BAB 5

11991ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT

Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi mekanisme

standar yang mengukur dan mengevaluasi pengendalian akuntansi internal di bawah Sarbanes-

Oxley Act (SOx). Sox dianggap kurang member perhatian penuh pada pengendalian internal

berbasis TI. Oleh karena itu dibuatlah Control Objectives for Information and Related

Technology (CobiT) yang lebih member perhatian terhadap pengendalian internal berbasis TI.

CobiT bukanlah pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat

yang membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah

berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman yang cukup

tinggi untuk melakukan audit.

Introduction to CobiT

Kerangka kerja CobiT kini telah diperluas dan sebagai auditor, sedikitnya harus memahami

untuk membantu pendokumentasian, pengkajian, dan pemahaman SOx. Perubahan dan

pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan

Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI

sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan

sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun

karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem

TI dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih

focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang

meliputi:

Keselarasanstrategi

Pendistribusian yang bernilai

Manajemenrisiko

Manajemensumberdaya

Pengukurankinerja

Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan

CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian

internal lainnya. Walupun awalnya hanya dikenal sebagai “Audit TI”, namun CobiT masih

merupakan alat yang paling efektif hingga saat ini.

CobiT Framework

Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian

penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya

seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem

atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat

membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.

Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam pengambilan

keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif. Namun kini

hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan hubungan timbale

balik yang begitu erat.

Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti apa

yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses yang

diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif. Dan

CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan proses

bisnisnya.

Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga bagi

perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut.

Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang

terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan

keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang

merupakan dasar CobiT.

Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI sebagai

serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya

pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.

CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan

dengan TI, yaitu sumber daya, proses, dan jenis informasi.

Using CobiT to Assess Internal Controls

Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu memahami

konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep CobiT ini dapat

berguna untuk menilai dan mengembangkan pengendalian internal perusahaan.

Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus dievaluasi melalui

lima langkah berikut:

Pengendalian yang dilakukan (nama proses)

Fokus utama proses bisnis (daftar kebutuhan bisnis)

Tujuan penggunaan TI (daftar penting penggunaan TI)

Bagaimana mencapainya (daftar laporan pengendalian)

Dan diukur dengan (daftar kunci metrik)

Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya yang dapat

berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis perusahaan.

Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga harus digunakan

untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau pun tidak.

a) Planning and enterprise

b) Acquisition and implementation

c) Delivery and support

d) Monitoring and evaluating

Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO digunakan

sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang bersifat umum pada

audit internal lainya. COBIT disini menekankan pada penggunaan kerangka kerja COBIT bagi

semua auditor guna membantu pekerjaan mereka serta adanya SOX sebagai aturan persyaratan

kepatuhan mereka.

5.5 COBIT PETUNJUK JAMINAN KERANGKA KERJA

Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk

pengendalian internal yang lebih efektif dengan menggunakan penekanan pada sumber daya

ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka kerja (ITAF) yang

difungsikan untuk memberikan pedoman pada pelikalu, desain, serta pelaporan internal audit

oleh IT. Tujuan dari ITAF adalah untuk mendefinikan suatu standar perangkat guna membantu

memastikan kualitas, konsistensi dan keandalan penilaian IT berdasarkan peraturan-peratauran

yang berlaku.

5.6 COBIT DALAM PERSEPTIF

Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam kerangka

kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal secara lebih

teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti dialami oleh

seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-aturan dari IT

sendiri, seperti yang dijelaskan pada pada lampiran 5.1 yang menggambarkan pentingnya aliansi

strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana, manajemen sumber daya,

manajemen resiko dan proses pengukuran kinerja. Kelima sumber daya tersebut memungkinkan

perusahaan untuk membangun tata kelolah IT yang efektif serta adanya COBIT yang akan

membantu dalam pengelolahan dan pemahaman mengenai konsep-konsep yang benar. Semua

auditor diharapkan memiliki pemahaman tentang CBOK dari COBIT dan belajar untuk

menggunakan serta memahami pengendalian internal terhadap penilaian kerangka kerja.

BAB 6

RESIKO MANAJEMEN : COSO ERM

Melalui strandart internal audit no 5 (AS 5),menyatakan seorang audit internal yang di jamin dan

mempunyai peran memberikan konsultasi dapat berkontribusi dalam menangani manajemen

resiko. Salah satu konsep profesional dan pemahaman risiko mungkin sangat berbeda dari yang

lain ini, meskipun mereka sama-sama bekerja untuk perusahaan yang sama dan di daerah yang

sama pula. Ini utama berlaku untuk manajer dan internal auditor yang bekerja untuk

meningkatkan SOx terkait kepatuhan, belum ada pemahaman yang konsisten tentang apa yang

dimaksud dengan konsep risiko. Konsep utama di balik AS 5 adalah bahwa manajemen dan

auditor eksternal harus mempertimbangkan risiko relatif ketika menerapkan dan menilai

pengendalian internal untuk mencapai kesesuai dengan Pasal 404 aturan SOx pengendalian

internal. Komite Organisasi Sponsoring (COSO) merilis metodologi risiko perusahaan, COSO

Manajemen Resiko Perusahaan - Format Terpadu (COSO ERM). Ini merupakan pendekatan

yang memungkinkan suatu perusahaan dan audit internal untuk mempertimbangkan dan menilai

risiko di semua tingkatan, baik di daerah masing-masing, seperti untuk teknologi informasi (TI)

proyek pembangunan, atau dalam risiko global berkaitan dengan perluasan internasional. Bab ini

memperkenalkan kerangka COSO ERM dan unsur-unsurnya, tetapi penekanan adalah tentang

mengapa COSO ERM bisa menjadi alat audit yang penting untuk memahami dan mengevaluasi

risiko di sekitar pengendalian internal di semua tingkatan. Kita menggambarkan unsur-unsur

utama dari kerangka COSO ERM dan melihat bagaimana internal auditor yang lebih baik dapat

membangun COSO ERM ke dalam proses audit serta langkah-langkah untuk audit efektivitas

proses manajemen risiko suatu perusahaan.

6.1 Manajemen Risiko Fundamental

Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai

yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan dalam semua

kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya. Sebuah proses

manajemen risiko yang efektif memerlukan empat langkah:

1. identifikasi risiko,

2. kuantitatif atau kualitatif penilaian risiko terdokumentasi,

3. prioritas resiko dan respon perencanaan, dan

4. pemantauan risiko. empat langkah proses manajemen risiko Ini harus dilaksanakan di

semua tingkat perusahaan dan dengan partisipasi banyak orang yang berbeda

6.2 COSO ERM: Resiko Manajemen PerusahaanCOSO ERM: Resiko Manajemen Perusahaan adalah suatu kerangka kerja untuk membantu

perusahaan dalam menilai konsisten definisi risiko mereka. Ini juga merupakan alat yang penting

untuk memahami dan meningkatkan SOx kontrol internal. COSO ERM diluncurkan dengan cara

yang mirip dengan pengembangan kerangka pengendalian dari internal COSO.

6.3 COSO ERM kunci elemen-elemen

Kerangka kerja COSO pengendalian internal dapat menjadi gamabaran dan definisikan dari

pengendalian internal serta dapat menjadi basis penetapan sanski 404 Sox

Dari rubik tersebut memiliki komponen :

empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.

Delapan baris horizontal merupakan komponen risiko

Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat

"markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi,

akan ada banyak irisan model di sini.

Sumber daya manusia standar.

Praktek mengenai perekrutan karyawan, pelatihan, kompensasi, mempromosikan,

mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai,

ditoleransi, dan dilarang.Kuat standar diperlukan untuk memastikan bahwa aturan sumber

daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The

COSO ERM menerbitkan bahan bimbingan berisi contoh-contoh yang diperlukan untuk

membangun komponen lingkungan internal yang efektif.

(B) Pengaturan Tujuan

Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan

pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses

efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan

harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan meliputi operasi,

pelaporan, dan kegiatan kepatuhan. COSO ERM Sumber daya manusia standar.

Intinya adalah bahwa perusahaan harus mendefinisikan risiko terkait strategi dan tujuan.

Berdasarkan hal tersebut, maka harus memutuskan keinginan dan toleransi untuk risiko ini.

Artinya, harus menentukan tingkat risiko yang bersedia diterima dan, diberikan aturan toleransi

risiko, seberapa jauh penyimpangan dari preestablished mengukur.

Exhibit 6,7 menguraikan hubungan dari komponen tujuan-setting COSO ERM. Dimulai dengan

misi keseluruhan, Pendekatan adalah untuk (1) mengembangkan tujuan strategis untuk

mendukung pemenuhan itu misi, (2) membuat strategi untuk mencapai tujuan, (3)

mendefinisikan tujuan terkait, dan (4) menentukan selera risiko untuk menyelesaikan strategi itu.

(C) Kegiatan Identifikasi

Peristiwa yang terjadi di perusahaan atau kejadian-eksternal atau eksternal-yang

mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Banyak perusahaan yang saat

ini memiliki alat pemantauan di tempat untuk memantau biaya, anggaran, jaminan kualitas,

kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:

1. Eksternal ekonomi kejadian. Berbagai peristiwa eksternal perlu dipantau untuk membantu

mencapai tujuan ERM suatu perusahaan. Baik jangka pendek dan jangka panjang peristiwa

dapat berdampak tujuan strategis suatu perusahaan.

2. Lingkungan kejadian alam. Apakah kebakaran, banjir, atau gempa bumi, banyak peristiwa

dapat menjadi insiden di identifikasi risiko ERM.

3. Kejadian politik. Undang-undang baru dan peraturan serta hasil pemilu dapat memiliki

signifikan risiko acara yang berhubungan dengan dampak pada perusahaan. Banyak

perusahaan besar memiliki fungsi urusan pemerintahan.

4. Faktor-faktor sosial. Sementara peristiwa eksternal seperti gempa bumi yang tiba-tiba.

sebagian besar faktor-faktor sosial secara perlahan berkembang peristiwa. Termasuk

perubahan demografi, adat-istiadat sosial, dan peristiwa lain yang mungkin berdampak suatu

perusahaan dan pelanggan dari waktu ke waktu.

5. Kejadian infrastruktur internal. Usaha sering membuat perubahan jinak yang memicu risiko

lain yang berhubungan dengan kejadian.

6. Proses internal-peristiwa terkait. Mirip dengan perubahan dalam kegiatan infrastruktur,

perubahan dalam proses kunci dapat memicu berbagai peristiwa identifikasi risiko.

7. Eksternal dan internal teknologi kejadian. Setiap perusahaan menghadapi berbagai macam

peristiwa teknologi yang dapat memicu perlunya risiko formal identifikasi.

Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan kemudian

memantau mereka untuk mengambil tindakan yang tepat diperlukan. Melihat peristiwa internal

dan eksternal potensi risiko dan memutuskan mana yang memerlukan perhatian lebih

lanjut.dapat menjadi proses yang sulit. The COSO ERM menyarankan perusahaan

mempertimbangkan beberapa pendekatan:

1. Terjadinya persediaan. Manajemen harus mengembangkan resiko yang berhubungan dengan

daftar kejadian umum untuk industri spesifik perusahaan dan area fungsional.

2. Difasilitasi lokakarya. Suatu perusahaan dapat membangun lintas-fungsional lokakarya

untuk membahas faktor-faktor risiko potensial yang mungkin berevolusi dari internal atau

eksternal berbagai peristiwa.

3. Wawancara, kuesioner, dan survei. Informasi mengenai potensi risiko kejadian dapat berasal

dari berbagai sumber, seperti kepuasan pelanggan surat atau komentar keluar karyawan

wawancara.

4. Proses analisis flo. The COSO teknik aplikasi ERM bahan merekomendasikan penggunaan

diagram alir untuk meninjau proses dan mengidentifikasi potensi resiko kejadian.

5. Memimpin acara dan memicu eskalasi. Idenya di sini adalah untuk membangun serangkaian

pengukuran unit bisnis untuk memonitor tujuan toleransi risiko dan mempromosikan

tindakan perbaikan.

6. Rugi data pelacakan. Sementara pendekatan dashboard memonitor kejadian risiko,

seringkali berharga untuk meletakkan segala sesuatu dalam perspektif yang lebih setelah

berlalunya waktu. Rugi pelacakan acara mengacu kepada penggunaan internal dan database

publik sumber untuk melacak aktivitas di bidang minat.

Alat identifikasi risiko dan pendekatan dapat menghasilkan beberapa informasi yang

sangat berguna. Penggunaannya membutuhkan analisis yang baik dari data serta rencana

memulai aksi, apakah untuk melindungi dari risiko atau untuk memanfaatkan peluang potensial.

(D) Penilaian Risiko

Komponen penilaian risiko adalah kerangka inti. Penilaian risiko memungkinkan

perusahaan untuk mempertimbangkan apa efek potensi risiko yang berhubungan dengan kejadian

tersebut terhadap prestasi perusahaan tujuannya. Risiko ini harus dinilai dari dua perspektif:

kemungkinan dari resiko yang terjadi dan dampak potensial.

1. Inherent risiko. Seperti yang didefinisikan oleh Kantor Pemerintah AS Manajemen dan

Anggaran, risiko yang melekat adalah potensi "untuk limbah, kehilangan, penggunaan yang

tidak sah, atau karena sifat dari kegiatan itu sendiri penyelewengan "Faktor-faktor utama

yang mempengaruhi. risiko perusahaan yang melekat adalah ukuran anggaran, kekuatan dan

kecanggihan Manajemen, dan hanya sifat kegiatannya. Risiko Inheren berada di luar

pengendalian manajemen dan biasanya berasal dari faktor eksternal.

2. Residual Risk. Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman

dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.

Kedua konsep menyiratkan bahwa perusahaan akan selalu menghadapi beberapa risiko.

Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi risiko, masih

akan ada beberapa risiko sisa untuk memperbaiki. Selain itu, selalu ada beberapa

melekat risiko bahwa manajemen dapat berbuat banyak untuk mengurangi. Wal-Mart, misalnya,

dapat mengambil beberapa langkah untuk mengurangi risiko yang melekat yang terkait dengan

dominasi pasar tetapi dapat melakukan pada dasarnya tidak ada mengenai risiko yang melekat

dari alam gempa bumi besar. Risiko kemungkinan dan dampak adalah dua komponen penting

lainnya yang diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas

atau kemungkinan bahwa risiko akan terjadi.

(E) Risiko Respon

Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM

selanjutnya adalah untuk diukur tanggapan terhadap berbagai risiko yang teridentifikasi. Harus

ada pemeriksaan yang seksama likelihoods dari resiko dan dampak potensial diperkirakan,

dengan pertimbangan diberikan terkait biaya dan manfaat, untuk mengembangkan strategi risiko

respon yang tepat. Tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar:

1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko-seperti menjual sebuah unit

bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan

lini produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau

berjalan kaki sampai setelah peristiwa risiko yang telah terjadi dengan terkait biaya.

2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi tertentu risiko.

3. Berbagi. Hampir semua perusahaan secara rutin berbagi beberapa risiko mereka melalui

membeli asuransi, tapi risiko berbagi teknik yang tersedia juga.

4. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika perusahaan selfinsures

dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan

harus melihat kemungkinan risiko dan dampak dalam terang risiko didirikan toleransi dan

kemudian memutuskan apakah akan menerima risiko itu atau tidak.

Suatu perusahaan harus kembali ke tujuan didirikan nya risiko serta toleransi rentang untuk

tujuan tersebut. Maka harus readdress baik likelihoods dan dampak yang terkait dengan masing-

masing untuk mengembangkan set keseluruhan risiko yang direncanakan tanggapan.

(F) Pengendalian Kegiatan

Kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan untuk

memastikan tindakan pada mengidentifikasi respon risiko. Meskipun beberapa dari kegiatan ini

dapat berhubungan hanya untuk respon risiko yang diidentifikasi dan disetujui di daerah

perusahaan, mereka sering tumpang tindih di beberapa fungsi dan unit. Pengendalian kegiatan

komponen COSO ERM harus terkait erat dengan strategi risiko respon dan tindakan dibahas

sebelumnya.

COSO ERM selanjutnya adalah untuk pendekatan untuk mengidentifikasi, mendokumentasikan,

pengujian, dan kemudian memvalidasi kontrol ini perlindungan risiko. Setelah melalui ERM

COSO risiko acara identifikasi, penilaian, dan proses respon, resiko pemantauan memerlukan

empat langkah:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan

pengendalian prosedur untuk memantau atau benar bagi mereka.

2. Buat prosedur pengujian untuk menentukan apakah mereka pengendalian risiko yang

berhubungan dengan prosedur bekerja secara efektif.

3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan

seperti yang diharapkan.

4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko

pemantauan proses.

Ini proses empat langkah mirip dengan persyaratan Bagian SOx 404 untuk meninjau, pengujian,

dan kemudian menegaskan bahwa proses pengendalian internal bekerja secara memadai. Banyak

kegiatan pengendalian di bawah kontrol COSO internal cukup mudah untuk mengidentifikasi

dan menguji karena sifat akuntansi mereka. Kegiatan ini umumnya meliputi control daerah-

daerah pengendalian internal:

1. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang

yang sama yang mengotorisasi transaksi tersebut.

2. Audit trails. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah

ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.

3. Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang tepat prosedur

sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.

4. Dokumentasi. Proses harus didokumentasikan.

Suatu perusahaan seringkali menghadapi tugas yang lebih sulit dalam mengidentifikasi

pengendalian kegiatan untuk mendukung kerangka kerja ERM nya. Meskipun tidak ada diterima

atau standar set kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM menunjukkan

beberapa daerah:

1. Top-level review.

2. Manajemen fungsional atau kegiatan langsung.

3. Pengolahan informasi.

4. Kontrol fisik.

5. Indikator kinerja.

6. Pemisahan tugas.

(G) Informasi dan Komunikasi

Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka ERM

COSO, informasi dan komunikasi adalah satu set terpisah terkait risiko dan proses

menghubungkan komponen lainnya dari COSO ERM. Segmen informasi dari informasi ERM

dan komunikasi biasanya memikirkan dalam hal informasi strategis dan operasional sistem,

aspek kedua komponen ini, ERM komunikasi. Komunikasi termasuk kebutuhan meka

nismeuntuk memastikan bahwa semua stakeholder menerima pesan tentang kepentingan

perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh

perusahaan tentang peran manajemen risiko dan tanggung jawab mereka.

(H) Pemantauan

ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja

secara efektif. Orang-orang dalam perubahan perusahaan, seperti halnya proses pendukung dan

baik internal maupun kondisi eksternal, namun komponen pemantauan membantu memastikan

ERM yang bekerja efektif secara terus menerus.

Dalam COSO ERM terdapat aplikasi dokumen Kerangka menunjukkan pemantauan yang bisa

meliputi jenis kegiatan:

1. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung, seperti uang tunai

posisi, penjualan unit, dan data keuangan penting.

2. Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari

didirikan kriteria risiko, termasuk tingkat kesalahan dapat diterima atau barang-barang yang

diadakan diketegangan.

3. Lancar dan periodik pelaporan status risiko yang berhubungan dengan temuan dan

rekomendasi dari laporan audit internal dan eksternal.

4. Diperbarui terkait risiko informasi dari sumber-sumber seperti pemerintah-revisi aturan,

industri tren, dan berita ekonomi secara umum.

6.4 Dimensi lain COSO ERM: Tujuan Enterprise Risk

Setiap komponen COSO ERM beroperasi dalam ruang tiga-dimensi, masing-masing

harus dipertimbangkan dari segi lain yang terkait kategori. Bagian atas yang menghadap

komponen strategis, operasional, pelaporan,dan kepatuhan tujuan risiko adalah penting untuk

memahami dan melaksanakan COSO ERM.

(A) Operasi Risiko Tujuan Manajemen

Banyak jenis risiko operasi dapat berdampak perusahaan. Tujuan identifikasi operasi-tingkat

risiko ini sering memerlukan pengumpulan informasi rinci dan analisis, terutama untuk sebuah

perusahaan yang lebih besar yang mencakup wilayah geografis beberapa, lini produk, atau bisnis

proses.

(B) Tujuan Pelaporan Manajemen Risiko

Tujuan ini meliputi risiko keandalan laporan suatu perusahaan dari internal dan eksternal

data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting untuk suatu perusahaan.

Keberhasilan dalam banyak dimensi. Berita laporan sering detail penemuan akurat perusahaan

keuangan pelaporan dan dampak yang dihasilkan pasar saham untuk menyinggung entitas.

Bahwa laporan tidak akurat yang sama dapat menyebabkan masalah di banyak daerah.

(C) Tujuan Kepatuhan Hukum dan Peraturan Risiko

Setiap jenis perusahaan harus mematuhi berbagai peraturan dan governmentimposed

standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko

hukum kadang-kadang benar-benar tak terduga.

6.5 Entitas-Tingkat Risiko

Dimensi ketiga dari kerangka ERM COSO panggilan untuk risiko yang harus

dipertimbangkan pada organisasi atau badan-tingkat unit. Kerangka ERM COSO menunjukkan

empat divisi dalam dimensi kerangka: tingkat entitas, divisi, bisnis unit, dan risiko anak

perusahaan. Ini bukan sebuah divisi perusahaan-jenis yang ditentukan, dan ERM menunjukkan

bahwa risiko erat harus mengikuti bagan organisasi resmi. COSO ERM risiko harus

diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara

entitas-luas melalui unit bisnis individu. Manajemen harus mendefinisikan tingkat resiko

organisasi secara untuk mencakup semua resiko yang dikelola:

(A) Resiko Meliputi Seluruh Organisasi

Beberapa risiko di tingkat unit bisnis harus menggulung ke entitas-tingkat risiko.

Sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa unit-tingkat risiko sebagai

"tidak material", untuk menggunakan pra-SOx publik terminologi akuntansi, perusahaan harus

memikirkan semua risiko sebagai berpotensi signifikan.

(B) Unit Bisnis-Tingkat Risiko

Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan

beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di negara asing

penjualan perusahaan. Risiko harus dipertimbangkan dalam setiap organisasi yang signifikan

unit. Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas dalam negara

penjualan perusahaan asing. Konsep utama seputar COSO ERM adalah bahwa perusahaan

menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang

lain sering hanya gangguan dan dipandang sebagai minor. Kerangka COSO ERM menyediakan

mekanisme untuk mempertimbangkan risiko ini, itu adalah alat penting untuk membantu

memastikan kepatuhan SOx.

6,6 Gunakan semua bersamaan

Kerangka COSO ERM dijelaskan di sini pendekatan manajemen risiko berlaku untuk

semua industri dan meliputi semua jenis risiko. Dengan fokus pada mengakui nafsu makan

perusahaan terhadap risiko dan kebutuhan untuk menerapkan manajemen risiko alam konteks

pengaturan strategi secara keseluruhan, ERM COSO memiliki beberapa dasar. COSO ERM, alat

penting untuk memahami banyak risiko beberapa perusahaan dihadapi saat ini.

6,7 Audit Risiko dan Proses ERM COSO

Auditor Internal akan mengalami masalah risiko dan manajemen risiko di banyak daerah. Audit

keseluuruhan di mana melakukan review, dan auditor internal efektif harus memahami proses

manajemen risiko. Praktek COSO ERM dan pelaksanaan prosedur, auditor internal, baik sebagai

pengulas audit internal kontrol atau konsultan untuk manajemen, perlu mengembangkan

pemahaman yang kuat kontrol ERM COSO dan proses. Audit internal harus meninjau enterprise-

wide ERM menggunakan beberapa alat ini:

1. Proses flowcharting Sebagai bagian dari proses ERM diidentifikasi.

2. Review bahan dan pengendalian risiko.

3. Pembandingan.

4. Kuesioner.

6,8 Manajemen Risiko dan Perspektif ERM COSO

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah untuk

mengabaikan karakteristik unik dari COSO ERM. Butuh bertahun-tahun COSO untuk

pengendalian internal untuk diakui sebagai lebih dari teknis yang menarik penelitian.