Beruflich Dokumente
Kultur Dokumente
MAKALAH
Diajukan sebagai salah satu syarat untuk memenuhi tugas mata kuliah
Audit Internal
HALAMAN JUDUL
Disusun oleh:
Dewi Sartika Siagian NPM 1306484261
Dhimas Kristianto Dwi Prasetyo NPM 1306484280
Fitri Jayanti Sitindaon NPM 1306484450
Florency Marbun NPM 1306484463
FAKULTAS EKONOMI
PROGRAM STUDI S1 EKSTENSI AKUNTANSI
JAKARTA
September 2015
i
Statement of Authorship
Kami yang bertanda tangan di bawah ini menyatakan bahwa makalah/tugas
terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain
yang kami gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk
makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa
kami menyatakan dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan dengan tujuan mendeteksi adanya plagiarisme.
Mata Ajaran
: Audit Internal
Judul Makalah
Tanggal
: 16 September 2015
Dosen
: Lufti Julian
Anggota
:
Nama
NPM
1306484261
1306484280
1306484450
Florency Marbun
1306484463
Freddy S.
1306484476
1306484816
Tanda Tangan
baik bagi auditor eksternal dan internal karena melalui ketentuan tersebut
FCPA mengharuskan perusahaan:
- Membuat dan menyimpan pembukuan, pencatatan, dan penghitungan
- Menemukan dan memlihara sebuah sistem pengendalian akuntansi yang
cukup menyediakan jaminan yang layak
- Adanya pembatasan akses ke asset
- Pencatatan pertanggungjawaban atas asset dapat dibandingkan dengan
asset yang ada dalam suatu interval yang masih wajar dan kepedulian
terhadap adanya suatu perbedaan
FCPA sangat penting karena merupakan aturan pertama yang mengharuskan
manajemen untuk menyusun pertanggungjawaban atas system pengendalian
akuntansi yang memadai. Selanjutnya FCPA mengharuskan perusahaan
untuk memperhatikan pencatatan yang akurat atas transaksi perusahaan
secara detail dan wajar. Tujuannya agar pencatatan-pencatatan tersebut
dapat merefleksikan kesesuaian transaksi dengan metode-metode yang
dapat diterima dan pencatatan kejadian ekonomis, pencegahan slush fund
dan adanya pembayaran suap.
b. FCPA Aftermath : What Happened?
Pelaksanaan FCPA tidak berjalan sebagaimana yang diharapkan. Atas
pembukuan yang telah dilakukan perusahaan tidak ada yang datang untuk
melakukan pemeriksaan atas proses dokumentasi yang telah dilaksanakan
oleh perusahaan. Namun sekarang ini semakain banyaknya peraturan antikorupsi dan anti-penyuapan merujuk pada ketentuan dalam FCPA, sehingga
dapat dikatakan bahwa FCPA memiliki peran penting atas efektivitas suatu
pengendalian internal, walau pada tahun tersebut (1977) belum terdapat
pengertian yang konsisten atas pengendalian internal.
3. Events Leading to the Treadway Commission
Pada akhir 1970-an external auditor hanya melaporkan, bahwa pengendalian
internal suatu perusahaan disajikan wajar, tanpa membuktikan apakah
dokumentasi dari pelaksanaan pengendalian internal tersebut telah sesuai dengan
standar pelaporan pengendalian internal yang dipersyaratkan oleh FCPA. Hal ini
menjadi ambigu mengingat tidak ada penjelasan yang konsisten atau jelas tentang
definisi pengendalian internal yang baik. Menanggapi hal ini, SEC telah melakukan
penelitian selama lebih dari 10 tahun untuk menyusun definisi yang lebih baik atas
pengendalian internal dan pertanggungjawaban dengan laporan atas kegiatan
pengendalian tersebut.
Pada tahun 1974, AICPA membentuk komisi tingkat tinggi yang bernama
Commission on Auditors Responsibilities, yang lebih dikenal dengan nama Cohen
Commision. Cohen Commision memberikan rekomendasi bahwa perusahaan harus
memberikan laporan atas internal control suatu perusahaan bersamaan dengan
laporan keuangannya. Hal ini menuai banyak kritik khususnya dari auditor
eksternal. Sehubungan dengan peran mereka dalam menguji kewajaran laporan
keuangan, rekomendasi ini menjadi potensi kewajiban auditor eksternal. Yang
menjadi permasalahan buat auditor eksternal adalah tidak adanya standar
pengendalian internal yang baik. Setiap perusahaan mempunyai keunikan tersendiri
sehingga auditor eksternal dalam memberikan pernyataan atas pengendalian
internal suatu perusahaan harus menyesuaikan. Lebih lanjut lagi apabila auditor
eksternal setuju pendendalian internal suatu perusahaan baik, ditakutkan ke
depannya terjadi permasalahan sehubungan dengan pengendalian internalnya.
Pada tahun 1970, The Financial Executive International (FEI), yang
merepresentasikan eksekutif keuangan perusahaan senior menyetujui dan
mengesahkan rekomendasi dari Cohen Commission, yaitu perusahaan harus
membuat management letter tentang pengendalian internal di perusahaan.
Penerapannya tidak harus memenuhi formulir-formulir tertentu, hanya berdasarkan
intepretasi masing-masing perusahaan tentang pengendalian internal yang baik.
Menanggapi hal ini, auditor eksternal pra SOx, menggunakan negatve assurance
dengan kata-kata tidak menemukan permasalahan yang mengarahkan pada
adanya masalah dalam pengendalian internal.
Berdasarkan rekomendasi dari Cohen Commission dan FEI, SEC mengusulkan
adanya aturan mandatory tentang laporan dari manajemen tentan efektifitas dari
pengendalian internal perusahaan. Namun lagi-lagi usulan ini mendapatkan
konfrontasi dari berbagai arah karena menurut CEO & CFO, aturan ini
memberatkan.
a. Earlier AICPA Standards : SAS No.55
AICPA adalah organisasi yang merilis standar eksternal auditor yaitu Statement on
Auditing Standards (SASs). SAS No.1 yang mengatur tentang standar format
sebagai dasar eksternal auditor untuk penelitian kecukupan dan kewajaran dari
laporan keuangan, beberapa kali melalui perubahan di tahun 1970an dan 1980.
Perubahan ini tidak membuat standar ini terlepas dari kritik atas expectation gap
antara pengguna laporan keuangan dengan auditor eksternal.
Menjawab kritik ini, AICPA mengeluarkan SASs atas standar audit pengendalian
internal di antara tahun 1980 dan 1985. Di dalam standar ini termasuk SAS no.30
tentang Reporting on Internal Accounting Control sebagai panduan untuk
penyusunan Laporan Pengendalian Akuntansi Internal. Selain itu juga SAS No.55,
Consideration of the Internal Control Structure in a Financial Statement Audit yang
menjelaskan 3 kunci elemen dari pengendalian internal yaitu :
1. Lingkungan Pengendalian
2. Sistem Akuntansi
3. Prosedur Pengendalian.
SAS No.55 lebih luas menjelaskan definisi pengendalian internal dari yang biasanya.
SAS No.55 menjadi efektif pada tahun 1990 dan mewakili langkah besar pada
penyediaan auditor eksternal yang sesuai dengan definisi pengendalian internal.
Definisi Pengendalian Internal COSO adalah suatu proses, yang dipengaruhi oleh
dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang
dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam efektivitas dan efisiensi operasi, keandalan laporan
keuangan, dan kepatuhan terhadap hukum dan peraturan yang berlaku
COSO Internal Control Framework
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas,
yaitu:
1. Lingkungan Pengendalian (Control Environment)
Merupakan pondasi dari komponen pengendalian internal lainnya. Lingkungan
pengendalian meliputi beberapa faktor di antaranya :
a.
Integritas dan Etika (integrity and ethical value)
Auditor internal harus dapat memahami nilai etika di perusahaan di mana
mereka bekerja. Apabila mereka melihat bahwa dalam perusahaan tidak ada
nilai etika yang legal, hal tersebut mengindikasikan bahwa tidak ada peraturan
legal yang ditetapkan oleh manajemen dalam mengatur tingkah laku para
pegawainya. Jika hal tersebut terjadi, auditor internal perlu mengingatkan
manajemen untuk dapat menyusun dan menetapkan nilai etika perusahaan.
b.
Komitmen untuk meningkatkan kompetensi (commitment to competence)
Auditor internal dapat mengevaluasi terhadapt orang yang memegang posisi
atau jabatan di perusahaan. Dari evaluasi tersebut, auditor internal dapat
menilai apakah posisi tersebut diduduki oleh orang yang tepat. Auditor internal
juga perlu memastikan bahwa manajemen telah menyusun kerangka
kompetensi atas sebuah posisi atau jabatan di perusahaan.
c.
Dewan komisaris dan komite audit (Board of Direct and Audit Commitee)
Dewan komisaris dan komite audit yang aktif dan independen merupakan
komponen utama dalam lingkungan pengendalian. Sebelum SOx, jabatan
dewan komisaris dan komite audit didominasi oleh senior manajemen pihak
yang mempunyai kepentingan tanpa melihat kepentingan pemilik saham
minoritas.
d.
Filosofi manajemen dan jenis operasi (management philasophy and operating
style)
Filosofi dan gaya manajemen akan berdampak pada lingkungan pengendalian
yang akan dibuat. Terdapat manajemen yang sangat perhatian isu perpajakan,
pelaporan akuntansi yang sesuai dengan peraturan yang berlaku. Auditor
internal harus menjadikan filosofi dan gaya operasi manajemen sebagai bahan
pertimbangan dalam menilai efektivitas pengendalian internal perusahaan.
e.
Struktur organisasi (organization structur)
Struktur organisasi membantu manajemen dalam membuat perencanaan,
pelaksanaan, pengendalian, dan pengawasan pengendalian internal. Struktur
organisai ditentukan sesuai dengan tujuan perusahaan. Dengan ini akan lebih
memperjelas pembagian tanggung jawab dan wewenang dari masing-masing
individu.
f.
Pembagian wewenang dan tanggung jawab (assignment authority and
responsibility)
Dengan pembagian wewenang dan tanggung jawab yang jelas akan lebih
mudah diketahui siapa yang yang bertanggung jawab kepada siapa, serta
menghindari tumpang tindih wewenang dan tanggung jawab sehingga dapat
terhindarkan konflik antarindividu maupun antarunit dalam perusahaan. Auditor
internal dapat mengevaluasi apakah kegiatan operasional perusahaan telah
dilakukan.
g.
Kebijakan dan praktek sumber daya manusia (Human resources policy and
practice)
Kebijakan dan praktek sumber daya manusia terbagi dalam ruang lingkup
sebagai berikut:
Recruitment and hiring
New employee orientation
Evaluation, promotion, and compensation
Disciplinary actions
2. Penilaian Risiko (Risk Assessment)
Dalam mencapai tujuan perusahaan, terdapat faktor baik internal maupun eksternal
yang dapat menjadi kendala. Oleh karena itu diperlukan proses untuk mengenali,
memahami, dan mengelola faktor-faktor yang berpotensi untuk menjadi
risiko.Proses penilaia risiko sebaiknya dilakukan oleh seluruh level untuk seleruh
aktivitas perusahaan, yang terdiri dari 3 tahap, yaitu:
a. Mengidentifikasi signikasi dari risiko
b. Melakukan penilaian kemungkinan terjadinya risiko,
c. Menyusun cara mengelola dan menilai risiko
10
5. Pengawasan (Monitoring)
Karena Pengendalian Internal harus dilakukan sepanjang waktu, maka COSO
menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap
keseluruhan Sistem Pengendalian Internal melalui aktivitas yang berkelanjutan dan
melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.
Kegiatan pengawasan yang dapat dilakukan oleh perusahaan antara lain:
a. Ongoing monitoring
Operating management normal functions, segera melakukan tindakan
perbaikan ketika kegiatan normal perusahaan mengalami kondisi
pengecualian.
Komunikasi dengan pihak eksternal, seperti keluhan dari pelanggan harus
dikelola dengan baik.
Aktivitas pengawasan oleh supervisor secara hirearki.
Rekonsiliasi aset secara fisik.
b. Separate internal control evaluation
Pengawasan dan evaluasi atas pengendalian internal yang dilakukan secara
periodik.
11
a. Risk Identification
Manajemen berusaha mengidentifikasi semua risiko yang mungkin dapat
mempengaruhi keberhasilan perusahaan, mulai dari yang lebih besar atau bisnis
yang secara keseluruhan lebih signifikan terhadap risiko ke risiko yang kurang
penting dimana terkait dengan proyek-proyek individu atau unit bisnis yang lebih
kecil. Proses identifikasi risiko merupakan pendekatan yang disengaja agar dapat
melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi area
risiko yang lebih signifikan yang dapat mempengaruhi setiap operasi dalam jangka
waktu yang wajar.
Ide pendekatan ini adalah untuk menguraikan beberapa tingkat risiko yang tinggi
"straw man" (orang-orang yang dipercaya) yang dapat mempengaruhi berbagai unit
operasi. Orang berpengetahuan melihat dan memperluas daftar ini sesuai dengan
modifikasi mereka. Exhibit 6.1 menunjukkan beberapa jenis risiko utama yang dapat
mempengaruhi perusahaan termasuk berbagai risiko strategis, operasi, dan
keuangan. Ini adalah jenis daftar CEO tingkat tinggi yang mungkin bisa digunakan
oleh pemegang saham sebagai pertanyaan umum pada pertemuan tahunan "
What worries you at the end of the day?" Meskipun tidak mencantumkan semua
risiko yang dihadapi perusahaan, daftar pertama ini dapat digunakan untuk
memulai rincian identifikasi risiko. Manajemen senior tingkat CEO perusahaan dapat
bertemu dengan stafnya dan menanyakan beberapa hal "Apa yang
mengkhawatirkanmu ..." jenis pertanyaan ini untuk mengidentifikasi risiko.
Tabel 6.1 Jenis-Jenis Risiko Perusahaan
12
Pada Tabel 6.1 dia atas disajikan beberapa model risiko secara umum. Model
risiko pada level yang lebih tinggi dapat digunakan sebagai dasar untuk
menentukan risiko yang lebih spesifik pada berbagai unit perusahaan dengan
memperluas daftar yang lebih lengkap dalam pengidentifikasian risiko.
Tim manajemen perusahaan harus memulai daftar yang lebih lengkap tentang
potensi-potensi risiko perusahaan dengan pertanyaan sebagai berikut:
Apakah risiko umum yang terjadi di perusahaan secara keseluruhan atau
risiko khusus yang terjadi di satu kelompok bisnis?
Apakah perusahaan menghadapi risiko ini karena faktor internal atau
melalui peristiwa eksternal?
Apakah risiko berkaitan, misalnya satu risiko dapat menyebabkan
terjadinya risiko lain?
13
14
risiko) atau 100% (pasti terjadi). Bagaimanapun juga, proses penilaian risiko
yang akurat tidak hanya diukur berdasarkan perkiraan yang dinyatakan
dalam rentang angka 1 s.d. 9 atau dengan persentase. Manajemen
perusahaan harus melihat risiko yang teridentifikasi dan mengumpulkan
informasi lebih lanjut jika diperlukan.
(ii) Risk Interpendencies
Dalam sebuah perusahaan seringkali risiko sangat saling bergantung satu
sama lain. Setiap unit operasi bertanggung jawab dalam mengelola risiko
sendiri tetapi mungkin saja menerima konsekuensi atas risiko yang terjadi
pada unit diatas atau dibawahnya dalam struktur organisasi.
(iii) Risk Ranking
Sebuah perusahaan yang memiliki kekhasan mungkin akan menghasilkan
daftar potensi risiko yang sangat panjang. Langkah berikutnya yang perlu
dilakukan adalah menggunakan perkiraan tentang signifikansi dan
kemungkinan (likelihood) yang telah dibuat, menghitung peringkat risiko, dan
kemudian mengidentifikasi risiko yang paling signifikan. Meskipun kita tidak
pernah bisa memprediksi konsekuensi utama dari risiko, suatu perusahaan
harus selalu menyadari bahwa bencana terburuk bisa saja terjadi.
c. Quantitative Risk Analysis
1) Expected Values and Response Planning
Diperlukan sedikit nilai dalam mengidentifikasi risiko yang signifikan
kecuali perusahaan telah merencanakan di awal berupa tindakan yang
diperlukan jika salah satu risiko terjadi. Ide ini memperkirakan dampak
biaya yang terjadi dari beberapa risiko yang telah diidentifikasi dan
kemudian menerapkan biaya untuk probabilitas faktor risiko untuk
menurunkan nilai yang diharapkan atau menurunkan biaya risiko. Risiko
tersebut mahal jika terjadi namun juga mahal untuk melindunginya.
2) Risk Monitoring
Mengidentifikasi risiko utama tidak pernah bisa dilakukan sendiri dalam
suatu proses
waktu. Lingkungan disekitar risiko yang telah
diidentifikasikan segera berubah karena kondisi sekitarnya berubah. Untuk
beberapa risiko, kondisi dapat berubah sedemikian rupa sehingga risiko
menjadi ancaman yang lebih besar. Proses pemantauan yang akurat
merupakan komponen penting dari manajemen risiko. Suatu perusahaan
mungkin telah melalui proses yang rumit dalam mengidentifikasi risiko
yang signifikan, namun status risiko perlu dipantau secara teratur dan
apabila diperlukan maka dibuat perubahan atas risiko yang telah
diidentifikasi tersebut.
ERM adalah proses. Suatu perusahaan sering tidak dapat menentukan aturan
manajemen risiko melalui buku peraturan kecil yang diselenggarakan.
Sebaliknya harus ada serangkaian langkah yang didokumentasikan untuk
meninjau dan mengevaluasi potensi risiko dan mengambil tindakan berdasarkan
berbagai faktor di seluruh perusahaan.
Proses ERM dilaksanakan oleh orang-orang di dalam perusahaan. Proses
manajemen risiko harus dikelola oleh orang-orang yang cukup dekat dengan
kondisi risiko agar dapat memahami berbagai faktor sekitar risiko termasuk
implikasinya.
ERM diterapkan melalui pengaturan strategi di perusahaan secara
keseluruhan. Setiap perusahaan terus dihadapkan dengan startegi alternatif
mengenai macam potensi tindakan di masa depan. Untuk itu ERM harus
diterapkan di seluruh perusahaan dengan menggunakan jenis pendekatan
portofolio yang memaduka mix of high-and low-risk activities.
Konsep risk appetite harus dipertimbangkan. Risk appetite adalah umlah
risiko pada level board, diaman suatu perusahaan dan manajer bersedia
menerima dan mencari nilai. Risk appetite dapat diukur dalam arti kualitatif
dengan melihat risiko dalam kategori: tinggi, sedang, atau rendah.
Dalam mencapai tujuan, ERM memberikan keyakinan memadai bukan
jaminan pasti. Meskipun manajemen proses ERM efektif, perushaan dapat
mengalami peristiwa bencana major dan benar-benar tak terduga. Keyakinan
yang memadai tidak menyediakan jaminan mutlak.
ERM dirancang untuk membantu mencapai tujuan. Melalui manajemen,
sebuah perusahaan harus bekerja untuk membangun tujuan umum high-level
yang dapat digunakan bersama oleh semua pemangku kepentingan. Program
ERM keseluruhan perushaaan harus membantu mencapai tujuan tersebut.
16
Tujuan dari kerangka kerja ERM ini adalah untuk memberikan model bagi
perusahaan untuk mempertimbangkan dan memahami risiko yang berhubungan
dengan kegiatan di semua tingkat serta bagaimana dampak komponen risiko ini
satu sama lain. Karena diagram kerangka COSO ERM terlihat sangat mirip dengan
kerangka pengendalian internal COSO yang telah akrab bagi banyak auditor internal
dalam beberapa tahun terakhir dan tentu setelah SOx, beberapa terkadang salah
melihat COSO ERM hanya sebagai pembaruan ke kerangka pengendalian internal
COSO. Namun, COSO ERM memiliki tujuan dan kegunaan yang berbeda. COSO ERM
tidak seharusnya dianggap hanya sebagai versi baru dan perbaikan atau revisi dari
kerangka pengendalian internal COSO, namun harus lebih dari itu. Berikut ini garis
besar kerangka ini dari perspektif komponen risiko.
17
18
19
20
Gambar tersebut diadaptasi dari materi panduan COSO ERM. Materi tersebut harus
dirujuk ke sebuah pemahaman yang lebih rinci dari COSO ERM. Untuk mengelola
dan mengendalikan risiko di semua tingkat, perusahaan perlu menetapkan tujuan
dan menentukan toleransi untuk terlibat dalam praktek berisiko dan kepatuhan
terhadap aturan-aturan ini. Segala sesuatunya tidak akan bekerja jika perusahaan
menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi kemudian
mulai mengabaikan apa yang sudah ditetapkan.
(c) Identifikasi Peristiwa
Peristiwa adalah sebuah insiden atau kejadian perusahaan dari internal atau
eksternal yang mempengaruhi pelaksanaan strategi ERM dan pencapaian
tujuannya. Sementara kecenderungan kita adalah memikirkan peristiwa dalam
pengertian negatif - menentukan apa yang salah, padahal suatu peristiwa juga bisa
berdampak positif. Banyak perusahaan saat ini memiliki alat pemantauan kinerja
yang kuat di tempat untuk memantau biaya, anggaran, jaminan kualitas,
kepatuhan, dan sejenisnya. Namun, daripada hanya menginstal meter pada jalur
perakitan produksi, proses pemantauan harus mencakup:
Peristiwa ekonomi eksternal
Berbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan
ERM suatu perusahaan. Kedua duanya baik peristiwa jangka pendek dan jangka
panjang dapat berdampak pada tujuan strategis suatu perusahaan.
21
22
perusahaan
untuk
Persediaan Peristiwa
Manajemen harus mengembangkan daftar-terkait risiko kejadian umum untuk
industri perusahaan tertentu dan area fungsional. Artinya, perusahaan harus
mempertimbangkan membuat daftar risiko yang dapat diidentifikasi dari
pelajaran pelajaran dalam sumber arsip perusahaan.
Workshop yang difasilitasi
Suatu perusahaan dapat membangun workshop lintas fungsional untuk
membahas faktor-faktor risiko potensial yang mungkin berkembang dari berbagai
peristiwa internal atau eksternal. Hasil dari workshop ini akan menjadi rencana
aksi untuk memperbaiki potensi risiko.
Wawancara, kuesioner, dan survei.
Informasi mengenai risiko potensial dalam suatu peristiwa dapat berasal dari
berbagai sumber, seperti surat kepuasan pelanggan atau komentar wawancara
karyawan yang keluar. Informasi ini harus ditangkap dan diklasifikasikan untuk
mengidentifikasi kemungkinan yang mengarah ke peristiwa berisiko.
Analisis aliran proses
Materi mengenai teknik aplikasi COSO ERM merekomendasikan penggunaan
diagram alir untuk meninjau proses dan mengidentifikasi risiko potensial dalam
suatu peristiwa.
Pemimpin peristiwa dan pemicu eskalasi
Idenya di sini adalah untuk membangun serangkaian unit pengukuran untuk
memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.
Pelacakan data kerugian suatu peristiwa
Sementara pendekatan dashboard memantau risiko peristiwa yang terjadi,
seringkali terlalu berharga untuk meletakkan segala sesuatu dalam perspektif
yang lebih setelah berlalunya waktu. Pelacakan data kerugian suatu peristiwa
mengacu untuk menggunakan kedua duanya baik sumber database internal
maupun masyarakat untuk melacak aktivitas di area yang menarik. Sumbersumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi
terkemuka untuk tingkat kegagalan peralatan internal. Lagi - lagi di sini, suatu
perusahaan harus menginstal proses identifikasi risiko yang efektif untuk
melacak kedua duanya baik resiko terkait peristiwa internal dan eksternal.
(d) Penilaian Risiko
Sementara komponen lingkungan internal adalah landasan COSO, komponen
penilaian risiko adalah inti kerangka itu. Penilaian risiko memungkinkan suatu
perusahaan untuk mempertimbangkan apakah ada efek risiko potensial terkait
peristiwa yang mungkin dimiliki dalam suatu pencapaian perusahaan atas tujuan
perusahaannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang
terjadi dan dampak potensial. Sebagai bagian penting dari proses penilaian risiko
23
24
Tanpa melalui analisis kuantitatif rinci, setiap risiko yang diidentifikasi dapat
digolongkan dalam keseluruhan skala relatif 1 sampai 10, dengan pertimbangan
diberikan kepada dampak dan kemungkinan masing-masing. Peringkat ini dapat
dicapai dengan proses keputusan manajemen yang fokus di mana masing-masing
risiko yang teridentifikasi ditinjau dan kemudian diperingkat sehubungan dengan
skala ini. Gambar di bawah ini menunjukkan bagaimana serangkaian risiko untuk
sebuah perusahaan sampel dinilai pada tinggi, sedang, atau nilai relatif rendah.
Untuk perusahaan yang lebih besar, risiko dapat ditingkatkan 1 sampai 10 atau
bahkan 1-100 memungkinkan granularity yang lebih besar. Idenya adalah untuk
menetapkan beberapa peringkat relatif terhadap risiko dan untuk mengidentifikasi
risiko-risiko yang harus mendapat perhatian yang paling menyeluruh dari
manajemen.
25
Seharusnya ada review yang seksama terhadap estimasi kemungkinan risiko dan
potensi dampaknya, dengan pertimbangan diberikan kepada biaya dan manfaat
yang terkait, untuk mengembangkan strategi respon risiko yang sesuai. Respon
risiko ini dapat ditangani dengan salah satu dari empat cara dasar ini:
1. Menghindari
Ini adalah strategi berjalan menjauh dari-risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau membuang lini
produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa membuang lini
produk atau berjalan jauh sampai peristiwa risiko telah terjadi dengan biayanya
yang terkait. Kecuali suatu perusahaan memiliki selera yang sangat rendah untuk
risiko, sulit untuk pergi dari daerah bisnis atau lini produk yang dinyatakan sukses
atas dasar potensi risiko di masa depan. Penghindaran bisa menjadi strategi
berpotensi mahal jika investasi dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Mengurangi
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi
lini produk dapat mengurangi risiko yang terlalu kuat dari ketergantungan pada satu
kunci lini produk; membagi operasi IT menjadi dua lokasi geografis yang terpisah
akan mengurangi risiko beberapa bencana kegagalan.
3. Membagi
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko-lain juga tersedia. Untuk transaksi
keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi risiko bisnis
potensial dan manfaat melalui perjanjian joint venture perusahaan atau pengaturan
struktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa
risiko potensial serta berbagi dalam reward yang dihasilkan.
4. Menerima
Ini adalah strategi dimana tidak ada tindakan yang dilakukan, seperti ketika suatu
perusahaan menjamin dirinya sendiri dengan mengambil tindakan untuk
mengurangi potensi risiko. Pada dasarnya, perusahaan harus melihat kemungkinan
dan dampak risiko dalam menyoroti toleransi risiko yang tersedia dan kemudian
memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi
perusahaan.
Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan
pemikiran strategis. Beberapa alternatif respon risiko mungkin melibatkan biaya,
waktu, dan perencanaan proyek rinci . COSO ERM menyerukan agar risiko harus
dipertimbangkan dan dievaluasi pada basis entity atau portofolio besar. Ini bisa
menjadi proses yang sulit, dalam multi unit yang besar, perusahaan multiproduct,
26
tetapi proses ini menyediakan titik awal dalam mengatur berbagai risiko untuk
mengidentifikasi risiko yang lebih signifikan yang dapat mempengaruhi perusahaan.
Idenya di sini adalah untuk melihat potensi risiko, probabilitas terjadinya mereka,
dan dampaknya.
(f) Aktivitas Pengendalian
Aktivitas pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan pada respon risiko yang teridentifikasi. Meskipun
beberapa dari aktivitas ini mungkin berhubungan hanya untuk respon risiko yang
teridentifikasi dan disetujui di area perusahaan, aktivitas ini sering tumpang tindih
di beberapa fungsi dan unit. Aktivitas pengendalian komponen COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas
sebelumnya.
Memiliki respon risiko terpilih yang sesuai, perusahaan harus memilih aktivitas
pengendalian yang diperlukan untuk memastikan bahwa respon risiko dijalankan
secara tepat waktu dan efisien. Setelah melalui identifikasi risiko kejadian COSO
ERM, proses penilaian, dan respon, pemantauan risiko memerlukan empat langkah
berikut:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
membangun prosedur penngendalian untuk memantau atau membetulkan risiko.
2. Membuat latihan menghadapi kebakaran, jenis prosedur pengujian untuk
menentukan apakah prosedur pengendalian risiko terkait tersebut bekerja secara
efektif.
3. Melakukan tes proses pemantauan risiko untuk menentukan apakah proses
tersebut bekerja secara efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk memperbaiki
proses pemantauan risiko.
Banyak aktivitas pengendalian di bawah pengendalian internal COSO cukup mudah
untuk diidentifikasi dan diuji karena sifat akuntansi mereka. Kegiatan pengawasan
ini umumnya termasuk daerah-daerah pengendalian internal di bawah ini:
Pemisahan tugas.
Pada dasarnya, orang yang memulai transaksi tidak harus orang yang sama yang
mengotorisasi transaksi itu.
Audit trails.
Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas.
Proses pengendalian harus memiliki prosedur pengendalian yang tepat sehingga
hanya orang yang berwenang dapat meninjau atau memodifikasi proses
tersebut.
Dokumentasi.
Proses harus tepat didokumentasikan.
27
Meskipun tidak ada aktivitas pengendalian ERM yang diterima atau set standar
aktivitas pengendalian ERM saat ini, dokumentasi COSO ERM menunjukkan
beberapa bidang:
Reviu Top-level
Manajer senior harus sangat menyadari risiko peristiwa yang teridentifikasi dalam
unit organisasi mereka dan melakukan review tingkat atas secara reguler pada
status risiko yang teridentifikasi.
Fungsional langsung atau kegiatan manajemen
Selain review tingkat atas, manajer unit fungsional dan langsung harus memiliki
peran kunci dalam pengendalian risiko pemantauan aktivitas. Hal ini sangat
penting di mana kegiatan pengendalian berlangsung dalam unit operasi terpisah
dengan kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
Memproses informasi
Apakah proses tersebut berbasis peralatan IT atau bentuk yang lebih halus
seperti kertas atau pesan, pengolahan informasi merupakan komponen kunci
dalam aktivitas pengendalian risiko terkait suatu perusahaan. Prosedur
pengendalian yang tepat harus ditetapkan dengan penekanan pada proses IT dan
risiko perusahaan.
Pengendalian fisik
Banyak kekhawatiran terkait risiko yang melibatkan aset fisik, seperti peralatan,
persediaan, sekuritas, dan banguan fisik. Apakah persediaan fisik, inspeksi, atau
prosedur keamanan pabrik, perusahaan harus menginstal prosedur aktivitas
pengendalian fisik berbasis risiko yang sesuai.
Indikator kinerja
Tipikal Perusahaan yang khas saat ini adalah mempekerjakan berbagai alat
pelaporan keuangan dan operasional yang juga dapat mendukung pelaporan
kinerja risiko-terkait peristiwa yang berhubungan. Jika diperlukan, alat kinerja
harus diubah untuk mendukung komponen aktivitas pengendalian ERM yang
penting.
Pemisahan tugas
Sebuah aktivitas pengendalian klasik, orang yang memulai tindakan tertentu
tidak harus orang yang sama yang menyetujui tindakan tersebut.
(g) Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus
dikomunikasikan dari satu komponen COSO ERM ke komponen lain dalam diagram
alir sederhana, melakukannya adalah proses yang jauh lebih kompleks dalam
prakteknya. Proses dasar di banyak perusahaan terdiri dari web kompleks sistem
informasi operasional dan keuangan yang sering tidak sangat baik terkait.
Hubungan ini menjadi lebih kompleks untuk banyak proses ERM, mengingat bahwa
banyak aplikasi dasar perusahaan tidak langsung meminjamkan diri untuk
identifikasi risiko, penilaian, dan respon risiko. Melampaui aplikasi informasi ERM
28
29
(h) Pengawasan
Ditempatkan di dasar kerangka model komponen ERM, pemantauan ERM
diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja
secara efektif.
Melampaui alat monitor dashboard, manajemen perusahaan
harus mengambil tanggung jawab keseluruhan untuk pemantauan ERM. Dalam
rangka membangun kerangka ERM yang efektif, pemantauan harus mencakup
tinjauan berkelanjutan dari proses ERM secara keseluruhan mulai dari identifikasi
tujuan untuk kemajuan aktivitas pengendalian ERM yang sedang berlangsung.
Dokumen Kerangka Aplikasi COSO ERM menunjukkan bahwa pemantauan dapat
mencakup jenis kegiatan:
Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti
posisi uang tunai, penjualan unit, dan data keuangan utama.
Proses pelaporan peringatan terkait risiko periodik harus memantau aspek-aspek
kunci dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima
atau hal - hal yang diadakan dalam suspense. Pelaporan tersebut harus
menekankan tren statistik dan perbandingan baik dengan periode sebelumnya
dan dengan sektor industri lainnya.
Status laporan risiko saat ini dan periodik terkait temuan dan rekomendasi dari
laporan audit internal dan eksternal, termasuk status-ERM terkait SOx yang
mengidentifikasi kesenjangan
Pembaruan risiko terkait informasi yang berasal dari sumber seperti revisi aturan
pemerintah, tren industri, dan berita ekonomi secara umum. Sekali lagi, jenis
pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua
tingkatan.
Pengawasan evaluasi yang terpisah atau individu mengacu pada review rinci
dari proses risiko individu oleh resensi berkualitas, seperti audit internal. Dalam hal
ini review terbatas pada daerah tertentu atau mencakup seluruh proses ERM untuk
unit usaha. Audit internal sering menjadi sumber internal yang terbaik untuk
melakukan review ERM tertentu. Peran audit internal dalam proses ERM dan peran
mereka dalam pemantauan, khususnya, dibahas dalam bagian berikutnya.
3. Dimensi Lain dari COSO ERM : Enterprise Risk Objectives
a. Operation Risk Management Objectives
Dengan pandangan ERM atas risiko, perusahaan harus menghindari terlalu banyak
meringkas, menghilangkan, atau membulatkan risiko yang penting pada tingkat
yang lebih rendah. Manajer di semua tingkatan dalam perusahaan atau lokasi
geografis manapun harus menyadari bahwa mereka bertanggung jawab menerima
dan mengelola risiko dalam unit operasional mereka masing-masing. Manajer unit
sering beranggapan bahwa manajemen risiko hanya menjadi perhatian kantor
pusat. Pentingnya COSO ERM dan manajemen risiko operasi harus dikomunikasikan
30
kepada semua tingkat perusahaan. Auditor internal harus bertindak sebagai mata
dan telinga serta melaporkan semua risiko operasi yang diamati.
b. Reporting Risk Management Objectives
Setiap perusahaan menghadapi risiko yang besar atas keakuratan pelaporan di unit
atau wilayah. Unit operasi harus memastikan bahwa hasil yang dilaporkan telah
benar sebelum disampaikan ke tingkat berikutnya dalam organisasi, angka
konsolidasi harus akurat, baik pada laporan keuangan, laporan pajak, dll. ERM
berfokus dengan risiko otorisasi dan penerbitan laporan yang tidak akurat.
Pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat. Pengendalian internal yang kuat harus meminimalkan risiko kesalahan, dan
suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang akurat. Kesalahan dan perbedaan kecil dapat diabaikan dalam
jangka pendek sampai kemudian terdapat kesalahan besar yang perlu diungkapkan.
Risiko pelaporan yang tidak akurat harus menjadi perhatian di semua tingkat
perusahaan.
c. Legal and Regulatory Compliance Risk Objectives
COSO
ERM
merekomendasikan
bahwa risiko terkait kepatuhan
perlu
dipertimbangkan untuk setiap
komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan
tujuan, atau monitoring risiko, serta di seluruh perusahaan. Semua perusahaan
menghadapi berbagai persyaratan kepatuhan atas hukum dan peraturan. Sifat
(nature) dari risiko kepatuhan perlu dikomunikasikan dan dipahami oleh semua
tingkat dalam perusahaan. Perusahaan dapat menerima tingkat risiko tertentu
mengenai kepatuhan hukum. Sementara hukum besar tidak boleh dengan sengaja
diabaikan karena merasa pelanggaran tersebut tidak akan pernah tertangkap,
perusahaan harus selalu mengambil pendekatan beralasan risiko dalam
hubungannya dengan keseluruhan filosopi dan selera risiko.
Dalam rangka
mengelola dan menetapkan tujuan risiko atas hukum dan peraturan, dewan direksi,
CEO, dan anggota manajemen perlu memahami sifat (nature) dan cakupan (extent)
risiko atas semua peraturan yang dihadapi perusahaan. Divisi hukum, manajer
kunci, audit internal, dan lain-lain dapat membantu dalam penyusunan informasi ini.
Entity-Level Risks
a. Risiko yang Meliputi Seluruh Organisasi (Risks Encompassing the Entire
Organization)
Beberapa risiko di tingkat unit bisnis dapat meningkat menjadi risiko di tingkat
entitas. Mudah bagi suatu perusahaan untuk mempertimbangkan beberapa risiko
tingkat unit sebagai "tidak material" tetapi sebaiknya perusahaan harus memikirkan
semua risiko berpotensi menjadi signifikan. Poinnya adalah baik risiko besar
maupun yang tampaknya risiko kecil dapat berdampak pada seluruh perusahaan.
b. Risiko Tingkat Unit Bisnis (Business Unit-Level Risks)
31
Berdasarkan pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
terbaik dapat dimulai sebagai proses push-down di mana manajemen tingkat
korporasi menguraikan fokus terkait risiko utama dan meminta manajemen yang
bertanggung jawab pada masing-masing divisi utama untuk survei tujuan risiko
melalui unit operasi dalam divisi tersebut. Dengan cara ini, risiko yang signifikan
dapat diidentifikasi pada semua tingkatan dan kemudian dikelola di tingkat yang
dikenai dampak langsung dari risiko.
Putting It All Together
Kerangka kerja COSO ERM menggunakan pendekatan manajemen risiko yang
applicable untuk semua industri dan mencakup semua jenis risiko. Dengan fokus
mengidentifikasi selera risiko (risk appetite) suatu perusahaan dan kebutuhan untuk
menerapkan manajemen risiko dalam konteks pengaturan strategi secara
keseluruhan. Manajemen perusahaan di semua tingkatan harus mencakup COSO
ERM, alat penting untuk memahami banyak risiko yang dihadapi perusahaan saat
ini. Auditor internal harus membuat COSO ERM sebagai persyaratan CBOK
(Common Body of Knowledge) dan harus melakukan audit internal sesuai dengan
Proses ERM.
Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko saat
melakukan reviu. Auditor internal yang efektif harus memahami proses manajemen
risiko. Auditor internal melakukan reviu internal control di beberapa area dan akan
memutuskan bahwa area tersebut dipilih atau tidak dipilih karena "pertimbangan
risiko." Auditor harus memiliki tingkat pemahaman CBOK atas proses dasar
manajemen risiko untuk dapat mengajukan pertanyaan yang tepat dan untuk
mereviu kecukupan proses-proses tersebut. Audit Internal harus mereviu proses
ERM perusahaan secara keseluruhan dengan menggunakan beberapa tools sbb :
Process flowcharting
Dengan melihat dokumentasi disiapkan untuk proses terkait risiko, menentukan
kondisi proses tersebut saat ini, dan menjelaskan kecukupan proses risiko
perusahaan pada semua tingkat secara keseluruhan.
Reviews of risk and control materials
Proses ERM sering menghasilkan bahan pedoman, prosedur terdokumentasi,
format laporan, dan sejenisnya dalam jumlah besar yang berharga untuk reviu
audit internal atas materi risiko dan kontrol.
Benchmarking
Proses meninjau fungsi di tempat lain untuk menilai operasi mereka untuk
mengembangkan pendekatan perbaikan berdasarkan praktik terbaik (best
practices) pihak lain. Pendekatan benchmarking dapat meningkatkan
pengumpulan informasi pembanding.
Questionnaires
Merupakan metode yang baik untuk pengumpulan informasi atas efektivitas ERM
dari berbagai macam orang.
32
33