CHAPTER 7

COSO ERM : Enterprise Risk Management:

Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah itu
memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk
mengerti betapa resiko itu penting untuk ditangani dengan baik.

7.1 RISK MANAGEMENT FUNDAMENTAL

Dalam upaya pencapaian nilai, setiap organisasi sama-sama menghadapi

ketidakpastian.Ketidakpastian ini mengandung risiko yang sangat potensial untuk menghilangkan
kesempatan pencapaian tujuan perusahaan.
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk meminimalkan
resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas organisasi. Suatu proses
manajemen risiko yang efektif memerlukan tiga langkah:
1. IDENTIFIKASI RISIKO
Proses identifikasi risiko perlu dipelajari, pendekatan yang disengaja untuk melihat
potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebihdaerah risiko
signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.
Cara yang baik untuk memulai proses identifikasi risiko adalah dengan memulai dari
manajemen tingkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai jenis
operasi.

1
 Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti dalam contoh
risiko kelangsungan bisnis di bawah ini.

Jenis Risiko Perusahaan

2. PENILAIAN RISIKO KUNCI

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya
adalah menilai kemungkinan relatif yang signifikan. Berbagai pendekatan yang dapat
digunakan di sini, mulai dari analisis pendekatan kualitatif hingga analisis pendekatan
kuantitatif. Hal ini dapat membantu memutuskan mana dari serangkaian resiko yang paling
berpotensi terhadap peristiwa yang paling menghawatirkan manajemen. Manajer
bertanggungjawab terhadap penilaian resiko dengan menggunakan pendekatan kuesioner:

2
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?”
Menggunakan skor dari 1 sampai 9, jika :
 Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.
 Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
 Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan risiko.

2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada
keuangan risiko yang signifikan.Sebuah risiko yang dapat menurunkan biaya laba bersih per
saham harus memenuhi syarat untuk nilai maksimal 9. Kuisioner ini harus diedarkan ke
orang-orang yang ada dalam manajemen tersebut untuk menilai masing-masing risiko yang
teridentifikasi.

Probabilitas dan Ketidakpastian

Ketika beberapa risiko telah teridentifikasi, manajemen harus mengestimasi
kemungkinan terjadinya risiko tersebut secara individu yang berskala mulai dari 0,01
sampai 0,99. Kita menggunakan skala ini karena jika memiliki skala 0 atau 100%
kemungkinan untuk terjadi, itu bukanlah risiko. Sedangkan ketika kondisi dimana ada 2
risiko yang teridentifikasi yang memiliki skala yang sama yaitu 0,6. Kemungkinan kedua
risiko tsb terjadi adalah:
Probability (Event 1) + Probability (Event 2) = Probability (Both Events)

Interdependensi Risiko
Independensi risiko memang sangat penting dan harus dipertimbangkan dan
dievaluasi pada struktur organisasi, karena risiko seringkali dapat menjadi sangat
independen dalam suatu perusahaan. Setiap unit operasi bertanggung jawab untuk
mengelola risikonya sendiri tetapi konsekuensi dari risiko tsb dapat mempengaruhi unit
diatas dan dibawahnya dalam struktur organisasi.

Risk Ranking
Langkah berikutnya adalah estimasi signifikansi resiko, estimasi probabilitas
terjadinya resiko tersebut, meranking risiko tsb dan mengidentifikasi risiko yang paling
signifikan. Risiko dengan ranking tertinggi disebut dengan driver risk atau risiko utama dari
semua risiko yang telah diidentifikasi. Maka, organisasi harus berfokus pada risiko utama
ini dan bagaimana cara mengelolanya.

3
 3. ANALISIS RISIKO KUANTITATIF
(i) Expected Value and Response Planning
Terdapat sedikit hasil dalam mengindentifikasi resiko yang signifikan kecuali apabila
perusahaan telah memiliki perencanaan awal untuk tindakan yang diperlukan jika salah satu
resiko terjadi. Ide pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya beberapa
resiko yang teridentifikasi dan kemudian menerapkan biaya itu untuk probabilitas factor resiko
yang berasal dari nilai yang diharapkan atau biaya dari resiko tersebut.

(ii) Risk Monitoring

Proses mengidentifikasi resiko sering dilakukan dalam jangka awaktu satu tahun atau
seperempat tahun. Setelah salah satu resiko teridentifikasi, perusahaan harus mengawasi resiko
tersebut dan membuat penyesuaian berkala jika diperlukan.Pengawasan resiko dapat dilakukan
oleh pemilik perusahaan atau pihak independen.Auditor internal merupakan sumber yang
memiliki kredibilitas dan baik dalam memantau status dari resiko yang teridentifikasi.
Informasi dalam melakukan pengawasan dapat didapatkan melalui survey ataupun review tatap
muka. Proses pengawasan yang akurat merupakan komponen esensial dalam manajemen
resiko.

7.2 COSO ERM : ENTERPRISE RISK MANAGEMENT

COSO ERM merupakan kerangka yang dapat membantu perusahaan dalam

mengidentifikasikan dan mendefinisikan resiko yang dimiliki. Selain itu, COSO ERM juga berguna
dalam memahami dan mengembangkan pengendalian internal. COSO ERM mendefinisikan
manajemen resiko perusahaan, sebagai berikut :

“Manajemen Resiko Perusahaan merupakan sebuah proses, yang dipengaruhi oleh dewan
direksi entitas, manajemen dan personel lainnya, diterapkan dalam pengaturan strategi di
seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
memengaruhi entitas, dan mengelola resiko menjadi resiko yang dapat diterima, untuk
memberikan keyakinan sehubungan dengan pencapaian tujuan entitas.”

4
Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:

 ERM Adalah Proses

Manajemen Resiko Perusahaan merupakan sebuah proses yang mengalir dalam suatu
perusahaan

 Proses ERM Diimplementasikan Oleh Orang – Orang Di Perusahaan

Manajemen Resiko Perusahaan dapat berfungsi dengan baik hanya jika individu dalam
perusahaan menjalankannya, dengan memahami apa saja faktor yang menyebabkan
timbulnya risiko beserta dampak timbul dari risiko tersebut.

 ERM Diterapkan Dalam Formulasi Strategi Perusahaan Secara Keseluruhan

ERM yang efektif biasanya akan memberikan pengaruh besar dalam perumusan strategi
perusahan.

 ERM Mempertimbangkan Konsep Risk Appetite

Risk appettite merupakan besar kecilnya risiko yang dihadapi, dimana dikatekogerikan ke
dalam tinggi (high), sedang (medium), dan rendah (low). Risiko yang dihadapi dalam setiap
level organisasi berbeda-beda, begantung dari tanggung jawab tugas yang dimiliki. Dengan
demikian, pendekatan ERM yang diterapkan disesuaikan dengan risk appetite.

 ERM Menyediakan Jaminan Yang Wajar Namun Tidak Positif Terhadap Pencapaian
Tujuan
Meskipun ERM telah efektif, namun tetap terdapat kemungkinan lain yang dapat terjadi
seperti human error, bencana alam, dan gangguan eksternal perusahaan lainnya. Dengan
demikian, ERM memberikan keyakinan yang memadai bagi Manajemen dan Dewan
Pengawas.

 ERM Dirancang Untuk Mencapai Tujuan

Manajemen harus dapat mengarahkan ERM untuk mewujudkan satu atau beberapa kategori
dari berbagai goals yang dimiliki perusahaan.

7.3 COSO ERM KEY ELEMENTS

Kerangka kerja COSO ERM, telah menjadi model di seluruh dunia untuk menggambarkan,
mendefinisikan kontrol internal, memahami aktivitas yang berkaitan dengan risiko mereka di
berbagai tingkatan sebagaimana dampak komponen risiko ini mempengaruhi satu sama lain, dan

5
telah menjadi dasar untuk membangun SOx bagian kepatuhan 404. Adapun komponen-komponen
COSO ERM Framework terdiri dari :
a. 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b. 8 baris horizontal mengenai komponen-komponen resiko
c. Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.

Penjelasan :
1. Komponen Lingkungan Internal
Tingkat komponen ini menentukan dasar model ERM perusahaanbagi seluruh komponen
lainnya, memengaruhi cara strategi dan tujuan harus ditetapkan, bagaimana struktur
aktivitas bisnis berkaitan risiko, dan bagaimana resiko diidentifikasi dan disikapi.
2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Karena di elemen ini, sekumpulan tujuan strategis
yang ada, selaras dengan misi, termasuk aktivitas operasional, pelaporan, dan kepatuhan.
Dalam memahami resiko filosofi manajemen dan selera resiko yang terdapat di komponen
lingkungan internal membutuhkan penentuan tujuan agar dapat menentukan tingkat resiko
yang bisa diterima, dengan aturan resiko tertentu, dan sejauh mana ukuran deviasi bisa
ditoleransi.
3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sementara
kecenderungan auditor internal adalah memikirkan kejadian dalam arti negatif - menentukan
apa salah - mereka juga bisa bersikap positif. Banyak perusahaan saat ini memiliki alat
pemantauan kinerja yang kuat di penganggaran biaya, kualitas produksi, dll

6
4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya. Peristiwa
terkait risiko potensial mungkin secara keseluruhan mencapai pencapaian tujuan
perusahaan.
 Risiko Inheren : Resiko berada di luar kontrol manajemen dan biasanya berasal dari
faktor eksternal
 Resiko Residual : risiko yang tersisa setelah tanggapan manajemen lainnya
ancaman dan tindakan pencegahan telah diterapkan
5. Respon Risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, proses respons risiko
COSO ERM memerlukan tinjauan yang hati-hati terhadap perkiraan kemungkinan risiko
dan dampak potensial, dengan mempertimbangkan biaya dan manfaat yang terkait, untuk
mengembangkan strategi respons risiko yang tepat.
6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respons risiko yang teridentifikasi. Komponen aktivitas
pengendalian COSO ERM harus terkait erat dengan strategi dan tindakan respons risiko
yang telah dibahas sebelumnya
7. Informasi dan Komunikasi
Banyak perusahaan memiliki jaringan kompleks yang seringkali tidak begitu baik terkait
operasional dan sistem informasi keuangan untuk proses dasar mereka. Keterkaitan ini
menjadi lebih kompleks bagi banyak proses ERM mengingat banyak hal mendasar di
aplikasi perusahaan yang tidak secara langsung meminjamkan diri untuk identifikasi risiko,
penilaian, dan proses respons tipe risiko.
Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang komunikasi
di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk memastikan semua
pemangku kepentingan menerima pesan terkait kepentingan perusahaan dalam mengelola
risikonya.
8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen

7
7.4 DIMENSI LAIN DARI COSO ERM: TUJUAN RISIKO PERUSAHAAN

Meski banyak melihat COSO ERM dari sisi depan yang menghadapi kerangka tiga dimensi,
dua dimensi lainnya, tingkat operasional dan organisasi harus selalu dipertimbangkan. Setiap
komponen COSO ERM beroperasi di ruang tiga dimensi ini dimana masing-masing harus
dipertimbangkan berdasarkan kategori terkait lainnya.

Tujuan Manajemen Risiko Operasional

Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan. tujuan risiko
tingkat operasi meminta identifikasi risiko untuk masing-masing unit atau komponen perusahaan.
Pengidentifikasi tujuan risiko tingkat operasi ini seringkali memerlukan pengumpulan informasi
terperinci dan analisis, terutama untuk perusahaan yang lebih besar yang mencakup beberapa
wilayah geografis, lini produk, atau proses bisnis.
Manajer perorangan biasanya memiliki pemahaman terbaik tentang risiko operasional
mereka, dan informasi tersebut dapat hilang saat dikonsolidasikan untuk pelaporan tingkat tinggi.
Untuk mengumpulkan informasi yang lebih rinci mengenai risiko operasi potensial, informasi
seringkali dapat dikumpulkan melalui audit internal atau survei orang-orang yang terkena dampak
langsung dari risiko ini..

Melaporkan Tujuan Manajemen Risiko

Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan internal
dan eksternal atas data keuangan dan non finansial. Pelaporan yang akurat sangat penting untuk
kesuksesan sebuah perusahaan dalam banyak dimensi. Tidak peduli industri apa, perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau area manapun. Unit operasi
harus memastikan bahwa hasil yang dilaporkan adalah yang benar sebelum dilanjutkan ke tingkat
berikutnya dalam organisasi, dan angka gabungan harus akurat, apakah laporan keuangan,
pengembalian pajak, atau segudang bidang lainnya
. Meskipun pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat, Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus
selalu mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat. Kesalahan kecil
dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan besar yang perlu
diungkapkan. Risiko pelaporan yang tidak tepat tersebut harus menjadi perhatian semua tingkat
perusahaan.

8
Tujuan Resiko Kepatuhan Hukum dan Regulatory
COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan untuk
masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan
tujuan, atau pemantauan risiko, dan juga seluruh perusahaan. Ini adalah elemen penting dari
kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami.
Semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan,
dengan beberapa hal mempengaruhi hampir semua perusahaan dan pihak lain yang terkait dengan
hanya satu unit bisnis di sektor industri khusus. Sifat dari risiko kepatuhan tersebut perlu
dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Ini adalah area di mana
perusahaan dapat menerima tingkat risiko tertentu dalam hal kekhawatirannya terkait kepatuhan
hukum.

7.5 ENTITY LEVEL RISKS

Risiko COSO ERM wajib diidentifikasi dan dikelola dalam setiap unit organisasi yang
signifikan juga risiko secara keseluruhan entitas melalui unit bisnis individual. manajemen harus
menentukan tingkat risiko organisasi pada tingkat detail yang mencakup semua risiko yang
signifikan serta dapat dikelola.

a. Risiko Meliputi Seluruh Organisasi

Beberapa risiko pada tingkat unit bisnis harus digulirkan ke risiko tingkat entitas. Meskipun
mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit "tidak material" -
menggunakan akuntansi publik pra-SOx-pertimbangkan anak perusahaan yang relatif kecil di
negara dunia ketiga yang memproduksi pakaian santai. Seringkali, unit semacam itu akan begitu
kecil dalam hal kontribusi pendapatan korporat atau ukuran relatifnya sehingga dapat tergelincir di
bawah layar radar di tingkat perusahaan senior. Namun, jika ada masalah pekerja anak di negara
tuan rumah, perusahaan tersebut mungkin akan segera menjadi perhatian utama mengenai operasi
anak perusahaan kecil ini.

b. Resiko Tingkat Unit Bisnis

Resiko terjadi di semua tingkat perusahaan, apakah divisi produksi utama dengan banyak
tanaman dan ribuan karyawan atau posisi kepemilikan minoritas di perusahaan penjualan luar
negeri. Resiko harus dipertimbangkan di setiap unit organisasi yang signifikan. Risiko tersebut
diidentifikasi dalam posisi kepemilikan minoritas di perusahaan penjualan luar negeri

9
7.6 PUTTING IT ALL TOGETHER: AUDITING RISKS AND COSO ERM PROCESS

Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang berlaku
untuk semua industri dan mencakup semua jenis risiko. COSO ERM menyediakan platform yang
sangat baik untuk mempertimbangkan keseluruhan lingkungan risiko perusahaan. Auditor internal
menghadapi masalah risiko dan manajemen risiko di banyak bidang tinjauan audit dan analisis, dan
auditor internal yang efektif harus memahami proses manajemen risiko. Selain itu, setiap tinjauan
audit internal terhadap proses ERM perusahaan harus direncanakan melalui pendekatan
perencanaan proyek audit internal dengan menggunakan beberapa alat berikut :
1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan untuk
proses yang berkaitan dengan risiko.
2. Tinjauan bahan risiko dan pengendalian
Proses ERM sering menghasilkan hasil volume bahan panduan yang besar, prosedur
terdokumentasi, format laporan. Mungkin sering ada nilai audit internal untuk meninjau
risiko dan kontrol bahan dari perspektif efektivitas.
3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk menilai operasi
dan mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik.
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari banyak
orang. Kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk permintaan
informasi spesifik Ini sering merupakan teknik audit internal yang berharga.

10
 RESUME
MATA KULIAH INTERNAL AUDIT
PERTEMUAN KETIGA: CHAPTER 6 & 7

OLEH :
NAJIHAH KAMILA 041511333023
MUSTIKA DIAH J. 041511333040
DEVINA RACHMAWATI 041511333065
SYLVIA RACHMAWATI S. 041511333078
REFANI RAKA DINA 041511333084
PUDYAS APRILYA DWI H. 041511333121

PROGRAM STUDI S1 AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS AIRLANGGA
SURABAYA
TAHUN 2018