paper kelompok ia2

7/24/2019 Paper Kelompok IA2

1/33

UNIVERSITAS INDONESIA

Peran Internal Audit dalam Penilaian Internal Control

MAKALAH

Diajukan sebagai salah satu syarat untuk eenuhi tugas ata kuliah

Au!it Internal

HALAMAN JUDUL

Disusun "leh#

De$i Sartika Siagian % N&M '()*+,+-*'

Dhias Kristiant" D$i &rasety" % N&M '()*+,+-,)

.itri /ayanti Sitin!a"n % N&M '()*+,++0)

.l"ren1y Marbun% N&M '()*+,++*(

.re!!y S2 % N&M '()*+,++3*

Maulia De$i Anggraeni4N&M '()*+,+,'*

.AKULTAS EKONOMI

&RO5RAM STUDI S' EKSTENSI AKUNTANSI

/AKARTA

Se6teber -)'0


2/33

Statement of Authorship

Kami yang bertanda tangan di bawah ini menyatakan bahwa makalah/tugas

terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain

yang kami gunakan tanpa menyebutkan sumbernya.

Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk

makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa

kami menyatakan dengan jelas menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan

atau dikomunikasikan dengan tujuan mendeteksi adanya plagiarisme.

Mata Ajaran : Audit Internal

Judul Makalah : Peran Internal Audit dalam Penilaian Internal Control

Tanggal : ! "eptember #$%

&osen : 'u(ti Julian

Anggota :

)ama )*M Tanda Tangan

&ewi "artika "iagian +$!,-,#!

&himas Kristianto &wi*rasetyo

+$!,-,#-$

itri Jayanti "itindaon +$!,-,,%$

lorency Marbun +$!,-,,!+

reddy ". +$!,-,,!

Maulia &ewi Anggraeni +$!,-,-!

#


3/33

&ERAN INTERNAL AUDIT DALAM &ENILAIAN INTERNAL 7ONTROL

I. Internal Control Framework: The COSO Standard

*emahaman dan penerapan pengendalian internal yang e(ekti( adalah prinsip dasar

dalam audit internal. *engendalian internal yang digunakan dalam suatu entitas

merupakan (aktor yang menentukan laporan keuangan suatu entitas dapat

dipercaya atau tidak kebenarannya. 0leh karena itu1 sebelum auditor melaksanakan

audit secara mendalam atas in(ormasi yang tercantum dalam laporan keuangan1

auditor harus terlebih dahulu memahami pengendalian internal yang berlaku dalam

entitas tersebut. *emahaman memadai atas pengendalian internal harus diperoleh

auditor untuk dapat merencakan audit dan menentukan si(at1 saat dan lingkup

pengujian yang akan dilakukan.

*engendalian internal memiliki de2nisi yang tidak konsisten dari tahun ke tahunhingga diterbitkannya Committee of Sponsoring Organizations 340"05 internal

control framework. *ertama kali digunakan oleh auditor eksternal 6" dalam

penilaian pengendalian internal1 kemudian dijadikan standar dalam membangun

dan menyusun pengendalian internal dalam "arbanes708ley Act 3"o851 40"0

internal control framework beranjak menjadi standard dalam pembuatan dan

penilaian pengendalian internal yang mendunia.

40"0 internal control framework adalah tools yang penting dalam memahami

pengendalian internal dan menilai kepatuhan terhadap persyaratan pengendalian

internal menurut "08. 40"0 framework terdiri dari 40"0 internal control

framework dan 40"0 9M. Meskipun 40"0 9M terkesan mirip dengan 40"0

internal control framework1 namun kedua framework ini menjelaskan area dan

tujuan yang berbeda.

. Importance of Eective Internal Controls

*engendalian internal adalah salah satu konsep yang paling penting dan mendasar

dimana para pro(esional bisnis di segala tingkatan dan auditor baik eksternal

maupun internal harus memahaminya. *engertian pengendalian internal adalah

proses yang diimplementasikan oleh manajemen yang didesain untuk memberikan

keyakinan yang memadai atas:

in(ormasi keuangan maupun in(omasi kegiatan operasional yang handal dan

dapat dipercaya kepatuhan terhadap kebijakan dan rencana prosedural1 hukum1 aturan1 dan

peraturan pengamanan aset

e2siensi kegiatan operasional

+


4/33

tercapainya misi1 sasaran dan tujuan perusahaan melalui kegiatan operasional

dan program yang telah ditetapkan integritas dan nilai7nilai etika

&e2nisi ini menyatakan bahwa pengendalian internal mencakup akuntansi dan

keuangan dan semua proses perusahaan. Institute o( Internal Auditor 3IIA5

memberikan pengertian ;pengendalian< yaitu:

Any action taken by management, the board, and other parties to manage risk and

increase the likelihood that established obecti!es and goals will be achie!ed"

#anagement plans, organizes, and directs the performance of su$cient actions to

pro!ide reasonable assurance that obecti!es and goals will be achie!ed%

Manajemen bertanggungjawab terhadap pembuatan dan penyusunan

pengendalian1 dan auditor internal menilai kee(ekti(an pengendalian tersebut serta

memberikan rekomendasi yang tepat atas pengendalian tersebut.

#. Internal Controls Standards: backgrond

=ingga tahun >-$an1 pengertian pengendalian internal belum mendapatkan

kesepakatan yang konsisten. *engertian pertama kali berasal dari American

Institute of Certi&ed Accountants 3AI4*A5 dan setelah mengalami beberapa kali

perubahan1 dalam Statement on Auditing Standards3"A" )o.51 AI4*A memberikan

de2nisi:

Internal control comprises the plan of enterprise and all of the coordinate methods

and measures adopted with a business to safegard its assets! check the

accrac" and reliabilit" of its acconting data! promote operationale#cienc"! and encorage adherence to prescribed managerial policies"

*engertian tersebut kemudian dimodi2kasi dengan menambahkan komponen

pengendalian administrasi dan keuangan. Meski pengertian pengendalian internal

telah diubah1 namun penginterpretasiannya selalu disesuaikan sepanjang tahun

berjalan. ?eberapa tahun belakangan AI4*A menekankan bahwa sistem

pengendalian internal lebih luas dari sekadar hubungan langsung atas pengendalian

akuntansi1 laporan keuangan1 dan pengendalian administrati(.

a. Internal control de$nition : Foreign Corrpt %ractices &ct of '())

*eriode >>,7>> adalah suatu masa gejolak sosial dan politik yang besar diAmerika "erikat yang akhirnya menghasilkan 'oreign Corrupt Practices Act

34*A5 pada tahun >. 4*A melarang penyuapan kepada pegawai asing

3non7Amerika "erikat5 dan juga berisi ketentuan yang mengharuskan adanya

pemeliharaan atas pencatatan dan pembukuan yang akurat sebagai bagian

dari sistem pengendalian akuntansi internal. &engan penerapan ketentuan ini

di seluruh perusahaan terda(tar di "941 peraturan 4*A ini memberi dampak

,


5/33

baik bagi auditor eksternal dan internal karena melalui ketentuan tersebut

4*A mengharuskan perusahaan:7 Membuat dan menyimpan pembukuan1 pencatatan1 dan penghitungan7 Menemukan dan memlihara sebuah sistem pengendalian akuntansi yang

cukup menyediakan jaminan yang layak7 Adanya pembatasan akses ke asset7 *encatatan pertanggungjawaban atas asset dapat dibandingkan dengan

asset yang ada dalam suatu inter@al yang masih wajar dan kepedulian

terhadap adanya suatu perbedaan

4*A sangat penting karena merupakan aturan pertama yang mengharuskan

manajemen untuk menyusun pertanggungjawaban atas system pengendalian

akuntansi yang memadai. "elanjutnya 4*A mengharuskan perusahaan

untuk memperhatikan pencatatan yang akurat atas transaksi perusahaan

secara detail dan wajar. Tujuannya agar pencatatan7pencatatan tersebut

dapat mereeksikan kesesuaian transaksi dengan metode7metode yang

dapat diterima dan pencatatan kejadian ekonomis1 pencegahan Bslush (undCdan adanya pembayaran suap.

b. FC%& &ftermath : *hat +appened,

*elaksanaan 4*A tidak berjalan sebagaimana yang diharapkan. Atas

pembukuan yang telah dilakukan perusahaan tidak ada yang datang untuk

melakukan pemeriksaan atas proses dokumentasi yang telah dilaksanakan

oleh perusahaan. )amun sekarang ini semakain banyaknya peraturan anti7

korupsi dan anti7penyuapan merujuk pada ketentuan dalam 4*A1 sehingga

dapat dikatakan bahwa 4*A memiliki peran penting atas e(ekti@itas suatu

pengendalian internal1 walau pada tahun tersebut 3>5 belum terdapatpengertian yang konsisten atas pengendalian internal.

3. Events -eading to the Treadwa" Commission

*ada akhir >$7an e8ternal auditor hanya melaporkan1 bahwa pengendalian

internal suatu perusahaan Bdisajikan wajarC1 tanpa membuktikan apakah

dokumentasi dari pelaksanaan pengendalian internal tersebut telah sesuai dengan

standar pelaporan pengendalian internal yang dipersyaratkan oleh 4*A. =al ini

menjadi ambigu mengingat tidak ada penjelasan yang konsisten atau jelas tentang

de2nisi pengendalian internal yang baik. Menanggapi hal ini1 "94 telah melakukan

penelitian selama lebih dari $ tahun untuk menyusun de2nisi yang lebih baik atas

pengendalian internal dan pertanggungjawaban dengan laporan atas kegiatan

pengendalian tersebut.

*ada tahun >,1 AI4*A membentuk komisi tingkat tinggi yang bernama

4ommission on Auditor


6/33

laporan keuangannya. =al ini menuai banyak kritik khususnya dari auditor

eksternal. "ehubungan dengan peran mereka dalam menguji kewajaran laporan

keuangan1 rekomendasi ini menjadi potensi kewajiban auditor eksternal. Dang

menjadi permasalahan buat auditor eksternal adalah tidak adanya standar

pengendalian internal yang baik. "etiap perusahaan mempunyai keunikan tersendiri

sehingga auditor eksternal dalam memberikan pernyataan atas pengendalianinternal suatu perusahaan harus menyesuaikan. 'ebih lanjut lagi apabila auditor

eksternal setuju pendendalian internal suatu perusahaan baik1 ditakutkan ke

depannya terjadi permasalahan sehubungan dengan pengendalian internalnya.

*ada tahun >$1 The inancial 98ecuti@e International 39I51 yang

merepresentasikan eksekuti( keuangan perusahaan senior menyetujui dan

mengesahkan rekomendasi dari 4ohen 4ommission1 yaitu perusahaan harus

membuat management letter tentang pengendalian internal di perusahaan.

*enerapannya tidak harus memenuhi (ormulir7(ormulir tertentu1 hanya berdasarkan

intepretasi masing7masing perusahaan tentang pengendalian internal yang baik.

Menanggapi hal ini1 auditor eksternal pra "081 menggunakan negat!e assurancedengan kata7kata


7/33

b. Treadway Committee Report

*ada akhir >$an dan awal >-$an1 banyak perusahaan yang gagal akibat inasi

dan suku bunga yang tinggi. "elain itu masalah yang mengakibatkan kegagalan

ekonomi adalah kecurangan dalam penyajian laporan keuangan. Menanggapi hal

ini1 % organisasi pro(essional yaitu the IIA1 AI4*A1 9I1 American Accounting

Association 3AAA5 dan Institute o( Management Accountants 3IMA5 membentuk)ational 4ommission on raudulent inancial eporting yang kemudian disebut

Treadway 4ommission. Treadway 4ommission bertugas untuk mengidenti2kasi

(aktor7(aktor penyebab kecurangan penyajian laporan keuangan dan memberikan

rekomendasi untuk mengurangi potensi terjadinya kecurangan tersebut. 'aporan

dari Treadway 4ommission dirilis pada tahun >- yang di dalamnya termasuk

rekomendasi terhadap manajemen1 dewan direksi1 kantor akuntan publik dan

lainnya. )amun lagi7lagi ada kekurangan dari inkonsistensi atas de2nisi

pengendalian internal yang baik. 6saha untuk mende2nisikan pengendalian internal

sampai dengan tahun #$$$ an dan menghasilkan 40"0 internal control (ramework

yang akan dibahas pada sesi berikutnya.

4. Keran!a Ker"a Penendalian Internal C#S#

6ntuk menindaklanjuti rekomendasi dari )readway Commision1 40"0

mengembangkan studi tentang sebuah model untuk menge@aluasi pengendalian

internal. *ada tahun >>#1 diperkenalkan sebuah BCOSO Internal Control

'rameworkC yang akhirnya menjadi sebuah pedoman bagi para eksekuti(1 dewan

direksi1 regulator1 penyusun standar1 organisasi pro(esi1 dan lainnya sebagai

kerangka kerja yang komprehensi( untuk mengukur e(ekti2tas pengendalian internal

mereka.

*ada tahun >-% didirikan )he Committee of Sponsoring Organizations of the

)readway Commission*syang merupakan aliansi dari organisasi pro(esi seperti :

- 'inancial +ecuti!es International -'+I.

- )he American Accounting Association -AAA.

- )he American Institute of Certi&ed Public Accountants -AICPA.

- )he Institute of Internal Auditors -IIA.

- )he Institute of #anagement Accountants -I#A. / -'ormaly the 0ational

Association of Accountants.


8/33

&e2nisi *engendalian Internal 40"0 adalah suatu proses1 yang dipengaruhi oleh

dewan komisaris1 manajemen1 dan personil lainnya dari sebuah entitas1 yang

dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan

pencapaian tujuan dalam e(ekti@itas dan e2siensi operasi1 keandalan laporan

keuangan1 dan kepatuhan terhadap hukum dan peraturan yang berlaku

COSO Internal Control Framework

40"0 mengidenti2kasi "istem *engendalian Internal yang e(ekti( meliputi lima

komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas1

yaitu:

'. $in!%nan Penendalian &Control Environment'

Merupakan pondasi dari komponen pengendalian internal lainnya. 'ingkungan

pengendalian meliputi beberapa (aktor di antaranya :

a" Integritas dan 9tika 3integrity and ethical !alue.

Auditor internal harus dapat memahami nilai etika di perusahaan di mana

mereka bekerja. Apabila mereka melihat bahwa dalam perusahaan tidak ada

nilai etika yang legal1 hal tersebut mengindikasikan bahwa tidak ada peraturan

legal yang ditetapkan oleh manajemen dalam mengatur tingkah laku para

pegawainya. Jika hal tersebut terjadi1 auditor internal perlu mengingatkan

manajemen untuk dapat menyusun dan menetapkan nilai etika perusahaan.

b" Komitmen untuk meningkatkan kompetensi 3commitment to competence.

Auditor internal dapat menge@aluasi terhadapt orang yang memegang posisi

atau jabatan di perusahaan. &ari e@aluasi tersebut1 auditor internal dapat

menilai apakah posisi tersebut diduduki oleh orang yang tepat. Auditor internal

juga perlu memastikan bahwa manajemen telah menyusun kerangkakompetensi atas sebuah posisi atau jabatan di perusahaan.

c" &ewan komisaris dan komite audit 31oard of 2irect and Audit Commitee.

-


9/33

&ewan komisaris dan komite audit yang akti( dan independen merupakan

komponen utama dalam lingkungan pengendalian. "ebelum "081 jabatan

dewan komisaris dan komite audit didominasi oleh senior manajemen pihak

yang mempunyai kepentingan tanpa melihat kepentingan pemilik saham

minoritas.

d" iloso2 manajemen dan jenis operasi 3management philasophy and operatingstyle.

iloso2 dan gaya manajemen akan berdampak pada lingkungan pengendalian

yang akan dibuat. Terdapat manajemen yang sangat perhatian isu perpajakan1

pelaporan akuntansi yang sesuai dengan peraturan yang berlaku. Auditor

internal harus menjadikan 2loso2 dan gaya operasi manajemen sebagai bahan

pertimbangan dalam menilai e(ekti@itas pengendalian internal perusahaan.

e" "truktur organisasi 3organization structur.

"truktur organisasi membantu manajemen dalam membuat perencanaan1

pelaksanaan1 pengendalian1 dan pengawasan pengendalian internal. "truktur

organisai ditentukan sesuai dengan tujuan perusahaan. &engan ini akan lebihmemperjelas pembagian tanggung jawab dan wewenang dari masing7masing

indi@idu.

f" *embagian wewenang dan tanggung jawab 3assignment authority and

responsibility.

&engan pembagian wewenang dan tanggung jawab yang jelas akan lebih

mudah diketahui siapa yang yang bertanggung jawab kepada siapa1 serta

menghindari tumpang tindih wewenang dan tanggung jawab sehingga dapat

terhindarkan konik antarindi@idu maupun antarunit dalam perusahaan. Auditor

internal dapat menge@aluasi apakah kegiatan operasional perusahaan telah

dilakukan.

g" Kebijakan dan praktek sumber daya manusia 33uman resources policy and

practice.

Kebijakan dan praktek sumber daya manusia terbagi dalam ruang lingkup

sebagai berikut:

ecruitment and hiring

)ew employee orientation

9@aluation1 promotion1 and compensation

&isciplinary actions

. Penilaian Risi!o &/isk &ssessment'

&alam mencapai tujuan perusahaan1 terdapat (aktor baik internal maupun eksternalyang dapat menjadi kendala. 0leh karena itu diperlukan proses untuk mengenali1

memahami1 dan mengelola (aktor7(aktor yang berpotensi untuk menjadi

risiko.*roses penilaia risiko sebaiknya dilakukan oleh seluruh le@el untuk seleruh

akti@itas perusahaan1 yang terdiri dari + tahap1 yaitu:

a. Mengidenti2kasi signikasi dari risikob. Melakukan penilaian kemungkinan terjadinya risiko1c. Menyusun cara mengelola dan menilai risiko

>


10/33

?eberapa perspekti( yang menjadi dasar pertimbangan dalam melakukan penilaian

risiko menurut 40"0 adalah:

a" isiko yang disebabkan oleh (aktor eksternal1 seperti perkembangan teknologi1

persaingan1 dan perubahan ekonomi.b" isiko yang disebabkan oleh (aktor internal1 seperti kompetensi karyawan1 si(at

dari akti@itas bisnis1 dan karakteristik pengelolaan sistim in(ormasi.c" Speci& acti!ity4le!el risks1 bidang pemasaran1 IT1 dan &nance"

"eringkali manajemen melakukan proses penilaian risiko yang kurang tajam1

sehingga diperlukan peran auditor internal untuk melakukan re@iew dan membantu

manajemen untuk melakukan penilaian risiko.

0. A!ti(itas Penendalian &Control &ctivities'

Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan

manajemen. &alam kerangka pengendalian internal 40"01 akti@itas ini digolongkan

menjadi:

a. e@iew atas akti@itas manajemen dari internal auditor yang dilakuakan oleh top7

le@el dengan membandingkan pada rencana1 anggaran1 dan benchmark.b. Akti@itas koreksi atas indikasi masalah dari pengendalian internal.c. *emrosesan in(ormal yang diintegrasikan dengan sistem pengendalian internal.d. *engendalian atas aset peusahaan secara 2sik.e. *enerapan indikator penilaian yang merupakan dasar analisis atas masalah dari

pengendalian internal.(. *emisahan tugas dan wewenang.

Akti@itas pengendalian dilakukan berdasarkan penilaian risiko yang telah dilakukan.

0leh karena itu1 penilaian risiko harus dire@iu secara berkala.

1. Kom%ni!asi dan in)ormasi &Commnications and Information2

&alam kerangka pengendalian internal 40"01 komunikasi dan in(ormasi bukanlahsatu le@el dalam pengendalian internal1 melainkan sebuah proses yang meliputi

keseluruhan kerangka. In(ormasi yang rele@an harus dikon2rmasikan kepada

seluruh pihak dalam organisasi secara tepat waktu.

Kriteria kualitas in(ormasi untuk mendukung pengendalian internal1 antara lain:

a" Keseuaian data dari in(ormasib" In(ormasi tepat waktu dan tersedia jika dibutuhkanc" In(ormasi selalu updated" Kebenaran dan akurasi in(ormasie" Akses terhadap in(ormasi

0rganisasi juga harus menyusun suatu prosedur yang e(ekti( untuk

mengkomunikasikan in(ormasi tersebut kepada pihak internal dan eksternal. *ihakinternal memerlukan in(ormasi untuk mengetahui batasan dalam bertindak baik

dikomunikasikan secara normal maupun con2dental. "ama dengan halnya

komunikasi dengan pihak eksternal 3pelanggan1 pemasok1 pemegang saham1 bank1

pembuat kebijakan51 komunikasi yang baik akan membantu organisasi dalam

menidenti2kasi potensi risiko dari (aktor eksternal dan bagaimana cara

menanggulanginya.

$


11/33

3. Penawasan &4onitoring'

Karena *engendalian Internal harus dilakukan sepanjang waktu1 maka 40"0

menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap

keseluruhan "istem *engendalian Internal melalui akti@itas yang berkelanjutan dan

melalui e@aluasi yang ditujukan terhadap akti@itas atau area yang khusus.

Kegiatan pengawasan yang dapat dilakukan oleh perusahaan antara lain:a" Ongoing monitoring

0perating management normal (unctions1 segera melakukan tindakan

perbaikan ketika kegiatan normal perusahaan mengalami kondisi

pengecualian.

Komunikasi dengan pihak eksternal1 seperti keluhan dari pelanggan harus

dikelola dengan baik.

Akti@itas pengawasan oleh super@isor secara hirearki.

ekonsiliasi aset secara 2sik.

b" Separate internal control e!aluation

*engawasan dan e@aluasi atas pengendalian internal yang dilakukan secara

periodik.

II. /isk 4anagement: COSO E/4

Ada perubahan ketika Committee of Sponsoring Organizations 340"05 merilis

metodologi risiko perusahaan menjadi ormat COSO +nterprise (isk #anagement

340"0 9M5 yaitu pendekatan yang memungkinkan suatu perusahaan dan audit

internal mempertimbangkan dan menilai risiko di semua tingkatan1 baik di daerah

masing7masing 3seperti: proyek pengembangan teknologi in(ormasi 3TI55 atau dalam

risiko global berkaitan dengan perluasan internasional. &irilis oleh badan bimbingan

pengaturan yang sama dengan 40"0 tentang bagaimana mengembangkan danmemelihara kerangka pengendalian internal 40"01 40"0 9M kadang7kadang

tampak seperti saudara kontrol internal1 tetapi memiliki banyak nuansa dan

pendekatan yang berbeda.

*emahaman tentang pendekatan penilaian risiko dan manajemen risiko secara

keseluruhan1 dengan penekanan pada 40"0 9M sebaiknya ada common body of

knowledge 34?0K5 dalam setiap auditor internal. ?ab ini membahas dasar7dasar

manajemen risiko1 pengenalan 40"0 9M1 dan menyajikan teknik audit internal

untuk memahami dan menilai risiko di banyak daerah1 mulai dari memilih daerah

untuk meninjau hingga menge@aluasi risiko sebagai bagian dari tinjauan audit

internal.

*. Ris! +anaement ,%ndamental

Ketika *erusahaan menghadapi berbagai risiko perlu beberapa alat untuk memilah7

milah semuanya dalam rangka untuk membuat biaya yang rasional dan keputusan

terkait risiko. Ini adalah proses manajemen risiko. "ementara beberapa dalam bisnis

saat ini hanya menilai suatu daerah tinggi1 sedang1 atau rendahnya risiko dan


12/33

kemudian membuat keputusan asuransi atau perlindungan risiko yang cepat

berdasarkan pilihan tersebut. sedangkan yang lainnya menggunakan alat kualitati(

atau kuantitati( yang lebih canggih untuk memahami dan menge@aluasi risiko.

?erikut beberapa sur@ei dasar pendekatan manajemen risiko modern dengan tujuan

membantu membuat prosedur manajemen risiko perusahaan lebih e(ekti( dalam

suatu perusahaan. "ebuah proses manajemen risiko yang e(ekti( memerlukanempat langkah1 yaitu: 35 identi2kasi risiko1 3#5 penilaian kuantitati( atau kualitati(

terhadap dokumentasi risiko1 3+5 prioritas risiko dan respon perencanaan1 3,5 dan

pemantauan risiko.

9mpat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkat

perusahaan denga partisipasi banyak orang yang berbeda. Apakah perusahaan kecil

yang beroperasi di wilayah geogra2s yang terbatas atau bahkan yang lebih besar

3perusahaan di seluruh dunia5 pendekatan manajemen risiko harus dikembangkan

untuk seluruh perusahaan.

a. Ris! Identi-ationManajemen berusaha mengidenti2kasi semua risiko yang mungkin dapat

mempengaruhi keberhasilan perusahaan1 mulai dari yang lebih besar atau bisnis

yang secara keseluruhan lebih signi2kan terhadap risiko ke risiko yang kurang

penting dimana terkait dengan proyek7proyek indi@idu atau unit bisnis yang lebih

kecil. *roses identi2kasi risiko merupakan pendekatan yang disengaja agar dapat

melihat potensi risiko di setiap daerah operasi dan kemudian mengidenti2kasi area

risiko yang lebih signi2kan yang dapat mempengaruhi setiap operasi dalam jangka

waktu yang wajar.

Ide pendekatan ini adalah untuk menguraikan beberapa tingkat risiko yang tinggi

Fstraw manF 3orang7orang yang dipercaya5 yang dapat mempengaruhi berbagai unit

operasi. 0rang berpengetahuan melihat dan memperluas da(tar ini sesuai dengan

modi2kasi mereka. 98hibit !. menunjukkan beberapa jenis risiko utama yang dapat

mempengaruhi perusahaan termasuk berbagai risiko strategis1 operasi1 dan

keuangan. Ini adalah jenis da(tar 490 tingkat tinggi yang mungkin bisa digunakan

oleh pemegang saham sebagai pertanyaan umum pada pertemuan tahunan F

5hat worries you at the end of the dayGF Meskipun tidak mencantumkan semua

risiko yang dihadapi perusahaan1 da(tar pertama ini dapat digunakan untuk

memulai rincian identi2kasi risiko. Manajemen senior tingkat 490 perusahaan dapat

bertemu dengan sta(nya dan menanyakan beberapa hal FApa yang

mengkhawatirkanmu ...F jenis pertanyaan ini untuk mengidenti2kasi risiko.

Tabel !. Jenis7Jenis isiko *erusahaan

#


13/33

*ada Tabel !. dia atas disajikan beberapa model risiko secara umum. Model

risiko pada le@el yang lebih tinggi dapat digunakan sebagai dasar untuk

menentukan risiko yang lebih spesi2k pada berbagai unit perusahaan dengan

memperluas da(tar yang lebih lengkap dalam pengidenti2kasian risiko.Tim manajemen perusahaan harus memulai da(tar yang lebih lengkap tentang

potensi7potensi risiko perusahaan dengan pertanyaan sebagai berikut: Apakah risiko umum yang terjadi di perusahaan secara keseluruhan atau

risiko khusus yang terjadi di satu kelompok bisnisG

Apakah perusahaan menghadapi risiko ini karena (aktor internal atau

melalui peristiwa eksternalG

Apakah risiko berkaitan1 misalnya satu risiko dapat menyebabkan

terjadinya risiko lainG

+


14/33

b.5e" /isk &ssessments'angkah berikutnya pada proses identi2kasi risiko adalah menilai kemungkinan

dan signi2kansi yang relati(. ?erbagai pendekatan yang digunakan mulai dari

pendekatan kualitati( pada beberapa rincian hingga pendekatan kuantitati( pada

analisis yang sangat matematis. Ide ini membantu memutuskan mana darirangkaian acara tersebut yang berpotensi berisiko memberikan kekhawatiran

pada manajemen. Manajer harus bertanggung jawab menilai risiko ini dengan

menggunakan pendekatan kuesioner:

?agaimana kemungkinan terjadinya risiko ini selama periode satu tahun ke

depanGMenggunakan skor 7>1 menetapkan nilai terbaik melalui tebakan sebagai

berikut:"kor jika Anda melihat hampir tidak ada kesempatan 3almost no

chance5 terjadinya risiko selama periode tersebut."kor > jika Anda merasa acara tersebut hampir pasti akan terjadi

3almost certainly happen5 selama periode tersebut."kor # sampai - tergantung pada bagaimana Anda merasa

kemungkinan berada di antara dua rentang tersebut.

Apa signi2kansi risiko biaya pada perusahaan secara keseluruhanG "ekali

lagi menggunakan skala 7>1 rentang skor harus ditetapkan tergantung

risiko yang signi2kan pada keuangan. "ebuah risiko yang dapat

menurunkan biaya laba per saham dengan kemungkinan sen mungkin

dapat memenuhi syarat untuk skor maksimum >.

-i. Probability and 6ncertainty

Ketika sejumlah besar risiko telah diidenti2kasi1 manajemen harus

memikirkan perkiraan kemungkinan risiko indi@idu dan kejadian dalam dua

digit probabilitas berkisar antara $1$ sampai $1>>. entang nilai tersebut

menunjukkan bahwa risiko tidak pernah memiliki kesempatan $ 3tidak ada

,


15/33

risiko5 atau $$H 3pasti terjadi5. ?agaimanapun juga1 proses penilaian risiko

yang akurat tidak hanya diukur berdasarkan perkiraan yang dinyatakan

dalam rentang angka s.d. > atau dengan persentase. Manajemen

perusahaan harus melihat risiko yang teridenti2kasi dan mengumpulkan

in(ormasi lebih lanjut jika diperlukan.

-ii. (isk Interpendencies

&alam sebuah perusahaan seringkali risiko sangat saling bergantung satu

sama lain. "etiap unit operasi bertanggung jawab dalam mengelola risiko

sendiri tetapi mungkin saja menerima konsekuensi atas risiko yang terjadi

pada unit diatas atau dibawahnya dalam struktur organisasi.

-iii. (isk (anking

"ebuah perusahaan yang memiliki kekhasan mungkin akan menghasilkan

da(tar potensi risiko yang sangat panjang. 'angkah berikutnya yang perlu

dilakukan adalah menggunakan perkiraan tentang signi2kansi dankemungkinan 3likelihood5 yang telah dibuat1 menghitung peringkat risiko1 dan

kemudian mengidenti2kasi risiko yang paling signi2kan. Meskipun kita tidak

pernah bisa memprediksi konsekuensi utama dari risiko1 suatu perusahaan

harus selalu menyadari bahwa bencana terburuk bisa saja terjadi.

. /%antitati(e Ris! Analysis7. +pected 8alues and (esponse Planning

&iperlukan sedikit nilai dalam mengidenti2kasi risiko yang signi2kan

kecuali perusahaan telah merencanakan di awal berupa tindakan yang

diperlukan jika salah satu risiko terjadi. Ide ini memperkirakan dampak

biaya yang terjadi dari beberapa risiko yang telah diidenti2kasi dankemudian menerapkan biaya untuk probabilitas (aktor risiko untuk

menurunkan nilai yang diharapkan atau menurunkan biaya risiko. isiko

tersebut mahal jika terjadi namun juga mahal untuk melindunginya.9. (isk #onitoring

Mengidenti2kasi risiko utama tidak pernah bisa dilakukan sendiri dalam

suatu proses waktu. 'ingkungan disekitar risiko yang telah

diidenti2kasikan segera berubah karena kondisi sekitarnya berubah. 6ntuk

beberapa risiko1 kondisi dapat berubah sedemikian rupa sehingga risiko

menjadi ancaman yang lebih besar. *roses pemantauan yang akurat

merupakan komponen penting dari manajemen risiko. "uatu perusahaan

mungkin telah melalui proses yang rumit dalam mengidenti2kasi risikoyang signi2kan1 namun status risiko perlu dipantau secara teratur dan

apabila diperlukan maka dibuat perubahan atas risiko yang telah

diidenti2kasi tersebut.

0. COSO E/4: Enterprise /isk 4anagement

%


16/33

COSO4Interprise (isk #anagement adalah suatu kerangka kerja yang membantu

perusahaan untuk memiliki de2nisi yang konsisten terhadap risiko yang dimiliki. Ini

juga merupakan alat penting bagi pemahaman dan dan meningkatkan

pengendalian internal "o8. 40"0 9M diluncurkan pada cara yang sama dengan

pengembangan pengendalian internal framework COSO. &okumen kerangka 40"0

9M mende2nisikan manajemen risiko perusahaan sebagai berikut:

B+nterprise (isk #anagement adalah sebuah proses yang dipengaruhi oleh 1oard of

2irector perusahaan, manaemen dan personil lainnya yang diterapkan dalam

pembuat kebiakan di seluruh perusahaan yang dirancang untuk mengidenti&kasi

keadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar

berada dalam risk appetite untuk memberikan keyakinan tentang pencapaian

tuuan entitas.C

Adapun pertimbangan poin kunci yang mendukung kerangka kerja 40"0 9M ini

adalah:

ER+ adala1 proses. "uatu perusahaan sering tidak dapat menentukan aturan

manajemen risiko melalui buku peraturan kecil yang diselenggarakan.

"ebaliknya harus ada serangkaian langkah yang didokumentasikan untuk

meninjau dan menge@aluasi potensi risiko dan mengambil tindakan berdasarkan

berbagai (aktor di seluruh perusahaan.

Proses ER+ dila!sana!an ole1 oran2oran di dalam per%sa1aan. *roses

manajemen risiko harus dikelola oleh orang7orang yang cukup dekat dengan

kondisi risiko agar dapat memahami berbagai (aktor sekitar risiko termasuk

implikasinya.

ER+ diterap!an melal%i penat%ran stratei di per%sa1aan seara

!esel%r%1an. "etiap perusahaan terus dihadapkan dengan startegi alternati(mengenai macam potensi tindakan di masa depan. 6ntuk itu 9M harus

diterapkan di seluruh perusahaan dengan menggunakan jenis pendekatan

porto(olio yang memaduka mi of high4and low4risk acti!ities"

Konsep risk appetite1ar%s dipertimban!an. (isk appetiteadalah umlah

risiko pada le!el board1 diaman suatu perusahaan dan manajer bersedia

menerima dan mencari nilai. (isk appetite dapat diukur dalam arti kualitati(

dengan melihat risiko dalam kategori: tinggi1 sedang1 atau rendah.

alam menapai t%"%an1 9M memberikan keyakinan memadai bukan

jaminan pasti. Meskipun manajemen proses 9M e(ekti(1 perushaan dapat

mengalami peristiwa bencana maor dan benar7benar tak terduga. Keyakinan

yang memadai tidak menyediakan jaminan mutlak.

ER+ diranan %nt%! membant% menapai t%"%an. Melalui manajemen1

sebuah perusahaan harus bekerja untuk membangun tujuan umum high4le!el

yang dapat digunakan bersama oleh semua pemangku kepentingan. *rogram

9M keseluruhan perushaaan harus membantu mencapai tujuan tersebut.

!


17/33

0. Elemen elemen !%ni C#S# ER+

Kerangka pengendalian internal 40"01 seperti yang ditunjukkan dalam gambar di

bawah ini telah menjadi Model bagi seluruh dunia untuk menggambarkan dan

mende2nisikan pengendalian internal. ambar di bawah ini menunjukkan

(ramework 40"0 9M sebagai kubus tiga dimensi dengan komponen sebagaiberikut :

9mpat kolom @ertikal mewakili tujuan strategis dari risiko perusahaan.

&elapan baris horiontal atau komponen risiko.

?eberapa tingkatan untuk menggambarkan le@el unit perusahaan1 dari tingkat

entitas kantor pusat ke anak perusahaan indi@idu. Tergantung pada ukuran

organisasi1 akan ada banyak irisan model di sini.

Tujuan dari kerangka kerja 9M ini adalah untuk memberikan model bagi

perusahaan untuk mempertimbangkan dan memahami risiko yang berhubungan

dengan kegiatan di semua tingkat serta bagaimana dampak komponen risiko ini

satu sama lain. Karena diagram kerangka 40"0 9M terlihat sangat mirip dengan

kerangka pengendalian internal 40"0 yang telah akrab bagi banyak auditor internal

dalam beberapa tahun terakhir dan tentu setelah "081 beberapa terkadang salah

melihat 40"0 9M hanya sebagai pembaruan ke kerangka pengendalian internal

40"0. )amun1 40"0 9M memiliki tujuan dan kegunaan yang berbeda. 40"0 9M

tidak seharusnya dianggap hanya sebagai @ersi baru dan perbaikan atau re@isi dari

kerangka pengendalian internal 40"01 namun harus lebih dari itu. ?erikut ini garis

besar kerangka ini dari perspekti( komponen risiko.


18/33

3a5 Komponen 'ingkungan internal

?ila melihat bagian depan kubus 40"0 9M1 ada delapan tingkat1 dengan

lingkungan internal yang terletak di bagian atas kerangka 9M. "ebaliknya1 dalam

kerangka 40"0 pengendalian internal1 (aktor pengendalian lingkungan ditempatkan

di tingkat dasar. 'ingkungan internal dapat dianggap sebagai batu penjuru untuk

40"0 9M. Tingkat ini mende2nisikan dasar untuk semua komponen lain dalammodel 9M suatu perusahaan1 mempengaruhi bagaimana strategi dan tujuan harus

ditetapkan1 bagaimana risiko terkait kegiatan usaha terstruktur1 dan bagaimana

risiko diidenti2kasi dan cara menindaknya. Komponen lingkungan internal 40"0

9M terdiri dari unsur7unsur:

iloso2 manajemen risiko

Ini adalah sikap bersama dan keyakinan yang menjadi ciri bagaimana

perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya.

'ebih dari hanya sekedar pesan dalam kode etik1 2loso2 manajemen risiko adalah

sikap yang harus memungkinkan para pemangku kepentingan di semua

tingkatan untuk merespon proposal berisiko tinggi dengan jawaban menerimaatau tidak.

(isk appetite3"elera esiko5

"elera resiko adalah jumlah risiko yang bersedia diterima suatu perusahaan

dalam mengejar tujuannya. "elera untuk risiko dapat diukur dari segi kuantitati(

atau kualitati(1 tetapi semua tingkatan manajemen harus memiliki pemahaman

umum tentang selera resiko keseluruhan perusahaan mereka.

"ikap &ireksi

&ewan direksi dan komitenya memiliki peranan yang sangat penting dalam

mengawasi dan membimbing lingkungan risiko suatu perusahaan. 0rang yang

Independen1 diluar direktur khususnya harus mecermati tindakan manajemen1

mengajukan pertanyaan yang tepat1 dan ber(ungsi sebagai kontrol check7dan7

balance untuk perusahaan.

Integritas dan nilai etika

6nsur lingkungan internal 9M yang penting ini membutuhkan lebih dari sekedar

kode etik yang diterbitkan maupun1 berpikir diluar pernyataan misi dan integritas

standar. =al hal tersebut membantu untuk membangun budaya yang kuat

untuk memandu perusahaan1 di semua tingkatan1 membantu untuk membuat

keputusan berdasarkan resiko.

Komitmen untuk kompetensi

Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan

untuk melakukan tugas yang diberikan. Manajemen memutuskan bagaimanatugas7tugas penting akan dicapai melalui pengembangan strategi dan

menempatkan orang yang tepat untuk melakukan hal tersebut. &engan

komitmen yang kuat untuk kompetensi1 manajer di semua tingkatan harus

mengambil langkah7langkah untuk mencapai tujuan yang mereka janjikan.

"truktur organisasi

-


19/33

*erusahaan harus mengembangkan struktur organisasi dengan garis wewenang1

tanggung jawab1 dan pelaporan yang tepat. "etiap pro(esional telah melihat

situasi di mana sebuah organisasi tidak memiliki jalur komunikasi yang sesuai.

Tugas wewenang dan tanggung jawab

Komponen 9M ini mengacu pada sejauh mana wewenang dan tanggung jawab

ditugaskan atau didelegasikan. Tren di banyak perusahaan saat ini adalah untukmendorong persetujuan otoritas tanggung jawab pada bagian bawah bagan

organisasi1 memberikan tingkat yang lebih rendah dan bahkan pada karyawan lini

pertama otorisasi dan otoritas persetujuan yang lebih besar. Tren terkait telah

meratakan organisasi dengan menghilangkan tingkat manajemen menengah.

"truktur ini biasanya mendorong kreati@itas karyawan1 waktu respon lebih cepat1

dan kepuasan pelanggan yang lebih besar.

"tandar sumber daya manusia

*raktek mengenai perekrutan karyawan1 pelatihan1 kompensasi1 promosi1

mendisiplinkan1 dan semua tindakan lainnya memberikan pesan tentang apa

yang disukai1 ditoleransi1 dan terlarang. Ketika manajemen mengedipkan mata

atau mengabaikan pada beberapa kegiatan di area abu abu daripada

mengambil sikap yang kuat1 pesan tersebut biasanya secara in(ormal dan cepat

dikomunikasikan kepada orang lain. "tandar yang kuat diperlukan untuk

memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan

kepada semua pemangku kepentingan dan ditegakkan.

&ua komponen lingkungan internal 40"0 9M1 2loso2 manajemen risiko

perusahaan dan selera relati( dari risiko1 memberikan asupan bagi unsur7unsur lain

dari Kerangka 9M 40"0. "ementara 2loso2 manajemen risiko dibahas dalam hal

sikap dewan direksi dan kebijakan sumber daya manusia1 selera risiko sering

menajadi ukuran yang lebih halus1 jika suatu perusahaan telah menetapkan bahwa

selera resiko akan menerima beberapa risiko tetapi menolak hal hal lain dalam hal

kemungkinan dan dampaknya. ambar di bawah ini menunjukkan peta resiko.

*erusahaan harus mengenali pada range yang mana perusahaan bersedia

menerima risiko dalam hal kemungkinan dan dampaknya. ambar di bawah ini

menyatakan bahwa perusahaan mungkin bersedia untuk terlibat dalam proyek7

negati(7yang memiliki dampak tinggi jika ada kemungkinan rendah terjadinya hal

tersebut. "uatu perusahaan kadang7kadang juga akan memiliki selera yang lebih

besar untuk usaha yang lebih berisiko jika ada potensi pengembalian yang lebih

tinggi.

>


20/33

3b5 *enetapan Tujuan

?erada pada peringkat tepat di bawah lingkungan internal dalam kerangka 9M

40"01 penetapan tujuan menguraikan kondisi penting untuk membantu

manajemen membuat proses 9M yang e(ekti(. 9lemen ini menyatakan bahwa1

selain lingkungan internal yang e(ekti(1 perusahaan harus menetapkan serangkaian

tujuan strategis1 sejalan dengan misinya dan operasi yang meliputi1 pelaporan1 dan

akti@itas kepatuhan. 40"0 9M menekankan bahwa pernyataan misi adalah elemen

penting untuk menetapkan tujuanLpernyataan misi adalah sebuah pernyataan

tujuan secara umum yang di(ormalkan dan sebuah (ondasi untuk pengembangan

strategi (ungsional tertentu.

Intinya di sini adalah bahwa perusahaan harus menentukan strategi yang berkaitan

dengan risiko dan tujuan. &alam pedoman tersebut1 harus memutuskan selera dan

toleransi perusahaan untuk risiko ini. Artinya1 harus menentukan tingkat risiko yangbersedia diterima dan1 memberikan aturan7aturan toleransi risiko1 seberapa jauh

perusahaan bersedia untuk menyimpang dari langkah7langkah sebelum tersedianya

pengukuran. ambar di bawah ini menguraikan hubungan bagian7bagian dari

komponen penetapan tujuan dari 40"0 9M. &imulai dengan misi keseluruhan1

pendekatan ini adalah untuk :

. Mengembangkan tujuan strategis untuk mendukung pencapaian misi tersebut

#. Menetapkan strategi untuk memenuhi tujuan1

+. Mende2nisikan tujuan terkait1 dan

,. Menentukan selera risiko untuk menyelesaikan "trategi tersebut.

#$


21/33

ambar tersebut diadaptasi dari materi panduan 40"0 9M. Materi tersebut harus

dirujuk ke sebuah pemahaman yang lebih rinci dari 40"0 9M. 6ntuk mengelola

dan mengendalikan risiko di semua tingkat1 perusahaan perlu menetapkan tujuan

dan menentukan toleransi untuk terlibat dalam praktek berisiko dan kepatuhanterhadap aturan7aturan ini. "egala sesuatunya tidak akan bekerja jika perusahaan

menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi kemudian

mulai mengabaikan apa yang sudah ditetapkan.

3c5 Identi2kasi *eristiwa

*eristiwa adalah sebuah insiden atau kejadian perusahaan dari internal atau

eksternal yang mempengaruhi pelaksanaan strategi 9M dan pencapaian

tujuannya. "ementara kecenderungan kita adalah memikirkan peristiwa dalam

pengertian negati( 7 menentukan apa yang salah1 padahal suatu peristiwa juga bisa

berdampak positi(. ?anyak perusahaan saat ini memiliki alat pemantauan kinerja

yang kuat di tempat untuk memantau biaya1 anggaran1 jaminan kualitas1kepatuhan1 dan sejenisnya. )amun1 daripada hanya menginstal meter pada jalur

perakitan produksi1 proses pemantauan harus mencakup:

*eristiwa ekonomi eksternal

?erbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan

9M suatu perusahaan. Kedua duanya baik peristiwa jangka pendek dan jangka

panjang dapat berdampak pada tujuan strategis suatu perusahaan.

#


22/33

*eristiwa lingkungan alam

Apakah kebakaran1 banjir1 atau gempa bumi1 dan banyak peristiwa alam lainnya

dapat menjadi insiden dalam identi2kasi risiko 9M. &ampak di sini mungkin

termasuk hilangnya akses ke beberapa bahan baku utama1 kerusakan (asilitas

2sik1 atau tidak tersedianya personil.

*eristiwa politik6ndang7undang dan peraturan baru serta hasil pemilu dapat memiliki dampak

risiko yang signi2kan pada perusahaan. ?anyak perusahaan besar memiliki (ungsi

urusan pemerintahan yang mengulas perkembangan pemerintahan terkini dan

lobi7lobi untuk perubahan1 tetapi (ungsi tersebut tidak selalu selaras dengan

tujuan 9M perusahaan tersebut.

aktor sosial

"ementara peristiwa eksternal seperti gempa bumi adalah sebuah peristiwa tiba7

tiba dan muncul dengan sedikit peringatan1 sebagian besar (aktor sosial adalah

sebuah peristiwa yang berkembang perlahan. Ini termasuk perubahan demogra21

adat istiadat sosial1 dan peristiwa lainnya yang dapat mempengaruhi suatu

perusahaan dan pelanggan dari waktu ke waktu. *eristiwa in(rastruktur internal

*erusahaan sering melakukan perubahan halus yang memicu peristiwa terkait

risiko lainnya. "ebagai contoh1 perubahan dalam pengaturan layanan pelanggan

dapat menimbulkan keluhan utama dan penurunan kepuasan pelanggan di unit

ritel. *ermintaan pelanggan yang kuat untuk produk baru dapat menyebabkan

perubahan dalam persyaratan kapasitas pabrik dan kebutuhan personil

tambahan.

*eristiwa terkait proses internal

Mirip dengan perubahan peristiwa in(rastruktur1 perubahan proses kunci dapat

memicu berbagai risiko identi2kasi peristiwa. &alam banyak kasus1 identi2kasi

risiko mungkin tidak dapat langsung1 dan beberapa waktu mungkin berlalu

sebelum proses terkait sinyal peristiwa perlunya identi2kasi risiko.

*eristiwa Teknologi 9ksternal E Internal

"etiap perusahaan menghadapi berbagai macam peristiwa teknologi yang dapat

memicu kebutuhan untuk identi2kasi risiko (ormal. ?eberapa mungkin

berlangsung secara bertahap sementara yang lain1 seperti pergeseran ke

lingkungan eb1 lebih mendadak. &alam kasus lain1 perusahaan dapat merilis

perbaikan baru yang menyebabkan pesaing di mana7mana untuk melakukan

tindakan.

"uatu perusahaan perlu mende2nisikan dengan jelas risiko kejadian yang signi2kandan kemudian memiliki proses di tempat untuk memantau risiko kejadian yang

signi2kan tersebut untuk mengambil tindakan tepat yang diperlukan. Jenis

berpikiran maju dari proses ini sering sulit untuk dikenali di banyak perusahaan.

Melihat risiko potensial dalam peristiwa internal dan eksternal dan memutuskan

mana yang memerlukan perhatian lebih lanjut dapat menjadi proses yang sulit.

?eberapa merupakan kebutuhan mendesak1 dan yang lain sangat berupa

##


23/33

pengarahan masa depan. 40"0 9M menganjurkan perusahaan untuk

mempertimbangkan beberapa pendekatan berikut :

*ersediaan *eristiwa

Manajemen harus mengembangkan da(tar7terkait risiko kejadian umum untuk

industri perusahaan tertentu dan area (ungsional. Artinya1 perusahaan harusmempertimbangkan membuat da(tar risiko yang dapat diidenti2kasi dari

Bpelajaran pelajaran B dalam sumber arsip perusahaan.

5orkshopyang di(asilitasi

"uatu perusahaan dapat membangun workshop lintas (ungsional untuk

membahas (aktor7(aktor risiko potensial yang mungkin berkembang dari berbagai

peristiwa internal atau eksternal. =asil dari workshop ini akan menjadi rencana

aksi untuk memperbaiki potensi risiko.

awancara1 kuesioner1 dan sur@ei.

In(ormasi mengenai risiko potensial dalam suatu peristiwa dapat berasal dari

berbagai sumber1 seperti surat kepuasan pelanggan atau komentar wawancara

karyawan yang keluar. In(ormasi ini harus ditangkap dan diklasi2kasikan untukmengidenti2kasi kemungkinan yang mengarah ke peristiwa berisiko.

Analisis aliran proses

Materi mengenai teknik aplikasi 40"0 9M merekomendasikan penggunaan

diagram alir untuk meninjau proses dan mengidenti2kasi risiko potensial dalam

suatu peristiwa.

*emimpin peristiwa dan pemicu eskalasi

Idenya di sini adalah untuk membangun serangkaian unit pengukuran untuk

memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.

*elacakan data kerugian suatu peristiwa

"ementara pendekatan dashboard memantau risiko peristiwa yang terjadi1

seringkali terlalu berharga untuk meletakkan segala sesuatu dalam perspekti(yang lebih setelah berlalunya waktu. *elacakan data kerugian suatu peristiwa

mengacu untuk menggunakan kedua duanya baik sumber database internal

maupun masyarakat untuk melacak akti@itas di area yang menarik. "umber7

sumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi

terkemuka untuk tingkat kegagalan peralatan internal. 'agi 7 lagi di sini1 suatu

perusahaan harus menginstal proses identi2kasi risiko yang e(ekti( untuk

melacak kedua duanya baik resiko terkait peristiwa internal dan eksternal.

3d5 *enilaian isiko

"ementara komponen lingkungan internal adalah landasan 40"01 komponenpenilaian risiko adalah inti kerangka itu. *enilaian risiko memungkinkan suatu

perusahaan untuk mempertimbangkan apakah ada e(ek risiko potensial terkait

peristiwa yang mungkin dimiliki dalam suatu pencapaian perusahaan atas tujuan

perusahaannya. isiko ini harus dinilai dari dua perspekti(: kemungkinan risiko yang

terjadi dan dampak potensial. "ebagai bagian penting dari proses penilaian risiko

#+


24/33

ini1 bagaimanapun1 adalah kebutuhan untuk mempertimbangkan risiko inherent dan

risiko residual juga:

isiko Inherent

"eperti yang dide2nisikan oleh Kantor Manajemen dan Anggaran *emerintah A"1

risiko inherent adalah Fpotensi limbah1 kerugian1 penggunaan yang tidak sah1atau penyalahgunaan karena si(at dari suatu kegiatan itu sendiri.F aktor7(aktor

utama yang mempengaruhi risiko inherent adalah ukuran anggaran perusahaan1

kekuatan dan kecanggihan manajemen1 dan hanya si(at kegiatannya. isiko

inherent merupakan risiko diluar pengendalian manajemen dan biasanya berasal

dari (aktor eksternal.

isiko esidual

Ini adalah risiko yang tersisa setelah manajemen menanggapi ancaman risiko

dan menerapkan penanggulangan. Ada hampir selalu beberapa tingkat risiko

residual.

Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapibeberapa risiko. "etelah manajemen telah membahas risiko yang muncul dari

proses identi2kasi risiko1 masih akan ada beberapa risiko residual untuk diperbaiki.

"elain itu1 selalu ada beberapa risiko inherent dimana manajemen hanya dapat

melakukan sedikit untuk mengurangi risiko tersebut.

Kemungkinan risiko dan dampaknya adalah dua komponen kunci lain yang

diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau

kemungkinan bahwa risiko akan terjadi. &alam banyak kasus1 ini bisa menjadi

penilaian manajemen kunci yang dinyatakan dalam ukuran tinggi1 sedang1 atau

rendah dan kemungkinan risiko yang terjadi. Ada juga beberapa alat kuantitati(

yang baik untuk mengembangkan perkiraan kemungkinan1 tapi hanya sedikit yangbaik yang dapat memperkirakan kemungkinan risiko yang terjadi kecuali ada data

pendukung yang kuat.

Memperkirakan dampak jika risiko terjadi adalah sedikit lebih mudah. 4ontohnya1

untuk isiko terkait IT1 dampak dari kegagalan ser@er data dan pusat jaringanL

suatu perusahaan dapat mengembangkan beberapa perkiraan yang relati( akurat

seperti biaya (asilitas dan peralatan mengganti1 biaya sistem memulihkan1 dan

biaya kehilangan bisnis karena kegagalan terkait IT. )amun1 seluruh konsep di balik

9M tidak mengembangkan secara tepat1 perhitungan tingkat aktuaria mengenai

risiko ini tetapi untuk menyediakan kerangka kerja manajemen risiko yang e(ekti(.

*erhitungan rinci dapat didelegasikan kepada estimator asuransi dan lain7lain.

Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui

serangkaian langkah7langkah kuantitati( dan kualitati(. Ide dasarnya1

bagaimanapun1 adalah untuk menilai semua risiko diidenti2kasi dan untuk

memeringkat risiko risiko tersebut dalam hal kemungkinan dan dampak secara

konsisten.

#,


25/33

Tanpa melalui analisis kuantitati( rinci1 setiap risiko yang diidenti2kasi dapat

digolongkan dalam keseluruhan skala relati( sampai $1 dengan pertimbangan

diberikan kepada dampak dan kemungkinan masing7masing. *eringkat ini dapat

dicapai dengan proses keputusan manajemen yang (okus di mana masing7masing

risiko yang teridenti2kasi ditinjau dan kemudian diperingkat sehubungan dengan

skala ini. ambar di bawah ini menunjukkan bagaimana serangkaian risiko untuksebuah perusahaan sampel dinilai pada tinggi1 sedang1 atau nilai relati( rendah.

6ntuk perusahaan yang lebih besar1 risiko dapat ditingkatkan sampai $ atau

bahkan 7$$ memungkinkan granularity yang lebih besar. Idenya adalah untuk

menetapkan beberapa peringkat relati( terhadap risiko dan untuk mengidenti2kasi

risiko7risiko yang harus mendapat perhatian yang paling menyeluruh dari

manajemen.

3e5 espon isiko

"etelah dinilai dan diidenti2kasi risiko 7 risiko yang lebih signi2kan1 40"0 9M

menyerukan agar respon diukur untuk berbagai risiko yang teridenti2kasi.

#%


26/33

"eharusnya ada re@iew yang seksama terhadap estimasi kemungkinan risiko dan

potensi dampaknya1 dengan pertimbangan diberikan kepada biaya dan man(aat

yang terkait1 untuk mengembangkan strategi respon risiko yang sesuai. espon

risiko ini dapat ditangani dengan salah satu dari empat cara dasar ini:

. MenghindariIni adalah strategi berjalan menjauh dari7risiko seperti menjual unit bisnis yang

menimbulkan risiko1 keluar dari wilayah geogra2s berisiko1 atau membuang lini

produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa membuang lini

produk atau berjalan jauh sampai peristiwa risiko telah terjadi dengan biayanya

yang terkait. Kecuali suatu perusahaan memiliki selera yang sangat rendah untuk

risiko1 sulit untuk pergi dari daerah bisnis atau lini produk yang dinyatakan sukses

atas dasar potensi risiko di masa depan. *enghindaran bisa menjadi strategi

berpotensi mahal jika in@estasi dilakukan untuk masuk ke suatu daerah dengan

penarikan berikutnya untuk menghindari risiko.

#. Mengurangi?erbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. &i@ersi2kasi

lini produk dapat mengurangi risiko yang terlalu kuat dari ketergantungan pada satu

kunci lini produkL membagi operasi IT menjadi dua lokasi geogra2s yang terpisah

akan mengurangi risiko beberapa bencana kegagalan.

+. Membagi

=ampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui

pembelian asuransi1 tetapi teknik berbagi risiko7lain juga tersedia. 6ntuk transaksi

keuangan1 suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk

melindungi dari kemungkinan uktuasi harga1 atau dapat berbagi risiko bisnis

potensial dan man(aat melalui perjanjian joint @enture perusahaan atau pengaturanstruktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa

risiko potensial serta berbagi dalam reward yang dihasilkan.

,. Menerima

Ini adalah strategi dimana tidak ada tindakan yang dilakukan1 seperti ketika suatu

perusahaan menjamin dirinya sendiri dengan mengambil tindakan untuk

mengurangi potensi risiko. *ada dasarnya1 perusahaan harus melihat kemungkinan

dan dampak risiko dalam menyoroti toleransi risiko yang tersedia dan kemudian

memutuskan apakah akan menerima risiko itu atau tidak. *enerimaan sering

merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi

perusahaan.

Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan

pemikiran strategis. ?eberapa alternati( respon risiko mungkin melibatkan biaya1

waktu1 dan perencanaan proyek rinci . 40"0 9M menyerukan agar risiko harus

dipertimbangkan dan die@aluasi pada basis entity atau porto(olio besar. Ini bisa

menjadi proses yang sulit1 dalam multi unit yang besar1 perusahaan multiproduct1

#!


27/33

tetapi proses ini menyediakan titik awal dalam mengatur berbagai risiko untuk

mengidenti2kasi risiko yang lebih signi2kan yang dapat mempengaruhi perusahaan.

Idenya di sini adalah untuk melihat potensi risiko1 probabilitas terjadinya mereka1

dan dampaknya.

3(5 Akti@itas *engendalianAkti@itas pengendalian 9M ini adalah kebijakan dan prosedur yang diperlukan

untuk memastikan tindakan pada respon risiko yang teridenti2kasi. Meskipun

beberapa dari akti@itas ini mungkin berhubungan hanya untuk respon risiko yang

teridenti2kasi dan disetujui di area perusahaan1 akti@itas ini sering tumpang tindih

di beberapa (ungsi dan unit. Akti@itas pengendalian komponen 40"0 9M harus

terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas

sebelumnya.

Memiliki respon risiko terpilih yang sesuai1 perusahaan harus memilih akti@itas

pengendalian yang diperlukan untuk memastikan bahwa respon risiko dijalankan

secara tepat waktu dan e2sien. "etelah melalui identi2kasi risiko kejadian 40"09M1 proses penilaian1 dan respon1 pemantauan risiko memerlukan empat langkah

berikut:

. Mengembangkan pemahaman yang kuat tentang risiko secara signi2kan dan

membangun prosedur penngendalian untuk memantau atau membetulkan risiko.

#. Membuat latihan menghadapi kebakaran1 jenis prosedur pengujian untuk

menentukan apakah prosedur pengendalian risiko terkait tersebut bekerja secara

e(ekti(.

+. Melakukan tes proses pemantauan risiko untuk menentukan apakah proses

tersebut bekerja secara e(ekti( dan seperti yang diharapkan.

,. Membuat penyesuaian atau perbaikan yang diperlukan untuk memperbaikiproses pemantauan risiko.

?anyak akti@itas pengendalian di bawah pengendalian internal 40"0 cukup mudah

untuk diidenti2kasi dan diuji karena si(at akuntansi mereka. Kegiatan pengawasan

ini umumnya termasuk daerah7daerah pengendalian internal di bawah ini:

*emisahan tugas.

*ada dasarnya1 orang yang memulai transaksi tidak harus orang yang sama yang

mengotorisasi transaksi itu.

Audit trails.

*roses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudahditelusuri kembali ke transaksi yang menciptakan hasil tersebut.

Keamanan dan integritas.

*roses pengendalian harus memiliki prosedur pengendalian yang tepat sehingga

hanya orang yang berwenang dapat meninjau atau memodi2kasi proses

tersebut.

&okumentasi.

*roses harus tepat didokumentasikan.

#


28/33

Meskipun tidak ada akti@itas pengendalian 9M yang diterima atau set standar

akti@itas pengendalian 9M saat ini1 dokumentasi 40"0 9M menunjukkan

beberapa bidang:

e@iu Top7le@elManajer senior harus sangat menyadari risiko peristiwa yang teridenti2kasi dalam

unit organisasi mereka dan melakukan re@iew tingkat atas secara reguler pada

status risiko yang teridenti2kasi.

ungsional langsung atau kegiatan manajemen

"elain re@iew tingkat atas1 manajer unit (ungsional dan langsung harus memiliki

peran kunci dalam pengendalian risiko pemantauan akti@itas. =al ini sangat

penting di mana kegiatan pengendalian berlangsung dalam unit operasi terpisah

dengan kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.

Memproses in(ormasi

Apakah proses tersebut berbasis peralatan IT atau bentuk yang lebih halus

seperti kertas atau pesan1 pengolahan in(ormasi merupakan komponen kuncidalam akti@itas pengendalian risiko terkait suatu perusahaan. *rosedur

pengendalian yang tepat harus ditetapkan dengan penekanan pada proses IT dan

risiko perusahaan.

*engendalian 2sik

?anyak kekhawatiran terkait risiko yang melibatkan aset 2sik1 seperti peralatan1

persediaan1 sekuritas1 dan banguan 2sik. Apakah persediaan 2sik1 inspeksi1 atau

prosedur keamanan pabrik1 perusahaan harus menginstal prosedur akti@itas

pengendalian 2sik berbasis risiko yang sesuai.

Indikator kinerja

Tipikal *erusahaan yang khas saat ini adalah mempekerjakan berbagai alat

pelaporan keuangan dan operasional yang juga dapat mendukung pelaporankinerja risiko7terkait peristiwa yang berhubungan. Jika diperlukan1 alat kinerja

harus diubah untuk mendukung komponen akti@itas pengendalian 9M yang

penting.

*emisahan tugas

"ebuah akti@itas pengendalian klasik1 orang yang memulai tindakan tertentu

tidak harus orang yang sama yang menyetujui tindakan tersebut.

3g5 In(ormasi dan Komunikasi

Meskipun relati( mudah untuk menggambarkan bagaimana in(ormasi harus

dikomunikasikan dari satu komponen 40"0 9M ke komponen lain dalam diagramalir sederhana1 melakukannya adalah proses yang jauh lebih kompleks dalam

prakteknya. *roses dasar di banyak perusahaan terdiri dari web kompleks sistem

in(ormasi operasional dan keuangan yang sering tidak sangat baik terkait.

=ubungan ini menjadi lebih kompleks untuk banyak proses 9M1 mengingat bahwa

banyak aplikasi dasar perusahaan tidak langsung meminjamkan diri untuk

identi2kasi risiko1 penilaian1 dan respon risiko. Melampaui aplikasi in(ormasi 9M

#-


29/33

komprehensi( untuk suatu perusahaan1 ada kebutuhan untuk mengembangkan

sistem pemantauan risiko dan komunikasi yang menghubungkan dengan

pelanggan1 pemasok1 dan pemangku kepentingan lainnya.

"edangkan segmen in(ormasi dari Komponen in(ormasi dan komunikasi 9M

biasanya memikirkan dalam hal sistem in(ormasi strategis dan operasional IT1 aspekkedua komponen ini1 komunikasi 9M1 berbicara tentang komunikasi sekedar

aplikasi IT. Ini termasuk kebutuhan agar mekanisme memastikan bahwa semua

pemangku kepentingan menerima pesan mengenai kepentingan perusahaan dalam

mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan

mengenai peran dan tanggung jawab manajemen risiko. 40"0 9M akan bernilai

kecil untuk sebuah perusahaan kecuali pentingnya 40"0 9M dikomunikasikan

kepada semua pemangku kepentingan secara umum dan konsisten.

#>


30/33

3h5 *engawasan

&itempatkan di dasar kerangka model komponen 9M1 pemantauan 9M

diperlukan untuk menentukan bahwa semua komponen 9M terpasang bekerja

secara e(ekti(. Melampaui alat monitor dashboard1 manajemen perusahaan

harus mengambil tanggung jawab keseluruhan untuk pemantauan 9M. &alamrangka membangun kerangka 9M yang e(ekti(1 pemantauan harus mencakup

tinjauan berkelanjutan dari proses 9M secara keseluruhan mulai dari identi2kasi

tujuan untuk kemajuan akti@itas pengendalian 9M yang sedang berlangsung.

&okumen Kerangka Aplikasi 40"0 9M menunjukkan bahwa pemantauan dapat

mencakup jenis kegiatan:

*elaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti

posisi uang tunai1 penjualan unit1 dan data keuangan utama.

*roses pelaporan peringatan terkait risiko periodik harus memantau aspek7aspek

kunci dari kriteria risiko yang ditetapkan1 termasuk tingkat kesalahan diterima

atau hal 7 hal yang diadakan dalam suspense. *elaporan tersebut harusmenekankan tren statistik dan perbandingan baik dengan periode sebelumnya

dan dengan sektor industri lainnya.

"tatus laporan risiko saat ini dan periodik terkait temuan dan rekomendasi dari

laporan audit internal dan eksternal1 termasuk status79M terkait "08 yang

mengidenti2kasi kesenjangan

*embaruan risiko terkait in(ormasi yang berasal dari sumber seperti re@isi aturan

pemerintah1 tren industri1 dan berita ekonomi secara umum. "ekali lagi1 jenis

pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua

tingkatan.

*engawasan e@aluasi yang terpisah atau indi@idu mengacu pada re@iew rinci

dari proses risiko indi@idu oleh resensi berkualitas1 seperti audit internal. &alam hal

ini re@iew terbatas pada daerah tertentu atau mencakup seluruh proses 9M untuk

unit usaha. Audit internal sering menjadi sumber internal yang terbaik untuk

melakukan re@iew 9M tertentu. *eran audit internal dalam proses 9M dan peran

mereka dalam pemantauan1 khususnya1 dibahas dalam bagian berikutnya.

3. imensi $ain dari C#S# ER+ : Enterprise Ris! #b"eti(es

a. Operation (isk #anagement Obecti!es

&engan pandangan 9M atas risiko1 perusahaan harus menghindari terlalu banyak

meringkas1 menghilangkan1 atau membulatkan risiko yang penting pada tingkatyang lebih rendah. Manajer di semua tingkatan dalam perusahaan atau lokasi

geogra2s manapun harus menyadari bahwa mereka bertanggung jawab menerima

dan mengelola risiko dalam unit operasional mereka masing7masing. Manajer unit

sering beranggapan bahwa manajemen risiko hanya menjadi perhatian kantor

pusat. *entingnya 40"0 9M dan manajemen risiko operasi harus dikomunikasikan

+$


31/33

kepada semua tingkat perusahaan. Auditor internal harus bertindak sebagai mata

dan telinga serta melaporkan semua risiko operasi yang diamati.

b. (eporting (isk #anagement Obecti!es

"etiap perusahaan menghadapi risiko yang besar atas keakuratan pelaporan di unit

atau wilayah. 6nit operasi harus memastikan bahwa hasil yang dilaporkan telahbenar sebelum disampaikan ke tingkat berikutnya dalam organisasi1 angka

konsolidasi harus akurat1 baik pada laporan keuangan1 laporan pajak1 dll. 9M

ber(okus dengan risiko otorisasi dan penerbitan laporan yang tidak akurat.

*engendalian internal yang baik diperlukan untuk memastikan pelaporan yang

akurat. *engendalian internal yang kuat harus meminimalkan risiko kesalahan1 dan

suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan

pelaporan yang akurat. Kesalahan dan perbedaan kecil dapat diabaikan dalam

jangka pendek sampai kemudian terdapat kesalahan besar yang perlu diungkapkan.

isiko pelaporan yang tidak akurat harus menjadi perhatian di semua tingkat

perusahaan.

c. :egal and (egulatory Compliance (isk Obecti!es

40"0 9M merekomendasikan bahwa risiko terkait kepatuhan perlu

dipertimbangkan untuk setiap

komponen kerangka risiko1 baik dalam konteks lingkungan internal1 penetapan

tujuan1 atau monitoring risiko1 serta di seluruh perusahaan. "emua perusahaan

menghadapi berbagai persyaratan kepatuhan atas hukum dan peraturan. "i(at

3nature5 dari risiko kepatuhan perlu dikomunikasikan dan dipahami oleh semua

tingkat dalam perusahaan. *erusahaan dapat menerima tingkat risiko tertentu

mengenai kepatuhan hukum. "ementara hukum besar tidak boleh dengan sengaja

diabaikan karena merasa pelanggaran tersebut tidak akan pernah tertangkap1

perusahaan harus selalu mengambil pendekatan beralasan risiko dalam

hubungannya dengan keseluruhan 2losopi dan selera risiko. &alam rangka

mengelola dan menetapkan tujuan risiko atas hukum dan peraturan1 dewan direksi1

4901 dan anggota manajemen perlu memahami si(at 3nature5 dan cakupan 3etent5

risiko atas semua peraturan yang dihadapi perusahaan. &i@isi hukum1 manajer

kunci1 audit internal1 dan lain7lain dapat membantu dalam penyusunan in(ormasi ini.

Entity2$e(el Ris!s

a. isiko yang Meliputi "eluruh 0rganisasi 3(isks +ncompassing the +ntire

Organization5

?eberapa risiko di tingkat unit bisnis dapat meningkat menjadi risiko di tingkatentitas. Mudah bagi suatu perusahaan untuk mempertimbangkan beberapa risiko

tingkat unit sebagai Ftidak materialF tetapi sebaiknya perusahaan harus memikirkan

semua risiko berpotensi menjadi signi2kan. *oinnya adalah baik risiko besar

maupun yang tampaknya risiko kecil dapat berdampak pada seluruh perusahaan.

b. isiko Tingkat 6nit ?isnis 31usiness 6nit4:e!el (isks5

+


32/33

?erdasarkan pada kompleksitas dan jumlah unit operasi1 tanggung jawab risiko

terbaik dapat dimulai sebagai proses push4down di mana manajemen tingkat

korporasi menguraikan (okus terkait risiko utama dan meminta manajemen yang

bertanggung jawab pada masing7masing di@isi utama untuk sur@ei tujuan risiko

melalui unit operasi dalam di@isi tersebut. &engan cara ini1 risiko yang signi2kan

dapat diidenti2kasi pada semua tingkatan dan kemudian dikelola di tingkat yangdikenai dampak langsung dari risiko.

P%ttin It All Toet1er

Kerangka kerja 40"0 9M menggunakan pendekatan manajemen risiko yang

applicableuntuk semua industri dan mencakup semua jenis risiko. &engan (okus

mengidenti2kasi selera risiko 3risk appetite5 suatu perusahaan dan kebutuhan untuk

menerapkan manajemen risiko dalam konteks pengaturan strategi secara

keseluruhan. Manajemen perusahaan di semua tingkatan harus mencakup 40"0

9M1 alat penting untuk memahami banyak risiko yang dihadapi perusahaan saat

ini. Auditor internal harus membuat 40"0 9M sebagai persyaratan 4?0K

3Common 1ody of ;nowledge5 dan harus melakukan audit internal sesuai dengan

*roses 9M.

A%ditin Ris! and C#S# ER+ Proesses

Auditor internal akan menghadapi isu7isu risiko dan manajemen risiko saat

melakukan re@iu. Auditor internal yang e(ekti( harus memahami proses manajemen

risiko. Auditor internal melakukan re@iu internal controldi beberapa area dan akan

memutuskan bahwa area tersebut dipilih atau tidak dipilih karena Fpertimbangan

risiko.F Auditor harus memiliki tingkat pemahaman 4?0K atas proses dasar

manajemen risiko untuk dapat mengajukan pertanyaan yang tepat dan untuk

mere@iu kecukupan proses7proses tersebut. Audit Internal harus mere@iu proses9M perusahaan secara keseluruhan dengan menggunakan beberapa toolssbb :

Process


33/33

/isk 4anagement and COSO E/4 in %erspectiveManajemen risiko dan 40"0 9M adalah keterampilan pengetahuan yang

seharusnya menjadi bagian dari 4?0K setiap auditor internal. Auditor internal harus

menggunakan prinsip manajemen risiko untuk memutuskan area mana yang dipilih

untuk dire@iu dan kemudian menggunakan prinsip risiko ketika menilai bukti audit.

Mungkin bahkan lebih penting1 40"0 9M akan dirasakan pentingnya dan diakuiseiring dengan makin meluasnya perusahaan memahami dan mengadopsi kerangka

kerja 9M. Audit internal harus memiliki pemahaman 4?0K dari 40"0 9M baik

untuk kepatuhan audit dalam proses maupun dalam berkonsultasi dengan

manajemen untuk memastikan implementasi yang lebih e(ekti(.

paper kelompok ia2

Documents