BAB II
PEMBAHASAN
2.1 Manajemen Resiko
Hidup ini penuh dengan ketidakpastian. Jika Anda berhenti untuk berpikir tentang hal itu, ada banyak hari ke hari kegiatan itu, anda hanya tidak tahu apa hasilnya terlebih dahulu. Bagaimana anda mengatasi ketidakpastian tersebut menentukan apa jenis keberhasilan yang anda akan miliki dalam hidup. Operasi bisnis tidak berbeda. Organisasi menghadapi ketidakpastian dalam semua aspek menjalankan bisnis, dan keberhasilan mereka tergantung pada seberapa baik mereka mengelola ketidakpastian tersebut. Audit internal dapat menjadi memungkinkan kunci untuk keberhasilan itu.
Manajemen risiko digambarkan sebagai lapisan tengah dalam struktur governanvce. Manajemen risiko dimaksudkan untuk (1) mengidentifikasi dan mengurangi risiko yang dapat merugikan keberhasilan organisasi, dan (2) memanfaatkan peluang-peluang. Kegiatan manajemen risiko harus beroperasi ke arah yang keseluruhan dari struktur pemerintahan. Banyak organisasi telah menemukan bahwa pelaksanaan program manajemen risiko yang efektif lebih sulit daripada pikiran pertama. Namun, ada peningkatan jumlah alasan bagi organisasi untuk membangun kemampuan yang kuat di daerah-daerah.
2.2 Kajian manajemen risiko
a. Sejarah singkat Risiko
Konsep risiko bukanlah fenomena baru atau cara baru mendekati manajemen bisnis. Peter L. Bernstein memberikan sejarah panjang dari risiko Against the Gods: The Remarkable Story of Risk. Bukunya menguraikan perkembangan pemahaman risiko selama berabad-abad.
Menggunakan definisi risiko, menjadi jelas bahwa ada banyak risiko yang dihadapi organisasi ketika mereka mencoba untuk mengeksekusi strategi mereka dan mencapai tujuan mereka. Extensiveness ini bisa menjadi agak luar biasa, yang akan membawa penghargaan yang lebih besar untuk kebutuhan untuk memiliki proses untuk secara efektif memahami dan mengelola risiko melintasi organisasi. Kebutuhan ini dapat diatasi melalui manajemen risiko perusahaan.
b. Definisi Risiko
Dalam Bahasa Inggris kata risiko berasal dari kata Italia "risicare," yang berarti "berani:. Pilihan dalam kondisi tidak pasti". Kunci untuk definisi ini adalah gagasan tentang ketidakpastian. Memperluas definisi tersebut, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) mendefinisikan risiko sebagai "kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian suatu tujuan."
Dalam definisi COSO , poin mendasar yang harus dipahami sebelum melanjutkan ke konsep manajemen risiko:
* Risiko dimulai dengan perumusan strategi dan pengaturan tujuan. Sebuah organisasi dalam bisnis untuk mencapai strategi dan tujuan tertentu, dan risiko merupakan hambatan untuk berhasil mencapai tujuan tersebut. Oleh karena itu, karena setiap organisasi memiliki strategi yang agak berbeda dan tujuan, mereka juga akan menghadapi berbagai jenis risiko.
* Risiko tidak mewakili perkiraan titik tunggal (misalnya, hasil yang paling mungkin). Sebaliknya, itu merupakan berbagai hasil yang mungkin. Karena hasil yang berbeda yang mungkin, konsep kisaran yang menciptakan ketidakpastian saat memahami dan mengevaluasi risiko.
* Risiko ini mungkin berhubungan dengan mencegah hal-hal buruk dari kejadian (mitigasi risiko ), atau gagal untuk menjamin hal-hal baik terjadi (yaitu, mengeksploitasi atau mengejar peluang). Kebanyakan orang fokus pada mencegah hasil- buruk misalnya, bahaya yang perlu dikurangi atau dihilangkan. Sementara risiko pada kenyataannya, banyak menghadirkan ancaman bagi organisasi, kegagalan untuk mencapai hasil yang positif juga dapat menciptakan sebuah penghalang untuk pencapaian tujuan dan juga risiko.
* Risiko yang melekat dalam semua aspek kehidupan - yaitu, di mana pun ada ketidakpastian, satu atau lebih risiko yang ada. Contoh-contoh yang diberikan dalam bagian sebelumnya tentang sejarah risiko menggambarkan bagaimana pemahaman risiko telah berkembang. Risiko-risiko khusus yang terkait dengan organisasi melakukan bentuk usaha yang sering disebut sebagai risiko bisnis. Hal ini dapat dianggap dalam hal cukup sederhana: ketidakpastian mengenai ancaman terhadap pencapaian tujuan bisnis dianggap risiko usaha.
2.3 Kerangka Dasar COSO ERM
Di Amerika Serikat, COSO menerbitkan Enterprise Risk management - Integrated Framework (COSO ERM, atau ERM framework) pada 2004. COSO mengidentifikasi kebutuhan untuk kerangka kerja yang kuat untuk membantu perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko.
COSO mendefinisikan ERM sebagai :
Sebuah proses, dipengaruhi oleh dewan entitas direksi, manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas dan mengelola risiko untuk memberikan keyakinan yang memadai mengenai pencapaian tujuan entitas.
COSO menjelaskan bahwa definisi ini mencerminkan konsep dasar tertentu. ERM adalah:
· Sebuah proses yang sedang berlangsung dan mengalir di seluruh organisasi.
· Diterapkan saat mengatur strategi organisasi.
· Terapan di seluruh organisasi pada setiap tingkat dan unit.
· Dirancang untuk mengidentifikasi kejadian potensial yang jika terjadi akan mempengaruhi organisasi.
· Mampu untuk memberikan keyakinan yang memadai bagi manajemen organisasi dan dewan direksi.
· Diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori terpisah tetapi tumpang tindih.
2.4 Jenis tujuan
Ketika sebuah organisasi menetapkan visi misi sebuah, manajemen juga menetapkan berbagai tujuan yang mendukung misi dan selaras dan kaskade seluruh organisasi. Seperti dibahas dalam Bab 1, "Pengantar audit internal," kerangka ERM diarahkan untuk mencapai tujuan organisasi dalam empat kategori berikut:
a. Tujuan Strategis
Tinggi tingkat tujuan yang selaras dengan dan mendukung misi organisasi.
b. Operasi Tujuan.
Luas tujuan mempromosikan penggunaan efektif dan efisien sumber daya.
c. Pelaporan Tujuan.
Tujuan berfokus pada keandalan pelaporan (baik eksternal dan internal).
d. Kepatuhan Tujuan.
Tujuan menegakkan kepatuhan terhadap undang-undang dan refulations.Ini kategorisasi tujuan organisasi mendukung fokus pada aspek-aspek yang terpisah tetapi sama pentingnya ERM. Kategori ini lapping yang berbeda tetapi atas tujuan - tujuan tertentu dapat jatuh ke dalam lebih dari satu kategori - kebutuhan alamat organisasi yang berbeda dan mungkin berada di bawah tanggung jawab langsung dari anggota yang berbeda dari manajemen senior.
COSO menyatakan berikut tentang pencapaian tujuan: "Karena tujuan yang berkaitan dengan keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan berada dalam kendali entitas, perusahaan manajemen risiko dapat diharapkan untuk memberikan keyakinan memadai untuk mencapai tujuan tersebut. Pencapaian tujuan strategis dan tujuan operasi, bagaimanapun, adalah tunduk pada peristiwa eksternal tidak selalu dalam kendali entitas.
2.5 Komponen ERM
2.5 Komponen ERM
COSO ERM terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan perusahaan dan terintegrasi dengan proses manajemen. komponen ini adalah:
Internal Lingkungan "Manajemen menetapkan filosofi mengenai risiko dan menetapkan risk appetite. Lingkungan internal meliputi nada organisasi, dan menetapkan dasar untuk bagaimana risiko dan kontrol yang dilihat dan ditangani oleh orang-orang suatu entitas.COSO melanjutkan dengan menyatakan bahwa "Environtment internal adalah dasar untuk semua komponen lain dari ERM, menyediakan disiplin dan struktur. itu mempengaruhi bagaimana strategi dan tujuan yang ditetapkan, kegiatan bisnis struktur, dan risiko diidentifikasi, dinilai dan ditindaklanjuti.
The Environtment internal dipengaruhi oleh sejarah dan budaya organisasi. Ini terdiri dari elemen, termasuk berikut ini, yang COSO membahas secara lebih rinci:
· filosofi manajemen risiko, yang merupakan seperangkat keyakinan bersama dan sikap menggambarkan bagaimana organisasi mempertimbangkan risiko dalam segala yang dilakukannya.
· Risiko nafsu makan, yang merupakan jumlah risiko, pada tingkat yang luas, sebuah organisasi yang bersedia menerima.
· Direksi, yang menyediakan struktur, pengalaman, kemandirian, dan pengawasan playe peran oleh badan organisasi utama yang mengatur.
· Integritas dan nilai-nilai etika, yang mencerminkan preferensi, standar perilaku, dan gaya.
· Komitmen terhadap kompetensi, termasuk pengetahuan dan keterampilan neede untuk melakukan tugas yang diberikan.
· Struktur organisasi, yang ditandai oleh kerangka kerja untuk merencanakan, melaksanakan, pengendalian, dan aktivitas monitor.
· Penugasan wewenang dan tanggung jawab, yang mencerminkan sejauh mana individu dan tim yang berwenang dan didorong untuk menggunakan inisiatif untuk mengatasi masalah dan memecahkan masalah, serta batas-batas kewenangannya.
Standar sumber daya manusia, terdiri dari praktek-praktek yang berkaitan dengan perekrutan, orientasi, pelatihan, evaluasi, konseling, mempromosikan, kompensasi, dan mengambil tindakan perbaikan.
A. Penentuan Tujuan (Objective Setting) – ”Tujuan ditetapkan pada tingkat strategis, membangun dasar untuk operasi, pelaporan dan tujuan pemenuhan. Setiap entitas akan menghadapi berbagai risiko dari sumber eksternal dan internal, dan prakondisi untuk identifikasi peristiwa yang efektif, penilaian dari resiko, dan respon risiko adalah penetapan tujuan.”
Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
B. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
COSO mengutip faktor eksternal, bersama dengan contoh-contoh peristiwa yang terkait, termasuk :
§ Kejadian Ekonomi, seperti pergerakan harga, ketersediaan modal, atau hambatan lebih rendah untuk masuk ke dalam persaingan.
§ Kejadian lingkungan alam, seperti banjir, kebakaran, gempa bumi, atau cuaca-peristiwa terkait.
§ Kejadian sosial, seperti perubahan penduduk, adat istiadat sosial, struktur keluarga, atau kerja / prioritas hidup.
§ Kejadian teknologi, seperti sarana baru perdagangan elektronik, penyimpanan, atau pemrosesan
COSO juga mengutip faktor internal, bersama dengan contoh-contoh peristiwa yang terkait, termasuk :
§ Faktor infrastruktur, seperti meningkatkan alokasi modal untuk pemeliharaan preventif atau mendukung pusat panggilan
§ Faktor personal, seperti kecelakaan kerja, kegiatan kecurangan, atau berakhirnya perjanjian kerja
§ Faktor proses, seperti proses modifikasi, kesalahan proses eksekusi, atau keputusan outsourcing.
§ Faktor teknologi, seperti meningkatkan sumber daya untuk menangani volatilitas volume, pelanggaran keamanan, atau downtime sistem.
C. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
- Tujuan Pelaporan Keuangan – Manajemen menetapkan tujuan pelaporan keuangan dengan jelas serta menetapkan kriteria identifikasi risiko untuk pelaporan keuangan yang dapat diandalkan.
- Risiko Pelaporan Keuangan – Perusahaan mengidentifikasi dan menganalisa risiko pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan bagaimana risiko harus dikelola.
- Risiko Kecurangan (Fraud) – Potensi salah saji secara material akibat kecurangan secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan keuangan.
D. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan risiko (sharing risk) – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
seperti yang ditunjukkan, respon resiko masuk ke dalam empat kategori, yang COSO mendefinisikan sebagai berikut:
§ Penghindaran. Keluar atau divestasi kegiatan sehingga menimbulkan risiko. penghindaran risiko mungkin melibatkan keluar dari lini produk, penurunan perluasan untuk pasar geografis baru, atau menjual divisi.
§ Reduksi. Tindakan diambil untuk mengurangi kemungkinan risiko atau dampak. atau keduanya. Hal ini biasanya melibatkan salah satu dari segudang keputusan bisnis sehari-hari (seperti menerapkan kontrol).
§ Berbagi. Mengurangi kemungkinan risiko atau dampak dengan mentransfer atau berbagi sebagian dari risiko. Teknik umum termasuk membeli produk asuransi, terlibat dalam transaksi lindung nilai, atau outsourcing kegiatan
§ Penerimaan. ada tindakan yang diambil untuk mempengaruhi likelihood sampel datanya resiko atau dampak. (pada dasarnya, organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya berharga menyebarkan salah satu pilihan respon risiko lain.)
Penting untuk mempertimbangkan portofolio, atau agregat, efek respon risiko. Dalam beberapa kasus, respon risiko tertentu mungkin tidak muncul menjadi respon yang efektif terbaik atau biaya yang paling untuk risiko tertentu. Namun, jika itu respon resiko membantu mengelola risiko lainnya, manfaat bagi organisasi dapat membenarkan pemilihan itu pilihan tertentu. Dengan melihat risiko dari perspektif portofolio, manajemen terbaik dapat memastikan bahwa risiko dikelola secara optimal risk appetite mendirikan organisasi.
• Kontrol Kegiatan. "Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa risiko manajemen respon dilakukan. Kegiatan pengendalian terjadi di seluruh organisasi, di semua tingkat dan di semua fungsi. "
Sementara kegiatan pengendalian yang paling sering dikaitkan dengan strategi pengurangan risiko, kegiatan pengendalian tertentu juga mungkin diperlukan ketika menjalankan salah satu tanggapan risiko lain. Ada diklasifikasikan dalam berbagai cara dan mencakup berbagai kegiatan yang mungkin preventif atau detektif, manual atau otomatis, dan pada tingkat proses atau tingkat manajemen. Contoh kegiatan pengendalian umum digunakan disediakan oleh COSO meliputi:
ulasan tingkat Top adalah kontrol yang biasanya dilaksanakan pada tingkat entitas, kinerja kami seperti melawan ulasan anggaran, prakiraan update, pemantauan dari tindakan pesaing, atau inisiatif biaya penahanan.
manajemen fungsional atau kegiatan langsung adalah kontrol dilaksanakan oleh manajer menjalankan fungsi tertentu atau kegiatan, kita seperti meninjau laporan kinerja daerah atau mengawasi pelaksanaan kontrol tingkat rinci (misalnya, rekonsiliasi)
§ Pengolahan informasi kontrol dirancang untuk memeriksa akurasi, kelengkapan, dan otorisasi transaksi. Selain itu, daerah ini termasuk kontrol prasarana umum, seperti keamanan fisik dan logis, kontrol atas implementasi sistem, upgrade, atau modifikasi, pemulihan bencana, dan operasi sistem kontrol.
§ Kontrol fisik meliputi:
1. jumlah fisik kas, sekuritas, persediaan, peralatan, atau aset tetap lainnya, dan membandingkan jumlah tersebut dengan jumlah yang tercatat dalam buku dan catatan, dan
2. hambatan fisik atau pembatasan seperti pagar dan kunci.
§ Indikator kinerja melibatkan menganalisis dan menindaklanjuti penyimpangan dari norma-norma kinerja yang diharapkan atau ditargetkan.
§ Tugas segregrasi melibatkan memisahkan tugas orang yang berbeda untuk mengurangi risiko kesalahan atau penipuan. Misalnya, orang yang membangun vendor baru dalam sistem tidak harus dapat mengotorisasi transaksi untuk membayar vendor yang.
· Informasi dan Komunikasi. Informasi terkait diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Informasi harus dalam kedalaman yang cukup konsisten dengan kebutuhan organisasi untuk mengidentifikasi, menilai, dan menanggapi risiko, dan tetap dalam tingkat berbagai toleransi risiko. Sistem informasi memproses secara internal maupun eksternal data yang dihasilkan menjadi informasi yang berguna untuk mengelola risiko. Akhirnya, informasi harus dari kualitas yang cukup untuk mendukung pengambilan keputusan. COSO mencatat bahwa informasi harus:
§ Tepat dan pada tingkat yang tepat detail.
§ Tepat waktu dan tersedia bila diperlukan.
§ Saat ini, mencerminkan informasi keuangan atau operasional terbaru.
§ Akurat dan dapat diandalkan.
§ Diakses bagi mereka yang membutuhkannya.
COSO melanjutkan komunikasi negara yang efektif juga terjadi, mengalir ke bawah, di seberang, dan sampai organisasi. Semua personil menerima messege jelas dari manajemen puncak yang (ERM), serta bagaimana individu kegiatan berhubungan dengan pekerjaan orang lain. Mereka harus memiliki sarana mengkomunikasikan informasi yang signifikan hulu. Ada juga komunikasi yang efektif dengan pihak eksternal, seperti pelanggan, pemasok, regulator, dan pemegang saham.
Ada berbagai bentuk komunikasi, seperti kebijakan manual, memorandum, e-mail, internet dan intranet, bulletin pemberitahuan, dan pesan video. Ketika pesan yang dikirim secara lisan, ujung suara dan bahasa tubuh dapat mempengaruhi bagaimana pesan diinterpretasikan.
• Monitoring. "Manajemen risiko perusahaan dipantau-menilai keberadaan dan fungsi dari komponen dari waktu ke waktu. Merupakan jenis kontrol hilir yang dapat dicapai melalui kegiatan pemantauan, evaluasi terpisah, atau kombinasi dari keduanya. Pemantauan umumnya akan terjadi dalam kegiatan normal sehari-hari kegiatan manajemen. Sifat, lingkup, dan frekuensi evaluasi terpisah akan tergantung terutama pada penilaian manajemen terhadap risiko yang mendasari dan efektivitas prosedur pemantauan yang ada. Kekurangan yang dicatat dari kegiatan ini monitoring dilaporkan, dengan masalah yang paling serius dilaporkan kepada manajemen senior dan dewan.
Selain kegiatan yang sedang berlangsung dalam manajemen, orang lain mungkin terlibat dalam proses pemantauan. Misalnya, individu yang bertanggung jawab atas kinerja kegiatan utama dapat melakukan penilaian tersendiri untuk mengevaluasi efektivitas kegiatan manajemen risiko. Auditor internal biasanya merupakan bagian dari sistem pemantauan keseluruhan, di mana dari hasil audit individu membantu menilai efektivitas kegiatan manajemen risiko terkait. Dalam circumstancess tertentu, pekerjaan yang dilakukan oleh auditor luar yang independen juga dapat mempengaruhi penilaian manajemen terhadap efektivitas manajemen risiko yang sedang berlangsung.
Pada dasarnya, komponen ERM memberikan konteks untuk menjawab beberapa, pertanyaan umum sehari-hari yang meringkas pemikiran manajemen risiko (seperti yang terkait dengan kerangka ERM):
1. Apa yang akan kita capai (apa tujuan kita)?
2.6 Peran dan Tanggung Jawab dalam CRM
Dewan direksi, manajemen, resiko petugas, petugas keuangan, auditor internal, dan memang, setiap individu dalam suatu organisasi berkontribusi ERM yang efektif. Peran dan tanggung jawab dari masing-masing kelompok sejajar dengan yang telah dibahas dalam bab 3, "Governance"
· Dewan direksi. Dewan memberikan pengawasan dan pengarahan kepada manajemen organisasi. papan dapat memainkan peran dalam pengaturan strategi, merumuskan tujuan tingkat tinggi, berbasis luas alokasi sumber daya, dan membentuk lingkungan etis. COSO menunjukkan bahwa papan menyediakan pengawasan berkaitan dengan ERM dengan:
· Mengetahui sejauh mana manajemen telah membentuk ERM efektif dalam sebuah organisasi.
· Menyadari dan concurring dengan risk appetite organisasi
· Meninjau melihat portofolio organisasi risiko dan mempertimbangkan melawan appetit risiko organisasi.
· Menjadi tahu tentang risiko yang paling signifikan dan apakah manajemen menanggapi dengan tepat.
· Manajemen. Manajemen bertanggung jawab atas semua kegiatan organisasi, termasuk ERM. Namun, tanggung jawab ini akan bervariasi, tergantung pada tingkat dalam organisasi dan karakteristik organisasi.
· Risiko Officer. Beberapa organisasi telah membentuk posisi manajemen senior yang terpisah untuk bertindak sebagai titik koordinasi terpusat untuk memfasilitasi ERM. Risiko Chief Officer: Sebuah posisi manajemen senior yang ditetapkan oleh banyak perusahaan yang bertindak sebagai titik koordinasi terpusat untuk memfasilitasi kegiatan manajemen risiko.
COSO menguraikan tanggung jawab spesifik berikut CRO:
· Membangun [ERM] kebijakan, termasuk mendefinisikan peran dan tanggung jawab dan berpartisipasi dalam menetapkan tujuan untuk implementasi.
· Framing wewenang dan akuntabilitas dalam unit bisnis [ERM].
· Mempromosikan [ERM] kompetensi seluruh entitas, termasuk pengembangan memfasilitasi keahlian teknis [ERM] dan membantu manajer menyelaraskan respon risiko dengan toleransi risiko entitas dan mengembangkan kontrol yang tepat.
· Integrasi membimbing [ERM] dengan perencanaan bisnis lainnya dan kegiatan manajemen.
· Membangun manajemen risiko umum bahasa yang mencakup mengukur seluruh kemungkinan dan dampak, dan kategori risiko umum.
· Memfasilitasi pengembangan manajer pelaporan protokol, termasuk ambang batas kuantitatif dan kualitatif, dan pemantauan proses pelaporan.
· Melaporkan kepada kepala eksekutif pada kemajuan dan outliers dan merekomendasikan tindakan yang diperlukan.
· Memfasilitasi pengembangan manajer 'pelaporan protokol, termasuk ambang batas kuantitatif dan kualitatif, dan pemantauan proses pelaporan.
· Melaporkan kepada kepala eksekutif pada kemajuan dan outliers dan merekomendasikan tindakan yang diperlukan.
• Keuangan Eksekutif.
Keuangan dan akuntansi eksekutif dan staf mereka bertanggung jawab untuk kegiatan yang bersifat lintas organisasi. Para eksekutif sering terlibat dalam mengembangkan organisasi-lebar anggaran dan rencana, serta melacak dan menganalisis kinerja dari sebuah kepatuhan, operasi, dan pelaporan perspektif. Mereka memainkan peran penting dalam mencegah dan mendeteksi pelaporan penipuan, dan mempengaruhi desain, implementasi, dan pemantauan pengendalian internal organisasi terhadap pelaporan keuangan dan sistem pendukung.
• Internal Auditor.
Fungsi audit internal memainkan peran penting dalam mengevaluasi efektivitas - dan merekomendasikan perbaikan - ERM. Standar Internasional The IIA untuk Praktik Profesional Audit Internal (Standar) menetapkan bahwa lingkup fungsi audit internal harus mencakup sistem pemerintahan, manajemen risiko, dan pengendalian. Ini termasuk mengevaluasi keandalan pelaporan, efektivitas dan efisiensi operasi, dan kepatuhan terhadap hukum dan peraturan. Dalam melaksanakan tanggung jawab, fungsi audit internal membantu manajemen dan papan dengan memeriksa, mengevaluasi, melaporkan, dan merekomendasikan perbaikan kecukupan dan efektivitas ERM organisasi.
• Lain Individu dalam Organisasi.
Pada kenyataannya, ERM adalah tanggung jawab setiap orang dalam organisasi dan karenanya harus menjadi bagian integral dari deskripsi pekerjaan setiap orang, baik secara eksplisit maupun implisit. Hal ini penting karena:
Meskipun tidak setiap individu dapat dianggap sebagai pemilik risiko per se, hampir semua orang memainkan beberapa peran dalam mempengaruhi ERM, mulai dari informasi yang digunakan memproduksi dalam mengidentifikasi atau menilai risiko, untuk menerapkan strategi dan tindakan yang diperlukan untuk mengelola risiko tersebut.
Semua individu bertanggung jawab untuk mendukung arus informasi dan komunikasi yang merupakan bagian integral dari dan melekat dalam ERM.
• Di luar Auditor Independen.
Auditor independen organisasi luar dapat memberikan manajemen dan dewan direksi perspektif manajemen risiko informasi, independen, dan obyektif yang dapat berkontribusi terhadap pencapaian organisasi pelaporan keuangan eksternal dan tujuan lainnya. Temuan dari audit mereka mungkin berhubungan dengan risiko kekurangan manajemen, informasi analitis, dan rekomendasi untuk perbaikan lainnya yang dapat memberikan manajemen dengan informasi yang berharga untuk meningkatkan program manajemen risiko.
• Legislator dan Regulator.
Legislator dan regulator dapat mempengaruhi pendekatan ERM dari banyak organisasi, baik melalui persyaratan untuk membentuk mekanisme manajemen risiko atau sistem pengendalian internal (misalnya, AS Sarbanes-Oxley Act of 2002) atau melalui pemeriksaan dari entitas tertentu (misalnya, oleh pemerintah federal dan pemeriksa bank BUMN). Legislator dan regulator dapat membentuk aturan yang memberikan dorongan bagi manajemen untuk memastikan bahwa manajemen risiko dan sistem pengendalian memenuhi persyaratan minimum tertentu undang-undang dan peraturan. Juga, mereka dapat melakukan pemeriksaan regulasi yang memberikan informasi yang berguna untuk organisasi dalam menerapkan ERM, dan rekomendasi kepada manajemen mengenai perbaikan yang diperlukan.
• Pihak eksternal lainnya. Akhirnya, pihak luar lainnya dapat mempengaruhi kegiatan ERM organisasi:
· Pelanggan, vendor, mitra bisnis, dan lain-lain yang melakukan bisnis dengan organisasi merupakan sumber penting dari informasi yang digunakan dalam ERM.
· Kreditor dapat memberikan pengawasan atau arah mempengaruhi bagaimana organisasi mencapai tujuan mereka. Misalnya, perjanjian utang mungkin memerlukan organisasi untuk memantau dan melaporkan informasi yang berbeda dari mereka dinyatakan mungkin.
· Analisis keuangan, lembaga pemeringkat, media massa, dan pihak eksternal lainnya dapat mempengaruhi kegiatan manajemen risiko. Kegiatan mereka investigasi dan pemantauan dapat memberikan wawasan tentang bagaimana orang lain memandang kinerja organisasi, industri dan risiko ekonomi, operasi inovatif atau strategi pembiayaan, dan tren industri. Manajemen harus mempertimbangkan wawasan dan pengamatan dari partai-partai dan, jika perlu, mengatur kegiatan manajemen risiko yang sesuai.
· Penyedia jasa outsourcing menjadi cara yang lebih umum bagi organisasi untuk mendelegasikan sehari-hari manajemen mereka noncore fungsi tertentu. Pihak-pihak eksternal yang dibahas di atas secara langsung dapat mempengaruhi kegiatan ERM organisasi, namun, dengan menggunakan luar penyedia layanan dapat mengakibatkan risiko yang berbeda dan tanggapan daripada jika organisasi tidak outsourcing fungsi apapun. Meskipun pihak eksternal dapat melakukan kegiatan atas nama organisasi, manajemen tidak bisa melepaskan tanggung jawab untuk mengelola risiko yang terkait dan harus membuat suatu program untuk memonitor kegiatan outsourcing. Lihat Bab 5, "Proses Bisnis dan Risiko," di mana proses bisnis outsourcing dibahas secara lebih rinci.
ERM formal belum tertanam dalam praktek bisnis dari kebanyakan organisasi, tapi ada tren yang sedang berkembang baik untuk menerapkan ERM atau setidaknya praktik banyak prinsip-prinsip utamanya. COSO mengidentifikasi driver nilai ERM berikut potensial:
· Menyelaraskan risk appetite dan strategi.
· keputusan berisiko Meningkatkan respon.
· Mengurangi kejutan operasional dan kerugian.
· Mengidentifikasi dan mengelola risiko lintas-perusahaan.
· Memberikan tanggapan terpadu untuk beberapa risiko.
· Merebut peluang.
· Meningkatkan penyebaran modaL
TOP DOWN VIEW OF ENTERPRISE RISK MANAGEMENT
2.7 Lainnya Frameworks
Sementara COSO ERM secara luas diakui dalam Amerika Serikat, negara-negara lain memiliki kerangka pembangunan mereka sendiri. Sebagaimana ditunjukkan dalam appendite 3-B "ringkasan dari Pemerintah dan kode Manajemen Risiko dari negara lain" yang dapat ditemukan pada akhir bab 3 "Pemerintahan "bisnis kondisi dan inisiatif regulasi memiliki hasil dalam berbagai kode dan hubungan untuk memenuhi kebutuhan pasar modal lokal dan bussines. Sementara semua kerangka kerja ini pada dasarnya mirip dengan COSO ERM, masing-masing memiliki karakteristik yang unik Taht pembaca didorong untuk belajar. Kerangka tertentu akan terbukti lebih intuitif untuk individu tertentu daripada yang lain.
2.8 Sebuah Risiko View Top-down
exibit 4-3 menyediakan cara untuk meringkas peran manajemen risiko perusahaan. ia menggunakan metamophor corong untuk menggambarkan memainkan aturan top-down ERM dalam membantu organisasi mengurangi risiko utama mereka ke tingkat yang dapat diterima. Pameran ini juga decipted dalam studi kasus 1 "Audit Badan-Tingkat Kontrol" yang menyertai buku ini. Poin-poin kunci untuk understan dari ilustrasi ini adalah disscused secara rinci parutan dalam studi kasus Taht tetapi diringkas sebagai berikut:
· E sangat organisasi menghadapi berbagai risiko, tergantung pada objuctive bisnis mereka beberapa tujuan bisnis s dapat menggambarkan keadaan yang diinginkan operasi yang dibawa oleh sistem pengendalian internal yang efektif.
· Taht Risiko mengimpor kemampuan organzation untuk mencapai tujuan bisnisnya yang bervariasi ditampilkan dalam pameran 4-3 sebagai bola berwarna ukuran. Ini mencerminkan fakta bahwa beberapa risiko akan memiliki dampak yang lebih besar daripada yang lain. Selain itu, beberapa isiko yang clusered bersama-sama, mewakili.
· Fakta bahwa sementara risiko individual mungkin tidak serius, ketika risiko terkait dikumpulkan mereka dapat menjadi lebih serius. Awalnya, risiko tersebut tidak terkendali, atau berada dalam melekat, atau kotor negara mereka, resiko.
· Sistem pengendalian internal digambarkan sebagai corong untuk menggambarkan "penyaringan" risiko utama yang terjadi pada berbagai tingkat dari sistem itu. Misalnya, risiko larges harus dikurangi oleh kontrol entitas-tingkat di lop dari corong. Mereka yang lulus pikir entitas-tingkat filter selanjutnya mengalami Tingkat proses dan transaksi - tingkat kontrol. Seperti dibahas dalam chapter6. "Kontrol internal" kontrol dapat dianggap kunci atau sekunder, tergantung pada apakah mereka mengurangi risiko yang terkait dengan tujuan kritis. Selain itu kontrol dan compensatingt untuk lebih membatasi dampak dari `risiko.
· Jika sistem pengendalian intern dirancang secara memadai dan mengoperasikan efektifitas, risiko-risiko yang Maje semuanya jalan pikir corong harus accepable bagi organisasi. menyatakan dengan cara lain, risiko, secara keseluruhan residual, atau bersih tidak akan melebihi risk appetite organisasi.
2.9 Peran fungsi audit internal dalam ERM
IIA standart 2.120. Manajemen risiko menyatakan "Kegiatan audit internal harus mengevaluasi effectivitas dan berkontribusi pada perbaikan proses manajemen risiko keahlian dan tingkat pengalaman papan yang auditor internal posisi proses mereka untuk memainkan peran berharga dalam ERM. Bahkan mempertimbangkan lingkup yang luas dari fungsi audit yang paling internal, seperti yang akan mereka berperan dalam proses pemantauan everall, kegagalan untuk melibatkan fungsi audit internal dalam beberapa cara kemungkinan akan mengakibatkan inisiatif ERM folling jauh dari harapan. Pembahasan berikut difokuskan pada peran bahwa fungsi audit internal dapat bermain di ERM, tergantung pada apakah atau tidak organisasi secara formal menerapkan ERM.
2.9.1 Organisasi dengan ERM
Internasional The IIA Profesional praktek kerangka termasuk kertas posisi berjudul peran Ther dari Audit internal di perusahaan-lebar Manajemen risiko, yang diuraikan beberapa peluang untuk auditor internal untuk terlibat. dalam ringkasan nya, negara kertas. "inti peran audit internal dengan regrad untuk ERM untuk memberikan jaminan tujuan untuk papan pada efektivitas kegiatan ERM organisasi untuk membantu memastikan risiko bisnis kunci dikelola dengan tepat dan bahwa sistem pengendalian internal yang beroperasi efektifitas.
Kertas Posisi d peran berbagai bahwa fungsi audit internal harus atau tidak harus mengambil tindakan dalam diagram bentuk kipas-atau dial, seperti yang ditunjukkan dalam pameran 4-4. Berikut jenis peran yang dibahas di koran.
Inti Audit Peran internal yang peran-peran ini,. Yang berada di sebelah kiri tombol di bagian hijau di pameran 4-4, merupakan kegiatan assurance. Mereka adalah bagian dari tujuan yang lebih luas dari th memberikan jaminan terhadap kegiatan manajemen risiko. kegiatan ini meliputi.
2.9.2 Inti peran audit internal
Mereka adalah bagian dari tujuan yang lebih luas memberikan jaminan terhadap kegiatan manajemen risiko. Kegiatan ini meliputi:
· Memberikan jaminan pada proses manajemen risiko
· Memberikan jaminan bahwa risiko dievaluasi dengan benar
· Mengevaluasi pelaporan risiko kunci
· Meninjau pengelolaan risiko utama
2.10 Sah Audit peran internal dengan perlindungan
Peran-peran merupakan layanan konsultasi yang dapat memperbaiki tata kelola organisasi, manajemen risiko, dan proses kontrol. Kegiatan ini meliputi:
· Memfasilitasi identifikasi dan evaluasi risiko
· Pelatihan manajemen dalam menanggapi risiko
· Koordinasi kegiatan ERM
· Mengkonsolidasikan pelaporan pada risiko
· Memelihara dan mengembangkan kerangka kerja ERM
· memperjuangkan estabilishment ERM
· Mengembangkan strategi ERM untuk persetujuan dewan
Peran audit internal tidak harus melakukan Yang digambarkan di sebelah kanan tombol di bagian merah. Kegiatan ini meliputi:
• Pengaturan selera risiko
• Memaksakan proses manajemen risiko
• Manajemen jaminan terhadap risiko (yaitu, menjadi satu-satunya sumber untuk manajemen risiko Thata jaminan dikelola secara efektif - ini akan dianggap melakukan fungsi manajemen)
• Mengambil (membuat) keputusan pada tanggapan risiko
• Menerapkan tanggapan risiko atas nama manajemen
• Akuntabilitas untuk manajemen risiko
Sebagai fungsi audit internal memperluas perannya lebih lanjut ke kanan dari dial, pengamanan berikut ini harus diletakkan di tempat:
• Harus jelas bahwa manajemen tetap bertanggung jawab untuk manajemen risiko
• Sifat tanggung jawab fungsi audit internal harus didokumentasikan dalam piagam audit internal dan disetujui oleh komite audit
• Sifat tanggung jawab fungsi audit internal harus didokumentasikan dalam piagam audit internal dan disetujui oleh komite audit
• Fungsi audit internal tidak bisa mengelola salah satu risiko atas nama manajemen
• Fungsi audit internal harus memberikan saran, tantangan, dan dukungan untuk itu manajemen pengambilan keputusan, sebagai lawan untuk membuat keputusan manajemen risiko itu sendiri
• Fungsi audit internal harus memberikan saran, tantangan, dan dukungan untuk itu manajemen pengambilan keputusan, sebagai lawan untuk membuat keputusan manajemen risiko itu sendiri
• Fungsi audit internal tidak dapat memberikan jaminan obyektif pada setiap bagian dari kerangka ERM yang menjadi tanggung jawabnya. Jaminan tersebut harus disediakan oleh pihak lain yang memenuhi syarat sesuai, baik internal maupun eksternal organisasi
• Setiap pekerjaan di luar kegiatan jaminan harus diakui sebagai keterlibatan konsultan, dan implementasi standarts terkait dengan keterlibatan tersebut harus diikuti
• Setiap pekerjaan di luar kegiatan jaminan harus diakui sebagai keterlibatan konsultan, dan implementasi standarts terkait dengan keterlibatan tersebut harus diikuti
Dalam situasi di mana organisasi tidak memiliki proses manajemen risiko formal, CAE secara resmi membahas dengan manajemen dan komite audit kewajiban mereka untuk memahami, mengelola, dan memantau risiko dalam organisasi dan kebutuhan untuk memuaskan diri sendiri bahwa ada proses operasi dalam organisasi ,bahkan secara informal, yang menyediakan tingkat yang tepat dari visibilitas ke dalam kunci risiko dan bagaimana mereka dikelola dan dipantau.
CAE adalah untuk mendapatkan pemahaman tentang manajemen senior dan harapan dewan dari kegiatan audit internal dalam proses manajemen risiko suatu organisasi organisasi. Pemahaman ini kemudian dikodifikasikan dalam piagam dari kegiatan audit internal dan (komite audit). Tanggung jawab audit internal adalah untuk dikoordinasikan antara semua kelompok dan individu dalam proses manajemen risiko organisasi.
Pada akhirnya, itu adalah peran manajemen senior dan dewan untuk menentukan peran audit internal dalam proses manajemen risiko. Pandangan mereka tentang peran audit internal kemungkinan akan ditentukan oleh faktor-faktor seperti budaya organisasi, kemampuan staf audit internal, dan kondisi lokal dan adat istiadat negaranya. Namun, mengambil tanggung jawab manajemen mengenai proses manajemen risiko dan potensi ancaman terhadap independensi aktivitas audit internal memerlukan diskusi penuh dan undang-undang yang diterima.
Pedoman ini memperkuat pentingnya membawa kekurangan proses manajemen risiko untuk perhatian manajemen bersama dengan saran untuk mendirikan semacam proses. Jika diminta, auditor internal dapat memainkan peran proaktif dalam membantu dengan pembentukan awal dari proses manajemen risiko organisasi. Lebih proaktifnya peran suplemen kegiatan jaminan tradisional dengan pendekatan konsultatif untuk meningkatkan proses dasar. Jika bantuan tersebut melebihi jaminan normal dan kegiatan konsultasi yang dilakukan oleh auditor internal, dapat mengganggu independensi. Dalam situasi ini, auditor internal harus memenuhi persyaratan pengungkapan Standar.
DAMPAK ERM PADA JAMINAN AUDIT INTERNAL
IIA Standard 2010: Perencanaan menyatakan, "Kepala Audit Eksekutif harus menetapkan risiko berbasis rencana untuk menentukan prioritas kegiatan audit internal, konsisten dengan tujuan organisasi”. Mendukung standar ini, Praktek Penasehat 2010-1: Menghubungkan Rencana Audit terhadap Risiko dan Eksposur memberikan panduan kepada para Kepala Audit Eksekutif ketika mengembangkan rencana tahunan audit internal. Praktik Penasehat ini menawarkan sebagai berikut yang terkait menghubungkan rencana audit terhadap risiko dan eksposur.:
1. Dalam mengembangkan rencana audit aktivitas audit internal, para Kepala Audit Eksekutif banyak merasa berguna untuk pengembangan pertama atau memperbarui audit keseluruhan ... Kepala Audit Eksekutif dapat memperoleh masukan tentang audit secara keseluruhan dari manajemen senior dan undang-undang.
2. Seluruh bidang audit dapat meliputi komponen dari rencana strategis organisasi. Dengan menggabungkan komponen dari rencana strategis organisasi, seluruh bidang audit akan mempertimbangkan dan mencerminkan tujuan bisnis secara keseluruhan. Rencana strategis juga mungkin mencerminkan sikap organisasi terhadap risiko dan tingkat kesulitan untuk mencapai tujuan yang direncanakan. Seluruh bidang audit Audit biasanya akan dipengaruhi oleh hasil proses manajemen risiko. Rencana strategis organisasi mempertimbangkan lingkungan di mana organisasi beroperasi. Faktor-faktor lingkungan yang sama kemungkinan akan berdampak pada seluruh bidang audit dan relativitas penilaian risiko.
3. Kepala Audit Eksekutif mempersiapkan rencana audit aktivitas audit internal yang didasarkan pada seluruh bidang audit, masukan dari manajemen senior dan undang-undang, dan penilaian risiko dan eksposur ... , Dan. Informasi untuk membantu mereka mencapai tujuan organisasi, termasuk penilaian terhadap efektivitas kegiatan pengelolaan manajemen risiko.
4. Seluruh bidang audit dan terkait rencana audit diperbarui untuk mencerminkan perubahan .. .
5. Jadwal kerja audit didasarkan pada, antara faktor-faktor lainnya, penilaian risiko dan eksposur Berbagai model risiko ada untuk membantu Kepala Audit Eksekutif. Kebanyakan model risiko menggunakan faktor risiko seperti dampak, kemungkinan, materialitas, likuiditas aset, kompetensi manajemen, kualitas dan kepatuhan terhadap pengendalian internal, tingkat perubahan atau stabilitas, waktu dan hasil dari keterlibatan audit terakhir, kompleksitas, dan karyawan dan hubungan pemerintah.
Poin-poin di atas, yang berlaku pada tingkat pembentukan rencana tahunan audit internal, juga relevan pada tingkat keterlibatan. Sebagai contoh, ruang lingkup dan pendekatan proyek individu akan dipengaruhi oleh:
• Bagaimana risiko pada tingkat proses berhubungan dengan rencana strategis dan tujuan organisasi: Proses-tingkat risiko dibahas lebih rinci dalam Bab 13, "Melakukan Keterlibatan Assurance."
• Perubahan dalam proses (misalnya, tujuan, prosedur, personel, dan ukuran kinerja) yang telah terjadi selama setahun terakhir atau sejak audit terakhir dari proses.
• Faktor Model resiko yang relevan (misalnya, dampak keuangan dan likuiditas aset).
• Dampak dan kemungkinan proses tingkat risiko.
Singkatnya, pendekatan manajemen risiko manajemen, terlepas dari sudah atau belumnya suatu organisasi dalam menerapkan ERM, akan memiliki pengaruh yang signifikan pada kedua piagam audit internal dan rencana tahunan audit internal.
RINGKASAN
Seperti COSO mendefinisikan, "ERM adalah proses, dipengaruhi oleh undang-undang, manajemen, dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuan dan mengelola risiko dalam selera risikonya.
Tujuan organisasi mungkin strategis, operasional, pelaporan, atau kepatuhan berorientasi. ERM dapat dinilai di beberapa komponen: lingkungan internal, penetapan sasaran, identifikasi kejadian, penilaian risiko, respon resiko, kegiatan pengendalian, informasi dan komunikasi, dan pemantauan.
Keahlian dan tingkat pengalaman yang luas bahwa auditor internal memiliki posisi mereka untuk memainkan peran berharga dalam ERM. Fungsi audit internal dapat mengambil berbagai peran relatif terhadap ERM. Beberapa yang konsisten dengan kegiatan jaminan sebagaimana diuraikan dalam Piagam, dan beberapa di antaranya mungkin jasa konsultasi disediakan untuk membantu organisasi dalam meningkatkan tata kelola, manajemen risiko, dan proses control. Namun, fungsi audit internal harus menetapkan pengamanan yang memadai untuk memastikan bahwa ia tidak mengambil peran yang bisa setara dengan tanggung jawab manajemen, sehingga mengganggu independensi dan objektivitas auditor internal.
Rencana strategis organisasi dan risiko yang melekat akan memiliki dampak langsung dan mendalam pada kedua piagam dari fungsi audit internal serta rencana audit tahunan. Perubahan arah manajemen, tujuan, penekanan, dan fokus juga dapat mempengaruhi rencana tahunan audit internal. Kepala Audit Eksekutif harus mempertimbangkan risiko ketika memprioritaskan dan penjadwalan tugas audit mendatang internal.
terima kasih atas ilmunya ya kaka...
BalasHapusboleh tau sumbernya darimana hehe
BalasHapus