Pengelolaan Risiko (Risk Management)

Makalah ini dipresentasikan pada mata kuliah Internal Audit

Dosen Pengampu: Fitri Yani Jalil, SE., M.Sc

Oleh:

1. Zavita Mufariza 11140820000090

2. Achmad Ryzky 11140820000104
3. Nisrina Azizza R. 11140820000109

Akuntansi

Fakultas Ekonomi dan Bisnis

Universitas Islam Negeri (UIN) Syarif Hidayatullah

Jakarta

1438H / 2017 M
 Pengelolaan Risiko

(Risk Management)
A. Risiko

Bagi auditor internal, istilah risiko digunakan dalam proses audit dan
proses manajemen resiko. Dalam proses audit risiko yang dimaksud adalah
kemungkinan terjadinya salah saji material yang tidak dapat dideteksi oleh
prosedur audit yang telah dilakukan auditor pada asersi di tingkat saldo
rekening maupun transaksi. Contohnya, adalah secara tidak sadar, auditor
tidak sengaja gagal memodifikasi pendapat atas laporan keuangan yang telah
salah saji secara material karena adanya kesalahan atau kecurangan. Risiko
audit sendiri terdiri dari risiko bawaan (inherent risk), risiko pengendalian
(control risk), dan risiko deteksi (detection risk).

Sementara itu risiko yang dimaksud dalam proses manajemen risiko,

menurut Arthur Williams, adalah suatu variasi hasil-hasil yang dapat terjadi
selama periode tertentu atau probabilitas suatu hasil/outcome yang berbeda
dari yang diharapkan. Risiko ini juga dapat didefinisikan sebagai suatu
ketidakpastian yang kemungkinan menghasilkan peristiwa kerugian.

Investor dan manajemen pasti tidak menyukai ketidakpastian dan

kejadian yang tidak dapat diprediksi. Hal ini yang mendasari mengapa
manajemen perlu mengidentifikasi dan menilai risiko yang mungkin terjadi
serta menentukan tindakan yang diperlukan untuk menangani risiko.

Untuk mencapai tujuan organisasi , manajemen perlu mengendalikan

kejadian dan mencapai kesempatan. Oleh karena itu, manajemen bertanggung
jawab untuk mengidentifikasi dan mengelola risiko. Stakeholder, termasuk
investor dan bagian lain yang terkait, sangat berkepentingan untuk
memastikan bahwa kerangka manajemen resiko beroprasi secara efektif.
 B. Kategori Risiko
Risiko dapat dilihat dari berbagai perspektif. Tiap perspektif memberikan
memberikan pengkategorian yang berbeda-beda terhadap risiko, misalnya:
kepentingan diri, kondisi social, lingkungan, dan sebagainya.

Perpektif Kategori
Lingkup Financial/Asset Risk, yaitu risiko yang dapat terukur secara
Risiko keuangan atau kalkulasi asset (yang disebut juga Tangible Risk)
seperti risiko yang ditunjukan oleh angka-angka parameter/rasio
keuangan (likuiditas/turnover, solvabilitas/leverage,
profabilitas/rentabilitas, net present value, dan sebagainya)
Business/Operation Risk, yaitu risiko yang sulit diukur secara
keuangan (Intangible Risk), tetapi tetap dapat ditelusuri sumbernya
dan diukur dampaknya secara kuantitatif maupun kualitatif, seperti
penurunan market-share atau brand awareness di masyarakat,
pencapaian berbagai parameter bisnis, operasi dan pelayanan yang
tidak sesuai target (on-time delivery, damage quality, zero accident,
satisfaction level, dan sebagainya)
Sumber Inherrent Risk, yaitu risiko yang terkandung dalam institusi bisnis,
Risiko seperti akuisisi kepemilikan shareholder, Financial
Planning/Forecasting yang tidak tepat, minggatnya sejumlah star
employee, penyelewengan tugas (disrepancy) oleh karyawan,
birokrasi yang terlalu gemuk, service level yang rendah. Dan
sebagainya
Environment Risk, yaitu risiko yang menjadi ancaman dari luar
institusi bisnis, seperti pengaruh negative dari globalisasi (krisis
energy/pangan, resesi), perubahan rezim politik atau regulasi
pemerintah terkait bisnis, bencana alam, pembajakan Intellectual
property milik perusahaan, dan sebagainya
Waktu Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau dampak
Terjadinya yang langsung dirasakan, seperti kerugian investasi (atau akibat
Risiko (dan perubahan currency rate), asset yang raib (uang, persediaan, aset
Dampak dari tetap, dan sebagainya), turnover penjualan yang menurun, complain
Risiko) dari pelanggan, penceramahan limbah yang merugikan masyarakt
 sekita, dan sebagainya.

Potential/Hidden Risk, yaitu risiko yang mungkin saja muncul (atau

dampak risiko yang akan dihadapi) pada waktu mendatang, seperti
multiplier effect dari investasi di bidang property karena adanya
skandal subprime mortgage di US, stock level yang berlebihan,
berkurangnya jumlah cutomer base perusahaan secara perlahaan,
risiko kerugian karena musibah (force majeur), dan sebagainya.
Skala Risiko Manageable Risk, yaitu risiko yang belum terjadi tetapi telah
diketahui pasti terjadi, atau dampaknya telah diukur sebagai tidak
mampu ditanggung (paling tidak untuk beberapa waktu ke depan),
sehingga sedapat mungkin harus dihindari, seperti risiko small
business, yang didominasi brand ternama, dan risiko berinvestasi
dalam bisnis yang belum dikenal baik (tidak ada informasi yang
cukup)
Unmanaged risk, yaitu yang tidak dapat dihindari, baik karena sudah
terjadi atau sangat mungkin terjadi, sehingga harus ditandatangani
untuk menekan tingkat kemungkinan timbulnya risiko atau menekan
besrnya dampak negaif yang ditimbulkannya

C. Pengelolaan Risiko (Risk Management)

1) Pengertian
Berdasarkan pengertian, Pengelolaan Risiko (Risk Management)
dalam bisnis secara sederhana dapat didefinisikan sebagai:
tindakan terencana dan berkesinambungan untuk mengantisipasi
ketidakpastian di masa depan dengan cara mereduksi factor-faktor yang
memungkinkan terjadinya risiko, atau menekan dampak dari risiko,
berdasarkan identifikasi/observasi, pengukuran/analisis, dan
 penanganan/pengendalian atas faktor-faktor penyebab atau dampak risiko
yang mungkin terjadi.

Pengelolaan/manajemen risiko dalam bisnis awalnya sering

dijumpai pada industry jasa keuangan saja, mengingat ukuran kerugian
yang paling mudah adalah uang. Singkatnya, manajemen risiko juga
dikenal pada bisnis tertentu dikaitkan dengan keselamatan kerja (seperti
mining exploration, construction project, building management) atau
pencegahan risiko pencemaran hasil produksi dan penanganan limbah
beracun pada manufaktur. Belakangan, para pebisnis di berbagai industri
secara global semakin menyadari arti penting manajemen risiko.

2) Tujuan-Tujuan Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko, audit internal harus

memformulasikan suatu opini mengenai tingkat kesesuaian antara proses
dengan pencapaian. Tujuan-tujuan ini adalah :

Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan
diprioritaskan.
Manajemen dan dewan komisaristelah menentukan tingkat risiko
yang dapat diterima oleh organisasi, termasuk penerimaan risiko yang
dirancang untuk mencapai rencana strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk
mengurangi, atau justru mengelola risiko pada tingkat yang
ditentukan dapat diterima oleh manajemen dan dewan komisaris.
Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan
untuk secara periodik menilai ulang risiko dan efektivitas kontrol
untuk mengelola risiko.
Dewan komisaris dan manajemen menerima laporan periodik
mengenai hasil proses manajemen risiko. Proses tata kelola organisasi
harus memberikan komunikasi periodik risiko, strategi risiko, dan
kontrol untuk pihak-pihak yang berkepentingan.
3) Dasar-Dasar Manajemen Risiko
Proses manajemen risiko yang mendasar terdiri dari empat langkah
atau sering disebut dengan siklus pengelolaan risiko (risk process cycle).
 Empat langkah proses manajemen risiko tersebut harus
diimplementasikan pada semua tingktan orgnisasi perusahaan dan dengan
partisipasi manajemen dan karyawan pada tiap tingkatan tersebut. Dengan
kata lain, proses manajemen risiko dilakukan pada tingkatan korporasi,
anak perusahaan, unit bisnis, bahkan divisi atau bagian. siklus pengelolaan
risiko (risk process cycle), yaitu:

1. Identifikasi Risiko
Manajemen harus mengidentifikasi semua resiko yang
mungkin mempengaruhi keberhasilan organisasi, mulai dari risiko
yang berdampak kecil sampai yang mempunyai dampak yang
signifikan. Proses identifikasi harus dilakukan dengan hati-hati dan
mendalam untuk mengidentifikasi potensi risiko yang ada di area
operasi dalam suatu rentan waktu.
Identifikasi sebaiknya dilakukan dari level tertinggi
perusahaan sehingga menghasilkan daftar risiko yang ada ditingkat
korporasi. Daftar risiko tersebut nantinya menjadi acuan dalam
proses identifikasi untuk level di bawahnya. Berikut ini merupakan
contoh risiko yang mungkin terjadi pada perusahaan level
korporasi:
1. Risiko factor internal, meliputi strategi dan hak cipta
2. Risiko factor eksternal, meliputi industry, kondisi ekonomi,
dan pesaing.
3. Risiko proses, meliputi pasokan persediaan, kepuasan
pelanggan, dan siklus waktu produksi.
4. Risiko kepatuhan, meliputi risiko lingkungan, perubahan
aturan perundangan, dan perubahan kebijakan dan operasi.
5. Risiko SDM, meliputi rsisiko sumberdaya manusia,
perputaran tenaga kerja, insentif kinerja, dan pelatihan.
2. Penilaian Risiko
Penilaian risiko dilakukan untuk memetakan risik berdasarkan
kemungkinan keterjadiannya dan dampak yang ditimbulkan bila
risiko ini terjadi. Meliputi proses engumpulan, seleksi, dan analisis
informasi factual yang relevan dengan setiap jenis risiko beserta
dampaknya.
3. Pengembangan Hasil, Prioritas Risiko dan Perencanaan Respons
 Disini, hasil analisis dari langkah yang ketiga kemudian
dikembangkan sehingga menghasilkan informasi yang berguna untuk
peramalan (forecasting) terhadap tingkat kemungkinan risiko ke
depan.
Penilaian risiko menghasilkan nilai status risiko yang
menunjukkan probabilitas keterjadian risiko dan dampak yang muncul
apabila risiko tersebut terjadi. Manajemen perlu menggunakan hasil
penilaian risiko untuk menentukan respon resiko tersebut. Untuk
memetakan prioritas risiko, terlebih dahulu harus ditentukan kriteria
penerimaan risiko. Kriteria penerimaan resiko harus disesuaikan dan
didasarkan pada kecenderungan dan selera risiko (risk appetite).
Manajemen dapat merespon risiko dengan lima tindakan berikut :
1) Menerima risiko, yaitu kemungkinan terjadinya risiko dan
dampak yang ditimbulkan. Manajemen dapat menerima risiko
yang tergolong sangat rendah, misalnya risiko pengunduran diri
sebagian karyawan yang berdampak rendah pada perusahaan.
2) Mengurangi kemungkinan terjadinya risiko (preventif), yaitu
dengan menyusun dan mengimplementasikan pengendalian yang
memadai untuk mencegah atau mengurangi kemungkinan
terjadinya risiko, misalnya mencegah terjadina produk cacat
dengan mengimplementasikan standar kualita yang tinggi dalam
proses produksi.
3) Mengurangi dampak yang dapat ditimbulkan oleh risiko
yang kemungkinan terjadi (mitigatif), yaitu dengan
menyiapkan prosedur penanggulangan dampak risiko, misalnya
dengan menggunakan lindung nilai harga komodits bahan baku.
4) Berbagi risiko (sharing), yaitu dengan membagi risiko dengan
pihak lain, misalnya dengan menggunakan asuransik kebakaran
untuk gedung atau bangunan.
5) Menghindari risiko, yaitu menghindari atau mencegah
terjadinya risiko, misalnya dengan menerapkan prinsip
keselamatan jiwa dalam operasi.
4. Pemantauan Risiko
 Organisasi perlu melakukan pemantauan dan peninjauan atas
risiko-risiko yang telah diidentifikasi, risiko baru yang muncul,
probabilitas tiap-tiap risiko, dan dampak yang ditimbulkannya.
Pemantauan dapat dilakukan secara periodik sesuai dengan
kondisi lingkungan internal dan eksternal organisasi. Untuk organisasi
yang lingkungannya cenderung statis maka pemantauan risiko dapat
dilakukan tiap tahun atau beberapa tahun. Sementara untuk
lingkungan yang dinamis pemantauan hendaknya dilakukan dalam
kurun waktu yang lebih pendek, seperti semesteran atau triwulanan.
4) Proses Manajemen Risiko
Dalam AS/NZS ISO 31000:2009 manajemen risiko terdiri dari tujuh
roses utama. Pada dasarnya proses manajemen risiko dalam AS/NZS ISO
31000:2009 memiliki beberapa kesamaan dengan proses yang telah
dijelaskan dalam dasar-dasar manajemen risiko, tetapi AS/NZS ISO
31000:2009 memiliki tiga proses yang tidak ada dalam dasar-dasar
manajemen risiko, yaitu proses komunikasi dan konsultasi, penyusunan
konteks, serta pemantauan dan peninjauan.
a. Konsultasi dan Komunikasi
Proses manajemen risiko membutuhkan konsultasi dan komunikasi
dengan pemegang sakaham internal secara tepat pada setiap tingkatan
maupun keseluruhan proses manajemen risiko. Tujuan penanggung
jawab merupakan perwujudan dari tujuan para pemegang saham. Oleh
karena itu, manajer perlu berkonsultasi dan berkomunikasi dengan
para pemegang saham untuk memastikan bahwa tujuan para pemegang
saham telah menjadi bagian dari rangkaian proses manajemen risiko.
b. Menyusun konteks
Sebelum melakukan proses penilaian risiko, manajemen konteks
manajemen risiko, baik internal maupun eksternal saat proses
berlangsung. Kriteria evaluasi harus disusun dan struktur analisis harus
didefinisikan.
c. Mengidentifikasikan risiko
Dalam proses identifikasi risiko, manajemen mengidentifikasi
dimana, kapan, mengapa, dan bagaimana kejadian risiko dapat dicegah
dan menurunkan kecurangan serta meningkatkan kemungkinan
pencapaian tujuan.
d. Menganalisis risiko
 Daftar risiko yang diperoleh dari proses identifikasi risiko dianalisi
dengan mengidentifikasi pengendalian yang sedang berlangsung dan
memperkirakan keterjadian risiki dan akibat yang mungkin timbul dari
risiko tersebut. Analisis ini harus memperhatikan akibat dan
bagaimana hal tersebut dapat terjadi.
e. Mengevaluasi risiko
Perkiraan tingkat risiko yang telah diperoleh dari proses analisis
risiko dibandingkan dengan kriteria yang telah ditetapkan dan
mempertimbangkan selisih antara kemungkinan hasil menguntungkan
atau merugikan. Hal tersebut memberikan panduan untuk membuat
keputusan mengenai skala prioritas, isi, dan respons yang diperlukan
atas risiko tersebut.
f. Menyatakan risiko
Mengembangkan dan mengimplementasikan strategi biaya yang
efektif dan menjalankan perencanaan untuk meningkatkan laba
potensial dan mengurangi biaya potensial.
g. Memantau dan meninjau
Manajemen perlu memonitor efektifitas setiap langkah dalam
proses manajemen risiko. Hal itu penting untuk peningkatan
keberlanjutan. Risiko dan efektifitas tindakan yang dilakukan sebagai
respon atas risiko dapat mengukur kebutuhan memantau peta risiko
untuk meyakinkan bahwa perubahan berbagai hal tidak mengubah
skala prioritas.
D. Metode Analitis
1. Pembuatan Bagan Alir
Pembuatan bagan Alir (flowcharting) adalah sebuah metode analisis
efisiensi dan kontrol operasi. Bagan alir adalahh penyajian grafik dua
dimensi dari sebuah operasi dalam hal aliran aktivitas melalui proses.
Bagan alir merupakan sarana komunikasi antara auditor dengan karyawan
operasional.
Auditor dapat melakukan observasi tentang metode, risiko, dan
kontrol pada bagan alir. Jika bagan alir sudah dibuat, maka bagan tersebut
siap untuk ditelaah, dianalisis, dan diperbaharui pada audit selanjutnya.
Bagan alir juga membantu pengembangan dan pemeliharaan program
audit.
2. Kuisioner Kontrol Internal
Kuisioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan
yang membutuhkan tanggapan naratif dari responden. Kuisioner seperti ini
mencari informasi untuk memperluas pemahaman auditor. ICQ dimulai
dari jawaban yang diketahui atau diinginkan dan membutuhkan jawaban
ya atau tidak disertai komentar. ICQ membutuhkan jawaban yang
langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang
diharapkan.

ICQ digunakan untuk evaluasi berkelanjutan atas control yang ada

dan dapat digunakan dalam analisis ICQ juga biasanya dikembangkan
setelah sebuah aktivitas atau proses teah dianalisis dan control yang sesuai
telah diharapkan. ICQ merupakan uji ketaatan yang dimaksudkan untuk
memastikan bahwa control masih diterapkan dan bahwa risiko dapat
dievaluasi.

Pertanyaan Jawaba Komentar Metode Dikerjakan

n Oleh
Apakah cek Ya Ini merupakan Tanya jawab JEL
cek bagian untuk Observasi
dibandingkan meyakinkan penguji
dengan nota Tidak jumlah yang
pembayaran diterima akan
dikreditkan kea
kun pelanggan
Apakah Ya Jika keduanya Tanya jawab MRE
setoran bank tidak sesuai, Observasi
sesuai dengan setoran Pengujian
dan diverifikasi dan
pembayaran dikirim ke bank
sebelum Tidak untuk dikreditkan
diserahkan ke secepat mungkin
 bank?

3. Analisis matrix
Analisis matrix diperkenalkan dalam control computer dan audit
(Computer Control and Audit). Meskipun metodologi tersebut diperkenalkan
pada konsep audit EDP, analisis matrix tersebut dapat digunakan untuk
analisis control di aktivitas manapun.

Suatu matriks kontrol merupakan alat untuk membandingkan kontrol

dengan resiko guna memastikan bahwa setiap resiko memiliki kontrol yang
layak. Matriks kontrol juga mengakui bahwa kontrol tertentu bisa
memberikan perlindungan untuk lebih dari satu resiko.

Risiko Kontrol Primer

1. Individu yang tidak memiliki
otorisasi di dalam organisasi
bisa mengakses catatan
computer.
2. Individu yang tidak memiliki
otorisasi diluar organisasi bisa
mengakses catatan computer.
3. Individu yang tidak memiliki
otorisasi bisa mencoba
mendapatkan akses ke catatan
computer, dan bisa berhasil di
masa depan meskipun belum
masuk
a. ID pengguna dan kata sandi
dibutuhkan untuk mengakses
system computer.
b. Alat modern dihubungkan
hanya jika pengguna eksternal
yang dikenal memintaakses dan
tidak disambungkan di akhir
sesi.
c. Laporan usaha yang gagal
dihasilkan dari system
pengaman, dan laporan tersebut
diperiksa setiap hari oleh
pegawai pengamanan data.

4. Kontrol Preventif dan Detektif

Kontrol preventif mencegah terjadinya kejadian yang tida
diinginkan. Kontrol detektif mendeteksinya sehingga tindakkan korektif
bisa dilakukan. Laporan pengamanan harian adalah kontrol detektif.
Kontrol tersebut mengungkapkan upaya orang-orang tidak bertanggung
jawab untuk masuk ke system. Kontrol detektif membutuhkan 4 tindakan.
Tindakan pertama adalah menemukan masalh atau resiko yang ada,
tindakan yang kedua adalah mengidentifikasi kejadian dan menentukan
 apa yang harus dilakukan. Tindakan ketigaadalah oreksi. Tindakan terkahir
adalah pengecekan terhadap tindakan korektif untuk melihat
apakahkejadian atau resiko yang tida diinginkan telah diperbaiki atau di
netralkan. Kontrol preventif biasanya lebih disukai daripada kontrol
detektif karena kotrol preventif lebih efisien dan tidak menghabiskan
banyak waktu. Kontrol preventif bisa mengamankan setiap resiko yang
mungkin muncul
5. Metodologi Ilustratif COSO
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh
dewan direksi perusahaan, manajemen, dan karyawan lainnya, untuk
memberikan keyakinan yang wajar mengenai pencapaian tujuan dalam
kategori-kategori berikut ini:
Efektivitas dan efisiensi oprasi.
Keandalan pelaporan keuangan.
Ketaatan dengan hukum dan aturan yang berlaku

Kontrol internal terdiri dari lima komponen yang saling berkaitan.

Komponen ini berasal dari cara manajemen menjalankan bisnis, dan di
integrasikan dengan proses manajemen. Komponen-komponen tersebut adalah

a) Lingkungan kontrol
Inti dari suatu bisnis adalah orang-orangnya, karaktreristiknya integritas
nilai-nilai etika, dan lingkungan tempat mereka bekerja. Hal tersebut
merupakan mesin penggerak perusahaan dan merupakan fondasi segala
sesuatu ditetapkan.
b) Penentuan risiko
Perusahaan harus menetapkan tujuan sehingga aktivitas-aktivitas
organisasi beroperasi secara harmonis. Perusahaan juga harus menetapkan
mekanisme untuk mengidentifikasi, menganalisis, dan mengelola risko
terkait.
c) Aktivitas control
Kebijakan dan prosedur yang ditetapkan dan dijalankan perusahaan
membantu mengidentifikasi dan memastikan risiko apa yang akan
dihadapi terhadap tujuan perusahaan.
d) Informasi dan komunikasi
Hal ini memungkinkan karyawan perusahaan mendapatkan dan menukar
informasi yang diperlukan untuk melaksanakan, mengelola, dan
mengendalikan operasinya.
e) Pengawasan
 Keseluruhan proses harus dimonitor sehingga sstem dapat bereaksai secara
dinamis dan berubah seiring dengan perubahan kondisi.

6. Motode Courtney
Metode ini dikembangkan oleh Robert Courtney, metode ini
melibatkan perhitungan yang melibatkan nilai uang (dollar ke rupiah) ke
risiko-risiko potensial, dan estimasi yang terbuat dari frekuensi risiko yang
bisa menciptakan kesulitan. Penggunaan metode ini secara eksplisit
membutuhkan seseorang untuk membuat estimasi yang juga harus
disepakati dengan manajemen. Dampak potensial dari sebuah kejadian
diberikan nilai dari 1 sampai 7.

E. Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efektifitas, beberapa
organisasi telah mengembangkan system evaluasi risiko berdasarkan jawaban
atas pertanyaan dan analisis yang dapat mereka simpulkan. Hasil dari temuan
dan pertanyaan didiskusikan dan divalidasi berdasarkan pengalaman lampau
dan melaui pembahasan dengan manajemen dan pegawai audit internal. Aspek
pentingnya adalah penentuan jawaban spesifik dan bobotnya. Sebagai contoh,
sebuah orgnisasi harus mempertimbangkan volume transaksi yang merupakan
indikator potensial. Hal ini bervariasi menurut ukuran organisasi .
Nantinya hasil dari proses manajemen risiko adalah sebuah skor risiko
yang nantinya akan digunakan untuk membuat rencana audit.