Bab 10

Mengelola Risiko

Audit internal merupakan jaminan, independen, obyektif dan aktivitas konsultasi yang

dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu

organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan

disiplin untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko,

pengendalian dan tata kelola. Kita perlu memahami risiko dan menghargai pentingnya

manajemen risiko bagi organisasi. Baik kode tata kelola perusahaan membutuhkan

papan untuk menginstal sistem manajemen risiko dan memberitahu para pemegang

saham mereka tentang sistem ini. Terobosan ke risiko telah berdampak pekerjaan

auditor internal dan account penting dari langkah ini menjadi sebuah fase baru dari

audit internal yang diberikan pada tahun 1998 oleh David McNamee dan Georges Selim,

yang didefinisikan tiga tahap dalam pengembangan audit internal :

1. Menghitung dan mengamati.

2. Sistem pengendalian internal.

3. Audit proses bisnis melalui fokus pada risiko.

3.1 Apa itu Resiko?

Risiko timbul dari ketidakpastian dan kontrol didasarkan pada pengurangan

ketidakpastian ini mana mungkin dan perlu. HM Treasury mendefinisikan risiko sebagai

"ketidakpastian hasil dalam berbagai eksposur yang timbul dari kombinasi dampak dan

probabilitas dari peristiwa potensial”. Sementara Glosarium IIA mendefinisikan risiko

sebagai “ketidakpastian suatu peristiwa yang terjadi secara bisa berdampak pada

pencapaian tujuan. Risiko diukur dalam hal konsekuensi dan kemungkinan”.

3.2 Tantangan Risiko

Dengan cara ini, dampak menjadi efek risiko terhadap tujuan di tangan. Sistem

manajemen risiko yang baik menjaga tujuan bisnis tegas dalam pikiran ketika berpikir

tentang risiko. Sistem miskin menyembunyikan tujuan luar model atau sebagai sesuatu

yang dianggap perifer untuk tugas menilai dampak dari risiko. Dalam kenyataannya. itu

tidak sesederhana ini. Tindakan menetapkan tujuan dalam dirinya sendiri didasarkan

pada risiko yang nyata dan dirasakan, yaitu, beberapa ketidakpastian tentang masa

depan. Konsep lain yang perlu dipertimbangkan adalah risiko itu, dalam konteks tujuan

mencapai, memiliki baik terbalik dan sisi negatifnya. Dalam model kami, kami

menyebutnya ancaman dan peluang. Artinya, ia dapat berhubungan dengan kekuatan

yang berdampak negatif pada tujuan, dalam arti bahwa mereka menimbulkan ancaman.

3.3 Manajemen Risiko dan Risiko Residual

Manajemen risiko adalah proses dinamis untuk mengambil semua langkah yang wajar

untuk mengetahui dan menangani risiko yang berdampak pada tujuan kami. Ini adalah

respon terhadap risiko dan keputusan yang dibuat sehubungan dengan pilihan yang

tersedia (dalam hubungannya dengan sumber daya yang tersedia) yang penting dan IIA

telah membuat titik yang bersangkutan bahwa Sebelum kita sampai di sana, kita bisa

beralih ke proyek standar manajemen untuk panduan tentang manfaat manajemen

risiko sistematis yang meliputi :

lebih realistis bisnis dan perencanaan proyek

tindakan dilaksanakan dalam waktu efektif

besar kepastian mencapai tujuan bisnis dan tujuan proyek

apresiasi, dan kesiapan untuk mengeksploitasi, semua peluang yang

menguntungkan

meningkatkan pengawasan kerugian

meningkatkan pengendalian biaya proyek dan bisnis

peningkatan fleksibilitas sebagai akibat dari pemahaman semua pilihan dan

risiko yang terkait

sedikit kejutan mahal melalui perencanaan kontingensi yang efektif dan

transparan.

Untuk meringkas proses manajemen risiko, Tahapan manajemen risiko yang umum

dikenal sebagai :

Identifikasi. Proses manajemen risiko dimulai dengan suatu metode untuk

mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus

melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan pengaruh

terhadap daerah yang terkena risiko yang bersangkutan.

Penilaian. Tahap berikutnya adalah untuk menilai pentingnya risiko yang telah

diidentifikasi. Ini harus berputar di sekitar dampak dua dimensi, pertimbangan

kemungkinan bahwa kita telah dijelaskan.

Manajemen. Berbekal pengetahuan tentang apa risiko yang signifikan dan yang kurang

begitu, proses ini membutuhkan pengembangan strategi untuk mengelola berdampak

tinggi, tinggi-kemungkinan risiko.

Meninjau. Proses manajemen risiko keseluruhan dan output harus dikaji dan ditinjau

ulang secara terus menerus.

3.4 Mitigasi melalui Kontrol

Kami telah menyarankan bahwa manajemen risiko merupakan bagian penting dari siklus

resiko, karena memungkinkan organisasi untuk menetapkan dan meninjau kontrol

internal mereka, dan melaporkan kembali kepada para pemegang saham. Kerangka

pengendalian internal terdiri dari semua pengaturan, dan pengawasan rutin yang

spesifik dan proses yang mendorong sebuah organisasi untuk mencapai tujuan. Mereka

mengelola risiko harus memprioritaskan perubahan kontrol, dengan

mempertimbangkan dampaknya terhadap aktivitas lain dan ketersediaan sumber daya.

Perubahan kontrol yang dipilih harus dialokasikan untuk pemilik respon risiko dan jadwal

pelaksanaannya harus disiapkan. Kemajuan terhadap pelaksanaan pengendalian

perubahan harus dipantau. Pengendalian yang diterapkan harus didokumentasikan.

Pemantauan kinerja kontrol

Kami telah mengembangkan 10 langkah untuk mengatasi risiko yang telah dinilai untuk

dampak dan kemungkinan. Tanggapan ini dijelaskan lebih lanjut:

1. Termintate

2. Controls

3. Transfers

4. Contigencies

5. Take more

6. Communicate

7. Tolerate

8. Commission research

9. Tell someone

10. Check compliance

3.5 Risiko Register dan Appetites

Subyek register risiko memiliki masa lalu yang sangat menarik. Manajer proyek telah

menggunakan mereka untuk waktu yang lama karena mereka menilai risiko pada tahap

awal dalam proyek besar dan masukkan rincian dalam catatan resmi, yang diperiksa oleh

para sponsor. Industri asuransi lagi baik digunakan untuk mendokumentasikan asumsi

tentang risiko dan menggunakan ini untuk bentuk penilaian di mana untuk menawarkan

asuransi dan apa aspek operasi termasuk dalam sampul ini. Risk appetite mendefinisikan

bagaimana kita melihat risiko residual, setelah kami telah berurusan dengan itu melalui

strategi yang tepat, dan apakah itu diterima atau tidak, yaitu, adalah risiko dapat

diterima seperti berdiri atau kita perlu berbuat lebih banyak untuk menampungnya,

atau mungkin mengeksploitasi daerah di mana risiko terlalu rendah? Kita perlu untuk

mengubah sekali lagi untuk Peter Bernstein untuk pandangan otoritatif pada selera

risiko. Ketika mempertimbangkan toleransi risiko, kita perlu membangun faktor kontrol

ke dalam persamaan. Pengambilan risiko baik-baik saja selama kita dapat mengantisipasi

masalah dan mencari cara untuk melawan mereka. Banyak kebingungan hasil dari

pencampuran resiko kotor dan bersih. Sikap toleransi risiko menjadi lebih penting ketika

kita mempertimbangkan tanggung jawab organisasi kepada para pemangku

kepentingan. Para anggota dewan memiliki kewajiban fidusia untuk bertindak dengan

cara yang wajar dan pemegang saham memiliki hak untuk menerima dividen

diumumkan dan memiliki investasi mereka dikelola secara memadai.

Mempertimbangkan dan menetapkan risk appetite memungkinkan organisasi untuk

meningkatkan keuntungannya dengan mengoptimalkan pengambilan risiko dan

menerima risiko dihitung dalam tingkat yang sesuai kewenangan. Risk appetite

organisasi harus dibentuk dan / atau disetujui oleh Dewan (atau setara) dan efektif

dikomunikasikan ke seluruh organisasi.

3.6 Kebijakan Risiko

Model risiko kami telah mengambil bentuk nyata dengan banyak komponen yang

membentuk dasar dari manajemen risiko yang efektif. Dalam beberapa organisasi,

resiko lokakarya penilaian diatur untuk tim utama sebagai respon terhadap

kecenderungan program CRSA, seringkali di belakang rekomendasi dari auditor atau

konsultan eksternal. Tim berkumpul, berbicara tentang risiko dan bagaimana hal itu

dikelola dalam pakaian mereka dan keluar dengan risk register yang diajukan dan poin

tindakan yang diberikan kepada manajer dicalonkan.

3.7 ERM (Enterprise-wide manajemen risiko)

Enterprise-wide manajemen risiko atau ERM hanyalah perpanjangan dari manajemen

risiko di organisasi secara terpadu. Hal ini berbeda dengan pendekatan lama di mana

spesialis khusus seperti perencanaan kontingensi risiko dinilai tetapi hanya pada tingkat

lokal untuk proses tersebut. Jim Deloach, Pemimpin Global Risiko Strategis dan

Enterprise Consulting, Arthur Andersen, mengatakan bahwa:

Tidak ada satu ukuran cocok untuk semua pendekatan untuk ERM. Yang mengatakan,

kami percaya bahwa setiap proyek ERM harus dimulai dengan lima tindakan penting:

1. membangun struktur pengawasan;

2. mendefinisikan bahasa umum dan kerangka kerja;

3. menargetkan risiko dan proses;

4. menetapkan tujuan, sasaran, dan proses yang seragam, dan

5. menilai kemampuan manajemen risiko

Pengalaman Pemerintah

Dalam menyampaikan pesan untuk menilai resiko luar staf spesialis beberapa hal tidak

selalu mudah. Sementara sektor swasta telah didorong untuk mengembangkan sistem

manajemen risiko untuk mendukung kajian mereka terhadap pengendalian internal,

sektor publik juga mulai aktif di bidang ini. Strategi Manajemen Risiko Departemen

Keuangan membenahi pedoman bagi badan-badan pemerintah yang telah diadaptasi

dan diadopsi oleh berbagai organisasi yang terlibat. Sementara itu, Kantor Kabinet telah

mengkaji kemampuan pemerintah untuk menangani risiko atas ketidakpastian dan

menyiapkan laporan yang komprehensif pada bulan Agustus 2002 kemudian

menetapkan temuan sampai saat ini, termasuk enam rekomendasi utama. Ekstrak dari

laporan ini menunjukkan upaya serius sedang dilakukan upaya manajemen risiko ada

pada seluruh bagian pemerintah. Namun, kemajuan tidak merata justru terjadi pada

pemerintah. Ada banyak praktik yang baik, tetapi cakupan ini tidak komprehensif. Secara

khusus, beberapa penerapan teknik manajemen risiko telah mekanistik dan tidak

terintegrasi ke dalam pengambilan keputusan di tingkat tertinggi.

Risiko dinilai mengambil tanggung jawab untuk penanganan risiko harus berada di

tangan orang-orang terbaik ditempatkan pada setiap fungsi untuk menghadapi resiko

yang ada. Hal ini hanya dapat dinilai berdasarkan kasus per kasus,dengan kriteria

meliputi:

• Kompetensi - memiliki keterampilan dan pengalaman? Dan / atau terbaik dapat

merekrut dan mempertahankan orang yang tepat?

• Kapasitas - apakah kapasitas yang ada? Apakah bisa dikembangkan?

• Kepentingan umum - apakah ada jaminan yang cukup bahwa kepentingan publik akan

dilindungi?

• Nilai untuk uang - yang akan menawarkan perdagangan terbaik antara biaya dan

manfaat?

• Manajemen - dapat diatur atau dikelola secara memadai?

• Subsidiaritas - keputusan operasional akan sering terbaik yang dibuat oleh orang-orang

terdekat untuk layanan pengiriman.

Mengintegrasikan Risiko

Dalam cara manajemen menjalankan bisnis harus mengintegrasikan resiko, memperkaya

proses itu dan membuatnya terfokus pada hal yang disinyalir berisiko. Perencanaan

pengintegrasian risiko agar dikelola dengan baik, aset dijamin, reputasi dilindungi dan

nilai pemegang saham meningkatkan aplikasi yang efektif (RM) membutuhkan:

1. Setiap fungsi manajemen merangkul tanggung jawab untuk risiko.

2. Fasilitasi dan dukungan untuk membantu manajer di fungsi masing-masing.

3. Suatu budaya yang memberikan penghargaan pengakuan, komunikasi dan

manajemen risiko.

4. Kinerja metrik untuk mengukur apakah unit bisnis mengambil risiko yang tepat untuk

mencapai tujuan yang strategis.

5. Kinerja penilaian sumber daya manusia, kompensasi dan insentif program terkait

dengan kinerja manajemen risiko.

Kategori Resiko

Setiap organisasi akan memiliki interpretasi mereka sendiri tentang jenis risiko.

Penafsiran ini akan sesuai dengan pasar, budaya dan misi organisasi yang bersangkutan.

Untuk membantu menyelaraskan proses manajemen risiko dengan sistem organisasi

dan prosedur banyak organisasi menangkap risiko secara terstruktur, melalui

seperangkat kategori yang sesuai dengan kebutuhan mereka. Kita dapat meninjau

beberapa panduan resiko perusahaan yang diterbitkan dan dipertimbangkan contohnya

setidaknya seperti berikut: risiko fisik dan operasional, risiko sumber daya manusia,

kelangsungan bisnis dan pemulihan bencana, kredit dan risiko pasar serta risiko

kepatuhan.

The Australian/New Zealand models (AS/NZ 4360:1999) identify eight categories of risk:

1. komersial dan hukum

2. ekonomi keadaan ekonomi

3. perilaku manusia

4. kejadian alam

5. keadaan politik

6. teknologi dan masalah teknis

7. kegiatan pengelolaan dan kontrol

8. aktivitas individu.

Kantor Audit Nasional Laporan, sebagai Inovasi Pendukung: Mengelola Risiko di

Departemen Pemerintah, menyebutkan risiko yang paling sering diidentifikasi yaitu:

• Risiko keuangan

• Risiko proyek

• Risiko kepatuhan

• Reputasi - risiko

• Kehilangan kesempatan

Key Developments

Ketika mempertimbangkan kategori risiko di luar bidang usaha melalui internet, kita

dapat mencatat perkembangan beberapa kunci yang termasuk risiko eksternal:

1. Tugas Pengusaha perawatan berutang tugas perawatan kepada staf mereka -

pengusaha diharapkan untuk melaksanakan penilaian risiko atas kemungkinan

karyawan mereka melakukan tindak kelalaian dan torts lain yang dilakukan

dalam rangka kerja mereka. Pada saat yang sama, karyawan berutang duty of

care kepada masyarakat umum dan pelanggan mereka. Dan Kesehatan dan

Keselamatan Kerja Peraturan 1.992 mengharuskan majikan untuk melaksanakan

penilaian risiko bagi setiap karyawan untuk mempertimbangkan risiko yang

ditimbulkan oleh tugas-tugas karyawan dan lingkungan, dengan memperhatikan

karakteristik masing-masing. Birmingham City Council membayar £ 67.000 untuk

seorang karyawan yang menderita tekanan mental karena dia terlalu banyak

bekerja dalam posisi yang ia tidak menerima pelatihan yang tepat. Pengusaha

harus mempertimbangkan kesejahteraan karyawan mereka dan risiko cedera,

baik mental maupun fisik, di tempat kerja.

2. E-commerce Tingkat kegagalan internet start-up tinggi karena banyak pemilik

tidak mengikuti praktik bisnis biasa dan mungkin terlalu diarahkan mengambil

risiko tanpa mempertimbangkan kebutuhan untuk kontrol yang sesuai.

Klasifikasi risiko akan menyesuaikan dengan lingkungan di mana organisasi

beroperasi. British Telecom telah mengembangkan pemeriksaan mereka e-risiko

menggunakan tujuh kategori yang, dalam ringkasan, meliputi:

• Software - kerugian atau korupsi.

• Fisik aset - kerugian atau kerusakan PC, server, media, dll

• Data - kehilangan atau kerusakan data internal dan pelanggan.

• Kekayaan intelektual - hilangnya hak paten, perangkat lunak, hak cipta,

pengetahuan.

• Reputasi - kerusakan reputasi dari layanan pelanggan miskin, insiden keamanan.

• Kewajiban - internet yang berhubungan, seperti pencemaran nama baik,

kewajiban kontrak.

• Peraturan - pelanggaran peraturan dan DP Act.47

3. Penipuan Penipuan dapat menimbulkan risiko utama untuk bisnis dan Audit

ICAEW dan Jaminan laporan tahunan Fakultas ketiga untuk 2000-2001

mengatakan penipuan itu adalah kejahatan semakin terkait dengan korupsi dan

pencucian uang dan dilakukan oleh penjahat terorganisir.

4. Reputasi Perusahaan-manajemen reputasi merupakan daerah tipikal berisiko

dan ini cenderung menjadi puncak dari cara organisasi telah berhasil semua

risiko lain untuk bisnisnya. Akuntansi dan Bisnis majalah melaporkan pada peran

penting bahwa manajemen reputasi memiliki keberlanjutan bisnis:

5. Manajemen risiko MIS adalah tentang memilih tindakan yang tepat berdasarkan

informasi yang baik untuk mencerminkan semua keadaan yang relevan dan

perubahan. Sistem informasi manajemen (SIM) dapat menyebabkan risiko yang

luar biasa di mana mereka tidak dapat diandalkan dan mereka benar-benar

harus berlandaskan atau didasarkan pada kerahasiaan, integritas dan

ketersediaan.

6. Mengkomunikasikan Resiko-risiko Berkomunikasi merupakan masalah besar

dalam masyarakat. Ini termasuk resiko terhadap investasi pemegang saham dan

risiko untuk masyarakat umum. Ada panggilan yang lebih besar bagi perusahaan

untuk mengungkapkan risiko lebih penuh dan sangat membantu orang

menyesuaikan risk appetite mereka dengan perusahaan bahwa mereka sedang

mempertimbangkan investasi masuk penawaran saham baru harus membuat

jelas apa yang dipertaruhkan dan mungkin, misalnya, memberikan beberapa

peringatan bahwa itu memulai berisiko tinggi, tinggi-laba usaha dan bahwa

pembaca harus menyadari realitas komersial strategi ini. Cukup sering, strategi

komunikasi berkisar pada perbedaan halus antara orang peringatan dan

menakut-nakuti orang. Untuk risiko publik, ada beberapa isu yang dapat datang

bersama-sama dan kocok sampai orang. Isu-isu ini telah telah disebut 'faktor

ketakutan' oleh Peter Bennett mana risiko terlihat untuk menyertakan fitur

berikut

3.8 Control Self-asseement

Keberhasilan suatu perusahaan tergantung pada luasnya manajemen resikodalam

proses yang terintegrasi untuk memastikan bahwa risiko dinilai dan dikelola di seluruh

organisasi dengan cara yang dinamis dan bermakna. Dalam prosenya banyak teknik

untuk mencapai semua bagian organisasi sehingga self-assessment oleh garis depan Staf

menjadi norma. Teknik penggunaan kuesioner yang diselesaikan oleh karyawan sebagai

cara untuk menilai apakah ada operasi yang beresiko dan apakah kontrol pada daerah-

daerah beresiko dilakukan dengan benar. Teknik lain adalah penggunaan wawancara

dengan manajer di unit bisnis tertentu untuk mengukur apakah wilayah berada di bawah

kontrol atau tidak.

Pendekatan lanjut adalah untuk ulasan komisi komprehensif risiko profil tinggi bagian

organisasi biasanya dengan menggunakan konsultan eksternal, yang akan melaporkan

kembali pada setiap masalah yang ditemukan.Sebuah pendekatan yang lebih populer

adalah penggunaan kontrol penilaian diri lokakarya, atau disebut pengendalian dan

resiko self-assesment (CRSA) lokakarya. Inggris CRSA Forum , mempunyai Misi :

'Berbagi, maju dan mempromosikan praktik terbaik dalam self-assessment kontrol dan

risiko dalam semua organisasi '. Forum tersebut yakin bahwa satu-satunya cara agar

manajemen risiko dapat masuk ke dalam hati dan pikiran dari organisasi adalah dengan

mengajak semua orang yang terlibat secara partisipatif. Dalam pendekatan audit

disebutkan prinsip-prinsip kunci berkaitan dengan CRSA sebagai bagian dari sistem

manajemen resiko.

Pengembangan Resiko Pengelolaan Waktu

1. General Bunga ( Bunga Umum)

Tidak ada organisasi yang belum menemukan konsep manajemen risiko,dan di

awal cenderung akan ada kantong kepentingan dalam gagasan mengenali dan

berurusan dengan risiko. Spesialis staf seperti orang kesehatan dan

keselamatan, manajer proyek, petugas asuransi, keamanan TI Staf dan keuangan

orang akan cenderung memiliki pemahaman yang baik tentang cara penilaian

risiko dapat digunakan untuk mengarahkan sumber daya secara lebih efisien,

tetapi hanya dalam konteks daerah mereka sangat spesialis kerjaOrganisasi pada

tahap satu akan berisi kantong terisolasi di mana penilaian risiko secara teratur

dilakukan oleh staf ahli, tapi hanya untuk wilayah minat mereka.

2. Gemuruh Penelitian

Sebuah organisasi mencapai dua tahap ketika orang-orang dalam beberapa

departemen mulai terlihat ke dalam topik manajemen risiko di luar peran

spesialis disebutkan pada tahap satu. Ini bunga berkembang biasanya

diprakarsai oleh staf keuangan yang mengakui bahwa penilaian risiko

mendukung cara kontrol keuangan dikembangkan ke dalam sistem

pengendalian internal yang kuat. Paling rezim regulasi baik di sektor swasta dan

publik membutuhkan pemeliharaan yang memadaisistem pengendalian

keuangan internal, dan lebih sering pelaporan, eksternal kontrol di laporan

tahunan karena dibombardir oleh rekomendasi dari auditor eksternal dan

internal, bersama dengan kecenderungan penggunaan keuangan, buku

pegangan dan prosedur keuangan / peraturan, orang-orang akuntansi

cenderung merasa nyaman dengan ide manajemen risiko dan efektif keuangan

internal kontrol. Tahap dua organisasi berisi orang yang telah mulai menarik

bersama-sama praktek terbaik panduan dan publikasi lain yang berkaitan

dengan manajemen risiko untuk keuangan dan beberapa manajer umum.

3. Penanggung Jawab

Sebuah organisasi tiba pada tahap ketiga ketika sumber dayanya siap untuk

menuju manajemen risiko yang resmi. Ini benar-benar tentang tanggung jawab

dalam organisasi yang menugaskan untuk bersama-sama mengupayakan

mengatasi risiko di wilayah operasional berbagai layanan dukungan. Sekali lagi,

disini akan ditemukan kecenderungan peran yang diberikan kepada seorang

manajer keuangan senior - karena penilaian risiko generik akan dilihat sebagai

masalah yang berhubungan dengan keuangan untuk mendukung pernyataan

pengendalian internal dalam perhitungan tahunan. Kabar baik untuk tahap tiga

entitas adalah bahwa seseorang mulai mengkoordinasikan terkait risiko kegiatan

dan mencapai beberapa jenis struktur.

4. Bunga Top Manajemen

Sebuah organisasi tiba pada tahap keempat ketika risiko dan manajemen risiko

menjadi boardroom agenda pokok. Dimana dewan memutuskan untuk

mengatur arah kebijakan dan strategi untuk cara risiko ditangani oleh manajer

dan staf mereka, proses manajemen risiko mulai untuk mengambil yang jelas

membentuk, bahkan jika ini hanya dari segi rasa arah dan komitmen. Tahap

empat organisasi melibatkan direksi dan manajer senior yang membuat

pernyataan yang jelas tentang kebutuhan untuk mengatasi risiko, dalam strategi

cara dikembangkan dan operasi cara memberikan. Sebuah kebijakan risiko

formal akan muncul sebagai bagian dari pesan-pesan kunci perusahaan yang

melanda proses top-down komunikasi.

5. Seminar Kesadaran

Pesan berongga dari atas dapat berkomunikasi konsep satu baris , tetapi tidak

sangat baik dalam memberikan perubahan dalam praktek kerja. Ini panggilan

untuk pemikiran baru dan belajar suara memproses yang membuat perbedaan.

Inisiatif perubahan besar panggilan untuk cara terstruktur untuk mendapatkan

pesan seberang dengan format hands-on yang mencapai staf kunci secara

sistematis dan terencana cara. Tahap lima organisasi akan cenderung

memberikan peristiwa kesadaran di mana orang disuruh tentang manajemen

risiko inisiatif dan bagaimana hal itu mempengaruhi mereka. Membawa

berbagai bagian dari bisnis bersama-sama dengan cara ini membentuk dasar

bagi perusahaan-lebar manajemen risiko pendekatan.

6. Infrastruktur Build

Ketika orang memahami cara manajemen risiko dapat digunakan untuk

membantu memastikan tujuan yang tercapai, organisasi dapat melangkah ke

tahap enam. Di sini, ia mulai mengembangkan proses untuk menilai risiko di

bagian penting dari bisnis dan pelaporan hasil menjadi suatu pelaporan jaminan

Mekanisme, yang akhirnya pernyataan kontrol diterbitkan internal.Dalam tahap

enam organisasi, kebijakan risiko menjadi lebih dari strategi manajemen risiko

yang mencapai ke kunci bagian dari bisnis serta layanan dukungan. Selain itu,

upaya tersebut sering diawasi oleh Komite Audit sesuai dirumuskan. Dengan

cara ini, niat menyatakan dapat berubah menjadi nyata tindakan. Salah satu

aspek kunci dari infrastruktur membangun adalah penerapan model kontrol

yang sesuai seperti COSO.

7. Latihan resiko

Hal ini hanya ketika sebuah organisasi telah melalui versi tahap satu sampai

enam yang dapat mengubah ke tahap tujuh, di mana tim, proyek, operasi dan

fungsi pendukung dapat mulai meninjau wilayah kerja mereka. Apa yang sering

disebut sebagai kontrol self-assessment atau pengendalian risiko self-

assessment lokakarya cocok pada tahap tujuh. Di sini, top-down arah pada risiko

dan tingkat tinggi diskusi di tingkat manajemen menengah dapat dipenuhi

dengan bottom-up informasi tentang negara risiko operasional dan kontrol yang

terkait.

8. Terpadu

Tahap akhir berkaitan dengan integrasi dari semua upaya risiko ke dalam cara

organisasi merencanakan strategi, menetapkan ukuran kinerja dan membuat

keputusan untuk menutup kesenjangan antara aktualkinerja dan target.Dalam

skenario ini, perlu ada bimbingan ahli dalam menyatukan berbagai helai

berbasis risiko kegiatan dan daftar risiko yang dihasilkan, rencana aksi dan

laporan ke membentuk proses jaminan pelaporan keseluruhan. Sebagian

melihat ini sebagai peran untuk CRO secara resmi ditunjuk, yang memiliki

tingkat tinggi representasi dan laporan kepada dewan. Beberapa orang akan

berpendapat bahwa CRO pos idealnya akan muncul pada tahap satu untuk

membimbing dan mengarahkan organisasi melalui sisa tahapan sebagai sistem

manajemen risiko secara efektif dibangun, diimplementasikan dan kemudian

dimasukkan ke dalam budaya tempat kerja.

Model delapan tahap diatas berguna dalam menilai mana sebuah organisasi berdiri

sebelum memulai pada peran konsultan audit, karena masukan yang dibutuhkan akan

bervariasi tergantung pada panggung organisasi saat ini duduk. Setiap tahap

membutuhkan driver yang berbeda:

Tahap satu - kepentingan umum: membangun minat dan fokus ke drive pro-

organisasi untuk mendapatkan tim spesialis yang berbeda berbicara tentang

pendekatan mereka untuk manajemen risiko.

Tahap dua - gemuruh penelitian: mengembangkan database praktek terbaik

bimbingan dan mencari tahu apa yang orang lain di sektor bisnis lakukan.

Buatlah daftar hal-hal yang akan dibahas dalam perumusan dan pelaksanaan

kebijakan risiko perusahaan.

Tahap tiga - orang yang bertanggung jawab : mendefinisikan peran dan tanggung

jawab masing-masing, khususnya juara untuk penyebab yang dapat menentukan

arah bagi organisasi.

Tahap empat - bunga manajemen puncak : mengamankan sponsor pada papan

yang dapat memastikan risiko manajemen duduk tegas pada agenda

perusahaan. Salah satu cara adalah untuk mendapatkan papan (dan audit

Komite) untuk melaksanakan penilaian mereka sendiri untuk tiba di atas mereka

sepuluh risiko untuk memulai proses.

Tahap lima - seminar kesadaran : hal ini sangat penting untuk mendapatkan

pemain kunci di seluruh organisasi bersama-sama dalam serangkaian acara

untuk memberikan pemahaman, meningkatkan buy-in dan memastikan setiap

manajer menerima bahwa mereka memiliki tanggung jawab yang jelas dan

langsung untuk mengelola risiko di daerah mereka jawab.

Tahap enam - membangun infrastruktur : banyak dari ini akan berkisar

membangun informasi yang sesuai sistem yang mengkategorikan dan

menangkap kegiatan resiko ke dalam format pelaporan jaminan formal. Itu

kegiatan risiko yang tepat harus memutuskan dan apakah kegiatan ini mencakup

seluruh organisasi atau hanya tinggi-profil daerah.

Tahap tujuh - latihan berisiko : disini organisasi akan perlu untuk melakukan

survei dan / atau difasilitasi lokakarya dengan cara yang paling sesuai dengan

struktur dan budaya bisnis.

Tahap delapan - terintegrasi : banyak dari ini akan didasarkan pada

mendefinisikan peran dankompetensi dari CRO atau setara dan memastikan

bahwa proses penilaian risiko tersebut diperbaiki dan diperbarui baik teratur

dan kapanpun perubahan profil dampak berbagai risiko.

Masalah yang dihadapi beberapa organisasi adalah bahwa mereka memulai proses

delapan tahapan tanpa jelas pemahaman dari tahap pengembangan dan target.

Akibatnya, banyak orang terjebak pada tahap awal dan menulis seluruh hal off sebagai

awal palsu. CRSA hanya benar-benar bekerja di mana organisasi memiliki tiba pada

tahap

3.9 MANAJEMEN RESIKO TERTAHAN

Puncak manajemen risiko praktik terbaik, yang banyak dicari 'manajemen risiko

tertanam '. Salah satu kriteria untuk menilai kerangka pengendalian internal

(Pemantauan pengaturan) pertanyaan berikut:

Apakah ada proses yang sedang berlangsung tertanam dalam operasi

perusahaan secara keseluruhan bisnis, dan ditangani oleh manajemen senior,

yang memantau penerapan yang efektif dari kebijakan, proses dan kegiatan

yang berkaitan dengan manajemen risiko pengendalian internal?

Sementara Strategis Risiko Departemen Keuangan panduan Manajemen mengakui

kebutuhan yang sama untuk mengintegrasikan risiko ke dalam organisasi dengan

menyarankan bahwa: "The embedding manajemen risiko pada gilirannya kritis

keberhasilannya, melainkan harus menjadi bagian intrinsik dari cara organisasi bekerja,

pada inti pendekatan manajemen, bukan sesuatu yang terpisah dari hari ke hari kegiatan

'. Standar risiko yang paling, panduan, alat bantu dan komentar mengandung frase (atau

Istilah setara) tertanam manajemen risiko. Gordon Bukit memperingatkan tentang

mencoba untuk melakukan terlalu banyak terlalu cepat : Integrasi dengan proses yang

ada adalah sama pentingnya, tetapi menyajikan tantangan yang berbeda semata-mata

karena proses akan beroperasi.

Menggunakan risk register dengan benar diprioritaskan untuk fokus pada isu-isu

terbesar adalah cara yang paling efektif penargetan usaha. Dengan cara ini organisasi

akan mencapai pengembalian tercepat dan terbesar komitmen dan akan ada di

cengkeramannya peta rute ke risiko dikelola. Dengan menambahkan beberapa faktor

yang terdiri dari tiga kotak hitam (ERM / CRSA, SIC dan Stakeholders) dan empat kotak

abu-abu (waktu, biaya, nilai-nilai, embed) kita dapat mencapai model sepenuhnya

dikembangkan efektif manajemen risiko.

Dimulai dengan kotak hitam pertama,

penambahan ini dijelaskan di bawah ini:

ERM / CRSA Sebagaimana dibahas di atas, harus ada proses yang menjamin

risiko dipahami,

diidentifikasi dan dikelola di tingkat akar rumput idealnya melalui bentuk

pengendalian risiko penilaian diri program. Sementara itu, harus ada proses

lebih lanjut untuk memastikan penilaian risiko adalah dilakukan di seluruh

bagian-bagian kunci, jika tidak semua, dari organisasi dan yang didorong dari

atas dan berjalan ke bawah, dan di seluruh tingkatan manajemen. The CRO akan

membantu mengkoordinasikan upaya-upaya ini.

Sistem manajemen risiko harus membahas konsep toleransi risiko dan membuat jelas

daerah yang cenderung menimbulkan ancaman bagi organisasi, atau masyarakat umum

di mana tepat dan sejauh mana strategi dan target kinerja cenderung penuh

tercapai.Komunikasi dengan para pemangku kepentingan dalam identifikasi dan proses

manajemen penting. Komunikasi harus mendidik masyarakat tentang risiko yang mereka

dapat terpapar pada cara-cara yang berbeda di mana risiko dapat dikelola, pada tujuan

Departemen, dalam manajemen risiko, dan dalam peran individu sendiri 'dalam

mengelola risiko, di mana keputusan diambil untuk menghindari intervensi pemerintah

legislatif. Waktu Model risiko didasarkan pada melakukan lebih banyak untuk penelitian,

menganalisis dan menangani risiko yang dampak organisasi dan memastikan ada

transparansi dan kompetensi dalam cara risiko dibahas.

Waktu Model risiko didasarkan pada melakukan lebih banyak untuk penelitian,

menganalisis dan menangani risiko yang dampak organisasi dan memastikan ada

transparansi dan kompetensi dalam cara risiko dibahas. Kuesioner dapat digunakan

sebagai awal dimana Sulit untuk membuat orang bersama-sama, dan mungkin

menggunakan membagi kelompok pada konferensi staf berikutnya daripada mencoba

untuk membuat peristiwa terpisah. Tim dan staf pertemuan dapat digunakan untuk

memulairisiko proses penilaian lagi sebagai pengakuan atas kurangnya waktu.

Pendekatan yang terbaik adalah untuk menentukan manfaat manajemen risiko dan

kemudian membuat ruang untuk melakukan latihan resiko. Dimana kita memiliki

mendapat lebih dekat untuk menanamkan risiko ke dalam proses perusahaan, itu hanya

mungkin menjadi masalah untuk memastikan dasar tugas-tugas seperti perencanaan,

penetapan target, restrukturisasi perusahaan, pengambilan keputusan kunci, kinerja

manajemen, perencanaan proyek, perancangan prosedur, usaha baru, peluang

kemitraan, baru produk dan sebagainya hanya setuju ketika penilaian formal risiko telah

dilakukan dan direkam.

Biaya Faktor ini berhubungan dengan waktu. Ini tidak membutuhkan biaya untuk

menerapkan ide-ide baru bahkan di mana kita sedang membangun ide-ide ke dalam

sistem yang ada. Keahlian eksternal mungkin diperlukan pada awal hari untuk

membentuk manajemen risiko untuk memastikan ide-ide dapat berubah dalam praktek.

Sistem informasi dapat diperbarui untuk membangun dalam faktor risiko dan

menangkap hasil dari setiap latihan yang relevan. Dimana

pendekatan CRSA diadopsi, kita akan perlu untuk buku layanan akomodasi dan

dukungan dan fasilitator yang baik dan sistem perekaman. tingkat papan dukungan

untuk manajemen risiko perlu dicocokkan dengan anggaran didelegasikan tepat,

idealnya terletak dengan CRO. Kebijakan tanpa dana didefinisikan melekat pada mereka

cenderung berakhir sebagai dokumen kertas tanpa nilai riil.

Nilai Cara terbaik untuk membangun manajemen risiko adalah untuk

menghindari ,hanya memberikan satu set peraturan dalam bentuk hal-hal yang harus

dilakukan untuk memenuhi persyaratan kebijakan.Keputusan harus diambil tanpa

bergegas kepala lebih dulu ke perairan ditandai atau menahan dan menolak semua

perubahan yang disarankan, tetapi mereka harus dilakukan setelah dilakukan

formalpenilaian risiko kunci dan dalam hubungannya dengan strategi untuk menghadapi

risiko yang tidak dapat diterima.

3.10 PERAN AUDIT INTERNAL DALAM MANAJAMEN RESIKO

IIA Atribut Standar 1220.A3 menyatakan bahwa auditor internal harus memperhatikan

risiko kunci dan bahwa: auditor internal 'harus waspada terhadap risiko signifikan yang

mungkin mempengaruhi tujuan, operasi, atau sumber daya. Namun, jaminan prosedur

saja, bahkan ketika dilakukan dengan perawatan profesional karena, lakukan tidak

menjamin bahwa semua risiko yang signifikan akan diidentifikasi. "

Kembali pada tahun 1999, Gill Bolton mengeluarkan peringatan kepada auditor internal

bahwa mereka berada dalam bahaya melawan manajemen risiko yang efektif karena

mereka:

Cenderung untuk merekomendasikan proses menolak sangat berisiko dan

prosedur.

Apakah tidak menyadari preferensi organisasi untuk mengambil resiko (juga

dikenal sebagai risk appetite atau toleransi risiko). Mereka tidak sendirian dalam

hal ini organisasi sesedikit telah didefinisikan secara tepat risiko mengambil

preferensi.

Membuat rekomendasi pada dasar yang cukup ad hoc, seringkali tanpa

mempertimbangkan organisasi dampak dari rekomendasi mereka.

Gagal untuk mendapatkan cukup dekat dengan peluang strategis dan tantangan

yang mereka organisasi bekerja dan bekerja menuju.

Tambahkan beban administrasi pada saat kecepatan dan fleksibilitas sangat

penting.

Jangan terlibat aktif dalam program utama perubahan organisasi.

Sebagai kesimpulan audit internal harus bekerja sama dengan semua manajemen risiko

lainnya dan pemantauan fungsi dalam organisasi mereka untuk membantu mencapai

total risiko selaras dan efisien manajemen. Hal ini jelas bahwa drive cepat menuju

manajemen risiko muncul sebagian karena kode resep, sebagian dipicu oleh skandal

lintas sektor dan organisasi dan juga karena bisnis yang sukses dipahami dan ditangani

risiko utama mereka. Gerakan ini terhadap risiko merangkul seharusnya tidak ada Cara

terhalang oleh auditor internal. The IIA Handbook Seri Pelaksanaan Profesional Praktek

Framework (hal. 92) menyatakan bahwa: "Gagasan bahwa risiko harus baik memeluk

dan dihilangkan oleh organisasi bertentangan dengan pemikiran tradisional audit

internal. Dalam audit internal terakhir praktisi sering dicari hanya untuk menghilangkan

risiko”. Standar Kinerja 2.120 menjelaskan bahwa : Kegiatan audit internal harus

mengevaluasi efektivitas dan berkontribusi terhadap peningkatan risiko proses

manajemen.Interpretasi:Menentukan apakah risiko proses manajemen yang

efektifadalah penilaian yang dihasilkan dari penilaian auditor internal bahwa :

tujuan organisasi mendukung dan sejalan dengan misi organisasi;

risiko yang signifikan diidentifikasi dan dinilai

tanggapan risiko yang tepat dipilih yang menyelaraskan risiko dengan risk

appetite organisasi;

informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu

di seluruh organisasi, staf memungkinkan, manajemen, dan dewan untuk

melaksanakan tanggung jawab mereka. Risiko proses manajemen dimonitor

melalui kegiatan manajemen yang sedang berlangsung, terpisahevaluasi, atau

keduanya.

2120.A1 - Kegiatan audit internal harus mengevaluasi eksposur risiko yang berkaitan

dengan organisasipemerintahan, operasi, dan sistem informasi mengenai :

Keandalan dan integritas informasi keuangan dan operasional.

Efektivitas dan efisiensi operasi.

Pengamanan aset, dan

Kepatuhan terhadap hukum, peraturan, dan kontrak.

Auditor internal 'keterlibatan dalam menilai risiko atau mengidentifikasi kontrol

termasuk:

Fasilitator memungkinkan dan membimbing manajer dan staf melalui proses.

Anggota tim yang merupakan bagian dari kelompok berbasis luas.

Risiko dan kontrol analis memberikan manajer dengan saran ahli. .

Membuktikan alat dan teknik yang digunakan oleh audit internal untuk

menganalisis risiko dan kontrol.

Menjadi pusat keahlian untuk mengelola risiko.

Beberapa berpendapat bahwa audit internal perlu reposisi sendiri di jantung dimensi

risiko dan drive melalui perubahan yang diperlukan. Dalam penelitian terbaru didanai

oleh IIA.Inc. berjudul Enterprise Risk Management (ERM): Tren dan Emerging, Tim Lintah

meminta profesi untuk mendapatkan untuk mengatasi dengan ERM dan telah

mempertanyakan apakah audit internal departemen akan membantu atau menghalangi

gerakan ERM.

Praktek Penasehat 2.120-1 on Menilai Kecukupan Proses Manajemen Risiko

memberikan interpretasi Standar 2120 (kegiatan audit internal harus mengevaluasi

efektivitas dan berkontribusi terhadap peningkatan manajemen risiko proses).

Menentukan apakah risiko proses manajemen yang efektif adalah penilaian yang

dihasilkan dari penilaian auditor internal bahwa:

tujuan organisasi mendukung dan sejalan dengan misi organisasi.

risiko yang signifikan diidentifikasi dan dinilai.

tanggapan risiko yang tepat dipilih yang menyelaraskan risiko dengan risk

appetite organisasi.

informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu

di seluruh organisasi,

memungkinkan staf, manajemen, dan dewan direksi untuk melaksanakan

tanggung jawab mereka.

Manajemen risiko proses dimonitor melalui kegiatan manajemen yang sedang

berlangsung, terpisah evaluasi, atau keduanya.

Manajemen risiko merupakan tanggung jawab utama dari manajemen senior

dan papan. Untuk mencapai nya tujuan bisnis, manajemen memastikan bahwa

suara risiko manajemen proses berada di tempat dan berfungsi. Papan memiliki

peran pengawasan untuk menentukan bahwa manajemen risiko yang sesua

proses berada di tempat dan bahwa proses ini memadai dan efektif. Dalam

peran ini, mereka dapat mengarahkan kegiatan audit internal untuk membantu

mereka dengan memeriksa, mengevaluasi, melaporkandan / atau

merekomendasikan perbaikan kecukupan dan efektivitas manajemen yang

Risiko proses.

Manajemen dan dewan bertanggung jawab atas manajemen risiko-organisasi

mereka dan kontrol proses. Namun, auditor internal bertindak dalam peran

konsultan dapat membantu organisasi dalam mengidentifikasi, mengevaluasi,

dan menerapkan manajemen risiko dan metodologi kontrol untuk mengatasi

risiko tersebut.

Dalam situasi di mana organisasi tidak memiliki formal yang risiko manajemen

proses,

CAE secara resmi membahas dengan manajemen dan dewan kewajiban mereka

untuk memahami, mengelola dan memantau risiko dalam organisasi dan

kebutuhan untuk memuaskan diri sendiri bahwa ada adalah proses operasi

dalam organisasi, bahkan jika informal, yang menyediakan sesuai

tingkat visibilitas ke dalam risiko kunci dan bagaimana mereka dikelola dan

dipantau.

Pemahaman manajemen senior dan harapan dewan dari audit internal

aktivitas dalam manajemen risiko proses organisasi. Pemahaman ini kemudian

dikodifikasikan dalam piagam dari kegiatan audit internal dan papan. Tanggung

jawab audit internal adalah untuk dikoordinasikan antara semua kelompok dan

individu dalam manajemen risiko-organisasi proses. Kegiatan audit internal peran

dalam proses manajemen risiko organisasi dapat berubah dari waktu ke waktu dan

dapat mencakup :

Peran No.

Audit proses manajemen risiko sebagai bagian dari rencana audit internal.

Aktif, dukungan dan keterlibatan dalam proses manajemen risiko seperti

partisipasi pada komite pengawasan, kegiatan pemantauan, dan pelaporan

status.

Mengelola dan mengkoordinasi proses manajemen risiko.

Pada akhirnya, itu adalah peran manajemen senior dan papan untuk

menentukan peran internal audit dalam proses manajemen risiko.

Pandangan mereka tentang peran audit internal adalah mungkin ditentukan oleh

faktor-faktor seperti budaya kemampuan, organisasi audit internal

staf dan kondisi lokal dan adat istiadat negara. Namun, mengambil ini manajemen

Tanggung jawab mengenai proses manajemen risiko dan ancaman potensial

terhadap internal independensi kegiatan pemeriksaan ini membutuhkan persetujuan

diskusi dan full board.

Audit harus menentukan efektivitas self-assessment manajemen proses melalui

observasi, tes langsung kontrol dan prosedur pemantauan, pengujian kecukupan

informasi digunakan dalam kegiatan monitoring dan teknik lain yang sesuai.

Gregg R. Maynard telah memberikan singkat daftar cara bahwa audit internal dapat

merespon agenda risiko:

1. Menggabungkan analisis obyektif dan subyektif dari alam semesta audit untuk

mengungkapkan prioritas audit. Menjauh dari siklus audit - ukuran kuantitatif

yang kemudian kualitatif bahwa perubahan sebagai perubahan situasi.

2. Menganalisis kemampuan manajemen untuk mencapai sasarannya dan tujuan

dalam pra-audit narasi. Manajemen penilaian risiko dan toleransi.

3. Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah.

Jelajahi nada pada top - standar etika, perencanaan strategis, manajemen

informasi dan manajemen risiko.

4. Menganalisis proses untuk menetapkan dan mengawasi limit risiko. Ambang

batas dan mengatur dan keuangan dan operasional target.

5. Meninjau fungsi manajemen risiko lain, seperti treasury, kepatuhan, dan

akuntansi kontrol. Basis ketergantungan pada penilaian dan juga mendapatkan

gambaran besar pada eksposur risiko.

6. Mengamati proses perencanaan strategis dan hasilnya. Lihat untuk mengaudit

masa depan dan perubahan risiko tetapi tidak dalam pengambilan keputusan

kapasitas.

7. Mengevaluasi inisiatif strategis. Misalnya aliansi strategis dan proyek-proyek

baru.

8. Mengintegrasikan kegiatan audit. Misalnya IT audit dan pemeriksaan garis

depan.

9. Mendasarkan proses audit atas efek bersih dari eksposur risiko dan kontrol

kompensasi. Audit rekomendasi harus didasarkan pada persamaan ini - risiko

kontrol kurang. Kemudian menentukan tingkat pengujian substantif yang

diperlukan untuk mengkonfirmasi posisi.

10. Bermitra dengan manajemen dengan menyediakan jasa konsultasi dan nilai

tambah informasi.

11. Meninjau etika sebagai unsur dasar pengendalian internal.

12. Melakukan audit komprehensif dari manajemen risiko keseluruhan program.

MENGELOLA RISIKO 225 2110 – Pemerintahan Kegiatan audit internal harus menilai dan

membuat rekomendasi yang sesuai untuk meningkatkan governance proses

pencapaiannya tujuan berikut:

Mempromosikan etika dan nilai-nilai yang tepat dalam organisasi;

Memastikan manajemen kinerja yang efektif dan akuntabilitas organisasi;

Mengkomunikasikan informasi risiko dan kontrol ke daerah-daerah sesuai

organisasi, dan

Koordinasi kegiatan dan mengkomunikasikan informasi di antara papan,

eksternal dan auditor internal, dan manajemen.

2110.A1 - Kegiatan audit internal harus mengevaluasi desain, implementasi, dan

efektivitas etika yang berhubungan dengan organisasi sasaran, program, dan kegiatan.

2110.A2 - Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi

organisasi menopang dan mendukung strategi dan tujuan organisasi.

2110.C1 - tujuan keterlibatan Consulting harus konsisten dengan nilai-nilai keseluruhan

dan tujuan organisasi.

The Treasury (Manajemen Risiko Strategis) telah bergema pedoman IIA pada

keterlibatan proaktif dari auditor internal dan panduan untuk manajemen risiko

menunjukkan bahwa : Audit internal dapat digunakan oleh manajemen sebagai

konsultan internal ahli untuk membantu dengan pengembangan proses RM strategis

bagi organisasi. Namun penting untuk dicatat bahwa fungsi audit internal adalah untuk

memberikan jaminan independen tentang cara di mana itu adalah dikontrol, ini bukan

sebuah pengganti untuk kepemilikan manajemen risiko juga tidak ada atau kegiatan

audit internal pengganti untuk sistem tertanam tinjauan dilakukan oleh berbagai staf

yang memiliki tanggung jawab eksekutif untuk pencapaian objectives.

Dua titik kunci yang perlu dibuat :

1. Pertama, ulasan lebih dapat diandalkan di mana resensi tidak memihak.

2. Nilai tambah berarti memberikan kontribusi keahlian khusus untuk

mempromosikan keberhasilan perusahaan.

Ketika sebuah organisasi perlu mendapatkan sistem manajemen risiko dan berjalan, dan

terlihat auditor untuk pengaturan bantuan up, sulit bagi auditor yang sama untuk

kemudian memberikan jaminan obyektif tentang sistem yang sama. Mula-mula

pandangan, dua konsep yang tidak kompatibel. Namun demikian, berbagai cara yang ini

jelas inkonsistensi dapat dikelola. Model yang kita gunakan memiliki tujuh pendekatan:

1. Pendekatan standar audit tinjauan diadopsi. Di sini, tim audit internal

memonitor cara bisnis manajemen risiko sistematis ditetapkan dan

dilaksanakan, dan kemudian melanjutkan dengan meninjau apakah itu dapat

diandalkan, kuat dan memenuhi kebutuhan organisasi. Pada gilirannya, internal

audit dapat memberikan jaminan independen untuk papan pada keadaan

manajemen risiko.

2. Hal ini mirip dengan pendekatan satu, dengan penambahan saran ad hoc dan

bimbingan yang diberikan berdasarkan permintaan. Audit internal dapat

membuat presentasi ke papan dan muncul untuk pertemuan atau lokakarya di

mana manajemen risiko sedang dibahas dan diputuskan pada, dan membuat

kontribusi seperti yang diperlukan.

3. Pendekatan ketiga mengambil hal-hal langkah lebih lanjut dan auditor internal

mulai terlibat dalam meningkatkan kesadaran. Fitur utama di sini adalah bahwa

audit internal akan memimpin berbagai seminar dan peristiwa yang

mempromosikan tata kelola perusahaan, manajemen risiko dan pengendalian.

4. Tingkat berikutnya adalah di mana audit internal memfasilitasi lokakarya CSA

dan mengambil pesan resiko ke akar rumput di seluruh organisasi. Auditor

tulang di keterampilan fasilitasi dan pekerjaan utama tim, tim proyek atau

proses berbasis kelompok kerja dan membantu tim mempersiapkan risiko yang

sesuai register untuk mencerminkan risiko prioritas dan rencana aksi.

5. Tingkat lima berjalan sepanjang jalan. Berikut audit internal mengkompilasi

database risikoperusahaan dari semua yang berbasis risiko kegiatan yang terjadi

dalam organisasi. Audit akan terus mengembangkan sistem pelaporan yang

menyediakan laporan agregat dan terpilah pada tingkat yang tepat dalam

organisasi. Peran diasumsikan adalah mirip dengan yang dari organisasi yang

disebut itu CRO.

6. Pendekatan enam tingkat didasarkan pada membangun dua untai terpisah

untuk audit internal layanan. Yang pertama berfokus pada jaminan utama dan

peran review, meskipun hal ini sekarang mungkin menjadi berbasis risiko,

berkonsentrasi pada risiko operasional yang telah diidentifikasi. Yang kedua

melakukan peran konsultan dalam memfasilitasi kegiatan CRSA.

7. Pendekatan terakhir adalah untuk memainkan peran penuh dalam memulai dan

mengembangkan manajemen risiko sistematis di seluruh organisasi untuk

mendapatkan proses yang terjadi. Kemudian, setelah membantu mendirikan

proses, audit internal bergerak menjauh dari layanan konsultasi dan kembali ke

peran jaminan utama. Dicara ini, tanggung jawab penuh untuk membuat

manajemen risiko kerja diberikan kembali ke garis.

Strategi dasar di atas dapat digunakan sebagai platform agar sesuai dengan jasa audit

internal ke pengembangan manajemen risiko di seluruh organisasi.

Peran Internal audit dalam mengkaji manajemen risiko telah diakui dalam standar

Inggris pada risiko manajemen. Jika organisasi memiliki fungsi audit internal, ini mungkin

bertanggung jawab untuk menyediakan senior manajemen dengan jaminan secara

independen terhadap:

Proses manajemen risiko, baik desain mereka dan seberapa baik mereka

bekerja;

Manajemen risiko utama, termasuk efektivitas pengendalian dan tanggapan lain

untuk tersebut, dan

penilaian Handal dan sesuai risiko dan pelaporan risiko dan status kontrol.

Risiko organisasi dan fungsi audit internal dapat beroperasi secara independen.

Mereka harus berbagi informasi dan mengkoordinasikan kegiatan mereka.

Informasi yang bersama dapat mencakup :

o rencana tahunan Setiap fungsi ini kegiatan;

o Metode mengelola risiko secara efektif;

o Kunci risiko;

o masalah pengendalian kunci;

o Output dari kegiatan proses manajemen risiko dan audit, dan

o Pelaporan dan manajemen information.

AUDIT PROGRAM ERM

Pemikul tanggung jawab dalam program ERM adalah dewan direksi dan eksekutif level

C. Mereka memutuskan apa risiko, apa tingkat risiko yang akan mereka mentolerir, dan

apa risiko yang mereka tidak mau mentolerir. Mereka bertanggung jawab untuk

memantau dan menanggapi output ERM dan memperoleh jaminan bahwa risiko

organisasi yang diterima dikelola dalam batas-batas yang ditentukan. Internal auditor ,

baik dalam jaminan mereka dan peran konsultasi berkontribusi dalam ERM dalam

berbagai hal. Mereka menghabiskan sebagian besar waktu mereka menilai seberapa

efektif manajemen memiliki menanggapi risiko kunci dengan mengembangkan operasi

yang memadai dan struktur kontrol. Pada dasarnya, tim audit memberikan dewan dan

manajemen dengan tujuan penilaian upaya ERM perusahaan, termasuk di mana

perusahaan dapat meningkatkan.

Menurut Komite Organisasi Sponsoring, ERM adalah'' sebuah proses, dilakukan oleh

dewan entitas direksi, manajemen, dan personil lainnya, diterapkan dalam pengaturan

strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian

potensial yang dapat mempengaruhi entitas, mengelola risiko berada dalam risk

appetite, dan untuk menyediakan keyakinan memadai tentang pencapaian tujuan

entitas.'' Perhatikan melihat proses - yaitu, manajemen risiko lebih dari sistem

manajemen risiko. Dari perspektif pemeriksaan identifikasi internal, risiko kunci yang

tidak memadai untuk organisasi dapat meningkatkan kemungkinan peristiwa buruk

terjadi. Identifikasi yang tidak benar dapat mengakibatkan pemborosan sumber daya.

Pada bidang risiko rendah dengan imbalan sedikit sebaliknya, dapat meninggalkan

perusahaan lebih terbuka terhadap peristiwa negatif.

Audit ERM harus menentukan resiko apakah yang signifikan bagi organisasi yang tepat

diidentifikasi dan dinilai secara berkelanjutan. Hal ini juga harus mengkonfirmasikan

bahwa risiko dimonitor untuk kemungkinan perubahan, bahwa risiko-teknik manajemen

(Asuransi, hedging, dan sejenisnya) berada di tempat, dan manajemen yang memiliki

kemampuan untuk mengenali dan merespon risiko baru yang muncul. Masalah lebih

lanjut yang layak dipertimbangkan dalam audit ERM meliputi:

Apakah manajemen risiko organisasi usahanya sesuai dengan kebutuhannya? Ini

termasuk pengakuan dari manajemen, dan respons terhadap, kewajiban yang

muncul dan peluang di bidang manajemen risiko dan tata kelola perusahaan.

Apakah program manajemen risiko yang efektif telah dikembangkan dan

diimplementasikan? Apakah akuntabilitas mapan dan diakui oleh orang-orang

yang akan bertanggung jawab?

Apakah manajemen dan audit menyepakati definisi program?

Apakah sistem yang ada sesuai kebijakan, prosedur, dan pedoman yang

berkaitan dengan

ERM, didukung oleh kesadaran yang sesuai, pelatihan, dan kepatuhan kegiatan?

Apakah organisasi memeluk filosofi manajemen risiko? Apakah eksekutif

manajemen dipandang sebagai pendukung kuat, dan merupakan pertimbangan

resiko suatu terpisahkan bagian dari hari-hari keputusan bisnis?

Bagaimana manajemen resiko dapat membuat berhasil suatu usaha? Ini adalah

pertanyaan sulit untuk menjawab mengingat ketidakpastian yang melekat pada

risiko, tapi review retrospektif, organisasi identifikasi dan respon terhadap risiko,

termasuk kejadian-kejadian yang menunjukkan kontrol yang tidak memadai,

harus diungkapkan.

Apakah kita perlu meningkatkan pemahaman risiko utama dan apa lagi yang

perlu harus dilakukan? Sudahkah kita melakukan segala sesuatu yang diperlukan

untuk mendapatkan pegangan pada tingkat perusahaan beresiko?

The Institute of Internal Auditors mengusulkan bahwa manajemen risiko kegiatan dibagi

menjadi tiga kelompok :

1. Auditor internal memberikan jaminan.

2. Meliputi kegiatan eksklusif berhubungan dengan keputusan manajemen,

seperti memilih risk appetite dan tanggapan risiko.

3. Kegiatan manajemen risiko yang mungkin dilakukan oleh audit internal bila ada

pengamanan di tempat.

Tujuan dari manajemen risiko tidak untuk mengurangi ketidakpastian. Hal ini,

sebaliknya, untuk membantu organisasi membuat keputusan yang lebih baik dan untuk

merespon lebih cerdas ketika yang tak terduga pasti terjadi. Manajemen risiko perlu

diintegrasikan ke dalam organisasi , seluruh operasi dari pengawasan dewan untuk

perencanaan strategis manajemen senior dan kepemimpinan untuk mengontrol

operasional manajemen setiap hari.

PENGEMBANGAN BARU MANAJEMEN RESIKO

Dalam hal manajemen risiko, tinjauan Walker (review tata kelola perusahaan di bank

Inggris dan entitas industri keuangan lainnya, 16 Juli 2009) melakukan observasi besar

dengan beberapa saran yang dapat diringkas sebagai berikut :

Tinjauan untuk perbedaan antara tanggung jawab dewan dalam manajemen

dan Pengendalian resiko dan pengambilan mengambil sehubungan dengan risk

appetite dan toleransi.

Tanggung jawab komite audit yang disorot dalam hal pengawasan dan

pelaporkan ke dewan pada rekening keuangan dan penerapan akuntansi yang

sesuai kebijakan, pengendalian internal, kepatuhan dan hal-hal lainnya.

Walker mencatat overload potensial atau aktual dari komite audit dan

kebutuhan erat terkait tetapi kemampuan terpisah untuk fokus pada risiko

dalam strategi masa depan dan menyimpulkan bahwa praktek terbaik dalam

sebuah perusahaan jaminan bank atau hidup untuk pembentukan risiko papan

terpisah dari komite komite audit.

Di samping jaminan praktik terbaik dalam pengelolaan dan pengendalian dikenal

dan resiko terukur cukup, prioritas utama didefinisikan untuk proses

pemerintahan secara keseluruhan board resiko untuk memberikan fokus yang

jelas, eksplisit dan didedikasikan untuk aspek saat ini dan ke depan risiko

eksposur, yang mungkin memerlukan penilaian kerentanan kompleks entitas

untuk sampai sekarang diketahui risiko.

Salah satu rekomendasi utama adalah bahwa dewan bank harus membentuk

risiko papan panitia secara terpisah dari komite audit dengan tanggung jawab

untuk pengawasan dan saran ke papan atas eksposur risiko saat ini entitas dan

strategi risiko masa depan. Dewan Komite risiko harus, seperti komite audit,

komite menjadi papan dan harus dipimpin oleh seorang NED dengan mayoritas

non-eksekutif anggota, namun tambahan dengan direktur keuangan (FD)

sebagai anggota atau yang hadir dan dengan CRO yang selalu hadir. Komite

Risiko akan menyarankan papan risk appetite dan toleransi untuk strategi masa

depan, memperhitungkan tingkat keseluruhan dewan penghindaran risiko,

situasi keuangan saat ini entitas dan - gambar pada penilaian oleh komite audit -

kapasitasnya untuk mengelola dan mengendalikan risiko dalam strategi

disepakati.

Satu saran lebih lanjut adalah bahwa dalam mendukung tingkat tata kelola

risiko, dewan bank harus dilayani oleh CRO yang harus berpartisipasi dalam

manajemen risiko dan pengawasan Proses pada tingkat tertinggi, yang

mencakup semua risiko di seluruh organisasi, pada perusahaan-luas

dasar, dan harus memiliki status kemerdekaan total dari unit bisnis individu.Hal

diatas juga mungkin memiliki implikasi yang besar untuk audit internal sebagai

CRO mengasumsikan banyak lebih tinggi statusnya di banyak perusahaan, dan di

samping kemandirian meningkat dan mengirimkan untuk melaporkan kepada

komite risiko yang kuat, CRO mungkin berakhir dengan status lebih tinggi dari

CAE.

MENGELOLA RESIKO

Prinsip-prinsip utama pendukung laporan papan risiko komite yang harus dimasukkan

dalam laporan tahunan dan rekening menurut Walker, sebagai berikut :

Fokus Strategis - laporan harus berusaha untuk menempatkan strategi

perusahaan setuju menjadi risiko konteks manajemen, hal ini harus mencakup

informasi tentang risiko yang melekat dimana Strategi mengekspos perusahaan.

Forward Looking - laporan harus memberikan informasi kepada pembaca yang

menunjukkan dampak dari potensi risiko yang dihadapi bisnis - itu harus jelas

misalnya apakah perusahaan akan material terkena penurunan harga properti

misalnya. Jika perusahaan melakukan stress testing, laporan harus

mengungkapkan informasi tingkat tinggi pada program stress testing. Hal ini

harus mencakup sifat tekanan, tekanan yang paling signifikan dan bagaimana

signifikansi telah berubah selama periode pelaporan.

Praktek Manajemen Risiko - laporan harus memberikan deskripsi singkat

tentang bagaimana risiko berhasil dalam bisnis, idealnya menggunakan contoh

risiko material yang muncul di sebelumnya periode pelaporan. Secara khusus ini

harus fokus pada peran Komite dalam manajemen risiko itu. Selain itu laporan

harus memberikan pernyataan singkat pada jumlah pertemuan dalam periode

pelaporan, catatan kehadiran dan apakah ada orang menilainya diambil.

Laporan tersebut harus mencakup tanggung jawab utama dari komite risiko

papan dan apakah ini telah berubah dalam periode pelaporan. Akhirnya laporan

singkat harus mencatat kunci daerah bahwa komite telah dipertimbangkan

dalam pelaporan period.

Standar Inggris pada manajemen risiko telah membentuk prinsip-prinsip penting yang

mencakup

organisasi keseluruhan pendekatan:

i. Manajemen risiko harus disesuaikan -Organisasi harus memiliki pendekatan

manajemen risiko yang proporsional dan diskala untuk mengatasi konteksnya.

ii. Manajemen risiko harus mempertimbangkan budaya organisasi, manusia faktor

dan perilaku Risiko organisasi proses manajemen harus mempertimbangkan

kemampuan, persepsi dan niat dari orang-orang di organisasi dan pemangku

kepentingan terkait lainnya yang mungkin memfasilitasi atau menghambat

pencapaian tujuan organisasi.

iii. Manajemen risiko harus sistematis dan terstruktur Pendekatan manajemen

risiko harus diterapkan secara konsisten dalam organisasi. ini membantu

memastikan bahwa output dari proses manajemen risiko yang baik dapat

diandalkan dan sebanding, dan memberikan manajer kepercayaan diri

meningkat untuk membuat keputusan yang efektif.

iv. Manajemen risiko harus beroperasi di bawah bahasa yang umum Organisasi

harus menerapkan bahasa yang sama ketika mengidentifikasi, menilai dan

menanggapi risiko, dan mempertahankan kerangka kerja manajemen risiko.

v. Manajemen risiko harus didasarkan pada informasi terbaik yang tersedia,

masukan untuk proses manajemen risiko harus didasarkan pada informasi dari

sumber yang relevan , seperti pengalaman yang dilaporkan, subjek

pengetahuan, penilaian ahli dan diproyeksikan perkiraan. Manajer harus

menyadari ada pembatasan terhadap data atau perbedaan pendapat di antara

para ahli.

vi. Manajemen risiko eksplisit harus mengatasi ketidakpastian

Organisasi harus menggunakan manajemen risiko untuk membantu

memperjelas sifat ketidakpastian, bagaimana ini dapat mempengaruhi

keputusan dan bagaimana mungkin akan diobati.

vii. Manajemen risiko harus menjadi bagian dari pengambilan keputusan

Manajemen risiko harus mendukung keputusan keputusan dengan membantu

untuk memahami risiko, ini membantu organisasi dalam membuat keputusan

mengenai risk appetite dan kemampuan untuk mengelola risiko secara efektif.

viii. Manajemen risiko harus melindungi semua nilai Manajemen risiko harus

memberikan kontribusi pada pencapaian tujuan dan memaksimalkan manfaat

melalui integrasi dengan proses manajemen, dengan mempertimbangkan

legislatif, peraturan dan kepatuhan persyaratan.

ix. Manajemen risiko harus transparan dan inklusif Manajer organisasi harus

memastikan bahwa semua stakeholder diidentifikasi, informasi dan tepat

terlibat dalam identifikasi risiko, penilaian dan respon.

x. Manajemen risiko harus dinamis, berulang dan responsif untuk mengubah

Organisasi hendaknya memastikan manajemen risiko yang terus

mengidentifikasi dan merespon perubahan yang mempengaruhi lingkungan

operasi (konteks).

xi. Ulasan prinsip Cara di mana prinsip-prinsip manajemen risiko yang diterapkan

harus tunduk biasa meninjau untuk mencerminkan perubahan dalam sifat

organisasi dan context.

Ringkasan dan Kesimpulan

Manajemen risiko tidak benar-benar sebuah trend manajemen. Ini menyediakan

platform untuk tata kelola perusahaan dengan memberikan kenyamanan kepada

pemegang saham dan pemangku kepentingan lainnya bahwa risiko terhadap investasi

mereka (atau jasa) yang dipahami oleh wakil-wakil mereka, papan dan sistematis

ditangani oleh manajemen. Manajemen risiko yang benar adalah tentang mengubah

budaya organisasi untuk mendapatkan orang untuk memeluk tanggung jawab mereka

mengetahui bahwa alat ini akan membantu mereka mendapatkan sekitar masalah

dan menggerakkan bisnis ke depan dengan cara yang dipertimbangkan.

Mendorong auditor internal ke dalam peran konsultan di tingkat dewan merupakan

langkah besar yang mengambil besar kesepakatan keberanian, dan pencabutan

selubung independensi audit untuk membuat risiko kerja manajemen benar. Semua

sama, manajemen risiko tidak berarti kesempurnaan, dan empati dengan orang yang

bekerja untuk sebuah organisasi berarti pemahaman sering lebih baik daripada

menyalahkan untuk setiap nyata kemajuan harus dibuat.

Pengembangan manajemen risiko memiliki kekuatan pendorong yang tidak

menunjukkan tanda-tanda melambat. Dihal respon dari pemerintah untuk seluruh

konsep risiko mengidentifikasi, mengelola risiko dan memberitahu publik tentang

implikasi, masalah ini telah kembali profil tinggi. Pemerintah (Kantor Kabinet - Satuan

Strategi) Laporan Risiko: Meningkatkan Kemampuan Pemerintah untuk Menangani

Risiko dan Ketidakpastian (Nov 2002) berisi enam luas rekomendasi :

1. Penanganan risiko harus kuat tertanam dalam pembuatan kebijakan

perencanaan pemerintah, dan pengiriman.

2. Kemampuan pemerintah untuk menangani risiko strategis harus

ditingkatkan.

3. Penanganan risiko harus didukung oleh praktek yang baik, pembinaan

dan pengembangan keterampilan.

4. Departemen dan lembaga harus membuat mendapatkan dan

mempertahankan kepercayaan publik prioritas ketika berurusan dengan

risiko kepada publik.

5. Menteri dan pejabat senior harus memimpin yang jelas dalam

meningkatkan penanganan risiko.

6. Kualitas manajemen risiko pemerintah harus ditingkatkan melalui dua

tahun program perubahan, terkait dengan jadwal Pengeluaran Review,

dan jelas diatur dalam konteks dari sektor publik reform.