Vous êtes sur la page 1sur 15

COSO ERM Sponsoring (COSO) merilis metodologi

BAB I risiko perusahaan, manajemen-COSO


PENDAHULUAN Enterprise Risk Management Integrated
1.1.Latar Belakang Framework (COSO ERM). Ini merupakan
pendekatan yang memungkinkan suatu
Setiap perusahaan memerlukan perusahaan dan audit internal untuk
pengidentifikasian bagi setiap risiko bisnis mempertimbangkan dan menilai risiko di
yang dihadapi (seperti keuangan dan semua tingkatan, baik di daerah masing-
operasional baik sosial, etika, dan masing.
lingkungan) dan memanage resiko-resiko 1.2.Rumusan Masalah
tersebut ketingkatan yang wajar..
Pemahaman mengenai risiko ini Berdasarkan latar belakang di atas,
merupakan komponen utama dalam adapun rumusan masalah yang akan
pencapaian Sarbanes-Oxley (Sox), dalam dibahas adalah sebagai berikut:
Auditing Standards No.5. Internal audit, 1) Apa saja langkah-langkahagar
sebagai peran assurance dan consulting proses menejemen resiko menjadi
dapat berkontribusi tetapi gagal untuk efektif?
mendefinisikannya. Konsep antara satu 2) Apa saja unsur utama kerangka
orang dengan orang lain tentang kerja COSO ERM?
pemahaman risiko mungkin sangat 3) Apa saja poin yang mendukung
berbeda, meskipun mereka sama-sama kerangka kerja COSO ERM?
bekerja untuk perusahaan yang sama dan 4) Dimensi apa saja yang beroperasi
di daerah yang sama. Seperti yang terjadi dengan COSO?
kepada para manajer internal dan auditor 1.3. Tujuan Penyusunan Makalah
bekerja untuk meningkatkan kepatuhan
Sox tetapi belum ada yang pemahaman Berdasarkan rumusan masalah diatas,
yang konsisten tentang apa yang dimaksud adapun tujuan dari penyusunan makalah
dengan konsep risiko. Terutama untuk ini adalah sebagai berikut:
mendukung pemahaman kita tentang 1) Untuk mengetahui apa saja
pengendalian internal SOx, auditor internal langkah-langkah yang diperlukan
perlu memiliki pemahaman yang lebih agar proses menejemen resiko
baik atas manajemen risiko dan bagaimana dapat efektif.
dampak keahlian mereka dalam 2) Untuk mengetahui unsur utama
membangun dan mengembangkan kerangka kerja COSO ERM.
pengendalian internal yang efektif. 3) Untuk mengetahui poin pendukung
Dalam menggunakan AS 5 standar kerangka kerja COSO ERM.
auditing secara efektif, semua pihak harus 4) Untuk mengetahui COSO
memahami risiko disekitar perusahaan beroperasi dengan dimensi apa
mereka, harus mampu untuk saja.
mendokumentasikan serta membuktikan
ketika mereka melakukan maupun tidak
BAB II
melakukan peningkatan pengecualian
PEMBAHASAN
pengendalian internal yang dikeluarkan
2.1. RISK MANAGEMENT
berdasarkan resiko relatif. Namun,
FUNDAMENTALS
masalahnya kurangnya pemahaman yang
konsisten definisi risiko itu sendiri. Setiap organisasi sama-sama
Meskipun kata memiliki beberapa asal- menghadapi ketidakpastian.
usul dalam industri asuransi, Ketidakpastian ini mengandung risiko
ketidakkonsistenan tetap ada. Terjadi yang sangat potensial untuk
perubahan ketika Komite Organisasi menghilangkan kesempatan epncapaian

1
tujuan perusahaan. Untuk mengurangi manajemen unit. Tujuan mereka adalah
bahaya dari suatu resiko, maka harus ada untuk mengidenifikasi dan kemudian
jaminan untuk meminimalkan resiko atau membantu menilai risiko di unit mereka
setidaknya resiko tersebut dapat yang dibangun di sekitar kerangka model
dihilangkan dari setiap aktifitas organisasi. identifiasi risiko. Inilah jenis inisiatif yang
Proses manajemen risiko yang efektif dapat dipimpin oleh CEO dan kelompok
memerlukan empat langkah, yaitu: manajemen risiko perusahaan, jika ada,
2.1.1 Identifikasi Resiko. atau fungsi seperti audit internal.
Manajemen harus berusaha untuk
mengidentifikasi semua risiko yang
mungkin dapat mempengaruhi
keberhasilan perusahaan. Proses
identifikasi risiko memerlukan pendekatan
yang dipelajari dan disengaja untuk
melihat potensi risiko di setiap area
operasi, kemudian mengidentifikasi area
risiko yang paling signifikan yang dapat
mempengaruhi setiap operasi dalam
jangka waktu tertentu. Proses identifikasi
risiko ini harus terjadi pada berbagai
tingkatan dengan pemahaman bahwa
risiko yang mempengaruhi unit bisnis atau
proyek individual mungkin tidak memiliki
dampak yang besar pada keseluruhan
perusahaan atau lebih. Sebaliknya, risiko
utama yang mempengaruhi keseluruhan
ekonomi akan mengalir ke perusahaan
individual dan unit bisnisnya yang 2.1.2 Quantitative or qualitative
terpisah. Beberapa risiko utama sangat assessment of the documented risks
jarang terjadi namun tetap bisa jadi - Penilaian Risiko Utama
bencana yang sulit dikenali sebagai Setelah Mengidentifikasi risiko
kejadian masa depan yang mungkin. perusahaan yang signifikan,
Cara yang baik untuk memulai proses langkah selanjutnya adalah menilai
identifikasi risiko adalah memulai dari signifikansi relatif mereka.
perusahaan tingkat tinggi yang Berbagai pendekatan dapat
mencantumkan tingkat perusahaan dan digunakan di sini, mulai dari
unit operasi. Masing-masing unit tersebut perkiraan pendekatan kualitatif
mungkin memiliki fasilitas di beberapa terbaik hingga beberapa analisis
lokasi global dan juga terdiri dari beberapa kuantitatif, yang sangat matematis.
jenis operasi. setiap fasilitas terpisah Ide ini adalah untuk membantu
kemudian akan memiliki departemen atau memutuskan mana dari peristiwa
fungsinya sendiri. potensial yang berisiko sehingga
Pendekatan yang lebih baik adalah memberikan manajemen yang
mengidentifikasi orang-orang di semua paling perlu diperhatikan.
tingkat perusahaan yang akan diminta Pendekatan yang sering kali
untuk bertindak sebagai penilai risiko. dilakukan disini adalah untuk
Dalam setiap unit operasi yang signifikan, mengambil daftar yang
orang-orang penting harus diidentifikasi disembunyikan sebelumnya dan
dari operasi, keuangan / akuntansi, TI, dan mengedarkannya kepada manajer

2
kunci dengan kuesioner yang yang tidak masuk ke masa depan
menanyakan setiap risiko: sampai beberapa tahun ke depan.
Apa kemungkinan risiko ini terjadi Intinya di sini, semua risiko yang
selama periode satu tahun teridentifikasi mungkin
berikutnya? Menggunakan rentang memerlukan beberapa
skor 1 sampai 9 , berikan skor pertimbangan khusus, mereka
tebakan terbaik sebagai berikut: dapat dinilai secara akurat
o skor 1 jika Anda melihat - Interdependensi Resiko
hampir tidak ada kemungkinan Setiap entitas harus memperhatikan
risiko itu terjadi selama periode risiko di semua tingkat organisasi
tersebut. tetapi hanya benar-benar memiliki
o Skor 9 jika kamu merasakan kendali atas risiko dalam lingkup
event w! hampir pasti terjadi sendiri. Pada tahun 2002 akunting
selama periode tersebut. Arthur Andersen setelah runtuhnya
o Skor 2 sampai 8 tergantung di Enron adalah contoh kota Ench
mana Anda merasa oleh kota dan negara-oleh-countr
kemungkinan jatuh Dalam bahwa firma akuntan publik yang
rentang ini. dulu terhormat memiliki prosedur
Apa pentingnya risiko dalam hal penilaian risiko berikut mengikuti
biaya untuk perusahaan? Sekali satu kantor operasi. Houston
lagi menggunakan skala 1 sampai menyebabkan banyak standar
9, penilaian harus bergantung pada perusahaan. Namun, perusahaan ini
signifikansi risiko tersebut. Sebuah akan runtuh di seluruh dunia.
risiko yang harganya bisa Operasi di daerah lain, seperti
menurunkan pendapatan per saham Toronto mungkin tidak sepenuhnya
mungkin 1 sen mungkin memenuhi mengantisipasi risiko semacam itu
syarat untuk mendapatkan skor di Houston yang jauh, bahkan unit
maksimal 9 operasi adalah risiko seringkali
sangat saling bergantung dalam
Kuesioner di sini harus diedarkan suatu perusahaan. Setiap organisasi
secara independen kepada orang- bertanggung jawab untuk
orang berpengetahuan untuk mengelola risikonya sendiri namun
mencetak setiap risiko yang mungkin tunduk pada konsekuensi
teridentifikasi berdasarkan kedua peristiwa pada unit di atas atau di
tindakan ini. bawah dalam struktur organisasi.
- Probabilitas dan Ketidakpastian - Peringkat Risiko
Manajemen harus mengidentifikasi
Manajemen perusahaan harus unit demi unit secara keseluruhan.
memperhatikan risiko yang Terlalu sering mengambil risiko
teridentifikasi mereka sehingga dan perkiraan kemungkinan adanya
mengumpulkan lebih banyak masalah risiko kejadian yang
informasi yang tidak diketahui. terjadi jauh dari kantor pusat
Misalnya selama proses perusahaan dapat menyebabkan
identifikasi, satu manajer mungkin perusahaan besar.
telah mengidentifikasi konsekuensi 2.1.3 Analisis Resiko Kuantitatif: Nilai
sebagai risiko yang berbahaya. yang diharapkan dan Perencanaan
Namun, manajer yang bertanggung Respon
jawab mungkin ingin lebih Ada sedikit nilai dalam
memahami konsekuensi mengidentifikasi signifikan risiko kecuali
sebenarnya. Ini mungkin sesuatu perusahaan memiliki setidaknya beberapa
yang tidak sesuai dengan unit atau
3
rencana awal untuk langkah-langkah Proses ERM harus dilaksanakan
tindakan yang diperlukan. Gagasannya oleh orang orang di perusahaan.
adalah melalui setiap risiko yang ERM diaplikasikan sejalan melalui
teridentifikasi atau jika terbatas, hanya pengaturan strategi di perusahaan
risiko utama dan memperkirakan biaya secara keseluruhan.
untuk menanggung risiko. Karena jenis- Konsep dari resiko-resiko harus
jenis diskusi melibatkan hal-hal seperti dimunculkan atau
kegagalan komponen perangkat keras, dipertimbangkan.
penurunan pangsa pasar, atau implikasi ERM harus memberikan jaminan
peraturan pemerintah yang baru. dan jaminan, meskipun tidak
2.1.4 Pemantauan Risiko Identifikasi mutlak.
Risiko utama tidak boleh merupakan ERM didesain untuk membantu
proses tunggal dan satu kali. Lingkungan mencapai tujuan.
disekitar risiko yang teridentifikasi dapat 2.3. Elemen Kunci COSO ERM
dengan cepat berubahh karena kondisi
sekitarnya berubah. Bagi beberapa orang,
kondisi bisa berubah sehingga risiko
menjadi ancaman yang lebih besar lagi.
Proses identifikasi risiko bukanlah latihan
terus-menerus. Suatu perusahaan akan
menyiapkan anggaran tahunan dengan
revisi mungkin satu kali per kuartal, proses
pengamanan risiko seringkali merupakan
proses tahunan atau kuartalan. Setelah
risiko ini teridentifikasi, perusahaan perlu
memonitor mereka dan melakukan Gambar tersebut menunjukan kerangka
penyesuaian yang berkelanjutan yang COSO ERM dalam 3 dimensi kubus
diperlukan. Pemantauan risiko ini dapat dengan komponen sebagai berikut :
dilakukan oleh pemilik proses atau oleh Empat kolom vertikal di bagian
reviewer yang independen. Audit I atas menampilkan objektivitas
nternal merupakan sumber yang strategi dari resiko- resiko
sangat kredibel dan bagus untuk memantau korporasi.
risiko saat ini. Delapan baris horizontal
merupakan konponen resiko.
Empat kolom sebelah kanan
2.2.COSO ERM : ENTERPRISE RISK mendeskripsikan level-level dalam
MANAGEMENT korporasi.

COSO ERM adalah suatu kerangka Berikut ini adalah penjelasan mengenai
untuk membantu korporasi agar komponen resiko tersebut :
mempunyai konsistensi dalam definisi dari 2.3.1. COSO ERM : The Internal
resikoresiko mereka, juga merupakan alat Environment Component
penting untuk mengerti dan
mengimprovisasi pengendalian internal Komponen ini merupakan dasar
Sox. untuk semua komponen karena
Poin utama yang mendukung kerangka mempengaruhi tujuan dan strategi yang
COSO ERM yaitu : harus dicapai . Berikut ini adalah element-
ERM adalah proses ,artinya selama elementnya :
korporasi itu berjalan maka ERM Risk management philosophy
harus ada dan diterapkan. (filosofi manajemen resiko):

4
sampai seberapa jauh filosofi yang misi, (2) menetapkan strategi untuk
mempengaruhi manajemen. mencapai tujuan, (3) mendefinisikan
Risk appetite: manajemen harus tujuan yang terkait, dan (4) mendefinisikan
mempunyai peta (mapping) selera risiko untuk menyelesaikan strategi
untuk menyelesaikan resiko itu. Pameran ini diadaptasi dari bahan
korporasi. COSO ERM bimbingan.
Board of directors attitudes:
dewan direksi harus aktif dalam 2.3.3. COSO ERM Event Identification
memberikan pengawasan kepada
karyawan dalam pengelolaan Events adalah insiden atau kejadian
resiko. perusahaan yang mempengaruhi
pelaksanaan strategi ERM dan pencapaian
Integrity and ethical values:
tujuan. Sementara kecenderungan kita
penilaian integritas karyawan
adalah untuk memikirkan peristiwa
dalam menghadapi resiko.
(events) dalam arti negatif (menentukan
Commitment to competence :
apa yang salah) dapat menjadi positif juga.
pihak pihak dalam korporasi
Banyak perusahaan saat ini memiliki
diberikan pelatihan untuk
kinerja monitoring yang kuat untuk
menghadapi resiko pelatihan .
memantau biaya, anggaran, jaminan
pelatihan tersebut dilakukan
kualitas, kepatuhan, dan sejenisnya.
secara periodik.
Namun, akan lebih dari sekedar memasang
Organizational structure: meter pada jalur perakitan produksi, proses
sebaiknya ada divisi khusus pemantauan harus mencakup:
dalam korporasi untuk
Peristiwa ekonomi eksternal.
menghadapi resiko.
Kejadian lingkungan alam.
Assigments of authority and
Peristiwa politik.
responsibility: sampai seberapa
jauh kewenangan diberikan Faktor sosial.
kepada pihakpihak di dalam Peristiwa infrastruktur internal.
korporasi untuk menghadapi Peristiwa yang terkait proses
resiko. internal.
Human resources standards: Peristiwa teknologi eksternal dan
standar kualifikasi SDM yang internal.
diperlukan dalam menghadapi 2.3.4. COSO ERM Risk Assessment
resiko.
Penilaian risiko memungkinkan
2.3.2. COSO ERM Objective Setting
perusahaan untuk mempertimbangkan apa
Peringkat tepat di bawah lingkungan
efek peristiwa terkait risiko potensial
internal dalam kerangka COSO ERM,
tersebut terhadap prestasi perusahaan
pengaturan objektif yang menguraikan
terhadap tujuannya. Risiko ini harus dinilai
kondisi penting untuk membantu
dari dua perspektif: kemungkinan risiko
manajemen menciptakan proses ERM
yang terjadi dan dampak potensinya.
yang efektif. Elemen ini mengatakan
Sebagai bagian penting dari proses
bahwa, di samping lingkungan internal
penilaian risiko, juga perlu
yang efektif, perusahaan harus menetapkan
mempertimbangkan risiko yang melekat:
serangkaian sasaran strategis, sesuai
Risiko Inheren. Faktor besar yang
dengan misi terhadap operasional,
mempengaruhi risiko inheren
pelaporan, dan kepatuhan kegiatan.
perusahaan adalah ukuran dari
COSO ERM menetapkan tujuan COSO
anggarannya, kekuatan dan
ERM dimulai dengan misi keseluruhan,
kecanggihan manajemen, dan
untuk (1) mengembangkan sasaran
hanya sifat dari kegiatannya.
strategis untuk mendukung pemenuhan

5
Risiko inheren di luar kendali mengurangi risiko hilangnya
manajemen dan biasanya berasal produktivitas jika seseorang tidak
dari faktor eksternal. bernyawa.
Risiko Residual. Ini adalah resiko 3. Sharing (membagi). Hampir semua
yang tersisa setelah tanggapan perusahaan secara teratur berbagi
manajemen risiko ancaman dan beberapa risikonya melalui
penanggulangan telah diterapkan. pembelian asuransi, namun teknik
Ada hampir selalu beberapa tingkat pembagian risiko lainnya juga
risiko residual. tersedia. Idenya adalah untuk
memiliki pihak lain menerima
2.3.5. COSO ERM Risk Response beberapa potensi risiko serta
Elements (Elemen dari Respons berbagi dalam hasil reward.
Risiko COSO ERM) 4. Acceptance (menerima). Ini adalah
strategi tanpa tindakan, seperti saat
Untuk mengembangkan strategi respons perusahaan mengasuransikan diri
risiko yang tepat, berikut strategi risiko dengan tidak melakukan tindakan
dasar: untuk mengurangi potensi risiko.
1. Avoidance (menghindari). Ini Intinya, perusahaan harus melihat
adalah strategi untuk menjauh dari kemungkinan risiko dan
risiko. Kesulitannya adalah dampaknya karena toleransi risiko
perusahaan seringkali menghindar yang ditetapkan dan kemudian
sampai kejadian berisiko terjadi memutuskan apakah akan
dengan perusahaan yang terkait. menerima risiko itu atau tidak.
Penghindaran bisa menjadi strategi Untuk banyak dan beragamnya
yang berpotensi mahal jika risiko yang mendekati perusahaan,
investasi dilakukan untuk masuk ke menerima sering merupakan
suatu daerah, diikuti oleh penarikan strategi yang tepat.
berikutnya untuk menghindari
risiko tersebut. Pembelajaran Jika ada risiko bahwa perusahaan dapat
kolektif yang dipelajari tentang kehilangan seluruh operasi manufaktur
aktivitas masa lalu seringkali karena kegagalan produksi peralatan
membantu strategi ini. Dengan produksi yang utama tetapi masih
kecenderungan perubahan konstan potensial, respons risiko potensial dapat
dan masa kerja singkat, sejarah mencakup:
kolektif ini terlalu sering hilang 1. Memperoleh peralatan produksi
dan terlupakan. Keinginan besar cadangan untuk dijadikan suku
sebuah perusahaan yang dimengerti cadang untuk kanibalisasi.
dan dikomunikasikan dengan baik 2. Menutup jalur produksi manufaktur
mungkin merupakan pertimbangan dengan rencana untuk
yang paling penting saat memindahkannya ke tempat lain.
menentukan apakah strategi 3. Aturlah sebuah toko khusus untuk
menghindari risiko sesuai. membangun
2. Reduction (mengurangi). Berbagai kembali/merekonstruksi peralatan
keputusan bisnis mungkin bisa lama.
mengurangi risiko tertentu. Ada 4. Merekayasa ulang produk
berbagai strategi yang sering manufaktur dan rencana untuk
efektif untuk mengurangi risiko di pengenalan produk baru.
semua tingkat yang turun ke yang Mengembangkan respons risiko
jelas dan biasa-biasa saja, seperti memerlukan sejumlah besar perencanaan
karyawan pelatihan silang untuk dan pemikiran strategis. Beberapa

6
alternatif respons risiko mungkin pemantauan risiko memerlukan langkah-
melibatkan biaya, waktu, dan perencanaan langkah berikut:
proyek yang rinci. 1. Kembangkan pemahaman yang
COSO ERM meminta agar risiko kuat tentang risiko signifikan dan
dipertimbangkan dan dievaluasi secara prosedur pengendalian yang harus
keseluruhan entitas atau portofolio. dipantau atau perbaiki untuk
Kadang-kadang ini bisa menjadi proses mereka.
yang sulit dalam usaha multiproduktif 2. Buat prosedur pengujian fire drill-
besar, multiunit, namun memberikan titik type untuk menentukan apakah
awal dalam mendapatkan berbagai risiko prosedur pengendalian terkait
yang terorganisir untuk identifikasi risiko risiko tersebut berjalan efektif.
yang lebih signifikan yang dapat 3. Lakukan tes proses pemantauan
berdampak pada perusahaan. Idenya risiko untuk menentukan apakah
adalah melihat berbagai potensi risiko ini, mereka bekerja secara efektif dan
kemungkinan terjadinya, dan dampak sesuai harapan.
masing-masing. Analisis yang baik di sini 4. Lakukan penyesuaian atau
harus menyoroti area untuk mendapat perbaikan seperlunya untuk
perhatian lebih rinci. memperbaiki proses pemantauan
2.3.6. COSO ERM Control Activities risiko.
(Kegiatan Pengendalian COSO
Proses empat elemen ini mencakup
ERM)
langkah-langkah untuk meninjau, menguji,
Kegiatan pengendalian ERM adalah dan kemudian menegaskan bahwa proses
kebijakan dan prosedur yang diperlukan pengendalian internal berjalan dengan
untuk memastikan tindakan terhadap baik. Perbedaan utama, tentu saja, adalah
respons risiko yang teridentifikasi. bahwa di bawah SOx suatu perusahaan
Meskipun beberapa dari aktivitas ini hanya diharuskan secara hukum untuk menjamin
terkait dengan respons risiko yang kecukupan pengendalian internal mereka.
teridentifikasi dan disetujui di iwilayah Tidak ada persyaratan hukum seperti itu
perusahaan, namun seringkali tumpang dengan COSO ERM, namun perusahaan
tindih di beberapa fungsi dan unit. harus menginstal kegiatan pengendalian
Komponen aktivitas pengendalian COSO risiko pemantauan untuk memantau
ERM harus terkait erat dengan strategi dan berbagai risiko yang telah diidentifikasi.
tindakan respons risiko yang telah dibahas Karena sifat kritis dari banyak risiko
sebelumnya. terhadap perusahaan, pemantauan risiko
Setelah memilih respons risiko yang bisa sangat penting bagi kesehatan
tepat, perusahaan harus memilih kegiatan perusahaan secara keseluruhan. Banyak
pengendalian yang diperlukan untuk kegiatan pengendalian di bawah kontrol
memastikan pelaksanaannya dilakukan internal COSO cukup mudah untuk
secara tepat waktu dan efisien. Proses diidentifikasi dan diuji karena sifat
untuk menentukan apakah aktivitas akuntansi dari banyak kontrol internal dan
pengendalian berjalan dengan baik sangat umumnya mencakup area berikut:
mirip dengan menyelesaikan penilaian Pemisahan tugas. Intinya, orang
pengendalian internal Sox Section 404. yang melakukan transaksi
COSO ERM meminta pendekatan untuk seharusnya bukan orang yang sama
mengidentifikasi, mendokumentasikan, yang memberi otorisasi terhadap
menguji, dan kemudian memvalidasi transaksi tersebut.
kontrol perlindungan risiko ini. Setelah Jalur audit. Proses harus diatur
melalui identifikasi, penilaian, dan proses sedemikian rupa sehingga hasil
identifikasi risiko COSO ERM, akhir dapat dengan mudah dilacak

7
kembali ke transaksi yang informasi merupakan komponen
menciptakan hasil tersebut. kunci dalam kegiatan pengendalian
Keamanan dan integritas. Proses terkait risiko perusahaan. Prosedur
pengendalian harus memiliki pengendalian yang tepat harus
prosedur pengendalian yang tepat dibuktikan dengan penekanan pada
sehingga hanya orang yang proses dan risiko perusahaan TI.
berwenang yang dapat meninjau Kontrol fisik. Banyak masalah
atau memodifikasinya. terkait risiko melibatkan aset fisik
Dokumentasi. Proses harus seperti peralatan, persediaan,
didokumentasikan dengan tepat. keamanan, dan tanaman fisik.
Apakah persediaan fisik, inspeksi,
Prosedur pengendalian ini dan yang atau prosedur keamanan tanaman,
lainnya cukup dikenal dan berlaku untuk perusahaan harus memasang
semua proses pengendalian internal dalam prosedur aktivitas pengendalian
perusahaan dan juga agak berlaku untuk fisik berbasis risiko yang sesuai.
banyak peristiwa terkait risiko. Banyak Indikator kinerja. Perusahaan yang
profesional, terlepas dari apakah mereka khas saat ini menggunakan
memiliki latar belakang audit keuangan berbagai alat pelaporan keuangan
atau internal, seringkali dapat menentukan dan operasional yang juga dapat
beberapa kontrol kunci yang diperlukan mendukung pelaporan kinerja
dalam sebagian besar proses bisnis. terkait risiko. Bila diperlukan, alat
Perusahaan sering menghadapi tugas yang kinerja harus dimodifikasi untuk
lebih sulit dalam mengidentifikasi aktivitas mendukung komponen aktivitas
pengendalian untuk mendukung kerangka kontrol ERM yang penting ini.
ERM-nya. Meskipun tidak ada set standar Pemisahan tugas. Aktivitas kontrol
aktivitas kontrol ERM atau yang diterima klasik; orang yang melakukan
saat ini, dokumentasi COSO ERM tindakan tertentu seharusnya bukan
menyarankan beberapa area: orang yang sama yang menyetujui
Ulasan tingkat atas. Manajemen tindakan tersebut.
senior harus sangat menyadari
kejadian risiko yang teridentifikasi Kegiatan pengendalian ini dapat
di dalam unit organisasi dan diperluas untuk mencakup bidang-bidang
melakukan tinjauan tingkat atas utama lainnya. Beberapa akan spesifik
reguler mengenai status risiko yang untuk unit individu dalam perusahaan,
teridentifikasi. namun masing-masing, secara sendiri dan
Pengelolaan fungsional atau kolektif, harus menjadi komponen penting
aktivitas langsung. Selain ulasan dalam mendukung kerangka kerja ERM
tingkat atas, manajer unit perusahaan.
fungsional dan langsung harus 2.3.7. COSO ERM Information and
memiliki peran penting dalam Communication (Informasi dan
pemantauan aktivitas pengendalian Komunikasi COSO ERM)
risiko. Hal ini sangat penting di
mana kegiatan pengendalian Komponen COSO ERM ini adalah
berlangsung di unit operasi rangkaian proses terkait risiko yang
terpisah, dengan kebutuhan untuk terpisah yang menghubungkan komponen
komunikasi dan resolusi risiko di ERM COSO lainnya, seperti yang
seluruh saluran perusahaan. dijelaskan pada Tampilan 7.9 yang
Pengolahan informasi. Entah itu menunjukkan arus informasi melintasi
proses berbasis sistem TI atau komponen ERM COSO.
bentuk yang lebih lembut seperti
kertas atau pesan, pemrosesan
8
komunikasi di luar hanya aplikasi IT,
seperti kebutuhan mekanisme untuk
memastikan bahwa semua pemangku
kepentingan menerima pesan mengenai
kepentingan perusahaan dalam mengelola
risikonya. Komponen utama dari pesan
komunikasi ini harus menggunakan bahasa
risiko yang sama di seluruh perusahaan
mengenai peran dan tanggung jawab
semua pemangku kepentingan terkait
peran manajemen risiko mereka. COSO
ERM tidak akan terlalu berharga bagi
perusahaan kecuali jika pesan keseluruhan
dari kepentingannya dikomunikasikan
kepada semua pemangku kepentingan
secara umum dan konsisten.
2.3.8. COSO ERM Monitoring
(Pemantauan COSO ERM)
Ditempatkan di dasar tumpukan
komponen kerangka ERM. Pemantauan
ERM diperlukan untuk menentukan bahwa
Meskipun relatif mudah untuk semua komponen ERM yang terpasang
menggambarkan bagaimana informasi bekerja secara efektif. Orang-orang di
harus dikomunikasikan dari satu perusahaan chang, seperti halnya proses
komponen COSO ERM ke komponen pendukung dan kondisi internal dan
lainnya dalam diagram alir sederhana, ini eksternal, namun komponen pemantauan
adalah proses yang jauh lebih kompleks membantu memastikan bahwa ERM
dalam praktiknya. Banyak perusahaan bekerja secara efektif secara terus
memiliki jaringan kompleks sistem menerus. Ini termasuk proses untuk
informasi operasional dan keuangan yang memberi tanda harapan atau pelanggaran
seringkali tidak terkait dengan baik untuk pada komponen lain dari keseluruhan
proses dasar mereka. Keterkaitan ini proses ERM.
menjadi lebih kompleks untuk banyak Dengan melampaui alat pemantauan
proses ERM mengingat bahwa banyak dasbor, manajemen perusahaan harus
aplikasi perusahaan dasar tidak secara bertanggung jawab secara keseluruhan
langsung memberi diri pada identifikasi untuk pemantauan ERM. Untuk menyusun
risiko, penilaian, dan proses tipe respons kerangka kerja ERM yang efektif,
risiko. Melampaui aplikasi informasi ERM pemantauan harus mencakup tinjauan
yang komprehensif untuk suatu berkelanjutan terhadap keseluruhan proses
perusahaan, ada kebutuhan untuk ERM mulai dari tujuan yang teridentifikasi
mengembangkan sistem pemantauan dan hingga kemajuan aktivitas kontrol ERM
komunikasi risiko yang terkait dengan yang sedang berlangsung, termasuk jenis
pelanggan, pemasok, dan pemangku kegiatan berikut:
kepentingan lainnya. Implementasi mekanisme
Sementara setengah informasi dari pelaporan manajemen yang
komponen informasi dan komunikasi berkelanjutan seperti untuk posisi
ERM biasanya dipikirkan dalam hal sistem kas, penjualan unit, dan data
informasi strategis dan operasional TI, keuangan utama. Perusahaan
komunikasi ERM adalah aspek kedua dari seharusnya tidak perlu menunggu
komponen ini. Ini berbicara tentang

9
sampai bulan fiskal dan untuk jenis yang sama, kategori sasaran risiko tingkat
laporan status ini, dan laporan lebih tinggi daripada kategori risiko
"kilat cepat" harus dilaporkan. eksposur yang jauh lebih luas dan lebih
Proses pelaporan peringatan terkait tinggi daripada operasi lainnya.
risiko periodik yang memantau Operasi Tujuan Manajemen Risiko Ada
aspek-aspek kunci dari kriteria banyak jenis risiko operasi yang dapat
risiko yang ditetapkan, termasuk mempengaruhi perusahaan. Mengikuti
tingkat kesalahan atau item yang kerangka ERM tiga dimensi. identifikasi
dapat diterima yang ditahan. risiko tingkat operasi dia identifikasi risiko
Pelaporan semacam itu harus untuk setiap unit usaha atau komponennya.
menekankan tren statistik dan Tujuan risiko tingkat operasi ini seringkali
perbandingan baik dengan periode memerlukan informasi terperinci yang
sebelumnya maupun sektor industri mengumpulkan analisis, terutama untuk
lainnya. perusahaan besar yang mencakup beberapa
Pelaporan status terkini dan berkala wilayah geografis, lini produk atau proses
mengenai temuan dan rekomendasi bisnis, Manajer langsung unit individual
terkait risiko dari laporan audit biasanya memiliki pemahaman terbaik
internal dan eksternal, termasuk mengenai risiko operasional mereka, dan
status gap yang diidentifikasi SOX informasi tersebut dapat menjadi hilang
yang diidentifikasi ERM dan saat mengkonsolidasikan pelaporan tingkat
rekomendasi laporan audit internal tinggi, Untuk mengumpulkan informasi
sebelumnya. latar belakang yang lebih rinci tentang
Perbarui informasi terkait risiko risiko operasi potensial. informasi sering
dari sumber seperti peraturan yang dapat dikumpulkan melalui tinjauan audit
direvisi pemerintah, tren industri, internal atau survei orang-orang yang
dan berita ekonomi umum. Sekali secara langsung diimpact oleh theserisks.
lagi, pelaporan ekonomi dan Sebuah survei langsung pada anggota the-
operasional semacam ini harus toor perusahaan tersebut. bersama dengan
tersedia bagi para manajer di pertanyaan tindak lanjut, akan
semua tingkat. memungkinkan pengembangan
serangkaian risiko operasi katalog yang
2.4. OTHER DIMENSIONS OF COSO konsisten di semua tingkat perusahaan.
ERM : ENTERPRISE RISK Pertanyaan yang diajukan di sini serupa
OBJECTIVES dengan jenis pertanyaan terperinci yang
Meskipun banyak yang melihat COSO sering digunakan dalam penilaian
ERM dari sudut pandang kerangka tiga pengendalian internal audit internal dan
dimensi, dua dimensi lainnya - operasional hasil dari semua data yang tersedia bisa
dan organi. Tingkat zational harus selalu menjadi dasar untuk mengembangkan
diperhatikan. Setiap komponen COSO pemahaman yang lebih baik.
ERM beroperasi di ruang tiga dimensi disirkulasikan melalui semua tingkat
dimana masing-masing harus perusahaan. dengan pesan yang meliput
dipertimbangkan dalam hal yang lain sahamnya. Pemegang untuk menanggapi
Manajemen Risiko Perusahaan Kategori secara jujur, jenis survei ini seringkali
terkait COSO ERM. Komponen utama dapat mengumpulkan impor. Informasi
yang dihadapi strategis, operasi pelaporan mengenai potensi risiko pada tingkat
tujuan kepatuhan penting untuk operasional rinci. Seorang manajer sebuah
memahami dan menerapkan coso ERM. pabrik operasi jarak jauh mungkin tidak
Selain itu, sementara Exhibit 7.5 cukup mengkomunikasikan kekhawatiran
menunjukkan masing-masing tujuan risiko tentang beberapa solusi operasional di
utama yang memiliki ukuran atau lebar tingkat bangunan. Survei berbasis luas dan

10
rahasia seringkali akan memungkinkan laporan yang tidak akurat, Kontrol internal
orang untuk mengomunikasikan operasi yang kuat harus meminimalkan risiko
tingkat lokal yang sering terjadi melalui kesalahan, dan perusahaan harus selalu
perusahaan. Dengan pandangan portofolio mempertimbangkan risiko yang terkait
ERM terhadap risiko, perusahaan harus dengan pelaporan yang tidak akurat.
menghindari hal-hal yang bergulir hingga Smallerrors dan ketidaksesuaian n
terlalu banyak tingkat ringkasan, diabaikan dari waktu ke waktu sampai ada
kehilangan atau membulatkan risiko kesalahan besar yang perlu diungkapkan.
tingkat rendah yang penting, berapapun Risiko pelaporan yang tidak tepat tersebut
tingkat hierarki organisasi di lokasi harus menjadi perhatian semua tingkat
geografis, para manajer di semua tingkat perusahaan.
harus menyadari bahwa mereka Kesesuaian Hukum dan Peraturan Resiko
bertanggung jawab untuk menerima dan Tujuan perusahaan apapun harus
mengelola risiko di dalam operasional mematuhi berbagai undang-undang dan
mereka sendiri. Terlalu sering. Manajer peraturan pemerintah atau peraturan
perusahaan dapat memperoleh impresi pemerintah. Meskipun risiko kepatuhan
bahwa manajemen risiko hanya beberapa dapat dipantau dan diakui, risiko hukum
tingkat senior, perhatian utama dari pusat kadang-kadang tidak diantisipasi. Di
perhatian Pentingnya manajemen risiko Amerika Serikat, misalnya, sistem
dan manajemen risiko harus dipaparkan ke plaintifflegal yang agresif dapat
semua tingkat perusahaan. Auditor internal menimbulkan risiko besar bagi perusahaan
harus bertindak sebagai mata dan telinga yang bermaksud baik. Proses pengadilan
di sini dan melaporkan semua risiko Asbestos selama tahun 1990an dan
operasi yang teramati. seterusnya adalah sebuah contoh. Mineral
Melaporkan Tujuan Manajemen Risiko berserat, asbes adalah bahan insulasi
Tujuan ERM ini mencakup keandalan alami, pernah digunakan secara ekstensif
pelaporan perusahaan termasuk pelaporan dan dianggap benar-benar jinak. Tapi
internal dan eksternal atas data keuangan terlalu banyak kontak langsung dengan
dan non finansial. Akurat melaporkan serat asbes dari waktu ke waktu kemudian
keberhasilan perusahaan dalam banyak ditemukan menyebabkan masalah paru-
dimensi. Meskipun kami sering melihat paru parah dan bahkan kematian.
laporan berita mengenai penemuan Penambang yang terlibat dalam ekstraksi
pelaporan keuangan perusahaan yang tidak asbes telah menemui takdir tersebut. Dulu,
akurat dan dampak pasar saham yang asbes digunakan di banyak produk, seperti
diakibatkan untuk entitas yang pembungkus untuk mengisolasi pipa
menyinggung. pelaporan yang tidak tepat pemanas atau sebagai penghalang proteksi
tersebut n menyebabkan masalah di kebakaran. Sementara risiko bagi orang-
banyak daerah. Masalah apa industri, orang yang bekerja atau tinggal dalam
perusahaan menghadapi risiko utama dari struktur dengan pipa-pipa yang disegel
laporan yang tidak akurat - unit atau area asbes ini terbilang cukup minim. litigator
apa pun. unit operasi harus memastikan agresif telah membawa tindakan melawan
bahwa hasil yang dilaporkan benar perusahaan yang mengklaim bahwa siapa
sebelum diteruskan ke tingkat berikutnya pun yang bisa memiliki kontak, tidak
dalam organisasi, dan jumlah konsolidasi peduli seberapa minimnya. dengan produk
harus akurat, apakah keuntungan finansial, asbes yang digunakan bisa berisiko di
atau berbagai bidang lainnya. Meskipun masa depan. Hasilnya adalah proses
pengendalian internal yang baik pengadilan yang ditujukan terhadap
diperlukan untuk memastikan pelaporan perusahaan-perusahaan yang memproduksi
yang akurat, berkaitan dengan risiko produk-produk yang mengandung
pemberian wewenang dan pelepasan sejumlah kecil orasbestos, yang meminta

11
ganti rugi berdasarkan potensi risiko restoran cepat saji dengan ribuan
manusia di tahun-tahun depan. Karena unit. hampir pasti tidak masuk akal
penghargaan kerusakan besar. Hampir untuk memasukkan masing-masing
semua perusahaan besar yang pernah unit sebagai komponen separat
asbestos bangkrut, gulung tikar, atau harus dalam model risiko. Sebaliknya,
membayar mahkota besar yang dikenakan manajemen harus
kerugian kerusakan. Ini adalah jenis risiko mempertimbangkan tingkat risiko
legal yang sangat sulit diantisipasi namun organisasinya pada tingkat detail
bisa menjadi bencana bagi perusahaan. yang akan mencakup semua risiko
2.4.1. Operations Risk Managament yang signifikan dan dapat dikelola.
Objectives Risiko yang Meliputi Seluruh
Dimensi ketiga dari kerangka ERM Organisasi Beberapa risiko di unit
coso menyebut risiko bisnis terhadap risiko tingkat
dipertimbangkan pada tingkat entitas. Sementara itu, saat-saat
orentalitas organisasi Kerangka atau saat-saat terpikirkan untuk
kerja Exhibit 72cosoERM mempertimbangkan beberapa
menunjukkan empat divisi atau tingkat unit tidak
slice dalam kerangka ini mempertimbangkan anak
dimensiona entity-level, division, perusahaan manufaktur pre-sox
business unit, dan subsidi risiko yang relatif kecil memproduksi
harian. Ini bukan divisi tipe pakaian kasual di negara dunia
perusahaan yang ditentukan, dan ketiga yaitu tingkat pendapatan
ERM menyarankan bahwa risiko sering, unit seperti itu akan kecil
harus mengikuti secara ketat bagan dalam hal kontribusi perusahaan
organisasi resmi perusahaan dan si relatifnya sehingga bisa
tersebut. Risiko COSO ERM harus tergelincir di bawah layar radar di
diidentifikasi dan dikelola di dalam tingkat perusahaan senior.
setiap unit organisasi yang Risiko Unit-Unit Bisnis Risiko terjadi di
signifikan termasuk risiko secara semua tingkat perusahaan, apakah
keseluruhan entitas melalui unit merupakan divisi produksi utama dengan
bisnis individual. Anenterprise banyak tanaman dan ribuan karyawan atau
dengan divisi operasi fourmajor posisi kepemilikan minoritas di
dan beberapa unit bisnis atau unit perusahaan penjualan luar negeri. Risiko
usaha masing-masing di bawah harus dipertimbangkan di setiap unit
masing-masing akan menghasilkan organisasi yang signifikan. Resiko
laporan bisnis yang merefleksikan mengidentifikasi pemilik
unit-unit lainnya. Meskipun risiko intheminorityhippositioninaforegn-
ini penting untuk dilakukan dan countrysalesperusahaan, misalnya.
semua tingkat investasi, harus ada mungkin merupakan risiko yang unik bagi
tingkat pertimbangan berdasarkan unit itu, namun harus digulirkan secara
basis unit per unit demi sekecil keseluruhan. Kami telah mengutip contoh
apapun yang diperlukan untuk risiko tingkat entitas yang mungkin
memungkinkan perusahaan diakibatkan oleh kegagalan dalam
memahami dan mengelola manufaktur atau hak asasi manusia di
risikonya. ERM tidak menentukan sebuah negara kecil inarsia. Kejadian
seberapa tipis risiko unit-evel ini berisiko di sini dapat menyebabkan rasa
harus dipertimbangkan, dan malu bagi keseluruhan perusahaan, namun
kekritisan dan ketrampilan unit seharusnya dikendalikan sampai ke unit
bisnis individual harus perusahaan kecil tersebut. Bhopal yang
dipertimbangkan. Untuk jaringan sebelumnya dibahas. India. bencana

12
ledakan tanaman broughtdown induk risiko sebagaimana dibahas dalam Bab 16,
perusahaan utama. Union Carbide, dengan menggunakan beberapa Alat
disebutkan. Bergantung pada kompleksitas berikut: Proses flowcharting. Sebagai
dan jumlah unit operasi. Tanggung jawab bagian dari proses ERM yang
risiko seringkali paling baik dimulai diidentifikasi, diagram alir proses dapat
sebagai proses pendorong di mana berguna dalam menggambarkan
manajemen tingkat korporat secara formal manajemen risiko busur yang beroperasi di
akan menguraikan masalah terkait risiko perusahaan. Ini memerlukan pemeriksaan
utamanya dan manajemen yang dokumentasi yang dipersiapkan untuk
bertanggung jawab di masing-masing proses yang berkaitan dengan risiko,
divisi utama untuk melakukan survei menentukan apakah mereka benar
terhadap sasaran risiko melalui unit mengingat kondisi saat ini, dan
operasi di dalam divisi tersebut. Dengan menggambarkan kecukupan keseluruhan
cara ini, risiko yang signifikan dapat semua tingkat proses risiko perusahaan.
diidentifikasi di semua tingkat dan Pemodelan proses audit internal dan
kemudian dikelola pada tingkat di mana diagram alir proses dibahas di Bab 17.
mereka dapat menerima dukungan lokal Tinjauan bahan risiko dan pengendalian.
langsung yang paling langsung. Konsep Proses ERM sering menghasilkan
utama seputar C ERMisthat perusahaan sejumlah besar bahan panduan, prosedur
menghadapi berbagai risiko signifikan di terdokumentasi, format laporan, dan
semua tingkatan. Beberapa mungkin sejenisnya. Mungkin sering ada nilai untuk
signifikan, sementara yang lain mungkin audit internal untuk meninjau bahan risiko
hanya mengganggu gangguan dan dan pengendalian dari sudut pandang
dipandang kecil, kerangka kerja ERM Benchmarking Althdughan yang sering
menyediakan mekanisme untuk disalahgunakan, pembandingan di sini
mempertimbangkan risiko ini. Ini adalah adalah proses melihat faksi-faksi di
alat penting untuk membantu memastikan lingkungan lain untuk menilai operasi
kepatuhan terhadap sox. mereka dan untuk mengembangkan
2.4.2. Reporting Risk Management pendekatan yang lebih baik berdasarkan
Objectives pada praktik terbaik orothers, sambil
Dengan mudah pengendalian internal mengumpulkan informasi komparatif
COSO, kerangka ERM coso menguraikan seringkali merupakan tugas yang sulit
risiko yang membingungkan semua jenis karena keengganan perusahaan yang
risiko. dengan pendekatan manajemen bersaing untuk membaginya, kepatuhan
yang berlaku untuk semua industri, terhadap Kemajuan dengan Berbagi moto
kebutuhan untuk melihat selera dan tradisi harus mempromosikan praktik
perusahaannya terhadap risiko, fokus ini berbagai macam metode untuk orang-
mengenali dengan fokus pada kerangka orang ERM, kuesioner dapat dikirim ke
kerja cosoERM serta praktik pengelolaan pemangku kepentingan yang ditunjuk
risiko umum yang baik yang dapat dengan permintaan untuk mendapatkan
dilakukan oleh perencanaan dan informasi spesifik nis seringkali
pelaksanaan review proses manajemen merupakan teknik audit internal yang
perusahaan. Entah bertindak sebagai berharga.
peninjau tinjauan auditor internal atau 2.4.3. Legal and Regulatory Compliance
konsultan kepada manajemen, auditor Risk Objectives
internal harus memahami kerangka kerja Memenuhi manajer yang sesuai untuk
COSO ERM yang baik. Selain itu, tinjauan mendapatkan pemahaman tentang strategi
internal dari beberapa perusahaan ERM ERM perusahaan, rencana proyek yang
harus direncanakan melalui pendekatan direncanakan, dan status pelaksanaan saat
perencanaan proyek audit internal berbasis ini. Kembangkan strategi untuk meninjau

13
proses ERM, mungkin dengan fokus yang dipilih Menilai proses penilaian ERM
menekankan semua proses lingkungan untuk pengembangan perusahaan.
internal pada tingkat entitas serta Karena dua model kerangka terlihat sangat
komponen untuk anak perusahaan atau mirip pada pengamatan pertama, itis v
unit bisnis yang dipilih. Kembangkan Manajemen risiko, mudah dilewatkan
rencana audit internal terperinci untuk untuk memikirkan karakteristik unik coso
komponen yang dipilih untuk tinjauan dan dan coso ERM khususnya standar yang
publikasikan surat keterlibatan yang harus menjadi bagian dari setiap internal.
mengumumkan audit yang direncanakan. Auditor internal harus menggunakan
Tinjau materi panduan ERM enterprise- manajemen risiko ketika memutuskan
wide di tempat untuk menilai apakah daerah mana yang akan dipilih untuk rev
tujuan ERM dikomunikasikan secara mereka seperti pada 16 sebagai
memadai dan menilai area di mana perencanaan disko, dan kemudian
komunikasi mungkin kurang. Menilai menggunakan prinsip-prinsip saat menilai
filosofi dan selera ERM Bertemu dengan bukti audit, di Bab 10. Mungkin yang
anggota manajemen senior yang tepat lebih penting lagi, coso ERM akan tumbuh
untuk menilai apakah filosofi manajemen dalam kepentingan dan pengakuan karena
risiko telah didefinisikan dan lebih banyak perusahaan memahami dan
dikomunikasikan Melalui survei atau mengadopsi kerangka ERM. Auditor
wawancara yang diselesaikan oleh internal memahami coso ERM baik untuk
beberapa anggota perusahaan yang dipilih mengaudit kepatuhan terhadap proses ini
untuk menentukan apakah risk appetite dan untuk berkonsultasi dengan
telah dikomunikasikan Integritas manajemen untuk memastikan
manajemen risiko dan nilai etika Tinjau implementasi yang lebih efektif.
kembali kode etik dan materi lainnya
untuk menentukan apakah nilai etika
terkait risiko dikomunikasikan. Tinjau BAB III
contoh komunikasi perusahaan dan tinjau SIMPULAN
apakah perhatian diberikan pada filosofi 3.1. SIMPULAN
ERM. Struktur organisasi manajemen Internal Control-Integrated Framework,
risiko Memenuhi manajemen sumber daya yang sering disebut sebagai "COSO"
manusia untuk menilai apakah proses memberikan suara dasar untuk membentuk
dilakukan untuk mengkomunikasikan sistem kontrol internal dan menentukan
filosofi ERM kepada perusahaan 12 efektivitas mereka. COSO mendefinisikan
Mengkaji kode etik catatan untuk pengendalian internal sebagai suatu proses,
menentukan makan c telah diperbarui, dilakukan oleh suatu badan dari dewan
bahwa semua pemangku kepentingan telah direksi, manajemen dan personil lainnya.
mengetahuinya, dan catatan yang sesuai Proses ini dirancang untuk memberikan
dengan kode tersebut adalah di tempat jaminan yang wajar mengenai pencapaian
Dibungkuk pada tinjauan bagan organisasi tujuan dalam efektivitas dan efisiensi
dan dokumentasi lainnya Filosofi ERM operasi, keandalan pelaporan keuangan,
nampaknya ada di seluruh unit ramah di dan sesuai dengan hukum dan peraturan
enterpeneur anak perusahaan atau yang berlaku. Beberapa penjelasan
enterpeise unie untuk menentukan apakah mengenai Pengendalian Internal, yaitu :
tujuan perusahaan dan komponen risiko Pengendalian internal adalah suatu proses.
ada di tempat yang sesuai dengan Ini merupakan suatu cara untuk
kepatuhan AWTH dengan ERM wternal mengakhiri, tidak selesai dengan
tujuan untuk unit businesa yang dipilih sendirinya. Pengendalian internal tidak
Aksess coenplance dengan proses hanya didokumentasikan oleh kebijakan
olimpiade ERM memilih bisnis yang manual dan bentuk. Sebaliknya, ia

14
diletakkan dalam oleh orang-orang di
setiap tingkat organisasi. Pengendalian
Internal hanya dapat memberikan jaminan
yang wajar, bukan jaminan mutlak, untuk
sebuah entitas manajemen dan papan.
Pengendalian internal yang diarahkan
kepada pencapaian tujuan-tujuan dalam
satu atau lebih kategori terpisah tetapi
tumpang tindih.
COSO ERM Framework yang memiliki
delapan tujuan Komponen dan empat
kategori. Itu adalah perluasan dari COSO
Internal Control-Integrated Framework
yang diterbitkan pada tahun 1992 dan
diamandemen pada tahun 1994. Delapan
komponen - komponen tambahan adalah:
Lingkungan internal
Menetapkan tujuan
Identifikasi event
Risk Assessment
Respon risiko
Kegiatan pengawasan
Informasi dan Komunikasi
Pemantauan
Tujuan empat kategori komponen adalah:
Strategi - tujuan, dengan
mendukung misi organisasi .
Operasi - efektif dan efisien
penggunaan sumber daya
Laporan Keuangan - keandalan
operasional dan laporan keuangan
Compliance - sesuai dengan hukum
dan peraturan yang berlaku
Pengendalian internal merupakan bagian
integral dari manajemen risiko perusahaan.
Internal Auditor memainkan peran penting
dalam mengevaluasi proses manajemen
risiko organisasi advokasi yang terus
ditingkatkan. Namun, untuk melestarikan
organisasi independen dan obyektif itu,
Audit Internal standar profesional
menunjukkan fungsi yang seharusnya dan
tidak langsung mengambil tanggung jawab
untuk membuat keputusan manajemen
risiko bagi perusahaan atau mengelola
fungsi manajemen risiko.

15