Ringkasan dokumen tersebut adalah sebagai berikut:
Dokumen tersebut merangkum materi manajemen risiko dan pengendalian internal, meliputi definisi, tujuan, komponen, dan peran audit internal dalam pengendalian risiko organisasi. Topik utama yang dibahas adalah lingkungan pengendalian, kerangka kerja pengendalian seperti COSO dan CoCo, serta aktivitas audit internal dalam mengevaluasi efektivitas pengelolaan risiko.
1. Resume Materi Manajemen Resiko
“Risk Assurance and Reporting”
Disusun Oleh :
Nama : Febrian Eka Putri
NPM : C1C020044
Kelas : 5B S1 Akuntansi
Dosen Pengampu :
Nikmah, SE, M.Si.,Ak.,CA,CRP
PROGRAM STUDI S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BENGKULU
2022
2. Bab 32 : Lingkungan Pengendalian
Sifat Pengendalian Internal
Pengendalian internal berkaitan dengan metode, prosedur, dan pemeriksaan yang ada untuk
memastikan bahwa bisnis atau organisasi memenuhi tujuannya. Pengendalian internal dapat dianggap
sebagai tindakan yang diambil oleh manajemen untuk merencanakan, mengatur, dan mengarahkan
kinerja tindakan yang memadai untuk memberikan jaminan yang wajar bahwa tujuan akan tercapai.
Definisi pengendalian internal
Organisasi Definisi
Kriteria Pengendalian
Pengendalian
internal adalah semua elemen organisasi yang, secara bersama-sama,
mendukung orang-orang dalam pencapaian tujuan organisasi. Elemen-
elemen tersebut meliputi sumber daya, sistem, proses, budaya, struktur,
dan tugas.
COSO Sebuah proses, yang dipengaruhi oleh dewan direksi, manajemen, dan
personel lain suatu entitas, yang dirancang untuk memberikan jaminan
yang wajar mengenai pencapaian tujuan dalam kategori berikut:
● efektivitas dan efisiensi operasi;
● keandalan pelaporan keuangan;
● kepatuhan terhadap hukum dan peraturan yang berlaku
Lembaga Auditor Internal Serangkaian proses, fungsi, kegiatan, sub-sistem dan orang-orang yang
dikelompokkan bersama atau secara sadar dipisahkan untuk memastikan
pencapaian tujuan dan sasaran yang efektif.
Saat merancang pengendalian internal yang efektif, organisasi harus melihat pengaturan yang ada
untuk mencapai hal-hal berikut:
● pemeliharaan sistem yang andal;
● persiapan informasi yang andal secara tepat waktu;
● pengamanan aset, baik fisik maupun siber, termasuk data;
● penggunaan sumber daya secara optimal;
● mencegah dan mendeteksi penipuan dan kesalahan.
Ketahanan organisasi dalam hal guncangan eksternal
Pengendalian keuangan yang efektif, termasuk pemeliharaan catatan akuntansi yang tepat, merupakan
elemen penting dan mapan dari pengendalian internal. Kontrol keuangan membantu memastikan
bahwa perusahaan tidak terkena risiko keuangan yang tidak perlu dan bahwa informasi keuangan
yang digunakan dalam bisnis dan untuk pelaporan publik dapat diandalkan.
Tujuan pengendalian internal
Tujuan utama dari kegiatan pengendalian internal adalah untuk membantu organisasi mencapai
tujuannya. Biasanya, pengendalian internal memiliki tujuan berikut:
● menjaga dan melindungi aset organisasi;
3. ● memastikan penyimpanan catatan yang akurat;
● mempromosikan efektivitas dan efisiensi operasional;
● mematuhi kebijakan dan prosedur, termasuk prosedur pengendalian;
● meningkatkan keandalan pelaporan internal dan eksternal;
● memastikan kepatuhan terhadap hukum dan peraturan;
● menjaga kepentingan pemegang saham/stakeholder.
Tujuan dari sistem pengendalian internal adalah untuk memungkinkan direktur mendorong organisasi
maju dengan percaya diri, baik di saat-saat baik maupun buruk. Tujuan lebih lanjut dari sistem
pengendalian internal dan kegiatan pengendalian internal adalah untuk menjaga sumber daya dan
memastikan kecukupan catatan dan sistem akuntabilitas.
Tujuan dari lingkungan pengendalian adalah untuk memastikan tanggapan yang konsisten terhadap
risiko yang terwujud. Penggunaan model kematangan akan membantu mengevaluasi status
lingkungan pengendalian dalam hal penerapan struktur terpilih yang akan digunakan untuk
mendorong perbaikan dalam lingkungan pengendalian dan mencapai tingkat kesadaran risiko yang
lebih besar dalam organisasi.
Lingkungan Pengendalian
Lingkungan kontrol, yang diberi label oleh COSO ERM cube sebagai 'lingkungan internal', adalah
ukuran budaya risiko dalam organisasi. Pandangan yang diambil oleh kerangka CoCo adalah bahwa
jika lingkungan pengendalian memuaskan, aktivitas manajemen risiko dan pengendalian internal akan
berhasil dan dilakukan dengan tepat. Struktur kerangka CoCo memiliki empat komponen, yang
direpresentasikan sebagai siklus berkelanjutan. Komponen tersebut didasarkan pada rasa arah
organisasi, rasa identitas dan nilai-nilai, rasa kompetensi dan rasa evolusi.
Komponen Kerangka Kerja CoCo
Tujuan Tujuan harus ditetapkan dan dikomunikasikan.
Risiko internal dan eksternal yang signifikan harus diidentifikasi dan dinilai.
Kebijakan harus ditetapkan, dikomunikasikan dan dipraktikkan.
Rencana harus ditetapkan dan dikomunikasikan.
Rencana harus mencakup target dan indikator kinerja yang terukur.
Komitmen Nilai-nilai etika bersama harus ditetapkan, dikomunikasikan dan dipraktikkan.
Kebijakan SDM harus konsisten dengan nilai-nilai etika.
Wewenang, tanggung jawab dan akuntabilitas harus didefinisikan dengan jelas.
Rasa saling percaya harus dibina untuk mendukung arus informasi.
Kemampuan Orang harus memiliki pengetahuan, keterampilan dan alat yang diperlukan.
Proses komunikasi harus mendukung nilai-nilai organisasi.
Informasi yang cukup dan relevan harus diidentifikasi dan dikomunikasikan.
Keputusan dan tindakan dalam organisasi harus dikoordinasikan.
Kegiatan pengendalian harus dirancang sebagai bagian integral dari organisasi.
Pemantauan Lingkungan harus dipantau untuk mengevaluasi kembali pengendalian.
4. dan
pembelajaran
Kinerja harus dipantau terhadap target.
Asumsi di balik tujuan harus ditantang secara berkala.
Kebutuhan informasi dan sistem informasi terkait harus dinilai kembali.
Prosedur harus ditetapkan untuk memastikan tindakan yang tepat terjadi.
Manajemen harus secara berkala menilai efektivitas pengendalian
CoCo adalah kerangka pengendalian internal, tetapi dijelaskan dalam bab ini karena merupakan
kerangka kerja yang mapan. Ada antarmuka yang kuat antara aktivitas manajemen risiko dan
pengendalian internal, dan oleh karena itu kerangka kerja CoCo menyediakan sarana yang berguna
untuk mengevaluasi budaya risiko suatu organisasi. CoCo mendefinisikan tiga tujuan utama
pengendalian:
● efektivitas dan efisiensi operasi;
● keandalan pelaporan internal dan eksternal;
● kepatuhan terhadap hukum dan peraturan yang berlaku serta kebijakan internal.
Fitur lingkungan pengendalian
Ada perbedaan yang signifikan antara pengendalian internal COSO dan CoCo, serta beberapa
kesamaan utama.
Perbedaan utama dalam pendekatan antara pengendalian internal COSO dan CoCo adalah bahwa
CoCo lebih eksplisit tentang isu-isu berikut:
● identifikasi kebutuhan untuk memanfaatkan peluang;
● mitigasi kelemahan ketahanan bisnis;
● pentingnya kepercayaan individu terhadap kualitas lingkungan pengendalian;
● kebutuhan untuk secara berkala menantang asumsi.
Ciri-ciri lingkungan pengendalian yang dianggap penting oleh pengendalian internal COSO dapat
diringkas sebagai:
● organisasi berkomitmen pada integritas dan nilai-nilai etika;
● dewan memiliki pengawasan pengembangan dan kinerja pengendalian internal;
● manajemen menetapkan struktur, jalur pelaporan, wewenang dan tanggung jawab;
● organisasi berusaha untuk menarik, mengembangkan, dan mempertahankan individu yang
kompeten; dan
● organisasi meminta pertanggungjawaban individu atas tanggung jawab pengendalian internal.
Ekspektasi pengendalian internal
Sistem pengendalian internal yang baik memberikan jaminan yang masuk akal, tetapi tidak mutlak,
bahwa perusahaan tidak akan terhalangi dalam mencapai tujuan bisnisnya, atau dalam menjalankan
bisnisnya secara tertib dan sah, oleh keadaan yang dapat diperkirakan secara wajar. Namun, sistem
pengendalian internal tidak dapat memberikan perlindungan secara pasti terhadap kegagalan
perusahaan untuk memenuhi tujuan bisnisnya atau semua kesalahan material, kerugian, penipuan,
atau pelanggaran undang-undang atau peraturan.
Kerangka kerja pengendalian internal CoCo
Komponen pertama kerangka kerja CoCo berkaitan dengan penetapan dan komunikasi tujuan, risiko
internal dan eksternal yang signifikan yang dihadapi oleh organisasi, dan kebijakan yang dirancang
5. untuk mendukung pencapaian tujuan organisasi. Saat menetapkan dan menganalisis tujuan organisasi,
CoCo menjelaskan bahwa risiko dan peluang yang dihadapi organisasi harus dianalisis secara rinci.
Pentingnya penilaian risiko dan ketahanan organisasi ditekankan, bersama dengan pentingnya
mengenali sumber dan asal-usul risiko. Komponen komitmen CoCo berkaitan dengan nilai-nilai etika
bersama, termasuk integritas.
Komponen kapabilitas CoCo berkaitan dengan fakta bahwa orang harus memiliki pengetahuan dan
keterampilan yang diperlukan untuk mendukung tujuan organisasi, serta nilai-nilainya. Informasi
relevan yang memadai harus diidentifikasi dan dikomunikasikan, bersama dengan keputusan dan
tindakan dari berbagai bagian organisasi.
Komponen pemantauan dan pembelajaran kerangka CoCo berkaitan dengan lingkungan eksternal dan
internal dan fakta bahwa mereka harus dipantau untuk mendapatkan informasi. Kinerja harus
dipantau terhadap target dan indikator dan asumsi di balik tujuan organisasi harus ditantang secara
berkala.
Budaya keselamatan yang baik
Ada banyak cara di mana budaya sadar risiko dapat ditunjukkan,salah satunya adalah dengan
mencapai nilai tinggi dalam analisis CoCo. Penasihat Penyelidikan menyampaikan bahwa:
“Budaya keselamatan yang baik adalah produk dari nilai-nilai individu dan kelompok, dari
sikap dan pola perilaku yang mengarah pada komitmen terhadap manajemen kesehatan dan
keselamatan organisasi. Organisasi dengan budaya keselamatan yang positif dicirikan oleh
komunikasi yang didasarkan pada rasa saling percaya, dengan persepsi bersama tentang pentingnya
keselamatan dan dengan keyakinan pada efisiensi tindakan pencegahan.”
Masa depan untuk proses kontrol
Secara tradisional, proses kontrol yang dibahas berusaha untuk memantau kontrol dan menentukan
apakah sesuatu telah terjadi yang sering digambarkan sebagai 'mengemudikan mobil sambil melihat
ke kaca spion'. Pertumbuhan teknologi, proses analitik, pemantauan sistem secara real-time dan terus
menerus mulai memungkinkan bentuk kontrol pre-emptive. Mengintegrasikan kumpulan data yang
berbeda dengan pemantauan dapat membentuk analisis yang mampu menemukan indikator utama
untuk potensi kegagalan. Dengan demikian, tindakan pengendalian menjadi preventif daripada
reaktif.
Bab 33 : Kegiatan Audit Internal
Ruang Lingkup Internal
Tanggung jawab yang dialokasikan untuk masing-masing fungsi ini akan bervariasi sesuai dengan
sifat, jenis dan ukuran organisasi. Ini adalah hubungan kerja yang penting, karena manajemen risiko
yang berhasil bergantung pada empat keluaran berbasis risiko yang penting, yang dapat diringkas
sebagai MADE2:
● wajib sebagaimana disyaratkan oleh undang-undang, pelanggan/klien, dan standar;
● jaminan untuk tim manajemen dan pemangku kepentingan lainnya;
● pengambilan keputusan berdasarkan informasi terbaik yang tersedia;
● proses inti yang efektif dan efisien di seluruh organisasi.
6. Pengendalian internal berkaitan dengan metode, prosedur, dan pemeriksaan yang ada untuk
memastikan bahwa organisasi bisnis memenuhi tujuannya. Karena pengendalian internal berkaitan
dengan pemenuhan tujuan, ada hubungan yang jelas dengan aktivitas manajemen risiko.
Peran audit internal
Kegiatan yang mengidentifikasi aktivitas-aktivitas yang merupakan inti dari pekerjaan departemen
audit internal termasuk mengkaji pengelolaan risiko-risiko utama, mengevaluasi pelaporan risiko-
risiko tersebut dan mengevaluasi proses-proses manajemen risiko.
Menetapkan prioritas audit adalah fungsi penting dari departemen audit. Sehubungan dengan aktivitas
manajemen risiko, auditor internal perlu menetapkan prioritas mereka untuk pengujian pengendalian.
Melakukan audit internal
Sebagai bagian dari latihan audit, auditor harus mengumpulkan informasi yang relevan dengan audit
yang akan dilakukan.
Melakukan audit internal
Perencanaan
1. Kontak awal: Menginformasikan klien (target audit) atau asosiasi yang terlibat tentang audit dan
tujuannya.
2. Pertemuan awal: Pertemuan konferensi, sehingga klien dapat menjelaskan area untuk ditinjau
dan menyatakan sumber daya dan proses yang tersedia.
3. Survei pendahuluan: Auditor akan mengumpulkan semua data yang diperlukan sehingga
mereka dapat memiliki gambaran umum yang baik tentang area atau proses yang akan diaudit.
4. Meninjau struktur pengendalian internal: Auditor akan menentukan area prioritas audit untuk
ditinjau.
5. Persiapan program audit: Program audit akan menguraikan pekerjaan lapangan yang diperlukan
terkait dengan topik/area audit.
Kerja Lapangan
1. untuk pengendalian internal kritis: Proses ini menguji apakah rekaman yang dipilih secara acak
akurat. Saat ini, hal ini dapat berupa teknik audit berbantuan komputer (computer-assisted audit
Techniques (CAAT), yang akan meninjau kumpulan data lengkap untuk mengidentifikasi pola
yang dapat menjadi indikasi kecurangan, kesalahan, atau kelalaian.
2. Pembaruan rutin: Auditor akan melaksanakan pelaporan keuangan, sebagian besar dalam
komunikasi lisan, dan klien dapat membantu dalam menyelesaikan setiap masalah yang
diangkat.
3. Penyusunan ringkasan audit: Ketika kerja lapangan dilakukan, auditor akan meringkas temuan,
kesimpulan dan rekomendasi.
Laporan
1. audit Laporan audit: Laporan akan ditinjau oleh tim audit sebelum disajikan kepada klien untuk
ditinjau lebih lanjut.
2. Membuat laporan: Komentar dan saran pada draf pertama diperhitungkan dalam pembuatan
laporan akhir.
7. 3. Distribusi laporan audit akhir kepada orang-orang yang terlibat, manajemen senior, komite
audit, sesuai kesepakatan.
Tindak lanjut
1. Audit tindak lanjut: Tanggapan dari klien akan ditinjau, sehingga temuan dapat diuji dan
diselesaikan.
2. Melaporkan tindak lanjut audit: Efek dari temuan yang diselesaikan dan yang belum
diselesaikan akan dimasukkan dalam tindak lanjut
Dalam banyak hal, kerja lapangan adalah bagian terpenting dari latihan audit. Auditor mungkin perlu
mengunjungi lokasi, termasuk lokasi pemasok jika audit berkaitan dengan rantai pasokan. Tujuan dari
kerja lapangan adalah untuk memahami risiko dan kontrol yang ada untuk mengelola risiko tersebut.
Pengujian kontrol kemudian akan dilakukan untuk memastikan efisiensi dan efektivitas kontrol yang
ada. Pengujian pengendalian ini akan didasarkan pada diskusi dengan manajer dan staf, serta
pengamatan terhadap aktivitas yang dilakukan. Berdasarkan kerja lapangan yang telah dilakukan,
auditor akan menghasilkan laporan audit. Laporan audit akan berisi komentar tentang efisiensi dan
efektivitas pengendalian yang ada dan rekomendasi untuk perbaikan lebih lanjut, jika dianggap perlu.
Manajemen risiko dan audit internal
Hubungan kerja antara manajemen risiko dan audit internal akan bervariasi antar organisasi. Peran
dan tanggung jawab yang ditetapkan akan menjadi cerminan dari struktur yang tampaknya paling
cocok untuk sebuah organisasi.Manajer risiko dapat memfasilitasi lokakarya penilaian risiko,
tanggung jawab untuk mengelola risiko akan selalu berada pada departemen operasional, dan auditor
internal pada akhirnya akan memantau pengendalian.
Profesional audit internal mengharuskan tindakan pengendalian diidentifikasi dalam istilah yang
sangat tepat yang dapat diaudit. Fokus kegiatan audit internal adalah pada dampak tindakan
pengendalian yang benar-benar ada dalam praktiknya. Pendekatan auditor internal adalah menguji
informasi, sehingga fakta-fakta dari situasi tersebut dapat ditetapkan.
Pendekatan tiga garis pertahanan sepenuhnya konsisten dengan peran audit internal dalam
manajemen risiko perusahaan, Dalam hal ini: 1) manajemen memiliki tanggung jawab utama atas
pengelolaan risiko; 2) fungsi manajemen risiko spesialis dapat membantu manajemen dalam
mengembangkan pendekatan untuk memenuhi tanggung jawab mereka; dan 3) fungsi audit internal
memeriksa bahwa proses manajemen risiko dan kerangka manajemen risiko telah efektif dan efisien.
Setiap organisasi dapat dibagi menjadi tiga lapisan manajemen senior (direktur), manajemen
menengah (manajer) dan staf/karyawan. Fungsi manajemen risiko spesialis dapat beroperasi di
tingkat perusahaan atau kelompok sebagai fasilitator keseluruhan dari pengembangan, penerapan,
pemantauan, dan peningkatan kerangka kerja manajemen risiko. Fungsi manajemen risiko juga akan
mencakup kelangsungan bisnis, serta kesehatan dan keselamatan. Fungsi manajemen risiko spesialis
ini memenuhi peran yang sama dengan fungsi manajemen risiko grup, tetapi dalam area risiko yang
lebih spesifik.Pendekatan three lines of defense juga sesuai dengan konsep governance, risk and
compliance (GRC) didasarkan pada pandangan keseluruhan bahwa dewan bertanggung jawab atas
masalah tata kelola di seluruh organisasi.
Tanggung jawab manajemen
8. Cara alternatif untuk mengalokasikan tanggung jawab adalah bahwa audit internal bertanggung jawab
atas aktivitas yang diidentifikasi sebagai peran inti audit internal. Manajemen risiko memfasilitasi dan
mendukung aktivitas, dan manajemen lini pada tingkat yang sesuai memiliki tanggung jawab atas
peran yang diidentifikasi sebagai aktivitas yang tidak boleh dilakukan oleh audit internal. Manajemen
risiko dapat membantu aktivitas penilaian risiko dan desain pengendalian. Audit internal dapat
memberikan dukungan dengan mengaudit pengendalian untuk memastikan bahwa pengendalian
tersebut efektif dan efisien dan telah dilaksanakan sepenuhnya. Namun, tanggung jawab utama untuk
pengelolaan risiko tetap berada pada manajemen eksekutif organisasi.
Lima garis jaminan
Komite audit umumnya tidak mengaudit sisi atas risiko, atau berusaha mengidentifikasi keadaan di
mana peluang telah terlewatkan. Oleh karena itu, ada kemungkinan akan terjadi keterputusan antara
ruang lingkup pekerjaan manajemen risiko dan departemen audit internal dibandingkan dengan
seluruh cakupan dan ruang lingkup kegiatan manajemen risiko perusahaan.
Kelemahan model three lines of defense berkaitan dengan peran dan status direksi serta fungsi
internal tertentu. Misalnya, dewan memberikan jaminan, tetapi dewan biasanya tidak diidentifikasi
sebagai garis pertahanan.
Dalam rangka meningkatkan efektivitas model tiga (atau lima) lini pertahanan, pendekatan alternatif
dari lima lini jaminan telah diajukan.
Lima lini model jaminan menyarankan sumber jaminan berikut:
1. Dewan direksi dengan tanggung jawab keseluruhan untuk memastikan bahwa proses
manajemen risiko yang efektif berada di tempat dan lini lainnya mengelola risiko sesuai
selera.
2. Eksekutif senior dan manajer senior dengan tanggung jawab keseluruhan untuk membangun
dan memelihara proses manajemen risiko yang kuat dan memberikan informasi yang andal
tentang risiko utama.
3. Pemimpin unit bisnis dengan kepemilikan atau tanggung jawab yang ditugaskan untuk
melaporkan risiko tertentu, dan memastikan sumber daya dilindungi dan tujuan tercapai.
4. Unit spesialis yang memberikan keahlian pada jenis risiko tertentu, seperti treasury,
keselamatan, lingkungan, keamanan informasi, hukum dan asuransi, dengan tanggung jawab
untuk proses manajemen risiko terkait.
5. Kegiatan audit internal, memberikan informasi yang independen dan tepat waktu kepada
dewan tentang keandalan proses manajemen risiko dalam organisasi dan menghasilkan
laporan konsolidasi.
Salah satu manfaat dari model lima lini jaminan adalah bahwa komunikasi yang lebih baik diperlukan
antara dewan direksi, anggota eksekutif dan para pemimpin unit bisnis. Juga, hubungan yang erat
diperlukan antara unit risiko ahli spesialis dan kegiatan audit internal. Fokusnya adalah pada
penyediaan jaminan konsolidasi di seluruh organisasi, untuk meningkatkan budaya sadar risiko,
daripada berkonsentrasi pada desain dan implementasi kontrol.
Oleh karena itu, model lima lini jaminan lebih relevan dengan pengelolaan risiko strategis dan taktis
(termasuk peluang) daripada model tiga lini pertahanan.
9. Bab 34 : Risk assurance techniques
Komite audit
Komite audit terdiri dari direktur non-eksekutif, dengan direktur eksekutif senior hadir dalam rapat
komite audit. Itu diketuai oleh direktur non-eksekutif, yang sering disebut sebagai direktur non-
eksekutif utama, tetapi biasanya bukan ketua non-eksekutif organisasi.
Komite audit berada dalam posisi untuk mengevaluasi standar tata kelola dalam organisasi,
memastikan bahwa manajemen risiko menerima perhatian yang tepat, dan mencari jaminan atas
tingkat kepatuhan yang dicapai dalam organisasi. Peran komite audit mungkin jauh lebih luas dari ini,
dan termasuk evaluasi pengaturan tata kelola dewan itu sendiri. Banyak organisasi besar membentuk
komite terpisah untuk membuat penunjukan senior, termasuk penunjukan ke dewan. Komite ini
biasanya disebut sebagai komite nominasi. Demikian juga, banyak organisasi besar akan memiliki
komite yang bertanggung jawab untuk menetapkan struktur remunerasi dan tunjangan yang akan
berlaku di seluruh organisasi.
Adanya komite nominasi atau remunerasi yang terpisah tidak mengurangi peran dan tanggung jawab
komite audit. Nominasi dan remunerasi, serta beberapa komite lainnya, akan menjadi sub-komite
dewan dan kemungkinan memiliki keanggotaan eksekutif dan non-eksekutif bersama.Komite audit
harus badan non-eksekutif yang tidak memiliki tanggung jawab eksekutif untuk manajemen risiko.
Tanggung jawab komite audit
Audit eksternal Merekomendasikan penunjukan dan penunjukan kembali auditor eksternal.
Tinjau kinerja dan efektivitas biaya auditor eksternal.
Menelaah kualifikasi, keahlian dan independensi auditor eksternal.
Menelaah dan mendiskusikan setiap laporan dari auditor eksternal.
audit internal Mengkaji audit internal dan hubungannya dengan auditor eksternal.
Meninjau dan menilai rencana audit internal tahunan.
Tinjau segera semua laporan dari auditor internal.
Meninjau tanggapan manajemen atas temuan auditor internal.
Meninjau kegiatan, sumber daya dan efektivitas audit internal.
Pelaporan
keuangan
Tinjau hasil keuangan tahunan dan setengah tahun.
Mengevaluasi laporan tahunan terhadap persyaratan kode tata kelola.
Review pengungkapan oleh CEO dan CFO selama sertifikasi laporan tahunan.
Laporan
peraturan
Tinjau pengaturan untuk menghasilkan akun yang diaudit.
Memantau dan meninjau standar manajemen risiko dan pengendalian internal.
Memberikan jaminan bahwa perubahan peraturan dan perundang-undangan yang
diusulkan dipertimbangkan secara memadai untuk semua aspek organisasi, terutama
dalam konteks global.
Mengembangkan kode etik untuk CEO dan peran manajemen senior lainnya.
Setiap tahun meninjau kecukupan proses manajemen risiko.
Menerima laporan tentang litigasi, komitmen keuangan dan kewajiban lainnya.
Menerima laporan dari setiap masalah yang diangkat oleh kegiatan whistleblowing
10. Fungsi komite audit adalah untuk mencari jaminan risiko dan memeriksa bahwa prosedur untuk
identifikasi risiko yang signifikan sudah sesuai. Komite audit harus memvalidasi bahwa risiko
signifikan telah diidentifikasi dengan benar, serta mencari jaminan bahwa pengendalian kritis telah
diterapkan dengan benar. .
Peran manajemen risiko
Tujuan dari manajemen risiko adalah untuk memenuhi kewajiban wajib, memberikan jaminan,
mendukung pengambilan keputusan dan membantu memastikan efektivitas dan efisiensi proses inti
(MADE2).
Ketika mengalokasikan tanggung jawab manajemen risiko, pertimbangan harus diberikan
sehubungan dengan setiap risiko signifikan yang dihadapi oleh organisasi pada alokasi tanggung
jawab yang terpisah untuk:
● menentukan strategi;
● merancang kontrol;
● kepatuhan audit.
Audit kepatuhan terhadap pengaturan keamanan kemungkinan menjadi tanggung jawab departemen
audit internal.
Peran manajer risiko dalam alokasi tanggung jawab ini harus menjadi peran fasilitasi. Manajer risiko
dapat memfasilitasi lokakarya yang dirancang untuk mengidentifikasi risiko penipuan dalam
organisasi dan mengalokasikan tanggung jawab untuk mengendalikannya.
Namun, manajer risiko tidak dapat bertanggung jawab untuk menerapkan kontrol atau mengaudit
kepatuhan.
Nilai tambah dari audit internal
Empat faktor yang dapat membantu auditor menentukan apa yang akan menambah nilai paling besar
bagi organisasi mereka adalah:
● pengetahuan tentang organisasi, termasuk budayanya, pemain kuncinya, dan lingkungan
persaingannya;
● keberanian untuk berinovasi dengan cara yang tidak diharapkan dan mungkin tidak diinginkan oleh
pemangku kepentingan;
● kemampuan untuk beradaptasi dengan organisasi dengan cara yang melebihi harapan pemangku
kepentingan;
● pengetahuan tentang praktik-praktik yang secara umum dianggap sebagai nilai tambah oleh profesi.
Penjaminan risiko
Penjaminan risiko merupakan komponen penting dari proses manajemen risiko secara keseluruhan.
Komite audit akan mencari jaminan bahwa semua risiko signifikan telah dikelola secara memadai dan
bahwa semua pengendalian kritis efektif dan telah diterapkan secara efisien. Evaluasi objektif budaya
risiko di dalam departemen ini akan menjadi dasar asurans utama bagi komite audit. Ketika
mempertimbangkan kegiatan tinjauan dan pemantauan yang perlu dilakukan, tahapan berikut harus
diingat:
● tinjauan proses saat beroperasi dalam organisasi;
● tinjauan standar pengendalian risiko yang berlaku;
● tinjauan tingkat keberhasilan dalam mengurangi eksposur risiko;
11. ● tinjauan tingkat keberhasilan pencapaian tujuan bisnis;
● tinjauan tentang mengapa strategi, proyek, atau operasi berisiko tinggi berhasil;
● penyampaian jaminan risiko di seluruh rangkaian kegiatan ini.
Sumber jaminan yang tersedia mungkin termasuk:
● evaluasi budaya risiko organisasi;
● kualitas laporan audit yang dihasilkan oleh audit internal;
● kualitas laporan yang dihasilkan oleh berbagai departemen;
● keberhasilan bisnis secara keseluruhan dari masing-masing departemen.
Perusahaan juga dapat memperkenalkan prosedur penilaian mandiri risiko (CRSA) yang akan
didasarkan pada komponen sebagaimana diatur dalam panduan risiko yang diterbitkan oleh Dewan
Pelaporan Keuangan. Area kelemahan yang diidentifikasi dalam pengembalian CRSA akan
dilaporkan ke komite eksekutif dan tindakan perbaikan akan diperlukan.
Output manajemen risiko
Kontribusi manajemen risiko adalah untuk memastikan peluang yang lebih besar untuk mencapai
tujuan organisasi, dan juga merupakan niat yang dinyatakan dari kegiatan audit internal. Secara
keseluruhan, keluaran manajemen risiko/audit internal dimaksudkan untuk mencapai peningkatan
kinerja organisasi dalam empat bidang penting yaitu strategi, taktik, operasi, dan kepatuhan (STOC)
yang efektif dan efisien. Output yang dibutuhkan dari manajemen risiko/audit internal dapat diringkas
sebagai pemenuhan kewajiban wajib, memberikan jaminan, mendukung pengambilan keputusan dan
memastikan adanya proses inti yang efektif dan efisien (MADE2).
Pengendalian risiko penilaian diri
Self-certification of controls adalah pengaturan di mana manajemen senior lokal menyelesaikan
pengembalian reguler (seringkali tahunan) yang mengkonfirmasi rincian tingkat jaminan risiko yang
telah dicapai di departemen. Jenis self-certification ini umumnya dikenal sebagai control risk self-
assessment (CRSA) dan sering dilakukan sebagai pengembalian elektronik atau direkam di intranet
organisasi. Selain memberikan konfirmasi tingkat pengendalian internal dan jaminan risiko yang
memadai, pengembalian CRSA juga dapat memberikan rincian situasi di mana kelemahan signifikan
dalam pengendalian telah diidentifikasi yang memungkinkan auditor internal untuk mengidentifikasi
area di mana kontrol tambahan mungkin diperlukan. Tes benchmark untuk mengidentifikasi
kegagalan material harus disediakan dan akan jauh lebih rendah daripada tes materialitas yang
diterapkan oleh auditor eksternal.
Manfaat penjaminan risiko
Memperoleh jaminan risiko adalah bagian penting dari pengaturan tata kelola perusahaan untuk
semua organisasi, serta bermanfaat bagi proses inti, aktivitas, dan keputusan STOC organisasi.
Manfaat dari jaminan risiko yang memadai adalah:
● membangun kepercayaan dengan pemangku kepentingan;
● memberikan jaminan kepada sponsor dan pemodal;
● menunjukkan praktik yang baik kepada regulator;
● mencegah kejutan keuangan dan lainnya;
● mengurangi kemungkinan kerusakan reputasi;
12. ● mendorong budaya risiko dalam organisasi;
● memungkinkan pendelegasian wewenang yang lebih aman.
Bab 35 : Reporting on risk management
Pelaporan risiko
Ada berbagai macam dokumentasi manajemen risiko yang relevan dengan aktivitas manajemen
risiko:
● administrasi manajemen risiko;
● respon risiko dan rencana perbaikan;
● laporan dan rekomendasi acara;
● kinerja risiko dan laporan sertifikasi.
Tanggung jawab manajemen risiko dewan
Panduan risiko FRC mengidentifikasi tanggung jawab manajemen risiko dewan dan ini dapat diringkas
sebagai berikut:
1. Proses manajemen risiko
● Pastikan bahwa RM tergabung dalam proses normal.
● Identifikasi risiko utama yang dihadapi perusahaan.
2. Risiko utama dan selera risiko
● Penilaian risiko terhadap model dan strategi bisnis.
● Risiko yang bersedia diambil oleh organisasi atau 'risk appetite'
3. Budaya risiko dan jaminan
● risiko Budaya risiko tertanam di seluruh organisasi.
● RM yang memadai dan diskusi jaminan berlangsung di dewan.
4. Profil risiko dan mitigasi
● risiko Profil risiko perusahaan terus direview.
● Langkah-langkah untuk mengelola atau memitigasi risiko utama telah diambil
5. Kegiatan
● pemantauan dan tinjauan Pemantauan dan tinjauan manajemen risiko dilakukan.
● Pemantauan dan peninjauan terus dilakukan dan tidak hanya tahunan.
6. Komunikasi dan pelaporan
● risiko Komunikasi manajemen risiko internal dan eksternal berlangsung.
● Informasi risiko yang diperlukan dikomunikasikan ke dan dari dewan
Sarbanes–Oxley Act of 2002
Sarbanes–Oxley Act (SOX) disahkan sebagai tanggapan atas serangkaian skandal perusahaan di
Amerika Serikat. Tujuan utama SOX adalah untuk memastikan bahwa informasi yang diungkapkan
13. oleh perusahaan yang terdaftar di bursa saham di Amerika Serikat adalah akurat. SOX mengharuskan
adanya kontrol untuk memastikan keakuratan semua informasi yang dilaporkan oleh organisasi.
Bagian 302 dari SOX mengharuskan semua data yang dihasilkan oleh organisasi harus divalidasi.
Sehubungan dengan laporan keuangan, analisis rinci risiko yang dapat mengakibatkan kesalahan
penyajian hasil keuangan organisasi harus dilakukan.
Laporan risiko oleh perusahaan AS
Laporan manajemen risiko dimaksudkan untuk melihat ke depan, bukan komentar tentang risiko yang
telah terwujud di masa lalu. Laporan tersebut dimuat dalam formulir formulir 10-K atau Formulir 20-
F secara berkala. Hal-hal yang dicantumkan biasanya meliputi:
● perkembangan dan perubahan peraturan;
● persaingan dalam bisnis kita;
● keputusan otoritas persaingan mengenai usaha patungan yang diusulkan;
● kepatuhan terhadap peraturan pemerintah;
● kondisi ekonomi umum;
● kehilangan pelanggan strategis;
● biaya asuransi yang lebih tinggi untuk terorisme, sabotase, atau pembajakan;
● kemampuan kita untuk mencapai penghematan biaya;
● fluktuasi biaya bahan bakar;
● perubahan mata uang dan suku bunga;
● gangguan di lokasi dan fasilitas utama;
● insiden akibat pengangkutan bahan berbahaya;
● pemogokan, penghentian kerja dan perlambatan kerja;
● gangguan akibat penyakit karyawan akibat pandemi influenza;
● penerimaan pasar atas layanan baru dan inisiatif pertumbuhan kami;
● perubahan pola permintaan pelanggan;
● dampak perkembangan teknologi pada operasi kami;
● gangguan terhadap infrastruktur teknologi, termasuk serangan siber seperti malware, ransomware,
penolakan layanan terdistribusi;
● kondisi cuaca buruk;
● jika karyawan sub-kontraktor kami dianggap sebagai karyawan kami;
● perubahan undang-undang perpajakan atau interpretasinya oleh pihak berwenang;
● biaya yang lebih tinggi terkait dengan penerapan Sarbanes–Oxley Act;
● perubahan hukum lingkungan.
Laporan risiko dalam bentuk 20-F
Sehubungan dengan risiko industri, ekonomi dan lingkungan, berikut ini telah diidentifikasi untuk
komentar lebih rinci:
Risiko berakhirnya paten atau eksklusivitas pemasaran.
Risiko litigasi paten dan hilangnya paten dini, eksklusivitas pemasaran atau merek dagang.
Risiko kedaluwarsa atau hilangnya paten lebih awal yang mencakup produk pesaing.
Kegagalan untuk mendapatkan perlindungan paten.
14. Dampak fluktuasi nilai tukar.
Pengaturan pendanaan hutang.
Risiko memiliki dan mengoperasikan bisnis biologi dan vaksin.
Persaingan, pengendalian harga, dan pengurangan harga.
Perpajakan.
Risiko klaim kewajiban produk yang substansial.
Kinerja produk baru.
Kewajiban kesehatan dan keselamatan lingkungan/pekerjaan.
Mengembangkan bisnis di pasar negara berkembang.
Pelaporan risiko badan amal
Versi singkat dari saran tentang pelaporan risiko yang ditetapkan dalam panduan Komisi Amal
Inggris adalah sebagai berikut:
Bentuk dan isi pelaporan risiko harus mencerminkan ukuran dan kompleksitas badan amal
individu. Komisi Amal tidak berusaha untuk membakukan pelaporan risiko. Sebuah laporan
gaya naratif yang membahas aspek-aspek kunci akan menjadi pendekatan pelaporan yang
dapat diterima, asalkan laporan tersebut memberikan:
● pengakuan tanggung jawab wali;
● gambaran umum proses identifikasi risiko;
● indikasi bahwa risiko utama telah ditinjau atau dinilai;
● konfirmasi bahwa sistem kontrol telah ditetapkan.
Prinsip-prinsip yang dimasukkan ke dalam prosedur manajemen risiko badan amal:
● hubungan antara identifikasi risiko utama dan tujuan operasional dan strategis dari amal;
● prosedur yang melampaui risiko keuangan untuk mencakup operasional, kepatuhan, dan
kategori risiko lain yang dapat diidentifikasi;
● keterkaitan penilaian dan evaluasi risiko dengan kemungkinan terjadinya dan dampaknya jika
peristiwa tersebut terjadi;
● memastikan kegiatan dan pemantauan penilaian risiko berlangsung dan tertanam dalam
prosedur manajemen dan operasional;
● penelaahan dan pertimbangan wali amanat atas hasil utama identifikasi, evaluasi, dan
pemantauan risiko.
Laporan tipikal tentang manajemen risiko untuk badan amal kecil mungkin sebagai berikut:
● Proses penilaian risiko dilakukan untuk mengidentifikasi prioritas risiko signifikan yang
dihadapi badan amal tersebut.
● Kebijakan, protokol, dan prosedur manajemen risiko dimasukkan ke dalam operasi rutin.
● Analisis strategi dilakukan untuk mengidentifikasi risiko signifikan yang dapat berdampak
pada penyampaian strategi.
● Ada prosedur untuk memastikan kepatuhan hukum, termasuk laporan rutin tentang masalah
hukum, kepada dewan pengawas.
● Wali amanat menerima pelatihan tentang manajemen risiko dan masalah tata kelola
perusahaan yang relevan dengan badan amal tersebut.
15. Prinsip pelaporan risiko pemerintah
Keterbukaan dan transparansi Pemerintah akan terbuka dan transparan tentang pemahamannya tentang
sifat risiko kepada publik dan tentang proses yang diikutinya dalam
menanganinya.
Keterlibatan Pemerintah akan mencari keterlibatan luas dari mereka yang
berkepentingan dalam proses pengambilan keputusan.
Proporsionalitas Pemerintah akan bertindak secara proporsional dan konsisten dalam
menangani risiko terhadap publik.
Bukti Pemerintah akan berusaha untuk mendasarkan keputusan pada semua
bukti yang relevan.
Tanggung Jawab Pemerintah akan berusaha mengalokasikan tanggung jawab untuk
mengelola risiko kepada mereka yang ditempatkan paling baik untuk
mengendalikannya.
Laporan pemerintah tentang keamanan nasional
Kategori ancaman utama yang diidentifikasi dalam dokumen adalah sebagai berikut:
● peristiwa bahaya lingkungan, termasuk cuaca, banjir pesisir dan sungai dan penyakit manusia
atau hewan;
● kesehatan manusia dan hewan, dengan referensi khusus untuk Covid-19;
● kecelakaan besar, termasuk industri dan transportasi;
● risiko sosial, termasuk kekacauan publik dan kejahatan terorganisir;
● serangan berbahaya di tempat-tempat ramai, infrastruktur, transportasi dan infrastruktur
elektronik (termasuk serangan nuklir atau non-konvensional).
Dokumen tersebut memberikan analisis rinci tentang berbagai ancaman dan langkah-langkah yang
ada untuk meminimalkan ancaman ini. Laporan tersebut juga membahas faktor pendorong yang
mengubah profil risiko negara. Penggerak ini meliputi:
● politik;
● iklim;
● persaingan energi;
● kemiskinan/ketidaksetaraan/pemerintahan yang buruk;
● globalisasi – ekonomi, teknologi dan demografi.