7 b Akurat dan terinci c Mudah dipahami digunakan 5. Pengawasan merupakan proses yang menilai kualitas dari kinerja sistem pengendalian internal dari waktu ke waktu, yang dilakukan dengan melakukan aktivitas monitoring dan melakukan evaluasi secara terpisah.

2. Enterprise Risk Management ERM

Sembilan tahun setelah COSO mengeluarkan kerangka kerja sebelumnya, kemudian mulai diselidiki bagaimana cara yang efektif untuk mengidentifikasi, menilai, dan mengelola risiko sehingga organisasi dapat meningkatkan proses manajemen risiko. hasilnya adalah dokumen perusahaan yang disempurnakan, disebut Enterprise Risk Management ERM. ERM memperluas pada unsur-unsur dari kerangka pengendalian internal yang terintegrasi dan memberikan fokus yang mencakup segala pada subjek yang lebih luas dari manajemen risiko perusahaan. tujuannya adalah untuk mencapai semua sasaran dari control framework dan membantu organisasi untuk : 1. memberikan keyakinan yang memadai bahwa tujuan dan sasaran perusahaan tercapai dan meminimalkan masalah yang terjadi. 2. mencapai target keuangan dan kinerja. 3. menilai risiko secara terus menerus dan mengidentifikasi langkah-langkah yang harus diambil dan memiliki sumber daya yang dialokasikan untuk mengatasi atau mengurangi risiko. 4. menghindari publisitas yang merugikan dan merusak reputasi entitas. 8 ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perUndang-undangan. Komponen-komponen tersebut Romney and Steinbart, 2009 adalah: 1. Lingkungan Internal – Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan. 2. Penentuan Tujuan – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3. Identifikasi Kejadian – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen. 9 4. Penilaian Risiko – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi dan dampaknya impact, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola. 5. Respons Risiko – Manajemen memilih respons risiko – menghindar, menerima, mengurangi, atau mengalihkan dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi dan risk appetite. 6. Kegiatan Pengendalian – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya.

3. Control Objectives for Information Technology COBIT