paper kelompok ia2
Post on 21-Feb-2018
234 Views
Preview:
TRANSCRIPT
-
7/24/2019 Paper Kelompok IA2
1/33
UNIVERSITAS INDONESIA
Peran Internal Audit dalam Penilaian Internal Control
MAKALAH
Diajukan sebagai salah satu syarat untuk eenuhi tugas ata kuliah
Au!it Internal
HALAMAN JUDUL
Disusun "leh#
De$i Sartika Siagian % N&M '()*+,+-*'
Dhias Kristiant" D$i &rasety" % N&M '()*+,+-,)
.itri /ayanti Sitin!a"n % N&M '()*+,++0)
.l"ren1y Marbun% N&M '()*+,++*(
.re!!y S2 % N&M '()*+,++3*
Maulia De$i Anggraeni4N&M '()*+,+,'*
.AKULTAS EKONOMI
&RO5RAM STUDI S' EKSTENSI AKUNTANSI
/AKARTA
Se6teber -)'0
-
7/24/2019 Paper Kelompok IA2
2/33
Statement of Authorship
Kami yang bertanda tangan di bawah ini menyatakan bahwa makalah/tugas
terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain
yang kami gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk
makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa
kami menyatakan dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan dengan tujuan mendeteksi adanya plagiarisme.
Mata Ajaran : Audit Internal
Judul Makalah : Peran Internal Audit dalam Penilaian Internal Control
Tanggal : ! "eptember #$%
&osen : 'u(ti Julian
Anggota :
)ama )*M Tanda Tangan
&ewi "artika "iagian +$!,-,#!
&himas Kristianto &wi*rasetyo
+$!,-,#-$
itri Jayanti "itindaon +$!,-,,%$
lorency Marbun +$!,-,,!+
reddy ". +$!,-,,!
Maulia &ewi Anggraeni +$!,-,-!
#
-
7/24/2019 Paper Kelompok IA2
3/33
&ERAN INTERNAL AUDIT DALAM &ENILAIAN INTERNAL 7ONTROL
I. Internal Control Framework: The COSO Standard
*emahaman dan penerapan pengendalian internal yang e(ekti( adalah prinsip dasar
dalam audit internal. *engendalian internal yang digunakan dalam suatu entitas
merupakan (aktor yang menentukan laporan keuangan suatu entitas dapat
dipercaya atau tidak kebenarannya. 0leh karena itu1 sebelum auditor melaksanakan
audit secara mendalam atas in(ormasi yang tercantum dalam laporan keuangan1
auditor harus terlebih dahulu memahami pengendalian internal yang berlaku dalam
entitas tersebut. *emahaman memadai atas pengendalian internal harus diperoleh
auditor untuk dapat merencakan audit dan menentukan si(at1 saat dan lingkup
pengujian yang akan dilakukan.
*engendalian internal memiliki de2nisi yang tidak konsisten dari tahun ke tahunhingga diterbitkannya Committee of Sponsoring Organizations 340"05 internal
control framework. *ertama kali digunakan oleh auditor eksternal 6" dalam
penilaian pengendalian internal1 kemudian dijadikan standar dalam membangun
dan menyusun pengendalian internal dalam "arbanes708ley Act 3"o851 40"0
internal control framework beranjak menjadi standard dalam pembuatan dan
penilaian pengendalian internal yang mendunia.
40"0 internal control framework adalah tools yang penting dalam memahami
pengendalian internal dan menilai kepatuhan terhadap persyaratan pengendalian
internal menurut "08. 40"0 framework terdiri dari 40"0 internal control
framework dan 40"0 9M. Meskipun 40"0 9M terkesan mirip dengan 40"0
internal control framework1 namun kedua framework ini menjelaskan area dan
tujuan yang berbeda.
. Importance of Eective Internal Controls
*engendalian internal adalah salah satu konsep yang paling penting dan mendasar
dimana para pro(esional bisnis di segala tingkatan dan auditor baik eksternal
maupun internal harus memahaminya. *engertian pengendalian internal adalah
proses yang diimplementasikan oleh manajemen yang didesain untuk memberikan
keyakinan yang memadai atas:
in(ormasi keuangan maupun in(omasi kegiatan operasional yang handal dan
dapat dipercaya kepatuhan terhadap kebijakan dan rencana prosedural1 hukum1 aturan1 dan
peraturan pengamanan aset
e2siensi kegiatan operasional
+
-
7/24/2019 Paper Kelompok IA2
4/33
tercapainya misi1 sasaran dan tujuan perusahaan melalui kegiatan operasional
dan program yang telah ditetapkan integritas dan nilai7nilai etika
&e2nisi ini menyatakan bahwa pengendalian internal mencakup akuntansi dan
keuangan dan semua proses perusahaan. Institute o( Internal Auditor 3IIA5
memberikan pengertian ;pengendalian< yaitu:
Any action taken by management, the board, and other parties to manage risk and
increase the likelihood that established obecti!es and goals will be achie!ed"
#anagement plans, organizes, and directs the performance of su$cient actions to
pro!ide reasonable assurance that obecti!es and goals will be achie!ed%
Manajemen bertanggungjawab terhadap pembuatan dan penyusunan
pengendalian1 dan auditor internal menilai kee(ekti(an pengendalian tersebut serta
memberikan rekomendasi yang tepat atas pengendalian tersebut.
#. Internal Controls Standards: backgrond
=ingga tahun >-$an1 pengertian pengendalian internal belum mendapatkan
kesepakatan yang konsisten. *engertian pertama kali berasal dari American
Institute of Certi&ed Accountants 3AI4*A5 dan setelah mengalami beberapa kali
perubahan1 dalam Statement on Auditing Standards3"A" )o.51 AI4*A memberikan
de2nisi:
Internal control comprises the plan of enterprise and all of the coordinate methods
and measures adopted with a business to safegard its assets! check the
accrac" and reliabilit" of its acconting data! promote operationale#cienc"! and encorage adherence to prescribed managerial policies"
*engertian tersebut kemudian dimodi2kasi dengan menambahkan komponen
pengendalian administrasi dan keuangan. Meski pengertian pengendalian internal
telah diubah1 namun penginterpretasiannya selalu disesuaikan sepanjang tahun
berjalan. ?eberapa tahun belakangan AI4*A menekankan bahwa sistem
pengendalian internal lebih luas dari sekadar hubungan langsung atas pengendalian
akuntansi1 laporan keuangan1 dan pengendalian administrati(.
a. Internal control de$nition : Foreign Corrpt %ractices &ct of '())
*eriode >>,7>> adalah suatu masa gejolak sosial dan politik yang besar diAmerika "erikat yang akhirnya menghasilkan 'oreign Corrupt Practices Act
34*A5 pada tahun >. 4*A melarang penyuapan kepada pegawai asing
3non7Amerika "erikat5 dan juga berisi ketentuan yang mengharuskan adanya
pemeliharaan atas pencatatan dan pembukuan yang akurat sebagai bagian
dari sistem pengendalian akuntansi internal. &engan penerapan ketentuan ini
di seluruh perusahaan terda(tar di "941 peraturan 4*A ini memberi dampak
,
-
7/24/2019 Paper Kelompok IA2
5/33
baik bagi auditor eksternal dan internal karena melalui ketentuan tersebut
4*A mengharuskan perusahaan:7 Membuat dan menyimpan pembukuan1 pencatatan1 dan penghitungan7 Menemukan dan memlihara sebuah sistem pengendalian akuntansi yang
cukup menyediakan jaminan yang layak7 Adanya pembatasan akses ke asset7 *encatatan pertanggungjawaban atas asset dapat dibandingkan dengan
asset yang ada dalam suatu inter@al yang masih wajar dan kepedulian
terhadap adanya suatu perbedaan
4*A sangat penting karena merupakan aturan pertama yang mengharuskan
manajemen untuk menyusun pertanggungjawaban atas system pengendalian
akuntansi yang memadai. "elanjutnya 4*A mengharuskan perusahaan
untuk memperhatikan pencatatan yang akurat atas transaksi perusahaan
secara detail dan wajar. Tujuannya agar pencatatan7pencatatan tersebut
dapat mereeksikan kesesuaian transaksi dengan metode7metode yang
dapat diterima dan pencatatan kejadian ekonomis1 pencegahan Bslush (undCdan adanya pembayaran suap.
b. FC%& &ftermath : *hat +appened,
*elaksanaan 4*A tidak berjalan sebagaimana yang diharapkan. Atas
pembukuan yang telah dilakukan perusahaan tidak ada yang datang untuk
melakukan pemeriksaan atas proses dokumentasi yang telah dilaksanakan
oleh perusahaan. )amun sekarang ini semakain banyaknya peraturan anti7
korupsi dan anti7penyuapan merujuk pada ketentuan dalam 4*A1 sehingga
dapat dikatakan bahwa 4*A memiliki peran penting atas e(ekti@itas suatu
pengendalian internal1 walau pada tahun tersebut 3>5 belum terdapatpengertian yang konsisten atas pengendalian internal.
3. Events -eading to the Treadwa" Commission
*ada akhir >$7an e8ternal auditor hanya melaporkan1 bahwa pengendalian
internal suatu perusahaan Bdisajikan wajarC1 tanpa membuktikan apakah
dokumentasi dari pelaksanaan pengendalian internal tersebut telah sesuai dengan
standar pelaporan pengendalian internal yang dipersyaratkan oleh 4*A. =al ini
menjadi ambigu mengingat tidak ada penjelasan yang konsisten atau jelas tentang
de2nisi pengendalian internal yang baik. Menanggapi hal ini1 "94 telah melakukan
penelitian selama lebih dari $ tahun untuk menyusun de2nisi yang lebih baik atas
pengendalian internal dan pertanggungjawaban dengan laporan atas kegiatan
pengendalian tersebut.
*ada tahun >,1 AI4*A membentuk komisi tingkat tinggi yang bernama
4ommission on Auditor
-
7/24/2019 Paper Kelompok IA2
6/33
laporan keuangannya. =al ini menuai banyak kritik khususnya dari auditor
eksternal. "ehubungan dengan peran mereka dalam menguji kewajaran laporan
keuangan1 rekomendasi ini menjadi potensi kewajiban auditor eksternal. Dang
menjadi permasalahan buat auditor eksternal adalah tidak adanya standar
pengendalian internal yang baik. "etiap perusahaan mempunyai keunikan tersendiri
sehingga auditor eksternal dalam memberikan pernyataan atas pengendalianinternal suatu perusahaan harus menyesuaikan. 'ebih lanjut lagi apabila auditor
eksternal setuju pendendalian internal suatu perusahaan baik1 ditakutkan ke
depannya terjadi permasalahan sehubungan dengan pengendalian internalnya.
*ada tahun >$1 The inancial 98ecuti@e International 39I51 yang
merepresentasikan eksekuti( keuangan perusahaan senior menyetujui dan
mengesahkan rekomendasi dari 4ohen 4ommission1 yaitu perusahaan harus
membuat management letter tentang pengendalian internal di perusahaan.
*enerapannya tidak harus memenuhi (ormulir7(ormulir tertentu1 hanya berdasarkan
intepretasi masing7masing perusahaan tentang pengendalian internal yang baik.
Menanggapi hal ini1 auditor eksternal pra "081 menggunakan negat!e assurancedengan kata7kata
-
7/24/2019 Paper Kelompok IA2
7/33
b. Treadway Committee Report
*ada akhir >$an dan awal >-$an1 banyak perusahaan yang gagal akibat inasi
dan suku bunga yang tinggi. "elain itu masalah yang mengakibatkan kegagalan
ekonomi adalah kecurangan dalam penyajian laporan keuangan. Menanggapi hal
ini1 % organisasi pro(essional yaitu the IIA1 AI4*A1 9I1 American Accounting
Association 3AAA5 dan Institute o( Management Accountants 3IMA5 membentuk)ational 4ommission on raudulent inancial eporting yang kemudian disebut
Treadway 4ommission. Treadway 4ommission bertugas untuk mengidenti2kasi
(aktor7(aktor penyebab kecurangan penyajian laporan keuangan dan memberikan
rekomendasi untuk mengurangi potensi terjadinya kecurangan tersebut. 'aporan
dari Treadway 4ommission dirilis pada tahun >- yang di dalamnya termasuk
rekomendasi terhadap manajemen1 dewan direksi1 kantor akuntan publik dan
lainnya. )amun lagi7lagi ada kekurangan dari inkonsistensi atas de2nisi
pengendalian internal yang baik. 6saha untuk mende2nisikan pengendalian internal
sampai dengan tahun #$$$ an dan menghasilkan 40"0 internal control (ramework
yang akan dibahas pada sesi berikutnya.
4. Keran!a Ker"a Penendalian Internal C#S#
6ntuk menindaklanjuti rekomendasi dari )readway Commision1 40"0
mengembangkan studi tentang sebuah model untuk menge@aluasi pengendalian
internal. *ada tahun >>#1 diperkenalkan sebuah BCOSO Internal Control
'rameworkC yang akhirnya menjadi sebuah pedoman bagi para eksekuti(1 dewan
direksi1 regulator1 penyusun standar1 organisasi pro(esi1 dan lainnya sebagai
kerangka kerja yang komprehensi( untuk mengukur e(ekti2tas pengendalian internal
mereka.
*ada tahun >-% didirikan )he Committee of Sponsoring Organizations of the
)readway Commission*syang merupakan aliansi dari organisasi pro(esi seperti :
- 'inancial +ecuti!es International -'+I.
- )he American Accounting Association -AAA.
- )he American Institute of Certi&ed Public Accountants -AICPA.
- )he Institute of Internal Auditors -IIA.
- )he Institute of #anagement Accountants -I#A. / -'ormaly the 0ational
Association of Accountants.
-
7/24/2019 Paper Kelompok IA2
8/33
&e2nisi *engendalian Internal 40"0 adalah suatu proses1 yang dipengaruhi oleh
dewan komisaris1 manajemen1 dan personil lainnya dari sebuah entitas1 yang
dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam e(ekti@itas dan e2siensi operasi1 keandalan laporan
keuangan1 dan kepatuhan terhadap hukum dan peraturan yang berlaku
COSO Internal Control Framework
40"0 mengidenti2kasi "istem *engendalian Internal yang e(ekti( meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas1
yaitu:
'. $in!%nan Penendalian &Control Environment'
Merupakan pondasi dari komponen pengendalian internal lainnya. 'ingkungan
pengendalian meliputi beberapa (aktor di antaranya :
a" Integritas dan 9tika 3integrity and ethical !alue.
Auditor internal harus dapat memahami nilai etika di perusahaan di mana
mereka bekerja. Apabila mereka melihat bahwa dalam perusahaan tidak ada
nilai etika yang legal1 hal tersebut mengindikasikan bahwa tidak ada peraturan
legal yang ditetapkan oleh manajemen dalam mengatur tingkah laku para
pegawainya. Jika hal tersebut terjadi1 auditor internal perlu mengingatkan
manajemen untuk dapat menyusun dan menetapkan nilai etika perusahaan.
b" Komitmen untuk meningkatkan kompetensi 3commitment to competence.
Auditor internal dapat menge@aluasi terhadapt orang yang memegang posisi
atau jabatan di perusahaan. &ari e@aluasi tersebut1 auditor internal dapat
menilai apakah posisi tersebut diduduki oleh orang yang tepat. Auditor internal
juga perlu memastikan bahwa manajemen telah menyusun kerangkakompetensi atas sebuah posisi atau jabatan di perusahaan.
c" &ewan komisaris dan komite audit 31oard of 2irect and Audit Commitee.
-
-
7/24/2019 Paper Kelompok IA2
9/33
&ewan komisaris dan komite audit yang akti( dan independen merupakan
komponen utama dalam lingkungan pengendalian. "ebelum "081 jabatan
dewan komisaris dan komite audit didominasi oleh senior manajemen pihak
yang mempunyai kepentingan tanpa melihat kepentingan pemilik saham
minoritas.
d" iloso2 manajemen dan jenis operasi 3management philasophy and operatingstyle.
iloso2 dan gaya manajemen akan berdampak pada lingkungan pengendalian
yang akan dibuat. Terdapat manajemen yang sangat perhatian isu perpajakan1
pelaporan akuntansi yang sesuai dengan peraturan yang berlaku. Auditor
internal harus menjadikan 2loso2 dan gaya operasi manajemen sebagai bahan
pertimbangan dalam menilai e(ekti@itas pengendalian internal perusahaan.
e" "truktur organisasi 3organization structur.
"truktur organisasi membantu manajemen dalam membuat perencanaan1
pelaksanaan1 pengendalian1 dan pengawasan pengendalian internal. "truktur
organisai ditentukan sesuai dengan tujuan perusahaan. &engan ini akan lebihmemperjelas pembagian tanggung jawab dan wewenang dari masing7masing
indi@idu.
f" *embagian wewenang dan tanggung jawab 3assignment authority and
responsibility.
&engan pembagian wewenang dan tanggung jawab yang jelas akan lebih
mudah diketahui siapa yang yang bertanggung jawab kepada siapa1 serta
menghindari tumpang tindih wewenang dan tanggung jawab sehingga dapat
terhindarkan konik antarindi@idu maupun antarunit dalam perusahaan. Auditor
internal dapat menge@aluasi apakah kegiatan operasional perusahaan telah
dilakukan.
g" Kebijakan dan praktek sumber daya manusia 33uman resources policy and
practice.
Kebijakan dan praktek sumber daya manusia terbagi dalam ruang lingkup
sebagai berikut:
ecruitment and hiring
)ew employee orientation
9@aluation1 promotion1 and compensation
&isciplinary actions
. Penilaian Risi!o &/isk &ssessment'
&alam mencapai tujuan perusahaan1 terdapat (aktor baik internal maupun eksternalyang dapat menjadi kendala. 0leh karena itu diperlukan proses untuk mengenali1
memahami1 dan mengelola (aktor7(aktor yang berpotensi untuk menjadi
risiko.*roses penilaia risiko sebaiknya dilakukan oleh seluruh le@el untuk seleruh
akti@itas perusahaan1 yang terdiri dari + tahap1 yaitu:
a. Mengidenti2kasi signikasi dari risikob. Melakukan penilaian kemungkinan terjadinya risiko1c. Menyusun cara mengelola dan menilai risiko
>
-
7/24/2019 Paper Kelompok IA2
10/33
?eberapa perspekti( yang menjadi dasar pertimbangan dalam melakukan penilaian
risiko menurut 40"0 adalah:
a" isiko yang disebabkan oleh (aktor eksternal1 seperti perkembangan teknologi1
persaingan1 dan perubahan ekonomi.b" isiko yang disebabkan oleh (aktor internal1 seperti kompetensi karyawan1 si(at
dari akti@itas bisnis1 dan karakteristik pengelolaan sistim in(ormasi.c" Speci& acti!ity4le!el risks1 bidang pemasaran1 IT1 dan &nance"
"eringkali manajemen melakukan proses penilaian risiko yang kurang tajam1
sehingga diperlukan peran auditor internal untuk melakukan re@iew dan membantu
manajemen untuk melakukan penilaian risiko.
0. A!ti(itas Penendalian &Control &ctivities'
Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. &alam kerangka pengendalian internal 40"01 akti@itas ini digolongkan
menjadi:
a. e@iew atas akti@itas manajemen dari internal auditor yang dilakuakan oleh top7
le@el dengan membandingkan pada rencana1 anggaran1 dan benchmark.b. Akti@itas koreksi atas indikasi masalah dari pengendalian internal.c. *emrosesan in(ormal yang diintegrasikan dengan sistem pengendalian internal.d. *engendalian atas aset peusahaan secara 2sik.e. *enerapan indikator penilaian yang merupakan dasar analisis atas masalah dari
pengendalian internal.(. *emisahan tugas dan wewenang.
Akti@itas pengendalian dilakukan berdasarkan penilaian risiko yang telah dilakukan.
0leh karena itu1 penilaian risiko harus dire@iu secara berkala.
1. Kom%ni!asi dan in)ormasi &Commnications and Information2
&alam kerangka pengendalian internal 40"01 komunikasi dan in(ormasi bukanlahsatu le@el dalam pengendalian internal1 melainkan sebuah proses yang meliputi
keseluruhan kerangka. In(ormasi yang rele@an harus dikon2rmasikan kepada
seluruh pihak dalam organisasi secara tepat waktu.
Kriteria kualitas in(ormasi untuk mendukung pengendalian internal1 antara lain:
a" Keseuaian data dari in(ormasib" In(ormasi tepat waktu dan tersedia jika dibutuhkanc" In(ormasi selalu updated" Kebenaran dan akurasi in(ormasie" Akses terhadap in(ormasi
0rganisasi juga harus menyusun suatu prosedur yang e(ekti( untuk
mengkomunikasikan in(ormasi tersebut kepada pihak internal dan eksternal. *ihakinternal memerlukan in(ormasi untuk mengetahui batasan dalam bertindak baik
dikomunikasikan secara normal maupun con2dental. "ama dengan halnya
komunikasi dengan pihak eksternal 3pelanggan1 pemasok1 pemegang saham1 bank1
pembuat kebijakan51 komunikasi yang baik akan membantu organisasi dalam
menidenti2kasi potensi risiko dari (aktor eksternal dan bagaimana cara
menanggulanginya.
$
-
7/24/2019 Paper Kelompok IA2
11/33
3. Penawasan &4onitoring'
Karena *engendalian Internal harus dilakukan sepanjang waktu1 maka 40"0
menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap
keseluruhan "istem *engendalian Internal melalui akti@itas yang berkelanjutan dan
melalui e@aluasi yang ditujukan terhadap akti@itas atau area yang khusus.
Kegiatan pengawasan yang dapat dilakukan oleh perusahaan antara lain:a" Ongoing monitoring
0perating management normal (unctions1 segera melakukan tindakan
perbaikan ketika kegiatan normal perusahaan mengalami kondisi
pengecualian.
Komunikasi dengan pihak eksternal1 seperti keluhan dari pelanggan harus
dikelola dengan baik.
Akti@itas pengawasan oleh super@isor secara hirearki.
ekonsiliasi aset secara 2sik.
b" Separate internal control e!aluation
*engawasan dan e@aluasi atas pengendalian internal yang dilakukan secara
periodik.
II. /isk 4anagement: COSO E/4
Ada perubahan ketika Committee of Sponsoring Organizations 340"05 merilis
metodologi risiko perusahaan menjadi ormat COSO +nterprise (isk #anagement
340"0 9M5 yaitu pendekatan yang memungkinkan suatu perusahaan dan audit
internal mempertimbangkan dan menilai risiko di semua tingkatan1 baik di daerah
masing7masing 3seperti: proyek pengembangan teknologi in(ormasi 3TI55 atau dalam
risiko global berkaitan dengan perluasan internasional. &irilis oleh badan bimbingan
pengaturan yang sama dengan 40"0 tentang bagaimana mengembangkan danmemelihara kerangka pengendalian internal 40"01 40"0 9M kadang7kadang
tampak seperti saudara kontrol internal1 tetapi memiliki banyak nuansa dan
pendekatan yang berbeda.
*emahaman tentang pendekatan penilaian risiko dan manajemen risiko secara
keseluruhan1 dengan penekanan pada 40"0 9M sebaiknya ada common body of
knowledge 34?0K5 dalam setiap auditor internal. ?ab ini membahas dasar7dasar
manajemen risiko1 pengenalan 40"0 9M1 dan menyajikan teknik audit internal
untuk memahami dan menilai risiko di banyak daerah1 mulai dari memilih daerah
untuk meninjau hingga menge@aluasi risiko sebagai bagian dari tinjauan audit
internal.
*. Ris! +anaement ,%ndamental
Ketika *erusahaan menghadapi berbagai risiko perlu beberapa alat untuk memilah7
milah semuanya dalam rangka untuk membuat biaya yang rasional dan keputusan
terkait risiko. Ini adalah proses manajemen risiko. "ementara beberapa dalam bisnis
saat ini hanya menilai suatu daerah tinggi1 sedang1 atau rendahnya risiko dan
-
7/24/2019 Paper Kelompok IA2
12/33
kemudian membuat keputusan asuransi atau perlindungan risiko yang cepat
berdasarkan pilihan tersebut. sedangkan yang lainnya menggunakan alat kualitati(
atau kuantitati( yang lebih canggih untuk memahami dan menge@aluasi risiko.
?erikut beberapa sur@ei dasar pendekatan manajemen risiko modern dengan tujuan
membantu membuat prosedur manajemen risiko perusahaan lebih e(ekti( dalam
suatu perusahaan. "ebuah proses manajemen risiko yang e(ekti( memerlukanempat langkah1 yaitu: 35 identi2kasi risiko1 3#5 penilaian kuantitati( atau kualitati(
terhadap dokumentasi risiko1 3+5 prioritas risiko dan respon perencanaan1 3,5 dan
pemantauan risiko.
9mpat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkat
perusahaan denga partisipasi banyak orang yang berbeda. Apakah perusahaan kecil
yang beroperasi di wilayah geogra2s yang terbatas atau bahkan yang lebih besar
3perusahaan di seluruh dunia5 pendekatan manajemen risiko harus dikembangkan
untuk seluruh perusahaan.
a. Ris! Identi-ationManajemen berusaha mengidenti2kasi semua risiko yang mungkin dapat
mempengaruhi keberhasilan perusahaan1 mulai dari yang lebih besar atau bisnis
yang secara keseluruhan lebih signi2kan terhadap risiko ke risiko yang kurang
penting dimana terkait dengan proyek7proyek indi@idu atau unit bisnis yang lebih
kecil. *roses identi2kasi risiko merupakan pendekatan yang disengaja agar dapat
melihat potensi risiko di setiap daerah operasi dan kemudian mengidenti2kasi area
risiko yang lebih signi2kan yang dapat mempengaruhi setiap operasi dalam jangka
waktu yang wajar.
Ide pendekatan ini adalah untuk menguraikan beberapa tingkat risiko yang tinggi
Fstraw manF 3orang7orang yang dipercaya5 yang dapat mempengaruhi berbagai unit
operasi. 0rang berpengetahuan melihat dan memperluas da(tar ini sesuai dengan
modi2kasi mereka. 98hibit !. menunjukkan beberapa jenis risiko utama yang dapat
mempengaruhi perusahaan termasuk berbagai risiko strategis1 operasi1 dan
keuangan. Ini adalah jenis da(tar 490 tingkat tinggi yang mungkin bisa digunakan
oleh pemegang saham sebagai pertanyaan umum pada pertemuan tahunan F
5hat worries you at the end of the dayGF Meskipun tidak mencantumkan semua
risiko yang dihadapi perusahaan1 da(tar pertama ini dapat digunakan untuk
memulai rincian identi2kasi risiko. Manajemen senior tingkat 490 perusahaan dapat
bertemu dengan sta(nya dan menanyakan beberapa hal FApa yang
mengkhawatirkanmu ...F jenis pertanyaan ini untuk mengidenti2kasi risiko.
Tabel !. Jenis7Jenis isiko *erusahaan
#
-
7/24/2019 Paper Kelompok IA2
13/33
*ada Tabel !. dia atas disajikan beberapa model risiko secara umum. Model
risiko pada le@el yang lebih tinggi dapat digunakan sebagai dasar untuk
menentukan risiko yang lebih spesi2k pada berbagai unit perusahaan dengan
memperluas da(tar yang lebih lengkap dalam pengidenti2kasian risiko.Tim manajemen perusahaan harus memulai da(tar yang lebih lengkap tentang
potensi7potensi risiko perusahaan dengan pertanyaan sebagai berikut: Apakah risiko umum yang terjadi di perusahaan secara keseluruhan atau
risiko khusus yang terjadi di satu kelompok bisnisG
Apakah perusahaan menghadapi risiko ini karena (aktor internal atau
melalui peristiwa eksternalG
Apakah risiko berkaitan1 misalnya satu risiko dapat menyebabkan
terjadinya risiko lainG
+
-
7/24/2019 Paper Kelompok IA2
14/33
b.5e" /isk &ssessments'angkah berikutnya pada proses identi2kasi risiko adalah menilai kemungkinan
dan signi2kansi yang relati(. ?erbagai pendekatan yang digunakan mulai dari
pendekatan kualitati( pada beberapa rincian hingga pendekatan kuantitati( pada
analisis yang sangat matematis. Ide ini membantu memutuskan mana darirangkaian acara tersebut yang berpotensi berisiko memberikan kekhawatiran
pada manajemen. Manajer harus bertanggung jawab menilai risiko ini dengan
menggunakan pendekatan kuesioner:
?agaimana kemungkinan terjadinya risiko ini selama periode satu tahun ke
depanGMenggunakan skor 7>1 menetapkan nilai terbaik melalui tebakan sebagai
berikut:"kor jika Anda melihat hampir tidak ada kesempatan 3almost no
chance5 terjadinya risiko selama periode tersebut."kor > jika Anda merasa acara tersebut hampir pasti akan terjadi
3almost certainly happen5 selama periode tersebut."kor # sampai - tergantung pada bagaimana Anda merasa
kemungkinan berada di antara dua rentang tersebut.
Apa signi2kansi risiko biaya pada perusahaan secara keseluruhanG "ekali
lagi menggunakan skala 7>1 rentang skor harus ditetapkan tergantung
risiko yang signi2kan pada keuangan. "ebuah risiko yang dapat
menurunkan biaya laba per saham dengan kemungkinan sen mungkin
dapat memenuhi syarat untuk skor maksimum >.
-i. Probability and 6ncertainty
Ketika sejumlah besar risiko telah diidenti2kasi1 manajemen harus
memikirkan perkiraan kemungkinan risiko indi@idu dan kejadian dalam dua
digit probabilitas berkisar antara $1$ sampai $1>>. entang nilai tersebut
menunjukkan bahwa risiko tidak pernah memiliki kesempatan $ 3tidak ada
,
-
7/24/2019 Paper Kelompok IA2
15/33
risiko5 atau $$H 3pasti terjadi5. ?agaimanapun juga1 proses penilaian risiko
yang akurat tidak hanya diukur berdasarkan perkiraan yang dinyatakan
dalam rentang angka s.d. > atau dengan persentase. Manajemen
perusahaan harus melihat risiko yang teridenti2kasi dan mengumpulkan
in(ormasi lebih lanjut jika diperlukan.
-ii. (isk Interpendencies
&alam sebuah perusahaan seringkali risiko sangat saling bergantung satu
sama lain. "etiap unit operasi bertanggung jawab dalam mengelola risiko
sendiri tetapi mungkin saja menerima konsekuensi atas risiko yang terjadi
pada unit diatas atau dibawahnya dalam struktur organisasi.
-iii. (isk (anking
"ebuah perusahaan yang memiliki kekhasan mungkin akan menghasilkan
da(tar potensi risiko yang sangat panjang. 'angkah berikutnya yang perlu
dilakukan adalah menggunakan perkiraan tentang signi2kansi dankemungkinan 3likelihood5 yang telah dibuat1 menghitung peringkat risiko1 dan
kemudian mengidenti2kasi risiko yang paling signi2kan. Meskipun kita tidak
pernah bisa memprediksi konsekuensi utama dari risiko1 suatu perusahaan
harus selalu menyadari bahwa bencana terburuk bisa saja terjadi.
. /%antitati(e Ris! Analysis7. +pected 8alues and (esponse Planning
&iperlukan sedikit nilai dalam mengidenti2kasi risiko yang signi2kan
kecuali perusahaan telah merencanakan di awal berupa tindakan yang
diperlukan jika salah satu risiko terjadi. Ide ini memperkirakan dampak
biaya yang terjadi dari beberapa risiko yang telah diidenti2kasi dankemudian menerapkan biaya untuk probabilitas (aktor risiko untuk
menurunkan nilai yang diharapkan atau menurunkan biaya risiko. isiko
tersebut mahal jika terjadi namun juga mahal untuk melindunginya.9. (isk #onitoring
Mengidenti2kasi risiko utama tidak pernah bisa dilakukan sendiri dalam
suatu proses waktu. 'ingkungan disekitar risiko yang telah
diidenti2kasikan segera berubah karena kondisi sekitarnya berubah. 6ntuk
beberapa risiko1 kondisi dapat berubah sedemikian rupa sehingga risiko
menjadi ancaman yang lebih besar. *roses pemantauan yang akurat
merupakan komponen penting dari manajemen risiko. "uatu perusahaan
mungkin telah melalui proses yang rumit dalam mengidenti2kasi risikoyang signi2kan1 namun status risiko perlu dipantau secara teratur dan
apabila diperlukan maka dibuat perubahan atas risiko yang telah
diidenti2kasi tersebut.
0. COSO E/4: Enterprise /isk 4anagement
%
-
7/24/2019 Paper Kelompok IA2
16/33
COSO4Interprise (isk #anagement adalah suatu kerangka kerja yang membantu
perusahaan untuk memiliki de2nisi yang konsisten terhadap risiko yang dimiliki. Ini
juga merupakan alat penting bagi pemahaman dan dan meningkatkan
pengendalian internal "o8. 40"0 9M diluncurkan pada cara yang sama dengan
pengembangan pengendalian internal framework COSO. &okumen kerangka 40"0
9M mende2nisikan manajemen risiko perusahaan sebagai berikut:
B+nterprise (isk #anagement adalah sebuah proses yang dipengaruhi oleh 1oard of
2irector perusahaan, manaemen dan personil lainnya yang diterapkan dalam
pembuat kebiakan di seluruh perusahaan yang dirancang untuk mengidenti&kasi
keadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar
berada dalam risk appetite untuk memberikan keyakinan tentang pencapaian
tuuan entitas.C
Adapun pertimbangan poin kunci yang mendukung kerangka kerja 40"0 9M ini
adalah:
ER+ adala1 proses. "uatu perusahaan sering tidak dapat menentukan aturan
manajemen risiko melalui buku peraturan kecil yang diselenggarakan.
"ebaliknya harus ada serangkaian langkah yang didokumentasikan untuk
meninjau dan menge@aluasi potensi risiko dan mengambil tindakan berdasarkan
berbagai (aktor di seluruh perusahaan.
Proses ER+ dila!sana!an ole1 oran2oran di dalam per%sa1aan. *roses
manajemen risiko harus dikelola oleh orang7orang yang cukup dekat dengan
kondisi risiko agar dapat memahami berbagai (aktor sekitar risiko termasuk
implikasinya.
ER+ diterap!an melal%i penat%ran stratei di per%sa1aan seara
!esel%r%1an. "etiap perusahaan terus dihadapkan dengan startegi alternati(mengenai macam potensi tindakan di masa depan. 6ntuk itu 9M harus
diterapkan di seluruh perusahaan dengan menggunakan jenis pendekatan
porto(olio yang memaduka mi of high4and low4risk acti!ities"
Konsep risk appetite1ar%s dipertimban!an. (isk appetiteadalah umlah
risiko pada le!el board1 diaman suatu perusahaan dan manajer bersedia
menerima dan mencari nilai. (isk appetite dapat diukur dalam arti kualitati(
dengan melihat risiko dalam kategori: tinggi1 sedang1 atau rendah.
alam menapai t%"%an1 9M memberikan keyakinan memadai bukan
jaminan pasti. Meskipun manajemen proses 9M e(ekti(1 perushaan dapat
mengalami peristiwa bencana maor dan benar7benar tak terduga. Keyakinan
yang memadai tidak menyediakan jaminan mutlak.
ER+ diranan %nt%! membant% menapai t%"%an. Melalui manajemen1
sebuah perusahaan harus bekerja untuk membangun tujuan umum high4le!el
yang dapat digunakan bersama oleh semua pemangku kepentingan. *rogram
9M keseluruhan perushaaan harus membantu mencapai tujuan tersebut.
!
-
7/24/2019 Paper Kelompok IA2
17/33
0. Elemen elemen !%ni C#S# ER+
Kerangka pengendalian internal 40"01 seperti yang ditunjukkan dalam gambar di
bawah ini telah menjadi Model bagi seluruh dunia untuk menggambarkan dan
mende2nisikan pengendalian internal. ambar di bawah ini menunjukkan
(ramework 40"0 9M sebagai kubus tiga dimensi dengan komponen sebagaiberikut :
9mpat kolom @ertikal mewakili tujuan strategis dari risiko perusahaan.
&elapan baris horiontal atau komponen risiko.
?eberapa tingkatan untuk menggambarkan le@el unit perusahaan1 dari tingkat
entitas kantor pusat ke anak perusahaan indi@idu. Tergantung pada ukuran
organisasi1 akan ada banyak irisan model di sini.
Tujuan dari kerangka kerja 9M ini adalah untuk memberikan model bagi
perusahaan untuk mempertimbangkan dan memahami risiko yang berhubungan
dengan kegiatan di semua tingkat serta bagaimana dampak komponen risiko ini
satu sama lain. Karena diagram kerangka 40"0 9M terlihat sangat mirip dengan
kerangka pengendalian internal 40"0 yang telah akrab bagi banyak auditor internal
dalam beberapa tahun terakhir dan tentu setelah "081 beberapa terkadang salah
melihat 40"0 9M hanya sebagai pembaruan ke kerangka pengendalian internal
40"0. )amun1 40"0 9M memiliki tujuan dan kegunaan yang berbeda. 40"0 9M
tidak seharusnya dianggap hanya sebagai @ersi baru dan perbaikan atau re@isi dari
kerangka pengendalian internal 40"01 namun harus lebih dari itu. ?erikut ini garis
besar kerangka ini dari perspekti( komponen risiko.
-
7/24/2019 Paper Kelompok IA2
18/33
3a5 Komponen 'ingkungan internal
?ila melihat bagian depan kubus 40"0 9M1 ada delapan tingkat1 dengan
lingkungan internal yang terletak di bagian atas kerangka 9M. "ebaliknya1 dalam
kerangka 40"0 pengendalian internal1 (aktor pengendalian lingkungan ditempatkan
di tingkat dasar. 'ingkungan internal dapat dianggap sebagai batu penjuru untuk
40"0 9M. Tingkat ini mende2nisikan dasar untuk semua komponen lain dalammodel 9M suatu perusahaan1 mempengaruhi bagaimana strategi dan tujuan harus
ditetapkan1 bagaimana risiko terkait kegiatan usaha terstruktur1 dan bagaimana
risiko diidenti2kasi dan cara menindaknya. Komponen lingkungan internal 40"0
9M terdiri dari unsur7unsur:
iloso2 manajemen risiko
Ini adalah sikap bersama dan keyakinan yang menjadi ciri bagaimana
perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya.
'ebih dari hanya sekedar pesan dalam kode etik1 2loso2 manajemen risiko adalah
sikap yang harus memungkinkan para pemangku kepentingan di semua
tingkatan untuk merespon proposal berisiko tinggi dengan jawaban menerimaatau tidak.
(isk appetite3"elera esiko5
"elera resiko adalah jumlah risiko yang bersedia diterima suatu perusahaan
dalam mengejar tujuannya. "elera untuk risiko dapat diukur dari segi kuantitati(
atau kualitati(1 tetapi semua tingkatan manajemen harus memiliki pemahaman
umum tentang selera resiko keseluruhan perusahaan mereka.
"ikap &ireksi
&ewan direksi dan komitenya memiliki peranan yang sangat penting dalam
mengawasi dan membimbing lingkungan risiko suatu perusahaan. 0rang yang
Independen1 diluar direktur khususnya harus mecermati tindakan manajemen1
mengajukan pertanyaan yang tepat1 dan ber(ungsi sebagai kontrol check7dan7
balance untuk perusahaan.
Integritas dan nilai etika
6nsur lingkungan internal 9M yang penting ini membutuhkan lebih dari sekedar
kode etik yang diterbitkan maupun1 berpikir diluar pernyataan misi dan integritas
standar. =al hal tersebut membantu untuk membangun budaya yang kuat
untuk memandu perusahaan1 di semua tingkatan1 membantu untuk membuat
keputusan berdasarkan resiko.
Komitmen untuk kompetensi
Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan
untuk melakukan tugas yang diberikan. Manajemen memutuskan bagaimanatugas7tugas penting akan dicapai melalui pengembangan strategi dan
menempatkan orang yang tepat untuk melakukan hal tersebut. &engan
komitmen yang kuat untuk kompetensi1 manajer di semua tingkatan harus
mengambil langkah7langkah untuk mencapai tujuan yang mereka janjikan.
"truktur organisasi
-
-
7/24/2019 Paper Kelompok IA2
19/33
*erusahaan harus mengembangkan struktur organisasi dengan garis wewenang1
tanggung jawab1 dan pelaporan yang tepat. "etiap pro(esional telah melihat
situasi di mana sebuah organisasi tidak memiliki jalur komunikasi yang sesuai.
Tugas wewenang dan tanggung jawab
Komponen 9M ini mengacu pada sejauh mana wewenang dan tanggung jawab
ditugaskan atau didelegasikan. Tren di banyak perusahaan saat ini adalah untukmendorong persetujuan otoritas tanggung jawab pada bagian bawah bagan
organisasi1 memberikan tingkat yang lebih rendah dan bahkan pada karyawan lini
pertama otorisasi dan otoritas persetujuan yang lebih besar. Tren terkait telah
meratakan organisasi dengan menghilangkan tingkat manajemen menengah.
"truktur ini biasanya mendorong kreati@itas karyawan1 waktu respon lebih cepat1
dan kepuasan pelanggan yang lebih besar.
"tandar sumber daya manusia
*raktek mengenai perekrutan karyawan1 pelatihan1 kompensasi1 promosi1
mendisiplinkan1 dan semua tindakan lainnya memberikan pesan tentang apa
yang disukai1 ditoleransi1 dan terlarang. Ketika manajemen mengedipkan mata
atau mengabaikan pada beberapa kegiatan di area abu abu daripada
mengambil sikap yang kuat1 pesan tersebut biasanya secara in(ormal dan cepat
dikomunikasikan kepada orang lain. "tandar yang kuat diperlukan untuk
memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan
kepada semua pemangku kepentingan dan ditegakkan.
&ua komponen lingkungan internal 40"0 9M1 2loso2 manajemen risiko
perusahaan dan selera relati( dari risiko1 memberikan asupan bagi unsur7unsur lain
dari Kerangka 9M 40"0. "ementara 2loso2 manajemen risiko dibahas dalam hal
sikap dewan direksi dan kebijakan sumber daya manusia1 selera risiko sering
menajadi ukuran yang lebih halus1 jika suatu perusahaan telah menetapkan bahwa
selera resiko akan menerima beberapa risiko tetapi menolak hal hal lain dalam hal
kemungkinan dan dampaknya. ambar di bawah ini menunjukkan peta resiko.
*erusahaan harus mengenali pada range yang mana perusahaan bersedia
menerima risiko dalam hal kemungkinan dan dampaknya. ambar di bawah ini
menyatakan bahwa perusahaan mungkin bersedia untuk terlibat dalam proyek7
negati(7yang memiliki dampak tinggi jika ada kemungkinan rendah terjadinya hal
tersebut. "uatu perusahaan kadang7kadang juga akan memiliki selera yang lebih
besar untuk usaha yang lebih berisiko jika ada potensi pengembalian yang lebih
tinggi.
>
-
7/24/2019 Paper Kelompok IA2
20/33
3b5 *enetapan Tujuan
?erada pada peringkat tepat di bawah lingkungan internal dalam kerangka 9M
40"01 penetapan tujuan menguraikan kondisi penting untuk membantu
manajemen membuat proses 9M yang e(ekti(. 9lemen ini menyatakan bahwa1
selain lingkungan internal yang e(ekti(1 perusahaan harus menetapkan serangkaian
tujuan strategis1 sejalan dengan misinya dan operasi yang meliputi1 pelaporan1 dan
akti@itas kepatuhan. 40"0 9M menekankan bahwa pernyataan misi adalah elemen
penting untuk menetapkan tujuanLpernyataan misi adalah sebuah pernyataan
tujuan secara umum yang di(ormalkan dan sebuah (ondasi untuk pengembangan
strategi (ungsional tertentu.
Intinya di sini adalah bahwa perusahaan harus menentukan strategi yang berkaitan
dengan risiko dan tujuan. &alam pedoman tersebut1 harus memutuskan selera dan
toleransi perusahaan untuk risiko ini. Artinya1 harus menentukan tingkat risiko yangbersedia diterima dan1 memberikan aturan7aturan toleransi risiko1 seberapa jauh
perusahaan bersedia untuk menyimpang dari langkah7langkah sebelum tersedianya
pengukuran. ambar di bawah ini menguraikan hubungan bagian7bagian dari
komponen penetapan tujuan dari 40"0 9M. &imulai dengan misi keseluruhan1
pendekatan ini adalah untuk :
. Mengembangkan tujuan strategis untuk mendukung pencapaian misi tersebut
#. Menetapkan strategi untuk memenuhi tujuan1
+. Mende2nisikan tujuan terkait1 dan
,. Menentukan selera risiko untuk menyelesaikan "trategi tersebut.
#$
-
7/24/2019 Paper Kelompok IA2
21/33
ambar tersebut diadaptasi dari materi panduan 40"0 9M. Materi tersebut harus
dirujuk ke sebuah pemahaman yang lebih rinci dari 40"0 9M. 6ntuk mengelola
dan mengendalikan risiko di semua tingkat1 perusahaan perlu menetapkan tujuan
dan menentukan toleransi untuk terlibat dalam praktek berisiko dan kepatuhanterhadap aturan7aturan ini. "egala sesuatunya tidak akan bekerja jika perusahaan
menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi kemudian
mulai mengabaikan apa yang sudah ditetapkan.
3c5 Identi2kasi *eristiwa
*eristiwa adalah sebuah insiden atau kejadian perusahaan dari internal atau
eksternal yang mempengaruhi pelaksanaan strategi 9M dan pencapaian
tujuannya. "ementara kecenderungan kita adalah memikirkan peristiwa dalam
pengertian negati( 7 menentukan apa yang salah1 padahal suatu peristiwa juga bisa
berdampak positi(. ?anyak perusahaan saat ini memiliki alat pemantauan kinerja
yang kuat di tempat untuk memantau biaya1 anggaran1 jaminan kualitas1kepatuhan1 dan sejenisnya. )amun1 daripada hanya menginstal meter pada jalur
perakitan produksi1 proses pemantauan harus mencakup:
*eristiwa ekonomi eksternal
?erbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan
9M suatu perusahaan. Kedua duanya baik peristiwa jangka pendek dan jangka
panjang dapat berdampak pada tujuan strategis suatu perusahaan.
#
-
7/24/2019 Paper Kelompok IA2
22/33
*eristiwa lingkungan alam
Apakah kebakaran1 banjir1 atau gempa bumi1 dan banyak peristiwa alam lainnya
dapat menjadi insiden dalam identi2kasi risiko 9M. &ak di sini mungkin
termasuk hilangnya akses ke beberapa bahan baku utama1 kerusakan (asilitas
2sik1 atau tidak tersedianya personil.
*eristiwa politik6ndang7undang dan peraturan baru serta hasil pemilu dapat memiliki dampak
risiko yang signi2kan pada perusahaan. ?anyak perusahaan besar memiliki (ungsi
urusan pemerintahan yang mengulas perkembangan pemerintahan terkini dan
lobi7lobi untuk perubahan1 tetapi (ungsi tersebut tidak selalu selaras dengan
tujuan 9M perusahaan tersebut.
aktor sosial
"ementara peristiwa eksternal seperti gempa bumi adalah sebuah peristiwa tiba7
tiba dan muncul dengan sedikit peringatan1 sebagian besar (aktor sosial adalah
sebuah peristiwa yang berkembang perlahan. Ini termasuk perubahan demogra21
adat istiadat sosial1 dan peristiwa lainnya yang dapat mempengaruhi suatu
perusahaan dan pelanggan dari waktu ke waktu. *eristiwa in(rastruktur internal
*erusahaan sering melakukan perubahan halus yang memicu peristiwa terkait
risiko lainnya. "ebagai contoh1 perubahan dalam pengaturan layanan pelanggan
dapat menimbulkan keluhan utama dan penurunan kepuasan pelanggan di unit
ritel. *ermintaan pelanggan yang kuat untuk produk baru dapat menyebabkan
perubahan dalam persyaratan kapasitas pabrik dan kebutuhan personil
tambahan.
*eristiwa terkait proses internal
Mirip dengan perubahan peristiwa in(rastruktur1 perubahan proses kunci dapat
memicu berbagai risiko identi2kasi peristiwa. &alam banyak kasus1 identi2kasi
risiko mungkin tidak dapat langsung1 dan beberapa waktu mungkin berlalu
sebelum proses terkait sinyal peristiwa perlunya identi2kasi risiko.
*eristiwa Teknologi 9ksternal E Internal
"etiap perusahaan menghadapi berbagai macam peristiwa teknologi yang dapat
memicu kebutuhan untuk identi2kasi risiko (ormal. ?eberapa mungkin
berlangsung secara bertahap sementara yang lain1 seperti pergeseran ke
lingkungan eb1 lebih mendadak. &alam kasus lain1 perusahaan dapat merilis
perbaikan baru yang menyebabkan pesaing di mana7mana untuk melakukan
tindakan.
"uatu perusahaan perlu mende2nisikan dengan jelas risiko kejadian yang signi2kandan kemudian memiliki proses di tempat untuk memantau risiko kejadian yang
signi2kan tersebut untuk mengambil tindakan tepat yang diperlukan. Jenis
berpikiran maju dari proses ini sering sulit untuk dikenali di banyak perusahaan.
Melihat risiko potensial dalam peristiwa internal dan eksternal dan memutuskan
mana yang memerlukan perhatian lebih lanjut dapat menjadi proses yang sulit.
?eberapa merupakan kebutuhan mendesak1 dan yang lain sangat berupa
##
-
7/24/2019 Paper Kelompok IA2
23/33
pengarahan masa depan. 40"0 9M menganjurkan perusahaan untuk
mempertimbangkan beberapa pendekatan berikut :
*ersediaan *eristiwa
Manajemen harus mengembangkan da(tar7terkait risiko kejadian umum untuk
industri perusahaan tertentu dan area (ungsional. Artinya1 perusahaan harusmempertimbangkan membuat da(tar risiko yang dapat diidenti2kasi dari
Bpelajaran pelajaran B dalam sumber arsip perusahaan.
5orkshopyang di(asilitasi
"uatu perusahaan dapat membangun workshop lintas (ungsional untuk
membahas (aktor7(aktor risiko potensial yang mungkin berkembang dari berbagai
peristiwa internal atau eksternal. =asil dari workshop ini akan menjadi rencana
aksi untuk memperbaiki potensi risiko.
awancara1 kuesioner1 dan sur@ei.
In(ormasi mengenai risiko potensial dalam suatu peristiwa dapat berasal dari
berbagai sumber1 seperti surat kepuasan pelanggan atau komentar wawancara
karyawan yang keluar. In(ormasi ini harus ditangkap dan diklasi2kasikan untukmengidenti2kasi kemungkinan yang mengarah ke peristiwa berisiko.
Analisis aliran proses
Materi mengenai teknik aplikasi 40"0 9M merekomendasikan penggunaan
diagram alir untuk meninjau proses dan mengidenti2kasi risiko potensial dalam
suatu peristiwa.
*emimpin peristiwa dan pemicu eskalasi
Idenya di sini adalah untuk membangun serangkaian unit pengukuran untuk
memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.
*elacakan data kerugian suatu peristiwa
"ementara pendekatan dashboard memantau risiko peristiwa yang terjadi1
seringkali terlalu berharga untuk meletakkan segala sesuatu dalam perspekti(yang lebih setelah berlalunya waktu. *elacakan data kerugian suatu peristiwa
mengacu untuk menggunakan kedua duanya baik sumber database internal
maupun masyarakat untuk melacak akti@itas di area yang menarik. "umber7
sumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi
terkemuka untuk tingkat kegagalan peralatan internal. 'agi 7 lagi di sini1 suatu
perusahaan harus menginstal proses identi2kasi risiko yang e(ekti( untuk
melacak kedua duanya baik resiko terkait peristiwa internal dan eksternal.
3d5 *enilaian isiko
"ementara komponen lingkungan internal adalah landasan 40"01 komponenpenilaian risiko adalah inti kerangka itu. *enilaian risiko memungkinkan suatu
perusahaan untuk mempertimbangkan apakah ada e(ek risiko potensial terkait
peristiwa yang mungkin dimiliki dalam suatu pencapaian perusahaan atas tujuan
perusahaannya. isiko ini harus dinilai dari dua perspekti(: kemungkinan risiko yang
terjadi dan dampak potensial. "ebagai bagian penting dari proses penilaian risiko
#+
-
7/24/2019 Paper Kelompok IA2
24/33
ini1 bagaimanapun1 adalah kebutuhan untuk mempertimbangkan risiko inherent dan
risiko residual juga:
isiko Inherent
"eperti yang dide2nisikan oleh Kantor Manajemen dan Anggaran *emerintah A"1
risiko inherent adalah Fpotensi limbah1 kerugian1 penggunaan yang tidak sah1atau penyalahgunaan karena si(at dari suatu kegiatan itu sendiri.F aktor7(aktor
utama yang mempengaruhi risiko inherent adalah ukuran anggaran perusahaan1
kekuatan dan kecanggihan manajemen1 dan hanya si(at kegiatannya. isiko
inherent merupakan risiko diluar pengendalian manajemen dan biasanya berasal
dari (aktor eksternal.
isiko esidual
Ini adalah risiko yang tersisa setelah manajemen menanggapi ancaman risiko
dan menerapkan penanggulangan. Ada hampir selalu beberapa tingkat risiko
residual.
Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapibeberapa risiko. "etelah manajemen telah membahas risiko yang muncul dari
proses identi2kasi risiko1 masih akan ada beberapa risiko residual untuk diperbaiki.
"elain itu1 selalu ada beberapa risiko inherent dimana manajemen hanya dapat
melakukan sedikit untuk mengurangi risiko tersebut.
Kemungkinan risiko dan dampaknya adalah dua komponen kunci lain yang
diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau
kemungkinan bahwa risiko akan terjadi. &alam banyak kasus1 ini bisa menjadi
penilaian manajemen kunci yang dinyatakan dalam ukuran tinggi1 sedang1 atau
rendah dan kemungkinan risiko yang terjadi. Ada juga beberapa alat kuantitati(
yang baik untuk mengembangkan perkiraan kemungkinan1 tapi hanya sedikit yangbaik yang dapat memperkirakan kemungkinan risiko yang terjadi kecuali ada data
pendukung yang kuat.
Memperkirakan dampak jika risiko terjadi adalah sedikit lebih mudah. 4ontohnya1
untuk isiko terkait IT1 dampak dari kegagalan ser@er data dan pusat jaringanL
suatu perusahaan dapat mengembangkan beberapa perkiraan yang relati( akurat
seperti biaya (asilitas dan peralatan mengganti1 biaya sistem memulihkan1 dan
biaya kehilangan bisnis karena kegagalan terkait IT. )amun1 seluruh konsep di balik
9M tidak mengembangkan secara tepat1 perhitungan tingkat aktuaria mengenai
risiko ini tetapi untuk menyediakan kerangka kerja manajemen risiko yang e(ekti(.
*erhitungan rinci dapat didelegasikan kepada estimator asuransi dan lain7lain.
Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui
serangkaian langkah7langkah kuantitati( dan kualitati(. Ide dasarnya1
bagaimanapun1 adalah untuk menilai semua risiko diidenti2kasi dan untuk
memeringkat risiko risiko tersebut dalam hal kemungkinan dan dampak secara
konsisten.
#,
-
7/24/2019 Paper Kelompok IA2
25/33
Tanpa melalui analisis kuantitati( rinci1 setiap risiko yang diidenti2kasi dapat
digolongkan dalam keseluruhan skala relati( sampai $1 dengan pertimbangan
diberikan kepada dampak dan kemungkinan masing7masing. *eringkat ini dapat
dicapai dengan proses keputusan manajemen yang (okus di mana masing7masing
risiko yang teridenti2kasi ditinjau dan kemudian diperingkat sehubungan dengan
skala ini. ambar di bawah ini menunjukkan bagaimana serangkaian risiko untuksebuah perusahaan sampel dinilai pada tinggi1 sedang1 atau nilai relati( rendah.
6ntuk perusahaan yang lebih besar1 risiko dapat ditingkatkan sampai $ atau
bahkan 7$$ memungkinkan granularity yang lebih besar. Idenya adalah untuk
menetapkan beberapa peringkat relati( terhadap risiko dan untuk mengidenti2kasi
risiko7risiko yang harus mendapat perhatian yang paling menyeluruh dari
manajemen.
3e5 espon isiko
"etelah dinilai dan diidenti2kasi risiko 7 risiko yang lebih signi2kan1 40"0 9M
menyerukan agar respon diukur untuk berbagai risiko yang teridenti2kasi.
#%
-
7/24/2019 Paper Kelompok IA2
26/33
"eharusnya ada re@iew yang seksama terhadap estimasi kemungkinan risiko dan
potensi dampaknya1 dengan pertimbangan diberikan kepada biaya dan man(aat
yang terkait1 untuk mengembangkan strategi respon risiko yang sesuai. espon
risiko ini dapat ditangani dengan salah satu dari empat cara dasar ini:
. MenghindariIni adalah strategi berjalan menjauh dari7risiko seperti menjual unit bisnis yang
menimbulkan risiko1 keluar dari wilayah geogra2s berisiko1 atau membuang lini
produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa membuang lini
produk atau berjalan jauh sampai peristiwa risiko telah terjadi dengan biayanya
yang terkait. Kecuali suatu perusahaan memiliki selera yang sangat rendah untuk
risiko1 sulit untuk pergi dari daerah bisnis atau lini produk yang dinyatakan sukses
atas dasar potensi risiko di masa depan. *enghindaran bisa menjadi strategi
berpotensi mahal jika in@estasi dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
#. Mengurangi?erbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. &i@ersi2kasi
lini produk dapat mengurangi risiko yang terlalu kuat dari ketergantungan pada satu
kunci lini produkL membagi operasi IT menjadi dua lokasi geogra2s yang terpisah
akan mengurangi risiko beberapa bencana kegagalan.
+. Membagi
=ampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi1 tetapi teknik berbagi risiko7lain juga tersedia. 6ntuk transaksi
keuangan1 suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk
melindungi dari kemungkinan uktuasi harga1 atau dapat berbagi risiko bisnis
potensial dan man(aat melalui perjanjian joint @enture perusahaan atau pengaturanstruktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa
risiko potensial serta berbagi dalam reward yang dihasilkan.
,. Menerima
Ini adalah strategi dimana tidak ada tindakan yang dilakukan1 seperti ketika suatu
perusahaan menjamin dirinya sendiri dengan mengambil tindakan untuk
mengurangi potensi risiko. *ada dasarnya1 perusahaan harus melihat kemungkinan
dan dampak risiko dalam menyoroti toleransi risiko yang tersedia dan kemudian
memutuskan apakah akan menerima risiko itu atau tidak. *enerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi
perusahaan.
Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan
pemikiran strategis. ?eberapa alternati( respon risiko mungkin melibatkan biaya1
waktu1 dan perencanaan proyek rinci . 40"0 9M menyerukan agar risiko harus
dipertimbangkan dan die@aluasi pada basis entity atau porto(olio besar. Ini bisa
menjadi proses yang sulit1 dalam multi unit yang besar1 perusahaan multiproduct1
#!
-
7/24/2019 Paper Kelompok IA2
27/33
tetapi proses ini menyediakan titik awal dalam mengatur berbagai risiko untuk
mengidenti2kasi risiko yang lebih signi2kan yang dapat mempengaruhi perusahaan.
Idenya di sini adalah untuk melihat potensi risiko1 probabilitas terjadinya mereka1
dan dampaknya.
3(5 Akti@itas *engendalianAkti@itas pengendalian 9M ini adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan pada respon risiko yang teridenti2kasi. Meskipun
beberapa dari akti@itas ini mungkin berhubungan hanya untuk respon risiko yang
teridenti2kasi dan disetujui di area perusahaan1 akti@itas ini sering tumpang tindih
di beberapa (ungsi dan unit. Akti@itas pengendalian komponen 40"0 9M harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas
sebelumnya.
Memiliki respon risiko terpilih yang sesuai1 perusahaan harus memilih akti@itas
pengendalian yang diperlukan untuk memastikan bahwa respon risiko dijalankan
secara tepat waktu dan e2sien. "etelah melalui identi2kasi risiko kejadian 40"09M1 proses penilaian1 dan respon1 pemantauan risiko memerlukan empat langkah
berikut:
. Mengembangkan pemahaman yang kuat tentang risiko secara signi2kan dan
membangun prosedur penngendalian untuk memantau atau membetulkan risiko.
#. Membuat latihan menghadapi kebakaran1 jenis prosedur pengujian untuk
menentukan apakah prosedur pengendalian risiko terkait tersebut bekerja secara
e(ekti(.
+. Melakukan tes proses pemantauan risiko untuk menentukan apakah proses
tersebut bekerja secara e(ekti( dan seperti yang diharapkan.
,. Membuat penyesuaian atau perbaikan yang diperlukan untuk memperbaikiproses pemantauan risiko.
?anyak akti@itas pengendalian di bawah pengendalian internal 40"0 cukup mudah
untuk diidenti2kasi dan diuji karena si(at akuntansi mereka. Kegiatan pengawasan
ini umumnya termasuk daerah7daerah pengendalian internal di bawah ini:
*emisahan tugas.
*ada dasarnya1 orang yang memulai transaksi tidak harus orang yang sama yang
mengotorisasi transaksi itu.
Audit trails.
*roses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudahditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas.
*roses pengendalian harus memiliki prosedur pengendalian yang tepat sehingga
hanya orang yang berwenang dapat meninjau atau memodi2kasi proses
tersebut.
&okumentasi.
*roses harus tepat didokumentasikan.
#
-
7/24/2019 Paper Kelompok IA2
28/33
Meskipun tidak ada akti@itas pengendalian 9M yang diterima atau set standar
akti@itas pengendalian 9M saat ini1 dokumentasi 40"0 9M menunjukkan
beberapa bidang:
e@iu Top7le@elManajer senior harus sangat menyadari risiko peristiwa yang teridenti2kasi dalam
unit organisasi mereka dan melakukan re@iew tingkat atas secara reguler pada
status risiko yang teridenti2kasi.
ungsional langsung atau kegiatan manajemen
"elain re@iew tingkat atas1 manajer unit (ungsional dan langsung harus memiliki
peran kunci dalam pengendalian risiko pemantauan akti@itas. =al ini sangat
penting di mana kegiatan pengendalian berlangsung dalam unit operasi terpisah
dengan kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
Memproses in(ormasi
Apakah proses tersebut berbasis peralatan IT atau bentuk yang lebih halus
seperti kertas atau pesan1 pengolahan in(ormasi merupakan komponen kuncidalam akti@itas pengendalian risiko terkait suatu perusahaan. *rosedur
pengendalian yang tepat harus ditetapkan dengan penekanan pada proses IT dan
risiko perusahaan.
*engendalian 2sik
?anyak kekhawatiran terkait risiko yang melibatkan aset 2sik1 seperti peralatan1
persediaan1 sekuritas1 dan banguan 2sik. Apakah persediaan 2sik1 inspeksi1 atau
prosedur keamanan pabrik1 perusahaan harus menginstal prosedur akti@itas
pengendalian 2sik berbasis risiko yang sesuai.
Indikator kinerja
Tipikal *erusahaan yang khas saat ini adalah mempekerjakan berbagai alat
pelaporan keuangan dan operasional yang juga dapat mendukung pelaporankinerja risiko7terkait peristiwa yang berhubungan. Jika diperlukan1 alat kinerja
harus diubah untuk mendukung komponen akti@itas pengendalian 9M yang
penting.
*emisahan tugas
"ebuah akti@itas pengendalian klasik1 orang yang memulai tindakan tertentu
tidak harus orang yang sama yang menyetujui tindakan tersebut.
3g5 In(ormasi dan Komunikasi
Meskipun relati( mudah untuk menggambarkan bagaimana in(ormasi harus
dikomunikasikan dari satu komponen 40"0 9M ke komponen lain dalam diagramalir sederhana1 melakukannya adalah proses yang jauh lebih kompleks dalam
prakteknya. *roses dasar di banyak perusahaan terdiri dari web kompleks sistem
in(ormasi operasional dan keuangan yang sering tidak sangat baik terkait.
=ubungan ini menjadi lebih kompleks untuk banyak proses 9M1 mengingat bahwa
banyak aplikasi dasar perusahaan tidak langsung meminjamkan diri untuk
identi2kasi risiko1 penilaian1 dan respon risiko. Melampaui aplikasi in(ormasi 9M
#-
-
7/24/2019 Paper Kelompok IA2
29/33
komprehensi( untuk suatu perusahaan1 ada kebutuhan untuk mengembangkan
sistem pemantauan risiko dan komunikasi yang menghubungkan dengan
pelanggan1 pemasok1 dan pemangku kepentingan lainnya.
"edangkan segmen in(ormasi dari Komponen in(ormasi dan komunikasi 9M
biasanya memikirkan dalam hal sistem in(ormasi strategis dan operasional IT1 aspekkedua komponen ini1 komunikasi 9M1 berbicara tentang komunikasi sekedar
aplikasi IT. Ini termasuk kebutuhan agar mekanisme memastikan bahwa semua
pemangku kepentingan menerima pesan mengenai kepentingan perusahaan dalam
mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan
mengenai peran dan tanggung jawab manajemen risiko. 40"0 9M akan bernilai
kecil untuk sebuah perusahaan kecuali pentingnya 40"0 9M dikomunikasikan
kepada semua pemangku kepentingan secara umum dan konsisten.
#>
-
7/24/2019 Paper Kelompok IA2
30/33
3h5 *engawasan
&itempatkan di dasar kerangka model komponen 9M1 pemantauan 9M
diperlukan untuk menentukan bahwa semua komponen 9M terpasang bekerja
secara e(ekti(. Melampaui alat monitor dashboard1 manajemen perusahaan
harus mengambil tanggung jawab keseluruhan untuk pemantauan 9M. &alamrangka membangun kerangka 9M yang e(ekti(1 pemantauan harus mencakup
tinjauan berkelanjutan dari proses 9M secara keseluruhan mulai dari identi2kasi
tujuan untuk kemajuan akti@itas pengendalian 9M yang sedang berlangsung.
&okumen Kerangka Aplikasi 40"0 9M menunjukkan bahwa pemantauan dapat
mencakup jenis kegiatan:
*elaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti
posisi uang tunai1 penjualan unit1 dan data keuangan utama.
*roses pelaporan peringatan terkait risiko periodik harus memantau aspek7aspek
kunci dari kriteria risiko yang ditetapkan1 termasuk tingkat kesalahan diterima
atau hal 7 hal yang diadakan dalam suspense. *elaporan tersebut harusmenekankan tren statistik dan perbandingan baik dengan periode sebelumnya
dan dengan sektor industri lainnya.
"tatus laporan risiko saat ini dan periodik terkait temuan dan rekomendasi dari
laporan audit internal dan eksternal1 termasuk status79M terkait "08 yang
mengidenti2kasi kesenjangan
*embaruan risiko terkait in(ormasi yang berasal dari sumber seperti re@isi aturan
pemerintah1 tren industri1 dan berita ekonomi secara umum. "ekali lagi1 jenis
pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua
tingkatan.
*engawasan e@aluasi yang terpisah atau indi@idu mengacu pada re@iew rinci
dari proses risiko indi@idu oleh resensi berkualitas1 seperti audit internal. &alam hal
ini re@iew terbatas pada daerah tertentu atau mencakup seluruh proses 9M untuk
unit usaha. Audit internal sering menjadi sumber internal yang terbaik untuk
melakukan re@iew 9M tertentu. *eran audit internal dalam proses 9M dan peran
mereka dalam pemantauan1 khususnya1 dibahas dalam bagian berikutnya.
3. imensi $ain dari C#S# ER+ : Enterprise Ris! #b"eti(es
a. Operation (isk #anagement Obecti!es
&engan pandangan 9M atas risiko1 perusahaan harus menghindari terlalu banyak
meringkas1 menghilangkan1 atau membulatkan risiko yang penting pada tingkatyang lebih rendah. Manajer di semua tingkatan dalam perusahaan atau lokasi
geogra2s manapun harus menyadari bahwa mereka bertanggung jawab menerima
dan mengelola risiko dalam unit operasional mereka masing7masing. Manajer unit
sering beranggapan bahwa manajemen risiko hanya menjadi perhatian kantor
pusat. *entingnya 40"0 9M dan manajemen risiko operasi harus dikomunikasikan
+$
-
7/24/2019 Paper Kelompok IA2
31/33
kepada semua tingkat perusahaan. Auditor internal harus bertindak sebagai mata
dan telinga serta melaporkan semua risiko operasi yang diamati.
b. (eporting (isk #anagement Obecti!es
"etiap perusahaan menghadapi risiko yang besar atas keakuratan pelaporan di unit
atau wilayah. 6nit operasi harus memastikan bahwa hasil yang dilaporkan telahbenar sebelum disampaikan ke tingkat berikutnya dalam organisasi1 angka
konsolidasi harus akurat1 baik pada laporan keuangan1 laporan pajak1 dll. 9M
ber(okus dengan risiko otorisasi dan penerbitan laporan yang tidak akurat.
*engendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat. *engendalian internal yang kuat harus meminimalkan risiko kesalahan1 dan
suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang akurat. Kesalahan dan perbedaan kecil dapat diabaikan dalam
jangka pendek sampai kemudian terdapat kesalahan besar yang perlu diungkapkan.
isiko pelaporan yang tidak akurat harus menjadi perhatian di semua tingkat
perusahaan.
c. :egal and (egulatory Compliance (isk Obecti!es
40"0 9M merekomendasikan bahwa risiko terkait kepatuhan perlu
dipertimbangkan untuk setiap
komponen kerangka risiko1 baik dalam konteks lingkungan internal1 penetapan
tujuan1 atau monitoring risiko1 serta di seluruh perusahaan. "emua perusahaan
menghadapi berbagai persyaratan kepatuhan atas hukum dan peraturan. "i(at
3nature5 dari risiko kepatuhan perlu dikomunikasikan dan dipahami oleh semua
tingkat dalam perusahaan. *erusahaan dapat menerima tingkat risiko tertentu
mengenai kepatuhan hukum. "ementara hukum besar tidak boleh dengan sengaja
diabaikan karena merasa pelanggaran tersebut tidak akan pernah tertangkap1
perusahaan harus selalu mengambil pendekatan beralasan risiko dalam
hubungannya dengan keseluruhan 2losopi dan selera risiko. &alam rangka
mengelola dan menetapkan tujuan risiko atas hukum dan peraturan1 dewan direksi1
4901 dan anggota manajemen perlu memahami si(at 3nature5 dan cakupan 3etent5
risiko atas semua peraturan yang dihadapi perusahaan. &i@isi hukum1 manajer
kunci1 audit internal1 dan lain7lain dapat membantu dalam penyusunan in(ormasi ini.
Entity2$e(el Ris!s
a. isiko yang Meliputi "eluruh 0rganisasi 3(isks +ncompassing the +ntire
Organization5
?eberapa risiko di tingkat unit bisnis dapat meningkat menjadi risiko di tingkatentitas. Mudah bagi suatu perusahaan untuk mempertimbangkan beberapa risiko
tingkat unit sebagai Ftidak materialF tetapi sebaiknya perusahaan harus memikirkan
semua risiko berpotensi menjadi signi2kan. *oinnya adalah baik risiko besar
maupun yang tampaknya risiko kecil dapat berdampak pada seluruh perusahaan.
b. isiko Tingkat 6nit ?isnis 31usiness 6nit4:e!el (isks5
+
-
7/24/2019 Paper Kelompok IA2
32/33
?erdasarkan pada kompleksitas dan jumlah unit operasi1 tanggung jawab risiko
terbaik dapat dimulai sebagai proses push4down di mana manajemen tingkat
korporasi menguraikan (okus terkait risiko utama dan meminta manajemen yang
bertanggung jawab pada masing7masing di@isi utama untuk sur@ei tujuan risiko
melalui unit operasi dalam di@isi tersebut. &engan cara ini1 risiko yang signi2kan
dapat diidenti2kasi pada semua tingkatan dan kemudian dikelola di tingkat yangdikenai dampak langsung dari risiko.
P%ttin It All Toet1er
Kerangka kerja 40"0 9M menggunakan pendekatan manajemen risiko yang
applicableuntuk semua industri dan mencakup semua jenis risiko. &engan (okus
mengidenti2kasi selera risiko 3risk appetite5 suatu perusahaan dan kebutuhan untuk
menerapkan manajemen risiko dalam konteks pengaturan strategi secara
keseluruhan. Manajemen perusahaan di semua tingkatan harus mencakup 40"0
9M1 alat penting untuk memahami banyak risiko yang dihadapi perusahaan saat
ini. Auditor internal harus membuat 40"0 9M sebagai persyaratan 4?0K
3Common 1ody of ;nowledge5 dan harus melakukan audit internal sesuai dengan
*roses 9M.
A%ditin Ris! and C#S# ER+ Proesses
Auditor internal akan menghadapi isu7isu risiko dan manajemen risiko saat
melakukan re@iu. Auditor internal yang e(ekti( harus memahami proses manajemen
risiko. Auditor internal melakukan re@iu internal controldi beberapa area dan akan
memutuskan bahwa area tersebut dipilih atau tidak dipilih karena Fpertimbangan
risiko.F Auditor harus memiliki tingkat pemahaman 4?0K atas proses dasar
manajemen risiko untuk dapat mengajukan pertanyaan yang tepat dan untuk
mere@iu kecukupan proses7proses tersebut. Audit Internal harus mere@iu proses9M perusahaan secara keseluruhan dengan menggunakan beberapa toolssbb :
Process
-
7/24/2019 Paper Kelompok IA2
33/33
/isk 4anagement and COSO E/4 in %erspectiveManajemen risiko dan 40"0 9M adalah keterampilan pengetahuan yang
seharusnya menjadi bagian dari 4?0K setiap auditor internal. Auditor internal harus
menggunakan prinsip manajemen risiko untuk memutuskan area mana yang dipilih
untuk dire@iu dan kemudian menggunakan prinsip risiko ketika menilai bukti audit.
Mungkin bahkan lebih penting1 40"0 9M akan dirasakan pentingnya dan diakuiseiring dengan makin meluasnya perusahaan memahami dan mengadopsi kerangka
kerja 9M. Audit internal harus memiliki pemahaman 4?0K dari 40"0 9M baik
untuk kepatuhan audit dalam proses maupun dalam berkonsultasi dengan
manajemen untuk memastikan implementasi yang lebih e(ekti(.
top related