Yang tercantum dalam definisi risiko coso tujuan mereka.
kepanjangan ini bisa agak luar
dan iso adalah kunci tertentu, poin biasa, yang membawa apresiasi yang lebih mendasar yang harus dipahami sebelum besar untuk kebutuhan untuk memiliki proses mengolah konsep manajemen risiko: untuk secara efektif memahami dan mengelola risiko di seluruh organisasi. kebutuhan ini dapat - risiko dimulai dengan perumusan strategi dan diatasi melalui manajemen risiko perusahaan. penetapan tujuan. sebuah organisasi dalam bisnis untuk mencapai strategi dan tujuan Coso mendefinisikan erm sebagai proses, tertentu, dan risiko merupakan hambatan untuk yang dilakukan oleh dewan direksi, berhasil mencapai tujuan tersebut. Oleh karena manajemen, dan personel lainnya, yang itu, karena setiap organisasi memiliki strategi diterapkan dalam penetapan strategi dan di dan tujuan yang agak berbeda, mereka juga seluruh perusahaan, yang dirancang untuk akan menghadapi berbagai jenis risiko. mengidentifikasi peristiwa potensial yang dapat memengaruhi entitiy, dan mengelola risiko agar - risiko tidak mewakili estimasi titik tunggal sesuai dengan selera risiko, untuk memberikan (misalnya, hasil yang paling mungkin). jaminan yang masuk akal mengenai pencapaian melainkan mewakili berbagai kemungkinan tujuan yang diinginkan. hasil. karena banyak hasil yang berbeda dimungkinkan, konsep kisaran adalah yang Coso menjelaskan bahwa definisi ini menciptakan ketidakpastian ketika memahami mencerminkan konsep dasar tertentu. ERM dan mengevaluasi risiko. adalah: -risk mungkin berhubungan dengan mencegah - proses yang sedang berlangsung dan hal-hal buruk terjadi (mitigasi risiko), atau mengalir di seluruh organisasi. gagal memastikan hal-hal baik terjadi (yaitu, - Dipengaruhi oleh orang (karyawan) di setiap mengeksploitasi atau mengejar peluang). tingkat organisasi. kebanyakan orang fokus pada pencegahan hasil yang buruk- misalnya, bahaya yang perlu - diterapkan ketika menetapkan strategi dikurangi atau dihilangkan. sementara banyak organisasi. risiko, pada kenyataannya, menghadirkan ancaman bagi organisasi, kegagalan untuk - diterapkan di seluruh organisasi, di setiap mencapai hasil positif juga dapat menciptakan level dan unit. penghalang bagi pencapaian tujuan dan juga - Berfokus pada pandangan risiko portofolio risiko. tingkat entitas. - risiko melekat dalam semua aspek kehidupan - dirancang untuk mengidentifikasi peristiwa - yaitu, di mana pun ketidakpastian ada, satu potensial yang, jika terjadi, akan risiko atau lebih ada. contoh-contoh yang mempengaruhi organisasi. diberikan pada bagian sebelumnya tentang sejarah risiko menggambarkan bagaimana - Sarana untuk memungkinkan manajemen pemahaman risiko telah berkembang. risiko- risiko dalam manajemen organisasi di dewan risiko yang secara spesifik terkait dengan direksi. organisasi yang melakukan suatu bentuk bisnis - diarahkan pencapaian tujuan dalam satu atau pada umumnya dianggap sebagai risiko bisnis. lebih kategori yang terpisah tetapi tumpang ini dapat dianggap sebagai istilah sederhana tindih. yang tidak pasti: ketidakpastian mengenai ancaman terhadap pencapaian tujuan bisnis Kerangka kerja ERM secara grafis dianggap sebagai risiko bisnis. digambarkan sebagai matriks tiga dimensi, dalam bentuk kubus, dibuat ulang dalam menggunakan deskripsi risiko, menjadi jelas pameran 4-2. Penggambaran ini menunjukkan bahwa ada sejumlah besar risiko yang dihadapi keterkaitan antara jenis tujuan (kolom vertikal organisasi ketika mereka mencoba untuk di bagian atas kubus), komponen ERM (baris mengeksekusi strategi mereka dan mencapai horizontal), dan struktur bisnis organisasi (sisi manajemen menjalankan perusahaan dan kubus). Ini menggambarkan kemampuan terintegrasi dengan proses manajemen. untuk fokus pada keseluruhan ERM Komponen-komponen ini adalah: organisasi, atau berdasarkan jenis objektif, - Lingkungan internal. "Manajemen komponen, unit organisasi, atau setiap bagian menetapkan filosofi mengenai risiko dan daripadanya. menetapkan selera risiko. Lingkungan internal Jenis Tujuan mencakup nada organisasi, dan menetapkan dasar untuk bagaimana risiko dan kontrol Ketika suatu organisasi menetapkan misi dan dilihat dan ditangani oleh karyawan entitas. visinya, manajemen juga menetapkan berbagai Inti dari setiap bisnis adalah karyawannya- tujuan yang mendukung misi tersebut dan atribut masing-masing, termasuk integritas, diselaraskan serta mengalir di seluruh nilai-nilai etika, dan kompetensi-dan organisasi. Seperti dibahas dalam bab 1, lingkungan di mana mereka beroperasi. " "Pengantar Audit Internal", kerangka kerja ERM diarahkan untuk mencapai tujuan COSO selanjutnya menyatakan bahwa, organisasi dalam empat kategori berikut: "Lingkungan internal adalah dasar untuk semua komponen ERM lainnya, memberikan - Tujuan strategis. Sasaran tingkat tinggi yang disiplin dan struktur. Ini dalam mempengaruhi selaras dan mendukung misi organisasi. bagaimana strategi dan tujuan ditetapkan, - Tujuan operasi. Tujuan luas yang kegiatan bisnis disusun, dan risiko mempromosikan penggunaan sumber daya diidentifikasi, dinilai, dan ditindaklanjuti. juga secara efektif dan efisien. mempengaruhi desain dan fungsi kegiatan kontrol, sistem informasi dan komunikasi, dan - Melaporkan keberatan. Sasaran yang kegiatan pemantauan. berfokus pada keandalan pelaporan (baik eksternal maupun internal). Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Ini terdiri dari banyak - Tujuan kepatuhan. Tujuan menegakkan elemen, termasuk yang berikut, yang dibahas kepatuhan dengan hukum dan peraturan yang COSO secara lebih rinci: berlaku. - Filosofi manajemen risiko, yang mewakili COSO menyatakan hal berikut tentang seperangkat keyakinan dan sikap bersama pencapaian tujuan: "Karena tujuan yang yang menandai bagaimana organisasi berkaitan dengan keandalan pelaporan dan menganggap risiko dalam segala hal yang kepatuhan terhadap undang-undang dan dilakukannya. peraturan berada dalam kendali entitas, manajemen risiko perusahaan dapat diharapkan Nafsu makan -Risiko, yang mewakili jumlah memberikan jaminan yang wajar untuk risiko, pada tingkat yang luas, organisasi mencapai tujuan tersebut. Pencapaian tujuan bersedia menerima. strategis dan operasi tujuan, bagaimanapun, - Dewan direksi, yang menyediakan struktur, tunduk pada peristiwa eksternal tidak selalu pengalaman, independensi, dan peran berada dalam kendali entitas, sehingga, untuk pengawasan yang dimainkan oleh badan tujuan ini, ERM dapat memberikan jaminan pengatur utama organisasi. yang masuk akal bahwa manajemen, dan dewan dalam peran pengawasannya, dibuat sadar, - Integritas dan nilai-nilai etika, yang pada waktu yang tepat, sejauh dimana entitiy mencerminkan preferensi, standar perilaku, bergerak menuju pencapaian tujuan. dan gaya. Komponen ERM - Komitmen terhadap kompetensi, termasuk pengetahuan dan keterampilan yang COSO ERM terdiri dari delapan komponen dibutuhkan untuk melakukan tugas yang yang saling terkait. Ini berasal dari cara ditugaskan. - Struktur organisasi, sebagaimana dicirikan Indonesia oleh kerangka kerja untuk merencanakan, melaksanakan, mengendalikan, dan memantau kegiatan. COSO mengutip faktor eksternal, bersama dengan contoh acara terkait, termasuk: - Penugasan wewenang dan tanggung jawab, yang mencerminkan sejauh mana individu dan - Peristiwa ekonomi, seperti pergerakan harga, tim diberi wewenang dan didorong untuk ketersediaan modal, atau hambatan yang lebih menggunakan inisiatif untuk mengatasi rendah untuk memasuki persaingan. masalah dan menyelesaikan masalah, serta batasan untuk otoritas mereka. - Peristiwa lingkungan alami, seperti banjir, kebakaran, gempa bumi, atau peristiwa terkait - Standar sumber daya manusia, terdiri dari cuaca. praktik-praktik yang berkaitan dengan perekrutan, orientasi, pelatihan, evaluasi, - Acara politik, seperti pemilihan pejabat konseling, promosi, kompensasi, dan pemerintah dengan agenda politik baru, atau mengambil tindakan remidial. diberlakukannya undang-undang dan peraturan baru. Pengaturan obyektif. "Tujuan ditetapkan pada tingkat strategis, menetapkan dasar untuk - Acara sosial, seperti perubahan demografi, tujuan operasi, pelaporan, dan kepatuhan. adat istiadat sosial, struktur keluarga, atau Setiap entitas menghadapi berbagai risiko dari prioritas pekerjaan / kehidupan. sumber eksternal dan internal, dan prasyarat - Acara teknologi, seperti cara baru untuk identifikasi, penilaian risiko, dan perdagangan elektronik, penyimpanan, atau respons risiko yang efektif secara efektif. pemrosesan. tujuan. " COSO mengutip faktor eksternal, bersama Tujuan harus diselaraskan dengan selera risiko dengan contoh acara terkait, termasuk: organisasi, yang mendorong tingkat toleransi risiko bagi organisasi. Torelan risiko adalah - Faktor infrastruktur, seperti meningkatnya tingkat ukuran dan variasi yang dapat diterima alokasi modal untuk pemeliharaan preventif relatif terhadap pencapaian tujuan, dan harus atau dukungan call center. selaras dengan selera risiko organisasi. - Faktor-faktor personalia, seperti kecelakaan Identifikasi acara. "Manajemen di tempat kerja, aktivitas penipuan, atau mengidentifikasi peristiwa potensial yang, jika konspirasi perjanjian kerja. terjadi, akan memengaruhi entitiy, dan Faktor proses, seperti modifikasi proses, menentukan apakah peristiwa ini mewakili kesalahan eksekusi proses, atau keputusan peluang atau apakah mereka dapat outsourcing. memengaruhi kemampuan entitas untuk berhasil mengimplementasikan strategi dan - Faktor teknologi, seperti meningkatnya mencapai tujuan. Acara dengan dampak sumber daya untuk menangani volatilitas negatif mewakili risiko, yang memerlukan volume, pelanggaran keamanan, atau manajemen penilaian dan respons. Acara downtime sistem. dengan dampak positif mewakili peluang, yang manajemen salurkan kembali ke dalam Tugas beresiko. "Penilaian risiko strategi dan proses penetapan tujuan. Ketika memungkinkan suatu entitas untuk mengidentifikasi peristiwa, manajemen mempertimbangkan sejauh mana peristiwa mempertimbangkan berbagai faktor internal potensial memiliki dampak pada pencapaian dan eksternal yang dapat menimbulkan risiko tujuan. Manajemen menilai peristiwa dari dua dan peluang, dalam konteks ruang lingkup perspektif - kemungkinan dan dampak - dan risiko penuh organisasi. biasanya menggunakan kombinasi metode kualitatif dan kuantitatif. Dampak positif dan negatif dari peristiwa potensial harus Manajemen mengidentifikasi segala peluang diperiksa, secara individu atau berdasarkan yang mungkin tersedia, dan mengambil kategori, di seluruh entitas. Risiko dinilai pada pandangan seluruh entitas, atau portofolio, dasar yang inheren dan residual. " risiko, menentukan apakah keseluruhan risiko residual berada dalam selera risiko entitas. " Secara sederhana, risiko inheren merupakan risiko kotor sedangkan risiko residual adalah Seperti yang ditunjukkan, risiko repson risiko bersih. Risiko yang melekat adalah termasuk dalam empat kategori, yang risiko bagi suatu organisasi tanpa adanya didefinisikan COSO sebagai: tindakan yang mungkin diambil manajemen - Penghindaran. Menghentikan atau untuk mengubah kemungkinan atau dampak melepaskan aktivitas yang memberikan risiko. risiko tersebut. Risiko dapat melekat dalam Penghindaran risiko dapat melibatkan keluar model bisnis organisasi atau terkait dengan dari lini produk, penurunan ekspansi ke pasar keputusan yang diambil manajemen mengenai geografis baru, atau penjualan divisi. cara mengoperasikan dan menjalankan model bisnis tersebut. Risiko residual adalah risiko - Pengurangan. Tindakan diambil untuk yang tetap ada setelah respons manajemen mengurangi kemungkinan risiko atau dampak, terhadap risiko (misalnya, untuk mengurangi atau keduanya. Ini biasanya melibatkan atau mentransfer risiko). Penilaian risiko harus banyak sekali keputusan bisnis sehari-hari diterapkan terlebih dahulu ke risiko yang (seperti menerapkan kontrol). melekat. Setelah respons risiko dikembangkan, manajemen kemudian mempertimbangkan - Berbagi. Mengurangi kemungkinan risiko risiko residual. atau dampak dengan mentransfer atau membagi sebagian risiko. Teknik umum Ada banyak cara berbeda untuk menilai termasuk membeli produk asuransi, terlibat dampak dan kemungkinan risiko, mulai dari dalam transaksi lindung nilai, atau outsourcing memperoleh penilaian dan perspektif individu kegiatan. secara keseluruhan, hingga pembandingan terhadap perusahaan lain, hingga menjalankan - Penerimaan. Tidak ada tindakan yang model probabilistik yang canggih. Terlepas diambil untuk memengaruhi kemungkinan dari opsi mana, atau kombinasi opsi yang atau dampak risiko. (Akibatnya, organisasi digunakan, penting bahwa penilaian bersedia menerima risiko pada tingkat saat ini mempertimbangkan hubungan antara risiko. daripada menghabiskan sumber daya yang Artinya, dampak kasus terburuk yang realistis berharga untuk menggunakan salah satu opsi dan kemungkinan peristiwa risiko mungkin respons risiko lainnya.) tergantung pada bagaimana kombinasi risiko Penting untuk mempertimbangkan portofolio, saling terkait. Menilai masing-masing risiko atau agregat, efek dari respons risiko. Dalam dengan sendirinya dapat mengabaikan beberapa kasus, respons risiko tertentu skenario realistis terburuk yang perlu mungkin tidak tampak sebagai respons terbaik dipertimbangkan organisasi. atau paling hemat biaya untuk risiko tertentu. Respon risiko. "Setelah menilai risiko yang Namun, jika respons risiko itu membantu relevan, manajemen menentukan bagaimana mengelola risiko lain, manfaat bagi organisasi hal itu akan merespons. Tanggapan mencakup dapat membenarkan pemilihan opsi tertentu penghindaran risiko, pengurangan, pembagian, itu. Dengan melihat risiko dari perspektif dan penerimaan. Dalam mempertimbangkan portofolio, manajemen dapat memastikan tanggapannya, manajemen menilai dampak bahwa risiko dikelola secara optimal ketika pada kemungkinan dan dampak risiko, serta selera risiko yang ditetapkan organisasi. biaya dan manfaat, memilih respons yang Mengontrol kegiatan. "Aktivitas kontrol membawa risiko residual dalam toleransi adalah kebijakan dan prosedur yang membantu risiko yang diinginkan. memastikan bahwa respons risiko manajemen dilakukan. Aktivitas kontrol terjadi di seluruh organisasi, di semua tingkatan dan dalam - Pemisahan tugas melibatkan pemisahan tugas semua fungsi." orang yang berbeda untuk mengurangi risiko kesalahan atau penipuan. Misalnya, individu Sementara kegiatan kontrol paling sering yang membentuk vendor baru dalam sistem dikaitkan dengan strategi pengurangan risiko, seharusnya tidak dapat mengotorisasi transaksi kegiatan kontrol tertentu juga mungkin untuk membayar vendor tersebut. diperlukan ketika menjalankan salah satu respons risiko lainnya. Mereka Informasi dan Komunikasi. "Informasi diklasifikasikan dalam berbagai cara dan penting diidentifikasi, ditangkap, dan mencakup berbagai kegiatan yang dapat dikomunikasikan dalam bentuk dan kerangka bersifat preventif atau detektif, manual atau waktu yang memungkinkan orang untuk otomatis, dan pada tingkat proses atau tingkat melaksanakan tanggung jawab mereka." manajemen. Lihat bab 6, "Kontrol Internal", Informasi harus dalam kedalaman yang cukup untuk diskusi lebih lanjut tentang berbagai konsisten dengan kebutuhan organisasi untuk jenis kontrol. Berikut ini adalah beberapa mengidentifikasi, menilai, dan merespons contoh kegiatan kontrol yang biasa digunakan risiko, dan tetap berada dalam berbagai tingkat yang disediakan oleh COSO: toleransi risiko. Sistem informasi memproses data yang dihasilkan secara internal dan - Ulasan tingkat atas adalah kontrol yang eksternal menjadi informasi yang berguna biasanya dijalankan pada tingkat entitiy, untuk mengelola risiko. Akhirnya, informasi seperti kinerja terhadap tinjauan anggaran, harus memiliki kualitas yang memadai untuk perkiraan terbaru, pemantauan tindakan mendukung pengambilan keputusan. COSO pesaing, atau inisiatif penahanan biaya. mencatat bahwa informasi harus: - Manajemen fungsional atau aktivitas - Tepat dan pada tingkat detail yang tepat. langsung adalah kontrol yang dijalankan oleh manajer yang menjalankan fungsi atau - Tepat waktu dan tersedia saat dibutuhkan. aktivitas tertentu, seperti meninjau laporan - Saat ini, mencerminkan informasi keuangan kinerja untuk area tersebut atau mengawasi atau operasional terbaru. pelaksanaan kontrol level terperinci (misalnya, rekonsiliasi). - Akurat dan dapat diandalkan. - Kontrol pemrosesan informasi dirancang - Dapat diakses oleh mereka yang untuk memeriksa keakuratan, kelengkapan, membutuhkannya. dan otorisasi transaksi. Selain itu, aea ini mencakup kontrol infrastruktur umum, seperti COSO melanjutkan dengan menyatakan, keamanan fisik dan logis; kontrol atas "Komunikasi yang efektif juga terjadi, implementasi sistem, peningkatan, atau mengalir, melintasi, dan ke atas organisasi. modifikasi; pemulihan bencana; dan kontrol Semua personil menerima pesan yang jelas operasi sistem. dari manajemen puncak bahwa tanggung jawab ERM harus ditanggapi dengan serius. - Kontrol fisik meliputi (1) penghitungan fisik Mereka memahami peran mereka sendiri uang tunai, sekuritas, inventaris, peralatan, dalam ERM, serta bagaimana kegiatan atau aset tetap lainnya, dan membandingkan individu berhubungan dengan pekerjaan orang penghitungan tersebut dengan jumlah yang lain. Mereka harus memiliki sarana untuk dicatat dalam pembukuan dan catatan, dan (2) mengkomunikasikan informasi penting di penghalang atau pembatasan fisik seperti hulu. Ada juga komunikasi yang efektif pagar dan kunci. dengan pihak eksternal, seperti pelanggan, pemasok, regulator, dan pemegang saham. " - Indikator kinerja mencakup menganalisis dan menindaklanjuti penyimpangan dari norma Ada banyak bentuk komunikasi yang berbeda, kinerja yang diharapkan atau ditargetkan. seperti manual kebijakan, memorandum, email, situs internet dan intranet, pemberitahuan papan pengumuman, dan pesan 3. Opsi apa yang harus kita pastikan agar hal- video. Ketika pesan dikirimkan secara lisan, hal itu tidak terjadi (apa strategi manajemen nada suara dan bahasa tubuh dapat risiko, yaitu tanggapan)? mempengaruhi bagaimana pesan ditafsirkan. 4. APAKAH kita memiliki kemampuan untuk Pemantauan "Manajemen risiko perusahaan mengeksekusi opsi-opsi tersebut (kami telah dimonitor-menilai keberadaan dan fungsi merancang dan melaksanakan kegiatan kontrol komponennya dari waktu ke waktu. Jenis untuk mengeruk strategi manajemen risiko)? kontrol hilir ini dapat dicapai melalui kegiatan 5. Bagaimana kita tahu bahwa kita telah pemantauan yang sedang berlangsung, menyelesaikan apa yang ingin kita capai evaluasi terpisah, atau kombinasi dari (apakah informasi ada untuk bukti keduanya. Pemantauan yang sedang keberhasilan, dan dapatkah kita memantau berlangsung umumnya akan terjadi dalam kinerja untuk memverifikasi keberhasilan itu)? kegiatan normal kegiatan manajemen sehari- hari Sifat, ruang lingkup, dan frekuensi Lima pertanyaan ini berlaku untuk lebih dari evaluasi terpisah akan tergantung terutama sekedar manajemen risiko di dunia bisnis. pada penilaian manajemen terhadap risiko Mereka dapat berlaku untuk hampir semua yang mendasarinya dan efektivitas prosedur tujuan atau kehidupan keputusan. Menjawab pemantauan yang sedang berlangsung saat ini. pertanyaan-pertanyaan ini menanamkan jenis Kekurangan yang dicatat dari kegiatan pemikiran dan disiplin berbasis manajemen pemantauan ini dilaporkan di hulu, dengan hal risiko yang selaras dengan COSO ERM dan yang paling serius dilaporkan kepada kerangka kerja manajemen risiko lainnya. manajemen senior dan dewan direksi. J David Dean dan Andrew E Griffin dalam Selain kegiatan pemantauan manajemen yang bukunya What’s Your Risk Appetite sedang berlangsung, individu lain mungkin menyebutkan risk appetite adalah jumlah dari terlibat dalam proses pemantauan. Misalnya, total risiko yang dihadap sebuah organisasi individu yang bertanggung jawab atas kinerja yang bisa diterima atau dipertahankan kegiatan utama dapat melakukan penilaian berdasarkan imbal hasilnya. Risk appetite juga sendiri untuk mengevaluasi efektivitas mencerminkan strategi, strategi risiko dan kegiatan manajemen risiko mereka. Auditor harapan pemangku kepentingan. Ditetapkan internal biasanya merupakan bagian dari dan disetujui oleh Dewan Direksi melalui sistem pemantauan keseluruhan, di mana hasil diskusi dengan manejemen. Sedangkan risk audit individu membantu menilai efektivitas tolerance adalah jumlah risiko yang ingin kegiatan manajemen risiko terkait. Dalam diambil sebuah organsiasi secara menyeluruh keadaan tertentu, pekerjaan yang dilakukan atau terkadang dalam unit bisnis tertentu atau oleh auditor luar independen juga dapat untuk kategori risiko yang spesifik. Risk mempengaruhi penilaian manajemen terhadap tolerance dinyatakan secara kuantitatif yang efektivitas manajemen risiko yang bisa dipantau dan sering dinyatakan dalam berkelanjutan. outcome atau level risiko yang bisa diterima atau tidak bisa diterima. Pada dasarnya, komponen ERM menyediakan konteks untuk menjawab beberapa pertanyaan umum sehari-hari yang meringkas masalah manajemen risiko (sebagaimana terkait dengan kerangka kerja ERM): 1. Apa yang ingin kita capai (apa tujuan kita)? 2. Apa yang bisa menghentikan kita dari mencapainya (apa risikonya, seburuk apa mereka, dan seberapa besar kemungkinan itu terjadi)?