TUGAS

Risk Management: COSO ERM

Diajukan Untuk Memenuhi Tugas Mata Kuliah Pemeriksaan Internal

Magister Akuntansi-Semester Ganjil 2018/2019

OLEH :

HIZKIA PRAYOGA 041724253028

ANNISA RAHMAWATI 041724253030

KELAS A2M

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS AIRLANGGA

2019
Risk Management: COSO ERM

Perusahaan perlu mengidentifikasi semua risiko bisnis yang mereka hadapi — keuangan dan
operasional serta sosial, etika, dan lingkungan — dan untuk mengelola risiko ini ke tingkat yang dapat
diterima. Memahami risiko adalah komponen utama untuk mencapai kepatuhan Sarbanes-Oxley
(SOx), melalui Standar Audit No. 5 (AS 5) Audit internal, baik dalam penjaminan maupun peran
konsultasi, dapat berkontribusi pada manajemen risiko ini. Risiko, istilah yang sering digunakan dalam
standar dan prosedur pengendalian internal, telah menjadi istilah yang disetujui banyak auditor
internal tetapi gagal untuk didefinisikan. Konsep dan pemahaman risiko seorang profesional mungkin
sangat berbeda dari yang lain, meskipun mereka berdua bekerja untuk perusahaan yang sama dan di
bidang yang sama. Ini terutama berlaku bagi manajer dan auditor internal yang bekerja untuk
meningkatkan kepatuhan terkait SOx; belum ada pemahaman yang konsisten tentang apa yang
dimaksud dengan konsep risiko.

Khususnya untuk mendukung pemahaman kita tentang kontrol internal SOx, auditor internal perlu
memiliki pemahaman yang lebih baik tentang manajemen risiko dan bagaimana hal itu memengaruhi
keterampilan mereka untuk membangun dan mengembangkan kontrol internal yang efektif. SOx
menggambarkan bagaimana standar audit eksternal AS 5 memperkenalkan pertimbangan berbasis
risiko pada proses tersebut. Sebagaimana dibahas, auditor eksternal diharuskan untuk menilai risiko
relatif ketika memilih area pengendalian akuntansi internal untuk ditinjau dan dipertimbangkan ketika
melakukan tinjauan mereka.

Konsep utama di balik AS 5 adalah bahwa manajemen dan auditor eksternal sekarang harus
mempertimbangkan risiko relatif ketika menerapkan dan menilai pengendalian internal untuk
mencapai kepatuhan terhadap aturan kontrol internal Bagian 404 SOx. Untuk menggunakan standar
audit AS 5 yang baru ini secara efektif, semua pihak harus memahami risiko yang melingkupi
perusahaan mereka dan harus dapat mendokumentasikan dan membuktikan kapan mereka
menaikkan atau tidak mengangkat masalah pengecualian pengendalian internal, berdasarkan risiko
relatif. Namun, ada kekurangan definisi yang konsisten tentang apa yang sebenarnya dimaksud
dengan risiko. Meskipun kata itu memiliki beberapa asal dalam industri asuransi, risiko tidak
digunakan secara konsisten bahkan di sana.

Ini semua berubah ketika Komite Organisasi Sponsoring (COSO) merilis metodologi risiko perusahaan,
COSO Enterprise Risk Management — Format Terpadu (COSO ERM). Ini adalah pendekatan yang
memungkinkan audit perusahaan dan internal untuk mempertimbangkan dan menilai risiko di semua
tingkatan, baik di bidang individu, seperti untuk proyek pengembangan teknologi informasi (TI), atau
risiko global terkait ekspansi internasional. Dirilis oleh fungsi pengaturan panduan COSO yang sama
yang telah mengembangkan dan memelihara kerangka kendali internal COSO, COSO ERM kadang-
kadang terlihat seperti saudara pengendali internalnya, tetapi memiliki perasaan dan pendekatan
yang jauh berbeda.

Bab ini memperkenalkan kerangka kerja COSO ERM dan elemen-elemennya, tetapi penekanannya
adalah pada mengapa COSO ERM dapat menjadi alat audit internal yang penting untuk lebih
memahami dan mengevaluasi risiko di sekitar pengendalian internal di semua tingkatan. Kami
menjelaskan elemen-elemen utama dari kerangka kerja ERM COSO dan melihat bagaimana auditor
internal dapat membangun ERM COSO dengan lebih baik ke dalam proses audit mereka serta langkah-
langkah untuk mengaudit efektivitas proses manajemen risiko perusahaan.

Pemahaman tentang pendekatan penilaian risiko dan manajemen risiko secara keseluruhan, dengan
penekanan pada ERM COSO harus ada di setiap badan pengetahuan umum auditor internal (CBOK).
 Bab ini membahas dasar-dasar manajemen risiko, memperkenalkan COSO ERM, dan menyajikan
teknik audit internal untuk memahami dan menilai risiko di banyak bidang, mulai dari memilih area
yang akan ditinjau hingga mengevaluasi risiko sebagai bagian dari tinjauan audit internal. Bab ini
menekankan risiko pada tingkat perusahaan total dan menggunakan beberapa teknik yang sama
untuk membahas perencanaan audit berbasis risiko dengan penekanan pada audit internal individu.

1. Risk Management Fundamentals

Setiap perusahaan hadir untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai itu
dapat terkikis melalui peristiwa tak terduga di semua tingkat perusahaan dan dalam semua kegiatan,
mulai dari operasi rutin sehari-hari hingga menetapkan strategi untuk beberapa upaya di masa depan
tetapi tidak pasti. Semua kegiatan ini tunduk pada ketidakpastian atau risiko, apakah itu tantangan
yang disebabkan oleh pesaing baru dan agresif atau kerusakan dan bahkan hilangnya nyawa yang
disebabkan oleh gangguan cuaca besar. Manajemen risiko adalah konsep yang terkait dengan asuransi
di mana individu atau perusahaan menggunakan mekanisme asuransi untuk memberikan
perlindungan dari risiko-risiko tersebut. Kami membuat keputusan semacam ini berdasarkan penilaian
kami atas risiko relatif dan biaya untuk menutupinya melalui pembelian asuransi. Risiko dan biaya
asuransi juga berubah seiring waktu. Asuransi kebakaran untuk melindungi rumah seseorang adalah
contohnya. Kembali pada zaman lentera minyak untuk cahaya dan jerami untuk kuda-kuda yang
disimpan di kandang terdekat, selalu ada risiko tinggi kebakaran. Kita hanya perlu memikirkan api
Chicago yang besar pada tahun 1871 di mana, seperti yang dikatakan legenda, seekor sapi menendang
lentera dan menyebabkan kebakaran yang menghancurkan kota. Risiko kebakaran tidak terlalu besar
saat ini, dan asuransi kebakaran tidak semahal itu, dalam arti relatif. Namun, selalu ada kemungkinan
bahwa sambaran petir atau kerusakan listrik akan menyebabkan kebakaran dalam struktur, dan
perusahaan pembiayaan hipotek memerlukan perlindungan asuransi kebakaran. Bahkan jika tidak ada
hipotek yang dipegang, semua orang yang bijaksana hari ini membeli asuransi kebakaran semacam itu
meskipun tidak diperlukan. Kebakaran destruktif ke rumah seseorang menghadirkan risiko tingkat
rendah namun konsisten. Biaya asuransi kebakaran pemilik rumah relatif rendah. Pemilik rumah
individu dapat menilai risiko potensial lainnya, seperti gempa bumi, dan mungkin tidak membeli
asuransi untuk risiko itu. Di wilayah geografis tertentu, kemungkinan gempa bumi tampak sangat
rendah sehingga pemiliknya tidak akan mempertimbangkan untuk membeli asuransi apa pun meski
biayanya rendah. Dalam situasi lain, secara terpisah dapat hidup dengan genangan air di mana ada
banjir yang merusak setiap beberapa tahun. Bahkan jika seseorang dapat membeli asuransi banjir di
lingkungan seperti itu — dan sebagian besar perusahaan asuransi tidak akan menawarkannya —
pertanggungannya akan sangat mahal. Beberapa orang mungkin memutuskan untuk menerima risiko
banjir di tahun-tahun mendatang dan pergi tanpa perlindungan asuransi. Dalam semua kasus ini, telah
ada keputusan manajemen risiko pembeli asuransi.

Dimulai dengan yayasan pembelian asuransi ini, manajemen risiko, seperti yang dipraktikkan hari ini,
pada dasarnya adalah fenomena pasca-1960-an. Bergerak melampaui kekhawatiran tentang peristiwa
yang berhubungan dengan cuaca alami, manajemen risiko mulai menekankan melindungi perusahaan
terhadap bencana besar, seperti risiko yang mengelilingi sistem komputer pada masa mainframe,
ketika sebagian besar aset sistem informasi disimpan dalam satu fasilitas terpusat. Kekhawatiran
tentang mengelola risiko yang mengelilingi bahwa satu sistem komputer terpusat pindah ke masalah
umum tentang pengelolaan berbagai risiko bisnis lainnya.

Perusahaan saat ini menghadapi berbagai risiko dan memerlukan beberapa alat untuk memilah-milah
semua itu untuk membuat biaya rasional dan keputusan terkait risiko. Ini adalah proses manajemen
risiko. Sementara beberapa orang dalam bisnis saat ini hanya menilai suatu bidang sebagai risiko
tinggi, sedang, atau rendah dan kemudian membuat asuransi cepat atau keputusan perlindungan
risiko berdasarkan opsi-opsi itu, yang lain menggunakan alat kualitatif atau kuantitatif yang lebih
canggih untuk memahami dan mengevaluasi risiko. Bagian selanjutnya secara singkat mensurvei
beberapa pendekatan manajemen risiko modern yang mendasar dengan tujuan untuk membantu
menetapkan prosedur manajemen risiko perusahaan yang lebih efektif dalam suatu perusahaan.

Proses manajemen risiko yang efektif membutuhkan empat langkah: (1) identifikasi risiko, (2)
penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi, (3) prioritas risiko dan
perencanaan respons, dan (4) pemantauan risiko. Selalu ada kebutuhan untuk mengidentifikasi dan
memahami berbagai risiko yang dihadapi suatu perusahaan, untuk menilai risiko-risiko tersebut dalam
hal biaya atau dampak dan probabilitasnya, untuk mengembangkan tanggapan jika terjadi risiko, dan
untuk mengembangkan prosedur dokumentasi untuk menggambarkan apa yang terjadi serta tindakan
korektif ke depan. Hal yang sama berlaku untuk keputusan manajemen risiko perusahaan dan untuk
keputusan auditor internal selama penugasan review tunggal. Bagian ini berfokus pada manajemen
risiko di seluruh perusahaan dengan menggunakan beberapa konsep yang sama ketika melakukan
perencanaan audit internal berbasis risiko.

Proses manajemen risiko empat langkah ini harus dilaksanakan di semua tingkat perusahaan dan
dengan partisipasi banyak orang yang berbeda. Apakah perusahaan kecil yang beroperasi di wilayah
geografis yang terbatas atau perusahaan dunia yang lebih besar, pendekatan manajemen risiko harus
dikembangkan untuk perusahaan secara keseluruhan. Ini sangat penting bagi perusahaan di seluruh
dunia dengan banyak unit operasi yang terlibat dalam operasi bisnis yang berbeda dan dengan fasilitas
di berbagai negara. Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan
risiko di unit lain, tetapi pertimbangan risiko lainnya mungkin secara independen independen dari
keseluruhan. Risiko umum ini dapat terjadi karena berbagai keadaan mulai dari keputusan keuangan
yang buruk, perubahan selera konsumen, hingga peraturan pemerintah yang baru.

(a) Risk Identification

Manajemen harus berusaha mengidentifikasi semua risiko yang mungkin berdampak pada
keberhasilan perusahaan, mulai dari risiko bisnis keseluruhan yang lebih besar atau lebih signifikan
hingga risiko yang kurang penting terkait dengan proyek individu atau unit bisnis yang lebih kecil.
Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan disengaja untuk melihat potensi
risiko di setiap area operasi dan kemudian mengidentifikasi area risiko yang lebih signifikan yang dapat
memengaruhi setiap operasi dalam periode waktu yang wajar. Gagasan di sini bukan hanya untuk
membuat daftar setiap risiko yang mungkin terjadi, tetapi bagi suatu perusahaan untuk
mengidentifikasi mereka yang mungkin memiliki dampak operasi yang lebih besar, dalam periode
waktu yang wajar. Ini bisa menjadi latihan yang sulit karena kita hanya dapat memperkirakan
probabilitas risiko yang terjadi atau sifat konsekuensi jika perusahaan harus menghadapi risiko. Proses
identifikasi risiko ini harus terjadi pada beberapa tingkatan dengan pemahaman bahwa risiko yang
berdampak pada unit bisnis individu atau proyek mungkin tidak memiliki dampak sebesar itu pada
seluruh perusahaan atau di luarnya. Sebaliknya, risiko besar yang berdampak pada seluruh
perekonomian akan mengalir ke masing-masing perusahaan dan unit bisnisnya yang terpisah.
Beberapa risiko utama sangat jarang terjadi tetapi masih bisa menjadi bencana besar sehingga sulit
untuk mengidentifikasi mereka sebagai peristiwa yang mungkin terjadi di masa depan.

Cara yang baik untuk memulai proses identifikasi risiko adalah dengan bagan organisasi tingkat tinggi
yang mencantumkan tingkat perusahaan serta unit-unit operasi. Masing-masing unit tersebut dapat
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari berbagai jenis operasi. Setiap fasilitas
terpisah kemudian akan memiliki departemen atau fungsinya sendiri. Beberapa fasilitas terpisah ini
mungkin terhubung erat satu sama lain; yang lain mungkin lebih mewakili investasi perusahaan. Tugas
yang sulit dan terkadang rumit untuk perusahaan yang lebih besar, sebuah inisiatif harus diluncurkan
untuk mengidentifikasi semua risiko di berbagai bidang individu. Jenis latihan ini dapat menghasilkan
hasil yang menarik dan / atau terkadang mengganggu. Sebagai contoh, seorang manajer senior tingkat
korporat mungkin menyadari beberapa risiko pertanggungjawaban produk tetapi penyelia garis depan
di unit operasi dapat melihat risiko yang sama dengan perspektif yang sama sekali berbeda.

Seorang manajer pemasaran mungkin khawatir tentang strategi penetapan harga pesaing atau risiko
kegiatan penetapan harga yang akan membuat perusahaan melanggar undang-undang perdagangan.
Seorang manajer TI mungkin khawatir tentang risiko serangan virus komputer pada sistem aplikasi
tetapi akan memiliki sedikit pengetahuan tentang risiko masalah harga. Manajemen yang lebih senior
biasanya akan menyadari tingkat yang berbeda dan serangkaian risiko daripada yang ada di pikiran
staf yang berorientasi operasi. Namun, semua risiko ini harus diidentifikasi dan dipertimbangkan
berdasarkan unit operasi demi unit dan di seluruh perusahaan.

Agar efektif, proses identifikasi risiko ini memerlukan lebih dari sekadar mengirim e-mail ke semua
unit operasi dengan permintaan penerima untuk mendaftar risiko utama di unit operasinya.
Permintaan semacam itu biasanya menghasilkan berbagai jawaban yang tidak konsisten tanpa
pendekatan umum. Pendekatan yang lebih baik adalah mengidentifikasi orang-orang di semua
tingkatan perusahaan untuk bertindak sebagai penilai risiko. Dalam setiap unit operasi yang signifikan,
orang-orang kunci harus diidentifikasi dari operasi, keuangan / akuntansi, TI, dan manajemen unit.
Tujuan mereka adalah untuk mengidentifikasi dan kemudian membantu menilai risiko di unit mereka
yang dibangun di sekitar kerangka kerja model identifikasi risiko. Jenis inisiatif ini dapat dipimpin oleh
chief executive officer (CEO) dan kelompok manajemen risiko perusahaan, jika ada, atau fungsi seperti
audit internal.

Seluruh ide di sini adalah untuk menguraikan beberapa risiko "manusia jerami" tingkat tinggi yang
dapat berdampak pada berbagai unit operasi. Orang yang berpengetahuan kemudian dapat melihat
daftar ini dan memperluas atau memodifikasinya sesuai. Tampilan 6.1 menunjukkan beberapa jenis
risiko utama yang dapat berdampak pada perusahaan, termasuk berbagai risiko strategis, operasi, dan
keuangan. Ini adalah jenis daftar tingkat tinggi yang mungkin digunakan CEO untuk pertanyaan rapat
tahunan pemegang saham umum, "Apa yang membuat Anda khawatir pada akhir hari?" Meskipun
tidak mencantumkan semua risiko yang dihadapi perusahaan, langkah pertama ini daftar dapat
digunakan untuk memulai identifikasi risiko secara terperinci. Manajemen senior perusahaan — sering
kali CEO dan staf pendukung — dapat bertemu untuk mengajukan beberapa jenis pertanyaan "Apa
yang membuat Anda khawatir ..." untuk mengidentifikasi risiko-risiko ini.
Model risiko tingkat tinggi yang sangat umum ini dapat berfungsi sebagai dasar untuk lebih
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti entri dalam pameran
risiko keberlangsungan bisnis ini di bawah risiko teknologi. Manajer TI harus dapat mengembangkan
ini ke daftar panjang risiko terkait teknologi terperinci yang terkait dengan kelangsungan bisnis.
Manajer operasi yang merupakan pengguna sumber daya TI mungkin melihat risiko kesinambungan
bisnis dari perspektif yang berbeda dan dapat memperkenalkan risiko baru lainnya yang terkait
dengan apa yang terjadi jika layanan TI tidak tersedia. Dalam rangka untuk memiliki pemahaman yang
lebih baik tentang risiko yang dihadapi suatu perusahaan, sering kali lebih baik untuk mengembangkan
daftar ini untuk menetapkan serangkaian risiko yang lebih lengkap.

Tim manajemen perusahaan kemudian harus mulai dengan daftar risiko perusahaan yang lebih
lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang jalur:

• Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?
• Apakah perusahaan akan menghadapi risiko ini karena peristiwa internal atau eksternal?
• Apakah risiko terkait, sehingga satu risiko dapat menyebabkan risiko lainnya terjadi?

Idenya adalah untuk mendapatkan pemahaman yang kuat tentang sifat risiko tingkat perusahaan dan
kemudian menyoroti risiko utama, seperti risiko penurunan peringkat kepuasan pelanggan yang
signifikan, risiko pesaing baru dan sangat besar memasuki pasar, atau risiko kelemahan kontrol
signifikan yang diidentifikasi sebagai bagian dari penutupan laporan keuangan. Setiap risiko besar ini
dapat menghadirkan tantangan signifikan bagi perusahaan.

Manajemen perusahaan harus meninjau risiko-risiko yang diidentifikasi ini dan menyoroti risiko yang
tampaknya paling penting bagi perusahaan. Maka itu harus menyiapkan satu set terakhir risiko
organisasi yang diidentifikasi oleh perusahaan secara keseluruhan dan oleh unit operasi tertentu.
Karena sudut pandang dan perspektif akan bervariasi di seluruh perusahaan, risiko yang teridentifikasi
ini harus dibagi dengan operasi yang bertanggung jawab dan manajemen keuangan, memberi mereka
peluang untuk memberikan umpan balik. Idenya di sini adalah untuk mengidentifikasi populasi risiko
yang mengancam suatu perusahaan, baik pada tingkat unit individu maupun total perusahaan. Ini
tidak akan selalu menjadi risiko inti tetapi seringkali merupakan titik awal untuk penilaian risiko
perusahaan.

(b) Key Risk Assessments

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah menilai
kemungkinan dan signifikansi relatifnya. Berbagai pendekatan dapat digunakan di sini, mulai dari
pendekatan kualitatif perkiraan terbaik hingga beberapa analisis kuantitatif terperinci yang sangat
matematis. Idenya adalah untuk membantu memutuskan mana dari serangkaian peristiwa yang
berpotensi berisiko yang harus membuat manajemen paling khawatir. Manajer yang bertanggung
jawab harus menilai risiko ini menggunakan pendekatan kuesioner:

 Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Dengan
menggunakan skor 1 hingga 9, tetapkan skor tebakan terbaik sebagai berikut:
 Skor 1 jika Anda melihat hampir tidak ada peluang risiko itu terjadi selama periode tersebut.
 Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi selama periode tersebut.
 Skor 2 hingga 8 tergantung pada bagaimana Anda merasakan kemungkinan jatuh di antara
dua rentang ini.
 Apa signifikansi risiko dalam hal biaya untuk keseluruhan perusahaan? Sekali lagi
menggunakan skala 1 hingga 9, rentang penilaian harus ditetapkan tergantung pada
signifikansi risiko keuangan. Risiko yang biayanya dapat menurunkan laba per saham hingga
mungkin 1 sen mungkin memenuhi syarat untuk skor maksimum 9.

Kuisioner ini harus diedarkan secara independen kepada orang-orang berpengetahuan untuk menilai
setiap risiko yang teridentifikasi untuk kedua langkah ini. Sebagai contoh, asumsikan bahwa suatu
perusahaan telah mengidentifikasi enam risiko, R-1 hingga R-6, dan empat manajer diminta untuk
secara terpisah mengevaluasi setiap risiko dalam hal kemungkinan dan signifikansi. Skor ini kemudian
dapat dirata-rata oleh kedua faktor dan diplot pada bagan analisis penilaian risiko seperti yang
ditunjukkan pada Tampilan 6.2. R-1 memiliki skor kemungkinan rata-rata sekitar 3,75 dan skor
signifikansi 7,00, dan skor ini diplot dalam kuadran I dari contoh grafik. Sebagai contoh, grafik
menunjukkan R-1 sebagai yang relatif signifikan tetapi tidak mungkin terjadi. Dengan semua risiko
yang diidentifikasi diplot dengan cara ini, kemungkinan besar dan risiko yang lebih signifikan di
kuadran II harus mendapat perhatian manajemen segera. Jenis grafik analisis penilaian risiko ini
memberikan ukuran kualitatif yang baik untuk memahami risiko signifikan di sekitar perusahaan.
Proses penilaian risiko tinggi ini bekerja cukup baik ketika suatu perusahaan telah mengidentifikasi
sejumlah kecil risiko. Cukup mudah untuk melihat grafik analisis dan fokus pada perencanaan
remediasi untuk kemungkinan tinggi dan risiko signifikan di kuadran kiri atas. Namun, seringkali, suatu
perusahaan mungkin telah mengidentifikasi serangkaian risiko yang jauh lebih besar, dan rentang
hanya 1 hingga 9 dan plot pada contoh diagram tidak akan memberikan detail yang cukup. Suatu
pendekatan yang kadang-kadang lebih baik adalah untuk mengungkapkan estimasi signifikansi dan
dampak ini dalam hal estimasi persentase dua digit (mis., 72%) untuk mencapai beberapa risiko atau
sebagai suatu probabilitas (mis., 0,72). Namun, hanya meningkatkan jumlah digit, dari 7 menjadi 72%
penuh, tidak meningkatkan akurasi penilaian. Lebih banyak perhatian harus diberikan untuk lebih
memahami hubungan antara probabilitas yang mencakup peristiwa risiko independen dan terkait.
(i) PROBABILITY AND UNCERTAINTY

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan individu yang
memperkirakan kemungkinan risiko dan kejadian dalam hal probabilitas dua digit mulai dari 0,01
hingga 0,99. Kami telah menggunakan rentang ini karena risiko tidak pernah memiliki peluang nol atau
peluang 100% terjadi; kalau tidak mereka tidak akan menjadi risiko. Aturan dasar probabilitas adalah
bahwa kita tidak dapat menjumlahkan estimasi probabilitas independen untuk menghasilkan estimasi
gabungan. Jika probabilitas risiko A terjadi adalah 60% dan probabilitas risiko B yang terpisah tetapi
terkait juga 60%, kita tidak dapat mengatakan bahwa probabilitas keduanya terjadi adalah 0,60 + 0,60
= 1,20. 120% ini tidak masuk akal. Sebaliknya, probabilitas gabungan dari dua peristiwa independen
adalah produk dari dua probabilitas terpisah. Itu adalah:

Pr(Event 1) × Pr(Event 2) = Pr(Both Events)

Yaitu, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0,60, probabilitas gabungan dari kedua
peristiwa yang terjadi adalah (0,60) × (0,60) = 0,36. Dalam hal penilaian, jika risiko memiliki estimasi
signifikansi 60% atau kami 60% yakin bahwa risiko akan terjadi dan jika dampaknya dinilai pada 60%,
ada kemungkinan 36% bahwa kami akan mencapai keduanya. risiko. Kami juga dapat menyebut ini
skor risiko untuk risiko individu.

Akan tetapi, proses penilaian risiko yang akurat membutuhkan lebih dari sekadar estimasi top-of-
head, apakah dinyatakan dalam rentang 1 hingga 9 atau sebagai persentase dua digit penuh.
Manajemen perusahaan harus memperhatikan risiko yang teridentifikasi dan mengumpulkan lebih
banyak informasi, jika diperlukan. Misalnya, selama proses identifikasi risiko, satu manajer mungkin
telah mengidentifikasi konsekuensi undang-undang tarif baru sebagai risiko serius. Namun, manajer
yang bertanggung jawab mungkin ingin lebih memahami konsekuensi aktualnya. Ini mungkin sesuatu
yang tidak berlaku untuk unit yang dimaksud atau yang tidak berlaku hingga beberapa tahun ke depan.
Intinya di sini adalah bahwa beberapa informasi tambahan mungkin diperlukan sebelum semua risiko
yang diidentifikasi dapat dinilai secara akurat.

(ii) RISK INTERDEPENDENCIES

Kami telah membahas risiko pada tingkat unit organisasi individu, tetapi independensi risiko harus
selalu dipertimbangkan dan dievaluasi di seluruh struktur organisasi. Meskipun suatu entitas harus
peduli dengan risiko di semua tingkatan organisasi, ia benar-benar hanya memiliki kendali atas risiko-
risiko itu dalam lingkupnya sendiri. Contoh 2002 tentang jatuhnya kantor akuntan publik Arthur
Andersen setelah jatuhnya Enron adalah contoh. Setiap unit kota-demi-kota dan negara-oleh-
perusahaan dari kantor akuntan publik memiliki prosedur penilaian risiko sendiri, mengikuti standar
perusahaan. Namun, peristiwa risiko di satu kantor operasi, Houston, menyebabkan perusahaan di
seluruh dunia runtuh. Kantor yang beroperasi di daerah lain, seperti Toronto, mungkin tidak
sepenuhnya mengantisipasi risiko semacam itu di Houston yang jauh. Intinya adalah bahwa risiko
seringkali sangat saling tergantung dalam suatu perusahaan. Setiap unit operasi bertanggung jawab
untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi peristiwa risiko pada unit di
atas atau di bawahnya dalam struktur organisasi.

(iii) RISK RANKING

Meskipun contoh-contoh dalam bab ini menunjukkan daftar risiko yang teridentifikasi, sebuah
perusahaan tipikal akan berakhir dengan daftar risiko potensial yang sangat panjang. Langkah
selanjutnya adalah mengambil estimasi signifikansi dan kemungkinan, menghitung peringkat risiko,
dan mengidentifikasi risiko paling signifikan di seluruh entitas yang ditinjau. Tampilan 6.3 adalah
contoh dari jenis analisis ini. Berdasarkan skor kemungkinan dan signifikansi dari Tampilan 6.2, produk
dari keduanya memberikan peringkat risiko relatif. Risiko C dan G memiliki skor peringkat risiko
tertinggi dan akan ditempatkan di kuadran kanan atas sebagai risiko paling signifikan dalam sampel
ini. Keduanya sering disebut penggerak risiko atau risiko utama untuk serangkaian risiko yang
teridentifikasi ini. Organisasi kemudian harus memusatkan perhatiannya ke depan pada risiko-risiko
utama ini. Jadwal peringkat risiko ini harus disusun berdasarkan unit per unit dan disesuaikan untuk
mengakomodasi semua risiko terkait secara paralel dengan serta di atas atau di bawah entitas yang
diperingkat atau dievaluasi.

Manajemen harus mengidentifikasi risiko-risiko yang dinilai unit demi unit ini untuk memastikan
bahwa kemungkinan dan estimasi signifikansi risiko sesuai untuk keseluruhan. Terlalu sering, peristiwa
risiko yang terjadi jauh dari kantor pusat perusahaan menyebabkan masalah besar. Contoh dari lebih
dari 20 tahun yang lalu dapat diambil dari peristiwa risiko di perusahaan AS yang dulu besar, Union
Carbide. Pada malam 2 Desember 1984, lebih dari 40 ton gas beracun bocor dari pabrik pestisida milik
Union Carbide di Bhopal, India, menewaskan lebih dari 20.000 penduduk.1 Setelah banyak
perselisihan hukum, Union Carbide, yang telah membangun pabrik itu di 1969, menyelesaikan gugatan
perdata yang dibawa oleh pemerintah India pada tahun 1989 dengan menyetujui untuk membayar $
470 juta untuk kerusakan yang diderita oleh setengah juta orang yang terpapar gas. Perusahaan
menyatakan bahwa pembayaran dilakukan karena rasa “moral” daripada tanggung jawab “legal”
karena pabrik dioperasikan oleh anak perusahaan India yang terpisah, Union Carbide India Limited
(UCIL), tetapi proses pengadilan mengungkapkan bahwa biaya manajemen langkah-langkah
pemotongan secara efektif telah menonaktifkan prosedur keselamatan yang penting untuk mencegah
atau mengingatkan karyawan akan bencana semacam itu. Sejak itu Dow Chemical telah mengambil
alih Union Carbide dan menyangkal tanggung jawab atas bencana ini. Namun, karena kehilangan
nyawa yang luar biasa di sana dan karena Dow jauh lebih besar daripada apa yang Union Carbide dan
anak perusahaan UCIL, proses pengadilan yang berkelanjutan terus menghantui Dow.

Kebocoran gas Bhopal adalah contoh tentang bagaimana peristiwa risiko di unit yang jauh dan relatif
kecil dapat memiliki konsekuensi bencana pada perusahaan besar. Sementara identifikasi risiko dan
aturan penilaian yang diuraikan dalam bab ini tidak akan menjelaskan besarnya bencana ini, dan setiap
unit dalam perusahaan perlu mengenali kemungkinan dan konsekuensi risiko pada tingkat unit
individu, peristiwa risiko di anak perusahaan kecil asing dapat menjatuhkan seluruh perusahaan.
Manajemen risiko di semua tingkatan harus menyadari bahwa bencana dapat terjadi. Meskipun kita
tidak pernah dapat memprediksi risiko akibat utama ini; suatu perusahaan harus selalu sadar akan
bencana terburuk yang dapat terjadi.

(c) Quantitative Risk Analysis

(i) EXPECTED VALUES AND RESPONSE PLANNING

Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali jika perusahaan memiliki
setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko terjadi. Idenya
adalah untuk memperkirakan dampak biaya dari timbulnya beberapa risiko yang teridentifikasi dan
kemudian menerapkan biaya tersebut pada probabilitas faktor risiko untuk mendapatkan nilai yang
diharapkan atau biaya risiko. Seringkali latihan ini tidak memerlukan studi biaya terperinci dengan
banyak tren dan perkiraan historis yang mendukung. Sebaliknya, perkiraan biaya yang diharapkan
harus dilakukan oleh orang-orang garis depan di berbagai tingkat perusahaan yang memiliki
pengetahuan tentang daerah atau implikasi risiko.

Idenya adalah untuk melalui setiap risiko yang diidentifikasi — atau hanya risiko utama jika waktu
terbatas — dan memperkirakan biaya yang timbul dari risiko tersebut. Karena risiko-risiko semacam
ini melibatkan hal-hal seperti kegagalan komponen perangkat keras, jatuhnya pangsa pasar, atau
dampak peraturan pemerintah yang baru, biasanya biaya-biaya ini tidak dapat hanya dilihat dalam
katalog vendor saat ini. Beberapa risiko tipikal, berlabel A, B, dan C, menggambarkan tipe pemikiran
ini:

Risiko A: Kehilangan hingga x% pangsa pasar karena selera konsumen yang berubah.

• Perkirakan penurunan penjualan dan hilangnya laba karena penurunan x%.

• Perkirakan banyak biayanya untuk mulai memulihkan posisi pasar yang hilang.

Risiko B: Kehilangan sementara fasilitas manufaktur utama selama zz hari karena angin topan yang
parah.

• Perkirakan biaya terbaik dan terburuk untuk mendapatkan perbaikan sementara dan kembali
beroperasi dalam waktu zz hari.
• Perkirakan tenaga kerja tambahan dan biaya produksi yang dikeluarkan selama interim.

Risiko C: Kehilangan sistem TI selama dua hari karena virus komputer yang merusak.

• Perkirakan kerugian bisnis dan profitabilitas selama periode turun.

• Perkirakan biaya untuk mentransfer operasi ke situs kesinambungan bisnis.

Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk memperkirakan biaya
pemulihan dari beberapa peristiwa risiko. Seringkali sulit untuk menentukan berapa biaya untuk pulih
dari risiko ini. Meskipun tidak perlu melakukan analisis terperinci dan memakan waktu di sini, orang-
orang berpengetahuan yang memahami bidang risiko sering kali dapat memberikan perkiraan yang
baik dengan mempertimbangkan pertanyaan-pertanyaan jenis ini:

1. Apa estimasi biaya kasus terbaik dari risiko yang ditimbulkan? Ini adalah asumsi bahwa hanya
akan ada dampak terbatas jika risiko terjadi.
2. Apa yang akan diperkirakan oleh sampel orang berpengetahuan untuk biayanya? Untuk Risiko
A sebagaimana diuraikan, direktur pemasaran mungkin diminta untuk memberikan perkiraan.
3. Berapa nilai atau biaya yang diharapkan untuk menanggung risiko? Ini adalah jenis risiko yang
mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti persyaratan tenaga
kerja tambahan.
4. Berapa biaya terburuk untuk risiko? Ini adalah jenis estimasi bagaimana-jika-setiap-barang-
salah.

Kami telah menyarankan untuk menggunakan empat perkiraan sebagai gagasan rentang biaya dalam
pemikiran berbagai orang. Namun, satu perkiraan tebakan terbaik harus dipilih dari empat perkiraan
— biasanya sesuatu di antara perkiraan 2 dan 3 dalam daftar. Estimasi dan pekerjaan pendukung ini
harus didokumentasikan, dengan perkiraan biaya yang dipilih dimasukkan sebagai dampak biaya pada
Tampilan 6.4, jadwal perencanaan respons risiko. Ini adalah risiko yang sama yang diidentifikasi dalam
jadwal Tampilan 6.3 tetapi di sini diperintahkan oleh peringkat risiko. Penataan ulang ini penting ketika
perusahaan memiliki daftar panjang risiko yang teridentifikasi.
Nilai yang diharapkan atau nilai biaya dalam Tampilan 6.4 hanyalah produk dari dampak biaya dan
skor risiko mereka. Ini adalah perkiraan berapa biayanya bagi perusahaan untuk menimbulkan risiko.
Meskipun angka yang dipilih untuk sampel ini sangat arbitrer, mereka menunjukkan bagaimana
spesialis manajemen risiko harus menafsirkan atau bertindak pada jenis analisis ini. Risiko C, misalnya,
memiliki kemungkinan dan signifikansi yang tinggi serta biaya yang diharapkan cukup tinggi untuk
dikoreksi. Ini adalah jenis risiko yang harus diidentifikasi manajemen sebagai kandidat untuk tindakan
korektif. Namun, risiko berikutnya pada jadwal, Risiko G, juga berada di sisi kiri atas kuadran tetapi
dengan biaya yang relatif rendah untuk diterapkan. Manajemen dapat memutuskan untuk menerima
risiko ini atau mengembangkan beberapa bentuk rencana remediasi lainnya. Risiko H adalah risiko lain
dengan biaya tinggi untuk menerapkan risiko, signifikansi yang cukup tinggi, dan kemungkinan
terjadinya yang rendah. Seringkali untuk jenis risiko ini, manajemen dapat memutuskan untuk
berharap untuk yang terbaik dan hidup bersama mereka. Risiko semacam itu mahal jika terjadi tetapi
juga mahal untuk dilindungi.

(ii) RISK MONITORING

Identifikasi risiko utama tidak pernah dapat menjadi proses tunggal, sekali pakai. Lingkungan sekitar
risiko yang teridentifikasi akan segera berubah ketika kondisi di sekitarnya berubah. Untuk beberapa
risiko, kondisinya dapat berubah sehingga risiko menjadi ancaman yang lebih besar. Sebagai contoh,
manajemen mungkin telah mengidentifikasi risiko politik potensial di beberapa negara yang kurang
berkembang, tetapi peristiwa sering terjadi dengan cepat, dan perubahan politik di negara yang sama
dapat membuat kekhawatiran itu menjadi lebih berisiko. Perusahaan membutuhkan mekanisme
untuk memantau risiko yang teridentifikasi ini.

Proses identifikasi risiko bukanlah latihan yang berkelanjutan. Sama seperti perusahaan akan
menyiapkan anggaran tahunan dengan revisi mungkin sekali per kuartal, proses identifikasi risiko
sering kali merupakan proses tahunan atau triwulanan. Setelah risiko-risiko ini diidentifikasi,
perusahaan perlu memantaunya dan melakukan penyesuaian berkelanjutan sesuai kebutuhan.
Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau oleh pengulas independen. Audit
internal seringkali merupakan sumber yang sangat kredibel dan baik untuk memantau status risiko
teridentifikasi saat ini. Mungkin mengumpulkan informasi ini melalui survei atau ulasan tatap muka.
Audit internal selalu memiliki tingkat kredibilitas dan wewenang ekstra. Ketika auditor bertanya
tentang status beberapa area risiko yang teridentifikasi, mereka yang bertanggung jawab atas area
tersebut kemungkinan besar akan memberikan informasi yang akurat. Jika audit internal tidak dapat
memperoleh informasi yang baik mengenai status beberapa risiko yang teridentifikasi, ia selalu dapat
menjadwalkan kunjungan untuk lebih memahami sifat area risiko. Tentu saja, auditor internal memiliki
masalah penjadwalan proyek audit mereka sendiri dan masalah penilaian risiko; mereka biasanya
tidak bisa hanya menjadwalkan tinjauan dalam jangka waktu singkat untuk memahami status terkini
dari beberapa risiko yang teridentifikasi. Namun, jika orang di perusahaan mengetahui bahwa auditor
internal kadang-kadang dapat berkunjung untuk lebih memahami status atau risiko, akan ada
kecenderungan kuat untuk memberikan jawaban status yang kuat dan akurat.

Proses pemantauan yang akurat adalah komponen penting dari manajemen risiko. Suatu perusahaan
mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko yang lebih signifikan. Namun,
status terkini dari risiko-risiko tersebut perlu dipantau secara berkala dengan perubahan yang dibuat
terhadap risiko yang diidentifikasi sebagaimana diperlukan.
2. COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan memiliki
definisi risiko yang konsisten. Ini juga merupakan alat penting untuk memahami dan meningkatkan
kontrol internal SOx. COSO ERM diluncurkan dengan cara yang mirip dengan pengembangan kerangka
kerja pengendalian internal COSO. Sama seperti tidak ada definisi yang konsisten dari kontrol internal,
juga tidak ada definisi risiko tingkat perusahaan yang konsisten. Kekhawatiran ini ditekankan oleh
komentar John Flaherty, ketua pertama COSO: “Meskipun banyak orang berbicara tentang risiko, tidak
ada definisi yang berlaku umum tentang manajemen risiko dan tidak ada kerangka kerja komprehensif
yang menguraikan bagaimana proses seharusnya bekerja, membuat risiko komunikasi di antara
anggota dewan dan manajemen sulit dan membuat frustrasi. ”2 COSO mengontrak dengan
PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja risiko ini. Kerangka kerja COSO
ERM diterbitkan setelah diberlakukannya SOx pada bulan September 2004. Sisa dari bab ini
merangkum COSO ERM dalam beberapa detail.

Sama seperti kerangka kerja pengendalian internal COSO yang dimulai dengan mengusulkan definisi
yang konsisten dari subjeknya, dokumen kerangka kerja COSO ERM dimulai dengan mendefinisikan
manajemen risiko perusahaan:

Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen,
dan personel lain entitas, diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan
mengelola risiko agar sesuai dengan selera risiko. , untuk memberikan jaminan yang wajar mengenai
pencapaian tujuan entitas.

Profesional harus mempertimbangkan poin utama yang mendukung definisi kerangka kerja ERM
COSO ini termasuk:

 ERM adalah suatu proses. Ekspresi kamus yang sering disalahgunakan, definisi kamus dari
suatu proses adalah serangkaian tindakan yang dirancang untuk mencapai hasil. Namun,
definisi ini tidak memberikan banyak bantuan bagi banyak profesional. Idenya di sini adalah
bahwa suatu proses bukanlah prosedur statis, seperti penggunaan lencana karyawan yang
dirancang dan dibangun untuk memungkinkan hanya orang-orang tertentu yang berwenang
untuk memasuki fasilitas yang dikunci. Prosedur lencana seperti itu - seperti kunci untuk kunci
- hanya memungkinkan atau tidak mengizinkan seseorang masuk ke fasilitas. Suatu proses
cenderung menjadi pengaturan yang lebih fleksibel. Dalam proses persetujuan kredit,
misalnya, aturan penerimaan dibuat dengan opsi untuk mengubahnya dengan pertimbangan
lain. Suatu perusahaan mungkin membengkokkan aturan kredit untuk pelanggan kredit yang
baik yang mengalami masalah jangka pendek. ERM adalah jenis proses. Suatu perusahaan
seringkali tidak dapat mendefinisikan aturan manajemen risikonya melalui sebuah buku
aturan yang kecil dan terorganisir dengan ketat. Melainkan harus ada serangkaian langkah
terdokumentasi untuk meninjau dan mengevaluasi risiko potensial dan untuk mengambil
tindakan berdasarkan berbagai faktor di seluruh perusahaan.
 Proses ERM diimplementasikan oleh orang-orang di perusahaan. ERM tidak akan efektif jika
diterapkan hanya melalui seperangkat aturan yang dikirim ke unit operasi dari kantor pusat
perusahaan yang jauh, di mana orang-orang perusahaan yang menyusun aturan mungkin
memiliki sedikit pemahaman tentang berbagai faktor keputusan di sekitar unit operasi. Proses
manajemen risiko harus dikelola oleh orang-orang yang cukup dekat dengan situasi risiko
untuk memahami berbagai faktor di sekitar risiko, termasuk implikasinya.
  ERM diterapkan melalui pengaturan strategi di seluruh perusahaan. Setiap perusahaan terus-
menerus dihadapkan dengan strategi alternatif mengenai sejumlah besar tindakan potensial
di masa depan. Haruskah entitas memperoleh bisnis pelengkap lain untuk memperluas
pertumbuhan atau hanya membangun secara internal? Haruskah ia mengadopsi teknologi
baru dalam proses manufaktur atau bertahan dengan yang dicoba dan benar? Serangkaian
proses ERM yang efektif harus memainkan peran utama dalam membantu membangun
strategi alternatif tersebut. Karena banyak perusahaan besar dengan banyak unit operasi yang
berbeda, ERM harus diterapkan di seluruh perusahaan menggunakan jenis pendekatan
portofolio yang memadukan campuran kegiatan berisiko tinggi dan rendah.
 Konsep selera risiko harus dipertimbangkan. Konsep atau istilah baru bagi banyak orang,
selera risiko adalah jumlah risiko, pada tingkat yang luas, yang bersedia diterima oleh
perusahaan dan manajer perorangan dalam pengejaran nilai mereka. Risk appetite dapat
diukur dalam arti kualitatif dengan melihat risiko dalam kategori seperti tinggi, sedang, atau
rendah; alternatifnya, dapat didefinisikan secara kualitatif. Pemahaman tentang risk appetite
mencakup beragam masalah yang dibahas lebih lanjut dalam bab ini sebagai bagian dari
penerapan COSO ERM untuk memperkuat lingkungan pengendalian internal SOx perusahaan.
Ide dasarnya adalah bahwa setiap manajer dan, secara kolektif, setiap perusahaan memiliki
selera terhadap risiko. Beberapa akan menerima usaha berisiko yang menjanjikan potensi
pengembalian tinggi; yang lain lebih menyukai pendekatan pengembalian yang lebih terjamin
dan berisiko rendah. Konsep selera untuk risiko ini dapat dipertimbangkan dalam hal dua
investor. Seseorang mungkin lebih suka berinvestasi dalam risiko yang sangat rendah tetapi
biasanya pasar uang atau indeks dana rendah kembali sementara yang lain mungkin
berinvestasi dalam saham-saham teknologi start-up rendah dengan harapan pengembalian
sangat tinggi. Investor terakhir dapat digambarkan memiliki selera tinggi terhadap risiko.
Sebagai contoh lain, pada persimpangan jalan dengan lampu Jalan atau Jangan menyeberang,
orang yang terus melintasi persimpangan ketika lampu mulai berkedip "Berjalan," yang berarti
akan segera berubah menjadi "Jangan Berjalan," memiliki selera risiko yang lebih tinggi.
 ERM memberikan jaminan yang masuk akal tetapi tidak positif pada pencapaian objektif.
Idenya di sini adalah bahwa ERM, tidak peduli seberapa baik dipikirkan atau diterapkan, tidak
dapat memberikan jaminan hasil kepada manajemen atau orang lain. Perusahaan yang
terkontrol dengan baik, dengan orang-orang di semua tingkatan yang secara konsisten bekerja
menuju tujuan yang dipahami dan dapat dicapai, dapat mencapai tujuan tersebut periode
demi periode, bahkan selama beberapa tahun. Namun, kesalahan manusia yang tidak
disengaja, tindakan yang tak terduga oleh orang lain, atau bahkan bencana alam dapat terjadi.
Meskipun proses ERM efektif, suatu perusahaan dapat mengalami peristiwa bencana besar
dan benar-benar tak terduga. Jaminan wajar tidak memberikan jaminan absolut.
 ERM dirancang untuk membantu mencapai tujuan. Suatu perusahaan, melalui
manajemennya, harus bekerja untuk menetapkan tujuan bersama tingkat tinggi yang dapat
dibagikan oleh semua pemangku kepentingan. Contoh di sini, sebagaimana dikutip dalam
dokumentasi COSO ERM yang diterbitkan, mencakup hal-hal seperti mencapai dan
mempertahankan reputasi positif dalam bisnis dan komunitas konsumen perusahaan,
menyediakan pelaporan keuangan yang dapat diandalkan untuk semua pemangku
kepentingan, dan beroperasi sesuai dengan hukum dan peraturan. Program ERM keseluruhan
untuk suatu perusahaan harus membantunya untuk mencapai tujuan tersebut.

Tujuan dan sasaran yang terkait dengan ERM memiliki nilai yang kecil kecuali jika mereka dapat
diorganisir dan dimodelkan bersama sedemikian rupa sehingga manajemen dapat melihat berbagai
aspek tugas dan memahami — setidaknya semacam — bagaimana mereka berinteraksi dan
 berhubungan dalam cara multidimensi. Ini adalah kekuatan nyata dari model kerangka kontrol
internal COSO. Ini menjelaskan, misalnya, bagaimana kepatuhan perusahaan terhadap peraturan
berdampak pada semua tingkat kontrol internal, dari proses pemantauan hingga lingkungan kontrol,
dan bagaimana kepatuhan itu penting bagi semua entitas atau unit perusahaan. Kerangka kerja COSO
ERM memberikan beberapa definisi umum tentang manajemen risiko dan dapat membantu mencapai
sasaran pengendalian internal SOx serta proses manajemen risiko yang lebih baik di seluruh
perusahaan.

3. COSO ERM Key Elements

Kerangka kerja pengendalian internal COSO, seperti yang ditunjukkan dalam Tampilan 3.1, telah
menjadi model di seluruh dunia untuk menggambarkan dan mendefinisikan kontrol internal dan telah
menjadi dasar untuk menetapkan kepatuhan Bagian 404 SOx. Mungkin karena beberapa anggota tim
yang sama terlibat dengan kontrol internal COSO dan ERM, kerangka kerja COSO ERM3 —pada
pengamatan pertama — terlihat sangat mirip dengan kerangka kontrol internal COSO. Tampilan 6.5
menunjukkan kerangka COSO ERM ini sebagai kubus tiga dimensi dengan komponen:

 Empat kolom vertikal yang mewakili tujuan strategis risiko perusahaan.

 Delapan baris horizontal atau komponen risiko.
 Beberapa level untuk menggambarkan perusahaan apa pun, dari level entitas “kantor pusat”
hingga masing-masing anak perusahaan. Tergantung pada ukuran organisasi, mungkin ada
banyak potongan model di sini.

Bagian ini menjelaskan komponen horizontal COSO ERM; bagian selanjutnya membahas dua dimensi
lainnya dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM ini adalah
untuk memberikan model bagi perusahaan untuk mempertimbangkan dan memahami kegiatan
terkait risiko mereka di semua tingkatan serta bagaimana komponen risiko ini saling mempengaruhi.
Tujuan bab ini adalah membantu auditor internal — mulai dari chief audit executive (CAE) hingga
auditor staf — untuk lebih memahami COSO ERM dan belajar bagaimana hal itu dapat membantu
mengelola berbagai risiko yang dihadapi perusahaan.

Karena diagram kerangka COSO ERM terlihat sangat mirip dengan kerangka kendali internal COSO
yang telah menjadi akrab bagi banyak auditor internal selama beberapa tahun terakhir dan tentu saja
setelah SOx, beberapa kadang-kadang salah memandang COSO ERM sebagai hanya pembaruan baru
ke kerangka kontrol internal COSO. Namun, COSO ERM memiliki tujuan dan kegunaan yang berbeda.
COSO ERM tidak boleh dianggap hanya versi baru dan lebih baik atau revisi dari kerangka kerja
pengendalian internal COSO. Jauh lebih banyak. Bagian selanjutnya menguraikan kerangka kerja ini
dari perspektif komponen risiko.

(a) Internal Environment Component

Melihat wajah kubus ERM COSO, ada delapan level, dengan lingkungan internal terletak di bagian atas
kerangka ERM. Sebaliknya, dalam kerangka kerja pengendalian internal COSO, faktor lingkungan
kontrol ditempatkan di tingkat fondasi. Lingkungan internal dapat dianggap sebagai batu penjuru
untuk COSO ERM. Komponen ini mirip dengan kotak di bagian atas bagan organisasi yang
mencantumkan CEO sebagai kepala fungsi yang ditunjuk. Tingkat ini mendefinisikan dasar untuk
semua komponen lain dalam model ERM perusahaan, memengaruhi bagaimana strategi dan tujuan
harus ditetapkan, bagaimana kegiatan bisnis terkait risiko disusun, dan bagaimana risiko diidentifikasi
dan ditindaklanjuti. Sementara lingkungan pengendalian internal pengendalian COSO berfokus pada
praktik yang ada saat ini, seperti kebijakan sumber daya manusia, ERM mengambil pendekatan yang
lebih berorientasi pada masa depan dan berorientasi pada filosofi. Komponen lingkungan internal
COSO ERM terdiri dari elemen-elemen ini:

 Filosofi manajemen risiko. Ini adalah sikap dan keyakinan bersama yang menjadi ciri
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya. Lebih
dari sekadar pesan dalam kode etik, filosofi manajemen risiko adalah sikap yang harus
memungkinkan para pemangku kepentingan di semua tingkatan untuk menanggapi proposal
berisiko tinggi dengan jawaban di sepanjang garis mungkin “Tidak, itu bukan jenis usaha kami.
perusahaan akan tertarik. "Tentu saja, perusahaan dengan filosofi yang berbeda mungkin
menanggapi proposal yang sama ini dengan" Kedengarannya menarik. Apa tingkat
pengembalian yang diharapkan? "Tidak ada tanggapan yang benar-benar salah, tetapi
perusahaan harus berusaha mengembangkan sikap yang konsisten tentang bagaimana ia
menerima usaha yang berisiko. Filosofi risiko ini penting ketika auditor internal mengevaluasi
kontrol internal SOx.
 Risk appetite. Hal ini merupakan jumlah risiko yang bersedia diterima perusahaan dalam
mengejar tujuannya. Selera risiko dapat diukur dalam istilah kuantitatif atau kualitatif, tetapi
semua tingkat manajemen harus memiliki pemahaman umum tentang selera risiko
keseluruhan perusahaan mereka. Istilah Risk appetite tidak sering digunakan oleh auditor
internal dan manajer lain sebelum COSO ERM, tetapi itu adalah ungkapan yang berguna yang
menggambarkan filosofi risiko secara keseluruhan.
 Sikap dewan direksi. Dewan dan komitenya memiliki peran yang sangat penting dalam
mengawasi dan membimbing lingkungan risiko perusahaan. Direktur independen di luar
khususnya harus dengan cermat meninjau tindakan manajemen, mengajukan pertanyaan
yang sesuai, dan berfungsi sebagai kontrol check-and-balance untuk perusahaan. Ketika
seorang pejabat senior perusahaan memiliki sikap "tidak bisa terjadi" di sini mengenai
kemungkinan risiko di berbagai tingkatan, anggota dewan harus mengajukan pertanyaan sulit
tentang bagaimana perusahaan akan bereaksi jika salah satu dari peristiwa itu benar-benar
terjadi.
 Integritas dan nilai-nilai etika. Elemen lingkungan internal ERM yang penting ini membutuhkan
lebih dari sekadar kode perilaku yang diterbitkan dan mencakup pernyataan misi yang
dipikirkan dengan baik dan standar integritas. Bahan-bahan ini membantu membangun
budaya yang kuat untuk memandu perusahaan, di semua tingkatan, dalam membantu
membuat keputusan berbasis risiko. Nilai-nilai etika yang lebih kuat di sini mungkin telah
membantu perusahaan, seperti Enron dan WorldCom, untuk menghindari skandal akuntansi
yang menyebabkan diberlakukannya SOx. Area ini harus menjadi komponen penting dalam
setiap kerangka kerja ERM saat ini.
 Komitmen terhadap kompetensi. Kompetensi mengacu pada pengetahuan dan keterampilan
yang diperlukan untuk melakukan tugas yang ditugaskan. Manajemen memutuskan
bagaimana tugas-tugas penting ini akan dicapai melalui pengembangan strategi dan
menugaskan orang yang tepat untuk melaksanakannya. Kita semua melihat perusahaan yang
tidak memiliki komitmen seperti ini. Manajemen senior terkadang membuat rencana besar
dan keras untuk mencapai beberapa tujuan tetapi kemudian tidak banyak berhasil
mencapainya. Pasar saham sering menghukum kegagalan dalam kegiatan tersebut. Dengan
komitmen kuat terhadap kompetensi, manajer di semua tingkatan harus mengambil langkah-
langkah untuk mencapai tujuan yang dijanjikan.
 Struktur organisasi. Suatu perusahaan harus mengembangkan struktur organisasi dengan
garis wewenang, tanggung jawab, dan pelaporan yang sesuai. Setiap profesional telah melihat
situasi di mana organisasi memiliki jalur komunikasi yang tepat. Misalnya, sebelum SOx,
 banyak fungsi audit internal telah menerbitkan bagan organisasi yang menunjukkan mereka
melaporkan kepada komite audit dewan mereka, tetapi seringkali itu hanya di atas kertas;
terdapat komunikasi harian audit internal yang terbatas di luar rapat komite audit yang sangat
singkat dan berkala. SOx telah mengubah ini. Lingkungan di mana komite audit hanya memiliki
interaksi yang sangat terbatas dengan fungsi audit internalnya merupakan kegagalan dalam
struktur organisasi. Sementara situasi ini telah diperbaiki, banyak situasi struktur organisasi
mungkin perlu perbaikan untuk mencapai ERM yang efektif.
 Penugasan wewenang dan tanggung jawab. Komponen ERM ini mengacu pada sejauh mana
wewenang dan tanggung jawab ditugaskan atau didelegasikan. Tren di banyak perusahaan
saat ini adalah mendorong tanggung jawab otoritas persetujuan ke bawah bagan organisasi,
memberikan wewenang dan persetujuan yang lebih tinggi kepada karyawan tingkat pertama
dan bahkan yang lebih tinggi. Tren terkait adalah meratakan organisasi dengan
menghilangkan tingkat manajemen menengah. Struktur ini biasanya mendorong kreativitas
karyawan, waktu respons yang lebih cepat, dan kepuasan pelanggan yang lebih besar. Namun,
jenis organisasi yang menghadapi pelanggan ini membutuhkan prosedur dan aturan yang kuat
untuk staf serta manajemen sehingga keputusan staf tingkat rendah dapat ditolak jika perlu.
Semua individu harus tahu bagaimana tindakan mereka saling terkait dan berkontribusi pada
tujuan keseluruhan perusahaan. Kode perilaku yang kuat adalah elemen penting di sini.
 Standar sumber daya manusia. Praktik mengenai perekrutan karyawan, pelatihan,
kompensasi, promosi, pendisiplinan, dan semua tindakan lainnya mengirim pesan mengenai
apa yang disukai, ditoleransi, dan dilarang. Ketika manajemen mengedipkan mata pada atau
mengabaikan beberapa kegiatan wilayah abu-abu daripada mengambil sikap yang kuat, pesan
itu biasanya secara informal dan cepat dikomunikasikan kepada orang lain. Diperlukan standar
yang kuat untuk memastikan bahwa peraturan sumber daya manusia dikomunikasikan
kepada semua pemangku kepentingan dan ditegakkan.

Materi panduan COSO ERM yang diterbitkan memuat contoh-contoh lain dari komponen yang
diperlukan untuk membangun lingkungan internal yang efektif. Banyak yang merujuk pada standar
dan pendekatan yang harus diterapkan perusahaan untuk menerima dan mengelola berbagai tingkat
risiko, dan yang lain merujuk hanya pada praktik bisnis yang baik. Tidak peduli apakah suatu
perusahaan memiliki selera risiko yang tinggi atau rendah, perusahaan perlu menerapkan praktik-
praktik lingkungan pengendalian untuk mengelola risiko-risiko tersebut. Sebagai contoh, perusahaan
dapat memberikan tenaga penjualan yang agak bebas untuk melakukan transaksi tanpa banyak
pengawasan dan persetujuan manajemen. Namun setiap orang harus mengetahui batas-batas
kebijakan hukum, etika, dan manajemen dari praktik-praktik bebas-kontrol tersebut. Proses harus
dilakukan sedemikian rupa sehingga jika ada yang melangkah melewati batas mengenai batasan ini,
tindakan perbaikan cepat diambil dan dikomunikasikan. Ada banyak cara bagi suatu perusahaan untuk
mengomunikasikan standar manajemen risikonya, tetapi pernyataan formal dalam laporan tahunan
atau informasi di laman beranda Web perusahaan seringkali merupakan tempat yang baik.

Dua komponen lingkungan internal COSO ERM, filosofi manajemen risiko perusahaan dan selera
relatifnya terhadap risiko, memberi makan elemen-elemen lain dari kerangka kerja COSO ERM.
Sementara filosofi manajemen risiko dibahas dalam hal sikap dewan direksi dan kebijakan sumber
daya manusia, antara lain, risk appetite seringkali merupakan ukuran yang lebih lunak, di mana
perusahaan telah menentukan bahwa ia akan menerima beberapa risiko tetapi menolak yang lain
dalam hal kemungkinan dan dampak. Suatu perusahaan harus mengenali kisaran di mana ia mau
menerima risiko dalam hal kemungkinan dan dampaknya. Pameran ini mengatakan bahwa suatu
perusahaan mungkin bersedia untuk terlibat dalam proyek dampak negatif tinggi jika ada
kemungkinan rendah terjadinya suatu kejadian. Ada dimensi ketiga untuk bagan ini juga. Suatu
perusahaan kadang-kadang akan memiliki selera yang lebih besar untuk upaya yang lebih berisiko jika
ada potensi pengembalian yang lebih tinggi.

(b) Objective Setting

Peringkat tepat di bawah lingkungan internal dalam kerangka kerja ERM COSO, penetapan tujuan
menjabarkan kondisi-kondisi penting untuk membantu manajemen menciptakan proses ERM yang
efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus
menetapkan serangkaian tujuan strategis, selaras dengan misinya dan mencakup kegiatan operasi,
pelaporan, dan kepatuhan. COSO ERM menekankan bahwa pernyataan misi adalah elemen penting
untuk menetapkan tujuan; itu adalah pernyataan tujuan umum dan formal dan blok pembangun
untuk pengembangan strategi fungsional spesifik. Seringkali hanya pernyataan sederhana dan
langsung, pernyataan misi harus merangkum tujuan perusahaan dan sikap keseluruhannya terhadap
risiko. Dilakukan dan disampaikan dengan benar, pernyataan misi harus mendorong perusahaan
untuk mengembangkan tujuan strategis tingkat tinggi dan kemudian membantu memilih dan
melaksanakan tujuan operasi, pelaporan, dan kepatuhan. Sementara tujuan operasi berkaitan dengan
efektivitas dan efisiensi perusahaan dalam mencapai profitabilitas dan kinerja, tujuan kepatuhan
mencakup pelaporan kinerja dan kepatuhan terhadap hukum dan peraturan. COSO ERM menyerukan
perusahaan untuk secara formal menentukan sasarannya dengan keterkaitan langsung dengan
pernyataan misinya, bersama dengan kriteria pengukuran untuk menilai apakah perusahaan tersebut
mencapai tujuan manajemen risiko ini.

Komponen lingkungan internal ERM untuk memahami filosofi manajemen risiko dan selera risiko
perusahaan menuntut komponen penetapan tujuan untuk secara formal mendefinisikan selera risiko
dalam hal toleransi risiko. Toleransi adalah pedoman yang harus digunakan perusahaan — di semua
tingkatan — untuk menilai apakah perusahaan akan menerima risiko. Menetapkan dan menegakkan
toleransi risiko bisa sangat sulit, dengan potensi masalah jika aturan ini tidak didefinisikan dengan
jelas, dipahami dengan baik, dan ditegakkan dengan ketat. Perusahaan harus menetapkan rentang
risiko yang dapat diterima di banyak bidang. Misalnya, produk yang keluar dari jalur produksi mungkin
memiliki tingkat kesalahan pra-mapan yang dapat diterima kurang dari beberapa nilai, seperti tingkat
kesalahan tidak lebih besar dari 0,005%. Itu adalah tingkat kesalahan yang sangat rendah di banyak
bidang, dan manajemen produksi di sini akan menerima risiko klaim garansi produk atau kerusakan
pada reputasi mereka jika ada kesalahan dalam batas yang relatif sempit itu. Tentu saja, jaminan
kualitas saat ini menekankan pada program enam sigma, menjadikan batasan toleransi itu lebih ketat.
Intinya di sini adalah bahwa perusahaan harus mendefinisikan strategi dan tujuan yang terkait dengan
risiko. Dalam pedoman itu, ia harus memutuskan selera dan toleransi untuk risiko ini. Artinya, ia harus
menentukan tingkat risiko yang bersedia diterima dan, mengingat aturan toleransi risiko itu, seberapa
jauh ia bersedia menyimpang dari langkah-langkah yang telah ditetapkan sebelumnya. Tampilan 6.7
menguraikan hubungan bagian-bagian ini dari komponen penetapan tujuan COSO ERM. Dimulai
dengan misi keseluruhan, pendekatannya adalah (1) mengembangkan tujuan strategis untuk
mendukung pencapaian misi itu, (2) menetapkan strategi untuk memenuhi tujuan, (3) menetapkan
tujuan terkait, dan (4) menetapkan selera risiko untuk diselesaikan strategi itu. Pameran ini diadaptasi
dari bahan panduan COSO ERM. Bahan-bahan ini harus dirujuk untuk pemahaman yang lebih rinci
tentang COSO ERM. Untuk mengelola dan mengendalikan risiko di semua tingkatan, perusahaan perlu
menetapkan tujuannya dan menetapkan toleransinya untuk terlibat dalam praktik berisiko dan
kepatuhannya terhadap aturan-aturan ini. Hal-hal tidak akan berfungsi jika suatu perusahaan
menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi kemudian mulai
mengabaikannya.

(c) Event Identification

Peristiwa adalah insiden atau kejadian perusahaan — eksternal atau eksternal — yang memengaruhi
penerapan strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk
memikirkan peristiwa dalam arti negatif — menentukan apa yang salah — mereka juga bisa positif.
Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang kuat untuk memantau biaya,
anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun, lebih dari sekadar memasang
meteran pada jalur perakitan produksi, proses pemantauan harus mencakup:

 Peristiwa ekonomi eksternal. Berbagai peristiwa eksternal perlu dipantau untuk membantu
mencapai tujuan ERM perusahaan. Baik peristiwa jangka pendek maupun jangka panjang
dapat memengaruhi tujuan strategis perusahaan. Sebagai contoh peristiwa ekonomi
eksternal, pada bulan Desember 2001 dan setelah beberapa gejolak pasar mata uang yang
sedang berlangsung, Argentina mendeklarasikan default utama hutang publiknya. Kejadian
eksternal ini berdampak besar pada pasar kredit internasional, pemasok komoditas pertanian,
 dan transaksi bisnis lainnya di Argentina dan di seluruh Amerika Selatan. Identifikasi peristiwa
ekonomi eksternal di sini mengharuskan perusahaan untuk melampaui tajuk berita yang
dilaporkan dan mengibarkan bendera untuk menyarankan bahwa default mata uang tersebut
dapat menyoroti peristiwa terkait risiko perusahaan.
 Kejadian lingkungan alami. Apakah kebakaran, banjir, atau gempa bumi, banyak peristiwa
dapat menjadi insiden dalam identifikasi risiko ERM. Dampak di sini mungkin termasuk
hilangnya akses ke beberapa bahan baku utama, kerusakan fasilitas fisik, atau tidak
tersedianya personel.
 Peristiwa politik. Undang-undang dan peraturan baru serta hasil pemilu dapat memiliki
dampak signifikan terkait peristiwa risiko pada perusahaan. Banyak perusahaan yang lebih
besar memiliki fungsi urusan pemerintah yang meninjau perkembangan di sini dan melobi
untuk perubahan, tetapi fungsi tersebut mungkin tidak selalu selaras dengan tujuan ERM
perusahaan.
 Faktor sosial. Sementara peristiwa eksternal seperti gempa bumi tiba-tiba dan tiba dengan
sedikit peringatan, sebagian besar faktor sosial adalah peristiwa yang berevolusi secara
perlahan. Ini termasuk perubahan demografis, adat istiadat sosial, dan peristiwa lain yang
dapat memengaruhi suatu perusahaan dan pelanggannya dari waktu ke waktu. Pertumbuhan
populasi Hispanik di Amerika Serikat adalah contoh seperti itu. Ketika semakin banyak orang
Hispanik pindah ke kota, misalnya, persyaratan mengajar di sekolah umum dan campuran
pilihan di toko bahan makanan semuanya akan berubah.
 Acara infrastruktur internal. Perusahaan sering membuat perubahan jinak yang memicu
peristiwa terkait risiko lainnya. Misalnya, perubahan pengaturan layanan pelanggan dapat
menyebabkan keluhan utama dan penurunan kepuasan pelanggan di unit ritel. Permintaan
pelanggan yang kuat untuk produk baru dapat menyebabkan perubahan dalam persyaratan
kapasitas pabrik dan kebutuhan akan personil tambahan.
 Kejadian terkait proses internal. Mirip dengan perubahan dalam peristiwa infrastruktur,
perubahan dalam proses utama dapat memicu berbagai peristiwa identifikasi risiko. Dalam
banyak kasus, identifikasi risiko mungkin tidak langsung, dan beberapa waktu mungkin berlalu
sebelum peristiwa terkait proses menandakan perlunya identifikasi risiko.
 Kejadian teknologi eksternal dan internal. Setiap perusahaan menghadapi berbagai macam
peristiwa teknologi yang dapat memicu kebutuhan untuk identifikasi risiko formal. Beberapa
mungkin bertahap, sementara yang lain, seperti pergeseran ke lingkungan Web, lebih tiba-
tiba. Dalam kasus lain, sebuah perusahaan dapat merilis peningkatan baru yang menyebabkan
pesaing di mana-mana bertindak. Meskipun gagasan itu tampak biasa hari ini, ketika Merrill
Lynch, pada waktu itu seorang pialang besar, meluncurkan konsep Cash Management Account
(CMA) pada pertengahan 1980-an, itu menyebabkan kegemparan besar dalam industri jasa
keuangan. CMA adalah layanan yang menggabungkan pialang saham pelanggan, rekening giro
bank, dan layanan keuangan lainnya yang semuanya dalam satu atap. Di masa lalu, semua
akun tersebut dengan penyedia terpisah tanpa dasarnya hubungan antara mereka.

Suatu perusahaan perlu mendefinisikan dengan jelas kejadian-kejadian risikonya yang signifikan dan
kemudian memiliki proses untuk memonitornya agar dapat mengambil tindakan yang diperlukan.
Jenis proses berpikiran maju ini seringkali sulit dikenali di banyak perusahaan. Melihat peristiwa risiko
potensial internal dan eksternal ini dan memutuskan mana yang memerlukan perhatian lebih lanjut
bisa menjadi proses yang sulit. Beberapa kebutuhan mendesak, dan lainnya sangat terarah di masa
depan. Materi aplikasi teknik COSO ERM yang dirilis menawarkan bantuan di sini. Bahan pedoman
menyarankan perusahaan mempertimbangkan beberapa pendekatan ini:
  Persediaan acara. Manajemen harus mengembangkan daftar peristiwa yang berhubungan
dengan risiko yang umum bagi industri spesifik dan bidang fungsional perusahaan. Dengan
kata lain, suatu perusahaan harus mempertimbangkan untuk menetapkan beberapa jenis
sumber arsip “pembelajaran”. Secara historis ini adalah tipe data yang disediakan oleh
anggota yang memiliki masa kerja lebih lama dari suatu perusahaan yang dapat menawarkan
"Kami mencoba ini beberapa tahun yang lalu, tapi ..." jenis komentar.
 Lokakarya yang difasilitasi. Suatu perusahaan dapat mengadakan lokakarya lintas-fungsional
untuk membahas faktor risiko potensial yang dapat berkembang dari berbagai peristiwa
internal atau eksternal. Hasil dari lokakarya ini adalah rencana aksi untuk memperbaiki
potensi risiko. Walaupun pendekatannya terdengar bagus, seringkali merupakan tantangan
untuk mengalokasikan waktu yang cukup untuk membahas format risiko seperti itu.
 Wawancara, kuesioner, dan survei. Informasi mengenai peristiwa risiko potensial dapat
berasal dari berbagai sumber, seperti surat kepuasan pelanggan atau karyawan yang keluar
dari komentar wawancara. Informasi ini harus ditangkap dan diklasifikasikan untuk
mengidentifikasi apa saja yang mungkin mengarah pada peristiwa risiko.
 Proses analisis flo. Materi teknik aplikasi COSO ERM merekomendasikan penggunaan diagram
alir untuk meninjau proses dan mengidentifikasi peristiwa risiko potensial. Bagi banyak orang,
diagram alir ini mirip dengan dokumentasi kontrol internal yang disiapkan sebagai bagian dari
dokumentasi SOx Section 404. Bagian 404 pekerjaan itu tidak fokus pada identifikasi peristiwa
risiko, tetapi analisis ERM ini dapat dikombinasikan dengan pekerjaan Bagian 404 dalam
periode pembaruan di masa mendatang.
 Memimpin peristiwa dan pemicu eskalasi. Idenya di sini adalah untuk menetapkan
serangkaian pengukuran unit bisnis untuk memantau tujuan toleransi risiko dan
mempromosikan tindakan perbaikan. Misalnya, grup TI perusahaan dapat menetapkan tujuan
untuk mempertahankan kontrol keamanan yang kuat atas risiko intrusi sistem. Dengan ukuran
jumlah upaya intrusi yang diidentifikasi selama periode, pemicu mungkin tiga insiden intrusi
dalam satu bulan tertentu dapat memicu tindakan lebih lanjut. Alat perangkat lunak jenis
dasbor atau laporan pemantauan dapat digunakan di sini. Alat perangkat lunak ini mirip
dengan dashboard mobil, di mana indikator akan memancarkan sinyal untuk kondisi seperti
tekanan oli rendah atau panas berlebih. Status risiko dilaporkan melalui beberapa monitor
grafis sederhana, mudah dipahami, seperti lampu peringatan merah, kuning, dan hijau.
 Kehilangan pelacakan data peristiwa. Sementara pendekatan dasbor memantau peristiwa
risiko saat terjadi, sering kali berharga untuk meletakkan berbagai hal dalam perspektif yang
lebih setelah berlalunya waktu. Pelacakan peristiwa kerugian mengacu pada penggunaan
sumber basis data internal dan publik untuk melacak aktivitas di bidang yang diminati.
Sumber-sumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi
terkemuka hingga tingkat kegagalan peralatan internal. Sekali lagi di sini, perusahaan harus
menginstal proses identifikasi risiko yang efektif untuk melacak peristiwa terkait risiko internal
dan eksternal.

Alat dan pendekatan identifikasi risiko dapat menghasilkan beberapa informasi yang sangat berguna.
Penggunaannya membutuhkan analisis data yang baik serta memulai rencana aksi, apakah melindungi
dari risiko atau memanfaatkan peluang potensial.

(d) Risk Assessment

Sementara komponen lingkungan internal adalah landasan COSO ERM (Bagian 4.3 (h) membahas
pemantauan sebagai landasannya), komponen penilaian risiko adalah inti kerangka kerja. Penilaian
risiko memungkinkan perusahaan untuk mempertimbangkan dampak potensial yang mungkin timbul
dari peristiwa terkait risiko terhadap pencapaian suatu perusahaan terhadap tujuannya. Risiko-risiko
ini harus dinilai dari dua perspektif: kemungkinan terjadinya risiko dan potensi dampaknya. Sebagai
bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah kebutuhan untuk
mempertimbangkan risiko inheren dan residual juga:

 Risiko yang melekat. Sebagaimana didefinisikan oleh Kantor Manajemen dan Anggaran
Pemerintah AS, risiko inheren adalah "potensi pemborosan, kehilangan, penggunaan yang
tidak sah, atau penyalahgunaan karena sifat suatu kegiatan itu sendiri." Faktor utama yang
memengaruhi risiko inheren perusahaan adalah ukuran anggaran, kekuatan dan kecanggihan
manajemen, dan sifat kegiatannya. Risiko inheren berada di luar kendali manajemen dan
biasanya berasal dari faktor eksternal. Sebagai contoh, pengecer besar Wal-Mart begitu besar
dan dominan di pasarnya sehingga ia menghadapi berbagai risiko yang melekat karena
ukurannya semata-mata.
 Risiko residual. Ini adalah risiko yang tetap ada setelah respons manajemen terhadap
ancaman dan tindakan pencegahan risiko telah diterapkan. Hampir selalu ada beberapa
tingkat risiko residual.

Kedua konsep ini menyiratkan bahwa suatu perusahaan akan selalu menghadapi beberapa risiko.
Setelah manajemen menangani risiko yang timbul dari proses identifikasi risiko, masih ada beberapa
risiko residual untuk diperbaiki. Selain itu, selalu ada beberapa risiko yang melekat bahwa manajemen
dapat melakukan sedikit untuk memitigasi. Wal-Mart, misalnya, dapat mengambil beberapa langkah
untuk mengurangi risiko inheren terkait dengan dominasi pasar tetapi pada dasarnya tidak dapat
melakukan apa pun terkait risiko inheren gempa bumi besar. Kemungkinan dan dampak risiko adalah
dua komponen penting lainnya yang diperlukan untuk melakukan penilaian risiko. Kemungkinan
adalah probabilitas atau kemungkinan suatu risiko akan terjadi. Dalam banyak kasus, ini bisa menjadi
penilaian manajemen kunci yang dinyatakan dalam kemungkinan risiko tinggi, sedang, atau rendah.
Ada juga beberapa alat kuantitatif yang baik untuk mengembangkan estimasi kemungkinan, tetapi
tidak baik untuk memperkirakan kemungkinan risiko yang terjadi kecuali ada data pendukung yang
kuat. Memperkirakan dampak jika peristiwa risiko terjadi sedikit lebih mudah. Contohnya termasuk,
untuk risiko yang terkait dengan IT, dampak dari server data dan kegagalan jaringan pusat bencana;
suatu perusahaan dapat mengembangkan beberapa perkiraan yang relatif akurat seperti biaya
penggantian fasilitas dan peralatan, biaya sistem pemulihan, dan biaya bisnis yang hilang karena
kegagalan terkait TI. Namun, seluruh konsep di balik ERM bukan untuk mengembangkan perhitungan
tingkat aktuaria yang tepat mengenai risiko ini, tetapi untuk menyediakan kerangka kerja manajemen
risiko yang efektif. Perhitungan terperinci dapat didelegasikan kepada penaksir asuransi dan lainnya.

Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui serangkaian tindakan
kuantitatif dan kualitatif. Sumber untuk lebih banyak data adalah bahan teknik aplikasi COSO ERM
atau kelompok minat khusus Project Management Institute (PMI) tentang risiko (www.risksig.com).
Sumber-sumber ini memberikan panduan tentang pendekatan untuk menentukan langkah-langkah
relatif pada kemungkinan risiko dan dampak potensial. Namun, ide dasarnya adalah untuk menilai
semua risiko yang teridentifikasi dan membuat peringkatnya berdasarkan kemungkinan dan
dampaknya secara konsisten.

Tanpa melalui analisis kuantitatif terperinci, setiap risiko yang teridentifikasi dapat diperingkat pada
skala relatif keseluruhan 1 hingga 10, dengan pertimbangan diberikan pada dampak dan kemungkinan
masing-masing. Peringkat ini dapat dicapai dengan proses pengambilan keputusan manajemen yang
terfokus di mana masing-masing risiko yang diidentifikasi ditinjau dan kemudian diberi peringkat
sehubungan dengan skala ini. Tampilan 6.8 menunjukkan bagaimana serangkaian risiko untuk
perusahaan sampel dinilai pada nilai relatif tinggi, sedang, atau rendah. Untuk perusahaan yang lebih
besar, risikonya dapat ditingkatkan hingga 1 hingga 10 atau bahkan 1–100 memungkinkan granularitas
yang lebih besar. Idenya adalah untuk menetapkan beberapa peringkat relatif untuk risiko dan untuk
mengidentifikasi risiko-risiko yang harus mendapat perhatian manajemen yang paling teliti.

Pendekatan keseluruhan untuk meninjau berbagai kemungkinan dan dampak risiko ini perlu
dipertimbangkan. Penilaian risiko adalah komponen kunci dari kerangka kerja ERM COSO. Di sinilah
perusahaan mengevaluasi semua berbagai risiko yang mungkin berdampak pada berbagai tujuannya,
mempertimbangkan kemungkinan dan dampak masing-masing risiko ini, mempertimbangkan
keterkaitan mereka berdasarkan unit-per-unit atau total perusahaan, dan kemudian mengembangkan
strategi untuk tanggapan yang sesuai. Dalam beberapa hal, proses penilaian risiko ERM COSO ini tidak
terlalu berbeda dengan teknik penilaian risiko klasik yang telah digunakan selama bertahun-tahun.
Yang unik adalah bahwa COSO ERM menyarankan bahwa perusahaan harus mengambil pendekatan
total, di semua unit dan mencakup semua masalah strategis utama, untuk mengidentifikasi risiko
secara konsisten dan menyeluruh.

(e) Risk Response

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM menyerukan respons
terukur terhadap berbagai risiko yang diidentifikasi ini. Harus ada peninjauan hati-hati terhadap
perkiraan kemungkinan risiko dan dampak potensial, dengan pertimbangan diberikan pada biaya dan
manfaat terkait, untuk mengembangkan strategi respons risiko yang tepat. Respons risiko ini dapat
ditangani dengan salah satu dari empat cara dasar ini:

1. Penghindaran. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari area geografis berisiko, atau menjatuhkan lini produk.
Kesulitannya adalah bahwa perusahaan sering kali tidak dapat melepaskan lini produk atau
berjalan pergi sampai setelah peristiwa risiko terjadi dengan biaya terkait. Kecuali jika
 perusahaan memiliki selera risiko yang sangat rendah, sulit untuk meninggalkan area bisnis
yang sukses atau lini produk berdasarkan risiko potensial di masa depan. Penghindaran bisa
menjadi strategi yang berpotensi mahal jika investasi dilakukan untuk masuk ke area dengan
penarikan berikutnya untuk menghindari risiko.
Pemahaman yang dipelajari secara kolektif dari kegiatan masa lalu sering kali dapat
membantu dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa bidang di masa
lalu dengan konsekuensi yang tidak menguntungkan, ini mungkin cara yang baik untuk
menghindari risiko sekali lagi. Karena perubahan yang konstan dan masa kerja yang singkat,
sejarah kolektif ini terlalu sering hilang dan dilupakan. Nafsu makan suatu perusahaan yang
dipahami dengan baik dan dikomunikasikan untuk risiko mungkin merupakan pertimbangan
paling penting ketika memutuskan apakah strategi penghindaran risiko sesuai.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi risiko terlalu kuatnya ketergantungan pada satu lini
produk utama; pemisahan operasi TI menjadi dua lokasi yang terpisah secara geografis akan
mengurangi risiko beberapa kegagalan besar. Jumlah strategi yang efektif untuk mengurangi
risiko turun ke yang sudah jelas dan biasa saja, seperti pelatihan silang karyawan untuk
mengurangi risiko seseorang berangkat tanpa terduga.
3. Berbagi. Hampir semua perusahaan secara teratur membagikan sebagian risiko mereka
melalui pembelian asuransi, tetapi teknik pembagian risiko lainnya juga tersedia. Untuk
transaksi keuangan, suatu perusahaan dapat melakukan operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi potensi risiko dan imbalan
bisnis melalui perjanjian usaha patungan perusahaan atau pengaturan struktural lainnya.
Idenya adalah meminta pihak lain menerima beberapa risiko potensial serta untuk berbagi
dalam imbalan apa pun yang dihasilkan.
4. Penerimaan. Ini adalah strategi tanpa tindakan, seperti ketika perusahaan melakukan
selfurure dengan tidak mengambil tindakan untuk mengurangi risiko potensial. Pada
dasarnya, suatu perusahaan harus melihat kemungkinan risiko dan dampaknya sehubungan
dengan toleransi risiko yang ditetapkan dan kemudian memutuskan apakah akan menerima
risiko itu atau tidak. Penerimaan sering merupakan strategi yang tepat untuk berbagai risiko
yang dihadapi suatu perusahaan.

Manajemen harus mengembangkan strategi respons umum untuk setiap risikonya menggunakan
pendekatan yang dibangun di sekitar satu atau gabungan dari strategi penghindaran risiko ini. Dalam
melakukan hal itu, ia harus mempertimbangkan biaya versus manfaat dari setiap respons risiko
potensial serta strategi yang paling sesuai dengan selera risiko keseluruhan perusahaan. Misalnya,
pengakuan suatu perusahaan bahwa dampak risiko yang diberikan relatif rendah akan seimbang
terhadap toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk memberikan
respons risiko yang potensial. Untuk banyak risiko, respons yang tepat jelas dan hampir dipahami
secara universal. Sebuah operasi TI, misalnya, menghabiskan waktu dan sumber daya untuk membuat
cadangan file data utama dan mengimplementasikan rencana kesinambungan bisnis. Biasanya tidak
ada pertanyaan mengenai perlunya pendekatan dasar ini, tetapi berbagai tingkat manajemen dapat
mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana kesinambungan perlu
diuji. Artinya, mereka mungkin mempertanyakan sejauh mana dan biaya tindakan pencegahan risiko
yang direncanakan.

Suatu perusahaan harus kembali ke tujuan risiko yang ditetapkan serta rentang toleransi untuk tujuan
tersebut. Maka harus membaca kembali kemungkinan dan dampak yang terkait dengan masing-
masing untuk mengembangkan satu set keseluruhan respons risiko yang direncanakan. Ini mungkin
langkah paling sulit dalam membangun program ERM COSO yang efektif. Relatif mudah untuk
mengidentifikasi risiko kemungkinan 5% bahwa mungkin ada kebakaran di tempat sampah bekas dan
kemudian membuat obat tanggap risiko untuk memasang pemadam api terdekat. Namun, respons
terhadap sebagian besar risiko jauh lebih kompleks dan memerlukan perencanaan dan analisis yang
cukup terperinci. Jika ada risiko bahwa suatu perusahaan dapat kehilangan seluruh operasi
manufaktur karena kegagalan utama tetapi kegagalan produksi pabrik peralatan, respons risiko
potensial dapat mencakup:

 Memperoleh peralatan produksi cadangan untuk berfungsi sebagai suku cadang untuk
kanibalisasi.
 Matikan jalur produksi manufaktur dengan rencana untuk memindahkannya ke tempat lain.
 Mengatur toko khusus untuk membangun kembali / merekonstruksi peralatan lama.
 Rekayasa ulang produk yang diproduksi dan rencanakan pengenalan produk baru.

Mengembangkan respons risiko memerlukan sejumlah perencanaan dan pemikiran strategis.

Beberapa alternatif respons risiko mungkin melibatkan biaya, waktu, dan perencanaan proyek yang
terperinci. Sebagai contoh, salah satu strategi respons peralatan yang lebih lama adalah memperoleh
seperangkat peralatan cadangan. Jika itu adalah strategi yang disetujui, tindakan harus diambil untuk
memperoleh peralatan cadangan sebelum kegiatan ini bahkan dapat diidentifikasi sebagai strategi
respons risiko aktual. Semua risiko yang tercantum dalam analisis tersebut harus diukur terhadap
faktor dampak yang sama, berdasarkan strategi penerimaan, hindari, bagikan, atau kurangi risiko.

COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi berdasarkan entitas atau
seluruh portofolio. Ini bisa menjadi proses yang sulit di perusahaan multi-unit yang besar dan multi-
unit, tetapi ini memberikan titik awal dalam mengatur berbagai risiko ini untuk mengidentifikasi risiko
yang lebih signifikan yang mungkin berdampak pada perusahaan. Idenya di sini adalah untuk melihat
potensi risiko, kemungkinan terjadinya, dan dampaknya. Analisis yang baik di sini harus menyoroti
bidang-bidang untuk perhatian yang lebih rinci.

(f) Control Activities

Aktivitas kontrol ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan
pada respons risiko yang teridentifikasi. Meskipun beberapa kegiatan ini hanya berhubungan dengan
respons risiko yang diidentifikasi dan disetujui di bidang perusahaan, mereka sering tumpang tindih di
berbagai fungsi dan unit. Komponen kegiatan pengendalian COSO ERM harus dikaitkan erat dengan
strategi dan tindakan respons risiko yang telah dibahas sebelumnya.

Setelah memilih respons risiko yang tepat, suatu perusahaan harus memilih kegiatan kontrol yang
diperlukan untuk memastikan bahwa respons risiko dijalankan dengan tepat waktu dan efisien. Proses
penentuan apakah kegiatan kontrol berkinerja baik sangat mirip dengan menyelesaikan SOx Bagian
404 penilaian pengendalian internal (dibahas dalam Bab 4). COSO ERM membutuhkan pendekatan
untuk mengidentifikasi, mendokumentasikan, menguji, dan kemudian memvalidasi kontrol
perlindungan risiko ini. Setelah melalui proses identifikasi, penilaian, dan proses respons risiko COSO
ERM, pemantauan risiko memerlukan empat langkah ini:

1. Mengembangkan pemahaman yang kuat tentang risiko signifikan dan menetapkan prosedur
kontrol untuk memantau atau memperbaiki risiko tersebut.
2. Buat prosedur pengujian tipe bor api untuk menentukan apakah prosedur kontrol yang terkait
risiko itu bekerja secara efektif.
 3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja secara
efektif dan seperti yang diharapkan.
4. Buat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan proses pemantauan
risiko.

Proses empat langkah ini mirip dengan persyaratan SOx Bagian 404 untuk meninjau, menguji, dan
kemudian menyatakan bahwa proses kontrol internal bekerja dengan baik. Perbedaan utama, tentu
saja, adalah bahwa di bawah SOx, suatu perusahaan secara hukum diharuskan untuk menyatakan
kecukupan kontrol internal. Saat ini tidak ada persyaratan hukum seperti itu dengan COSO ERM, tetapi
perusahaan harus menginstal kegiatan pengendalian pemantauan risiko untuk memantau berbagai
risiko yang telah diidentifikasi. Karena sifat kritis dari banyak risiko bagi suatu perusahaan,
pemantauan risiko dapat menjadi sangat penting bagi kesehatan perusahaan secara keseluruhan.

Banyak kegiatan pengendalian di bawah kendali internal COSO cukup mudah untuk diidentifikasi dan
diuji karena sifat akuntingnya. Kegiatan pengendalian ini umumnya meliputi bidang kendali internal
ini:

 Pemisahan tugas. Pada dasarnya, orang yang melakukan transaksi tidak boleh orang yang
sama yang mengotorisasi transaksi itu.
 Jalur audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
 Keamanan dan integritas. Proses kontrol harus memiliki prosedur kontrol yang tepat sehingga
hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
 Dokumentasi. Proses harus didokumentasikan dengan tepat.

Prosedur pengendalian ini, dan lainnya, diakui dengan cukup baik dan berlaku untuk semua proses
pengendalian internal dalam suatu perusahaan dan juga dapat berlaku untuk banyak kejadian terkait
risiko. Banyak profesional, apakah mereka memiliki latar belakang akuntansi dan audit atau tidak,
sering dapat mendefinisikan beberapa kontrol utama yang diperlukan dalam sebagian besar proses
bisnis. Sebagai contoh, jika diminta untuk mengidentifikasi jenis kontrol internal yang harus dibangun
ke dalam sistem hutang, banyak profesional akan mengatakan bahwa cek yang dikeluarkan dari sistem
harus disahkan oleh orang-orang independen, bahwa catatan akuntansi harus ada di tempat untuk
melacak cek diterbitkan, dan bahwa proses pemeriksaan harus sedemikian rupa sehingga hanya orang
yang berwenang yang dapat memulai transaksi keuangan tersebut. Ini umumnya merupakan prosedur
kontrol internal yang dipahami dengan baik. Suatu perusahaan seringkali menghadapi tugas yang lebih
sulit dalam mengidentifikasi kegiatan pengendalian untuk mendukung kerangka ERM-nya. Meskipun
tidak ada set standar yang diterima atau kegiatan pengendalian ERM saat ini, dokumentasi ERM COSO
menyarankan beberapa bidang:

 Ulasan tingkat atas. Manajer senior harus sangat menyadari peristiwa risiko yang diidentifikasi
dalam unit organisasi mereka dan melakukan tinjauan tingkat atas secara teratur tentang
status risiko yang diidentifikasi.
 Manajemen fungsional atau aktivitas langsung. Selain ulasan tingkat atas, manajer unit
fungsional dan langsung harus memiliki peran kunci dalam pemantauan kegiatan
pengendalian risiko. Ini sangat penting di mana kegiatan pengendalian berlangsung dalam unit
operasi terpisah dengan kebutuhan untuk komunikasi dan resolusi risiko di seluruh saluran
perusahaan.
 Memproses informasi. Apakah itu proses berbasis peralatan TI atau bentuk yang lebih lunak
seperti kertas atau pesan, pemrosesan informasi mewakili komponen kunci dalam kegiatan
 pengendalian yang terkait risiko perusahaan. Prosedur pengendalian yang tepat harus
ditetapkan dengan penekanan pada proses dan risiko TI perusahaan.
 Kontrol fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti peralatan,
inventaris, sekuritas, dan pabrik fisik. Apakah inventaris fisik, inspeksi, atau prosedur
keamanan pabrik, perusahaan harus menginstal prosedur aktivitas kontrol fisik berbasis risiko
yang tepat.
 Indikator kinerja. Perusahaan tipikal saat ini menggunakan berbagai alat pelaporan keuangan
dan operasional yang juga dapat mendukung pelaporan kinerja terkait-risiko. Bila perlu, alat
kinerja harus dimodifikasi untuk mendukung komponen aktivitas kontrol ERM yang penting
ini.
 Pemisahan tugas. Aktivitas kontrol klasik, orang yang melakukan tindakan tertentu tidak boleh
orang yang sama yang menyetujuinya.

Aktivitas kontrol ini disorot dalam materi panduan COSO ERM. Mereka dapat diperluas untuk
mencakup bidang utama lainnya. Beberapa akan spesifik untuk unit individu dalam perusahaan, tetapi
masing-masing, secara tunggal dan kolektif, harus menjadi komponen penting untuk mendukung
kerangka kerja ERM perusahaan.

(g) Information and Communication

Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka COSO ERM di Tampilan
6.5, informasi dan komunikasi kurang merupakan rangkaian terpisah dari proses terkait risiko daripada
alat dan proses yang menghubungkan komponen ERM COSO lainnya. Konsep ini dijelaskan dalam
Tampilan 6.9 yang menunjukkan arus informasi melintasi komponen ERM COSO. Misalnya, komponen
respons risiko menerima input risiko residual dan inheren dari penilaian risiko serta dukungan
toleransi risiko dari komponen penetapan tujuan. Respon risiko ERM kemudian memberikan respons
risiko dan data portofolio risiko untuk mengontrol aktivitas serta umpan balik ke penilaian risiko.
Berdiri sendiri, komponen pemantauan tidak memiliki koneksi informasi langsung tetapi memiliki
tanggung jawab keseluruhan untuk meninjau semua fungsi ini. Walaupun relatif mudah untuk
menggambarkan bagaimana informasi harus dikomunikasikan dari satu komponen COSO ERM ke yang
lain dalam diagram alir sederhana, melakukannya adalah proses yang jauh lebih kompleks dalam
praktiknya. Proses dasar di banyak perusahaan terdiri dari jaringan kompleks sistem informasi
operasional dan keuangan yang seringkali tidak terhubung dengan baik. Keterkaitan ini menjadi lebih
kompleks untuk banyak proses ERM, mengingat bahwa banyak aplikasi dasar perusahaan tidak secara
langsung meminjamkan diri pada proses identifikasi risiko, penilaian, dan jenis-risiko. Melampaui
aplikasi informasi ERM yang komprehensif untuk suatu perusahaan, ada kebutuhan untuk
mengembangkan pemantauan risiko dan sistem komunikasi yang terhubung dengan pelanggan,
pemasok, dan pemangku kepentingan lainnya.

Sementara segmen informasi dari komponen informasi dan komunikasi ERM biasanya dianggap dalam
hal sistem informasi strategis dan operasional TI, aspek kedua dari komponen ini, komunikasi ERM,
berbicara tentang komunikasi di luar hanya aplikasi TI. Ini termasuk kebutuhan akan mekanisme untuk
memastikan bahwa semua pemangku kepentingan menerima pesan mengenai minat perusahaan
dalam mengelola risikonya. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan
mengenai peran dan tanggung jawab manajemen risiko mereka. COSO ERM akan bernilai kecil bagi
perusahaan kecuali jika kepentingannya dikomunikasikan kepada semua pemangku kepentingan
secara umum dan konsisten.
(h) Monitoring

Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen ERM yang dipasang bekerja secara efektif. Orang-orang di
perusahaan berubah, seperti halnya proses pendukung dan kondisi internal maupun eksternal, tetapi
komponen pemantauan membantu memastikan bahwa ERM bekerja secara efektif secara
berkelanjutan. Contoh pemantauan meliputi proses untuk menandai pengecualian atau pelanggaran
dalam komponen ERM lainnya. Misalnya, fungsi penagihan piutang harus mengidentifikasi
keseluruhan risiko finansial dan operasional jika tagihan pelanggan tidak dibayarkan tepat waktu. Alat
pemantauan koleksi kredit yang terus-menerus - hampir real time - dapat memberikan kepada
manajemen senior data harian dan tren tentang status koleksi. Alat pemantauan dasbor, yang dibahas
sebelumnya, adalah monitor ERM yang dapat bekerja secara berkelanjutan. Melampaui alat
pemantauan dasbor, manajemen perusahaan harus mengambil tanggung jawab keseluruhan untuk
pemantauan ERM. Untuk membangun kerangka kerja ERM yang efektif, pemantauan harus mencakup
tinjauan berkelanjutan dari keseluruhan proses ERM mulai dari tujuan yang diidentifikasi hingga
kemajuan kegiatan pengendalian ERM yang sedang berlangsung. Dokumen Kerangka Aplikasi COSO
ERM menunjukkan bahwa pemantauan dapat mencakup jenis kegiatan ini:

 Implementasi mekanisme pelaporan manajemen yang sedang berlangsung seperti untuk

posisi tunai, penjualan unit, dan data keuangan utama. Perusahaan seharusnya tidak harus
menunggu sampai akhir bulan fiskal untuk jenis-jenis laporan status ini, dan laporan kilat
tanggapan cepat harus dimulai.
  Proses pelaporan waspada terkait risiko berkala harus memantau aspek-aspek kunci dari
kriteria risiko yang ditetapkan, termasuk tingkat kesalahan yang dapat diterima atau hal-hal
yang ditahan. Pelaporan tersebut harus menekankan tren statistik dan perbandingan baik
dengan periode sebelumnya maupun dengan sektor industri lainnya.
 Pelaporan status terkini dan berkala atas temuan terkait risiko dan rekomendasi dari laporan
audit internal dan eksternal, termasuk status kesenjangan yang diidentifikasi SOX terkait ERM.
 Informasi terkini terkait risiko dari sumber seperti peraturan yang direvisi pemerintah, tren
industri, dan berita ekonomi umum. Sekali lagi, jenis pelaporan ekonomi dan operasional ini
harus tersedia untuk manajer di semua tingkatan.

Pemantauan evaluasi terpisah atau individual mengacu pada tinjauan terperinci atas proses risiko
individual oleh pengulas yang memenuhi syarat, seperti audit internal. Di sini peninjauan dapat
dibatasi pada area tertentu atau mencakup seluruh proses ERM untuk unit perusahaan. Audit internal
seringkali merupakan sumber internal terbaik untuk melakukan tinjauan ERM spesifik tersebut. Peran
audit internal dalam proses ERM dan perannya dalam pemantauan, khususnya, dibahas di bagian
selanjutnya.

4. Other Dimensions of COSO ERM: Enterprise Risk Objectives

Meskipun banyak dari pengantar COSO ERM kami di sini berada di sisi depan kerangka tiga dimensi,
dua dimensi lain — level operasional dan organisasi — harus selalu dipertimbangkan. Setiap
komponen COSO ERM beroperasi dalam ruang tiga dimensi ini; masing-masing harus dipertimbangkan
dalam hal kategori terkait lainnya. Komponen-komponen strategis, operasional, pelaporan, dan
tujuan risiko kepatuhan yang paling penting penting untuk memahami dan menerapkan ERM COSO.
Selain itu, komponen tersebut menunjukkan masing-masing tujuan risiko yang menghadap atas ini
memiliki ukuran relatif yang sama, tujuan risiko tingkat operasi sering dipandang sebagai kategori
risiko paparan yang jauh lebih luas dan lebih tinggi daripada yang lain.

(a) Operations Risk Management Objectives

Banyak jenis risiko operasi dapat berdampak pada perusahaan. Mengikuti kerangka ERM tiga dimensi,
tujuan risiko tingkat operasi memerlukan identifikasi risiko untuk setiap unit perusahaan. Identifikasi
sasaran risiko tingkat operasi ini sering kali memerlukan pengumpulan dan analisis informasi
terperinci, terutama untuk perusahaan besar yang mencakup berbagai area geografis, lini produk,
atau proses bisnis. Manajer langsung unit individu biasanya memiliki pemahaman terbaik tentang
risiko operasionalnya, dan informasi itu dapat hilang ketika dikonsolidasikan untuk pelaporan tingkat
yang lebih tinggi. Tinjauan audit internal atau survei orang yang terkena dampak langsung risiko ini
dapat membantu mengumpulkan informasi latar belakang yang lebih terperinci tentang risiko operasi
potensial. Sebuah survei terhadap anggota langsung dari perusahaan, bersama dengan pertanyaan
lanjutan, akan memungkinkan pengembangan serangkaian risiko operasi katalog yang luas dan
konsisten. Pertanyaan-pertanyaan yang diajukan di sini akan serupa dengan jenis pertanyaan
terperinci yang digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini
bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang risiko potensial. Jenis
survei ini, diedarkan di semua tingkat perusahaan, dengan pesan yang mendorong pemangku
kepentingan untuk merespons secara jujur, sering kali mengumpulkan informasi penting mengenai
risiko potensial pada tingkat operasional yang terperinci. Seorang manajer dari pabrik yang beroperasi
jarak jauh mungkin tidak memiliki kekhawatiran yang dikomunikasikan secara memadai tentang
beberapa risiko operasional tingkat pabrik. Seringkali survei yang luas dan rahasia lebih baik
memungkinkan orang untuk mengomunikasikan risiko operasi tingkat lokal melalui perusahaan.
Dengan pandangan portofolio risiko ERM, suatu perusahaan harus menghindari hal-hal yang terlalu
banyak menjadi tingkat ringkasan, kehilangan atau membulatkan risiko tingkat rendah yang penting.
Apa pun posisi mereka di perusahaan atau lokasi geografis mereka, manajer di semua tingkatan harus
menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko di dalam unit
operasional mereka sendiri. Terlalu sering, manajer unit mungkin percaya bahwa manajemen risiko
hanya menjadi perhatian bagi staf kantor pusat tingkat senior. Pentingnya COSO ERM dan manajemen
risiko operasi harus dikomunikasikan ke semua tingkatan perusahaan. Auditor internal harus
bertindak sebagai mata dan telinga di sini dan melaporkan semua risiko operasi yang diamati.

(b) Reporting Risk Management Objectives

Tujuan risiko ini mencakup keandalan laporan perusahaan tentang data keuangan dan nonfinansial
internal dan eksternal. Pelaporan yang akurat sangat penting untuk keberhasilan suatu perusahaan
dalam banyak dimensi. Laporan berita sering merinci penemuan pelaporan keuangan perusahaan
yang tidak akurat dan akibat yang ditimbulkan pasar saham untuk entitas yang melanggar. Pelaporan
yang tidak akurat yang sama dapat menyebabkan masalah di banyak bidang.

Sebuah contoh risiko yang terkait dengan pelaporan yang tidak akurat menjadi masalah beberapa
tahun lalu di perusahaan minyak besar Royal Dutch Shell. Perusahaan eksplorasi minyak dan gas
diwajibkan untuk melaporkan cadangan mereka — jumlah minyak dan gas pada properti mereka yang
belum diekstraksi. Pada bulan Januari 2004, Royal Dutch mengumumkan bahwa karena perkiraan
buruk dan penyimpanan catatan yang ceroboh, itu telah secara signifikan melaporkan cadangan
minyak bumi yang diperkirakan.6 Kesalahan ini tidak mempengaruhi hasil keuangan perusahaan yang
dilaporkan dan pedoman pelaporan cadangan SEC di sini tidak terlalu kuat; namun demikian, pasar
menghancurkan saham setelah pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lainnya
terpaksa mengundurkan diri. Perusahaan, di bawah ketua baru, kemudian mengumumkan rakit
perubahan dan perbaikan kontrol internal untuk memperbaiki kerusakan.

Tidak peduli apa industri itu, perusahaan menghadapi risiko besar dari pelaporan yang tidak akurat di
setiap unit atau area. Unit-unit operasi harus memastikan bahwa hasil yang dilaporkan adalah benar
sebelum mereka diteruskan ke tingkat berikutnya dalam organisasi, dan angka yang terkonsolidasi
harus akurat, apakah itu dalam laporan keuangan, pengembalian pajak, atau segudang area lainnya.
Kontrol internal yang baik diperlukan untuk memastikan pelaporan yang akurat. ERM prihatin dengan
risiko otorisasi dan rilis laporan yang tidak akurat. Kontrol internal yang kuat harus meminimalkan
risiko kesalahan, dan perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang tidak akurat. Kesalahan pelaporan cadangan Dutch Royal Shell adalah contoh dari jenis
kekhawatiran pelaporan risiko ini. Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu
sampai ada kesalahan besar yang perlu diungkapkan. Risiko pelaporan yang tidak akurat tersebut
harus menjadi perhatian di semua tingkatan perusahaan.

(c) Legal and Regulatory Compliance Risk Objectives

Setiap jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan yang diterapkan
pemerintah atau standar industri. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko
hukum terkadang sama sekali tidak terduga. Di Amerika Serikat, misalnya, sistem hukum penggugat
yang agresif dapat menimbulkan risiko besar bagi perusahaan yang berniat baik. Litigasi asbes selama
1990-an dan seterusnya adalah contohnya. Asbes, mineral berserat, memiliki tiga karakteristik luar
biasa: Asbestos berfungsi sebagai isolator untuk panas dan listrik; itu menolak bahan kimia berbahaya
lainnya; dan, ketika terhirup, sekarang diketahui menyebabkan penyakit yang membutuhkan waktu
puluhan tahun untuk berkembang. Bahan isolasi alami, asbes digunakan secara luas dalam bahan
bangunan dan dianggap jinak. Terlalu banyak kontak langsung dengan serat asbes dari waktu ke
waktu, bagaimanapun, dapat menyebabkan masalah paru-paru yang parah dan bahkan kematian.
Penambang bawah tanah yang mengekstraksi asbes telah menemui nasib itu. Namun, di masa lalu,
asbes digunakan di banyak produk, seperti pembungkus untuk mengisolasi pipa pemanas atau sebagai
penghalang tembok pelindung api. Risiko bagi orang yang bekerja atau tinggal dalam struktur dengan
pipa yang disegel asbes cukup minim, tetapi litigator yang agresif telah mengambil tindakan terhadap
perusahaan, mengklaim bahwa siapa pun yang bisa memiliki kontak dengan produk yang
menggunakan asbes bisa berisiko kapan pun dalam masa depan. Hasilnya adalah litigasi yang
ditujukan terhadap perusahaan yang telah memproduksi produk yang mengandung beberapa asbes,
menyerukan kerusakan berdasarkan risiko manusia yang potensial di tahun-tahun mendatang. Karena
penghargaan kerusakan yang sangat besar, hampir semua perusahaan besar yang pernah
menggunakan asbes telah bangkrut, gulung tikar, atau harus membayar kerugian kerusakan besar
yang dikenakan pengadilan. Jenis risiko hukum ini sangat sulit diantisipasi tetapi dapat menjadi
bencana bagi suatu perusahaan. COSO ERM merekomendasikan agar risiko terkait kepatuhan
dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan
internal, penetapan tujuan, atau pemantauan risiko, serta di seluruh perusahaan. Materi panduan
ERM tidak menawarkan banyak informasi tambahan tentang tujuan kepatuhan ini selain untuk
menyatakan bahwa tujuan ini mengacu pada kesesuaian dengan hukum dan peraturan yang berlaku.
Ini adalah elemen penting dari kerangka kerja manajemen risiko yang perlu dikomunikasikan dan
dipahami.

Seperti yang telah dibahas, semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum
dan peraturan, dengan beberapa berdampak hampir semua perusahaan dan yang lain terkait dengan
hanya unit bisnis tunggal di sektor industri khusus. Sifat risiko kepatuhan tersebut perlu
dikomunikasikan dan dipahami melalui semua tingkatan perusahaan. Suatu perusahaan dapat
menerima tingkat risiko tertentu dalam hal keprihatinannya terkait kepatuhan hukum. Sementara
hukum utama tidak boleh sengaja diabaikan karena perasaan pelanggaran tidak akan pernah
ditangkap, perusahaan harus selalu mengambil pendekatan yang beralasan terhadap risiko dalam
hubungannya dengan filosofi dan selera risiko keseluruhan. Misalnya, banyak aturan peraturan
menetapkan bahwa semua pengeluaran harus didukung oleh tanda terima. Meskipun biasanya tidak
ada pedoman kewajaran yang spesifik, satu perusahaan dapat memutuskan bahwa "semua
pengeluaran" turun ke biaya perjalanan karyawan kurang dari $ 1, sementara yang lain akan
membutuhkan penerimaan apa pun di atas $ 25. Perusahaan yang terakhir telah membuat keputusan
bahwa biaya mendokumentasikan pengeluaran kecil ini lebih besar daripada denda yang mungkin
diterimanya jika terjebak dalam masalah kepatuhan terhadap peraturan. Jenis keputusan terkait risiko
ini mirip dengan aturan kontrol internal keuangan AS 5 baru untuk SOx. Untuk mengelola dan
menetapkan tujuan risiko hukum dan peraturan, dewan direksi, CEO, dan anggota manajemen perlu
untuk memahami sifat dan tingkat semua risiko peraturan yang dihadapi perusahaan. Departemen
hukum, manajer utama, audit internal, dan lainnya dapat membantu dalam mengumpulkan informasi
ini. Ada banyak risiko di tingkat badan hukum mulai dari besar hingga kecil, tetapi risiko pengaturan
tidak pernah "kecil" ketika suatu perusahaan dinyatakan melanggar hukum satu atau lainnya.
5. Entity-Level Risks

Dimensi ketiga kerangka kerja COSO ERM menuntut risiko untuk dipertimbangkan pada tingkat
organisasi atau entitas. Kerangka kerja COSO ERM dalam Tampilan 6.5 menunjukkan empat divisi
dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan risiko anak perusahaan. Ini
bukan divisi tipe perusahaan yang ditentukan, dan ERM menyarankan bahwa risiko harus mengikuti
bagan organisasi resmi. Risiko COSO ERM harus diidentifikasi dan dikelola dalam setiap unit organisasi
yang signifikan, termasuk risiko berdasarkan entitas luas melalui unit bisnis individu.

Suatu perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis di bawahnya
akan memiliki kerangka kerja ERM yang mencerminkan semua unit ini. Sementara risiko-risiko ini
mungkin penting bagi keseluruhan organisasi, risiko-risiko tersebut harus dipertimbangkan
berdasarkan unit per unit hingga level serendah yang diperlukan untuk memungkinkan perusahaan
memahami dan mengelola risikonya. COSO ERM tidak menentukan seberapa tipis risiko tingkat unit
ini harus diiris, dan kritisitas dan materialitas unit bisnis individu harus dipertimbangkan. Untuk rantai
restoran cepat saji utama dengan ribuan unit, misalnya, tidak masuk akal untuk memasukkan masing-
masing unit sebagai komponen terpisah dalam model risiko. Sebaliknya, manajemen harus
mendefinisikan risiko tingkat organisasi secara cukup rinci untuk mencakup semua risiko signifikan
yang dapat dikelola.

(a) Risks Encompassing the Entire Organization

Beberapa risiko pada tingkat unit bisnis harus digulung ke risiko tingkat entitas. Sangat mudah bagi
perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak material"; untuk
menggunakan terminologi akuntansi publik pra-SOx, suatu perusahaan harus menganggap semua
risiko berpotensi signifikan. Misalnya, pertimbangkan anak perusahaan yang relatif kecil di negara
berkembang yang memproduksi pakaian kasual. Seringkali unit seperti itu sangat kecil dalam hal total
kontribusi pendapatan perusahaan atau ukuran relatifnya sehingga dapat tergelincir di bawah radar
pada level perusahaan senior. Namun, jika ada masalah pekerja anak di negara tuan rumah,
perusahaan mungkin mendapati dirinya menjadi pusat perhatian terkait operasi anak perusahaan
yang kecil ini. Dalam situasi seperti itu, wartawan dapat meminta CEO untuk berkomentar di depan
umum tentang kebijakan dan prosedur di operasi anak perusahaan itu, meskipun CEO mungkin
mengetahui keberadaannya hanya secara samar-samar.

Maksud kami di sini adalah bahwa risiko besar maupun kecil tampaknya dapat memengaruhi seluruh
perusahaan. Pengiriman makanan tercemar yang diproduksi di satu unit kecil rantai makanan cepat
saji yang besar dapat memengaruhi prospek dan reputasi perusahaan secara keseluruhan. Secara
relatif mudah untuk mengidentifikasi risiko tingkat-lebar entitas-tinggi, seperti kepatuhan terhadap
SOx Section 404, dan untuk mengidentifikasi dan memantau ini sebagai bagian dari proses ERM COSO,
harus diperhatikan bahwa risiko potensial yang lebih kecil tidak lolos dari celah. Karena risiko
diidentifikasi melalui penetapan tujuan organisasi secara luas, risiko tersebut harus dipertimbangkan
berdasarkan entitas secara luas maupun oleh masing-masing unit operasi. Risiko masing-masing unit
tersebut harus ditinjau dan dikonsolidasikan terlebih dahulu untuk mengidentifikasi risiko utama yang
dapat berdampak pada keseluruhan organisasi. Selain itu, risiko di seluruh organisasi juga harus
diidentifikasi.
 (b) Business Unit–Level Risks

Risiko terjadi di semua tingkatan perusahaan, apakah divisi produksi utama dengan banyak pabrik dan
ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan negara asing. Risiko harus
dipertimbangkan dalam setiap unit organisasi yang signifikan. Bahkan risiko yang diidentifikasi dalam
posisi kepemilikan minoritas dalam a

perusahaan penjualan negara asing, misalnya, mungkin merupakan risiko unik untuk unit itu tetapi
kemudian harus menggulung ke entitas keseluruhan. Kami telah mengutip contoh risiko tingkat
entitas yang mungkin timbul dari kegagalan dalam pembuatan atau standar hak asasi manusia dari
anak perusahaan kecil di negara berkembang. Peristiwa risiko di sini dapat menyebabkan rasa malu
bagi perusahaan secara keseluruhan, tetapi mereka seharusnya dikendalikan sampai ke unit
perusahaan kecil itu. Bhopal, India, bencana ledakan tanaman menjatuhkan perusahaan induk,
sebagaimana disebutkan.

Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko seringkali dapat dimulai
sebagai proses push-down di mana manajemen tingkat perusahaan secara resmi menjabarkan
masalah terkait risiko utama dan meminta manajemen yang bertanggung jawab di masing-masing
divisi utama untuk mensurvei tujuan risiko melalui unit operasi dalam divisi itu. Dengan cara ini, risiko
yang signifikan dapat diidentifikasi di semua tingkatan dan kemudian dikelola di tingkat di mana
mereka dapat menerima dukungan lokal yang paling langsung. Konsep utama seputar COSO ERM
adalah bahwa suatu perusahaan menghadapi berbagai risiko di semua tingkatan. Beberapa mungkin
signifikan sementara yang lain hanya mengganggu dan dianggap kecil. Kerangka kerja COSO ERM
menyediakan mekanisme untuk mempertimbangkan risiko-risiko ini; itu adalah alat penting untuk
membantu memastikan kepatuhan SOx.

6. Putting It All Together

Kerangka kerja COSO ERM yang dijelaskan di sini membahas pendekatan manajemen risiko yang
berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokusnya pada mengenali
selera perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalam konteks
pengaturan strategi keseluruhan, ERM COSO memiliki beberapa perbedaan mendasar dari sebagian
besar model risiko yang telah digunakan hingga saat ini. COSO ERM belum digunakan cukup lama
untuk menunjukkan serangkaian perusahaan sukses yang telah secara terbuka menerimanya. Namun,
dengan penekanan AS 5 pada risiko, kita akan mendengar lebih banyak tentang itu ke depan. Auditor
internal, khususnya, harus menetapkan tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka
kerja penting ini.

COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan memahami SOx
Bagian 404 kontrol internal. Ini sangat penting dengan standar audit AS 5 yang lebih baru yang
memberikan lebih banyak pertimbangan terhadap risiko ketika memahami dan mengevaluasi kontrol
internal. Manajemen perusahaan di semua tingkatan harus merangkul COSO ERM, alat penting untuk
memahami banyak risiko ganda yang dihadapi perusahaan saat ini. Auditor internal harus menjadikan
ERM COSO sebagai persyaratan CBOK audit internal, dan harus melakukan audit internal kepatuhan
dengan proses ERM.
7. Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi masalah-masalah manajemen risiko dan risiko di banyak bidang
audit semesta di mana ada tinjauan, dan auditor internal yang efektif harus memahami proses
manajemen risiko. Terlalu sering, auditor internal akan melakukan peninjauan kontrol internal di
beberapa area dan akan diberitahu bahwa area tersebut dipilih atau tidak dipilih karena
“pertimbangan risiko.” Auditor harus memiliki tingkat pengetahuan CBOK tentang proses manajemen
risiko dasar. untuk dapat mengajukan pertanyaan yang tepat dan meninjau kecukupan proses
tersebut.

Suatu perusahaan dapat meningkatkan proses keseluruhannya serta proses kontrol internal SOx
melalui implementasi COSO ERM yang efektif dan efisien. Dengan berfokus pada kerangka ERM COSO
serta praktik manajemen risiko umum yang baik, audit internal dapat membantu perusahaan dengan
merencanakan dan melakukan tinjauan proses manajemen risiko perusahaan. Tentu saja, untuk
meninjau praktik COSO ERM dan prosedur implementasi, auditor internal, baik sebagai peninjau audit
internal untuk kontrol atau konsultan untuk manajemen, perlu mengembangkan pemahaman yang
kuat tentang kontrol dan proses ERM COSO. Selain itu, setiap tinjauan audit internal atas proses ERM
perusahaan harus dikembangkan melalui pendekatan perencanaan audit internal berbasis risiko.
Audit internal harus meninjau proses ERM di seluruh perusahaan menggunakan beberapa alat ini:

• Bagan alur proses Sebagai bagian dari proses ERM yang diidentifikasi, bagan alur proses dapat
berguna dalam menggambarkan bagaimana manajemen risiko beroperasi di suatu
perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan untuk proses terkait
risiko, menentukan apakah mereka kondisi saat ini, dan menggambarkan kecukupan
keseluruhan dari semua tingkat proses risiko perusahaan. Pemodelan proses audit internal
dan diagram alur proses.
• Ulasan risiko dan bahan kontrol. Proses ERM sering menghasilkan volume besar bahan
panduan, prosedur terdokumentasi, format laporan, dan sejenisnya. Seringkali ada yang
berharga bagi audit internal untuk meninjau risiko dan materi kontrol.
• Pembandingan. Meskipun istilah yang sering disalahgunakan, pembandingan adalah proses
melihat fungsi di lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan
pendekatan yang ditingkatkan berdasarkan praktik terbaik dari orang lain. Semboyan dan
tradisi "Audite Through Sharing" Institut Auditor Internal (IIA) serta pendekatan tolok ukur
yang dibahas dalam mempromosikan pengumpulan informasi komparatif. Ini sering bisa
menjadi teknik yang berguna di sini.
• Kuisioner. Kuisioner adalah metode yang baik untuk mengumpulkan informasi tentang
efektivitas ERM dari berbagai orang. Mereka dapat dikirim ke pemangku kepentingan yang
ditunjuk dengan permintaan untuk informasi spesifik. Ini sering merupakan teknik audit
internal yang berharga. Audit internal harus menetapkan beberapa tujuan tinjauan tingkat
tinggi untuk efektivitas ERM COSO di perusahaan mereka, mengumpulkan data implementasi
terperinci, dan kemudian menilai efektivitas ERM COSO dan sebagai alat untuk mendukung
dan meningkatkan kepatuhan SOx.

8. Risk Management and COSO ERM in Perspective

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah untuk
mengabaikan karakteristik unik COSO ERM. Butuh bertahun-tahun untuk kontrol internal COSO diakui
sebagai lebih dari studi teknis yang menarik. Ini pertama kali dikodifikasikan sebagai standar audit oleh
American Institute of Certified Public Accountants 'Auditing Standards Board (ASB) dan menerima
beberapa sebutan dalam publikasi IIA, tetapi butuh SOx untuk memberikan pengakuan serius kepada
kontrol internal COSO. Undang-undang SOx awal berbicara tentang standar akuntansi internal "yang
akan didirikan." Kemudian Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) mengamanatkan
bahwa kontrol internal COSO harus menjadi standar tinjauan kontrol internal. Tiba setelah SOx, COSO
ERM belum memiliki tingkat pengakuan yang sama. IIA adalah pendukung awal yang penting, dan
elemen-elemen ERM dapat dilihat dalam versi baru dari tujuan Pengendalian untuk informasi dan
kerangka kerja Teknologi (CobiT) terkait, tetapi masih belum pada tingkat kepentingan yang sama dan
signifikansi hari ini untuk perusahaan sebagai kontrol internal COSO. Pengakuan ini mungkin
membutuhkan waktu. Seperti yang disebutkan, ada beberapa kebingungan karena dua kerangka kerja
terlihat sama dan memiliki COSO dalam nama mereka. Namun, penekanan terkait risiko dari standar
audit AS 5 baru serta peningkatan pengakuan masalah risiko dalam literatur profesional telah
meningkatkan minat profesional dan perhatian terhadap manajemen risiko perusahaan, terutama
ketika berusaha untuk mencapai kepatuhan pengendalian internal SOx. Kerangka kerja ERM tiga
dimensi membantu menempatkan risiko dan masalah kontrol internal dalam perspektif yang lebih
baik ketika mengevaluasi kepatuhan SOx.

Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang harus menjadi
bagian dari setiap CBOK auditor internal. Auditor internal harus menggunakan prinsip-prinsip
manajemen risiko ketika memutuskan area mana yang akan dipilih untuk tinjauan dan kemudian
menggunakan prinsip-prinsip risiko ketika menilai bukti audit. Mungkin bahkan lebih penting, ERM
COSO akan tumbuh dalam kepentingan dan pengakuan sebagai perusahaan lebih memahami dan
mengadopsi kerangka ERM. Audit internal harus memiliki pemahaman CBOK tentang COSO ERM baik
untuk mengaudit kepatuhan terhadap proses ini maupun untuk berkonsultasi dengan manajemen
untuk memastikan implementasi yang lebih efektif.

Jurnal Pendukung :

Jurnal 1 : Enterprise risk management and firm performance: The Italian case ( Cristina Florio, Giulia
Leoni ) The British Accounting Review.

Artikel ini menyelidiki apakah ada hubungan antara tingkat implementasi sistem manajemen risiko
perusahaan (ERM) dan kinerja perusahaan yang terdaftar di Italia. Sementara banyak kontribusi dalam
literatur fokus pada faktor penentu adopsi ERM dan menggunakan fitur satu dimensi untuk proksi
untuk implementasi ERM, kami mendeteksi konsekuensi dari implementasi ERM dan menangkap
berbagai fitur untuk mengukur kecanggihan sistem ERM. Hasil penelitian menunjukkan bahwa
perusahaan dengan tingkat implementasi ERM yang maju menyajikan kinerja yang lebih tinggi, baik
sebagai kinerja keuangan dan evaluasi pasar. Tes tambahan juga menguatkan harapan bahwa sistem
ERM yang efektif mengarah pada kinerja yang lebih tinggi dengan mengurangi paparan risiko dan
bahwa membalikkan kausalitas antara ERM dan kinerja tidak hadir dalam jangka pendek. Studi ini
memberikan kontribusi dua kali lipat untuk literatur ERM. Pertama, memperkenalkan langkah-langkah
baru dan lebih lengkap untuk implementasi ERM, mengenai tidak hanya badan tata kelola perusahaan
yang didedikasikan untuk manajemen risiko, tetapi juga karakteristik dari proses penilaian risiko.
Selain itu, ini memberikan bukti hubungan positif antara implementasi ERM dan kinerja perusahaan
dalam konteks yang kurang diselidiki seperti Italia.
Fokus Kerangka Kerja

Manajemen Risiko Perusahaan — Integrasi dengan Strategi dan Kinerja menjelaskan pentingnya
manajemen risiko perusahaan dalam perencanaan strategis dan menanamkannya di seluruh
organisasi — karena risiko memengaruhi dan menyelaraskan strategi dan kinerja di semua
departemen dan fungsi.

Kerangka itu sendiri adalah seperangkat prinsip yang diorganisasikan ke dalam lima komponen yang
saling terkait:

1. Tata Kelola dan Budaya: Tata kelola mengatur nada organisasi, memperkuat pentingnya, dan
menetapkan tanggung jawab pengawasan untuk, manajemen risiko perusahaan. Budaya berkaitan
dengan nilai-nilai etika, perilaku yang diinginkan, dan pemahaman risiko dalam entitas.

2. Strategi dan Penetapan Tujuan: Manajemen risiko perusahaan, strategi, dan penetapan tujuan
bekerja bersama dalam proses perencanaan strategis. Selera risiko ditetapkan dan diselaraskan
dengan strategi; tujuan bisnis mempraktikkan strategi sambil berfungsi sebagai dasar untuk
mengidentifikasi, menilai, dan merespons risiko.

3. Kinerja: Risiko yang dapat memengaruhi pencapaian strategi dan tujuan bisnis perlu diidentifikasi
dan dinilai. Risiko diprioritaskan oleh tingkat keparahan dalam konteks risk appetite. Organisasi
kemudian memilih respons risiko dan mengambil pandangan portofolio dari jumlah risiko yang telah
diasumsikan. Hasil dari proses ini dilaporkan kepada pemangku kepentingan risiko utama.

4. Tinjauan dan Revisi: Dengan meninjau kinerja entitas, organisasi dapat mempertimbangkan
seberapa baik komponen manajemen risiko perusahaan berfungsi dari waktu ke waktu

dan mengingat perubahan besar, dan revisi apa yang diperlukan.

5. Informasi, Komunikasi, dan Pelaporan: Manajemen risiko perusahaan memerlukan proses

berkelanjutan untuk memperoleh dan berbagi informasi yang diperlukan, baik dari sumber internal
dan eksternal, yang mengalir naik, turun, dan lintas organisasi.

Komponen dan Prinsip

1. Latihan Pengawasan Risiko Dewan — Dewan Direksi memberikan pengawasan terhadap strategi
dan melaksanakan tanggung jawab tata kelola untuk mendukung manajemen dalam mencapai
strategi dan tujuan bisnis.

2. Membangun Struktur Operasi — Organisasi menetapkan struktur operasi untuk mencapai strategi
dan tujuan bisnis.

3. Menentukan Budaya yang Diinginkan — Rumah sakit mendefinisikan perilaku yang diinginkan yang
menjadi ciri budaya yang diinginkan entitas.

4. Menunjukkan Komitmen terhadap Nilai-Nilai Inti — Organisasi menunjukkan komitmen terhadap

nilai-nilai inti entitas.

5. Menarik, Mengembangkan, dan Mempertahankan Individu yang Mampu — Organisasi

berkomitmen untuk membangun sumber daya manusia sejalan dengan strategi dan tujuan bisnis.

6. Menganalisis Konteks Bisnis — Organisasi mempertimbangkan potensi dampak konteks bisnis pada
profil risiko.
7. Definisikan Appetite Risiko — Organisasi mendefinisikan risk appetite dalam konteks menciptakan,
melestarikan, dan mewujudkan nilai.

8. Mengevaluasi Strategi Alternatif — Rumah sakit mengevaluasi strategi alternatif dan dampak
potensial pada profil risiko.

9. Merumuskan Tujuan Bisnis — Organisasi mempertimbangkan risiko sambil menetapkan tujuan

bisnis di berbagai tingkatan yang menyelaraskan dan mendukung strategi.

10. Identifikasi Risiko — Rumah sakit mengidentifikasi risiko yang berdampak pada kinerja strategi dan
tujuan bisnis.

11. Menilai Tingkat Keparahan Risiko — Rumah sakit menilai tingkat keparahan risiko.

12. Memprioritaskan Risiko — Rumah sakit memprioritaskan risiko sebagai dasar untuk memilih
respons terhadap risiko.

13. Menerapkan Respons Risiko — Rumah sakit mengidentifikasi dan memilih respons risiko.

14. Mengembangkan Pandangan Portofolio — Rumah sakit mengembangkan dan mengevaluasi

pandangan risiko portofolio.

15. Menilai Perubahan Besar — Rumah sakit mengidentifikasi dan menilai perubahan yang secara
substansial dapat mempengaruhi strategi dan tujuan bisnis.

16. Tinjauan Risiko dan Kinerja — Rumah sakit meninjau kinerja entitas dan mempertimbangkan risiko.

17. Mengejar Peningkatan Manajemen Risiko Perusahaan — Rumah sakit berupaya meningkatkan
manajemen risiko perusahaan.

18. Leverage Sistem Informasi — Organisasi memanfaatkan sistem informasi dan teknologi entitas
untuk mendukung manajemen risiko perusahaan.

19. Mengkomunikasikan Informasi Risiko — Organisasi menggunakan saluran komunikasi untuk

mendukung manajemen risiko perusahaan.

20. Laporan tentang Risiko, Budaya, dan Kinerja — Rumah sakit melaporkan risiko, budaya, dan kinerja
di berbagai tingkatan dan di seluruh entitas.

Menatap Masa Depan

Tidak ada keraguan bahwa organisasi akan terus menghadapi masa depan yang penuh dengan
volatilitas, kompleksitas, dan ambiguitas. Manajemen risiko perusahaan akan menjadi bagian penting
dari bagaimana suatu organisasi mengelola dan mencari keuntungan melalui masa-masa ini. Terlepas
dari jenis dan ukuran suatu entitas, strategi perlu tetap setia pada misi mereka. Dan semua entitas
perlu menunjukkan sifat-sifat yang mendorong respons yang efektif terhadap perubahan, termasuk
pengambilan keputusan yang gesit, kemampuan untuk merespons secara kohesif, dan kapasitas
adaptif untuk berputar dan memposisikan ulang sambil mempertahankan tingkat kepercayaan yang
tinggi di antara para pemangku kepentingan.

Ketika kita melihat ke masa depan, ada beberapa tren yang akan berdampak pada manajemen risiko
perusahaan. Hanya empat di antaranya:
• Menangani proliferasi data: Semakin banyak data tersedia dan kecepatan di mana data baru dapat
dianalisis meningkat, manajemen risiko perusahaan perlu beradaptasi. Data akan datang dari dalam
dan luar entitas, dan akan disusun dengan cara baru. Alat analisis dan visualisasi data canggih akan
berkembang dan sangat membantu dalam memahami risiko dan dampaknya — baik positif maupun
negatif.

• Memanfaatkan kecerdasan buatan dan otomatisasi: Banyak orang merasa bahwa kita telah
memasuki era proses otomatis dan kecerdasan buatan. Terlepas dari kepercayaan individu, penting
bagi praktik manajemen risiko perusahaan untuk mempertimbangkan dampak dari ini dan teknologi
masa depan, dan meningkatkan kemampuan mereka. Hubungan, tren, dan pola yang sebelumnya
tidak dapat dikenali dapat diungkap, memberikan sumber informasi yang kaya yang penting untuk
mengelola risiko.

• Mengelola biaya manajemen risiko: Kekhawatiran yang sering diungkapkan oleh banyak eksekutif
bisnis adalah biaya manajemen risiko, proses kepatuhan, dan kegiatan pengendalian dibandingkan
dengan nilai yang diperoleh. Ketika praktik manajemen risiko perusahaan berkembang, akan menjadi
penting bahwa kegiatan yang mencakup risiko, kepatuhan, kontrol, dan bahkan tata kelola
dikoordinasikan secara efisien untuk memberikan manfaat maksimal bagi organisasi. Ini mungkin
merupakan salah satu peluang terbaik bagi manajemen risiko perusahaan untuk mendefinisikan
kembali pentingnya organisasi.

• Membangun organisasi yang lebih kuat: Ketika organisasi menjadi lebih baik dalam
mengintegrasikan manajemen risiko perusahaan dengan strategi dan kinerja, peluang untuk
memperkuat ketahanan akan muncul dengan sendirinya. Dengan mengetahui risiko yang akan
memiliki dampak terbesar pada entitas, organisasi dapat menggunakan manajemen risiko perusahaan
untuk membantu menempatkan kemampuan yang memungkinkan mereka untuk bertindak lebih
awal. Ini akan membuka peluang baru.

Singkatnya, manajemen risiko perusahaan perlu berubah dan beradaptasi dengan masa depan untuk
secara konsisten memberikan manfaat yang diuraikan dalam Kerangka ini. Dengan fokus yang tepat,
manfaat yang diperoleh dari manajemen risiko perusahaan akan jauh lebih besar daripada investasi
dan memberikan organisasi kepercayaan pada kemampuan mereka untuk menangani masa depan.