Kelompok 6 - Terjemahan BAB 6 - Risiko Manajemen - COSO ERM
Kelompok 6 - Terjemahan BAB 6 - Risiko Manajemen - COSO ERM
KELOMPOK 6:
DEPARTEMEN AKUNTANSI
UNIVERSITAS HASANUDDIN
2019
Manajemen Risiko: COSO ERM
Perusahaan perlu mengidentifikasi semua risiko bisnis yang mereka hadapi — keuangan dan
operasional serta sosial, etika, dan lingkungan — dan untuk mengelola risiko ini ke tingkat
yang dapat diterima. Memahami risiko adalah komponen utama untuk mencapai kepatuhan
Sarbanes-Oxley (SOx), melalui Standar Audit No. 5 (AS 5) Audit internal, baik dalam
penjaminan maupun peran konsultasi, dapat berkontribusi pada manajemen risiko ini. Risiko,
istilah yang sering digunakan dalam standar dan prosedur pengendalian internal, telah menjadi
istilah yang disetujui banyak auditor internal tetapi gagal untuk didefinisikan. Konsep dan
pemahaman risiko seorang profesional mungkin sangat berbeda dari yang lain, meskipun
mereka berdua bekerja untuk perusahaan yang sama dan di bidang yang sama. Ini terutama
berlaku bagi manajer dan auditor internal yang bekerja untuk meningkatkan kepatuhan terkait
SOx; belum ada pemahaman yang konsisten tentang apa yang dimaksud dengan konsep risiko.
Khususnya untuk mendukung pemahaman kita tentang kontrol internal SOx, auditor
internal perlu memiliki pemahaman yang lebih baik tentang manajemen risiko dan bagaimana
hal itu memengaruhi keterampilan mereka untuk membangun dan mengembangkan kontrol
internal yang efektif. Bab 4 tentang SOx menggambarkan bagaimana standar audit eksternal
AS 5 memperkenalkan pertimbangan berbasis risiko pada proses tersebut. Sebagaimana
dibahas, auditor eksternal diharuskan untuk menilai risiko relatif ketika memilih area
pengendalian akuntansi internal untuk ditinjau dan dipertimbangkan ketika melakukan tinjauan
mereka.
Konsep utama di balik AS 5 adalah bahwa manajemen dan auditor eksternal sekarang
harus mempertimbangkan risiko relatif ketika menerapkan dan menilai pengendalian internal
untuk mencapai kepatuhan terhadap aturan kontrol internal Bagian 404 SOx. Untuk
menggunakan standar audit AS 5 yang baru ini secara efektif, semua pihak harus memahami
risiko yang melingkupi perusahaan mereka dan harus dapat mendokumentasikan dan
membuktikan kapan mereka menaikkan atau tidak mengangkat masalah pengecualian
pengendalian internal, berdasarkan risiko relatif. Namun, ada kekurangan definisi yang
konsisten tentang apa yang sebenarnya dimaksud dengan risiko. Meskipun kata itu memiliki
beberapa asal dalam industri asuransi, risiko tidak digunakan secara konsisten bahkan di sana.
Bab ini memperkenalkan kerangka kerja COSO ERM dan elemen-elemennya, tetapi
penekanannya adalah pada mengapa COSO ERM dapat menjadi alat audit internal yang
penting untuk lebih memahami dan mengevaluasi risiko di sekitar pengendalian internal di
semua tingkatan. Kami menjelaskan elemen-elemen utama dari kerangka kerja COSO ERM
dan melihat bagaimana auditor internal dapat membangun COSO ERM dengan lebih baik ke
dalam proses audit mereka serta langkah-langkah untuk mengaudit efektivitas proses
manajemen risiko perusahaan.
Setiap perusahaan hadir untuk memberikan nilai bagi para pemangku kepentingannya, tetapi
nilai itu dapat terkikis melalui peristiwa tak terduga di semua tingkat perusahaan dan dalam
semua kegiatan, mulai dari operasi rutin sehari-hari hingga menetapkan strategi untuk beberapa
upaya di masa depan tetapi tidak pasti. Semua kegiatan ini tunduk pada ketidakpastian atau
risiko, apakah itu tantangan yang disebabkan oleh pesaing baru nan agresif atau kerusakan dan
bahkan hilangnya nyawa yang disebabkan oleh gangguan cuaca besar. Manajemen risiko
adalah konsep yang terkait dengan asuransi di mana individu atau perusahaan menggunakan
mekanisme asuransi untuk memberikan perlindungan dari risiko-risiko tersebut. Kami
membuat keputusan semacam ini berdasarkan penilaian kami atas risiko relatif dan biaya untuk
menutupinya melalui pembelian asuransi. Risiko dan biaya asuransi juga berubah seiring
waktu. Asuransi kebakaran untuk melindungi rumah seseorang adalah contohnya. Kembali
pada zaman penggunaan lentera minyak untuk cahaya dan jerami untuk kuda-kuda yang
disimpan di kandang terdekat, selalu ada risiko tinggi kebakaran. Terdapat kasus dimana api
Chicago yang besar pada tahun 1871, di mana seperti yang diceritakan bahwa seekor sapi
menendang lentera dan menyebabkan kebakaran yang akhirnya menghancurkan kota. Risiko
kebakaran tidak terlalu besar saat ini, dan asuransi kebakaran tidak semahal itu, dalam arti
relatif. Namun, selalu ada kemungkinan bahwa sambaran petir atau kerusakan listrik akan
menyebabkan kebakaran dalam struktur, dan perusahaan pembiayaan hipotek memerlukan
perlindungan asuransi kebakaran. Bahkan jika tidak ada hipotek yang dipegang, semua orang
yang bijaksana hari ini membeli asuransi kebakaran semacam itu meskipun tidak diperlukan.
Kebakaran destruktif ke rumah seseorang menghadirkan risiko tingkat rendah namun
konsisten. Biaya asuransi kebakaran pemilik rumah relatif rendah. Pemilik rumah individu
dapat menilai risiko potensial lainnya, seperti gempa bumi, dan mungkin tidak membeli
asuransi untuk risiko itu. Di wilayah geografis tertentu, kemungkinan gempa bumi tampak
sangat rendah sehingga pemiliknya tidak akan mempertimbangkan untuk membeli asuransi apa
pun meski biayanya rendah. Dalam situasi lain, seseorang dapat hidup dengan genangan air di
mana ada banjir yang merusak setiap beberapa tahun. Bahkan jika seseorang dapat membeli
asuransi banjir di lingkungan seperti itu — dan sebagian besar perusahaan asuransi tidak akan
menawarkannya — pertanggungannya akan sangat mahal. Beberapa orang mungkin
memutuskan untuk menerima risiko banjir di tahun-tahun mendatang dan pergi tanpa asuransi.
Dalam semua kasus ini, telah ada keputusan manajemen risiko pembeli asuransi.
Dimulai dengan yayasan pembelian asuransi ini, manajemen risiko, seperti yang
dipraktikkan hari ini, pada dasarnya adalah fenomena pasca-1960-an. Bergerak melampaui
kekhawatiran tentang peristiwa yang berhubungan dengan cuaca alami, manajemen risiko
mulai menekankan upaya melindungi terhadap bencana besar, seperti risiko yang mengelilingi
sistem komputer pada masa mainframe, ketika sebagian besar aset sistem informasi disimpan
dalam satu fasilitas terpusat. Kekhawatiran tentang mengelola risiko yang mengelilingi bahwa
satu sistem komputer terpusat pindah ke masalah umum tentang pengelolaan berbagai risiko
bisnis lainnya.
Perusahaan saat ini menghadapi berbagai risiko dan memerlukan beberapa alat untuk
memilah-milah semua itu untuk membuat biaya rasional dan keputusan terkait risiko. Ini adalah
proses manajemen risiko. Sementara beberapa orang dalam bisnis saat ini hanya menilai suatu
bidang sebagai risiko tinggi, sedang, atau rendah dan kemudian membuat asuransi cepat atau
keputusan perlindungan risiko berdasarkan opsi-opsi itu, yang lain menggunakan alat kualitatif
atau kuantitatif yang lebih canggih untuk memahami dan mengevaluasi risiko. Bagian
selanjutnya secara singkat mensurvei beberapa pendekatan manajemen risiko modern yang
mendasar dengan tujuan untuk membantu menetapkan prosedur manajemen risiko perusahaan
yang lebih efektif dalam suatu perusahaan.
Proses manajemen risiko yang efektif membutuhkan empat langkah: (1) identifikasi
risiko, (2) penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi, (3) prioritas
risiko dan perencanaan respons, dan (4) pemantauan risiko. Selalu ada kebutuhan untuk
mengidentifikasi dan memahami berbagai risiko yang dihadapi suatu perusahaan, untuk
menilai risiko-risiko tersebut dalam hal biaya atau dampak dan probabilitasnya, untuk
mengembangkan tanggapan jika terjadi risiko, dan untuk mengembangkan prosedur
dokumentasi untuk menggambarkan apa yang terjadi serta tindakan korektif ke depan. Hal
yang sama berlaku untuk keputusan manajemen risiko perusahaan dan untuk keputusan auditor
internal selama penugasan review tunggal. Bagian ini berfokus pada manajemen risiko di
seluruh perusahaan. Bab 15 menggunakan beberapa konsep yang sama ini ketika melakukan
perencanaan audit internal berbasis risiko.
Proses manajemen risiko empat langkah ini harus dilaksanakan di semua tingkat
perusahaan dan dengan partisipasi banyak orang yang berbeda. Apakah perusahaan kecil yang
beroperasi di wilayah geografis yang terbatas atau perusahaan dunia yang lebih besar,
pendekatan manajemen risiko harus dikembangkan untuk perusahaan secara keseluruhan. Ini
sangat penting bagi perusahaan di seluruh dunia dengan banyak unit operasi yang terlibat dalam
operasi bisnis yang berbeda dan dengan fasilitas di berbagai negara. Beberapa risiko dalam
satu unit dapat berdampak langsung atau terkait dengan risiko di unit lain, tetapi pertimbangan
risiko lainnya mungkin secara independen dari keseluruhan. Risiko umum ini dapat terjadi
karena berbagai keadaan mulai dari keputusan keuangan yang buruk, perubahan selera
konsumen, hingga peraturan pemerintah yang baru.
Manajemen harus berusaha mengidentifikasi semua risiko yang mungkin berdampak pada
keberhasilan perusahaan, mulai dari risiko bisnis keseluruhan yang lebih besar atau lebih
signifikan hingga risiko yang kurang penting terkait dengan proyek individu atau unit bisnis
yang lebih kecil. Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan
disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi
area risiko yang lebih signifikan yang dapat memengaruhi setiap operasi dalam periode waktu
yang wajar. Gagasan di sini bukan hanya untuk membuat daftar setiap risiko yang mungkin
terjadi, tetapi bagi suatu perusahaan untuk mengidentifikasi mereka yang mungkin memiliki
dampak operasi yang lebih besar, dalam periode waktu yang wajar. Ini bisa menjadi latihan
yang sulit karena kita hanya dapat memperkirakan probabilitas risiko yang terjadi atau sifat
konsekuensi jika perusahaan harus menghadapi risiko. Proses identifikasi risiko ini harus
terjadi pada beberapa tingkatan dengan pemahaman bahwa risiko yang berdampak pada unit
bisnis individu atau proyek mungkin tidak memiliki dampak sebesar itu pada seluruh
perusahaan atau di luarnya. Sebaliknya, risiko besar yang berdampak pada seluruh
perekonomian akan mengalir ke masing-masing perusahaan dan unit bisnisnya yang terpisah.
Beberapa risiko utama sangat jarang terjadi tetapi masih bisa menjadi bencana besar sehingga
sulit untuk mengidentifikasi mereka sebagai peristiwa yang mungkin terjadi di masa depan.
Cara yang baik untuk memulai proses identifikasi risiko adalah dengan bagan
organisasi tingkat tinggi yang mencantumkan tingkat perusahaan serta unit-unit operasi.
Masing-masing unit tersebut dapat memiliki fasilitas di berbagai lokasi global dan dapat terdiri
dari berbagai jenis operasi. Setiap fasilitas terpisah kemudian akan memiliki departemen atau
fungsinya sendiri. Beberapa fasilitas terpisah ini mungkin terhubung erat satu sama lain; yang
lain mungkin lebih mewakili investasi perusahaan. Tugas yang sulit dan terkadang rumit untuk
perusahaan yang lebih besar, sebuah inisiatif harus diluncurkan untuk mengidentifikasi semua
risiko di berbagai bidang individu. Jenis latihan ini dapat menghasilkan hasil yang menarik dan
/ atau terkadang mengganggu. Sebagai contoh, seorang manajer senior tingkat perusahaan
mungkin menyadari beberapa risiko pertanggungjawaban produk tetapi pengawas garis depan
di unit operasi dapat melihat risiko yang sama dengan perspektif yang sama sekali berbeda.
Seluruh ide di sini adalah untuk menguraikan beberapa risiko "straw man" tingkat
tinggi yang dapat berdampak pada berbagai unit operasi. Orang yang berpengetahuan
kemudian dapat melihat daftar ini dan memperluas atau memodifikasinya sesuai. Tampilan 6.1
menunjukkan beberapa jenis risiko utama yang dapat berdampak pada perusahaan, termasuk
berbagai risiko strategis, operasi, dan keuangan. Ini adalah jenis daftar tingkat tinggi yang
mungkin digunakan CEO untuk pertanyaan rapat tahunan pemegang saham umum, "Apa yang
membuat Anda khawatir pada akhir hari?" Meskipun tidak mencantumkan semua risiko yang
dihadapi perusahaan, langkah pertama daftar ini dapat digunakan untuk memulai identifikasi
risiko secara terperinci. Manajemen senior perusahaan — seringkali CEO dan staf pendukung
— dapat bertemu untuk menanyakan beberapa jenis pertanyaan "Apa yang membuat Anda
khawatir ..." untuk mengidentifikasi risiko-risiko ini.
Model risiko tingkat tinggi yang sangat umum ini dapat berfungsi sebagai dasar untuk
lebih menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti entri dalam
pameran risiko keberlangsungan bisnis ini di bawah risiko teknologi. Manajer TI harus dapat
mengembangkan ini ke daftar panjang risiko terkait teknologi terperinci yang terkait dengan
kelangsungan bisnis. Manajer operasi yang merupakan pengguna sumber daya TI mungkin
melihat risiko kesinambungan bisnis dari perspektif yang berbeda dan dapat memperkenalkan
risiko baru lainnya yang terkait dengan apa yang terjadi jika layanan TI tidak tersedia. Dalam
rangka untuk memiliki pemahaman yang lebih baik tentang risiko yang dihadapi suatu
perusahaan, sering kali lebih baik untuk mengembangkan daftar ini untuk menetapkan
serangkaian risiko yang lebih lengkap.
Tim manajemen perusahaan kemudian harus mulai dengan daftar risiko perusahaan
yang lebih lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang
jalur:
Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?
Akankah perusahaan menghadapi risiko ini karena peristiwa internal atau eksternal?
Apakah risiko terkait, sehingga satu risiko dapat menyebabkan yang lain terjadi?
Idenya adalah untuk mendapatkan pemahaman yang kuat tentang sifat risiko tingkat
perusahaan dan kemudian menyoroti risiko utama, seperti risiko penurunan peringkat kepuasan
pelanggan yang signifikan, risiko pesaing baru dan sangat besar memasuki pasar, atau risiko
kelemahan kontrol signifikan yang diidentifikasi sebagai bagian dari penutupan laporan
keuangan. Setiap risiko besar ini dapat menghadirkan tantangan signifikan bagi perusahaan.
Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Dengan
menggunakan skor 1 hingga 9, tetapkan skor tebakan terbaik sebagai berikut:
Skor 1 jika Anda melihat hampir tidak ada peluang risiko itu terjadi selama periode
tersebut.
Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi selama periode
tersebut.
Skor 2 hingga 8 tergantung pada bagaimana Anda merasakan kemungkinan jatuh
di antara dua rentang ini.
Apa pentingnya risiko dalam hal biaya untuk keseluruhan perusahaan?
Sekali lagi menggunakan skala 1 hingga 9, rentang penilaian harus ditetapkan
tergantung pada signifikansi risiko keuangan. Risiko yang biayanya dapat menurunkan
laba per saham hingga mungkin 1 sen mungkin memenuhi syarat untuk skor maksimum
9.
Kuisioner ini harus diedarkan secara independen kepada orang-orang berpengetahuan
untuk menilai setiap risiko yang teridentifikasi untuk kedua langkah ini. Sebagai contoh,
asumsikan bahwa suatu perusahaan telah mengidentifikasi enam risiko, R-1 hingga R-6, dan
empat manajer diminta untuk secara terpisah mengevaluasi setiap risiko dalam hal
kemungkinan dan signifikansi. Skor ini kemudian dapat dirata-rata oleh kedua faktor dan diplot
pada bagan analisis penilaian risiko seperti yang ditunjukkan pada Tampilan 6.2. R-1 memiliki
skor kemungkinan rata-rata sekitar 3,75 dan skor signifikansi 7,00, dan skor ini diplot dalam
kuadran I dari contoh grafik. Sebagai contoh, grafik menunjukkan R-1 sebagai yang relatif
signifikan tetapi tidak mungkin terjadi. Dengan semua risiko yang diidentifikasi diplot dengan
cara ini, kemungkinan besar dan risiko yang lebih signifikan di kuadran II harus mendapat
perhatian manajemen segera. Jenis grafik analisis penilaian risiko ini memberikan ukuran
kualitatif yang baik untuk memahami risiko signifikan di sekitar perusahaan.
Proses penilaian risiko tinggi ini bekerja cukup baik ketika suatu perusahaan telah
mengidentifikasi sejumlah kecil risiko. Cukup mudah untuk melihat grafik analisis dan fokus
pada perencanaan remediasi untuk kemungkinan tinggi dan risiko signifikan di kuadran kiri
atas. Namun, seringkali, suatu perusahaan mungkin telah mengidentifikasi serangkaian risiko
yang jauh lebih besar, dan rentang hanya 1 hingga 9 dan plot pada contoh diagram tidak akan
memberikan detail yang cukup. Suatu pendekatan yang kadang-kadang lebih baik adalah untuk
mengungkapkan estimasi signifikansi dan dampak ini dalam hal estimasi persentase dua digit
(mis., 72%) untuk mencapai beberapa risiko atau sebagai suatu probabilitas (mis., 0,72).
Namun, hanya meningkatkan jumlah digit, dari 7 menjadi 72% penuh, tidak meningkatkan
akurasi penilaian. Lebih banyak perhatian harus diberikan untuk lebih memahami hubungan
antara probabilitas yang mencakup peristiwa risiko independen dan terkait.
Yaitu, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0,60, probabilitas gabungan
dari kedua peristiwa yang terjadi adalah (0,60) × (0,60) = 0,36. Dalam hal penilaian, jika risiko
memiliki estimasi signifikansi 60% atau kami 60% yakin bahwa risiko akan terjadi dan jika
dampaknya dinilai pada 60%, ada kemungkinan 36% bahwa kami akan mencapai risiko
keduanya. Kami juga dapat menyebut ini skor risiko untuk risiko individu.
Akan tetapi, proses penilaian risiko yang akurat membutuhkan lebih dari sekadar
estimasi top-of-the-head, baik yang dinyatakan dalam rentang 1 hingga 9 atau sebagai
persentase dua digit penuh. Manajemen perusahaan harus memperhatikan risiko yang
teridentifikasi dan mengumpulkan lebih banyak informasi, jika diperlukan. Misalnya, selama
proses identifikasi risiko, satu manajer mungkin telah mengidentifikasi konsekuensi undang-
undang tarif baru sebagai risiko serius. Namun, manajer yang bertanggung jawab mungkin
ingin lebih memahami konsekuensi aktualnya. Ini mungkin sesuatu yang tidak berlaku untuk
unit yang dimaksud atau yang tidak berlaku hingga beberapa tahun ke depan. Intinya di sini
adalah bahwa beberapa informasi tambahan mungkin diperlukan sebelum semua risiko yang
diidentifikasi dapat dinilai secara akurat.
(ii) INTERDEPENDENSI RISIKO. Kami telah membahas risiko pada tingkat unit
organisasi individu, tetapi independensi risiko harus selalu dipertimbangkan dan dievaluasi di
seluruh struktur organisasi. Meskipun suatu entitas harus peduli dengan risiko di semua
tingkatan organisasi, ia benar-benar hanya memiliki kendali atas risiko-risiko itu dalam
lingkupnya sendiri. Contoh pada tahun 2002 tentang kejatuhan firma akuntan publik Arthur
Andersen setelah jatuhnya Enron. Setiap unit kota-demi-kota dan negara-demi-negara dari
kantor akuntan publik memiliki prosedur penilaian risiko sendiri, mengikuti standar
perusahaan. Namun, peristiwa risiko di satu kantor operasi, Houston, menyebabkan perusahaan
di seluruh dunia runtuh. Kantor yang beroperasi di daerah lain, seperti Toronto, mungkin tidak
sepenuhnya mengantisipasi risiko semacam itu di Houston yang jauh. Intinya adalah bahwa
risiko seringkali sangat saling tergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi
peristiwa risiko pada unit di atas atau di bawahnya dalam struktur organisasi.
(iii) PERINGKAT RISIKO. Meskipun contoh dalam bab ini menunjukkan daftar
singkat risiko yang teridentifikasi, tipikal perusahaan akan berakhir dengan daftar risiko
potensial yang sangat panjang. Langkah selanjutnya adalah mengambil estimasi signifikansi
dan kemungkinan, menghitung peringkat risiko, dan mengidentifikasi risiko paling signifikan
di seluruh entitas yang ditinjau. Tampilan 6.3 adalah contoh dari jenis analisis ini. Berdasarkan
skor kemungkinan dan signifikansi dari Tampilan 6.2, produk dari keduanya memberikan
peringkat risiko relatif. Risiko C dan G memiliki skor peringkat risiko tertinggi dan akan
ditempatkan di kuadran kanan atas sebagai risiko paling signifikan dalam sampel ini. Keduanya
sering disebut penggerak risiko atau risiko utama untuk serangkaian risiko yang teridentifikasi
ini. Organisasi kemudian harus memusatkan perhatiannya ke depan pada risiko-risiko utama
ini. Jadwal peringkat risiko ini harus disusun berdasarkan unit per unit dan disesuaikan untuk
mengakomodasi semua risiko terkait secara paralel dengan serta di atas atau di bawah entitas
yang diperingkat atau dievaluasi.
Manajemen harus mengidentifikasi risiko-risiko yang dinilai unit demi unit ini untuk
memastikan bahwa kemungkinan dan estimasi signifikansi risiko sesuai untuk
keseluruhan. Semua terlalu sering, peristiwa risiko yang terjadi jauh dari kantor pusat
perusahaan menyebabkan masalah besar. Contoh dari lebih dari 20 tahun yang lalu dapat
diambil dari peristiwa risiko di perusahaan AS yang dulu besar , Union Carbide. Pada malam
hari tanggal 2 Desember 1984, lebih dari 40 ton gas beracun bocor dari pabrik pestisida milik
Union Carbide di Bhopal, India, menewaskan lebih dari 20.000 penduduk. Setelah melakukan
banyak upaya hukum, Union Carbide, yang membangun pabrik itu pada tahun 1969,
menyelesaikan gugatan perdata yang dibawa oleh pemerintah India pada tahun 1989 dengan
menyetujui untuk membayar $ 470 juta untuk kerusakan yang diderita oleh setengah juta orang
yang terpapar gas. . Perusahaan menyatakan bahwa pembayaran itu dilakukan karena rasa
tanggung jawab "moral" daripada tanggung jawab "legal" karena pabrik itu dioperasikan oleh
anak perusahaan India yang terpisah, Union Carbide India Limited (UCIL), tetapi proses
pengadilan mengungkapkan bahwa manajemen langkah-langkah pemotongan biaya telah
secara efektif menonaktifkan prosedur keselamatan yang penting untuk mencegah atau
mengingatkan karyawan akan bencana semacam itu. Sejak itu Dow Chemical telah mengambil
alih Union Carbide dan menyangkal tanggung jawab atas bencana ini. Namun, karena
kehilangan nyawa yang luar biasa di sana dan karena Dow jauh lebih besar daripada apa yang
Union Carbide dan anak perusahaan UCIL, proses pengadilan yang berkelanjutan terus
menghantui Dow.
Kebocoran gas Bhopal adalah contoh tentang bagaimana peristiwa risiko di unit yang
jauh dan relatif kecil dapat memiliki konsekuensi bencana pada perusahaan besar. Sementara
identifikasi risiko dan aturan penilaian yang diuraikan dalam bab ini tidak akan menjelaskan
besarnya bencana ini, dan setiap unit dalam perusahaan perlu mengenali kemungkinan dan
konsekuensi risiko pada tingkat unit individu, peristiwa risiko di anak perusahaan kecil asing
dapat menjatuhkan seluruh perusahaan. Manajemen risiko di semua tingkatan harus menyadari
bahwa bencana dapat terjadi. Meskipun kita tidak pernah dapat memprediksi akibat risiko
utama ini; suatu perusahaan harus selalu sadar akan bencana terburuk yang dapat terjadi.
Idenya adalah untuk melalui setiap risiko yang diidentifikasi atau hanya risiko utama
jika waktu terbatas dan memperkirakan biaya yang timbul dari risiko tersebut. Karena risiko-
risiko semacam ini melibatkan hal-hal seperti kegagalan komponen perangkat keras, jatuhnya
pangsa pasar, atau dampak peraturan pemerintah yang baru, biasanya biaya-biaya ini tidak
dapat hanya dilihat dalam katalog vendor saat ini. Beberapa risiko tipikal, berlabel A, B, dan
C, menggambarkan tipe pemikiran ini:
Risiko A: Kehilangan hingga x% pangsa pasar karena selera konsumen yang berubah.
Estimasi penurunan penjualan dan hilangnya laba karena penurunan x%.
Estimasi banyaknya biaya untuk mulai memulihkan posisi pasar yang hilang.
Risiko B: Kehilangan sementara fasilitas manufaktur besar selama beberapa hari karena
badai cuaca yang parah.
Estimasi biaya terbaik dan terburuk untuk mendapatkan pembangkit sementara
dipasangkan kembali dan kembali beroperasi dalam waktu zz hari.
Estimasi tenaga kerja tambahan dan biaya produksi yang dikeluarkan selama
interim.
Risiko C: Kehilangan sistem TI selama dua hari karena virus komputer yang merusak.
Estimasi kerugian bisnis dan profitabilitas selama periode turun.
Estimasi biaya untuk mentransfer operasi ke situs kesinambungan bisnis.
1. Apa estimasi biaya terbaik untuk risiko yang ditimbulkan? Ini adalah asumsi bahwa hanya
akan ada dampak terbatas jika risiko terjadi.
2. Sampel apa yang akan diperkirakan oleh orang berpengetahuan untuk biayanya? Untuk
Risiko A sebagaimana diuraikan, direktur pemasaran mungkin diminta untuk memberikan
perkiraan.
3. Berapa nilai atau biaya yang diharapkan untuk menanggung risiko? Ini adalah jenis risiko
yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti persyaratan
tenaga kerja tambahan.
4. Berapa biaya terburuk untuk menanggung risiko? Ini adalah jenis estimasi what-if-
everythinggoes-wrong.
Kami telah menyarankan menggunakan empat perkiraan sebagai gagasan tentang
kisaran biaya dalam pemikiran berbagai orang. Namun, satu perkiraan tebakan terbaik harus
dipilih dari empat perkiraan, biasanya sesuatu di antara perkiraan 2 dan 3 dalam
daftar. Estimasi dan pekerjaan pendukung ini harus didokumentasikan, dengan perkiraan biaya
yang dipilih dimasukkan sebagai dampak biaya pada Tampilan 6.4, jadwal perencanaan
respons risiko. Ini adalah risiko yang sama yang diidentifikasi dalam jadwal Tampilan 6.3
tetapi di sini diperintahkan oleh peringkat risiko. Penataan ulang ini penting ketika perusahaan
memiliki daftar panjang risiko yang teridentifikasi.
Nilai yang diharapkan atau nilai biaya dalam Tampilan 6.4 hanyalah produk dari
dampak biaya dan skor risiko mereka. Ini adalah perkiraan berapa biayanya bagi perusahaan
untuk menimbulkan risiko. Meskipun angka yang dipilih untuk sampel ini sangat arbitrer,
mereka menunjukkan bagaimana spesialis manajemen risiko harus menafsirkan atau bertindak
pada jenis analisis ini. Risiko C, misalnya, memiliki kemungkinan dan signifikansi yang tinggi
serta biaya yang diharapkan cukup tinggi untuk dikoreksi. Ini adalah jenis risiko yang
manajemen harus mengidentifikasi sebagai kandidat untuk tindakan korektif.
Namun, risiko berikutnya pada jadwal, Risiko G, juga berada di sisi kiri atas kuadran
tetapi dengan biaya yang relatif rendah untuk diterapkan. Manajemen dapat memutuskan untuk
menerima risiko ini atau mengembangkan beberapa bentuk rencana remediasi lainnya. Risiko
H adalah risiko lain dengan biaya tinggi untuk menerapkan risiko, signifikansi yang cukup
tinggi, dan kemungkinan terjadinya yang rendah. Seringkali untuk jenis risiko ini, manajemen
dapat memutuskan untuk berharap untuk yang terbaik dan hidup bersama mereka. Risiko
semacam itu mahal jika terjadi tetapi juga mahal untuk dilindungi.
(ii) RISIKO PEMANTAUAN. Identifikasi risiko kunci tidak pernah bisa menjadi proses satu
kali. Lingkungan sekitar risiko yang teridentifikasi akan segera berubah ketika kondisi di
sekitarnya berubah. Untuk beberapa risiko, kondisinya dapat berubah sehingga risiko menjadi
ancaman yang lebih besar. Sebagai contoh, manajemen mungkin telah mengidentifikasi risiko
politik potensial di beberapa negara yang kurang berkembang, tetapi peristiwa sering terjadi
dengan cepat, dan perubahan politik di negara yang sama dapat membuat kekhawatiran itu
menjadi lebih berisiko. Perusahaan membutuhkan mekanisme untuk memantau risiko yang
teridentifikasi ini.
COSO Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan
memiliki definisi risiko yang konsisten. Ini juga merupakan alat penting untuk memahami dan
meningkatkan pengendalian internal SOx. COSO ERM diluncurkan dengan cara yang mirip
dengan pengembangan kerangka kerja pengendalian internal COSO, seperti yang dibahas pada
Bab 3. Sama seperti tidak ada definisi yang konsisten dari pengendalian internal, juga tidak
ada definisi risiko tingkat perusahaan yang konsisten .Kekhawatiran ini ditekankan oleh
komentar John Flaherty, ketua pertama COSO: “Meskipun banyak orang berbicara tentang
risiko, tidak ada definisi yang diterima secara umum tentang manajemen risiko dan tidak ada
kerangka kerja komprehensif yang menguraikan bagaimana proses seharusnya
bekerja, membuat komunikasi risiko di antara anggota dewan dan manajemen menjadi sulit
dan membuat frustrasi. ” COSO mengontrak dengan PricewaterhouseCoopers (PwC) untuk
mengembangkan kerangka kerja risiko ini. Kerangka kerja COSO ERM diterbitkan setelah
diberlakukannya SOx pada bulan September 2004. Sisa dari bab ini merangkum COSO ERM
dalam beberapa detail.
Sama seperti kerangka kerja pengendalian internal COSO yang dimulai dengan
mengusulkan definisi yang konsisten dari subjeknya, dokumen kerangka kerja COSO ERM
dimulai dengan mendefinisikan manajemen risiko perusahaan:
Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel lain entitas, diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas, dan mengelola risiko agar berada dalam perusahaannya risk
appetite, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.
Tujuan dan sasaran yang terkait dengan ERM hanya bernilai kecil kecuali jika dapat
diorganisir dan dimodelkan secara bersama-sama dengan cara manajer dapat melihat berbagai
aspek dari suatu tugas dan memahami setidaknya semacam bagaimana mereka berinteraksi dan
berhubungan dalam multidimensi. kekuatan model kerangka kerja pengendalian internal CJS.
Ini menggambarkan, untuk contoh, bagaimana kepatuhan perusahaan dengan tingkat
pengaturan ac, kontrol, lingkungan kontrol, dan bagaimana kepatuhan itu penting untuk semua
entitas atau unit dari harga jual. Kerangka kerja COSO ERM memberikan beberapa definisi
umum tentang manajemen risiko dan dapat membantu mencapai tujuan pengendalian internal
Sox serta proses manajemen risiko yang lebih baik di seluruh perusahaan.
Kerangka kerja pengendalian internal COSO, ditunjukkan dalam Exlibit 3.1, telah menjadi
model di seluruh dunia untuk menggambarkan dan mendefinisikan kontrol internal dan telah
menjadi dasar untuk menetapkan kepatuhan Bagian 404 SOx. Mungkin karena beberapa
anggota tim yang sama terlibat dengan kontrol internal COSO dan ERM, kerangka kerja COSO
ERM, pada pengamatan pertama terlihat sangat mirip dengan kerangka kontrol internal COSO.
Tampilan 6.5 menunjukkan kerangka COSO ERM ini sebagai tiga dimensi :
Karena diagram kerangka COSO ERM terlihat sangat mirip dengan kerangka kendali
internal COSO yang telah menjadi akrab bagi banyak auditor internal selama beberapa tahun
terakhir dan tentu saja setelah SOx, terkadang ada yang salah memandang COSO ERM hanya
sebagai pembaruan baru untuk trem kontrol internal COSO. Namun, COSO ERM memiliki
tujuan penggunaan yang berbeda. COSO ERM tidak boleh dianggap hanya versi baru dan lebih
baik atau direvisi dari kerangka kerja pengendalian internal COSO. Jauh lebih banyak. Bagian
selanjutnya menguraikan kerangka kerja ini dari perspektif komponen risiko.
Melihat wajah kubus COSO ERM, ada delapan level, dengan lingkungan internal yang terletak
di bagian atas kerangka ERM. Sebaliknya, dalam kerangka kerja pengendalian internal COSO,
faktor lingkungan kontrol ditempatkan di tingkat fondasi. Lingkungan internal dapat dianggap
sebagai batu penjuru untuk COSO ERM. Komponen ini mirip dengan kotak di bagian atas
bagan organisasi yang mencantumkan CEO sebagai kepala fungsi yang ditunjuk. Tingkat ini
mendefinisikan dasar untuk semua komponen lain dalam model ERM enterprice, yang
memengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
terkait risiko disusun dan bagaimana risiko diidentifikasi dan ditindaklanjuti. Sementara
lingkungan kontrol pengendalian internal COSO berfokus pada prartis yang ada saat ini, seperti
pocies konsep manusia, ERM mengambil pendekatan yang lebih berorientasi pada masa depan
dan berorientasi pada filosofi. Komponen lingkungan internal COSO ERM terdiri dari elemen-
elemen ini:
Ini adalah sikap dan keyakinan bersama yang menjadi ciri bagaimana perusahaan
mempertimbangkan risiko dalam segala hal yang dilakukannya. Lebih dari sekadar
pesan dalam kode etik, sebuah filosofi manajemen risiko adalah sikap yang harus
memungkinkan para pemangku kepentingan di semua tingkatan untuk menanggapi
proposal berisiko tinggi dengan jawaban di sepanjang garis mungkin, "Tidak, itu bukan
jenis usaha perusahaan kami akan tertarik". Tentu saja, perusahaan dengan filosofi yang
berbeda mungkin menanggapi proposal yang sama ini dengan "Kedengarannya
menarik. Berapa tingkat pengembalian yang diharapkan?". Tidak ada respons yang
benar-benar salah, tetapi perusahaan harus berusaha mengembangkan sikap yang
konsisten tentang bagaimana perusahaan itu menerima usaha berisiko. Filosofi risiko
ini penting ketika auditor internal mengevaluasi kontrol internal SOx.
Risks Appetite
Appetite adalah jumlah risiko yang bersedia diterima perusahaan dalam mengejar
tujuannya. Selera risiko dapat diukur dalam istilah kuantitatif atau kualitatif, tetapi
semua tingkat manajemen harus memiliki pemahaman umum tentang selera risiko
keseluruhan perusahaan mereka. Istilah appettte tidak sering digunakan oleh auditor
internal dan manajer lain sebelum COSO ERM, tetapi itu adalah ungkapan yang
berguna yang menggambarkan filosofi risiko keseluruhan
Dewan dan komitenya memiliki peran yang sangat penting dalam mengawasi dan
membimbing lingkungan risiko perusahaan. Direktur independen di luar khususnya
harus meninjau dengan cermat tindakan manajemen, mengajukan pertanyaan yang
sesuai, dan berfungsi sebagai kontrol kerabat dan keseimbangan bagi perusahaan.
Ketika seorang pejabat senior perusahaan memiliki sikap yang tidak mungkin terjadi di
sini mengenai risiko yang dapat dipicu di berbagai tingkat, anggota dewan harus
mengajukan pertanyaan sulit tentang bagaimana perusahaan akan bereaksi jika salah
satu dari peristiwa itu benar-benar terjadi.
Elemen lingkungan internal ERM yang penting ini membutuhkan lebih dari sekadar
kode perilaku yang diterbitkan dan mencakup pernyataan misi dan standar integritas
yang dipikirkan dengan matang. Materi-materi ini membantu membangun budaya yang
kuat untuk memandu perusahaan, level, dalam membantu membuat keputusan yang
berisiko. Nilai-nilai etis yang lebih kuat di sini mungkin telah membantu perusahaan
seperti Enron dan WorldCom, untuk menghindari skandal akuntansi yang mengarah
pada diberlakukannya SOx. Area ini harus menjadi esensial setiap kerangka ERM saat
ini.
Struktur organisasi
Komponen ERM ini mengacu pada sejauh mana wewenang dan tanggung jawab
ditugaskan atau didelegasikan. Tren di banyak perusahaan saat ini adalah untuk
mendorong tanggung jawab otoritas appval ke bawah bagan organisasi, karyawan
tingkat bawah dan bahkan tingkat pertama yang lebih besar otoritas otorisasi dan
persetujuan. Kecenderungan terkait adalah meratakan organisasi dengan
menghilangkan tingkat manajemen menengah. Struktur ini biasanya mendorong
kreativitas karyawan, waktu respons yang lebih cepat, dan kepuasan pelanggan yang
lebih besar. Namun, jenis organisasi yang menghadapi pelanggan ini memerlukan
prosedur dan aturan yang kuat untuk staf serta manajemen sehingga keputusan staf yang
lebih rendah dapat ditolak jika perlu. Semua individu harus tahu bagaimana tindakan
mereka saling terkait dan berkontribusi pada tujuan keseluruhan perusahaan. Kode
perilaku yang kuat adalah elemen penting di sini.
Materi panduan COSO ERM yang diterbitkan memuat contoh-contoh lain dari
komponen yang diperlukan untuk membangun lingkungan internal yang efektif. Banyak
mengacu pada standar dan pendekatan yang harus diterapkan perusahaan untuk menerima dan
mengelola berbagai tingkat risiko, dan yang lain merujuk pada praktik bisnis yang baik saja.
Terlepas dari apakah suatu perusahaan memiliki minat yang tinggi terhadap risiko, ia perlu
menerapkan praktik lingkungan untuk mengelola risiko tersebut. Sebagai contoh, perusahaan
dapat memberikan tenaga penjualan yang agak bebas untuk melakukan transaksi tanpa banyak
pengawasan dan persetujuan manajemen. Namun setiap orang harus mengetahui batasan-
batasan kebijakan hukum, etika, dan manajemen dari praktik-praktik bebas-pengawasan
tersebut. Proses harus dilakukan sedemikian rupa sehingga siapa pun melangkah melewati
batas mengenai batasan-batasan ini, tindakan perbaikan cepat diambil dan dikomunikasikan.
Ada banyak cara bagi suatu perusahaan untuk mengomunikasikan standar manajemen
risikonya, tetapi pernyataan formal dalam laporan tahunan atau informasi di halaman web
perusahaan adalah tempat yang bagus.
Dua komponen lingkungan internal COSO ERM, filosofi manajemen risiko perusahaan
dan minat relatifnya terhadap risiko, memberi makan elemen-elemen lain dari kerangka kerja
COSO ERM. Sementara filosofi manajemen risiko dibahas dalam hal sikap dewan direksi dan
kebijakan sumber daya manusia, antara lain, risk appetite seringkali merupakan ukuran yang
lebih lunak, di mana perusahaan telah menentukan bahwa mereka akan menerima beberapa
risiko tetapi menolak yang lain dalam hal kemungkinan dan risiko mereka. dampak. Exibit 6.6
menunjukkan peta selera makan. Suatu perusahaan harus mengenali kisaran di mana ia bersedia
untuk menerima risiko dalam hal kemungkinan dan dampaknya, pamerannya mengatakan
bahwa suatu perusahaan mungkin bersedia untuk terlibat dalam proyek dampak-negatif yang
tinggi jika ada kemungkinan rendah terjadinya suatu kejadian. . Ada dimensi ketiga untuk
bagan ini juga. Suatu perusahaan kadang-kadang akan memiliki selera yang lebih besar untuk
upaya yang lebih berisiko jika ada potensi pengembalian yang lebih tinggi.
Peringkat tepat di bawah lingkungan internal dalam kerangka kerja COSO ERM, penetapan
tujuan menjabarkan kondisi-kondisi penting untuk membantu manajemen menciptakan proses
ERM yang tidak efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang
efektif, perusahaan harus menetapkan serangkaian tujuan strategis, selaras dengan misinya dan
mencakup kegiatan operasi, pelaporan, dan kepatuhan. COSO ERM menekankan bahwa
pernyataan misi adalah elemen penting untuk menetapkan tujuan; ini adalah pernyataan tujuan
umum dan formal dan blok hading untuk pengembangan strategi fungsional spesifik.
Seringkali hanya pernyataan sederhana dan mudah, pernyataan misi harus merangkum tujuan
perusahaan dan sikap keseluruhannya terhadap risiko. Dilakukan dan disampaikan dengan
benar, pernyataan misi harus mendorong perusahaan untuk mengembangkan tujuan strategis
tingkat tinggi dan kemudian membantu memilih dan melaksanakan tujuan operasi, pelaporan,
dan kepatuhan. Sementara tujuan operasi berkaitan dengan efektivitas dan efisiensi untuk usaha
dalam mencapai profitabilitas dan kinerja, tujuan kepatuhan mencakup pelaporan kinerja dan
kepatuhan terhadap undang-undang dan peraturan. COSO ERM menyerukan perusahaan untuk
secara formal menentukan sasarannya dengan keterkaitan langsung dengan pernyataan
misinya, bersama dengan kriteria pengukuran untuk menilai apakah perusahaan tersebut
mencapai tujuan manajemen risiko ini.
Strategi
Perluas produksi di semua pasar
untuk memenuhi permintaan Appetite Risiko
Tujuan Strategis
Kembangkan produk
Untuk berada di untuk mendukung
kuartil teratas teknologi yang lebih baru.
dalam penjualan Kurangi waktu pengujian
Tujuan Terkait
produk di semua Tingkatkan produksi di seluruh dunia sebesar
untuk meningkatkan
kategori X%. produksi.
Pertahankan kualitas produk dengan 4,0 sigma. Jangan terima erosi dalam
Tindakan Pertahankan tingkat pengembalian produk kualitas produk.
Saham pelanggan <Y%.
Mengurangi staf di seluruh dunia sebesar Z%.
Tindakan
Unit produksi
Laporan kontrol kualitas di seluruh dunia
Tingkat kepegawaian menurut unit bisnis
Toleransi Risiko
Toleransi dan Rentang yang
Tindakan Target Dapat Diterima
Intinya di sini adalah bahwa perusahaan harus perusahaan harus mendefinisikan risiko
terkait strategi dan tujuan. Dalam pedoman itu, ia harus memutuskan selera dan toleransi untuk
risiko ini. Artinya, ia harus menentukan tingkat risiko yang bersedia diterima dan, mengingat
aturan toleransi risiko itu, seberapa jauh ia bersedia menyimpang dari langkah-langkah yang
telah ditetapkan sebelumnya. Tampilan 6.7 menguraikan hubungan bagian-bagian ini dari
komponen tujuan - pengaturan COSO ERM. Dimulai dengan misi keseluruhan, pendekatannya
ialah untuk (1) mengembangkan tujuan strategis untuk mendukung pencapaian misi itu, (2)
menetapkan strategi untuk memenuhi tujuan, (3) menetapkan tujuan terkait, dan (4)
menetapkan selera risiko untuk menyelesaikan strategi itu. Gambar ini diadaptasi dari bahan
panduan COSO ERM. Bahan-bahan ini harus dirujuk untuk pemahaman yang lebih rinci
tentang COSO ERM. Untuk mengelola dan mengendalikan risiko di semua tingkatan,
perusahaan perlu menetapkan tujuannya dan menetapkan toleransinya untuk terlibat dalam
praktik berisiko dan kepatuhannya terhadap aturan-aturan ini. Hal-hal tidak akan berfungsi jika
suatu perusahaan menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi
kemudian mulai mengabaikannya.
Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang mempengaruhi
implementasi strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah
memikirkan kejadian dalam arti negatif - menentukan apa salah - mereka juga bisa bersikap
positif. Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang kuat untuk
memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun, lebih dari
sekadar memasang meteran pada jalur perakitan produksi, proses pemantauan harus mencakup:
Alat dan pendekatan identifikasi risiko dapat menghasilkan beberapa informasi yang
sangat berguna. Penggunaannya membutuhkan analisis data yang baik serta menginisiasikan
rencana tindakan , apakah melindungi dari risiko atau memanfaatkan peluang potensial.
Sementara komponen lingkungan internal adalah landasan COSO ERM (Bagian 4.3 (h)
membahas pemantauan sebagai landasannya), komponen penilaian risiko adalah inti kerangka
kerja. Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan dampak potensial
yang mungkin timbul dari peristiwa terkait risiko terhadap pencapaian tujuan perusahaan.
Risiko-risiko ini harus dinilai dari dua perspektif: kemungkinan terjadinya risiko dan dampak
potensialnya. Sebagai bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah
kebutuhan untuk mempertimbangkan risiko inheren dan juga risiko residual :
Kedua konsep ini menyiratkan bahwa suatu perusahaan akan selalu menghadapi
beberapa risiko. Setelah manajemen menangani risiko yang timbul dari proses identifikasi
risiko, masih akan ada beberapa risiko residual yang harus diperbaiki. Selain itu, selalu ada
beberapa risiko yang melekat bahwa manajemen dapat melakukan sedikit untuk memitigasi.
Wal-Mart, misalnya, dapat mengambil beberapa langkah untuk mengurangi risiko inheren
terkait dengan dominasi pasar tetapi pada dasarnya tidak dapat melakukan apa pun terkait risiko
inheren gempa bumi besar.
Kemungkinan dan dampak risiko adalah dua komponen penting lainnya yang
diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau
kemungkinan suatu risiko akan terjadi. Dalam banyak kasus, ini bisa menjadi penilaian
manajemen kunci yang dinyatakan dalam kemungkinan risiko tinggi, sedang, atau rendah. Ada
juga beberapa alat kuantitatif yang baik untuk mengembangkan perkiraan kemungkinan, tetapi
tidak ada gunanya memperkirakan kemungkinan risiko yang terjadi kecuali ada data
pendukung yang kuat.
Memperkirakan dampak jika peristiwa risiko terjadi sedikit lebih mudah. Contohnya,
untuk risiko yang terkait dengan IT, dampak dari server data dan kegagalan jaringan pusat
bencana; suatu perusahaan dapat mengembangkan beberapa perkiraan yang relatif akurat
seperti biaya penggantian fasilitas dan peralatan, biaya sistem pemulihan, dan biaya bisnis yang
hilang karena kegagalan terkait TI. Namun, seluruh konsep di balik ERM bukan untuk
mengembangkan perhitungan tingkat keakuratan yang tepat mengenai risiko ini, tetapi untuk
menyediakan kerangka kerja manajemen risiko yang efektif. Perhitungan terperinci dapat
didelegasikan kepada penaksir asuransi dan lainnya.
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM menyerukan
tanggapan terukur terhadap berbagai risiko yang diidentifikasi ini. Harus ada peninjauan yang
cermat terhadap kemungkinan risiko yang diperkirakan dan dampak potensial, dengan
pertimbangan diberikan pada biaya dan manfaat yang terkait, untuk mengembangkan strategi
respon risiko yang tepat. Respon risiko ini dapat ditangani dengan salah satu dari empat cara
dasar ini :
1. Penghindaran. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis berisiko, atau menjatuhkan
lini produk. Kesulitannya adalah bahwa perusahaan sering kali tidak dapat melepaskan
lini produk atau berjalan pergi sampai setelah peristiwa risiko terjadi dengan biaya
terkait. Kecuali jika perusahaan memiliki selera risiko yang sangat rendah, sulit untuk
meninggalkan area bisnis yang sukses atau lini produk berdasarkan risiko potensial di
masa depan. Penghindaran bisa menjadi strategi yang berpotensi mahal jika investasi
dilakukan untuk masuk ke area dengan penarikan berikutnya untuk menghindari risiko.
Pemahaman yang dipelajari secara kolektif dari kegiatan masa lalu sering kali
dapat membantu dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa bidang
di masa lalu dengan konsekuensi yang tidak menguntungkan, ini mungkin cara yang baik
untuk menghindari risiko sekali lagi. Karena perubahan yang konstan dan masa kerja
yang singkat, sejarah kolektif ini terlalu sering hilang dan dilupakan. Selerah suatu
perusahaan yang dipahami dengan baik dan dikomunikasikan untuk risiko mungkin
merupakan pertimbangan paling penting ketika memutuskan apakah strategi
penghindaran risiko sesuai.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko terlalu kuatnya
ketergantungan pada satu lini produk utama; pemisahan operasi TI menjadi dua lokasi
yang terpisah secara geografis akan mengurangi risiko beberapa kegagalan besar. Jumlah
strategi yang efektif untuk mengurangi risiko turun ke hal-hal yang sudah jelas dan biasa,
seperti pelatihan lintas karyawan untuk mengurangi risiko seseorang pergi tanpa terduga.
3. Berbagi. Hampir semua perusahaan secara teratur membagikan sebagian risiko mereka
melalui pembelian asuransi, tetapi teknik pembagian risiko lainnya juga tersedia. Untuk
transaksi keuangan, suatu perusahaan dapat melakukan operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi potensi risiko dan
imbalan bisnis melalui perjanjian usaha patungan perusahaan atau pengaturan struktural
lainnya. Idenya adalah meminta pihak lain menerima beberapa risiko potensial serta
untuk berbagi dalam imbalan apa pun yang dihasilkan.
4. Penerimaan. Ini adalah strategi tanpa tindakan, seperti ketika sebuah perusahaan
melakukan Asuransi sendiri dengan tidak mengambil tindakan untuk mengurangi potensi
risiko. Intinya, sebuah perusahaan harus melihat kemungkinan risiko dan dampaknya
berdasarkan risiko yang telah ditetapkan toleransi dan kemudian memutuskan apakah
akan menerima risiko itu atau tidak. Penerimaan adalah sering merupakan strategi yang
tepat untuk berbagai risiko yang dimiliki suatu perusahaan wajah.
Manajemen harus mengembangkan strategi respons umum untuk setiap risiko yang
digunakan suatu pendekatan yang dibangun di sekitar satu atau campuran dari strategi
penghindaran risiko ini. Dalam melakukan hal itu, harus mempertimbangkan biaya versus
manfaat dari setiap respons risiko potensial serta strategi yang paling sesuai dengan selera
risiko keseluruhan perusahaan. Untuk misalnya, pengakuan perusahaan bahwa dampak risiko
yang diberikan relatif rendah akan seimbang terhadap toleransi risiko rendah yang
menunjukkan bahwa asuransi harus dibeli untuk memberikan respons risiko potensial. Untuk
banyak risiko, pantas tanggapannya jelas dan hampir dipahami secara universal. Operasi TI,
untuk misalnya, menghabiskan waktu dan sumber daya untuk membuat cadangan file data
utama dan implementasinya rencana kesinambungan bisnis. Biasanya tidak ada pertanyaan
mengenai kebutuhan tersebut untuk pendekatan dasar ini, tetapi berbagai tingkat manajemen
dapat mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana
kesinambungan perlu diuji. Artinya, mereka mungkin mempertanyakan sejauh mana dan biaya
tindakan pencegahan risiko yang direncanakan.
Suatu perusahaan harus kembali ke sasaran risiko yang telah ditetapkan serta rentang
toleransi untuk tujuan tersebut. Maka harus membaca ulang kedua kemungkinan dan dampak
yang terkait dengan masing-masing untuk mengembangkan set keseluruhan risiko yang
direncanakan tanggapan. Ini mungkin langkah paling sulit dalam membangun ERM COSO
yang efektif program. Relatif mudah untuk mengidentifikasi risiko kemungkinan 5% yang
mungkin bisa menjadi api di tempat sampah dan kemudian membuat respon risiko untuk
memasang pemadam api terdekat. Namun, respons terhadap sebagian besar risiko sangat
banyak lebih kompleks dan memerlukan perencanaan dan analisis yang cukup rinci. Jika ada
risiko bahwa suatu perusahaan dapat kehilangan seluruh operasi manufaktur karena kunci
tetapi tua kegagalan produksi pabrik peralatan, respons risiko potensial dapat mencakup:
Memperoleh peralatan produksi cadangan untuk berfungsi sebagai suku cadang untuk
kanibalisasi.
Matikan lini produksi manufaktur dengan rencana untuk memindahkannya ke tempat
lain.
Aturlah toko khusus untuk membangun kembali / merekonstruksi peralatan lama.
Merencanakan ulang produk yang diproduksi dan rencana untuk pengenalan produk
baru
COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi pada suatu
entitas- atau dasar portofolio luas. Ini bisa menjadi proses yang sulit di multiproduk besar,
multi-unit perusahaan, tetapi memberikan titik awal dalam mengatur berbagai risiko ini untuk
mengidentifikasi risiko yang lebih signifikan yang dapat berdampak pada perusahaan. Idenya
di sini adalah untuk melihat potensi risiko, kemungkinan terjadinya, dan dampaknya. sebuah
analisis yang baik di sini harus menyoroti bidang-bidang untuk perhatian lebih rinci
Aktivitas kontrol ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan pada respons risiko yang diidentifikasi. Meskipun beberapa kegiatan ini hanya
berhubungan dengan respons risiko yang diidentifikasi dan disetujui di bidang perusahaan,
mereka sering tumpang tindih di beberapa fungsi dan unit. Komponen kegiatan pengendalian
PT COSO ERM harus dikaitkan erat dengan strategi dan tindakan respons risiko dibahas
sebelumnya. Setelah memilih respons risiko yang sesuai, perusahaan harus memilih control
kegiatan yang diperlukan untuk memastikan bahwa respons risiko dilaksanakan tepat waktu
dancara yang efisien. Proses menentukan apakah kegiatan kontrol dilakukan benar sangat mirip
dengan menyelesaikan penilaian kontrol internal Bagian 404 Sox (dibahas pada Bab 4). COSO
ERM membutuhkan pendekatan untuk mengidentifikasi, mendokumentasikan, menguji, dan
kemudian memvalidasi kontrol perlindungan risiko ini. Setelah melalui identifikasi, penilaian,
dan proses respons risiko COSO ERM, risiko pemantauan membutuhkan empat langkah ini:
Proses empat langkah ini mirip dengan persyaratan SOx Bagian 404 untuk ditinjau, menguji,
dan kemudian menegaskan bahwa proses kontrol internal bekerja dengan baik. Utama
Perbedaannya, tentu saja, adalah bahwa di bawah SOx, suatu perusahaan secara hukum
diharuskan untuk menyatakan kecukupan kontrol internal. Tidak ada persyaratan hukum
seperti saat ini dengan COSO ERM, tetapi perusahaan harus menginstal kegiatan kontrol
pemantauan risiko untuk memantau berbagai risiko yang telah diidentifikasi. Karena sifat kritis
banyak orang risiko terhadap suatu perusahaan, pemantauan risiko dapat menjadi sangat
penting bagi keseluruhan perusahaan kesehatan.
Banyak kegiatan kontrol di bawah kendali internal COSO cukup mudah untuk
diidentifikasi dan uji karena sifat akuntansi mereka. Kegiatan pengendalian ini umumnya
meliputi area kendali internal ini:
Pemisahan tugas. Pada dasarnya, orang yang melakukan transaksi harus bukan orang
yang sama yang mengotorisasi transaksi itu.
Jalur audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang tepat prosedur
sedemikian rupa sehingga hanya orang yang berwenang yang dapat meninjau atau
memodifikasinya.
Dokumentasi. Proses harus didokumentasikan dengan tepat.
Prosedur kontrol ini, dan lainnya, cukup dikenal dan berlaku untuk semua proses
pengendalian internal dalam suatu perusahaan dan juga dapat berlaku untuk banyak risiko acara
yang terkait. Banyak profesional, apakah mereka memiliki akuntansi dan audit latar belakang
atau tidak, sering dapat mendefinisikan beberapa kontrol utama yang diperlukan dalam
sebagian besar bisnis proses. Misalnya, jika diminta mengidentifikasi jenis-jenis kontrol
internal yang seharusnya dibangun ke dalam sistem hutang, banyak profesional mengatakan
cek itu dikeluarkan dari system dan harus disahkan oleh orang independen, catatan Akuntansi
itu harus ada di tempat untuk melacak cek yang dikeluarkan, dan bahwa cek tersebut
dikeluarkan dengan proses sedemikian rupa sehingga hanya orang yang berwenang yang dapat
memulai transaksi finansial. Ini umumnya prosedur pengendalian internal yang dipahami
dengan baik dan dipahami secara luas. Suatu perusahaan seringkali menghadapi tugas yang
lebih sulit dalam mengidentifikasi control kegiatan untuk mendukung kerangka ERM-nya.
Meski tidak ada yang diterima atau standar mengatur kegiatan kontrol ERM saat ini,
dokumentasi ERM COSO menyarankan beberapa area:
Ulasan tingkat atas. Manajer senior harus sangat menyadari risiko yang teridentifikasi
dalam unit organisasi mereka dan melakukan tinjauan tingkat atas regular pada status
risiko yang teridentifikasi.
Manajemen fungsional atau aktivitas langsung. Selain ulasan tingkat atas, manajer unit
fungsional dan langsung harus memiliki peran kunci dalam pengendalian risiko
pemantauan kegiatan. Ini sangat penting di mana kegiatan pengendalian dilakukan
tempat dalam unit operasi terpisah dengan kebutuhan untuk komunikasi dan resolusi
risiko di seluruh saluran perusahaan.
Memproses informasi. Apakah itu proses berbasis peralatan IT atau lebih lunak
formulir seperti kertas atau pesan, pemrosesan informasi mewakili komponen kunci
dalam kegiatan pengendalian terkait risiko suatu perusahaan. Prosedur kontrol yang
tepat harus didirikan dengan penekanan pada proses TI perusahaan dan risiko.
Control fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti itu
sebagai peralatan, inventaris, sekuritas, dan pabrik fisik. Apakah fisik inventaris,
inspeksi, atau prosedur keamanan pabrik, suatu perusahaan harus memasang prosedur
aktivitas kontrol fisik berbasis risiko yang tepat.
Indikator kinerja. Perusahaan khas saat ini mempekerjakan berbagai alat pelaporan
keuangan dan operasional yang juga dapat mendukung risiko terkait peristiwa
pelaporan kinerja. Bila perlu, alat kinerja harus dimodifikasi untuk mendukung
komponen aktivitas kontrol ERM yang penting ini.
Pemisahan tugas. Aktivitas kontrol klasik, orang yang memulai tertentu tindakan tidak
boleh orang yang sama yang menyetujuinya.
Aktivitas kontrol ini disorot dalam materi panduan COSO ERM. Mereka dapat
diperluas untuk mencakup bidang utama lainnya. Beberapa akan lebih spesifik untuk individu
unit dalam perusahaan, tetapi masing-masing, secara tunggal dan kolektif, komponen penting
untuk mendukung kerangka kerja ERM perusahaan.
Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka COSO ERM
dalam Tampilan 6.5, informasi dan komunikasi kurang terpisah terkait risiko proses daripada
alat dan proses yang menghubungkan komponen ERM COSO lainnya. Itu Konsep dijelaskan
dalam Tampilan 6.9 yang menunjukkan arus informasi melintasi COSO Komponen ERM.
Sebagai contoh, komponen respons risiko menerima residu dan input risiko yang melekat dari
penilaian risiko serta dukungan toleransi risiko dari komponen penetapan tujuan. Respon risiko
ERM kemudian memberikan respons risiko dan data portofolio risiko untuk mengontrol
aktivitas serta umpan balik ke penilaian risiko. Berdiri sendiri, komponen pemantauan tidak
memiliki informasi langsung koneksi tetapi memiliki tanggung jawab keseluruhan untuk
meninjau semua fungsi ini.
Exhibit 6.9 Arus Informasi dan Komunikasi dalam Komponen ERM
Sumber: Manajemen Risiko COSO Enterprise: Memahami Kerangka ERM Terpadu
Baru, Robert R. Moeller, Hak Cipta C _ 2007 John Wiley & Sons. Dicetak ulang
dengan izin John Wiley & Sons, Inc.
(h) Pemantauan
Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen ERM yang terpasang bekerja secara efektif. Orang-orang
dalam perubahan perusahaan, seperti halnya proses pendukung dan internal dan kondisi
eksternal, tetapi komponen pemantauan membantu memastikan bahwa ERM berfungsi efektif
secara berkelanjutan. Contoh pemantauan termasuk proses untuk menandai pengecualian atau
pelanggaran dalam komponen proses ERM lainnya. Misalnya, sebuah fungsi penagihan
piutang harus mengidentifikasi keseluruhan keuangan dan operasional risiko jika tagihan
pelanggan tidak dibayarkan tepat waktu. Yang sedang berlangsung — waktu nyata — alat
pemantauan pengumpulan kredit dapat menyediakan manajemen senior sehari-hari dan tren
data tentang status koleksi. Pemantauan dasbor alat, yang dibahas sebelumnya, adalah monitor
ERM yang dapat bekerja secara terus menerus. Melampaui alat pemantauan dasbor,
manajemen perusahaan harus mengambil tanggung jawab keseluruhan untuk pemantauan
ERM. Untuk membangun ERM yang efektif kerangka kerja, pemantauan harus mencakup
tinjauan berkelanjutan dari keseluruhan proses ERM mulai dari tujuan yang diidentifikasi
hingga kemajuan kegiatan pengendalian ERM yang sedang berlangsung.
Meskipun banyak dari pengantar COSO ERM kami di sini berada di sisi depan kerangka tiga
dimensi, dua dimensi lainnya — operasional dan tingkat organisasi — harus selalu
dipertimbangkan. Setiap komponen ERM COSO beroperasi di ruang tiga dimensi ini; masing
- masing harus dipertimbangkan dalam hal Kategori terkait lainnya. Komponen-komponen
strategis, operasi, pelaporan, dan sasaran risiko kepatuhan penting untuk dipahami dan
diterapkan COSO ERM. Selain itu, sementara Exhibit 6.5 menunjukkan masing-masing risiko
yang dihadapi ini tujuan memiliki ukuran relatif yang sama, tujuan risiko tingkat operasi sering
dipandang sebagai kategori risiko paparan yang jauh lebih luas dan lebih tinggi daripada yang
lain.
Banyak jenis risiko operasi dapat berdampak pada perusahaan. Mengikuti tiga dimensi
Kerangka kerja ERM, sasaran risiko tingkat operasi memerlukan identifikasi risiko untuk
setiap unit perusahaan. Identifikasi risiko tingkat operasi ini tujuan sering kali memerlukan
pengumpulan dan analisis informasi terperinci, terutama untuk perusahaan yang lebih besar
yang mencakup beberapa area geografis, lini produk, atau bisnis proses. Manajer langsung unit
individu biasanya memiliki pemahaman terbaik risiko operasional mereka, dan informasi itu
dapat hilang ketika dikonsolidasikan untuk pelaporan tingkat yang lebih tinggi. Tinjauan audit
internal atau survei orang yang terkena dampak langsung dengan risiko ini dapat membantu
untuk mengumpulkan informasi latar belakang yang lebih rinci risiko operasi potensial. Sebuah
survei terhadap anggota langsung dari perusahaan,mseiring dengan pertanyaan lanjutan, akan
memungkinkan pengembangan yang luas dan konsisten set risiko operasi yang di katalog.
Pertanyaan yang diajukan di sini akan serupa denganjenis pertanyaan terperinci yang
digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini bisa
menjadi dasar untuk mengembangkan pemahaman yang lebih baik potensi risiko.
Jenis survei ini, diedarkan di semua tingkat perusahaan, dengan pesan yang mendorong
pemangku kepentingan untuk merespons secara jujur, seringkali mengumpulkan informasi
penting mengenai risiko potensial pada tingkat operasional yang terperinci. Seorang manajer
dari pabrik yang beroperasi jarak jauh mungkin tidak memiliki kekhawatiran yang
dikomunikasikan secara memadai tentang beberapa risiko operasional tingkat pabrik.
Seringkali survei yang luas dan rahasia lebih baik memungkinkan orang untuk
mengomunikasikan risiko operasi tingkat lokal melalui perusahaan.
Dengan pandangan portofolio risiko ERM, suatu perusahaan harus menghindari hal-hal
yang terlalu banyak menjadi tingkat ringkasan, hilang atau membulatkan risiko tingkat rendah
yang penting. Apa pun posisi mereka di perusahaan atau lokasi geografis mereka, manajer di
semua tingkatan harus menyadari bahwa mereka bertanggung jawab untuk menerima dan
mengelola risiko di dalam unit operasional mereka sendiri. Terlalu sering, manajer unit
mungkin percaya bahwa manajemen risiko hanya menjadi perhatian bagi staf kantor pusat
tingkat senior. Pentingnya COSO ERM dan manajemen risiko operasi harus dikomunikasikan
ke semua tingkatan perusahaan. Auditor internal harus bertindak sebagai mata dan telinga di
sini dan melaporkan semua risiko operasi yang diamati.
Tujuan risiko ini mencakup keandalan laporan perusahaan tentang data keuangan dan
nonfinansial internal dan eksternal. Pelaporan yang akurat sangat penting untuk keberhasilan
suatu perusahaan dalam banyak dimensi. Laporan berita sering merinci penemuan pelaporan
keuangan perusahaan yang tidak akurat dan akibat yang ditimbulkan pasar saham untuk entitas
yang melanggar. Pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di
banyak bidang. Sebuah contoh risiko yang terkait dengan pelaporan yang tidak akurat menjadi
masalah beberapa tahun lalu di perusahaan minyak besar Royal Dutch Shell. Perusahaan
eksplorasi minyak dan gas diwajibkan untuk melaporkan cadangan mereka — jumlah minyak
dan gas pada properti mereka yang belum diekstraksi. Pada bulan Januari 2004, Royal Dutch
mengumumkan bahwa karena perkiraan buruk dan penyimpanan catatan yang ceroboh, itu
telah secara signifikan melaporkan cadangan minyak bumi yang diperkirakan.6 Kesalahan ini
tidak mempengaruhi hasil keuangan perusahaan yang dilaporkan dan pedoman pelaporan
cadangan SEC di sini tidak terlalu kuat; namun demikian, pasar menghancurkan saham setelah
pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lainnya terpaksa
mengundurkan diri. Perusahaan, di bawah ketua baru, kemudian mengumumkan rakit
perubahan dan perbaikan kontrol internal untuk memperbaiki kerusakan.
Tidak peduli apa industri itu, perusahaan menghadapi risiko besar dari pelaporan yang
tidak akurat di setiap unit atau area. Unit-unit operasi harus memastikan bahwa hasil yang
dilaporkan adalah benar sebelum mereka diteruskan ke tingkat berikutnya dalam organisasi,
dan angka yang terkonsolidasi harus akurat, apakah itu dalam laporan keuangan, pengembalian
pajak, atau segudang area lainnya. Kontrol internal yang baik diperlukan untuk memastikan
pelaporan yang akurat. ERM prihatin dengan risiko otorisasi dan rilis laporan yang tidak akurat.
Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus selalu
mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat. Kesalahan
pelaporan cadangan Dutch Royal Shell adalah contoh dari jenis kekhawatiran pelaporan risiko
ini. Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan
besar yang perlu diungkapkan. Risiko pelaporan yang tidak akurat tersebut harus menjadi
perhatian di semua tingkatan perusahaan.
Semua jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan yang
diberlakukan pemerintah atau standar industri. Sementara risiko kepatuhan dapat dipantau dan
diakui, risiko hukum terkadang sama sekali tidak terduga. Di Amerika Serikat, misalnya,
sistem hukum penggugat yang agresif dapat menimbulkan risiko besar bagi perusahaan yang
berniat baik. Litigasi asbes selama 1990-an dan seterusnya adalah contohnya. Asbes, mineral
berserat, memiliki tiga karakteristik luar biasa: Asbestos berfungsi sebagai isolator untuk panas
dan listrik; itu menolak bahan kimia berbahaya lainnya; dan, ketika terhirup, sekarang
diketahui menyebabkan penyakit yang membutuhkan waktu puluhan tahun untuk berkembang.
Bahan isolasi alami, asbes digunakan secara luas dalam bahan bangunan dan dianggap jinak.
Terlalu banyak kontak langsung dengan serat asbes dari waktu ke waktu, bagaimanapun, dapat
menyebabkan masalah paru-paru yang parah dan bahkan kematian. Penambang bawah tanah
yang mengekstraksi asbes telah menemui nasib itu. Namun, di masa lalu, asbes digunakan di
banyak produk, seperti pembungkus untuk mengisolasi pipa pemanas atau sebagai penghalang
tembok pelindung api. Risiko bagi orang yang bekerja atau tinggal dalam struktur dengan pipa
yang disegel asbes cukup minim, tetapi litigator yang agresif telah mengambil tindakan
terhadap perusahaan, mengklaim bahwa siapa pun yang bisa memiliki kontak dengan produk
yang menggunakan asbes bisa berisiko kapan pun dalam masa depan. Hasilnya adalah litigasi
yang ditujukan terhadap perusahaan yang telah memproduksi produk yang mengandung
beberapa asbes, menyerukan kerusakan berdasarkan risiko manusia yang potensial di tahun-
tahun mendatang. Karena penghargaan kerusakan yang sangat besar, hampir semua perusahaan
besar yang pernah menggunakan asbes telah bangkrut, gulung tikar, atau harus membayar
kerugian kerusakan besar yang dikenakan pengadilan. Jenis risiko hukum ini sangat sulit
diantisipasi tetapi dapat menjadi bencana bagi suatu perusahaan.
Dimensi ketiga kerangka kerja COSO ERM menuntut risiko untuk dipertimbangkan pada
tingkat organisasi atau entitas. Kerangka kerja COSO ERM dalam Tampilan 6.5 menunjukkan
empat divisi dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan risiko
anak perusahaan. Ini bukan divisi tipe perusahaan yang ditentukan, dan ERM menyarankan
bahwa risiko harus mengikuti bagan organisasi resmi. Risiko COSO ERM harus diidentifikasi
dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko berdasarkan entitas
luas melalui unit bisnis individu.
Suatu perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis
di bawahnya akan memiliki kerangka kerja ERM yang mencerminkan semua unit ini.
Sementara risiko-risiko ini mungkin penting bagi keseluruhan organisasi, risiko-risiko tersebut
harus dipertimbangkan berdasarkan unit per unit hingga level serendah yang diperlukan untuk
memungkinkan perusahaan memahami dan mengelola risikonya. COSO ERM tidak merinci
seberapa tipis risiko tingkat unit ini harus diiris, dan kekritisan dan materialitas unit bisnis
individu harus dipertimbangkan. Untuk rantai restoran cepat saji utama dengan ribuan unit,
misalnya, tidak masuk akal untuk memasukkan masing-masing unit sebagai komponen
terpisah dalam model risiko. Sebaliknya, manajemen harus mendefinisikan risiko tingkat
organisasi secara cukup rinci untuk mencakup semua risiko signifikan yang dapat dikelola.
Beberapa risiko pada tingkat unit bisnis harus digulung ke risiko tingkat entitas. Sangat mudah
bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak
material"; untuk menggunakan terminologi akuntansi publik pra-SOx, suatu perusahaan harus
menganggap semua risiko berpotensi signifikan. Misalnya, pertimbangkan anak perusahaan
yang relatif kecil di negara berkembang yang memproduksi pakaian kasual. Seringkali unit
seperti itu sangat kecil dalam hal total kontribusi pendapatan perusahaan atau ukuran relatifnya
sehingga dapat tergelincir di bawah radar pada level perusahaan senior. Namun, jika ada
masalah pekerja anak di negara tuan rumah, perusahaan mungkin mendapati dirinya menjadi
pusat perhatian terkait operasi anak perusahaan yang kecil ini. Dalam situasi seperti itu,
wartawan dapat meminta CEO untuk berkomentar di depan umum tentang kebijakan dan
prosedur di operasi anak perusahaan itu, meskipun CEO mungkin mengetahui keberadaannya
hanya secara samar-samar.
Maksud kami di sini adalah bahwa risiko besar maupun kecil tampaknya dapat
memengaruhi seluruh perusahaan. Pengiriman makanan tercemar yang diproduksi di satu unit
kecil dari rantai makanan cepat saji yang besar dapat berdampak pada prospek dan reputasi
perusahaan secara keseluruhan. Secara relatif mudah untuk mengidentifikasi risiko tingkat-
lebar entitas-tinggi, seperti kepatuhan terhadap SOx Section 404, dan untuk mengidentifikasi
dan memantau ini sebagai bagian dari proses COSO ERM, harus diperhatikan bahwa risiko
potensial yang lebih kecil tidak lolos dari celah. . Karena risiko diidentifikasi melalui penetapan
tujuan organisasi secara luas, risiko tersebut harus dipertimbangkan berdasarkan entitas secara
luas maupun oleh masing-masing unit operasi. Risiko masing-masing unit tersebut harus
ditinjau dan dikonsolidasikan terlebih dahulu untuk mengidentifikasi risiko utama yang dapat
berdampak pada keseluruhan organisasi. Selain itu, risiko di seluruh organisasi juga harus
diidentifikasi.
Risiko terjadi di semua tingkatan perusahaan, apakah divisi produksi utama dengan banyak
pabrik dan ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan negara
asing. Risiko harus dipertimbangkan dalam setiap unit organisasi yang signifikan. Bahkan
risiko yang diidentifikasi dalam posisi kepemilikan minoritas di perusahaan penjualan negara
asing, misalnya, mungkin risiko unik untuk unit itu tetapi kemudian harus menggulung ke
entitas keseluruhan. Kami telah mengutip contoh risiko tingkat entitas yang mungkin timbul
dari kegagalan dalam pembuatan atau standar hak asasi manusia dari anak perusahaan kecil di
negara berkembang. Peristiwa risiko di sini dapat menyebabkan rasa malu bagi perusahaan
secara keseluruhan, tetapi mereka harusnya dikendalikan sampai ke unit perusahaan kecil itu.
Bhopal, India, bencana ledakan tanaman menjatuhkan perusahaan induk, sebagaimana
disebutkan.
Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
seringkali dapat dimulai sebagai proses push-down di mana manajemen tingkat perusahaan
secara resmi menjabarkan masalah terkait risiko utama dan meminta manajemen yang
bertanggung jawab di masing-masing divisi utama untuk mensurvei tujuan risiko melalui unit
operasi dalam divisi itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi di semua
tingkatan dan kemudian dikelola di tingkat di mana mereka dapat menerima dukungan lokal
yang paling langsung.
Konsep utama seputar COSO ERM adalah bahwa suatu perusahaan menghadapi
berbagai risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang lain hanya
mengganggu dan dianggap kecil. Kerangka kerja COSO ERM menyediakan mekanisme untuk
mempertimbangkan risiko-risiko ini; itu adalah alat penting untuk membantu memastikan
kepatuhan SOx.
Kerangka kerja COSO ERM yang dijelaskan di sini membahas pendekatan manajemen risiko
yang berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokusnya pada
mengenali selera perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko
dalam konteks pengaturan strategi keseluruhan, COSO ERM memiliki beberapa perbedaan
mendasar dari sebagian besar model risiko yang telah digunakan hingga saat ini. COSO ERM
belum digunakan cukup lama untuk menunjukkan serangkaian perusahaan sukses yang telah
secara terbuka menerimanya. Namun, dengan penekanan AS 5 pada risiko, kita akan
mendengar lebih banyak tentang itu ke depan. Auditor internal, khususnya, harus menetapkan
tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka kerja penting ini.
COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan
memahami SOx Bagian 404 kontrol internal. Hal ini sangat penting dengan standar audit AS 5
yang lebih baru yang memberikan lebih banyak pertimbangan terhadap risiko ketika
memahami dan mengevaluasi kontrol internal. Manajemen perusahaan di semua tingkatan
harus merangkul COSO ERM, alat penting untuk memahami banyak risiko ganda yang
dihadapi perusahaan saat ini. Auditor internal harus menjadikan COSO ERM sebagai
persyaratan CBOK audit internal, dan harus melakukan audit internal kepatuhan dengan proses
ERM.
6.7 Risiko Pengauditan dan Proses COSO ERM
Auditor internal akan mengalami masalah risiko dan manajemen risiko di banyak area seluruh
bidang audit di mana ada yang berkinerja review, dan auditor internal yang efektif harus
memahami proses manajemen risiko. Semua terlalu sering, auditor internal akan melakukan
sebuah review pengendalian internal di beberapa area dan akan diberitahu bahwa area itu dipilih
atau tidak dipilih karena “pertimbangan risiko.” Auditor harus memiliki tingkat pengetahuan
proses manajemen risiko dasar CBOK untuk dapat mengajukan pertanyaan yang tepat dan
untuk meninjau kecukupan proses-proses tersebut.
Audit internal harus menetapkan beberapa tujuan review tingkat tinggi untuk efektivitas
COSO ERM di perusahaan mereka, mengumpulkan data pelaksanaan rinci, dan kemudian
menilai efektivitas COSO ERM dan sebagai alat untuk mendukung dan meningkatkan
kepatuhan SOx. Gambar 6.10 memberikan panduan untuk Prosedur Audit Internal COSO
ERM.
EXHIBIT 6.10
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah
untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahun untuk
pengendalian internal COSO untuk diakui sebagai lebih dari sebuah studi teknis yang menarik.
Hal tersebut telah pertama dikodifikasi sebagai standar audit oleh American Institute of
Certified Public Accountants Auditing Standards Board (AICPA ASB) dan menerima beberapa
pemberitahuan di publikasi IIA, tetapi butuh SOx untuk memberikan pengendalian internal
COSO beberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar
akuntansi internal “yang akan didirikan.” Kemudian Perusahaan Publik Akuntansi Dewan
Pengawas (PCAOB) mengamanatkan bahwa pengendalian internal COSO harus menjadi
standar pengendalian internal. Tiba setelah SOx, COSO ERM belum memiliki tingkat
pengakuan yang sama. IIA adalah pendukung awal yang penting, dan unsur-unsur ERM dapat
dilihat dalam versi baru dari tujuan pengendalian untuk informasi dan berhubungan Technology
framework (COBIT) (lihat Bab 5), tetapi masih tidak pada tingkat yang sama pentingnya dan
signifikansi hari ini untuk suatu perusahaan sebagai pengendalian internal COSO.
Pengakuan ini mungkin memakan waktu lama. Seperti disebutkan, telah ada beberapa
kebingungan karena dua kerangka mirip dan memiliki COSO di nama mereka. Namun,
penekanan terkait risiko dari AS 5 standar pengauditan baru serta pengakuan meningkatnya
masalah risiko dalam literatur profesional telah meningkatkan minat profesional yang dalam
dan perhatian terhadap manajemen risiko perusahaan, terutama ketika mencoba untuk
mencapai kepatuhan pengendalian internal SOx. Tiga dimensi kerangka ERM membantu untuk
menempatkan isu-isu risiko dan pengendalian internal dalam perspektif yang lebih baik ketika
mengevaluasi kepatuhan SOx.
Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang
harus menjadi bagian dari setiap CBOK auditor internal. Auditor internal harus menggunakan
prinsip-prinsip manajemen risiko saat memutuskan area untuk memilih tinjauan mereka
(seperti yang dibahas dalam Bab 15) dan kemudian menggunakan prinsip-prinsip risiko ketika
menilai bukti audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih penting, COSO ERM
akan semakin penting dan pengakuan sebagai perusahaan lebih memahami dan mengadopsi
kerangka ERM. Audit internal harus memiliki pemahaman CBOK dari COSO ERM baik untuk
mengaudit kepatuhan terhadap proses ini dan berkonsultasi dengan manajemen untuk
memastikan implementasi yang lebih efektif.
Referensi: