BAB 5 PROSES MANAJEMEN RISIKO

Disusun untuk Memenuhi Tugas Mata Kuliah Audit Manajemen dan Kinerja
Dosen Pengampu: H. Tarmizi Achmad, MBA. Ph.D, Akt.

KELOMPOK 5

Ahmad Irsyad Fauzan Akbar 12030115130131

Alif Ridzky Kurniawan 12030115140199
Hakase Hasiholan Saragih 12030115140105

KELAS E
\

S-1 AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS DIPONEGORO
2018
 BAB 5 PROSES MAANJEMEN RISIKO

PENGANTAR

Pada Bab 4, 5 dan 6, kami menangani masing-masing proses tata kelola, manajemen
risiko dan pengendalian internal, tiga wilayah yang tumpang tindih yang sesuai dengan ruang
lingkup tinjauan audit internal sebagaimana ditetapkan dalam Standar dan Definisi Auditor
Internal Auditor, bacaan terakhir (bolding added):

Audit internal adalah kegiatan assurance dan konsultasi independen yang bertujuan untuk
menambah nilai dan memperbaiki operasi organisasi. Ini membantu organisasi mencapai
tujuannya dengan membawa pendekatan sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas proses manajemen, pengendalian, dan tata kelola risiko.

Masing-masing dari ketiga bab ini berisi, pada akhirnya, panduan praktis mengenai tujuan dan
masalah audit

TUJUAN PENGELOLAAN RISIKO

Kami telah memodelkan panduan praktis mengenai manajemen risiko seputar spesifikasi
Standar Institut tentang apa yang merupakan keefektifan manajemen risiko. Efektivitas berarti
pencapaian tujuan, sehingga spesifikasi ini merupakan panduan yang berguna untuk tujuan
pengelolaan risiko:

2120-Manajemen Resiko

Kegiatan audit internal harus mengevaluasi keefektifan dan berkontribusi terhadap peningkatan
proses manajemen risiko.

Interpretasi:

Menentukan apakah proses manajemen risiko efektif adalah penilaian hasil penilaian
auditor internal bahwa:

• Tujuan organisasi mendukung dan menyelaraskan dengan misi organisasi;

• Risiko signifikan diidentifikasi dan dinilai;

• Respons risiko yang tepat dipilih yang menyelaraskan risiko dengan risk appetite organisasi;
dan

• Informasi risiko yang relevan, memungkinkan staf, manajemen, dan dewan direksi untuk
melaksanakan tanggung jawab mereka, ditangkap dan dikomunikasikan secara tepat waktu di
seluruh organisasi, memungkinkan staf, manajemen, dan dewan direksi untuk melaksanakan
tanggung jawab mereka ...

Interpretasi dalam Standar memiliki kekuatan wajib yang sama dengan bagian lain dari
Standar.

Dalam bab ini kita bisa mengadopsi penggunaan Institut dalam standar pengendalian
COSO tentang pengendalian internal1 dan juga menjadi tujuan manajemen risiko, karena Standar
mereproduksinya baik di bagian pengendalian internal maupun pengelolaan risiko Standar:

2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan
tata kelola, operasi, dan sistem informasi organisasi mengenai:

• Keandalan dan integritas informasi keuangan dan operasional.

• Efektivitas dan efisiensi operasi.

• Melindungi aset; dan

• Kepatuhan terhadap hukum, peraturan, dan kontrak.

Menggunakan Interpretasi Standar 2120 (lihat di atas) untuk memberi kita tujuan
pengelolaan risiko untuk digunakan dalam bab ini memungkinkan kita untuk membedakan dari
Bab 6, terutama dalam panduan praktis di akhir bab ini dibandingkan dengan panduan pada akhir
Bab 6. Perhatikan bahwa penggunaan tujuan manajemen risiko yang dinyatakan oleh Institute
berarti kita berbeda dari tujuan manajemen perusahaan di COSO tahun 2004.2 Tidak seperti
definisi kontrol internal COSO (Bab 6), definisi COSO tentang manajemen risiko perusahaan
tidak mengandung pernyataan tujuan pengelolaan risiko:

Manajemen risiko perusahaan adalah sebuah proses, yang dilakukan oleh dewan direksi,
manajemen dan personil lainnya, yang diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi
entitas, dan mengelola risiko berada dalam risk appetite, untuk memberikan keyakinan memadai
mengenai pencapaian tujuan entitas.

COSO menyatakan tujuan mereka dalam pengelolaan risiko secara terpisah:

Kerangka manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan suatu
entitas, yang ditetapkan dalam empat kategori:

• Sasaran strategis tingkat tinggi, selaras dengan dan mendukung misinya

• Penggunaan sumber daya secara operasional dan efektif

• Pelaporan-keandalan pelaporan

• Kepatuhan kepatuhan terhadap hukum dan peraturan yang berlaku.

Kategori lain, pengamanan sumber daya, yang digunakan oleh beberapa entitas, juga dijelaskan.

KASUS MARCONI

Lord Weinstock mendominasi GEC (jangan dikelirukan dengan GE AS) selama tiga
puluh tahun sebagai chief executive-nya. Pada saat dia pensiun dari GEC pada tahun 1996, dia
tidak disukai oleh investor institusional yang telah mendorongnya untuk melakukan sesuatu yang
konstruktif dengan gunung kas legendaris GEC, atau mengembalikannya ke pemegang saham.
Sebenarnya Lord Weinstock telah memimpin konglomerat raksasa yang mengantuk, berkinerja
buruk pada perusahaan besar lainnya. Kekuatannya adalah neraca dan posisinya yang kuat tapi
tidak terdepan, antara lain, pembuatan peralatan pertahanan, lokomotif, produk industri berat dan
peralatan listrik. Marconi hanyalah salah satu dari perusahaan mereka.

Mungkin bisa diprediksi bahwa penerus Lord Weinstock sebagai chief executive, dan
yang terakhir ditunjuk sebagai direktur keuangan, yang sebentar lagi akan menjadi wakil kepala
eksekutif, akan mendengarkan pemegang saham institusional. Mereka membawa ke dewan
strategi yang diusulkan untuk mengubah GEC menjadi perusahaan perangkat keras dan
perangkat lunak telekomunikasi, mengganti nama grup Marconi. Daya pikat sektor dotcom
sangat menarik. Dewan, yang terdiri dari nama-nama terkenal dengan latar belakang bisnis yang
sangat baik, disepakati - dan pemegang saham institusional menyetujuinya.

Kelompok tersebut melepaskan diri dari perusahaan-perusahaan operasi yang tidak lagi
ingin dipertahankannya, bergerak keluar dari pertahanan dan pembuatan industri berat. Mereka
menggunakan dana hasil divestasi ini, bersama dengan gunung kas dan pinjaman signifikan dari
lembaga keuangan, untuk membiayai pasar investasi bisnis yang agresif dan mahal. Pemegang
saham Marconi diuntungkan dalam proses sampai batas tertentu, baik dari segi harga saham
Marconi yang naik untuk sementara waktu dan kepemilikan mereka atas saham dan catatan
pinjaman di BAE yang telah mengakuisisi perusahaan pertahanan GEC.

Ketika Marconi berhasil mereposisi dirinya sebagai perusahaan telekomunikasi, menjadi

jelas bahwa itu rentan. Neraca sekarang jauh lebih berat. Itu tidak cukup besar di telkom untuk
mendominasi pasar. Ini telah memposisikan dirinya sendiri tepat ketika perusahaan telepon
seluler mengurangi anggaran investasi mereka, karena telah terlalu banyak membayar
pemerintah untuk lisensi telepon seluler 3G.

Tim eksekutif Marconi mengusulkan kepada dewan mereka bahwa merger harus
dilakukan dengan perusahaan telekomunikasi terkemuka lainnya sebagai masalah urgensi
sebelum harga saham Marconi ambruk. Dewan menolak. Dewan tersebut sebelumnya tidak
menyetujui hal tersebut sebagai posisi mundur jika strategi transformasi gagal. Sisanya adalah
sejarah. Bank-bank pindah. Pemegang saham kehilangan hampir segalanya. CEO dan Wakil
CEO digulingkan pada tahun 2001. Bank-bank itu tidak muncul tanpa cedera. Perusahaan yang
bangga, mandiri, memiliki kekuatan finansial namun tidak spektakuler (dalam hal pengembalian
pemegang saham) sedikit debu.

Ada sejumlah pelajaran dari kisah ini. Yang penting adalah strategi yang mengambil
tendangan besar pada masa depan perusahaan terlalu berisiko untuk diterapkan secara hati-hati.
Pilihan strategis harus diuji stres untuk risiko sebelum diadopsi. Pendekatan manajemen risiko
harus diterapkan secara hati-hati pada tahap perumusan strategi, serta pengelolaan risiko selama
implementasi strategi. Pada tahap perumusan strategi, kejadian berisiko mungkin harus
diidentifikasi dan pendekatan dirancang untuk mengurangi risiko kejadian yang terjadi. Jika
salah satu kejadian tersebut terjadi, harus ada rencana kontinjensi yang efektif yang
dikembangkan dan disepakati terlebih dahulu oleh dewan pada tahap perumusan strategi yang
dapat diharapkan untuk secara efektif mengurangi konsekuensinya.

Jadi, tujuan utama manajemen risiko COSO sama dengan tujuan COSO dalam
pengendalian internal kecuali penambahan tujuan strategis yang, boleh dibilang, seharusnya
merupakan salah satu tujuan pengendalian internal COSO karena strategi harus dikembangkan
dengan cara yang terkontrol dengan baik. . Kami membahas hal ini di Bab 6. COSO benar untuk
menambahkan tujuan strategis ke kerangka pengelolaan risiko enteprise mereka: opsi strategis
perlu ditimbang mengingat risiko. Strategi yang diadopsi seharusnya telah diuji stres untuk risiko
yang seharusnya dinilai sebagai dalam risk appetite organisasi. Kemungkinan tidak dapat
diterima untuk mengadopsi strategi risiko tinggi baru yang akan menyebabkan jatuhnya
organisasi jika strategi tersebut gagal dan jika ada kemungkinan lebih dari kemungkinan di luar
itu mungkin gagal. Kami menggambarkan hal ini dengan studi kasus singkat pada Gambar 5.1

KOMPONEN PENTING MANAJEMEN RISIKO SECARA EFEKTIF

Dengan menetapkan tujuan pengelolaan risiko, COSO kemudian mengidentifikasi

delapan komponen penting yang harus ada dan bekerja secara efektif jika manajemen risiko
efektif. Mereka dirangkum di depan wajah manajemen risiko perusahaan COSO "rubik cube"
(Gambar 5.2). Pada kenyataannya mereka sedikit berbeda dari lima komponen pengendalian
internal OMS (Gambar 6.1). Ketiga perbedaan tersebut adalah:

1. Komponen "Lingkungan Pengendalian" di bawah kerangka pengendalian internal tahun 2002

sekarang disebut "Lingkungan Internal", walaupun maknanya tidak berubah. Tidak menjadi
kerangka kontrol internal, judul "Lingkungan Kontrol" tidak dianggap ideal, namun memilih
untuk memberi label "Lingkungan Internal" telah menghasilkan oksimoron yang jelek.

2. Kerangka pengendalian internal COSO tahun 1992 menjelaskan bahwa komponen

pengendalian internal tunggal pada "Penilaian Risiko" mencakup (a) mengidentifikasi kejadian
yang merupakan risiko, (b) mengukur / memahami / menilai risiko yang terkait dengan
Gambar 5.2 Manajemen risiko perusahaan COSO 'Rubik cube' '. Copyright 1992-2004 oleh
Komite Sponsoring organisasi komisi Treadway. Seluruh hak cipta. Dicetak ulang dengan izin

kejadian, dan (c) memutuskan bagaimana meresponsnya. (Gambar 6.1). Sekarang, di bawah
kerangka manajemen risiko perusahaan COSO tahun 2004, ini telah terbagi menjadi tiga
komponen penting yang terpisah - dibenarkan karena kerangka kerja ERM lebih menekankan
pada risiko.

3. Penambahan tujuan "Strategis" dari manajemen risiko perusahaan, menghasilkan kebutuhan

akan komponen penting tambahan dari manajemen risiko perusahaan - "Pengaturan Obyektif".
"Pengaturan obyektif" di muka depan kubus COSO (Gambar 5.2) setara dengan "Strategis" di
bagian atas wajah. Ini merupakan satu-satunya perubahan nyata dari komponen kontrol internal
COSO. Ini membuat kerangka kerja manajemen risiko perusahaan, menurut kata-kata COSO,
"konseptualisasi yang lebih kuat" 3 daripada kerangka pengendalian internal karena mencakup
penetapan tujuan. Bab 6 memeriksa komponen ini secara rinci.

LINGKUP PERAN AUDIT INTERNAL DALAM MANAJEMEN RISIKO

Perhatikan bahwa Standar 2120.A1 (di atas) memperluas pengauditan internal audit
selain memberikan kepastian mengenai proses manajemen risiko (Interpretation of Standard
2120, di atas) terhadap tanggung jawab audit internal untuk mengevaluasi segala macam
eksposur risiko yang dihadapi organisasi. Implikasinya adalah bahwa audit internal harus
memberi saran kepada dewan pengurus dan manajemen mengenai kecukupan proses manajemen
risiko, dan juga menarik perhatian mereka pada risiko signifikan yang mungkin mereka hadapi
atau fokus pada estimasi audit internal secara tidak memadai.

Ada berbagai kegiatan manajemen risiko perusahaan yang beberapa di antaranya sesuai
dengan peran penjamin auditor internal dan pihak lainnya ke dalam peran konsultasi mereka,
sementara yang lainnya adalah tanggung jawab manajemen dan tidak boleh dilakukan oleh audit
internal. Gambar 5.3 memberikan ringkasan posisi yang berguna

Peran audit internal inti dalam Peran audit internal yang sah dengan Peran audit internal seharusnya tidak
kaitannya dengan ERM pengamanan dilakukan

Diagram ini diambil dari "Pernyataan Posisi: Peran Audit Internal dalam Manajemen Risiko
Seluruh Perusahaan", yang direproduksi dengan izin dari Institute of Internal Auditor - Inggris
dan Irlandia.

Sesuai dengan peran Sesuai dengan peran Merupakan manajemen

assurance audit internal konsultasi audit internal tanggung jawab
Memberikan kepastian Memfasilitasi identifikasi dan Menetapkan risk appetite.
terhadap proses manajemen evaluasi risiko utama. Memaksakan proses
risiko. Manajemen pembinaan dalam manajemen risiko.
Memberikan jaminan bahwa merespon risiko. Jaminan manajemen atas
risiko dievaluasi dengan Mengkoordinasikan kegiatan risiko.
benar. ERM. Mengambil keputusan
Mengevaluasi proses Mengkonsolidasikan tentang respons risiko.
manajemen risiko. pelaporan risiko. Melaksanakan respon risiko
Mengevaluasi pelaporan Mempertahankan dan terhadap manajemen.
risiko utama. mengembangkan kerangka Akuntabilitas pengelolaan
Meninjau pengelolaan risiko kerja ERM. risiko.
utama. Juara pendirian ERM.
Mengembangkan strategi
manajemen risiko untuk
mendapatkan persetujuan
dewan komisaris.
Peran audit internal inti Peran audit internal yang sah Peran audit internal tidak
dalam kaitannya dengan - dengan pengamanan boleh dilakukan
ERM

Gambar 5.3 Aktivitas pengelolaan risiko audit

ALAT UNTUK MANAJEMEN RISIKO

Dalam bab ini kami menyarankan dua alat yang untuk diterapkan dalam manajemen risiko-yang
pertama (1) matrix risiko dan (2)daftar risiko.

MATRIX RISIKO

Risiko biasa di definisikan sebagai kemungkinan suatu peristiwa akan terjadi (yaitu ancaman
yang akan terjadi) dan mempengaruhi pencapaian tujuan. Risiko diukur melalui tingkat
kemungkinan peristiwa tersebut dapat terjadi, ditambah dengan kemungkinan dampak yang
dapat terjadi. Sehingga risiko tunggal dapat di gambarkan dengan grafik, yang diketahui sebagai
matrix atau peta risiko, seperti dalam figure 5.4
Beberapa risiko juga dapat digambarkan dalam grafik tunggal; dalam Figur 5.5 kami telah
menggambarkan hanya satu ancaman. Lingkaran merepresentasikan antara risiko yang melekat
(merupakan tingkat risiko yang mengenai organisasi jika tidak ada tindakan mitigasi dalam
organisasi tersebut) atau risiko kotor (merupakan tingkat risiko yang mengenai organisasi jika
mereka tidak melakukan tindakan mitigasi lebih lanjut. Segitiga merepresentasikan tingkat risiko
residual atau yang tersisa setelah tindakan mitigasi yang terpilih sudah diperkenalkan dan
diterapkan. Nafsu risiko merepresentasikan jumlah risiko berbasis luas yang dapat diterima
organisasi. Terkadang organisasi harus menerima, setidaknya untuk sementara waktu, tingkat
risiko yang berada di di luar nafsu risko-saat tidak ada tindakan yang dapat dilakukan.
Cara yang Tepat dalam Memitigasi Risiko

Kami telah menjelaskan perbedaan antara “risiko yang melekat” dengan “risiko kotor”. Figur 5.6
menyarankan pendekatan kendali yang tepat untuk memitigasi risiko yang melekat secara efektif.

A. Suatu risiko yang melekat dalam kuadran A akan berkemungkinan besar untuk terjadi
dan memiliki dampak yang besar pada organisasi. Dan pendekatan kendali yang
disarankan merupakan keharusan akan perhatian khusus secara konstan akan mitigasi atas
ancaman tersebut dari manajemen puncak, dengan reviu dari dewan.
B. Suatu risiko yang melekat dalam kuadran B berkemungkinan kecil untuk terjadi tetapi
memiliki dampak yang besar pada organisasi. Pendekatan kendali yang disarankan adalah
menghilangkan risiko. Sebagai alternatif, atau tambahan, organisasi dapat
mengembangkan dan menguji rencana kontingensi, dengan menerapkan tindakan-
tindakan tertentu yang akan diikuti terhadap ancaman yang terwujud.
C. Suatu risiko yang melekat di kuadran C berkemungkinan besar untuk terjadi tetapi tidak
memiliki dampak yang besar pada organisasi. Pendekatan kendali yang disarankan adalah
penekanan terhadap kendali (prosedur/kegiatan).
D. Suatu risiko dalam kuadran D berkemungkinan kecil untuk terjadi dan dampaknya tidak
signifikan terhadap perusahaan. Pendekatan kendali yang disarankan adalah pengawasan
terhadap risiko tersebut agar tidak keluar dari kuadran.
Mengkategorisasi Risiko

Jika risiko yang kategorinya berbeda tetapi digambarkan dalam satu matrix dapat
membingungkan sehingga akan lebih tepat jika mengkategorisasikan risiko dan menggunakan
satu atau lebih grafik untuk tiap kategori risiko. Salah satu pengkategorisasian dari risiko
terdapat dalam Figur 5.7

Penilaian Subjektif dalam Mengelola Risiko

Terdapat banyak penilaian dalam manajemen risiko, termasuk dalam penilaian risiko. Beberapa
organisasi dengan penilaian risiko mereka masing-masing dapat mengurangi jumlah penilaian
yang terlibat. Sangat berkemungkinan terhadap perbedaan persepsi terkait unit yang
mengkalibrasi sumbu vertical atas dampak (apakah secara keuangan atau lainnya), dan unit yang
mengkalibrasi sumbu horizontal (apakah waktu atau lainnya).
Contoh Matrix Risiko yang Lebih Canggih

Terkait Figur 5.8 dalam praktiknya sangat sulit untuk menilai tingkat bobot dari ancaman.
Sebaiknya memperdebatkan masalah ini sebagai sebuah tim dan, di mana ada perselisihan yang
signifikan, mengingat ancaman tersebut berada dalam jangkauan dan bukan sebagai satu titik
tunggal. Kami mendiskusikan hal ini dengan pertimbangan kami pada Gambar 5.11 (di bawah).
Ini adalah "Kemungkinan" dan "Dampak" yang mungkin dinilai tidak akurat.

Merencanakan Rentang Risiko

Merencanakan risiko sebagai suatu titik tunggal pada grafik merupakan penyederhanaan yang
berlebihan tetapi untuk melakukan hal tersebut seringkali membutuhkan tingkat kompleksitas
yang membebankan manahemen dan staf dalam menggunakan teknik ini dalam
mempertimbangkan bobot risiko. Figure 5.11 mengilustrasikan dimensi dampak dapat di
representasikan sebagai rentang dampak potensial.

DAFTAR RISIKO

Pendekatan grafis diatas merupakan alat yang sangat bagus untuk digunakan saat brainstorming
dalam workshop tentang ancaman terhadap organisasi atau bagiannya. Daftar risiko kurang
representasi visual, tetapi digunakan secara luas untuk membentuk dan menjaga catatan ancaman
dan manajemennya pada semua level dan semua bagian organisasi.
Figure 5.12 menyediakan satu layout untuk daftar risiko yang menangkap informasi secara luas
serupa dengan yang ditunjukkan pada grafik yang telah kita diskusikan. Figur 5.12 menggunakan
frasa “akuntabilitas dewan. Beberapa organisasi membedakan peran antara “sponsor risiko” dan
“pemilik risiko”. Sponsor risiko adalah orang (atau komite) yang paling senior dengan tanggung
jawab keseluruhan untuk mengawasi mitigasi dari ancaman. Dan pemilik risiko adalah anggota
dari staf dimana kegiatan keseharian dari manajemen risiko telah ditetapkan.

TANTANGAN MANAJEMEN RISIKO

Risiko Utama Yang Tersembunyi

Risiko utama yang dihadapi organisasi mungkin tidak terlihat dalam radar manajemen puncak.
Manajemen puncak mungkin cenderung berfokus untuk mencapai tujuan mereka sejauh mana terhadap
konsep kebijakan yang tidak dapat diantisipasi. Risiko utama yang berlaku mungkin terdapat di dalam
kerangka kerja organisasi, seperti bakteri yang tidak mungkin melemahkan organisasi. Mungkin bahwa
beberapa staf, bahkan dengan beberapa tanggung jawab manajemen, mungkin menyadari masalah ini
tetapi tidak mempertimbangkan untuk melakukan sesuatu terhadap resiko tersebut..

Pendekatan berbasis risiko terhadap perencanaan audit seharusnya tidak berarti bahwa kegiatan
audit internal hanya melakukan audit proses bisnis yang dianggap berisiko tinggi. Sebagian waktu audit
internal harus dialokasikan untuk melakukan audit terhadap area bisnis yang tidak dianggap mewakili
risiko signifikan - jika ada risiko tersembunyi di dalam organisasi tersebut.

Risiko Tambahan pada Organisasi yang Kurang Demokratis

 Bisnis yang diatur secara hierarkis, dan mereka yang memiliki budaya komando dimana atasan
memiliki kekuasaan penuh dalam segala hal lebih dari sekedar budaya partisipatif yang cenderung
menerima masukan dari bawahan yang bersifat partisipatif yang cenderung tidak membiarkan masalah
mereka. Jika staf merasa dihukum karena bersikap jujur tentang suatu kelemahan yang mereka ketahui,
maka mereka tidak akan berterus terang tentang suatu kelemahan tersebut kepada manajemen , jelas
budaya organisasi itu sendiri bisa menjadi ancaman bagi organisasi

Beberapa Risiko Simultan yang Terjadi

Ketika organisasi gagal atau hampir gagal, seringkali karena beberapa ancaman membuahkan
hasil pada saat bersamaan. Ancaman itu mungkin tidak independen satu sama lain. Di kebanyakan
organisasi, manajemen risiko tidak mencukupi untuk mengidentifikasi dan menilai beberapa risiko
kegagalan simultan. Teknik manajemen risiko, termasuk yang dibahas dalam bab ini akan menjadi
kompleks untuk digunakan, dipahami dan diandalkan jika disesuaikan untuk mengakomodasi risiko
kegagalan simultan terjadi secara simultan. Setiap organisasi harus mempertimbangkan risiko apa yang
mereka hadapi bahwa lebih dari satu kejadian yang tidak diinginkan dapat terjadi pada saat yang
bersamaan, kejadian apa yang mungkin terjadi dan apakah organisasi memiliki tempat yang diperlukan
untuk mengelola berbagai cara untuk melalui krisis ini terjadi

Peluang Sekaligus Ancaman

Manajemen tidak boleh mengabaikan bahwa alat manajemen risiko dapat dan harus diterapkan
pada setiap peluang dan juga pada ancaman. Organisasi harus berusaha untuk mengidentifikasi apa yang
mungkin terjadi di masa depan yang bisa memberi kesempatan kepada sebuah organisasi jika organisasi
tersebut diposisikan untuk memanfaatkan kesempatan itu dalam waktu bersamaan, walaupun hal itu
mungkin tidak sesuai dengan rencana bisnis organisasi. Pertimbangan harus diberikan untuk memajukan
pengembangan kemampuan untuk memanfaatkan kesempatan semacam itu jika terjadi. Setiap
kesempatan yang dilewatkan bisa diartikan sebagai ancaman yang belum pernah dihindari

Terlalu Menghidari Risiko?

Akhirnya manajemen seharusnya tidak terlalu menghindari risiko. Keuntungan adalah sebuah
peghargaan bagi manajemen yang berani untuk mengambil risiko Drucker mengatakan:

"Tujuan utama ilmu manajemen harus memungkinkan bisnis mengambil risiko tinggi, memang harus
memungkinkan bisnis mengambil risiko lebih besar - dengan memberikan pengetahuan dan pemahaman
tentang harapan alternatif, dengan mengidentifikasi sumber daya dan upaya yang dibutuhkan untuk hasil
yang diinginkan, dengan memobilisasi energi untuk kontribusi dan dengan mengukur hasil terhadap
harapan "

COSO (2014) mengambil pandangan yang lebih hati-hati

“Tidak ada entitas yang beroperasi di lingkungan bebas risiko, dan dalam perusahaan manajemen risiko
tidak berusaha untuk bergerak menuju lingkungan semacam itu. Sebaliknya manajemen risiko perusahaan
memungkinkan manajemen beroperasi lebih efektif di lingkungan yang penuh dengan risiko.”

ISU PENGENDALIAN UNTUK PROSES MANAJEMEN RESIKO

Tujuan pengendalian dalam proses manajemen resiko:

a) Dukungan tujuan organisasi dan selaras dengan misi organisasi

b) Risiko signifikan diidentifikasi dan dinilai
c) Respons risiko yang tepat dipilih yang menyelaraskan risiko dengan keinginan perusahaan
d) Informasi risiko yang relevan, memungkinkan staf, manajemen dan dewan direksi untuk
melaksanakan tanggung jawab mereka, dilihat dan dikomunikasikan secara tepat waktu di seluruh
organisasi, memungkinkan staf, manajemen, dan dewan untuk melaksanakan tanggung jawab mereka.

a) Dukungan tujuan organisasi dan selaras dengan misi organisasi

1. Isu Utama
 Apakah tujuan organisasi telah ditetapkan?
 Apakah tujuan organisasi telah dipetakan ke dalam pernyataan misi organisasi, dan adakah
yang sesuai?
 Apakah misi dan tujuan organisasi sesuai dengan tujuan organisasi sebagaimana tercantum
dalam dokumen konstitusional organisasi?
 Apakah pemilik dan pemangku kepentingan lainnya berbagi bisnis dengan dewan pengurus
dan manajemen senior merupakan pandangan umum tentang misi dan tujuan organisasi?
 Adakah misi, dan ada tujuan organisasi yang dikomunikasikan secara jelas dari atas ke
bawah, dan adakah komitmen di semua tingkat untuk disampaikan pada keduanya?

2. Isi Terperinci
 Apakah tujuan organisasi didefinisikan sesuai dengan apa yang difokuskan oleh organisasi?
 Jika organisasi mencapai tujuannya, apakah itu akan memenuhi misinya?
 Bagaimana organisasi meninjau ulang dan mengubah misi dan tujuannya?
b) Risiko signifikan diidentifikasi dan dinilai
1. Isu Utama
 Apakah ada proses formal identifikasi, penilaian dan respons manajemen risiko?
 Apakah manajemen risiko diterapkan pada tahap perumusan strategi serta penerapan strategi
yang diadopsi?
 Apakah manajemen risiko melekat pada budaya bisnis, jadi itu adalah sikap dan pikiran dari
manajemen dan staff?
 Apakah organisasi berusaha untuk mengidentifikasi dan menilai risiko eksternal dan internal?
 Apakah manajemen risiko organisasi secara tepat mengkalsifikasi risiko menjadi kategori yang
sesuai?
 Apakah organisasi menggunakan alat manajemen risiko yang efektif?
 Apakah rencana keterlibatan audit internal masa depan berdasarkan penilaian risiko?
2. Isu Terperinci
 Apakah proses manajemen risiko organisasi merangkul dan memperluas mengingat risiko
organisasi gagal memanfaatkan peluang yang mungkin timbul di masa depan?
 Pernahkah ada kejadian yang terjadi pada organisasi yang menunjukkan bahwa tidak semua
risiko signifikan diantisipasi, dan pelajaran apa yang harus dipelajari dari hal ini?
 Apakah organisasi mempertimbangkan kemungkinan, konsekuensi dan penyelamatan yang
efektif terhadap jumlah ancaman yang terjadi secara bersamaan?
 Apakah audit internal menginvestasikan beberapa audit untuk meninjau area bisnis yang
dianggap berisiko rendah, jika ada risiko signifikan yang tersembunyi di bidang bisnis
tersebut?

c) Respons risiko yang tepat dipilih yang menyelaraskan risiko dengan keinginan perusahaan
1. Isu Utama
 Adakah tanggung jawab atas kepemilikan dan pengendalian risiko yang secara jelas diberikan
kepada staf yang tepat?
 Apakah organisasi tersebut mendefinisikan keseluruhan hasrat risiko dan berbagai hasrat
risiko lainnya untuk bagian bisnis?
 Apakah organisasi menjalankan tingkat risiko yang tidak dapat diterima, berada di luar hasrat
risiko organisasi?
  Dalam menilai risiko, apakah penyisihan dilakukan untuk tingkat subjektivitas yang terlibat
dalam mengidentifikasi, menilai dan memutuskan bagaimana menanggapi risikonya?
 Apakah ada risiko bahwa organisasi tersebut mungkin terlalu menghindari risiko?
2. Isu Terperinci
 Adalah cara optimal yang digunakan untuk mengurangi risiko tergantung pada karakter
risikonya?
 Apakah ada peluang biaya yang efektif untuk mengurangi risiko lebih jauh lagi, meskipun
dinilai sebagai organisasi dalam hasrat risikonya?

d) Informasi risiko yang relevan, memungkinkan staf, manajemen dan dewan direksi untuk
melaksanakan tanggung jawab mereka, ditangkap dan dikomunikasikan secara tepat waktu di
seluruh organisasi, memungkinkan staf, manajemen, dan dewan untuk melaksanakan
tanggung jawab mereka.
1. Isu Utama
 Bagaimana wawasan tentang risiko dikomunikasikan secara efektif ke atasan sehingga dapat
menginformasikan penilaian tingkat atas terhadap risiko?
 Bagaimana kekhawatiran tentang tingkat risiko yang dikomunikasikan ke bawah sehingga
dapat dijadikan pertimbangan dalam penilaian risiko di tingkat operasional?
 Apakah organisasi melihat dan memantau secara efektif informasi risiko yang tepat untuk
menentukan apakah risiko utama bagi bisnis terkendali?
 Apakah komite audit dan dewan direksi meninjau proses manajemen risiko organisasi,
tingginya tingkat risiko terhadap organisasi yang telah diidentifikasi dan diasumsikan dengan
baik prosesnya?
 Apakah laporan komite audit mengenai risiko terhadap dewan komisaris itu sendiri adalah
manajemen risiko?
 Apakah tersedia informasi risiko yang cukup untuk memungkinkan bisnis untuk mengelola
risiko secara efektif?
 Apakah manajemen risiko dari audit internal terbatas pada memberikan saran assurance dan
konsultasi mengenai manajemen risiko, daripada memiliki tanggung jawab untuk menjadi
fungsi manajemen risiko spesialis bisnis atau mengambil keputusan dan tindakan manajemen
sehubungan dengan gangguan risiko?
 Apakah organisasi membuat daftar risiko yang memadai di semua tingkat dan di seluruh
bisnis?
  Apakah budaya organisasi memberi kejujuran tentang risiko yang dijalankan?
2. Isu Terperinci
 Apakah organisasi tersebut berusaha mengembangkan dan menggunakan "indikator utama"
untuk memberikan peringatan tepat waktu mengenai kemungkinan pengembangan tingkat
risiko yang tidak dapat diterima?