Risk Management: COSO ERM

Perusahaan perlu mengidentifikasi semua resiko bisnis yang mereka hadapi di antaranya
finansial dan operasional serta sosial, etika, dan lingkungan. Untuk mengelola risiko tersebut ke
tingkat yang dapat diterima. Memahami resiko merupakan komponen utama dalam mencapai
kepatuhan pada SOX. Melalui Auditing Standard No. 5, audit internal dalam peran assurance dan
konsultannya, dapat berkontribusi pada manajemen resiko. COSO Enterprise Risk Management
Integrated Format (COSO ERM) merupakan pendekatan yang memungkinkan suatu perusahaan
dan audit internal untuk mempertimbangkan dan menilai risiko di semua tingkatan, baik di
daerah tertentu atau risiko global.

6.1 Risk Management Fundamentals

Setiap Perusahaan ada untuk memberikan nilai pada stakeholder-nya, tetapi nilai tersebut
dapat terkikis lewat kejadian yang tidak terduga pada semua tingkatan perusahaan dan semua
aktivitas. Semua aktivitas ini tunduk pada ketidakpastian dan risiko, apakah itu adalah tantangan
yang disebabkan oleh pesaing baru dan agresif atau kerusakan dan bahkan hilangnya nyawa yang
disebabkan oleh gangguan bencana alam. Manajemn risiko merupakan konsep yang
berhubungan dengan asuransi dimana individu atau perusahaan menggunakan mekanisme
asuransi untuk menyediakan perlindungan dari risiko-risiko tersebut. Perusahaan membuat
keputusan berdasarkan penilaiannya atas risiko dan biaya untuk menutupi mereka melalui
pembelian asuransi.

Proses manajemen resiko yang efektif membutuhkan tiga langkah yang harus
diimplementasikan pada setiap tingkatan perusahaan dan partisipasi dari semua orang. Ketiga
langkah tersebut antara lain:

a. Risk Identification
Manajemen harus berusaha untuk mengidentifikasi risiko yang dapat mempengaruhi
keberhasilan perusahaan. Proses identifikasi resiko memerlukan pembelajaran dan
pendekatan yang mendalam untuk melihat resiko yang potensial dalam setiap area
operasi dan kemudian mengidentifikasi risiko yang lebih signifikan yang dapat
mempengaruhi setiap operasi dalam jangka waktu yang wajar. Pendekatan yang lebih
baik dalam mengidentifikasi resiko adalah mengidentifikasi orang-orang di semua
 tingkat perusahaan untuk melayani sebagai penilai risiko. Tujuan mereka adalah
mengidentifikasi dan membantu menilai resiko di unitnya masing-masing yang dibangun
di sekitar kerangka model identifikasi risiko.

b. Key Risk Assessments

Setelah mengidentifikasi resiko perusahaan yang signifikan, langkah selanjutnya adalah
menilai kemungkinan terjadinya dan signifikansi relative. Tujuannya adalah untuk
membantu dalam memutuskan yang mana yang harus manajemen khawatirkan dari
sekian banyak resiko potensial yang telah diidentifikasi sebelumnya.

c. Quantitative Risk Analysis

Expected Value And Response Planning
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan
memiliki setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika
salah satu risiko terjadi. Idenya adalah untuk memperkirakan dampak biaya dari
timbulnya beberapa risiko yang diidentifikasi dan kemudian menerapkan biaya itu
untuk kemungkinan risiko dalam mendapatkan nilai yang diharapkan atau biaya
risiko.
Risk Monitoring
Identifikasi risiko utama tidak pernah bisa menjadi proses yang dilakukan hanya
sekali. Lingkungan sekitar risiko yang teridentifikasi akan segera berubah karena
kondisi sekitarnya juga berubah. Untuk beberapa risiko, kondisi-kondisi bisa
berubah sedemikian rupa sehingga risiko menjadi ancaman yang lebih besar.
Setelah risiko telah diidentifikasi, perusahaan perlu memantau dan membuat
penyesuaian yang berkelanjutan terhadap risiko sesuai yang diperlukan.
Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau reviewer
independen. Audit internal seringkali merupakan sumber yang sangat kredibel dan
baik untuk memantau status risiko yang teridentifikasi.

6.2 COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu
perusahaan dalam memiliki definisi yang konsisten dari risiko mereka. Hal ini juga merupakan
alat penting untuk memahami dan meningkatkan kontrol internal SOX. Dokumen kerangka
COSO ERM dimulai dengan mendefinisikan manajemen risiko perusahaan sebagai berikut:
 Enterprise risk management adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen dan personil lainnya, diterapkan dalam pengaturan strategi di seluruh perusahaan,
yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko berada dalam risiko yang dapat diterima , untuk memberikan keyakinan
memadai sehubungan dengan pencapaian tujuan entitas

Poin-poin penting yang mendukung definisi kerangka kerja COSO ERM ini antara lain:
ERM adalah proses.
Proses ERM diimplementasikan oleh orang-orang di perusahaan.
ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
Konsep risk appetite harus dipertimbangkan.
ERM menyediakan jaminan yang wajar tapi tidak positif terhadap pencapaian tujuan.
ERM dirancang untuk membantu mencapai tujuan.

Kerangka kerja COSO ERM menyediakan beberapa definisi umum dari manajemen risiko dan
dapat membantu untuk mencapai tujuan pengendalian internal SOX serta proses manajemen
risiko yang lebih baik di seluruh perusahaan.

6.3 COSO ERM Key Elements

 Framework ERM COSO yang digambarkan sebagai kubus tiga dimensi berisi komponen-
komponen:

I. Empat kolom vertikal

Merepresentasikan tujuan strategis dari risiko perusahaan.
Strategic
Operations
Reporting
Compliance
II. Delapan baris horizontal
Berisi komponen-komponen risiko
Internal Environment
Objective Setting
Event Identification
Risk Assessment
Risk Response
Control Activities
Information and Communication
Monitoring
III. Beberapa tingkatan pada perusahaan
Tergantung pada ukuran organisasi, akan ada banyak irisan model di sini
Entity Level
Division
Business Unit
Subsidiary
Tujuan dari kerangka kerja ERM ini adalah untuk menyediakan model bagi perusahaan untuk
mempertimbangkan dan memahami kegiatan-kegiatan terkait risiko pada semua tingkat serta
bagaimana dampak komponen risiko ini satu sama lain.

a) Internal Environment
Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam model ERM suatu
perusahaan, mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana
kegiatan usaha terkait risiko terstruktur, dan bagaimana risiko diidentifikasi dan bertindak.
COSO ERM komponen lingkungan internal terdiri dari unsur-unsur:
Risk management philosophy
Risk appetite
Board of directors attitudes
Integrity and ethical value
Commitment to competence
Organizational structure
Asignments of authority and responsibility
Human resource standards
b) Objective Setting
Pengaturan tujuan menguraikan kondisi penting untuk membantu manajemen membuat
proses ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal
yang efektif, perusahaan harus menetapkan serangkaian tujuan strategis, sejalan dengan misi
dan meliputi kegiatan operasi, pelaporan, dan kepatuhan.
c) Event Identification
Event adalah insiden perusahaan atau kejadian-eksternal atau internal-yang mempengaruhi
pelaksanaan strategi ERM dan pencapaian tujuannya.

d) Risk Assessment
Komponen penilaian risiko adalah inti dalam kerangka COSO ERM. Penilaian risiko
memungkinkan suatu perusahaan untuk mempertimbangkan apa dampak suatu peristiwa
yang berhubungan dengan risiko potensial mungkin akan mempengaruhi pencapaian suatu
perusahaan dari tujuannya.
e) Risk Response
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, pengukuran untuk respon
dilakukan pada resiko yang telah diidentifikasi. Harus ada pemeriksaan yang seksama
terhadap estimasi kemungkinan terjadinya risiko dan dampak potensial, dengan
pertimbangan biaya dan manfaat yang terkait, untuk mengembangkan strategi respon risiko
yang tepat.
f) Control Activities
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respon risiko yang diidentifikasi. Setelah memilih respon
risiko yang tepat, perusahaan harus memilih kegiatan pengendalian yang diperlukan untuk
memastikan bahwa respon risiko dijalankan secara tepat waktu dan efisien.
g) Information and Comunication
Segmen informasi dari komponen informasi dan komunikasi ERM biasanya dianggap dalam
hal IT sistem informasi strategis dan operasional, lalu aspek kedua komponen ini,
komunikasi ERM, berbicara tentang komunikasi jauh dari sekedar aplikasi IT. Perlu
mekanisme yang baik untuk memastikan bahwa semua stakeholder menerima pesan tentang
minat perusahaan dalam mengelola risiko.
h) Monitoring
Pemantauan ERM diperlukan untuk menentukan bahwa semua komponen ERM yang
terpasang bekerja secara efektif. Orang-orang di perusahaan selalu berubah, begitu juga
dengan proses dan kondisi internal dan eksternal yang mendukung, tetapi komponen
monitoring membantu memastikan ERM yang bekerja efektif secara terus menerus.

6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives

Komponen risk managemt objectives seperti strategis, operasi, pelaporan, dan kepatuhan
merupakan hal penting untuk memahami dan menerapkan COSO ERM. Walaupun keempat
tujuan manajemen resiko ini terlihat sama dalam gambar framework kubus tiga dimensi ERM,
tujuan risiko tingkat operasi sering dipandang sebagai kategori risiko yang lebih luas dan
memiliki paparan yang lebih tinggi dari yang lain.
a. Tujuan Operasional Manajemen Risiko
Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk
mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan informasi
yang rinci, kemudian dikumpulkan dan dianalisis, khususnya untuk sebuah perusahaan
besar yang mencakup beberapa wilayah geografis, lini produk, atau bisnis proses.

b. Tujuan Pelaporan Manajemen Risiko

Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari internalnya
dan eksternal baik itu dari keuangan perusahaan dan data non keuangan. Pelaporan yang
akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak dimensi.
c. Risiko Kepatuhan Tujuan Hukum dan Peraturan
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang
dikenakan atas standar industri atau peraturan. Sementara risiko kepatuhan dapat
dipantau dan diakui, risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi
diarahkan terhadap perusahaan yang pernah memproduksi produk yang mengandung
asbes tertentu, panggilan ganti rugi berdasarkan risiko manusia yang potensial di masa
mendatang. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan
dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam konteks
lingkungan internal pemerintah, pengaturan tujuan, atau pemantauan risiko, serta di
seluruh perusahaan.