Manajemen Risiko (Risk Management)

Dibuat untuk memenuhi tugas mata kuliah Audit Manajemen dan Kinerja
Tahun Akademik 2018/2019

Disusun Oleh:
Ailsa Azaria Laksita (12030116140183)

Departemen Akuntansi
Fakultas Ekonomi dan Bisnis
Universitas Diponegoro
2018/2019
 BAB 6
COBIT and Other ISACA Guidance
Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi antara lain resiko
keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk mengelola risiko ke tingkat yang
lebih diterima. Auditor internal harus membuat COSO ERM sebagai persyaratan audit CBOK dan harus
melakukan audit internal sesuai dengan proses ERM.
Dasar-dasar Manajemen Risiko
Manajemen risiko adalah konsep dimana individu atau perusahaan menggunakan mekanisme
penjaminan untuk memberikan perlindungan dari risiko-risiko tersebut. Empat langkah proses
manajemen risiko ini harus dilaksanakan pada semua tingkat perusahaan dan dengan partisipasi dari
banyak orang yang berbeda.
1. Identifikasi Resiko
Manajemen tingkat atas, baik di korporasi maupun unit bisnis, harus mengeidentifikasi risiko
signifikan yang dapat memengaruhi setiap operasi dalam jangka waktu yang wajar.
2. Key Risk Assessment
Setelah mengidentifikasi risiko yang signifikan, langkah berikutnya adalah untuk menilai
kemungkinan mereka dan signifikansi relatif.
3. Probabililty and Uncertainty
Ketika sejumlah besar risiko telah diidentifikasi, risiko dirubah dalam dua digit probabilitas
berkisar dari 0,01 sampai 0,99.
- Risk Interdependencies
- Independensi risiko harus selalu dipertimbangkan dan dievaluasi seluruh struktur
organisasi. Meskipun suatu entitas harus peduli tentang risiko di semua tingkat
organisasi, mereka hanya memiliki kontrol atas risiko dalam lingkup sendiri
4. Risk Ranking
Untuk mengambil makna dan kemungkinan perkiraan yang ditetapkan, menghitung peringkat
risiko & mengidentifikasi risiko yang paling signifikan di seluruh entitas analisa risiko
kuantitatif
- Hasil yang diinginkan dan respon rencana
Terdapat sedikit hasil dalam mengidentifikasi resiko signifikan kecuali sebuah perusahaan
memiliki beberapa rencana preliminary untuk tindakan yang dibutuhkan apabila terdapat salah
satu resiko.
- Pemantauan risiko
Perusahaan perlu untuk memantau dan membuat penyesuaian yang sedang berlangsung yang
diperlukan. Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau oleh reviewer
independen.
COSO ERM: Enterprise Risk Management
Adalah suatu kerangka kerja untuk membantu perusahaan memiliki definisi yang konsisten dari
risiko mereka.
ERM adalah proses yang dipengaruhi oleh direksi, manjemen, dan personil lain untuk identifikasi
kejadian potensial yang memengaruhi entitas, mengelola risiko, memberikan keyakinan memadai ttg
pencapaian entitas, dan diterapkan dalam pengaturan strategi perusahaan. Tujuannya untuk memberikan
model bagi perusahaan untuk mempertimbangkan dan memahami kegiatan yang berhubungan dengan
risiko di semua tingkat sebagai dinding bagaimana komponen risiko ini berdampak satu sama lain.
Poin kunci yang mendukung definisi COSO framework ERM termasuk:
 1. ERM adalah sebuah proses
Idenya di sini adalah bahwa proses bukan prosedur statis.
2. Proses ERM dilaksanakan oleh orang-orang dalam perusahaan
Proses manajemen risiko harus dikelola oleh orang-orang yang cukup dekat dengan situasi
risiko untuk memahami berbagai faktor yang mengelilingi risiko, termasuk implikasinya.
3. ERM diterapkan melalui pengaturan strategi lintas perusahaan secara keseluruhan
Sebuah proses set ERM yang efektif harus memainkan peran utama dalam membantu
membangun strategi-strategi alternatif. Karena banyak perusahaan besar dengan banyak unit
operasi yang berbeda, ERM harus diterapkan di seluruh jenis portofolio seluruh perusahaan
yang menggunakan pendekatan yang memadukan campuran aktivitas tinggi dan berisiko
rendah.
4. Konsep risk appetite harus dipertimbangkan
Risk appetite adalah risiko yang dapat diterima oleh manajemen dan dewan ERM menyediakan
assurance yang wajar tapi tidak positif pada pencapaian objektif ERM dirancang untuk
membantu mencapai tujuan
5. ERM menyediakan assurance yang wajar tapi tidak positif pada pencapaian objektif
6. ERM dirancang untuk membantu mencapai tujuan
Elemen Kunci COSO ERM
COSO framework pengendalian internal telah menjadi model di seluruh dunia untuk
menggambarkan dan mendefinisikan pengendalian internal dan telah menjadi dasar untuk menetapkan
bagian SOx 404 kepatuhan.

risk management objectives

Risk
component
s

Entity and unit-

level components

Kerangka konseptual COSO ERM 6.5

- Empat kolom vertikal mewakili tujuan strategis risiko perusahaan.
- Delapan baris atau komponen risiko horisontal.
- Beberapa tingkatan untuk menggambarkan setiap perusahaan, dari "markas" tingkat entitas
kepada anak perusahaan masing-masing. Tergantung pada ukuran organisasi, akan ada banyak
potongan model di sini.
Komponen risiko
a) lingkungan internal
- Filosofi manajemen risiko
- Risk appetite (tingkat kewajaran yang dapat diterima)
- Sikap Direksi dalam membimbing dan mengawasi lingkungan risiko
- Integritas dan nilai-nilai etika
Untuk membangun budaya kuat dan membantu membuat keputusan berbasis risiko
- Komitmen untuk kompetensi
Kompetensi menyebabkan manajemen harus mengambil langkah untuk mencapai tujuan yang
dijanjikan, dan mengacu pada pengetahuan dan keterampilan untuk melakukan tugas yang
diberikan.
- Struktur Organisasi
Perusahaan harus mengembangkan struktur organisasi dengan garis wewenang, tanggung
jawab, dan pelaporan yang tepat.
- Tugas wewenang dan tanggung jawab
Sejauh mana wewenang dan tanggung jawab yang ditugaskan atau didelegasikan.
- Standar sumber daya manusia
Contoh: perekrutan karyawan, pelatihan, kompensasi, promosi, disiplin,
b) Menetapkan Tujuan
Pembuatan misi, dengan tujuan:
o mendefinisikan tujuan yang terkait
o menetapkan strategi untuk mencapai tujuan
o mengembangkan sasaran strategis
o mendefinisikan risiko untuk menyelesaikan strategi
c) Identifikasi Peristiwa
- Banyak perusahaan memiliki perangkat monitoring kinerja yang kuat untuk memantau
biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya.
- Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan
politik, (2) faktor social, (3) peristiwa infrastruktur internal, (4) proses internal, (5)
teknologi internal maupun eksternal,
d) Penilaian Risiko
- Mempertimbangkan apa efek peristiwa terkait risiko potensial tersebut terhadap
prestasi perusahaan terhadap tujuannya.
- Risiko Inheren, dipengruhi oleh ukuran dari anggaran, kekuatan dan kecanggihan
manajemen, dan sifat kegiatan.
- Risiko Residual. Risiko yang tersisa setelah melakukan manajemen risiko
e) Respon Risiko
- Penghindaran.
Menghindari penggunaan kegiatan tsb karena terlalu berisiko untuk mendapatkan
tujuan perusahaan.
- Pengurangan.
Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
- Berbagi
Perjanjian usaha perusahaan dapat membagi risiko
- Penerimaan
Kadangkala risiko pada tingkat tertentu masih dapat diterima oleh perusahaan.
f) Kegiatan Pengendalian
Adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan dalam merespon
risiko.
1. Memahami secara penuh ttg risiko dan menetapkan prosedur pengendalian untuk
memantau
2. Buat jenis prosedur pengujian fire-drill untuk menentukan apakah pengendalian risiko
terkait berjalan secara efektif.
 3. Melakukan pengujian proses pemantauan risiko untuk menentukan apakah telah berjalan
efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk mengembangkan proses
pemantauan risiko. Contoh kegiatan PI
- Pemisahan tugas
- Jalan audit
proses harus diatur sehingga hasil akhirnya dapat ditelusuri kembali
- Keamanan dan integritas
hanya orang berwenang yang dapat meninjau dan memodifikasi.
- Dokumentasi
 Meninjau level atas
Manajer harus memahami kegiatan dan status identifikasi risiko
 Fungsi langsung atas aktivitas pemantauan
 Pengolahan informasi
 Kontrol fisik
 Indikator kinerja
 Pemisahan tugas.
g) Informasi dan Komunikasi
Segmen informasi dan komunikasi dari komponen ERM biasanya digunakan dalam strategi
teknologi informasi dan sistem informasi operasional
h) Pemantauan
Memastikan bahwa semua komponen ERM telah bekerja secara efektif.
- Proses pelaporan terkait risiko periodic, harus memantau aspek penting dari criteria risiko yang
telah ditetapkan termasuk tingkat kesalahan yang diterima.
- Pelaporan status saat ini dan periodic dari temuan terkait risiko dan rekomendasi dari laporan
auditor internal dan eksternal.
- Informasi terbaru dari risiko yang bersumber dari aturan revisi pemerintah, tren industry, dan
berita ekonomi secara umum.
Tujuan Risiko Perusahaan
- Tujuan Manajemen Risiko Operasional
Pentingnya manajemen COSO ERM dan risiko operasi harus dikomunikasikan kepada semua
tingkat area perusahaan.Auditor internal harus bertindak sebagai mata dan telinga dan
melaporkan semua risiko operasinonal yang diamatinya.
- Tujuan Manajemen Risiko Pelaporan
Keandalan laporan sebuah perusahaan untuk data keuangan internal dan eksternal serta data
non-keuangan.
- Tujuan Risiko Peraturan dan Hukum
Risiko yang terkait dengan kepatuhan dipertimbangkan untuk masing – masing komponen
kerangka risiko.
Risiko Tingkat Entitas
COSO ERM berusaha mengatasi risiko di semua tingkatan
a) Risiko Keseluruhan Organisasi
b) Risiko Tingkat Unit Bisnis
Diidentifikasi di tingkat yang memiliki hubungan langsung
Proses COSO ERM
Audit internal harus meninjau luas ERM perusahaan dengan:
- Proses diagram alur bagaiman manajemen risiko beroperasi disuatu perusahaan.
- Peninjauan tentang risiko dan bahan pengendali
- Benchmarking: proses melihat fungsi dari lingkungan lain untuk menilai dan mengembangkan
operasinya.
- Kuisioner: metode untuk mengumpulkan informasi tentang efektifitas ERM dari berbagai
orang.
 Chapter 7
Enterprise Risk Management: COSO ERM
Pengorganisasian dan Perencanaan Internal Audit
Diperlukan keterlibatan yang cukup dari berbagai disiplin ilmu dan keahlian yang saling melengkapi,
antara lain:
1. Rencana organisasi dan internal audit charter
2. Rencana audit jangka panjang dan tahunan
3. Standar dan pendekatan-pendekatan audit terbaik untuk:
- Evaluasi bukti audit
- Pelaporan hasil audit yang efektif
- Memahami kerangka PI
- Kekonsistenan dari seluruh anggota dalam melaksanakan review
Persiapan Audit Internal
Harus dilaksanakan sesuai rencana audit tahunan yang sudah ditetapkan
Tapi boleh kalo mau audit hal urgent diluar rencana audit tahunan, tapi tetep harus direncanakan
sebelumnya dalam “high level”, dokumen untuk pelaksanaan audit yang mendesak yang disiapkan oleh
manajer IA.
Menjalankan Audit Internal
Fungsi yang akan diaudit harus mendapat informasi dari IA berupa surat penunjukan
(engagement letter). Diserahkan kepada manajer yang bertanggung jawab langsung terhadap unit yang
akan diaudit. Berisi:
- Tujuan
- Tanggal dimulai dan berakhirnya proses audit
- Jangka waktu yang direncanakan
- Laporan khusus dan dokumentasi yang diperlukan
- Personil yang akan diwawancarai
Auditor harus membantu manajemen mengidentifikasi suatu permasalahan, meminta laporan operasi
dan Salinan surat keterlibatan. Hal ini perlu agar proses audit tidak mengganggu proses operasional
sehari-hari
Survei Lapangan Audit Internal
1. Menentukan arah, ruang lingkup dan sejauh mana upaya audit.
2. Membiasakan auditor dengan proses di tempat dan mengevaluasi struktur pengendalian dan
menilai risiko
3. Menyusun informasi penting berupa strktur organisasi, sallinan kebijakan yang berlaku, manual
procedure, laporan manajemen, observasi pribadi, diskusi dengan orang penting (untuk
menentukan masalah apapun yang diketahuinya).
Mendokumentasikan Survei Lapangan
ringkasan dari data yang dikumpulkan melalui survei lapangan harus didokumentasikan di workpapers
audit.
Kesimpulan Survei Lapangan
Tujuan dari survei lapangan adalah untuk mengkonfirmasi asumsi yang diperoleh dari perencanaan
audit awal, dalam rangka mengembangkan pemahaman tentang sistem dan proses kunci.
Mengembangkan Program Audit
Audit program sebagai panduan untuk melaksanakan prosedur audit, digunakan untuk:
- Melihat keefektifan IA
- Apakah langkah-langkah dalam audit program tersebut sudah dilaksanakan seluruhnya
- Memikirkan resiko dari setiap kegiatan operasional perusahaan
Format Program Audit
Program audit dibuat setelah melakukan survey lapangan dan sebelum melakukan audit yang
sebenarnya. Program ini harus mengidentifikasi area yang diperiksa dan daerah sensitive yang
memerlukan pemeriksaan. Jika ada perubahan perencanaan dari hasil survey, harus ada persetujuan dari
manajer audit.
a) Satu set prosedur audit umum,
b) Prosedur audit dengan petunjuk rinci untuk auditor, atau
c) Checklist untuk tinjauan kepatuhan.
Jenis Bukti Audit
Bukti audit adalah semua informasi yang terkait dengan pemeriksaan dan evaluasi audit
Melakukan Audit Internal
1. Mengumumkan rencana audit, tujuan, periode waktu, dan ruang lingkup, yang akan ditugaskan
kepada tim audit. Dengan membuat surat penunjukan tunggal
2. Jika ada survey lapangan terpisah, hasil tersebbut harus ditinjau ulang
Proses
1. Prosedur Penelitian Lapangan Awal
2. Bantuan Audit Teknis Penelitian lapangan
3. Manajemen Audit Pemantauan Penelitian lapangan
4. Potensi Temuan Audit
Setiap kali internal auditor menemukan kekurangan audit yang potensial, ringkasan singkat
dari kondisi yang ditemukan dan temuan potensial dan rekomendasi harus disiapkan, disebut
audit pendahuluan lembar temuan. Berisi:
- Identifikasi dari temuan ini hanya sebuah nomor identifikasi untuk audit dan deskripsi
temuan potensial.
- Deskripsi harus singkat tapi cukup untuk memberikan pemahaman manajemen lokal
tentang kondisi yang ditemukan.
- Referensi untuk pekerjaan audit yang didokumentasikan
- Rekomendasi awal Auditor.
5. Program Audit dan Jadwal Modifikasi
Program audit adalah panduan keseluruhan untuk melaksanakan audit internal.
6. Pelaporan Temuan Audit Awal Manajemen