Sumber: Brink's Modern Internal Auditing 7th Edition
COSO ERM (Enterprise Risk Management)
COSO Enterprise Risk Management adalah suatu kerangka kerja untuk
membantu perusahaan untuk memiliki definisi yang konsisten dari risiko mereka. Juga merupakan alat penting untuk memahami dan meningkatkan pengendalian internal. COSO ERM diluncurkan pada cara yang sama dengan pengembangan COSO Internal Control Framework. Sama seperti tidak ada definisi yang konsisten dari internal control, juga tidak ada definisi konsisten pada level perusahaan dari risiko. COSO melakukan kontrak dengan PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja risiko ini. The COSO ERM Framework diterbitkan setelah berlakunya SOx pada bulan September 2004. Dokumen COSO ERM framework dimulai dengan mendefinisikan manajemen risiko perusahaan: Manajemen risiko perusahaan adalah proses, yang dipengaruhi oleh dewan entitas
direksi,
manajemen
dan
personil
lainnya,
diterapkan
dalam
pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas. Para profesional harus mempertimbangkan poin-poin kunci yang mendukung kerangka kerja definisi COSO ERM ini termasuk:
ERM adalah sebuah proses.
Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
ERM diterapkan melalui pengaturan strategi di perusahaan secara
keseluruhan.
Konsep risk appetite harus dipertimbangkan.
ERM menyediakan assurance yang wajar tapi tidak positif pada prestasi obyektif.
ERM dirancang untuk membantu mencapai tujuan.
Gambar 1: COSO ERM Framework
Gambar di atas menunjukkan COSO ERM Framework melalui objek kubus
tiga dimensi dengan komponen:
Kolom empat vertikal di atap kubus mewakili tujuan strategis risiko
perusahaan.
Delapan baris horizontal adalah komponen risiko.
Tingkat Multiple untuk menggambarkan setiap perusahaan, dari
tingkat entitas "headquarters" sampai kepada anak perusahaan masingmasing. Tergantung pada ukuran organisasi, akan ada banyak irisan model di sini.
Berikut ini penjelasan mengenai komponen risiko pada COSO ERM
Framework. a. Internal Environment Component -
Risk management philosophy
Lebih dari sekadar pesan dalam kode etik, filosofi manajemen risiko adalah sikap yang memungkinkan para pemangku kepentingan di semua tingkatan untuk merespon proposal berisiko tinggi dengan jawaban: "Tidak, itu bukan jenis usaha yang perusahaan kami akan tertarik."
Risk appetite Selera untuk risiko dapat diukur secara kuantitatif atau kualitatif, tetapi semua tingkatan manajemen harus memiliki pemahaman umum tentang keseluruhan risk appetite perusahaan mereka.
Boards of directors attitudes
Dewan dan komite memiliki peranan yang sangat penting dalam mengawasi dan membimbing lingkungan risiko suatu perusahaan.
Integrity and ethical values
Komponen ini membantu untuk membangun budaya yang kuat untuk memandu perusahaan, di semua tingkatan, dalam membantu membuat keputusan berdasarkan risiko. Area ini harus menjadi komponen penting dalam setiap kerangka ERM.
Commitment to competence Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan untuk melaksanakan tugas yang diberikan.
Organizational structure Perusahaan harus mengembangkan struktur organisasi dengan garis wewenang, tanggung jawab, dan pelaporan yang tepat.
Asignments of authority and responsibility
Komponen ERM ini mengacu pada sejauh mana wewenang dan tanggung jawab yang ditugaskan atau didelegasikan.
Human resource standard
Praktek mengenai perekrutan karyawan, pelatihan, kompensasi, promosi, disiplin, dan semua tindakan lainnya yang berisi pesan tentang apa yang disukai, ditoleransi, dan terlarang.
b. Objective Setting Menempati peringkat tepat di bawah internal environment dalam kerangka ERM COSO, objective setting menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif. Komponen ERM internal environment memahami filosofi manajemen risiko perusahaan dan panggilan risk appetite untuk komponen objective setting untuk secara resmi menentukan risk appetite dalam hal toleransi terhadap risiko.
Gambar 2: Risk Appetite Map
Kemudian berikut ini adalah komponen objective setting ERM.
Gambar 3: COSO ERM Objective-Setting Components
c. Event Identification Events adalah insiden atau kejadian perusahaan yang mempengaruhi pelaksanaan
strategi
ERM
dan
pencapaian
tujuan.
Sementara
kecenderungan kita adalah untuk memikirkan peristiwa (events) dalam
arti negatif (menentukan apa yang salah) dapat menjadi positif juga. Banyak perusahaan saat ini memiliki kinerja monitoring yang kuat untuk memantau
biaya,
anggaran,
jaminan
kualitas,
kepatuhan,
dan
sejenisnya. Namun, akan lebih dari sekedar memasang meter pada jalur perakitan produksi, proses pemantauan harus mencakup: -
Peristiwa ekonomi eksternal.
Kejadian lingkungan alam.
Peristiwa politik.
Faktor sosial.
Peristiwa infrastruktur internal.
Peristiwa yang terkait proses internal.
Peristiwa teknologi eksternal dan internal.
d. Risk Assessment Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat:
Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren
perusahaan adalah ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko inheren di luar
kendali manajemen dan biasanya berasal dari
faktor eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan
manajemen
risiko
ancaman
dan
penanggulangan
telah
diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Risk Response Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar: 1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang menimbulkan risiko, keluar dari wilayah
geografis
berisiko,
atau
menjatuhkan
lini
produk.
Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop
garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi dengan nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika investasi tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari risiko. 2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi
risiko
tertentu.
Diversifikasi
lini
produk
dapat
mengurangi resiko terlalu kuat dari ketergantungan pada satu
baris kunci produk; membelah operasional TI menjadi dua yang
terpisah secara geografis lokasi akan mengurangi risiko beberapa
bencana kegagalan. 3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi dari fluktuasi harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian usaha patungan atau struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta berbagi dalam penghargaan yang dihasilkan. 4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang risiko mendirikan toleransi dan kemudian memutuskan apakah akan menerima resiko itu atau tidak.
f. Control Activities ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan
untuk
memastikan
tindakan
tanggapan
risiko
yang
diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan
harus memilih kontrol
aktivitas yang diperlukan untuk memastikan
bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien.
Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko pemantauan memerlukan empat langkah: 1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan
dan
menetapkan
pengendalian
prosedur
untuk
memantau atau benar bagi mereka.
2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait pengendalian risiko prosedur yang bekerja secara efektif. 3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk
meningkatkan risiko monitoring proses. Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah pengendalian internal:
Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi
harus
tidak menjadi orang yang sama yang mengotorisasi
transaksi tersebut.
Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil
akhir dapat dengan mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas. Pengendalian proses harus memiliki
kontrol yang tepat prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali atau memodifikasi mereka.
Dokumentasi. Proses harus didokumentasikan
g. Information & Communication
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
h. Monitoring The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat meliputi jenis kegiatan:
Pelaksanaan
mekanisme
pelaporan
manajemen
yang
berkelanjutan seperti uang tunai posisi, unit penjualan, dan data
keuangan kunci.
Periodik
terkait
risiko
proses
pelaporan
peringatan
akan
memantau aspek-aspek kunci dari didirikan risiko kriteria,
termasuk
tingkat
kesalahan
dapat
diterima
atau
item
diselenggarakan di ketegangan.
Lancar dan status pelaporan berkala temuan terkait risiko dan
rekomendasi dari laporan audit internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan.
Perbarui informasi terkait risiko dari sumber seperti peraturan
pemerintah-revisi, tren industri, dan berita ekonomi secara umum
OTHER DIMENSIONS
OF
COSO ERM :
ENTERPRISE RISK
OBJECTIVE Tujuan Operasional Manajemen Risiko Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan
informasi yang rinci, kemudian dikumpulkan dan
dianalisis, khususnya untuk sebuah perusahaan besar yang mencakup
beberapa wilayah geografis, lini produk, atau bisnis proses. Review audit internal atau survei yang langsung dipengaruhi oleh risiko tersebut dapat membantu untuk mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko operasional. a. Tujuan Pelaporan Manajemen Risiko Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari internalnya dan eksternal baik itu dari keuangan perusahaan dan data non keuangan. Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak dimensi. b. Risiko Kepatuhan Tujuan Hukum dan Peraturan Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap perusahaan yang pernah memproduksi produk yang mengandung asbes tertentu, panggilan ganti rugi berdasarkan risiko manusia
yang
potensial
di
masa
mendatang.
COSO
ERM
merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan
untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah, pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.
Dokumen Serupa dengan COSO Enterprise Risk Management
