pengauditan manajemen bab 5 & 6 indo
DESCRIPTION
ringkasan bab 5 & 6 buku brink ed 7TRANSCRIPT
BAB 5
11991ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT
Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi mekanisme
standar yang mengukur dan mengevaluasi pengendalian akuntansi internal di bawah Sarbanes-
Oxley Act (SOx). Sox dianggap kurang member perhatian penuh pada pengendalian internal
berbasis TI. Oleh karena itu dibuatlah Control Objectives for Information and Related
Technology (CobiT) yang lebih member perhatian terhadap pengendalian internal berbasis TI.
CobiT bukanlah pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat
yang membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah
berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman yang cukup
tinggi untuk melakukan audit.
Introduction to CobiT
Kerangka kerja CobiT kini telah diperluas dan sebagai auditor, sedikitnya harus memahami
untuk membantu pendokumentasian, pengkajian, dan pemahaman SOx. Perubahan dan
pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan
Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI
sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan
sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun
karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem
TI dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih
focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang
meliputi:
Keselarasanstrategi
Pendistribusian yang bernilai
Manajemenrisiko
Manajemensumberdaya
Pengukurankinerja
Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan
CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian
internal lainnya. Walupun awalnya hanya dikenal sebagai “Audit TI”, namun CobiT masih
merupakan alat yang paling efektif hingga saat ini.
CobiT Framework
Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian
penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya
seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem
atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat
membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.
Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam pengambilan
keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif. Namun kini
hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan hubungan timbale
balik yang begitu erat.
Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti apa
yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses yang
diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif. Dan
CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan proses
bisnisnya.
Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga bagi
perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut.
Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang
terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan
keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang
merupakan dasar CobiT.
Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI sebagai
serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya
pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.
CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan
dengan TI, yaitu sumber daya, proses, dan jenis informasi.
Using CobiT to Assess Internal Controls
Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu memahami
konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep CobiT ini dapat
berguna untuk menilai dan mengembangkan pengendalian internal perusahaan.
Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus dievaluasi melalui
lima langkah berikut:
Pengendalian yang dilakukan (nama proses)
Fokus utama proses bisnis (daftar kebutuhan bisnis)
Tujuan penggunaan TI (daftar penting penggunaan TI)
Bagaimana mencapainya (daftar laporan pengendalian)
Dan diukur dengan (daftar kunci metrik)
Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya yang dapat
berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis perusahaan.
Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga harus digunakan
untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau pun tidak.
a) Planning and enterprise
b) Acquisition and implementation
c) Delivery and support
d) Monitoring and evaluating
Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO digunakan
sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang bersifat umum pada
audit internal lainya. COBIT disini menekankan pada penggunaan kerangka kerja COBIT bagi
semua auditor guna membantu pekerjaan mereka serta adanya SOX sebagai aturan persyaratan
kepatuhan mereka.
5.5 COBIT PETUNJUK JAMINAN KERANGKA KERJA
Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk
pengendalian internal yang lebih efektif dengan menggunakan penekanan pada sumber daya
ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka kerja (ITAF) yang
difungsikan untuk memberikan pedoman pada pelikalu, desain, serta pelaporan internal audit
oleh IT. Tujuan dari ITAF adalah untuk mendefinikan suatu standar perangkat guna membantu
memastikan kualitas, konsistensi dan keandalan penilaian IT berdasarkan peraturan-peratauran
yang berlaku.
5.6 COBIT DALAM PERSEPTIF
Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam kerangka
kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal secara lebih
teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti dialami oleh
seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-aturan dari IT
sendiri, seperti yang dijelaskan pada pada lampiran 5.1 yang menggambarkan pentingnya aliansi
strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana, manajemen sumber daya,
manajemen resiko dan proses pengukuran kinerja. Kelima sumber daya tersebut memungkinkan
perusahaan untuk membangun tata kelolah IT yang efektif serta adanya COBIT yang akan
membantu dalam pengelolahan dan pemahaman mengenai konsep-konsep yang benar. Semua
auditor diharapkan memiliki pemahaman tentang CBOK dari COBIT dan belajar untuk
menggunakan serta memahami pengendalian internal terhadap penilaian kerangka kerja.
BAB 6
RESIKO MANAJEMEN : COSO ERM
Melalui strandart internal audit no 5 (AS 5),menyatakan seorang audit internal yang di jamin dan
mempunyai peran memberikan konsultasi dapat berkontribusi dalam menangani manajemen
resiko. Salah satu konsep profesional dan pemahaman risiko mungkin sangat berbeda dari yang
lain ini, meskipun mereka sama-sama bekerja untuk perusahaan yang sama dan di daerah yang
sama pula. Ini utama berlaku untuk manajer dan internal auditor yang bekerja untuk
meningkatkan SOx terkait kepatuhan, belum ada pemahaman yang konsisten tentang apa yang
dimaksud dengan konsep risiko. Konsep utama di balik AS 5 adalah bahwa manajemen dan
auditor eksternal harus mempertimbangkan risiko relatif ketika menerapkan dan menilai
pengendalian internal untuk mencapai kesesuai dengan Pasal 404 aturan SOx pengendalian
internal. Komite Organisasi Sponsoring (COSO) merilis metodologi risiko perusahaan, COSO
Manajemen Resiko Perusahaan - Format Terpadu (COSO ERM). Ini merupakan pendekatan
yang memungkinkan suatu perusahaan dan audit internal untuk mempertimbangkan dan menilai
risiko di semua tingkatan, baik di daerah masing-masing, seperti untuk teknologi informasi (TI)
proyek pembangunan, atau dalam risiko global berkaitan dengan perluasan internasional. Bab ini
memperkenalkan kerangka COSO ERM dan unsur-unsurnya, tetapi penekanan adalah tentang
mengapa COSO ERM bisa menjadi alat audit yang penting untuk memahami dan mengevaluasi
risiko di sekitar pengendalian internal di semua tingkatan. Kita menggambarkan unsur-unsur
utama dari kerangka COSO ERM dan melihat bagaimana internal auditor yang lebih baik dapat
membangun COSO ERM ke dalam proses audit serta langkah-langkah untuk audit efektivitas
proses manajemen risiko suatu perusahaan.
6.1 Manajemen Risiko Fundamental
Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai
yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan dalam semua
kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya. Sebuah proses
manajemen risiko yang efektif memerlukan empat langkah:
1. identifikasi risiko,
2. kuantitatif atau kualitatif penilaian risiko terdokumentasi,
3. prioritas resiko dan respon perencanaan, dan
4. pemantauan risiko. empat langkah proses manajemen risiko Ini harus dilaksanakan di
semua tingkat perusahaan dan dengan partisipasi banyak orang yang berbeda
6.2 COSO ERM: Resiko Manajemen PerusahaanCOSO ERM: Resiko Manajemen Perusahaan adalah suatu kerangka kerja untuk membantu
perusahaan dalam menilai konsisten definisi risiko mereka. Ini juga merupakan alat yang penting
untuk memahami dan meningkatkan SOx kontrol internal. COSO ERM diluncurkan dengan cara
yang mirip dengan pengembangan kerangka pengendalian dari internal COSO.
6.3 COSO ERM kunci elemen-elemen
Kerangka kerja COSO pengendalian internal dapat menjadi gamabaran dan definisikan dari
pengendalian internal serta dapat menjadi basis penetapan sanski 404 Sox
Dari rubik tersebut memiliki komponen :
empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.
Delapan baris horizontal merupakan komponen risiko
Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat
"markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi,
akan ada banyak irisan model di sini.
Sumber daya manusia standar.
Praktek mengenai perekrutan karyawan, pelatihan, kompensasi, mempromosikan,
mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai,
ditoleransi, dan dilarang.Kuat standar diperlukan untuk memastikan bahwa aturan sumber
daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The
COSO ERM menerbitkan bahan bimbingan berisi contoh-contoh yang diperlukan untuk
membangun komponen lingkungan internal yang efektif.
(B) Pengaturan Tujuan
Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan
pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses
efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan
harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan meliputi operasi,
pelaporan, dan kegiatan kepatuhan. COSO ERM Sumber daya manusia standar.
Intinya adalah bahwa perusahaan harus mendefinisikan risiko terkait strategi dan tujuan.
Berdasarkan hal tersebut, maka harus memutuskan keinginan dan toleransi untuk risiko ini.
Artinya, harus menentukan tingkat risiko yang bersedia diterima dan, diberikan aturan toleransi
risiko, seberapa jauh penyimpangan dari preestablished mengukur.
Exhibit 6,7 menguraikan hubungan dari komponen tujuan-setting COSO ERM. Dimulai dengan
misi keseluruhan, Pendekatan adalah untuk (1) mengembangkan tujuan strategis untuk
mendukung pemenuhan itu misi, (2) membuat strategi untuk mencapai tujuan, (3)
mendefinisikan tujuan terkait, dan (4) menentukan selera risiko untuk menyelesaikan strategi itu.
(C) Kegiatan Identifikasi
Peristiwa yang terjadi di perusahaan atau kejadian-eksternal atau eksternal-yang
mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Banyak perusahaan yang saat
ini memiliki alat pemantauan di tempat untuk memantau biaya, anggaran, jaminan kualitas,
kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:
1. Eksternal ekonomi kejadian. Berbagai peristiwa eksternal perlu dipantau untuk membantu
mencapai tujuan ERM suatu perusahaan. Baik jangka pendek dan jangka panjang peristiwa
dapat berdampak tujuan strategis suatu perusahaan.
2. Lingkungan kejadian alam. Apakah kebakaran, banjir, atau gempa bumi, banyak peristiwa
dapat menjadi insiden di identifikasi risiko ERM.
3. Kejadian politik. Undang-undang baru dan peraturan serta hasil pemilu dapat memiliki
signifikan risiko acara yang berhubungan dengan dampak pada perusahaan. Banyak
perusahaan besar memiliki fungsi urusan pemerintahan.
4. Faktor-faktor sosial. Sementara peristiwa eksternal seperti gempa bumi yang tiba-tiba.
sebagian besar faktor-faktor sosial secara perlahan berkembang peristiwa. Termasuk
perubahan demografi, adat-istiadat sosial, dan peristiwa lain yang mungkin berdampak suatu
perusahaan dan pelanggan dari waktu ke waktu.
5. Kejadian infrastruktur internal. Usaha sering membuat perubahan jinak yang memicu risiko
lain yang berhubungan dengan kejadian.
6. Proses internal-peristiwa terkait. Mirip dengan perubahan dalam kegiatan infrastruktur,
perubahan dalam proses kunci dapat memicu berbagai peristiwa identifikasi risiko.
7. Eksternal dan internal teknologi kejadian. Setiap perusahaan menghadapi berbagai macam
peristiwa teknologi yang dapat memicu perlunya risiko formal identifikasi.
Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan kemudian
memantau mereka untuk mengambil tindakan yang tepat diperlukan. Melihat peristiwa internal
dan eksternal potensi risiko dan memutuskan mana yang memerlukan perhatian lebih
lanjut.dapat menjadi proses yang sulit. The COSO ERM menyarankan perusahaan
mempertimbangkan beberapa pendekatan:
1. Terjadinya persediaan. Manajemen harus mengembangkan resiko yang berhubungan dengan
daftar kejadian umum untuk industri spesifik perusahaan dan area fungsional.
2. Difasilitasi lokakarya. Suatu perusahaan dapat membangun lintas-fungsional lokakarya
untuk membahas faktor-faktor risiko potensial yang mungkin berevolusi dari internal atau
eksternal berbagai peristiwa.
3. Wawancara, kuesioner, dan survei. Informasi mengenai potensi risiko kejadian dapat berasal
dari berbagai sumber, seperti kepuasan pelanggan surat atau komentar keluar karyawan
wawancara.
4. Proses analisis flo. The COSO teknik aplikasi ERM bahan merekomendasikan penggunaan
diagram alir untuk meninjau proses dan mengidentifikasi potensi resiko kejadian.
5. Memimpin acara dan memicu eskalasi. Idenya di sini adalah untuk membangun serangkaian
pengukuran unit bisnis untuk memonitor tujuan toleransi risiko dan mempromosikan
tindakan perbaikan.
6. Rugi data pelacakan. Sementara pendekatan dashboard memonitor kejadian risiko,
seringkali berharga untuk meletakkan segala sesuatu dalam perspektif yang lebih setelah
berlalunya waktu. Rugi pelacakan acara mengacu kepada penggunaan internal dan database
publik sumber untuk melacak aktivitas di bidang minat.
Alat identifikasi risiko dan pendekatan dapat menghasilkan beberapa informasi yang
sangat berguna. Penggunaannya membutuhkan analisis yang baik dari data serta rencana
memulai aksi, apakah untuk melindungi dari risiko atau untuk memanfaatkan peluang potensial.
(D) Penilaian Risiko
Komponen penilaian risiko adalah kerangka inti. Penilaian risiko memungkinkan
perusahaan untuk mempertimbangkan apa efek potensi risiko yang berhubungan dengan kejadian
tersebut terhadap prestasi perusahaan tujuannya. Risiko ini harus dinilai dari dua perspektif:
kemungkinan dari resiko yang terjadi dan dampak potensial.
1. Inherent risiko. Seperti yang didefinisikan oleh Kantor Pemerintah AS Manajemen dan
Anggaran, risiko yang melekat adalah potensi "untuk limbah, kehilangan, penggunaan yang
tidak sah, atau karena sifat dari kegiatan itu sendiri penyelewengan "Faktor-faktor utama
yang mempengaruhi. risiko perusahaan yang melekat adalah ukuran anggaran, kekuatan dan
kecanggihan Manajemen, dan hanya sifat kegiatannya. Risiko Inheren berada di luar
pengendalian manajemen dan biasanya berasal dari faktor eksternal.
2. Residual Risk. Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman
dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
Kedua konsep menyiratkan bahwa perusahaan akan selalu menghadapi beberapa risiko.
Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi risiko, masih
akan ada beberapa risiko sisa untuk memperbaiki. Selain itu, selalu ada beberapa
melekat risiko bahwa manajemen dapat berbuat banyak untuk mengurangi. Wal-Mart, misalnya,
dapat mengambil beberapa langkah untuk mengurangi risiko yang melekat yang terkait dengan
dominasi pasar tetapi dapat melakukan pada dasarnya tidak ada mengenai risiko yang melekat
dari alam gempa bumi besar. Risiko kemungkinan dan dampak adalah dua komponen penting
lainnya yang diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas
atau kemungkinan bahwa risiko akan terjadi.
(E) Risiko Respon
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM
selanjutnya adalah untuk diukur tanggapan terhadap berbagai risiko yang teridentifikasi. Harus
ada pemeriksaan yang seksama likelihoods dari resiko dan dampak potensial diperkirakan,
dengan pertimbangan diberikan terkait biaya dan manfaat, untuk mengembangkan strategi risiko
respon yang tepat. Tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko-seperti menjual sebuah unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan
lini produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau
berjalan kaki sampai setelah peristiwa risiko yang telah terjadi dengan terkait biaya.
2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi tertentu risiko.
3. Berbagi. Hampir semua perusahaan secara rutin berbagi beberapa risiko mereka melalui
membeli asuransi, tapi risiko berbagi teknik yang tersedia juga.
4. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika perusahaan selfinsures
dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan
harus melihat kemungkinan risiko dan dampak dalam terang risiko didirikan toleransi dan
kemudian memutuskan apakah akan menerima risiko itu atau tidak.
Suatu perusahaan harus kembali ke tujuan didirikan nya risiko serta toleransi rentang untuk
tujuan tersebut. Maka harus readdress baik likelihoods dan dampak yang terkait dengan masing-
masing untuk mengembangkan set keseluruhan risiko yang direncanakan tanggapan.
(F) Pengendalian Kegiatan
Kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan pada mengidentifikasi respon risiko. Meskipun beberapa dari kegiatan ini
dapat berhubungan hanya untuk respon risiko yang diidentifikasi dan disetujui di daerah
perusahaan, mereka sering tumpang tindih di beberapa fungsi dan unit. Pengendalian kegiatan
komponen COSO ERM harus terkait erat dengan strategi risiko respon dan tindakan dibahas
sebelumnya.
COSO ERM selanjutnya adalah untuk pendekatan untuk mengidentifikasi, mendokumentasikan,
pengujian, dan kemudian memvalidasi kontrol ini perlindungan risiko. Setelah melalui ERM
COSO risiko acara identifikasi, penilaian, dan proses respon, resiko pemantauan memerlukan
empat langkah:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
pengendalian prosedur untuk memantau atau benar bagi mereka.
2. Buat prosedur pengujian untuk menentukan apakah mereka pengendalian risiko yang
berhubungan dengan prosedur bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan
seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko
pemantauan proses.
Ini proses empat langkah mirip dengan persyaratan Bagian SOx 404 untuk meninjau, pengujian,
dan kemudian menegaskan bahwa proses pengendalian internal bekerja secara memadai. Banyak
kegiatan pengendalian di bawah kontrol COSO internal cukup mudah untuk mengidentifikasi
dan menguji karena sifat akuntansi mereka. Kegiatan ini umumnya meliputi control daerah-
daerah pengendalian internal:
1. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang
yang sama yang mengotorisasi transaksi tersebut.
2. Audit trails. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
3. Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang tepat prosedur
sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.
4. Dokumentasi. Proses harus didokumentasikan.
Suatu perusahaan seringkali menghadapi tugas yang lebih sulit dalam mengidentifikasi
pengendalian kegiatan untuk mendukung kerangka kerja ERM nya. Meskipun tidak ada diterima
atau standar set kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM menunjukkan
beberapa daerah:
1. Top-level review.
2. Manajemen fungsional atau kegiatan langsung.
3. Pengolahan informasi.
4. Kontrol fisik.
5. Indikator kinerja.
6. Pemisahan tugas.
(G) Informasi dan Komunikasi
Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka ERM
COSO, informasi dan komunikasi adalah satu set terpisah terkait risiko dan proses
menghubungkan komponen lainnya dari COSO ERM. Segmen informasi dari informasi ERM
dan komunikasi biasanya memikirkan dalam hal informasi strategis dan operasional sistem,
aspek kedua komponen ini, ERM komunikasi. Komunikasi termasuk kebutuhan meka
nismeuntuk memastikan bahwa semua stakeholder menerima pesan tentang kepentingan
perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh
perusahaan tentang peran manajemen risiko dan tanggung jawab mereka.
(H) Pemantauan
ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja
secara efektif. Orang-orang dalam perubahan perusahaan, seperti halnya proses pendukung dan
baik internal maupun kondisi eksternal, namun komponen pemantauan membantu memastikan
ERM yang bekerja efektif secara terus menerus.
Dalam COSO ERM terdapat aplikasi dokumen Kerangka menunjukkan pemantauan yang bisa
meliputi jenis kegiatan:
1. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung, seperti uang tunai
posisi, penjualan unit, dan data keuangan penting.
2. Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari
didirikan kriteria risiko, termasuk tingkat kesalahan dapat diterima atau barang-barang yang
diadakan diketegangan.
3. Lancar dan periodik pelaporan status risiko yang berhubungan dengan temuan dan
rekomendasi dari laporan audit internal dan eksternal.
4. Diperbarui terkait risiko informasi dari sumber-sumber seperti pemerintah-revisi aturan,
industri tren, dan berita ekonomi secara umum.
6.4 Dimensi lain COSO ERM: Tujuan Enterprise Risk
Setiap komponen COSO ERM beroperasi dalam ruang tiga-dimensi, masing-masing
harus dipertimbangkan dari segi lain yang terkait kategori. Bagian atas yang menghadap
komponen strategis, operasional, pelaporan,dan kepatuhan tujuan risiko adalah penting untuk
memahami dan melaksanakan COSO ERM.
(A) Operasi Risiko Tujuan Manajemen
Banyak jenis risiko operasi dapat berdampak perusahaan. Tujuan identifikasi operasi-tingkat
risiko ini sering memerlukan pengumpulan informasi rinci dan analisis, terutama untuk sebuah
perusahaan yang lebih besar yang mencakup wilayah geografis beberapa, lini produk, atau bisnis
proses.
(B) Tujuan Pelaporan Manajemen Risiko
Tujuan ini meliputi risiko keandalan laporan suatu perusahaan dari internal dan eksternal
data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting untuk suatu perusahaan.
Keberhasilan dalam banyak dimensi. Berita laporan sering detail penemuan akurat perusahaan
keuangan pelaporan dan dampak yang dihasilkan pasar saham untuk menyinggung entitas.
Bahwa laporan tidak akurat yang sama dapat menyebabkan masalah di banyak daerah.
(C) Tujuan Kepatuhan Hukum dan Peraturan Risiko
Setiap jenis perusahaan harus mematuhi berbagai peraturan dan governmentimposed
standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko
hukum kadang-kadang benar-benar tak terduga.
6.5 Entitas-Tingkat Risiko
Dimensi ketiga dari kerangka ERM COSO panggilan untuk risiko yang harus
dipertimbangkan pada organisasi atau badan-tingkat unit. Kerangka ERM COSO menunjukkan
empat divisi dalam dimensi kerangka: tingkat entitas, divisi, bisnis unit, dan risiko anak
perusahaan. Ini bukan sebuah divisi perusahaan-jenis yang ditentukan, dan ERM menunjukkan
bahwa risiko erat harus mengikuti bagan organisasi resmi. COSO ERM risiko harus
diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara
entitas-luas melalui unit bisnis individu. Manajemen harus mendefinisikan tingkat resiko
organisasi secara untuk mencakup semua resiko yang dikelola:
(A) Resiko Meliputi Seluruh Organisasi
Beberapa risiko di tingkat unit bisnis harus menggulung ke entitas-tingkat risiko.
Sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa unit-tingkat risiko sebagai
"tidak material", untuk menggunakan pra-SOx publik terminologi akuntansi, perusahaan harus
memikirkan semua risiko sebagai berpotensi signifikan.
(B) Unit Bisnis-Tingkat Risiko
Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan
beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di negara asing
penjualan perusahaan. Risiko harus dipertimbangkan dalam setiap organisasi yang signifikan
unit. Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas dalam negara
penjualan perusahaan asing. Konsep utama seputar COSO ERM adalah bahwa perusahaan
menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang
lain sering hanya gangguan dan dipandang sebagai minor. Kerangka COSO ERM menyediakan
mekanisme untuk mempertimbangkan risiko ini, itu adalah alat penting untuk membantu
memastikan kepatuhan SOx.
6,6 Gunakan semua bersamaan
Kerangka COSO ERM dijelaskan di sini pendekatan manajemen risiko berlaku untuk
semua industri dan meliputi semua jenis risiko. Dengan fokus pada mengakui nafsu makan
perusahaan terhadap risiko dan kebutuhan untuk menerapkan manajemen risiko alam konteks
pengaturan strategi secara keseluruhan, ERM COSO memiliki beberapa dasar. COSO ERM, alat
penting untuk memahami banyak risiko beberapa perusahaan dihadapi saat ini.
6,7 Audit Risiko dan Proses ERM COSO
Auditor Internal akan mengalami masalah risiko dan manajemen risiko di banyak daerah. Audit
keseluuruhan di mana melakukan review, dan auditor internal efektif harus memahami proses
manajemen risiko. Praktek COSO ERM dan pelaksanaan prosedur, auditor internal, baik sebagai
pengulas audit internal kontrol atau konsultan untuk manajemen, perlu mengembangkan
pemahaman yang kuat kontrol ERM COSO dan proses. Audit internal harus meninjau enterprise-
wide ERM menggunakan beberapa alat ini:
1. Proses flowcharting Sebagai bagian dari proses ERM diidentifikasi.
2. Review bahan dan pengendalian risiko.
3. Pembandingan.
4. Kuesioner.
6,8 Manajemen Risiko dan Perspektif ERM COSO
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah untuk
mengabaikan karakteristik unik dari COSO ERM. Butuh bertahun-tahun COSO untuk
pengendalian internal untuk diakui sebagai lebih dari teknis yang menarik penelitian.