAL
“ Risk Management - COSO ERM”
Disusun oleh:
ELFIRA
ISABELLA MULYAWATI
FAKULTAS EKONOMI
UNIVERSITAS INDONESIA
Risk Management : COSO ERM
Penentuan Resiko (Risk Management) merupakan hal penting bagi manajemen dan
auditor internal.Auditor Internal harus memiliki pemahaman mengenai proses penentuan
risiko dan sarana yang digunakan untuk melakukannya. Auditor internal harus
memasukkan hasil penentuan resiko ke dalam program audit untuk memastikan bahwa
control-kontrol yang dibutuhkan memang diterapkan untuk mengurangi resiko.
6.1 Risk Management Fubndamentals
Persyaratan awal untuk penentuan resiko adalah adanya penetapan tujuan yang
dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam
organisasi.Penentuan resiko adalah identifikasi dan analisis risiko-risiko yang relevan
untuk mencapai tujuan (entitas), yang membentuk suatu dasar untuk mementukan resiko.
Manajemen Resiko adalah suatukonsep yang terkait dengan asuransi diman asuatu
individu atau entitas menggunakan mekanisme asuransi untuk menyediakan perlindungan
dari resiko-resiko yang ada.kita membuat keputusan berdasarkan penilaian yang bersifat
relative antara resiko dan biaya yang diperlukan untuk meng-cover resiko melalui
pembelian asuransi.
Ada empat tahap dalam proses management resiko yang sebaiknya dimplementasikan
pada seluruh level dari sebuah entitas dengan partisipasi oleh orang-orang yang berbeda.
A. Identifikasi Resiko
Manajemen harus berusaha keras untuk mengidentifikasi seluruh kemungkinan resiko
yang munkin dapat berdampak bagi perusahaan diurutkan dari yang terbesar tau lebih
signifikan apda seluruh level bisnis hingga yang terkecil.cara terbaik untuk memulai
proses identifikas resiko adalah dengan bagan organisasi level tingkat tinggi diamna
tiap unitnya memiliki teridiri dari berbagai jenis operasi yang berbeda.
Gambar berbagai maca resiko dalam tiap jenis kegiatan perusahaan
B.
Kunci penilaian resiko
i. Probabilitas dan ketidakpastian
ii. Resiko yang saling bergantung
iii. Risk Ranking
C. Analisis Resiko Quntitative
i. Nilai yang diharapkan dan tanggapan perencanaan
ii. Pengamatan resiko
Proses tersebut bukanlah hal yang dilakukan secara kontinyu setiap saat.
Melainkan perusahaan menyiapakan rencana anggaran dengan revisi-revisinya
per empat bulanan, proses identifikasi resiko sejalan dengan hal tersebut.
6.2 COSO ERM : Enterprise Risk Management
COSO ERM adalah sebuah kerangka kerja untuk membantu para pengusaha
memiliki konsistensi dalam mendefinisikan resiko mereka. Hal tersebut juga merupakan
alat yang penting untuk memahami dan mengembangkan pengendalian internal SOx.
Kerangka kerja dari COSO ERM mendefinisikan enterprise risk management sebagai
berikut:
Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh jajaran
entitas dari direktur-direktur, management dan personel lainnya yang diaplikasikan dalam
sebuah setting strategi dan untuk semua pengusaha, yang didesain untuk mengidentifikasi
kejadian-kejadian potensial yang mungkin dapat mempengaruhi entitas dan mengatur
resiko agar tidak melebihi dari risk appetite, untuk menyediakan kepastian terkait
penapaian dari tujuan entitas.
Para professional sebaiknya mempertimbangkan pendukung kunci dalam kerangka
kerja COSO ERM yang meliputi:
ERM adalah sebuah proses
ERM proses diimplementasikan oleh orang-orang dalam perusahaan
ERM diterapkan melalui penetapan strategi diantara seluruh keseluruhan perusahaan
Konsep dari Risk Appetide harus dipertimbangkan.
ERM menyediakan rasionalitas bukan kepastian yang positif dalam pencapaian
sebuah tujuan.
ERM didesain untuk membantu pencapaian tujuan
6.3 Element Kunci COSO ERM Risk Management objectives
Entity and
Unit Level
Risk
Components
Gambar tersebut
menunjukkan
COSO ERM memiliki tiga dimensi dengan komponen sebagai berikut:
Empat kolom vertical yang menunjukkan tujuan strategi dari resiko perusahaan
Delapan baris horizontal menunjukkan komponen resiko
Multiple level untuk menggambarkan berbagai perusahaan dimulai dari
“headquarters” level hingga individual subsidiaries.
Penjelasan komponen dari resiko:
a. Internal Environment component
Terdiri dari tiga elemen:
Filosofi manajemen resiko
Ada bagian dari tingkah laku dan kepercayaan yang mempercirikan
bagaimana sebuah perusahaan mempertimbangkan resiko dalam setiap hal.
Filosofi resiko ini penting ketika internal auditor mengevaluasi Sox
internal control
Risk Appetite
Adalah sejumlahresiko dari sebuah perusahaan yang akan diterima dalam
mencapai tujuannya. Sebuah Appetite untuk resiko dapat diukur dari sisi
kuantitative maupn kualitative, namun seluruh leve manajemen sebaiknya
memiliki pemahaman secar menyeluruh mengenai hal tsb.
Board of Directors Attitude
Independensi, direktur yang berasal dari luar sebaiknya mereview tindakan
, melakukan check and balance control terhadap perusahaan
Integrity and ethical values
Hal tersebut penting untuk membangun kultur yang kuat untuk menjadi
pedoman bagi perusahaan.
Commitment to competence
Kompetensi menunukkan pada pengetahuan dan kepandaian yang
diperlukan untuk melakukan tugas yang ditetapkan.
Organizational structure
Assignment of authority and responsibility
Human resource standards
b. Objective Setting
Objective setting outline penting diperlukan untuk membantu manajemen
dalam membuat ERM proses yang efektif. Perusahaan sebaiknya mendefinisiskna
resiko terkait dengan strategi dan tujuan, dengan petunjuk tersebut sudah bisa
menentuka level resiko yang ingin diterima dan memberikan resiko yang dapat
ditoleransi, sejauh fana diterima dari standar deviasi pengukuran yang sudah
ditetapkan sebelumnya.
c. Event Identification
Banyak perusahaan saat ini memilikialat monitoring kinerja yang kuat untuk
memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun,
akan lebih dari sekedar menginstal meter pada produksi proses perakitan, pemantauan
harus mencakup:
External economic events.
Natural environmental events.
Political events.
Social factors.
Internal infrastructure events.
Internal process–related events.
External and internal technological events
d. Risk Assesment
Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek
peristiwa yang berhubungan dengan risiko potensial mungkin memiliki prestasi suatu
perusahaan dari tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan
dari
risiko yang terjadi dan dampak potensial. Sebagai bagian penting dari proses penilaian
risiko ini. Terdapat 2 Jenis Resiko Inherent Risk dan Residual Risk.
e. Risk Response
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM
melakukan pengukuran tanggapan terhadap berbagai risiko diidentifikasi. Harus ada
pemeriksaan yang seksama estimasi risiko dan dampaknya, dengan pertimbangan
diberikan terkait biaya dan manfaat, untuk mengembangkan strategi respon risiko
yang tepat. Berikut ini respon risiko dapat ditangani dalam salah satu dari empat cara
dasar ini:
1. Avoidance
2. Reduction
3. Sharing
4. Acceptance
f. Control Activities
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan tanggapan risiko diidentifikasi. Meskipun beberapa dari
kegiatan ini mungkin berhubungan hanya untuk respon risiko yang diidentifikasi dan
disetujui di daerah dari perusahaan, mereka seringtumpang tindih di beberapa fungsi
dan unit. Kegiatan pengendalian komponen COSO ERM harus terkait erat dengan
strategi respon risiko dan tindakan dibahas sebelumnya. Setelah memilih respon risiko
yang tepat, perusahaan harus memilih control kegiatan yang diperlukan untuk
memastikan bahwa respon risiko dijalankan secara tepat waktu dancara yang efisien.
g. Information and Communication
Informasi dan komunikasi kurang satu set terpisah terkait risiko proses dari alat dan
proses yang menghubungkan komponen ERM COSO lainnya. Berikut
Konsep yang dijelaskan dalam Exhibit 6.9 menunjukkan arus informasi di seluruh
COSO
Komponen ERM.
h. Monitoring
ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja
secara efektif . orang-orang dalam perubahan perusahaan, seperti melakukan proses
pendukung dan baik internal maupun kondisi eksternal, tetapi komponen monitoring
membantu memastikan ERM yang bekerja efektif secara terus menerus.
6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives
a) Tujuan Manajemen Risiko Operasional
Tujuan Manajemen resiko di tingkat operasional adalah mengidentifikasikan
resiko ditiap unit usaha dalam suatu perusahaan. Dalam suatu perusahaan besar,
resiko akan muncul dengan berbagai dikarenakan perusahaan besar memiliki wilayah
geografis, lini produk, atau bisnis proses yang beragam.
Manager langsung memiliki pemahaman terbaik terhadap resiko
operasionalnya. Dan tidak semua informasi dapat tersampaikan sampai ke manajer
utama perusahaan (tingkat yang lebih tinggi). Karena hal tersebutlah diharapkan
setiap unit dapat mengkontrol resiko yang dimiliki unitnya sendiri. Apapun posisi
mereka di perusahaan atau lokasi geografis mereka, manajer di semua tingkatan harus
menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko
dalam unit-unit operasional mereka sendiri.
Pentingnya manajemen risiko COSO ERM dan operasi harus
dikomunikasikan kepada semua tingkat perusahaan. Auditor internal harus bertindak
sebagai mata dan telinga sini dan melaporkan semua risiko operasi diamati.
b) Tujuan Manajemen Risiko Operasional
Tujuan Risiko ini meliputi keandalan laporan data keuangan dan nonkeuangan
suatu perusahaan dari pihak internal dan eksternal. Pelaporan yang akurat sangat
penting untuk suatu perusahaan keberhasilan dalam banyak dimensi . Pelaporan yang
tidak akurat yang sama dapat menyebabkan masalah di banyak daerah dan akan
mempengaruhi pasar saham untuk perusahaan tersebut .
Pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat . ERM prihatin tentang risiko otorisasi dan penerbitan laporan yang tidak
akurat . Pengendalian internal yang kuat harus meminimalkan risiko kesalahan dan
suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
keakuratan pelaporan .
c) Tujuan Risiko Kepatuhan Hukum dan Peraturan
Setiap jenis perusahaan harus mematuhi berbagai peraturan atau standar
industri yang berlaku. Jenis risiko hukum sangat sulit untuk diantisipasi dan bisa
menjadi bencana bagi perusahaan . COSO ERM merekomendasikan bahwa risiko
kepatuhan yang terkait dipertimbangkan untuk masing-masing komponen kerangka
risiko, baik dalam konteks lingkungan internal, pengaturan tujuan, atau pemantauan
risiko, serta di seluruh perusahaan .
Tujuan selain untuk menyatakan bahwa tujuan ini mengacu pada conformance
dengan berlaku hukum dan peraturan . Ini adalah elemen penting dari manajemen
risiko kerangka kerja yang perlu dikomunikasikan dan dipahami oleh semua
tingkatan perusahaan.
Dalam rangka untuk mengelola dan menetapkan tujuan risiko hukum dan
peraturan, dewan direksi, CEO, dan anggota manajemen perlu memahami
sifat dan tingkat risiko semua peraturan yang menghadap perusahaan.
Departemen hukum, manajer, audit internal , dan lain-lain dapat membantu dalam
perakitan ini informasi .
6.5 Entity-Level Risks
The COSO framework ERM menunjukkan empat divisi dalam dimensi kerangka ini :
tingkat entitas , divisi , unit bisnis , dan risiko pada anak perusahaan. Menurut COSO
ERM risiko harus diidentifikasi dan dikelola dalam setiap unit organisasi yang
signifikan , termasuk risiko secara entitas. Suatu perusahaan dengan empat divisi operasi
utama dan dengan beberapa unit bisnis di bawah masing-masing akan memiliki kerangka
kerja ERM yang mencerminkan semua unit-unit ini. Sementara risiko ini mungkin
penting untuk keseluruhan organisasi harus dipertimbangkan pada setiap tingkat
perusahaan untuk memahami dan mengelola risiko.
a) Resiko yang Meliputi Seluruh Organisasi
Beberapa risiko di tingkat unit bisnis dapat mengakibatkan resiko di tingkat
entitas. Suatu perusahaan harus memikirkan semua risiko sebagai resiko yang
berpotensi signifikan bagi perusahaan . risiko satuan harus ditinjau ulang dan
konsolidasi pertama untuk mengidentifikasi risiko utama yang dapat mempengaruhi
organisasi secara keseluruhan. Selain itu, risiko di seluruh organisasi harus juga
diidentifikasi agar perusahaan dapat memilih tindakan yang tepat dlam
menghadapinya.
b) Resiko di Tingkat Unit Bisnis
Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus
dipertimbangkan dalam setiap organisasi yang signifikan. Sebuah konsep besar
seputar COSO ERM adalah bahwa perusahaan menghadapi berbagai risiko di semua
tingkat . Beberapa mungkin signifikan sementara yang lain sering hanya mengganggu
dan dipandang sebagai minor . The COSO ERM framework menyediakan mekanisme
untuk mempertimbangkan resiko-resiko ini , itu adalah alat penting untuk membantu
memastikan kepatuhan SOx .
6.6 Putting It All Together
The COSO framework ERM dijelaskan di sini membahas pendekatan manajemen
risiko berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada
perusahaan untuk risiko dan kebutuhan dalam menerapkan manajemen risiko untuk
mengatur strategi secara keseluruhan, COSO ERM memiliki beberapa dasar perbedaan
dari kebanyakan model risiko yang telah digunakan sampai saat ini. Manajemen
perusahaan di semua tingkatan dapat menggunakan COSO ERM sebagai alat penting
untuk memahami banyak beberapa risiko perusahaan menghadapi. Auditor internal harus
membuat COSO ERM yang disesuaikan dengan resiko perusahaannya.
6.7 Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak
daerah. Terlalu sering, internal auditor akan melakukan review di beberapa daerah untuk
mengetahui bahwa daerah itu sebaiknya dipilih atau tidak dipilih karena "pertimbangan
risiko". Tentu saja, untuk meninjau praktek ERM COSO dan prosedur pelaksanaan,
auditor internal, baik pengulas audit internal atau konsultan untuk manajemen, perlu
mengembangkan pemahaman yang kuat kontrol ERM COSO dan proses.
Audit internal harus meninjau proses ERM enterprise-wide dengan menggunakan
beberapa alat berikut ini :
Process flowcharting
Reviews of risk and control materials
Benchmarking
Questionnaires
6.8 Risk Management and COSO ERM in Perspective
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat
mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-
tahun untuk memahami pengendalian internal COSO dan mengakuinya sebagai teknik
yang lebih menarik.