mengidentifikasi setiap area yang resikonya lebih signifikan yang dapat berdampak pada
tiap operasi dalam suatu periode waktu.
Tim manajemen perusahaan harus memulai dengan daftar resiko potensial perusahaan
yang lebih lengkap dan bertanya pada diri mereka sediri mengenai pertanyaan terkait dengan :
o Apakah resiko melintasi keseluruhan perusahaan atau unik untuk salah satu
kelompok bisnis?
o Akankan perusahaan menghadapi resiko ini karena internal atau melalui
kejadian eksternal?
o Apakah resiko saling berkaitan, misalnya salah satu resiko dapat
menyebabkan resiko lain terjadi?
Manajemen perusahaan harus meninjau resiko yang teridentifikasi dan menggaris bawahi
resiko yang muncul sebagai yang paling kritis terhadap perusahaan.
b. Risiko pemantauan
Proses identifikasi risiko tidak dilihat terus menerus. Sama seperti suatu perusahaan akan
menyiapkan anggaran tahunan dengan revisi mungkin sekali per kuartal, proses identifikasi
risiko merupakan proses tahunan atau kuartalan. Setelah risiko ini telah diidentifikasi,
perusahaan perlu untuk memantau mereka dan membuat penyesuaian yang berkelanjutan sesuai
kebutuhan. Pemantauan risiko dapat dilakukan oleh pemilik atau pengamat independen.
Audit internal merupakan sumber yang sangat kredibel dan baik untuk memantau status
risiko yang teridentifikasi. Audit internal memiliki tingkat kredibilitas dan otoritas tambahan.
Ketika auditor bertanya tentang status beberapa daerah risiko diidentifikasi, mereka yang
bertanggung jawab untuk wilayah yang akan memberikan informasi akurat. Jika audit internal
tidak dapat memperoleh informasi yang baik mengenai status beberapa risiko diidentifikasi,
maka dapat menjadwalkan kunjungan untuk lebih memahami sifat dari daerah risiko.
Namun, jika orang-orang di perusahaan tahu bahwa auditor internal kadang-kadang dapat
melakukan kunjungan untuk memahami status atau beberapa risiko, maka akan ada
kecenderungan kuat untuk menyediakan beberapa jawaban. Status risiko tersebut perlu dipantau
secara teratur dengan perubahan yang dibuat dengan risiko diidentifikasi yang diperlukan.
Proses disini bukanlah suatu prosedur yang statis, namun proses disini merupakan suatu
peraturn yang fleksibel. Suatu perusahaan seringkali tidak dapat mendefinisikan peraturan
manajemen risiko melalui buku peraturan yang kecil, mengikat dan terorganisir. Perusahaan
cenderung memiliki rangkaian langkah yang terdokumentasi untuk meninjau dan mengevaluasi
risiko potensial serta mengambil tindakan berdasarkan faktor-faktor yang tersebar luar di
perusahaan.
Proses manajemen risiko harus diatur oleh orang yang cukup dekat dengan situasi risiko
untuk memahami berbagai macam faktor disekeliling risiko tersebut.
Suatu proses ERM yang efektif seharusnya memainkan peran penting dalam membantu
untuk menyusun strategi alternatif.
Risk Appetite merupakan jumlah dari risiko baik perusahaan maupun manajer dapat
menerima risiko tersebut dalam nilai yang dapat dikejar. Risk Appetite dapat diukur secara
kualitaif dengan melihat risiko tersebut dalam beberapa kategori mulai dari tinggi hingga rendah
ERM tidak dapat memberikan suatu garansi atas hasil dari pencapaian tujuan kepada
manajer atau personil lain di perusahaan.
kebijakan dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah orangnya
dan lingkungan dimana dia beraktivitas. Faktor manusia yang dimaksudkan disini adalah atribut
yang melekat di orang tersebut, misalnya: integritas, nilai etika, dan kompetensi.
Lingkungan internal merupakan dasar dari seluruh komponen ERM yang menyajikan
disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan
organisasi ditetapkan, aktivitas kegiatan dibangun, dan bagaimana risiko diidentifikasi, dinilai,
dan ditindaklanjuti. Lingkungan internal juga mempengaruhi bagaimana desain dan fungsi dari
aktivitas pengendalian, sistem informasi dan komunikasi, dan aktivitas pemantauan. Lingkungan
internal ini terbentuknya sangat dipengaruhi oleh latar belakang sejarah dan kultur atau budaya
orang dan masyarakat sekitar yang membentuknya.
Lingkungan internal terdiri dari berbagai sub komponen, yaitu:
Filosofi manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan bagaimana
organisasi memandang risiko organisasi dalam segala hal;
Harapan risiko yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang
diharapkan dan diterima organisasi;
Pimpinan yaitu struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang
dimainkan.
Integritas dan nilai etika yaitu preferensi, standar perilaku, dan gaya;
Komitmen kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan
tugas dan pekerjaan;
Struktur Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan, pelaksanaan,
pengendalian, dan aktivitas pemantauan;
Wewenang dan tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi
memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan berbagai
hal penting dan mengatasi permasalahan sebatas wewenang yang dimilikinya;
Standar Sumber Daya Manusia yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi,
training, evaluasi, konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan yang
segera berkaitan dengan masalah SDM.
Peristiwa politik
Undang-undang baru dan peraturan serta hasil pemilu dapat menjadi peristiwa yang
berhubungan dengan dampak risiko yang signifikan pada perusahaan.
Faktor sosial
Sebagian besar faktor-faktor sosial secara perlahan berkembang saat ini. Ini termasuk
perubahan demografis, adat istiadat sosial, dan aktivitas lainnya yang dapat mempengaruhi
suatu perusahaan dan pelanggan dari waktu ke waktu.
pelanggan yang kuat untuk produk baru dapat menyebabkan perubahan dalam persyaratan
kapasitas pabrik dan kebutuhan tenaga tambahan.
kemudian memiliki proses di tempat untuk memantau mereka untuk mengambil tindakan yang
tepat diperlukan. Melihat peristiwa risiko potensial internal dan eksternal dan memutuskan mana
yang memerlukan perhatian lebih lanjut dapat menjadi proses yang sulit. Beberapa petunjuk
perusahaan mempertimbangkan beberapa pendekatan ini:
Persediaan event
Manajemen harus mengembangkan daftar yang berhubungan dengan risiko kejadian umum
untuk industri tertentu perusahaan dan area fungsional .
10
acara
Rugi
mengacu
pada
menggunakan
baik
internal
maupun
sumber database publik untuk melacak aktivitas di bidang minat. Sumber-sumber ini dapat
juga mencakup berbagai bidang mulai dari indikator ekonomi terkemuka untuk tingkat
kegagalan peralatan intern.
Residual risk
Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan.
Penghindaran
Ini adalah strategi berjalan menjauh dari risiko seperti menjual sebuah unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
Suatu perusahaan harus melakukan komunikasi untuk risiko yang mungkin merupakan
pertimbangan yang paling penting ketika memutuskan apakah strategi yang digunakan
dalam penghindaran risiko yang tepat.
11
2.
Pengurangan
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini
produk dapat mengurangi risiko terlalu kuat ketergantungan suatu pada satu lini produk
utama, operasi pemisahan IT menjadi dua terpisah secara geografis lokasi akan
mengurangi risiko beberapa kegagalan.
3.
Berbagi
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tapi teknik pembagian risiko lainnya juga tersedia. Untuk transaksi
keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi
dari kemungkinan fluktuasi harga, atau dapat berbagi risiko bisnis potensial dan manfaat
melalui perjanjian joint venture perusahaan atau struktural lainnya pengaturan.
4.
Penerimaan
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan menjamin diri
dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, suatu
perusahaan harus melihat kemungkinan dan dampak risiko dalam terang risiko yang telah
ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.
penerimaan adalah seringkali merupakan strategi yang tepat untuk banyak berbagai risiko
perusahaan yang dihadapi.
Jika ada risiko suatu perusahaan bisa kehilangan operasi manufaktur seluruh karena
12
perlindungan risiko tersebut. Setelah melalui COSO ERM acara identifikasi risiko, proses
penilaian, dan respon, pemantauan risiko memerlukan empat langkah berikut:
1. Membangun pemahaman yang kuat tentang risiko secara signifikan dan membangun
kontrol prosedur untuk memantau atau benar bagi mereka api drill-jenis prosedur
pengujian
2. Create untuk menentukan apakah mereka kontrol terkait risiko prosedur bekerja secara
efektif.
3. Perform proses pemantauan risiko untuk menentukan apakah mereka bekerja secara
efektif dan seperti yang diharapkan.
4. Make penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko
pemantauan proses.
Banyak kegiatan kontrol dalam pengendalian internal COSO cukup mudah untuk
mengidentifikasi dan uji karena sifat akuntansi mereka. kegiatan pengawasan ini umumnya
meliputi daerah-daerah pengendalian internal:
A. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang memberikan kuasa transaksi itu.
B. Trails Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
C. Keamanan dan Integritas. proses kontrol harus memiliki kontrol yang tepat prosedur
sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.
D. Dokumentasi. Proses harus tepat didokumentasikan.
Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam mengidentifikasi
kegiatan kontrol untuk mendukung kerangka ERM nya. Meskipun tidak ada diterima atau
standar yang ditetapkan kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM
menunjukkan beberapa bidang:
1. Ulasan Top-level
2. Manajemen fungsional atau kegiatan pengolahan langsung
3. Informasi
4. Pengendalian indicator fisik
5. Kinerja
6. Pemisahan tugas
13
(h) Monitoring
Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM adalah
diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja secara efektif.
Orang dalam perubahan perusahaan, seperti halnya proses pendukung dan kedua kondisi internal
dan eksternal, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja secara
efektif secara terus menerus.
Dalam rangka membangun kerangka ERM yang efektif, pemantauan harus mencakup
ulasan berkelanjutan dari proses ERM secara keseluruhan mulai dari tujuan diidentifikasi untuk
kemajuan kegiatan pengendalian ERM sedang berlangsung. Dokumen COSO ERM Framework
menunjukkan bahwa pemantauan dapat mencakup jenis kegiatan:
1. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti uang
tunai posisi, penjualan unit, dan data keuangan utama.
2. Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek kunci dari
kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang
diadakan dalam ketegangan.
3. Saat ini dan periodik pelaporan status temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status terkait ERM SOx kesenjangan diidentifikasi.
4. Perbaruan informasi terkait risiko dari sumber seperti aturan-direvisi pemerintah, tren
industri, dan berita ekonomi secara umum.
14
ini; masing-masing harus dipertimbangkan dalam hal kategori terkait lainnya. Komponen atas
menghadap strategis, operasi, pelaporan, dan tujuan risiko kepatuhan penting untuk memahami
dan menerapkan COSO ERM.
(A) Manajemen Risiko Operasional Tujuan
Berikut kerangka tiga dimensi ERM, tujuan risiko operasi tingkat panggilan untuk
identifikasi risiko untuk setiap unit perusahaan.
(B) Manajemen Risiko Pelaporan Tujuan
Tujuan risiko ini mencakup keandalan laporan suatu perusahaan data finansial dan
nonfinansial internal dan eksternal. Tidak peduli apa industri itu di, sebuah perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau wilayah. unit operasi
harus memastikan bahwa melaporkan hasil yang benar sebelum mereka lulus ke tingkat
berikutnya dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka berada di
laporan keuangan, pajak, atau salah satu dari segudang daerah lain.
(C) Tujuan Risiko Hukum Regulatory Compliance
Setiap jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan
pemerintah yang dikenakan atau standar industri. COSO ERM merekomendasikan bahwa risiko
terkait kepatuhan dipertimbangkan untuk setiap komponen kerangka risiko, apakah dalam
konteks lingkungan internal, pengaturan tujuan, atau pemantauan risiko, serta di seluruh
perusahaan.
15
dan meminta manajemen yang bertanggung jawab di masing-masing divisi utama untuk survei
tujuan risiko melalui operasi unit dalam divisi itu.
16
KESIMPULAN
17
DAFTAR PUSTAKA
Moeller, Robert R. 2009. Brinks Modern Internal Auditing. John Willey & Sons Inc: New
York