Professional Documents
Culture Documents
SELF-ASSESSMENT
Berdasarkan hasil penilaian risiko, aktivitas audit internal harus mengevaluasi kecukupan dan
efektivitas pengendalian yang mencakup sistem tata kelola, operasi, dan system informasi
organisasi.
Standar IIA 2120.A1
PENGANTAR
Pengendalian risiko self-assessment (CRSA) merupakan alat ampuh yang bisa
digunakanuntuk mendukung ERM. Ini tentang bagaimana manajer dan tim kerja untuk menilai
sendiri risiko dan kontrol mereka, biasanya dalam lokakarya atau pertemuan yang difasilitasi.
ERM adalah gambaran besar, sementara CRSA adalah salah satu alat yang bisa dimilikinya yang
digunakan untuk melaksanakan ERM yang baik. Gambar 5.1 mengilustrasikan hal ini.
Intinya adalah bahwa CRSA bukan ERM; CRSA hanya bagian dari ERM. Hanya
karenaAuditor merasa ada program CRSA yang baik, tidak berarti pasti ada proses ERM yang
baik sebagai hasilnya. Setelah berkataIni, CRSA, dengan penekanannya pada orang dan
bagaimana mereka bekerja, telah dilakukan dengan baik oleh banyak orang penting.
Pada tahun-tahun sejak pertama kali dimulai, CSA telah menyebar dengan cepat ke
seluruh dunia dan sekarang muncul dalam sejumlah bentuk seperti RSA, QSA, dll. Ini telah
dipraktekkan di industri, pemerintahan, kesehatan, pendidikan dan badan multilateral
internasional, dan lembaga nirlaba. Di semua sektor ini telah diterima dengan baik oleh ribuan
klien yang melihatnya sebagai nafas udara segar, Mengapa? Mungkin karena kita sekarang
bertanya tentang isu di dunia mereka - dunia nyata - dan mengenali keahlian mereka.
Mungkin juga, karena kita mulai mengerti mereka, bukankah prosedur adalah akar penyebab
keberhasilan organisasi.
Gambar 5.1 Perbandingan ERM / CRSA
ERM CRSA
Board room initiative Management tool
Covers all risks Covers specific risks
Driven by risk policy Driven by desire for improved operations
Mainly risk concepts for
Mainly workshops on risk and controls
entire enterprise
Based on corporate risk
Based on local risk registers
reporting system
Runs across the organization Runs in specific parts of the business
ERM supported by CRSA CRSA driven by ERM
Review overall system of
Review specific controls
controls
Coordinated by the board Coordinated by risk champion
Auditor memiliki kepentingan tersendiri dalam CRSA karena jika ini berhasil,berarti
proses audit dapat melekat pada prakarsa tersebut dan mendukungnya sebagai jalan pintas untuk
melakukan pengujian dan analisis audit yang ekstensif:
Melibatkan audit internal dalam beberapa program CSA cukup signifikan. Ini dapat
mensponsori, merancang, menerapkan, dan, pada dasarnya, memiliki proses, melakukan
pelatihan, menjadi fasilitator, juru tulis dan wartawan, dan menciptakan partisipasi manajemen
dan tim kerja. Keterlibatan audit internal minimal berfungsi sebagai pihak yang melayani dan
konsultan dalam keseluruhan proses dan sebagai pemeriksa utama dari evaluasi yang dihasilkan
oleh tim. Pada sebagian besar program, melibatkan audit internal dalam upaya CSA organisasi
ada di antara dua ekstrem yang dijelaskan di atas.
CRSA tidak terjadi begitu saja. Ini harus direncanakan dengan hati-hati dan diluncurkan
jika itu memiliki kemungkinan untuk sukses. Model pertama dimulai dengan peluncuran dari
program CRSA pada Gambar 5.2.
Gambar 5.2 Model CRSA Tahap Satu
Perusahaan yang dikutip dari NYSE sekarang ini diperlukan untuk memastikan bahwa
komite audit mereka membahas kebijakan sehubungan dengan penilaian risiko dan manajemen
risiko.
Launch
Bagian terakhir dari model pertama kami terdiri dari langkah-langkah untuk memastikan
bahwa CRSA diluncurkan dengan benar. Sebuah kata peringatan telah dikeluarkan mengenai
bahaya program CRSA yang kurang dipahami:
“CSA bersifat sederhana dan sangat kompleks. Ini sederhana karena ini melibatkan
sekelompok orang dengan tujuan bersama dan berbagi pengalaman bersama untuk
mengidentifikasi peluang untuk perbaikan. Namun, setiap proses yang melibatkan
orang sangat kompleks dan dipengaruhi oleh kejadian terkini dan historis yang
melampaui pengetahuan fasilitator Akibatnya ada banyak jebakan untuk diwaspadai
bagi yang tidak berpengalaman.”
Alat (Tools)
CRSA adalah tentang memahami risiko dan untuk meninjau kontrol ulang mereka, dan
untuk menerapkan alat dan teknik yang berguna untuk tugas tersebut. Beberapa praktisi CRSA
percaya ada tiga pendekatan utama terhadap CRSA: kuesioner, lokakarya, dan tinjauan
manajemen:
Tiga bentuk utama program CSA adalah lokakarya tim, survei, dan analisis manajemen
product. Organisasi sering menggabungkan lebih dari satu pendekatan.
Alat CRSA lainnya berhubungan dengan model kontrol yang dapat digunakan:
Semua program penilaian mandiri didasarkan pada manajer dan anggota tim kerja yang
memiliki pemahaman tentang risiko dan konsep pegendalian dan menggunakan konsep tersebut
dalam komunikasi. Untuk sesi pelatihan, di fasilitasi alur diskusi lokakarya yang tertib dan
diperiksa kelengkapan proses keseluruhan, organisasi sering gunakan kontrol seperti model
COSO dan COCO.
Motivasi
Banyak program CRSA gagal karena orang tidak memiliki ketertarikan yang nyata atau
tidak percaya bahwa alat manajemen risiko akan membantu mereka kerja. Model ini mencakup
motivasi antar angkatan kerja, karena banyak bergantung pada cara orang menggunakan atau
gagal menggunakan konsep tersebut. Contohnya menggambarkan pentingnya menghasilkan
energi dan membeli dari semua orang.
Dalam satu lokakarya risiko, pemimpin itu sombong dan membosankan. Dia bersikeras
mendefinisikan akar kata-kata dari risiko dan memberikan penjelasan rinci tentang pandangan
bahwa "apa yang tidak kita ketahui " menimbulkan keadaan yang nyata. Acara ini berlangsung
selama beberapa jam dan tidak diterima dengan baik disemua. Pemimpin memiliki pengetahuan
mendalam tentang risiko dan manajemen risiko teknik tetapi tidak memiliki semangat atau
kemampuan untuk berempati dengan para delegasi. Istilah workshop sesudahnya sangat
menakutkan bagi para karyawan itu.
Metodologi CRSA
Isu penting lainnya berkaitan dengan kebutuhan untuk menginstal pendekatan yang
didefinisikan CRSA. Jika lokakarya diterapkan, ini harus dilakukan pada beberapa bentuk
standar agar bisa digunakan secara nyata. Beberapa organisasi mengandalkan keahlian dan
kehadiran fasilitator untuk mendorong cara CRSA dijalankan dan terapkan. Saat fasilitator pergi
atau bosan, seluruh program jatuh. Jauh lebih baik untuk menetapkan cara yang jelas untuk
melakukan acara CRSA dan pastikan organisasi menerapkan format ini atau untuk menetapkan
beberapa prinsip formal dan memastikan lokakarya CRSA, walaupun berbeda untuknya setiap
bagian, termasuk dalam batasan prinsip-prinsip ini.
Sikap dan tindakan dewan dan manajemen mengenai pentingnya kontrol dalam organisasi.
Lingkungan kontrol memberikan disiplin dan struktur untuk pencapaian yang utama tujuan
sistem pengendalian intern. Lingkungan kontrol termasuk unsur berikut:
• Integritas dan nilai etika
• Filosofi manajemen dan gaya operasi
• Struktur organisasi
• Penugasan wewenang dan tanggung jawab
• Kebijakan dan praktik sumber daya manusia
• Kompetensi personil
Menentukan tujuan-tujuan
Kami telah menyinggung pentingnya tujuan dalam manajemen risiko, dan ini juga berlaku untuk
CRSA. COSO menjelaskan definisi manajemen risiko secara lebih rinci:
Ini menangkap konsep kunci yang mendasar tentang bagaimana perusahaan dan
organisasi lainnya mengelola risiko, memberikan dasar untuk penerapan dalam organisasi,
industri, dan sektor. Ini berfokus langsung pada prestasi tujuan yang ditetapkan oleh entitas
tertentu dan memberikan dasar untuk mendefinisikan efektivitas manajemen risiko perusahaan.
Bekerja dengan tim dan kelompok karyawan agar mereka mengerti dan mengelola risiko
dimulai dengan cara mereka menentukan dan merasakan tujuannya. Fokus pada apa yang orang
coba capai berarti bahwa survei dan lokakarya serta ulasan manajemen dapat berkontribusi yang
penting bagi orang di tempat kerja, yang kontras dengan persepsi risiko sebagai konsep yang
tidak jelas yang berhubungan dengan ketidak jelasan masa depan dan mungkin ancaman
eksternal. Pendekatan berbasis tujuan berguna dalam mendorong CRSA untuk potensi penuh.
Seimbang antara tujuan, risiko, dan kontrol yang baik ini telah dijelaskan dalam Praktik:
Lokakarya tim yang difasilitasi mengumpulkan informasi dari tim kerja yang mewakili
berbagai tingkat di unit bisnis atau fungsi. Format dari lokakarya mungkin didasarkan pada
tujuan, risiko, kontrol, atau proses.
Bagian selanjutnya dari model kami mencakup tiga proyek P: proyek, proses, dan people.
Hal ini dimungkinkan untuk memecah jenis lokakarya CRSA menjadi ketiga kategori dasar ini
untuk kemudahan penggunaan.
Proyek
CRSA dapat diterapkan untuk mempromosikan penggunaan penilaian risiko di berbagai
proyek yang berjalan di sebuah organisasi yang khas. Ada kepala mulai di sebagian besar sistem
manajemen proyek karena mereka cenderung memiliki penilaian risiko aspek yang dibangun di
dalam cara mereka diatur dan dijalankan. Masalahnya adalah banyak sistem seperti itu melihat
penilaian risiko sebagai latihan satu kali yang dilakukan pada awal dan menghasilkan dokumen
tersendiri yang mencatat semua risiko besar dan strategi risiko CRSA meminta agar konsep
identifikasi risiko dan Penilaian dibangun di dalam cara kerja anggota tim dan muncul di semua
tahapan pekerjaan. Ini juga berarti bahwa penilaian risiko menjadi inklusif daripada latihan
berbasis jauh jauh yang diselesaikan oleh manajer proyek.
Proses
Cara lain yang dapat digunakan CRSA adalah menerapkannya pada proses yang berjalan
dalam organisasi. Cara anggota staf direkrut, seperti kualitasnya dicek, cara sistem TI dibuat
aman, seperti produk baru dikembangkan, dan bagaimana informasi pengungkapan statistika
disediakan semuanya Hasil dari proses yang memiliki tujuan, risiko, dan kontrol. Anda bisa
meminta pemain kunci atau orang perwakilan untuk meninjau ulang peluang risiko untuk
memproses tujuan saat ini dikelola.
Orang-orang
Kategori utama untuk pekerjaan CRSA adalah tentang orang. CRSA adalah seperti alat
fleksibel itu bisa diaplikasikan pada soft control seperti cara orang berkomunikasi atau sejauh
mana anggota staf mempercayai manajer mereka memberikan saran dan arahan yang baik.
CRSA dapat digunakan untuk menangani praktik kerja timpang yang buruk dengan cara yang
mendefinisikan masalah ini sebagai risiko mencapai tujuan tim, sehingga cara maju dapat
diupayakan dan disepakati. Beberapa lokakarya meliputi manajer lini, sedangkan yang lain
melihatnya sebagai peluang tim untuk terlibat dalam debat terbuka tanpa manajer hadir.
Dalam lokakarya difasilitasi CSA yang khas, sebuah laporan akan dibuat secara luas
selama pembahasan. Konsensus kelompok akan dicatat untuk berbagai segmen diskusi, dan
kelompok tersebut akan meninjau usulan tersebut dan membuat laporan akhir sebelum sesi
berakhir. Beberapa program akan digunakan teknik pemungutan suara anonim untuk memastikan
arus informasi yang bebas dan sudut pandang selama lokakarya dan untuk membantu dalam
negosiasi perbedaan antara sudut pandang dan kelompok kepentingan.
Beberapa tim memiliki semua keterampilan yang tepat dan dilengkapi dengan teknik
dinamis tapi tidak bisa berkinerja baik. Banyak dari mereka adalah korban risiko diam:
Resiko diam-disebut demikian karena merayap tak terlihat dan tanpa pemberitahuan –
adalah risiko paling berbahaya hanya karena sifatnya. Mereka belum dikenali dalam proses
identifikasi, penilaian dan mengelola risiko sehingga, jika hal itu terjadi, dan ada kesulitan waktu
untuk mencoba mengelolanya, bisa jadi tidak masuk akal dan langkah-langkah defensif yang
tidak pantas, yaitu "gut reactions." Mudah-mudahan terjadinya silent risk tidak menimbulkan
bencana dan bisa menjadi kesempatan belajar.
CRSA karenanya harus sesuai dengan tujuan agar memberikan dampak. Tim, proyek, dan
orang yang menjalankan perusahaan dan operasional proses harus menghargai apa yang
diinginkan pemangku kepentingan, dan mereka harus memahami bagaimana ketegangan dapat
dikelola. Beberapa waktu harus dihabiskan pada topik ini untuk memperluas kerangka di mana
risiko dapat ditangkap dan kemudian dianalisis:
Standar risiko Australia / Selandia Baru yang dikutip sebelumnya terus berlanjut untuk
mendiskusikan di mana pemangku kepentingan cocok:
Melibatkan orang lain, atau setidaknya melihat sesuatu dari sudut pandang lain,
merupakan unsur penting dan penting dari pendekatan yang efektif dalam pengelolaan risiko.
Keterlibatan dengan para pemangku kepentingan membuat manajemen risiko eksplisit dan lebih
berdasarkan banyak suara, dan memberi nilai tambah pada organisasi. Ini terutama yang penting
di mana pemangku kepentingan dapat:
• Dampak terhadap efektivitas penanganan risiko yang diusulkan
• Terkena insiden risiko
• Menambah nilai dalam penilaian risiko
• Menimbulkan biaya tambahan
• Dibatasi oleh kontrol risiko masa depan
Perubahan
Topik terakhir yang membentuk kerangka kontekstual adalah perubahan. Perubahan
program, rencana strategis, dan proposal untuk menggabungkan, mengurangi size,
meningkatkansize, atau bagian-bagian bisnis yang benar-benar merupakan bagian agenda kerja.
Isu-isu ini akan paling menonjol di benak kebanyakan anggota staf, yang terpengaruh pada
tingkat yang lebih besar atau lebih rendah. Jika risikonya tidak mengakui beberapa perubahan
besar yang telah terjadi sekarang terjadi, atau hanya diajukan, maka kita mungkin merindukan
sebuah kesempatan untuk berbicara tentang risiko nyata dan bukan hanya item standar yang
berkaitan dengan prosedur dan dokumentasi.
Fasilitator yang baik bisa mendapatkan kelompok CRSA untuk memberi skor risiko dan
saran cara penanganan risiko profil tinggi yang berpotensi mempengaruhi kemampuan kita untuk
mencapai tujuan dan kemungkinan akan timbul jika tidak terkandung. Sebuah standar daftar
risiko mungkin berisi rincian seperti berikut ini:
• Referensi
• Deskripsi risiko
• Kategori
• Pemilik risiko
• Kecukupan mitigasi saat ini
• Dampak risiko residual
• Kemungkinan
• Perubahan terbaru dalam profil risiko
• Rencana aksi
• Tinjau ulang tanggal
Gambar
Gambar di sebelah kanan model adalah tentang fasilitasi yang efektif, yang mana penting dalam
proses CRSA. Banyak kelemahan atau kelebihan kualitas fasilitas program CRSA yang
diterapkan untuk memastikan programnya sesuai tujuan. Kritik utama lokakarya CRSA adalah
bahwa mereka memulai dengan baik Audit Proses Manajemen Risiko. Prinsip dasar berikut
untuk menggunakan lokakarya yang difasilitasi harus diterapkan pada acara CRSA:
Pengendalian internal merupakan bagian integral dari manajemen risiko perusahaan. Ini
kerangka manajemen risiko perusahaan mencakup pengendalian internal,membentuk
konseptualisasi dan alat yang lebih kuat untuk manajemen.
CRSA yang baik biasanya berarti review bagus tentang pengendalian internal dan
diharapkan mengarah pada pengaturan kontrol yang bisa diterapkan. Seperti yang digunakan
manajer CRSA untuk membantu mereka memberikan keputusan atas pengendalian internal,
sehingga review auditor yang terbangun ini berkontribusi pada kontrol yang lebih baik:
Meskipun memberikan dukungan staf untuk program CSA sebagai fasilitator dan
spesialis, aktivitas audit internal sering menemukan bahwa hal itu dapat mengurangi
usaha yang dihabiskan untuk mengumpulkan informasi tentang prosedur pengendalian
dan menghilangkan beberapa pengujian.
Sedangkan peran audit dapat berdampak mendasar terhadap sejauh mana laporan
manajemen tentang pengendalian internal dirasakan:
Auditor internal harus membandingkan proses untuk mematuhi Bagian 302 dari
Sarbanes-Oxley Act (pelaporan dan pengungkapan keuangan triwulanan) terhadap
prosedur yang dikembangkan untuk mematuhi Bagian 404 tentang penilaian tahunan dan
laporan publik manajemen mengenai internal kontrol. Dalam organisasi di mana
manajemen melakukan penilaian kontrolnya sendiri sebagai dasar pendapat, auditor
internal harus melakukannya mengevaluasi penilaian manajemen dan dokumentasi
pendukung.
Risk Appetite
Kita kembali ke topik risk appetites. Tidaklah cukup untuk memulai diskusi tingkat tinggi
mengenai risk appetite perusahaan dan menganggap bahwa angkatan kerja akan mengerti konsep
ini. Arah yang jelas harus disampaikan kepada staf jadi mereka mengerti bahwa CRSA adalah
tentang mendapatkan eksposur risiko untuk masuk ke dalam keseluruhan selera dewan direksi.
Orang harus mengerti itu berbeda, unsur-unsur pekerjaan mereka menarik selera risiko yang
berbeda. Misalnya, satu kerangka kerja yang bisa digunakan untuk membantu menentukan
tingkat toleransi meliputi aspek berikut:
Dengan cara ini, CRSA dapat digunakan untuk berfokus pada sejauh mana risiko residual
mengganggu kemampuan bisnis untuk mencapai dan mencapai kesejahteraan:
Program CSA menambah peran tradisional kegiatan audit internal dengan membantu
manajemen dalam memenuhi tanggung jawabnya untuk mendirikan dan menjaga proses
manajemen dan pengendalian risiko dan untuk mengevaluasi kecukupan sistem itu.
Melalui program CSA, kegiatan internal audit dan unit bisnis dan fungsi bekerja sama
untuk menghasilkan informasi yang lebih baik tentang seberapa baik proses pengendalian
bekerja dan seberapa besar risiko residualnya.
Toleransi resiko
Risiko keseluruhan selera perlu diterjemahkan ke dalam toleransi risiko untuk berbagai
bagian bisnis, yang merupakan pertimbangan penting bagi auditor internal:
Isu kontekstual yang penting bagi auditor internal adalah toleransi risiko organisasi secara
keseluruhan. Ini adalah bagian intrinsik dari budaya perusahaan dan seringkali akan
secara khusus ditangani oleh sebuah organisasi sebagai bagian dari kerangka kerja
manajemen risikonya. Dalam hal manajemen puncak organisasi telah menentukan tingkat
toleransi risiko auditor internal harus menggunakan ini. Dengan tidak adanya penentuan
perusahaan, auditor internal harus menggunakan penilaian mereka sendiri setelah
berkonsultasi dengan manajemen Tingkat toleransi risiko mungkin berbeda antara yang
berbeda bagian dari sebuah organisasi.
Dalam menetapkan toleransi risiko, manajer, anggota tim, dan rekan kerja perlu
mempertimbangkan hal berikut:
• Tetapkan tingkat kekritisan
• Pengalaman masa lalu terhadap masalah dan kesuksesan
• Tingkat kepastian yang mereka miliki dalam mencapai target
• Kecukupan kontrol yang ada
• Apakah ada kebutuhan akan lebih banyak sumber daya untuk menangani area
prioritasmengurangi kekritisan
• Sifat dan jenis risiko yang ada - baik eksternal,operasional, atau keuangan
• Cara keputusan dibuat
• Cara proyek baru dan produk baru didirikan
• Apakah keputusan yang dibuat dapat segera dibalik atau tidak
• Paparan tindakan hukum
Juga lihat Bab 4 tentang risk appetite. Sekalipun ada jaminan telah diberikan pada bagian-
bagian bisnis dimana risiko dikelola secara efektif, ini tidak berarti bahwa tidak ada ruang untuk
kegagalan, seperti yang disarankan oleh COSO:
Dengan kata lain, bahkan manajemen risiko perusahaan yang efektif pun bisa mengalami
kegagalan. Jaminan yang masuk akal bukanlah jaminan mutlak.
Budaya Resiko
Kami telah menyebutkan budaya kontrol, yang terutama tentang budaya sejauh mana orang
berperilaku dalam hal standar etika. Budaya risiko ikut bermain dalam pekerjaan CRSA karena
latar belakangnya mungkin adalah stafnya berisiko naif atau berisiko pintar-atau kombinasi fitur
ini. Acara CRSA untuk staf berisiko naif melibatkan pelatihan ekstensif dan lokakarya formal
untuk mendapatkan orang untuk memahami masalah yang terlibat dalam bekerja dengan risiko.
Budaya Risk-smart, bagaimanapun dapat berarti penggunaan pertemuan singkat satu jam untuk
diperbarui profil risiko mengingat perkembangan baru.
Pemicu Risiko
Unsur terakhir untuk model kami adalah pemicu risiko. Setelah semua aktivitas CRSA,
baik yang terdiri dari lokakarya formal, survei singkat, atau pemeriksaan manajemen terhadap
kontrol, perlu ada mekanisme yang memungkinkan memicu intervensi kapan pun risiko terputus
dan perlu ditangani.
Salah satu pemicu utama yang relevan dengan auditor adalah percepatan melaporkan
temuan audit dimana tingkat risiko yang terlibat memerlukan perhatian lebih lanjut pada tingkat
yang lebih tinggi:
“CAE harus mempertimbangkan apakah tepat untuk memberi tahu dewan pengurus
tentang pengamatan dan rekomendasi yang dilaporkan sebelumnya dan rekomendasi
dalam kasus tersebut saat manajemen senior dan dewan direksi diasumsikan risikonya
tidak mengoreksi kondisi yang dilaporkan. Ini mungkin apalagi perlu bila sudah ada
organisasi, dewan, senior manajemen, atau perubahan lainnya”.
KESIMPULAN
Pengendalian risiko self-assesment merupakan alat bisnis yang dinamis yang bisa
digunakan untuk mempromosikan proses ERM dan yang harus dipertimbangkan untuk
digunakan semua organisasi. Salah satu cara untuk mempertimbangkan proses CRSA adalah
melalui lima langkah berikut:
1. Kembangkan kebijakan yang jelas mengenai penggunaan CRSA yang sesuai dengan
benar di dalam kebijakan ERM lebih luas
2. Luncurkan program CRSA dengan cara yang berfokus pada kesadaran,alat yang tepat,
dan cara orang bisa termotivasi untuk mengerti dan menggunakan alatnya.
3. Kaji budaya pengendalian di tempat di seluruh organisasi dan bahwa CRSA dapat
digunakan untuk membantu mengembangkan tenaga kerja yang memiliki risiko tinggi.
4. Gunakan konsep corporate risk appetite untuk membantu orang menentukan toleransi
risiko mereka dalam proyek, proses, dan cara orang bekerja.
5. Gunakan register risiko untuk memfokuskan proses CRSA seputar siklus risiko dan
kebutuhan untuk mengembangkan dokumentasi yang masuk ke dalam bisnis dan
sertifikat pengendalian internal.