Definisi Risiko

Istilah risiko berasal dari kata “risk”. Disamping itu, istilah risiko juga
merujuk dari suatu kata dalam bahasa Itali, yaitu: “risicare”, yang berarti berani
atau suatu pilihan dalam kondisi atau situasi yang tidak pasti. The Committee of
Sponsoring Organizations of the Treadway Commission (COSO) mendifinisikan
risiko sebagai kemungkinan bahwa suatu kejadian akan terjadi dan berdampak
buruk terhadap pencapaian suatu tujuan yang telah ditetapkan sebelumnya.
Melekat dalam pengertian risiko dari COSO tersebut ada beberapa hal penting dan
mendasar yang harus dipahami sebelum mendapatkan konsep manajemen risiko.
Pemahaman dan penerapan manajemen risiko sangat tergantung dari pemahaman
yang memadai atas konsep risiko. Hal-hal penting yang termuat dalam konsep
risiko diantaranya adalah:

1. Pemahaman risiko dimulai dengan perumusan strategi dan penetapan

tujuan.
2. Risiko tidak hanya mewakili satu kejadian tertentu saja. Risiko dapat
menghasilkan berbagai kejadian tidak diinginkan yang mungkin terjadi
dan berdampak buruk terhadap tujuan yang telah ditetapkannya.
3. Risiko berhubungan dengan pencegahan hal negatif untuk terjadi atau
kegagalan untuk memastikan hal baik tersebut.
4. Risiko melekat didalam setiap aspek kehidupan, hal ini mengandung arti
bahwa dimana pun terjadi ketidakpastian, disitulah mungkin terdapat satu
atau lebih risiko.

Dengan memahami definisi risiko, berbagai risiko yang mungkin terjadi

dan memberikan dampak dalam pencapaian tujuan organisasi harus dihadapi
melalui pengelolaan yang strategis terhadap risiko yang terjadi atau berpotensi
untuk terjadi. Penting bagi organisasi untuk dapat memahami dan mengelola
risiko dengan efektif melalui implementasi manajemen risiko melalui konsep
Enterprise Risk Management (ERM) Strategis.
 Risiko bisnis : Risiko yang secara khusus terkait dengan organisasi
didalam melakukan bisnis, berupa ketidakpastian mengenai adanya ancaman
terhadap pencapaian tujuan bisnis.

ERM FRAMEWORK Menurut COSO

Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi
ketika mereka mencoba menjalankan strategi dan mencapai tujuan mereka, maka
terdapat kebutuhan yang sangat besar terhadap suatu hal secara efektif mengelola
risiko di dalam organisasi. Dan kebutuhan mi terjawab dengan adanya Enterprise
Risk Management (ERM) yang pertama diperkenalkan COSO pada tahun 2004.

COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat

untuk membantu perusahaan secara efektif mengidentifikasi, menilai, dan
mengelola risiko. Kerangka kerja yang dihasilkan merupakan perluasan dan
kerangka kerja sebelumnya “Internal Control — Integrated Framework”,
menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam
kerangka kerja ERM yang Iebih luas.

Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen

untuk memahami dan mengatasi ketidakpastian yang dapat mempengaruhi
kemampuan organisasi untuk mencapai tujuannya”.

Definisi ERM menurut COSO:

“Suatu proses, yang dipengaruhi oleh dewan komisanis, manajemen dan

pegawai Iainnya, diterapkan dalam penyusunan strategi dan di segenap
perusahaan, dirancang untuk mengidentifikasi peristiwa-penistiwa potensial yang
dapat mempengaruhi entitas, dan untuk mengelola risiko sampai dalam batas
hasrat risiko entitas, untuk menyajikan keyakinan memadai sehubungan dengan
pencapaian tujuan entitas.”

Berdasarkan definisi manajemen risiko tersebut, beberapa hal penting yang

merupakan fundamental dari konsep manajemen risiko adalah :
  Sebuah proses yang berlangsung terus menerus.
 Dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang
organisasi.
 Diterapkan dalam penyusunan strategi.
 Diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.
 Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai
risiko.
 Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara
potensial mempengaruhi organisasi.
 Sarana bagi manajemen dalam mengelola risiko agar tetap dalam risiko
yang diinginkan atau diharapkan
 Mampu menyajikan keyakinan yang memadai kepada manajemen,
pimpinan dan dewan komisaris organisasi.
 Dijalankan untuk mencapai tujuan di berbagai tingkatan dalam organisasi,
baik dalam satu atau beberapa kategori.
Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang
mencerminkan hubungan yang erat antar berbagai kategori tujuan (kolom
vertikal), komponan manajemen risiko (baris horizontal), dan struktur organisasi
suatu entitas (sisi samping kubus).

Jenis Tujuan

Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan

stratejik, memilih strategi dan menetapkan tujuan-tujuan lain secara menurun ke
segenap perusahaan dan diselaraskan dengan serta dihubungkan kepada strategi.
Kerangka manajemen risiko yang dibangun dalam suatu organisasi dimaksudkan
untuk mecapai tujuan yang dibagi dalam 4 kategori yaitu:
 Strategi; berhubungan dengan sasaran tingkat tinggi yang diarahkan untuk
mendukung misi yang dimiliki organisasi
 Operasi; berhubungan dengan penggunaan sumberdaya organisasi secara
efektif dan efisien.
 Pelaporan, berhubungan dengan keandalan laporan baik internal maupun
eksternal
 Ketaatan, berhubungan dengan ketaatan organisasi kepada hukum dan
peraturan yang berlaku.
Komponen ERM

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling

terkait. Komponen komponen manajemen risiko diperoleh dan cara manajemen
menjalankan suatu bisnis, dan dipadukan dengan proses manajemen. Komponen-
komponen tersebut adalah:

1. Internal Environment (Lingkungan Internal)

Manajemen menetapkan suatu filosofi berkenaan dengan risiko dan

menentukan risiko yang diharapkan jika memang harus terjadi (risk appetite).
Lingkungan internal menentukan fondasi tentang bagaimana risiko dan
pengendalian dipandang dan diarahkan oleh orang-orang dalam suatu organisasi.
Inti dan bisnis atau kegiatan adalah orang-orang yang ada di organisasi terutama
atribut-atribut yang melekat dalam diri mereka masing-masing, seperti: integritas,
nilai etika dan kompetensi. Iingkungan di mana mereka beraktivitas juga
merupakan faktor yang menentukan kegiatan operasi mereka.

Lingkungan internal merupakan dasar bagi seluruh komponen lain

manajemen risiko. Lingkungan pengendalian mempengaruhi bagaimana strategi
dan tujuan ditetapkan, aktivitas kegiatan dibangun, dan risiko diidentifikasi,
dinilai dan tidak lanjut atas risiko dilakukan. Lingkungan pengendalian juga
mempengaruhi rancangan dan fungsi dari kegiatan pengendalian, sistem informasi
dan komunikasi, serta aktivitas pemantauan.

Lingkungan internal dipengaruhi oleh latar belakang sejarah dan budaya

organisasi. Yang meliputi berbagai elemen, seperti:

 Risk management philosopy (filosofi manajemen risiko) : seperangkat

keyakinan dan perilaku yang dirasakan bersama, yang mencirikan
bagaimana organisasi ini mempertimbangkan risiko dalam segala aspek di
organisasi.
 Risk appetite : risiko dalam wawasan dan tingkatan yang luas dimana
organisasi masih dapat menerimanya.
  Board of directors (Direksi dan Komisaris) : Struktur, pengalaman,
independensi, dan peran pengawasan yang dimainkan oleh dewan.
 Integrity and ethical values (integritas dan nilai-nilai etika) : terutama
standar perilaku dan gaya kepemimpinan serta berbagai tindakan yang
secara etika diterima dan berlaku di organisasi.
 Commitment to competence (komitmen terhadap kompetensi) :
pengetahuan dan keahlian yang dibutuhkan untuk melaksanakan tugas-
tugas yang dibebankan.
 Organizational stucture (stuktur organisasi) : suatu kerangka untuk
merencanakan, melaksanakan, mengendalikan, dan memantau berbagai
aktivitas.
 Assignment of authority and responsibility (pembebanan wewenang dan
tanggung jawab) : tingkatan dimana setiap individu dan tim diberikan
wewenang dan didorong untuk menggunakan inisiatif untuk mengarahkan
berbagai isu dan memecahkan masalah-masalah, sebatas apa yang menjadi
tanggung jawabnya.
 Human resource standards (standar atau kriteria sumber daya manusia) :
praktik-praktik berkenaan dengan rekrutmen, orientasi pelatihan, evaluasi,
konseling, promosi, kompensasi, dan tindakan-tindakan perbaikan yang
diambil.

2. Objective Setting (Penentuan Tujuan)

Tujuan ditetapkan pada tingkat strategi dan menjadi dasar untuk
menentukan tujuan operasi, pelaporan dan kepatuhan. Setiap organisasi
menghadapi berbagai risiko baik yang besaral dari sumber internal maupun
eksternal. Penetapan tujuan merupakan prasyarat untuk efektifnya proses
identifikasi kejadian, penilaian risiko, dan respon terhadap risiko.

3. Event Identification (Identifikasi Peristiwa)

Manajemen harus mengidentifikisasi peristiwa potensial yang akan
berdampak pada perusahaan, baik dalam arti positif maupun negatif. Peristiwa
yang berdampak buruk dan menghambat tujuan organisasi di sebut sebagai risiko
dimana manajemen harus melakukan penilaian dan penanganan. Sedangkan
penistiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana
manajemen harus memanfaatkannya didalam proses perumusan strategi dan
penentuan tujuan.
Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai
faktor internal maupun eksternal yang dapat menjadi risiko ataupun peluang pada
perusahaan.

COSO merumuskan beberapa eksternal faktor antara lain:

 Economic events, seperti pergeseran harga, ketersediaan modal, dan

persaingan usaha yang ketat.
 Natural environment events, seperti banjir, kebakaran, gempa bumi
maupun peristiwa alam lainnya.
 Political events, seperti pemilihan umum terhadap pemimpin negara
dengan agenda politik yang baru maupun pemberlakukan hukum dan
regulasi yang baru.
 Social events, seperti perubahan demografi, adat istiadat, struktur keluarga
maupun prioritas hidup/pekerjaan.
 Technological events, seperti penggunaan sarana baru didalam
perdagangan, penyimpanan dan pemrosesan

COSO juga merumuskan beberapa internal faktor antara lain:

 Infrastructure factors, seperti meningkatkan alokasi modal untuk

pemeliharaan preventif atau dukungan call center.
 Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau
kontrak kerja yang kadaluwarsa,
 Process factors, seperti perubahan proses/cara kerja, kesalahan didalam
proses pekerjaan, atau keputusan meriggunakan outsorcing
  Technology factors, seperti meningkatkan sumber daya untuk menangani
volatilitas volume, pelanggaran keamanan, atau penghentian sistem.

4. Risk assessment (Penilaian Risiko)

Penilaian risiko mengharuskan manajemen untuk mempertimbangkan
sejauh mana peristiwa potensial yang dapat menghambat tujuan perusahaan.
Manajemen harus menilai risiko dari dua perspektif yaitu kemungkinan dan
dampaknya. Dengan dua kombinasi itu manajemen menilai risiko mana yang
berdampak sangat besar pada tujuan perusahaan maupun yang berdampak kecil.
Risiko dinilai baik dari hal yang melekat (inherent) dan sisanya (residual).
Inherent tindakan untuk mengubah kemungkinan dan dampak risiko. Residual risk
adalah risiko yang tetap ada setelah manajemen merespon risiko. Penilaian risiko
pertama harus dilakukan terhadap inherent risk, setelah respon terhadap risiko
dikembangkan, manajemen kemudian mempertimbangkan residual risk (relative
pada risk appetite organisasi).

5. Risk Response (respon terhadap resiko)

Setelah mengetahui risiko mana saja yang berdampak pada perusahaan,

manajemen harus menentukan penanganan risiko yang cocok terhadap risiko-
risiko tersebut.

Berbagai model merespon risiko, diantaranya adalah :

 Menghindari risiko (avoiding)

 Mengurangi (mitigating)
 Memindahkan (sharing/transferring)
 Mengendalikan (controlling)
 Mengoptimalkan (exploiting)

Sedangkan menurut COSO adalah sebagai berikut :

 Avoidance, yaitu menghindari risiko

  Reduction, yaitu mengurangi risiko baik dan kemungkinan terjadinhya
maupun dampaknya
 Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain
(asuransi)
 Acceptance, yaitu menerima risiko

6. Control Activities (Kegiatan Pengendalian)

Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu
untuk meyakinkan manajemen bahwa risiko telah ditangani dengan baik.
Beberapa contoh kegiatan pengendalian manajemen antara lain:
 Top-level reviews (review oleh pimpinan)
 Direct functional or activity management (fungsi atau aktivitas
langsung manajemen)
 Information processing controls (pemrosesan informasi)
 Physical controls (pengendalian fisik)
 Performance indicators (penggunaan indikator kinerja)
 segregation (pemisahan tugas)

7. Information and Communication

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait
manajemen risiko yang berasal dan internal maupun eksternal menjadi informasi
yang berguna bagi manajemen didalam mengambil keputusan. Kemudian hal itu
dikomunikasikan kepada setiap orang/personnel agar mereka melakukan
tanggungjawabnya sesual fungsi masing-masing. COSO mendefinisikan sebuah
informasi harus:
 tepat dan ninci pada setiap tingkatan yang berbeda
 tepat waktu dan tersedia pada saat dibutuhkan
 mencerminkan kondisi yang sekarang baik (update) terutama pada
informasi keuangan dan operasi
 akurat dan terpercaya
  dapat diakses oleh siapapun yang membutuhkan

8. Monitoring (pemantauan)
ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi
setiap komponen berjalan dengan baik setiap waktu. Model yang digunakan untuk
melakukan monitoring adalah melalui monitoring kegiatan secara terus-menerus,
penilaian terpisah, atau kombinasi di antara keduanya. Auditor internal biasanya
banyak berperan didalam hal ini karena mereka melakukan penilalan apakah
kegiatan manajemen risiko perusahaan telah dilaksanakan dengan efektif.

Pihak yang Berperan dan Bertanggung Jawab Terhadap Manajemen Risiko

Dalam penerapan yang efektif dari manajemen risiko, berbagai pihak

sangat berperan penting untuk keberhasilan dari program manajemen risiko.
Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai
bidang keuangan, auditor internal, dan tentu saja, seluruh pihak yang ada di dalam
organisasi memiliki peran untuk mewujudkan ERM yang efektif.

Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan

arahan kepada pihak manajemen organisasi. Dewan komisaris berperan dalam
menentukan strategi organisasi, merumuskan tujuan strategi, mengalokasikan
sumber-sumber daya organisasi dalam lingkup yang luas, dan
mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait
dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris
melakukan pemantauan melalui:

 Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola

ERM dengan efektif.
 Mengetahui dan menyepakati selera risiko organisasi.
 Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera
risiko organisasi.
  Menerima info terkait risiko organisasi yang paling signifikan dan apakah
pihak manajemen telah menangani nisiko tersebut secara memadai.

Dewan komisaris ini juga merupakan bagian dari komponen lingkungan

internal manajemen risiko dan harus menjadi bagian yang memastikan bahwa
manajemen risiko diterapkan dengan efektif.

Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas

yang ada di organisasi, termasuk kegiatan ERM. Tanggung jawab pihak
manajemen sangat beragam, tergantung tingkatannya dan karakteristiknya dalam
organisasi.

Manajemen puncak (CEO) adalah pihak yang paling bertanggung jawab

atas efektifitas dan kesuksesan program ERM. Salah satu aspek penting terkait
dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan internal
yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku
dewan pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor
kegiatan pengelolaan organisasi dalam kaitannya dengan penentuan selera risiko
dan kriterianya, seperti kapasitas nisiko dan tingkat toleransi risiko. Keadaan terus
mengalami penubahan, pemunculan nisiko yang berbeda, perlu penerapan strategi,
tindakan yang mengantisipasi kemungkinan yang tidak berkesusaian dengan
kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi tidak
“keluar-jalur”.
Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki
tanggung jawab pengelolaan risiko terkait dengan tujuan dan masing-masing unit
yang dipimpirinya. Pihak manajer senior mengejawantahkan strategi organisasi
yang bersifat umum menjadi berbagai kegiatan operasi, identifikasi kejadian
risiko yang mungkin terjadi, mengukur risiko-risiko yang terkait, dan menerapkan
penanganan yang memadai atas nisiko-risiko tersebut. Pihak manajer
membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung
jawabnya, memastikan bahwa penerapan komponen-komponen ERM tersebut
sesuai dengan toleransi nisiko yang telah ditetapkan. Mereka bertanggung jawab
atas prosedur khusus ERM yang diperuntukan bagi para manajer fungsional.
Dapat disimpulkan bahwa para manajer Iebih berperan aktif dalam menggunakan
dan melaksanakan prosedur khusus penanganan risiko yang terkait dengan tujuan
suatu unit tertentu di organisasi, seperti teknik pengidentifikasian dan pengukuran
risiko dan penentuan penanganan khusus risiko ( yang adalah strategi manajemen
risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang
atau melayani pelanggan baru

Staf fungsional, seperti bidang akuntansi, 5DM, kepatuhan, atau hukum

juga memiliki peran yang penting dalam mewujudkan perancangan dan
pelaksanaan praktik-praktik ERM yang efektif. Fungsi-fungsi ini dimungkinkan
untuk merancang dan menerapkan suatu program yang dapat mendukung
pengelolaan nisiko lintas unit dalam organisasi.

Petugas pengeola risiko. Beberapa organisasi telah memiliki dan

menunjuk seseorang untuk menempati posisi manajer senior yang
bertugas/berperan sebagai pusat koordinasi dalam pengelolaan ERM. Seorang
petugas pengelola nisiko--biasanya disebut Chief Risk Officer (CRO)-- umumnya
beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer
lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola
risiko memiliki sumber daya untuk mempengaruhi pengelolaan ERM lintas anak
perusahaan, proses bisnis, departemen, fungsi dan kegiatan. Mereka bertanggung
jawab atas pemantauan kemajuan pengelolaan nisiko dan mendampingi manajer
lain melaporkan informasi yang relevan dengan risiko dalam organisasi.

Pedoman COSO menyebutkan tanggung jawab CRO secara khusus, yaitu:

 Menyusun kebijakan ERM, meliputi merumuskan peran dan tanggung

jawab, dan berpartisipasi dalam menentukan tujuan penerapan.
 Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-
unit bisnis.
 Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi
pengembangan ahli teknik ERM dan membantu pihak manajer menangani
 risiko sesuai dengan toleransi risiko entitas dan mengembangkan
pengendalian yang memadai.
 Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan
aktivitas manajemen.
 Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi
pengukuran atas keterjadian dan dampak risiko, dan kategori risiko yang
umum.
 Memfasilitasi pengembangan protokol pelaporan dan pihak manajemen,
meliputi batasan kualitatif dan kuantitatif, dan pemantauan proses
pelaporan.
 Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan
rekomendasi tindakan yang dipeilukan.

Financial Executive (Manajer Keuangan). Pimpinan bagian akuntansi dan

keuangan beserta para staffnya bertanggung jawab hampir atas seluruh kegiatan
yang ada di organisasi, karena pada dasarnya hampir seluruh kegiatan tersebut
melibatkan peran serta bagian akuntansi dan keuangan. Mereka berperan penting
dalam mencegah dan mendeteksi pelaporan fraud, dan mempengaruhi kerangka,
penerapan, dan pengawasan pengendahan internal organisasi yang terkait dengan
pelaporan keuangan dan sistem pendukung lainnya.

Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi

efektifitas dan merekomendasikan perbaikan dari manajemen risiko.

Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah

tanggung jawab seluruh pihak yang ada dalam organisasi. Mungkin beberapa dan
mereka bukanlah pemilik risikonya (risk owner), namun bagaimanapun juga peran
mereka (mulai dan mengidentifikasi risiko hingga penerapan strategi penanganan
risiko) turut berpenganuh dalam mewujudkan ERM yang efektif.

Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi

kepada Dewan Direksi maupun manajemen suatu pandangan pengelolaan nisiko
organisasi secara objektif dan independen, yang akan berguna menghasilkan
laporan keuangan untuk pihak eksternal dan tujuan-tujuan lainnya.

Para pembuat aturan (Legislator dan Regulator). Pihak pembuat aturan

dapat mempengaruhi penerapan ERM dalam organisasi melalui berbagai
persyaratan untuk melaksanakan ERM atau sistem pengendalian internal atau
melalui pemeniksaan terhadap entitas khusus.

Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan

siapapun itu yang terlibat secara bisnis dengan organisasi berperan dalam
menyediakan informasi risiko, sebagai sumber/bahan ERM. Pihak kreditor dapat
memberikan suatu pengawasan atau arahan yang berpengaruh terhadap
pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi peringkat,
media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil
investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi
orang luar terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi
yang inovatif dan strategi keuangan, serta gambaran tren industri saat itu.
Penyedia jasa menjadi semakin lazim bagi organisasi dalam menjalankan operasi
hariannya terutama untuk menjalankan fungsif ungsi yang bukan proses bisnis
utama organisasi. Dengan adanya kerja sama dengan pihak luar tersebut maka
kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait
dengan kerja sama tersebut.

COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang

dapat menjadi faktor pendorong:

 Menyesuaikan selera risiko dan strategi

 Meningkatkan pengambilan keputusan untuk merespon risiko
 Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
 Mengidentifikasi dan mengelola risiko antar-usaha
 Menyiapkan respon terpadu atas berbagai risiko
 Menangkap peluang
 Meningkatkan penempatan modal
ISO 31000:2009 MANAJEMEN RISIKO—PEDOMAN DAN PRINSIP
Prinsip ISO 31000:

 Menciptakan dan memelihara nilai

 Bagian integral dan proses organisasi
 Bagian dan pengambilan keputusan
 Secara tegas menyampaikan ketidakpastian
 Sistematis, terstruktur, dan tepat waktu
 Berdasarkan pada informasi terbaik
 Dirancang secara khusus
 Mempertimbangkan faktor manusia dan budaya
 Transparan dan melibatkan banyak pihak
 Dinamis, berulang, dan responsif terhadap perubahan
 Memfasilitasi perbaikan-perbaikan dalam organisasi

Kerangka ISO 31000

 Mandat dan komitmen dan atasan

 Merancang kerangka pengelolaan risiko, yang meliputi:
o Pemahaman terhadap konteks organisasi
o Menyusun kebijakan manajemen risiko
o Pendelegasian tanggung jawab dan kewenangan
o Mengintegrasikan pengelolaan risiko pada proses bisnis organisasi
o Pengalokasian sumber daya
o Menentukan komunikasi internal dan eksternal serta mekanisme
pelaporannya
 Menerapkan kerangka dan proses pengelolaan risiko
 Pemantauan atas kerangka
 Secara berkala, meningkatkan kerangka
Proses ISO 31000

 Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas

faktor-faktor internal dan eksternal yang dapat mempengaruhi pengelolaan
risiko.
 Menilal risiko, yang meliputi kegiatan pengidentifikasian risiko,
menganalisa risiko dan penyebabnya, sumber, dan tipe hasil yang
diharapkan, dan mengevaluasi risiko untuk memperoleh inform asi dalam
memprioritaskan penanganan risiko.
 Penanganan risiko, meliputi kegiatan pengambilan keputusan atas
informasi risiko yang ada.
 Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan
mengevaluasi apakah penanganan risiko telah sesual dengan tujuan.
 Membangun proses komunikasi dan konsultasi.

Peran dan Tanggung Jawab Auditor Internal dalam ERM

Pengelolaan Enterprise Risk Management membutuhkan peran akuntan

perusahaan baik peran dan akuntan manajemen maupun peran Auditor Internal.
Adapun Auditor Internal bertugas meneliti dan mengevaluasi berfungsinya sistem
akuntansi di samping menilai seberapa jauh kebijakan dan program kerja
manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk
pengelolaan risiko.

1. Organisasi yang sudah menerapkan manajemen risiko

Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-
Wide Risk Management yang dikeluarkan oleh IIA, dikemukakan bahwa
terdapat beberapa aktivitas yang dapat diperankan oleh internal auditor.
Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi
yang diwajibkan oleh kode etik profesi dan standar profesi auditor internal.
Saat internal auditor tidak memiliki kompetensi dan kemahiran yang
memadai atas area manajemen risiko maka menurut IlA auditor internal
 harus menolak penugasan. Berikut ini aktivitas utama yang dapat
diperankan oleh internal auditor berkenaan dengan penerapan manajemen
risiko di organisasi:

a. Peran Assurance Service :

 Memberikan jaminan kepada proses manajemen risiko
 Memberikan jaminan apakah risiko telah di evaluasi
 Mengevaluasi proses manajemen risiko
 Mengevaluasi pelaporan kunci risiko
 Meninjau ulang kunci manajemen risiko

b. Peran Consulting Service

 Memfasilitasi proses identifikasi dan evaluasi risiko
 Memberikan jasa pendampingan kepada manajemen untuk
merespon risiko
 Mengkoordinasikan aktivitas-aktivitas manajemen risiko
 Mengkonsolidasi pelaporan berkenaan dengan risiko
 Menjaga dan mengembangkan kerangka kerja manajemen risiko
 Menentukan champion dalam pengembangan manajemen risiko
 Mengembangkan strategi manajemen risiko untuk mendapatkan
persetujuan board.

Aktivitas yang tidak dapat diperankan oleh internal audit antara lain:
 Menetapkan risk appetite
 Ikut dalam proses mengelola risiko
 Menjadi satu-satunya sumber acuan bagi manajemen untuk mendapatkan
assurance bahwa risiko-risiko telah dikelola dengan efektif.
 Ikut mengambil keputusan untuk menentukan respon terhadap risiko
 Menerapkan respon terhadap risoko untuk kepentingan manajemen.
 Bertanggung jawab untuk mengelola risiko
 Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat
diperankan oleh internal auditor dengan berpegang pada standar profesi audit
internal untuk mendorong efektivitas ERM dan manajemen tetap bertanggung
jawab untuk manajemen risiko.
COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk
membantu manajemen dalam hal menyelaraskan selera risiko (risk appatite)
dengan strategi perusahaan, meningkatkan keputusan respon risiko, menekankan
atau mengurangi lonjakan atau kerugian akibat operasional, mengidentifikasi dan
mengelola cross enterprise risk, menyiapkan respon atas berbagai risiko secara
terintegrasi, serta meralh kesempatan dan mengembangkan pemodalan.

Penerapan Enterprise Risk Management dalam organisasi dapat

mendorong terciptanya Good Corporate Governance. Enterprise Risk
Management memiliki fokus pada pengelolaan risiko yang timbul dan setiap
aktivitas organisasi untuk kemudian organisasi tersebut akan diarahkan dan
dikendalikan sesuai dengan prinsip-prinsip Good Corporate Governance untuk
dapat mencapai tujuan organisasi yang ditetapkan.

2. Organisasi yang belum menerapkan manajemen risiko

Dalam Practice Advisory 2100 – 4 ( International Professional Practices
Framework – IPPF) dinyatakan bahwa peran audit internal dalam organisasi yang
belum menerapkan proses manajemen risiko, dihubungkan dengan standar 2100
untuk standar audit internal yang sama, dinyatakan bahwa: “unit audit internal
harus mengevaluasi dan memberikan kontribusi untuk peningkatan proses
manajemen risiko, pengendalian, dan governance, yaitu dengan menggunakan
pendekatan yang sistematis dan teratur.”
Dalam hal suatu organisasi atau perusahaan belum menerapkan proses
manajemen risiko, practice advisory yang ada dalam standar IPPF memberikan
pedoman sebagai berikut:
 Auditor internal harus meminta manajemen untuk menaruh perhatian
terhadap ketiadaan proses manajemen risiko dan menyarankan penetapan
proses dimaksud.
  Jika diminta, auditor internal dapat memainkan peran proaktifnya dalam
membantu proses awal manajemen risiko.

Dampak Dari ERM Atas Jasa Assurance yang Dijalankan Oleh Internal
Audit

Sebagaimana dinyatakan dalam standar audit internal (Performance

Standar 2010 – IPPF) yaitu bahwa kepala audit internal haus menyusun
perencanaan audit berbasis risiko untuk menentukan prioritas penugasan atau
pekerjaan audit yang akan dilaksanakan untuk satu tahun atau periode yang
ditetapkan.

Berikut hubungan perencanaan audit tahunan dengan risiko kegiatan organisasi :

 Perencanaan audit harus dirancang berdasarkan hasil aasessment risiko

yang memperngaruhi pencapaian tujuan
 Audit universe meliputi seluruh komponen yang berasal dari perencanaan
strategi organisasi
 Perubahan dalam arah, tujuan, penekanan dan fokus manajemen harus
tercermin dalam audit univese dan rencana audit yang berkaitan
 Jadwal pekerjaan audit harus didasarkan pada assessment dari risiko yang
diprioritaskan
 Pelaporan dan komunikasi manajemen harus disampaikan dalam
kesimpulan dan rekomendasi manajemen risiko dalam rangka mengurangi
risiko dan kerentanan yang terjadi.

Tidak hanya pada perencanaan audit tahunan, hal yang sama juga
diterapkan untuk menyusun perencanaan untuk masing-masing penugasan audit
yang harus didasarkan pada risiko kegiatan organisasi. Bagaimana pun, ruang
lingkup dan pendekatan audit untuk masing-masing penugasan audit dipengaruhi
oleh:
  Bagaimana risiko yang tejadi atau berpotensi untuk terjadi di tingkat
aktivitas kegiatan atau proses
 Perubahan-perubahan dalam proses
 Model atau faktor risiko yang relevan
 Dampak dan kemungkinan terjadi risiko di tingkat aktivitas atau proses

Pendekatan manajemen dalam implementasi proses manajemen risiko,

baik yang sudah menerapkan dengan mapan atau pun belum proses manajemen
risiko, maka pengaruh signifikan terjadi pada piagam audit internal dan
perencanaan audit tahunan.
 MANAJEMEN RISIKO
Makalah
Diajukan Untuk Memenuhi Salah Satu Tugas Mata Kuliah
Audit Internal Semester VII TahunAkademik 2015/2016

DISUSUN OLEH :

Dita Nafinia 10090112017

Rena Kartika Rachmadita 10090112019
Reza Nurhakim 10090112052

Kelas : Akuntansi A

FAKULTAS EKONOMI DAN BISNIS

JURUSAN AKUNTANSI
UNIVERSITAS ISLAM BANDUNG
JL. Tamansari No.1 Telepon (022) 4203368