BAB 4

MANAJEMEN RISIKO

Tujuan Pembelajaran
• Menentukan risiko dan manajemen risiko perusahaan.
• Diskusikan berbagai dimensi Komite Organisasi Sponsoring dari Manajemen Risiko Perusahaan Komisi
Treadway - Kerangka Kerja Terintegrasi.
• Diskusikan berbagai dimensi ISO 31000: 2009 (E): Manajemen risiko - Prinsip dan panduan.
• Mengartikulasikan hubungan antara tata kelola dan manajemen risiko perusahaan.
• Jelaskan peran yang berbeda yang dapat dimainkan fungsi audit internal dalam manajemen risiko
perusahaan.
• Mengevaluasi dampak manajemen risiko perusahaan pada kegiatan audit internal.

Hidup ini penuh dengan ketidakpastian. Jika Anda berhenti memikirkannya, ada banyak kegiatan sehari-hari
yang tidak Anda ketahui hasilnya akan terjadi di muka. Bagaimana Anda menghadapi ketidakpastian itu
menentukan kesuksesan apa yang akan Anda miliki dalam hidup. Mengoperasikan bisnis tidak berbeda.
Organisasi menghadapi ketidakpastian dalam semua aspek dalam menjalankan bisnis, dan keberhasilan mereka
bergantung pada seberapa baik mereka mengelola ketidakpastian tersebut.

Audit internal dapat menjadi faktor pendorong utama untuk itu Merujuk kembali ke pameran 3-2 dalam bab 3,
"Tata Kelola." Manajemen risiko digambarkan sebagai lapisan tengah dalam struktur tata kelola. Manajemen
risiko dimaksudkan untuk (1) mengidentifikasi dan memitigasi risiko yang dapat mempengaruhi keberhasilan
organisasi, dan (2) memanfaatkan peluang yang memungkinkan keberhasilan itu. Manajemen mengembangkan
strategi mengenai cara terbaik mengelola risiko dan peluang utama. Kegiatan manajemen risiko harus
beroperasi dalam arah keseluruhan struktur tata kelola.

Serupa dengan pembahasan tata kelola di bab 3, bab ini menjelaskan manajemen risiko secara terperinci,
membahas elemen-elemen dan prinsip-prinsip manajemen risiko utama, serta berbagai peran dan tanggung
jawab. Ilustrasi lain akan diberikan untuk menggambarkan, secara lebih rinci, bagaimana seseorang dapat
membayangkan elemen-elemen kunci manajemen risiko.

Bab ini diakhiri dengan diskusi tentang bagaimana fungsi audit internal dapat memainkan peran integral dalam
manajemen risiko. Peran spesifik dari internal miliki pada fungsi audit dibahas, seperti dampak manajemen
risiko dapat rencana audit internal.

Sebelum memulai diskusi tentang manajemen risiko, penting untuk memahami mengapa bidang ini sering
menjadi topik diskusi di dunia bisnis. Banyak organisasi telah menemukan bahwa menerapkan manajemen
risiko yang efektif lebih sulit daripada yang dipikirkan sebelumnya. Namun, ada semakin banyak alasan bagi
organisasi untuk membangun kemampuan yang kuat di bidang ini. Selain peran manajemen risiko dalam
memungkinkan keberhasilan, lembaga pemeringkat di Amerika Serikat kini lebih banyak berfokus pada
manajemen risiko dalam evaluasi peringkat mereka. Layanan Investor Moody menggabungkan tata kelola ke
dalam peringkatnya dan mempertimbangkan manajemen risiko juga. Standard & Poor's mengevaluasi
komponen manajemen risiko tertentu dengan maksud untuk memasukkannya secara formal ke dalam
peringkatnya di masa depan. Ini adalah contoh mengapa sangat penting bagi organisasi untuk menerapkan
struktur manajemen risiko yang tepat.

PAMERAN 4-1 PANDUAN IPPF YANG RELEVAN KE BAB 4

Standar 2010 - Perencanaan
Standar 2100 - Sifat dari Pekerjaan
Standar 2120 - Manajemen Risiko
Penasihat Praktik 2010-1: Menghubungkan Rencana Audit dengan Risiko dan paparan
Penasihat Praktik 2120-1: Menilai Kecukupan Proses Manajemen Risiko
Penasihat Praktik 2210.A1-1: Penilaian risiko dalam Perencanaan Keterlibatan
Panduan Praktik : Menilai Kecukupan Manajemen Risiko
Panduan Praktik : Mengkoordinasikan manajemen dan jaminan risiko

GAMBARAN UMUM MANAJEMEN RISIKO

Sejarah Singkat Risiko

Manajemen risiko bukanlah fenomena baru atau cara baru dalam mendekati manajemen bisnis. Peter L.
Bernstein memberikan sejarah risiko yang luas dalam Against the Gods: The Remarkable Story of Risk.
Bukunya menguraikan penerimaan dan pemahaman risiko yang berkembang selama berabad-abad. Misalnya

• Perjudian telah didokumentasikan beberapa abad yang lalu ke peradaban Yunani dan Mesir awal serta
dalam Alkitab (misalnya, tentara Pontius Pilatus membuang undi untuk jubah Kristus ketika ia menderita di
kayu salib). Sementara permainan kebetulan telah umum sepanjang sejarah, teori probabilitas tidak
ditemukan sampai periode Renaissance pada pertengahan abad ketujuh belas. Setelah penemuan itu, teori
probabilitas berkembang dari latihan matematika untuk menjelaskan hasil dalam permainan kesempatan
menjadi alat utama yang digunakan dalam dunia bisnis untuk mendukung pengambilan keputusan.

• Pedagang Cina dan Babilonia memperlihatkan praktik-praktik pemindahan dan distribusi risiko sama
parahnya dengan abad ketiga dan kedua SM. Orang-orang Yunani dan Romawi memperkenalkan bentuk-
bentuk awal asuransi kesehatan dan jiwa sekitar tahun 600 M. Menjelang akhir abad ketujuh belas, semakin
pentingnya London sebagai pusat perdagangan menyebabkan meningkatnya permintaan untuk asuransi laut.
Pada akhir 1680-an, Edward Lloyd membuka kedai kopi yang menjadi tempat populer bagi para pemilik
kapal, pedagang, dan kapten kapal, dan dengan demikian menjadi sumber terpercaya berita pengiriman
terbaru. Itu menjadi tempat pertemuan bagi pihak-pihak yang ingin mengasuransikan kargo dan kapal, dan
mereka yang bersedia untuk menanggung risiko tersebut. Saat ini, Lloyd's of London tetap menjadi salah
satu perusahaan asuransi khusus terkemuka di dunia.

• Mirip dengan bisnis asuransi, bank dan lembaga keuangan lainnya telah menghadapi risiko dalam semua
aspek bisnis mereka selama bertahun-tahun. Tepian pertama mungkin adalah kuil keagamaan dunia kuno.
Ada catatan pinjaman dari abad kedelapan belas SM. di Babel yang dibuat oleh imam kuil untuk pedagang.
Kerajaan Yunani dan Romawi membantu mengembangkan praktik perbankan di sekitar pinjaman, deposito,
dan pertukaran mata uang. Bank menggunakan konsep risiko untuk menentukan tingkat yang dapat mereka
bebankan untuk pinjaman berdasarkan biaya dana mereka sendiri dan probabilitas gagal bayar. Lembaga
keuangan juga telah mengembangkan instrumen keuangan, seperti opsi, swap, dan instrumen derivatif,
peristiwa masa depan. yang menciptakan nilai berdasarkan probabilitas yang tidak pasti.

Definisi Risiko

Kata risiko bahasa Inggris berasal dari kata Italia "risicare," yang berarti "berani: pilihan dalam kondisi yang
tidak pasti (daripada nasib). Kunci definisi ini adalah pengertian ketidakpastian. Memperluas definisi itu,
Komite Organisasi Sponsoring Komisi Treadway (COSO) mendefinisikan risiko sebagai "... kemungkinan
bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian suatu sasaran." Dan Organisasi Internasional
untuk Standardisasi (berbasis di Swiss dan disingkat berdasarkan ISO pada terjemahan Perancis) dengan sangat
sederhana mendefinisikan risiko sebagai "efek ketidakpastian pada tujuan."

Tertanam dalam definisi risiko COSO dan ISO adalah kunci tertentu, poin mendasar yang harus dipahami
sebelum melanjutkan ke konsep manajemen risiko:

• Risiko dimulai dengan perumusan strategi dan penetapan tujuan. Suatu organisasi dalam bisnis untuk
mencapai strategi dan tujuan tertentu, dan risiko merupakan hambatan untuk berhasil y mencapai tujuan-
 tujuan tersebut. Karena itu, karena setiap organisasi memiliki strategi dan tujuan yang agak berbeda,
mereka juga akan menghadapi berbagai jenis risiko.

• Risiko tidak mewakili estimasi titik tunggal (misalnya, hasil yang paling mungkin). Sebaliknya, itu
mewakili berbagai hasil yang mungkin. Karena banyak hasil yang berbeda dimungkinkan, konsep rentang
adalah yang menciptakan ketidakpastian ketika memahami dan mengevaluasi risiko.

• Risiko dapat terkait dengan mencegah hal-hal buruk terjadi (mitigasi risiko), atau gagal memastikan hal-hal
baik terjadi (yaitu, mengeksploitasi atau mengejar peluang). Kebanyakan orang fokus pada pencegahan
hasil yang buruk-misalnya, bahaya yang perlu dikurangi atau dihilangkan. Sementara banyak risiko, pada
kenyataannya, menghadirkan ancaman bagi organisasi, kegagalan untuk mencapai hasil positif juga dapat
menciptakan penghalang untuk pencapaian tujuan dan juga risiko.

• Risiko melekat dalam semua aspek kehidupan - yaitu, di mana pun ketidakpastian ada, satu risiko atau lebih
ada. Contoh-contoh yang diberikan di sebelumnya bagian tentang sejarah risiko menggambarkan
bagaimana pemahaman risiko telah berkembang. Risiko-risiko yang secara khusus terkait dengan
organisasi yang melakukan bentuk bisnis biasanya disebut sebagai risiko bisnis. Ini dapat dipikirkan dalam
istilah yang cukup sederhana: ketidakpastian mengenai ancaman terhadap pencapaian tujuan bisnis
dianggap sebagai risiko bisnis.

Menggunakan deskripsi risiko ini, menjadi jelas bahwa ada sejumlah besar risiko yang dihadapi organisasi
ketika mereka mencoba untuk mengeksekusi strategi mereka dan mencapai tujuan mereka. Kepanjangan ini
bisa agak luar biasa, yang membawa penghargaan yang lebih besar untuk kebutuhan untuk memiliki proses
untuk secara efektif memahami dan mengelola risiko di seluruh organisasi. Kebutuhan ini dapat diatasi melalui
manajemen risiko perusahaan (ERM).

KERANGKA KERJA COSO ERM

Di Amerika Serikat, COSO menerbitkan Kerangka Kerja Terpadu Manajemen Risiko Perusahaan (COSO ERM,
atau kerangka kerja ERM) pada tahun 2004. COSO mengidentifikasi kebutuhan akan kerangka kerja yang kuat
untuk membantu perusahaan secara efektif mengidentifikasi penilaian, dan mengelola risiko. Kerangka kerja
yang dihasilkan diperluas pada Kerangka Kerja Terpadu Pengendalian Internal yang dikeluarkan sebelumnya,
menggabungkan semua aspek kunci dari kerangka kerja itu dalam kerangka kerja ERM yang lebih luas.

COSO mendefinisikan ERM sebagai:

Sebuah proses, yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya, diterapkan dalam
penetapan strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang
dapat memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risiko, untuk memberikan jaminan
yang wajar mengenai pencapaian tujuan entitas.

COSO menjelaskan bahwa definisi ini mencerminkan konsep dasar tertentu. ERM adalah:
• Suatu proses yang sedang berlangsung dan mengalir di seluruh organisasi.
• Dipengaruhi oleh orang-orang (yaitu, karyawan) di setiap tingkat organisasi.
• Diterapkan saat menetapkan strategi organisasi.
• Diterapkan di seluruh organisasi, di setiap level dan unit.
• Berfokus pada pandangan risiko portofolio tingkat entitas.
• Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan memengaruhi organisasi.
• Sarana untuk memungkinkan manajemen risiko dalam selera risiko organisasi.
• Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi organisasi.
• Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah namun tumpang tindih.

Kerangka kerja ERM secara grafis digambarkan sebagai matriks tiga dimensi, dalam bentuk kubus, dibuat
ulang dalam pameran 4-2. Penggambaran ini menunjukkan hubungan antara jenis tujuan (kolom vertikal di
bagian atas kubus), komponen ERM (baris horizontal), dan struktur bisnis organisasi (sisi kubus). Ini
menggambarkan kemampuan untuk fokus pada keseluruhan ERM organisasi, atau berdasarkan jenis objektif,
komponen, unit organisasi, atau setiap bagian daripadanya.

Jenis-Jenis Tujuan

Ketika suatu organisasi menetapkan misi dan visinya, manajemen juga menetapkan berbagai tujuan yang
mendukung misi tersebut dan diselaraskan dan mengalir di seluruh organisasi. Sebagaimana dibahas dalam bab
1, "Pengantar Audit Internal," kerangka kerja ERM diarahkan untuk mencapai tujuan organisasi dalam empat
pilihan berikut:
• Tujuan strategis. Sasaran tingkat tinggi yang selaras dan mendukung misi organisasi.
• Tujuan operasi. Tujuan luas yang mempromosikan penggunaan sumber daya secara efektif dan efisien.
• Tujuan pelaporan. Sasaran yang berfokus pada keandalan pelaporan (baik eksternal maupun internal).
• Tujuan kepatuhan. Tujuan menegakkan kepatuhan dengan hukum dan peraturan yang berlaku.

Kategorisasi tujuan organisasi ini mendukung fokus pada aspek ERM yang terpisah tetapi sama pentingnya.
Kategori tujuan yang berbeda namun tumpang tindih ini - tujuan tertentu dapat jatuh ke dalam lebih dari satu
kategori - menangani kebutuhan organisasi yang berbeda dan mungkin berada di bawah tanggung jawab
langsung dari anggota yang berbeda dari manajer senior.

COSO menyatakan hal berikut tentang pencapaian tujuan: "Karena tujuan yang berkaitan dengan keandalan
pelaporan dan kepatuhan terhadap undang-undang dan peraturan berada dalam kendali entitas, manajemen
risiko perusahaan dapat diharapkan untuk memberikan jaminan yang wajar untuk mencapai tujuan tersebut,
Pencapaian tujuan strategis dan tujuan operasi, bagaimanapun, tunduk pada kejadian eksternal yang tidak
selalu berada dalam kendali entitas; oleh karena itu, untuk tujuan ini, [ERM] dapat memberikan kepastian yang
masuk akal dan dewan dalam peran pengawasannya, disadarkan, secara tepat waktu. , sejauh mana entitas
bergerak menuju pencapaian tujuan. " manajemen,

Komponen ERM

COSO ERM terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan
perusahaan dan terintegrasi dengan proses manajemen. Komponen-komponen ini adalah:

1. Lingkungan internal.

“Manajemen menetapkan filosofi tentang risiko dan menetapkan selera risiko. Lingkungan internal mencakup
nada organisasi, dan menetapkan dasar bagaimana risiko dan kontrol dilihat dan ditangani oleh orang-orang
entitas. Inti dari bisnis apa pun adalah orang-orangnya — atribut individualnya, termasuk integritas, nilai-nilai
etika, dan kompetensi — dan lingkungan tempat mereka beroperasi. "

COSO selanjutnya menyatakan bahwa "Lingkungan internal adalah dasar untuk semua komponen ERM
lainnya, memberikan disiplin dan struktur. Ini mempengaruhi bagaimana strategi dan tujuan ditetapkan,
kegiatan bisnis disusun, dan risiko diidentifikasi, dinilai, dan ditindaklanjuti. Ini juga mempengaruhi desain
dan fungsi kegiatan kontrol, sistem informasi dan komunikasi, dan kegiatan pemantauan. "

Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Ini terdiri dari banyak elemen, termasuk
yang berikut, yang dibahas COSO secara lebih rinci:
- Filosofi manajemen risiko, yang mewakili seperangkat kepercayaan dan sikap bersama yang menjadi ciri
bagaimana organisasi mempertimbangkan risiko dalam segala hal yang dilakukannya.
- Risk appetite, yang mewakili jumlah risiko, pada tingkat yang luas, organisasi bersedia menerima.
- Dewan direksi, yang menyediakan struktur, pengalaman, independensi, dan peran pengawasan yang
dimainkan oleh badan pengatur utama organisasi.
- Integritas dan nilai-nilai etika, yang mencerminkan preferensi, standar perilaku, dan gaya.
- Komitmen terhadap kompetensi, termasuk pengetahuan dan keterampilan yang dibutuhkan untuk
melakukan tugas yang ditugaskan.
- Struktur organisasi, sebagaimana dicirikan oleh kerangka kerja untuk merencanakan, melaksanakan,
mengendalikan, dan memantau kegiatan.
- Penugasan wewenang dan tanggung jawab, yang mencerminkan sejauh mana individu dan tim diberi
wewenang dan didorong untuk menggunakan inisiatif untuk mengatasi masalah dan menyelesaikan
masalah, serta batasan untuk otoritas mereka.
- Standar sumber daya manusia, terdiri dari praktik-praktik yang berkaitan dengan perekrutan, orientasi,
pelatihan, evaluasi, konseling, promosi, kompensasi, dan mengambil tindakan perbaikan.

2. Pengaturan obyektif.

"Tujuan ditetapkan pada tingkat strategis, menetapkan dasar untuk tujuan operasi, pelaporan, dan kepatuhan.
Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan prasyarat untuk identifikasi
peristiwa, penilaian risiko, dan respons risiko yang efektif telah ditetapkan. tujuan. ""

Tujuan harus diselaraskan dengan selera risiko organisasi, yang mendorong tingkat toleransi risiko bagi
organisasi. Toleransi risiko adalah tingkat ukuran dan variasi yang dapat diterima relatif terhadap pencapaian
tujuan, dan harus sesuai dengan selera risiko organisasi.

3. Identifikasi peristiwa.

"Manajemen mengidentifikasi peristiwa potensial yang, jika terjadi, akan mempengaruhi entitas, dan
menentukan apakah peristiwa-peristiwa ini mewakili peluang atau apakah mereka dapat mempengaruhi
kemampuan entitas untuk berhasil mengimplementasikan strategi dan mencapai tujuan. Peristiwa dengan
dampak negatif merupakan risiko, yang memerlukan penilaian dan respons manajemen. Peristiwa dengan
dampak positif mewakili peluang, yang disalurkan manajemen kembali ke strategi dan proses penetapan tujuan.
Ketika mengidentifikasi peristiwa, manajemen mempertimbangkan berbagai faktor internal dan eksternal yang
dapat menimbulkan risiko dan peluang, dalam konteks ruang lingkup risiko penuh organisasi.

COSO mengutip faktor-faktor eksternal, bersama dengan contoh peristiwa terkait, termasuk:
- Peristiwa ekonomi, seperti pergerakan harga, ketersediaan modal, atau hambatan yang lebih rendah untuk
memasuki persaingan.
- Peristiwa lingkungan alami, seperti banjir, kebakaran, carthquake, atau peristiwa yang berhubungan dengan
cuaca.
- Acara politik, seperti pemilihan pejabat pemerintah dengan agenda politik baru, atau diberlakukannya
undang-undang dan peraturan baru. .
- Peristiwa sosial, seperti perubahan demografi, adat istiadat sosial, struktur keluarga, atau prioritas pekerjaan
/ kehidupan.
- Acara teknologi, seperti cara baru perdagangan elektronik, penyimpanan, atau pemrosesan. "
- COSO juga mengutip faktor internal, bersama dengan contoh peristiwa terkait, termasuk:.
- Faktor infrastruktur, seperti meningkatkan alokasi modal untuk pemeliharaan preventif atau dukungan call
center.
- Faktor personalia, seperti kecelakaan di tempat kerja, aktivitas penipuan, atau berakhirnya perjanjian kerja
- Faktor proses, seperti modifikasi proses, kesalahan eksekusi proses, atau keputusan outsourcing.
- Faktor teknologi, seperti meningkatkan sumber daya untuk menangani volatilitas volume, pelanggaran
keamanan, atau sistem downtime.

4. Tugas beresiko.

"Penilaian risiko memungkinkan suatu entitas untuk mempertimbangkan sejauh mana peristiwa potensial
berdampak pada pencapaian tujuan. Manajemen menilai peristiwa dari dua perspektif - kemungkinan dan
dampak - dan biasanya menggunakan kombinasi kualitatif dan Kuantitatif metode. Dampak positif dan negatif
dari peristiwa potensial harus diperiksa, secara individu atau berdasarkan kategori, di seluruh entitas. Risiko
dinilai berdasarkan inheren dan residual.

"Secara sederhana, risiko inheren mewakili risiko" kotor "sedangkan risiko residual adalah risiko" bersih ".
Risiko inheren adalah risiko bagi organisasi tanpa adanya tindakan yang mungkin dilakukan manajemen
mengambil untuk mengubah kemungkinan risiko atau dampaknya.Risiko ini mungkin melekat dalam model
bisnis organisasi atau kembali ke keputusan yang diambil manajemen mengenai cara mengoperasikan dan
menjalankan model bisnis tersebut.Resiko residual adalah risiko yang tetap setelah respons manajemen
terhadap risiko (misalnya, untuk mengurangi atau mentransfer risiko). Penilaian risiko harus diterapkan
pertama kali pada risiko yang melekat. Setelah respons risiko dikembangkan, manajemen kemudian
mempertimbangkan risiko residual.

Ada banyak cara berbeda untuk menilai dampak dan kemungkinan risiko, mulai dari memperoleh penilaian
dan perspektif individu secara keseluruhan, hingga membuat tolok ukur terhadap perusahaan lain, hingga
menjalankan model-model probabilitas yang canggih. Dalam opsi mana, atau kombinasi opsi, digunakan,
penting bahwa penilaian mempertimbangkan hubungan antara risiko. Artinya, dampak kasus terburuk yang
realistis dan kemungkinan peristiwa risiko mungkin tergantung pada bagaimana kombinasi risiko saling terkait.
Menilai risiko cach sendiri dapat mengabaikan skenario terburuk yang realistis yang perlu dipertimbangkan
organisasi.

Respon risiko. "Setelah menilai risiko yang relevan, manajemen menentukan bagaimana hal itu akan
merespons. Tanggapan mencakup penghindaran risiko, pengurangan, pembagian, dan penerimaan. Dalam
mempertimbangkan tanggapannya, manajemen menilai dampak pada kemungkinan dan dampak risiko, serta
biaya dan manfaat, memilih respons yang membawa risiko residual dalam toleransi risiko yang diinginkan.
Manajemen mengidentifikasi setiap peluang yang mungkin tersedia, dan mengambil pandangan seluruh entitas,
atau portofolio, risiko, menentukan apakah risiko residual secara keseluruhan berada dalam selera risiko entitas.

Sebagaimana ditunjukkan, respons risiko berada dalam empat kategori, yang didefinisikan COSO sebagai:
- Penghindaran. Keluar atau melepaskan aktivitas yang menimbulkan risiko. Penghindaran risiko dapat
melibatkan keluar dari lini produk, penurunan ekspansi ke pasar geografis baru, atau penjualan divisi. .
- Pengurangan. Tindakan diambil untuk mengurangi kemungkinan risiko atau dampak, atau keduanya. Ini
biasanya melibatkan banyak sekali keputusan bisnis sehari-hari [seperti menerapkan kontrol]. .
- Berbagi. Mengurangi kemungkinan risiko atau dampak dengan mentransfer atau membagi sebagian risiko.
Teknik umum termasuk membeli produk asuransi, terlibat dalam transaksi lindung nilai, atau outsourcing
kegiatan.
- Penerimaan. Tidak ada tindakan yang diambil untuk memengaruhi kemungkinan atau dampak risiko.
Akibatnya, organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya
berharga yang menyebarkan salah satu opsi respons risk lainnya. "

Penting untuk mempertimbangkan portofolio, atau agregat, efek dari respons rick. Dalam beberapa kasus,
respons risiko tertentu mungkin tidak tampak sebagai respons terbaik atau paling hemat biaya untuk risiko
tertentu. Namun, jika respons risiko itu membantu mengelola risiko lain, manfaat bagi organisasi dapat
membenarkan pemilihan opsi tertentu itu. Dengan melihat risiko dari perspektif portofolio, manajemen dapat
memastikan bahwa risiko dikelola secara optimal dalam selera risiko yang ditetapkan organisasi.

5. Mengontrol kegiatan.

"Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa respons risiko
manajemen dilakukan. Kegiatan pengendalian terjadi di seluruh organisasi, di semua tingkatan dan di semua
fungsi."

Sementara kegiatan kontrol paling sering dikaitkan dengan strategi pengurangan risiko, kegiatan kontrol
tertentu juga mungkin diperlukan ketika mengeksekusi salah satu respons risiko lainnya, Mereka
diklasifikasikan dalam berbagai cara dan mencakup berbagai kegiatan yang dapat bersifat preventif atau
detektif, manual atau otomatis, dan pada tingkat proses atau manajemen. tingkat ment. Lihat bab 6, "Kontrol
Internal," untuk diskusi lebih lanjut tentang berbagai jenis kontrol. Berikut ini adalah beberapa contoh kegiatan
kontrol yang biasa digunakan yang disediakan oleh COSO:

- Ulasan tingkat atas adalah kontrol yang biasanya dijalankan pada tingkat entitas, seperti kinerja terhadap
ulasan hudget, perkiraan terkini, pemantauan tindakan pesaing, atau inisiatif penahanan biaya.

- Manajemen fungsional atau aktivitas langsung adalah kontrol yang dijalankan oleh manajer yang
menjalankan penghitungan atau kegiatan khusus, seperti meninjau laporan kinerja untuk area tersebut atau
mengawasi pelaksanaan kontrol level terperinci (untuk esainple, rekonsiliasi).

- Kontrol pemrosesan informasi dirancang untuk memeriksa keakuratan, kelengkapan, dan otorisasi transaksi.
Selain itu, area ini mencakup kontrol infrastruktur umum, seperti keamanan fisik dan logis; kontrol atas
implementasi sistem, peningkatan, atau modifikasi; pemulihan bencana; dan kontrol operasi sistem.

- Kontrol fisik meliputi (1) penghitungan fisik uang tunai, sekuritas, inventaris, peralatan, atau aset tetap
lainnya, dan membandingkan penghitungan tersebut dengan jumlah yang dicatat dalam pembukuan dan
catatan, dan (2) penghalang atau pembatasan fisik seperti pagar dan kunci.

- Indikator kinerja mencakup menganalisis dan menindaklanjuti penyimpangan dari norma kinerja yang
diharapkan atau ditargetkan.

- Pemisahan tugas melibatkan pemisahan tugas orang yang berbeda untuk mengurangi risiko kesalahan atau
penipuan. Misalnya, individu yang membuat vendor baru dalam sistem seharusnya tidak dapat
mengotorisasi transaksi untuk membayar vendor itu. "

6. Informasi dan Komunikasi.

"Informasi penting diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan kerangka waktu yang
memungkinkan orang untuk melaksanakan tanggung jawab mereka." IS Informasi harus dalam kedalaman yang
cukup konsisten dengan kebutuhan organisasi untuk mengidentifikasi, menilai, dan menanggapi risiko, dan
tetap dalam berbagai tingkat toleransi risiko. Sistem informasi memproses data yang dihasilkan secara internal
dan eksternal menjadi informasi yang berguna untuk mengelola risiko. Akhirnya, informasi harus memiliki
kualitas yang cukup untuk mendukung pengambilan keputusan. COSO mencatat bahwa informasi harus:

- Sesuai dan pada tingkat rincian yang tepat.

- Tepat waktu dan tersedia saat dibutuhkan.
- Saat ini, mencerminkan informasi keuangan atau operasional terbaru..
- Akurat dan dapat diandalkan.
- Dapat diakses oleh mereka yang membutuhkannya.

COSO selanjutnya menyatakan, "Komunikasi yang efektif juga terjadi, mengalir turun, melintasi, dan naik ke
organisasi. Semua personil menerima pesan yang jelas dari manajemen puncak bahwa tanggung jawab [ERM]
harus ditanggapi dengan serius. Mereka memahami peran mereka sendiri dalam [ERM] , serta bagaimana
aktivitas individu terkait dengan pekerjaan orang lain. Mereka harus memiliki sarana untuk
mengkomunikasikan informasi penting di hulu. Ada juga komunikasi yang efektif dengan pihak eksternal,
seperti pelanggan, pemasok, regulator, dan pemegang saham. "

Ada banyak bentuk komunikasi yang berbeda, seperti manual kebijakan, memorandum, email, situs internet
dan intranet, pemberitahuan papan pengumuman, dan pesan video. Ketika pesan dikirim secara lisan, nada
suara dan bahasa tubuh dapat memengaruhi bagaimana pesan diinterpretasikan. •

7. Pemantauan.

"Manajemen risiko perusahaan dimonitor-menilai keberadaan dan fungsi komponennya dari waktu ke waktu."
Jenis kontrol hilir ini dapat dicapai melalui kegiatan pemantauan yang sedang berlangsung, evaluasi terpisah,
atau kombinasi keduanya. Pemantauan yang sedang berlangsung umumnya akan terjadi dalam kegiatan normal
kegiatan manajemen sehari-hari. Sifat, ruang lingkup, dan frekuensi evaluasi akan tergantung terutama pada
penilaian manajemen terhadap risiko yang mendasarinya dan efektivitas prosedur pemantauan yang sedang
berlangsung saat ini. Kekurangan yang dicatat dari kegiatan pemantauan ini dilaporkan di hulu, dengan hal
yang paling serius dilaporkan kepada manajemen senior dan dewan. terpisah

Selain kegiatan pemantauan manajemen yang sedang berlangsung, individu lain mungkin terlibat dalam proses
pemantauan. Misalnya, individu yang bertanggung jawab atas kinerja kegiatan utama dapat melakukan
penilaian sendiri untuk mengevaluasi efektivitas kegiatan manajemen risiko mereka. Auditor internal biasanya
merupakan bagian dari sistem pemantauan keseluruhan, di mana hasil audit individu membantu menilai
efektivitas kegiatan manajemen risiko terkait. Dalam keadaan tertentu, pekerjaan yang dilakukan oleh auditor
luar independen juga dapat mempengaruhi penilaian manajemen terhadap efektivitas manajemen risiko yang
berkelanjutan.

Pada dasarnya, komponen ERM menyediakan konteks untuk menjawab beberapa pertanyaan umum sehari-hari
yang merangkum pemikiran manajemen risiko (terkait dengan kerangka kerja ERM):

1) Apa yang ingin kita capai (apa tujuan kita)?

2) Apa yang bisa menghentikan kita dari mencapainya (apa risikonya, seburuk apa mereka, dan seberapa
besar kemungkinan itu terjadi)?
3) Pilihan apa yang kita miliki untuk memastikan hal-hal itu tidak terjadi (apa strategi manajemen risiko,
yaitu, tanggapan)?
4) Apakah kita memiliki kemampuan untuk mengeluarkan opsi-opsi tersebut (sudahkah kita merancang
dan melaksanakan kegiatan kontrol untuk melaksanakan strategi manajemen risiko?
5) Bagaimana kita tahu bahwa kita telah mencapai apa yang ingin kita capai (apakah informasi itu ada
untuk bukti keberhasilan) , dan bisakah kita memantau kinerja untuk memverifikasi kesuksesan itu?

Lima pertanyaan ini berlaku untuk lebih dari sekedar manajemen risiko di dunia bisnis. Mereka dapat berlaku
untuk hampir semua tujuan atau keputusan dalam hidup. Menjawab pertanyaan-pertanyaan ini menanamkan
jenis pemikiran dan disiplin berbasis manajemen risiko yang selaras dengan COSO ERM dan kerangka kerja
manajemen risiko lainnya.

Peran dan Tanggung Jawab ERM

Dewan direksi, manajemen, petugas risiko, petugas keuangan, auditor internal, dan, tentu saja, setiap individu
dalam suatu organisasi berkontribusi terhadap ERM yang efektif. Peran dan tanggung jawab masing-masing
kelompok ini selaras dengan yang dibahas dalam Bab 3, "Tata Kelola,"

1. Dewan Direksi.

Dewan memberikan pengawasan dan arahan kepada manajemen organisasi. Dewan dapat memainkan peran
dalam pengaturan strategi. merumuskan tujuan tingkat tinggi, alokasi sumber daya berbasis luas, dan
membentuk lingkungan etis. COSO menunjukkan bahwa dewan memberikan pengawasan berkenaan dengan
ERM dengan:

- Mengetahui sejauh mana manajemen telah menetapkan ERM yang efektif dalam suatu organisasi.
- Menyadari dan menyetujui selera risiko organisasi.
- Meninjau pandangan portofolio organisasi tentang risiko dan mempertimbangkannya terhadap selera risiko
organisasi,.
- Telah mengetahui risiko yang paling signifikan dan apakah manajemen merespons dengan tepat.

"Dewan juga merupakan bagian dari komponen lingkungan internal ERM dan harus memiliki komposisi yang
diperlukan dan fokus agar ERM menjadi efektif. Ini membantu untuk menentukan konteks ERM dan
memberikan saran dan menyetujui kriteria risiko utama untuk organisasi tersebut.Biasanya, dewan akan
melaksanakan tanggung jawabnya melalui berbagai komite, seperti komite audit dan nominatung dan komite
tata kelola.

2. Manajemen.

Manajemen bertanggung jawab atas semua kegiatan organisasi, termasuk ERM. Namun, tanggung jawab ini
akan bervariasi, tergantung pada level dalam organisasi dan karakteristik organisasi.

CEO pada akhirnya bertanggung jawab atas efektivitas dan keberhasilan ERM. Salah satu aspek terpenting dari
tanggung jawab ini adalah memastikan adanya lingkungan internal yang positif. CEO menetapkan nada di atas,
memengaruhi komposisi dan perilaku dewan, memberikan kepemimpinan dan arahan kepada manajer senior,
dan memantau aktivitas risiko keseluruhan organisasi terkait dengan selera risiko dan kriteria risiko lainnya,
seperti kapasitas risiko dan risiko tingkat toleransi. Ketika situasi yang berkembang, risiko yang muncul,
implementasi strategi, atau tindakan yang diantisipasi menunjukkan potensi ketidakselarasan dengan kriteria
risiko, ČEO mengambil tindakan yang diperlukan untuk membangun kembali penyelarasan.

Manajer senior yang bertanggung jawab atas berbagai unit organisasi memiliki tanggung jawab untuk
mengelola risiko yang terkait dengan tujuan unit spesifik mereka. Mereka mengubah strategi keseluruhan
organisasi menjadi kegiatan operasi yang sedang berlangsung, mengidentifikasi peristiwa risiko potensial,
menilai risiko terkait, dan menerapkan perawatan untuk mengelola risiko tersebut. Manajer memandu
penerapan komponen ERM organisasi relatif terhadap dan dalam lingkup tanggung jawab mereka, memastikan
penerapan komponen tersebut konsisten dengan toleransi risiko terkait. Mereka menugaskan tanggung jawab
untuk prosedur ERM spesifik untuk mengelola proses fungsional. Akibatnya, para manajer ini biasanya
memainkan peran yang lebih aktif dalam merancang dan melaksanakan prosedur risiko tertentu yang
membahas tujuan unit, seperti teknik untuk identifikasi peristiwa dan penilaian risiko, dan dalam menentukan
perawatan risiko tertentu (yaitu, strategi manajemen risiko), misalnya, mengembangkan kebijakan dan
prosedur untuk membeli barang atau menerima pelanggan baru.
Fungsi staf, seperti akuntansi, sumber daya manusia, kepatuhan, atau hukum, juga memiliki peran pendukung
penting dalam merancang dan melaksanakan praktik ERM yang efektif. Fungsi-fungsi ini dapat merancang dan
mengimplementasikan program yang membantu mengelola risiko utama tertentu di seluruh organisasi. •

3. Petugas risiko.

Beberapa organisasi telah menetapkan posisi manajemen senior yang terpisah untuk bertindak sebagai titik
koordinasi terpusat untuk memfasilitasi ERM. Seorang petugas risiko - disebut dalam banyak organisasi
sebagai chief risk officer (CRO) - biasanya beroperasi dalam fungsi staf, bekerja. dengan manajer lain dalam
membangun ERM di bidang tanggung jawab mereka. Petugas risiko memiliki sumber daya untuk membantu
mempengaruhi ERM di seluruh anak perusahaan, bisnis, departemen, fungsi, dan aktivitas. Individu ini
mungkin memiliki tanggung jawab untuk memantau kemajuan manajemen risiko dan membantu manajer lain
dalam melaporkan informasi risiko yang relevan ke atas, ke bawah, dan di seluruh organisasi.

COSO menguraikan tanggung jawab spesifik CRO berikut ini:

- Menetapkan kebijakan [ERM], termasuk mendefinisikan peran dan tanggung jawab dan berpartisipasi
dalam menetapkan tujuan untuk implementasi.
- Membingkai wewenang dan akuntabilitas untuk (ERM) di unit bisnis
- Mempromosikan kompetensi [ERM] di seluruh entitas, termasuk memfasilitasi pengembangan keahlian
teknis [ERM] dan membantu manajer menyelaraskan respons risiko dengan toleransi risiko entitas dan
mengembangkan kontrol yang tepat.
- integrasi (ERM) dengan kegiatan perencanaan dan manajemen bisnis lainnya ...
- Menetapkan bahasa manajemen risiko bersama yang mencakup langkah-langkah seputar kemungkinan dan
dampak, dan kategori risiko umum
- Memfasilitasi pengembangan protokol pelaporan oleh manajer, termasuk ambang kuantitatif dan kualitatif,
serta pemantauan proses pelaporan.
- Melaporkan kepada kepala eksekutif tentang kemajuan dan outlier dan merekomendasikan tindakan yang
diperlukan. "

4. Eksekutif keuangan.

Eksekutif keuangan dan akuntansi dan staf mereka bertanggung jawab atas kegiatan yang melintasi organisasi.
Para eksekutif ini sering terlibat dalam pengembangan organisasi di seluruh anggaran dan rencana, dan
pelacakan dan menganalisis kinerja dari perspektif operasi, kepatuhan, dan pelaporan. Mereka memainkan
peran penting dalam mencegah dan mendeteksi pelaporan penipuan, dan memengaruhi desain, implementasi,
dan pemantauan kontrol internal organisasi atas pelaporan keuangan dan sistem pendukung.

5. Auditor internal.

Fungsi audit internal berperan penting dalam mengevaluasi keefektifan - dan merekomendasikan peningkatan
ke - ERM. Standar Internasional IIAS untuk Praktik Profesional Audit Internal (Standar) menetapkan bahwa
ruang lingkup fungsi audit internal harus mencakup tata kelola, manajemen risiko, dan sistem kontrol. Ini
termasuk mengevaluasi keandalan pelaporan, efektivitas dan efisiensi operasi, dan kepatuhan terhadap undang-
undang dan peraturan. Dalam melaksanakan tanggung jawab ini, fungsi audit internal membantu manajemen
dan dewan dengan memeriksa, mengevaluasi, melaporkan, dan merekomendasikan peningkatan kecukupan dan
efektivitas ERM organisasi.

6. Individu lain dalam organisasi.

Pada kenyataannya, ERM adalah tanggung jawab setiap orang dalam suatu organisasi dan karenanya harus
menjadi bagian integral dari uraian tugas setiap orang, baik secara eksplisit maupun implisit. Ini penting
karena:.

- Meskipun tidak setiap individu dapat dianggap sebagai pemilik risiko sendiri, hampir semua individu
memainkan peran dalam mempengaruhi ERM, mulai dari menghasilkan informasi yang digunakan dalam
mengidentifikasi atau menilai risiko, hingga menerapkan strategi dan tindakan yang diperlukan untuk
mengelola risiko tersebut.

- Semua individu bertanggung jawab untuk mendukung arus informasi dan komunikasi yang merupakan
bagian integral dan melekat dalam ERM.

7. Auditor luar independen.

Auditor luar independen suatu organisasi dapat memberikan perspektif manajemen risiko yang terinformasikan,
independen, dan objektif kepada manajemen dan dewan direksi yang dapat berkontribusi terhadap pencapaian
organisasi dalam pelaporan keuangan eksternal dan tujuan lainnya. Temuan dari audit mereka mungkin
berhubungan dengan kekurangan manajemen rsk, intormasi analitik, dan rekomendasi lain untuk perbaikan
yang dapat memberikan informasi berharga kepada manajemen untuk meningkatkan program manajemen
risikonya.

8. Legislator dan regulator.

Legislator dan regulator dapat mempengaruhi pendekatan ERM dari banyak organisasi, baik melalui
persyaratan untuk menetapkan mekanisme manajemen risiko atau sistem kontrol internal (misalnya, US
Sarbanes-Oxley Act 2002) atau melalui pemeriksaan entitas tertentu (misalnya, oleh pemerintah federal). dan
pemeriksa bank negara). Legislator dan regulator dapat menetapkan aturan yang memberikan dorongan bagi
manajemen untuk memastikan bahwa manajemen risiko dan sistem kontrol memenuhi persyaratan minimum
perundang-undangan dan peraturan tertentu. Selain itu, mereka dapat melakukan pemeriksaan peraturan yang
memberikan informasi yang berguna bagi organisasi dalam menerapkan ERM, dan rekomendasi kepada
manajemen mengenai perbaikan yang diperlukan.

9. Pihak eksternal lainnya.

Akhirnya, pemangku kepentingan luar lainnya dapat memengaruhi aktivitas ERM organisasi:

- Pelanggan, vendor, mitra bisnis, dan orang lain yang melakukan bisnis dengan organisasi adalah sumber
informasi penting yang digunakan dalam ERM.
- Kreditor dapat memberikan pengawasan atau arahan yang memengaruhi cara organisasi mencapai tujuan
mereka. Misalnya, perjanjian utang mungkin mengharuskan organisasi memantau dan melaporkan
informasi secara berbeda dari yang seharusnya.
- Analis keuangan, lembaga pemeringkat, media berita, dan pihak eksternal lainnya dapat memengaruhi
aktivitas manajemen risiko. Investigasi mereka dan kegiatan pemantauan dapat memberikan wawasan
tentang bagaimana orang lain memandang kinerja organisasi, risiko industri dan ekonomi, strategi operasi
atau pembiayaan yang inovatif, dan tren industri. Manajemen harus mempertimbangkan wawasan dan
pengamatan pihak-pihak ini dan, jika perlu, menyesuaikan kegiatan manajemen risiko yang sesuai.
- Penyedia layanan outsourcing menjadi cara yang lebih lazim bagi organisasi untuk mendelegasikan
manajemen harian mereka untuk fungsi-fungsi non-inti tertentu. Pihak eksternal yang dibahas di atas dapat
secara langsung memengaruhi aktivitas ERM organisasi; Namun, menggunakan penyedia layanan luar
dapat menghasilkan serangkaian risiko dan respons yang berbeda dibandingkan jika organisasi tidak
melakukan outsourcing fungsi apa pun. Meskipun pihak eksternal dapat melakukan kegiatan atas nama
organisasi, manajemen tidak dapat melepaskan tanggung jawabnya untuk mengelola risiko terkait dan harus
 membuat program untuk memantau kegiatan outsourcing. Lihat bab 5, "Proses dan Risiko Bisnis," di mana
outsourcing proses bisnis dibahas secara lebih rinci.

ERM formal belum tertanam dalam praktik bisnis di sebagian besar organisasi, tetapi ada tren yang
berkembang untuk menerapkan ERM atau setidaknya mempraktikkan banyak prinsip utama. COSO
mengidentifikasi potensi pendorong nilai ERM berikut:

- Menyelaraskan selera dan strategi risiko.

- Meningkatkan keputusan respons risiko.
- Mengurangi kejutan dan kerugian operasional.
- Mengidentifikasi dan mengelola risiko lintas-perusahaan.
- Memberikan respons terintegrasi untuk berbagai risiko.
- Merebut peluang. Meningkatkan penyebaran modal.

ISO 31000: 2009 MANAJEMEN RISIKO - PRINSIP DAN PANDUAN

Pada tahun 2009, Organisasi Internasional untuk Standardisasi mengeluarkan standar ISO 31000: 2009 (SO
31000), standar yang diakui secara global pertama terkait dengan manajemen risiko.

ISO 31000 dikembangkan untuk menyediakan cara yang diterima secara global untuk melihat manajemen
risiko, dengan mempertimbangkan prinsip-prinsip pertimbangan, kerangka kerja, model, dan praktik yang
berkembang di seluruh dunia. ISO 31000 mencakup tiga bagian-prinsip, kerangka kerja, dan proses, yang
masing-masing dijelaskan lebih lanjut.

Prinsip ISO 31000

ISO 31000 memberikan 11 prinsip yang menurut ISO diperlukan untuk manajemen risiko agar efektif. Prinsip-
prinsip ini menyatakan bahwa manajemen risiko:

- Menciptakan dan melindungi nilai.

- Merupakan bagian integral dari semua proses organisasi.
- Merupaka hi bagian dari pengambilan keputusan.
- Secara eksplisit membahas ketidakpastian.
- Apakah sistematis, terstruktur, dan tepat waktu.
- Didasarkan pada informasi terbaik yang tersedia,
- Dirancang
- Mempertimbangkan faktor manusia dan budaya.
- Transparan dan inklusif.
- Dinamis, berulang, dan responsif terhadap perubahan.
- Memfasilitasi peningkatan berkelanjutan organisasi.,

Kegagalan untuk mematuhi salah satu dari prinsip-prinsip tersebut menjadikannya lebih menantang untuk
menerapkan manajemen risiko yang efektif dan berkelanjutan, yang , pada gilirannya, membuat pencapaian
tujuan menjadi lebih sulit.

Kerangka kerja ISO 31000

ISO percaya bahwa keberhasilan manajemen risiko tergantung pada kerangka kerja yang memberikan landasan
bagi manajemen risiko di seluruh organisasi. Kerangka kerja ini terdiri dari komponen-komponen berikut:

1. Mandat dan komitmen dari dewan dan manajemen senior untuk memastikan keselarasan dengan tujuan
organisasi dan komitmen sumber daya yang memadai untuk memungkinkan keberhasilan.
2. Desain kerangka kerja untuk mengelola risiko, yang memastikan fondasi ditetapkan untuk proses
manajemen risiko yang efektif. Ini melibatkan:

- Memahami organisasi dan konteks.

- Menetapkan kebijakan manajemen risiko.
- Mendelegasikan akuntabilitas dan otoritas.
- Mengintegrasikan manajemen risiko ke dalam proses organisasi.
- Mengalokasikan sumber daya yang diperlukan.
- Membangun komunikasi dan mekanisme internal dan eksternal. pelaporan

3. Menerapkan kerangka kerja dan proses manajemen risiko untuk membantu organisasi mencapai tujuannya.

4. Memantau kerangka kerja untuk menentukan efektivitasnya yang berkelanjutan.

5. Terus meningkatkan kerangka kerja untuk memastikan keberlanjutannya. "Sementara komponen spesifik
dari kerangka kerja manajemen risiko dapat disesuaikan untuk memenuhi kebutuhan organisasi, kegagalan
untuk memperkenalkan beberapa bentuk struktur kemungkinan akan menghasilkan manajemen risiko yang
kurang efisien dan efektif.

Proses ISO 31000

Akhirnya, suatu proses harus ada di seluruh organisasi yang memungkinkan manajemen risiko untuk beroperasi
secara konsisten.Proses manajemen risiko ISO terdiri dari kegiatan berikut:

1. Membangun konteks, yang berfokus pada pemahaman dan menyepakati kedua faktor-faktor eksternal dan
internal yang akan memengaruhi manajemen risiko. Kegiatan ini juga mencakup definisi kriteria risiko,
yang didefinisikan sebagai "kerangka acuan untuk menilai signifikansi risiko." Istilah-istilah tersebut dapat
mencakup selera risiko organisasi, tingkat toleransi risiko, dan kriteria yang dengannya risiko dapat dinilai
(seperti dampak dan kemungkinan)

2. Nilai risiko penting risiko, yang melibatkan identifikasi risiko, analisis risiko dengan mempertimbangkan
penyebab, sumber, dan jenis hasil, dan mengevaluasi risiko untuk membantu memprioritaskan mana yang
harus ditangani terlebih dahulu.

3. Mengobati risiko, yang melibatkan pengambilan keputusan yang serupa dengan yang dijelaskan dalam
diskusi respons risiko COSO sebelumnya dalam bab 03 ini

4. Memantau risiko untuk mengidentifikasi permulaan peristiwa risiko dan mengevaluasi apakah perawatan
risiko memiliki efek yang diinginkan. Karena itu, penting juga untuk memastikan kegiatan manajemen
risiko dicatat dengan benar untuk membantu pemantauan ini.

5. Membangun proses komunikasi dan konsultasi untuk memastikan arus informasi naik, turun, dan lintas
organisasi untuk memungkinkan proses manajemen risiko.

Proses manajemen risiko beroperasi terus menerus dan melekat dalam semua kegiatan pengambilan keputusan.
Proses yang efektif akan membantu memungkinkan keberhasilan manajemen risiko yang berkelanjutan.

Kerangka Kerja Lainnya

Sementara COSO ERM diakui secara luas di Amerika Serikat, dan IsO 31000 semakin dikenal di seluruh dunia,
beberapa negara telah mengembangkan kerangka kerja manajemen risiko mereka sendiri. Sebagaimana
ditunjukkan dalam "Ringkasan Tata Kelola dan Kode Manajemen Risiko Dari Negara Lain," yang dapat
ditemukan pada DVD-ROM yang menyertai buku teks ini, "Tata Kelola," kondisi bisnis dan inisiatif peraturan
telah menghasilkan berbagai kode dan peraturan untuk memenuhi kebutuhan pasar modal lokal dan bisnis.
Sementara sebagian besar kerangka kerja ini pada dasarnya mirip dengan COSO ERM dan ISO 31000, masing-
masing memiliki karakteristik unik yang mendorong pembaca untuk belajar. Kerangka kerja tertentu akan
terbukti lebih intuitif untuk beberapa individu daripada yang lain.

Pandangan Top-down Tentang Risiko

Pameran 4-3 memberikan cara untuk meringkas peran manajemen risiko perusahaan. Ini menggunakan
metafora corong untuk menggambarkan peran top-down yang dimainkan ERM dalam membantu organisasi
mengurangi risiko utama mereka ke tingkat yang dapat diterima. Pameran ini juga digambarkan dalam Studi
Kasus 1, "Kontrol Tingkat Entitas Audit," yang menyertai buku teks ini. Poin-poin penting untuk dipahami dari
ilustrasi ini dibahas secara lebih rinci dalam studi kasus tersebut, tetapi dirangkum sebagai berikut:

• Setiap organisasi menghadapi berbagai risiko, tergantung pada tujuan bisnis mereka. Beberapa tujuan
bisnis ini dapat menggambarkan keadaan operasi yang diinginkan yang dihasilkan oleh sistem pengendalian
internal yang efektif.

• Risiko yang memengaruhi kemampuan organisasi untuk mencapai tujuan bisnisnya ditunjukkan pada
Gambar 4-3 sebagai bola berwarna dengan berbagai ukuran. Ini mencerminkan fakta bahwa beberapa
risiko akan memiliki dampak yang lebih besar daripada yang lain. Selain itu, beberapa risiko
dikelompokkan bersama, mewakili fakta bahwa meskipun risiko secara individual mungkin tidak serius,
ketika risiko terkait digabungkan, risiko tersebut dapat menjadi lebih serius. Awalnya, risiko-risiko ini tidak
terkendali, atau berada dalam status risiko yang melekat atau kotor.

• Sistem kontrol internal digambarkan sebagai corong untuk menggambarkan "penyaringan" risiko utama
yang terjadi pada berbagai tingkat sistem itu. Misalnya, risiko terbesar harus dikurangi oleh kontrol tingkat
entitas di bagian atas corong. Yang melewati filter level entitas selanjutnya dikontrol oleh level proses dan
level transaksi. Seperti dibahas dalam bab 6, "Kontrol Internal," kontrol dapat dianggap kunci atau
sekunder, tergantung pada apakah mereka mengurangi risiko yang terkait dengan tujuan kritis. Selain itu,
dalam beberapa kasus, manajemen mungkin menggunakan kontrol mitigasi dan kompensasi tambahan
untuk lebih membatasi dampak risiko.

• Jika sistem kontrol internal dirancang secara memadai dan beroperasi secara efektif, risiko-risiko yang
membuatnya melalui corong harus dapat diterima oleh organisasi. Dengan kata lain, risiko residual
keseluruhan, atau bersih, tidak akan melebihi selera risiko organisasi.
PERAN FUNGSI AUDIT INTERNAL DI ERM

IIA Standar 2120: Manajemen Risiko menyatakan, "Aktivitas audit internal harus mengevaluasi efektivitas dan
berkontribusi pada peningkatan proses manajemen risiko." 2 Keterampilan dan tingkat pengalaman luas yang
dimiliki posisi auditor internal memiliki posisi mereka memainkan peran yang berharga dalam ERM. Bahkan,
mengingat lingkup luas sebagian besar fungsi audit internal, serta peran mereka dalam proses pemantauan
keseluruhan, kegagalan untuk melibatkan fungsi audit internal dalam beberapa cara kemungkinan akan
mengakibatkan inisiatif ERM gagal memenuhi harapan. Diskusi berikut berfokus pada peran yang dapat
dimainkan fungsi audit internal dalam ERM, tergantung pada apakah organisasi secara formal menerapkan
ERM.

Orm dengan Erm Karakter Praktik Profesional

Internasional IIA meliputi kertas posisi berjudul peran audit internal dalam manajemen risiko perusahaan-
seluruh, yang menguraikan beberapa peluang bagi auditor internal untuk terlibat. Dalam ringkasannya, kertas-
kertas tersebut, "peran inti audit internal yang berkaitan dengan ERM adalah memberikan jaminan obyektif
kepada Dewan pada efektivitas kegiatan ERM organisasi untuk membantu memastikan risiko bisnis utama
sedang dikelola dengan tepat dan bahwa sistem kendali internal] beroperasi secara efektif.

Makalah posisi menggambarkan berbagai peran yang harus atau tidak harus dilakukan oleh fungsi audit internal
dalam diagram berbentuk kipas atau dial, seperti yang ditunjukkan pada Gambar 4-4. Jenis peran berikut
dibahas dalam makalah ini.

Peran audit internal inti. Peran-peran ini, yang ada di sebelah kiri dial di bagian hijau dalam Gambar 4-4,
mewakili kegiatan penjaminan. Mereka adalah bagian dari tujuan yang lebih luas untuk memberikan jaminan
pada kegiatan manajemen risiko. Kegiatan-kegiatan ini meliputi:

- Memberikan jaminan pada proses manajemen risiko.

- Memberikan jaminan bahwa risiko dievaluasi dengan benar.
- Mengevaluasi proses manajemen risiko.
- Mengevaluasi pelaporan risiko utama.
- Meninjau manajemen risiko utama.

Peran audit internal yang sah dengan kerangka pengaman. Peran ini mewakili layanan konsultasi yang dapat
meningkatkan tata kelola organisasi, manajemen risiko, dan proses kontrol. Tingkat layanan tersebut akan
tergantung pada sumber daya lain tersedia untuk dewan direksi dan pada risiko kematangan organisasi .. Peran
konsultasi ditampilkan di tengah tombol dengan warna kuning bagian dalam pameran 4-4. Secara umum,
semakin jauh ke kanan dial bahwa fungsi audit internal berkelana, semakin besar perlindungan yang diperlukan
untuk memastikan bahwa independensi dan obyektivitas dipertahankan. Kegiatan-kegiatan ini meliputi:

• Memfasilitasi identifikasi dan evaluasi risiko.

• Melatih manajemen dalam menanggapi risiko.
• Mengkoordinasikan kegiatan ERM.
• Mengkonsolidasikan pelaporan risiko.
• Memelihara dan mengembangkan kerangka kerja ERM.
• Mempertahankan pendirian ERM.
• Mengembangkan strategi ERM untuk persetujuan dewan.

Peran audit internal tidak boleh dilakukan. Peran-peran ini, yang digambarkan di sebelah kanan dial di bagian
merah pada tampilan 4-4, tidak boleh dilakukan oleh fungsi audit internal karena peran tersebut mewakili
tanggung jawab manajemen yang akan mengganggu independensi dan objektivitas auditor internal. Kegiatan-
kegiatan ini meliputi:

• Mengatur selera risiko.

• Memberlakukan proses manajemen risiko.
• Jaminan manajemen atas risiko (yaitu, menjadi satu-satunya sumber untuk jaminan manajemen bahwa
risiko dikelola secara efektif - ini akan dianggap melakukan fungsi manajemen].
• Mengambil [membuat] keputusan tentang respons risiko.
• Menerapkan respons risiko atas nama manajemen.
• Akuntabilitas untuk manajemen risiko.

Ketika menentukan peran fungsi audit internal dalam ERM, chief audit executive (CAE) harus mengevaluasi
apakah setiap aktivitas menimbulkan ancaman terhadap independensi atau obyektivitas fungsi audit internal.
Penting bahwa organisasi memahami sepenuhnya bahwa manajemen tetap bertanggung jawab atas manajemen
risiko. Karena fungsi audit internal meluas perannya lebih jauh ke kanan dial, perlindungan berikut harus
diberlakukan:

• Harus jelas bahwa manajemen tetap bertanggung jawab atas manajemen risiko.

• Sifat tanggung jawab fungsi audit internal harus didokumentasikan dalam piagam audit internal dan
disetujui oleh komite audit.

• Fungsi audit internal tidak dapat mengelola risiko apa pun atas nama manajemen.

• Fungsi audit internal harus memberikan saran, tantangan, dan dukungan untuk pengambilan keputusan
manajemen, bukan membuat keputusan manajemen risiko itu sendiri.

• Fungsi audit internal tidak dapat memberikan jaminan obyektif pada bagian mana pun dari kerangka kerja
ERM yang menjadi tanggung jawabnya. Jaminan semacam itu harus disediakan oleh pihak-pihak lain yang
berkualifikasi sesuai, baik internal maupun eksternal organisasi.

• Setiap pekerjaan di luar kegiatan penjaminan harus diakui sebagai perikatan konsultasi, dan standar
implementasi yang terkait dengan perikatan tersebut harus diikuti.

Organisasi dengan Audit Internal-yang digerakkan oleh ERM

Penasihat Praktek 2120-1: Menilai kecukupan proses manajemen risiko menyatakan bahwa "manajemen dan
dewan bertanggung jawab atas manajemen risiko dan proses kontrol Orga Nisasi. Namun, auditor internal yang
bertindak dalam peran konsultasi dapat membantu Ketika suatu organisasi belum menetapkan proses
manajemen risiko, penasihat praktik menawarkan panduan berikut:

dalam situasi di mana organisasi tidak memiliki proses risiko risiko formal, [CAE] secara resmi membahas
dengan manajemen dan dewan kewajiban mereka untuk memahami, mengelola, dan memantau risiko dalam
organisasi dan memantau.

CAE adalah untuk mendapatkan pemahaman tentang manajemen senior dan ekspektasi Dewan terhadap
aktivitas audit internal dalam proses manajemen risiko organisasi. Pemahaman ini kemudian dikodifikasikan
dalam charter dari aktivitas audit internal dan [Komite Audit). Tanggung jawab audit antar-nal harus
dikoordinasikan antara semua kelompok dan individu dalam proses manajemen risiko organisasi.

Pada akhirnya, ini adalah peran manajemen senior dan dewan untuk mencegah peran audit internal dalam
proses manajemen risiko. Pandangan mereka tentang peran audit internal kemungkinan akan ditentukan oleh
faktor-faktor seperti budaya organisasi, kemampuan staf audit internal, dan kondisi lokal dan kebiasaan negara.
Namun, mengambil tanggung jawab manajemen mengenai proses manajemen risiko dan potensi ancaman
terhadap kemerdekaan aktivitas audit internal membutuhkan diskusi penuh dan persetujuan dewan.

Pedoman ini memperkuat pentingnya membawa kurangnya proses pengelolaan risiko terhadap perhatian
manajemen bersama dengan saran untuk menetapkan proses semacam itu. Jika diminta, auditor internal dapat
memainkan peran proaktif dalam membantu pembentukan awal proses manajemen risiko untuk organisasi.
Suplemen peran yang lebih proaktif kegiatan jaminan tradisional dengan pendekatan konsultatif untuk
meningkatkan proses fundamental. Jika bantuan tersebut melebihi jaminan normal dan kegiatan konsultasi yang
dilakukan oleh auditor internal, independensi dapat ditanggulahkan. Dalam situasi ini, auditor internal harus
mematuhi persyaratan pengungkapan standar.

Dampak ERM pada jaminan audit internal

IIA Standard 2010: Perencanaan menyatakan, "Eksekutif Audit Kepala harus menetapkan rencana berbasis
risiko untuk menentukan prioritas kegiatan audit internal, konsisten dengan tujuan organisasi." Mendukung
standar ini, praktik penasihat 2010-1: Menghubungkan rencana audit untuk risiko dan eksposur memberikan
panduan kepada CA ketika mengembangkan rencana audit internal tahunan. Penasihat praktik ini menawarkan
relatif berikut untuk menghubungkan rencana audit untuk risiko dan eksposur:

1. Dalam mengembangkan rencana audit aktivitas audit internal, banyak CAE merasa berguna untuk
mengembangkan atau memperbarui alam semesta audit ... CAE dapat memperoleh input pada alam semesta
audit dari senior

2. Alam semesta audit dapat mencakup komponen dari rencana strategis organisasi. Dengan memasukkan
komponen rencana strategis organisasi, semesta audit akan mempertimbangkan dan mencerminkan tujuan
bisnis secara keseluruhan. Rencana strategis juga kemungkinan mencerminkan sikap organisasi terhadap
risiko dan tingkat kesulitan untuk mencapai tujuan yang direncanakan. Alam semesta audit biasanya akan
dipengaruhi oleh hasil dari proses manajemen risiko. Rencana strategis organisasi mempertimbangkan
lingkungan di mana organisasi beroperasi. Faktor-faktor lingkungan yang sama ini kemungkinan akan
berdampak pada semesta audit dan penilaian risiko relatif,

3. CAE menyiapkan rencana audit aktivitas audit internal berdasarkan pada semesta audit, input dari
manajemen senior dan dewan, dan penilaian risiko dan paparan. Dan informasi untuk membantu mereka
mencapai tujuan organisasi, termasuk penilaian efektivitas kegiatan manajemen risiko manajemen.

4. Alam semesta audit dan rencana audit terkait diperbarui untuk mencerminkan perubahan.
5. Jadwal kerja audit didasarkan pada, di antara faktor-faktor lain, penilaian risiko dan paparan ... Berbagai
model risiko ada untuk membantu CAE. Sebagian besar model risiko menggunakan faktor risiko seperti
dampak, kemungkinan, materialitas, likuiditas aset, kompetensi manajemen, kualitas dan kepatuhan
terhadap kontrol internal, tingkat perubahan atau stabilitas, waktu dan hasil dari perikatan audit terakhir,
kompleksitas, dan hubungan karyawan dan pemerintah. '

Poin-poin di atas, yang berlaku pada tingkat penetapan rencana audit internal tahunan, juga relevan di tingkat
perikatan. Sebagai contoh, ruang lingkup dan pendekatan untuk proyek individu akan dipengaruhi oleh:

• Bagaimana risiko pada tingkat proses berhubungan dengan rencana strategis dan tujuan organisasi. Risiko
tingkat proses dibahas secara lebih rinci dalam bab 13, "Melakukan Pertunangan Jaminan."
• Perubahan dalam proses (misalnya, tujuan, prosedur, personel, dan ukuran kinerja) yang telah terjadi selama
setahun terakhir atau sejak audit terakhir dari proses tersebut.
• Faktor model risiko yang relevan (misalnya, dampak keuangan dan aset
• Dampak dan kemungkinan risiko tingkat proses. (Kanpinby

Singkatnya, pendekatan manajemen terhadap manajemen risiko, terlepas dari apakah organisasi telah
menerapkan ERM atau tidak, akan memiliki pengaruh signifikan pada piagam audit internal dan rencana audit
internal tahunan

PELUANG UNTUK MEMBERIKAN WAWASAN

Ada banyak peluang bagi fungsi audit internal untuk menambah nilai dengan memberikan wawasan yang
berkaitan dengan manajemen risiko. Tampilan 4-5 menggambarkan 10 peluang untuk internal fungsi audit
untuk memberikan wawasan di berbagai titik di seluruh proses manajemen risiko.

RINGKASAN

Seperti yang didefinisikan oleh COSO, "ERM adalah suatu proses, dipengaruhi oleh dewan, manajemen, dan
personil lainnya, diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang dirancang untuk
mengidentifikasi peristiwa potensial yang dapat memengaruhi kemampuan organisasi untuk mencapai
tujuannya dan mengelola risiko berada dalam selera risiko. ""

Tujuan organisasi dapat berorientasi strategis, operasional, pelaporan, atau kepatuhan. ERM dapat dinilai di
beberapa komponen: lingkungan internal, penetapan tujuan, identifikasi peristiwa, penilaian risiko, respons
risiko, kegiatan kontrol, informasi dan komunikasi, dan pemantauan.

ISO 31000 memberikan pandangan holistik manajemen risiko, yang terdiri dari prinsip, kerangka kerja, dan
proses manajemen risiko. Ini mendapatkan penerimaan global dan, secara umum, sejajar dengan COSO ERM.

Set keterampilan dan tingkat pengalaman luas yang dimiliki oleh auditor internal untuk memainkan peran yang
berharga dalam ERM. Fungsi audit internal dapat mengambil berbagai peran relatif terhadap ERM, beberapa di
antaranya konsisten dengan kegiatan penjaminan sebagaimana diuraikan dalam piagamnya, dan beberapa di
antaranya layanan konsultasi yang disediakan untuk membantu organisasi dalam meningkatkan tata kelola dan
manajemen risiko. , dan proses kontrol. Namun, fungsi audit internal harus menetapkan pengamanan yang
tepat untuk memastikan bahwa itu tidak mengambil peran yang bisa setara dengan tanggung jawab manajemen,
sehingga meningkatkan independensi dan obyektivitas auditor internal.

mungkin rencana strategis organisasi dan risiko yang melekat akan memiliki dampak langsung dan mendalam
pada piagam fungsi audit internal maupun rencana audit tahunannya. Perubahan arah, sasaran, penekanan, dan
fokus manajemen juga dapat memengaruhi rencana audit internal tahunan. CAE harus mempertimbangkan
risiko ketika memprioritaskan dan menjadwalkan perikatan audit internal yang akan datang.
PAMERAN 4-5 10 PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN
WAWASAN YANG BERKAITAN DENGAN MANAJEMEN RISIKO

1. Menilai apakah tujuan organisasi, yang merupakan titik awal untuk manajemen risiko, cukup
diartikulasikan dan dipahami di seluruh organisasi,

2. Memberikan wawasan tentang sifat dan keefektifan lingkungan kontrol untuk memberikan manajemen dan
kenyamanan dewan bahwa tidak ada faktor tingkat entitas yang dapat merongrong efektivitas manajemen
risiko.

3. Memfasilitasi penentuan selera risiko dan tingkat toleransi risiko organisasi untuk memastikan kriteria
risiko tersebut ditentukan, didukung oleh dewan, dan dipahami di seluruh organisasi.

4. Lakukan brainstorming tentang peristiwa risiko yang mungkin terjadi dan lengkapi daftar manajemen
tentang peristiwa tersebut.

5. Memfasilitasi penilaian dan memprioritaskan risiko untuk membantu manajemen memastikan risiko yang
tepat harus ditangani.

6. Memberikan saran tentang kriteria penilaian risiko lain di luar dampak dan kemungkinan, seperti kecepatan
dan volatilitas, yang dapat mempengaruhi prioritas risiko.

7. Anjurkan pilihan respons / perawatan risiko untuk membantu manajemen mengevaluasi apakah opsi yang
dipilih akan mengelola risiko prioritas dengan paling baik.

8. Membantu manajemen dengan memonitor lingkungan eksternal dan internal untuk membantu
mengidentifikasi risiko baru atau yang muncul

9. Memberikan hasil audit dalam format yang membantu manajemen memahami kecukupan desain dan
efektivitas operasi kegiatan manajemen risiko

10. Melakukan penilaian keseluruhan manajemen risiko sistem (kerangka kerja dan proses) untuk memberikan
jaminan mengenai kecukupan desain sistem dan efektivitas operasi.