CHAPTER 6

RISK MANAGEMENT: COSO IRM

Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi- antara lain
resiko keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk mengelola risiko
ke tingkat yang lebih diterima.

1. RISK MANAGEMENT FUNDAMENTALS

Manajemen risiko adalah konsep asuransi terkait di mana seorang individu atau
perusahaan menggunakan mekanisme asuransi untuk memberikan perlindungan dari risiko-
risiko tersebut. Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua
tingkat perusahaan dan dengan partisipasi dari banyak orang yang berbeda.

a) Identifikasi Resiko

Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin

mempengaruhi keberhasilan perusahaan, mulai dari yang besar atau lebih signifikan bisnis,
secara keseluruhan risiko ke risiko kurang penting terkait dengan proyek-proyek individu
atau lebih kecil unit bisnis. Proses identifikasi risiko perlu dipelajari, pendekatan yang
disengaja untuk melihat potensi risiko di setiap daerah operasi dan kemudian
mengidentifikasi lebih daerah risiko signifikan yang dapat mempengaruhi setiap operasi
dalam jangka waktu yang wajar.
 Cara yang baik untuk memulai proses identifikasi risiko adalah dengan memulai
dari manajemen tinkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai
jenis operasi.

Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk lebih
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti masuk dalam
contoh ini kelangsungan bisnis risiko di bawah risiko teknologi.

b) Key Risk Assessment

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya

adalah untuk menilai kemungkinan mereka dan signifikansi relatif. Berbagai pendekatan
dapat digunakan di sini, mulai dari pendekatan kualitatif untuk beberapa rinci, kuantitatif
sangat matematis analisis. Ide untuk membantu memutuskan mana dari serangkaian
peristiwa berpotensi berisiko, harus memberikan manajemen resiko yang paling
mengkhawatirkan. Manajer yang bertanggung jawab harus menilai risiko ini
menggunakan pendekatan kuesioner.

(i) Probabililty and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari
perkiraan likelihoods risiko individu dan kejadian dalam dua digit probabilitas
berkisar dari 0,01 sampai 0,99.
 (ii) Risk Interdependencies

Kita telah membahas risiko pada individu organisasi tingkat unit, namun
independensi risiko harus selalu dipertimbangkan dan dievaluasi seluruh struktur
organisasi. Meskipun suatu entitas harus peduli tentang risiko di semua tingkat
organisasi, mereka hanya memiliki kontrol atas risiko dalam lingkup sendiri

(iii) Risk Ranking

Langkah berikutnya adalah untuk mengambil makna dan kemungkinan perkiraan

yang ditetapkan, menghitung risiko peringkat, dan mengidentifikasi risiko yang
paling signifikan di seluruh entitas terakhir.

3. COSO ERM KEY ELEMENT

Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan
komponen-komponen:

1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan.

2. Delapan baris horizontal atau komponen risiko.
3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat induk entitas
sampai anak perusahaan individual.
 Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya
membahas dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan
kerangka ERM adalah untuk menyediakan model bagi perusahaan untuk mempertimbangkan
dan memahami mereka terkait risiko kegiatan di semua tingkat, serta bagaimana dampak risiko
komponen satu sama lain. Tujuan bab ini adalah untuk membantu Auditor Internal -dari kepala
audit eksekutif (CAE) untuk staf auditor-untuk lebih memahami COSO ERM dan belajar
bagaimana dapat membantu mengelola berbagai risiko yang dihadapi perusahaan.

A. Komponen Lingkungan Internal

Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:

Filosofi Manajemen Risiko.

Risk Appetite.
Sikap dewan direksi.
Integritas dan nilai-nilai etika.
Komitmen terhadap kompetensi.
Struktur organisasi.
Penugasan wewenang dan tanggung jawab.
Standar Sumber daya manusia
B. Menetapkan Tujuan

Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan
obyektif yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses
ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif,
perusahaan harus menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap
operasional, pelaporan, dan kepatuhan kegiatan COSO ERM. Menetapkan tujuan COSO ERM
dimulai dengan misi keseluruhan, untuk:

1. mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi

2. menetapkan strategi untuk mencapai tujuan
3. mendefinisikan tujuan yang terkait
4. mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi
dari bahan COSO ERM bimbingan.
C. Identifikasi Peristiwa

Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM

dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa
dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja
perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan,
dan sejenisnya.

Proses pemantauan harus mencakup:

a) Peristiwa ekonomi eksternal

b) Peristiwa alam
c) Peristiwa politik
d) faktor social
e) peristiwa infrastruktur internal
f) proses internal
g) teknologi internal maupun eksternal
D. Penilaian Risiko
 Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa
terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini
harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya.
Sebagai bagian penting dari proses penilaian risiko, juga perlu mempertimbangkan risiko yang
melekat:

Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah
ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari
kegiatannya. Risiko inheren di luar kendali manajemen dan biasanya berasal dari faktor
eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko
ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat
risiko residual.

E. Respon Risiko

Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur
mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat
ditangani dalam salah satu dari empat cara dasar:
 1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau
menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak bisa
drop garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi dengan
nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika investasi
tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk
menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari
ketergantungan pada satu baris kunci produk; membelah operasional TI menjadi dua
yang terpisah secara geografis lokasi akan mengurangi risiko beberapa bencana
kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi
keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi dari fluktuasi
harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui
perusahaan perjanjian usaha patungan atau struktural lainnya pengaturan. Idenya adalah
untuk memiliki pihak lain menerima beberapa potensi risiko serta berbagi dalam
penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures
dengan mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya,
perusahaan harus melihat kemungkinan risiko dan dampak dalam terang risiko
mendirikan toleransi dan kemudian memutuskan apakah akan menerima resiko itu atau
tidak.
F. Kegiatan Pengendalian

ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang
memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk memastikan
bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien. Setelah melalui risiko
identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko pemantauan
memerlukan empat langkah:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan

menetapkan pengendalian prosedur untuk memantau atau benar bagi mereka.
 2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait
pengendalian risiko prosedur yang bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja
efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko
monitoring proses.

Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk
mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol
daerah-daerah pengendalian internal:

Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang mengotorisasi transaksi tersebut.
Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat
prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali
atau memodifikasi mereka.
Dokumentasi. Proses harus didokumentasikan.
G. Informasi dan Komunikasi

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus

dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana,
melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam
banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan keuangan yang
sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk proses ERM
banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan diri
untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
H. Pemantauan

The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat
meliputi jenis kegiatan:

Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai

posisi, unit penjualan, dan data keuangan kunci.
Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci
dari didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item
diselenggarakan di ketegangan.
Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi
kesenjangan.
 Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren
industri, dan berita ekonomi secara umum.
4. OTHER DIMENSIONS OF COSO ERM : ENTERPRISE RISK OBJECTIVE

Tujuan Operasional Manajemen Risiko

Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk

mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang
rinci, kemudian dikumpulkan dan dianalisis, khususnya untuk sebuah perusahaan besar yang
mencakup beberapa wilayah geografis, lini produk, atau bisnis proses. Review audit internal
atau survei yang langsung dipengaruhi oleh risiko tersebut dapat membantu untuk
mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko operasional.

A. Tujuan Pelaporan Manajemen Risiko

Banyak jenis risiko operasi dapat berdampak perusahaan. Identifikasi risiko operasi
tingkat tujuan sering membutuhkan rinci pengumpulan informasi dan analisis, terutama untuk
sebuah perusahaan yang lebih besar yang meliputi beberapa wilayah geografis, lini produk,
atau bisnis proses. Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan
dari internalnya dan eksternal baik itu dari keuangan perusahaan dan data non keuangan.
Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak
dimensi.

B. Tujuan melaporkan resiko manajemen

Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari internal dan eksternal
data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting untuk keberhasilan
suatu perusahaan dalam banyak dimensi. Laporan berita sering detail dalam penemuan akurat
pelaporan keuangan perusahaan dan mengakibatkan dampak pasar saham untuk menyinggung
entitas. Pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di banyak daerah.

C. Risiko Kepatuhan Tujuan Hukum dan Peraturan

Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang
dikenakan atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan
diakui, risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap
perusahaan yang pernah memproduksi produk yang mengandung asbes tertentu, panggilan
ganti rugi berdasarkan risiko manusia yang potensial di masa mendatang. COSO ERM
merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing
komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah, pengaturan
tujuan, atau pemantauan risiko, serta di seluruh perusahaan.

ENTITY-LEVEL RISKS

a) Risks Encompassing the Entire Organization

Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. sekarang
mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak
material", untuk menggunakan pre-SOx terminologi akuntan publik, suatu perusahaan harus
memikirkan semua risiko sebagai berpotensi signifikan.

b) Business UnitLevel Risks

Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus dipertimbangkan
dalam setiap organisasi yang signifikan unit. Bahkan risiko yang teridentifikasi dalam posisi
kepemilikan minoritas dalam penjualan perusahaan negara asing, misalnya, mungkin risiko
yang unik ke unit itu, tetapi kemudian harus menggulung ke entitas secara keseluruhan

PUTTING IT ALL TOGETHER

The COSO framework ERM dijelaskan di sini membahas pendekatan manajemen

risiko yang berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada
pengakuan selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen
risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM memiliki beberapa
dasar perbedaan dari kebanyakan model risiko yang telah digunakan sampai saat ini. COSO
ERM belum digunakan cukup lama untuk menunjuk ke serangkaian perusahaan yang sukses
secara terbuka menggunakannya.