Manajemen Risiko: COSO ERM

Perusahaan perlu mengidentifikasi semua risiko bisnis (baik itu risiko keuangan atau
risiko operasional, serta risiko sosial, etika, dan lingkungan), setelah itu mengelola risiko tersebut
untuk dapat diterima atau dikendalikan. Memahami Risiko merupakan komponen utama dari
pencapaian Sarbanes-Oxley (SOx), melalui Auditing Standard No. 5 (AS 5) internal audit, baik
yang berperan sebagai assurance dan konsultan, dapat berkontribusi terhadap management risiko.
Tapi risiko management ini sendiri sangat sulit untuk didefenisikan karna setiap orang memiliki
pemahaman yang berbeda tentang risiko. Dalam mendukung pemahaman kita tentang
pengendalian internal Sox, auditor internal perlu memiliki pemahaman yang lebih baik atas
manajemen risiko dan bagaiman dampak keahlian mereka dalam membangun dan
mengembangkan pengendalian internal yang efektif. Semua pihak harus harus mempu menilai
risiko relative, memahami risiko sekitar perusahaan mereka, dan harus mampu
mendokumentasikan dan membuktikan ada atau tidaknya pengendalian internal masalah
pengecualian, berdasarkan risiko relatif.
Sebelumnya tidak ada defenisi yang pasti tentang resiko manajemen hingga akhirnya
COSO menerbitkan metodologi risiko perusahaan yaitu, COSO Enterprise Risk Manajemen
Format Terpadu (COSO ERM). COSO ERM ini merupakan pendekatan yang memungkinkan
suatu perusahaan dan internal audit menilai risiko untuk mempertimbangkan dan menilai risiko
di semua tingkatan, di daerah masing-masing. Seperti untuk proyek pengembangan teknologi
informasi (IT), atau di risiko global mengenai ekspansi internasional. COSO ERM dibangun oleh
beberapa unsur utama dari kerangka COSO ERM dan melihat bagaiman auditor internal dapat
membangun COSO ERM kedalam proses audit serta langkah-langkah untuk mengaudit
efektivitas proses manajemen risiko suatu perusahaan.

6.1 DASAR-DASAR MANAJEMEN RISIKO

Semua kegiatan tergantung pada ketidakpastian atau risiko. Seperti risiko pesaing baru,
kerusakan, kehilangan, dll. Manajemen risiko merupakan perlindungan terhadap risiko
perusahaan. Manajemen risiko dibuat dengan memilai risiko relatif dan biaya untuk menutupi
risiko.
Proses manajemen risiko yang efektif memerlukan empat langkah:
(1) identifikasi risiko,
(2) penilaian kuantitatif atau kualitatif dari Risiko yang didokumentasikan,
(3) risiko prioritas dan respon perencanaan, dan
(4) pemantauan risiko.
Empat langkah proses manajemen risiko ini harus diterapkan pada semua tingkat perusahaan
dengan partisipasi banyak orang yang berbeda.

(a) Identifikasi Risiko

Manajemen harus berusaha untuk mengidentifikasi semua resiko yang mungkin
berdampak pada keberhasilan perusahaan, mulai dari risiko yang besar atau signifikan
keseluruhan hingga ke risiko bisnis yang kurang penting atau unit bisnis yang lebih kecil.
Proses pengidentifikasian risiko membutuhkan pembelajaran, serta pendekatan yang
disengaja untuk melihat potensi di setiap risiko pada area operasi dan kemudian
mengidentifikasi area identifikasi risiko. Proses pengidentifikasian risiko di berbagai
tingkatan dengan pemahaman bahwa risiko yang berdampak unit usaha perorangan atau
proyek mungkin tidak memiliki dampak besar pada perusahaan. Sebaliknya, risiko utama
memiliki dampak yang akan mengalir ke perusahaan dan unit bisnis. Cara yang baik untuk
memulai pengidentifikasian risiko dengan memulai dari organisasi tingkat tinggi yaitu
tingkat korporasi maupun unit operasi. Pendekatan yang lebih baik untuk proses
pengidentifikasian risiko adalah dengan mengidentifikasi identitas orang-orang di semua
tingkat perusahaan untuk melakukan penilai risiko, baik itu bidang keuangan, operasional,
TI, manajemen, dan sebagaianya. Mereka dapat membantu mengidentifikasi risiko dan
kemudian menilai risiko di unit mereka. Sehingga dapat dilihat seberapa jauh risiko
berpengaruh terhadpa unit operasi perusahaan. Berikut tabel yang menunjukkan beberapa
jenis risiko utama yang berdampak pada perusahaan,baik itu risiko strategis, operasi, dan
keuangan.
Setelah melakukan pengidentifikasian risiko kita perlu untuk mendapatkan pemahaman
yang kuat tentang sifat risiko pada berbagai tingkatan perusahaan dan kemudian menyoroti
risiko utamanya, seperti risiko signifikan penurunan peringkat kepuasan pelanggan, risiko
pesaing baru, dan lainnya. Setelah itu perusahaan perlu menilai risiko mana yang paling
penting bagi perusahaan, kemudian menyiapkan langkah penaganan terkait dengan risiko
tersebut.
(b) Kunci Penilaian Risiko
Langkah berikutnya setelah mengidentifikasi risiko adalah untuk menilai
kemungkinan relative signifikan. Berbagai pendekatan dapat digunakan disini, mulai dari
analisis pendekatan kualititatif hingga analisis pendekatan kuantitatif. Hal ini dapat
membantu Anda memilih mana dari serangkaian risiko yang paling berpotensi terhadap
peristiwa yang paling mengkhawatirkan manajemen. Manajer bertanggung jawab
terhadap penilaian risiko dengan menggunakan pendekatan kuesioner:
1. Resioko apa kemungkinan yang terjadi selama periode satu tahun depan?
Menggunakan skor 1-9:
Skor 1 jika Anda melihat hampir tidak ada kesempatan terjadi risiko yang
selama periode tersebut
Skor 9 jika Anda merasa risiko tersebut akan terjadi hampir selama
periode itu
Skor 2 sampai 8 tergantung pada bagaimana Anda merasa kemungkinan
jatuhnya antara kedua rentang.
2. Bagaiman signifikansi dari risiko dan biaya keseluruhan untuk perusahaan?
Skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada keuangan risiko
yang signifikan. Sebuah risiko yang dapat menurunkan biaya laba bersih per
saham harus memnuhi syarat untuk nilai maksimal 9.

(i) Probabilitas Dan Ketidakpastian

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir tentang
perkiraan risiko dan kejadian dalam probabilitas berkisar dari 0,01 hingga 0,99. Aturan
dasar probabilitas adalah bahwa kita tidak dapat menambahkan perkiraan probabilitas
independen untuk menghasilkan perkiraan. Informasi tambahan yang mungkin
diperlukan sebelum semua risiko diidentifikasi dapat akurat dinilai.
(ii) Risiko Independensi
Independensi risiko harus selalu dipertimbangkan dan dievaluasi oleh seluruh struktur
organisasi. Setiap unit operasi bertanggung jawab untuk mengelola risiko mereka masing-
masing dan tunduk pada konsekuensi dari kejadian risiko pada unit di organisasi.
(iii) Peringkat Resiko
Langkah berikutnya adalah untuk mengambil makna signifikansi dan perkiraan
kemungkinan yang ditetapkan, menghitung peringkat risiko, dan mengidentifikasi risiko
yang paling signifikan pada seluruh entitas. Meskipun kita tidak pernah bisa memprediksi
 risiko utama perusahaan, akan tetapi perusahaan harus selalu menyadari bencana terburuk
yang bisa terjadi.

(c) Analisis Risiko Kuantitatif

(i) Nilai Yang Diharapkan Dan Penanggulangan Perencanaan
Pada saat mengidentifikasi risiko perusahaan memiliki beberapa rencana awal untuk
tindakan yang diperlukan jika salah satu risiko terjadi. Gagasan ini adalah untuk
memperkirakan dampak biaya yang timbul dari beberapa risiko yang diidentifikasi dan
kemudian biaya itu diterapkan untuk kemungkinan faktor risiko untuk mendapatkan nilai
yang diharapakn atau biaya risiko. Ketika hal ini berjalan maka biaya tidak akan banyak
diperlukan, sebaliknya perkiraan biaya yang diharapkan harus dilakukan oleh orang-
orang diberbagai tingkatan dari perusahaan yang memiliki pengetahuan tentang daerah
atau implikasi risiko.
(ii) Risiko Pemantauan
Identifikasi risiko kunci (utama) tidak cukup hanya sekali. Lingkungan sekitar risiko
yang teridentifikasi akan segera berubah seiring dengan perubahan kondisi sekitarnya.
Untuk beberapa Risiko, kondisi dapat berubah sedemikian rupa hingga risiko menjadi
ancaman yang lebih besar. Suatu perusahaan membutuhkan mekanisme untuk memantau
mengidentifikasikan risiko.
Monitoring risiko dapat dilakukan oleh pemilik atau oleh reviewer independen. Salah
satu reviewer independen adalah audit internal. Audit internal sangat kredibel dan
memiliki otoritas tambahan untuk memantau pengidentifikasian risiko. Jika audit internal
tidak dapat memperoleh informasi yang baik mengenai status pengidentifikasi risiko,
audit internal selalu dapat menjadwalkan kunjungan untuk lebih memahami sifat dari
daerah risiko. Proses pemantauan yang akurat adalah komponen penting dari manajemen
risiko.

6.2 COSO ERM: ENTERPRISE RISK MANAGEMENT

COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu
perusahaan memiliki definisi konsisten dari risiko mereka. Hal ini juga merupakan alat penting
untuk memahami meningkatkan pengendalian internal SOx. COSO ERM dikeluarkan dengan
cara yang sama dengan pengembangan COSO Internal Control Framework. Kerangkan
konseptual COSO ERM diterbitkan setelah berlakunya SOx pada bulan September 2004. Sama
seperti pengendalian internal COSO, kerangka COSO ERM dimulai dengan mengusulkan
definisi subjek yang konsisten dan kemudian mendefenisikan manajemen risiko perusahaan.
Manajemen risiko perusahaan adalah proses, dipengaruhi oleh dewan entitas, manajemen dan
personil lainnya, yang diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian potensial pengidentitasian risiko yang dapat
mempengaruhi entitas, dan mengelola risiko, untuk memberikan keyakinan memadai tentang
pencapaian tujuan entitas.
Poin-poin penting yang mendukung kerangka kerja COSO ERM yaitu:
ERM adalah sebuah proses.
Proses adalah serangkaian tindakan yang dirancang untuk mencapai hasil. Proses bukan
prosedur statis, sebuah proses cenderung lebih fleksibel untuk pengaturan. Dalam proses
persetujuan kredit misalnya, aturan penerimaan kredit ditetapkan agar orang yang
menerima kredit merupakan pelanggan yang baik, yang mampu membayar tepat waktu.
Suatu perusahaan tidak dapat selalu mengidentifikasi risiko sehingga dibuatlah buku
panduan yang berisi serangkaian langkah yang didokumentasikan untuk meninjau dan
mengevaluasi risiko potensial dan mengambil tindakan atas risiko berdasarkan berbagai
faktor pada seluruh perusahaan.
Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
Sebuah ERM tidak akan efektif jika hanya diimplementasikan melalui seperangkat aturan
yang dikirim ke unit operasi dari kantor pusat perusahaan. Orang yang menyusun aturan
mungkin memiliki sedikit pemahaman tentang berbagai faktor keputusan seputar unit
operasi. Proses manajemen risiko harus dikelola oleh orang-orang yang cukup dekat
dengan situasi risiko untuk memahami berbagai faktor yang ada disekitar risiko, dan
mengambil langkah untuk menanggulangi resiko tersebut.
ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
Setiap perusahaan dihadapkan pada strategi alternatif mengenai berbagai macam potensi
tindakan masa depan. Sebuah proses ERM yang efektif dapat membantu membentuk
sejumlah alternatif strategi. Karena banyak perusahaan besar dengan banyak unit operasi
yang berbeda, ERM harus diterapkan di perusahaan dengan menggunakan portofolio.
Seluruh jenis pendekatan memadukan risiko yang tinggi dan berisiko rendah aktivitas.
Konsep risk appetite harus dipertimbangkan.
 Risk appetite adalah sejumlah resiko pada tingkat yang luas. Risk appetite dapat diukur
dalam arti kualitatif dengan melihat tingkatan risiko, seperti tinggi, sedang, atau rendah,
atau dapat didefinisikan secara kualitatif. Pemahaman tentang risk appetite mencakup
berbagai macam isu sebagai bagian dari Pelaksana COSO ERM untuk memperkuat SOx
lingkungan pengendalian internal suatu perusahaan. Setiap perusahaan memiliki beberapa
selera resiko.
ERM memberikan keyakinan yang positif yang masuk akal tapi tidak pada pencapaian
objektif.
ERM dirancang untuk membantu mencapai tujuan.