Mata Kuliah Pengauditan Internal

Terjemahan Buku: Brink’s Modern Internal Auditing: A Common Body of Knowledge,

7th Edition

BAB 6 MANAJEMEN RISIKO: COSO ERM

KELOMPOK 6:

YUMI SAFITRI A31116015

MOHD FIQKRIE A31116020

RISKA MARDIANG A31116026

INDA IKRAWATI A31116518

MURDIANTI MIDDIN A31116523

ATALYA FIDELA SAMBENGA A31116524

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2019
 Manajemen Risiko: COSO ERM
Perusahaan perlu mengidentifikasi semua risiko bisnis yang mereka hadapi — keuangan dan
operasional serta sosial, etika, dan lingkungan — dan untuk mengelola risiko ini ke tingkat
yang dapat diterima. Memahami risiko adalah komponen utama untuk mencapai kepatuhan
Sarbanes-Oxley (SOx), melalui Standar Audit No. 5 (AS 5) Audit internal, baik dalam
penjaminan maupun peran konsultasi, dapat berkontribusi pada manajemen risiko ini. Risiko,
istilah yang sering digunakan dalam standar dan prosedur pengendalian internal, telah menjadi
istilah yang disetujui banyak auditor internal tetapi gagal untuk didefinisikan. Konsep dan
pemahaman risiko seorang profesional mungkin sangat berbeda dari yang lain, meskipun
mereka berdua bekerja untuk perusahaan yang sama dan di bidang yang sama. Ini terutama
berlaku bagi manajer dan auditor internal yang bekerja untuk meningkatkan kepatuhan terkait
SOx; belum ada pemahaman yang konsisten tentang apa yang dimaksud dengan konsep risiko.

Khususnya untuk mendukung pemahaman kita tentang kontrol internal SOx, auditor
internal perlu memiliki pemahaman yang lebih baik tentang manajemen risiko dan bagaimana
hal itu memengaruhi keterampilan mereka untuk membangun dan mengembangkan kontrol
internal yang efektif. Bab 4 tentang SOx menggambarkan bagaimana standar audit eksternal
AS 5 memperkenalkan pertimbangan berbasis risiko pada proses tersebut. Sebagaimana
dibahas, auditor eksternal diharuskan untuk menilai risiko relatif ketika memilih area
pengendalian akuntansi internal untuk ditinjau dan dipertimbangkan ketika melakukan tinjauan
mereka.

Konsep utama di balik AS 5 adalah bahwa manajemen dan auditor eksternal sekarang
harus mempertimbangkan risiko relatif ketika menerapkan dan menilai pengendalian internal
untuk mencapai kepatuhan terhadap aturan kontrol internal Bagian 404 SOx. Untuk
menggunakan standar audit AS 5 yang baru ini secara efektif, semua pihak harus memahami
risiko yang melingkupi perusahaan mereka dan harus dapat mendokumentasikan dan
membuktikan kapan mereka menaikkan atau tidak mengangkat masalah pengecualian
pengendalian internal, berdasarkan risiko relatif. Namun, ada kekurangan definisi yang
konsisten tentang apa yang sebenarnya dimaksud dengan risiko. Meskipun kata itu memiliki
beberapa asal dalam industri asuransi, risiko tidak digunakan secara konsisten bahkan di sana.

Ini semua berubah ketika Committee of Sponsoring Organizations (COSO) merilis

metodologi risiko perusahaan, COSO Enterprise Risk Management— Format Terpadu (COSO
ERM). Ini adalah pendekatan yang memungkinkan audit perusahaan dan internal untuk
mempertimbangkan dan menilai risiko di semua tingkatan, baik di bidang individu, seperti
untuk proyek pengembangan teknologi informasi (TI), atau risiko global terkait ekspansi
internasional. Dirilis oleh fungsi pengaturan panduan COSO yang sama yang telah
mengembangkan dan memelihara kerangka kendali internal COSO, COSO ERM kadang-
kadang terlihat seperti saudara pengendali internalnya, tetapi memiliki perasaan dan
pendekatan yang jauh berbeda.

Bab ini memperkenalkan kerangka kerja COSO ERM dan elemen-elemennya, tetapi
penekanannya adalah pada mengapa COSO ERM dapat menjadi alat audit internal yang
penting untuk lebih memahami dan mengevaluasi risiko di sekitar pengendalian internal di
semua tingkatan. Kami menjelaskan elemen-elemen utama dari kerangka kerja COSO ERM
dan melihat bagaimana auditor internal dapat membangun COSO ERM dengan lebih baik ke
dalam proses audit mereka serta langkah-langkah untuk mengaudit efektivitas proses
manajemen risiko perusahaan.

Pemahaman tentang pendekatan penilaian risiko dan manajemen risiko secara

keseluruhan, dengan penekanan pada COSO ERM harus ada di setiap badan pengetahuan
umum auditor internal (CBOK). Bab ini membahas dasar-dasar manajemen risiko,
memperkenalkan COSO ERM, dan menyajikan teknik audit internal untuk memahami dan
menilai risiko di banyak bidang, mulai dari memilih area yang akan ditinjau hingga
mengevaluasi risiko sebagai bagian dari tinjauan audit internal. Bab ini menekankan risiko
pada tingkat perusahaan total; Bab 15 menggunakan beberapa teknik yang sama untuk
membahas perencanaan audit berbasis risiko dengan penekanan pada audit internal individu.

6.1 Fundamental Manajemen Risiko

Setiap perusahaan hadir untuk memberikan nilai bagi para pemangku kepentingannya, tetapi
nilai itu dapat terkikis melalui peristiwa tak terduga di semua tingkat perusahaan dan dalam
semua kegiatan, mulai dari operasi rutin sehari-hari hingga menetapkan strategi untuk beberapa
upaya di masa depan tetapi tidak pasti. Semua kegiatan ini tunduk pada ketidakpastian atau
risiko, apakah itu tantangan yang disebabkan oleh pesaing baru nan agresif atau kerusakan dan
bahkan hilangnya nyawa yang disebabkan oleh gangguan cuaca besar. Manajemen risiko
adalah konsep yang terkait dengan asuransi di mana individu atau perusahaan menggunakan
mekanisme asuransi untuk memberikan perlindungan dari risiko-risiko tersebut. Kami
membuat keputusan semacam ini berdasarkan penilaian kami atas risiko relatif dan biaya untuk
menutupinya melalui pembelian asuransi. Risiko dan biaya asuransi juga berubah seiring
waktu. Asuransi kebakaran untuk melindungi rumah seseorang adalah contohnya. Kembali
pada zaman penggunaan lentera minyak untuk cahaya dan jerami untuk kuda-kuda yang
disimpan di kandang terdekat, selalu ada risiko tinggi kebakaran. Terdapat kasus dimana api
Chicago yang besar pada tahun 1871, di mana seperti yang diceritakan bahwa seekor sapi
menendang lentera dan menyebabkan kebakaran yang akhirnya menghancurkan kota. Risiko
kebakaran tidak terlalu besar saat ini, dan asuransi kebakaran tidak semahal itu, dalam arti
relatif. Namun, selalu ada kemungkinan bahwa sambaran petir atau kerusakan listrik akan
menyebabkan kebakaran dalam struktur, dan perusahaan pembiayaan hipotek memerlukan
perlindungan asuransi kebakaran. Bahkan jika tidak ada hipotek yang dipegang, semua orang
yang bijaksana hari ini membeli asuransi kebakaran semacam itu meskipun tidak diperlukan.
Kebakaran destruktif ke rumah seseorang menghadirkan risiko tingkat rendah namun
konsisten. Biaya asuransi kebakaran pemilik rumah relatif rendah. Pemilik rumah individu
dapat menilai risiko potensial lainnya, seperti gempa bumi, dan mungkin tidak membeli
asuransi untuk risiko itu. Di wilayah geografis tertentu, kemungkinan gempa bumi tampak
sangat rendah sehingga pemiliknya tidak akan mempertimbangkan untuk membeli asuransi apa
pun meski biayanya rendah. Dalam situasi lain, seseorang dapat hidup dengan genangan air di
mana ada banjir yang merusak setiap beberapa tahun. Bahkan jika seseorang dapat membeli
asuransi banjir di lingkungan seperti itu — dan sebagian besar perusahaan asuransi tidak akan
menawarkannya — pertanggungannya akan sangat mahal. Beberapa orang mungkin
memutuskan untuk menerima risiko banjir di tahun-tahun mendatang dan pergi tanpa asuransi.
Dalam semua kasus ini, telah ada keputusan manajemen risiko pembeli asuransi.

Dimulai dengan yayasan pembelian asuransi ini, manajemen risiko, seperti yang
dipraktikkan hari ini, pada dasarnya adalah fenomena pasca-1960-an. Bergerak melampaui
kekhawatiran tentang peristiwa yang berhubungan dengan cuaca alami, manajemen risiko
mulai menekankan upaya melindungi terhadap bencana besar, seperti risiko yang mengelilingi
sistem komputer pada masa mainframe, ketika sebagian besar aset sistem informasi disimpan
dalam satu fasilitas terpusat. Kekhawatiran tentang mengelola risiko yang mengelilingi bahwa
satu sistem komputer terpusat pindah ke masalah umum tentang pengelolaan berbagai risiko
bisnis lainnya.

Perusahaan saat ini menghadapi berbagai risiko dan memerlukan beberapa alat untuk
memilah-milah semua itu untuk membuat biaya rasional dan keputusan terkait risiko. Ini adalah
proses manajemen risiko. Sementara beberapa orang dalam bisnis saat ini hanya menilai suatu
bidang sebagai risiko tinggi, sedang, atau rendah dan kemudian membuat asuransi cepat atau
keputusan perlindungan risiko berdasarkan opsi-opsi itu, yang lain menggunakan alat kualitatif
atau kuantitatif yang lebih canggih untuk memahami dan mengevaluasi risiko. Bagian
selanjutnya secara singkat mensurvei beberapa pendekatan manajemen risiko modern yang
mendasar dengan tujuan untuk membantu menetapkan prosedur manajemen risiko perusahaan
yang lebih efektif dalam suatu perusahaan.

Proses manajemen risiko yang efektif membutuhkan empat langkah: (1) identifikasi
risiko, (2) penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi, (3) prioritas
risiko dan perencanaan respons, dan (4) pemantauan risiko. Selalu ada kebutuhan untuk
mengidentifikasi dan memahami berbagai risiko yang dihadapi suatu perusahaan, untuk
menilai risiko-risiko tersebut dalam hal biaya atau dampak dan probabilitasnya, untuk
mengembangkan tanggapan jika terjadi risiko, dan untuk mengembangkan prosedur
dokumentasi untuk menggambarkan apa yang terjadi serta tindakan korektif ke depan. Hal
yang sama berlaku untuk keputusan manajemen risiko perusahaan dan untuk keputusan auditor
internal selama penugasan review tunggal. Bagian ini berfokus pada manajemen risiko di
seluruh perusahaan. Bab 15 menggunakan beberapa konsep yang sama ini ketika melakukan
perencanaan audit internal berbasis risiko.

Proses manajemen risiko empat langkah ini harus dilaksanakan di semua tingkat
perusahaan dan dengan partisipasi banyak orang yang berbeda. Apakah perusahaan kecil yang
beroperasi di wilayah geografis yang terbatas atau perusahaan dunia yang lebih besar,
pendekatan manajemen risiko harus dikembangkan untuk perusahaan secara keseluruhan. Ini
sangat penting bagi perusahaan di seluruh dunia dengan banyak unit operasi yang terlibat dalam
operasi bisnis yang berbeda dan dengan fasilitas di berbagai negara. Beberapa risiko dalam
satu unit dapat berdampak langsung atau terkait dengan risiko di unit lain, tetapi pertimbangan
risiko lainnya mungkin secara independen dari keseluruhan. Risiko umum ini dapat terjadi
karena berbagai keadaan mulai dari keputusan keuangan yang buruk, perubahan selera
konsumen, hingga peraturan pemerintah yang baru.

(a) Identifikasi Risiko

Manajemen harus berusaha mengidentifikasi semua risiko yang mungkin berdampak pada
keberhasilan perusahaan, mulai dari risiko bisnis keseluruhan yang lebih besar atau lebih
signifikan hingga risiko yang kurang penting terkait dengan proyek individu atau unit bisnis
yang lebih kecil. Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan
disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi
area risiko yang lebih signifikan yang dapat memengaruhi setiap operasi dalam periode waktu
yang wajar. Gagasan di sini bukan hanya untuk membuat daftar setiap risiko yang mungkin
terjadi, tetapi bagi suatu perusahaan untuk mengidentifikasi mereka yang mungkin memiliki
dampak operasi yang lebih besar, dalam periode waktu yang wajar. Ini bisa menjadi latihan
yang sulit karena kita hanya dapat memperkirakan probabilitas risiko yang terjadi atau sifat
konsekuensi jika perusahaan harus menghadapi risiko. Proses identifikasi risiko ini harus
terjadi pada beberapa tingkatan dengan pemahaman bahwa risiko yang berdampak pada unit
bisnis individu atau proyek mungkin tidak memiliki dampak sebesar itu pada seluruh
perusahaan atau di luarnya. Sebaliknya, risiko besar yang berdampak pada seluruh
perekonomian akan mengalir ke masing-masing perusahaan dan unit bisnisnya yang terpisah.
Beberapa risiko utama sangat jarang terjadi tetapi masih bisa menjadi bencana besar sehingga
sulit untuk mengidentifikasi mereka sebagai peristiwa yang mungkin terjadi di masa depan.

Cara yang baik untuk memulai proses identifikasi risiko adalah dengan bagan
organisasi tingkat tinggi yang mencantumkan tingkat perusahaan serta unit-unit operasi.
Masing-masing unit tersebut dapat memiliki fasilitas di berbagai lokasi global dan dapat terdiri
dari berbagai jenis operasi. Setiap fasilitas terpisah kemudian akan memiliki departemen atau
fungsinya sendiri. Beberapa fasilitas terpisah ini mungkin terhubung erat satu sama lain; yang
lain mungkin lebih mewakili investasi perusahaan. Tugas yang sulit dan terkadang rumit untuk
perusahaan yang lebih besar, sebuah inisiatif harus diluncurkan untuk mengidentifikasi semua
risiko di berbagai bidang individu. Jenis latihan ini dapat menghasilkan hasil yang menarik dan
/ atau terkadang mengganggu. Sebagai contoh, seorang manajer senior tingkat perusahaan
mungkin menyadari beberapa risiko pertanggungjawaban produk tetapi pengawas garis depan
di unit operasi dapat melihat risiko yang sama dengan perspektif yang sama sekali berbeda.

Seorang manajer pemasaran mungkin khawatir tentang strategi penetapan harga

pesaing atau risiko kegiatan penetapan harga yang akan membuat perusahaan melanggar
undang-undang perdagangan. Seorang manajer TI mungkin khawatir tentang risiko serangan
virus komputer pada sistem aplikasi tetapi akan memiliki sedikit pengetahuan tentang risiko
masalah harga. Manajemen yang lebih senior biasanya akan menyadari tingkat yang berbeda
dan serangkaian risiko daripada yang ada di pikiran staf yang berorientasi operasi. Namun,
semua risiko ini harus diidentifikasi dan dipertimbangkan berdasarkan unit operasi demi unit
dan di seluruh perusahaan.
 Agar efektif, proses identifikasi risiko ini memerlukan lebih dari sekadar mengirim e-
mail ke semua unit operasi dengan permintaan penerima untuk mendaftar risiko utama di unit
operasinya. Permintaan semacam itu biasanya menghasilkan berbagai jawaban yang tidak
konsisten tanpa pendekatan umum. Pendekatan yang lebih baik adalah mengidentifikasi orang-
orang di semua tingkatan perusahaan untuk bertindak sebagai penilai risiko. Dalam setiap unit
operasi yang signifikan, orang-orang kunci harus diidentifikasi dari operasi, keuangan /
akuntansi, TI, dan manajemen unit. Tujuan mereka adalah untuk mengidentifikasi dan
kemudian membantu menilai risiko di unit mereka yang dibangun di sekitar kerangka kerja
model identifikasi risiko. Jenis inisiatif ini dapat dipimpin oleh Chief Executive Officer (CEO)
dan kelompok manajemen risiko perusahaan, jika ada, atau fungsi seperti audit internal.

Seluruh ide di sini adalah untuk menguraikan beberapa risiko "straw man" tingkat
tinggi yang dapat berdampak pada berbagai unit operasi. Orang yang berpengetahuan
kemudian dapat melihat daftar ini dan memperluas atau memodifikasinya sesuai. Tampilan 6.1
menunjukkan beberapa jenis risiko utama yang dapat berdampak pada perusahaan, termasuk
berbagai risiko strategis, operasi, dan keuangan. Ini adalah jenis daftar tingkat tinggi yang
mungkin digunakan CEO untuk pertanyaan rapat tahunan pemegang saham umum, "Apa yang
membuat Anda khawatir pada akhir hari?" Meskipun tidak mencantumkan semua risiko yang
dihadapi perusahaan, langkah pertama daftar ini dapat digunakan untuk memulai identifikasi
risiko secara terperinci. Manajemen senior perusahaan — seringkali CEO dan staf pendukung
— dapat bertemu untuk menanyakan beberapa jenis pertanyaan "Apa yang membuat Anda
khawatir ..." untuk mengidentifikasi risiko-risiko ini.

Exhibit 6.1 Jenis Risiko Perusahaan

Enterprise-wide Strategic Risks

External Factors Risks
 Industry Risk
 Economy Risk
 Competitor Risk
 Legal and Regulatory
Change Risk
 Customer Needs and
Wants Risk
Process Risks
 Supply Chain Risk
Internal Factors Risks
 Reputation Risk
 Strategic Focus Risk
 Parent Company Support
Risk
 Patent/Trademark
Protection Risk
Operations Risks
Compliance Risks People Risks
 Environmental Risk  Human Resources Risk
  Customer Satisfaction
Risks
 Cycle Time Risk
 Process Execution Risk
Treasury Risks
 Interest Rate Risk
 Foreign Exchange Risk
 Capital Availability Risk
 Regulatory Risk
 Policy and Procedures
Risk
 Litigation Risk
Finance Risks
Credir Risks
 Capacity Risk
 Collateral Risk
 Concentration Risk
 Default Risk
 Settlement Risk
Information Risks
 Employee Turnover Risk
 Performance Incentive
Risk
 Training Risk
Trading Risks
 Commodity Price Risk
 Duration Risk
 Measurement Risk

Financial Risks Operational Risks Technological Risks

 Accounting Standards
Risks
 Budgeting Risk
 Financial Reporting Risk
 Taxation Risk
 Regulatory Reporting
Risk
 Pricing Risk
 Performance Measurement
Risk
 Employee Safety Risk
 Information Access Risk
 Business Continuity Risk
 Availability Risk
 Infrastructure Risk

Model risiko tingkat tinggi yang sangat umum ini dapat berfungsi sebagai dasar untuk
lebih menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti entri dalam
pameran risiko keberlangsungan bisnis ini di bawah risiko teknologi. Manajer TI harus dapat
mengembangkan ini ke daftar panjang risiko terkait teknologi terperinci yang terkait dengan
kelangsungan bisnis. Manajer operasi yang merupakan pengguna sumber daya TI mungkin
melihat risiko kesinambungan bisnis dari perspektif yang berbeda dan dapat memperkenalkan
risiko baru lainnya yang terkait dengan apa yang terjadi jika layanan TI tidak tersedia. Dalam
rangka untuk memiliki pemahaman yang lebih baik tentang risiko yang dihadapi suatu
perusahaan, sering kali lebih baik untuk mengembangkan daftar ini untuk menetapkan
serangkaian risiko yang lebih lengkap.

Tim manajemen perusahaan kemudian harus mulai dengan daftar risiko perusahaan
yang lebih lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang
jalur:
 Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?
 Akankah perusahaan menghadapi risiko ini karena peristiwa internal atau eksternal?
 Apakah risiko terkait, sehingga satu risiko dapat menyebabkan yang lain terjadi?
 Idenya adalah untuk mendapatkan pemahaman yang kuat tentang sifat risiko tingkat
perusahaan dan kemudian menyoroti risiko utama, seperti risiko penurunan peringkat kepuasan
pelanggan yang signifikan, risiko pesaing baru dan sangat besar memasuki pasar, atau risiko
kelemahan kontrol signifikan yang diidentifikasi sebagai bagian dari penutupan laporan
keuangan. Setiap risiko besar ini dapat menghadirkan tantangan signifikan bagi perusahaan.

Manajemen perusahaan harus meninjau risiko-risiko yang diidentifikasi ini dan

menyoroti risiko yang tampaknya paling penting bagi perusahaan. Maka itu harus menyiapkan
satu set terakhir risiko organisasi yang diidentifikasi oleh perusahaan secara keseluruhan dan
oleh unit operasi tertentu. Karena sudut pandang dan perspektif akan bervariasi di seluruh
perusahaan, risiko yang teridentifikasi ini harus dibagi dengan operasi yang bertanggung jawab
dan manajemen keuangan, memberi mereka peluang untuk memberikan umpan balik. Idenya
di sini adalah untuk mengidentifikasi populasi risiko yang mengancam suatu perusahaan, baik
pada tingkat unit individu maupun total perusahaan. Ini tidak akan selalu menjadi risiko inti
tetapi seringkali merupakan titik awal untuk penilaian risiko perusahaan.

(b) Penilaian Risiko Utama

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah

menilai kemungkinan suka dan signifikansi relatifnya. Berbagai pendekatan dapat digunakan
di sini, mulai dari pendekatan kualitatif perkiraan terbaik hingga beberapa analisis kuantitatif
terperinci yang sangat matematis. Idenya adalah untuk membantu memutuskan mana dari
serangkaian peristiwa yang berpotensi berisiko yang harus membuat manajemen paling
khawatir. Manajer yang bertanggung jawab harus menilai risiko ini menggunakan pendekatan
kuesioner:

 Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Dengan
menggunakan skor 1 hingga 9, tetapkan skor tebakan terbaik sebagai berikut:
 Skor 1 jika Anda melihat hampir tidak ada peluang risiko itu terjadi selama periode
tersebut.
 Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi selama periode
tersebut.
 Skor 2 hingga 8 tergantung pada bagaimana Anda merasakan kemungkinan jatuh
di antara dua rentang ini.
 Apa pentingnya risiko dalam hal biaya untuk keseluruhan perusahaan?
Sekali lagi menggunakan skala 1 hingga 9, rentang penilaian harus ditetapkan
tergantung pada signifikansi risiko keuangan. Risiko yang biayanya dapat menurunkan
laba per saham hingga mungkin 1 sen mungkin memenuhi syarat untuk skor maksimum
9.
 Kuisioner ini harus diedarkan secara independen kepada orang-orang berpengetahuan
untuk menilai setiap risiko yang teridentifikasi untuk kedua langkah ini. Sebagai contoh,
asumsikan bahwa suatu perusahaan telah mengidentifikasi enam risiko, R-1 hingga R-6, dan
empat manajer diminta untuk secara terpisah mengevaluasi setiap risiko dalam hal
kemungkinan dan signifikansi. Skor ini kemudian dapat dirata-rata oleh kedua faktor dan diplot
pada bagan analisis penilaian risiko seperti yang ditunjukkan pada Tampilan 6.2. R-1 memiliki
skor kemungkinan rata-rata sekitar 3,75 dan skor signifikansi 7,00, dan skor ini diplot dalam
kuadran I dari contoh grafik. Sebagai contoh, grafik menunjukkan R-1 sebagai yang relatif
signifikan tetapi tidak mungkin terjadi. Dengan semua risiko yang diidentifikasi diplot dengan
cara ini, kemungkinan besar dan risiko yang lebih signifikan di kuadran II harus mendapat
perhatian manajemen segera. Jenis grafik analisis penilaian risiko ini memberikan ukuran
kualitatif yang baik untuk memahami risiko signifikan di sekitar perusahaan.

Exhibit 6.2 Peta Analisis Penilaian Risiko

Source: COSO Enterprise Risk Management: Understanding the New Integrated ERM
Framework, Robert R. Moeller, Copyright C 2007 John Wiley & Sons. Reprinted with the permission
of John Wiley & Sons, Inc.

Proses penilaian risiko tinggi ini bekerja cukup baik ketika suatu perusahaan telah
mengidentifikasi sejumlah kecil risiko. Cukup mudah untuk melihat grafik analisis dan fokus
pada perencanaan remediasi untuk kemungkinan tinggi dan risiko signifikan di kuadran kiri
atas. Namun, seringkali, suatu perusahaan mungkin telah mengidentifikasi serangkaian risiko
yang jauh lebih besar, dan rentang hanya 1 hingga 9 dan plot pada contoh diagram tidak akan
memberikan detail yang cukup. Suatu pendekatan yang kadang-kadang lebih baik adalah untuk
mengungkapkan estimasi signifikansi dan dampak ini dalam hal estimasi persentase dua digit
(mis., 72%) untuk mencapai beberapa risiko atau sebagai suatu probabilitas (mis., 0,72).
Namun, hanya meningkatkan jumlah digit, dari 7 menjadi 72% penuh, tidak meningkatkan
akurasi penilaian. Lebih banyak perhatian harus diberikan untuk lebih memahami hubungan
antara probabilitas yang mencakup peristiwa risiko independen dan terkait.

(i) PROBABILITAS DAN KETIDAKPASTIAN. Ketika sejumlah besar risiko telah

diidentifikasi, manajemen harus memikirkan kemungkinan risiko individu yang diperkirakan
dan kejadian dalam hal probabilitas dua digit mulai dari 0,01 hingga 0,99. Kita harus
menggunakan kisaran ini karena risiko tidak pernah memiliki peluang nol atau peluang 100%
terjadi; kalau tidak mereka tidak akan menjadi risiko. Aturan dasar probabilitas adalah bahwa
kita tidak dapat menambahkan estimasi probabilitas independen untuk menghasilkan estimasi
gabungan. Jika probabilitas risiko A terjadi adalah 60% dan probabilitas risiko B yang terpisah
tetapi terkait juga 60%, kita tidak bisa mengatakan bahwa probabilitas keduanya terjadi adalah
0,60 + 0,60 = 1,20. 120% ini tidak masuk akal. Melainkan, probabilitas gabungan dua peristiwa
independen adalah hasil dari dua probabilitas terpisah. Hal tersebut adalah:

Pr(Event 1) × Pr(Event 2) = Pr(Both Events)

Yaitu, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0,60, probabilitas gabungan
dari kedua peristiwa yang terjadi adalah (0,60) × (0,60) = 0,36. Dalam hal penilaian, jika risiko
memiliki estimasi signifikansi 60% atau kami 60% yakin bahwa risiko akan terjadi dan jika
dampaknya dinilai pada 60%, ada kemungkinan 36% bahwa kami akan mencapai risiko
keduanya. Kami juga dapat menyebut ini skor risiko untuk risiko individu.

Akan tetapi, proses penilaian risiko yang akurat membutuhkan lebih dari sekadar
estimasi top-of-the-head, baik yang dinyatakan dalam rentang 1 hingga 9 atau sebagai
persentase dua digit penuh. Manajemen perusahaan harus memperhatikan risiko yang
teridentifikasi dan mengumpulkan lebih banyak informasi, jika diperlukan. Misalnya, selama
proses identifikasi risiko, satu manajer mungkin telah mengidentifikasi konsekuensi undang-
undang tarif baru sebagai risiko serius. Namun, manajer yang bertanggung jawab mungkin
ingin lebih memahami konsekuensi aktualnya. Ini mungkin sesuatu yang tidak berlaku untuk
unit yang dimaksud atau yang tidak berlaku hingga beberapa tahun ke depan. Intinya di sini
adalah bahwa beberapa informasi tambahan mungkin diperlukan sebelum semua risiko yang
diidentifikasi dapat dinilai secara akurat.

(ii) INTERDEPENDENSI RISIKO. Kami telah membahas risiko pada tingkat unit
organisasi individu, tetapi independensi risiko harus selalu dipertimbangkan dan dievaluasi di
seluruh struktur organisasi. Meskipun suatu entitas harus peduli dengan risiko di semua
tingkatan organisasi, ia benar-benar hanya memiliki kendali atas risiko-risiko itu dalam
lingkupnya sendiri. Contoh pada tahun 2002 tentang kejatuhan firma akuntan publik Arthur
Andersen setelah jatuhnya Enron. Setiap unit kota-demi-kota dan negara-demi-negara dari
kantor akuntan publik memiliki prosedur penilaian risiko sendiri, mengikuti standar
perusahaan. Namun, peristiwa risiko di satu kantor operasi, Houston, menyebabkan perusahaan
di seluruh dunia runtuh. Kantor yang beroperasi di daerah lain, seperti Toronto, mungkin tidak
sepenuhnya mengantisipasi risiko semacam itu di Houston yang jauh. Intinya adalah bahwa
risiko seringkali sangat saling tergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi
peristiwa risiko pada unit di atas atau di bawahnya dalam struktur organisasi.

(iii) PERINGKAT RISIKO. Meskipun contoh dalam bab ini menunjukkan daftar
singkat risiko yang teridentifikasi, tipikal perusahaan akan berakhir dengan daftar risiko
potensial yang sangat panjang. Langkah selanjutnya adalah mengambil estimasi signifikansi
dan kemungkinan, menghitung peringkat risiko, dan mengidentifikasi risiko paling signifikan
di seluruh entitas yang ditinjau. Tampilan 6.3 adalah contoh dari jenis analisis ini. Berdasarkan
skor kemungkinan dan signifikansi dari Tampilan 6.2, produk dari keduanya memberikan
peringkat risiko relatif. Risiko C dan G memiliki skor peringkat risiko tertinggi dan akan
ditempatkan di kuadran kanan atas sebagai risiko paling signifikan dalam sampel ini. Keduanya
sering disebut penggerak risiko atau risiko utama untuk serangkaian risiko yang teridentifikasi
ini. Organisasi kemudian harus memusatkan perhatiannya ke depan pada risiko-risiko utama
ini. Jadwal peringkat risiko ini harus disusun berdasarkan unit per unit dan disesuaikan untuk
mengakomodasi semua risiko terkait secara paralel dengan serta di atas atau di bawah entitas
yang diperingkat atau dievaluasi.

Manajemen harus mengidentifikasi risiko-risiko yang dinilai unit demi unit ini untuk
memastikan bahwa kemungkinan dan estimasi signifikansi risiko sesuai untuk
keseluruhan. Semua terlalu sering, peristiwa risiko yang terjadi jauh dari kantor pusat
perusahaan menyebabkan masalah besar. Contoh dari lebih dari 20 tahun yang lalu dapat
diambil dari peristiwa risiko di perusahaan AS yang dulu besar , Union Carbide. Pada malam
hari tanggal 2 Desember 1984, lebih dari 40 ton gas beracun bocor dari pabrik pestisida milik
Union Carbide di Bhopal, India, menewaskan lebih dari 20.000 penduduk. Setelah melakukan
banyak upaya hukum, Union Carbide, yang membangun pabrik itu pada tahun 1969,
menyelesaikan gugatan perdata yang dibawa oleh pemerintah India pada tahun 1989 dengan
menyetujui untuk membayar $ 470 juta untuk kerusakan yang diderita oleh setengah juta orang
yang terpapar gas. . Perusahaan menyatakan bahwa pembayaran itu dilakukan karena rasa
tanggung jawab "moral" daripada tanggung jawab "legal" karena pabrik itu dioperasikan oleh
anak perusahaan India yang terpisah, Union Carbide India Limited (UCIL), tetapi proses
pengadilan mengungkapkan bahwa manajemen langkah-langkah pemotongan biaya telah
secara efektif menonaktifkan prosedur keselamatan yang penting untuk mencegah atau
mengingatkan karyawan akan bencana semacam itu. Sejak itu Dow Chemical telah mengambil
alih Union Carbide dan menyangkal tanggung jawab atas bencana ini. Namun, karena
kehilangan nyawa yang luar biasa di sana dan karena Dow jauh lebih besar daripada apa yang
Union Carbide dan anak perusahaan UCIL, proses pengadilan yang berkelanjutan terus
menghantui Dow.

Exhibit 6.3 Jadwal Penilaian Risiko

Kebocoran gas Bhopal adalah contoh tentang bagaimana peristiwa risiko di unit yang
jauh dan relatif kecil dapat memiliki konsekuensi bencana pada perusahaan besar. Sementara
identifikasi risiko dan aturan penilaian yang diuraikan dalam bab ini tidak akan menjelaskan
besarnya bencana ini, dan setiap unit dalam perusahaan perlu mengenali kemungkinan dan
konsekuensi risiko pada tingkat unit individu, peristiwa risiko di anak perusahaan kecil asing
dapat menjatuhkan seluruh perusahaan. Manajemen risiko di semua tingkatan harus menyadari
bahwa bencana dapat terjadi. Meskipun kita tidak pernah dapat memprediksi akibat risiko
utama ini; suatu perusahaan harus selalu sadar akan bencana terburuk yang dapat terjadi.

(c) Analisis Risiko Kuantitatif

(i) NILAI-NILAI YANG DIHARAPKAN DAN PERENCANAAN TANGGAPAN. Ada

sedikit nilai dalam mengidentifikasi risiko signifikan kecuali suatu perusahaan memiliki
setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko
terjadi. Idenya adalah untuk memperkirakan dampak biaya dari timbulnya beberapa risiko yang
teridentifikasi dan kemudian menerapkan biaya tersebut pada probabilitas faktor risiko untuk
mendapatkan nilai yang diharapkan atau biaya risiko. Seringkali latihan ini tidak memerlukan
studi biaya terperinci dengan banyak tren dan perkiraan historis yang mendukung. Sebaliknya,
perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang garis depan di berbagai
tingkat perusahaan yang memiliki pengetahuan tentang daerah atau implikasi risiko.

Idenya adalah untuk melalui setiap risiko yang diidentifikasi atau hanya risiko utama
jika waktu terbatas dan memperkirakan biaya yang timbul dari risiko tersebut. Karena risiko-
risiko semacam ini melibatkan hal-hal seperti kegagalan komponen perangkat keras, jatuhnya
pangsa pasar, atau dampak peraturan pemerintah yang baru, biasanya biaya-biaya ini tidak
dapat hanya dilihat dalam katalog vendor saat ini. Beberapa risiko tipikal, berlabel A, B, dan
C, menggambarkan tipe pemikiran ini:

Risiko A: Kehilangan hingga x% pangsa pasar karena selera konsumen yang berubah.
 Estimasi penurunan penjualan dan hilangnya laba karena penurunan x%.
 Estimasi banyaknya biaya untuk mulai memulihkan posisi pasar yang hilang.
Risiko B: Kehilangan sementara fasilitas manufaktur besar selama beberapa hari karena
badai cuaca yang parah.
 Estimasi biaya terbaik dan terburuk untuk mendapatkan pembangkit sementara
dipasangkan kembali dan kembali beroperasi dalam waktu zz hari.
 Estimasi tenaga kerja tambahan dan biaya produksi yang dikeluarkan selama
interim.
Risiko C: Kehilangan sistem TI selama dua hari karena virus komputer yang merusak.
 Estimasi kerugian bisnis dan profitabilitas selama periode turun.
 Estimasi biaya untuk mentransfer operasi ke situs kesinambungan bisnis.

Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk

memperkirakan biaya pemulihan dari beberapa risiko peristiwa. Seringkali sulit untuk
menentukan berapa biaya untuk pulih dari risiko ini. Meskipun tidak perlu melakukan analisis
terperinci dan memakan waktu di sini, orang-orang berpengetahuan yang memahami bidang
risiko sering kali dapat memberikan perkiraan yang baik dengan mempertimbangkan
pertanyaan-pertanyaan jenis ini:

1. Apa estimasi biaya terbaik untuk risiko yang ditimbulkan? Ini adalah asumsi bahwa hanya
akan ada dampak terbatas jika risiko terjadi.
2. Sampel apa yang akan diperkirakan oleh orang berpengetahuan untuk biayanya? Untuk
Risiko A sebagaimana diuraikan, direktur pemasaran mungkin diminta untuk memberikan
perkiraan.
3. Berapa nilai atau biaya yang diharapkan untuk menanggung risiko? Ini adalah jenis risiko
yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti persyaratan
tenaga kerja tambahan.
4. Berapa biaya terburuk untuk menanggung risiko? Ini adalah jenis estimasi what-if-
everythinggoes-wrong.
Kami telah menyarankan menggunakan empat perkiraan sebagai gagasan tentang
kisaran biaya dalam pemikiran berbagai orang. Namun, satu perkiraan tebakan terbaik harus
dipilih dari empat perkiraan, biasanya sesuatu di antara perkiraan 2 dan 3 dalam
daftar. Estimasi dan pekerjaan pendukung ini harus didokumentasikan, dengan perkiraan biaya
yang dipilih dimasukkan sebagai dampak biaya pada Tampilan 6.4, jadwal perencanaan
respons risiko. Ini adalah risiko yang sama yang diidentifikasi dalam jadwal Tampilan 6.3
tetapi di sini diperintahkan oleh peringkat risiko. Penataan ulang ini penting ketika perusahaan
memiliki daftar panjang risiko yang teridentifikasi.

Nilai yang diharapkan atau nilai biaya dalam Tampilan 6.4 hanyalah produk dari
dampak biaya dan skor risiko mereka. Ini adalah perkiraan berapa biayanya bagi perusahaan
untuk menimbulkan risiko. Meskipun angka yang dipilih untuk sampel ini sangat arbitrer,
mereka menunjukkan bagaimana spesialis manajemen risiko harus menafsirkan atau bertindak
pada jenis analisis ini. Risiko C, misalnya, memiliki kemungkinan dan signifikansi yang tinggi
serta biaya yang diharapkan cukup tinggi untuk dikoreksi. Ini adalah jenis risiko yang
manajemen harus mengidentifikasi sebagai kandidat untuk tindakan korektif.

Exhibit 6.4 Contoh Biaya yang Diharapkan Peringkat Risiko

Namun, risiko berikutnya pada jadwal, Risiko G, juga berada di sisi kiri atas kuadran
tetapi dengan biaya yang relatif rendah untuk diterapkan. Manajemen dapat memutuskan untuk
menerima risiko ini atau mengembangkan beberapa bentuk rencana remediasi lainnya. Risiko
H adalah risiko lain dengan biaya tinggi untuk menerapkan risiko, signifikansi yang cukup
tinggi, dan kemungkinan terjadinya yang rendah. Seringkali untuk jenis risiko ini, manajemen
dapat memutuskan untuk berharap untuk yang terbaik dan hidup bersama mereka. Risiko
semacam itu mahal jika terjadi tetapi juga mahal untuk dilindungi.

(ii) RISIKO PEMANTAUAN. Identifikasi risiko kunci tidak pernah bisa menjadi proses satu
kali. Lingkungan sekitar risiko yang teridentifikasi akan segera berubah ketika kondisi di
sekitarnya berubah. Untuk beberapa risiko, kondisinya dapat berubah sehingga risiko menjadi
ancaman yang lebih besar. Sebagai contoh, manajemen mungkin telah mengidentifikasi risiko
politik potensial di beberapa negara yang kurang berkembang, tetapi peristiwa sering terjadi
dengan cepat, dan perubahan politik di negara yang sama dapat membuat kekhawatiran itu
menjadi lebih berisiko. Perusahaan membutuhkan mekanisme untuk memantau risiko yang
teridentifikasi ini.

Proses identifikasi risiko bukanlah latihan yang berkelanjutan. Seperti halnya

perusahaan akan menyiapkan anggaran tahunan dengan revisi mungkin sekali per kuartal,
proses identifikasi risiko sering kali merupakan proses tahunan atau triwulanan. Setelah risiko-
risiko ini diidentifikasi, perusahaan perlu memantaunya dan melakukan penyesuaian
berkelanjutan sesuai kebutuhan. Pemantauan risiko ini dapat dilakukan oleh pemilik proses
atau oleh pengulas independen. Audit internal seringkali merupakan sumber yang sangat
kredibel dan baik untuk memantau status risiko teridentifikasi saat ini. Mungkin
mengumpulkan informasi ini melalui survei atau ulasan tatap muka. Audit internal selalu
memiliki tingkat kredibilitas dan wewenang ekstra. Ketika auditor bertanya tentang status
beberapa area risiko yang teridentifikasi, mereka yang bertanggung jawab atas area tersebut
kemungkinan besar akan memberikan informasi yang akurat. Jika audit internal tidak dapat
memperoleh informasi yang baik mengenai status beberapa risiko yang teridentifikasi, ia selalu
dapat menjadwalkan kunjungan untuk lebih memahami sifat area risiko. Tentu saja, auditor
internal memiliki masalah penjadwalan proyek audit mereka sendiri dan masalah penilaian
risiko; mereka biasanya tidak bisa hanya menjadwalkan tinjauan dalam jangka waktu singkat
untuk memahami status terkini dari beberapa risiko yang teridentifikasi. Namun, jika orang-
orang di perusahaan mengetahui bahwa auditor internal kadang-kadang dapat berkunjung
untuk lebih memahami status atau risiko, akan ada kecenderungan kuat untuk memberikan
jawaban status yang kuat dan akurat.
 Proses pemantauan yang akurat adalah komponen penting dari manajemen risiko. Suatu
perusahaan mungkin telah melalui proses yang rumit untuk mengidentifikasi risiko yang lebih
signifikan. Namun, status terkini dari risiko-risiko tersebut perlu dipantau secara berkala
dengan perubahan yang dibuat terhadap risiko yang diidentifikasi sebagaimana diperlukan.

6.2 COSO ERM: Manajemen Risiko Perusahaan

COSO Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan
memiliki definisi risiko yang konsisten. Ini juga merupakan alat penting untuk memahami dan
meningkatkan pengendalian internal SOx. COSO ERM diluncurkan dengan cara yang mirip
dengan pengembangan kerangka kerja pengendalian internal COSO, seperti yang dibahas pada
Bab 3. Sama seperti tidak ada definisi yang konsisten dari pengendalian internal, juga tidak
ada definisi risiko tingkat perusahaan yang konsisten .Kekhawatiran ini ditekankan oleh
komentar John Flaherty, ketua pertama COSO: “Meskipun banyak orang berbicara tentang
risiko, tidak ada definisi yang diterima secara umum tentang manajemen risiko dan tidak ada
kerangka kerja komprehensif yang menguraikan bagaimana proses seharusnya
bekerja, membuat komunikasi risiko di antara anggota dewan dan manajemen menjadi sulit
dan membuat frustrasi. ” COSO mengontrak dengan PricewaterhouseCoopers (PwC) untuk
mengembangkan kerangka kerja risiko ini. Kerangka kerja COSO ERM diterbitkan setelah
diberlakukannya SOx pada bulan September 2004. Sisa dari bab ini merangkum COSO ERM
dalam beberapa detail.

Sama seperti kerangka kerja pengendalian internal COSO yang dimulai dengan
mengusulkan definisi yang konsisten dari subjeknya, dokumen kerangka kerja COSO ERM
dimulai dengan mendefinisikan manajemen risiko perusahaan:

Manajemen risiko perusahaan adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel lain entitas, diterapkan dalam penetapan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas, dan mengelola risiko agar berada dalam perusahaannya risk
appetite, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

Profesional harus mempertimbangkan poin-poin penting yang mendukung definisi

kerangka kerja COSO ERM ini termasuk:
 ERM adalah proses. Pengungkapan kamus yang sering disalahgunakan, definisi
kamus proses adalah serangkaian tindakan yang dirancang untuk mencapai hasil. Namun
definisi ini tidak memberikan banyak bantuan bagi banyak profesional. Idenya di sini
adalah bahwa suatu proses bukanlah prosedur statis, seperti penggunaan lencana karyawan
yang dirancang dan dibangun untuk memungkinkan hanya orang-orang tertentu yang
berwenang untuk memasuki fasilitas yang dikunci. Prosedur lencana like a key to a lock
hanya memungkinkan atau tidak mengizinkan seseorang masuk ke fasilitas. Suatu proses
cenderung menjadi pengaturan yang lebih fleksibel. Dalam proses persetujuan kredit,
misalnya, aturan penerimaan dibuat dengan opsi untuk mengubahnya dengan
pertimbangan lain. Suatu perusahaan mungkin membengkokkan aturan kredit untuk
pelanggan kredit yang baik yang mengalami masalah jangka pendek. ERM adalah jenis
proses. Suatu perusahaan seringkali tidak dapat mendefinisikan aturan manajemen
risikonya melalui sebuah buku aturan yang kecil dan terorganisir dengan ketat. Melainkan
harus ada serangkaian langkah terdokumentasi untuk meninjau dan mengevaluasi risiko
potensial dan untuk mengambil tindakan berdasarkan berbagai faktor di seluruh
perusahaan.
 Proses ERM diimplementasikan oleh orang-orang di perusahaan. ERM tidak akan
efektif jika diimplementasikan hanya melalui seperangkat aturan dikirim ke unit operasi
dari kantor pusat perusahaan yang jauh, di mana orang-orang perusahaan yang merancang
aturan mungkin memiliki sedikit pemahaman tentang berbagai faktor keputusan seputar
unit operasi. Proses manajemen risiko harus dikelola oleh orang-orang yang cukup dekat
dengan situasi risiko untuk memahami berbagai faktor di sekitar risiko, termasuk
implikasinya.
 ERM diterapkan melalui pengaturan strategi di seluruh perusahaan secara
keseluruhan. Setiap perusahaan selalu dihadapkan dengan strategi alternatif sejumlah
besar tindakan potensial di masa depan. Haruskah entitas memperoleh bisnis
komplementer lain untuk memperluas pertumbuhan atau hanya membangun secara
internal? Haruskah ia mengadopsi teknologi baru dalam proses manufaktur atau bertahan
dengan yang dicoba dan benar? Serangkaian proses ERM yang efektif harus memainkan
peran utama dalam membantu menyusun strategi alternatif tersebut. Karena banyak
perusahaan besar dengan banyak unit operasi yang berbeda, ERM harus diterapkan di
seluruh perusahaan menggunakan jenis pendekatan portofolio yang memadukan campuran
risiko tinggi dan rendah.
 Konsep risk appetite harus dipertimbangkan. Konsep atau istilah baru
untuk banyak, risk appetite adalah jumlah risiko, pada tingkat yang luas, yang bersedia
diterima oleh perusahaan dan manajer individu dalam pengejaran nilai mereka. Risk
appetite dapat diukur dalam arti kualitatif dengan melihat risiko dalam kategori seperti
tinggi, sedang, atau rendah, di mana alternatifnya, dapat didefinisikan secara
kualitatif. Pemahaman tentang risk appetite mencakup beragam masalah yang dibahas
lebih lanjut dalam bab ini sebagai bagian dari penerapan COSO ERM untuk memperkuat
lingkungan pengendalian internal SOx perusahaan. Ide dasarnya adalah bahwa setiap
manajer dan, secara kolektif, setiap perusahaan memiliki selera terhadap risiko. Beberapa
akan menerima usaha berisiko yang menjanjikan potensi pengembalian tinggi; yang lain
lebih suka pendekatan pengembalian yang lebih terjamin, yang berisiko rendah. Konsep
selera untuk risiko ini dapat dipertimbangkan dalam hal dua investor.Seseorang mungkin
lebih suka berinvestasi dalam risiko yang sangat rendah tetapi biasanya pasar uang atau
indeks dana rendah kembali sementara yang lain mungkin berinvestasi dalam saham-
saham teknologi start-up rendah dengan harapan pengembalian sangat tinggi. Investor
terakhir dapat digambarkan memiliki selera tinggi terhadap risiko. Sebagai contoh lain,
pada persimpangan jalan dengan lampu Jalan atau Jangan menyeberang, orang yang terus
melintasi persimpangan ketika lampu mulai berkedip "Berjalan," yang berarti akan segera
berubah menjadi "Jangan Berjalan," memiliki sebuah appetite yang lebih tinggi akan
risiko.
 ERM memberikan jaminan yang masuk akal tetapi tidak positif pada pencapaian
tujuan. Idenya di sini adalah bahwa ERM tidak peduli seberapa baik dipikirkan atau
diterapkan, tidak dapat memberikan jaminan hasil kepada manajemen atau orang
lain. Perusahaan yang terkontrol dengan baik, dengan orang-orang di semua tingkatan
yang secara konsisten bekerja menuju tujuan yang dipahami dan dapat dicapai, dapat
mencapai tujuan tersebut periode demi periode, bahkan selama beberapa tahun. Namun,
kesalahan manusia yang tidak disengaja, tindakan yang tak terduga oleh orang lain, atau
bahkan bencana alam dapat terjadi. Meskipun proses ERM efektif, suatu perusahaan dapat
mengalami peristiwa bencana besar dan benar-benar tak terduga. Jaminan yang wajar tidak
memberikan jaminan mutlak.
 ERM dirancang untuk membantu mencapai tujuan. Suatu perusahaan, melalui
manajemennya, harus bekerja untuk menetapkan tujuan bersama tingkat tinggi yang dapat
dibagikan oleh semua pemangku kepentingan. Contoh di sini, sebagaimana dikutip dalam
COSO ERM yang diterbitkan dokumentasi, termasuk hal-hal seperti mencapai dan
 mempertahankan reputasi positif di dalam komunitas bisnis dan konsumen perusahaan,
menyediakan pelaporan keuangan yang dapat diandalkan untuk semua pemangku
kepentingan, dan beroperasi sesuai dengan hukum dan peraturan. Program ERM secara
keseluruhan untuk suatu perusahaan harus membantunya untuk mencapai tujuan tersebut.

Tujuan dan sasaran yang terkait dengan ERM hanya bernilai kecil kecuali jika dapat
diorganisir dan dimodelkan secara bersama-sama dengan cara manajer dapat melihat berbagai
aspek dari suatu tugas dan memahami setidaknya semacam bagaimana mereka berinteraksi dan
berhubungan dalam multidimensi. kekuatan model kerangka kerja pengendalian internal CJS.
Ini menggambarkan, untuk contoh, bagaimana kepatuhan perusahaan dengan tingkat
pengaturan ac, kontrol, lingkungan kontrol, dan bagaimana kepatuhan itu penting untuk semua
entitas atau unit dari harga jual. Kerangka kerja COSO ERM memberikan beberapa definisi
umum tentang manajemen risiko dan dapat membantu mencapai tujuan pengendalian internal
Sox serta proses manajemen risiko yang lebih baik di seluruh perusahaan.

6.3 Elemen Kunci COSO ERM

Kerangka kerja pengendalian internal COSO, ditunjukkan dalam Exlibit 3.1, telah menjadi
model di seluruh dunia untuk menggambarkan dan mendefinisikan kontrol internal dan telah
menjadi dasar untuk menetapkan kepatuhan Bagian 404 SOx. Mungkin karena beberapa
anggota tim yang sama terlibat dengan kontrol internal COSO dan ERM, kerangka kerja COSO
ERM, pada pengamatan pertama terlihat sangat mirip dengan kerangka kontrol internal COSO.
Tampilan 6.5 menunjukkan kerangka COSO ERM ini sebagai tiga dimensi :

Kubus dengan komponen:

 Empat kolom vertikal yang mewakili tujuan strategi risiko enteprise.

 Delapan baris horizontal atau komponen risiko.
 Beberapa level untuk menggambarkan perusahaan apa pun, dari level entitas "kantor
pusat" hingga masing-masing anak perusahaan. Tergantung pada ukuran organisasi,
mungkin ada banyak potongan model di sini.

Bagian ini menjelaskan komponen horizontal COSO ERM, bagian selanjutnya

membahas dua dimensi lainnya dan bagaimana mereka semua berhubungan satu sama lain.
Tujuan kerangka ERM ini adalah untuk memberikan model bagi perusahaan untuk
mempertimbangkan dan memahami kegiatan terkait risiko di semua tingkat serta bagaimana
komponen risiko ini saling mempengaruhi. Tujuan bab ini adalah untuk membantu auditor
internal dari Chief Audit Executive (CAE) kepada staf dan auditor untuk lebih memahami
COSO ERM dan belajar bagaimana hal itu dapat membantu mengelola berbagai risiko yang
dihadapi perusahaan.

Karena diagram kerangka COSO ERM terlihat sangat mirip dengan kerangka kendali
internal COSO yang telah menjadi akrab bagi banyak auditor internal selama beberapa tahun
terakhir dan tentu saja setelah SOx, terkadang ada yang salah memandang COSO ERM hanya
sebagai pembaruan baru untuk trem kontrol internal COSO. Namun, COSO ERM memiliki
tujuan penggunaan yang berbeda. COSO ERM tidak boleh dianggap hanya versi baru dan lebih
baik atau direvisi dari kerangka kerja pengendalian internal COSO. Jauh lebih banyak. Bagian
selanjutnya menguraikan kerangka kerja ini dari perspektif komponen risiko.

(a) Komponen Lingkungan Internal.

Melihat wajah kubus COSO ERM, ada delapan level, dengan lingkungan internal yang terletak
di bagian atas kerangka ERM. Sebaliknya, dalam kerangka kerja pengendalian internal COSO,
faktor lingkungan kontrol ditempatkan di tingkat fondasi. Lingkungan internal dapat dianggap
sebagai batu penjuru untuk COSO ERM. Komponen ini mirip dengan kotak di bagian atas
bagan organisasi yang mencantumkan CEO sebagai kepala fungsi yang ditunjuk. Tingkat ini
mendefinisikan dasar untuk semua komponen lain dalam model ERM enterprice, yang
memengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
terkait risiko disusun dan bagaimana risiko diidentifikasi dan ditindaklanjuti. Sementara
lingkungan kontrol pengendalian internal COSO berfokus pada prartis yang ada saat ini, seperti
pocies konsep manusia, ERM mengambil pendekatan yang lebih berorientasi pada masa depan
dan berorientasi pada filosofi. Komponen lingkungan internal COSO ERM terdiri dari elemen-
elemen ini:

 Filosofi manajemen risiko

Ini adalah sikap dan keyakinan bersama yang menjadi ciri bagaimana perusahaan
mempertimbangkan risiko dalam segala hal yang dilakukannya. Lebih dari sekadar
pesan dalam kode etik, sebuah filosofi manajemen risiko adalah sikap yang harus
memungkinkan para pemangku kepentingan di semua tingkatan untuk menanggapi
proposal berisiko tinggi dengan jawaban di sepanjang garis mungkin, "Tidak, itu bukan
jenis usaha perusahaan kami akan tertarik". Tentu saja, perusahaan dengan filosofi yang
berbeda mungkin menanggapi proposal yang sama ini dengan "Kedengarannya
menarik. Berapa tingkat pengembalian yang diharapkan?". Tidak ada respons yang
benar-benar salah, tetapi perusahaan harus berusaha mengembangkan sikap yang
konsisten tentang bagaimana perusahaan itu menerima usaha berisiko. Filosofi risiko
ini penting ketika auditor internal mengevaluasi kontrol internal SOx.

 Risks Appetite

Appetite adalah jumlah risiko yang bersedia diterima perusahaan dalam mengejar
tujuannya. Selera risiko dapat diukur dalam istilah kuantitatif atau kualitatif, tetapi
semua tingkat manajemen harus memiliki pemahaman umum tentang selera risiko
keseluruhan perusahaan mereka. Istilah appettte tidak sering digunakan oleh auditor
internal dan manajer lain sebelum COSO ERM, tetapi itu adalah ungkapan yang
berguna yang menggambarkan filosofi risiko keseluruhan

 Sikap dewan direksi

Dewan dan komitenya memiliki peran yang sangat penting dalam mengawasi dan
membimbing lingkungan risiko perusahaan. Direktur independen di luar khususnya
harus meninjau dengan cermat tindakan manajemen, mengajukan pertanyaan yang
sesuai, dan berfungsi sebagai kontrol kerabat dan keseimbangan bagi perusahaan.
Ketika seorang pejabat senior perusahaan memiliki sikap yang tidak mungkin terjadi di
sini mengenai risiko yang dapat dipicu di berbagai tingkat, anggota dewan harus
mengajukan pertanyaan sulit tentang bagaimana perusahaan akan bereaksi jika salah
satu dari peristiwa itu benar-benar terjadi.

 Nilai integritas dan etika

Elemen lingkungan internal ERM yang penting ini membutuhkan lebih dari sekadar
kode perilaku yang diterbitkan dan mencakup pernyataan misi dan standar integritas
yang dipikirkan dengan matang. Materi-materi ini membantu membangun budaya yang
kuat untuk memandu perusahaan, level, dalam membantu membuat keputusan yang
berisiko. Nilai-nilai etis yang lebih kuat di sini mungkin telah membantu perusahaan
seperti Enron dan WorldCom, untuk menghindari skandal akuntansi yang mengarah
pada diberlakukannya SOx. Area ini harus menjadi esensial setiap kerangka ERM saat
ini.

 Komitmen terhadap kompetensi

Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan untuk

pertorm tugas yang ditugaskan. Manajemen memutuskan bagaimana tugas-tugas
penting ini akan dicapai melalui pengembangan strategi dan menugaskan orang yang
tepat untuk melaksanakannya. Kita semua melihat perusahaan yang tidak memiliki
komitmen seperti ini. Manajemen senior kadang-kadang membuat rencana yang besar
dan keras mencapai beberapa tujuan tetapi kemudian tidak banyak berhasil
mencapainya. Pasar saham sering menghukum kegagalan dalam kegiatan tersebut.
Dengan komitmen kuat terhadap kompetensi, manajer tingkat harus mengambil
langkah-langkah untuk mencapai tujuan yang dijanjikan.

 Struktur organisasi

Suatu perusahaan harus mengembangkan struktur organisasi dengan garis wewenang,

tanggung jawab, dan pelaporan yang sesuai. Setiap profesional telah melihat situasi di
mana organisasi memiliki jalur komunikasi yang tepat. Sebagai contoh, sebelum SOx,
banyak fungsi audit internal telah menerbitkan bagan organisasi yang menunjukkan
mereka melapor kepada komite audit dewan mereka, tetapi seringkali itu hanya di atas
kertas, ada komunikasi audit internal yang terbatas komunikasi sehari-hari di luar
komite audit yang sangat briet. pertemuan. SOx telah mengubah ini. Lingkungan di
mana komite audit hanya memiliki interaksi yang sangat terbatas dengan fungsi audit
 internalnya merupakan kegagalan dalam struktur organisasi. Sementara ini telah
diperbaiki, banyak situasi struktur organisasi mungkin perlu perbaikan untuk mencapai
ERM ellective.

 Penugasan wewenang dan tanggung jawab

Komponen ERM ini mengacu pada sejauh mana wewenang dan tanggung jawab
ditugaskan atau didelegasikan. Tren di banyak perusahaan saat ini adalah untuk
mendorong tanggung jawab otoritas appval ke bawah bagan organisasi, karyawan
tingkat bawah dan bahkan tingkat pertama yang lebih besar otoritas otorisasi dan
persetujuan. Kecenderungan terkait adalah meratakan organisasi dengan
menghilangkan tingkat manajemen menengah. Struktur ini biasanya mendorong
kreativitas karyawan, waktu respons yang lebih cepat, dan kepuasan pelanggan yang
lebih besar. Namun, jenis organisasi yang menghadapi pelanggan ini memerlukan
prosedur dan aturan yang kuat untuk staf serta manajemen sehingga keputusan staf yang
lebih rendah dapat ditolak jika perlu. Semua individu harus tahu bagaimana tindakan
mereka saling terkait dan berkontribusi pada tujuan keseluruhan perusahaan. Kode
perilaku yang kuat adalah elemen penting di sini.

 Standar sumber daya manusia

Praktik mengenai perekrutan karyawan, kompensasi pelatihan, promosi, pendisiplinan,

dan semua tindakan lainnya mengirim pesan tentang apa yang disukai, ditoleransi, dan
dilarang. Ketika manajemen mengedipkan mata pada atau mengabaikan beberapa
kegiatan wilayah abu-abu daripada mengambil sikap yang kuat, pesan itu biasanya
secara informal dan cepat dikomunikasikan kepada yang lain. Diperlukan standar yang
kuat untuk memastikan bahwa peraturan sumber daya manusia dikomunikasikan
kepada semua pemangku kepentingan dan ditegakkan.

Materi panduan COSO ERM yang diterbitkan memuat contoh-contoh lain dari
komponen yang diperlukan untuk membangun lingkungan internal yang efektif. Banyak
mengacu pada standar dan pendekatan yang harus diterapkan perusahaan untuk menerima dan
mengelola berbagai tingkat risiko, dan yang lain merujuk pada praktik bisnis yang baik saja.
Terlepas dari apakah suatu perusahaan memiliki minat yang tinggi terhadap risiko, ia perlu
menerapkan praktik lingkungan untuk mengelola risiko tersebut. Sebagai contoh, perusahaan
dapat memberikan tenaga penjualan yang agak bebas untuk melakukan transaksi tanpa banyak
pengawasan dan persetujuan manajemen. Namun setiap orang harus mengetahui batasan-
batasan kebijakan hukum, etika, dan manajemen dari praktik-praktik bebas-pengawasan
tersebut. Proses harus dilakukan sedemikian rupa sehingga siapa pun melangkah melewati
batas mengenai batasan-batasan ini, tindakan perbaikan cepat diambil dan dikomunikasikan.
Ada banyak cara bagi suatu perusahaan untuk mengomunikasikan standar manajemen
risikonya, tetapi pernyataan formal dalam laporan tahunan atau informasi di halaman web
perusahaan adalah tempat yang bagus.

Dua komponen lingkungan internal COSO ERM, filosofi manajemen risiko perusahaan
dan minat relatifnya terhadap risiko, memberi makan elemen-elemen lain dari kerangka kerja
COSO ERM. Sementara filosofi manajemen risiko dibahas dalam hal sikap dewan direksi dan
kebijakan sumber daya manusia, antara lain, risk appetite seringkali merupakan ukuran yang
lebih lunak, di mana perusahaan telah menentukan bahwa mereka akan menerima beberapa
risiko tetapi menolak yang lain dalam hal kemungkinan dan risiko mereka. dampak. Exibit 6.6
menunjukkan peta selera makan. Suatu perusahaan harus mengenali kisaran di mana ia bersedia
untuk menerima risiko dalam hal kemungkinan dan dampaknya, pamerannya mengatakan
bahwa suatu perusahaan mungkin bersedia untuk terlibat dalam proyek dampak-negatif yang
tinggi jika ada kemungkinan rendah terjadinya suatu kejadian. . Ada dimensi ketiga untuk
bagan ini juga. Suatu perusahaan kadang-kadang akan memiliki selera yang lebih besar untuk
upaya yang lebih berisiko jika ada potensi pengembalian yang lebih tinggi.

(b) Pengaturan obyektif

Peringkat tepat di bawah lingkungan internal dalam kerangka kerja COSO ERM, penetapan
tujuan menjabarkan kondisi-kondisi penting untuk membantu manajemen menciptakan proses
ERM yang tidak efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang
efektif, perusahaan harus menetapkan serangkaian tujuan strategis, selaras dengan misinya dan
mencakup kegiatan operasi, pelaporan, dan kepatuhan. COSO ERM menekankan bahwa
pernyataan misi adalah elemen penting untuk menetapkan tujuan; ini adalah pernyataan tujuan
umum dan formal dan blok hading untuk pengembangan strategi fungsional spesifik.
Seringkali hanya pernyataan sederhana dan mudah, pernyataan misi harus merangkum tujuan
perusahaan dan sikap keseluruhannya terhadap risiko. Dilakukan dan disampaikan dengan
benar, pernyataan misi harus mendorong perusahaan untuk mengembangkan tujuan strategis
tingkat tinggi dan kemudian membantu memilih dan melaksanakan tujuan operasi, pelaporan,
dan kepatuhan. Sementara tujuan operasi berkaitan dengan efektivitas dan efisiensi untuk usaha
dalam mencapai profitabilitas dan kinerja, tujuan kepatuhan mencakup pelaporan kinerja dan
kepatuhan terhadap undang-undang dan peraturan. COSO ERM menyerukan perusahaan untuk
secara formal menentukan sasarannya dengan keterkaitan langsung dengan pernyataan
misinya, bersama dengan kriteria pengukuran untuk menilai apakah perusahaan tersebut
mencapai tujuan manajemen risiko ini.

Komponen lingkungan internal ERM untuk memahami filosofi manajemen risiko

perusahaan dan appette risiko memerlukan komponen penetapan tujuan untuk secara formal
mendefinisikan selera risiko dalam hal toleransi terhadap risiko. Toleransi adalah pedoman
yang harus digunakan perusahaan dan di semua tingkatan - untuk menilai apakah perusahaan
akan menerima risiko. Menetapkan dan menegakkan toleransi risiko bisa sangat sulit, dengan
potensi masalah jika aturan ini tidak didefinisikan dengan jelas, dipahami dengan baik, dan
ditegakkan dengan ketat. Perusahaan harus menetapkan rentang risiko yang dapat diterima di
banyak bidang. Sebagai contoh, pruducts cooming off jalur produksi mungkin memiliki tingkat
kesalahan pra-mapan diterima kurang dari beberapa nilai, seperti tingkat kesalahan tidak lebih
besar dari 0,005%. Itu adalah tingkat kesalahan rendah yang dapat diterima di banyak bidang,
dan manajemen produksi di sini akan menerima risiko klaim garansi procduct atau kerusakan
reputasi mereka jika ada kesalahan dalam batas yang relatif sempit itu. Tentu saja, penekanan
jaminan kualitas saat ini pada program enam sigma, yang dibahas pada Bab 32, menjadikan
batasan-batasan tersebut jauh lebih ketat.
 Misi
Untuk menjadi produsen produk IT teknis terkemuka di dunia di bidang yang diakui

Strategi
Perluas produksi di semua pasar
untuk memenuhi permintaan Appetite Risiko
Tujuan Strategis
 Kembangkan produk
 Untuk berada di untuk mendukung
kuartil teratas teknologi yang lebih baru.
dalam penjualan  Kurangi waktu pengujian
Tujuan Terkait
produk di semua  Tingkatkan produksi di seluruh dunia sebesar
untuk meningkatkan
kategori X%. produksi.
 Pertahankan kualitas produk dengan 4,0 sigma.  Jangan terima erosi dalam
Tindakan  Pertahankan tingkat pengembalian produk kualitas produk.
 Saham pelanggan <Y%.
 Mengurangi staf di seluruh dunia sebesar Z%.

Tindakan
 Unit produksi
 Laporan kontrol kualitas di seluruh dunia
 Tingkat kepegawaian menurut unit bisnis

Toleransi Risiko
Toleransi dan Rentang yang
Tindakan Target Dapat Diterima

Tampilan 6.7 Tujuan COSO ERM - Mengatur Komponen

Sumber: COSO Enterprise Risk Management: Understanding the New Integrated ERM Framework,
Robert R. Moeller, Copyright C 2007 John Wiley & Sons. Reprinted with the permission of John Wiley & Sons, Inc.

Intinya di sini adalah bahwa perusahaan harus perusahaan harus mendefinisikan risiko
terkait strategi dan tujuan. Dalam pedoman itu, ia harus memutuskan selera dan toleransi untuk
risiko ini. Artinya, ia harus menentukan tingkat risiko yang bersedia diterima dan, mengingat
aturan toleransi risiko itu, seberapa jauh ia bersedia menyimpang dari langkah-langkah yang
telah ditetapkan sebelumnya. Tampilan 6.7 menguraikan hubungan bagian-bagian ini dari
komponen tujuan - pengaturan COSO ERM. Dimulai dengan misi keseluruhan, pendekatannya
ialah untuk (1) mengembangkan tujuan strategis untuk mendukung pencapaian misi itu, (2)
menetapkan strategi untuk memenuhi tujuan, (3) menetapkan tujuan terkait, dan (4)
menetapkan selera risiko untuk menyelesaikan strategi itu. Gambar ini diadaptasi dari bahan
panduan COSO ERM. Bahan-bahan ini harus dirujuk untuk pemahaman yang lebih rinci
tentang COSO ERM. Untuk mengelola dan mengendalikan risiko di semua tingkatan,
perusahaan perlu menetapkan tujuannya dan menetapkan toleransinya untuk terlibat dalam
praktik berisiko dan kepatuhannya terhadap aturan-aturan ini. Hal-hal tidak akan berfungsi jika
suatu perusahaan menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi
kemudian mulai mengabaikannya.

(c) Identifikasi Peristiwa

Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang mempengaruhi
implementasi strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah
memikirkan kejadian dalam arti negatif - menentukan apa salah - mereka juga bisa bersikap
positif. Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang kuat untuk
memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Namun, lebih dari
sekadar memasang meteran pada jalur perakitan produksi, proses pemantauan harus mencakup:

 Peristiwa ekonomi eksternal. Berbagai peristiwa eksternal perlu dipantau untuk

membantu mencapai tujuan ERM perusahaan. Baik peristiwa jangka pendek maupun
jangka panjang dapat memengaruhi tujuan strategis perusahaan. Sebagai contoh
peristiwa ekonomi eksternal, pada bulan Desember 2001 dan setelah beberapa gejolak
pasar mata uang yang sedang berlangsung, Argentina menyatakan kegagalan utama dari
utang publiknya. Kejadian eksternal ini berdampak besar pada pasar kredit internasional,
pemasok komoditas pertanian, dan transaksi bisnis lainnya di Argentina dan di seluruh
Amerika Selatan. Identifikasi peristiwa ekonomi eksternal di sini mengharuskan
perusahaan untuk melampaui berita utama yang dilaporkan dan menaikkan bendera
untuk menunjukkan bahwa ternyata kegagalan mata uang tersebut dapat menyoroti
peristiwa terkait risiko perusahaan.
 Peristiwa Alam. Baik kebakaran, banjir, atau gempa bumi, berbagai peristiwa dapat
menjadi insiden dalam identifikasi risiko ERM. Dampak di sini mungkin termasuk
hilangnya akses ke beberapa bahan baku utama, kerusakan fasilitas fisik, atau tidak
tersedianya personel.
 Peristiwa politik. Undang-undang dan peraturan baru serta hasil pemilu dapat memiliki
dampak signifikan terkait peristiwa risiko pada perusahaan. Banyak perusahaan besar
memiliki fungsi urusan pemerintah yang meninjau perkembangan di sini dan melobi
untuk perubahan, tetapi fungsi tersebut mungkin tidak selalu selaras dengan tujuan ERM
perusahaan.
 Faktor sosial. Sementara peristiwa eksternal seperti gempa bumi tiba-tiba dan datang
dengan peringatan yang sedikit, sebagian besar faktor sosial adalah peristiwa yang
berevolusi secara perlahan. Ini termasuk perubahan demografis, adat istiadat sosial, dan
 peristiwa lain yang dapat memengaruhi suatu perusahaan dan pelanggannya dari waktu
ke waktu. Pertumbuhan populasi Hispanik di Amerika Serikat adalah contoh seperti itu.
Ketika semakin banyak orang Hispanik pindah ke kota, misalnya, persyaratan mengajar
di sekolah umum dan campuran pilihan di toko bahan makanan semuanya akan berubah.
 Peristiwa infrastruktur internal. Perusahaan sering membuat perubahan yang tidak
berbahaya yang memicu peristiwa terkait risiko lainnya. Misalnya, perubahan pengaturan
layanan pelanggan dapat menyebabkan keluhan utama dan penurunan kepuasan
pelanggan di unit ritel. Permintaan pelanggan yang kuat untuk produk baru dapat
menyebabkan perubahan dalam persyaratan kapasitas pabrik dan kebutuhan akan
personil tambahan.
 Peristiwa terkait proses internal. Mirip dengan perubahan dalam peristiwa
infrastruktur, perubahan dalam proses utama dapat memicu berbagai peristiwa
identifikasi risiko. Dalam banyak kasus, identifikasi risiko mungkin tidak langsung, dan
beberapa waktu mungkin berlalu sebelum peristiwa terkait proses menandakan perlunya
identifikasi risiko.
 Peristiwa teknologi eksternal dan internal. Setiap perusahaan menghadapi berbagai
macam peristiwa teknologi yang dapat memicu kebutuhan untuk identifikasi risiko
formal. Beberapa mungkin bertahap, sementara yang lain, seperti pergeseran ke
lingkungan Web, lebih tiba-tiba. Dalam kasus lain, sebuah perusahaan dapat merilis
peningkatan baru yang menyebabkan pesaing lain bertindak. Meskipun gagasan itu
tampak biasa hari ini, ketika Merrill Lynch, yang pada waktu itu merupakan seorang
broker besar, meluncurkan konsep Cash Management Account (CMA) pada pertengahan
1980-an, itu menyebabkan kegemparan besar dalam industri jasa keuangan. CMA adalah
layanan yang menggabungkan broker saham pelanggan, rekening giro bank, dan layanan
keuangan lainnya yang semuanya dalam satu atap. Di masa lalu, semua akun tersebut
disediakan oleh penyedia yang terpisah tanpa adanya hubungan antara mereka.

Suatu perusahaan perlu mendefinisikan dengan jelas kejadian-kejadian risikonya yang

signifikan dan kemudian memiliki proses untuk memonitornya agar dapat mengambil tindakan
yang diperlukan dan tepat. Jenis proses berpikiran maju ini seringkali sulit dikenali di banyak
perusahaan. Melihat peristiwa risiko potensial internal dan eksternal ini dan memutuskan mana
yang memerlukan perhatian lebih lanjut bisa menjadi proses yang sulit. Beberapa kebutuhan
mendesak, dan lainnya sangat terarah di masa depan. Materi aplikasi teknik COSO ERM yang
dirilis menawarkan bantuan di sini. Bahan pedoman menyarankan perusahaan
mempertimbangkan beberapa pendekatan ini:

 Persediaan Peristiwa. Manajemen harus mengembangkan daftar peristiwa yang

berhubungan dengan risiko yang umum bagi industri spesifik dan bidang fungsional
perusahaan. Dengan kata lain, suatu perusahaan harus mempertimbangkan untuk
menetapkan beberapa jenis sumber arsip “pembelajaran”. Secara historis, ini adalah tipe
data yang disediakan oleh anggota yang memiliki masa kerja lebih lama dari suatu
perusahaan yang dapat menawarkan “Kami mencobanya beberapa tahun yang lalu,
tetapi. . " jenis komentar.
 Workshop yang difasilitasi. Suatu perusahaan dapat mengadakan workshop lintas
fungsional untuk membahas faktor risiko potensial yang dapat berkembang dari berbagai
peristiwa internal atau eksternal. Hasil dari workshop ini adalah rencana tindakan untuk
memperbaiki potensi risiko. Walaupun pendekatannya terdengar bagus, seringkali
merupakan tantangan untuk mengalokasikan waktu yang cukup untuk membahas format
risiko seperti itu.
 Wawancara, kuesioner, dan survei. Informasi mengenai peristiwa risiko potensial
dapat berasal dari berbagai sumber, seperti surat kepuasan pelanggan atau karyawan yang
keluar dari komentar wawancara. Informasi ini harus dibatasi dan diklasifikasikan untuk
mengidentifikasi apa saja yang mungkin mengarah pada peristiwa risiko.
 Analisis proses flo. Materi teknik aplikasi COSO ERM merekomendasikan penggunaan
flow diagram untuk meninjau proses dan mengidentifikasi peristiwa risiko potensial.
Bagi banyak orang, flow diagram ini mirip dengan dokumentasi kontrol internal yang
disiapkan sebagai bagian dari dokumentasi SOx Section 404. Bagian 404 pekerjaan itu
tidak fokus pada identifikasi peristiwa risiko, tetapi analisis ERM ini dapat
dikombinasikan dengan pekerjaan Bagian 404 dalam periode pembaruan mendatang.
 Memimpin peristiwa dan pemicu eskalasi. Idenya di sini adalah untuk menetapkan
serangkaian pengukuran unit bisnis untuk memantau tujuan toleransi risiko dan
mempromosikan tindakan perbaikan. Misalnya, grup TI perusahaan dapat menetapkan
tujuan untuk mempertahankan kontrol keamanan yang kuat atas risiko intrusi sistem.
Dengan ukuran jumlah upaya intrusi yang diidentifikasi selama suatu periode, pemicu
dari mungkin tiga insiden intrusi dalam satu bulan dapat memicu tindakan lebih lanjut.
Alat perangkat lunak jenis dasbor atau laporan pemantauan dapat digunakan di sini. Alat
perangkat lunak ini mirip dengan dashboard mobil, di mana indikator akan memancarkan
 sinyal untuk kondisi seperti tekanan oli rendah atau panas berlebih. Status risiko
dilaporkan melalui beberapa monitor grafis sederhana, mudah dipahami, seperti lampu
peringatan merah, kuning, dan hijau.
 Kehilangan pelacakan data peristiwa. Sementara pendekatan dasbor memantau
peristiwa risiko saat terjadi, sering kali berharga untuk meletakkan berbagai hal dalam
perspektif yang lebih setelah berlalunya waktu. Pelacakan peristiwa kerugian mengacu
pada penggunaan sumber basis data internal dan publik untuk melacak aktivitas di bidang
yang diminati. Sumber-sumber ini juga dapat mencakup berbagai bidang mulai dari
indikator ekonomi terkemuka hingga tingkat kegagalan peralatan internal. Sekali lagi di
sini, perusahaan harus menginstal proses identifikasi risiko yang efektif untuk melacak
peristiwa terkait risiko internal dan eksternal.

Alat dan pendekatan identifikasi risiko dapat menghasilkan beberapa informasi yang
sangat berguna. Penggunaannya membutuhkan analisis data yang baik serta menginisiasikan
rencana tindakan , apakah melindungi dari risiko atau memanfaatkan peluang potensial.

(d) Penilaian Risiko

Sementara komponen lingkungan internal adalah landasan COSO ERM (Bagian 4.3 (h)
membahas pemantauan sebagai landasannya), komponen penilaian risiko adalah inti kerangka
kerja. Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan dampak potensial
yang mungkin timbul dari peristiwa terkait risiko terhadap pencapaian tujuan perusahaan.
Risiko-risiko ini harus dinilai dari dua perspektif: kemungkinan terjadinya risiko dan dampak
potensialnya. Sebagai bagian penting dari proses penilaian risiko ini, bagaimanapun, adalah
kebutuhan untuk mempertimbangkan risiko inheren dan juga risiko residual :

 Risiko Inherent. Sebagaimana didefinisikan oleh Kantor Manajemen dan Anggaran

Pemerintah AS, risiko inheren adalah "potensi pemborosan, kehilangan, penggunaan
yang tidak sah, atau penyalahgunaan karena sifat suatu kegiatan itu sendiri." Faktor
utama yang memengaruhi risiko inheren perusahaan adalah ukuran anggaran, kekuatan
dan kecanggihan manajemen, dan sifat kegiatannya. Risiko yang melekat berada di luar
kendali manajemen dan biasanya berasal dari faktor eksternal. Sebagai contoh, pengecer
besar Wal-Mart begitu besar dan dominan di pasarnya sehingga ia menghadapi berbagai
risiko yang melekat karena ukurannya semata-mata.
  Risiko residu. Ini adalah risiko yang tetap ada setelah respons manajemen terhadap
ancaman dan tindakan pencegahan risiko telah diterapkan. Hampir selalu ada beberapa
tingkat risiko residual.

Kedua konsep ini menyiratkan bahwa suatu perusahaan akan selalu menghadapi
beberapa risiko. Setelah manajemen menangani risiko yang timbul dari proses identifikasi
risiko, masih akan ada beberapa risiko residual yang harus diperbaiki. Selain itu, selalu ada
beberapa risiko yang melekat bahwa manajemen dapat melakukan sedikit untuk memitigasi.
Wal-Mart, misalnya, dapat mengambil beberapa langkah untuk mengurangi risiko inheren
terkait dengan dominasi pasar tetapi pada dasarnya tidak dapat melakukan apa pun terkait risiko
inheren gempa bumi besar.

Kemungkinan dan dampak risiko adalah dua komponen penting lainnya yang
diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau
kemungkinan suatu risiko akan terjadi. Dalam banyak kasus, ini bisa menjadi penilaian
manajemen kunci yang dinyatakan dalam kemungkinan risiko tinggi, sedang, atau rendah. Ada
juga beberapa alat kuantitatif yang baik untuk mengembangkan perkiraan kemungkinan, tetapi
tidak ada gunanya memperkirakan kemungkinan risiko yang terjadi kecuali ada data
pendukung yang kuat.

Memperkirakan dampak jika peristiwa risiko terjadi sedikit lebih mudah. Contohnya,
untuk risiko yang terkait dengan IT, dampak dari server data dan kegagalan jaringan pusat
bencana; suatu perusahaan dapat mengembangkan beberapa perkiraan yang relatif akurat
seperti biaya penggantian fasilitas dan peralatan, biaya sistem pemulihan, dan biaya bisnis yang
hilang karena kegagalan terkait TI. Namun, seluruh konsep di balik ERM bukan untuk
mengembangkan perhitungan tingkat keakuratan yang tepat mengenai risiko ini, tetapi untuk
menyediakan kerangka kerja manajemen risiko yang efektif. Perhitungan terperinci dapat
didelegasikan kepada penaksir asuransi dan lainnya.

Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui

serangkaian tindakan kuantitatif dan kualitatif. Sumber untuk lebih banyak data adalah materi
teknik aplikasi COSO ERM atau kelompok minat khusus Project Management Institute (PMI)
tentang risiko (www.risksig.com). Sumber-sumber ini memberikan panduan tentang
pendekatan untuk menentukan langkah-langkah relatif pada kemungkinan risiko dan dampak
potensial. Namun, ide dasarnya adalah untuk menilai semua risiko yang teridentifikasi dan
membuat peringkatnya berdasarkan kemungkinan dan dampaknya secara konsisten.
 Tanpa melalui analisis kuantitatif terperinci, setiap risiko yang teridentifikasi dapat
diperingkat pada skala relatif keseluruhan 1 hingga 10, dengan pertimbangan diberikan pada
dampak dan kemungkinan masing-masing. Peringkat ini dapat dicapai dengan proses
keputusan manajemen terfokus di mana masing-masing risiko yang diidentifikasi ditinjau dan
kemudian diberi peringkat sehubungan dengan skala ini.

Tampilan 6.8 Contoh Kemungkinan Pemetaan Risiko dan Dampak

Peringkat
Nama Risiko Definisi Risiko Dampak Kemungkinan
Risiko
Risiko Kegagalan untuk Tinggi: Kesalahan Medium: Meskipun
Akuntansi mencatat aktivitas akuntansi dapat memiliki prosedur yang
penjualan secara berdampak material kuat, personel baru di
akurat dan tepat pada informasi berbagai lokasi dapat 8
waktu dapat keuangan dan membuat kesalahan.
menyebabkan salah operasional
saji dalam laporan
keuangan.
Risiko Hukum Kegagalan untuk Medium: Sekalipun Tinggi: Dengan operasi
memahami undang- kecil, pelanggaran di seluruh dunia dalam
undang dan peraturan teknis pada sebagian banyak yurisdiksi,
saat ini dan besar regulasi pelanggaran — jika
perubahan dapat seharusnya tidak hanya teknis — dapat 7
mengakibatkan berdampak material terjadi.
ketidakmampuan pada operasi.
untuk mematuhi
hukum di beberapa
yurisdiksi Operasi.
Pemisahan Pemisahan tugas Tinggi: Operasi Rendah: Audit internal
Tugas yang tidak terkontrol curang dapat yang sedang
dapat memungkinkan berdampak berlangsung dan praktik
karyawan untuk signifikan pada kontrol manajemen 5
Memproses transaksi operasi perusahaan. yang lebih kuat harus
Penipuan yang tidak mencegah kerusakan
sah. kontrol tersebut.

Tampilan 6.8 menunjukkan bagaimana serangkaian risiko untuk perusahaan sampel

dinilai pada nilai relatif tinggi, sedang, atau rendah. Untuk perusahaan yang lebih besar,
risikonya dapat ditingkatkan hingga 1 hingga 10 atau bahkan 1–100 memungkinkan
granularitas yang lebih besar. maksudnya adalah untuk menetapkan beberapa peringkat relatif
untuk risiko dan untuk mengidentifikasi risiko-risiko yang harus mendapat perhatian
manajemen yang paling teliti.
 Pendekatan keseluruhan untuk meninjau berbagai kemungkinan dan dampak risiko ini
perlu dipertimbangkan. Penilaian risiko adalah komponen kunci dari kerangka kerja COSO
ERM. Di sinilah perusahaan mengevaluasi semua risiko yang mungkin berdampak pada
berbagai tujuannya, mempertimbangkan kemungkinan dan dampak masing-masing risiko ini,
mempertimbangkan keterkaitan mereka berdasarkan unit-per-unit atau keseluruhan
perusahaan, dan kemudian mengembangkan strategi untuk menanggapinya dengan sesuai.
Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dengan
teknik penilaian risiko klasik yang telah digunakan selama bertahun-tahun. Yang unik adalah
bahwa COSO ERM menyarankan bahwa perusahaan harus mengambil pendekatan
keseluruhan, di semua unit dan mencakup semua masalah strategis utama, untuk
mengidentifikasi risiko secara konsisten dan menyeluruh.

(e) Respon Risiko

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM menyerukan
tanggapan terukur terhadap berbagai risiko yang diidentifikasi ini. Harus ada peninjauan yang
cermat terhadap kemungkinan risiko yang diperkirakan dan dampak potensial, dengan
pertimbangan diberikan pada biaya dan manfaat yang terkait, untuk mengembangkan strategi
respon risiko yang tepat. Respon risiko ini dapat ditangani dengan salah satu dari empat cara
dasar ini :

1. Penghindaran. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis berisiko, atau menjatuhkan
lini produk. Kesulitannya adalah bahwa perusahaan sering kali tidak dapat melepaskan
lini produk atau berjalan pergi sampai setelah peristiwa risiko terjadi dengan biaya
terkait. Kecuali jika perusahaan memiliki selera risiko yang sangat rendah, sulit untuk
meninggalkan area bisnis yang sukses atau lini produk berdasarkan risiko potensial di
masa depan. Penghindaran bisa menjadi strategi yang berpotensi mahal jika investasi
dilakukan untuk masuk ke area dengan penarikan berikutnya untuk menghindari risiko.
Pemahaman yang dipelajari secara kolektif dari kegiatan masa lalu sering kali
dapat membantu dengan strategi ini. Jika perusahaan telah terlibat dalam beberapa bidang
di masa lalu dengan konsekuensi yang tidak menguntungkan, ini mungkin cara yang baik
untuk menghindari risiko sekali lagi. Karena perubahan yang konstan dan masa kerja
yang singkat, sejarah kolektif ini terlalu sering hilang dan dilupakan. Selerah suatu
perusahaan yang dipahami dengan baik dan dikomunikasikan untuk risiko mungkin
 merupakan pertimbangan paling penting ketika memutuskan apakah strategi
penghindaran risiko sesuai.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko terlalu kuatnya
ketergantungan pada satu lini produk utama; pemisahan operasi TI menjadi dua lokasi
yang terpisah secara geografis akan mengurangi risiko beberapa kegagalan besar. Jumlah
strategi yang efektif untuk mengurangi risiko turun ke hal-hal yang sudah jelas dan biasa,
seperti pelatihan lintas karyawan untuk mengurangi risiko seseorang pergi tanpa terduga.
3. Berbagi. Hampir semua perusahaan secara teratur membagikan sebagian risiko mereka
melalui pembelian asuransi, tetapi teknik pembagian risiko lainnya juga tersedia. Untuk
transaksi keuangan, suatu perusahaan dapat melakukan operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi potensi risiko dan
imbalan bisnis melalui perjanjian usaha patungan perusahaan atau pengaturan struktural
lainnya. Idenya adalah meminta pihak lain menerima beberapa risiko potensial serta
untuk berbagi dalam imbalan apa pun yang dihasilkan.
4. Penerimaan. Ini adalah strategi tanpa tindakan, seperti ketika sebuah perusahaan
melakukan Asuransi sendiri dengan tidak mengambil tindakan untuk mengurangi potensi
risiko. Intinya, sebuah perusahaan harus melihat kemungkinan risiko dan dampaknya
berdasarkan risiko yang telah ditetapkan toleransi dan kemudian memutuskan apakah
akan menerima risiko itu atau tidak. Penerimaan adalah sering merupakan strategi yang
tepat untuk berbagai risiko yang dimiliki suatu perusahaan wajah.

Manajemen harus mengembangkan strategi respons umum untuk setiap risiko yang
digunakan suatu pendekatan yang dibangun di sekitar satu atau campuran dari strategi
penghindaran risiko ini. Dalam melakukan hal itu, harus mempertimbangkan biaya versus
manfaat dari setiap respons risiko potensial serta strategi yang paling sesuai dengan selera
risiko keseluruhan perusahaan. Untuk misalnya, pengakuan perusahaan bahwa dampak risiko
yang diberikan relatif rendah akan seimbang terhadap toleransi risiko rendah yang
menunjukkan bahwa asuransi harus dibeli untuk memberikan respons risiko potensial. Untuk
banyak risiko, pantas tanggapannya jelas dan hampir dipahami secara universal. Operasi TI,
untuk misalnya, menghabiskan waktu dan sumber daya untuk membuat cadangan file data
utama dan implementasinya rencana kesinambungan bisnis. Biasanya tidak ada pertanyaan
mengenai kebutuhan tersebut untuk pendekatan dasar ini, tetapi berbagai tingkat manajemen
dapat mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana
kesinambungan perlu diuji. Artinya, mereka mungkin mempertanyakan sejauh mana dan biaya
tindakan pencegahan risiko yang direncanakan.

Suatu perusahaan harus kembali ke sasaran risiko yang telah ditetapkan serta rentang
toleransi untuk tujuan tersebut. Maka harus membaca ulang kedua kemungkinan dan dampak
yang terkait dengan masing-masing untuk mengembangkan set keseluruhan risiko yang
direncanakan tanggapan. Ini mungkin langkah paling sulit dalam membangun ERM COSO
yang efektif program. Relatif mudah untuk mengidentifikasi risiko kemungkinan 5% yang
mungkin bisa menjadi api di tempat sampah dan kemudian membuat respon risiko untuk
memasang pemadam api terdekat. Namun, respons terhadap sebagian besar risiko sangat
banyak lebih kompleks dan memerlukan perencanaan dan analisis yang cukup rinci. Jika ada
risiko bahwa suatu perusahaan dapat kehilangan seluruh operasi manufaktur karena kunci
tetapi tua kegagalan produksi pabrik peralatan, respons risiko potensial dapat mencakup:

 Memperoleh peralatan produksi cadangan untuk berfungsi sebagai suku cadang untuk
kanibalisasi.
 Matikan lini produksi manufaktur dengan rencana untuk memindahkannya ke tempat
lain.
 Aturlah toko khusus untuk membangun kembali / merekonstruksi peralatan lama.
 Merencanakan ulang produk yang diproduksi dan rencana untuk pengenalan produk
baru

Mengembangkan respons risiko memerlukan sejumlah perencanaan dan strategi

berpikir yang signifikan. Beberapa alternatif respons risiko dapat melibatkan biaya, waktu, dan
perencanaan proyek terperinci. Misalnya, salah satu strategi respons peralatan yang lebih lama
adalah untuk memperoleh satu set peralatan cadangan. Jika itu adalah strategi yang disetujui,
tindakan harus diambil untuk memperoleh peralatan cadangan sebelum kegiatan ini bisa genap
diidentifikasi sebagai strategi respons risiko aktual. Semua risiko terdaftar pada analisis
semacam itu harus diukur terhadap faktor dampak yang sama, berdasarkan penerimaan,
hindari, berbagi, atau kurangi strategi risiko.

COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi pada suatu
entitas- atau dasar portofolio luas. Ini bisa menjadi proses yang sulit di multiproduk besar,
multi-unit perusahaan, tetapi memberikan titik awal dalam mengatur berbagai risiko ini untuk
mengidentifikasi risiko yang lebih signifikan yang dapat berdampak pada perusahaan. Idenya
di sini adalah untuk melihat potensi risiko, kemungkinan terjadinya, dan dampaknya. sebuah
analisis yang baik di sini harus menyoroti bidang-bidang untuk perhatian lebih rinci

(f) Mengontrol Aktivitas

Aktivitas kontrol ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan pada respons risiko yang diidentifikasi. Meskipun beberapa kegiatan ini hanya
berhubungan dengan respons risiko yang diidentifikasi dan disetujui di bidang perusahaan,
mereka sering tumpang tindih di beberapa fungsi dan unit. Komponen kegiatan pengendalian
PT COSO ERM harus dikaitkan erat dengan strategi dan tindakan respons risiko dibahas
sebelumnya. Setelah memilih respons risiko yang sesuai, perusahaan harus memilih control
kegiatan yang diperlukan untuk memastikan bahwa respons risiko dilaksanakan tepat waktu
dancara yang efisien. Proses menentukan apakah kegiatan kontrol dilakukan benar sangat mirip
dengan menyelesaikan penilaian kontrol internal Bagian 404 Sox (dibahas pada Bab 4). COSO
ERM membutuhkan pendekatan untuk mengidentifikasi, mendokumentasikan, menguji, dan
kemudian memvalidasi kontrol perlindungan risiko ini. Setelah melalui identifikasi, penilaian,
dan proses respons risiko COSO ERM, risiko pemantauan membutuhkan empat langkah ini:

1. Mengembangkan pemahaman yang kuat tentang risiko yang signifikan dan

membangun control
prosedur untuk memantau atau memperbaiki mereka.
2. Buat prosedur pengujian tipe bor api untuk menentukan apakah pengendalian itu terkait
risiko
prosedur bekerja dengan efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka berfungsi
efektif dan seperti yang diharapkan.
4. Buat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan pemantauan
risiko proses.

Proses empat langkah ini mirip dengan persyaratan SOx Bagian 404 untuk ditinjau, menguji,
dan kemudian menegaskan bahwa proses kontrol internal bekerja dengan baik. Utama
Perbedaannya, tentu saja, adalah bahwa di bawah SOx, suatu perusahaan secara hukum
diharuskan untuk menyatakan kecukupan kontrol internal. Tidak ada persyaratan hukum
seperti saat ini dengan COSO ERM, tetapi perusahaan harus menginstal kegiatan kontrol
pemantauan risiko untuk memantau berbagai risiko yang telah diidentifikasi. Karena sifat kritis
banyak orang risiko terhadap suatu perusahaan, pemantauan risiko dapat menjadi sangat
penting bagi keseluruhan perusahaan kesehatan.

Banyak kegiatan kontrol di bawah kendali internal COSO cukup mudah untuk
diidentifikasi dan uji karena sifat akuntansi mereka. Kegiatan pengendalian ini umumnya
meliputi area kendali internal ini:

 Pemisahan tugas. Pada dasarnya, orang yang melakukan transaksi harus bukan orang
yang sama yang mengotorisasi transaksi itu.
 Jalur audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
 Keamanan dan integritas. Proses kontrol harus memiliki kontrol yang tepat prosedur
sedemikian rupa sehingga hanya orang yang berwenang yang dapat meninjau atau
memodifikasinya.
 Dokumentasi. Proses harus didokumentasikan dengan tepat.

Prosedur kontrol ini, dan lainnya, cukup dikenal dan berlaku untuk semua proses
pengendalian internal dalam suatu perusahaan dan juga dapat berlaku untuk banyak risiko acara
yang terkait. Banyak profesional, apakah mereka memiliki akuntansi dan audit latar belakang
atau tidak, sering dapat mendefinisikan beberapa kontrol utama yang diperlukan dalam
sebagian besar bisnis proses. Misalnya, jika diminta mengidentifikasi jenis-jenis kontrol
internal yang seharusnya dibangun ke dalam sistem hutang, banyak profesional mengatakan
cek itu dikeluarkan dari system dan harus disahkan oleh orang independen, catatan Akuntansi
itu harus ada di tempat untuk melacak cek yang dikeluarkan, dan bahwa cek tersebut
dikeluarkan dengan proses sedemikian rupa sehingga hanya orang yang berwenang yang dapat
memulai transaksi finansial. Ini umumnya prosedur pengendalian internal yang dipahami
dengan baik dan dipahami secara luas. Suatu perusahaan seringkali menghadapi tugas yang
lebih sulit dalam mengidentifikasi control kegiatan untuk mendukung kerangka ERM-nya.
Meski tidak ada yang diterima atau standar mengatur kegiatan kontrol ERM saat ini,
dokumentasi ERM COSO menyarankan beberapa area:

 Ulasan tingkat atas. Manajer senior harus sangat menyadari risiko yang teridentifikasi
dalam unit organisasi mereka dan melakukan tinjauan tingkat atas regular pada status
risiko yang teridentifikasi.
 Manajemen fungsional atau aktivitas langsung. Selain ulasan tingkat atas, manajer unit
fungsional dan langsung harus memiliki peran kunci dalam pengendalian risiko
 pemantauan kegiatan. Ini sangat penting di mana kegiatan pengendalian dilakukan
tempat dalam unit operasi terpisah dengan kebutuhan untuk komunikasi dan resolusi
risiko di seluruh saluran perusahaan.
 Memproses informasi. Apakah itu proses berbasis peralatan IT atau lebih lunak
formulir seperti kertas atau pesan, pemrosesan informasi mewakili komponen kunci
dalam kegiatan pengendalian terkait risiko suatu perusahaan. Prosedur kontrol yang
tepat harus didirikan dengan penekanan pada proses TI perusahaan dan risiko.
 Control fisik. Banyak kekhawatiran terkait risiko melibatkan aset fisik, seperti itu
sebagai peralatan, inventaris, sekuritas, dan pabrik fisik. Apakah fisik inventaris,
inspeksi, atau prosedur keamanan pabrik, suatu perusahaan harus memasang prosedur
aktivitas kontrol fisik berbasis risiko yang tepat.
 Indikator kinerja. Perusahaan khas saat ini mempekerjakan berbagai alat pelaporan
keuangan dan operasional yang juga dapat mendukung risiko terkait peristiwa
pelaporan kinerja. Bila perlu, alat kinerja harus dimodifikasi untuk mendukung
komponen aktivitas kontrol ERM yang penting ini.
 Pemisahan tugas. Aktivitas kontrol klasik, orang yang memulai tertentu tindakan tidak
boleh orang yang sama yang menyetujuinya.

Aktivitas kontrol ini disorot dalam materi panduan COSO ERM. Mereka dapat
diperluas untuk mencakup bidang utama lainnya. Beberapa akan lebih spesifik untuk individu
unit dalam perusahaan, tetapi masing-masing, secara tunggal dan kolektif, komponen penting
untuk mendukung kerangka kerja ERM perusahaan.

(g) Informasi dan Komunikasi

Meskipun digambarkan sebagai komponen terpisah dalam diagram kerangka COSO ERM
dalam Tampilan 6.5, informasi dan komunikasi kurang terpisah terkait risiko proses daripada
alat dan proses yang menghubungkan komponen ERM COSO lainnya. Itu Konsep dijelaskan
dalam Tampilan 6.9 yang menunjukkan arus informasi melintasi COSO Komponen ERM.
Sebagai contoh, komponen respons risiko menerima residu dan input risiko yang melekat dari
penilaian risiko serta dukungan toleransi risiko dari komponen penetapan tujuan. Respon risiko
ERM kemudian memberikan respons risiko dan data portofolio risiko untuk mengontrol
aktivitas serta umpan balik ke penilaian risiko. Berdiri sendiri, komponen pemantauan tidak
memiliki informasi langsung koneksi tetapi memiliki tanggung jawab keseluruhan untuk
meninjau semua fungsi ini.
 Exhibit 6.9 Arus Informasi dan Komunikasi dalam Komponen ERM
Sumber: Manajemen Risiko COSO Enterprise: Memahami Kerangka ERM Terpadu
Baru, Robert R. Moeller, Hak Cipta C _ 2007 John Wiley & Sons. Dicetak ulang
dengan izin John Wiley & Sons, Inc.

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus

dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana,
melakukannya adalah proses yang jauh lebih kompleks dalam praktiknya. Proses dasar di
banyak perusahaann terdiri dari web kompleks sistem informasi operasional dan keuangan itu
seringkali tidak terhubung dengan baik. Keterkaitan ini menjadi semakin rumit untuk banyak
proses ERM, mengingat banyak aplikasi dasar perusahaan tidak secara langsung cocokkan diri
mereka pada identifikasi risiko, penilaian, dan proses tipe respons risiko. Melampaui aplikasi
informasi ERM yang komprehensif untuk suatu perusahaan, ada kebutuhan untuk
mengembangkan pemantauan risiko dan sistem komunikasi yang menghubungkan dengan
pelanggan, pemasok, dan pemangku kepentingan lainnya.

Sedangkan segmen informasi adalah informasi dan komunikasi ERM komponen

biasanya dianggap dalam hal informasi strategis dan operasional TI sistem, aspek kedua dari
komponen ini, komunikasi ERM, berbicara tentang komunikasi di luar aplikasi IT. Ini termasuk
kebutuhan akan mekanisme untuk memastikan bahwa semua pemangku kepentingan
menerima pesan berkenaan dengan kepentingan perusahaan dalam mengelola risikonya. Ada
kebutuhan untuk bahasa risiko umum di seluruh perusahaan mengenai peran dan tanggung
jawab manajemen risiko mereka. COSO ERM akan bernilai kecil bagi perusahaan kecuali jika
kepentingannya dikomunikasikan kepada semua pemangku kepentingan secara umum dan
konsisten.

(h) Pemantauan

Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen ERM yang terpasang bekerja secara efektif. Orang-orang
dalam perubahan perusahaan, seperti halnya proses pendukung dan internal dan kondisi
eksternal, tetapi komponen pemantauan membantu memastikan bahwa ERM berfungsi efektif
secara berkelanjutan. Contoh pemantauan termasuk proses untuk menandai pengecualian atau
pelanggaran dalam komponen proses ERM lainnya. Misalnya, sebuah fungsi penagihan
piutang harus mengidentifikasi keseluruhan keuangan dan operasional risiko jika tagihan
pelanggan tidak dibayarkan tepat waktu. Yang sedang berlangsung — waktu nyata — alat
pemantauan pengumpulan kredit dapat menyediakan manajemen senior sehari-hari dan tren
data tentang status koleksi. Pemantauan dasbor alat, yang dibahas sebelumnya, adalah monitor
ERM yang dapat bekerja secara terus menerus. Melampaui alat pemantauan dasbor,
manajemen perusahaan harus mengambil tanggung jawab keseluruhan untuk pemantauan
ERM. Untuk membangun ERM yang efektif kerangka kerja, pemantauan harus mencakup
tinjauan berkelanjutan dari keseluruhan proses ERM mulai dari tujuan yang diidentifikasi
hingga kemajuan kegiatan pengendalian ERM yang sedang berlangsung.

Dokumen COSO ERM Application Framework menyarankan agar pemantauan dapat

dilakukan termasuk jenis kegiatan ini:

 Implementasi mekanisme pelaporan manajemen yang berkelanjutan seperti untuk uang

tunai, posisi penjualan unit, dan data keuangan utama. Suatu perusahaan seharusnya
tidak perlu tunggu hingga akhir bulan fiskal untuk jenis laporan status ini, dan respons
cepat laporan flash harus dimulai.
 Proses pelaporan waspada terkait risiko berkala harus memantau aspek-aspek kunci
dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan yang dapat diterima
atau barang yang disimpan di ketegangan. Pelaporan tersebut harus menekankan tren
statistik dan perbandingan baik dengan periode sebelumnya dan dengan sektor industri
lainnya.
  Pelaporan status terkini dan berkala untuk temuan dan rekomendasi terkait risiko dari
laporan audit internal dan eksternal, termasuk status yang terkait ERM Kesenjangan
yang diidentifikasi SOx.
 Informasi terkait risiko yang diperbarui dari sumber seperti aturan yang direvisi
pemerintah, tren industri, dan berita ekonomi umum. Sekali lagi, jenis ekonomi dan
pelaporan operasional harus tersedia untuk manajer di semua tingkatan.
Pemantauan evaluasi terpisah atau individu mengacu pada ulasan terperinci dari
individu proses risiko oleh reviewer yang berkualifikasi, seperti audit internal. Berikut
ulasannya dapat dibatasi pada area tertentu atau mencakup seluruh proses ERM untuk suatu
perusahaan satuan. Audit internal seringkali merupakan sumber internal terbaik untuk
melakukan ERM spesifik tersebut ulasan. Peran audit internal dalam proses ERM dan perannya
dalam pemantauan, khususnya, dibahas di bagian selanjutnya.

6.4 Dimensi Lain dari COSO ERM: Tujuan Risiko Perusahaan

Meskipun banyak dari pengantar COSO ERM kami di sini berada di sisi depan kerangka tiga
dimensi, dua dimensi lainnya — operasional dan tingkat organisasi — harus selalu
dipertimbangkan. Setiap komponen ERM COSO beroperasi di ruang tiga dimensi ini; masing
- masing harus dipertimbangkan dalam hal Kategori terkait lainnya. Komponen-komponen
strategis, operasi, pelaporan, dan sasaran risiko kepatuhan penting untuk dipahami dan
diterapkan COSO ERM. Selain itu, sementara Exhibit 6.5 menunjukkan masing-masing risiko
yang dihadapi ini tujuan memiliki ukuran relatif yang sama, tujuan risiko tingkat operasi sering
dipandang sebagai kategori risiko paparan yang jauh lebih luas dan lebih tinggi daripada yang
lain.

(a) Tujuan Manajemen Risiko Operasional

Banyak jenis risiko operasi dapat berdampak pada perusahaan. Mengikuti tiga dimensi
Kerangka kerja ERM, sasaran risiko tingkat operasi memerlukan identifikasi risiko untuk
setiap unit perusahaan. Identifikasi risiko tingkat operasi ini tujuan sering kali memerlukan
pengumpulan dan analisis informasi terperinci, terutama untuk perusahaan yang lebih besar
yang mencakup beberapa area geografis, lini produk, atau bisnis proses. Manajer langsung unit
individu biasanya memiliki pemahaman terbaik risiko operasional mereka, dan informasi itu
dapat hilang ketika dikonsolidasikan untuk pelaporan tingkat yang lebih tinggi. Tinjauan audit
internal atau survei orang yang terkena dampak langsung dengan risiko ini dapat membantu
untuk mengumpulkan informasi latar belakang yang lebih rinci risiko operasi potensial. Sebuah
survei terhadap anggota langsung dari perusahaan,mseiring dengan pertanyaan lanjutan, akan
memungkinkan pengembangan yang luas dan konsisten set risiko operasi yang di katalog.
Pertanyaan yang diajukan di sini akan serupa denganjenis pertanyaan terperinci yang
digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini bisa
menjadi dasar untuk mengembangkan pemahaman yang lebih baik potensi risiko.

Jenis survei ini, diedarkan di semua tingkat perusahaan, dengan pesan yang mendorong
pemangku kepentingan untuk merespons secara jujur, seringkali mengumpulkan informasi
penting mengenai risiko potensial pada tingkat operasional yang terperinci. Seorang manajer
dari pabrik yang beroperasi jarak jauh mungkin tidak memiliki kekhawatiran yang
dikomunikasikan secara memadai tentang beberapa risiko operasional tingkat pabrik.
Seringkali survei yang luas dan rahasia lebih baik memungkinkan orang untuk
mengomunikasikan risiko operasi tingkat lokal melalui perusahaan.

Dengan pandangan portofolio risiko ERM, suatu perusahaan harus menghindari hal-hal
yang terlalu banyak menjadi tingkat ringkasan, hilang atau membulatkan risiko tingkat rendah
yang penting. Apa pun posisi mereka di perusahaan atau lokasi geografis mereka, manajer di
semua tingkatan harus menyadari bahwa mereka bertanggung jawab untuk menerima dan
mengelola risiko di dalam unit operasional mereka sendiri. Terlalu sering, manajer unit
mungkin percaya bahwa manajemen risiko hanya menjadi perhatian bagi staf kantor pusat
tingkat senior. Pentingnya COSO ERM dan manajemen risiko operasi harus dikomunikasikan
ke semua tingkatan perusahaan. Auditor internal harus bertindak sebagai mata dan telinga di
sini dan melaporkan semua risiko operasi yang diamati.

(b) Melaporkan Tujuan Manajemen Risiko

Tujuan risiko ini mencakup keandalan laporan perusahaan tentang data keuangan dan
nonfinansial internal dan eksternal. Pelaporan yang akurat sangat penting untuk keberhasilan
suatu perusahaan dalam banyak dimensi. Laporan berita sering merinci penemuan pelaporan
keuangan perusahaan yang tidak akurat dan akibat yang ditimbulkan pasar saham untuk entitas
yang melanggar. Pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di
banyak bidang. Sebuah contoh risiko yang terkait dengan pelaporan yang tidak akurat menjadi
masalah beberapa tahun lalu di perusahaan minyak besar Royal Dutch Shell. Perusahaan
eksplorasi minyak dan gas diwajibkan untuk melaporkan cadangan mereka — jumlah minyak
dan gas pada properti mereka yang belum diekstraksi. Pada bulan Januari 2004, Royal Dutch
mengumumkan bahwa karena perkiraan buruk dan penyimpanan catatan yang ceroboh, itu
telah secara signifikan melaporkan cadangan minyak bumi yang diperkirakan.6 Kesalahan ini
tidak mempengaruhi hasil keuangan perusahaan yang dilaporkan dan pedoman pelaporan
cadangan SEC di sini tidak terlalu kuat; namun demikian, pasar menghancurkan saham setelah
pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lainnya terpaksa
mengundurkan diri. Perusahaan, di bawah ketua baru, kemudian mengumumkan rakit
perubahan dan perbaikan kontrol internal untuk memperbaiki kerusakan.

Tidak peduli apa industri itu, perusahaan menghadapi risiko besar dari pelaporan yang
tidak akurat di setiap unit atau area. Unit-unit operasi harus memastikan bahwa hasil yang
dilaporkan adalah benar sebelum mereka diteruskan ke tingkat berikutnya dalam organisasi,
dan angka yang terkonsolidasi harus akurat, apakah itu dalam laporan keuangan, pengembalian
pajak, atau segudang area lainnya. Kontrol internal yang baik diperlukan untuk memastikan
pelaporan yang akurat. ERM prihatin dengan risiko otorisasi dan rilis laporan yang tidak akurat.
Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus selalu
mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat. Kesalahan
pelaporan cadangan Dutch Royal Shell adalah contoh dari jenis kekhawatiran pelaporan risiko
ini. Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan
besar yang perlu diungkapkan. Risiko pelaporan yang tidak akurat tersebut harus menjadi
perhatian di semua tingkatan perusahaan.

(c) Tujuan Risiko Kepatuhan Hukum dan Peraturan

Semua jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan yang
diberlakukan pemerintah atau standar industri. Sementara risiko kepatuhan dapat dipantau dan
diakui, risiko hukum terkadang sama sekali tidak terduga. Di Amerika Serikat, misalnya,
sistem hukum penggugat yang agresif dapat menimbulkan risiko besar bagi perusahaan yang
berniat baik. Litigasi asbes selama 1990-an dan seterusnya adalah contohnya. Asbes, mineral
berserat, memiliki tiga karakteristik luar biasa: Asbestos berfungsi sebagai isolator untuk panas
dan listrik; itu menolak bahan kimia berbahaya lainnya; dan, ketika terhirup, sekarang
diketahui menyebabkan penyakit yang membutuhkan waktu puluhan tahun untuk berkembang.
Bahan isolasi alami, asbes digunakan secara luas dalam bahan bangunan dan dianggap jinak.
Terlalu banyak kontak langsung dengan serat asbes dari waktu ke waktu, bagaimanapun, dapat
menyebabkan masalah paru-paru yang parah dan bahkan kematian. Penambang bawah tanah
yang mengekstraksi asbes telah menemui nasib itu. Namun, di masa lalu, asbes digunakan di
banyak produk, seperti pembungkus untuk mengisolasi pipa pemanas atau sebagai penghalang
tembok pelindung api. Risiko bagi orang yang bekerja atau tinggal dalam struktur dengan pipa
yang disegel asbes cukup minim, tetapi litigator yang agresif telah mengambil tindakan
terhadap perusahaan, mengklaim bahwa siapa pun yang bisa memiliki kontak dengan produk
yang menggunakan asbes bisa berisiko kapan pun dalam masa depan. Hasilnya adalah litigasi
yang ditujukan terhadap perusahaan yang telah memproduksi produk yang mengandung
beberapa asbes, menyerukan kerusakan berdasarkan risiko manusia yang potensial di tahun-
tahun mendatang. Karena penghargaan kerusakan yang sangat besar, hampir semua perusahaan
besar yang pernah menggunakan asbes telah bangkrut, gulung tikar, atau harus membayar
kerugian kerusakan besar yang dikenakan pengadilan. Jenis risiko hukum ini sangat sulit
diantisipasi tetapi dapat menjadi bencana bagi suatu perusahaan.

COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan untuk

masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan
tujuan, atau pemantauan risiko, serta di seluruh perusahaan. Materi panduan ERM tidak
menawarkan banyak informasi tambahan tentang tujuan kepatuhan ini selain untuk
menyatakan bahwa tujuan ini mengacu pada kesesuaian dengan hukum dan peraturan yang
berlaku. Ini adalah elemen penting dari kerangka kerja manajemen risiko yang perlu
dikomunikasikan dan dipahami.

Seperti yang telah dibahas, semua perusahaan menghadapi berbagai persyaratan

kepatuhan hukum dan peraturan, dengan beberapa berdampak hampir semua perusahaan dan
yang lain terkait dengan hanya unit bisnis tunggal di sektor industri khusus. Sifat risiko
kepatuhan tersebut perlu dikomunikasikan dan dipahami melalui semua tingkatan perusahaan.
Suatu perusahaan dapat menerima tingkat risiko tertentu dalam hal keprihatinannya terkait
kepatuhan hukum. Sementara hukum utama tidak boleh sengaja diabaikan karena perasaan
pelanggaran tidak akan pernah ditangkap, perusahaan harus selalu mengambil pendekatan yang
beralasan terhadap risiko dalam hubungannya dengan filosofi dan selera risiko keseluruhan.
Misalnya, banyak aturan peraturan menetapkan bahwa semua pengeluaran harus didukung oleh
tanda terima. Meskipun biasanya tidak ada pedoman kewajaran yang spesifik, satu perusahaan
dapat memutuskan bahwa "semua pengeluaran" turun ke biaya perjalanan karyawan kurang
dari $ 1, sementara yang lain akan membutuhkan penerimaan apa pun di atas $ 25. Perusahaan
yang terakhir telah membuat keputusan bahwa biaya mendokumentasikan pengeluaran kecil
ini lebih besar daripada denda yang mungkin diterimanya jika terjebak dalam masalah
kepatuhan terhadap peraturan. Jenis keputusan terkait risiko ini mirip dengan aturan kontrol
internal keuangan AS 5 baru untuk SOx yang dibahas dalam Bab 4. Untuk mengelola dan
menetapkan tujuan risiko hukum dan peraturan, dewan direksi, CEO, dan anggota manajemen
perlu untuk memahami sifat dan tingkat semua risiko peraturan yang dihadapi perusahaan.
Departemen hukum, manajer utama, audit internal, dan lainnya dapat membantu dalam
mengumpulkan informasi ini. Ada banyak risiko di tingkat badan hukum mulai dari besar
hingga kecil, tetapi risiko pengaturan tidak pernah "kecil" ketika suatu perusahaan dinyatakan
melanggar hukum satu atau lainnya.

6.5 Risiko Tingkat Entitas

Dimensi ketiga kerangka kerja COSO ERM menuntut risiko untuk dipertimbangkan pada
tingkat organisasi atau entitas. Kerangka kerja COSO ERM dalam Tampilan 6.5 menunjukkan
empat divisi dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan risiko
anak perusahaan. Ini bukan divisi tipe perusahaan yang ditentukan, dan ERM menyarankan
bahwa risiko harus mengikuti bagan organisasi resmi. Risiko COSO ERM harus diidentifikasi
dan dikelola dalam setiap unit organisasi yang signifikan, termasuk risiko berdasarkan entitas
luas melalui unit bisnis individu.

Suatu perusahaan dengan empat divisi operasi utama dan dengan beberapa unit bisnis
di bawahnya akan memiliki kerangka kerja ERM yang mencerminkan semua unit ini.
Sementara risiko-risiko ini mungkin penting bagi keseluruhan organisasi, risiko-risiko tersebut
harus dipertimbangkan berdasarkan unit per unit hingga level serendah yang diperlukan untuk
memungkinkan perusahaan memahami dan mengelola risikonya. COSO ERM tidak merinci
seberapa tipis risiko tingkat unit ini harus diiris, dan kekritisan dan materialitas unit bisnis
individu harus dipertimbangkan. Untuk rantai restoran cepat saji utama dengan ribuan unit,
misalnya, tidak masuk akal untuk memasukkan masing-masing unit sebagai komponen
terpisah dalam model risiko. Sebaliknya, manajemen harus mendefinisikan risiko tingkat
organisasi secara cukup rinci untuk mencakup semua risiko signifikan yang dapat dikelola.

(a) Risiko yang Meliputi Seluruh Organisasi

Beberapa risiko pada tingkat unit bisnis harus digulung ke risiko tingkat entitas. Sangat mudah
bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak
material"; untuk menggunakan terminologi akuntansi publik pra-SOx, suatu perusahaan harus
menganggap semua risiko berpotensi signifikan. Misalnya, pertimbangkan anak perusahaan
yang relatif kecil di negara berkembang yang memproduksi pakaian kasual. Seringkali unit
seperti itu sangat kecil dalam hal total kontribusi pendapatan perusahaan atau ukuran relatifnya
sehingga dapat tergelincir di bawah radar pada level perusahaan senior. Namun, jika ada
masalah pekerja anak di negara tuan rumah, perusahaan mungkin mendapati dirinya menjadi
pusat perhatian terkait operasi anak perusahaan yang kecil ini. Dalam situasi seperti itu,
wartawan dapat meminta CEO untuk berkomentar di depan umum tentang kebijakan dan
prosedur di operasi anak perusahaan itu, meskipun CEO mungkin mengetahui keberadaannya
hanya secara samar-samar.

Maksud kami di sini adalah bahwa risiko besar maupun kecil tampaknya dapat
memengaruhi seluruh perusahaan. Pengiriman makanan tercemar yang diproduksi di satu unit
kecil dari rantai makanan cepat saji yang besar dapat berdampak pada prospek dan reputasi
perusahaan secara keseluruhan. Secara relatif mudah untuk mengidentifikasi risiko tingkat-
lebar entitas-tinggi, seperti kepatuhan terhadap SOx Section 404, dan untuk mengidentifikasi
dan memantau ini sebagai bagian dari proses COSO ERM, harus diperhatikan bahwa risiko
potensial yang lebih kecil tidak lolos dari celah. . Karena risiko diidentifikasi melalui penetapan
tujuan organisasi secara luas, risiko tersebut harus dipertimbangkan berdasarkan entitas secara
luas maupun oleh masing-masing unit operasi. Risiko masing-masing unit tersebut harus
ditinjau dan dikonsolidasikan terlebih dahulu untuk mengidentifikasi risiko utama yang dapat
berdampak pada keseluruhan organisasi. Selain itu, risiko di seluruh organisasi juga harus
diidentifikasi.

(b) Risiko Tingkat Unit Bisnis

Risiko terjadi di semua tingkatan perusahaan, apakah divisi produksi utama dengan banyak
pabrik dan ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan negara
asing. Risiko harus dipertimbangkan dalam setiap unit organisasi yang signifikan. Bahkan
risiko yang diidentifikasi dalam posisi kepemilikan minoritas di perusahaan penjualan negara
asing, misalnya, mungkin risiko unik untuk unit itu tetapi kemudian harus menggulung ke
entitas keseluruhan. Kami telah mengutip contoh risiko tingkat entitas yang mungkin timbul
dari kegagalan dalam pembuatan atau standar hak asasi manusia dari anak perusahaan kecil di
negara berkembang. Peristiwa risiko di sini dapat menyebabkan rasa malu bagi perusahaan
secara keseluruhan, tetapi mereka harusnya dikendalikan sampai ke unit perusahaan kecil itu.
Bhopal, India, bencana ledakan tanaman menjatuhkan perusahaan induk, sebagaimana
disebutkan.
 Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
seringkali dapat dimulai sebagai proses push-down di mana manajemen tingkat perusahaan
secara resmi menjabarkan masalah terkait risiko utama dan meminta manajemen yang
bertanggung jawab di masing-masing divisi utama untuk mensurvei tujuan risiko melalui unit
operasi dalam divisi itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi di semua
tingkatan dan kemudian dikelola di tingkat di mana mereka dapat menerima dukungan lokal
yang paling langsung.

Konsep utama seputar COSO ERM adalah bahwa suatu perusahaan menghadapi
berbagai risiko di semua tingkatan. Beberapa mungkin signifikan sementara yang lain hanya
mengganggu dan dianggap kecil. Kerangka kerja COSO ERM menyediakan mekanisme untuk
mempertimbangkan risiko-risiko ini; itu adalah alat penting untuk membantu memastikan
kepatuhan SOx.

6.6 Menyatukan Semuanya – strategi keseluruhan

Kerangka kerja COSO ERM yang dijelaskan di sini membahas pendekatan manajemen risiko
yang berlaku untuk semua industri dan mencakup semua jenis risiko. Dengan fokusnya pada
mengenali selera perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko
dalam konteks pengaturan strategi keseluruhan, COSO ERM memiliki beberapa perbedaan
mendasar dari sebagian besar model risiko yang telah digunakan hingga saat ini. COSO ERM
belum digunakan cukup lama untuk menunjukkan serangkaian perusahaan sukses yang telah
secara terbuka menerimanya. Namun, dengan penekanan AS 5 pada risiko, kita akan
mendengar lebih banyak tentang itu ke depan. Auditor internal, khususnya, harus menetapkan
tujuan CBOK untuk mempelajari lebih lanjut tentang kerangka kerja penting ini.

COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola dan
memahami SOx Bagian 404 kontrol internal. Hal ini sangat penting dengan standar audit AS 5
yang lebih baru yang memberikan lebih banyak pertimbangan terhadap risiko ketika
memahami dan mengevaluasi kontrol internal. Manajemen perusahaan di semua tingkatan
harus merangkul COSO ERM, alat penting untuk memahami banyak risiko ganda yang
dihadapi perusahaan saat ini. Auditor internal harus menjadikan COSO ERM sebagai
persyaratan CBOK audit internal, dan harus melakukan audit internal kepatuhan dengan proses
ERM.
6.7 Risiko Pengauditan dan Proses COSO ERM

Auditor internal akan mengalami masalah risiko dan manajemen risiko di banyak area seluruh
bidang audit di mana ada yang berkinerja review, dan auditor internal yang efektif harus
memahami proses manajemen risiko. Semua terlalu sering, auditor internal akan melakukan
sebuah review pengendalian internal di beberapa area dan akan diberitahu bahwa area itu dipilih
atau tidak dipilih karena “pertimbangan risiko.” Auditor harus memiliki tingkat pengetahuan
proses manajemen risiko dasar CBOK untuk dapat mengajukan pertanyaan yang tepat dan
untuk meninjau kecukupan proses-proses tersebut.

Suatu perusahaan dapat meningkatkan proses secara keseluruhan sebagaimana proses

pengendalian internal SOx melalui pelaksanaan yang efektif dan efisien dari COSO ERM.
Dengan berfokus pada kerangka COSO ERM sebagai praktek manajemen risiko umum yang
baik, audit internal dapat membantu suatu perusahaan dengan perencanaan dan melakukan
review dari proses manajemen risiko perusahaan. Tentu saja, untuk meninjau praktek COSO
ERM dan prosedur pelaksanaan, auditor internal, baik sebagai peninjau audit pengendalin
internal atau konsultan manajemen, perlu mengembangkan pemahaman yang kuat tentang
pengendalian dan proses COSO ERM. Selain itu, setiap meninjau audit internal dari proses
ERM perusahaan harus dikembangkan melalui pendekatan perencanaan audit internal berbasis
risiko yang dibahas dalam Bab 15. Audit internal harus meninjau proses ERM perusahaan
secara keseluruhan menggunakan beberapa alat ini:
 Process Flowcharting. Sebagai bagian dari proses ERM yang diidentifikasi, proses
diagram alur dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi dalam suatu perusahaan. Ini membutuhkan melihat dokumentasi yang
disiapkan untuk terkait proses risiko, menentukan apakah kondisi mereka saat ini, dan
menggambarkan keseluruhan kecukupan semua tingkat proses risiko perusahaan.
Pemodelan audit internal proses diagram alur dibahas pada Bab 16.
 Reviews of risk and control materials. Proses ERM sering menghasilkan volume besar
bahan panduan, prosedur terdokumentasi, format laporan, dan sejenisnya. Mungkin ada
yang berharga bagi audit internal untuk meninjau risiko dan bahan pengendalian.
 Benchmarking. Meski istilah yang sering disalahgunakan, tolok ukur adalah prosesnya
melihat fungsi di lingkungan lain untuk menilai operasi mereka dan untuk
mengembangkan pendekatan yang ditingkatkan berdasarkan praktik terbaik dari orang
lain. Hal terebut merupakan moto dan tradisi Institut Auditor Internal (IIA) "Kemajuan
 Melalui Berbagi" serta pendekatan tolok ukur yang dibahas dalam Bab 11 mempromosikan
pengumpulan informasi komparatif. Hal ini sering bisa menjadi teknik yang berguna.
 Questionnaires. Kuisioner adalah metode yang baik untuk mengumpulkan informasi pada
efektivitas ERM dari berbagai orang. Mereka dapat dikirim ke pemangku kepentingan
yang ditunjuk dengan permintaan untuk informasi spesifik. Hal ini sering menjadi teknik
audit internal yang berharga.

Audit internal harus menetapkan beberapa tujuan review tingkat tinggi untuk efektivitas
COSO ERM di perusahaan mereka, mengumpulkan data pelaksanaan rinci, dan kemudian
menilai efektivitas COSO ERM dan sebagai alat untuk mendukung dan meningkatkan
kepatuhan SOx. Gambar 6.10 memberikan panduan untuk Prosedur Audit Internal COSO
ERM.

EXHIBIT 6.10

Langkah Prosedur Audit W/P

Bertemu dengan manajer yang tepat untuk memperoleh pemahaman
1 tentang strategi implementasi ERM perusahaan, ruang lingkup yang
direncanakan, dan status implementasi saat ini.
Mengembangkan strategi untuk meninjau proses ERM, mungkin
2 dengan fokus menekankan semua proses lingkungan internal pada
tingkat entitas serta status dari semua komponen untuk anak
perusahaan atau unit bisnis yang dipilih.
Mengembangkan rencana audit internal rinci untuk komponen yang
3 dipilih untuk meninjau dan mempublikasikan surat perikatan audit
yang direncanakan.
Meninjau bahan bimbingan ERM perusahaan secara keseluruhan di
4 tempat untuk menilai apakah tujuan ERM telah dikomunikasikan
secara memadai, dan menilai area di mana komunikasi mungkin
kurang.

5 Filosofi manajemen risiko dan keinginan yang kuat.

Bertemu dengan anggota manajemen yang tepat untuk menilai
5.1 apakah filosofi manajemen risiko telah didefinisikan dan
dikomunikasikan.
Melalui survei atau wawancara, bertemu dengan anggota-anggota
5.2 terpilih dari perusahaan untuk menentukan apakah risk appetite telah
dikomunikasikan.

6 Integritas manajemen risiko dan nilai-nilai etika.

 Meninjau penerbitan kode etik dan bahan lainnya untuk Menentukan
6.1 jika nilai-nilai etika yang terkait risiko sedang dikomunikasikan.
Meninjau sampel komunikasi perusahaan dan menilai apakah
6.2 perhatian diberikan kepada filosofi ERM.

7 Struktur organisasi manajemen risiko.

Bertemu dengan manajemen sumber daya manusia untuk menilai
7.1 apakah proses berada di tempat untuk mengomunikasikan filosofi
ERM untuk perusahaan.
Meninjau catatan kode etik untuk menentukan bahwa telah telah
7.2 diperbarui berkala, bahwa semua pemangku kepentingan telah
mengakui itu, dan bahwa catatan kode kepatuhan berada di tempat.
Berdasarkan penelaahan atas bagan organisasi dan dokumentasi
7.3 lainnya, menilai apakah filosofi ERM tampaknya berada di tempat di
seluruh unit yang dipilih dalam perusahaan.
Memilih salah satu anak perusahaan atau perusahaan satuan untuk
8 menentukan apakah tujuan ERM perusahaan secara keseluruhan dan
komponen risiko berada di tempat untuk unit yang dipilih.
Menilai kepatuhan dengan tujuan internal yang ERM untuk unit
8.1 bisnis yang dipilih.
Menilai kepatuhan dengan proses pengaturan tujuan ERM untuk unit
8.2 bisnis yang dipilih.
Menilai kepatuhan dengan proses pemberitahuan acara ERM untuk
8.3 unit bisnis yang dipilih.
Menilai kepatuhan dengan penilaian risiko ERM untuk unit bisnis
8.4 yang dipilih.
Menilai kepatuhan dengan proses respon risiko ERM untuk unit
8.5 bisnis yang dipilih.
Menilai kepatuhan dengan proses aktivitas pengendalian ERM untuk
8.6 unit bisnis yang dipilih.
Menilai kepatuhan dengan proses informasi dan komunikasi ERM
8.7 untuk unit bisnis yang dipilih.
Menilai kepatuhan dengan proses pemantauan risiko ERM untuk unit
8.8 bisnis yang dipilih.

6.8 Manajemen Risiko dan COSO ERM dalam Perspektif

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah
untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahun untuk
pengendalian internal COSO untuk diakui sebagai lebih dari sebuah studi teknis yang menarik.
Hal tersebut telah pertama dikodifikasi sebagai standar audit oleh American Institute of
Certified Public Accountants Auditing Standards Board (AICPA ASB) dan menerima beberapa
pemberitahuan di publikasi IIA, tetapi butuh SOx untuk memberikan pengendalian internal
COSO beberapa pengakuan serius. Undang-undang SOx awal berbicara tentang standar
akuntansi internal “yang akan didirikan.” Kemudian Perusahaan Publik Akuntansi Dewan
Pengawas (PCAOB) mengamanatkan bahwa pengendalian internal COSO harus menjadi
standar pengendalian internal. Tiba setelah SOx, COSO ERM belum memiliki tingkat
pengakuan yang sama. IIA adalah pendukung awal yang penting, dan unsur-unsur ERM dapat
dilihat dalam versi baru dari tujuan pengendalian untuk informasi dan berhubungan Technology
framework (COBIT) (lihat Bab 5), tetapi masih tidak pada tingkat yang sama pentingnya dan
signifikansi hari ini untuk suatu perusahaan sebagai pengendalian internal COSO.

Pengakuan ini mungkin memakan waktu lama. Seperti disebutkan, telah ada beberapa
kebingungan karena dua kerangka mirip dan memiliki COSO di nama mereka. Namun,
penekanan terkait risiko dari AS 5 standar pengauditan baru serta pengakuan meningkatnya
masalah risiko dalam literatur profesional telah meningkatkan minat profesional yang dalam
dan perhatian terhadap manajemen risiko perusahaan, terutama ketika mencoba untuk
mencapai kepatuhan pengendalian internal SOx. Tiga dimensi kerangka ERM membantu untuk
menempatkan isu-isu risiko dan pengendalian internal dalam perspektif yang lebih baik ketika
mengevaluasi kepatuhan SOx.

Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan pengetahuan yang
harus menjadi bagian dari setiap CBOK auditor internal. Auditor internal harus menggunakan
prinsip-prinsip manajemen risiko saat memutuskan area untuk memilih tinjauan mereka
(seperti yang dibahas dalam Bab 15) dan kemudian menggunakan prinsip-prinsip risiko ketika
menilai bukti audit (seperti dibahas dalam Bab 9). Mungkin bahkan lebih penting, COSO ERM
akan semakin penting dan pengakuan sebagai perusahaan lebih memahami dan mengadopsi
kerangka ERM. Audit internal harus memiliki pemahaman CBOK dari COSO ERM baik untuk
mengaudit kepatuhan terhadap proses ini dan berkonsultasi dengan manajemen untuk
memastikan implementasi yang lebih efektif.
Referensi:

Robert R. Moeller., Bringk’s Modern Internal Auditing: A Common Body of

Knowledge. 7th Edition. @ 2009 John Wiley & Sons, Inc.