Chapter 3

Managing Risk
Definisi formal audit internal merupakan jaminan, independen, obyektif dan
aktivitas konsultasi yang dirancang untuk menambah nilai dan

meningkatkan

operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan membawa

pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan
efektivitas manajemen resiko, manajemen, pengendalian, dan proses. Kita perlu
memahami

resiko

dan

menghargai

pentingnya

organisasi. Baik kode tata kelola perusahaan yang

manajemen

resiko

dalam

membutuhkan elemen untuk

menginstal sistem resiko manajemen dan memberitahu pemegang saham tentang

sistem ini. Pada tahun 1998 David McNamee dan Georges Selim, mendefinisikan
tiga tahap dalam pengembangan audit internal yaitu
a. Menghitung dan mengamati
b. Sistem pengendalian internal
c. Audit proses bisnis melalui fokus pada resiko
Mereka berpendapat bahwa: Implikasi dari perubahan paradigma yang sangat
besar yaitu fokus audit jauh dari masa lalu dan sekarang dan menuju masa kini dan
masa depan. Berfokus pada kontrol atas transaksi mengubur auditor internal dalam
rincian masa lalu, membatasi nilai dari informasi apapun berasal. Dengan berfokus
pada resiko bisnis untuk transaksi sekarang dan masa depan, auditor yang bekerja di
tingkat atas dapat merinci dan megelola hambatan untuk menuju sukses dalam
organisasi. Informasi berasal dari eksplorasi tersebut memiliki nilai besar bagi tata
manajemen.
Auditor internal telah menurunkan pesan kunci tentang produk audit internal
berdasarkan pada permintaan untuk manajemen resiko yang cocok di semua
organisasi. David Brilliant telah menyatakan perubahan ini dibangun di atas
paradigma auditor. Brilliant mengkategorikan resiko sebagai berikut:
1

a. Memahami produk bisnis

b. Mengetahui pasar dan adat
c. Memeriksa proses resiko bisnis
d. Orang perilaku
e. Manajemen mutu

f. Perubahan lingkungan
3.1 Apa itu Resiko?
Menurut Peter L. Bernstein 'Resiko' berasal dari kata risicare pada
jaman Italia awal, yang berarti 'berani'. Dalam pengertian ini, resiko adalah
pilihan bukan nasib. Tindakan berani untuk mengambil pilihan, tergantung pada
seberapa bebas kita harus membuat pilihan. konsep pilihan ketika datang ke
resiko - tidak hanya menjadi resiko sebagai bagian dari kehidupan, namun yang
bertanggung jawab atas nasib seseorang maupun orang banyak. Intinya adalah
bahwa keberhasilan dalam bisnis dan sektor publik erat kaitannya dengan
tindakan mengambil resiko. Resiko timbul dari ketidakpastian dan kontrol yang
didasarkan pada pengurangan ketidakpastian dimana sangat mungkin dan
diperlukan dalam sebuah kehidupan. HM Treasury mendefinisikan resiko sebagai
'ketidakpastian hasil dalam rentang eksposur yang timbul dari kombinasi
dampak dan probabilitas dari peristiwa potensial '. Sementara Daftar Istilah IIA
mendefinisikan resiko sebagai 'ketidakpastian suatu peristiwa yang terjadi bisa
memiliki dampak pada pencapaian tujuan. Resiko diukur dalam hal konsekuensi
dan kemungkinan.
3.2 Tantangan Resiko
Resiko melihat sebagai kekuatan dinamis yang dapat dipahami, dianggap
dan kemudian bertindak. Pandangan bahwa resiko merupakan serangkaian
tantangan yang harus dipenuhi dan merupakan fitur kunci bahwa hal itu muncul
ketika sebuah keputusan besar harus dibuat. Resiko memiliki bentuk nyata yang
2

menghubungkannya dengan arah kita sendiri dan apa yang kita coba capai.
Sekarang resiko didaulat sebagai pencapai tujuan yang mempengaruhi kita,
karena mereka mengurangi fokus pada keberhasilan dan menghentikan seseorang
sampai ke hasil yang diinginkan. Tindakan menentukan tujuan dalam dirinya
sendiri didasarkan pada resiko yang nyata dan dirasakan, yaitu, beberapa
ketidakpastian tentang masa depan. Eileen Shapiro menjelaskan ini dalam
bukunya Fad Surfing di Boardroom: Sebagian besar organisasi menciptakan visi
namun mereka tidak dapat membuat satu didasarkan pada pemahaman 20/20
masa depan karena ini adalah mustahil. Lebih baik menciptakan visi dalam
langkah-langkah, seperti perubahan masa depan salah satu mengadaptasi dan
memanfaatkan peluang yang muncul dalam merespon ancaman. Pernyataan misi
kemudian mengkomunikasikan visi itu sendiri dan masa depannya. Resiko yang
telah diambil menghasilkan beberapa pilihan yang akan menyebabkan berbagai
dampak dari setiap pilihan atau tindakan yang diambil.
Konsep lain yang perlu dipertimbangkan adalah resiko yang dalam
konteks pencapaian tujuan, memiliki untung dan rugi dan merupakan ancaman
dan peluang. Hal ini dapat berhubungan dengan kekuatan yang berdampak
negatif pada tujuan, sehingga menimbulkan ancaman. Resiko terbalik, di sisi lain
merupakan peluang yang dicapai tetapi mungkin terlewatkan atau diabaikan,
sehingga berarti kita tidak melebihi harapan. Inilah sebabnya mengapa
manajemen resiko tidak benar-benar tentang membangun sebuah organisasi yang
bagus.
3.3 Manajemen Resiko dan Resiko Residual
Manajemen resiko adalah proses dinamis untuk mengambil semua
langkah yang wajar untuk mengetahui dan menangani resiko yang berdampak
pada tujuan. Ini adalah respon terhadap resiko dan keputusan yang dibuat
sehubungan pilihan yang tersedia dalam hubungannya dengan sumber daya yang
tersedia. Jadi sumber daya organisasi dan proses yang selaras dapat menangani
3

resiko di mana pun saat diidentifikasi. Proyek standar manajemen untuk

pedoman manfaat manajemen resiko sistematis yang meliputi:
a. Realistis bisnis dan perencanaan proyek
b. Tindakan dilaksanakan dalam waktu efektif
c. Besar kepastian mencapai tujuan bisnis dan tujuan proyek
d. Apresiasi, dan kesiapan untuk mengeksploitasi, semua peluang yang
menguntungkan
e. Meningkatkan pengawasan kerugian
f. Meningkatkan pengendalian biaya proyek dan bisnis
g. Peningkatan fleksibilitas sebagai akibat dari pemahaman semua pilihan dan
resiko yang terkait
h. Sedikit kejutan melalui kontingensi yang efektif dan perencanaan yang
transparan
Laporan dari manajemen untuk dewan erat kaitannya dengan wilayah yang
dicakup oleh mereka, memberikan penilaian yang seimbang dari resiko secara
signifikan dan efektivitas sistem internal kontrol dalam mengelola resiko-resiko
tersebut. Setiap kegagalan kontrol signifikan atau kelemahan yang diidentifikasi
harus dibahas dalam laporan, termasuk dampak, pada perusahaan dan tindakan
yang diambil untuk memperbaiki hal tersebut. Adanya keterbukaan komunikasi
antara manajemen dengan dewan mengenai hal-hal yang berkaitan dengan resiko
dan kontrol. Ketika meninjau laporan sepanjang tahun, dewan harus:
1. Mempertimbangkan apa saja resiko signifikan dan menilai bagaimana mereka
telah diidentifikasi, dievaluasi dan dikelola.
2. Menilai efektivitas sistem pengendalian internal terkait dalam mengelola
resiko yang signifikan, dengan memperhatikan, khususnya, untuk setiap
kegagalan yang signifikan atau kelemahan dalam pengendalian internal yang
telah dilaporkan.
3. Mempertimbangkan apakah tindakan yang diperlukan untuk memperbaiki
setiap kegagalan yang signifikan atau kelemahan.
4

4. Mempertimbangkan apakah temuan menunjukkan perlunya pemantauan yang

lebih luas dari sistem pengendalian internal.
Identifikasi Proses manajemen risiko dimulai dengan suatu metode untuk
mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus
melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan
berpengaruh atas wilayah dipengaruhi oleh risiko yang bersangkutan. Semua
risiko dibayangkan harus diidentifikasi dan dicatat. Resiko bisnis adalah benarbenar tentang jenis masalah, dan bukan hanya bencana yang lebih terkenal,
tindakan Tuhan atau risiko terhadap keselamatan pribadi. Penilaian Tahap
berikutnya adalah untuk menilai pentingnya risiko yang telah diidentifikasi.
Pengetahuan tentang apa risiko yang signifikan dan yang kurang
signifikan membutuhkan pengembangan strategi untuk mengelola berdampak
tinggi terhadap risiko. Hal ini memastikan bahwa semua risiko utama yang
ditangani dan bahwa sumber daya yang disalurkan ke daerah-daerah yang paling
mengkhawatirkan, maupun yang telah diidentifikasi melalui metodologi
terstruktur. Proses manajemen risiko keseluruhan dan output harus dikaji dan
ditinjau ulang pada secara terus menerus. Hal ini harus melibatkan memperbarui
strategi manajemen risiko dan meninjau validitas dari proses yang sedang
diterapkan di seluruh organisasi.
3.4 Mitigasi melalui Kontrol
Manajemen risiko merupakan bagian penting dari siklus resiko, karena
memungkinkan organisasi untuk menetapkan dan meninjau kontrol internal
mereka, dan melaporkan kembali ke pemegang. Kerangka pengendalian internal
terdiri dari semua pengaturan, dan rutinitas kontrol tertentu dan proses yang
mendorong sebuah organisasi untuk mencapai tujuan. Mengelola risiko harus
memprioritaskan perubahan kontrol, dengan mempertimbangkan dampak pada
kegiatan dan ketersediaan sumber daya. Perubahan kontrol yang dipilih harus
dialokasikan risiko pemilik respon dan jadwal pelaksanaannya harus disiapkan.

Kemajuan terhadap pelaksanaan pengendalian perubahan harus dipantau.

Pengendalian yang diterapkan harus didokumentasikan. Setelah perubahan
kontrol telah dilaksanakan dan menjadi mungkin untuk mengumpulkan data
tentang risiko residual yang sebenarnya, tingkat risiko residual harus dinilai.
3.5 Toleransi dan Selera
Model risiko pada dasarnya harus dibuat lebih dinamis untuk
menggabungkan beberapa resiko berikutnya. Subyek register risiko memiliki
masa lalu yang sangat menarik. Manajer telah menggunakan mereka untuk waktu
yang lama karena mereka menilai risiko pada tahap awal dalam proyek besar dan
memasukkan rincian di catatan resmi, yang diperiksa oleh para sponsor. risiko
register bertindak sebagai kendaraan untuk menangkap semua penilaian dan
keputusan yang dibuat sehubungan dengan risiko yang teridentifikasi. Selain itu,
register dapat menjadi bagian dari proses jaminan di mana mereka dapat
digunakan sebagai bukti kegiatan resiko penahanan, yang mendukung pernyataan
pengendalian internal (SIC).
Konsep risk appetite (atau toleransi) sangat sulit untuk mendapatkan
sekitar. Akuntabilitas berarti orang yang ditetapkan bertanggung jawab untuk
mendapatkan hal-hal yang benar dan juga harus menjelaskan di mana hal ini
tidak terjadi dan sesuatu yang buruk terjadi. HM Treasury (Risiko Strategis
Manajemen) menjelaskan bahwa: Risk appetite adalah jumlah risiko yang
organisasi siap untuk diekspos sebelum aksi diperlukan. Risk appetite sangat
spesifik dalam kaitannya dengan tertentu resiko, atau mungkin lebih generik
dalam arti bahwa risiko total yang disiapkan organisasi yang menerima pada satu
waktu serta memiliki batas. Tingkat toleransi risiko akan bervariasi sesuai dengan
tertentu yang dirasakan. Risk appetite bervariasi antara organisasi, departemen,
bagian, tim dan yang lebih penting antara individu, dan ini muncul dalam
perilaku mereka.

Jika toleransi risiko berada pada sebuah organisasi pada tingkat yang
berbeda dengan tidak ada penjelasan rasional maka hal ini mungkin mengalami
masalah. Indikator kinerja utama perlu diatur untuk mengambil dasar toleransi
risiko yang dapat diterima sehingga organisasi ditarik dalam arah yang jelas dan
tidak tunduk pada bagian yang berbeda dari organisasi yang mampu
memperlambat segalanya. Dimana seluruh organisasi memiliki toleransi berisiko
tinggi, maka akan cenderung tidak menginstal kontrol terlalu banyak, karena
pengontrolan menelan biaya yang mahal. Lebih mudah untuk mengatakan bahwa
keputusan besar tidak akan dilakukan tanpa melakukan penilaian risiko formal
dan penentuan cara optimal untuk mengelola risiko ini. Sebuah sikap yang lebih
baik akan menambahkan bahwa konteks penilaian risiko didasarkan pada
transparansi, integritas dan akuntabilitas. Hal ini merupakan tata kelola
perusahaan yang baik. Jadi tetap dalam nilai-nilai ini sambil menerapkan
kompetensi dan pendekatan yang kuat untuk mengukur dan mengelola risiko
membawa kita lebih dekat ke tingkat toleransi risiko, meskipun agak implisit.
3.6 Kebijakan Risiko
Mekanisme pertama yang dilaksanakan untuk membantu mendapatkan
jaminan adalah pelaporan yang sistem. Hal ini memungkinkan struktur
manajemen untuk melaporkan tentang bagaimana manajemen risiko sedang
dilakukan. Sistem pelaporan harus dimiliki oleh, perusahaan melalui mekanisme
yang telah dibentuk untuk koordinasi kepemilikan risiko. Dewan

harus

mengungkapkan bahwa ada proses yang berkelanjutan untuk identifikasi,

mengevaluasi dan mengelola risiko signifikan yang dihadapi oleh perusahaan,
pada tahun berjalan dan sampai dengan tanggal persetujuan laporan tahunan
bahwa secara teratur telah ditinjau oleh dewan dan perjanjian dengan bimbingan
dalam dokumen. Kebijakan resiko menjadikan apapun keputusan atau tindakan
yang diambil dapat memberikan manfaat sebesar-besarnya dalam kemajuan
sebuah perusahaan.
7

Aspek

aspek

yang

melibatkan

kebijakan

ini

dinilai

mampu

membangkitkan etos kerja yang sangat baik. Dalam hal ini kebijakan yang
diambil dapat berakibat fatal maupun sangat minim. Namun dalam hal ini segala
keputusan tetap diambil demi tercapainya tujuan walaupun resiko yang akan
dihadapi ke depannya sangat besar. Ini dapat tercermin dari evaluasi terhadap
hasil dari kebijakan resiko yaitu
1. Memungkinkan orang untuk mengambil keputusan yang lebih efektif
2. Memungkinkan

risiko

dipahami

sehingga

kebijakan

resiko

yang

diperhitungkan dapat diambil

3. Mendorong staf untuk mempertimbangkan konsekuensi dari keputusan dan
tindakan mereka
Kebijakan ini mungkin menjadi dokumen singkat yang memberikan
gambaran posisi organisasi dari manajemen risiko dengan pesan yang jelas dari
dasar perusahaan. Strategi risiko akan pergi ke lebih rinci dan mengembangkan
pedoman lebih lanjut tentang bagaimana untuk menempatkan kebijakan ke dalam
tindakan. Kebijakan manajemen risiko harus memberikan garis yang jelas dan
ringkas tentang persyaratan untuk manajemen risiko sebagai bagian integral
dari pendekatan keseluruhan organisasi untuk pemerintahan. Untuk mencapai
konsistensi kegiatan manajemen risiko di seluruh organisasi, dengan variasi
yang tepat secara rinci, kebijakan harus berisi gambaran tingkat tinggi dan
deskripsi proses manajemen risiko. Kebijakan manajemen risiko harus:
1. Dimiliki oleh seorang manajer, sebaiknya di Dewan (atau setara) tingkat;
2. Dikembangkan dalam konsultasi dengan para pemangku kepentingan utama;
3. Dikembangkan dengan pertimbangan bagaimana organisasi akan memantau
kepatuhan terhadap kebijakan dan referensi setiap standar yang relevan,
peraturan

dan

kebijakan

yang

harus

disertakan

atau

diambil

memperhitungkan, dan Sesuai dengan praktek jaminan kualitas

4. dokumen, perubahan dan kontrol versi.dari kebijakan manajemen risiko
Kebijakan manajemen risiko organisasi dapat mencakup:
8

1. Pemerintahan, menguraikan bagaimana manajemen risiko diatur.

2. Kebijakan lingkup, menjelaskan tujuan dari kebijakan dan siapa ditujukan,
menggambarkan tingginya tingkat prinsip dan manfaat dari penerapan
manajemen risiko, menetapkan tujuan, termasuk hukum dan peraturan
persyaratan, dan apa yang hendak dicapai, dan menyediakan penjelasan
hubungan dengan kebijakan lainnya.
3. Kebijakan penerapan, menetapkan kepada siapa dan untuk apa kebijakan
berlaku.
4. Proses manajemen risiko, memberikan gambaran tingkat tinggi dan deskripsi
risiko Proses pengelolaan yang diadopsi oleh organisasi.
5. Risiko nafsu makan, nafsu makan organisasi menguraikan risiko, batasan dan
prosedur eskalasi.
6. Pelaporan, menjelaskan tujuan, frekuensi dan cakupan pelaporan.
7. Peran, akuntabilitas dan tanggung jawab, menggambarkan peran tingkat
tinggi, akuntabilitas dan tanggung jawab dalam hal manajemen risiko.
8. Variasi dan dispensasi, menyatakan apakah variasi atau dispensasi dari
kebijakan diperbolehkan dan, jika mereka diizinkan, menjelaskan proses
untuk permintaan ini
3,7 Enterprise-wide Risk Management
Enterprise-wide manajemen risiko atau ERM hanyalah perpanjangan dari
manajemen risiko di seluruh organisasi secara terpadu. Hal ini berbeda dengan
pendekatan lama di mana proses khusus seperti perencanaan kontingensi risiko
dinilai tetapi hanya pada tingkat lokal untuk proses tersebut. Jim Deloach,
Pemimpin Global Risiko Strategis dan Enterprise Consulting, Arthur Andersen,
mengatakan bahwa: Tidak ada satu ukuran cocok untuk semua pendekatan untuk
ERM. Yang mengatakan, kami percaya bahwa setiap proyek ERM harus dimulai
dengan lima tindakan penting:
1. Membangun struktur pengawasan;
9

2. Mendefinisikan bahasa umum dan kerangka kerja;

3. Menargetkan risiko dan proses;
4. Menetapkan tujuan, sasaran, dan proses yang seragam, dan
5. Menilai kemampuan manajemen risiko.
Pengalaman Pemerintah
Tugas menyebarkan pesan di luar staf spesialis tidak selalu mudah.
Sementara sektor swasta telah didorong untuk mengembangkan sistem
manajemen risiko untuk mendukung review untuk kontrol internal, sektor publik
telah juga telah aktif di bidang ini. Ekstrak dari laporan ini menunjukkan upaya
serius sedang dilakukan untuk mendapatkan manajemen risiko dipasang di
seluruh bagian pemerintah. Namun, kemajuan tidak merata di seluruh
pemerintah. Ada banyak praktik yang baik, tetapi cakupan tidak komprehensif.
Secara khusus, beberapa penerapan manajemen risiko teknik tidak terintegrasi ke
dalam pengambilan keputusan di tingkat tertinggi.
Mengintegrasikan Risiko
Di masa lalu, risiko yang dipertimbangkan dalam isolasi tetapi ERM
berusaha untuk memiliki risiko dipertimbangkan di seluruh organisasi bersama
dengan penentuan bagaimana mereka cocok bersama. Dewan tidak berurusan
dengan risiko secara sistematis, luas dan tidak menangani seluruh risiko yang
terkait dengan strategi, budaya, dan orang-orang. Risiko manajemen harus
diintegrasikan dalam cara manajemen menjalankan bisnis, memperkaya proses
itu dan membuat risiko terfokus. Bila dilakukan dengan baik, perusahaan
manajemen menjamin risiko dikelola dengan baik, aset dijamin, dilindungi
reputasi dan nilai pemegang saham ditingkatkan.
Kategori Resiko
Setiap organisasi akan memiliki interpretasi mereka sendiri terhadap
risiko. Dan penafsiran ini akan sesuai dengan pasar, budaya dan misi organisasi
yang bersangkutan. Untuk membantu menyelaraskan manajemen risiko Proses
dengan sistem organisasi dan prosedur banyak organisasi menangkap risiko
10

dalam terstruktur secara, melalui seperangkat kategori yang sesuai dengan

mereka. Kita dapat meninjau delapan kategori risiko:
1. Komersial dan hukum hubungan
2. Ekonomi keadaan
3. Perilaku manusia
4. Kejadian alam
5. Politik keadaan
6. Teknologi dan masalah teknis
7. Kegiatan pengelolaan dan kontrol
8. Aktivitas individu.
3.8 Control Self-assessment
Keberhasilan perusahaan dalam memanajemen risiko tergantung pada
proses yang terintegrasi untuk memastikan bahwa risiko dinilai dan dikelola di
seluruh organisasi dalam cara yang dinamis dan bermakna. Sana banyak teknik
untuk mencapai semua bagian organisasi sehingga self-assessment oleh garis
depan Staf menjadi norma. Beberapa berpendapat meluasnya penggunaan
kuesioner yang diselesaikan oleh karyawan sebagai cara untuk menilai apakah
ada operasi yang beresiko dan apakah kontrol yang menangani daerah-daerah
resiko dengan benar. Teknik lain adalah penggunaan wawancara dengan manajer
di unit bisnis tertentu untuk mengukur apakah wilayah berada di bawah kontrol
atau tidak. Pendekatannya adalah untuk ulasan komisi komprehensif risiko profil
tinggi bagian organisasi biasanya dengan menggunakan konsultan eksternal,
yang akan melaporkan kembali pada setiap masalah yang ditemukan. Ketiga
teknik cukup mudah, dalam arti bahwa mereka melibatkan proses ditumpangkan
pada operasi bisnis normal dan pelayanan maksimal.
Delapan tahap dalam menilai sejauh mana sebuah organisasi berdiri
sebelum memulai pada peran konsultan audit, karena masukan yang dibutuhkan
akan bervariasi tergantung pada panggung organisasi saat ini berada. Karena
11

strategi yang salah telah diterapkan pada waktu yang salah dan organisasi belum
telah melalui tahap pengembangan. Setiap tahap membutuhkan driver yang
berbeda:
1. Tahap satu - kepentingan umum: membangun minat dan fokus ke drive proorganisasi untuk mendapatkan tim spesialis yang berbeda berbicara tentang
pendekatan mereka untuk manajemen risiko.
2. Tahap dua - gemuruh penelitian: mengembangkan database praktek terbaik
bimbingan dan mencari tahu apa yang orang lain di sektor bisnis lakukan.
Membuat daftar hal-hal yang akan dibahas dalam perumusan dan pelaksanaan
kebijakan risiko perusahaan.
3. Tahap tiga - orang yang bertanggung jawab: mendefinisikan peran dan
tanggung jawab masing-masing, khususnya juara untuk penyebab yang dapat
menentukan arah bagi organisasi.
4. Tahap empat - bunga manajemen puncak: mengamankan sponsor pada papan
yang dapat memastikan risiko manajemen duduk tegas pada agenda
perusahaan. Salah satu cara adalah untuk mendapatkan papan (dan audit
Komite) untuk melaksanakan penilaian mereka sendiri untuk tiba di atas
mereka sepuluh risiko untuk memulai proses.
5. Tahap lima - seminar kesadaran: hal ini sangat penting untuk mendapatkan
pemain kunci di seluruh organisasi bersama-sama dalam serangkaian acara
untuk memberikan pemahaman, meningkatkan buy-in dan memastikan setiap
manajer menerima bahwa mereka memiliki tanggung jawab yang jelas dan
langsung untuk mengelola risiko di daerah mereka jawab.
6. Tahap enam - membangun infrastruktur: banyak dari ini akan berkisar
membangun informasi yang sesuai sistem yang mengkategorikan dan
menangkap kegiatan resiko ke dalam format pelaporan jaminan formal. Itu
kegiatan risiko yang tepat harus memutuskan dan apakah kegiatan ini
mencakup seluruh organisasi atau hanya tinggi-profil daerah.

12

7. Tahap tujuh - latihan berisiko: disini organisasi akan perlu untuk melakukan
survei dan / atau difasilitasi lokakarya dengan cara yang paling sesuai dengan
struktur dan budaya bisnis.
8. Tahap delapan - terintegrasi: banyak dari ini akan didasarkan pada
mendefinisikan peran dan kompetensi dari CRO atau setara dan memastikan
bahwa proses penilaian risiko tersebut diperbaiki dan diperbarui baik teratur
dan kapanpun perubahan profil dampak berbagai risiko.
3.9 Manajemen Resiko Terpadu
Apakah ada proses yang sedang berlangsung terpadu dalam operasi
perusahaan secara keseluruhan bisnis, dan ditangani oleh manajemen senior,
yang memantau penerapan yang efektif dari kebijakan, proses dan kegiatan yang
berkaitan dengan manajemen risiko pengendalian internal? Proses tersebut dapat
meliputi control self assessment, konfirmasi oleh personel sesuai dengan
kebijakan dan kode melakukan, ulasan audit internal atau tinjauan manajemen
lainnya. Integrasi dengan proses yang ada adalah sama pentingnya, tetapi
menyajikan tantangan yang berbeda semata-mata karena proses akan beroperasi.
Organisasi

membutuhkan

cara

untuk

memutuskan

di

mana

untuk

mengintegrasikan dan kapan menggunakan risk register dengan benar

diprioritaskan untuk fokus pada isu-isu terbesar adalah cara yang paling efektif
penargetan usaha. Dengan cara ini organisasi akan mencapai pengembalian
tercepat dan terbesar komitmen serta tujuannya.
3.10 Peran Audit Internal dalam Manajemen Risiko
Auditor internal 'harus waspada terhadap risiko signifikan yang mungkin
mempengaruhi tujuan, operasi, atau sumber daya. Namun, jaminan prosedur saja,
bahkan ketika dilakukan dengan perawatan profesional karena, lakukan tidak
menjamin bahwa semua risiko yang signifikan akan diidentifikasi. Hal ini
semakin diakui, bagaimanapun, bahwa audit internal perlu untuk menambah nilai
13

bagi organisasi dengan erat bersekutu dengan keprihatinan utama dari

manajemen senior dan berfokus pada orang-orang isu-isu yang penting bagi
keberhasilan. Tanggung jawab auditor internal yang mirip dengan konsultan.
Mereka bertanggung jawab atas kualitas teknis dari nasihat yang mereka berikan.
Tetapi itu adalah keputusan manajemen apakah, atau tidak, untuk menerima
nasihat itu dalam terang yang lebih lengkap memahami situasi. Auditor internal
'keterlibatan dalam menilai risiko atau mengidentifikasi kontrol termasuk:
1. Fasilitator memungkinkan dan membimbing manajer dan staf melalui
proses. . .
2. Anggota tim yang merupakan bagian dari kelompok berbasis luas. . .
3. Risiko dan kontrol analis memberikan manajer dengan saran ahli. . .
4. Membuktikan alat dan teknik yang digunakan oleh audit internal untuk
menganalisis risiko dan kontrol.
5. Menjadi pusat keahlian untuk mengelola risiko.
3.11 Pengembangan Baru
Dalam beberapa hal, tidaklah mengherankan bahwa organisasi sedang
berjuang. Jumlah dan kompleksitas risiko yang dana investasi harus mengelola
saat ini adalah luas dan tumbuh semua waktu. Meski demikian, risiko banyak
organisasi 'sistem manajemen telah menjadi overcomplicated, rumit, bingung,
tidak efisien, tidak efektif, dan mahal. Semua terlalu sering, sulit bagi organisasi
untuk'' melihat hutan untuk pohon'' KPMG percaya. bahwa satu, risiko yang
konsisten kerangka kerja, dimana semua fungsi memiliki pandangan, koheren
terintegrasi dari kedua risiko dan kembali, diperlukan untuk memenuhi
kebutuhan bisnis dan persyaratan eksternal sambil menambahkan nilai pada
proses manajemen. Mengingat krisis saat ini, pertanyaan di atas eksekutif senior '
pikiran adalah'' di mana kita mulai'' Salah satu tujuan utama dari setiap penilaian
ulang manajemen risiko harus? oleh karena itu untuk menyederhanakan sistem
sehingga tiga unsur penting dari suatu risiko yang efektif Rezim - pemerintahan,
pelaporan dan data, dan proses dan sistem.
14