TUGAS AUDIT INTERNAL

Risk Management:COSO ERM & Risk Assesment

Kelompok :Dimas Mochamad Fadilah - 1306484305Febriawan Indra Wijanarko - 1306484412Ivan Julio - 1306484633

Fakultas EkonomiUniversitas IndonesiaDepok2015Manajemen Risiko: COSO ERMSetiap perusahaan harus dapat mengidentifikasi setiap risiko yang mungkin mereka hadapi kemudian mengelola risiko-risiko tersebut sampai pada tingkatan yang wajar atau dapat dikendalikan. Pemahaman mengenai risiko ini merupakan komponen utama dalam mematuhi Sarbanes-Oxley (SOX), yang diatur dalam Auditing Standards No.5.Setiap manajer pada satuan kerja, baik operasional maupun non-operasional, adalah manajer risiko. Sebagaimana teori manajemen menjelaskan bahwa unsur inti manajemen adalah planning, doing, dan controlling, maka sebagai pemilik dari risiko yang timbul dari kegiatannya (planning dan doing), manajer risiko haruslah berfungsi sebagai pengendali (controlling) dari risiko tersebut.Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri. Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu risiko.Mengapa manajemen risiko itu penting? Sikap orang ketika menghadapi suatu risiko berbeda-beda. Ada orang yang berusaha untuk menghindari risiko, namun ada juga yang sebaliknya, sangat senang menghadapi risiko sementara yang lain mungkin tidak terpengaruh dengan adanya risiko. Pemahaman atas sikap orang terhadap risiko ini dapat membantu untuk mengerti betapa risiko itu penting untuk ditangani dengan baik.Bab ini memperkenalkan kerangka ERM COSO dan unsur-unsurnya, namun penekanannya adalah pada mengapa COSO ERM bisa menjadi alat audit internal penting untuk lebih memahami dan mengevaluasi risiko sekitarnya pengendalian internal di semua tingkat. Dijelaskan mengenai unsur-unsur utama dari kerangka COSO ERM dan melihat bagaimana auditor internal yang lebih baik dapat membangun COSO ERM ke dalam proses audit serta langkah-langkah untuk mengaudit efektivitas proses manajemen risiko suatu perusahaan.

6.1 Risk Management FundamentalSetiap perusahaan ada untuk memberikan nilai kepada pemegang sahamnya, tapi nilai tersebut dapat terkikis melalui kejadian yang tidak terduga pada berbagai level dan aktivitas di perusahaan, kejadian tersebut berkisar dari kegiatan operasional sehari-hari sampai pembentukan strategi untuk masa depan. Semua aktivitas tersebut tidak terlepas dari risiko atau ketidakpastian, misalnya risiko yang muncul karena adanya competitor baru atau kerusakan yang disebabkan oleh cuaca buruk atau bencana. Risiko tersebut dapat menghilangkan kesempatan dan tujuan perusahaan. Manajemen risiko adalah konsep dimana individu atau perusahaan menggunakan mekanisme insurance untuk menyediakan proteksi dari risiko-risiko yang ada. Berikut ini terdapat beberapa langkah dalam proses manajemen risiko yang efektif, antara lain : 1. Risk IdentificationManajemen harus berusaha keras untuk mengindentifikasi semua kemungkinan risiko yang mungkin dapat mempengaruhi perusahaan, diklasifikasikan mulai dari risiko yang paling signifikan ke risiko yang paling kecil. Salah satu cara untuk memulai indentifikasi risiko adalah dengan mengidentifikasi risiko dimulai dari level top manajemen tingkat korporasi maupun unit operasi. Perusahaan multinasional mempunyai unit yang kompleks. Setiap unit mungkin berada di lokasi yang berbeda dan masing-masing unit mempunyai departemennya sendiri. Agar berjalan efektif, proses indentifikasi risiko tidak hanya sekedar mengirim e-mail kepada masing-masing unit karena hasilnya akan tidak konsisten dan tidak mempunyai pendekatan yang umum. Cara yang paling benar adalah mengindentifikasi risiko dimulai dari yang paling umum ke paling khusus dimulai dari tingkat korporasi. Kemudian merupakan tugas masing-masing unit untuk membuat detail dari risiko yang masing-masing mereka hadapi.Jenis Risiko Perusahaan2. Key Risk AssessmentsSetelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya adalah menilai kemungkinan terjadinya dan signifikansi risiko tersebut. Berbagai pendekatan yang dapat digunakan di sini, mulai dari analisis pendekatan kualitatif hingga analisis pendekatan kuantitatif. Hal ini dapat membantu untuk memutuskan, mana dari serangkaian risiko yang paling berpotensi terhadap peristiwa yang paling menghawatirkan manajemen. Manajer bertanggung jawab terhadap penilaian risiko dengan menggunakan pendekatan kuesioner, seperti:a) Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Menggunakan skor dari 1 sampai 9, jika : Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode berjalan. Skor 9 maka pasti akan ada yang terjadi selama periode berjalan. Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan antar kedua b) Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan biaya laba bersih per saham harus memenuhi syarat untuk nilai maksimal 9.3. Quantitative Risk Analysis1) Risk planningMengidentifikasi suatu risiko yang signifikan akan memiliki nilai yang kecil, jika suatu perusahaan tidak memiliki rencana untuk mengatasi suatu risiko, ketika risiko tersebut benar-benar terjadi. Idenya adalah untuk mengestimasi biaya yang muncul dari risiko tersebut kemudian mengaplikasikan biaya tersebut terhadap probabilitas faktor risiko untuk mendapatkan expected value. Dalam mengestimasi biaya tersebut, tidak membutuhkan penelitian yang mendalam, namun hanya cukup dilakukan oleh front-line people di dalam perusahaan yang mengetahui atau dekat dengan risiko tersebut.Contoh :Risiko A : kerugian hingga x% market share diakibatkan oleh perubahan selera konsumen. Mengestimasi penurunan dalam penjualan dan kerugian yang diakibatkan oleh penurunan x% market share Mengestimasi biaya yang dibutuhkan untuk membangun kembali market position yang hilang.Contoh diatas mengilustrasikan pemikiran yang dibutuhkan untuk mengestimasi biaya recovering atas risiko yang telah terjadi. Biasanya cukup sulit untuk menentukan biaya apa saja yang diperlukan untuk pemulihan yang diakibatkan oleh risiko tersebut. Walaupun sebenarnya tidak perlu dilakukan secara detail atau analisi yang memakan banyak waktu, namun cukup dengan orang yang memiliki pemahaman yang baik terhadap risiko tersebut, dengan mempertimbangkan beberapa pertanyaan berikut :1. Apa estimasi biaya terbaik yang timbul dari risiko tersebut?2. Apakah kemungkinan terburuk yang dapat timbul dari risiko tersebut?2) Risk monitoringMengidentifikasi suatu risiko tidak bisa dilakukan dalam sekali waktu. Lingkungan disekitar risiko tersebut akan berubah, sejalan dengan perubahan kondisi di sekitarnya. Perusahaan membutuhkan suatu mekanisme untuk mengawasi (monitoring) risiko yang teridentifikasi. Proses mengidentifikasi risiko bukan merupakan pekerjaan yang dilakukan secara terus menerus. Seperti perusahaan ketika membuat annual budget dengan revisinya mungkin hanya terjadi satu kali dalam tiga bulan. Ketika sebuah risiko sudah teridentifikasi, perusahaan harus mengawasi risiko tersebut dan membuat penyesuaian jika diperlukan.

6.2 COSO ERM: Enterprise Risk ManagementCOSO Enterprise Risk Manajemen adalah sebuah kerangka kerja yang dapat membantu perusahaan untuk memiliki definisi yang konsisten terhadap risiko mereka. Munculnya COSO ERM hampir mirip dengan COSO internal control framewok yaitu karena tidak adanya definisi yang pasti mengenai risiko di tingkat korporasi. Oleh karena itu, COSO bersama dengan PwC bekerja sama membangun suatu kerangka risiko. Dokumen kerangka COSO ERM dimulai dengan mendefinisikan manajemen risiko perusahaan:Enterprise risk management is a process, effected by an entitys board of directors, management and other personnel, applied in a strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.Terdapat beberapa poin penting dalam definisi ini, yaitu : ERM is a processProses yang dimaksud bukanlah proses yang statis, melainkan proses yang dinamis (flexible). ERM process is implemented by people in the enterpriseProses manajemen risiko dilakukan oleh orang yang cukup dekat dengan risiko tersebut sehingga lebih mudah untuk memahami faktor-faktor apa saja yang mempengaruhi risiko tersebut, termasuk implikasinya. ERM is applied through the setting of strategies across the overall enterpriseSetiap perusahaan pasti mempunyai strategi alternatif. ERM yang efektif juga harus dapat mendukung strategi alternatif tersebut. Perusahaan besar mempunyai unit operasi yang berbeda dan kompleks, ERM harus dapat diaplikasikan ke semua unit yang mencampurkan aktivitas berisiko rendah dan tinggi. Concept of risk appetite must be consideredRisk appetite adalah jumlah dari risiko yang mana perusahaan atau manajer dapat menerima risiko tersebut. ERM provides reasonable but not positive assurance on objective achievementsERM, sebaik apapun aplikasinya di perusahaan, tidak memberikan jaminan akan hasilnya. Perusahaan yang terkontrol dengan baik, bersamaan dengan pekerja yang secara konsisten bekerja sesuai dengan tujuan perusahaan, mungkin akan mencapai hasil yang baik sampai periode berikutnya, bahkan tahun-tahun berikutnya. ERM is designed to help achieve objectivesContohnya adalah seperti yang tertera di COSO ERM, didalamnya terdapat hal mengenai pencapaian dan pemeliharaan reputasi perusahaan, menyediakan laporan keuangan yang dapat diandalkan kepada pemegang kepentingan, dan beroperasi sesuai dengan hukum dan peraturan yang berlaku. Program ERM secara keseluruhan dirancang untuk mencapai tujuan tersebut.6.3 Elemen COSO ERMKerangka kerja COSO ERM terlihat sangat mirip dengan COSO untuk pengendalian internal. Gambar dibawah ini merupakan ilustrasi kerangka COSO ERM yang terdiri dari: 4 kolom vertical yang merepresentasikan tujuan stratagis resiko perusahaan 8 kolom horizontal komponen resiko tingkatan resiko mulai dari tingkat entitas sampai dengan subsidiary. Tingkatan ini bergantung pada ukuran setiap perusahaan

Dengan adanya kerangka ERM, perusahaan mendapatkan gambaran untuk mempertimbangkan dan memahami aktivitas-aktivitas yang berhubungan dengan resiko pada setiap tingkatan perusahaan dan dampak antar komponen-komponen resiko. Dengan adanya kerangka ERM juga memberikan penjelasan bagaimana kerangka ERM ini dapat membantu perusahaan memanajemen resikonya. Berikut ini adalah penjelasan mengenai komponen resiko.a. Internal Environment ComponentKomponen lingkungan pengendalian merupakan komponen resiko yang penting bagi perusahaan yang dapat mempengaruhi komponen resiko yang lainnya.. Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur berikut : Risk management philosophyRisk management philosophy adalah sikap dan keyakinan yang mencirikan bagaimana suatu perusahaan mempertimbangkan risiko di segala hal yang dilakukannya. Risk AppetiteAppetite adalah jumlah risiko perusahaan yang dapat diterima dalam mencapai tujuan perusahaan. Risk appetite dapat diukur secara kuantitatif maupun kualitatif, tetapi semua level manajemen sebaiknya punya pemahaman secara general mengenai risk appetite perusahaan. Board of directors attitudes. Dewan dan komite punya peran yang penting dalam mengawasi dan membimbing lingkungan risiko perusahaan. Direktur independen yang berasal dari luar secara khusus melakukan review terhadap manajemen dengan menanyakan pertanyaan dan bertindak sebagai check-and-balance bagi perusahaan. Integrity and ethical valuesERM Internal environment element membutuhkan lebih dari sekedar code of conduct. Integritas dan nilai etika membantu perusahaan untuk membangun budaya yang kuat serta membantu membuat keputusan terkait risiko. Commitment to competenceKompetensi mengacu kepada pengetahuan dan keterampilan yang dibutuhkan untuk mengerjakan tugas yang diberikan. Manajemen memutuskan bagaimana tugas penting akan diselesaikan melalui pengembangan strategi dan menugaskan orang yang tepat. Melalui komitmen yang kuat akan pentingnya kompetensi, manager dari setiap bagian akan mengambi langkah untuk mencapai tujuan yang merekan janjikan. Organizational structure.Perusahaan harus membangun struktur organisasi dengan kewenangan, tanggung jawab, dan jalur pelaporan yang jelas. Assignments of authority and responsibility.Komponen ERM mengacu kepada sejauh mana kewenangan dan tanggungjawab didelegasikan. Sekarang ini perusahaan banyak mendelegasikan otorisasi ke level bagian bawah dalam struktur organisasi. Memberikan lower-level dan bahkan pekerja di bagian first-line wewenang untuk melakukan otorisasi. Hal ini membutuhkan prosedur dan peraturan yang kuat untuk staf maupun manajemen. Setiap individu harus mengetahui bahwa aksi mereka berhubungan dan turut berkontribusi bagi tujuan perusahaan. Code of conduct yang kuat menjadi elemen yang penting. Human resource standards.Praktik mengenai penerimaan, pelatihan, kompensasi, promosi, disiplin, dan lainnya memberikan pesan mengenai apa yang diinginkan, toleransi, dan terlarang. Standar yang kuat dibutuhkan untuk meyakinkan peraturan sumber daya manusia telah dikomunikasikan kepada pemangku kepentingan dan telah dilaksanakanb. Objective SettingKomponen objective setting menekankan bahwa perusahaan juga harus menetapkan serangkaian sasaran strategis . sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan.c. Event IdentificationEvent adalah insiden perusahaan atau kejadian (eksternal atau internal) yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah memikirkan suatu peristiwa dalam arti negatif, menentukan apa yang salah, padahal event tersebut bisa juga merupakan peristiwa dalam arti positif. Banyak perusahaan saat ini memiliki perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya. Namun proses monitoring seharusnya juga mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor sosial, (3) peristiwa infrastruktur internal, (4) proses internal, dan (5) teknologi internal maupun eksternal.Perusahaan harus dapat melihat dengan jelas risk event yang signifikan dan menindak lanjuti sebagai bentuk dari proses monitoring. COSO ERM mengeluarkan teknik yang akan membantu perusahaan. Berikut ini adalah beberapa pertimbangan yang akan membantu perusahaan, antara lain :1.Event inventories.2.Facilitated workshops.3.Interviews, questionnaires, and surveys.4.Process flo analysis.5.Leading events and escalation triggers.6.Loss event data tracking.d. Risk AssessmentRisk Assesment memungkinkan perusahaan untuk mempertimbangkan efek peristiwa terkait risiko potensial yang mempengaruhi prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektif, yaitu kemungkinan risiko yang terjadi dan dampak potensi dari risiko tersebut. Sebagai bagian penting dari proses penilaian risiko, bagaimanapun juga, perlu mempertimbangkan risiko inherent dan residual : Inherent riskFaktor yang mempengaruhi risiko inherent perusahaan adalah besarnya anggaran perusahaan, kekuatan dan kecanggihan manajemen, dan sifat dari kegiatannya. Risiko inherent berada di luar kendali manajemen dan biasanya berasal dari faktor eksternal. Residual riskIni adalah risiko yang tersisa setelah manajemen merespon terhadap ancaman risiko dan penanggulangan telah diterapkan.e. Risk ResponseSeharusnya ada peninjauan dari estimasi terhadap kemungkinan risiko dan dampaknya, dengan mempertimbangkan biaya dan manfaat, untuk membangun strategi risk response. Risk response dapat ditangani dalam salah satu dari empat cara dasar, yaitu :1. AvoidanceIni adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang menimbulkan risiko, keluar dari wilayah geografis yang berisiko, atau melepas lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak bisa menutup lini-produk atau pergi sampai risiko telah terjadi. Penghindaran dapat menjadi strategi yang mahal jika investasi tersebut dilakukan untuk masuk ke suatu area yang menghindari risiko dengan keluar dari bisnis tersebut.2. ReductionBerbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini produk dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu baris kunci produk (produk utama); membelah operasional TI menjadi dua yang terpisah secara geografis (lokasi) akan mengurangi risiko beberapa bencana kegagalan. 3. Sharing Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan, perusahaan dapat melakukan lindung nilai operasi yang berfungsi untuk melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian usaha patungan atau pengaturan struktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta berbagi dalam penghargaan yang dihasilkan.4. AcceptanceIni adalah strategi tanpa tindakan apapun, seperti ketika perusahaan selfinsures tidak mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam mendirikan toleransi risiko dan kemudian memutuskan apakah akan menerima resiko tersebut atau tidakf. Control Activities ERM control activities adalah kebijakan dan prosedur yang diperlukan untuk memastikan risk response telah diidentifikasi. Setelah memilih risk response yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risk response dijalankan secara tepat waktu dan efisien. Setelah melalui identifikasi risk event, assesment, dan risk response, proses risk monitoring memerlukan empat langkah, antara lain :1. Mengembangkan pemahaman yang kuat tentang risiko yang signifikan dan menetapkan control prosedure untuk memantau.2. Buat fire drilltype testing procedures untuk menentukan apakah prosedur risiko terkait pengendalian sudah bekerja secara efektif.3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka telah bekerja secara efektif dan seperti yang diharapkan.4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko monitoring proses.Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk mengidentifikasi karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol pada daerah-daerah pengendalian internal seperti : Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang sama dengan pihak yang mengotorisasi transaksi tersebut. Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut. Keamanan dan integritas. Proses pengendalian harus memiliki kontrol dan prosedur yang tepat, seperti bahwa hanya orang-orang yang berwenang yang dapat meninjau kembali atau memodifikasi mereka. Dokumentasi. Proses harus didokumentasikan dengan baik.g. Information and CommunicationMeskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, dalam prakteknya hal tersebut merupakan proses yang jauh lebih kompleks. Proses dasar dalam banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk kebanyakan proses ERM, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan diri untuk mengidentifikasi risiko, penilaian, dan proses risiko respon-tipe.

MonitoringUntuk membangun kerangka ERM yang efektif, monitoring harus dilakukan secara terus menerus mulai dari meninjau tujuan hingga aktivitas pengendalian. The COSO ERM Framework menunjukkan bahwa pemantauan dapat meliputi beberapa jenis kegiatan, antara lain : Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti posisi uang tunai, unit penjualan, dan data keuangan kunci. Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari didirikannya kriteria risiko, termasuk tingkat kesalahan yang dapat diterima atau item yang diselenggarakan di ketegangan. Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan audit internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan. Memperbaharui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren industri, dan berita ekonomi secara umum6.4 Other Dimensions of COSO ERMA. Operations Risk Management ObjectivesMengikuti kerangka tiga dimensi ERM, komponen operasi, digunakan untuk mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang rinci, kemudian dikumpulkan dan dianalisis, khususnya untuk perusahaan besar yang mempunyai beberapa wilayah geografis, lini produk, atau proses bisnis. Salah satu cara untuk mendapatkan informasi yaitu menanyakannya langsung kepada manajer operasi karena manajer tersebutlah yang paling mengetahui risiko dari divisinya. Dengan portofolio ERM, perusahaan seharusnya dapat menghindari peringkasan level, atau hilangnnya risiko dari lower-level. Apapun jabatan di perusahaan atau wilayah geografis, manajer di tingkat manapun harus peduli dengan risiko yang berada di sekitar mereka. Review audit internal atau survey ke pihak (tempat) yang langsung dipengaruhi oleh risiko tersebut dapat membantu untuk mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko operasional.B. Reporting Risk Management ObjectivesTujuan pelaporan risiko ini meliputi keandalan laporan internal dan eksternal perusahaan baik itu dari keuangan perusahaan maupun data non keuangan. Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak dimensi. Pengendalian internal yang baik penting untuk memberikan keyakinan akurasi pelaporan. C. Legal and Regulatory Compliance Risk ObjectivesSetiap jenis perusahaan harus sesuai dengan berbagai hukum yang dikenakan atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-kadang tidak terduga. Misalnya, di Amerika ditemukan bahwa asbes mengandung zat yang berbahaya bagi kesehatan. Hasilnya adalah litigasi diarahkan terhadap perusahaan yang memproduksi produk dengan kandungan asbes tertentu. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah, pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.

6.5 Entity-Level RisksA. Risks Encompassing the Entire OrganizationSebuah unit bisnis kecil di Negara berkembang mungkin terlihat kecil atau tidak signifikan terhadap contribution margin perusahaan. Hal tersebut dapat membuat pihak senior manajemen menjadi tidak awas terhadap risiko yang mungkin terjadi di unit bisnis ini. Tapi misalnya unit bisnis tersebut adalah pabrik baju casual kemudian terjadi pelangaran mengenai buruh dibawah umur. Perusahaan akan menjadi pusat perhatian dengan pemberitaan yang dibuat oleh jurnalis. Poin dari kasus diatas adalah risiko besar maupun kecil dapat memberikan dampak kepada seluruh perusahaan. Oleh karena itu, risiko-risiko dari unit operasi yang kecil harus di konsolidasi dan ditinjau kembali untuk mengidentifikasi risiko yang mungkin akan memberikan dampak cukup besar kepada perusahaan.B. Business UnitLevel RisksBergantung kepada kompleksitas dan jumlah unit operasi perusahaan, risk responsibility biasanya dimulai dari tingkatan yang paling atas ke bawah, dimana pihak senior manajemen meng-outline risiko-risiko umum yang dihadapi perusahaan. Kemudian masing-masing manajemen per divisi menjelaskan secara lebih rinci mengenai risiko yang dihadapi divisi tersebut beserta departemen yang ada dibawahnya. Konsep dari ERM adalah perusahaan menghadapi risiko dari berbagai level, atas maupun bawah.6.6 Auditing Risk and COSO ERM ProcessesSebuah perusahaan dapat meningkatkan proses secara keseluruhan maupun pengendalian internal melalui implementasi yang efektif dan efisien dari COSO ERM. Dengan berfokus pada kerangka COSO ERM, audit internal dapat membantu perusahaan dalam perencanaan dan melakukan proses review manajemen risiko perusahaan. Untuk meninjau praktek COSO ERM dan implementasi prosedur, auditor internal, baik sebagai peninjau audit internal kontrol atau konsultan manajemen, perlu mengembangkan pengertian pengendalian dan proses COSO ERM. Selain itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi selanjutnya. Internal Audit harus meninjau enterprise-wide ERM proses dengan menggunakan beberapa alat ini, antara lain : Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, flowchart dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi dalam perusahaan. Ini dibutuhkan untuk melihat dokumentasi yang disiapkan untuk risiko terkait proses, menentukan kondisi saat ini, dan menggambarkan semua kecukupan semua tingkatan proses risiko perusahaan. Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan bahan pedoman, dokumentasi, format laporan, dan sejenisnya dalam volume yang besar. Hal ini akan berguna bagi pengendalian internal untuk meninjau risiko dan control materials. Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses untuk melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan berdasarkan praktek-praktek yang sudah ada. Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada efektivitas ERM dari berbagai macam orang. Mereka dapat dikirimkan kuesioner yang telah disetujui oleh stakeholder. Ini merupakan teknik audit internal yang baik.