3

mengidentifikasi setiap area yang resikonya lebih signifikan yang dapat berdampak pada
tiap operasi dalam suatu periode waktu.
Tim manajemen perusahaan harus memulai dengan daftar resiko potensial perusahaan
yang lebih lengkap dan bertanya pada diri mereka sediri mengenai pertanyaan terkait dengan :
o Apakah resiko melintasi keseluruhan perusahaan atau unik untuk salah satu
kelompok bisnis?
o Akankan perusahaan menghadapi resiko ini karena internal atau melalui
kejadian eksternal?
o Apakah resiko saling berkaitan, misalnya salah satu resiko dapat
menyebabkan resiko lain terjadi?
Manajemen perusahaan harus meninjau resiko yang teridentifikasi dan menggaris bawahi
resiko yang muncul sebagai yang paling kritis terhadap perusahaan.

a. Kunci Penilaian Risiko

Berbagai pendekatan dapat digunakan di sini, mulai dari perkiraan kualitatif yang terbaik
untuk mendekati beberapa rincian, analisis matematika kuantitatif. Peristiwa yang berpotensi
berisiko membuat manajemen khawatir. Tanggung jawab manajer seharusnya menilai risiko.
a. Probabilitas dan ketidakpastian
Ketika sejumlah risiko telah diidentifikasi, manajemen harus berpikir dari perkiraan
seperti risiko individu dan kejadian dalam dua digit probabilitas berkisar dari 0,01 sampai 0,99.
Penggunaan berbagai risiko ini tidak pernah memiliki kemungkinan terjadi nol atau 100 %.
Aturan dasar probabilitas adalah kita tidak dapat menambahkan hingga perkiraan probabilitas
independen untuk menghasilkan perkiraan bersama. Jika probabilitas risiko A terjadi adalah 60
% dan probabilitas yang terpisah tetapi terkait risiko B juga 60 % , kita tidak bisa mengatakan
bahwa kemungkinan kedua yang terjadi adalah 0,60 + 0,60 = 1,20. Karena 120 % tidak masuk
akal. Sebaliknya, probabilitas gabungan dari dua independen kejadian adalah produk dari dua
probabilitas terpisah. Yaitu:
Pr ( Event 1 ) Pr (Event 2 ) = Pr ( Kedua Events )
Sebuah proses penilaian risiko yang akurat, bagaimanapun, membutuhkan lebih dari
sekedar perkiraan. Manajemen perusahaan harus melihat risiko yang teridentifikasi dan
mengumpulkan informasi lebih lanjut, jika diperlukan.

b. Risiko saling ketergantungan

Intinya adalah bahwa risiko seringkali sangat saling bergantung dalam suatu perusahaan.
Setiap unit operasi bertanggung jawab untuk mengelola risiko sendiri, tetapi dapat dikenakan
konsekuensi dari kejadian risiko pada unit di atas atau di bawah dalam struktur organisasi.
c. Ranking risiko
Rangking risiko harus diselenggarakan pada unit oleh satuan dasar dan disesuaikan untuk
mengakomodasi semua risiko yang terkait secara paralel dengan entitas berada di peringkat atau
dievaluasi. Manajemen harus mengidentifikasi unit risiko untuk memastikan bahwa
kemungkinan risiko dan signifikansi perkiraan yang tepat.

b. Kuantitatif Analisis Risiko

a. Nilai yang diharapkan dan perencanaan respon
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan
memiliki beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko terjadi. Ide
ini adalah untuk memperkirakan dampak biaya dan kemudian menerapkan biaya itu untuk
kemungkinan faktor risiko untuk mendapatkan nilai yang diharapkan. Perkiraan biaya yang
diharapkan harus dilakukan oleh manajer perusahaan yang memiliki pengetahuan tentang daerah
atau implikasi risiko.
Karena jenis-jenis risiko melibatkan masalah-masalah seperti kegagalan komponen
perangkat keras, penurunan pangsa pasar, atau dampak dari peraturan pemerintah yang baru,
biasanya biaya ini tidak bisa hanya dilihat dalam katalog vendor yang sekarang.

b. Risiko pemantauan
Proses identifikasi risiko tidak dilihat terus menerus. Sama seperti suatu perusahaan akan
menyiapkan anggaran tahunan dengan revisi mungkin sekali per kuartal, proses identifikasi
risiko merupakan proses tahunan atau kuartalan. Setelah risiko ini telah diidentifikasi,
perusahaan perlu untuk memantau mereka dan membuat penyesuaian yang berkelanjutan sesuai
kebutuhan. Pemantauan risiko dapat dilakukan oleh pemilik atau pengamat independen.
Audit internal merupakan sumber yang sangat kredibel dan baik untuk memantau status
risiko yang teridentifikasi. Audit internal memiliki tingkat kredibilitas dan otoritas tambahan.

Ketika auditor bertanya tentang status beberapa daerah risiko diidentifikasi, mereka yang
bertanggung jawab untuk wilayah yang akan memberikan informasi akurat. Jika audit internal
tidak dapat memperoleh informasi yang baik mengenai status beberapa risiko diidentifikasi,
maka dapat menjadwalkan kunjungan untuk lebih memahami sifat dari daerah risiko.
Namun, jika orang-orang di perusahaan tahu bahwa auditor internal kadang-kadang dapat
melakukan kunjungan untuk memahami status atau beberapa risiko, maka akan ada
kecenderungan kuat untuk menyediakan beberapa jawaban. Status risiko tersebut perlu dipantau
secara teratur dengan perubahan yang dibuat dengan risiko diidentifikasi yang diperlukan.

2.1 COSO ERM : Enterprise Risk Management

COSO Enterprise Risk Management merupakan suatu kerangka yang membantu
perusahaan untuk memiliki defisinisi yang konsisten dari risiko. Tidak ada definisi dari
manajemen risiko yang diterima secara umum serta tidak ada kerangka komprehensif yang
menguraikan bagaimana suatu proses mengomunikasikan risiko. Kerangka COSO ERM
menyediakan suatu definisi yang umum dari manajemen risiko dan dapat membantu perusahaan
untuk mencapai tujuan pengawasan internal SOx. Pertama, COSO ERM mendefinisikan
manajemen risiko perusahaan:
Manajemen risiko perusahaan adalah suatu proses yang dipengaruhi oleh dewan
direksi, manajer dan personel lain di suatu perusahaan, diterapkan di dalam strategi
perusahaan, didesain untuk mengidentifikasi acara yang berpotensi untuk mempengaruhi
perusahaan, dan mengatur risikio yang ada pada harapan risiko yang diinginkan (risk appetite),
untuk menyediakan jaminan yang beralasan berdasarkan pencapaian tujuan perusahaan.

Kunci utama yang mendukung definisi kerangka COSO ERM meliputi:

ERM merupakan suatu proses.

Proses disini bukanlah suatu prosedur yang statis, namun proses disini merupakan suatu
peraturn yang fleksibel. Suatu perusahaan seringkali tidak dapat mendefinisikan peraturan
manajemen risiko melalui buku peraturan yang kecil, mengikat dan terorganisir. Perusahaan
cenderung memiliki rangkaian langkah yang terdokumentasi untuk meninjau dan mengevaluasi
risiko potensial serta mengambil tindakan berdasarkan faktor-faktor yang tersebar luar di
perusahaan.

Proses ERM diimplementasikan oleh seluruh pegawai di perusahaan.

Proses manajemen risiko harus diatur oleh orang yang cukup dekat dengan situasi risiko
untuk memahami berbagai macam faktor disekeliling risiko tersebut.

ERM diaplikasikan melalui strategi perusahaan

Suatu proses ERM yang efektif seharusnya memainkan peran penting dalam membantu
untuk menyusun strategi alternatif.

Konsep dari Harapan Risiko yang Diinginkan (Risk Appetite) Harus

Dipertimbangkan

Risk Appetite merupakan jumlah dari risiko baik perusahaan maupun manajer dapat
menerima risiko tersebut dalam nilai yang dapat dikejar. Risk Appetite dapat diukur secara
kualitaif dengan melihat risiko tersebut dalam beberapa kategori mulai dari tinggi hingga rendah

ERM menyediakan jaminan yang beralasan namun bukan jaminan positif

dalam pencapaian tujuan

ERM tidak dapat memberikan suatu garansi atas hasil dari pencapaian tujuan kepada
manajer atau personil lain di perusahaan.

ERM didesain untuk membantu dalam pencapaian tujuan

ERM menghubungkan cita-cita organisasi (organizations goals) dengan tujuan

organisasi. Keduanya merupakan nilai kecil yang seringkali luput dari pengelolaan dan di buat
dengan cara manajemen yang dapat di lihat pada berbagai aspek dari tugas dan pemahaman, dan
juga dari cara berinteraksi dalam perusahaan.

2.2 COSO ERM Key Elements

Dua buah framework Enterprise Risk Management (ERM) adalah COSO dan RIMS.
Keduanya mendeskripsikan pendekatan untuk mengidentifikasi, menganalisa, bertanggung
jawab, dan memonitor risiko ataupun peluang di dalam maupun di luar lingkungan yang dihadapi
perusahaan. COSO memiliki delapan komponen dan empat kategori objek. Delapan komponen
tersebut antara lain:
(a) Lingkungan Internal
Komponen ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara
umum dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta integritas
dan kepentingan terhadap kesejahteraan organisasi. Juga tercakup struktur organisasi serta

kebijakan dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah orangnya
dan lingkungan dimana dia beraktivitas. Faktor manusia yang dimaksudkan disini adalah atribut
yang melekat di orang tersebut, misalnya: integritas, nilai etika, dan kompetensi.
Lingkungan internal merupakan dasar dari seluruh komponen ERM yang menyajikan
disiplin dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan tujuan
organisasi ditetapkan, aktivitas kegiatan dibangun, dan bagaimana risiko diidentifikasi, dinilai,
dan ditindaklanjuti. Lingkungan internal juga mempengaruhi bagaimana desain dan fungsi dari
aktivitas pengendalian, sistem informasi dan komunikasi, dan aktivitas pemantauan. Lingkungan
internal ini terbentuknya sangat dipengaruhi oleh latar belakang sejarah dan kultur atau budaya
orang dan masyarakat sekitar yang membentuknya.
Lingkungan internal terdiri dari berbagai sub komponen, yaitu:

Filosofi manajemen risiko yaitu seperangkat keyakinan dan sikap yang mencirikan bagaimana
organisasi memandang risiko organisasi dalam segala hal;

Harapan risiko yang diinginkan (risk appetite) yaitu besaran dan jumlah risiko yang
diharapkan dan diterima organisasi;

Pimpinan yaitu struktur, pengalaman, independensi, dan peran pengawasan (oversight) yang
dimainkan.

Integritas dan nilai etika yaitu preferensi, standar perilaku, dan gaya;

Komitmen kompetensi yaitu pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan
tugas dan pekerjaan;

Struktur Organisasi yaitu kerangka fungsi manajemen yang berupa perencanaan, pelaksanaan,
pengendalian, dan aktivitas pemantauan;

Wewenang dan tanggung jawab yaitu tingkatan dimana individu dan tim di dalam organisasi
memiliki wewenang dan didorong untuk menggunakan inisiatifnya untuk mengarahkan berbagai
hal penting dan mengatasi permasalahan sebatas wewenang yang dimilikinya;

Standar Sumber Daya Manusia yaitu praktik-praktik berkaitan dengan rekrutasi, orientasi,
training, evaluasi, konseling, promosi, kompensasi, dan pengambilan tindakan perbaikan yang
segera berkaitan dengan masalah SDM.

(b) Penetapan Tujuan

Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan
operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai risiko baik yang
bersumber dari internal maupun eksternal. Penetapan tujuan merupakan langkah awal untuk
nantinya dapat mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap risiko.

(c) Kegiatan Identifikasi

Sebuah insiden perusahaan atau kejadian eksternal mempengaruhi pelaksanaan strategi
ERM dan pencapaian tujuannya. Banyak perusahaan saat ini memiliki kinerja alat-monitoring
yang kuat di tempat untuk memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan
sejenisnya. Namun, lebih dari sekedar menginstal meter pada jalur produksi perakitan, proses
pemantauan harus mencakup:

Peristiwa ekonomi eksternal

Berbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan ERM suatu
perusahaan. Jangka panjang maupun jangka pendek peristiwa dapat mempengaruhi tujuan
strategis suatu perusahaan.

Peristiwa lingkungan alam

Apakah kebakaran, banjir, atau gempa bumi, berbagai acara dapat menjadi insiden di
identifikasi risiko ERM. Dampak yang ditimbulkan di sini mungkin termasuk kehilangan
akses ke beberapa bahan baku utama, kerusakan fasilitas fisik, atau tidak tersedianya SDM.

Peristiwa politik
Undang-undang baru dan peraturan serta hasil pemilu dapat menjadi peristiwa yang
berhubungan dengan dampak risiko yang signifikan pada perusahaan.

Faktor sosial
Sebagian besar faktor-faktor sosial secara perlahan berkembang saat ini. Ini termasuk
perubahan demografis, adat istiadat sosial, dan aktivitas lainnya yang dapat mempengaruhi
suatu perusahaan dan pelanggan dari waktu ke waktu.

Peristiwa infrastruktur internal

Perusahaan sering melakukan perubahan halus yang memicu peristiwa terkait resiko
lainnya. Sebagai contoh, perubahan dalam layanan pelanggan pengaturan dapat
menimbulkan keluhan utama dan penurunan kepuasan pelanggan di unit ritel. Permintaan

pelanggan yang kuat untuk produk baru dapat menyebabkan perubahan dalam persyaratan
kapasitas pabrik dan kebutuhan tenaga tambahan.

Peristiwa proses terkait internal

Mirip dengan perubahan dalam kegiatan infrastruktur, perubahan proses kunci dapat
memicu berbagai peristiwa identifikasi risiko.

Peristiwa teknologi eksternal dan internal

Setiap perusahaan menghadapi berbagai berbagai macam peristiwa teknologi yang dapat
memicu kebutuhan untuk risiko resmi identifikasi.
Suatu perusahaan perlu menetapkan dengan jelas peristiwa risiko yang signifikan dan

kemudian memiliki proses di tempat untuk memantau mereka untuk mengambil tindakan yang
tepat diperlukan. Melihat peristiwa risiko potensial internal dan eksternal dan memutuskan mana
yang memerlukan perhatian lebih lanjut dapat menjadi proses yang sulit. Beberapa petunjuk
perusahaan mempertimbangkan beberapa pendekatan ini:

Persediaan event
Manajemen harus mengembangkan daftar yang berhubungan dengan risiko kejadian umum
untuk industri tertentu perusahaan dan area fungsional .

Workshop yang Difasilitasi

Suatu perusahaan dapat membangun workshop lintas fungsional untuk membahas faktorfaktor risiko potensial yang dapat berkembang dari berbagai internal atau eksternal
peristiwa.

Wawancara, kuesioner, dan survei

Informasi mengenai potensi risiko Peristiwa yang dapat datang dari berbagai sumber ,
seperti surat atau komentar kepuasan pelanggan.

Analisis Alur Proses

Teknik-teknik aplikasi ERM COSO bahan merekomendasikan penggunaan diagram alir
untuk meninjau proses dan mengidentifikasi potensi kejadian risiko.

Memimpin acara dan memicu eskalasi

Idenya di sini adalah untuk membangun serangkaian unit usaha pengukuran untuk
memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.

10

Pelacakan data event Loss

Pelacakan

acara

Rugi

mengacu

pada

menggunakan

baik

internal

maupun

sumber database publik untuk melacak aktivitas di bidang minat. Sumber-sumber ini dapat
juga mencakup berbagai bidang mulai dari indikator ekonomi terkemuka untuk tingkat
kegagalan peralatan intern.

(d) Risk Assessment

Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek
peristiwa yang berhubungan dengan risiko potensial. Risiko ini harus dinilai dari dua perspektif:
kemungkinan dari

risiko yang terjadi dan dampak potensial. Namun, kebutuhan untuk

mempertimbangkan risiko yang melekat dan residual juga:

Risiko yang melekat

Faktor-faktor utama yang mempengaruhi perusahaan risiko yang melekat adalah ukuran
anggaran, kekuatan dan kecanggihan manajemen, dan hanya sifat kegiatannya.

Residual risk
Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan.

(e) Risk Response

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM panggilan
untuk respon diukur untuk berbagai risiko diidentifikasi. Harus ada pemeriksaan yang seksama
estimasi likelihoods risiko dan potensi dampak, dengan pertimbangan diberikan biaya yang
terkait dan manfaat, untuk mengembangkan strategi respon risiko yang tepat. ini respon risiko
dapat ditangani dalam salah satu dari empat cara dasar ini:
1.

Penghindaran

Ini adalah strategi berjalan menjauh dari risiko seperti menjual sebuah unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
Suatu perusahaan harus melakukan komunikasi untuk risiko yang mungkin merupakan
pertimbangan yang paling penting ketika memutuskan apakah strategi yang digunakan
dalam penghindaran risiko yang tepat.

11

2.

Pengurangan
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini
produk dapat mengurangi risiko terlalu kuat ketergantungan suatu pada satu lini produk
utama, operasi pemisahan IT menjadi dua terpisah secara geografis lokasi akan
mengurangi risiko beberapa kegagalan.

3.

Berbagi
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tapi teknik pembagian risiko lainnya juga tersedia. Untuk transaksi
keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi
dari kemungkinan fluktuasi harga, atau dapat berbagi risiko bisnis potensial dan manfaat
melalui perjanjian joint venture perusahaan atau struktural lainnya pengaturan.

4.

Penerimaan
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan menjamin diri
dengan mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, suatu
perusahaan harus melihat kemungkinan dan dampak risiko dalam terang risiko yang telah
ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.
penerimaan adalah seringkali merupakan strategi yang tepat untuk banyak berbagai risiko
perusahaan yang dihadapi.
Jika ada risiko suatu perusahaan bisa kehilangan operasi manufaktur seluruh karena

kegagalan produksi peralatan pabrik, tanggapan potensi risiko termasuk:

Memperoleh peralatan produksi cadangan untuk melayani suku cadang untuk sebagai
cannibalization.
Matikan jalur produksi manufaktur dengan rencana untuk memindahkannya ke tempat lain.
Aturlah agar sebuah toko khusus untuk membangun kembali / merekonstruksi peralatan
tua.
Merekayasa ulang produk yang diproduksi dan rencana untuk pengenalan produk baru

(f) Control Activities

Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan risiko diidentifikasi responses.COSO ERM panggilan untuk pendekatan
mengidentifikasi, mendokumentasikan, pengujian, dan kemudian memvalidasi kontrol

12

perlindungan risiko tersebut. Setelah melalui COSO ERM acara identifikasi risiko, proses
penilaian, dan respon, pemantauan risiko memerlukan empat langkah berikut:
1. Membangun pemahaman yang kuat tentang risiko secara signifikan dan membangun
kontrol prosedur untuk memantau atau benar bagi mereka api drill-jenis prosedur
pengujian
2. Create untuk menentukan apakah mereka kontrol terkait risiko prosedur bekerja secara
efektif.
3. Perform proses pemantauan risiko untuk menentukan apakah mereka bekerja secara
efektif dan seperti yang diharapkan.
4. Make penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko
pemantauan proses.
Banyak kegiatan kontrol dalam pengendalian internal COSO cukup mudah untuk
mengidentifikasi dan uji karena sifat akuntansi mereka. kegiatan pengawasan ini umumnya
meliputi daerah-daerah pengendalian internal:
A. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang memberikan kuasa transaksi itu.
B. Trails Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
C. Keamanan dan Integritas. proses kontrol harus memiliki kontrol yang tepat prosedur
sehingga orang hanya berwenang dapat meninjau atau memodifikasi mereka.
D. Dokumentasi. Proses harus tepat didokumentasikan.
Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam mengidentifikasi
kegiatan kontrol untuk mendukung kerangka ERM nya. Meskipun tidak ada diterima atau
standar yang ditetapkan kegiatan pengendalian ERM saat ini, dokumentasi COSO ERM
menunjukkan beberapa bidang:
1. Ulasan Top-level
2. Manajemen fungsional atau kegiatan pengolahan langsung
3. Informasi
4. Pengendalian indicator fisik
5. Kinerja
6. Pemisahan tugas

13

(g) Information and Communication

Informasi dan komunikasi kurang satu set terpisah dari proses yang terkait risiko dari alat
dan proses yang menghubungkan komponen ERM COSO lainnya. Menampilkan informasi yang
mengalir di komponen ERM COSO.

(h) Monitoring
Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM adalah
diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja secara efektif.
Orang dalam perubahan perusahaan, seperti halnya proses pendukung dan kedua kondisi internal
dan eksternal, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja secara
efektif secara terus menerus.
Dalam rangka membangun kerangka ERM yang efektif, pemantauan harus mencakup
ulasan berkelanjutan dari proses ERM secara keseluruhan mulai dari tujuan diidentifikasi untuk
kemajuan kegiatan pengendalian ERM sedang berlangsung. Dokumen COSO ERM Framework
menunjukkan bahwa pemantauan dapat mencakup jenis kegiatan:
1. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti uang
tunai posisi, penjualan unit, dan data keuangan utama.
2. Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek kunci dari
kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang
diadakan dalam ketegangan.
3. Saat ini dan periodik pelaporan status temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status terkait ERM SOx kesenjangan diidentifikasi.
4. Perbaruan informasi terkait risiko dari sumber seperti aturan-direvisi pemerintah, tren
industri, dan berita ekonomi secara umum.

6.4. Other Dimensions of COSO ERM: Enterprise Risk Objectives

Meskipun banyak pengenalan COSO ERM kami di sini adalah pada sisi depan
menghadap kerangka tiga dimensi, dua dimensi-lain operasional dan organisasi tingkat-harus
selalu dipertimbangkan. Setiap komponen dari COSO ERM beroperasi dalam ruang tiga-dimensi

14

ini; masing-masing harus dipertimbangkan dalam hal kategori terkait lainnya. Komponen atas
menghadap strategis, operasi, pelaporan, dan tujuan risiko kepatuhan penting untuk memahami
dan menerapkan COSO ERM.
(A) Manajemen Risiko Operasional Tujuan
Berikut kerangka tiga dimensi ERM, tujuan risiko operasi tingkat panggilan untuk
identifikasi risiko untuk setiap unit perusahaan.
(B) Manajemen Risiko Pelaporan Tujuan
Tujuan risiko ini mencakup keandalan laporan suatu perusahaan data finansial dan
nonfinansial internal dan eksternal. Tidak peduli apa industri itu di, sebuah perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau wilayah. unit operasi
harus memastikan bahwa melaporkan hasil yang benar sebelum mereka lulus ke tingkat
berikutnya dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka berada di
laporan keuangan, pajak, atau salah satu dari segudang daerah lain.
(C) Tujuan Risiko Hukum Regulatory Compliance
Setiap jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan
pemerintah yang dikenakan atau standar industri. COSO ERM merekomendasikan bahwa risiko
terkait kepatuhan dipertimbangkan untuk setiap komponen kerangka risiko, apakah dalam
konteks lingkungan internal, pengaturan tujuan, atau pemantauan risiko, serta di seluruh
perusahaan.

6.5 Entity-Level Risk

Dimensi ketiga dari kerangka COSO ERM panggilan untuk risiko yang harus
dipertimbangkan pada suatu organisasi atau badan-satuan divisi level 4 dalam dimensi kerangka
ini: tingkat entitas, divisi, unit bisnis, dan risiko anak.
(A) Resiko Meliputi Organisasi Seluruh
(B) Unit Bisnis Tingkat Risiko
Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan
beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas. Risiko harus
diperhatikan dalam setiap unit organisasi yang signifikan. Tergantung pada kompleksitas dan
jumlah unit operasi, tanggung jawab risiko sering bisa start terbaik sebagai proses push-down di
mana manajemen tingkat korporasi secara resmi menguraikan kekhawatiran terkait risiko utama

15

dan meminta manajemen yang bertanggung jawab di masing-masing divisi utama untuk survei
tujuan risiko melalui operasi unit dalam divisi itu.

6.6 Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi masalah risiko dan manajemen risiko di banyak daerah
audit semesta di mana ada pertunjukan ulasan, dan auditor internal yang efektif harus memahami
proses manajemen risiko. audit internal dapat membantu suatu perusahaan dengan perencanaan
dan melakukan review dari proses manajemen risiko perusahaan. Tentu saja, untuk meninjau
praktek COSO ERM dan prosedur pelaksanaan, auditor internal, baik sebagai pengulas audit
internal kontrol atau konsultan manajemen, perlu mengembangkan pemahaman yang kuat dari
COSO kontrol ERM dan proses. Audit internal harus meninjau proses ERM perusahaan-lebar
menggunakan beberapa alat ini:
(A) Proses flowchart
Proses diagram alur dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi dalam perusahaan. Hal ini memerlukan melihat dokumentasi disiapkan untuk risiko
yang terkait proses, menentukan apakah mereka adalah kondisi saat ini, dan menggambarkan
kecukupan keseluruhan dari semua tingkatan proses risiko perusahaan.
(B) Ulasan bahan risiko dan pengendalian
Bahan bimbingan, prosedur terdokumentasi, format laporan, dan sejenisnya. Mungkin
sering berharga untuk review audit internal risiko dan bahan kontrol.
(C) Benchmarking
Benchmarking adalah proses melihat fungsi di lingkungan lain untuk menilai operasi
mereka dan untuk mengembangkan pendekatan peningkatan berdasarkan praktik terbaik dari
orang lain. The Institute of Internal Auditor "Kemajuan Melalui Sharing" (IIA) moto dan tradisi
serta pendekatan benchmarking.
(D) Kuesioner
Kuesioner adalah metode yang baik untuk mengumpulkan informasipada efektivitas ERM dari
berbagai macam orang.

16

KESIMPULAN

1. Committe of Sponsoring Organizations Enterprise Risk Management (COSO ERM)

merupakan pendekatan dalam metodologi resiko perusahaan yang diterbitkan oleh COSO
yang memungkinkan perusahaan dan audit internal untuk mempertimbangkan dan
menaksir resiko di seluruh tingkatan, baik itu wilayah individu, contohnya untuk proyek
pengembangan tekhnologi informasi, maupun resiko global yang terkait dengan ekspansi
internasional. COSO ERM berkaitan erat dengan pengendalian internal perusahaan.
Pentingnya COSO ERM pada saat ini dilatarbelakangi karena banyaknya resiko
perusahaan yang akan di hadapi di masa yang akan datang sebagai akibat dari keputusan
saat ini.
2. Proses manajemen resiko adalah proses yang membutuhkan suatu alat untuk memilahmilah berbagai resiko perusahaan dalam rangka membuat biaya yang masuk akal dan
keputusan terbaik terkait dengan resiko tersebut. Proses manajemen resiko yang efektif
terdiri dari 4 langkah, yakni identifikasi resiko, penaksiran kualitatatif dan kuantitatif atas
resiko yang terdokumentasi, pemrioritasan resiko dan respons atas rencana dan
pemantauan resiko.
3. Kunci utama yang mendukung definisi kerangka COSO ERM meliputi: ERM merupakan
suatu proses, proses ERM diimplementasikan oleh seluruh pegawai di perusahaan, ERM
diaplikasikan melalui strategi perusahaan, konsep dari harapan risiko yang diinginkan
(Risk Appetite) harus dipertimbangkan, serta ERM menyediakan jaminan yang beralasan
namun bukan jaminan positif dalam pencapaian tujuan.
4. COSO memiliki delapan komponen dan empat kategori objek. Delapan komponen
tersebut antara lain internal environment component, objective setting, event
identification, risk assessment, risk response, control activities, information and
communication dan monitoring. Dimensi lain dari COSO ERM berisikan operation risks
management objectives, reporting management objectives, dan legal and regulatory
compliance risk objectives.

17

DAFTAR PUSTAKA

Moeller, Robert R. 2009. Brinks Modern Internal Auditing. John Willey & Sons Inc: New
York