RISK MANAGEMENT:
COSO ERM
Risk Management Fundamentals
Perusahaan saat menghadapi berbagai risiko memerlukan beberapa alat untuk memilah-milah risiko untuk menentukan biaya yang rasional untuk membuat keputusan terkait risiko. Ini adalah proses manajemen risiko.
Proses manajemen risiko yang efektif memerlukan empat langkah:
identifikasi risiko
penilaian kuantitatif atau kualitatif risiko
prioritas risikodan perencanaan respon, dan
pemantauan risiko.
Selalu ada kebutuhan untuk mengidentifikasi dan memahami berbagai risiko yang dihadapi perusahaan, untuk menilai risiko tersebut dalam hal biaya atau dampak dan probabilitas, untuk mengembangkan tanggapan dari kejadian risiko, dan untuk mengembangkan prosedur dokumentasi untuk menggambarkan apa yang terjadi serta tindakan koreksi ke depan.
Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkatan perusahaan dengan partisipasi banyak orang yang berbeda. Apakah itu perusahaan kecil yang beroperasi di wilayah geografis yang terbatas atau lebih besar , pendekatan manajemen risiko harus dikembangkan untuk keseluruhan perusahaan. Ini sangat penting untuk perusahaan di seluruh dunia dengan beberapa unit operasi bergerak dalam operasi bisnis yang berbeda dan dengan fasilitas di berbagai negara.
Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan risiko di tempat lain, tapi risiko lain pertimbangan mungkin efektif independen dari keseluruhan. Risiko ini umum dapat terjadi karena berbagai keadaan mulai darikeputusan tentang keuangan yang buruk , perubahan selera konsumen, peraturan pemerintah yang baru.
Identifikasi risiko
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi keberhasilan perusahaan, mulai dari yang lebih besar atau lebih signifikan secara keseluruhan risiko ke risiko kurang penting terkait dengan proyek-proyek individu atau lebih kecil unit bisnis. Proses identifikasi risiko membutuhkan pembelajaran , pendekatan yang disengaja untuk melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebih daerah risiko yang signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar. Idenya di sini adalah tidak hanya untuk daftar setiap risiko yang mungkin tetapi untuk suatu perusahaan untuk mengidentifikasi orang-orang yang mungkin memiliki lebih operasi berdampak besar, dalam waktu yang wajar periode.
Manajemen perusahaan harus meninjau risiko ini diidentifikasi dan menyoroti mereka yang tampaknya paling penting bagi perusahaan. Maka harus menyiapkan set akhir organisasi diidentifikasi risiko oleh perusahaan secara keseluruhan dan oleh unit-unit operasi tertentu. Karena sudut pandang dan perspektif akan bervariasi di seluruh perusahaan, ini diidentifikasi risiko harus dibagi dengan operasi bertanggung jawab dan manajemen keuangan, memberikan mereka kesempatan untuk memberikan umpan balik. Idenya di sini adalah untuk mengidentifikasi populasi risiko yang mengancam suatu perusahaan, baik di tingkat unit individu dan total dasar perusahaan. Ini tidak akan selalu menjadi risiko inti tetapi sering adalah titik awal untuk penilaian risiko perusahaan.
Kunci Penilaian Risiko
Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya adalah menilai kemungkinan risiko tersebut dan signifikansinya. Berbagai pendekatan dapat digunakan di sini, mulai dari yang terbaik-kira pendekatan kualitatif untuk beberapa rinci, kuantitatif sangat matematis analisis. Idenya adalah untuk membantu memutuskan mana dari serangkaian berpotensi berisiko. Peristiwa harus memberikan manajemen yang paling perlu khawatir.
Probabilitas dan Ketidakpastian
Manajemen perusahaan harus meneliti dengan cermat risiko yang teridentifikasi dan mengumpulkan informasi lebih lanjut, jika diperlukan. Misalnya, selama proses identifikasi risiko, salah satu manajer mungkin telah mengidentifikasi konsekuensi dari hukum tarif baru sebagai risiko serius. Namun, manajer yang bertanggung jawab mungkin ingin lebih memahami konsekuensi sebenarnya. Ini mungkin sesuatu yang tidak berlaku untuk unit atau yang tidak berlaku sampai beberapa tahun ke depan. Intinya di sini adalah bahwa beberapa informasi tambahan yang mungkin diperlukan sebelum semua risiko yang teridentifikasi dapat secara akurat dinilai.
Risiko Saling Ketergantungan
Intinya adalah bahwa risiko seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi bertanggung jawab untuk mengelola risiko sendiri tapi mungkin tunduk pada konsekuensi dari kejadian risiko pada unit di atas atau di bawah itu di struktur organisasi.
Peringkat Risiko
Manajemen harus mengidentifikasi risiko ini unit per unit yang dinilai untuk memastikan bahwa kemungkinan risiko dan signifikansi estimasi yang tepat secara menyeluruh.
Analisis Risiko Kuantitatif
Nilai Diharapkan dan Respon Perencanaan
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan memiliki setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko terjadi. Idenya adalah untuk memperkirakan dampak biaya dari menimbulkan beberapa risiko diidentifikasi dan kemudian menerapkan bahwa biaya untuk probabilitas faktor risiko untuk mendapatkan nilai yang diharapkan atau biaya risiko. Frekuensi latihan ini tidak memerlukan studi biaya rinci dengan banyak pendukung tren historis dan perkiraan. Perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang garis depan di berbagai tingkatan dari perusahaan yang memiliki pengetahuan tentang daerah atau risiko implikasi.
Pemantauan Risiko
Proses monitoring yang akurat merupakan komponen penting dari manajemen risiko. Suatu perusahaan mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko yang signifikan. Namun, status risiko tersebut perlu dipantau secara teratur dengan perubahan yang terjadi dengan risiko tersebut dan diidentifikasi sebagai keperluan.
COSO ERM: Enterprise Risk Management
COSO ERM adalah sebuah kerangka kerja untuk membantu para pengusaha memiliki konsistensi dalam mendefinisikan resiko mereka. Hal tersebut juga merupakan alat yang penting untuk memahami dan mengembangkan pengendalian internal SOx.
Kerangka kerja dari COSO ERM mendefinisikan enterprise risk management sebagai berikut:
Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh jajaran entitas dari direktur-direktur, management dan personel lainnya yang diaplikasikan dalam sebuah setting strategi dan untuk semua pengusaha, yang didesain untuk mengidentifikasi kejadian-kejadian potensial yang mungkin dapat mempengaruhi entitas dan mengatur resiko agar tidak melebihi dari risk appetite, untuk menyediakan kepastian terkait penapaian dari tujuan entitas.
Para professional sebaiknya mempertimbangkan pendukung kunci dalam kerangka kerja COSO ERM yang meliputi:
ERM adalah sebuah proses
ERM proses diimplementasikan oleh orang-orang dalam perusahaan
ERM diterapkan melalui penetapan strategi diantara seluruh keseluruhan perusahaan
Konsep dari Risk Appetide harus dipertimbangkan.
ERM menyediakan rasionalitas bukan kepastian yang positif dalam pencapaian sebuah tujuan.
ERM didesain untuk membantu pencapaian tujuan
COSO ERM Key Elements
Gambar tersebut menunjukkan COSO ERM memiliki tiga dimensi dengan komponen sebagai berikut:
Empat kolom vertical yang menunjukkan tujuan strategi dari resiko perusahaan
Delapan baris horizontal menunjukkan komponen risiko
Multiple level untuk menggambarkan berbagai perusahaan dimulai dari "headquarters" level hingga individual subsidiaries.
Penjelasan komponen dari risiko:
Internal Environment component
Terdiri dari elemen-elemen berikut:
Filosofi manajemen resiko
Ada bagian dari tingkah laku dan kepercayaan yang mempercirikan bagaimana sebuah perusahaan mempertimbangkan resiko dalam setiap hal. Filosofi resiko ini penting ketika internal auditor mengevaluasi Sox internal control
Risk Appetite
Adalah sejumlahresiko dari sebuah perusahaan yang akan diterima dalam mencapai tujuannya. Sebuah Appetite untuk resiko dapat diukur dari sisi kuantitative maupn kualitative, namun seluruh leve manajemen sebaiknya memiliki pemahaman secar menyeluruh mengenai hal tsb.
Board of Directors Attitude
Independensi, direktur yang berasal dari luar sebaiknya mereview tindakan , melakukan check and balance control terhadap perusahaan
Integrity and ethical values
Hal tersebut penting untuk membangun kultur yang kuat untuk menjadi pedoman bagi perusahaan.
Commitment to competence
Kompetensi menunukkan pada pengetahuan dan kepandaian yang diperlukan untuk melakukan tugas yang ditetapkan.
Organizational structure
Assignment of authority and responsibility
Human resource standards
Menetapkan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan obyektif yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan.
COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk:
Mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi,
Menetapkan strategi untuk mencapai tujuan,
Mendefinisikan tujuan yang terkait, dan
Mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan.
Objective setting outline penting diperlukan untuk membantu manajemen dalam membuat ERM proses yang efektif. Perusahaan sebaiknya mendefinisiskna resiko terkait dengan strategi dan tujuan, dengan petunjuk tersebut sudah bisa menentuka level resiko yang ingin diterima dan memberikan resiko yang dapat ditoleransi, sejauh mana diterima dari standar deviasi pengukuran yang sudah ditetapkan sebelumnya.
Event Identification
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya.
Proses pemantauan harus mencakup:
Peristiwa ekonomi eksternal
Peristiwa alam
Peristiwa politik
faktor social
peristiwa infrastruktur internal
proses internal teknologi internal maupun eksternal
Risk Assessment
Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek potensi peristiwa terkait risiko-mungkin memiliki prestasi suatu perusahaan dari tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensial. Sebagai bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah kebutuhan untuk mempertimbangkan risiko yang melekat dan residual juga:
Risiko inherent
Risiko yang 'sudah' ada sebelum kita melakukan mitigasi disebut Risiko Inherent yaitu, risiko yang ada di perusahaan kita saat tidak adanya tindakan yang dibutuhkan untuk mengubah baik kemungkinan terjadinya maupun dampaknya. Setiap perusahaan dalam setiap industri menghadapi risiko yang melekat (inherent), tentu saja, tidak setiap perusahaan mengelolanya secara efektif atau efisien. Beberapa contoh untuk hal tersebut adalah karena:
Kurangnya kompetensi manajemen. Kompetensi manajemen mengacu pada kompetensi direksi dan personil manajemen senior, yang mencakup hal-hal yang mereka miliki seperti:
pengalaman industri,
pengetahuan tentang bisnis entitas,
keterampilan komersial,
akal sehat,
pengetahuan tentang tata kelola perusahaan yang baik, dan
kemampuan komunikasi dan pertimbangan (judgement).
Auditor dapat menilai kompetensi manajemen dengan berbicara kepada direksi secara individual serta mempertimbangkan faktor-faktor seperti jumlah tahun pengalaman masing-masing direktur dalam industri yang bersangkutan, jumlah tahun pengalaman dengan entitas, dan tingkat perubahan manajemen selama beberapa tahun terakhir.
Contoh lain adalah tingkat yang signifikan dan berkepanjangan adanya kekurangan pegawai pada departemen akuntansi. Kekurangan pegawai tersebut bisa merupakan indikasi dari kurangnya perhatian manajemen terhadap pelaporan yang berkualitas, atau bahkan tidak adanya minat yang positif terhadap pelaporan yang berkualitas buruk
Risiko Residual
Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan penanggulangan telah diterapkan. Ada hampir selalu ada beberapa tingkat risiko residual. Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapi beberapa risiko. Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi risiko, masih akan ada beberapa risiko residual untuk memperbaiki. Selain itu, ada selalu beberapa risiko yang melekat bahwa manajemen dapat melakukan sedikit untuk mengurangi.
Risk Response
Untuk mengembangkan strategi respon risiko yang tepat, berikut tanggapan risiko dapat ditangani di salah satu dari empat cara dasar ini:
Penghindaran.
Ini adalah strategi jauh dari risiko-seperti menjual unit bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa drop lini produk atau berjalan kaki sampai setelah kejadian risiko terjadi dengan biaya yang terkait. Kecuali suatu perusahaan memiliki nafsu makan yang sangat rendah untuk risiko, sulit untuk pergi dari dinyatakan sukses bidang bisnis atau lini produk atas dasar risiko potensial masa depan.
Penghindaran bisa menjadi strategi yang mungkin mahal jika investasi dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari risiko. Sebuah pelajaran-belajar kolektif pemahaman kegiatan masa lalu sering dapat membantu dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa daerah di masa lalu dengan konsekuensi yang tidak menguntungkan, mungkin ini cara yang baik untuk menghindari risiko sekali lagi. Karena perubahan konstan dan tenor kerja singkat, sejarah kolektif ini terlalu sering hilang dan dilupakan. Suatu perusahaan dipahami dengan baik dan dikomunikasikan selera resiko mungkin pertimbangan yang paling penting ketika memutuskan apakah strategi penghindaran risiko sesuai.
Pengurangan
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. lini produk diversifikasi dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu lini produk kunci; operasi TI membelah menjadi dua lokasi geografis yang terpisah akan mengurangi risiko beberapa bencana kegagalan. Jumlah strategi yang efektif untuk mengurangi risiko pergi ke karyawan lintas-pelatihan yang jelas dan duniawi, seperti untuk mengurangi risiko seseorang berangkat tiba-tiba.
Sharing.
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui pembelian asuransi, tetapi teknik risiko-sharing juga tersedia. Untuk transaksi keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi dari fluktuasi harga mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perjanjian joint venture perusahaan atau pengaturan struktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa risiko potensial serta untuk berbagi dalam penghargaan yang dihasilkan.
Penerimaan.
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan selfinsures dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang toleransi risiko didirikan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi perusahaan. Manajemen harus mengembangkan strategi respon umum untuk setiap risiko dengan menggunakan pendekatan dibangun sekitar satu atau campuran strategi penghindaran risiko tersebut. Dalam melakukannya, harus mempertimbangkan biaya dan keuntungan dari setiap respon potensi risiko serta strategi yang terbaik sejalan dengan risk appetite perusahaan secara keseluruhan.
Pengendalian Kegiatan
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan respon risiko diidentifikasi. Meskipun beberapa dari kegiatan ini mungkin berhubungan hanya untuk respon risiko diidentifikasi dan disetujui di daerah dari perusahaan, mereka sering tumpang tindih di beberapa fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas sebelumnya. Pemantauan risiko memerlukan empat langkah berikut:
Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan prosedur kontrol untuk memantau atau benar bagi mereka.
Buat api prosedur drill-jenis pengujian untuk menentukan apakah mereka prosedur pengendalian risiko terkait bekerja secara efektif.
Lakukan tes dari proses pemantauan risiko untuk menentukan apakah mereka bekerja secara efektif dan seperti yang diharapkan.
Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses risiko pemantauan
Banyak kegiatan kontrol dalam pengendalian internal COSO cukup mudah untuk mengidentifikasi dan menguji karena sifat akuntansi mereka. kegiatan pengawasan ini umumnya termasuk daerah-daerah pengendalian internal:
Pemisahan tugas.
Pada dasarnya, orang yang memulai transaksi tidak harus orang yang sama yang mengotorisasi transaksi itu.
Trails Audit.
Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas.
Proses kontrol harus memiliki prosedur pengendalian yang tepat sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.
Dokumentasi.
Prosedur dokumentasi COSO ERM menunjukkan beberapa bidang:
Ulasan Top-level. manajer senior harus sangat menyadari peristiwa risiko diidentifikasi dalam unit organisasi mereka dan melakukan tinjauan rutin tingkat atas status risiko yang teridentifikasi.
Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat atas, manajer unit fungsional dan langsung harus memiliki peran kunci dalam pengendalian risiko pemantauan aktivitas. Hal ini sangat penting di mana kegiatan pengendalian berlangsung dalam unit operasi terpisah dengan kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
Memproses informasi. Apakah itu IT proses berbasis peralatan atau bentuk lembut seperti kertas atau pesan, pengolahan informasi merupakan komponen kunci dalam kegiatan pengendalian risiko terkait suatu perusahaan. prosedur pengendalian yang tepat harus ditetapkan dengan penekanan pada perusahaan proses TI dan risiko.
Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan fisik, inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal kontrol fisik prosedur kegiatan berbasis risiko yang sesuai.
Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan berbagai keuangan dan operasional alat pelaporan yang juga dapat mendukung risiko-acara yang berhubungan dengan pelaporan kinerja. Jika diperlukan, alat kinerja harus diubah untuk mendukung kontrol ERM komponen kegiatan penting ini.
Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tindakan tertentu seharusnya tidak menjadi orang yang sama yang menyetujui mereka. kegiatan pengawasan ini disorot dalam bahan bimbingan COSO ERM.
Informasi dan Komunikasi
Segmen informasi dari informasi ERM dan komponen komunikasi biasanya memikirkan dalam hal IT sistem informasi strategis dan operasional, aspek kedua komponen ini, komunikasi ERM, berbicara tentang komunikasi sekedar aplikasi IT. Ini termasuk kebutuhan untuk mekanisme untuk memastikan bahwa semua pemangku kepentingan menerima pesan mengenai kepentingan perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan mengenai peran manajemen risiko dan tanggung jawab. COSO ERM akan menjadi nilai kecil untuk sebuah perusahaan kecuali pentingnya dikomunikasikan kepada semua pemangku kepentingan secara umum dan konsisten.
Pemantauan
Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja secara efektif. Orang dalam perubahan perusahaan, seperti halnya proses dan kedua kondisi dan eksternal internal yang mendukung, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja secara efektif secara terus menerus. Dokumen COSO ERM Framework menunjukkan bahwa pemantauan dapat mencakup jenis kegiatan:
Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti untuk posisi kas, penjualan unit, dan data keuangan utama. Suatu perusahaan tidak harus menunggu sampai fiskal akhir bulan untuk jenis laporan status, dan laporan kilat cepat respon harus dimulai.
Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek-aspek kunci dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang diadakan dalam ketegangan. pelaporan tersebut harus menekankan tren statistik dan perbandingan baik dengan periode-periode sebelumnya dan dengan sektor industri lainnya.
Lancar dan periodik pelaporan status temuan terkait risiko dan rekomendasi dari laporan audit internal dan eksternal, termasuk status terkait ERM SOx kesenjangan diidentifikasi.
Updated informasi terkait risiko dari sumber seperti aturan-direvisi pemerintah, tren industri, dan berita ekonomi secara umum. Sekali lagi, jenis pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua tingkatan. monitoring evaluasi yang terpisah atau individu mengacu review rinci proses risiko individu oleh resensi yang berkualitas, seperti audit internal.
Other Dimentions of COSO ERM: Risk Objectives
Tujuan Manajemen Risiko Operasional
Risiko operational merupakan risiko yang umumnya bersumber dari masalah internal perusahaan, dimana risiko tersebut terjadi disebabkan oleh lamanya sistem kontrol manajemen (management controlsystem). Yang dilakukan oleh pihak internal perusahaan. Misalnya risiko operational adalah risiko pada komputer karena telah terserang virus, kerusakan maintenance pabrik, kecelakaan kerja, kesalahan dalam pencatatan pembelian barang dan tidak adanya kesepakatan bahwa barang yan dibeli dapat ditukar kembali dan sebagainya.
Risiko operasonal dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan. Risiko ini merupakan risiko yang melekat (inherent) pada setiap aktivitas fungsional Bank, seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi manajemen, dan pengelolaan sumber daya manusia.Risiko operasional bukanlah hal baru walaupun disadari merupakan risiko yang paling akhir terdefinisikan dalam Basel II
Identifikasi tujuan risiko operasi ini sering membutuhkan informasi rinci pengumpulan dan analisis, terutama untuk perusahaan besar yang meliputi beberapa wilayah geografis, lini produk, atau proses bisnis. manajer langsung dari masing-masing unit biasanya memiliki pemahaman terbaik dari risiko operasional mereka, dan informasi yang dapat menjadi hilang ketika konsolidasi untuk pelaporan tingkat yang lebih tinggi. audit internal ulasan atau survei orang terkena dampak langsung oleh risiko ini dapat membantu untuk mengumpulkan informasi latar belakang yang lebih rinci tentang potensi risiko operasional. Sebuah survei langsung on-the-lantai anggota dari perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan pengembangan satu set luas dan konsisten dari risiko operasi katalog. Pertanyaan yang diajukan di sini akan mirip dengan jenis pertanyaan rinci yang digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang risiko potensial.
Jenis survei, beredar di semua tingkat perusahaan, dengan pesan mendorong para pemangku kepentingan untuk menanggapi terang, sering mengumpulkan informasi penting mengenai potensi risiko pada tingkat operasional yang rinci. Seorang manajer pabrik operasi jarak jauh tidak mungkin memadai dikomunikasikan kekhawatiran tentang beberapa risiko operasional plantlevel.
Seringkali survei berbasis luas dan rahasia yang lebih baik memungkinkan orang untuk berkomunikasi risiko operasi tingkat lokal melalui perusahaan. Dengan tampilan portofolio ERM risiko, perusahaan harus menghindari bergulir hal menjadi terlalu banyak dari tingkat ringkasan, hilang atau pembulatan risiko lowerlevel penting. Apapun posisi mereka dalam perusahaan atau lokasi geografis mereka, manajer di semua tingkatan harus menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko dalam unit operasional mereka sendiri. Terlalu sering, manajer unit mungkin percaya bahwa manajemen risiko menjadi perhatian hanya untuk staf kantor pusat tingkat senior. Pentingnya manajemen ERM dan operasi risiko COSO harus dikomunikasikan kepada semua tingkat perusahaan. auditor internal harus bertindak sebagai mata dan telinga di sini dan melaporkan semua risiko operasi diamati.
Tujuan Manajemen Risiko Pelaporan
Tujuan risiko ini mencakup keandalan laporan suatu perusahaan data finansial dan nonfinansial internal dan eksternal. pelaporan yang akurat sangat penting bagi keberhasilan suatu perusahaan dalam banyak dimensi. News melaporkan sering detil penemuan pelaporan keuangan yang tidak akurat perusahaan dan mengakibatkan dampak pasar saham untuk entitas menyinggung. Bahwa pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di banyak daerah. Sebuah contoh dari risiko yang berkaitan dengan pelaporan yang tidak akurat menjadi masalah beberapa tahun yang lalu di perusahaan minyak utama Royal Dutch Shell. perusahaan eksplorasi minyak dan gas yang diperlukan untuk melaporkan cadangan mereka-jumlah minyak dan gas pada sifat mereka yang belum diambil. Pada Januari 2004, Royal Dutch mengumumkan bahwa karena perkiraan buruk dan pencatatan ceroboh, sudah signifikan overreporting diperkirakan reserves.6 minyak bumi Kesalahan ini tidak mempengaruhi perusahaan dilaporkan hasil keuangan dan SEC pedoman pelaporan cadangan di sini tidak begitu kuat; Namun demikian, pasar babak belur saham setelah pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lain-lain dipaksa untuk mengundurkan diri. perusahaan, di bawah ketua baru, kemudian mengumumkan rakit perubahan dan perbaikan pengendalian internal untuk memperbaiki kerusakan.
Tidak peduli apa industri itu di, sebuah perusahaan menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau wilayah. unit operasi harus memastikan bahwa melaporkan hasil yang benar sebelum mereka lulus ke tingkat berikutnya dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka berada di laporan keuangan, pajak, atau salah satu dari segudang daerah lain. pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang akurat. ERM prihatin dengan risiko otorisasi dan melepaskan laporan tidak akurat.
Pengendalian internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus selalu mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat. Royal Dutch Shell kesalahan pelaporan cadangan adalah contoh dari jenis perhatian pelaporan risiko. kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan besar yang perlu diungkapkan. Risiko pelaporan yang tidak akurat tersebut harus menjadi perhatian di semua tingkat perusahaan.
Hukum dan Peraturan Tujuan Risiko
Setiap jenis perusahaan harus mematuhi berbagai peraturan perundang-undangan governmentimposed atau industri standar. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-kadang benar-benar tak terduga. Jenis risiko hukum sangat sulit untuk mengantisipasi tetapi bisa menjadi bencana untuk suatu perusahaan. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing komponen kerangka risiko, apakah dalam konteks lingkungan internal, pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan. Bahan bimbingan ERM tidak menawarkan banyak informasi tambahan tentang kepatuhan ini bertujuan selain untuk menyatakan bahwa tujuan ini mengacu pada kesesuaian dengan hukum dan peraturan yang berlaku. Ini adalah elemen penting dari kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami. Seperti telah dibahas, semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan, dengan beberapa berdampak hampir semua perusahaan dan lain-lain yang terkait dengan hanya unit bisnis tunggal di sektor industri khusus.
Sifat risiko-risiko kepatuhan perlu dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Suatu perusahaan dapat menerima tingkat risiko tertentu dalam hal keprihatinan mengenai kepatuhan hukum. Sementara hukum besar tidak boleh dengan sengaja diabaikan karena merasa pelanggaran tidak akan pernah tertangkap, suatu perusahaan harus selalu mengambil pendekatan beralasan risiko dalam hubungannya dengan keseluruhan filsafat dan risiko selera nya.
Entity-Level Risks
Dimensi ketiga dari kerangka COSO ERM menyebut risiko yang harus dipertimbangkan pada suatu organisasi atau tingkat entitas unit. The COSO framework ERM di Exhibit 6.5 menunjukkan empat divisi dalam dimensi kerangka ini: tingkat entitas, divisi, unit bisnis, dan risiko anak. Risiko ERM COSO harus diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara entitas-lebar melalui unit bisnis individu.
Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis di bawah masing-masing akan memiliki kerangka kerja ERM yang mencerminkan semua unit. Sementara risiko ini mungkin penting untuk organisasi secara keseluruhan, mereka harus dipertimbangkan secara unit dengan unit ke level tingkat yang diperlukan untuk memungkinkan perusahaan untuk memahami dan mengelola risiko. COSO ERM tidak menentukan bagaimana tipis risiko ini unitlevel harus diiris, dan kekritisan dan materialitas unit bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama rantai restoran dengan ribuan unit, misalnya, itu akan tidak masuk akal untuk memasukkan setiap unit individu sebagai komponen terpisah dalam model risiko. Sebaliknya, manajemen harus menentukan risiko organisasi-level cukup detail untuk menutup semua signifikan, risiko dikelola.
Risks Encompassing the Entire Organization
Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. Sangat mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak material", menggunakan-SOx pra terminologi akuntan publik, suatu perusahaan harus memikirkan semua risiko yang berpotensi signifikan.
Business Unit-Level Risks
Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di sebuah perusahaan penjualan luar negeri. Risiko harus diperhatikan dalam setiap unit organisasi yang signifikan. Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas di sebuah perusahaan penjualan luar negeri, misalnya, mungkin risiko unik untuk unit yang tapi kemudian harus menggulung ke entitas secara keseluruhan. Kami telah mencontohkan risiko entitas-tingkat yang mungkin timbul dari kegagalan dalam pembuatan atau standar hak asasi manusia dari anak kecil di negara berkembang.
Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko sering bisa start terbaik sebagai proses push-down di mana manajemen tingkat korporasi secara resmi menguraikan kekhawatiran terkait risiko utama dan meminta manajemen yang bertanggung jawab di masing-masing divisi utama untuk survei tujuan risiko melalui operasi unit dalam divisi itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi pada semua tingkat dan kemudian dikelola di tingkat mana mereka dapat menerima paling langsung, dukungan lokal
Putting It All Together
The COSO framework ERM dijelaskan di sini alamat pendekatan manajemen risiko yang berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada mengenali selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM memiliki beberapa perbedaan mendasar dari model risiko yang paling yang telah digunakan sampai saat ini. COSO ERM belum digunakan cukup lama untuk menunjuk ke serangkaian perusahaan sukses yang telah terbuka berpelukan itu. Namun, dengan AS 5 penekanan pada risiko, kita akan mendengar lebih banyak tentang hal ke depan. auditor internal, khususnya, harus menetapkan tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka penting ini.
COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan memahami SOx Pasal 404 kontrol internal. Hal ini terutama penting dengan yang lebih baru AS 5 standar auditing yang memberikan pertimbangan lebih untuk risiko ketika memahami dan mengevaluasi pengendalian internal. manajemen perusahaan di semua tingkatan harus merangkul COSO ERM, alat penting untuk memahami banyak beberapa risiko yang dihadapi suatu perusahaan menghadapi hari ini. auditor internal harus membuat COSO ERM internal audit persyaratan CBOK, dan harus melakukan audit internal sesuai dengan proses ERM.
Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi masalah risiko dan manajemen risiko di banyak daerah di alam semesta audit yang mana ada yang berkinerja ulasan, dan auditor internal yang efektif harus memahami proses manajemen risiko. Semua terlalu sering, internal auditor akan melakukan sebuah kontrol internal review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena "pertimbangan risiko." Auditor harus memiliki pertanyaan yang tepat dan untuk meninjau kecukupan mereka proses.
Suatu perusahaan dapat meningkatkan proses keseluruhan serta SOx pengendalian internal proses melalui pelaksanaan yang efektif dan efisien dari COSO ERM. Dengan berfokus pada kerangka ERM COSO serta praktek manajemen risiko yang baik umum, audit internal dapat membantu suatu perusahaan dengan perencanaan dan melakukan review dari proses manajemen risiko perusahaan. Tentu saja, untuk meninjau praktek COSO ERM dan prosedur pelaksanaan, auditor internal, baik sebagai pengulas audit internal kontrol atau konsultan manajemen, perlu mengembangkan pemahaman yang kuat dari COSO kontrol ERM dan proses. Selain itu, setiap review audit internal proses ERM perusahaan harus dikembangkan melalui pendekatan perencanaan audit internal berbasis risiko yang dibahas dalam Bab 15.
Audit internal harus meninjau proses ERM perusahaan-lebar menggunakan beberapa alat ini:
Process flowcharting
Sebagai bagian dari proses ERM diidentifikasi, proses diagram alur dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi di suatu perusahaan. Hal ini memerlukan melihat dokumentasi yang disiapkan untuk proses yang terkait dengan resiko, menentukan apakah mereka adalah kondisi saat ini, dan menggambarkan kecukupan keseluruhan dari semua tingkatan proses risiko perusahaan. proses audit pemodelan internal dan proses diagram alur dibahas dalam Bab 16.
Reviews of risk and control materials
Sebuah proses ERM sering menghasilkan volume besar bahan bimbingan, prosedur terdokumentasi, format laporan, dan sejenisnya. Mungkin sering berharga untuk review audit internal risiko dan pengendalian bahan.
Brenchmarking
Meskipun istilah yang sering disalahgunakan, benchmarking adalah proses melihat fungsi di lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan peningkatan berdasarkan praktik terbaik dari orang lain. The Institute of Internal Auditor "Kemajuan Melalui Sharing" (IIA) moto dan tradisi serta benchmarking pendekatan yang dibahas dalam Bab 11 mempromosikan informasi komparatif pengumpulan. Hal ini sering dapat menjadi teknik yang berguna di sini.
Questionnaires
Kuesioner adalah metode yang baik untuk mengumpulkan informasi tentang efektivitas ERM dari berbagai macam orang. Mereka dapat dikirim kepada pemangku kepentingan yang ditunjuk dengan permintaan informasi tertentu. Hal ini sering teknik audit internal yang berharga.
Audit internal harus menetapkan beberapa tujuan ulasan tingkat tinggi untuk efektivitas COSO ERM di perusahaan mereka, mengumpulkan data pelaksanaan rinci, dan kemudian menilai efektivitas COSO ERM dan sebagai alat untuk mendukung dan meningkatkan SOx kepatuhan. Exhibit 6.10 memberikan panduan untuk audit Prosedur Audit COSO ERM internal
Risk Management and COSO in Perspective
Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang harus menjadi bagian dari setiap auditor internal CBOK. auditor internal harus menggunakan prinsip-prinsip manajemen risiko saat memutuskan daerah untuk memilih diulas mereka (seperti dibahas dalam Bab 15) dan kemudian menggunakan prinsip risiko ketika menilai bukti audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih penting, COSO ERM akan semakin penting dan pengakuan sebagai perusahaan lebih memahami dan mengadopsi kerangka ERM. audit internal harus memiliki pemahaman CBOK dari COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih efektif.