6.

2 COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan
memiliki konsisten definisi risiko mereka. Ini juga alat penting untuk memahami dan
meningkatkan kontrol internal SOx. COSO ERM diluncurkan dengan cara yang mirip dengan
pengembangan kerangka pengendalian internal COSO, sebagaimana dibahas dalam Bab 3.
Sama seperti tidak ada definisi yang konsisten dari kontrol internal, ada juga tidak ada
definisi tingkat perusahaan yang konsisten risiko. Perhatian ini ditekankan oleh komentar
John Flaherty, ketua pertama COSO: "Meski banyak orang
berbicara tentang risiko, tidak ada definisi yang diterima secara umum manajemen risiko
dan tidak ada kerangka komprehensif yang menjelaskan bagaimana prosesnya harus
berjalan, membuat komunikasi risiko antar anggota dewan dan manajemen sulit dan frustasi.”2
COSO kontrak dengan PricewaterhouseCoopers (PwC) untuk mengembangkan ini kerangka
risiko Kerangka COSO ERM diterbitkan setelah diundangkan SOx pada bulan September
2004. Sisa dari bab ini merangkum COSO ERM di beberapa detail.
Sama seperti kerangka kontrol internal COSO yang dimulai dengan mengajukan
yang konsisten Definisi subjeknya, dokumen kerangka kerja COSO ERM dimulai dengan
mendefinisikan manajemen risiko perusahaan:

Manajemen risiko perusahaan adalah sebuah proses, yang dilakukan oleh dewan direksi
entitas, manajemen dan lainnya personil, diterapkan dalam pengaturan strategi dan lintas
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko berada dalam risk appetite-nya, untuk
memberikan keyakinan memadai
tentang pencapaian tujuan entitas.

Profesional harus mempertimbangkan poin kunci yang mendukung kerangka kerja COSO
ERM ini definisi termasuk:

 ERM adalah sebuah proses

Ungkapan yang sering disalahgunakan, definisi kamus a Proses adalah serangkaian
tindakan yang dirancang untuk mencapai hasilnya. Namun, definisi ini tidak banyak
membantu banyak profesional. Idenya di sini adalah itu sebuah proses bukanlah
prosedur statis, seperti penggunaan lencana pegawai dirancang dan dibangun untuk
memungkinkan hanya orang-orang yang berwenang tertentu untuk memasukkan
terkunci fasilitas. Prosedur lencana seperti itu - seperti kunci kunci - hanya
memungkinkan atau tidak mengizinkan seseorang masuk ke fasilitas. Sebuah proses
cenderung menjadi lebih pengaturan yang fleksibel Dalam proses persetujuan kredit,
misalnya penerimaan Aturan ditetapkan dengan pilihan untuk mengubahnya mengingat
pertimbangan lain. Sebuah perusahaan mungkin membengkokkan peraturan kredit
untuk nasabah kredit yang baik yaitu mengalami masalah jangka pendek. ERM adalah
jenis proses itu. Sebuah perusahaan sering tidak dapat menentukan aturan pengelolaan
risikonya melalui kecil, ketat buku aturan terorganisir Melainkan harus ada serangkaian
langkah-langkah yang didokumentasikan meninjau dan mengevaluasi potensi risiko dan
mengambil tindakan berdasarkan berbagai macam faktor di seluruh perusahaan.

 ERM Proses diimplementasikan oleh orang-orang di perusahaan.

ERM tidak akan jadilah efektif jika diimplementasikan hanya melalui seperangkat aturan
yang dikirim ke operasi unit dari kantor pusat perusahaan jauh, di mana orang-orang
perusahaan yang menyusun peraturan mungkin tidak banyak memahami berbagai
faktor keputusan sekitar unit operasi. Proses manajemen risiko harus dikelola oleh orang-
orang yang cukup dekat dengan situasi risiko untuk memahami berbagai hal Faktor
seputar risiko, termasuk implikasinya.

 ERMis diterapkan melalui penetapan strategi di seluruh perusahaan secara

keseluruhan.
 Setiap perusahaan selalu dihadapkan pada strategi alternatif berbagai kemungkinan aksi
masa depan yang potensial. Jika entitas mengakuisisi komplementer lain bisnis untuk
memperluas pertumbuhan atau hanya membangun secara internal? Haruskah itu
diadopsi teknologi baru dalam proses manufaktur atau tetap dengan yang dicoba dan
benar? Proses proses ERM yang efektif harus memainkan peran utama dalam membantu
membangun strategi alternatif tersebut. Karena banyak perusahaan besar dengan
banyak unit operasi yang berbeda, ERM harus diterapkan di seluruh perusahaan
menggunakan jenis pendekatan portofolio yang memadukan campuran berisiko tinggi
dan rendah kegiatan.

 Konsep risk appetite harus diperhatikan.

Konsep atau istilah baru untuk banyak, risk appetite adalah jumlah resiko, pada tingkat
yang luas, bahwa suatu perusahaan dan manajer masing-masing bersedia menerima
dalam mengejar nilai mereka. Risiko nafsu makan dapat diukur secara kualitatif dengan
melihat risiko pada kategori tersebut tinggi, sedang, atau rendah; Sebagai alternatif,
dapat didefinisikan secara kualitatif cara. Pemahaman tentang risk appetite mencakup
beragam isu yang ada dibahas lebih lanjut dalam bab ini sebagai bagian dari penerapan
COSO ERM memperkuat lingkungan internal SOX internal perusahaan. Ide dasarnya
adalah bahwa setiap manajer dan, secara kolektif, setiap perusahaan memiliki beberapa
selera makan risiko. Beberapa akan menerima usaha berisiko yang menjanjikan tingkat
pengembalian yang tinggi; lainnya lebih memilih pendekatan yang lebih terjamin-return
dan berisiko rendah. Ini nafsu makan untuk risiko Konsepnya bisa dipertimbangkan dari
dua investor. Seseorang mungkin lebih suka berinvestasi dalam risiko sangat rendah tapi
biasanya pasar uang kembali rendah atau dana indeks sementara yang lain mungkin
berinvestasi pada saham teknologi start up rendah dengan ekspektasi hasil yang sangat
tinggi Investor yang terakhir bisa digambarkan memiliki selera makan yang tinggi untuk
resiko Sebagai contoh lain, di persimpangan jalan dengan Walk atau Do not Walk
Persimpangan cahaya, orang yang terus melintasi persimpangan saat cahaya mulai
berkedip "Walk", artinya akan segera berubah menjadi "Do not Walk", memiliki a nafsu
makan lebih tinggi untuk risiko

 ERM memberikan keyakinan yang masuk akal namun tidak positif

terhadap pencapaian obyektif.
Idenya di sini adalah bahwa sebuah ERM, tidak peduli seberapa baik dipikirkan atau
diimplementasikan, tidak dapat memberikan manajemen atau pihak lain dengan jaminan
terjamin dari hasil. Perusahaan yang dikendalikan dengan baik, dengan orang-orang di
semua tingkat secara konsisten bekerja menuju tujuan yang dapat dipahami dan dapat
dicapai, dapat mencapai tujuan tersebut periode demi periode, bahkan selama beberapa
tahun. Namun, manusia yang tidak disengaja kesalahan, tindakan tak terduga oleh orang
lain, atau bahkan bencana alam pun bisa terjadi. Terlepas dari proses ERM yang efektif,
perusahaan dapat mengalami hal yang utama dan kejadian bencana yang sama sekali
tak terduga Jaminan yang wajar tidak memberikan kepastian mutlak

 ERM dirancang untuk membantu mencapai tujuan.

Suatu perusahaan, melalui manajemennya, harus bekerja untuk menetapkan tujuan
umum tingkat tinggi yang dapat dilakukan dibagi oleh semua pemangku kepentingan.
Contoh di sini, seperti yang dikutip di COSO ERM terbit Dokumentasi, termasuk hal-hal
seperti pencapaian dan pemeliharaan yang positif reputasi dalam bisnis perusahaan dan
komunitas konsumen, menyediakan pelaporan keuangan yang andal kepada semua
pemangku kepentingan, dan beroperasi sesuai dengan hukum dan peraturan. Itu
Keseluruhan program ERM untuk perusahaan seharusnya bantu untuk mencapai tujuan
tersebut. Tujuan dan sasaran yang terkait dengan ERM kurang bernilai kecuali jika dapat
diatur dan dimodelkan bersama dengan cara yang bisa dilihat oleh manajemen aspek
tugas dan pahami - setidaknya semacam - bagaimana mereka berinteraksi dan
berhubungan secara multidimensional. Ini adalah kekuatan nyata dari kontrol internal
 COSO model kerangka Ini menggambarkan, misalnya, bagaimana kepatuhan perusahaan
peraturan mempengaruhi semua tingkat pengendalian internal, dari proses pemantauan
sampai dengan lingkungan kontrol, dan bagaimana kepatuhan itu penting bagi semua
entitas atau unit dari perusahaan. Kerangka COSO ERM menyediakan beberapa definisi
umum manajemen risiko dan dapat membantu mencapai tujuan pengendalian internal
SOx dan juga proses manajemen risiko yang lebih baik di seluruh perusahaan.

6.3 Elemen Kunci COSO ERM

Kerangka pengendalian internal COSO, sebagaimana ditunjukkan pada Tampilan 3.1,
telah menjadi a model di seluruh dunia untuk menggambarkan dan mendefinisikan
kontrol internal dan telah menjadi dasar untuk menetapkan SOx Section 404 compliance.
Mungkin karena beberapa hal yang sama Anggota tim terlibat dengan kontrol internal
COSO dan ERM, COSO ERM Kerangka 3 -di pertama pengamatan-terlihat sangat mirip
dengan kontrol internal COSO kerangka. Bagan 6.5 menunjukkan kerangka kerja COSO
ERM ini sebagai tiga dimensi kubus dengan komponen dari:
 Empat kolom vertikal mewakili tujuan strategis dari risiko perusahaan.
 Delapan baris horizontal atau komponen risiko.
 Beberapa tingkatan untuk menggambarkan perusahaan apa pun, dari tingkat entitas
"kantor pusat" untuk masing-masing anak perusahaan. Bergantung pada ukuran
organisasi, bisa jadi banyak irisan model disini

Bagian ini menjelaskan komponen horisontal COSO ERM; bagian selanjutnya

diskusikan dua dimensi lainnya dan bagaimana mereka berhubungan satu sama lain. Tujuan
dari Kerangka ERM ini adalah menyediakan model bagi perusahaan untuk dipertimbangkan
dan dipahami aktivitas terkait risiko mereka di semua tingkat dan juga bagaimana dampak
komponen risiko ini satu sama lain. Tujuan bab ini adalah untuk membantu auditor internal -
dari pimpinan audit eksekutif (CAE) kepada auditor staf - untuk lebih memahami COSO ERM
dan belajar bagaimana bisa membantu mengelola berbagai risiko yang dihadapi
perusahaan.
Karena diagram kerangka COSO ERM terlihat sangat mirip dengan COSO kerangka
pengendalian internal yang telah menjadi hal yang asing bagi banyak auditor internal
Beberapa tahun terakhir dan pasti setelah SOx, beberapa terkadang salah melihat COSO
ERM hanya sebagai update baru untuk kerangka kontrol internal COSO. Namun, COSO ERM
memiliki tujuan dan kegunaan yang berbeda. COSO ERM tidak boleh dianggap hanya a baru
dan memperbaiki atau merevisi versi kerangka kontrol internal COSO. Saya t jauh lebih
banyak Bagian selanjutnya menguraikan kerangka kerja ini dari komponen risiko perspektif.

(a) Komponen Lingkungan Internal

Melihat wajah kubus COSO ERM, ada delapan tingkatan, dengan internal lingkungan yang
berada di atas kerangka ERM. Sebaliknya, di internal COSO kerangka kontrol, faktor
lingkungan kontrol ditempatkan pada tingkat pondasi. Lingkungan internal dapat dianggap
sebagai batu penjuru bagi COSO ERM. Ini Komponennya mirip dengan kotak di bagian atas
bagan organisasi yang dicantumkan CEO sebagai kepala fungsi yang ditunjuk. Tingkat ini
mendefinisikan dasar untuk semua komponen lain dalam model ERM perusahaan,
mempengaruhi bagaimana strategi dan strategi Tujuan harus ditetapkan, bagaimana
aktivitas bisnis yang terkait dengan risiko terstruktur, dan bagaimana risiko diidentifikasi
dan ditindaklanjuti. Sedangkan kontrol kontrol internal COSO lingkungan berfokus pada
praktik saat ini, seperti kebijakan sumber daya manusia, ERM mengambil pendekatan
berorientasi filosofis yang lebih berorientasi pada masa depan. COSO ERM Komponen
lingkungan internal terdiri dari unsur-unsur ini:

 Filosofi manajemen risiko. Inilah sikap dan kepercayaan bersama itu ciri
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya.
Lebih dari a pesan dalam kode etik, filosofi manajemen risiko adalah sikap itu harus
memungkinkan pemangku kepentingan di semua tingkat untuk menanggapi proposal
berisiko tinggi dengan sebuah jawaban di sepanjang baris mungkin "Tidak, itu bukan jenis
usaha kita perusahaan akan tertarik. "Tentu saja, perusahaan dengan filosofi yang
berbeda mungkin menanggapi usulan yang sama ini dengan "Suara menarik. Apa tingkat
pengembalian yang diharapkan? "Respons keduanya benar-benar salah, tapi perusahaan
harus mencoba untuk mengembangkan sikap yang konsisten terhadap bagaimana ia
menerima usaha berisiko. Filosofi risiko ini penting ketika auditor internal mengevaluasi
Sox intern kontrol.
 Risk appetite. Appetite adalah jumlah risiko yang ingin diterima perusahaan dalam
mengejar tujuannya. Nafsu makan untuk risiko dapat diukur secara kuantitatif atau istilah
kualitatif, tapi semua tingkat manajemen harus memiliki jenderal pemahaman tentang
selera risiko keseluruhan perusahaan mereka. Nafsu jangka adalah tidak sering digunakan
oleh auditor internal dan manajer lainnya sebelum COSO ERM, namun Ini adalah
ungkapan yang berguna yang menggambarkan keseluruhan filosofi risiko.
 Sikap dewan direksi Dewan dan komite memiliki sangat penting peran dalam
mengawasi dan membimbing lingkungan risiko perusahaan. Itu Independen, direksi luar
khususnya harus meninjau secara seksama manajemen tindakan, mengajukan
pertanyaan yang tepat, dan berfungsi sebagai kontrol cek dan keseimbangan untuk
perusahaan Bila perwira senior perusahaan itu-tidak mungkin-terjadi-di sini Sikap
mengenai risiko yang mungkin terjadi di berbagai tingkatan, anggota dewan seharusnya
Tanyakan pertanyaan sulit tentang bagaimana perusahaan akan bereaksi jika salah satu
dari kejadian tersebut sebenarnya memang terjadi
 Integritas dan nilai etika. Elemen lingkungan internal ERM yang penting ini
membutuhkan lebih dari sekedar kode etik yang diterbitkan dan mencakup pemikiran
yang matang pernyataan misi dan standar integritas. Materi ini membantu membangun a
budaya yang kuat untuk membimbing perusahaan, di semua tingkat, dalam membantu
membuat risiko keputusan. Nilai etika yang lebih kuat di sini mungkin telah membantu
perusahaan, seperti Enron dan WorldCom, untuk menghindari skandal akuntansi yang
menyebabkan pemberlakuan SOx. Daerah ini harus menjadi komponen penting dalam
setiap ERM Kerangka kerja hari ini.
 Komitmen terhadap kompetensi. Kompetensi mengacu pada pengetahuan dan
keterampilan diperlukan untuk melakukan tugas yang ditugaskan. Manajemen
memutuskan bagaimana hal ini penting Tugas akan dilakukan melalui pengembangan
strategi dan penetapan orang yang tepat untuk melakukan mereka. Kita semua pernah
melihat perusahaan yang tidak memiliki jenis komitmen ini. Manajemen senior terkadang
membuat grand dan nyaring rencana untuk mencapai beberapa tujuan tapi kemudian
tidak sedikit untuk mencapainya. Pasar saham sering menghukum kegagalan dalam
kegiatan tersebut. Dengan komitmen kuat untuk Kompetensi, manajer di semua tingkatan
harus mengambil langkah untuk mencapai janjinya tujuan.
 Struktur organisasi. Suatu perusahaan harus mengembangkan organisasi struktur
dengan garis wewenang, tanggung jawab, dan pelaporan yang jelas. Setiap profesional
telah melihat situasi di mana sebuah organisasi memiliki jalur komunikasi yang tepat
Misalnya, sebelum SOx, banyak internal fungsi audit telah menerbitkan bagan organisasi
yang menunjukkan pelaporannya kepada mereka komite audit dewan komisaris mereka,
tapi seringkali hanya di atas kertas; ada yang terbatas audit internal komunikasi sehari-
hari di luar audit berkala dan sangat singkat rapat komite SOx telah mengubah ini.
Lingkungan dimana audit Panitia hanya memiliki interaksi yang sangat terbatas dengan
fungsi audit internalnya merepresentasikan kegagalan dalam struktur organisasi.
Sementara situasi ini telah terjadi dikoreksi, banyak situasi struktur organisasi mungkin
perlu perbaikan mencapai ERM yang efektif.
 Penugasan wewenang dan tanggung jawab. Komponen ERM ini mengacu pada
sejauh mana wewenang dan tanggung jawab ditugaskan atau didelegasikan. Itu
Kecenderungan di banyak perusahaan saat ini adalah mendorong persetujuan wewenang
tanggung jawab turunkan bagan organisasi, berikan karyawan tingkat rendah dan bahkan
lini pertama otoritas otorisasi dan persetujuan yang lebih besar. Tren terkait telah
diratakan organisasi dengan menghilangkan tingkat manajemen menengah. Struktur ini
 biasanya mendorong kreativitas karyawan, waktu respon lebih cepat, dan pelanggan yang
lebih besar kepuasan. Namun, jenis organisasi yang menghadapi pelanggan
membutuhkan kuat prosedur dan aturan untuk staf serta manajemen sehingga lebih
rendah keputusan staf dapat ditolak jika diperlukan. Semua individu harus tahu caranya
tindakan mereka saling terkait dan berkontribusi pada keseluruhan tujuan perusahaan.
Kode etik yang kuat merupakan elemen penting di sini.
 Standar sumber daya manusia Praktik tentang perekrutan karyawan, pelatihan,
kompensasi, promosi, pendisiplinan, dan semua tindakan lainnya mengirim pesan terkait
apa yang disukai, ditoleransi, dan dilarang. Saat manajemen mengedipkan mata atau
mengabaikan beberapa kegiatan area abu-abu daripada mengambil posisi kuat, pesan itu
Biasanya secara informal dan cepat dikomunikasikan kepada orang lain. Standar yang
kuat diperlukan untuk memastikan bahwa peraturan sumber daya manusia
dikomunikasikan kepada semua orang stakeholder dan ditegakkan

Materi panduan COSO ERM yang dipublikasikan berisi contoh lain dari komponen
yang diperlukan untuk membangun lingkungan internal yang efektif. Banyak yang merujuk
standar dan pendekatan yang harus diterapkan perusahaan untuk menerima dan mengelola
berbagai tingkat risiko, dan lain-lain hanya mengacu pada praktik bisnis yang baik. Tidak
penting apakah perusahaan memiliki selera risiko tinggi atau rendah, perlu dibentuk
pengendalian praktik lingkungan untuk mengelola risiko tersebut. Misalnya, perusahaan bisa
memberi Tenaga penjualannya agak bebas untuk melakukan kesepakatan tanpa banyak
pengawasan manajemen dan persetujuan. Namun setiap orang harus tahu kebijakan hukum,
etika, dan manajemen batas dari praktek bebas-rein. Prosesnya harus di tempat sedemikian
rupa sehingga jika ada orang Langkah-langkah di atas garis batas ini, tindakan perbaikan
cepat dilakukan dan dikomunikasikan Ada banyak cara bagi perusahaan untuk
mengkomunikasikan risikonya standar manajemen, namun sebuah pernyataan formal dalam
laporan tahunan atau informasi Di halaman rumah perusahaan itu sering ada tempat yang
bagus.
Dua komponen lingkungan internal COSO ERM, manajemen risiko perusahaan
filsafat dan selera makannya yang relatif terhadap risiko, memberi makan unsur - unsur lain
dari Kerangka COSO ERM. Sedangkan filosofi manajemen risiko dibahas dalam istilah sikap
direksi dan kebijakan sumber daya manusia antara lain risiko nafsu makan seringkali
merupakan ukuran yang lebih lembut, di mana perusahaan telah menentukannya menerima
beberapa risiko tapi menolak yang lain dalam hal kemungkinan dan dampaknya. Bagan 6.6
menunjukkan peta selera risiko. Suatu perusahaan harus mengenali kisaran di mana itu
bersedia menerima risiko dalam hal kemungkinan dan dampaknya. Pameran ini mengatakan
bahwa perusahaan mungkin bersedia terlibat dalam proyek dengan dampak negatif tinggi
jika Ada kemungkinan terjadinya yang rendah. Ada dimensi ketiga pada bagan ini baik.
Suatu perusahaan terkadang memiliki selera makan yang lebih besar untuk usaha yang
lebih berisiko jika ada potensi pengembalian yang lebih tinggi.

(b) Pengaturan Obyektif

Peringkat tepat di bawah lingkungan internal kerangka COSO ERM, objektif Pengaturan
menguraikan kondisi penting untuk membantu manajemen menciptakan yang efektif Proses
ERM Unsur ini mengatakan bahwa, selain lingkungan internal yang efektif, perusahaan harus
menetapkan serangkaian tujuan strategis, selaras dengan
misi dan operasi penutup, pelaporan, dan kegiatan kepatuhan. COSO ERM menekankan
bahwa sebuah misi pernyataan merupakan elemen penting untuk menetapkan tujuan; ini
sebuah pernyataan umum, pernyataan formal dan blok bangunan untuk pembangunan dari
strategi fungsional spesifik. Seringkali hanya pernyataan sederhana dan sederhana, sebuah
pernyataan misi harus merangkum tujuan perusahaan dan keseluruhannya sikap terhadap
risiko. Dilakukan dengan benar dan disampaikan, sebuah pernyataan misi harus didorong
sebuah perusahaan untuk mengembangkan tujuan strategis tingkat tinggi dan kemudian
membantu memilih dan menerapkan operasi, pelaporan, dan tujuan kepatuhan. Sementara
operasi tujuan berkaitan dengan efektivitas dan efisiensi perusahaan di Indonesia mencapai
profitabilitas dan kinerja, tujuan kepatuhan mencakup pelaporan kinerja dan kepatuhan
terhadap peraturan perundang-undangan. COSO ERM memanggil sebuah perusahaan untuk
secara formal menentukan tujuannya dengan hubungan langsung dengan pernyataan
misinya, beserta kriteria pengukuran untuk menilai apakah telah mencapai pengelolaan
risiko ini tujuan.
Komponen lingkungan internal ERM memahami risiko perusahaan filosofi
manajemen dan selera risiko memanggil komponen penetapan tujuan untuk secara formal
mendefinisikan risk appetite tersebut dalam hal toleransi terhadap risiko. Toleransi adalah
pedoman yang harus digunakan perusahaan - di semua tingkat - untuk menilai apakah
akan sesuai menerima resiko Membentuk dan memberlakukan toleransi risiko bisa sangat
sulit, dengan Masalah potensial jika peraturan ini tidak didefinisikan secara jelas, dipahami
dengan baik, dan ketat ditegakkan. Perusahaan harus menetapkan rentang risiko yang
dapat diterima di antara banyak perusahaan daerah. Misalnya, produk yang keluar dari
jalur produksi mungkin bisa diterima tingkat kesalahan yang telah ditentukan sebelumnya
kurang dari beberapa nilai, seperti tingkat kesalahan tidak lebih besar dari 0,005%. Itu
adalah tingkat kesalahan yang sangat rendah di banyak bidang, dan produksi manajemen
di sini akan menerima risiko klaim atau kerusakan garansi produk untuk reputasi mereka
jika ada kesalahan dalam batas yang relatif sempit. Tentu saja, Jaminan kualitas hari ini
menekankan pada program six sigma, yang dibahas di Bab 32, membawa batasan
toleransi tersebut semakin ketat. 4

Intinya di sini adalah bahwa perusahaan harus menentukan strategi dan

sasaran terkait risiko. Dalam pedoman tersebut, harus memutuskan selera dan
toleransi terhadap risiko ini. Artinya, hal itu harus menentukan tingkat risiko yang
ingin diterima dan, mengingat peraturan toleransi risiko tersebut, seberapa jauh
ia bersedia menyimpang dari tindakan yang telah ditetapkan sebelumnya. Bagan
6.7 menguraikan hubungan bagian-bagian komponen penetapan tujuan COSO
ERM ini. Dimulai dengan keseluruhan misi, pendekatannya adalah untuk (1)
mengembangkan tujuan strategis untuk mendukung pencapaian misi tersebut, (2)
membangun strategi untuk mencapai tujuan, (3) menentukan tujuan terkait, dan
(4) menentukan selera risiko untuk menyelesaikan strategi itu Pameran ini
diadaptasi dari bahan panduan COSO ERM. Bahan-bahan ini harus dirujuk untuk
mendapatkan pemahaman yang lebih rinci tentang COSO ERM. Untuk mengelola
dan mengendalikan risiko di semua tingkat, perusahaan perlu menetapkan
tujuannya dan menentukan toleransi untuk terlibat dalam praktik berisiko dan
kepatuhan terhadap peraturan ini. Hal-hal tidak akan berhasil jika perusahaan
menetapkan beberapa tujuan terkait risiko namun kemudian mengabaikannya.

(c) Identifikasi Peristiwa

Peristiwa adalah kejadian atau kejadian perusahaan - eksternal atau eksternal -

yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya.
Sementara kecenderungan kita adalah memikirkan kejadian dalam arti negatif -
menentukan apa yang salah - mereka bisa menjadi positif juga. Banyak
perusahaan saat ini memiliki alat pemantauan kinerja yang kuat untuk memonitor
biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun, melampaui
hanya memasang satu meter di jalur perakitan pro-duksi, proses pemantauan
harus mencakup:

 Kejadian ekonomi eksternal. Berbagai peristiwa eksternal perlu

mendapat perhatian untuk membantu mencapai tujuan ERM suatu perusahaan.
Kejadian jangka pendek dan jangka panjang dapat mempengaruhi sasaran
strategis perusahaan. Sebagai contoh peristiwa ekonomi eksternal, pada bulan
Desember 2001 dan setelah beberapa turbulen pasar mata uang yang sedang
berlangsung, Argentina mengumumkan default utama dari hutang publiknya.
Peristiwa eksternal ini memiliki dampak besar pada pasar kredit internasional,
pemasok komoditas pertanian, dan urusan bisnis lainnya di Argentina dan
seluruh wilayah Amerika Selatan. Identifikasi peristiwa ekonomi eksternal di
sini memerlukan hadiah masuk untuk melampaui berita utama berita yang
dilaporkan dan menaikkan bendera untuk menyarankannya default mata uang
semacam itu dapat menyoroti peristiwa yang terkait dengan risiko perusahaan.
 Acara lingkungan alam Apakah kebakaran, banjir, atau gempa bumi,
peristiwa numerik bisa menjadi insiden dalam identifikasi risiko ERM. Dampak
di sini dapat mencakup hilangnya akses terhadap beberapa bahan baku utama,
kerusakan fasilitas fisik, atau ketidaktersediaan personil.
 Acara politik Undang-undang dan peraturan baru serta hasil pemilihan
bisa ada dampak terkait kejadian risiko yang signifikan terhadap perusahaan.
Banyak perusahaan besar memiliki fungsi urusan pemerintahan yang mereview
perkembangan di sini dan melobi untuk perubahan, namun fungsi semacam itu
mungkin tidak selalu selaras dengan strategi perusahaan. Tujuan ERM
 Faktor sosial. Sedangkan kejadian eksternal seperti gempa mendadak dan
Tiba dengan sedikit peringatan, sebagian besar faktor sosial perlahan
berkembang. Ini termasuk perubahan demografi, adat istiadat sosial, dan
kejadian lainnya yang mungkin berdampak pada perusahaan dan pelanggannya
dari waktu ke waktu. Pertumbuhan populasi Hispanik di Amerika Serikat adalah
contohnya. Karena semakin banyak orang Hispanik pindah ke kota, misalnya,
persyaratan mengajar di sekolah umum dan sekolah Campuran pilihan di toko
kelontong semuanya akan berubah.
 Acara infrastruktur internal Usaha sering membuat perubahan jinak itu
memicu kejadian terkait risiko lainnya. Misalnya, perubahan dalam pengaturan
layanan pelanggan dapat menyebabkan keluhan utama dan penurunan
kepuasan pelanggan di unit ritel. Permintaan pelanggan yang kuat untuk produk
baru dapat menyebabkan perubahan dalam persyaratan kapasitas pabrik dan
kebutuhan tenaga tambahan.
 Peristiwa terkait proses internal Mirip dengan perubahan dalam acara
infrastruktur, Perubahan dalam proses kunci dapat memicu berbagai peristiwa
identifikasi risiko. Dalam banyak kasus, identifikasi risiko mungkin tidak segera
terjadi, dan beberapa saat mungkin berlalu sebelum kejadian terkait proses
memberi sinyal kebutuhan untuk identifikasi risiko.
 Peristiwa teknologi eksternal dan internal. Setiap perusahaan
menghadapi lebar berbagai macam peristiwa teknologi yang dapat memicu
kebutuhan akan identifikasi risiko formal. Beberapa mungkin bertahap
sementara yang lain, seperti pergeseran ke lingkungan Web, lebih mendadak.
Dalam kasus lain, perusahaan mungkin akan merilis yang baru perbaikan yang
menyebabkan pesaing di mana saja untuk terjun ke dalam tindakan. Meskipun
gagasan tersebut tampaknya biasa terjadi pada saat ini, ketika Merrill Lynch,
pada saat itu menjadi pialang besar, meluncurkan konsep Cash Management
Account (CMA) di pertengahan tahun 1980an, hal ini menimbulkan kegemparan
besar dalam industri jasa keuangan. CMA adalah layanan yang menggabungkan
 broker saham pelanggan, rekening giro bank, dan layanan keuangan lainnya di
bawah satu atap. Dulu, semua akun semacam itu ada pada penyedia layanan
terpisah yang pada dasarnya tidak memiliki keterkaitan di antara keduanya.

Suatu perusahaan perlu mendefinisikan secara jelas kejadian risikonya yang

signifikan dan kemudian memiliki proses untuk memantau mereka agar dapat
mengambil tindakan yang sesuai. Jenis proses berpikir ke depan ini seringkali
sulit dikenali di banyak perusahaan. Melihat kejadian risiko potensial internal dan
eksternal ini dan menentukan mana yang memerlukan perhatian lebih lanjut bisa
menjadi proses yang sulit. Ada beberapa kebutuhan mendesak, dan lain-lain
diarahkan di masa depan. The COSO teknik aplikasi ERM kembali disewakan
bahan 5 menawarkan bantuan di sini. Materi panduan menyarankan perusahaan
untuk mempertimbangkan beberapa pendekatan ini:

 Persediaan acara Manajemen harus mengembangkan daftar peristiwa

terkait risiko umum untuk industri spesifik perusahaan dan area fungsional.
Artinya, perusahaan harus mempertimbangkan untuk menetapkan beberapa
jenis sumber arsip "pelajaran yang dipelajari". Secara historis ini adalah jenis
data yang diberikan oleh anggota lagi-masa suatu perusahaan yang dapat
menawarkan “Kami mencoba ini beberapa tahun yang lalu, tapi. . . " jenis
komentar.
 Lokakarya yang difasilitasi. Perusahaan dapat membangun bengkel
lintas fungsional untuk membahas faktor risiko potensial yang mungkin
berevolusi dari berbagai peristiwa internal atau eksternal. Hasil dari lokakarya
ini akan menjadi rencana aksi untuk memperbaiki potensi risiko. Sementara
pendekatannya terdengar bagus, ini sering menjadi tantangan tersendiri
mengalokasikan waktu yang cukup untuk membahas tentang format risiko.
 Wawancara, kuesioner, dan survei. Informasi mengenai risiko
potensial Peristiwa bisa berasal dari berbagai sumber, seperti surat kepuasan
pelanggan atau karyawan yang keluar dari komentar wawancara. Informasi ini
harus dibebani dan diklasifikasikan untuk mengidentifikasi hal-hal yang
mungkin mengarah ke kejadian risiko.
 Proses analisis flo. The COSO ERM teknik aplikasi bahan rec- ommend
penggunaan aliran diagram untuk meninjau proses dan mengidentifikasi
kejadian risiko potensial. Untuk r banyak, diagram aliran ini mirip dengan
dokumentasi pengendalian internal yang disiapkan sebagai bagian dari
dokumentasi SOx Section 404. Hasil penelitian 404 tidak berfokus pada
identifikasi kejadian risiko, namun analisis ERM ini dapat dikombinasikan
dengan kerja Bagian 404 di masa depan.
 Peristiwa utama dan pemicu eskalasi. Idenya di sini adalah membuat
seri pengukuran unit bisnis untuk memantau tujuan toleransi risiko dan
mempromosikan tindakan perbaikan. Misalnya, kelompok TI perusahaan dapat
menetapkan tujuan untuk mempertahankan kontrol keamanan yang kuat atas
risiko gangguan sistem. Dengan ukuran jumlah usaha intrusi yang
teridentifikasi selama suatu periode, pemicu kemungkinan tiga insiden intrusi
pada bulan tertentu dapat memicu tindakan lebih lanjut. Alat perangkat lunak
atau laporan pemantauan dasbor dapat digunakan di sini. Perangkat lunak ini
 mirip dengan dasbor mobil, dimana indikator akan memberi sinyal lampu kilat
untuk kondisi seperti tekanan minyak rendah atau kepanasan. Status risiko
dilaporkan melalui beberapa monitor grafis sederhana dan mudah dipahami,
seperti lampu peringatan merah, kuning, dan hijau.
 Rugi data event tracking Sementara pendekatan dashboard memantau
kejadian berisiko Seperti yang terjadi, sering kali berharga untuk menempatkan
sesuatu dalam perspektif lebih setelah lewat beberapa lama. Rugi pelacakan
peristiwa mengacu pada penggunaan sumber data internal dan publik untuk
melacak aktivitas di bidang minat. Sumber-sumber ini juga dapat mencakup
berbagai area mulai dari indikator ekonomi terkemuka sampai tingkat
kegagalan peralatan internal. Sekali lagi di sini, perusahaan harus menginstal
proses identifikasi risiko yang efektif untuk melacak kejadian-kejadian yang
berkaitan dengan risiko internal maupun eksternal.

Alat dan pendekatan identifikasi risiko dapat menghasilkan beberapa informasi

yang sangat berguna. Penggunaan mereka memerlukan analisis data yang bagus
serta memprakarsai rencana tindakan, terlepas dari risiko atau memanfaatkan
peluang potensial.

(d) Tugas beresiko

Sedangkan komponen lingkungan internal adalah landasan COSO ERM (Bagian

4.3 (h) membahas pemantauan sebagai pondasinya), komponen penilaian risiko
adalah inti kerangka kerja. Penilaian risiko memungkinkan perusahaan
mempertimbangkan apa dampak peristiwa terkait risiko potensial terhadap
pencapaian tujuan perusahaan. Risiko ini harus dinilai dari dua perspektif:
kemungkinan risiko dan potensi dampaknya. Sebagai bagian penting dari proses
penilaian risiko ini, bagaimanapun juga, adalah kebutuhan untuk
mempertimbangkan risiko residensial dan residu:

 Risiko yang melekat Seperti yang didefinisikan oleh Kantor Manajemen

Pemerintah AS dan Anggaran, risiko inheren adalah "potensi untuk limbah,
kehilangan, penggunaan yang tidak sah, atau penyalahgunaan karena sifat
suatu aktivitas itu sendiri." Faktor utama yang mempengaruhi risiko inheren
perusahaan adalah ukuran anggaran, kekuatan dan kecanggihan manajemen,
dan hanya sifat aktivitasnya. Risiko inheren berada di luar kendali manajemen
dan biasanya berasal dari faktor eksternal. Misalnya, peritel utama Wal-Mart
begitu besar dan dominan di pasarnya yang dihadapinya berbagai risiko yang
melekat hanya karena ukurannya yang tipis.
 Sisa resiko. Inilah risiko yang tetap ada setelah respon manajemen
terhadap risiko ancaman dan penanggulangan telah diterapkan. Hampir selalu
ada beberapa tingkat risiko residual.

Kedua konsep ini menyiratkan bahwa perusahaan akan selalu

menghadapi beberapa risiko. Setelah manajemen menangani risiko yang timbul
dari proses identifikasi risiko, masih ada beberapa risiko residual untuk
diperbaiki. Selain itu, selalu ada beberapa risiko inheren yang manajemen tidak
dapat melakukan sedikit mitigasi. Wal-Mart, misalnya, dapat mengambil beberapa
langkah untuk mengurangi risiko yang melekat terkait dengan dominasi pasar
tetapi dapat melakukan dasarnya apa-apa mengenai risiko yang melekat dari
gempa alam besar .
Kemungkinan risiko dan dampak dua komponen kunci lainnya yang
diperlukan untuk per-membentuk penilaian risiko. Kemungkinan adalah
probabilitas atau kemungkinan bahwa risiko akan terjadi. Dalam banyak kasus, ini
bisa menjadi penilaian manajemen kunci dinyatakan dalam hal tinggi, sedang,
atau rendah dan kemungkinan risiko yang terjadi. Ada juga beberapa alat
kuantitatif yang baik untuk mengembangkan perkiraan kemungkinan, tetapi tidak
sedikit yang baik untuk memperkirakan kemungkinan risiko yang terjadi kecuali
ada data pendukung yang kuat.
Memperkirakan dampak jika peristiwa risiko terjadi adalah sedikit
lebih mudah. Contohnya termasuk, untuk risiko yang berkaitan dengan IT,
dampak dari server data dan jaringan pusat bencana kegagalan; suatu
perusahaan dapat mengembangkan beberapa perkiraan yang relatif akurat
seperti biaya fasilitas penggantian dan peralatan, biaya sistem memulihkan, dan
biaya bisnis yang hilang karena kegagalan terkait IT. Namun, seluruh konsep di
balik ERM adalah untuk tidak mengembangkan, perhitungan aktuaria tingkat
yang tepat mengenai risiko ini tetapi untuk menyediakan kerangka kerja
manajemen risiko yang efektif. Perhitungan rinci dapat didelegasikan kepada
estimator asuransi dan lain-lain.

Analisis likelihood resiko dan dampak potensial dapat dikembangkan melalui

serangkaian langkah-langkah kuantitatif dan kualitatif. Sumber data lagi yang
COSO ERM teknik aplikasi bahan atau (PMI) kelompok minat khusus Manajemen
Institut Proyek risiko (www.risksig.com). Sumber-sumber ini memberikan
panduan tentang pendekatan untuk menentukan langkah-langkah relatif pada
likelihood risiko dan dampak potensial. Ide dasar, bagaimanapun, adalah untuk
menilai semua risiko diidentifikasi dan untuk peringkat mereka dalam hal
kemungkinan dan dampak secara konsisten.

Tanpa melalui analisis kuantitatif rinci, setiap risiko diidentifikasi dapat

peringkat pada skala relatif keseluruhan 1 sampai 10, dengan pertimbangan
diberikan kepada dampak dan kemungkinan masing-masing. peringkat ini dapat
dicapai dengan proses keputusan pria-agement terfokus di mana masing-masing
risiko yang teridentifikasi ditinjau dan kemudian sehubungan dengan skala ini
peringkat. Pameran 6,8 menunjukkan bagaimana serangkaian risiko untuk sampel

EXHIBIT 6,8 Kemungkinan Risiko dan Dampak Pemetaan Contoh

Risiko
Pering
Nama risiko Definisi risiko Dampak Kemungkinan kat
Kegagalan Tinggi: Sedang:
Akuntansi untuk merekam Akuntansi Meskipun 8
aktivitas kesalahan
Risiko penjualan mungkin memiliki kuat
akurat dan dampak Prosedur,
 material
Mei tepat pada
waktu keuangan dan personil baru
salah
mengutarakan dalam
keuangan operasional berbagai
lokasi
laporan. informasi mungkin
membuat
kesalahan.
Risiko Kegagalan Sedang: Tinggi:
Hukum untuk Bahkan Dengan 7
di seluruh
memahami kecil, teknis dunia
pelanggaran
saat ini dan yang paling operasi di
mengubah
undang-undang peraturan kelipatan
seharusnya
dan peraturan tidak memiliki yurisdiksi,
dapat dampak pelanggaran-
mengakibatkan material terhadap jika hanya
ketidakmampu
an untuk operasi. teknis-kaleng
mematuhi
hukum terjadi.
di beberapa
operasi
yurisdiksi.
Tinggi:
pemisahan tidak cukup Penipuan Low: Ongoing 5
tugas dikontrol operasi bisa audit internal
memiliki
pemisahan signifikan dan kuat
tugas
memungkinkan dampak pada pengelolaan
karyawan mengontrol
untuk perusahaan praktek
harus
proses operasi. mencegah
kontrol
tidak sah, tersebut
curang kerusakan.
transaksi.

Perusahaan dinilai pada tinggi, sedang, atau nilai relatif rendah. Untuk
perusahaan yang lebih besar, risiko dapat ditingkatkan 1 sampai 10 atau bahkan
1-100 memungkinkan granularity yang lebih besar. Idenya adalah untuk
menetapkan beberapa peringkat relatif terhadap risiko dan untuk mengidentifikasi
risiko-risiko yang harus mendapat perhatian manajemen yang paling menyeluruh.

pendekatan secara keseluruhan untuk meninjau berbagai kemungkinan dan

dampak risiko perlu dipertimbangkan. Penilaian risiko adalah komponen kunci
dari kerangka COSO ERM. Di sinilah suatu perusahaan mengevaluasi semua dari
berbagai risiko yang mungkin berdampak berbagai tujuannya, menganggap
potensi kemungkinan dan dampak dari masing-masing risiko ini, menganggap
hubungan timbal balik mereka pada unit-by-satuan atau total secara perusahaan,
dan kemudian mengembangkan strategi untuk tanggapan yang tepat. Dalam
beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dari
teknik penilaian risiko klasik yang telah digunakan selama bertahun-tahun. Yang
unik adalah bahwa COSO ERM menunjukkan bahwa perusahaan harus mengambil
pendekatan total, di seluruh unit dan mencakup semua kekhawatiran strategis
utama, untuk mengidentifikasi risiko yang secara konsisten dan menyeluruh.
(e) Response Risiko

Setelah dinilai dan diidentifikasi risiko yang lebih signifikan, COSO ERM
panggilan untuk respon mea-sured ke berbagai risiko diidentifikasi. Harus ada
seksama terhadap diperkirakan likelihood resiko dan dampak potensial, dengan
pertimbangan diberikan untuk biaya dan manfaat sebagai-sociated, untuk
mengembangkan strategi respon risiko yang tepat. tanggapan risiko ini dapat
ditangani di salah satu dari empat cara dasar ini:

1. Penghindaran. Ini adalah strategi berjalan jauh dari risiko-seperti menjual

unit bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko,
atau menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan sering
tidak dapat menjatuhkan lini produk atau berjalan kaki sampai setelah kejadian
risiko terjadi dengan biaya yang terkait. Kecuali suatu perusahaan memiliki
nafsu makan yang sangat rendah untuk risiko, sulit untuk pergi dari sebaliknya
sukses area bisnis atau lini produk atas dasar risiko potensial masa depan.
Penghindaran bisa menjadi strategi berpotensi mahal jika investasi dilakukan
untuk masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari
risiko.
Sebuah pelajaran-belajar kolektif pemahaman kegiatan masa lalu
sering dapat membantu dengan strategi ini. Jika perusahaan telah terlibat
dalam beberapa daerah di masa lalu dengan konsekuensi yang tidak
menguntungkan, ini mungkin cara yang baik untuk menghindari risiko sekali
lagi. Karena perubahan konstan dan tenor kerja singkat, sejarah kolektif ini
terlalu sering hilang dan terlupakan. Suatu perusahaan dipahami dengan baik
dan dikomunikasikan selera resiko mungkin adalah pertimbangan yang paling
penting ketika memutuskan apakah strategi penghindaran risiko sesuai.

2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi

tertentu risiko. Lini produk diversifikasi dapat mengurangi risiko terlalu kuat
dari ketergantungan pada satu lini produk kunci; operasi TI membelah menjadi
dua lokasi terpisah secara geografis akan mengurangi risiko beberapa bencana
kegagalan. Jumlah strategi effec-tive untuk mengurangi risiko pergi ke
karyawan lintas-pelatihan yang jelas dan duniawi, seperti untuk mengurangi
risiko seseorang berangkat tiba-tiba.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi beberapa risiko
mereka melalui pembelian asuransi, tetapi teknik risiko-sharing juga tersedia.
Untuk transaksi keuangan, suatu perusahaan dapat terlibat dalam operasi
lindung nilai untuk melindungi dari fluktuasi harga mungkin, atau dapat berbagi
risiko bisnis potensial dan manfaat melalui perjanjian joint venture perusahaan
atau pengaturan struktural lainnya. Idenya adalah untuk memiliki pihak lain
menerima beberapa risiko potensial serta untuk berbagi dalam penghargaan
yang dihasilkan.

4. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika suatu
perusahaan self-menjamin dengan mengambil tindakan untuk mengurangi
potensi risiko. Pada dasarnya, suatu perusahaan harus melihat kemungkinan
 risiko dan dampak dalam terang toleransi risiko didirikan dan kemudian
memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi
perusahaan.

Manajemen harus mengembangkan strategi respon umum untuk setiap risiko

dengan menggunakan pendekatan dibangun sekitar satu atau campuran strategi
penghindaran risiko tersebut. Dalam melakukannya, harus mempertimbangkan
biaya versus keuntungan dari setiap respon potensi risiko serta strategi yang
terbaik sejalan dengan risk appetite perusahaan secara keseluruhan. Misalnya,
pengakuan suatu perusahaan bahwa dampak dari risiko yang diberikan relatif
rendah akan seimbang terhadap toleransi risiko rendah yang menunjukkan bahwa
asuransi harus dibeli untuk memberikan respon risiko potensial. Bagi banyak
risiko, tanggapan yang tepat yang jelas dan hampir dipahami secara universal.
Operasi TI, misalnya, menghabiskan waktu dan sumber daya untuk membuat
cadangan file data kunci dan mengimplementasikan rencana kesinambungan
bisnis. Ada biasanya tidak ada pertanyaan tentang perlunya pendekatan-
pendekatan dasar, tetapi berbagai tingkat manajemen mungkin mempertanyakan
frekuensi proses backup atau seberapa sering rencana kesinambungan perlu diuji.
Artinya, mereka mungkin mempertanyakan sejauh mana dan biaya langkah-
langkah pencegahan risiko yang direncanakan.
Suatu perusahaan harus kembali ke tujuan risiko didirikan serta toleransi
berkisar untuk tujuan-tujuan tersebut. Kemudian harus readdress baik likelihood
dan dampak yang terkait dengan masing-masing untuk mengembangkan
seperangkat keseluruhan respon risiko yang direncanakan. Ini mungkin langkah
yang paling sulit dalam membangun program COSO ERM yang efektif. Hal ini
relatif mudah untuk mengidentifikasi risiko kemungkinan 5% yang ada bisa
menjadi api dalam bin bahan bekas dan kemudian mendirikan obat respon risiko
untuk menginstal alat pemadam kebakaran di dekatnya. Namun, tanggapan
terhadap sebagian risiko jauh lebih kompleks dan memerlukan perencanaan dan
analisis yang cukup rinci. Jika ada risiko bahwa suatu perusahaan bisa kehilangan
seluruh operasi manufaktur karena kegagalan produksi kunci tapi lama peralatan
pabrik, tanggapan potensi risiko mungkin termasuk:
 Memperoleh peralatan produksi cadangan untuk melayani bagian sebagai
cadang untuk cannibaliza-tion.
 Matikan jalur produksi manufaktur dengan rencana untuk m ove tempat
lain.
 Mengatur untuk toko khusus untuk membangun kembali / merekonstruksi
peralatan tua.
 Merekayasa ulang produk diproduksi dan berencana untuk pengenalan
produk baru.

Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan

pemikiran Strate-GIC. Beberapa risiko alternatif respon mungkin melibatkan
biaya, waktu, dan perencanaan proyek rinci. Sebagai contoh, salah satu yang
lebih tua respon peralatan Strate-gies adalah untuk memperoleh satu set
peralatan cadangan. Jika itu menjadi strategi yang telah disetujui, tindakan harus
diambil untuk memperoleh peralatan cadangan sebelum kegiatan ini bahkan
dapat diidentifikasi sebagai strategi respon risiko yang sebenarnya. Semua risiko
yang terdaftar pada analisis tersebut harus diukur terhadap faktor dampak yang
sama, didasarkan pada menerima, menghindari, saham, atau mengurangi strategi
risiko.
COSO ERM panggilan untuk risiko yang harus dipertimbangkan dan dievaluasi
secara entity atau portofolio-lebar. Ini bisa menjadi proses yang sulit dalam, multi-
unit, perusahaan multi-produk yang besar, tetapi memberikan titik awal dalam
mengorganisir berbagai risiko untuk mengidentifikasi risiko yang lebih signifikan
yang dapat mempengaruhi perusahaan. Idenya di sini adalah untuk melihat
potensi risiko, probabilitas mereka kejadian, dan dampak mereka. Sebuah analisis
yang baik di sini harus menyoroti area untuk perhatian yang lebih rinci.

(f) Pengendalian Kegiatan

kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan pada respon risiko diidentifikasi. Meskipun beberapa
dari kegiatan ini mungkin berhubungan hanya untuk respon risiko diidentifikasi
dan disetujui di daerah dari perusahaan, mereka sering tumpang tindih di
beberapa fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas
sebelumnya.
Memiliki dipilih tanggapan risiko yang tepat, perusahaan harus memilih
kegiatan kontrol yang diperlukan untuk memastikan bahwa respon risiko
dijalankan secara tepat waktu dan efisien. Proses penentuan jika kegiatan
pengendalian berkinerja dengan baik adalah sangat mirip dengan menyelesaikan
SOx Bagian 404 penilaian pengendalian internal (dibahas dalam Bab 4). COSO
ERM panggilan untuk pendekatan mengidentifikasi, dokumen-ing, pengujian, dan
kemudian memvalidasi kontrol perlindungan risiko tersebut. Setelah melalui COSO
ERM acara identifikasi risiko, proses penilaian, dan respon, pemantauan risiko
memerlukan empat langkah berikut:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
menetapkan prosedur kontrol untuk memantau atau yang benar bagi mereka.
2. Buat api prosedur drill-jenis pengujian untuk menentukan apakah risiko
tersebut -terkait prosedur kontrol bekerja secara efektif.
3. Melakukan pengujian proses pemantauan risiko untuk menentukan apakah
mereka adalah pekerjaan-ing efektif dan sebagai diharapkan.
4. Melakukan penyesuaian atau perbaikan yang diperlukan untuk
meningkatkan proses risiko pemantauan.

Proses empat langkah ini mirip dengan SOx Bagian 404 persyaratan untuk
meninjau, tes, dan kemudian menegaskan bahwa proses pengendalian internal
yang bekerja secara memadai. Perbedaan utama, tentu saja, adalah bahwa di
bawah SOx, suatu perusahaan secara hukum diperlukan untuk menegaskan
kecukupan pengendalian internal. Tidak ada persyaratan hukum seperti saat ini
dengan COSO ERM, tetapi perusahaan harus menginstal kegiatan pengendalian
risiko-monitoring untuk memantau berbagai risiko telah diidentifikasi. Karena
sifat kritis banyak risiko untuk suatu perusahaan, pemantauan risiko dapat
menjadi sangat penting untuk kesehatan secara keseluruhan suatu perusahaan.
 Banyak kegiatan pengendalian di bawah kontrol internal COSO cukup mudah
untuk mengidentifikasi dan menguji karena sifat akuntansi mereka. kegiatan
pengawasan ini umumnya termasuk daerah-daerah pengendalian internal:
 Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus
tidak menjadi orang yang sama yang memberikan kuasa transaksi itu.
 Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat
dengan mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
 Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang
tepat prosedur sehingga orang hanya berwenang dapat meninjau atau
memodifikasi mereka.
 Dokumentasi. Proses harus didokumentasikan secara.

prosedur pengendalian tersebut, dan lain-lain, diakui cukup baik dan berlaku
untuk semua proses pengendalian internal dalam suatu perusahaan dan mungkin
juga berlaku untuk banyak acara terkait risiko. Banyak profesional, apakah
mereka memiliki latar belakang akuntansi dan audit atau tidak, sering dapat
menentukan beberapa kontrol kunci yang diperlukan dalam kebanyakan proses
bisnis. Misalnya, jika diminta untuk mengidentifikasi jenis kontrol internal yang
harus dibangun ke dalam akun sistem hutang, banyak profesional akan
mengatakan bahwa cek yang dikeluarkan dari sistem harus disahkan oleh orang
independen, bahwa catatan akuntansi harus berada di tempat untuk melacak cek
yang dikeluarkan, dan bahwa proses check-menerbitkan harus sedemikian rupa
sehingga orang hanya berwenang dapat melakukan transaksi keuangan tersebut.
Ini umumnya baik dan dipahami secara luas prosedur pengendalian internal.
Suatu perusahaan sering menghadapi tugas yang lebih sulit dalam
mengidentifikasi kegiatan pengendalian untuk mendukung kerangka kerja ERM
nya. Meskipun tidak ada diterima atau standar yang ditetapkan kegiatan
pengendalian ERM saat ini, dokumentasi COSO ERM menyarankan beberapa
bidang:
 Ulasan tingkat atas. Manajer senior harus sangat menyadari risiko
diidentifikasi peristiwa dalam unit organisasi mereka dan melakukan tinjauan
rutin tingkat atas pada status risiko yang teridentifikasi.
 Langsung fungsional atau kegiatan manajemen. Selain ulasan tingkat
atas, manajer unit fungsional dan langsung harus memiliki peran kunci dalam
pengendalian risiko pemantauan aktivitas. Hal ini sangat penting di mana
kegiatan pengendalian berlangsung dalam unit operasi terpisah dengan
kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
 Memproses informasi. Apakah itu IT proses berbasis peralatan atau lebih
lembut bentuk seperti kertas atau pesan, pengolahan informasi merupakan
kunci com-ponent dalam kegiatan pengendalian risiko terkait suatu
perusahaan. Kontrol yang tepat pro-cedures harus ditetapkan dengan
penekanan pada perusahaan proses TI dan risiko.
 Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik,
seperti peralatan, persediaan, sekuritas, dan tanaman fisik. Apakah persediaan
fisik, inspeksi, atau prosedur keamanan pabrik, perusahaan harus menginstal
kontrol fisik prosedur kegiatan berbasis risiko yang sesuai.
 Indikator kinerja. Perusahaan yang khas saat ini mempekerjakan
berbagai keuangan dan operasional alat pelaporan yang juga dapat
 mendukung risiko-acara-relat pelaporan kinerja ed. Di mana diperlukan, alat
kinerja harus diubah untuk mendukung kontrol ERM komponen kegiatan
penting ini.
 Pemisahan tugas. Kegiatan kontrol klasik, orang yang memulai tertentu
tindakan tidak harus orang yang sama yang menyetujui mereka.

kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM. Mereka
dapat diperluas untuk mencakup bidang utama lainnya. Beberapa akan khusus
untuk unit individu dalam perusahaan, tetapi masing-masing dari mereka, secara
tunggal dan kolektif, harus komponen penting mendukung kerangka kerja ERM
perusahaan.

(g) Informasi dan Komunikasi

Meskipun digambarkan sebagai komponen terpisah dalam COSO ERM

diagram kerangka di pameran 6,5, informasi dan komunikasi kurang satu set
terpisah dari proses yang terkait risiko dari alat dan proses yang menghubungkan
komponen ERM COSO lainnya. Konsep ini dijelaskan dalam Exhibit 6.9
menunjukkan arus informasi di seluruh komponen COSO ERM. Misalnya,
komponen respon risiko menerima masukan risiko residual dan melekat dari
penilaian risiko serta dukungan toleransi risiko dari komponen tujuan-pengaturan.
Respon risiko ERM kemudian memberikan respon risiko dan data yang portofolio
risiko untuk mengontrol kegiatan serta umpan balik kepada penilaian risiko.
Berdiri sendiri, komponen pemantauan tidak memiliki koneksi informasi langsung
tetapi memiliki tanggung jawab keseluruhan untuk meninjau semua fungsi ini.

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus

dikomunikasikan dari satu COSO komponen ERM ke yang lain dalam diagram alir
sederhana, melakukannya adalah proses yang jauh lebih kompleks dalam praktek.
proses dasar di banyak perusahaan terdiri dari web kompleks sistem informasi
operasional dan keuangan yang sering tidak sangat baik terkait. hubungan ini
menjadi lebih kompleks untuk banyak proses ERM, mengingat bahwa banyak
aplikasi enterprise dasar tidak langsung meminjamkan diri untuk risiko
identifikasi, penilaian, dan proses risiko-respon-jenis. Akan melampaui aplikasi
informasi ERM komprehensif untuk suatu perusahaan, ada kebutuhan untuk
mengembangkan sistem pemantauan risiko dan komunikasi yang menghubungkan
dengan pelanggan, pemasok, dan pemangku kepentingan lainnya.
Sedangkan segmen informasi dari informasi ERM dan komponen komunikasi
biasanya dianggap dalam hal IT sistem informasi strategis dan operasional, aspek
kedua komponen ini, komunikasi ERM, berbicara tentang komunikasi sekedar
aplikasi IT. Ini termasuk kebutuhan untuk mekanisme untuk memastikan bahwa
semua pemangku kepentingan menerima pesan mengenai kepentingan
perusahaan dalam mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di
seluruh perusahaan mengenai peran manajemen risiko dan tanggung jawab.
COSO ERM akan menjadi nilai kecil untuk sebuah perusahaan kecuali pentingnya
dikomunikasikan kepada semua pemangku kepentingan secara umum dan
konsisten.
(h) Pemantauan

Ditempatkan di dasar komponen kerangka model ERM, monitoring ERM

diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja
secara efektif. Peo-ple dalam perubahan perusahaan, seperti halnya proses
pendukung dan kedua kondisi internal dan eksternal, tetapi komponen
pemantauan membantu memastikan ERM yang bekerja-ing efektif secara terus
menerus. Contoh pemantauan termasuk proses untuk pengecualian bendera atau
pelanggaran dalam proses komponen ERM lainnya. Sebagai contoh, fungsi
piutang penagihan harus mengidentifikasi risiko keuangan dan oper-ational
secara keseluruhan jika tagihan pelanggan tidak dibayar secara tepat waktu.
Waktu-kredit koleksi alat pemantauan-hampir nyata dapat memberikan
manajemen senior dengan hari-hari dan tren data tentang status koleksi. alat
monitor dashboard, dibahas sebelumnya, adalah monitor ERM yang dapat bekerja
secara terus menerus.

Melampaui alat monitor dashboard, manajemen perusahaan harus mengambil

tanggung jawab keseluruhan untuk monitoring ERM. Dalam rangka membangun
kerangka ERM yang efektif, pemantauan harus mencakup ulasan yang
berkelanjutan dari proses ERM secara keseluruhan mulai dari tujuan
diidentifikasi untuk kemajuan kegiatan pengendalian ERM yang sedang
berlangsung. Dokumen COSO ERM Framework menunjukkan bahwa pemantauan
dapat mencakup jenis kegiatan:

 Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung

seperti untuk posisi kas, penjualan unit, dan data keuangan utama. Suatu
perusahaan tidak harus menunggu sampai fiskal akhir bulan untuk jenis
laporan status, dan laporan kilat cepat respon harus dimulai.
 Periodik terkait risiko-proses pelaporan peringatan harus memantau aspek-
aspek kunci dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan
diterima atau item yang diselenggarakan di ketegangan. Pelaporan tersebut
harus menekankan tren statistik dan perbandingan baik dengan periode-
periode sebelumnya dan dengan sektor industri lainnya.
 Saat ini dan periodik pelaporan status temuan terkait risiko dan rekomen-
tions dari laporan audit internal dan eksternal, termasuk status terkait ERM
SOx kesenjangan diidentifikasi.
 informasi yang terkait risiko-update dari sumber seperti aturan-direvisi
pemerintah, tren industri, dan berita ekonomi secara umum. Sekali lagi, jenis
pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua
tingkatan.

Monitoring evaluasi yang terpisah atau individu mengacu review rinci proses
risiko individu oleh resensi yang berkualitas, seperti audit internal. Berikut review
dapat terbatas pada daerah tertentu atau mencakup seluruh proses ERM untuk
unit usaha. Audit internal adalah sering yang terbaik sumber internal untuk
melakukan tinjauan ERM tertentu seperti. Peran audit internal dalam proses ERM
dan peran mereka dalam pemantauan, khususnya, dibahas dalam bagian
berikutnya.
 6.4 Dimensi lain dari COSO ERM: Tujuan Enterprise Risk

Meskipun banyak pengenalan COSO ERM kami di sini adalah pada sisi depan
menghadap kerangka tiga dimensi, dua dimensi-lain operasional dan organisasi
tingkat-harus selalu dipertimbangkan. Setiap komponen dari COSO ERM
beroperasi di ruang tiga dimensi ini; masing-masing harus dipertimbangkan dalam
hal kategori terkait lainnya. Komponen atas menghadap strategis, operasi,
laporan-ing, dan tujuan risiko kepatuhan penting untuk memahami dan
menerapkan-ing COSO ERM. Selain itu, sementara pameran 6,5 menunjukkan
masing-masing tujuan risiko atas menghadap ini sebagai memiliki ukuran yang
relatif sama, tujuan risiko operasi tingkat sering dipandang sebagai kategori risiko
tinggi-paparan yang lebih luas dan dari yang lain.

(a) Manajemen Risiko Operasional Tujuan

Banyak jenis risiko operasi dapat berdampak suatu perusahaan. Setelah kerangka
ERM tiga dimensioned, tujuan risiko operasi tingkat panggilan untuk iden-
tification risiko untuk setiap unit perusahaan. Identifikasi ini tujuan risiko operasi
tingkat sering membutuhkan informasi rinci pengumpulan dan analisis, terutama
untuk perusahaan besar yang meliputi beberapa wilayah geografis, lini produk,
atau proses bisnis. manajer langsung dari masing-masing unit biasanya memiliki
pemahaman terbaik dari risiko operasional mereka, dan informasi yang dapat
menjadi hilang ketika konsolidasi untuk pelaporan tingkat yang lebih tinggi. ulasan
audit internal atau survei orang langsung im-pacted oleh risiko ini dapat
membantu untuk mengumpulkan informasi latar belakang yang lebih rinci tentang
potensi risiko operasi. Sebuah survei langsung on-the-lantai anggota dari
perusahaan, bersama dengan pertanyaan tindak lanjut, akan memungkinkan
pengembangan seperangkat luas dan consis-tenda risiko operasi katalog.
Pertanyaan yang diajukan di sini akan mirip dengan jenis pertanyaan rinci yang
digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di
sini bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik
tentang risiko potensial.

Jenis survei, beredar di semua tingkat perusahaan, dengan pesan mendorong

para pemangku kepentingan untuk menanggapi terang, sering mengumpulkan
informasi penting mengenai potensi risiko pada tingkat operasional yang rinci.
Seorang manajer dari remote tanaman operasi tidak mungkin memadai
dikomunikasikan kekhawatiran tentang beberapa risiko operasional tingkat
pabrik. Seringkali survei berbasis luas dan rahasia yang lebih baik memungkinkan
orang untuk berkomunikasi risiko operasi tingkat lokal melalui perusahaan.

Dengan pandangan portofolio ERM risiko, perusahaan harus menghindari

bergulir hal menjadi terlalu banyak tingkat ringkasan, hilang atau pembulatan
risiko-tingkat yang lebih rendah penting. Apapun posisi mereka dalam perusahaan
atau lokasi geografis mereka, manajer di semua tingkatan harus menyadari bahwa
mereka bertanggung jawab untuk menerima dan mengelola risiko dalam unit
operasional mereka sendiri. Terlalu sering, manajer unit mungkin percaya bahwa
manajemen risiko menjadi perhatian hanya untuk staf kantor pusat tingkat senior.
Pentingnya manajemen ERM dan operasi risiko COSO harus dikomunikasikan
kepada semua tingkat perusahaan. auditor internal harus bertindak sebagai mata
dan telinga di sini dan melaporkan semua risiko operasi diamati.

(b) Manajemen Risiko Pelaporan Tujuan

Tujuan risiko ini meliputi keandalan laporan suatu perusahaan data keuangan
dan non keuangan internal dan mantan ternal. Pelaporan yang akurat sangat
penting bagi keberhasilan suatu perusahaan dalam banyak dimensi. News
melaporkan sering detil penemuan pelaporan keuangan yang tidak akurat
perusahaan dan mengakibatkan dampak pasar saham untuk entitas-menangkis.
Bahwa pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di
banyak daerah. Sebuah contoh dari risiko yang berkaitan dengan pelaporan yang
tidak akurat menjadi masalah beberapa tahun yang lalu di perusahaan minyak
utama Royal Dutch Shell. Perusahaan minyak dan gas daya eksploratif-ransum
diwajibkan untuk melaporkan cadangan mereka-jumlah minyak dan gas pada
properti mereka yang belum diambil. Pada Januari 2004, Royal Dutch
mengumumkan bahwa karena perkiraan buruk dan pencatatan ceroboh, sudah
signifikan overreporting cadangan minyak bumi diperkirakan. 6 Kesalahan ini tidak
mempengaruhi perusahaan dilaporkan hasil keuangan dan SEC pedoman
pelaporan cadangan di sini tidak begitu kuat; Namun demikian, pasar babak belur
saham setelah mengumumkan-ment, dan CEO, kepala operasi eksplorasi minyak,
dan lain-lain dipaksa untuk mengundurkan diri. Perusahaan, di bawah ketua baru,
kemudian mengumumkan rakit perubahan dan perbaikan pengendalian internal
untuk memperbaiki kerusakan.
Tidak peduli apa industri itu di, sebuah perusahaan menghadapi risiko utama
dari pelaporan yang tidak akurat di unit atau wilayah. unit operasi harus
memastikan bahwa melaporkan hasilnya benar sebelum mereka lulus ke tingkat
berikutnya dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka
berada di laporan keuangan, pajak, atau salah satu dari segudang daerah lain.
pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat. ERM prihatin dengan risiko otorisasi dan melepaskan laporan tidak
akurat. pengendalian internal yang kuat harus meminimalkan risiko kesalahan,
dan suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang tidak akurat. Royal Dutch Shell kesalahan pelaporan cadangan
adalah contoh dari jenis perhatian pelaporan risiko. kesalahan kecil dan
perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan besar yang
perlu diungkapkan. Risiko pelaporan tidak akurat tersebut harus menjadi
perhatian di semua tingkat perusahaan.

(c) Hukum dan Peraturan Tujuan Risiko

Setiap jenis perusahaan harus mematuhi berbagai hukum dan peraturan
standar industri yang diberlakukan pemerintah atau. Sementara risiko kepatuhan
dapat dipantau dan diakui, risiko hukum kadang-kadang benar-benar tak terduga.
Di Amerika Serikat, misalnya, sistem hukum penggugat agresif dapat
menimbulkan risiko besar untuk perusahaan jika tidak bermaksud baik. Asbes
litigasi selama 1990-an dan seterusnya adalah contoh. Asbes, mineral berserat,
memiliki tiga karakteristik yang luar biasa: Ia bekerja sebagai insulator untuk
panas dan listrik; itu tahan bahan kimia berbahaya lainnya; dan, ketika dihirup,
kini telah ditemukan menyebabkan penyakit yang dapat mengambil puluhan tahun
untuk de-velop. Sebuah bahan isolasi alami, asbes digunakan secara luas di
gedung pasangan-rial dan dianggap jinak. Terlalu banyak kontak langsung dengan
serat asbes dari waktu ke waktu, bagaimanapun, dapat menyebabkan masalah
paru-paru parah dan bahkan kematian. Penambang Underground mantan
membagi-bagikan brosur asbes telah bertemu nasib yang. Namun, di masa lalu,
asbes digunakan dalam banyak produk, seperti pembungkus untuk melindungi
pipa pemanas atau kebakaran dinding perlindungan barri-ers. Risiko untuk orang
yang bekerja atau tinggal di struktur dengan pipa asbes disegel cukup minim,
namun litigator agresif telah membawa tindakan terhadap perusahaan-
perusahaan, mengklaim bahwa siapa saja yang bisa memiliki setiap kontak dengan
produk yang digunakan asbes bisa beresiko kadang-kadang di masa depan.
Hasilnya litigasi ditujukan terhadap perusahaan yang telah diproduksi produk
yang mengandung beberapa asbes, menyerukan kerusakan berdasarkan risiko
manusia yang potensial di masa mendatang. Karena penghargaan kerusakan
besar, hampir semua perusahaan besar yang pernah digunakan asbes telah
bangkrut, adalah keluar dari bisnis, atau harus membayar kerugian kerusakan
pengadilan dikenakan besar. Jenis risiko hukum sangat sulit untuk mengantisipasi
tetapi dapat menjadi bencana untuk suatu perusahaan.
COSO ERM merekomendasikan bahwa risiko terkait kepatuhan
dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam
konteks internal environ-ment, pengaturan tujuan, atau pemantauan risiko, serta
di seluruh perusahaan. Bahan bimbingan ERM tidak menawarkan banyak
informasi tambahan tentang kepatuhan ini tujuan selain untuk menyatakan bahwa
tujuan ini mengacu pada kesesuaian dengan hukum dan peraturan appli-kabel. Ini
adalah elemen penting dari kerangka kerja manajemen risiko yang perlu
dikomunikasikan dan dipahami.

Seperti telah dibahas, semua perusahaan menghadapi berbagai persyaratan

kepatuhan hukum dan peraturan, dengan beberapa berdampak hampir semua
perusahaan dan lain-lain yang terkait dengan hanya unit bisnis tunggal di sektor
industri khusus. Sifat risiko-risiko kepatuhan perlu dikomunikasikan dan dipahami
melalui semua tingkat perusahaan. Suatu perusahaan dapat menerima tingkat
tertentu risiko dalam hal keprihatinan mengenai kepatuhan hukum. Sementara
hukum besar tidak boleh dengan sengaja diabaikan karena perasaan pelanggaran
tidak akan pernah tertangkap, suatu perusahaan harus selalu mengambil
pendekatan beralasan risiko dalam hubungannya dengan keseluruhan filsafat dan
risiko selera nya. Sebagai contoh, banyak aturan peraturan menentukan bahwa
semua pengeluaran harus didukung oleh tanda terima. Meskipun ada biasanya
ada pedoman kewajaran tertentu, salah satu perusahaan bisa memutuskan bahwa
“semua pengeluaran” turun ke biaya perjalanan pegawai kurang dari $ 1,
sementara yang lain akan membutuhkan penerimaan dari apa pun di atas $ 25.
Perusahaan terakhir telah membuat keputusan bahwa biaya mendokumentasikan
pengeluaran-pengeluaran kecil lebih besar daripada baik mungkin terima jika
terjebak dalam masalah kepatuhan terhadap peraturan. Jenis keputusan terkait
risiko-mirip dengan baru AS 5 kontrol aturan internal keuangan untuk SOx
dibahas dalam Bab 4. Dalam rangka mengelola dan menetapkan tujuan hukum
dan peraturan risiko, dewan direksi, CEO, dan anggota kebutuhan manajemen
untuk memahami sifat dan tingkat risiko semua peraturan yang dihadapi
perusahaan. Departemen hukum, manajer kunci, audit internal, dan lain-lain dapat
membantu dalam perakitan informasi ini. Ada banyak risiko tingkat perusahaan
regulasi mulai dari besar untuk kecil, tapi risiko regulasi tidak pernah “kecil”
ketika suatu perusahaan ditemukan melanggar hukum satu atau lain dari mereka.
6,5 Risiko Entity-Level
Dimensi ketiga
dari kerangka COSO ERM panggilan untuk risiko yang harus dipertimbangkan
pada suatu organisasi atau tingkat entitas unit. The COSO framework ERM di
pameran 6.5 menunjukkan empat divisi dalam dimensi kerangka ini: tingkat
entitas, divisi, unit bisnis, dan risiko anak perusahaan. Ini bukan sebuah divisi
perusahaan-jenis yang ditentukan, dan ERM menunjukkan bahwa risiko erat harus
mengikuti bagan organisasi resmi. risiko ERM COSO harus diidentifikasi dan
dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko secara
entitas-lebar melalui unit bisnis individu.

Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa
unit bisnis di bawah masing-masing akan memiliki kerangka kerja ERM yang
mencerminkan semua unit. Sementara risiko ini mungkin penting untuk
organisasi secara keseluruhan, mereka harus dipertimbangkan secara unit
dengan unit ke level tingkat yang diperlukan untuk memungkinkan perusahaan
untuk memahami dan mengelola risiko. COSO ERM tidak menentukan bagaimana
tipis risiko tingkat unit ini harus diiris, dan kekritisan dan materialitas dari unit
bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama rantai
restoran dengan ribuan unit, misalnya, akan tidak masuk akal untuk memasukkan
setiap unit individu sebagai komponen terpisah dalam model risiko. Sebaliknya,
manajemen harus menentukan risiko organisasi-level cukup detail untuk
menutupi semua signifikan, risiko dikelola.

(a) Resiko Meliputi Organisasi Seluruh

Beberapa risiko di tingkat unit bisnis harus gulung hingga risiko entitas-tingkat.
Sangat mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat
unit sebagai “tidak material”; menggunakan-SOx pra terminologi akuntan publik,
suatu perusahaan harus memikirkan semua risiko sebagai berpotensi signifikan.
Sebagai contoh, perhatikan anak perusahaan yang relatif kecil di negara
berkembang yang memproduksi pakaian kasual. Seringkali unit tersebut sangat
kecil dalam hal total kontribusi pendapatan perusahaan atau ukuran relatif yang
dapat menyelinap di bawah radar pada tingkat perusahaan senior. Namun, jika ada
masalah pekerja anak di negara tuan rumah, perusahaan itu dapat menemukan
sendiri di pusat perhatian mengenai operasi anak perusahaan kecil ini. Dalam
situasi seperti itu, wartawan dapat meminta CEO berkomentar publik pada
kebijakan dan prosedur di bahwa operasi anak perusahaan, meskipun CEO
mungkin tahu keberadaannya hanya samar-samar.
Maksud kami di sini adalah bahwa kedua besar serta risiko yang
tampaknya kecil dapat berdampak seluruh perusahaan. Pengiriman makanan
tercemar diproduksi di satu unit kecil dari rantai makanan cepat saji besar dapat
berdampak pada prospek dan reputasi dari total perusahaan. Hal ini relatif mudah
untuk mengidentifikasi tingkat tinggi entitas-lebar risiko, seperti kepatuhan
terhadap SOx Pasal 404, dan untuk mengidentifikasi dan memantau ini sebagai
bagian dari proses COSO ERM, harus diperhatikan bahwa potensi risiko yang lebih
kecil tidak tergelincir melalui celah-celah . Seperti risiko diidentifikasi melalui
pengaturan tujuan organisasi-lebar, mereka harus dipertimbangkan secara entitas-
lebar serta oleh unit operasi individu. Risiko-risiko unit individu harus ditinjau dan
konsolidasi pertama yang mengidentifikasi risiko-risiko utama yang dapat
mempengaruhi organisasi secara keseluruhan. Selain itu, risiko organisasi-lebar
juga harus diidentifikasi.

(b) Unit Bisnis Tingkat Risiko

Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama
dengan beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas
di sebuah perusahaan penjualan luar negeri. Risiko harus diperhatikan dalam
setiap unit yang signifikan atau-ganizational. Bahkan risiko yang teridentifikasi
dalam posisi kepemilikan minoritas di sebuah perusahaan penjualan luar negeri,
misalnya, mungkin risiko unik untuk unit yang tapi kemudian harus menggulung
ke entitas secara keseluruhan. Kami telah mencontohkan risiko entitas-tingkat
yang mungkin timbul dari kegagalan di bidang manufaktur atau standar hak asasi
manusia dari anak perusahaan kecil di negara berkembang. Peristiwa risiko di sini
dapat menyebabkan embar-rassment ke perusahaan secara keseluruhan, tetapi
mereka harus telah menguasai semua jalan ke unit perusahaan kecil. Bhopal,
India, bencana ledakan pembangkit meruntuhkan perusahaan induk, seperti yang
disebutkan.
Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
sering dapat mulai terbaik sebagai proses push-down di mana manajemen tingkat
korporasi secara resmi menguraikan kekhawatiran terkait risiko utama dan
meminta manajemen yang bertanggung jawab di masing-masing divisi utama
untuk survei tujuan risiko melalui operasi unit dalam divisi itu. Dengan cara ini,
risiko yang signifikan dapat diidentifikasi di semua tingkat dan kemudian dikelola
di tingkat mana mereka dapat menerima paling langsung, dukungan lokal.

Sebuah konsep utama sekitarnya COSO ERM adalah bahwa suatu perusahaan
menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin signifikan
sementara yang lain sering hanya gangguan mengganggu dan dipandang sebagai
minor. Kerangka COSO ERM menyediakan mekanisme untuk mempertimbangkan
risiko tersebut; itu adalah alat penting untuk membantu memastikan SOx
kepatuhan.

6,6 Puting Ini Semua Bersama

The COSO
framework ERM dijelaskan di sini alamat pendekatan manajemen risiko yang
berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokus
pada mengenali selera suatu perusahaan untuk risiko dan kebutuhan untuk
menerapkan manajemen risiko dalam konteks pengaturan strategi secara
keseluruhan, COSO ERM memiliki beberapa perbedaan mendasar dari model
risiko yang paling yang telah digunakan sampai saat ini. COSO ERM belum
digunakan cukup lama untuk menunjuk ke serangkaian perusahaan sukses yang
telah terbuka berpelukan itu. Namun, dengan AS 5 penekanan pada risiko, kita
akan mendengar lebih banyak tentang hal ke depan. auditor internal, khususnya,
harus menetapkan tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka
penting ini.
 COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola
dan SOx bawah-berdiri Pasal 404 kontrol internal. Hal ini terutama penting
dengan yang lebih baru AS 5 standar auditing yang memberikan lebih banyak
pertimbangan risiko ketika memahami dan mengevaluasi pengendalian internal.
manajemen perusahaan di semua tingkatan harus em-brace COSO ERM, alat
penting untuk memahami banyak beberapa yang risiko suatu perusahaan
menghadapi hari ini. auditor internal harus membuat COSO ERM internal audit
persyaratan CBOK, dan harus melakukan audit internal sesuai dengan proses
ERM.

6.7 Risiko Audit dan COSO Proses ERM

Auditor
internal akan mengalami masalah risiko dan manajemen risiko di banyak daerah
alam semesta audit yang mana ada yang berkinerja ulasan, dan auditor internal
yang efektif harus memahami proses manajemen risiko. Semua terlalu sering,
internal auditor akan melakukan sebuah kontrol internal review di beberapa
daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena
“pertimbangan risiko.” Auditor harus memiliki tingkat CBOK pengetahuan proses
manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan
untuk meninjau kecukupan proses-proses tersebut.

Suatu perusahaan dapat meningkatkan proses keseluruhan serta SOx proses

internal con-Trols melalui pelaksanaan yang efektif dan efisien dari COSO ERM.
Dengan berfokus pada kerangka ERM COSO serta praktek manajemen risiko yang
baik umum, audit internal dapat membantu suatu perusahaan dengan
perencanaan dan melakukan review dari proses manajemen risiko perusahaan.
Tentu saja, untuk meninjau praktek COSO ERM dan prosedur pelaksanaan,
auditor internal, baik sebagai pengulas audit internal kontrol atau konsultan
manajemen, perlu mengembangkan memahami-ing kuat COSO kontrol ERM dan
proses. Selain itu, setiap review audit internal dari proses ERM perusahaan harus
dikembangkan melalui pendekatan perencanaan audit internal berbasis risiko
yang dibahas dalam Bab 15. Audit internal harus meninjau proses ERM
perusahaan-lebar menggunakan beberapa alat ini:
 Proses diagram alur Sebagai bagian dari proses ERM diidentifikasi,
proses diagram alur dapat berguna dalam menggambarkan bagaimana
manajemen risiko beroperasi di suatu perusahaan. Hal ini memerlukan
melihat dokumentasi yang disiapkan untuk proses yang terkait risiko,
menentukan apakah mereka kondisi saat ini, dan menggambarkan over-semua
kecukupan semua tingkat proses risiko perusahaan. Proses audit internal
pemodelan dan proses diagram alur dibahas dalam Bab 16.
 Ulasan bahan risiko dan pengendalian. Sebuah proses ERM sering hasil
dalam volume besar bahan bimbingan, prosedur terdokumentasi, format
laporan, dan sejenisnya. Mungkin sering berharga dengan review audit
internal risiko dan pengendalian bahan.
 Benchmarking. Meskipun istilah yang sering disalahgunakan,
benchmarking adalah proses dalam memandang fungsi di lingkungan lain
untuk menilai operasi mereka dan untuk mengembangkan pendekatan
peningkatan berdasarkan praktik terbaik dari orang lain. The Institute of
 Internal Auditor ‘Kemajuan Melalui Sharing’ moto (IIA) dan tra-disi serta
benchmarking pendekatan dibahas dalam Bab 11 mempromosikan informasi
komparatif pengumpulan. Hal ini sering dapat menjadi teknik yang berguna di
sini.
 Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan
informasi tentang efektivitas ERM dari berbagai macam orang. Mereka dapat
dikirim ke stakeholder yang ditunjuk dengan permintaan informasi tertentu.
Hal ini sering teknik audit internal yang berharga.

audit internal harus menetapkan beberapa tujuan review-tingkat tinggi untuk

efektivitas COSO ERM di perusahaan mereka, mengumpulkan data pelaksanaan
rinci, dan kemudian menilai efektivitas COSO ERM dan sebagai alat untuk
mendukung dan meningkatkan SOx kepatuhan. Pameran 6.10 memberikan
panduan untuk Prosedur Audit audit COSO ERM internal.

6,8 Manajemen Risiko dan COSO ERM dalam Perspektif

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama,
sangat mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh
waktu bertahun-tahun untuk pengendalian internal COSO untuk diakui sebagai
lebih dari sebuah studi teknis yang menarik. Itu telah pertama dikodifikasi
sebagai standar audit oleh American Institute of Certified Public Accountants'
Standar Auditing Board (ASB) dan menerima beberapa menyebutkan di IIA
publikasi, tapi butuh SOx untuk memberikan COSO pengendalian internal
beberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar
akuntansi internal “yang akan didirikan.” Kemudian Perusahaan Publik Akuntansi
Dewan Pengawas (PCAOB) mengamanatkan bahwa COSO pengendalian internal
harus menjadi standar pengendalian internal. Tiba setelah SOx, COSO ERM
belum memiliki tingkat yang sama pengakuan. The IIA adalah pendukung awal
yang penting, dan unsur-unsur ERM dapat dilihat dalam versi baru dari C ontrol
ob jectives untuk i nformasi dan terkait T echnology (COBIT) framework (lihat Bab
5), tetapi masih tidak pada saat yang sama tingkat kepentingan dan signifikansi
hari ini untuk suatu perusahaan sebagai kontrol internal COSO.

Pengakuan ini mungkin memakan waktu lama. Seperti disebutkan, telah ada
beberapa kebingungan karena dua kerangka mirip dan memiliki COSO di nama
mereka. Namun, penekanan terkait risiko dari baru AS 5 standar auditing serta
pengakuan meningkatnya masalah risiko dalam literatur profesional telah
meningkatkan minat profesional dalam dan perhatian terhadap manajemen risiko
perusahaan, terutama ketika mencoba untuk mencapai SOx kepatuhan
pengendalian internal. Kerangka ERM tiga dimensi membantu untuk
menempatkan isu-isu risiko dan pengendalian internal dalam perspektif yang
lebih baik ketika mengevaluasi SOx kepatuhan.
manajemen risiko dan COSO ERM, khususnya, adalah keterampilan
pengetahuan yang harus menjadi bagian dari setiap auditor internal CBOK.
auditor internal harus menggunakan risiko mengelola-ment prinsip saat
memutuskan daerah untuk memilih diulas mereka (seperti yang dibahas dalam
Bab 15) dan kemudian menggunakan prinsip-prinsip risiko ketika menilai bukti
audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih penting, COSO ERM
akan semakin penting dan pengakuan sebagai perusahaan lebih memahami dan
mengadopsi kerangka ERM. audit internal harus memiliki pemahaman CBOK dari
COSO ERM baik untuk mengaudit kepatuhan terhadap proses ini dan
berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih
efektif.