Anda di halaman 1dari 10

Audit Internal (Pertemuan ke-4)

Oleh: Bonny Adhisaputra & Herbayu Nugroho


Sumber: Brink's Modern Internal Auditing 7th Edition

COSO ERM (Enterprise Risk Management)

COSO Enterprise Risk Management adalah suatu kerangka kerja untuk


membantu perusahaan untuk memiliki definisi yang konsisten dari risiko
mereka. Juga merupakan alat penting untuk memahami dan meningkatkan
pengendalian internal. COSO ERM diluncurkan pada cara yang sama dengan
pengembangan COSO Internal Control Framework. Sama seperti tidak ada
definisi yang konsisten dari internal control, juga tidak ada definisi konsisten
pada level perusahaan dari risiko. COSO melakukan kontrak dengan
PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja risiko
ini. The COSO ERM Framework diterbitkan setelah berlakunya SOx pada
bulan September 2004.
Dokumen COSO ERM framework dimulai dengan mendefinisikan
manajemen risiko perusahaan:
Manajemen risiko perusahaan adalah proses, yang dipengaruhi oleh dewan
entitas

direksi,

manajemen

dan

personil

lainnya,

diterapkan

dalam

pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk


mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko untuk berada dalam risk appetite, untuk memberikan
keyakinan memadai tentang pencapaian tujuan entitas.
Para profesional harus mempertimbangkan poin-poin kunci yang mendukung
kerangka kerja definisi COSO ERM ini termasuk:

ERM adalah sebuah proses.

Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.

ERM diterapkan melalui pengaturan strategi di perusahaan secara


keseluruhan.

Konsep risk appetite harus dipertimbangkan.

ERM menyediakan assurance yang wajar tapi tidak positif pada prestasi
obyektif.

ERM dirancang untuk membantu mencapai tujuan.

Gambar 1: COSO ERM Framework

Gambar di atas menunjukkan COSO ERM Framework melalui objek kubus


tiga dimensi dengan komponen:

Kolom empat vertikal di atap kubus mewakili tujuan strategis risiko


perusahaan.

Delapan baris horizontal adalah komponen risiko.

Tingkat Multiple untuk menggambarkan setiap perusahaan, dari


tingkat entitas "headquarters" sampai kepada anak perusahaan masingmasing. Tergantung pada ukuran organisasi, akan ada banyak irisan
model di sini.

Berikut ini penjelasan mengenai komponen risiko pada COSO ERM


Framework.
a. Internal Environment Component
-

Risk management philosophy


Lebih dari sekadar pesan dalam kode etik, filosofi manajemen risiko
adalah sikap yang memungkinkan para pemangku kepentingan di
semua tingkatan untuk merespon proposal berisiko tinggi dengan
jawaban: "Tidak, itu bukan jenis usaha yang perusahaan kami akan
tertarik."

Risk appetite
Selera untuk risiko dapat diukur secara kuantitatif atau kualitatif,
tetapi semua tingkatan manajemen harus memiliki pemahaman
umum tentang keseluruhan risk appetite perusahaan mereka.

Boards of directors attitudes


Dewan dan komite memiliki peranan yang sangat penting dalam
mengawasi dan membimbing lingkungan risiko suatu perusahaan.

Integrity and ethical values


Komponen ini membantu untuk membangun budaya yang kuat
untuk memandu perusahaan, di semua tingkatan, dalam membantu
membuat keputusan berdasarkan risiko. Area ini harus menjadi
komponen penting dalam setiap kerangka ERM.

Commitment to competence
Kompetensi mengacu pada pengetahuan dan keterampilan yang
diperlukan untuk melaksanakan tugas yang diberikan.

Organizational structure
Perusahaan harus mengembangkan struktur organisasi dengan
garis wewenang, tanggung jawab, dan pelaporan yang tepat.

Asignments of authority and responsibility


Komponen ERM ini mengacu pada sejauh mana wewenang dan
tanggung jawab yang ditugaskan atau didelegasikan.

Human resource standard


Praktek mengenai perekrutan karyawan, pelatihan, kompensasi,
promosi, disiplin, dan semua tindakan lainnya yang berisi pesan
tentang apa yang disukai, ditoleransi, dan terlarang.

b. Objective Setting
Menempati peringkat tepat di bawah internal environment dalam
kerangka ERM COSO, objective setting menguraikan kondisi penting
untuk membantu manajemen menciptakan proses ERM yang efektif.
Komponen ERM internal environment memahami filosofi manajemen
risiko perusahaan dan panggilan risk appetite untuk komponen objective
setting untuk secara resmi menentukan risk appetite dalam hal toleransi
terhadap risiko.

Gambar 2: Risk Appetite Map

Kemudian berikut ini adalah komponen objective setting ERM.

Gambar 3: COSO ERM Objective-Setting Components

c. Event Identification
Events adalah insiden atau kejadian perusahaan yang mempengaruhi
pelaksanaan

strategi

ERM

dan

pencapaian

tujuan.

Sementara

kecenderungan kita adalah untuk memikirkan peristiwa (events) dalam


arti negatif (menentukan apa yang salah) dapat menjadi positif juga.
Banyak perusahaan saat ini memiliki kinerja monitoring yang kuat untuk
memantau

biaya,

anggaran,

jaminan

kualitas,

kepatuhan,

dan

sejenisnya. Namun, akan lebih dari sekedar memasang meter pada jalur
perakitan produksi, proses pemantauan harus mencakup:
-

Peristiwa ekonomi eksternal.

Kejadian lingkungan alam.

Peristiwa politik.

Faktor sosial.

Peristiwa infrastruktur internal.

Peristiwa yang terkait proses internal.

Peristiwa teknologi eksternal dan internal.

d. Risk Assessment
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan
apa efek peristiwa terkait risiko potensial tersebut terhadap prestasi
perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua
perspektif: kemungkinan risiko yang terjadi dan dampak potensinya.
Sebagai bagian penting dari proses penilaian risiko, juga perlu
mempertimbangkan risiko yang melekat:

Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren


perusahaan adalah ukuran dari anggarannya, kekuatan dan
kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko
inheren di luar

kendali manajemen dan biasanya berasal dari

faktor eksternal.

Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan


manajemen

risiko

ancaman

dan

penanggulangan

telah

diterapkan. Ada hampir selalu beberapa tingkat risiko residual.

e. Risk Response
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO
ERM diukur mengenai tanggapan terhadap berbagai risiko yang
teridentifikasi. tanggapan risiko dapat ditangani dalam salah satu dari
empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko
seperti menjual unit bisnis yang menimbulkan risiko, keluar dari
wilayah

geografis

berisiko,

atau

menjatuhkan

lini

produk.

Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop


garis produk atau berjalan kaki sampai setelah kejadian risiko
telah terjadi dengan nya terkait biaya. Penghindaran dapat
menjadi berpotensi mahal strategi jika investasi tersebut dilakukan
untuk masuk ke suatu daerah dengan penarikan berikutnya untuk
menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat
mengurangi

risiko

tertentu.

Diversifikasi

lini

produk

dapat

mengurangi resiko terlalu kuat dari ketergantungan pada satu


baris kunci produk; membelah operasional TI menjadi dua yang

terpisah secara geografis lokasi akan mengurangi risiko beberapa


bencana kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko
mereka melalui pembelian asuransi, tetapi teknik berbagi risiko
lainnya juga tersedia. Untuk transaksi keuangan, perusahaan
dapat melakukan lindung nilai operasi melindungi dari fluktuasi
harga yang mungkin, atau dapat berbagi risiko bisnis potensial
dan manfaat melalui perusahaan perjanjian usaha patungan atau
struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak
lain menerima beberapa potensi risiko serta berbagi dalam
penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika
perusahaan selfinsures dengan mengambil tindakan untuk
mengurangi risiko potensial. Pada dasarnya, perusahaan harus
melihat kemungkinan risiko dan dampak dalam terang risiko
mendirikan toleransi dan kemudian memutuskan apakah akan
menerima resiko itu atau tidak.

f. Control Activities
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang
diperlukan

untuk

memastikan

tindakan

tanggapan

risiko

yang

diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan


harus memilih kontrol

aktivitas yang diperlukan untuk memastikan

bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien.


Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan
respon proses, risiko pemantauan memerlukan empat langkah:
1. Mengembangkan pemahaman yang kuat tentang risiko secara
signifikan

dan

menetapkan

pengendalian

prosedur

untuk

memantau atau benar bagi mereka.


2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah
mereka terkait pengendalian risiko prosedur yang bekerja secara
efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah
mereka bekerja efektif dan seperti yang diharapkan.

4. Membuat penyesuaian atau perbaikan yang diperlukan untuk


meningkatkan risiko monitoring proses.
Banyak kegiatan pengendalian di bawah pengendalian COSO internal
cukup mudah untuk mengidentifikasi dan uji karena sifat akuntansi.
Kegiatan ini umumnya mencakup kontrol daerah-daerah pengendalian
internal:

Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi


harus

tidak menjadi orang yang sama yang mengotorisasi

transaksi tersebut.

Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil


akhir dapat dengan mudah ditelusuri kembali dengan transaksi
yang menciptakan hasil tersebut.

Keamanan dan integritas. Pengendalian proses harus memiliki


kontrol yang tepat prosedur seperti bahwa hanya orang-orang
yang berwenang dapat meninjau kembali atau memodifikasi
mereka.

Dokumentasi. Proses harus didokumentasikan

g. Information & Communication


Meskipun relatif mudah untuk menggambarkan bagaimana informasi
harus dikomunikasikan dari satu komponen COSO ERM ke yang lain
dalam diagram alir sederhana, melakukannya merupakan proses yang
jauh lebih kompleks dalam praktek. Dasar proses dalam banyak
perusahaan terdiri dari web kompleks sistem informasi operasional dan
keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi
lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak
aplikasi enterprise dasar tidak langsung meminjamkan diri untuk
identifikasi risiko, penilaian, dan proses risiko-respon-tipe.

h. Monitoring
The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa
pemantauan dapat meliputi jenis kegiatan:

Pelaksanaan

mekanisme

pelaporan

manajemen

yang

berkelanjutan seperti uang tunai posisi, unit penjualan, dan data


keuangan kunci.

Periodik

terkait

risiko

proses

pelaporan

peringatan

akan

memantau aspek-aspek kunci dari didirikan risiko kriteria,


termasuk

tingkat

kesalahan

dapat

diterima

atau

item

diselenggarakan di ketegangan.

Lancar dan status pelaporan berkala temuan terkait risiko dan


rekomendasi dari laporan audit internal dan eksternal, termasuk
status ERM terkait SOx mengidentifikasi kesenjangan.

Perbarui informasi terkait risiko dari sumber seperti peraturan


pemerintah-revisi, tren industri, dan berita ekonomi secara umum

OTHER DIMENSIONS

OF

COSO ERM :

ENTERPRISE RISK

OBJECTIVE
Tujuan Operasional Manajemen Risiko
Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan
untuk mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini
membutuhkan

informasi yang rinci, kemudian dikumpulkan dan

dianalisis, khususnya untuk sebuah perusahaan besar yang mencakup


beberapa wilayah geografis, lini produk, atau bisnis proses. Review audit
internal atau survei yang langsung dipengaruhi oleh risiko tersebut dapat
membantu untuk mengumpulkan informasi latar belakang lebih rinci
tentang potensi risiko operasional.
a. Tujuan Pelaporan Manajemen Risiko
Tujuan pelaporan risiko ini meliputi keandalan laporan suatu
perusahaan dari internalnya dan eksternal baik itu dari keuangan
perusahaan dan data non keuangan. Pelaporan yang akurat sangat
penting untuk suatu keberhasilan perusahaan dalam banyak dimensi.
b. Risiko Kepatuhan Tujuan Hukum dan Peraturan
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan
pemerintah yang dikenakan atas standar industri atau peraturan.
Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum
kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan
terhadap perusahaan yang pernah memproduksi produk yang
mengandung asbes tertentu, panggilan ganti rugi berdasarkan risiko
manusia

yang

potensial

di

masa

mendatang.

COSO

ERM

merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan


untuk masing-masing komponen kerangka risiko, baik dalam konteks
lingkungan internal pemerintah, pengaturan tujuan, atau pemantauan
risiko, serta di seluruh perusahaan.