Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah itu
memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk
mengerti betapa resiko itu penting untuk ditangani dengan baik.
1
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti dalam contoh
risiko kelangsungan bisnis di bawah ini.
2
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?”
Menggunakan skor dari 1 sampai 9, jika :
Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.
Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan risiko.
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada
keuangan risiko yang signifikan.Sebuah risiko yang dapat menurunkan biaya laba bersih per
saham harus memenuhi syarat untuk nilai maksimal 9. Kuisioner ini harus diedarkan ke
orang-orang yang ada dalam manajemen tersebut untuk menilai masing-masing risiko yang
teridentifikasi.
Interdependensi Risiko
Independensi risiko memang sangat penting dan harus dipertimbangkan dan
dievaluasi pada struktur organisasi, karena risiko seringkali dapat menjadi sangat
independen dalam suatu perusahaan. Setiap unit operasi bertanggung jawab untuk
mengelola risikonya sendiri tetapi konsekuensi dari risiko tsb dapat mempengaruhi unit
diatas dan dibawahnya dalam struktur organisasi.
Risk Ranking
Langkah berikutnya adalah estimasi signifikansi resiko, estimasi probabilitas
terjadinya resiko tersebut, meranking risiko tsb dan mengidentifikasi risiko yang paling
signifikan. Risiko dengan ranking tertinggi disebut dengan driver risk atau risiko utama dari
semua risiko yang telah diidentifikasi. Maka, organisasi harus berfokus pada risiko utama
ini dan bagaimana cara mengelolanya.
3
3. ANALISIS RISIKO KUANTITATIF
(i) Expected Value and Response Planning
Terdapat sedikit hasil dalam mengindentifikasi resiko yang signifikan kecuali apabila
perusahaan telah memiliki perencanaan awal untuk tindakan yang diperlukan jika salah satu
resiko terjadi. Ide pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya beberapa
resiko yang teridentifikasi dan kemudian menerapkan biaya itu untuk probabilitas factor resiko
yang berasal dari nilai yang diharapkan atau biaya dari resiko tersebut.
“Manajemen Resiko Perusahaan merupakan sebuah proses, yang dipengaruhi oleh dewan
direksi entitas, manajemen dan personel lainnya, diterapkan dalam pengaturan strategi di
seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
memengaruhi entitas, dan mengelola resiko menjadi resiko yang dapat diterima, untuk
memberikan keyakinan sehubungan dengan pencapaian tujuan entitas.”
4
Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:
ERM Menyediakan Jaminan Yang Wajar Namun Tidak Positif Terhadap Pencapaian
Tujuan
Meskipun ERM telah efektif, namun tetap terdapat kemungkinan lain yang dapat terjadi
seperti human error, bencana alam, dan gangguan eksternal perusahaan lainnya. Dengan
demikian, ERM memberikan keyakinan yang memadai bagi Manajemen dan Dewan
Pengawas.
Kerangka kerja COSO ERM, telah menjadi model di seluruh dunia untuk menggambarkan,
mendefinisikan kontrol internal, memahami aktivitas yang berkaitan dengan risiko mereka di
berbagai tingkatan sebagaimana dampak komponen risiko ini mempengaruhi satu sama lain, dan
5
telah menjadi dasar untuk membangun SOx bagian kepatuhan 404. Adapun komponen-komponen
COSO ERM Framework terdiri dari :
a. 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b. 8 baris horizontal mengenai komponen-komponen resiko
c. Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.
Penjelasan :
1. Komponen Lingkungan Internal
Tingkat komponen ini menentukan dasar model ERM perusahaanbagi seluruh komponen
lainnya, memengaruhi cara strategi dan tujuan harus ditetapkan, bagaimana struktur
aktivitas bisnis berkaitan risiko, dan bagaimana resiko diidentifikasi dan disikapi.
2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Karena di elemen ini, sekumpulan tujuan strategis
yang ada, selaras dengan misi, termasuk aktivitas operasional, pelaporan, dan kepatuhan.
Dalam memahami resiko filosofi manajemen dan selera resiko yang terdapat di komponen
lingkungan internal membutuhkan penentuan tujuan agar dapat menentukan tingkat resiko
yang bisa diterima, dengan aturan resiko tertentu, dan sejauh mana ukuran deviasi bisa
ditoleransi.
3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sementara
kecenderungan auditor internal adalah memikirkan kejadian dalam arti negatif - menentukan
apa salah - mereka juga bisa bersikap positif. Banyak perusahaan saat ini memiliki alat
pemantauan kinerja yang kuat di penganggaran biaya, kualitas produksi, dll
6
4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya. Peristiwa
terkait risiko potensial mungkin secara keseluruhan mencapai pencapaian tujuan
perusahaan.
Risiko Inheren : Resiko berada di luar kontrol manajemen dan biasanya berasal dari
faktor eksternal
Resiko Residual : risiko yang tersisa setelah tanggapan manajemen lainnya
ancaman dan tindakan pencegahan telah diterapkan
5. Respon Risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, proses respons risiko
COSO ERM memerlukan tinjauan yang hati-hati terhadap perkiraan kemungkinan risiko
dan dampak potensial, dengan mempertimbangkan biaya dan manfaat yang terkait, untuk
mengembangkan strategi respons risiko yang tepat.
6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respons risiko yang teridentifikasi. Komponen aktivitas
pengendalian COSO ERM harus terkait erat dengan strategi dan tindakan respons risiko
yang telah dibahas sebelumnya
7. Informasi dan Komunikasi
Banyak perusahaan memiliki jaringan kompleks yang seringkali tidak begitu baik terkait
operasional dan sistem informasi keuangan untuk proses dasar mereka. Keterkaitan ini
menjadi lebih kompleks bagi banyak proses ERM mengingat banyak hal mendasar di
aplikasi perusahaan yang tidak secara langsung meminjamkan diri untuk identifikasi risiko,
penilaian, dan proses respons tipe risiko.
Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang komunikasi
di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk memastikan semua
pemangku kepentingan menerima pesan terkait kepentingan perusahaan dalam mengelola
risikonya.
8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen
7
7.4 DIMENSI LAIN DARI COSO ERM: TUJUAN RISIKO PERUSAHAAN
Meski banyak melihat COSO ERM dari sisi depan yang menghadapi kerangka tiga dimensi,
dua dimensi lainnya, tingkat operasional dan organisasi harus selalu dipertimbangkan. Setiap
komponen COSO ERM beroperasi di ruang tiga dimensi ini dimana masing-masing harus
dipertimbangkan berdasarkan kategori terkait lainnya.
8
Tujuan Resiko Kepatuhan Hukum dan Regulatory
COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan untuk
masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan
tujuan, atau pemantauan risiko, dan juga seluruh perusahaan. Ini adalah elemen penting dari
kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami.
Semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan,
dengan beberapa hal mempengaruhi hampir semua perusahaan dan pihak lain yang terkait dengan
hanya satu unit bisnis di sektor industri khusus. Sifat dari risiko kepatuhan tersebut perlu
dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Ini adalah area di mana
perusahaan dapat menerima tingkat risiko tertentu dalam hal kekhawatirannya terkait kepatuhan
hukum.
Risiko COSO ERM wajib diidentifikasi dan dikelola dalam setiap unit organisasi yang
signifikan juga risiko secara keseluruhan entitas melalui unit bisnis individual. manajemen harus
menentukan tingkat risiko organisasi pada tingkat detail yang mencakup semua risiko yang
signifikan serta dapat dikelola.
9
7.6 PUTTING IT ALL TOGETHER: AUDITING RISKS AND COSO ERM PROCESS
Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang berlaku
untuk semua industri dan mencakup semua jenis risiko. COSO ERM menyediakan platform yang
sangat baik untuk mempertimbangkan keseluruhan lingkungan risiko perusahaan. Auditor internal
menghadapi masalah risiko dan manajemen risiko di banyak bidang tinjauan audit dan analisis, dan
auditor internal yang efektif harus memahami proses manajemen risiko. Selain itu, setiap tinjauan
audit internal terhadap proses ERM perusahaan harus direncanakan melalui pendekatan
perencanaan proyek audit internal dengan menggunakan beberapa alat berikut :
1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan untuk
proses yang berkaitan dengan risiko.
2. Tinjauan bahan risiko dan pengendalian
Proses ERM sering menghasilkan hasil volume bahan panduan yang besar, prosedur
terdokumentasi, format laporan. Mungkin sering ada nilai audit internal untuk meninjau
risiko dan kontrol bahan dari perspektif efektivitas.
3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk menilai operasi
dan mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik.
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari banyak
orang. Kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk permintaan
informasi spesifik Ini sering merupakan teknik audit internal yang berharga.
10
RESUME
MATA KULIAH INTERNAL AUDIT
PERTEMUAN KETIGA: CHAPTER 6 & 7
OLEH :
NAJIHAH KAMILA 041511333023
MUSTIKA DIAH J. 041511333040
DEVINA RACHMAWATI 041511333065
SYLVIA RACHMAWATI S. 041511333078
REFANI RAKA DINA 041511333084
PUDYAS APRILYA DWI H. 041511333121