RISK MANAGEMENT:

COSO ERM

6.1 Risk Management Fundamentals

Perusahaan saat menghadapi berbagai risiko memerlukan beberapa alat untuk memilah-milah
risiko untuk menentukan biaya yang rasional untuk membuat keputusan terkait risiko. Ini adalah proses
manajemen risiko.
Proses manajemen risiko yang efektif memerlukan empat langkah:
1) identifikasi risiko
2) penilaian kuantitatif atau kualitatif risiko
3) prioritas risikodan perencanaan respon, dan
4) pemantauan risiko.

Selalu ada kebutuhan untuk mengidentifikasi dan memahami berbagai risiko yang dihadapi
perusahaan, untuk menilai risiko tersebut dalam hal biaya atau dampak dan probabilitas, untuk
mengembangkan tanggapan dari kejadian risiko, dan untuk mengembangkan prosedur dokumentasi
untuk menggambarkan apa yang terjadi serta tindakan koreksi ke depan.
Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkatan perusahaan
dengan partisipasi banyak orang yang berbeda. Apakah itu perusahaan kecil yang beroperasi di
wilayah geografis yang terbatas atau lebih besar , pendekatan manajemen risiko harus dikembangkan
untuk keseluruhan perusahaan. Ini sangat penting untuk perusahaan di seluruh dunia dengan beberapa
unit operasi bergerak dalam operasi bisnis yang berbeda dan dengan fasilitas di berbagai negara.
Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan risiko di tempat
lain, tapi risiko lain pertimbangan mungkin efektif independen dari keseluruhan. Risiko ini umum dapat
terjadi karena berbagai keadaan mulai darikeputusan tentang keuangan yang buruk , perubahan selera
konsumen, peraturan pemerintah yang baru.

a. Identifikasi risiko
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi
keberhasilan perusahaan, mulai dari yang lebih besar atau lebih signifikan secara keseluruhan
risiko ke risiko kurang penting terkait dengan proyek-proyek individu atau lebih kecil unit
bisnis. Proses identifikasi risiko membutuhkan pembelajaran , pendekatan yang disengaja
untuk melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebih
 daerah risiko yang signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu
yang wajar. Idenya di sini adalah tidak hanya untuk daftar setiap risiko yang mungkin tetapi
untuk suatu perusahaan untuk mengidentifikasi orang-orang yang mungkin memiliki lebih
operasi berdampak besar, dalam waktu yang wajar periode.
Manajemen perusahaan harus meninjau risiko ini diidentifikasi dan menyoroti mereka
yang tampaknya paling penting bagi perusahaan. Maka harus menyiapkan set akhir organisasi
diidentifikasi risiko oleh perusahaan secara keseluruhan dan oleh unit-unit operasi tertentu.
Karena sudut pandang dan perspektif akan bervariasi di seluruh perusahaan, ini diidentifikasi
risiko harus dibagi dengan operasi bertanggung jawab dan manajemen keuangan, memberikan
mereka kesempatan untuk memberikan umpan balik. Idenya di sini adalah untuk
mengidentifikasi populasi risiko yang mengancam suatu perusahaan, baik di tingkat unit
individu dan total dasar perusahaan. Ini tidak akan selalu menjadi risiko inti tetapi sering adalah
titik awal untuk penilaian risiko perusahaan.

b. Kunci Penilaian Risiko

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya adalah
menilai kemungkinan risiko tersebut dan signifikansinya. Berbagai pendekatan dapat
digunakan di sini, mulai dari yang terbaik-kira pendekatan kualitatif untuk beberapa rinci,
kuantitatif sangat matematis analisis. Idenya adalah untuk membantu memutuskan mana dari
serangkaian berpotensi berisiko. Peristiwa harus memberikan manajemen yang paling perlu
khawatir.

1) Probabilitas dan Ketidakpastian

Manajemen perusahaan harus meneliti dengan cermat risiko yang teridentifikasi dan
mengumpulkan informasi lebih lanjut, jika diperlukan. Misalnya, selama proses
identifikasi risiko, salah satu manajer mungkin telah mengidentifikasi konsekuensi dari
hukum tarif baru sebagai risiko serius. Namun, manajer yang bertanggung jawab mungkin
ingin lebih memahami konsekuensi sebenarnya. Ini mungkin sesuatu yang tidak berlaku
untuk unit atau yang tidak berlaku sampai beberapa tahun ke depan. Intinya di sini adalah
bahwa beberapa informasi tambahan yang mungkin diperlukan sebelum semua risiko yang
teridentifikasi dapat secara akurat dinilai.
2) Risiko Saling Ketergantungan
Intinya adalah bahwa risiko seringkali sangat saling bergantung dalam suatu perusahaan.
Setiap unit operasi bertanggung jawab untuk mengelola risiko sendiri tapi mungkin tunduk
 pada konsekuensi dari kejadian risiko pada unit di atas atau di bawah itu di struktur
organisasi.
3) Peringkat Risiko
Manajemen harus mengidentifikasi risiko ini unit per unit yang dinilai untuk memastikan
bahwa kemungkinan risiko dan signifikansi estimasi yang tepat secara menyeluruh.

c. Analisis Risiko Kuantitatif

o Nilai Diharapkan dan Respon Perencanaan
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan
memiliki setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika salah satu
risiko terjadi. Idenya adalah untuk memperkirakan dampak biaya dari menimbulkan
beberapa risiko diidentifikasi dan kemudian menerapkan bahwa biaya untuk probabilitas
faktor risiko untuk mendapatkan nilai yang diharapkan atau biaya risiko. Frekuensi latihan
ini tidak memerlukan studi biaya rinci dengan banyak pendukung tren historis dan
perkiraan. Perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang garis depan
di berbagai tingkatan dari perusahaan yang memiliki pengetahuan tentang daerah atau
risiko implikasi.
o Pemantauan Risiko
Proses monitoring yang akurat merupakan komponen penting dari manajemen risiko.
Suatu perusahaan mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko
yang signifikan. Namun, status risiko tersebut perlu dipantau secara teratur dengan
perubahan yang terjadi dengan risiko tersebut dan diidentifikasi sebagai keperluan.

6.2 COSO ERM: Enterprise Risk Management

COSO ERM adalah sebuah kerangka kerja untuk membantu para pengusaha memiliki konsistensi
dalam mendefinisikan resiko mereka. Hal tersebut juga merupakan alat yang penting untuk memahami
dan mengembangkan pengendalian internal SOx.

Kerangka kerja dari COSO ERM mendefinisikan enterprise risk management sebagai berikut:

Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh jajaran entitas dari
direktur-direktur, management dan personel lainnya yang diaplikasikan dalam sebuah setting
strategi dan untuk semua pengusaha, yang didesain untuk mengidentifikasi kejadian-kejadian
potensial yang mungkin dapat mempengaruhi entitas dan mengatur resiko agar tidak melebihi dari
risk appetite, untuk menyediakan kepastian terkait penapaian dari tujuan entitas.
 Para professional sebaiknya mempertimbangkan pendukung kunci dalam kerangka kerja COSO ERM
yang meliputi:
- ERM adalah sebuah proses
- ERM proses diimplementasikan oleh orang-orang dalam perusahaan
- ERM diterapkan melalui penetapan strategi diantara seluruh keseluruhan perusahaan
- Konsep dari Risk Appetide harus dipertimbangkan.
- ERM menyediakan rasionalitas bukan kepastian yang positif dalam pencapaian sebuah tujuan.
- ERM didesain untuk membantu pencapaian tujuan

6.3 COSO ERM Key Elements

Gambar tersebut menunjukkan COSO ERM memiliki tiga dimensi dengan komponen sebagai berikut:
- Empat kolom vertical yang menunjukkan tujuan strategi dari resiko perusahaan
- Delapan baris horizontal menunjukkan komponen risiko
- Multiple level untuk menggambarkan berbagai perusahaan dimulai dari headquarters level
hingga individual subsidiaries.
Penjelasan komponen dari risiko:

a. Internal Environment component

Terdiri dari elemen-elemen berikut:
- Filosofi manajemen resiko
Ada bagian dari tingkah laku dan kepercayaan yang mempercirikan bagaimana sebuah
perusahaan mempertimbangkan resiko dalam setiap hal. Filosofi resiko ini penting
ketika internal auditor mengevaluasi Sox internal control
- Risk Appetite
Adalah sejumlahresiko dari sebuah perusahaan yang akan diterima dalam mencapai
tujuannya. Sebuah Appetite untuk resiko dapat diukur dari sisi kuantitative maupn
kualitative, namun seluruh leve manajemen sebaiknya memiliki pemahaman secar
menyeluruh mengenai hal tsb.
- Board of Directors Attitude
Independensi, direktur yang berasal dari luar sebaiknya mereview tindakan ,
melakukan check and balance control terhadap perusahaan
- Integrity and ethical values
Hal tersebut penting untuk membangun kultur yang kuat untuk menjadi pedoman bagi
perusahaan.
- Commitment to competence
Kompetensi menunukkan pada pengetahuan dan kepandaian yang diperlukan untuk
melakukan tugas yang ditetapkan.
- Organizational structure
- Assignment of authority and responsibility
- Human resource standards

b. Menetapkan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan
obyektif yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses
ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif,
perusahaan harus menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap
operasional, pelaporan, dan kepatuhan kegiatan.
 COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk:

1) Mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi,

2) Menetapkan strategi untuk mencapai tujuan,
3) Mendefinisikan tujuan yang terkait, dan
4) Mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi
dari bahan COSO ERM bimbingan.

Objective setting outline penting diperlukan untuk membantu manajemen dalam membuat
ERM proses yang efektif. Perusahaan sebaiknya mendefinisiskna resiko terkait dengan strategi
dan tujuan, dengan petunjuk tersebut sudah bisa menentuka level resiko yang ingin diterima
dan memberikan resiko yang dapat ditoleransi, sejauh mana diterima dari standar deviasi
pengukuran yang sudah ditetapkan sebelumnya.

c. Event Identification
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa
dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja
perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan,
dan sejenisnya.
 Proses pemantauan harus mencakup:
- Peristiwa ekonomi eksternal
- Peristiwa alam
- Peristiwa politik
- faktor social
- peristiwa infrastruktur internal
- proses internal teknologi internal maupun eksternal

d. Risk Assessment
Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek potensi
peristiwa terkait risiko-mungkin memiliki prestasi suatu perusahaan dari tujuannya. Risiko ini
harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensial.
Sebagai bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah kebutuhan untuk
mempertimbangkan risiko yang melekat dan residual juga:

o Risiko inherent
Risiko yang sudah ada sebelum kita melakukan mitigasi disebut Risiko Inherent yaitu,
risiko yang ada di perusahaan kita saat tidak adanya tindakan yang dibutuhkan untuk
mengubah baik kemungkinan terjadinya maupun dampaknya. Setiap perusahaan dalam
setiap industri menghadapi risiko yang melekat (inherent), tentu saja, tidak setiap
perusahaan mengelolanya secara efektif atau efisien. Beberapa contoh untuk hal tersebut
adalah karena:
- Kurangnya kompetensi manajemen. Kompetensi manajemen mengacu
pada kompetensi direksi dan personil manajemen senior, yang mencakup hal-hal
yang mereka miliki seperti:
pengalaman industri,
pengetahuan tentang bisnis entitas,
keterampilan komersial,
akal sehat,
pengetahuan tentang tata kelola perusahaan yang baik, dan
kemampuan komunikasi dan pertimbangan (judgement).

Auditor dapat menilai kompetensi manajemen dengan berbicara kepada direksi

secara individual serta mempertimbangkan faktor-faktor seperti jumlah tahun
 pengalaman masing-masing direktur dalam industri yang bersangkutan, jumlah
tahun pengalaman dengan entitas, dan tingkat perubahan manajemen selama
beberapa tahun terakhir.

- Contoh lain adalah tingkat yang signifikan dan berkepanjangan adanya

kekurangan pegawai pada departemen akuntansi. Kekurangan pegawai tersebut
bisa merupakan indikasi dari kurangnya perhatian manajemen terhadap
pelaporan yang berkualitas, atau bahkan tidak adanya minat yang positif
terhadap pelaporan yang berkualitas buruk

o Risiko Residual
Ini adalah risiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu ada beberapa tingkat risiko residual.
Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapi beberapa
risiko. Setelah manajemen telah membahas risiko yang muncul dari proses identifikasi
risiko, masih akan ada beberapa risiko residual untuk memperbaiki. Selain itu, ada selalu
beberapa risiko yang melekat bahwa manajemen dapat melakukan sedikit untuk
mengurangi.

e. Risk Response
Untuk mengembangkan strategi respon risiko yang tepat, berikut tanggapan risiko dapat ditangani
di salah satu dari empat cara dasar ini:
o Penghindaran.
Ini adalah strategi jauh dari risiko-seperti menjual unit bisnis yang menimbulkan risiko,
keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk. Kesulitannya adalah
bahwa perusahaan sering tidak bisa drop lini produk atau berjalan kaki sampai setelah
kejadian risiko terjadi dengan biaya yang terkait. Kecuali suatu perusahaan memiliki nafsu
makan yang sangat rendah untuk risiko, sulit untuk pergi dari dinyatakan sukses bidang
bisnis atau lini produk atas dasar risiko potensial masa depan.
Penghindaran bisa menjadi strategi yang mungkin mahal jika investasi dilakukan untuk
masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari risiko. Sebuah
pelajaran-belajar kolektif pemahaman kegiatan masa lalu sering dapat membantu dengan
strategi ini. Jika perusahaan telah terlibat dalam beberapa daerah di masa lalu dengan
konsekuensi yang tidak menguntungkan, mungkin ini cara yang baik untuk menghindari
 risiko sekali lagi. Karena perubahan konstan dan tenor kerja singkat, sejarah kolektif ini
terlalu sering hilang dan dilupakan. Suatu perusahaan dipahami dengan baik dan
dikomunikasikan selera resiko mungkin pertimbangan yang paling penting ketika
memutuskan apakah strategi penghindaran risiko sesuai.
o Pengurangan
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. lini produk
diversifikasi dapat mengurangi risiko terlalu kuat dari ketergantungan pada satu lini produk
kunci; operasi TI membelah menjadi dua lokasi geografis yang terpisah akan mengurangi
risiko beberapa bencana kegagalan. Jumlah strategi yang efektif untuk mengurangi risiko
pergi ke karyawan lintas-pelatihan yang jelas dan duniawi, seperti untuk mengurangi risiko
seseorang berangkat tiba-tiba.
o Sharing.
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tetapi teknik risiko-sharing juga tersedia. Untuk transaksi keuangan,
suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi dari fluktuasi
harga mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perjanjian
joint venture perusahaan atau pengaturan struktural lainnya. Idenya adalah untuk memiliki
pihak lain menerima beberapa risiko potensial serta untuk berbagi dalam penghargaan yang
dihasilkan.
o Penerimaan.
Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi potensi risiko. Pada dasarnya, perusahaan harus
melihat kemungkinan risiko dan dampak dalam terang toleransi risiko didirikan dan
kemudian memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi perusahaan.
Manajemen harus mengembangkan strategi respon umum untuk setiap risiko dengan
menggunakan pendekatan dibangun sekitar satu atau campuran strategi penghindaran
risiko tersebut. Dalam melakukannya, harus mempertimbangkan biaya dan keuntungan
dari setiap respon potensi risiko serta strategi yang terbaik sejalan dengan risk appetite
perusahaan secara keseluruhan.

f. Pengendalian Kegiatan
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan respon risiko diidentifikasi. Meskipun beberapa dari kegiatan ini mungkin berhubungan
hanya untuk respon risiko diidentifikasi dan disetujui di daerah dari perusahaan, mereka sering
tumpang tindih di beberapa fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas sebelumnya. Pemantauan
risiko memerlukan empat langkah berikut:
1) Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
prosedur kontrol untuk memantau atau benar bagi mereka.
2) Buat api prosedur drill-jenis pengujian untuk menentukan apakah mereka prosedur
pengendalian risiko terkait bekerja secara efektif.
3) Lakukan tes dari proses pemantauan risiko untuk menentukan apakah mereka bekerja
secara efektif dan seperti yang diharapkan.
4) Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses risiko
pemantauan

Banyak kegiatan kontrol dalam pengendalian internal COSO cukup mudah untuk
mengidentifikasi dan menguji karena sifat akuntansi mereka. kegiatan pengawasan ini umumnya
termasuk daerah-daerah pengendalian internal:
- Pemisahan tugas.
Pada dasarnya, orang yang memulai transaksi tidak harus orang yang sama yang
mengotorisasi transaksi itu.
- Trails Audit.
Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri
kembali ke transaksi yang menciptakan hasil tersebut.
- Keamanan dan integritas.
Proses kontrol harus memiliki prosedur pengendalian yang tepat sehingga orang hanya
berwenang dapat meninjau atau memodifikasi mereka.
- Dokumentasi.
Prosedur dokumentasi COSO ERM menunjukkan beberapa bidang:
Ulasan Top-level. manajer senior harus sangat menyadari peristiwa risiko
diidentifikasi dalam unit organisasi mereka dan melakukan tinjauan rutin tingkat
atas status risiko yang teridentifikasi.
Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat atas, manajer
unit fungsional dan langsung harus memiliki peran kunci dalam pengendalian
risiko pemantauan aktivitas. Hal ini sangat penting di mana kegiatan pengendalian
berlangsung dalam unit operasi terpisah dengan kebutuhan komunikasi dan
resolusi risiko di saluran perusahaan.
 Memproses informasi. Apakah itu IT proses berbasis peralatan atau bentuk lembut
seperti kertas atau pesan, pengolahan informasi merupakan komponen kunci dalam
kegiatan pengendalian risiko terkait suatu perusahaan. prosedur pengendalian yang
tepat harus ditetapkan dengan penekanan pada perusahaan proses TI dan risiko.
Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti
peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan fisik,
inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal kontrol
fisik prosedur kegiatan berbasis risiko yang sesuai.
Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan berbagai
keuangan dan operasional alat pelaporan yang juga dapat mendukung risiko-acara
yang berhubungan dengan pelaporan kinerja. Jika diperlukan, alat kinerja harus
diubah untuk mendukung kontrol ERM komponen kegiatan penting ini.
Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tindakan tertentu
seharusnya tidak menjadi orang yang sama yang menyetujui mereka. kegiatan
pengawasan ini disorot dalam bahan bimbingan COSO ERM.

g. Informasi dan Komunikasi

Segmen informasi dari informasi ERM dan komponen komunikasi biasanya memikirkan dalam hal
IT sistem informasi strategis dan operasional, aspek kedua komponen ini, komunikasi ERM,
berbicara tentang komunikasi sekedar aplikasi IT. Ini termasuk kebutuhan untuk mekanisme untuk
memastikan bahwa semua pemangku kepentingan menerima pesan mengenai kepentingan
perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh
perusahaan mengenai peran manajemen risiko dan tanggung jawab. COSO ERM akan menjadi
nilai kecil untuk sebuah perusahaan kecuali pentingnya dikomunikasikan kepada semua pemangku
kepentingan secara umum dan konsisten.

h. Pemantauan
Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM diperlukan untuk
menentukan bahwa semua komponen ERM terpasang bekerja secara efektif. Orang dalam
perubahan perusahaan, seperti halnya proses dan kedua kondisi dan eksternal internal yang
mendukung, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja secara
efektif secara terus menerus. Dokumen COSO ERM Framework menunjukkan bahwa pemantauan
dapat mencakup jenis kegiatan:
 - Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti untuk posisi kas,
penjualan unit, dan data keuangan utama. Suatu perusahaan tidak harus menunggu sampai
fiskal akhir bulan untuk jenis laporan status, dan laporan kilat cepat respon harus dimulai.
- Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek-aspek kunci dari
kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang
diadakan dalam ketegangan. pelaporan tersebut harus menekankan tren statistik dan
perbandingan baik dengan periode-periode sebelumnya dan dengan sektor industri lainnya.
- Lancar dan periodik pelaporan status temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status terkait ERM SOx kesenjangan diidentifikasi.
- Updated informasi terkait risiko dari sumber seperti aturan-direvisi pemerintah, tren
industri, dan berita ekonomi secara umum. Sekali lagi, jenis pelaporan ekonomi dan
operasional harus tersedia bagi manajer di semua tingkatan. monitoring evaluasi yang
terpisah atau individu mengacu review rinci proses risiko individu oleh resensi yang
berkualitas, seperti audit internal.

6.4 Other Dimentions of COSO ERM: Risk Objectives

1. Tujuan Manajemen Risiko Operasional
Risiko operational merupakan risiko yang umumnya bersumber dari masalah internal perusahaan,
dimana risiko tersebut terjadi disebabkan oleh lamanya sistem kontrol manajemen (management
controlsystem). Yang dilakukan oleh pihak internal perusahaan. Misalnya risiko operational adalah
risiko pada komputer karena telah terserang virus, kerusakan maintenance pabrik, kecelakaan kerja,
kesalahan dalam pencatatan pembelian barang dan tidak adanya kesepakatan bahwa barang yan
dibeli dapat ditukar kembali dan sebagainya.

Risiko operasonal dapat menimbulkan kerugian keuangan secara langsung maupun tidak
langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan. Risiko ini
merupakan risiko yang melekat (inherent) pada setiap aktivitas fungsional Bank, seperti kegiatan
perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan
perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi
manajemen, dan pengelolaan sumber daya manusia.Risiko operasional bukanlah hal baru walaupun
disadari merupakan risiko yang paling akhir terdefinisikan dalam Basel II

Identifikasi tujuan risiko operasi ini sering membutuhkan informasi rinci pengumpulan dan
analisis, terutama untuk perusahaan besar yang meliputi beberapa wilayah geografis, lini produk,
atau proses bisnis. manajer langsung dari masing-masing unit biasanya memiliki pemahaman
 terbaik dari risiko operasional mereka, dan informasi yang dapat menjadi hilang ketika konsolidasi
untuk pelaporan tingkat yang lebih tinggi. audit internal ulasan atau survei orang terkena dampak
langsung oleh risiko ini dapat membantu untuk mengumpulkan informasi latar belakang yang lebih
rinci tentang potensi risiko operasional. Sebuah survei langsung on-the-lantai anggota dari
perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan pengembangan satu
set luas dan konsisten dari risiko operasi katalog. Pertanyaan yang diajukan di sini akan mirip
dengan jenis pertanyaan rinci yang digunakan dalam penilaian pengendalian internal audit internal,
dan hasilnya di sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang
risiko potensial.

Jenis survei, beredar di semua tingkat perusahaan, dengan pesan mendorong para pemangku
kepentingan untuk menanggapi terang, sering mengumpulkan informasi penting mengenai potensi
risiko pada tingkat operasional yang rinci. Seorang manajer pabrik operasi jarak jauh tidak mungkin
memadai dikomunikasikan kekhawatiran tentang beberapa risiko operasional plantlevel.

Seringkali survei berbasis luas dan rahasia yang lebih baik memungkinkan orang untuk
berkomunikasi risiko operasi tingkat lokal melalui perusahaan. Dengan tampilan portofolio ERM
risiko, perusahaan harus menghindari bergulir hal menjadi terlalu banyak dari tingkat ringkasan,
hilang atau pembulatan risiko lowerlevel penting. Apapun posisi mereka dalam perusahaan atau
lokasi geografis mereka, manajer di semua tingkatan harus menyadari bahwa mereka bertanggung
jawab untuk menerima dan mengelola risiko dalam unit operasional mereka sendiri. Terlalu sering,
manajer unit mungkin percaya bahwa manajemen risiko menjadi perhatian hanya untuk staf kantor
pusat tingkat senior. Pentingnya manajemen ERM dan operasi risiko COSO harus dikomunikasikan
kepada semua tingkat perusahaan. auditor internal harus bertindak sebagai mata dan telinga di sini
dan melaporkan semua risiko operasi diamati.

2. Tujuan Manajemen Risiko Pelaporan

Tujuan risiko ini mencakup keandalan laporan suatu perusahaan data finansial dan nonfinansial
internal dan eksternal. pelaporan yang akurat sangat penting bagi keberhasilan suatu perusahaan
dalam banyak dimensi. News melaporkan sering detil penemuan pelaporan keuangan yang tidak
akurat perusahaan dan mengakibatkan dampak pasar saham untuk entitas menyinggung. Bahwa
pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di banyak daerah. Sebuah
contoh dari risiko yang berkaitan dengan pelaporan yang tidak akurat menjadi masalah beberapa
tahun yang lalu di perusahaan minyak utama Royal Dutch Shell. perusahaan eksplorasi minyak dan
gas yang diperlukan untuk melaporkan cadangan mereka-jumlah minyak dan gas pada sifat mereka
yang belum diambil. Pada Januari 2004, Royal Dutch mengumumkan bahwa karena perkiraan
 buruk dan pencatatan ceroboh, sudah signifikan overreporting diperkirakan reserves.6 minyak
bumi Kesalahan ini tidak mempengaruhi perusahaan dilaporkan hasil keuangan dan SEC pedoman
pelaporan cadangan di sini tidak begitu kuat; Namun demikian, pasar babak belur saham setelah
pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lain-lain dipaksa untuk
mengundurkan diri. perusahaan, di bawah ketua baru, kemudian mengumumkan rakit perubahan
dan perbaikan pengendalian internal untuk memperbaiki kerusakan.
Tidak peduli apa industri itu di, sebuah perusahaan menghadapi risiko utama dari pelaporan
yang tidak akurat di unit atau wilayah. unit operasi harus memastikan bahwa melaporkan hasil yang
benar sebelum mereka lulus ke tingkat berikutnya dalam organisasi, dan nomor konsolidasi harus
akurat, apakah mereka berada di laporan keuangan, pajak, atau salah satu dari segudang daerah
lain. pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang akurat. ERM
prihatin dengan risiko otorisasi dan melepaskan laporan tidak akurat.
Pengendalian internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus
selalu mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat. Royal Dutch
Shell kesalahan pelaporan cadangan adalah contoh dari jenis perhatian pelaporan risiko. kesalahan
kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan besar yang perlu
diungkapkan. Risiko pelaporan yang tidak akurat tersebut harus menjadi perhatian di semua tingkat
perusahaan.

3. Hukum dan Peraturan Tujuan Risiko

Setiap jenis perusahaan harus mematuhi berbagai peraturan perundang-undangan
governmentimposed atau industri standar. Sementara risiko kepatuhan dapat dipantau dan diakui,
risiko hukum kadang-kadang benar-benar tak terduga. Jenis risiko hukum sangat sulit untuk
mengantisipasi tetapi bisa menjadi bencana untuk suatu perusahaan. COSO ERM
merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing
komponen kerangka risiko, apakah dalam konteks lingkungan internal, pengaturan tujuan, atau
pemantauan risiko, serta di seluruh perusahaan. Bahan bimbingan ERM tidak menawarkan banyak
informasi tambahan tentang kepatuhan ini bertujuan selain untuk menyatakan bahwa tujuan ini
mengacu pada kesesuaian dengan hukum dan peraturan yang berlaku. Ini adalah elemen penting
dari kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami. Seperti telah
dibahas, semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan,
dengan beberapa berdampak hampir semua perusahaan dan lain-lain yang terkait dengan hanya
unit bisnis tunggal di sektor industri khusus.
 Sifat risiko-risiko kepatuhan perlu dikomunikasikan dan dipahami melalui semua tingkat
perusahaan. Suatu perusahaan dapat menerima tingkat risiko tertentu dalam hal keprihatinan
mengenai kepatuhan hukum. Sementara hukum besar tidak boleh dengan sengaja diabaikan karena
merasa pelanggaran tidak akan pernah tertangkap, suatu perusahaan harus selalu mengambil
pendekatan beralasan risiko dalam hubungannya dengan keseluruhan filsafat dan risiko selera nya.

6.5 Entity-Level Risks

Dimensi ketiga dari kerangka COSO ERM menyebut risiko yang harus dipertimbangkan pada suatu
organisasi atau tingkat entitas unit. The COSO framework ERM di Exhibit 6.5 menunjukkan empat
divisi dalam dimensi kerangka ini: tingkat entitas, divisi, unit bisnis, dan risiko anak. Risiko ERM
COSO harus diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko
secara entitas-lebar melalui unit bisnis individu.

Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis di bawah
masing-masing akan memiliki kerangka kerja ERM yang mencerminkan semua unit. Sementara risiko
ini mungkin penting untuk organisasi secara keseluruhan, mereka harus dipertimbangkan secara unit
dengan unit ke level tingkat yang diperlukan untuk memungkinkan perusahaan untuk memahami dan
mengelola risiko. COSO ERM tidak menentukan bagaimana tipis risiko ini unitlevel harus diiris, dan
kekritisan dan materialitas unit bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama
rantai restoran dengan ribuan unit, misalnya, itu akan tidak masuk akal untuk memasukkan setiap unit
individu sebagai komponen terpisah dalam model risiko. Sebaliknya, manajemen harus menentukan
risiko organisasi-level cukup detail untuk menutup semua signifikan, risiko dikelola.

a. Risks Encompassing the Entire Organization

Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. Sangat mudah
bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak
material", menggunakan-SOx pra terminologi akuntan publik, suatu perusahaan harus
memikirkan semua risiko yang berpotensi signifikan.

b. Business Unit-Level Risks

Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama dengan beberapa
tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di sebuah perusahaan
penjualan luar negeri. Risiko harus diperhatikan dalam setiap unit organisasi yang signifikan.
Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas di sebuah perusahaan
 penjualan luar negeri, misalnya, mungkin risiko unik untuk unit yang tapi kemudian harus
menggulung ke entitas secara keseluruhan. Kami telah mencontohkan risiko entitas-tingkat
yang mungkin timbul dari kegagalan dalam pembuatan atau standar hak asasi manusia dari
anak kecil di negara berkembang.

Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko sering bisa start terbaik
sebagai proses push-down di mana manajemen tingkat korporasi secara resmi menguraikan
kekhawatiran terkait risiko utama dan meminta manajemen yang bertanggung jawab di masing-masing
divisi utama untuk survei tujuan risiko melalui operasi unit dalam divisi itu. Dengan cara ini, risiko
yang signifikan dapat diidentifikasi pada semua tingkat dan kemudian dikelola di tingkat mana mereka
dapat menerima paling langsung, dukungan lokal

6.6 Putting It All Together

The COSO framework ERM dijelaskan di sini alamat pendekatan manajemen risiko yang berlaku untuk
semua industri dan meliputi semua jenis risiko. Dengan fokus pada mengenali selera suatu perusahaan
untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalam konteks pengaturan strategi
secara keseluruhan, COSO ERM memiliki beberapa perbedaan mendasar dari model risiko yang paling
yang telah digunakan sampai saat ini. COSO ERM belum digunakan cukup lama untuk menunjuk ke
serangkaian perusahaan sukses yang telah terbuka berpelukan itu. Namun, dengan AS 5 penekanan
pada risiko, kita akan mendengar lebih banyak tentang hal ke depan. auditor internal, khususnya, harus
menetapkan tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka penting ini.

COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan memahami SOx
Pasal 404 kontrol internal. Hal ini terutama penting dengan yang lebih baru AS 5 standar auditing yang
memberikan pertimbangan lebih untuk risiko ketika memahami dan mengevaluasi pengendalian
internal. manajemen perusahaan di semua tingkatan harus merangkul COSO ERM, alat penting untuk
memahami banyak beberapa risiko yang dihadapi suatu perusahaan menghadapi hari ini. auditor
internal harus membuat COSO ERM internal audit persyaratan CBOK, dan harus melakukan audit
internal sesuai dengan proses ERM.

6.7 Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi masalah risiko dan manajemen risiko di banyak daerah di alam
semesta audit yang mana ada yang berkinerja ulasan, dan auditor internal yang efektif harus memahami
proses manajemen risiko. Semua terlalu sering, internal auditor akan melakukan sebuah kontrol internal
review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena
"pertimbangan risiko." Auditor harus memiliki pertanyaan yang tepat dan untuk meninjau kecukupan
mereka proses.

Suatu perusahaan dapat meningkatkan proses keseluruhan serta SOx pengendalian internal proses
melalui pelaksanaan yang efektif dan efisien dari COSO ERM. Dengan berfokus pada kerangka ERM
COSO serta praktek manajemen risiko yang baik umum, audit internal dapat membantu suatu
perusahaan dengan perencanaan dan melakukan review dari proses manajemen risiko perusahaan.
Tentu saja, untuk meninjau praktek COSO ERM dan prosedur pelaksanaan, auditor internal, baik
sebagai pengulas audit internal kontrol atau konsultan manajemen, perlu mengembangkan pemahaman
yang kuat dari COSO kontrol ERM dan proses. Selain itu, setiap review audit internal proses ERM
perusahaan harus dikembangkan melalui pendekatan perencanaan audit internal berbasis risiko yang
dibahas dalam Bab 15.

Audit internal harus meninjau proses ERM perusahaan-lebar menggunakan beberapa alat ini:

a. Process flowcharting
Sebagai bagian dari proses ERM diidentifikasi, proses diagram alur dapat berguna dalam
menggambarkan bagaimana manajemen risiko beroperasi di suatu perusahaan. Hal ini
memerlukan melihat dokumentasi yang disiapkan untuk proses yang terkait dengan resiko,
menentukan apakah mereka adalah kondisi saat ini, dan menggambarkan kecukupan
keseluruhan dari semua tingkatan proses risiko perusahaan. proses audit pemodelan internal
dan proses diagram alur dibahas dalam Bab 16.
b. Reviews of risk and control materials
Sebuah proses ERM sering menghasilkan volume besar bahan bimbingan, prosedur
terdokumentasi, format laporan, dan sejenisnya. Mungkin sering berharga untuk review audit
internal risiko dan pengendalian bahan.
c. Brenchmarking
Meskipun istilah yang sering disalahgunakan, benchmarking adalah proses melihat fungsi di
lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan
peningkatan berdasarkan praktik terbaik dari orang lain. The Institute of Internal Auditor
"Kemajuan Melalui Sharing" (IIA) moto dan tradisi serta benchmarking pendekatan yang
dibahas dalam Bab 11 mempromosikan informasi komparatif pengumpulan. Hal ini sering
dapat menjadi teknik yang berguna di sini.
d. Questionnaires
 Kuesioner adalah metode yang baik untuk mengumpulkan informasi tentang efektivitas ERM
dari berbagai macam orang. Mereka dapat dikirim kepada pemangku kepentingan yang
ditunjuk dengan permintaan informasi tertentu. Hal ini sering teknik audit internal yang
berharga.

Audit internal harus menetapkan beberapa tujuan ulasan tingkat tinggi untuk efektivitas COSO ERM
di perusahaan mereka, mengumpulkan data pelaksanaan rinci, dan kemudian menilai efektivitas COSO
ERM dan sebagai alat untuk mendukung dan meningkatkan SOx kepatuhan. Exhibit 6.10 memberikan
panduan untuk audit Prosedur Audit COSO ERM internal

6.8 Risk Management and COSO in Perspective

Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang harus menjadi
bagian dari setiap auditor internal CBOK. auditor internal harus menggunakan prinsip-prinsip
manajemen risiko saat memutuskan daerah untuk memilih diulas mereka (seperti dibahas dalam Bab
15) dan kemudian menggunakan prinsip risiko ketika menilai bukti audit (seperti dibahas dalam Bab
9). Mungkin bahkan lebih penting, COSO ERM akan semakin penting dan pengakuan sebagai
perusahaan lebih memahami dan mengadopsi kerangka ERM. audit internal harus memiliki
pemahaman CBOK dari COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan
berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih efektif.