MAKALAH

AUDIT INTERNAL II
“AUDIT INTERNAL and RISK MANAGEMENT”

OLEH

NELLY YULINDA (1710246650)

Dosen:

PROGRAM PASCASARJANA MAGISTER AKUNTANSI

FAKULTAS EKONOMI
UNIVERSITAS RIAU
PEKANBARU
2019
 KATA PENGANTAR

Puji syukur saya panjatkan kehadirat Tuhan Yang Maha Esa atas limpahan rahmat dan
hidayahnya, sehingga kami dapat menyelesaikan makalah ini sesuai dengan yang diharapkan.
Dalam kesempatan ini tidak lupa kami mengucapkan terima kasih kepada
............................ selaku dosen mata kuliah Audit Internal II serta semua pihak yang telah
memberikan saran-saran kepada kami dalam membuat makalah ini.
Dalam penyusunan makalah “Audit Internal II” dengan judul “AUDIT INTERNAL and
RISK MANAGEMENT”, kami menyadari bahwa makalah yang kami buat masih jauh dari
sempurna, walaupun kami berusaha dengan sekuat tenaga. Maka, dengan segala kerendahan
hati, kami mengharapkan saran serta kritik yang menuju kearah perbaikan serta
penyempurnaan makalah ini dari para pembaca sekalian.
Semoga makalah ini dapat bermanfaat bagi para pembaca sekalian.

Pekanbaru, Maret 2019

Penyusun

Nelly Yulinda

1
 DAFTAR ISI

Kata Pengantar
Daftar Isi
BAB I PENDAHULUAN
1.1 Latar Belakang ............................................................................................3
1.2 Rumusan Masalah .......................................................................................4
1.3 Tujuan Penulisan ..........................................................................................4
BAB II PEMBAHASAN
2.1 Pengertian Auditor Internal .......................................................................5
2.2 pengertian Resiko........................................................................................7
2.3 Tantangan Resiko........................................................................................8
2.4 Risk Management and Residual Risk .........................................................9
2.5 risk appetite dan Internal Audit...................................................................18
BAB III KESIMPULAN
3.1 Kesimpulan .................................................................................................23

DAFTAR PUSTAKA

2
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Dalam dunia yang semakin berkembang ini, sudah pastinya kita sudah sering kali
mendengar kata resiko dalam kehidupan sehari-hari kita. Resiko merupakan bagian dari
kehidupan kerja individual maupun organisasi. Berbagai macam resiko, seperti resiko
kebakaran, tertabrak kendaraan lain di jalan, resiko terkena banjir di musim hujan dan
sebagainya, dapat menyebabkan kita menanggung kerugian jika resiko - resiko tersebut tidak
kita antisipasi dari awal. Resiko dikaitkan dengan kemungkinan kejadian atau keadaan yang
dapat mengancam pencapaian tujuan dan sasaran organisasi. Sebagaimana kita pahami dan
sepakati bersama bahwa tujuan perusahaan adalah membangun dan memperluas keuntungan
kompetitif organisasi.
Resiko berhubungan dengan ketidakpastian ini terjadi karena kurang atau tidak
tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain)
dapat berakibat menguntungkan atau merugikan. Menurut Wideman, ketidakpastian yang
menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (opportunity),
sedangkan ketidakpastian yang menimbulkan akibat yang merugikan disebut dengan istilah
risiko (risk). Dalam beberapa tahun terakhir, manajemen resiko menjadi trend utama baik
dalam perbincangan, praktik, maupun pelatihan kerja. Hal ini secara konkret menunjukkan
pentingnya manajemen resiko dalam bisnis pada masa kini.
Oleh sebab itu resiko sangat perlu diolah karena resiko mengandung biaya yang tidak
sedikit. Bayangkan suatu kejadian di mana suatu perusahaan sepatu yang mengalami
kebakaran. Kerugian langsung dari peristiwa tersebut adalah kerugian finansial akibat asset
yang terbakar (misalnya gedung, material, sepatu setengah jadi, maupun sepatu yang siap untuk
dijual). Namun juga dilihat kerugian tidak langsungnya, seperti tidak bisa beroperasinya
perusahaan selama beberapa bulan sehingga menghentikan arus kas. Akibat lainnya adalah
macetnya pembayaran hutang kepada supplier dan kreditor karena terhentinya arus kas yang
akhirnya akan menurunkan kredibilitas dan hubungan baik perusahaan dengan partner bisnis
tersebut.Resiko dapat dikurangi dan bahkan dihilangkan melalui manajemen resiko. Peran dari
manajemen resiko diharapkan dapat mengantisipasi terjadinya resiko yang sangat berlebihan
yang dapat membuat perusahaan gulung tikar, oleh sebab itu kita perlu melakukan ha-hal yang
lebih terarah, salah satunya dengan mengukur dimensi resiko yang akan terjadi pada diri sendiri
pada khususnya dan pada perusahaan pada umunya.

3
1.2 Rumusan Masalah
1. apa itu Audit internal ?
2. Bagaimana tugas dan tanggung jawab audit internal ?
3. Apa itu Risk ?
4. Apa tantangan resiko?
5. Apa itu Risk Management and residual Risk ?
6. Apa itu Mitigation through Control ?
7. Apa itu risk register dan Risk appeties ?
8.
1.3 Tujuan Penulisan
1. Untuk mengetahui pengertian Audit Internal
2. Untuk mengetahui tugas dan tanggung jawab audit internal
3. Untuk mengetahui pengertian Risk
4. Untuk mengetahui tantangan resiko
5. Untuk mengetahui Risk Management and residual Risk
6. Untuk mengetahui Mitigation through Control
7. Untuk mengetahui risk register dan Risk appeties

4
 BAB II
PEMBAHASAN

2.1 PENGERTIAN AUDITOR INTERNAL

Berikut adalah pengertian mengenai audit internal
Menurut IIA, Internal Audit adalah kegiatan independen penjaminan dan konsultasi
yang bersifat independen dan objektif dan dirancang untuk memberikan nilai tambah
bagi organisasi dengan meningkatkan kegiatan operasi organisasi untuk mencapai
tujuannya, melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi
dan meningkatkan efektivitas manajemen resiko, pengendalian dan pengelolaan.

2.1.1 TUGAS DAN TANGGUNG JAWAB AUDITOR INTERNAL

Berdasarkan ISO31000; 2009 Risk Management-Principles and Guidelines, praktik
terbaik manajemen resiko melibatkan seluruh bagian dari organisasi. Keterlibatan organisasi
secara keseluruhan pada kegiatan manajemen resiko menuntut adanya pembagian peran dan
tanggung jawab yang jelas, dengan turut mempertimbangkan kompetensi dan peran lain dari
tiap unit tersebut. Hal ini diperlukan agar tidak terjadi tumpang tindih, missing link, atau
inefisiensi pada kegiatan manajemen resiko. Dua fungsi esensial yang memiliki keterkaitan
erat pada kegiatan manajemen resiko adalah fungsi manajemen resiko dan internal audit. Kedua
fungsi ini memiliki peran dalam menjamin efektivitas penerapan manajemen resiko organisasi.
Perbedaan fundamental dari kedua fungsi tersebut terletak pada delegasi tangggung jawab.
Fungsi manajemen resiko bertugas untuk mengarahkan praktik enterprise risk management
pada organisasi, terutama menghadapi resiko-resiko utama yang dapat mengganggu
pencapaian sasaran organisasi. Di sisi lain, fungsi internal audit bertugas untuk memonitor,
memantau, dan menilai efektivitas pengendalian internal dan manajemen resiko.

Tugas inti auditor internal berkaitan dengan manajemen resiko adalah untuk memberikan
kepastian bahwa kegiatan manajemen resiko telah berjalan dengan efektif dalam memberikan
jaminan yang wajar terhadap pencapaian sasaran organisasi. Dua cara penting untuk
menjalankan tugasnya adalah dengan:

5
 1. Memastikan bahwa resiko utama dari bisnis telah ditangani dengan baik; dan
2. Memastikan bahwa kegiatan manajemen resiko dan pengendalian internal telah
berjalan dengan efektif.

David McNamee dan Georges Salim (1998) mendefenisikan tiga langkah dalam perkembangan
audit internal yaitu :

1. Menghitung dan mengamati

2. Sistem Pengendalian Internal
3. Proses audit bisnis berfokus pada resiko.
Perubahan paradigma dari dua langkah menjadi tiga langkah merubah internal audit yang
sebelumnya focus pada kejadian sebelum dan sekarang menjadi sekarang dan masa depan.
Pengendalian transaksi yang dilakukan oleh auditor internal mengamati dan memeriksa
kejadian yang telah lalu dari nilai yang diperoleh oleh perusahaan. Dengan berfokus pada
resiko sekarang dan masa depan, auditor internal bekerja untuk pencapaian tujuan organisasi.
Menurut Brilliant mengelompokkan resiko secara garis besar berhubungan dengan kegiatan
sebagai berikut:
- Memahami produk perusahaan
- Mengenal lokasi pasar dan adat
- Memeriksa proses resiko bisnis
- Perilaku manusia
- Kualitas manajemen
- Perubahan lingkungan

Peran dan tanggungjawab auditor internal sehubungan resiko menjadi topik hangat dalam
diskuisi profesi tahun-tahun terakhir. Sebelum auditor internal mengelola resiko atau
memutuskan alokasi sumber daya yang terlibat dalam manajemen resiko, hubungan lebih cepat
antar manajemen resiko beberapa pengamat menyarankan bahwa titik awal perencanaan audit
internal haruslah resiko organisasional, atau ancaman bagi pencapaian tujuan usaha. Tindakan
yang telah dilakukan Dewan Standar IIA telah menjadi pedoman bagi profesi menuju
keterlibatan yang lebih besar dalam lingkungan resiko usaha (Practice Advisory 10.A1-1 dan
standar 2210.A1, “penentuan resiko dalam rencana penugasan”).

Standar baru-baru ini mengharapkan kecermatan professional- hal yang diharapkan dari
seorang auditor internal yang kompeten dan berhati-hati. Standar ini tidak berarti bahwa auditor
internal menjadi seorang yang maha tahu atau menjadi pelindung atas semua kesalahan yang

6
mungkin terjadi. Standar mensyaratkan kecermatan kecermatan yang wajar dan ketaatan bukan
kinerja yang bebas salah atau luar biasa.

Kecermatan professional mencakup atas ketidakwajaran dan ketidakpatuhan yang

material. Kapan pun auditor internal melakukan audit, mereka harus menyadari resiko jebakan
potensial-bagaikan batu yang dibawahnya terdapat kalajengking berbisa yang siap menerkam.
Yang dibutukan adalah kompetensi professional, bukan kehati-hatian dan kecakapan tak
terbatas. Orang awam mungkin tidak masalah bila pemesanan dan penerimaan persediaan
dilakukan oleh orang yang sama, tetapi auditor internal harus segera menyadari resiko bawaan
yang mungkin terjadi dari aktivitas tersebut.

Auditor internal akan mampu dengan jelas mengidentifikasi resiko dalam beberapa
aktivitas. Kesalahan yang disengaja bukan satu-satunya atau yang paling berbahaya bagi
organisasi. Catatan atau transaksi diselewengkan lebih karena kesalahan pegawai, bukan
karena ketidakjujuran atau niat jahat. Mereka mungkin tidak mengikuti aturan, tidak
memahami perintah, atau tidak berhati-hati; dan mungkin tidak diawasi dengan layak.

2.2 PENGERTIAN RESIKO

Menurut Peter L.Beinstein resiko berasal dari bahasa Italia yang berarti “berani”. Dalam
hal ini resiko adalah pilihan bukan nasib. Tindakan berani untuk mengambil pilihan. Menurut
Peter L. Bernstein 'Resiko' berasal dari kata risicare pada jaman Italia awal, yang berarti
'berani'. Dalam pengertian ini, resiko adalah pilihan bukan nasib. Tindakan berani untuk
mengambil pilihan, tergantung pada seberapa bebas kita harus membuat pilihan. konsep pilihan
ketika datang ke resiko - tidak hanya menjadi resiko sebagai bagian dari kehidupan, namun
yang bertanggung jawab atas nasib seseorang maupun orang banyak. Intinya adalah bahwa
keberhasilan dalam bisnis dan sektor publik erat kaitannya dengan tindakan mengambil resiko.
Resiko timbul dari ketidakpastian dan kontrol yang didasarkan pada pengurangan
ketidakpastian dimana sangat mungkin dan diperlukan dalam sebuah kehidupan. HM Treasury
mendefinisikan resiko sebagai 'ketidakpastian hasil dalam rentang eksposur yang timbul dari
kombinasi dampak dan probabilitas dari peristiwa potensial '. Sementara Daftar Istilah IIA
mendefinisikan resiko sebagai 'ketidakpastian suatu peristiwa yang terjadi bisa memiliki
dampak pada pencapaian tujuan. Resiko diukur dalam hal konsekuensi dan kemungkinan.

7
 Risk

Impact

Gambar 1. Manajemen Resiko

2.3 TANTANGAN RESIKO

Bagi COSO, pengukuran penetapan resiko adalah kegiatan penting bagi manajemen
dan auditor internal perusahaan, sehingga auditor internal harus paham proses dan sarana untuk
identifikasi, penilaian, pengukuran dan penetapan tingkat resiko.Sebagai dasar menyusun
prosedur audit internal, COSO menyatakan bahwa setiap entitas menghadapi resiko internal
dari luar bahwa resiko-resiko tersebut harus diidentifikasi dan dinilai diukur terfokus pada
pengamanan sasaran strategis perusahaan. Perubahan social-politik-ekonomi-industri-hukum
dan perubahan kondisi operasional perusahaan teraudit mengandung resiko. Manajemen
perusahaan harus membentuk mekanisme untuk mengenali dan menghadapi perubahan
tersebut. Basis utama manajemen resiko adalah assessment resiko. Untuk keberlangsungan
usaha, assessment resiko merupakan tanggungjawab manajemen yang bersifat integral dan
terus menerus, karena manajemen tidak dapat menformulasikan sasaran dengan asumsi sasaran
akan tercapai tanpa resiko atau hambatan.

Contoh resiko, bahaya, ancaman, atau hambatan mencapai sasaran perusahaan adalah :

1. pesaing meluncurkan produk baru

2. perubahan teknologi menyebabkan jasa atau produk tidak laku
3. manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
4. formula rahasia dicuri dan dijual oleh karyawan kepada pesaing.
5. KKN menggerus laba dan membuat perusahaan keropos.

8
 Tugas auditor internal antara lain adalah mengaudit resiko, melakukan evaluasi resiko,
mengusulkan pendirian manajemen resiko sambil menjelaskan manfaat manajemen resiko atau
menyatakan dukungan atas program manajemen resiko. Auditor internal menerima instruksi
dan bagian peran audit internal dalam manajemen resiko dari dewan audit atau komite audit,
agar secara independen auditor mengevaluasi manajemen resiko dan program memerangi
resiko. Auditor internal pada umumnya bersikap apstain untuk manajemen resiko departemen
auditor internal sendiri, kecuali diminta dewan audit untuk melakukan self assessment.

Risk

Threats Objectives Opportunities

Impact

Konsep lain yang perlu dipertimbangkan adalah resiko yang dalam konteks pencapaian
tujuan, memiliki untung dan rugi dan merupakan ancaman dan peluang. Hal ini dapat
berhubungan dengan kekuatan yang berdampak negatif pada tujuan, sehingga menimbulkan
ancaman. Resiko terbalik, di sisi lain merupakan peluang yang dicapai tetapi mungkin
terlewatkan atau diabaikan, sehingga berarti kita tidak melebihi harapan. Inilah sebabnya
mengapa manajemen resiko tidak benar-benar tentang membangun sebuah organisasi yang
bagus

2.4 RISK MANAGEMENT AND RESIDUAL RISK

Manajemen resiko adalah proses dinamis untuk mengambil semua langkah yang wajar
untuk mengetahui dan menangani resiko yang berdampak pada tujuan. Ini adalah respon
terhadap resiko dan keputusan yang dibuat sehubungan pilihan yang tersedia dalam
hubungannya dengan sumber daya yang tersedia. Jadi sumber daya organisasi dan proses yang

9
selaras dapat menangani resiko di mana pun saat diidentifikasi. Proyek standar manajemen
untuk pedoman manfaat manajemen resiko sistematis yang meliputi:
• Realistis bisnis dan perencanaan proyek
• Tindakan dilaksanakan dalam waktu efektif
• Besar kepastian mencapai tujuan bisnis dan tujuan proyek
• Apresiasi, dan kesiapan untuk mengeksploitasi, semua peluang yang
menguntungkan
• Meningkatkan pengawasan kerugian
• Meningkatkan pengendalian biaya proyek dan bisnis
• Peningkatan fleksibilitas sebagai akibat dari pemahaman semua pilihan dan resiko
yang terkait
• Sedikit kejutan melalui kontingensi yang efektif dan perencanaan yang transparan

Laporan dari manajemen untuk dewan erat kaitannya dengan wilayah yang dicakup
oleh mereka, memberikan penilaian yang seimbang dari resiko secara signifikan dan efektivitas
sistem internal kontrol dalam mengelola resiko-resiko tersebut. Setiap kegagalan kontrol
signifikan atau kelemahan yang diidentifikasi harus dibahas dalam laporan, termasuk dampak,
pada perusahaan dan tindakan yang diambil untuk memperbaiki hal tersebut. Adanya
keterbukaan komunikasi antara manajemen dengan dewan mengenai hal-hal yang berkaitan
dengan resiko dan kontrol. Ketika meninjau laporan sepanjang tahun, dewan harus:
• mempertimbangkan apa saja risiko yang signifikan dan menilai bagaimana mereka
diidentifikasi, dievaluasi dan dikelola;
• menilai keefektifan sistem pengendalian intern yang terkait dalam pengelolaan yang
signifikan risiko, dengan memperhatikan, khususnya, terhadap kegagalan atau
kelemahan yang signifikan dalam pengendalian internal yang telah dilaporkan;
• mempertimbangkan apakah tindakan yang diperlukan segera dilakukan untuk
memperbaiki kegagalan signifikan apapun atau kelemahan; dan
• mempertimbangkan apakah temuan tersebut mengindikasikan perlunya pemantauan
sistem yang lebih ekstensif dari kontrol internal

Tahapan manajemen risiko umumnya dikenal sebagai:

1. Identifikasi -- Identifikasi Proses manajemen risiko dimulai dengan suatu metode untuk
mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus
melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan berpengaruh atas

10
 wilayah dipengaruhi oleh risiko yang bersangkutan. Semua risiko dibayangkan harus
diidentifikasi dan dicatat. Resiko bisnis adalah benar-benar tentang jenis masalah, dan
bukan hanya bencana yang lebih terkenal, tindakan Tuhan atau risiko terhadap
keselamatan pribadi. Penilaian Tahap berikutnya adalah untuk menilai pentingnya
risiko yang telah diidentifikasi.
2. assessment--Penilaian Tahap selanjutnya adalah menilai signifikansi risiko yang telah
diidentifikasi. Ini harus berkisar pada dampak dua dimensi, kemungkinan pertimbangan
yang kita miliki
3. Management-- Berbekal pengetahuan tentang risiko apa yang signifikan dan mana
yang kurang,Prosesnya memerlukan pengembangan strategi untuk mengelola risiko
dampak tinggi dan berisiko tinggi. Hal ini memastikan bahwa semua risiko utama
ditangani dan sumber daya disalurkan ke area yang paling banyak keprihatinan, yang
telah diidentifikasi melalui metodologi terstruktur.
4. Review -- keseluruhan proses dan keluaran manajemen risiko harus ditinjau dan ditinjau
kembali dasar yang terus-menerus. Ini harus melibatkan pembaharuan strategi
manajemen risiko dan mengkaji ulang validitas proses yang sedang diterapkan di
seluruh organisasi.

2.4.1 Mitigation through Controls

Manajemen risiko merupakan bagian penting dari siklus resiko, karena

memungkinkan organisasi untuk menetapkan dan meninjau kontrol internal mereka, dan
melaporkan kembali ke pemegang. Kerangka pengendalian internal terdiri dari semua
pengaturan, dan rutinitas kontrol tertentu dan proses yang mendorong sebuah organisasi untuk
mencapai tujuan. Mengelola risiko harus memprioritaskan perubahan kontrol, dengan
mempertimbangkan dampak pada kegiatan dan ketersediaan sumber daya. Perubahan kontrol
yang dipilih harus dialokasikan risiko pemilik respon dan jadwal pelaksanaannya harus
disiapkan.
Kemajuan terhadap pelaksanaan pengendalian perubahan harus dipantau.
Pengendalian yang diterapkan harus didokumentasikan. Setelah perubahan kontrol telah
dilaksanakan dan menjadi mungkin untuk mengumpulkan data tentang risiko residual yang
sebenarnya, tingkat risiko residual harus dinilai.

11
Monitoring performance of controls
Setelah perubahan kontrol telah dilaksanakan dan menjadi mungkin untuk
mengumpulkan data di Risiko residual aktual, tingkat risiko residual harus dinilai. proses
keputusan yang sama seharusnya digunakan untuk memutuskan apakah akan mempertahankan
risiko residual atau apakah melakukan perubahan kontrol lebih lanjut .Prosesnya harus diulang
sampai tingkat risiko residual berada dalam risiko disesuaikan dan mengejar perubahan kontrol
lebih lanjut tampaknya tidak bermanfaat. Organisasi harus monitor dan uji kontrolnya untuk
memastikan:

 Penerapannya tidak menimbulkan risiko tambahan yang tidak dapat diterima;

 beroperasi seperti yang dirancang, masing-masing bermanfaat, dan secara kolektif
mereka mengelola risikonya tingkat yang dapat diterima;
 Mereka tetap hemat biaya; dan
 Bahwa di mana kekurangan dalam pelaksanaan atau operasi pengendalian
diidentifikasi:
 Implikasi dari kekurangan kontrol yang tidak diperbaiki telah ditetapkan dan pilihan
untuk resolusi diidentifikasi;
 Mereka dilaporkan sehingga konsekuensi profil risiko dapat dinilai; dan
 Resolusi defisiensi kontrol direncanakan dan dilaksanakan

12
 Mengidentifikasi, menganalisa dan merencanakan suatu risiko merupakan bagian
penting dalam perencanaan suatu proyek. Namun, manajemen risiko tidaklah berhenti sampai
disana saja. Praktek, pengalaman dan terjadinya kerugian akan membutuhkan suatu perubahan
dalam rencana dan keputusan mengenai penanganan suatu risiko. Sangatlah penting untuk
selalu memonitor proses dari awal mulai dari identifikasi risiko dan pengukuran risiko untuk
mengetahui keefektifitas respon yang telah dipilih dan untuk mengidentifikasi adanya risiko
yang baru maupun berubah. Sehingga, ketika suatu risiko terjadi maka respon yang dipilih akan
sesuai dan diimplementasikan secara efektif. Tanggapan selanjutnya dijelaskan:

1. Terminate
Sebuah keputusan dibuat untuk tidak melakukan aktivitas yang cenderung memicu
risiko. Bila risiko lebih besar daripada kemungkinan manfaatnya, hentikan risiko dengan
melakukan sesuatu secara berbeda dan dengan demikian keluarkan risikonya metode paling
sederhana dan paling sering diabaikan dalam menangani risiko. Ini adalah pendekatan yang
paling disukai bila memungkinkan dan hanya melibatkan penghapusan risiko. Hal ini dapat
dilakukan dengan mengubah suatu proses atau praktik yang secara inheren berisiko untuk
menghilangkan risiko tersebut. Hal yang sama dapat digunakan saat meninjau praktik dan
proses di semua area bisnis. Jika item menyajikan risiko dan dapat diubah atau dihapus tanpa
itu secara material mempengaruhi bisnis, maka menghapus risiko harus menjadi pilihan
pertama yang dipertimbangkan; daripada mencoba mengobati, mentolerir atau mentransfernya.

2. control
Salah satu senjata utama untuk mengatasi risiko adalah kontrol yang lebih baik.
Perhatikan bahwa ini adalah pokok bahasan bab berikutnya. Sebagai contoh, terapkan staf
penjualan di luar negeri menilai lokasi tertentu sebagai risiko pribadi yang tinggi, kita akan
terus mempertimbangkan tindakan apa Saat ini berada di tempat dan memutuskan apakah
melakukan cukup. Kontrol bisa meliputi lokal survei, petugas keamanan, panduan formal untuk
bersosialisasi, katakan di malam hari, prosedur untuk bepergian dan penggunaan driver atau
pemandu, seminar kesadaran tentang cara mengurangi peluang menjadi target, pengaturan
komunikasi pribadi yang baik dan sebagainya. Tingkat tindakan Diadopsi mungkin tergantung
pada penilaian tingkat risiko dan perubahan keadaan peringatan.
Pengendalian risiko mengacu pada asumsi risiko namun mengambil langkah untuk
mengurangi, atau mengelola dampak atau kemungkinannya. Pengendalian risiko dapat berupa

13
pemasangan sistem pengumpulan data atau peringatan dini yang memberikan informasi untuk
menilai secara lebih akurat dampak, kemungkinan, atau waktu suatu risiko. Jika peringatan
suatu risiko dapat diperoleh cukup dini untuk mengambil tindakan terhadapnya, maka
pengumpulan informasi mungkin lebih baik daripada tindakan yang lebih nyata dan mungkin
lebih mahal.

3. transfer
Dimana risikonya dinilai sebagai dampak yang tinggi namun kemungkinannya rendah,
mungkin saja kita menginginkannya mengadopsi strategi penyebaran risiko, sedapat mungkin.
Risiko kemungkinan tinggi akan sulit untuk ditransfer karena semua pihak yang terlibat ingin
sepenuhnya diberi kompensasi penuh terhadap dampaknya risiko. Hanya di situ ada beberapa
ketidakpastian bahwa transfer lebih tepat. Beralih lagi Untuk contoh yang sedang berjalan, kita
bisa menyebarkan dampak resikonya dengan memiliki polis asuransi itu mencakup staf di luar
negeri. Atau kita bisa menggunakan firma internasional atau agensi lokal untuk melakukan
peran penjualan di negara-negara berisiko tinggi. membagikan eksposur, baik sebagian atau
seluruhnya, dengan pasangan atau kontraktor, atau melalui asuransi. Setiap kemitraan perlu
dimonitor secara hati-hati karena tidak mungkin mengalihkan semua risiko dan aspek-aspek
tertentu mungkin tetap ada, seperti kehilangan reputasi.Transferensi adalah strategi manajemen
risiko yang tidak sering digunakan dan cenderung lebih umum dalam proyek dimana ada
beberapa pihak. Intinya, Anda mentransfer dampak dan pengelolaan risiko kepada orang lain.
Misalnya, jika Anda memiliki pihak ketiga yang dikontrak untuk menulis kode perangkat lunak
Anda, Anda dapat mentransfer risiko bahwa akan ada kesalahan dalam kode tersebut kepada
mereka. Mereka kemudian akan bertanggung jawab untuk mengelola risiko ini, mungkin
melalui pelatihan tambahan.

Biasanya pengaturan transferensi ditulis menjadi kontrak proyek. Asuransi adalah

contoh bagus lainnya. Jika Anda mengangkut peralatan sebagai bagian dari proyek Anda dan
dalam kecelakaan, perusahaan asuransi akan bertanggung jawab untuk menyediakan peralatan
baru untuk mengganti barang yang rusak. Tim proyek mengakui bahwa kecelakaan itu
mungkin terjadi, namun mereka tidak bertanggung jawab untuk menangani peralatan
pengganti, memindahkannya ke lokasi yang benar atau membayarnya karena hal itu sekarang
menjadi tanggung jawab perusahaan asuransi.

14
 4. contingencies
Respon yang berguna terhadap risiko yang berdampak tinggi lagi, kemungkinan rendah
didasarkan sekitar membuat pengaturan kontingensi jika terjadi kejadian. Kontinjensi akan
fokus pada dampak yang mempengaruhi kelangsungan bisnis, sehingga bahkan setelahnya
Setelah memasang kontrol preventif, masih ada kemungkinan risiko tersebut terwujud. Itu Tim
penjualan luar negeri dapat ditutupi oleh prosedur evakuasi jika risiko sipil kerusuhan terwujud.
Ini mungkin melibatkan akses ke pesawat charter khusus yang bisa disediakan sangat cepat.
Rencana kontingensi juga mencakup kelangsungan bisnis untuk jalur penjualan itu mungkin
terganggu oleh keresahan. Banyak orang awam memandang manajemen risiko sebagaimana
adanya perencanaan kontingensi. Artinya, pandangan risiko mereka yang agak sempit tidak
melekat pada pencapaian tujuan bisnis strategis dan kebutuhan akan proses untuk menangani
semua risiko material.

5. Take More
Salah satu dimensi strategi manajemen risiko berasal dari sisi atas sudut pandang risiko
Dimana dampaknya, kemungkinan rating menunjukkan operasi yang berada di rendah / rendah
Kedua faktor, ini tidak berarti semua baik-baik saja. Manajemen risiko adalah tentang
mengetahui dimana menghabiskan waktu berharga dan tahu ke mana harus menghabiskan
sumber daya berharga. Daerah rendah / rendah sudah matang untuk investasi lebih lanjut (untuk
kepentingan komersial) atau matang untuk pengembangan inovatif lebih lanjut (untuk layanan
sektor publik). Dalam contoh penjualan di luar negeri, kami mungkin ingin mengirimkan tim
ke negara-negara yang memiliki reputasi ketidakstabilan, namun perlahan-lahan menetap dan
terbuka untuk bisnis. 'Inti dari manajemen risiko terletak pada memaksimalkan area dimana
kita memiliki beberapa kontrol Hasilnya sambil meminimalkan area dimana kita sama sekali
tidak memiliki kendali atas hasilnya dan keterkaitan antara efek dan sebab tersembunyi dari
kita

6. communicate
Mengkomunikasikan risiko adalah disiplin yang benar-benar terpisah dan pasar saham
yang sensitif dan layanan publik berprofil tinggi memiliki tugas yang sulit dalam mengelola
ekspektasi, menangani informasi sensitif harga dan menjaga politisi dan media senang.
Beberapa berpendapat bahwa skandal salah saji keuangan pada tahun 2002 didorong oleh pasar
yang menuntut pertumbuhan laba cepat dan linier dan membenci berita buruk. Sukses di
Mengkomunikasikan risiko terutama didasarkan pada hubungan kepercayaan antara pemberi

15
dan penerima dan tingkat konsistensi dalam pesan yang diberikan tentang risiko yang diketahui
sebelum mereka menerima tugas.
Komunikasi risiko merupakan bagian integral dari penilaian risiko proses, yang
biasanya mencakup proses komunikasi antar lembaga dan antara lembaga dan organisasi yang
bertanggung jawab atas penilaian dan pengelolaan lokasi. Komunikasi risiko juga mencakup
komunikasi dengan berbagai pihak yang berpotensi berisiko dari lokasi atau tertarik dengan
situs ini. Secara keseluruhan, proses komunikasi risiko dirancang untuk menjadi iteratif dan
untuk menginformasikan penilaian risiko dan manajemen risiko Tujuan komunikasi risiko
adalah agar semua pemangku kepentingan memiliki pemahaman yang sama tentang proses dan
asumsi yang digunakan dalam penilaian risiko. Seringkali, bagaimanapun, masalah komunikasi
risiko hanya dapat diminimalkan, tidak dihindari.

7. tolerate
Kemampuan tindakan yang efektif terhadap beberapa risiko mungkin terbatas atau
biaya untuk mengambil tindakan semacam itu mungkin tidak proporsional dengan potensi
keuntungan yang didapat dimana tidak ada tindakan yang diambil untuk mengurangi atau
mengurangi risiko. Ini mungkin karena biaya untuk melembagakan pengurangan risiko atau
kegiatan mitigasi tidak efektif biaya atau risiko dampaknya sangat rendah sehingga dianggap
dapat diterima oleh bisnis. Bahkan bila risiko ini ditolerir, mereka harus dipantau karena
perubahan di masa depan mungkin akan membuatnya tidak dapat ditolerir lagi.

8. Penelitian komisi
Sistem manajemen risiko yang lebih berkembang akan memberikan waktu berpikir, di
mana satu keputusan mungkin diambil dan mencari tahu lebih lanjut tentang risiko, dampaknya
dan apakah itu mungkin akan terjadi — yaitu untuk meminta penelitian lebih lanjut.

9. tell someone
Beberapa risiko tinggi / tinggi membuat penyumbatan, karena hanya bisa benar-benar
terjadi diselesaikan oleh pihak-pihak di luar mereka yang berpartisipasi dalam latihan
manajemen risiko. Banyak itu Latihan berhenti untuk berhenti karena tanggung jawab untuk
mengelola risiko yang dipertanyakan tidak berada dengan orang-orang yang merancang
strategi risikonya. Respon yang lebih baik adalah menetapkan yang tidak dijaga
mengambil risiko dan menyusun strategi untuk menyampaikan posisi ini kepada pihak yang
dapat mengatasinya dan juga lihat hasilnya sampai melalui garis Terkadang, jika pihak luar

16
tidak menyadari bahwa kelambanan mereka telah menghentikan kemajuan di bidang lain,
mereka tidak memiliki alasan untuk mengatasi masalah tersebut. Menggunakan kami Contoh
tim penjualan, kami mungkin berpendapat bahwa dorongan penjualan dipengaruhi oleh
komunikasi yang tidak dapat diandalkan antara kantor pusat dan penilaian risiko bisnis dapat
menjadikannya hambatan utama untuk berhasil mendapatkan perintah ditempatkan dan
berbalik. Strategi manajemen mungkin menyarankan adanya. Tidak ada yang bisa dilakukan
karena jaringan komunikasi dijalankan oleh negara yang bersangkutan.sebuah Respon yang
lebih baik adalah menyampaikan informasi ini ke dewan direksi dan perhatikan bahwa ada
bahaya hilang tujuan pertumbuhan strategis jika dibiarkan tanpa dijaga. Dewan mungkin bisa
melobi pemerintah yang bersangkutan atau mendukung tawaran ke badan pembangunan
internasional untuk proyek itu memperbaiki komunikasi global Sementara gerakan ini mungkin
tidak mengarah pada perbaikan secara langsung, Mungkin seiring waktu memfasilitasi
kemajuan.

10. check compliance

Senjata terakhir respon risiko sering diabaikan. Ini adalah untuk fokus pada area di
mana kontrol sangat penting untuk mengurangi risiko yang signifikan, dan untuk
memastikannya bahwa mereka benar-benar bekerja sebagaimana mestinya. Kontrol yang
melawan lebih dari satu risiko material sangat penting Kontrol ini dapat diperiksa dan diuji
oleh auditor internal atau tim spesialis kepatuhan atas perintah manajemen. Kami bisa
melakukan kunjungan terakhir untuk penjualan kami tim, misalnya, kontrol kunci atas tim
mungkin merupakan koordinator regional yang memastikan kelancaran transportasi antar
negara dan membuat setiap orang tetap berhubungan dengan perkembangan produk.
Mungkin penting bahwa koordinator mematuhi persyaratan kesepakatan mereka dan
kekurangan apapun akan terjadi menyebabkan eksposur yang signifikan. Respons manajemen
risiko mungkin didasarkan pada ketergantungan pada kunci Kendalikan itu, asalkan berhasil,
berarti risikonya dikurangi - strateginya kemudian fokus pada kontrol yang ada dan
memperkuatnya jika memungkinkan, dan memastikan hal itu dilakukan untuk melakukan apa
yang seharusnya dilakukan.

17
2.5 RISK APPETITE DAN INTERNAL AUDIT

Risk appetite termasuk dalam remit dan lingkup audit internal. Ini merupakan bagian
dari peran audit internal untuk mengevaluasi keefektifan dan berkontribusi pada peningkatan
proses manajemen risiko. Hal ini relevan :

 Dimana audit internal diperlukan untuk memberikan laporan tahunan dan opini untuk
mendukung keseluruhan pernyataan dewan mengenai system menajemen dan
pengendalian risiko organisasi.
 Jika audit internal melakukan tinjauan manajemen risiko yang lebih luas.
 Sehubungan dengan tugas audit individual dimana tujuan keseluruhannya adalah untuk
memastikan risiko yang signifikan diidentifikasi dan dinilai dengan respons risiko yang
sesuai dengan selera risiko organisasi.

Pendekatan yang diambil oleh audit internal akan bergantung pada kematangan
manajemen risiko organisasi termasuk apakah risk appetite didefinisikan secara penuh,
dikomunikasikan dan dipahami di semua tingkat organisasi.

Jika ini benar dalam organisasi maka fokus perhatian audit internal harus dilakukan saat
aplikasi dan update Risk appetite. Hal ini dapat dilakukan berdasarkan audit atau melalui
tinjauan manajemen risiko perusahaan secara menyeluruh.

Namun, beberapa organisasi baru memulai perjalanan manajemen risiko mereka dan
karena alasan ini, tinjauan spesifik terhadap selera risiko, baik keseluruhan jaminan maupun
konsultasi, mungkin merupakan hal yang tepat dan berguna untuk dilakukan. Dengan
mempertimbangkan kematangan risiko organisasi, itulah tempat yang baik untuk memulai.

a. Risk Appetite

Terdapat banyak definisi dari “Risk appetite’, tetapi semua mengarah ke berapa banyak
sebuah organisasi mau mengambil risiko. Risk appetite biasanya dibahas berkaitan dengan
keputusan investasi. Investor mempertimbangkan Risk appetite-nya ketika memilih berbagai
pilihan investasi yang memperlihatkan perimbangan antara imbal hasil dan risiko yang
berbeda. Risk appetite sering didefinisikan sebagai dua suku kata yang bertujuan untuk
mendeskripsikan di mana Dewan Direksi di Perusahaan menganggap dirinya berada pada suatu
spectrum : Kesedian untuk mengambil atau menerima risiko ketidakpastian atau keengganan

18
untuk mengambil risiko. Lebih dalam, Risk appetite sering didefinisikan sebagai jumlah risiko
yang mau diambil perusahaan untuk mencapai visi atau misinya.

Secara awam menurut definisinya, Risk appetite yang jika diterjemahkan secara
langsung berarti selera terhadap risiko. Risk appetite lebih bersifat strategis. Contoh, yang
dimaksudkan sebagai Risk appetite perusahaan menetapkan faktor risiko pada bidang-bidang
tertentu. Pernyataan mengenai Risk appetite bisa dinyatakan secara kuantitaif dan atau secara
kualitatif. J David Dean dan Andrew E Griffin dalam bukunya What’s your Risk appetite
menyebutkan Risk appetite adalah jumlah dari total risiko yang dihadap sebuah organisasi yang
bisa diterima atau dipertahankan berdasarkan imblan hasilnya. Risk appetite juga
mencerminkan strategi, strategi risiko dan harapan pemangku kepentingan. Ditetapkan dan
disetujui oleh Dewan Direksi melalui diskusi dengan manajemen.

Dalam upaya mencapai tujuan, suatu organisasi pasti menghadapi risiko setiap harinya.
Dalam tanggung jawab sebagai pimpinan puncak organisasi. Board (di Indonesia sering
dikenal dengan Dewan Direksi) harus berurusan dengan pertanyaan yang mendasar : risiko apa
yang dapat diterima dalam mencapai tujuan organisasi tersebut ? kemudian, seberapa banyak
dan seberapa besar risiko tersebut diterima ?

Risiko yang dapat diterima, dalam dunia manajemen risiko lebih popular dikenal
dengan istilah Risk appetite. Bukan sebuah istilah yang akrab di telinga masyarakat umum
memang hal itulah yang melandasi mencoba memberikan perkenalan kepada khalayak tentang
istilah ini. Apakah Risk appetite itu ? Menurut Oxford dictionaries, appetite memiliki arti A’
natural desire to satisfy a badily need, especially for food. Tidak jauh berbeda dari arti secara
harfiah tersebut, dalam keilmuan Risk Management, istilah appetite diartikan sebagai selera
board dalam memandang risiko organisasi. Menurut COSO ERM, Risk appetite adalah
sejumlah risiko, pada tingkatan manajemen board, di mana sebuah organisasi bersedia
menerima risiko tersebut.

Sampai saat ini, masih banyak organisasi melihat Risk appetite sebagai subjek diskusi
teoritis menarik tentang risiko dan manajemen risiko, tetapi tidak pernah secara efektif
mengintegrasikan konsep tersebut dalam perencanaan strategis pengambilan keputusan sehari-
hari, terlebih dalam penerapan manajemen risiko. Padahal, jika Risk appetite dikomunikasikan
dengan baik, Risk appetite memberikan batas yang jelas tentang jumlah risiko suatu organisasi
yang dapat diterima, sehingga mampu memberikan arahan yang jelas kepada manajemen
selaku pelaksana. Sebuah organisasi dengan Risk appetite yang agresif atau tinggi maka

19
mungkin menetapkan tujuan yang agresif, sementara sebuah organisasi yang menghindari
risiko, biasanya Risk appetite akan ditetapkan rendah dan mungkin menetapkan tujuan yang
konservatif. Ketika dikomunikasikan dengan baik, Risk appetite dapat dijadikan sebagai
panduan manajemen dalam menetapkan tujuan dan membuat keputusan sehingga organisasi
lebih mungkin untuk mencapai tujuannya.

Sebuah organisasi harus mempertimbangkan Risk appetite bersamaan dengan

ditetapkannya tujuan organisasi dan taktik operasional untuk mencapai tujuan tersebut. Untuk
menentukan Risk appetite, manajemen dengan persetujuan dari board, harus mengambil tiga
langkah :

1. Mengembangkan Risk appetite

Mengembangkan Risk appetite bukan berarti menghindarkan risiko sebagai bagian dari
insilatif strategi oraganisasi. Justru sebaliknya, ketika organisasi menetapkan tujuan
yang berbeda maka mereka akan mengembangkan Risk appetite yang berbeda pula,
mengikuti tujuan yang ditetapkan. Sebagai catatan, manajemen dan board harus sangat
paham trade-off dari Risk appetite yang ditetapkan, baik Risk appetite tinggi maupun
rendah, sehingga tidak salah langkah.

2. Mengkomunikasikan Risk appetite

Mengkomuniskasikan Risk appetite. Ada banyak pendekatan dalam
mengkomunikasikan Risk appetite. Salah satunya adalah menetapkan seluruh Risk
appetite dalam bentuk pernyataan dari board yang dideskripsikan dengan jelas dan
dapat dipahami oleh unit-unit di dalam organisasi guna mengelola risiko masing-
masing unit yang sejalan dengan Risk appetite tersebut.
3. Memantau dan memperbarui Risk appetite.
Memantau dan memperbaiki Risk appetite. Ketika Risk appetite telah
dikomunikasikan, maka manajemen dibantu oleh board perlu melihat lagi dan
menguatkan lagi Risk appetite tersebut. Artinya, Risk appetite tidak boleh diperlakukan
semena-mena, tidak hanya sebuah dokumen formalitas semata, ditetapkan lalu
ditinggalkan sendirian begitu saja tanpa perhatian lebih lanjut. Kebalikannya, Risk
appetite harus direviu dan disinergikan dengan kinerja operasional organisasi, terutama
jika terjadi perubahan-perubahan yang besar di dalam organisasi. Kegiatan ini dapat
juga dibantu oleh auditor internal. Sebagai tambahan, ketika melakukan pemantauan
Risk appetite, harus difokuskan pada penciptaan kultur risk –aware dan konsisten

20
 dengan tujuan organisasi. Terdapat lima karakteristik membuat pernyataan Risk
appetite yang efektif, diantaranya :
 Menyatu dengan tujuan organisasi
 Adanya sarana untuk memonitor risiko
 Ditetapkan dengan kecermatan atau ketelitian yang cukup
 Dukungan SDM, proses dan infrastruktur untuk mencapai tujuan dengan risiko
yang diterima
 Menetapkan risiko toleransi yang diterima, dengan mengidentifikasi parameter
dari risiko yang diterima.

Berbicara tentang Risk appetite, tidak lepas dari istilah yang tak kalah terkenalnya. Risk
Tolerance berhubungan dengan Risk appetite namun terpisah oleh hal yang fundamental, risk
tolerance mempresentasikan penerapan Risk appetite dari suatu tujuan, Risk appetite
ditetapkan oleh board. Sedangkan risk tolerance lebih praktikal dan operasional. Risk tolerance
harus diekspresikan dengan cara :

 Dilakukan mapping dengan ukuran yang sama dengan ukuran kesuksesan yang
digunakan oleh organisasi.
 Diaplikasikan pada keempat kategori tujuan yaitu stratejik, operasional,
pelaporan, dan kepatuhan.
 Di implementasikan oleh personil operasional di dalam organisasi.

Risk tolerance adalah tingkatan yang diterima dari adanya variasi dalam pencapaian
tujuan organisasi yang spesifik dan biasanya diukur dengan ukuran yang sama dengan ukuran
yang digunakan untuk mengukur tujuan terkait. Risk tolerance dinyatakan secara kuantitatif
yang bisa dipantau dan sering dinyatakan dalam outcome atau level risiko yang bisa diterima
atau tidak bisa diterima.

Risk tolerance berkaitan dengan tujuan perusahaan. Dalam menetapkan risk tolerance,
manajemen mempertimbangkan pentingnya masing-masing tujuan yang terkait dan
menyelaraskan risk tolerance dengan Risk appetite. Beroperasi di dalam risk tolerance
membantu dalam memastikan bahwa perusahaan tetap berada di dalam Risk appetite dan dapat
mencapai tujuanya. Risk appetite dan risk tolerance Kedua sektor ini memeliki karakteristik
masing-masing, dikendalikan oleh semua peraturan dan keunikan pasar yang terkait, pengurus

21
perusahaan Indonesia dibutuhkan untuk dapat mengembangkan Risk appetite dan tolerance
yang sesuai, menyeimbangkan antara pengembalian dan profil dari perusahaan.

Risk appetite dan risk tolerance beserta pernyataan komitmen terhadap manajemen
resiko diformulasikan sebagai kebijakan resiko dari perusahaan. Kita telah menyebutkan
bahwa dalam praktek terbaik dalam suatu institusi, semua berjalan dari manajemen resiko yang
jelas dan disetujui pada pimpinan. Oleh karena itu, penting bagi para pengurus perusahaan
untuk menyetujui dengan jelas Risk appetite dari perusahaan dan bagaimana hal ini dapat
berhubungan dengan batasan system dan ukuran resiko. Tanpa landasan seperti ini, akan sangat
sukar bagi manager resiko di bagian bawah rantai manajemen untuk membuat keputusan kunci
dalam bagaimana melakukan pendekatan dan pengukuran resiko. Contohnya, tanpa
komunikasi jelas tentang konsep dari Risk appetite institusi, bagaimana manager resiko
menjabarkan “kasus resiko terburuk’ dalam analisa scenario resiko ekstrim.
Risk appetite adalah derajat resiko, dalam level yang luas, sebuah perusahaan atau
badan bersedia untuk menerima dalam mencapai tujuan. Sementara risk tolerance adalah
tingkat penerimaan dari variasi relative untuk mencapai tujuan. Dalam menentukan toleransi
resiko yang spesifik, manajemen mempertimbangkan risk tolerance dengan Risk appetite, dan
pada gilirannya, menyediakan tingkat kenyamanan yang lebih tinggi bahwa perusahaan
tersebut akan mencapai tujuan-tujuannya. Dewan Direktur mempertimbangkan Risk appetite
dari perusahaan dengan pertama-tama mengevaluasi alternatif-alternatif strategis, kemudian
dalam menetapkan tujuan disejajarkan dengan strategi yang dipilih dan dalam mengembangkan
mekanisme untuk mengatur resiko terkait.
Dengan demikian, jelas bahwa Risk appetite berhubungan langsung dengan strategi
perusahaan. Hal ini dipertimbangkan dalam penetapan strategi, dimana hasil yang diharapkan
dari strategi seharusnya sejajar dengan Risk appetite dari perusahaan. Strategi berbeda akan
mengakibatkan resiko yang berbeda.

2.6 KEBIJAKAN
Di beberapa organisasi, sebagian dari laporan dibuat untuk tim-tim utama sebagai
tanggapan terhadap kecenderungan-program-program CRSA, sering kali didukung oleh
penilaian dari auditor atau konsultan eksternal. Tim Pembicaraan, berbicara tentang masalah
dan bagaimana hal itu dikelola dalam pakaian mereka dan keluar dari daftar masalah yang
diajukan dan poin yang diberikan kepada manajer yang ditunjuk. Latihan tahunan ini
menawarkan cukup untuk memuaskan auditor dan seseorang dalam organisasi yang diminta
mendaftar register risiko ke dalam basis data dan akhirn ya pelaporan keuangan untuk
manajemen puncak dan dewan direksi. Model yang lebih baik menggunakan kunci untuk

22
memperbesar, lebih tinggi, mungkin kemudian berubah respon cepat dari dewan yang ingin
tahu tentang cara yang sekarang diambil untuk memperbaiki kunci. Dewan kemudian
melaporkan bahwa mereka telah menyetujui sistem kontrol internal, sebagian melalui proses
penggunaan Pengaturan yang cukup khas ini memiliki jumlah kekurangan:
• Banyak staf tidak tahu tentang mereka yang terlibat dalam lokakarya dan hanya
diundang sebagai ahli untuk auditor.
• Banyak manajer enggan menghabiskan waktu di bengkel karena mereka sibuk
mengerjakan 'pekerjaan nyata'.
• Banyak yang diatur di luar penyelarasan strategis, restrukturisasi dan perubahan
penting yang merupakan fitur dari sebagian besar organisasi besar.
• Banyak yang dapat dilihat sebagai perangkat yang bisa mendapatkan lebih banyak
pekerjaan dari staf yang lebih sedikit.
• Banyak dari program yang dibuat menghasilkan informasi yang tidak mungkin untuk
dikoordinasikan atau dibuat satu.
• Banyak poin yang keluar dari pelatihan digantikan oleh acara-acara berikutnya dan
perkembangan baru.
• Sebagian besar pengembangan dikembangkan di luar sistem manajemen perbaikan
dan ada sedikit insentif untuk mengambil tugas tambahan yang tidak perlu KPI.
• Banyak yang melihat kontrol diri hanya terkait dengan operasi keuangan.
• Banyak peserta yang telah melakukan pembicaraan mengenai bidang kesehatan dan
keselamatan, keamanan, manajemen proyek, keselamatan hukum, dan bidang bisnis
lainnya.
• Seringkali fasilitator meluncurkan Pelatihan ini sebagai latihan terpisah tanpa
membantah dengan Arah strategis organisasi.
• Banyak peserta yang memikirkan tentang partisipasi yang berlebihan dan telah
menghabiskan banyak waktu dalam acara, pertemuan, pertemuan, program
perubahan, pelatihan anggaran, pelatihan mengumpulkan, proyek e-bisnis dan
sebagainya.
• Banyak peserta telah meningkatkan budaya di mana-ide bagus dari staf tidak pernah
pergi ke mana pun dan tingkat motivasi yang cukup rendah.

Model dalam tiga faktor baru (berdasarkan kebijakan risiko), yaitu: dewan sponsor,
pembelian orang-orang, dan seorang kepala risiko (CRO). Di bawah ini:

Sponsor Dewan
Jika tidak ada anggota dewan yang mengendalikan proses manajemen risiko, hal itu
akan berisiko gagal. Dewan membuat laporan tentang sistem pengendalian internal dalam

23
laporan tahunan dan dewan yang melaporkan sistem ini telah ditinjau. Laporan King (dari
Afrika Selatan) memperjelas hal ini:
Dewan bertanggung jawab atas keseluruhan proses manajemen risiko, dan juga untuk
membentuk pendapatnya sendiri tentang efektivitas proses. Manajemen bertanggung
jawab kepada dewan untuk merancang, menerapkan, dan memantau proses manajemen
risiko dan mengintegrasikannya ke dalam kegiatan sehari-hari perusahaan. (paragraf 3.1.1)
Dewan harus menetapkan kebijakan strategi risiko sebagai penghubung dengan direktur
eksekutif dan manajemen senior.Kebijakan ini harus dikomunikasikan dengan jelas
kepada semua karyawan untuk memastikan bahwa strategi risiko dimasukkan ke dalam
bahasa dan budaya perusahaan. (para. 3.1.1)

People Buy In
Masalah lain dengan banyak sistem manajemen risiko adalah bahwa mereka tidak
berarti apa pun untuk orang-orang di bawah tingkat manajemen menengah. Mereka dipandang
sebagai inisiatif manajemen lain yang 'dilakukan' untuk karyawan bersama dengan banyak alat
dan teknik lain untuk meningkatkan kinerja dan menurunkan biaya. Paling buruk,
karyawan terjepit di antara kinerja dan biaya dalam upaya untuk bekerja lebih keras untuk
imbalan yang kurang atau sama. Dalam satu kebijakan manajemen risiko, organisasi telah
menyiapkan diagram terperinci yang mencakup peran, tanggung jawab, dan hubungan
dalam sistem manajemen risiko dengan komite, dewan, manajer risiko, fasilitator, auditor, dan
analisis pemangku kepentingan. Di bagian bawah diagram adalah kata 'individu' tanpa detail
lebih lanjut. Kesannya adalah bahwa proses manajemen risiko adalah sesuatu yang terjadi pada
akhirnya . Individu benar-benar fondasi manajemen risiko, karena apa yang dilakukan orang
dan bagaimana mereka berperilaku menentukan apakah suatu organisasi berhasil atau
gagal. Akan lebih tepat untuk memulai dengan individu dan bekerja melalui bagaimana
mereka masuk ke dalam proses manajemen risiko, atau lebih baik lagi, bagaimana manajemen
risiko dapat menjadi bagian dari cara mereka bekerja di masa depan. Poin ini tidak hilang pada
orang-orang yang menyiapkan panduan untuk manajemen risiko dan beberapa ekstrak
menunjukkan pentingnya 'people buy-in' untuk manajemen risiko yang sukses.

Kepala Risk Officer

Orang ini secara proaktif mengarahkan upaya dan menyiapkan sistem yang
menanamkan kebijakan risiko ke dalam kegiatan sehari-hari. Versi iklan pekerjaan untuk
manajer risiko bisnis menggambarkan pentingnya peran baru:
Melaporkan langsung ke Komite Audit dan Keuangan Grup, peran ini
merupakan peluang langka untuk bergabung dengan perusahaan yang menarik dan
melanjutkan pengembangan kerangka kerja Manajemen Risiko secara keseluruhan untuk
bisnis secara global. Keterampilan meliputi:

24
 • Pengetahuan yang baik tentang teknik manajemen risiko, tata kelola perusahaan, dan
jaminan audit.
• Keterampilan komunikasi dan presentasi yang sangat berkembang.
• Kemampuan untuk mengajukan pertanyaan yang tepat dan tetap mandiri.
• Kemampuan untuk membuat keputusan praktis yang tepat.
• Pendekatan yang berdedikasi, bersemangat, dan antusias, dan menjadi pemain tim
yang sejati.

Para pendukung peran chief risk officer (CRO), seperti Tim Leech, mengakui perlunya
seseorang untuk menyatukan teka-teki risiko dan memahami semuanya untuk dewan dan
manajemen senior. Mereka berargumen bahwa kita perlu meluruskan laporan silo
tentang risiko yang merupakan fitur dari sebagian besar organisasi besar. Yang lain, seperti
Terry Cunnington, telah menggambarkan pengaturan di mana layanan jaminan risiko
menyediakan manajemen risiko perusahaan, audit internal dan konsultasi risiko dari satu tim
terintegrasi. Perlu ada seorang ahli internal yang dapat mengarahkan kebijakan risiko dan
membuatnya berhasil dalam praktik. Peran mereka dapat meliputi:
• Menerjemahkan visi dewan tentang manajemen risiko.
• Membantu mengembangkan dan menerapkan kebijakan risiko perusahaan.
• Memastikan pembelian yang disebutkan sebelumnya.
• Memberikan pelatihan dan acara-acara penyadaran jika perlu.
• Membantu menanggapi persyaratan dari regulator yang berdampak pada sistem
manajemen risiko.
• Membangun pendekatan strategis untuk manajemen risiko di seluruh organisasi
dengan program, pendekatan yang sesuai, alat dan pengaturan pelaporan.
• Memastikan bahwa bisnis merespons dengan baik terhadap perubahan dan tantangan
yang menciptakan risiko baru secara berkelanjutan.
• Menetapkan sistem pelaporan risiko dari manajer dalam organisasi yang dapat
digunakan untuk memberikan jaminan yang mendukung tinjauan dewan terhadap
pengendalian internal.
• Membantu memfasilitasi latihan dan program manajemen risiko.
• Menjadi pusat keunggulan dalam manajemen risiko dan terus mengembangkan
infrastruktur dukungan on-line, berdasarkan teknologi terbaru yang dapat digunakan
oleh semua bagian organisasi.
• Membantu mengoordinasikan kegiatan manajemen risiko seperti kesehatan
dan keselamatan, keamanan, asuransi, kualitas produk, masalah lingkungan,
pemulihan bencana, tim dan proyek kepatuhan, dan pengadaan.
• Memberikan saran tentang isu-isu sensitif seperti persepsi toleransi risiko dan
konsistensi pesan di berbagai bagian organisasi.

25
 • Berusaha menerapkan manajemen risiko di seluruh perusahaan sebagai bagian
terintegrasi dari proses yang ada seperti pengambilan keputusan, akuntabilitas, dan
manajemen kinerja.

2.7 MANAJEMEN RISIKO SELURUH PERUSAHAAN

Manajemen risiko di seluruh perusahaan atau manajemen risiko perusahaan (ERM)
hanyalah perpanjangan dari manajemen risiko di seluruh organisasi secara terpadu. Ini berbeda
dengan pendekatan lama di mana spesialis dari proses khusus seperti perencanaan kontinjensi
dinilai risiko tetapi hanya pada tingkat lokal untuk proses tersebut. Sebelum kita mempelajari
ERM lebih lanjut, ada poin terkait untuk mengklarifikasi dengan model risiko
yang telah kita gunakan sepanjang bab ini. Di kotak tengah kami telah
menambahkan strategi dan KPI ke faktor asli, tujuan . Kami mulai dengan tujuan sebagai
pendorong manajemen risiko dan sudut pandang ini .Apa yang sedang kami upayakan adalah
agar manajemen risiko menjadi bagian dari proses perencanaan strategis dan karenanya
terintegrasi dalam sistem pengukuran kinerja.
GAMBAR 3.12 Tahapan manajemen risiko.

Model ini didasarkan pada siklus manajemen sederhana dengan misi yang diterjemahkan ke
dalam strategi, yang ketika diimplementasikan berkaitan dengan ukuran kinerja yang
digunakan untuk memantau kemajuan strategi yang diadopsi dan tindakan yang diambil untuk
meninjau dan menyesuaikan. T di sini adalah lima fase pengembangan untuk penilaian risiko
dalam siklus hanya sebagai dijelaskan. Masing-masing dari lima fase dicatat sebagai berikut:
1. Tidak ada penilaian risiko yang dilakukan dan siklus manajemen strategis (empat kotak putih
pada Gambar 3.12) tidak memerlukan akses identifikasi formal dan penilaian risiko. Ada
sangat sedikit organisasi yang masih pada tahap ini.Kebijakan tersebut dapat berjalan di
sepanjang baris berikut: 'Lagi pula, banyak spesialis kami yang sudah melakukan penilaian
risiko sendiri!'
2. Di sini risiko sebagai penilaian adalah peristiwa tahunan yang merupakan latihan terpisah
yang dihilangkan dari strategi perusahaan. Ini dapat dilakukan sekali dan kemudian dibiarkan,
atau dilakukan setiap tahun, terutama untuk persyaratan pengungkapan di mana organisasi
melaporkan bahwa ia memiliki sistem manajemen risiko . Sekali lagi, ada sebagian kecil
organisasi besar yang mengambil pandangan mekanis terhadap risiko. Kebijakan tersebut
dapat berjalan di sepanjang baris berikut: 'penilaian risiko adalah latihan tahunan yang
dilaporkan kembali ke dewan!'
3. Fase tiga membuat penilaian risiko di dalam siklus manajemen strategis. Sehingga ketika
strategi ditinjau kembali selama tahun berjalan atau setiap kali ada perubahan besar dalam arah,
penilaian risiko utama juga ditangani. Banyak organisasi berada pada fase ini, di mana risiko
sebagai penilaian adalah aspek terpisah tetapi komponen dari strategi

26
pengembangan. Kebijakan tersebut dapat berjalan di sepanjang baris berikut: 'penilaian risiko
dibangun ke dalam analisis strategis kami, dan seiring perubahan strategi, demikian pula
respons manajemen risiko!'
4. Fase ini menempatkan penilaian risiko tepat di dalam hati perusahaan. Ini menggerakkan
cara tujuan ditetapkan, kerangka kerja strategis, masalah kinerja dan pemantauan dan
pengambilan keputusan. Ini melibatkan perubahan budaya menuju penanganan risiko secara
formal sebagai bagian dari kehidupan bisnis. Di sini, semua keputusan utama, program
perubahan, dan proyek-proyek pendukung serta pergeseran sumber daya berasal dari
pertimbangan risiko sisi atas dan bawah.Organisasi yang mengklaim sistem ERM sudah ada
akan tiba pada fase empat. Kebijakan tersebut dapat berjalan di sepanjang baris berikut:
'penilaian risiko adalah inti dari kegiatan kami dan mendorong penetapan tujuan, strategi dan
ulasan kinerja!'
5. Fase terakhir menghilangkan istilah 'risiko' dan hilang sama sekali. Penilaian risiko begitu
terbenam ke dalam budaya organisasi sehingga menjadi bagian implisit dari sistem nilai
perusahaan dan pribadi untuk semua orang yang terlibat dalam organisasi. Tidak perlu lagi
membicarakan manajemen risiko dan daftar risiko karena hal itu terjadi secara implisit. Th e
kebijakan dapat berjalan sepanjang baris berikut: 'kita tidak lagi menyebutnya risiko
manajemen, nilai-nilai kita hanya mengatakan bahwa orang-orang kami merawat bisnis atas
nama para pemangku kepentingan kami!'

Fitur utama dari model di atas adalah bahwa beberapa organisasi dalam bisnis berisiko tinggi
seperti derivatif sudah pada tahap lima. Tetapi untuk tujuan pelaporan tata kelola perusahaan
mereka harus memformalkan pengaturan mereka dengan merancang sistem manajemen risiko,
menunjukkan bahwa itu bekerja dengan baik dan kemudian secara perlahan menempatkannya
di dalam infrastruktur, seperti mesin kapal, secara perlahan berdenyut-denyut yang tak terlihat
di latar belakang saat mendorong kirim ke depan. Salah satu perkembangan tengara yang
mengkonsolidasikan pemikiran saat ini pada ERM adalah ERM COSO. COSO adalah
singkatan dari Committee of Sponsoring or ganizations. COSO terdiri dari lima asosiasi
profesional utama di AS dan dibentuk pada tahun 1985 untuk mensponsori Komisi Nasional
Pelaporan Keuangan Fraudulent. Model COSO ERM diluncurkan pada September 2004 dan
terdiri dari tiga dimensi. Yang pertama adalah empat kategori tujuan manajemen:
Sebuah. Strategis.
b. Operasi.
c. Pelaporan.
d. Pemenuhan.

Tujuan-tujuan ini selaras dengan delapan komponen utama ERM:

1. Lingkungan internal.

27
2. Pengaturan obyektif.
3. Identifikasi acara.
4. Penilaian risiko.
5. Respon risiko.
6. Mengontrol kegiatan.
7. Informasi dan komunikasi.
8. Pemantauan.

Dan delapan komponen ini, dalam mengejar empat tujuan utama, dijalankan di seluruh
organisasi di berbagai tingkatan, yang digambarkan sebagai:
• Tingkat entitas.
• Divisi.
• Unit bisnis.
• Anak Perusahaan.

COSO telah mengembangkan definisi ERM sendiri:

Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel lainnya, yang diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risikonya, untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

Dalam merangkum COSO ERM, penting untuk mengingat konsep di balik kerangka kerja,
di dalamnya:
• Merupakan suatu proses.
• Dipengaruhi oleh orang-orang.
• Diterapkan dalam pengaturan strategi.
• Diterapkan di seluruh perusahaan.
• Dirancang untuk mengidentifikasi peristiwa potensial.
• Mengelola risiko sehingga masuk dalam selera risiko.
• Hanya bisa memberikan jaminan yang masuk akal.
• Mendukung pencapaian tujuan utama.

N ote yang COSO ERM membuat referensi ke peran audit internal dan menunjukkan bahwa:
'auditor internal memainkan peran kunci dalam mengevaluasi efektivitas-dan
merekomendasikan perbaikan-perusahaan manajemen risiko'.

28
Aspek akhir ERM berkaitan dengan standar risiko. Standar Manajemen Risiko Australia /
Selandia Baru diterbitkan kembali pada tahun 2004. Standar ini dibangun di sekitar tujuh
elemen utama:
• Berkomunikasi dan berkonsultasi Berkomunikasi dan berkonsultasi dengan pemangku
kepentingan internal dan eksternal yang sesuai pada setiap tahap proses manajemen risiko dan
mengenai proses secara keseluruhan.
• Tetapkan konteks. Tetapkan konteks manajemen eksternal, internal, dan risiko di
mana proses selanjutnya akan berlangsung. Kriteria terhadap risiko yang akan dievaluasi harus
ditetapkan dan struktur analisis ditetapkan.
• Identifikasi risiko. Identifikasi di mana, kapan, mengapa dan bagaimana peristiwa dapat
mencegah, menurunkan keterlambatan atau meningkatkan pencapaian tujuan.
• Menganalisis risiko Mengidentifikasi dan mengevaluasi kontrol yang ada. Tentukan
konsekuensi dan kemungkinan dan karenanya tingkat risiko. Analisis ini harus
mempertimbangkan berbagai konsekuensi potensial dan bagaimana ini dapat terjadi.
• Mengevaluasi risiko Bandingkan perkiraan tingkat risiko terhadap kriteria yang telah
ditetapkan sebelumnya dan pertimbangkan keseimbangan antara manfaat potensial dan hasil
yang merugikan. Hal ini memungkinkan pengambilan keputusan tentang tingkat dan sifat
perawatan yang diperlukan dan tentang prioritas .
• Mengobati risiko. Mengembangkan dan menerapkan strategi dan rencana aksi hemat biaya
khusus untuk meningkatkan potensi manfaat dan mengurangi biaya potensial.
• Memantau dan meninjau Sangatlah penting untuk memantau efektivitas semua
langkah proses manajemen risiko . Ini penting untuk perbaikan berkelanjutan. Risiko dan
efektivitas tindakan pengobatan perlu dipantau untuk memastikan perubahan keadaan tidak
mengubah prioritas.

Yang cukup menarik, Stan dard Manajemen Risiko Australia / Selandia Baru dibangun dalam
konteks tata kelola perusahaan sebagaimana dimaksud dalam pedoman yang dikeluarkan oleh
Bursa Efek Australia (lihat bab dua). Panduan Australia / Selandia Baru menyediakan dokumen
43 halaman untuk penggunaan manajemen risiko dalam proses audit internal , dan ini
menegaskan bahwa:
Audit internal adalah fungsi organisasi, yang dibentuk oleh manajemen puncak untuk
memantau manajemen risiko dan proses kontrol organisasi. Dengan mengkaji sistem kontrol
kritis dan proses manajemen risiko , auditor internal dapat memberikan bantuan penting bagi
manajemen organisasi.

Inggris tidak lambat untuk mempersiapkan standar risiko dan Institut Manajemen Risiko,
Asosiasi Asuransi dan Manajer Risiko dan Forum Nasional untuk atau Manajer Risiko di
Sektor Publik (secara kolektif dikenal sebagai AIRMIC, ALARM, IRM) menyiapkan

29
manajemen risiko standar pada tahun 2002. Mereka merasa bahwa beberapa bentuk standar
diperlukan untuk memastikan bahwa ada kesepakatan:
• terminologi yang terkait dengan kata-kata yang digunakan;
• prosedur yang dengannya manajemen risiko dapat dilakukan;
• struktur organisasi untuk manajemen risiko; dan
• tujuan untuk manajemen risiko.

Standar Manajemen Risiko menetapkan proses yang terdiri dari:

• Tujuan strategis organisasi.
• Penilaian risiko :
—Risiko analisis — identifikasi risiko, deskripsi dan estimasi.
—Evaluasi cepat.
• Pelaporan risiko.
• Keputusan.
• Perawatan risiko.
• Pelaporan risiko residual.
• Pemantauan.

Ini diatur dengan modifikasi dan proses audit yang berjalan di masing-masing elemen
ini. Bahkan ada bagian yang didedikasikan untuk peran audit internal yang menunjukkan
bahwa ini dapat mencakup beberapa atau semua hal berikut:
• Memfokuskan audit internal pada risiko signifikan, seperti yang diidentifikasi oleh
manajemen, dan mengaudit proses manajemen risiko di seluruh organisasi.
• Memberikan jaminan pada manajemen risiko.
• Memberikan dukungan dan keterlibatan aktif dalam proses manajemen risiko.
• identifikasi risiko Faci litating / penilaian dan mendidik staf lini dalam manajemen risiko dan
pengendalian internal.
• Mengkoordinasikan pelaporan risiko kepada dewan, komite audit, dll.

Standar ini selanjutnya menyarankan bahwa dalam mendefinisikan peran mereka, audit
internal harus memastikan bahwa persyaratan profesional untuk independensi dan obyektivitas
tidak dilanggar.
Mengintegrasikan Risiko
Di masa lalu, risiko dianggap terpisah tetapi ERM berupaya mempertimbangkan risiko di
seluruh organisasi bersama dengan penentuan bagaimana mereka cocok bersama. Gambaran
besar ini benar-benar menggunakan seluruh organisasi sebagai kanvas untuk manajemen
risiko. Sesuai dengan analogi ini, kami mungkin menyarankan bahwa kanvas dicat Merah,

30
Kuning dan Hijau untuk daerah berisiko tinggi, sedang dan rendah, yang dapat ditinjau pada
tingkat papan seperti pada Gambar 3.13.

GAMBAR 3.13 Penilaian risiko.

Setiap bagian dari organisasi akan melakukan penilaian risiko dan menyusun daftar risiko yang
berisi strategi manajemen risiko yang disepakati. Laporan dari setiap bagian akan dikumpulkan
untuk membentuk versi ringkasan yang memberikan aktivitas, peringkat risiko, kode (Merah ,
Kuning, Hijau), pemilik dan tindakan yang diperlukan, menggunakan alat pelaporan yang
sesuai pada Tabel 3.1.

Kebijakan manajemen risiko harus sesuai dengan kebijakan manajemen kinerja dan setiap
status risiko harus mendorong berbagai jenis tindakan sebagai respons terhadap paparan risiko
yang diidentifikasi bersama, misalnya, baris berikut:
Berisiko tinggi laporan tingkat dewan paparan-mendesak dan pemantauan.
Paparan risiko besar — keterlibatan direktur — tinjauan cepat.
Paparan risiko yang signifikan — intervensi manajer dan briefing ringkasan kepada direktur.
Paparan risiko sedang — praktik manajemen dasar diterapkan.
Paparan risiko rendah — tidak ada tindakan khusus.
Sepele — tinjau apakah mampu menghapus sumber daya dari pemantauan. Dengan cara ini
dewan dan manajemen puncak dapat memiliki pandangan tentang risiko lintas organisasi dan
bagaimana penanganannya. Lihat bagian di atas pada risk appetite karena ini akan berdampak
pada cara risiko ditinjau dan diprioritaskan. Mungkin diperlukan prosedur validasi untuk
memastikan bahwa setiap daftar risiko valid dan ini adalah sesuatu yang CRO akan
atasi. Perhatikan bahwa ada beberapa auditor internal yang menganggap validasi praktik
manajemen risiko ini sebagai cara yang berguna untuk menerapkan sumber daya audit.

Kategori Risiko
Setiap organisasi akan memiliki interpretasi risiko sendiri. Dan interpretasi ini akan sesuai
dengan pasar, budaya dan misi organisasi yang bersangkutan. Untuk membantu menyelaraskan
proses manajemen risiko dengan sistem dan prosedur organisasi, banyak organisasi menangkap
risiko secara terstruktur, melalui serangkaian kategori yang sesuai dengan mereka. Kami dapat
meninjau beberapa panduan risiko yang dipublikasikan terkenal dan mempertimbangkan
petunjuk yang dikandungnya pada kategorisasi. Laporan King menyarankan beberapa judul
umum sebagai awal untuk mengatasi paparan perusahaan terhadap setidaknya hal-hal berikut :
risiko fisik dan operasional, risiko sumber daya manusia, kelangsungan bisnis dan pemulihan
bencana, risiko kredit dan pasar serta risiko kepatuhan. Panduan Perbendaharaan Pemerintah
Inggris untuk pengelolaan risiko mengisolasi tiga kategori risiko utama:

31
• Eksternal Timbul dari lingkungan eksternal, tidak sepenuhnya dalam kendali organisasi,
tetapi di mana tindakan dapat diambil untuk mengurangi risiko. Berisi risiko politik, ekonomi,
sosial-budaya, teknologi, hukum / peraturan dan lingkungan.
• Op erational Berkaitan dengan operasi-baik pengiriman saat ini sudah ada dan membangun
dan memelihara kapasitas dan kapabilitas. Terdiri dari pengiriman, kegagalan layanan /
produk, pengiriman proyek, kapasitas dan kemampuan, sumber daya, hubungan, operasi,
reputasi, kinerja dan kemampuan manajemen risiko, tata kelola, pemindaian, ketahanan dan
keamanan.
• Ubah Risiko yang diciptakan oleh keputusan untuk mengejar upaya baru di luar kemampuan
saat ini. Terdiri dari target, program perubahan, proyek baru dan kebijakan baru.

3.8 Kontrol Penilaian Diri

Keberhasilan manajemen risiko di seluruh perusahaan tergantung pada proses terpadu untuk
memastikan bahwa risiko dinilai dan dikelola di seluruh organisasi dengan cara yang dinamis
dan bermakna. Ada banyak teknik untuk menjangkau semua bagian organisasi sehingga
penilaian diri oleh staf garis depan menjadi norma. Beberapa orang berpendapat bahwa
penyebaran kuesioner yang dilakukan oleh karyawan kunci sebagai cara untuk menilai apakah
ada operasi yang berisiko dan apakah pengendalian menangani bidang-bidang risiko ini dengan
benar. Teknik lain adalah penggunaan wawancara dengan manajer di unit bisnis tertentu untuk
mengukur apakah area tersebut terkendali atau tidak. Pendekatan lebih lanjut adalah dengan
menugaskan peninjauan komprehensif risiko di bagian profil tinggi organisasi biasanya
dengan menggunakan konsultan eksternal, yang akan melaporkan kembali masalah yang
ditemukan.

Ketiga teknik ini cukup mudah karena melibatkan proses yang ditumpangkan pada operasi
bisnis normal dan layanan pendukung. Sayangnya mereka memperkuat pendekatan ad-hoc silo
dan muncul sebagai latihan satu kali yang dilakukan oleh tim kantor pusat tujuan
khusus. Pendekatan yang lebih populer adalah penggunaan lokakarya penilaian diri kontrol,
atau apa yang oleh beberapa orang disebut lokakarya penilaian diri dan risiko (CRSA). Forum
CRSA Inggris terdiri dari jaringan praktisi CSRA dan orang-orang yang tertarik yang telah
membentuk kelompok yang bertemu setiap kuartal. Misi mereka adalah: 'Berbagi, maju dan
mempromosikan praktik terbaik dalam penilaian diri atas kontrol dan risiko di semua
organisasi.' Pada setiap pertemuan biasanya ada beberapa presentasi oleh anggota kelompok
tentang cara CRSA dioperasikan dalam organisasi yang bersangkutan. Para pendukung CRSA
yakin bahwa satu-satunya cara untuk memasukkanmanajemen risiko ke dalam hati dan pikiran
organisasi adalah untuk melibatkan semua orang secara partisipatif. CRSA dapat disebut
banyak hal berbeda dalam organisasi yang berbeda. Di beberapa perusahaan,
istilah risiko dan kontrol tidak menginspirasi orang dan istilah-istilah lain yang lebih

32
bersahabat diterapkan pada lokakarya. Perhatikan bahwa teknik ini dibahas dalam Bab 7
tentang pendekatan audit. Di sini kami hanya menyebutkan prinsip-prinsip utama yang
berkaitan dengan CRSA sebagai bagian dari sistem manajemen risiko. Sebuah artikel oleh Paul
Makosz di C SA Sentinel menguraikan pengembangan pendekatan CRSA:

Ketika saya berada di Gulf Canada Resources, kami mulai menyadari bahwa inti dari
banyak masalah dalam budaya perusahaan yang dapat secara langsung memengaruhi
garis bawah; tetapi kami sayangnya tidak memiliki alat untuk membantu kami dalam
mengidentifikasi risiko besar sebelum menjadi masalah. Bruce McCuaig, pendahulu saya
di Gulf Canada Resources, berasal dari gagasan CSA. Dia telah mempelajari masalah
terkait Watergate di perusahaan induk, Gulf Corp. Pada saat yang sama, penipuan
manajemen seri telah ditemukan di anak perusahaan Gulf Canada, meskipun auditor
internal baru saja ada di sana. Bruce terus bertanya, "Apa gunanya mengaudit hal-hal
kecil jika budaya itu salah arah?" Gulf melewati begitu saya melakukan latihan
produktivitas tim pada saat itu, jadi Bruce ingin mengajar tim tentang pengendalian
internal dan meminta mereka menilai sendiri posisi mereka. Sisanya adalah
sejarah. Bruce dan saya menulis tentang hal itu di 'Ripe for Renaissance,' sebuah artikel
yang muncul di Auditor Internal edisi Desember 1990 . Poin penting yang perlu
diperhatikan dalam bagian ini adalah kebutuhan untuk memadukan teknik CRSA ke
dalam proses manajemen risiko secara umum. Pendekatan bertahap dapat diterapkan
untuk tujuan ini sebagaimana diilustrasikan dalam Gambar 3.14.

GAMBAR 3.14 Pendekatan risiko secara bertahap.

Tahap pertama — minat umum: membangun minat dan memusatkannya pada dorongan pro-
organisasi untuk membuat tim spesialis yang berbeda berbicara tentang pendekatan mereka
terhadap manajemen risiko.
Tahap dua — kumpulan penelitian: kembangkan basis data pedoman praktik terbaik dan cari
tahu apa yang dilakukan orang lain di sektor bisnis. Buat daftar periksa hal-hal yang harus
ditangani dalam merumuskan dan menerapkan kebijakan risiko perusahaan.
Tahap tiga — orang yang bertanggung jawab: menentukan peran dan tanggung jawab masing-
masing , khususnya seorang pejuang untuk tujuan yang dapat menetapkan arah bagi organisasi.
Tahap empat —penting minat manajemen: dapatkan sponsor di dewan yang dapat
memastikan manajemen risiko berada di agenda perusahaan. Salah satu caranya adalah dengan
meminta dewan (dan komite audit) untuk melakukan penilaian mereka sendiri untuk sampai
pada sepuluh risiko teratas mereka untuk memulai proses.
Tahap lima - seminar kesadaran: yang paling penting adalah menyatukan para pemain kunci
di seluruh organisasi dalam serangkaian acara untuk memberikan pemahaman,

33
mempromosikan penerimaan dan memastikan setiap manajer menerima bahwa mereka
memiliki tanggung jawab yang jelas dan langsung untuk mengelola risiko di area mereka.
tanggung jawab.
Tahap enam — pembangunan infrastruktur: sebagian besar dari ini akan berkisar pada
membangun sistem informasi yang sesuai yang mengkategorikan dan menangkap kegiatan
risiko ke dalam format pelaporan jaminan formal. Juga, kegiatan risiko harus diputuskan dan
apakah ini akan terjadi di seluruh organisasi atau hanya di daerah profil tinggi.
Tahap ketujuh — beresiko : di sini organisasi perlu melakukan survei dan / atau lokakarya
yang difasilitasi dengan cara yang paling sesuai dengan struktur dan budaya bisnis.
Tahap delapan - terintegrasi: banyak dari ini akan didasarkan pada pendefinisian peran dan
kompetensi petugas risiko atau yang setara dan memastikan bahwa proses penilaian risiko
ditinjau kembali dan diperbarui secara berkala dan kapan pun perubahan berdampak pada
berbagai profil risiko.

Masalah yang dihadapi beberapa organisasi adalah bahwa mereka memulai proses delapan
tahap tanpa pemahaman yang jelas tentang pengembangan dan target tahap. Akibatnya, banyak
yang terjebak pada tahap awal dan menulis semuanya sebagai awal yang salah. CRSA hanya
benar-benar bekerja di mana organisasi telah tiba pada tahap tujuh.

3.9 Manajemen Risiko Tertanam

Kami sekarang tiba di puncak praktik manajemen risiko terbaik. 'Manajemen risiko tertanam'
yang banyak dicari. Sekali lagi, seperti banyak teori manajemen risiko, kedengarannya
sederhana sebagai ideal dan Turnbull termasuk di antara kriteria untuk menilai kerangka kerja
pengendalian internasional (pengaturan pemantauan) pertanyaan berikut:
Apakah ada proses yang sedang berlangsung yang tertanam dalam keseluruhan operasi bisnis
perusahaan, dan ditangani oleh manajemen senior, yang memantau penerapan kebijakan,
proses, dan kegiatan yang efektif terkait dengan manajemen risiko pengendalian
internal? ( Proses tersebut dapat mencakup kontrol penilaian sendiri, konfirmasi oleh personel
kepatuhan dengan kebijakan dan kode etik, tinjauan audit internal atau ulasan manajemen
lainnya.)
Sebagian besar standar risiko, panduan, alat bantu, dan komentar mengandung ungkapan
(atau istilah yang sama) yang melekat pada manajemen risiko . Gordon Hill memperingatkan
tentang mencoba melakukan terlalu banyak terlalu cepat:
Integrasi dengan proses yang ada adalah sama pentingnya tetapi menghadirkan tantangan yang
berbeda murni karena proses tersebut akan operasional. Anda bisa memulai program meninjau
semua proses untuk risiko. Namun, saya akan menjaga terhadap pendekatan ini berdasarkan
'jika tidak rusak jangan memperbaikinya'. Tunggu sampai ada masalah dalam proses yang
menyarankan perubahan diperlukan; ini adalah waktu untuk memperkenalkan esai risiko dan

34
ini akan memastikan nilai terbesar diberikan. Jika manfaat diberikan maka staf akan memahami
nilai intervensi risiko . . . Menyerang semuanya sekaligus bukanlah solusi praktis. Organisasi
membutuhkan cara untuk memutuskan di mana harus intrat dan kapan.
Menggunakan daftar risiko yang diprioritaskan dengan benar untuk fokus pada masalah
terbesar adalah cara yang paling efektif untuk upaya penargetan. Dengan cara ini organisasi
akan mencapai pengembalian tercepat dan komitmen terbesar dan pada akhirnya akan
mendapatkan peta untuk budaya risiko yang dikelola.
Sementara itu kita dapat menyelesaikan model risiko kita dengan memasukkan komponen yang
tersisa dari manajemen risiko yang efektif, dengan pandangan untuk mengatasi kebutuhan
untuk mendapatkan risiko dengan kuat di dalam proses organisasi. Dengan menambahkan
beberapa fakta yang terdiri dari tiga kotak hitam (ERM / CRSA, SIC dan Stakeholder) dan
empat kotak abu-abu (waktu, biaya, nilai, embed) kita dapat mencapai model manajemen risiko
efektif yang dikembangkan sepenuhnya dalam Gambar.

Dimulai dengan kotak hitam terlebih dahulu, tambahan ini dijelaskan di bawah ini:
ERM / CRSA Sebagaimana dibahas di atas, harus ada proses yang memastikan risiko
dipahami, diidentifikasi dan dikelola di tingkat akar rumput secara ideal melalui bentuk
program penilaian diri risiko kontrol. Sementara itu, harus ada proses lebih lanjut untuk
memastikan penilaian risiko dilakukan di seluruh bagian kunci, jika tidak semua, dari
organisasi dan bahwa itu didorong dari atas dan mengalir ke bawah, melintasi dan di semua
tingkatan manajemen. Chief risk officer (CRO) akan membantu mengoordinasi urusan ini.
SIC Upaya risiko dan memastikan kontrol harus dimasukkan ke dalam pernyataan
pengendalian internal (SIC) bahwa setiap organisasi yang lebih besar harus mempublikasikan
secara resmi. Input ke SIC tahunan harus berasal dari sistem pelaporan jaminan yang sesuai
(perha p berputar di sekitar register risiko lokal dan agregat).

Stakeholder Organisasi harus memiliki proses formal untuk berkomunikasi dengan para
pemangku kepentingan upaya sistem manajemen risiko dan informasi apa pun yang memberi
nilai pada berbagai pihak yang berkepentingan . Sistem manajemen risiko harus membahas
konsep toleransi risiko dan memperjelas bidang apa yang mungkin menjadi ancaman bagi
organisasi, atau masyarakat umum yang sesuai dan sejauh mana strategi dan target
kinerja mungkin akan sepenuhnya tercapai. Banyak kegunaan dari situs web Internet untuk
mengkomunikasikan risiko secara publik.
Waktu Model risiko didasarkan pada melakukan lebih banyak untuk meneliti, menganalisis
dan mengatasi risiko yang berdampak pada organisasi. Dan memastikan ada transparansi
dan kompetensi dalam cara risiko ini ditangani.

35
Biaya Faktor ini terkait dengan waktu. Membutuhkan uang untuk mengimplementasikan ide-
ide baru bahkan ketika kita sedang membangun ide-ide ini ke dalam sistem kita yang ada.

Nilai - nilai Cara terbaik untuk membangun manajemen risiko adalah dengan
menghindari hanya memberikan serangkaian peraturan dalam bentuk hal-hal yang harus
dilakukan untuk memenuhi persyaratan kebijakan.

Sematkan Bagian akhir dari model ini keluar dari semua komponen lain dan terdiri dari konsep
garis bawah menanamkan manajemen risiko ke dalam dan di dalam organisasi.

3.10 Peran Audit Internal dalam Manajemen Risiko

Bab ini sejauh ini memberikan pengantar yang lebih luas untuk manajemen risiko — tren yang
berkembang ke arah mengenali risiko sebagai pendorong utama untuk semua sistem yang
mendukung organisasi yang sukses.
Kita sekarang harus menyentuh cara audit internal masuk ke dalam persamaan risiko. Sebagai
permulaan Standar Implikasi IIA menyatakan 1220.A3 menyatakan bahwa auditor internal
harus memperhatikan risiko utama dan bahwa 'auditor internal harus waspada terhadap risiko
signifikan yang mungkin mempengaruhi tujuan, operasi, atau sumber daya. Namun prosedur
jaminan saja, bahkan ketika dilakukan dengan perawatan profesional yang tepat, tidak
menjamin bahwa semua risiko signifikan akan diidentifikasi. '
Standar Kinerja 2100 berpendapat bahwa 'kegiatan audit internal harus mengevaluasi dan
berkontribusi pada peningkatan proses manajemen risiko, pengendalian dan tata kelola dengan
menggunakan pendekatan yang sistematis dan disiplin.' Sementara Standar Penerapan 2110.A1
memperjelas bahwa 'kegiatan audit internal harus memantau dan mengevaluasi efektivitas
sistem manajemen risiko organisasi.'
V ini iewpoint merupakan tantangan penting bagi auditor internal yang telah diminta untuk
juara gerakan risiko sementara tetap mempertahankan peran jaminan independen. Model
tersedia untuk membantu dalam keputusan kunci yang mendukung peran audit internal
tampilan baru . Praktik Penasihat 2100-3 membahas Peran Audit Internal dalam Proses
Manajemen Risiko; walaupun memperkuat poin bahwa manajemen risiko adalah tanggung
jawab utama manajemen, ini menunjukkan bahwa peran audit internal dapat ditemukan di
beberapa titik di sepanjang kontinum yang berkisar dari tahap 1 hingga tahap 4:
1. Tidak ada peran.
2. Mengaudit proses manajemen risiko (RM).
3. Dukungan terus menerus aktif dalam RM (komite pengawasan, pelaporan status).
4. Mengelola dan mengoordinasikan proses RM.
Catatan pengarahan ditutup dengan pandangan bahwa, pada akhirnya, itu adalah peran
manajemen eksekutif dan komite audit untuk menentukan peran audit internal dalam proses

36
RM. Ketika tidak ada sistem manajemen risiko di tempat, Penasihat Praktek lain (21 00-4)
mengatakan bahwa tidak adanya proses manajemen risiko harus dibawa ke perhatian
manajemen oleh audit internal, bersama dengan saran untuk membangun proses seperti itu jika
diminta. Auditor internal dapat memainkan peran proaktif dalam membantu pembentukan awal
proses tersebut tetapi mereka tidak boleh 'memiliki' atau bertanggung jawab atas pengelolaan
risiko yang diidentifikasi. Ada Penasihat Praktek lain (2110-1) yang menjelaskan bagaimana
audit internal harus menilai kecukupan proses manajemen risiko ses.
Penasihat ini berpendapat bahwa proses manajemen risiko harus memastikan:
1. Risiko yang timbul dari strategi dan kegiatan bisnis diidentifikasi dan diprioritaskan.
2. Manajemen dan dewan telah menentukan tingkat risiko yang dapat diterima oleh organisasi .
3. Kegiatan mitigasi risiko dirancang dan diterapkan untuk mengurangi, atau mengelola, risiko
pada tingkat yang ditentukan agar dapat diterima oleh manajemen dan dewan.
4. Kegiatan pemantauan yang berkelanjutan dilakukan untuk menilai kembali risiko
dan efektivitas secara berkala
kontrol untuk mengelola risiko.
5. Dewan dan manajemen menerima laporan berkala dari hasil proses RM.
Auditor internal harus menambah nilai bagi organisasi dan Standar Kinerja IIA 2000
menyatakan dengan jelas bahwa 'CAE harus mengelola secara efektif kegiatan audit internal
untuk memastikan hal itu menambah nilai bagi organisasi.' Sementara Standar Implementasi
IIA 2010.C1 dibangun di atas kebutuhan ini untuk menambah nilai dan terlibat dengan
mempromosikan manajemen risiko karena menyatakan bahwa 'CAE harus
mempertimbangkan untuk menerima perjanjian konsultasi yang diusulkan berdasarkan potensi
keterlibatan untuk meningkatkan manajemen risiko, menambah nilai, dan meningkatkan
operasi organisasi. Keterlibatan yang telah diterima harus dimasukkan dalam rencana. '
Gambar 3.16 Layanan jaminan dan konsultasi.

Dimungkinkan untuk meringkas peran audit dalam manajemen risiko dengan menggunakan
model baru pada Gambar 3.16. Sebelum kita membahas model Assurance and Consulting
Services, dua poin penting perlu dibuat. Pertama, ulasan lebih dapat diandalkan di mana
pengulas adalah imparti al. Kedua, nilai tambah berarti memberikan kontribusi keahlian
spesialis untuk mempromosikan keberhasilan perusahaan. Ketika sebuah organisasi perlu
menjalankan dan menjalankan sistem manajemen risiko, dan meminta bantuan dari auditor
untuk mengatur, sulit bagi auditor yang sama untuk kemudian memberikan jaminan yang tidak
memihak pada sistem yang sama ini. Sepintas kedua konsep tersebut tidak sesuai. Namun, ada
berbagai cara agar ketidakkonsistenan yang nyata ini dapat dikelola. Model yang kami gunakan
memiliki tujuh pendekatan:

37
1. Pendekatan tinjauan audit standar diadopsi. Di sini tim audit internal memantau cara
manajemen risiko bisnis yang sistematis dibentuk dan diterapkan, dan kemudian meninjau
apakah itu dapat diandalkan, kuat, dan memenuhi kebutuhan organisasi. Pada gilirannya, audit
internal dapat memberikan jaminan independen kepada dewan tentang status manajemen
risiko.
2. Ini mirip dengan pendekatan satu, dengan tambahan saran dan bimbingan ad-hoc disediakan
berdasarkan permintaan. Audit internal dapat membuat presentasi kepada dewan
dan mendatangi saya etings atau workshop di mana manajemen risiko sedang dibahas dan
diputuskan, dan memberikan kontribusi sesuai kebutuhan.
3. Pendekatan tiga mengambil langkah lebih jauh dan auditor internal mulai terlibat dalam
meningkatkan kesadaran. Fitur utama di sini adalah audit internal akan memimpin berbagai
seminar dan acara yang mempromosikan tata kelola perusahaan, manajemen risiko, dan
kontrol.
4. Tingkat berikutnya adalah ketika audit internal memfasilitasi lokakarya CSA dan membawa
pesan risiko ke akar rumput di seluruh organisasi . Auditor memahami keterampilan fasilitasi
dan memimpin tim kerja, tim proyek, atau kelompok kerja berbasis proses dan membantu tim
menyiapkan daftar risiko yang sesuai untuk mencerminkan risiko dan rencana tindakan yang
diprioritaskan.
5. Level lima berjalan sepanjang jalan. Di sini, audit internasional mengumpulkan basis data
risiko perusahaan dari semua aktivitas berbasis risiko yang terjadi dalam organisasi. Audit akan
terus mengembangkan sistem pelaporan yang menyediakan laporan teragregasi dan terpilah
pada tingkat yang sesuai dalam organisasi . Peran yang diasumsikan sama dengan peran yang
disebut chief risk officer organisasi.
6. Pendekatan level enam didasarkan pada pembentukan dua untai terpisah untuk layanan audit
internal. Yang pertama berfokus pada jaminan utama dan peran review, meskipun ini sekarang
cenderung berbasis risiko, berkonsentrasi pada risiko operasional yang telah
diidentifikasi. Yang kedua melakukan peran konsultasi dalam memfasilitasi acara-acara
CRSA.
7. Pendekatan terakhir adalah memainkan peran penuh dalam memulai dan mengembangkan
manajemen risiko sistematis di seluruh organisasi agar proses berjalan. Kemudian, setelah
membantu mengatur proses, audit internal bergerak menjauh dari layanan konsultasi dan
kembali ke peran jaminan utama. Dengan cara ini, tanggung jawab berikutnya untuk membuat
manajemen risiko berfungsi kembali ke garis.

Strategi dasar di atas dapat digunakan sebagai platform untuk menyesuaikan layanan audit
internal ke dalam pengembangan manajemen risiko di seluruh organisasi. Pendekatan dan gaya
yang dipilih akan sesuai dengan organisasi dan tim audit yang bersangkutan. Kata terakhir
tentang peran baru auditor internal dalam manajemen risiko perusahaan telah diberikan oleh

38
IIA Inggris dan Irlandia dalam pernyataan posisi 2004 mereka tentang topik
ini. Panduan ini memperjelas peran jaminan audit inti yang dicatat sebagai:
• Memberikan jaminan pada proses manajemen risiko.
• Memberikan jaminan bahwa risiko dievaluasi dengan benar.
• Mengevaluasi proses manajemen risiko.
• Mengevaluasi pelaporan risiko utama s.
• Meninjau manajemen risiko utama.

Bergerak melalui berbagai layanan audit ini, serangkaian peran berikutnya dijelaskan sebagai
dapat diterima, selama ada perlindungan yang sesuai untuk melindungi integritas peran audit
inti:
• Memfasilitasi identifikasi dan evaluasi risiko.
• Melatih manajemen dalam menanggapi risiko.
• Mengkoordinasikan kegiatan ERM.
• Pelaporan konsolidasi risiko.
• Memelihara dan mengembangkan kerangka kerja ERM.
• Mempertahankan pendirian ERM.
• Mengembangkan strategi manajemen risiko untuk persetujuan dewan.

Safeguards yang diperlukan yang berarti peran konsultan tidak bertentangan dengan peran
assurance tercantum di bawah ini:
• Harus jelas bahwa manajemen tetap bertanggung jawab atas manajemen risiko.
• Masa depan tanggung jawab audit internal harus didokumentasikan dalam piagam audit dan
disetujui oleh Komite Audit.
• Audit internal tidak boleh mengelola risiko apa pun atas nama manajemen.
• Audit internal harus memberikan saran, tantangan dan dukungan untuk pengambilan
keputusan manajemen, bukan mengambil keputusan manajemen risiko sendiri.
• Audit internal juga tidak dapat memberikan jaminan obyektif pada bagian mana pun dari
kerangka kerja ERM yang menjadi tanggung jawabnya. Jaminan tersebut harus disediakan oleh
pihak lain yang berkualifikasi sesuai.
• Setiap pekerjaan di luar kegiatan penjaminan harus diakui sebagai perikatan konsultasi dan
standar implementasi yang terkait dengan perikatan tersebut harus diikuti.
Untuk melengkapi lingkaran, pedoman ini menjelaskan bahwa ada peran tertentu yang benar-
benar tidak sesuai dengan peran audit dan karenanya tidak boleh dilakukan oleh fungsi audit
profesional:
• Mengatur selera risiko.
• Memberlakukan proses manajemen risiko.
• Jaminan manajemen tentang risiko.

39
• Mengambil keputusan tentang respons risiko.
• Menerapkan respons risiko atas nama manajemen.
• Akuntabilitas untuk manajemen risiko. 16

BAB III
KESIMPULAN

Manajemen risiko tidak benar-benar sebuah trend manajemen. Ini menyediakan

platform untuk tata kelola perusahaan dengan memberikan kenyamanan kepada pemegang
saham dan pemangku kepentingan lainnya bahwa risiko terhadap investasi mereka (atau jasa)
yang dipahami oleh wakil-wakil mereka, papan dan sistematis ditangani oleh manajemen.
Manajemen risiko yang benar adalah tentang mengubah budaya organisasi untuk mendapatkan
orang untuk memeluk tanggung jawab mereka mengetahui bahwa alat ini akan membantu
mereka mendapatkan sekitar masalah dan menggerakkan bisnis ke depan dengan cara yang
dipertimbangkan. Peter Bernstein menimbulkan beberapa menarik masalah bagi mereka yang
membuat penilaian risiko permainan angka.

40
 DAFTAR PUSTAKA

K.H. Spencer Pickett, The Internal Auditing Handbook,2003, 2 nd edition, John Wiley & Sons,
New Jersey

Lawrence B. Sawyer & Glen E. Sumners Sawyer’s Internal Auditing, 4Th edition, The Institute
of Internal Auditors, 2005.

41