Tugas Internal Audit

Resume Pertemuan Kedua Chapter 6

Enterprise Risk Management : COSO ERM

Oleh :

Kelompok 4

Silfiana 041511535005

Windi Apriliyani 041511535018

Afika Rana Zahari 041511535032

Tri Budiningtyas 041511535044

Fakultas Ekonomi dan Bisnis

PSDKU Universitas Airlangga di Banyuwangi

2018
Learning Objective 6.1 : Manajemen Risiko Fundamental

(a) Risiko Identifikasi

Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin
mempengaruhi keberhasilan perusahaan, mulai dari yang lebih besar atau lebih signifikan
bisnis secara keseluruhan risiko ke risiko kurang penting terkait dengan proyek-proyek
individu atauyang lebih kecil unit bisnis. Proses identifikasi risiko memerlukan dipelajari,
pendekatan yang disengaja untuk melihat potensi risiko di setiap daerah operasi dan
kemudian mengidentifikasiyang lebih area risiko signifikan yang dapat mempengaruhi
setiap operasi dalam jangka waktu yang wajar. Idenya di sini adalah tidak hanya untuk
daftar setiap risiko yang mungkin tetapi untuk suatu perusahaan untuk mengidentifikasi
orang-orang yang mungkin memiliki operasi dampak yang lebih besar, dalam jangka
waktu yang wajar.
(b) Kunci Penilaian Risiko
Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya adalah
untuk menilai kemungkinan mereka dan signifikansi relatif. Berbagai pendekatan dapat
digunakan di sini, mulai dari yang terbaik-kira pendekatan kualitatif untuk beberapa rinci,
kuantitatif sangat matematika analisis. Idenya adalah untuk membantu memutuskan mana
dari serangkaianberpotensi berisiko acara harus memberikan manajemen paling perlu
khawatir. Manajer yang bertanggung jawab harus menilai risiko ini menggunakan
pendekatan kuesioner Apa kemungkinan risiko ini terjadi selama periode satu tahun ke
depan? Menggunakan skor 1 sampai 9, menetapkan nilai terbaik-tebakan sebagai berikut:
Skor 1 jika Anda melihat hampir tidak ada kesempatan untuk itu risiko terjadi selama
periode tersebut. Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi selama
periode tersebut. Skor 2 sampai 8 tergantung pada bagaimana Anda merasa kemungkinan
jatuh antara dua rentang tersebut. Apa arti penting dari risiko dalam hal biaya untuk
perusahaan secara keseluruhan? Sekali lagi menggunakan 1 sampai 9 skala, rentang
scoring harus ditetapkan tergantung pada signifikan keuangan risiko. Sebuah risiko yang
biaya bisa menurunkan laba per saham dengan mungkin 1 sen mungkin memenuhi syarat
untuk skor maksimum 9. Proses penilaian risiko tinggi ini bekerja cukup baik ketika suatu
perusahaan telah mengidentifikasi sejumlah relatif kecil dari risiko. Hal ini cukup mudah
untuk melihatanalisis grafik dan fokus pada perencanaan perbaikan untuk high-
kemungkinan dan risiko yang signifikan di kuadran kiri atas. Seringkali, bagaimanapun,
suatu perusahaan mungkin telah mengidentifikasi satu set jauh lebih besar dari risiko, dan
rentang dari hanya 1 sampai 9 dan plot pada contoh grafik tidak akan memberikan cukup
rinci. Pendekatan kadang-kadang lebih baik adalah untuk mengungkapkan ini makna dan
dampak perkiraandalam hal dua digit persentase perkiraan (misalnya, 72%) mencapai
beberapa risiko atau sebagai probabilitas (misalnya, 0,72). Namun, hanya meningkatkan
jumlah digit, dari 7 sampai penuh 72%, tidak meningkatkan akurasi penilaian. Lebih
banyak perhatian harus diberikan untuk lebih memahami hubungan antara probabilitas
meliput peristiwa risiko independen dan terkait.

(i) Probabilitas Dan Ketidakpastian

 Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari
perkiraan likelihood risiko individu dan kejadian dalam hal probabilitas dua digit
berkisar antara 0,01 sampai 0,99. Kami telah menggunakan kisaran ini karena
risiko tidak pernah memiliki kesempatan nol atau 100% kemungkinan terjadi;
kalau tidak mereka tidak akan risiko. Aturan dasar probabilitas adalah bahwa kita
tidak dapat menambahkan hingga perkiraan probabilitas independen untuk
menghasilkan perkiraan bersama. Jika probabilitas risikoA terjadi adalah 60% dan
probabilitas yang terpisah namun berhubungan resiko B juga 60%, kita tidak bisa
mengatakan bahwa kemungkinan kedua yang terjadi adalah 0,60 + 0,60 = 1,20.
Ini 120% tidak masuk akal. Sebaliknya, probabilitas gabungan dari dua
independen peristiwa adalah produk dari dua probabilitas terpisah. Itu adalah:
Artinya, jika Event 1 adalah 0,60 dan Event 2 juga 0,60, probabilitas gabungan
dari kedua peristiwa yang terjadi adalah (0.60) × (0.60) = 0,36. Dalam hal
penilaian, jika risiko memiliki estimasi signifikansi 60% atau kita 60% yakin
bahwa risiko akan terjadi dan jika dampaknya telah dinilai pada 60%, ada 36%
kemungkinan bahwa kita akan mencapai kedua dari mereka risiko. Kami juga
dapat menyebutnya skor risiko untuk risiko individu. Sebuah proses penilaian
risiko yang akurat, bagaimanapun, memerlukan lebih darihanya perkiraan
kepalatop-ofthe,apakah dinyatakan dalam satu 1 sampai 9 jangkauan atau sebagai
penuh persentase dua-digit.Manajemen perusahaan harus mengambil keras
melihat risiko yang teridentifikasi dan mengumpulkan informasi lebih lanjut, jika
diperlukan. Sebagai contoh, selama identifikasi proses risiko,salah satu manajer
mungkin telah mengidentifikasi konsekuensi dari hukum tarif baru sebagai risiko
serius. Namun, manajer yang bertanggung jawab mungkin ingin lebih memahami
konsekuensi yang sebenarnya. Ini mungkin sesuatu yang tidak berlaku untuk unit
yang bersangkutan atau yang tidak berlaku sampai beberapa tahun ke depan.
Intinya di sini adalah bahwa beberapa informasi tambahan mungkin diperlukan
sebelum semua risiko yang teridentifikasi dapat secara akurat dinilai.

(ii) Saling Ketergantungan RISIKO

Kami telah membahas risiko pada individu tingkat unit organisasi,tetapi

independensi risiko harus selalu dipertimbangkan dan dievaluasi di seluruh
struktur organisasi. Meskipun suatu entitas harus peduli tentang risiko di semua
tingkatan organisasi, itu benar-benar memiliki kontrol atas hanya mereka risiko
dalam lingkup sendiri. 2002 contoh jatuhny aakuntan publik kantorArthur
Andersen di bangun dari runtuhnya Enron adalah contoh. Setiap unit kota-by-kota
dan negara-oleh-negara yang kantor akuntan publik memilikisendiri, prosedur
penilaian risiko mengikuti standar perusahaan-lebar. Namun, acara risiko di satu
kantor operasi, Houston, disebabkan perusahaan di seluruh dunia runtuh. Sebuah
yang beroperasi kantordi daerah lain, seperti Toronto, mungkin tidak sepenuhnya
diantisipasi risiko tersebut di jauh Houston. Intinya adalah bahwa risiko seringkali
sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi bertanggung
 jawab untuk mengelola risiko sendiri tetapi dapat dikenakan konsekuensi dari
kejadian risiko pada unit di atas atau di bawahnya dalam struktur organisasi.

(iii) Risiko Ranking

Meskipun contoh dalam bab ini menunjukkan daftar pendek dari risiko yang
teridentifikasi, sebuah perusahaan yang khas akan berakhir dengan daftar yang
sangat panjang dari potensi risiko. Langkah berikutnya adalah untuk mengambil
didirikan signifikansi dan kemungkinan perkiraan, menghitung peringkat risiko,
dan mengidentifikasi risiko yang paling signifikan di seluruh entitas. Manajemen
harus mengidentifikasi unit dengan unit risiko ini dinilai untuk memastikan bahwa
kemungkinan risiko dan perkiraan signifikansi sesuai seluruh. Semua terlalu
sering, peristiwa risiko yang terjadi jauh dari kantor perusahaan markas
menyebabkan masalah besar.

(c) Kuantitatif Analisis Risiko

(i) Nilai Yang Diharapkan Dan Penanggulangan Perencanaan

Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali

perusahaan memiliki setidaknya beberapa rencana awal untuk tindakan yang
diperlukan jika salah satu risiko terjadi. Idenya adalah untuk memperkirakan
dampak biaya menimbulkan beberapa risiko diidentifikasi dan kemudian
menerapkan bahwa biaya untuk probabilitas faktor risiko untuk mendapatkan
nilai yang diharapkan atau biaya risiko. Sering latihan ini tidak memerlukan studi
biaya rinci dengan banyak pendukung tren historis dan perkiraan. Sebaliknya,
perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang garis depan di
berbagai tingkatan dari perusahaan yang memiliki pengetahuan tentang daerah
atau risiko implikasi. Idenya adalah untuk pergi melalui masing-masing
diidentifikasi risiko-atau hanya risiko utama jika waktu terbatas-dan
memperkirakan biaya menimbulkan risiko. Karena jenis-jenis risiko melibatkan
hal-hal seperti kegagalan komponen perangkat keras, penurunan pangsa pasar,
atau dampak dari peraturan pemerintah yang baru, biasanya biaya ini tidak bisa
hanya dilihat dalam katalog vendor yang saat ini. Beberapa risiko yang khas,
diberi label A, B, dan C, menggambarkan jenis pemikiran:

Risiko A: Kehilangan hingga x% pangsa pasar karena perubahan selera

konsumen. Memperkirakan penurunan penjualan dan kehilangan keuntungan
karena x% drop. Memperkirakan biayanya untuk mulai mengembalikan posisi
pasar yang hilang.

Risiko B : hilangnya Sementara fasilitas manufaktur utama untuk hari zz karena

peristiwacuaca buruk badai. Perkirakan terbaik dan terburuk kasus biaya untuk
mendapatkan tanaman sementara diperbaiki dan kembali beroperasi dalam
beberapa hari zz. Memperkirakan tambahan biaya tenaga kerja dan produksi yang
dikeluarkan selama sementara.
 Risiko C: Kehilangan sistem TI selama dua hari karena virus komputer merusak.
Memperkirakan bisnis dan kehilangan keuntungan selama periode bawah.
Memperkirakan biaya untuk mentransfer operasi ke situs kelangsungan bisnis.

Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk

memperkirakan biaya pulih dari beberapa peristiwa risiko. Hal ini sering sulit
untuk menentukan apa yang akan biaya untuk pulih dari risiko ini. Meskipun
tidak ada kebutuhan untuk melakukan rinci, time consuming analisis di sini,
orang-orang berpengetahuan yang memahami daerah risiko sering dapat
memberikan perkiraan yang baik dengan mempertimbangkan pertanyaan jenis
ini:

1. Berapa biaya-kasus terbaik perkiraan menimbulkan risiko? Ini adalah asumsi

bahwa akan ada hanya berdampak terbatas jika risiko terjadi.

2. Apa yang akan sampel dari orang-orang berpengetahuan memperkirakan untuk

biaya? Untuk Risiko A seperti diuraikan, direktur pemasaran mungkin akan
diminta untuk menyediakan perkiraan.

3. Apa nilai yang diharapkan atau biaya menimbulkan risiko? Ini adalah jenis
risiko yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain
sepertitambahan. kebutuhan tenaga kerja

4. Berapa biaya terburuk dari menimbulkan risiko? Ini adalah apa yang-jika-
everythinggoes salah jenis perkiraan.

Kami telah menyarankan menggunakan empat perkiraan sebagai ide dari

rentang biaya dalam pemikiran berbagai orang. Namun, satu estimasi terbaik-
tebakan harus dipilih dari empat perkiraan-biasanya sesuatu antara perkiraan 2
dan 3 dalam daftar. Taksiran dan pekerjaan penunjang harus didokumentasikan,
denganyang dipilih perkiraan biayadimasukkan sebagai biaya dampak pada
pameran 6.4, perencanaan respon jadwal resiko.Ini adalah risiko yang sama yang
diidentifikasi dalam pameran 6,3 jadwal tapi di sini yang diperintahkan oleh
peringkat risiko. Penataan kembali ini penting ketika suatu perusahaan memiliki
daftar panjang risiko yang teridentifikasi. Nilai atau biaya yang diharapkan nilai-
nilai dalam pameran 6.4 hanya produk-produk dari biaya dampakdan nilai risiko
mereka. Ini adalah perkiraan berapa biaya perusahaan untuk dikenakan beberapa
risiko. Meskipun angka yang dipilih untuk sampel ini sangat sewenang-wenang,
mereka menunjukkan bagaimana seorang spesialis manajemen risiko harus
menafsirkan atau bertindak atas jenis analisis.

(ii) Risiko Pemantauan

Identifikasi risiko kunci tidak pernah bisa menjaditunggal, proses yang mantan.
Lingkungan sekitarnya risiko yang teridentifikasi akan segera berubah sekitarnya
perubahan kondisi. Untuk beberapa risiko, kondisi bisa berubah sehingga risiko
menjadi ancaman yang lebih besar. Sebagai contoh, manajemen mungkin telah
 mengidentifikasi risiko politik potensial di beberapa negara kurang berkembang,
namun peristiwa sering terjadi dengan cepat, dan perubahan politik di negara
yang sama dapat membuat kekhawatiran mereka bahkan berisiko. Suatu
perusahaan membutuhkan mekanisme untuk memonitor risiko ini diidentifikasi.
Proses identifikasi risiko tidak latihan terus menerus. Sama seperti perusahaan
akan menyiapkan anggaran tahunan dengan revisi mungkin sekali per kuartal,
identifikasi risiko proses sering kali merupakan proses tahunan atau kuartalan.
Setelah risiko ini telah diidentifikasi, perusahaan perlu untuk memantau mereka
dan membuat penyesuaian yang berkelanjutan yang diperlukan. Pemantauan
risiko ini dapat dilakukan oleh pemilik proses atau oleh reviewer independen.
Audit internal sering merupakan sumber yang sangat kredibel dan baik untuk
memantau status risiko yang teridentifikasi. Ini mungkin mengumpulkan
informasi ini melalui survei atau ulasan tatap muka. Audit internal selalu
memiliki tingkat kredibilitastambahan. dan otoritas Ketika auditor bertanya
tentang status beberapa daerah risiko diidentifikasi, mereka yang bertanggung
jawab untuk daerah akan sangat mungkin memberikan informasi yang akurat.
Jika audit internal tidak dapat memperoleh informasi yang baik mengenai status
beberapa risiko diidentifikasi, selalu dapat menjadwalkan kunjungan untuk lebih
memahami sifat dari daerah risiko. Tentu saja, auditor internal memiliki sendiri
penjadwalan proyek audit danmereka; penilaian risiko masalah-masalah mereka
biasanya tidak bisa hanya menjadwalkan review dalamwaktu singkat
jangkayanguntuk memahami status beberapa risiko diidentifikasi. Namun, jika
orang dalamperusahaan tahu bahwa auditor internal kadang-kadang dapat
mengunjungi untuk memahamiyang lebih status atau beberapa risikobaik,akan
ada kecenderungan kuat untuk menyediakan beberapa kuat, jawaban statusnya
akurat. Proses pemantauan yang akurat adalah komponen penting dari manajemen
risiko. Suatu perusahaan mungkin telah melalui proses yang rumit untuk
mengidentifikasiyang lebih risiko signifikan. Namun, status risiko tersebut perlu
dipantau secara teratur dengan perubahan yang dibuat dengan risiko diidentifikasi
sebagai diperlukan.

Learning Objective 6.2 : COSO ERM: Enterprise Risk Management

COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu
perusahaan untuk memiliki definisi yang konsisten dari risiko mereka. Hal ini juga
merupakan alat penting untuk memahami dan meningkatkan SOx pengendalian internal.
COSO ERM diluncurkan pada cara yang sama dengan pengembangankerangka pengendalian
internal COSO, seperti yang dibahas dalam Bab 3. Hanya karena tidak ada definisi yang
konsisten dari kontrol internal, ada juga tidak ada definisi tingkat perusahaan yang konsisten
risiko. Kekhawatiran ini ditekankan oleh komentar-komentardari John Flaherty, ketua
pertama dari COSO: “Meskipun banyak orang berbicara tentang risiko, tidak ada definisi
yang diterima secara umum manajemen risiko dan tidak ada kerangka kerja yang
komprehensif menguraikan bagaimana proses harus bekerja, membuat risiko komunikasi
antara anggota dewan dan manajemen sulit dan membuat frustrasi.”2 COSO kontrak dengan
Pricewaterhouse Coopers (PwC) untuk mengembangkanini. kerangka kerja risiko The
COSO framework ERM diterbitkan setelah berlakunya SOx pada bulan September 2004. Sisa
dari bab ini merangkum COSO ERM dalam beberapa detail. Sama seperti COSO
pengendalian internal kerangka kerja dimulai dengan mengusulkan yang konsisten definisi
dari subjek, dokumen kerangka

COSO ERM dimulai dengan mendefinisikan manajemen risiko perusahaan:

manajemen risiko Enterprise adalah sebuah proses, dipengaruhi oleh dewan entitas direksi,
manajemen dan personil lainnya, diterapkan dalam pengaturan strategi dan di seluruh
perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk
memberikan keyakinan memadai tentang pencapaian tujuan entitas. Profesional harus
mempertimbangkan poin kunci yang mendukung kerangka COSO ERM ini definisi
termasuk: Ermis proses. Ekspresi sering disalahgunakan, definisi kamus dariadalah proses
serangkaian tindakan yang dirancang untuk mencapai hasilnya. Namun, definisi ini tidak
memberikan banyak bantuan untuk banyak profesional. Idenya di sini adalah bahwa proses
tidak prosedur statis, seperti penggunaan lencana karyawan dirancang dan dibangun untuk
memungkinkan hanya orang yang berwenang tertentu untuk memasukkanterkunci. fasilitas
Seperti lencana prosedur-seperti kunci untuk kunci-hanya baik memungkinkan atau tidak
memungkinkan seseorang masuk ke fasilitas. Sebuah proses cenderung lebih pengaturan
fleksibel. Dalam proses persetujuan kredit, misalnya,penerimaan aturan ditetapkan dengan
pilihan untuk mengubah mereka diberikan pertimbangan lain. Suatu perusahaan mungkin
melanggar aturan kredit untuk nasabah kredit jika tidak baik yang mengalami masalah jangka
pendek. ERM adalah jenis proses. Suatu perusahaan sering tidak dapat menentukan aturan
manajemen risiko melalui,erat buku peraturan diselenggarakan kecil. Sebaliknya harus ada
serangkaian langkah didokumentasikan untuk meninjau dan mengevaluasi potensi risiko dan
mengambil tindakan berdasarkan berbagai faktor di seluruh perusahaan.

ERM process dilaksanakan oleh orang-orang dalam perusahaan. Sebuah ERM tidak
akan efektif jika diimplementasikan hanya melalui seperangkat aturan dikirim ke operasi
unitdari kantor pusat perusahaan yang jauh, di mana orang-orang perusahaan yang merancang
aturan mungkin memiliki sedikit pemahaman tentang berbagai faktor keputusan seputar unit
operasi. Proses manajemen risiko harus dikelola oleh orang-orang yang cukup dekat dengan
situasi risiko untuk memahami berbagai faktor sekitarnya risiko, termasuk implikasinya.
Ermis diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan. Setiap
perusahaan terus dihadapkan dengan strategi alternatif mengenai berbagai macam potensi
tindakan masa depan. Harus entitas memperolehlain yang saling melengkapi bisnis untuk
memperluas pertumbuhan atau hanya membangun internal? Harus itu mengadopsi teknologi
baru dalam proses manufaktur atau tetap dengan mencoba dan benar? Set ERM yang efektif
proses harus memainkan peran utama dalam membantu untuk membangun strategi-strategi
alternatif. Karena banyak perusahaan besar dengan banyak unit operasi yang berbeda, ERM
harus diterapkan di seluruh perusahaan menggunakan jenis portofolio pendekatan yang
memadukan campurantinggi dan berisiko kegiatan rendah.
 Konsep risk appetite harus diperhatikan. Sebuah konsep baru atau istilah bagi banyak,
risk appetite adalah jumlah resiko, pada tingkat yang luas, bahwa perusahaan dan manajer
individu bersedia menerima dalam mengejar nilai. Risk appetite dapat diukur dalam arti
kualitatif dengan melihat risiko dalam kategori seperti tinggi, sedang, atau rendah; alternatif,
dapat didefinisikan secara kualitatif.Pemahaman tentang risk appetite mencakup berbagai isu-
isu yang dibahas lebih lanjut dalam bab ini sebagai bagian dari implementasi COSO ERM
untuk memperkuat SOx lingkungan pengendalian internal suatu perusahaan. Ide dasarnya
adalah bahwa setiap manajer dan, secara kolektif, setiap perusahaan memiliki beberapa selera
resiko. Beberapa akan menerima usaha berisiko yang menjanjikan pengembalian berpotensi
tinggi; yang lain lebih memilih lebih terjamin-return, pendekatan berisiko rendah. Nafsu
makan ini untuk risiko konsep dapat dianggap dalam dua investor. Satu dapat memilih untuk
berinvestasi dalam risiko yang sangat rendah tetapi biasanya rendah-return pasar uang atau
dana indeks sementara yang lain dapat berinvestasi pada rendah-cap saham teknologi start-up
dengan harapan pengembalian yang sangat tinggi. Bahwa investor terakhir ini dapat
digambarkan memiliki selera yang tinggi untuk risiko.

Meskipun proses ERM efektif, suatu perusahaan dapat mengalami besar dan
peristiwa bencana benar-benar tak terduga. Jaminan yang wajar tidak memberikan jaminan
mutlak. Ermis dirancang untuk membantu mencapai tujuan. Suatu perusahaan, melalui
manajemen, harus bekerja untuk membangun tingkat tinggi tujuan umum yang dapat dibagi
oleh semua pemangku kepentingan. Contoh di sini, seperti dikutip dalam dokumentasi,
termasuk hal-hal seperti mencapai dan mempertahankan positif reputasi dalam bisnis dan
konsumen masyarakat suatu perusahaan, menyediakan pelaporan keuangan yang dapat
diandalkan untuk semua pemangku kepentingan, dan beroperasi sesuai dengan hukum dan
peraturan. Program ERM keseluruhan untuk suatu perusahaan harus membantu untuk
mencapai tujuan tersebut.

Tujuan dan sasaran yang terkait dengan ERM adalah nilai kecil kecuali mereka dapat
diatur dan dimodelkan bersama-sama dengan cara yang manajemen dapat melihat berbagai
aspek tugas dan memahami-setidaknya semacam-bagaimana mereka berinteraksi dan
berhubungan dengan cara multidimensi. Ini adalah kekuatan yang nyata dari COSO
pengendalian internal kerangka model. Ini menggambarkan, misalnya, bagaimana kepatuhan
perusahaan dengan dampak peraturan semua tingkat pengendalian internal, dari pemantauan
proses untuk lingkungan pengendalian, dan bagaimana kepatuhan penting untuk semua
entitas atau unit perusahaan. Kerangka COSO ERM menyediakan beberapa definisi umum
dari manajemen risiko dan dapat membantu untuk mencapai SOx tujuan pengendalian
internal serta proses manajemen risiko yang lebih baik di seluruh perusahaan.

Learning Objective 6.3 : Elemen Kunci COSO ERM

A. Komponen Lingkungan Internal

Komponen ini mirip dengan kotak di bagian atas bagan organisasi yang
mencantumkan CEO sebagai kepala fungsi yang ditunjuk. Tingkat ini mendefinisikan
dasar bagi semua komponen lain dalam model ERM perusahaan, yang memengaruhi
bagaimana strategi dan sasaran harus ditetapkan, bagaimana aktivitas bisnis yang
 terkait dengan risiko terstruktur, dan bagaimana risiko diidentifikasi dan diterapkan.
Sementara kontrol internal COSO mengendalikan lingkungan berfokus pada praktik
terkini yang ada, seperti kebijakan sumber daya manusia, ERM mengambil
pendekatan berorientasi filosofis yang lebih berorientasi pada masa depan. Komponen
lingkungan internal COSO ERM terdiri dari elemen-elemen ini:
1. Filosofi Manajemen Resiko
2. Risk appetite
3. Sikap dewan direksi
4. Integritas dan nilai etika.
5. Komitmen terhadap kompetensi
6. Struktur organisasi.
7. Penugasan wewenang dan tanggung jawab.
8. Standar sumber daya manusia
B. Pengaturan Obyektif
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM,
penetapan tujuan menguraikan kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Unsur ini mengatakan bahwa, selain
lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian tujuan
strategis, selaras dengan misinya dan mencakup kegiatan operasi, pelaporan, dan
kepatuhan. COSO ERM menekankan bahwa pernyataan misi merupakan elemen
penting untuk menetapkan tujuan; Ini adalah pernyataan tujuan formal dan formal
untuk membangun strategi fungsional tertentu. Seringkali hanya sebuah pernyataan
sederhana dan sederhana, sebuah pernyataan misi harus merangkum tujuan
perusahaan dan keseluruhan sikapnya terhadap risiko. Telah dilakukan dan
disampaikan dengan benar, sebuah pernyataan misi harus mendorong perusahaan
untuk mengembangkan tujuan strategis tingkat tinggi dan kemudian memilih dan
menerapkan tujuan operasi, pelaporan, dan kepatuhan. Sementara tujuan operasional
berkaitan dengan efektivitas dan efisiensi perusahaan dalam mencapai tingkat
keberhasilan dan kinerja, tujuan kepatuhan mencakup pelaporan kinerja dan
kepatuhan terhadap undang-undang dan peraturan. COSO ERM meminta perusahaan
untuk menentukan tujuannya secara formal dengan keterkaitan langsung dengan
pernyataan misinya, beserta kriteria pengukuran untuk menilai apakah pencapaian
tujuan pengelolaan risiko ini.
C. Agenda Peristiwa
Peristiwa adalah kejadian atau kejadian perusahaan - eksternal atau eksternal -
yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Sementara
kecenderungan kita adalah memikirkan kejadian dalam arti negatif - menentukan apa
yang salah - bisa juga positif. Banyak perusahaan saat ini memiliki alat pemantau
kinerja yang kuat untuk memonitor biaya, anggaran, jaminan kualitas, kepatuhan, dan
sejenisnya.
D. Penilaian Resiko
Sedangkan komponen lingkungan internal adalah landasan COSO ERM,
komponen penilaian risiko adalah inti kerangka kerja. Penilaian risiko memungkinkan
 perusahaan mempertimbangkan apa dampak peristiwa terkait risiko potensial terhadap
pencapaian tujuan perusahaan. Risiko ini harus dinilai dari dua perspektif:
1. Resiko Inherent
Seperti yang didefinisikan oleh Kantor Manajemen dan Anggaran Pemerintah AS,
risiko inheren adalah "potensi untuk limbah, kehilangan, penggunaan yang tidak
sah, atau penyalahgunaan karena sifat suatu aktivitas itu sendiri." Faktor utama
yang mempengaruhi risiko inheren perusahaan adalah ukurannya. anggaran,
kekuatan dan kecanggihan manajemen, dan hanya sifat aktivitasnya. Risiko
inheren berada di luar kendali manajemen dan biasanya berasal dari faktor
eksternal. Sebagai contoh, peritel utama Wal-Mart begitu besar dan dominan di
pasarnya sehingga menghadapi berbagai risiko inheren karena hanya ukurannya
saja.
2. Resiko Residual
Inilah risiko yang tetap ada setelah respons manajemen terhadap ancaman dan
tindakan pencegahan telah diterapkan. Hampir selalu ada beberapa tingkat risiko
residual.
E. Respon Resiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM
meminta tanggapan terukur terhadap berbagai risiko yang teridentifikasi ini. Harus
ada kajian cermat terhadap kemungkinan risiko yang diperkirakan dan dampak
potensial, dengan pertimbangan diberikan biaya dan manfaat yang disepakati, untuk
mengembangkan strategi respons risiko yang tepat. Respon risiko ini dapat ditangani
dengan empat cara dasar berikut ini:
a. Penghindaran (Avoidance)
Ini adalah strategi untuk menjauh dari risiko - seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari area geografis yang berisiko, atau menjatuhkan
lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak dapat
menurunkan lini produk atau berjalan kaki sampai setelah kejadian berisiko terjadi
dengan biaya yang terkait. Jika perusahaan tidak memiliki selera makan yang
rendah, sulit untuk menjauh dari area bisnis atau lini produk yang dinyatakan
sukses berdasarkan potensi risiko di masa depan. Penghindaran bisa menjadi
strategi yang berpotensi mahal jika investasi dilakukan untuk masuk ke area
dengan penarikan.
b. Pengurangan (Reduction)
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi risiko terlalu kuat ketergantungan
pada satu lini produk utama; Membelah operasi TI menjadi dua lokasi yang secara
geografis terpisah akan mengurangi risiko beberapa bencana. Jumlah strategi
efektif untuk mengurangi risiko turun ke yang jelas dan biasa-biasa saja, seperti
karyawan pelatihan silang untuk mengurangi risiko seseorang yang tidak terduga
tiba-tiba.
c. Berbagi (Sharing)
Hampir semua perusahaan secara teratur berbagi beberapa risikonya melalui
pembelian asuransi, namun teknik pembagian risiko lainnya tersedia juga. Untuk
 transaksi keuangan, perusahaan dapat melakukan operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi risiko dan
imbalan bisnis potensial melalui kesepakatan usaha patungan perusahaan atau
pengaturan struktural lainnya. Idenya adalah meminta pihak lain menerima
beberapa risiko potensial dan juga untuk membagikan imbalan yang dihasilkan.
d. Penerimaan (Acceptance)
Ini adalah strategi tanpa tindakan, seperti ketika perusahaan
mengasuransikan diri dengan tidak melakukan tindakan untuk mengurangi
potensi risiko. Intinya, perusahaan harus melihat kemungkinan risiko dan
dampaknya karena toleransi risiko yang ditetapkan dan kemudian memutuskan
apakah akan menerima risiko itu atau tidak. Penerimaan sering merupakan
strategi yang tepat untuk berbagai risiko yang dihadapi perusahaan.
F. Kegiatan Pengendali
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan terhadap tanggapan risiko yang teridentifikasi. Meskipun
beberapa aktivitas ini hanya berhubungan dengan respons risiko yang teridentifikasi
dan disetujui di wilayah perusahaan, namun seringkali tumpang tindih di beberapa
fungsi dan unit. Komponen aktivitas pengendalian COSO ERM harus terkait erat
dengan strategi dan tindakan respons risiko yang telah dibahas sebelumnya. Setelah
memilih respons risiko yang tepat, perusahaan harus memilih kegiatan pengendalian
yang diperlukan untuk memastikan bahwa respons risiko dilakukan secara tepat waktu
dan efisien. COSO ERM meminta pendekatan untuk mengidentifikasi,
mendokumentasikan, menguji, dan kemudian memvalidasi kontrol perlindungan
risiko ini. Setelah melalui proses identifikasi, penilaian, dan proses kejadian COSO
ERM, pemantauan risiko memerlukan keempat langkah ini:
1. Mengembangkan pemahaman yang kuat tentang risiko yang signifikan dan
menetapkan prosedur pengendalian untuk memantau atau memperbaikinya.
2. Buat prosedur pengujian jenis bor untuk menentukan apakah prosedur
pengendalian terkait risiko tersebut berjalan efektif.
3. Lakukan tes terhadap proses pemantauan risiko untuk menentukan apakah mereka
bekerja secara efektif dan seperti yang diharapkan.
4. Lakukan penyesuaian atau perbaikan seperlunya untuk memperbaiki proses
pemantauan risiko.
G. Informasi dan Komunikasi
Sementara segmen informasi komponen informasi dan komunikasi ERM
biasanya dipikirkan dalam hal sistem informasi strategis dan operasional TI, aspek
kedua dari komponen ini, komunikasi ERM, berbicara tentang komunikasi di luar
hanya aplikasi IT. Ini termasuk kebutuhan akan mekanisme untuk memastikan bahwa
semua pemangku kepentingan menerima pesan mengenai kepentingan perusahaan
dalam mengelola risikonya. Ada kebutuhan untuk bahasa risiko yang sama di seluruh
perusahaan mengenai peran dan tanggung jawab manajemen risikonya. COSO ERM
akan menjadi nilai kecil bagi perusahaan kecuali kepentingannya dikomunikasikan ke
semua pemangku kepentingan secara umum dan konsisten.
H. Pemantauan
 Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM
diperlukan untuk menentukan bahwa semua komponen ERM yang terpasang bekerja
secara efektif. Orang-orang dalam perubahan perusahaan, seperti halnya proses
pendukung dan kondisi internal dan eksternal, namun komponen pemantauan
membantu memastikan bahwa ERM bekerja secara efektif secara terus menerus.
Contoh pemantauan mencakup proses untuk mengesampingkan pengecualian atau
pelanggaran dalam komponen lain proses ERM. Misalnya, fungsi penagihan piutang
dagang harus mengidentifikasi keseluruhan risiko keuangan dan operasional jika
tagihan pelanggan tidak dibayarkan secara tepat waktu. Alat pemindaian koleksi
kredit real-time yang hampir real-time bisa memberi manajemen senior data sehari-
hari dan trending mengenai status koleksi.

Learning Objective 6.4 : Dimensi Lain COSO ERM: Tujuan Resiko Perusahaan

A. Tujuan Manajemen Risiko Operasi

Banyak jenis risiko operasi dapat berdampak pada perusahaan. Setelah
kerangka ERM tiga dimensi, sasaran risiko tingkat operasi meminta
pengidentifikasian risiko untuk setiap unit perusahaan. Pengidentifikasian tujuan
risiko tingkat operasi ini seringkali memerlukan pengumpulan dan analisis informasi
terperinci, terutama untuk perusahaan besar yang mencakup beberapa area geografis,
lini produk, atau proses bisnis. Manajer langsung unit perorangan biasanya memiliki
pemahaman terbaik tentang risiko operasional mereka, dan informasi tersebut dapat
hilang saat dikonsolidasikan untuk pelaporan tingkat tinggi. Tinjauan atau survei audit
internal orang yang langsung dikenali oleh risiko ini dapat membantu mengumpulkan
lebih banyak informasi latar belakang mengenai risiko operasi potensial. Sebuah
survei terhadap anggota langsung perusahaan, bersamaan dengan pertanyaan tindak
lanjut, akan memungkinkan pengembangan serangkaian risiko operasi katalog yang
luas dan konsumtif. Pertanyaan yang diajukan di sini akan serupa dengan jenis
pertanyaan terperinci yang digunakan dalam penilaian pengendalian internal audit
internal, dan hasilnya di sini bisa menjadi dasar untuk mengembangkan pemahaman
yang lebih baik mengenai potensi risiko.
Dengan pandangan portofolio ERM tentang risiko, perusahaan harus
menghindari hal-hal yang menggulingkan menjadi terlalu banyak tingkat ringkasan,
hilang atau membulatkan risiko tingkat rendah yang penting. Apapun posisi mereka di
perusahaan atau lokasi geografis mereka, para manajer di semua tingkat harus sadar
bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko di dalam
unit operasional mereka sendiri. Terlalu sering, manajer unit mungkin percaya bahwa
manajemen risiko hanya diperhatikan oleh staf kantor pusat tingkat senior. Pentingnya
manajemen risiko COSO ERM dan operasi harus dikomunikasikan ke semua tingkat
perusahaan. Auditor internal harus bertindak sebagai mata dan telinga di sini dan
melaporkan semua risiko operasi yang diamati.
B. Melaporkan Tujuan Manajemen Risiko
Tujuan risiko ini mencakup keandalan laporan perusahaan terhadap data
keuangan dan non keuangan internal dan eksternal. Pelaporan yang akurat sangat
 penting untuk kesuksesan sebuah perusahaan dalam banyak dimensi. Laporan berita
sering merinci penemuan pelaporan keuangan perusahaan yang tidak akurat dan
mengakibatkan dampak pasar saham bagi entitas yang menjalin hubungan. Pelaporan
akurat yang sama tidak dapat menyebabkan masalah di banyak daerah.
Tidak masalah industri apa pun, perusahaan menghadapi risiko utama dari
pelaporan yang tidak akurat di unit atau area manapun. Unit operasi harus
memastikan bahwa hasil yang dilaporkan benar sebelum dilewatkan ke tingkat
berikutnya dalam organisasi, dan jumlah konsolidasi harus akurat, baik itu laporan
keuangan, taksiran pengembalian pajak, atau segudang bidang lainnya. Kontrol
internal yang baik diperlukan untuk memastikan pelaporan yang akurat. ERM prihatin
dengan risiko memberi otorisasi dan melepaskan laporan yang tidak akurat. Kontrol
internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan harus selalu
mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat.
Kesalahan pelaporan cadangan Royal Dutch Shell adalah contoh dari jenis pelaporan
risiko ini. Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai
ada kesalahan besar yang perlu diungkapkan. Risiko pelaporan yang tidak tepat
tersebut harus menjadi perhatian semua tingkat perusahaan
C. Tujuan Resiko Kepatuhan Hukum dan Peraturan
COSO ERM merekomendasikan agar risiko terkait kepatuhan
dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam
konteks lingkungan internal, penetapan tujuan, atau pemantauan risiko, maupun di
seluruh perusahaan. Materi panduan ERM tidak menawarkan banyak informasi
tambahan mengenai tujuan kepatuhan ini selain untuk menyatakan bahwa tujuan ini
mengacu pada kesesuaian dengan undang-undang dan peraturan perundang-undangan.
Ini adalah elemen penting dari kerangka kerja manajemen risiko yang perlu
dikomunikasikan dan dipahami. Seperti telah dibahas, semua perusahaan menghadapi
berbagai persyaratan kepatuhan hukum dan peraturan, dengan beberapa hal
mempengaruhi hampir semua perusahaan dan pihak lain yang terkait dengan hanya
satu unit bisnis di sektor industri khusus. Sifat dari risiko kepatuhan tersebut perlu
dikomunikasikan dan dipahami melalui semua tingkat perusahaan. Perusahaan dapat
menerima tingkat risiko tertentu dalam hal kekhawatirannya terkait kepatuhan hukum.
Meskipun undang-undang utama tidak boleh diabaikan begitu saja karena perasaan
bahwa pelanggaran tidak akan pernah tertangkap, perusahaan harus selalu mengambil
pendekatan beralasan terhadap risiko bersamaan dengan filosofi dan selera risikonya
secara keseluruhan. Misalnya, banyak peraturan peraturan menentukan bahwa semua
pengeluaran harus didukung oleh tanda terima.

Learning Objective 6.5 Risiko Tingkat Entitas

Sebuah perusahaan dengan empat divisi operasi utama dan dengan beragam unit bisnis
dibawahnya harus memiliki kerangka kerja ERM yang menggambarkan keseluruhan unit ini.
Karena risiko ini penting untuk keseluruhan organisasi, mereka harus dipertimbangkan dalam
basis unit-per-unit ke serendah-rendahnya tingkat yang dibutuhkan untuk membuat
perusahaan tersebut dapat memahami dan mengelola risiko yang dihadapinya. COSO ERM
tidak mengkhususkan seberapa kecil risiko tingkat unit ini harus dipisahkan, dan
kepentingan dan materialitas unit bisnis individu harus dipertimbangkan.

a. Risiko Meliputi Seluruh Organisasi

Beberapa risiko bisnis pada tingkat unit harus digulirkan menjadi risiko tingkat
entitas. Hal ini mudah bagi perusahaan untuk mempertimbangkan beberapa risiko
tingkat unit sebagai “tidak material”, untuk menggunakan terminology akuntansi
publik pra-SOx, perusahaan harus memikirkan semua risiko sebagai hal yang
berpotensi signifikan. Perlu diketahui bahwa risiko yang mungkin terlihat kecil dapat
berpengaruh besar terhadap sebuah perusahaan.

Hal yang relatif mudah untuk mengidentifikasi risiko tingkat entitas yang tinggi,
seperti kepatuhan terhafap SOx Section 404, dan untuk mengidentifikasi dan
memantau hal ini sebagai bagian dari proses COSO ERM, perusahaan harus
memperhatikan risiko potensial yang lebih kecil agar risiko tersebut tidak turut masuk
melalui celah-celah yang ada. Karena risiko diidentifikasi melalui pengaturan tujuan
organisasi, mereka harus dipertimbangkan baik secara keseluruhan maupun oleh unit
operasi individu. Risiko unit individu tersebut harus ditinjau dan dikonsolidasikan
terlebih dahulu untuk mengidentifikasi risiko utama yang mungkin mempengaruhi
keseluruhan organisasi. Selain itu, risiko keseluruhan organisasi juga harus
diidentifikasi.

b. Risiko Tingkat Bisnis

Risiko terjadi pada semua level dalam sebuah perusahaan, apakah sebuah divisi
produksi besar dengan banyak bangunan dan ribuan karyawan atau sebuah posisi
kepemilikan minoritas di sebuah perusahaan penjualan luar negeri. Risiko harus
dipertimbangkan dalam setiap unit yang signifikan maupun organisasional.
Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
seringkali dapat dimulai dengan baik sebagai proses pendorong dimana manajemen
tingkat korporat secara formal menguraikan masalah terkait risiko utama dan meminta
manajemen yang bertanggung jawab di masaing-masing divisi utama untuk
melakukan survei terhadap sasaran risiko melalui unit operasi dalam divisi itu.
Dengan cara ini, risiko yang signifikan dapat diidentifikasi di semua tingkat dan
kemudian dikelola pada tingkat dimana mereka dapat menerima dukungan lokal
secara langsung.
Konsep utama seputar COSO ERM adalah bahwa perusahaan menghadapi berbagai
macam risiko di semua tingkat. Beberapa mungkin penting sementara yang lain sering
dianggap hanya sebagai pengganggu dan dipandang kecil. Kerangka kerja COSO
ERM menyediakan mekanisme untuk mempertimbangkan risko ini, ini adalah sebuah
alat yang penting untuk membantu memastikan kepatuhan perusahan terhadap SOx.
Learning Objective 6.6 Menggabungkan Semuanya

Kerangka COSO ERM yang dijelaskan disini membahas pendekatan manajemen

risiko yang dapat diterapkan semua industri dan mencakup semua jenis risiko. Dengan
fokusnya pada mengenali selera perusahaan akan risiko dan kebutuhan untuk menerapkan
manajemen risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM
memiliki beberapa perbedaan mendasar dari kebanyakan model risiko yang telah digunakan
sampai saat ini. COSO ERM belum telah digunakan cukup lama untuk menunjuk pada
serangkaian perusahaan sukses yang secara terbuka menggunakannya. Namun dengan
penekanan AS 5 pada risiko, kita akan mendengar lebih lanjut tentang hal itu kedepannya.
Auditor internal khususnya, harus menetapkan tujuan CBOK untuk mempelajari lebih lanjut
tentang pentingnya kerangka kerja ini.

COSO ERM tiba setelah SOx, namun merupakan alat penting untuk mengelola dan
memahami SOx Section 404 Internal Controls. Hal ini sangat penting karena dengan standar
audit AS 5 yang lebih baru yang memberi pertimbangan lebih pada risiko saat memahami dan
mengevaluasi pengendalian internal. Manajemen perusahaan di semua harus menerapkan
COSO ERM, sebuah alat penting untuk memahami banyak risiko yang dihadapi perusahaan
saat ini. Auditor internal harus membuat COSO ERM sebagai persyaratan audit internal
CBOK, dan harus melakukan audit internal sesuai dengan proses ERM.

Learning Objective 6.7 : Auditing Risk and COSO ERM Processes

Internal auditor akan menemui isu – isu terkait resiko dan manajemen resiko pada saat
peninjauan audit dan analisis pada beberapa area dan internal auditor yang efektif harus
memahami mengenai proses manajemen resiko. Terlalu sering, seorang internal auditor akan
menyajikan peninjauan pengendalian internal pada beberapa area dan akan mengatakan
bahwa area tersebut tersebut dipilih atau tidak karena “pertimbangan resiko”. Seorang
internal auditor harus memiliki pemahaman mengenai CBOK mengenai dasar dari proses
manajemen agar bisa untuk memberikan pertanyaan dan memberikan tinjauan mengenai
kecukupan proses manajemen resiko.

Dengan fokus pada kerangka COSO ERM, internal auditor dapat memberikan atau
menyediakan jasa pada perusahaan dengan merencanakan dan menyajikan tinjauan mengenai
tingkatan proses manajemen resiko pada perusahaan. Cara yang dilakukan internal auditor
memberikan tinjauan pada ERM perusahaan :

1. Proses Flowchart. Proses flowchat dapat digunakan untuk mendeskripsikan

bagaimana resiko manajemen beroperasi dalam perusahaan.
2. Meninjau resiko dan bahan bahan dari pengendalian. Proses dari ERM seringkali
menghasilkan banyak bahan dari sistem pengendalian, prosedur yang
didokumentasi, format laporan dan lain – lain. Hal ini memiliki kemungkinan
untuk dinilai oleh auditor internal untuk meninjau resiko dan bahan bahan dari
pengendalian dari sisi efektivitas.
3. Benchmarking.
4. Kuisoner.
Internal auditor harus mempertimbangkan ketika mengeluarkan tinjauan efektivitas dari
proses COSO ERM perusahaan, mengumpulkan data implementasi yang spesifik dan menilai
efektivitas dari keseluruhan COSO ERM perusahaan dan digunakan sebagai cara untuk
mendukung dan meningkatkan SOx dan COSO kepatuhan pengendalian internal.

Learning Objective 6.8 : Risk Management and COSO ERM in perspective

Manajemen resiko dan COSO ERM secara khusus atau terperinci merupakan standar yang
seharusnya menjadi bagian dari CBOK internal auditor. Internal auditor harus menggunakan
dasar dari manajemen resiko ketika menetukan area mana yang akan ditinjau berdasarkan
rencana audit, kemudian menggunakan resiko dasar ketika menilai bukti audit. Mungkin yang
lebih penting, COSO ERM akan menjadi penting dan dikenali ketika perusahaan memahami
dan mengadopsi kerangka dari ERM. Internal auditor harus memiliki pemahaman tentang
CBOK dan COSO ERM dalam rangka audit kepatuhan terhadap proses ini dan untuk
konsultasi dengan manajemen untuk memastikan efektivitas implementasinya.