7
b Akurat dan terinci c Mudah dipahami digunakan
5. Pengawasan merupakan proses yang menilai kualitas dari kinerja sistem pengendalian internal dari waktu ke waktu, yang dilakukan dengan melakukan aktivitas monitoring dan
melakukan evaluasi secara terpisah.
2. Enterprise Risk Management ERM
Sembilan tahun setelah COSO mengeluarkan kerangka kerja sebelumnya, kemudian mulai diselidiki bagaimana cara yang efektif untuk mengidentifikasi, menilai, dan mengelola
risiko sehingga organisasi dapat meningkatkan proses manajemen risiko. hasilnya adalah dokumen perusahaan yang disempurnakan, disebut Enterprise Risk Management ERM. ERM
memperluas pada unsur-unsur dari kerangka pengendalian internal yang terintegrasi dan memberikan fokus yang mencakup segala pada subjek yang lebih luas dari manajemen risiko
perusahaan. tujuannya adalah untuk mencapai semua sasaran dari control framework dan membantu organisasi untuk :
1. memberikan keyakinan yang memadai bahwa tujuan dan sasaran perusahaan tercapai dan meminimalkan masalah yang terjadi.
2. mencapai target keuangan dan kinerja. 3. menilai risiko secara terus menerus dan mengidentifikasi langkah-langkah yang harus
diambil dan memiliki sumber daya yang dialokasikan untuk mengatasi atau mengurangi risiko.
4. menghindari publisitas yang merugikan dan merusak reputasi entitas.
8
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan
proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap
ketentuan perUndang-undangan. Komponen-komponen tersebut Romney and Steinbart, 2009 adalah:
1. Lingkungan Internal – Lingkungan internal sangat menentukan warna dari sebuah
organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi
manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan – Tujuan perusahaan harus ada terlebih dahulu sebelum
manajemen dapat
mengidentifikasi kejadian-kejadian
yang berpotensi
mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih
atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian – Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan kepada proses penetapan strategi atau tujuan
manajemen.
9
4. Penilaian Risiko – Risiko dianalisis dengan memperhitungkan kemungkinan
terjadi dan dampaknya impact, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko – Manajemen memilih respons risiko – menghindar, menerima,
mengurangi, atau mengalihkan dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan
apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan
keduanya.
3. Control Objectives for Information Technology COBIT